ポート セキュリティの概要
Cisco MDS 9000 ファミリのスイッチにはすべて、侵入の試みを拒否し、管理者に侵入を報告するポート セキュリティ機能があります。
通常、SAN 内のすべてのファイバ チャネル デバイスを任意の SAN スイッチ ポートに接続して、ゾーン メンバーシップに基づいて SAN サービスにアクセスできます。ポート セキュリティ機能は、次の方法で、Cisco MDS 9000 ファミリのスイッチ ポートへの不正アクセスを防止します。
-
不正なファイバ チャネル デバイス(Nx ポート)およびスイッチ(xE ポート)からのログイン要求は拒否されます。
-
侵入に関するすべての試みは、システム メッセージを通して SAN 管理者に報告されます。
-
設定配信は CFS インフラストラクチャを使用し、CFS 対応スイッチに制限されています。配信はデフォルトでディセーブルになっています。
-
ポート セキュリティ ポリシーの設定には、ENTERPRISE_PKG ライセンスが必要です(『Cisco MDS 9000 Family NX-OS Licensing Guide』を参照)。
この項では、次のトピックについて取り上げます。
ポート セキュリティの実行
ポート セキュリティを実行するには、デバイスおよびスイッチ ポート インターフェイス(これらを通じて各デバイスまたはスイッチが接続される)を設定し、設定をアクティブにします。
- デバイスごとに Nx ポート接続を指定するには、Port World Wide Name(pWWN)または Node World Wide Name(nWWN)を使用します。
- スイッチごとに xE ポート接続を指定するには、Switch World Wide Name(sWWN)を使用します。
Nx および xE ポートをそれぞれ設定して、単一ポートまたはポート範囲に限定することができます。
ポート セキュリティ ポリシーはポートがアクティブになるたび、およびポートを起動しようとした場合に実行されます。
ポート セキュリティ機能は 2 つのデータベースを使用して、設定の変更を受け入れ、実装します。
- コンフィギュレーション データベース:すべての設定の変更がコンフィギュレーション データベースに保存されます。
- アクティブ データベース:ファブリックが現在実行しているデータベース。ポート セキュリティ機能を実行するには、スイッチに接続されているすべてのデバイスがポート セキュリティ アクティブ データベースに格納されている必要があります。ソフトウェアはこのアクティブ データベースを使用して、認証を行います。
自動学習の概要
指定期間内にポート セキュリティ設定を自動的に学習するように、スイッチを設定できます。この機能を使用すると、任意の Cisco MDS 9000 ファミリ スイッチで、接続先のデバイスおよびスイッチについて自動的に学習できます。ポート セキュリティ機能を初めてアクティブにするときに、この機能を使用してください。ポートごとに手動で設定する面倒な作業が軽減されます。自動学習は、VSAN 単位で設定する必要があります。この機能をイネーブルにすると、ポート アクセスを設定していない場合でも、スイッチに接続可能なデバイスおよびスイッチが自動学習されます。
自動学習をイネーブルにすると、学習は、すでにスイッチにログインしているデバイスまたはインターフェイス、およびログインする必要がある新しいデバイスまたはインターフェイスで実行されます。ポートでの学習済みエントリは、自動学習がまだイネーブルな場合、そのポートをシャットダウンした後でクリーンアップされます。
学習は、既存の設定済みのポート セキュリティ ポリシーを上書きしません。たとえば、インターフェイスが特定の pWWN を許可するように設定されている場合、自動学習によって、そのインターフェイスに他の pWWN を許可する新しいエントリが追加されることはありません。他のすべての pWWN は、自動学習モードであってもブロックされます。
シャットダウン状態のポートについては、学習エントリは作成されません。
ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。
(注) |
ポート セキュリティ機能をアクティブにすると、自動学習機能はデフォルトで有効になります。自動学習がディセーブルであるか、または非アクティブであり、再度アクティブ化されるまで、ポート セキュリティを再度アクティブ化することはできません。 |
ポート セキュリティのアクティブ化
デフォルトでは、すべての Cisco MDS 9000 ファミリ スイッチで、ポート セキュリティ機能は非アクティブです。
ポート セキュリティ機能をアクティブにすると、次の処理が適用されます。
- 自動学習も自動的にイネーブルになります。つまり、
- ここから、自動学習はすでにスイッチにログインしたデバイスまたはインタフェース、および今後ログインする新しいデバイスに対して発生します。
- 自動学習をディセーブルにするまで、データベースをアクティブにできません。
- すでにログインしているすべてのデバイスは学習され、アクティブ データベースに追加されます。
- 設定済みデータベースのすべてのエントリがアクティブ データベースにコピーされます。
データベースをアクティブにすると、以降のデバイスのログインは、自動学習されたエントリを除き、アクティブ化されたポートによってバインドされた WWN ペアの対象になります。自動学習されたエントリがアクティブになる前に、自動学習をディセーブルにする必要があります。
ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。ポート セキュリティ機能をアクティブにし、自動学習をディセーブルにすることもできます。
ヒント |
ポートがログインを拒否されて停止している場合、その後でログインを許可するようにデータベースを設定しても、ポートは自動的に起動しません。そのポートをオンラインに戻すには、no shutdown CLI コマンドを明示的に発行する必要があります。 |