Рассмотрим базовые возможности по обеспечению безопасности на портах коммутаторов доступа.
Топология:
Настройка:
Для начала переведём порт в режим доступа (если порт находится в динамическом режиме то он просто не примет комманду switchport portsecurity)
Топология:
Настройка:
Для начала переведём порт в режим доступа (если порт находится в динамическом режиме то он просто не примет комманду switchport portsecurity)
Switch(config-if)# switchport mode accessТеперь можно включать режим защиты портов:
Switch(config-if)# switchport port-security
По умолчанию, адреса источника динамически узнаются из приходящих на порт фреймов (в конфиг не записываются), но можно их прописать статически
Switch(config-if)# switchport port-security mac-address HH.HH.HH
или использовать динамическое обучение с записью в конфиг-файл:
Switch(config-if)# switchport port-security mac-address sticky
Для защиты от MAC Flood указываем количество разрешенных мак-адресов на порту (по умолчанию 1):
Switch(config-if)# switchport port-security maximum 1
Затем, нужно указать действие, которое будет применено, если свич получит на порту больше маков чем указанное максимально значение:
Switch(config-if)# switchport port-security violation protect
При превышении максимума, свич просто перестает форвардить пакеты с порта.
Switch(config-if)# switchport port-security violation restrict
В данном случае, свич перестает форвардить кадры и отсылает уведомление администратору
Switch(config-if)# switchport port-security violation shutdown
Режим по умолчанию. При превышении максимального значения порт отключается и отсылается уведомление администратору. Чтобы вернуть порт в нормальное состояние, нужно зайти на интерфейс и выполнить команды - shutdown и затем no shutdown.
Проверяем:
После подключения первого ПК1 к порту коммутатора fa 0/1
видим что счетчик сработал
Теперь переподключаем кабель с ПК1 к ПК2
счетчик сработал второй раз и порт перешел в состояние shutdown
Проверяем:
После подключения первого ПК1 к порту коммутатора fa 0/1
видим что счетчик сработал
Теперь переподключаем кабель с ПК1 к ПК2
счетчик сработал второй раз и порт перешел в состояние shutdown
Уберите из текста "форвардить пакеты". Свитч оперирует кадрами (фреймами), а не пакетами...
ОтветитьУдалитьспасибо, поправил.
Удалить1. поправлено не везде
ОтветитьУдалить2. для лучшего понимания материала хорошо бы дать понятие violation и влияния на счетчик violation различных режимов port-security
3. разберитесь с блокируемыми кадрами. В описании не сказано какие кадры дропаются - все или только те, которые имеют неизвестный MAC адрес.
4. можно упомянуть о errdisable recovery cause violation_mode
1. поправлено не везде
ОтветитьУдалить2. для лучшего понимания материала хорошо бы дать понятие violation и влияния на счетчик violation различных режимов port-security
3. разберитесь с блокируемыми кадрами. В описании не сказано какие кадры дропаются - все или только те, которые имеют неизвестный MAC адрес.
4. можно упомянуть о errdisable recovery cause violation_mode
Сергей спасибо. Запись старая, есть смысл переписать ее полностью, более подробно.
ОтветитьУдалить