27 видео на IT - тематику на нашем YouTube канале

Ќастройка Cisco Port-Security

Ѕазова€ сетева€ безопасность

ћерион Ќетворкс

4 минуты чтени€

ѕривет! —егодн€ мы оговорим немного о базовой сетевой безопасности, а именно о Port-Security и о том, как его настроить на коммутаторах Cisco.

ƒл€ начала разберемс€, что же вообще такое Port-Security. Port-Security Ц это функци€ коммутатора, при помощи которой мы можем указать каким устройствам можно пропускать трафик через определенные порты. ”стройство определ€етс€ по его MAC-адресу.

Ёта функци€ предназначена дл€ защиты от несанкционированного подключени€ к сети и атак, направленных на переполнение таблицы MAC-адресов. ѕри помощи нее мы можем указывать конкретные адреса, с которых разрешен доступ или указывать максимальное количество MAC-адресов, которые могут передавать трафик через порт.


“ипы Port-Security

—уществует несколько способов настройки port-security:

  • —татические MAC-адреса Ц MAC-адреса, которые вручную настроены на порту, из режима конфигурации порта при помощи команды switchport port-security mac-address [MAC-адрес] . MAC-адреса, сконфигурированные таким образом, сохран€ютс€ в таблице адресов и добавл€ютс€ в текущую конфигурацию коммутатора.
  • ƒинамические MAC-адреса - MAC-адреса, которые динамически изучаютс€ и хран€тс€ только в таблице адресов. MAC-адреса, сконфигурированные таким образом, удал€ютс€ при перезапуске коммутатора.
  • Sticky MAC-адреса - MAC-адреса, которые могут быть изучены динамически или сконфигурированы вручную, затем сохранены в таблице адресов и добавлены в текущую конфигурацию.


Sticky MAC-адреса

≈сли необходимо настроить port-security со sticky MAC-адресами, которые преобразуютс€ с из динамически изученных адресов и добавл€ютс€ в текущую конфигурацию, то необходимо настроить так называемое sticky изучение. ƒл€ того чтобы его включить необходимо на интерфейсе коммутатора выполнить команду switchport port-security mac-address sticky из режима конфигурации интерфейса.

 огда эта команда введена, коммутатор преобразует все динамически изученные MAC-адреса (включа€ те, которые были динамически изучены до того, как было включено sticky обучение) к sticky MAC-адресам. ¬се sticky MAC-адреса добавл€ютс€ в таблицу адресов и в текущую конфигурацию.

“акже sticky адреса можно указать вручную.  огда sticky MAC-адреса настроены при помощи команды switchport port-security mac-address sticky [MAC-адрес], все указанные адреса добавл€ютс€ в таблицу адресов и текущую конфигурацию.

≈сли sticky MAC-адреса сохранены в файле конфигурации, то при перезапуске коммутатора или отключении интерфейса интерфейс не должен будет переучивать адреса. ≈сли же sticky адреса не будут сохранены, то они будут потер€ны.

≈сли sticky обучение отключено при помощи команды no switchport port-security mac-address sticky , то эти адреса будут оставатьс€ в таблице адресов, но удал€тс€ из текущей конфигурации.

Sticky port-security

ќбратите внимание, что port-security не будут работать до тех пор, пока не будет введена команда, включающа€ его - switchport port-security


Ќарушение безопасности

Ќарушением безопасности €вл€ютс€ следующие ситуации:

  • ћаксимальное количество MAC-адресов было добавлено в таблицу адресов дл€ интерфейса, а устройство, MAC-адрес которого отсутствует в таблице адресов, пытаетс€ получить доступ к интерфейсу.
  • јдрес, полученный или сконфигурированный на одном интерфейсе, отображаетс€ на другом интерфейсе в той же VLAN.

Ќа интерфейсе может быть настроен один из трех режимов реагировани€ при нарушении:

  • Protect - когда количество MAC-адресов достигает предела, разрешенного дл€ порта, пакеты с неизвестными исходными адресами отбрасываютс€ до тех пор, пока не будет удалено достаточное количество MAC-адресов или количество максимально допустимых адресов дл€ порта не будет увеличено. ”ведомление о нарушении безопасности отсутствует в этом случае.
  • Restrict Ц то же самое, что и в случае Protect, однако в этом случае по€вл€етс€ уведомление о нарушении безопасности. —четчик ошибок увеличиваетс€
  • Shutdown Ц стандартный режим, в котором нарушени€ заставл€ют интерфейс немедленно отключитьс€ и отключить светодиод порта. ќн также увеличивает счетчик нарушений.  огда порт находитс€ в этом состо€нии (error-disabled), его можно вывести из него введ€ команды shutdown и no shutdown в режиме конфигурации интерфейса.

„тобы изменить режим нарушени€ на порту коммутатора, используетс€ команда port-security violation {protect | restrict |shutdown} в режиме конфигурации интерфейса.

–ежим реагировани€ ѕередача траффика ќтправка сообщени€ syslog ќтображение сообщени€ об ошибке ”величение счетчика нарушений ¬ыключение порта
Protect
Ќет
Ќет Ќет Ќет Ќет
Restrict Ќет ƒа Ќет ƒа Ќет
Shutdown Ќет Ќет Ќет ƒа ƒа

Ќастройка

–ассмотрим пример настройки:

Switch#interface fa0/1 Ц заходим в режим конфигурации порта
Switch(config-ig)#switchport mode access Ц делаем порт access
Switch(config-ig)#switchport port-security Ц включаем port-security
Switch(config-ig)#switchport port-security maximum 50 Ц задаем максимальное количество адресов на порту
Switch(config-ig)#switchport port-security mac-address sticky Ц включаем sticky изучение

≈сли мы не будем ничего уточн€ть и просто включим port-security командой switchport port-security в режиме конфигурации интерфейса, то максимальное количество адресов на порту будет один, sticky изучение будет выключено, а режим нарушени€ безопасности будет shutdown.


ѕроверка порта

„тобы отобразить параметры port-security используетс€ команда show port-security [номер_интерфейса] .

„тобы отобразить все защищенные MAC-адреса используетс€ команда show port-security address.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: