2015年11月16日
このエントリーをはてなブックマークに追加
以下のような要件でした。
セグメントAに所属している機器がDHCPで運用されています。そしてその端末については、Bセグメントへの通信を許可したい。そしてそれ以外のセグメントAの機器は、セグメントBへの通信は禁止したい。

端末に対して、静的なIPアドレスを付与することができれば、Access-Listなどで制御が可能なので、相当柔軟に作業できます。しかしそのIPと同じアドレスを他の機器に設定してしまえば、簡単にこのフィルターを突破することができてしまいます。もちろんその方が都合がいいことも多いと思いますが、今回はそれでは困る環境でした。

そこで、今回はMACアドレスの学習方法を設定することによって解決しました。ようするにマックアドレスでの制御ですね。

特定の端末のみ通信をさせたいセグメントBは、Port1 を利用していました。そのため、以下のように設定します。
port-security 3 learn-mode static
port-security 3 address-limit 2
port-security 3 mac-address [機器AのMacアドレス] ・・・セグメントBにあるサーバーも登録する必要があります。
port-security 3 mac-address [機器BのMacアドレス] ・・・セグメントAにある機器を登録

ポート事に通信を許可するMacアドレスを指定できるようです。もし複数のポートで同じ機器のMacアドレスを学習させる必要がある場合には、 Port-List なども指定できるようです。


stock_value at 17:20│Comments(0)TrackBack(0)技術:2015年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔