Configuring Port Security(3回目)
目次
はじめに
前回、前々回に引き続きPort Securityのお話です。
設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが設定に関
してはまだまだあります。
今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉強します。
Aging(というのは、簡単に言うと「忘れちゃう」ということです。
Enabling and Configuring Port Security Aging
ecure Portに記憶されているSecure MacをAgingさせられるのは、Staticと
Dynamicで学習したMacアドレスのみです。Stickyで学習したMacアドレスに関
してはAgingできませんので注意してください。
Agingはポートごとに以下の2つのタイプを設定できます。
-Absolute
あるポートで記憶されているSecure Macを特定の時間が経過した後に削除する。
通信が行われている最中でも、特定の時間が経過するとAgingが行われます。
-Inactivity
Secure Portで記憶されているSecure Macを通信に使用されなくなってから特
定の時間が経過した後に削除する。特定の時間が経過する前に再び通信が行わ
れると、Agingまでの時間はリセットされます。
以下にPort Security Agingの設定ステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Security Agingを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport port-security aging
Port Security Agingを設定します。
static・・・staticに設定されたSecure Macに対してAgingを有効したいとき
に設定します。
time・・・Agingまでの時間を設定します。0から1440までの値を指定可能で、
単位は分です。0を指定するとAgingしないこと意味します。
type・・・Agingするまでのカウントダウンのやりかたとしてabsoluteかinactivity
を指定します。指定しない場合、absoluteとなります。
Step4
以上で設定は終了です。
Configuration Example
いくつか設定例を見て、設定のやりかたを確認しましょう。まずは、Staticに
Secure Macの設定方法です。
Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Macを設定して、
さらにSecurity Violationモードをprotectにしている例を示します。
Switch(config)# int fa 0/1 Switch(config-if)# switchport mode access Switch(config-if)# shutdown Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 2 Switch(config-if)# switchport port-security violation protect Switch(config-if)# switchport port-security mac 1111.1111.1111 Switch(config-if)# switchport port-security mac 2222.2222.2222 Switch(config-if)# no shutdown
設定の前にshutdownしているので、最後にno shutdownするのを忘れないよう
にしましょう。
次にAgingの設定例です。
Switchのfa 0/1に記憶されているSecure MacのAging typeをinactivityで設定
しています。
Switch(config)# int fa 0/1 Switch(config-if)# switchport port-security aging static Switch(config-if)# switchport port-security aging time 10 Switch(config-if)# switchport port-security aging type inactivity
Aging typeのデフォルトはabsoluteなので、aging typeを変える設定が必要で
す。
Basic Configuring Exercise
それでは練習問題です。
問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台までとなるよう
に設定してください。
問2) 問1のfa0/1の設定にAgingの設定を追加します。2時間経ったらすべての
Secure Macを消去するようにしてください。
問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecureMacとして予め登
録してください。さらに、このポートにPC10台分のMacアドレスをSecure Mac
として動的に記憶できるようにしてください。
問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。IP PhoneにはPC
が1台接続される予定になっています。このポートで許可するMacアドレスの数
はいくつ必要でしょうか。
では解答です。
問1ですが、設定は以下のようになります。
Switch(config)# int fa 0/1 Switch(config-if)# switchport mode access Switch(config-if)# shutdown Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 3 Switch(config-if)# no shutdown
問2は、以下のようになります。
Switch(config)# int fa 0/1 Switch(config-if)# switchport port-security aging time 120
typeを指定しない場合はabsoluteでしたよね。
問3は、以下のようになります。
Switch(config)# int fa 0/2 Switch(config-if)# switchport mode access Switch(config-if)# shutdown Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 11 Switch(config-if)# switchport port-security mac-address aaaa.bbbb.cccc Switch(config-if)# no shutdown
maximumの値を10とした方いませんか?こうところにひっかからないようにし
ましょう(笑)
問4は設定させる問題ではありませんが、IP Phoneを接続させるポートに
Port Securityを設定する場合の注意点です。忘れた方は
「Port Security(2回目)のConfiguration Guideline」を参照してください。
答えは3つとなります。
Advanced Configuring Exercise
久々の応用問題です。応用とは言っても私が勝手に考えたひっかけ問題なんで
すが(笑)
では、早速問題です。
Switchのfa 0/10のポート配下に接続されるホストのMacアドレスを動的に
Secure Macとして記憶してください。このとき、SwitchがRebootすると
Secure Macを覚えなおすようにしてください。
また、最大許可エントリ数を5とし、Security Violationが発生した場合は2分
後に再び利用可能になるようにしてください。
どの辺が応用なのか、というツッコミはやめてください(笑)
Security Violationが~のところがちょっとしたミソになっています。
では解答です。
Switch(config)# int fa 0/10 Switch(config-if)# switchport mode access
問題にはホストが接続されると書きましたので、switchportのmodeをaccessに
する必要があります。Port SecurityはDynamic accessのswitchportには設定
できないので、必ずスタティックにaccessポートの設定をしてください。
Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 5
次はPort Securityの設定です。許可エントリのデフォルト値は1ですので、そ
れを5に増やすための設定が必要です。Secure Macの学習方式はDynamicがデフ
ォルトのため、特に設定は必要ありません。
また、Security Violationが起こった場合のモードもshutdownがデフォルトな
ので特に設定は必要ありません。
最後に必要なのが、error-disabledとなったポートの自動復旧の設定です。
Security Violationが起こったときのモードがshutdownの場合そのポートは
error-disabledとなり、ポートが閉塞された状態となります。
この状態を復旧させるには、手動でshutdownコマンドを入れてその後no shutdown
コマンドを実行する必要があります。
問題には120秒後に再び利用可能になるように、と書いていますので自動的に
error-disabledの状態を復旧させる必要があります。その場合の設定は以下の
ようになります。
Switch(config)# errdisable recovery cause psecure-violation Switch(config-if)# errdisable recovery interval 120
recovery intervalは秒単位ですので、2分を120秒として設定するのを間違え
ないようにしましょう。
Further Reading
Port Security関連のDocumentへのLinkです。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swtrafc.htm
さて、今回でCatalyst3550に関するポートベースのトラフィック制御の技術に
ついてのお勉強は終了です。
By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/