Catalyst Switch - port-security



 ◆ ポートセキュリティとは

 ポートセキュリティはポートごとにあらかじめ通信を許可する端末のMACアドレスを指定し、許可して
 いないMACアドレスを持つ端末の通信を拒否する機能です。これにより、不正アクセスを防止できます。


     



 ◆ ポートセキュリティ - セキュアMACアドレスとは

 セキュアMACアドレスとは、ポートセキュリティを有効にしたポートで許可されるMACアドレスのことです。
 上図では0000.0000.1111がセキュアMACアドレスです。セキュアMACアドレスには以下の3種類があります。

セキュアMACのタイプ 説明
スタティック  手動でMACアドレスを設定。設定情報は、MACアドレステーブルとrunning-configに追加される。
ダイナミック  フレームの受信時に動的にMACアドレスを学習。MACアドレステーブルのみに追加される。
スティッキー  フレームの受信時に動的にMACアドレスを学習。MACアドレステーブルとrunning-configに追加される。


 スタティックのセキュアMACアドレスもスティッキーのセキュアMACアドレスもrunning-configに追加
 されますが、startup-configには設定情報が追加される訳ではないので、スイッチの設定保存が必要です。



 ◆ ポートセキュリティ - セキュリティ違反のモード

 ポートセキュリティを設定したポートは、許可するセキュアMACアドレスの最大数を設定する必要があります。
 デフォルトでは1です。この最大数を超えて許可されていないMACアドレスを持つ端末からのフレームを受信
 した場合、以下の3種類のいずれかの違反モード (shutdownがdefault)がCatalystスイッチ上で発動します。

違反(Violation)モード 説明
protect  許可されていない端末のフレームのみ破棄する。
restrict  許可されていない端末のフレームのみ破棄する。また、違反の通知(SNMP/Syslog)を行う。
shutdown  ポートはerrdisableとなりshutdownされてLEDが消灯。また、違反の通知(SNMP/Syslog)を行う。

 ※ shutdownモードによりポートがerrdisableにされた場合、I/F上で"shutdown"入力後、"no shutdown"を入力すると復旧します。

違反モード 違反
トラフィック
の転送
SNMP
トラップ
の送信
Syslog
メッセージ
の送信
エラー
メッセージ
の表示 ※ 2
違反カウンタ
の増加
ポートの
shutdown
protect No No No No No No
restrict No Yes Yes No Yes No
shutdown No Yes Yes No Yes Yes



Catalystスイッチをはじめから

ネットワークエンジニアとして

Copyright (C) 2002-2017 ネットワークエンジニアとして All Rights Reserved.