Как настроить Port Security на коммутаторе QSW-3310?
Коллеги! У меня возникла неотложная задача - нужно настроить Port Security на коммутаторе QSW-3310. Можете подсказать, как правильно выполнить эту процедуру на этой линейке? Какие параметры и шаги следует учесть для обеспечения безопасности сети и предотвращения несанкционированного доступа к портам? Буду признателен !
Ответы (1 шт):
Настройка Port Security на коммутаторе QSW-3310 ( аналогична 3300/3750-28TX) Функция Port Security представляет собой привязку безопасных MAC-адресов к заданному порту. Пакеты, с подходящим MAC-адресом источника пересылаются нормально, а все прочие - блокируются.
Безопасные MAC-адреса
- Коммутатор поддерживает такие типы безопасных MAC-адресов:
Статические MAC-адреса:
задаются статически в режиме настройки интерфейса;
добавляются в текущую конфигурацию коммутатора и, после перезагрузки коммутатора, не удаляются.
Динамические MAC-адреса:
динамически выучиваются;
удаляются при перезагрузке коммутатора.
Sticky MAC-адреса:
могут быть статически настроены или динамически выучены;
добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.
Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс;
адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.
На интерфейсе могут быть настроены режимы реагирования на нарушения безопасности:
Protect (по умолчанию) — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
Restrict — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap и сообщение syslog.
Shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и немедленно отключается, а также выключается светодиодный индикатор порта. Отправляется SNMP trap и сообщение syslog.
Чтобы интерфейс вывести из состояния error-disabled, необходимо в настройках интерфейса его выключить и включить либо в глобальной конфигурации указать условие, при котором это произойдет автоматически, например по времени:
QSW-3310(config)#errdisable recovery cause port-security QSW-3310(config)#errdisable recovery interval 1800
Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.
Примеры конфигурации
Конфигурация для Protect со статическими МАС-адресами:
QSW-3310#configure terminal
QSW-3310(config)#port-security
QSW-3310(config)#interface 1/0/1
QSW-3310 (Interface 1/0/1)#switchport access vlan 10
QSW-3310 (Interface 1/0/1)#port-security
QSW-3310 (Interface 1/0/1)#port-security violation protect
QSW-3310 (Interface 1/0/1)#port-security max-dynamic 0
QSW-3310 (Interface 1/0/1)#port-security max-static 3
QSW-3310 (Interface 1/0/1)#port-security mac-address 00:00:00:00:14:03 10
QSW-3310 (Interface 1/0/1)#port-security mac-address 00:00:00:00:14:04 10
QSW-3310 (Interface 1/0/1)#port-security mac-address 00:00:00:00:14:05 10
Конфигурация для Restrict с динамическими МАС-адресами:
QSW-3310#configure terminal
QSW-3310(config)#port-security
QSW-3310(config)#interface 1/0/1
QSW-3310 (Interface 1/0/1)#switchport access vlan 10
QSW-3310 (Interface 1/0/1)#port-security
QSW-3310 (Interface 1/0/1)#port-security violation restrict
QSW-3310 (Interface 1/0/1)#port-security max-dynamic 3
QSW-3310 (Interface 1/0/1)#port-security max-static 0
Конфигурация для Shutdown с sticky МАС-адресами:
QSW-3310#configure terminal
QSW-3310(config)#port-security
QSW-3310(config)#errdisable recovery cause port-security
QSW-3310(config)#errdisable recovery interval 1800
QSW-3310(config)#interface 1/0/1
QSW-3310 (Interface 1/0/1)#switchport access vlan 10
QSW-3310 (Interface 1/0/1)#port-security
QSW-3310 (Interface 1/0/1)#port-security violation shutdown
QSW-3310 (Interface 1/0/1)#port-security max-dynamic 0
QSW-3310 (Interface 1/0/1)#port-security max-static 3
QSW-3310 (Interface 1/0/1)#snmp-server enable traps violation
QSW-3310 (Interface 1/0/1)#port-security mac-address sticky
Конфигурация для Shutdown с настройкой SNMP сервера и SNMP trap:
QSW-3310(config)#snmp-server enable
QSW-3310(config)#snmp-server community "RW" rw
QSW-3310(config)#snmp-server host 192.168.2.5 traps version 2 "RW"
QSW-3310(config)#port-security
QSW-3310(config)#errdisable recovery interval 1800
QSW-3310(config)#interface 1/0/1
QSW-3310 (Interface 1/0/1)#switchport access vlan 10
QSW-3310 (Interface 1/0/1)#port-security
QSW-3310 (Interface 1/0/1)#port-security violation shutdown
QSW-3310 (Interface 1/0/1)#port-security max-dynamic 0
QSW-3310 (Interface 1/0/1)#port-security max-static 5
QSW-3310 (Interface 1/0/1)#snmp-server enable traps violation
QSW-3310 (Interface 1/0/1)#port-security mac-address sticky
Актуальная информация по настройке расположена на сайте