Monday, June 26, 2006

ブログと実物のギャップ

先日、networkerさんと食事をさせてもらいました。

正直言ってどんな人が来るのかドキドキでした。
この昂ぶる気持ちは・・・恐怖心か、ブルブル(笑)

あるお店をnetworkerさんに予約してもらって、その店で待ち合わせ
したのですが、私は遅刻したらマズイという思いから30分程早く着い
てしまいました。

店の前を行き交う人々を注意深く見ながら、この人はnetworkerさん
なのだろうかと、いろいろ予想していました。そのとき、いかにも怖そう
な人が店の前でタバコを吸いはじめて、もしや。。。と思ってブルブル
してました。

でもその人はタバコを吸い終えると去って行ったので一安心です。

で、約束の時間の5分前になって「もしやnetworkerさんは既に店に
いるのでは」と思い、店の中に入って店員さんに聞いてみましたが
まだ来られていないとのこと。

もし先に来てたら約25分ぐらい待たせてたことになると思ってブルブル
してましたが、それも取り越し苦労でホッとします。

そして約束の時間の2分前ほどに、さっそうと一人の男性が店に入った
のでもしやと思い、その後から一緒に入りました。

そう、その方があのnetworkerさんです。

どんな人かって?


そりゃぁ、もう。。。

ネットワークリトルそのものでした。あのカワイイ感じ。


ちなみに私はnetworkerさんの想像と一致していたのかどうかが
気になってます。


ちなみに、「ブルブル」はTOMOさんのパクリです。ごめんなさい。
この表現、何故か好きなんです(笑)

Monday, June 19, 2006

Cisco IOS Login Enhancements(前半)

はじめに
 さて、次回のコンテンツは何かな~と(楽しみに)待っていた皆様、
 今回からは12.3T以降で新しく追加された機能についていくつか
 解説します。

 まずは12.3(4)Tから実装されている
 Cisco IOS Login Enhancement
 という機能からお勉強しましょう。

 今年のCCIE Routing and Switching Trackで使用されるIOS
 Versionは12.4なので、12.3Tの新機能が含まれています。
 CCIEという試験は範囲が超広範囲ですし、一回の受験料を
 考えると気軽に受験できないので、どんな問題が出てもいいよう
 に入念に準備しておく必要があります。


Benefits
 この機能が実装される前のIOSでは、

 -Telnet(SSH)でログインした(された)ことをloggingできない
 -HTTPでログインした(された)ことをloggingできない

 という制限がありました。
 つまり、誰かがRouterにリモートからログインできたとしても、それ
 をSyslogに残す手立てがなかったのです。

 Global Configuration Modeから抜けたときはSyslogが出力
 されますが、その時は既に設定を変更されている可能性があり
 ますので、不正アクセスをすぐに察知することはできません。

 Cisco IOS Login Enhancements Featureを利用すると、これら
 のRouterへのアクセスをSyslogに残せるようになります。

 また、Local Databaseを使ったユーザ認証も使用すると、どの
 ユーザが、いつ、コンソール経由(またはvty経由)でLoginした
 かを、Syslogを利用して容易に追跡できるようになります。

 ちなみに、この機能は一部のCatalyst(ハイエンドの機器)でしか
 サポートされていないので注意が必要です。


Feature Overview
 Cisco IOS Login Enhancementsは、Console、Telnet、SSH、
 HTTPでRouterにアクセスした記録をSyslogに残すことができ
 ます。

 また、辞書攻撃などのBrute-foce-attackの対策として、何回か
 Loginが失敗した場合に、再度Login Promptを表示するまでの
 Delayをかけることができたり、一定時間Login要求を受け付け
 ないようにしたりできます。


Delays Between Successive Login Attempts
 あるLogin認証が失敗して、次のLogin Promptを表示するまでの
 間、一定のDelayを設けることができます。Delayのやり方には
 以下の3つの方法があります。

 -login delayというGlobal Configrationコマンドで、Delayさせ
 る秒数を指定できます。

 -login block-forというコマンドを使って、1秒のDelayを自動的
 に有効にできます。

 -auto secureというコマンドを使って、1秒のDelayを自動的
 有効にできます。
 #auto secureの説明は割愛します。
 #詳しく知りたい方は、こちら。
 #http://www.cisco.com/univercd/cc/td/doc/product/
 # software/ios124/124cg/hsec_c/part30/hatosec.htm

 設定に関しては、次回以降で詳しくとりあげます。

Login Shutdown If DoS Attacks Are Suspected
 以前のIOSでは何度Login認証に失敗してもLoginを試行する
 ことができました。
 このFeatureが実装されてからは、一定の回数連続してLogin認証
 が失敗した場合、DoS Attack(または不正アクセスのようなクラッ
 キング)が発生していると判断し、その後のLogin試行を一定時間
 全て拒否する"quiet period"を設定することができます。

 ちなみにACLを利用することで特定のホストからのLoginを
 "quiet period"にならないようにすることも可能です。

 この機能(以降queit modeと呼びます)はDefaultで無効ですが
 autosecureを有効にしているときは、quiet modeを有効にできま
 せん。


Generation System Logging Messages for Login Detection
 quiet modeになったり、戻ったりするときは、Syslog Messegaが
 出力されます。また、設定すればLoginに失敗・成功したことを
 Syslog Messageとして出力することができます。

 今現在はSyslogでの出力のみですが、将来的にはSNMP Trap
 も出せるようになる予定らしいです。(マニュアルにそう書いて
 ありました)


さて、次回は設定のお話です。
次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuring Cisco IOS Login Enhancements
 -Configuration Example
 -Advanced Configuring Exercise
 -Further Reading
です。お楽しみに。

Thursday, June 15, 2006

Port Security(3回目)

Port Securityの最終回をUPします。


はじめに
 前回、前々回に引き続きPort Securityのお話です。
 設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが
 設定に関してはまだまだあります。

 今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉
 強します。Aging(というのは、簡単に言うと「忘れちゃう」ということ
 です。


Enabling and Configuring Port Security Aging
 Secure Portに記憶されているSecure MacをAgingさせられ
 るのは、StaticとDynamicで学習したMacアドレスのみです。
 Stickyで学習したMacアドレスに関してはAgingできませんので
 注意してください。

 Agingはポートごとに以下の2つのタイプを設定できます。

 -Absolute
 あるポートで記憶されているSecure Macを特定の時間が
 経過した後に削除する。
 通信が行われている最中でも、特定の時間が経過するとA
 gingが行われます。

 -Inactivity
 Secure Portで記憶されているSecure Macを通信に使用され
 なくなってから特定の時間が経過した後に削除する。
 特定の時間が経過する前に再び通信が行われると、Aging
 までの時間はリセットされます。

 以下にPort Security Agingの設定ステップを示します。

 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Security Agingを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport port-security aging

  Port Security Agingを設定します。

  static・・・staticに設定されたSecure Macに対してAgingを
  有効したいときに設定します。

  time・・・Agingまでの時間を設定します。0から1440までの値
  を指定可能で、単位は分です。0を指定するとAgingしないこと
  意味します。

  type・・・Agingするまでのカウントダウンのやりかたとして
  absoluteかinactivityを指定します。
  指定しない場合、absoluteとなります。

 Step4

  以上で設定は終了です。


Configuration Example
 いくつか設定例を見て、設定のやりかたを確認しましょう。
 まずは、StaticにSecure Macの設定方法です。
 Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Mac
 を設定して、さらにSecurity Violationモードをprotectにしている
 例を示します。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 2
 Switch(config-if)# switchport port-security violation protect
 Switch(config-if)# switchport port-security mac 1111.1111.1111
 Switch(config-if)# switchport port-security mac 2222.2222.2222
 Switch(config-if)# no shutdown

 設定の前にshutdownしているので、最後にno shutdownするの
 を忘れないようにしましょう。


 次にAgingの設定例です。
 Switchのfa 0/1に記憶されているSecure MacのAging typeを
 inactivityで設定しています。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport port-security aging static
 Switch(config-if)# switchport port-security aging time 10
 Switch(config-if)# switchport port-security aging type inactivity

 Aging typeのデフォルトはabsoluteなので、aging typeを変える
 設定が必要です。


Basic Configuring Exercise
 それでは練習問題です。

 問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台
 までとなるように設定してください。


 問2) 問1のfa0/1の設定にAgingの設定を追加します。
 2時間経ったらすべてのSecure Macを消去するようにしてくだ
 さい。


 問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecure
 Macとして予め登録してください。さらに、このポートにPC10台分
 のMacアドレスをSecure Macとして動的に記憶できるようにして
 ください。


 問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。
 IP PhoneにはPCが1台接続される予定になっています。
 このポートで許可するMacアドレスの数はいくつ必要でしょうか。


 では解答です。
 問1ですが、設定は以下のようになります。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 3
 Switch(config-if)# no shutdown


 問2は、以下のようになります。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport port-security aging time 120

 typeを指定しない場合はabsoluteでしたよね。


 問3は、以下のようになります。

 Switch(config)# int fa 0/2
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 11
 Switch(config-if)# switchport
             port-security mac-address aaaa.bbbb.cccc
 Switch(config-if)# no shutdown

 maximumの値を10とした方いませんか?こうところにひっかから
 ないようにしましょう(笑)


 問4は設定させる問題ではありませんが、IP Phoneを接続させる
 ポートにPort Securityを設定する場合の注意点です。
 忘れた方は「Port Security(2回目)のConfiguration Guideline」
 を参照してください。

 答えは3つとなります。


Advanced Configuring Exercise
 久々の応用問題です。応用とは言っても私が勝手に考えた
 ひっかけ問題なんですが(笑)

 では、早速問題です。

 Switchのfa 0/10のポート配下に接続されるホストのMacアドレス
 を動的にSecure Macとして記憶してください。このとき、Switch
 がRebootするとSecure Macを覚えなおすようにしてください。
 また、最大許可エントリ数を5とし、Security Violationが発生した
 場合は2分後に再び利用可能になるようにしてください。

 どの辺が応用なのか、というツッコミはやめてください(笑)
 Security Violationが~のところがちょっとしたミソになっています。

 では解答です。

 Switch(config)# int fa 0/10
 Switch(config-if)# switchport mode access

 問題にはホストが接続されると書きましたので、switchportの
 modeをaccessにする必要があります。
 Port SecurityはDynamic accessのswitchportには設定できない
 ので、必ずスタティックにaccessポートの設定をしてください。

 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 5

 次はPort Securityの設定です。許可エントリのデフォルト値は1
 ですので、それを5に増やすための設定が必要です。Secure
 Macの学習方式はDynamicがデフォルトのため、特に設定は
 必要ありません。

 また、Security Violationが起こった場合のモードもshutdownが
 デフォルトなので特に設定は必要ありません。

 最後に必要なのが、error-disabledとなったポートの自動復旧
 の設定です。
 Security Violationが起こったときのモードがshutdownの場合
 そのポートはerror-disabledとなり、ポートが閉塞された状態
 となります。

 この状態を復旧させるには、手動でshutdownコマンドを入れて
 その後no shutdownコマンドを実行する必要があります。

 問題には120秒後に再び利用可能になるように、と書いています
 ので自動的にerror-disabledの状態を復旧させる必要がありま
 す。その場合の設定は以下のようになります。

 Switch(config)# errdisable recovery cause psecure-violation
 Switch(config-if)# errdisable recovery interval 120

 recovery intervalは秒単位ですので、2分を120秒として設定する
 のを間違えないようにしましょう。


Further Reading
 Port Security関連のDocumentへのLinkです。

 Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
  lan/c3550/12225see/scg/swtrafc.htm


さて、今回でCatalyst3550に関するポートベースのトラフィック制御の
技術についてのお勉強は終了です。

Tuesday, June 13, 2006

Port Security(2回目)

UPが遅くなってしまいました。すみません。
え~っと、いつだったかな。。。(笑)
結構前に(笑)Geneさんのメルマガで配信された記事です。


はじめに
 前回はPort Securityの動作や概念のお勉強をしました。
 今回からはいよいよ設定です。

 いつもいつも繰り返し言っていますが、前回の動作や概念のお話
 を読んでいない方は、まず動作や概念を頭に入れてから設定
 方法を見ていきましょう。

 CCIEでは設定のやり方を覚えるのはそれほど重要ではありま
 せん。「動作を理解する」ことの方が非常に重要です。


Default設定
 Port Securityは、Defaultでは設定されていません。

 Port Securityを有効にした場合、以下のDefault設定が有効に
 なります。

 -Maximum Secure Mac Address(最大許可エントリ数)は1
 -Violation Modeはshutdown
 -Macアドレス学習方法はDynamic
 -学習したMacアドレスのAging timeは0(Age outしない)
  Agingを有効にしたときのdefault typeはabsolute


Configuration Guidline
 Port Securityを設定する際のガイドラインです。
 -Port Securityは手動で設定されたaccess port、trunk port
  またはdot1Q Tunnel portで設定できます。

 -Port SecurityはDyamic access portには設定できません。
  (注:dynamic access portとは、switchport mode access
  コマンドを設定せずにDTPによってaccess portになった
  ポートのことです。

 -Port SecurityはSwitch Port Analyzer(SPAN)のあて先ポート
  に指定されているポートには設定できません。

 -Port SecurityはFECやGECに参加しているポートには設定
  できません。

 -Voice VLANが設定されているポートでPort Securityを有効
  にする場合、許可されるMacアドレスのエントリ数を最低で
  も2つ以上にしてください。
  IP Phoneは最大で2つのMacアドレスを使用します。
  IP Phoneの配下にPCを接続する場合は、PCのMacアドレス
  を追加で許可する必要があります。

 -許可エントリ数を定義するコマンドを設定するときは、現時点
  で設定されているエントリ数よりも大きな数を指定してくださ
  い。設定は上書きされますので、現在許可されているエントリ
  数よりも少ない数を新しく定義しようとした場合、コマンドが
  拒否されます。
  例えば、現時点で3つのMacアドレスが許可されているポート
  に2つのMacアドレスまでしか許可されない設定をしようとする
  と、コマンドが拒否されます。

 -Stickyで設定されているMacアドレスをAgingさせることは
  できません。


Enabling and Configuring Port Security
 以下にPort Securityの設定ステップを示します。

 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Securityを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport mode { access | trunk }

  Port Securityを設定する前に、ポートをaccessかtrunkに設定
  します。Dynamicの状態では設定できません。

 Step4
  Switch(config-if)# switchport voice vlan vlan-id

  Voice VLANを使用する場合は、Voice VLANの設定もして
  おきます。

 Step5
  Switch(config-if)# shutdown
  Switch(config-if)# switchport port-security

  Port Securityを有効にする前にshutdownコマンドを実行
  しています。これはswitchport port-securityと実行すると
  そのポートですぐにPort Securityが有効になり、有効に
  なった場合はPort SecurityのDefault設定も有効になって
  きますので、場合によってはSecurity Violationを起こして
  しまう可能性があります。

  よって、まずshutdownをした後にPort Securityの設定を
  行うことをオススメします。

 Step6
  Switch(config-if)# switchport port-security [ maximum
   value [ vlan { vlan-list | { access | voice }}]]

  許可する最大エントリ数を設定します。この設定はOptional
  です。Defaultの最大許可エントリ数は1です。
  最大数だけ定義したい場合、vlan以下のコマンドは必要
  ありません。

  vlanは、trunkポートでvlanごとに最大許可エントリを定義
  したい場合に使用します。

  accessやvoiceは、Cisco IP Phoneと接続される場合に使用
  します。

 Step7
  Switch(config-if)# switchport port-security violation {
   protect | restrict | shutdown }

  Security Violationが起こった場合のふるまいを設定します。
  この設定はOptionalです。Defaultの動作はshutdownです。

 Step8
  Switch(config-if)# switchport port-security [ mac-address
   mac [ vlan { vlan-id { access | voice }}]]

  接続を許可するMacアドレスをStaticに設定します。
  vlan以下のコマンドは、Step6で説明した内容と同様の意味
  です。

  最大許可エントリ数より少ない数のStaticを設定した場合は
  Macアドレスの数が許可エントリ数に達するまでDynamicで
  自動的に学習します。

 Step9
  Switch(config-if)# switchport port-security mac-address
   sticky

  Stickyを有効にします。この設定はOptionalです。

 Step10
  Switch(config-if)# switchport port-security mac-address
   sticky [ mac-address | vlan vlan-id { access | voice }]]

  TrunkポートでStickyをVLANごとに有効にします。
  この設定はOptionalです。

 Step11

  以上で設定は終了です。


さて、次回も引き続き設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Enabling and Configuring Port Security Aging
-Configuration Example
-Basic Configuring Exercise
-Advanced Configuring Exercise
-Further Reading
です。お楽しみに。

Wednesday, June 07, 2006

Font病

私がFont病なのは皆さんご存知ですよね。

このBlogにはArial FontとTrebuchet MSという2種類のFontを使って
います。
#Browerの都合により違いがわからない場合もありますが。

書くEntryの題名のところに使われているのがArial Font、文中で使わ
れているのがTrebuchet MSです。

本当はHelveticaというFontを使いたいのですが、Windows系はArial
Fontがほぼ同一ということでArialを使っています。

ごく一般的な人なら英字フォントに気を使っていないと思います。
多分、MSゴシックで書いた英字とMS Pゴシックで書いた英字が混じって
ても気がつかないでしょう。ましてや半角と全角が混じっていたとしても
気づかないはずです。

しかし、私はFontが異常に気になるため、必ずといっていいほどArial
Fontを使っています。
#といっても、みなさんもゴシック体と明朝体が入り混じったドキュメント
#見ると、一気に見る気が失せるはずですよ。


で、つい先日HPの新しいNote PCを使ったとき、英字Fontの感じがいつ
もと違うことに気づきました。なんというか滑らかでカッコイイのです。
自分のPCでも同じような感じにならないか1時間ぐらい必死で設定を探した
結果、、、


見つけました。


その名も「Clear Typeでスクリーンフォントの縁を滑らかにする」

やり方は

①画面のプロパティを開く

②デザインタブをクリックする。

③画面右下の効果ボタンを押す

④その中に次の方法でスクリーンフォントの縁を滑らかにする
 があるので、その中からClear Typeを選ぶ


そしてwww.cisco.comとかに行ってみると。。。ほら

カッコイイとしか言えない!

ちなみにExcelを開いて

「Font病」

とArial、MSゴシック、MS Pゴシックと書き比べてみてください。
ほら、ぜんぜん違うでしょ。カッコ良さが!!

すると今日からあなたもFont病。

Tuesday, June 06, 2006

Configuring Port Security(1回目)

またまた遅くなりましたが、先々週の月曜日にGeneさんのメルマガで
配信された記事をUPします。


はじめに
 前回はPort Blockingについてお勉強しました。
 Port BlockingとProtected Portsは似たような名前なので、使い方
 を混同しやすいですが、これまでのお勉強で両者の違いが分かった
 はずです。

 今回はPort Securityについてみていきます。
 このPort Securityは3回に分かれています。1回目はPort Security
 についての動作や概念の話、2回目は設定の話、3回目も設定の
 話と練習問題をやります。

 Port Securityが終わるとCatalyst3550のポートベースでトラフィック
 を制御する技術をひととおりやったことになります。

 Catalyst3550のSoftware Configuration Guideで言うと、Chapter22
 のConfiguring Port-Based Traffic Controlの内容を全てカバーしま
 した。

 これまでFurther ReadingでマニュアルをLinkしていましたが
 まだ読まれていない方は最後にこの章を読んでみましょう。

 CCIE Lab試験では、マニュアルを読むことが非常に大切です。
 試験で見られる唯一のドキュメントなのですから。


Port Securityとは
 Port Securityとは、Switchの物理ポートに接続できるホストをMac
 アドレスを元に限定する機能のことです。
 この機能により、事前にMacアドレスを登録したホストや、または
 自動的にMacを学習したホストのみがSwitchに接続できるように
 なります。


Secure Mac Address
 Secure Mac Addressというのは、Switchへの接続を許可された
 Macアドレスを指しています。SwitchにSecure Mac Addressを
 登録するには、以下の3つのやり方があります。

 -Static Secure Mac Address
 switchport port-security mac-addressコマンドを使用して
 手動で接続を許可したいMacアドレスを設定します。
 この設定をcopyコマンドやwriteコマンドを使って保存すれば
 MacアドレスはNVRAMに記憶され、SwitchをRebootしても
 保持されます。

 -Dynamic Secure Mac Address
 Switchが自動的に接続されているMacアドレスを学習して
 そのMacアドレスをもつホストのみに接続を許可します。
 ただし、Dynamicに記憶されたアドレスは設定には反映され
 ません。SwitchがRebootするとそれまで覚えていたアドレス
 の情報は消滅し、再度学習しなおす必要があります。
 (学習はSwitchにフレームが届くと同時に行われます)

 -Sticky Secure Mac Address
 Switchが自動的に接続されているMacアドレスを学習して
 そのMacアドレスをもつホストのみに接続を許可します。
 Dynamicと異なるのは、Stickyで記憶されたMacアドレスは
 設定に反映されます。
 この設定をcopyコマンドやwriteコマンドを使って保存すれば
 MacアドレスはNVRAMに記憶され、SwitchをRebootしても
 設定は保持されます。

 また、Dynamicで動作させているポートを途中でStickyに変える
 こともできます。この場合、Dynamicで記憶されているMacアド
 レスが自動的に設定に反映されるようになります。
 これをRebootしても有効なままにしておくにはcopyコマンドか
 writeコマンドで保存するのを忘れないようにしましょう。

 逆にSitckyで動作させているポートをDynamicに変えることもで
 きます。この場合、設定に反映されていたMacアドレスは設定
 から消えて、Rebootすると消滅するので再び覚えなおす必要が
 あります。
 (学習はSwitchにフレームが届くと同時に行われます)

 以降、Port Securityで許可されたアドレスをSecure Macと呼び、
 併せてPort Securityが設定されているポートをSecure Portと
 呼びます。


Security Violation
 Security Violationは以下の状況が1つでも該当すると起こります。

 -Switchが検出したMacアドレスの数が、許可されるSecure
 Macエントリの最大数を上回った場合

 -Secure Portに記憶されているSecure Macが、同じVLANの
 別のSecure Portで検出された場合

 1つめの場合から見ていきましょう。
 Secure Portには、許可されるSecure Macの最大エントリ数を
 設定できます。デフォルトは1つです。
 例えば、Dynamicで設定されたポートに2つのMacアドレスが検出
 された場合、デフォルトの最大エントリ数を上回るので、2番目に
 検出されたMacアドレスを持つフレームはSecurity Violation
 と判断され、Switchでブロックされます。

 次に2つめの場合です。以下の状況を想像してみてください。
 Swtichのfa0/1では、0123.4567.89abを持つMacアドレスを許可
 したいので、Staticに設定されているとします。

 そのホストがfa0/1に接続されいるときは問題なく動作できますが
 同じVLANに属するfa0/2(このポートもSecure Portで動作している
 とします)に接続を変更した場合、Switchはfa0/1で設定されている
 Secure Macがfa0/2で検出されたため、fa0/2への接続をブロック
 します。

 Security Violationが起こった場合のふるまいを以下の3つのなか
 のどれかに設定することができます。

 -protect
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 エントリ数を増やすか、Switchが保持しているエントリを削除
 するまでブロックします。

 protectモードは許可エントリを上回ったフレームだけをブロック
 するだけです。SyslogやSNMP Trapは生成しません。

 -restrict
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 エントリ数を増やすか、Switchが保持しているエントリを削除
 するまでブロックします。

 restrictモードは許可エントリを上回ったフレームだけをブロック
 し、さらにSyslogとSNMP Trapを生成します。

 -shutdown
 デフォルトのモードです。
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 そのフレームをブロックし、そのインタフェースをerror-disabled
 にして使用不能な状態にします。

 さらにSyslogとSNMP Trapを生成します。

 error-disabledとなったインタフェースを復旧させるには、
 手動で行う場合と自動で行う場合があります。
 手動で行うには、error-disabledとなったインタフェースで
 shutdownコマンドを実行し、その後にno shutdownコマンド
 を実行します。

 自動で行うにはerrdisable recovery cause psecure-violation
 グローバルコンフィグレーションコマンドを使用します。
 #error-disabledについての説明は割愛します。


さて、次回は設定のお話を見ていきます。
 次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuration Guidline
 -Enabling and Configuring Port Security
 -Configuration Example
です。お楽しみに。

Sunday, June 04, 2006

Configuring Port Blocking

UPが遅くなりましたが、Geneさんのメルマガで先々週の金曜日に
配信された記事です。

はじめに
 前回は2回にわたってProtected Portsをお勉強しました。
 今回はPort Blockingについてみていきます。

 Port BlockingはProtected Portsとは混同しやすいので、この2つ
 の違いはしっかりと押さえておきたいですね。
 前回のProtected Portsを読まれていない方は、こちらも併せて
 読んでおいたほうがより理解が深まります。


Port Blockingとは
 Switchは、自分のMacテーブルにないあて先Macアドレスを持つ
 フレームを受け取ると、受け取ったポート以外の全てのポートに
 フレームを送信するFloodingを行います。

 前回のProtected Portsの解説でも述べましたが、Switchは
 Protected Portsが設定されているポートに、どの機器が接続さ
 れているのかを認識できていない場合(例えばMacテーブルが
 空のときなど)は、FloodingによりProtected Ports間でパケット
 が流れてしまう可能性があります。

 この動作が問題になる要件がある場合はProtected Portsを設定
 しているインタフェースにPort Blockingも併せて設定します。

 Port Blockingは、Switchがあて先不明のMacアドレスをもつ
 UnicastやMulticastを受け取ると、Port Blockingが設定されている
 ポートにFloodingすることを防ぎます。

 Port BlockingはProtected Portsとは関係なく、単独で設定する
 こともできます。


Default設定
 Port Blockingは、Defaultでは設定されていません。


Configuring Port Blocking
 Port Blokingの設定は簡単です。
 ただし、SwitchのインタフェースがRouted Port(no switchport)
 に設定されていると、そのポートでPort Blockingを有効にできない
 ので注意してください。

 以下に設定のステップを示します。
 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Blockingを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport block { unicast | multicast }

  Port Blockingの設定をします。
  引数については以下のとおりです。

  unicast・・・Unknown Unicast(あて先のMacアドレスがMac
  テーブルに記憶されていないユニキャストフレーム)を
  ブロックします。

  multicast・・・Unknown Multicast(あて先のMacアドレスが
  Macテーブルに記憶されていないマルチキャストフレーム)
  をブロックします。

 Step4

  以上で設定は終了です。


Configuration Example
 Switchのfa0/1でUnknown UnicastがFloodingされるのを防ぐ場合
 の設定例です。

 Switch(config-if)# switchport block unicast


 Basic Configuring Exercise
 Port Blockingも設定が単純なので練習にならないかもしれませ
 んが、とりあえず1問だけ。

 問)SWのfa 0/1とfa 0/2にはあるサーバが接続されており、これら
 のポートには、そのサーバあてのトラフィックしか流れないように
 したいという要件があがっています。SWでその要件を満たしてく
 ださい。各サーバはVLAN30に属しています。

 それでは解答です。

 SWの設定は以下のようになります。

 Switch(config) int range fa 0/1 - 2
 Switch(config-if)# switchport access vlan 30
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport block unicast
 Switch(config-if)# switchport block multicast
 Switch(config-if)# end

 設定は単純ですね。問題にはそのサーバあてのトラフィックしか
 流れないように、と言っているので、unicastとmulticastのFlooding
 をブロックしています。


Further Reading
 Protected Ports関連のDocumentへのLinkです。
 Link先がいつも同じですが、Storm Control、Protected Ports、
 そして今回のPort Blockingについて書かれているドキュメントは
 マニュアルぐらいしかないのです。。。

 Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
   lan/c3550/12225see/scg/swtrafc.htm


さて、次回はPort Securityのお話です。
 次回のコンテンツは、
 -はじめに
 -Port Securityとは
 -Secure Mac Address
 -Security Violation
です。お楽しみに。

Thursday, June 01, 2006

CCIE Security Lab will be change.

CCIE VoiceのLabが変わったときに、

「次に変わるのはSecurityのLab」

と予想していましたが、ずばり予想的中になりました。


Changes to CCIE Security Lab and Written Exams


でもIOSのVersionは12.2Tのままなんですね。
どうせなら12.4にしたほうがいいのに。。。