シスコスイッチ 機械操作の基本メモ1

ここでの基本とは

POST: PortASIC CAM Subsystem Tests : Begin
POST: PortASIC CAM Subsystem Tests : End, Status Passed

POST: PortASIC Port Loopback Tests : Begin
POST: PortASIC Port Loopback Tests : End, Status Passed

の文字を読みましょう、という時点から。基本もスタートライン以前です。


#バージョン情報の参照
モデル名
フィーチャー
OSバージョン
ROMバージョン
起動後の経過時間
ブート時に使用したOSファイル名とOSファイルの所在
CPU+DRAMサイズ
シリアルNo.
VLAN数
インターフェース数
商品品番
Ciscoによるブート時の動作指定値(こんふぃぎゅれーしょんれじすた)

#カレントな設定情報
設定ファイルサイズ
OSバージョン
忘れると致命傷な service password-encryption

#インターフェース
show interfaces status
ip default-gateway いくつ
banner motd しゃープ

デフォルト mdx auto
interface range

cle mac- dyn
を投げてもさっぱり消えないmacがあるので何かと思ったら Windows PCが Simple Service Discovery Protocol をまき散らしていた。マルチキャストの 239.255.255.250。ncpa.cpl な設定の中には、SSDPを除外できそうな項目が無い。そこでアヤシそうなプログラムをひとつアンインストールしてみたら、それはSSDPとは無関係で、しかもWiresharkのデータ解析に使う(Wiresharkそのものではない)ツールだった。無知は愚か、知らないのにやらかすのはよりいっそう愚かだ。

さておき clear mac-address-table の続き。

L2(config)#mac address-table static  macm.acma.cmac vlan 1 interface FastEthernet ?
  <0-0>  FastEthernet interface number


16ビットどっと区切りのVLAN-INTの書式。永続的にキャッシュなんてよっぽど特殊なケースでしかやらんと思うがこれも私が無知なだけの可能性は大。

また、無知誤用な私にはニーズが見えないagingタイム変更。存在しないVLANに対しても設定は入るようだが、試しているのは昔の機器なので今はどうか知らない。

L2(config)#mac address-table aging-time 299 vlan 2


ポートセキュリティは

手動式
制限付き自動式
べとべと式

の3つ。うしろ2つの違いは、copy run starで再起動後に持ち越せるかどうか、と、エージングタイムが無期限になるかどうか。如何せん無知で思考が硬直なので、これらの活用シーンの想像に苦しむ。

無期限の場合はともかくとして、エージングタイムは0-1440分。

それから、上限数はVEN毎のVLAN毎に決まっているらしいがそもそも、VEMって何だ!? な低次元でどうやら

Virtual Ethernet Modul

であるようだ。Nexus系では Virtual Supervisor Module という概念もある。詳しくはしすこ本家のコレで。
http://www.cisco.com/cisco/web/support/JP/docs/SW/DCSWT/Nex1000VSWT/CG/030/b_Cisco_Nexus_1000V_Security_Configuration_Guide_2_1_1_chapter_01011.html?bid=0900e4b182eb8de0

デバイスあたりの上限は8192で、インターフェース毎のでふぉると最大数は1、VLANあたりはでふぉるとの最大数が無いとのこと。VLANの最大数設定はトランクでないと無意味ともある。

まだ、利用シーンが見えない超低次元。あるいは、コルセンのような端末がガッチリ決まっている場所なら有用であるだろうか。


違背冒涜モード(ヴぁいおれーしょんモード）においては


防護
制限
閉鎖

の3つ。前の2つの違いはSNMPトラップ/syslogがあるかどうか、後ろの2つの違いは、ポートを閉める(errdisable)かどうか。


次に、設定のシゴトについて。

L2(config-if)#switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode
  <cr>

L2(config-if)#switchport port-security
Command rejected: FastEthernet0/3 is a dynamic port.
L2(config-if)#

どうも私が、概念自体ろくにわかっていないか、とてつもなく浅はかであるようで。


(config-if)#switchport port-security mac-address ?
  H.H.H   48 bit mac address
  sticky  Configure dynamic secure addresses as sticky

でふぉは制限付き自動式、このでふぉは、switchport access を設定した後のでふぉ!? ということかもしれない。これを確認するには、アクセスポートの下にリピータHUBをぶら下げて端末2台つないでみればいいか。ああ面倒くさい。
 
と、ここで。端末1台としてCentOS機のほうをリピータHUBにぶら下げてみたのだが、ブートが遅い遅い。

さておき、 端末2台をぶら下げてみたが、2台ともL2越しのでふぉげルータにpingが通る。ダイナミックでインターフェース毎最大がデフォ1ならが1台しかつながらない状況でありそうなものだがそうではない。しかしここで、

switchport mode access

の入力をしていないことに気づいて試したところ

L2(config-if)#switchport mode access
Nov 24 17:39:22.707: PSECURE: psecure_port_dtp_modechange invoked

 invoke the protection of…

で何やら切願されてしまったようだ。また、この状態でpingは2台とも通ったままだ。

L2#show port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 6272

何も検出していない。当該ポートにポートセキュリティの最大数をあらためて設定してみても、

L2(config-if)#switchport port-security maximum 1
L2(config-if)#end
L2#
Nov 24 17:49:53.466: PSECURE: Max addresses per port = 6272
Nov 24 17:49:53.466: PSECURE: Max addresses per port = 6272

 ポート毎の最大は6272ですよというログが。デフォが1でなければ、最大数1の設定もできない?? そんなわけもないのでこちらさま。

Office N-Studyhttp://www.n-study.com/network/2011/10/post_127.html

「restrictのモードは、イーサネットフレームを破棄して、セキュリティ違反があったことをログに残します。」

先の時点ではヴぁいおれーしょんを設定していなかったので、

L2(config-if)#switchport port-security violation restrict

追加。すると


PSECURE: Initializing port-secure sub block
PSECURE: Violation mode is: 1
%SYS-5-CONFIG_I: Configured from console by console
PSECURE: psecure_get_next_mac_from_hat: returning NULL on Fa0/3

from_hatがわからないが、エラーはあがるもののPC2台のPingは落ちない、という状況。

あるいは、時系列的に設定変更以前からのトラフィックだから? んなわけがあるかと思って両PCのLANケーブルを一時抜いてみたが、再び挿すと2台ともPingが通る。また、この際にL2において

#show debug
Port Security:
  All Port Security debugging is on

であるにも関わらず、何らログメッセージが生じない。設定が無効としか思えないが、先のログのように一部の PSECURE: はあがってくる。無効ではない、不完全だということか。ここで

switchport port-security

を再度設定すると、2台のうち1台が Destination Host Unreachableとなった。つまり、

switchport access # vlanは指定しない
switchport port-security

を設定した後、violationを設定して相応の結果になる、ということのようだ。また、この時点においてlog上では


PSECURE: swidb = FastEthernet0/3 mac_addr = PC2のMACアドレス vlanid = 1
PSECURE: Adding 0023.8ba0.35a7 as dynamic on port Fa0/3 for vlan 1
PSECURE: Violation/duplicate detected upon receiving PC2のMACアドレス on vlan 1: port_num_addrs 1 port_max_addrs 1 vlan_addr_ct 1: vlan_addr_max 65535 total_addrs 0: max_total_addrs 6272
PSECURE: Security violation, TrapCount:68
PSECURE: Read:69, Write:70

 延々とこれを吐きまくる。debugを止めていないのか? と思ったが、show debugには何もなく、restrict を protect に変更しても吐き続ける。それどこか、ポートセキュリティによって拒否されたPC2のLANケーブルを切り離してもまだ。

当然、この時点では mac-address-tableにはのってない。それでも、

%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address PC2のMACアドレス on port FastEthernet0/3.

をおよそ6秒毎に、えんえんと吐き続ける。あるいは、arpテーブルが消えるまで待ってみるか。といっても、

ARP type: ARPA, ARP Timeout 04:00:00

なので、本当に待っているわけにはいかない。これはあらためて。


それから、いーじすさんの設定例中には

L2(config-if) # switchport port-security aging time 30
L2(config-if) # switchport port-security aging type inactivity

inactivity は an inactive volcano や an inactive member というように使われるようで、ここでは不活性後30分、ということかと。おそらくたぶん。