ステップ 1 | enable
例:
Device> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。
|
ステップ 2 | configureterminal
例:
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3 | interface
interface-id
例:
Device(config)# interface gigabitethernet1/0/1
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。
|
ステップ 4 | switchport mode {access | trunk}
例:
Device(config-if)# switchport mode access
|
インターフェイス スイッチポート モードを access または trunk に設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。
|
ステップ 5 | switchport voice
vlan vlan-id
例:
Device(config-if)# switchport voice vlan 22
|
ポート上で音声 VLAN をイネーブルにします。
vlan-id:音声トラフィックに使用する VLAN を指定します。
|
ステップ 6 | switchport
port-security
例:
Device(config-if)# switchport port-security
|
インターフェイス上でポート セキュリティをイネーブルにします。
(注)
|
特定の条件下では、スイッチ スタックのメンバー ポートでポート セキュリティが有効になっていると、DHCP および ARP パケットがドロップされます。これを解決するには、インターフェイスで shut と no shut を設定します。
|
|
ステップ 7 | switchport port-security
[maximum value [ {vlan-list | { | }}]]vlanaccessvoice
例:
Device(config-if)# switchport port-security maximum 20
|
(任意)インターフェイスの最大セキュア MAC アドレス数を設定します。スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。
(任意)vlan:VLAN 当たりの最大値を設定します。
vlan キーワードを入力後、次のいずれかのオプションを入力します。
-
vlan-list:トランク ポート上で、ハイフンで区切った範囲の VLAN、またはカンマで区切った一連の VLAN における、VLAN 単位の最大値を設定できます。VLAN を指定しない場合、VLAN ごとの最大値が使用されます。
-
access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。
-
voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。
(注)
|
voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの最大数を 2 に設定します。
|
|
ステップ 8 | switchport port-security
violation {protect | restrict | shutdown | shutdown vlan}
例:
Device(config-if)# switchport port-security violation restrict
|
(任意)違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかのアクションを実行します。
-
protect:ポート セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が起こっても、ユーザには通知されません。
(注)
|
トランク ポート上に保護モードを設定することは推奨できません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。
|
-
restrict:セキュア MAC アドレス数がポートで許可されている最大数に到達した場合、不明な送信元アドレスのパケットはドロップされます。セキュア MAC アドレス数を上限よりも少なくするか、許容できるアドレスの最大数を増やさない限り、この状態が続きます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
-
shutdown:違反が発生すると、インターフェイスが error-disabled になり、ポートの LED が消灯します。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
-
shutdown
vlan:VLAN 単位でセキュリティ違反モードを設定するために使用します。このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。
(注)
|
セキュア ポートが error-disabled ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力して、このステートから回復させることができます。手動で再びイネーブルにするには、shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するか、clear errdisable interface vlan 特権 EXEC コマンドを入力します。
|
|
ステップ 9 | switchport port-security
[mac-address mac-address [vlan {vlan-id | {access | voice}}]
例:
Device(config-if)# switchport port-security mac-address 00:A0:C7:12:C9:25 vlan 3 voice
|
(任意)インターフェイスのセキュア MAC アドレスを入力します。このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。
(注)
|
このコマンドの入力後にスティッキー ラーニングをイネーブルにすると、動的に学習されたセキュア アドレスがスティッキー セキュア MAC アドレスに変換されて実行コンフィギュレーションに追加されます。
|
(任意)vlan:VLAN 当たりの最大値を設定します。
vlan キーワードを入力後、次のいずれかのオプションを入力します。
-
vlan-id:トランク ポートで、VLAN ID および MAC アドレスを指定できます。VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。
-
access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。
-
voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。
(注)
|
voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの最大数を 2 に設定します。
|
|
ステップ 10 | switchport
port-security mac-address sticky
例:
Device(config-if)# switchport port-security mac-address sticky
|
(任意)インターフェイス上でスティッキ ラーニングをイネーブルにします。
|
ステップ 11 | switchport port-security
mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]
例:
Device(config-if)# switchport port-security mac-address sticky 00:A0:C7:12:C9:25 vlan voice
|
(任意)スティッキー セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。設定したセキュア MAC アドレスの数が最大数より少ない場合、残りの MAC アドレスは動的に学習されてスティッキー セキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。
(注)
|
このコマンドの入力前にスティッキー ラーニングをイネーブルにしないと、エラー メッセージが表示されてスティッキー セキュア MAC アドレスを入力できません。
|
(任意)vlan:VLAN 当たりの最大値を設定します。
vlan キーワードを入力後、次のいずれかのオプションを入力します。
-
vlan-id:トランク ポートで、VLAN ID および MAC アドレスを指定できます。VLAN ID を指定しない場合、ネイティブ VLAN が使用されます。
-
access:アクセス ポート上で、アクセス VLAN として VLAN を指定します。
-
voice:アクセス ポート上で、音声 VLAN として VLAN を指定します。
(注)
|
voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。
|
|
ステップ 12 | end
例:
Device(config)# end
|
特権 EXEC モードに戻ります。
|
ステップ 13 | show
port-security
例:
Device# show port-security
|
入力を確認します。
|
ステップ 14 | show running-config
例:
Device# show running-config
|
入力を確認します。
|
ステップ 15 | copy running-config
startup-config
例:
Device# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。
|