 |
この章では、スイッチにポートベースのトラフィック制御機能を設定する方法について説明します。
ストーム制御は、LAN上のスイッチ ポートが、いずれかの物理インターフェイスのブロードキャスト、マルチキャスト、またはユニキャストのストームによって混乱しないようにします。LANストームは、パケットがLANにフラッディングした場合に発生するもので、過剰なトラフィックが生み出され、ネットワーク パフォーマンスが低下します。プロトコル スタックの実装やネットワーク構成でのエラーが、ストームの原因となります。
ストーム制御(トラフィック抑制)は、一定時間にわたる着信トラフィック統計情報をモニタし、あらかじめ定義された抑制スレッシュホールドと計測値を比較します。このスレッシュホールドは、ポートで利用可能な総帯域幅に対する割合を表します。スイッチは、ブロードキャスト、マルチキャスト、およびユニキャスト トラフィックのストーム制御スレッシュホールドを個別にサポートします。あるトラフィック タイプがスレッシュホールドに達すると、着信トラフィックがスレッシュホールド レベルを下回るまで、そのタイプのトラフィックは抑制されます。
ストーム制御がイネーブルにすると、スイッチはインターフェイスからスイッチング バスへ流れるパケットをモニタし、そのパケットがユニキャスト、マルチキャスト、ブロードキャストのいずれであるかを判別します。スイッチは、受信したユニキャスト、マルチキャスト、またはブロードキャストの数を1秒以内のタイム インターバルでモニタし、あるタイプのトラフィックがスレッシュホールドに達すると、そのタイプのトラフィックを廃棄します。このスレッシュホールドは、ブロードキャスト(マルチキャストまたはユニキャスト)トラフィックが利用可能な総帯域幅に対する割合として指定します。
ブロードキャスト ストーム制御の例 のグラフは、一定時間におけるインターフェイス上のブロードキャスト トラフィック パターンを示しています。この例は、マルチキャストおよびユニキャスト トラフィックにも適用できます。この例では、転送されているブロードキャスト トラフィックが、タイム インターバルT1〜T2間およびT4〜T5間で設定されたスレッシュホールドを上回っています。特定のトラフィックの量がスレッシュホールドを上回ると、そのタイプのすべてのトラフィックは次の一定時間にわたり、廃棄されます。したがって、ブロードキャスト トラフィックはT2およびT5のあとのインターバルではブロックされています。次のタイム インターバル(たとえばT3)では、ブロードキャスト トラフィックがスレッシュホールドを上回らなければ、再度転送されます。
ストーム制御抑制レベルと1秒のタイム インターバルの組み合わせにより、ストーム制御アルゴリズムの動作を制御します。スレッシュホールドが高いほど、通過できるパケットが多くなります。スレッシュホールドの値が100%であれば、トラフィックに対する制限はありません。値が0.0であれば、ポートのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがすべてブロックされます。
スイッチは、ポートのトラフィックを引き続きモニタし、利用率がスレッシュホールド レベルを下回ると、廃棄されていたトラフィック タイプの転送を再開します。
各トラフィック タイプのスレッシュホールドの値を設定するには、 storm-control インターフェイス コンフィギュレーション コマンドを使用します。
デフォルトでは、ユニキャスト、ブロードキャスト、およびマルチキャストのストーム制御はディセーブルになっています。つまり抑制レベルは100であり、トラフィックには制限がありません。
インターフェイスのストーム制御をイネーブルにして、利用可能な総帯域幅のうち、特定タイプのトラフィックに使用したい割合を入力します。100 %と入力するとすべてのトラフィックが許可されます。ただし、ハードウェアの制約や、さまざまなサイズのパケットがカウントされる動作のため、スレッシュホールドの割合には誤差が生じます。着信トラフィックを構成するパケットのサイズによっては、実際のスレッシュホールドは、数パーセント程度、設定されたレベルと異なる場合があります。
特定タイプのストーム制御をイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
ストーム制御をディセーブルにするには、 no storm-control broadcast level 、 no storm-control multicast level 、または no storm-control unicast level インターフェイス コンフィギュレーション コマンドを使用します。
次に、インターフェイスFast Ethernet 0/17に対してマルチキャスト ストーム制御レベルを70.5 %で設定し、その設定を確認する例を示します。
Switch(config)# interface fastethernet0/17
Switch(config-if)# storm-control multicast level 70.5
Switch# show storm-control fastethernet0/17 multicast
Interface Filter State Level Current
インターフェイスに対してストーム制御をディセーブルするには、イネーブルEXECモードで次の手順を実行します。
次に、インターフェイスFast Ethernet 0/17のマルチキャスト ストーム制御をディセーブルにし、その設定を確認する例を示します。
Switch(config)# interface fastethernet0/17
Switch(config-if)# no storm-control multicast level
Switch# show storm-control fastethernet0/17 multicast
Interface Filter State Level Current
一部のアプリケーションでは、同一スイッチ上のポート間でトラフィックが転送されないようにすることにより、あるネイバによって生成されたトラフィックを別のネイバが認識しないようにする必要があります。このような環境では、保護ポートを使用すれば、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換は行われません。
保護ポートは、物理インターフェイス(Gigabit Ethernet 0/1など)またはEtherChannelグループ(port-channel 5など)のいずれにも設定できます。ポート チャネルについて保護ポートをイネーブルにすると、ポート チャネル グループ内の全ポートがイネーブルになります。
ポートを保護ポートとして定義するには、イネーブルEXECモードで次の手順を実行します。
|
設定する物理インターフェイスのタイプおよび番号を指定し( gigabitethernet0/1 など)、インターフェイス コンフィギュレーション モードを開始します。 |
|
保護ポートをディセーブルにするには、 no switchport protected インターフェイス コンフィギュレーション コマンドを使用します。
次に、Gigabit Ethernet 0/1インターフェイスを保護ポートとして設定し、その設定を確認する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport protected
Switch# show interfaces gigabitethernet0/1 switchport
デフォルトでは、宛先MACアドレスが不明のパケットは、すべてのポートにフラッディングされます。不明のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上の問題が発生することがあります。
不明のユニキャストまたはマルチキャスト トラフィックがポート間で転送されないようにするため、不明のユニキャストまたはマルチキャスト パケットをブロックするようにポート(保護ポートまたは非保護ポート)を設定できます。
マルチキャストおよびユニキャスト パケットのフラッディングをインターフェイスでディセーブルにするには、イネーブルEXECモードで次の手順を実行します。
|
設定する物理インターフェイスのタイプおよび番号を指定し( gigabitethernet0/1 など)、インターフェイス コンフィギュレーション モードを開始します。 |
|
インターフェイスをトラフィックがブロックされないデフォルトの状態に戻すには、 no switchport block { multicast | unicast }インターフェイス コンフィギュレーション コマンドを使用します。
次に、インターフェイスGigabit Ethernet 0/1でユニキャストおよびマルチキャスト フラッディングをブロックし、その設定を確認します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch# show interfaces gigabitethernet0/1 switchport
ポート セキュリティ機能を使用すると、ポートへのアクセスが許可されたステーションのMACアドレスを制限および識別してインターフェイスへの入力を制限できます。セキュア ポートにセキュアMACアドレスを割り当てると、ポートは、定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュアMACアドレスを1つだけ割り当てると、そのポートに接続されたワークステーションは、ポートの総帯域幅を保証されます。
ポートがセキュア ポートとして設定されており、セキュアMACアドレスが最大数まで割り当てられているとき、ポートにアクセスしようとするステーションのMACアドレスが、割り当てられているセキュアMACアドレスのいずれとも一致しない場合は、セキュリティ違反が発生します。また、あるセキュア ポートで設定または学習されたセキュアMACアドレスを持つステーションが別のセキュア ポートにアクセスしようとすると、違反のフラグが立てられます。
ここでは、ポート セキュリティの設定および手順について説明します。
1つのセキュア ポートには、1〜128のセキュア アドレスを対応づけることができます。ポートに対してセキュアMACアドレスの最大数を設定すると、セキュア アドレスは次のいずれかの方法でアドレス テーブルに格納されます。
いったんセキュアMACアドレスの最大数を設定すると、これらはアドレス テーブルに保存されます。アドレスの最大数を1に設定し、接続デバイスのMACアドレスを設定すると、そのデバイスにはポートの総帯域幅が割り当てられます。
スイッチは、次のタイプのセキュアMACアドレスをサポートします。
固定学習 をイネーブルにすると、ダイナミックMACアドレスを固定セキュアMACアドレスに変換し、それらを実行コンフィギュレーションに追加するように、インターフェイスを設定することができます。固定学習をイネーブルにするには、 switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはすべてのダイナミック セキュアMACアドレス(固定学習がイネーブルになる前に動的に学習されたアドレスを含む)を、固定セキュアMACアドレスに変換します。これにより、実行コンフィギュレーションに固定セキュアMACアドレスがすべて追加されます。
固定セキュアMACアドレスは、コンフィギュレーション ファイル(スイッチの再起動時に使用されるスタートアップ コンフィギュレーション)に自動的には格納されません。コンフィギュレーション ファイルに固定セキュアMACアドレスが保存されている場合は、スイッチを再起動するときに、インターフェイスはこれらのアドレスを再学習する必要がありません。固定セキュア アドレスは、保存しないと失われます。
次に、固定学習がインターフェイス上でイネーブルの場合の実行コンフィギュレーションのテキスト例を示します。
switchport port-security maximum 6
switchport port-security aging time 5
switchport port-security aging static
switchport port-security mac-address sticky
switchport port-security mac-address 0000.0000.000b
switchport port-security mac-address sticky 0000.0000.4141
switchport port-security mac-address sticky 0000.0000.5050
ポート セキュリティがディセーブルの場合、固定セキュアMACアドレスは実行コンフィギュレーションに残ります。
固定学習をディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを実行します。固定学習がディセーブルか、または実行コンフィギュレーションが削除されている場合、固定セキュアMACアドレスは実行コンフィギュレーション内に残りますが、アドレス テーブルからは削除されます。削除されたアドレスはダイナミック アドレスとして動的に再設定したり、アドレス テーブルに追加することができます。
セキュリティ違反とは、次のいずれかの状況が発生したときです。
違反発生時の対処方法に関して、次の3つの違反モードのいずれかにインターフェイスを設定できます。
ポート セキュリティのデフォルト設定 に、インターフェイスに対するポート セキュリティのデフォルト設定を示します。
ポート セキュリティの設定時は、次の注意事項に従ってください。
ポートへのアクセスが許可されたステーションのMACアドレスを制限および識別する方法でインターフェイスへの入力を制限するには、イネーブルEXECモードで次の手順を実行します。
インターフェイスをデフォルトの非セキュア ポートに戻すには、 no switchport port-security インターフェイス コンフィギュレーション コマンドを使用します。固定学習がイネーブルの場合にこのコマンドを入力すると、固定学習アドレスは実行コンフィギュレーション内に残りますが、アドレス テーブルからは削除されます。削除されたアドレスはダイナミック アドレスとして動的に再設定したり、アドレス テーブルに追加することができます。
インターフェイスのセキュアMACアドレス数をデフォルトに戻すには、 no switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。
違反モードをデフォルトのshutdownモードに戻すには、 no switchport port-security violation { protocol | restrict } インターフェイス コンフィギュレーション コマンドを使用します。
固定学習をディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを実行します。インターフェイスは固定セキュアMACアドレスをダイナミック セキュア アドレスに変換します。
アドレス テーブルからスタティック セキュアMACアドレスを削除するには、 no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用します。
アドレス テーブルからダイナミック セキュアMACアドレスを削除するには、 clear port-security dynamic address mac-addr イネーブルEXECコマンドを使用します。すべてのダイナミック アドレスを削除するには、 clear port-security dynamic interface interface-id イネーブルEXECコマンドを使用します。
アドレス テーブルから固定セキュアMACアドレスを削除するには、固定セキュアMACアドレスをダイナミック セキュア アドレスに変換する固定学習をディセーブルにし、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用します。ダイナミック セキュア アドレスを削除するには、 clear port-security dynamic interface interface-id イネーブルEXECコマンドを使用します。ダイナミック セキュアMACアドレスを削除するには、 clear port-security dynamic address mac-addr イネーブルEXECコマンドを使用します。
次に、ポートFast Ethernet 0/1でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を50に設定する例を示します。違反モードはデフォルト設定、セキュアMACアドレスは設定なし、固定学習はイネーブルにします。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
Switch# show port-security interface fastethernet0/1
SecureStatic address aging: Enabled
次に、ポートFast Ethernet 0/12でスタティック セキュアMACアドレスおよび固定セキュアMACアドレスを設定し、その設定を確認する例を示します。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 0000.02000.0004
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security mac-address sticky 0008.a343.b581
Switch# show port-security address
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
---- ----------- ---- ----- -------------
1 0000.0000.000a SecureDynamic Fa0/1 -
1 0000.0002.0300 SecureDynamic Fa0/1 -
1 0000.0200.0003 SecureConfigured Fa0/1 -
1 0000.0200.0004 SecureConfigured Fa0/12 -
1 0003.fd62.1d40 SecureConfigured Fa0/5 -
1 0003.fd62.1d45 SecureConfigured Fa0/5 -
1 0003.fd62.21d3 SecureSticky Fa0/5 -
1 0005.7428.1a45 SecureSticky Fa0/8 -
1 0005.7428.1a46 SecureSticky Fa0/8 -
1 0006.1218.2436 SecureSticky Fa0/8 -
1 0008.a343.b581 SecureSticky Fa0/12 -
-------------------------------------------------------------------
ポート セキュリティ エージングを使用すると、ポート上のすべてのセキュア アドレスにエージング タイムを設定できます。ポートごとに2種類のエージングがサポートされています。
この機能を使用すると、既存のセキュアMACアドレスを手動で削除しなくても、セキュア ポートでPCの削除や追加を実行でき、しかもポートのセキュア アドレスの数を制限することができます。また、スタティックに設定されたセキュア アドレスのエージングについても、ポート単位でイネーブルまたはディセーブルに設定することができます。
ポート セキュリティのエージング タイムを設定するには、イネーブルEXECモードで次の手順を実行します。
ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。スタティックに設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、インターフェイスFast Ethernet0/1のセキュア アドレスのエージング タイムを2時間に設定する方法を示します。
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport port-security aging time 120
次の例では、このインターフェイスに設定されたセキュア アドレスのエージングをイネーブルにし、エージング タイプをinactivityに、エージング タイムを2分に設定する方法を示します。
Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static
設定したコマンドを確認するには、 show port-security interface interface id イネーブルEXECコマンドを入力します。
show interfaces interface-id switchport イネーブルEXECコマンドを使用すると、(各種の特性とともに)インターフェイスのトラフィック抑制および制御の設定が表示されます。 show interfaces counters イネーブルEXECコマンドを使用すると、廃棄されたパケット数が表示されます。 show storm control および show port-security イネーブルEXECコマンドを使用すると、それぞれストーム制御とポート セキュリティ設定が表示されます。
トラフィック制御情報を表示するには、 トラフィック制御のステータスと設定表示用のコマンド に示す1つまたは複数のイネーブルEXECコマンドを使用します。
All contents copyright (C) 1992--2003 Cisco Systems K.K.
