ポートセキュリティ動作確認

ポートセキュリティ動作確認

前回、前々回の記事で、ポートセキュリティの設定方法を紹介しましたが、今回は不正なフレームを受信し、ポートセキュリティが働いた場合、スイッチはどのような動作をするかを見ていきます。

前提条件として、ポートセキュリティの設定は、スティッキーラーニング機能により許可するMACアドレスを学習し、バイオレーションモードはデフォルトの「shutdown」を設定したとします。


show running-configコマンド出力結果
Switch#show running-config
Building configuration...
~ 省略 ~
!
interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 0021.85e0.4481
 switchport port-security violation shutdown
!
~ 省略 ~
end

ネットワーク構成

ポートセキュリティ構成


スイッチのFastEthernet0/1ポートにはMACアドレス「0021.85e0.4481」のPC1が接続されています。この状態でPC2にPingを投げてみます。

C:\Users\gran>ping 172.16.2.2

172.16.2.2 に ping を送信しています 32 バイトのデータ:
172.16.2.2 からの応答: バイト数 =32 時間 =2ms TTL=61
172.16.2.2 からの応答: バイト数 =32 時間 =1ms TTL=61
172.16.2.2 からの応答: バイト数 =32 時間 =1ms TTL=61
172.16.2.2 からの応答: バイト数 =32 時間 =2ms TTL=61

172.16.2.2 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 1ms、最大 = 2ms、平均 = 1ms

無事に通ります。

では、FastEthernet0/1ポートにPC3を接続し直してみます。
この時点で、スイッチとターミナルソフトで接続していた場合、下記のような出力が画面に表示されます。

03:43:13: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
03:43:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
03:43:42: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
03:43:42: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0021.85e0.4482 on port FastEthernet0/1.
03:43:43: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
03:43:44: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

出力内容を読み取ると、一度はレイヤー2まで接続状態(UP)となるも、すぐにエラーが発生し、ダウンしているのが確認できます。

では、インターフェイスの状態を確認してみます。

Switch#show interfaces fastEthernet 0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
  ~ 省略 ~
  

レイヤー1のレベルでダウンしています。
また、「err-disabled」という文字列が表示されています。
これは何らかの原因でポートがディセーブル(無効)になったことを意味します

次に、ポートセキュリティの状態と、ポートの状態をshow port-security interfaceコマンドで確認します。

Switch#show port-security interface fastEthernet 0/1
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address        : 0015.c54b.721f
Security Violation Count   : 1

ポートがシャットダウンされていることがわかります。

このような手順で、ポートがダウンした原因がポートセキュリティが働いたことによるものと判断できます。



ポートの復旧

ポートセキュリティによりポートが無効となった場合、原因を改善した後で、no shutdownコマンドを実行すれば復旧できます。

もう一度、PC1をFastEthernet0/1に接続し直し、下記コマンドを実行します。

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown

no shutdownコマンドを実行する前に、一度、shutdownコマンドを実行する必要がある点に注意してください。


このようにレイヤー2のレベルで接続を制限することで、管理下にないホストが内部ネットワークに参加することを防ぐことができます。
ただし、前回の記事でも書きましたが、MACアドレスは比較的容易に偽造・変更できるため、ポートセキュリティは万全の対策ではないということは認識しておく必要があります。

タグ