Найти в Дзене
Блокнот админа
12 подписчиков

Настраиваем port-security на коммутаторах Cisco

6
3 мин
Добрый день! Давно ничего не писал.. Отпуск, смена места работы.. В общем, не до того было. Так получилось, что новая моя должность - сетевик. Поэтому дальше в основном будет про сети, ну и конечно же про Cisco. Выдали задачу - настроить port-security на коммутаторах. Не то, чтобы я этого не делал, но в памяти пришлось освежить. И столкнулся я с тем, что в сети есть множество мануалов "как" это сделать, а вот "что" делает та или иная команда рассказывается достаточно поверхностно. За исключением разве что официального мануала от Cisco. Естественно на английском. Так что настройка port-security простыми словами плюс, конечно, немного личного опыта: Вообще технология port-security позволяет разрешить количество MAC адресов, которые могут быть подключены к определённому порту, т.е. устройств, причём не обязательно физических! Вполне может получиться так, что за портом живёт куча виртуальных машин, причём не за NAT, а настроенных как Bridge. И что делать с портом в случае если правила дост

Добрый день!

Давно ничего не писал.. Отпуск, смена места работы.. В общем, не до того было. Так получилось, что новая моя должность - сетевик. Поэтому дальше в основном будет про сети, ну и конечно же про Cisco.

Выдали задачу - настроить port-security на коммутаторах. Не то, чтобы я этого не делал, но в памяти пришлось освежить. И столкнулся я с тем, что в сети есть множество мануалов "как" это сделать, а вот "что" делает та или иная команда рассказывается достаточно поверхностно. За исключением разве что официального мануала от Cisco. Естественно на английском.

Так что настройка port-security простыми словами плюс, конечно, немного личного опыта:

Вообще технология port-security позволяет разрешить количество MAC адресов, которые могут быть подключены к определённому порту, т.е. устройств, причём не обязательно физических! Вполне может получиться так, что за портом живёт куча виртуальных машин, причём не за NAT, а настроенных как Bridge.

И что делать с портом в случае если правила доступа к порту нарушаются.

Условия для включения port-security:

Порт не может быть:

1. Транковым портом;

2. Не может быть SPAN портом;

3. Не может быть агрегированным портом (EtherChannel);

А так же MAC адресс, указываемый в конфигурации port-security не может быть MAC-ом самого порта.

Да! У каждого порта, да и не только у порта, а у каждого модуля внутри коммутатора есть свой MAC!

Что интересно, в другой (причём более полной) инструкции от той же Cisco, указано, что port-security на trunk вполне может существовать. Но при условии, что он находится в режиме nonegotiate.

Указываем количество разрешённых MAC для порта:

Например 2 MAC адреса. Компьютер + телефон. Часто бывает что именно так подключают технику в офисах для экономии портов.

switchport port-security maximum 2

Это значит, что если, например, в данный порт будет подключен неуправляемый коммутатор, то за ним можно будет подключить только 2 устройства. MAC-и остальных будут заблокированы. Если такое действительно нужно, то нужно указать больше MAC в параметре maximum.

Указываем что делать, в случае если на порту появились лишние MAC-и:

switchport port-security violation

здесь есть опции:

protect - отбрасывать пакеты с MAC адресов сверх параметра maximum. В нашем варианте сверх 2 MAC.

restrict - Аналогично protect, только ещё увеличивать счётчик security violation.

shutdown - без лишних разговоров гасить порт и отправлять SNMP trap. После этого порт можно включить только вручную. Можно в режиме глобальной конфигурации дать команду:

errdisable recovery cause psecure-violation

Если нужно, указываем конкретные MAC-и, которым можно обращаться к порту:

switchport port-security mac-address xxx.xxx.xxx

Если указан только один MAC, а в параметре maximum указано больше, то остальные добавятся динамически.

Здесь же можно указать команду sticky:

switchport port-security mac-address sticky

В этом случае в конфигурацию запишется MAC, который первым появится на порту. Именно в конфигурацию.

Настраиваем время жизни MAC на порту:

switchport port-security aging type

два варианта:

absolute - время жизни MAC на порту истекает через время, указанное в следующей команде.

inactivity - время жизни MAC на порту истекает через время, в течение которого на порту не было активности, указанное в следующей команде.

switchport port-security aging time 5 - Через 5 минут коммутатор забудет MAC и к этому порту можно будет подключить другое устройство. Можно поставить от 1 до 1440 (сутки) минут.

Ну и наконец включаем сам port-security командой:

switchport port-security

Из личного опыта. Прежде чем дать последнюю команду, убедитесь, что вы сами себя не отключите! Был случай, когда коммутатор оказался подключен тупо access портом, как неуправляемый. На мой вопрос "Зачем так???" был получен ответ, что там когда то была тупая 871-я, которая не умела транки и вообще так исторически сложилось. Поэтому внимательность и ещё раз внимательность! Хорошо если коммутатор в соседней комнате. А если даже не в соседнем городе?

Ну и проверяем всё командой:

show port-security

Если в последнем столбце security violation появились цифры, отличные от нуля, значит где-то что-то блокируется. Это может быть "забытый" неуправляемый коммутатор. А может какой нибудь шибко умный сотрудник воткнул майнинг ферму. А может и ещё что нибудь..

Спасибо за внимание!

#port-security #cisco