4.1. Общие сведения о функции ограничения MAC и IP адресов на порту
Для повышения безопасности и улучшения контроля пользователей, на данном коммутаторе существуют функции контроля количества MAC-адресов и ARP/ND записей на портах, а также количества пользователей в VLAN.
Ограничение количества динамических MAC- и IP-адресов на портах:
- Ограничение количества динамических MAC-адресов. Если количество динамических MAC-адресов, изученных коммутатором на порту, равно или превышает установленный предел, то функция изучения MAC-адресов на порту должна отключаться.
- Ограничение количества динамических IP-адресов. Если количество динамических ARP/ND, изученных коммутатором на порту, равно или превышает установленный предел, то функция распознавания ARP/ND на порту должна отключаться.
Ограничение количества MAC, ARP и ND на интерфейсах:
- Ограничение количества динамических MAC-адресов. Если количество динамических MAC-адресов, распознанных интерфейсом VLAN, равно или превышает установленный предел, то функция распознавания MAC-адресов для всех портов VLAN должна отключаться.
- Ограничение количества динамических IP-адресов. Если количество динамических ARP/ND, распознанных интерфейсом VLAN, равно или превышает установленный предел, то функция распознавания ARP/ND на всех портах VLAN должна отключаться.
4.2. Конфигурация функции ограничения MAC и IP адресов
- Включить функцию ограничения количества MAC и IP на портах;
- Включить функцию ограничения количества MAC и IP на интерфейсах и VLAN;
- Настроить действие при нарушении защиты;
- Отображение информации и отладка функций ограничения MAC и IP на портах
1. Включить функцию ограничения количества MAC и IP на портах;
Команда | Описание |
|---|---|
switchport mac-address dynamic maximum no switchport mac-address dynamic maximum ! В режиме конфигурации интерфейса | Включить функцию ограничения количества динамических MAC-адресов. Команда no отключает эту функцию. |
switchport arp dynamic maximum no switchport arp dynamic maximum ! В режиме конфигурации интерфейса | Включить функцию ограничения количества динамических ARP-записей. Команда no отключает эту функцию. |
switchport nd dynamic maximum no switchport nd dynamic maximum ! В режиме конфигурации интерфейса | Включить функцию ограничения количества динамических ND-записей. Команда no отключает эту функцию. |
2. Включить функцию ограничения количества MAC и IP на интерфейсах и VLAN:
Команда | Описание |
|---|---|
vlan mac-address dynamic maximum <value> no vlan mac-address dynamic maximum ! В режиме конфигурации VLAN | Задать максимальное количество <value> MAC-адресов |
ip arp dynamic maximum <value> no ip arp dynamic maximum ! В режиме конфигурации интерфейса | Задать максимальное количество <value> ARP записей. Команда no отменяет ограничение. |
ipv6 nd dynamic maximum <value> no ipv6 nd dynamic maximum ! В режиме конфигурации интерфейса | Задать максимальное количество <value> ND записей. Команда no отменяет ограничение. |
3. Настроить действие при нарушении защиты:
Команда | Описание |
|---|---|
switchport mac-address violation {protect | shutdown} [recovery <5-3600>] no switchport mac-address violation ! В режиме конфигурации интерфейса | Задать действие при нарушении защиты: protect - новый MAC-адрес не будет изучен, shutdown - порт будет переведен в состояние Admin down, период, по истечении которого будет восстановлено первоначальное состояние - [recovery <5-3600>. Команда no восстанавливает знчаение по-умолчанию - protect. |
4. Отображение информации и отладка функций ограничения MAC и IP на портах
Команда | Описание |
|---|---|
show mac-address dynamic count {vlan <vlan-id> | interface ethernet <portName> } ! В привилегированном режиме | Отобразить текущее количество MAC-адресов, изученных через интерфейс <portName>, VLAN <vlan-id> |
show arp-dynamic count {vlan <vlan-id> | interface ethernet <portName> } ! В привилегированном режиме | Отобразить текущее количество ARP записей, изученных через интерфейс <portName>, VLAN <vlan-id> |
show nd-dynamic count {vlan <vlan-id> | interface ethernet <portName> } | Отобразить текущее количество ND записей, изученных через интерфейс <portName>, VLAN <vlan-id> |
debug switchport mac count no debug switchport mac count ! В привилегированном режиме | Выводить отладочную информацию об ограничении MAC на портах |
debug switchport arp count no debug switchport arp count ! В привилегированном режиме | Выводить отладочную информацию об ограничении ARP на портах |
debug switchport nd count no debug switchport nd count ! В привилегированном режиме | Выводить отладочную информацию об ограничении ND на портах |
debug vlan mac count no debug vlan mac count ! В привилегированном режиме | Выводить отладочную информацию об ограничении MAC во VLAN |
debug ip arp count no debug ip arp count ! В привилегированном режиме | Выводить отладочную информацию об ограничении ARP для интерфейсов |
debug ipv6 nd count no debug ipv6 nd count ! В привилегированном режиме | Выводить отладочную информацию об ограничении ND для интерфейсов |
4.3. Пример конфигурации функции ограничения MAC и IP адресов
К коммутатору Switch A подключено множество пользователей. До включения функции ограничения на портах и VLAN коммутатор Switch A может получить MAC-адреса, ARP и ND записи со всех ПК при отсутствии аппаратных ограничений. В данной ситуации существует возможность атаки на отказ в обслуживании, когда один из хостов пользователей будет отправлять кадры данных с множеством разных MAC-адресов источника, чем вызовет переполнение таблицы на коммутаторе Switch A.
Так как предполагается, что к одному порту коммутатора может быть подключено не более 2х устройств пользователя коммутатора Switch A, необходимо установить максимальное количество динамических MAC-адресов 2, динамических ARP-адресов – 2, ND – 1. В VLAN 1 необходимо установить максимальное количество динамических MAC-адресов 70, динамических ARP-адресов – 70, ND – 40.
Конфигурация будет выглядеть следующим образом:
Switch(config)#interface ethernet 1/0/1-24 Switch(config-if-range)#switchport mac-address dynamic maximum 2 Switch(config-If-range)#switchport arp dynamic maximum 2 Switch(config-If-range)#switchport nd dynamic maximum 1 Switch(config-if-Vlan1)#vlan mac-address dynamic maximum 70 Switch(config-if-Vlan1)#ip arp dynamic maximum 70 Switch(config-if-Vlan1)#ip nd dynamic maximum 40
4.4. Решение проблем при конфигурации функции ограничения MAC и IP адресов
- Функция ограничения MAC, ARP и ND на портах и VLAN по-умолчанию отключена;
- Функция ограничения MAC, ARP и ND на портах и VLAN не работает одновременно с вышеперечисленными функциями Spanning-Tree, dot1x и агрегации портов;
- При необходимости получения полной информации о текущем состоянии на портах и VLAN с ограничениями используются отладочные и информационные команды, описанные в разделе 19.2