Безопасность на порту коммутатора — различия между версиями
Moiseevvi (обсуждение | вклад) (→Пример) |
Moiseevvi (обсуждение | вклад) (→Настройки) |
||
Строка 5: | Строка 5: | ||
switchport protected ! block all traffic to other protected ports | switchport protected ! block all traffic to other protected ports | ||
switchport block multicast | switchport block multicast | ||
− | switchport block unicast ! блокирует | + | switchport block unicast ! блокирует ВЕСЬ юникаст на ВХОДЕ в порт |
switchport port-security ! не дает на других секурити портах такому маку светиться | switchport port-security ! не дает на других секурити портах такому маку светиться | ||
switchport port-security aging time 3 | switchport port-security aging time 3 | ||
Строка 20: | Строка 20: | ||
storm-control broadcast level 87 65 | storm-control broadcast level 87 65 | ||
</code> | </code> | ||
+ | |||
==Пример== | ==Пример== | ||
<pre> | <pre> |
Версия 04:21, 9 марта 2016
Безопасность IPv4 на порту коммутатора
Настройки
no cdp en
switchport protected ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует ВЕСЬ юникаст на ВХОДЕ в порт
switchport port-security ! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3
switchport port-security violation restrict ! protect(drop) restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky ! не дает на других секурити портах такому маку светиться
spanning-tree bpdufilter enable ! still send few bpdus on port-up
spanning-tree bpduguard enable ! err-disable if bpdu received
spanning-tree rootguard enable ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес ip по порт-секьюрити
storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
Пример
! ip dhcp snooping vlan 88 ip dhcp snooping verify mac-address ! - default no ip dhcp snooping information option ! - чтобы вышестоящай свитч не дропнул наш запрос с опцией 82 ip dhcp snooping ! ! ip arp inspection vlan 88 ip arp inspection validate src-mac ip ! ! errdisable recovery cause bpduguard errdisable recovery cause arp-inspection errdisable recovery cause loopback errdisable recovery interval 30 errdisable detect cause all ! spanning-tree mode rapid-pvst ! ! ! interface range FastEthernet0/1 - 48 switchport mode access switchport access vlan 88 spanning-tree portfast spanning-tree bpduguard enable spanning-tree bpdufilter enable ! Best practice - не поднимать STP с чужими устройствами storm-control unicast level 87 65 storm-control multicast level 87 65 storm-control broadcast level 87 65 ip verify source no ip dhcp snooping trust no ip arp inspection trust ! ! int Gi0/1 descr UPLINK switchport mode access switchport access vlan 88 ip dhcp snooping trust ip arp inspectin trust !