CCNA Vorbereitung

13.3.2 Switchport Security

Mit Hilfe von Switchport Security kann auf einen Switchport festgelegt werden, • dass nur bestimmte, durch Angabe der MAC Adresse, definierte Hosts und/oder• dass nur eine bestimmte Anzahl von Geräten

an diesen Port angeschlossen werden dürfen.

WICHTIG: Beschränkungen für Switchport Security: • Switchport Security kann nur für Access-Links konfiguriert werden.• sticky secure mac-addresses können nicht auf Access-Links konfiguriert werden,

auf denen ein Voice VLAN konfiguriert wurde.

Sollte ein "nicht befugtes" Geräte an einen gesichterten Port angeschlossen werden, kann der Switch folgendermaßen reagieren:

• protect • Keine Weiterleitung von Frames (Datenverkehr des angreifenden Hosts)• Keine Erzeugung jeglicher Log- bzw. SNMP Meldungen

• restrict • Keine Weiterleitung von Frames (Datenverkehr des angreifenden Hosts)• Erzeugung von Log Meldungen und SNMP Meldungen (wenn konfiguriert)

• shutdown (default-Einstellung)• Deaktivieren des Ports (err-disable state)• Keine Weiterleitung von Frames (Datenverkehr des angreifenden Hosts) • Erzeugung von Log Meldungen und SNMP Meldungen (wenn konfiguriert)

TIPP (nicht CCNA relevant): Der err-disable state kann entweder adminstrativ (default) oder nach Ablauf eines Timers beendet werden. Um einen err-disable Timer für diese Aktion zu konfigurieren können folgende Kommandos verwendet werden.

(config)# err-disable recovery cause secure-violation(config)# err-disable recovery interval time-interval

119 © 2004-2010 R.Pohlmann@ping.de

CCNA Vorbereitung

KonfigurationVorbereitung: Wechsel in den SubConfiguration Mode der gewünschten Schnittstelle und Definition dieser als Access-Link (default "dynamic desirable").

(config)# interface fastethernet 0/1(config-if)# switchport mode access

Zuerst: Aktivierung der Switchport Security Funktionalität:

(config-if)# switchport port-security

Legt die maximale Anzahl von statischen MAC-Adressen fest, die pro Schnittstelle angeschlossen werden können.

(config-if)# switchport port-security maximum anzahl

Absicherung einer Schnittstelle durch Zuweisung einer statischen MAC Adresse, was nur mit einem Access-Link (Switch <-> End-User-Gerät) funktioniert und nicht mit einem Trunk-Link (Switch <-> Switch) ... mehrere MAC Adressen möglich.Variante 1: manuelle Angabe der MAC Adresse/n

(config-if)# switchport port-security mac-address mac-adresse(config-if)# switchport port-security mac-address mac-adresse

Variante 2:Sobald der Switch eine, oder mehrere, MAC-Adresse/n über diese Schnittstelle gelernt hat, wird diese MAC Adresse automatisch als "sichere" d.h. statische MAC Adresse in die running-config aufgenommen (.. nach einem copy runn start ist die erlernte MAC auch nach einem Reboot fest zugeordnet)

(config-if)# switchport port-security mac-address sticky

Optional: Legt fest, wie der Switch reagieren soll, wenn eine unzulässige MAC-Adresse über einen gesicherten Switchport auf das Netzwerk zugreifen will (default: shutdown)

(config-if)# switchport port-security violation { protect | restrict | shutdown }

Optional: Einstellungen bezüglich der Aging Time (Lebensdauer der Einträge innerhalb der MAC address table)

• Festlegung, dass die Aging Time auch auf statische Einträge (wie durch Switchport Security erzeugt) angewendet wird (default: nur für dynamische Einträge)

• Manuelle Festlegung der Aging Time (default 5 Minuten)• Manuelle Festlegung, wann der Timer heruntergezählt werden soll (default: inactivity)

(config-if)# switchport port-security aging static(config-if)# switchport port-security aging time minutes(config-if)# switchport port-security aging type [ inactivity | absolute ]

Troubleshooting2950# show port-security interface [if_type if_number]2950# show port-security address2950# show mac-address-table

120 © 2004-2010 R.Pohlmann@ping.de