はじめに
前回はPort Blockingについてお勉強しました。Port BlockingとProtected Ports は似たような名前なので、使い方を混同しやすいですが、これまでのお勉強で 両者の違いが分かったはずです。
今回はPort Securityについてみていきます。
このPort Securityは3回に分かれています。1回目はPort Securityについての
動作や概念の話、2回目は設定の話、3回目も設定の話と練習問題をやります。
Port Securityが終わるとCatalyst3550のポートベースでトラフィックを制御 する技術をひととおりやったことになります。
Catalyst3550のSoftware Configuration Guideで言うと、Chapter22の Configuring Port-Based Traffic Controlの内容を全てカバーしました。
これまでFurther ReadingでマニュアルをLinkしていましたがまだ読まれてい
ない方は最後にこの章を読んでみましょう。
CCIE Lab試験では、マニュアルを読むことが非常に大切です。試験で見られる
唯一のドキュメントなのですから。
Port Securityとは
Port Securityとは、Switchの物理ポートに接続できるホストをMacアドレスを 元に限定する機能のことです。この機能により、事前にMacアドレスを登録し たホストや、または自動的にMacを学習したホストのみがSwitchに接続できる ようになります。
Secure Mac Address
Secure Mac Addressというのは、Switchへの接続を許可されたMacアドレスを 指しています。SwitchにSecure Mac Addressを登録するには、以下の3つのや り方があります。
-Static Secure Mac Address
switchport port-security mac-addressコマンドを使用して手動で接続を許可
したいMacアドレスを設定します。
この設定をcopyコマンドやwriteコマンドを使って保存すればMacアドレスはNVRAM
に記憶され、SwitchをRebootしても保持されます。
-Dynamic Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習してそのMacアドレスをも
つホストのみに接続を許可します。ただし、Dynamicに記憶されたアドレスは
設定には反映されません。SwitchがRebootするとそれまで覚えていたアドレス
の情報は消滅し、再度学習しなおす必要があります。(学習はSwitchにフレー
ムが届くと同時に行われます)
-Sticky Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習してそのMacアドレスをも
つホストのみに接続を許可します。
Dynamicと異なるのは、Stickyで記憶されたMacアドレスは設定に反映されます。
この設定をcopyコマンドやwriteコマンドを使って保存すればMacアドレスはNVRAM
に記憶され、SwitchをRebootしても設定は保持されます。
た、Dynamicで動作させているポートを途中でStickyに変えることもできます。 この場合、Dynamicで記憶されているMacアドレスが自動的に設定に反映される ようになります。これをRebootしても有効なままにしておくにはcopyコマンド かwriteコマンドで保存するのを忘れないようにしましょう。
逆にSitckyで動作させているポートをDynamicに変えることもできます。この 場合、設定に反映されていたMacアドレスは設定から消えて、Rebootすると消 滅するので再び覚えなおす必要があります。(学習はSwitchにフレームが届く と同時に行われます)
以降、Port Securityで許可されたアドレスをSecure Macと呼び、併せて Port Securityが設定されているポートをSecure Portと呼びます。
Security Violation
Security Violationは以下の状況が1つでも該当すると起こります。
-Switchが検出したMacアドレスの数が、許可されるSecureMacエントリの最大数を上回った場合
-Secure Portに記憶されているSecure Macが、同じVLANの別のSecure Portで検出された場合
1つめの場合から見ていきましょう。
Secure Portには、許可されるSecure Macの最大エントリ数を設定できます。
デフォルトは1つです。
例えば、Dynamicで設定されたポートに2つのMacアドレスが検出された場合、
デフォルトの最大エントリ数を上回るので、2番目に検出されたMacアドレスを
持つフレームはSecurity Violationと判断され、Switchでブロックされます。
次に2つめの場合です。以下の状況を想像してみてください。Swtichのfa0/1で は、0123.4567.89abを持つMacアドレスを許可したいので、Staticに設定され ているとします。
そのホストがfa0/1に接続されいるときは問題なく動作できますが同じVLANに 属するfa0/2(このポートもSecure Portで動作しているとします)に接続を変 更した場合、Switchはfa0/1で設定されているSecure Macがfa0/2で検出された ため、fa0/2への接続をブロックします。
Security Violationが起こった場合のふるまいを以下の3つのなかのどれかに 設定することができます。
-protect
最大許可エントリ数を上回るMacアドレスを受け取った場合、エントリ数を増
やすか、Switchが保持しているエントリを削除するまでブロックします。
protectモードは許可エントリを上回ったフレームだけをブロックするだけで
す。SyslogやSNMP Trapは生成しません。
-restrict
最大許可エントリ数を上回るMacアドレスを受け取った場合、エントリ数を増
やすか、Switchが保持しているエントリを削除するまでブロックします。
restrictモードは許可エントリを上回ったフレームだけをブロックし、さらに SyslogとSNMP Trapを生成します。
-shutdown
デフォルトのモードです。
最大許可エントリ数を上回るMacアドレスを受け取った場合、そのフレームを
ブロックし、そのインタフェースをerror-disabledにして使用不能な状態にし
ます。さらにSyslogとSNMP Trapを生成します。
error-disabledとなったインタフェースを復旧させるには、手動で行う場合と
自動で行う場合があります。手動で行うには、error-disabledとなったインタ
フェースでshutdownコマンドを実行し、その後にno shutdownコマンドを実行
します。
自動で行うにはerrdisable recovery cause psecure-violationグローバルコ
ンフィグレーションコマンドを使用します。
#error-disabledについての説明は割愛します。
さて、次回は設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Default設定
-Configuration Guidline
-Enabling and Configuring Port Security
-Configuration Example
です。お楽しみに。
By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/
