Как настроить безопасность на портах коммутатора Cisco с помощью Port Security

Как настроить безопасность на портах коммутатора Cisco с помощью Port Security

Рассмотрим, как повысить безопасность локальной сети и настроить ограничение MAC-адресов на коммутаторе Cisco с помощью функции Port Security.

Содержание:

  1. Топология
  2. Общие сведения
  3. Сценарий
  4. Режимы реагирования на нарушение безопасности
  5. Задачи
    1. Настройки коммутатора и маршрутизатора после выполнения Части 2
    2. Настройки маршрутизатора после выполнения Части 3
    3. Настройки коммутатора после выполнения Части 3
  6. Выводы

Топология

Исследуемая топология состоит из одного коммутатора Cisco Catalyst 2960 с операционной системой Cisco WS-C2960-24TT-L с ОС Cisco IOS Release 15.0(2)SE4 (образ C2960-LANBASEK9-M) и одного маршрутизатора Cisco 2911 с операционной системой Cisco IOS версии 15.6(3)M2 (образ C2900-UNIVERSALK9-M)). Допускается использование других коммутаторов и версий Cisco IOS.

Схема топологии следующая:

безопасность на портах коммутатора Cisco

Лабораторная работа доступна здесь: CCNA RS / CCNA Security Lab Configure Switch Port Security.

Общие сведения

Перед введением коммутатора в эксплуатацию необходимо обеспечить безопасность всех портов (интерфейсов) коммутатора. Один из способов защиты портов — использование функции безопасности портов (функция Port Security). Данная функция ограничивает количество допустимых МАС-адресов на одном порте. Доступ для MAC-адресов санкционированных устройств разрешен, а для остальных MAC-адресов — запрещен.

Для того чтобы разрешить доступ одному или нескольким МАС-адресам, необходимо настроить функцию безопасности портов. В случае, если количество разрешенных МАС-адресов на порте ограничено до одного, к этому порту может подключиться только устройство с этим конкретным МАС-адресом.

Если порт настроен как защищенный, и достигнуто максимальное количество МАС-адресов, любые дополнительные попытки подключения с неизвестных адресов приведут к нарушению безопасности.

Сценарий

В этой статье будет рассмотрена настройка и проверка одной из функций безопасности на коммутаторах LAN в соответствии с практическими рекомендациями — функции безопасности порта (Port Security), направленной на блокировку любого устройства с MAC-адресом, который неизвестен коммутатору.

Существует множество способов настроить функцию безопасности порта. В зависимости от настроек, различают следующие типы защищенных адресов:

  • Статическая защита МАС-адреса (Static secure MAC addresses) — МАС-адреса, которые настроены на порте вручную. МАС-адреса, настроенные таким образом, хранятся в таблице адресов и добавляются в текущие настройки коммутатора.
  • Динамическая защита МАС-адреса (Dynamic secure MAC addresses) — МАС-адреса, которые получены динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом, удаляются при перезагрузке коммутатора.
  • Защита МАС-адреса на основе привязки (Sticky secure MAC addresses) — МАС-адреса, которые могут быть получены динамически или настроены вручную. Они хранятся в таблице адресов и добавляются в текущие настройки.

Режимы реагирования на нарушение безопасности

Интерфейс можно настроить на один из трех режимов реагирования на нарушение безопасности, который определяет действия, предпринимаемые в случае нарушения. А именно:

  • Защита (Protect). Когда количество защищенных МАС-адресов достигает предела разрешенных адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищенных МАС-адресов или не будет увеличено максимальное количество разрешенных адресов. Для этого режима не предусмотрено уведомление о нарушении безопасности.
  • Ограничение (Restrict). Когда количество защищенных МАС-адресов достигает предела разрешенных адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищенных МАС-адресов или не будет увеличено максимальное количество разрешенных адресов. Для этого режима предусмотрено уведомление о нарушении безопасности.
  • Выключение (Shutdown). В этом режиме (установленном по умолчанию) нарушение безопасности порта вызывает немедленное отключение интерфейса по причине ошибки и отключает индикатор порта. Для этого режима предусмотрено увеличение значения счетчика нарушений.

Задачи

  1. Построение сети и проверка соединения.
  2. Настройка основных параметров устройств и проверка соединения.
  3. Настройка и проверка параметров безопасности для S1.

Настройки коммутатора и маршрутизатора после выполнения Части 2

Настройки маршрутизатора после выполнения Части 3

Настройки коммутатора после выполнения Части 3

Выводы

Спасибо за уделенное время на прочтение статьи. Теперь вы знаете больше о том, как обеспечить безопасность на портах коммутатора Cisco при помощи Port Security!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Поиск по сайту
Лучшее
Популярное
Рубрики
Меню