2015年11月16日
Tweet
以下のような要件でした。
セグメントAに所属している機器がDHCPで運用されています。そしてその端末については、Bセグメントへの通信を許可したい。そしてそれ以外のセグメントAの機器は、セグメントBへの通信は禁止したい。
端末に対して、静的なIPアドレスを付与することができれば、Access-Listなどで制御が可能なので、相当柔軟に作業できます。しかしそのIPと同じアドレスを他の機器に設定してしまえば、簡単にこのフィルターを突破することができてしまいます。もちろんその方が都合がいいことも多いと思いますが、今回はそれでは困る環境でした。
そこで、今回はMACアドレスの学習方法を設定することによって解決しました。ようするにマックアドレスでの制御ですね。
特定の端末のみ通信をさせたいセグメントBは、Port1 を利用していました。そのため、以下のように設定します。
port-security 3 learn-mode static
port-security 3 address-limit 2
port-security 3 mac-address [機器AのMacアドレス] ・・・セグメントBにあるサーバーも登録する必要があります。
port-security 3 mac-address [機器BのMacアドレス] ・・・セグメントAにある機器を登録
ポート事に通信を許可するMacアドレスを指定できるようです。もし複数のポートで同じ機器のMacアドレスを学習させる必要がある場合には、 Port-List なども指定できるようです。
セグメントAに所属している機器がDHCPで運用されています。そしてその端末については、Bセグメントへの通信を許可したい。そしてそれ以外のセグメントAの機器は、セグメントBへの通信は禁止したい。
端末に対して、静的なIPアドレスを付与することができれば、Access-Listなどで制御が可能なので、相当柔軟に作業できます。しかしそのIPと同じアドレスを他の機器に設定してしまえば、簡単にこのフィルターを突破することができてしまいます。もちろんその方が都合がいいことも多いと思いますが、今回はそれでは困る環境でした。
そこで、今回はMACアドレスの学習方法を設定することによって解決しました。ようするにマックアドレスでの制御ですね。
特定の端末のみ通信をさせたいセグメントBは、Port1 を利用していました。そのため、以下のように設定します。
port-security 3 learn-mode static
port-security 3 address-limit 2
port-security 3 mac-address [機器AのMacアドレス] ・・・セグメントBにあるサーバーも登録する必要があります。
port-security 3 mac-address [機器BのMacアドレス] ・・・セグメントAにある機器を登録
ポート事に通信を許可するMacアドレスを指定できるようです。もし複数のポートで同じ機器のMacアドレスを学習させる必要がある場合には、 Port-List なども指定できるようです。
