7.1. Настройка безопасности портов (Port security)

Назначение

Функция безопасности портов используется для ограничения количества безопасных MAC-адресов, зарегистрированных на определенном интерфейсе. Порт будет пересылать пакеты только с MAC-адресами источников, находящимися в списке безопасных.

Описание

Безопасные MAC-адреса могут быть созданы вручную или получены автоматически. После того как количество безопасных MAC-адресов достигает предела, новые MAC-адреса не могут быть выучены или настроены на интерфейсе. Если интерфейс получает пакет с MAC-адресом источника, который не входит в список безопасных адресов, пакет будет отброшен.

Функция защиты портов привязывает MAC-адрес к порту, чтобы порт не пересылал пакеты с адресами источников, не входящими в список разрешенных. Если MAC-адрес, настроенный или выученный на защищенном порту, пытается получить доступ к другому порту, это также считается нарушением безопасности.

Поддерживаются два типа защищенных MAC-адресов:

  1. Статические безопасные MAC-адреса - Настраиваются вручную командой switchport port-security mac-address.

  2. Динамические безопасные MAC-адреса - запоминаются динамически.

Если происходит нарушение безопасности, пересылаемые пакеты будут отброшены. Пользователь может настроить действие командой switchport port-security violation. Доступно три действия:

  1. “Errdisable” - отбросить пакет и перевести порт в состояние “Errdisable” (см. главу “Механизм детектирования ошибок «Errdisable”).

  2. “Protect” - только отбрасывание.

  3. “Restrict” - отбросить пакет и записать событие в журнал.

Настройка

Ниже приведена настройка коммутатора в соответствии с представленной конфигурацией сети.

image

Рис. 7.1 Конфигурация сети

В результате настройки коммутатор будет передавать пакеты, полученные от трех разрешенных сетевых узлов, и отбрасывать пакеты четвертого (c MAC-адресом 0000.000B.000B).

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Настройка порта

Вход в режим конфигурации порта, вход в режим безопасности, установка безопасных MAC-адресов и действия при нарушении безопасности:

Switch(config)# interface eth-0-1
Switch(config-if)# switchport 
Switch(config-if)# switchport port-security 
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security mac-address 0000.1111.2222 vlan 1 
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# exit

Шаг: 3 Выход из режима “Global config”

Switch(config)# end

Шаг 4: Проверка

Switch# show port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolationMode
               (Count)     (DynamicCount)   
---------------------------------------------------------------
  eth-0-1           2             2       restrict

Switch# show port-security address-table 
          Secure MAC address table
--------------------------------------------------------
Vlan    Mac Address       Type                 Ports
----    -----------       -------              -------
1       0000.1111.2222    SecureConfigured     eth-0-1
1       0000.aaaa.bbbb    SecureLearned        eth-0-1
1       0000.000a.000a    SecureLearned        eth-0-1

Switch# show port-security interface eth-0-1
Port security                   	 : enabled
Violation mode                  	 : discard packet and log
Maximum dynamic MAC addresses       : 2
Total MAC addresses                 : 3
Static configured MAC addresses     : 1