С целью повышения безопасности в коммутаторе существует возможность настроить какой-либо порт так, чтобы доступ к коммутатору через этот порт предоставлялся только заданным устройствам. Функция защиты портов основана на определении МАС-адресов, которым разрешается доступ.
Существует несколько режимов работы port security.
1) По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static. В данном режиме сохраняет в файл текущие динамически изученные адреса, связанные с интерфейсом и запрещает обучение новым адресам и старение уже изученных адресов
Пример настройки port-security в режиме lock. Данный режим также добавляет все статически MAC-адреса в конфигурацию show run.
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
2) Режим max-address удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение разрешены.
Пример настройки максимального количества MAC адресов, которое может изучить порт:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# switchport port-security mode max-addresses
- Задать максимальное количество адресов, которое может изучить порт, например, 10:
console(config-if)# switchport port-security mac-limit 10
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
3) Режим secure-delete-on-reset удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются до перезагрузки.
Пример настройки secure-delete-on-reset:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# switchport port-security mode secure-delete-on-reset
- Задать максимальное количество адресов, которое может изучить порт, например, 2:
console(config-if)# switchport port-security mac-limit 2
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
После настройки порта на нем возможно изучение 2х новых мак-адресов.
4)Режим secure-permanent удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются при перезагрузке
Пример настройки:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# switchport port-security mode secure-permanent
- Задать максимальное количество адресов, которое может изучить порт, например, 2:
console(config-if)# switchport port-security mac-limit 2
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
После настройки порта на нем возможно изучение 2х новых мак-адресов. Адреса сохранятся после перезагузки
Настройка режима реагирования возможна в 2х режимах:
- protect - в данном режиме оповещения о нарушении безопасности нет. Режим по умолчанию
- restrict -в данном режиме при нарушении безопасности отправляется SNMP-трап на SYSLOG-сервер
Пример настройки
console(config-if)# switchport port-security violation restrict
Настройка мак-адреса в port-security ручном режиме. После ввода команды на порту настройка не появлется в конфигурации и отображается только как вывод команды show mac-address-table
console(config-if)# switchport port-security unicast aa:bb:cc:dd:00:11
show-команды:
show run
show mac-address-table