風邪で喉と頭がガンガンいってますが せっかく会社の休憩時間つぶして作ってきたのでアレです。 ①攻撃の種類と対処 　（１）MACアドレスフラッディング 　　【内容】 　　送信元MACアドレス偽装 　　　→　SwitchのMACアドレステーブルが飽和 　　　　→　本来の送信フレームがフラッディング 　　【対処方法】 　　　①port-security 　　　②VLANフィルタマップ 　（２）VLANホッピング 　　【内容】 　　通常： 　　　スイッチに接続　→　トランクリンク確立 　　2重タグ付け： 　　　＜native vlan のヘッダ　＋　他のVLANのヘッダ　＋　データ＞ 　　　⇒スイッチはnativeのヘッダを確認 　　　　→nativeなので、取り外して転送 　　　　→転送先スイッチでは、【他のVLANのヘッダ　＋　データ】を見るので、 　　　　　その【他のVLAN】宛てのものだと思いこむ 　　　　→その結果、間接攻撃が可能となる 　　【対処方法】 　　　①未使用ポートを全てaccessポートにする（デフォルトではtrunk） 　　　②未使用ポートを全てshutdown 　　　③未使用VLANをポートにマッピング 　　　④native vlanをデータVLANと区別する（nativeが1なら、他のクライアントの所属をVLAN 2～にする） 　　　⑤switchport nonegotiate 　　　⑥switchport allowed vlan ～で許可VLANを限定 　　（３）DHCPスプーフィング 　　　【内容】 　　　　1.DHCPリクエストに対して、偽のデフォルトゲートウェイ、DNSのアドレスで応答 　　　　2.以後、その偽物を教えられたクライアントは、そこに向かってデータ送信 　　　【対処方法】 　　　　・DHCPスヌーピング 　　　　　　このへん参照 　　　　・ルートガード 　　　　　　(config-if)# spanning-tree guard root 　　　　・DAI(Dynamic ARP Inspection) 　　　　　　詳しくはこのへん参照 　　　　・各ポートに信頼状態を対応付ける 　　　　　　⇒　ホストは信頼×、Switchは信頼○ 　　　　・信頼できないポートの着信をチェックして、破棄なり。 ②port-securityの設定 　(config-if)#switchport mode access 　(config-if)#switchport port-security 　(config-if)#switchport port-security mac-address 0000.0000.0000 　　//静的にMACアドレスを登録 　(config-if)#switchport port-security mac-address sticky 　　//スティッキーラーニングを有効 　　//stickyは、接続⇒学習⇒staticだと見なして、running-configに保存 　　//再起動で消えるが、その前にcopy run startしておけば手動登録と全く同じ 　　//また、stickyラーニングしたものは、show runにて、 　　//　switchport port-security mac-address sticky 0000.0000.0000 　　//　のように表示される 　(config-if)#switchport port-security maximum 5 　　//↑では最大で5個までMACアドレスを覚えることに。未記入（デフォ）で1。 　(config-if)#switchport port-security violation shutdown 　　//shutdownがデフォ。protect > restrict > shutdownの順に強化 　(config-if)#switchport port-security aging time 10 　　//MACアドレステーブルの保持時間を「10分」。↑1行省略で、0＝永続 　(config-if)#switchport port-security aging type inactivity 　　//inactivity：「最後に接続されてから」、または、absolute「設定されてから」 　(config-if)#switchport port-security aging static 　　//静的に学習したMACアドレスに対して。↑でいう、0000.0000.0000.0000 ③AAA（認証・認可・アカウンティング） 　まず、以下の3点が必要： 　　①認証サーバ（RADIUS、TACACS+など）が必要 　　　※なお、IEEE802.1xではRADIUSのみサポート 　　②Supplicant（クライアント） 　　③Authenticator（スイッチ） 　　 　設定は以下の通り： 　*------------------* 　(config)#aaa new-model 　(config)#radius-server host 192.168.1.1 key abc 　　//認証サーバのIP(192.168.1.1)と、サーバへのアクセスキー(abc)設定 　　//radius-serverとtacacs-serverを選択 　　//以下、ログイン時認証 　(config)#aaa authentication login default enable krb5 　　//認証リスト作成。ここではenableパスワードでログインを試みるが、出来ない場合はKerberos 5での認証を試みる 　(config)#login authentication default 　 　//続いてポートベース認証 　(config)#dot1x system-auth-control 　(config-if)#switchport mode access 　　//access、voice vlan、ルーテッドポートにのみ、認証を設定できる 　(config-if)#dot1x port-control force-authorized 　　//①force-authorized（デフォ）、②force-unauthorized、③autoから選択 　　//　①ポートベース認証を無効 　　//　②認証させず、無許可ステートに。送受信不可。 　　//　③当初無許可⇒EAPOLのみOK⇒それが認証突破⇒以後許可ステート 　*------------------* 　 　無許可ステート： 　EAPOL、CDP、BPDU（STPのアレ）は、無許可ステートでも許可される 　 　動作確認： 　#show dot1x all 　　とか、 　#debug dot1x packets 　　など。 　 　動作や設定の詳細については、こっちが圧倒的に分かり易いので参照のホド。 ---------- 残すところは黒本第八章的にはあと1/3。 項目的には、VLANアクセスマップ、プライベートVLAN、 BPDUガード、フィルタリング、 ルートガード、ループガード、UDLD。 後半はSpanning-treeとも大いに関係していますね。 ping-tでもその辺で出てきていたような。 とにかく、身体で覚えることですねー。 地震以後の日本国、苦労している方々も大勢いる中、 こんな安穏とした北の大地で風邪なんぞに負けてはいられません。 つか、子どもにうつったら大変だ('A`;;; わかっちゃいるんだけども、ついつい遊んでしまう罠。なんというトラップ。 ふと貼ってみるジミーサム。 彼の楽曲はホントにすごいと思うんですよ。 札幌のapple storeにてトークショー？あったとき、わざわざ観に行ったんだぜ……！