目次
ポートセキュリティ設定
特徴
ポート セキュリティ機能は、メッセージの送信元 MAC アドレスを使用して、メッセージがスイッチのポートに入ることができるかどうかを制限し、特定の MAC アドレスを静的に設定するか、限られた数の MAC アドレスを動的に学習することによって、メッセージがポートに入ることができるかどうかを制御できます。アドレス。ポートセキュリティ機能が有効になっているポートをセキュリティポートと呼びます。
ポートでポート セキュリティ機能が有効になると、ポート セキュリティ アドレス テーブルで設定または学習された送信元 MAC アドレスを持つパケットのみが通信のためにスイッチに入ることができ、他のパケットは破棄されます。また、ポート セキュリティ アドレスを IP+MAC にバインドするか、IP のみをバインドするように設定して、スイッチ通信に入る送信元 MAC アドレスとしてバインドされたポート セキュリティ アドレスと一致する必要があるパケットを制限することもできます。
注: ポート セキュリティ機能をサポートしているのは、RSR10-02E、RSR20-04E、RSR20-14E/F 10.4 (3b12) 以降のバージョンのみです。RSR10-02/01G、RSR20-04/14/18/24シリーズはこの機能に対応していません。
アプリケーションシナリオ
企業のネットワークセキュリティに対する要求は比較的高く、特定のMACアドレス(IPアドレスは任意に設定可能)を持つコンピュータのみがインターネットにアクセスできるようにするため、ルータでポートセキュリティ機能を有効にすることができます。
1. ネットワーク要件:
PC1 (IP: 192.168.1.1、MAC: 0021.CCCF.6F70) は F1/0 スイッチ ポートにのみ接続でき、IP+MAC アドレス バインドを行う必要があります。このポートに接続されている他のコンピュータは接続できません。コミュニケーションをとること;
F1/1 ポートは、MAC アドレスが aaaa.aaaa.aaaa で IP アドレスが制限されていない PC にのみ接続できる必要があり、他の MAC アドレスを持つ PC はこのポートを介して接続できません。
2. ネットワークトポロジ:
3. 構成のポイント:
1. ルーター上にユーザーゲートウェイのアドレスを作成します。
2. F1/0 ポートでポート セキュリティ パラメータを設定します。
3. F1/1 ポートでポート セキュリティ パラメータを設定します。
注: 10.4 (3b12) および 10.4 (3b12) p1 バージョンの「switchport port-security minimum 」機能は、ip+mac バインディング エントリ内の MAC 数を最大数にカウントしません。たとえば、静的 IP+MAC バインディングと最大 1 が設定されている場合でも、ポートは動的 MAC を学習できます。ポートの下で 1 人の固定 IP+MAC バインディング ユーザーのみにアクセスできることを実現したい場合は、グローバル IP+MAC バインディングと、ポートの下の MAC バインディング + 最大値を使用して、次のことを実現できます。
アドレスバインド xxxx HHH
インターフェイス高速イーサネット 0/0
スイッチポート ポートセキュリティ MAC アドレス HHH
スイッチポート ポート セキュリティ最大 1
スイッチポートのポートセキュリティ
10.4(3b12)p1 以降のバージョンには、この制限はありません。
4. 設定手順
1. ルーター上にユーザーゲートウェイのアドレスを作成します。
Ruijie(config)#インターフェイス vlan 1
Ruijie(config-if-VLAN 1)#ip アドレス 192.168.1.254 255.255.255.0
2. F1/0 ポートでポート セキュリティ パラメータを設定します。
Ruijie(config)#インターフェイス fastEthernet 1/0
Ruijie(config-if-FastEthernet 1/0)#switchport port-security binding 0021.CCCF.6F70 vlan 1 192.168.1.1 //vlan1 に属する PC を MAC アドレス 0021.CCCF.6F70 および IP アドレス 192.168.1.1 に関連付けます Bind F1/0インターフェースへ
Ruijie(config-if-FastEthernet 1/0)# switchport port-security minimum 1 //このポートが 1 つの MAC エントリのみを学習できるように指定します
Ruijie(config-if-FastEthernet 1/0)#switchport port-security //このポートのポートセキュリティ機能を有効にする
3. F1/1 ポートでポート セキュリティ パラメータを設定します。
Ruijie(config)#interfac fastEthernet 1/1
Ruijie(config-if-FastEthernet 1/1)#switchport port-security mac-address aaaa.aaaa.aaaa //MACアドレスがaaaa.aaaa.aaaaの端末をF1/1インターフェースに設定
Ruijie(config-if-FastEthernet 1/0)# switchport port-security minimum 1 //このポートが 1 つの MAC エントリのみを学習できるように指定します
Ruijie(config-if-FastEthernet 0/2)#switchport port-security //ポートセキュリティ機能を有効にする
5. 構成の検証
ルータ上で show port-security address コマンドを実行すると、バインドされて有効になったアドレス エントリを確認できます。
6. 付録
1. ルーターポートのセキュリティは、IP+MAC バインディングと MAC バインディングのみに分割されます。
これは次のコマンドで実行します。
Ruijie(config-if-FastEthernet 0/1)#switchport ポートセキュリティ バインディング ?
IPアドレス IPアドレス
HHH 48 ビットのハードウェア アドレス
たとえば、IP+MAC をバインドするには、次のコマンドを使用できます。
Ruijie(config-if-FastEthernet 0/1)# switchport port-security binding 0021.CCCF.6F70 vlan 1 192.168.1.1
MAC バインディングのみを行う場合は、次のコマンドを使用して実現する必要があります。
Ruijie(config-if-FastEthernet 0/1)#switchport port-security mac-address 0021.CCCF.6F70
2. IP+MAC バインディングまたは IP バインディングのみが設定されている場合でも、スイッチはダウンリンク ユーザーの MAC アドレスを動的に学習します。
たとえば、次のコマンドはスイッチ ポートにバインドされます。
Ruijie(config-if-FastEthernet 0/1)#switchport ポートセキュリティ バインディング1414.4b19.ecc1 vlan 1 192.168.1.1
Ruijie(config-if-FastEthernet 0/1)#switchport ポートセキュリティ
この時点で、構成を次のように表示します。
Ruijie#show ポートセキュリティアドレス
VLAN Mac アドレス IP アドレス タイプ ポート 残り時間 (分)
---------- --------------- ----------------------------- --------- ---------- -------- -------------
1 1414.4b19.ecc1 192.168.1.1 構成済み Fa0/1 -
ユーザーがアクセスした後も、スイッチはユーザーの MAC を動的に学習します。
Ruijie#show ポートセキュリティアドレス
VLAN Mac アドレス IP アドレス タイプ ポート 残り時間 (分)
---------- --------------- ----------------------------- --------- ---------- -------- -------------
1 1414.4b19.ecc1 ダイナミック Fa0/1 -
1 1414.4b19.ecc1 192.168.1.1 構成済み Fa0/1 -
IP+MAC バインディングを有効にするか、MAC バインディングのみを有効にする場合は、まずポートにユーザーの MAC アドレスを安全に学習させる必要があります。たとえば、次の設定が行われた場合、192.168.1.2 のユーザーはインターネットにアクセスできなくなります。
インターフェイス ギガビットイーサネット 0/1
スイッチポート ポートセキュリティ MAC アドレス 1414.4b19.0000 vlan 1
スイッチポート ポートセキュリティ バインディング 1414.4b19.ecc1 vlan 1 192.168.1.2
スイッチポート ポート セキュリティ最大 1
スイッチポートのポートセキュリティ
その理由は、許可される MAC アドレスの最大数が 1 で、アドレス 1414.4b19.0000 がバインドされているため、ポート セキュリティが MAC アドレスを学習できず、ポート セキュリティの IP+MAC (または IP) バインディングが必要であるためです。ポートのセキュア MAC アドレスを最初に学習するため、192.168.1.2 のユーザーは解放できません。ユーザーにインターネットへのアクセスを許可したい場合は、ユーザーの MAC をバインドすることでこれを実現できます。
インターフェイス ギガビットイーサネット 0/1
スイッチポート ポートセキュリティ MAC アドレス 1414.4b19.ecc1 vlan 1
スイッチポート ポートセキュリティ MAC アドレス 1414.4b19.0000 vlan 1
スイッチポート ポートセキュリティ バインディング 1414.4b19.ecc1 vlan 1 192.168.1.2
スイッチポート ポート セキュリティ最大 2
スイッチポートのポートセキュリティ
概要: MAC または IP+MAC バインディングが設定されている場合は、ポート セキュリティ MAC バインディングの条件も満たされる必要があります。
3. 一部のポートにポートセキュリティ(ポートMACバインディング)が設定されているが、一部のポートにポートセキュリティが設定されていない場合、たとえば、ポート1にポートセキュリティバインディングを設定しているユーザはPC1で、他のポートは設定されていない港のセキュリティのために。この場合、PC1 はポート 1 に接続されている場合はインターネットにアクセスできますが、他のポートに接続されている場合はインターネットにアクセスできません。
4. スイッチの一部のポートにはポート セキュリティ (ポート IP+MAC または IP バインディング) が設定されているが、一部のポートにはポート セキュリティが設定されていない場合。PC1 は、ポート 1 に接続されている場合はインターネットにアクセスでき、他のポートに接続されている場合もインターネットにアクセスできます。つまり、ポート セキュリティの MAC アドレス バインドがユーザーのアクセスを決定する重要な要素となります。