Domyślnie wszystkie interfejsy na przełączniku Cisco są włączone. Oznacza to, że osoba atakująca może podłączyć się do sieci przez gniazdko ścienne i potencjalnie zagrozić sieci. Jeśli wiesz, które urządzenia będą podłączone do których portów, możesz użyć funkcji bezpieczeństwa Cisco zwanej port security. Używając zabezpieczeń portów, administrator sieci może powiązać konkretne adresy MAC z interfejsem, co może uniemożliwić atakującemu podłączenie swojego urządzenia. W ten sposób można ograniczyć dostęp do interfejsu tak, aby tylko autoryzowane urządzenia mogły z niego korzystać. W przypadku podłączenia nieautoryzowanego urządzenia można zdecydować, jakie działania podejmie przełącznik, na przykład odrzucając ruch i wyłączając port.
Aby skonfigurować zabezpieczenia portów, należy wykonać trzy kroki:
1. zdefiniować interfejs jako interfejs dostępowy za pomocą podkomendy switchport mode access interface
2. włączyć zabezpieczenia portów za pomocą podkomendy switchport port-security interface
3. Zdefiniuj, które adresy MAC mogą wysyłać ramki przez ten interfejs za pomocą podkomendy switchport port-security mac-address MAC_ADDRESS interface lub za pomocą podkomendy swichport port-security mac-address sticky interface, aby dynamicznie uczyć się adresu MAC aktualnie podłączonego hosta
Dwa kroki są opcjonalne:
1. zdefiniuj, jakie działanie podejmie przełącznik, gdy otrzyma ramkę z niezatwierdzonego urządzenia za pomocą podkomendy interface port security violation {protect | restrict | shutdown}. Wszystkie trzy opcje odrzucają ruch z nieautoryzowanego urządzenia. Opcje restrict i shutdown wysyłają komunikaty dziennika w przypadku wystąpienia naruszenia. Tryb Shut down również wyłącza port.
2. Zdefiniuj maksymalną liczbę adresów MAC, które mogą być używane na porcie, używając polecenia switchport port-security maximum NUMBER interface submode
Następujący przykład pokazuje konfigurację zabezpieczeń portów na przełączniku Cisco:
Najpierw musimy włączyć zabezpieczenia portów i zdefiniować, które adresy MAC są dopuszczone do wysyłania ramek:
Następnie, używając polecenia show port-security interface fa0/1 możemy zobaczyć, że przełącznik nauczył się adresu MAC hosta A:
Domyślnie maksymalna liczba dozwolonych adresów MAC wynosi jeden, więc jeśli podłączymy inny host do tego samego portu, nastąpi naruszenie bezpieczeństwa:
Kod statusu err-disabled oznacza, że na porcie wystąpiło naruszenie bezpieczeństwa.
Aby włączyć port, musimy użyć podpoleceń shutdown i no shutdown interface.
.