Thursday, June 15, 2006

Port Security(3回目)

Port Securityの最終回をUPします。


はじめに
 前回、前々回に引き続きPort Securityのお話です。
 設定する項目が多くて、オエッと思った方もいらっしゃるでしょうが
 設定に関してはまだまだあります。

 今回は、記憶したSecureMacをAgingさせたい場合の設定をお勉
 強します。Aging(というのは、簡単に言うと「忘れちゃう」ということ
 です。


Enabling and Configuring Port Security Aging
 Secure Portに記憶されているSecure MacをAgingさせられ
 るのは、StaticとDynamicで学習したMacアドレスのみです。
 Stickyで学習したMacアドレスに関してはAgingできませんので
 注意してください。

 Agingはポートごとに以下の2つのタイプを設定できます。

 -Absolute
 あるポートで記憶されているSecure Macを特定の時間が
 経過した後に削除する。
 通信が行われている最中でも、特定の時間が経過するとA
 gingが行われます。

 -Inactivity
 Secure Portで記憶されているSecure Macを通信に使用され
 なくなってから特定の時間が経過した後に削除する。
 特定の時間が経過する前に再び通信が行われると、Aging
 までの時間はリセットされます。

 以下にPort Security Agingの設定ステップを示します。

 Step1
  Switch# conf t

  まず、Global Configuration Modeに移ります。

 Step2
  Switch(config)# interface fa 0/x

  Port Security Agingを設定するインタフェースを選択します。

 Step3
  Switch(config-if)# switchport port-security aging

  Port Security Agingを設定します。

  static・・・staticに設定されたSecure Macに対してAgingを
  有効したいときに設定します。

  time・・・Agingまでの時間を設定します。0から1440までの値
  を指定可能で、単位は分です。0を指定するとAgingしないこと
  意味します。

  type・・・Agingするまでのカウントダウンのやりかたとして
  absoluteかinactivityを指定します。
  指定しない場合、absoluteとなります。

 Step4

  以上で設定は終了です。


Configuration Example
 いくつか設定例を見て、設定のやりかたを確認しましょう。
 まずは、StaticにSecure Macの設定方法です。
 Switchのfa 0/1に1111.1111.1111と2222.2222.2222のSecure Mac
 を設定して、さらにSecurity Violationモードをprotectにしている
 例を示します。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 2
 Switch(config-if)# switchport port-security violation protect
 Switch(config-if)# switchport port-security mac 1111.1111.1111
 Switch(config-if)# switchport port-security mac 2222.2222.2222
 Switch(config-if)# no shutdown

 設定の前にshutdownしているので、最後にno shutdownするの
 を忘れないようにしましょう。


 次にAgingの設定例です。
 Switchのfa 0/1に記憶されているSecure MacのAging typeを
 inactivityで設定しています。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport port-security aging static
 Switch(config-if)# switchport port-security aging time 10
 Switch(config-if)# switchport port-security aging type inactivity

 Aging typeのデフォルトはabsoluteなので、aging typeを変える
 設定が必要です。


Basic Configuring Exercise
 それでは練習問題です。

 問1)SWのfa0/1ポートは、同時に接続できるホストの数を3台
 までとなるように設定してください。


 問2) 問1のfa0/1の設定にAgingの設定を追加します。
 2時間経ったらすべてのSecure Macを消去するようにしてくだ
 さい。


 問3)SWのfa0/2ポートにMACアドレスaaaa.bbbb.ccccをSecure
 Macとして予め登録してください。さらに、このポートにPC10台分
 のMacアドレスをSecure Macとして動的に記憶できるようにして
 ください。


 問4)SWのfa0/2ポートはCisco 7960 IP Phoneと接続されます。
 IP PhoneにはPCが1台接続される予定になっています。
 このポートで許可するMacアドレスの数はいくつ必要でしょうか。


 では解答です。
 問1ですが、設定は以下のようになります。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 3
 Switch(config-if)# no shutdown


 問2は、以下のようになります。

 Switch(config)# int fa 0/1
 Switch(config-if)# switchport port-security aging time 120

 typeを指定しない場合はabsoluteでしたよね。


 問3は、以下のようになります。

 Switch(config)# int fa 0/2
 Switch(config-if)# switchport mode access
 Switch(config-if)# shutdown
 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 11
 Switch(config-if)# switchport
             port-security mac-address aaaa.bbbb.cccc
 Switch(config-if)# no shutdown

 maximumの値を10とした方いませんか?こうところにひっかから
 ないようにしましょう(笑)


 問4は設定させる問題ではありませんが、IP Phoneを接続させる
 ポートにPort Securityを設定する場合の注意点です。
 忘れた方は「Port Security(2回目)のConfiguration Guideline」
 を参照してください。

 答えは3つとなります。


Advanced Configuring Exercise
 久々の応用問題です。応用とは言っても私が勝手に考えた
 ひっかけ問題なんですが(笑)

 では、早速問題です。

 Switchのfa 0/10のポート配下に接続されるホストのMacアドレス
 を動的にSecure Macとして記憶してください。このとき、Switch
 がRebootするとSecure Macを覚えなおすようにしてください。
 また、最大許可エントリ数を5とし、Security Violationが発生した
 場合は2分後に再び利用可能になるようにしてください。

 どの辺が応用なのか、というツッコミはやめてください(笑)
 Security Violationが~のところがちょっとしたミソになっています。

 では解答です。

 Switch(config)# int fa 0/10
 Switch(config-if)# switchport mode access

 問題にはホストが接続されると書きましたので、switchportの
 modeをaccessにする必要があります。
 Port SecurityはDynamic accessのswitchportには設定できない
 ので、必ずスタティックにaccessポートの設定をしてください。

 Switch(config-if)# switchport port-security
 Switch(config-if)# switchport port-security maximum 5

 次はPort Securityの設定です。許可エントリのデフォルト値は1
 ですので、それを5に増やすための設定が必要です。Secure
 Macの学習方式はDynamicがデフォルトのため、特に設定は
 必要ありません。

 また、Security Violationが起こった場合のモードもshutdownが
 デフォルトなので特に設定は必要ありません。

 最後に必要なのが、error-disabledとなったポートの自動復旧
 の設定です。
 Security Violationが起こったときのモードがshutdownの場合
 そのポートはerror-disabledとなり、ポートが閉塞された状態
 となります。

 この状態を復旧させるには、手動でshutdownコマンドを入れて
 その後no shutdownコマンドを実行する必要があります。

 問題には120秒後に再び利用可能になるように、と書いています
 ので自動的にerror-disabledの状態を復旧させる必要がありま
 す。その場合の設定は以下のようになります。

 Switch(config)# errdisable recovery cause psecure-violation
 Switch(config-if)# errdisable recovery interval 120

 recovery intervalは秒単位ですので、2分を120秒として設定する
 のを間違えないようにしましょう。


Further Reading
 Port Security関連のDocumentへのLinkです。

 Catalyst 3550 Software Configuration Guide
  http://www.cisco.com/univercd/cc/td/doc/product/
  lan/c3550/12225see/scg/swtrafc.htm


さて、今回でCatalyst3550に関するポートベースのトラフィック制御の
技術についてのお勉強は終了です。

No comments: