ポートセキュリティ: NETWORK×NETWORK

Network×Network目次

スポンサードリンク

TOP / ポートセキュリティ

CISCO ポートセキュリティエイジングタイム

CISCOスイッチに5人まで接続できるポートセキュリティ
設定を行っているとします。

3550(config)#interface f0/1　
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security maximum 5

このとき同じ5人が継続して使い続けるのか、
それとも入れ替わりで5人がランダムに使用できるのか
決めることができます。

3550(config-if)#switchport port-security aging type ?
absolute : (default)このポートで記憶されているMACアドレスを
　　　　　　一定時間がすぎると削除する。使用中であっても
　　　　　　強制的に切断する。

inactivity: 記憶されているMACアドレスから通信が発生しなくなって
　　　　　　から一定時間が経つと削除する。一定時間が経つ前に
　　　　　　再度通信が発生するとリセットされる。

接続時間(エイジングタイム)の設定は
3550(config-if)#switchport port-security aging time ?
<1-1440> Aging time in minutes.
1分から1440分の間で行います。

例1）最初の5人がずっと使い続けるなら。
3550(config)#interface f0/1　
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security maximum 5
3550(config-if)#switchport port-security aging type absolute
3550(config-if)#switchport port-security aging time 1440
←1440=60×24(一日) 一日中最初に接続した5人しか使用できない。

例2）ランダムな5人が使う場合。
3550(config)#interface f0/1　
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security maximum 5
3550(config-if)#switchport port-security aging type inactivity
3550(config-if)#switchport port-security aging time 60
←1時間使用しないと強制的に切断される。
その後新しい人が接続可能。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK

posted by シスコ | Comment(0) | ポートセキュリティ |

CISCO ポートセキュリティ違反時の動作

CISCO機器でポートセキュリティを設定したあと
そのポートが行う動作を決めることができます。

設定されたパケット以外がインターフェースに到着したとき
デフォルト動作はshutdown(error-disabled)となります。
この状態になるとno shutdown及び、
errdisable recovery cause psecure-violationコマンドで
インターフェースをリセットする必要があります。

それ以外では、
protect : 設定されたパケット以外がインターフェースに
　　　　　到着したときはパケットをすべて破棄します。
　　　　　(通知などは行わない。破棄のみ)

restrict: 設定されたパケット以外がインターフェースに
　　　　　到着したときパケットをすべて破棄して、
　　　　　SNMPトラップを作成し、ログやカウンタを増やす。

登録されてないMACアドレスからパケットが届いたとき
破棄するだけでよければprotectを設定してください。
デフォルトのshutdownだと毎回回復させてあげる必要があります。

3550(config)#interface f0/1　　
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security violation protect

これで破棄だけ行います。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK

posted by シスコ | Comment(0) | ポートセキュリティ |

CISCO ポートセキュリティ MACアドレス制御

MACアドレス1234.ABCD.1234のPCの通信だけを
通す設定を行います。

3550(config)#interface f0/1
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address 1234.ABCD.1234

これでMACアドレス1234.ABCD.1234からの通信だけを許可します。

ついでにもう一台MACアドレス6789.5555.1111も設定します。

3550(config-if)#switchport port-security mac-address 6789.5555.1111
Total secure mac-address on interface f0/1 has reached maximum limit.
←デフォルトでは1つのMACアドレスしか入力できません。
この制限数を増やすにはswitchport port-security maximum
コマンドを使わなければなりません。

3550(config-if)#switchport port-security maximum 3
←最大3台まで接続可能となります。入力可能台数は1-8192
3550(config-if)#switchport port-security mac-address 6789.5555.1111

これで増やすことができます。
なお現在登録されているMACアドレス数よりも少ない数を
入力しようとしても無視されます。

MACアドレスを指定せずにswitchport port-security maximum
を設定すると設定数の機器が接続されるとそれ以外の機器は
すべて拒否されるようになります。

3550(config)#interface f0/1
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security maximum 3
←MACアドレスを指定せずに最大数だけ指定

これで最初に接続された3台以外は拒否されます。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK

posted by シスコ | Comment(0) | ポートセキュリティ |

CISCO ポートセキュリティとは？

ポートセキュリティはCISCOスイッチ上のポートで
使用できる機器を決めることができます。

例えば、最初にネットワーク機器に接続したPCを3つだけ
使用可能にする。または、指定されたMACアドレスの
機器だけ接続可能にしたり、指定されたMACアドレスの
機器以外を接続可能にしたりと設定できます。

3550(config)#interface f0/1　　←設定するｲﾝﾀｰﾌｪｰｽを選択
3550(config-if)#switchport port-security

Command rejected:FastEthernet0/1 is a dynamic port.
←このｴﾗｰが出たらﾎﾟｰﾄをアクセスモードに変えてください。

3550(config-if)#switchport mode access
3550(config-if)#switchport port-security

これでポートセキュリティが有効になります。

～・～・～・～・～・～・～・～・～・～・～・～・～

・ポートセキュリティ MACアドレス制御
・ポートセキュリティ違反時の動作
・ポートセキュリティエイジングタイム

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK

posted by シスコ | Comment(0) | ポートセキュリティ |


	ウェブ		記事

NETWORK×NETWORK

CISCO ポートセキュリティ エイジングタイム

CISCO ポートセキュリティ違反時の動作

CISCO ポートセキュリティ MACアドレス制御

CISCO ポートセキュリティとは？

CISCO ポートセキュリティエイジングタイム