PR
[画像のクリックで拡大表示]

 セキュアMACアドレスの設定方法に関する設問である。ポート・セキュリティを使う際には,まず(1)インタフェースをアクセス・ポートにし,(2)ポート・セキュリティを有効にする──という二つの設定が必要だ。

 具体的なコマンドの実行手順は次の通り。まず,グローバル設定モードで「interface Fa0/0」と入力し,ポート・セキュリティを有効にしたいインタフェース(ここではFa0/0)のインタフェース設定モードに移行する。そして,「switchport mode access」というコマンドでインタフェースをアクセス・ポートにして,「switchport port-security」コマンドでポート・セキュリティを有効にすればいい(図1の上)。

図1●ポート・セキュリティの設定コマンド<br>基本的に,スイッチのインタフェース設定モードでインタフェースごとに設定する。シスコ製スイッチのポート・セキュリティは,デフォルトではセキュアMACアドレスを動的に学習する。この学習内容は,スイッチの電源を落とすと消えてしまう。「sticky learning」を有効にした後,「running-config」の内容を「startup-config」に保存しておけば,スイッチを再起動しても設定をそのまま使える。<span style="vertical-align:middle;"><img src="bar.jpg" width="40px"></span>はコマンド入力部分。
図1●ポート・セキュリティの設定コマンド
基本的に,スイッチのインタフェース設定モードでインタフェースごとに設定する。シスコ製スイッチのポート・セキュリティは,デフォルトではセキュアMACアドレスを動的に学習する。この学習内容は,スイッチの電源を落とすと消えてしまう。「sticky learning」を有効にした後,「running-config」の内容を「startup-config」に保存しておけば,スイッチを再起動しても設定をそのまま使える。はコマンド入力部分。
[画像のクリックで拡大表示]

 次に,インタフェースに対してセキュアMACアドレスを登録する。このやり方には,動的(ダイナミック)な登録方法と,静的(スタティック)な登録方法がある。

デフォルトでは設定が保存されない

 シスコ製のスイッチでは,初期設定(デフォルト)でダイナミックにセキュアMACアドレスを登録するようになっている。「最初に着信したフレームの送信元MACアドレス一つだけ」をセキュアMACアドレスとして学習するのだ。ダイナミックに学習するセキュアMACアドレスの数を増やしたい場合,「switchport port-security maximum」コマンドで最大値を設定すればいい。

 一方,スタティックな登録方法では「switchport port-security mac-address」コマンドを使って,指定したセキュアMACアドレスだけを許可する(図1の中央)。

 実は以上のような設定をしても,スイッチの電源を落とすとセキュアMACアドレスの登録内容は消えてしまう。シスコ製のスイッチには,現在動作中の設定内容をまとめた「running-config」という設定ファイルがある。running-configはスイッチのRAMに保存されているため,電源を切ると消える。

 スタティックに登録したセキュアMACアドレスは,このrunning-configに記録される。一方,ダイナミックに登録したセキュアMACアドレスは,そもそも設定ファイルに反映されない。この点に関しては,「コマンドとして打ち込んだ内容は,デフォルトで設定ファイルに保存される」と覚えておくといいだろう。ダイナミックに学習されるセキュアMACアドレスは,コマンドとして入力されないので設定ファイルには残らないというわけだ。いずれにせよ,一度登録したセキュアMACアドレスを再起動後も使い続けたい場合は,別途設定が必要となる。

 スイッチの設定ファイルにはrunning-configのほかに,起動時に読み込まれる「startup-config」がある。startup-config はNVRAMに保存されるので,再起動しても消えない。

 つまりスタティックに登録したセキュアMACアドレスの場合,running-configの内容をstartup-configにコピーしておけば,再起動後も使い続けられる。

 一方,ダイナミックに登録したセキュアMACアドレスを再起動後も利用したい場合は,まずrunning-configに設定内容を記録するようにしたうえで,running-configをstartup-configにコピーすればよい。

 そのためには,まずスイッチのインタフェース設定モードで「sticky learning」を有効にする。sticky learningは,ダイナミックに登録したセキュアMACアドレスをrunning-configに記録するための機能だ。具体的には,「switchport port-security mac-address sticky」と入力すればいい。

 さらに,特権モードに移行して,「copy running-config startup-config」と入力すれば,running-configの内容がstartup-configに書き写される(図1の下)。

 以上の内容を基に,選択肢から必要なコマンドを選択すると,解答はa,d,e,fになる。

Webサイトで確認!
スイッチング編 第6回 ポートセキュリティ