Documente Academic
Documente Profesional
Documente Cultură
1.
2.
3.
4.
Port Security
Port protected
Port blocking
Storm control (Traffic suppression)
1. Port security
Este o configuratie de securitate a switchurilor pozitionate la nivelul de acces in retea,
disponibila atat pe echipamentele Cisco cat si ale altor vendori, ce permite protejarea retelei de
atacuri de tip: MAC Address Spoofing, si CAM Table Overflowing.
In urma configurarii port-security (PS) pe un port de layer 2 de switch de tip acces sau trunk
- NU functioneaza pentru porturile de tip access dynamic si dynamic auto/desirable- se va analiza
MAC-ul sursa al fiecarui frame primit pe directia de INBOUND (ce intra in port). Acestea vor fi
considerate:
MAC-uri securizate de tip dynamic (default)
MAC-uri securizate de tip static
MAC-uri securizate de tip sticky
MAC-uri securizate de tip sticky static
Adresele MAC invatate securizat au urmatoarele caracteristici:
Tipul de
MAC
securizat
Se invata
Apare in
MAC-ul de
CAM ?
[1]
switch in mod
Apare in
runningconfig ?
Apare ca MAC
securizat in tabela
portului ?
Se dezinvata ca
urmare a L1 up /
down ? [2]
Dynamic
Automat
Da
Nu
Da
Da
Static
Manual
Da
Da
Da
Nu
Sticky [3]
Automat
Da
Da
Da
Nu
Sticky static
Manual
Da
Da
Da
Nu
[1]
In momentul in care (toate) MAC-urile invate securizat de catre switch pe (toate) porturile
apar in running-config (sunt de tip Secured Static sau Secured Sticky), administratorul va trebui sa
salveze acel running-config in startup-config pentru a se asigura ca la o sesiune viitoare de
functionare a switchului acesta va sti deja MAC-urile 'legitime' asociate respectivelor porturi.
In urmatoarele conditii switchul va considera ca s-a produs o eroare de tip 'port security
violation' :
1. Numarul de MAC-uri invatate pe acel port a depasit numarul maxim de MAC-uri ce
InfoAcademy
Page 1
Tip reactie
Se blocheaza
Se incrementeaza Se trimite un mesaj Se seteaza portul in
traficul 'ofensator' 'violation counter' Syslog/SNMP? [1]
err-disable ? [2]
Protect
Da
Nu
Nu
Nu
Restrict
Da
Da
Da
Nu
'Shutdown'
port
Da
Da
Da
Da
'Shutdown'
vlan
Da
Da
Da
Da [3]
[1]
Mesajele Syslog se trimit by-default doar in consola. Mesajele SNMP trap se trimit doar in urma
configuratiei suplimentare de SNMP si SNMP trap.
[2]
Vizual, LED-ul portului respectiv se va stinge. Despre err-disable vezi mai jos.
[3]
Se va pune in err-disable (bloca) doar traficul din VLAN-ul ofensator de pe interfata respectiva
de tip trunk, nu si traficul din celelalte VLAN-uri
Un port ajuns in err-disable nu va permite traficul utilizator pe INBOUND/OUTBOUND. Bydefault, un astfel de port va ramane in aceasta stare nelimitat (interfata va apare down si down (errdisabled) la L1, respectiv L2). Un astfel de port va putea fi scos din aceasta stare prin una din
urmatoarele modalitati:
1. Switch(config-if)# shutdown
Switch(config-if)# no shutdown
2. Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval <sec>
InfoAcademy
Page 2
Nu
Da
Nu
Da
Nu
EtherChannel
Da
Protected port
Da
Da
Da
Flex Links
Da
Configurare:
Switch(config)# interface fa0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport mode { access | trunk }
!! comanda obligatorie !!
!! comanda obligatorie !!
Page 3
COMUN:
Switch(config-if)# switchport port-security violation { protect | restrict | shutdown [ vlan ] }
Switch(config-if)# switchport port-security aging time <minute>
(default 0, max: 1440min)
Switch(config-if)# switchport port-security aging type { absolute | inactivity}
Switch(config-if)# switchport port-security aging static
Vizualizare si depanare:
Switch# show port-security
Switch# show port-security address [vlan <VID>]
Switch# show port-security interface <intf> [address [vlan <VID>] | vlan [<VIDs>]]]
Switch# show interface status err-disabled
Switch# show errdisable recovery
Switch# show errdisable detect
Switch# clear port-security { all | configured | dynamic | sticky } [ address <H.H.H> [vlan
<VIDs> ] ] | interface <intf> [vlan access | voice | <VIDs>] ]
Switch# debug port-security
Configurarea pe router:
InfoAcademy
Page 4
3. Port blocking
Uneori se doreste ca traficul unicast unknown si multicast sa nu fie flood-at in interiorul
domeniului de broadcast de origine pe un anumit port/anumite porturi in scopul restrangerii
numarului de hosturi ce vor primii respectivul trafic sau/si in scopul folosirii mai eficiente a latimii
de banda pe directia de outbound a acestor porturi.
Utilizarea Port blocking la nivelul unui port fizic de layer 2 de tip acces sau trunk, sau la
nivelul unui port logic de layer 2 (interfete portchannel) are drept efect blocarea trimiterii (directia
este de OUTBOUND) a traficului de tip unicast necunoscut sau multicast.
In cazul portului de tip acces se va bloca trimiterea traficului din vlan-ul respectivului port.
In cazul cazul portului de tip trunk se va aplica aceeasi logica pentru toate vlan-urile asociate
respectivei interfete trunk.
By default, configuratia de tip port blocking nu este aplicata nici-unui port al switchului.
Pentru a nu se ajunge in situatia in care switchul dezinvata adresa MAC asociata unui port de
L2 datorita lipsei de activitate in retea a host-ului conectat, recomand folosirea functionalitatii port
blocking impreuna cu functionalitatea port security la nivelul respectivei interfete.
In cazul traficului de tip multicast se va bloca doar traficul de L2 exclusiv, nu si cel de L3
(IPv4 sau IPv6) multicast.
Configurare:
Switch(config)# interface fa0/1
Switch(config-if)# switchport block { unicast | multicast }
Vizualizare:
Switch# show interface [<intf>] switchport
Page 5
Switchul, poate fi configurat per port, sa reactioneze, in urma depasirii upper thresh, in 4
feluri:
1. sa blocheze respectivul trafic in secunda urmatoare conduita descrisa mai sus (este un
comportament default)
2. sa genereze un mesaj in sistemul de Syslog (este un comportament default)
3. sa duca portul in err-disabled. In acest caz se va dezactiva intregul port, indiferent ca
traficul excedentar a fost de tip unicast, broadcast sau multicast.
4. sa genereze un mesaj SNMP Trap destinat NMS (Network Management Station).
Switchul poate fi configurat sa utilizeze comportamentul 3 independent de comportamentul 4.
In conditiile blocarii traficului de tip multicast la nivelul unui port se vor accepta totusi
mesajele frame-urile de control CDP si BPDU.
Frame-urile tagate mai mici de 67 de bytes sunt considerate small-frames. Ele sunt
forwardate (!) de catre switch dar nu sunt contorizate de storm-control.
Incepand cu IOS vers 12.2(44)SE se poate cere IOS-ului sa duca in err-disable un port daca
primeste un numar mai mare de frame-uri mici per secunda (pps) decat cel configurat pe respectivul
port. By default nu exista o limita configurata.
InfoAcademy
Page 6
Configurare:
Switch(config)# interface fa0/1
Switch(config-if)# storm-control { unicast | broadcast | multicast } { level <upper-tresh>
[<lower-thresh>] | bps <upper-tresh> [<lowerthresh>] | pps <upper-tresh> [<lower-thresh>] }
Switch(config-if)# storm-control action { shutdown | trap }
Switch(config)# err-disable recovery cause small-frame
Switch(config)# interface fa0/1
Switch(config-if)# small-frame violation-rate <1-10000pps>
Vizualizare & Depanare:
Switch# show storm-control [<intf>] { unicast | broadcast | multicast }
Switch# debug storm-control {detection | statistics }
InfoAcademy
Page 7