11.1 Implement Port Security
Secure unused ports
Самая простая защита — не оставлять unused ports доступными.
Если port не нужен, его лучше:
- перевести в unused VLAN;
- shut down.
Пример:
interface range fa0/8 - 24
shutdowninterface range fa0/8 - 24 ciscoIOScommand
Позволяет настроить сразу диапазон interfaces.
shutdown ciscoIOScommand
Административно выключает interface.
no shutdown ciscoIOScommand
Снова включает interface.
Зачем нужен Port Security
Port Security — основной switch feature против MAC table overflow / unauthorized access через access port.
Он ограничивает:
- сколько MAC addresses можно увидеть на port;
- какие именно MAC addresses разрешены.
Port Security — feature, которая ограничивает valid source MAC addresses на switch port. networkterm
Как включается Port Security
Важный нюанс:
- port security работает на manually configured access ports;
- на dynamic port команда будет rejected.
Базовый пример:
interface f0/1
switchport mode access
switchport port-securityswitchport mode access ciscoIOScommand
Принудительно переводит port в access mode.
switchport port-security ciscoIOScommand
Включает port security на interface.
Maximum и способы изучения MAC
Maximum
switchport port-security maximum 4switchport port-security maximum 4 ciscoIOScommand
Ограничивает число secure MAC addresses на port.
Manual MAC
switchport port-security mac-address aaaa.bbbb.1234switchport port-security mac-address aaaa.bbbb.1234 ciscoIOScommand
Ручная привязка конкретного secure MAC address к port.
Sticky MAC
switchport port-security mac-address stickyswitchport port-security mac-address sticky ciscoIOScommand
Говорит switch dynamically learn MAC addresses и сохранять их как sticky entries в running-config.
Sticky idea
stickyудобно, когда не хочешь руками вбивать MAC, но хочешь потом закрепить learned address.
Aging
Port security поддерживает aging:
absoluteinactivity
Пример:
switchport port-security aging time 10
switchport port-security aging type inactivityswitchport port-security aging time 10 ciscoIOScommand
Задаёт aging timer в минутах.
switchport port-security aging type inactivity ciscoIOScommand
Удаляет secure MAC, только если он неактивен заданное время.
Violation modes
Это одна из самых экзаменационных таблиц:
| Mode | Drop traffic | Syslog | Counter | Shutdown port |
|---|---|---|---|---|
| Protect | Yes | No | No | No |
| Restrict | Yes | Yes | Yes | No |
| Shutdown | Yes | Yes | Yes | Yes |
Команда:
switchport port-security violation restrictswitchport port-security violation restrict ciscoIOScommand
Переводит port security violation mode в restrict.
Как быстро запомнить
protect= тихо дропает
restrict= дропает + считает + логирует
shutdown= всё это плюс выключает port
Err-disabled state
Если mode = shutdown, port может уйти в:
err-disabledsecure-shutdown
Проверка:
show interface fa0/18
show port-security interface fa0/18show interface fa0/18 ciscoIOScommand
Показывает operational status interface, включая err-disabled.
show port-security interface fa0/18 ciscoIOScommand
Показывает детальные port security settings и violation counter.
Чтобы вернуть port:
shutdown
no shutdownГлавные verify-команды
show port-security
show port-security interface fa0/5
show port-security address
show run | begin interface FastEthernet0/19show port-security ciscoIOScommand
Показывает port security summary по switch.
show port-security interface fa0/5 ciscoIOScommand
Показывает подробный status для конкретного secure port.
show port-security address ciscoIOScommand
Показывает secure MAC address table.
show run | begin interface FastEthernet0/19 ciscoIOScommand
Помогает проверить sticky entries в running-config.
Exam trap
Port Securityне включится нормально на dynamic auto port. Сначала нуженswitchport mode access.
Если понял тему
Ты можешь настроить secure access port, выбрать violation mode, понять
sticky, и восстановить port послеerr-disabled.