Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Port security cisco

.doc
Скачиваний:
32
Добавлен:
15.03.2015
Размер:
62.46 Кб
Скачать

Port security cisco

Для того, чтобы понять зачем необходима эта функция оборудования cisco и необходима ли вообще поговорим немного об определении port security. Чтобы понять принцип работы port security необходимо знать принцип работы коммутатора. Как мы знаем коммутатор по умолчанию передает все пакеты со всех устройств на порту. Это приманка для любителей взломать сеть и просто напакастить.

Port security позволяет ограничить доступ на порт коммутатора, а точнее ограничить его по mac-адресу устройства. Другими словами зарегистрировать на порту только те устройства, которые необходимы нам. С этой функцией мы можем не переживать, что кто-то не санкционировано войдет в сеть.

Как нам известно коммутатор поддерживает три вида MAC-адресов:

  1. STATIC- Статические MAC — адреса, прописываемые вручную.

  2. DYNAMIC — Динамические адреса, получаемые в ходе работы коммутатора.

  3. STICKY — Самоизучаемые адреса, хранятся в таблице даже после перезагрузки.

switch(conifig-if)#switchport port-security mac-address 0000.0c61.3b9c

switch(config-if)#switchport port-security maximum 1

switch(conifig-if)#switchport port-security mac-address sticky

Принцип работы Port security

В коммутаторах cisco есть три режима, все они по разному реагируют на нарушение безопасности порта. Вкратце о режимах:

  1. Protect — без оповещения о нарушении. Пакеты поступившие с устройства с MAC-адресом не входящим в таблицу просто отбрасываются.

  2. Restrict — то же самое, только с сообщением об ошибке.

  3. Shut down — режим по умолчанию. При нарушении количества допустимых MAC-адресов порт просто выключается, а точнее переходит в режим error-disabled. Этот режим стоит по умолчанию.

(conifig)#switchport port-security violation (protect, restrict, shutdown)

После нескольких слов о теории можно приступить к практике. Воспользовавшись программой Cisco Packet Tracer набросаем небольшой кусочек сети.

Настройка Port security

Для примера возьмем три компьютера и коммутатор (я использовал коммутатор cisco 2960). Выглядеть это будет следующим образом:

Настройки конфигурации хостов:

  1. PC1 — 192.168.10.1 255.255.255.0

  2. PC2 — 192.168.10.2 255.255.255.0

  3. PC0 — 192.168.10.3 255.255.255.0

Т еперь перейдем непосредственно к настройке Port Security на коммутаторе:

Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int fa0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#exit Switch(config)#int fa0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#exit Switch(config)#int fa0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#exit

Switch(config-if)#

Проверяем таблицу адресов:

Switch#show mac-address-table Mac Address Table ——————————————-

Vlan Mac Address Type Ports —- ———— ——— ——

1 0000.0c61.3b9c STATIC Fa0/1 1 0001.6474.6d9d STATIC Fa0/2 1 0001.979b.cc7e STATIC Fa0/3

Теперь пробуем поменять MAC-адрес на одном из устройств. Я меняю MAC- адрес на хосте PC1 (0000.0c61.3b9c) на (0000.0c61.3b9b), просто заменил букву в конце и что я вижу:

Порт сразу же отключился. Это говорит нам о том, что этот порт не пропускает больше одного MAC-адреса, как мы и указали в настройках.

Switch#show interfaces fa0/1 FastEthernet0/1 is down, line protocol is down (err-disabled)

Как видно порт выключился. По умолчанию он выключается помните? Т.е стоит в режиме shut down. Если вас не устраивает этот режим можете указать другой при настройке коммутатора:

Switch(config-if)#switchport port-security violation protect/restrict/shutdown

Поднимаем порт:

Switch#clear port-security all Switch(config-if)#no shutdown

3

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]