この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、 show コマンドを除く S で始まる Cisco NX-OS セキュリティ コマンドについて説明します(show コマンドは、 第 2 章「show コマンド」 で説明します)。
Cisco TrustSec Security Association Protocol(SAP)の動作モードを設定するには、 sap modelist コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
sap modelist { gcm-encrypt | gmac | no-encap | none }
no sap modelist { gcm-encrypt | gmac | no-encap | none }
Cisco TrustSec 802.1X コンフィギュレーション
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
次に、インターフェイスに Cisco TrustSec SAP 動作モードを設定する例を示します。
次に、インターフェイスのデフォルトの Cisco TrustSec SAP 動作モードに戻す例を示します。
|
|
---|---|
Cisco TrustSec Security Association Protocol(SAP)の Pairwise Master Key(PMK)を手動で設定するには、 sap コマンドを使用します。SAP 設定を削除するには、このコマンドの no 形式を使用します。
sap pmk [ key | use-dot1x } [ modelist { gcm-encrypt | gmac | no-encap | none }]
ピア デバイスが Cisco TrustSec 802.1X 認証または許可をサポートせず、SAP データ パス暗号化と認証をサポートするように指定します。 |
|
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
次に、インターフェイスに Cisco TrustSec SAP を手動で設定する例を示します。
次に、インターフェイスから Cisco TrustSec SAP 設定を手動で削除する例を示します。
|
|
---|---|
デバイスが別のデバイスとの鍵の交換時に鍵を送信する時間間隔を指定するには、 send-lifetime コマンドを使用します。時間間隔を削除するには、このコマンドの no 形式を使用します。
send-lifetime [ local ] start-time [ duration duration-value | infinite | end-time ]
(任意)デバイスが、設定された時間をローカル時間として扱うように指定します。デフォルトでは、デバイスは start-time 引数および end-time 引数を UTC として扱います。 |
|
|
|
デフォルトでは、デバイスはすべての時間範囲のルールを UTC として扱います。
デフォルトでは、デバイスが別のデバイスとの鍵の交換時に鍵を送信する時間間隔(送信ライフタイム)は、infinite です。つまり、鍵は期限切れになりません。
start-time 引数および end-time 引数の両方には、次の形式の時間と日付のコンポーネントが必要です。
hour [: minute [: second ]] month day year
24 時間表記で指定します。たとえば、24 時間表記では 8:00 a.m. は 8:00 で、8:00 p.m. は 20:00 です。最小の有効な start-time 値は 00:00:00 Jan 1 1970 で、最大の有効な start-time 値は 23:59:59 Dec 31 2037 です。
次に、2008 年 6 月 13 日の午前零時に開始され、2008 年 8 月 12 日の午後 11 時 59 分 59 秒に終了する送信ライフタイムを作成する例を示します。
|
|
---|---|
RADIUS サーバ グループ、TACACS+ サーバ グループ、または LDAP サーバ グループにサーバを追加するには、 server コマンドを使用します。サーバ グループからサーバを削除するには、このコマンドの no 形式を使用します。
server { ipv4-address | ipv6-address | hostname }
no server { ipv4-address | ipv6-address | hostname }
RADlUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
LDAP サーバ グループ コンフィギュレーション
|
|
RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。LDAP サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server ldap コマンドを使用します。
サーバを検索できなかった場合、 radius-server host コマンド、 tacacs-server host コマンド、または ldap-server host コマンドを使用してサーバを設定します。
(注) TACACS+ を設定する前に、feature tacacs+ コマンドを使用し、LDAP を設定する前に、feature ldap コマンドを使用する必要があります。
次に、RADIUS サーバ グループにサーバを追加する例を示します。
次に、RADIUS サーバ グループからサーバを削除する例を示します。
次に、TACACS+ サーバ グループにサーバを追加する例を示します。
次に、TACACS+ サーバ グループからサーバを削除する例を示します。
次に、LDAP サーバ グループにサーバを追加する例を示します。
次に、LDAP サーバ グループからサーバを削除する例を示します。
|
|
---|---|
DHCP リレー エージェントをイネーブルにするには、 service dhcp コマンドを使用します。DHCP リレー エージェントをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
|
|
---|---|
コントロール プレーンにコントロール プレーン ポリシー マップを付加するには、 service-policy input コマンドを使用します。コントロール プレーン ポリシー マップを削除するには、このコマンドの no 形式を使用します。
service-policy input policy-map-name
no service-policy input policy-map-name
|
|
このコマンドは、デフォルトの Virtual Device Context(VDC; 仮想デバイス コンテキスト)でだけ使用できます。
コントロール プレーンに割り当てることができるのは、1 つのコントロール プレーン ポリシー マップだけです。コントロール プレーンに新しいコントロール プレーン ポリシー マップを割り当てるには、古いコントロール プレーン ポリシー マップを削除する必要があります。
次に、コントロール プレーンにコントロール プレーン ポリシー マップを割り当てる例を示します。
次に、コントロール プレーンからコントロール プレーン ポリシー マップを削除する例を示します。
|
|
---|---|
コントロール プレーン ポリシー マップの IEEE 802.1Q Class of Service(CoS; サービス クラス)値を設定するには、 set cos コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no set cos [ inner ] cos-value
|
|
次に、コントロール プレーン ポリシー マップの CoS 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの CoS 値に戻す例を示します。
|
|
---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
コントロール プレーン ポリシー マップに IPv4 パケットおよび IPv6 パケットの Differentiated Services Code Point(DSCP; DiffServ コード ポイント)値を設定するには、 set dscp コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
set dscp [ tunnel ] { dscp-value | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef | default }
no set dscp [ tunnel ] { dscp-value | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef | default }
|
|
次に、コントロール プレーン ポリシー マップの DHCP 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの DHCP 値に戻す例を示します。
|
|
---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
コントロール プレーン ポリシー マップに IPv4 および IPv6 パケットの precedence 値を設定するには、 set precedence コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
set precedence [ tunnel ] { prec-value | critical | flash | flash-override | immediate | internet | network | priority | routine }
no set precedence [ tunnel ] { prec-value | critical | flash | flash-override | immediate | internet | network | priority | routine }
|
|
次に、コントロール プレーン ポリシー マップの CoS 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの CoS 値に戻す例を示します。
|
|
---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
特定の RADIUS サーバ グループまたは TACACS+ サーバ グループでソース インターフェイスを割り当てるには、 source-interface コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ソース インターフェイス。サポートされるインターフェイス タイプは、 ethernet 、 loopback 、および mgmt 0 です。 |
RADIUS コンフィギュレーション
TACACS+ コンフィギュレーション
|
|
ip radius source-interface コマンドまたは ip tacacs source-interface コマンドによって割り当てられたグローバル ソース インターフェイスを上書きする source-interface コマンド。
次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
Cisco NX-OS デバイス上で設定された RADIUS グループで、グローバル ソース インターフェイスを設定します。 |
|
Cisco NX-OS デバイス上で設定された TACACS+ グループで、グローバル ソース インターフェイスを設定します。 |
|
Cisco NX-OS デバイス上に Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh コマンドを使用します。
ssh [ username @ ]{ ipv4-address | hostname } [ vrf vrf-name ]
(任意)SSH セッションで使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)名を指定します。VRF 名では、大文字と小文字が区別されます。 |
|
|
Cisco NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
SSH セッションの IPv6 アドレスを使用するには、 ssh6 コマンドを使用します。
Cisco NX-OS ソフトウェアは、最大で 60 の並列の SSH セッションおよび Telnet セッションをサポートしています。
Cisco NX-OS デバイスのブート モードから、リモート デバイスへの SSH セッションを作成する予定がある場合、リモート デバイスのホスト名を取得し、リモート デバイスで SSH サーバをイネーブルにして、Cisco NX-OS にキックスタート イメージのみがロードされていることを確認する必要があります。
次に、IPv4 を使用して SSH セッションを開始する例を示します。
次に、Cisco NX-OS デバイスのブート モードから、リモート デバイスへの SSH セッションを作成する例を示します。
|
|
---|---|
Secure Copy Protocol(SCP)を使用して、Cisco NX-OS デバイスからリモート デバイスにファイルをコピーします。 |
|
仮想デバイス コンテキスト(VDC)の Secure Shell(SSH; セキュア シェル)サーバ鍵を作成するには、 ssh key コマンドを使用します。SSH サーバ鍵を削除するには、このコマンドの no 形式を使用します。
ssh key { dsa [ force ] | rsa [ length [ force ]]}
|
|
Cisco NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
SSH サーバ鍵を削除または交換する場合、 no feature ssh コマンドを使用してまず SSH サーバをディセーブルにする必要があります。
次に、DSA を使用して SSH サーバ鍵を作成する例を示します。
次に、デフォルトの鍵の長さで RSA を使用して SSH サーバ鍵を作成する例を示します。
次に、指定した鍵の長さで RSA を使用して SSH サーバ鍵を作成する例を示します。
次に、force オプションで DSA を使用して SSH サーバ鍵を交換する例を示します。
|
|
---|---|
ユーザが Secure Shell(SSH)セッションにログインを試みることができる最大回数を設定するには、 ssh login-attempts コマンドを使用します。設定をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
次に、ユーザが SSH セッションにログインを試みることができる最大回数を設定する例を示します。
次に、SSH ログイン試行設定をディセーブルにする例を示します。
|
|
---|---|
仮想デバイス コンテキスト(VDC)の Secure Shell(SSH; セキュア シェル)サーバをイネーブルにするには、 ssh server enable コマンドを使用します。SSH サーバをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|
---|---|
Cisco NX-OS デバイス上に IPv6 による Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh6 コマンドを使用します。
ssh6 [ username @ ]{ ipv6-address | hostname } [ vrf vrf-name ]
(任意)SSH セッションで使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)名を指定します。VRF 名では、大文字と小文字が区別されます。 |
|
|
Cisco NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
SSH セッションを開始するために IPv4 アドレスを使用するには、 ssh コマンドを使用します。
Cisco NX-OS ソフトウェアは、最大で 60 の並列の SSH セッションおよび Telnet セッションをサポートしています。
次に、IPv6 を使用して SSH セッションを開始する例を示します。
|
|
---|---|
IP、MAC Access Control List(ACL; アクセス コントロール リスト)、または VLAN アクセスマップ エントリの各エントリで許可または拒否されたパケット数の統計情報の記録を開始するには、 statistics per-entry コマンドを使用します。エントリ単位の統計情報の記録を停止するには、このコマンドの no 形式を使用します。
IP アクセスリスト コンフィギュレーション
IPv6 アクセスリスト コンフィギュレーション
MAC アクセスリスト コンフィギュレーション
VLAN アクセスマップ コンフィギュレーション
|
|
IPv4、IPv6、MAC ACL、または VLAN ACL がパケットに適用されるとデバイスが判別すると、ACL 内のすべてのエントリの条件に対してパケットのテストが実行されます。ACL エントリは、適用可能な permit コマンドおよび deny コマンドで設定するルールから抽出されます。最初の一致ルールは、パケットが許可または拒否されるかを判別します。 statistics per-entry コマンドを入力して、ACL の各エントリで許可または拒否されるパケット数の記録を開始します。
DHCP スヌーピング機能がイネーブルに設定されている場合、統計情報はサポートされません。
デバイスは、暗黙ルールの統計情報を記録しません。これらのルールの統計情報を記録するには、各暗黙ルールの一致するルールを明示的に設定する必要があります。暗黙ルールの詳細については、次のコマンドを参照してください。
エントリ単位の統計情報を表示するには、 show access-lists コマンドまたは適用可能な次のコマンドを使用します。
エントリ単位の統計情報を消去するには、 clear access-list counters コマンドまたは適用可能な次のコマンドを使用します。
• clear ip access-list counters
• clear ipv6 access-list counters
• clear mac access-list counters
次に、ip-acl-101 という名前の IPv4 ACL に対するエントリ単位の統計情報の記録を開始する例を示します。
次に、ip-acl-101 という名前の IPv4 ACL に対するエントリ単位の統計情報の記録を停止する例を示します。
次に、vlan-map-01 という名前の VLAN アクセス マップのエントリ 20 の ACL でエントリごとの統計情報の記録を開始する例を示します。
次に、vlan-map-01 という名前の VLAN アクセス マップのエントリ 20 の ACL でエントリごとの統計情報の記録を停止する例を示します。
|
|
---|---|
トラフィック ストーム制御の抑制レベルを設定するには、 storm-control level コマンドを使用します。抑制モードをオフにしたり、デフォルトの設定に戻したりするには、このコマンドの no 形式を使用します。
storm-control { broadcast | multicast | unicast } level percentage [ . fraction ]
no storm-control { broadcast | multicast | unicast } level
|
|
storm-control level コマンドを入力して、インターフェイス上のトラフィック ストーム制御をイネーブルにし、トラフィック ストーム制御レベルを設定し、インターフェイスでイネーブルにされているすべてのトラフィック ストーム制御モードにトラフィック ストーム制御レベルを適用します。
3 つすべての抑制モードで共有されている抑制レベルは、1 つだけです。たとえば、ブロードキャスト レベルを 30 に設定し、マルチキャスト レベルを 40 に設定する場合、両方のレベルがイネーブルにされ、40 に設定されます。
端数の抑制レベルを入力する場合、ピリオド(.)が必要になります。
抑制レベルは、合計帯域幅の割合です。100% のしきい値は、トラフィックに制限がないことを意味します。0 または 0.0(端数)パーセントのしきい値は、指定されたすべてのトラフィックがポートでブロックされることを意味します。
廃棄カウントを表示するには、 show interfaces counters broadcast コマンドを使用します。
指定したトラフィック タイプの抑制をオフにするには、次のいずれかの方式を使用します。
次に、ブロードキャスト トラフィックの抑制をイネーブルにし、抑制しきい値レベルを設定する例を示します。
次に、マルチキャスト トラフィックの抑制モードをディセーブルにする例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイスまたはレイヤ 2 ポートチャネル インターフェイスのポート セキュリティをイネーブルにするには、 switchport port-security コマンドを使用します。ポート セキュリティ設定を削除するには、このコマンドの no 形式を使用します。
|
|
デフォルトでは、インターフェイス単位でポート セキュリティがディセーブルにされています。
switchport port-security コマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとしてインターフェイスを設定する必要があります。
switchport port-security コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
レイヤ 2 ポートチャネル インターフェイスの任意のメンバー ポート上でポート セキュリティをイネーブルにする場合、デバイス上では、ポートチャネル インターフェイスのポート セキュリティをディセーブルにはできません。これを行うには、まず、ポートチャネル インターフェイスからすべてのセキュア メンバー ポートを削除します。メンバー ポートでポート セキュリティをディセーブルにしたあとで、必要に応じて、ポートチャネル インターフェイスを再度追加できます。
インターフェイスでポート セキュリティをイネーブルにすると、セキュア MAC アドレスの学習のデフォルト方式(ダイナミック方式)もイネーブルになります。スティッキ学習方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。
次に、イーサネット 2/1 インターフェイスのポート セキュリティをイネーブルにする例を示します。
次に、ポートチャネル 10 インターフェイスのポート セキュリティをイネーブルにする例を示します。
|
|
---|---|
動的に学習したセキュア MAC アドレスのエージング タイムを設定するには、 switchport port-security aging time コマンドを使用します。デフォルトのエージング タイムである 1440 分に戻すには、このコマンドの no 形式を使用します。
switchport port-security aging time minutes
no switchport port-security aging time minutes
デバイスがアドレスをドロップするまでの動的に学習されたセキュア MAC アドレスのエージング タイム。有効値は、1 ~ 1440 です。 |
|
|
switchport port-security aging time コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
次に、イーサネット 2/1 インターフェイス上に 120 分のエージング タイムを設定する例を示します。
|
|
---|---|
動的に学習したセキュア MAC アドレスのエージング タイプを設定するには、 switchport port-security aging type コマンドを使用します。デフォルトのエージング タイプ(absolute エージング)に戻すには、このコマンドの no 形式を使用します。
switchport port-security aging type { absolute | inactivity }
no switchport port-security aging type { absolute | inactivity }
動的に学習されたセキュア MAC アドレスのエージングが、デバイスがアドレスの学習を開始した時点からの時間に基づくように指定します。 |
|
動的に学習されたセキュア MAC アドレスのエージングが、デバイスが現在のインターフェイスで MAC アドレスから最後にトラフィックを受信した時点からの時間に基づくように指定します。 |
|
|
デフォルトのエージング タイプは、absolute エージングです。
switchport port-security aging type コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
次に、イーサネット 2/1 インターフェイス上に [inactivity] のエージング タイプを設定する例を示します。
|
|
---|---|
インターフェイスにスタティック セキュア MAC アドレスを設定するには、 switchport port-security mac-address コマンドを使用します。インターフェイスからスタティック セキュア MAC アドレスを削除するには、このコマンドの no 形式を使用します。
switchport port-security mac-address address [ vlan vlan-ID ]
no switchport port-security mac-address address [ vlan vlan-ID ]
(任意)MAC アドレスからのトラフィックが許可される VLAN を指定します。有効な VLAN ID は、1 ~ 4096 です。 |
|
|
デフォルトのスタティック セキュア MAC アドレスはありません。
switchport port-security mac-address コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
次に、イーサネット 2/1 インターフェイスにスタティック セキュア MAC アドレスとして 0019.D2D0.00AE を設定する例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイスまたはレイヤ 2 ポートチャネル インターフェイスのセキュア MAC アドレスを学習するスティッキ方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。スティッキ方式をディセーブルにし、ダイナミック方式に戻すには、このコマンドの no 形式を使用します。
switchport port-security mac-address sticky
no switchport port-security mac-address sticky
|
|
switchport port-security mac-address sticky コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
次に、イーサネット 2/1 インターフェイスのセキュア MAC アドレスを学習するスティッキ方式をイネーブルにする例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイスまたはレイヤ 2 ポートチャネル インターフェイスにセキュア MAC アドレスのインターフェイスまたは VLAN の最大値を設定するには、 switchport port-security maximum コマンドを使用します。ポート セキュリティ設定を削除するには、このコマンドの no 形式を使用します。
switchport port-security maximum number [ vlan vlan-ID ]
no switchport port-security maximum number [ vlan vlan-ID ]
セキュア MAC アドレスの最大数を指定します。 number 引数の有効値に関する詳細については、「使用上のガイドライン」を参照してください。 |
|
(任意)最大値が適用される VLAN を指定します。 vlan キーワードを省略する場合、最大値がインターフェイスの最大値として適用されます。 |
|
|
デフォルトのインターフェイスの最大値は、1 つのセキュア MAC アドレスです。
インターフェイスでポート セキュリティをイネーブルにすると、セキュア MAC アドレスの学習のデフォルト方式(ダイナミック方式)もイネーブルになります。スティッキ学習方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。
switchport port-security maximum コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
システム全体の、設定不可のセキュア MAC アドレスが最大 4096 あります。
アクセス ポートして使用されるインターフェイスの場合、1 つのセキュア MAC アドレスにデフォルトのインターフェイスの最大値を使用することを推奨します。
トランク ポートして使用されるインターフェイスの場合、インターフェイスに使用できる実際のホスト数を反映する数にインターフェイスの最大値を設定します。
インターフェイスの最大値、VLAN の最大値、およびデバイスの最大値
インターフェイスに設定するすべての VLAN の最大値の合計は、インターフェイスの最大値を超えません。たとえば、インターフェイスの最大値を 10 セキュア MAC アドレス、VLAN 1 に対する VLAN の 最大値 を 5 セキュア MAC アドレスでトランクポート インターフェイスを設定する場合、VLAN 2 に設定するセキュア MAC アドレスの最大数も 5 になります。VLAN 2 に対して 6 セキュア MAC アドレスの最大値を設定しようとすると、デバイスはコマンドを受け入れません。
次に、イーサネット 2/1 インターフェイス上に 10 セキュア MAC アドレスのインターフェイスの最大値を設定する例を示します。
|
|
---|---|
セキュリティ違反イベントがインターフェイス上で発生するときにデバイスが実行する処理を設定するには、 switchport port-security violation コマンドを使用します。ポート セキュリティ違反処理の設定を削除するには、このコマンドの no 形式を使用します。
switchport port-security violation { protect | restrict | shutdown }
no switchport port-security violation { protect | restrict | shutdown }
|
|
デフォルトのセキュリティ違反処理は、インターフェイスをシャットダウンすることです。
switchport port-security violation コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
次の 2 つのいずれかのイベントが発生したときにポート セキュリティはセキュリティ違反をトリガーします。
• セキュア MAC アドレス以外のアドレスから入力トラフィックがインターフェイスに着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合
VLAN とインターフェイスの両方の最大値が設定されていて、どちらかの最大数を超える場合。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。
– VLAN 1 のアドレスをすでに 5 つ学習していて、6 つめのアドレスからのインバウンド トラフィックが VLAN 1 のインターフェイスに着信した場合
– このインターフェイス上のアドレスをすでに 10 個学習していて、11 番目のアドレスからのインバウンド トラフィックがこのインターフェイスに着信した場合
• あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合
(注) あるセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同じVLAN 内の別のポート上でこのセキュア MAC アドレスが検出された場合に発生する一連のイベントを、MAC の移行違反と呼びます。
セキュリティ違反が発生すると、デバイスは、該当するインターフェイスのポート セキュリティ設定に指定されている処理を実行します。デバイスが実行できる処理は次のとおりです。
• シャットダウン:違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。インターフェイスは、errdisable 状態です。これがデフォルトの処理です。インターフェイスを再度イネーブルにしたあと、セキュア MAC アドレスを含めて、ポート セキュリティ設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再度イネーブルするように設定するには、 errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、 shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再度イネーブルにすることもできます。
• 制限:セキュア MAC アドレス以外のアドレスからの入力トラフィックをドロップします。アドレス認識は、インターフェイス上で 100 のセキュリティ違反が発生するまで継続されます。セキュリティ違反後、アドレスから最初に認識されるトラフィックはドロップされます。
100 のセキュリティ違反の発生後、デバイスは、インターフェイス上での認識をディセーブルにし、セキュアな MAC アドレス以外のアドレスからのすべての入力トラフィックをドロップします。さらに、デバイスでは、各セキュリティ違反に対して SNMP トラップが生成されます。
• 保護:さらなる違反の発生を防止します。セキュリティ違反をトリガーするアドレスは認識されますが、アドレスからのいかなるトラフィックもドロップされます。以降のアドレス認識は停止されます。
セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
次に、保護処理でセキュリティ違反イベントに応答するようにインターフェイスを設定する例を示します。
|
|
---|---|