|
コマンドまたはアクション |
目的 |
ステップ 1 |
enable
例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configureterminal
例:
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
port-security mac-address forbiddenmac address
例:
Switch(config)# port-security mac-address forbidden 2.2.2
|
すべてのインターフェイスのポート セキュリティで禁止する MAC アドレスを指定します。 |
ステップ 4 |
interface
interface-id
例:
Switch(config)#
interface gigabitethernet1/0/1
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 5 |
switchport mode {
access |
trunk}
例:
Switch(config-if)#
switchport mode access
|
インターフェイス スイッチポート モードを access または trunk に設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。 |
ステップ 6 |
switchport voice vlan
vlan-id
例:
Switch(config-if)#
switchport voice vlan 22
|
ポート上で音声 VLAN をイネーブルにします。
vlan-id:音声トラフィックに使用する VLAN を指定します。 |
ステップ 7 |
switchport port-security
例:
Switch(config-if)#
switchport port-security
|
インターフェイス上でポート セキュリティをイネーブルにします。 |
ステップ 8 |
switchport port-security [maximum
value [
vlan {
vlan-list | {
access |
voice}}]]
例:
Switch(config-if)#
switchport port-security maximum 20
|
(任意)インターフェイスの最大セキュア MAC アドレス数を設定します。 スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。 この値は、アクティブなスイッチング データベース管理(SDM)テンプレートによって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。
(任意)
vlan:VLAN 当たりの最大値を設定します。
vlan キーワードを入力後、次のいずれかのオプションを入力します。
-
vlan-list:トランク ポート上で、ハイフンで区切った範囲の VLAN、またはカンマで区切った一連の VLAN における、VLAN 単位の最大値を設定できます。 VLAN を指定しない場合、VLAN ごとの最大値が使用されます。
-
access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。
-
voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。
(注) |
voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。 インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの最大数を 2 に設定します。 |
|
ステップ 9 |
switchport port-security violation {
protect |
restrict |
shutdown |
shutdown vlan}
例:
Switch(config-if)#
switchport port-security violation restrict
|
(任意)違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかのアクションを実行します。
-
protect:ポート セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。 セキュリティ違反が起こっても、ユーザには通知されません。
(注) |
トランク ポート上に保護モードを設定することは推奨できません。 保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。 |
-
restrict:セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。 SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
-
shutdown:違反が発生すると、インターフェイスが error-disabled になり、ポートの LED が消灯します。 SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
-
shutdown vlan:VLAN 単位でセキュリティ違反モードを設定するために使用します。 このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。
(注) |
セキュア ポートが error-disabled ステートの場合は、
errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力して、このステートから回復させることができます。 手動で再びイネーブルにするには、
shutdown および
no shutdown インターフェイス コンフィギュレーション コマンドを入力するか、
clear errdisable interface vlan 特権 EXEC コマンドを入力します。 |
|
ステップ 10 |
switchport port-security [mac-address
mac-address [
vlan {
vlan-id | {
access |
voice}}]
例:
Switch(config-if)#
switchport port-security mac-address 00:A0:C7:12:C9:25 vlan 3 voice
|
(任意)インターフェイスのセキュア MAC アドレスを入力します。 このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。 設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。
(注) |
このコマンドの入力後にスティッキー ラーニングをイネーブルにすると、動的に学習されたセキュア アドレスがスティッキー セキュア MAC アドレスに変換されて実行コンフィギュレーションに追加されます。 |
(任意)
vlan:VLAN 当たりの最大値を設定します。
vlan キーワードを入力後、次のいずれかのオプションを入力します。
-
vlan-id:トランク ポートで、VLAN ID および MAC アドレスを指定できます。 VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。
-
access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。
-
voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。
(注) |
voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。 インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの最大数を 2 に設定します。 |
|
ステップ 11 |
switchport port-security mac-address sticky
例:
Switch(config-if)#
switchport port-security mac-address sticky
|
(任意)インターフェイス上でスティッキ ラーニングをイネーブルにします。 |
ステップ 12 |
switchport port-security mac-address sticky [
mac-address |
vlan {
vlan-id | {
access |
voice}}]
例:
Switch(config-if)#
switchport port-security mac-address sticky 00:A0:C7:12:C9:25 vlan voice
|
(任意)スティッキー セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。 設定したセキュア MAC アドレスの数が最大数より少ない場合、残りの MAC アドレスは動的に学習されてスティッキー セキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。
(注) |
このコマンドの入力前にスティッキー ラーニングをイネーブルにしないと、エラー メッセージが表示されてスティッキー セキュア MAC アドレスを入力できません。 |
(任意)
vlan:VLAN 当たりの最大値を設定します。
vlan キーワードを入力後、次のいずれかのオプションを入力します。
-
vlan-id:トランク ポートで、VLAN ID および MAC アドレスを指定できます。 VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。
-
access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。
-
voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。
(注) |
voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。 |
|
ステップ 13 |
switchport port-security mac-address forbiddenmac address
例:
Switch(config-if)# switchport port-security mac-address forbidden 2.2.2
|
特定のインターフェイスのポート セキュリティで禁止する MAC アドレスを指定します。 |
ステップ 14 |
end
例:
Switch(config)# end
|
特権 EXEC モードに戻ります。 |
ステップ 15 |
show port-security
例:
Switch#
show port-security
|
入力を確認します。 |
ステップ 16 |
show running-config
例:
Switch# show running-config
|
入力を確認します。 |
ステップ 17 |
copy running-config startup-config
例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |