Port security cisco
Download 61 Kb.
|
Port security cisco (1)
- Bu sahifa navigatsiya:
- Принцип работы Port security
- Настройка Port security
Port security ciscoДля того, чтобы понять зачем необходима эта функция оборудования cisco и необходима ли вообще поговорим немного об определении port security. Чтобы понять принцип работы port security необходимо знать принцип работы коммутатора. Как мы знаем коммутатор по умолчанию передает все пакеты со всех устройств на порту. Это приманка для любителей взломать сеть и просто напакастить. Port security позволяет ограничить доступ на порт коммутатора, а точнее ограничить его по mac-адресу устройства. Другими словами зарегистрировать на порту только те устройства, которые необходимы нам. С этой функцией мы можем не переживать, что кто-то не санкционировано войдет в сеть. Как нам известно коммутатор поддерживает три вида MAC-адресов: STATIC- Статические MAC — адреса, прописываемые вручную. DYNAMIC — Динамические адреса, получаемые в ходе работы коммутатора. STICKY — Самоизучаемые адреса, хранятся в таблице даже после перезагрузки. switch(conifig-if)#switchport port-security mac-address 0000.0c61.3b9c switch(config-if)#switchport port-security maximum 1 switch(conifig-if)#switchport port-security mac-address sticky Принцип работы Port securityВ коммутаторах cisco есть три режима, все они по разному реагируют на нарушение безопасности порта. Вкратце о режимах: Protect — без оповещения о нарушении. Пакеты поступившие с устройства с MAC-адресом не входящим в таблицу просто отбрасываются. Restrict — то же самое, только с сообщением об ошибке. Shut down — режим по умолчанию. При нарушении количества допустимых MAC-адресов порт просто выключается, а точнее переходит в режим error-disabled. Этот режим стоит по умолчанию. (conifig)#switchport port-security violation (protect, restrict, shutdown) После нескольких слов о теории можно приступить к практике. Воспользовавшись программой Cisco Packet Tracer набросаем небольшой кусочек сети. Настройка Port securityДля примера возьмем три компьютера и коммутатор (я использовал коммутатор cisco 2960). Выглядеть это будет следующим образом: Настройки конфигурации хостов: PC1 — 192.168.10.1 255.255.255.0 PC2 — 192.168.10.2 255.255.255.0 PC0 — 192.168.10.3 255.255.255.0 Т Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int fa0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#exit Switch(config)#int fa0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#exit Switch(config)#int fa0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#exit Switch(config-if)# Проверяем таблицу адресов: Switch#show mac-address-table Mac Address Table ——————————————- Vlan Mac Address Type Ports —- ———— ——— —— 1 0000.0c61.3b9c STATIC Fa0/1 1 0001.6474.6d9d STATIC Fa0/2 1 0001.979b.cc7e STATIC Fa0/3 Теперь пробуем поменять MAC-адрес на одном из устройств. Я меняю MAC- адрес на хосте PC1 (0000.0c61.3b9c) на (0000.0c61.3b9b), просто заменил букву в конце и что я вижу: Порт сразу же отключился. Это говорит нам о том, что этот порт не пропускает больше одного MAC-адреса, как мы и указали в настройках. Switch#show interfaces fa0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) Как видно порт выключился. По умолчанию он выключается помните? Т.е стоит в режиме shut down. Если вас не устраивает этот режим можете указать другой при настройке коммутатора: Switch(config-if)#switchport port-security violation protect/restrict/shutdown Поднимаем порт: Switch#clear port-security all Switch(config-if)#no shutdown Download 61 Kb. Do'stlaringiz bilan baham: 
|