@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNA) > ポートセキュリティ機能とは

 Amazon
@network Cisco・アライド実機で学ぶ
◆ポートセキュリティ機能とは

※動作確認は、Cisco2500、Cisco1710、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。



◆ポートセキュリティ機能とは

 スイッチには、たくさんのポートが備わっています。それら、全てのポートを使い切ってしまうケースは少ないはずです。

空いているポートに、権限のないユーザが接続してしまえば、ネットワークへの侵入の入口となってしまいます。

 また、全てのポートを使い切って、空いているポートがない場合でも、使用しているポートの接続を外して、権限のないユーザが接続してしまえば、同様にネットワークへの侵入の入口となってしまいます。

このような不正侵入を防ぐために、スイッチにはポートセキュリティという機能が用意されています。

 ポートセキュリティは、ポート単位に登録されたMACアドレス以外の送信元のMACアドレスのパケットをブロックします。

ポートセキュリティの設定は、次の3つの方法があります。

ポート セキュリティを設定するには、3 つの方法があります。

●スタティック

インターフェイス設定モードから次のコマンドでMACアドレスを登録します。

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address [mac-address]

登録したMACアドレスは、スタティックMACアドレスとして、running-configにコマンドとして追加されます。

●ダイナミック

 MACアドレスを動的に学習させる方法です。16進数で覚えにくく、長いMACアドレスを入力して登録する作業から解放されます。コマンドは、以下の通りです。

Switch(config-if)#switchport port-security

 動的に学習したMACアドレスは、ポートと関連付けられます。学習できるMACアドレスの最大数は、デフォルトでは1となっています。

学習できるMACアドレスの最大数を変更したい場合には、以下のコマンドで指定することができます。

Switch(config-if)#switchport port-security maximum [最大数]

最大数は、1〜132の範囲で指定できます。

 動的に学習したMACアドレスは、ポートがシャットダウンするか、スイッチを再起動した場合、学習したポートとMACアドレス関連付け消えてしまいます。


●スティッキ(sticky)

ダイナミックと似ていますが、MACアドレスは、running-configにコマンドとして追加されます。

 「copy run start」コマンドで、実行コンフィグをスタートアップコンフィグに保存すれば、スイッチを再起動させてもMACアドレスを学習し直す必要がありません。保存していなければ、学習する前の状態に戻ります。

設定コマンドは、以下の通りです。

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky


◆ポートセキュリティの共通設定

スタティック、ダイナミック、スティッキのポートセキュリティの共通の設定は、下記の通りです。

@ポートセキュリティの設定を有効にするインターフェースへコンフィグモードへ移行する。

Switch(config)# interface [interface-id]

Aスイッチポートモードを「access」モードに設定する

Switch(config-if)#switchport mode access

 モードは、「access」または「trunk」を指定できますが、ポートセキュリティでは、「access」モードにしておく必要があります。

Bポートセキュリティを有効にする。

Switch(config-if)#switchport port-security

C登録できるMACアドレスの最大数を設定します。デフォルトの最大数は、「1」です。必要に応じて設定します。

Dセキュリティ違反検出時のアクションを指定する。

 ポートセキュリティを有効にしているインターフェースで、違反が検出された時のアクションを指定します。デフォルトは 「shutdown」になっています。

Switch(config-if)#switchport port-security violation [ protect | restrict | shutdown ]

下表は、違反時のモードの動作内容です。

違反モード 説明
protect 違反時にパケットが破棄され、SNMPトラップやSyslogメッセージは送信されません。違反カウンターも増加しません。
restrict 違反時にパケットが破棄され、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します。
shutdown 違反時にポートは、「err-disable」となりLEDが消灯し、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します

オートネゴシエーションの不具合検証(その2)」 ← 前項 | 次項 → 「ポートセキュリティ(show port-security)





<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
ARP・RARP・Proxy ARP(12項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
CCENT(ICND1)実機で学ぶ
ICND2実機で学ぶ
SDMで設定する(Cisco実機で学ぶ)
CCENT・CCNA無線実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール
PLCでホームネットワーク構築

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.