Основы конфигурирования коммутаторов

15.2. Управление таблицей коммутации

Коммутаторы получают MAC-адрес источника кадра, полученного на входной интерфейс, и регистрируют его в таблице коммутации. Кадры, которые имеют MAC-адрес назначения, зарегистрированный в таблице, могут переключаться только на соответствующий интерфейс без использования широковещательной передачи на все порты. Если в течение 300 секунд с какого-либо узла нет передачи кадров, то такой узел удаляется из таблицы. Не дожидаясь истечения заданного времени, администратор может вручную произвести очистку динамически созданных адресов путем использования команды clear mac-address-table в привилегированном режиме.

Таблица коммутации (таблица MAC-адресов) может формироваться, изменяться и дополняться в статическом режиме администратором. При этом повышается безопасность сети. Чтобы сконфигурировать статически МАС-адрес на заданный интерфейс, применяется следующая команда:

Switch(config)#mac-address-table static <МАС-адрес узла>
vlan <имя vlan> interface FastEthernet <номер>

Ниже приведен пример конфигурирования коммутатора Switch_A, на котором уже были динамически сформированы три строки таблицы с интерфейсами FA0/7, FA0/8 и FA0/9, отображаемые по команде

Switch_A>sh mac-address-table
           Mac Address Table
---------------------------------------------
Vlan    Mac Address      Type           Ports
----    -----------      --------       -----
  2     0060.2f2e.9907   DYNAMIC        Fa0/7
  3     0060.2f2e.9908   DYNAMIC        Fa0/8
  4     0060.2f2e.9909   DYNAMIC        Fa0/9
Switch_A>

Затем администратором статически конфигурируется новая запись:

Switch-A(config)#mac-address-table static 0030.A3E9.6623
vlan 2 Interface FastEthernet 0/2,

которая отображается в таблице коммутации (Type – STATIC):

Switch-A#sh mac-address-table
           Mac Address Table
---------------------------------------------
Vlan    Mac Address      Type           Ports
----    -----------      --------       -----
  2     0030.a3e9.6623   STATIC         Fa0/2
  2     0060.2f2e.9907   DYNAMIC        Fa0/7
  3     0060.2f2e.9908   DYNAMIC        Fa0/8
  4     0060.2f2e.9909   DYNAMIC        Fa0/9

Подобную информацию можно также увидеть по команде sh run:

Switch_A#sh run
...
mac-address-table static 0030.a3e9.6623 vlan 2 interface
FastEthernet0/2

Чтобы удалить созданные статически МАС-адреса, нужно использовать следующую команду:

Switch(config)#no mac-address-table static <МАС-адрес узла>
interface FastEthernet <номер> vlan <номер>

15.3. Конфигурирование безопасности на коммутаторе

Порты коммутатора доступны через структурированную кабельную систему. Кто угодно может включиться в один из портов – потенциальный пункт входа в сеть неправомочного пользователя. При этом злоумышленник может сконфигурировать коммутатор так, чтобы он функционировал как концентратор, а это позволяет проанализировать весь трафик сети, проходящий через коммутатор. Поэтому коммутаторы должны обеспечивать безопасность портов (port security).

Статическое конфигурирование администратором МАС-адресов обеспечивает безопасность путем жесткой привязки адреса к интерфейсу, однако это достаточно сложно. Для обеспечения динамического режима безопасности используется ряд команд конфигурирования коммутатора. Например, динамический режим обеспечения безопасности на интерфейсе Fast Ethernet 0/7 конфигурируется следующей последовательностью команд:

Switch_A(config)#int f0/7
Switch_A(config-if)#switchport port-security

или последовательностью, применяемой в виртуальных локальных сетях:

Switch_A(config)#int f0/7
Switch_A(config-if)#switchport mode access
Switch_A(config-if)#switchport port-security

После ввода указанной последовательности команд таблица коммутации приобретает следующий вид:

Switch-A#sh mac-address-table
           Mac Address Table
---------------------------------------------
Vlan     Mac Address       Type         Ports
----     -----------       --------     -----
  2      0030.a3e9.6623    STATIC       Fa0/2
  2      0060.2f2e.9907    STATIC       Fa0/7
  3      0060.2f2e.9908    DYNAMIC      Fa0/8
  4      0060.2f2e.9909    DYNAMIC      Fa0/9
Switch-A#

То есть привязка адреса к интерфейсу реализуется автоматически.

С целью повышения безопасности ограничивают число МАС-адресов интерфейса коммутатора, которым разрешено присоединяться к данному интерфейсу. Например, число МАС-адресов на порт может быть ограничено до 1. В этом случае первый адрес, динамически изученный коммутатором, считается безопасным адресом:

Switch_A#config t
Switch_A(config)#int fa 0/7
Switch_A(config-if)#switchport port-security max 1

Верификация режима port security конкретного интерфейса обеспечивается командой show port security:

Switch-A#sh port-security int f0/7

Port Security               : Enabled
Port Status                 : Secure-up
Violation Mode              : Shutdown
Aging Time                  : 0 mins
Aging Type                  : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses       : 1
Total MAC Addresses         : 1
Configured MAC Addresses    : 0
Sticky MAC Addresses        : 0
Last Source Address:Vlan    : 0060.2F2E.9907:2
Security Violation Count    : 0

Третья строка распечатки показывает режим реагирования системы на нарушения безопасности, который по умолчанию установлен в состояние "Выключение" ( Shutdown ). Нарушение безопасности происходит, когда станция, чей MAC-адрес отсутствует в таблице коммутации, пытается получить доступ к интерфейсу. При этом порт немедленно выключается и формируется сообщение о нарушении безопасности. Существуют еще два режима реагирования на нарушения безопасности: режим защиты (Protect) и режим ограничения (Restrict). В этих режимах пакеты с неизвестными исходящими МАС-адресами уничтожаются. При этом в режиме ограничения формируется уведомление, а в режиме защиты – не формируется. Установить режим "Выключение" можно по команде

Switch_A(config-if)#switchport port-security violation shutdown

Для повышения безопасности рекомендуется выключить все неиспользуемые порты коммутатора по команде shutdown. Ниже приведен пример фрагмента распечатки команды sh run, где показано, что интерфейс Fast Ethernet 0/10 выключен.

Switch_A#sh run
!
interface FastEthernet0/7
 switchport access vlan 2
 switchport mode access
 switchport port-security
!
interface FastEthernet0/8
 switchport access vlan 3
 switchport mode access!
!
interface FastEthernet0/9
 switchport access vlan 4
 switchport mode access
!
interface FastEthernet0/10
 shutdown
!
interface FastEthernet0/11
!

Выключение режима безопасности port security обеспечивается формой no команды, по которой режим вводился.

Краткие итоги

1. Коммутаторы делят сеть на домены коллизий.
2. При конфигурировании коммутатора используются четыре режима: пользовательский, привилегированный, глобального и детального конфигурирования.
3. Многие команды конфигурирования коммутатора аналогичны командам на конфигурирование маршрутизатора.
4. Коммутатором необходимо управлять, для чего задаются IP-адрес, маска, шлюз.
5. Кадры, которые имеют MAC-адрес назначения, зарегистрированный в таблице коммутации, могут переключаться только на соответствующий интерфейс без использования широковещательной передачи на все порты, что повышает безопасность.
6. Формат команды статического конфигурирования МАС-адреса на заданный интерфейс следующий:

   Switch(config)#mac-address-table static <МАС-адрес узла> vlan <имя vlan>
   interface FastEthernet <номер>
7. Коммутаторы должны обеспечивать безопасность портов (port security).
8. Статическое конфигурирование администратором МАС-адресов обеспечивает безопасность путем жесткой привязки адреса к интерфейсу.
9. Обеспечение безопасности на интерфейсе конфигурируется командой switchport port-security в режиме конфигурирования интерфейса.
10. Число МАС-адресов на порт может быть ограничено до одного командой switchport port-security max 1.
11. Существуют различные режимы реагирования системы на нарушения безопасности.
12. Для повышения безопасности рекомендуется выключать все неиспользуемые порты коммутатора.

Вопросы

1. Какие устройства делят сеть на домены коллизий?
2. Какие устройства делят сеть на широковещательные домены?
3. По каким командам конфигурируется IP-адрес и шлюз коммутатора?
4. По какой команде конфигурируется администратором новая запись в таблицу коммутации?
5. По какой команде можно удалить созданные записи таблицы коммутации?
6. По какой команде производится очистка таблицы коммутации?
7. Какие команды используются для установки дуплексного режима и скорости передачи?
8. По какой команде конфигурируется динамический режим обеспечения безопасности на интерфейсе?
9. По какой команде можно посмотреть содержимое таблицы коммутации?
10. Какие команды используются для верификации режима port security?

Упражнения

1. Создайте сеть на коммутаторе и восьми конечных узлах.
2. Смоделируйте пять динамических записей в таблице коммутации.
3. Проведите проверку таблицы коммутации.
4. Сконфигурируйте статические записи в таблице коммутации для оставшихся конечных узлов.
5. Проведите проверку таблицы коммутации.
6. Удалите одну из статических записей.
7. Покажите, когда удаляются динамически созданные записи.
8. Ограничьте число МАС-адресов на порт до 1.