今回の記事ではポートセキュリティの概要と設定についてご紹介します。
ポートセキュリティの概要
ポートセキュリティは、Catalyst スイッチにおいて実装可能なセキュリティ機能です。
ポートセキュリティの実装は、スイッチのMAC アドレステーブルに、ネットワークへのアクセスを許可する端末のMAC アドレスを、「セキュアアドレス」としてエントリすることで実現されます。
例えば、スイッチのF0/1 ポートにMAC アドレス「0001.aaaa.bbbb」をセキュアアドレスとしてエントリした場合、F0/1 ポートではこのMAC アドレスを持つ端末からのデータを受信し、転送を行います。
しかし、エントリされていないMAC アドレスを持つ端末からのデータは破棄します。
セキュアMACアドレス
セキュアMAC アドレスとは、ポートセキュリティが有効となっているポートでアクセスが許可されるMAC アドレスを指します。
Catalyst スイッチでは、上記のように3 タイプのセキュアMAC アドレスをサポートしています。
また、「switchport port-security mac-address sticky」コマンドにより、ダイナミックMAC アドレスをsticky セキュアMAC アドレスに変換して、その結果をrunning-config に変換することができます。
これにより、アクセスを許可される端末のMAC アドレスを手動で入力する必要がなくなります。
なお、sticky コマンドが無効にされた場合は、sticky セキュアMAC アドレスはダイナミックセキュアMAC アドレスに変換され、running-config からもそのMAC アドレス情報が削除されます。
ポートセキュリティの設定
セキュアアドレスのスタティックエントリ
ポートセキュリティのセキュアアドレスのエントリ方法として、スタティックで行うことができます。
このエントリ方法を使用すると、明示的にアクセス可能な端末のMAC アドレスを指定することが可能です。
- 指定したポートを、アクセスポートに固定します。
この設定がされていないと、ポートセキュリティを有効にすることができません。 - ポートセキュリティを有効にする。
- 登録するMAC アドレスを、セキュアアドレスとしてスタティックエントリ。
(上記では0001.aaaa.bbbb をセキュアアドレスとして登録)
Catalyst スイッチは、1つのポートに対して複数のMAC アドレスを動的にエントリできます。
しかし、ポートセキュリティを有効化し、エントリ数の制限を指定しない場合、デフォルトでのエントリ数は1となります。
例えば、F0/1 ポートにMAC アドレス0001.aaaa.bbbb の端末のみアクセス可能と設定するには、F0/1ポートでのエントリ数を明示的に1つに絞る必要があります。
MAC アドレスの最大エントリ数を入力。
ここでは、スイッチのF0/1 ポートでのエントリ数は1つと設定。
前ページの設定により、F0/1 ポートにはエントリされたMAC アドレスの端末しか接続できなくなり、別のMAC アドレスの端末が接続されてもアクセスが拒否されます。
Sticky によるセキュアアドレスのエントリ
セキュアMAC アドレスをSticky でエントリする場合は、対象のインタフェースで下記のように設定します。
- ポートセキュリティの有効化。
- 登録できるセキュアMAC アドレスの最大数を指定。
この例では2つまでとしています。
Sticky の設定。
「sticky」により、セキュアMAC アドレスを動的に学習できるようにする。
この例では、2台目のPC が接続するまでは学習したMAC アドレスを登録できます。
いかがでしたでしょうか。
ぜひ学習の際にお役立て下さい。
