безопасность на портах коммутатора Cisco

Как настроить безопасность на портах коммутатора Cisco с помощью Port Security

Новости

Рассмотрим как повысить безопасность локальной сети и настроить ограничение MAC-адресов на коммутаторе Cisco с помощью функции Port Security.

Исследуемая топология состоит из одного коммутатора Cisco Catalyst 2960 с операционной системой Cisco WS-C2960-24TT-L с ОС Cisco IOS Release 15.0(2)SE4 (образ C2960-LANBASEK9-M) и одного маршрутизатора Cisco 2911 с операционной системой Cisco IOS версии 15.6(3)M2 (образ C2900-UNIVERSALK9-M)). Допускается использование других коммутаторов и версий Cisco IOS.

 

Схема топологии следующая:

безопасность на портах коммутатора Cisco

 

Лабораторная работа доступна здесь: CCNA RS / CCNA Security Lab Configure Switch Port Security.

Общие сведения/сценарий

Перед введением коммутатора в эксплуатацию необходимо обеспечить безопасность всех портов (интерфейсов) коммутатора. Один из способов защиты портов — использование функции безопасности портов (функция Port Security). Данная функция ограничивает количество допустимых МАС-адресов на одном порту. Доступ для MAC-адресов санкционированных устройств разрешен, а для остальных MAC-адресов — запрещен.

Для того чтобы разрешить доступ одному или нескольким МАС-адресам, необходимо настроить функцию безопасности портов. В случае если количество разрешённых МАС-адресов на порте ограничено до одного, к этому порту может подключиться только устройство с этим конкретным МАС-адресом.

Если порт настроен как защищенный и достигнуто максимальное количество МАС-адресов, любые дополнительные попытки подключения с неизвестных адресов приведут к нарушению безопасности.

В этой статье будет рассмотрена настройка и проверка одной из функций безопасности на коммутаторах LAN в соответствии с практическими рекомендациями — функции безопасности порта (Port Security), направленной на блокировку любого устройства с MAC-адресом, который неизвестен коммутатору.

Существует множество способов настроить функцию безопасности порта. В зависимости от конфигурации различают следующие типы защищённых адресов:

  • Статическая защита МАС-адреса (Static secure MAC addresses) — МАС-адреса, которые настроены на порте вручную. МАС-адреса, настроенные таким образом, хранятся в таблице адресов и добавляются в текущую конфигурацию коммутатора.
  • Динамическая защита МАС-адреса (Dynamic secure MAC addresses) — МАС-адреса, которые получены динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом, удаляются при перезагрузке коммутатора.
  • Защита МАС-адреса на основе привязки (Sticky secure MAC addresses) — МАС-адреса, которые могут быть получены динамически или настроены вручную. Они хранятся в таблице адресов и добавляются в текущую конфигурацию.

Интерфейс можно настроить на один из трёх режимов реагирования на нарушение безопасности, который определяет действия, предпринимаемые в случае нарушения.

  • Защита (Protect). Когда количество защищённых МАС-адресов достигает предела разрешённых адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищённых МАС-адресов или не будет увеличено максимальное количество разрешённых адресов. Для этого режима не предусмотрено уведомление о нарушении безопасности.
  • Ограничение (Restrict). Когда количество защищённых МАС-адресов достигает предела разрешённых адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищённых МАС-адресов или не будет увеличено максимальное количество разрешённых адресов. Для этого режима предусмотрено уведомление о нарушении безопасности.
  • Выключение (Shutdown). В этом режиме (установленном по умолчанию) нарушение безопасности порта вызывает немедленное отключение интерфейса по причине ошибки и отключает индикатор порта. Для этого режима предусмотрено увеличение значения счетчика нарушений.

 

Задачи

Часть 1. Построение сети и проверка соединения
Часть 2. Конфигурация основных параметров устройств и проверка соединения
Часть 3. Настройка и проверка параметров безопасности для S1

 

Конфигурации коммутатора и маршрутизатора после выполнения Части 2
no ip domain-lookup
line console 0
logging synchronous
exec-timeout 5 0
exit

 

 

Конфигурации маршрутизатора после выполнения Части 3
interface gi0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
shutdown
mac-address aaaa.bbbb.cccc
no shutdown
exit

 

 

Конфигурации коммутатора после выполнения Части 3
interface f0/5
shutdown
switchport port-security
switchport port-security mac-address xxxx.xxxx.xxxx
no shutdown
exit
show port-security interface f0/5
show port-security
show interface f0/5
show port-security address

 

 

Спасибо за уделенное время на прочтение статьи о том, как обеспечить безопасность на портах коммутатора Cisco!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

Обнаружены уязвимости в составе Vertiv Avocent MergePoint EMS BMC, информационная безопасность курсы повышения квалификации Санкт-Петербург

Обнаружены уязвимости в составе Vertiv Avocent MergePoint EMS BMC, информационная безопасность курсы повышения квалификации Санкт-Петербург

106
0
Недавно специалисты из Eclypsium смогли обнаружить существенные уязвимости, которые мешали работе Gigabyte и Lenovo. В этих компаниях была нарушена информационная…
Защита информации: использование уязвимостей

Защита информации: использование уязвимостей, обучение техническая защита информации Санкт-Петербург

73
0
Самый распространенный способ проникновения злоумышленника в операционную систему компьютера или смартфона — это использование уязвимостей. Существует даже специальное обучение техническая…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
Меню