ポートセキュリティ設定(ダイナミック)

ポートセキュリティ設定(ダイナミック)

スティッキーラーニング機能を使用し、ダイナミックにポートセキュリティを設定するには次の手順を行います。

アクセスポートに設定

ポートセキュリティを設定するポート(インターフェイス)はアクセスポートである必要があります。トランクポートに対しては設定できません。

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access


ポートセキュリティ有効化

ポートセキュリティの有効化はswitchport port-securityコマンドで行います。

Switch(config-if)#switchport port-security


最大MACアドレス数を設定

ポートセキュリティを有効にしたポートに接続を許可するMACアドレスの数を設定します。

Switch(config-if)#switchport port-security maximum 1

今回は、1つのMACアドレスだけ許可します。(デフォルトの設定も1なので、デフォルトのままで良いのならこのコマンドは実行する必要ありません。)



スティッキーラーニング有効化

スティッキーラーニングを有効にするには、switchport port-security mac-address stickyコマンドを実行します。

Switch(config-if)#switchport port-security mac-address sticky


バイオレーションモードの設定

不正なMACアドレスを持つホストが接続された際の、その後の動作を設定します。

switchport port-security violationコマンド書式
(config)# switchport port-security violation [protect | restrict | shutdown]

protect………不正なMACアドレスからのフレームは破棄する。
restrict………protectと基本動作は同じ。SNMPによる通知が可能。
shutdown………インターフェイスをerr-disabledにし無効化する。SNMPによる通知が可能。
Switch(config-if)#switchport port-security violation shutdown

今回は、shutdownを指定します。(デフォルトの設定もshutdownなので、デフォルトのままで良いのならこのコマンドは実行する必要ありません。)


以上で設定完了です。
あとは、各ポート(インターフェイス)に許可するホストを接続します。
そのホストからフレームを受信すると、MACアドレスが学習され、running-configにその情報が保存されます。

Switch#show running-config
Building configuration...
~ 省略 ~
!
interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 0021.85e0.4481
 switchport port-security violation shutdown
!
~ 省略 ~
end

オレンジの行がスティッキーラーニング機能により、自動的に追加されたものになります。


このように、スイッチの各ポートにポートセキュリティを設定することで、許可したMACアドレス以外の送信元MACアドレスを持つフレームは、転送されずに破棄されるようになります。

ただし、MACアドレスを偽造するためのツールが出回っていたり、LANカード自体にMACアドレスを変更するための機能が備わっていたりするものもあるため、ポートセキュリティ機能だけでは万全なセキュリティ対策とはなりません。

タグ