またまた遅くなりましたが、先々週の月曜日にGeneさんのメルマガで
配信された記事をUPします。
はじめに
前回はPort Blockingについてお勉強しました。
Port BlockingとProtected Portsは似たような名前なので、使い方
を混同しやすいですが、これまでのお勉強で両者の違いが分かった
はずです。
今回はPort Securityについてみていきます。
このPort Securityは3回に分かれています。1回目はPort Security
についての動作や概念の話、2回目は設定の話、3回目も設定の
話と練習問題をやります。
Port Securityが終わるとCatalyst3550のポートベースでトラフィック
を制御する技術をひととおりやったことになります。
Catalyst3550のSoftware Configuration Guideで言うと、Chapter22
のConfiguring Port-Based Traffic Controlの内容を全てカバーしま
した。
これまでFurther ReadingでマニュアルをLinkしていましたが
まだ読まれていない方は最後にこの章を読んでみましょう。
CCIE Lab試験では、マニュアルを読むことが非常に大切です。
試験で見られる唯一のドキュメントなのですから。
Port Securityとは
Port Securityとは、Switchの物理ポートに接続できるホストをMac
アドレスを元に限定する機能のことです。
この機能により、事前にMacアドレスを登録したホストや、または
自動的にMacを学習したホストのみがSwitchに接続できるように
なります。
Secure Mac Address
Secure Mac Addressというのは、Switchへの接続を許可された
Macアドレスを指しています。SwitchにSecure Mac Addressを
登録するには、以下の3つのやり方があります。
-Static Secure Mac Address
switchport port-security mac-addressコマンドを使用して
手動で接続を許可したいMacアドレスを設定します。
この設定をcopyコマンドやwriteコマンドを使って保存すれば
MacアドレスはNVRAMに記憶され、SwitchをRebootしても
保持されます。
-Dynamic Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習して
そのMacアドレスをもつホストのみに接続を許可します。
ただし、Dynamicに記憶されたアドレスは設定には反映され
ません。SwitchがRebootするとそれまで覚えていたアドレス
の情報は消滅し、再度学習しなおす必要があります。
(学習はSwitchにフレームが届くと同時に行われます)
-Sticky Secure Mac Address
Switchが自動的に接続されているMacアドレスを学習して
そのMacアドレスをもつホストのみに接続を許可します。
Dynamicと異なるのは、Stickyで記憶されたMacアドレスは
設定に反映されます。
この設定をcopyコマンドやwriteコマンドを使って保存すれば
MacアドレスはNVRAMに記憶され、SwitchをRebootしても
設定は保持されます。
また、Dynamicで動作させているポートを途中でStickyに変える
こともできます。この場合、Dynamicで記憶されているMacアド
レスが自動的に設定に反映されるようになります。
これをRebootしても有効なままにしておくにはcopyコマンドか
writeコマンドで保存するのを忘れないようにしましょう。
逆にSitckyで動作させているポートをDynamicに変えることもで
きます。この場合、設定に反映されていたMacアドレスは設定
から消えて、Rebootすると消滅するので再び覚えなおす必要が
あります。
(学習はSwitchにフレームが届くと同時に行われます)
以降、Port Securityで許可されたアドレスをSecure Macと呼び、
併せてPort Securityが設定されているポートをSecure Portと
呼びます。
Security Violation
Security Violationは以下の状況が1つでも該当すると起こります。
-Switchが検出したMacアドレスの数が、許可されるSecure
Macエントリの最大数を上回った場合
-Secure Portに記憶されているSecure Macが、同じVLANの
別のSecure Portで検出された場合
1つめの場合から見ていきましょう。
Secure Portには、許可されるSecure Macの最大エントリ数を
設定できます。デフォルトは1つです。
例えば、Dynamicで設定されたポートに2つのMacアドレスが検出
された場合、デフォルトの最大エントリ数を上回るので、2番目に
検出されたMacアドレスを持つフレームはSecurity Violation
と判断され、Switchでブロックされます。
次に2つめの場合です。以下の状況を想像してみてください。
Swtichのfa0/1では、0123.4567.89abを持つMacアドレスを許可
したいので、Staticに設定されているとします。
そのホストがfa0/1に接続されいるときは問題なく動作できますが
同じVLANに属するfa0/2(このポートもSecure Portで動作している
とします)に接続を変更した場合、Switchはfa0/1で設定されている
Secure Macがfa0/2で検出されたため、fa0/2への接続をブロック
します。
Security Violationが起こった場合のふるまいを以下の3つのなか
のどれかに設定することができます。
-protect
最大許可エントリ数を上回るMacアドレスを受け取った場合、
エントリ数を増やすか、Switchが保持しているエントリを削除
するまでブロックします。
protectモードは許可エントリを上回ったフレームだけをブロック
するだけです。SyslogやSNMP Trapは生成しません。
-restrict
最大許可エントリ数を上回るMacアドレスを受け取った場合、
エントリ数を増やすか、Switchが保持しているエントリを削除
するまでブロックします。
restrictモードは許可エントリを上回ったフレームだけをブロック
し、さらにSyslogとSNMP Trapを生成します。
-shutdown
デフォルトのモードです。
最大許可エントリ数を上回るMacアドレスを受け取った場合、
そのフレームをブロックし、そのインタフェースをerror-disabled
にして使用不能な状態にします。
さらにSyslogとSNMP Trapを生成します。
error-disabledとなったインタフェースを復旧させるには、
手動で行う場合と自動で行う場合があります。
手動で行うには、error-disabledとなったインタフェースで
shutdownコマンドを実行し、その後にno shutdownコマンド
を実行します。
自動で行うにはerrdisable recovery cause psecure-violation
グローバルコンフィグレーションコマンドを使用します。
#error-disabledについての説明は割愛します。
さて、次回は設定のお話を見ていきます。
次回のコンテンツは、
-はじめに
-Default設定
-Configuration Guidline
-Enabling and Configuring Port Security
-Configuration Example
です。お楽しみに。
Subscribe to:
Post Comments (Atom)
3 comments:
Participating Visa Waiver CountriesParticipating Visa Waiver countries include Andorra, Australia, Austria, Spain, Italy, Japan, South
America and California. They prefer instead to make
it around a new place and want to add amendments to the plan.
The landscape is breath taking, and are likely to savour whilst you are on holiday in the European Economic Area the
EU plus Iceland, Norway and Liechtenstein you qualify to be treated.
My web page paphos car hire comparison
While 'farmacia on line' is priced at Rs
28 for 100 gram. The competition seems to have little promotional activities.
Those two facts are certainly apparent when it comes to nitric oxide.
The way to tell if your concrete is sealed.
Feel free to visit my blog post additional info
The large 94 suites have their own hidden agenda. Because of this, there are the mysterious vaults and caves,
the Tombs of the Kings, Aphrodite's Rock and continuing on upwards into the blue Mediterranean sky. You can start with the bigger screen, we now have a Jacuzzi baths and built-in showers, the only reason for Chinese to want permanent residence in paphos car hire.
Post a Comment