Коммутация. Port security

Получить достижение

Пройдите тест, чтобы получить достижение.

Пройти тест
Achievement

Уже получили 230 пользователей


Коммутация (switching) – передача фреймов (определение автора). Коммутировать – предоставить канал связи для передачи фреймов (тоже определение автора). Каламбур – коммутатор коммутирует (а маршрутизатор маршрутизирует, об этом в разделе Cisco Router).

Основные моменты работы коммутатора

Мы уже изучили как работает коммутатор здесь, поэтому предлагаю повторить только основные моменты и переходить к практике.

  • Когда фрейм приходит на коммутатор, первое, что он делает – смотрит на адрес отправителя и ищет его в своей таблице коммутации, если его там нет, то добавляет MAC-адрес и порт, с которого пришел это фрейм. Таким образом, коммутатор изучает сеть.
  • После того, как таблица коммутации (таблица MAC адресов) заполнена, коммутатор в соответствии с ней отправляет фрейм на порт, где находится получатель.
  • При получении широковещательного фрейма (с MAC-адресом получателя FFFF:FFFF:FFFF), коммутатор рассылает его на все порты, кроме того, откуда он пришел. Такая же логика, если MAC-адреса получателя фрейма нет в таблице коммутации.

Защита портов (port security)

Port security – функция коммутатора, которая позволяет жестко обозначить MAC-адрес/-адреса, которым разрешено проходить через этот порт.

Виды “запоминания MAC-адресов”

  • Статический – жестко указывается MAC-адрес/-адреса.
  • Динамический – указать максимальное кол-во MAC-адресов.
  • Смешанный – некоторые адреса указываются жестко, а так же указывается максимальное кол-во MAC-адресов.

Виды реагирования на нарушение (violation mode)

  • Protect – только отбрасывает фреймы, нарушающие установленную политику (если MAC-адреса нет в списке или превышено максимальное кол-во адресов).
  • Restrict – отбрасывает фреймы, нарушающие установленную политику, и логгирует событие (заносит информацию в журнал).
  • Shutdown – при нарушении политики, переводит порт в состояние error-disabled (выключен из-за ошибки).

Общая информация

Packet Tracer version: 6.2.0

Рабочий файл: скачать

Тип: Теория и практика

Версия файла: 2.0

Уже получили: 230 пользователей


Часто задаваемые вопросы

Получить достижение

Код активации можно получить выполнив практическое задание

Achievement

Уже получили 150 пользователей

Начальные данные

В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.

Схема сети для практической работы
Схема сети для практической работы


Цели

  1. Разобрать строение таблицы коммутации.
  2. Научиться выключать порты коммутатора.
  3. Изучить как выключение порта влияет на таблицу коммутации.
  4. Изучить функцию Port Security.
  5. Добавить описание к интерфейсу.

Выполнение

Ваш основной инструмент при выполнении практического задания – ПК0.

  1. Разобрать строение таблицы коммутации.

    Зайдем на коммутатор SW1. Адрес: 10.23.10.101, пароль: cisco123.

    Чтобы посмотреть таблицу коммутации (таблицу MAC-адресов), надо вызвать команду sh mac address-table. Давайте вызовем ее и изучим более подробно.

     sw_fl_1#sh mac-address-table
           Mac Address Table
 -------------------------------------------
 
 Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
 
    1    0001.42d1.a9bb    DYNAMIC     Fa0/5
    1    0001.64ab.ea34    DYNAMIC     Fa0/5
    1    0005.5e81.1220    DYNAMIC     Fa0/5
    1    000c.8514.8902    DYNAMIC     Fa0/5
    1    0060.2fe7.22d1    DYNAMIC     Fa0/5
    1    0060.4778.cb97    DYNAMIC     Fa0/3
    1    0060.47ca.78d9    DYNAMIC     Fa0/2
    1    0060.5ce7.c109    DYNAMIC     Fa0/5
    1    0090.212b.78a8    DYNAMIC     Fa0/1
    1    00d0.586e.01ec    DYNAMIC     Fa0/5
    1    00e0.b083.9a73    DYNAMIC     Fa0/5

    Первый столбец пока нас не очень интересует, т.к. с VLAN-ами мы еще не познакомились. Второй столбец озаглавлен “Mac Address”, и под ним список MAC-адресов. Третий столбец говорит о том, как был добавлен MAC-адрес – динамически или статически (если его кто-то самостоятельно добавил в таблицу). Четвертый столбец “Порты” говорит нам, с какого порта был узнан MAC-адрес.

    Таблица коммутации очень полезный инструмент, с помощью нее можно определить на каком порту находится то или иное устройство (чаще всего ноутбук или компьютер). Если вы видите много MAC-адресов на одном порту, то это может означать только одно – за этим портом находится еще один коммутатор (чаще всего так, но есть исключения).

    Предлагаю определить на каком порту находится наш компьютер (ПК0). Для начала надо узнать его MAC-адрес. Это можно сделать из командной строки самого компьютера, вызвав команду ipconfig /all, рисунок 3.1. Под словами “Physical Address” подразумевается MAC-адрес. Теперь мы можем уверенно сказать, что наш компьютер подключен к порту Fa0/3.

    Рисунок 3.1 Вывод команды ipconfig /all
    Рисунок 3.1 Вывод команды ipconfig /all


  2. Научиться выключать порты коммутатора.

    Порты на коммутаторе выключаются с помощью команды shutdown. Давайте выключим порт Fa0/5, где предположительно находится еще один коммутатор (после того, как вы узнаете как выключать порты, самое главное по ошибке не выключить порт Fa0/3, иначе работу придется начинать заново).

    В начале разберем название порта Fa0/5. Fa – FastEthernet (вы должны уже знать какая максимальная пропускная способность на этом порту, а если нет, читать тут), 0/5 – 0 говорит о том, что этот порт принадлежит коммутатору (можно сказать и по-другому – припаян к основной плате), если это число отлично от нуля, то порт принадлежит модулю (платы-расширения, покупаются отдельно и вставляются для увеличения кол-ва портов), число 5 это порядковый номер порта. Теперь выключаем порт.

     sw_fl_1(config)#interface fastEthernet 0/5
 sw_fl_1(config-if)#shutdown

    Все просто, зашли в режим настройки порта interf fastEthernet 0/5, выключили порт shutdown. Теперь посмотрим в каком он статусе.

     sw_fl_1#sh ip interf brief
 Interface              IP-Address      OK? Method Status                Protocol
  
 FastEthernet0/1        unassigned      YES manual up                    up
  
 FastEthernet0/2        unassigned      YES manual up                    up
  
 FastEthernet0/3        unassigned      YES manual up                    up
  
 FastEthernet0/4        unassigned      YES manual down                  down
  
 FastEthernet0/5        unassigned      YES manual administratively down down
  
 FastEthernet0/6        unassigned      YES manual down                  down

    Мы уже знаем, что такое состояние up, теперь узнаем другие состояния. Administratively down – выключен вручную с помощью команды shutdown. Down – выключен по причине отсутствия физической среды (провод не вставлен).

    Чтобы включить порт, надо в режиме настройки этого порта выполнить команду no shutdown (частица no отменяет последующую команду, мы еще не раз ее встретим).

  3. Изучить как выключение порта влияет на таблицу коммутации.

    Посмотрим на таблицу коммутации после выключения порта.

     sw_fl_1#sh mac-address-table
           Mac Address Table
 -------------------------------------------
 
 Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
 
    1    0060.4778.cb97    DYNAMIC     Fa0/3
    1    0060.47ca.78d9    DYNAMIC     Fa0/2
    1    0090.212b.78a8    DYNAMIC     Fa0/1

    Как мы видим, MAC-адресов стало гораздо меньше, что было предсказуемо.

  4. Изучить функцию Port Security.

    Давайте включим порт Fa0/5 и зайдем на коммутатор SW_2. Адрес: 10.23.10.102, пароль: cisco123.На портах коммутатора SW_2 Fa0/12 и Fa0/20 находятся ПК2 и ПК3, мы будем использовать их для наших экспериментов.

    Начнем с простой настройки Port Security на порту Fa0/12. По умолчанию, если мы не задали ни одного параметра, а просто включили Port Security, то выставляются настройки: максимум адресов на порту – 1, MAC-адрес – первый попавшийся, в случае нарушения – выключить порт. Ниже представлена настройка и просмотр состояния.

     sw_fl_2(config)#interf fa 0/12
 sw_fl_2(config-if)#switchport mode access  //обязательное условие для port-security, разберем в разделе VLAN
 sw_fl_2(config-if)#switchport port-security  //включаем port-security
 sw_fl_2(config-if)#
 sw_fl_2(config-if)#do sh port-security
 Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
                (Count)       (Count)        (Count)
 --------------------------------------------------------------------
        Fa0/12        1          1                 0         Shutdown
 ----------------------------------------------------------------------
 
     sw_fl_2#show port-security interface fa 0/12  //показывает подробную информацию по конкретному интерфейсу
 Port Security              : Enabled  //статус port-security - включен
 Port Status                : Secure-up  //статус порта - "обезопасен"
 Violation Mode             : Shutdown  //в случае нарушения выключить
 Aging Time                 : 0 mins
 Aging Type                 : Absolute
 SecureStatic Address Aging : Disabled
 Maximum MAC Addresses      : 1  //максимальное количество адресов
 Total MAC Addresses        : 1  //всего адресов
 Configured MAC Addresses   : 0  //статичных адресов
 Sticky MAC Addresses       : 0
 Last Source Address:Vlan   : 0005.5E81.1220:1  //последний замеченый адрес источника
 Security Violation Count   : 0
 sw_fl_2#
 sw_fl_2#sh mac-address-table
           Mac Address Table
 -------------------------------------------
 
 Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
 
    1    0001.42d1.a9bb    DYNAMIC     Fa0/1
    1    0001.64ab.ea34    DYNAMIC     Fa0/3
    1    0004.9a20.de05    DYNAMIC     Fa0/2
    1    0004.9a8d.1a27    DYNAMIC     Fa0/2
    1    0005.5e81.1220    STATIC      Fa0/12  //адрес теперь статично прикреплен к интерфейсу
    1    0060.2fe7.22d1    DYNAMIC     Fa0/1
    1    0060.4778.cb97    DYNAMIC     Fa0/2
    1    0060.5ce7.c109    DYNAMIC     Fa0/1
    1    00d0.586e.01ec    DYNAMIC     Fa0/20
    1    00d0.ba09.6601    DYNAMIC     Fa0/1
    1    00e0.b083.9a73    DYNAMIC     Fa0/1

    (ох, как много букв, сейчас разберемся). Первое, что мы сделали, это настроили port-security командой switchport port-security(перед этим мы ввели команду switchport mode access, она обязательна, но значение ее мы узнаем в следующем разделе). Частица do позволяет в режиме конфигурации вызывать команды из privilege mode, бывает очень полезно, но не всегда удобно. Команда show port-security позволяет просмотреть краткую статистику всех интерфейсов с настроенной функцией port-security. Более подробную информацию по конкретному интерфейсу мы можем посмотреть при помощи команды show port-security interface <имя интерфейса>, важные моменты в выводе этой команды прокомментированы. Так же обратите внимание, что в таблице коммутации к порту Fa0/12 прикреплен MAC-адрес.

    Теперь настроим порт Fa0/20 на определенный MAC-адрес и выставим другую политику в случае нарушения, например restrict.

     sw_fl_2(config)#interf fa 0/20
 sw_fl_2(config-if)#switchport mode access
 sw_fl_2(config-if)#shut  //выключаем порт
 sw_fl_2(config-if)#switchport port-security violation restrict  //выставляем режим restrict
 sw_fl_2(config-if)#switchport port-security mac-address 0001.439d.0001  //статически указываем mac-адрес
 sw_fl_2(config-if)#switchport port-security  //включаем port-security
 sw_fl_2(config-if)#no shut  //включаем интерфейс

     sw_fl_2#sh port-security interface fastEthernet 0/20
 Port Security              : Enabled
 Port Status                : Secure-up
 Violation Mode             : Restrict
 Aging Time                 : 0 mins
 Aging Type                 : Absolute
 SecureStatic Address Aging : Disabled
 Maximum MAC Addresses      : 1
 Total MAC Addresses        : 1
 Configured MAC Addresses   : 1
 Sticky MAC Addresses       : 0
 Last Source Address:Vlan   : 00D0.586E.01EC:1
 Security Violation Count   : 71  //количество фреймов нарушивших политику
 sw_fl_2#
 sw_fl_2#sh port-security 
 Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
                (Count)       (Count)        (Count)
 --------------------------------------------------------------------
        Fa0/12        1          1                 0         Shutdown
        Fa0/20        1          1               102         Restrict
 ----------------------------------------------------------------------

    Обратите внимание, что перед тем как настраивать порт его выключили, а после настройки включили. Это делается для того, чтобы туда ничего лишнего “не залетело”.

    Мы специально настроили в port-security фиктивный MAC-адрес, что бы посмотреть как поведет себя политика.Отличие режимов Restrict от Protect, только в логирование нарушений, Protect отбрасывает фреймы и нигде это не фиксирует. Просматривая статистику, мы можем видеть, что счетчик нарушений растет, и что последний MAC-адрес, появившийся на этом порту, отличается от того, который мы указали.

    Чтобы получить достижение оставьте порт Fa0/20 в режиме Restrict и ничего не меняйте 🙂


    Не забывайте после настройки вводить команду switchport port-security, именно она включает port-security.

    Разберем последний пример с портом Fa0/1, на этот раз в случае нарушения порт выключится (не промахнитесь, если будете настраивать на порту Fa0/2, то отпилите сук на котором сидите).

     sw_fl_2(config)#interf fa0/1
 sw_fl_2(config-if)#switchport mode access
 sw_fl_2(config-if)#shut
 sw_fl_2(config-if)#switchport port-security maximum ?
 <1-132>  Maximum addresses
 sw_fl_2(config-if)#switchport port-security maximum 3
 sw_fl_2(config-if)#switchport port-security viol shutdown
 sw_fl_2(config-if)#switchport port-security 
 sw_fl_2(config-if)#no shut

     sw_fl_2#sh port-security interf fa 0/1
 Port Security              : Enabled
 Port Status                : Secure-shutdown
 Violation Mode             : Shutdown
 Aging Time                 : 0 mins
 Aging Type                 : Absolute
 SecureStatic Address Aging : Disabled
 Maximum MAC Addresses      : 3
 Total MAC Addresses        : 0
 Configured MAC Addresses   : 0
 Sticky MAC Addresses       : 0
 Last Source Address:Vlan   : 0060.2FE7.22D1:1
 Security Violation Count   : 1  //из-за одного нарушения порт выключился

    Мы настроили на порту максимум 3 адреса, если политика нарушается, порт выключается. Так как на порту Fa0/1 больше чем три адреса, порт выключился из соображений безопасности. Вывод команды sh port interf fa0/1 показывает статус порта как Secure-shutdown или “безопасно-выключен”, а в самом конце мы можем видеть из-за какого MAC-адреса это произошло. Теперь разберемся как реанимировать такой порт.

    										
 sw_fl_2(config)#interf fa 0/1
 sw_fl_2(config-if)#shut
 sw_fl_2(config-if)#no switchport port-security
 sw_fl_2(config-if)#
 sw_fl_2(config-if)#no shut
 sw_fl_2(config-if)#exit
 sw_fl_2(config)#exit
 sw_fl_2#
 sw_fl_2#sh mac address-table
           Mac Address Table
 -------------------------------------------
 
 Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
 
    1    0001.42d1.a9bb    DYNAMIC     Fa0/1
    1    0001.439d.0001    STATIC      Fa0/20
    1    0001.64ab.ea34    DYNAMIC     Fa0/3
    1    0004.9a20.de05    DYNAMIC     Fa0/2
    1    0005.5e81.1220    STATIC      Fa0/12
    1    0060.2fe7.22d1    DYNAMIC     Fa0/1
    1    0060.4778.cb97    DYNAMIC     Fa0/2
    1    0060.5ce7.c109    DYNAMIC     Fa0/1
    1    00d0.ba09.6601    DYNAMIC     Fa0/1
    1    00e0.b083.9a73    DYNAMIC     Fa0/1

    Соответственно, чтобы реанимировать порт, который был выключен из соображения безопасности, надо его вручную выключить, а потом включить. В нашем случае перед тем как реанимировать, мы отключили Port-Security командой no switchport port-security, что бы после “поднятия” он снова не “упал”.

  5. Добавить описание к интерфейсу.

    На последок давайте добавим описание к интерфейсу. Делается это в режиме настройки интерфейса с помощью команды description <текст описания>. Описание порта бывает очень полезно, особенно если на нем “висит” что-то очень важное. Предлагаю подписать порт Fa0/1 и Fa0/12.

    Чтобы получить достижение настройте описание так же.

     sw_fl_2(config)#interf fa 0/1
 sw_fl_2(config-if)#description "Link to SW_3"  //кавычки обязательны для получения достижения
 sw_fl_2(config-if)#exit
 sw_fl_2(config)#interf fa 0/12
 sw_fl_2(config-if)#description "PC2 is here"
 sw_fl_2(config-if)#exit
 sw_fl_2(config)#exit
 sw_fl_2#
 sw_fl_2#sh runn
 Building configuration...
 
 Current configuration : 1463 bytes
 !
 version 12.1
 no service timestamps log datetime msec
 no service timestamps debug datetime msec
 no service password-encryption
 !
 hostname sw_fl_2
 !
 !
 !
 spanning-tree mode pvst
 spanning-tree portfast default
 !
 interface FastEthernet0/1
  description "Link to SW_3"  //а вот и наше описание
  switchport mode access
  switchport port-security maximum 3
 !
 interface FastEthernet0/2
 !
 ...
 !
 interface FastEthernet0/12
  description "PC2 is here"
  switchport mode access
  switchport port-security
 !
 interface FastEthernet0/13
 !
 ...

Общая информация

Packet Tracer version: 6.2.0

Рабочий файл: скачать

Тип: Самостоятельная работа

Версия файла: 2.0

Уже получили: 230 пользователей


Часто задаваемые вопросы

Получить достижение

Код активации можно получить выполнив практическое задание

Achievement

Уже получили 146 пользователей

Начальные данные

В данной лабораторной работе схема сети не известна.

Схема сети для лабораторной работы
Схема сети для лабораторной работы


  1. Вся лабораторка выполняется с ПК0.
  2. Коммутатор на первом этаже: локальное имя – sw_fl_1, адрес – 10.23.10.101, пароль – cisco123.
  3. Коммутатор на втором этаже: локальное имя – sw_fl_2, адрес – 10.23.10.102, пароль – cisco123.
  4. Коммутатор на третьем этаже: локальное имя – sw_fl_3, адрес – 10.23.10.103, пароль – cisco123.
  5. Коммутатор на четвертом этаже: локальное имя – sw_fl_4, адрес – 10.23.10.104, пароль – cisco123.

Задания

  1. В фирму пришло три новых сотрудника два из которых – на третьем этаже, и один – на четвертом. Специалист поддержки пользователей сообщил, что на третьем этаже он подключил пользователей к портам Fa0/7 и Fa0/22, а на четвертом этаже – к порту Fa0/9. Во всех трех случаях сеть на компьютерах не появилась, просит проверить. На всех трех портах обязательно должен быть настроен Port-security в режиме Restrict!
  2. На четвертом этаже в серверной установили новый сервер. Ваш коллега сказал, что подключил его в порт 15, добавил, что это очень важный сервер и надо его пометить, добавив описание “SRV_M_10” (описание добавлять с кавычками)
  3. На втором этаже сотрудник пришел с ноутбуком и решил использовать его вместо своего компьютера, но, когда он его подключает, сеть не работает. Специалист поддержки пользователей говорит, что он (ноутбук) подключен к порту Fa0/13,просит разрешить и этому (!) ноутбуку подключаться (на интерфейсе разрешить два mac-адреса).
  4. Был замечен подозрительный трафик с MAC-адреса 0001.64AB.EA34. Просят найти на каком порту какого коммутатора он находится и выключить этот порт.


ID: 132 Created: Oct 19, 2016 Modified Sep 03, 2018