この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
ポート セキュリティを使用すると、限定された MAC アドレス セットからの着信トラフィックだけを許可するようにレイヤ 2 物理インターフェイス、レイヤ 2 ポート チャネル インターフェイス、および仮想ポート チャネル(vPC)を設定できます。 この限定セットの MAC アドレスをセキュア MAC アドレスといいます。 さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。 セキュア MAC アドレスの数は、インターフェイス単位で設定します。
(注) |
特に指定がなければ、インターフェイスは物理インターフェイス、ポートチャネル インターフェイス、および vPC を意味します。同様に、レイヤ 2 インターフェイスはレイヤ 2 物理インターフェイスとレイヤ 2 ポート チャネル インターフェイスの両方を意味します。 |
MAC アドレスは学習というプロセスによってセキュア アドレスになります。 MAC アドレスは、1 つのインターフェイスだけでセキュア MAC アドレスになることができます。 デバイスは、ポート セキュリティがイネーブルに設定されたインターフェイスごとに、スタティック、ダイナミック、またはスティッキの方式で、限られた数の MAC アドレスを学習できます。 デバイスがセキュア MAC アドレスを格納する方法は、デバイスがセキュア MAC アドレスを学習した方法によって異なります。
(注) |
学習したすべての MAC アドレスは vPC ピア間で同期されます。 |
スタティック学習方式では、ユーザが手動でインターフェイスの実行コンフィギュレーションにセキュア MAC アドレスを追加したり、設定から削除したりできます。 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、デバイスを再起動してもスタティック セキュア MAC アドレスには影響がありません。
スタティック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。
デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。 この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。 このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。
デバイスは、ダイナミック セキュア MAC アドレスをメモリに保存します。 ダイナミック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにしますが、この方法で学習されたアドレスは NVRAM に保存されます。 そのため、スティッキ方式で学習されたアドレスは、デバイスの再起動後も維持されます。 スティッキ セキュア MAC アドレスは、インターフェイスの実行コンフィギュレーション内にはありません。
ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。 あるインターフェイスのスティッキ学習をイネーブルにした場合、デバイスはダイナミック学習を停止して、代わりにスティッキ学習を実行します。 スティッキ学習をディセーブルにすると、デバイスはダイナミック学習を再開します。
スティッキ セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
デバイスは、ダイナミック方式で学習された MAC アドレスのエージングを行い、エージングの期限に達すると、アドレスをドロップします。 エージングの期限は、インターフェイスごとに設定できます。 有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
vPC ドメインでは、vPC ピアの両方でエージングの期限に達した場合に限り、ダイナミック MAC アドレスがドロップされます。
MAC アドレスのエージングを判断するためにデバイスが使用する方法も設定できます。 アドレス エージングの判断には、次に示す 2 つの方法が使用されます。
適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。
デバイスがアドレスを学習して以降の経過時間。 これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。 各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。 最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
(注) |
vPC ドメインでは、プライマリ vPC 上の設定が有効になります。 |
ヒント |
アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、そのデバイスにはポートの全帯域幅が保証されます。 |
各インターフェイスに許容されるセキュア MAC アドレスの数は、次の 3 つの制限によって決定されます。
デバイスが許容できるセキュア MAC アドレスの最大数は 8192 です。この値は変更できません。 新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。
ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数 1025 を設定できます。 デフォルトでは、インターフェイスの最大アドレス数は 1 です。 インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。
vPC ドメインでは、プライマリ vPC スイッチにセキュア MAC アドレスの最大数を設定します。 セカンダリ スイッチにセキュア MAC アドレスの最大数が設定されていても、プライマリ vPC スイッチは数の検証を行います。
ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。 VLAN の最大数は、インターフェイスに設定されている最大数より大きくできません。 VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。 VLAN の最大数には、デフォルト値はありません。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用可能なセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。
次の 2 つのイベントのいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合 ブロックされたエントリは、Cisco Nexus スイッチの転送モジュール(FWM)に追加されます。
あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合 ブロックされたエントリは、ドロップ エントリとしてポート セキュリティ テーブルに追加されます。
セキュリティ違反が発生すると、デバイスは、インターフェイスのセキュリティ違反カウンタの値を増加させ、インターフェイスのポート セキュリティ設定に指定されている処理を実行します。 セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
デバイスが実行できる処理は次のとおりです。
違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。 このインターフェイスはエラー ディセーブル状態になります。 これがデフォルトの処理です。 インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
MAC アドレスは非セキュア ポートに移行せず、非セキュア ポート上のフレームはドロップされます。
非セキュア MAC アドレスからの入力トラフィックをすべてドロップし、ブロックされた MAC エントリとして MAC アドレスをポート セキュリティ テーブルに追加します。
(注) |
vPC ドメインでは、ブロックされた MAC アドレスのうち、制限モードで違反が発生してポート セキュリティ テーブルに追加されたアドレスは、vPC ピア間で同期されません。 |
デバイスはドロップされたパケット数を保持しますが、これをセキュリティ違反回数と呼びます。 インターフェイスで発生するセキュリティ違反が最大数に到達するまでアドレス学習を継続します。 最初のセキュリティ違反のあとに学習されたアドレスからのトラフィックはドロップされます。
最大数違反に設定された最大値(10)に到達すると、インターフェイスはシャットダウンされ、保護モードに移行します。
これ以上の違反の発生を防止します。 セキュリティ違反をトリガーしたアドレスは学習されますが、そのアドレスからのトラフィックはドロップされます。 それ以降、アドレス学習は実行されなくなります。
(注) |
vPC では、プライマリ vPC スイッチに設定された違反処理が有効になります。 したがって、セキュリティ違反がトリガーされると、プライマリ vPC スイッチに定義されたセキュリティ処理が常に実行されます。 |
最大数違反に設定された最大値(10)に到達すると、インターフェイスはシャットダウンされ、errdisabled 状態に移行します。
レイヤ 2 インターフェイスにポート セキュリティを設定し、そのインターフェイスのポート タイプを変更した場合、デバイスは次のように動作します。
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。 デバイスは、スタティック方式またはスティッキ方式で学習したアドレスをネイティブ トランク VLAN に移行します。
レイヤ 2 インターフェイスをトランク ポートからアクセス ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。 ネイティブ トランク VLAN でスティッキ方式で学習されたアドレスはすべて、アクセス VLAN に移行されます。 ネイティブ トランク VLAN でない場合、スティッキ方式で学習されたセキュア アドレスはドロップされます。
インターフェイスをレイヤ 2 インターフェイスからレイヤ 3 インターフェイスに変更すると、デバイスはそのインターフェイスのポート セキュリティをディセーブルにし、そのインターフェイスのすべてのポート セキュリティ設定を廃棄します。 デバイスは、学習方式に関係なく、そのインターフェイスのセキュア MAC アドレスもすべて廃棄します。
インターフェイスをレイヤ 3 インターフェイスからレイヤ 2 インターフェイスに変更すると、デバイス上のそのインターフェイスのポート セキュリティ設定はなくなります。
次の表に、この機能のライセンス要件を示します。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
ポート セキュリティにはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は、Cisco NX-OS デバイス イメージにバンドルされており、追加料金なしで利用できます。 Cisco NX-OS ライセンス方式の詳細については、『License and Copyright Information for Cisco NX-OS Software』(を参照してください。次の URL で入手できます。http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/license_agreement/nx-ossw_lisns.html)を参照してください。 |
ポート セキュリティの前提条件は次のとおりです。
ポート セキュリティを設定する場合、次の注意事項に従ってください。
ポート セキュリティに関する注意事項と制約事項に加えて、vPC 上のポート セキュリティに関する追加の注意事項と制約事項があります。 vPC 上のポート セキュリティを設定する場合は、次の注意事項に従ってください。
デバイスに対してポート セキュリティ機能のグローバルなイネーブル化またはディセーブル化が可能です。 デフォルトで、ポート セキュリティはグローバルにディセーブルになっています。
ポート セキュリティをディセーブルにすると、インターフェイスのすべてのポート セキュリティ設定が無効になります。 ポート セキュリティをグローバルにディセーブル化すると、すべてのポート セキュリティ設定が失われます。
(注) |
vPC ドメインのポート セキュリティをイネーブル、またはディセーブルにするには、vPC ピアの両方でポート セキュリティをグローバルにイネーブル化またはディセーブルにする必要があります。 |
レイヤ 2 インターフェイスに対してポート セキュリティ機能のイネーブル化またはディセーブル化が可能です。 デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。
インターフェイスのポート セキュリティをディセーブルにすると、そのインターフェイスのすべてのスイッチポートのポート セキュリティ設定が失われます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
vPC ドメインにポート セキュリティを設定する場合、両方の vPC ピアでポート セキュリティをグローバルにイネーブル化しておく必要があります。
レイヤ 2 イーサネット インターフェイスがポート チャネル インターフェイスのメンバである場合、レイヤ 2 イーサネット インターフェイスに対するポート セキュリティはイネーブルまたはディセーブルにできません。
セキュア レイヤ 2 ポート チャネル インターフェイスのメンバのいずれかのポート セキュリティがイネーブルになっている場合、先にポート チャネル インターフェイスからセキュア メンバ ポートをすべて削除しない限り、そのポート チャネル インターフェイスのポート セキュリティをディセーブルにできません。
インターフェイスのスティッキ MAC アドレス ラーニングをディセーブルまたはイネーブルに設定できます。 スティッキ学習をディセーブルにすると、そのインターフェイスはダイナミック MAC アドレス ラーニング(デフォルトの学習方式)に戻ります。
デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
レイヤ 2 インターフェイスにスタティック セキュア MAC アドレスを追加できます。
(注) |
MAC アドレスが任意のインターフェイスでセキュア MAC アドレスである場合、その MAC アドレスがすでにセキュア MAC アドレスとなっているインターフェイスからその MAC アドレスを削除するまで、その MAC アドレスをスタティック セキュア MAC アドレスとして別のインターフェイスに追加することはできません。 |
デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
インターフェイスのセキュア MAC アドレス最大数に達していないことを確認します。 必要に応じて、セキュア MAC アドレスを削除するか、インターフェイスの最大アドレス数を変更できます。
レイヤ 2 インターフェイスのスタティック セキュア MAC アドレスを削除できます。
ダイナミックに学習されたセキュア MAC アドレスを削除できます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。 レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。 インターフェイスに設定できる最大アドレス数は 1025 です。 システムの最大アドレス数は 8192 です。
デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。 VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。
(注) |
インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、デバイスはこのコマンドを拒否します。 ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown のコマンドを使用して、インターフェイスを再起動します。 |
ポート セキュリティがグローバルにイネーブル化されている必要があります。
MAC アドレス エージングのタイプと期間を設定できます。デバイスは、ダイナミック方式で学習された MAC アドレスがエージング期限に到達する時期を判断するためにこれらの設定を使用します。
デフォルトのエージング タイプは絶対エージングです。
デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
セキュリティ違反が発生した場合にデバイスが実行する処理を設定できます。 違反時の処理は、ポート セキュリティをイネーブルにしたインターフェイスごとに設定できます。
デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
ポート セキュリティの設定情報を表示するには、次のいずれかの作業を行います。 このコマンドの出力フィールドについての詳細は、ご使用のプラットフォームの『Security Command Reference』を参照してください。
コマンド |
目的 |
---|---|
show running-config port-security |
ポート セキュリティの設定を表示します。 |
show port-security |
デバイスのポート セキュリティのステータスを表示します。 |
show port-security interface |
特定のインターフェイスのポート セキュリティのステータスを表示します。 |
show port-security address |
セキュア MAC アドレスを表示します。 |
show running-config interface |
実行コンフィギュレーションにあるインターフェイスを表示します。 |
show mac address-table |
MAC アドレス テーブルの内容を表示します。 |
show system internal port-security info global |
デバイスのポート セキュリティの設定を表示します。 |
セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。 このコマンドの出力フィールドの詳細については、ご使用のプラットフォームの『Security Command Reference』を参照してください。
次に示す例は、VLAN とインターフェイスのセキュア アドレス最大数が指定されているイーサネット 2/1 インターフェイスのポート セキュリティ設定です。 この例のインターフェイスはトランク ポートです。 違反時の処理は Restrict(制限)に設定されています。
feature port-security interface Ethernet 2/1 switchport switchport port-security switchport port-security maximum 10 switchport port-security maximum 7 vlan 10 switchport port-security maximum 3 vlan 20 switchport port-security violation restrict
次に、vPC ドメインで vPC ピア上のポート セキュリティをイネーブルにして設定する例を示します。 最初のスイッチがプライマリ vPC ピアであり、2 番目のスイッチがセカンダリ vPC ピアです。 ドメイン 103 がすでに作成されていることを前提にしています。
primary_switch(config)# feature port-security primary_switch(config-if)# int e1/1 primary_switch(config-if)# switchport port-security primary_switch(config-if)# switchport port-security max 1025 primary_switch(config-if)# switchport port-security violation restrict primary_switch(config-if)# switchport port-security aging time 4 primary_switch(config-if)# switchport port-security aging type absolute primary_switch(config-if)# switchport port-security mac sticky primary_switch(config-if)# switchport port-security mac-address 0.0.1 vlan 101 primary_switch(config-if)# switchport port-security mac-address 0.0.2 vlan 101 primary_switch(config-if)# copy running-config startup-config secondary_switch(config)# int e103/1/1 secondary_switch(config-if)# switchport port-security secondary_switch(config-if)# copy running-config startup-config
パラメータ |
デフォルト |
---|---|
ポート セキュリティがグローバルにイネーブルかどうか |
ディセーブル |
インターフェイス単位でポート セキュリティがイネーブルかどうか |
ディセーブル |
MAC アドレス ラーニング方式 |
ダイナミック |
セキュア MAC アドレスのインターフェイス最大数 |
1 |
セキュリティ違反時の処理 |
シャットダウン |
関連項目 |
マニュアル タイトル |
---|---|
レイヤ 2 スイッチング |
『Cisco Nexus 5500 Series NX-OS Layer 2 Switching Configuration Guide』 |
ポート セキュリティ コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
『Cisco Nexus 5500 Series NX-OS Security Command Reference』 |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
Cisco NX-OS はポート セキュリティに関して読み取り専用の SNMP をサポートしています。
MIB |
MIB のリンク |
||
---|---|---|---|
|
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
機能名 |
リリース |
機能情報 |
---|---|---|
ポート セキュリティ |
5.1(3)N1(1) |
このリリースで導入された機能。 |