Konfigurationer

Tre steg krävs vid port-security konfigurationer:

  1. Definiera portar som åtkomst-interface (access port) med kommandot switchport mode access
  2. Aktivera port security med kommandot switchport port-security <interface>
  3. Associera specifika MAC-adresser som är tillåtna med specifika portar med kommandot switchport port-security mac-address <MAC-address-interface> eller med kommandot switchport port-security mac-address sticky.

Exempel 1

Grundligt behöver vi bara en router och en switch, säkra en port och se vad som händer. Den switch jag använder har för namn sw1 och den är ansluten till router R1 via porten som ska säkras fa0/1.

  • Interface g0/0 IP-konfigurering
  • R1(config)# int g0/0
  • R1(config-if)# ip address 1.2.3.4 255.255.255.0
  • R1(config-if)# no shut
  • Ta fram MAC-adressen
  • R1(config-if)# do show int g0/0 | include bia 
  • Verifiera att router R1 är ansluten till sw1 via port fa0/1
  • R1(config-if)# do show cdp neighbor
  • Aktivera port-security
  • sw1# conf t
  • sw1(config)# int fa0/1
  • sw1(config-if)# switchport mode access
  • sw1(config-if)# switchport port-security
  • sw1(config-if)# no shut
  • sw1(config-if)# end
  • Studera utdata relaterad till port-security
  • sw1# show port-security int fa0/1
    1. Portsäkerhet är aktiv
    2. Statusen är upp eftersom ingen säkerhetsöverträdelse har hänt (violation)
    3. Om de skulle hända ska interface fa0/1 stängas av.
    4. Som default max tillåtna MAC-adresser är 1
    5. Säkra MAC-adresser har definierats som dynamisk eftersom vi har inte konfigurerat någon specifik adress. SW1 har lärt sig en MAC-adress (från R1, 0000.0cb2.0601).
  • Interface fa0/1 konfigureras med port-security statisk med R1 MAC-adress
  • sw1(config)# int fa0/1
  • sw1(config-if)# switchport mode access
  • sw1(config-if)# switchport port-security
  • sw1(config-if)# switchport port-security mac-address 0000.0cb2.0601
  • sw1(config-if)# no shut
  • sw1(config-if)# end
  • Verifiera att MAC-adressen har inkluderas och ingen säkerhetsöverträde hänt.
  • sw1# show port-security int fa0/1
  • show port-security
  • show port-security address

För att se hur switchen kommer att reagera om en annan MAC-adress, ansluts till port fa0/1, ändrar vi routers MAC-adressen:

  • R1(config)# int g0/0
  • R1(config-if)# shut
  • R1(config-if)# mac-address 1011.1111.1111
  • R1(config-if)# no shut
  • R1(config-if)# end

Observationer:

  1. Interface fa0/1 har stängs av
  2. Räknare för säkerhetsöverträde visar 1

För att rätta till konfigurationen och att den andra MAC-adressen accepteras ändrar vi antal tillåtna MAC-adresser:

  • sw1(config)# int fa0/1
  • sw1(config-if)# shut
  • sw1(config-if)# switchport port-security maximum 2
  • sw1(config-if)# no shut

Först ska vi återställa tidigare konfigurationer gjorda på interface fa0/1 så att endast en MAC-adress tillåts. Därefter ska vi ta bort den statiska definitionen av säkra MAC-adress. Slutligen ska vi konfigurera en MAC-adress sticky.

  • sw1(config)# int fa0/1
  • sw1(config-if)# shut
  • sw1(config-if)# no switchport port-security mac-address 0000.0cb2.0601
  • sw1(config-if)# switchport port-security maximum 1
  • sw1(config-if)# switchport port-security mac-address sticky
  • sw1(config-if)# no shut
  • sw1(config-if)# end
  • sw1# show port-security int fa0/1

Exempel 2

Med två datorer, en 2960 switch och en server utforskar vi Sticky MAC-adresser. Vi tar fram detaljer i konfigurationer med port-security med en enkel topologi:

IP konfigurationer:
PC1 ansluten till switch port fa0/2

  • IP: 10.10.10.10
  • SM: 255.255.255.0

PC2 nej ansluten, men redo att göra det till samma port som PC1

  • IP: 10.10.10.20
  • SM: 255.255.255.0

Server ansluten till port fa0/1

  • IP: 10.10.10.30
  • SM: 255.255.255.0
  • Switch# show port-security interface fa0/2
  • Port Security: Disabled
  • Port Status: Secure-down
  • Maximum MAC Address: 1
  • Switch(config)# hostname sw1
  • sw1(config)# interface fa0/2
  • sw1(config-if)#switchport port-security ?
  • mac-address - Secure mac address
  • maximum - Mac secure addresses
  • violation - Security violation mode
  • sw1(config-if)#switchport port-security mac-address ?
  • H.H.H - 48 bit mac address
  • sticky - Configure dynamic secure addresses as sticky
  • sw1(config-if)#switchport port-security maximum ?
  • <1-132> Maximum addresses 
  • sw1(config-if)#switchport port-security violation ?
  • protect - Security violation protect mode
  • restrict - Security violation restrict mode
  • shutdown - Security violation shutdown mode
  • sw1(config)# interface fa0/2
  • sw1(config-if)# switchport mode access
  • sw1(config-if)# switchport access vlan 1
  • sw1(config-if)# switchport port-security
  • sw1(config-if)# switchport port-security maximum 1 
  • sw1(config-if)# switchport port-security violation shutdown 
  • sw1(config-if)# switchport port-security mac-address sticky
  • sw1(config-if)# end
  • sw1# show port-security 
  • sw1# show port-security address 
  • sw1# show port-security interface fa0/2
  • sw1# show mac-address
  • Ingen MAC-adress i CAM-tabell
  • Från PC1 ping till SRV1
  • ping 10.10.10.30
  • Verifiera att CAM-tabell på switchen har registrerat MAC-adresserna
  • sw1# show mac-address
  • Observera att port fa0/2 visar en MAC-adress av typ STATIC trots att den är Dynamisk, men sticky.
  • sw1#show port-security interface fa0/2
  • Port Security: Enabled
  • Port Status: Secure
  • Sticky MAC Addresses: 1
  • Last Source Address: vlan
  • Ta bort kopplingen mellan PC1 och sw1
  • Koppla PC2 till samma port. En säkerhetsöverträdelse har hänt och porten stängdes av
  • Från PC2 ping till SRV1. Det bör inte fungera, port status är secure-shutdown.
  • Ansluta tillbaka PC1 till switch port fa0/2
  • Från PC1 starta ping till SRV1
  • Det bör inte fungera, porten har inaktiverats
  • För att återaktivera porten:
  • sw1(configure)# inte fa0/2
  • sw1(configure-if)# shut 
  • sw1(configure-if)# no shut
  • sw1(configure-if)# end
  • sw1# show port-security int fa0/2
  • Från PC1 pinga till SRV1. Det bör fungera nu.

Portsäkerhets “Aging” Timer

Vi kan konfigurera säkra adresser så att de automatiskt aktiveras av efter en viss tid, det är det som är funktionen “Aging”. Som default är funktionen avaktiverad och när man vill aktivera de är det bra att ha i åtanke några aspekter.

  • Vi kan konfigurera Aging antingen som:
    • Absolute – MAC-adresser tilldelas en viss mängd av tid
    • Inactivity – MAC-adresser som inte gör något under en viss tid aktiveras av.
  • Syntax:
    • switchport port-security aging time <minuter>
    • switchport port-security aging type <absolute eller inactivity>
  • Vi kan konfigurera “Aging” med kommandot switchport port-security aging time.
  • Om vi vill att de säkra MAC-adresserna ska aktiveras av efter en viloläge använder v kommandot switchport port-security aging type inactive.
  • Om vi vill att de ska aktiveras av efter en förutbestämd tid oavsett portanvändning använder vi kommandot switchport port-security aging type absolute. Aging typ är som default ABSOLUTE.
  • Statiska säkra MAC-adresser påverkas inte av Aging, men det gör det om du konfigurerar Aging med kommandot switchport port-security aging static. Det som händer är att Aging tiden gäller och att definitionen av statisk säker MAC-adress tas bort från konfigurationsfilen. Bra att komma ihåg att Aging påverkar endast till dynamiska säkra MAC-adresser.
  • Aging-konfiguration har ingen påverkan över sticky säkra adresser och dess säkerhetsöverträde-konfiguration. Det här är intressant eftersom switchar som lär sig MAC-adresser via sticky-konfigurationer kommer inte att kunna frigöra sig från dessa typ av säkra adresser så länge du själv tar bort dem.
  • Du kan radera listan på säkra MAC-adresser per port med kommandot: clear port-security.