Очистка CAM таблицы свитча Cisco
1) Можно ли со свитча Cisco вытащить в каком-либо виде сообщение о переполнении CAM таблицы, используя средства .NET, C#?
Если да, то как это сделать? Опыта работы с сетевым оборудованием совсем немного.
2) Как эту таблицу почистить? Запустить из программы терминал свитча и засунуть туда поочередно готовую последовательность команд? Или есть более вменяемый способ это сделать?
Модель свитча не важна. Если чем-то можете помочь — пишите для любого
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:
Возможность выгрузки ARP и CAM таблиц с cisco на ПК
Возможно? Сейчас делаю вручную, а можно ли автоматизировать? Есть ли ПО, или можно ли написать.
Cisco packet tracer настройка свитча в режиме transparent
Дали задание, сделать 2 vtp доменна, в них по 2 сервера и клиенты, у клиентов ПК с vlan’ами 10 и.
Очистка CAM таблицы свитча Cisco
Добрый вечер, господа! Нужна помощь в следующих вопросах: 1) Можно ли со свитча Cisco.
Очистка таблицы БД
Нужна ваша помощь Нужно сделать PHP файл для автоочистки таблицы MySQL В базе есть строка с.
855 / 429 / 127
Регистрация: 20.04.2014
Сообщений: 1,109
только oid уточнить для переполнения.
1b. включить нужный уровень логгирования:
https://www.cisco.com/c/en/us/. gging.html
далее логи лить на syslog-сервер а там их уже парсить как душе угодно.
2. тут рекомендую начать с книжки Натальи Самойленко «Python для сетевых инженеров»
там — способы работы с сетевым обородованием. На шарп сами переведете.
100 / 74 / 34
Регистрация: 06.11.2018
Сообщений: 378
Записей в блоге: 1
А какова финальная цель этого священнодействия? Не проще ли поменять aging time?
mac address-table aging-time seconds [ vlan vlan-id ]
Или на самой циске настроить крон очищающий MAC записи на определенном порту?
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
Помогаю со студенческими работами здесь
Очистка таблицы
У меня на хостинге уже готовый движок, там есть чат, он никогда неочищается сам по себе. Что тут.
Очистка таблицы
Есть AdoQuery и очистить таблицу от записей(оставить только структуру). А так же есть вопрос: КАК.
Очистка таблицы в Access
Всем привет! Такое дело: у меня есть основная форма (MainForm) , при нажатии одной из кнопок.
Очистка полей таблицы
Есть код PROCEDURE ClearTable; BEGIN With Table1 do begin First; While.
Или воспользуйтесь поиском по форуму:
10. Конфигурирование таблицы MAC-адресов
Таблица MAC — это таблица соответствий между MAC-адресами устройств назначения и портами коммутатора. MAC-адреса могут быть статические и динамические. Статические MAC-адреса настраиваются пользователем вручную, имеют наивысший приоритет, хранятся постоянно и не могут быть перезаписаны динамическими MAC-адресами. MAC-адреса — это записи, полученные коммутатором в пересылке кадров данных, и хранятся в течение ограниченного периода времени. Когда коммутатор получает кадр данных для дальнейшей передачи, он сохраняет MAC-адрес кадра данных вместе с соответствующим ему портом назначения. Когда MAC-таблица опрашивается для поиска MAC-адреса назначения, при нахождении нужного адреса кадр данных отправляется на соответствующий порт, иначе коммутатор отправляет кадр на широковещательный домен. Если динамический MAC-адрес не встречается в принятых кадрах данных длительное время, запись о нем будет удалена из MAC-таблицы коммутатора.
Возможны 2 операции с таблицей MAC-адресов:
1. Поиск MAC-адреса;
2. Пересылка или фильтрация кадра данных в соответствии с таблицей.
10.1.1. Получение таблицы MAC-адресов
Таблица MAC-адресов может быть создана динамически или статически. Статическая конфигурация заключается в ручной настройке соответствия между MAC-адресами и портами. Динамическое обучение — это процесс, в котором коммутатор изучает соответствие между MAC-адресами и портами и регулярно обновляет таблицу MAC. В этом разделе мы рассмотрим процесс динамического обучения MAC-таблицы.
Рисунок 28.1 — Динамическое обучение MAC-таблицы.
Топология на Рисунке 28.1: 4 ПК подключены к коммутатору. ПК1 и ПК2 подключены из одного физического сегмента (домена коллизий) подключены к порту коммутатора Ethernet 1/0/5, а ПК3 и ПК4, также из одного физического сегмента, подключены к порту Ethernet 1/0/12.
Начальная таблица MAC-адресов не содержит записей. Рассмотрим пример обмена кадрами между ПК1 и ПК3 и процесс обучения MAC-адресов:
- Когда ПК1 отправляет кадр к ПК3, MAC-адрес источника 00-01-11-11-11-11 из этого сообщения, а также порт коммутатора Ethernet 1/0/5 заносятся в MAC-таблицу;
- В это же время коммутатор определяет, что сообщение предназначено для 00-01-33-33-33-33, а поскольку MAC-таблица содержит только запись соответствия MAC-адреса 00-01-11-11-11-11 и порта Ethernet 1/0/5, коммутатор передает это сообщение всем портам коммутатора (при условии, что все порты принадлежат VLAN 1 по-умолчанию);
- ПК3 и ПК4, подключенные к порту Ethernet 1/0/12, получают кадр, отправленный ПК1, но так как MAC-адрес назначения 00-01-33-33-33-33, ПК4 не отвечает, только ПК3 отвечает ПК1. Когда порт Ethernet 1/0/12 принимает кадр от ПК3, в таблице MAC-адресов создается запись соответствия адреса 00-01-33-33-33-33 порту Ethernet 1/0/12.
- Теперь таблица MAC-адресов имеет 2 записи: адрес 00-01-11-11-11-11 — порт Ethernet 1/0/5 и адрес 00-01-33-33-33-33 — порт Ethernet 1/0/12.
- После обмена кадрами между ПК1 и ПК3, коммутатор больше не получает кадры от ПК1 и ПК3. Поэтому записи соответствия MAC-адресов в MAC-таблице удаляются через 300 или 600 секунд (простое или двойне время жизни). По-умолчанию выбрано время жизни в 300 секунд, но оно может быть изменено на коммутаторе.
10.1.2. Пересылка или фильтрация
Коммутатор может переслать или отфильтровать принятые кадры данных в соответствии с таблицей MAC-адресов. Рассмотрим пример на рисунке 28.1: допустим, что коммутатор изучил MAC-адреса ПК1 и ПК3, а пользователь вручную добавил соответствия для MAC-адресов ПК2 и ПК4. Таблица MAC-адресов будет выглядеть следующим образом:
MAC-адрес
Номер порта
Способ добавления
Про MAC-таблицы в коммутаторах
Привет, Хабр!
Случается так, что иногда хочется отойти от скупой теории и перейти к практике. Сейчас как раз такой случай. Желание возникло на фоне воспоминаний того, как мы делали коммутатор. Он — вещь довольно простая, делов-то — пересылай пакеты с порта на порт, да статистику веди. Все оказалось немного сложнее.
Вы когда нибудь задумывались над тем, как происходит коммутация? На курсах говорят, что пакет из порта (А) анализируется и пересылается согласно таблице соответствия в порт (Б) назначения, или во все порты, кроме (А) источника, если запись не найдена. Остановимся на таблице и разберем как происходит ее заполнение.
Самый простой способ — записывать адреса в один столбец, а соответствующие порты в другой, т.е. используется линейный алгоритм поиска, асимптотическая сложность которого O(n). Худший случай для алгоритма — отсутствие искомого ключа, поскольку требуется просмотреть все ключи, и в коммутации встречается очень часто: включение нового клиента, включение или перезагрузка устройства. На самом деле, всевозможные оптимизации и хитрые алгоритмы, применяемые в чипах сетевых устройств, заточены либо для экономии памяти чипа, либо для удовлетворения требований по скорости обработки.
Используемый же большинством производителей способ — хеш-таблица. Смысл в том, что при вычислении хеш-функции от MAC-адреса на выходе имеем сразу адрес в памяти (индекс), обратившись по которому вычитываем номер порта. Если ничего не вычитали, то пишем по этому адресу текущий порт. Сложность алгоритма поиска O(1). Правда существует проблема коллизий, но при правильно подобранной хеш-функции она минимизируется. Остается лишь проверить коллизионную стойкость устройства. Наглядный пример такой таблицы и частичной коллизии:
У большинства записей хеш-индексы не совпадают, что в результате дает мгновенное чтение по индексу, но у Jack и Andrew случилось так, что хеш совпал и проявилась коллизия. В этом случае для разрешения коллизии производится линейный поиск по вложенному списку, что увеличивает задержку, но происходит это в единичных случаях.
Проверку можно провести, пополняя хеш-таблицу новыми записями. Записи могут быть последовательными или случайным, а так же принадлежать специальным типам.
Специальные типы MAC-адресов:
- broadcast (FF:FF:FF:FF:FF:FF)
- multicast (младший бит первого октета равен 1)
Не все адреса должны записываться в таблицу. Например туда не попадают широковещательный и мультикаст адреса. В результате я написал небольшой генератор raw-пакетов, которому передаются параметры:
send_pkt -i -n -i interface for packet sending -n number of MAC's -s work in slow mode -r generate random Src MAC for each new packet -a set random for all octets В обычном режиме генерируются пакеты с последовательными MAC-адресами, изменяются последние два октета, что дает 65536 комбинаций и для большинства коммутаторов более чем достаточно (всегда можно увеличить). Первый октет выставлен в 0x00, т.е. адреса юникастовые. Случайные адреса генерируются в двух режимах:
- первый октет 0x00, остальные случайны
- все октеты случайны
Предусмотрен запуск в медленном режиме, например для тестирования aging-time.
Интересно как на флуд отреагирует оборудование: проверим в двух режимах (последовательном и случайном) сколько адресов попадут в таблицу. У меня в тестовой стойке 5 коммутаторов:
- cisco 3750G-16TD-S (12288 MAC)
- zyxel gs-3012f (16384 MAC)
- d-link dgs-3426 (8192 MAC)
- metrotek x10-24 (16368 MAC)
Специально никто их не отбирал — просто используются для различных целей, вроде проверки на совместимость STP (про это вообще можно отдельную статью написать). Пойдем по порядку.
cisco 3750G-16TD-S
Информация о платформе:
cisco-01-TEST#sh ver
Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(46)SE, RELEASE SOFTWARE (fc2)
Copyright 1986-2008 by Cisco Systems, Inc.
Compiled Thu 21-Aug-08 15:43 by nachen
Image text-base: 0x00003000, data-base: 0x01940000
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(18)SE1, RELEASE SOFTWARE (fc2)
cisco-01-TEST uptime is 4 weeks, 5 days, 1 hour, 11 minutes
System returned to ROM by power-on
System image file is «flash:c3750-advipservicesk9-mz.122-46.SE»
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
cisco WS-C3750G-16TD (PowerPC405) processor (revision F0) with 118784K/12280K bytes of memory.
Processor board ID CSG0921P0EB
Last reset from power-on
1 Virtual Ethernet interface
16 Gigabit Ethernet interfaces
1 Ten Gigabit Ethernet interface
The password-recovery mechanism is enabled.
512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:14:1C:D7:33:80
Motherboard assembly number: 73-9143-08
Power supply part number: 341-0045-01
Motherboard serial number: CAT091916AM
Power supply serial number: LIT09130942
Model revision number: F0
Motherboard revision number: A0
Model number: WS-C3750G-16TD-S
System serial number: CSG0921P0EB
Top Assembly Part Number: 800-24591-04
Top Assembly Revision Number: A0
CLEI Code Number: COM1D10ARB
Hardware Board Revision Number: 0x01
Switch Ports Model SW Version SW Image
— — — — —
* 1 17 WS-C3750G-16TD 12.2(46)SE C3750-ADVIPSERVICESK9-M
Configuration register is 0xF
Странно, но пишет, что у нее памяти всего на 5507 адресов:
cisco-01-TEST#show mac address-table count
Total Mac Address Space Available: 5507
Настройки тестового порта:
interface GigabitEthernet1/0/1
switchport access vlan 20
switchport mode access
end
Пустая таблица адресов для тестового vlan:
cisco-01-TEST#sh mac- vl 20
Mac Address Table
— Vlan Mac Address Type Ports
— — — ——
После пробного теста (./send_pkt -i eth0 -n 10) наблюдаем следующее:
cisco-01-TEST#show mac address-table count
Mac Entries for Vlan 20:
— Dynamic Address Count: 11
Static Address Count: 0
Total Mac Addresses: 11
Total Mac Address Space Available: 5496
cisco-01-TEST#sh mac- vl 20
Mac Address Table
— Vlan Mac Address Type Ports
— — — — 20 0001.0203.0001 DYNAMIC Gi1/0/1
20 0001.0203.0002 DYNAMIC Gi1/0/1
20 0001.0203.0003 DYNAMIC Gi1/0/1
20 0001.0203.0004 DYNAMIC Gi1/0/1
20 0001.0203.0005 DYNAMIC Gi1/0/1
20 0001.0203.0006 DYNAMIC Gi1/0/1
20 0001.0203.0007 DYNAMIC Gi1/0/1
20 0001.0203.0008 DYNAMIC Gi1/0/1
20 0001.0203.0009 DYNAMIC Gi1/0/1
20 0001.0203.000a DYNAMIC Gi1/0/1
20 50af.7312.8435 DYNAMIC Gi1/0/1
Одиннадцатый адрес — это адрес нетбука, с которого запускался тест. Доступное место для адресов уменьшился.
Сгенерируем заведомо большее, чем заявлено, количество адресов (12288), я указал 13000:
cisco-01-TEST#show mac address-table count
Mac Entries for Vlan 20:
— Dynamic Address Count: 4281
Static Address Count: 0
Total Mac Addresses: 4281
Total Mac Address Space Available: 1219
Как видно, заполнить всю таблицу удалось не сразу и попали далеко не все адреса, вот вам и колизионность. Пробую еще раз:
cisco-01-TEST#show mac address-table count
Mac Entries for Vlan 20:
— Dynamic Address Count: 5724
Static Address Count: 0
Total Mac Addresses: 5724
Total Mac Address Space Available: 192
И медленный режим (максимум, что удалось вместить):
Mac Entries for Vlan 20:
— Dynamic Address Count: 5945
Static Address Count: 0
Total Mac Addresses: 5945
Total Mac Address Space Available: 3
cisco-01-TEST#show mac address-table count
Рандомный тест:
cisco-01-TEST#sh mac address-table count
Mac Entries for Vlan 20:
— Dynamic Address Count: 4417
Static Address Count: 0
Total Mac Addresses: 4417
Total Mac Address Space Available: 1499
Рандомный медленный тест:
cisco-01-TEST#sh mac address-table count
Mac Entries for Vlan 20:
— Dynamic Address Count: 5947
Static Address Count: 0
Total Mac Addresses: 5947
Total Mac Address Space Available: 1
Итог
Получается, что заявленная производителем характеристика не соответствует действительности (если я не прав, например влияет IOS и для него есть особые заметки, дайте знать с пруфом). Разница почти в два раза. Даже если опираться на сведения, выводимые самой системой (5507), то им тоже не стоит верить: в быстром режиме таблица недозаполнилась на 1219 адресов, а в медленном постоянно перестраивалась и показания суммарного счетчика менялись, от режима генерации (последовательно/случайно) не зависит.
ZyXEL GS-3012F
Информация о платформе:
zyxel-01-T# show version
Current ZyNOS version: V3.80(LR.2) | 03/04/2008
zyxel-01-T# show system-information
System Name: zyxel-01-TEST
System Contact:
System Location:
Ethernet Address: 00:19:cb:2d:d8:49
ZyNOS F/W Version: V3.80(LR.2) | 03/04/2008
RomRasSize: 3234952
System up Time: 837:37:39 (11f939d5 ticks)
Bootbase Version: V3.00 | 01/14/2005
ZyNOS CODE: RAS Mar 4 2008 11:51:18
Product Model: GS-3012F
Генерируем с превышением 17000 (поддерживается 16384):
zyxel-01-T# show mac-count
No: 16312
Медленный режим не использовался, т.к. даже в быстром таблица заполнена практически полностью.
Рандомный тест:
zyxel-01-T# show mac-count
No: 14331
Итог
В целом, хорошие результаты. Коммутатор не “теряет” адреса, генерируемые на скорости порта. Размер таблицы и ее заполнение соответствует заявленному.
D-Link DGS-3426
Информация о платформе:
DGS-3426:admin#show tech_support
Command: show tech_support
[SYS 2000-1-1 00:07:51]
Boot Time: 31 Dec 1999 23:59:59
RTC Time: 2000/01/01 00:07:51
Boot PROM Version: Build 1.00-B13
Firmware Version: Build 2.70.B56
Hardware Version: 2A1
MAC Address: 00-17-9A-10-CD-AA
[STACKING 2000-1-1 00:07:51]
Генерируем с превышением 9000 (поддерживается 8192):
DGS-3426:admin#show fdb vlan TEST
Command: show fdb vlan TEST
VID VLAN Name MAC Address Port Type
— — — — — 20 TEST 00-01-02-03-00-01 1 Dynamic
20 TEST 00-01-02-03-00-02 1 Dynamic
20 TEST 00-01-02-03-00-03 1 Dynamic
20 TEST 00-01-02-03-00-04 1 Dynamic
20 TEST 00-01-02-03-00-05 1 Dynamic
20 TEST 00-01-02-03-00-06 1 Dynamic
20 TEST 00-01-02-03-00-07 1 Dynamic
20 TEST 00-01-02-03-00-08 1 Dynamic
20 TEST 00-01-02-03-00-09 1 Dynamic
20 TEST 00-01-02-03-00-0A 1 Dynamic
20 TEST 00-01-02-03-00-0B 1 Dynamic
20 TEST 00-01-02-03-00-0C 1 Dynamic
20 TEST 00-01-02-03-00-0D 1 Dynamic
Медленный режим, как и в предыдущем тесте не использовался, поскольку таблица заполнена почти полностью.
Рандомный тест:
DGS-3426:admin#show fdb vlan TEST
Command: show fdb vlan TEST
VID VLAN Name MAC Address Port Type
— — — — — 20 TEST 00-00-01-33-82-27 1 Dynamic
20 TEST 00-00-03-43-5A-66 1 Dynamic
20 TEST 00-00-03-66-C4-5D 1 Dynamic
20 TEST 00-00-05-32-86-B1 1 Dynamic
20 TEST 00-00-07-6D-3A-40 1 Dynamic
20 TEST 00-00-0A-0F-E0-AE 1 Dynamic
20 TEST 00-00-22-3A-81-2B 1 Dynamic
20 TEST 00-00-24-68-E9-70 1 Dynamic
20 TEST 00-00-35-00-B0-93 1 Dynamic
20 TEST 00-00-3F-04-BE-95 1 Dynamic
20 TEST 00-00-43-01-A4-A4 1 Dynamic
20 TEST 00-00-71-27-41-8A 1 Dynamic
20 TEST 00-00-92-3C-2A-5A 1 Dynamic
20 TEST 00-00-92-5B-94-62 1 Dynamic
20 TEST 00-00-95-26-49-3D 1 Dynamic
20 TEST 00-00-9F-2E-45-DF 1 Dynamic
20 TEST 00-00-9F-6D-BE-1E 1 Dynamic
20 TEST 00-00-A7-75-72-4F 1 Dynamic
20 TEST 00-00-A9-17-38-DD 1 Dynamic
20 TEST 00-00-AF-5A-8C-54 1 Dynamic
Итог
У этого коммутатора тоже все в порядке. Таблица заполняется как заявлено, на случайных данных показатели незначительно хуже. А в качестве “фишки” таблица маков при просмотре сортируется (возможно потому, что никакого строкового процессора нет, например как у cisco).
Metrotek X10-24
Этот коммутатор, точнее его разработка — причина статьи. В нем используется ASIC матрица от японской компании Fujitsu. Изучая документацию, можно сделать вывод, что экономили ресурсы очень серьезно, поэтому и были выполнены независимые тесты.
Информация о платформе:
x10-00002# show version report
Origin: Metrotek
Label: Metrotek
Codename: oxygen
Version: 1.0.1
Date: Wed, 4 Mar 2015 11:04:37 UTC
Architectures: armel i386
Components: contrib non-free
Description: Metrotek X10-24 Gigabit Ethernet Switch
Генерируем с превышением 17000 (поддерживается 16368):
root@x10-00002:~# show-mac-table -v 20 | wc -l
16368
Медленный режим не использовался
Рандомный тест:
root@x10-00002:~# show-mac-table -v 20 | wc -l
14429
Итог
Для инкрементарных адресов таблица полностью соответствует заявленной, а вот для случайных показатели ухудшаются, хотя и лежат в довольно близком к заявленному диапазоне.
Вывод
Если ваша сеть построена таким образом, что домен L2 включает множество устройств, то можно ждать беды. Странным оказалось то, что самый весомый вендор показал худшие результаты. Отсюда мораль — доверяй только собственным глазам и тесту, а не маркетинговым заявлениям с мелким шрифтом в сноске.
Я был так удивлен положением вещей, что решил об этом написать. Если есть возможность провести такой же тест, то прошу опубликовать результаты в комментариях.
Спасибо за внимание.
- сети передачи данных
- тестирование сетей передачи данных
- таблиц коммутации
- Информационная безопасность
- Тестирование IT-систем
Port security
Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.
Используется для предотвращения:
- несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
- атак направленных на переполнение таблицы коммутации.
[править] Port security на коммутаторах ProCurve
[править] Режимы запоминания адресов
Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:
- Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
- Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
- Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
- Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
- Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
- максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
- none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
- send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляются SNMP trap и сообщение syslog.
- send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляются SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии — вывести его из этого состояния можно, введя команду port-security clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.
[править] Eavesdrop Prevention
Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.
[править] Настройка port security
Настройка port security:
switch(config)# port-security [learn-mode < continuous | static | port-access | configured | limited-continuous>] [action < none | send-alarm | send-disable >] [address-limit [mac-address ] [clear-intrusion-flag]
Параметры команды port-security:
- learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
- action — действие, которое будет выполняться при нарушении:
- none — не выполнять никаких действий
- send-alarm — отправить сообщение о нарушении (SNMP, log)
- send-disable — отправить сообщение о нарушении и выключить порт
- Применяется к режимам static, configured и limited-continuous
- Для static и configured значения от 1 до 8
- Для limited-continuous — от 1 до 32
- По умолчанию для всех режимов разрешен 1 MAC-адрес
[править] Отмена настройки port security
Отмена настройки port security:
switch(config)# no port-security
[править] Включение порта после его блокировки
Включение порта после того, как он был выключен port security:
switch(config)# port-security 10 clear-intrusion-flag switch(config)# interface 10 enable
[править] Настройка Eavesdrop Prevention
switch(config)# port-security eavesdrop-prevention
[править] Настройка port security с аутентификацией 802.1X
Необходимо настроить port security в режиме запоминания port-access:
switch(config)# port-security 10 learn-mode port-access
Установить при настройке аутентификации 802.1X режим контроля auto:
switch(config)# aaa port-access authenticator 10 control auto
Port security и режим контроля аутентификации 802.1X:
- Если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста с которого подключился аутентифицированный пользователь как безопасный,
- Если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный.
[править] Port security на коммутаторах Cisco
[править] Безопасные MAC-адреса
Коммутатор поддерживает такие типы безопасных MAC-адресов:
- Статические MAC-адреса:
- задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
- хранятся в таблице адресов,
- добавляются в текущую конфигурацию коммутатора;
- динамически выучиваются,
- хранятся только в таблице адресов,
- удаляются при перезагрузке коммутатора;
- могут быть статически настроены или динамически выучены,
- хранятся в таблице адресов,
- добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
- максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
- адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN’е.
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
- protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
- restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
- shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.
Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.
[править] Настройки по умолчанию
На коммутаторах Cisco такие настройки по умолчанию для функции port security:
- Port security — выключен.
- Запоминание sticky-адресов — выключено.
- Максимальное количество безопасных MAC-адресов на порту — 1.
- Режим реагирования на нарушения — shutdown.
- Время хранения адресов:
- отключено. Значение aging time — 0,
- для статических адресов — отключено,
- тип времени — абсолютное.
[править] Настройка port security
Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:
switch(config-if)# switchport mode
Включение port security на интерфейсе (после этого включены настройки по умолчанию):
switch(config-if)# switchport port-security
Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят.
Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию.
[править] Максимальное количество безопасных MAC-адресов
Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:
switch(config-if)# switchport port-security maximum [vlan ]
Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:
switch(config)# interface Fastethernet0/3 switch(config-if)# switchport mode access switch(config-if)# switchport port-security maximum 2 switch(config-if)# switchport port-security
Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).
Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:
switch(config)# interface Fastethernet0/3 switch(config-if)# switchport mode trunk switch(config-if)# switchport port-security maximum 20 vlan 7 switch(config-if)# switchport port-security
Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.
Просмотр информации о настройках port-security для VLAN 7:
switch# show port-security vlan 7
Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу «кто первый встал того и тапки».
Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan’ах. Настройка port-security в таком случае будет выглядеть следующим образом:
switch(config-if)# switchport port-security maximum 3 switch(config-if)# switchport port-security mac-address mac_телефона switch(config-if)# switchport port-security mac-address mac_телефона vlan voice switch(config-if)# switchport port-security mac-address mac_компьютера vlan access switch(config-if)# switchport port-security
[править] Настройка безопасных MAC-адресов
Включение sticky запоминания адресов:
switch(config-if)# switchport port-security mac-address sticky
switch(config-if)# switchport port-security mac-address sticky [mac-address | vlan >]
[править] Настройка режима реагирования на нарушения безопасности
Режим реагирования на нарушения безопасности (по умолчанию shutdown):
switch(config-if)# switchport port-security violation
Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.
Посмотреть, что порт перешел в состояние error-disabled:
switch# show interfaces status
[править] Очистка таблицы MAC-адресов
Очистить таблицу MAC-адресов, для подключения других устройств:
switch# clear port-security [all|configured|dynamic|sticky] [address |interface ]
[править] Настройка port security с аутентификацией 802.1X
[править] Просмотр информации о настройках port security
switch# show port-security
switch# show port-security vlan
switch# show port-security interface fa0/3
switch# show port-security address
[править] Совместимость port security с другими функциями коммутатора
Port security несовместима с такими функциями коммутатора:
- порт на котором включен DTP (switchport mode dynamic),
- интерфейс переведенный в режим третьего уровня (no switchport),
- SPAN destination port,
Port security совместима с такими функциями коммутатора:
- Trunk port,
- SPAN source port,
- Tunneling port,
- Protected port,
- Voice VLAN port,
- IP Source Guard,
- Dynamic ARP Inspection.
[править] Примеры настройки port security
Канальный уровень Основные понятия Коммутация • MAC-адрес • Сетевой интерфейс • CAM-таблица • VLAN • Broadcast • Multicast • Unicast • ifconfig • QinQ Петли коммутации и борьба с ними Ключевые понятия Широковещательный шторм • Петля коммутации • Остовное дерево Протоколы STP • RSTP • MSTP • PVST • PVST+ Настройка STP на коммутаторах Cisco • коммутаторах ProCurve Агрегирование каналов Ключевые понятия Агрегирование каналов • EtherChannel Протоколы LACP • PAgP Настройка в Linux • FreeBSD • NetBSD • OpenBSD • Mac OS X • Solaris • Windows • маршрутизаторах Cisco • коммутаторах Cisco • коммутаторах ProCurve Протокол ARP Ключевые понятия Протокол ARP • ARP-таблица • Статический ARP • Proxy ARP Программы arp • arping • arp-sk • arpmap Виртуальные и программные коммутаторы, мосты и сетевые интерфейсы Компоненты tap-интерфейс • dummy-интерфейс • Мост в Linux • Мост в FreeBSD • vde • OpenVPN Bridge Программы brctl (man) • ebtables Безопасность Программы и библиотеки Wireshark • Scapy MAC MAC-spoofing • Port security • Поиск по MACу • MAC-spoofing в виртуальной машине ARP ARP-spoofing • ettercap • arpwatch (man) • remarp • Dynamic ARP Protection ProCurve Основы ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless Программы ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager Устройства ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM Настройка Безопасность ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve Канальный уровень CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ Сетевой уровень RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve Разное Опция 82 DHCP | SNMP в ProCurve Cisco Systems, Inc. Устройства Cisco 871 • Cisco Router • Cisco Switch • Сisco Сatalyst • Cisco IPS • Cisco ASA • PIX • Dynamips Безопасность
(коммутаторы и
маршрутизаторы)Cisco Security • Port security • DHCP snooping • Dynamic ARP Protection • IP Source Guard • Аутентификация при доступе к сети • 802.1X в Cisco • Zone-Based Policy Firewall • Cisco NAT • NAT в Cisco • Cisco SSH Cisco ASA Cisco ASA/NAT • Cisco ASA/Troubleshooting • Cisco ASA/IPS • Cisco ASA failover • Cisco ASA/Transparent firewall • Cisco ASA/Site-to-Site_VPN • Cisco ASA/Easy_VPN • Cisco ASA/WebVPN • Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE) • Центр сертификатов на Cisco ASA VPN IPsec в Cisco • Cisco IOS Site-to-Site VPN • DMVPN • Cisco Easy VPN • Cisco Web VPN • Cisco ipsec preshared Канальный уровень CDP • VLAN в Cisco • ISL • VTP • STP в Cisco • Cisco Express Forwarding • Агрегирование каналов • Зеркалирование трафика • QinQ • Frame Relay Сетевой уровень Маршрутизация в Cisco • RIP • EIGRP • IS-IS • OSPF • BGP • PIM • Multicast • GLBP • VRRP • HSRP • DHCP • IPv6 • IPv6 vs IPv4 • Резервирование Интернет-каналов без использования BGP • Использование BGP для резервирования Интернет-каналов Разное Режим ROMMON в Cisco • Опция 82 DHCP • 802.1X и RADIUS • SNMP в Cisco • QoS в Cisco • EEM • Troubleshooting • Автоматизация работы устройств Cisco • Cisco NTP • Cisco IP SLA • Cisco Enhanced Object Tracking