ポート セキュリティの概要
ここでは、ポート セキュリティについて説明します。
• 「ダイナミックに学習される MAC アドレスとスタティック MAC アドレスによるポート セキュリティ」
• 「sticky MAC アドレスによるポート セキュリティ」
ダイナミックに学習される MAC アドレスとスタティック MAC アドレスによるポート セキュリティ
ダイナミックに学習される MAC(メディア アクセス制御)アドレス、およびスタティック MAC アドレスを使用したポート セキュリティでは、ポートへのトラフィック送信を許可する MAC アドレスを制限できるので、入力トラフィックを制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは、定義されたアドレス グループ以外の送信元アドレスを持つ入力トラフィックを転送しません。セキュア MAC アドレスの数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されている装置はそのポートの全帯域を使用できます。
セキュリティ違反は、次のいずれかの状況で発生します。
• セキュア ポートでセキュア MAC アドレスの最大数に達したあと、入力トラフィックの送信元 MAC アドレスが、識別されたどのセキュア MAC アドレスとも異なる場合は、設定済みの違反モードが適用されます。
• あるセキュア ポートで設定または学習されたセキュア MAC アドレスを持つトラフィックが、同一 VLAN(仮想 LAN)内の別のセキュア ポートにアクセスしようとすると、ポート セキュリティはこの違反に対し、次のいずれかの方法で対応します。
–Release 12.2(18)SXF5 以降のリリースでは、設定済みの違反モードが適用されます。
–Release 12.2(18)SXF5 より前のリリースでは、シャットダウン違反モードが適用されます。
(注) あるセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同じ VLAN 内の別のポート上でこのセキュア MAC アドレスが検出された場合に発生する一連のイベントを、MAC の移行違反と呼びます。
違反モードの詳細情報については、「ポートでのポート セキュリティ違反モードの設定」を参照してください。
ポートでセキュア MAC アドレスの最大数を設定したあと、セキュア アドレスは、次のいずれかの方法でアドレス テーブルに組み込まれます。
• すべてのセキュア MAC アドレスを、 switchport port-security mac-address mac_address インターフェイス コンフィギュレーション コマンドを使用してスタティックに設定できます。
• 接続されている装置の MAC アドレスによって、ポートがセキュア MAC アドレスをダイナミックに設定するように指定できます。
• 多数のアドレスをスタティックに設定し、残りのアドレスはダイナミックに設定されるように指定できます。
ポートがリンクダウン状態になると、ダイナミックに学習されたアドレスはすべて削除されます。
ブートアップ、リロード、またはリンクダウン状態のあとは、ポートが入力トラフィックを受信するまで、ダイナミックに学習された MAC アドレスはアドレス テーブルに書き込まれません。
最大数のセキュア MAC アドレスがアドレス テーブルに追加された時点で、アドレス テーブルにはない MAC アドレスからのトラフィックをポートが受信すると、セキュリティ違反となります。
ポートには、protect、restrict、または shutdown のいずれかの違反モードを設定できます。「ポート セキュリティの設定」を参照してください。
アドレスの最大数を 1 に設定し、接続された装置の MAC アドレスを設定すると、その装置にはポートの全帯域幅が保証されます。
sticky MAC アドレスによるポート セキュリティ
Release 12.2(18)SXE 以降のリリースでは、sticky MAC アドレスによるポート セキュリティがサポートされます。sticky MAC アドレスを使用するポート セキュリティには、スタティック MAC アドレスによるポート セキュリティと同様の多数の利点がありますが、さらに、sticky MAC アドレスはダイナミックに学習できます。sticky MAC アドレスを使用したポート セキュリティでは、リンクダウン状態の発生中も、ダイナミックに学習された MAC アドレスを維持します。
sticky MAC アドレスによるポート セキュリティでは、 write memory または copy running-config startup-config コマンドを実行すると、ダイナミックに学習された MAC アドレスは startup-config ファイルに保存されます。したがって、ブートアップ後または再起動後に、ポートが入力トラフィックからアドレスを学習する必要がありません。
ポートセキュリティに関する注意事項および制約事項
ポート セキュリティを設定する場合は、次の注意事項に従ってください。
• errdisable ステートのセキュア ポートを、デフォルトのポート セキュリティ設定によって回復するには、 errdisable recovery cause shutdown グローバル コンフィギュレーション コマンドを入力します。または、 shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して、このセキュア ポートを手動で再びイネーブルに戻すこともできます。
• ダイナミックに学習されたすべてのセキュア アドレスを消去するには、 clear port-security dynamic グローバル コンフィギュレーション コマンドを入力します。構文の詳細については、『 Catalyst 6500 Series Switch Cisco IOS Command Reference 』Release 12.2SX を参照してください。
• 無許可の MAC アドレスは、特定のビット セットとともに学習されます。このビット セットにより、このアドレスから送信されるトラフィック、およびこのアドレス宛てに送信されるトラフィックはいずれも廃棄されます。 show mac-address-table コマンドを使用すると、無許可の MAC アドレスを表示できますが、ビット ステートは表示されません。(CSCeb76844)
• sticky MAC アドレスがダイナミックに学習されたあとに、このアドレスを保持して、ブートアップまたはリロード後にポートに設定されるようにするには、 write memory または copy running-config startup-config コマンドを入力して、アドレスを startup-config ファイルに保存する必要があります。
• Release 12.2(18)SXE 以降のリリースでは、ポート セキュリティではPrivate VLAN(PVLAN)ポートがサポートされます。
• Release 12.2(18)SXE より前のリリースでは、PVLAN ポートはポート セキュリティでサポートされません。
• Release 12.2(18)SXE 以降のリリースでは、ポート セキュリティでは非交渉トランクがサポートされます。
–ポート セキュリティは、次のコマンドで設定したトランクのみをサポートします。
switchport
switchport trunk encapsulation
switchport mode trunk
switchport nonegotiate
–セキュア アクセス ポートをトランクとして再設定すると、アクセス VLAN でダイナミックに学習された、このポートのすべての sticky およびスタティック セキュア アドレスが、トランクのネイティブ VLAN 上の sticky およびスタティック セキュア アドレスに変換されます。アクセス ポートの音声 VLAN では、すべてのセキュア アドレスが削除されます。
–セキュア トランクをアクセス ポートとして再設定すると、ネイティブ VLAN で学習されたすべての sticky およびスタティック アドレスは、アクセス ポートのアクセス VLAN で学習されたアドレスに変換されます。ネイティブ VLAN 以外の VLAN で学習されたすべてのアドレスは削除されます。
(注) ポート セキュリティでは、IEEE 802.1Q トランクおよび ISL(スイッチ間リンク)トランク双方に対し、switchport trunk native vlan コマンドで設定した VLAN ID が使用されます。
• Release 12.2(18)SXE より前のリリースでは、トランクはポート セキュリティでサポートされません。
• Release 12.2(18)SXE 以降のリリースでは、ポート セキュリティでは IEEE 802.1Q トンネル ポートがサポートされます。
• Release 12.2(18)SXE より前のリリースでは、IEEE 802.1Q トンネル ポートはポート セキュリティでサポートされません。
• ポート セキュリティでは、Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)宛先ポートはサポートされません。
• ポート セキュリティでは、EtherChannel のポートチャネル インターフェイスはサポートされません。
• ポート セキュリティ、および 802.1X ポート ベースの認証は、同一ポート上には設定できません。
–セキュア ポートで 802.1X ポート ベース認証をイネーブルにしようとすると、エラー メッセージが表示され、このポートで802.1X ポート ベース認証はイネーブルになりません。
–802.1X ポート ベース認証用に設定したポートでポート セキュリティをイネーブルにしようとすると、エラー メッセージが表示され、このポートでポート セキュリティはイネーブルになりません。
ポート セキュリティの設定
ここでは、ポート セキュリティを設定する手順について説明します。
• 「ポート セキュリティのイネーブル化」
• 「ポートでのポート セキュリティ違反モードの設定」
• 「ポート セキュリティのレート リミッタの設定」
• 「セキュア MAC アドレスの最大数をポートに設定」
• 「sticky MAC アドレスによるポート セキュリティのポートでのイネーブル化」
• 「スタティック セキュア MAC アドレスのポートでの設定」
• 「ポートでのセキュア MAC アドレスのエージング設定」
トランクでのポート セキュリティのイネーブル化
Release 12.2(18)SXE 以降のリリースでは、ポート セキュリティでは非交渉トランクがサポートされます。
注意 セキュア アドレス数はデフォルトで 1 であり、違反に対するデフォルト アクションはポートのシャットダウンであるため、トランクでポート セキュリティをイネーブルにする前に、このポートのセキュア MAC アドレスの最大数を設定します(
セキュア MAC アドレスの最大数をポートに設定を参照)。
トランクでポート セキュリティをイネーブルにするには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport |
ポートをレイヤ 2 スイッチポートとして設定します。 |
ステップ 3 |
Router(config-if)# switchport trunk encapsulation { isl | dot1q } |
カプセル化を設定して、レイヤ 2 スイッチング ポートを ISL または 802.1Q トランクとして設定します。 |
ステップ 4 |
Router(config-if)# switchport mode trunk |
無条件にポートをトランクに設定します。 |
ステップ 5 |
Router(config-if)# switchport nonegotiate |
DTP を使用しないようにトランクを設定します。 |
ステップ 6 |
Router(config-if)# switchport port-security |
トランクでポート セキュリティをイネーブルにします。 |
Router(config-if)# no switchport port-security |
トランクでポート セキュリティをディセーブルにします。 |
ステップ 7 |
Router(config-if)# do show port-security interface type 1 slot/port | include Port Security |
設定を確認します。 |
次の例は、ポート FastEthernet 5/36 を非交渉トランクとして設定し、ポート セキュリティをイネーブルにする方法を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/36
Router(config-if)# switchport
Router(config-if)# switchport mode trunk
Router(config-if)# switchport nonegotiate
Router(config-if)# switchport port-security
Router(config-if)# do show port-security interface fastethernet 5/36 | include Port Security
アクセス ポートでのポート セキュリティのイネーブル化
アクセス ポートでポート セキュリティをイネーブルにするには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。
(注) Release 12.2(18)SXE 以降のリリースでは、ポートをトンネル ポートまたは PVLAN ポートとして使用できます。
|
ステップ 2 |
Router(config-if)# switchport |
ポートをレイヤ 2 スイッチポートとして設定します。 |
ステップ 3 |
Router(config-if)# switchport mode access |
ポートをレイヤ 2 アクセス ポートとして設定します。
(注) デフォルト モード(dynamic desirable)のポートは、セキュア ポートとして設定できません。
|
ステップ 4 |
Router(config-if)# switchport port-security |
ポートのポート セキュリティをイネーブルにします。 |
Router(config-if)# no switchport port-security |
ポートのポート セキュリティをディセーブルにします。 |
ステップ 5 |
Router(config-if)# do show port-security interface type 1 slot/port | include Port Security |
設定を確認します。 |
次に、ポート FastEthernet 5/12 でポート セキュリティをイネーブルにする例を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport
Router(config-if)# switchport mode access
Router(config-if)# switchport port-security
Router(config-if)# do show port-security interface fastethernet 5/12 | include Port Security
ポートでのポート セキュリティ違反モードの設定
ポートでポート セキュリティの違反モードを設定するには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security violation { protect | restrict | shutdown } |
(任意)違反モード、およびセキュリティ違反が検出されたときのアクションを設定します。 |
Router(config-if)# no switchport port-security violation |
デフォルト設定( shutdown )に戻します。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include violation_mode |
設定を確認します。 |
ポート セキュリティの違反モードを設定する場合は、次の点に注意してください。
• protect ― 最大値を下回るようにセキュア MAC アドレスを削除するまで、送信元アドレスが不明なパケットを廃棄します。
• restrict ― 最大値を下回るようにセキュア MAC アドレスを削除するまで、送信元アドレスが不明なパケットを廃棄して、セキュリティ違反カウンタを増やします。
• shutdown ― インターフェイスをただちに errdisable ステートにし、SNMP トラップ通知を送信します。
(注) • errdisable ステートからセキュア ポートを回復するには、errdisable recovery cause violation_mode グローバル コンフィギュレーション コマンドを入力します。または、shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して、手動でセキュア ポートを再びイネーブルに戻すことができます。
• CPU 使用率の過度な上昇を防止するため、protect または restrict 違反モードを設定する場合は、パケット廃棄レート リミッタを設定してください(ポート セキュリティのレート リミッタの設定を参照)。
次の例では、ポート FastEthernet 5/12 のセキュリティ違反モードを protect に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security violation protect
Router(config-if)# do show port-security interface fastethernet 5/12 | include Protect
次の例では、ポート FastEthernet 5/12 のセキュリティ違反モードを restrict に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security violation restrict
Router(config-if)# do show port-security interface fastethernet 5/12 | include Restrict
Violation Mode : Restrict
ポート セキュリティのレート リミッタの設定
(注) • PFC2 はポート セキュリティ レート リミッタをサポートしていません。
• truncated スイッチング モードでは、ポート セキュリティ レート リミッタはサポートされません。
ポート セキュリティはセキュア ポートで受信されたすべてのトラフィックを調べ、違反を検出し、新たなセキュア MAC アドレスを認識します。shutdown 違反モードを設定した場合は、違反が検出されたあとはトラフィックはセキュア ポートに入力できません。この結果、違反によって CPU に過剰な負荷がかかることがありません。
protect または restrict 違反モードを設定した場合は、違反が発生したあともポート セキュリティによるトラフィック処理は続行され、その結果 CPU の負荷が高まる可能性があります。protect または restrict 違反モードを設定した場合は、過剰な負荷から CPU を保護するため、ポート セキュリティ レート リミッタを設定してください。
ポート セキュリティ レート リミッタを設定するには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# mls rate-limit layer2 port-security rate_in_pps [ burst_size ] |
ポート セキュリティ レート リミッタを設定します。 |
Router(config)# no mls rate-limit layer2 port-security |
デフォルト設定に戻します。 |
ステップ 2 |
Router(config)# do show mls rate-limit | include PORTSEC |
設定を確認します。 |
ポート セキュリティ レート リミッタを設定する場合は、次の点に注意してください。
• rate_in_pps 値に関する注意事項:
–有効値の範囲は 10 ~ 1,000,000(1000000 と入力)です。
–デフォルト値はありません。
–設定値が低いほど、CPU の保護が強化されます。レート リミッタは、セキュリティ違反の発生前と発生後の両方でトラフィックに適用されます。正規のトラフィックがポート セキュリティ機能に到達できるように、適度な高さの値を設定するようにしてください。
–1,000(1000 と入力)未満の値は、十分な保護を提供できます。
• burst_size 値に関する注意事項:
–有効値の範囲は 1 ~ 255 です。
–デフォルト値は 10 です。
–デフォルト値で、十分な保護を提供できます。
次に、ポート セキュリティ レート リミッタを設定する例を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# mls rate-limit layer2 port-security 1000
次に、設定を確認する例を示します。
Router# show mls rate-limit | include PORTSEC
LAYER_2 PORTSEC On 1000 1 Not sharing
セキュア MAC アドレスの最大数をポートに設定
セキュア MAC アドレスの最大数をポートに設定するには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security maximum number_of_addresses vlan { vlan_ID | vlan_range } |
ポートに対し、セキュア MAC アドレスの最大数を設定します(デフォルトは 1)。
(注) VLAN ごとの設定は、トランクのみでサポートされます。
|
Router(config-if)# no switchport port-security maximum |
デフォルト設定に戻します。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include Maximum |
設定を確認します。 |
セキュア MAC アドレスの最大数をポートに設定する場合は、次の点に注意してください。
• Release 12.2(18)SXE 以降のリリースでは、 number_of_addresses の有効範囲は 1 ~ 4,097 です。
• Release 12.2(18)SXE より前のリリースでは、 number_of_addresses の有効範囲は 1 ~ 1,024 です。
• Release 12.2(18)SXE 以降のリリースでは、ポート セキュリティではトランクがサポートされます。
–トランクでは、トランクおよびトランク上のすべての VLAN に対し、セキュア MAC アドレスの最大数を設定できます。
–セキュア MAC アドレスの最大数は、1 つの VLAN、または 特定の VLAN 範囲に対して設定できます。
–特定の VLAN 範囲を指定するには、一組の VLAN 番号をダッシュ(-)でつなげて指定します。
–複数の VLAN 番号をカンマで区切って入力することも、複数組の VLAN 番号をダッシュでつなげて入力することもできます。
次の例では、ポート FastEthernet 5/12 に対し、セキュア MAC アドレスの最大数を 64 に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security maximum 64
Router(config-if)# do show port-security interface fastethernet 5/12 | include Maximum
Maximum MAC Addresses : 64
sticky MAC アドレスによるポート セキュリティのポートでのイネーブル化
Release 12.2(18)SXE 以降のリリースでは、sticky MAC アドレスによるポート セキュリティがサポートされます。sticky MAC アドレスによるポート セキュリティをポートでイネーブルにするには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security mac-address sticky |
sticky MAC アドレスによるポート セキュリティをポートでイネーブルにします。 |
Router(config-if)# no switchport port-security mac-address sticky |
sticky MAC アドレスによるポート セキュリティをポートでディセーブルにします。 |
sticky MAC アドレスによるポート セキュリティをイネーブルにする場合は、次の点に注意してください。
• switchport port-security mac-address sticky コマンドを入力すると、次のようになります。
–ポートでダイナミックに学習されたすべてのセキュア MAC アドレスは、sticky セキュア MAC アドレスに変換されます。
–スタティックなセキュア MAC アドレスは、sticky MAC アドレスに変換されません。
–音声 VLAN でダイナミックに学習されたセキュア MAC アドレスは、sticky MAC アドレスに変換されません。
–ダイナミックに学習された新規のセキュア MAC アドレスは、sticky アドレスとなります。
• no switchport port-security mac-address sticky コマンドを入力すると、ポート上のすべての sticky セキュア MAC アドレスは、ダイナミックなセキュア MAC アドレスに変換されます。
• sticky MAC アドレスがダイナミックに学習されたあとに、このアドレスを保存して、ブートアップまたはリロード後にポートに設定されるようにするには、 write memory または copy running-config startup-config コマンドを入力して、アドレスを startup-config ファイルに保存する必要があります。
次の例は、sticky MAC アドレスによるポート セキュリティをポート FastEthernet 5/12 でイネーブルにします。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security mac-address sticky
スタティック セキュア MAC アドレスのポートでの設定
スタティック セキュア MAC アドレスをポートに設定するには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security mac-address [ sticky ] mac_address [ vlan vlan_ID ] |
ポートに対し、スタティック MAC アドレスをセキュア アドレスとして設定します。
(注) VLAN ごとの設定は、トランクのみでサポートされます。
|
Router(config-if)# no switchport port-security mac-address [ sticky ] mac_address |
ポートからスタティック セキュア MAC アドレスを消去します。 |
ステップ 3 |
Router(config-if)# end |
コンフィギュレーション モードを終了します。 |
ステップ 4 |
Router# show port-security address |
設定を確認します。 |
スタティック セキュア MAC アドレスをポートに設定する場合は、次の点に注意してください。
• Release 12.2(18)SXE 以降のリリースでは、sticky MAC アドレスによるポート セキュリティをイネーブルにしている場合に、sticky セキュア MAC アドレスを設定できます(sticky MAC アドレスによるポート セキュリティのポートでのイネーブル化を参照)。
• switchport port-security maximum コマンドでポートに設定するセキュア MAC アドレスの最大数により、設定可能なセキュア MAC アドレスの数が定義されます。
• 最大数より少ないセキュア MAC アドレスを設定すると、残りの MAC アドレスはダイナミックに学習されます。
• Release 12.2(18)SXE 以降のリリースでは、トランクでポート セキュリティがサポートされます。
–トランクでは、VLAN 内でスタティック セキュア MAC アドレスを設定できます。
–トランクでは、スタティック セキュア MAC アドレスに対応するように VLAN を設定していない場合、このアドレスは switchport trunk native vlan コマンドで設定した VLAN でセキュアとなります。
次に、ポート FastEthernet 5/12 で MAC アドレス 1000.2000.3000 をセキュア アドレスとして設定し、その設定を確認する例を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security mac-address 1000.2000.3000
Router# show port-security address
------------------------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa5/12
ポートでのセキュア MAC アドレスのエージング設定
absolute キーワードを使用してエージング タイプを設定すると、ダイナミックに学習されるすべてのセキュア アドレスは、エージング タイムを過ぎると期限切れとなります。 inactivity キーワードを使用してエージング タイプを設定すると、エージング タイムは、ダイナミックに学習されたすべてのセキュア アドレスが期限切れとなるまでの非アクティブ期間として定義されます。
(注) スタティック セキュア MAC アドレスおよび sticky セキュア MAC アドレスは、期限切れとなりません。
ここでは、ポートでセキュア MAC アドレスのエージングを設定する方法について説明します。
• 「ポートでのセキュア MAC アドレスのエージング タイプの設定」
• 「ポートでのセキュア MAC アドレスのエージング タイムの設定」
ポートでのセキュア MAC アドレスのエージング タイプの設定
PFC3 および Release 12.2(18)SXE 以降のリリースでは、セキュア MAC アドレスのエージング タイプをポートに設定できます。PFC2 では、セキュア MAC アドレスのエージング タイプは設定できません。PFC2 は、absolute エージングのみをサポートしています。
セキュア MAC アドレスのエージング タイプをポートに設定するには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security aging type { absolute | inactivity } |
セキュア MAC アドレスのエージング タイプをポートに設定します(デフォルトは absolute)。 |
Router(config-if)# no switchport port-security aging type |
デフォルトの MAC アドレス エージング タイプに戻します。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include Time |
設定を確認します。 |
次に、ポート FastEthernet 5/12 のエージング タイプを inactivity に設定する例を示します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security aging type inactivity
Router(config-if)# do show port-security interface fastethernet 5/12 | include Type
ポートでのセキュア MAC アドレスのエージング タイムの設定
セキュア MAC アドレスのエージング タイムをポートに設定するには、次の作業を行います。
|
|
ステップ 1 |
Router(config)# interface type slot/port |
設定する LAN ポートを選択します。 |
ステップ 2 |
Router(config-if)# switchport port-security aging time aging_time |
セキュア MAC アドレスのエージング タイムをポートに設定します。aging_time の有効範囲は 1 ~ 1440 分です(デフォルトは 0)。 |
Router(config-if)# no switchport port-security aging time |
セキュア MAC アドレスのエージング タイムをディセーブルにします。 |
ステップ 3 |
Router(config-if)# do show port-security interface type 1 slot/port | include Time |
設定を確認します。 |
次の例では、ポート FastEthernet 5/1 に対し、セキュア MAC アドレスのエージング タイムを 2 時間(120 分)に設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/1
Router(config-if)# switchport port-security aging time 120
Router(config-if)# do show port-security interface fastethernet 5/12 | include Time
ポート セキュリティ設定の表示
ポート セキュリティ設定を表示するには、次のコマンドを入力します。
|
|
Router# show port-security [ interface {{ vlan vlan_ID } | { type slot/port }}] [ address ] |
スイッチまたは指定のインターフェイスに対するポート セキュリティ設定を表示します。 |
ポート セキュリティ設定を表示する場合は、次の点に注意してください。
• ポート セキュリティでは、 vlan キーワードはトランクのみでサポートされます。
• address キーワードを使用してセキュア MAC アドレスを表示すると、各アドレスのエージング情報(スイッチに対するグローバル情報、またはインターフェイスごとの情報)が表示されます。
• 次の値が表示されます。
–各インターフェイスで許可されるセキュア MAC アドレスの最大数
–インターフェイスに設定されたセキュア MAC アドレスの数
–発生したセキュリティ違反の数
–違反モード
次に、インターフェイスを入力しない場合の show port-security コマンドの出力例を示します。
Router# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
----------------------------------------------------------------------------
----------------------------------------------------------------------------
Total Addresses in System: 21
Max Addresses limit in System: 128
次に、特定のインターフェイスに対する show port-security コマンドの出力例を示します。
Router# show port-security interface fastethernet 5/1
Maximum MAC Addresses: 11
Configured MAC Addresses: 3
SecureStatic address aging: Enabled
Security Violation count: 0
次に、show port-security address イネーブル EXEC コマンドの出力例を示します。
Router# show port-security address
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
---- ----------- ---- ----- -------------
1 0001.0001.0001 SecureDynamic Fa5/1 15 (I)
1 0001.0001.0002 SecureDynamic Fa5/1 15 (I)
1 0001.0001.1111 SecureConfigured Fa5/1 16 (I)
1 0001.0001.1112 SecureConfigured Fa5/1 -
1 0001.0001.1113 SecureConfigured Fa5/1 -
1 0005.0005.0001 SecureConfigured Fa5/5 23
1 0005.0005.0002 SecureConfigured Fa5/5 23
1 0005.0005.0003 SecureConfigured Fa5/5 23
1 0011.0011.0001 SecureConfigured Fa5/11 25 (I)
1 0011.0011.0002 SecureConfigured Fa5/11 25 (I)
-------------------------------------------------------------------
Total Addresses in System: 10
Max Addresses limit in System: 128