10.1. Общие сведения о Port-Security
Port-Security - механизм обеспечения безопасности и контроля доступа основанный на контроле изучаемых MAC-адресов. Может использоваться как дополнение существующей аутентификации 802.1x и аутентификации MAC. Port-security контролирует доступ неавторизованных устройств к сети, проверяя MAC-адрес источника принятого кадра и доступ к неавторизованным устройствам, проверяя MAC-адрес назначения отправленного кадра.
Если функционал port-security настроен на портах коммутатора, при получении кадра с неверным MAC-адресом, коммутатор запускает заданную пользователем функцию защиты порта и автоматически выполняет заданное действие.
10.2. Конфигурация Port-Security
Настроить port-security на порту;
Просмотр и очистка информации.
1. Настроить port-security на порту:
Команда | Описание |
|---|---|
switchport port-security no switchport port-security ! В режиме конфигурации порта | Включить функцию port-security на порту. Команда no отключает эту функцию. |
switchport port-security mac-address {sticky | <mac-address> [vlan <vlan-id>]} no switchport port-security {sticky | <mac-address> [vlan <vlan-id>]} ! В режиме конфигурации порта | Задать MAC адрес для текущего порта и VLAN (необязательно) <vlan-list> вручную. sticky - добавить следующий изученный адрес как статический. Команда no удаляет это соответствие. |
switchport port-security maximum <value> [vlan <vlan-list>] no switchport port-security maximum <value> [vlan <vlan-list>] ! В режиме конфигурации порта | Задать максимальное количество MAC для текущего порта. Если применена команда vlan <vlan-list>, порог будет распространяться на указанные VLAN. Команда no восстанавливает конфигурацию по-умолчанию - 1 MAC для порта. |
switchport port-security violation {protect | recovery | restrict | shutdown} no switchport port-security violation ! В режиме конфигурации порта | Выбрать действие при изучении нового MAC-адреса, если превышено заданное максимальное число адресов. protect - не изучать новый MAC, не отправлять уведомление; recovery - изучить новый MAC; restrict - не изучать новый MAC, отправить уведомление trap и запись в syslog; shutdown - выключить порт. Команда no восстанавливает конфигурацию по-умолчанию - shutdown. |
2. Просмотр и очистка информации:
Команда | Описание |
|---|---|
clear port-security {all | configured | dynamic | sticky} [[address <mac-addr> | interface <interface-id>] [vlan <vlan-id> ]] ! В Admin режиме | Очистить таблицу изученных MAC адресов: all - все, dynamic - изученных динамически; configured - добавленных вручную; добавленных функцией sticky. |
show port-security [interface <interface-id>] [address | vlan] ! В Admin режиме | Отобразить информацию о конфигурации port-security |
10.3. Пример конфигурации Port-Security
Сценарий
Оператор связи предоставляет пользователям услуги выхода в сеть, авторизация и ограничение полосы происходит на BRAS. Для предотвращения подмены MAC одного пользователя другими, на портах коммутатора доступа используется port-security. Функционал будет разрешать доступ только авторизованным устройствам и отправлять оповещение администратору при попытке изучения неизвестного адреса.
Конфигурация коммутатора будет выглядеть следующим образом:
Switch(config)#interface Ethernet 1/0/1-1/0/24 Switch(config-if-range)#switchport port-security Switch(config-if-range)#switchport port-security mac-address sticky Switch(config-if-range)#switchport port-security violation restrict Switch(config-if-range)#switchport port-security maximum 1 Switch(config-if-range)#exi