Cisco Small Business 200 1.1 シリーズ スマート スイッチ アドミニストレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: セキュリティの設定
セキュリティの設定
ここでは、セキュリティとアクセス コントロールについて説明します。このシステムにはさまざまなセキュリティ機能が備わっています。
ここで説明する各種のセキュリティ機能は、以下のとおりです。一部の機能は、複数の種類のセキュリティまたはアクセス コントロールに対して利用されています。そのため、このような機能は以下の一覧に 2 回出現します。
スイッチの CPU を標的にした攻撃を防ぐ方法については、次の各項で説明します。
エンドユーザによるスイッチ経由でのネットワーク アクセスを制御する方法については、次の各項で説明します。
その他のネットワーク ユーザからの攻撃を防ぐ方法については、次の各項で説明します。これらの攻撃はスイッチを通過するものであり、スイッチを標的にしたものではありません。
ユーザの定義
デフォルトのユーザ名とパスワードは cisco と cisco になります。デフォルトのユーザ名とパスワードで初めてログインすると、新しいパスワードを入力するように求められます。パスワード複雑度は、デフォルトで有効になっています。パスワードの複雑さが不十分な場合は([パスワード強度] ページの [パスワードの複雑度の設定] が有効)、別のパスワードを作成するように求められます。
ユーザ アカウントの設定
[ユーザアカウント] ページでは、スイッチへのアクセス(読み取り専用または読み取り/書き込み)を許可する追加のユーザを入力したり、既存のユーザのパスワードを変更したりできます。
(注) すべてのユーザを削除することはできません。すべてのユーザが選択されている場合、[削除] ボタンは非アクティブになります。 ステップ 1
[各種管理] > [ユーザアカウント] をクリックします。[ユーザアカウント] ページが表示されます。
ステップ 2 ユーザを新規に追加するには、[追加] をクリックします。既存ユーザを修正するには、[編集] をクリックします。[ユーザアカウントの追加] ページまたは [ユーザアカウントの編集] ページが表示されます。
• [ユーザ名] :1 ~ 20 文字で新しいユーザ名を入力します。 UTF-8 文字は使用できません。
• [パスワード] :パスワードを入力します(UTF-8 文字は使用できません)。パスワードの強度と複雑度が定義されている場合、ユーザ パスワードは、[パスワード複雑度ルールの設定] セクションで設定されたポリシーに従う必要があります。
• [パスワード強度メーター] :パスワードの強度が表示されます。パスワードの強度と複雑度に関するポリシーは、[パスワード強度] ページで設定します。
ステップ 4 [適用] をクリックします。ユーザがスイッチの実行コンフィギュレーション ファイルに追加されます。
パスワード複雑度ルールの設定
パスワードは、スイッチにアクセスするユーザを認証する目的で使用されます。単純なパスワードでは、セキュリティが侵害される可能性があります。そのため、パスワード複雑度要件がデフォルトで適用されており、必要に応じて設定を変更できます。パスワード複雑度要件は、[パスワード強度] ページで設定されます。このページには、[セキュリティ] ドロップダウン メニューからアクセスできます。また、このページでパスワード エージング タイムを設定できます。
ステップ 1 [セキュリティ] > [パスワード強度] をクリックします。[パスワード強度] ページが表示されます。
ステップ 2 パスワードに関する次のエージング パラメータを入力します。
• [パスワードエージング] :選択した場合、[パスワードエージングタイム] で指定した日数が経過したときにパスワードを変更するよう要求されます。
• [パスワードエージングタイム] :パスワードの有効日数を入力します。この日数が経過すると、パスワードを変更するよう要求されます。
ステップ 3 [パスワードの複雑度の設定] を選択して、パスワードの複雑度ルールを有効にします。
パスワード複雑度が有効な場合、パスワードは次のデフォルト設定に従っている必要があります。
•3 つ以上の文字クラスの文字を含む(大文字、小文字、数字、標準キーボードで使用可能な特殊文字)。
•ユーザ名や、その大文字小文字を入れ替えただけの派生形を繰り返したり逆にしたりして使用しない。
•製造業者名や、その大文字小文字を入れ替えただけの派生形を繰り返したり逆にしたりして使用しない。
ステップ 4 [パスワードの複雑度の設定] が有効な場合は、次のパラメータを設定できます。
• [パスワードの最小長] :パスワードの最小文字数を入力します。
• [文字クラスの最小数] :パスワードに存在している必要のある文字クラスの数を入力します。文字クラスは、小文字(1)、大文字(2)、数字(3)、および記号または特殊文字(4)です。
• [現在のパスワードを新しいパスワードとして使用禁止] :選択した場合、パスワードの変更時に、新しいパスワードを現在のパスワードと同じ値にすることはできません。
ステップ 5 [適用] をクリックします。パスワード設定値が設定され、実行コンフィギュレーション ファイルが更新されます。
RADIUS パラメータ値の設定
Remote Authorization Dial-In User Service(RADIUS)サーバは、802.1x または MAC に基づいてネットワーク アクセスを制御します。このスイッチは、RADIUS クライアントです。RADIUS サーバを使用してセキュリティを集中管理できます。
Web ベースのスイッチ設定ユーティリティへのアクセス権限が RADIUS サーバから付与されるようにするには、RADIUS サーバから「cisco-avpair = shell:priv-lvl=15」が返される必要があります。
ステップ 1 [セキュリティ] > [RADIUS] をクリックします。[RADIUS] ページが表示されます。
ステップ 2 デフォルトの RADIUS パラメータ値を入力します。[デフォルトパラメータ] で入力した値は、すべての RADIUS サーバに適用されます。個別の RADIUS サーバに対する値が入力されていない場合([RADIUSサーバの追加] ページで)、これらのフィールドの値が使用されます。
• [IPバージョン] :サポートされている IP バージョン(IPv6 または IPv4、あるいはその両方のサブネット)が表示されます。
• [リトライ回数] :RADIUS サーバに要求を送信する最大試行回数を入力します。この回数送信しても要求が受け付けられなかった場合、エラーになります。
• [応答タイムアウト] :RADIUS サーバからの応答を待つ時間を入力します(単位:秒)。この時間内に応答がない場合、同じ RADIUS サーバに再度要求が送信されるか、または、次のプライオリティの RADIUS サーバに要求が送信されます。
• [デッドタイム] :応答のない RADIUS サーバからサービス要求がバイパスされるようになるまでの経過時間を入力します(単位:分)。「0」を入力した場合、この RADIUS サーバはバイパスされません。
• [キーストリング] :スイッチと RADIUS サーバの間の認証と暗号化に使用されるデフォルトのキーを入力します。このキーは、RADIUS サーバ側で設定されているキーと一致していなければなりません。キーは、MD5 を使用して送信データを暗号化する際に使用されます。個別の RADIUS サーバ用のキーが入力されている場合は、そのキーが優先使用されます。個別の RADIUS サーバ用のキーが入力されていない場合は、このデフォルトのキーが使用されます。
ステップ 3 [適用] をクリックします。実行コンフィギュレーション ファイル内のスイッチの RADIUS 設定値が更新されます。
ステップ 4 RADIUS サーバを追加するには、[追加] をクリックします。[RADIUSサーバの追加] ページが表示されます。
ステップ 5 サーバごとにフィールドに値を入力します。[RADIUS] ページで指定したデフォルト値を使用する場合は、[デフォルトを使用] を選択します。
• [サーバ指定方法] :RADIUS サーバを IP アドレスで指定するか、名前で指定するかを選択します。
• [IP バージョン] :RADIUS サーバを IP アドレスで指定する場合は、IPv4 または IPv6 を選択し、選択した形式で入力することを示します。
• [IPv6アドレスタイプ] :IPv6 アドレス タイプがグローバルであることが表示されます。
• [サーバのIPアドレス/名前] :サーバの IP アドレスまたはドメイン名を入力します。
• [プライオリティ] :RADIUS サーバのプライオリティを入力します。このプライオリティによって、ユーザ認証要求先 RADIUS サーバの順序が決まります。プライオリティが最も高い RADIUS サーバが、最初の認証要求先となります。プライオリティは 0 が最高です。
• [キーストリング] :スイッチと RADIUS サーバの間の通信の認証と暗号化に使用されるキーを入力します。このキーは、RADIUS サーバ側で設定されているキーと一致していなければなりません。このフィールドに値を入力しなかった場合、デフォルトのキーが使用され、RADIUS サーバの認証が試みられます。
• [応答タイムアウト] :RADIUS サーバからの応答を待つ時間を入力します(単位:秒)。この時間内に応答がない場合、同じ RADIUS サーバに再度要求が送信されるか、または、次のプライオリティの RADIUS サーバに要求が送信されます。このフィールドに値を入力しなかった場合、デフォルトのタイムアウト値が使用されます。
• [認証ポート] :認証要求先 RADIUS サーバの UDP ポート番号を入力します。
• [リトライ回数] :RADIUS サーバに要求を送信する最大試行回数を入力します。この回数送信しても要求が受け付けられなかった場合、エラーになります。デフォルトの最大試行回数を使用する場合は、[デフォルトを使用] を選択します。
• [デッドタイム] :応答のない RADIUS サーバからサービス要求がバイパスされるようになるまでの経過時間を入力します(単位:分)。デフォルトのデッド タイムを使用する場合は、[デフォルトを使用] を選択します。「0」と入力した場合、デッド タイムは設定されません。
• [使用タイプ] :RADIUS サーバの認証タイプを入力します。次のオプションがあります。
– [ログイン] :RADIUS サーバは、スイッチの管理を希望するユーザを認証する目的で使用されます。
– [802.1X] :RADIUS サーバは 802.1x 認証用に使用されます。
– [すべて] :RADIUS サーバは、スイッチの管理を希望するユーザの認証と、802.1X 認証に使用されます。
ステップ 6 [適用] をクリックします。RADIUS サーバの定義が、スイッチの実行コンフィギュレーション ファイルに追加されます。
管理アクセス認証の設定
HTTP/HTTPS セッションには、認証方式を割り当てることができます。ユーザ認証処理は、スイッチ内部で実行することも、RADIUS サーバ上で実行することもできます。
ユーザ認証方式は、選択した順に使用されます。最初に選択した認証方式が使用不能の場合、次に選択した認証方式が使用されます。たとえば、[RADIUS]、[ローカル] の順に認証方式を選択した場合、定義した各 RADIUS サーバに対してプライオリティ順に要求が送信されます。どの RADIUS サーバからも応答がない場合は、スイッチ内部でユーザ認証が行われます。
認証方式において、認証されなかったかまたはユーザの特権レベルが不十分である場合、そのユーザはスイッチへのアクセスを拒否されます。つまり、認証方式において認証されなかった場合、認証処理は中止されます。次の認証方式が使用されることはありません。
ステップ 1 [セキュリティ] > [管理アクセス認証] をクリックします。[管理アクセス認証] ページが表示されます。
ステップ 2 [アプリケーション] リストでアクセス方式を選択します。
ステップ 3 矢印を使用して、[オプションの方式] カラムと [選択した方式] カラムの間で認証方式を移動します。最初に選択した認証方式が最初に使用されます。
• [RADIUS] :ユーザは RADIUS サーバ上で認証されます。RADIUS サーバが 1 つ以上定義されている必要があります。
• [なし] :ユーザは、認証を受けることなくスイッチにアクセスできます。
• [ローカル] :ユーザ名およびパスワードが、このスイッチに格納されているユーザ名およびパスワードと照合されます。これらのユーザ名とパスワードは、[ユーザアカウント] ページで定義されます。
ステップ 4 [適用] をクリックします。選択した認証方式が、そのアクセス方式に割り当てられます。
アクセス プロファイルの定義
アクセス プロファイルによって、さまざまなアクセス方法でスイッチにアクセスするユーザを認証および承認する方法が決まります。アクセスプロファイルを使用して、特定のソースからの管理アクセスを制限することができます。
アクティブ アクセス プロファイルと管理アクセス認証方法の両方をクリアしたユーザだけが、スイッチに管理アクセスできます。
スイッチ上では、一度に 1 つのアクセス プロファイルだけをアクティブにすることができます。
アクセス プロファイルは、1 つ以上のルールから構成されています。各ルールは、アクセス プロファイル内のプライオリティ順に(上から順に)実行されます。
各ルールはフィルタで構成されており、各フィルタは次の要素で構成されています。
• アクセス方式 :スイッチにアクセスして管理するための方式。
–Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)
• アクション :インターフェイスまたは送信元アドレスへのアクセスを許可するか拒否するか。
• インターフェイス :Web ベースのスイッチ設定ユーティリティへのアクセスを許可または拒否されるポート、LAG、または VLAN。
• 送信元 IP アドレス :アクセスが許可されている IP アドレスまたはサブネット。
アクティブ アクセス プロファイル
[アクセスプロファイル] ページには、定義されているアクセス プロファイルが表示され、アクティブにする 1 つのアクセス プロファイルを選択できます。
ユーザがあるアクセス方式でスイッチにアクセスしようとすると、スイッチは、アクティブ アクセス プロファイルでこの方式を通じたスイッチへの管理アクセスが明示的に許可されているかどうかを確認します。合致するルールが見つからない場合、アクセスは拒否されます。
アクティブ アクセス プロファイルに違反するアクセスが試行された場合、SYSLOG メッセージが生成され、システム管理者にそのアクセス試行が通知されます。
アクセス プロファイルを定義した後にルールを追加または修正できます。詳細については、 プロファイル内のルールの定義 を参照してください。
[アクセスプロファイル] ページを使用して、アクセス プロファイルを作成し、その最初のルールを追加することができます。アクセス プロファイルに 1 つのルールしか含めない場合は、それで終了です。プロファイルにルールを追加するには、[プロファイルルール] ページを使用します。
ステップ 1 [セキュリティ] > [管理アクセス方式] > [アクセスプロファイル] をクリックします。[アクセスプロファイル] ページが表示されます。
このページには、アクティブ アクセス プロファイルと非アクティブ アクセス プロファイルを含むすべてのアクセス プロファイルが表示されます。
ステップ 2 アクティブ アクセス プロファイルを切り替えるには、[アクティブアクセスプロファイル] ドロップダウン リストでアクセス プロファイルを選択し、[適用] をクリックします。選択したアクセス プロファイルがアクティブ アクセス プロファイルになります。
別のアクセス プロファイルを選択した場合、「選択したアクセス プロファイルによっては Web ベースのスイッチ設定ユーティリティから切断される可能性がある」という内容の注意メッセージが表示されます。
ステップ 3 アクティブ アクセス プロファイルを選択するには、[OK] をクリックします。選択操作を中止するには、[キャンセル] をクリックします。
ステップ 4 [追加] をクリックし、[アクセスプロファイルの追加] ページを開きます。このページでは、新しいアクセス プロファイルとルール 1 つを設定できます。
• [アクセスプロファイル名] :アクセス プロファイルの名前を入力します。アクセス プロファイル名は最大 32 文字です。
• [ルールプライオリティ] :ルールのプライオリティを入力します。パケットがルールの条件に合致した場合、ユーザ グループはスイッチへの管理アクセスを許可または拒否されます。プライオリティの高いルールから順に適用されるため、ルールのプライオリティは非常に重要です。プライオリティは 1 が最高です。
• [管理方式] :ルールの対象となるアクセス方式を選択します。次のオプションがあります。
– [すべて] :すべてのアクセス方式をこのルールに割り当てます。
– [HTTP] :HTTP アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [Secure HTTP (HTTPS)] :HTTPS アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
• [アクション] :このルールに割り当てる処理を選択します。次のオプションがあります。
– [許可] :ユーザがこのアクセス プロファイルの条件に合致した場合、スイッチへのアクセスを許可します。
– [拒否] :ユーザがこのアクセス プロファイルの条件に合致した場合、スイッチへのアクセスを拒否します。
• [インターフェイスに適用] :このルールに割り当てるインターフェイスを選択します。次のオプションがあります。
– [すべて] :すべてのポート、VLAN、および LAG が割り当てられます。
– [ユーザ定義] :選択したインターフェイスに適用されます。
• [インターフェイス] :[ユーザー定義] を選択した場合は、インターフェイス番号を入力します。
• [送信元IPアドレスに適用] :このアクセス プロファイルに割り当てる送信元 IP アドレスのタイプを選択します。[送信元IPアドレス] フィールドにはサブネットワークを入力することもできます。次のいずれかを選択します。
– [すべて] :すべてのタイプの IP アドレスが割り当てられます。
– [ユーザ定義] :フィールドで指定したタイプの IP アドレスだけが割り当てられます。
• [IPバージョン] :送信元 IP アドレスのサポート対象 IP バージョン(IPv6 または IPv4)を選択します。
• [IPアドレス] :送信元 IP アドレスを入力します。
• [マスク] :送信元 IP アドレスに対するサブネット マスクの形式を選択し、いずれかのフィールドに値を入力します。
–[ネットワークマスク]:送信元 IP アドレスが属するサブネットを選択し、サブネット マスクをピリオド区切りの 10 進表記で入力します。
–[プレフィクス長]:[プレフィクス長] を選択し、送信元 IP アドレス プレフィクスを構成するビット数を入力します。
ステップ 6 [適用] をクリックします。アクセス プロファイルが作成され、実行コンフィギュレーション ファイルが更新されます。これで、このアクセス プロファイルをアクティブ アクセス プロファイルとして選択できます。
プロファイル内のルールの定義
アクセス プロファイルには最大 128 個のルールを含めることができます。ルールとは、スイッチにアクセスして管理することを許可されているユーザ、および、アクセス方式を定めたものです。
アクセス プロファイル内の各ルールは、基準(1 つ以上のパラメータ)と処理で構成されています。各ルールにはプライオリティが設定されています。プライオリティが最も高いルールが最初に適用されます。入力パケットがルールの条件に合致した場合、そのルールの処理が実行されます。アクティブ アクセス プロファイル内のどのルールの条件にも合致しなかったパケットは、ドロップされます。
たとえば、IT 管理センター内の IP アドレス以外の IP アドレスからスイッチにアクセスできないよう設定できます。このようにしてスイッチを管理できるので、セキュリティが向上します。
ステップ 1 [セキュリティ] > [管理アクセス方式] > [プロファイルルール] をクリックします。[プロファイルルール] ページが表示されます。
ステップ 2 [フィルタ] フィールドを選択し、次にアクセス プロファイルを選択します。[実行] をクリックします。
選択したアクセス プロファイルが [プロファイルルールテーブル] に表示されます。
ステップ 3 このプロファイルにルールを追加するため、[追加] をクリックします。[プロファイルルールの追加] ページが表示されます。
• [アクセスプロファイル名] :アクセス プロファイルを選択します。
• [ルールプライオリティ] :ルールのプライオリティを入力します。パケットがルールの条件に合致した場合、ユーザ グループはスイッチへの管理アクセスを許可または拒否されます。プライオリティの高いルールから順に適用されるため、ルールのプライオリティは非常に重要です。
• [管理方式] :ルールの対象となるアクセス方式を選択します。次のオプションがあります。
– [すべて] :すべてのアクセス方式をこのルールに割り当てます。
– [HTTP] :HTTP アクセスをこのルールに割り当てます。HTTP アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
– [Secure HTTP (HTTPS)] :HTTPS アクセス プロファイル基準を満たすユーザが、スイッチへのアクセスを許可または拒否されます。
• [アクション] :このルールで設定されている送信元 IP アドレスから、このルールで設定されているアクセス方式を使用して、このルールで設定されているインターフェイス経由で行われる、このスイッチへのアクセスを許可する場合は、[許可] を選択します。拒否する場合は [拒否] を選択します。
• [インターフェイスに適用] :このルールに割り当てるインターフェイスを選択します。次のオプションがあります。
– [すべて] :すべてのポート、VLAN、および LAG が割り当てられます。
– [ユーザ定義] :選択したポート、VLAN、または LAG が割り当てられます。
• [インターフェイス] :インターフェイス番号を入力します。
• [送信元IPアドレスに適用] :このアクセス プロファイルに割り当てる送信元 IP アドレスのタイプを選択します。[送信元IPアドレス] フィールドにはサブネットワークを入力することもできます。次のいずれかを選択します。
– [すべて] :すべてのタイプの IP アドレスが割り当てられます。
– [ユーザ定義] :フィールドで指定したタイプの IP アドレスだけが割り当てられます。
• [IPバージョン] :送信元 IP アドレスのサポート対象 IP バージョン(IPv6 または IPv4)を選択します。
• [IPアドレス] :送信元 IP アドレスを入力します。
• [マスク] :送信元 IP アドレスに対するサブネット マスクの形式を選択し、いずれかのフィールドに値を入力します。
– [ネットワークマスク] :送信元 IP アドレスが属するサブネットを選択し、サブネット マスクをピリオド区切りの 10 進表記で入力します。
– [プレフィクス長] :[プレフィクス長] を選択し、送信元 IP アドレス プレフィクスを構成するビット数を入力します。
ステップ 5 [適用] をクリックします。このルールがアクセス プロファイルに追加されます。
TCP/UDP サービスの設定
[TCP/UDPサービス] ページでは、スイッチ上で各種の TCP/UDP サービスを有効にすることができます。これらのサービスを有効にする主な目的は、セキュリティを強化することです。
このスイッチで提供されている TCP/UDP サービスは次のとおりです。
このウィンドウには、アクティブな TCP 接続も表示されます。
ステップ 1 [セキュリティ] > [TCP/UDPサービス] をクリックします。[TCP/UDPサービス] ページが表示されます。
ステップ 2 次の TCP/UDP サービスを有効または無効にします。
•[HTTPサービス]:HTTP サービスが有効か無効かを示します。
•[HTTPSサービス]:HTTPS サービスが有効か無効かを示します。
[TCP サービス テーブル] に、各サービスについて次のフィールドが表示されます。
• [サービス名] :TCP サービスが提供されているアクセス方式。
• [タイプ] :サービスで使用されている IP プロトコル。
• [ローカルIPアドレス] :サービスが提供されているローカル IP アドレス。
• [ローカルポート] :サービスが提供されているローカル TCP ポート。
• [リモートIPアドレス] :サービスを要求しているリモート デバイスの IP アドレス。
• [リモートポート] :サービスを要求しているリモート デバイスの TCP ポート。
• [サービス名] :UDP サービスが提供されているアクセス方式。
• [タイプ] :サービスで使用されている IP プロトコル。
• [ローカルIPアドレス] :サービスが提供されているローカル IP アドレス。
• [ローカルポート] :サービスが提供されているローカル UDP ポート。
• [アプリケーションインスタンス] :UDP サービスのサービス インスタンス(例:2 つの送信元から同じ宛先にデータが送信される場合)。
ステップ 3 [適用] をクリックします。サービスが追加され、実行コンフィギュレーション ファイルが更新されます。
ストーム制御の定義
ブロードキャスト フレーム、マルチキャスト フレーム、または Unknown ユニキャスト フレームが受信された場合、そのフレームが複製され、フレームのコピーがすべての該当出力ポートに送信されます。つまり実際には、該当 VLAN に属するすべてのポートに送信されます。このように、1 つの入力フレームに対して多数のコピーが生成されるので、トラフィック ストームが発生するおそれがあります。
ストーム防止機能を利用した場合、スイッチに入ってくるフレームの数に対するしきい値を設定すること、および、このしきい値を適用するフレームのタイプを指定することができます。
しきい値を設定した場合、このしきい値に達した後に入ってきたトラフィックは廃棄されます。トラフィック数がこのしきい値を下回るまでの間、ポートはブロックされたままになります。トラフィック数がこのしきい値を下回ると、通常の転送処理が再開されます。
ステップ 1 [セキュリティ] > [ストーム制御] をクリックします。[ストーム制御] ページが表示されます。
このページ内の、[ストーム制御レートしきい値(%)] 以外のフィールドについては、[ストーム制御の編集] ページのセクションで説明します。このフィールドには、ポートに対してストーム制御が行われるまでに、全帯域幅のうち Unknown ユニキャスト、マルチキャスト、およびブロードキャスト パケットで使用可能な帯域幅が表示されます。デフォルト値はそのポートの最大帯域幅の 10% です。このフィールドの値は [ストーム制御の編集] ページで設定します。
ステップ 2 ポートを選択して [編集] をクリックします。[ストーム制御の編集] ページが表示されます。
• [ポート] :ストーム制御を有効にするポートを選択します。
• [ストーム制御] :ストーム制御を有効にする場合、選択します。
• [ストーム制御レートしきい値] :Unknown ユニキャスト トラフィック、マルチキャスト トラフィック、およびブロードキャスト トラフィックの最大合計件数を入力します。このしきい値のデフォルト値は、FE デバイスの場合 10,000、GE デバイスの場合 100,000 です。
• [ストーム制御モード] :モードをいずれか 1 つ選択します。
– [不明なユニキャスト、マルチキャスト、およびブロードキャスト] :不明なユニキャスト トラフィック、マルチキャスト トラフィック、およびブロードキャスト トラフィックの件数を数え、しきい値と照合します。
– [マルチキャストとブロードキャスト] :マルチキャスト トラフィックおよびブロードキャスト トラフィックの件数を数え、しきい値と照合します。
– [ブロードキャストのみ] :ブロードキャスト トラフィックの件数だけを数え、しきい値と照合します。
ステップ 4 [適用] をクリックします。ストーム制御が変更され、実行コンフィギュレーション ファイルが更新されます。
ポート セキュリティの設定
特定の MAC アドレスからのポート アクセスを制限することにより、ネットワークのセキュリティを強化できます。アクセスを制限したい送信元 MAC アドレスは、動的(ダイナミック)に学習させることも、静的(スタティック)に設定することもできます。
ポート セキュリティを設定すると、受信された MAC アドレスと学習された MAC アドレスが照合されます。ロックされているポートには、特定の MAC アドレスからのみアクセスできます。
• クラシック ロック :ポート上で学習されたすべての MAC アドレスがロックされます。新しい MAC アドレスは学習されません。また、学習済み MAC アドレスが失効したり再学習されたりすることはありません。
• 限定ダイナミック ロック :上限数に達するまで MAC アドレスが学習されます。上限数に達すると、それ以上 MAC アドレスは学習されなくなります。このモードでは、学習済み MAC アドレスが失効したり再学習されたりすることがあります。
新しい MAC アドレスから届いたフレームがポート上で検出され、かつ、その MAC アドレスが承認されていない場合、(つまり、ポート セキュリティがクラシック ロック モードであり、届いた MAC アドレスがロックされている場合、または、ポート セキュリティが限定ダイナミック ロック モードであり、学習済み MAC アドレスが上限数に達している場合)、防御機構が働き、次のいずれかの処理が実行されます。
安全な MAC アドレスから送信されたフレームが別のポートに届いた場合、そのフレームは転送されますが、そのポート上でその MAC アドレスが学習されることはありません。
これらの処理のいずれかを実行するのに加え、トラップを生成することができます。その際、トラップの生成頻度を下げて回数を減らし、スイッチが過負荷状態になるのを回避することができます。
(注) 200 シリーズのトラップは、SNMP で生成されたものではなく、SYSLOG 関連のトラップです。 (注) ポート上で 802.1X を使用する場合は、複数ホスト モードまたは複数セッション モードにする必要があります。ポートがシングル モードの場合、ポートにポート セキュリティを設定できません([802.1x]、[ホストおよびセッション認証] ページを参照)。 ステップ 1 [セキュリティ] > [ポートセキュリティ] をクリックします。[ポートセキュリティ] ページが表示されます。
ステップ 2 ポート セキュリティを修正したいインターフェイスを選択し、[編集] をクリックします。[ポートセキュリティインターフェイス設定の編集] ページが表示されます。
• [インターフェイス] :インターフェイス名を選択します。
• [インターフェイスステータス] :ポートをロックする場合、チェックボックスをオンにします。
• [学習モード] :ポートのロック モードを選択します。このフィールドの値を指定するには、[インターフェイスステータス] のロックを解除する必要があります。[学習モード] フィールドは、[インターフェイスステータス] フィールドがロックされている場合にのみ有効になります。[学習モード] の値を変更するには、[インターフェイスステータス] のロックをいったん解除する必要があります。変更後、[インターフェイスステータス] を元に戻すことができます。次のオプションがあります。
– [クラシックロック] :すでに学習されている MAC アドレスの数にかかわらず、ポートをすぐにロックします。
– [限定ダイナミックロック] :現在このポートに動的に関連付けられている MAC アドレスを削除し、ポートをロックします。このポートに対して設定した上限数に達するまで MAC アドレスが学習されます。また、MAC アドレスは失効したり再学習されたりすることがあります。
• [最大 許可アドレス数] :[学習モード] で [限定ダイナミックロック] を選択した場合、このポート上で学習できる MAC アドレスの上限数を入力します。数値 0 は、このポート上でスタティック MAC アドレスだけを設定できることを意味します。
• [違反時アクション] :ロックされているポートに届いたパケットに適用する処理を選択します。次のオプションがあります。
– [廃棄] :学習されていない送信元 MAC アドレスから届いたパケットを廃棄します。
– [転送] :不明な送信元 MAC アドレスから届いたパケットを転送します。MAC アドレスは学習されません。
– [シャットダウン] :学習されていない送信元 MAC アドレスから届いたパケットを廃棄し、このポートを停止します。ポートは、再アクティブ化されるかまたはスイッチが再起動されるまで、停止したままになります。
• [トラップ] :ロックされているポートにパケットが届いたときにトラップを有効にする場合、選択します。トラップは、ロックが侵害されようとしたことを通知するものです。クラシック ロック モードの場合、トラップの内容は、新たに受信された MAC アドレスです。限定ダイナミック ロック モードの場合、トラップの内容は、上限数を超過した分の新しい MAC アドレスです。
• [トラップ間隔] :トラップの最短間隔を入力します(単位:秒)。
ステップ 4 [適用] をクリックします。ポート セキュリティが変更され、実行コンフィギュレーション ファイルが更新されます。
802.1X の設定
ポートベース アクセス コントロールを行う場合、スイッチのポート上で 2 種類のアクセスを設定できます。1 つ目は、認可状態にかかわらず通信を制御しない、というものです( 非制御ポート )。2 つ目は、ホストとスイッチとの間の通信を承認するものです。
802.1X は、ポートベースのネットワーク アクセス コントロールを行うための IEEE 規格です。802.1X フレームワークを使用した場合、要求元デバイス(サプリカント)は、接続先リモート デバイス(オーセンティケータ)上のポートへのアクセスを要求できます。要求元サプリカントは、認証および承認された場合にのみ、ポートにデータを送信できます。認証されなかった場合、オーセンティケータではそのサプリカントからのデータが破棄されます。
サプリカントを認証する処理は、オーセンティケータを介して、外部の RADIUS サーバ上で実行されます。オーセンティケータでは、認証結果が監視されます。
802.1X 規格では、ポートでデバイスをサプリカントにすると同時にオーセンティケータにすることができます。この場合、このデバイスは、ポート アクセスを要求すると共にポート アクセスを許可することになります。ただし、このスイッチは単なるオーセンティケータであり、サプリカントの役割は果たしません。
– A1 :シングル セッション/シングル ホスト。このモードの場合、スイッチ(オーセンティケータ)では 802.1X セッションが 1 つサポートされ、ポートを使用する権限が承認済みサプリカントに付与されます。そのポートで受信された他デバイスからのアクセスは、すべて拒否されます。ただし、承認済みサプリカントがそのポートを使用しなくなった場合、および、そのアクセスが未認証 VLAN に対するものである場合は例外です。
–単一セッション/複数ホスト:このモードは 802.1X 規格に準拠しています。このモードの場合、デバイスがポートに対するアクセス権を与えられている限り、スイッチ(オーセンティケータ)はそのポートの使用を許可します。
• 複数セッション型 802.1X :ポートに接続している各デバイス(サプリカント)を、それぞれ別々の 802.1X セッションで認証および承認する必要があります。認証方式
•802.1X:このスイッチは、802.1X 規格で規定されている認証機構を備えており、802.1X サプリカントを認証および承認することができます。
802.1X パラメータを定義する手順
802.1X パラメータを定義するには、次の手順を実行します。
•(任意)「802.1X プロパティ値の設定」の説明に従って、1 つ以上のスタティック VLAN を未認証 VLAN として定義します。802.1X 承認済みおよび 802.1X 未承認のデバイスまたはポートは、未認証 VLAN との間で常にパケットを送受信できます。
•[ポート認証の編集] ページを使用して、各ポートの 802.1X 設定値を定義します。
•ポート上で DVA を有効にするには、このページの [RADIUS VLAN割り当て] フィールドを選択します。
•タグなしフレームをゲスト VLAN に送信するには、[ゲストVLAN] フィールドを選択します。
802.1X プロパティ値の設定
802.1X をグローバルで有効にし、ポートの認証方法を設定するには、802.1X の [プロパティ] ページを使用します。802.1X を使用するには、グローバルで有効にし、かつ、各ポートで個別に有効にする必要があります。
ステップ 1 [セキュリティ] > [802.1X] > [プロパティ] をクリックします。802.1X の [プロパティ] ページが表示されます。
• [ポートベース認証] :ポートベースの 802.1X 認証を有効または無効にします。
• [認証方式] :ユーザ認証方式を選択します。次のオプションがあります。
– [RADIUS、なし] :まず RADIUS サーバを使用してポート認証を実行します。RADIUS サーバから応答がない場合(例:サーバが停止している場合)、認証処理は実行されず、セッションが許可されます。
– [RADIUS] :RADIUS サーバ上でユーザを認証します。認証処理が実行されなかった場合、セッションは許可されません。
– [なし] :ユーザを認証しません。セッションは許可されます。
ステップ 3 [適用] をクリックします。802.1X プロパティ値が変更され、実行コンフィギュレーション ファイルが更新されます。
802.1X ポート認証の設定
[ポート認証] ページでは、各ポートの 802.1X パラメータ値を設定できます。ホスト認証など、ポートが [Force Authorized] 状態になっている間にしか変更できない設定もあるので、ポート制御を [Force Authorized] に変更してから変更することを推奨します。設定が完了したら、ポート制御を元の状態に戻してください。
(注) 802.1X が設定されているポートを LAG のメンバにすることはできません。 ステップ 1 [セキュリティ] > [802.1X] > [ポート認証] をクリックします。[ポート認証] ページが表示されます。
このページには、すべてのポートに対する認証設定情報が表示されます。
ステップ 2 ポートを選択して [編集] をクリックします。[ポート認証の編集] ページが表示されます。
• [現在のポート制御] :現在のポート認可状態が表示されます。状態が [許可] の場合、ポートが認証されているか、または、[管理ポート制御] の値が [Force Authorized] になっています。一方、状態が [無許可] の場合、ポートが認証されていないか、または、[管理ポート制御] の値が [Force Unauthorized] になっています。
• [管理ポート制御] :認可状態を選択します。次のオプションがあります。
– [Force Unauthorized] :インターフェイスを未承認状態に移行することにより、インターフェイス アクセスを拒否します。このインターフェイスを介してクライアントに認証サービスが提供されることはありません。
– [自動] :ポートベースの認証とスイッチの認可を有効にします。スイッチとクライアントの間で認証情報が交換されるのに合わせて、インターフェイスが承認状態と未承認状態の間で移行します。
– [Force Authorized] :認証せずにインターフェイスを承認します。
• [認証方式] :ポートに対する認証方式を選択します。次のオプションがあります。
– [802.1xのみ] :802.1X 認証方式だけが実行されます。
• [定期再認証] :[再認証期間] で入力した間隔でポートを再認証する場合、選択します。
• [再認証期間] :選択したポートを再認証する間隔を入力します(単位:秒)。
• [即時再認証] :ポートをすぐに再認証する場合、選択します。
• [認証状態] :設定されているポート認可状態が表示されます。次のオプションがあります。
– [Force Authorized] :ポート制御状態は Force Authorized(トラフィックを転送)に設定されています。
• [待機期間] :認証失敗情報交換後にスイッチが待機する時間を入力します(単位:秒)。
• [EAPの再送信] :サプリカント(クライアント)からの、Extensible Authentication Protocol(EAP; 拡張認証プロトコル)要求/ID フレームに対する応答を待つ時間を入力します(単位:秒)。この時間内に応答がない場合、スイッチから要求が再送信されます。
• [最大EAP要求] :EAP 要求の最大送信回数を入力します。[サプリカントタイムアウト] で入力した期間内にサプリカントから応答がなかった場合(つまり、サプリカントがタイムアウトになった場合)、認証プロセスが再開されます。
• [サプリカントタイムアウト] :サプリカントのタイムアウト時間を入力します(単位:秒)。この時間内に応答がない場合、EAP 要求がサプリカントに再送信されます。
• [サーバタイムアウト] :サーバのタイムアウト時間を入力します(単位:秒)。この時間内に応答がない場合、要求が認証サーバに再送信されます。
• [終了原因] :ポート認証処理が中止された場合、その理由が表示されます。
ステップ 4 [適用] をクリックします。ポート設定が定義され、実行コンフィギュレーション ファイルが更新されます。
ホストとセッションの認証の設定
[ホストおよびセッション認証] ページでは、ポート上での 802.1X の動作モード、および、違反検出時に実行する処理を設定できます。
•シングル:1 台の承認済みホストだけがポートにアクセスできます。なお、シングル ホスト モードの場合、ポート上でポート セキュリティを有効にすることはできません。
•複数ホスト(802.1X):複数台のホストを 1 つの 802.1X 対応ポートに割り当てることができます。承認する必要があるのは最初のホストだけです。その後ポートは、ネットワークにアクセスするユーザ全員に開放されます。ホストが認証されなかった場合、または、EAPOL-logoff メッセージが受信された場合、割り当てられているすべてのクライアントが、ネットワークへのアクセスを拒否されます。
•複数セッション:特定多数の承認済みホストがポートにアクセスできます。各ホストは、最初でかつ唯一のユーザのように扱われます。それぞれのホストを認証する必要があります。フィルタリングは送信元 MAC アドレスに基づいて実行されます。
ステップ 1 [セキュリティ] > [802.1X] > [ホストおよびセッション認証] をクリックします。[ホストおよびセッション認証] ページが表示されます。
このページには、すべてのポートに対する 802.1X 認証パラメータ値が表示されます。次に示すフィールドを除くフィールドは、すべて [ホストおよびセッション認証の編集] ページにあります。
• [ステータス] :ホストのステータスが表示されます。アスタリスクは、そのポートがリンクされていないかまたは停止していることを意味します。次のオプションがあります。
– [無許可] :ポート制御状態が [Force Unauthorized] であり、かつ、ポート リンクが停止しているか、または、ポート制御の状態が [自動] であるが、クライアントがそのポート経由で認証されていません。
– [Force Authorized] :クライアントはポートにフル アクセスできます。
– [シングルホストロック] :ポート制御状態が [自動] であり、かつ、このポートを使用して 1 つのクライアントだけが認証されています。
– [シングルホストなし] :ポート制御状態が [自動] であり、[複数ホスト] モードが有効になっています。1 つ以上のクライアントが認証されています。
– [非自動モード] :自動ポート制御が無効になっています。
• [違反数] :シングル ホスト モードにおいて、MAC アドレスがサプリカントの MAC アドレスでないホストからそのインターフェイスに届いた、パケットの数が表示されます。
ステップ 2 ポートを選択して [編集] をクリックします。[ホストおよびセッション認証の編集] ページが表示されます。
• [インターフェイス] :ホスト認証を有効にするポート番号を入力します。
• [ホスト認証] :いずれかのモードを選択します。これらのモードについては、前出の「 ホストとセッションの認証の設定 」で説明しています。
• [違反時アクション](シングル ホスト) :MAC アドレスがサプリカントの MAC アドレスでないホストから、シングル セッション/シングル ホスト モードで届いたパケットに適用する処理を選択します。 次のオプションがあります。
– [シャットダウン] :パケットを廃棄し、ポートを停止します。ポートは、再アクティブ化されるかまたはスイッチが再起動されるまで、停止したままになります。
• [トラップ](シングル ホスト違反) :選択すると、トラップが有効になります。
• [トラップ間隔](シングル ホスト違反) :ホストにトラップを送信する頻度を設定します。このフィールドの値を指定できるのは、複数ホストが無効になっている場合だけです。
ステップ 4 [適用] をクリックします。設定値が定義され、実行コンフィギュレーション ファイルが更新されます。
認証済みホストの表示
ステップ 1 [セキュリティ] > [802.1X] > [認証済みホスト] をクリックします。[認証済みホスト] ページが表示されます。
• [セッション時間(DD:HH:MM:SS)] :そのポートにサプリカントがログインしていた時間。
• [認証方式] :最後のセッションの認証に使用された方式。次のオプションがあります。
– [RADIUS] :サプリカントは RADIUS サーバ上で認証されました。
DoS 攻撃の防止
Denial of Service(DoS)攻撃を防止できれば、ネットワークのセキュリティが向上します。具体的には、特定の IP アドレスから送信されたパケットがネットワークに入ってこないようにします。
SCT
Cisco Small Business スイッチは、エンドユーザのトラフィック以外に、次のタイプのトラフィックを処理する高度なスイッチです。
不要なトラフィックは、CPU の負荷を高め、正常なスイッチの動作を妨げることがあります。
スイッチは、Secure Core Technology(SCT)機能を使用します。この機能は、受信するトラフィックの合計量に関係なく、スイッチが管理トラフィックとプロトコル トラフィックを受信し処理できるようにします。
デバイスでは SCT はデフォルトで有効になっており、無効にできません。
SCTは、[セキュリティ] > [サービス拒否防御] > [セキュリティスイート設定] ページで監視できます([詳細] ボタン)。
DoS セキュリティ スイートの設定
(注) DoS 攻撃防止機能をアクティブ化するには、事前に、すべての Access Control List(ACL; アクセス コントロール リスト)および拡張 QoS ポリシーをポートからアンバインドしておく必要があります。ポートで DoS 攻撃防止機能がアクティブ化されている間、ACL と拡張 QoS ポリシーは非アクティブ化されます。DoS 攻撃防止機能のグローバル設定および SCT の監視を行うには
ステップ 1 [セキュリティ] > [サービス拒否防御] > [セキュリティスイート設定] をクリックします。[セキュリティスイート設定] ページが表示されます。
ステップ 2 CPU保護メカニズムが有効の場合は、SCT が有効であることを示しています。[CPU利用率] の横にある [詳細] をクリックし、CPU リソース利用率情報の表示を有効にします。
フィードバック