ポート セキュリティの概要
ポート セキュリティ機能を使用して、このポートへのアクセスを許可されたワークステーションの MAC アドレスを制限し、明らかにすることにより、インターフェイスへの入力を制限することができます。これは、各インターフェイスの MAC アドレスの格納を学習し、制御するのに役立ちます。ハブやスイッチなどのプラグインされている CAM オーバーフロー攻撃や不正な機器から保護するために使用されます。ポートセキュリティ対応ポートはセキュア ポートと呼ばれ、そのポートで許可される MAC アドレスはセキュア MAC アドレスと呼ばれます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは定義済みのアドレスのグループ外の送信元アドレスを持つパケットを転送しません。セキュア MAC アドレス数を 1 つに制限し、単一のセキュア MAC アドレスをセキュアな MAC アドレスに割り当てると、そのポートに接続されたワークステーションに、ポートの帯域幅全体が保証されます。
ポートに最大セキュアな MAC アドレス数を設定すると、セキュアなア MAC アドレスを次のいずれかの方法でアドレス テーブルに含めることができます。
-
すべてのセキュア MAC アドレスを、switchport port-security mac-address mac_address インターフェイス コンフィギュレーション コマンドを使用して設定します。
-
接続されているデバイスの MAC アドレスで、ポートがセキュア MAC アドレスをダイナミックに設定できるようにします。
-
多数のアドレスを設定し、残りのアドレスはダイナミックに設定されるように指定します。
(注)
ポートがシャットダウンされると、ダイナミックに学習されたアドレスはすべて削除されます。
-
MAC アドレスをステッキ―に設定します。MAC アドレスは動的に学習されるか、または手動で設定され、アドレス テーブル内に格納され、実行コンフィギュレーションに追加されます。これらのアドレスをコンフィギュレーション ファイルに保存した場合は、スイッチを再起動しても、インターフェイスはダイナミックにこれらのアドレスを再学習する必要がありません。スティッキ セキュア アドレスを手動で設定することもできますが、推奨しません。
MAC ラーニング
インターフェイスでポート セキュリティが有効になり、新しい MAC アドレスがインターフェイスに表示された後で、新しい MAC アドレスのセキュリティの検証が行われます。この検証に基づいて、MAC アドレスはアドレス テーブルに追加されます - 通常のエントリまたはドロップ エントリとしてのいずれか。