Конфигурирование Port-Security

Цели

Исходные данные и указания

Port security дает возможность администратору коммутатора запрещать доступ к сети несанкционированным устройствам. Port security обычно применяется для решения подобных задач на коммутаторах 2-го уровня.

Задача 1: Проверка исходной конфигурации.

Шаг 1. Проверка транкового соединения и конфигурации VLAN на коммутаторах.

  1. На всех трех коммутаторах войдите в привилегированный EXEC режим, используя пароль на консольный доступ cisco и пароль входа в привилегированный режим работы class.
  2. C привилегированного режима выполните команды show interfaces trunk и show interfaces switchport.

Вывод: На S1 порты F0/1 и F0/2 являются 802.1Q транковыми портами, на S2 - порт F0/1, на S3 - F0/2. На всех транковых портах нативным VLAN’ом является 99.

  1. Примените команду show vlan для просмотра присущей VLAN конфигурации.

Вывод: VLAN’ы 10 (faculty/staff), 20 (students), 30 (guest) и 99 (management) сконфигурированы на всех трех коммутаторах, VLAN 1 является VLAN’ом по умолчанию на каждом коммутаторе.
S1 VLAN 1: все порты за исключением транковых портов F0/1 и F0/2.
S2 VLAN 1: порты F0/2-5, G1/1-2.
S2 VLAN 10: порты F0/11-17
S2 VLAN 20: порты F0/18-24
S2 VLAN 30: порты F0/6-10
S3 VLAN 1: порты F0/1, F0/3-5, G1/1-2
S3 VLAN 10: порты F0/18-24
S3 VLAN 20: порты F0/11-17
S3 VLAN 30: порты F0/6-10

Шаг 2. Проверка VTP конфигурации на коммутаторах.

C привилегированного режима командой show vtp status проверьте состояние VTP и передачу VLAN информации.

Вывод: S1 является VTP сервером, S2 - VTP клиентом, S3 находится в VTP прозрачном режиме (VTP transparent mode). VLAN’ы, сконфигурированные на S1, успешно переданы на S2.

Шаг 3. Проверка работы протокола связанного дерева (STA - Spanning-Tree Algorithm, IEEE 802.1D).

  1. На всех коммутаторах введите команду show spanning-tree.
  2. Проверьте на всех коммутаторах выполнение STA.
  3. Проверьте, является ли S1 корневым мостом (root bridge) для VLAN’ов 1-1001.

Вывод: Все коммутаторы выполняют IEEE 802.1D. Коммутатор S1 является корневым мостом в данной spanning-tree топологии.

Задача 2: Конфигурирование port security на коммутаторах.

Шаг 1. Включение функции port security на S2 и выбор максимального количества безопасных MAC-адресов.

  1. Для включения функции port security на S2 войдите в режим конфигурирования интерфейса F0/6 и используйте команду switchport port-security.
  2. Повторите шаг 1.a на портах F0/11 и F0/18 коммутатора S2
  3. На порту F0/18 введите команду switchport port-security maximum
  4. Введите команду show run в привилегированном режиме для проверки результатов, достигнутых на шагах a - c.
Вывод: Команда switchport port-security maximum отсутствует на интерфейсах F0/6 и F0/11. Это связано с тем, что максимальное количество безопасных MAC-адресов по умолчанию принято равным 1. Команда switchport port-security maximum # появится лишь в случае, если данная величина будет задана со значением выше 1.

  1. На порту F0/18 введите команду switchport port-security maximum 1.
  2. Повторите шаг 1.a для портов F0/6, F0/11 и F0/18 коммутатора S3.

Шаг 2. Конфигурирование режима динамического изучения (dynamic learning) для port security и проверка результатов.

  1. На портах F0/6, F0/11 и F0/18 коммутаторов S2 и S3 введите команду switchport port-security mac-address sticky. Используйте команду show run для просмотра итоговой конфигурации S2 и S3.
  2. Щелкните по PC6. PC6 в данный момент соединен с Fa0/6 коммутатора S3. В режиме командной строки PC6 введите ping 172.17.30.23. Вы проверяете связь с PC3, который соединен с Fa0/6 коммутатора S2. Пинги должны быть успешными.
  3. На S2 и S3 введите show run и выясните, есть ли какие-либо изменения в выводе.
Вывод: На S2 запись “switchport port-security mac-address sticky 0001.C7CA.E31C” появилась под конфигурацией для порта F0/6. На S3 запись “switchport port-security mac-address sticky 0030.A3A5.A8C2” появилась в составе конфигурации порта F0/6.
  1. На S3 введите команду show port-security interface fa0/6.
Вывод: Port Security разрешен, Port Status в состоянии Secure-up, счетчик Security Violation Count равен 0.

Шаг 3. Наблюдение состоянием конфигурации во время предпринимаемых попыток нарушения безопасности.

  1. Щелкните по кнопке на правой части окна Packet Tracer (PT). Это позволит Вам удалить соединение из топологии. Удалите соединение между PC6 и S3. Соединение должно исчезнуть.
  2. Щелкните по кнопке в левом нижнем углу окна PT, чтобы выбрать необходимый тип подключения. Выберите соединение “copper straight-through”. Щелкните по устройству TestPC и выберите fastethernet порт. Затем щелкните по S3 и выберите порт Fa0/6..
  3. Из режима командной строки TestPC дайте команду ping 172.17.30.23. Пинги не должны пройти.
  4. На S3 введите команду show port-security interface fa0/6.
Вывод: Port Security разрешен, Port Status в состоянии Secure-shutdown, счетчик Security Violation Count равен 1.
  1. Удалите соединение между TestPC и S3. Установите новое соединение между PC6 и S3, используя порт Fa0/6. Поскольку порт Fa0/6 коммутатора S3 был переведен в состояние shutdown из-за нарушения безопасности для него примените команду no shutdown.
  2. Из режима командной строки PC6 дайте команду ping 172.17.30.23. Пинги должны быть успешными. На S3 примените команду show port-security interface Fa0/6. Состояние порта должно вернуться к нормальному положению.

Шаг 3. Проверка результатов.

Процент выполнения должен быть 100%. В противном случае щелкните по Check Results, чтобы выяснить, какие компоненты задания не выполнены Вами.

Варианты для отработки пропусков по данной теме

Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Вариант 6 Вариант 7 Вариант 8 Вариант 9 Вариант 10
Вариант 11 Вариант 12 Вариант 13 Вариант 14 Вариант 15

Методические указания

Сайт создан в системе uCoz