ポート セキュリティのインストール

この章では、Visore を使用して APIC およびリーフ スイッチでポート セキュリティのインストールを確認する方法と、Cisco NX-OS スタイルの CLI を使用してハードウェアでポート セキュリティがプログラムされていることを確認する方法について説明します。ポート セキュリティの構成については、「Cisco ポート セキュリティ」のドキュメントを参照してください。

この章は、次の項で構成されています。

Visore を使用したポート セキュリティのインストールの確認

手順

ステップ 1

Cisco APIC で、Visore の l2PortSecurityPol クラスのクエリを実行して、ポート セキュリティ ポリシーのインストールを確認します。

ステップ 2

リーフ スイッチで、Visore で l2PortSecurityPolDef のクエリを実行して、具体的なオブジェクトがインターフェイスに存在することを確認します。

ポート セキュリティが Cisco APIC およびリーフ スイッチにインストールされていることを確認したら、Cisco NX-OS CLI を使用して、ポート セキュリティがハードウェアにプログラムされていることを確認します。

Cisco NX-OS CLI を使用したハードウェア ポート セキュリティ設置の確認

手順

ステップ 1

次のように、スイッチ インターフェイスのポート セキュリティ ステータスを表示します。

例:

switch# show system internal epm interface ethernet 1/35 det
name : Ethernet1/35 ::: if index : 0x1a022000 ::: state : UP
vPC : No ::: EPT : 0x0
MAC Limit : 8 ::: Learn Disable : No ::: PortSecurity Action : Protect
VLANs : 4-23
Endpoint count : 5
Active Endpoint count : 5

switch# show system internal epm interface port-channel 1 det

name : port-channel1 ::: if index : 0x16000000 ::: state : UP
vPC : No ::: EPT : 0x0
MAC Limit : 6 ::: Learn Disable : No ::: PortSecurity Action : Protect
VLANs : 
Endpoint count : 0
Active Endpoint count : 0
Number of member ports : 1
Interface : Ethernet1/34    /0x1a021000
::::

ステップ 2

次のように、モジュール インターフェイスのポート セキュリティ ステータスを表示します。

例:

module-1# show system internal epmc interface ethernet 1/35 det
if index : 0x1a022000 ::: name : Ethernet1/35 ::: tun_ip = 0.0.0.0
MAC limit : 8 ::: is_learn_disable : No ::: MAC limit action: Protect
pc if index : 0 ::: name : 
is_vpc_fc FALSE  ::: num_mem_ports : 0
 interface state : up
Endpoint count : 5
EPT : 0


module-1# show system internal epmc interface port-channel 1 det
if index : 0x16000000 ::: name : port-channel1 ::: tun_ip = 0.0.0.0
MAC limit :  6 ::: is_learn_disable : No ::: MAC limit action: Protect
pc if index : 0 ::: name : 
is_vpc_fc FALSE  ::: num_mem_ports : 1
 interface state : up
Endpoint count : 0
EPT : 0
::::

ステップ 3

次のように、リーフ スイッチのポート セキュリティ ステータスを表示します。

例:

swtb15-leaf2# show system internal epm interface ethernet 1/35 det

name : Ethernet1/35 ::: if index : 0x1a022000 ::: state : UP
vPC : No ::: EPT : 0x0
MAC Limit : 5 ::: Learn Disable : Yes ::: PortSecurity Action : Protect
VLANs : 4-23
Endpoint count : 5
Active Endpoint count : 5
::::

ステップ 4

モジュール インターフェイスの MAC 制限を次のように確認します。

例:

module-1# show system internal eltmc info interface port-channel1 | grep mac_limit
   mac_limit_reached:              0   :::       mac_limit:              8
port_sec_feature_set:              1   ::: mac_limit_action:              1

例:

module-1# show system internal eltmc info interface ethernet 1/35 | grep mac_limit
   mac_limit_reached:              0   :::       mac_limit:              8
port_sec_feature_set:              1   ::: mac_limit_action:              1

ステップ 5

モジュールのポート セキュリティ ステータスを表示し、次のように MAC 制限を確認します。

例:

module-1#  show system internal epmc interface ethernet 1/35 det
if index : 0x1a022000 ::: name : Ethernet1/35 ::: tun_ip = 0.0.0.0
MAC limit : 5 ::: is_learn_disable : Yes ::: MAC limit action: Protect
pc if index : 0 ::: name : 
is_vpc_fc FALSE  ::: num_mem_ports : 0
 interface state : up
Endpoint count : 5
EPT : 0
::::

例:

module-1# show system internal eltmc info interface ethernet 1/35 | grep mac_limit
   mac_limit_reached:              1   :::       mac_limit:              5
port_sec_feature_set:              1   ::: mac_limit_action:              1
module-1# exit