ポートセキュリティ設定(スタティック)
Ciscoスイッチ(Catalyst)にはポートセキュリティ機能が搭載されています。
顧客情報が流出するなど、情報漏洩に関する事件をニュースで聞くことが本当に多くなっています。
情報漏洩と聞くと、ハッキングにより外部から侵入されてデータを盗まれると言うイメージがあるかもしれませんが、実は情報漏洩事件の約8割が内部からの犯行だと言われています。
それを未然に防ぐため、ネットワークに参加する入口を制限するのがポートセキュリティ機能です。
ポートセキュリティ機能は、あらかじめ許可しておいたMACアドレス以外のMACアドレスを持つホストのフレームを遮断します。
ポートセキュリティ機能設定
ポートセキュリティ機能の設定は次の手順を踏むことで行えます。
アクセスポートに設定ポートセキュリティを設定するポート(インターフェイス)はアクセスポートである必要があります。トランクポートに対しては設定できません。
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access
ポートセキュリティ有効化
ポートセキュリティの有効化はswitchport port-securityコマンドで行います。
Switch(config-if)#switchport port-security
最大MACアドレス数を設定
ポートセキュリティを有効にしたポートに接続を許可するMACアドレスの数を設定します。
Switch(config-if)#switchport port-security maximum 1
今回は、1つのMACアドレスだけ許可します。(デフォルトの設定も1なので、デフォルトのままで良いのならこのコマンドは実行する必要ありません。)
許可するMACアドレスを登録
ポートへの接続を許可するMACアドレスを登録します。
登録は、switchport port-security mac-addressコマンドで行います。
Switch(config-if)#switchport port-security mac-address 0023.266A.4FAB
今回は、「0023.266A.4FAB」というMACアドレスを許可します。
バイオレーションモードの設定
不正なMACアドレスを持つホストが接続された際の、その後の動作を設定します。
- switchport port-security violationコマンド書式
- (config)# switchport port-security violation [protect | restrict | shutdown]
protect………不正なMACアドレスからのフレームは破棄する。
restrict………protectと基本動作は同じ。SNMPによる通知が可能。
shutdown………インターフェイスをerr-disabledにし無効化する。SNMPによる通知が可能。
Switch(config-if)#switchport port-security violation shutdown
今回は、shutdownを指定します。(デフォルトの設定もshutdownなので、デフォルトのままで良いのならこのコマンドは実行する必要ありません。)
ポートセキュリティ設定確認
ポートセキュリティの設定確認はshow port-securityコマンドで行えます。Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
<項目説明>
Secure Port………ポートセキュリティが有効なポート
MaxSecureAddr………許可する最大MACアドレス数(デフォルト1)
CurrentAddr………現在、学習しているMACアドレス数
SecurityViolation………違反が発生した回数
Security Action………違反発生時の動作モード
許可したMACアドレスを確認したい場合は、show port-security addressコマンドを使用します。
Switch#show port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0023.266a.4fab SecureConfigured Fa0/1 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
