Port-security

-

Port-security

Port-security – функция защиты от сетевых атак, направленных на переполнение CAM таблицы коммутатора, вследствие чего, коммутатор перестает справляться с обработкой MAC адресов и превращается в хаб.
Функция port-security позволяет ограничить максимальное количество MAC адресов допустимых на интерфейсе. Настраивается функция в режиме конфигурации интерфейса командой switchport port-security maximum 1, где 1 максимальное количество MAC адресов на выбранном интерфейсе, как раз для подключения одного устройства к сети. Если этим устройством является IP телефон со встроенным коммутатором, то необходимо разрешить 3 MAC адреса командой switchport port-security maximum 3 - для телефона, встроенного коммутатора и компьютера.
Для настройки порта коммутатора таким образом, чтобы в случае появления на данном порту лишнего MAC адреса он автоматически отключался необходимо прописать команду switchport port-security violation shutdown. Когда сработает данный механизм защиты и порт отключится, включить его можно будет вручную, поочередно набрав команды shut и no shut в режиме конфигурации данного интерфейса.
Автоматизировать процесс возвращения порта в активное состояние можно с помощью команды errdisable recovery cause security-violation. По умолчанию порт активируется через 5 минут. При желании можно выбрать другое время командой errdisable recovery interval 600, где 600 – количество секунд ожидания.
!
Коммутатор удаляет MAC адреса из CAM таблицы через 5 минут их неактивности. Это важно помнить, если вы вдруг решите отключить одно устройство от порта с максимально разрешенным количеством MAC адресов равным 1, и тот час же подключить другое с совершенно иным MAC адресом. Таймер по умолчанию можно изменить, допустим до 2 минут. Для этого в режиме конфигурации интерфейса необходимо набрать команду switchport port-security aging time 2 и указать причину, по которой необходимо удалять MAC адреса, командой switchport port-security aging type inactivity, где inactivity - причина.
Пример:
telecombook(config)#interface range gig0/1 - 24
telecombook(config-if)#switchport port-security maximum 1
telecombook(config-if)#switchport port-security violation shutdown
telecombook(config-if)#switchport port-security aging time 2
telecombook(config-if)#switchport port-security aging type inactivity
telecombook(config)#errdisable recovery cause security-violation
telecombook(config)#errdisable recovery interval 600
Вы отключили компьютер от первого порта, подключили ко второму и ваш порт ушел в errdisable state? Это случилось потому, что коммутатор еще помнит ваш мак адрес на первом порту. Для решения задачи необходимо выполнить очистку динамически выученных адресов средствами Port-security в CAM таблице командой clear port-security dynamic.
Для вывода всех портов из состояния error-disabled state необходимо ввести команду errdisable recovery cause psecure-violation.

Comments

Post a Comment

Popular posts from this blog

Петли L2, методы борьбы (PortFast, LoopGuard, BPDU guard, BPDU filter)

-
Петли в сетях Петли в коммутируемой сети могут возникнуть по нескольким причинам: Отключен STP; PVST BPDU передает идентификатор VLAN. Если на access-интерфейсе полученный идентификатор VLAN'а не совпадает с VLAN ID в котором было получено BPDU, то порт переводится в заблокированное состояние для этого VLAN; Различные версии STP; Разные native VLAN'ы на концах транка; Слишком маленькие таймеры STP; Большое количество хопов в топологии STP.  Опциональные настройки STP Loop Guard BPDU Guard Root Guard PortFast BPDU Filter UDLD Функции PortFast, BPDU guard, BPDU filtering, EtherChannel guard, root guard или loop guard могут быть настроены в режиме PVST+, rapid PVST+ или MSTP. Функции UplinkFast, BackboneFast или cross-stack UplinkFast могут быть настроены в режиме rapid PVST+ или MSTP, но они будут оставаться выключенными (inactive) до тех пор пока режим не будет изменен на PVST+ (так как они уже вшииы в rapid pvst+) Port Fast Portfast
Read more

Проброска static маршрута в OSPF

-
Image
У нас есть лакальная и внешняя сеть. Надо пинговать 8.8.8.8 с R4. Все роутеры, кроме R3 работают по OSPF 1) Чтоб попадать во внешнюю (9.147.10.0/23) сеть с локальной, нам надо прописать PAT на интерфейсе роутера R2 (F0/0), смотрящего во внешнюю сеть. Теперь пинги с любой внутренней сети будут идти во внешнюю с ip адресом 9.147.11.220 2) Чтоб мы могли пинговать адрес 8.8.8.8 с R2, на нем надо прописать gateway - R3. Есть несколько вариантов - ip route 0.0.0.0 0.0.0.0 9.147.10.4 - ip default-network 9.147.10.0 - ip default-gateway 9.147.10.4 Проблема: ○ ip route - статический маршрут, и не передаётся по OSPF, т.е. с R0 и R4 пакеты не будут уходить, так как по OSPF этот                  маршрут не передатся ○ ip default-network так же не передаётся по OSPF ○ ip-default gateway работает, только когда выключен ip routing Решение: 1. Default-information oroginate Пробросить статический маршрут в OSPF можно командой dyn3(config-router)# default-informati
Read more

EtherChannel

-
Image
Агрегирование каналов позволяет решить две задачи: повысить пропускную способность канала обеспечить резерв на случай выхода из строя одного из каналов Большинство технологий по агрегированию позволяют объединять только параллельные каналы. То есть такие, которые начинаются на одном и том же устройстве и заканчиваются на другом. Если рассматривать избыточные соединения между коммутаторами, то без использования специальных технологий для агрегирования каналов, передаваться данные будут только через один интерфейс, который не заблокирован STP. Такой вариант позволяет обеспечить резервирование каналов, но не дает возможности увеличить пропускную способность. Технологии по агрегированию каналов позволяют использовать все интерфейсы одновременно. При этом устройства контролируют распространение широковещательных фреймов (а также multicast и unknown unicast), чтобы они не зацикливались. Для этого коммутатор, при получении широковещательного фрейма через обычный интерфейс
Read more