Безопасность на порту коммутатора — различия между версиями

Материал из wiki
Перейти к: навигация, поиск
(Настройки)
(Пример)
Строка 26: Строка 26:
 
ip dhcp snooping vlan 88
 
ip dhcp snooping vlan 88
 
ip dhcp snooping verify mac-address ! - default
 
ip dhcp snooping verify mac-address ! - default
no ip dhcp snooping information option ! - чтобы вышестоящай свитч не дропнул наш запрос с опцией 82
+
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
 
ip dhcp snooping
 
ip dhcp snooping
 
!
 
!
Строка 63: Строка 63:
 
  switchport access vlan 88
 
  switchport access vlan 88
 
  ip dhcp snooping trust
 
  ip dhcp snooping trust
  ip arp inspectin trust
+
  ip arp inspection trust
 
!
 
!
  

Версия 09:25, 9 марта 2016

Безопасность IPv4 на порту коммутатора

Настройки

no cdp en
switchport protected    ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует ВЕСЬ юникаст на ВХОДЕ в порт
switchport port-security  ! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3
switchport port-security violation restrict  ! protect(drop)  restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky    ! не дает на других секурити портах такому маку светиться
spanning-tree bpdufilter enable  ! still send few bpdus on port-up
spanning-tree bpduguard enable   ! err-disable if bpdu received
spanning-tree rootguard enable  ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес ip по порт-секьюрити

storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65

Пример

!
ip dhcp snooping vlan 88
ip dhcp snooping verify mac-address ! - default
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
ip dhcp snooping
!
!
ip arp inspection vlan 88
ip arp inspection validate src-mac ip 
!
!
errdisable recovery cause bpduguard
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
errdisable detect cause all
!
spanning-tree mode rapid-pvst
!
!
!
interface range FastEthernet0/1 - 48
 switchport mode access
 switchport access vlan 88
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree bpdufilter enable           ! Best practice - не поднимать STP с чужими устройствами
 storm-control unicast level 87 65
 storm-control multicast level 87 65
 storm-control broadcast level 87 65
 ip verify source
 no ip dhcp snooping trust
 no ip arp inspection trust
!
!
int Gi0/1
 descr UPLINK
 switchport mode access
 switchport access vlan 88
 ip dhcp snooping trust
 ip arp inspection trust
!