◆ 保護ポートとは
保護ポート(switchport protected)は、他の保護ポートにいかなるトラフィックも転送しないポート
のことです。保護ポート以外の通常のポートには通常通りトラフィック転送を行います。保護ポートの
機能により、同一 VLAN 内の通信をポートで制限することができます。転送されないトラフィックには
ユニキャスト、マルチキャスト、ブロードキャストが含まれますが、PIMパケットなどは、CPUで処理
されてソフトウェアで転送されるため、このような制御トラフィックだけは転送されることになります。
保護ポートは、プライベートVLANでいう「隔離ポート」に相当しますが、プライベートVLANのように
プライマリVLANやセカンダリVLANの定義は必要なく、非常にシンプルな設計と設定だけ実装できます。
◆ 保護ポートの有効化
(config)# interface interface-id
(config-if)# switchport protected
◆ 設定例 : Gi0/1とG0/2ポートを保護ポートにする設定(上図の構成)
Catalyst(config) # interface range gigabitethernet 0/1 - 2
Catalyst(config-if) # switchport protected
|
◆ ポートブロッキングとは
Catalystスイッチのデフォルトでは、ポートから未知のマルチキャストとユニキャストトラフィックの
フラッディングがブロックされずに、すべてのポートにこのようなパケットがフラッディングされます。
このような宛先不明なMACアドレスが、例えば保護ポートに転送されるとセキュリティ上の問題が発生
する可能性があります。ポートブロッキングにより、そのような不明なトラフィックをブロックできます。
◆ ポートからの未知のマルチキャストの転送をブロック
(config)# interface interface-id
(config-if)# switchport block multicast
◆ ポートからの未知のユニキャストの転送をブロック
(config)# interface interface-id
(config-if)# switchport block unicast
◆ 設定例 : G0/1上の「不明なユニキャスト」と「不明なL2マルチキャスト」フラッディングをブロック
Catalyst(config) # interface gigabitethernet 0/1
Catalyst(config-if) # switchport block multicast
Catalyst(config-if) # switchport block unicast
|
|