Mám na firmě několik switchů CISCO 2960S.
A občas potřebuji v některé lokalitě omezit připojení zařízení s neznámou MAC adresou.
K tomuto slouží funkce Port Security (omezuje tedy připojení zařízení s neznámou MAC adresou).
Jak pracuje Port Security?:
Tato funkce vytváří v přepínači tabulku, která obsahuje:
- MAC adresu připojené stanice
- číslo fyzického portu, na který je stanice připojena
- typ záznamu (statický nebo dynamický)
- dobu vypršení záznamu.
Ke každému portu je také možné nastavit maximální možná počet MAC adres, které můžou být připojeny na port.
Port security se povoluje na každém portu (a na každém switchi) zvlášť.
Pokud dojde na portu k narušení bezpečnosti („security violation“), podle nastavení dojde k nastavené události:
- k vypnutí portu
- zahození rámce
- ... apod.
- Bylo dosaženo maximálního počtu MAC adresu na portu a zařízení, jehož adresa není v tabulce, se snaží komunikovat na interface
- MAC adresa, která v tabulce přísluší jistému portu, se objeví na jiném portu stejné VLAN.
Nastavení (konfigurace) na CISCO přepínači:
Defaultně není funkce Port Security na přepínači povolena.
Port Security se vždy nastavuje na konkrétním portu.
switchport mode access|trunk
Port na přepínači se nastaví jako trunk nebo access (na portu v default modu nelze nastavit Port Security)
switchport port-security
Zapnutí funkce Port security na portu.
Switch podporuje tyto násleudjící typy MAC adres asociovaných s daným portem:
- statická – je okamžitě přidána do běžící konfigurace
- dynamická – switch se ji naučí z provozu a je uložená jen v tabulce adres (po restartu switche odstraněn je záznam odstraněn)
- sticky – naučená z provozu a automaticky vložená do konfigurace přepínače
switchport port-security mac-address mac-address
Zapíše statickou MAC adresu do tabulky.
switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]]
maximum value udává možný maximální počet MAC adres na portu včetně staticky konfigurovaných.
vlan je je nepovinný argument pro nastavení maximálního počtu adres pro danou VLAN.
switchport port-security [violation {protect | restrict | shutdown | shutdown vlan}]
Nastavuje mód, podle kterého nastane událost po porušení bezpečnosti:
- protect – po dosažení maximálního počtu MAC adres pakety přijaté z neznámé adresy budou zahazovány. Žádná zpráva není poslána.
- restrict - na rozdíl od protect modu je zaslán SNMP trap, je zalogována SYSLOG zpráva a je navýšeno počítadlo porušení bezpečnosti.
- shutdown – port je vypnut, LED portu zhasnou, je zaslán SNMP trap, je zalogována syslog zpráva a je navýšeno počítadlo porušení bezpečnosti.
- shutdown vlan – místo portu se vypne příslušná VLAN.
errdisable recovery cause psecure-violation
errdisable recovery interval interval
Nastavení způsobí, že při vypnutí portu při porušení bezpečnosti se port automaticky zapne po uběhnutí danéného intervalu. Interval se zadává v sekundách (od 30 do 86400).
Při vypnutí portu při porušení bezpečnosti je možné port zapnout příkazem v globálním nastavení switche příkazem clear errdisable interface vlan nebo no shutdown pro daný port.
switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]
Volitené nastavení - nastaví statickou MAC adresu pro daný port. Je možné přidat adresy až do dosažení maximálního počtu adres pro port. Zbylý počet adres je použit pro dynamické nastavení.
switchport port-security mac-address sticky
Volitelné nastavení, povolí pro daný port sticky záznamy.
switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]
Volitelné natavení, přidá sticky MAC adresu, lze zadat více adres.
Pokud je adres zadáno méně, než maximální počet, zbývající budou zapsány dynamicky a převedeny převedeny na sticky.
Pro toto nastavení je nutné povolení sticky záznamů.
Volitelně zle nastavit maximální hodnotu pro každou VLAN.
show port-security
Zobrazí nastavení Port Security.
switchport port-security aging {static | time time | type {absolute | inactivity}}
Natavení Port Security aging - standardně je vypnutý. Tato možnost se využívá k automatickému vymazání MAC adresy z tabulky po době zadané v minutách.
Záznamy lze také mazat manuálně.
Aging se nastavuje ke každému portu.
Typy aging:
- absolute – adresy z tabulky se vymažou po určitém čase po zapsání
- inactivity – adresy se vymažou, jen pokud jsou po určitou dobu neaktivní
Pro povolení aging pro statické adresy použijte klíčové slovo static.
show port-security [interface interface-id] [address]
Vypíše konfiguraci Port Security.
show interfaces [interface-id] switchport
Vypíše nastavení všech switch portů switche.
show port-security [interface interface-id]
Vypíše nastavení Port security pro všechny nebo zadaný port switche.
show port-security [interface interface-id] address
Vypíše všechny MAC adresy v tabulce switche všech nebo jen zadaných portů přepínače (switche).
show port-security interface interface-id vlan
Vypíše MAC adresy z tabulky switche pro danou VLAN na daném portu.
Žádné komentáře:
Okomentovat