|
switchport port-security violation restrict - указывает режим реагирование
на нарушение. Таким образом, если на данном интерфейсе одновременно
«засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter).
switchport port-security violation shutdown- при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»).
Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется.
Какой именно способ выбрать дело каждого, но «switchport port-security violation restrict» является оптимальной для большинства случаев.
Очистка таблицы MAC-адресов
Очистить таблицу MAC-адресов, для подключения других устройств:
switch# clear port-security [all|configured|dynamic|sticky] [address
|interface ]:
switch #clear port-security all
switch #clear port-security configured
Просмотр информации о настройках port security
switch# show port-security
switch# show port-security interface fa0/3 switch# show port-security address
Задание
Требуется соединить физическую сеть в соответствии со схемой сети или построить соответствующий проект в Cisco Packet Tracer.
Постройте топологию сети (приведенный на рисунке 2.4.) на программе Cisco Packet Tracer;
Настройте IP-адрес для каждого компьютера и определите MAC-адрес как показано на рисунке 2.2.;
Настройте службы безопасности для каждого порта коммутатора;
Заполните таблицу 2.1. с выше указанными заданиями.
Рис. 2.4 – Топология сети
Таблица 2.1
Устро
йства
|
IP
адрес
|
МАС адрес
|
Интер
фейс
|
Режим
реагирования
|
Lapto
p0
|
192.1
68.1.1
|
00E0.F902.D68
3
|
Fa0
|
n/a
|
Lapto
p1
|
192.1
68.1.2
|
000B.BE9B.EE
4A
|
Fa0
|
n/a
|
Lapto
p2
|
192.1
68.1.3
|
00D0.5819.04E
3
|
Fa0
|
n/a
|
Lapto
p3
|
192.1
68.1.4
|
0004.9AB9.DA
C2
|
Fa0
|
n/a
|
Lapto
p4
|
192.1
68.1.5
|
00D0.BAC2.8C
58
|
Fa0
|
n/a
|
Lapto
p5
|
192.1
68.1.6
|
0000.0C6E.01E
0
|
Fa0
|
n/a
|
SW1
|
N/A
|
N/A
|
Fa0/1
|
sticky
|
SW1
|
N/A
|
N/A
|
Fa0/2
|
mac-адрес 00D0.5819
.04E3
|
SW1
|
N/A
|
N/A
|
Fa0/3
|
violation
protect
|
SW1
|
N/A
|
N/A
|
Fa0/5-
24
|
Shutdown
|
SW2
|
N/A
|
N/A
|
Fa0/1
|
restrict
|
SW2
|
N/A
|
N/A
|
Fa0/2
|
restrict
|
SW2
|
N/A
|
N/A
|
Fa0/3
|
Protect
|
SW2
|
N/A
|
N/A
|
Fa0/4
|
maximum 4
|
Методика выполнения работы
Switch>enable
Switch#configure terminal Switch(config)#hostname Sw1 Sw1(config)#interface fa0/1
Устанавливаем порт в режим access
Sw1(config-if)#switchport mode access
Активируем port-security на порту
Sw1 (config-if)#switchport port-security
Устанавливаем динамическое определение secure-mac Sw1 (config-if)#switchport port-security mac-address sticky Sw1 (config-if)#exit
Устанавливаем статическое определение secure-mac
Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security mac-address 000B.BE9B.EE4A Sw1(config-if)#end
Настройка режима реагирования на нарушения безопасности
Sw1(config)#interface fastEthernet 0/3 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security mac-address sticky Sw1(config-if)#switchport port-security violation protect Sw1(config-if)#end
Отключение неиспользуемых портов
Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown
Устанавливаем максимальное количество secure-mac на порту (это команда выполняется на коммутаторе Sw2)
Switch>enable Switch#configure terminal Switch(config)#hostname Sw2 Sw2(config)#interface fa0/4
Sw2(config-if)#switchport mode trunk
Sw2(config-if)#switchport port-security maximum 4 Sw2(config-if)#switchport port-security violation restrict
Проверяем результат
Switch#show port-security interface fa 0/1 Port Security : Enabled
Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1
Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0
Last Source Address:Vlan : 0001.63B4.E4A6:1 Security Violation Count : 0
Сохраняем конфигурацию
Switch#copy running-config startup-config
Контрольные вопросы
Зачем нужно включать функцию безопасности порта на коммутаторе?
В чем заключается функция Port security?
Опишите основные атрибуты функция Port security.
Что такое MAC-адрес и как он определяется на устройствах?
Для чего в коммутаторе используется функция защиты порта?
В каких случаях используется максимальное количество N Secure- MAC?
Знаете ли вы какие-либо другие меры по обеспечению безопасности коммутатора?
Do'stlaringiz bilan baham: |
