pfsenseポート-Macを1にセキュリティ制限(任意のMacを許可)
ポートセキュリティを使用してHPProcurveルーター(25xxおよび26xx)をセットアップしようとしています。目標は、クライアントデバイスとルーターを許可することです。ただし、ブリッジモードのスイッチ、AP、またはルーターを禁止します。これは、次の方法で実行する必要があります。
- 常にMACをスイッチポートごとに1つに制限します
- すべてのMACが許可されます(一度に1つだけである限り)
- デバイス/ MACはいつでも変更できます
まだ試していません。しかし、これはWebインターフェイスセキュリティ->ポートセキュリティ(または同様のcliコマンド)でこれを行うことで達成されますか?
learn-mode: static
address-limit: 1
Violation Action: none
ポートが1つのMACに制限されると確信しています。しかし、ユーザーが別のデバイスに変更したときに、それは「静的」に記憶されますか?
ソリューション、バージョン2で更新
学習モードである必要があります:制限付き-連続。アクション:なし
それはうまく機能します。これは、CLIから複数のポートに対して一度に実行できます。ポート1〜23の次の行:
port-security 1-23 address-limit 1 learn-mode limited-continuous action none
Limited-Continuousについて: http://h30499.www3.hp.com/t5/Switches-Hubs-Modems-Legacy-ITRC/port-security-learn-mode-limited-continuous/td-p/5179211 #.Vd3CL5ej_1Q
'limited-continuous'が指定されている場合、このポートで最初に聞こえた 'address-limit'送信元MACアドレスが許可されたアドレスになります。新しい許可されたアドレスが学習されると、それらはテーブルに保存されます。テーブルが「アドレス制限」に達すると、ポートで受信された新しい送信元MACアドレスは侵入を構成します。このモードで許可されたアドレスはシステムから期限切れになるため、許可されたアドレスのリストは時間の経過とともに動的になる可能性があります。
マニュアルの9-10ページには、次のように記載されています。これは、MACアドレスの制限に達し、手動でフラッシュされるまで記憶されることを意味します。
静的学習モード(learn-mode static)のポートは、後でスイッチを再起動したり、そのポートのポートセキュリティを無効にしたりしても、学習したMACアドレスを保持します:
ドキュメントから:
ポートが設定されたアドレス制限に達するまで、ポートが他の指定されていないデバイスを受け入れることを許可しながら、ポートに対して特定のデバイスを許可できます。
これにより、ポート制限を1に設定して、意図したとおりに動作させることができると思います。
ただし、この文:
ポートは、アドレス許容量の残りを自動的に学習するMACアドレスで埋めます
反対を信じるように私を導きます。これはおそらく混乱が生じているところです。 私のアドバイスは、1つのポートにセットアップして試してみて、何が起こるかを確認することです。そうすれば、決定的な答えが得られます、このあいまいさはかなり厄介です。