Cisco NX-OS Security コマンド レファレンス Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: S コマンド
- sap pmk
- sap modelist
- send-lifetime
- server
- service dhcp
- service-policy input
- set cos
- set dscp
- set precedence
- ssh
- ssh key
- ssh server enable
- ssh6
- statistics per-entry
- storm-control level
- switchport port-security
- switchport port-security aging time
- switchport port-security aging type
- switchport port-security mac-address
- switchport port-security mac-address sticky
- switchport port-security maximum
- switchport port-security violation
S コマンド
この章では、 show コマンドを除く S で始まる Cisco NX-OS セキュリティ コマンドについて説明します(show コマンドは、 「show コマンド」 で説明します)。
sap pmk
Cisco TrustSec Security Association Protocol(SAP)の Pairwise Master Key(PMK)を手動で設定するには、 sap コマンドを使用します。SAP 設定を削除するには、このコマンドの no 形式を使用します。
sap pmk [ key | use-dot1x } [modelist { gcm-encrypt | gmac | no-encap | none }]
シンタックスの説明
ピア デバイスが Cisco TrustSec 802.1X 認証または許可をサポートしていないが、SAP データ パス暗号化と認証をサポートしていることを指定します。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、 shutdown / no shutdown コマンド シーケンスを使用してインターフェイスをイネーブルおよびディセーブルにして、設定を有効にする必要があります。
例
次に、インターフェイスに Cisco TrustSec SAP を手動で設定する例を示します。
次に、インターフェイスから Cisco TrustSec SAP 設定を手動で削除する例を示します。
関連コマンド
|
|
|
|---|---|
sap modelist
Cisco TrustSec Security Association Protocol(SAP)の動作モードを設定するには、 sap modelist コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
sap modelist { gcm-encrypt | gmac | no-encap | none }
no sap modelist { gcm-encrypt | gmac | no-encap | none }
シンタックスの説明
デフォルト
コマンド モード
Cisco TrustSec 802.1X コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、 shutdown / no shutdown コマンド シーケンスを使用してインターフェイスをイネーブルおよびディセーブルにして、設定を有効にする必要があります。
例
次に、インターフェイスに Cisco TrustSec SAP 動作モードを設定する例を示します。
次に、インターフェイスのデフォルトの Cisco TrustSec SAP 動作モードに戻す例を示します。
関連コマンド
|
|
|
|---|---|
send-lifetime
デバイスが別のデバイスとの鍵の交換時に鍵を送信する時間間隔を指定するには、 send-lifetime コマンドを使用します。時間間隔を削除するには、このコマンドの no 形式を使用します。
send-lifetime [local] start-time [duration duration-value | infinite | end-time ]
シンタックスの説明
(任意)デバイスがローカル時間として設定された時間を扱うことを指定します。デフォルトでは、デバイスは UTC として start-time および end-time 引数を扱います。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、デバイスはすべての時間範囲のルールを UTC として扱います。
デフォルトでは、デバイスが別のデバイスとの鍵の交換時に鍵を送信する時間間隔(送信ライフタイム)は、infinite です。つまり、鍵は期限切れになりません。
start-time および end-time 引数の両方には、次のフォーマットの時間と日付のコンポーネントが必要です。
hour [: minute [: second ]] month day year
24 時間表記で指定します。たとえば、24 時間表記では、8:00 a.m. は 8:00 で、8:00 p.m. は 20:00 です。最小の有効な start-time 値は 00:00:00 Jan 1 1970 で、最大の有効な start-time 値は 23:59:59 Dec 31 2037 です。
例
次に、2008 年 6 月 13 日の午前零時に開始し、2008 年 8 月 12 日の 11:59:59 p.m. に終了する送信ライフタイムを作成する例を示します。
関連コマンド
|
|
|
|---|---|
server
RADIUS または TACACS+ サーバ グループにサーバを追加するには、 server コマンドを使用します。サーバ グループからサーバを削除するには、このコマンドの no 形式を使用します。
server { ipv4-address | ipv6-address | hostname }
no server { ipv4-address | ipv6-address | hostname }
シンタックスの説明
デフォルト
コマンド モード
RADlUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。
サーバを検索できなかった場合、 radius-server host コマンドまたは tacacs-server host コマンドを使用してサーバを設定します。
(注) TACACS+ を設定する前に、feature tacacs+ コマンドを使用する必要があります。
例
次に、RADIUS サーバ グループにサーバを追加する例を示します。
次に、RADIUS サーバ グループからサーバを削除する例を示します。
次に、TACACS+ サーバ グループにサーバを追加する例を示します。
次に、TACACS+ サーバ グループからサーバを削除する例を示します。
関連コマンド
|
|
|
|---|---|
service dhcp
DHCP リレー エージェントをイネーブルにするには、 service dhcp コマンドを使用します。DHCP リレー エージェントをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
service-policy input
コントロール プレーンにコントロール プレーン ポリシー マップを付加するには、 service-policy input コマンドを使用します。コントロール プレーン ポリシー マップを削除するには、このコマンドの no 形式を使用します。
service-policy input policy-map-name
no service-policy input policy-map-name
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドは、デフォルトの Virtual Device Context(VDC)でのみ使用できます。
コントロール プレーンに割り当てることができるのは、1 つのコントロール プレーン ポリシー マップだけです。コントロール プレーンに新しいコントロール プレーン ポリシー マップを割り当てるには、古いコントロール プレーン ポリシー マップを削除する必要があります。
例
次に、コントロール プレーンにコントロール プレーン ポリシー マップを割り当てる例を示します。
次に、コントロール プレーンからコントロール プレーン ポリシー マップを削除する例を示します。
関連コマンド
|
|
|
|---|---|
set cos
コントロール プレーン ポリシー マップの IEEE 802.1Q Class of Service(CoS; サービス クラス)値を設定するには、 set cos コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップの CoS 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの CoS 値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
set dscp
コントロール プレーン ポリシー マップに IPv4 および IPv6 パケットの Differentiated Services Code Point(DSCP; DiffServ コード ポイント)値を設定するには、 set dscp コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
set dscp [tunnel] { dscp-value | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef | default}
no set dscp [tunnel] { dscp-value | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef | default}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップの DHCP 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの DHCP 値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
set precedence
コントロール プレーン ポリシー マップに IPv4 および IPv6 パケットの precedence 値を設定するには、 set precedence コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
set precedence [tunnel] { prec-value | critical | flash | flash-override | immediate | internet | network | priority | routine}
no set precedence [tunnel] { prec-value | critical | flash | flash-override | immediate | internet | network | priority | routine}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップの CoS 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの CoS 値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
ssh
NX-OS デバイス上に IPv4 による Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh コマンドを使用します。
ssh [ username @]{ ipv4-address | hostname } [vrf vrf-name ]
シンタックスの説明
(任意)SSH セッションで使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)名を指定します。VRF 名では、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
例
次に、IPv4 を使用して SSH セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ssh key
Virtual Device Contex(VDC)の Secure Shell(SSH; セキュア シェル)サーバ鍵を作成するには、 ssh key コマンドを使用します。SSH サーバ鍵を削除するには、このコマンドの no 形式を使用します。
ssh key {dsa [force] | rsa [ length [force]]}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
SSH サーバ鍵を削除または交換する場合、 no ssh server enable コマンドを使用してまず SSH サーバをディセーブルにする必要があります。
例
次に、DSA を使用して SSH サーバ鍵を作成する例を示します。
次に、デフォルトの鍵の長さで RSA を使用して SSH サーバ鍵を作成する例を示します。
次に、指定した鍵の長さで RSA を使用して SSH サーバ鍵を作成する例を示します。
次に、force オプションで DSA を使用して SSH サーバ鍵を交換する例を示します。
関連コマンド
|
|
|
|---|---|
ssh server enable
Virtual Device Context(VDC)の Secure Shell(SSH; セキュア シェル)サーバをイネーブルにするには、 ssh server enable コマンドを使用します。SSH サーバをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
ssh6
NX-OS デバイス上に IPv6 による Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh6 コマンドを使用します。
ssh6 [ username @]{ ipv6-address | hostname } [vrf vrf-name ]
シンタックスの説明
(任意)SSH セッションで使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)名を指定します。VRF 名では、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
例
次に、IPv6 を使用して SSH セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
statistics per-entry
IP または MAC Access Control List(ACL; アクセス コントロール リスト)の各エントリで許可または拒否されたパケット数の統計情報の記録を開始するには、 statistics per-entry コマンドを使用します。エントリ単位の統計情報の記録を停止するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
IP アクセスリスト コンフィギュレーション
IPv6 アクセスリスト コンフィギュレーション
MAC アクセスリスト コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
IPv4、IPv6、または MAC ACL がパケットに適用されるとデバイスが判別すると、ACL 内のすべてのエントリの条件に対してパケットのテストが実行されます。ACL エントリは、適用可能な permit および deny コマンドで設定するルールから抽出されます。最初の一致ルールは、パケットが許可または拒否されるかを判別します。 statistics per-entry コマンドを入力して、ACL の各エントリで許可または拒否されるパケット数の記録を開始します。
デバイスは、暗黙ルールの統計情報を記録しません。これらのルールの統計情報を記録するには、各暗黙ルールの一致するルールを明示的に設定する必要があります。暗黙ルールの詳細については、次のコマンドを参照してください。
ACL のエントリ単位の統計情報を表示するには、 show access-lists コマンドまたは適用可能な次のコマンドを使用します。
ACL のエントリ単位の統計情報を消去するには、 clear access-list counters コマンドまたは適用可能な次のコマンドを使用します。
•
clear ip access-list counters
• clear ipv6 access-list counters
例
次に、ip-acl-101 という名前の IPv4 ACL に対するエントリ単位の統計情報の記録を開始する例を示します。
次に、ip-acl-101 という名前の IPv4 ACL に対するエントリ単位の統計情報の記録を停止する例を示します。
関連コマンド
|
|
|
|---|---|
storm-control level
トラフィック ストーム制御の抑制レベルを設定するには、 storm-control level コマンドを使用します。抑制モードをオフにしたり、デフォルトの設定に戻したりするには、このコマンドの no 形式を使用します。
storm-control {broadcast | multicast | unicast} level percentage [. fraction ]
no storm-control {broadcast | multicast | unicast} level
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
storm-control level コマンドを入力して、インターフェイス上のトラフィック ストーム制御をイネーブルにし、トラフィック ストーム制御レベルを設定し、インターフェイスでイネーブルにされているすべてのトラフィック ストーム制御モードにトラフィック ストーム制御レベルを適用します。
3 つすべての抑制モードで共有されている抑制レベルは、1 つだけです。たとえば、ブロードキャスト レベルを 30 に設定し、マルチキャスト レベルを 40 に設定する場合、両方のレベルがイネーブルにされ、40 に設定されます。
端数の抑制レベルを入力する場合、ピリオド(.)が必要になります。
抑制レベルは、合計帯域幅の割合です。100% のしきい値は、トラフィックに制限がないことを意味します。0 または 0.0(端数)パーセントのしきい値は、指定されたすべてのトラフィックがポートでブロックされることを意味します。
廃棄カウントを表示するには、 show interfaces counters broadcast コマンドを使用します。
指定したトラフィック タイプの抑制をオフにするには、次のいずれかの方式を使用します。
例
次に、ブロードキャスト トラフィックの抑制をイネーブルにし、抑制しきい値レベルを設定する例を示します。
次に、マルチキャスト トラフィックの抑制モードをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security
レイヤ 2 インターフェイスのポート セキュリティをイネーブルにするには、 switchport port-security コマンドを使用します。ポート セキュリティ設定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、インターフェイス単位でポート セキュリティがディセーブルにされています。
インターフェイスでポート セキュリティをイネーブルにすると、セキュア MAC アドレスの学習のデフォルト方式(ダイナミック方式)もイネーブルになります。スティッキ学習方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。
ポートセキュリティ設定は、各 Virtual Device Context(VDC)でローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
switchport port-security コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用してインターフェイスをイネーブルにする必要があります。
例
次に、イーサネット 2/1 インターフェイスのポート セキュリティをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security aging time
動的に学習したセキュア MAC アドレスのエージング タイムを設定するには、 switchport port-security aging time コマンドを使用します。デフォルトのエージング タイムである 1440 分に戻すには、このコマンドの no 形式を使用します。
switchport port-security aging time minutes
no switchport port-security aging time minutes
シンタックスの説明
デバイスがアドレスをドロップするまでの動的に学習されたセキュア MAC アドレス のエージング タイムを指定します。有効値は、1 ~ 1440 です。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
ポート セキュリティ設定は、各 Virtual Device Context(VDC)でローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
switchport port-security aging time コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用してインターフェイスをイネーブルにする必要があります。
例
次に、イーサネット 2/1 インターフェイス上に 120 分のエージング タイムを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security aging type
動的に学習したセキュア MAC アドレスのエージング タイプを設定するには、 switchport port-security aging type コマンドを使用します。デフォルトのエージング タイプ(absolute エージング)に戻すには、このコマンドの no 形式を使用します。
switchport port-security aging type {absolute | inactivity}
no switchport port-security aging type {absolute | inactivity}
シンタックスの説明
動的に学習されたセキュア MAC アドレスのエージングが、デバイスがアドレスの学習を開始した時点からの時間に基づいていることを指定します。 |
|
動的に学習されたセキュア MAC アドレスのエージングが、デバイスが現在のインターフェイスで MAC アドレスから最後にトラフィックを受信した時点からの時間に基づいていることを指定します。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのエージング タイプは、absolute エージングです。
ポート セキュリティ設定は、各 Virtual Device Context(VDC)でローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
switchport port-security aging type コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用してインターフェイスをイネーブルにする必要があります。
例
次に、イーサネット 2/1 インターフェイス上に [inactivity] のエージング タイプを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security mac-address
インターフェイスにスタティック、セキュア MAC アドレスを設定するには、 switchport port-security mac-address コマンドを使用します。インターフェイスからスタティック、セキュア MAC アドレスを削除するには、このコマンドの no 形式を使用します。
switchport port-security mac-address address [vlan vlan-w ]
no switchport port-security mac-address address [vlan vlan-ID ]
シンタックスの説明
(任意)MAC アドレスからのトラフィックが許可される VLAN を指定します。有効な VLAN ID は、1 ~ 4096 です。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのスタティック、セキャア MAC アドレスはありません。
ポート セキュリティ設定は、各 Virtual Device Context(VDC)でローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
switchport port-security mac-address コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用してインターフェイスをイネーブルにする必要があります。
例
次に、イーサネット 2/1 インターフェイスにスタティック、セキュア MAC アドレスとして 0019.D2D0.00AE を設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security mac-address sticky
レイヤ 2 インターフェイスのセキュア MAC アドレスを学習するスティッキ方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。スティッキ方式をディセーブルにし、ダイナミック方式に戻すには、このコマンドの no 形式を使用します。
switchport port-security mac-address sticky
no switchport port-security mac-address sticky
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
ポート セキュリティ設定は、各 Virtual Device Context(VDC)でローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
switchport port-security mac-address sticky コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用してインターフェイスをイネーブルにする必要があります。
例
次に、イーサネット 2/1 インターフェイスのセキュア MAC アドレスを学習するスティッキ方式をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security maximum
レイヤ 2 インターフェイスにセキュア MAC アドレスのインターフェイスまたは VLAN の最大値を設定するには、 switchport port-security maximum コマンドを使用します。ポート セキュリティ設定を削除するには、このコマンドの no 形式を使用します。
switchport port-security maximum number [vlan vlan-ID ]
no switchport port-security maximum number [vlan vlan-ID ]
シンタックスの説明
セキュア MAC アドレスの最大数を指定します。 number 引数の有効値に関する詳細については、「使用上のガイドライン」を参照してください。 |
|
(任意)最大値が適用される VLAN を指定します。 vlan キーワードを省略する場合、最大値がインターフェイスの最大値として適用されます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのインターフェイスの最大値は、1 つのセキュア MAC アドレスです。
インターフェイスでポート セキュリティをイネーブルにすると、セキュア MAC アドレスの学習のデフォルト方式(ダイナミック方式)もイネーブルになります。スティッキ学習方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。
ポート セキュリティ設定は、各 Virtual Device Context(VDC)でローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
switchport port-security maximum コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用してインターフェイスをイネーブルにする必要があります。
システム全体の、設定不可のセキュア MAC アドレスが最大 4096 あります。
アクセス ポートして使用されるインターフェイスの場合、1 つのセキュア MAC アドレスにデフォルトのインターフェイスの最大値を使用することを推奨します。
トランク ポートして使用されるインターフェイスの場合、インターフェイスに使用できる実際のホスト数を反映する数にインターフェイスの最大値を設定します。
インターフェイスの最大値、VLAN の最大値、およびデバイスの最大値
インターフェイスに設定するすべての VLAN の最大値の合計は、インターフェイスの最大値を超えません。たとえば、インターフェイスの最大値を 10 セキュア MAC アドレス、VLAN 1 に対する VLAN の 最大値 を 5 セキュア MAC アドレスでトランクポート インターフェイスを設定する場合、VLAN 2 に設定するセキュア MAC アドレスの最大数も 5 になります。VLAN 2 に対して 6 セキュア MAC アドレスの最大値を設定しようとすると、デバイスはコマンドを受け入れません。
例
次に、イーサネット 2/1 インターフェイス上に 10 セキュア MAC アドレスのインターフェイスの最大値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security violation
セキュリティ違反イベントがインターフェイス上で発生するときにデバイスが実行する処理を設定するには、 switchport port-security violation コマンドを使用します。ポート セキュリティ違反処理の設定を削除するには、このコマンドの no 形式を使用します。
switchport port-security violation {protect | restrict | shutdown}
no switchport port-security violation {protect | restrict | shutdown}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのセキュリティ違反処理は、インターフェイスをシャットダウンすることです。
ポート セキュリティ設定は、各 Virtual Device Context(VDC)でローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
switchport port-security violation コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用してインターフェイスをイネーブルにする必要があります。
次の 2 つのいずれかのイベントが発生したときにポート セキュリティはセキュリティ違反をトリガーします。
• セキュア MAC アドレス以外のアドレスから入力トラフィックがインターフェイスに着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合
VLAN とインターフェイスの両方の最大値が設定されていて、どちらかの最大数を超える場合。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。
–VLAN 1 のアドレスをすでに 5 つ学習していて、6 つめのアドレスからのインバウンド トラフィックが VLAN 1 のインターフェイスに着信した場合
–このインターフェイス上のアドレスをすでに 10 個学習していて、11 番めのアドレスからのインバウンド トラフィックがこのインターフェイスに着信した場合
• あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合
(注) あるセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同じVLAN 内の別のポート上でこのセキュア MAC アドレスが検出された場合に発生する一連のイベントを、MAC の移行違反と呼びます。
セキュリティ違反が発生すると、デバイスは、該当するインターフェイスのポート セキュリティ設定に指定されている処理を実行します。デバイスが実行できる処理は次のとおりです。
• シャットダウン ― 違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。インターフェイスは、errdisable 状態です。これがデフォルトの処理です。インターフェイスを再度イネーブルにしたあと、セキュア MAC アドレスを含めて、ポート セキュリティ設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再度イネーブルするように設定するには、 errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、 shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再度イネーブルにすることもできます。
• 制限 ― セキュア MAC アドレス以外のアドレスからの入力トラフィックをドロップします。デバイスは、ドロップされたパケット数のカウントを維持します。
• 保護 ― 違反の発生を防止します。インターフェイスの最大 MAC アドレス数に達するまでアドレス学習を継続します。到達後はそのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレスイが以外のアドレスからの入力トラフィックをすべてドロップします。
セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
例
次に、保護処理でセキュリティ違反イベントに応答するようにインターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック