Обеспечение безопасности портов

Download 116,76 Kb.

bet	3/3
Sana	23.07.2022
Hajmi	116,76 Kb.
	#843742

1 2 3

Bog'liq
lab2 (1)

switchport port-security violation restrict - указывает режим реагирование
на нарушение. Таким образом, если на данном интерфейсе одновременно
«засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter).
switchport port-security violation shutdown- при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»).
Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется.
Какой именно способ выбрать дело каждого, но «switchport port-security violation restrict» является оптимальной для большинства случаев.

Очистка таблицы MAC-адресов

Очистить таблицу MAC-адресов, для подключения других устройств:

switch# clear port-security [all|configured|dynamic|sticky] [address
|interface ]:
switch #clear port-security all
switch #clear port-security configured

Просмотр информации о настройках port security

switch# show port-security
switch# show port-security interface fa0/3 switch# show port-security address

Задание
Требуется соединить физическую сеть в соответствии со схемой сети или построить соответствующий проект в Cisco Packet Tracer.

Постройте топологию сети (приведенный на рисунке 2.4.) на программе Cisco Packet Tracer;
Настройте IP-адрес для каждого компьютера и определите MAC-адрес как показано на рисунке 2.2.;
Настройте службы безопасности для каждого порта коммутатора;
Заполните таблицу 2.1. с выше указанными заданиями.

Рис. 2.4 – Топология сети

Таблица 2.1

Устро йства	IP адрес	МАС адрес	Интер фейс	Режим реагирования
Lapto p0	192.1 68.1.1	00E0.F902.D68 3	Fa0	n/a
Lapto p1	192.1 68.1.2	000B.BE9B.EE 4A	Fa0	n/a
Lapto p2	192.1 68.1.3	00D0.5819.04E 3	Fa0	n/a
Lapto p3	192.1 68.1.4	0004.9AB9.DA C2	Fa0	n/a
Lapto p4	192.1 68.1.5	00D0.BAC2.8C 58	Fa0	n/a
Lapto p5	192.1 68.1.6	0000.0C6E.01E 0	Fa0	n/a
SW1	N/A	N/A	Fa0/1	sticky
SW1	N/A	N/A	Fa0/2	mac-адрес 00D0.5819 .04E3
SW1	N/A	N/A	Fa0/3	violation protect
SW1	N/A	N/A	Fa0/5- 24	Shutdown
SW2	N/A	N/A	Fa0/1	restrict
SW2	N/A	N/A	Fa0/2	restrict
SW2	N/A	N/A	Fa0/3	Protect

SW2

N/A

Fa0/4

maximum 4

Методика выполнения работы

Switch>enable
Switch#configure terminal Switch(config)#hostname Sw1 Sw1(config)#interface fa0/1

Устанавливаем порт в режим access

Sw1(config-if)#switchport mode access

Активируем port-security на порту

Sw1 (config-if)#switchport port-security

Устанавливаем динамическое определение secure-mac Sw1 (config-if)#switchport port-security mac-address sticky Sw1 (config-if)#exit
Устанавливаем статическое определение secure-mac

Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security mac-address 000B.BE9B.EE4A Sw1(config-if)#end

Настройка режима реагирования на нарушения безопасности

Sw1(config)#interface fastEthernet 0/3 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security mac-address sticky Sw1(config-if)#switchport port-security violation protect Sw1(config-if)#end

Отключение неиспользуемых портов

Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown

Устанавливаем максимальное количество secure-mac на порту (это команда выполняется на коммутаторе Sw2)

Switch>enable Switch#configure terminal Switch(config)#hostname Sw2 Sw2(config)#interface fa0/4
Sw2(config-if)#switchport mode trunk
Sw2(config-if)#switchport port-security maximum 4 Sw2(config-if)#switchport port-security violation restrict

Проверяем результат

Switch#show port-security interface fa 0/1 Port Security : Enabled
Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1
Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0
Last Source Address:Vlan : 0001.63B4.E4A6:1 Security Violation Count : 0

Сохраняем конфигурацию

Switch#copy running-config startup-config

Контрольные вопросы

Зачем нужно включать функцию безопасности порта на коммутаторе?
В чем заключается функция Port security?
Опишите основные атрибуты функция Port security.
Что такое MAC-адрес и как он определяется на устройствах?
Для чего в коммутаторе используется функция защиты порта?
В каких случаях используется максимальное количество N Secure- MAC?
Знаете ли вы какие-либо другие меры по обеспечению безопасности коммутатора?

Download 116,76 Kb.

Do'stlaringiz bilan baham:

1 2 3

Обеспечение безопасности портов

Очистка таблицы MAC-адресов

Просмотр информации о настройках port security

Методика выполнения работы

Устанавливаем порт в режим access

Активируем port-security на порту

Устанавливаем статическое определение secure-mac

Настройка режима реагирования на нарушения безопасности

Отключение неиспользуемых портов

Проверяем результат

Сохраняем конфигурацию

Контрольные вопросы