シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Nexus5000/6000シリーズ:port security:sticky secure MAC アドレスの削除が正常に行われない

2016年10月29日(初版)

TAC SR Collection
主な問題

Nexus5000/6000シリーズ port security において sticky に学習した secure MAC アドレスを削除する際、対象ポートが DOWN 状態の場合、削除が正常に行われない問題です。

sticky secure MAC アドレスの削除手順は以下の通りです。

1.(config-if)#no switchport port-security mac-address sticky
2.(config-if)#clear port-security dynamic address xxxx.xxxx.xxxx vlan #

※同じ作業を vPC Primary/Secondary それぞれ機器で行います。

<構成>

aa

1.MAC アドレス 0000.0000.0006 がsticky secure MAC アドレスとしてエントリーされている状態

N5K_1(config-if)# show port-security address
----    -----------   ------     ------     -------  -----    ----
  15   0000.0000.0006    STICKY  0          Yes      No     Ethernet101/1/1

2.Ethernet101/1/1 が DOWN している状態で0000.0000.0006 の削除を実行

N5K_1(config-if)# no switchport port-security mac-address sticky   
N5K_1(config-if)# show port-security address 
N5K_1(config-if)#                 <<< 表示なし   
N5K_1(config-if)# clear port-security dynamic address 0000.0000.0006 vlan 15 
ERROR: Unable to clear MAC address

3.sticky 再設定後に別のホスト(MACアドレス 0000.0000.0007)を接続

N5K_1(config-if)# switchport port-security mac-address sticky
N5K_1(config-if)# show port-security address

----    -----------   ------     ------     -------  -----    ----
  15   0000.0000.0007    STICKY  0          No       No     Ethernet101/1/1

4.再度、元のホスト(MACアドレス 0000.0000.0006)を接続しても security violation が発生しません。

N5K_1(config-if)# sh mac address-table add 0000.0000.0006
Legend:
        * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC
        age - seconds since last seen,+ - primary entry using vPC Peer-Link
   VLAN     MAC Address      Type      age     Secure NTFY   Ports/SWID.SSID.LID
---------+-----------------+--------+---------+------+----+------------------
* 15       0000.0000.0006    static    0          T    F  Eth101/1/1

5.さらに別のホスト(MACアドレス 0000.0000.0008)を接続した場合は security violation が発生します。

2016 Sep 13 15:05:35 N5K_1 %ETH_PORT_SEC-2-ETH_PORT_SEC_SECURITY_VIOLATION_MAX_MAC_VLAN: Port Ethernet101/1/1 moved to RESTRICT state as host 0000.0000.0008 is trying to access the port in vlan 15

N5K_1(config-if)# show port-security address

----    -----------   ------     ------     -------  -----    ----
  15   0000.0000.0007    STICKY  0          No       No     Ethernet101/1/1
  15   0000.0000.0008   BLOCKED  5          No       No     Ethernet101/1/1
原因

 この問題は CSCvb39963 として報告されています。

解決策

■回避策 :
対象ポートが UP 状態の場合、削除は正常に行われます。

■改修版ソフトウェア :
CSCvb39963 の問題が改修されたソフトウェアを使用して下さい。

バージョン履歴
改訂番号
1/1
最終更新:
‎10-28-2016 12:57 PM
更新者: