Microsoft Hyper-V 向け Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド、リリース 5.x
ポート セキュリティの設定
ポート セキュリティの設定

目次

ポート セキュリティの設定

この章の内容は、次のとおりです。

ポート セキュリティの概要

ポート セキュリティを使用すると、限定されたセキュア MAC アドレス セットからのインバウンド トラフィックを許可するレイヤ 2 インターフェイスを設定できます。セキュアな MAC アドレスからのトラフィックは、同じ VLAN 内の別のインターフェイス上では許可されません。「セキュア」にできる MAC アドレスの数は、インターフェイス単位で設定します。

セキュア MAC アドレスの学習

次の情報で、セキュア MAC アドレスの学習について説明します。
  • MAC アドレスは学習というプロセスによってセキュア アドレスになります。

  • 学習できるアドレスの数には制限があります。

  • アドレス学習は、ポート セキュリティがイネーブルになっているインターフェイスで実行することができます。

スタティック方式

  • スタティック学習方式では、ユーザが手動でインターフェイスの実行コンフィギュレーションにセキュア MAC アドレスを追加したり、設定から削除したりできます。実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、デバイスを再起動してもスタティック セキュア MAC アドレスが保持されます。

  • スタティック セキュア MAC アドレスのエントリは、インターフェイスの設定から明示的に削除するまで、設定内に維持されます。

  • スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。

ダイナミック方式

デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。

デバイスは、ダイナミック セキュア MAC アドレスをメモリに保存します。ダイナミック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。

  • VSM と VEM が再起動した場合。

  • インターフェイスが再起動した場合。

  • アドレスが、ユーザによって設定されたインターフェイスのエージング期限に達した場合。

  • ユーザがアドレスを明示的に削除した場合。

スティッキ方式

  • スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにします。これらのアドレスは、copy run start コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、再起動後も維持することができます。

  • ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。あるインターフェイスのスティッキ学習をイネーブルにすると、ダイナミック学習が停止されて、代わりにスティッキ学習が使用されます。スティッキ学習をディセーブルにすると、ダイナミック学習が再開されます。

  • スティッキ セキュア MAC アドレスはエージングされません。

  • スティッキ セキュア MAC アドレスのエントリは、そのアドレスを明示的に削除するまで、インターフェイスの設定内に維持されます。

ダイナミック アドレスのエージング

ダイナミック方式で学習された MAC アドレスはエージングされ、エージングの期限に達するとドロップされます。エージングの期限は、インターフェイスごとに設定できます。有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。

アドレス エージングの判断には、2 つの方法があります。

  • 非アクティブ:適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。

  • 絶対時間:デバイスがアドレスを学習して以降の経過時間。これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。

セキュア MAC アドレスの最大数

セキュア ポート上のセキュア MAC アドレスは、他の標準的な MAC アドレスと同じ MAC アドレス テーブルに挿入されます。MAC テーブルの上限に達すると、その VLAN に対する新しいセキュア MAC アドレスの学習は行われなくなります。

次の図で示すように、VEM の各 VLAN には、セキュア MAC アドレスを最大数まで保存できる転送テーブルがあります。

図 1. VEM あたりのセキュア MAC アドレス

インターフェイスのセキュア MAC アドレス

デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。

インターフェイス 1 つあたりの許容されるセキュア MAC アドレスの数は、次の制限値によって決定されます。

  • デバイスの最大数:デバイスが許容できるセキュア MAC アドレスの最大数は 24,000 です。この値は変更できません。新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。

  • インターフェイスの最大数:ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数を設定できます。デフォルトのインターフェイスの最大アドレス数は、アクセス ポートとトランク vEthernet ポートの両方で 1 つです。インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。

  • VLAN の最大数:ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。VLAN の最大数を、インターフェイスの最大数より大きくすることはできません。VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。VLAN の最大数には、デフォルト値はありません。

インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用されるセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。

セキュリティ違反と処理

のいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。

  • あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合

    あるインターフェイスに VLAN とインターフェイスの両方の最大数が設定されている場合は、どちらかの最大数を超えると、違反が発生します。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。

    • VLAN 1 の最大アドレス数は 5 です。

    • このインターフェイスの最大アドレス数は 10 です。

    次のいずれかが発生すると、違反が検出されます。

    • VLAN 1 のアドレスが 5 つ学習されていて、6 番めのアドレスからのインバウンド トラフィックが VLAN 1 のインターフェイスに着信した場合

    • このインターフェイス上のアドレスが 10 個学習されていて、11 番めのアドレスからのインバウンド トラフィックがこのインターフェイスに着信した場合

  • あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合

    (注)  


    特定のセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同一 VLAN 上の別のポートでポート セキュリティがセキュア MAC アドレスを検出したときに発生する一連のイベントは、MAC 移動違反と呼ばれます。


インターフェイス上でセキュリティ違反が発生したときは、そのインターフェイスのポート セキュリティ設定で指定されている処理が適用されます。デバイスが実行できる処理は次のとおりです。
  • シャットダウン:違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。このインターフェイスはエラー ディセーブル状態になります。これがデフォルトの処理です。インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。

    シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。

    switch(config)# errdisable recovery cause psecure-violation
    switch(config)# copy running-config startup-config
  • 保護:違反の発生を防止します。インターフェイスの最大 MAC アドレス数に到達するまでアドレス学習を継続し、到達後はそのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレス以外のアドレスからの入力トラフィックをすべてドロップします。

  • 制限:違反の発生を防止します。インターフェイスの最大 MAC アドレス数に到達するまでアドレス学習を継続し、到達後はそのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレス以外のアドレスからの入力トラフィックをすべてドロップし、Security Violation カウンタを増分させます。

ポート セキュリティとポート タイプ

ポート セキュリティを設定できるのは、レイヤ 2 インターフェイスだけです。各種のインターフェイスまたはポートとポート セキュリティについて次に詳しく説明します。

  • アクセス ポート:レイヤ 2 アクセス ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートでポート セキュリティが適用されるのは、アクセス VLAN だけです。

  • トランク ポート:レイヤ 2 トランク vEth ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートには、VLAN 最大数を設定しても効果はありません。デバイスが VLAN 最大数を適用するのは、トランク ポートに関連付けられた VLAN だけです。

  • SPAN ポート:SPAN 送信元ポートにはポート セキュリティを設定できますが、SPAN 宛先ポートには設定できません。

  • イーサネット ポート:ポート セキュリティはイーサネット ポートではサポートされません。

  • イーサネット ポート チャネル:イーサネット ポート チャネルでは、ポート セキュリティはサポートされていません。

アクセス ポートからトランク ポートへの変更による影響

レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。デバイスは、スタティック方式またはスティッキ方式で学習したアドレスをネイティブ トランク VLAN に移行します。

トランク ポートからアクセス ポートへの変更による影響

レイヤ 2 インターフェイスをトランク ポートからアクセス ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。ネイティブ トランク VLAN でスティッキ方式で学習されたアドレスはすべて、アクセス VLAN に移行されます。ネイティブ トランク VLAN でない場合、スティッキ方式で学習されたセキュア アドレスはドロップされます。

ポート セキュリティの注意事項と制約事項

  • ポート セキュリティは、次でサポートされていません。

    • イーサネット インターフェイス

    • イーサネット ポートチャネル インターフェイス

    • スイッチド ポート アナライザ(SPAN)の宛先ポート

  • ポート セキュリティは、すでにスタティック MAC アドレスを持つインターフェイスでは設定できません。

  • VLAN にスタティック MAC アドレスがすでに存在する場合、それが別のインターフェイスでプログラムされている場合でも、その VLAN のインターフェイスでポート セキュリティをイネーブルにすることはできません。

ポート セキュリティのデフォルト設定

パラメータ

デフォルト

インターフェイス

ディセーブル

MAC アドレス ラーニング方式

ダイナミック

セキュア MAC アドレスのインターフェイス最大数

1

セキュリティ違反時の処理

シャットダウン

ポート セキュリティの設定

レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化

レイヤ 2 インターフェイスに対してポート セキュリティ機能のイネーブル化またはディセーブル化が可能です。

デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。

インターフェイスのポート セキュリティをイネーブルにすると、MAC アドレスのダイナミック学習もイネーブルになります。

はじめる前に
  • CLI に EXEC モードでログインします。

手順
     コマンドまたはアクション目的
    ステップ 1switch# configure terminal 

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2switch(config)# interface type number 

    指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 3switch(config-if)# [no] switchport port-security 

    インターフェイス上でポート セキュリティをイネーブルにします。

    no オプションを使用すると、そのインターフェイスのポート セキュリティがディセーブルになります。

     
    ステップ 4switch(config-if)# show port-security address interface vethernet number  (任意)

    インターフェイス上の学習されたセキュア MAC アドレスを表示します。

     
    ステップ 5switch(config-if)# show port-security interface vethernet number  (任意)

    インターフェイス上のポート セキュリティの設定を表示します。

     
    ステップ 6switch(config-if)# show running-config port-security  (任意)

    ポート セキュリティの設定を表示します。

     
    ステップ 7switch(config-if)# copy running-config startup-config  (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    次に、レイヤ 2 インターフェイスのポート セキュリティをイネーブルにする例を示します。

    switch# configure terminal
    switch(config)# interface vethernet 36
    switch(config-if)# switchport port-security
    switch(config-if)# show running-config port-security
    interface Vethernet36
    switchport port-security
    switch(config-if)# show port-security address interface vethernet 36
    Secure Mac Address Table
    ----------------------------------------------------------------------
    Vlan Mac Address Type Ports Configured Age
    (mins)
    ---- ----------- ------ ----- ---------------
    2303 0050.5687.3C68 DYNAMIC Vethernet36 0
    ----------------------------------------------------------------------
    switch(config-if)# show port-security interface vethernet 36
    Port Security : Enabled
    Port Status : Secure UP
    Violation Mode : Shutdown
    Aging Time : 0 mins
    Aging Type : Absolute
    Maximum MAC Addresses : 1
    Total MAC Addresses : 1
    Configured MAC Addresses : 0
    Sticky MAC Addresses : 0
    Security violation count : 0
    
    switch(config-if)# copy running-config startup-config
    

    スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化

    スティッキ MAC アドレス ラーニングをイネーブルまたはディセーブルにすることができます。

    ダイナミック MAC アドレス ラーニングがインターフェイスのデフォルトです。

    デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。

    はじめる前に
    • CLI に EXEC モードでログインします。

    • 設定するインターフェイスのポート セキュリティをイネーブルにします。

    手順
       コマンドまたはアクション目的
      ステップ 1switch# configure terminal 

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2switch(config)# interface type number 

      指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 3switch(config-if)# [no] switchport port-security mac-address sticky 

      そのインターフェイスのスティッキ MAC アドレス ラーニングをイネーブルにします。

      no オプションを使用すると、スティッキ MAC アドレス ラーニングがディセーブルになります。

       
      ステップ 4switch(config-if)# show port-security address interface vethernet number  (任意)

      インターフェイス上の学習されたセキュア MAC アドレスを表示します。

       
      ステップ 5switch(config-if)# show port-security interface vethernet number  (任意)

      インターフェイス上のポート セキュリティの設定を表示します。

       
      ステップ 6switch(config-if)# show running-config port-security  (任意)

      ポート セキュリティの設定を表示します。

       
      ステップ 7switch(config-if)# copy running-config startup-config  (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      次に、スティッキ MAC アドレス ラーニングをイネーブルにする例を示します。

      switch(config)# interface Vethernet36
      switch(config-if)# switchport port-security
      switch(config-if)# switchport port-security mac-address sticky
      switch(config-if)# switchport port-security mac-address 0050.5687.3C4B
      switch(config)# show running-config port-security
      interface Vethernet36
      switchport port-security
      switchport port-security mac-address sticky
      switchport port-security mac-address 0050.5687.3C4B
      switch(config)# show port-security address interface vethernet 36
      Secure Mac Address Table
      ----------------------------------------------------------------------
      Vlan Mac Address Type Ports Configured Age
      (mins)
      ---- ----------- ------ ----- ---------------
      2304 0050.5687.3C4B STICKY Vethernet36 0
      ----------------------------------------------------------------------
      
      

      インターフェイスのスタティック セキュア MAC アドレスの追加

      インターフェイスにスタティック セキュア MAC アドレスを追加できます。

      はじめる前に

      この手順を開始する前に、次のことを確認してください。

      • CLI に EXEC モードでログインしていること。

      • インターフェイスのセキュア MAC アドレス最大数に達しているかどうかを確認していること。show port-security コマンドを使用できます。

      • 設定するインターフェイスのポート セキュリティがイネーブルであること。

      • デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。

      手順
         コマンドまたはアクション目的
        ステップ 1switch# configure terminal 

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2switch(config)# interface type number 

        指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 3switch(config-if)# [no] switchport port-security mac-address address [vlanvlan-ID] 

        現在のインターフェイスのポート セキュリティにスタティック MAC アドレスを設定します。そのアドレスからのトラフィックを許可する VLAN を指定する場合は、vlan キーワードを使用します。

         
        ステップ 4switch(config-if)# show port-security address interface vethernet number  (任意)

        インターフェイス上の学習されたセキュア MAC アドレスを表示します。

         
        ステップ 5switch(config-if)# show port-security interface vethernet number  (任意)

        インターフェイス上のポート セキュリティの設定を表示します。

         
        ステップ 6switch(config-if)# show running-config port-security  (任意)

        ポート セキュリティの設定を表示します。

         
        ステップ 7switch(config-if)# copy running-config startup-config  (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        次に、インターフェイスにスタティック セキュア MAC アドレスを追加する例を示します。

        switch# configure terminal
        switch(config)# interface vethernet 36
        switch(config-if)# switchport port-security mac-address 0019.D2D0.00AE
        switch(config)# show running-config port-security
        interface Vethernet36
        switchport port-security
        switchport port-security maximum 5
        switchport port-security mac-address 0019.D2D0.00AE
        switch(config)# show port-security address interface vethernet 36
        Secure Mac Address Table
        ----------------------------------------------------------------------
        Vlan Mac Address Type Ports Configured Age
        (mins)
        ---- ----------- ------ ----- ---------------
        2304 0019.D2D0.00AE STATIC Vethernet36 0
        2304 0050.5687.3C4B DYNAMIC Vethernet36 0
        ----------------------------------------------------------------------
        VLAN MAC Address Type Age Port Mod
        switch(config-if)# copy running-config startup-config
        
        

        インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除

        レイヤ 2 インターフェイスからスタティック方式またはスティッキ方式のセキュア MAC アドレスを削除するには、次の手順を実行します。

        はじめる前に

        この手順を開始する前に、次のことを確認してください。

        • CLI に EXEC モードでログインしていること。

        • 設定するインターフェイスのポート セキュリティがイネーブルであること。

        手順
           コマンドまたはアクション目的
          ステップ 1switch# configure terminal 

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2switch(config)# interface type number 

          指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

           
          ステップ 3switch(config-if)# no switchport port-security mac-address address 

          現在のインターフェイスのポート セキュリティから MAC アドレスを削除します。

           
          ステップ 4switch(config-if)# show port-security address interface vethernet number  (任意)

          インターフェイス上の学習されたセキュア MAC アドレスを表示します。

           
          ステップ 5switch(config-if)# show port-security interface vethernet number  (任意)

          インターフェイス上のポート セキュリティの設定を表示します。

           
          ステップ 6switch(config-if)# show running-config port-security  (任意)

          ポート セキュリティの設定を表示します。

           
          ステップ 7switch(config-if)# copy running-config startup-config  (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          次に、現在のインターフェイスのポート セキュリティから MAC アドレスを削除する例を示します。

           
          switch(config-if)# interface Vethernet36
          switch(config-if)# switchport port-security
          switch(config-if)# switchport port-security maximum 5
          switch(config-if)# show port-security address interface vethernet 36
          Secure Mac Address Table
          ----------------------------------------------------------------------
          Vlan Mac Address Type Ports Configured Age
          (mins)
          ---- ----------- ------ ----- ---------------
          2303 0050.5687.1111 STATIC Vethernet36 0
          2303 0050.5687.3C4B DYNAMIC Vethernet36 0
          ----------------------------------------------------------------------
          switch(config-if)# no switchport port-security mac-address 0050.5687.1111
          
          switch(config-if)# show port-security address interface vethernet 36
          Secure Mac Address Table
          ----------------------------------------------------------------------
          Vlan Mac Address Type Ports Configured Age
          (mins)
          ---- ----------- ------ ----- ---------------
          2303 0050.5687.3C4B DYNAMIC Vethernet36 0
          ----------------------------------------------------------------------
          
          

          ダイナミック セキュア MAC アドレスの削除

          ダイナミック方式で学習された特定のアドレス、または特定のインターフェイスでダイナミックに学習されたすべてのアドレスを削除するには、この手順を使用します。


          (注)  


          ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown コマンドを使用して、インターフェイスを再起動します。


          はじめる前に

          この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

          手順
             コマンドまたはアクション目的
            ステップ 1switch# configure terminal 

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2switch(config)# clear port-security dynamic {interface vethernet number | address address} [vlan vlan-ID] 

            ダイナミックに学習されたセキュア MAC アドレスを削除します。次の方法で指定できます。

            次のキーワードと引数があります。

            • interface:指定したインターフェイスでダイナミックに学習されたアドレスがすべて削除されます。

            • address:ダイナミックに学習された指定の単一アドレスが削除されます。

            • vlan:特定の VLAN のアドレスが削除されます。

             
            ステップ 3switch(config)# show port-security address  (任意)

            セキュア MAC アドレスを表示します。

             

            次に、ダイナミックに学習されたセキュア MAC アドレスを削除する例を示します。

             switch(config)# show port-security address interface vethernet 36
            Secure Mac Address Table
            ----------------------------------------------------------------------
            Vlan Mac Address Type Ports Configured Age
            (mins)
            ---- ----------- ------ ----- ---------------
            2303 0000.1111.2224 STATIC Vethernet36 0
            2303 0050.5687.3C4B DYNAMIC Vethernet36 0
            ----------------------------------------------------------------------
            switch(config)# clear port-security dynamic interface vethernet 36
            switch(config)# show port-security address interface vethernet 36
            Secure Mac Address Table
            ----------------------------------------------------------------------
            Vlan Mac Address Type Ports Configured Age
            (mins)
            ---- ----------- ------ ----- ---------------
            2303 0000.1111.2224 STATIC Vethernet36 0
            ----------------------------------------------------------------------
            
            

            MAC アドレスの最大数の設定

            レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。設定できる最大アドレス数は 4096 です。

            セキュア MAC アドレスは、レイヤ 2 転送テーブル(L2FT)を共有します。各 VLAN の転送テーブルには最大 1024 エントリを保持できます。

            デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。

            VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。

            ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown コマンドを使用して、インターフェイスを再起動します。


            (注)  


            インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、コマンドは拒否されます。


            はじめる前に
            • CLI に EXEC モードでログインします。

            • 設定するインターフェイスのポート セキュリティをイネーブルにします。

            手順
               コマンドまたはアクション目的
              ステップ 1switch# configure terminal 

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2switch(config)# interface type number 

              指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 3switch(config-if)# [no] switchport port-security maximum number [vlan vlan-ID] 

              現在のインターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定します。number の最大値は 4096 です。no オプションを使用すると、MAC アドレスの最大数がデフォルト値(1)にリセットされます。

              最大数を適用する VLAN を指定する場合は、vlan キーワードを使用します。

               
              ステップ 4switch(config-if)# show port-security address interface vethernet number 

              インターフェイス上の学習されたセキュア MAC アドレスを表示します。

               
              ステップ 5switch(config-if)# show port-security interface vethernet number 

              インターフェイス上のポート セキュリティの設定を表示します。

               
              ステップ 6switch(config-if)# show running-config port-security  (任意)

              ポート セキュリティの設定を表示します。

               
              ステップ 7switch(config-if)# copy running-config startup-config  (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

              (注)     

              VLAN ID 設定はアクセス ポートではサポートされておらず、トランク ポートにのみ適用できます。

               

              次に、MAC アドレスの最大数を設定する例を示します。

              switch(config-if)# interface Vethernet36
              switch(config-if)# switchport port-security
              switch(config-if)# switchport port-security maximum 425
              switch(config-if)# show port-security interface vethernet 36
              Port Security : Enabled
              Port Status : Secure UP
              Violation Mode : Shutdown
              Aging Time : 0 mins
              Aging Type : Absolute
              Maximum MAC Addresses : 425
              Total MAC Addresses : 1
              Configured MAC Addresses : 0
              Sticky MAC Addresses : 0
              Security violation count : 0
              switch(config-if)# show running-config port-security
              interface Vethernet36
                switchport port-security
                switchport port-security maximum 425
              

              アドレス エージングのタイプと期間の設定

              ダイナミック方式で学習された MAC アドレスがエージング期限に到達したかどうかを判断するために使用される、MAC アドレス エージングのタイプと期間を設定することができます。

              アドレス エージングを判断する方法は 2 つあります。

              • 非アクティブ:適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。

              • 絶対時間:デバイスがアドレスを学習して以降の経過時間。これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。

              はじめる前に

              この手順を開始する前に、次のことを確認してください。

              • CLI に EXEC モードでログインしていること。

              • 設定するインターフェイスのポート セキュリティがイネーブルであること。

              • デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。

              • デフォルトのエージング タイプは絶対エージングです。

              手順
                 コマンドまたはアクション目的
                ステップ 1switch# configure terminal 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2switch(config)# interface type number 

                指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 3switch(config-if)# [no] switchport port-security aging type {absolute | inactivity} 

                ダイナミックに学習された MAC アドレスにデバイスが適用するエージング タイプを設定します。no オプションを使用すると、エージング タイプがデフォルト値(絶対エージング)にリセットされます。

                 
                ステップ 4switch(config-if)# [no] switchport port-security aging time minutes 

                ダイナミックに学習された MAC アドレスがドロップされるまでのエージング タイムを分単位で設定します。minutes の最大値は 1440 です。no オプションを使用すると、エージング タイムがデフォルト値である 0(エージングはディセーブル)にリセットされます。

                 
                ステップ 5switch(config-if)# show port-security address interface vethernet number  (任意)

                インターフェイス上の学習されたセキュア MAC アドレスを表示します。

                 
                ステップ 6switch(config-if)# show port-security interface vethernet number  (任意)

                インターフェイス上のポート セキュリティの設定を表示します。

                 
                ステップ 7switch(config-if)# show running-config port-security  (任意)

                ポート セキュリティの設定を表示します。

                 
                ステップ 8switch(config-if)# copy running-config startup-config  (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                次に、アドレス エージングのタイプと期間を設定する例を示します。

                switch(config-if)# show running-config port-security
                interface Vethernet36
                  switchport port-security
                  switchport port-security aging type inactivity
                  switchport port-security aging time 120
                switch(config-if)# interface Vethernet36
                switch(config-if)# switchport port-security
                switch(config-if)# switchport port-security aging type inactivity
                switch(config-if)# switchport port-security aging time 120
                switch(config-if)# show port-security address interface vethernet 36
                Secure Mac Address Table
                ----------------------------------------------------------------------
                Vlan Mac Address Type Ports Configured Age
                (mins)
                ---- ----------- ------ ----- ---------------
                2304 0050.5687.3C4B DYNAMIC Vethernet36 120
                ----------------------------------------------------------------------
                switch(config-if)# show port-security interface vethernet 36
                Port Security : Enabled
                Port Status : Secure UP
                Violation Mode : Shutdown
                Aging Time : 120 mins
                Aging Type : Inactivity
                Maximum MAC Addresses : 1
                Total MAC Addresses : 1
                Configured MAC Addresses : 0
                Sticky MAC Addresses : 0
                Security violation count : 0
                
                

                セキュリティ違反時の処理の設定

                セキュリティ違反に対するインターフェイスの対応方法を設定するには、次の手順を実行します。セキュリティ違反に対する次のインターフェイスの応答を設定できます。
                • protect:十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットをドロップします。

                • restrict:十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットをドロップし、SecurityViolation カウンタを増分させます。

                • shutdown:(デフォルト)即時にインターフェイスを error-disabled 状態にして、SNMP トラップ通知を送信します。

                はじめる前に

                この手順を開始する前に、次のことを確認してください。

                • CLI に EXEC モードでログインしていること。

                • 設定するインターフェイスのポート セキュリティがイネーブルであること。

                • デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。

                手順
                   コマンドまたはアクション目的
                  ステップ 1switch# configure terminal 

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2switch(config)# interface type number 

                  指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

                   
                  ステップ 3switch(config-if)# [no] switchport port-security violation {protect | restrict | shutdown} 

                  現在のインターフェイスのポート セキュリティにセキュリティ違反時の処理を設定します。no オプションを使用すると、違反時の処理がデフォルト値(インターフェイスのシャットダウン)にリセットされます。

                  次のキーワードと引数があります。

                  • protect:十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットをドロップします。

                  • restrict:十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットをドロップし、Security Violation カウンタを増分させます。

                  • shutdown:(デフォルト)即時にインターフェイスを error-disabled 状態にして、SNMP トラップ通知を送信します。

                   
                  ステップ 4switch(config-if)# show port-security address interface vethernet number 

                  インターフェイス上の学習されたセキュア MAC アドレスを表示します。

                   
                  ステップ 5switch(config-if)# show port-security interface vethernet number 

                  インターフェイス上のポート セキュリティの設定を表示します。

                   
                  ステップ 6switch(config-if)# show running-config port-security  (任意)

                  ポート セキュリティの設定を表示します。

                   
                  ステップ 7switch(config-if)# copy running-config startup-config  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   

                  次の例では、セキュリティ違反時の処理の設定方法を示します。

                  switch(config-if)# show running-config port-security
                  interface Vethernet36
                    switchport port-security
                    switchport port-security violation protect
                  switch(config-if)# interface Vethernet36
                  switch(config-if)# switchport port-security
                  switch(config-if)# switchport port-security violation protect
                  switch(config-if)# show port-security interface vethernet 36
                  Port Security : Enabled
                  Port Status : Secure UP
                  Violation Mode : Protect
                  Aging Time : 0 mins
                  Aging Type : Absolute
                  Maximum MAC Addresses : 1
                  Total MAC Addresses : 1
                  Configured MAC Addresses : 0
                  Sticky MAC Addresses : 0
                  Security violation count : 0
                  
                  

                  ポート セキュリティ違反がディセーブルなポートの回復

                  ポート セキュリティ違反がディセーブルなインターフェイスを自動的に回復するには、次の手順を実行します。インターフェイスを error-disabled 状態から手動で回復するには、shutdown コマンドを入力してから、no shutdown コマンドを入力する必要があります。

                  はじめる前に

                  この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

                  手順
                     コマンドまたはアクション目的
                    ステップ 1switch# configure terminal 

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2switch(config)# interfacetype number 

                    指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

                     
                    ステップ 3switch(config-if)# errdisable recovery cause psecure-violation 

                    セキュリティ違反がディセーブルな特定のポートの期間指定された自動リカバリをイネーブルにします。

                     
                    ステップ 4switch(config-if)# errdisable recovery intervalseconds 

                    秒単位のタイマー リカバリ間隔を 30 ~ 65535 秒に設定します。

                     

                    次に、ポート セキュリティ違反がディセーブルになっているポートを回復する例を示します。

                    switch# configure terminal
                    switch(config)# interface vethernet 36
                    switch(config-if)# errdisable recovery cause psecure-violation
                    switch(config-if)# errdisable recovery interval 30
                    switch(config-if)# copy running-config startup-config
                    switch(config-if)# show errdisable recovery
                    ErrDisable Reason Timer Status
                    ----------------- ------------
                    link-flap disabled
                    dhcp-rate-limit disabled
                    arp-inspection disabled
                    security-violation disabled
                    psecure-violation enabled
                    failed-port-state enabled
                    ip-addr-conflict disabled
                    
                    Timer interval: 30
                    

                    ポート セキュリティの設定の確認

                    次のいずれかのコマンドを使用して、設定を確認します。

                    コマンド

                    目的

                    show running-config port-security

                    ポート セキュリティの設定を表示します。

                    show port-security

                    ポート セキュリティのステータスを表示します。

                    show port-security address interface vethernet number

                    インターフェイス上の学習されたセキュア MAC アドレスを表示します。

                    show port-security interface vethernet number

                    インターフェイス上のポート セキュリティの設定を表示します。

                    セキュア MAC アドレスの表示

                    セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。

                    そのインターフェイス上のすべてのセキュア MAC アドレスを表示するには、show port-security address interface vethernet id コマンドを使用します。

                    ポート セキュリティの設定例

                    次に、VLAN とインターフェイスのセキュア アドレス最大数が指定されている vEthernet 36 インターフェイスのポート セキュリティ設定の例を示します。この例のインターフェイスはトランク ポートです。違反時の処理は Protect(保護)に設定されています。

                    switch# config terminal
                    switch(config)# interface vethernet 36
                    switch(config-if)# switchport port-security
                    switch(config-if))#  switchport port-security maximum 10
                    switch(config-if))#  switchport port-security maximum 7 vlan 10
                    switch(config-if))#  switchport port-security maximum 3 vlan 20
                    switch(config-if))#  switchport port-security violation protect
                    switch(config-if))#  switchport mode trunk
                      switch(config-if)# show running-config interface vethernet 36
                    switchport port-security
                      switchport port-security maximum 10
                      switchport port-security maximum 7 vlan 10
                      switchport port-security maximum 3 vlan 20
                      switchport port-security violation protect
                    switchport mode trunk
                    

                    次に vEthernet 40 インターフェイスのポート セキュリティ設定の例を示します。インターフェイスの最大数は 20、違反は restrict(制限)、絶対タイムアウトが 1 分でポート セキュリティのスタティック MAC アドレスが 0000.1111.5555 のアクセス ポートとして設定します。

                    switch# config terminal
                    switch(config)# interface vethernet 40
                    switch(config-if)# switchport port-security aging time 1
                    switch(config-if)# switchport port-security aging type absolute
                    switch(config-if)# switchport port-security
                    switch(config-if)# switchport port-security maximum 20
                    switch(config-if)# switchport port-security mac-address 0000.1111.5555
                    switch(config-if)# switchport port-security violation restrict
                    switch(config-if)# show running-config interface vethernet 40
                      switchport port-security aging time 1
                      switchport port-security aging type absolute
                      switchport port-security
                      switchport port-security maximum 20
                      switchport port-security mac-address 0000.1111.5555
                      switchport port-security violation restrict
                    switch(config-if)# show port-security interface vethernet 40
                    Port Security : Enabled
                    Port Status : Secure UP
                    Violation Mode : Restrict
                    Aging Time : 1 mins
                    Aging Type : Absolute
                    Maximum MAC Addresses : 20
                    Total MAC Addresses : 2
                    Configured MAC Addresses : 1
                    Sticky MAC Addresses : 0
                    Security violation count : 0 
                    

                    次に vEthernet 42 インターフェイスのポート セキュリティ設定の例を示します。違反が shutdown(シャットダウン)で MAC アドレス ラーニングは sticky(スティッキ)のアクセス ポートとして設定します。

                    switch# config terminal
                    switch(config)# interface vethernet 42
                    switch(config-if)# switchport port-security
                    switch(config-if)# switchport port-security mac-address sticky
                    switch(config-if)# switchport port-security violation shutdown
                    switch(config-if)# show running-config interface vethernet 42
                      switchport port-security
                      switchport port-security mac-address sticky
                      switchport port-security violation shutdown
                    
                    switch(config-if)# show port-security interface vethernet 42
                    Port Security : Enabled
                    Port Status : Secure UP
                    Violation Mode : Shutdown
                    Aging Time : 0 mins
                    Aging Type : Absolute
                    Maximum MAC Addresses : 1
                    Total MAC Addresses : 1
                    Configured MAC Addresses : 0
                    Sticky MAC Addresses : 1
                    Security violation count : 0
                    
                    switch(config-if)# show port-security address interface vethernet 42
                    Secure Mac Address Table
                    ----------------------------------------------------------------------
                    Vlan Mac Address Type Ports Configured Age
                    (mins)
                    ---- ----------- ------ ----- ---------------
                    2303 0050.5687.3C68 STICKY Vethernet42 0
                    ----------------------------------------------------------------------
                    

                    ポート セキュリティの機能の履歴

                    この表には、機能の追加によるリリースの更新内容のみが記載されています。

                    機能名

                    リリース

                    機能情報

                    ポート セキュリティ

                    5.2(1)SM1(5.1)

                    この機能が導入されました。