Port Securityの最終回をUPします。
はじめに
前回、前々回に引き続きPort Securityのお話です。
設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが
設定に関してはまだまだあります。
今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉
強します。Aging(というのは、簡単に言うと「忘れちゃう」ということ
です。
Enabling and Configuring Port Security Aging
Secure Portに記憶されているSecure MacをAgingさせられ
るのは、StaticとDynamicで学習したMacアドレスのみです。
Stickyで学習したMacアドレスに関してはAgingできませんので
注意してください。
Agingはポートごとに以下の2つのタイプを設定できます。
-Absolute
あるポートで記憶されているSecure Macを特定の時間が
経過した後に削除する。
通信が行われている最中でも、特定の時間が経過するとA
gingが行われます。
-Inactivity
Secure Portで記憶されているSecure Macを通信に使用され
なくなってから特定の時間が経過した後に削除する。
特定の時間が経過する前に再び通信が行われると、Aging
までの時間はリセットされます。
以下にPort Security Agingの設定ステップを示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface fa 0/x
Port Security Agingを設定するインタフェースを選択します。
Step3
Switch(config-if)# switchport port-security aging
Port Security Agingを設定します。
static・・・staticに設定されたSecure Macに対してAgingを
有効したいときに設定します。
time・・・Agingまでの時間を設定します。0から1440までの値
を指定可能で、単位は分です。0を指定するとAgingしないこと
意味します。
type・・・Agingするまでのカウントダウンのやりかたとして
absoluteかinactivityを指定します。
指定しない場合、absoluteとなります。
Step4
以上で設定は終了です。
Configuration Example
いくつか設定例を見て、設定のやりかたを確認しましょう。
まずは、StaticにSecure Macの設定方法です。
Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Mac
を設定して、さらにSecurity Violationモードをprotectにしている
例を示します。
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation protect
Switch(config-if)# switchport port-security mac 1111.1111.1111
Switch(config-if)# switchport port-security mac 2222.2222.2222
Switch(config-if)# no shutdown
設定の前にshutdownしているので、最後にno shutdownするの
を忘れないようにしましょう。
次にAgingの設定例です。
Switchのfa 0/1に記憶されているSecure MacのAging typeを
inactivityで設定しています。
Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging static
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
Aging typeのデフォルトはabsoluteなので、aging typeを変える
設定が必要です。
Basic Configuring Exercise
それでは練習問題です。
問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台
までとなるように設定してください。
問2) 問1のfa0/1の設定にAgingの設定を追加します。
2時間経ったらすべてのSecure Macを消去するようにしてくだ
さい。
問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecure
Macとして予め登録してください。さらに、このポートにPC10台分
のMacアドレスをSecure Macとして動的に記憶できるようにして
ください。
問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。
IP PhoneにはPCが1台接続される予定になっています。
このポートで許可するMacアドレスの数はいくつ必要でしょうか。
では解答です。
問1ですが、設定は以下のようになります。
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# no shutdown
問2は、以下のようになります。
Switch(config)# int fa 0/1
Switch(config-if)# switchport port-security aging time 120
typeを指定しない場合はabsoluteでしたよね。
問3は、以下のようになります。
Switch(config)# int fa 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# shutdown
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 11
Switch(config-if)# switchport
port-security mac-address aaaa.bbbb.cccc
Switch(config-if)# no shutdown
maximumの値を10とした方いませんか?こうところにひっかから
ないようにしましょう(笑)
問4は設定させる問題ではありませんが、IP Phoneを接続させる
ポートにPort Securityを設定する場合の注意点です。
忘れた方は「Port Security(2回目)のConfiguration Guideline」
を参照してください。
答えは3つとなります。
Advanced Configuring Exercise
久々の応用問題です。応用とは言っても私が勝手に考えた
ひっかけ問題なんですが(笑)
では、早速問題です。
Switchのfa 0/10のポート配下に接続されるホストのMacアドレス
を動的にSecure Macとして記憶してください。このとき、Switch
がRebootするとSecure Macを覚えなおすようにしてください。
また、最大許可エントリ数を5とし、Security Violationが発生した
場合は2分後に再び利用可能になるようにしてください。
どの辺が応用なのか、というツッコミはやめてください(笑)
Security Violationが~のところがちょっとしたミソになっています。
では解答です。
Switch(config)# int fa 0/10
Switch(config-if)# switchport mode access
問題にはホストが接続されると書きましたので、switchportの
modeをaccessにする必要があります。
Port SecurityはDynamic accessのswitchportには設定できない
ので、必ずスタティックにaccessポートの設定をしてください。
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5
次はPort Securityの設定です。許可エントリのデフォルト値は1
ですので、それを5に増やすための設定が必要です。Secure
Macの学習方式はDynamicがデフォルトのため、特に設定は
必要ありません。
また、Security Violationが起こった場合のモードもshutdownが
デフォルトなので特に設定は必要ありません。
最後に必要なのが、error-disabledとなったポートの自動復旧
の設定です。
Security Violationが起こったときのモードがshutdownの場合
そのポートはerror-disabledとなり、ポートが閉塞された状態
となります。
この状態を復旧させるには、手動でshutdownコマンドを入れて
その後no shutdownコマンドを実行する必要があります。
問題には120秒後に再び利用可能になるように、と書いています
ので自動的にerror-disabledの状態を復旧させる必要がありま
す。その場合の設定は以下のようになります。
Switch(config)# errdisable recovery cause psecure-violation
Switch(config-if)# errdisable recovery interval 120
recovery intervalは秒単位ですので、2分を120秒として設定する
のを間違えないようにしましょう。
Further Reading
Port Security関連のDocumentへのLinkです。
Catalyst 3550 Software Configuration Guide
http://www.cisco.com/univercd/cc/td/doc/product/
lan/c3550/12225see/scg/swtrafc.htm
さて、今回でCatalyst3550に関するポートベースのトラフィック制御の
技術についてのお勉強は終了です。
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment