Коммутация. Port security
Получить достижение
Пройдите тест, чтобы получить достижение.
Пройти тестКоммутация (switching) – передача фреймов (определение автора). Коммутировать – предоставить канал связи для передачи фреймов (тоже определение автора). Каламбур – коммутатор коммутирует (а маршрутизатор маршрутизирует, об этом в разделе Cisco Router).
Основные моменты работы коммутатора
Мы уже изучили как работает коммутатор здесь, поэтому предлагаю повторить только основные моменты и переходить к практике.
- Когда фрейм приходит на коммутатор, первое, что он делает – смотрит на адрес отправителя и ищет его в своей таблице коммутации, если его там нет, то добавляет MAC-адрес и порт, с которого пришел это фрейм. Таким образом, коммутатор изучает сеть.
- После того, как таблица коммутации (таблица MAC адресов) заполнена, коммутатор в соответствии с ней отправляет фрейм на порт, где находится получатель.
- При получении широковещательного фрейма (с MAC-адресом получателя FFFF:FFFF:FFFF), коммутатор рассылает его на все порты, кроме того, откуда он пришел. Такая же логика, если MAC-адреса получателя фрейма нет в таблице коммутации.
Защита портов (port security)
Port security – функция коммутатора, которая позволяет жестко обозначить MAC-адрес/-адреса, которым разрешено проходить через этот порт.
Виды “запоминания MAC-адресов”
- Статический – жестко указывается MAC-адрес/-адреса.
- Динамический – указать максимальное кол-во MAC-адресов.
- Смешанный – некоторые адреса указываются жестко, а так же указывается максимальное кол-во MAC-адресов.
Виды реагирования на нарушение (violation mode)
- Protect – только отбрасывает фреймы, нарушающие установленную политику (если MAC-адреса нет в списке или превышено максимальное кол-во адресов).
- Restrict – отбрасывает фреймы, нарушающие установленную политику, и логгирует событие (заносит информацию в журнал).
- Shutdown – при нарушении политики, переводит порт в состояние error-disabled (выключен из-за ошибки).
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Теория и практика
Версия файла: 2.0
Уже получили: 245 пользователей
Начальные данные
В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.

Цели
- Разобрать строение таблицы коммутации.
- Научиться выключать порты коммутатора.
- Изучить как выключение порта влияет на таблицу коммутации.
- Изучить функцию Port Security.
- Добавить описание к интерфейсу.
Выполнение
Ваш основной инструмент при выполнении практического задания – ПК0.
-
Разобрать строение таблицы коммутации.
Зайдем на коммутатор SW1. Адрес: 10.23.10.101, пароль: cisco123.
Чтобы посмотреть таблицу коммутации (таблицу MAC-адресов), надо вызвать команду
sh mac address-table
. Давайте вызовем ее и изучим более подробно.sw_fl_1# sh mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0001.42d1.a9bb DYNAMIC Fa0/5 1 0001.64ab.ea34 DYNAMIC Fa0/5 1 0005.5e81.1220 DYNAMIC Fa0/5 1 000c.8514.8902 DYNAMIC Fa0/5 1 0060.2fe7.22d1 DYNAMIC Fa0/5 1 0060.4778.cb97 DYNAMIC Fa0/3 1 0060.47ca.78d9 DYNAMIC Fa0/2 1 0060.5ce7.c109 DYNAMIC Fa0/5 1 0090.212b.78a8 DYNAMIC Fa0/1 1 00d0.586e.01ec DYNAMIC Fa0/5 1 00e0.b083.9a73 DYNAMIC Fa0/5 Первый столбец пока нас не очень интересует, т.к. с VLAN-ами мы еще не познакомились. Второй столбец озаглавлен “Mac Address”, и под ним список MAC-адресов. Третий столбец говорит о том, как был добавлен MAC-адрес – динамически или статически (если его кто-то самостоятельно добавил в таблицу). Четвертый столбец “Порты” говорит нам, с какого порта был узнан MAC-адрес.
Таблица коммутации очень полезный инструмент, с помощью нее можно определить на каком порту находится то или иное устройство (чаще всего ноутбук или компьютер). Если вы видите много MAC-адресов на одном порту, то это может означать только одно – за этим портом находится еще один коммутатор (чаще всего так, но есть исключения).
Предлагаю определить на каком порту находится наш компьютер (ПК0). Для начала надо узнать его MAC-адрес. Это можно сделать из командной строки самого компьютера, вызвав команду
ipconfig /all
, рисунок 3.1. Под словами “Physical Address” подразумевается MAC-адрес. Теперь мы можем уверенно сказать, что наш компьютер подключен к порту Fa0/3.Рисунок 3.1 Вывод команды ipconfig /all -
Научиться выключать порты коммутатора.
Порты на коммутаторе выключаются с помощью команды
shutdown
. Давайте выключим порт Fa0/5, где предположительно находится еще один коммутатор (после того, как вы узнаете как выключать порты, самое главное по ошибке не выключить порт Fa0/3, иначе работу придется начинать заново).В начале разберем название порта Fa0/5. Fa – FastEthernet (вы должны уже знать какая максимальная пропускная способность на этом порту, а если нет, читать тут), 0/5 – 0 говорит о том, что этот порт принадлежит коммутатору (можно сказать и по-другому – припаян к основной плате), если это число отлично от нуля, то порт принадлежит модулю (платы-расширения, покупаются отдельно и вставляются для увеличения кол-ва портов), число 5 это порядковый номер порта. Теперь выключаем порт.
sw_fl_1(config)# interface fastEthernet 0/5 sw_fl_1(config-if)# shutdown Все просто, зашли в режим настройки порта
interf fastEthernet 0/5
, выключили портshutdown
. Теперь посмотрим в каком он статусе.sw_fl_1# sh ip interf brief Interface IP-Address OK? Method Status Protocol FastEthernet0/1 unassigned YES manual up up FastEthernet0/2 unassigned YES manual up up FastEthernet0/3 unassigned YES manual up up FastEthernet0/4 unassigned YES manual down down FastEthernet0/5 unassigned YES manual administratively down down FastEthernet0/6 unassigned YES manual down down Мы уже знаем, что такое состояние up, теперь узнаем другие состояния. Administratively down – выключен вручную с помощью команды
shutdown
. Down – выключен по причине отсутствия физической среды (провод не вставлен).Чтобы включить порт, надо в режиме настройки этого порта выполнить команду
no shutdown
(частица no отменяет последующую команду, мы еще не раз ее встретим). -
Изучить как выключение порта влияет на таблицу коммутации.
Посмотрим на таблицу коммутации после выключения порта.
sw_fl_1# sh mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0060.4778.cb97 DYNAMIC Fa0/3 1 0060.47ca.78d9 DYNAMIC Fa0/2 1 0090.212b.78a8 DYNAMIC Fa0/1 Как мы видим, MAC-адресов стало гораздо меньше, что было предсказуемо.
-
Изучить функцию Port Security.
Давайте включим порт Fa0/5 и зайдем на коммутатор SW_2. Адрес: 10.23.10.102, пароль: cisco123.На портах коммутатора SW_2 Fa0/12 и Fa0/20 находятся ПК2 и ПК3, мы будем использовать их для наших экспериментов.
Начнем с простой настройки Port Security на порту Fa0/12. По умолчанию, если мы не задали ни одного параметра, а просто включили Port Security, то выставляются настройки: максимум адресов на порту – 1, MAC-адрес – первый попавшийся, в случае нарушения – выключить порт. Ниже представлена настройка и просмотр состояния.
sw_fl_2(config)# interf fa 0/12 sw_fl_2(config-if)# switchport mode access //обязательное условие для port-security, разберем в разделе VLAN sw_fl_2(config-if)# switchport port-security //включаем port-security sw_fl_2(config-if)# sw_fl_2(config-if)# do sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------- Fa0/12 1 1 0 Shutdown ---------------------------------------------------------------------- sw_fl_2# show port-security interface fa 0/12 //показывает подробную информацию по конкретному интерфейсу Port Security : Enabled //статус port-security - включен Port Status : Secure-up//статус порта - "обезопасен" Violation Mode : Shutdown//в случае нарушения выключить Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1//максимальное количество адресов Total MAC Addresses : 1//всего адресов Configured MAC Addresses : 0//статичных адресов Sticky MAC Addresses : 0 Last Source Address:Vlan : 0005.5E81.1220:1//последний замеченый адрес источника Security Violation Count : 0sw_fl_2# sw_fl_2# sh mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0001.42d1.a9bb DYNAMIC Fa0/1 1 0001.64ab.ea34 DYNAMIC Fa0/3 1 0004.9a20.de05 DYNAMIC Fa0/2 1 0004.9a8d.1a27 DYNAMIC Fa0/2 1 0005.5e81.1220 STATIC Fa0/12 //адрес теперь статично прикреплен к интерфейсу 1 0060.2fe7.22d1 DYNAMIC Fa0/1 1 0060.4778.cb97 DYNAMIC Fa0/2 1 0060.5ce7.c109 DYNAMIC Fa0/1 1 00d0.586e.01ec DYNAMIC Fa0/20 1 00d0.ba09.6601 DYNAMIC Fa0/1 1 00e0.b083.9a73 DYNAMIC Fa0/1(ох, как много букв, сейчас разберемся). Первое, что мы сделали, это настроили port-security командой
switchport port-security
(перед этим мы ввели командуswitchport mode access
, она обязательна, но значение ее мы узнаем в следующем разделе). Частицаdo
позволяет в режиме конфигурации вызывать команды из privilege mode, бывает очень полезно, но не всегда удобно. Командаshow port-security
позволяет просмотреть краткую статистику всех интерфейсов с настроенной функцией port-security. Более подробную информацию по конкретному интерфейсу мы можем посмотреть при помощи командыshow port-security interface <имя интерфейса>
, важные моменты в выводе этой команды прокомментированы. Так же обратите внимание, что в таблице коммутации к порту Fa0/12 прикреплен MAC-адрес.Теперь настроим порт Fa0/20 на определенный MAC-адрес и выставим другую политику в случае нарушения, например restrict.
sw_fl_2(config)# interf fa 0/20 sw_fl_2(config-if)# switchport mode access sw_fl_2(config-if)# shut //выключаем порт sw_fl_2(config-if)# switchport port-security violation restrict //выставляем режим restrict sw_fl_2(config-if)# switchport port-security mac-address 0001.439d.0001 //статически указываем mac-адрес sw_fl_2(config-if)# switchport port-security //включаем port-security sw_fl_2(config-if)# no shut //включаем интерфейс sw_fl_2# sh port-security interface fastEthernet 0/20 Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 00D0.586E.01EC:1 Security Violation Count : 71 //количество фреймов нарушивших политику sw_fl_2# sw_fl_2# sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------- Fa0/12 1 1 0 Shutdown Fa0/20 1 1 102 Restrict ----------------------------------------------------------------------
Обратите внимание, что перед тем как настраивать порт его выключили, а после настройки включили. Это делается для того, чтобы туда ничего лишнего “не залетело”.
Мы специально настроили в port-security фиктивный MAC-адрес, что бы посмотреть как поведет себя политика.Отличие режимов Restrict от Protect, только в логирование нарушений, Protect отбрасывает фреймы и нигде это не фиксирует. Просматривая статистику, мы можем видеть, что счетчик нарушений растет, и что последний MAC-адрес, появившийся на этом порту, отличается от того, который мы указали.
Чтобы получить достижение оставьте порт Fa0/20 в режиме Restrict и ничего не меняйте 🙂
Не забывайте после настройки вводить командуswitchport port-security
, именно она включает port-security.
Разберем последний пример с портом Fa0/1, на этот раз в случае нарушения порт выключится (не промахнитесь, если будете настраивать на порту Fa0/2, то отпилите сук на котором сидите).
sw_fl_2(config)# interf fa0/1 sw_fl_2(config-if)# switchport mode access sw_fl_2(config-if)# shut sw_fl_2(config-if)# switchport port-security maximum ? <1-132> Maximum addresses sw_fl_2(config-if)# switchport port-security maximum 3 sw_fl_2(config-if)# switchport port-security viol shutdown sw_fl_2(config-if)# switchport port-security sw_fl_2(config-if)# no shut sw_fl_2# sh port-security interf fa 0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 3 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0060.2FE7.22D1:1 Security Violation Count : 1 //из-за одного нарушения порт выключился Мы настроили на порту максимум 3 адреса, если политика нарушается, порт выключается. Так как на порту Fa0/1 больше чем три адреса, порт выключился из соображений безопасности. Вывод команды
sh port interf fa0/1
показывает статус порта как Secure-shutdown или “безопасно-выключен”, а в самом конце мы можем видеть из-за какого MAC-адреса это произошло. Теперь разберемся как реанимировать такой порт.sw_fl_2(config)# interf fa 0/1 sw_fl_2(config-if)# shut sw_fl_2(config-if)# no switchport port-security sw_fl_2(config-if)# sw_fl_2(config-if)# no shut sw_fl_2(config-if)# exit sw_fl_2(config)# exit sw_fl_2# sw_fl_2# sh mac address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0001.42d1.a9bb DYNAMIC Fa0/1 1 0001.439d.0001 STATIC Fa0/20 1 0001.64ab.ea34 DYNAMIC Fa0/3 1 0004.9a20.de05 DYNAMIC Fa0/2 1 0005.5e81.1220 STATIC Fa0/12 1 0060.2fe7.22d1 DYNAMIC Fa0/1 1 0060.4778.cb97 DYNAMIC Fa0/2 1 0060.5ce7.c109 DYNAMIC Fa0/1 1 00d0.ba09.6601 DYNAMIC Fa0/1 1 00e0.b083.9a73 DYNAMIC Fa0/1 Соответственно, чтобы реанимировать порт, который был выключен из соображения безопасности, надо его вручную выключить, а потом включить. В нашем случае перед тем как реанимировать, мы отключили Port-Security командой
no switchport port-security
, что бы после “поднятия” он снова не “упал”. -
Добавить описание к интерфейсу.
На последок давайте добавим описание к интерфейсу. Делается это в режиме настройки интерфейса с помощью команды
description <текст описания>
. Описание порта бывает очень полезно, особенно если на нем “висит” что-то очень важное. Предлагаю подписать порт Fa0/1 и Fa0/12.Чтобы получить достижение настройте описание так же.
sw_fl_2(config)# interf fa 0/1 sw_fl_2(config-if)# description "Link to SW_3" //кавычки обязательны для получения достижения sw_fl_2(config-if)# exit sw_fl_2(config)# interf fa 0/12 sw_fl_2(config-if)# description "PC2 is here" sw_fl_2(config-if)# exit sw_fl_2(config)# exit sw_fl_2# sw_fl_2# sh runn Building configuration... Current configuration : 1463 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname sw_fl_2 ! ! ! spanning-tree mode pvst spanning-tree portfast default ! interface FastEthernet0/1 description "Link to SW_3" //а вот и наше описание switchport mode access switchport port-security maximum 3 ! interface FastEthernet0/2 ! ... ! interface FastEthernet0/12 description "PC2 is here" switchport mode access switchport port-security ! interface FastEthernet0/13 ! ...
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Самостоятельная работа
Версия файла: 2.0
Уже получили: 245 пользователей
Начальные данные
В данной лабораторной работе схема сети не известна.

- Вся лабораторка выполняется с ПК0.
- Коммутатор на первом этаже: локальное имя – sw_fl_1, адрес – 10.23.10.101, пароль – cisco123.
- Коммутатор на втором этаже: локальное имя – sw_fl_2, адрес – 10.23.10.102, пароль – cisco123.
- Коммутатор на третьем этаже: локальное имя – sw_fl_3, адрес – 10.23.10.103, пароль – cisco123.
- Коммутатор на четвертом этаже: локальное имя – sw_fl_4, адрес – 10.23.10.104, пароль – cisco123.
Задания
- В фирму пришло три новых сотрудника два из которых – на третьем этаже, и один – на четвертом. Специалист поддержки пользователей сообщил, что на третьем этаже он подключил пользователей к портам Fa0/7 и Fa0/22, а на четвертом этаже – к порту Fa0/9. Во всех трех случаях сеть на компьютерах не появилась, просит проверить. На всех трех портах обязательно должен быть настроен Port-security в режиме Restrict!
- На четвертом этаже в серверной установили новый сервер. Ваш коллега сказал, что подключил его в порт 15, добавил, что это очень важный сервер и надо его пометить, добавив описание “SRV_M_10” (описание добавлять с кавычками)
- На втором этаже сотрудник пришел с ноутбуком и решил использовать его вместо своего компьютера, но, когда он его подключает, сеть не работает. Специалист поддержки пользователей говорит, что он (ноутбук) подключен к порту Fa0/13,просит разрешить и этому (!) ноутбуку подключаться (на интерфейсе разрешить два mac-адреса).
- Был замечен подозрительный трафик с MAC-адреса 0001.64AB.EA34. Просят найти на каком порту какого коммутатора он находится и выключить этот порт.
ID: 132 Created: Oct 19, 2016 Modified Sep 03, 2018