ポートセキュリティ機能とは
スイッチには、たくさんのインターフェイスが備わっています。それら、すべてのインターフェイスを使い切ってしまうケースは少ないはずです。
空いているポートに、権限のないユーザが接続してしまえば、ネットワークへの侵入の入口となってしまいます。
また、すべてのインターフェイスを使い切って、空いているインターフェイスがない場合でも、使用しているインターフェイスの接続を外して、権限のないユーザが接続してしまえば、同様にネットワークへの侵入の入口となってしまいます。
このような不正侵入を防ぐために、スイッチにはポートセキュリティという機能が用意されています。
ポートセキュリティは、ポート単位に登録されたMACアドレス以外の送信元のMACアドレスのパケットをブロックします。
ポートセキュリティの設定は、次の3つの方法があります。
スタティック
インターフェイス設定モードから次のコマンドでMACアドレスを登録します。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address { mac-address }
登録したMACアドレスは、スタティックMACアドレスとして、running-configにコマンドとして追加されます。
ダイナミック
MACアドレスを動的に学習させる方法です。16進数で覚えにくく、長いMACアドレスを入力して登録する作業から解放されます。コマンドは、以下の通りです。
Switch(config-if)#switchport port-security
動的に学習したMACアドレスは、ポートと関連付けられます。学習できるMACアドレスの最大数は、デフォルトでは1となっています。
学習できるMACアドレスの最大数を変更したい場合には、以下のコマンドで指定することができます。
Switch(config-if)#switchport port-security maximum { 最大数 }
最大数は、1~132の範囲で指定できます。
動的に学習したMACアドレスは、ポートがシャットダウンするか、スイッチを再起動した場合、学習したポートとMACアドレス関連付け消えてしまいます。
スティッキ(sticky)
ダイナミックと似ていますが、MACアドレスは、running-configにコマンドとして追加されます。
「copy run start」コマンドで、実行コンフィグをスタートアップコンフィグに保存すれば、スイッチを再起動させてもMACアドレスを学習し直す必要がありません。保存していなければ、学習する前の状態に戻ります。
設定コマンドは、以下の通りです。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
ポートセキュリティの共通設定
スタティック、ダイナミック、スティッキのポートセキュリティの共通の設定は、下記の通りです。
①ポートセキュリティの設定を有効にするインターフェイスへコンフィグモードへ移行する。
Switch(config)# interface { interface-id }
②スイッチポートモードを「access」モードに設定する。
Switch(config-if)#switchport mode access
モードは、「access」または「trunk」を指定できますが、セキュリティの観点から、ポートセキュリティでは、「access」モードすることが推奨されます。
③ポートセキュリティを有効にする。
Switch(config-if)#switchport port-security
④登録できるMACアドレスの最大数を設定します。デフォルトの最大数は、「1」です。必要に応じて設定します。
⑤セキュリティ違反検出時のアクションを指定する。
ポートセキュリティを有効にしているインターフェースで、違反が検出された時のアクションを指定します。デフォルトは 「shutdown」になっています。
Switch(config-if)#switchport port-security violation { protect | restrict | shutdown }
下表は、違反時のモードの動作内容です。
| 違反モード | 説明 |
| protect | 違反時にパケットが破棄され、SNMPトラップやSyslogメッセージは送信されません。違反カウンターも増加しません。 |
| restrict | 違反時にパケットが破棄され、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します。 |
| shutdown | 違反時にポートは、「err-disable」となりLEDが消灯し、SNMPトラップやSyslogメッセージが送信されます。違反カウンターは増加します。 |