ポートセキュリティ機能とは

ポートセキュリティ機能とは

　スイッチには、たくさんのインターフェイスが備わっています。それら、すべてのインターフェイスを使い切ってしまうケースは少ないはずです。

　空いているポートに、権限のないユーザが接続してしまえば、ネットワークへの侵入の入口となってしまいます。

　また、すべてのインターフェイスを使い切って、空いているインターフェイスがない場合でも、使用しているインターフェイスの接続を外して、権限のないユーザが接続してしまえば、同様にネットワークへの侵入の入口となってしまいます。

　このような不正侵入を防ぐために、スイッチにはポートセキュリティという機能が用意されています。

　ポートセキュリティは、ポート単位に登録されたMACアドレス以外の送信元のMACアドレスのパケットをブロックします。

ポートセキュリティの設定は、次の3つの方法があります。

スタティック

インターフェイス設定モードから次のコマンドでMACアドレスを登録します。

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address { mac-address }

　登録したMACアドレスは、スタティックMACアドレスとして、running-configにコマンドとして追加されます。

ダイナミック

　MACアドレスを動的に学習させる方法です。16進数で覚えにくく、長いMACアドレスを入力して登録する作業から解放されます。コマンドは、以下の通りです。

Switch(config-if)#switchport port-security

　動的に学習したMACアドレスは、ポートと関連付けられます。学習できるMACアドレスの最大数は、デフォルトでは1となっています。

学習できるMACアドレスの最大数を変更したい場合には、以下のコマンドで指定することができます。

Switch(config-if)#switchport port-security maximum { 最大数 }

最大数は、1～132の範囲で指定できます。

　動的に学習したMACアドレスは、ポートがシャットダウンするか、スイッチを再起動した場合、学習したポートとMACアドレス関連付け消えてしまいます。

スティッキ（sticky）

ダイナミックと似ていますが、MACアドレスは、running-configにコマンドとして追加されます。

　「copy run start」コマンドで、実行コンフィグをスタートアップコンフィグに保存すれば、スイッチを再起動させてもMACアドレスを学習し直す必要がありません。保存していなければ、学習する前の状態に戻ります。

設定コマンドは、以下の通りです。

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky

ポートセキュリティの共通設定

スタティック、ダイナミック、スティッキのポートセキュリティの共通の設定は、下記の通りです。

①ポートセキュリティの設定を有効にするインターフェイスへコンフィグモードへ移行する。

Switch(config)# interface { interface-id }

②スイッチポートモードを「access」モードに設定する。

Switch(config-if)#switchport mode access

　モードは、「access」または「trunk」を指定できますが、セキュリティの観点から、ポートセキュリティでは、「access」モードすることが推奨されます。

③ポートセキュリティを有効にする。

Switch(config-if)#switchport port-security

④登録できるMACアドレスの最大数を設定します。デフォルトの最大数は、「1」です。必要に応じて設定します。

⑤セキュリティ違反検出時のアクションを指定する。

　ポートセキュリティを有効にしているインターフェイスで、違反が検出された時のアクションを指定します。デフォルトは 「shutdown」になっています。

Switch(config-if)#switchport port-security violation { protect | restrict | shutdown }

下表は、違反時のモードの動作内容です。