cisco機器でのポートセキュリティ設定についてまとめ。
そもそもポートセキュリティとはスイッチのポートに設定するもので、許可されたmacアドレスを持たない機器の通信を破棄することで管理外の端末の通信を防ぐというもの。
許可するmacアドレスはポートごとに設定する。
まずは設定したいインターフェースに入る。
S1(config)# int f0/1
ciscoスイッチではデフォルトでDTPが有効になっていて、ポートが[dynamic desirable]または[dynamic auto]になっていてポートセキュリティの有効化ができないので、手動でアクセスポートに設定しておく。(トランクポートではポートセキュリティは使わん)
S1(config-if)# switchport mode access
DTPを無効かしたい場合は
S1(config-if)# switchport nonegotiate
で無効化できる。
ポートセキュリティを有効化する。
S1(config-if)# switchport port-security
違反時の動作モードの設定(管理外の機器が接続されたときの動作)
S1(config-if)# switchport port-security violation 動作
動作には三種類ある。
モード | フレームの破棄 | SNMPトラップ | syslogメッセージ | 違反カウンタ | ポートのシャットダウン |
---|---|---|---|---|---|
protect | する | 送信しない | 送信しない | 増加しない | しない |
restrict | する | 送信する | 送信する | 増加する | しない |
shutdown | する | 送信する | 送信する | 増加する | する(エラーディセーブル) |
デフォルトの違反モードはシャットダウン
ポートセキュリティの動作でポートがシャットダウンするとエラーディセーブルとなり、復帰にひと手間必要。
エラーディセーブルのポートは一度手動でshutdownコマンドを入力し、administaratively downの状態にしてからno shutdownでポートの起動をさせる必要がある。
許可するmacアドレスの登録
S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx
※macアドレスの書式に注意
登録されたmacアドレスの確認は
S1# show port-security address
登録されたmacアドレスのエージング時間の設定 (通信しなくなった端末のMACアドレスが残っているために、新たな端末がアクセスできなくなることを防ぐ)
S1(config-if)# switchport port-security aging time 1-1440(分)
デフォルトでは0、つまり無制限になっている
エージングの動作
S1(config-if)# switchport port-security aging type < absolute / inactivity >
absoluteにすると、設定した時間が過ぎたら、通信中であっても削除する。
inactivityにすると、通信しなくなってから、設定した時間経過後に削除する。
以上でポートセキュリティの設定はおしまい。
上記で使ったコマンド以外にもポートセキュリティのコマンドはあるのでまとめる。
セキュアmacアドレスの登録上限数の設定
S1(config-if)# switchport port-security maximum 最大数
最大数に設定できる数の上限は機器によって異なる
エラーディセーブル自動復旧設定
S1(config-if)# #errdisable recovery cause psecure-violation
自動復旧までの時間設定
S1(config-if)# errdisable recovery interval 30-86400(秒)
セキュアmacアドレスのスティッキーラーニング設定
S1(config-if)# switchport port-security mac-address sticky
以上でおしまい。
Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。
また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!
こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?
コメント