Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

С целью повышения безопасности в коммутаторе существует возможность настроить какой-либо порт так, чтобы доступ к коммутатору через этот порт предоставлялся только заданным устройствам. Функция защиты портов основана на определении МАС-адресов, которым разрешается доступ.

Существует несколько режимов работы port security.


1) По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static. В данном режиме сохраняет в файл текущие динамически изученные адреса, связанные с интерфейсом и запрещает обучение новым адресам и старение уже изученных адресов

Пример настройки port security в режиме lock. Данный режим также добавляет все статически MAC-адреса в конфигурацию show run.

Включить функцию защиты на интерфейсе:

console(config-if)# port security discard trap 300


2) Режим max-addresses удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение разрешены.

Пример настройки:

Установить режим ограничения изучения максимального количества MAC-адресов:

console(config-if)# port security mode max-addresses

Задать максимальное количество адресов, которое может изучить порт, например, 10:

console(config-if)# port security max 10

Включить функцию защиты на интерфейсе:

console(config-if)# port security


3) Режим secure delete-on-reset удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются до перезагрузки.

Пример настройки:

Установить режим ограничения изучения максимального количества MAC-адресов:

console(config-if)# port security mode secure delete-on-reset

Задать максимальное количество адресов, которое может изучить порт, например, 3:

console(config-if)# port security max 3

Включить функцию защиты на интерфейсе:

console(config-if)# port security discard trap 300

После настройки порта на нем возможно изучение 3х новых мак-адресов.


4)Режим secure permanent удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются при перезагрузке.

Пример настройки:

Установить режим ограничения изучения максимального количества MAC-адресов:

console(config-if)# port security mode secure permanent

Задать максимальное количество адресов, которое может изучить порт, например, 3:

console(config-if)# port security max 3

Включить функцию защиты на интерфейсе:

console(config-if)# port security

После настройки порта на нем возможно изучение 3х новых мак-адресов. Адреса сохранятся после перезагрузки.


Настройка функции защиты на интерфейсе:

forward — пакеты с неизученными МАС-адресами источника пересылаются.
discard — пакеты с неизученными МАС-адресами источника отбрасываются.
discard-shutdown — пакеты с неизученными МАС-адресами источника отбрасываются, порт отключается.
discard-shutdown-vlan — пакеты с неизученными МАС-адресами источника отбрасываются. Порт удаляется из соответствующей(их) VLAN. Возврат порта во VLAN осуществляется командой set interface active.

Пример настройки

console(config-if)# port security discard trap 300

Активация интерфейса, отключенного функцией защиты порта:

console(config)# set interface active {gi_port | te_port |fo_port | port-channel group | detailed}


show-команды:

show run

show mac address-table

show ports security interface {gi_port | te_port |fo_port | port-channel group | detailed}

show ports security addresses {gi_port | te_port |fo_port | port-channel group | detailed}

show ports security status