Catalyst 6500 シリーズ スイッチソフトウェア コン フィギュレーション ガイド リリース8.7
ポート セキュリティの設定
ポート セキュリティの設定
発行日;2012/01/31 | 英語版ドキュメント(2009/09/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

ポート セキュリティの設定

ポート セキュリティの機能

ホスト MAC アドレスに基づくトラフィックの許可

ホスト MAC アドレスに基づくトラフィックの制限

セキュア ポート上でのユニキャスト フラッディング パケットのブロック

MAC アドレス モニタリングの機能概要

ポート セキュリティ設定時の注意事項

スイッチ上でのポート セキュリティの設定

ポート セキュリティのイネーブル化

セキュア MAC アドレスの最大数の設定

動的に学習された MAC アドレスの自動設定

ポート セキュリティ エージング タイムの設定

ポート セキュリティ エージング タイプの設定

MAC アドレスの消去

セキュア ポート上でのユニキャスト フラッディング ブロックの設定

セキュリティ違反時の処置の指定

シャットダウン タイムアウトの設定

ポート セキュリティのディセーブル化

ホスト MAC アドレスに基づくトラフィックの制限

ポート セキュリティの表示

MAC アドレス モニタリングの設定

グローバル MAC アドレス モニタリングの設定

CAM テーブル内の MAC アドレスのモニタリング

モニタリングのポーリング間隔の指定

MAC アドレス モニタリングの下限しきい値の指定

MAC アドレス モニタリングの上限しきい値の指定

MAC アドレス モニタリング設定の消去

CAM モニタの設定の表示

CAM モニタのグローバル設定の表示

ポート セキュリティの設定

この章では、ポート セキュリティの設定方法と、Catalyst 6500 シリーズ スイッチで学習される MAC アドレス数を制限する方法について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) MAC アドレス認証バイパスの設定については、第 41 章「MAC 認証バイパスの設定」を参照してください。



) 802.1X 認証の設定により、アクセスを許可されているポートから不正なデバイスが LAN 接続するのを制限する手順については、第 40 章「802.1X 認証の設定」を参照してください。



) Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)を設定して、Catalyst 6500 シリーズ スイッチの Command-Line Interface(CLI; コマンドライン インターフェイス)へのアクセスをモニタおよび制御する方法については、第 39 章「AAA によるスイッチ アクセスの設定」を参照してください。



) Network Admission Control(NAC)の設定については、第 44 章「NAC の設定」を参照してください。


この章で説明する内容は、次のとおりです。

「ポート セキュリティの機能」

「MAC アドレス モニタリングの機能概要」

「ポート セキュリティ設定時の注意事項」

「スイッチ上でのポート セキュリティの設定」

「MAC アドレス モニタリングの設定」

ポート セキュリティの機能

イーサネット、ファースト イーサネット、またはギガビット イーサネット ポートへのアクセスを試みたステーションの MAC アドレスが、そのポートに指定されている MAC アドレスと異なる場合、ポート セキュリティ機能を使用してポートへのアクセスをブロックできます。また、ホスト MAC アドレスに基づく指定ホストに送信、または指定ホストから受信したトラフィックをフィルタリングできます。

ここでは、トラフィック フィルタリング方式について説明します。

「ホスト MAC アドレスに基づくトラフィックの許可」

「ホスト MAC アドレスに基づくトラフィックの制限」

「セキュア ポート上でのユニキャスト フラッディング パケットのブロック」

ホスト MAC アドレスに基づくトラフィックの許可

ポートあたりに指定できる MAC アドレスの総数には、次のような制限があります。

Release 8.1(1) よりも前のソフトウェア リリースでは、1 つのポートにつき、指定できる MAC アドレスの総数は、グローバル リソースとしての 1024 に、デフォルトの MAC アドレス 1 つを加えた数です。1 ポート上の総 MAC アドレス数が 1025 を超えることはありません。

Release 8.1(1) 以降のソフトウェア リリースでは、1 つのポートにつき、指定できる MAC アドレスの総数は、グローバル リソースとしての 4096 に、デフォルトの MAC アドレス 1 つを加えた数です。1 ポート上の総 MAC アドレス数が 4097 を超えることはありません。

各ポートに MAC アドレスの最大数を割り当てるかどうかは、ネットワーク構成によって決まります。次の組み合わせは、Release 8.1(1) よりも前のソフトウェア リリースで有効な割り当て例です。ロジックは Release 8.1(1) 以降のソフトウェア リリースでも同じです。

1 ポートに 1025(1 + 1024)個のアドレス、残りの各ポートに 1 アドレスずつ

システム内の 2 ポートにそれぞれ 513(1 + 512)個、残りの各ポートに 1 アドレスずつ

1 ポートに 901(1 + 900)個、次のポートに 101(1 + 100)個、第 3 のポートに 25(1 + 24)個、残りの各ポートに 1 アドレスずつ

ポートに最大 MAC アドレス数を割り当てた後で、そのポートに手動でセキュア MAC アドレスを指定するか、または接続装置の MAC アドレスをポートに動的に設定できます。ポートに割り当てられた最大数の MAC アドレスのうち、すべてを手動で設定するか、すべてを動的に学習するか、または一部を手動で設定し、残りを動的に学習できます。手動または自動で設定したアドレスは、Nonvolatile RAM(NVRAM; 不揮発性 RAM)に保存され、リセット後も維持されます。動的に学習されたアドレスは保存されないため、スイッチのリセット後、それらはすべて消去されます。

ポートに最大 MAC アドレス数を割り当てた後で、特定のポート上でアドレスの安全性が維持される期間を指定できます。エージング タイムが経過すると、そのポート上の MAC アドレスは非保護状態になります。デフォルトの設定では、ポート上のすべてのアドレスが永続的に保護されます。

セキュリティ違反が発生した場合に、ポートがシャットダウン モードまたは制限モードになるように設定できます。シャットダウン モードを使用すると、ポートを永続的にディセーブルにするのか、指定された期間だけディセーブルにするのかを指定できます。デフォルトの設定では、ポートは永続的にシャットダウンされます。制限モードを使用すると、セキュリティ違反が発生しても、ポートをイネーブルにしておき、非保護ホストから送られてきたパケットだけがドロップされるように設定できます。


) 制限モードでセキュア ポートを設定していて、スイッチの別のポート上でセキュア MAC アドレスとして設定済みの MAC アドレスを持つポートにステーションを接続した場合、制限モードのポートはそのステーションからのトラフィックを制限するのではなく、シャットダウンしてしまいます。たとえば、ポート 2/1 のセキュア MAC アドレスとして MAC-1、ポート 2/2 のセキュア MAC アドレスとして MAC-2 を設定し、さらに、ポート 2/2 が制限モードとして設定されているときに、MAC-1 を指定してステーションとポート 2/2 を接続した場合、ポート 2/2 は MAC-1 からのトラフィックを制限するのではなく、シャットダウンします。


セキュア ポートがパケットを受信すると、そのパケットの送信元 MAC アドレスを、ポートに手動で設定された、または動的に学習された送信元セキュア アドレスのリストと比較します。ポートに接続された装置の MAC アドレスと、セキュア アドレス リストが異なる場合、ポートは永続的にシャットダウン(デフォルトのモード)するか、指定された期間だけシャットダウンするか、または非保護ホストからの着信パケットをドロップします。ポートの動作は、セキュリティ違反に対してどのように対処するか、その設定によって決まります。

セキュリティ違反が発生すると、そのポートの LINK LED がオレンジに点灯し、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)マネージャにリンク ダウン トラップが送信されます。制限モードでポートを設定している場合は、SNMP トラップは送信されません。トラップが送信されるのは、セキュリティ違反時にシャットダウンするようにポートを設定している場合だけです。

ホスト MAC アドレスに基づくトラフィックの制限

ホスト MAC アドレスに基づいてトラフィックをフィルタリングし、特定の送信元 MAC アドレスを持つパケットを廃棄できます。 set cam filter コマンドを使用して MAC アドレス フィルタを指定すると、指定したホスト MAC アドレスからの着信トラフィックがドロップされます。また、指定したホストを宛先とするパケットは転送されません。


set cam filter コマンドでフィルタリングできるのは、ユニキャスト アドレスだけです。このコマンドでは、マルチキャスト アドレス用のトラフィックをフィルタリングできません。


セキュア ポート上でのユニキャスト フラッディング パケットのブロック

ユニキャスト フラッディング機能をディセーブルにすることで、セキュア イーサネット ポート上でユニキャスト フラッディング パケットをブロックできます。ポートでユニキャスト フラッディング パケットをディセーブルにすると、ポートは、MAC アドレスの最大許容数に達すると、ユニキャスト フラッディング パケットをドロップします。

MAC アドレス数が最大許容数を下回ると、ポートは自動的にユニキャスト フラッディング パケットの学習を再開します。学習された MAC アドレスのカウントは、設定された MAC アドレスが削除されるか、Time to Live(TTL; 存続可能時間)カウンタに達すると減少します。

MAC アドレス モニタリングの機能概要

Catalyst 6500 シリーズ スイッチでは送信元 MAC アドレスを自動的に学習するため、システムはスプーフィングされたトラフィックのフラッディングに弱く、Denial of Service(DoS; サービス拒絶)攻撃を受けやすくなります。トラフィックのフラッディングや DoS 攻撃を避けるために、システムが学習した多くの MAC アドレスをポート単位、VLAN 単位、またはポート VLAN 単位ベースでモニタできます。

MAC アドレス モニタリングはソフトウェアでサポートされています。

MAC アドレス モニタリングの設定については、「MAC アドレス モニタリングの設定」を参照してください。

ポート セキュリティ設定時の注意事項

ここでは、ポート セキュリティ設定時の注意事項について説明します。

SPAN 宛先ポートではポート セキュリティをイネーブルにしないでください。また、その逆の場合も同様です。

セキュア ポートには、ダイナミック、スタティック、または永続 CAM エントリを設定しないでください。

スイッチ上でのポート セキュリティの設定

ここでは、ポート セキュリティを設定する手順について説明します。

「ポート セキュリティのイネーブル化」

「セキュア MAC アドレスの最大数の設定」

「動的に学習された MAC アドレスの自動設定」

「ポート セキュリティ エージング タイムの設定」

「ポート セキュリティ エージング タイプの設定」

「MAC アドレスの消去」

「セキュア ポート上でのユニキャスト フラッディング ブロックの設定」

「セキュリティ違反時の処置の指定」

「シャットダウン タイムアウトの設定」

「ポート セキュリティのディセーブル化」

「ホスト MAC アドレスに基づくトラフィックの制限」

「ポート セキュリティの表示」

ポート セキュリティのイネーブル化

ポート上でポート セキュリティをイネーブルにすると、そのポートと対応付けられたスタティックまたはダイナミック CAM エントリは消去されます。その時点ですでに設定されている永続 CAM エントリは、安全と見なされます。

ポート セキュリティをイネーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポートを指定して、ポート セキュリティをイネーブルにします。セキュア MAC アドレスも指定できます。トランク ポートでポート セキュリティをイネーブルにするには、セキュア MAC アドレスが許可されている VLAN を指定します。

set port security mod/port enable [ mac_addr ] [vlan_list]

ステップ 2

セキュア アドレス リストに MAC アドレスを追加できます。

set port security mod/port mac_addr [vlan_list]

ステップ 3

設定を確認します。

show port [ mod [ / port ]] [ mac_addr ][vlan_list]

次に、ポート上で学習した MAC アドレスを使用してポート セキュリティをイネーブルにし、設定を確認する例を示します。

Console> (enable) set port security 2/1 enable
Port 2/1 security enabled.
Console> (enable) show port 2/1
Port Name Status Vlan Level Duplex Speed Type
----- ------------------ ---------- ---------- ------ ------ ----- ------------
2/1 connected 522 normal half 100 100BaseTX
 
Port Security Secure-Src-Addr Last-Src-Addr Shutdown Trap IfIndex
----- -------- ----------------- ----------------- -------- -------- -------
2/1 enabled 00-90-2b-03-34-08 00-90-2b-03-34-08 No disabled 1081
 
Port Broadcast-Limit Broadcast-Drop
-------- --------------- --------------
2/1 - 0
 
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
2/1 0 0 0 0 0
 
Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
2/1 0 0 0 0 0 0 0
 
Last-Time-Cleared
--------------------------
Fri Jul 10 1998, 17:53:38
 

次に、ポート上でポート セキュリティをイネーブルにし、セキュア MAC アドレスを手動で指定する例を示します。

Console> (enable) set port security 2/1 enable 00-90-2b-03-34-08
Port 2/1 port security enabled with 00-90-2b-03-34-08 as the secure mac address
Trunking disabled for Port 2/1 due to Security Mode
Console> (enable)
 

次に、トランク ポートでポート セキュリティを設定する例を示します。

Console> (enable) set port security 2/2 00-90-2b-03-34-09 1,20,30
Mac address 00-90-2b-03-34-09 set for port 2/2 on vlan 1,20,20
Console> (enable)

セキュア MAC アドレスの最大数の設定

ポート上で保護する MAC アドレスの数を設定できます。デフォルトの設定では、1 ポートに少なくとも 1 個の MAC アドレスを保護できます。このデフォルトに加えて、次のようにポートで共有するグローバル リソースが使用可能です。

Release 8.1(1) よりも前のソフトウェア リリースでは、最大 1024 個の MAC アドレスを 1 つのポートで設定できます。1 ポート上の総 MAC アドレス数が 1025 を超えることはありません。

Release 8.1(1) 以降のソフトウェア リリースでは、最大 4096 個の MAC アドレスを 1 つのポートで設定できます。1 ポート上の総 MAC アドレス数が 4097 を超えることはありません。

一部のポートで MAC アドレスのグローバル リソース全体を使用しても、残りのポートではまだ、1 ポートに最大 1 個の MAC アドレスを使用して、ポート セキュリティをイネーブルにできます。

MAC アドレスの最大数を少なくすると、システムによって指定された数の MAC アドレスが消去され、削除したアドレスのリストが表示されます。

ソフトウェア リリース 8.1 および 8.2 のソフトウェア リリースでは、異なる VLAN にあるアクセス ポートに単一の MAC アドレスを設定できますが、そのポートにポート セキュリティを設定できません。Release 8.3(1) 以降のソフトウェア リリースでは、トランク ポートでポート セキュリティをサポートしていますが、異なる VLAN にある複数のポートに対して単一の MAC アドレスを設定しポート セキュリティを設定できます。たとえば、「00-00-aa-00-00-aa」という MAC アドレスを VLAN 10 のポート 2/1 と VLAN 20 のポート 2/2 で設定または確保できます。VLAN 10 に両方のポートがある場合は、この MAC アドレスはこれらのポートのいずれかだけで設定または確保できます。単一の MAC アドレスとポート セキュリティを設定できるのは、1 つの VLAN に属するポートだけです。

特定のポートで保護する MAC アドレスの数を設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で保護する MAC アドレスの数を設定します。

set port security mod/port maximum num_of_mac

次に、保護する MAC アドレスの数を設定する例を示します。

Console> (enable) set port security 7/7 maximum 20
Maximum number of secure addresses set to 20 for port 7/7.
Console> (enable)
 

次に、MAC アドレスの数を減らし、消去された MAC アドレスを表示する例を示します。

Console> (enable) set port security 7/7 maximum 18
Maximum number of secure addresses set to 18 for port 7/7
00-11-22-33-44-55 cleared from secure address list for port 7/7
00-11-22-33-44-66 cleared from secure address list for port 7/7
Console> (enable)

動的に学習された MAC アドレスの自動設定

動的に学習された MAC アドレスの自動設定により、動的に学習された MAC アドレスを特定のポートに関連付けることができます。この機能は、システム内のすべてのセキュア ポートにグローバルに適用されます。

動的に学習されたアドレスは、手動で設定されたアドレスのように処理され、設定は NVRAM に保存されます。アドレスは、セキュリティ違反によるセキュア ポートのシャットダウン、ポート セキュリティのディセーブル化、またはセキュア ポートの管理上のディセーブル化といったイベントで保存されます。


) 自動設定オプションを使用して設定された動的に学習されたアドレスは、いかなる状況でも消去されません。これらのアドレスは、clear port security コマンドを入力して手動で消去する必要があります。


動的に学習された MAC アドレスの自動設定をイネーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

動的に学習された MAC アドレスの自動設定をイネーブルにします。

set port security auto-configure enable | disable

次に、動的に学習された MAC アドレスの自動設定をスイッチ上でグローバルにイネーブルにする例を示します。

Console> (enable) set port security auto-configure enable
Automatic configuration of secure learnt addresses enabled.
Console> (enable)
 

自動設定を確認するには、show port security statistics system コマンドを入力します。

Console> (enable) show port security statistics system
 
Auto-Configure Option: Enabled
Module 2:
Total ports: 24
Total secure ports: 0
Total MAC addresses: 24
Total global address space used (out of 4096): 0
Status: installed
Module 3:
Total ports: 48
Total secure ports: 0
Total MAC addresses: 48
Total global address space used (out of 4096): 0
Status: installed
Module 5:
Total ports: 2
Total secure ports: 0
Total MAC addresses: 2
Total global address space used (out of 4096): 0
Status: installed
Total secure ports in the system: 0
Total secure MAC addresses in the system: 74
Total global MAC address resource used in the system (out of 4096): 0
Console> (enable)

ポート セキュリティ エージング タイムの設定

ポートのエージング タイムによって、そのポート上のすべてのアドレスの保護期間を指定します。このエージング タイムは、MAC アドレスがそのポート上のトラフィックを開始したときからアクティブになります。MAC アドレスに対応するエージング タイムが満了すると、ポート上のその MAC アドレスに対応するエントリがセキュア アドレス リストから削除されます。有効な範囲は 1 ~ 1440 分です。エージング タイムをゼロに設定すると、セキュア アドレスのエージングがディセーブルになります。

ポート上でエージング タイムを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上の保護するアドレスにエージング タイムを設定します。

set port security mod/port age time

次に、ポート 7/7 上にエージング タイムを設定する例を示します。

Console> (enable) set port security 7/7 age 600
Secure address age time set to 600 minutes for port 7/7.
Console> (enable)

ポート セキュリティ エージング タイプの設定


set port security mod/port timer-type {absolute | inactivity} コマンドは、Supervisor Engine 720 および Supervisor Engine 32 だけでサポートされています。


Release 8.2(1) 以降のソフトウェア リリースでは、ポート単位でエージングのタイプを設定し、動的に学習されたアドレスに適用できます。エージングのタイプには次の 2 つがあります。

絶対エージング: age_time を超過すると、MAC アドレスはトラフィックのパターンに関係なく期限切れとなります。これはすべてのセキュア ポートでデフォルトであり、 age_time は 0 に設定されます。

非アクティブ エージング:対応するホストが age_time を超過して非アクティブであった場合だけ、MAC アドレスは期限切れとなります。

動的に学習されたアドレスのポート セキュリティ エージング タイプをポートごとに設定するには、特権モードで次の作業を行います。

 

作業
コマンド

動的に学習されたアドレスのポート セキュリティ エージング タイプをポート単位で設定します。

set port security mod/port timer-type { absolute | inactivity }

次に、ポート 5/1 上に異なるポート セキュリティ エージング タイプを設定する例を示します。

Console> (enable) set port security 5/1 timer-type absolute
Port 5/1 security timer type absolute.
Console> (enable) set port security 5/1 timer-type inactivity
Port 5/1 security timer type inactive.
Console> (enable)

MAC アドレスの消去

clear port security コマンドを使用して、ポート上のセキュア アドレス リストから MAC アドレスを消去します。


) 使用中の MAC アドレスに clear コマンドを入力した場合、その MAC アドレスが学習されて、再び保護される可能性があります。ポート セキュリティをディセーブルにしてから、MAC アドレスを消去してください。


セキュア MAC アドレス リストからすべての MAC アドレス、または特定の MAC アドレスを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

セキュア MAC アドレス リストから全部または特定の MAC アドレスを消去します。

(注) トランク ポートでは、VLAN リスト パラメータを使用して 1 つ以上の特定 VLAN のリストから MAC アドレスを消去できます。all キーワードを指定すると、トランク ポート上にあるすべての VLAN 用のセキュア MAC アドレス リストから MAC アドレスが消去されます。

clear port security mod/port all | mac_addr [ all | vlan_list]

次に、ポート 3/37 上のセキュア アドレス リストから MAC アドレスを 1 つ消去する例を示します。

Console> (enable) clear port security 3/37 00-00-aa-00-00-aa 20,30
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 20.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 30.
Console> (enable)
 

次に、ポート 3/37 からすべての MAC アドレスを消去する例を示します。

Console> (enable) clear port security 3/37 00-00-aa-00-00-aa all
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 1.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 20.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 30.
Console> (enable)
 

次に、トランク ポート 2/2 の VLAN 1 から MAC アドレスをすべて消去する例を示します。

Console> (enable) clear port security 2/2 00-90-2b-03-34-09 1
Secure MAC address 00-90-2b-03-34-09 cleared for port 2/2 and Vlan 1.
Console> (enable)

セキュア ポート上でのユニキャスト フラッディング ブロックの設定

セキュア ポートでユニキャスト フラッディング ブロックを設定するには、ユニキャスト フラッディング機能をディセーブルにします。


) MAC アドレスの限度に達すると、ポートはユニキャスト フラッディングをディセーブルにします。


セキュア ポート上でユニキャスト フラッディング ブロックを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

指定のセキュア ポート上でユニキャスト フラッディング ブロックをディセーブルにします。

set port security mod/port unicast-flood disable

ステップ 2

ユニキャスト フラッディングの設定を確認します。

show port security mod/port

ステップ 3

ユニキャスト フラッディング ブロックのステータスを確認します。

show port unicast-flood mod / port

次に、ポート上でユニキャスト フラッディング パケットをディセーブルにするようにスイッチを設定し、設定を確認する例を示します。

Console> (enable) set port security 4/1 unicast-flood disable
Port 4/1 security flood mode set to disable.
Console> (enable) show port security 4/1
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
4/1 disabled shutdown 0 0 1 disabled 50
 
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
4/1 0 - - - - -
 
Port Flooding on Address Limit
---- -------------------------
4/1 Disabled
Console> (enable) show port unicast-flood 4/1
Port Unicast Flooding
---- ----------------
4/1 Disabled
Console> (enable)
 

show port unicast-flood コマンドにより、ユニキャスト フラッディング ブロックの実行時のステータスが表示されます。出力では、ポートがアドレスの限度を超えているかどうかに応じて、ユニキャスト フラッディングがイネーブルまたはディセーブルのいずれになっているかが表示されます。


セキュリティ違反時の処置の指定

ポートには、セキュリティ違反に対する処理として、次の 2 つのモードを設定できます。

シャットダウン:ポートを永続的にまたは指定した期間だけシャットダウンします。永続的なシャットダウンがデフォルトのモードです。

制限:非保護ホストから送られてきたすべてのパケットをドロップしますが、ポートは引き続きイネーブルです。

セキュリティ違反の発生時にとるべき処置を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上での違反発生時の処置を指定します。

set port security mod/port violation { shutdown | restrict }

次に、ポート 7/7 上で、非保護ホストから送られたすべてのパケットをドロップするように指定する例を示します。

Console> (enable) set port security 7/7 violation restrict
Port security violation on port 7/7 will cause insecure packets to be dropped.
Console> (enable)
 

) ポートのセキュア MAC アドレス数を 1 に制限して、他のホストがそのポートに接続しようとした場合、ポート セキュリティによって、他のホストからそのポートに接続することが禁止されるとともに、VLAN エージング タイムの間、同じ VLAN 内のすべてのポートへの接続が防止されます。デフォルトの設定では、VLAN エージング タイムは 5 分です。セキュア ポートであるために、同一 VLAN 内のポートにホストが接続できない場合は、VLAN エージング タイムが経過した後で、もう一度ホストからポートに接続してください。


シャットダウン タイムアウトの設定

セキュリティ違反が発生した場合に、ポートをディセーブルにしておく時間を指定できます。デフォルトの設定では、ポートは永続的にシャットダウンされます。有効な範囲は 1 ~ 1440 分です。

この時間をゼロに設定すると、そのポートではシャットダウンがディセーブルになります。


) シャットダウン タイムが満了すると、ポートは再びイネーブルになり、ポート セキュリティ関連のすべての設定が維持されます。


シャットダウン タイムアウトを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上でシャットダウン タイムアウトを設定します。

set port security mod/port shutdown time

次に、ポート 7/7 上でシャットダウン タイムアウト値を 600 分に設定する例を示します。

Console> (enable) set port security 7/7 shutdown 600
Secure address shutdown time set to 600 minutes for port 7/7.
Console> (enable)

ポート セキュリティのディセーブル化

ポート セキュリティをディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポートを指定して、ポート セキュリティをディセーブルにします。

set port security mod/port disable

ステップ 2

設定を確認します。

show port security [ mod / port ]

次に、ポート セキュリティをディセーブルにする例を示します。

Console> (enable) set port security 2/1 disable
Port 2/1 port security disabled.
Console> (enable)
Console> (enable) show port security 2/1
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
3/24 disabled restrict 20 300 10 disabled 921
 
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
3/24 1 00-e0-4f-ac-b4-00 - - - -
Console> (enable)

ホスト MAC アドレスに基づくトラフィックの制限

特定の MAC アドレスのトラフィックを制限するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

指定した MAC アドレスとの間の送信または受信トラフィックを制限します。

set cam { static | permanent } filter unicast_mac vlan

ステップ 2

フィルタを削除します。

clear cam mac_address vlan

ステップ 3

設定を確認します。

show cam { static | permanent }

次に、特定の MAC アドレスに対するトラフィックを制限するフィルタを作成する例を示します。

Console> (enable) set cam static filter 00-02-03-04-05-06 1
Filter entry added to CAM table.
Console> (enable)
 

次に、フィルタを消去する例を示します。

Console> (enable) clear cam 00-02-03-04-05-06 1
CAM entry cleared.
Console> (enable)
 

次に、スタティック CAM エントリを表示する例を示します。

Console> show cam static
 
VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
---- ------------------ ----- -------------------------------------------
3 04-04-05-06-07-08 * FILTER

ポート セキュリティの表示

show port security コマンドを使用すると、次の情報が表示されます。

ポートのセキュア MAC アドレス リスト

ポート上で使用できる最大セキュア アドレス数

セキュア MAC アドレスの総数

エージング タイム

残っているエージング タイムおよびシャットダウンのタイムアウトまでの時間

シャットダウン/セキュリティ モード

ポート セキュリティ関連の統計情報

ポート セキュリティの設定情報および統計情報を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

設定を表示します。

show port security [statistics] mod/port

ステップ 2

ポート セキュリティの統計情報を表示します。

show port security statistics [system] [ mod/port ]

次に、ポート セキュリティの設定情報および統計情報を表示する例を示します。

Console> (enable) show port security 4/1
* = Configured MAC Address
 
Port Security Violation Shutdown-Time Age-Time Maximum-Addrs Trap IfIndex
----- -------- --------- ------------- -------- ------------- -------- -------
4/1 enabled shutdown 120 1440 25 disabled 3
 
Port Secure-Src-Addrs Age-Left Last-Src-Addr Shutdown Shutdown-Time-Left
---- ----------------- -------- ----------------- -------- ------------------
4/1 00-11-22-33-44-55 4 00-11-22-33-44-55 No -
00-10-14-da-77-f1 100
Port Flooding on Address Limit
----- -------------------------
4/1 Enabled
Console> (enable) show port security statistics 4/1
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
4/1 4 10
Console> (enable)
 

次に、モジュールに関してポート セキュリティの統計情報を表示する例を示します。

Console> (enable) show port security statistics 7
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
7/1 0 1
7/2 0 1
7/3 0 1
7/4 0 1
7/5 0 1
7/6 0 1
7/7 0 1
7/8 0 1
7/9 0 1
7/10 0 200
7/11 0 1
7/12 0 1
7/13 0 1
7/14 0 1
7/15 0 1
7/16 0 1
7/17 0 1
7/18 0 1
7/19 0 1
7/20 0 1
7/21 0 1
7/22 0 1
7/23 0 1
7/24 0 1
Module 7:
Total ports: 24
Total secure ports: 0
Total MAC address(es): 223
Total global address space used (out of 4096): 199
Status: installed
Console> (enable)
 

次に、システムに関してポート セキュリティの統計情報を表示する例を示します。

Console> (enable) show port security statistics system
 
Auto-Configure Option: Enabled
Module 2:
Total ports: 24
Total secure ports: 0
Total MAC addresses: 24
Total global address space used (out of 4096): 0
Status: installed
Module 3:
Total ports: 48
Total secure ports: 0
Total MAC addresses: 48
Total global address space used (out of 4096): 0
Status: installed
Module 5:
Total ports: 2
Total secure ports: 0
Total MAC addresses: 2
Total global address space used (out of 4096): 0
Status: installed
Total secure ports in the system: 0
Total secure MAC addresses in the system: 74
Total global MAC address resource used in the system (out of 4096): 0
Console> (enable)

MAC アドレス モニタリングの設定

ここでは、MAC アドレス モニタリングを設定する手順について説明します。

「グローバル MAC アドレス モニタリングの設定」

「CAM テーブル内の MAC アドレスのモニタリング」

「モニタリングのポーリング間隔の指定」

「MAC アドレス モニタリングの下限しきい値の指定」

「MAC アドレス モニタリングの上限しきい値の指定」

「MAC アドレス モニタリング設定の消去」

「CAM モニタの設定の表示」

「CAM モニタのグローバル設定の表示」

グローバル MAC アドレス モニタリングの設定

MAC アドレス モニタリングをグローバルにイネーブルまたはディセーブルにできます。MAC アドレス モニタリングをグローバルにディセーブルにしても設定は消去されません。

MAC アドレス モニタリングをグローバルにイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

MAC アドレス モニタリングをグローバルにイネーブルまたはディセーブルにします。

(注) デフォルトで、モニタリングはグローバルにイネーブルです。

set cam monitor { disable | enable }

次に、グローバル MAC アドレス モニタリング設定をディセーブルおよびイネーブルにする例を示します。

Console> (enable) set cam monitor disable
Cam monitor disabled
Console> (enable) set cam monitor enable
Cam monitor enabled
Console> (enable)

CAM テーブル内の MAC アドレスのモニタリング

学習されて CAM テーブルに保存された MAC アドレスをモニタするには、特権モードで次の作業を行います。

 

作業
コマンド

ポート単位、VLAN 単位、またはポート/VLAN 単位ベースで学習されて CAM テーブルに保存されている MAC アドレスをモニタします。

(注) MAC アドレス モニタリングは、インターフェイス(ポート、VLAN、ポート/VLAN ベース)上でデフォルトでディセーブルです。

set cam monitor {disable | enable} [mod/port | {mod/port vlan } | vlan]

次に、特定のポートで学習されて CAM テーブルに保存されている MAC アドレスをモニタする例を示します。

Console> (enable) set cam monitor enable 3/1
Successfully enabled cam monitor on 3/1
Console> (enable)
 

次に、特定のポートで学習された MAC アドレスのモニタリングをディセーブルにする例を示します。

Console> (enable) set cam monitor disable 3/1
Successfully disabled cam monitor on 3/1
Console> (enable)

モニタリングのポーリング間隔の指定

MAC アドレス モニタリングはソフトウェアでサポートされています。CAM テーブルに多くの MAC アドレスと多くの設定済みインターフェイス(ポート、VLAN、またはポート VLAN)がある場合、CPU 使用率が上がります。 set cam monitor interval コマンドを入力してソフトウェア ポーリング間隔を調整することで、CPU の負荷を低減できます。

CAM テーブルのポーリング間隔を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

CAM テーブルのモニタリングに関するポーリング間隔を秒単位で指定します。有効な範囲は 5 ~ 30 秒です。

(注) デフォルトのポーリング間隔は 5 秒です。

set cam monitor interval time_s

次に、CAM テーブルのポーリング間隔を指定する例を示します。

Console> (enable) set cam monitor interval 20
Cam monitor interval set to 20 sec
Console> (enable)

MAC アドレス モニタリングの下限しきい値の指定

MAC アドレス モニタリングの下限しきい値を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

MAC アドレス モニタリングの下限しきい値と、システムがこのしきい値を超過した場合に行う処置について指定します。下限しきい値の有効な範囲は 5 ~ 32000 です。

(注) no-learn キーワードを指定する場合、設定はポート/VLAN 設定で、違反発生時には、すべての VLAN 上のポートで MAC アドレスの学習を停止します。warning キーワードを指定した場合、下限しきい値を超過するとシステムはシステム メッセージを表示します。

set cam monitor low-threshold value [action {no-learn | warning}] {mod/port | {mod/port vlan } | vlan}

次に、ポートの下限しきい値としきい値を超過した場合に行う処置を指定する例を示します。

Console> (enable) set cam monitor low-threshold 500 action warning 3/1
Successfully configured cam monitor on 3/1
Console> (enable)

MAC アドレス モニタリングの上限しきい値の指定

MAC アドレス モニタリングの上限しきい値を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

MAC アドレス モニタリングの上限しきい値と、システムがこのしきい値を超過した場合に行う処置について指定します。上限しきい値の有効な範囲は 5 ~ 32000 です。

キーワードを指定した場合、上限しきい値を超過するとシステムはシステム メッセージを表示します。

set cam monitor high-threshold value [action {no-learn | shutdown | warning}] {mod/port | {mod/port vlan } | vlan}

 

次に、ポートの上限しきい値としきい値を超過した場合に行う処置を指定する例を示します。

Console> (enable) set cam monitor high-threshold 28000 action shutdown 3/1
Successfully configured cam monitor on 3/1
Console> (enable)

MAC アドレス モニタリング設定の消去

MAC アドレス モニタリングの設定を消去するには、特権モードで次の作業を行います。

 

作業
コマンド

MAC アドレス モニタリングの設定を消去します。

clear cam monitor mod/port | mod/port vlan | vlan

clear cam monitor all

clear cam monitor high-threshold mod/port | mod/port vlan | vlan

clear cam monitorlow-threshold mod/port | mod/port vlan | vlan

次に、ポート 3/1 上で上限しきい値を消去する例を示します。

Console> (enable) clear cam monitor high-threshold 3/1
Successfully cleared high-threshold on 3/1
 

次に、すべてのポートから CAM テーブル モニタリングおよび MAC アドレス モニタリング設定を消去する例を示します。

Console> (enable) clear cam monitor all
Cleared all cam monitor configuration
Console> (enable)

CAM モニタの設定の表示

CAM モニタの設定を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

CAM モニタの設定を表示します。

show cam monitor [mod/port | mod/port vlan | vlan | all]

次に、CAM モニタの設定を表示する例を示します。

Console> (enable) show cam monitor all
Cam monitor global configuration:
status : enabled
interval : 5 seconds
* = violation occured
 
Port Status Low Low High High No. of
Threshold Action Threshold Action mac addrs
------ -------- --------- -------- --------- -------- ---------
3/1 enabled 500 warning 32000 warning 0
4/2 enabled 500 warning* 32000 warning 0
 
Total port entries = 2
 
Console> (enable)

CAM モニタのグローバル設定の表示

グローバル CAM モニタの設定を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

CAM モニタのグローバル設定を表示します。

show cam monitor

Console> (enable) show cam monitor
Cam monitor global configuration:
status : enabled
interval : 5 seconds
Console> (enable)