スイッチの構成によるスイッチポートのセキュリティの確保
ネットワーク管理者が直面している厳しい課題は、組織内のネットワークにアクセスできる人、できない人を決定することです.社外のお客様の製品をプレゼンテーションする必要がある場合は、Ethernetケーブルを社内のコンピュータから取り外し、お客様のコンピュータに差し込みます.これで、彼のコンピュータ内部のワーム、ウイルスなどはあなたのローカルエリアネットワークに大きな脅威になります.今日は、スイッチポートを構成することで、同様のセキュリティ問題を解決する方法を見てみましょう.
基本原理上、Port Security(ポートセキュリティ)特性は、スイッチポートに接続されたイーサネットMACアドレスであるNIC番号を記憶し、あるMACアドレスのみが本ポートを介して通信できるようにする.他のMACアドレスがこのポートを介して通信しようとすると、ポートセキュリティ特性がブロックされます.ポートセキュリティ機能を使用すると、一部のデバイスがネットワークにアクセスしないようにし、セキュリティを強化できます.
ポートセキュリティの構成は比較的簡単です.最も簡単な形式は、Port Securityが有効なポートを指し、Port Securityインタフェースモードコマンドを入力する必要があることです.
もちろん、実際の状況に応じてポートセキュリティを構成する必要があります.この例では、実際には、ユーザーは他のポートセキュリティコマンドを構成することもできます.
switchport port-security maximum{許容される最大MACアドレス数}:このオプションを使用して複数のMACアドレスを許可できます.例えば、ユーザがスイッチのこのポートに12ポートのハブを接続している場合、12個のMAC:switchport port port-security maximum 12/このポートの通過を許可する最大MACアドレス数は12である必要がある.
switchport port-security violation{shutdown|restrict|protect}:このコマンドは、ポート上のMACアドレス数が最大数を超えた場合、スイッチにどうすればいいかを示します.デフォルトでは、ポートをオフにします.restrictを使用してネットワーク管理者に警告するか、protectを選択してセキュリティポートを介して通信し、他のMACアドレスからのパケットを破棄することができます.
switchport port-security mac-address{MACアドレス}:このオプションを使用して、ポートによってMACアドレスを動的に定義するのではなく、このポートを使用できるMACアドレスを手動で定義します.
もちろん、一連のポートでポートセキュリティを構成できます.次に例を示します.
ポートセキュリティが構成され、このポート上のイーサネットデバイスがデータを発行すると、MACアドレスが記録され、このアドレスを使用することでポートセキュリティが保障されます.スイッチのポートセキュリティのステータスを表示するには、show port security addressコマンドとshow port-security interfaceコマンドを使用します.以下に例を示します.
基本原理上、Port Security(ポートセキュリティ)特性は、スイッチポートに接続されたイーサネットMACアドレスであるNIC番号を記憶し、あるMACアドレスのみが本ポートを介して通信できるようにする.他のMACアドレスがこのポートを介して通信しようとすると、ポートセキュリティ特性がブロックされます.ポートセキュリティ機能を使用すると、一部のデバイスがネットワークにアクセスしないようにし、セキュリティを強化できます.
ポートセキュリティの構成は比較的簡単です.最も簡単な形式は、Port Securityが有効なポートを指し、Port Securityインタフェースモードコマンドを入力する必要があることです.
Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z
ここでは、最も基本的なコマンドを入力することによってポートセキュリティを構成し、1つのMACアドレスのみを許可するデフォルト設定を受信し、これにより、最初のデバイスのMACアドレスのみがこのポートと通信できることを決定する.別のMACアドレスがこのポートを介して通信しようとする場合、交換機会はこのポートを閉じる.この設定を変更する方法について説明します.もちろん、実際の状況に応じてポートセキュリティを構成する必要があります.この例では、実際には、ユーザーは他のポートセキュリティコマンドを構成することもできます.
switchport port-security maximum{許容される最大MACアドレス数}:このオプションを使用して複数のMACアドレスを許可できます.例えば、ユーザがスイッチのこのポートに12ポートのハブを接続している場合、12個のMAC:switchport port port-security maximum 12/このポートの通過を許可する最大MACアドレス数は12である必要がある.
switchport port-security violation{shutdown|restrict|protect}:このコマンドは、ポート上のMACアドレス数が最大数を超えた場合、スイッチにどうすればいいかを示します.デフォルトでは、ポートをオフにします.restrictを使用してネットワーク管理者に警告するか、protectを選択してセキュリティポートを介して通信し、他のMACアドレスからのパケットを破棄することができます.
switchport port-security mac-address{MACアドレス}:このオプションを使用して、ポートによってMACアドレスを動的に定義するのではなく、このポートを使用できるMACアドレスを手動で定義します.
もちろん、一連のポートでポートセキュリティを構成できます.次に例を示します.
Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security
しかし、UPLINKポートにこのコマンドを入力すると、ユーザーはこのオプションを使用することに十分注意しなければなりません.これは、1つのデバイスだけを指しているためです.2番目のデバイスがパケットを送信すると、ポート全体が閉じてしまうので、面倒です.ポートセキュリティが構成され、このポート上のイーサネットデバイスがデータを発行すると、MACアドレスが記録され、このアドレスを使用することでポートセキュリティが保障されます.スイッチのポートセキュリティのステータスを表示するには、show port security addressコマンドとshow port-security interfaceコマンドを使用します.以下に例を示します.
Switch# show port-security address
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
Switch#