Безопасность на порту коммутатора — различия между версиями
Moiseevvi (обсуждение | вклад) (Новая страница: «<pre> -2014 target ------------ ip arp inspection vlan 88 ip arp inspection validate src-mac ip ip arp inspection log-buffer entries 1024 ip arp inspection log-bu…») |
Moiseevvi (обсуждение | вклад) (→Настройки) |
||
(не показано 8 промежуточных версий этого же участника) | |||
Строка 1: | Строка 1: | ||
+ | =Безопасность IPv4 на порту коммутатора= | ||
+ | ==Настройки== | ||
+ | <code> | ||
+ | no cdp en | ||
+ | switchport protected ! block all traffic to other protected ports | ||
+ | switchport block multicast | ||
+ | switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта | ||
+ | switchport port-security ! изучение первого мак адреса в качестве разрешенного, остальные запрещены | ||
+ | ! не дает на других секурити портах такому маку светиться | ||
+ | switchport port-security aging time 3 ! устаревание - 3 минуты | ||
+ | switchport port-security violation restrict ! Варианты: protect(drop) restrict(drop+syslog) shutdown(err-disable) | ||
+ | switchport port-security aging type inactivity | ||
+ | switchport port-security mac-address sticky ! запомнить в конфиге | ||
+ | spanning-tree bpdufilter enable ! still send few bpdus on port-up | ||
+ | spanning-tree bpduguard enable ! err-disable if bpdu received | ||
+ | spanning-tree rootguard enable ! err-disable on root-bpdu | ||
+ | ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити ?????, ip по dhcp-снупингу | ||
+ | |||
+ | storm-control unicast level 87 65 | ||
+ | storm-control multicast level 87 65 | ||
+ | storm-control broadcast level 87 65 | ||
+ | </code> | ||
+ | |||
+ | ==Пример== | ||
<pre> | <pre> | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
! | ! | ||
ip dhcp snooping vlan 88 | ip dhcp snooping vlan 88 | ||
+ | ip dhcp snooping verify mac-address ! - default | ||
+ | no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82 | ||
ip dhcp snooping | ip dhcp snooping | ||
− | |||
! | ! | ||
! | ! | ||
− | + | ip arp inspection vlan 88 | |
− | + | ip arp inspection validate src-mac ip | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
! | ! | ||
− | |||
! | ! | ||
− | + | errdisable recovery cause bpduguard | |
+ | errdisable recovery cause arp-inspection | ||
+ | errdisable recovery cause loopback | ||
+ | errdisable recovery interval 30 | ||
+ | errdisable detect cause all | ||
! | ! | ||
− | + | spanning-tree mode rapid-pvst | |
− | |||
− | |||
! | ! | ||
− | |||
! | ! | ||
− | |||
− | |||
− | |||
! | ! | ||
− | + | interface range FastEthernet0/1 - 48 | |
− | + | switchport mode access | |
− | + | switchport access vlan 88 | |
− | + | spanning-tree portfast | |
+ | spanning-tree bpduguard enable | ||
+ | spanning-tree bpdufilter enable ! Best practice - не поднимать STP с чужими устройствами | ||
+ | storm-control unicast level 87 65 | ||
+ | storm-control multicast level 87 65 | ||
+ | storm-control broadcast level 87 65 | ||
+ | ip verify source | ||
+ | no ip dhcp snooping trust | ||
+ | no ip arp inspection trust | ||
! | ! | ||
− | |||
− | |||
− | |||
! | ! | ||
+ | int Gi0/1 | ||
+ | descr UPLINK | ||
+ | switchport mode access | ||
+ | switchport access vlan 88 | ||
+ | ip dhcp snooping trust | ||
+ | ip arp inspection trust | ||
! | ! | ||
+ | |||
</pre> | </pre> | ||
Текущая версия на 09:36, 11 апреля 2017
Безопасность IPv4 на порту коммутатора
Настройки
no cdp en
switchport protected ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта
switchport port-security ! изучение первого мак адреса в качестве разрешенного, остальные запрещены
! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3 ! устаревание - 3 минуты
switchport port-security violation restrict ! Варианты: protect(drop) restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky ! запомнить в конфиге
spanning-tree bpdufilter enable ! still send few bpdus on port-up
spanning-tree bpduguard enable ! err-disable if bpdu received
spanning-tree rootguard enable ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити ?????, ip по dhcp-снупингу
storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
Пример
! ip dhcp snooping vlan 88 ip dhcp snooping verify mac-address ! - default no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82 ip dhcp snooping ! ! ip arp inspection vlan 88 ip arp inspection validate src-mac ip ! ! errdisable recovery cause bpduguard errdisable recovery cause arp-inspection errdisable recovery cause loopback errdisable recovery interval 30 errdisable detect cause all ! spanning-tree mode rapid-pvst ! ! ! interface range FastEthernet0/1 - 48 switchport mode access switchport access vlan 88 spanning-tree portfast spanning-tree bpduguard enable spanning-tree bpdufilter enable ! Best practice - не поднимать STP с чужими устройствами storm-control unicast level 87 65 storm-control multicast level 87 65 storm-control broadcast level 87 65 ip verify source no ip dhcp snooping trust no ip arp inspection trust ! ! int Gi0/1 descr UPLINK switchport mode access switchport access vlan 88 ip dhcp snooping trust ip arp inspection trust !