(K) Konfiguracja funkcji Port-Security*
Konfiguracja funkcji Port-Security
Konfiguracja funkcji PortSecurity
Konfiguracja funkcji PortSecurity na interfejsie dostępowym Access
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# switchport mode access
Statycznie określa tryb pracy konfigurowanego interfejsu sieciowego.
(config-if)# switchport port-security
Aktywuje funkcję Port-Security na konfigurowanym interfejsie sieciowym, z następującymi domyślnymi ustawieniami: switchport port-security maximum 1, switchport port-security mac-address sticky, switchport port-security violation shutdown.
Konfiguracja funkcji PortSecurity na interfejsie wielodostępowym Trunk
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# switchport trunk encapsulation {dot1q / isl / negotiate}
Określa protokół enkapsulacji połączenia Trunk-owego (Jeżeli obydwa urządzenia wspierają ISL i 802.1Q to protokół DTP automatycznie utworzy połączenie z wykorzystaniem protokołu ISL w innym przypadku będzie to protokół dot1q).
(config-if)# switchport mode trunk
Statycznie określa tryb pracy konfigurowanego interfejsu sieciowego.
(config-if)# switchport nonegotiate
Wyłącza auto negocjacje połączenia Trunk-owego.
(config-if)# switchport port-security
Aktywuje funkcję Port-Security na konfigurowanym interfejsie sieciowym, z następującymi domyślnymi ustawieniami: switchport port-security maximum 1, switchport port-security mac-address sticky, switchport port-security violation shutdown.
Zmiana domyślnych ustawień funkcji Port-Security
(config-if)# switchport port-security maximum 1-1024(1)
Ustala maksymalną liczbę adresów MAC jaka może być podłączona do danego interfejsu przełącznika. W przypadku przekroczenia tej wartości port zostanie zablokowany.
(config-if)# switchport port-security mac-address {adres-MAC [vlan vlan-ID [access / voice]] / sticky}(sticky)
Przypisuje statyczny adres MAC do wybranego interfejsu (adres-MAC), bądź pobiera źródłowy adres MAC z pierwszej otrzymanej ramki Ethernet-owej (Sticky). W przypadku jednoczesnego użycia komendy [switchport port-security maximum X], do interfejsu zostanie przypisane X następujących po sobie bądź statycznie skonfigurowanych adresów MAC (Komendę sticky można używać razem z statycznymi adresami MAC).
Adres MAC może być przypisany za pomocą komendy [switchport port-security mac-address adres-MAC / switchport port-security mac-address sticky] jedynie do jednego interfejsu sieciowego na określonym przełączniku.
Adresy automatycznie przypisane do interfejsu sieciowego za pomocą funkcji „sticky”, jest zapisywany w konfiguracji bieżącej (Startup-config), aby nie uległ on utracie po ponownym uruchomieniu systemu, należy zapisać konfigurację.
(config-if)# switchport port-security violation {protect / shutdown / restrict}(shutdown)
Definiuje zachowanie przełącznika w przypadku wykrycia ramki Ethernet-owej posiadającej źródłowy adres MAC inny niż ten przypisany do danego interfejsu lub w przypadku przekroczenia wartości „maximum”.
* shutdown – Blokuje cały nadchodzący ruch, przenosząc określony interfejs sieciowy w stan „Error-Disable State”, jak i jednocześnie wysyła komunikaty systemowe (Logging) oraz wiadomości SNMP trap (celu ponownego uruchomienia interfejsu, należy go zrestartować za pomocą komend [shutdown / no shutdown] tudzież skorzystać z funkcji automatycznego przywracania interfejsów do pełnej funkcjonalności, po wykryciu próby ataku).
* restrict – Blokuje ruch naruszający zasady bezpieczeństwa, zwiększa licznik (Security Violation Counter) jak i wysyła komunikaty systemowe o naruszeniu zasad bezpieczeństwa (PortSecurity).
* protect – Blokuje ruch naruszający zasady bezpieczeństwa, nie zwiększając licznika (Security Violation Counter).
(config-if)# switchport port-security aging {static / time 1-1440(minuty)(5) / type {absolute / inactivity(inactivity)}}
Określa czas po jakim adres MAC zapisany w tablicy „MAC address table”, zostanie z niej usunięty (W przypadku otrzymania ramki Ethernet-owej z danym adresem MAC jako adresem źródłowym, czas „aging” zostanie zresetowany do skonfigurowanej wartości dla danego adresu MAC).
* absolute – Zmienia zasadę postępowania funkcji „aging”, usuwając dany adres MAC z tablicy „MAC address table” po upływie określonego czasu, nawet jeśli została odebrana nowa ramka Ethernetowa.
* static – Zmienia zasadę postępowania funkcji „aging”, usuwając z tablicy „MAC address table” po upływie określonego czasu statyczne wpisy skonfigurowane za pomocą komendy [switchport port-security mac-address adres-MAC].
Blokowanie adresów MAC
Blokowanie adresów MAC za pomocą funkcji Port Blocking
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# switchport protected
Blokuje ruch sieciowy (Unknown Unicast, Multicast oraz Broadcast) nadchodzący z innych interfejsów sieciowych, działających w trybie chronionym „Protected” (Ruch kontrolny nie jest blokowany).
(config-if)# switchport block unicast
Blokuje wymianę ruchu sieciowego (Unknown Unicast).
(config-if)# switchport block multicast
Blokuje wymianę ruchu sieciowego (Unknown Multicast).
Blokowanie adresów MAC za pomocą tablicy MAC Address Table
(config)# mac address-table static adres-MAC vlan vlan-ID drop
Blokuje ruch sieciowy nadchodzący z określonego adresu MAC (Jedynie ruch Unicast może być blokowany).
Maco (Switchport Host)
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# switchport host
Określa konfigurowany interfejs jako port dostępowy (Access, Edge) jak i dezaktywuje na nim funkcje Etherchannel. Macro [switchport host] wykonuje następujące komendy CLI:
* [switchport mode access]
* [spanning-tree portfast]
* [no channel-group]
Komendy SHOW
# show interface status err-disabled
Wyświetla informacje o interfejsach znajdujących się w stanie „err-disabled”.
# show port-security address
Wyświetla adresy MAC statycznie bądź dynamicznie przypisane do interfejsów sieciowych.
# show port-security [interface interfejs]
Wyświetla interfejsy przełącznika z włączoną funkcją Port Security, jednocześnie informując o skonfigurowanych ustawieniach, takich jak „Violation”, „mac-address” czy „mac-address maximum”.
Komendy CLEAR
# clear port-security [all / configured / dynamic / sticky] [address adres-MAC / interface interfejs]
Czyści przypisane do interfejsu/sów adresy MAC.
Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej
- Zagrożenia sieciowe
- Teoria funkcji Port-Security
- Troubleshooting funkcji Port-Security
- Konfiguracja funkcji Port-Security
- Teoria funkcji DHCP Snooping
- Konfiguracja DHCP Snooping
- Teoria Dynamic ARP Inspection
- Konfiguracja Dynamic ARP Inspection
- Funkcja IP Source Guard
- Teoria funkcji Storm Control
- Troubleshooting funkcji Storm Control
- Konfiguracja funkcji Storm Control
- Przywracanie portów po naruszaniu zasad bezpieczeństwa