この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
ポート セキュリティを使用すると、限定された MAC アドレス セットからの着信トラフィックだけを許可するようにレイヤ 2 物理インターフェイス、レイヤ 2 ポート チャネル インターフェイス、および仮想ポート チャネル(vPC)を設定できます。 この限定セットの MAC アドレスをセキュア MAC アドレスといいます。 さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。 セキュア MAC アドレスの数は、インターフェイス単位で設定します。
(注) |
特に指定がなければ、インターフェイスは物理インターフェイス、ポートチャネル インターフェイス、および vPC を意味します。同様に、レイヤ 2 インターフェイスはレイヤ 2 物理インターフェイスとレイヤ 2 ポート チャネル インターフェイスの両方を意味します。 |
MAC アドレスは学習というプロセスによってセキュア アドレスになります。 MAC アドレスは、1 つのインターフェイスだけでセキュア MAC アドレスになることができます。 デバイスは、ポート セキュリティがイネーブルに設定されたインターフェイスごとに、スタティック、ダイナミック、またはスティッキの方式で、限られた数の MAC アドレスを学習できます。 デバイスがセキュア MAC アドレスを格納する方法は、デバイスがセキュア MAC アドレスを学習した方法によって異なります。
(注) |
学習したすべての MAC アドレスは vPC ピア間で同期されます。 |
スタティック学習方式では、ユーザが手動でインターフェイスの実行コンフィギュレーションにセキュア MAC アドレスを追加したり、設定から削除したりできます。 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、デバイスを再起動してもスタティック セキュア MAC アドレスには影響がありません。
スタティック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。
デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。 この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。 このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。
デバイスは、ダイナミック セキュア MAC アドレスをメモリに保存します。 ダイナミック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにしますが、この方法で学習されたアドレスは NVRAM に保存されます。 そのため、スティッキ方式で学習されたアドレスは、デバイスの再起動後も維持されます。 スティッキ セキュア MAC アドレスは、インターフェイスの実行コンフィギュレーション内にはありません。
ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。 あるインターフェイスのスティッキ学習をイネーブルにした場合、デバイスはダイナミック学習を停止して、代わりにスティッキ学習を実行します。 スティッキ学習をディセーブルにすると、デバイスはダイナミック学習を再開します。
スティッキ セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
デバイスは、ダイナミック方式で学習された MAC アドレスのエージングを行い、エージングの期限に達すると、アドレスをドロップします。 エージングの期限は、インターフェイスごとに設定できます。 有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
vPC ドメインでは、vPC ピアの両方でエージングの期限に達した場合に限り、ダイナミック MAC アドレスがドロップされます。
MAC アドレスのエージングを判断するためにデバイスが使用する方法も設定できます。 アドレス エージングの判断には、次に示す 2 つの方法が使用されます。
適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。
デバイスがアドレスを学習して以降の経過時間。 これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。 各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。 最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
(注) |
vPC ドメインでは、プライマリ vPC 上の設定が有効になります。 |
ヒント |
アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、そのデバイスにはポートの全帯域幅が保証されます。 |
各インターフェイスに許容されるセキュア MAC アドレスの数は、次の 3 つの制限によって決定されます。
デバイスが許容できるセキュア MAC アドレスの最大数は 8192 です。この値は変更できません。 新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。
ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数 1025 を設定できます。 デフォルトでは、インターフェイスの最大アドレス数は 1 です。 インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。
vPC ドメインでは、プライマリ vPC スイッチにセキュア MAC アドレスの最大数を設定します。 セカンダリ スイッチにセキュア MAC アドレスの最大数が設定されていても、プライマリ vPC スイッチは数の検証を行います。
ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。 VLAN の最大数は、インターフェイスに設定されている最大数より大きくできません。 VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。 VLAN の最大数には、デフォルト値はありません。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用可能なセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。
次の 2 つのイベントのいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合 ブロックされたエントリは、Cisco Nexus スイッチの転送モジュール(FWM)に追加されます。
あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合 ブロックされたエントリは、ドロップ エントリとしてポート セキュリティ テーブルに追加されます。
セキュリティ違反が発生すると、デバイスは、インターフェイスのセキュリティ違反カウンタの値を増加させ、インターフェイスのポート セキュリティ設定に指定されている処理を実行します。 セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
デバイスが実行できる処理は次のとおりです。
違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。 このインターフェイスはエラー ディセーブル状態になります。 これがデフォルトの処理です。 インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
MAC アドレスは非セキュア ポートに移行せず、非セキュア ポート上のフレームはドロップされます。
非セキュア MAC アドレスからの入力トラフィックをすべてドロップし、ブロックされた MAC エントリとして MAC アドレスをポート セキュリティ テーブルに追加します。
(注) |
vPC ドメインでは、ブロックされた MAC アドレスのうち、制限モードで違反が発生してポート セキュリティ テーブルに追加されたアドレスは、vPC ピア間で同期されません。 |
デバイスはドロップされたパケット数を保持しますが、これをセキュリティ違反回数と呼びます。 インターフェイスで発生するセキュリティ違反が最大数に到達するまでアドレス学習を継続します。 最初のセキュリティ違反のあとに学習されたアドレスからのトラフィックはドロップされます。
違反の最大数(10)に達すると違反がトリガーされ、デバイスは新しい MAC アドレスの学習を停止します。
これ以上の違反の発生を防止します。 セキュリティ違反をトリガーしたアドレスは学習されますが、そのアドレスからのトラフィックはドロップされます。 それ以降、アドレス学習は実行されなくなります。
(注) |
vPC では、プライマリ vPC スイッチに設定された違反処理が有効になります。 したがって、セキュリティ違反がトリガーされると、プライマリ vPC スイッチに定義されたセキュリティ処理が常に実行されます。 |
最大数違反に設定された最大値(10)に到達すると、インターフェイスはシャットダウンされ、errdisabled 状態に移行します。
レイヤ 2 インターフェイスにポート セキュリティを設定し、そのインターフェイスのポート タイプを変更した場合、デバイスは次のように動作します。
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。 デバイスは、スタティック方式またはスティッキ方式で学習したアドレスをネイティブ トランク VLAN に移行します。
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。 デバイスは、スタティック方式で学習したアドレスをネイティブ トランク VLAN に移行します。 VLAN が存在する場合、スティッキ MAC アドレスは同じ VLAN に維持されます。 存在しない場合、その MAC アドレスは、トランク ポートのネイティブ VLAN に移動します。
インターフェイスをレイヤ 2 インターフェイスからレイヤ 3 インターフェイスに変更すると、デバイスはそのインターフェイスのポート セキュリティをディセーブルにし、そのインターフェイスのすべてのポート セキュリティ設定を廃棄します。 デバイスは、学習方式に関係なく、そのインターフェイスのセキュア MAC アドレスもすべて廃棄します。
インターフェイスをレイヤ 3 インターフェイスからレイヤ 2 インターフェイスに変更すると、デバイス上のそのインターフェイスのポート セキュリティ設定はなくなります。
次の表に、この機能のライセンス要件を示します。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
ポート セキュリティにはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は、Cisco NX-OS デバイス イメージにバンドルされており、追加料金なしで利用できます。 Cisco NX-OS ライセンス方式の詳細については、『License and Copyright Information for Cisco NX-OS Software』(次の URL で入手できます。http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/license_agreement/nx-ossw_lisns.html)を参照してください。 |
ポート セキュリティの前提条件は次のとおりです。
ポート セキュリティを設定する場合、次の注意事項に従ってください。
ポート セキュリティに関する注意事項と制約事項に加えて、vPC 上のポート セキュリティに関する追加の注意事項と制約事項があります。 vPC 上のポート セキュリティを設定する場合は、次の注意事項に従ってください。
デバイスに対してポート セキュリティ機能のグローバルなイネーブル化またはディセーブル化が可能です。 デフォルトで、ポート セキュリティはグローバルにディセーブルになっています。
ポート セキュリティをディセーブルにすると、インターフェイスのすべてのポート セキュリティ設定が無効になります。 ポート セキュリティをグローバルにディセーブル化すると、すべてのポート セキュリティ設定が失われます。
(注) |
vPC ドメインのポート セキュリティをイネーブル、またはディセーブルにするには、vPC ピアの両方でポート セキュリティをグローバルにイネーブル化またはディセーブルにする必要があります。 |
レイヤ 2 インターフェイスに対してポート セキュリティ機能のイネーブル化またはディセーブル化が可能です。 デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。
インターフェイスのポート セキュリティをディセーブルにすると、そのインターフェイスのすべてのスイッチポートのポート セキュリティ設定が失われます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
vPC ドメインにポート セキュリティを設定する場合、両方の vPC ピアでポート セキュリティをグローバルにイネーブル化しておく必要があります。
レイヤ 2 イーサネット インターフェイスがポート チャネル インターフェイスのメンバである場合、レイヤ 2 イーサネット インターフェイスに対するポート セキュリティはイネーブルまたはディセーブルにできません。
セキュア レイヤ 2 ポート チャネル インターフェイスのメンバのいずれかのポート セキュリティがイネーブルになっている場合、先にポート チャネル インターフェイスからセキュア メンバ ポートをすべて削除しない限り、そのポート チャネル インターフェイスのポート セキュリティをディセーブルにできません。
インターフェイスのスティッキ MAC アドレス ラーニングをディセーブルまたはイネーブルに設定できます。 スティッキ学習をディセーブルにすると、そのインターフェイスはダイナミック MAC アドレス ラーニング(デフォルトの学習方式)に戻ります。
デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
スティッキ MAC アドレス ラーニングを設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
||
ステップ 3 | switchport 例: switch(config-if)# switchport |
そのインターフェイスを、レイヤ 2 インターフェイスとして設定します。 |
||
ステップ 4 | [no] switchport port-security mac-address sticky 例: switch(config-if)# switchport port-security mac-address sticky |
そのインターフェイスのスティッキ MAC アドレス ラーニングをイネーブルにします。 no オプションを使用するとスティッキ MAC アドレス ラーニングがディセーブルになります。 |
||
ステップ 5 | show running-config port-security 例: switch(config-if)# show running-config port-security |
ポート セキュリティの設定を表示します。 |
||
ステップ 6 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
レイヤ 2 インターフェイスにスタティック セキュア MAC アドレスを追加できます。
(注) |
MAC アドレスが任意のインターフェイスでセキュア MAC アドレスである場合、その MAC アドレスがすでにセキュア MAC アドレスとなっているインターフェイスからその MAC アドレスを削除するまで、その MAC アドレスをスタティック セキュア MAC アドレスとして別のインターフェイスに追加することはできません。 |
デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
インターフェイスのセキュア MAC アドレス最大数に達していないことを確認します。 必要に応じて、セキュア MAC アドレスを削除するか、インターフェイスの最大アドレス数を変更できます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
||
ステップ 3 | [no] switchport port-security mac-address address [vlan vlan-ID] 例: switch(config-if)# switchport port-security mac-address 0019.D2D0.00AE |
現在のインターフェイスのポート セキュリティにスタティック MAC アドレスを設定します。 そのアドレスからのトラフィックを許可する VLAN を指定する場合は、vlan キーワードを使用します。 |
||
ステップ 4 | show running-config port-security 例: switch(config-if)# show running-config port-security |
ポート セキュリティの設定を表示します。 |
||
ステップ 5 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
レイヤ 2 インターフェイスのスタティック セキュア MAC アドレスを削除できます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
スタティック セキュア MAC アドレスを削除するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
||
ステップ 3 | no switchport port-security mac-address address 例: switch(config-if)# no switchport port-security mac-address 0019.D2D0.00AE |
現在のインターフェイスのポート セキュリティからスタティック セキュア MAC アドレスを削除します。 |
||
ステップ 4 | show running-config port-security 例: switch(config-if)# show running-config port-security |
ポート セキュリティの設定を表示します。 |
||
ステップ 5 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ダイナミックに学習されたセキュア MAC アドレスを削除できます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | clear port-security dynamic {interface ethernet slot/port | address address} [vlan vlan-ID] 例: switch(config)# clear port-security dynamic interface ethernet 2/1 |
ダイナミックに学習されたセキュア MAC アドレスを削除します。次の方法で指定できます。 interface キーワードを使用すると、指定したインターフェイスでダイナミックに学習されたアドレスがすべて削除されます。 address キーワードを使用すると、指定した単一のダイナミック学習アドレスが削除されます。 特定の VLAN のアドレスを削除するようにコマンドに制限を加えるには、vlan キーワードを使用します。
|
||
ステップ 3 | show port-security address 例: switch(config)# show port-security address |
セキュア MAC アドレスを表示します。 |
||
ステップ 4 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。 レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。 インターフェイスに設定できる最大アドレス数は 1025 です。 システムの最大アドレス数は 8192 です。
デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。 VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。
(注) |
インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、デバイスはこのコマンドを拒否します。 ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown のコマンドを使用して、インターフェイスを再起動します。 |
ポート セキュリティがグローバルにイネーブル化されている必要があります。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
インターフェイス コンフィギュレーション モードを開始します。slot は、MAC アドレスの最大数を設定するインターフェイスです。
|
||
ステップ 3 | [no] switchport port-security maximum number [vlan vlan-ID] 例: switch(config-if)# switchport port-security maximum 425 |
現在のインターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定します。 number の最大値は 1025 です。 no オプションを使用すると、MAC アドレスの最大数がデフォルト値(1)にリセットされます。 最大数を適用する VLAN を指定する場合は、vlan キーワードを使用します。 |
||
ステップ 4 | show running-config port-security 例: switch(config-if)# show running-config port-security |
ポート セキュリティの設定を表示します。 |
||
ステップ 5 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
MAC アドレス エージングのタイプと期間を設定できます。デバイスは、ダイナミック方式で学習された MAC アドレスがエージング期限に到達する時期を判断するためにこれらの設定を使用します。
デフォルトのエージング タイプは絶対エージングです。
デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
MAC エージングのタイプと期間を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
||
ステップ 3 | [no] switchport port-security aging type {absolute | inactivity} 例: switch(config-if)# switchport port-security aging type inactivity |
ダイナミックに学習された MAC アドレスにデバイスが適用するエージング タイプを設定します。 no オプションを使用すると、エージング タイプがデフォルト値(絶対エージング)にリセットされます。 |
||
ステップ 4 | [no] switchport port-security aging time minutes 例: switch(config-if)# switchport port-security aging time 120 |
ダイナミックに学習された MAC アドレスがドロップされるまでのエージング タイムを分単位で設定します。 minutes の最大値は 1440 です。 no オプションを使用すると、エージング タイムがデフォルト値である 0(エージングはディセーブル)にリセットされます。 |
||
ステップ 5 | show running-config port-security 例: switch(config-if)# show running-config port-security |
ポート セキュリティの設定を表示します。 |
||
ステップ 6 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
セキュリティ違反が発生した場合にデバイスが実行する処理を設定できます。 違反時の処理は、ポート セキュリティをイネーブルにしたインターフェイスごとに設定できます。
デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
セキュリティ違反時の処理を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
||
ステップ 3 | [no] switchport port-security violation {protect | restrict | shutdown} 例: switch(config-if)# switchport port-security violation restrict |
現在のインターフェイスのポート セキュリティにセキュリティ違反時の処理を設定します。 no オプションを使用すると、違反時の処理がデフォルト値(インターフェイスのシャットダウン)にリセットされます。 |
||
ステップ 4 | show running-config port-security 例: switch(config-if)# show running-config port-security |
ポート セキュリティの設定を表示します。 |
||
ステップ 5 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ポート セキュリティの設定情報を表示するには、次のいずれかの作業を行います。 このコマンドの出力フィールドについての詳細は、ご使用のプラットフォームの『Security Command Reference』を参照してください。
コマンド |
目的 |
---|---|
show running-config port-security |
ポート セキュリティの設定を表示します。 |
show port-security |
デバイスのポート セキュリティのステータスを表示します。 |
show port-security interface |
特定のインターフェイスのポート セキュリティのステータスを表示します。 |
show port-security address |
セキュア MAC アドレスを表示します。 |
show running-config interface |
実行コンフィギュレーションにあるインターフェイスを表示します。 |
show mac address-table |
MAC アドレス テーブルの内容を表示します。 |
show system internal port-security info global |
デバイスのポート セキュリティの設定を表示します。 |
セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。 このコマンドの出力フィールドの詳細については、ご使用のプラットフォームの『Security Command Reference』を参照してください。
次に示す例は、VLAN とインターフェイスのセキュア アドレス最大数が指定されているイーサネット 2/1 インターフェイスのポート セキュリティ設定です。 この例のインターフェイスはトランク ポートです。 違反時の処理は Restrict(制限)に設定されています。
feature port-security interface Ethernet 2/1 switchport switchport port-security switchport port-security maximum 10 switchport port-security maximum 7 vlan 10 switchport port-security maximum 3 vlan 20 switchport port-security violation restrict
次に、vPC ドメインで vPC ピア上のポート セキュリティをイネーブルにして設定する例を示します。 最初のスイッチがプライマリ vPC ピアであり、2 番目のスイッチがセカンダリ vPC ピアです。 ドメイン 103 がすでに作成されていることを前提にしています。
primary_switch(config)# feature port-security primary_switch(config-if)# int e1/1 primary_switch(config-if)# switchport port-security primary_switch(config-if)# switchport port-security max 1025 primary_switch(config-if)# switchport port-security violation restrict primary_switch(config-if)# switchport port-security aging time 4 primary_switch(config-if)# switchport port-security aging type absolute primary_switch(config-if)# switchport port-security mac sticky primary_switch(config-if)# switchport port-security mac-address 0.0.1 vlan 101 primary_switch(config-if)# switchport port-security mac-address 0.0.2 vlan 101 primary_switch(config-if)# copy running-config startup-config secondary_switch(config)# int e103/1/1 secondary_switch(config-if)# switchport port-security secondary_switch(config-if)# copy running-config startup-config
パラメータ |
デフォルト |
---|---|
ポート セキュリティがグローバルにイネーブルかどうか |
ディセーブル |
インターフェイス単位でポート セキュリティがイネーブルかどうか |
ディセーブル |
MAC アドレス ラーニング方式 |
ダイナミック |
セキュア MAC アドレスのインターフェイス最大数 |
1 |
セキュリティ違反時の処理 |
シャットダウン |
関連項目 |
マニュアル タイトル |
---|---|
レイヤ 2 スイッチング |
『Cisco Nexus 6000 Series NX-OS Layer 2 Switching Configuration Guide』 |
ポート セキュリティ コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
『Cisco Nexus 6000 Series NX-OS Security Command Reference』 |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
Cisco NX-OS はポート セキュリティに関して読み取り専用の SNMP をサポートしています。
MIB |
MIB のリンク |
||
---|---|---|---|
|
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
目次
- ポート セキュリティの設定
- ポート セキュリティについて
- セキュア MAC アドレスの学習
- スタティック方式
- ダイナミック方式
- スティッキ方式
- ダイナミック アドレスのエージング
- セキュア MAC アドレスの最大数
- セキュリティ違反と処理
- ポート タイプの変更
- ポート セキュリティのライセンス要件
- ポート セキュリティの前提条件
- ポート セキュリティの注意事項と制約事項
- vPC 上のポート セキュリティの注意事項と制約事項
- ポート セキュリティの設定
- ポート セキュリティのグローバルなイネーブル化またはディセーブル化
- レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
- スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
- インターフェイスのスタティック セキュア MAC アドレスの追加
- インターフェイスのスタティック セキュア MAC アドレスの削除
- ダイナミック セキュア MAC アドレスの削除
- MAC アドレスの最大数の設定
- アドレス エージングのタイプと期間の設定
- セキュリティ違反時の処理の設定
- ポート セキュリティの設定の確認
- セキュア MAC アドレスの表示
- ポート セキュリティの設定例
- vPC ドメインでのポート セキュリティの設定例
- ポート セキュリティのデフォルト設定
- ポート セキュリティに関する追加情報
この章の内容は、次のとおりです。
- ポート セキュリティについて
- ポート セキュリティのライセンス要件
- ポート セキュリティの前提条件
- ポート セキュリティの注意事項と制約事項
- vPC 上のポート セキュリティの注意事項と制約事項
- ポート セキュリティの設定
- ポート セキュリティの設定の確認
- セキュア MAC アドレスの表示
- ポート セキュリティの設定例
- vPC ドメインでのポート セキュリティの設定例
- ポート セキュリティのデフォルト設定
- ポート セキュリティに関する追加情報
ポート セキュリティについて
ポート セキュリティを使用すると、限定された MAC アドレス セットからの着信トラフィックだけを許可するようにレイヤ 2 物理インターフェイス、レイヤ 2 ポート チャネル インターフェイス、および仮想ポート チャネル(vPC)を設定できます。 この限定セットの MAC アドレスをセキュア MAC アドレスといいます。 さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。 セキュア MAC アドレスの数は、インターフェイス単位で設定します。
(注)
特に指定がなければ、インターフェイスは物理インターフェイス、ポートチャネル インターフェイス、および vPC を意味します。同様に、レイヤ 2 インターフェイスはレイヤ 2 物理インターフェイスとレイヤ 2 ポート チャネル インターフェイスの両方を意味します。
セキュア MAC アドレスの学習
MAC アドレスは学習というプロセスによってセキュア アドレスになります。 MAC アドレスは、1 つのインターフェイスだけでセキュア MAC アドレスになることができます。 デバイスは、ポート セキュリティがイネーブルに設定されたインターフェイスごとに、スタティック、ダイナミック、またはスティッキの方式で、限られた数の MAC アドレスを学習できます。 デバイスがセキュア MAC アドレスを格納する方法は、デバイスがセキュア MAC アドレスを学習した方法によって異なります。
(注)
学習したすべての MAC アドレスは vPC ピア間で同期されます。
スタティック方式
スタティック学習方式では、ユーザが手動でインターフェイスの実行コンフィギュレーションにセキュア MAC アドレスを追加したり、設定から削除したりできます。 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、デバイスを再起動してもスタティック セキュア MAC アドレスには影響がありません。
スタティック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。
ダイナミック方式
デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。 この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。 このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。
デバイスは、ダイナミック セキュア MAC アドレスをメモリに保存します。 ダイナミック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スティッキ方式
スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにしますが、この方法で学習されたアドレスは NVRAM に保存されます。 そのため、スティッキ方式で学習されたアドレスは、デバイスの再起動後も維持されます。 スティッキ セキュア MAC アドレスは、インターフェイスの実行コンフィギュレーション内にはありません。
ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。 あるインターフェイスのスティッキ学習をイネーブルにした場合、デバイスはダイナミック学習を停止して、代わりにスティッキ学習を実行します。 スティッキ学習をディセーブルにすると、デバイスはダイナミック学習を再開します。
スティッキ セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
ダイナミック アドレスのエージング
デバイスは、ダイナミック方式で学習された MAC アドレスのエージングを行い、エージングの期限に達すると、アドレスをドロップします。 エージングの期限は、インターフェイスごとに設定できます。 有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
vPC ドメインでは、vPC ピアの両方でエージングの期限に達した場合に限り、ダイナミック MAC アドレスがドロップされます。
MAC アドレスのエージングを判断するためにデバイスが使用する方法も設定できます。 アドレス エージングの判断には、次に示す 2 つの方法が使用されます。
- Inactivity
適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。
- Absolute
デバイスがアドレスを学習して以降の経過時間。 これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。
セキュア MAC アドレスの最大数
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。 各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。 最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
(注)
vPC ドメインでは、プライマリ vPC 上の設定が有効になります。
ヒント
アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、そのデバイスにはポートの全帯域幅が保証されます。各インターフェイスに許容されるセキュア MAC アドレスの数は、次の 3 つの制限によって決定されます。
- デバイスの最大数
デバイスが許容できるセキュア MAC アドレスの最大数は 8192 です。この値は変更できません。 新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。
- インターフェイスの最大数
ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数 1025 を設定できます。 デフォルトでは、インターフェイスの最大アドレス数は 1 です。 インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。
vPC ドメインでは、プライマリ vPC スイッチにセキュア MAC アドレスの最大数を設定します。 セカンダリ スイッチにセキュア MAC アドレスの最大数が設定されていても、プライマリ vPC スイッチは数の検証を行います。
- VLAN の最大数
ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。 VLAN の最大数は、インターフェイスに設定されている最大数より大きくできません。 VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。 VLAN の最大数には、デフォルト値はありません。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用可能なセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。
セキュリティ違反と処理
次の 2 つのイベントのいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
- 最大数違反
あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合 ブロックされたエントリは、Cisco Nexus スイッチの転送モジュール(FWM)に追加されます。
- MAC 移動違反
あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合 ブロックされたエントリは、ドロップ エントリとしてポート セキュリティ テーブルに追加されます。
セキュリティ違反が発生すると、デバイスは、インターフェイスのセキュリティ違反カウンタの値を増加させ、インターフェイスのポート セキュリティ設定に指定されている処理を実行します。 セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
デバイスが実行できる処理は次のとおりです。
- シャットダウン
違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。 このインターフェイスはエラー ディセーブル状態になります。 これがデフォルトの処理です。 インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
MAC アドレスは非セキュア ポートに移行せず、非セキュア ポート上のフレームはドロップされます。
- 制限
非セキュア MAC アドレスからの入力トラフィックをすべてドロップし、ブロックされた MAC エントリとして MAC アドレスをポート セキュリティ テーブルに追加します。
(注)
vPC ドメインでは、ブロックされた MAC アドレスのうち、制限モードで違反が発生してポート セキュリティ テーブルに追加されたアドレスは、vPC ピア間で同期されません。
デバイスはドロップされたパケット数を保持しますが、これをセキュリティ違反回数と呼びます。 インターフェイスで発生するセキュリティ違反が最大数に到達するまでアドレス学習を継続します。 最初のセキュリティ違反のあとに学習されたアドレスからのトラフィックはドロップされます。
違反の最大数(10)に達すると違反がトリガーされ、デバイスは新しい MAC アドレスの学習を停止します。
- 保護
これ以上の違反の発生を防止します。 セキュリティ違反をトリガーしたアドレスは学習されますが、そのアドレスからのトラフィックはドロップされます。 それ以降、アドレス学習は実行されなくなります。
(注)
vPC では、プライマリ vPC スイッチに設定された違反処理が有効になります。 したがって、セキュリティ違反がトリガーされると、プライマリ vPC スイッチに定義されたセキュリティ処理が常に実行されます。
最大数違反に設定された最大値(10)に到達すると、インターフェイスはシャットダウンされ、errdisabled 状態に移行します。
ポート タイプの変更
レイヤ 2 インターフェイスにポート セキュリティを設定し、そのインターフェイスのポート タイプを変更した場合、デバイスは次のように動作します。
- アクセス ポートからトランク ポート
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。 デバイスは、スタティック方式またはスティッキ方式で学習したアドレスをネイティブ トランク VLAN に移行します。
- トランク ポートからアクセス ポート
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。 デバイスは、スタティック方式で学習したアドレスをネイティブ トランク VLAN に移行します。 VLAN が存在する場合、スティッキ MAC アドレスは同じ VLAN に維持されます。 存在しない場合、その MAC アドレスは、トランク ポートのネイティブ VLAN に移動します。
- スイッチド ポートからルーテッド ポート
インターフェイスをレイヤ 2 インターフェイスからレイヤ 3 インターフェイスに変更すると、デバイスはそのインターフェイスのポート セキュリティをディセーブルにし、そのインターフェイスのすべてのポート セキュリティ設定を廃棄します。 デバイスは、学習方式に関係なく、そのインターフェイスのセキュア MAC アドレスもすべて廃棄します。
- ルーテッド ポートからスイッチド ポート
インターフェイスをレイヤ 3 インターフェイスからレイヤ 2 インターフェイスに変更すると、デバイス上のそのインターフェイスのポート セキュリティ設定はなくなります。
ポート セキュリティのライセンス要件
次の表に、この機能のライセンス要件を示します。
製品
ライセンス要件
Cisco NX-OS
ポート セキュリティにはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は、Cisco NX-OS デバイス イメージにバンドルされており、追加料金なしで利用できます。 Cisco NX-OS ライセンス方式の詳細については、『License and Copyright Information for Cisco NX-OS Software』(次の URL で入手できます。http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/license_agreement/nx-ossw_lisns.html)を参照してください。
vPC 上のポート セキュリティの注意事項と制約事項
ポート セキュリティに関する注意事項と制約事項に加えて、vPC 上のポート セキュリティに関する追加の注意事項と制約事項があります。 vPC 上のポート セキュリティを設定する場合は、次の注意事項に従ってください。
- vPC ドメイン内の両方の vPC ピアで、ポート セキュリティをグローバルにイネーブルにする必要があります。
- 両方の vPC ピアの vPC インターフェイス上でポート セキュリティをイネーブルにする必要があります。
- プライマリ vPC ピアでスタティック セキュア MAC アドレスを設定する必要があります。 この MAC アドレスは、セカンダリ vPC ピアと同期されます。 セカンダリ ピアでスタティック セキュア MAC アドレスを設定しないでください。 この MAC アドレスはセカンダリ vPC 設定に表示されますが、有効にはなりません。
- 学習したすべての MAC アドレスは vPC ピア間で同期されます。
- 両方の vPC ピアは、ダイナミックまたはスティッキ MAC アドレスの学習方式で設定できます。 ただし、両方の vPC ピアが同じ方式に設定されていることを推奨します。
- ダイナミック MAC アドレスは、両方の vPC ピアでエージング期限に達した後にのみドロップされます。
- セキュア MAC アドレスの最大数は、プライマリ vPC スイッチ上で設定します。 セカンダリ スイッチにセキュア MAC アドレスの最大数が設定されていても、プライマリ vPC スイッチは数の検証を行います。
- 違反時の処理は、プライマリ vPC 上で設定します。 したがって、セキュリティ違反がトリガーされると、プライマリ vPC スイッチに定義されたセキュリティ処理が常に実行されます。
- ポート セキュリティ機能が両方の vPC ピアでイネーブルになっており、かつポート セキュリティが vPC ピアの両方の vPC インターフェイス上でイネーブルになっている場合に、ポート セキュリティは vPC インターフェイス上でイネーブルになります。 設定が正しいことを確認するには、config sync コマンドを使用できます。
- スイッチでインサービス ソフトウェア アップグレード(ISSU)が実行されている間、ポート セキュリティの動作はそのピア スイッチ上で停止されます。 ピア スイッチはどの新しい MAC アドレスも学習せず、この動作中に発生した MAC の移動は無視されます。 ISSU が完了すると、ピア スイッチに通知され、通常のポート セキュリティ機能が再開します。
- 上位バージョンへの ISSU がサポートされていますが、下位バージョンへの ISSU はサポートされていません。
ポート セキュリティの設定
- ポート セキュリティのグローバルなイネーブル化またはディセーブル化
- レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
- スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
- インターフェイスのスタティック セキュア MAC アドレスの追加
- インターフェイスのスタティック セキュア MAC アドレスの削除
- ダイナミック セキュア MAC アドレスの削除
- MAC アドレスの最大数の設定
- アドレス エージングのタイプと期間の設定
- セキュリティ違反時の処理の設定
ポート セキュリティのグローバルなイネーブル化またはディセーブル化
手順デバイスに対してポート セキュリティ機能のグローバルなイネーブル化またはディセーブル化が可能です。 デフォルトで、ポート セキュリティはグローバルにディセーブルになっています。
ポート セキュリティをディセーブルにすると、インターフェイスのすべてのポート セキュリティ設定が無効になります。 ポート セキュリティをグローバルにディセーブル化すると、すべてのポート セキュリティ設定が失われます。
(注)
vPC ドメインのポート セキュリティをイネーブル、またはディセーブルにするには、vPC ピアの両方でポート セキュリティをグローバルにイネーブル化またはディセーブルにする必要があります。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] feature port-security
例:switch(config)# feature port-securityポート セキュリティをグローバルにイネーブル化します。 no オプションを使用するとポート セキュリティはグローバルにディセーブル化されます。
ステップ 3 show port-security
例:switch(config)# show port-securityポート セキュリティのステータスを表示します。
ステップ 4 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
ステップ 5 vPC ドメインのポート セキュリティが設定されている場合、ポート セキュリティをグローバルでイネーブルにするには、vPC ピアでステップ 1 ~ 4 を繰り返します。
例:—
レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対してポート セキュリティ機能のイネーブル化またはディセーブル化が可能です。 デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。
インターフェイスのポート セキュリティをディセーブルにすると、そのインターフェイスのすべてのスイッチポートのポート セキュリティ設定が失われます。
はじめる前に手順ポート セキュリティがグローバルにイネーブル化されている必要があります。
vPC ドメインにポート セキュリティを設定する場合、両方の vPC ピアでポート セキュリティをグローバルにイネーブル化しておく必要があります。
レイヤ 2 イーサネット インターフェイスがポート チャネル インターフェイスのメンバである場合、レイヤ 2 イーサネット インターフェイスに対するポート セキュリティはイネーブルまたはディセーブルにできません。
セキュア レイヤ 2 ポート チャネル インターフェイスのメンバのいずれかのポート セキュリティがイネーブルになっている場合、先にポート チャネル インターフェイスからセキュア メンバ ポートをすべて削除しない限り、そのポート チャネル インターフェイスのポート セキュリティをディセーブルにできません。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#ポート セキュリティを設定するイーサネット インターフェイスまたはポート チャネル インターフェイスのインターフェイス コンフィギュレーション モードを開始します。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 switchport
例:switch(config-if)# switchportそのインターフェイスを、レイヤ 2 インターフェイスとして設定します。
ステップ 4 [no] switchport port-security
例:switch(config-if)# switchport port-securityインターフェイス上でポート セキュリティをイネーブルにします。 no オプションを使用すると、そのインターフェイスのポート セキュリティがディセーブルになります。
ステップ 5 show running-config port-security
例:switch(config-if)# show running-config port-securityポート セキュリティの設定を表示します。
ステップ 6 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
ステップ 7 vPC ドメインのポート セキュリティを設定している場合、vPC インターフェイスのポート セキュリティをイネーブルにするには vPC ピアへの手順 1 ~ 6 を繰り返します。 —
スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
手順インターフェイスのスティッキ MAC アドレス ラーニングをディセーブルまたはイネーブルに設定できます。 スティッキ学習をディセーブルにすると、そのインターフェイスはダイナミック MAC アドレス ラーニング(デフォルトの学習方式)に戻ります。
デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#スティッキ MAC アドレス ラーニングを設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 switchport
例:switch(config-if)# switchportそのインターフェイスを、レイヤ 2 インターフェイスとして設定します。
ステップ 4 [no] switchport port-security mac-address sticky
例:switch(config-if)# switchport port-security mac-address stickyそのインターフェイスのスティッキ MAC アドレス ラーニングをイネーブルにします。 no オプションを使用するとスティッキ MAC アドレス ラーニングがディセーブルになります。
ステップ 5 show running-config port-security
例:switch(config-if)# show running-config port-securityポート セキュリティの設定を表示します。
ステップ 6 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
インターフェイスのスタティック セキュア MAC アドレスの追加
レイヤ 2 インターフェイスにスタティック セキュア MAC アドレスを追加できます。
(注)
MAC アドレスが任意のインターフェイスでセキュア MAC アドレスである場合、その MAC アドレスがすでにセキュア MAC アドレスとなっているインターフェイスからその MAC アドレスを削除するまで、その MAC アドレスをスタティック セキュア MAC アドレスとして別のインターフェイスに追加することはできません。
デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。
はじめる前に手順ポート セキュリティがグローバルにイネーブル化されている必要があります。
インターフェイスのセキュア MAC アドレス最大数に達していないことを確認します。 必要に応じて、セキュア MAC アドレスを削除するか、インターフェイスの最大アドレス数を変更できます。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 [no] switchport port-security mac-address address [vlan vlan-ID]
例:switch(config-if)# switchport port-security mac-address 0019.D2D0.00AE現在のインターフェイスのポート セキュリティにスタティック MAC アドレスを設定します。 そのアドレスからのトラフィックを許可する VLAN を指定する場合は、vlan キーワードを使用します。
ステップ 4 show running-config port-security
例:switch(config-if)# show running-config port-securityポート セキュリティの設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
インターフェイスのスタティック セキュア MAC アドレスの削除
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#スタティック セキュア MAC アドレスを削除するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 no switchport port-security mac-address address
例:switch(config-if)# no switchport port-security mac-address 0019.D2D0.00AE現在のインターフェイスのポート セキュリティからスタティック セキュア MAC アドレスを削除します。
ステップ 4 show running-config port-security
例:switch(config-if)# show running-config port-securityポート セキュリティの設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
ダイナミック セキュア MAC アドレスの削除
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 clear port-security dynamic {interface ethernet slot/port | address address} [vlan vlan-ID]
例:switch(config)# clear port-security dynamic interface ethernet 2/1ダイナミックに学習されたセキュア MAC アドレスを削除します。次の方法で指定できます。
interface キーワードを使用すると、指定したインターフェイスでダイナミックに学習されたアドレスがすべて削除されます。
address キーワードを使用すると、指定した単一のダイナミック学習アドレスが削除されます。
特定の VLAN のアドレスを削除するようにコマンドに制限を加えるには、vlan キーワードを使用します。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 show port-security address
例:switch(config)# show port-security addressセキュア MAC アドレスを表示します。
ステップ 4 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
MAC アドレスの最大数の設定
手順レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。 レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。 インターフェイスに設定できる最大アドレス数は 1025 です。 システムの最大アドレス数は 8192 です。
デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。 VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。
(注)
インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、デバイスはこのコマンドを拒否します。 ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown のコマンドを使用して、インターフェイスを再起動します。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#インターフェイス コンフィギュレーション モードを開始します。slot は、MAC アドレスの最大数を設定するインターフェイスです。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 [no] switchport port-security maximum number [vlan vlan-ID]
例:switch(config-if)# switchport port-security maximum 425現在のインターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定します。 number の最大値は 1025 です。 no オプションを使用すると、MAC アドレスの最大数がデフォルト値(1)にリセットされます。
最大数を適用する VLAN を指定する場合は、vlan キーワードを使用します。
ステップ 4 show running-config port-security
例:switch(config-if)# show running-config port-securityポート セキュリティの設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
アドレス エージングのタイプと期間の設定
手順MAC アドレス エージングのタイプと期間を設定できます。デバイスは、ダイナミック方式で学習された MAC アドレスがエージング期限に到達する時期を判断するためにこれらの設定を使用します。
デフォルトのエージング タイプは絶対エージングです。
デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#MAC エージングのタイプと期間を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 [no] switchport port-security aging type {absolute | inactivity}
例:switch(config-if)# switchport port-security aging type inactivityダイナミックに学習された MAC アドレスにデバイスが適用するエージング タイプを設定します。 no オプションを使用すると、エージング タイプがデフォルト値(絶対エージング)にリセットされます。
ステップ 4 [no] switchport port-security aging time minutes
例:switch(config-if)# switchport port-security aging time 120ダイナミックに学習された MAC アドレスがドロップされるまでのエージング タイムを分単位で設定します。 minutes の最大値は 1440 です。 no オプションを使用すると、エージング タイムがデフォルト値である 0(エージングはディセーブル)にリセットされます。
ステップ 5 show running-config port-security
例:switch(config-if)# show running-config port-securityポート セキュリティの設定を表示します。
ステップ 6 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
セキュリティ違反時の処理の設定
手順セキュリティ違反が発生した場合にデバイスが実行する処理を設定できます。 違反時の処理は、ポート セキュリティをイネーブルにしたインターフェイスごとに設定できます。
デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#セキュリティ違反時の処理を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
(注) これが 10G ブレークアウト ポートの場合、slot/port 構文は slot/QSFP-module/port になります。
ステップ 3 [no] switchport port-security violation {protect | restrict | shutdown}
例:switch(config-if)# switchport port-security violation restrict現在のインターフェイスのポート セキュリティにセキュリティ違反時の処理を設定します。 no オプションを使用すると、違反時の処理がデフォルト値(インターフェイスのシャットダウン)にリセットされます。
ステップ 4 show running-config port-security
例:switch(config-if)# show running-config port-securityポート セキュリティの設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
ポート セキュリティの設定の確認
ポート セキュリティの設定情報を表示するには、次のいずれかの作業を行います。 このコマンドの出力フィールドについての詳細は、ご使用のプラットフォームの『Security Command Reference』を参照してください。
コマンド
目的
show running-config port-security
ポート セキュリティの設定を表示します。
show port-security
デバイスのポート セキュリティのステータスを表示します。
show port-security interface
特定のインターフェイスのポート セキュリティのステータスを表示します。
show port-security address
セキュア MAC アドレスを表示します。
show running-config interface
実行コンフィギュレーションにあるインターフェイスを表示します。
show mac address-table
MAC アドレス テーブルの内容を表示します。
show system internal port-security info global
デバイスのポート セキュリティの設定を表示します。
セキュア MAC アドレスの表示
セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。 このコマンドの出力フィールドの詳細については、ご使用のプラットフォームの『Security Command Reference』を参照してください。
ポート セキュリティの設定例
次に示す例は、VLAN とインターフェイスのセキュア アドレス最大数が指定されているイーサネット 2/1 インターフェイスのポート セキュリティ設定です。 この例のインターフェイスはトランク ポートです。 違反時の処理は Restrict(制限)に設定されています。
feature port-security interface Ethernet 2/1 switchport switchport port-security switchport port-security maximum 10 switchport port-security maximum 7 vlan 10 switchport port-security maximum 3 vlan 20 switchport port-security violation restrictvPC ドメインでのポート セキュリティの設定例
次に、vPC ドメインで vPC ピア上のポート セキュリティをイネーブルにして設定する例を示します。 最初のスイッチがプライマリ vPC ピアであり、2 番目のスイッチがセカンダリ vPC ピアです。 ドメイン 103 がすでに作成されていることを前提にしています。
primary_switch(config)# feature port-security primary_switch(config-if)# int e1/1 primary_switch(config-if)# switchport port-security primary_switch(config-if)# switchport port-security max 1025 primary_switch(config-if)# switchport port-security violation restrict primary_switch(config-if)# switchport port-security aging time 4 primary_switch(config-if)# switchport port-security aging type absolute primary_switch(config-if)# switchport port-security mac sticky primary_switch(config-if)# switchport port-security mac-address 0.0.1 vlan 101 primary_switch(config-if)# switchport port-security mac-address 0.0.2 vlan 101 primary_switch(config-if)# copy running-config startup-config secondary_switch(config)# int e103/1/1 secondary_switch(config-if)# switchport port-security secondary_switch(config-if)# copy running-config startup-configポート セキュリティに関する追加情報
MIB
Cisco NX-OS はポート セキュリティに関して読み取り専用の SNMP をサポートしています。
MIB
MIB のリンク
(注) トラップは、セキュア MAC アドレスの違反の通知についてサポートされています。
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml