ポートセキュリティー機能

ポートセキュリティー機能

1. 機能概要

ポートセキュリティー機能は、許可された端末のみ通信できるように制限をかけ、不正な端末からのアクセスを防止する機能です。

image

2. 用語の定義

特になし

3. 機能詳細

ポートセキュリティー機能を有効にしたポートに対し、通信を許可したい端末のMACアドレスをあらかじめ登録しておくことで、許可された端末のみの通信ができるようになります。
逆に、登録していない端末(不正な端末)からアクセスがあった場合、不正アクセスと見なしパケットを破棄させます。
設定によっては該当ポートをダウンすることも可能です。

なお、ポートセキュリティー機能はポート認証機能との併用はできません。

3.1. アクセスする端末を制限

ポートセキュリティー機能を有効にし、通信を許可する端末のMACアドレスを port-security mac-address コマンドを使用して登録するだけで、アクセス端末を制限することができます。

image

4. 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

操作項目 操作コマンド

ポートセキュリティー機能の設定

port-security enable

許可MACアドレスの登録

port-security mac-address

セキュリティー違反時の動作の設定

port-security violation

ポートセキュリティー情報の表示

show port-security status

5. コマンド実行例

5.1. アクセスする端末を制限

許可された端末のみ通信ができるように、MACアドレスを手動で設定します。

  1. LANポート #1 で、ポートセキュリティーを有効にします。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#port-security enable
  2. 許可したいMACアドレスを登録します。

    Yamaha(config)#port-security mac-address 00A0.DE00.0001 forward port1.1 vlan 1
    Yamaha(config)#port-security mac-address 00A0.DE00.0002 forward port1.1 vlan 1
  3. ポートセキュリティー情報を確認します。

    Yamaha#show port-security status
     Port      Security  Action     Status    Last violation
     --------- --------- ---------- --------- ---------------------
     port1.1   Enabled   Discard    Normal    00A0.DE00.0003
     port1.2   Disabled  Discard    Normal
     port1.3   Disabled  Discard    Normal
     port1.4   Disabled  Discard    Normal
     port1.5   Disabled  Discard    Normal
     port1.6   Disabled  Discard    Normal
     port1.7   Disabled  Discard    Normal
     port1.8   Disabled  Discard    Normal
     port1.9   Disabled  Discard    Normal
     port1.10  Disabled  Discard    Normal

6. 注意事項

  • 不正アクセス検知によりシャットダウンしたポートを復旧させたい場合は、 no shutdown コマンドを用いてください。
    show port-secutiry status コマンドのステータスは、ポートがリンクアップするまでNormal状態に戻りません(Shutdown状態のまま)。

  • port-security mac-address コマンドで誤ったポートを指定した場合、通信および違反フレーム検知が正しく行われません。

7. 関連文書

特になし