switch(config)# interface range fastethernet0/0-24
switch(config-if-range)# shutdown
Doch so ein toter Router verfehlt natürlich seine Aufgabe.
Wie kann man nun doch einen "vertrauensvollen" Rechner an einen Port bringen?
switch(config)# interface fastethernet0/1
Wir konfigurieren Interface fastethernet0/0
switch(config-if)# switchport mode access
Wir definieren diesen Eingangsport als "Zugriffsport" für ein Gerät
switch(config-if)# switchport port-security
Wir schalten die Mac-Security ein.
switch(config-if)# switchport port-security maximum 1
An diesem Port darf nur eine mac-adresse zugreifen
switch(config-if)# switchport port-security mac-address 02:01:0A:0B:0C:FF
Als Zugriffskritierium für diesen Port gilt die die Mac-Adresse 02:01:0A:0B:0C:FF des Endgerätes.
switch(config-if)# switchport port-security violation shutdown
Sollte an dem Port ein Gerät mit einer anderen Portadresse eingesteckt werden, schalte den Port ab.
Der Port muss dann wieder manuell vom Systemverwalter herauf gefahren werden.
In der Praxis wäre dieses Vorgehen sehr Zeitaufwändig. Man stelle sich vor, man möchte alle Ports ausser 0,10,20 definieren.
Also abeitet man wie folgt:
switch(config)# interface range fastethernet0/1-9, fastethernet0/11-19, fastethernet0/21-24
Wir konfigurieren alle 24 Ports ausser 0, 10 und 20.
switch(config-if-range)# switchport mode access
Alle Ports sind Zugriffsports für Endgeräte
switch(config-if-range)# switchport port-security
Schalte die mac-filterung ein.
switch(config-if-range)# switchport port-security maximum 1
Es gibt eine Mac-Adresse, der wir vertrauen
switch(config-if-range)# switchport port-security mac-address sticky
Lerne selbstständig Mac-Adressen
switch(config-if-range)# switchport port-security violation restrict
Schalte bei einem Sicherheitsverstoß auf den Modus "restict": Der Port belebt sich nach dem Einstecken des richtigen Gerätes wieder von selbst.
Violation-Modes:
Protect: | Dropt die Pakete |
Restict: | Droppt die Pakete. Die Fehlversuche werden gezählt. |
Shutdown: | Schaltet den Port ab und sendet eine Nachricht via SNMP. |
Keine Kommentare:
Kommentar veröffentlichen