Например у нас есть свич Cisco 2960, у которого 48 портов FastEthernet. Порты соединены с розетками. Необходимо создать политику, согласно которой к розетке можно подключить только один девайс, создав препятствие к массовому возникновению сетей на основе нелегальных SOHO-коммутаторов, а также исключить попытки MAC-flood нашего коммутатора.
Технология Port Security позволяет регулировать входной трафик устройства Cisco путем ограничения (и идентификации) активных MAC-адресов на порту. Это нам и надо.
Конечно, ограничение количества MAC-адресов — мера условная, и ее можно обойти, например с помощью SOHO-роутера с настроенной трансляцией сетевых адресов. Но во-первых, мы рассматриваем проблему в разрезе канального уровня. Во-вторых, SOHO-роутер дороже SOHO-коммутатора. А в-третьих, от попыток флудинга Port Security таки защищает.
В режиме глобальной конфигурации укажем диапазон настраиваемых портов и настроим порты:
(config)# int range fa 0/1 - 48
(config-if-range)# switchport mode access
(config-if-range)# switchport port-security
(config-if-range)# switchport port-security violation protect
(config-if-range)# switchport port-security maximum 1
(config-if-range)# switchport port-security mac-address sticky
Первая строка — включаем Port Security
Вторая – переводим порты в access
Третяя — определяем действие при нарушении политики безопасности
Четвертая задает количество разрешенных на порту MAC’ов (по умолчанию 1)
Пятая включает добавление обнаруженных на порту MAС’ов в running-config (если сохранить в startup-config, то будет действительно и после перезагрузки).
Режим protect — самый «гуманный» из возможных способов реакции на превышение допустимого количества MAC’ов. Трафик maximum адресов, «засветившихся» раньше других на этом порту, будет разрешен. Кадры от «лишних» источников будут отбрасываться.
Режим restrict — то же, что и protect, но отправляется SNMP-трап, и делается запись в syslog (а еще счетчик инцидентов тикает).
Режим shutdown (по умолчанию) — если количество MAC’ов больше maximum, то порт отключается (error-disabled). Здесь опять будет полезным настроить автоматическое включения порта через заданное время после инцидента (errdisable recovery cause psecure-violation), чтобы каждый раз не писать «no shutdown» вручную.
С помощью Port Security можно создавать что-то вроде ACL канального уровня. Пусть, например, требуется разрешить доступ к порту только данным трем компьютерам. Решение заключается в выставлении maximum в 3 и указании всех трех MAC-адресов с помощью параметра mac-address:
(config)# interface FastEthernet0/3
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security maximum 3
(config-if)# switchport port-security violation protect
(config-if)# switchport port-security mac-address 0000.0100.c26d
(config-if)# switchport port-security mac-address 0000.0100.f0dd
(config-if)# switchport port-security mac-address 0000.0100.f178
