ポートセキュリティの基本設定 – Cisco スイッチ

ネットワーク機器、操作・設定

ポートセキュリティとは、ポートに接続する機器をアクセス制御する機能です。この機能を使うとスイッチにあらかじめ設定されている MAC アドレスをもつ機器以外からのトラフィックを防ぐことができます。ここではCiscoのスイッチを使ってポートセキュリティの設定をおこないます。

ポートセキュリティ基本設定の種類

ポートセキュリティを設定するには、まずはじめにポートに許可するMACアドレスを学習させます。方法はスタティックに手動で MAC アドレスを指定して設定する方法と、実際に流れてきたフレームからダイナミックに学習した MAC アドレスを設定する方法があります。

Cisco ポートセキュリティ MACアドレス学習 の種類

ダイナミックに学習したMACアドレスはコンフィグには書かれないのでスティッキーと呼ばれる設定を追加でおこなうと、学習したMACアドレスをスタティックに設定するときと同じようにコンフィグファイルに書き出してくれます。

ポートセキュリティの基本設定

ポートセキュリティの設定はスイッチのポート単位でおこないます。
ポートセキュリティはネゴシエートしないトランクポートでも設定可能ですが、以下の例ではアクセスポートに設定しています。

ポートセキュリティの設定

設定コマンド

Cisco ポートセキュリティ アクセス制御 有効化コマンド

Gi0/1をアクセスポートにしてポートセキュリティを有効にしていきます。

Switch# configure terminal
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# end

設定を確認します。

Switch# show running-config interface GigabitEthernet 0/1
Building configuration…
Current configuration : 86 bytes
!
interface GigabitEthernet0/1
switchport mode access
switchport port-security
end

ポートセキュリティ設定の確認

ポートセキュリティのステータスを確認します。

確認コマンド

Cisco ポートセキュリティ アクセス制御 ステータスの確認

以下では、 Gi0/1にポートセキュリティが設定されていることが Secure Portの項目で確認できます。

ステータス確認コマンド結果

show port-security コマンド結果の項目の説明

Secure Port:ポートセキュリティが有効なポート
MaxSecureAddr(Count):許可される最大MACアドレス数 (1がデフォルト)
CurrentAddr(Count):現在学習されているMACアドレスの数
SecurityViolation(Count):セキュリティ違反が発生した数
Security Action:セキュリティ違反が発生した際の動作(shutdownがデフォルト)

ポートセキュリティの動作確認

Gi0/1 へPCを接続してリンクをアップさせてステータスを確認してみます。

ステータス確認コマンド結果

Current Addr(Count)が1になりました。

これでポートセキュリティ設定をした Gi0/1 では、このMACアドレスをもつ機器の接続だけが許可されます。2つ目以降のMACアドレスを持つフレームは破棄されます。これはデフォルトでは最大MACアドレス数が1であるためですが、設定で変更することも可能です。

またポートがダウンすると学習したMACアドレスは、MACアドレステーブルからも削除されてリセットされるため、またあらたな1つを学習して許可します。

ポートセキュリティの違反動作モードの設定

ポートセキュリティ-違反動作モードの種類

ポートセキュリティの違反があった場合の動作の種類は3つあり、設定で変更することができます。デフォルトの動作モードは shutdown でポートをerrdisable状態にします。

Cisco ポートセキュリティ 違反動作オードコマンド

ポートセキュリティ-違反モードの設定

設定コマンド

Cisco ポートセキュリティ 違反動作モードの設定コマンド

以下では、Gi0/1の違反時の動作を protect へ変更しています。

Switch# configure terminal
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport port-security violation protect
Switch(config-if)# end
Switch#

ポートセキュリティ-違反モードの確認

ステータスを確認します。Security Actiono の項目が Shutdown から Protect に変更されたことが確認できます。

ステータス確認コマンド結果

ポートセキュリティ-最大MACアドレスの数の設定

最大MACアドレス数の設定

許可する最大MACアドレス数を設定により変更できます。

設定コマンド

Cisco ポートセキュリティ 最大登録MACアドレスの設定

デフォルトの1から変更したい場合に設定します。

Switch# configure terminal
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# end
Switch#

最大MACアドレス数の設定確認

ステータスを確認します。MaxSecureAddr(Count) が 2 に変更されていることが確認できます。

ステータス確認コマンド結果

ポートセキュリティ-sticky MACアドレスを設定

sticky MACアドレスを設定

ポートセキュリティのsticky MAC アドレスを有効にすると、ポートに接続した機器のMACアドレスが自動でコンフィグに登録されます。その後、コンフィグを保存することで再起動後にもポートセキュリティのMACアドレス設定を維持できます。

設定コマンド

Cisco ポートセキュリティ sticky MAC アドレスの設定コマンド

Switch#configure terminal
Switch(config)#interfac GigabitEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)#end
Switch#

sticky MACアドレスが設定されていることを確認します。 以下では接続されている機器のMACアドレスが自動で設定されています。

Switch# show run int gi0/1
Building configuration…
Current configuration : 271 bytes
!
interface GigabitEthernet0/1
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security violation protect
switchport port-security mac-address sticky
switchport port-security mac-address sticky 80fa.5b65.e86a

end

ポートセキュリティ-スタティック MACアドレスを設定

スタティック MACアドレスの設定

ポートセキュリティのMACアドレスを手動で行うことができます。

設定コマンド

Cisco ポートセキュリティ スタティック MAC アドレスの設定コマンド

Switch# configure terminal
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport port-security mac-address aaaa.aaaa.aaaa
Switch(config-if)# end
Switch#

スタティック MACアドレスの設定確認

設定を確認します。

Switch# show run int gi0/1
Building configuration…
Current configuration : 324 bytes
!
interface GigabitEthernet0/1
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security violation protect
switchport port-security mac-address sticky
switchport port-security mac-address sticky 80fa.5b65.e86a
switchport port-security mac-address aaaa.aaaa.aaaa
end

最後にステータスを確認します。

ステータス確認コマンド結果

参考リンク

ポートセキュリティとは – L2スイッチでの基本動作と仕組み

L2スイッチとは – 概要と基本動作

ARP(Address Resolution Protocol) とは – 概要と基本動作

MAC アドレスとは – 概要とイーサネットで利用する目的


コメント