ポートセキュリティー機能
ポートセキュリティー機能
2. 用語の定義
特になし
3. 機能詳細
ポートセキュリティー機能を有効にしたポートに対し、通信を許可したい端末のMACアドレスをあらかじめ登録しておくことで、許可された端末のみの通信ができるようになります。
逆に、登録していない端末(不正な端末)からアクセスがあった場合、不正アクセスと見なしパケットを破棄させます。
設定によっては該当ポートをダウンすることも可能です。
なお、ポートセキュリティー機能はポート認証機能との併用はできません。
3.1. アクセスする端末を制限
ポートセキュリティー機能を有効にし、通信を許可する端末のMACアドレスを port-security mac-address コマンドを使用して登録するだけで、アクセス端末を制限することができます。
4. 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
操作項目 | 操作コマンド |
---|---|
ポートセキュリティー機能の設定 |
port-security enable |
許可MACアドレスの登録 |
port-security mac-address |
セキュリティー違反時の動作の設定 |
port-security violation |
ポートセキュリティー情報の表示 |
show port-security status |
5. コマンド実行例
5.1. アクセスする端末を制限
許可された端末のみ通信ができるように、MACアドレスを手動で設定します。
-
LANポート #1 で、ポートセキュリティーを有効にします。
Yamaha(config)#interface port1.1 Yamaha(config-if)#port-security enable
-
許可したいMACアドレスを登録します。
Yamaha(config)#port-security mac-address 00A0.DE00.0001 forward port1.1 vlan 1 Yamaha(config)#port-security mac-address 00A0.DE00.0002 forward port1.1 vlan 1
-
ポートセキュリティー情報を確認します。
Yamaha#show port-security status Port Security Action Status Last violation --------- --------- ---------- --------- --------------------- port1.1 Enabled Discard Normal 00A0.DE00.0003 port1.2 Disabled Discard Normal port1.3 Disabled Discard Normal port1.4 Disabled Discard Normal port1.5 Disabled Discard Normal port1.6 Disabled Discard Normal port1.7 Disabled Discard Normal port1.8 Disabled Discard Normal port1.9 Disabled Discard Normal port1.10 Disabled Discard Normal
6. 注意事項
-
不正アクセス検知によりシャットダウンしたポートを復旧させたい場合は、 no shutdown コマンドを用いてください。
show port-secutiry status コマンドのステータスは、ポートがリンクアップするまでNormal状態に戻りません(Shutdown状態のまま)。 -
port-security mac-address コマンドで誤ったポートを指定した場合、通信および違反フレーム検知が正しく行われません。
7. 関連文書
特になし