kmgmt-2879-cbs-220-configure-port-security
目的
この記事では、Cisco Business 220シリーズスイッチのポートセキュリティのオプションについて説明します。
該当するデバイス|ファームウェアバージョン
はじめに
特定のMACアドレスを持つユーザによるポートへのアクセスを制限することで、ネットワークセキュリティを強化できます。MACアドレスは、動的に学習することも、静的に設定することもできます。ポートセキュリティは、受信および学習されたパケットを監視します。ロックされたポートへのアクセスは、特定のMACアドレスを持つユーザに制限されます。
802.1Xが有効になっているポート、またはSPAN宛先として定義されているポートでは、ポートセキュリティを有効にできません。
ポートセキュリティには2つのモードがあります。
- クラシックロック:ポート上で学習されたすべてのMACアドレスがロックされ、ポートは新しいMACアドレスを学習しません。学習されたアドレスは、エージングや再学習の対象にはなりません。
- 制限付きダイナミックロック:デバイスは、許可されているアドレスの設定済みの制限まで、MACアドレスを学習します。制限に達すると、デバイスは追加のアドレスを学習しません。このモードでは、アドレスはエージングと再学習の対象になります。
新しいMACアドレスからのフレームが、許可されていないポート(ポートが古典的にロックされていて、新しいMACアドレスがある、またはポートが動的にロックされていて、許可されている最大アドレス数を超えている)で検出されると、保護メカニズムが呼び出され、次のアクションのいずれかが実行されます。
- フレームが廃棄される。
- フレームが転送されます。
- フレームは廃棄され、SYSLOGメッセージが生成されます。
- ポートがシャットダウンしている。
別のポートでセキュアMACアドレスが確認されると、フレームは転送されますが、そのポートではMACアドレスが学習されません。
これらのアクションの1つに加えて、トラップを生成し、その頻度と数を制限してデバイスの過負荷を回避することもできます。
手順 1
Webユーザインターフェイス(UI)にログインします。
手順 2
左側のメニューから、Security > Port Securityの順に選択します。
手順 3
変更するインターフェイスを選択し、編集アイコンをクリックします。
手順 4
パラメータを入力します。
- Interface:インターフェイス名を選択します。
- Administrative Status:ポートをロックする場合に選択します。
- Learning Mode:ポートロックのタイプを選択します。このフィールドを設定するには、インターフェイスステータスをロック解除する必要があります。Learning Modeフィールドは、Interface Statusフィールドがロックされている場合にのみ有効になります。学習モードを変更するには、ロックインターフェイスをクリアする必要があります。モードを変更した後、ロックインターフェイスを元に戻すことができます。次のオプションがあります。
- クラシックロック:学習済みのアドレスの数に関係なく、ポートをただちにロックします。
- Limited Dynamic Lock:ポートに関連付けられている現在のダイナミックMACアドレスを削除することで、ポートをロックします。ポートは、ポートで許可される最大アドレスまで学習します。MACアドレスの再学習とエージングの両方が有効になります。
- Max No. of Addresses Allowed:Limited Dynamic Lock学習モードが選択されている場合に、ポートで学習できるMACアドレスの最大数を入力します。数字の0は、スタティックアドレスのみがインターフェイスでサポートされていることを示します。
- 違反時のアクション:ロックされたポートに着信するパケットに適用するアクションを選択します。次のオプションがあります。
- Discard:学習されていない発信元からのパケットを廃棄します。
- 転送:MACアドレスを学習せずに、未知の発信元からのパケットを転送します
- Discard and Log:学習されていない送信元からのパケットを廃棄し、インターフェイスをシャットダウンして、イベントをログに記録し、指定されたトラップ受信者にトラップを送信します。Shutdown:学習されていない送信元からのパケットを廃棄し、ポートをシャットダウンします。ポートは、再度アクティブ化されるか、デバイスがリブートされるまでシャットダウンしたままになります。
- Trap Frequency:トラップ間の最小経過時間(秒単位)を入力します
[APPLY] をクリックします。
結論
それほど簡単です。セキュアなネットワークをお楽しみください。
設定の詳細については、『Cisco Business 220シリーズスイッチ管理ガイド』を参照してください。
その他の記事を見るには、『Cisco Business 220シリーズスイッチのサポートページ』を参照してください。
更新履歴
改定 |
発行日 |
コメント |
1.0 |
11-Jun-2021 |
初版 |