КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Конфигурирование безопасности на коммутатореУправление таблицей коммутации
Коммутаторы изучают MAC-адрес источника кадра, полученного на входной интерфейс, и регистрирует его в таблице коммутации. Кадры, которые имеют MAC-адрес назначения, зарегистрированные в таблице, могут переключаться только на соответствующий интерфейс без использования широковещательной передачи на все порты. Если в течение 300 секунд с какого либо узла нет передачи кадров, то такой узел удаляется из таблицы. Не дожидаясь истечения заданного времени, администратор может вручную произвести очистку динамически созданных адресов путем использования команды clear mac-address-table в привилегированном режиме. Таблица MAC-адресов может формироваться, изменяться и дополняться в статическом режиме администратором. При этом повышается безопасность сети. Чтобы сконфигурировать статически МАС-адрес, на заданный интерфейс используется следующая команда: Switch(config)# mac-address-table static < МАС-адрес узла > vlan < имя vlan > interface FastEthernet < номер > Ниже приведен пример конфигурирования коммутатора Switch_A, на котором уже были динамически сформированы три строки таблицы с интерфейсами FA0/7, FA0/8 и FA0/9, отображаемые по команде: Switch_A> sh mac-address-table
Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 2 0060.2f2e.9907 DYNAMIC Fa0/7 3 0060.2f2e.9908 DYNAMIC Fa0/8 4 0060.2f2e.9909 DYNAMIC Fa0/9 Switch_A> Затем администратором статически конфигурируется новая запись: Switch-A(config)# mac-address-table static 0030.A3E9.6623 vlan 2 Interface FastEthernet 0/2,
которая отображается в таблице коммутации (Type – STATIC):
Switch-A# sh mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 2 0030.a3e9.6623 STATIC Fa0/2 2 0060.2f2e.9907 DYNAMIC Fa0/7 3 0060.2f2e.9908 DYNAMIC Fa0/8 4 0060.2f2e.9909 DYNAMIC Fa0/9
Подобную информацию можно также увидеть по команде sh run: Switch_A# sh run ... ip default-gateway 192.168.20.1 ... mac-address-table static 0030.a3e9.6623 vlan 2 interface FastEthernet0/2 Чтобы удалить созданные статически МАС-адреса, можно использовать следующую команду: Switch(config)# no mac-address-table static < МАС-адрес узла > interface FastEthernet < номер > vlan < номер > Порты коммутатора доступны через структурированную кабельную систему. Любой может включиться в один из портов, что является потенциальным пунктом входа в сеть неправомочными пользователями. При этом злоумышленник может сконфигурировать коммутатор так, чтобы он функционировал как концентратор, что позволяет проанализировать весь трафик сети, проходящий через коммутатор. Поэтому коммутаторы должны обеспечивать безопасность портов (port security). Статическое конфигурирование администратором МАС-адресов обеспечивает безопасность путем жесткой привязки адреса к интерфейсу, однако это достаточно сложно. Для обеспечения динамического режима безопасности используется ряд команд конфигурирования коммутатора. Например, динамический режим обеспечения безопасности на интерфейсе Fast Ethernet 0/7 конфигурируется следующей последовательностью команд:
Switch_A(config-if)# int f0/7 Switch_A(config-if)# switchport port-security
или последовательностью, используемой в виртуальных локальных сетях
Switch_A(config)# int f0/7 Switch_A(config-if)# switchport mode access Switch_A(config-if)# switchport port-security После ввода указанной последовательности команд таблица коммутации приобретает следующий вид:
Switch-A# sh mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 2 0030.a3e9.6623 STATIC Fa0/2 2 0060.2f2e.9907 STATIC Fa0/7 3 0060.2f2e.9908 DYNAMIC Fa0/8 4 0060.2f2e.9909 DYNAMIC Fa0/9 Switch-A# То есть привязка адреса к интерфейсу реализуется автоматически. С целью повышения безопасности ограничивают число МАС-адресов интерфейса коммутатора, которым разрешено присоединяться к данному интерфейсу. Например, число МАС-адресов на порт может быть ограничено до 1. В этом случае первый адрес, динамически изученный коммутатором, считается безопасным адресом. Switch_A# config t Switch_A(config)# int fa 0/7 Switch_A(config-if)# switchport port-security max 1 Верификация режима port security конкретного интерфейса обеспечивается командой show port security: Switch-A# sh port-security int f0/7
Port Security: Enabled Port Status: Secure-up Violation Mode: Shutdown Aging Time: 0 mins Aging Type: Absolute SecureStatic Address Aging: Disabled Maximum MAC Addresses: 1 Total MAC Addresses: 1 Configured MAC Addresses: 0 Sticky MAC Addresses: 0 Last Source Address:Vlan: 0060.2F2E.9907:2 Security Violation Count: 0
Switch-A# Третья строка распечатки показывает режим реагирования системы на нарушения безопасности, который по умолчанию установлен в состояние «Выключение» (Shutdown). Нарушение безопасности происходит, когда станция, чей MAC-адрес отсутствует в таблице коммутации, пытается получить доступ к интерфейсу. При этом порт немедленно выключается и формируется сообщение о нарушении безопасности. Существуют еще два режима реагирования на нарушения безопасности: режим защиты (Protect) и режим ограничения (Restrict). В этих режимах пакеты с неизвестными исходящими МАС-адресами уничтожаются. При этом в режиме ограничения формируется уведомление, а в режиме защиты – не формируется. Установить режим «Выключение» можно по команде: Switch_A(config-if)# switchport port-security violation shutdown Для повышения безопасности рекомендуется выключить все неиспользуемые порты коммутатора по команде Shutdown. Ниже приведен пример фрагмента распечатки команды sh run, где показано, что интерфейс FastEthernet0/10 – выключен.
Switch_A# sh run
Дата добавления: 2014-01-07; Просмотров: 631; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |