Catalyst Switch - port-security



 ◆ ポートセキュリティとは

 ポートセキュリティはポートごとにあらかじめ通信を許可する端末のMACアドレスを指定し、許可して
 いないMACアドレスを持つ端末の通信を拒否する機能です。これにより、不正アクセスを防止できます。


     



 ◆ ポートセキュリティ - セキュアMACアドレスとは

 セキュアMACアドレスとは、ポートセキュリティを有効にしたポートで許可されるMACアドレスのことです。
 上図では0000.0000.1111がセキュアMACアドレスです。セキュアMACアドレスには以下の3種類があります。

セキュアMACのタイプ 説明
スタティック  手動でMACアドレスを設定。設定情報は、MACアドレステーブルとrunning-configに追加される。
ダイナミック  フレームの受信時に動的にMACアドレスを学習。MACアドレステーブルのみに追加される。
スティッキー  フレームの受信時に動的にMACアドレスを学習。MACアドレステーブルとrunning-configに追加される。


 スタティックのセキュアMACアドレスもスティッキーのセキュアMACアドレスもrunning-configに追加
 されますが、startup-configには設定情報が追加される訳ではないので、スイッチの設定保存が必要です。



 ◆ ポートセキュリティ - セキュリティ違反のモード

 ポートセキュリティを設定したポートは、許可するセキュアMACアドレスの最大数を設定する必要があります。
 デフォルトでは1です。この最大数を超えて許可されていないMACアドレスを持つ端末からのフレームを受信
 した場合、以下の3種類のいずれかの違反モード (shutdownがdefault)がCatalystスイッチ上で発動します。

違反(Violation)モード 説明
protect  許可されていない端末のフレームのみ破棄する。
restrict  許可されていない端末のフレームのみ破棄する。また、違反の通知(SNMP/Syslog)を行う。
shutdown  ポートはerrdisableとなりshutdownされてLEDが消灯。また、違反の通知(SNMP/Syslog)を行う。

 ※ shutdownモードによりポートがerrdisableにされた場合、I/F上で"shutdown"入力後、"no shutdown"を入力すると復旧します。

違反モード 違反
トラフィック
の転送
SNMP
トラップ
の送信
Syslog
メッセージ
の送信
エラー
メッセージ
の表示
違反カウンタ
の増加
ポートの
shutdown
protect No No No No No No
restrict No Yes Yes No Yes No
shutdown No Yes Yes No Yes Yes



Catalystスイッチをはじめから

ネットワークエンジニアとして

Copyright (C) 2002-2018 ネットワークエンジニアとして All Rights Reserved.