Налаштувавши цю функцію, ми можемо бути спокійні, що зловмисник не висмикне патч-корд з розетки і підключиться до нашої мережі зі своїм ноутбуком. Комутатор заборонить йому передавати дані через свій порт. Зараз ми спробуємо розібратися, що це за функція і як її налаштувати.
На жаль, доведеться мені чергувати практичні напрацювання з теоретичними викладками, але це зроблено для того, щоб у вас склалося більш чітке розуміння роботи комутатора. Приступимо.
#show mac-address-table [interface <интерфейс>]
Так, що у нас далі? Ага. Режими реагування на порушення безпеки. Що таке «порушення безпеки»? Взагалі, розглядаються 2 ситуації:
Найчастіше, звичайно, виникає перша ситуація, тобто неправомірний доступ до мережі.
Реагування на порушення безпеки
Отже, три режими реагування:
За замовчуванням на всіх портах перебуває в режимі shutdown.
Перевірка на емуляторі Cisco Packet Tracer
Посилання на скачування CPT можна знайти в нашому файловому сховищі.
Ну що, розглянемо ситуацію?
Входимо в IOS комутатора:
Switch> en
Switch # conf t
Switch (config) #interface fastethernet0 / 1
Switch (config-if) #switchport mode access
Switch (config-if) #switchport port-security
Switch (config-if) #switchport port-security maximum 3
Switch (config-if) #exit
Switch (config) #exit
Switch # write m
Убедімася, що Switch #sh run
показує
...
interface FastEthernet0 / 1
switchport mode access
switchport port-security
switchport port-security maximum 3
...
Ну правильно! Пусто. Звідки там взятися записів? Пінгуем з одного хоста інший.
Pinging 10.0.0.2 with 32 bytes of data:
Reply from 10.0.0.2: bytes = 32 time = 20ms TTL = 128
Reply from 10.0.0.2: bytes = 32 time = 8ms TTL = 128
Reply from 10.0.0.2: bytes = 32 time = 6ms TTL = 128
Reply from 10.0.0.2: bytes = 32 time = 8ms TTL = 128
Ping statistics for 10.0.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 6ms, Maximum = 20ms, Average = 10ms
Switch # sh mac-address-table int fa0 / 1
Mac Address Table
---------------
Vlan Mac Address Type Ports
- ---- --- -
1 0090.213a.e000 STATIC Fa0 / 1
1 0090.213a.f000 DYNAMIC Fa1 / 1
Switch #
Switch # sh mac-address-table int fa0 / 1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0090.213a.e000 STATIC Fa0 / 1
1 0090.213a.e001 STATIC Fa0 / 1
1 0090.213a.f000 DYNAMIC Fa1 / 1
Switch #
% LINK-5-CHANGED: Interface FastEthernet0 / 1, changed state to administratively down
% LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0 / 1, changed state to down
Switch # show interfaces fastEthernet 0/1
FastEthernet0 / 1 is down, line protocol is down (err-disabled)
...
Це означає, що порт отрубился в err-disabled. (Так як ми залишили дефолтний shutdown). УРА ура. Захист спрацювала!
Очистити таблицю MAC і підняти порт
Switch # clear port-security all
Підняти порт з err-disable можна різними способами, наприклад
Switch (config-if) #shutdown
Switch (config-if) #no shutdown
Вам так само сподобається:
