スイッチの構成によるスイッチポートのセキュリティの確保
ネットワーク管理者が直面している厳しい課題は、組織内のネットワークにアクセスできる人、できない人を決定することです.社外のお客様の製品をプレゼンテーションする必要がある場合は、Ethernetケーブルを社内のコンピュータから取り外し、お客様のコンピュータに差し込みます.これで、彼のコンピュータ内部のワーム、ウイルスなどはあなたのローカルエリアネットワークに大きな脅威になります.今日は、スイッチポートを構成することで、同様のセキュリティ問題を解決する方法を見てみましょう.
基本原理上、Port Security(ポートセキュリティ)特性は、スイッチポートに接続されたイーサネットMACアドレスであるNIC番号を記憶し、あるMACアドレスのみが本ポートを介して通信できるようにする.他のMACアドレスがこのポートを介して通信しようとすると、ポートセキュリティ特性がブロックされます.ポートセキュリティ機能を使用すると、一部のデバイスがネットワークにアクセスしないようにし、セキュリティを強化できます.
ポートセキュリティの構成は比較的簡単です.最も簡単な形式は、Port Securityが有効なポートを指し、Port Securityインタフェースモードコマンドを入力する必要があることです.
もちろん、実際の状況に応じてポートセキュリティを構成する必要があります.この例では、実際には、ユーザーは他のポートセキュリティコマンドを構成することもできます.
switchport port-security maximum{許容される最大MACアドレス数}:このオプションを使用して複数のMACアドレスを許可できます.例えば、ユーザがスイッチのこのポートに12ポートのハブを接続している場合、12個のMAC:switchport port port-security maximum 12/このポートの通過を許可する最大MACアドレス数は12である必要がある.
switchport port-security violation{shutdown|restrict|protect}:このコマンドは、ポート上のMACアドレス数が最大数を超えた場合、スイッチにどうすればいいかを示します.デフォルトでは、ポートをオフにします.restrictを使用してネットワーク管理者に警告するか、protectを選択してセキュリティポートを介して通信し、他のMACアドレスからのパケットを破棄することができます.
switchport port-security mac-address{MACアドレス}:このオプションを使用して、ポートによってMACアドレスを動的に定義するのではなく、このポートを使用できるMACアドレスを手動で定義します.
もちろん、一連のポートでポートセキュリティを構成できます.次に例を示します.
ポートセキュリティが構成され、このポート上のイーサネットデバイスがデータを発行すると、MACアドレスが記録され、このアドレスを使用することでポートセキュリティが保障されます.スイッチのポートセキュリティのステータスを表示するには、show port security addressコマンドとshow port-security interfaceコマンドを使用します.以下に例を示します.
基本原理上、Port Security(ポートセキュリティ)特性は、スイッチポートに接続されたイーサネットMACアドレスであるNIC番号を記憶し、あるMACアドレスのみが本ポートを介して通信できるようにする.他のMACアドレスがこのポートを介して通信しようとすると、ポートセキュリティ特性がブロックされます.ポートセキュリティ機能を使用すると、一部のデバイスがネットワークにアクセスしないようにし、セキュリティを強化できます.
ポートセキュリティの構成は比較的簡単です.最も簡単な形式は、Port Securityが有効なポートを指し、Port Securityインタフェースモードコマンドを入力する必要があることです.
Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode Switch(config-if)# switchport port-security
Switch(config-if)#^Zもちろん、実際の状況に応じてポートセキュリティを構成する必要があります.この例では、実際には、ユーザーは他のポートセキュリティコマンドを構成することもできます.
switchport port-security maximum{許容される最大MACアドレス数}:このオプションを使用して複数のMACアドレスを許可できます.例えば、ユーザがスイッチのこのポートに12ポートのハブを接続している場合、12個のMAC:switchport port port-security maximum 12/このポートの通過を許可する最大MACアドレス数は12である必要がある.
switchport port-security violation{shutdown|restrict|protect}:このコマンドは、ポート上のMACアドレス数が最大数を超えた場合、スイッチにどうすればいいかを示します.デフォルトでは、ポートをオフにします.restrictを使用してネットワーク管理者に警告するか、protectを選択してセキュリティポートを介して通信し、他のMACアドレスからのパケットを破棄することができます.
switchport port-security mac-address{MACアドレス}:このオプションを使用して、ポートによってMACアドレスを動的に定義するのではなく、このポートを使用できるMACアドレスを手動で定義します.
もちろん、一連のポートでポートセキュリティを構成できます.次に例を示します.
Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-securityポートセキュリティが構成され、このポート上のイーサネットデバイスがデータを発行すると、MACアドレスが記録され、このアドレスを使用することでポートセキュリティが保障されます.スイッチのポートセキュリティのステータスを表示するには、show port security addressコマンドとshow port-security interfaceコマンドを使用します.以下に例を示します.
Switch# show port-security address
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
Switch#