Catalyst Configuration - port-security



 ◆ Step 1:ポートセキュリティの有効化

 先ず、ポートセキュリティを適用したいポートを決定します。今回は FastEthernet0/1 に適用します。
 次に、スイッチポートのモードを access または trunk とします。今回は「access」のモードにします。
 最後にswitchport port-securityコマンドを入力し、特定のI/F上でポートセキュリティを有効化します。

 ◆ スイッチポートのモード指定
 (config)#
interface interface-id
 (config-if)# switchport mode [ access | trunk ]

 ◆ ポートセキュリティの有効化
 (config-if)# switchport port-security


 Catalyst(config) #
interface Fastethernet 0/1
 Catalyst(config-if) #
switchport mode access
 Catalyst(config-if) # switchport port-security




 ◆ Step 2:許可MACアドレスの最大数の決定

 デフォルトで許可MACアドレスの最大数は"1"と設定されています。このデフォルト値を変更したい場合、
 switchport port-security maximumコマンドを使用します。ここで設定することができる値はCatalyst
 スイッチの機種によって異なります。以下の設定例では最大数を"2"に変更しています。

 ◆ 許可MACアドレスの最大数の決定
 (config-if)#
switchport port-security maximum number

 Catalyst(config-if) # switchport port-security maximum 2




 ◆ Step 3:違反モードの決定

 デフォルトで、違反モードは
shutdownと設定されています。このデフォルト値を変更したい場合、
 switchport port-security violationコマンドを使用します。ここで設定可能なパラメータは以下の
 "protect" "restrict" "shutdown" の3つとなります。今回の設定例では"restrict"に変更しています。

 ◆ セキュリティ違反時のアクションの決定
 (config-if)#
switchport port-security violation [ protect | restrict | shutdown ]

 Catalyst(config-if) # switchport port-security violation restrict


 ◆ Step 4:セキュアMACアドレスの設定

 デフォルトで、セキュアMACアドレスのタイプは
ダイナミックと設定されているので、デフォルト値を
 変更したい場合、switchport port-security mac-addressコマンドを使用します。スタティックまたは
 スティッキーに変更できます。スタティックの場合は、以下の switchport port-security mac-address
 コマンドを使用して許可させたいMACアドレスを定義します。例では001b.d3dd.9bfbを許可しています。

 ◆ セキュアMACアドレスをスタティックに設定
 (config-if)#
switchport port-security mac-address address

 Catalyst(config-if) # switchport port-security mac-address 001b.d3dd.9bfb


 スティッキーに変更したい場合は、
switchport port-security mac-address sticky と入力します。
 すると現在接続している端末のMACアドレスがスタティックのセキュアMACアドレスとして自動的に
 running-configに追加されます。show run interface FastEthernet 0/1の入力結果も見てみましょう。

 ◆ スティッキーラーニングの設定
 (config-if)#
switchport port-security mac-address sticky

 Catalyst(config-if) # switchport port-security mac-address sticky


 

 入力の手間が省けるだけでなく、誤入力を回避することができるこのstickyによる登録が一般的と言えます。



 ◆ Step 5:セキュアMACアドレスのエージングタイムの設定

 ポート上のセキュアMACアドレスのエージングタイムを設定するためには、以下のコマンドを使用します。

 ◆ セキュアMACアドレスのエージングタイムの設定
 (config-if)#
switchport port-security aging time minutes

 ◆ 設定例 : 登録されたセキュアMACアドレスの情報を30分後に削除

 Catalyst(config) #
interface gigabitethernet 0/1
 Catalyst(config-if) #
switchport port-security aging time 30



 ◆ Step 6:セキュアMACアドレスのエージング方法の設定

 ポート上のセキュアMACアドレスのエージング方法を指定するためには、以下のコマンドを使用します。
 ポートごとに2種類( absolute と inactivity )のエージング方法がサポートされています。

 ◆ セキュアMACアドレスをスタティックに設定
 (config-if)#
switchport port-security aging type [ absolute | inactivity ]

コマンド引数 説明
absolute


 エージングタイムで指定した時間を経過すると、通信最中であっても絶対削除。

inactivity


 通信しなくなってからエージングタイムで指定した時間を経過すると、削除する。


 ◆ 設定例 : セキュアMACアドレスの情報は「通信がなくなってから」30分後に削除


 Catalyst(config) #
interface gigabitethernet 0/1
 Catalyst(config-if) #
switchport port-security aging time 30
 Catalyst(config-if) # switchport port-security aging type inactivity




Catalystスイッチをはじめから

ネットワークエンジニアとして

Copyright (C) 2002-2020 ネットワークエンジニアとして All Rights Reserved.