ポートセキュリティとは
スイッチに接続される機器を管理するための仕組みのひとつに「ポートセキュリティ」があります。これは、あらかじめそのポートで通信を許可する端末のMACアドレスを登録し、それ以外のMACアドレスを持つ機器からの通信を遮断する機能です。身近な例でいうと、オフィスの玄関に社員証をかざして入る仕組みに似ています。登録済みの社員証(MACアドレス)があれば入室できますが、登録されていないカードは弾かれるというイメージです。この仕組みにより、不正な端末がネットワークに侵入するのを防ぐことができます。
セキュアMACアドレスとは
ポートセキュリティで登録された「通信を許可されるMACアドレス」をセキュアMACアドレスと呼びます。例えば、あるポートで「0000.0000.1111」をセキュアMACとして設定すると、そのMACアドレスを持つ端末だけが通信できます。セキュアMACアドレスには次の3つの種類があります。
| セキュアMACのタイプ | 内容 |
|---|---|
| スタティック | 管理者が手動でMACアドレスを設定。MACアドレステーブルとrunning-configに保存される。 |
| ダイナミック | フレーム受信時に自動で学習。MACアドレステーブルのみに保存され、設定保存はされない。 |
| スティッキー | フレーム受信時に自動で学習。ただしMACアドレステーブルとrunning-configの両方に保存される。 |
ここで注意してほしいのは、スタティックとスティッキーはrunning-configには反映されますが、startup-configには入らないという点です。つまり、スイッチを再起動すると情報が失われてしまうため、設定を永続化したい場合は必ず「write memory」や「copy running-config startup-config」で保存する必要があります。試験でも「保存しないと再起動で消える」点はよく問われますので押さえておきましょう。
セキュリティ違反のモード
ポートセキュリティを設定する際には「許可する端末の数」も指定します。デフォルトでは1つだけが許可される設定です。もし登録数を超えて別のMACアドレスを持つ端末が接続されると、スイッチは違反と判断し、違反モードに応じた動作をします。Catalystスイッチでは次の3種類があります。
| 違反モード | 動作 |
|---|---|
| protect | 不正な端末のフレームを破棄するだけで通知はしない。 |
| restrict | 不正な端末のフレームを破棄し、さらにSNMPトラップやSyslogで通知する。違反カウンタも増加する。 |
| shutdown | ポートをerr-disable状態にし、通信を完全に停止させる。SNMPやSyslogで通知が送られる。デフォルトの設定。 |
特にshutdownモードは試験でもよく登場します。err-disable状態になるとポートのLEDが消灯し、通信が完全に遮断されます。復旧にはそのインターフェースで「shutdown → no shutdown」と入力する必要があります。この流れを知っておかないと、実機演習や試験問題で戸惑いやすいので要注意です。
違反モードの比較表
| 違反モード | トラフィック転送 | SNMPトラップ送信 | Syslog送信 | エラーメッセージ表示 | 違反カウンタ増加 | ポートshutdown |
|---|---|---|---|---|---|---|
| protect | × | × | × | × | × | × |
| restrict | × | ○ | ○ | × | ○ | × |
| shutdown | × | ○ | ○ | × | ○ | ○ |
表からも分かるように、違反の通知を残したい場合はrestrictかshutdownを選ぶのが一般的です。特に実務環境では「不正アクセスの記録」を重視するためrestrictやshutdownがよく使われます。試験では「デフォルトはshutdownである」という点が必ず押さえるべきポイントです。
ポートセキュリティの設定手順
ポートセキュリティは一度有効化するだけでは不十分で、細かいパラメータを順番に調整していく必要があります。ここでは Step 1 から Step 6 まで、実際の設定例を交えながら整理していきます。試験でもコマンドの流れやデフォルト値が問われやすいため、順序立てて理解することが大切です。
Step 1:ポートセキュリティの有効化
最初に対象のインターフェースを決め、ポートのモードを access または trunk に設定します。ポートセキュリティはこれらのモードでのみ有効です。今回は access モードを選択します。
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-securityこの設定でポートセキュリティが有効になります。
Step 2:許可するMACアドレス数の指定
ポートに登録できるセキュアMACアドレス数はデフォルトで 1 に設定されています。例えば、PCとIP電話を同じポートに収容する場合は数を増やします。
Switch(config-if)# switchport port-security maximum 2試験では「デフォルトは1」という点を押さえておきましょう。
Step 3:違反モードの決定
違反モードはデフォルトで shutdown です。必要に応じて protect や restrict に変更できます。ここでは restrict を選びます。
Switch(config-if)# switchport port-security violation restrictこのモードでは不正な通信を破棄し、さらにSyslogやSNMPで通知が行われ、違反カウンタも増加します。
Step 4:セキュアMACアドレスの登録方法
デフォルトではダイナミックに学習しますが、静的に登録したい場合は次のように指定します。
Switch(config-if)# switchport port-security mac-address 001b.d3dd.9bfb一方で、sticky を使うと現在接続中の端末のMACアドレスを自動的にスタティックとして登録できます。
Switch(config-if)# switchport port-security mac-address stickysticky を使うと手入力の手間が省け、誤入力も防げるため、実務でも一般的に利用されます。ただし running-config に保存されるだけで、startup-config に反映させたい場合は必ず設定保存が必要です。
Step 5:セキュアMACアドレスのエージングタイム
登録したMACアドレスを一定時間後に削除したい場合は、エージングタイムを設定します。
Switch(config-if)# switchport port-security aging time 30これで30分経過すると登録が削除されます。
Step 6:エージング方法の指定
エージングの方式には2種類があります。
- absolute:設定時間が経過すると通信中でも削除される
- inactivity:通信がなくなってからカウントを開始し、指定時間後に削除される
Switch(config-if)# switchport port-security aging time 30
Switch(config-if)# switchport port-security aging type inactivityこの設定例では「通信が止まってから30分後に削除」となります。