 |
| |
◆ポートセキュリティ機能とは
※動作確認は、Cisco2500、Cisco1710、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
◆ポートセキュリティ機能とは
スイッチには、たくさんのポートが備わっています。それら、全てのポートを使い切ってしまうケースは少ないはずです。
空いているポートに、権限のないユーザが接続してしまえば、ネットワークへの侵入の入口となってしまいます。
また、全てのポートを使い切って、空いているポートがない場合でも、使用しているポートの接続を外して、権限のないユーザが接続してしまえば、同様にネットワークへの侵入の入口となってしまいます。
このような不正侵入を防ぐために、スイッチにはポートセキュリティという機能が用意されています。
ポートセキュリティは、ポート単位に登録されたMACアドレス以外の送信元のMACアドレスのパケットをブロックします。
ポートセキュリティの設定は、次の3つの方法があります。
ポート セキュリティを設定するには、3 つの方法があります。
●スタティック
インターフェイス設定モードから次のコマンドでMACアドレスを登録します。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address [mac-address]
登録したMACアドレスは、スタティックMACアドレスとして、running-configにコマンドとして追加されます。
●ダイナミック
MACアドレスを動的に学習させる方法です。16進数で覚えにくく、長いMACアドレスを入力して登録する作業から解放されます。コマンドは、以下の通りです。
Switch(config-if)#switchport port-security
動的に学習したMACアドレスは、ポートと関連付けられます。学習できるMACアドレスの最大数は、デフォルトでは1となっています。
学習できるMACアドレスの最大数を変更したい場合には、以下のコマンドで指定することができます。
Switch(config-if)#switchport port-security maximum [最大数]
最大数は、1〜132の範囲で指定できます。
動的に学習したMACアドレスは、ポートがシャットダウンするか、スイッチを再起動した場合、学習したポートとMACアドレス関連付け消えてしまいます。
●スティッキ(sticky)
ダイナミックと似ていますが、MACアドレスは、running-configにコマンドとして追加されます。
「copy run start」コマンドで、実行コンフィグをスタートアップコンフィグに保存すれば、スイッチを再起動させてもMACアドレスを学習し直す必要がありません。保存していなければ、学習する前の状態に戻ります。
設定コマンドは、以下の通りです。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
◆ポートセキュリティの共通設定
スタティック、ダイナミック、スティッキのポートセキュリティの共通の設定は、下記の通りです。
@ポートセキュリティの設定を有効にするインターフェースへコンフィグモードへ移行する。
Switch(config)# interface [interface-id]
Aスイッチポートモードを「access」モードに設定する。
Switch(config-if)#switchport mode access
モードは、「access」または「trunk」を指定できますが、ポートセキュリティでは、「access」モードにしておく必要があります。
Bポートセキュリティを有効にする。
Switch(config-if)#switchport port-security
C登録できるMACアドレスの最大数を設定します。デフォルトの最大数は、「1」です。必要に応じて設定します。
Dセキュリティ違反検出時のアクションを指定する。
ポートセキュリティを有効にしているインターフェースで、違反が検出された時のアクションを指定します。デフォルトは 「shutdown」になっています。
Switch(config-if)#switchport port-security violation [ protect | restrict
| shutdown ]
下表は、違反時のモードの動作内容です。
| 違反モード |
説明 |
| protect |
違反時にパケットが破棄され、SNMPトラップやSyslogメッセージは送信されません。違反カウンターも増加しません。 |
| restrict |
違反時にパケットが破棄され、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します。 |
| shutdown |
違反時にポートは、「err-disable」となりLEDが消灯し、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します |
「オートネゴシエーションの不具合検証(その2)」 ← 前項 | 次項 → 「ポートセキュリティ(show port-security)」
<ネットワーク資格の練習問題に挑戦>
●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
| ◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●CCENT(ICND1)実機で学ぶ
●SDMで設定する(Cisco実機で学ぶ)
●CCENT・CCNA無線実機で学ぶ
●アライドテレシス実機で学ぶ
●TCP/IP入門・無料ネットワークツール
●PLCでホームネットワーク構築
|
|
|
