|
◆ Step 1:ポートセキュリティの有効化
先ず、ポートセキュリティを適用したいポートを決定します。今回は FastEthernet0/1 に適用します。
次に、スイッチポートのモードを access または trunk とします。今回は「access」のモードにします。
最後にswitchport port-securityコマンドを入力し、特定のI/F上でポートセキュリティを有効化します。
◆ スイッチポートのモード指定
(config)# interface interface-id
(config-if)# switchport mode [ access | trunk ]
◆ ポートセキュリティの有効化
(config-if)# switchport port-security
Catalyst(config) # interface Fastethernet 0/1
Catalyst(config-if) # switchport mode access
Catalyst(config-if) # switchport port-security
|
◆ Step 2:許可MACアドレスの最大数の決定
デフォルトで許可MACアドレスの最大数は"1"と設定されています。このデフォルト値を変更したい場合、
switchport port-security maximumコマンドを使用します。ここで設定することができる値はCatalyst
スイッチの機種によって異なります。以下の設定例では最大数を"2"に変更しています。
◆ 許可MACアドレスの最大数の決定
(config-if)# switchport port-security maximum number
| Catalyst(config-if) # switchport port-security maximum 2 |
◆ Step 3:違反モードの決定
デフォルトで、違反モードはshutdownと設定されています。このデフォルト値を変更したい場合、
switchport port-security violationコマンドを使用します。ここで設定可能なパラメータは以下の
"protect" "restrict" "shutdown" の3つとなります。今回の設定例では"restrict"に変更しています。
◆ セキュリティ違反時のアクションの決定
(config-if)# switchport port-security violation [ protect | restrict | shutdown ]
| Catalyst(config-if) # switchport port-security violation restrict |
◆ Step 4:セキュアMACアドレスの設定
デフォルトで、セキュアMACアドレスのタイプはダイナミックと設定されているので、デフォルト値を
変更したい場合、switchport port-security mac-addressコマンドを使用します。スタティックまたは
スティッキーに変更できます。スタティックの場合は、以下の switchport port-security mac-address
コマンドを使用して許可させたいMACアドレスを定義します。例では001b.d3dd.9bfbを許可しています。
◆ セキュアMACアドレスをスタティックに設定
(config-if)# switchport port-security mac-address address
| Catalyst(config-if) # switchport port-security mac-address 001b.d3dd.9bfb |
スティッキーに変更したい場合は、switchport port-security mac-address sticky と入力します。
すると現在接続している端末のMACアドレスがスタティックのセキュアMACアドレスとして自動的に
running-configに追加されます。show run interface FastEthernet 0/1の入力結果も見てみましょう。
◆ スティッキーラーニングの設定
(config-if)# switchport port-security mac-address sticky
| Catalyst(config-if) # switchport port-security mac-address sticky |
入力の手間が省けるだけでなく、誤入力を回避することができるこのstickyによる登録が一般的と言えます。
◆ Step 5:セキュアMACアドレスのエージングタイムの設定
ポート上のセキュアMACアドレスのエージングタイムを設定するためには、以下のコマンドを使用します。
◆ セキュアMACアドレスのエージングタイムの設定
(config-if)# switchport port-security aging time minutes
◆ 設定例 : 登録されたセキュアMACアドレスの情報を30分後に削除
Catalyst(config) # interface gigabitethernet 0/1
Catalyst(config-if) # switchport port-security aging time 30
|
◆ Step 6:セキュアMACアドレスのエージング方法の設定
ポート上のセキュアMACアドレスのエージング方法を指定するためには、以下のコマンドを使用します。
ポートごとに2種類( absolute と inactivity )のエージング方法がサポートされています。
◆ セキュアMACアドレスをスタティックに設定
(config-if)# switchport port-security aging type [ absolute | inactivity ]
| コマンド引数 |
説明 |
| absolute |
エージングタイムで指定した時間を経過すると、通信最中であっても絶対削除。
|
| inactivity |
通信しなくなってからエージングタイムで指定した時間を経過すると、削除する。
|
◆ 設定例 : セキュアMACアドレスの情報は「通信がなくなってから」30分後に削除
Catalyst(config) # interface gigabitethernet 0/1
Catalyst(config-if) # switchport port-security aging time 30
Catalyst(config-if) # switchport port-security aging type inactivity
|
|