Главная » Техника

Cisco protected port настроить

Содержание
  1. Protected порты на коммутаторах Cisco Catalyst
  2. ИТ База знаний
  3. Полезно
  4. Навигация
  5. Серверные решения
  6. Телефония
  7. Корпоративные сети
  8. Настройка Cisco Port-Security
  9. Типы Port-Security
  10. Sticky MAC-адреса
  11. Port security
  12. Материал из Xgu.ru
  13. Содержание
  14. [править] Port security на коммутаторах ProCurve
  15. [править] Режимы запоминания адресов
  16. [править] Режимы реагирования на нарушения безопасности
  17. [править] Eavesdrop Prevention
  18. [править] Настройка port security
  19. [править] Отмена настройки port security
  20. [править] Включение порта после его блокировки
  21. [править] Настройка Eavesdrop Prevention
  22. [править] Настройка port security с аутентификацией 802.1X
  23. [править] Port security на коммутаторах Cisco
  24. [править] Безопасные MAC-адреса
  25. [править] Режимы реагирования на нарушения безопасности
  26. [править] Настройки по умолчанию
  27. [править] Настройка port security
  28. [править] Максимальное количество безопасных MAC-адресов
  29. [править] Настройка безопасных MAC-адресов
  30. [править] Настройка режима реагирования на нарушения безопасности
  31. [править] Очистка таблицы MAC-адресов
  32. [править] Настройка port security с аутентификацией 802.1X
  33. [править] Просмотр информации о настройках port security
  34. [править] Совместимость port security с другими функциями коммутатора

Protected порты на коммутаторах Cisco Catalyst

Что такое protected порты, и зачем они нужны? Давайте рассмотрим на примере:

Допустим, у нас есть такая схема сети:

В этой сети все подключенные к коммутатору компьютеры могут взаимодействовать как с маршрутизатором, так и друг с другом. Без каких-либо ограничений.

Вроде все хорошо, но иногда возникает необходимость сделать так:

То есть ограничить взаимодействие между компьютерами в сети, но при этом не ограничивать их доступ к маршрутизатору, серверу, сетевому принтеру или другим общим устройствам в сети.

Для решения этой задачи на коммутаторах Cisco Catalyst есть функциональность, называемая protected ports. Вкратце суть этой функциональности заключается в следующем: Некоторые порты на коммутаторе мы можем настроить как protected. Между этими портами не будут проходить никакие пакеты, ни unicast, ни multicast, ни broadcast, т.е. вообще никакие. Таким образом выполняется изоляция портов друг от друга. При этом между protected портами и всеми остальными, называемыми unprotected, все пакеты будут проходить без ограничений.

Читайте также:  Как настроить весы напольные танита

В нашем примере мы можем настроить порты так:

По умолчанию все порты на коммутаторе являются unprotected, таким образом прохождение пакетов на них никак не ограничивается.

Для включения режима protected введите в режиме настройки интерфейса:

Switch(config-if)# switchport protected

Для отмены режима protected введите:

Switch(config-if)# no switchport protected

Все описанное работает только в пределах одного коммутатора. Если у нас несколько коммутаторов, и на каждом из них есть protected порты, то пакеты между ними будут проходить без ограничений, как между unprotected портами:

Как видите, изоляция портов в cisco — это несложно. Пользуйтесь!

Сisco switchport protected поддерживается не на всех линейках коммутаторов. В таблице ниже расписано, в каких линейках и каких версиях IOS есть поддержка этой функциональности:

Catalyst Express 500 не поддерживает
Catalyst 1900 не поддерживает
Catalyst 2940 поддерживает начиная с версии IOS 12.1(13)AY
Catalyst 2950 поддерживает начиная с версии IOS 12.0(5.2)WC1 или 12.1(4)EA1
Catalyst 2955 поддерживает начиная с версии IOS 12.1(6)EA2
Catalyst 2960 поддерживает начиная с версии IOS 12.2(25)FX
Catalyst 2970 поддерживает начиная с версии IOS 12.1(11)AX
Catalyst 2900XL/3500XL поддерживает начиная с версии IOS 12.0(5)XU (on 8MB switches only)
Catalyst 2948G/2980G не поддерживает
Catalyst 2948G-L3 / 4908G-L3 не поддерживает
Catalyst 3550 поддерживает начиная с версии IOS 12.1(4)EA1
Catalyst 3560 поддерживает начиная с версии IOS 12.1(19)EA1
Catalyst 3750 поддерживает начиная с версии IOS 12.1(11)AX
Catalyst 3750 Metro поддерживает начиная с версии IOS 12.1(14)AX
Catalyst 4500/4000 не поддерживает
Catalyst 5500/5000 не поддерживает
Catalyst 6500/6000 не поддерживает
Catalyst 8500 не поддерживает

Источник

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Настройка Cisco Port-Security

Базовая сетевая безопасность

4 минуты чтения

Привет! Сегодня мы оговорим немного о базовой сетевой безопасности, а именно о Port-Security и о том, как его настроить на коммутаторах Cisco.

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Для начала разберемся, что же вообще такое Port-Security. Port-Security – это функция коммутатора, при помощи которой мы можем указать каким устройствам можно пропускать трафик через определенные порты. Устройство определяется по его MAC-адресу.

Эта функция предназначена для защиты от несанкционированного подключения к сети и атак, направленных на переполнение таблицы MAC-адресов. При помощи нее мы можем указывать конкретные адреса, с которых разрешен доступ или указывать максимальное количество MAC-адресов, которые могут передавать трафик через порт.

Типы Port-Security

Существует несколько способов настройки port-security:

  • Статические MAC-адреса – MAC-адреса, которые вручную настроены на порту, из режима конфигурации порта при помощи команды switchport port-security mac-address [MAC-адрес] . MAC-адреса, сконфигурированные таким образом, сохраняются в таблице адресов и добавляются в текущую конфигурацию коммутатора.
  • Динамические MAC-адреса — MAC-адреса, которые динамически изучаются и хранятся только в таблице адресов. MAC-адреса, сконфигурированные таким образом, удаляются при перезапуске коммутатора.
  • Sticky MAC-адреса — MAC-адреса, которые могут быть изучены динамически или сконфигурированы вручную, затем сохранены в таблице адресов и добавлены в текущую конфигурацию.

Sticky MAC-адреса

Если необходимо настроить port-security со sticky MAC-адресами, которые преобразуются с из динамически изученных адресов и добавляются в текущую конфигурацию, то необходимо настроить так называемое sticky изучение. Для того чтобы его включить необходимо на интерфейсе коммутатора выполнить команду switchport port-security mac-address sticky из режима конфигурации интерфейса.

Когда эта команда введена, коммутатор преобразует все динамически изученные MAC-адреса (включая те, которые были динамически изучены до того, как было включено sticky обучение) к sticky MAC-адресам. Все sticky MAC-адреса добавляются в таблицу адресов и в текущую конфигурацию.

Также sticky адреса можно указать вручную. Когда sticky MAC-адреса настроены при помощи команды switchport port-security mac-address sticky [MAC-адрес], все указанные адреса добавляются в таблицу адресов и текущую конфигурацию.

Если sticky MAC-адреса сохранены в файле конфигурации, то при перезапуске коммутатора или отключении интерфейса интерфейс не должен будет переучивать адреса. Если же sticky адреса не будут сохранены, то они будут потеряны.

Если sticky обучение отключено при помощи команды no switchport port-security mac-address sticky , то эти адреса будут оставаться в таблице адресов, но удалятся из текущей конфигурации.

Обратите внимание, что port-security не будут работать до тех пор, пока не будет введена команда, включающая его — switchport port-security

Нарушение безопасности

Нарушением безопасности являются следующие ситуации:

  • Максимальное количество MAC-адресов было добавлено в таблицу адресов для интерфейса, а устройство, MAC-адрес которого отсутствует в таблице адресов, пытается получить доступ к интерфейсу.
  • Адрес, полученный или сконфигурированный на одном интерфейсе, отображается на другом интерфейсе в той же VLAN.

На интерфейсе может быть настроен один из трех режимов реагирования при нарушении:

  • Protect — когда количество MAC-адресов достигает предела, разрешенного для порта, пакеты с неизвестными исходными адресами отбрасываются до тех пор, пока не будет удалено достаточное количество MAC-адресов или количество максимально допустимых адресов для порта не будет увеличено. Уведомление о нарушении безопасности отсутствует в этом случае.
  • Restrict – то же самое, что и в случае Protect, однако в этом случае появляется уведомление о нарушении безопасности. Счетчик ошибок увеличивается
  • Shutdown – стандартный режим, в котором нарушения заставляют интерфейс немедленно отключиться и отключить светодиод порта. Он также увеличивает счетчик нарушений. Когда порт находится в этом состоянии (error-disabled), его можно вывести из него введя команды shutdown и no shutdown в режиме конфигурации интерфейса.

Чтобы изменить режим нарушения на порту коммутатора, используется команда port-security violation в режиме конфигурации интерфейса.

Режим реагирования Передача траффика Отправка сообщения syslog Отображение сообщения об ошибке Увеличение счетчика нарушений Выключение порта
Protect Нет Нет Нет Нет Нет
Restrict Нет Да Нет Да Нет
Shutdown Нет Нет Нет Да Да
Настройка

Рассмотрим пример настройки:

Если мы не будем ничего уточнять и просто включим port-security командой switchport port-security в режиме конфигурации интерфейса, то максимальное количество адресов на порту будет один, sticky изучение будет выключено, а режим нарушения безопасности будет shutdown.

Проверка порта

Чтобы отобразить параметры port-security используется команда show port-security [номер_интерфейса] .

Чтобы отобразить все защищенные MAC-адреса используется команда show port-security address.

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Источник

Port security

Материал из Xgu.ru

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

  • несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
  • атак направленных на переполнение таблицы коммутации.

Содержание

[править] Port security на коммутаторах ProCurve

[править] Режимы запоминания адресов

Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:

  • Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
  • Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
  • Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
  • Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
  • Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  • none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  • send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляются SNMP trap и сообщение syslog.
  • send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляются SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии — вывести его из этого состояния можно, введя команду port-security

clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.

[править] Eavesdrop Prevention

Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).

Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.

Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.

[править] Настройка port security

Настройка port security:

Параметры команды port-security:

  • learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
  • action — действие, которое будет выполняться при нарушении:
    • none — не выполнять никаких действий
    • send-alarm — отправить сообщение о нарушении (SNMP, log)
    • send-disable — отправить сообщение о нарушении и выключить порт
  • address-limit — максимальное количество MAC-адресов, которое будет разрешено на порту:
    • Применяется к режимам static, configured и limited-continuous
    • Для static и configured значения от 1 до 8
    • Для limited-continuous — от 1 до 32
    • По умолчанию для всех режимов разрешен 1 MAC-адрес
  • mac-address — статическое задание разрешенных MAC-адресов для режимов static и configured.
  • clear-intrusion-flag — очистить intrusion flag для указанных портов. После этого можно включать порт, который выключился из-за нарушения port security.

[править] Отмена настройки port security

Отмена настройки port security:

[править] Включение порта после его блокировки

Включение порта после того, как он был выключен port security:

[править] Настройка Eavesdrop Prevention

[править] Настройка port security с аутентификацией 802.1X

Необходимо настроить port security в режиме запоминания port-access:

Установить при настройке аутентификации 802.1X режим контроля auto:

Port security и режим контроля аутентификации 802.1X:

  • Если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста с которого подключился аутентифицированный пользователь как безопасный,
  • Если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный.

[править] Port security на коммутаторах Cisco

[править] Безопасные MAC-адреса

Коммутатор поддерживает такие типы безопасных MAC-адресов:

  • Статические MAC-адреса:
    • задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
    • хранятся в таблице адресов,
    • добавляются в текущую конфигурацию коммутатора;
  • Динамические MAC-адреса:
    • динамически выучиваются,
    • хранятся только в таблице адресов,
    • удаляются при перезагрузке коммутатора;
  • Sticky MAC-адреса:
    • могут быть статически настроены или динамически выучены,
    • хранятся в таблице адресов,
    • добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
  • адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN’е.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  • protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  • restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
  • shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.

Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.

[править] Настройки по умолчанию

На коммутаторах Cisco такие настройки по умолчанию для функции port security:

  • Port security — выключен.
  • Запоминание sticky-адресов — выключено.
  • Максимальное количество безопасных MAC-адресов на порту — 1.
  • Режим реагирования на нарушения — shutdown.
  • Время хранения адресов:
    • отключено. Значение aging time — 0,
    • для статических адресов — отключено,
    • тип времени — абсолютное.

[править] Настройка port security

Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:

Включение port security на интерфейсе (после этого включены настройки по умолчанию):

Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят.

Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию.

[править] Максимальное количество безопасных MAC-адресов

Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:

Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:

Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).

Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:

Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.

Просмотр информации о настройках port-security для VLAN 7:

Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу «кто первый встал того и тапки».

Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan’ах. Настройка port-security в таком случае будет выглядеть следующим образом:

[править] Настройка безопасных MAC-адресов

Включение sticky запоминания адресов:

[править] Настройка режима реагирования на нарушения безопасности

Режим реагирования на нарушения безопасности (по умолчанию shutdown):

Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.

Посмотреть, что порт перешел в состояние error-disabled:

[править] Очистка таблицы MAC-адресов

Очистить таблицу MAC-адресов, для подключения других устройств:

[править] Настройка port security с аутентификацией 802.1X

[править] Просмотр информации о настройках port security

[править] Совместимость port security с другими функциями коммутатора

Port security несовместима с такими функциями коммутатора:

  • порт на котором включен DTP (switchport mode dynamic),
  • интерфейс переведенный в режим третьего уровня (no switchport),
  • SPAN destination port,

Port security совместима с такими функциями коммутатора:

Источник

Оцените статью
© 2024 Настройка и ремонт техники