2012年8月28日 星期二

Switch上的基本防護功能-Port Security

Cisco Switch上的Port Security功能不是甚麼稀奇的功能,但很少人知道他的用法與細項設定,在此就來談談他的運用。
首先來談談他的運用,包含:

1.防止非單位的終端設備在未授權的情況下任意接入單位網路中。

2.防止單位授權的終端設備但卻接入非該終端設備被授權可以接入的區域(交換器)中

3.非授權的電腦任意建立Virtual Machine (一台VM就會有一組mac address)

一般在設定port security的方式會有以下幾種方式:

方式一:
(config)#interface gigabitethernet 9/10
(config-if)#switchport port-security
(config-if)#switchport port-security maximum 1
(config-if)#switchport port-security 0bdc.1f69.f598
(config-if)#switchport violation shutdown

方式二:

(config)#interface gigabitethernet 9/10
(config-if)#switchport port-security
(config-if)#switchport port-security maximum 1
(config-if)#switchport port-security sticky
(config-if)#switchport violation shutdown

其中,
   >  switchport port-security這個指令就是啟用介面上的port security功能

   >  switchport port-security maximum 1這個指令在指定這一個interface上最多可以有幾個
       mac-address上來,如果大於這一個值就是violation了。

   >  而接下來就是定義mac-address,有以下幾種:

 
         >> Static :  顧名思義就是直接手動設定特定的mac-address,但是設定完之後不會出現
                          在running-config中。如果要讓static mac-address出現在running-config中,需
                          要使用switchport port-security mac-address sticky xxxx.xxxx.xxxx

         >> Dynamic : 這是系統預設使用的方式。只要設備還沒有達到maximum上限
                              而且網路介面尚未學習到該mac-address,該mac-address就會被學習進
                              來,但學習到的mac-address是會被age掉的。

         >> Sticky :  使用這種方式的行為跟dynamic一樣,但不同的是,這種方式會將學習到的
                           mac-address寫入NVRAM中,這樣一來,就算設備重開機,mac-address還
                           是一樣存在,不須重新學習。
                           而sticky學習到的mac-address是不會被age掉。

                           Sticky跟dynamic這兩種功能是互不相容的,如果啟用sticky,dynamic就會
                           被自動關閉,sticky關掉後,dynamic還是會繼續運作。

                           而透過switchport port-security mac-address sticky指令可以將dynamic learning
                            mac-address轉成sticky learning mac-address存到running-config中

                           sticky mac-address雖然可以存在NVRAM中,但是可以手動清除:
                           #clear port-security sticky [interface fax/y]

    > Aging time : Aging time的參數包含:

                        Static: 對於static mac-address啟用aging time
 
                        Time: 設定aging timeout時間

                        Type: 設定aging time類型,有absolute及inactive兩種。absolute是絕對時間,
                                  只要mac-address經過這一段時間就會從mac-address table中消失掉;
                                  inactive是相對時間,只要該mac-address經過這一段時間沒有任何
                                  traffic,就會從mac-address table中清除掉。

   > Violation : 有幾種處理方式==>

                      Protect: 會將secured mac-address以外的mac-address丟棄掉,除此之外幾乎不做
                                   任何動作

                      Restrict: 除了不把interface shutdown之外,會發出snmp trap、violation counting
                                   其他做的事情跟Protect一樣。

                      Shutdown: interface會呈現err-disabled狀態。可以使用以下方式在經過某一段時
                                       間後恢復==>

                                        Cat4507 (config)#errdisable recovery cause psecure-violation
                                        Cat4507 (config)#errdisable recovery interval 30








張貼者:
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)