ポート セキュリティの概要
ここでは、ポート セキュリティについて説明します。
• 「ダイナミックに学習されるメディア アクセス制御(MAC)アドレスとスタティック MAC アドレスによるポート セキュリティ」
• 「sticky MAC アドレスによるポート セキュリティ」
ダイナミックに学習されるメディア アクセス制御(MAC)アドレスとスタティック MAC アドレスによるポート セキュリティ
ダイナミックに学習される Media Access Control(MAC; メディア アクセス制御)アドレス、およびスタティック MAC アドレスを使用したポート セキュリティでは、ポートへのトラフィック送信を許可する MAC アドレスを制限できるので、入力トラフィックを制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは、定義されたアドレス グループ以外の送信元アドレスを持つ入力トラフィックを転送しません。セキュア MAC アドレスの数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されている装置はそのポートの全帯域を使用できます。
セキュリティ違反は、次のいずれかの状況で発生します。
• セキュア ポートでセキュア MAC アドレスの最大数に達したあと、入力トラフィックの送信元 MAC アドレスが、識別されたどのセキュア MAC アドレスとも異なる場合は、設定済みの違反モードが適用されます。
• あるセキュア ポートで設定または学習されたセキュア MAC アドレスを持つトラフィックが、同一 VLAN 内の別のセキュア ポートにアクセスしようとすると、シャットダウン違反モードが適用されます。
(注) あるセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同じ VLAN 内の別のポート上でこのセキュア MAC アドレスが検出された場合に発生する一連のイベントを、MAC の移行違反と呼びます。
違反モードの詳細情報については、「ポートでのポート セキュリティ違反モードの設定」を参照してください。
ポートでセキュア MAC アドレスの最大数を設定したあと、セキュア アドレスは、次のいずれかの方法でアドレス テーブルに組み込まれます。
• すべてのセキュア MAC アドレスを、 switchport port-security mac-address mac_address インターフェイス コンフィギュレーション コマンドを使用してスタティックに設定できます。
• 接続されている装置の MAC アドレスによって、ポートがセキュア MAC アドレスをダイナミックに設定するように指定できます。
• 多数のアドレスをスタティックに設定し、残りのアドレスはダイナミックに設定されるように指定できます。
ポートがリンクダウン状態になると、ダイナミックに学習されたアドレスはすべて削除されます。
ブートアップ、リロード、またはリンクダウン状態のあとは、ポートが入力トラフィックを受信するまで、ダイナミックに学習された MAC アドレスはアドレス テーブルに書き込まれません。
最大数のセキュア MAC アドレスがアドレス テーブルに追加された時点で、アドレス テーブルにはない MAC アドレスからのトラフィックをポートが受信すると、セキュリティ違反となります。
ポートに設定できる違反モードは、protect、restrict、shutdown のいずれか 1 つです。「ポート セキュリティの設定」を参照してください。
アドレスの最大数を 1 に設定し、接続された装置の MAC アドレスを設定すると、その装置にはポートの全帯域幅が保証されます。
sticky MAC アドレスによるポート セキュリティ
sticky MAC アドレスを使用するポート セキュリティには、スタティック MAC アドレスによるポート セキュリティと同様の多数の利点がありますが、さらに、sticky MAC アドレスはダイナミックに学習できます。
sticky MAC アドレスを使用したポート セキュリティでは、リンクダウン状態の発生中も、ダイナミックに学習された MAC アドレスを維持します。
sticky MAC アドレスによるポート セキュリティでは、 write memory または copy running-config startup-config コマンドを実行すると、ダイナミックに学習された MAC アドレスは startup-config ファイルに保存されます。したがって、ブートアップ後または再起動後に、ポートが入力トラフィックからアドレスを学習する必要がありません。
ポート セキュリティのデフォルト設定
表 43-1 に、インターフェイス用のデフォルトのポート セキュリティ設定を示します。
表 43-1 ポート セキュリティのデフォルト設定
|
|
ポート セキュリティ |
各ポートでディセーブル。 |
セキュア MAC アドレスの最大数 |
1 |
違反モード |
shutdown。セキュア MAC アドレスが最大数を超過した場合、ポートはシャットダウンし、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップ通知が送信されます。 |
ポートセキュリティに関する注意事項および制約事項
ポート セキュリティを設定する場合は、次の注意事項に従ってください。
• errdisable ステートのセキュア ポートを、デフォルトのポート セキュリティ設定によって回復するには、 errdisable recovery cause shutdown グローバル コンフィギュレーション コマンドを入力します。または、 shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して、このセキュア ポートを手動で再びイネーブルに戻すこともできます。
• ダイナミックに学習されたすべてのセキュア アドレスを消去するには、 clear port-security dynamic グローバル コンフィギュレーション コマンドを入力します。構文の詳細については、『 Catalyst Supervisor Engine 32 PISA Cisco IOS Command Reference , Release 12.2ZY』を参照してください。
• 無許可の MAC アドレスは、特定のビット セットとともに学習されます。このビット セットにより、このアドレスから送信されるトラフィック、およびこのアドレス宛てに送信されるトラフィックはいずれも廃棄されます。 show mac-address-table コマンドを使用すると、無許可の MAC アドレスを表示できますが、ビット ステートは表示されません (CSCeb76844)。
• sticky MAC アドレスがダイナミックに学習されたあとに、このアドレスを保持して、ブートアップまたはリロード後にポートに設定されるようにするには、 write memory または copy running-config startup-config コマンドを入力して、アドレスを startup-config ファイルに保存する必要があります。
• ポート セキュリティは、Private VLAN(PVLAN; プライベート VLAN)ポートをサポートしています。
• ポート セキュリティは、非ネゴシエーション トランクをサポートしています。
– ポート セキュリティは、次のコマンドで設定したトランクだけをサポートします。
switchport
switchport trunk encapsulation
switchport mode trunk
switchport nonegotiate
– セキュア アクセス ポートをトランクとして再設定すると、アクセス VLAN でダイナミックに学習された、このポートのすべての sticky およびスタティック セキュア アドレスが、トランクのネイティブ VLAN 上の sticky およびスタティック セキュア アドレスに変換されます。アクセス ポートの音声 VLAN では、すべてのセキュア アドレスが削除されます。
– セキュア トランクをアクセス ポートとして再設定すると、ネイティブ VLAN で学習されたすべての sticky およびスタティック アドレスは、アクセス ポートのアクセス VLAN で学習されたアドレスに変換されます。ネイティブ VLAN 以外の VLAN で学習されたすべてのアドレスは削除されます。
(注) ポート セキュリティでは、IEEE 802.1Q トランクおよび Inter Switch Link(ISL; スイッチ間リンク)トランク双方に対し、switchport trunk native vlan コマンドで設定した VLAN ID が使用されます。
• ポート セキュリティは、トランクをサポートしています。
• ポート セキュリティは、IEEE 802.1Q トンネル ポートをサポートしています。
• ポート セキュリティでは、Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)宛先ポートはサポートされません。
• ポート セキュリティでは、EtherChannel のポートチャネル インターフェイスはサポートされません。
• ポート セキュリティ、および 802.1X ポート ベースの認証は、同一ポート上には設定できません。
– セキュア ポートで 802.1X ポート ベース認証をイネーブルにしようとすると、エラー メッセージが表示され、このポートで802.1X ポート ベース認証はイネーブルになりません。
– 802.1X ポート ベース認証用に設定したポートでポート セキュリティをイネーブルにしようとすると、エラー メッセージが表示され、このポートでポート セキュリティはイネーブルになりません。
• スイッチ間に冗長なリンクが存在する場合は、隣接するスイッチに接続されているポートでポート セキュリティをイネーブルにする際に注意してください。ポート セキュリティ違反により、ポートが errdisable になる可能性があります。
ポート セキュリティの設定
ここでは、ポート セキュリティを設定する手順について説明します。
• 「ポート セキュリティのイネーブル化」
• 「ポートでのポート セキュリティ違反モードの設定」
• 「セキュア MAC アドレスの最大数をポートに設定」
• 「sticky MAC アドレスによるポート セキュリティのポートでのイネーブル化」
• 「スタティック セキュア MAC アドレスのポートでの設定」
• 「ポートでのセキュア MAC アドレスのエージング設定」
トランクでのポート セキュリティのイネーブル化
ポート セキュリティは、非ネゴシエーション トランクをサポートしています。
注意 セキュア アドレス数はデフォルトで 1 であり、違反に対するデフォルト アクションはポートのシャットダウンであるため、トランクでポート セキュリティをイネーブルにする前に、このポートのセキュア MAC アドレスの最大数を設定します(
「セキュア MAC アドレスの最大数をポートに設定」を参照)。
トランクでポート セキュリティをイネーブルにするには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport |
ポートをレイヤ 2 スイッチポートとして設定します。 |
ステップ 3 |
Router(config-if)# switchport trunk encapsulation { isl | dot1q } |
カプセル化を設定して、レイヤ 2 スイッチング ポートを ISL または 802.1Q トランクとして設定します。 |
ステップ 4 |
Router(config-if)# switchport mode trunk |
無条件にポートをトランクに設定します。 |
ステップ 5 |
Router(config-if)# switchport nonegotiate |
Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)を使用しないようにトランクを設定します。 |
ステップ 6 |
Router(config-if)# switchport port-security |
トランクでポート セキュリティをイネーブルにします。 |
Router(config-if)# no switchport port-security |
トランクでポート セキュリティをディセーブルにします。 |
ステップ 7 |
Router(config-if)# do show port-security interface type 1 slot/port | include Port Security |
設定を確認します。 |
次の例は、ポート FastEthernet 5/36 を非ネゴシエーション トランクとして設定し、ポート セキュリティをイネーブルにする方法を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/36
Router(config-if)# switchport
Router(config-if)# switchport mode trunk
Router(config-if)# switchport nonegotiate
Router(config-if)# switchport port-security
Router(config-if)# do show port-security interface fastethernet 5/36 | include Port Security
アクセス ポートでのポート セキュリティのイネーブル化
アクセス ポートでポート セキュリティをイネーブルにするには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 (注) トンネル ポートまたは PVLAN ポートでもかまいません。 |
ステップ 2 |
Router(config-if)# switchport |
ポートをレイヤ 2 スイッチポートとして設定します。 |
ステップ 3 |
Router(config-if)# switchport mode access |
ポートをレイヤ 2 アクセス ポートとして設定します。 (注) デフォルト モード(dynamic desirable)のポートは、セキュア ポートとして設定できません。 |
ステップ 4 |
Router(config-if)# switchport port-security |
ポートのポート セキュリティをイネーブルにします。 |
Router(config-if)# no switchport port-security |
ポートのポート セキュリティをディセーブルにします。 |
ステップ 5 |
Router(config-if)# do show port-security interface type 1 slot/port | include Port Security |
設定を確認します。 |
次に、ポート FastEthernet 5/12 でポート セキュリティをイネーブルにする例を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport
Router(config-if)# switchport mode access
Router(config-if)# switchport port-security
Router(config-if)# do show port-security interface fastethernet 5/12 | include Port Security
ポートでのポート セキュリティ違反モードの設定
ポートでポート セキュリティの違反モードを設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security violation { protect | restrict | shutdown } |
(任意)違反モード、およびセキュリティ違反が検出されたときのアクションを設定します。 |
Router(config-if)# no switchport port-security violation |
デフォルト設定( shutdown )に戻します。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include violation_mode |
設定を確認します。 |
ポート セキュリティの違反モードを設定する場合は、次の点に注意してください。
• protect :十分な数のセキュア MAC アドレスが削除され、最大値を下回るようになるまで、送信元アドレスが不明なパケットを廃棄します。
• restrict :十分な数のセキュア MAC アドレスが削除され、最大値を下回るようになるまで、送信元アドレスが不明なパケットを廃棄し、セキュリティ違反カウンタを増やします。
• shutdown :インターフェイスをただちに errdisable ステートにし、SNMP トラップ通知を送信します。
(注) errdisable ステートからセキュア ポートを回復するには、errdisable recovery cause violation_mode グローバル コンフィギュレーション コマンドを入力します。または、shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して、手動でセキュア ポートを再びイネーブルに戻すこともできます。
次の例では、ポート FastEthernet 5/12 のセキュリティ違反モードを protect に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security violation protect
Router(config-if)# do show port-security interface fastethernet 5/12 | include Protect
次の例では、ポート FastEthernet 5/12 のセキュリティ違反モードを restrict に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security violation restrict
Router(config-if)# do show port-security interface fastethernet 5/12 | include Restrict
Violation Mode : Restrict
セキュア MAC アドレスの最大数をポートに設定
セキュア MAC アドレスの最大数をポートに設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security maximum number_of_addresses vlan { vlan_ID | vlan_range } |
ポートに対し、セキュア MAC アドレスの最大数を設定します(デフォルトは 1)。 (注) VLAN ごとの設定がサポートされるのは、トランク上だけです。 |
Router(config-if)# no switchport port-security maximum |
デフォルト設定に戻します。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include Maximum |
設定を確認します。 |
セキュア MAC アドレスの最大数をポートに設定する場合は、次の点に注意してください。
• number_of_addresses の範囲は 1 ~ 4,097 です。
• ポート セキュリティは、トランクをサポートしています。
– トランクでは、トランクおよびトランク上のすべての VLAN に対し、セキュア MAC アドレスの最大数を設定できます。
– セキュア MAC アドレスの最大数は、1 つの VLAN、または 特定の VLAN 範囲に対して設定できます。
– 特定の VLAN 範囲を指定するには、一組の VLAN 番号をダッシュ(-)でつなげて指定します。
– 複数の VLAN 番号をカンマで区切って入力することも、一組の VLAN 番号をダッシュでつなげて入力することもできます。
次の例では、ポート FastEthernet 5/12 に対し、セキュア MAC アドレスの最大数を 64 に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security maximum 64
Router(config-if)# do show port-security interface fastethernet 5/12 | include Maximum
Maximum MAC Addresses : 64
sticky MAC アドレスによるポート セキュリティのポートでのイネーブル化
sticky MAC アドレスによるポート セキュリティをポートでイネーブルにするには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security mac-address sticky |
sticky MAC アドレスによるポート セキュリティをポートでイネーブルにします。 |
Router(config-if)# no switchport port-security mac-address sticky |
sticky MAC アドレスによるポート セキュリティをポートでディセーブルにします。 |
sticky MAC アドレスによるポート セキュリティをイネーブルにする場合は、次の点に注意してください。
• switchport port-security mac-address sticky コマンドを入力すると、次のようになります。
– ポートでダイナミックに学習されたすべてのセキュア MAC アドレスは、sticky セキュア MAC アドレスに変換されます。
– スタティックなセキュア MAC アドレスは、sticky MAC アドレスに変換されません。
– 音声 VLAN でダイナミックに学習されたセキュア MAC アドレスは、sticky MAC アドレスに変換されません。
– ダイナミックに学習された新規のセキュア MAC アドレスは、sticky アドレスとなります。
• no switchport port-security mac-address sticky コマンドを入力すると、ポート上のすべての sticky セキュア MAC アドレスは、ダイナミックなセキュア MAC アドレスに変換されます。
• sticky MAC アドレスがダイナミックに学習されたあとに、このアドレスを保存して、ブートアップまたはリロード後にポートに設定されるようにするには、 write memory または copy running-config startup-config コマンドを入力して、アドレスを startup-config ファイルに保存する必要があります。
次の例は、sticky MAC アドレスによるポート セキュリティをポート FastEthernet 5/12 でイネーブルにします。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security mac-address sticky
スタティック セキュア MAC アドレスのポートでの設定
スタティック セキュア MAC アドレスをポートに設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security mac-address [ sticky ] mac_address [ vlan { vlan_ID | voice | access }] |
ポートに対し、スタティック MAC アドレスをセキュア アドレスとして設定します。 vlan キーワードを指定すると、スタティック セキュア MAC アドレスは次の引数またはキーワードに基づいて設定されます。 • vlan_ID :MAC アドレスは、指定の VLAN 内で設定されます。 vlan_ID 引数がサポートされるのは、トランク ポート上だけです。 • voice :MAC アドレスは、音声 VLAN 内で設定されます。このキーワードがサポートされるのは、マルチ VLAN アクセス ポート上だけです。 • access :MAC アドレスは、アクセス(データ)VLAN 内で設定されます。このキーワードがサポートされるのは、アクセス ポートまたはマルチ VLAN アクセス ポート上だけです。 |
Router(config-if)# no switchport port-security mac-address [ sticky ] mac_address |
ポートからスタティック セキュア MAC アドレスを消去します。 |
ステップ 3 |
Router(config-if)# end |
コンフィギュレーション モードを終了します。 |
ステップ 4 |
Router# show port-security address |
設定を確認します。 |
スタティック セキュア MAC アドレスをポートに設定する場合は、次の点に注意してください。
• sticky MAC アドレスによるポート セキュリティがイネーブルになっている場合は、sticky セキュア MAC アドレスを設定できます(「sticky MAC アドレスによるポート セキュリティのポートでのイネーブル化」を参照)。
• switchport port-security maximum コマンドでポートに設定するセキュア MAC アドレスの最大数により、設定可能なセキュア MAC アドレスの数が定義されます。
• 最大数より少ないセキュア MAC アドレスを設定すると、残りの MAC アドレスはダイナミックに学習されます。
• ポート セキュリティはトランクでサポートされています。
– トランクでは、 vlan_ID によって VLAN 内でスタティック セキュア MAC アドレスを設定できます。
– トランクでは、スタティック セキュア MAC アドレスに対応するように VLAN を設定していない場合、このアドレスは switchport trunk native vlan コマンドで設定した VLAN でセキュアとなります。
次に、ポート FastEthernet 5/12 で MAC アドレス 1000.2000.3000 をセキュア アドレスとして設定し、その設定を確認する例を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security mac-address 1000.2000.3000
Router# show port-security address
------------------------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa5/12
ポートでのセキュア MAC アドレスのエージング設定
absolute キーワードを使用してエージング タイプを設定すると、ダイナミックに学習されるすべてのセキュア アドレスは、エージング タイムを過ぎると期限切れとなります。 inactivity キーワードを使用してエージング タイプを設定すると、エージング タイムは、ダイナミックに学習されたすべてのセキュア アドレスが期限切れとなるまでの非アクティブ期間として定義されます。
(注) スタティック セキュア MAC アドレスおよび sticky セキュア MAC アドレスは、期限切れとなりません。
ここでは、ポートでセキュア MAC アドレスのエージングを設定する方法について説明します。
• 「ポートでのセキュア MAC アドレスのエージング タイプの設定」
• 「ポートでのセキュア MAC アドレスのエージング タイムの設定」
ポートでのセキュア MAC アドレスのエージング タイプの設定
セキュア MAC アドレスのエージング タイプをポートに設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security aging type { absolute | inactivity } |
セキュア MAC アドレスのエージング タイプをポートに設定します(デフォルトは absolute)。 |
Router(config-if)# no switchport port-security aging type |
デフォルトの MAC アドレス エージング タイプに戻します。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include Time |
設定を確認します。 |
次に、ポート FastEthernet 5/12 のエージング タイプを inactivity に設定する例を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security aging type inactivity
Router(config-if)# do show port-security interface fastethernet 5/12 | include Type
ポートでのセキュア MAC アドレスのエージング タイムの設定
セキュア MAC アドレスのエージング タイムをポートに設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security aging time aging_time |
セキュア MAC アドレスのエージング タイムをポートに設定します。 aging_time の有効範囲は 1 ~ 1440 分です(デフォルトは 0)。 |
Router(config-if)# no switchport port-security aging time |
セキュア MAC アドレスのエージング タイムをディセーブルにします。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include Time |
設定を確認します。 |
次の例では、ポート FastEthernet 5/1 に対し、セキュア MAC アドレスのエージング タイムを 2 時間(120 分)に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/1
Router(config-if)# switchport port-security aging time 120
Router(config-if)# do show port-security interface fastethernet 5/12 | include Time
ポート セキュリティ設定の表示
ポート セキュリティ設定を表示するには、次のコマンドを入力します。
|
|
Router# show port-security [ interface {{ vlan vlan_ID } | { type slot/port }}] [ address ] |
スイッチまたは指定のインターフェイスに対するポート セキュリティ設定を表示します。 |
ポート セキュリティ設定を表示する場合は、次の点に注意してください。
• ポート セキュリティで vlan キーワードがサポートされるのは、トランク上だけです。
• address キーワードを使用してセキュア MAC アドレスを表示すると、各アドレスのエージング情報(スイッチに対するグローバル情報、またはインターフェイスごとの情報)が表示されます。
• 次の値が表示されます。
– 各インターフェイスで許可されるセキュア MAC アドレスの最大数
– インターフェイスに設定されたセキュア MAC アドレスの数
– 発生したセキュリティ違反の数
– 違反モード
次に、インターフェイスを入力しない場合の show port-security コマンドの出力例を示します。
Router# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
----------------------------------------------------------------------------
----------------------------------------------------------------------------
Total Addresses in System: 21
Max Addresses limit in System: 128
次に、特定のインターフェイスに対する show port-security コマンドの出力例を示します。
Router# show port-security interface fastethernet 5/1
Maximum MAC Addresses: 11
Configured MAC Addresses: 3
SecureStatic address aging: Enabled
Security Violation count: 0
次に、show port-security address 特権 EXEC コマンドの出力例を示します。
Router# show port-security address
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
---- ----------- ---- ----- -------------
1 0001.0001.0001 SecureDynamic Fa5/1 15 (I)
1 0001.0001.0002 SecureDynamic Fa5/1 15 (I)
1 0001.0001.1111 SecureConfigured Fa5/1 16 (I)
1 0001.0001.1112 SecureConfigured Fa5/1 -
1 0001.0001.1113 SecureConfigured Fa5/1 -
1 0005.0005.0001 SecureConfigured Fa5/5 23
1 0005.0005.0002 SecureConfigured Fa5/5 23
1 0005.0005.0003 SecureConfigured Fa5/5 23
1 0011.0011.0001 SecureConfigured Fa5/11 25 (I)
1 0011.0011.0002 SecureConfigured Fa5/11 25 (I)
-------------------------------------------------------------------
Total Addresses in System: 10
Max Addresses limit in System: 128