Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: ポート セキュリティの設定
ポート セキュリティの設定
ポート セキュリティの概要
ポート セキュリティを使用すると、限定的なセキュア MAC アドレスからのインバウンド トラフィックを許可するようにレイヤ 2 インターフェイスを設定することができます。セキュアな MAC アドレスからのトラフィックは、同じ VLAN 内の別のインターフェイス上では許可されません。「セキュア」にできる MAC アドレスの数は、インターフェイス単位で設定します。
セキュア MAC アドレスの学習
MAC アドレスは学習というプロセスによってセキュア アドレスになります。学習できるアドレスの数には制限があります(「セキュア MAC アドレスの最大数」を参照)。ポート セキュリティがイネーブルになっているインターフェイスでのアドレス学習には、次の方式を使用できます。
•
「ダイナミック方式」(デフォルトの方式)
スタティック方式
スタティック学習方式では、ユーザが手動でインターフェイス設定にセキュア MAC アドレスを追加したり、設定から削除したりできます。
スタティック セキュア MAC アドレスのエントリは、明示的に削除するまで、インターフェイスの設定内に維持されます。詳細については、「インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除」を参照してください。
スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。
ダイナミック方式
デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。この方式では、デバイスは、入力トラフィックがインターフェイスを通過するときに MAC アドレスをセキュア アドレスにします。このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。
ダイナミック アドレスはエージングが行われ、エージングの期限に達すると、ドロップされます(「ダイナミック アドレスのエージング」を参照)。
ダイナミック方式で学習された特定のアドレス、または特定のインターフェイスでダイナミックに学習されたすべてのアドレスを削除する場合は、「ダイナミック セキュア MAC アドレスの削除」を参照してください。
スティッキ方式
スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにします。これらのアドレスは、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピー( copy run start )することにより、再起動後も維持することができます。
ダイナミックとスティッキのアドレス学習は両方同時にイネーブルにできません。あるインターフェイスのスティッキ学習をイネーブルにすると、ダイナミック学習が停止されて、代わりにスティッキ学習が使用されます。スティッキ学習をディセーブルにすると、ダイナミック学習が再開されます。
スティッキ セキュア MAC アドレスはエージングされません。
スティッキ方式で学習された特定のアドレスを削除する場合は、「インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除」を参照してください。
ダイナミック アドレスのエージング
ダイナミック方式で学習された MAC アドレスはエージングされ、エージングの期限に達するとドロップされます。エージングの期限は、インターフェイスごとに設定できます。有効な範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。
• 非アクティブ:適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間。
• 絶対時間:デバイスがアドレスを学習して以降の経過時間。これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。
セキュア MAC アドレスの最大数
セキュア ポート上のセキュア MAC アドレスは、他の標準的な MAC と同じ MAC アドレス テーブルに挿入されます。MAC テーブルの上限に達すると、その VLAN に対する新しいセキュア MAC の学習は行われなくなります。
図 11-1 に示すように、VEM 内の VLAN ごとに 1 つの転送テーブルがあり、各転送テーブルにセキュア MAC アドレスを最大数まで格納できます。現在の MAC アドレスの最大数については、「セキュリティ設定の制限値」を参照してください。
インターフェイスのセキュア MAC アドレス
デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。
ヒント アドレスの最大数を 1 に設定し、接続された装置の MAC アドレスを設定すると、その装置にはポートの全帯域幅が保証されます。
インターフェイス 1 つあたりの許容されるセキュア MAC アドレスの数は、次の制限値によって決定されます。
• デバイスの最大数:デバイスが許容できるセキュア MAC アドレスの最大数は 8192 です。この値は変更できません。新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。
• インターフェイスの最大数:ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数を設定できます。デフォルトでは、インターフェイスの最大アドレス数は 1 です。インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。
• VLAN の最大数:ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。VLAN の最大数を、インターフェイスの最大数より大きくすることはできません。VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。VLAN の最大数には、デフォルト値はありません。
VLAN とインターフェイスの最大数の関係については、「セキュリティ違反と処理」に例が示されています。
インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用可能なセキュア アドレス数よりも少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。ダイナミックに学習されたアドレスの削除方法については、「ダイナミック セキュア MAC アドレスの削除」を参照してください。スティッキまたはスタティック方式で学習されたアドレスの削除方法については、「インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除」を参照してください。
セキュリティ違反と処理
次のいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
• あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合
あるインターフェイスに VLAN とインターフェイスの両方の最大数が設定されている場合は、どちらかの最大数を超えると、違反が発生します。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。
– VLAN 1 のアドレスが 5 つ学習されていて、6 番めのアドレスからのインバウンド トラフィックが VLAN 1 のインターフェイスに着信した場合
– このインターフェイス上のアドレスが 10 個学習されていて、11 番めのアドレスからのインバウンド トラフィックがこのインターフェイスに着信した場合
• あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合
(注) 特定のセキュア ポートでセキュア MAC アドレスが設定または学習された後、同一 VLAN 上の別のポートでポート セキュリティがセキュア MAC アドレスを検出したときに発生する一連のイベントは、MAC 移動の違反と呼ばれます。
インターフェイス上でセキュリティ違反が発生したときは、そのインターフェイスのポート セキュリティ設定で指定されている処理が適用されます。デバイスが実行できる処理は次のとおりです。
• シャットダウン:違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。このインターフェイスはエラー ディセーブル状態になります。これがデフォルトの処理です。インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、 errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、 shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
• 保護:違反の発生を防止します。インターフェイスの最大 MAC アドレス数に到達するまでアドレス学習を継続し、到達後はそのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレス以外のアドレスからの入力トラフィックをすべてドロップします。
セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合は、トラフィックを受信したインターフェイスに対して処理が適用されます。MAC の移行違反は、別のインターフェイスですでにセキュアになっている MAC を認識するポートでトリガーされます。
ポート セキュリティとポート タイプ
ポート セキュリティを設定できるのは、レイヤ 2 インターフェイスだけです。各種のインターフェイスまたはポートとポート セキュリティについて次に詳しく説明します。
• アクセス ポート:レイヤ 2 アクセス ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートでポート セキュリティが適用されるのは、アクセス VLAN だけです。
• トランク ポート:レイヤ 2 トランク ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートには、VLAN 最大数を設定しても効果はありません。デバイスが VLAN 最大数を適用するのは、トランク ポートに関連付けられた VLAN だけです。
• SPAN ポート:SPAN 送信元ポートにはポート セキュリティを設定できますが、SPAN 宛先ポートには設定できません。
アクセス ポートからトランク ポートへの変更による影響
ポート セキュリティが設定されているレイヤ 2 インターフェイスでアクセス ポートをトランク ポートに変更すると、ダイナミック方式で学習されたすべてのセキュア アドレスがドロップされます。ネイティブ トランク VLAN に接続されているデバイスは、スタティック方式またはスティッキ方式で学習したアドレスを移行します。
トランク ポートからアクセス ポートへの変更による影響
ポート セキュリティが設定されているレイヤ 2 インターフェイスでトランク ポートをアクセス ポートに変更すると、ダイナミック方式で学習されたすべてのセキュア アドレスがドロップされます。設定済みの MAC アドレスおよびスティッキ MAC アドレスは、ネイティブ トランク VLAN に存在しない場合、かつ移行先のアクセス ポートに対して設定されたアクセス VLAN とも一致しない場合は、すべてドロップされます。
注意事項および制約事項
ポート セキュリティを設定する場合、次の注意事項に従ってください。
– Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)の宛先ポート
• ポート セキュリティは 802.1X をサポートしていません。
• ポート セキュリティは、スタティック MAC がすでに存在するインターフェイスには設定できません。
• VLAN にスタティック MAC がすでに存在する場合、それが別のインターフェイスでプログラムされている場合でも、その VLAN のインターフェイスでポート セキュリティをイネーブルにすることはできません。
デフォルト設定値
表 11-1 に、ポート セキュリティ パラメータのデフォルトの設定値を示します。
|
|
|
|---|---|
ポート セキュリティの設定
• 「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」
• 「スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化」
• 「インターフェイスのスタティック セキュア MAC アドレスの追加」
• 「インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除」
• 「ポート セキュリティ違反がディセーブルなポートの回復」
レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対してポート セキュリティをイネーブルまたはディセーブルにするには、次の手順を実行します。MAC アドレスのダイナミック学習についての詳細は、「セキュア MAC アドレスの学習」を参照してください。
(注) ルーテッド インターフェイスでは、ポート セキュリティをイネーブルにできません。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。
• インターフェイスのポート セキュリティをイネーブルにすると、MAC アドレスのダイナミック学習もイネーブルになります。スティッキ方式の MAC アドレス ラーニングをイネーブルにするには、「スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化」の手順も完了する必要があります。
手順の概要
3. [ no ] switchport port-security
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
スティッキ MAC アドレス ラーニングのイネーブル化またはディセーブル化
インターフェイスのスティッキ MAC アドレス ラーニングをディセーブルまたはイネーブルにするには、次の手順を実行します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• ダイナミック MAC アドレス ラーニングがインターフェイスのデフォルトです。
• デフォルトでは、スティッキ MAC アドレス ラーニングはディセーブルです。
• ポート セキュリティが目的のインターフェイスでイネーブルになっていることを確認します。
– 設定を確認する手順については、「ポート セキュリティの設定の確認」を参照してください。
– インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。
手順の概要
3. [ no ] switchport port-security mac-address sticky
手順の詳細
|
|
|
|
|---|---|---|
[no] switchport port-security mac-address sticky n1000v(config-if)# switchport port-security mac-address sticky |
||
インターフェイスのスタティック セキュア MAC アドレスの追加
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。
• インターフェイスのセキュア MAC アドレス最大数に達しているかどうかを判断します( show port-security コマンドを使用)。
• 必要な場合は、セキュア MAC アドレスを削除できます。次のいずれかを参照してください。
– 「インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除」
• ポート セキュリティが目的のインターフェイスでイネーブルになっていることを確認します。
– 設定を確認する手順については、「ポート セキュリティの設定の確認」を参照してください。
– インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。
手順の概要
3. [ no ] switchport port-security mac-address address [ vlan vlan-ID ]
手順の詳細
インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除
レイヤ 2 インターフェイスからスタティック方式またはスティッキ方式のセキュア MAC アドレスを削除するには、次の手順を実行します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• ポート セキュリティが目的のインターフェイスでイネーブルになっていることを確認します。
– 設定を確認する手順については、「ポート セキュリティの設定の確認」を参照してください。
– インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。
手順の概要
3. no switchport port-security mac-address address [ vlan vlan-ID ]
手順の詳細
|
|
|
|
|---|---|---|
no switchport port-security mac-address address n1000v(config-if)# no switchport port-security mac-address 0019.D2D0.00AE |
||
ダイナミック セキュア MAC アドレスの削除
はじめる前に
手順の概要
2. clear port-security dynamic { interface vethernet number | address address } [ vlan vlan-ID ]
手順の詳細
MAC アドレスの最大数の設定
レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定するには、次の手順を実行します。レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。設定できる最大アドレス数は 4096 です。
(注) インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、コマンドは拒否されます。
スティッキ方式またはスタティック方式で学習されたアドレスの数を減らす場合は、「インターフェイスからのスタティックまたはスティッキ セキュア MAC アドレスの削除」を参照してください。
ダイナミック方式で学習されたアドレスをすべて削除するには、shutdown および no shutdown のコマンドを使用して、インターフェイスを再起動します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• セキュア MAC は L2 Forwarding Table(L2FT; L2 転送テーブル)を共有します。各 VLAN の転送テーブルには最大 1024 エントリを保持できます。
• デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。
• VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。
• ポート セキュリティが目的のインターフェイスでイネーブルになっていることを確認します。
– 設定を確認する手順については、「ポート セキュリティの設定の確認」を参照してください。
– インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。
手順の概要
3. [ no ] switchport port-security maximum number [ vlan vlan-ID ]
手順の詳細
アドレス エージングのタイプと期間の設定
ダイナミック方式で学習された MAC アドレスがエージング期限に到達した時期を判断するために使用される MAC アドレス エージングのタイプと期間を設定するには、次の手順を実行します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。
• ポート セキュリティが目的のインターフェイスでイネーブルになっていることを確認します。
– 設定を確認する手順については、「ポート セキュリティの設定の確認」を参照してください。
– インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。
手順の概要
3. [ no ] switchport port-security aging type { absolute | inactivity }
4. [ no ] switchport port-security aging time minutes
手順の詳細
セキュリティ違反時の処理の設定
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。
• セキュリティ違反に対する次のインターフェイスの応答を設定できます。
– protect:十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットをドロップします。
– restrict:十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットをドロップし、SecurityViolation カウンタを増分させます。
– shutdown:(デフォルト)即時にインターフェイスを errdisable ステートにして、SNMP トラップ通知を送信します。
詳細については、「セキュリティ違反と処理」を参照してください。
• ポート セキュリティが目的のインターフェイスでイネーブルになっていることを確認します。
– 設定を確認する手順については、「ポート セキュリティの設定の確認」を参照してください。
– インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。
手順の概要
3. [ no ] switchport port-security violation { protect | restrict | shutdown }
手順の詳細
ポート セキュリティ違反がディセーブルなポートの回復
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• インターフェイスを errdisable ステートから手動で回復するには、 shutdown コマンドを入力してから、 no shutdown コマンドを入力する必要があります。
• 詳細については、「セキュリティ違反と処理」を参照してください。
手順の概要
3. errdisable recovery cause psecure-violation
手順の詳細
|
|
|
|
|---|---|---|
errdisable recovery cause psecure-violation n1000v(config-if)# errdisable recovery cause psecure-violation |
||
ポート セキュリティの設定の確認
ポート セキュリティの設定情報を表示するには、次のコマンドを使用します。
|
|
|
|---|---|
このコマンドの出力結果として表示される各フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』を参照してください。
セキュア MAC アドレスの表示
セキュア MAC アドレスを表示するには、 show port-security address コマンドを使用します。このコマンドの出力結果として表示される各フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』を参照してください。
ポート セキュリティの設定例
次に、VLAN とインターフェイスのセキュア アドレス最大数が指定されている vEthernet 36 インターフェイスのポート セキュリティ設定の例を示します。この例のインターフェイスはトランク ポートです。違反時の処理は Protect(保護)に設定されています。
その他の関連資料
ポート セキュリティの実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「標準」
関連資料
|
|
|
|---|---|
『Cisco Nexus 1000V Layer 2 Switching Configuration Guide, Release 4.2(1)SV1(5.1) 』 |
|
『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』 |
標準
|
|
|
|---|---|
ポート セキュリティの機能の履歴
ここでは、ポート セキュリティ機能のリリース履歴を示します。
|
|
|
|
|---|---|---|
フィードバック