ポートベースのトラフィック制御の設定

この章では、Catalyst 3550スイッチにポートベースのトラフィック制御機能を設定する方法について説明します。

この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。

この章で説明する内容は、次のとおりです。

• ストーム制御の設定
• 保護ポートの設定
• ポート ブロッキングの設定
• ポート セキュリティの設定
• ポートベースのトラフィック制御設定の表示

ストーム制御の設定

ここでは、ストーム制御の設定および手順について説明します。

• ストーム制御の概要
• ストーム制御のデフォルト設定
• ストーム制御のイネーブル化
• ストーム制御のディセーブル化

ストーム制御の概要

ストーム制御は、LAN上のスイッチ ポートが、いずれかの物理インターフェイスのブロードキャスト、マルチキャスト、またはユニキャストのストームによって影響されないようにします。LANストームは、パケットがLANに氾濫した場合に発生するもので、過剰なトラフィックが生成され、ネットワーク パフォーマンスが低下します。プロトコル スタックの実装やネットワーク構成でのエラーが、ストームの原因となります。

ストーム制御（トラフィック抑制）は、一定時間にわたる着信トラフィック統計情報をモニタし、あらかじめ定義された抑制スレッシュホールドと計測値を比較します。このスレッシュホールドは、ポートで利用可能な総帯域幅に対する割合を表します。スイッチは、ブロードキャスト、マルチキャスト、およびユニキャスト トラフィックのストーム制御スレッシュホールドを個別にサポートします。あるトラフィック タイプがスレッシュホールドに達すると、着信トラフィックがスレッシュホールド レベルを下回るまで、そのタイプのトラフィックは抑制されます。

マルチキャスト トラフィックの割合が、設定されているスレッシュホールドを上回ると、すべての着信トラフィック（ブロードキャスト、マルチキャスト、およびユニキャスト）は、スレッシュホールド レベルを下回るまで廃棄され、スパニングツリー パケットのみが転送されます。ブロードキャストおよびユニキャストがスレッシュホールドを上回った場合、スレッシュホールドを上回ったトラフィック タイプのみがブロックされます。

ストーム制御をイネーブルにすると、スイッチはインターフェイスからスイッチング バスへ流れるパケットをモニタし、そのパケットがユニキャスト、マルチキャスト、またはブロードキャストのいずれであるかを判別します。スイッチは、受信したユニキャスト、マルチキャスト、またはブロードキャストの数を1秒以内のタイム インターバルでモニタし、あるタイプのトラフィックがスレッシュホールドに達すると、そのタイプのトラフィックを廃棄します。このスレッシュホールドは、ブロードキャスト（マルチキャストまたはユニキャスト）トラフィックが利用可能な総帯域幅に対する割合として指定します。

ブロードキャスト ストーム制御の例のグラフは、一定時間におけるインターフェイス上のブロードキャスト トラフィック パターンを示しています。この例は、マルチキャストおよびユニキャスト トラフィックにも適用できます。この例では、転送されているブロードキャスト トラフィックが、タイム インターバルT1〜T2間およびT4〜T5間で設定されたスレッシュホールドを上回っています。特定のトラフィックの量がスレッシュホールドを上回ると、そのタイプのすべてのトラフィックは次の一定時間にわたり、廃棄されます。したがって、ブロードキャスト トラフィックはT2およびT5のあとのインターバルではブロックされています。次のタイム インターバル（たとえば、T3）では、ブロードキャスト トラフィックがスレッシュホールドを上回らなければ、再度転送されます。

ストーム制御抑制レベルと1秒のタイム インターバルの組み合わせにより、ストーム制御アルゴリズムの動作を制御します。スレッシュホールドが高いほど、通過できるパケットが多くなります。スレッシュホールドの値が100%であれば、トラフィックに対する制限はありません。値が0.0であれば、ポートのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがすべてブロックされます。

パケットは均一の間隔で着信するわけではないため、トラフィック アクティビティを測定する1秒のタイム インターバルを設けることによって、ストーム制御の動作に影響を与える可能性があります。

スイッチは、ポートのトラフィックを引き続きモニタし、利用率がスレッシュホールド レベルを下回ると、廃棄されていたトラフィック タイプの転送を再開します。

各トラフィック タイプのスレッシュホールドの値を設定するには、storm-controlインターフェイス コンフィギュレーション コマンドを使用します。

IOS 12.1(8)EA1より前のリリースでは、ストーム制御スレッシュホールドの設定には、switchport broadcast、switchport multicast、およびswitchport unicastインターフェイス コンフィギュレーション コマンドを使用していましたが、上記のコマンドは現在では廃止され、storm-controlインターフェイス コンフィギュレーション コマンドに置き換えられています。

ストーム制御のデフォルト設定

デフォルトでは、ユニキャスト、ブロードキャスト、およびマルチキャストのストーム制御はディセーブルになっています。つまり抑制レベルは100であり、トラフィックには制限がありません。

ストーム制御のイネーブル化

インターフェイスのストーム制御をイネーブルにして、利用可能な総帯域幅のうち、特定タイプのトラフィックに使用したい割合を入力します。100%と入力するとすべてのトラフィックが許可されます。ただし、ハードウェアの制約や、さまざまなサイズのパケットがカウントされる動作のため、スレッシュホールドの割合には誤差が生じます。着信トラフィックを構成するパケットのサイズによっては、実際のスレッシュホールドは、数パーセント程度、設定されたレベルと異なる場合があります。

ストーム制御がサポートされるのは物理インターフェイスに限られます。EtherChannelポート チャネルでは、CLI（コマンドライン インターフェイス）でコマンドが利用できても、サポートはされません。

特定タイプのストーム制御をイネーブルにするには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
	configure terminal	グローバル コンフィギュレーション モードを開始します。
	interfaceinterface-id	設定する物理インターフェイスのタイプおよび番号を指定し（gigabitethernet0/1など）、インターフェイス コンフィギュレーション モードを開始します。
	storm-controlbroadcast levellevel[.level]	インターフェイスのブロードキャスト トラフィック抑制レベルを総帯域幅に対する割合として指定します。指定できるレベルの範囲は1〜100です。オプションで、レベルの小数部を0〜99の範囲で指定できます。スレッシュホールド値が100%であれば、ユニキャスト トラフィックに対する制限はありません。0.0の値は、ポートのすべてのブロードキャスト トラフィックがブロックされるということです。
	storm-control multicastlevellevel[.level]	インターフェイスのマルチキャスト トラフィック抑制レベルを総帯域幅に対する割合として指定します。指定できるレベルの範囲は1〜100です。オプションで、レベルの小数部を0〜99の範囲で指定できます。スレッシュホールド値が100%であれば、ユニキャスト トラフィックに対する制限はありません。0.0の値は、ポートのすべてのマルチキャスト トラフィックがブロックされるということです。
	storm-control unicastlevellevel[.level]	インターフェイスのユニキャスト トラフィック抑制レベルを総帯域幅に対する割合として指定します。指定できるレベルの範囲は1〜100です。オプションで、レベルの小数部を0〜99の範囲で指定できます。スレッシュホールド値が100%であれば、ユニキャスト トラフィックに対する制限はありません。0.0の値は、ポートのすべてのユニキャスト トラフィックがブロックされるということです。
	end	イネーブルEXECモードに戻ります。
	show storm-control [interface-id] [broadcast |multicast |unicast]	指定したトラフィック タイプについてインターフェイスに設定したストーム制御レベルを確認します。トラフィック タイプを入力しなかった場合は、ブロードキャスト ストーム制御設定が表示されます。
	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

ストーム制御をディセーブルにするには、no storm-controlbroadcast level、no storm-control multicast level、またはno storm-control unicast levelインターフェイス コンフィギュレーション コマンドを使用します。次に、インターフェイスFastEthernet 0/17に対してマルチキャスト ストーム制御レベルを70.5%で設定し、その設定を確認する例を示します。

Switch# configure terminal

Switch(config)# interface fastethernet0/17

Switch(config-if)# storm-control multicast level 70.5

Switch(config-if)# end

Switch# show storm-control fastethernet0/17 multicast

Interface Filter State Level Current

--------- ------------- ------- -------

Fa0/17 Forwarding 70.50% 0.00%

ストーム制御のディセーブル化

インターフェイスに対してストーム制御をディセーブルするには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
	configure terminal	グローバル コンフィギュレーション モードを開始します。
	interfaceinterface-id	設定する物理インターフェイスのタイプおよび番号を指定し（gigabitethernet0/1など）、インターフェイス コンフィギュレーション モードを開始します。
	no storm-control broadcast level	インターフェイスのブロードキャスト ストーム制御をディセーブルにします。
	no storm-control multicast level	インターフェイスのマルチキャスト ストーム制御をディセーブルにします。
	no storm-control unicast level	インターフェイスのユニキャスト ストーム制御をディセーブルにします。
	end	イネーブルEXECモードに戻ります。
	show storm-control [interface-id] [broadcast |multicast |unicast]	指定したトラフィック タイプについて、インターフェイスにストーム制御抑制レベルが設定されていることを確認します。トラフィック タイプを入力しなかった場合は、ブロードキャスト ストーム制御設定が表示されます。
	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

次に、インターフェイスFastEthernet 0/17のマルチキャスト ストーム制御をディセーブルにし、その設定を確認する例を示します。

Switch# configure terminal

Switch(config)# interface fastethernet0/17

Switch(config-if)# nostorm-control multicast level

Switch(config-if)# end

Switch# show storm-control fastethernet0/17 multicast

Interface Filter State Level Current

--------- ------------- ------- -------

Fa0/17 inactive 100.00% N/A

保護ポートの設定

一部のアプリケーションでは、同一スイッチのポート間でトラフィックが転送されないようにすることにより、あるネイバによって生成されたトラフィックを別のネイバが認識しないようにする必要があります。このような環境では、保護ポートを使用すれば、スイッチのポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換は行われません。

保護ポートには次のような機能があります。

• 保護ポートは、ほかの保護ポートにいかなるトラフィック（ユニキャスト、マルチキャスト、またはブロードキャスト）も転送しません。レイヤ2では、保護ポート間でトラフィックは転送されません。したがって、保護ポート間を流れるすべてのトラフィックは、レイヤ3デバイスを経由して転送する必要があります。
• 保護ポート/非保護ポート間の転送動作は、通常どおり行われます。
• 802.1Qトランクでは、保護ポートがサポートされています。

デフォルトでは、保護ポートは定義されていません。

保護ポート機能は代替ブリッジングと併用できません。代替ブリッジングがイネーブルである場合、スイッチの1つの保護ポートから、別のVLAN内にある同じスイッチの別の保護ポートにパケットが転送される可能性があります。

MACアドレスが期限切れになったことや、スイッチによって学習されなかったことが原因で、非保護ポートからの不明（unknown）のユニキャストまたはマルチキャスト トラフィックが保護ポートにフラッディングされることがあります。このような場合、保護ポートへのユニキャストまたはマルチキャスト トラフィックのフラッディングを防止するには、switchport block unicastおよび switchport block multicastインターフェイス コンフィギュレーション コマンドを使用します。

保護ポートは、物理インターフェイス（GigabitEthernet 0/1など）またはEtherChannelグループ（ポート チャネル5など）のいずれにも設定できます。ポート チャネルについて保護ポートをイネーブルにすると、ポート チャネル グループ内の全ポートがイネーブルになります。

ポートを保護ポートとして定義するには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
	configure terminal	グローバル コンフィギュレーション モードを開始します。
	interfaceinterface-id	設定する物理インターフェイスのタイプおよび番号を指定し（gigabitethernet0/1など）、インターフェイス コンフィギュレーション モードを開始します。
	switchport protected	インターフェイスを保護ポートとして設定します。
	end	イネーブルEXECモードに戻ります。
	showinterfacesinterface-idswitchport	設定を確認します。
	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

保護ポートをディセーブルにするには、no switchport protectedインターフェイス コンフィギュレーション コマンドを使用します。

次に、インターフェイスGigabitEthernet 0/1を保護ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# switchport protected

Switch(config-if)# end

Switch# show interfaces gigabitethernet0/1 switchport

Name: Gi0/1

Switchport: Enabled

（テキスト出力は省略）

Protected: True

Unknown unicast blocked: disabled

Unknown multicast blocked: disabled

ポート ブロッキングの設定

デフォルトでは、宛先MACアドレスが不明のパケットは、すべてのポートにフラッディングされます。不明のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上の問題が発生することがあります。

不明のユニキャストまたはマルチキャスト トラフィックがポート間で転送されないようにするため、不明のユニキャストまたはマルチキャスト パケットをブロックするようにポート（保護ポートまたは非保護ポート）を設定できます。

保護ポートでは、ユニキャストやマルチキャスト トラフィックのブロックは自動的にはイネーブルになりません。手動で設定する必要があります。

インターフェイスでのフラッディング トラフィックのブロック

インターフェイスとして、物理インターフェイス（GigabitEthernet 0/1など）またはEtherChannelグループ（ポート チャネル5など）のいずれでも指定できます。ポート チャネルのマルチキャストまたはユニキャスト トラフィックをブロックすると、ポート チャネル グループのすべてのポートでブロックされます。

マルチキャストおよびユニキャスト パケットのフラッディングをインターフェイスでディセーブルにするには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
	configure terminal	グローバル コンフィギュレーション モードを開始します。
	interfaceinterface-id	設定する物理インターフェイスのタイプおよび番号を指定し（gigabitethernet0/1など）、インターフェイス コンフィギュレーション モードを開始します。
	switchport block multicast	ポートへの不明マルチキャストの転送をブロックします。
	switchport block unicast	ポートへの不明ユニキャストの転送をブロックします。
	end	イネーブルEXECモードに戻ります。
	showinterfacesinterface-idswitchport	設定を確認します。
	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

インターフェイスをトラフィックがブロックされないデフォルトの状態に戻すには、no switchport block {multicast | unicast}インターフェイス コンフィギュレーション コマンドを使用します。

次に、インターフェイスGigabitEthernet 0/1でユニキャストおよびマルチキャスト フラッディングをブロックし、その設定を確認します。

Switch# configure terminal

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# switchport block multicast

Switch(config-if)# switchport block unicast

Switch(config-if)# end

Switch# show interfaces gigabitethernet0/1 switchport

Name: Gi0/1

Switchport: Enabled

（テキスト出力は省略）

Protected: True

Unknown unicast blocked: enabled

Unknown multicast blocked: enabled

ポートでの通常の転送の再開

ポート上で通常の転送を再開するには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
	configure terminal	グローバル コンフィギュレーション モードを開始します。
	interfaceinterface-id	設定する物理インターフェイスのタイプおよび番号を指定し（gigabitethernet0/1など）、インターフェイス コンフィギュレーション モードを開始します。
	no switchport block multicast	ポートへの不明マルチキャストのフラッディングをイネーブルにします。
	no switchport block unicast	ポートへの不明ユニキャストのフラッディングをイネーブルにします。
	end	イネーブルEXECモードに戻ります。
	showinterfacesinterface-idswitchport	設定を確認します。
	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

ポート セキュリティの設定

ポート セキュリティ機能を使用すると、ポートへのアクセスが許可されたステーションのMACアドレスを制限および識別してインターフェイスへの入力を制限できます。セキュア ポートにセキュアMACアドレスを割り当てると、ポートは、定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。

ここでは、次の内容について説明します。

• ポート セキュリティの概要
• ポート セキュリティのデフォルト設定
• ポート セキュリティ設定時の注意事項
• ポート セキュリティのイネーブル化と設定
• ポート セキュリティ エージングのイネーブル化と設定

ポート セキュリティの概要

ここでは、次の内容について説明します。

• セキュアMACアドレス
• セキュリティ違反

セキュアMACアドレス

スイッチでは、次のタイプのセキュアMACアドレスを設定できます。

• スタティック セキュアMACアドレス ― switchport port-security mac-addressmac-addressインターフェイス コンフィギュレーションを使用して手動で設定されます。これらはアドレス テーブルに格納され、スイッチの実行コンフィギュレーションに追加されます。
• ダイナミック セキュアMACアドレス ― 動的に学習されます。これらはアドレス テーブル内にのみ格納され、スイッチが再起動するときに削除されます。
• 固定（sticky）セキュアMACアドレス ― 動的に学習または手動で設定されます。これらはアドレス テーブル内に格納され、実行コンフィギュレーションに追加されます。これらのアドレスがコンフィギュレーション ファイルに保存されている場合は、スイッチを再起動しても、インターフェイスは動的な学習を再度行う必要はありません。固定セキュア アドレスは手動で設定できますが、この方法は推奨しません。

固定学習をイネーブルにすると、ダイナミックMACアドレスを固定セキュアMACアドレスに変換し、それらを実行コンフィギュレーションに追加するように、インターフェイスを設定することができます。固定学習をイネーブルにするには、switchportport-security mac-address stickyインターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはすべてのダイナミック セキュアMACアドレス（固定学習がイネーブルになる前に動的に学習されたアドレスを含む）を、固定セキュアMACアドレスに変換します。

固定セキュアMACアドレスは、コンフィギュレーション ファイル（スイッチの再起動時に使用されるスタートアップ コンフィギュレーション）に、自動的には格納されません。コンフィギュレーション ファイルに固定セキュアMACアドレスが保存されている場合は、スイッチを再起動するときに、インターフェイスはこれらのアドレスを再学習する必要がありません。設定は保存しないと失われます。

固定学習がディセーブルの場合、固定セキュアMACアドレスはダイナミック セキュア アドレスに変換されて動作中のコンフィギュレーションから削除されます。

セキュア ポートまたはVLAN上の使用できるMACアドレスの最大数は、アクティブなSwitch Database Management（SDM;スイッチング データベース マネージャ）テンプレートによって決定されます。SDMテンプレートの設定については、ユーザが選択した機能に対するシステム リソースの最適化を参照してください。

セキュリティ違反

セキュリティ違反とは、次のいずれかの状況が発生したときです。

• セキュアMACアドレスが最大数までアドレス テーブルに追加され、アドレス テーブルにないMACアドレスを持つステーションが、インターフェイスにアクセスしようとした場合。
• あるセキュア インターフェイスで学習または設定されたアドレスが、同一VLAN内の別のセキュア インターフェイスで認識された場合。

違反発生時の対処方法に関して、次の3つの違反モードのいずれかにインターフェイスを設定できます。

• protect ― セキュアMACアドレスの数がポートに許容された限界に達した場合、十分な数のセキュアMACアドレスを削除するまで、不明の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反の発生は通知されません。

トランク ポート上のprotectモードをイネーブルにしないでください。ポートがその最大制限値に達していない場合でも、いずれかのVLANが最大制限値に達すると、protectモードにより学習がディセーブルになります。

• restrict ― セキュアMACアドレスの数がポートに許容された限界に達した場合、十分な数のセキュアMACアドレスを削除するか、または許容されるアドレスの最大数を増やすまで、不明の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反の発生は通知されません。具体的には、SNMPトラップが送信され、Syslogメッセージが記録され、違反カウンタが増加します。
• shutdown ― このモードでは、ポートのセキュリティ違反が発生すると、インターフェイスが即座にエラーディセーブルになり、ポートLEDがオフになります。また、SNMPトラップを送信し、Syslogメッセージを記録し、違反カウンタが増加します。セキュア ポートがエラー ディセーブル ステートになった場合は、errdisable recovery causepsecure-violationグローバル コンフィギュレーション コマンドを使用することにより、ステートを変更することができます。また、shutdownおよびno shut downインターフェイス コンフィギュレーション コマンドを入力することにより、手動でポートをイネーブルに戻すこともできます。デフォルトはこのモードに設定されています。

セキュリティ違反モードの動作に、インターフェイスにポート セキュリティを設定した場合の、違反モードおよび動作を示します。

セキュリティ違反モードの動作

違反モード	トラフィックの転送1	SNMPトラップの送信	Syslog メッセージの送信	エラー メッセージの表示2	違反カウンタの増加	ポートの シャットダウン
protect	なし	なし	なし	なし	なし	なし
restrict	なし	あり	あり	なし	あり	なし
shutdown	なし	あり	あり	なし	あり	あり

ポート セキュリティのデフォルト設定

ポート セキュリティのデフォルト設定に、インターフェイスに対するポート セキュリティのデフォルト設定を示します。

ポート セキュリティのデフォルト設定

機能	デフォルト設定
ポート セキュリティ	ディセーブル
セキュアMACアドレスの最大数	1
違反モード	shutdown
固定アドレス学習	ディセーブル
ポート セキュリティ エージング	ディセーブル。エージング タイムは0です。イネーブルの場合、デフォルトのタイプはabsoluteになります。

ポート セキュリティ設定時の注意事項

ポート セキュリティの設定時は、次の注意事項に従ってください。

• ポート セキュリティは、スタティック アドレス ポート、トランク ポート、または802.1Qトンネル ポート上でのみ設定できます。
• セキュア ポートは、ダイナミック アクセス ポートにできません。
• セキュア ポートは、Switched Port Analyzer（SPAN;スイッチド ポート アナライザ）の宛先ポートにできません。
• セキュア ポートは、Fast EtherChannelやGigabit EtherChannelポート グループに属すことができません。
• 音声VLANでは、スタティック セキュアMACアドレスまたは固定セキュアMACアドレスを設定できません。
• 音声VLANの設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポート上で許可されるセキュア アドレスの最大数を2以上に設定する必要があります。
• アクセスVLAN上でイネーブルに設定されるポート セキュリティのタイプにかかわらず、ダイナミック ポート セキュリティは音声VLAN上で自動的にイネーブルになります。
• 音声VLANを、固定セキュア ポートとしても設定されるセキュア ポート上で設定する場合、音声VLAN上で認識されるアドレスはすべて、ダイナミック セキュア アドレスとして学習され、（ポートが属している）アクセスVLAN上で認識されるアドレスはすべて、固定セキュア アドレスとして学習されます。
• スイッチでは、固定セキュアMACアドレスのポート セキュリティ エージングをサポートしません。
• 特定のインターフェイス上では、protectオプションおよびrestrictオプションを同時にイネーブルすることはできません。

ポート セキュリティのイネーブル化と設定

ポートへのアクセスが許可されたステーションのMACアドレスを制限および識別する方法でインターフェイスへの入力を制限するには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
	configure terminal	グローバル コンフィギュレーション モードを開始します。
	interfaceinterface-id	設定する物理インターフェイスのタイプおよび番号を指定し（gigabitethernet0/1など）、インターフェイス コンフィギュレーション モードを開始します。
	switchport mode {access | trunk}	インターフェイス モードをaccessまたはtrunkに設定します。デフォルト モード（dynamic desirable）のインターフェイスは、セキュア ポートとして設定できません。
	switchport port-security	インターフェイスでポート セキュリティをイネーブルにします。
	switchport port-security maximumvalue[vlan [vlan-list]]	（任意）インターフェイスについてセキュアMACアドレスの最大数を設定します。使用できるアドレスの最大数は、アクティブなSDMテンプレートにより決定されます。デフォルト値は1です。 （任意）トランク ポートには、VLAN上のセキュアMACアドレスの最大値を設定できます。 vlan ― VLAN単位の最大値を設定します。 vlanvlan list ― ハイフンで区切られた範囲のVLAN、またはカンマで区切られた一連のVLAN上のVLAN単位の最大値を設定します。VLANが指定されていない場合は、VLAN単位の最大値が使用されます。VLAN単位の最大値が入力されていない場合は、デフォルト値が使用されます。
	switchport port-security violation{protect | restrict | shutdown}	（任意）違反モード、セキュリティ違反検出時の対処方法を次のいずれかで設定します。 protect ― セキュアMACアドレスの数がポートに許容された限界に達した場合、十分な数のセキュアMACアドレスを削除するまで、不明の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反の発生は通知されません。 トランク ポート上のprotectモードをイネーブルにしないでください。ポートがその最大制限値に達していない場合でも、いずれかのVLANが最大制限値に達すると、protectモードにより学習がディセーブルになります。 restrict ― セキュアMACアドレスの数がポートに許容された限界に達した場合、十分な数のセキュアMACアドレスを削除する、または許容されるアドレスの最大数を増やすまで、不明の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反の発生は通知されません。具体的には、SNMPトラップが送信され、Syslogメッセージが記録され、違反カウンタが増加します。 shutdown ― このモードでは、ポートのセキュリティ違反が発生すると、インターフェイスが即座にエラーディセーブルになり、ポートLEDがオフになります。また、SNMPトラップを送信し、Syslogメッセージを記録し、違反カウンタが増加します。 セキュア ポートがエラー ディセーブル ステートになった場合は、errdisable recovery causepsecure-violationグローバル コンフィギュレーション コマンドを使用することにより、ステートを変更することができます。また、shutdownおよびno shut downインターフェイス コンフィギュレーション コマンドを入力することにより、手動でポートをイネーブルに戻すこともできます。
	switchport port-security mac-addressmac-address[vlan vlan-id]	（任意）インターフェイスのスタティック セキュアMACアドレスを入力します。必要に応じて、このコマンドを繰り返し入力します。このコマンドを使用してセキュアMACアドレスの最大数を入力できます。最大数より少ないセキュアMACアドレス数を設定すると、残りのMACアドレスは動的に学習されます。 （任意）トランク ポートでは、VLAN IDとMACアドレスを指定できます。VLAN IDが指定されていない場合は、ネイティブVLANが使用されます。 このコマンドを入力したあとに固定学習をイネーブルにすると、動的に学習されたセキュア アドレスが固定セキュアMACアドレスに変換されて、実行コンフィギュレーションに追加されます。
	switchport port-security mac-address sticky	（任意）インターフェイスで固定学習をイネーブルにします。
	end	イネーブルEXECモードに戻ります。
	show port-security	設定を確認します。
	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

インターフェイスをデフォルトの非セキュア ポートに戻すには、no switchport port-securityインターフェイス コンフィギュレーション コマンドを使用します。固定学習がイネーブルの場合にこのコマンドを入力すると、固定学習アドレスは実行コンフィギュレーション内に残りますが、アドレス テーブルからは削除されます。ここで、すべてのアドレスが動的に学習されます。

インターフェイスのセキュアMACアドレス数をデフォルトに戻すには、noswitchport port-security maximumvalueインターフェイス コンフィギュレーション コマンドを使用します。

違反モードをデフォルトのshutdownモードに戻すには、noswitchport port-security violation{protect| restrict}インターフェイス コンフィギュレーション コマンドを使用します。

固定学習をディセーブルにするには、no switchport port-security mac-address stickyインターフェイス コンフィギュレーション コマンドを実行します。インターフェイスは固定セキュアMACアドレスをダイナミック セキュア アドレスに変換します。

アドレス テーブルからスタティック セキュアMACアドレスを削除するには、clearport-security configured addressmac-addressイネーブルEXECコマンドを使用します。インターフェイスまたはVLAN上のすべてのスタティック セキュアMACアドレスを削除するには、clear port-security configured interfaceinterface-idイネーブルEXECコマンドを使用します。

アドレス テーブルからダイナミック セキュアMACアドレスを削除するには、clear port-security dynamic addressmac-addressイネーブルEXECコマンドを使用します。インターフェイスまたはVLAN上のすべてのダイナミック アドレスを削除するには、clear port-security dynamic interfaceinterface-idイネーブルEXECコマンドを使用します。

アドレス テーブルから固定セキュアMACアドレスを削除するには、clear port-security sticky addressmac-addressイネーブルEXECコマンドを使用します。インターフェイスまたはVLAN上のすべての固定アドレスを削除するには、clear port-security sticky interfaceinterface-idイネーブルEXECコマンドを使用します。

次に、ポートFastEthernet 0/1でセキュリティをイネーブルにし、セキュア アドレスの最大数を50に設定する例を示します。違反モードはデフォルト設定、セキュアMACアドレスは設定なし、固定学習はイネーブルにします。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security maximum 50

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# end

Switch# show port-security interface fastethernet0/1

Port Security : Enabled

Port Status : Secure-up

Violation Mode : Shutdown

Aging Time : 20 mins

Aging Type : Inactivity

SecureStatic Address Aging : Enabled

Maximum MAC Addresses : 50

Total MAC Addresses : 11

Configured MAC Addresses : 0

Sticky MAC Addresses : 11

Last Source Address : 0000.0000.0000

Security Violation Count : 0

次に、FastEthernet 12ポート上のスタティック セキュアMACアドレスを設定し、固定学習をイネーブルにして、設定を確認する例を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface fastethernet0/12

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security mac-address 0000.02000.0004

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# end

Switch# show port-security address

= Secure Mac Address Table

-------------------------------------------------------------------

Vlan Mac Address Type Ports Remaining Age

(mins)

---- ----------- ---- ----- -------------

1 0000.0000.000a SecureDynamic Fa0/1 -

1 0000.0002.0300 SecureDynamic Fa0/1 -

1 0000.0200.0003 SecureConfigured Fa0/1 -

1 0000.0200.0004 SecureConfigured Fa0/12 -

1 0003.fd62.1d40 SecureConfigured Fa0/5 -

1 0003.fd62.1d45 SecureConfigured Fa0/5 -

1 0003.fd62.21d3 SecureSticky Fa0/5 -

1 0005.7428.1a45 SecureSticky Fa0/8 -

1 0005.7428.1a46 SecureSticky Fa0/8 -

1 0006.1218.2436 SecureSticky Fa0/8 -

-------------------------------------------------------------------

Total Addresses in System :10

Max Addresses limit in System :6176

次に、FastEthernet 12ポート上のVLAN 5の8つのセキュアMACアドレスの最大値を設定し、設定を確認する例を示します。

Switch(config-if)# switchport port-security maximum 8 vlan 5

Switch(config-if)# end

Switch# show port-security interface fastethernet0/12 vlan

Default maximum: not set, using 6176

VLAN Maximum Current

1 default 0

5 8 0

ポート セキュリティ エージングのイネーブル化と設定

ポート セキュリティ エージングを使用すると、ポート上のスタティックおよびダイナミック セキュア アドレスにエージング タイムを設定できます。ポートごとに2種類のエージングがサポートされています。

• absolute ― ポートのセキュア アドレスは、指定のエージング タイムの経過後、削除されます。
• inactivity ― ポートのセキュア アドレスが削除されるのは、指定したエージング タイムの間、そのセキュア アドレスが非アクティブであった場合だけです。

この機能を使用すると、既存のセキュアMACアドレスを手動で削除しなくても、セキュア ポートでPCの削除や追加を実行でき、ポートのセキュア アドレスの数を制限することもできます。また、スタティックに設定されたセキュア アドレスのエージングについても、ポート単位でイネーブルまたはディセーブルに設定できます。

ポート セキュリティのエージング タイムを設定するには、イネーブルEXECモードで次の手順を実行します。

	コマンド	説明
	configure terminal	グローバル コンフィギュレーション モードを開始します。
	interfaceinterface-id	ポート セキュリティのエージングをイネーブルにするポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 スイッチでは、固定セキュア アドレスのポート セキュリティ エージングをサポートしません。
	switchport port-securityaging {static | timetime | type{absolute | inactivity}}	セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにするか、またはエージング タイムやタイプを設定します。 このポートに、スタティックに設定されたセキュア アドレスのエージングをイネーブルにする場合は、staticを入力します。 timeには、このポートのエージング タイムを指定します。指定できる範囲は0〜1440分です。この値を0に設定すると、このポートのエージングはディセーブルになります。 typeには、次のキーワードのいずれかを1つ選択します。 absolute ― エージング タイプをabsoluteに設定します。このポートのセキュア アドレスはすべて、指定した時間（分単位）が経過すると期限切れになり、セキュア アドレス リストから削除されます。 absoluteエージング タイムは、システム タイマーの順序に従って1分ごとに変わります。 inactivity ― エージングのタイプをinactivityに設定します。このポートのセキュア アドレスが期限切れになるのは、指定した時間中にセキュア ソース アドレスからのデータ トラフィックを受信しなかった場合だけです。
	end	イネーブルEXECモードに戻ります。
	show port-security [interfaceinterface-id] [address]	設定を確認します。
	copy running-config startup-config	（任意）コンフィギュレーション ファイルに設定を保存します。

ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-securityagingtimeインターフェイス コンフィギュレーション コマンドを使用します。スタティックに設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-securityagingstaticインターフェイス コンフィギュレーション コマンドを使用します。

次の例では、インターフェイスFastEthernet 0/1のセキュア アドレスのエージング タイムを2時間に設定する方法を示します。

Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport port-security aging time 120

次の例では、このインターフェイスに設定されたセキュア アドレスのエージングをイネーブルにし、エージング タイプをinactivityに、エージング タイムを2分に設定する方法を示します。

Switch(config-if)# switchport port-security aging time 2

Switch(config-if)# switchport port-security aging type inactivity

Switch(config-if)# switchport port-security aging static

設定したコマンドを確認するには、show port-security interfaceinterface-idイネーブルEXECコマンドを入力します。

ポートベースのトラフィック制御設定の表示

show interfaces interface-idswitchportイネーブルEXECコマンドを使用すると、（各種の特性とともに）インターフェイスのトラフィック抑制および制御の設定が表示されます。show interfaces countersイネーブルEXECコマンドを使用すると、廃棄されたパケット数が表示されます。
show storm controlおよびshow port-securityイネーブルEXECコマンドを使用すると、それぞれストーム制御とポート セキュリティ設定が表示されます。

トラフィック制御情報を表示するには、トラフィック制御のステータスと設定表示用のコマンドに示す1つまたは複数のイネーブルEXECコマンドを使用します。

トラフィック制御のステータスと設定表示用のコマンド

コマンド	説明
show interfaces [interface-id] switchport	すべてのスイッチング（非ルーティング）ポートまたは指定したポートについて、管理ステータスまたは動作ステータスを表示します（ポート ブロッキング、ポート保護設定など）。
show storm-control [interface-id] [broadcast |multicast |unicast]	すべてのインターフェイスまたは指定したインターフェイスについて、指定したトラフィック タイプ（指定されていない場合はブロードキャスト トラフィック）のストーム制御抑制レベルを表示します。
show interfaces [interface-id] counters broadcast	すべてのインターフェイスまたは指定したインターフェイスについて、廃棄されたパケットの数を示す、ストーム制御ブロードキャスト抑制廃棄カウンタを表示します。
show interfaces [interface-id] counters multicast	すべてのインターフェイスまたは指定したインターフェイスについて、廃棄されたパケットの数を示す、ストーム制御マルチキャスト抑制廃棄カウンタを表示します。
show interfaces [interface-id] counters unicast	すべてのインターフェイスまたは指定したインターフェイスについて、廃棄されたパケットの数を示す、ストーム制御ユニキャスト抑制廃棄カウンタを表示します。
show port-security[interfaceinterface-id]	スイッチまたは指定したインターフェイスのポートのセキュリティ設定を表示します。各インターフェイスのセキュアMACアドレスの最大数、インターフェイスのセキュアMACアドレス数、発生したセキュリティ違反数、違反モードなどが含まれます。
show port-security[interfaceinterface-id]address	すべてのスイッチ インターフェイスまたは指定したインターフェイスについて、設定されたすべてのセキュアMACアドレスと、各アドレスのエージング情報を表示します。
show port-security[interfaceinterface-id]vlan	各VLANのセキュアMACアドレスの最大許容数およびVLAN上のセキュアMACアドレス数を表示します。