Администрирование Cisco Ограничение доступа к портам коммутатора - Port Security и MAC Extended ACL Wed, October 30 2024  

Поделиться

Нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


Ограничение доступа к портам коммутатора - Port Security и MAC Extended ACL Печать
Добавил(а) microsin   

Ограничивать несанкционированный доступ к портам коммутатора можно с помощью технологии Port Security (описана с статье Configuring Port-Based Traffic Control [1]) и с помощью технологии MAC Extended ACL (описана с статье Configuring Network Security with ACLs [2].

Port Security основана на привязке разрешенных MAC-адресов к каждому интерфейсу коммутатора (либо задание лимита на количество MAC-адресов, распознанных автоматически на интерфейсе) и задании алгоритма, по которому при нарушении правил доступ ограничивается (либо трафик блокируется, либо отключается интерфейс). Технология предусматривает уникальную привязку MAC к интерфейсу (например, один и тот же MAC не может соответствовать нескольким интерфейсам).

Технология MAC Extended ACL возможно более удобна для ограничения доступа по MAC. Принцип работы другой - создается список правил, связанных с MAC-адресами, и этот список привязывается к нужным интерфейсам. Правила обычно создаются на основе ключевого слова permit, и созданный ACL привязывается к нужным access-портам (не к trunk). Особенности MAC Extended ACL:

- работает только на enhanced software image IOS.

- на Catalyst 2950 можно создавать только IP standard и IP extended access lists, номера 1..199 и 1300..2699.

ACL Number       Type                                         Supported 2950
1-99             IP standard access list                      Yes
100-199          IP extended access list                      Yes
200-299          Protocol type-code access list               No
300-399          DECnet access list                           No
400-499          XNS standard access list                     No
500-599          XNS extended access list                     No
600-699          AppleTalk access list                        No
700-799          48-bit MAC address access list               No
800-899          IPX standard access list                     No
900-999          IPX extended access list                     No
1000-1099        IPX SAP access list                          No
1100-1199        Extended 48-bit MAC address access list      No
1200-1299        IPX summary address access list              No
1300-1999        IP standard access list (expanded range)     Yes
2000-2699        IP extended access list (expanded range)     Yes

- можно задавать extended access list, в котором вместо номера указано имя, например:

mac access-list extended acl-MAC-enabled
 permit host 000a.e40c.9677 any
  ...
 permit host 000f.fe10.be50 any

Здесь разрешается доступ для хостов с указанными MAC на хосты с любыми MAC.

- в конце ACL всегда стоит неявно прописанное правило deny any any, которое запрещает доступ всем хостам, отсутствующим в списке (обычный принцип работы всех ACL, не только MAC Extended ACL).

Процесс настройки по шагам:

Шаг 1:

(config)#mac access-list extended acl-MAC-enabled
(config-ext-macl)#permit host 000a.e40c.9677 any
(config-ext-macl)#permit host 000f.fe10.be50 any
(config-ext-macl)#exit

Шаг 2:

(config)#interface Fa0/13
(config-if)#switchport mode access
(config-if)#mac access-group acl-MAC-enabled in
(config-if)#^C

[Ссылки]

1. Configuring Port-Based Traffic Control site:cisco.com.
2. Configuring Network Security with ACLs site:cisco.com.

 

Добавить комментарий


Защитный код
Обновить

Top of Page