Port Security
Функция Port security предназначена для ограничения доступа к коммутатору на уровне L2 путем контроля MAC-адресов, изучаемых на физическом порту.
Port security используется, когда необходимо:
- Ограничить количество устройств (MAC-адресов), подключаемых к одному порту;
- Разрешить работу только “известным” MAC-адресам;
- Защитить порт доступа от несанкционированного подключения и подмены устройства.
При нарушении правил (превышение лимита MAC или появление “чужого” MAC) порт выполняет заданное действие защиты (protect / restrict / shutdown).
Необходимые условия и предварительные требования
Перед настройкой Port security необходимо:
- Определить порт доступа, на котором требуется ограничение;
- Определить VLAN порта;
- Выбрать политику реакции на нарушение:
- protect - блокировать трафик от неизвестных MAC без дополнительных действий;
- restrict - блокировать и фиксировать нарушение;
- shutdown - перевести порт в состояние блокировки/ошибки.
Назначение применяемой команды/конфигурации
Команды в режиме глобальной конфигурации
| port-security aging time <10-10000000>
port-security hold time <10-10000000>
no port-security aging [time]
|
Команды в режиме настройки интерфейса
| port-security mac-address [sticky] [vlan <1-4094>]
port-security mac-address sticky
port-security maximum <1-1024> [voice]
port-security maximum-violation <1-1024>
port-security violation { protect | restrict | shutdown }
no port-security
no port-security mac-address [sticky]
no port-security mac-address sticky
no port-security maximum voice
no port-security maximum-violation
no port-security violation
|
Команды отображения информации
| show port-security address interface { * | GigabitEthernet | 25GigabitEthernet }
show port-security interface { * | GigabitEthernet | 25GigabitEthernet }
|
Команды очистки
| clear port-security dynamic [address | interface | vlan]
|
Пример конфигурирования
Настройка
Шаг 1. Включение port security на интерфейсе GigabitEthernet 1/5
| # configure terminal
(config)# interface GigabitEthernet 1/5
(config-if)# port-security
|
Шаг 2. Ограничение количества mac-адресов на порту
| (config-if)# port-security maximum 5
|
Шаг 3. Настройка sticky mac
| (config-if)# port-security mac-address sticky
(config-if)# port-security mac-address sticky 00-11-22-33-44-55
|
Полный вывод выполненных конфигураций
| configure terminal
!
interface GigabitEthernet 1/5
port-security
port-security maximum 5
port-security mac-address sticky
port-security mac-address sticky 00-11-22-33-44-55
|
Изучение состояния устройства
Просмотр конфигурации
| # show port-security
Users:
P = Port Security (Admin)
8 = 802.1X
V = Voice VLAN
Interface Users Limit Current Violating Violation Mode Sticky State Voice
---------- ----- ----- ------- --------- -------------- ------ ------------- -----
Gi 1/5 P-- 5 1 0 Protect Yes Ready No
Aging disabled
Hold time: 300 seconds
# show port-security address
VLAN MAC Address Type State Port Age/Hold Time
---- ----------------- ------- ---------- ---------- -------------
1 00-11-22-33-44-55 Sticky Forwarding Gi 1/5 N/A
Number of MAC addresses manageable by port-security in the system: 1024
Number of MAC addresses currently used by port-security in the system: 1
|