ポートベースのトラフィック制御の概要
ポート ベースのトラフィック制御は、特定トラフィック状態に応じてポート レベルでパケットをフィルタまたはブロックするために使用する Cisco Catalyst スイッチ上のレイヤ 2 機能の組み合わせです。次のポート ベースのトラフィック制御機能が、このガイドの記述対象の Cisco IOS リリースでサポートされます。
-
ストーム制御
-
保護ポート
-
ポート ブロッキング
-
ポート セキュリティ
-
プロトコル ストーム プロテクション
ストーム制御に関する情報
ストーム制御
ストーム制御は、物理インターフェイスの 1 つで発生したブロードキャスト、マルチキャスト、またはユニキャスト ストームによって LAN 上のトラフィックが混乱することを防ぎます。LAN ストームは、LAN にパケットがフラッディングした場合に発生します。その結果、トラフィックが極端に増えてネットワーク パフォーマンスが低下します。プロトコルスタックの実装エラー、ネットワーク構成の間違い、またはユーザによって引き起こされる DoS 攻撃もストームの原因になります。
ストーム コントロール(またはトラフィック抑制)は、インターフェイスからスイッチング バスを通過するパケットをモニタし、パケットがユニキャスト、マルチキャスト、またはブロードキャストのいずれであるかを判別します。スイッチは、1 秒間に受け取った特定のタイプのパケットの数をカウントして、事前に定義された抑制レベルのしきい値とその測定結果を比較します。
トラフィック アクティビティの測定方法
ストーム制御は、次のうちのいずれかをトラフィック アクティビティの測定方法に使用します。
-
帯域幅(ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックが使用できるポートの総帯域幅の割合)。
-
秒単位で受信するパケット(ブロードキャスト、マルチキャスト、またはユニキャスト)のトラフィック レート
-
秒単位で受信するビット(ブロードキャスト、マルチキャスト、またはユニキャスト)のトラフィック レート
-
小さいフレームのトラフィック レートの秒単位のパケット数。この機能は、グローバルにイネーブルです。小さいフレームのしきい値は、各インターフェイスで設定されます。
上記の方法のいずれを使用しても、しきい値に到達すると、ポートはトラフィックをブロックします。トラフィック レートが下限しきい値(指定されている場合)を下回らない限り、ポートはブロックされたままになり、その後、通常の転送が再開されます。下限抑制レベルが指定されていない場合、トラフィック レートが上限抑制レベルを下回らない限り、スイッチはすべてのトラフィックをブロックします。一般に、そのレベルが高ければ高いほど、ブロードキャスト ストームに対する保護効果は薄くなります。
(注) |
マルチキャスト トラフィックのストーム制御しきい値に達した場合、ブリッジ プロトコル データ ユニット(BPDU)および Cisco Discovery Protocol(CDP)フレームなどの制御トラフィック以外のマルチキャスト トラフィックはすべてブロックされます。ただし、スイッチでは Open Shortest Path First(OSPF)などのルーティング アップデートと、正規のマルチキャスト データ トラフィックは区別されないため、両方のトラフィック タイプがブロックされます。 |
トラフィック パターン
T1 から T2、T4 から T5 のタイム インターバルで、転送するブロードキャスト トラフィックが設定されたしきい値を上回っています。指定のトラフィック量がしきい値を上回ると、次のインターバルで、そのタイプのトラフィックがすべてドロップされます。したがって、T2 と T5 の後のインターバルの間、ブロードキャスト トラフィックがブロックされます。その次のインターバル(たとえば、T3)では、しきい値を上回らない限り、ブロードキャスト トラフィックが再び転送されます。
ストーム制御抑制レベルと 1 秒間のインターバルを組み合わせて、ストーム制御アルゴリズムの動作を制御します。しきい値が高いほど、通過できるパケット数が多くなります。しきい値が 100% であれば、トラフィックに対する制限はありません。値を 0.0 にすると、そのポート上ではすべてのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがブロックされます。
(注) |
パケットは一定の間隔で届くわけではないので、トラフィック アクティビティを測定する 1 秒間のインターバルがストーム制御の動作を左右する可能性があります。 |
各トラフィック タイプのしきい値を設定するには、storm-control インターフェイス コンフィギュレーション コマンドを使用します。
ストーム制御の設定方法
ストーム制御およびしきい値レベルの設定
ポートにストーム制御を設定し、特定のトラフィック タイプで使用するしきい値レベルを入力します。
ただし、ハードウェアの制約とともに、さまざまなサイズのパケットをどのように数えるかという問題があるので、しきい値の割合はあくまでも近似値です。着信トラフィックを形成するパケットのサイズによって、実際に適用されるしきい値は設定されたレベルに対して、数 % の差異が生じる可能性があります。
(注) |
ストーム制御は、物理インターフェイスでサポートされています。また、EtherChannel でもストーム制御を設定できます。ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。 |
ストーム制御としきい値レベルを設定するには、次の手順を実行します。
始める前に
ストーム制御は、物理インターフェイスでサポートされています。また、EtherChannel でもストーム制御を設定できます。ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
storm-control {broadcast | multicast | unicast } level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]} 例:
|
ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御を設定します。デフォルトでは、ストーム制御はディセーブルに設定されています。 キーワードの意味は次のとおりです。
BPS および PPS の設定には、しきい値の数値を大きく設定できるように、サフィックスに測定記号(k、m、g など)を使用できます。 |
ステップ 5 |
storm-control action {shutdown | trap } 例:
|
ストーム検出時に実行するアクションを指定します。デフォルトではトラフィックにフィルタリングを実行し、トラップは送信しない設定です。
|
ステップ 6 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
show storm-control [interface-id] [broadcast | multicast | unicast ] 例:
|
指定したトラフィック タイプについて、インターフェイスで設定したストーム制御抑制レベルを確認します。トラフィック タイプを入力しない場合は、すべてのトラフィック タイプ(ブロードキャスト、マルチキャスト、ユニキャスト)の詳細が表示されます。 |
ステップ 8 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
スモール フレーム到着レートの設定
67 バイト未満の着信 VLAN タグ付きパケットは、小さいフレームと見なされます。このパケットはスイッチにより転送されますが、スイッチ ストーム制御カウンタを増加させません。
スイッチ上の小さいフレームの着信機能をグローバルにイネーブルにして、各インターフェイスのパケットの小さいフレームのしきい値を設定します。最小サイズよりも小さく、指定されたレート(しきい値)で着信するパケットは、ポートがディセーブルにされた後はドロップされます。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
errdisable detect cause small-frame 例:
|
スイッチ上の小さいフレームの着信レート機能をイネーブルにします。 |
ステップ 4 |
errdisable recovery interval 間隔 例:
|
(任意)指定された errdisable ステートから回復する時間を指定します。 |
ステップ 5 |
errdisable recovery cause small-frame 例:
|
(任意)小さいフレームの着信によりポートが errdisable になった後、そのポートを自動的に再イネーブルにするリカバリ時間を設定します。 ストーム制御は、物理インターフェイスでサポートされています。また、EtherChannel でもストーム制御を設定できます。ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。 |
ステップ 6 |
interface interface-id 例:
|
インターフェイス コンフィギュレーション モードを開始し、設定するインターフェイスを指定します。 |
ステップ 7 |
small-frame violation-rate pps 例:
|
インターフェイスが着信パケットをドロップしてポートを errdisable にするようにしきい値レートを設定します。範囲は、1 ~ 10,000 パケット/秒(pps)です。 |
ステップ 8 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 9 |
show interfaces interface-id 例:
|
設定を確認します。 |
ステップ 10 |
show running-config 例:
|
入力を確認します。 |
ステップ 11 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
保護ポートに関する情報
保護ポート
アプリケーションによっては、あるネイバーが生成したトラフィックが別のネイバーにわからないように、同一スイッチ上のポート間でレイヤ 2 トラフィックが転送されないように設定する必要があります。このような環境では、保護ポートを使用すると、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換が確実になくなります。
保護ポートには、次の機能があります。
-
保護ポートは、同様に保護ポートになっている他のポートに対して、ユニキャスト、マルチキャスト、またはブロードキャスト トラフィックを転送しません。データ トラフィックはレイヤ 2 の保護ポート間で転送されません。PIM パケットなどは CPU で処理されてソフトウェアで転送されるため、このような制御トラフィックだけが転送されます。保護ポート間を通過するすべてのデータ トラフィックは、レイヤ 3 デバイスを介して転送されなければなりません。
-
保護ポートと非保護ポート間の転送動作は、通常どおりに進みます。
スイッチ スタックは論理的には 1 つのスイッチを表しているため、レイヤ 2 トラフィックは、スタック内の同一スイッチか異なるスイッチかにかかわらず、スイッチ スタックの保護ポート間では転送されません。
保護ポートのデフォルト設定
デフォルトでは、保護ポートは定義されません。
保護ポートのガイドライン
保護ポートは、物理インターフェイス(GigabitEthernet ポート 1 など)または EtherChannel グループ(port-channel 5 など)に設定できます。ポート チャネルで保護ポートをイネーブルにした場合は、そのポート チャネル グループ内のすべてのポートでイネーブルになります。
保護ポートの設定方法
保護ポートの設定
始める前に
保護ポートは事前定義されていません。これは設定する必要があるタスクです。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
switchport protected 例:
|
インターフェイスを保護ポートとして設定します。 |
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 6 |
show interfaces interface-idswitchport 例:
|
入力を確認します。 |
ステップ 7 |
show running-config 例:
|
入力を確認します。 |
ステップ 8 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
保護ポートの監視
コマンド |
目的 |
---|---|
show interfaces [interface-id] switchport |
すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングおよびポート保護の設定を含めて表示します。 |
ポート ブロッキングに関する情報
ポート ブロッキング
デフォルトでは、スイッチは未知の宛先 MAC アドレスが指定されたパケットをすべてのポートからフラッディングします。未知のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上、問題になる可能性があります。未知のユニキャストおよびマルチキャスト トラフィックがあるポートから別のポートに転送されないようにするために、(保護または非保護)ポートをブロックし、未知のユニキャストまたはマルチキャスト パケットが他のポートにフラッディングされないようにします。
(注) |
マルチキャスト トラフィックでは、ポート ブロッキング機能は純粋なレイヤ 2 パケットだけをブロックします。ヘッダーに IPv4 または IPv6 の情報を含むマルチキャスト パケットはブロックされません。 |
ポート ブロッキングの設定方法
インターフェイスでのフラッディング トラフィックのブロッキング
始める前に
インターフェイスは物理インターフェイスまたは EtherChannel グループのいずれも可能です。ポート チャネルのマルチキャストまたはユニキャスト トラフィックをブロックすると、ポート チャネル グループのすべてのポートでブロックされます。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
switchport block multicast 例:
|
ポートからの未知のマルチキャストの転送をブロックします。 |
ステップ 5 |
switchport block unicast 例:
|
ポートからの未知のユニキャストの転送をブロックします。 |
ステップ 6 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
show interfaces interface-idswitchport 例:
|
入力を確認します。 |
ステップ 8 |
show running-config 例:
|
入力を確認します。 |
ステップ 9 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ポート ブロッキングの監視
コマンド |
目的 |
---|---|
show interfaces [interface-id] switchport |
すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングおよびポート保護の設定を含めて表示します。 |
ポート セキュリティの前提条件
(注) |
最大値をインターフェイス上ですでに設定されているセキュア アドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。 |
ポート セキュリティの制約事項
スイッチに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。
ポート セキュリティの概要
ポート セキュリティ
ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュア MAC アドレス数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されたワークステーションに、ポートの帯域幅全体が保証されます。
セキュア ポートとしてポートを設定し、セキュア MAC アドレスが最大数に達した場合、ポートにアクセスを試みるステーションの MAC アドレスが識別されたセキュア MAC アドレスのいずれとも一致しないので、セキュリティ違反が発生します。また、あるセキュア ポート上でセキュア MAC アドレスが設定または学習されているステーションが、別のセキュア ポートにアクセスしようとしたときにも、違反のフラグが立てられます。
セキュア MAC アドレスのタイプ
スイッチは、次のセキュア MAC アドレス タイプをサポートします。
-
スタティック セキュア MAC アドレス:switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定され、アドレス テーブルに保存されたのち、スイッチの実行コンフィギュレーションに追加されます。
-
ダイナミック セキュア MAC アドレス:動的に設定されてアドレス テーブルにのみ保存され、スイッチの再起動時に削除されます。
-
スティッキー セキュア MAC アドレス:動的に学習することも、手動で設定することもできます。アドレス テーブルに保存され、実行コンフィギュレーションに追加されます。このアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時にインターフェイスはこれらを動的に再設定する必要がありません。
スティッキ セキュア MAC アドレス
スティッキー ラーニングをイネーブルにすると、ダイナミック MAC アドレスをスティッキー セキュア MAC アドレスに変換して実行コンフィギュレーションに追加するようにインターフェイスを設定できます。インターフェイスはスティッキ ラーニングがイネーブルになる前に学習したものを含め、すべてのダイナミック セキュア MAC アドレスをスティッキー セキュア MAC アドレスに変換します。すべてのスティッキー セキュア MAC アドレスは実行コンフィギュレーションに追加されます。
スティッキー セキュア MAC アドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。スティッキー セキュア MAC アドレスをコンフィギュレーション ファイルに保存すると、スイッチの再起動時にインターフェイスはこれらを再び学習する必要がありません。スティッキ セキュア アドレスを保存しない場合、アドレスは失われます。
スティッキ ラーニングがディセーブルの場合、スティッキ セキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。
セキュリティ違反
次のいずれかの状況が発生すると、セキュリティ違反になります。
-
最大数のセキュア MAC アドレスがアドレス テーブルに追加されている状態で、アドレス テーブルに未登録の MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合。
-
あるセキュア インターフェイスで学習または設定されたアドレスが、同一 VLAN 内の別のセキュア インターフェイスで使用された場合。
違反が発生した場合の対処に基づいて、次の 3 種類の違反モードのいずれかにインターフェイスを設定できます。
-
protect(保護):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が起こっても、ユーザには通知されません。
(注)
トランク ポートに protect 違反モードを設定することは推奨しません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。
-
restrict(制限):セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュア MAC アドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットはドロップされます。このモードでは、セキュリティ違反が発生したことが通知されます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
-
shutdown(シャットダウン):ポート セキュリティ違反により、インターフェイスが error-disabled になり、ただちにシャットダウンされます。そのあと、ポートの LED が消灯します。セキュア ポートが error-disabled ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除するか、shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにできます。これはデフォルト モードです。
-
shutdown vlan(VLAN シャットダウン):VLAN 単位でセキュリティ違反モードを設定するために使用します。このモードで違反が発生すると、ポート全体ではなく、VLAN が errdisable になります。
次の表に、ポート セキュリティをインターフェイスに設定した場合の違反モードおよび対処について示します。
違反モード |
トラフィックの転送 1 |
SNMP トラップの送信 |
Syslog メッセージの送信 |
エラー メッセージの表示 2 |
違反カウンタの増加 |
ポートのシャットダウン |
---|---|---|---|---|---|---|
protect |
[いいえ(No)] |
[いいえ(No)] |
[いいえ(No)] |
[いいえ(No)] |
[いいえ(No)] |
[いいえ(No)] |
restrict |
なし |
○ |
○ |
[いいえ(No)] |
[はい(Yes)] |
[いいえ(No)] |
shutdown |
[いいえ(No)] |
[いいえ(No)] |
[いいえ(No)] |
[いいえ(No)] |
○ |
○ |
shutdown vlan |
[いいえ(No)] |
[いいえ(No)] |
[はい(Yes)] |
[いいえ(No)] |
[はい(Yes)] |
[いいえ(No)] 3 |
ポート セキュリティ エージング
ポート上のすべてのセキュア アドレスにエージング タイムを設定するには、ポート セキュリティ エージングを使用します。ポートごとに 2 つのタイプのエージングがサポートされています。
-
absolute:指定されたエージング タイムの経過後に、ポート上のセキュア アドレスが削除されます。
-
inactivity:指定されたエージング タイムの間、セキュア アドレスが非アクティブであった場合に限り、ポート上のセキュア アドレスが削除されます。
ポート セキュリティとスイッチ スタック
スタックに新規に加入したスイッチは、設定済みのセキュア アドレスを取得します。他のスタック メンバーから新しいスタック メンバーに、ダイナミック セキュア アドレスがすべてダウンロードされます。
スイッチ(アクティブ スイッチまたはスタック メンバのいずれか)がスタックから離れると、その他のスタック メンバに通知が行き、そのスイッチが設定または学習したセキュア MAC アドレスがセキュア MAC アドレス テーブルから削除されます。
デフォルトのポート セキュリティ設定
機能 |
デフォルト設定 |
---|---|
ポート セキュリティ |
ポート上でディセーブル |
スティッキー アドレス ラーニング |
ディセーブル。 |
ポートあたりのセキュア MAC アドレスの最大数 |
1. |
違反モード |
shutdown。セキュア MAC アドレスが最大数を上回ると、ポートがシャットダウンします。 |
ポート セキュリティ エージング |
ディセーブル。エージング タイムは 0 スタティック エージングはディセーブル タイプは absolute |
ポート セキュリティの設定時の注意事項
-
ポート セキュリティを設定できるのは、スタティック アクセス ポートまたはトランク ポートに限られます。セキュア ポートをダイナミック アクセス ポートにすることはできません。
-
セキュア ポートをスイッチド ポート アナライザ(SPAN)の宛先ポートにすることはできません。
-
(注)
音声 VLAN はアクセス ポートでのみサポートされており、設定可能であってもトランク ポートではサポートされていません。
-
音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。複数の PC を Cisco IP Phone に接続する場合、各 PC と IP Phone に 1 つずつ使用できるように、十分な数のセキュア アドレスを設定する必要があります。
-
トランク ポートがポート セキュリティで設定され、データ トラフィックのアクセス VLAN および音声トラフィックのアクセス VLAN に割り当てられている場合は、switchport voice および switchport priority extend インターフェイス コンフィギュレーション コマンドを入力しても効果はありません。
接続装置が同じ MAC アドレスを使用してアクセス VLAN の IP アドレス、音声 VLAN の IP アドレスの順に要求すると、アクセス VLAN だけが IP アドレスに割り当てられます。
-
インターフェイスの最大セキュア アドレス値を入力したときに、新しい値がそれまでの値より大きいと、それまで設定されていた値が新しい値によって上書きされます。新しい値が前回の値より小さく、インターフェイスで設定されているセキュア アドレス数が新しい値より大きい場合、コマンドは拒否されます。
-
スイッチはスティッキ セキュア MAC アドレスのポート セキュリティ エージングをサポートしていません。
次の表に、他のポートベース機能と互換性のあるポート セキュリティについてまとめます。
ポート タイプまたはポートの機能 |
ポート セキュリティとの互換性 |
---|---|
なし |
|
トランク ポート |
○ |
ダイナミックアクセス ポート6 |
なし |
ルーテッド ポート |
なし |
SPAN 送信元ポート |
○ |
SPAN 宛先ポート |
なし |
EtherChannel |
○ |
トンネリング ポート |
○ |
保護ポート |
○ |
IEEE 802.1x ポート |
○ |
音声 VLAN ポート7 |
○ |
IP ソース ガード |
○ |
ダイナミック アドレス解決プロトコル(ARP)インスペクション |
○ |
Flex Link |
○ |
ポートベースのトラフィック制御の概要
ポート ベースのトラフィック制御は、特定トラフィック状態に応じてポート レベルでパケットをフィルタまたはブロックするために使用する Cisco Catalyst スイッチ上のレイヤ 2 機能の組み合わせです。次のポート ベースのトラフィック制御機能が、このガイドの記述対象の Cisco IOS リリースでサポートされます。
-
ストーム制御
-
保護ポート
-
ポート ブロッキング
-
ポート セキュリティ
-
プロトコル ストーム プロテクション
ポート セキュリティの設定方法
ポート セキュリティのイネーブル化および設定
始める前に
このタスクは、ポートにアクセスできるステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制約します。
手順
コマンドまたはアクション | 目的 | |||||
---|---|---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。 |
||||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||||
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||||
ステップ 4 |
switchport mode {access | trunk } 例:
|
インターフェイス スイッチポート モードを access または trunk に設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。 |
||||
ステップ 5 |
switchport voice vlan vlan-id 例:
|
ポート上で音声 VLAN をイネーブルにします。 vlan-id:音声トラフィックに使用する VLAN を指定します。 |
||||
ステップ 6 |
switchport port-security 例:
|
インターフェイス上でポート セキュリティをイネーブルにします。
|
||||
ステップ 7 |
switchport port-security [maximum value [ {vlan-list | { | }}]]vlan access voice 例:
|
(任意)インターフェイスの最大セキュア MAC アドレス数を設定します。スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この値は、使用可能な MAC アドレス(その他のレイヤ 2 機能やインターフェイスに設定されたその他のセキュア MAC アドレスで使用される MAC アドレスを含む)の総数を表します。 (任意)vlan :VLAN 当たりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 8 |
switchport port-security violation {protect | restrict | shutdown | shutdown vlan } 例:
|
(任意)違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかのアクションを実行します。
|
||||
ステップ 9 |
switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice }}] 例:
|
(任意)インターフェイスのセキュア MAC アドレスを入力します。このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。
(任意)vlan :VLAN 当たりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 10 |
switchport port-security mac-address sticky 例:
|
(任意)インターフェイス上でスティッキ ラーニングをイネーブルにします。 |
||||
ステップ 11 |
switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice }}] 例:
|
(任意)スティッキー セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。設定したセキュア MAC アドレスの数が最大数より少ない場合、残りの MAC アドレスは動的に学習されてスティッキー セキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。
(任意)vlan :VLAN 当たりの最大値を設定します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。
|
||||
ステップ 12 |
end 例:
|
特権 EXEC モードに戻ります。 |
||||
ステップ 13 |
show port-security 例:
|
入力を確認します。 |
||||
ステップ 14 |
show running-config 例:
|
入力を確認します。 |
||||
ステップ 15 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ポート セキュリティ エージングのイネーブル化および設定
この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュア ポート上のデバイスを削除および追加し、なおかつポート上のセキュア アドレス数を制限できます。セキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。
手順
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。 |
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
interface interface-id 例:
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 4 |
switchport port-security aging {static | time time | type {absolute | inactivity }} 例:
|
セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。またはエージング タイムやタイプを設定します。
このポートに、スタティックに設定されたセキュア アドレスのエージングをイネーブルにする場合は、static を入力します。 time には、このポートのエージング タイムを指定します。有効な範囲は 0 ~ 1440 分です。 type には、次のキーワードのいずれか 1 つを選択します。
|
||
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
||
ステップ 6 |
show port-security [interface interface-id] [address ] 例:
|
入力を確認します。 |
||
ステップ 7 |
show running-config 例:
|
入力を確認します。 |
||
ステップ 8 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ポート セキュリティの設定例
次に、ポート上でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 50 に設定する例を示します。違反モードはデフォルトです。スタティック セキュア MAC アドレスは設定せず、スティッキー ラーニングはイネーブルです。
Device(config)# interface gigabitethernet1/0/1
Device(config-if)# switchport mode access
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 50
Device(config-if)# switchport port-security mac-address sticky
次に、ポートの VLAN 3 上にスタティック セキュア MAC アドレスを設定する例を示します。
Device(config)# interface gigabitethernet1/0/2
Device(config-if)# switchport mode trunk
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security mac-address 0000.0200.0004 vlan 3
次に、ポートのスティッキー ポート セキュリティをイネーブルにする例を示します。データ VLAN および音声 VLAN の MAC アドレスを手動で設定し、セキュア アドレスの総数を 20 に設定します(データ VLAN に 10、音声 VLAN に 10 を割り当てます)。
Device(config)# interface tengigabitethernet1/0/1
Device(config-if)# switchport access vlan 21
Device(config-if)# switchport mode access
Device(config-if)# switchport voice vlan 22
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 20
Device(config-if)# switchport port-security violation restrict
Device(config-if)# switchport port-security mac-address sticky
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0002
Device(config-if)# switchport port-security mac-address 0000.0000.0003
Device(config-if)# switchport port-security mac-address sticky 0000.0000.0001 vlan voice
Device(config-if)# switchport port-security mac-address 0000.0000.0004 vlan voice
Device(config-if)# switchport port-security maximum 10 vlan access
Device(config-if)# switchport port-security maximum 10 vlan voice
プロトコル ストーム プロテクションに関する情報
プロトコル ストーム プロテクション
スイッチがアドレス解決プロトコル(ARP)または制御パケットでフラッドされると、CPU の高い使用率により CPU のオーバーロードが発生する可能性があります。これらの問題は、次のように発生します。
-
プロトコル制御パケットが受信されず、ネイバーの隣接がドロップされるため、ルーティング プロトコルがフラップする場合があります。
-
スパニングツリー プロトコル(STP)ブリッジ プロトコル データ ユニット(BPDU)が送受信されないため、STP が再収束します。
-
CLI が遅くなるか応答しなくなります。
プロトコル ストーム プロテクションを使用すると、パケットのフロー レートの上限しきい値を指定して、制御パケットが送信されるレートを制御できます。サポートされるプロトコルは、ARP、ARP スヌーピング、Dynamic Host Configuration Protocol(DHCP)v4、DHCP スヌーピング、インターネット グループ管理プロトコル(IGMP)、および IGMP スヌーピングです。
パケットのレートが定義されたしきい値を超えると、スイッチは指定されたポートに着信したすべてのトラフィックを 30 秒間ドロップします。パケット レートが再度計測され、必要な場合はプロトコル ストーム プロテクションが再度適用されます。
より強力な保護が必要な場合は、仮想ポートを手動で errdisable にし、その仮想ポートのすべての着信トラフィックをブロックできます。また、手動で仮想ポートをイネーブルにしたり、仮想ポートの自動再イネーブル化の時間間隔を設定することもできます。
(注) |
超過したパケットは、2 つ以下の仮想ポートにおいてドロップされます。 仮想ポートのエラー ディセーブル化は、EtherChannel インターフェイスと Flexlink インターフェイスではサポートされません。 |
デフォルトのプロトコル ストーム プロテクションの設定
プロトコル ストーム プロテクションはデフォルトでディセーブルです。これがイネーブルになると、仮想ポートの自動リカバリがデフォルトでディセーブルになります。
プロトコル ストーム プロテクションの設定方法
プロトコル ストーム プロテクションのイネーブル化
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
psp {arp | dhcp | igmp } pps value 例:
|
ARP、IGMP、または DHCP に対してプロトコル ストーム プロテクションを設定します。 value には、1 秒あたりのパケット数のしきい値を指定します。トラフィックがこの値を超えると、プロトコル ストーム プロテクションが適用されます。範囲は毎秒 5 ~ 50 パケットです。 |
ステップ 4 |
errdisable detect cause psp 例:
|
(任意)プロトコル ストーム プロテクションの errdisable 検出をイネーブルにします。この機能がイネーブルになると、仮想ポートが errdisable になります。この機能がディセーブルになると、そのポートは、ポートを errdisable にせずに超過したパケットをドロップします。 |
ステップ 5 |
errdisable recovery interval 時刻 例:
|
(任意)errdisable の仮想ポートの自動リカバリ時間を秒単位で設定します。仮想ポートが errdisable の場合、この時間を過ぎるとスイッチは自動的にリカバリします。範囲は 30 ~ 86400 秒です。 |
ステップ 6 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
show psp config {arp | dhcp | igmp } 例:
|
入力を確認します。 |
プロトコル ストーム プロテクションのモニタリング
コマンド | 目的 |
---|---|
show psp config {arp | dhcp | igmp } | 入力内容を確認します。 |
ポートベースのトラフィック制御に関するその他の関連資料
MIB
MIB | MIB リンク |
---|---|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
テクニカル サポート
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Product Alert Tool(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
ポートベースのトラフィック制御の機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよび Cisco ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
ポートベースのトラフィック制御 |
Cisco IOS XE Everest 16.5.1a |
ポート ベースのトラフィック制御は、特定トラフィック状態に応じてポート レベルでパケットをフィルタまたはブロックするために使用する Cisco Catalyst スイッチ上のレイヤ 2 機能の組み合わせです。 この機能は、次のプラットフォームに実装されていました。
|