この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
ポート セキュリティを使用すると、限定されたセキュア MAC アドレス セットからのインバウンド トラフィックを許可するレイヤ 2 インターフェイスを設定できます。 セキュアな MAC アドレスからのトラフィックは、同じ VLAN 内の別のインターフェイス上では許可されません。 「セキュア」にできる MAC アドレスの数は、インターフェイス単位で設定します。
ダイナミック方式で学習された MAC アドレスはエージングされ、エージングの期限に達するとドロップされます。 エージングの期限は、インターフェイスごとに設定できます。 有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
アドレス エージングの判断には、2 つの方法があります。
セキュア ポート上のセキュア MAC アドレスは、他の標準的な MAC と同じ MAC アドレス テーブルに挿入されます。 MAC テーブルの上限に達すると、その VLAN に対する新しいセキュア MAC の学習は行われなくなります。
セキュア ポート上のセキュア MAC アドレスは、他の標準的な MAC と同じ MAC アドレス テーブルに挿入されます。 MAC テーブルの上限に達すると、その VLAN に対する新しいセキュア MAC の学習は行われなくなります。
次の図で示すように、VEM の各 VLAN には、セキュア MAC アドレスを最大数まで保存できる転送テーブルがあります。
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。 各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。 最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
ヒント |
アドレスの最大数を 1 に設定し、接続された装置の MAC アドレスを設定すると、その装置にはポートの全帯域幅が保証されます。 |
インターフェイス 1 つあたりの許容されるセキュア MAC アドレスの数は、次の制限値によって決定されます。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用されるセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。
次のいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
(注) |
特定のセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同一 VLAN 上の別のポートでポート セキュリティがセキュア MAC アドレスを検出したときに発生する一連のイベントは、MAC 移動違反と呼ばれます。 |
switch(config)# errdisable recovery cause psecure-violation switch(config)# copy running-config startup-config (Optional)
セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合は、トラフィックを受信したインターフェイスに対して処理が適用されます。 MAC 移動違反は、別のインターフェイスですでに保護されている MAC アドレスを検出したポートでトリガーされます。
ポート セキュリティを設定できるのは、レイヤ 2 インターフェイスだけです。 各種のインターフェイスまたはポートとポート セキュリティについて次に詳しく説明します。
ポート セキュリティが設定されているレイヤ 2 インターフェイスでアクセス ポートをトランク ポートに変更すると、ダイナミック方式で学習されたすべてのセキュア アドレスがドロップされます。 ネイティブ トランク VLAN に接続されているデバイスは、スタティック方式またはスティッキ方式で学習したアドレスを移行します。
ポート セキュリティが設定されているレイヤ 2 インターフェイスでトランク ポートをアクセス ポートに変更すると、ダイナミック方式で学習されたすべてのセキュア アドレスがドロップされます。 設定済みの MAC アドレスおよびスティッキ MAC アドレスは、ネイティブ トランク VLAN に存在せず、移動先のアクセス ポートに設定されたアクセス VLAN とも一致しない場合はすべてドロップされます。
パラメータ |
デフォルト |
---|---|
Interface |
Disabled |
MAC アドレス ラーニング方式 |
Dynamic |
セキュア MAC アドレスのインターフェイス最大数 |
1 |
セキュリティ違反時の処理 |
シャットダウン |
(注) |
ルーテッド インターフェイスでは、ポート セキュリティをイネーブルにできません。 |
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security switch(config-if)# show running-config port-security switch(config-if)# copy running-config startup-config
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security mac-address sticky switch(config-if)# show running-config port-security switch(config-if)# copy running-config startup-config
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security mac-address 0019.D2D0.00AE switch(config-if)# show running-config port-security switch(config-if)# copy running-config startup-config
レイヤ 2 インターフェイスからスタティック方式またはスティッキ方式のセキュア MAC アドレスを削除するには、次の手順を実行します。
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# no switchport port-security mac-address 0019.D2D0.00AE switch(config-if)# show running-config port-security switch(config-if)# copy running-config startup-config
ダイナミック方式で学習された特定のアドレス、または特定のインターフェイスでダイナミックに学習されたすべてのアドレスを削除するには、この手順を使用します。
(注) |
ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown コマンドを使用して、インターフェイスを再起動します。 |
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# clear port-security dynamic interface vethernet 36 switch(config)# show port-security address
レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定するには、次の手順を実行します。 レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。 設定できる最大アドレス数は 4096 です。
セキュア MAC アドレスは、レイヤ 2 転送テーブル(L2FT)を共有します。 各 VLAN の転送テーブルには最大 1024 エントリを保持できます。
(注) |
インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、コマンドは拒否されます。 |
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security maximum 425 switch(config-if)# show running-config port-security switch(config-if)# copy running-config startup-config
ダイナミック方式で学習された MAC アドレスがエージング期限に到達した時期を判断するために使用される MAC アドレス エージングのタイプと期間を設定するには、次の手順を実行します。
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security aging type inactivity switch(config-if)# switchport port-security aging time 120 switch(config-if)# show running-config port-security switch(config-if)# copy running-config startup-config
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security violation protect switch(config-if)# show running-config port-security switch(config-if)# copy running-config startup-config
ポート セキュリティ違反がディセーブルなインターフェイスを自動的に回復するには、次の手順を実行します。 インターフェイスを errdisable ステートから手動で回復するには、shutdown コマンドを入力してから、no shutdown コマンドを入力する必要があります。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# errdisable recovery cause psecure-violation switch(config-if)# errdisable recovery interval 30 switch(config-if)# copy running-config startup-config
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show running-config port-security |
ポート セキュリティの設定を表示します。 |
show port-security |
ポート セキュリティのステータスを表示します。 |
セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。
次に、VLAN とインターフェイスのセキュア アドレス最大数が指定されている vEthernet 36 インターフェイスのポート セキュリティ設定の例を示します。 この例のインターフェイスはトランク ポートです。 違反時の処理は Protect(保護)に設定されています。
switch# config terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 10 switch(config-if)# switchport port-security maximum 7 vlan 10 switch(config-if)# switchport port-security maximum 3 vlan 20 switch(config-if)# switchport port-security violation protect
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
ポート セキュリティ |
4.0(4)SV1(1) |
この機能が導入されました。 |