ポート セキュリティの前提条件
最大値をインターフェイス上ですでに設定されているセキュア アドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
最大値をインターフェイス上ですでに設定されているセキュア アドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。
スイッチに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。
ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュア MAC アドレス数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されたワークステーションに、ポートの帯域幅全体が保証されます。
セキュア ポートとしてポートを設定し、セキュア MAC アドレスが最大数に達した場合、ポートにアクセスを試みるステーションの MAC アドレスが識別されたセキュア MAC アドレスのいずれとも一致しないので、セキュリティ違反が発生します。また、あるセキュア ポート上でセキュア MAC アドレスが設定または学習されているステーションが、別のセキュア ポートにアクセスしようとしたときにも、違反のフラグが立てられます。
デバイスは、次のセキュア MAC アドレスのタイプをサポートします。
スタティックセキュア MAC アドレス:switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定され、アドレステーブルに保存された後、スイッチの実行コンフィギュレーションに追加されます。
ダイナミックセキュア MAC アドレス:動的に設定されてアドレステーブルにのみ保存され、スイッチの再起動時に削除されます。
スティッキーセキュア MAC アドレス:動的に学習することも、手動で設定することもできます。アドレステーブルに保存され、実行コンフィギュレーションに追加されます。このアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時にインターフェイスはこれらを動的に再設定する必要がありません。
スティッキー ラーニングをイネーブルにすると、ダイナミック MAC アドレスをスティッキー セキュア MAC アドレスに変換して実行コンフィギュレーションに追加するようにインターフェイスを設定できます。インターフェイスはスティッキーラーニングがイネーブルになる前に学習したものを含め、すべてのダイナミック セキュア MAC アドレスをスティッキー セキュア MAC アドレスに変換します。すべてのスティッキー セキュア MAC アドレスは実行コンフィギュレーションに追加されます。
スティッキー セキュア MAC アドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。スティッキー セキュア MAC アドレスをコンフィギュレーション ファイルに保存すると、スイッチの再起動時にインターフェイスはこれらを再び学習する必要がありません。スティッキー セキュア アドレスを保存しない場合、アドレスは失われます。
スティッキーラーニングがディセーブルの場合、スティッキーセキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。
次のいずれかの状況が発生すると、セキュリティ違反になります。
最大数のセキュア MAC アドレスがアドレス テーブルに追加されている状態で、アドレス テーブルに未登録の MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合。
あるセキュア インターフェイスで学習または設定されたアドレスが、同一 VLAN 内の別のセキュア インターフェイスで使用された場合。
ポートセキュリティが有効な状態で診断テストを実行しています。
違反が発生した場合の対処に基づいて、次の 3 種類の違反モードのいずれかにインターフェイスを設定できます。
Protect(保護):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が起こっても、ユーザには通知されません。
(注) |
トランク ポートに protect 違反モードを設定することは推奨しません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングが無効になります。 |
Restrict(制限):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。このモードでは、セキュリティ違反が発生したことが通知されます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
Shutdown(シャットダウン):ポートセキュリティ違反により、インターフェイスが error-disabled になり、ただちにシャットダウンされます。その後、ポートの LED が消灯します。セキュアポートが error-disabled ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解消するか、shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して手動で再度イネーブルにできます。これは、デフォルトのモードです。
Shutdown VLAN(VLAN シャットダウン):VLAN 単位でセキュリティ違反モードを設定するために使用します。このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。
次の表に、ポート セキュリティをインターフェイスに設定した場合の違反モードおよび対処について示します。
違反モード |
トラフィックの転送 1 |
SNMP トラップの送信 |
Syslog メッセージの送信 |
エラー メッセージの表示 2 |
違反カウンタの増加 |
ポートのシャットダウン |
---|---|---|---|---|---|---|
protect(保護) |
x |
x |
x |
x |
x |
x |
restrict(制限) |
x |
あり |
あり |
x |
あり |
x |
shutdown(シャットダウン) |
x |
x |
x |
x |
あり |
あり |
shutdown vlan(VLAN シャットダウン) |
x |
x |
あり |
x |
あり |
x 3 |
ポート上のすべてのセキュア アドレスにエージング タイムを設定するには、ポート セキュリティ エージングを使用します。ポートごとに 2 つのタイプのエージングがサポートされています。
absolute:指定されたエージングタイムの経過後に、ポート上のセキュアアドレスが削除されます。
inactivity:指定されたエージングタイムの間、セキュアアドレスが非アクティブであった場合に限り、ポート上のセキュアアドレスが削除されます。
\ | |
---|---|
機能 |
デフォルト設定 |
ポート セキュリティ |
ポート上でディセーブル |
スティッキー アドレス ラーニング |
ディセーブル |
ポートあたりのセキュア MAC アドレスの最大数 |
1 |
違反モード |
シャットダウン。セキュア MAC アドレスが最大数を上回ると、ポートがシャットダウンします。 |
ポート セキュリティ エージング |
ディセーブルエージング タイムは 0 スタティック エージングはディセーブル タイプは absolute |
ポート セキュリティを設定できるのは、スタティック アクセス ポートまたはトランク ポートに限られます。セキュア ポートをダイナミック アクセス ポートにすることはできません。
セキュア ポートをスイッチド ポート アナライザ(SPAN)の宛先ポートにすることはできません。
音声 VLAN はアクセス ポートでのみサポートされており、設定可能であってもトランク ポートではサポートされていません。
音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。複数の PC を Cisco IP Phone に接続する場合、各 PC と IP Phone に 1 つずつ使用できるように、十分な数のセキュア アドレスを設定する必要があります。
トランクポートがポートセキュリティで設定され、データトラフィック用のアクセス VLAN と音声トラフィック用の音声 VLAN に割り当てられている場合、switchport voice および switchport priority extend インターフェイス コンフィギュレーション コマンドを入力しても効果はありません。
接続装置が同じ MAC アドレスを使用してアクセス VLAN の IP アドレス、音声 VLAN の IP アドレスの順に要求すると、アクセス VLAN だけが IP アドレスに割り当てられます。
インターフェイスの最大セキュア アドレス値を入力したときに、新しい値がそれまでの値より大きいと、それまで設定されていた値が新しい値によって上書きされます。新しい値が前回の値より小さく、インターフェイスで設定されているセキュア アドレス数が新しい値より大きい場合、コマンドは拒否されます。
デバイスはスティッキーセキュア MAC アドレスのポート セキュリティ エージングをサポートしていません。
次の表に、他のポートベース機能と互換性のあるポート セキュリティについてまとめます。
ポート タイプまたはポートの機能 |
ポート セキュリティとの互換性 |
---|---|
なし |
|
トランク ポート |
あり |
ダイナミックアクセスポート6 |
なし |
ルーテッド ポート |
なし |
SPAN 送信元ポート |
あり |
SPAN 宛先ポート |
なし |
EtherChannel |
あり |
トンネリング ポート |
あり |
保護ポート |
あり |
IEEE 802.1x ポート |
あり |
音声 VLAN ポート7 |
あり |
IP ソース ガード |
あり |
ダイナミック アドレス解決プロトコル(ARP)インスペクション |
あり |
Flex Link |
あり |
このタスクは、ポートにアクセスできるステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制約します。
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
||||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||||
ステップ 3 |
port-security mac-address forbidden mac address 例:
|
すべてのインターフェイスのポート セキュリティで禁止する MAC アドレスを指定します。 |
||||
ステップ 4 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||||
ステップ 5 |
switchport mode {access | trunk} 例:
|
インターフェイス スイッチポート モードを access または trunk に設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。 |
||||
ステップ 6 |
switchport voice vlan vlan-id 例:
|
ポート上で音声 VLAN をイネーブルにします。
|
||||
ステップ 7 |
switchport port-security 例:
|
インターフェイス上でポート セキュリティをイネーブルにします。 |
||||
ステップ 8 |
switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]] 例:
|
(任意)インターフェイスの最大セキュア MAC アドレス数を設定します。スイッチに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。 (任意)vlan :VLAN あたりの最大値を設定します vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 9 |
switchport port-security violation {protect | restrict | shutdown | shutdown vlan} 例:
|
(任意)違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかのアクションを実行します。
|
||||
ステップ 10 |
switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}] 例:
|
(任意)インターフェイスのセキュア MAC アドレスを入力します。このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。
(任意)vlan :VLAN あたりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 11 |
switchport port-security mac-address sticky 例:
|
(任意)インターフェイス上でスティッキーラーニングをイネーブルにします。 |
||||
ステップ 12 |
switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}] 例:
|
(任意)スティッキー セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。設定したセキュア MAC アドレスの数が最大数より少ない場合、残りの MAC アドレスは動的に学習されてスティッキー セキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。
(任意)vlan :VLAN あたりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 13 |
switchport port-security mac-address forbidden mac address 例:
|
特定のインターフェイスのポート セキュリティで禁止する MAC アドレスを指定します。 |
||||
ステップ 14 |
end 例:
|
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
||||
ステップ 15 |
show port-security 例:
|
ポートセキュリティ設定に関する情報を表示します。 |
この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュア ポート上のデバイスを削除および追加し、なおかつポート上のセキュア アドレス数を制限できます。セキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 4 |
switchport port-security aging {static | time time | type {absolute | inactivity}} 例:
|
セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。またはエージング タイムやタイプを設定します。
|
||
ステップ 5 |
end 例:
|
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
||
ステップ 6 |
show port-security 例:
|
ポートセキュリティ設定に関する情報を表示します。 |
次の表に、ポート セキュリティ情報を表示します。
コマンド |
目的 |
---|---|
show port-security [ interface interface-id] |
スイッチまたは指定されたインターフェイスのポート セキュリティ設定を、各インターフェイスで許容されるセキュア MAC アドレスの最大数、インターフェイスのセキュア MAC アドレスの数、発生したセキュリティ違反の数、違反モードを含めて表示します。 |
show port-security [ interface interface-id] address |
すべてのスイッチ インターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュア MAC アドレス、および各アドレスのエージング情報を表示します。 |
show port-security interface interface-id vlan |
指定されたインターフェイスに VLAN 単位で設定されているセキュア MAC アドレスの数を表示します。 |
次に、ポート上でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 50 に設定する例を示します。違反モードはデフォルトです。スタティック セキュア MAC アドレスは設定せず、スティッキー ラーニングはイネーブルです。
Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# switchport mode access
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 50
Device(config-if)# switchport port-security mac-address sticky
Device(config-if)# end
次に、ポートの VLAN 3 上にスタティック セキュア MAC アドレスを設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# switchport mode trunk
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security mac-address 0000.0200.0004 vlan 3
Device(config-if)# end
次に、ポートのスティッキー ポート セキュリティをイネーブルにする例を示します。データ VLAN および音声 VLAN の MAC アドレスを手動で設定し、セキュア アドレスの総数を 20 に設定します(データ VLAN に 10、音声 VLAN に 10 を割り当てます)。
Device> enable
Device# configure terminal
Device(config)# interface tengigabitethernet 1/0/1
Device(config-if)# switchport access vlan 21
Device(config-if)# switchport mode access
Device(config-if)# switchport voice vlan 22
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 20
Device(config-if)# switchport port-security violation restrict
Device(config-if)# switchport port-security mac-address sticky
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0002
Device(config-if)# switchport port-security mac-address 0000.0000.0003
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0001 vlan voice
Device(config-if)# switchport port-security mac-address 0000.0000.0004 vlan voice
Device(config-if)# switchport port-security maximum 10 vlan access
Device(config-if)# switchport port-security maximum 10 vlan voice
Device(config-if)# end
次の例では、ポート セキュリティ エージングのイネーブル化方法と設定方法を示します。
Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 1/0/1
Device(config-if)# switchport port-security aging time 120
evice(config-f)# end
関連項目 |
マニュアル タイトル |
---|---|
この章で使用するコマンドの完全な構文および使用方法の詳細。 |
Consolidated Platform Command Reference, Cisco IOS Release 15.2(7)Ex (Catalyst 1000 Switches) |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
ポート セキュリティ |
Cisco IOS リリース 15.2(7)E1 |
この機能を使用して、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限します。 |