Port security cisco
Для того, чтобы понять зачем необходима эта функция оборудования cisco и необходима ли вообще поговорим немного об определении port security. Чтобы понять принцип работы port security необходимо знать принцип работы коммутатора. Как мы знаем коммутатор по умолчанию передает все пакеты со всех устройств на порту. Это приманка для любителей взломать сеть и просто напакастить.
Port security позволяет ограничить доступ на порт коммутатора, а точнее ограничить его по mac-адресу устройства. Другими словами зарегистрировать на порту только те устройства, которые необходимы нам. С этой функцией мы можем не переживать, что кто-то не санкционировано войдет в сеть.
Как нам известно коммутатор поддерживает три вида MAC-адресов:
- STATIC — Статические MAC — адреса, прописываемые вручную.
- DYNAMIC — Динамические адреса, получаемые в ходе работы коммутатора.
- STICKY — Самоизучаемые адреса, хранятся в таблице даже после перезагрузки.
switch(conifig-if)#switchport port-security mac-address 0000.0c61.3b9c
Switch(config-if)#switchport port-security maximum 1
Switch(conifig-if)#switchport port-security mac-address sticky
Принцип работы Port security
В коммутаторах cisco есть три режима, все они по разному реагируют на нарушение безопасности порта. Вкратце о режимах:
- Protect — без оповещения о нарушении. Пакеты поступившие с устройства с MAC-адресом не входящим в таблицу просто отбрасываются.
- Restrict — то же самое, только с сообщением об ошибке.
- Shut down — режим по умолчанию. При нарушении количества допустимых MAC-адресов порт просто выключается, а точнее переходит в режим error-disabled. Этот режим стоит по умолчанию.
(conifig)#switchport port-security violation (protect, restrict, shutdown)
После нескольких слов о теории можно приступить к практике. Воспользовавшись программой Cisco Packet Tracer набросаем небольшой кусочек сети.
Настройка Port security
Для примера возьмем три компьютера и коммутатор (я использовал коммутатор cisco 2960). Выглядеть это будет следующим образом:
Настройки конфигурации хостов:
- PC1 — 192.168.10.1 255.255.255.0
- PC2 — 192.168.10.2 255.255.255.0
- PC0 — 192.168.10.3 255.255.255.0
Теперь перейдем непосредственно к настройке Port Security на коммутаторе:
Switch> .en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#exit
Switch(config)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#exit
Switch(config)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#exit
Switch(config-if)#
Проверяем таблицу адресов:
Switch#show mac-address-table
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———— ——— ——
1 0000.0c61.3b9c STATIC Fa0/1
1 0001.6474.6d9d STATIC Fa0/2
1 0001.979b.cc7e STATIC Fa0/3
Теперь пробуем поменять MAC-адрес на одном из устройств. Я меняю MAC- адрес на хосте PC1 (0000.0c61.3b9c) на (0000.0c61.3b9b), просто заменил букву в конце и что я вижу:
Порт сразу же отключился. Это говорит нам о том, что этот порт не пропускает больше одного MAC-адреса, как мы и указали в настройках.
Switch#show interfaces fa0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Как видно порт выключился. По умолчанию он выключается помните? Т.е стоит в режиме shut down. Если вас не устраивает этот режим можете указать другой при настройке коммутатора:
Switch(config-if)#switchport port-security violation protect/restrict/shutdown
Поднимаем порт:
Switch#clear port-security all
Switch(config-if)#no shutdown
