Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: S コマンド
- sap modelist
- sap pmk
- send-lifetime
- server
- service dhcp
- service-policy input
- set cos
- set dscp(ポリシー マップ クラス)
- set precedence(ポリシー マップ クラス)
- source-interface
- ssh
- ssh key
- ssh login-attempts
- ssh server enable
- ssh6
- statistics per-entry
- storm-control level
- switchport port-security
- switchport port-security aging time
- switchport port-security aging type
- switchport port-security mac-address
- switchport port-security mac-address sticky
- switchport port-security maximum
- switchport port-security violation
S コマンド
この章では、 show コマンドを除く S で始まる Cisco NX-OS セキュリティ コマンドについて説明します(show コマンドは、「show コマンド」で説明します)。
sap modelist
Cisco TrustSec Security Association Protocol(SAP)の動作モードを設定するには、 sap modelist コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
sap modelist { gcm-encrypt | gmac | no-encap | none }
no sap modelist { gcm-encrypt | gmac | no-encap | none }
構文の説明
デフォルト
コマンド モード
Cisco TrustSec 802.1X コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
例
次に、インターフェイスに Cisco TrustSec SAP 動作モードを設定する例を示します。
次に、インターフェイスのデフォルトの Cisco TrustSec SAP 動作モードに戻す例を示します。
関連コマンド
|
|
|
|---|---|
sap pmk
Cisco TrustSec Security Association Protocol(SAP)の Pairwise Master Key(PMK)を手動で設定するには、 sap pmk コマンドを使用します。SAP 設定を削除するには、このコマンドの no 形式を使用します。
sap pmk [ key | use-dot1x } [ modelist { gcm-encrypt | gmac | no-encap | none }]
構文の説明
ピア デバイスが Cisco TrustSec 802.1X 認証または許可をサポートせず、SAP データ パス暗号化と認証をサポートするように指定します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドは、F1 シリーズ モジュールおよび F2 シリーズ モジュールではサポートされません。
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
例
次に、インターフェイスに Cisco TrustSec SAP を手動で設定する例を示します。
次に、インターフェイスから Cisco TrustSec SAP 設定を手動で削除する例を示します。
関連コマンド
|
|
|
|---|---|
send-lifetime
デバイスが別のデバイスとのキーの交換時にキーを送信する時間間隔を指定するには、 send-lifetime コマンドを使用します。時間間隔を削除するには、このコマンドの no 形式を使用します。
send-lifetime [ local ] start-time [ duration duration-value | infinite | end-time ]
構文の説明
(任意)デバイスが、設定された時間をローカル時間として扱うように指定します。デフォルトでは、デバイスは start-time 引数および end-time 引数を UTC として扱います。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、デバイスはすべての時間範囲のルールを UTC として扱います。
デフォルトでは、デバイスが別のデバイスとのキーの交換時にキーを送信する時間間隔(送信ライフタイム)は、infinite です。つまり、キーは期限切れになりません。
start-time 引数および end-time 引数の両方には、次の形式の時間と日付のコンポーネントが必要です。
hour [: minute [: second ]] month day year
24 時間表記で指定します。たとえば、24 時間表記では、午前 8:00 は 8:00、午後 8:00 は 20:00 です。最小の有効な start-time 値は 00:00:00 Jan 1 1970 で、最大の有効な start-time 値は 23:59:59 Dec 31 2037 です。
例
次に、2008 年 6 月 13 日の午前零時に開始し、2008 年 8 月 12 日の 11:59:59 p.m. に終了する送信ライフタイムを作成する例を示します。
関連コマンド
|
|
|
|---|---|
server
RADIUS サーバ グループ、TACACS+ サーバ グループ、または Lightweight Directory Access Protocol(LDAP)サーバ グループにサーバを追加するには、 server コマンドを使用します。サーバ グループからサーバを削除するには、このコマンドの no 形式を使用します。
server { ipv4-address | ipv6-address | hostname }
no server { ipv4-address | ipv6-address | hostname }
構文の説明
デフォルト
コマンド モード
RADlUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
LDAP サーバ グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。LDAP サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server ldap コマンドを使用します。
サーバを検索できなかった場合、 radius-server host コマンド、 tacacs-server host コマンド、または ldap-server host コマンドを使用してサーバを設定します。
(注) TACACS+ を設定する前に、feature tacacs+ コマンドを使用し、LDAP を設定する前に、feature ldap コマンドを使用する必要があります。
例
次に、RADIUS サーバ グループにサーバを追加する例を示します。
次に、RADIUS サーバ グループからサーバを削除する例を示します。
次に、TACACS+ サーバ グループにサーバを追加する例を示します。
次に、TACACS+ サーバ グループからサーバを削除する例を示します。
次に、LDAP サーバ グループにサーバを追加する例を示します。
次に、LDAP サーバ グループからサーバを削除する例を示します。
関連コマンド
|
|
|
|---|---|
service dhcp
DHCP リレー エージェントをイネーブルにするには、 service dhcp コマンドを使用します。DHCP リレー エージェントをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
service-policy input
コントロール プレーンにコントロール プレーン ポリシー マップを付加するには、 service-policy input コマンドを使用します。コントロール プレーン ポリシー マップを削除するには、このコマンドの no 形式を使用します。
service-policy input policy-map-name
no service-policy input policy-map-name
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドはデフォルトの仮想デバイス コンテキスト(VDC)内でのみ使用できます。
コントロール プレーンに割り当てることができるのは、1 つのコントロール プレーン ポリシー マップだけです。コントロール プレーンに新しいコントロール プレーン ポリシー マップを割り当てるには、古いコントロール プレーン ポリシー マップを削除する必要があります。
例
次に、コントロール プレーンにコントロール プレーン ポリシー マップを割り当てる例を示します。
次に、コントロール プレーンからコントロール プレーン ポリシー マップを削除する例を示します。
関連コマンド
|
|
|
|---|---|
set cos
コントロール プレーン ポリシー マップの IEEE 802.1Q Class of Service(CoS; サービス クラス)値を設定するには、 set cos コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no set cos [ inner ] cos-value
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップの CoS 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの CoS 値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
set dscp(ポリシー マップ クラス)
コントロール プレーン ポリシー マップに IPv4 パケットおよび IPv6 パケットの Differentiated Services Code Point(DSCP; DiffServ コード ポイント)値を設定するには、 set dscp コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
set dscp [ tunnel ] { dscp-value | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef | default }
no set dscp [ tunnel ] { dscp-value | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef | default }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップの DHCP 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの DHCP 値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
set precedence(ポリシー マップ クラス)
コントロール プレーン ポリシー マップに IPv4 および IPv6 パケットの precedence 値を設定するには、 set precedence コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
set precedence [ tunnel ] { prec-value | critical | flash | flash-override | immediate | internet | network | priority | routine }
no set precedence [ tunnel ] { prec-value | critical | flash | flash-override | immediate | internet | network | priority | routine }
構文の説明
コントロール プレーン ポリシー マップの DSCP precedence の数値。指定できる範囲は 0 ~ 7 です。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップの CoS 値を設定する例を示します。
次に、コントロール プレーン ポリシー マップのデフォルトの CoS 値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
source-interface
特定の RADIUS サーバ グループまたは TACACS+ サーバ グループでソース インターフェイスを割り当てるには、 source-interface コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
送信元インターフェイス。サポートされるインターフェイス タイプは、 ethernet 、 loopback 、および mgmt 0 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ip radius source-interface コマンドまたは ip tacacs source-interface コマンドによって割り当てられたグローバル ソース インターフェイスを上書きする source-interface コマンド。
例
次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
Cisco NX-OS デバイス上で設定された RADIUS グループで、グローバル ソース インターフェイスを設定します。 |
|
Cisco NX-OS デバイス上で設定された TACACS+ グループで、グローバル ソース インターフェイスを設定します。 |
|
ssh
Cisco NX-OS デバイス上に Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh コマンドを使用します。
ssh [ username @ ]{ ipv4-address | hostname } [ vrf vrf-name ]
構文の説明
(任意)SSH セッションで使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)名を指定します。VRF 名では、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
SSH セッションの IPv6 アドレスを使用するには、 ssh6 コマンドを使用します。
Cisco NX-OS ソフトウェアは、最大で 60 の並列の SSH セッションおよび Telnet セッションをサポートしています。
Cisco NX-OS デバイスのブート モードから、リモート デバイスへの SSH セッションを作成する予定がある場合、リモート デバイスのホスト名を取得し、リモート デバイスで SSH サーバをイネーブルにして、Cisco NX-OS にキックスタート イメージのみがロードされていることを確認する必要があります。
例
次に、IPv4 を使用して SSH セッションを開始する例を示します。
次に、Cisco NX-OS デバイスのブート モードから、リモート デバイスへの SSH セッションを作成する例を示します。
関連コマンド
|
|
|
|---|---|
Secure Copy Protocol(SCP; セキュア コピー プロトコル)を使用して、ファイルを Cisco NX-OS デバイスからリモート デバイスへコピーします。 |
|
ssh key
仮想デバイス コンテキスト(VDC)の Secure Shell(SSH; セキュア シェル)サーバ キーを作成するには、 ssh key コマンドを使用します。SSH サーバ キーを削除するには、このコマンドの no 形式を使用します。
ssh key { dsa [ force ] | rsa [ length [ force ]]}
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
SSH サーバ キーを削除または交換する場合、 no feature ssh コマンドを使用してまず SSH サーバをディセーブルにする必要があります。
例
次に、DSA を使用して SSH サーバ キーを作成する例を示します。
次に、デフォルトのキーの長さで RSA を使用して SSH サーバ キーを作成する例を示します。
次に、指定したキーの長さで RSA を使用して SSH サーバ キーを作成する例を示します。
次に、force オプションで DSA を使用して SSH サーバ キーを交換する例を示します。
次に、すべての SSH サーバ キーを削除する例を示します。
関連コマンド
|
|
|
|---|---|
ssh login-attempts
ユーザが Secure Shell(SSH)セッションにログインを試みることができる最大回数を設定するには、 ssh login-attempts コマンドを使用します。設定をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、ユーザが SSH セッションにログインを試みることができる最大回数を設定する例を示します。
次に、SSH ログイン試行設定をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ssh server enable
仮想デバイス コンテキスト(VDC)の Secure Shell(SSH; セキュア シェル)サーバをイネーブルにするには、 ssh server enable コマンドを使用します。SSH サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
ssh6
Cisco NX-OS デバイス上に IPv6 による Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh6 コマンドを使用します。
ssh6 [ username @ ]{ ipv6-address | hostname } [ vrf vrf-name ]
構文の説明
(任意)SSH セッションで使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)名を指定します。VRF 名では、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS ソフトウェアは、SSH バージョン 2 をサポートしています。
SSH セッションを開始するために IPv4 アドレスを使用するには、 ssh コマンドを使用します。
Cisco NX-OS ソフトウェアは、最大で 60 の並列の SSH セッションおよび Telnet セッションをサポートしています。
例
次に、IPv6 を使用して SSH セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
statistics per-entry
IP、MAC Access Control List(ACL; アクセス コントロール リスト)、または VLAN アクセスマップ エントリの各エントリで許可または拒否されたパケット数の統計情報の記録を開始するには、 statistics per-entry コマンドを使用します。エントリ単位の統計情報の記録を停止するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
IP アクセス リスト コンフィギュレーション
IPv6 アクセス リスト コンフィギュレーション
MAC アクセス リスト コンフィギュレーション
VLAN アクセスマップ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
IPv4、IPv6、MAC ACL、または VLAN ACL がパケットに適用されるとデバイスが判別すると、ACL 内のすべてのエントリの条件に対してパケットのテストが実行されます。ACL エントリは、適用可能な permit コマンドおよび deny コマンドで設定するルールから抽出されます。最初に一致したルールで、そのパケットが許可されるか拒否されるかが決定されます。 statistics per-entry コマンドを入力して、ACL の各エントリで許可または拒否されるパケット数の記録を開始します。
DHCP スヌーピング機能がイネーブルに設定されている場合、統計情報はサポートされません。
デバイスは、暗黙ルールの統計情報を記録しません。これらのルールの統計情報を記録するには、各暗黙ルールの一致するルールを明示的に設定する必要があります。暗黙ルールの詳細については、次のコマンドを参照してください。
エントリ単位の統計情報を表示するには、 show access-lists コマンドまたは適用可能な次のコマンドを使用します。
エントリ単位の統計情報を消去するには、 clear access-list counters コマンドまたは適用可能な次のコマンドを使用します。
•
clear ip access-list counters
• clear ipv6 access-list counters
• clear mac access-list counters
例
次に、ip-acl-101 という名前の IPv4 ACL に対するエントリ単位の統計情報の記録を開始する例を示します。
次に、ip-acl-101 という名前の IPv4 ACL に対するエントリ単位の統計情報の記録を停止する例を示します。
次に、vlan-map-01 という名前の VLAN アクセス マップのエントリ 20 の ACL でエントリごとの統計情報の記録を開始する例を示します。
次に、vlan-map-01 という名前の VLAN アクセス マップのエントリ 20 の ACL でエントリごとの統計情報の記録を停止する例を示します。
関連コマンド
|
|
|
|---|---|
storm-control level
トラフィック ストーム制御の抑制レベルを設定するには、 storm-control level コマンドを使用します。抑制モードをオフにしたり、デフォルトの設定に戻したりするには、このコマンドの no 形式を使用します。
storm-control { broadcast | multicast | unicast } level percentage [ . fraction ]
no storm-control { broadcast | multicast | unicast } level
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
storm-control level コマンドを入力して、インターフェイス上のトラフィック ストーム制御をイネーブルにし、トラフィック ストーム制御レベルを設定し、インターフェイスでイネーブルにされているすべてのトラフィック ストーム制御モードにトラフィック ストーム制御レベルを適用します。
3 つすべての抑制モードで共有されている抑制レベルは、1 つだけです。たとえば、ブロードキャスト レベルを 30 に設定し、マルチキャスト レベルを 40 に設定する場合、両方のレベルがイネーブルにされ、40 に設定されます。
端数の抑制レベルを入力する場合、ピリオド(.)が必要になります。
抑制レベルは、合計帯域幅の割合です。100% のしきい値は、トラフィックに制限がないことを意味します。0 または 0.0(端数)% のしきい値は、指定されたすべてのトラフィックがポートでブロックされることを意味します。
廃棄カウントを表示するには、 show interfaces counters broadcast コマンドを使用します。
指定したトラフィック タイプの抑制をオフにするには、次のいずれかの方式を使用します。
例
次に、ブロードキャスト トラフィックの抑制をイネーブルにし、抑制しきい値レベルを設定する例を示します。
次に、マルチキャスト トラフィックの抑制モードをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security
レイヤ 2 イーサネット インターフェイスまたはレイヤ 2 ポートチャネル インターフェイスのポート セキュリティをイネーブルにするには、 switchport port-security コマンドを使用します。ポート セキュリティ設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、インターフェイス単位でポート セキュリティがディセーブルにされています。
switchport port-security コマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとしてインターフェイスを設定する必要があります。
switchport port-security コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
レイヤ 2 ポートチャネル インターフェイスの任意のメンバー ポート上でポート セキュリティをイネーブルにする場合、デバイス上では、ポートチャネル インターフェイスのポート セキュリティをディセーブルにはできません。これを行うには、まずすべてのセキュア メンバ ポートをポート チャネル インターフェイスから削除します。メンバ ポートのポート セキュリティをディセーブルにしたあと、必要に応じて、ポート チャネル インターフェイスに再度追加できます。
インターフェイスでポート セキュリティをイネーブルにすると、セキュア MAC アドレスの学習のデフォルト方式(ダイナミック方式)もイネーブルになります。スティッキ学習方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。
例
次に、イーサネット 2/1 インターフェイスのポート セキュリティをイネーブルにする例を示します。
次に、ポートチャネル 10 インターフェイスのポート セキュリティをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security aging time
動的に学習したセキュア MAC アドレスのエージング タイムを設定するには、 switchport port-security aging time コマンドを使用します。デフォルトのエージング タイムである 1440 分に戻すには、このコマンドの no 形式を使用します。
switchport port-security aging time minutes
no switchport port-security aging time minutes
構文の説明
デバイスがアドレスをドロップするまでの動的に学習されたセキュア MAC アドレスのエージング タイム。有効値は、1 ~ 1440 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
switchport port-security aging time コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
例
次に、イーサネット 2/1 インターフェイス上に 120 分のエージング タイムを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security aging type
動的に学習したセキュア MAC アドレスのエージング タイプを設定するには、 switchport port-security aging type コマンドを使用します。デフォルトのエージング タイプ(absolute エージング)に戻すには、このコマンドの no 形式を使用します。
switchport port-security aging type { absolute | inactivity }
no switchport port-security aging type { absolute | inactivity }
構文の説明
動的に学習されたセキュア MAC アドレスのエージングが、デバイスがアドレスの学習を開始した時点からの時間に基づくように指定します。 |
|
動的に学習されたセキュア MAC アドレスのエージングが、デバイスが現在のインターフェイスで MAC アドレスから最後にトラフィックを受信した時点からの時間に基づくように指定します。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのエージング タイプは、absolute エージングです。
switchport port-security aging type コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
例
次に、イーサネット 2/1 インターフェイス上に [inactivity] のエージング タイプを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security mac-address
インターフェイスにスタティック セキュア MAC アドレスを設定するには、 switchport port-security mac-address コマンドを使用します。インターフェイスからスタティック セキュア MAC アドレスを削除するには、このコマンドの no 形式を使用します。
switchport port-security mac-address address [ vlan vlan-ID ]
no switchport port-security mac-address address [ vlan vlan-ID ]
構文の説明
(任意)MAC アドレスからのトラフィックが許可される VLAN を指定します。有効な VLAN ID は、1 ~ 4096 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのスタティック セキュア MAC アドレスはありません。
switchport port-security mac-address コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
例
次に、イーサネット 2/1 インターフェイスにスタティック セキュア MAC アドレスとして 0019.D2D0.00AE を設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security mac-address sticky
レイヤ 2 イーサネット インターフェイスまたはレイヤ 2 ポートチャネル インターフェイスのセキュア MAC アドレスを学習するスティッキ方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。スティッキ方式をディセーブルにし、ダイナミック方式に戻すには、このコマンドの no 形式を使用します。
switchport port-security mac-address sticky
no switchport port-security mac-address sticky
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
switchport port-security mac-address sticky コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
例
次に、イーサネット 2/1 インターフェイスのセキュア MAC アドレスを学習するスティッキ方式をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security maximum
レイヤ 2 イーサネット インターフェイスまたはレイヤ 2 ポートチャネル インターフェイスにセキュア MAC アドレスのインターフェイスまたは VLAN の最大値を設定するには、 switchport port-security maximum コマンドを使用します。ポート セキュリティ設定を削除するには、このコマンドの no 形式を使用します。
switchport port-security maximum number [ vlan vlan-ID ]
no switchport port-security maximum number [ vlan vlan-ID ]
構文の説明
セキュア MAC アドレスの最大数を指定します。 number 引数の有効値に関する詳細については、「使用上のガイドライン」を参照してください。 |
|
(任意)最大値が適用される VLAN を指定します。 vlan キーワードを省略する場合、最大値がインターフェイスの最大値として適用されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのインターフェイスの最大値は、1 つのセキュア MAC アドレスです。
インターフェイスでポート セキュリティをイネーブルにすると、セキュア MAC アドレスの学習のデフォルト方式(ダイナミック方式)もイネーブルになります。スティッキ学習方式をイネーブルにするには、 switchport port-security mac-address sticky コマンドを使用します。
switchport port-security maximum コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
システム全体の、設定不可のセキュア MAC アドレスが最大 4096 あります。
アクセス ポートして使用されるインターフェイスの場合、1 つのセキュア MAC アドレスにデフォルトのインターフェイスの最大値を使用することを推奨します。
トランク ポートして使用されるインターフェイスの場合、インターフェイスに使用できる実際のホスト数を反映する数にインターフェイスの最大値を設定します。
インターフェイスの最大値、VLAN の最大値、およびデバイスの最大値
インターフェイスに設定するすべての VLAN の最大値の合計は、インターフェイスの最大値を超えません。たとえば、インターフェイスの最大値を 10 セキュア MAC アドレス、VLAN 1 に対する VLAN の最大値を 5 セキュア MAC アドレスでトランクポート インターフェイスを設定する場合、VLAN 2 に設定するセキュア MAC アドレスの最大数も 5 になります。VLAN 2 に対して 6 セキュア MAC アドレスの最大値を設定しようとすると、デバイスはコマンドを受け入れません。
例
次に、イーサネット 2/1 インターフェイス上に 10 セキュア MAC アドレスのインターフェイスの最大値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport port-security violation
セキュリティ違反イベントがインターフェイス上で発生するときにデバイスが実行する処理を設定するには、 switchport port-security violation コマンドを使用します。ポート セキュリティ違反処理の設定を削除するには、このコマンドの no 形式を使用します。
switchport port-security violation { protect | restrict | shutdown }
no switchport port-security violation { protect | restrict | shutdown }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトのセキュリティ違反処理は、インターフェイスをシャットダウンすることです。
switchport port-security violation コマンドを使用する前に、 feature port-security コマンドを使用して、ポート セキュリティをイネーブルにする必要があります。
このコマンドを使用する前に、 switchport コマンドを使用して、レイヤ 2 インターフェイスとして動作するよう、インターフェイスを設定します。
次の 2 つのイベントのいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。
• あるインターフェイスにセキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合
あるインターフェイスに VLAN とインターフェイスの両方の最大数が設定されている場合は、どちらかの最大数を超えると、違反が発生します。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。
– VLAN 1 のアドレスをすでに 5 つ学習していて、6 つめのアドレスからのインバウンド トラフィックが VLAN 1 のインターフェイスに着信した場合
– このインターフェイス上のアドレスをすでに 10 個学習していて、11 番めのアドレスからのインバウンド トラフィックがこのインターフェイスに着信した場合
• あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合
(注) 特定のセキュア ポートでセキュア MAC アドレスが設定または学習された後、同一 VLAN 上の別のポートでポート セキュリティがセキュア MAC アドレスを検出したときに発生する一連のイベントは、MAC 移動の違反と呼ばれます。
セキュリティ違反が発生すると、デバイスは、該当するインターフェイスのポート セキュリティ設定に指定されている処理を実行します。デバイスが実行できる処理は次のとおりです。
• シャットダウン:違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。このインターフェイスはエラー ディセーブル状態になります。これがデフォルトの処理です。インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。
シャットダウン後にデバイスが自動的にインターフェイスを再起動するように設定するには、 errdisable グローバル コンフィギュレーション コマンドを使用します。あるいは、 shutdown および no shut down のインターフェイス コンフィギュレーション コマンドを入力することにより、手動でインターフェイスを再起動することもできます。
• 制限:セキュア MAC アドレス以外のアドレスからの入力トラフィックをドロップします。インターフェイスで発生したセキュリティ違反の数が 100 に到達するまでアドレス学習を継続します。最初のセキュリティ違反のあとに学習されたアドレスからのトラフィックはドロップされます。
セキュリティ違反の数が 100 に到達したあとは、そのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレス以外のアドレスからの入力トラフィックをすべてドロップします。さらに、デバイスでは、各セキュリティ違反に対して SNMP トラップが生成されます。
• 保護:さらなる違反の発生を防止します。セキュリティ違反をトリガーしたアドレスは学習されますが、そのアドレスからのトラフィックはドロップされます。それ以降、アドレス学習は実行されなくなります。
セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。
例
次に、保護処理でセキュリティ違反イベントに応答するようにインターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック