 ポートセキュリティとは
ポートセキュリティとは、スイッチポートに接続するホストのMACアドレスに基づいてトラフィックの入力を
制限することができる機能です。Catalystスイッチで実装できるこのポートセキュリティ機能は、許可され
ていないデバイスがスイッチポートに接続することを防止するという点で、IEEE802.1X認証と似ています。
セキュアMACアドレス
セキュアMACアドレスとは、ポートセキュリティが有効なポートで許可されるMACアドレスのことです。
Catalystスイッチでは以下の表にある通り、3つのタイプのセキュアMACアドレスをサポートしています。
| MACアドレスのタイプ |
説明 |
| スタティックセキュアMACアドレス |
switchport port-security mac-address コンフィグをしようして手動で設定されます。
これらはMACアドレステーブルに格納され、running-configに追加されます。
|
| ダイナミックセキュアMACアドレス |
これらはMACアドレステーブルにのみ動的に追加され、reload時に削除されます。
|
| stickyセキュアMACアドレス |
動的な学習、または手動で設定されます。これらはMACアドレステーブルに格納され
running-configにも追加されます。動的な学習であってもNVRAMに保存すれば
reloadしてもMACを再学習しません。手動設定はほぼナンセンスであり非推奨です。
|
switchport port-security mac-address stickyコマンドにより、ダイナミックMACアドレスをstickyセキュア
MACアドレスに変換して、その結果をrunning-configに変換することができます。このコマンド設定により
許可されるクライアントのMACアドレスを手動で入力(
スタティックセキュアMACアドレス )する必要がなく
なります。なお、stickyコマンドがディセーブルにされた場合、stickyセキュアMACアドレスはダイナミック
セキュアMACアドレスに変換されて、running-configからもそのMACアドレス情報がなくなってしまいます。
セキュリティ違反
セキュリティ違反とは、セキュアMACアドレスが許可登録MACアドレスの最大数までアドレステーブルに
追加された状態で、許可MACアドレスに定義されていないMACアドレスを持つクライアントがポートに接続
しようとした場合に発生します。また、あるポートセキュリティが有効なポートにて定義されている許可MAC
アドレスが、同一VLAN内の別のポートセキュリティが有効なポートで認識した場合にも違反が発生します。
セキュリティ違反が発生した場合の違反アクションは3つのパターンがあります。デフォルトは
[ shutdown ]
| violationモード |
説明 |
| protect |
登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。ただし、
セキュリティ違反が発生した場合でも、SNMPトラップやSyslogメッセージは送信されることはなく
また、違反カウンターが増加することもありません。trunkポートにこのモードを設定するのはNG |
| restrict |
登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。さらに、
セキュリティ違反が発生した場合、SNMPトラップやSyslogメッセージが送信されることになり
また、違反カウンターも増加していきます。
|
| shutdown |
登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。さらに、
セキュリティ違反が発生した場合、SNMPトラップやSyslogメッセージが送信されることになり
違反カウンターも増加していきます。そしてポートはerrdisableとなりLEDが消灯(※
1)します。 |
※ 1 ポートがerrdisableとなった場合、[ errdisable
recovery cause psecure-violation ] または
[ shutdown, no shutdown ] で復旧します。
| Security Violation Mode Action ( in the case
of sticky address ) |
| 違反モード |
違反トラフィック
の転送 |
SNMPトラップ
の送信 |
Syslogメッセージ
の送信 |
エラーメッセージ
の表示 ※ 2 |
違反カウンタ
の増加 |
ポートのshutdown |
| protect |
No |
No |
No |
No |
No |
No |
| restrict |
No |
Yes |
Yes |
No |
Yes |
No |
| shutdown |
No |
Yes |
Yes |
No |
Yes |
Yes |
※2 手動で設定したセキュアMACアドレスなどの場合、[
shutdown ] モードを選択している場合、エラーメッセージが表示されます。
Resource : BCMSNテキスト第2版 Catalyst 3560 12.2(25)SEE Catalyst 3550 12.2(25)SE Configuring Port-Based traffic Control
|