Cisco для новичков. Часть 6 Portsecurity

Добавить комментарий

Предыдущие части

Cisco для начинающих. часть 5.1 Траблшутинг  NAT и DHCP. Конвейеры

Cisco для новичков. Часть 5 Настраиваем DHCP и DNS

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Для настройки порта коммутатора таким образом, чтобы в случае появления на данном порту лишнего MAC адреса он автоматически отключался необходимо прописать команду switchport port-security violation shutdown. Когда сработает данный механизм защиты и порт отключится, включить его можно будет вручную, поочередно набрав команды shut и no shut в режиме конфигурации данного интерфейса.

Автоматизировать же возвращение порта в нормальное состояние можно с помощью команды

errdisable recovery cause security-violation задать интервал включения порта errdisable recovery interval 600,

Настройка безопасных MAC-адресов

switchport port-security mac-address sticky 0011.13a3.c1a2

ПРимер использования:

gw11(config)#interface range gi 0/1 — 24

Для начала переведём порт в режим доступа (если порт находится в динамическом режиме то он просто не примет комманду switchport portsecurity)

gw11(config-if)#switchport mode access

количество разрешенных мак-адресов на порту

gw11(config-if)#switchport port-security maximum 1

указать действие, которое будет применено, если свич получит на порту больше маков чем указанное максимально значение:

gw11(config-if)#switchport port-security violation shutdown

gw11(config-if)#switchport port-security aging time 2
gw11(config-if)#switchport port-security aging type inactivity
gw11(config)#errdisable recovery cause security-violation
gw11(config)#errdisable recovery interval 600

Вывод всех портов из состояния error-disabled state errdisable recovery cause psecure-violation

Проверяем результат

gw11#show port-security interface fa 0/1

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0011.13a3.c1a2:1
Security Violation Count : 0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Time limit is exhausted. Please reload the CAPTCHA.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.