Cisco Port セキュリティは、ポートへのアクセスを許可された仮想マシンの MAC アドレスを制限または識別することで、インターフェイスへの入力を制限します。セキュアな MAC アドレスがセキュア ポートに割り当てられると、そのポートは、定義済みのアドレス グループに含まれないソース アドレスを持つパケットを転送しなくなります。
ポート セキュリティがスイッチで有効にされている場合、show mac-address-table コマンドには、静的な MAC エントリを持つ仮想ネットワーク アダプタが表示されます。仮想マシンが別のポートを介して接続を進めると(たとえば、vMotion またはネットワーク アダプタ フェイルオーバー後)、そのトラフィックは新しいポートでブロックされます。スイッチ ポートが複数の MAC アドレスからのトラフィックを許可しないと、ネットワーク接続の問題が生じることがあります。
詳細については、『Cisco Catalyst 6500 Release 12.2SXH and Later Software Configuration Guide』の
Configuring Port Security を参照してください。
注:このリンクは 2009 年 6 月 9 日時点のものです。リンクが切れているのに気づいた場合はご連絡ください。VMware の担当者がリンクをアップデートします。
次に、この問題を解決する方法をいくつか示します。
- ポート セキュリティを無効化する。
- ポート セキュリティを適切なポート番号で構成する。このオプションによってある程度のセキュリティが確保されます。
- セキュアな固定 MAC アドレスを構成する。これが最もセキュアなオプションです。
ポート セキュリティの無効化
注意:このオプションを使用しても、セキュリティ保護は行われません。
Cisco スイッチ インターフェイスでポート セキュリティを無効化するには、Cisco スイッチ ポートで次のコマンドを実行します。
no switchport port-security
ポート セキュリティを適切なポート番号で構成する
Cisco スイッチ ポートで次のコマンドを実行して、インターフェイスのセキュア MAC アドレスの最大数を設定します。
Switch(config-if) # switchport port-security maximum value
ここで、value は MAC アドレスの最大数です。
注:デフォルトの最大値は 1 です。1 ~ 1024 の値を入力します。必ず、ESX ホスト上の仮想ネットワーク アダプタの数を許可する最大値を入力します。
セキュアな固定 MAC アドレスの構成
セキュアな固定 MAC アドレスを構成するには、Cisco スイッチ ポートで次のコマンドを実行します。
Router(config-if)# switchport port-security mac-address [sticky] mac_address [vlan vlan_ID]
ここで、mac_address は、固定として構成する MAC アドレスで、vlan_ID は、その MAC アドレスが存在する VLAN です。
固定 MAC アドレスを削除するには:
-
次のコマンドを実行します。
Router(config-if)# no switchport port-security mac-address [sticky] mac_address
ここで、 mac_address は、削除する MAC アドレスです。
-
問題のあった MAC アドレスを削除すると、スイッチ ポート リンクがダウンします。次のコマンドを実行して、スイッチ ポートを有効化します。
Switch(config-if) # no shut