Отправить запрос

    Отправить запрос

    Внимание! Если у вас вопрос в техническую поддержку, то вам нужно завести заявку в разделе технической поддержки

    Настройка Port Security на QSW-2850/2855/3470/3500/3580/3750(Т)/4610

    Механизм работы Port Security основан на таблице MAC-адресов. Port Security защищает от атак злоумышленников с переполнением CAM-таблицы, основанных на флуде Ethernet кадров с различными Source MAC-адресами. В результате такой атаки коммутатор будет передавать трафик как Unknown Unicast. Другой тип атаки - замена MAC-адреса устройства злоумышленника на один из действующих MAC-адресов в CAM таблице.

    Когда на порт коммутатора приходит Ethernet-кадр, он ищет его Source MAC-адрес в таблице разрешенных MAC-адресов. Если совпадение есть, то кадр будет отправлен по назначению.
    От конфигурации Port Security зависит какие MAC-адреса будут разрешены, возможность изучения новых и в каком количестве, а также реакция на подключения не разрешенного устройства. MAC-адрес попадает в CAM-таблицу тремя способами:
    • Static - добавление MAC-адреса на определенном порту вручную;
    • Sticky - то же, что и статическая запись, но добавляемая автоматически при подключении нового устройства;
    • Dynamic – изучение MAC-адреса нового устройства динамически (по умолчанию).
    При конфигурации Static и Sticky MAC адреса сохраняются в памяти и загрузятся в конфигурацию и после перезагрузки коммутатора.


    Обратите внимание!

    Методы Sticky и Dynamic - взаимоисключающие.
    При использовании статического метода, на Trunk и Hybrid портах необходимо также указывать VLAN ID.

    Пример настройки Port Security

    Настройка производится на QSW-3470-52T-AC. Представленные команды аналогичны для всех указанных серий.
    Настроим Port Security на 1/0/1 порту следующим образом: максимальное количество MAC-адресов равно двум. Действие при превышении количества адресов - restrict:
       QSW-3470-52T(config)#interface ethernet 1/0/1
       QSW-3470-52T(config-if-ethernet1/0/1)#switchport port-security
       QSW-3470-52T(config-if-ethernet1/0/1)#switchport port-security maximum 2
       QSW-3470-52T(config-if-ethernet1/0/1)#switchport port-security violation restrict
       QSW-3470-52T(config-if-ethernet1/0/1)#shutdown
       QSW-3470-52T(config-if-ethernet1/0/1)#no shutdown
    Сгенерируем на порт 1/0/1 трафик с разными MAC-адресами источников. При превышении указанного порога разрешенного количества адресов, получаем запись в логе:
       Jan 01 00:18:41.790 2006 Port-security has reached the threshold on Interface Ethernet1/0/1 and violation mode is restrict, so packets with unknown source addresses are dropped!
    С этого момента MAC-адреса новых устройств не изучаются за портом 1/0/1. Посмотрим на таблицу MAC-адресов и таблицу адресов Port-Security:
       QSW-3470-52T#sh mac-address-table
       Read mac address table....
       Vlan Mac Address Type Creator Ports
       ---- --------------------------- ------- -------------------------------------
       1 00-03-0f-61-e2-3e STATIC System CPU
       1 b4-b6-86-d6-02-f4 SECURED PSecure Ethernet1/0/1
       1 b4-b6-86-d6-02-f7 SECURED PSecure Ethernet1/0/1
    В ней содержится запись типа "SECURED". Все возможные значения:
    • SECUREC - статическая запись;
    • SECURES - статическая запись методом Sticky;
    • SECURED - динамическая запись.
       QSW-3470-52T#sh port-security address 
       Secure Mac Address Table Read mac address table....
       -----------------------------------------------------------------------------  
       Vlan      Mac Address                    Type                Ports 
       1         b4-b6-86-d6-02-f4              SECURED             Ethernet1/0/11
       1         b4-b6-86-d6-02-f7              SECURED             Ethernet1/0/11          
       Total Addresses:2
    Только две динамические записи, хотя подключено большее количество устройств.

    Настроим порт 1/0/2 для изучения MAC-адреса методом sticky:
       QSW-3470-52T-AC(config-if-ethernet1/0/2)#switchport port-security 
    QSW-3470-52T-AC(config-if-ethernet1/0/2)#switchport port-security mac-address sticky
    QSW-3470-52T-AC(config-if-ethernet1/0/2)#shutdown
    QSW-3470-52T-AC(config-if-ethernet1/0/2)#no shutdown
    Теперь генерируем трафик на порт 1/0/2 и после превышения максимального количества MAC-адресов получаем:
       %Jan 01 00:40:09.420 2006 Port-security has reached the threshold on Interface Ethernet1/0/2 and violation mode is shutdown, so shutdown it!
    %Jan 01 00:40:09.430 2006 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/2, changed state to DOWN
    %Jan 01 00:40:09.430 2006 %LINK-5-CHANGED: Interface Ethernet1/0/2, changed state to administratively DOWN
    Порт отключился административно. Напомним, что именно действие "Shutdown" срабатывает по умолчанию, а максимальное разрешенное количество - один MAC-адрес. Выведем таблицу адресов Port-Security снова:
       QSW-3470-52T#show port-security address 
       Secure Mac Address Table 
       ------------------------------------------------------------------------------ 
       Vlan Mac Address Type Ports 
       1 b4-b6-86-d6-02-f4 SECURES Ethernet1/0/2 
       Total Addresses:1
    Посмотрим на конфигурацию порта 1/0/2 в стартовой конфигурации:
       QSW-3470-52T#show running-config interface ethernet 1/0/2
    ! Interface Ethernet1/0/2
    switchport port-security
    switchport port-security mac-address sticky
    switchport port-security mac-address sticky b4-b6-86-d6-02-f4
    MAC-адрес изученный с помощью'Sticky' попал в конфигурацию и останется там после перезагрузки коммутатора.

    Другие команды Port-Security:
    Просмотреть информацию о срабатывании правила:
       QSW-3470-52T#show port-security 
    Очистить таблицу Port Security:
       QSW-3470-52T-AC#clear port-security
    возможные значения:
    • all - все записи;
    • configured - статические;
    • dynamic - динамические;
    • sticky - записи sticky.



    Смотрите так же

    К списку