Tuesday, June 06, 2006

Configuring Port Security(1回目)

またまた遅くなりましたが、先々週の月曜日にGeneさんのメルマガで
配信された記事をUPします。


はじめに
 前回はPort Blockingについてお勉強しました。
 Port BlockingとProtected Portsは似たような名前なので、使い方
 を混同しやすいですが、これまでのお勉強で両者の違いが分かった
 はずです。

 今回はPort Securityについてみていきます。
 このPort Securityは3回に分かれています。1回目はPort Security
 についての動作や概念の話、2回目は設定の話、3回目も設定の
 話と練習問題をやります。

 Port Securityが終わるとCatalyst3550のポートベースでトラフィック
 を制御する技術をひととおりやったことになります。

 Catalyst3550のSoftware Configuration Guideで言うと、Chapter22
 のConfiguring Port-Based Traffic Controlの内容を全てカバーしま
 した。

 これまでFurther ReadingでマニュアルをLinkしていましたが
 まだ読まれていない方は最後にこの章を読んでみましょう。

 CCIE Lab試験では、マニュアルを読むことが非常に大切です。
 試験で見られる唯一のドキュメントなのですから。


Port Securityとは
 Port Securityとは、Switchの物理ポートに接続できるホストをMac
 アドレスを元に限定する機能のことです。
 この機能により、事前にMacアドレスを登録したホストや、または
 自動的にMacを学習したホストのみがSwitchに接続できるように
 なります。


Secure Mac Address
 Secure Mac Addressというのは、Switchへの接続を許可された
 Macアドレスを指しています。SwitchにSecure Mac Addressを
 登録するには、以下の3つのやり方があります。

 -Static Secure Mac Address
 switchport port-security mac-addressコマンドを使用して
 手動で接続を許可したいMacアドレスを設定します。
 この設定をcopyコマンドやwriteコマンドを使って保存すれば
 MacアドレスはNVRAMに記憶され、SwitchをRebootしても
 保持されます。

 -Dynamic Secure Mac Address
 Switchが自動的に接続されているMacアドレスを学習して
 そのMacアドレスをもつホストのみに接続を許可します。
 ただし、Dynamicに記憶されたアドレスは設定には反映され
 ません。SwitchがRebootするとそれまで覚えていたアドレス
 の情報は消滅し、再度学習しなおす必要があります。
 (学習はSwitchにフレームが届くと同時に行われます)

 -Sticky Secure Mac Address
 Switchが自動的に接続されているMacアドレスを学習して
 そのMacアドレスをもつホストのみに接続を許可します。
 Dynamicと異なるのは、Stickyで記憶されたMacアドレスは
 設定に反映されます。
 この設定をcopyコマンドやwriteコマンドを使って保存すれば
 MacアドレスはNVRAMに記憶され、SwitchをRebootしても
 設定は保持されます。

 また、Dynamicで動作させているポートを途中でStickyに変える
 こともできます。この場合、Dynamicで記憶されているMacアド
 レスが自動的に設定に反映されるようになります。
 これをRebootしても有効なままにしておくにはcopyコマンドか
 writeコマンドで保存するのを忘れないようにしましょう。

 逆にSitckyで動作させているポートをDynamicに変えることもで
 きます。この場合、設定に反映されていたMacアドレスは設定
 から消えて、Rebootすると消滅するので再び覚えなおす必要が
 あります。
 (学習はSwitchにフレームが届くと同時に行われます)

 以降、Port Securityで許可されたアドレスをSecure Macと呼び、
 併せてPort Securityが設定されているポートをSecure Portと
 呼びます。


Security Violation
 Security Violationは以下の状況が1つでも該当すると起こります。

 -Switchが検出したMacアドレスの数が、許可されるSecure
 Macエントリの最大数を上回った場合

 -Secure Portに記憶されているSecure Macが、同じVLANの
 別のSecure Portで検出された場合

 1つめの場合から見ていきましょう。
 Secure Portには、許可されるSecure Macの最大エントリ数を
 設定できます。デフォルトは1つです。
 例えば、Dynamicで設定されたポートに2つのMacアドレスが検出
 された場合、デフォルトの最大エントリ数を上回るので、2番目に
 検出されたMacアドレスを持つフレームはSecurity Violation
 と判断され、Switchでブロックされます。

 次に2つめの場合です。以下の状況を想像してみてください。
 Swtichのfa0/1では、0123.4567.89abを持つMacアドレスを許可
 したいので、Staticに設定されているとします。

 そのホストがfa0/1に接続されいるときは問題なく動作できますが
 同じVLANに属するfa0/2(このポートもSecure Portで動作している
 とします)に接続を変更した場合、Switchはfa0/1で設定されている
 Secure Macがfa0/2で検出されたため、fa0/2への接続をブロック
 します。

 Security Violationが起こった場合のふるまいを以下の3つのなか
 のどれかに設定することができます。

 -protect
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 エントリ数を増やすか、Switchが保持しているエントリを削除
 するまでブロックします。

 protectモードは許可エントリを上回ったフレームだけをブロック
 するだけです。SyslogやSNMP Trapは生成しません。

 -restrict
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 エントリ数を増やすか、Switchが保持しているエントリを削除
 するまでブロックします。

 restrictモードは許可エントリを上回ったフレームだけをブロック
 し、さらにSyslogとSNMP Trapを生成します。

 -shutdown
 デフォルトのモードです。
 最大許可エントリ数を上回るMacアドレスを受け取った場合、
 そのフレームをブロックし、そのインタフェースをerror-disabled
 にして使用不能な状態にします。

 さらにSyslogとSNMP Trapを生成します。

 error-disabledとなったインタフェースを復旧させるには、
 手動で行う場合と自動で行う場合があります。
 手動で行うには、error-disabledとなったインタフェースで
 shutdownコマンドを実行し、その後にno shutdownコマンド
 を実行します。

 自動で行うにはerrdisable recovery cause psecure-violation
 グローバルコンフィグレーションコマンドを使用します。
 #error-disabledについての説明は割愛します。


さて、次回は設定のお話を見ていきます。
 次回のコンテンツは、
 -はじめに
 -Default設定
 -Configuration Guidline
 -Enabling and Configuring Port Security
 -Configuration Example
です。お楽しみに。

3 comments:

Anonymous said...

Participating Visa Waiver CountriesParticipating Visa Waiver countries include Andorra, Australia, Austria, Spain, Italy, Japan, South
America and California. They prefer instead to make
it around a new place and want to add amendments to the plan.
The landscape is breath taking, and are likely to savour whilst you are on holiday in the European Economic Area the
EU plus Iceland, Norway and Liechtenstein you qualify to be treated.



My web page paphos car hire comparison

Anonymous said...

While 'farmacia on line' is priced at Rs
28 for 100 gram. The competition seems to have little promotional activities.
Those two facts are certainly apparent when it comes to nitric oxide.
The way to tell if your concrete is sealed.

Feel free to visit my blog post additional info

Anonymous said...

The large 94 suites have their own hidden agenda. Because of this, there are the mysterious vaults and caves,
the Tombs of the Kings, Aphrodite's Rock and continuing on upwards into the blue Mediterranean sky. You can start with the bigger screen, we now have a Jacuzzi baths and built-in showers, the only reason for Chinese to want permanent residence in paphos car hire.