この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco MDS 9000 ファミリのスイッチにはすべて、侵入の試みを拒否し、管理者に侵入を報告するポート セキュリティ機能があります。
(注) ポート セキュリティは、fc ポート セキュリティとしてファイバ チャネル ポートと Fibre Channel over Ethernet(FCoE)ポートの両方をサポートします。
Cisco MDS 9000 ファミリのスイッチにはすべて、侵入の試みを拒否し、管理者に侵入を報告するポート セキュリティ機能があります。
通常、SAN 内のすべてのファイバ チャネル デバイスを任意の SAN スイッチ ポートに接続して、ゾーン メンバーシップに基づいて SAN サービスにアクセスできます。ポート セキュリティ機能は、次の方法で、Cisco MDS 9000 ファミリのスイッチ ポートへの不正アクセスを防止します。
ポート セキュリティを実行するには、デバイスおよびスイッチ ポート インターフェイス(これらを通じて各デバイスまたはスイッチが接続される)を設定し、設定をアクティブにします。
Nx および xE ポートをそれぞれ設定して、単一ポートまたはポート範囲に限定することができます。
指定期間内にポート セキュリティ設定を自動的に学習するように、スイッチを設定できます。この機能を使用すると、任意の Cisco MDS 9000 ファミリ スイッチで、接続先のデバイスおよびスイッチについて自動的に学習できます。ポート セキュリティ機能を初めてアクティブにするときに、この機能を使用してください。ポートごとに手動で設定する面倒な作業が軽減されます。自動学習は、VSAN 単位で設定する必要があります。この機能をイネーブルにすると、ポート アクセスを設定していない場合でも、スイッチに接続可能なデバイスおよびスイッチが自動学習されます。
自動学習をイネーブルにすると、学習は、すでにスイッチにログインしているデバイスまたはインターフェイス、およびログインする必要がある新しいデバイスまたはインターフェイスで実行されます。ポートでの学習済みエントリは、自動学習がまだイネーブルな場合、そのポートをシャットダウンした後でクリーンアップされます。
学習は、既存の設定済みのポート セキュリティ ポリシーを上書きしません。たとえば、インターフェイスが特定の pWWN を許可するように設定されている場合、自動学習によって、そのインターフェイスに他の pWWN を許可する新しいエントリが追加されることはありません。他のすべての pWWN は、自動学習モードであってもブロックされます。
シャットダウン状態のポートについては、学習エントリは作成されません。
ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。
(注) ポート セキュリティ機能をアクティブにすると、自動学習機能はデフォルトで有効になります。自動学習がディセーブルであるか、または非アクティブであり、再度アクティブ化されるまで、ポート セキュリティを再度アクティブ化することはできません。
デフォルトでは、すべての Cisco MDS 9000 ファミリ スイッチで、ポート セキュリティ機能は非アクティブです。
ポート セキュリティ機能をアクティブにすると、次の処理が適用されます。
– ここから、自動学習はすでにスイッチにログインしたデバイスまたはインタフェース、および今後ログインする新しいデバイスに対して発生します。
– 自動学習をディセーブルにするまで、データベースをアクティブにできません。
データベースをアクティブにすると、以降のデバイスのログインは、自動学習されたエントリを除き、アクティブ化されたポートによってバインドされた WWN ペアの対象になります。自動学習されたエントリがアクティブになる前に、自動学習をディセーブルにする必要があります。
ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。ポート セキュリティ機能をアクティブにし、自動学習をディセーブルにすることもできます。
ヒント ポートがログインを拒否されて停止している場合、その後でログインを許可するようにデータベースを設定しても、ポートは自動的に起動しません。そのポートをオンラインに戻すには、no shutdown CLI コマンドを明示的に発行する必要があります。
ポート セキュリティを設定する手順は、使用する機能によって異なります。CFS 配信を使用している場合、自動学習の動作が異なります。
自動学習および CFS 配信を使用してポート セキュリティを設定する手順は、次のとおりです。
ステップ 1 ポート セキュリティをイネーブルにします。“ポート セキュリティのイネーブル化” sectionを参照してください。
ステップ 2 CFS 配信をイネーブルにします。“配信のイネーブル化” sectionを参照してください。
ステップ 3 各 VSAN で、ポート セキュリティをアクティブにします。デフォルトで自動学習が有効になります。“ポート セキュリティのアクティブ化” sectionを参照してください。
ステップ 4 CFS コミットを発行して、ファブリック内のすべてのスイッチにこの設定をコピーします。“変更のコミット” sectionを参照してください。この時点で、すべてのスイッチがアクティブになり、自動学習が有効になります。
ステップ 5 すべてのスイッチとすべてのホストが自動的に学習されるまで待ちます。
ステップ 6 各 VSAN で、自動学習をディセーブルにします。“自動学習のディセーブル化” sectionを参照してください。
ステップ 7 CFS コミットを発行して、ファブリック内のすべてのスイッチにこの設定をコピーします。“変更のコミット” sectionを参照してください。この時点で、すべてのスイッチから自動学習されたエントリが、すべてのスイッチに配信されるスタティックなアクティブ データベースに組み込まれます。
ステップ 8 各 VSAN のコンフィギュレーション データベースにアクティブ データベースをコピーします。“ポート セキュリティ データベースのコピー” sectionを参照してください。
ステップ 9 CFS コミットを発行して、ファブリック内のすべてのスイッチにこの設定をコピーします。“変更のコミット” sectionを参照してください。これで、ファブリック内のすべてのスイッチのコンフィギュレーション データベースが同一になります。
ステップ 10 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースが、ファブリック内のすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。
自動学習を使用し、CFS 配信を使用しないポート セキュリティを設定する手順は、次のとおりです。
ステップ 1 ポート セキュリティをイネーブルにします。“ポート セキュリティのイネーブル化” sectionを参照してください。
ステップ 2 各 VSAN で、ポート セキュリティをアクティブにします。デフォルトで自動学習が有効になります。“ポート セキュリティのアクティブ化” sectionを参照してください。
ステップ 3 すべてのスイッチとすべてのホストが自動的に学習されるまで待ちます。
ステップ 4 各 VSAN で、自動学習をディセーブルにします。“自動学習のディセーブル化” sectionを参照してください。
ステップ 5 各 VSAN のコンフィギュレーション データベースにアクティブ データベースをコピーします。“ポート セキュリティ データベースのコピー” sectionを参照してください。
ステップ 6 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースがスタートアップ コンフィギュレーションに保存されます。
ステップ 7 ファブリック内のすべてのスイッチについて、ステップ 1 ~ステップ 6 を繰り返します。
ポート セキュリティを設定し、ポート セキュリティ データベースを手動設定する手順は、次のとおりです。
ステップ 1 ポート セキュリティをイネーブルにします。“ポート セキュリティのイネーブル化” sectionを参照してください。
ステップ 2 各 VSAN のコンフィギュレーション データベースにすべてのポート セキュリティ エントリを手動で設定します。“ポート セキュリティの手動設定” sectionを参照してください。
ステップ 3 各 VSAN で、ポート セキュリティをアクティブにします。デフォルトで自動学習が有効になります。“ポート セキュリティのアクティブ化” sectionを参照してください。
ステップ 4 各 VSAN で、自動学習をディセーブルにします。“自動学習のディセーブル化” sectionを参照してください。
ステップ 5 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースがスタートアップ コンフィギュレーションに保存されます。
ステップ 6 ファブリック内のすべてのスイッチについて、ステップ 1 ~ステップ 5 を繰り返します。
デフォルトでは、すべての Cisco MDS 9000 ファミリ スイッチで、ポート セキュリティ機能はディセーブルです。
ポート セキュリティをイネーブルにするには、次の手順を実行します。
|
|
|
---|---|---|
ポート セキュリティ機能をアクティブ化するには、次の手順を実行します。
|
|
|
---|---|---|
(注) 必要に応じて、自動学習をディセーブルに設定できます(“自動学習のディセーブル化” sectionを参照)。
次の場合は、データベースをアクティブ化しようとしても、拒否されます。
上記のような矛盾が 1 つ以上発生したためにデータベース アクティベーションが拒否された場合は、ポート セキュリティ アクティベーションを強制して継続することができます。
ポート セキュリティ アクティベーション要求が拒否された場合は、アクティベーションを強制できます。
(注) force オプションを使用してアクティブ化すると、アクティブ データベースに違反している既存のデバイスをログアウトさせることができます。
存在しないエントリや矛盾するエントリを表示するには、EXEC モードで port-security database diff active vsan コマンドを使用します。
ポート セキュリティ データベースを強制的にアクティブにするには、次の手順を実行します。
|
|
|
---|---|---|
ポート セキュリティ データベースを再アクティブ化するには、次の手順を実行します。
|
|
|
---|---|---|
自動学習をディセーブルにし、スイッチにアクセスする新規デバイスをスイッチが学習しないように設定します。この時点までに学習されたデバイスに基づいて、データベースの内容を処理します。 |
||
ヒント 自動学習がイネーブルで、データベースをアクティブ化できない場合、自動学習機能をディセーブルにするまで force オプションなしで作業を進めることはできません。
自動学習設定の状態は、ポート セキュリティ機能の状態によって異なります。
ヒント VSAN 上で自動学習がイネーブルの場合、force オプションを使用して、この VSAN のデータベースだけをアクティブにできます。
|
|
|
---|---|---|
自動学習をイネーブルにして、VSAN 1 へのアクセスが許可されたすべてのデバイスについて、スイッチが学習できるようにします。これらのデバイスは、ポート セキュリティ アクティブ データベースに記録されます。 |
|
|
|
---|---|---|
自動学習をディセーブルにし、スイッチにアクセスする新規デバイスをスイッチが学習しないように設定します。この時点までに学習されたデバイスに基づいて、データベースの内容を処理します。 |
表 9-1 に、デバイス要求に対して接続が許可される条件をまとめます。
|
|
|
|
---|---|---|---|
ポート セキュリティ機能がアクティブで、アクティブ データベースに次の条件が指定されていることが前提です。
表 9-2 に、このアクティブ データベースに対するポート セキュリティ許可の結果をまとめます。ここに示す条件は、 表 9-1 の条件を参照しています。
|
|
|
|
---|---|---|---|
Cisco MDS 9000 ファミリの任意のスイッチにポート セキュリティを設定する手順は、次のとおりです。
ステップ 1 保護する必要があるポートの WWN を識別します。
ステップ 2 許可された nWWN または pWWN に対して fWWN を保護します。
ステップ 3 ポート セキュリティ データベースをアクティブにします。
ポート セキュリティを手動で設定する場合は、次の注意事項に従ってください。
許可済みのポート ペアをポート セキュリティに追加するには、次の手順を実行します。
バインドする必要がある WWN ペアを識別したら、これらのペアをポート セキュリティ データベースに追加します。
ヒント リモート スイッチのバインドは、ローカル スイッチで指定できます。リモート インターフェイスを指定する場合、fWWN または sWWN インターフェイスの組み合わせを使用できます。
ポート セキュリティ機能は Cisco Fabric Services(CFS)インフラストラクチャを使用して効率的なデータベース管理を実現し、VSAN 内のファブリック全体に 1 つの設定を提供します。また、ファブリック全体でポート セキュリティ ポリシーを実行します。
ポート セキュリティ配信をイネーブルにするには、次の手順を実行します。
|
|
|
---|---|---|
たとえば、ポート セキュリティをアクティブにし、自動学習をディセーブルにし、保留状態のデータベースに変更をコミットすると、 port-security activate vsan vsan-id no-auto-learn コマンドを発行した場合と同じ結果になります。
配信モードで実行されたすべての設定は保留中の(一時的な)データベースに保存されます。設定を変更する場合、設定に対して保留中のデータベースの変更をコミットまたは廃棄する必要があります。その間、ファブリックはロックされた状態になります。保留中のデータベースへの変更は、変更をコミットするまで設定に反映されません。
(注) CFS 配信がイネーブルの場合、ポートのアクティベーションまたは非アクティベーションおよび自動学習のイネーブル化またはディセーブル化は、CFS コミットを発行するまで有効になりません。常に CFS コミットとこれらの処理のいずれかを使用して、正しい設定を確認してください。“アクティブ化および自動学習の設定の配信” sectionを参照してください。
ヒント この場合、各処理の最後にコミットを実行することを推奨します。つまり、ポート セキュリティのアクティブ化のあと、および自動学習のイネーブル化のあとです。
既存の設定を変更するときの最初のアクションが実行されると、保留中のデータベースが作成され、VSAN 内の機能がロックされます。ファブリックがロックされると、次のような状況になります。
CFS のロック情報を表示するには、show cfs lock コマンドを使用します。詳細については、『Cisco MDS 9000 Family Command Reference』を参照してください。
設定に加えられた変更をコミットする場合、保留中のデータベースの設定が他のスイッチに配信されます。コミットが正常に行われると、設定の変更がファブリック全体に適用され、ロックが解除されます。
指定された VSAN のポート セキュリティ設定の変更をコミットするには、次の手順を実行します。
|
|
|
---|---|---|
保留中のデータベースに加えられた変更を廃棄(中断)する場合、設定は影響されないまま、ロックが解除されます。
CFS のロック情報を表示するには、show cfs lock コマンドを使用します。詳細については、『Cisco MDS 9000 Family Command Reference』を参照してください。
指定された VSAN のポート セキュリティ設定の変更を破棄するには、次の手順を実行します。
|
|
|
---|---|---|
指定された VSAN のポート セキュリティの変更を廃棄し、保留中のコンフィギュレーション データベースをクリアします。 |
配信モードのアクティベーション設定および自動学習設定は、保留中のデータベースの変更をコミットするときに実行する処理として記憶されます。
学習済みエントリは一時的なもので、ログインを許可するか否かを決定するロールを持ちません。そのため、学習済みエントリは配信に参加しません。学習をディセーブルにし、保留中のデータベースの変更をコミットする場合、学習済みエントリはアクティブ データベース内のスタティック エントリになり、ファブリック内のすべてのスイッチに配信されます。コミット後は、すべてのスイッチのアクティブ データベースは同一です。
変更をコミットする場合、保留中のデータベースに複数のアクティブ化および自動学習の設定が含まれていると、アクティブ化と自動学習の変更が統合され、処理が変更されることがあります( 表 9-3 を参照)。
|
|
|
|
---|---|---|---|
コンフィギュレーション データベースに A および B が存在し、アクティベーションが行われておらず、デバイス C および D がログインされています。 |
アクティブ データベース = {A、B、C1、D*} |
||
コンフィギュレーション データベースに A および B が存在し、アクティベーションが行われておらず、デバイス C および D がログインされています。 |
|||
アクティブ データベース = {A、B}、デバイス C および D がログアウトされます。これは、自動学習をディセーブルにした場合のアクティベーションと同じです。 |
|
ヒント 各処理の最後にコミットを実行することを推奨します。つまり、ポート セキュリティのアクティブ化の後、および自動学習のイネーブル化の後です。
データベースのマージとは、コンフィギュレーション データベースとアクティブ データベース内のスタティック(学習されていない)エントリの統合を指します。
2 つのファブリック間のデータベースをマージする場合は、次のことに気をつけて行ってください。
表 9-4 に、アクティブ データベースとコンフィギュレーション データベース間の相違、および相互作用を示します。
|
|
---|---|
アクティブ データベースを設定済みデータベースで上書きするには、ポート セキュリティ データベースをアクティブ化します。強制的にアクティブにすると、アクティブ データベースの設定済みエントリに違反が生じることがあります。 |
(注) port-security database copy vsan コマンドを使用すると、コンフィギュレーション データベースをアクティブ データベースで上書きできます。アクティブ データベースとコンフィギュレーション データベースとの相違を表示するには、EXEC モードで port-security database diff active vsan コマンドを使用します。
図 9-1 の各シナリオは、ポート セキュリティ設定に基づくアクティブ データベースとコンフィギュレーション データベースのステータスを示しています。
アクティブ データベースから設定済みデータベースにコピーするには、 port-security database copy vsan コマンドを使用します。アクティブ データベースが空の場合、このコマンドは受け付けられません。
アクティブ データベースとコンフィギュレーション データベースとの相違を表示するには、 port-security database diff active vsan コマンドを使用します。このコマンドは、矛盾を解決する場合に使用できます。
コンフィギュレーション データベースとアクティブ データベースとの違いに関する情報を表示するには、 port-security database diff config vsan コマンドを使用します。
ヒント 自動学習をディセーブルにしてから 、port-security database copy vsan コマンドを発行することを推奨します。これにより、コンフィギュレーション データベースとアクティブ データベースを確実に同期化できます。配信がイネーブルの場合、このコマンドによってコンフィギュレーション データベースの一時的なコピーが作成され、結果としてファブリックがロックされます。ファブリックをロックする場合、すべてのスイッチのコンフィギュレーション データベースに変更をコミットする必要があります。
ヒント 配信がイネーブルの場合、削除によってデータベースのコピーが作成されます。実際にデータベースを削除するには、明示的に port-security commit コマンドを入力する必要があります。
指定された VSAN の設定済みデータベースを削除するには、コンフィギュレーション モードで no port-security database vsan コマンドを使用します。
指定された VSAN のポート セキュリティ データベースから既存の統計情報をすべてクリアするには、 clear port-security statistics vsan コマンドを使用します。
VSAN 内の指定されたインターフェイスに関するアクティブ データベース内の学習済みエントリをすべてクリアするには、 clear port-security database auto-learn interface コマンドを使用します。
VSAN 全体に関するアクティブ データベース内の学習済みエントリをすべてクリアするには、 clear port-security database auto-learn vsan コマンドを使用します。
(注) clear port-security database auto-learn および clear port-security statistics コマンドはローカル スイッチだけに関連するので、ロックを取得しません。また、学習済みエントリはスイッチにだけローカルで、配信に参加しません。
VSAN 内で、任意のスイッチから VSAN の保留中のセッションをクリアするには、 port-security clear vsan コマンドを使用します。
show port-security database コマンドを使用すると、設定されたポート セキュリティ情報が表示されます(例 9-1 ~ 9-11 を参照)。
例 9-1 ポート セキュリティ コンフィギュレーション データベースの内容の表示
show port-security コマンドで fWWN や VSAN、またはインターフェイスや VSAN を指定すると、アクティブなポート セキュリティの出力を表示することもできます(例 9-2 を参照)。
例 9-2 VSAN 1 のポート セキュリティ コンフィギュレーション データベースの表示
例 9-4 一時的なコンフィギュレーション データベースの内容の表示
例 9-5 一時的なコンフィギュレーション データベースとコンフィギュレーション データベースの相違の表示
各ポートのアクセス情報は個別に表示されます。fWWN または interface オプションを指定すると、(その時点で)アクティブ データベース内で指定された fWWN またはインターフェイスとペアになっているすべてのデバイスが表示されます(例 9-6 から 9-8 を参照)。
例 9-6 VSAN 1 内のワイルドカード fWWN ポート セキュリティの表示
例 9-7 VSAN 1 内の設定済み fWWN ポート セキュリティの表示
例 9-8 VSAN 2 内のインターフェイス ポート情報の表示
ポート セキュリティの統計情報は、常時更新され、いつでも入手できます(例 9-9 を参照)。
アクティブなデータベースおよび自動学習設定のステータスを確認するには、 show port-security status コマンドを使用します(例 9-10 を参照)。
show port-security コマンドは、デフォルトでこれまでの 100 の違反を表示します(例 9-11 を参照)。
例 9-11 ポート セキュリティ データベースでの違反の表示
show port-security コマンドを last number オプションを指定して発行すると、先頭に表示される指定した数のエントリだけが表示されます。
表 9-5 に、スイッチのすべてのポート セキュリティ機能のデフォルト設定を示します。
|
|
---|---|