API Guide
Table Of Contents
[スティッキー MAC アドレスの構成]
[論拠]:システムを再ロードすると、ポート セキュリティは動的に学習したセキュア MAC アドレスを削除します。スティッキー
機能を使用して、動的に学習したセキュア MAC アドレスをシステムの再起動後も保持できます。これにより、インターフェイス
がこれらの MAC アドレスを再び学習する必要がなくなります。
[構成]:
INTERFACE PORT SECURITY モードで、次のコマンドを入力します。
sticky
メモ: スティッキー MAC アドレスの学習を有効にする前に、インターフェイスが mac-learn limit コマンドを使用して学
習できる MAC アドレスの数を制限するようにしてください。
[ スティッキー MAC アドレスの構成例]
OS10# configure terminal
OS10(config)#interface ethernet 1/1/1
OS10(config-if-eth1/1/1)#switchport port-security
OS10(config-if-port-sec)#no disable
OS10(config-if-port-sec)#mac-learn limit 100
OS10(config-if-port-sec)#sticky
OS10(config-if-port-sec)# end
OS10# write memory
[MAC アドレスの移動]
[論拠]:MAC アドレスの移動は、システムが同じブロードキャスト ドメイン上の別のポート セキュリティ有効インターフェイス
を通じてすでに学習したインターフェイス上で、同じ MAC アドレスを検出した場合に発生します。MAC アドレスの移動は、セキ
ュア スタティック MAC アドレスおよびスティッキー MAC アドレスに対しては許可されません。デフォルトでは、動的に学習し
た MAC アドレスの MAC アドレス移動は、システムで無効になっています。セキュア ダイナミック MAC アドレスの移動は、ポー
トセキュリティ有効インターフェイスとポートセキュリティ無効インターフェイス間で許可されています。
[構成]:
INTERFACE PORT SECURITY モードでは、次のコマンドを使用します。
OS10(config-if-port-sec)#mac-move allow
OS10(config-if-port-sec)# end
OS10# write memory
[ MAC アドレス移動の構成例]
OS10# configure terminal
OS10(config)# interface ethernet 1/1/1
OS10(config-if-eth1/1/1)# switchport port-security
OS10(config-if-port-sec)# no disable
OS10(config-if-port-sec)# mac-learn limit 100
OS10(config-if-port-sec)# mac-move allow
OS10(config-if-port-sec)# end
OS10# write memory
[MAC アドレス移動違反アクションの構成]
[論拠]:システムが、別のポートセキュリティ有効インターフェイスを通じてすでに学習した MAC アドレスと同じ MAC アドレス
をポートセキュリティ有効インターフェイスで検出した場合、デフォルトでは、MAC アドレス移動違反とみなされます。MAC ア
ドレス移動違反アクションを構成できます。また、ポート セキュリティ有効インターフェイス間で MAC アドレスを移動できるよ
うにシステムを構成することもできます。
[構成]:
● 違反の原因となった MAC アドレスを表示するには、log オプションを使用します。また、システムはパケットをドロップしま
す。
OS10(config-if-port-sec)#mac-move violation log
● MAC アドレス移動違反が発生したときにパケットをドロップするには、drop オプションを使用します。
OS10(config-if-port-sec)#mac-move violation drop
OS10 セキュリティのベスト プラクティス 11