ポートセキュリティーの状態確認
ポートセキュリティーの状態を表示して確認する方法を説明します。
ポートセキュリティーの情報の表示
show port-securityコマンドでポートセキュリティーの情報を確認できます。
表示例を以下に示します。
# show port-security D:Delete-on-Timeout P:Permanent (1) (2) (3) (4) (5) (6) (7) (8) Interface Max Curr Violation Violation Security Admin Current No. No. No. Act. Count Mode State State ------------ ----- ----- -------- -------------------- -- -------- ------------ Port1/0/1 2 2 Shutdown - P Enabled Forwarding Port1/0/2 1 1 Restrict 2485 D Enabled Forwarding Port1/0/3 32 1 Protect - D Enabled Forwarding Port1/0/4 32 0 Protect - D Disabled - Port1/0/5 32 0 Protect - D Disabled - ~~省略~~
各項目の説明は、以下のとおりです。
| 項番 | 説明 |
|---|---|
| (1) | ポート番号を表示します。 |
| (2) | ポートセキュリティー機能で許可するMACアドレスの、ポートごとの最大数を表示します。 |
| (3) | 現時点で登録されているエントリー数を表示します。 |
| (4) |
許可しないMACアドレス(最大数を超過して登録されなかったMACアドレス)からの通信を受信した場合の動作を表示します。 Protect:許可しないMACアドレスからの通信を破棄 Restrict:許可しないMACアドレスからの通信を破棄、CPUカウンターでカウント、ログ出力 Shutdown:対象ポートをシャットダウン(err-disabled状態に変更)、ログ出力 |
| (5) | 許可しないMACアドレスからの通信を受信した場合の動作がRestrictの場合に、CPUカウンターでカウントした許可しないMACアドレスからのパケット数を表示します。CPU宛てに中継されなかったパケットはカウントされません。 |
| (6) |
動的に登録されるエントリーの動作モードを表示します。 D:動的に登録されたエントリーがエージングタイムアウトするモード P:動的に登録されたエントリーがエージングタイムアウトしないモード |
| (7) | ポートセキュリティー機能の有効(Enabled)/無効(Disabled)を表示します。 |
| (8) |
ポートの状態を表示します。 Forwarding:ポートセキュリティー機能が有効な状態 Err-disabled:シャットダウン(err-disabled状態に変更)された状態 -:ポートセキュリティー機能が無効な状態 |
ポートセキュリティーのエントリーの表示
show port-security addressコマンドでポートセキュリティーのエントリーを確認できます。
表示例を以下に示します。
# show port-security address (1) (2) (3) (4) (5) Interface VLAN ID MAC Address Address Type Remaining Time (mins) ------------ ------- ----------------- ----------------- -------------- Port1/0/1 20 00-00-5E-00-53-11 Permanent - (I) Port1/0/1 20 00-00-5E-00-53-22 Permanent - (I) Port1/0/2 30 00-00-5E-00-53-AA Delete-on-Timeout 476 Port1/0/3 50 00-00-5E-00-53-BB Delete-on-Timeout 18 (I) Total Entries: 4
各項目の説明は、以下のとおりです。
| 項番 | 説明 |
|---|---|
| (1) | ポート番号を表示します。 |
| (2) | VLAN IDを表示します。 |
| (3) | MACアドレスを表示します。 |
| (4) |
エントリーのタイプを表示します。 Permanent:switchport port-security mac-addressコマンドで設定したエントリー、または動的に登録されて自動的に設定されたpermanentパラメーター指定のエントリー Delete-on-Timeout:delete-on-timeoutモードのポートで動的に登録されたエントリー |
| (5) |
エージングタイムアウトまでの残り時間を表示します。 エントリーのタイプがPermanentの場合は、残り時間は表示されません。 エージングタイムのタイプがinactivityタイプの場合、残り時間の後ろに(I)が表示されます。また、対象エントリーが無通信になったと判断する前の状態では、残り時間は表示されません。 |
自動復旧設定の表示
show errdisable recoveryコマンドで、自動復旧設定を確認できます。
補 足
ErrDisable Cause項目のPort Securityは、ポートセキュリティーをサポートしている機種でのみ表示されます。
表示例を以下に示します。
# show errdisable recovery (1) (2) (3) ErrDisable Cause State Interval ------------------------------------- ----------- ------------- Port Security disabled 300 seconds Storm Control enabled 300 seconds Loop Detection enabled 300 seconds ULD disabled 300 seconds Interfaces that will be recovered at the next timeout: (4) (1) (5) Interface Errdisable Cause Time left(sec) --------- ------------------------------------- -------------- Port1/0/1 Port Security 52
各項目の説明は、以下のとおりです。
| 項番 | 説明 |
|---|---|
| (1) |
検知の要因となった機能を表示します。 Loop Detection:ループ検知機能 Storm Control:ストームコントロール機能 ULD:単方向リンク検出機能 Port Security:ポートセキュリティー機能 |
| (2) | 自動復旧設定の有効(enabled)/無効(disabled)を表示します。 |
| (3) | ポートが自動復旧されるまでの時間設定を表示します。 |
| (4) | err-disabled状態に変更されたポートを表示します。 |
| (5) | err-disabled状態に変更されたポートが自動復旧されるまでの残り時間を表示します。 |
