Практически во всех коммутаторах cisco catalyst имеется возможность указать MAC-адреса сетевых устройств, которые должны работать через определенный порт коммутатора. Этим самым можно немного повысить безопасность своей локальной сети.

Делается это следующим образом. Для начала нужно явно перевести порт в режим access и включить на порту port-security. Далее, для того, чтобы не прописывать руками на каждом порту MAC-адреса (фу какая гадость), нужно заставить коммутатор самому их изучить командой port-security mac-address sticky.

Приблизительно так:

interface FastEthernet0/14
 switchport mode access
 switchport access vlan XX
 switchport port-security
 switchport port-security violation protect
 switchport port-security mac-address sticky

После того, как каталиста увидит MAC-адрес сетевого устройства за портом, на интрефейсе появится дополнительная команда с этим маком:

switchport port-security mac-address sticky 0007.e9a7.125e

Изменить приклеенный MAC можно двумя путями: либо просто убрать эту строку из конфигурации порта, либо выполнить команду clear port-security.

Состояние сконфигурированного порта:

cat230#sh port-security interface fa0/14
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Protect
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0007.e9a7.125e:1
Security Violation Count   : 0

Ещё пара моментов. Как видно из вышеприведенного конфига, на порту присутствует команда:

switchport port-security violation protect

Она заставляет коммутатор просто отбрасывать пакеты с несоответствующим маком. Если её не указать явно, то сработает команда по умолчанию:

switchport port-security violation shutdown

При этом, при подключении устройства c другим MAC, порт уйдет в shutdown и его нужно будет потом поднимать руками. Это конечно безопаснее, но немного неудобно, особенно, если сеть большая.

Если в порт может подключаться несколько устройств, то можно увеличить количество запоминаемых адресов можно командой:

switchport port-security maximum  {1-4097}

Дополнительные команды можно посмотреть в Cisco IOS Security Command Reference.

Популярность: 11%