そらさん,こんにちわ。 返事遅くなりました。
>ネットワークSEの知り合いも居ないので誰にも聞けないので >ここで戸根さんにお聞きしようと思いました^^;
はい,そういう方,大歓迎です。(^^
>「port security max-mac-count」というコマンドで設定 >する値がいったいどういうものなのかが理解できずに困って
たとえば,誰かが社内LANに侵入しようとしていたとしましょう。 そして,適当にスイッチにつながっているケーブルを外し, そこに侵入用のマシンをつないだらどうなるでしょう。 それまで通信していたものと違うMACアドレスの機器のパケットが流れるはずです。
こうした事態を防ぐとき, ポートにMACアドレスを登録しておき, そのアドレス以外がアクセスしてきたら,ポートを使用禁止にする, という方法が有効です。 でも,実際にこの方法を使おうとすると, 各ポートにMACアドレスを登録しなくてはならないので,大変です。
そこで,MACアドレスを登録せずに,最初にアクセスしてきたアドレスだけ許可し, それ以外のアドレスが来たら,使用禁止にするという方法が考案されました。 そのとき,port security max-mac-countを1にするわけです。
この説明は一つの例ですが,これで雰囲気はわかるでしょう。 要するに,あるポートを利用できるMACアドレス数の上限を設定するのが このコマンドです。
More information about text formats
「このポートに関連付けるMACアドレス数」です
そらさん,こんにちわ。
返事遅くなりました。
>ネットワークSEの知り合いも居ないので誰にも聞けないので
>ここで戸根さんにお聞きしようと思いました^^;
はい,そういう方,大歓迎です。(^^
>「port security max-mac-count」というコマンドで設定
>する値がいったいどういうものなのかが理解できずに困って
たとえば,誰かが社内LANに侵入しようとしていたとしましょう。
そして,適当にスイッチにつながっているケーブルを外し,
そこに侵入用のマシンをつないだらどうなるでしょう。
それまで通信していたものと違うMACアドレスの機器のパケットが流れるはずです。
こうした事態を防ぐとき,
ポートにMACアドレスを登録しておき,
そのアドレス以外がアクセスしてきたら,ポートを使用禁止にする,
という方法が有効です。
でも,実際にこの方法を使おうとすると,
各ポートにMACアドレスを登録しなくてはならないので,大変です。
そこで,MACアドレスを登録せずに,最初にアクセスしてきたアドレスだけ許可し,
それ以外のアドレスが来たら,使用禁止にするという方法が考案されました。
そのとき,port security max-mac-countを1にするわけです。
この説明は一つの例ですが,これで雰囲気はわかるでしょう。
要するに,あるポートを利用できるMACアドレス数の上限を設定するのが
このコマンドです。