Sunday, June 04, 2006

Configuring Port Blocking

UPが遅くなりましたが、Geneさんのメルマガで先々週の金曜日に
配信された記事です。

はじめに
 前回は2回にわたってProtected Portsをお勉強しました。
 今回はPort Blockingについてみていきます。

 Port BlockingはProtected Portsとは混同しやすいので、この2つ
 の違いはしっかりと押さえておきたいですね。
 前回のProtected Portsを読まれていない方は、こちらも併せて
 読んでおいたほうがより理解が深まります。


Port Blockingとは
 Switchは、自分のMacテーブルにないあて先Macアドレスを持つ
 フレームを受け取ると、受け取ったポート以外の全てのポートに
 フレームを送信するFloodingを行います。

 前回のProtected Portsの解説でも述べましたが、Switchは
 Protected Portsが設定されているポートに、どの機器が接続さ
 れているのかを認識できていない場合(例えばMacテーブルが
 空のときなど)は、FloodingによりProtected Ports間でパケット
 が流れてしまう可能性があります。

 この動作が問題になる要件がある場合はProtected Portsを設定
 しているインタフェースにPort Blockingも併せて設定します。

 Port Blockingは、Switchがあて先不明のMacアドレスをもつ
 UnicastやMulticastを受け取ると、Port Blockingが設定されている
 ポートにFloodingすることを防ぎます。

 Port BlockingはProtected Portsとは関係なく、単独で設定する
 こともできます。


Default設定
 Port Blockingは、Defaultでは設定されていません。


Configuring Port Blocking
 Port Blokingの設定は簡単です。
 ただし、SwitchのインタフェースがRouted Port(no switchport)
 に設定されていると、そのポートでPort Blockingを有効にできない
 ので注意してください。

 以下に設定のステップを示します。
 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Blockingを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport block { unicast | multicast }

  Port Blockingの設定をします。
  引数については以下のとおりです。

  unicast・・・Unknown Unicast(あて先のMacアドレスがMac
  テーブルに記憶されていないユニキャストフレーム)を
  ブロックします。

  multicast・・・Unknown Multicast(あて先のMacアドレスが
  Macテーブルに記憶されていないマルチキャストフレーム)
  をブロックします。

 Step4

  以上で設定は終了です。


Configuration Example
 Switchのfa0/1でUnknown UnicastがFloodingされるのを防ぐ場合
 の設定例です。

 Switch(config-if)# switchport block unicast


 Basic Configuring Exercise
 Port Blockingも設定が単純なので練習にならないかもしれませ
 んが、とりあえず1問だけ。

 問)SWのfa 0/1とfa 0/2にはあるサーバが接続されており、これら
 のポートには、そのサーバあてのトラフィックしか流れないように
 したいという要件があがっています。SWでその要件を満たしてく
 ださい。各サーバはVLAN30に属しています。

 それでは解答です。

 SWの設定は以下のようになります。

 Switch(config) int range fa 0/1 - 2
 Switch(config-if)# switchport access vlan 30
 Switch(config-if)# switchport mode access
 Switch(config-if)# switchport block unicast
 Switch(config-if)# switchport block multicast
 Switch(config-if)# end

 設定は単純ですね。問題にはそのサーバあてのトラフィックしか
 流れないように、と言っているので、unicastとmulticastのFlooding
 をブロックしています。


Further Reading
 Protected Ports関連のDocumentへのLinkです。
 Link先がいつも同じですが、Storm Control、Protected Ports、
 そして今回のPort Blockingについて書かれているドキュメントは
 マニュアルぐらいしかないのです。。。

 Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
   lan/c3550/12225see/scg/swtrafc.htm


さて、次回はPort Securityのお話です。
 次回のコンテンツは、
 -はじめに
 -Port Securityとは
 -Secure Mac Address
 -Security Violation
です。お楽しみに。

1 comment:

Jenna Stuart said...

Lovely blog thanks for taking the time to share this.