ポートセキュリティではス イッチのポートごとに接続可能なMacアドレスの登録や接続可能なMacアドレス数の指定を行います。スイッチはMacアドレスの登録上限数を超えた場合 や違反のMacアドレスを検出した際にTrapやSyslogを出力したり、そのインターフェイスを強制的にダウンさせることが可能になります。
IEEE802.1Xでも同様のことが可能なのですが、これよりも手軽に一部のみ導入したいといった場合には割りと重宝する機能ですので是非抑えて頂き たい部分です。
今回は下記の構成を例にとって記載します。
以下、L2Switch_Aの設定例です。下記では接続できるMacアドレスを管理者が明示的に1234.5678.90abと定義しています。
(config)# interface GigabitEthernet0/1 # ポートセキュリティを有効 (config-if)# switchport port-security # 接続できるMacアドレス数を指定 (config-if)# switchport port-security maximum 1 # 接続を許可するMacアドレスを指定 (config-if)# switchport port-security mac-address 1234.5678.90ab # 未登録のMacや上限数を超えた場合のアクションを定義 (config-if)# switchport port-security violation shutdown |
Macアドレスの定義は手動ではなく自動で学習したものを追加することも可能でその場合は以下の設定を追加します。コマンドを実行するとこれが有効となる 前に学習したMacアドレスを含めて全てのダイナミックセキュアMacアドレスをスティッキセキュアMacアドレスに変換し、自動的にrunnning- config上に追加します。
(config-if)# switchport port-security mac-address sticky |
アクション定義について、登録されていないMacアド レスの端末が接続しにきた場合や、定義した上限数を超えた場合などにおいて発動することになります。上記ではshutdownを指定しており、発動した際 にはポートが強制的にシャットダウンされる動きとなりますが、その他にも指定可能なアクションがあります。それを以下にまとめます。
| 項目 | 説明 |
| protect | そのMacアドレスからのフレームをドロップしますが、ログなどには何も表示されません。 |
| restrict | そのMacアドレスからフレームをドロップし、なおかつトラップやログなどの通知も可能です。 |
| shutdown | そのMacアドレスからフレームが来るとインターフェイスを無効にしトラップやログを通知します。 |
それぞれの違反モードおよび動作仕様について以下にまとめます。
| 違反モード |
トラフィック転送 |
トラップ送信 |
ログメッセージ送信 |
エラーメッセージ送信 |
違反カウンタ増加 |
ポー トシャットダウン |
| protect |
No |
No |
No |
No |
No |
No |
| restrict |
No |
Yes |
Yes |
No |
Yes |
No |
| shutdown |
No |
No |
No |
No |
Yes |
Yes |
違反モードにshutdownを設定し、それが発動さ れた場合はポートはディセーブルになります。これを再度有効にするには一旦shutdownした後にno shutdownを実行する必要があります。
(config)# interface GigabitEthernet0/1 (config-if)# shutdown (config-if)# no shutdown |
showコマンドでの確認は以下のコマンドで実施可能です。
# show port-security interface Gi0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address : 1234.5678.90ab Security Violation Count : 0 |
このポートセキュリティ設定ですが任意のポートに設定 できる、というものではなく互換性のないものもあります。互換性のあるもの、ないものを以下にまとめます。
| ポー トタイプ | 互換性 |
| DTP ポート ( switchport mode dynamic ) |
× |
| トランクポート | ○ |
| ダイナミックアクセスポート ( switchport access vlan dynamic ) |
× |
| SPAN 送信元ポート | ○ |
| SPAN 宛先ポート | × |
| EtherChannel | × |
| 保護ポート | ○ |
| IEEE802.1Xポート | ○ |
| 音声VLANポート | ○ |
| FlexLink ポート | ○ |