1-1 ポートセキュリティ

スイッチは、MACアドレステーブルでポートとそれに対応したMACアドレスを記憶する。 ポートセキュリティは、その記憶するMACアドレスの数に制限を設ける。

また、スイッチポートに接続するホストのMACアドレスに基づいてトラフィックの入力を制限することができる機能もある。 接続を許可するホストのMACアドレスをあらかじめ登録し、接続を許可するMACアドレスのことを、セキュアMACアドレスという。

Catalystスイッチは、MACアドレスに基づいてポートアクセスを制御するポートセキュリティ機能を備えている。ポートセキュリティを有効化するためのコマンドは、以下のとおり。

(config-if)# switchport port-security



★maximumオプション

maximumオプションでは、ポートで学習可能なMACアドレス数の上限となる 値を1-132の間で設定する。ポートからアクセス権を与えられる様に、許可されたMACアドレスの集合を明らかにする。

(config-if)# switchport port-security maximum 【アクセスを許可するMACアドレスの最大数】

インターフェイスに対して、1つ以上のMACアドレスを静的（スタティック）に定義する 事もできる。これらのアドレスは、いずれもこのポートを介したネットワークへのアクセスを許可される。

(config-if)# switchport port-security mac-address 【設定するMACアドレス】



★violationオプション

MACアドレスに違反がある場合に、ポートセキュリティを使用する各インターフェイスがどのように対応すべきかを、以下のインターフェイス設定コマンドで定義する。


(config-if)# switchport port-security violation【shutdown｜restrict｜protect】

violationオプションでは、ポートセキュリティに関するポリシー違反が発生した場合の動作を指定する。 違反が起こるのは、指定した最大数を超えるMACアドレスが学習された場合、または既知のかつ静的に定義されていないMACアドレスがポートに対して送信を試みた場合。

また、ポートセキュリティ違反のチェック対象は発信元MACアドレスになる。 violationオプションでは、3種類の動作を指定することができるが、 それぞれ次のような意味を持つ。

●【protect】

ポートで学習されたMACアドレス数が, maximumオプションにより指定した閾値に達した場合に、 不正なMACアドレスを送信元としたフレームを破棄する。プロテクトされたポートで学習された MACアドレスがMACアドレステーブルから削除され、閾値を下回った場合は、 再びポートを使用することができる。

●【restrict】

ポートはアップ状態にとどまるが、 違反を起こしたMACアドレスからのパケットは全て破棄される。 スイッチは、 起動から現在までの違反パケットの個数を保持しており、違反に対する警告としてSNMPトラップおよびsyslogメッセージに 記録する。また、カウンタを増加させる。

●【shutdown】

ポートは直ちにエラーディゼーブル （errdisable)ステートになり、事実上シャットダウンされる。また、SNMPトラップを送信してSyslogメッセージに記録し、 カウンタを増加させる。 エラーディゼーブル状態になったポートは、 管理者がコマンドを使って有効化するまでの間は使用することができない。

1-2 ポートセキュリティの確認

ポートセキュリティの設定確認や、稼働状況 を確認するには次のコマンドを使う。

●♯show port-security
●♯show port-security interface【interface番号】

show port-securityコマンドにより、下記のようなポートセキュリティの要約情報を表示できる。

show port-security interface【interface番号】コマンドにより、下記のような特定ポートのセキュリティ情報を表示できる。