Настройка port security

Опубликовано 2019-5-17 15:50:21 1334 0 1 1

Как предотвратить несанкционированное подключение компьютеров к сети предприятия?

Port Security это функция второго уровня, которая позволяет указать MAC адреса хостов, которым разрешено передавать данные через порт. Используется для предотвращения:

1. Несанционированной смены MAC-адреса сетевого устройства или подключения к сети.

2. Атак направленных на переполнение таблицы коммутации.

После активации, порт не будет передавать пакеты, если MAC-адрес отправителя не указан как разрешенный. Любой MAC адрес, который не был указан при настройке функции, заставит порт войти в одно из следующих состояний:

·   Protect – при достижении максимального числа настроенных на порту MAC-адресов, пакеты с неизвестным MAC-адресом отправителя будут отбрасываться.

·    Restrict – при достижении максимального числа настроенных на порту MAC-адресов, пакеты с неизвестным MAC-адресом отправителя будут отбрасываться. Также отправляется SNMP оповещение.

·   Shutdown – нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-down, выключается немедленно и отправляется SNMP сообщение. По умолчанию, интерфейс не может автоматически подняться. Поэтому необходимо дать команду undo shutdown.

Перейдем к настройке функции port security и посмотрим как она работает:

interface GigabitEthernet 0/0/1
   port link-type access
   port-security enable

Сгенерируем трафик с PC чтобы коммутатор запомнил MAC адрес компьютера. Как видим, коммутатор запомнил MAC адрес 5489-9868-7994 и назначил его на порт GE0/0/1:

[Huawei-GigabitEthernet0/0/1] display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
----------------------------------
MAC Address        VLAN/             PEVLAN CEVLAN   Port            Type           LSP/LSR-ID
                               VSI/SI          MAC-Tunnel
-------------------------------------------------------------------------------
----------------------------------
5489-9868-7994     1                       -              -                  GE0/0/1     security        -
-------------------------------------------------------------------------------
----------------------------------
Total matching items on slot 0 displayed = 1

Теперь посмотрим, что случится, когдаPC с другимMAC адресом присоединится к этому же порту:

May 17 2019 10:31:42-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.6 The number of MAC address on interface (28/28) GigabitEthernet0/0/1 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3:shutdown)

Коммутатор отбрасывает весь трафик, приходящий от другого PC. Порт GE 0/0/1 сменил свой статус на restrict, и только хост с MAC адресом 5489-9868-7994 может посылать трафик на этот порт. Для настройки другим режимов port security, мы можем воспользоваться следующей командой:

[Huawei-GigabitEthernet0/0/1] port-security protect-action ?
   protect                     Discard packets
   restrict                     Discard packets and warning
   shutdown                 shutdown

Важно помнить, что этот безопасный MAC адрес, который был запомнен, хранится в памяти коммутатора и будет там до перезагрузки коммутатора. Чтобы избежать потери, мы можем настроить функцию MAC address sticky. Тогда коммутатор будет сохранять MAC адреса в конфигурационный файл.

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

Также, для запоминания можно вручную задать необходимый MAC адрес. Данную опцию можно использовать, если PC не присоединен к порту коммутатора и его MAC адрес ещё не был получен:

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky 5489-9868-7994 vlan 1
[Huawei-GigabitEthernet0/0/1] display mac-address security
MAC address table of slot 0:
---------------------------------------------------------------------------------------------------------
MAC Address       VLAN/      PEVLAN CEVLAN    Port           Type      LSP/LSR-ID 
                              VSI/SI     MAC-Tunnel 
---------------------------------------------------------------------------------------------------------
5489-9868-7994    1                 -                -                GE0/0/1     sticky      - 
---------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1

Если мы хотим на одном порту использовать несколько устройств, то мы можем воспользоваться следующей командой:

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2

Теперь мы можем добавить второй безопасный MAC адрес:

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky 5489-9868-7996 vlan 1
[Huawei-GigabitEthernet0/0/1] display mac-address security
MAC address table of slot 0:
-------------------------------------------------------------------------------
--------------------------
MAC Address       VLAN/      PEVLAN CEVLAN    Port           Type      LSP/LSR-ID 
                              VSI/SI     MAC-Tunnel
-------------------------------------------------------------------------------
--------------------------
5489-9868-7994     1                -               -                GE0/0/1      sticky     -
5489-9868-7996     1                -               -                GE0/0/1      sticky     -

-------------------------------------------------------------------------------
--------------------------
Total matching items on slot 0 displayed = 2

Ещё одна опция Port Security это время хранения адресов. По умолчанию, каждый MAC адрес хранится в памяти устройства неограниченное время. Задать время хранения адресов можно при помощи следующей команды:

[Huawei-GigabitEthernet0/0/1] port-security aging-time 2

Необходимо помнить, что в данной команде время задается в минутах.

  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх