Лабораторная работа №6 «Настройка Cisco Port-Security» Теоретические сведения



бет4/5
Дата20.01.2023
өлшемі271,67 Kb.
#62059
түріЛабораторная работа
1   2   3   4   5
Байланысты:
лаб 6

Restrict
Тоже, что и protect, но генерирует сообщения syslog и увеличивает счетчик violation counter, при блоркировании неразрешенного трафика.
При изменении режима violation на restrict, генерируются сообщения о нелигитимном трафике он блокируется, а разрешенный передается без проблем:

Генерация сообщений в log будет продолжаться, пока устройство с неразрешенным MAC адресом будет подключено к коммутатору.


Максимальное к-во MAC адресов


По умолчанию, port security ограничивает количество разрешенных MAC адресов одним. Эта настройка может быть изменена, например для одновременного подключения IP телефона и компьютера к одному порту коммутатора:

Также существует возможность настроить максимальное количество адресов для Voice и обычного VLAN отдельно:

MAC Address Learning


Администратор имеет возможность статически назначать разрешенные MAC адреса на порту. MAC адреса могут быть сконфигурированы отдельно для VLAN (access или voice).

Настроенные адреса хранятся в running configuration:

В общем эта практика трудно применима в сетях с большим количеством портов, наиболее удлобный вариант в данном случае — это «sticky learning» MAC адресорв — при таком режиме адреса изучаются динамически до достижения лимита количества адресов (maximum MAC address).

В процессе изучения адреса помещаются в running config, также, как если бы они были настроены вручную:

MAC Address Aging


По умолчанию, MAC адреса запоминаются фактически навсегда (до перезагрузки). Возможно настроить устаревание «Aging» адресов. Это позволит новым устройствам быть подключенными к порту коммутатора через некоторое время. Aging может быть настроен на обновление MAC адресов на регулярной основе (через определенные интервалы), либо после определенного периода неактивности устройства. Следующая конфигурация устанавливает время устаревания записи MAC адреса через 5 минут неактивности:


Через 5 минут неактивности можно увидеть, что адрес стерт из памяти, освободив место для изучения любого другого:

Auto-recovery


Для того чтобы избежать необходимости вручную включать порт после его блокировки (error-disabled state), возможно применение функции автоматического восстановления (auto-recovery). Интервал настраивается в секундах.

Через десять минут (600 сек) после перевода порта в режим error-disabled, можно увидеть, что порт автоматически вернулся в рабочее состояние:

Помните, что в случае если ситуация с подключенными устройствами не меняется, то после автоматического восстановления устройство будет снова переведено в состояние error-disabled. Также необходимо понимать, что MAC адрес легко подменить, а несколько подключенных к порту устройств можно скрыть за простым маршрутизатором. Стандарт IEEE 802.1X является более бескомпромисной технологией безопасности на уровне доступа.



Достарыңызбен бөлісу:
1   2   3   4   5




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет