ポートセキュリティ

ポートセキュリティの前提条件

最大値をインターフェイス上ですでに設定されているセキュアアドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。

ポートセキュリティの制約事項

スイッチに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス（その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む）の総数を表します。
ポートセキュリティは、EtherChannel インターフェイスではサポートされていません。

ポートセキュリティの概要

ポートセキュリティ

ポートセキュリティ機能を使用すると、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュアポートにセキュア MAC アドレスを割り当てると、ポートは定義されたアドレスグループ以外の送信元アドレスを持つパケットを転送しません。セキュア MAC アドレス数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されたワークステーションに、ポートの帯域幅全体が保証されます。

セキュアポートとしてポートを設定し、セキュア MAC アドレスが最大数に達した場合、ポートにアクセスを試みるステーションの MAC アドレスが識別されたセキュア MAC アドレスのいずれとも一致しないので、セキュリティ違反が発生します。また、あるセキュアポート上でセキュア MAC アドレスが設定または学習されているステーションが、別のセキュアポートにアクセスしようとしたときにも、違反のフラグが立てられます。

セキュア MAC アドレスのタイプ

スイッチは、次のセキュア MAC アドレスタイプをサポートします。

スタティックセキュア MAC アドレス：switchport port-security mac-address mac-address インターフェイスコンフィギュレーションコマンドを使用して手動で設定され、アドレステーブルに保存された後、スイッチの実行コンフィギュレーションに追加されます。
ダイナミックセキュア MAC アドレス：動的に設定されてアドレステーブルにのみ保存され、スイッチの再起動時に削除されます。
スティッキーセキュア MAC アドレス：動的に学習することも、手動で設定することもできます。アドレステーブルに保存され、実行コンフィギュレーションに追加されます。このアドレスがコンフィギュレーションファイルに保存されていると、スイッチの再起動時にインターフェイスはこれらを動的に再設定する必要がありません。

MAC アドレステーブルのデフォルト設定

次の表に、MAC アドレステーブルのデフォルト設定を示します。

表 1. MAC アドレスのデフォルト設定
機能	デフォルト設定
エージングタイム	300 秒
ダイナミックアドレス	自動学習
スタティックアドレス	未設定

MAC アドレステーブルの作成

すべてのポートでサポートされる複数の MAC アドレスを使用して、他のネットワークデバイスにデバイス上のすべてのポートを接続できます。デバイスは、各ポートで受信するパケットの送信元アドレスを取得し、アドレステーブルにアドレスとそれに関連付けられたポート番号を追加することによって、動的なアドレス指定を行います。ネットワークでデバイスの追加または削除が行われると、デバイスによってアドレステーブルが更新され、新しいダイナミックアドレスが追加され、使用されていないアドレスは期限切れになります。

エージングインターバルは、グローバルに設定されています。ただし、デバイスは VLAN ごとにアドレステーブルを維持し、STP によって VLAN 単位で有効期間を短縮できます。

デバイスは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。デバイスは、MAC アドレステーブルを使用することによって、宛先アドレスに関連付けられたポートに限定してパケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。デバイスは、常にストアアンドフォワード方式を使用します。このため、完全なパケットをいったん保存してエラーがないか検査してから転送します。

スティッキセキュア MAC アドレス

スティッキーラーニングをイネーブルにすると、ダイナミック MAC アドレスをスティッキーセキュア MAC アドレスに変換して実行コンフィギュレーションに追加するようにインターフェイスを設定できます。インターフェイスはスティッキラーニングがイネーブルになる前に学習したものを含め、すべてのダイナミックセキュア MAC アドレスをスティッキーセキュア MAC アドレスに変換します。すべてのスティッキーセキュア MAC アドレスは実行コンフィギュレーションに追加されます。

スティッキーセキュア MAC アドレスは、コンフィギュレーションファイル（スイッチが再起動されるたびに使用されるスタートアップコンフィギュレーション）に、自動的には反映されません。スティッキーセキュア MAC アドレスをコンフィギュレーションファイルに保存すると、スイッチの再起動時にインターフェイスはこれらを再び学習する必要がありません。スティッキセキュアアドレスを保存しない場合、アドレスは失われます。

スティッキラーニングがディセーブルの場合、スティッキセキュア MAC アドレスはダイナミックセキュアアドレスに変換され、実行コンフィギュレーションから削除されます。

セキュリティ違反

次のいずれかの状況が発生すると、セキュリティ違反になります。

最大数のセキュア MAC アドレスがアドレステーブルに追加されている状態で、アドレステーブルに未登録の MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合。
あるセキュアインターフェイスで学習または設定されたアドレスが、同一 VLAN 内の別のセキュアインターフェイスで使用された場合。
ポートセキュリティが有効な状態で診断テストを実行しています。

違反が発生した場合の対処に基づいて、次の 3 種類の違反モードのいずれかにインターフェイスを設定できます。

protect（保護）：セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が起こっても、ユーザには通知されません。

（注）

トランクポートに protect 違反モードを設定することは推奨しません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。

restrict（制限）：セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。このモードでは、セキュリティ違反が発生したことが通知されます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
shutdown（シャットダウン）：ポートセキュリティ違反により、インターフェイスが error-disabled になり、ただちにシャットダウンされます。そのあと、ポートの LED が消灯します。セキュアポートが error-disabled 状態の場合は、errdisable recovery cause psecure-violation グローバルコンフィギュレーションコマンドを入力してこの状態を解消するか、shutdown および no shut down インターフェイスコンフィギュレーションコマンドを入力して手動で再度有効にできます。これは、デフォルトのモードです。
shutdown vlan（VLAN シャットダウン）：VLAN 単位でセキュリティ違反モードを設定するために使用します。このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。

次の表に、ポートセキュリティをインターフェイスに設定した場合の違反モードおよび対処について示します。

表 2. セキュリティ違反モードの処置
違反モード	トラフィックの転送 ¹	SNMP トラップの送信	Syslog メッセージの送信	エラーメッセージの表示 ²	違反カウンタの増加	ポートのシャットダウン
protect	非対応	非対応	非対応	非対応	非対応	非対応
restrict	非対応	対応	対応	非対応	対応	非対応
shutdown	非対応	非対応	非対応	非対応	対応	対応
shutdown vlan	非対応	非対応	対応	非対応	対応	非対応 ³

¹ 十分な数のセキュア MAC アドレスを削除するまで未知の送信元アドレスを持つパケットがドロップされます。

² セキュリティ違反を引き起こすアドレスを手動で設定した場合、スイッチがエラーメッセージを返します。

³ 違反が発生した VLAN のみシャットダウンします。

ポートセキュリティエージング

ポート上のすべてのセキュアアドレスにエージングタイムを設定するには、ポートセキュリティエージングを使用します。ポートごとに 2 つのタイプのエージングがサポートされています。

absolute：指定されたエージングタイムの経過後に、ポート上のセキュアアドレスが削除されます。
inactivity：指定されたエージングタイムの間、セキュアアドレスが非アクティブであった場合に限り、ポート上のセキュアアドレスが削除されます。

ポートセキュリティとスイッチスタック

スタックに新規に加入したスイッチは、設定済みのセキュアアドレスを取得します。他のスタックメンバーから新しいスタックメンバーに、ダイナミックセキュアアドレスがすべてダウンロードされます。

スイッチ（アクティブスイッチまたはスタックメンバのいずれか）がスタックから離れると、その他のスタックメンバに通知が行き、そのスイッチが設定または学習したセキュア MAC アドレスがセキュア MAC アドレステーブルから削除されます。

デフォルトのポートセキュリティ設定

表 3. デフォルトのポートセキュリティ設定
機能	デフォルト設定
ポートセキュリティ	ポート上でディセーブル
スティッキーアドレスラーニング	ディセーブル
ポートあたりのセキュア MAC アドレスの最大数	1 つのアドレス
違反モード	shutdown。セキュア MAC アドレスが最大数を上回ると、ポートがシャットダウンします。
ポートセキュリティエージング	ディセーブルエージングタイムは 0 スタティックエージングはディセーブルタイプは absolute

ポートセキュリティの設定時の注意事項

ポートセキュリティを設定できるのは、スタティックアクセスポートまたはトランクポートに限られます。セキュアポートをダイナミックアクセスポートにすることはできません。
セキュアポートをスイッチドポートアナライザ（SPAN）の宛先ポートにすることはできません。
音声 VLAN はアクセスポートでのみサポートされており、設定可能であってもトランクポートではサポートされていません。
音声 VLAN が設定されたインターフェイス上でポートセキュリティをイネーブルにする場合は、ポートの最大セキュアアドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。複数の PC を Cisco IP Phone に接続する場合、各 PC と IP Phone に 1 つずつ使用できるように、十分な数のセキュアアドレスを設定する必要があります。
トランクポートがポートセキュリティで設定され、データトラフィック用のアクセス VLAN と音声トラフィック用の音声 VLAN に割り当てられている場合、switchport voice およびインターフェイスコンフィギュレーションコマンドを入力して switchport priority extend も効果はありません。

接続装置が同じ MAC アドレスを使用してアクセス VLAN の IP アドレス、音声 VLAN の IP アドレスの順に要求すると、アクセス VLAN だけが IP アドレスに割り当てられます。
インターフェイスの最大セキュアアドレス値を入力したときに、新しい値がそれまでの値より大きいと、それまで設定されていた値が新しい値によって上書きされます。新しい値が前回の値より小さく、インターフェイスで設定されているセキュアアドレス数が新しい値より大きい場合、コマンドは拒否されます。
スイッチはスティッキセキュア MAC アドレスのポートセキュリティエージングをサポートしていません。

次の表に、他のポートベース機能と互換性のあるポートセキュリティについてまとめます。

表 4. ポートセキュリティと他のポートベース機能との互換性
ポートタイプまたはポートの機能	ポートセキュリティとの互換性
DTP ⁴ ポート ⁵	なし
トランクポート	あり
ダイナミックアクセスポート⁶	なし
ルーテッドポート	なし
SPAN 送信元ポート	あり
SPAN 宛先ポート	なし
EtherChannel	なし
トンネリングポート	あり
保護ポート	あり
IEEE 802.1x ポート	あり
音声 VLAN ポート⁷	あり
IP ソースガード	あり
ダイナミックアドレス解決プロトコル（ARP）インスペクション	あり
Flex Link	対応

⁴ DTP = Dynamic Trunking Protocol

⁵ switchport mode dynamic インターフェイスコンフィギュレーションコマンドで設定されたポート A。

⁶ switchport access vlan dynamic インターフェイスコンフィギュレーションコマンドで設定される VLAN Query Protocol（VQP）ポート。

⁷ ポートに最大限可能なセキュアなアドレスを設定します（アクセス VLAN で可能なセキュアなアドレスの最大数に 2 を加えた数）。

ポートセキュリティの設定方法

ポートセキュリティのイネーブル化および設定

始める前に

このタスクは、ポートにアクセスできるステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制約します。

手順

コマンドまたはアクション目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

interface interface-id

例:


Device(config)# interface gigabitethernet 1/0/1

設定するインターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。

ステップ 4

switchport mode {access | trunk}

例:


Device(config-if)# switchport mode access

インターフェイススイッチポートモードを access または trunk に設定します。デフォルトモード（dynamic auto）のインターフェイスは、セキュアポートとして設定できません。

ステップ 5

switchport voice vlan vlan-id

例:


Device(config-if)# switchport voice vlan 22

ポート上で音声 VLAN をイネーブルにします。

vlan-id ：音声トラフィックに使用する VLAN を指定します。

ステップ 6

switchport port-security

例:


Device(config-if)# switchport port-security

インターフェイス上でポートセキュリティをイネーブルにします。

（注）

特定の条件下では、スイッチスタックのメンバーポートでポートセキュリティが有効になっていると、DHCP および ARP パケットがドロップされます。回避策として、インターフェイスをシャットダウンした後に no shutdown コマンドを設定します。

ステップ 7

switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]]

例:


Device(config-if)# switchport port-security maximum 20

（任意）インターフェイスの最大セキュア MAC アドレス数を設定します。スイッチまたはスイッチスタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス（その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む）の総数を表します。

（任意）vlan ：VLAN 当たりの最大値を設定します。

vlan キーワードを入力後、次のいずれかのオプションを入力します。

vlan-list ：トランクポート上で、ハイフンで区切った範囲の VLAN、またはカンマで区切った一連の VLAN における、VLAN 単位の最大値を設定できます。VLAN を指定しない場合、VLAN ごとの最大値が使用されます。
access ：アクセスポートで、VLAN をアクセス VLAN として指定します。
voice ：アクセスポートで、VLAN を音声 VLAN として指定します。

（注）

voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの最大数を 2 に設定します。

ステップ 8

switchport port-security violation {protect | restrict | shutdown | shutdown vlan}

例:


Device(config-if)# switchport port-security violation restrict

（任意）違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかのアクションを実行します。

protect ：ポートセキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が起こっても、ユーザには通知されません。

（注）

トランクポート上に保護モードを設定することは推奨できません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。

restrict ：セキュア MAC アドレス数がポートで許可されている最大数に到達した場合、不明な送信元アドレスのパケットはドロップされます。セキュア MAC アドレス数を上限よりも少なくするか、許容できるアドレスの最大数を増やさない限り、この状態が続きます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
shutdown ：違反が発生すると、インターフェイスが error-disabled になり、ポートの LED が消灯します。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。

shutdown vlan ：VLAN 単位でセキュリティ違反モードを設定するために使用します。このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。

（注）

セキュアポートが error-disabled ステートの場合は、errdisable recovery cause psecure-violation グローバルコンフィギュレーションコマンドを入力して、このステートから回復させることができます。手動で再びイネーブルにするには、shutdown および no shutdown インターフェイスコンフィギュレーションコマンドを入力するか、clear errdisable interface vlan 特権 EXEC コマンドを入力します。

ステップ 9

switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]

例:


DEvice(config-if)# switchport port-security mac-address 00:A0:C7:12:C9:25 vlan 3 voice

（任意）インターフェイスのセキュア MAC アドレスを入力します。このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。

（注）

このコマンドの入力後にスティッキーラーニングをイネーブルにすると、動的に学習されたセキュアアドレスがスティッキーセキュア MAC アドレスに変換されて実行コンフィギュレーションに追加されます。

（任意）vlan ：VLAN 当たりの最大値を設定します。

vlan キーワードを入力後、次のいずれかのオプションを入力します。

vlan-id ：トランクポートで、VLAN ID および MAC アドレスを指定できます。VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。
access ：アクセスポートで、VLAN をアクセス VLAN として指定します。
voice ：アクセスポートで、VLAN を音声 VLAN として指定します。

（注）

ステップ 10

switchport port-security mac-address sticky

例:


Device(config-if)# switchport port-security mac-address sticky

（任意）インターフェイス上でスティッキラーニングをイネーブルにします。

ステップ 11

switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]

例:


Device(config-if)# switchport port-security mac-address sticky 00:A0:C7:12:C9:25 vlan voice

（任意）スティッキーセキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。設定したセキュア MAC アドレスの数が最大数より少ない場合、残りの MAC アドレスは動的に学習されてスティッキーセキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。

（注）

このコマンドの入力前にスティッキーラーニングをイネーブルにしないと、エラーメッセージが表示されてスティッキーセキュア MAC アドレスを入力できません。

（任意）vlan ：VLAN 当たりの最大値を設定します。

vlan キーワードを入力後、次のいずれかのオプションを入力します。

vlan-id ：トランクポートで、VLAN ID および MAC アドレスを指定できます。VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。
access ：アクセスポートで、VLAN をアクセス VLAN として指定します。
voice ：アクセスポートで、VLAN を音声 VLAN として指定します。

（注）

voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。

ステップ 12

end

例:


Device(config-if)# end

インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 13

show port-security

例:


Device# show port-security

ポートセキュリティ設定に関する情報を表示します。

ポートセキュリティエージングのイネーブル化および設定

この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュアポート上のデバイスを削除および追加し、なおかつポート上のセキュアアドレス数を制限できます。セキュアアドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。

手順

コマンドまたはアクション目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

interface interface-id

例:


Device(config)# interface gigabitethernet1/0/1

設定するインターフェイスを指定し、インターフェイスコンフィギュレーションモードを開始します。

ステップ 4

switchport port-security aging {static | time time | type {absolute | inactivity}}

例:


Device(config-if)# switchport port-security aging time 120

セキュアポートのスタティックエージングをイネーブルまたはディセーブルにします。またはエージングタイムやタイプを設定します。

（注）

スイッチは、スティッキーセキュアアドレスのポートセキュリティエージングをサポートしていません。

このポートに、スタティックに設定されたセキュアアドレスのエージングをイネーブルにする場合は、static を入力します。

time には、このポートのエージングタイムを指定します。指定できる範囲は、0 ～ 1440 分です。

type には、次のキーワードのいずれか 1 つを選択します。

absolute ：（任意）エージングタイプを絶対エージングとして設定します。このポートのセキュアアドレスはすべて、指定した時間（分単位）が経過すると期限切れになり、セキュアアドレスリストから削除されます。
inactivity ：（任意）エージングタイプを非アクティブエージングとして設定します。指定された time 期間中にセキュア送信元アドレスからのデータトラフィックがない場合に限り、このポートのセキュアアドレスが期限切れになります。

ステップ 5

end

例:


Device(config-if)# end

インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ステップ 6

show port-security [ interface interface-id] [address]

例:


Device# show port-security interface gigabitethernet1/0/1

指定したインターフェイスでのポートセキュリティ設定に関する情報を表示します。

アドレスエージングタイムの変更

ダイナミックアドレステーブルのエージングタイムを設定するには、次の手順を実行します。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	mac address-table aging-time [`0` \| `10-1000000`] [routed-mac \| vlan `vlan-id`] 例: `Device(config)# mac address-table aging-time 500 vlan 2`	ダイナミックエントリが使用または更新された後、MAC アドレステーブル内に保持される時間を設定します。指定できる範囲は 10 ～ 1000000 秒です。デフォルトは 300 です。0 を入力して期限切れをディセーブルにすることもできます。スタティックアドレスは、期限切れになることもテーブルから削除されることもありません。 `vlan-id` ：有効な ID は 1 ～ 4094 です。
ステップ 4	end 例: `Device(config)# end`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

ポートセキュリティの監視

次の表に、ポートセキュリティ情報を表示します。

表 5. ポートセキュリティのステータスおよび設定を表示するコマンド
コマンド	目的
show port-security [ interface `interface-id`]	デバイスまたは指定されたインターフェイスのポートセキュリティ設定を、各インターフェイスで許容されるセキュア MAC アドレスの最大数、インターフェイスのセキュア MAC アドレスの数、発生したセキュリティ違反の数、違反モードを含めて表示します。
show port-security [ interface `interface-id`] address	すべてのデバイスインターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュア MAC アドレス、および各アドレスのエージング情報を表示します。
show port-security interface `interface-id` vlan	指定されたインターフェイスに VLAN 単位で設定されているセキュア MAC アドレスの数を表示します。

ポートセキュリティの設定例

次に、ポート上でポートセキュリティをイネーブルにし、セキュアアドレスの最大数を 50 に設定する例を示します。違反モードはデフォルトです。スタティックセキュア MAC アドレスは設定せず、スティッキーラーニングはイネーブルです。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet1/0/1
Device(config-if)# switchport mode access
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 50
Device(config-if)# switchport port-security mac-address sticky
Device(config-if)# end

次に、ポートの VLAN 3 上にスタティックセキュア MAC アドレスを設定する例を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet1/0/2
Device(config-if)# switchport mode trunk
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security mac-address 0000.0200.0004 vlan 3
Device(config-if)# end

次に、ポートのスティッキーポートセキュリティをイネーブルにする例を示します。データ VLAN および音声 VLAN の MAC アドレスを手動で設定し、セキュアアドレスの総数を 20 に設定します（データ VLAN に 10、音声 VLAN に 10 を割り当てます）。

Device> enable
Device# configure terminal
Device(config)# interface tengigabitethernet1/0/1
Device(config-if)# switchport access vlan 21
Device(config-if)# switchport mode access
Device(config-if)# switchport voice vlan 22
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 20
Device(config-if)# switchport port-security violation restrict
Device(config-if)# switchport port-security mac-address sticky
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0002
Device(config-if)# switchport port-security mac-address 0000.0000.0003
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0001 vlan voice
Device(config-if)# switchport port-security mac-address 0000.0000.0004 vlan voice
Device(config-if)# switchport port-security maximum 10 vlan access
Device(config-if)# switchport port-security maximum 10 vlan voice
Device(config-if)# end

ポートセキュリティの機能の履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。


リリース	機能	機能情報
	ポートセキュリティ	ポートセキュリティ機能で、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限します。
	ポートセキュリティ MAC エージング	ネットワークでデバイスの追加または削除が行われると、デバイスによってアドレステーブルが更新され、新しいダイナミックアドレスが追加され、使用されていないアドレスは期限切れになります。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。

Cisco IOS XE Amsterdam 17.2.x（Catalyst 9200 スイッチ）セキュリティ コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ポート セキュリティ

ポート セキュリティ

ポート セキュリティの前提条件

ポート セキュリティの制約事項

ポート セキュリティの概要

ポート セキュリティ

セキュア MAC アドレスのタイプ

MAC アドレス テーブルのデフォルト設定

MAC アドレス テーブルの作成

スティッキ セキュア MAC アドレス

セキュリティ違反

ポート セキュリティ エージング

ポート セキュリティとスイッチ スタック

デフォルトのポート セキュリティ設定

ポート セキュリティの設定時の注意事項

ポート セキュリティの設定方法

ポート セキュリティのイネーブル化および設定

始める前に

手順

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

ポート セキュリティ エージングのイネーブル化および設定

手順

例:

例:

例:

例:

例:

例:

アドレス エージング タイムの変更

手順

例:

例:

例:

例:

ポート セキュリティの監視

ポート セキュリティの設定例

ポート セキュリティの機能の履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco IOS XE Amsterdam 17.2.x（Catalyst 9200 スイッチ）セキュリティコンフィギュレーションガイド

章のタイトル：ポートセキュリティ

ポートセキュリティ

ポートセキュリティの前提条件

ポートセキュリティの制約事項

ポートセキュリティの概要

ポートセキュリティ

MAC アドレステーブルのデフォルト設定

MAC アドレステーブルの作成

スティッキセキュア MAC アドレス

ポートセキュリティエージング

ポートセキュリティとスイッチスタック

デフォルトのポートセキュリティ設定

ポートセキュリティの設定時の注意事項

ポートセキュリティの設定方法

ポートセキュリティのイネーブル化および設定

ポートセキュリティエージングのイネーブル化および設定

アドレスエージングタイムの変更

ポートセキュリティの監視

ポートセキュリティの設定例

ポートセキュリティの機能の履歴