- はじめに
- 概要
- CLI の使用方法
- スイッチの IP アドレスおよびデフォ ルト ゲートウェイの割り当て
- IE2100 CNS エージェントの設定
- スイッチ スタックの管理
- スイッチのクラスタ設定
- スイッチの管理
- SDM テンプレートの設定
- スイッチベースの認証の設定
- IEEE 802.1x ポートベースの認証の設 定
- インターフェイス特性の設定
- SmartPort マクロの設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q およびレイヤ 2 プロトコ ル トンネリングの設定
- STP の設定
- MSTP の設定
- オプションのスパニングツリー機能の 設定
- Flex Link および MAC アドレステーブ ル移動更新機能の設定
- DHCP 機能および IP ソース ガードの 設定
- ダイナミック ARP 検査の設定
- IGMP スヌーピングおよび MVR の設 定
- ポートベースのトラフィック制御の設 定
- CDP の設定
- UDLD の設定
- SPAN および RSPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- ACL によるネットワーク セキュリティ の設定
- QoS の設定
- EtherChannel の設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティングの設 定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- HSRP の設定
- IP マルチキャスト ルーティングの設 定
- MSDP の設定
- 代替ブリッジングの設定
- トラブルシューティング
- サポートされている MIB
- Cisco IOS ファイル システム、コン フィギュレーション ファイル、および ソフトウェア イメージの操作
- Cisco IOS Release 12.2(25) SED でサ ポートされていないコマンド
- 索引
Catalyst 3750 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)SED
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: ポートベースのトラフィック制御の設 定
ポートベースのトラフィック制御の設定
この章では、Catalyst 3750スイッチにポートベースのトラフィック制御機能を設定する方法について説明します。特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
(注) この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
ストーム制御の設定
ストーム制御の概要
ストーム制御は、LAN 上のトラフィックが、いずれかの物理インターフェイスのブロードキャスト、マルチキャスト、またはユニキャストのストームによって混乱しないようにします。LAN ストームは、パケットが LAN にフラッディングした場合に発生するもので、過剰なトラフィックが生み出され、ネットワーク パフォーマンスが低下します。プロトコルスタック実装のエラー、ネットワーク設定の誤り、DoS 攻撃をするユーザは、ストームの原因となることがあります。
ストーム制御(トラフィック抑制)は、インターフェイスからスイッチング バスへ流れるパケットをモニタし、そのパケットがユニキャスト、マルチキャスト、ブロードキャストのいずれであるかを判別します。スイッチは 1 秒のタイム インターバル内で受信した指定されたタイプのパケット数をカウントして、事前定義されている抑制レベルのスレッシュホールドとその測定値を比較します。
ストーム制御では、トラフィック アクティビティの測定に次のいずれかの方式を使用します。
•
ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックで使用できるポートの使用可能な帯域幅の合計に対する割合で表される帯域幅
• ブロードキャスト、マルチキャスト、またはユニキャスト パケットを受信する際のパケット/秒で表されるトラフィック レート(Cisco IOS Release 12.2(25)SE 以降)
• ブロードキャスト、マルチキャスト、またはユニキャスト パケットを受信する際のビット/秒で表されるトラフィック レート(Cisco IOS Release 12.2(25)SE 以降)
上限スレッシュホールドに達すると、ポートが各方式を使用してトラフィックをブロックします。トラフィック レートが下限スレッシュホールド(指定されている場合)を下回るまでポートはブロックされたままとなり、その後、通常の転送を開始します。下限スレッシュホールド レベルが指定されていない場合、トラフィック レートが上限スレッシュホールド レベルを下回るまで、スイッチはすべてのトラフィックをブロックします。通常、レベルが上がるほどブロードキャスト ストームに対する保護効率は下がります。
(注) マルチキャスト トラフィックのストーム制御スレッシュホールドに達すると、Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)や Cisco Discovery Protocol(CDP)フレームなどの制御トラフィックを除いて、すべてのマルチキャスト トラフィックがブロックされます。ただし、スイッチでは Open Shortest Path First(OSPF)などのルーティング アップデートと、正規のマルチキャスト データ トラフィックは区別されないため、両方のトラフィック タイプがブロックされます。
図25-1のグラフは、一定時間におけるインターフェイス上のブロードキャスト トラフィック パターンを示しています。この例は、マルチキャストおよびユニキャスト トラフィックにも適用できます。この例では、転送されているブロードキャスト トラフィックが、タイム インターバル T1 ~ T2 間および T4 ~ T5 間で設定されたスレッシュホールドを上回っています。特定のトラフィックの量がスレッシュホールドを上回ると、そのタイプのすべてのトラフィックは次の一定時間にわたり、廃棄されます。したがって、ブロードキャスト トラフィックは T2 および T5 のあとのインターバルではブロックされています。次のタイム インターバル(たとえば T3)では、ブロードキャスト トラフィックがスレッシュホールドを上回らなければ、再度転送されます。
ストーム制御抑制レベルと 1 秒のタイム インターバルの組み合わせにより、ストーム制御アルゴリズムの動作が制御されます。スレッシュホールドが高いほど、通過できるパケットが多くなります。スレッシュホールドの値が 100% であれば、トラフィックに対する制限はありません。値が 0.0 であれば、ポートのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがすべてブロックされます。
(注) パケットは均一の間隔で着信するわけではないため、トラフィック アクティビティを測定する 1 秒のタイム インターバルを設けることによって、ストーム制御の動作に影響を与える可能性があります。
各トラフィック タイプのスレッシュホールドの値を設定するには、 storm-control インターフェイス コンフィギュレーション コマンドを使用します。
ストーム制御のデフォルト設定
デフォルトでは、スイッチ インターフェイスでユニキャスト、ブロードキャスト、およびマルチキャスト ストーム制御はディセーブルです(抑制レベルは 100% です)。
ストーム制御およびスレッシュホールド レベルの設定
ポートにストーム制御を設定して、特定のトラフィック タイプで使用するスレッシュホールド レベルを入力します。
ただし、ハードウェアの制約や、さまざまなサイズのパケットがカウントされる動作のため、スレッシュホールドの割合には誤差が生じます。着信トラフィックを構成するパケットのサイズによっては、実際に強制されるスレッシュホールドは、数パーセント程度、設定されたレベルと異なる場合があります。
(注) ストーム制御がサポートされるのは物理インターフェイスに限られます。EtherChannel ポート チャネル、またはポート チャネルのメンバーの物理インターフェイスでは、CLI(コマンドライン インターフェイス)でコマンドが利用できても、サポートはされません。ストーム制御が設定されている物理インターフェイスが EtherChannel に参加する場合、物理インターフェイスのストーム制御コンフィギュレーションは実行コンフィギュレーションから削除されます。
ストーム制御およびスレッシュホールド レベルを設定するには、イネーブル EXEC モードで次の手順を実行します。
ストーム制御をディセーブルにするには、 no storm-control { broadcast | multicast | unicast } level インターフェイス コンフィギュレーション コマンドを使用します。
次に、87% の上限抑制レベルと 65% の下限抑制レベルを使用してポート上でユニキャスト ストーム制御をイネーブルにする例を示します。
次の例は、ポートのブロードキャスト アドレス ストーム制御を 20 パーセントのレベルでイネーブルにする方法を示しています。ブロードキャスト トラフィックが、トラフィック ストーム制御インターバルでポートの使用可能帯域幅全体の 20 パーセントという設定レベルを超えると、トラフィック ストーム制御インターバルが終了するまでスイッチはすべてのブロードキャスト トラフィックを廃棄します。
保護ポートの設定
一部のアプリケーションでは、同一スイッチ上のポート間でトラフィックがレイヤ 2 で転送されないようにすることにより、あるネイバによって生成されたトラフィックを別のネイバが認識しないようにする必要があります。このような環境では、保護ポートを使用すれば、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換は行われません。
• 保護ポートは、他の保護ポートにいかなるトラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)も転送しません。レイヤ 2 では、保護ポート間でデータ トラフィックを転送できません。これらのパケットが CPU によって処理されソフトウェアで転送されるため、PIM パケットなどの制御トラフィックのみが転送されます。保護ポート間を流れるすべてのトラフィックは、レイヤ 3 デバイスを経由して転送する必要があります。
• 保護ポートと非保護ポート間の転送動作は、通常どおり行われます。
スイッチ スタックは単一の論理スイッチを表すため、スイッチ スタック内の保護ポート間では、これらのポートがスタック内の同じスイッチ上にあるか、異なるスイッチ上にあるかに関係なく、レイヤ 2 トラフィックは転送されません。
保護ポートのデフォルト設定
保護ポートの設定時の注意事項
保護ポートは、物理インターフェイス(ギガビット イーサネット ポート 1 など)または EtherChannel グループ(ポート チャネル 5 など)のいずれにも設定できます。特定のポート チャネルについて保護ポートをイネーブルにすると、ポート チャネル グループ内の全ポートで保護ポートがイネーブルになります。
保護ポートとして、プライベート VLAN を設定しないでください。プライベート VLAN として、保護ポートを設定しないでください。プライベート VLAN 隔離ポートは、トラフィックを他の隔離ポートまたはコミュニティ ポートに転送しません。プライベート VLAN の詳細については、 第 16 章「プライベート VLAN の設定」 を参照してください。
保護ポートの設定
ポートを保護ポートとして定義するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
保護ポートをディセーブルにするには、 no switchport protected インターフェイス コンフィギュレーション コマンドを使用します。
ポート ブロッキングの設定
デフォルトでは、宛先 MAC(メディア アクセス制御)アドレスが不明のパケットは、すべてのポートからフラッディングされます。不明のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上の問題が発生することがあります。不明のユニキャストまたはマルチキャスト トラフィックがポート間で転送されないようにするため、不明のユニキャストまたはマルチキャスト パケットが他のポートにフラッディングされないようにポート(保護ポートまたは非保護ポート)をブロックできます。
• 「インターフェイスでのフラッディング トラフィックのブロック」
ポート ブロッキングのデフォルト設定
デフォルトでは、ポートから送信される不明のマルチキャストおよびユニキャスト トラフィックのフラッディングはブロックされません。これらのトラフィックは、すべてのポートにフラッディングされます。
インターフェイスでのフラッディング トラフィックのブロック
(注) インターフェイスは物理インターフェイスまたは EtherChannel グループに設定できます。特定のポート チャネルのマルチキャストまたはユニキャスト トラフィックをブロックすると、ポート チャネル グループのすべてのポートでブロックされます。
インターフェイスから送信されるマルチキャストおよびユニキャスト パケットのフラッディングをディセーブルにするには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
トラフィックがブロックされず、ポート上で標準転送が行われるデフォルト状態にインターフェイスを戻すには、 no switchport block { multicast | unicast }インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートでユニキャストおよびマルチキャスト フラッディングをブロックする例を示します。
ポート セキュリティの設定
ポート セキュリティ機能を使用すると、ポートへのアクセスが許可されたステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは、定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュア MAC アドレスを 1 つに制限し、1 つだけ割り当てると、そのポートに接続されたワークステーションでは、ポートの全帯域幅が保証されます。
セキュア ポートとして設定されたポートのセキュア MAC アドレスが最大数に達した場合に、ポートにアクセスしようとするステーションの MAC アドレスが、識別されたどのセキュア MAC アドレスとも異なるときは、セキュリティ違反が発生します。また、あるセキュア ポートで設定または学習されたセキュア MAC アドレスを持つステーションが別のセキュア ポートにアクセスしようとすると、違反のフラグが立てられます。
• 「ポート セキュリティ エージングのイネーブル化と設定」
ポート セキュリティの概要
セキュア MAC アドレス
1 つのポートで許可されるセキュア アドレスの最大数を設定するには、 switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。
(注) インターフェイスにすでに設定されているセキュア アドレス数よりも小さい値を最大値に設定しようとすると、コマンドは拒否されます。
スイッチは、次のタイプのセキュア MAC アドレスをサポートします。
• スタティック セキュア MAC アドレス ― switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定されます。これらはアドレス テーブルに格納され、スイッチの実行コンフィギュレーションに追加されます。
• ダイナミック セキュア MAC アドレス ― 動的に設定されます。これらはアドレス テーブルにのみ格納され、スイッチが再起動するときに削除されます。
• 固定 セキュア MAC アドレス ― 動的に学習されるか、または手動で設定されます。これらはアドレス テーブルに格納され、実行コンフィギュレーションに追加されます。これらのアドレスがコンフィギュレーション ファイルに保存されている場合は、スイッチを再起動するときに、インターフェイスがアドレスを動的に再設定する必要はありません。
固定学習 をイネーブルにすると、ダイナミック MAC アドレスを固定セキュア MAC アドレスに変換し、それらを実行コンフィギュレーションに追加するように、インターフェイスを設定できます。固定学習をイネーブルにするには、 switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはすべてのダイナミック セキュア MAC アドレス(固定学習がイネーブルになる前に動的に学習されたアドレスを含む)を、固定セキュア MAC アドレスに変換します。すべての固定セキュア MAC アドレスが、実行コンフィギュレーションに追加されます。
固定セキュア MAC アドレスは、コンフィギュレーション ファイル(スイッチの再起動時に使用されるスタートアップ コンフィギュレーション)に、自動的には格納されません。コンフィギュレーション ファイルに固定セキュア MAC アドレスが保存されている場合は、スイッチを再起動するときに、インターフェイスはこれらのアドレスを再学習する必要がありません。固定セキュア アドレスは、保存しないと失われます。
固定学習がディセーブルの場合、固定セキュア MAC アドレスはダイナミック セキュア アドレスに変換されて、実行コンフィギュレーションから削除されます。
スイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、アクティブな Switch Database Management(SDM)テンプレートによって設定されます。 第 8 章「SDM テンプレートの設定」 を参照してください。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数です。
セキュリティ違反
セキュリティ違反とは、次のいずれかの状況が発生したときです。
• セキュア MAC アドレスが最大数までアドレス テーブルに追加され、アドレス テーブルにない MAC アドレスを持つステーションが、インターフェイスにアクセスしようとした場合
• あるセキュア インターフェイスで学習または設定されたアドレスが、同一 VLAN(仮想 LAN)内の別のセキュア インターフェイスで認識された場合
違反発生時の対処方法に関して、次の 3 つの違反モードのいずれかにインターフェイスを設定できます。
• protect ― セキュア MAC アドレスの数がポートに許容された最大限度に達した場合、十分な数のセキュア MAC アドレスを削除して最大限度以下にするか、またはアドレスの最大許容数を増やすまで、不明の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反が起こっても、ユーザには通知されません。
(注) トランク ポートには protect 違反モードを設定しないでください。保護モードを使用すると、ポートが最大限度に達していない場合でも、VLAN が最大限度に達したときに、学習がディセーブルになります。
• restrict ― セキュア MAC アドレスの数がポートに許容された最大限度に達した場合、十分な数のセキュア MAC アドレスを削除して最大限度以下にするか、またはアドレスの最大許容数を増やすまで、不明の送信元アドレスを持つパケットは廃棄されます。このモードでは、セキュリティ違反が起こった場合、ユーザに通知されます。SNMP トラップが送信され、Syslog メッセージが記録されて、違反カウンタが増加します。
• shutdown ― ポート セキュリティ違反が発生すると、インターフェイスは errdisable ステートになって、ただちにシャットダウンし、ポート LED が消灯します。SNMP トラップが送信され、Syslog メッセージが記録されて、違反カウンタが増加します。セキュア ポートが errdisable ステートになった場合は、 errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを変更できます。また、 shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力することにより、ポートを手動でイネーブルに戻すこともできます。デフォルトはこのモードに設定されています。
表25-1 に、違反モード、およびポート セキュリティのインターフェイスを設定した場合の動作を示します。
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
ポート セキュリティのデフォルト設定
表25-2 に、インターフェイスに対するポート セキュリティのデフォルト設定を示します。
|
|
|
|---|---|
ポート セキュリティ設定時の注意事項
ポート セキュリティの設定時は、次の注意事項に従ってください。
• ポート セキュリティを設定できるのは、スタティック アクセス ポートまたはトランク ポートに限られます。セキュア ポートはダイナミック アクセス ポートにできません。
• セキュア ポートは、Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)の宛先ポートにできません。
• セキュア ポートは、Fast EtherChannelや Gigabit EtherChannel ポート グループに属すことができません。
(注) 音声 VLAN がサポートされるのは、アクセス ポートのみです。設定で許可されている場合でも、トランク ポートではサポートされません。
• セキュア ポートはプライベート VLAN ポートにはできません。
• インターフェイス上でポート セキュリティをイネーブルにし、さらに音声 VLAN を使用するようにも設定する場合は、ポートで許可されるセキュア アドレスの最大数を、アクセス VLAN で許可されているセキュア アドレスの最大数に 2 を加えた値に設定する必要があります。ポートが Cisco IP Phone に接続されている場合は、IP Phone に MAC アドレスが最大で 2 つ必要です。IP Phone アドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上で学習される場合もあります。PC を IP Phone に接続するには、さらに MAC アドレスが必要になります。
• インターフェイスのセキュア アドレスの最大値として入力した値が古い値よりも大きい場合は、新しい値が古い設定値を上書きします。新しい値が古い値よりも小さく、インターフェイスに設定されたセキュア アドレス数が新しい値を超えている場合、コマンドは拒否されます。
• スイッチでは、固定セキュア MAC アドレスのポート セキュリティ エージングをサポートしません。
表25-3 に、ポート セキュリティと他のポートベース機能との互換性について示します。
|
|
|
|---|---|
ダイナミックアクセス ポート5 |
|
音声 VLAN ポート6 |
|
ポート セキュリティのイネーブル化と設定
ポートへのアクセスが許可されたステーションの MAC アドレスを制限および識別する方法でインターフェイスへの入力を制限するには、イネーブル EXEC モードで次の手順を実行します。
インターフェイスをデフォルトの非セキュア ポートに戻すには、 no switchport port-security インターフェイス コンフィギュレーション コマンドを使用します。固定学習がイネーブルの場合にこのコマンドを入力すると、固定学習アドレスは実行コンフィギュレーション内に残りますが、アドレス テーブルからは削除されます。ここで、すべてのアドレスが動的に学習されます。
インターフェイスのセキュア MAC アドレス数をデフォルトに戻すには、 no switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。違反モードをデフォルトの shutdown モードに戻すには、 no switchport port-security violation { protocol | restrict }インターフェイス コンフィギュレーション コマンドを使用します。
インターフェイス上で固定学習をディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを実行します。インターフェイスは固定セキュア MAC アドレスをダイナミック セキュア アドレスに変換します。ただし、固定 MAC アドレスを含む設定がすでに保存されている場合は、 no switchport port-security mac-address sticky コマンドを入力したあとに再び設定を保存する必要があります。保存しない場合スイッチを再起動すると固定アドレスが復元されます。
MAC アドレス テーブルからセキュアなアドレスをすべて削除したり、スイッチまたはインターフェイス上の特定のタイプ(設定済み、ダイナミック、または固定)のセキュア アドレスをすべて削除したりするには、clear port-security { all | configured | dynamic | sticky }イネーブル EXEC コマンドを使用します 。
アドレス テーブルから特定のセキュア MAC アドレスを削除するには、 no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用します。アドレス テーブルから特定のインターフェイス上のすべてのダイナミック セキュア アドレスを削除するには、 no switchport port-security インターフェイス コンフィギュレーション コマンドのあとに、 switchport port-security コマンドを入力して、インターフェイスのポート セキュリティをイネーブルに戻します。 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用して、固定セキュア MAC アドレスをダイナミック セキュア MAC アドレスに変換してから、 no switchport port-security コマンドを入力すると、手動で設定されたセキュア アドレスを除き、インターフェイス上のすべてのセキュア アドレスが削除されます。
no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、アドレス テーブルから設定済みのセキュア MAC アドレスを削除する必要があります。
次に、ポートでポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 50 に設定する例を示します。違反モードはデフォルト設定、スタティック セキュア MAC アドレスは設定なし、固定学習はイネーブルにします。
次に、スタティック セキュア MAC アドレスをポートの VLAN 3 に設定する例を示します。
次に、固定ポート セキュリティをポートでイネーブルにし、データ VLAN と音声 VLAN に MAC アドレスを手動設定し、セキュア アドレスの最大総数を 20(データ VLAN に 10、音声 VLAN に 10)に設定する例を示しています。
ポート セキュリティ エージングのイネーブル化と設定
ポート セキュリティ エージングを使用すると、ポート上の全セキュア アドレスにエージング タイムを設定できます。ポートごとに 2 種類のエージングがサポートされています。
• absolute ― ポートのセキュア アドレスは、指定のエージング タイムの経過後、削除されます。
• inactivity ― ポートのセキュア アドレスが削除されるのは、指定したエージング タイムの間、そのセキュア アドレスが非アクティブであった場合だけです。
この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュア ポートでデバイスの削除や追加を実行でき、しかもポートのセキュア アドレスの数を制限できます。また、セキュア アドレスのエージングをポート単位でイネーブルまたはディセーブルに設定できます。
ポート セキュリティのエージング タイムを設定するには、イネーブル EXEC モードで次の手順を実行します。
ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。スタティックに設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートのセキュア アドレスのエージング タイムを 2 時間に設定する例を示します。
次に、このインターフェイスに設定されたセキュア アドレスのエージングをイネーブルにし、エージング タイプを inactivity に、エージング タイムを 2 分に設定する例を示します。
設定したコマンドを確認するには、 show port-security interface interface-id イネーブル EXEC コマンドを入力します。
ポート セキュリティおよびスイッチ スタック
スタックに新規に加入したスイッチは、設定済みのセキュア アドレスを取得します。他のスタック メンバーから新しいスタック メンバーに、ダイナミック セキュア アドレスがすべてダウンロードされます。
スイッチ(スタック マスターまたはスタック メンバーのいずれか)がスタックから脱退すると、残りのスタック メンバーに通知されて、そのスイッチによって設定または学習されたセキュア MAC アドレスがセキュア MAC アドレス テーブルから削除されます。スイッチ スタックの詳細については、 第 5 章「スイッチ スタックの管理」 を参照してください。
ポートベースのトラフィック制御設定の表示
show interfaces interface-id switchport イネーブル EXEC コマンドを使用すると、(各種の特性とともに)インターフェイスのトラフィック抑制および制御の設定が表示されます。 show storm-control および show port-security イネーブル EXEC コマンドを使用すると、それぞれストーム制御とポート セキュリティ設定が表示されます。
トラフィック制御情報を表示するには、 表25-4 に示すイネーブル EXEC コマンドを 1 つまたは複数使用します。
フィードバック