UPが遅くなりましたが、Geneさんのメルマガで先々週の金曜日に
配信された記事です。
はじめに
前回は2回にわたってProtected Portsをお勉強しました。
今回はPort Blockingについてみていきます。
Port BlockingはProtected Portsとは混同しやすいので、この2つ
の違いはしっかりと押さえておきたいですね。
前回のProtected Portsを読まれていない方は、こちらも併せて
読んでおいたほうがより理解が深まります。
Port Blockingとは
Switchは、自分のMacテーブルにないあて先Macアドレスを持つ
フレームを受け取ると、受け取ったポート以外の全てのポートに
フレームを送信するFloodingを行います。
前回のProtected Portsの解説でも述べましたが、Switchは
Protected Portsが設定されているポートに、どの機器が接続さ
れているのかを認識できていない場合(例えばMacテーブルが
空のときなど)は、FloodingによりProtected Ports間でパケット
が流れてしまう可能性があります。
この動作が問題になる要件がある場合はProtected Portsを設定
しているインタフェースにPort Blockingも併せて設定します。
Port Blockingは、Switchがあて先不明のMacアドレスをもつ
UnicastやMulticastを受け取ると、Port Blockingが設定されている
ポートにFloodingすることを防ぎます。
Port BlockingはProtected Portsとは関係なく、単独で設定する
こともできます。
Default設定
Port Blockingは、Defaultでは設定されていません。
Configuring Port Blocking
Port Blokingの設定は簡単です。
ただし、SwitchのインタフェースがRouted Port(no switchport)
に設定されていると、そのポートでPort Blockingを有効にできない
ので注意してください。
以下に設定のステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Blockingを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport block { unicast | multicast }
Port Blockingの設定をします。
引数については以下のとおりです。
unicast・・・Unknown Unicast(あて先のMacアドレスがMac
テーブルに記憶されていないユニキャストフレーム)を
ブロックします。
multicast・・・Unknown Multicast(あて先のMacアドレスが
Macテーブルに記憶されていないマルチキャストフレーム)
をブロックします。
Step4
以上で設定は終了です。
Configuration Example
Switchのfa0/1でUnknown UnicastがFloodingされるのを防ぐ場合
の設定例です。
Switch(config-if)# switchport block unicast
Basic Configuring Exercise
Port Blockingも設定が単純なので練習にならないかもしれませ
んが、とりあえず1問だけ。
問)SWのfa 0/1とfa 0/2にはあるサーバが接続されており、これら
のポートには、そのサーバあてのトラフィックしか流れないように
したいという要件があがっています。SWでその要件を満たしてく
ださい。各サーバはVLAN30に属しています。
それでは解答です。
SWの設定は以下のようになります。
Switch(config) int range fa 0/1 - 2
Switch(config-if)# switchport access vlan 30
Switch(config-if)# switchport mode access
Switch(config-if)# switchport block unicast
Switch(config-if)# switchport block multicast
Switch(config-if)# end
設定は単純ですね。問題にはそのサーバあてのトラフィックしか
流れないように、と言っているので、unicastとmulticastのFlooding
をブロックしています。
Further Reading
Protected Ports関連のDocumentへのLinkです。
Link先がいつも同じですが、Storm Control、Protected Ports、
そして今回のPort Blockingについて書かれているドキュメントは
マニュアルぐらいしかないのです。。。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/
lan/c3550/12225see/scg/swtrafc.htm
さて、次回はPort Securityのお話です。
次回のコンテンツは、
-はじめに
-Port Securityとは
-Secure Mac Address
-Security Violation
です。お楽しみに。
Subscribe to:
Post Comments (Atom)
1 comment:
Lovely blog thanks for taking the time to share this.
Post a Comment