2006年6月12日 / 最終更新日 : 2006年6月12日 Gene Cisco(シスコ)

Configuring Port Security(3回目)

はじめに

前回、前々回に引き続きPort Securityのお話です。
設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが設定に関
してはまだまだあります。

今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉強します。
Aging(というのは、簡単に言うと「忘れちゃう」ということです。

Enabling and Configuring Port Security Aging

ecure Portに記憶されているSecure MacをAgingさせられるのは、Staticと
Dynamicで学習したMacアドレスのみです。Stickyで学習したMacアドレスに関
してはAgingできませんので注意してください。

Agingはポートごとに以下の2つのタイプを設定できます。

-Absolute
あるポートで記憶されているSecure Macを特定の時間が経過した後に削除する。
通信が行われている最中でも、特定の時間が経過するとAgingが行われます。

-Inactivity
Secure Portで記憶されているSecure Macを通信に使用されなくなってから特
定の時間が経過した後に削除する。特定の時間が経過する前に再び通信が行わ
れると、Agingまでの時間はリセットされます。

以下にPort Security Agingの設定ステップを示します。

Step1
Switch# conf t

まず、Global Configuration Modeに移ります。

Step2
Switch(config)# interface fa 0/x

Port Security Agingを設定するインタフェースを選択します。

Step3
Switch(config-if)# switchport port-security aging

Port Security Agingを設定します。

static・・・staticに設定されたSecure Macに対してAgingを有効したいとき
に設定します。

time・・・Agingまでの時間を設定します。0から1440までの値を指定可能で、
単位は分です。0を指定するとAgingしないこと意味します。

type・・・Agingするまでのカウントダウンのやりかたとしてabsoluteかinactivity
を指定します。指定しない場合、absoluteとなります。

Step4

以上で設定は終了です。

Configuration Example

いくつか設定例を見て、設定のやりかたを確認しましょう。まずは、Staticに
Secure Macの設定方法です。

Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Macを設定して、
さらにSecurity Violationモードをprotectにしている例を示します。

Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation protect
Switch(config-if)# switchport port-security mac 1111.1111.1111
Switch(config-if)# switchport port-security mac 2222.2222.2222
Switch(config-if)# no shutdown

設定の前にshutdownしているので、最後にno shutdownするのを忘れないよう
にしましょう。

次にAgingの設定例です。
Switchのfa 0/1に記憶されているSecure MacのAging typeをinactivityで設定
しています。

Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging static
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity

Aging typeのデフォルトはabsoluteなので、aging typeを変える設定が必要で
す。

Basic Configuring Exercise

それでは練習問題です。

問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台までとなるよう
に設定してください。

問2) 問1のfa0/1の設定にAgingの設定を追加します。2時間経ったらすべての
Secure Macを消去するようにしてください。

問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecureMacとして予め登
録してください。さらに、このポートにPC10台分のMacアドレスをSecure Mac
として動的に記憶できるようにしてください。

問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。IP PhoneにはPC
が1台接続される予定になっています。このポートで許可するMacアドレスの数
はいくつ必要でしょうか。

では解答です。
問1ですが、設定は以下のようになります。

Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# no shutdown

問2は、以下のようになります。

Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging time 120

typeを指定しない場合はabsoluteでしたよね。

問3は、以下のようになります。

Switch(config)# int fa 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 11
Switch(config-if)# switchport port-security mac-address aaaa.bbbb.cccc
Switch(config-if)# no shutdown

maximumの値を10とした方いませんか?こうところにひっかからないようにし
ましょう(笑)

問4は設定させる問題ではありませんが、IP Phoneを接続させるポートに
Port Securityを設定する場合の注意点です。忘れた方は
「Port Security(2回目)のConfiguration Guideline」を参照してください。

答えは3つとなります。

Advanced Configuring Exercise

久々の応用問題です。応用とは言っても私が勝手に考えたひっかけ問題なんで
すが(笑)

では、早速問題です。

Switchのfa 0/10のポート配下に接続されるホストのMacアドレスを動的に
Secure Macとして記憶してください。このとき、SwitchがRebootすると
Secure Macを覚えなおすようにしてください。
また、最大許可エントリ数を5とし、Security Violationが発生した場合は2分
後に再び利用可能になるようにしてください。

どの辺が応用なのか、というツッコミはやめてください(笑)
Security Violationが~のところがちょっとしたミソになっています。

では解答です。

Switch(config)# int fa 0/10
Switch(config-if)# switchport mode access

問題にはホストが接続されると書きましたので、switchportのmodeをaccessに
する必要があります。Port SecurityはDynamic accessのswitchportには設定
できないので、必ずスタティックにaccessポートの設定をしてください。

Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5

次はPort Securityの設定です。許可エントリのデフォルト値は1ですので、そ
れを5に増やすための設定が必要です。Secure Macの学習方式はDynamicがデフ
ォルトのため、特に設定は必要ありません。

また、Security Violationが起こった場合のモードもshutdownがデフォルトな
ので特に設定は必要ありません。

最後に必要なのが、error-disabledとなったポートの自動復旧の設定です。
Security Violationが起こったときのモードがshutdownの場合そのポートは
error-disabledとなり、ポートが閉塞された状態となります。

この状態を復旧させるには、手動でshutdownコマンドを入れてその後no shutdown
コマンドを実行する必要があります。

問題には120秒後に再び利用可能になるように、と書いていますので自動的に
error-disabledの状態を復旧させる必要があります。その場合の設定は以下の
ようになります。

Switch(config)# errdisable recovery cause psecure-violation
Switch(config-if)# errdisable recovery interval 120

recovery intervalは秒単位ですので、2分を120秒として設定するのを間違え
ないようにしましょう。

Further Reading

Port Security関連のDocumentへのLinkです。

Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swtrafc.htm

さて、今回でCatalyst3550に関するポートベースのトラフィック制御の技術に
ついてのお勉強は終了です。

By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/

カテゴリー
Cisco(シスコ)ネットワークセキュリティ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA