Контроль над подключением узлов к портам коммутатора. Функция Port Security

Функция Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту, определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым ограничивая количество подключаемых к нему узлов.

Существует три режима работы функции Port Security:

• Permanent ("Постоянный") — занесенные в таблицу коммутации МАС-адреса никогда не устаревают, даже если истекло время, установленное таймером Aging Time, или коммутатор был перезагружен;
• Delete on Timeout ("Удалить по истечении времени") — занесенные в таблицу коммутации МАС-адреса устареют после истечения времени, установленного таймером Aging Time, и будут удалены. Если состояние канала связи на подключенном порте изменяется, МАС-адреса, изученные на нем, удаляются из таблицы коммутации, что аналогично выполнению действий по истечении времени, установленного таймером Aging Time;
• Delete on Reset ("Удалить при сбросе настроек") — занесенные в таблицу коммутации МАС-адреса будут удалены после перезагрузки коммутатора (этот режим используется по умолчанию).

Функция Port Security оказывается весьма полезной при построении домовых сетей, сетей провайдеров Интернета и локальных сетей с повышенным требованием по безопасности, где требуется исключить доступ незарегистрированных рабочих станций к услугам сети.

Используя функцию Port Security, можно полностью запретить динамическое изучение МАС-адресов указанными или всеми портами коммутатора. В этом случае доступ к сети получат только те пользователи, МАС-адреса которых указаны в статической таблице коммутации.

Цель: Научиться управлять подключением узлов к портам коммутатора и изучить настройку функции Port Security на коммутаторах D-Link.

Оборудование:

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой

reset config

Рис. 20.1. Схема 1

Настройка управления количеством подключаемых к портам коммутатора пользователей путем ограничения максимального количества изучаемых МАС-адресов

Настройка DES-3200-28

Установите максимальное количество изучаемых всеми портами МАС-адресов равным 1

config port_security  ports 1-28 admin_state enable max_learning_addr 1

Подключите ПК1 и ПК2 к портам коммутатора

В этом примере используются порты 4 и 14

Проверьте MAC-адреса, которые стали известны портам

show fdb port 4
show fdb port 14

Проверьте, соответствуют ли зарегистрированные адреса адресам рабочих станций:

Проверьте информацию о настройках Port Security на портах коммутатора

show port_security  ports 1-28 

Настройте запись в Log-файл MAC-адресов, подключающихся к порту станций и отправку сообщений SNMP Trap

enable port_security  trap_log

Упражнения

Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот

ping <IP-address>

Поменяйте местами порты подключения рабочих станций.

Повторите тестирование соединения командой ping

ping <IP-address>

Проверьте информацию в Log-файле коммутатора

show log

Какой вы сделаете вывод?

Сохраните конфигурацию и перезагрузите коммутатор

save 
reboot

Повторите тестирование соединения командой ping

ping <IP-address>

• Какой вы сделаете вывод?
• Сохраняется ли информация о привязке MAC-port?

Настройте на порте 4 работу функции Port Security в режиме Permanent и максимальное количество изучаемых адресов, равное 1

config port_security  ports 4 admin_state  enable max_learning_addr 1 lock_address_mode Permanent

Сохраните конфигурацию и перезагрузите коммутатор

Save 
reboot

Проверьте информацию о настройках Port Security на портах коммутатора

show port_security  ports 1-28

• Какой вы сделаете вывод?
• Сохраняется информации о привязке MAC-port?

Очистите информацию о привязке MAC-port на порте 4

clear port_security_entry port 4

Отключите работу функции Port Security на порте 4 и приведите настройки в исходное (по умолчанию) состояние

config port_security  ports 4 
admin_state disable 
max_learning_addr 1 
lock_address_mode DeleteOnReset

Посмотрите время таймера блокирования (оно соответствует времени жизни MAC-адреса в таблице коммутации)

show fdb aging_time

Изменить время действия таймера можно с помощью настройки времени жизни MAC-адреса в таблице коммутации (время указано в секундах)

config fdb aging_time 20

Переведите режим работы функции Port Security на порте 4 в Delete on Timeout

config port_security  ports 4 admin_state  enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

Проверьте MAC-адреса, которые стали известны порту 4

show fdb port 4

Проверьте информацию о настройках Port Security на портах коммутатора

show port_security  ports 1-28

Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот

ping <IP-address> 

• Какой вы сделаете вывод?
• Сохраняется ли информация о привязке MAC-port?

Отключите работу функции Port Security на портах

config port_security  ports 1-28 admin_state  disable

Отключите функцию записи в Log-файл и отправки SNMP Trap

disable port_security  trap_log 

Настройка защиты от подключения к портам, основанной на статической таблице MAC-адресов

Настройка DES-3200-28

Сбросьте настройки коммутатора к заводским настройкам по умолчанию

reset config

Активизируйте функцию Port Security на всех портах и запретите изучение МАС-адресов (параметр max_learning_addr установить равным 0)

config port_security  ports 1-28 admin_state  enable max_learning_addr 0

Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот

ping <IP-address> 

Вручную создайте статические записи в таблице MAC-адресов

create fdb default 00-50-ba-00-00-01 port 14
create fdb default 00-50-ba-00-00-02 port 4

Проверьте созданные статические записи в таблице коммутации

show fdb port 4
show fdb port 14

Проверьте информацию о настройках Port Security на портах коммутатора

show port_security  ports 1-28 

Упражнения

Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот

ping <IP-address> 

Поменяйте местами порты подключения рабочих станций.

Повторите тестирование соединения командой ping

ping <IP-address> 

Какой вы сделаете вывод?

Удалите запись из таблицы МАС-адресов на порте 4

delete fdb default 00-50-ba-00-00-02 port 4