Catalyst2960のport security設定について

こんにちは、掲題の件で質問させて頂きます。
質問の内容と状況説明を下記の通りまとめましたので
恐縮ですがご確認よろしくお願い致します。


[使用機器]
Cat2960 12.2(37)SE1

[条件]
・interface Fa0/1と0/2は2台のPC(MAC Address)からのみ接続可能。
・2台のPCはFa0/1と0/2の両Portに接続可能。

～sh run 一部抜粋～
interface FastEthernet0/1
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security mac-address aaaa.aaaa.aaaa
switchport port-security mac-address bbbb.bbbb.bbbb

interface FastEthernet0/2
switchport mode access
switchport port-security maximum 2
switchport port-security


上記条件を満たすにはどのような設定を行えばよいでしょうか？
Fa0/2にmac addressの登録を実施しようとしたところ
"Found duplicate mac-address aaaa.aaaa.aaaa"と弾かれてしまいます。
ご経験者の方がいらっしゃいましたらお手数ですがご教示願います。


以上

No.1 ベストアンサー 回答者： Elgado 回答日時： 2008/02/08 15:41

interface　Fa0/1とFa0/2が同一のVLANだからだと思います。

今の設定は「デフォルトVLANに属するポートには指定したMACのみ許可」となっているんだと。
なので同じデフォルトVLANのFa0/2でFa0/1で記述したMACを設定しようとしても、
「duplicate(→重複)だ」、「そのMACはFa0/1で設定済みだよ」と言われるんだと思います。
今の設定で意図した動きをすると思いますよ。

ただその他のポートについては注意しなければなりません。
デフォルト設定だとFa0/3以降も同じVLANなので、今のままだと全てのポートが
aaaa.aaaa.aaaaとbbbb.bbbb.bbbbしか接続できない事になっているかと。
別VLANを割り当てるなりしてください。

もうちょっと言うと。。。。Port-securityコマンド部分の文法は以下になっています。
switchport port-security mac-address mac-address [vlan vlan-id]
VLAN-IDを指定するオプションがあるところを見ると(最後の所)、VLAN単位にMACアドレスの
縛りを行う事が読みとれます。

No.2 回答者： Elgado 回答日時： 2008/02/08 15:50

No.1です。

先程の回答のした4行は、Trankポートの時にしか意味が無いですね。
忘れてください。
accessポートの時は物理ポートが属しているVLANに対して、MACアドレスの制限が効くわけですね。

混乱させてスイマセン。