суббота, 11 декабря 2010 г.

Применение port-security на коммутаторах Cisco

Рассмотрим базовые возможности по обеспечению безопасности на портах коммутаторов доступа.

Топология: 
Настройка:
Для начала переведём порт в режим доступа (если порт находится в динамическом режиме то он просто не примет комманду switchport portsecurity)
Switch(config-if)# switchport mode access
Теперь можно включать режим защиты портов:
Switch(config-if)# switchport port-security
По умолчанию, адреса источника динамически узнаются из приходящих на порт фреймов (в конфиг не записываются), но можно их прописать статически
Switch(config-if)# switchport port-security mac-address HH.HH.HH
или использовать динамическое обучение с записью в конфиг-файл:
Switch(config-if)# switchport port-security mac-address sticky
Для защиты от MAC Flood указываем количество разрешенных мак-адресов на порту (по умолчанию 1):
Switch(config-if)# switchport port-security maximum 1
Затем, нужно указать действие, которое будет применено, если свич получит на порту больше маков чем указанное максимально значение:
Switch(config-if)# switchport port-security violation protect
При превышении максимума, свич просто перестает форвардить пакеты с порта.
Switch(config-if)# switchport port-security violation restrict
В данном случае, свич перестает форвардить кадры и отсылает уведомление администратору
Switch(config-if)# switchport port-security violation shutdown
Режим по умолчанию. При превышении максимального значения порт отключается и отсылается уведомление администратору. Чтобы вернуть порт в нормальное состояние, нужно зайти на интерфейс и выполнить команды - shutdown и затем no shutdown.

Проверяем:
После подключения первого ПК1 к порту коммутатора fa 0/1
видим что счетчик сработал

Теперь переподключаем кабель с ПК1 к ПК2
счетчик сработал второй раз и порт перешел в состояние shutdown

5 комментариев:

  1. Уберите из текста "форвардить пакеты". Свитч оперирует кадрами (фреймами), а не пакетами...

    ОтветитьУдалить
  2. 1. поправлено не везде
    2. для лучшего понимания материала хорошо бы дать понятие violation и влияния на счетчик violation различных режимов port-security
    3. разберитесь с блокируемыми кадрами. В описании не сказано какие кадры дропаются - все или только те, которые имеют неизвестный MAC адрес.
    4. можно упомянуть о errdisable recovery cause violation_mode

    ОтветитьУдалить
  3. 1. поправлено не везде
    2. для лучшего понимания материала хорошо бы дать понятие violation и влияния на счетчик violation различных режимов port-security
    3. разберитесь с блокируемыми кадрами. В описании не сказано какие кадры дропаются - все или только те, которые имеют неизвестный MAC адрес.
    4. можно упомянуть о errdisable recovery cause violation_mode

    ОтветитьУдалить
  4. Сергей спасибо. Запись старая, есть смысл переписать ее полностью, более подробно.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.