はじめに
前回はPort Securityの動作や概念のお勉強をしました。今回からはいよいよ 設定です。
いつもいつも繰り返し言っていますが、前回の動作や概念のお話を読んでいな
い方は、まず動作や概念を頭に入れてから設定方法を見ていきましょう。
CCIEでは設定のやり方を覚えるのはそれほど重要ではありません。「動作を理
解する」ことの方が非常に重要です。
Default設定
Port Securityは、Defaultでは設定されていません。
Port Securityを有効にした場合、以下のDefault設定が有効になります。
-Maximum Secure Mac Address(最大許可エントリ数)は1
-Violation Modeはshutdown
-Macアドレス学習方法はDynamic
-学習したMacアドレスのAging timeは0(Age outしない)Agingを有効にした
ときのdefault typeはabsolute
Configuration Guidline
Port Securityを設定する際のガイドラインです。
-Port Securityは手動で設定されたaccess port、trunk portまたは
dot1Q Tunnel portで設定できます。
-Port SecurityはDyamic access portには設定できません。
(注:dynamic access portとは、switchport mode accessコマンドを設定せ
ずにDTPによってaccess portになったポートのことです。
-Port SecurityはSwitch Port Analyzer(SPAN)のあて先ポートに指定されて いるポートには設定できません。
-Port SecurityはFECやGECに参加しているポートには設定できません。
-Voice VLANが設定されているポートでPort Securityを有効にする場合、許
可されるMacアドレスのエントリ数を最低でも2つ以上にしてください。
IP Phoneは最大で2つのMacアドレスを使用します。IP Phoneの配下にPCを接
続する場合は、PCのMacアドレスを追加で許可する必要があります。
-許可エントリ数を定義するコマンドを設定するときは、現時点で設定されて
いるエントリ数よりも大きな数を指定してください。設定は上書きされます
ので、現在許可されているエントリ数よりも少ない数を新しく定義しようと
した場合、コマンドが拒否されます。
例えば、現時点で3つのMacアドレスが許可されているポートに2つのMacアド
レスまでしか許可されない設定をしようとすると、コマンドが拒否されます。
-Stickyで設定されているMacアドレスをAgingさせることはできません。
Enabling and Configuring Port Security
以下にPort Securityの設定ステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Securityを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport mode { access | trunk }
Port Securityを設定する前に、ポートをaccessかtrunkに設定します。Dynamic の状態では設定できません。
Step4
Switch(config-if)# switchport voice vlan vlan-id
Voice VLANを使用する場合は、Voice VLANの設定もしておきます。
Step5
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Port Securityを有効にする前にshutdownコマンドを実行しています。これは
switchport port-securityと実行するとそのポートですぐにPort Securityが
有効になり、有効になった場合はPort SecurityのDefault設定も有効になって
きますので、場合によってはSecurity Violationを起こしてしまう可能性があ
ります。
よって、まずshutdownをした後にPort Securityの設定を行うことをオススメ
します。
Step6
Switch(config-if)# switchport port-security [ maximum
value [ vlan { vlan-list | { access | voice }}]]
許可する最大エントリ数を設定します。この設定はOptionalです。Defaultの
最大許可エントリ数は1です。最大数だけ定義したい場合、vlan以下のコマン
ドは必要ありません。
vlanは、trunkポートでvlanごとに最大許可エントリを定義したい場合に使用
します。
accessやvoiceは、Cisco IP Phoneと接続される場合に使用します。
Step7
Switch(config-if)# switchport port-security violation {
protect | restrict | shutdown }
Security Violationが起こった場合のふるまいを設定します。この設定はOptional です。Defaultの動作はshutdownです。
Step8
Switch(config-if)# switchport port-security [ mac-address
mac [ vlan { vlan-id { access | voice }}]]
接続を許可するMacアドレスをStaticに設定します。vlan以下のコマンドは、
Step6で説明した内容と同様の意味です。
最大許可エントリ数より少ない数のStaticを設定した場合はMacアドレスの数
が許可エントリ数に達するまでDynamicで自動的に学習します。
Step9
Switch(config-if)# switchport port-security mac-address sticky
Stickyを有効にします。この設定はOptionalです。
Step10
Switch(config-if)# switchport port-security mac-address
sticky [ mac-address | vlan vlan-id { access | voice }]]
TrunkポートでStickyをVLANごとに有効にします。この設定はOptionalです。
Step11
以上で設定は終了です。
て、次回も引き続き設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Enabling and Configuring Port Security Aging
-Configuration Example
-Basic Configuring Exercise
-Advanced Configuring Exercise
-Further Reading
です。お楽しみに。
By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/
