Цели урока:
1. Понимать концепцию и назначение Port Security
2. Изучить типы безопасных MAC-адресов (static, dynamic, sticky)
3. Настраивать различные режимы реагирования на нарушения
4. Практически применять Port Security в Cisco Packet Tracer
5. Диагностировать и устранять проблемы безопасности портов
Теоретическая часть:
1. Что такое Port Security?
- Назначение:
Защита от несанкционированного подключения устройств к сетевым портам
- Принцип работы:
Ограничивает количество MAC-адресов на порту и/или фиксирует разрешенные MAC-адреса
- Типы портов:
Работает на access и trunk портах (с ограничениями)
2. Ключевые компоненты Port Security
1. Безопасные MAC-адреса:
- Статические (Static):
Ручной ввод администратором.
- Динамические (Dynamic):
Автоматическое изучение (не сохраняются после перезагрузки).
- Sticky:
Автоматическое изучение с сохранением в конфигурацию.
2. Действия при нарушении (Violation Modes):
Режим: protect
Действие: Блокирует неразрешенные MAC, разрешает работу порта
Уведомление: Нет
Режим: restrict
Действие: Блокирует неразрешенные MAC, увеличивает счетчик нарушений
Уведомление: Syslog
Режим: shutdown
Действие: Немедленно отключает порт (err-disabled)
Уведомление: Syslog/Snmp
3. Важные параметры:
- Максимальное количество MAC-адресов (по умолчанию 1)
- Старение MAC-адресов (Aging)
3. Процесс настройки Port Security
Switch> enable
Switch# configure terminal
Переход в режим интерфейса:
Switch(config)# interface fastEthernet 0/1
Обязательные шаги:
Switch(config-if)# switchport mode access // Режим доступа
Switch(config-if)# switchport port-security // Активация Port Security
Дополнительные настройки:
Switch(config-if)# switchport port-security maximum 3 // Макс. MAC-адресов
Switch(config-if)# switchport port-security violation restrict // Режим нарушения
Switch(config-if)# switchport port-security mac-address sticky//Автосохранение MAC
Switch(config-if)# switchport port-security aging time 10 // Время старения (мин)
4. Диагностические команды
# Показать общий статус Port Security
show port-security
# Детальная информация по интерфейсу
show port-security interface fastEthernet 0/1
# Просмотр безопасных MAC-адресов
show port-security address
# Проверка состояния портов
show interfaces status
Практическая лабораторная работа:
Топология:
- 1 коммутатор Cisco 2960
- 3 ПК (Pабочее место № 1, Pабочее место № 2, Pабочее место № 3)
- Консольное подключение
Задача 1: Базовая настройка Port Security
1. Настройте порт Fa0/1:
interface fastEthernet 0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
2. Подключите PМ № 1 к порту Fa0/1, а PМ № 3 к порту Fa0/2.
3. Настройте ip-адреса PМ № 1 и PМ № 3:
- ip-адрес РМ № 1: 192.168.1.1
- ip-адрес РМ № 2: 192.168.1.3
4. Запустите команду ping c PМ № 1 и PМ № 3:
ping 192.168.1.3
3. Проверьте автоматическое добавление MAC:
show port-security address
4. Сохраните конфигурацию ("copy running-config startup-config")
Задача 2: Тестирование режимов нарушения
1. Подключите PМ № 2 к порту Fa0/1 вместо PМ № 1
2. Проверьте состояние порта:
show interfaces fa0/1 status ! Должен быть err-disabled
show port-security interface fa0/1
3. Восстановите порт:
interface fa0/1
shutdown
no shutdown
4. Измените режим нарушения на restrict:
interface fa0/1
switchport port-security violation restrict
5. Повторите подключение PМ № 2 - порт останется активным, но трафик блокируется
Задача 3: Настройка статических MAC-адресов
1. Узнайте MAC-адрес сервера (PМ № 3):
PC> ipconfig /all
2. Настройте статический MAC на порту Fa0/24:
interface fastEthernet 0/24
switchport mode access
switchport port-security
switchport port-security mac 0050.7966.6803 // Пример MAC
Задача 4: Расширенная конфигурация
1. Настройте порт для IP-телефона и ПК:
interface fa0/10
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
2. Подключите телефон и ПК через коммутатор телефона
Типичные проблемы и решения:
1. Порт не переходит в err-disabled:
- Проверьте: "show port-security interface"
- Убедитесь, что violation mode = shutdown
2. MAC-адреса не сохраняются после перезагрузки:
- Для sticky MAC используйте "copy running-config startup-config"
- Для dynamic MAC - настройте статически или используйте sticky
3. Ошибка "Command rejected: Port not access":
- Убедитесь, что порт в режиме access: `switchport mode access`
4. Не работает Port Security на транке:
- Добавьте: "switchport port-security trunk allowed-vlan 10,20"
Вопросы для самопроверки:
1. Чем sticky MAC отличается от static MAC?
2. Какой режим нарушения используется по умолчанию?
3. Как восстановить порт из состояния err-disabled?
4. Почему режим protect считается небезопасным?
5. Как разрешить несколько MAC на порту для IP-телефона?
6. Какая команда показывает количество нарушений безопасности?
7. Как настроить автоматическое восстановление порта после нарушения?
8. Почему Port Security не работает на некоторых портах?
9. Как ограничить время жизни MAC-адреса?
10. Чем отличается действие restrict от shutdown?
Диаграмма процесса нарушения:
Новое устройство
подключено к порту
↓
Проверка MAC-адреса
(в белом списке?)
↓ ↓
├─ Да: Разрешить доступ ├─ Нет → Проверка violation mode
↓
├─ protect: Тихое блокирование
├─ restrict: Блокировка + логирование
└─ shutdown: Отключение порта + тревога
Ключевые выводы:
1. Port Security - фундаментальный механизм безопасности на уровне доступа
2. Sticky MAC - оптимальное решение для динамических сред
3. Режим shutdown обеспечивает максимальную защиту
4. Для VoIP и других специальных устройств требуется увеличение лимита MAC
5. Регулярный мониторинг нарушений критически важен для безопасности