31 October 2013

Применение port-security на коммутаторах Cisco

Рассмотрим базовые возможности по обеспечению безопасности на портах коммутаторов доступа.

Топология: 

Настройка: 
Для начала переведём порт в режим доступа (если порт находится в динамическом режиме то он просто не примет комманду switchport portsecurity)




Switch(config-if)# switchport mode access
Теперь можно включать режим защиты портов:
Switch(config-if)# switchport port-security
По умолчанию, адреса источника динамически узнаются из приходящих на порт фреймов (в конфиг не записываются), но можно их прописать статически
Switch(config-if)# switchport port-security mac-address HH.HH.HH
или использовать динамическое обучение с записью в конфиг-файл:
Switch(config-if)# switchport port-security mac-address sticky
Для защиты от MAC Flood указываем количество разрешенных мак-адресов на порту (по умолчанию 1):
Switch(config-if)# switchport port-security maximum 1
Затем, нужно указать действие, которое будет применено, если свич получит на порту больше маков чем указанное максимально значение:
Switch(config-if)# switchport port-security violation protect
При превышении максимума, свич просто перестает форвардить пакеты с порта.
Switch(config-if)# switchport port-security violation restrict
В данном случае, свич перестает форвардить кадры и отсылает уведомление администратору
Switch(config-if)# switchport port-security violation shutdown
Режим по умолчанию. При превышении максимального значения порт отключается и отсылается уведомление администратору. Чтобы вернуть порт в нормальное состояние, нужно зайти на интерфейс и выполнить команды - shutdown и затем no shutdown.

Проверяем:
После подключения первого ПК1 к порту коммутатора fa 0/1
видим что счетчик сработал

Теперь переподключаем кабель с ПК1 к ПК2
счетчик сработал второй раз и порт перешел в состояние shutdown

No comments:

Post a Comment