先日、networkerさんと食事をさせてもらいました。
正直言ってどんな人が来るのかドキドキでした。
この昂ぶる気持ちは・・・恐怖心か、ブルブル(笑)
あるお店をnetworkerさんに予約してもらって、その店で待ち合わせ
したのですが、私は遅刻したらマズイという思いから30分程早く着い
てしまいました。
店の前を行き交う人々を注意深く見ながら、この人はnetworkerさん
なのだろうかと、いろいろ予想していました。そのとき、いかにも怖そう
な人が店の前でタバコを吸いはじめて、もしや。。。と思ってブルブル
してました。
でもその人はタバコを吸い終えると去って行ったので一安心です。
で、約束の時間の5分前になって「もしやnetworkerさんは既に店に
いるのでは」と思い、店の中に入って店員さんに聞いてみましたが
まだ来られていないとのこと。
もし先に来てたら約25分ぐらい待たせてたことになると思ってブルブル
してましたが、それも取り越し苦労でホッとします。
そして約束の時間の2分前ほどに、さっそうと一人の男性が店に入った
のでもしやと思い、その後から一緒に入りました。
そう、その方があのnetworkerさんです。
どんな人かって?
そりゃぁ、もう。。。
ネットワークリトルそのものでした。あのカワイイ感じ。
ちなみに私はnetworkerさんの想像と一致していたのかどうかが
気になってます。
ちなみに、「ブルブル」はTOMOさんのパクリです。ごめんなさい。
この表現、何故か好きなんです(笑)
Monday, June 26, 2006
Monday, June 19, 2006
Cisco IOS Login Enhancements(前半)
はじめに
さて、次回のコンテンツは何かな~と(楽しみに)待っていた皆様、
今回からは12.3T以降で新しく追加された機能についていくつか
解説します。
まずは12.3(4)Tから実装されている
Cisco IOS Login Enhancement
という機能からお勉強しましょう。
今年のCCIE Routing and Switching Trackで使用されるIOS
Versionは12.4なので、12.3Tの新機能が含まれています。
CCIEという試験は範囲が超広範囲ですし、一回の受験料を
考えると気軽に受験できないので、どんな問題が出てもいいよう
に入念に準備しておく必要があります。
Benefits
この機能が実装される前のIOSでは、
-Telnet(SSH)でログインした(された)ことをloggingできない
-HTTPでログインした(された)ことをloggingできない
という制限がありました。
つまり、誰かがRouterにリモートからログインできたとしても、それ
をSyslogに残す手立てがなかったのです。
Global Configuration Modeから抜けたときはSyslogが出力
されますが、その時は既に設定を変更されている可能性があり
ますので、不正アクセスをすぐに察知することはできません。
Cisco IOS Login Enhancements Featureを利用すると、これら
のRouterへのアクセスをSyslogに残せるようになります。
また、Local Databaseを使ったユーザ認証も使用すると、どの
ユーザが、いつ、コンソール経由(またはvty経由)でLoginした
かを、Syslogを利用して容易に追跡できるようになります。
ちなみに、この機能は一部のCatalyst(ハイエンドの機器)でしか
サポートされていないので注意が必要です。
Feature Overview
Cisco IOS Login Enhancementsは、Console、Telnet、SSH、
HTTPでRouterにアクセスした記録をSyslogに残すことができ
ます。
また、辞書攻撃などのBrute-foce-attackの対策として、何回か
Loginが失敗した場合に、再度Login Promptを表示するまでの
Delayをかけることができたり、一定時間Login要求を受け付け
ないようにしたりできます。
Delays Between Successive Login Attempts
あるLogin認証が失敗して、次のLogin Promptを表示するまでの
間、一定のDelayを設けることができます。Delayのやり方には
以下の3つの方法があります。
-login delayというGlobal Configrationコマンドで、Delayさせ
る秒数を指定できます。
-login block-forというコマンドを使って、1秒のDelayを自動的
に有効にできます。
-auto secureというコマンドを使って、1秒のDelayを自動的
有効にできます。
#auto secureの説明は割愛します。
#詳しく知りたい方は、こちら。
#http://www.cisco.com/univercd/cc/td/doc/product/
# software/ios124/124cg/hsec_c/part30/hatosec.htm
設定に関しては、次回以降で詳しくとりあげます。
Login Shutdown If DoS Attacks Are Suspected
以前のIOSでは何度Login認証に失敗してもLoginを試行する
ことができました。
このFeatureが実装されてからは、一定の回数連続してLogin認証
が失敗した場合、DoS Attack(または不正アクセスのようなクラッ
キング)が発生していると判断し、その後のLogin試行を一定時間
全て拒否する"quiet period"を設定することができます。
ちなみにACLを利用することで特定のホストからのLoginを
"quiet period"にならないようにすることも可能です。
この機能(以降queit modeと呼びます)はDefaultで無効ですが
autosecureを有効にしているときは、quiet modeを有効にできま
せん。
Generation System Logging Messages for Login Detection
quiet modeになったり、戻ったりするときは、Syslog Messegaが
出力されます。また、設定すればLoginに失敗・成功したことを
Syslog Messageとして出力することができます。
今現在はSyslogでの出力のみですが、将来的にはSNMP Trap
も出せるようになる予定らしいです。(マニュアルにそう書いて
ありました)
さて、次回は設定のお話です。
次回のコンテンツは、
-はじめに
-Default設定
-Configuring Cisco IOS Login Enhancements
-Configuration Example
-Advanced Configuring Exercise
-Further Reading
です。お楽しみに。
さて、次回のコンテンツは何かな~と(楽しみに)待っていた皆様、
今回からは12.3T以降で新しく追加された機能についていくつか
解説します。
まずは12.3(4)Tから実装されている
Cisco IOS Login Enhancement
という機能からお勉強しましょう。
今年のCCIE Routing and Switching Trackで使用されるIOS
Versionは12.4なので、12.3Tの新機能が含まれています。
CCIEという試験は範囲が超広範囲ですし、一回の受験料を
考えると気軽に受験できないので、どんな問題が出てもいいよう
に入念に準備しておく必要があります。
Benefits
この機能が実装される前のIOSでは、
-Telnet(SSH)でログインした(された)ことをloggingできない
-HTTPでログインした(された)ことをloggingできない
という制限がありました。
つまり、誰かがRouterにリモートからログインできたとしても、それ
をSyslogに残す手立てがなかったのです。
Global Configuration Modeから抜けたときはSyslogが出力
されますが、その時は既に設定を変更されている可能性があり
ますので、不正アクセスをすぐに察知することはできません。
Cisco IOS Login Enhancements Featureを利用すると、これら
のRouterへのアクセスをSyslogに残せるようになります。
また、Local Databaseを使ったユーザ認証も使用すると、どの
ユーザが、いつ、コンソール経由(またはvty経由)でLoginした
かを、Syslogを利用して容易に追跡できるようになります。
ちなみに、この機能は一部のCatalyst(ハイエンドの機器)でしか
サポートされていないので注意が必要です。
Feature Overview
Cisco IOS Login Enhancementsは、Console、Telnet、SSH、
HTTPでRouterにアクセスした記録をSyslogに残すことができ
ます。
また、辞書攻撃などのBrute-foce-attackの対策として、何回か
Loginが失敗した場合に、再度Login Promptを表示するまでの
Delayをかけることができたり、一定時間Login要求を受け付け
ないようにしたりできます。
Delays Between Successive Login Attempts
あるLogin認証が失敗して、次のLogin Promptを表示するまでの
間、一定のDelayを設けることができます。Delayのやり方には
以下の3つの方法があります。
-login delayというGlobal Configrationコマンドで、Delayさせ
る秒数を指定できます。
-login block-forというコマンドを使って、1秒のDelayを自動的
に有効にできます。
-auto secureというコマンドを使って、1秒のDelayを自動的
有効にできます。
#auto secureの説明は割愛します。
#詳しく知りたい方は、こちら。
#http://www.cisco.com/univercd/cc/td/doc/product/
# software/ios124/124cg/hsec_c/part30/hatosec.htm
設定に関しては、次回以降で詳しくとりあげます。
Login Shutdown If DoS Attacks Are Suspected
以前のIOSでは何度Login認証に失敗してもLoginを試行する
ことができました。
このFeatureが実装されてからは、一定の回数連続してLogin認証
が失敗した場合、DoS Attack(または不正アクセスのようなクラッ
キング)が発生していると判断し、その後のLogin試行を一定時間
全て拒否する"quiet period"を設定することができます。
ちなみにACLを利用することで特定のホストからのLoginを
"quiet period"にならないようにすることも可能です。
この機能(以降queit modeと呼びます)はDefaultで無効ですが
autosecureを有効にしているときは、quiet modeを有効にできま
せん。
Generation System Logging Messages for Login Detection
quiet modeになったり、戻ったりするときは、Syslog Messegaが
出力されます。また、設定すればLoginに失敗・成功したことを
Syslog Messageとして出力することができます。
今現在はSyslogでの出力のみですが、将来的にはSNMP Trap
も出せるようになる予定らしいです。(マニュアルにそう書いて
ありました)
さて、次回は設定のお話です。
次回のコンテンツは、
-はじめに
-Default設定
-Configuring Cisco IOS Login Enhancements
-Configuration Example
-Advanced Configuring Exercise
-Further Reading
です。お楽しみに。
Thursday, June 15, 2006
Port Security(3回目)
Port Securityの最終回をUPします。
はじめに
前回、前々回に引き続きPort Securityのお話です。
設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが
設定に関してはまだまだあります。
今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉
強します。Aging(というのは、簡単に言うと「忘れちゃう」ということ
です。
Enabling and Configuring Port Security Aging
Secure Portに記憶されているSecure MacをAgingさせられ
るのは、StaticとDynamicで学習したMacアドレスのみです。
Stickyで学習したMacアドレスに関してはAgingできませんので
注意してください。
Agingはポートごとに以下の2つのタイプを設定できます。
-Absolute
あるポートで記憶されているSecure Macを特定の時間が
経過した後に削除する。
通信が行われている最中でも、特定の時間が経過するとA
gingが行われます。
-Inactivity
Secure Portで記憶されているSecure Macを通信に使用され
なくなってから特定の時間が経過した後に削除する。
特定の時間が経過する前に再び通信が行われると、Aging
までの時間はリセットされます。
以下にPort Security Agingの設定ステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Security Agingを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport port-security aging
Port Security Agingを設定します。
static・・・staticに設定されたSecure Macに対してAgingを
有効したいときに設定します。
time・・・Agingまでの時間を設定します。0から1440までの値
を指定可能で、単位は分です。0を指定するとAgingしないこと
意味します。
type・・・Agingするまでのカウントダウンのやりかたとして
absoluteかinactivityを指定します。
指定しない場合、absoluteとなります。
Step4
以上で設定は終了です。
Configuration Example
いくつか設定例を見て、設定のやりかたを確認しましょう。
まずは、StaticにSecure Macの設定方法です。
Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Mac
を設定して、さらにSecurity Violationモードをprotectにしている
例を示します。
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation protect
Switch(config-if)# switchport port-security mac 1111.1111.1111
Switch(config-if)# switchport port-security mac 2222.2222.2222
Switch(config-if)# no shutdown
設定の前にshutdownしているので、最後にno shutdownするの
を忘れないようにしましょう。
次にAgingの設定例です。
Switchのfa 0/1に記憶されているSecure MacのAging typeを
inactivityで設定しています。
Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging static
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
Aging typeのデフォルトはabsoluteなので、aging typeを変える
設定が必要です。
Basic Configuring Exercise
それでは練習問題です。
問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台
までとなるように設定してください。
問2) 問1のfa0/1の設定にAgingの設定を追加します。
2時間経ったらすべてのSecure Macを消去するようにしてくだ
さい。
問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecure
Macとして予め登録してください。さらに、このポートにPC10台分
のMacアドレスをSecure Macとして動的に記憶できるようにして
ください。
問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。
IP PhoneにはPCが1台接続される予定になっています。
このポートで許可するMacアドレスの数はいくつ必要でしょうか。
では解答です。
問1ですが、設定は以下のようになります。
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# no shutdown
問2は、以下のようになります。
Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging time 120
typeを指定しない場合はabsoluteでしたよね。
問3は、以下のようになります。
Switch(config)# int fa 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 11
Switch(config-if)# switchport
port-security mac-address aaaa.bbbb.cccc
Switch(config-if)# no shutdown
maximumの値を10とした方いませんか?こうところにひっかから
ないようにしましょう(笑)
問4は設定させる問題ではありませんが、IP Phoneを接続させる
ポートにPort Securityを設定する場合の注意点です。
忘れた方は「Port Security(2回目)のConfiguration Guideline」
を参照してください。
答えは3つとなります。
Advanced Configuring Exercise
久々の応用問題です。応用とは言っても私が勝手に考えた
ひっかけ問題なんですが(笑)
では、早速問題です。
Switchのfa 0/10のポート配下に接続されるホストのMacアドレス
を動的にSecure Macとして記憶してください。このとき、Switch
がRebootするとSecure Macを覚えなおすようにしてください。
また、最大許可エントリ数を5とし、Security Violationが発生した
場合は2分後に再び利用可能になるようにしてください。
どの辺が応用なのか、というツッコミはやめてください(笑)
Security Violationが~のところがちょっとしたミソになっています。
では解答です。
Switch(config)# int fa 0/10
Switch(config-if)# switchport mode access
問題にはホストが接続されると書きましたので、switchportの
modeをaccessにする必要があります。
Port SecurityはDynamic accessのswitchportには設定できない
ので、必ずスタティックにaccessポートの設定をしてください。
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5
次はPort Securityの設定です。許可エントリのデフォルト値は1
ですので、それを5に増やすための設定が必要です。Secure
Macの学習方式はDynamicがデフォルトのため、特に設定は
必要ありません。
また、Security Violationが起こった場合のモードもshutdownが
デフォルトなので特に設定は必要ありません。
最後に必要なのが、error-disabledとなったポートの自動復旧
の設定です。
Security Violationが起こったときのモードがshutdownの場合
そのポートはerror-disabledとなり、ポートが閉塞された状態
となります。
この状態を復旧させるには、手動でshutdownコマンドを入れて
その後no shutdownコマンドを実行する必要があります。
問題には120秒後に再び利用可能になるように、と書いています
ので自動的にerror-disabledの状態を復旧させる必要がありま
す。その場合の設定は以下のようになります。
Switch(config)# errdisable recovery cause psecure-violation
Switch(config-if)# errdisable recovery interval 120
recovery intervalは秒単位ですので、2分を120秒として設定する
のを間違えないようにしましょう。
Further Reading
Port Security関連のDocumentへのLinkです。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/
lan/c3550/12225see/scg/swtrafc.htm
さて、今回でCatalyst3550に関するポートベースのトラフィック制御の
技術についてのお勉強は終了です。
はじめに
前回、前々回に引き続きPort Securityのお話です。
設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが
設定に関してはまだまだあります。
今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉
強します。Aging(というのは、簡単に言うと「忘れちゃう」ということ
です。
Enabling and Configuring Port Security Aging
Secure Portに記憶されているSecure MacをAgingさせられ
るのは、StaticとDynamicで学習したMacアドレスのみです。
Stickyで学習したMacアドレスに関してはAgingできませんので
注意してください。
Agingはポートごとに以下の2つのタイプを設定できます。
-Absolute
あるポートで記憶されているSecure Macを特定の時間が
経過した後に削除する。
通信が行われている最中でも、特定の時間が経過するとA
gingが行われます。
-Inactivity
Secure Portで記憶されているSecure Macを通信に使用され
なくなってから特定の時間が経過した後に削除する。
特定の時間が経過する前に再び通信が行われると、Aging
までの時間はリセットされます。
以下にPort Security Agingの設定ステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Security Agingを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport port-security aging
Port Security Agingを設定します。
static・・・staticに設定されたSecure Macに対してAgingを
有効したいときに設定します。
time・・・Agingまでの時間を設定します。0から1440までの値
を指定可能で、単位は分です。0を指定するとAgingしないこと
意味します。
type・・・Agingするまでのカウントダウンのやりかたとして
absoluteかinactivityを指定します。
指定しない場合、absoluteとなります。
Step4
以上で設定は終了です。
Configuration Example
いくつか設定例を見て、設定のやりかたを確認しましょう。
まずは、StaticにSecure Macの設定方法です。
Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Mac
を設定して、さらにSecurity Violationモードをprotectにしている
例を示します。
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation protect
Switch(config-if)# switchport port-security mac 1111.1111.1111
Switch(config-if)# switchport port-security mac 2222.2222.2222
Switch(config-if)# no shutdown
設定の前にshutdownしているので、最後にno shutdownするの
を忘れないようにしましょう。
次にAgingの設定例です。
Switchのfa 0/1に記憶されているSecure MacのAging typeを
inactivityで設定しています。
Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging static
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
Aging typeのデフォルトはabsoluteなので、aging typeを変える
設定が必要です。
Basic Configuring Exercise
それでは練習問題です。
問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台
までとなるように設定してください。
問2) 問1のfa0/1の設定にAgingの設定を追加します。
2時間経ったらすべてのSecure Macを消去するようにしてくだ
さい。
問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecure
Macとして予め登録してください。さらに、このポートにPC10台分
のMacアドレスをSecure Macとして動的に記憶できるようにして
ください。
問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。
IP PhoneにはPCが1台接続される予定になっています。
このポートで許可するMacアドレスの数はいくつ必要でしょうか。
では解答です。
問1ですが、設定は以下のようになります。
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# no shutdown
問2は、以下のようになります。
Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging time 120
typeを指定しない場合はabsoluteでしたよね。
問3は、以下のようになります。
Switch(config)# int fa 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 11
Switch(config-if)# switchport
port-security mac-address aaaa.bbbb.cccc
Switch(config-if)# no shutdown
maximumの値を10とした方いませんか?こうところにひっかから
ないようにしましょう(笑)
問4は設定させる問題ではありませんが、IP Phoneを接続させる
ポートにPort Securityを設定する場合の注意点です。
忘れた方は「Port Security(2回目)のConfiguration Guideline」
を参照してください。
答えは3つとなります。
Advanced Configuring Exercise
久々の応用問題です。応用とは言っても私が勝手に考えた
ひっかけ問題なんですが(笑)
では、早速問題です。
Switchのfa 0/10のポート配下に接続されるホストのMacアドレス
を動的にSecure Macとして記憶してください。このとき、Switch
がRebootするとSecure Macを覚えなおすようにしてください。
また、最大許可エントリ数を5とし、Security Violationが発生した
場合は2分後に再び利用可能になるようにしてください。
どの辺が応用なのか、というツッコミはやめてください(笑)
Security Violationが~のところがちょっとしたミソになっています。
では解答です。
Switch(config)# int fa 0/10
Switch(config-if)# switchport mode access
問題にはホストが接続されると書きましたので、switchportの
modeをaccessにする必要があります。
Port SecurityはDynamic accessのswitchportには設定できない
ので、必ずスタティックにaccessポートの設定をしてください。
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5
次はPort Securityの設定です。許可エントリのデフォルト値は1
ですので、それを5に増やすための設定が必要です。Secure
Macの学習方式はDynamicがデフォルトのため、特に設定は
必要ありません。
また、Security Violationが起こった場合のモードもshutdownが
デフォルトなので特に設定は必要ありません。
最後に必要なのが、error-disabledとなったポートの自動復旧
の設定です。
Security Violationが起こったときのモードがshutdownの場合
そのポートはerror-disabledとなり、ポートが閉塞された状態
となります。
この状態を復旧させるには、手動でshutdownコマンドを入れて
その後no shutdownコマンドを実行する必要があります。
問題には120秒後に再び利用可能になるように、と書いています
ので自動的にerror-disabledの状態を復旧させる必要がありま
す。その場合の設定は以下のようになります。
Switch(config)# errdisable recovery cause psecure-violation
Switch(config-if)# errdisable recovery interval 120
recovery intervalは秒単位ですので、2分を120秒として設定する
のを間違えないようにしましょう。
Further Reading
Port Security関連のDocumentへのLinkです。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/
lan/c3550/12225see/scg/swtrafc.htm
さて、今回でCatalyst3550に関するポートベースのトラフィック制御の
技術についてのお勉強は終了です。
Tuesday, June 13, 2006
Port Security(2回目)
UPが遅くなってしまいました。すみません。
え~っと、いつだったかな。。。(笑)
結構前に(笑)Geneさんのメルマガで配信された記事です。
はじめに
前回はPort Securityの動作や概念のお勉強をしました。
今回からはいよいよ設定です。
いつもいつも繰り返し言っていますが、前回の動作や概念のお話
を読んでいない方は、まず動作や概念を頭に入れてから設定
方法を見ていきましょう。
CCIEでは設定のやり方を覚えるのはそれほど重要ではありま
せん。「動作を理解する」ことの方が非常に重要です。
Default設定
Port Securityは、Defaultでは設定されていません。
Port Securityを有効にした場合、以下のDefault設定が有効に
なります。
-Maximum Secure Mac Address(最大許可エントリ数)は1
-Violation Modeはshutdown
-Macアドレス学習方法はDynamic
-学習したMacアドレスのAging timeは0(Age outしない)
Agingを有効にしたときのdefault typeはabsolute
Configuration Guidline
Port Securityを設定する際のガイドラインです。
-Port Securityは手動で設定されたaccess port、trunk port
またはdot1Q Tunnel portで設定できます。
-Port SecurityはDyamic access portには設定できません。
(注:dynamic access portとは、switchport mode access
コマンドを設定せずにDTPによってaccess portになった
ポートのことです。
-Port SecurityはSwitch Port Analyzer(SPAN)のあて先ポート
に指定されているポートには設定できません。
-Port SecurityはFECやGECに参加しているポートには設定
できません。
-Voice VLANが設定されているポートでPort Securityを有効
にする場合、許可されるMacアドレスのエントリ数を最低で
も2つ以上にしてください。
IP Phoneは最大で2つのMacアドレスを使用します。
IP Phoneの配下にPCを接続する場合は、PCのMacアドレス
を追加で許可する必要があります。
-許可エントリ数を定義するコマンドを設定するときは、現時点
で設定されているエントリ数よりも大きな数を指定してくださ
い。設定は上書きされますので、現在許可されているエントリ
数よりも少ない数を新しく定義しようとした場合、コマンドが
拒否されます。
例えば、現時点で3つのMacアドレスが許可されているポート
に2つのMacアドレスまでしか許可されない設定をしようとする
と、コマンドが拒否されます。
-Stickyで設定されているMacアドレスをAgingさせることは
できません。
Enabling and Configuring Port Security
以下にPort Securityの設定ステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Securityを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport mode { access | trunk }
Port Securityを設定する前に、ポートをaccessかtrunkに設定
します。Dynamicの状態では設定できません。
Step4
Switch(config-if)# switchport voice vlan vlan-id
Voice VLANを使用する場合は、Voice VLANの設定もして
おきます。
Step5
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Port Securityを有効にする前にshutdownコマンドを実行
しています。これはswitchport port-securityと実行すると
そのポートですぐにPort Securityが有効になり、有効に
なった場合はPort SecurityのDefault設定も有効になって
きますので、場合によってはSecurity Violationを起こして
しまう可能性があります。
よって、まずshutdownをした後にPort Securityの設定を
行うことをオススメします。
Step6
Switch(config-if)# switchport port-security [ maximum
value [ vlan { vlan-list | { access | voice }}]]
許可する最大エントリ数を設定します。この設定はOptional
です。Defaultの最大許可エントリ数は1です。
最大数だけ定義したい場合、vlan以下のコマンドは必要
ありません。
vlanは、trunkポートでvlanごとに最大許可エントリを定義
したい場合に使用します。
accessやvoiceは、Cisco IP Phoneと接続される場合に使用
します。
Step7
Switch(config-if)# switchport port-security violation {
protect | restrict | shutdown }
Security Violationが起こった場合のふるまいを設定します。
この設定はOptionalです。Defaultの動作はshutdownです。
Step8
Switch(config-if)# switchport port-security [ mac-address
mac [ vlan { vlan-id { access | voice }}]]
接続を許可するMacアドレスをStaticに設定します。
vlan以下のコマンドは、Step6で説明した内容と同様の意味
です。
最大許可エントリ数より少ない数のStaticを設定した場合は
Macアドレスの数が許可エントリ数に達するまでDynamicで
自動的に学習します。
Step9
Switch(config-if)# switchport port-security mac-address
sticky
Stickyを有効にします。この設定はOptionalです。
Step10
Switch(config-if)# switchport port-security mac-address
sticky [ mac-address | vlan vlan-id { access | voice }]]
TrunkポートでStickyをVLANごとに有効にします。
この設定はOptionalです。
Step11
以上で設定は終了です。
さて、次回も引き続き設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Enabling and Configuring Port Security Aging
-Configuration Example
-Basic Configuring Exercise
-Advanced Configuring Exercise
-Further Reading
です。お楽しみに。
え~っと、いつだったかな。。。(笑)
結構前に(笑)Geneさんのメルマガで配信された記事です。
はじめに
前回はPort Securityの動作や概念のお勉強をしました。
今回からはいよいよ設定です。
いつもいつも繰り返し言っていますが、前回の動作や概念のお話
を読んでいない方は、まず動作や概念を頭に入れてから設定
方法を見ていきましょう。
CCIEでは設定のやり方を覚えるのはそれほど重要ではありま
せん。「動作を理解する」ことの方が非常に重要です。
Default設定
Port Securityは、Defaultでは設定されていません。
Port Securityを有効にした場合、以下のDefault設定が有効に
なります。
-Maximum Secure Mac Address(最大許可エントリ数)は1
-Violation Modeはshutdown
-Macアドレス学習方法はDynamic
-学習したMacアドレスのAging timeは0(Age outしない)
Agingを有効にしたときのdefault typeはabsolute
Configuration Guidline
Port Securityを設定する際のガイドラインです。
-Port Securityは手動で設定されたaccess port、trunk port
またはdot1Q Tunnel portで設定できます。
-Port SecurityはDyamic access portには設定できません。
(注:dynamic access portとは、switchport mode access
コマンドを設定せずにDTPによってaccess portになった
ポートのことです。
-Port SecurityはSwitch Port Analyzer(SPAN)のあて先ポート
に指定されているポートには設定できません。
-Port SecurityはFECやGECに参加しているポートには設定
できません。
-Voice VLANが設定されているポートでPort Securityを有効
にする場合、許可されるMacアドレスのエントリ数を最低で
も2つ以上にしてください。
IP Phoneは最大で2つのMacアドレスを使用します。
IP Phoneの配下にPCを接続する場合は、PCのMacアドレス
を追加で許可する必要があります。
-許可エントリ数を定義するコマンドを設定するときは、現時点
で設定されているエントリ数よりも大きな数を指定してくださ
い。設定は上書きされますので、現在許可されているエントリ
数よりも少ない数を新しく定義しようとした場合、コマンドが
拒否されます。
例えば、現時点で3つのMacアドレスが許可されているポート
に2つのMacアドレスまでしか許可されない設定をしようとする
と、コマンドが拒否されます。
-Stickyで設定されているMacアドレスをAgingさせることは
できません。
Enabling and Configuring Port Security
以下にPort Securityの設定ステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Securityを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport mode { access | trunk }
Port Securityを設定する前に、ポートをaccessかtrunkに設定
します。Dynamicの状態では設定できません。
Step4
Switch(config-if)# switchport voice vlan vlan-id
Voice VLANを使用する場合は、Voice VLANの設定もして
おきます。
Step5
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Port Securityを有効にする前にshutdownコマンドを実行
しています。これはswitchport port-securityと実行すると
そのポートですぐにPort Securityが有効になり、有効に
なった場合はPort SecurityのDefault設定も有効になって
きますので、場合によってはSecurity Violationを起こして
しまう可能性があります。
よって、まずshutdownをした後にPort Securityの設定を
行うことをオススメします。
Step6
Switch(config-if)# switchport port-security [ maximum
value [ vlan { vlan-list | { access | voice }}]]
許可する最大エントリ数を設定します。この設定はOptional
です。Defaultの最大許可エントリ数は1です。
最大数だけ定義したい場合、vlan以下のコマンドは必要
ありません。
vlanは、trunkポートでvlanごとに最大許可エントリを定義
したい場合に使用します。
accessやvoiceは、Cisco IP Phoneと接続される場合に使用
します。
Step7
Switch(config-if)# switchport port-security violation {
protect | restrict | shutdown }
Security Violationが起こった場合のふるまいを設定します。
この設定はOptionalです。Defaultの動作はshutdownです。
Step8
Switch(config-if)# switchport port-security [ mac-address
mac [ vlan { vlan-id { access | voice }}]]
接続を許可するMacアドレスをStaticに設定します。
vlan以下のコマンドは、Step6で説明した内容と同様の意味
です。
最大許可エントリ数より少ない数のStaticを設定した場合は
Macアドレスの数が許可エントリ数に達するまでDynamicで
自動的に学習します。
Step9
Switch(config-if)# switchport port-security mac-address
sticky
Stickyを有効にします。この設定はOptionalです。
Step10
Switch(config-if)# switchport port-security mac-address
sticky [ mac-address | vlan vlan-id { access | voice }]]
TrunkポートでStickyをVLANごとに有効にします。
この設定はOptionalです。
Step11
以上で設定は終了です。
さて、次回も引き続き設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Enabling and Configuring Port Security Aging
-Configuration Example
-Basic Configuring Exercise
-Advanced Configuring Exercise
-Further Reading
です。お楽しみに。
Wednesday, June 07, 2006
Font病
私がFont病なのは皆さんご存知ですよね。
このBlogにはArial FontとTrebuchet MSという2種類のFontを使って
います。
#Browerの都合により違いがわからない場合もありますが。
書くEntryの題名のところに使われているのがArial Font、文中で使わ
れているのがTrebuchet MSです。
本当はHelveticaというFontを使いたいのですが、Windows系はArial
Fontがほぼ同一ということでArialを使っています。
ごく一般的な人なら英字フォントに気を使っていないと思います。
多分、MSゴシックで書いた英字とMS Pゴシックで書いた英字が混じって
ても気がつかないでしょう。ましてや半角と全角が混じっていたとしても
気づかないはずです。
しかし、私はFontが異常に気になるため、必ずといっていいほどArial
Fontを使っています。
#といっても、みなさんもゴシック体と明朝体が入り混じったドキュメント
#見ると、一気に見る気が失せるはずですよ。
で、つい先日HPの新しいNote PCを使ったとき、英字Fontの感じがいつ
もと違うことに気づきました。なんというか滑らかでカッコイイのです。
自分のPCでも同じような感じにならないか1時間ぐらい必死で設定を探した
結果、、、
見つけました。
その名も「Clear Typeでスクリーンフォントの縁を滑らかにする」
やり方は
①画面のプロパティを開く
②デザインタブをクリックする。
③画面右下の効果ボタンを押す
④その中に次の方法でスクリーンフォントの縁を滑らかにする
があるので、その中からClear Typeを選ぶ
そしてwww.cisco.comとかに行ってみると。。。ほら
カッコイイとしか言えない!
ちなみにExcelを開いて
「Font病」
とArial、MSゴシック、MS Pゴシックと書き比べてみてください。
ほら、ぜんぜん違うでしょ。カッコ良さが!!
すると今日からあなたもFont病。
このBlogにはArial FontとTrebuchet MSという2種類のFontを使って
います。
#Browerの都合により違いがわからない場合もありますが。
書くEntryの題名のところに使われているのがArial Font、文中で使わ
れているのがTrebuchet MSです。
本当はHelveticaというFontを使いたいのですが、Windows系はArial
Fontがほぼ同一ということでArialを使っています。
ごく一般的な人なら英字フォントに気を使っていないと思います。
多分、MSゴシックで書いた英字とMS Pゴシックで書いた英字が混じって
ても気がつかないでしょう。ましてや半角と全角が混じっていたとしても
気づかないはずです。
しかし、私はFontが異常に気になるため、必ずといっていいほどArial
Fontを使っています。
#といっても、みなさんもゴシック体と明朝体が入り混じったドキュメント
#見ると、一気に見る気が失せるはずですよ。
で、つい先日HPの新しいNote PCを使ったとき、英字Fontの感じがいつ
もと違うことに気づきました。なんというか滑らかでカッコイイのです。
自分のPCでも同じような感じにならないか1時間ぐらい必死で設定を探した
結果、、、
見つけました。
その名も「Clear Typeでスクリーンフォントの縁を滑らかにする」
やり方は
①画面のプロパティを開く
②デザインタブをクリックする。
③画面右下の効果ボタンを押す
④その中に次の方法でスクリーンフォントの縁を滑らかにする
があるので、その中からClear Typeを選ぶ
そしてwww.cisco.comとかに行ってみると。。。ほら
カッコイイとしか言えない!
ちなみにExcelを開いて
「Font病」
とArial、MSゴシック、MS Pゴシックと書き比べてみてください。
ほら、ぜんぜん違うでしょ。カッコ良さが!!
すると今日からあなたもFont病。
Tuesday, June 06, 2006
Configuring Port Security(1回目)
またまた遅くなりましたが、先々週の月曜日にGeneさんのメルマガで
配信された記事をUPします。
はじめに
前回はPort Blockingについてお勉強しました。
Port BlockingとProtected Portsは似たような名前なので、使い方
を混同しやすいですが、これまでのお勉強で両者の違いが分かった
はずです。
今回はPort Securityについてみていきます。
このPort Securityは3回に分かれています。1回目はPort Security
についての動作や概念の話、2回目は設定の話、3回目も設定の
話と練習問題をやります。
Port Securityが終わるとCatalyst3550のポートベースでトラフィック
を制御する技術をひととおりやったことになります。
Catalyst3550のSoftware Configuration Guideで言うと、Chapter22
のConfiguring Port-Based Traffic Controlの内容を全てカバーしま
した。
これまでFurther ReadingでマニュアルをLinkしていましたが
まだ読まれていない方は最後にこの章を読んでみましょう。
CCIE Lab試験では、マニュアルを読むことが非常に大切です。
試験で見られる唯一のドキュメントなのですから。
Port Securityとは
Port Securityとは、Switchの物理ポートに接続できるホストをMac
アドレスを元に限定する機能のことです。
この機能により、事前にMacアドレスを登録したホストや、または
自動的にMacを学習したホストのみがSwitchに接続できるように
なります。
Secure Mac Address
Secure Mac Addressというのは、Switchへの接続を許可された
Macアドレスを指しています。SwitchにSecure Mac Addressを
登録するには、以下の3つのやり方があります。
-Static Secure Mac Address
switchport port-security mac-addressコマンドを使用して
手動で接続を許可したいMacアドレスを設定します。
この設定をcopyコマンドやwriteコマンドを使って保存すれば
MacアドレスはNVRAMに記憶され、SwitchをRebootしても
保持されます。
-Dynamic Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習して
そのMacアドレスをもつホストのみに接続を許可します。
ただし、Dynamicに記憶されたアドレスは設定には反映され
ません。SwitchがRebootするとそれまで覚えていたアドレス
の情報は消滅し、再度学習しなおす必要があります。
(学習はSwitchにフレームが届くと同時に行われます)
-Sticky Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習して
そのMacアドレスをもつホストのみに接続を許可します。
Dynamicと異なるのは、Stickyで記憶されたMacアドレスは
設定に反映されます。
この設定をcopyコマンドやwriteコマンドを使って保存すれば
MacアドレスはNVRAMに記憶され、SwitchをRebootしても
設定は保持されます。
また、Dynamicで動作させているポートを途中でStickyに変える
こともできます。この場合、Dynamicで記憶されているMacアド
レスが自動的に設定に反映されるようになります。
これをRebootしても有効なままにしておくにはcopyコマンドか
writeコマンドで保存するのを忘れないようにしましょう。
逆にSitckyで動作させているポートをDynamicに変えることもで
きます。この場合、設定に反映されていたMacアドレスは設定
から消えて、Rebootすると消滅するので再び覚えなおす必要が
あります。
(学習はSwitchにフレームが届くと同時に行われます)
以降、Port Securityで許可されたアドレスをSecure Macと呼び、
併せてPort Securityが設定されているポートをSecure Portと
呼びます。
Security Violation
Security Violationは以下の状況が1つでも該当すると起こります。
-Switchが検出したMacアドレスの数が、許可されるSecure
Macエントリの最大数を上回った場合
-Secure Portに記憶されているSecure Macが、同じVLANの
別のSecure Portで検出された場合
1つめの場合から見ていきましょう。
Secure Portには、許可されるSecure Macの最大エントリ数を
設定できます。デフォルトは1つです。
例えば、Dynamicで設定されたポートに2つのMacアドレスが検出
された場合、デフォルトの最大エントリ数を上回るので、2番目に
検出されたMacアドレスを持つフレームはSecurity Violation
と判断され、Switchでブロックされます。
次に2つめの場合です。以下の状況を想像してみてください。
Swtichのfa0/1では、0123.4567.89abを持つMacアドレスを許可
したいので、Staticに設定されているとします。
そのホストがfa0/1に接続されいるときは問題なく動作できますが
同じVLANに属するfa0/2(このポートもSecure Portで動作している
とします)に接続を変更した場合、Switchはfa0/1で設定されている
Secure Macがfa0/2で検出されたため、fa0/2への接続をブロック
します。
Security Violationが起こった場合のふるまいを以下の3つのなか
のどれかに設定することができます。
-protect
最大許可エントリ数を上回るMacアドレスを受け取った場合、
エントリ数を増やすか、Switchが保持しているエントリを削除
するまでブロックします。
protectモードは許可エントリを上回ったフレームだけをブロック
するだけです。SyslogやSNMP Trapは生成しません。
-restrict
最大許可エントリ数を上回るMacアドレスを受け取った場合、
エントリ数を増やすか、Switchが保持しているエントリを削除
するまでブロックします。
restrictモードは許可エントリを上回ったフレームだけをブロック
し、さらにSyslogとSNMP Trapを生成します。
-shutdown
デフォルトのモードです。
最大許可エントリ数を上回るMacアドレスを受け取った場合、
そのフレームをブロックし、そのインタフェースをerror-disabled
にして使用不能な状態にします。
さらにSyslogとSNMP Trapを生成します。
error-disabledとなったインタフェースを復旧させるには、
手動で行う場合と自動で行う場合があります。
手動で行うには、error-disabledとなったインタフェースで
shutdownコマンドを実行し、その後にno shutdownコマンド
を実行します。
自動で行うにはerrdisable recovery cause psecure-violation
グローバルコンフィグレーションコマンドを使用します。
#error-disabledについての説明は割愛します。
さて、次回は設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Default設定
-Configuration Guidline
-Enabling and Configuring Port Security
-Configuration Example
です。お楽しみに。
配信された記事をUPします。
はじめに
前回はPort Blockingについてお勉強しました。
Port BlockingとProtected Portsは似たような名前なので、使い方
を混同しやすいですが、これまでのお勉強で両者の違いが分かった
はずです。
今回はPort Securityについてみていきます。
このPort Securityは3回に分かれています。1回目はPort Security
についての動作や概念の話、2回目は設定の話、3回目も設定の
話と練習問題をやります。
Port Securityが終わるとCatalyst3550のポートベースでトラフィック
を制御する技術をひととおりやったことになります。
Catalyst3550のSoftware Configuration Guideで言うと、Chapter22
のConfiguring Port-Based Traffic Controlの内容を全てカバーしま
した。
これまでFurther ReadingでマニュアルをLinkしていましたが
まだ読まれていない方は最後にこの章を読んでみましょう。
CCIE Lab試験では、マニュアルを読むことが非常に大切です。
試験で見られる唯一のドキュメントなのですから。
Port Securityとは
Port Securityとは、Switchの物理ポートに接続できるホストをMac
アドレスを元に限定する機能のことです。
この機能により、事前にMacアドレスを登録したホストや、または
自動的にMacを学習したホストのみがSwitchに接続できるように
なります。
Secure Mac Address
Secure Mac Addressというのは、Switchへの接続を許可された
Macアドレスを指しています。SwitchにSecure Mac Addressを
登録するには、以下の3つのやり方があります。
-Static Secure Mac Address
switchport port-security mac-addressコマンドを使用して
手動で接続を許可したいMacアドレスを設定します。
この設定をcopyコマンドやwriteコマンドを使って保存すれば
MacアドレスはNVRAMに記憶され、SwitchをRebootしても
保持されます。
-Dynamic Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習して
そのMacアドレスをもつホストのみに接続を許可します。
ただし、Dynamicに記憶されたアドレスは設定には反映され
ません。SwitchがRebootするとそれまで覚えていたアドレス
の情報は消滅し、再度学習しなおす必要があります。
(学習はSwitchにフレームが届くと同時に行われます)
-Sticky Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習して
そのMacアドレスをもつホストのみに接続を許可します。
Dynamicと異なるのは、Stickyで記憶されたMacアドレスは
設定に反映されます。
この設定をcopyコマンドやwriteコマンドを使って保存すれば
MacアドレスはNVRAMに記憶され、SwitchをRebootしても
設定は保持されます。
また、Dynamicで動作させているポートを途中でStickyに変える
こともできます。この場合、Dynamicで記憶されているMacアド
レスが自動的に設定に反映されるようになります。
これをRebootしても有効なままにしておくにはcopyコマンドか
writeコマンドで保存するのを忘れないようにしましょう。
逆にSitckyで動作させているポートをDynamicに変えることもで
きます。この場合、設定に反映されていたMacアドレスは設定
から消えて、Rebootすると消滅するので再び覚えなおす必要が
あります。
(学習はSwitchにフレームが届くと同時に行われます)
以降、Port Securityで許可されたアドレスをSecure Macと呼び、
併せてPort Securityが設定されているポートをSecure Portと
呼びます。
Security Violation
Security Violationは以下の状況が1つでも該当すると起こります。
-Switchが検出したMacアドレスの数が、許可されるSecure
Macエントリの最大数を上回った場合
-Secure Portに記憶されているSecure Macが、同じVLANの
別のSecure Portで検出された場合
1つめの場合から見ていきましょう。
Secure Portには、許可されるSecure Macの最大エントリ数を
設定できます。デフォルトは1つです。
例えば、Dynamicで設定されたポートに2つのMacアドレスが検出
された場合、デフォルトの最大エントリ数を上回るので、2番目に
検出されたMacアドレスを持つフレームはSecurity Violation
と判断され、Switchでブロックされます。
次に2つめの場合です。以下の状況を想像してみてください。
Swtichのfa0/1では、0123.4567.89abを持つMacアドレスを許可
したいので、Staticに設定されているとします。
そのホストがfa0/1に接続されいるときは問題なく動作できますが
同じVLANに属するfa0/2(このポートもSecure Portで動作している
とします)に接続を変更した場合、Switchはfa0/1で設定されている
Secure Macがfa0/2で検出されたため、fa0/2への接続をブロック
します。
Security Violationが起こった場合のふるまいを以下の3つのなか
のどれかに設定することができます。
-protect
最大許可エントリ数を上回るMacアドレスを受け取った場合、
エントリ数を増やすか、Switchが保持しているエントリを削除
するまでブロックします。
protectモードは許可エントリを上回ったフレームだけをブロック
するだけです。SyslogやSNMP Trapは生成しません。
-restrict
最大許可エントリ数を上回るMacアドレスを受け取った場合、
エントリ数を増やすか、Switchが保持しているエントリを削除
するまでブロックします。
restrictモードは許可エントリを上回ったフレームだけをブロック
し、さらにSyslogとSNMP Trapを生成します。
-shutdown
デフォルトのモードです。
最大許可エントリ数を上回るMacアドレスを受け取った場合、
そのフレームをブロックし、そのインタフェースをerror-disabled
にして使用不能な状態にします。
さらにSyslogとSNMP Trapを生成します。
error-disabledとなったインタフェースを復旧させるには、
手動で行う場合と自動で行う場合があります。
手動で行うには、error-disabledとなったインタフェースで
shutdownコマンドを実行し、その後にno shutdownコマンド
を実行します。
自動で行うにはerrdisable recovery cause psecure-violation
グローバルコンフィグレーションコマンドを使用します。
#error-disabledについての説明は割愛します。
さて、次回は設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Default設定
-Configuration Guidline
-Enabling and Configuring Port Security
-Configuration Example
です。お楽しみに。
Sunday, June 04, 2006
Configuring Port Blocking
UPが遅くなりましたが、Geneさんのメルマガで先々週の金曜日に
配信された記事です。
はじめに
前回は2回にわたってProtected Portsをお勉強しました。
今回はPort Blockingについてみていきます。
Port BlockingはProtected Portsとは混同しやすいので、この2つ
の違いはしっかりと押さえておきたいですね。
前回のProtected Portsを読まれていない方は、こちらも併せて
読んでおいたほうがより理解が深まります。
Port Blockingとは
Switchは、自分のMacテーブルにないあて先Macアドレスを持つ
フレームを受け取ると、受け取ったポート以外の全てのポートに
フレームを送信するFloodingを行います。
前回のProtected Portsの解説でも述べましたが、Switchは
Protected Portsが設定されているポートに、どの機器が接続さ
れているのかを認識できていない場合(例えばMacテーブルが
空のときなど)は、FloodingによりProtected Ports間でパケット
が流れてしまう可能性があります。
この動作が問題になる要件がある場合はProtected Portsを設定
しているインタフェースにPort Blockingも併せて設定します。
Port Blockingは、Switchがあて先不明のMacアドレスをもつ
UnicastやMulticastを受け取ると、Port Blockingが設定されている
ポートにFloodingすることを防ぎます。
Port BlockingはProtected Portsとは関係なく、単独で設定する
こともできます。
Default設定
Port Blockingは、Defaultでは設定されていません。
Configuring Port Blocking
Port Blokingの設定は簡単です。
ただし、SwitchのインタフェースがRouted Port(no switchport)
に設定されていると、そのポートでPort Blockingを有効にできない
ので注意してください。
以下に設定のステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Blockingを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport block { unicast | multicast }
Port Blockingの設定をします。
引数については以下のとおりです。
unicast・・・Unknown Unicast(あて先のMacアドレスがMac
テーブルに記憶されていないユニキャストフレーム)を
ブロックします。
multicast・・・Unknown Multicast(あて先のMacアドレスが
Macテーブルに記憶されていないマルチキャストフレーム)
をブロックします。
Step4
以上で設定は終了です。
Configuration Example
Switchのfa0/1でUnknown UnicastがFloodingされるのを防ぐ場合
の設定例です。
Switch(config-if)# switchport block unicast
Basic Configuring Exercise
Port Blockingも設定が単純なので練習にならないかもしれませ
んが、とりあえず1問だけ。
問)SWのfa 0/1とfa 0/2にはあるサーバが接続されており、これら
のポートには、そのサーバあてのトラフィックしか流れないように
したいという要件があがっています。SWでその要件を満たしてく
ださい。各サーバはVLAN30に属しています。
それでは解答です。
SWの設定は以下のようになります。
Switch(config) int range fa 0/1 - 2
Switch(config-if)# switchport access vlan 30
Switch(config-if)# switchport mode access
Switch(config-if)# switchport block unicast
Switch(config-if)# switchport block multicast
Switch(config-if)# end
設定は単純ですね。問題にはそのサーバあてのトラフィックしか
流れないように、と言っているので、unicastとmulticastのFlooding
をブロックしています。
Further Reading
Protected Ports関連のDocumentへのLinkです。
Link先がいつも同じですが、Storm Control、Protected Ports、
そして今回のPort Blockingについて書かれているドキュメントは
マニュアルぐらいしかないのです。。。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/
lan/c3550/12225see/scg/swtrafc.htm
さて、次回はPort Securityのお話です。
次回のコンテンツは、
-はじめに
-Port Securityとは
-Secure Mac Address
-Security Violation
です。お楽しみに。
配信された記事です。
はじめに
前回は2回にわたってProtected Portsをお勉強しました。
今回はPort Blockingについてみていきます。
Port BlockingはProtected Portsとは混同しやすいので、この2つ
の違いはしっかりと押さえておきたいですね。
前回のProtected Portsを読まれていない方は、こちらも併せて
読んでおいたほうがより理解が深まります。
Port Blockingとは
Switchは、自分のMacテーブルにないあて先Macアドレスを持つ
フレームを受け取ると、受け取ったポート以外の全てのポートに
フレームを送信するFloodingを行います。
前回のProtected Portsの解説でも述べましたが、Switchは
Protected Portsが設定されているポートに、どの機器が接続さ
れているのかを認識できていない場合(例えばMacテーブルが
空のときなど)は、FloodingによりProtected Ports間でパケット
が流れてしまう可能性があります。
この動作が問題になる要件がある場合はProtected Portsを設定
しているインタフェースにPort Blockingも併せて設定します。
Port Blockingは、Switchがあて先不明のMacアドレスをもつ
UnicastやMulticastを受け取ると、Port Blockingが設定されている
ポートにFloodingすることを防ぎます。
Port BlockingはProtected Portsとは関係なく、単独で設定する
こともできます。
Default設定
Port Blockingは、Defaultでは設定されていません。
Configuring Port Blocking
Port Blokingの設定は簡単です。
ただし、SwitchのインタフェースがRouted Port(no switchport)
に設定されていると、そのポートでPort Blockingを有効にできない
ので注意してください。
以下に設定のステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Blockingを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport block { unicast | multicast }
Port Blockingの設定をします。
引数については以下のとおりです。
unicast・・・Unknown Unicast(あて先のMacアドレスがMac
テーブルに記憶されていないユニキャストフレーム)を
ブロックします。
multicast・・・Unknown Multicast(あて先のMacアドレスが
Macテーブルに記憶されていないマルチキャストフレーム)
をブロックします。
Step4
以上で設定は終了です。
Configuration Example
Switchのfa0/1でUnknown UnicastがFloodingされるのを防ぐ場合
の設定例です。
Switch(config-if)# switchport block unicast
Basic Configuring Exercise
Port Blockingも設定が単純なので練習にならないかもしれませ
んが、とりあえず1問だけ。
問)SWのfa 0/1とfa 0/2にはあるサーバが接続されており、これら
のポートには、そのサーバあてのトラフィックしか流れないように
したいという要件があがっています。SWでその要件を満たしてく
ださい。各サーバはVLAN30に属しています。
それでは解答です。
SWの設定は以下のようになります。
Switch(config) int range fa 0/1 - 2
Switch(config-if)# switchport access vlan 30
Switch(config-if)# switchport mode access
Switch(config-if)# switchport block unicast
Switch(config-if)# switchport block multicast
Switch(config-if)# end
設定は単純ですね。問題にはそのサーバあてのトラフィックしか
流れないように、と言っているので、unicastとmulticastのFlooding
をブロックしています。
Further Reading
Protected Ports関連のDocumentへのLinkです。
Link先がいつも同じですが、Storm Control、Protected Ports、
そして今回のPort Blockingについて書かれているドキュメントは
マニュアルぐらいしかないのです。。。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/
lan/c3550/12225see/scg/swtrafc.htm
さて、次回はPort Securityのお話です。
次回のコンテンツは、
-はじめに
-Port Securityとは
-Secure Mac Address
-Security Violation
です。お楽しみに。
Thursday, June 01, 2006
CCIE Security Lab will be change.
CCIE VoiceのLabが変わったときに、
「次に変わるのはSecurityのLab」
と予想していましたが、ずばり予想的中になりました。
Changes to CCIE Security Lab and Written Exams
でもIOSのVersionは12.2Tのままなんですね。
どうせなら12.4にしたほうがいいのに。。。
「次に変わるのはSecurityのLab」
と予想していましたが、ずばり予想的中になりました。
Changes to CCIE Security Lab and Written Exams
でもIOSのVersionは12.2Tのままなんですね。
どうせなら12.4にしたほうがいいのに。。。
Subscribe to:
Posts (Atom)