Per impostazione predefinita, non vi è alcun limite al numero di indirizzi MAC che uno switch può apprendere su un’interfaccia e tutti gli indirizzi MAC sono consentiti. Se vogliamo possiamo cambiare questo comportamento con port-security . Diamo un’occhiata alla seguente situazione:
Nella topologia sopra, qualcuno ha collegato uno switch economico (non gestito) che ha portato da casa all’interfaccia FastEthernet 0/1 del nostro switch Cisco. A volte alle persone piace portare un passaggio in più da casa all’ufficio. Di conseguenza, il nostro switch Cisco apprenderà l’indirizzo MAC di H1 e H2 sulla sua interfaccia FastEthernet 0/1.
Ovviamente non vogliamo che le persone portino i propri switch e li colleghino alla nostra rete, quindi vogliamo evitare che ciò accada. Ecco come possiamo farlo:
Switch (config) # interface fa0 / 1 Switch (config-if) # switchport port-security Switch (config-if) # switchport port-security maximum 1
Utilizzare il comando switchport port-security per abilitare port-security. Ho configurato la sicurezza della porta in modo che sia consentito un solo indirizzo MAC. Una volta che lo switch vede un altro indirizzo MAC sull’interfaccia, sarà in violazione e succederà qualcosa. Ti faccio vedere cosa succede tra un po ‘…
Oltre a impostare un massimo sul numero di indirizzi MAC, possiamo anche utilizzare la sicurezza delle porte per filtrare gli indirizzi MAC. È possibile utilizzarlo per consentire solo determinati indirizzi MAC. Nell’esempio sopra ho configurato la sicurezza della porta in modo che consenta solo l’indirizzo MAC aaaa.bbbb.cccc. Questo non è l’indirizzo MAC del mio computer, quindi è perfetto per dimostrare una violazione.
Switch(config)#interface fa0/1
Switch(config-if)#switchport port-security mac-address aaaa.bbbb.cccc
Utilizzare ilÂ
comandoÂ
switchport port-security mac-address per definire l'indirizzo MAC che si desidera consentire.Â
Ora genereremo un po 'di traffico per causare una violazione:
C:\Documents and Settings\H1> ping 1.2.3.4
Sto inviando un ping a un indirizzo IP fasullo ... non c'è niente che abbia l'indirizzo IP 1.2.3.4;Â
Voglio solo generare traffico.Â
Ecco cosa vedrai:
SwitchA# %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0090.cc0e.5023 on port FastEthernet0/1. %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Abbiamo una violazione della sicurezza e di conseguenza la porta va inÂ
stato di disabilitazione degli errori .Â
Come puoi vedere ora è inattivo.Â
Diamo uno sguardo più da vicino alla sicurezza della porta:
Switch#show port-security interface fa0/1
Port Security: Enabled
Port Status: Secure-shutdown Violation Mode: Shutdown Aging Time: 0 mins
Aging Type                : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses: 1
Total MAC Addresses: 1
Configured MAC Addresses: 1
Sticky MAC Addresses: 0
Last Source Address:Vlan  : 0090.cc0e.5023:1
Security Violation Count  : 1
Ecco un utile comando per controllare la configurazione della sicurezza della tua porta.Â
UtilizzareÂ
mostra interfaccia di sicurezza della porta per visualizzare i dettagli di sicurezza della porta per interfaccia.Â
È possibile vedere che la modalità di violazione è chiusa e che l'ultima violazione è stata causata dall'indirizzo MAC 0090.cc0e.5023 (H1).
Switch#show interfaces fa0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)Disattivare l’interfaccia dopo una violazione della sicurezza è una buona idea (dal punto di vista della sicurezza) ma il problema è che l’interfaccia rimarrà nello stato di disabilitazione degli errori . Questo probabilmente significa un’altra chiamata all’helpdesk e tu riporti l’interfaccia attiva! Attiviamolo di nuovo:
Switch (config) # interface fa0/1 Switch (config-if) # shutdown Switch (config-if) # no shutdown
Per ripristinare lo stato l’interfaccia dallo stato di disabilitazione err è necessario digitare “shutdown” seguito da “no shutdown”. Digitare solo “no shutdown” non è sufficiente !
Potrebbe essere più semplice se l’interfaccia potesse ripristinarsi dopo un certo tempo. Puoi abilitarlo con il seguente comando:
Switch(config)#errdisable recovery cause psecure-violation
Dopo 5 minuti (300 secondi) si ripristina automaticamente dallo stato di disabilitazione degli errori. Assicurati di risolvere il problema, perché altrimenti avrà solo un’altra violazione e finirà di nuovo nello stato di disabilitazione degli errori. Puoi accelerarlo cambiando il timer. Impostiamolo su 30 secondi:
SW1(config)#errdisable recovery interval 30Invece di digitare noi stessi l’indirizzo MAC, possiamo anche fare in modo che lo switch impari un indirizzo MAC per la sicurezza della porta:
Switch(config-if)#no switchport port-security mac-address aaaa.bbbb.cccc Switch(config-if)#switchport port-security mac-address sticky
La parola chiave sticky farà in modo che lo switch utilizzi il primo indirizzo MAC che apprende sull’interfaccia per la sicurezza della porta. Verifichiamolo:
Switch#show run interface fa0/1
Building configuration...
Current configuration : 228 bytes
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000c.2928.5c6cPuoi vedere che salverà l’indirizzo MAC di H1 nella configurazione in esecuzione da solo.
Chiudere l’interfaccia in caso di violazione potrebbe essere un po ‘troppo. Ci sono altre opzioni, ecco cosa puoi fare:
Switch(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode
Ci sono altre opzioni come proteggere e limitare.
- Proteggi: i frame Ethernet da indirizzi MAC non consentiti verranno eliminati ma non riceverai alcuna informazione di registrazione.
- Limita: i frame Ethernet da indirizzi MAC non consentiti verranno eliminati ma verranno visualizzate le informazioni di registrazione e verrà inviato un trap SNMP.
- Shutdown: i frame Ethernet da indirizzi MAC non consentiti porteranno l’interfaccia allo stato di disabilitazione per errore. Verranno visualizzate le informazioni di registrazione e verrà inviato un trap SNMP. Per il recupero hai due opzioni:
- Manuale: ripristina l’interfaccia da solo con un “arresto” e “nessun arresto”.
- Automatico: utilizzare iÂ
errdisable recoverycomandi per abilitare e ottimizzare il ripristino automatico.
- Riepilogo comandi
hostname Switch
!
interface fastEthernet0/1
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
!
errdisable recovery cause psecure-violation
!
endAbout Author
