Безопасность на порту коммутатора — различия между версиями

Материал из wiki
Перейти к: навигация, поиск
(Новая страница: «<pre> -2014 target ------------ ip arp inspection vlan 88 ip arp inspection validate src-mac ip ip arp inspection log-buffer entries 1024 ip arp inspection log-bu…»)
 
(Настройки)
 
(не показано 8 промежуточных версий этого же участника)
Строка 1: Строка 1:
 +
=Безопасность IPv4 на порту коммутатора=
 +
==Настройки==
 +
<code>
 +
no cdp en
 +
switchport protected    ! block all traffic to other protected ports
 +
switchport block multicast
 +
switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта
 +
switchport port-security  ! изучение первого мак адреса в качестве разрешенного, остальные запрещены
 +
                                        ! не дает на других секурити портах такому маку светиться
 +
switchport port-security aging time 3 ! устаревание  - 3 минуты
 +
switchport port-security violation restrict            !  Варианты: protect(drop)  restrict(drop+syslog) shutdown(err-disable)
 +
switchport port-security aging type inactivity
 +
switchport port-security mac-address sticky    ! запомнить в конфиге
 +
spanning-tree bpdufilter enable  ! still send few bpdus on port-up
 +
spanning-tree bpduguard enable  ! err-disable if bpdu received
 +
spanning-tree rootguard enable  ! err-disable on root-bpdu
 +
ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити ?????, ip  по dhcp-снупингу
 +
 +
storm-control unicast level 87 65
 +
storm-control multicast level 87 65
 +
storm-control broadcast level 87 65
 +
</code>
 +
 +
==Пример==
 
<pre>
 
<pre>
-2014 target ------------
 
ip arp inspection vlan 88
 
ip arp inspection validate src-mac ip
 
ip arp inspection log-buffer entries 1024
 
ip arp inspection log-buffer logs 50 interval 30
 
!
 
spanning-tree mode rapid-pvst
 
!
 
ip dhcp pool LAN
 
network 10.111.0.0 255.255.255.0
 
default-router 10.111.0.1
 
dns-server 212.192.64.2
 
!
 
 
!
 
!
 
ip dhcp snooping vlan 88
 
ip dhcp snooping vlan 88
 +
ip dhcp snooping verify mac-address ! - default
 +
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
 
ip dhcp snooping
 
ip dhcp snooping
no ip domain-lookup
 
 
!
 
!
 
!
 
!
interface FastEthernet0/2
+
ip arp inspection vlan 88
switchport access vlan 88
+
ip arp inspection validate src-mac ip  
switchport mode access            !  do not receive DTP
 
switchport nonegotiate            !  do not send DTP
 
switchport port-security maximum 2
 
switchport port-security
 
storm-control broadcast level 20.00
 
storm-control unicast level 20.00
 
no cdp enable
 
spanning-tree bpduguard enable
 
ip verify source port-security
 
end
 
------- 2014 source default ----
 
 
 
username cisco password 0 cisco
 
enable secret 0 cisco
 
 
!
 
!
spanning-tree mode rapid-pvst
 
 
!
 
!
no ip domain-look
+
errdisable recovery cause bpduguard
 +
errdisable recovery cause arp-inspection
 +
errdisable recovery cause loopback
 +
errdisable recovery interval 30
 +
errdisable detect cause all
 
!
 
!
ip dhcp pool LAN
+
spanning-tree mode rapid-pvst
  network 10.111.0.0 255.255.255.0
 
  default-router 10.111.0.1
 
 
!
 
!
vlan 88
 
 
!
 
!
int vlan 88
 
  ip address 10.111.0.1 255.255.255.0
 
  no shut
 
 
!
 
!
int range fa 0/1-24
+
interface range FastEthernet0/1 - 48
  sw acc vl 88
+
switchport mode access
  sw mo acc
+
switchport access vlan 88
  spann portfast
+
spanning-tree portfast
 +
spanning-tree bpduguard enable
 +
spanning-tree bpdufilter enable          ! Best practice - не поднимать STP с чужими устройствами
 +
storm-control unicast level 87 65
 +
storm-control multicast level 87 65
 +
storm-control broadcast level 87 65
 +
ip verify source
 +
no ip dhcp snooping trust
 +
no ip arp inspection trust
 
!
 
!
line vty 0 15
 
  login local
 
  logg syn
 
 
!
 
!
 +
int Gi0/1
 +
descr UPLINK
 +
switchport mode access
 +
switchport access vlan 88
 +
ip dhcp snooping trust
 +
ip arp inspection trust
 
!
 
!
 +
 
</pre>
 
</pre>
  

Текущая версия на 09:36, 11 апреля 2017

Безопасность IPv4 на порту коммутатора

Настройки

no cdp en
switchport protected    ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта
switchport port-security  ! изучение первого мак адреса в качестве разрешенного, остальные запрещены
                                        ! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3 ! устаревание  - 3 минуты
switchport port-security violation restrict            !  Варианты: protect(drop)  restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky    ! запомнить в конфиге 
spanning-tree bpdufilter enable  ! still send few bpdus on port-up
spanning-tree bpduguard enable   ! err-disable if bpdu received
spanning-tree rootguard enable  ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити ?????, ip  по dhcp-снупингу

storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65

Пример

!
ip dhcp snooping vlan 88
ip dhcp snooping verify mac-address ! - default
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
ip dhcp snooping
!
!
ip arp inspection vlan 88
ip arp inspection validate src-mac ip 
!
!
errdisable recovery cause bpduguard
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
errdisable detect cause all
!
spanning-tree mode rapid-pvst
!
!
!
interface range FastEthernet0/1 - 48
 switchport mode access
 switchport access vlan 88
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree bpdufilter enable           ! Best practice - не поднимать STP с чужими устройствами
 storm-control unicast level 87 65
 storm-control multicast level 87 65
 storm-control broadcast level 87 65
 ip verify source
 no ip dhcp snooping trust
 no ip arp inspection trust
!
!
int Gi0/1
 descr UPLINK
 switchport mode access
 switchport access vlan 88
 ip dhcp snooping trust
 ip arp inspection trust
!