ポートセキュリティ
登録された送信元MACアドレス以外からのフレームを破棄する機能。
未登録の機器が同一VLANの機器へアクセスするのを防ぐ。
http://www.infraexpert.com/study/portbase3.htm
・ポートセキュリティの設定
* ポートセキュリティの有効化
(config-if)# switchport port-security
* 登録するMACアドレスの設定
(config-if)# switchport port-security maximum [数]
o[数]:アドレステーブルに記憶するセキュアMACアドレス数。デフォルトは1
* MACアドレスの登録
(config-if)# switchport port-security mac-address [MACアドレス]
* MACアドレスの登録(stickyラーニングの場合)
(config-if)# switchport port-security stickey {MACアドレス}
スティッキーラーニングにすると,登録するセキュアMACアドレスをrunning-configする。
* バイオレーションモードの設定(オプション,全てのインタフェースで共通の設定)
(config)# switchport port-security violation [モード]
o[モード]:protect,restrict,shutdown。デフォルトではシャットダウンモード。
protect:登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。ただし、セキュリティ違反が発生した場合でも、SNMPトラップやSyslogメッセージは送信されることはなくまた、違反カウンターが増加することもありません。trunkポートにこのモードを設定するのはNG。
restrict:登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。さらに、セキュリティ違反が発生した場合、SNMPトラップやSyslogメッセージが送信されることになりまた、違反カウンターも増加していきます。
shutdown:登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。さらに、セキュリティ違反が発生した場合、SNMPトラップやSyslogメッセージが送信されることになり違反カウンターも増加していきます。そしてポートはerrdisableとなりLEDが消灯します。
ポートがerrdisableとなった場合、[ errdisable recovery cause psecure-violation ] または [ shutdown, no shutdown ] で復旧します。
現在のセキュアMACアドレスを確認したい場合はshowコマンドを,現在のセキュアMACアドレスを消去したい場合はclearコマンドを使用する
# show port-security address … 現在のセキュアMACアドレスの表示
# clear port-security [対象]… 現在のセキュアMACアドレスの消去
o [対象]
+ all … すべてのセキュアMACアドレスを消去
+ dynamic … ダイナミックに登録したセキュアMACアドレスを消去
+ stickey … スティッキーセキュアMACアドレスを消去
+ MACアドレス … 指定したセキュアMACアドレスを消去
+ インタフェース … 指定したインタフェースのセキュアMACアドレスを消去
未登録の機器が同一VLANの機器へアクセスするのを防ぐ。
http://www.infraexpert.com/study/portbase3.htm
・ポートセキュリティの設定
* ポートセキュリティの有効化
(config-if)# switchport port-security
* 登録するMACアドレスの設定
(config-if)# switchport port-security maximum [数]
o[数]:アドレステーブルに記憶するセキュアMACアドレス数。デフォルトは1
* MACアドレスの登録
(config-if)# switchport port-security mac-address [MACアドレス]
* MACアドレスの登録(stickyラーニングの場合)
(config-if)# switchport port-security stickey {MACアドレス}
スティッキーラーニングにすると,登録するセキュアMACアドレスをrunning-configする。
* バイオレーションモードの設定(オプション,全てのインタフェースで共通の設定)
(config)# switchport port-security violation [モード]
o[モード]:protect,restrict,shutdown。デフォルトではシャットダウンモード。
protect:登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。ただし、セキュリティ違反が発生した場合でも、SNMPトラップやSyslogメッセージは送信されることはなくまた、違反カウンターが増加することもありません。trunkポートにこのモードを設定するのはNG。
restrict:登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。さらに、セキュリティ違反が発生した場合、SNMPトラップやSyslogメッセージが送信されることになりまた、違反カウンターも増加していきます。
shutdown:登録されているMACアドレス以外で接続してきた場合、パケットは破棄されます。さらに、セキュリティ違反が発生した場合、SNMPトラップやSyslogメッセージが送信されることになり違反カウンターも増加していきます。そしてポートはerrdisableとなりLEDが消灯します。
ポートがerrdisableとなった場合、[ errdisable recovery cause psecure-violation ] または [ shutdown, no shutdown ] で復旧します。
現在のセキュアMACアドレスを確認したい場合はshowコマンドを,現在のセキュアMACアドレスを消去したい場合はclearコマンドを使用する
# show port-security address … 現在のセキュアMACアドレスの表示
# clear port-security [対象]… 現在のセキュアMACアドレスの消去
o [対象]
+ all … すべてのセキュアMACアドレスを消去
+ dynamic … ダイナミックに登録したセキュアMACアドレスを消去
+ stickey … スティッキーセキュアMACアドレスを消去
+ MACアドレス … 指定したセキュアMACアドレスを消去
+ インタフェース … 指定したインタフェースのセキュアMACアドレスを消去
コメント
コメントを投稿