Samstag, 22. Mai 2010

Eingangsports an einem Switch definieren:
Port-Policies durch Mac-Filterung

Ein Switch hat nunmal viele Ports - aber oft möchte man garnicht, dass ein jeder seinen PC in eine Buchse einstecken kann. Daher schaltet man zunächst von der Konsole aus alle Ports an einem Router oder Switch ab.

switch(config)# interface range fastethernet0/0-24
switch(config-if-range)# shutdown

Doch so ein toter Router verfehlt natürlich seine Aufgabe.
Wie kann man nun doch einen "vertrauensvollen" Rechner an einen Port bringen?


switch(config)# interface fastethernet0/1
Wir konfigurieren Interface fastethernet0/0
switch(config-if)# switchport mode access
Wir definieren diesen Eingangsport als "Zugriffsport" für ein Gerät 
switch(config-if)# switchport port-security
Wir schalten die Mac-Security ein.
switch(config-if)# switchport port-security maximum 1
An diesem Port darf nur eine mac-adresse zugreifen
switch(config-if)# switchport port-security mac-address  02:01:0A:0B:0C:FF
Als Zugriffskritierium für diesen Port gilt die die Mac-Adresse 02:01:0A:0B:0C:FF des Endgerätes.
switch(config-if)# switchport port-security violation shutdown
Sollte an dem Port ein Gerät mit einer anderen Portadresse eingesteckt werden, schalte den Port ab.
Der Port muss dann wieder manuell vom Systemverwalter herauf gefahren werden.

In der Praxis wäre dieses Vorgehen sehr Zeitaufwändig. Man stelle sich vor, man möchte alle Ports ausser 0,10,20 definieren.
Also abeitet man wie folgt:

switch(config)# interface range fastethernet0/1-9, fastethernet0/11-19, fastethernet0/21-24
Wir konfigurieren alle 24 Ports ausser 0, 10 und 20.
switch(config-if-range)# switchport mode access
Alle Ports sind Zugriffsports für Endgeräte
switch(config-if-range)# switchport port-security
Schalte die mac-filterung ein.
switch(config-if-range)# switchport port-security maximum 1
Es gibt eine Mac-Adresse, der wir vertrauen
switch(config-if-range)# switchport port-security mac-address sticky
Lerne selbstständig Mac-Adressen
switch(config-if-range)# switchport port-security violation restrict
Schalte bei einem Sicherheitsverstoß auf den Modus "restict": Der Port belebt sich nach dem Einstecken des richtigen Gerätes wieder von selbst.

Violation-Modes:
Protect:Dropt die Pakete
Restict:Droppt die Pakete. Die Fehlversuche werden gezählt.
Shutdown:Schaltet den Port ab und sendet eine Nachricht via SNMP.
Eingestellt von um

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)