Cisco Business 220スイッチのポートセキュリティ

ダウンロード オプション

  • PDF     (507.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (229.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (253.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 6 月 8 日
Document ID:1621293107605980

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

kmgmt-2879-cbs-220-configure-port-security

目的

この記事では、Cisco Business 220シリーズスイッチのポートセキュリティのオプションについて説明します。

該当するデバイス|ファームウェアバージョン

はじめに

特定のMACアドレスを持つユーザによるポートへのアクセスを制限することで、ネットワークセキュリティを強化できます。MACアドレスは、動的に学習することも、静的に設定することもできます。ポートセキュリティは、受信および学習されたパケットを監視します。ロックされたポートへのアクセスは、特定のMACアドレスを持つユーザに制限されます。

802.1Xが有効になっているポート、またはSPAN宛先として定義されているポートでは、ポートセキュリティを有効にできません。

ポートセキュリティには2つのモードがあります。

  • クラシックロック:ポート上で学習されたすべてのMACアドレスがロックされ、ポートは新しいMACアドレスを学習しません。学習されたアドレスは、エージングや再学習の対象にはなりません。
  • 制限付きダイナミックロック:デバイスは、許可されているアドレスの設定済みの制限まで、MACアドレスを学習します。制限に達すると、デバイスは追加のアドレスを学習しません。このモードでは、アドレスはエージングと再学習の対象になります。

新しいMACアドレスからのフレームが、許可されていないポート(ポートが古典的にロックされていて、新しいMACアドレスがある、またはポートが動的にロックされていて、許可されている最大アドレス数を超えている)で検出されると、保護メカニズムが呼び出され、次のアクションのいずれかが実行されます。

  • フレームが廃棄される。
  • フレームが転送されます。
  • フレームは廃棄され、SYSLOGメッセージが生成されます。
  • ポートがシャットダウンしている。

別のポートでセキュアMACアドレスが確認されると、フレームは転送されますが、そのポートではMACアドレスが学習されません。

これらのアクションの1つに加えて、トラップを生成し、その頻度と数を制限してデバイスの過負荷を回避することもできます。

ポートセキュリティの設定

手順 1

Webユーザインターフェイス(UI)にログインします。

手順 2

左側のメニューから、Security > Port Securityの順に選択します。

手順 3

変更するインターフェイスを選択し、編集アイコンをクリックします。

手順 4

パラメータを入力します。

  • Interface:インターフェイス名を選択します。
  • Administrative Status:ポートをロックする場合に選択します。
  • Learning Mode:ポートロックのタイプを選択します。このフィールドを設定するには、インターフェイスステータスをロック解除する必要があります。Learning Modeフィールドは、Interface Statusフィールドがロックされている場合にのみ有効になります。学習モードを変更するには、ロックインターフェイスをクリアする必要があります。モードを変更した後、ロックインターフェイスを元に戻すことができます。次のオプションがあります。
    • クラシックロック:学習済みのアドレスの数に関係なく、ポートをただちにロックします。
    • Limited Dynamic Lock:ポートに関連付けられている現在のダイナミックMACアドレスを削除することで、ポートをロックします。ポートは、ポートで許可される最大アドレスまで学習します。MACアドレスの再学習とエージングの両方が有効になります。
  • Max No. of Addresses Allowed:Limited Dynamic Lock学習モードが選択されている場合に、ポートで学習できるMACアドレスの最大数を入力します。数字の0は、スタティックアドレスのみがインターフェイスでサポートされていることを示します。
  • 違反時のアクション:ロックされたポートに着信するパケットに適用するアクションを選択します。次のオプションがあります。
    • Discard:学習されていない発信元からのパケットを廃棄します。
    • 転送:MACアドレスを学習せずに、未知の発信元からのパケットを転送します
    • Discard and Log:学習されていない送信元からのパケットを廃棄し、インターフェイスをシャットダウンして、イベントをログに記録し、指定されたトラップ受信者にトラップを送信します。Shutdown:学習されていない送信元からのパケットを廃棄し、ポートをシャットダウンします。ポートは、再度アクティブ化されるか、デバイスがリブートされるまでシャットダウンしたままになります。
    • Trap Frequency:トラップ間の最小経過時間(秒単位)を入力します

[APPLY] をクリックします。

CBS220のポートセキュリティのデフォルト動作の例を参照するには、「ポートセキュリティの動作」を確認してください。

結論

それほど簡単です。セキュアなネットワークをお楽しみください。

設定の詳細については、『Cisco Business 220シリーズスイッチ管理ガイド』を参照してください。

その他の記事を見るには、『Cisco Business 220シリーズスイッチのサポートページ』を参照してください。

更新履歴

改定 発行日 コメント
1.0
11-Jun-2021
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています