Настройка Port Security на QSW-2850/2855/3470/3500/3580/3750(Т)/4610
Механизм работы Port Security основан на таблице MAC-адресов. Port Security защищает от атак злоумышленников с переполнением CAM-таблицы, основанных на флуде Ethernet кадров с различными Source MAC-адресами. В результате такой атаки коммутатор будет передавать трафик как Unknown Unicast. Другой тип атаки - замена MAC-адреса устройства злоумышленника на один из действующих MAC-адресов в CAM таблице.
Когда на порт коммутатора приходит Ethernet-кадр, он ищет его Source MAC-адрес в таблице разрешенных MAC-адресов. Если совпадение есть, то кадр будет отправлен по назначению.
От конфигурации Port Security зависит какие MAC-адреса будут разрешены, возможность изучения новых и в каком количестве, а также реакция на подключения не разрешенного устройства. MAC-адрес попадает в CAM-таблицу тремя способами:
Обратите внимание!
Методы Sticky и Dynamic - взаимоисключающие.
При использовании статического метода, на Trunk и Hybrid портах необходимо также указывать VLAN ID.
Настроим Port Security на 1/0/1 порту следующим образом: максимальное количество MAC-адресов равно двум. Действие при превышении количества адресов - restrict:
Другие команды Port-Security:
Просмотреть информацию о срабатывании правила:
Когда на порт коммутатора приходит Ethernet-кадр, он ищет его Source MAC-адрес в таблице разрешенных MAC-адресов. Если совпадение есть, то кадр будет отправлен по назначению.
От конфигурации Port Security зависит какие MAC-адреса будут разрешены, возможность изучения новых и в каком количестве, а также реакция на подключения не разрешенного устройства. MAC-адрес попадает в CAM-таблицу тремя способами:
- Static - добавление MAC-адреса на определенном порту вручную;
- Sticky - то же, что и статическая запись, но добавляемая автоматически при подключении нового устройства;
- Dynamic – изучение MAC-адреса нового устройства динамически (по умолчанию).
Обратите внимание!
Методы Sticky и Dynamic - взаимоисключающие.
При использовании статического метода, на Trunk и Hybrid портах необходимо также указывать VLAN ID.
Пример настройки Port Security
Настройка производится на QSW-3470-52T-AC. Представленные команды аналогичны для всех указанных серий.
Настроим Port Security на 1/0/1 порту следующим образом: максимальное количество MAC-адресов равно двум. Действие при превышении количества адресов - restrict:
QSW-3470-52T(config)#interface ethernet 1/0/1 QSW-3470-52T(config-if-ethernet1/0/1)#switchport port-security QSW-3470-52T(config-if-ethernet1/0/1)#switchport port-security maximum 2 QSW-3470-52T(config-if-ethernet1/0/1)#switchport port-security violation restrict QSW-3470-52T(config-if-ethernet1/0/1)#shutdown QSW-3470-52T(config-if-ethernet1/0/1)#no shutdownСгенерируем на порт 1/0/1 трафик с разными MAC-адресами источников. При превышении указанного порога разрешенного количества адресов, получаем запись в логе:
Jan 01 00:18:41.790 2006 Port-security has reached the threshold on Interface Ethernet1/0/1 and violation mode is restrict, so packets with unknown source addresses are dropped!С этого момента MAC-адреса новых устройств не изучаются за портом 1/0/1. Посмотрим на таблицу MAC-адресов и таблицу адресов Port-Security:
QSW-3470-52T#sh mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 00-03-0f-61-e2-3e STATIC System CPU 1 b4-b6-86-d6-02-f4 SECURED PSecure Ethernet1/0/1 1 b4-b6-86-d6-02-f7 SECURED PSecure Ethernet1/0/1В ней содержится запись типа "SECURED". Все возможные значения:
- SECUREC - статическая запись;
- SECURES - статическая запись методом Sticky;
- SECURED - динамическая запись.
QSW-3470-52T#sh port-security address Secure Mac Address Table Read mac address table.... ----------------------------------------------------------------------------- Vlan Mac Address Type Ports 1 b4-b6-86-d6-02-f4 SECURED Ethernet1/0/11 1 b4-b6-86-d6-02-f7 SECURED Ethernet1/0/11 Total Addresses:2Только две динамические записи, хотя подключено большее количество устройств.
Настроим порт 1/0/2 для изучения MAC-адреса методом sticky:
QSW-3470-52T-AC(config-if-ethernet1/0/2)#switchport port-securityТеперь генерируем трафик на порт 1/0/2 и после превышения максимального количества MAC-адресов получаем:
QSW-3470-52T-AC(config-if-ethernet1/0/2)#switchport port-security mac-address sticky
QSW-3470-52T-AC(config-if-ethernet1/0/2)#shutdown
QSW-3470-52T-AC(config-if-ethernet1/0/2)#no shutdown
%Jan 01 00:40:09.420 2006 Port-security has reached the threshold on Interface Ethernet1/0/2 and violation mode is shutdown, so shutdown it!Порт отключился административно. Напомним, что именно действие "Shutdown" срабатывает по умолчанию, а максимальное разрешенное количество - один MAC-адрес. Выведем таблицу адресов Port-Security снова:
%Jan 01 00:40:09.430 2006 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/2, changed state to DOWN
%Jan 01 00:40:09.430 2006 %LINK-5-CHANGED: Interface Ethernet1/0/2, changed state to administratively DOWN
QSW-3470-52T#show port-security address Secure Mac Address Table ------------------------------------------------------------------------------ Vlan Mac Address Type Ports 1 b4-b6-86-d6-02-f4 SECURES Ethernet1/0/2 Total Addresses:1Посмотрим на конфигурацию порта 1/0/2 в стартовой конфигурации:
QSW-3470-52T#show running-config interface ethernet 1/0/2MAC-адрес изученный с помощью'Sticky' попал в конфигурацию и останется там после перезагрузки коммутатора.
! Interface Ethernet1/0/2
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky b4-b6-86-d6-02-f4
Другие команды Port-Security:
Просмотреть информацию о срабатывании правила:
QSW-3470-52T#show port-securityОчистить таблицу Port Security:
QSW-3470-52T-AC#clear port-securityвозможные значения:
- all - все записи;
- configured - статические;
- dynamic - динамические;
- sticky - записи sticky.
Смотрите так же
К списку
