ポートセキュリティ機能とは

 スイッチには、たくさんのインターフェイスが備わっています。それら、すべてのインターフェイスを使い切ってしまうケースは少ないはずです。

 空いているポートに、権限のないユーザが接続してしまえば、ネットワークへの侵入の入口となってしまいます。

 また、すべてのインターフェイスを使い切って、空いているインターフェイスがない場合でも、使用しているインターフェイスの接続を外して、権限のないユーザが接続してしまえば、同様にネットワークへの侵入の入口となってしまいます。

 このような不正侵入を防ぐために、スイッチにはポートセキュリティという機能が用意されています。

 ポートセキュリティは、ポート単位に登録されたMACアドレス以外の送信元のMACアドレスのパケットをブロックします。

ポートセキュリティの設定は、次の3つの方法があります。

スタティック

インターフェイス設定モードから次のコマンドでMACアドレスを登録します。

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address { mac-address }

 登録したMACアドレスは、スタティックMACアドレスとして、running-configにコマンドとして追加されます。

ダイナミック

 MACアドレスを動的に学習させる方法です。16進数で覚えにくく、長いMACアドレスを入力して登録する作業から解放されます。コマンドは、以下の通りです。

Switch(config-if)#switchport port-security

 動的に学習したMACアドレスは、ポートと関連付けられます。学習できるMACアドレスの最大数は、デフォルトでは1となっています。

学習できるMACアドレスの最大数を変更したい場合には、以下のコマンドで指定することができます。

Switch(config-if)#switchport port-security maximum { 最大数 }

最大数は、1~132の範囲で指定できます。

 動的に学習したMACアドレスは、ポートがシャットダウンするか、スイッチを再起動した場合、学習したポートとMACアドレス関連付け消えてしまいます。

スティッキ(sticky)

ダイナミックと似ていますが、MACアドレスは、running-configにコマンドとして追加されます。

 「copy run start」コマンドで、実行コンフィグをスタートアップコンフィグに保存すれば、スイッチを再起動させてもMACアドレスを学習し直す必要がありません。保存していなければ、学習する前の状態に戻ります。

設定コマンドは、以下の通りです。

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky

ポートセキュリティの共通設定

スタティック、ダイナミック、スティッキのポートセキュリティの共通の設定は、下記の通りです。

①ポートセキュリティの設定を有効にするインターフェイスへコンフィグモードへ移行する。

Switch(config)# interface { interface-id }

②スイッチポートモードを「access」モードに設定する

Switch(config-if)#switchport mode access

 モードは、「access」または「trunk」を指定できますが、セキュリティの観点から、ポートセキュリティでは、「access」モードすることが推奨されます。

③ポートセキュリティを有効にする。

Switch(config-if)#switchport port-security

④登録できるMACアドレスの最大数を設定します。デフォルトの最大数は、「1」です。必要に応じて設定します。

⑤セキュリティ違反検出時のアクションを指定する。

 ポートセキュリティを有効にしているインターフェースで、違反が検出された時のアクションを指定します。デフォルトは 「shutdown」になっています。

Switch(config-if)#switchport port-security violation { protect | restrict | shutdown }

下表は、違反時のモードの動作内容です。

違反モード 説明
protect  違反時にパケットが破棄され、SNMPトラップやSyslogメッセージは送信されません。違反カウンターも増加しません。
restrict  違反時にパケットが破棄され、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します。
shutdown  違反時にポートは、「err-disable」となりLEDが消灯し、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します。