15.3. Конфигурирование безопасности на коммутаторе

Порты коммутатора доступны через структурированную кабельную систему. Любой может включиться в один из портов, что является потенциальным пунктом входа в сеть неправомочными пользователями. При этом злоумышленник может сконфигурировать коммутатор так, чтобы он функционировал как концентратор, что позволяет проанализировать весь трафик сети, проходящий через коммутатор. Поэтому коммутаторы должны обеспечивать безопасность портов (port security).

Статическое конфигурирование администратором МАС-адресов обеспечивает безопасность путем жесткой привязки адреса к интерфейсу, однако это достаточно сложно. Для обеспечения динамического режима безопасности используется ряд команд конфигурирования коммутатора. Например, динамический режим обеспечения безопасности на интерфейсе Fast Ethernet 0/7 конфигурируется следующей последовательностью команд:

Switch_A(config-if)#int f0/7

Switch_A(config-if)#switchport port-security

или последовательностью, используемой в виртуальных локальных сетях

Switch_A(config)#int f0/7

Switch_A(config-if)#switchport mode access

Switch_A(config-if)#switchport port-security

После ввода указанной последовательности команд таблица коммутации приобретает следующий вид:

Switch-A#sh mac-address-table

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

2 0030.a3e9.6623 STATIC Fa0/2

2 0060.2f2e.9907 STATIC Fa0/7

3 0060.2f2e.9908 DYNAMIC Fa0/8

4 0060.2f2e.9909 DYNAMIC Fa0/9

Switch-A#

То есть привязка адреса к интерфейсу реализуется автоматически.

С целью повышения безопасности ограничивают число МАС-адресов интерфейса коммутатора, которым разрешено присоединяться к данному интерфейсу. Например, число МАС-адресов на порт может быть ограничено до 1. В этом случае первый адрес, динамически изученный коммутатором, считается безопасным адресом.

Switch_A#config t

Switch_A(config)#int fa 0/7

Switch_A(config-if)#switchport port-security max 1

Верификация режима port security конкретного интерфейса обеспечивается командой show port security:

Switch-A#sh port-security int f0/7

Port Security : Enabled

Port Status : Secure-up

Violation Mode : Shutdown

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 0

Sticky MAC Addresses : 0

Last Source Address:Vlan : 0060.2F2E.9907:2

Security Violation Count : 0

Switch-A#

Третья строка распечатки показывает режим реагирования системы на нарушения безопасности, который по умолчанию установлен в состояние «Выключение» (Shutdown). Нарушение безопасности происходит, когда станция, чей MAC-адрес отсутствует в таблице коммутации, пытается получить доступ к интерфейсу. При этом порт немедленно выключается и формируется сообщение о нарушении безопасности. Существуют еще два режима реагирования на нарушения безопасности: режим защиты (Protect) и режим ограничения (Restrict). В этих режимах пакеты с неизвестными исходящими МАС-адресами уничтожаются. При этом в режиме ограничения формируется уведомление, а в режиме защиты – не формируется. Установить режим «Выключение» можно по команде:

Switch_A(config-if)#switchport port-security violation shutdown

Для повышения безопасности рекомендуется выключить все неиспользуемые порты коммутатора по команде Shutdown. Ниже приведен пример фрагмента распечатки команды sh run, где показано, что интерфейс FastEthernet0/10 – выключен.

Switch_A#sh run

!

interface FastEthernet0/7

switchport access vlan 2

switchport mode access

switchport port-security

!

interface FastEthernet0/8

switchport access vlan 3

switchport mode access!

!

interface FastEthernet0/9

switchport access vlan 4

switchport mode access

!

interface FastEthernet0/10

shutdown

!

interface FastEthernet0/11

!

Выключение режима безопасности port security обеспечивается формой no команды, по которой режим вводился.