Cisco Nexus 5500 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 7.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月16日
章のタイトル: ポート セキュリティの設定
ポート セキュリティの設定
この章は、次の項で構成されています。
- ポート セキュリティの概要
- ポート セキュリティのライセンス要件
- ポート セキュリティの前提条件
- ポート セキュリティの注意事項と制約事項
- vPC 上のポート セキュリティの注意事項と制約事項
- ポート セキュリティの設定
- ポート セキュリティの設定の確認
- セキュア MAC アドレスの表示
- ポート セキュリティの設定例
- vPC ドメインでのポート セキュリティの設定例
- ポート セキュリティのデフォルト設定
- ポート セキュリティに関する追加情報
- ポート セキュリティの機能の履歴
ポート セキュリティの概要
ポート セキュリティを使用すると、限定された MAC アドレス セットからの着信トラフィックだけを許可するようにレイヤ 2 物理インターフェイス、レイヤ 2 ポート チャネル インターフェイス、および仮想ポート チャネル(vPC)を設定できます。この限定セットの MAC アドレスをセキュア MAC アドレスといいます。さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。セキュア MAC アドレスの数は、インターフェイス単位で設定します。
 (注) | 特に指定がなければ、インターフェイスは物理インターフェイス、ポートチャネル インターフェイス、および vPC を意味します。同様に、レイヤ 2 インターフェイスはレイヤ 2 物理インターフェイスとレイヤ 2 ポート チャネル インターフェイスの両方を意味します。 |
セキュア MAC アドレスの学習
MAC アドレスは学習というプロセスによってセキュア アドレスになります。MAC アドレスは、1 つのインターフェイスだけでセキュア MAC アドレスになることができます。デバイスは、ポート セキュリティがイネーブルに設定されたインターフェイスごとに、スタティック、ダイナミック、またはスティッキの方式で、限られた数の MAC アドレスを学習できます。デバイスがセキュア MAC アドレスを格納する方法は、デバイスがセキュア MAC アドレスを学習した方法によって異なります。
(注) | 学習したすべての MAC アドレスは vPC ピア間で同期されます。 |
スタティック方式
スタティック学習方式では、ユーザが手動でインターフェイスの実行コンフィギュレーションにセキュア MAC アドレスを追加したり、設定から削除したりできます。実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、デバイスを再起動してもスタティック セキュア MAC アドレスには影響がありません。
スタティック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。
ダイナミック方式
デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。
デバイスは、ダイナミック セキュア MAC アドレスをメモリに保存します。ダイナミック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スティッキ方式
スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにしますが、この方法で学習されたアドレスは NVRAM に保存されます。そのため、スティッキ方式で学習されたアドレスは、デバイスの再起動後も維持されます。スティッキ セキュア MAC アドレスは、インターフェイスの実行コンフィギュレーション内にはありません。
ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。あるインターフェイスのスティッキ学習をイネーブルにした場合、デバイスはダイナミック学習を停止して、代わりにスティッキ学習を実行します。スティッキ学習をディセーブルにすると、デバイスはダイナミック学習を再開します。
スティッキ セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
ダイナミック アドレスのエージング
デバイスは、ダイナミック方式で学習された MAC アドレスのエージングを行い、エージングの期限に達すると、アドレスをドロップします。エージングの期限は、インターフェイスごとに設定できます。有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
vPC ドメインでは、vPC ピアの両方でエージングの期限に達した場合に限り、ダイナミック MAC アドレスがドロップされます。
MAC アドレスのエージングを判断するためにデバイスが使用する方法も設定できます。アドレス エージングの判断には、次に示す 2 つの方法が使用されます。
- Inactivity
-
適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。
- Absolute
-
デバイスがアドレスを学習して以降の経過時間。これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。
(注) | MAC アドレスをエージ アウトするために絶対法を使用すると、トラフィック レートによっては、MAC アドレスがエージ アウトして再学習するたびにいくつかのパケットがドロップすることがあります。これを回避するには、非アクティブ タイムアウトを使用します。 |
セキュア MAC アドレスの最大数
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
(注) | vPC ドメインでは、プライマリ vPC 上の設定が有効になります。 |
 ヒント | アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、そのデバイスにはポートの全帯域幅が保証されます。 |
各インターフェイスに許容されるセキュア MAC アドレスの数は、次の 3 つの制限によって決定されます。
- デバイスの最大数
デバイスが許容できるセキュア MAC アドレスの最大数は 8192 です。この値は変更できません。新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。
- インターフェイスの最大数
ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数 1025 を設定できます。デフォルトでは、インターフェイスの最大アドレス数は 1 です。インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。
vPC ドメインでは、プライマリ vPC スイッチにセキュア MAC アドレスの最大数を設定します。セカンダリ スイッチにセキュア MAC アドレスの最大数が設定されていても、プライマリ vPC スイッチは数の検証を行います。
- VLAN の最大数
ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。VLAN の最大数は、インターフェイスに設定されている最大数より大きくできません。VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。VLAN の最大数には、デフォルト値はありません。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用可能なセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。
セキュリティ違反と処理
次の 2 つのイベントのいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
- 最大数違反
あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合ブロックされたエントリは、Cisco Nexus スイッチの転送モジュール(FWM)に追加されます。
あるインターフェイスに VLAN とインターフェイスの両方の最大数が設定されている場合は、どちらかの最大数を超えると、違反が発生します。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。 デバイスは、次のいずれかが発生すると違反を検出します。 - MAC 移動違反
あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合ブロックされたエントリは、ドロップ エントリとしてポート セキュリティ テーブルに追加されます。
セキュリティ違反が発生すると、デバイスは、インターフェイスのセキュリティ違反カウンタの値を増加させ、インターフェイスのポート セキュリティ設定に指定されている処理を実行します。セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
デバイスが実行できる処理は次のとおりです。
- シャットダウン
-
違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。このインターフェイスはエラー ディセーブル状態になります。これがデフォルトの処理です。インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
MAC アドレスは非セキュア ポートに移行せず、非セキュア ポート上のフレームはドロップされます。
- 制限
-
非セキュア MAC アドレスからの入力トラフィックをすべてドロップし、ブロックされた MAC エントリとして MAC アドレスをポート セキュリティ テーブルに追加します。
(注)vPC ドメインでは、ブロックされた MAC アドレスのうち、制限モードで違反が発生してポート セキュリティ テーブルに追加されたアドレスは、vPC ピア間で同期されません。
デバイスはドロップされたパケット数を保持しますが、これをセキュリティ違反回数と呼びます。インターフェイスで発生するセキュリティ違反が最大数に到達するまでアドレス学習を継続します。最初のセキュリティ違反のあとに学習されたアドレスからのトラフィックはドロップされます。
違反の最大数(10)に達すると違反がトリガーされ、デバイスは新しい MAC アドレスの学習を停止します。
- 保護
-
これ以上の違反の発生を防止します。セキュリティ違反をトリガーしたアドレスは学習されますが、そのアドレスからのトラフィックはドロップされます。それ以降、アドレス学習は実行されなくなります。
(注) | vPC では、プライマリ vPC スイッチに設定された違反処理が有効になります。したがって、セキュリティ違反がトリガーされると、プライマリ vPC スイッチに定義されたセキュリティ処理が常に実行されます。 |
最大数違反に設定された最大値(10)に到達すると、インターフェイスはシャットダウンされ、errdisabled 状態に移行します。
ポート タイプの変更
レイヤ 2 インターフェイスにポート セキュリティを設定し、そのインターフェイスのポート タイプを変更した場合、デバイスは次のように動作します。
- アクセス ポートからトランク ポート
- トランク ポートからアクセス ポート
-
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。デバイスは、スタティック方式で学習したアドレスをネイティブ トランク VLAN に移行します。VLAN が存在する場合、スティッキ MAC アドレスは同じ VLAN に維持されます。存在しない場合、その MAC アドレスは、トランク ポートのネイティブ VLAN に移動します。
- スイッチド ポートからルーテッド ポート
-
インターフェイスをレイヤ 2 インターフェイスからレイヤ 3 インターフェイスに変更すると、デバイスはそのインターフェイスのポート セキュリティをディセーブルにし、そのインターフェイスのすべてのポート セキュリティ設定を廃棄します。デバイスは、学習方式に関係なく、そのインターフェイスのセキュア MAC アドレスもすべて廃棄します。
- ルーテッド ポートからスイッチド ポート
-
インターフェイスをレイヤ 3 インターフェイスからレイヤ 2 インターフェイスに変更すると、デバイス上のそのインターフェイスのポート セキュリティ設定はなくなります。
ポート セキュリティのライセンス要件
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
ポート セキュリティにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS デバイス イメージにバンドルされており、追加料金なしで利用できます。Cisco NX-OS ライセンス方式の詳細については、次のURL から入手できる Cisco NX-OS ソフトウェアのライセンスおよび版権情報を参照してください。http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/license_agreement/nx-ossw_lisns.html。 |
ポート セキュリティの前提条件
ポート セキュリティの前提条件は次のとおりです。
ポート セキュリティの注意事項と制約事項
ポート セキュリティを設定する場合、次の注意事項に従ってください。
vPC 上のポート セキュリティの注意事項と制約事項
ポート セキュリティに関する注意事項と制約事項に加えて、vPC 上のポート セキュリティに関する追加の注意事項と制約事項があります。vPC 上のポート セキュリティを設定する場合は、次の注意事項に従ってください。
-
vPC ドメイン内の両方の vPC ピアで、ポート セキュリティをグローバルにイネーブルにする必要があります。
-
両方の vPC ピアの vPC インターフェイス上でポート セキュリティをイネーブルにする必要があります。
-
プライマリ vPC ピアでスタティック セキュア MAC アドレスを設定する必要があります。この MAC アドレスは、セカンダリ vPC ピアと同期されます。セカンダリ ピアでスタティック セキュア MAC アドレスを設定しないでください。この MAC アドレスはセカンダリ vPC 設定に表示されますが、有効にはなりません。
-
学習したすべての MAC アドレスは vPC ピア間で同期されます。
-
両方の vPC ピアは、ダイナミックまたはスティッキ MAC アドレスの学習方式で設定できます。ただし、両方の vPC ピアが同じ方式に設定されていることを推奨します。
-
ダイナミック MAC アドレスは、両方の vPC ピアでエージング期限に達した後にのみドロップされます。
-
セキュア MAC アドレスの最大数は、プライマリ vPC スイッチ上で設定します。セカンダリ スイッチにセキュア MAC アドレスの最大数が設定されていても、プライマリ vPC スイッチは数の検証を行います。
-
違反時の処理は、プライマリ vPC 上で設定します。したがって、セキュリティ違反がトリガーされると、プライマリ vPC スイッチに定義されたセキュリティ処理が常に実行されます。
-
ポート セキュリティ機能が両方の vPC ピアでイネーブルになっており、かつポート セキュリティが vPC ピアの両方の vPC インターフェイス上でイネーブルになっている場合に、ポート セキュリティは vPC インターフェイス上でイネーブルになります。設定が正しいことを確認するには、config sync コマンドを使用できます。
-
スイッチでインサービス ソフトウェア アップグレード(ISSU)が実行されている間、ポート セキュリティの動作はそのピア スイッチ上で停止されます。ピア スイッチはどの新しい MAC アドレスも学習せず、この動作中に発生した MAC の移動は無視されます。ISSU が完了すると、ピア スイッチに通知され、通常のポート セキュリティ機能が再開します。
-
上位バージョンへの ISSU がサポートされていますが、下位バージョンへの ISSU はサポートされていません。
ポート セキュリティの設定
- ポート セキュリティのグローバルなイネーブル化またはディセーブル化
- レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
- スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
- インターフェイスのスタティック セキュア MAC アドレスの追加
- インターフェイスのスタティック セキュア MAC アドレスの削除
- ダイナミック セキュア MAC アドレスの削除
- MAC アドレスの最大数の設定
- アドレス エージングのタイプと期間の設定
- セキュリティ違反時の処理の設定
ポート セキュリティのグローバルなイネーブル化またはディセーブル化
デバイスに対してポート セキュリティ機能のグローバルなイネーブル化またはディセーブル化が可能です。デフォルトで、ポート セキュリティはグローバルにディセーブルになっています。
ポート セキュリティをディセーブルにすると、インターフェイスのすべてのポート セキュリティ設定が無効になります。ポート セキュリティをグローバルにディセーブル化すると、すべてのポート セキュリティ設定が失われます。
(注) | vPC ドメインのポート セキュリティをイネーブル、またはディセーブルにするには、vPC ピアの両方でポート セキュリティをグローバルにイネーブル化またはディセーブルにする必要があります。 |
レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対してポート セキュリティ機能のイネーブル化またはディセーブル化が可能です。デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。
インターフェイスのポート セキュリティをディセーブルにすると、そのインターフェイスのすべてのスイッチポートのポート セキュリティ設定が失われます。
ポート チャネルのポート セキュリティは次のようにしてイネーブル化できます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
vPC ドメインにポート セキュリティを設定する場合、両方の vPC ピアでポート セキュリティをグローバルにイネーブル化しておく必要があります。
レイヤ 2 イーサネット インターフェイスがポート チャネル インターフェイスのメンバーである場合、レイヤ 2 イーサネット インターフェイスに対するポート セキュリティはイネーブルまたはディセーブルにできません。
セキュア レイヤ 2 ポート チャネル インターフェイスのメンバーのいずれかのポート セキュリティがイネーブルになっている場合、先にポート チャネル インターフェイスからセキュア メンバー ポートをすべて削除しない限り、そのポート チャネル インターフェイスのポート セキュリティをディセーブルにできません。
スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
インターフェイスのスティッキ MAC アドレス ラーニングをディセーブルまたはイネーブルに設定できます。スティッキ学習をディセーブルにすると、そのインターフェイスはダイナミック MAC アドレス ラーニング(デフォルトの学習方式)に戻ります。
デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
インターフェイスのスタティック セキュア MAC アドレスの追加
レイヤ 2 インターフェイスにスタティック セキュア MAC アドレスを追加できます。
(注) | MAC アドレスが任意のインターフェイスでセキュア MAC アドレスである場合、その MAC アドレスがすでにセキュア MAC アドレスとなっているインターフェイスからその MAC アドレスを削除するまで、その MAC アドレスをスタティック セキュア MAC アドレスとして別のインターフェイスに追加することはできません。 |
デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
インターフェイスのセキュア MAC アドレス最大数に達していないことを確認します。必要に応じて、セキュア MAC アドレスを削除するか、インターフェイスの最大アドレス数を変更できます。
インターフェイスのスタティック セキュア MAC アドレスの削除
レイヤ 2 インターフェイスのスタティック セキュア MAC アドレスを削除できます。
ダイナミック セキュア MAC アドレスの削除
ダイナミックに学習されたセキュア MAC アドレスを削除できます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
MAC アドレスの最大数の設定
レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。インターフェイスに設定できる最大アドレス数は 1025 です。システムの最大アドレス数は 8192 です。
デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。
(注) | インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、デバイスはこのコマンドを拒否します。ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown のコマンドを使用して、インターフェイスを再起動します。 |
ポート セキュリティがグローバルにイネーブル化されている必要があります。
アドレス エージングのタイプと期間の設定
MAC アドレス エージングのタイプと期間を設定できます。デバイスは、ダイナミック方式で学習された MAC アドレスがエージング期限に到達する時期を判断するためにこれらの設定を使用します。
デフォルトのエージング タイプは絶対エージングです。
デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
セキュリティ違反時の処理の設定
セキュリティ違反が発生した場合にデバイスが実行する処理を設定できます。違反時の処理は、ポート セキュリティをイネーブルにしたインターフェイスごとに設定できます。
デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
ポート セキュリティの設定の確認
|
コマンド |
目的 |
|---|---|
|
show running-config port-security |
ポート セキュリティの設定を表示します。 |
|
show port-security |
デバイスのポート セキュリティのステータスを表示します。 |
|
show port-security interface |
特定のインターフェイスのポート セキュリティのステータスを表示します。 |
|
show port-security address |
セキュア MAC アドレスを表示します。 |
show running-config interface |
実行コンフィギュレーションにあるインターフェイスを表示します。 |
show mac address-table |
MAC アドレス テーブルの内容を表示します。 |
show system internal port-security info global |
デバイスのポート セキュリティの設定を表示します。 |
セキュア MAC アドレスの表示
セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。このコマンドの出力フィールドの詳細については、ご使用のプラットフォームの『Security Command Reference』を参照してください。
ポート セキュリティの設定例
次に示す例は、VLAN とインターフェイスのセキュア アドレス最大数が指定されているイーサネット 2/1 インターフェイスのポート セキュリティ設定です。この例のインターフェイスはトランク ポートです。違反時の処理は Restrict(制限)に設定されています。
feature port-security interface Ethernet 2/1 switchport switchport port-security switchport port-security maximum 10 switchport port-security maximum 7 vlan 10 switchport port-security maximum 3 vlan 20 switchport port-security violation restrict
vPC ドメインでのポート セキュリティの設定例
次に、vPC ドメインで vPC ピア上のポート セキュリティをイネーブルにして設定する例を示します。最初のスイッチがプライマリ vPC ピアであり、2 番目のスイッチがセカンダリ vPC ピアです。ドメイン 103 がすでに作成されていることを前提にしています。
primary_switch(config)# feature port-security primary_switch(config-if)# int e1/1 primary_switch(config-if)# switchport port-security primary_switch(config-if)# switchport port-security max 1025 primary_switch(config-if)# switchport port-security violation restrict primary_switch(config-if)# switchport port-security aging time 4 primary_switch(config-if)# switchport port-security aging type absolute primary_switch(config-if)# switchport port-security mac sticky primary_switch(config-if)# switchport port-security mac-address 0.0.1 vlan 101 primary_switch(config-if)# switchport port-security mac-address 0.0.2 vlan 101 primary_switch(config-if)# copy running-config startup-config secondary_switch(config)# int e103/1/1 secondary_switch(config-if)# switchport port-security secondary_switch(config-if)# copy running-config startup-config
ポート セキュリティのデフォルト設定
|
パラメータ |
デフォルト |
|---|---|
|
ポート セキュリティがグローバルにイネーブルかどうか |
ディセーブル |
|
インターフェイス単位でポート セキュリティがイネーブルかどうか |
ディセーブル |
|
MAC アドレス ラーニング方式 |
ダイナミック |
|
セキュア MAC アドレスのインターフェイス最大数 |
1 |
|
セキュリティ違反時の処理 |
シャットダウン |
ポート セキュリティに関する追加情報
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
レイヤ 2 スイッチング |
『Cisco Nexus 5500 Series NX-OS Layer 2 Switching Configuration Guide』 |
|
ポート セキュリティ コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
『Cisco Nexus 5500 Series NX-OS Security Command Reference』 |
標準
|
標準 |
タイトル |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MIB
Cisco NX-OS はポート セキュリティに関して読み取り専用の SNMP をサポートしています。
|
MIB |
MIB のリンク |
||
|---|---|---|---|
|
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
ポート セキュリティの機能の履歴
機能名 |
リリース |
機能情報 |
|---|---|---|
ポート セキュリティ |
5.1(3)N1(1) |
このリリースで導入された機能。 |
フィードバック