Функция безопасности порта
Перед введением коммутатора в эксплуатацию необходимо обеспечить безопасность всех портов (интерфейсов) коммутатора. Один из способов защиты портов — использование функции безопасности портов (функция Port Security). Данная функция ограничивает количество допустимых МАС-адресов на один порт, а также разрешает доступ для МАС-адресов санкционированных устройств и запрещает доступ для остальных МАС-адресов.
Для того чтобы разрешить доступ одному или нескольким МАС-адресам, необходимо настроить функцию безопасности портов. В случае если количество разрешённых МАС-адресов на порте ограничено до одного, к этому порту может подключиться только устройство с этим конкретным МАС-адресом.
Если порт настроен как защищённый и достигнуто максимальное количество МАС-адресов, любые дополнительные попытки подключения с неизвестных адресов приведут к нарушению безопасности. На рис. 1 подведены итоги вышеизложенных сведений.
Виды защиты МАС-адресов
Существует множество способов настроить функцию безопасности порта. В зависимости от конфигурации различают следующие типы защищённых адресов:
- Статическая защита МАС-адреса — МАС-адреса, которые настроены на порте вручную с помощью команды режима конфигурации интерфейса switchport port-security mac-address МАС-адрес. МАС-адреса, настроенные таким образом, хранятся в таблице адресов и добавляются в текущую конфигурацию коммутатора.
- Динамическая защита МАС-адреса — МАС-адреса, которые получены динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом, удаляются при перезагрузке коммутатора.
- Защита МАС-адреса на основе привязки — МАС-адреса, которые могут быть получены динамически или настроены вручную. Они хранятся в таблице адресов и добавляются в текущую конфигурацию.
Защита МАС-адреса на основе привязки
Для того чтобы настроить интерфейс для преобразования динамически полученных МАС-адресов в прикреплённые защищённые МАС-адреса и добавить их в текущую конфигурацию, необходимо включить функцию sticky learning (распознавание прикреплённых адресов). Функция sticky learning включается на интерфейсе с помощью команды режима конфигурации интерфейса switchport port-security mac-address sticky.
После ввода этой команды коммутатор преобразует все динамически полученные МАС-адреса, включая адреса, которые были получены динамически до включения этой функции, в прикреплённые защищённые МАС-адреса. Все прикреплённые защищённые МАС-адреса добавляются в таблицу адресов и в текущую конфигурацию.
Также прикреплённые защищённые МАС-адреса можно задать вручную. Когда прикреплённые защищённые МАС-адреса настроены с помощью команды режима конфигурации интерфейса switchport port-security mac-address sticky МАС-адрес, все указанные адреса добавляются в таблицу адресов и текущую конфигурацию.
Если прикреплённые защищённые МАС-адреса сохраняются в файле загрузочной конфигурации, то после перезагрузки коммутатора или отключения интерфейса не требуется повторное получение адресов. Если же прикреплённые защищённые адреса не сохраняются, они будут потеряны.
При отключении режима sticky learning с помощью команды режима конфигурации интерфейса no switchport port-security mac-address sticky прикреплённые защищённые МАС-адреса остаются в таблице адресов, но удаляются из текущей конфигурации.
На рис. 2 показаны характеристики прикреплённых защищённых МАС-адресов.
Обратите внимание, что функция защиты портов не работает, пока защита портов не будет включена для интерфейса командой switchport port-security.