API Guide
Table Of Contents
[論拠]:MAC アドレス学習制限の方式を使用すると、インターフェイス上で許可される MAC アドレスの上限値を設定できます。
MAC アドレスを制限することで、スイッチを MAC アドレス フラッディング攻撃から保護します。インターフェイス上で構成され
た制限に達すると、デフォルトでは、システムは不明なデバイスからのすべてのトラフィックをドロップします。インターフェイ
スでポート セキュリティを有効にした後、インターフェイスは、デフォルトで 1 個のセキュア MAC アドレスを学習できます。こ
の制限は、セキュア ダイナミック MAC アドレスとセキュア スタティック MAC アドレスの両方に適用されます。
[構成]:
1. CONFIGURATION モードでシステムのポート セキュリティを有効にします。
OS10(config)# switchport port-security
2. CONFIGURATION モードでインターフェイスのポート セキュリティを有効にします。
OS10(config)# switchport port-security
OS10(config)# no disable
3. インターフェイスが INTERFACE PORT SECURITY モードで学習できるセキュア MAC アドレスの数を構成します。
mac-learn {limit | no-limit}
limit キーワードでの範囲は 0~3072 です。ハードウェアでサポートされている MAC アドレスの最大数をインターフェイス
が学習できるようにするには、no-limit キーワードを使用します。
[MAC アドレス学習制限の例]
OS10# configure terminal
OS10(config)#interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# end
OS10# write memory
[MAC アドレス学習制限違反のアクションの構成]
[論拠]:セキュア MAC アドレスの数が構成された最大値に達すると、学習した MAC アドレスとは異なる送信元 MAC アドレスの
フレームをインターフェイスが受信した場合、システムは MAC アドレス学習制限の違反とみなします。
[構成]:
INTERFACE PORT SECURITY モードでは、次のコマンドを使用します。
● 違反の原因となった MAC アドレスを表示するには、log オプションを使用します。また、システムはパケットをドロップしま
す。
OS10(config-if-port-sec)#mac-learn limit violation log
● MAC アドレス学習制限の違反が発生したときにパケットをドロップするには、drop オプションを使用します。
OS10(config-if-port-sec)#mac-learn limit violation drop
● MAC アドレス学習制限の違反が発生したときにパケットを転送するには、flood オプションを使用します。システムは MAC
アドレスを学習しません。
OS10(config-if-port-sec)#mac-learn limit violation forward
● MAC アドレス学習制限違反のインターフェイスをシャット ダウンするには、shutdown オプションを使用します。
OS10(config-if-port-sec)#mac-learn limit violation shutdown
[ MAC アドレス学習制限違反のアクションの構成例]
OS10# configure terminal
OS10(config)# interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# mac-learn limit violation shutdown
OS10(config-if-port-sec)# end
OS10# write memory
10 OS10 セキュリティのベスト プラクティス