ポートセキュリティ

cisco機器でのポートセキュリティ設定についてまとめ。

そもそもポートセキュリティとはスイッチのポートに設定するもので、許可されたmacアドレスを持たない機器の通信を破棄することで管理外の端末の通信を防ぐというもの。
許可するmacアドレスはポートごとに設定する。

設定方法

まずは設定したいインターフェースに入る。

S1(config)# int f0/1

ciscoスイッチではデフォルトでDTPが有効になっていて、ポートが[dynamic desirable]または[dynamic auto]になっていてポートセキュリティの有効化ができないので、手動でアクセスポートに設定しておく。（トランクポートではポートセキュリティは使わん）

S1(config-if)# switchport mode access

DTPを無効かしたい場合は

S1(config-if)# switchport nonegotiate

で無効化できる。
ポートセキュリティを有効化する。

S1(config-if)# switchport port-security

違反時の動作モードの設定（管理外の機器が接続されたときの動作）

S1(config-if)# switchport port-security violation 動作

動作には三種類ある。

デフォルトの違反モードはシャットダウン

ポートセキュリティの動作でポートがシャットダウンするとエラーディセーブルとなり、復帰にひと手間必要。
エラーディセーブルのポートは一度手動でshutdownコマンドを入力し、administaratively downの状態にしてからno shutdownでポートの起動をさせる必要がある。

許可するmacアドレスの登録

S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx

※macアドレスの書式に注意

登録されたmacアドレスの確認は

S1# show port-security address

登録されたmacアドレスのエージング時間の設定 (通信しなくなった端末のMACアドレスが残っているために、新たな端末がアクセスできなくなることを防ぐ)

S1(config-if)# switchport port-security aging time 1-1440(分)

デフォルトでは0、つまり無制限になっている

エージングの動作

S1(config-if)# switchport port-security aging type < absolute / inactivity >

absoluteにすると、設定した時間が過ぎたら、通信中であっても削除する。
inactivityにすると、通信しなくなってから、設定した時間経過後に削除する。

以上でポートセキュリティの設定はおしまい。

ポートセキュリティ関係の他のコマンド

上記で使ったコマンド以外にもポートセキュリティのコマンドはあるのでまとめる。

セキュアmacアドレスの登録上限数の設定

S1(config-if)# switchport port-security maximum 最大数

最大数に設定できる数の上限は機器によって異なる

エラーディセーブル自動復旧設定

S1(config-if)# #errdisable recovery cause psecure-violation

自動復旧までの時間設定

S1(config-if)# errdisable recovery interval 30-86400(秒)

セキュアmacアドレスのスティッキーラーニング設定

S1(config-if)# switchport port-security mac-address sticky

以上でおしまい。