Защищаемся с помощью Port Security

Например у нас есть свич Cisco 2960, у которого 48 портов FastEthernet. Порты соединены с розетками. Необходимо создать политику, согласно которой к розетке можно подключить только один девайс, создав препятствие к массовому возникновению сетей на основе нелегальных SOHO-коммутаторов, а также исключить попытки MAC-flood нашего коммутатора.

Технология Port Security позволяет регулировать входной трафик устройства Cisco путем ограничения (и идентификации) активных MAC-адресов на порту. Это нам и надо.

Конечно, ограничение количества MAC-адресов — мера условная, и ее можно обойти, например с помощью SOHO-роутера с настроенной трансляцией сетевых адресов. Но во-первых, мы рассматриваем проблему в разрезе канального уровня. Во-вторых, SOHO-роутер дороже SOHO-коммутатора. А в-третьих, от попыток флудинга Port Security таки защищает.

В режиме глобальной конфигурации укажем диапазон настраиваемых портов и настроим порты:

(config)# int range fa 0/1 - 48
(config-if-range)# switchport mode access
(config-if-range)# switchport port-security
(config-if-range)# switchport port-security violation protect
(config-if-range)# switchport port-security maximum 1
(config-if-range)# switchport port-security mac-address sticky

Первая строка — включаем Port Security
Вторая — переводим порты в access
Третяя — определяем действие при нарушении политики безопасности
Четвертая задает количество разрешенных на порту MAC’ов (по умолчанию 1)
Пятая включает добавление обнаруженных на порту MAС’ов в running-config (если сохранить в startup-config, то будет действительно и после перезагрузки).

Режим protect — самый «гуманный» из возможных способов реакции на превышение допустимого количества MAC’ов. Трафик maximum адресов, «засветившихся» раньше других на этом порту, будет разрешен. Кадры от «лишних» источников будут отбрасываться.
Режим restrict — то же, что и protect, но отправляется SNMP-трап, и делается запись в syslog (а еще счетчик инцидентов тикает).
Режим shutdown (по умолчанию) — если количество MAC’ов больше maximum, то порт отключается (error-disabled). Здесь опять будет полезным настроить автоматическое включения порта через заданное время после инцидента (errdisable recovery cause psecure-violation), чтобы каждый раз не писать «no shutdown» вручную.

С помощью Port Security можно создавать что-то вроде ACL канального уровня. Пусть, например, требуется разрешить доступ к порту только данным трем компьютерам. Решение заключается в выставлении maximum в 3 и указании всех трех MAC-адресов с помощью параметра mac-address:

(config)# interface FastEthernet0/3
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security maximum 3
(config-if)# switchport port-security violation protect
(config-if)# switchport port-security mac-address 0000.0100.c26d
(config-if)# switchport port-security mac-address 0000.0100.f0dd
(config-if)# switchport port-security mac-address 0000.0100.f178


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Unlix © Все права защищены 2019

Копирование материалов с сайта Unlix.ru без указания полной ссылки на источник ЗАПРЕЩЕНО!