Безопасность на порту коммутатора

Материал из wiki
Перейти к: навигация, поиск

Безопасность IPv4 на порту коммутатора

Настройки

no cdp en
switchport protected    ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта
switchport port-security  ! изучение первого мак адреса в качестве разрешенного, остальные запрещены
                                        ! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3 ! устаревание  - 3 минуты
switchport port-security violation restrict            !  Варианты: protect(drop)  restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky    ! запомнить в конфиге 
spanning-tree bpdufilter enable  ! still send few bpdus on port-up
spanning-tree bpduguard enable   ! err-disable if bpdu received
spanning-tree rootguard enable  ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити ?????, ip  по dhcp-снупингу

storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65

Пример

!
ip dhcp snooping vlan 88
ip dhcp snooping verify mac-address ! - default
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
ip dhcp snooping
!
!
ip arp inspection vlan 88
ip arp inspection validate src-mac ip 
!
!
errdisable recovery cause bpduguard
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
errdisable detect cause all
!
spanning-tree mode rapid-pvst
!
!
!
interface range FastEthernet0/1 - 48
 switchport mode access
 switchport access vlan 88
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree bpdufilter enable           ! Best practice - не поднимать STP с чужими устройствами
 storm-control unicast level 87 65
 storm-control multicast level 87 65
 storm-control broadcast level 87 65
 ip verify source
 no ip dhcp snooping trust
 no ip arp inspection trust
!
!
int Gi0/1
 descr UPLINK
 switchport mode access
 switchport access vlan 88
 ip dhcp snooping trust
 ip arp inspection trust
!
Источник — «https://k.psu.ru/w/index.php?title=Безопасность_на_порту_коммутатора&oldid=418»