С целью повышения безопасности в коммутаторе существует возможность настроить какой-либо порт так, чтобы доступ к коммутатору через этот порт предоставлялся только заданным устройствам. Функция защиты портов основана на определении МАС-адресов, которым разрешается доступ.
Существует несколько режимов работы port security.
1) По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static. В данном режиме сохраняет в файл текущие динамически изученные адреса, связанные с интерфейсом и запрещает обучение новым адресам и старение уже изученных адресов
Пример настройки port security в режиме lock. Данный режим также добавляет все статически MAC-адреса в конфигурацию show run.
Включить функцию защиты на интерфейсе:
console(config-if)# port security discard trap 300
2) Режим max-addresses удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение разрешены.
Пример настройки:
Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# port security mode max-addresses
Задать максимальное количество адресов, которое может изучить порт, например, 10:
console(config-if)# port security max 10
Включить функцию защиты на интерфейсе:
console(config-if)# port security
3) Режим secure delete-on-reset удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются до перезагрузки.
Пример настройки:
Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# port security mode secure delete-on-reset
Задать максимальное количество адресов, которое может изучить порт, например, 3:
console(config-if)# port security max 3
Включить функцию защиты на интерфейсе:
console(config-if)# port security discard trap 300
После настройки порта на нем возможно изучение 3х новых мак-адресов.
4)Режим secure permanent удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются при перезагрузке.
Пример настройки:
Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# port security mode secure permanent
Задать максимальное количество адресов, которое может изучить порт, например, 3:
console(config-if)# port security max 3
Включить функцию защиты на интерфейсе:
console(config-if)# port security
После настройки порта на нем возможно изучение 3х новых мак-адресов. Адреса сохранятся после перезагрузки.
Настройка функции защиты на интерфейсе:
forward — пакеты с неизученными МАС-адресами источника пересылаются.
discard — пакеты с неизученными МАС-адресами источника отбрасываются.
discard-shutdown — пакеты с неизученными МАС-адресами источника отбрасываются, порт отключается.
discard-shutdown-vlan — пакеты с неизученными МАС-адресами источника отбрасываются. Порт удаляется из соответствующей(их) VLAN. Возврат порта во VLAN осуществляется командой set interface active.
Пример настройки
console(config-if)# port security discard trap 300
Активация интерфейса, отключенного функцией защиты порта:
console(config)# set interface active {gi_port | te_port |fo_port | port-channel group | detailed}
show-команды:
show run
show mac address-table
show ports security interface {gi_port | te_port |fo_port | port-channel group | detailed}
show ports security addresses {gi_port | te_port |fo_port | port-channel group | detailed}
show ports security status