violation Security violation mode
mac-address Secure mac address
aging Port-security aging commands
c2960_1(config-if)#switchport port-security ?
c2960_1(config-if)#switchport port-security
Enter configuration commands, one per line. End with CNTL/Z.
Функция port-security позволяет ограничить максимальное количество MAC адресов допустимых на интерфейсе. Делаем следующее:
spanning-tree bpduguard enable
Мы, для примера, это будем делать для 1го интерфейса. Итак, есть интерфейс, и есть у него уже следующие параметры:
c2960_1(config)#interface range fa 0/1 48
Enter configuration commands, one per line. End with CNTL/Z.
Дальше, переходим на интерфейс, который будем защищать. В боевых условиях, можно выполнить команду для всех портов сразу с помощью команды:
Итак поехали. Для начала нам необходимо перейти в привелегированный режим:
Что это даст? По сути, злоумышленик, при подключении к порту, не сможет выйти в сеть (это в том случае, если все неиспользуемые порты находятся в режиме shutdown). А что же будет, если злоумышленник вытащит шнурок, на котором сидит «рабочий» компьютер, и подключит к себе. Нижеприведенная конфигурация не позволит ему ничего сделать, т.к. сама сiscoувидит, что у них не совпадают MAC-адреса и выключит порт. Даже, если он пропишет руками MAC компьютера, все равно порт будет выключен, ибо мы поставим разоешенный только 1 MAC.
Возникла необходимость улучшить безопастность в сети. Одной из методов был выбран метод привязки MAC-адресов к портам на сisco 2960.
Опубликовано Авг 28, 2012 в , |
Привязка MAC-адресов к портам на Cisco Catalyst 2960
» Привязка MAC-адресов к портам на Cisco Catalyst 2960
сайт сисадмина, фотографа и web-разработчика.
Привязка MAC-адресов к портам на Cisco Catalyst 2960 | КреативЪ для Вас
Комментариев нет:
Отправить комментарий