ポート セキュリティの前提条件
最大値をインターフェイス上ですでに設定されているセキュア アドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
最大値をインターフェイス上ですでに設定されているセキュア アドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。
スイッチに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。
ポートセキュリティは、EtherChannel インターフェイスではサポートされていません。
ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュア MAC アドレス数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されたワークステーションに、ポートの帯域幅全体が保証されます。
セキュア ポートとしてポートを設定し、セキュア MAC アドレスが最大数に達した場合、ポートにアクセスを試みるステーションの MAC アドレスが識別されたセキュア MAC アドレスのいずれとも一致しないので、セキュリティ違反が発生します。また、あるセキュア ポート上でセキュア MAC アドレスが設定または学習されているステーションが、別のセキュア ポートにアクセスしようとしたときにも、違反のフラグが立てられます。
スイッチは、次のセキュア MAC アドレス タイプをサポートします。
スタティックセキュア MAC アドレス:switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定され、アドレステーブルに保存された後、スイッチの実行コンフィギュレーションに追加されます。
ダイナミック セキュア MAC アドレス:動的に設定されてアドレス テーブルにのみ保存され、スイッチの再起動時に削除されます。
スティッキー セキュア MAC アドレス:動的に学習することも、手動で設定することもできます。アドレス テーブルに保存され、実行コンフィギュレーションに追加されます。このアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時にインターフェイスはこれらを動的に再設定する必要がありません。
次の表に、MAC アドレス テーブルのデフォルト設定を示します。
機能 |
デフォルト設定 |
---|---|
エージング タイム |
300 秒 |
ダイナミック アドレス |
自動学習 |
スタティック アドレス |
未設定 |
すべてのポートでサポートされる複数の MAC アドレスを使用して、他のネットワークデバイスにデバイス上のすべてのポートを接続できます。デバイスは、各ポートで受信するパケットの送信元アドレスを取得し、アドレステーブルにアドレスとそれに関連付けられたポート番号を追加することによって、動的なアドレス指定を行います。ネットワークでデバイスの追加または削除が行われると、デバイスによってアドレステーブルが更新され、新しいダイナミックアドレスが追加され、使用されていないアドレスは期限切れになります。
エージング インターバルは、グローバルに設定されています。ただし、デバイスは VLAN ごとにアドレステーブルを維持し、STP によって VLAN 単位で有効期間を短縮できます。
デバイスは、受信したパケットの宛先アドレスに基づいて、任意の組み合わせのポート間でパケットを送信します。デバイスは、MAC アドレステーブルを使用することによって、宛先アドレスに関連付けられたポートに限定してパケットを転送します。宛先アドレスがパケットを送信したポート上にある場合は、パケットはフィルタリング処理され、転送されません。デバイスは、常にストアアンドフォワード方式を使用します。このため、完全なパケットをいったん保存してエラーがないか検査してから転送します。
スティッキー ラーニングをイネーブルにすると、ダイナミック MAC アドレスをスティッキー セキュア MAC アドレスに変換して実行コンフィギュレーションに追加するようにインターフェイスを設定できます。インターフェイスはスティッキ ラーニングがイネーブルになる前に学習したものを含め、すべてのダイナミック セキュア MAC アドレスをスティッキー セキュア MAC アドレスに変換します。すべてのスティッキー セキュア MAC アドレスは実行コンフィギュレーションに追加されます。
スティッキー セキュア MAC アドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。スティッキー セキュア MAC アドレスをコンフィギュレーション ファイルに保存すると、スイッチの再起動時にインターフェイスはこれらを再び学習する必要がありません。スティッキ セキュア アドレスを保存しない場合、アドレスは失われます。
スティッキ ラーニングがディセーブルの場合、スティッキ セキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。
次のいずれかの状況が発生すると、セキュリティ違反になります。
最大数のセキュア MAC アドレスがアドレス テーブルに追加されている状態で、アドレス テーブルに未登録の MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合。
あるセキュア インターフェイスで学習または設定されたアドレスが、同一 VLAN 内の別のセキュア インターフェイスで使用された場合。
ポートセキュリティが有効な状態で診断テストを実行しています。
違反が発生した場合の対処に基づいて、次の 3 種類の違反モードのいずれかにインターフェイスを設定できます。
protect(保護):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が起こっても、ユーザには通知されません。
(注) |
トランク ポートに protect 違反モードを設定することは推奨しません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。 |
restrict(制限):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。このモードでは、セキュリティ違反が発生したことが通知されます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
shutdown(シャットダウン):ポート セキュリティ違反により、インターフェイスが error-disabled になり、ただちにシャットダウンされます。そのあと、ポートの LED が消灯します。セキュアポートが error-disabled 状態の場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこの状態を解消するか、shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して手動で再度有効にできます。これは、デフォルトのモードです。
shutdown vlan(VLAN シャットダウン):VLAN 単位でセキュリティ違反モードを設定するために使用します。このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。
次の表に、ポート セキュリティをインターフェイスに設定した場合の違反モードおよび対処について示します。
違反モード |
トラフィックの転送 1 |
SNMP トラップの送信 |
Syslog メッセージの送信 |
エラー メッセージの表示 2 |
違反カウンタの増加 |
ポートのシャットダウン |
---|---|---|---|---|---|---|
protect |
x |
x |
x |
x |
x |
x |
restrict |
x |
〇 |
〇 |
x |
〇 |
x |
shutdown |
x |
x |
x |
x |
〇 |
〇 |
shutdown vlan |
x |
x |
〇 |
x |
〇 |
x 3 |
ポート上のすべてのセキュア アドレスにエージング タイムを設定するには、ポート セキュリティ エージングを使用します。ポートごとに 2 つのタイプのエージングがサポートされています。
absolute:指定されたエージング タイムの経過後に、ポート上のセキュア アドレスが削除されます。
inactivity:指定されたエージング タイムの間、セキュア アドレスが非アクティブであった場合に限り、ポート上のセキュア アドレスが削除されます。
機能 |
デフォルト設定 |
---|---|
ポート セキュリティ |
ポート上でディセーブル |
スティッキー アドレス ラーニング |
ディセーブル |
ポートあたりのセキュア MAC アドレスの最大数 |
1 つのアドレス |
違反モード |
shutdown。セキュア MAC アドレスが最大数を上回ると、ポートがシャットダウンします。 |
ポート セキュリティ エージング |
ディセーブルエージング タイムは 0 スタティック エージングはディセーブル タイプは absolute |
ポート セキュリティを設定できるのは、スタティック アクセス ポートまたはトランク ポートに限られます。セキュア ポートをダイナミック アクセス ポートにすることはできません。
セキュア ポートをスイッチド ポート アナライザ(SPAN)の宛先ポートにすることはできません。
音声 VLAN はアクセス ポートでのみサポートされており、設定可能であってもトランク ポートではサポートされていません。
音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。複数の PC を Cisco IP Phone に接続する場合、各 PC と IP Phone に 1 つずつ使用できるように、十分な数のセキュア アドレスを設定する必要があります。
トランクポートがポートセキュリティで設定され、データトラフィック用のアクセス VLAN と音声トラフィック用の音声 VLAN に割り当てられている場合、switchport voice およびインターフェイス コンフィギュレーション コマンドを入力して switchport priority extend も効果はありません。
接続装置が同じ MAC アドレスを使用してアクセス VLAN の IP アドレス、音声 VLAN の IP アドレスの順に要求すると、アクセス VLAN だけが IP アドレスに割り当てられます。
インターフェイスの最大セキュア アドレス値を入力したときに、新しい値がそれまでの値より大きいと、それまで設定されていた値が新しい値によって上書きされます。新しい値が前回の値より小さく、インターフェイスで設定されているセキュア アドレス数が新しい値より大きい場合、コマンドは拒否されます。
スイッチはスティッキ セキュア MAC アドレスのポート セキュリティ エージングをサポートしていません。
次の表に、他のポートベース機能と互換性のあるポート セキュリティについてまとめます。
ポート タイプまたはポートの機能 |
ポート セキュリティとの互換性 |
---|---|
なし |
|
トランク ポート |
あり |
ダイナミックアクセスポート6 |
なし |
ルーテッド ポート |
なし |
SPAN 送信元ポート |
あり |
SPAN 宛先ポート |
なし |
EtherChannel |
なし |
トンネリング ポート |
あり |
保護ポート |
あり |
IEEE 802.1x ポート |
あり |
音声 VLAN ポート7 |
あり |
IP ソース ガード |
あり |
ダイナミック アドレス解決プロトコル(ARP)インスペクション |
あり |
Flex Link |
あり |
このタスクは、ポートにアクセスできるステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制約します。
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||||
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||||
ステップ 4 |
switchport mode {access | trunk} 例:
|
インターフェイス スイッチポート モードを access または trunk に設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。 |
||||
ステップ 5 |
switchport voice vlan vlan-id 例:
|
ポート上で音声 VLAN をイネーブルにします。 vlan-id :音声トラフィックに使用する VLAN を指定します。 |
||||
ステップ 6 |
switchport port-security 例:
|
インターフェイス上でポート セキュリティをイネーブルにします。
|
||||
ステップ 7 |
switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]] 例:
|
(任意)インターフェイスの最大セキュア MAC アドレス数を設定します。スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。 (任意)vlan :VLAN 当たりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 8 |
switchport port-security violation {protect | restrict | shutdown | shutdown vlan} 例:
|
(任意)違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかのアクションを実行します。
|
||||
ステップ 9 |
switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}] 例:
|
(任意)インターフェイスのセキュア MAC アドレスを入力します。このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。
(任意)vlan :VLAN 当たりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 10 |
switchport port-security mac-address sticky 例:
|
(任意)インターフェイス上でスティッキ ラーニングをイネーブルにします。 |
||||
ステップ 11 |
switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}] 例:
|
(任意)スティッキー セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。設定したセキュア MAC アドレスの数が最大数より少ない場合、残りの MAC アドレスは動的に学習されてスティッキー セキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。
(任意)vlan :VLAN 当たりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 12 |
end 例:
|
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
||||
ステップ 13 |
show port-security 例:
|
ポートセキュリティ設定に関する情報を表示します。 |
この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュア ポート上のデバイスを削除および追加し、なおかつポート上のセキュア アドレス数を制限できます。セキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 4 |
switchport port-security aging {static | time time | type {absolute | inactivity}} 例:
|
セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。またはエージング タイムやタイプを設定します。
このポートに、スタティックに設定されたセキュアアドレスのエージングをイネーブルにする場合は、static を入力します。 time には、このポートのエージング タイムを指定します。指定できる範囲は、0 ~ 1440 分です。 type には、次のキーワードのいずれか 1 つを選択します。
|
||
ステップ 5 |
end 例:
|
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
||
ステップ 6 |
show port-security [ interface interface-id] [address] 例:
|
指定したインターフェイスでのポートセキュリティ設定に関する情報を表示します。 |
ダイナミック アドレス テーブルのエージング タイムを設定するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
mac address-table aging-time [0 | 10-1000000] [routed-mac | vlan vlan-id] 例:
|
ダイナミック エントリが使用または更新された後、MAC アドレス テーブル内に保持される時間を設定します。 指定できる範囲は 10 ~ 1000000 秒です。デフォルトは 300 です。0 を入力して期限切れをディセーブルにすることもできます。スタティック アドレスは、期限切れになることもテーブルから削除されることもありません。 vlan-id :有効な ID は 1 ~ 4094 です。 |
ステップ 4 |
end 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
次の表に、ポート セキュリティ情報を表示します。
コマンド |
目的 |
---|---|
show port-security [ interface interface-id] |
デバイスまたは指定されたインターフェイスのポートセキュリティ設定を、各インターフェイスで許容されるセキュア MAC アドレスの最大数、インターフェイスのセキュア MAC アドレスの数、発生したセキュリティ違反の数、違反モードを含めて表示します。 |
show port-security [ interface interface-id] address |
すべてのデバイスインターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュア MAC アドレス、および各アドレスのエージング情報を表示します。 |
show port-security interface interface-id vlan |
指定されたインターフェイスに VLAN 単位で設定されているセキュア MAC アドレスの数を表示します。 |
次に、ポート上でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 50 に設定する例を示します。違反モードはデフォルトです。スタティック セキュア MAC アドレスは設定せず、スティッキー ラーニングはイネーブルです。
Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet1/0/1
Device(config-if)# switchport mode access
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 50
Device(config-if)# switchport port-security mac-address sticky
Device(config-if)# end
次に、ポートの VLAN 3 上にスタティック セキュア MAC アドレスを設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet1/0/2
Device(config-if)# switchport mode trunk
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security mac-address 0000.0200.0004 vlan 3
Device(config-if)# end
次に、ポートのスティッキー ポート セキュリティをイネーブルにする例を示します。データ VLAN および音声 VLAN の MAC アドレスを手動で設定し、セキュア アドレスの総数を 20 に設定します(データ VLAN に 10、音声 VLAN に 10 を割り当てます)。
Device> enable
Device# configure terminal
Device(config)# interface tengigabitethernet1/0/1
Device(config-if)# switchport access vlan 21
Device(config-if)# switchport mode access
Device(config-if)# switchport voice vlan 22
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 20
Device(config-if)# switchport port-security violation restrict
Device(config-if)# switchport port-security mac-address sticky
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0002
Device(config-if)# switchport port-security mac-address 0000.0000.0003
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0001 vlan voice
Device(config-if)# switchport port-security mac-address 0000.0000.0004 vlan voice
Device(config-if)# switchport port-security maximum 10 vlan access
Device(config-if)# switchport port-security maximum 10 vlan voice
Device(config-if)# end
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
リリース |
機能 |
機能情報 |
---|---|---|
Cisco IOS XE Gibraltar 16.10.1 |
ポート セキュリティ |
ポートセキュリティ機能で、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限します。 |
Cisco IOS XE Gibraltar 16.10.1 |
ポートセキュリティ MAC エージング |
ネットワークでデバイスの追加または削除が行われると、デバイスによってアドレステーブルが更新され、新しいダイナミックアドレスが追加され、使用されていないアドレスは期限切れになります。 |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。