- はじめに
- 新機能および変更された機能に関する情報
- 概要
- FIPS の設定
- AAA の設定
- RADIUS の設定
- 「Configuring TACACS+」
- LDAP の設定
- SSH および Telnet の設定
- PKI の設定
- ユーザ アカウントおよび RBAC の設定
- 802.1X の設定
- NAC の設定
- Cisco TrustSec の設定
- IP ACL の設定
- MAC ACL の設定
- VLAN ACL の設定
- ポート セキュリティの設定
- DHCP の設定
- ダイナミック ARP インスペクションの設定
- IP ソース ガードの設定
- パスワード暗号化の設定
- キーチェーン管理の設定
- トラフィック ストーム制御の設定
- ユニキャスト RPF の設定
- コントロール プレーン ポリシングの設定
- レート制限の設定
Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィグレーション ガイド、リリース 6.x
- Updated:
- 2017年6月12日
章のタイトル: ポート セキュリティの設定
ポート セキュリティの設定
この章では、Cisco NX-OS デバイスにポート セキュリティを設定する手順について説明します。
この章は、次の項で構成されています。
- 機能情報の確認
- ポート セキュリティの概要
- ポート セキュリティのライセンス要件
- ポート セキュリティの前提条件
- ポート セキュリティのデフォルト設定
- ポート セキュリティの注意事項と制約事項
- ポート セキュリティの設定
- ポート セキュリティの設定の確認
- セキュア MAC アドレスの表示
- ポート セキュリティの設定例
- ポート セキュリティに関する追加情報
- ポート セキュリティの機能の履歴
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
ポート セキュリティの概要
ポート セキュリティを使用すると、限定された MAC アドレス セットからの着信トラフィックだけを許可するようにレイヤ 2 物理インターフェイスおよびレイヤ 2 ポート チャネル インターフェイスを設定できます。この限定セットの MAC アドレスをセキュア MAC アドレスといいます。さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。セキュア MAC アドレスの数は、インターフェイス単位で設定します。
 (注) |
特に指定がなければ、インターフェイスは物理インターフェイスとポートチャネル インターフェイスの両方物理インターフェイス、ポートチャネル インターフェイス、および vPC を意味します。同様に、レイヤ 2 インターフェイスはレイヤ 2 物理インターフェイスとレイヤ 2 ポート チャネル インターフェイスの両方を意味します。 |
- セキュア MAC アドレスの学習
- ダイナミック アドレスのエージング
- セキュア MAC アドレスの最大数
- セキュリティ違反と処理
- ポート セキュリティとポート タイプ
- ポート セキュリティとポート チャネル インターフェイス
- ポート タイプの変更
- 802.1X とポート セキュリティ
- ポート セキュリティのバーチャライゼーション サポート
セキュア MAC アドレスの学習
MAC アドレスは学習というプロセスによってセキュア アドレスになります。MAC アドレスは、1 つのインターフェイスだけでセキュア MAC アドレスになることができます。デバイスは、ポート セキュリティがイネーブルに設定されたインターフェイスごとに、スタティック、ダイナミック、またはスティッキの方式で、限られた数の MAC アドレスを学習できます。デバイスがセキュア MAC アドレスを格納する方法は、デバイスがセキュア MAC アドレスを学習した方法によって異なります。
スタティック方式
スタティック学習方式では、ユーザが手動でインターフェイスの実行コンフィギュレーションにセキュア MAC アドレスを追加したり、設定から削除したりできます。実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーすると、デバイスを再起動してもスタティック セキュア MAC アドレスには影響がありません。
スタティック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。
ダイナミック方式
デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。
デバイスは、ダイナミック セキュア MAC アドレスをメモリに保存します。ダイナミック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
スティッキ方式
スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにしますが、この方法で学習されたアドレスは NVRAM に保存されます。そのため、スティッキ方式で学習されたアドレスは、デバイスの再起動後も維持されます。スティッキ セキュア MAC アドレスは、インターフェイスの実行コンフィギュレーション内にはありません。
ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。あるインターフェイスのスティッキ学習をイネーブルにした場合、デバイスはダイナミック学習を停止して、代わりにスティッキ学習を実行します。スティッキ学習をディセーブルにすると、デバイスはダイナミック学習を再開します。
スティッキ セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。
ダイナミック アドレスのエージング
デバイスは、ダイナミック方式で学習された MAC アドレスのエージングを行い、エージングの期限に達すると、アドレスをドロップします。エージングの期限は、インターフェイスごとに設定できます。有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
MAC アドレスのエージングを判断するためにデバイスが使用する方法も設定できます。アドレス エージングの判断には、次に示す 2 つの方法が使用されます。
- Inactivity
-
適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。
- Absolute
-
デバイスがアドレスを学習して以降の経過時間。これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。
(注) |
MAC アドレスをエージ アウトするために絶対法を使用すると、トラフィック レートによっては、MAC アドレスがエージ アウトして再学習するたびにいくつかのパケットがドロップすることがあります。これを回避するには、非アクティブ タイムアウトを使用します。 |
セキュア MAC アドレスの最大数
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
(注) |
vPC ドメインでは、プライマリ vPC 上の設定が有効になります。 |
 ヒント |
アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、そのデバイスにはポートの全帯域幅が保証されます。 |
各インターフェイスに許容されるセキュア MAC アドレスの数は、次の 3 つの制限によって決定されます。
- デバイスの最大数
-
デバイスが許容できるセキュア MAC アドレスの最大数は 8192 です。この値は変更できません。新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。
- インターフェイスの最大数
-
ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数 1025 を設定できます。デフォルトでは、インターフェイスの最大アドレス数は 1 です。インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。
- VLAN の最大数
-
ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。VLAN の最大数は、インターフェイスに設定されている最大数より大きくできません。VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。VLAN の最大数には、デフォルト値はありません。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用可能なセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。
セキュリティ違反と処理
次の 2 つのイベントのいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
- 最大数違反
-
あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合
あるインターフェイスに VLAN とインターフェイスの両方の最大数が設定されている場合は、どちらかの最大数を超えると、違反が発生します。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。 デバイスは、次のいずれかが発生すると違反を検出します。 - MAC 移動違反
-
あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合
セキュリティ違反が発生すると、デバイスは、インターフェイスのセキュリティ違反カウンタの値を増加させ、インターフェイスのポート セキュリティ設定に指定されている処理を実行します。セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
デバイスが実行できる処理は次のとおりです。
- シャットダウン
-
違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。このインターフェイスはエラー ディセーブル状態になります。これがデフォルトの処理です。インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
- 制限
-
非セキュア MAC アドレスからの入力トラフィックをすべてドロップします。
デバイスはドロップされたパケット数を保持しますが、これをセキュリティ違反回数と呼びます。インターフェイスで発生するセキュリティ違反が最大数に到達するまでアドレス学習を継続します。最初のセキュリティ違反のあとに学習されたアドレスからのトラフィックはドロップされます。
- 保護
-
これ以上の違反の発生を防止します。セキュリティ違反をトリガーしたアドレスは学習されますが、そのアドレスからのトラフィックはドロップされます。それ以降、アドレス学習は実行されなくなります。
ポート セキュリティとポート タイプ
ポート セキュリティを設定できるのは、レイヤ 2 インターフェイスだけです。各種のインターフェイスまたはポートとポート セキュリティについて次に詳しく説明します。
- アクセス ポート
-
レイヤ 2 アクセス ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートでポート セキュリティが適用されるのは、アクセス VLAN だけです。アクセス ポートには、VLAN 最大数を設定しても効果はありません。
- トランク ポート
-
レイヤ 2 トランク ポートとして設定したインターフェイスにポート セキュリティを設定できます。デバイスが VLAN 最大数を適用するのは、トランク ポートに関連付けられた VLAN だけです。
- SPAN ポート
-
SPAN 送信元ポートにはポート セキュリティを設定できますが、SPAN 宛先ポートには設定できません。
- イーサネット ポート チャネル
-
レイヤ 2 イーサネット ポート チャネル インターフェイスのポート セキュリティはアクセス モードまたはトランク モードで設定できます。
- ファブリック エクステンダ(FEX)ポート
-
ポート セキュリティは GEM ポートおよび FEX ポートでサポートされています。
- プライベート VLAN 対応ポート
-
ポート セキュリティは、プライベート VLAN ポートとしてイネーブルにされたポートでサポートされています。
- PVLAN Host(物理インターフェイスのみ)
-
レイヤ 2 レベルでのトラフィック分離とセキュリティを実現するために、プライベート VLAN(PVLAN)を設定できます。PVLAN は 1 つのプライマリ VLAN と 1 つのセカンダリ VLAN を 1 つまたは複数組み合わせたもので、プライマリ VLAN はすべて同じです。
- PVLAN Promiscuous(物理インターフェイスのみ)
-
PVLAN 無差別ポートにレイヤ 2 VLAN ネットワーク インターフェイスやスイッチ仮想インターフェイス(SVI)を設定し、プライマリ PVLAN にルーティング機能を持たせることもできます。これは、物理インターフェイスだけでサポートされます。
- PVLAN トランク セカンダリ/無差別
-
switchport mode で PVLAN トランクセカンダリ/無差別を設定できます。これは物理インターフェイスとポート チャネルの両方でサポートされます。
ポート セキュリティとポート チャネル インターフェイス
ポート セキュリティは、レイヤ 2 ポート チャネル インターフェイスでサポートされます。ポート チャネル インターフェイス上で動作するポート セキュリティは、ここで説明する内容以外は、物理インターフェイスの場合と同じです。
- 全般的な注意事項
-
ポート チャネル インターフェイスのポート セキュリティは、アクセス モードまたはトランク モードのいずれかで動作します。トランク モードでは、ポート セキュリティで適用される MAC アドレスの制限が、VLAN 単位ですべてのメンバ ポートに適用されます。
ポート チャネル インターフェイスのポート セキュリティをイネーブルにしても、ポート チャネルのロード バランシングには影響しません。
ポート セキュリティは、ポート チャネル インターフェイスを通過するポート チャネル制御トラフィックには適用されません。ポート セキュリティを使用すると、セキュリティ違反にならないようにして、ポート チャネル制御パケットを通過させることができます。ポート チャネル制御トラフィックには、次のプロトコルが含まれます。
- セキュア メンバ ポートの設定
-
ポート チャネル インターフェイスのポート セキュリティ設定は、メンバ ポートのポート セキュリティ設定には影響しません。
- メンバ ポートの追加
-
セキュア インターフェイスをポート チャネル インターフェイスのメンバ ポートとして追加した場合、デバイスはメンバ ポートで学習されたダイナミック セキュア アドレスをすべて廃棄しますが、メンバ ポートのその他のポート セキュリティ設定はすべて実行コンフィギュレーションに保持します。セキュア メンバ ポートで学習されたスティッキ方式とスタティック方式のセキュア MAC アドレスも、NVRAM ではなく実行コンフィギュレーションに保存されます。
ポート セキュリティがメンバ ポートではイネーブルになっていて、ポート チャネル インターフェイスではイネーブルになっていない場合、メンバ ポートをポート チャネル インターフェイスに追加しようとすると警告されます。セキュア メンバ ポートを非セキュア ポート チャネル インターフェイスに強制的に追加するには、force キーワードを指定して channel-group コマンドを使用します。
ポートがポート チャネル インターフェイスのメンバである間は、メンバ ポートのポート セキュリティを設定できません。これを行うには、まずメンバ ポートをポート チャネル インターフェイスから削除する必要があります。
- メンバ ポートの削除
-
メンバ ポートをポート チャネル インターフェイスから削除すると、メンバ ポートのポート セキュリティ設定が復元されます。ポート チャネル インターフェイスに追加する前にそのポートで学習されたスタティック方式とスティッキ方式のセキュア MAC アドレスは、NVRAM に復元され、実行コンフィギュレーションからは削除されます。
(注)
ポート チャネル インターフェイスを削除したあとで、すべてのポートのセキュリティを必要に応じて確保するためには、すべてのメンバ ポートのポート セキュリティ設定を詳細に検査することを推奨します。
- ポート チャネル インターフェイスの削除
-
セキュア ポート チャネル インターフェイスを削除すると、次の処理が行われます。
-
ポート チャネル インターフェイスの学習されたセキュア MAC アドレスがすべて廃棄されます。これには、ポート チャネル インターフェイスで学習されたスタティック方式とスティッキ方式のセキュア MAC アドレスが含まれます。
-
各メンバ ポートのポート セキュリティ設定が復元されます。ポート チャネル インターフェイスに追加する前にそれらのメンバ ポートで学習されたスタティック方式とスティッキ方式のセキュア MAC アドレスは、NVRAM に復元され、実行コンフィギュレーションからは削除されます。ポート チャネル インターフェイスへの参加前にメンバ ポートでポート セキュリティがイネーブルになっていなかった場合、そのメンバ ポートでは、ポート チャネル インターフェイスの削除後もポート セキュリティがイネーブルになりません。
(注)
ポート チャネル インターフェイスを削除したあとで、すべてのポートのセキュリティを必要に応じて確保するためには、すべてのメンバ ポートのポート セキュリティ設定を詳細に検査することを推奨します。
-
- ポート セキュリティのディセーブル化
-
いずれかのメンバ ポートでポート セキュリティがイネーブルになっている場合、ポート チャネル インターフェイスのポート セキュリティをディセーブルにできません。これを行うには、まずすべてのセキュア メンバ ポートをポート チャネル インターフェイスから削除します。メンバ ポートのポート セキュリティをディセーブルにしたあと、必要に応じて、ポート チャネル インターフェイスに再度追加できます。
ポート タイプの変更
レイヤ 2 インターフェイスにポート セキュリティを設定し、そのインターフェイスのポート タイプを変更した場合、デバイスは次のように動作します。
- アクセス ポートからトランク ポート
-
レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。デバイスは、スタティック方式で学習したアドレスをネイティブ トランク VLAN に移行します。VLAN がすでに存在する場合、スティッキ MAC は同じ VLAN のままか、トランク ポートのネイティブ VLAN に移動します。
- トランク ポートからアクセス ポート
-
レイヤ 2 インターフェイスをトランク ポートからアクセス ポートに変更すると、デバイスはダイナミック方式で学習されたすべてのセキュア アドレスをドロップします。ネイティブ トランク VLAN でスティッキ方式で学習されたアドレスはすべて、アクセス VLAN に移行されます。ネイティブ トランク VLAN でない場合、スティッキ方式で学習されたセキュア アドレスはドロップされます。
- スイッチド ポートからルーテッド ポート
-
インターフェイスをレイヤ 2 インターフェイスからレイヤ 3 インターフェイスに変更すると、デバイスはそのインターフェイスのポート セキュリティをディセーブルにし、そのインターフェイスのすべてのポート セキュリティ設定を廃棄します。デバイスは、学習方式に関係なく、そのインターフェイスのセキュア MAC アドレスもすべて廃棄します。
- ルーテッド ポートからスイッチド ポート
-
インターフェイスをレイヤ 3 インターフェイスからレイヤ 2 インターフェイスに変更すると、デバイス上のそのインターフェイスのポート セキュリティ設定はなくなります。
802.1X とポート セキュリティ
ポート セキュリティと 802.1X は同じインターフェイス上に設定できます。ポート セキュリティによって、802.1X 認証の MAC アドレスを保護できます。802.1X はポート セキュリティよりも前にパケットを処理するので、1 つのインターフェイスで両方をイネーブルにすると、802.1X が、そのインターフェイスで、未知の MAC アドレスからのインバウンド トラフィックを妨げます。
同じインターフェイス上で 802.1X とポート セキュリティをイネーブルにしても、ポート セキュリティは設定どおりにスティッキ方式またはダイナミック方式で MAC アドレスの学習を続行します。また、シングル ホスト モードとマルチ ホスト モードのどちらで 802.1X をイネーブルにするかによって、次のいずれかが発生します。
- シングル ホスト モード
-
ポート セキュリティは認証済みのホストの MAC アドレスを学習します。
- マルチ ホスト モード
-
ポート セキュリティは、このインターフェイスでダイナミックに学習された MAC アドレスをドロップし、802.1X で認証された最初のホストの MAC アドレスを学習します。
802.1X がポート セキュリティに渡した MAC アドレスによってセキュア MAC アドレスの適用可能な最大数を違反することになる場合、デバイスはホストに認証エラー メッセージを送信します。
802.1X によって認証された MAC アドレスは、たとえそのアドレスがポート セキュリティによってスティッキ方式またはスタティック方式で学習されていたとしても、ダイナミック方式で学習されたアドレスと同様に扱われます。802.1X で認証されたセキュア MAC アドレスを削除しようとしても、そのアドレスはセキュア アドレスのまま保持されます。
認証済みのホストの MAC アドレスがスティッキ方式またはスタティック方式でセキュア アドレスになった場合、デバイスはそのアドレスをダイナミック方式で学習されたものとして扱うので、その MAC アドレスを手動で削除することはできません。
認証済みのホストのセキュア MAC アドレスがポート セキュリティのエージング期限に達すると、ポート セキュリティは 802.1X と連動して、そのホストを再認証します。デバイスは、エージングのタイプに応じて、次のように異なる動作をします。
- Absolute
-
ポート セキュリティは 802.1X に通知し、デバイスはホストの再認証を試行します。そのアドレスが引き続きセキュア アドレスになるかどうかは、再認証の結果によって決まります。再認証が成功すれば、デバイスはそのセキュア アドレスのエージング タイマーを再起動します。再認証に失敗した場合、デバイスはそのインターフェイスのセキュア アドレス リストからそのアドレスをドロップします。
- Inactivity
-
ポート セキュリティは、そのインターフェイスのセキュア アドレス リストからそのセキュア アドレスをドロップし、802.1X に通知します。デバイスはホストの再認証を試行します。再認証が成功すれば、ポート セキュリティは再度そのアドレスをセキュア アドレスにします。
ポート セキュリティのバーチャライゼーション サポート
ポート セキュリティは次のように VDC をサポートします。
ポート セキュリティのライセンス要件
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
ポート セキュリティにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS デバイス イメージにバンドルされており、追加料金なしで利用できます。Cisco NX-OS ライセンス方式の詳細については、Cisco NX-OS ソフトウェアのライセンスおよび版権情報(は、次の URL から入手できます。http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/license_agreement/nx-ossw_lisns.html)を参照してください。 |
ポート セキュリティの前提条件
ポート セキュリティの前提条件は次のとおりです。
ポート セキュリティのデフォルト設定
|
パラメータ(Parameters) |
デフォルト |
|---|---|
|
ポート セキュリティがグローバルにイネーブルかどうか |
ディセーブル |
|
インターフェイス単位でポート セキュリティがイネーブルかどうか |
ディセーブル |
|
MAC アドレス ラーニング方式 |
Dynamic |
|
セキュア MAC アドレスのインターフェイス最大数 |
1 |
|
セキュリティ違反時の処理 |
シャットダウン |
ポート セキュリティの注意事項と制約事項
ポート セキュリティを設定する場合、次の注意事項に従ってください。
ポート セキュリティの設定
- ポート セキュリティのグローバルなイネーブル化またはディセーブル化
- レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
- スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
- インターフェイスのスタティック セキュア MAC アドレスの追加
- インターフェイスのスタティック セキュア MAC アドレスの削除
- スティッキ セキュア MAC アドレスの削除
- ダイナミック セキュア MAC アドレスの削除
- MAC アドレスの最大数の設定
- アドレス エージングのタイプと期間の設定
- セキュリティ違反時の処理の設定
ポート セキュリティのグローバルなイネーブル化またはディセーブル化
デバイスに対してポート セキュリティ機能のグローバルなイネーブル化またはディセーブル化が可能です。デフォルトで、ポート セキュリティはグローバルにディセーブルになっています。
ポート セキュリティをディセーブルにすると、インターフェイスのすべてのポート セキュリティ設定が無効になります。ポート セキュリティをグローバルにディセーブル化すると、すべてのポート セキュリティ設定が失われます。
1.
configure terminal
2.
[no] feature port-security
3.
show port-security
4.
(任意) copy running-config startup-config
手順の詳細
レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対してポート セキュリティ機能のイネーブル化またはディセーブル化が可能です。デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。
インターフェイスのポート セキュリティをディセーブルにすると、そのインターフェイスのすべてのスイッチポートのポート セキュリティ設定が失われます。
ポート チャネルのポート セキュリティは次のようにしてイネーブル化できます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
レイヤ 2 イーサネット インターフェイスがポート チャネル インターフェイスのメンバである場合、レイヤ 2 イーサネット インターフェイスに対するポート セキュリティはイネーブルまたはディセーブルにできません。
セキュア レイヤ 2 ポート チャネル インターフェイスのメンバのいずれかのポート セキュリティがイネーブルになっている場合、先にポート チャネル インターフェイスからセキュア メンバ ポートをすべて削除しない限り、そのポート チャネル インターフェイスのポート セキュリティをディセーブルにできません。
1.
configure terminal
3.
switchport
4.
[no] switchport port-security
5.
show running-config port-security
6.
(任意) copy running-config startup-config
手順の詳細
スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
インターフェイスのスティッキ MAC アドレス ラーニングをディセーブルまたはイネーブルに設定できます。スティッキ学習をディセーブルにすると、そのインターフェイスはダイナミック MAC アドレス ラーニング(デフォルトの学習方式)に戻ります。
デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
1.
configure terminal
3.
switchport
4.
[no] switchport port-security mac-address sticky
5.
show running-config port-security
6.
(任意) copy running-config startup-config
手順の詳細
インターフェイスのスタティック セキュア MAC アドレスの追加
レイヤ 2 インターフェイスにスタティック セキュア MAC アドレスを追加できます。
(注) |
MAC アドレスが任意のインターフェイスでセキュア MAC アドレスである場合、その MAC アドレスがすでにセキュア MAC アドレスとなっているインターフェイスからその MAC アドレスを削除するまで、その MAC アドレスをスタティック セキュア MAC アドレスとして別のインターフェイスに追加することはできません。 |
デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
インターフェイスのセキュア MAC アドレス最大数に達していないことを確認します。必要に応じて、セキュア MAC アドレスを削除するか、インターフェイスの最大アドレス数を変更できます。
1.
configure terminal
3.
[no] switchport port-security mac-address address [vlanvlan-ID]
4.
show running-config port-security
5.
(任意) copy running-config startup-config
手順の詳細
インターフェイスのスタティック セキュア MAC アドレスの削除
レイヤ 2 インターフェイスのスタティック セキュア MAC アドレスを削除できます。
1.
configure terminal
3.
noswitchport port-security mac-address address
4.
show running-config port-security
5.
(任意) copy running-config startup-config
手順の詳細
スティッキ セキュア MAC アドレスの削除
スティッキ セキュア MAC アドレスを削除できます。この際、削除するアドレスが設定されているインターフェイスで、スティッキ方式のアドレス学習を一時的にディセーブルにする必要があります。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
1.
configure terminal
3.
no switchport port-security mac-address sticky
4.
clear port-security dynamic addressaddress
5.
(任意) show port-security address interface {ethernet slot/port | port-channel channel-number}
6.
(任意) switchport port-security mac-address sticky
手順の詳細
ダイナミック セキュア MAC アドレスの削除
ダイナミックに学習されたセキュア MAC アドレスを削除できます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
1.
configure terminal
2.
clear port-security dynamic {interface ethernetslot/port | addressaddress} [vlanvlan-ID]
3.
show port-security address
4.
(任意) copy running-config startup-config
手順の詳細
MAC アドレスの最大数の設定
レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。インターフェイスに設定できる最大アドレス数は 1025 です。システムの最大アドレス数は 8192 です。
デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。
(注) |
インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、デバイスはこのコマンドを拒否します。ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown のコマンドを使用して、インターフェイスを再起動します。 |
ポート セキュリティがグローバルにイネーブル化されている必要があります。
1.
configure terminal
3.
[no] switchport port-security maximum number [vlanvlan-ID]
4.
show running-config port-security
5.
(任意) copy running-config startup-config
手順の詳細
アドレス エージングのタイプと期間の設定
MAC アドレス エージングのタイプと期間を設定できます。デバイスは、ダイナミック方式で学習された MAC アドレスがエージング期限に到達する時期を判断するためにこれらの設定を使用します。
デフォルトのエージング タイプは絶対エージングです。
デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
1.
configure terminal
3.
[no] switchport port-security aging type {absolute | inactivity}
4.
[no] switchport port-security aging time minutes
5.
show running-config port-security
6.
(任意) copy running-config startup-config
手順の詳細
セキュリティ違反時の処理の設定
セキュリティ違反が発生した場合にデバイスが実行する処理を設定できます。違反時の処理は、ポート セキュリティをイネーブルにしたインターフェイスごとに設定できます。
デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。
ポート セキュリティがグローバルにイネーブル化されている必要があります。
1.
configure terminal
3.
[no] switchport port-security violation {protect | restrict | shutdown}
4.
show running-config port-security
5.
(任意) copy running-config startup-config
手順の詳細
ポート セキュリティの設定の確認
|
コマンド |
目的 |
|---|---|
|
show running-config port-security |
ポート セキュリティの設定を表示します。 |
|
show port-security |
デバイスのポート セキュリティのステータスを表示します。 |
|
show port-security interface |
特定のインターフェイスのポート セキュリティのステータスを表示します。 |
|
show port-security address |
セキュア MAC アドレスを表示します。 |
セキュア MAC アドレスの表示
セキュア MAC アドレスを表示するには、show port-security address コマンドを使用します。このコマンドの出力フィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
ポート セキュリティの設定例
次に示す例は、VLAN とインターフェイスのセキュア アドレス最大数が指定されているイーサネット 2/1 インターフェイスのポート セキュリティ設定です。この例のインターフェイスはトランク ポートです。違反時の処理は Restrict(制限)に設定されています。
feature port-security interface Ethernet 2/1 switchport switchport port-security switchport port-security maximum 10 switchport port-security maximum 7 vlan 10 switchport port-security maximum 3 vlan 20 switchport port-security violation restrict
ポート セキュリティに関する追加情報
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
レイヤ 2 スイッチング |
『Cisco Nexus 7000 Series NX-OS Layer 2 Switching Configuration Guide』 |
|
ポート セキュリティ コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
標準
|
標準 |
Title |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MIB
Cisco NX-OS はポート セキュリティに関して読み取り専用の SNMP をサポートしています。
|
MIB |
MIB のリンク |
||
|---|---|---|---|
|
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
ポート セキュリティの機能の履歴
|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
ポート セキュリティ |
6.0(1) |
Release 5.2 以降、変更はありません。 |
|
ポート セキュリティ |
5.2(1) |
Release 5.1 以降、変更はありません。 |
|
ポート セキュリティ |
5.1(1) |
Release 5.0 以降、変更はありません。 |
|
ポート セキュリティ |
5.0(2) |
Release 4.2 以降、変更はありません。 |
|
ポート セキュリティ |
4.2(1) |
レイヤ 2 ポート チャネル インターフェイスがサポートされるようになりました。 |
フィードバック