セキュリティ コンフィギュレーション ガイド、Cisco IOS XE リリース 3E(Cisco WLC 5700 シリーズ)
ポート単位のトラフィック制御の設定
ポート単位のトラフィック制御の設定

目次

ポート単位のトラフィック制御の設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

ストーム制御に関する情報

ストーム制御

ストーム制御は、物理インターフェイスの 1 つで発生したブロードキャスト、マルチキャスト、またはユニキャスト ストームによって LAN 上のトラフィックが混乱することを防ぎます。 LAN ストームは、LAN にパケットがフラッディングした場合に発生します。その結果、トラフィックが極端に増えてネットワーク パフォーマンスが低下します。 プロトコルスタックの実装エラー、ネットワーク構成の間違い、またはユーザによって引き起こされる DoS 攻撃もストームの原因になります。

ストーム制御(またはトラフィック抑制)は、インターフェイスからスイッチング バスを通過するパケットをモニタし、パケットがユニキャスト、マルチキャスト、またはブロードキャストのいずれであるかを判別します。 スイッチは、1 秒間に受け取った特定のタイプのパケットの数をカウントして、事前に定義された抑制レベルのしきい値とその測定結果を比較します。

トラフィック アクティビティの測定方法

ストーム制御は、次のうちのいずれかをトラフィック アクティビティの測定方法に使用します。

  • 帯域幅(ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックが使用できるポートの総帯域幅の割合)。

  • 秒単位で受信するパケット(ブロードキャスト、マルチキャスト、またはユニキャスト)のトラフィック レート

  • 秒単位で受信するビット(ブロードキャスト、マルチキャスト、またはユニキャスト)のトラフィック レート

  • 小さいフレームのトラフィック レートの秒単位のパケット数。 この機能は、グローバルにイネーブルです。 小さいフレームのしきい値は、各インターフェイスで設定されます。

上記の方法のいずれを使用しても、しきい値に到達すると、ポートはトラフィックをブロックします。 トラフィック レートが下限しきい値(指定されている場合)を下回らない限り、ポートはブロックされたままになり、その後、通常の転送が再開されます。 下限抑制レベルが指定されていない場合、トラフィック レートが上限抑制レベルを下回らない限り、スイッチはすべてのトラフィックをブロックします。 一般に、そのレベルが高ければ高いほど、ブロードキャスト ストームに対する保護効果は薄くなります。


(注)  


マルチキャスト トラフィックのストーム制御しきい値に達した場合、ブリッジ プロトコル データ ユニット(BPDU)および Cisco Discovery Protocol(CDP)フレームなどの制御トラフィック以外のマルチキャスト トラフィックはすべてブロックされます。 ただし、スイッチでは Open Shortest Path First(OSPF)などのルーティング アップデートと、正規のマルチキャスト データ トラフィックは区別されないため、両方のトラフィック タイプがブロックされます。


トラフィック パターン

図 1. ブロードキャスト ストーム制御の例. 次の例は、一定時間におけるインターフェイス上のブロードキャスト トラフィック パターンを示しています。



T1 から T2、T4 から T5 のタイム インターバルで、転送するブロードキャスト トラフィックが設定されたしきい値を上回っています。 指定のトラフィック量がしきい値を上回ると、次のインターバルで、そのタイプのトラフィックがすべてドロップされます。 したがって、T2 と T5 の後のインターバルの間、ブロードキャスト トラフィックがブロックされます。 その次のインターバル(たとえば、T3)では、しきい値を上回らない限り、ブロードキャスト トラフィックが再び転送されます。

ストーム制御抑制レベルと 1 秒間のインターバルを組み合わせて、ストーム制御アルゴリズムの動作を制御します。 しきい値が高いほど、通過できるパケット数が多くなります。 しきい値が 100% であれば、トラフィックに対する制限はありません。 値を 0.0 にすると、そのポート上ではすべてのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがブロックされます。


(注)  


パケットは一定の間隔で届くわけではないので、トラフィック アクティビティを測定する 1 秒間のインターバルがストーム制御の動作を左右する可能性があります。


各トラフィック タイプのしきい値を設定するには、storm-control インターフェイス コンフィギュレーション コマンドを使用します。

ストーム制御の設定方法

ストーム制御およびしきい値レベルの設定

ポートにストーム制御を設定し、特定のトラフィック タイプで使用するしきい値レベルを入力します。

ただし、ハードウェアの制約とともに、さまざまなサイズのパケットをどのように数えるかという問題があるので、しきい値の割合はあくまでも近似値です。 着信トラフィックを形成するパケットのサイズによって、実際に適用されるしきい値は設定されたレベルに対して、数 % の差異が生じる可能性があります。


(注)  


ストーム制御は、物理インターフェイスでサポートされています。 また、EtherChannel でもストーム制御を設定できます。 ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。

ストーム制御としきい値レベルを設定するには、特権 EXEC モードで次の手順を実行します。

はじめる前に

ストーム制御は、物理インターフェイスでサポートされています。 また、EtherChannel でもストーム制御を設定できます。 ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。

手順の概要

    1.    configure terminal

    2.    interface interface-id

    3.    storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]}

    4.    storm-control action {shutdown | trap}

    5.    end

    6.    show storm-control [interface-id] [broadcast | multicast | unicast]

    7.    copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1configure terminal


    例:
    
    ControllerDevice# configure terminal
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2interface interface-id


    例:
    
    ControllerDevice(config)# interface gigabitethernet1/0/1
    
     

    設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 3storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]}


    例:
    
    ControllerDevice(config-if)# storm-control unicast level 87 65
    
     

    ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御を設定します。 デフォルトでは、ストーム制御はディセーブルに設定されています。

    キーワードの意味は次のとおりです。

    • level には、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限しきい値レベルを帯域幅のパーセンテージで指定します(小数点第 2 位まで)。 上限しきい値に到達すると、ポートはトラフィックをブロックします。 指定できる範囲は 0.00 ~ 100.00 です。

    • (任意)level-low には、下限しきい値レベルを帯域幅のパーセンテージで指定します(小数点第 2 位まで)。 この値は上限抑制値より小さいか、または等しくなければなりません。 トラフィックがこのレベルを下回っていれば、ポートはトラフィックを転送します。 下限抑制レベルを設定しない場合、上限抑制レベルの値に設定されます。 指定できる範囲は 0.00 ~ 100.00 です。

      しきい値に最大値(100%)を指定した場合、トラフィックの制限はなくなります。 しきい値に 0.0 を設定すると、そのポート上のすべてのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがブロックされます。

    • bps bps には、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限しきい値レベルをビット/秒で指定します(小数点第 1 位まで)。 上限しきい値に到達すると、ポートはトラフィックをブロックします。 指定できる範囲は 0.0 ~ 10000000000.0 です。

    • (任意)bps-low には、下限しきい値レベルをビット/秒で指定します(小数点第 1 位まで)。 この値は上限しきい値レベル以下の値である必要があります。 トラフィックがこのレベルを下回っていれば、ポートはトラフィックを転送します。 指定できる範囲は 0.0 ~ 10000000000.0 です。

    • pps pps には、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限しきい値レベルをパケット/秒で指定します(小数点第 1 位まで)。 上限しきい値に到達すると、ポートはトラフィックをブロックします。 指定できる範囲は 0.0 ~ 10000000000.0 です。

    • (任意)pps-low には、下限しきい値レベルをパケット/秒で指定します(小数点第 1 位まで)。 この値は上限しきい値レベル以下の値である必要があります。 トラフィックがこのレベルを下回っていれば、ポートはトラフィックを転送します。 指定できる範囲は 0.0 ~ 10000000000.0 です。

    BPS および PPS の設定には、しきい値の数値を大きく設定できるように、サフィックスに測定記号(k、m、g など)を使用できます。

     
    ステップ 4storm-control action {shutdown | trap}


    例:
    
    ControllerDevice(config-if)# storm-control action trap
    
     

    ストーム検出時に実行するアクションを指定します。 デフォルトではトラフィックにフィルタリングを実行し、トラップは送信しない設定です。

    • ストーム中、ポートを errdisable の状態にするには、shutdown キーワードを選択します。

    • ストームが検出された場合、SNMP(簡易ネットワーク管理プロトコル)トラップを生成するには、trap キーワードを選択します。

     
    ステップ 5end


    例:
    
    ControllerDevice(config-if)# end
    
     

    特権 EXEC モードに戻ります。

     
    ステップ 6show storm-control [interface-id] [broadcast | multicast | unicast]


    例:
    
    ControllerDevice# show storm-control gigabitethernet1/0/1 unicast
    
     

    指定したトラフィック タイプについて、インターフェイスで設定したストーム制御抑制レベルを確認します。 トラフィック タイプを入力しなかった場合は、ブロードキャスト ストーム制御の設定が表示されます。

     
    ステップ 7copy running-config startup-config


    例:
    
    ControllerDevice# copy running-config startup-config
    
     

    (任意)コンフィギュレーション ファイルに設定を保存します。

     

    スモール フレーム到着レートの設定

    67 バイト未満の着信 VLAN タグ付きパケットは、小さいフレームと見なされます。 このパケットはスイッチにより転送されますが、スイッチ ストーム制御カウンタを増加させません。 Cisco IOS Release 12.2(44)SE 以降では、小さいフレームが指定されたレート(しきい値)で到着した場合は、ポートがディセーブルになるように設定できます。

    スイッチ上の小さいフレームの着信機能をグローバルにイネーブルにして、各インターフェイスのパケットの小さいフレームのしきい値を設定します。 最小サイズよりも小さく、指定されたレート(しきい値)で着信するパケットは、ポートがディセーブルにされた後はドロップされます。

    手順の概要

      1.    configure terminal

      2.    errdisable detect cause small-frame

      3.    errdisable recovery interval interval

      4.    errdisable recovery cause small-frame

      5.    interface interface-id

      6.    small-frame violation-rate pps

      7.    end

      8.    show interfaces interface-id

      9.    copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1configure terminal


      例:
      
      ControllerDevice# configure terminal
      
      
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2errdisable detect cause small-frame


      例:
      
      ControllerDevice(config)# errdisable detect cause small-frame
      
      
       

      スイッチ上の小さいフレームの着信レート機能をイネーブルにします。

       
      ステップ 3errdisable recovery interval interval


      例:
      
      ControllerDevice(config)# errdisable recovery interval 60
      
      
       

      (任意)指定された errdisable ステートから回復する時間を指定します。

       
      ステップ 4errdisable recovery cause small-frame


      例:
      
      ControllerDevice(config)# errdisable recovery cause small-frame
      
      
       

      (任意)小さいフレームの着信によりポートが errdisable になった後、そのポートを自動的に再イネーブルにするリカバリ時間を設定します。

      ストーム制御は、物理インターフェイスでサポートされています。 また、EtherChannel でもストーム制御を設定できます。 ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。

       
      ステップ 5interface interface-id


      例:
      
      ControllerDevice(config)# interface gigabitethernet1/0/2
      
      
       

      インターフェイス コンフィギュレーション モードを開始し、設定するインターフェイスを指定します。

       
      ステップ 6small-frame violation-rate pps


      例:
      
      ControllerDevice(config-if)# small-frame violation rate 10000
      
      
       

      インターフェイスが着信パケットをドロップしてポートを errdisable にするようにしきい値レートを設定します。 範囲は、1 ~ 10,000 パケット/秒(pps)です。

       
      ステップ 7end


      例:
      
      ControllerDevice(config-if)# end
      
      
       

      特権 EXEC モードに戻ります。

       
      ステップ 8show interfaces interface-id


      例:
      
      ControllerDevice# show interfaces gigabitethernet1/0/2
      
      
       

      設定を確認します。

       
      ステップ 9copy running-config startup-config


      例:
      
      ControllerDevice# copy running-config startup-config
      
      
       

      (任意)コンフィギュレーション ファイルに設定を保存します。

       

      ストーム制御のモニタリング

      表 1 ストーム制御のステータスと設定の表示用コマンド

      コマンド

      目的

      show interfaces [interface-id] switchport

      すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングおよびポート保護の設定を含めて表示します。

      show storm-control [interface-id] [broadcast | multicast | unicast]

      すべてのインターフェイスまたは指定されたインターフェイスに設定されているストーム制御抑制レベルを、指定されたトラフィック タイプについて、またはブロードキャスト トラフィック(トラフィック タイプが入力されていない場合)について表示します。

      次の作業

      その他の関連資料

      エラー メッセージ デコーダ

      説明 Link

      このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

      https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

      MIB

      MIB MIB のリンク

      本リリースでサポートするすべての MIB

      選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

      http:/​/​www.cisco.com/​go/​mibs

      テクニカル サポート

      説明 リンク

      シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

      お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

      シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

      http:/​/​www.cisco.com/​support

      機能情報

      リリース 機能情報
      Cisco IOS XE 3.2SE この機能が導入されました。

      機能情報の確認

      ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

      プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

      保護ポートに関する情報

      保護ポート

      アプリケーションによっては、あるネイバーが生成したトラフィックが別のネイバーにわからないように、同一スイッチ上のポート間でレイヤ 2 トラフィックが転送されないように設定する必要があります。 このような環境では、保護ポートを使用すると、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換が確実になくなります。

      保護ポートには、次の機能があります。

      • 保護ポートは、同様に保護ポートになっている他のポートに対して、ユニキャスト、マルチキャスト、またはブロードキャスト トラフィックを転送しません。 データ トラフィックはレイヤ 2 の保護ポート間で転送されません。PIM パケットなどは CPU で処理されてソフトウェアで転送されるため、このような制御トラフィックだけが転送されます。 保護ポート間を通過するすべてのデータ トラフィックは、レイヤ 3 デバイスを介して転送されなければなりません。

      • 保護ポートと非保護ポート間の転送動作は、通常どおりに進みます。

      スイッチ スタックは論理的には 1 つのスイッチを表しているため、レイヤ 2 トラフィックは、スタック内の同一スイッチか異なるスイッチかにかかわらず、スイッチ スタックの保護ポート間では転送されません。

      保護ポートのデフォルト設定

      デフォルトでは、保護ポートは定義されません。

      保護ポートのガイドライン

      保護ポートは、物理インターフェイス(GigabitEthernet ポート 1 など)または EtherChannel グループ(port-channel 5 など)に設定できます。 ポート チャネルで保護ポートをイネーブルにした場合は、そのポート チャネル グループ内のすべてのポートでイネーブルになります。

      プライベート VLAN ポートを保護ポートとして設定しないでください。 保護ポートをプライベート VLAN ポートとして設定しないでください。 プライベート VLAN の独立ポートは、他の独立ポートやコミュニティ ポートにトラフィックを転送しません。

      保護ポートの設定方法

      保護ポートの設定

      はじめる前に

      保護ポートは事前定義されていません。 これは設定する必要があるタスクです。

      手順の概要

        1.    configure terminal

        2.    interface interface-id

        3.    switchport protected

        4.    end

        5.    show interfaces interface-id switchport

        6.    copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1configure terminal


        例:
        
        ControllerDevice# configure terminal
        
        
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2interface interface-id


        例:
        
        ControllerDevice(config)# interface gigabitethernet1/0/1
        
        
         

        設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 3switchport protected


        例:
        
        ControllerDevice(config-if)# switchport protected
        
        
         

        インターフェイスを保護ポートとして設定します。

         
        ステップ 4end


        例:
        
        ControllerDevice(config-if)# end
        
        
         

        特権 EXEC モードに戻ります。

         
        ステップ 5show interfaces interface-id switchport


        例:
        
        ControllerDevice# show interfaces gigabitethernet1/0/1 switchport
        
        
         

        入力を確認します。

         
        ステップ 6copy running-config startup-config


        例:
        
        ControllerDevice# copy running-config startup-config
        
        
         

        (任意)コンフィギュレーション ファイルに設定を保存します。

         

        保護ポートのモニタリング

        表 2 保護ポートの設定を表示するコマンド

        コマンド

        目的

        show interfaces [interface-id] switchport

        すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングおよびポート保護の設定を含めて表示します。

        次の作業

        その他の関連資料

        エラー メッセージ デコーダ

        説明 Link

        このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

        https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

        MIB

        MIB MIB のリンク

        本リリースでサポートするすべての MIB

        選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

        http:/​/​www.cisco.com/​go/​mibs

        テクニカル サポート

        説明 リンク

        シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

        お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

        シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​support

        機能情報

        リリース 機能情報
        Cisco IOS XE 3.2SE この機能が導入されました。

        機能情報の確認

        ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

        ポート ブロッキングに関する情報

        ポート ブロッキング

        デフォルトでは、スイッチは未知の宛先 MAC アドレスが指定されたパケットをすべてのポートからフラッディングします。 未知のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上、問題になる可能性があります。 未知のユニキャストおよびマルチキャスト トラフィックがあるポートから別のポートに転送されないようにするために、(保護または非保護)ポートをブロックし、未知のユニキャストまたはマルチキャスト パケットが他のポートにフラッディングされないようにします。


        (注)  


        マルチキャスト トラフィックでは、ポート ブロッキング機能は純粋なレイヤ 2 パケットだけをブロックします。 ヘッダーに IPv4 または IPv6 の情報を含むマルチキャスト パケットはブロックされません。


        ポート ブロッキングの設定方法

        インターフェイスでのフラッディング トラフィックのブロッキング

        はじめる前に

        インターフェイスは物理インターフェイスまたは EtherChannel グループのいずれも可能です。 ポート チャネルのマルチキャストまたはユニキャスト トラフィックをブロックすると、ポート チャネル グループのすべてのポートでブロックされます。

        手順の概要

          1.    configure terminal

          2.    interface interface-id

          3.    switchport block multicast

          4.    switchport block unicast

          5.    end

          6.    show interfaces interface-id switchport

          7.    copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1configure terminal


          例:
          
          ControllerDevice# configure terminal
          
          
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2interface interface-id


          例:
          
          ControllerDevice(config)# interface gigabitethernet1/0/1
          
          
           

          設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

           
          ステップ 3switchport block multicast


          例:
          
          ControllerDevice(config-if)# switchport block multicast
          
          
           

          ポートからの未知のマルチキャストの転送をブロックします。

          (注)     

          純粋なレイヤ 2 マルチキャスト トラフィックだけがブロックされます。 ヘッダーに IPv4 または IPv6 の情報を含むマルチキャスト パケットはブロックされません。

           
          ステップ 4switchport block unicast


          例:
          
          ControllerDevice(config-if)# switchport block unicast
          
          
           

          ポートからの未知のユニキャストの転送をブロックします。

           
          ステップ 5end


          例:
          
          ControllerDevice(config-if)# end
          
          
           

          特権 EXEC モードに戻ります。

           
          ステップ 6show interfaces interface-id switchport


          例:
          
          ControllerDevice# show interfaces gigabitethernet1/0/1 switchport
          
          
           

          入力を確認します。

           
          ステップ 7copy running-config startup-config


          例:
          
          ControllerDevice# copy running-config startup-config
          
          
           

          (任意)コンフィギュレーション ファイルに設定を保存します。

           

          ポート ブロッキングのモニタリング

          表 3 ポート ブロッキングの設定を表示するコマンド

          コマンド

          目的

          show interfaces [interface-id] switchport

          すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングおよびポート保護の設定を含めて表示します。

          次の作業

          その他の関連資料

          エラー メッセージ デコーダ

          説明 Link

          このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

          https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

          MIB

          MIB MIB のリンク

          本リリースでサポートするすべての MIB

          選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

          http:/​/​www.cisco.com/​go/​mibs

          テクニカル サポート

          説明 リンク

          シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

          お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

          シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

          http:/​/​www.cisco.com/​support

          機能情報

          リリース 機能情報
          Cisco IOS XE 3.2SE この機能が導入されました。

          機能情報の確認

          ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

          プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

          ポート セキュリティの前提条件


          (注)  


          最大値をインターフェイス上ですでに設定されているセキュア アドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。


          ポート セキュリティの制約事項

          スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。 この数字はアクティブな Switch Database Management(SDM)テンプレートによって決められます。 この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。

          ポート セキュリティについて

          ポート セキュリティ

          ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限できます。 セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。 セキュア MAC アドレス数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されたワークステーションに、ポートの帯域幅全体が保証されます。

          セキュア ポートとしてポートを設定し、セキュア MAC アドレスが最大数に達した場合、ポートにアクセスを試みるステーションの MAC アドレスが識別されたセキュア MAC アドレスのいずれとも一致しないので、セキュリティ違反が発生します。 また、あるセキュア ポート上でセキュア MAC アドレスが設定または学習されているステーションが、別のセキュア ポートにアクセスしようとしたときにも、違反のフラグが立てられます。

          セキュア MAC アドレスのタイプ

          スイッチは、次のセキュア MAC アドレス タイプをサポートします。

          • スタティック セキュア MAC アドレス:switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定され、アドレス テーブルに保存されたのち、スイッチの実行コンフィギュレーションに追加されます。

          • ダイナミック セキュア MAC アドレス:動的に設定されてアドレス テーブルにのみ保存され、スイッチの再起動時に削除されます。

          • スティッキー セキュア MAC アドレス:動的に学習することも、手動で設定することもできます。アドレス テーブルに保存され、実行コンフィギュレーションに追加されます。 このアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時にインターフェイスはこれらを動的に再設定する必要がありません。

          スティッキ セキュア MAC アドレス

          スティッキー ラーニングをイネーブルにすると、ダイナミック MAC アドレスをスティッキー セキュア MAC アドレスに変換して実行コンフィギュレーションに追加するようにインターフェイスを設定できます。 インターフェイスはスティッキ ラーニングがイネーブルになる前に学習したものを含め、すべてのダイナミック セキュア MAC アドレスをスティッキー セキュア MAC アドレスに変換します。 すべてのスティッキー セキュア MAC アドレスは実行コンフィギュレーションに追加されます。

          スティッキー セキュア MAC アドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。 スティッキー セキュア MAC アドレスをコンフィギュレーション ファイルに保存すると、スイッチの再起動時にインターフェイスはこれらを再び学習する必要がありません。 スティッキ セキュア アドレスを保存しない場合、アドレスは失われます。

          スティッキ ラーニングがディセーブルの場合、スティッキ セキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。

          セキュリティ違反

          次のいずれかの状況が発生すると、セキュリティ違反になります。

          • 最大数のセキュア MAC アドレスがアドレス テーブルに追加されている状態で、アドレス テーブルに未登録の MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合。

          • あるセキュア インターフェイスで学習または設定されたアドレスが、同一 VLAN 内の別のセキュア インターフェイスで使用された場合。

          違反が発生した場合の対処に基づいて、次の 3 種類の違反モードのいずれかにインターフェイスを設定できます。

          • protect(保護):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。 セキュリティ違反が起こっても、ユーザには通知されません。


            (注)  


            トランク ポートに protect 違反モードを設定することは推奨しません。 保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。


          • restrict(制限):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。 このモードでは、セキュリティ違反が発生したことが通知されます。 SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。

          • shutdown:ポート セキュリティ違反により、インターフェイスが error-disabled になり、ただちにシャットダウンされます。そのあと、ポートの LED が消灯します。 セキュア ポートが errdisable ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除するか、shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにできます。 これは、デフォルトのモードです。

          • shutdown vlan(VLAN シャットダウン):VLAN 単位でセキュリティ違反モードを設定するために使用します。 このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。

          次の表に、ポート セキュリティをインターフェイスに設定した場合の違反モードおよび対処について示します。

          表 4 セキュリティ違反モードの処置

          違反モード

          トラフィックの転送

          1

          SNMP トラップの送信

          Syslog メッセージの送信

          エラー メッセージの表示

          2

          違反カウンタの増加

          ポートのシャットダウン

          protect

          No

          No

          No

          No

          No

          No

          restrict

          No

          Yes

          Yes

          No

          Yes

          No

          shutdown

          No

          No

          No

          No

          Yes

          Yes

          shutdown vlan

          No

          No

          Yes

          No

          Yes

          No

          3
          1 十分な数のセキュア MAC アドレスを削除するまで未知の送信元アドレスを持つパケットがドロップされます。
          2 セキュリティ違反を引き起こすアドレスを手動で設定した場合、スイッチがエラー メッセージを返します。
          3 違反が発生した VLAN のみシャットダウンします。

          ポート セキュリティ エージング

          ポート上のすべてのセキュア アドレスにエージング タイムを設定するには、ポート セキュリティ エージングを使用します。 ポートごとに 2 つのタイプのエージングがサポートされています。

          • absolute:指定されたエージング タイムの経過後に、ポート上のセキュア アドレスが削除されます。

          • inactivity:指定されたエージング タイムの間、セキュア アドレスが非アクティブであった場合に限り、ポート上のセキュア アドレスが削除されます。

          ポート セキュリティとスイッチ スタック

          スタックに新規に加入したスイッチは、設定済みのセキュア アドレスを取得します。 他のスタック メンバーから新しいスタック メンバーに、ダイナミック セキュア アドレスがすべてダウンロードされます。

          スイッチ(アクティブ スイッチまたはスタック メンバのいずれか)がスタックから離れると、その他のスタック メンバに通知が行き、そのスイッチが設定または学習したセキュア MAC アドレスがセキュア MAC アドレス テーブルから削除されます。

          デフォルトのポート セキュリティ設定

          表 5 デフォルトのポート セキュリティ設定

          機能

          デフォルト設定

          ポート セキュリティ

          ポート上でディセーブル。

          スティッキー アドレス ラーニング

          ディセーブル。

          ポートあたりのセキュア MAC アドレスの最大数

          1.

          違反モード

          シャットダウン。 セキュア MAC アドレスが最大数を上回ると、ポートがシャットダウンします。

          ポート セキュリティ エージング

          ディセーブル。 エージング タイムは 0。

          スタティック エージングはディセーブル。

          タイプは absolute。

          ポート セキュリティの設定時の注意事項

          • ポート セキュリティを設定できるのは、スタティック アクセス ポートまたはトランク ポートに限られます。 セキュア ポートをダイナミック アクセス ポートにすることはできません。

          • セキュア ポートをスイッチド ポート アナライザ(SPAN)の宛先ポートにすることはできません。


          • (注)  


            音声 VLAN はアクセス ポートでのみサポートされており、設定可能であってもトランク ポートではサポートされていません。


          • セキュア ポートは、プライベート VLAN ポートにできません。

          • 音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。 ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。 Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。 1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。 複数の PC を Cisco IP Phone に接続する場合、各 PC と IP Phone に 1 つずつ使用できるように、十分な数のセキュア アドレスを設定する必要があります。

          • トランク ポートがポート セキュリティで設定され、データ トラフィックのアクセス VLAN および音声トラフィックのアクセス VLAN に割り当てられている場合は、switchport voice および switchport priority extend インターフェイス コンフィギュレーション コマンドを入力しても効果はありません。

            接続装置が同じ MAC アドレスを使用してアクセス VLAN の IP アドレス、音声 VLAN の IP アドレスの順に要求すると、アクセス VLAN だけが IP アドレスに割り当てられます。

          • インターフェイスの最大セキュア アドレス値を入力したときに、新しい値がそれまでの値より大きいと、それまで設定されていた値が新しい値によって上書きされます。 新しい値が前回の値より小さく、インターフェイスで設定されているセキュア アドレス数が新しい値より大きい場合、コマンドは拒否されます。

          • スイッチはスティッキ セキュア MAC アドレスのポート セキュリティ エージングをサポートしていません。

          次の表に、他のポートベース機能と互換性のあるポート セキュリティについてまとめます。

          表 6 ポート セキュリティと他のポートベース機能との互換性

          ポート タイプまたはポートの機能

          ポート セキュリティとの互換性

          DTP 4 port 5

          No

          トランク ポート

          Yes

          ダイナミック アクセス ポート 6

          No

          ルーテッド ポート

          No

          SPAN 送信元ポート

          Yes

          SPAN 宛先ポート

          No

          EtherChannel

          Yes

          トンネリング ポート

          Yes

          保護ポート

          Yes

          IEEE 802.1x ポート

          Yes

          音声 VLAN ポート 7

          Yes

          IP ソース ガード

          Yes

          ダイナミック アドレス解決プロトコル(ARP)インスペクション

          Yes

          Flex Link

          Yes

          4 DTP=ダイナミック トランキング プロトコル
          5 switchport mode dynamic インターフェイス コンフィギュレーション コマンドで設定されたポート。
          6 switchport access vlan dynamic インターフェイス コンフィギュレーション コマンドで設定された VLAN Query Protocol(VQP)ポート。
          7 ポートに最大限可能なセキュアなアドレスを設定します(アクセス VLAN で可能なセキュアなアドレスの最大数に 2 を加えた数)。

          ポート セキュリティの設定方法

          ポート セキュリティのイネーブル化および設定

          はじめる前に

          このタスクは、ポートにアクセスできるステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制約します。

          手順の概要

            1.    configure terminal

            2.    interface interface-id

            3.    switchport mode {access | trunk}

            4.    switchport voice vlan vlan-id

            5.    switchport port-security

            6.    switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]]

            7.    switchport port-security violation {protect | restrict | shutdown | shutdown vlan}

            8.    switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]

            9.    switchport port-security mac-address sticky

            10.    switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]

            11.    end

            12.    show port-security

            13.    copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1configure terminal


            例:
            
            ControllerDevice# configure terminal
            
            
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2interface interface-id


            例:
            
            ControllerDevice(config)# interface gigabitethernet1/0/1
            
            
             

            設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 3switchport mode {access | trunk}


            例:
            
            ControllerDevice(config-if)# switchport mode access
            
            
             

            インターフェイス スイッチポート モードを access または trunk に設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。

             
            ステップ 4switchport voice vlan vlan-id


            例:
            
            ControllerDevice(config-if)# switchport voice vlan 22
            
            
             

            ポート上で音声 VLAN をイネーブルにします。

            vlan-id:音声トラフィックに使用する VLAN を指定します。

             
            ステップ 5switchport port-security


            例:
            
            ControllerDevice(config-if)# switchport port-security
            
            
             

            インターフェイス上でポート セキュリティをイネーブルにします。

             
            ステップ 6switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]]


            例:
            
            ControllerDevice(config-if)# switchport port-security maximum 20
            
            
             

            (任意)インターフェイスの最大セキュア MAC アドレス数を設定します。 スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。 この値は、アクティブな SDM テンプレートによって決まります。 この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。

            (任意)vlan:VLAN 当たりの最大値を設定します。

            vlan キーワードを入力後、次のいずれかのオプションを入力します。

            • vlan-list:トランク ポート上で、ハイフンで区切った範囲の VLAN、またはカンマで区切った一連の VLAN における、VLAN 単位の最大値を設定できます。 VLAN を指定しない場合、VLAN ごとの最大値が使用されます。

            • access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。

            • voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。

            (注)     

            voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。 インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの最大数を 2 に設定します。

             
            ステップ 7switchport port-security violation {protect | restrict | shutdown | shutdown vlan}


            例:
            
            ControllerDevice(config-if)# switchport port-security violation restrict
            
            
             

            (任意)違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかのアクションを実行します。

            • protect(保護):ポート セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。 セキュリティ違反が起こっても、ユーザには通知されません。

              (注)     

              トランク ポートに protect モードを設定することは推奨しません。 保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。

            • restrict:セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。 SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。

            • shutdown:違反が発生すると、インターフェイスが error-disabled になり、ポートの LED が消灯します。 SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。

            • shutdown vlan:VLAN 単位でセキュリティ違反モードを設定するために使用します。 このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。
              (注)     

              セキュア ポートが errdisable ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力して、このステートから回復させることができます。 手動で再びイネーブルにするには、shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するか、clear errdisable interface vlan 特権 EXEC コマンドを入力します。

             
            ステップ 8switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]


            例:
            
            ControllerDevice(config-if)# switchport port-security mac-address 00:A0:C7:12:C9:25 vlan 3 voice
            
            
             

            (任意)インターフェイスのセキュア MAC アドレスを入力します。 このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。 設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。

            (注)     

            このコマンドの入力後にスティッキー ラーニングをイネーブルにすると、動的に学習されたセキュア アドレスがスティッキー セキュア MAC アドレスに変換されて実行コンフィギュレーションに追加されます。

            (任意)vlan:VLAN 当たりの最大値を設定します。

            vlan キーワードを入力後、次のいずれかのオプションを入力します。

            • vlan-id:トランク ポートで、VLAN ID および MAC アドレスを指定できます。 VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。

            • access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。

            • voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。

            (注)     

            voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。 インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの最大数を 2 に設定します。

             
            ステップ 9switchport port-security mac-address sticky


            例:
            
            ControllerDevice(config-if)# switchport port-security mac-address sticky
            
             

            (任意)インターフェイス上でスティッキ ラーニングをイネーブルにします。

             
            ステップ 10switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]


            例:
            
            ControllerDevice(config-if)# switchport port-security mac-address sticky 00:A0:C7:12:C9:25 vlan voice
            
            
             

            (任意)スティッキー セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。 設定したセキュア MAC アドレスの数が最大数より少ない場合、残りの MAC アドレスは動的に学習されてスティッキー セキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。

            (注)     

            このコマンドの入力前にスティッキー ラーニングをイネーブルにしないと、エラー メッセージが表示されてスティッキー セキュア MAC アドレスを入力できません。

            (任意)vlan:VLAN 当たりの最大値を設定します。

            vlan キーワードを入力後、次のいずれかのオプションを入力します。

            • vlan-id:トランク ポートで、VLAN ID および MAC アドレスを指定できます。 VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。

            • access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。

            • voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。

            (注)     

            voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。

             
            ステップ 11end


            例:
            
            ControllerDevice(config-if)# end
            
            
             

            特権 EXEC モードに戻ります。

             
            ステップ 12show port-security


            例:
            
            ControllerDevice# show port-security
            
            
             

            入力を確認します。

             
            ステップ 13copy running-config startup-config


            例:
            
            ControllerDevice# copy running-config startup-config
            
            
             

            (任意)コンフィギュレーション ファイルに設定を保存します。

             
            関連コンセプト

            ポート セキュリティ エージングのイネーブル化および設定

            この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュア ポート上のデバイスを削除および追加し、なおかつポート上のセキュア アドレス数を制限できます。 セキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。

            手順の概要

              1.    configure terminal

              2.    interface interface-id

              3.    switchport port-security aging {static | time time | type {absolute | inactivity}}

              4.    end

              5.    show port-security [interface interface-id] [address]

              6.    copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1configure terminal


              例:
              
              ControllerDevice# configure terminal
              
              
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2interface interface-id


              例:
              
              ControllerDevice(config)# interface gigabitethernet1/0/1
              
              
               

              設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 3switchport port-security aging {static | time time | type {absolute | inactivity}}


              例:
              
              ControllerDevice(config-if)# switchport port-security aging time 120
              
              
               

              セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。またはエージング タイムやタイプを設定します。

              (注)     

              スイッチは、スティッキー セキュア アドレスのポート セキュリティ エージングをサポートしていません。

              このポートに、スタティックに設定されたセキュア アドレスのエージングをイネーブルにする場合は、static を入力します。

              time には、このポートのエージング タイムを指定します。 指定できる範囲は、0 ~ 1440 分です。

              type には、次のキーワードのいずれか 1 つを選択します。

              • absolute:エージング タイプを絶対エージングとして設定します。 このポートのセキュア アドレスはすべて、指定した時間(分単位)が経過すると期限切れになり、セキュア アドレス リストから削除されます。

              • inactivity:エージング タイプを非アクティブ エージングとして設定します。 指定された time 期間中にセキュア送信元アドレスからのデータ トラフィックがない場合に限り、このポートのセキュア アドレスが期限切れになります。

               
              ステップ 4end


              例:
              
              ControllerDevice(config)# end
              
               

              特権 EXEC モードに戻ります。

               
              ステップ 5show port-security [interface interface-id] [address]


              例:
              
              ControllerDevice# show port-security interface gigabitethernet1/0/1
              
               

              入力を確認します。

               
              ステップ 6copy running-config startup-config


              例:
              
              ControllerDevice# copy running-config startup-config
              
               

              (任意)コンフィギュレーション ファイルに設定を保存します。

               

              ポート セキュリティおよびプライベート VLAN の設定

              ポート セキュリティにより、管理者はポートで学習する MAC アドレス数を制限したり、ポートで学習する MAC アドレスを定義したりできます。

              手順の概要

                1.    configure terminal

                2.    interface interface-id

                3.    switchport mode private-vlan {host | promiscuous}

                4.    switchport port-security

                5.    end

                6.    show port-security [interface interface-id] [address]

                7.    copy running-config startup-config


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1configure terminal


                例:
                
                ControllerDevice# configure terminal
                
                
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2interface interface-id


                例:
                
                ControllerDevice(config)# interface gigabitethernet 1/0/8
                
                
                 

                設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 3switchport mode private-vlan {host | promiscuous}


                例:
                
                ControllerDevice(config-if)# switchport mode private-vlan promiscuous
                
                
                 

                インターフェイスでプライベート VLAN をイネーブルにします。

                 
                ステップ 4switchport port-security


                例:
                
                ControllerDevice(config-if)# switchport port-security
                
                
                 

                インターフェイス上でポート セキュリティをイネーブルにします。

                 
                ステップ 5end


                例:
                
                ControllerDevice(config-if)# end
                
                
                 

                特権 EXEC モードに戻ります。

                 
                ステップ 6show port-security [interface interface-id] [address]


                例:
                
                ControllerDevice# show port-security interface gigabitethernet1/0/8
                
                
                 

                入力を確認します。

                 
                ステップ 7copy running-config startup-config


                例:
                
                ControllerDevice# copy running-config startup-config
                
                
                 

                (任意)コンフィギュレーション ファイルに設定を保存します。

                 

                ポート セキュリティのモニタリング

                次の表に、ポート セキュリティ情報を表示します。

                表 7 ポート セキュリティのステータスおよび設定を表示するコマンド

                コマンド

                目的

                show port-security [interface interface-id]

                スイッチまたは指定されたインターフェイスのポート セキュリティ設定を、各インターフェイスで許容されるセキュア MAC アドレスの最大数、インターフェイスのセキュア MAC アドレスの数、発生したセキュリティ違反の数、違反モードを含めて表示します。

                show port-security [interface interface-id] address

                すべてのスイッチ インターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュア MAC アドレス、および各アドレスのエージング情報を表示します。

                show port-security interface interface-id vlan

                指定されたインターフェイスに VLAN 単位で設定されているセキュア MAC アドレスの数を表示します。

                ポート セキュリティの設定例

                次に、ポート上でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 50 に設定する例を示します。 違反モードはデフォルトです。スタティック セキュア MAC アドレスは設定せず、スティッキー ラーニングはイネーブルです。

                
                ControllerDevice(config)# interface gigabitethernet1/0/1
                ControllerDevice(config-if)# switchport mode access
                ControllerDevice(config-if)# switchport port-security
                ControllerDevice(config-if)# switchport port-security maximum 50
                ControllerDevice(config-if)# switchport port-security mac-address sticky
                
                

                次に、ポートの VLAN 3 上にスタティック セキュア MAC アドレスを設定する例を示します。

                
                ControllerDevice(config)# interface gigabitethernet1/0/2
                ControllerDevice(config-if)# switchport mode trunk
                ControllerDevice(config-if)# switchport port-security
                ControllerDevice(config-if)# switchport port-security mac-address 0000.0200.0004 vlan 3
                
                

                次に、ポートのスティッキー ポート セキュリティをイネーブルにする例を示します。データ VLAN および音声 VLAN の MAC アドレスを手動で設定し、セキュア アドレスの総数を 20 に設定します(データ VLAN に 10、音声 VLAN に 10 を割り当てます)。

                
                ControllerDevice(config)# interface tengigabitethernet1/0/1
                ControllerDevice(config-if)# switchport access vlan 21
                ControllerDevice(config-if)# switchport mode access
                ControllerDevice(config-if)# switchport voice vlan 22
                ControllerDevice(config-if)# switchport port-security
                ControllerDevice(config-if)# switchport port-security maximum 20
                ControllerDevice(config-if)# switchport port-security violation restrict
                ControllerDevice(config-if)# switchport port-security mac-address sticky
                ControllerDevice(config-if)# switchport port-security mac-address sticky 0000.0000.0002
                ControllerDevice(config-if)# switchport port-security mac-address 0000.0000.0003
                ControllerDevice(config-if)# switchport port-security mac-address sticky 0000.0000.0001 vlan voice
                ControllerDevice(config-if)# switchport port-security mac-address 0000.0000.0004 vlan voice
                ControllerDevice(config-if)# switchport port-security maximum 10 vlan access
                ControllerDevice(config-if)# switchport port-security maximum 10 vlan voice
                
                
                関連コンセプト

                次の作業

                その他の関連資料

                エラー メッセージ デコーダ

                説明 Link

                このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

                https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

                MIB

                MIB MIB のリンク

                本リリースでサポートするすべての MIB

                選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

                http:/​/​www.cisco.com/​go/​mibs

                テクニカル サポート

                説明 リンク

                シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

                お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

                シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

                http:/​/​www.cisco.com/​support

                機能情報

                リリース 機能情報
                Cisco IOS XE 3.2SE この機能が導入されました。

                機能情報の確認

                ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

                プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

                プロトコル ストーム プロテクションに関する情報

                プロトコル ストーム プロテクション

                スイッチがアドレス解決プロトコル(ARP)または制御パケットでフラッドされると、CPU の高い使用率により CPU のオーバーロードが発生する可能性があります。 これらの問題は、次のように発生します。

                • プロトコル制御パケットが受信されず、ネイバーの隣接がドロップされるため、ルーティング プロトコルがフラップする場合があります。

                • スパニングツリー プロトコル(STP)ブリッジ プロトコル データ ユニット(BPDU)が送受信されないため、STP が再収束します。

                • CLI が遅くなるか応答しなくなります。

                プロトコル ストーム プロテクションを使用すると、パケットのフロー レートの上限しきい値を指定して、制御パケットが送信されるレートを制御できます。 サポートされるプロトコルは、ARP、ARP スヌーピング、Dynamic Host Configuration Protocol(DHCP)v4、DHCP スヌーピング、インターネット グループ管理プロトコル(IGMP)、および IGMP スヌーピングです。

                パケットのレートが定義されたしきい値を超えると、スイッチは指定されたポートに着信したすべてのトラフィックを 30 秒間ドロップします。 パケット レートが再度計測され、必要な場合はプロトコル ストーム プロテクションが再度適用されます。

                より強力な保護が必要な場合は、仮想ポートを手動で errdisable にし、その仮想ポートのすべての着信トラフィックをブロックできます。 また、手動で仮想ポートをイネーブルにしたり、仮想ポートの自動再イネーブル化の時間間隔を設定することもできます。


                (注)  


                超過したパケットは、2 つ以下の仮想ポートにおいてドロップされます。

                仮想ポートのエラー ディセーブル化は、EtherChannel インターフェイスと Flexlink インターフェイスではサポートされません。


                デフォルトのプロトコル ストーム プロテクションの設定

                プロトコル ストーム プロテクションはデフォルトでディセーブルです。 これがイネーブルになると、仮想ポートの自動リカバリがデフォルトでディセーブルになります。

                プロトコル ストーム プロテクションの設定方法

                プロトコル ストーム プロテクションのイネーブル化

                手順の概要

                  1.    configure terminal

                  2.    psp {arp | dhcp | igmp} pps value

                  3.    errdisable detect cause psp

                  4.    errdisable recovery interval time

                  5.    end

                  6.    show psp config {arp | dhcp | igmp}


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1configure terminal

                  例:
                  
                  ControllerDevice# configure terminal
                  
                  
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2psp {arp | dhcp | igmp} pps value

                  例:
                  
                  ControllerDevice(config)# psp dhcp pps 35
                  
                  
                   

                  ARP、IGMP、または DHCP に対してプロトコル ストーム プロテクションを設定します。

                  value には、1 秒あたりのパケット数のしきい値を指定します。 トラフィックがこの値を超えると、プロトコル ストーム プロテクションが適用されます。 範囲は毎秒 5 ~ 50 パケットです。

                   
                  ステップ 3errdisable detect cause psp


                  例:
                  
                  ControllerDevice(config)# errdisable detect cause psp
                  
                  
                   

                  (任意)プロトコル ストーム プロテクションの errdisable 検出をイネーブルにします。 この機能がイネーブルになると、仮想ポートが errdisable になります。 この機能がディセーブルになると、そのポートは、ポートを errdisable にせずに超過したパケットをドロップします。

                   
                  ステップ 4errdisable recovery interval time


                  例:
                  ControllerDevice
                  
                  
                   

                  (任意)errdisable の仮想ポートの自動リカバリ時間を秒単位で設定します。 仮想ポートが errdisable の場合、この時間を過ぎるとスイッチは自動的にリカバリします。 指定できる範囲は 30 ~ 86400 秒です。

                   
                  ステップ 5end


                  例:
                  
                  ControllerDevice(config)# end
                  
                  
                   

                  特権 EXEC モードに戻ります。

                   
                  ステップ 6show psp config {arp | dhcp | igmp}


                  例:
                  
                  ControllerDevice# show psp config dhcp
                  
                  
                   

                  入力を確認します。

                   

                  プロトコル ストーム プロテクションのモニタリング

                  コマンド 目的
                  show psp config {arp | dhcp | igmp} 入力内容を確認します。

                  次の作業

                  その他の関連資料

                  エラー メッセージ デコーダ

                  説明 Link

                  このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

                  https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

                  MIB

                  MIB MIB のリンク

                  本リリースでサポートするすべての MIB

                  選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

                  http:/​/​www.cisco.com/​go/​mibs

                  テクニカル サポート

                  説明 リンク

                  シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

                  お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

                  シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

                  http:/​/​www.cisco.com/​support

                  機能情報

                  リリース 機能情報
                  Cisco IOS XE 3.2SE この機能が導入されました。