26. Dezember 2016
HomeCiscoPort-Security

Port-Security

By  Cisco, Netzwerk  0 Comments

Was ist es und was macht es ?

Um die Switche gegen unbefugtes anstecken von fremden oder nicht gewollten Geräten abzusichern gibt es bei den Switchen die Möglichkeit der Port-Security.

Was bedeutet das ?
Port-Security legt fest welches Gerät sich an einem Port connecten darf oder wieviele Geräte.

Dieses geschieht auf Basis der MAC Adresse.

Entweder konfiguriert man eine MAC Adresse die sich an dem Port connecten darf oder man kann einen learning Modus konfigurieren, dann lernt der Port die MAC Adresse die sich an ihm angeschlossen hat und wenn man ein anderes Gerät dran steckt, dann wird der Port down gesetzt.

Es gibt aber auch die Möglichkeit eine Anzahl von MAC Adresse zu zulassen.

Das kann zum Einsatz kommen, wenn an dem Port ein Hub oder ein Switch angeschlossen ist an den nur eine bestimmte Anzahl Geräte betrieben werden dürfen.

Es wird damit aber nicht nur die Anzahl der Geräte begrenzt, sondern auch welche Geräte, denn auch hier lernt der Switch die Angeschlossenen MAC Adressen und nur diese dürfen sich connecten.

Der Port an dem die Port-Security eingeschlatet wird, kann als Access oder Trunk Port konfiguriert sein. Die Port-Security muss eingeschaltet werden und dann muss festgelegt werden was passieren soll, wenn die Port-Security ein fremdes Gerät erkennt.

Dazu muss konfiguriert werden welches Gerät angeschlossen werden darf, oder es muss der learning Modus aktiviert werden.

Als Beispiel :

Feste MAC Adresse wird konfiguriert

Switch> <–User Mode

Switch> en <– wechsel in den enable Mode

Switch#

Switch# conf t <– wechsel in den globalen Konfigurations Modus

Switch(config)# interface fa0/1 <– wechsel in das Interface

Switch(config-int)# switchport mode access

Switch(config-int)# switchport port-security <– Port Security einschalten

Switch(config-int)# switchport port-security mac-address 0200.1111.1111 <– Mac Adresse festlegen

MAC Adresse wird gelernt

Switch> <–User Mode

Switch> en <– wechsel in den enable Mode

Switch#

Switch# conf t <– wechsel in den globalen Konfigurations Modus

Switch(config)# interface fa0/2 <– wechsel in das Interface

Switch(config-int)# switchport mode access

Switch(config-int)# switchport port-security <– Port Security einschalten

Switch(config-int)# switchport port-security mac-address sticky <– Mac Adresse wird gelernt

Die über den Befehl sticky gelernten Adressen werden nicht Standartmässig gespeichert!
Nach einem Restart des Switches kann also ein anderes Gerät an dem Port verwendet werden.

Gespeichert werden die gelernten MAC Adressen erst, wenn man ein copy running-config startup-config durchführt

Anzahl von MAC Adressen zulassen

Switch> <–User Mode

Switch> en <– wechsel in den enable Mode

Switch#

Switch# conf t <– wechsel in den globalen Konfigurations Modus

Switch(config)# interface fa0/3 <– wechsel in das Interface

Switch(config-int)# switchport mode access

Switch(config-int)# switchport port-security <– Port Security einschalten

Switch(config-int)# switchport port-security maximum 8 <– auf 8 MAC Adressen begrenzt

Was soll der Switch ausführen, wenn ein Verstoss festgestellt wurde ?

Es gibt dazu drei Varianten

protect – Verwirft unzulässige Datenpackete, keine SNMP oder Log Meldung, Port bleibt up

restrict – Verwirft unzulassige Datenpackete, SNMP Trap und Log Eintrag, Port bleibt up

shutdown – Verwirft unzulassige Datenpackete, SNMP Trap und Log Eintrag, Port geht in shutdown

Stnadartmässig geht der Port bei einem Verstoss in den shutdown Modus und versendet SNMP Traps und man erhält einen Eintrag im Log des Switches. So kann man es auslesen und bekommt auf einem Management System eine Anzeige.

Man kann diesen Standart aber auch abweichend konfigurieren für jedes Interface durch den Befehl

switchport port–security violation und den Zusatz –> protect oder restrict oder shutdown

Related Posts