Ve výchozím nastavení jsou všechna rozhraní přepínače Cisco zapnutá. To znamená, že útočník se může připojit k síti přes zásuvku a potenciálně ohrozit vaši síť. Pokud víte, která zařízení budou připojena ke kterým portům, můžete použít bezpečnostní funkci společnosti Cisco nazvanou zabezpečení portů. Pomocí zabezpečení portů může správce sítě přiřadit k rozhraní konkrétní adresy MAC, což může útočníkovi zabránit v připojení jeho zařízení. Tímto způsobem lze omezit přístup k rozhraní tak, aby jej mohla používat pouze autorizovaná zařízení. Pokud se připojí neautorizované zařízení, můžete rozhodnout, jakou akci přepínač provede, například zahození provozu a vypnutí portu.
Pro konfiguraci zabezpečení portu je nutné provést tři kroky:
1. definujte rozhraní jako přístupové pomocí dílčího příkazu switchport mode access interface
2. povolte zabezpečení portu pomocí dílčího příkazu switchport port-security interface
3. definujte, které adresy MAC mohou přes toto rozhraní odesílat rámce, pomocí dílčího příkazu switchport port-security mac-address MAC_ADDRESS interface nebo pomocí dílčího příkazu swichport port-security mac-address sticky interface pro dynamické učení adresy MAC aktuálně připojeného hostitele
Dva kroky jsou volitelné:
1. definujte, jakou akci provede přepínač při příjmu rámce z neautorizovaného zařízení pomocí dílčího příkazu port security violation {protect | restrict | shutdown} interface. Všechny tři možnosti zahazují provoz z neautorizovaného zařízení. Možnosti restrict a shutdown odesílají zprávy protokolu, když dojde k porušení. Režim vypnutí také vypne port.
2. definujte maximální počet adres MAC, které mohou být na portu použity, pomocí příkazu switchport port-security maximum NUMBER interface submode
Následující příklad ukazuje konfiguraci zabezpečení portu na přepínači Cisco:
Nejprve musíme povolit zabezpečení portu a definovat, které adresy MAC mohou odesílat rámce:
Dále pomocí příkazu show port-security interface fa0/1 vidíme, že se přepínač naučil MAC adresu hostitele A:
Ve výchozím nastavení je maximální počet povolených adres MAC jedna, takže pokud ke stejnému portu připojíme jiného hostitele, dojde k porušení zabezpečení:
Stavový kód err-disabled znamená, že na portu došlo k porušení zabezpečení.
Chceme-li port povolit, musíme použít dílčí příkazy shutdown a no shutdown interface.