CCNA Vorbereitung
13.3.2 Switchport Security
Mit Hilfe von Switchport Security kann auf einen Switchport festgelegt werden, • dass nur bestimmte, durch Angabe der MAC Adresse, definierte Hosts und/oder• dass nur eine bestimmte Anzahl von Geräten
an diesen Port angeschlossen werden dürfen.
WICHTIG: Beschränkungen für Switchport Security: • Switchport Security kann nur für Access-Links konfiguriert werden.• sticky secure mac-addresses können nicht auf Access-Links konfiguriert werden,
auf denen ein Voice VLAN konfiguriert wurde.
Sollte ein "nicht befugtes" Geräte an einen gesichterten Port angeschlossen werden, kann der Switch folgendermaßen reagieren:
• protect • Keine Weiterleitung von Frames (Datenverkehr des angreifenden Hosts)• Keine Erzeugung jeglicher Log- bzw. SNMP Meldungen
• restrict • Keine Weiterleitung von Frames (Datenverkehr des angreifenden Hosts)• Erzeugung von Log Meldungen und SNMP Meldungen (wenn konfiguriert)
• shutdown (default-Einstellung)• Deaktivieren des Ports (err-disable state)• Keine Weiterleitung von Frames (Datenverkehr des angreifenden Hosts) • Erzeugung von Log Meldungen und SNMP Meldungen (wenn konfiguriert)
TIPP (nicht CCNA relevant): Der err-disable state kann entweder adminstrativ (default) oder nach Ablauf eines Timers beendet werden. Um einen err-disable Timer für diese Aktion zu konfigurieren können folgende Kommandos verwendet werden.
(config)# err-disable recovery cause secure-violation(config)# err-disable recovery interval time-interval
119 © 2004-2010 [email protected]
CCNA Vorbereitung
KonfigurationVorbereitung: Wechsel in den SubConfiguration Mode der gewünschten Schnittstelle und Definition dieser als Access-Link (default "dynamic desirable").
(config)# interface fastethernet 0/1(config-if)# switchport mode access
Zuerst: Aktivierung der Switchport Security Funktionalität:
(config-if)# switchport port-security
Legt die maximale Anzahl von statischen MAC-Adressen fest, die pro Schnittstelle angeschlossen werden können.
(config-if)# switchport port-security maximum anzahl
Absicherung einer Schnittstelle durch Zuweisung einer statischen MAC Adresse, was nur mit einem Access-Link (Switch <-> End-User-Gerät) funktioniert und nicht mit einem Trunk-Link (Switch <-> Switch) ... mehrere MAC Adressen möglich.Variante 1: manuelle Angabe der MAC Adresse/n
(config-if)# switchport port-security mac-address mac-adresse(config-if)# switchport port-security mac-address mac-adresse
Variante 2:Sobald der Switch eine, oder mehrere, MAC-Adresse/n über diese Schnittstelle gelernt hat, wird diese MAC Adresse automatisch als "sichere" d.h. statische MAC Adresse in die running-config aufgenommen (.. nach einem copy runn start ist die erlernte MAC auch nach einem Reboot fest zugeordnet)
(config-if)# switchport port-security mac-address sticky
Optional: Legt fest, wie der Switch reagieren soll, wenn eine unzulässige MAC-Adresse über einen gesicherten Switchport auf das Netzwerk zugreifen will (default: shutdown)
(config-if)# switchport port-security violation { protect | restrict | shutdown }
Optional: Einstellungen bezüglich der Aging Time (Lebensdauer der Einträge innerhalb der MAC address table)
• Festlegung, dass die Aging Time auch auf statische Einträge (wie durch Switchport Security erzeugt) angewendet wird (default: nur für dynamische Einträge)
• Manuelle Festlegung der Aging Time (default 5 Minuten)• Manuelle Festlegung, wann der Timer heruntergezählt werden soll (default: inactivity)
(config-if)# switchport port-security aging static(config-if)# switchport port-security aging time minutes(config-if)# switchport port-security aging type [ inactivity | absolute ]
Troubleshooting2950# show port-security interface [if_type if_number]2950# show port-security address2950# show mac-address-table
120 © 2004-2010 [email protected]