第4編
レイヤー2

ポートセキュリティーの構成例と設定例

ポートセキュリティーを利用する場合の構成例と設定例を示します。

手動で登録したMACアドレスのみ許可する場合

手動で登録したMACアドレスのみを許可する場合の構成例と設定例を示します。

  • ポート1/0/1で、ポートごとの許可するMACアドレスの最大数を1個に設定して、ポートセキュリティーを有効にする。また、許可するMACアドレスとして00:00:5E:00:53:11(VLAN 10)を登録する。
  • ポート1/0/2で、ポートごとの許可するMACアドレスの最大数を2個に設定して、ポートセキュリティーを有効にする。また、許可するMACアドレスとして00:00:5E:00:53:21(VLAN 20)、00:00:5E:00:53:22(VLAN 20)を登録する。
  • ポート1/0/1とポート1/0/2で、許可しないMACアドレス(最大数を超過して登録されなかったMACアドレス)からの通信を受信した場合の動作をrestrict(許可しないMACアドレスからの通信を破棄、CPUカウンターでカウント、ログ出力)に設定する。
  • ポート1/0/1で以下の設定を実施して、ポートセキュリティーを有効にします。

    ・ポートごとの許可するMACアドレスの最大数は1個

    ・許可するMACアドレスは00:00:5E:00:53:11(VLAN 10)

    ・許可しないMACアドレスからの通信受信時の動作はrestrict

    sw1# configure terminal
sw1(config)# interface port 1/0/1
sw1(config-if-port)# switchport port-security maximum 1
sw1(config-if-port)# switchport port-security mac-address 00:00:5e:00:53:11 vlan 10
sw1(config-if-port)# switchport port-security violation restrict 
sw1(config-if-port)# switchport port-security
sw1(config-if-port)# exit
sw1(config)#
  • ポート1/0/2で以下の設定を実施して、ポートセキュリティーを有効にします。

    ・ポートごとの許可するMACアドレスの最大数は2個

    ・許可するMACアドレスは00:00:5E:00:53:21(VLAN 20)、 00:00:5E:00:53:22(VLAN 20)

    ・許可しないMACアドレスからの通信受信時の動作はrestrict

    sw1(config)# interface port 1/0/2
sw1(config-if-port)# switchport port-security maximum 2
sw1(config-if-port)# switchport port-security mac-address 00:00:5e:00:53:21 vlan 20
sw1(config-if-port)# switchport port-security mac-address 00:00:5e:00:53:22 vlan 20
sw1(config-if-port)# switchport port-security violation restrict
sw1(config-if-port)# switchport port-security
sw1(config-if-port)# end
sw1#
  • 実施後のポートセキュリティー設定を確認します。
    sw1# show port-security interface range port 1/0/1-2

 D:Delete-on-Timeout P:Permanent
 Interface    Max  Curr   Violation    Violation   Security  Admin   Current
 No.          No.   No.     Act.       Count           Mode  State   State
 ------------ ----- ----- -------- -------------------- -- -------- ------------
 Port1/0/1    1     1     Restrict 0                    D  Enabled  Forwarding
 Port1/0/2    2     2     Restrict 0                    D  Enabled  Forwarding

sw1#
sw1# show port-security interface range port 1/0/1-2 address

 Interface    VLAN ID MAC Address       Address Type      Remaining Time
                                                              (mins)
 ------------ ------- ----------------- ----------------- --------------
 Port1/0/1    10      00-00-5E-00-53-11 Permanent         -
 Port1/0/2    20      00-00-5E-00-53-21 Permanent         -
 Port1/0/2    20      00-00-5E-00-53-22 Permanent         -

 Total Entries: 3

sw1#
  • 実施後のポートセキュリティー関連の設定を以下に抜粋します。
    # PORT-SECURITY

interface port 1/0/1
 switchport port-security
 switchport port-security maximum 1
 switchport port-security violation restrict
 switchport port-security mac-address 00-00-5E-00-53-11 vlan 10
interface port 1/0/2
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict
 switchport port-security mac-address 00-00-5E-00-53-21 vlan 20
 switchport port-security mac-address 00-00-5E-00-53-22 vlan 20

手動または動的に登録したMACアドレスを許可する場合

手動または動的に登録したMACアドレスを許可する場合の構成例と設定例を示します。

  • ポート1/0/1で、ポートごとの許可するMACアドレスの最大数を10個に設定して、ポートセキュリティーを有効にする。また、許可するMACアドレスとして00:00:5E:00:53:11(VLAN 10)を登録する。
  • ポート1/0/1で、動的に登録されるMACアドレスの動作モードをdelete-on-timeout(デフォルト設定)にする。また、エージングタイムは60分、エージングタイムのタイプはinactivity(無通信になったと判断されてから指定したエージングタイムが経過すると削除されるモード)に設定する。
  • ポート1/0/1で、許可しないMACアドレス(最大数を超過して登録されなかったMACアドレス)からの通信を受信した場合の動作をprotect(デフォルト設定、許可しないMACアドレスからの通信を破棄)に設定する。
  • ポート1/0/1で以下の設定を実施して、ポートセキュリティーを有効にします。なお、デフォルト設定の場合は省略しています。

    ・ポートごとの許可するMACアドレスの最大数は10個

    ・許可するMACアドレスは00:00:5E:00:53:11(VLAN 10)

    ・動的に登録されるエントリーの動作モードはdelete-on-timeout(デフォルト設定)

    ・動的に登録されたエントリーのエージングタイムは60分

    ・動的に登録されたエントリーのエージングタイムのタイプはinactivity

    ・許可しないMACアドレスからの通信受信時の動作はprotect(デフォルト設定)

    sw1# configure terminal
sw1(config)# interface port 1/0/1
sw1(config-if-port)# switchport port-security maximum 10
sw1(config-if-port)# switchport port-security mac-address 00:00:5e:00:53:11 vlan 10
sw1(config-if-port)# switchport port-security aging time 60
sw1(config-if-port)# switchport port-security aging type inactivity
sw1(config-if-port)# switchport port-security
sw1(config-if-port)# end
sw1#
  • 実施後のポートセキュリティー設定を確認します。
    sw1# show port-security interface port 1/0/1

 D:Delete-on-Timeout P:Permanent
 Interface    Max  Curr   Violation    Violation   Security  Admin   Current
 No.          No.   No.     Act.       Count           Mode  State   State
 ------------ ----- ----- -------- -------------------- -- -------- ------------
 Port1/0/1    10    1     Protect  -                    D  Enabled  Forwarding 

sw1#
sw1# show port-security interface port 1/0/1 address 

 Interface    VLAN ID MAC Address       Address Type      Remaining Time
                                                              (mins)
 ------------ ------- ----------------- ----------------- --------------
 Port1/0/1    10      00-00-5E-00-53-11 Permanent         -    (I)

 Total Entries: 1

sw1#
  • 実施後のポートセキュリティー関連の設定を以下に抜粋します。
    # PORT-SECURITY

interface port 1/0/1
 switchport port-security
 switchport port-security maximum 10
 switchport port-security aging time 60
 switchport port-security aging type inactivity
 switchport port-security mac-address 00-00-5E-00-53-11 vlan 10

MACアドレス学習数の上限のみ設定する場合

許可するMACアドレスは指定せずに、MACアドレス学習数の上限のみ設定する場合の構成例と設定例を示します。

  • ポートセキュリティーで許可するMACアドレスの装置全体の最大数を20個に設定する。
  • ポート1/0/1で、ポートごとの許可するMACアドレスの最大数を10個に設定して、ポートセキュリティーを有効にする。
  • ポート1/0/2で、ポートごとの許可するMACアドレスの最大数を15個に設定して、ポートセキュリティーを有効にする。
  • ポート1/0/1とポート1/0/2で、動的に登録されるMACアドレスの動作モードをdelete-on-timeout(デフォルト設定)にする。また、エージングタイムは480分、エージングタイムのタイプはabsolute(デフォルト設定、登録されてから指定したエージングタイムが経過すると削除されるモード)に設定する。
  • ポート1/0/1とポート1/0/2で、許可しないMACアドレス(最大数を超過して登録されなかったMACアドレス)からの通信を受信した場合の動作をrestrict(許可しないMACアドレスからの通信を破棄、CPUカウンターでカウント、ログ出力)に設定する。
  • ポートセキュリティーで許可するMACアドレスの装置全体の最大数を20個に設定します。
    sw1# configure terminal
sw1(config)# port-security limit global 20
sw1(config)#
  • ポート1/0/1で以下の設定を実施して、ポートセキュリティーを有効にします。なお、デフォルト設定の場合は省略しています。

    ・ポートごとの許可するMACアドレスの最大数は10個

    ・動的に登録されるエントリーの動作モードはdelete-on-timeout(デフォルト設定)

    ・動的に登録されたエントリーのエージングタイムは480分

    ・動的に登録されたエントリーのエージングタイムのタイプはabsolute(デフォルト設定)

    ・許可しないMACアドレスからの通信受信時の動作はrestrict

    sw1(config)# interface port 1/0/1
sw1(config-if-port)# switchport port-security maximum 10
sw1(config-if-port)# switchport port-security aging time 480
sw1(config-if-port)# switchport port-security violation restrict
sw1(config-if-port)# switchport port-security 
sw1(config-if-port)# exit
sw1(config)#
  • ポート1/0/2で以下の設定を実施して、ポートセキュリティーを有効にします。なお、デフォルト設定の場合は省略しています。

    ・ポートごとの許可するMACアドレスの最大数は15個

    ・動的に登録されるエントリーの動作モードはdelete-on-timeout(デフォルト設定)

    ・動的に登録されたエントリーのエージングタイムは480分

    ・動的に登録されたエントリーのエージングタイムのタイプはabsolute(デフォルト設定)

    ・許可しないMACアドレスからの通信受信時の動作はrestrict

    sw1(config)# interface port 1/0/2
sw1(config-if-port)# switchport port-security maximum 15
sw1(config-if-port)# switchport port-security aging time 480
sw1(config-if-port)# switchport port-security violation restrict 
sw1(config-if-port)# switchport port-security 
sw1(config-if-port)# end
sw1#
  • 実施後のポートセキュリティー設定を確認します。
    sw1# show port-security interface range port 1/0/1-2

 D:Delete-on-Timeout P:Permanent
 Interface    Max  Curr   Violation    Violation   Security  Admin   Current
 No.          No.   No.     Act.       Count           Mode  State   State
 ------------ ----- ----- -------- -------------------- -- -------- ------------
 Port1/0/1    10    0     Restrict 0                    D  Enabled  Forwarding 
 Port1/0/2    15    0     Restrict 0                    D  Enabled  Forwarding 

sw1#
  • 実施後のポートセキュリティー関連の設定を以下に抜粋します。
    # PORT-SECURITY

port-security limit global 20
interface port 1/0/1
 switchport port-security
 switchport port-security maximum 10
 switchport port-security violation restrict
 switchport port-security aging time 480
interface port 1/0/2
 switchport port-security
 switchport port-security maximum 15
 switchport port-security violation restrict
 switchport port-security aging time 480

ページトップへ