Cisco ポート セキュリティが物理スイッチで構成されている場合、ネットワークの接続が失われる
Article ID: 339734
Updated On:
Products
VMware vCenter Server
VMware vSphere ESXi
Issue/Introduction
Symptoms:
免責事項:これは英文の記事「Loss of network connectivity when Cisco port security is configured on the physical switch (1002811)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新の内容については、英語版の記事を参照してください。
免責事項:これは英文の記事「Loss of network connectivity when Cisco port security is configured on the physical switch (1002811)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新の内容については、英語版の記事を参照してください。
Cisco 6500 Switch を使用していて、物理スイッチでポート セキュリティを構成している場合、次の症状が現れることがあります。
- vMotion の後、仮想マシンのネットワーク接続が失われる
- ネットワーク アダプタをチーミングしていて、その中の 1 つに障害が発生すると、仮想マシンまたは ESX/ESXi ホストのネットワーク接続が失われる
- 確立できる TCP/IP 接続の数が制限される
- 仮想マシンが、物理ネットワーク上の他のホストに ping できない
- 仮想マシンがゲートウェイ IP アドレスに ping できない
- 仮想マシンが再起動すると、NIC を無効化して再度有効化するまで、ネットワーク接続が失われたままになる
注:
- 同じ ESX/ESXi ネットワーク上の仮想マシンは、相互に ping することはできません。
- 仮想 NIC が固定 IP アドレスで構成されている場合、仮想マシンは自身の IP アドレスで ping できます。
- ネットワーク接続が仮想マシン内で無効化および有効化されると、ネットワーク接続が回復し、仮想マシンはネットワーク上の他の仮想マシンに ping できるようになります。
Environment
VMware vSphere ESXi 5.0
VMware ESXi 3.5.x Installable
VMware vCenter Server 5.0.x
VMware ESX Server 3.0.x
VMware vCenter Server 5.5.x
VMware vCenter Server 4.1.x
VMware ESXi 4.1.x Installable
VMware ESXi 4.1.x Embedded
VMware ESX 4.0.x
VMware ESXi 3.5.x Embedded
VMware ESXi 4.0.x Installable
VMware ESX Server 3.5.x
VMware ESX 4.1.x
VMware vCenter Server 4.0.x
VMware VirtualCenter 2.5.x
VMware ESXi 4.0.x Embedded
VMware vSphere ESXi 5.1
VMware VirtualCenter 2.0.x
VMware vCenter Server 5.1.x
VMware vSphere ESXi 5.5
VMware ESXi 3.5.x Installable
VMware vCenter Server 5.0.x
VMware ESX Server 3.0.x
VMware vCenter Server 5.5.x
VMware vCenter Server 4.1.x
VMware ESXi 4.1.x Installable
VMware ESXi 4.1.x Embedded
VMware ESX 4.0.x
VMware ESXi 3.5.x Embedded
VMware ESXi 4.0.x Installable
VMware ESX Server 3.5.x
VMware ESX 4.1.x
VMware vCenter Server 4.0.x
VMware VirtualCenter 2.5.x
VMware ESXi 4.0.x Embedded
VMware vSphere ESXi 5.1
VMware VirtualCenter 2.0.x
VMware vCenter Server 5.1.x
VMware vSphere ESXi 5.5
Resolution
Cisco Port セキュリティは、ポートへのアクセスを許可された仮想マシンの MAC アドレスを制限または識別することで、インターフェイスへの入力を制限します。セキュアな MAC アドレスがセキュア ポートに割り当てられると、そのポートは、定義済みのアドレス グループに含まれないソース アドレスを持つパケットを転送しなくなります。
ポート セキュリティがスイッチで有効にされている場合、show mac-address-table コマンドには、静的な MAC エントリを持つ仮想ネットワーク アダプタが表示されます。仮想マシンが別のポートを介して接続を進めると(たとえば、vMotion またはネットワーク アダプタ フェイルオーバー後)、そのトラフィックは新しいポートでブロックされます。スイッチ ポートが複数の MAC アドレスからのトラフィックを許可しないと、ネットワーク接続の問題が生じることがあります。
詳細については、『Cisco Catalyst 6500 Release 12.2SXH and Later Software Configuration Guide』のConfiguring Port Security を参照してください。
注:このリンクは 2009 年 6 月 9 日時点のものです。リンクが切れているのに気づいた場合はご連絡ください。VMware の担当者がリンクをアップデートします。
詳細については、『Cisco Catalyst 6500 Release 12.2SXH and Later Software Configuration Guide』のConfiguring Port Security を参照してください。
注:このリンクは 2009 年 6 月 9 日時点のものです。リンクが切れているのに気づいた場合はご連絡ください。VMware の担当者がリンクをアップデートします。
次に、この問題を解決する方法をいくつか示します。
- ポート セキュリティを無効化する。
- ポート セキュリティを適切なポート番号で構成する。このオプションによってある程度のセキュリティが確保されます。
- セキュアな固定 MAC アドレスを構成する。これが最もセキュアなオプションです。
ポート セキュリティの無効化
注意:このオプションを使用しても、セキュリティ保護は行われません。
Cisco スイッチ インターフェイスでポート セキュリティを無効化するには、Cisco スイッチ ポートで次のコマンドを実行します。
no switchport port-security
ポート セキュリティを適切なポート番号で構成する
Cisco スイッチ ポートで次のコマンドを実行して、インターフェイスのセキュア MAC アドレスの最大数を設定します。
Switch(config-if) # switchport port-security maximum value
ここで、value は MAC アドレスの最大数です。
注:デフォルトの最大値は 1 です。1 ~ 1024 の値を入力します。必ず、ESX ホスト上の仮想ネットワーク アダプタの数を許可する最大値を入力します。
セキュアな固定 MAC アドレスの構成
セキュアな固定 MAC アドレスを構成するには、Cisco スイッチ ポートで次のコマンドを実行します。
Router(config-if)# switchport port-security mac-address [sticky] mac_address [vlan vlan_ID]
ここで、mac_address は、固定として構成する MAC アドレスで、vlan_ID は、その MAC アドレスが存在する VLAN です。
固定 MAC アドレスを削除するには:
- 次のコマンドを実行します。
Router(config-if)# no switchport port-security mac-address [sticky] mac_address
ここで、 mac_address は、削除する MAC アドレスです。 - 問題のあった MAC アドレスを削除すると、スイッチ ポート リンクがダウンします。次のコマンドを実行して、スイッチ ポートを有効化します。
Switch(config-if) # no shut
Additional Information
Feedback
Yes
No
Powered by
