ポートセキュリティ(設定)

スイッチに想定外の端末を接続されないようにするための設定がポートセキュリティである。 MACアドレスを利用してフィルタリングを行う。

設定コマンド

Switch(Config)#interface <PORT>
Switch(Config-if)#switchport mode access # (1)
Switch(Config-if)#switchport port-security # ポートセキュリティの有効化
Switch(Config-if)#switchport port-security maximum <NUMBER> # (2)
Switch(Config-if)#switchport port-security mac-address <MACADDRESS> #(3)
Switch(Config-if)#switchport port-security mac-address sticky # (4)
Switch(Config-if)#switchport port-security aging time <MINUTES> # (5)
Switch(Config-if)#switchport port-security aging static # (6)
Switch(Config-if)#switchport port-security violation <MODE> # (7)

(1)ポートセキュリティは、accessもしくはtrunkのポートにしか設定できない。
 初期状態ではdynamic desiableなので、どちらかに設定し直す必要がある。
(2)学習するMACアドレスの上限数を設定する。初期値は1
(3)MACアドレスの静的な登録
(4)MACアドレスを自動的に学習し、結果をrunning-configに登録する
(5)学習したMACアドレスを消去するためのタイマーの設定。分単位で初期値は0(消去しない)
(6)手動で設定したMACアドレスも消去する設定。(7)のコマンドで登録したMACアドレスも時間経過で消える。
(7)MACアドレスが登録されていない機器が接続された場合の挙動についての設定。
 モードは下表の通りで、通信の遮断/発報/ポート自体のshutdownの3段階。
 発報内容は、SNMPトラップやSyslogメッセージ及びスイッチ内部での違反カウンターの増加。
 デフォルトではshutdownが設定されている。

<table border=1>

mode 通信の遮断 発報 ポートのshutdown protect する しない しない restrict する する しない shutdown する する する </table> 状態の確認については[別ページ](/2012/01/portsecurity.html)参照。
Written on January 15, 2012