この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
ポート セキュリティを使用すると、限定されたセキュア MAC アドレス セットからのインバウンド トラフィックを許可するレイヤ 2 インターフェイスを設定できます。セキュアな MAC アドレスからのトラフィックは、同じ VLAN 内の別のインターフェイス上では許可されません。「セキュア」にできる MAC アドレスの数は、インターフェイス単位で設定します。
デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。
デバイスは、ダイナミック セキュア MAC アドレスをメモリに保存します。ダイナミック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにします。これらのアドレスは、copy run start コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、再起動後も維持することができます。
ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。あるインターフェイスのスティッキ学習をイネーブルにすると、ダイナミック学習が停止されて、代わりにスティッキ学習が使用されます。スティッキ学習をディセーブルにすると、ダイナミック学習が再開されます。
スティッキ セキュア MAC アドレスはエージングされません。
スティッキ セキュア MAC アドレスのエントリは、そのアドレスを明示的に削除するまで、インターフェイスの設定内に維持されます。
ダイナミック方式で学習された MAC アドレスはエージングされ、エージングの期限に達するとドロップされます。エージングの期限は、インターフェイスごとに設定できます。有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
アドレス エージングの判断には、2 つの方法があります。
セキュア ポート上のセキュア MAC アドレスは、他の標準的な MAC アドレスと同じ MAC アドレス テーブルに挿入されます。MAC テーブルの上限に達すると、その VLAN に対する新しいセキュア MAC アドレスの学習は行われなくなります。
次の図で示すように、VEM の各 VLAN には、セキュア MAC アドレスを最大数まで保存できる転送テーブルがあります。
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
インターフェイス 1 つあたりの許容されるセキュア MAC アドレスの数は、次の制限値によって決定されます。
デバイスの最大数:デバイスが許容できるセキュア MAC アドレスの最大数は 24,000 です。この値は変更できません。新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。
インターフェイスの最大数:ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数を設定できます。デフォルトのインターフェイスの最大アドレス数は、アクセス ポートとトランク vEthernet ポートの両方で 1 つです。インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。
VLAN の最大数:ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。VLAN の最大数を、インターフェイスの最大数より大きくすることはできません。VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。VLAN の最大数には、デフォルト値はありません。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用されるセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。
次のいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合
あるインターフェイスに VLAN とインターフェイスの両方の最大数が設定されている場合は、どちらかの最大数を超えると、違反が発生します。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。
次のいずれかが発生すると、違反が検出されます。
(注) |
特定のセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同一 VLAN 上の別のポートでポート セキュリティがセキュア MAC アドレスを検出したときに発生する一連のイベントは、MAC 移動違反と呼ばれます。 |
シャットダウン:違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。このインターフェイスはエラー ディセーブル状態になります。これがデフォルトの処理です。インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
switch(config)# errdisable recovery cause psecure-violation switch(config)# copy running-config startup-config
保護:違反の発生を防止します。インターフェイスの最大 MAC アドレス数に到達するまでアドレス学習を継続し、到達後はそのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレス以外のアドレスからの入力トラフィックをすべてドロップします。
制限:違反の発生を防止します。インターフェイスの最大 MAC アドレス数に到達するまでアドレス学習を継続し、到達後はそのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレス以外のアドレスからの入力トラフィックをすべてドロップし、Security Violation カウンタを増分させます。
ポート セキュリティを設定できるのは、レイヤ 2 インターフェイスだけです。各種のインターフェイスまたはポートとポート セキュリティについて次に詳しく説明します。
アクセス ポート:レイヤ 2 アクセス ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートでポート セキュリティが適用されるのは、アクセス VLAN だけです。
トランク ポート:レイヤ 2 トランク vEth ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートには、VLAN 最大数を設定しても効果はありません。デバイスが VLAN 最大数を適用するのは、トランク ポートに関連付けられた VLAN だけです。
SPAN ポート:SPAN 送信元ポートにはポート セキュリティを設定できますが、SPAN 宛先ポートには設定できません。
イーサネット ポート:ポート セキュリティはイーサネット ポートではサポートされません。
イーサネット ポート チャネル:イーサネット ポート チャネルでは、ポート セキュリティはサポートされていません。
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。デバイスは、スタティック方式またはスティッキ方式で学習したアドレスをネイティブ トランク VLAN に移行します。
レイヤ 2 インターフェイスをトランク ポートからアクセス ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。ネイティブ トランク VLAN でスティッキ方式で学習されたアドレスはすべて、アクセス VLAN に移行されます。ネイティブ トランク VLAN でない場合、スティッキ方式で学習されたセキュア アドレスはドロップされます。
パラメータ |
デフォルト |
---|---|
インターフェイス |
ディセーブル |
MAC アドレス ラーニング方式 |
ダイナミック |
セキュア MAC アドレスのインターフェイス最大数 |
1 |
セキュリティ違反時の処理 |
シャットダウン |
デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。
インターフェイスのポート セキュリティをイネーブルにすると、MAC アドレスのダイナミック学習もイネーブルになります。
次に、レイヤ 2 インターフェイスのポート セキュリティをイネーブルにする例を示します。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security switch(config-if)# show running-config port-security interface Vethernet36 switchport port-security switch(config-if)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2303 0050.5687.3C68 DYNAMIC Vethernet36 0 ---------------------------------------------------------------------- switch(config-if)# show port-security interface vethernet 36 Port Security : Enabled Port Status : Secure UP Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Security violation count : 0 switch(config-if)# copy running-config startup-config
スティッキ MAC アドレス ラーニングをイネーブルまたはディセーブルにすることができます。
ダイナミック MAC アドレス ラーニングがインターフェイスのデフォルトです。
デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。
次に、スティッキ MAC アドレス ラーニングをイネーブルにする例を示します。
switch(config)# interface Vethernet36 switch(config-if)# switchport port-security switch(config-if)# switchport port-security mac-address sticky switch(config-if)# switchport port-security mac-address 0050.5687.3C4B switch(config)# show running-config port-security interface Vethernet36 switchport port-security switchport port-security mac-address sticky switchport port-security mac-address 0050.5687.3C4B switch(config)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2304 0050.5687.3C4B STICKY Vethernet36 0 ----------------------------------------------------------------------
インターフェイスにスタティック セキュア MAC アドレスを追加できます。
この手順を開始する前に、次のことを確認してください。
次に、インターフェイスにスタティック セキュア MAC アドレスを追加する例を示します。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security mac-address 0019.D2D0.00AE switch(config)# show running-config port-security interface Vethernet36 switchport port-security switchport port-security maximum 5 switchport port-security mac-address 0019.D2D0.00AE switch(config)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2304 0019.D2D0.00AE STATIC Vethernet36 0 2304 0050.5687.3C4B DYNAMIC Vethernet36 0 ---------------------------------------------------------------------- VLAN MAC Address Type Age Port Mod switch(config-if)# copy running-config startup-config
レイヤ 2 インターフェイスからスタティック方式またはスティッキ方式のセキュア MAC アドレスを削除するには、次の手順を実行します。
この手順を開始する前に、次のことを確認してください。
次に、現在のインターフェイスのポート セキュリティから MAC アドレスを削除する例を示します。
switch(config-if)# interface Vethernet36 switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 5 switch(config-if)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2303 0050.5687.1111 STATIC Vethernet36 0 2303 0050.5687.3C4B DYNAMIC Vethernet36 0 ---------------------------------------------------------------------- switch(config-if)# no switchport port-security mac-address 0050.5687.1111 switch(config-if)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2303 0050.5687.3C4B DYNAMIC Vethernet36 0 ----------------------------------------------------------------------
ダイナミック方式で学習された特定のアドレス、または特定のインターフェイスでダイナミックに学習されたすべてのアドレスを削除するには、この手順を使用します。
(注) |
ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown コマンドを使用して、インターフェイスを再起動します。 |
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
次に、ダイナミックに学習されたセキュア MAC アドレスを削除する例を示します。
switch(config)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2303 0000.1111.2224 STATIC Vethernet36 0 2303 0050.5687.3C4B DYNAMIC Vethernet36 0 ---------------------------------------------------------------------- switch(config)# clear port-security dynamic interface vethernet 36 switch(config)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2303 0000.1111.2224 STATIC Vethernet36 0 ----------------------------------------------------------------------
レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。設定できる最大アドレス数は 4096 です。
セキュア MAC アドレスは、レイヤ 2 転送テーブル(L2FT)を共有します。各 VLAN の転送テーブルには最大 1024 エントリを保持できます。
デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。
VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。
ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown コマンドを使用して、インターフェイスを再起動します。
(注) |
インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、コマンドは拒否されます。 |
次に、MAC アドレスの最大数を設定する例を示します。
switch(config-if)# interface Vethernet36 switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 425 switch(config-if)# show port-security interface vethernet 36 Port Security : Enabled Port Status : Secure UP Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute Maximum MAC Addresses : 425 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Security violation count : 0 switch(config-if)# show running-config port-security interface Vethernet36 switchport port-security switchport port-security maximum 425
ダイナミック方式で学習された MAC アドレスがエージング期限に到達したかどうかを判断するために使用される、MAC アドレス エージングのタイプと期間を設定することができます。
アドレス エージングを判断する方法は 2 つあります。
この手順を開始する前に、次のことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# interface type number | 指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-if)# [no] switchport port-security aging type {absolute | inactivity} | ダイナミックに学習された MAC アドレスにデバイスが適用するエージング タイプを設定します。no オプションを使用すると、エージング タイプがデフォルト値(絶対エージング)にリセットされます。 |
ステップ 4 | switch(config-if)# [no] switchport port-security aging time minutes | ダイナミックに学習された MAC アドレスがドロップされるまでのエージング タイムを分単位で設定します。minutes の最大値は 1440 です。no オプションを使用すると、エージング タイムがデフォルト値である 0(エージングはディセーブル)にリセットされます。 |
ステップ 5 | switch(config-if)# show port-security address interface vethernet number | (任意) インターフェイス上の学習されたセキュア MAC アドレスを表示します。 |
ステップ 6 | switch(config-if)# show port-security interface vethernet number | (任意) インターフェイス上のポート セキュリティの設定を表示します。 |
ステップ 7 | switch(config-if)# show running-config port-security | (任意) ポート セキュリティの設定を表示します。 |
ステップ 8 | switch(config-if)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、アドレス エージングのタイプと期間を設定する例を示します。
switch(config-if)# show running-config port-security interface Vethernet36 switchport port-security switchport port-security aging type inactivity switchport port-security aging time 120 switch(config-if)# interface Vethernet36 switch(config-if)# switchport port-security switch(config-if)# switchport port-security aging type inactivity switch(config-if)# switchport port-security aging time 120 switch(config-if)# show port-security address interface vethernet 36 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2304 0050.5687.3C4B DYNAMIC Vethernet36 120 ---------------------------------------------------------------------- switch(config-if)# show port-security interface vethernet 36 Port Security : Enabled Port Status : Secure UP Violation Mode : Shutdown Aging Time : 120 mins Aging Type : Inactivity Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Security violation count : 0
この手順を開始する前に、次のことを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# interface type number | 指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-if)# [no] switchport port-security violation {protect | restrict | shutdown} | 現在のインターフェイスのポート セキュリティにセキュリティ違反時の処理を設定します。no オプションを使用すると、違反時の処理がデフォルト値(インターフェイスのシャットダウン)にリセットされます。 次のキーワードと引数があります。 |
ステップ 4 | switch(config-if)# show port-security address interface vethernet number | インターフェイス上の学習されたセキュア MAC アドレスを表示します。 |
ステップ 5 | switch(config-if)# show port-security interface vethernet number | インターフェイス上のポート セキュリティの設定を表示します。 |
ステップ 6 | switch(config-if)# show running-config port-security | (任意) ポート セキュリティの設定を表示します。 |
ステップ 7 | switch(config-if)# copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次の例では、セキュリティ違反時の処理の設定方法を示します。
switch(config-if)# show running-config port-security interface Vethernet36 switchport port-security switchport port-security violation protect switch(config-if)# interface Vethernet36 switch(config-if)# switchport port-security switch(config-if)# switchport port-security violation protect switch(config-if)# show port-security interface vethernet 36 Port Security : Enabled Port Status : Secure UP Violation Mode : Protect Aging Time : 0 mins Aging Type : Absolute Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Security violation count : 0
ポート セキュリティ違反がディセーブルなインターフェイスを自動的に回復するには、次の手順を実行します。インターフェイスを error-disabled 状態から手動で回復するには、shutdown コマンドを入力してから、no shutdown コマンドを入力する必要があります。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# interfacetype number | 指定したインターフェイスのインターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-if)# errdisable recovery cause psecure-violation | セキュリティ違反がディセーブルな特定のポートの期間指定された自動リカバリをイネーブルにします。 |
ステップ 4 | switch(config-if)# errdisable recovery intervalseconds | 秒単位のタイマー リカバリ間隔を 30 ~ 65535 秒に設定します。 |
次に、ポート セキュリティ違反がディセーブルになっているポートを回復する例を示します。
switch# configure terminal switch(config)# interface vethernet 36 switch(config-if)# errdisable recovery cause psecure-violation switch(config-if)# errdisable recovery interval 30 switch(config-if)# copy running-config startup-config switch(config-if)# show errdisable recovery ErrDisable Reason Timer Status ----------------- ------------ link-flap disabled dhcp-rate-limit disabled arp-inspection disabled security-violation disabled psecure-violation enabled failed-port-state enabled ip-addr-conflict disabled Timer interval: 30
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show running-config port-security |
ポート セキュリティの設定を表示します。 |
show port-security |
ポート セキュリティのステータスを表示します。 |
show port-security address interface vethernet number |
インターフェイス上の学習されたセキュア MAC アドレスを表示します。 |
show port-security interface vethernet number |
インターフェイス上のポート セキュリティの設定を表示します。 |
セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。
そのインターフェイス上のすべてのセキュア MAC アドレスを表示するには、show port-security address interface vethernet id コマンドを使用します。
次に、VLAN とインターフェイスのセキュア アドレス最大数が指定されている vEthernet 36 インターフェイスのポート セキュリティ設定の例を示します。この例のインターフェイスはトランク ポートです。違反時の処理は Protect(保護)に設定されています。
switch# config terminal switch(config)# interface vethernet 36 switch(config-if)# switchport port-security switch(config-if))# switchport port-security maximum 10 switch(config-if))# switchport port-security maximum 7 vlan 10 switch(config-if))# switchport port-security maximum 3 vlan 20 switch(config-if))# switchport port-security violation protect switch(config-if))# switchport mode trunk switch(config-if)# show running-config interface vethernet 36 switchport port-security switchport port-security maximum 10 switchport port-security maximum 7 vlan 10 switchport port-security maximum 3 vlan 20 switchport port-security violation protect switchport mode trunk
次に vEthernet 40 インターフェイスのポート セキュリティ設定の例を示します。インターフェイスの最大数は 20、違反は restrict(制限)、絶対タイムアウトが 1 分でポート セキュリティのスタティック MAC アドレスが 0000.1111.5555 のアクセス ポートとして設定します。
switch# config terminal switch(config)# interface vethernet 40 switch(config-if)# switchport port-security aging time 1 switch(config-if)# switchport port-security aging type absolute switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 20 switch(config-if)# switchport port-security mac-address 0000.1111.5555 switch(config-if)# switchport port-security violation restrict switch(config-if)# show running-config interface vethernet 40 switchport port-security aging time 1 switchport port-security aging type absolute switchport port-security switchport port-security maximum 20 switchport port-security mac-address 0000.1111.5555 switchport port-security violation restrict switch(config-if)# show port-security interface vethernet 40 Port Security : Enabled Port Status : Secure UP Violation Mode : Restrict Aging Time : 1 mins Aging Type : Absolute Maximum MAC Addresses : 20 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Security violation count : 0
次に vEthernet 42 インターフェイスのポート セキュリティ設定の例を示します。違反が shutdown(シャットダウン)で MAC アドレス ラーニングは sticky(スティッキ)のアクセス ポートとして設定します。
switch# config terminal switch(config)# interface vethernet 42 switch(config-if)# switchport port-security switch(config-if)# switchport port-security mac-address sticky switch(config-if)# switchport port-security violation shutdown switch(config-if)# show running-config interface vethernet 42 switchport port-security switchport port-security mac-address sticky switchport port-security violation shutdown switch(config-if)# show port-security interface vethernet 42 Port Security : Enabled Port Status : Secure UP Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Security violation count : 0 switch(config-if)# show port-security address interface vethernet 42 Secure Mac Address Table ---------------------------------------------------------------------- Vlan Mac Address Type Ports Configured Age (mins) ---- ----------- ------ ----- --------------- 2303 0050.5687.3C68 STICKY Vethernet42 0 ----------------------------------------------------------------------
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
ポート セキュリティ |
5.2(1)SM1(5.1) |
この機能が導入されました。 |