|
◆ ポートセキュリティとは
ポートセキュリティはポートごとにあらかじめ通信を許可する端末のMACアドレスを指定し、許可して
いないMACアドレスを持つ端末の通信を拒否する機能です。これにより、不正アクセスを防止できます。
◆ ポートセキュリティ - セキュアMACアドレスとは
セキュアMACアドレスとは、ポートセキュリティを有効にしたポートで許可されるMACアドレスのことです。
上図では0000.0000.1111がセキュアMACアドレスです。セキュアMACアドレスには以下の3種類があります。
| セキュアMACのタイプ |
説明 |
| スタティック |
手動でMACアドレスを設定。設定情報は、MACアドレステーブルとrunning-configに追加される。 |
| ダイナミック |
フレームの受信時に動的にMACアドレスを学習。MACアドレステーブルのみに追加される。 |
| スティッキー |
フレームの受信時に動的にMACアドレスを学習。MACアドレステーブルとrunning-configに追加される。 |
スタティックのセキュアMACアドレスもスティッキーのセキュアMACアドレスもrunning-configに追加
されますが、startup-configには設定情報が追加される訳ではないので、スイッチの設定保存が必要です。
◆ ポートセキュリティ - セキュリティ違反のモード
ポートセキュリティを設定したポートは、許可するセキュアMACアドレスの最大数を設定する必要があります。
デフォルトでは1です。この最大数を超えて許可されていないMACアドレスを持つ端末からのフレームを受信
した場合、以下の3種類のいずれかの違反モード (shutdownがdefault)がCatalystスイッチ上で発動します。
| 違反(Violation)モード |
説明 |
| protect |
許可されていない端末のフレームのみ破棄する。 |
| restrict |
許可されていない端末のフレームのみ破棄する。また、違反の通知(SNMP/Syslog)を行う。 |
| shutdown |
ポートはerrdisableとなりshutdownされてLEDが消灯。また、違反の通知(SNMP/Syslog)を行う。 |
※ shutdownモードによりポートがerrdisableにされた場合、I/F上で"shutdown"入力後、"no
shutdown"を入力すると復旧します。
| 違反モード |
違反
トラフィック
の転送 |
SNMP
トラップ
の送信 |
Syslog
メッセージ
の送信 |
エラー
メッセージ
の表示 |
違反カウンタ
の増加 |
ポートの
shutdown |
| protect |
No |
No |
No |
No |
No |
No |
| restrict |
No |
Yes |
Yes |
No |
Yes |
No |
| shutdown |
No |
Yes |
Yes |
No |
Yes |
Yes |
|