(K) Konfiguracja funkcji Port-Security*

Konfiguracja funkcji Port-Security

Konfiguracja funkcji PortSecurity

Konfiguracja funkcji PortSecurity na interfejsie dostępowym Access

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport mode access

Statycznie określa tryb pracy konfigurowanego interfejsu sieciowego.

(config-if)# switchport port-security

Aktywuje funkcję Port-Security na konfigurowanym interfejsie sieciowym, z następującymi domyślnymi ustawieniami: switchport port-security maximum 1, switchport port-security mac-address sticky, switchport port-security violation shutdown.

Konfiguracja funkcji PortSecurity na interfejsie wielodostępowym Trunk

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport trunk encapsulation {dot1q / isl / negotiate}

Określa protokół enkapsulacji połączenia Trunk-owego (Jeżeli obydwa urządzenia wspierają ISL i 802.1Q to protokół DTP automatycznie utworzy połączenie z wykorzystaniem protokołu ISL w innym przypadku będzie to protokół dot1q).

(config-if)# switchport mode trunk

Statycznie określa tryb pracy konfigurowanego interfejsu sieciowego.

(config-if)# switchport nonegotiate

Wyłącza auto negocjacje połączenia Trunk-owego.

(config-if)# switchport port-security

Aktywuje funkcję Port-Security na konfigurowanym interfejsie sieciowym, z następującymi domyślnymi ustawieniami: switchport port-security maximum 1, switchport port-security mac-address sticky, switchport port-security violation shutdown.

Zmiana domyślnych ustawień funkcji Port-Security

(config-if)# switchport port-security maximum 1-1024(1)

Ustala maksymalną liczbę adresów MAC jaka może być podłączona do danego interfejsu przełącznika. W przypadku przekroczenia tej wartości port zostanie zablokowany.

(config-if)# switchport port-security mac-address {adres-MAC [vlan vlan-ID [access / voice]] / sticky}(sticky)

Przypisuje statyczny adres MAC do wybranego interfejsu (adres-MAC), bądź pobiera źródłowy adres MAC z pierwszej otrzymanej ramki Ethernet-owej (Sticky). W przypadku jednoczesnego użycia komendy [switchport port-security maximum X], do interfejsu zostanie przypisane X następujących po sobie bądź statycznie skonfigurowanych adresów MAC (Komendę sticky można używać razem z statycznymi adresami MAC).
Adres MAC może być przypisany za pomocą komendy [switchport port-security mac-address adres-MAC / switchport port-security mac-address sticky] jedynie do jednego interfejsu sieciowego na określonym przełączniku.
Adresy automatycznie przypisane do interfejsu sieciowego za pomocą funkcji „sticky”, jest zapisywany w konfiguracji bieżącej (Startup-config), aby nie uległ  on utracie po ponownym uruchomieniu systemu, należy zapisać konfigurację.

(config-if)# switchport port-security violation {protect / shutdown / restrict}(shutdown)

Definiuje zachowanie przełącznika w przypadku wykrycia ramki Ethernet-owej posiadającej źródłowy adres MAC inny niż ten przypisany do danego interfejsu lub w przypadku przekroczenia wartości „maximum”.
* shutdown – Blokuje cały nadchodzący ruch, przenosząc określony interfejs sieciowy w stan Error-Disable State, jak i jednocześnie wysyła komunikaty systemowe (Logging) oraz wiadomości SNMP trap (celu ponownego uruchomienia interfejsu, należy go zrestartować za pomocą komend [shutdown / no shutdown] tudzież skorzystać z funkcji automatycznego przywracania interfejsów do pełnej funkcjonalności, po wykryciu próby ataku).
* restrict – Blokuje ruch naruszający zasady bezpieczeństwa, zwiększa licznik (Security Violation Counter) jak i wysyła komunikaty systemowe o naruszeniu zasad bezpieczeństwa (PortSecurity).
* protect – Blokuje ruch naruszający zasady bezpieczeństwa, nie zwiększając licznika (Security Violation Counter).

(config-if)# switchport port-security aging {static / time 1-1440(minuty)(5) / type {absolute / inactivity(inactivity)}}

Określa czas po jakim adres MAC zapisany w tablicy „MAC address table”, zostanie z niej usunięty (W przypadku otrzymania ramki Ethernet-owej z danym adresem MAC jako adresem źródłowym, czas „aging” zostanie zresetowany do skonfigurowanej wartości dla danego adresu MAC).
* absolute – Zmienia zasadę postępowania funkcji „aging”, usuwając dany adres MAC z tablicy „MAC address table” po upływie określonego czasu, nawet jeśli została odebrana nowa ramka Ethernetowa.
* static – Zmienia zasadę postępowania funkcji „aging”, usuwając z tablicy „MAC address table” po upływie określonego czasu statyczne wpisy skonfigurowane za pomocą komendy [switchport port-security mac-address adres-MAC].

Blokowanie adresów MAC

Blokowanie adresów MAC za pomocą funkcji Port Blocking

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport protected

Blokuje ruch sieciowy (Unknown Unicast, Multicast oraz Broadcast) nadchodzący z innych interfejsów sieciowych, działających w trybie chronionym „Protected” (Ruch kontrolny nie jest blokowany).

(config-if)# switchport block unicast

Blokuje wymianę ruchu sieciowego (Unknown Unicast).

(config-if)# switchport block multicast

Blokuje wymianę ruchu sieciowego (Unknown Multicast).

Blokowanie adresów MAC za pomocą tablicy MAC Address Table

(config)# mac address-table static adres-MAC vlan vlan-ID drop

Blokuje ruch sieciowy nadchodzący z określonego adresu MAC (Jedynie ruch Unicast może być blokowany).

Maco (Switchport Host)

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport host

Określa konfigurowany interfejs jako port dostępowy (Access, Edge) jak i dezaktywuje na nim  funkcje Etherchannel. Macro [switchport host] wykonuje następujące komendy CLI:
* [switchport mode access]
* [spanning-tree portfast]
* [no channel-group]

Komendy SHOW

# show interface status err-disabled

Wyświetla informacje o interfejsach znajdujących się w stanie „err-disabled”.

# show port-security address

Wyświetla adresy MAC statycznie bądź dynamicznie przypisane do interfejsów sieciowych.

# show port-security [interface interfejs]

Wyświetla interfejsy przełącznika z włączoną funkcją Port Security, jednocześnie informując o skonfigurowanych ustawieniach, takich jak „Violation”, „mac-address” czy „mac-address maximum”.

Komendy CLEAR

# clear port-security [all / configured / dynamic / sticky] [address adres-MAC / interface interfejs]

Czyści przypisane do interfejsu/sów adresy MAC.

Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz