Cisco 841M J シリーズは、Catalyst スイッチのレイヤ 2 セキュリティ機能であるポート セキュリティをサポートします。あるポートでポート セキュリティを有効にすると、そのポートを通過できる MAC アドレスの数が制限されるため、MAC アドレス フラッディング攻撃や DHCP 消耗攻撃などのセキュリティ リスクを軽減できます。ポート セキュリティには、スタティックなポート セキュリティ（MAC アドレス フィルタリング）とダイナミックなポート セキュリティがあります。

• スタティックなポート セキュリティ：特定のポートにアクセスできるデバイスを限定できます。
• ダイナミックなポート セキュリティ：特定のポートにアクセスできる最大デバイス数を限定できます。

【メモ】
事前に、クライアントの MAC アドレスを確認する必要があります。たとえば Windows の場合、コマンド プロンプトで ipconfig /all コマンドを実行すると確認できます。確認方法の詳細は、それぞれのクライアント OS や機種のマニュアルを参照してください。

スタティックなポート セキュリティの設定方法

ステップ①：CLI にアクセスしてログイン、グローバル コンフィギュレーション モードに移行

Router#configure terminal

ステップ②：特定のポートにアクセスできるデバイスの MAC アドレス（セキュア MAC アドレス）を設定

Router(config)#mac-address-table secure 68bd.ab0e.bbb3 GigabitEthernet 0/0 vlan 1

【メモ】
この入力例では、VLAN 1 に所属する GigabitEthernet 0/0 にアクセスできるデバイスを、MAC アドレス 68bd.ab0e.bbb3 のデバイスに限定しています。必要に応じてコマンド入力をくり返し、MAC アドレスを追加してください。

【注意】
MAC アドレスは入力例のように、4 桁ごとにピリオドで区切り、英字は小文字で入力してください。たとえば、Windows で 8C-89-A5-84-96-36 と表示される MAC アドレスは、8c89.a584.9636 と入力します。

ステップ③：設定を確認

Router(config)#end
Router#show mac-address-table
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
00f2.8b3c.cae0 Self 1 Vlan1
68bd.ab0e.bbb3 Secure 1 GigabitEthernet0/0
8c89.a584.9636 Secure 1 GigabitEthernet0/0

Router#

【メモ】
この入力例では、GigabitEthernet 0/0 にアクセスできるデバイスが MAC アドレス 68bd.ab0e.bbb3 および 8c89.a584.9636 のデバイスに限定されていることが確認できます。

ダイナミックなポート セキュリティの設定方法

ステップ①：CLI にアクセスしてログイン、グローバル コンフィギュレーション モードに移行

Router#configure terminal

ステップ②：特定のポートにアクセスできる最大デバイス数を設定

Router(config)#mac-address-table secure maximum 10 GigabitEthernet 0/0

【メモ】
この入力例では、GigabitEthernet 0/0 にアクセスできる最大デバイス数を 10 に限定しています。

ステップ③（オプション）：MAC アドレス テーブルにスタティック アドレスを登録

Router(config)#mac-address-table static 68bd.ab0e.bbb3 interface GigabitEthernet 0/0 vlan 1
Router(config)#mac-address-table static 8c89.a584.9636 interface GigabitEthernet 0/0 vlan 1

【メモ】
通常、MAC アドレス テーブルには、ルータが学習した MAC アドレスが自動的に登録されます（ダイナミック アドレス）。ダイナミック アドレスは、使用されなくなった時点で MAC アドレス テーブルから消去されます（期限切れ）。
特定の MAC アドレスをスタティック アドレスとして登録することで、期限切れにならず、その MAC アドレスをルータが保持し続けることができます。
ダイナミックなポート セキュリティでは、特定のポートにアクセスできる最大デバイス数が登録されたスタティック アドレス数よりも大きい場合、ルータは、指定された最大値になるまで MAC アドレスを自動的に学習します。特定のポートにアクセスできる最大デバイス数が登録されたスタティック アドレス数よりも小さい場合、ルータは、エラー メッセージを生成します。

ステップ④：設定を確認

Router(config)#end
Router#show mac-address-table
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
00f2.8b3c.cae0 Self 1 Vlan1
68bd.ab0e.bbb3 Static 1 GigabitEthernet0/0
8c89.a584.9636 Static 1 GigabitEthernet0/0
0025.00ab.3242 Dynamic 1 GigabitEthernet0/0
0025.dc43.8ca2 Dynamic 1 GigabitEthernet0/0
00a0.968d.e122 Dynamic 1 GigabitEthernet0/0
108c.cfce.8b59 Dynamic 1 GigabitEthernet0/0
5c83.8f75.98f3 Dynamic 1 GigabitEthernet0/0
bc16.f5db.2530 Dynamic 1 GigabitEthernet0/0
bc5f.f4b8.f9a0 Dynamic 1 GigabitEthernet0/0
cc08.8d7a.aed7 Dynamic 1 GigabitEthernet0/0

Router#

【メモ】
この入力例では、GigabitEthernet 0/0 にアクセスできる最大デバイス数が 10 に限定されていることが確認できます。2 つはスタティック アドレスのデバイス、残り 8 つはダイナミック アドレスのデバイスです。

ポート セキュリティの解除方法

• 特定のセキュア MAC アドレスを消去

Router#clear mac-address-table secure xxxx.xxxx.xxxx

• すべてのセキュア MAC アドレスを消去

Router#clear mac-address-table secure

【メモ】
すべてのセキュア MAC アドレスを消去することで、スタティックなポート セキュリティが解除されます。

• 特定のスタティック MAC アドレスを消去

Router#clear mac-address-table static xxxx.xxxx.xxxx

• すべてのスタティック MAC アドレスを消去

Router#clear mac-address-table static

• すべてのダイナミック MAC アドレスを消去

Router#clear mac-address-table dynamic

【メモ】
すべてのスタティックおよびダイナミック MAC アドレスを消去することで、スタティックおよびダイナミックなポート セキュリティが解除されます。