О новом программном обеспечении коммутаторов серий DGS-1210 и DGS-1250 — читайте тут.
Port Security (безопасность порта) — одна из базовых функций коммутаторов уровня доступа, позволяющая ограничить количество MAC-адресов, которые могут обучаться на конкретном порту. Такой подход помогает предотвратить неконтролируемый доступ к сети.
О настройке Port Security на коммутаторах D-Link со стандартным CLI и D-Link CLI уже писала здесь, но в новом программном обеспечении способ настройки несколько изменился.
- При настройке функции задаётся максимальное число изученных MAC-адресов для порта: можно задать значения от 0 до 64. По умолчанию задано значение 32.
- Превышение этого значения рассматривается коммутатором как нарушение безопасности. В этом случае порт выполняет действие, заданное параметром "режим (mode)".
- Количество нарушений можно увидеть в поле "Счетчик нарушений" вывода команды show interfaces port-security
Режимов реагирования порта на превышения максимального числа изученных MAC-адресов два:
- Отбросить (drop) – при выборе этого параметра коммутатор перестает изучать новые MAC-адреса и отбрасывает входящие пакеты от них до тех пор, пока не будут удалены предыдущие записи (данное значение задано по умолчанию).
- Отключить (shutdown) – при выборе этого параметра порт отключается и переходит в состояние ErrDisabled (отключен из-за ошибки). Настроить автоматическое восстановление порта после того, как он был отключен функцией Port Security, можно при помощи настройки автоматического восстановление портов (этому будет посвящена отдельная статья).
Если пакет отбрасывается средствами других механизмов защиты (Ingress ACL, IMPB), то его MAC-адрес не будет изучен коммутатором, и функция Port Security никак не отреагирует.
Настроим Port Security для сети, схема которой показана на рисунке:
DGS-1250-28X# conf t
DGS-1250-28X(config)# interface ethernet 1/0/23
DGS-1250-28X(config-if)# port-security max-entries 1
DGS-1250-28X(config-if)# port-security mode drop
DGS-1250-28X(config-if)# port-security
DGS-1250-28X(config-if)# exit
DGS-1250-28X(config)# port-security
В этом примере мы ограничили на порту 23 количество изучаемых МАС-адресов до одного.
Если к сети подключен только ПК2, то вывод команды show interfaces port-security будет таким (смотрите на запись для порта 23):
Когда подключим ПК3, его МАС-адрес будет заблокирован и вывод команды show interfaces port-security станет таким:
Отключить глобально функцию можно командой
DGS-1250-28X(config)# no port-security
ПК2 и ПК3 станут доступны с ПК1.
Теперь изменим режим работы Port Security и снова включим её:
DGS-1250-28X(config)# interface ethernet 1/0/23
DGS-1250-28X(config-if)# port-security mode shutdown
DGS-1250-28X(config-if)# exit
DGS-1250-28X(config-if)# port-security
ПК2 доступен.
Подключим ПК3 и порт 23 отключится.
Чтобы заново включить порт 23 в работу можно вручную его выключить и включить:
DGS-1250-28X# conf t
DGS-1250-28X(config)# int ethernet 1/0/23
DGS-1250-28X(config-if)# shutdown
DGS-1250-28X(config-if)# no shutdown
Либо настроить автоматическое восстановление:
DGS-1250# configure terminal
DGS-1250-28X(config)# errdisable recovery port-security interval 30
DGS-1250(config)# errdisable recovery port-security
В этом примере таймер автоматического восстановления установлен в 30 секунд. Порт перейдет в рабочее состояние через 30 секунд после отключения ПК3. Если отключить от сети ПК2 и оставить ПК3, то порт не разблокируется.