Kontrola transmisji portów sieciowych

Podobne dokumenty
Ćwiczenie Konfiguracja aspektów bezpieczeństwa przełącznika

1. Zgodnie z poniższym schematem ustanów połączenia: konsolowe i ethernetowe z urządzeniem

Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI

LABORATORIUM SIECI. Zakład Cyberbezpieczeństwa IT PW. Instrukcja do ćwiczenia: Switching, VLAN & Trunking Przedmiot: Sieci Lokalne (LAN)

Packet Tracer - Podłączanie routera do sieci LAN

Sieci Komputerowe 2 / Ćwiczenia 8

Switching, VLAN & Trunking 2

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

Ćwiczenie Konfiguracja VLAN i łącza trunk

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

dr inż. Łukasz Sturgulewski, Zagrożenia w sieciach komputerowych

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Bezpieczeństwo Systemów Sieciowych

lp wykonawca nr w dzienniku (dz) 1. POL GRZYBOWSKI MAZUR zadanie rodzaj tunelowania typ tunelu wybór 1. wyspy IPv6 podłączone w trybie Manual Mode 4


Ćwiczenie Konfiguracja routingu między sieciami VLAN

Laboratorium - Odczytywanie adresów MAC w urządzeniach sieciowych

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

dopełnienie wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,

Sieci VLAN. Podstawy konfiguracji. Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r.

VLAN-Cisco. 1. Login/Hasło. 2. Połączenie z Cisco: Cisco: admin admin. Jest możliwe połączyć się za pomocą polecania minicom lub telnet.

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

Edge-Core Networks Przełączniki WebSmart: Podręcznik Administratora

Sieci Komputerowe Laboratorium 11. VLAN i VTP

Ćwiczenie Konfiguracja routingu inter-vlan 802.1Q opartego na łączach trunk

Instrukcja do laboratorium 2. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Topologia sieci. Cele nauczania.

Laboratorium LAN Switching & VLAN

Ćwiczenie Wykrywanie błędów w routingu między sieciami VLAN

Podstawy Sieci Komputerowych Laboratorium Cisco zbiór poleceń

Instrukcja do laboratorium 1. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Konfigurowanie sieci VLAN

Ćwiczenie Konfiguracja podstawowych ustawień przełącznika

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz trzeci

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Bezpieczeństwo w M875

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Konfigurowanie modułu BK9050 firmy Beckhoff wprowadzenie

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Laboratorium - Konfigurowanie adresów IPv6 urządzeń sieciowych

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Co w sieci siedzi. Warstwa 2 - konfiguracja sieci VLAN. Routing między sieciami VLAN.

Część I: Podstawowa konfiguracja routera

Warsztaty z Sieci komputerowych Lista 3

Laboratorium Zabezpieczanie urządzeń sieciowych

Laboratorium - Używanie wiersza poleceń systemu IOS do obsługi tablic adresów MAC w przełączniku

Warsztaty z Sieci komputerowych Lista 3

Ćwiczenie Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6 Topologia

Sterowniki urządzeń zewnętrznych w pracy lokalnej i sieciowej w programach firmy InsERT dla Windows

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Laboratorium 3 Sieci Komputerowe II Nazwisko Imię Data zajęd

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Laboratorium z przedmiotu Sieci Komputerowe - Wirtualne sieci lokalne. Łukasz Wiszniewski

Sieci Komputerowe II Wykład 1 Routery i ich konfiguracja

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

* konfiguracja routera Asmax V.1501 lub V.1502T do połączenia z Polpakiem-T lub inną siecią typu Frame Relay

Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...

Instrukcja do laboratorium 1

Konfigurowanie sterownika BX9000 firmy Beckhoff wprowadzenie. 1. Konfiguracja pakietu TwinCAT do współpracy ze sterownikiem BX9000

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

Ćwiczenie Konfiguracja i weryfikacja standardowych list kontroli dostępu ACL

FAQ: /PL Data: 19/11/2007 Programowanie przez Internet: Przekierowanie portu na SCALANCE S 612 w celu umo

Laboratorium 2 Sieci Komputerowe II Nazwisko Imię Data zajęd

Wirtualne sieci LAN. Opracowanio na podstawie materiałów kursu CCNA

IPv6. Wprowadzenie. IPv6 w systemie Linux. Zadania Pytania. budowa i zapis adresu, typy adresów tunelowanie IPv6 w IPv4

4. Podstawowa konfiguracja

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

ZiMSK. VLAN, trunk, intervlan-routing 1

1.1 Ustawienie adresów IP oraz masek portów routera za pomocą konsoli

Komunikacja Master-Slave w protokole PROFIBUS DP pomiędzy S7-300/S7-400

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

VLAN 2 zadania. Uwagi. Przygotowanie. Zadanie 1 Klasyczny VLAN, komputery obsługują znaczniki 802.1Q. Zadanie 2 Ingress filtering (cz.

Administracja sieciami LAN/WAN

Laboratorium - Konfigurowanie adresu do zarządzania przełącznikiem.

Załącznik nr 1b do SIWZ Opis przedmiotu zamówienia dla części II

Laboratorium - Budowanie sieci z przełącznikiem i routerem

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

T: Konfiguracja interfejsu sieciowego. Odwzorowanie nazwy na adres.

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

I. Rozbudowa istniejącej infrastruktury Zamawiającego o przełączniki sieciowe spełniające poniższe minimalne wymagania - szt. 5

Bramka IP 2R+L szybki start.

OPIS PRZEDMIOTU ZAMÓWIENIA

Laboratorium - Projektowanie i wdrażanie schematu adresowania podsieci IPv4

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Konfiguracja serwera OPC/DDE KEPSServerEX oraz środowiska Wonderware InTouch jako klienta DDE do wymiany danych

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat adresu sprzętowego MAC.

INSTRUKCJA OBSŁUGI DLA SIECI

KROK 1. KONFIGURACJA URZĄDZEŃ KOŃCOWYCH (SERWERÓW)

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

pasja-informatyki.pl

Transkrypt:

Kontrola transmisji portów sieciowych Copyright 2001-2009, 8.1

funkcjonalność bezpieczeństwa portu () pozwala na ograniczenie dostępu do portu przełącznika, poprzez ograniczenie liczby adresów oraz/lub zweryfikowanie adresów fizycznych MAC, mogących podłączyć się do danego portu wskazanie bezpiecznych adresów MAC portu, uniemoŝliwi prawidłową transmisję urządzeniom prezentującym się, innymi od zdefiniowanych, źródłowymi adresami fizycznymi w zaleŝności od źródła pozyskania wartości bezpiecznej adresacji fizycznej, rozróŝnia się trzy typy bezpiecznych adresów MAC: statyczne (Static) dynamiczne (Dynamic) przyczepne (Sticky) porty przełącznika, dla których będzie uruchamiana funkcjonalność, muszą znajdować się w trybie dostępowym (mode access) Copyright 2001-2009, 8.2

statyczne wpisy MAC (Secure Static MAC address) statyczny adres skonfigurowany manualnie, przechowywany w pliku konfiguracji bieŝącej, startowej oraz w tablicy przełączania wpis permanentny dynamiczne wpisy MAC (Secure Dynamic MAC address) adres dodawany dynamicznie według kolejności ogłaszania swojej obecności w ramach portu w wyniku poznania adresu MAC dodawany jest wpis statyczny w tablicy przełączania, który zerowany jest po ponownym uruchomieniu urządzenia oraz w sytuacjach dezaktywacji portu, brak moŝliwości zachowania bezpiecznego adresu MAC Copyright 2001-2009, 8.3

przyczepne wpisy MAC (Secure Sticky MAC address) adres dodawany dynamicznie według kolejności ogłaszania swojej obecności w ramach portu w wyniku poznania adresu MAC, dodawany jest wpis statyczny w tablicy przełączania oraz wpis w konfiguracji bieŝącej (po zapisaniu takŝe startowej) wpis zerowany jest po ponownym uruchomieniu urządzenia zapisanie konfiguracji przed ponownym uruchomieniem zapewnia zachowanie wpisów z adresami MAC -> wpis permanentny Copyright 2001-2009, 8.4

naruszenie określonych zasad bezpieczeństwa ma miejsce w sytuacjach: próby dodania do tablicy przełączania większej (od zadeklarowanej) liczby dopuszczalnych adresów fizycznych MAC wykrycia tego samego adresu, który został nauczony dynamicznie lub był wpisany statycznie, w ramach innego portu tej samej sieci wirtualnej VLAN w stosunku do portu, który naruszył zasady bezpieczeństwa, mogą zostać podjęte następujące akcje: protekcja portu (protect) > w sytuacji, gdy liczba bezpiecznych adresów osiągnęła wartość maksymalną, ramki z nieznaną adresacją źródłową będą odrzucane do momentu powiększenia maksymalnej Copyright 2001-2009, liczby adresów dopuszczalnych w ramach portu lub usunięcia bieŝących wpisów statycznych -> brak powiadomienia administracyjnego o złamaniu zasad bezpieczeństwa Port Security 8.5

w stosunku do portu który naruszył zasady bezpieczeństwa, mogą zostać podjęte następujące kroki: ograniczenie portu (restrict) > w sytuacji, gdy liczba bezpiecznych adresów osiągnęła wartość maksymalną zadeklarowaną dla portu, ramki z nieznaną adresacją źródłową będą odrzucane do momentu powiększenia maksymalnej liczby adresów dopuszczalnych w ramach portu lub usunięcia bieŝących wpisów statycznych -> naruszenie zasad bezpieczeństwa generuje pułapkę SNMP, wiadomość dla dziennika zdarzeń (Syslog) oraz inkrementuje licznik statystyk wyłączenie portu (shutdown) -> naruszenie zasad bezpieczeństwa portu wymusza wyłączenie portu poprzez przejście w stan error-disabled -> inkrementowany jest licznik statystyk, generowana jest pułapka SNMP oraz wiadomość dla dziennika zdarzeń (Syslog); opcja domyślna Copyright 2001-2009, 8.6

zestawienie składowych akcji, które mogą zostać podjęte, w stosunku do portu który naruszył zasady bezpieczeństwa warstwy 2 modelu ISO/OSI Typ Protect Restrict Shutdown Transmisja -- -- -- Pułapka SNMP -- tak Dziennik zdarzeń -- tak Licznik statystyk -- tak tak tak tak Wyłączenie portu -- -- tak prawidłowe funkcjonowanie protokołu SNMP oraz dziennika zdarzeń (Syslog), wymaga prawidłowej konfiguracji serwisów w/w mechanizmów Copyright 2001-2009, 8.7

Copyright 2001-2009, uruchomienie funkcjonalności portu bezpiecznego w ramach interfejsu sieciowego (config-if)# (config-if)# switchport switchport port-security port-security określenie polityki, w stosunku do portu, który naruszył zasady bezpieczeństwa (config-if)# switchport port-security violation { protect restrict shutdown } (config-if)# switchport port-security violation { protect restrict shutdown } protect restrict shutdown konfiguracja akcji protekcji portu konfiguracja akcji ograniczenia portu konfiguracja akcji wyłączenia portu, wartość domyślna 8.8

Copyright 2001-2009, określenie maksymalnej dopuszczalnej liczby adresów MAC, mogących pracować w ramach portu (config-if)# (config-if)# switchport switchport port-security port-security maximum maximum max_mac max_mac wyświetlenie podstawowej konfiguracji portów bezpiecznych # show port-security [ address ] [ interface intf_type number ] # show port-security [ address ] [ interface intf_type number ] max_mac maksymalna liczba adresów fizycznych, których przekroczenie spowoduje naruszenie zasad bezpieczeństwa portu, zakres: 1 132 adresów fizycznych, domyślnie 1 intf_type number odwołanie do interfejsu fizycznego address wyświetlenie bezpiecznych adresów MAC 8.9

dla podanego poniŝej przykładu interfejsu Fa0/1, włączona zostaje funkcjonalność portów bezpiecznych oraz określona zostaje polityka w przypadku naruszenia zasad bezpieczeństwa -> wyłączenie interfejsu (tryb err-disabled) interface FastEthernet 0/1 switchport port-security switchport port-security violation shutdown sw1 MAC: 1234.1234.1234 hub Fa0/1 violation shutdown to opcja domyślna, z tego powodu moŝe nie być widoczna w konfiguracji przełącznika Copyright 2001-2009, 8.10

sw1#show port-security interface FastEthernet 0/1 : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address : 1234.1234.1234 Security Violation Count : 0 przykład weryfikacji funkcjonalności bezpiecznych portów Copyright 2001-2009, funkcjonalność włączona na interfejsie Fa0/1 oraz wyłączona na Fa0/2 sw1#sho port-security interface FastEthernet 0/2 Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 : Disabled : Secure-down : Shutdown : 0 mins : Absolute : Disabled Last Source Address : 1212.1212.1212 Security Violation Count : 0 8.11

w tablicy przełączania, automatycznie dodany zostanie wpis statyczny, reprezentujący bezpieczny adres wpis adresu MAC będzie obowiązywał do czasu: wyłączenia administracyjnego portu ponownego uruchomienia przełącznika wyłączenia bezpośredniego połączenia do portu, przykładowo poprzez wyłączenie podłączonego komputera lub urządzenia aktywnego manualnego wyczyszczenia portów bezpiecznych Copyright 2001-2009, sw1#show mac-address-table interface FastEthernet 0/1 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 1234.1234.1234 STATIC Fa0/1 Total Mac Addresses for this criterion: 1 8.12

sw1#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa0/1 1 1 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 sw1#show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 1234.1234.1234 SecureDynamic Fa0/1 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 sw1# przykład weryfikacji funkcjonalności bezpiecznych portów w trybie wyłączenia portu Copyright 2001-2009, 8.13

Copyright 2001-2009, wyczyszczenie bezpiecznego adresu nauczonego dynamicznie # # clear clear port-security port-security dynamic dynamic [ [ address address hhhh.hhhh.hhhh.hhhh hhhh.hhhh.hhhh.hhhh ] ] wyczyszczenie bezpiecznych adresów nauczonych dynamicznie w ramach określonego portu intf_type number hhhh.hhhh.hhhh # clear port-security dynamic [ interface intf_type number ] # clear port-security dynamic [ interface intf_type number ] odwołanie do interfejsu fizycznego wartość bezpiecznego adresu fizycznego 8.14

sw1#sho port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 000f.8f12.7a86 SecureDynamic Fa0/24 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 sw1#clear port-security dynamic address 000f.8f12.7a86 sw1#clear port-security dynamic interface FastEthernet 0/24 sw1# sw1#sho port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 przykład manualnego czyszczenia wartości bezpiecznych adresów MAC Copyright 2001-2009, 8.15

domyślnie maksymalna liczba dopuszczalnych bezpiecznych adresów MAC dla kaŝdego interfejsu wynosi 1 podłączenie drugiego uŝytkownika do połączenia interfejsu Fa0/1, spowoduje złamanie załoŝeń bezpieczeństwa portu i wyłączenie interfejsu z powodu wykrytego błędu (err-disabled) powyŝsza sytuacja uniemoŝliwi transmisję wszystkim podłączonym do tego portu urządzeniom interface FastEthernet 0/1 switchport port-security switchport port-security maximum 1 switchport port-security violation shutdown sw1 MAC: 1234.1234.1234 hub err-disabled Fa0/1 MAC: 1212.1212.1212 Copyright 2001-2009, 8.16

ponowna aktywacja interfejsu wymaga jego wyłączenia (shutdown) oraz ponownego uruchomienia (no shutdown) warunkiem prawidłowej aktywacji, jest pozytywne spełnienie nałoŝonych warunków bezpieczeństwa -> w naszym przypadku będzie to usunięcie kolejno przyłączonego węzła lub zwiększenie dopuszczalnej liczby bezpiecznych MAC adresów sw1# 12:20:11: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state sw1# 12:20:11: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1212.1212.1212 on port FastEthernet0/1. sw1# 12:20:12: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down sw1# 12:20:13: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down sw1#sho int fa0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) Copyright 2001-2009, Hardware is Fast Ethernet, address is 000d.bd12.9b41 (bia 000d.bd12.9b41) MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set. 8.17

sw1#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa0/1 1 0 1 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 sw1# poniewaŝ złamanie załoŝeń bezpieczeństwa portu, wprowadza interfejs w stan wyłączenia (err-disbled), z tablicy przełączania oraz tablicy bezpiecznych portów usuwane są odpowiednie wpisy MAC inkrementowany jest jednocześnie licznik załoŝeń bezpieczeństwa (Security Violation) sw1#show port-security interface FastEthernet 0/1 : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address : 1212.1212.1212 Security Violation Count : 1 Copyright 2001-2009, 8.18

przykład konfiguracji bezpiecznych portów dla dwóch urządzeń dołączonych do jednego interfejsu przełącznika MAC: 1234.1234.1234 interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation shutdown hub Fa0/1 sw1 MAC: 1212.1212.1212 Copyright 2001-2009, 8.19

sposobem automatycznego wyprowadzenia interfejsu ze stanu błędu (err-disbled) jest zastosowanie mechanizmu odzyskiwania portów warunkiem prawidłowej aktywacji, jest pozytywne spełnienie nałoŝonych warunków bezpieczeństwa uruchomienie mechanizmu odzyskiwania portów ze stanu błędu, którego źródłem jest polityka bezpieczeństwa Copyright 2001-2009, (config)# errdisable recovery cause psecure-violation (config)# errdisable recovery cause psecure-violation mechanizm w odstępach 5 minutowych (domyślnie) będzie próbował aktywować interfejs modyfikacja czasu kolejnych prób odzyskania portu recovery_sec (config)# errdisable recovery interval recovery_sec (config)# errdisable recovery interval recovery_sec czasookres prób odzyskania transmisji dla portu w stanie błędu, zakres: 30 86400 sekund, domyślnie: 300 sekund polecenie dotyczy wszystkich interfejsów sieciowych Port Security 8.20

errdisable recovery cause psecure-violation interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation shutdown hub Copyright 2001-2009, Fa0/1 MAC: 1234.1234.1234 MAC: 1212.1212.1212 sw1 przykład automatycznego wyprowadzenia interfejsu ze stanu błędu (err-disbled) za pomocą mechanizmu odzyskiwania portów sw1# Oct 30 11:48:18: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state Oct 30 11:48:18: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1234 on port FastEthernet0/1. Oct 30 11:48:19: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down Oct 30 11:48:20: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down sw1# Oct 30 11:52:59: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/1 Oct 30 11:53:03: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up Oct 30 11:53:04: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up sw1# 8.21

tryb restrykcji portu, analogicznie jak tryb błędu, dodaje wpis statyczny do tablicy przełączania oraz tablicy bezpieczeństwa główna róŝnica w stosunku do trybu wyłączenia polega na zachowaniu portu w sytuacji złamania zasad bezpieczeństwa interfejs w takiej sytuacji pozostaje aktywny, nowy adres który spowodował złamanie polityki bezpieczeństwa nie zostanie wpisany w tablicę przełączania, ani teŝ dodany do tablicy adresów bezpiecznych zachowanie takie umoŝliwia dalszą prawidłową transmisję urządzeniom zarejestrowanym w tablicy MAC oraz tablicy bezpieczeństwa, natomiast urządzenia przekraczające dopuszczalne limity będą blokowane przełącznik jednocześnie będzie generował pułapki SNMP oraz wiadomości dziennika zdarzeń dla adresu łamiącego zasady bezpieczeństwa oraz inkrementował licznik statystyk Copyright 2001-2009, 8.22

MAC: 1234.1234.1234 Copyright 2001-2009, interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation restrict hub Fa0/1 MAC: 1212.1212.1212 sw1 przykład konfiguracji oraz weryfikacji funkcjonalności restrykcji portów bezpiecznych sw1#sho port-security interface fastethernet 0/1 Port Status Violation Mode Aging Time Aging Type : Enabled : Secure-up : Restrict : 0 mins : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address : 1234.1234.1235 Security Violation Count : 243 8.23

Copyright 2001-2009, przykład weryfikacji trybu restrykcji portu -> powiadomienia będą generowane co 5 sekund (o ile ma miejsce naruszająca zasady bezpieczeństwa transmisja) sw1# 14:11:35: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:11:40: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:11:45: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:11:50: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:11:55: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:12:00: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:12:05: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:12:10: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. sw1# 14:12:15: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.1234.1235 on port FastEthernet0/1. 8.24

tryb protekcji portu, analogicznie jak tryby błędu oraz restrykcji, dodaje wpis statyczny do tablicy przełączania oraz tablicy bezpieczeństwa w sytuacji złamania zasad bezpieczeństwa interfejs pozostaje aktywny -> nowy adres który spowodował złamanie polityki bezpieczeństwa, nie zostanie wpisany w tablicę przełączania, ani teŝ dodany do tablicy adresów bezpiecznych zachowanie takie umoŝliwia dalszą prawidłową transmisję urządzeniom zarejestrowanym w tablicy MAC oraz tablicy bezpieczeństwa, natomiast urządzenia przekraczające dopuszczalne limity będą blokowane przełącznik nie będzie generował pułapek SNMP czy wiadomości dziennika zdarzeń dla adresu łamiącego zasady bezpieczeństwa, nie będzie takŝe inkrementowany licznik statystyk Copyright 2001-2009, 8.25

MAC: 1234.1234.1234 Copyright 2001-2009, interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation protect hub Fa0/1 MAC: 1212.1212.1212 sw1 przykład konfiguracji oraz weryfikacji funkcjonalności protekcji portów bezpiecznych sw1#sho port-security interface FastEthernet 0/1 Port Status Violation Mode Aging Time Aging Type : Enabled : Secure-up : Protect : 0 mins : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address : 1234.1234.1235 Security Violation Count : 243 8.26

wszystkie rozwiązania poznane do tej pory bazowały na dynamicznym poznawaniu bezpiecznej adresacji źródłowej MAC alternatywą dla rozwiązań bezpiecznych adresów poznawanych dynamicznie są bezpieczne adresy statyczne bezpieczny adres statyczny wymaga konfiguracji manualnej, przechowywany jest w pliku konfiguracji bieŝącej, a po zapisaniu takŝe w startowej oraz w tablicy przełączania -> wpis permanentny (config-if)# switchport port-security mac-address hhhh.hhhh.hhhh (config-if)# switchport port-security mac-address hhhh.hhhh.hhhh hhhh.hhhh.hhhh Copyright 2001-2009, wartość bezpiecznego adresu fizycznego 8.27

Copyright 2001-2009, uruchomienie funkcjonalności portu bezpiecznego ze statyczną konfiguracją bezpiecznego adresu MAC MAC: 1234.1234.1234 interface FastEthernet 0/1 switchport port-security switchport port-security violation shutdown switchport port-security mac-address 1234.1234.1234 Fa0/1 sw1 sw1#show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 1234.1234.1234 SecureConfigured Fa0/1 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 8.28

MAC: 1234.1234.1234 Copyright 2001-2009, interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation protect switchport port-security mac-address 1234.1234.1234 switchport port-security mac-address 1212.1212.1212 hub Fa0/1 MAC: 1212.1212.1212 sw1 podłączenie większej liczby urządzeń ze statyczną konfiguracją bezpiecznych adresów MAC, wymaga jawnej deklaracji ich maksymalnej dopuszczalnej liczby (domyślnie 1) sw1#show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 1234.1234.1234 SecureConfigured Fa0/1-1 1212.1212.1212 SecureConfigured Fa0/1 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 1024 8.29

MAC: 1234.1234.1234 interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation protect switchport port-security mac-address 1234.1234.1234 hub Fa0/1 MAC: 1212.1212.1212 sw1 sw1#show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 1234.1234.1234 SecureConfigured Fa0/1-1 1212.1212.1212 SecureDynamic Fa0/1 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 1024 w sytuacji, gdy liczba adresów statycznie skonfigurowanych jest mniejsza od zdefiniowanej maksymalnej liczby adresów bezpiecznych, pozostałe adresy poznawane są jako dynamiczne Copyright 2001-2009, 8.30

Copyright 2001-2009, wyczyszczenie z konfiguracji statycznego bezpiecznego adresu MAC # clear port-security static [ address hhhh.hhhh.hhhh.hhhh ] # clear port-security static [ address hhhh.hhhh.hhhh.hhhh ] wyczyszczenie z konfiguracji wszystkich bezpiecznych statycznych adresów MAC przypisanych w ramach określonego portu intf_type number hhhh.hhhh.hhhh # # clear clear port-security port-security static static [ [ interface interface intf_type intf_type number number ] ] odwołanie do interfejsu fizycznego wartość bezpiecznego adresu fizycznego 8.31

Copyright 2001-2009, alternatywą dla rozwiązań statycznych bezpiecznych adresów są statycznie przylepne (Sticky) adresy bezpieczne przylepny bezpieczny adres statyczny nie wymaga konfiguracji manualnej, przechowywany jest w pliku konfiguracji bieŝącej, a po zapisaniu takŝe w startowej oraz w tablicy przełączania zapisanie konfiguracji przed ponownym uruchomieniem zapewnia zachowanie wpisów z adresami MAC -> wpis permanentny (config-if)# (config-if)# switchport switchport port-security port-security mac-address mac-address sticky sticky [ [ hhhh.hhhh.hhhh hhhh.hhhh.hhhh ] ] hhhh.hhhh.hhhh wartość bezpiecznego adresu fizycznego statyczne przyczepne adresy MAC nie wymagają jawnej konfiguracji 8.32

uruchomienie funkcjonalności portu bezpiecznego z konfiguracją przylepnych adresów MAC-> wartość statycznego adresu przyczepnego zostanie dodana automatycznie do konfiguracji Copyright 2001-2009, MAC: 1234.1234.1234 interface FastEthernet 0/1 switchport port-security switchport port-security violation shutdown switchport port-security mac-address sticky switchport port-security mac-address sticky 1234.1234.1234 Fa0/1 sw1 sw1#show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 1234.1234.1234 SecureSticky Fa0/1 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 8.33

MAC: 1234.1234.1234 interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation protect switchport port-security mac-address sticky switchport port-security mac-address sticky 1234.1234.1234 switchport port-security mac-address sticky 1212.1212.1212 Copyright 2001-2009, hub Fa0/1 MAC: 1212.1212.1212 sw1 podłączenie większej liczby urządzeń z przylepną konfiguracją bezpiecznych adresów MAC, wymaga jawnej deklaracji ich maksymalnej dopuszczalnej liczby (domyślnie 1) sw1#show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 1234.1234.1234 SecureSticky Fa0/1-1 1212.1212.1212 SecureSticky Fa0/1 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 1024 8.34

Copyright 2001-2009, wyczyszczenie z konfiguracji statycznego przylepnego adresu MAC # clear port-security static [ address hhhh.hhhh.hhhh.hhhh ] # clear port-security static [ address hhhh.hhhh.hhhh.hhhh ] wyczyszczenie z konfiguracji wszystkich bezpiecznych przylepnych adresów w ramach określonego portu hhhh.hhhh.hhhh intf_type number # # clear clear port-security port-security static static [ [ interface interface intf_type intf_type number number ] ] wartość bezpiecznego adresu fizycznego odwołanie do interfejsu fizycznego 8.35

Copyright 2001-2009, bezpieczne wpisy adresów MAC w ramach portów przełącznika mogą wygasać -> są one usuwane z konfiguracji oraz tablicy adresów bezpiecznych wygasanie domyślnie dotyczy adresów nauczonych dynamicznie określenie czasu po którym wygasną adresy bezpieczne (config-if)# (config-if)# switchport switchport port-security port-security aging aging time time age_time age_time age_time czas wygaśnięcia adresów w minutach, dla wartości 0 wygasanie adresów jest wyłączone, zakres: 0 1440 minut, domyślnie czas wygasania ustawiony jest 0 minut 8.36

czas wygasania moŝe być określony jako: absolute (bezwzględny) -> wygaśnięcie adresu następuje po określonym czasie, opcja domyślna inactivity (brak aktywności) -> wygaśnięcie adresu następuje w sytuacji braku transmisji przez określony czas (config-if)# (config-if)# switchport switchport port-security port-security aging aging type type { { inactivity inactivity absolute absolute } } Copyright 2001-2009, 8.37

uruchomienie funkcjonalności wygasania adresów statycznych powoduje wygaśnięcie statycznego adresu po określonym czasie i uniemoŝliwia przypisanie nowych adresów statycznych w ramach danego portu wygaśnięcie adresu statycznego skutkuje usunięciem bezpiecznego wpisu z konfiguracji bieŝącej oraz tablic: przełączania i portów bezpiecznych -> jeŝeli urządzenie jest aktywne adres zostanie poznany jako dynamiczny przyczepne adresy statyczne nie podlegają mechanizmom wygasania uruchomienie funkcjonalności wygasania adresów statycznych (config-if)# switchport port-security aging static (config-if)# switchport port-security aging static Copyright 2001-2009, 8.38

MAC: 1234.1234.1234 przykład konfiguracji oraz weryfikacji funkcjonalności wygasania statycznych oraz dynamicznych adresów portów Copyright 2001-2009, bezpiecznych po 60 minutach interface FastEthernet 0/1 switchport port-security switchport port-security maximum 2 switchport port-security violation shutdown switchport port-security aging time 60 switchport port-security aging type inactivity switchport port-security aging static hub Fa0/1 MAC: 1212.1212.1212 wygaśniecie nastąpi w przypadku braku aktywności ze strony urządzenia sw1 sw1#sho port-security interface FastEthernet 0/1 Port Status Violation Mode Aging Time Aging Type : Enabled : Secure-up : Shutdown : 60 mins : Inactivity SecureStatic Address Aging : Enabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address : 1234.1234.1235 Security Violation Count : 243 8.39

weryfikacja dodawania oraz usuwania portów bezpiecznych sw1#debug port-security 000403: 03:33:19: %SYS-5-CONFIG_I: Configured from console by console sw1# 000404: 03:33:34: PSECURE: PSECURE: Address 000f.8f12.7a86 aged out 000405: 03:33:34: PSECURE: Deleting secure MAC address 000f.8f12.7a86 on port: Fa0/2 000406: 03:33:34: PSECURE: Delete dynamic secure address: 000f.8f12.7a86 000407: 03:33:34: PSECURE: Delete dynamic secure address:000f.8f12.7a86 000408: 03:33:34: PSECURE: psecure_platform_del_mac_addrs: Do nothing, called to delete <1,000f.8f12.7a86> to FastEthernet0/2 000409: 03:33:34: PSECURE: psecure_delete_address_not_ok address <1,000f.8f12.7a86> allowed 000410: 03:33:37: PSECURE: Adding 000f.8f12.7a86 as dynamic on port Fa0/2 for vlan 1 000411: 03:33:37: PSECURE: Adding address vlan 1 000f.8f12.7a86 to port-security 000412: 03:33:37: PSECURE: psecure_platform_add_mac_addrs: Do nothing, called to add <1,000f.8f12.7a86> to FastEthernet0/2 sw1# Copyright 2001-2009, 8.40

ograniczenia funkcjonalności bezpieczeństwa portów: interfejs musi się znajdować w trybie dostępowym (access), trybie magistralowym (trunk; negocjacje magistrali nie są dopuszczalne) lub trybie tunelu 802.1Q (802.1Q Tunnel) nie moŝe być portem dostępu dynamicznego nie moŝe być portem docelowym analizy transmisji (SPAN) nie moŝe naleŝeć do grup agregujących porty (EtherChannel) uruchomienie opcji bezpieczeństwa dla portu dostępowego (access) skutkuje uruchomieniem bezpieczeństwa dla portu sieci głosowej nie moŝna konfigurować statycznych lub przyczepnych adresów dla sieci głosowych (Voice VLAN) Copyright 2001-2009, 8.41

ograniczenia funkcjonalności bezpieczeństwa portów: opcje protekcji (Protect) i ograniczenia (Shutdown) portu nie mogą być jednocześnie aktywowane przełącznik nie wspiera czasów bezczynności dla przyczepnych adresów MAC w sytuacji konfiguracji głosowej sieci VLAN w ramach portu z adresami przyczepnymi, przełącznik poznaje adresy głosowej sieci VLAN jako adresy dynamiczne, pozostałe adresy sieci danych są odnotowywane jako przyczepne konfiguracja sieci głosowych Voice VLAN wymaga ustawienia liczby dopuszczalnych adresów na wartość minimalnie dwóch wpisy statyczne w tablicy przełączania (mac-address-table static) mają priorytet nad mechanizmami portów bezpiecznych Copyright 2001-2009, 8.42

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres