Catalyst 3750 Metro スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)EY
ポートベースのトラフィック制御の設 定
ポートベースのトラフィック制御の設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

ポートベースのトラフィック制御の設定

ストーム制御の設定

ストーム制御の概要

ストーム制御のデフォルト設定

ストーム制御およびスレッシュホールド レベルの設定

保護ポートの設定

保護ポートのデフォルト設定

保護ポートの設定時の注意事項

保護ポートの設定

ポート ブロッキングの設定

ポート ブロッキングのデフォルト設定

インターフェイスでのフラッディング トラフィックのブロック

ポート セキュリティの設定

ポート セキュリティの概要

セキュアMACアドレス

セキュリティ違反

ポート セキュリティのデフォルト設定

設定時の注意事項

ポート セキュリティのイネーブル化と設定

ポート セキュリティ エージングのイネーブル化と設定

ポートベースのトラフィック制御設定の表示

ポートベースのトラフィック制御の設定

この章では、Catalyst 3750 Metroスイッチにポートベースのトラフィック制御機能を設定する方法について説明します。


) この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「ストーム制御の設定」

「保護ポートの設定」

「ポート ブロッキングの設定」

「ポート セキュリティの設定」

「ポートベースのトラフィック制御設定の表示」

ストーム制御の設定

ここでは、ストーム制御の設定および手順について説明します。

「ストーム制御の概要」

「ストーム制御のデフォルト設定」

「ストーム制御およびスレッシュホールド レベルの設定」

ストーム制御の概要

ストーム制御は、LAN上のトラフィックが、いずれかの物理インターフェイスのブロードキャスト、マルチキャスト、またはユニキャストのストームによって混乱しないようにします。LANストームは、パケットがLANにフラッディングした場合に発生するもので、過剰なトラフィックが生み出され、ネットワーク パフォーマンスが低下します。プロトコル スタックの実装やネットワーク構成でのエラーが、ストームの原因となります。

ストーム制御では、トラフィック アクティビティの測定に次のいずれかの方法を使用します。

ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックが使用できるポートの利用可能な総帯域幅のパーセンテージとしての帯域幅

ブロードキャスト、マルチキャスト、またはユニキャスト パケットが受信される、1秒あたりのパケット単位のトラフィック レート(Cisco IOS Release 12.2(25)EYまたはそれ以降)

ブロードキャスト、マルチキャスト、またはユニキャスト パケットが受信される、1秒あたりのビット単位のトラフィック レート(Cisco IOS Release 12.2(25)EYまたはそれ以降)

どの方法でも、上限スレッシュホールドに達すると、ポートはトラフィックをブロックします。トラフィック レートが下限スレッシュホールド(指定されている場合)以下になり通常の転送が再開されるまで、ポートはブロックされたままの状態になります。下限抑制レベルが指定されていない場合、トラフィック レートが上限抑制レベルを下回るまで、スイッチはすべてのトラフィックをブロックします。一般的に、レベルが高いほど、ブロードキャスト ストームに対する保護の効果が少なくなります。


) マルチキャスト トラフィックのストーム制御スレッシュホールドに達すると、Bridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)やCisco Discovery Protocol(CDP)フレームなどの制御トラフィックを除いて、すべてのマルチキャスト トラフィックがブロックされます。ただし、スイッチではOpen Shortest Path First(OSPF)などのルーティング アップデートと、正規のマルチキャスト データ トラフィックは区別されないため、両方のトラフィック タイプがブロックされます。


ストーム制御がイネーブルの場合、スイッチはインターフェイスからスイッチング バスへ流れるパケットをモニタし、そのパケットがユニキャスト、マルチキャスト、ブロードキャストのいずれであるかを判別します。スイッチは、受信したユニキャスト、マルチキャスト、またはブロードキャストの数を200ミリ秒以内のタイム インターバルでモニタし、あるタイプのトラフィックがスレッシュホールドに達すると、そのタイプのトラフィックを廃棄します。このスレッシュホールドは、ブロードキャスト(マルチキャストまたはユニキャスト)トラフィックが利用可能な総帯域幅に対する割合として指定します。

図24-1のグラフは、一定時間におけるインターフェイス上のブロードキャスト トラフィック パターンを示しています。この例は、マルチキャストおよびユニキャスト トラフィックにも適用できます。この例では、転送されているブロードキャスト トラフィックが、タイム インターバルT1~T2間およびT4~T5間で設定されたスレッシュホールドを上回っています。特定のトラフィックの量がスレッシュホールドを上回ると、そのタイプのすべてのトラフィックは次の一定時間にわたり、廃棄されます。したがって、ブロードキャスト トラフィックはT2およびT5のあとのインターバルではブロックされています。次のタイム インターバル(たとえばT3)では、ブロードキャスト トラフィックがスレッシュホールドを上回らなければ、再度転送されます。

図24-1 ブロードキャスト ストーム制御の例

 

ストーム制御抑制レベルと200ミリ秒のタイム インターバルの組み合わせにより、ストーム制御アルゴリズムの動作を制御します。スレッシュホールドが高いほど、通過できるパケットが多くなります。スレッシュホールドの値が100%であれば、トラフィックに対する制限はありません。値が0.0であれば、ポートのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがすべてブロックされます。


) パケットは均一の間隔で着信するわけではないため、トラフィック アクティビティを測定する200ミリ秒のタイム インターバルを設けることによって、ストーム制御の動作に影響を与える可能性があります。


スイッチは、ポートのトラフィックを引き続きモニタし、利用率がスレッシュホールド レベルを下回ると、廃棄されていたトラフィック タイプの転送を再開します。

各トラフィック タイプのスレッシュホールドの値を設定するには、 storm-control インターフェイス コンフィギュレーション コマンドを使用します。

ストーム制御のデフォルト設定

デフォルトでは、スイッチ インターフェイスでユニキャスト、ブロードキャスト、およびマルチキャスト ストーム制御はディセーブルです(抑制レベルは100%です)。

ストーム制御およびスレッシュホールド レベルの設定

ポート上でストーム制御を設定し、特定タイプのトラフィックに使用するスレッシュホールド レベルを入力します。

ただし、ハードウェアの制約や、さまざまなサイズのパケットがカウントされる動作のため、スレッシュホールドの割合には誤差が生じます。着信トラフィックを構成するパケットのサイズによっては、実際のスレッシュホールドは、数パーセント程度、設定されたレベルと異なる場合があります。

ストーム制御の設定の際は、次の注意事項に従ってください。

ストーム制御がサポートされるのは物理インターフェイスに限られます。EtherChannelポート チャネルまたはポート チャネルのメンバーである物理インターフェイスでは、CLIでコマンドが利用できても、サポートはされません。ストーム制御が設定された物理インターフェイスがEtherChannelに加入した場合、物理インターフェイスのストーム制御コンフィギュレーションは、実行中のコンフィギュレーションから削除されます。

スイッチがLabel Switching Router(LSR;ラベル スイッチング ルータ)として動作している場合、2つのenhanced-services(ES)ポート間のマルチプロトコル ラベル スイッチング(MPLS)トラフィックはカウントされません。

入口側階層型QoSサービス ポリシーがESポートに付加されている場合、サービス ポリシーで指定されるアクションは、ストーム制御が有効になる前に処理されます。設定したスレッシュホールドより高いレートでスイッチがトラフィックを受信している場合でも、ストーム制御アクションが実行されないように、サービス ポリシーのアクションで、トラフィックを受信するレートが減少させられることがあります。

特定タイプのストーム制御をイネーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、設定する物理インターフェイスのタイプおよび番号(たとえば、
gigabitethernet1/0/1 )を入力します。

ステップ 3

storm-control { broadcast | multicast | unicast } level { level [ level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ]}

ブロードキャスト、マルチキャスト、およびユニキャスト ストーム制御を設定します。デフォルトでは、ストーム制御はディセーブルになっています。

キーワードの意味は次のとおりです。

levelでは、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルを帯域幅のパーセンテージ(小数第2位まで)として指定します。上限スレッシュホールドに達すると、ポートはトラフィックをブロックします。指定できる範囲は 0.00~100.00 です。

(任意)level-lowでは、下限スレッシュホールド レベルを帯域幅のパーセンテージ(小数第2位まで)として指定します。 この値は、上限抑制値と等しいまたはそれ以下でなければなりません。 トラフィックがこのレベルを下回ったとき、ポートはトラフィックを転送します。下限抑制レベルを設定しない場合、上限抑制レベルと同じに設定されます。指定できる範囲は 0.00~100.00 です。

スレッシュホールドを最大値(100%)に設定すると、トラフィックの制限はなくなります。スレッシュホールドを0.0に設定すると、そのポートでのすべてのブロードキャスト、マルチキャスト、およびユニキャスト トラフィックがブロックされます。

bps bpsでは、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルをビット/秒(小数第1位まで)で指定します。上限スレッシュホールドに達すると、ポートはトラフィックをブロックします。指定できる範囲は 0.0~ 10000000000. 0 です。

(任意)bps-lowでは、下限スレッシュホールド レベルをビット/秒(小数第1位まで)で指定します。上限スレッシュホールド レベルと等しいかそれ以下にすることが可能です。トラフィックがこのレベルを下回ったとき、ポートはトラフィックを転送します。指定できる範囲は 0.0~ 10000000000.0です。

pps ppsでは、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルをパケット/秒(小数第1位まで)で指定します。上限スレッシュホールドに達すると、ポートはトラフィックをブロックします。指定できる範囲は 0.0~ 10000000000.0です。

(任意)pps-lowでは、下限スレッシュホールド レベルをパケット/秒(小数第1位まで)で指定します。上限スレッシュホールド レベルと等しいかそれ以下にすることが可能です。トラフィックがこのレベルを下回ったとき、ポートはトラフィックを転送します。指定できる範囲は 0.0~ 10000000000.0です。

BPSおよびPPS設定では、数値の大きいスレッシュホールドに対してk、m、およびgなどメトリックのサフィックスを使用できます。

ステップ 4

storm-control action { shutdown | trap }

ストームが検出されたときに実行するアクションを指定します。デフォルトは、トラフィックをフィルタリングしてトラップを送信しないアクションです。

ストームの際にポートをエラーディセーブルにするには、 shutdown キーワードを選択します。

ストームが検出されたときSNMPトラップを生成するには、 trap キーワードを選択します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

指定したトラフィック タイプについてインターフェイスに設定したストーム制御抑制レベルを確認します。トラフィック タイプを入力しなかった場合は、ブロードキャスト ストーム制御設定が表示されます。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ストーム制御をディセーブルにするには、 no storm-control { broadcast | multicast | unicast } level インターフェイス コンフィギュレーション コマンドを使用します。

次に、87%の上限抑制レベルおよび65%の下限抑制レベルが設定されたポート上でユニキャスト ストーム制御をイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# storm-control unicast level 87 65

保護ポートの設定

一部のアプリケーションでは、同一スイッチ上のポート間でトラフィックがレイヤ2で転送されないようにすることにより、あるネイバによって生成されたトラフィックを別のネイバが認識しないようにする必要があります。このような環境では、保護ポートを使用すれば、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換は行われません。

保護ポートには次のような機能があります。

保護ポートは、他の保護ポートにいかなるトラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)も転送しません。レイヤ2では、保護ポート間でトラフィックを転送できません。したがって、保護ポート間を流れるすべてのトラフィックは、レイヤ3デバイスを経由して転送する必要があります。

保護ポートと非保護ポート間の転送動作は、通常どおり行われます。

保護ポートのデフォルト設定

デフォルトでは、保護ポートは定義されていません。

保護ポートの設定時の注意事項

保護ポートは、物理インターフェイス(GigabitEthernet 1/0/1など)またはEtherChannelグループ(port-channel 5など)のいずれにも設定できます。特定のポート チャネルについて保護ポートをイネーブルにすると、ポート チャネル グループ内の全ポートで保護ポートがイネーブルになります。

プライベートVLANポートを保護ポートとして設定しないでください。また、保護ポートをプライベートVLANポートとして設定しないでください。プライベートVLAN隔離ポートは、別の隔離ポートまたはコミュニティ ポートにトラフィックを転送しません。プライベートVLANの詳細については、「プライベートVLANの設定」を参照してください。

保護ポートの設定

ポートを保護ポートとして定義するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、設定するインターフェイスのタイプおよび番号(たとえば、
gigabitethernet1/0/1 )を入力します。

ステップ 3

switchport protected

インターフェイスを保護ポートとして設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show interfaces interface-id switchport

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

保護ポートをディセーブルにするには、 no switchport protected インターフェイス コンフィギュレーション コマンドを使用します。

次に、インターフェイスを保護ポートとして設定する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport protected
Switch(config-if)# end

ポート ブロッキングの設定

デフォルトでは、宛先MAC(メディア アクセス制御)アドレスが不明のパケットは、すべてのポートからフラッディングされます。不明のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上の問題が発生することがあります。不明のユニキャストまたはマルチキャスト トラフィックがポート間で転送されないようにするため、不明のユニキャストまたはマルチキャスト パケットが他のポートにフラッディングされないようにポート(保護ポートまたは非保護ポート)をブロックできます。

ポート ブロッキングのデフォルト設定

デフォルトでは、ポートから送信される不明のマルチキャストおよびユニキャスト トラフィックのフラッディングはブロックされません。これらのトラフィックは、すべてのポートにフラッディングされます。

インターフェイスでのフラッディング トラフィックのブロック


) インターフェイスとして、物理インターフェイス(GigabitEthernet 1/0/1など)またはEtherChannelグループ(port-channel 5など)を指定できます。特定のポート チャネルのマルチキャストまたはユニキャスト トラフィックをブロックすると、ポート チャネル グループのすべてのポートでブロックされます。


インターフェイスから送信されるマルチキャストおよびユニキャスト パケットのフラッディングをディセーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、設定するインターフェイスのタイプおよび番号(たとえば、
gigabitethernet1/0/1 )を入力します。

ステップ 3

switchport block multicast

ポートからの不明マルチキャストの転送をブロックします。

ステップ 4

switchport block unicast

ポートからの不明ユニキャストの転送をブロックします。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show interfaces interface-id switchport

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

トラフィックがブロックされず、ポート上で標準転送が行われるデフォルト状態にインターフェイスを戻すには、 no switchport block { multicast | unicast }インターフェイス コンフィギュレーション コマンドを使用します。

次に、インターフェイス上でユニキャストおよびマルチキャスト フラッディングをブロックする例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch(config-if)# end

ポート セキュリティの設定

ポート セキュリティ機能を使用すると、ポートへのアクセスが許可されたステーションのMACアドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュア ポートにセキュアMACアドレスを割り当てると、ポートは、定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュアMACアドレスを1つに制限し、1つだけ割り当てると、そのポートに接続されたワークステーションでは、ポートの全帯域幅が保証されます。

セキュア ポートとして設定されたポートのセキュアMACアドレスが最大数に達した場合に、ポートにアクセスしようとするステーションのMACアドレスが、識別されたどのセキュアMACアドレスとも異なるときは、セキュリティ違反が発生します。また、あるセキュア ポートで設定または学習されたセキュアMACアドレスを持つステーションが別のセキュア ポートにアクセスしようとすると、違反のフラグが立てられます。

ここでは、ポート セキュリティの設定および手順について説明します。

「ポート セキュリティの概要」

「ポート セキュリティのデフォルト設定」

「設定時の注意事項」

「ポート セキュリティのイネーブル化と設定」

「ポート セキュリティ エージングのイネーブル化と設定」

ポート セキュリティの概要

ここでは、次の内容について説明します。

「セキュアMACアドレス」

「セキュリティ違反」

セキュアMACアドレス

1つのポートで許可されるセキュア アドレスの最大数を設定するには、 switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。


) インターフェイスにすでに設定されているセキュア アドレス数よりも小さい値を最大値に設定しようとすると、コマンドは拒否されます。


スイッチは、次のタイプのセキュアMACアドレスをサポートします。

スタティック セキュアMACアドレス ― switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定されます。これらはアドレス テーブルに格納され、スイッチの実行コンフィギュレーションに追加されます。

ダイナミック セキュアMACアドレス ― ダイナミックに設定されます。これらはアドレス テーブルにのみ格納され、スイッチが再起動するときに削除されます。

固定 セキュアMACアドレス ― ダイナミックに学習されるか、または手動で設定されます。これらはアドレス テーブルに格納され、実行コンフィギュレーションに追加されます。これらのアドレスがコンフィギュレーション ファイルに保存されている場合は、スイッチを再起動するときに、インターフェイスがアドレスをダイナミックに再設定する必要はありません。

固定学習 をイネーブルにすると、ダイナミックMACアドレスを固定セキュアMACアドレスに変換し、それらを実行コンフィギュレーションに追加するように、インターフェイスを設定することができます。固定学習をイネーブルにするには、 switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはすべてのダイナミック セキュアMACアドレス(固定学習がイネーブルになる前にダイナミックに学習されたアドレスを含む)を、固定セキュアMACアドレスに変換します。すべての固定セキュアMACアドレスが、実行コンフィギュレーションに追加されます。

固定セキュアMACアドレスは、コンフィギュレーション ファイル(スイッチの再起動時に使用されるスタートアップ コンフィギュレーション)に、自動的には格納されません。コンフィギュレーション ファイルに固定セキュアMACアドレスが保存されている場合は、スイッチを再起動するときに、インターフェイスはこれらのアドレスを再学習する必要がありません。固定セキュア アドレスは、保存しないと失われます。

固定学習がディセーブルの場合、固定セキュアMACアドレスはダイナミック セキュア アドレスに変換されて、実行コンフィギュレーションから削除されます。

スイッチに設定できるセキュアMACアドレスの最大数は、システムで許可されているMACアドレスの最大数によって決まります。この値は、アクティブなSwitch Database Management(SDM)テンプレートによって決まります。「SDMテンプレートの設定」を参照してください。この値は、使用可能なMACアドレス(その他のレイヤ2機能やインターフェイスに設定されたその他のセキュアMACアドレスで使用されるMACアドレスを含む)の総数を表します。

セキュリティ違反

セキュリティ違反とは、次のいずれかの状況が発生したときです。

セキュアMACアドレスが最大数までアドレス テーブルに追加され、アドレス テーブルにないMACアドレスを持つステーションが、インターフェイスにアクセスしようとした場合。

あるセキュア インターフェイスで学習または設定されたアドレスが、同一VLAN(仮想LAN)内の別のセキュア インターフェイスで認識された場合。

違反発生時の対処方法に関して、次の3つの違反モードのいずれかにインターフェイスを設定できます。

protect ― セキュアMACアドレスの数がポートに許容された最大限度に達した場合、十分な数のセキュアMACアドレスを削除して最大限度以下にするか、またはアドレスの最大許容数を増やすまで、不明の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反が起こっても、ユーザには通知されません。


) トランク ポートにはprotect違反モードを設定しないでください。protectモードを使用すると、ポートが最大限度に達していない場合でも、VLANが最大限度に達すると、学習がディセーブルになります。


restrict ― セキュアMACアドレスの数がポートに許容された最大限度に達した場合、十分な数のセキュアMACアドレスを削除して最大限度以下にするか、またはアドレスの最大許容数を増やすまで、不明の送信元アドレスを持つパケットは廃棄されます。このモードでは、セキュリティ違反が起こった場合、ユーザに通知されます。SNMP(簡易ネットワーク管理プロトコル)トラップが送信され、Syslogメッセージが記録されて、違反カウンタが増加します。

shutdown ― ポート セキュリティ違反が発生すると、インターフェイスはerrdisableステートになって、ただちにシャットダウンし、ポートLEDが消灯します。SNMPトラップが送信され、Syslogメッセージが記録されて、違反カウンタが増加します。セキュア ポートがerrdisableステートになった場合は、 errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを変更することができます。また、 shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力することにより、ポートを手動でイネーブルに戻すこともできます。デフォルトはこのモードに設定されています。

表24-1 に、違反モード、およびポート セキュリティのインターフェイスを設定した場合の動作を示します。

 

表24-1 セキュリティ違反モードの動作

違反モード
トラフィックの転送1
SNMPトラップの送信
Syslogメッセージの送信
エラー メッセージの表示2
違反カウンタの
増加
シャットダウン
ポート

protect

なし

なし

なし

なし

なし

なし

restrict

なし

あり

あり

なし

あり

なし

shutdown

なし

あり

あり

なし

あり

あり

1.送信元アドレスが不明なパケットは、十分な数のセキュアMACアドレスが削除されるまで、廃棄されます。

2.手動で設定したアドレスがセキュリティ違反の原因となる場合には、エラー メッセージが表示されます。

ポート セキュリティのデフォルト設定

表24-2 に、インターフェイスに対するポート セキュリティのデフォルト設定を示します。

 

表24-2 ポート セキュリティのデフォルト設定

機能
デフォルト設定

ポート セキュリティ

ポートでディセーブル

固定アドレス学習

ディセーブル

各ポートのセキュアMACアドレス最大数

1

違反モード

shutdown。セキュアMACアドレスの最大数を超過すると、ポートはシャットダウンします。

ポート セキュリティのエージング

ディセーブル。エージング タイムは0です。

スタティック エージングはディセーブルです。

タイプはabsoluteです。

設定時の注意事項

ポート セキュリティの設定時は、次の注意事項に従ってください。

ポート セキュリティを設定できるのは、スタティック アクセス ポートまたはトランク ポートに限られます。セキュア ポートはダイナミック アクセス ポートにできません。

セキュア ポートは、Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)の宛先ポートにできません。

セキュア ポートは、Fast EtherChannelやGigabit EtherChannelポート グループに属すことはできません。

音声VLANでは、スタティック セキュアMACアドレスまたは固定セキュアMACアドレスを設定できません。


) 音声VLANがサポートされるのは、アクセス ポートのみです。設定で許可されている場合でも、トランク ポートではサポートされません。


セキュア ポートはプライベートVLANポートにできません。

インターフェイス上でポート セキュリティをイネーブルにし、さらに音声VLANを使用するようにも設定する場合は、ポートで許可されるセキュア アドレスの最大数を、アクセスVLANで許可されているセキュア アドレスの最大数に2を加えた値に設定する必要があります。ポートがCisco IP Phoneに接続されている場合は、IP PhoneにMACアドレスが最大で2つ必要です。IP Phoneアドレスは音声VLAN上で学習されますが、アクセスVLAN上で学習される場合もあります。PCをIP Phoneに接続するには、さらにMACアドレスが必要になります。

アクセスVLAN上でいずれかのタイプのポート セキュリティがイネーブルの場合は、音声VLAN上でダイナミック ポート セキュリティが自動的にイネーブルになります。VLAN単位でポート セキュリティを設定することはできません。

固定セキュア ポートとして設定されたセキュア ポートに音声VLANが設定されている場合、音声VLANのすべてのアドレスはダイナミック セキュア アドレスとして学習されます。また、ポートが属するアクセスVLANで認識されるすべてのアドレスは、固定セキュア アドレスとして学習されます。

インターフェイスのセキュア アドレスの最大値として入力した値が古い値よりも大きい場合は、新しい値が古い設定値よりも優先します。新しい値が古い値よりも小さく、インターフェイスに設定されたセキュア アドレス数が新しい値を超えている場合、コマンドは拒否されます。

スイッチでは、固定セキュアMACアドレスのポート セキュリティ エージングをサポートしません。

ポート セキュリティのイネーブル化と設定

ポートへのアクセスが許可されたステーションのMACアドレスを制限および識別する方法でインターフェイスへの入力を制限するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、設定する物理インターフェイス(たとえば、 gigabitethernet1/0/1 )を入力します。

ステップ 3

switchport mode { access | trunk }

インターフェイス スイッチポート モードをaccessまたはtrunkに設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。

ステップ 4

switchport port-security

インターフェイスでポート セキュリティをイネーブルにします。

ステップ 5

switchport port-security maximum value [ vlan [ vlan-list ]]

(任意)インターフェイスについてセキュアMACアドレスの最大数を設定します。スイッチに設定できるセキュアMACアドレスの最大数は、システムで許可されているMACアドレスの最大数によって決まります。この値は、アクティブなSDMテンプレートによって決まります。「SDMテンプレートの設定」を参照してください。この値は、使用可能なMACアドレス(その他のレイヤ2機能やインターフェイスに設定されたその他のセキュアMACアドレスで使用されるMACアドレスを含む)の総数を表します。

(任意)トランク ポートの場合は、VLANにセキュアMACアドレスの最大数を設定できます。 vlan キーワードを入力しない場合は、デフォルト値が使用されます。

vlan ― VLAN単位の最大値を設定します。

vlan vlan-list ― VLAN範囲(ハイフンで区切る)または一連のVLAN(カンマで区切る)に関するVLAN単位の最大値を設定します。指定されないVLANについては、VLAN単位の最大値が使用されます。

ステップ 6

switchport port-security violation { protect | restrict | shutdown }

(任意)違反モード(セキュリティ違反検出時の対処方法)を次のいずれかで設定します。

protect ― セキュアMACアドレスの数がポートの最大許容値に達した場合、十分な数のセキュアMACアドレスを削除して最大限度以下にするか、または使用可能な最大アドレス数を増加させるまで、不明の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反が起こっても、ユーザには通知されません。


) トランク ポートにはprotectモードを設定しないでください。protectモードを使用すると、ポートが最大限度に達していない場合でも、VLANが最大限度に達すると、学習がディセーブルになります。


restrict ― セキュアMACアドレスの数がポートの許容限度に達した場合、十分な数のセキュアMACアドレスを削除するか、またはアドレスの最大許容数を増加させるまで、不明の送信元アドレスを持つパケットは廃棄されます。SNMPトラップが送信され、Syslogメッセージが記録されて、違反カウンタが増加します。

shutdown ― セキュリティ違反が発生すると、インターフェイスがerrdisableステートになり、ポートLEDが消灯します。SNMPトラップが送信され、Syslogメッセージが記録されて、違反カウンタが増加します。


) セキュア ポートがerrdisableステートになった場合は、
errdisable recovery cause psecure-violationグローバル コンフィギュレーション コマンドを使用することにより、ステートを変更することができます。また、shutdownおよびno shut downインターフェイス コンフィギュレーション コマンドを入力することにより、手動でポートをイネーブルに戻すこともできます。


 

ステップ 7

switchport port-security mac-address mac-address [ vlan vlan-id ]

(任意)インターフェイスのセキュアMACアドレスを入力します。このコマンドを使用してセキュアMACアドレスの最大数を入力できます。最大数より少ないセキュアMACアドレス数を設定すると、残りのMACアドレスはダイナミックに学習されます。

(任意)トランク ポートでは、VLAN IDおよびMACアドレスを指定できます。VLAN IDを指定しないと、ネイティブVLANが使用されます。


) このコマンドを入力したあとに固定学習をイネーブルにすると、ダイナミックに学習されたセキュア アドレスが固定セキュアMACアドレスに変換されて、実行コンフィギュレーションに追加されます。


 

ステップ 8

switchport port-security mac-address sticky

(任意)インターフェイスで固定学習をイネーブルにします。

ステップ 9

switchport port-security mac-address sticky mac-address

(任意)固定セキュアMACアドレスを入力します。必要に応じて、このコマンドを繰り返し入力します。設定したセキュアMACアドレス数が最大値より小さい場合、残りのMACアドレスはダイナミックに学習され、固定セキュアMACアドレスに変換され、実行コンフィギュレーションに追加されます。


) このコマンドを入力する前に固定学習をイネーブルにしておかないと、エラー メッセージが表示され、固定セキュアMACアドレスを入力できません。


 

ステップ 10

end

イネーブルEXECモードに戻ります。

ステップ 11

show port-security

設定を確認します。

ステップ 12

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイスをデフォルトの非セキュア ポートに戻すには、 no switchport port-security インターフェイス コンフィギュレーション コマンドを使用します。固定学習がイネーブルの場合にこのコマンドを入力すると、固定学習アドレスは実行コンフィギュレーション内に残りますが、アドレス テーブルからは削除されます。ここで、すべてのアドレスがダイナミックに学習されます。

インターフェイスのセキュアMACアドレス数をデフォルトに戻すには、 no switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。違反モードをデフォルトのshutdownモードに戻すには、 no switchport port-security violation { protocol | restrict }インターフェイス コンフィギュレーション コマンドを使用します。

固定学習をディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを実行します。インターフェイスは固定セキュアMACアドレスをダイナミック セキュア アドレスに変換します。ただし、固定MACアドレスを含む設定がすでに保存されている場合は、 no switchport port-security mac-address sticky コマンドを入力したあとに再び設定を保存する必要があります。保存しない場合スイッチを再起動すると固定アドレスが復元されます。

アドレス テーブルから特定のセキュアMACアドレスを削除するには、 no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用します。

アドレス テーブルから特定のインターフェイスに関するダイナミック セキュア アドレスを削除するには、 no switchport port-security インターフェイス コンフィギュレーション コマンドのあとに、 switchport port-security コマンドを入力して、インターフェイスのポート セキュリティをイネーブルに戻します。 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用して、固定セキュアMACアドレスをダイナミック セキュアMACアドレスに変換してから、 no switchport port-security コマンドを入力すると、手動で設定されたセキュア アドレスを除き、インターフェイス上のすべてのセキュア アドレスが削除されます。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、アドレス テーブルから設定済みのセキュアMACアドレスを削除する必要があります。

次に、インターフェイス上でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を50に設定する例を示します。違反モードはデフォルト設定、スタティック セキュアMACアドレスは設定なし、固定学習はイネーブルにします。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
 

次に、インターフェイスにVLAN 3のスタティック セキュアMACアドレスを設定する例を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 0000.02000.0004 vlan 3

ポート セキュリティ エージングのイネーブル化と設定

ポート セキュリティ エージングを使用すると、ポート上の全セキュア アドレスにエージング タイムを設定できます。ポートごとに2種類のエージングがサポートされています。

absolute ― ポートのセキュア アドレスは、指定のエージング タイムの経過後、削除されます。

inactivity ― ポートのセキュア アドレスが削除されるのは、指定したエージング タイムの間、そのセキュア アドレスが非アクティブであった場合だけです。

この機能を使用すると、既存のセキュアMACアドレスを手動で削除しなくても、セキュア ポートでデバイスの削除や追加を実行でき、しかもポートのセキュア アドレスの数を制限することができます。また、セキュア アドレスのエージングをポート単位でイネーブルまたはディセーブルに設定することができます。

ポート セキュリティのエージング タイムを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

ポート セキュリティ エージングをイネーブルにするポートについて、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport port-security aging { static | time time | type { absolute | inactivity} }

セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにするか、またはエージング タイムまたはタイプを設定します。


) スイッチでは、固定セキュア アドレスのポート セキュリティ エージングをサポートしません。


このポートで、スタティックに設定されたセキュア アドレスのエージングをイネーブルにする場合は、 static を入力します。

time には、このポートのエージング タイムを指定します。指定できる範囲は1~1440分です。

type には、次のキーワードのいずれかを1つ選択します。

absolute ― エージング タイプをabsoluteに設定します。このポートのセキュア アドレスはすべて、指定した時間(分単位)が経過すると期限切れになり、セキュア アドレス リストから削除されます。

inactivity ― エージング タイプをinactivityに設定します。このポートのセキュア アドレスが期限切れになるのは、指定した時間中にセキュア送信元アドレスからのデータ トラフィックを受信しなかった場合だけです。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port-security [ interface interface-id ] [ address ]

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。スタティックに設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用します。

次に、インターフェイス上でセキュア アドレスのエージング タイムを2時間に設定する例を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport port-security aging time 120
 

次に、このインターフェイスに設定されたセキュア アドレスのエージングをイネーブルにし、エージング タイプをinactivityに、エージング タイムを2分に設定する例を示します。

Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static
 

設定したコマンドを確認するには、 show port-security interface interface-id イネーブルEXECコマンドを入力します。

ポートベースのトラフィック制御設定の表示

show interfaces interface-id switchport イネーブルEXECコマンドを使用すると、(各種の特性とともに)インターフェイスのトラフィック抑制および制御の設定が表示されます。 show storm-control および show port-security イネーブルEXECコマンドを使用すると、それぞれストーム制御とポート セキュリティ設定が表示されます。

トラフィック制御情報を表示するには、 表24-3 に示すイネーブルEXECコマンドを1つまたは複数使用します。

 

表24-3 トラフィック制御のステータスおよび設定表示用のコマンド

コマンド
説明

show interfaces [interface-id] switchport

すべてのスイッチング(非ルーティング)ポートまたは指定したポートについて、管理ステータスまたは動作ステータスを表示します(ポート ブロッキング、ポート保護設定など)。

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

すべてのインターフェイスまたは指定したインターフェイスについて、指定したトラフィック タイプ(指定されていない場合はブロードキャスト トラフィック)のストーム制御抑制レベルを表示します。

show port-security [ interface interface-id ]

スイッチまたは指定したインターフェイスのポートのセキュリティ設定を表示します。各インターフェイスのセキュアMACアドレスの最大数、インターフェイスのセキュアMACアドレス数、発生したセキュリティ違反数、違反モードなどが含まれます。

show port-security [ interface interface-id ] address

すべてのスイッチ インターフェイスまたは指定したインターフェイスについて、設定されたすべてのセキュアMACアドレスと、各アドレスのエージング情報を表示します。

show port-security interface interface-id vlan

指定したインターフェイスのVLANごとに設定されたセキュアMACアドレス数を表示します。