[CCNA]トラブル時が学び時[シュミレーター学習] part 3


[CCNA]トラブル時が学び時[シュミレーター学習] part 3

シュミレーターを操作していて筆者が実際に遭遇した(またはしやすい)トラブルを紹介し、原因と解決策を解説していきます。CCNAのシュミレーション問題では設定された条件下で発生したトラブルの原因をshowコマンドで探り、解決策を答える問題が出題されます。そのシナリオ問題の対策の一助となればとの思いで全4回に渡って執筆していきます。

第3回の今回はスイッチのポートセキュリティについてです。


[トラブル]

PC1のみの通信を許可するためPC1が繋がっているインターフェイスのポートセキュリティを有効化した。しかし、同じインターフェイスに別のPC2を繋いだところ通信ができてしまった。ポートセキュティが動作しない原因として考えられるものを選びなさい。

[選択肢]

  1. 対象のインターフェイスをaccessポートに設定していないため、ポートセキュリティが有効化されなかった。
  2. インターフェイスに登録されたPC1のMACアドレスを記憶していなかった。
  3. インターフェイスに新たに繋いだPC2のMACアドレスも自動登録され許可してしまった。
  4. ポートセキュリティの動作モードをprotectにし忘れてしまったため、通信を許可してしまった。

switch1#show interfaces fastEthernet 0/1 switchport
Name: Fa0/1
Switchport:Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q

(以下略)


switch1#show port-security
Secure Port    MaxSecureAddr    CurrentAddr   SecurityViolation Security Action
–                         (Count)              (Count)            (Count)
——————————————————————————————————
Fa0/1                                1                    1                         0         Shutdown
——————————————————————————————————
Total Address in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192


switch1#show port-security mac-address
Secure Mac Address Table
——————————————————————————————————
Vlan       Mac Address          Type                Ports         Remaining Age
–                                                                                              (mins)
——————————————————————————————————
1        001c.f212.2012        SecureDynamic     Fa0/1         –
——————————————————————————————————
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024



どの選択肢もトラブルの原因として考えられそうです。

1の選択肢は「show interfaces fastEthernet 0/1 switchport」で確認できます。
ポートセキュリティを有効にするにはモードをaccessかtrunkにする必要があります。
今回はstatic accessとなっているため手動でaccessポートに設定していることが確認できます。従ってトラブルの原因ではないので誤りです。
2と3選択肢は「show port-security mac-address」で確認しましょう。
typeの欄に「SecureDynamic」とあるので、MACアドレスを記憶する設定になっていないことがわかります。そのためPC1のMACアドレスは消去され、新たに繋いだPC2のMACアドレスを登録していると推測がつきます。従って2 の選択肢が正解です。
3の選択肢では設問で「通信ができた」といっているので、登録されているMACアドレスはPC2のものだと推測できます。
typeの欄に「SecureDynamic」とあるので、自動登録されることは正しいですが、ポートセキュリティが動作しないのはPC1のMACアドレスを記憶させていないことが原因であるため、最適な選択肢とは言えません。
記憶するMACアドレスの限界値を2にすることでPC1,PC2両方のアドレスを記憶させることも可能ですが、その場合「show port-security」で表示されるMaxSecureAddrのcountが2になり、「show port-security mac-address」で確認できるMACアドレスも2種類になります。
4の選択肢はポートセキュリティを有効にするとデフォルトで「shutdown」モードになり、またどのモードでも通信は拒否しますので誤りです。

補足:MACアドレスを記憶させるには静的方法と、動的方法があります。
以下のコマンドを使用しましょう。
コマンド

静的
switch1(config-if)# switchport port-security mac-address xx:xx
動的
switch1(config-if)# switchport port-security mac-address sticky

まとめ

ポートセキュリティを有効化したら静的、動的手法でMACアドレスを登録しよう!

次回は第4回「DHCPを使ってIPアドレスを付与したけど、DHCPサーバーに拡張ACLを適用したらDHCPクライアントがアドレスを失効した!」です。
宜しくお願いします。

  • このエントリーをはてなブックマークに追加

PAGE TOP