Конфигурирование безопасности на коммутаторе

Управление таблицей коммутации

Коммутаторы изучают MAC-адрес источника кадра, полученного на входной интерфейс, и регистрирует его в таблице коммутации. Кадры, которые имеют MAC-адрес назначения, зарегистрированные в таблице, могут переключаться только на соответствующий интерфейс без использования широковещательной передачи на все порты. Если в течение 300 секунд с какого либо узла нет передачи кадров, то такой узел удаляется из таблицы. Не дожидаясь истечения заданного времени, администратор может вручную произвести очистку динамически созданных адресов путем использования команды clear mac-address-table в привилегированном режиме.

Таблица MAC-адресов может формироваться, изменяться и дополняться в статическом режиме администратором. При этом повышается безопасность сети. Чтобы сконфигурировать статически МАС-адрес, на заданный интерфейс используется следующая команда:

Switch(config)# mac-address-table static < МАС-адрес узла > vlan < имя vlan > interface FastEthernet < номер >

Ниже приведен пример конфигурирования коммутатора Switch_A, на котором уже были динамически сформированы три строки таблицы с интерфейсами FA0/7, FA0/8 и FA0/9, отображаемые по команде:

Switch_A> sh mac-address-table

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

2 0060.2f2e.9907 DYNAMIC Fa0/7

3 0060.2f2e.9908 DYNAMIC Fa0/8

4 0060.2f2e.9909 DYNAMIC Fa0/9

Switch_A>

Затем администратором статически конфигурируется новая запись:

Switch-A(config)# mac-address-table static 0030.A3E9.6623 vlan 2 Interface FastEthernet 0/2,

которая отображается в таблице коммутации (Type – STATIC):

Switch-A# sh mac-address-table

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

2 0030.a3e9.6623 STATIC Fa0/2

2 0060.2f2e.9907 DYNAMIC Fa0/7

3 0060.2f2e.9908 DYNAMIC Fa0/8

4 0060.2f2e.9909 DYNAMIC Fa0/9

Подобную информацию можно также увидеть по команде sh run:

Switch_A# sh run

...

ip default-gateway 192.168.20.1

...

mac-address-table static 0030.a3e9.6623 vlan 2 interface FastEthernet0/2

Чтобы удалить созданные статически МАС-адреса, можно использовать следующую команду:

Switch(config)# no mac-address-table static < МАС-адрес узла > interface FastEthernet < номер > vlan < номер >

Порты коммутатора доступны через структурированную кабельную систему. Любой может включиться в один из портов, что является потенциальным пунктом входа в сеть неправомочными пользователями. При этом злоумышленник может сконфигурировать коммутатор так, чтобы он функционировал как концентратор, что позволяет проанализировать весь трафик сети, проходящий через коммутатор. Поэтому коммутаторы должны обеспечивать безопасность портов (port security).

Статическое конфигурирование администратором МАС-адресов обеспечивает безопасность путем жесткой привязки адреса к интерфейсу, однако это достаточно сложно. Для обеспечения динамического режима безопасности используется ряд команд конфигурирования коммутатора. Например, динамический режим обеспечения безопасности на интерфейсе Fast Ethernet 0/7 конфигурируется следующей последовательностью команд:

Switch_A(config-if)# int f0/7

Switch_A(config-if)# switchport port-security

или последовательностью, используемой в виртуальных локальных сетях

Switch_A(config)# int f0/7

Switch_A(config-if)# switchport mode access

Switch_A(config-if)# switchport port-security

После ввода указанной последовательности команд таблица коммутации приобретает следующий вид:

Switch-A# sh mac-address-table

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

2 0030.a3e9.6623 STATIC Fa0/2

2 0060.2f2e.9907 STATIC Fa0/7

3 0060.2f2e.9908 DYNAMIC Fa0/8

4 0060.2f2e.9909 DYNAMIC Fa0/9

Switch-A#

То есть привязка адреса к интерфейсу реализуется автоматически.

С целью повышения безопасности ограничивают число МАС-адресов интерфейса коммутатора, которым разрешено присоединяться к данному интерфейсу. Например, число МАС-адресов на порт может быть ограничено до 1. В этом случае первый адрес, динамически изученный коммутатором, считается безопасным адресом.

Switch_A# config t

Switch_A(config)# int fa 0/7

Switch_A(config-if)# switchport port-security max 1

Верификация режима port security конкретного интерфейса обеспечивается командой show port security:

Switch-A# sh port-security int f0/7

Port Security: Enabled

Port Status: Secure-up

Violation Mode: Shutdown

Aging Time: 0 mins

Aging Type: Absolute

SecureStatic Address Aging: Disabled

Maximum MAC Addresses: 1

Total MAC Addresses: 1

Configured MAC Addresses: 0

Sticky MAC Addresses: 0

Last Source Address:Vlan: 0060.2F2E.9907:2

Security Violation Count: 0

Switch-A#

Третья строка распечатки показывает режим реагирования системы на нарушения безопасности, который по умолчанию установлен в состояние «Выключение» (Shutdown). Нарушение безопасности происходит, когда станция, чей MAC-адрес отсутствует в таблице коммутации, пытается получить доступ к интерфейсу. При этом порт немедленно выключается и формируется сообщение о нарушении безопасности. Существуют еще два режима реагирования на нарушения безопасности: режим защиты (Protect) и режим ограничения (Restrict). В этих режимах пакеты с неизвестными исходящими МАС-адресами уничтожаются. При этом в режиме ограничения формируется уведомление, а в режиме защиты – не формируется. Установить режим «Выключение» можно по команде:

Switch_A(config-if)# switchport port-security violation shutdown

Для повышения безопасности рекомендуется выключить все неиспользуемые порты коммутатора по команде Shutdown. Ниже приведен пример фрагмента распечатки команды sh run, где показано, что интерфейс FastEthernet0/10 – выключен.

Switch_A# sh run

Дата добавления: 2014-01-07; Просмотров: 599; Нарушение авторских прав?; Мы поможем в написании вашей работы!