Some applications require that no traffic be forwarded at Layer 2 between ports on the same switch so that one neighbor does not see the traffic generated by another neighbor. In such an environment, the use of protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between these ports on the switch.
Protected ports have these features:
Because a switch stack represents a single logical switch, Layer 2 traffic is not forwarded between any protected ports in the switch stack, whether they are on the same or different switches in the stack.
Default Protected Port Configuration
The default is to have no protected ports defined.
Protected Ports Guidelines
You can configure protected ports on a physical interface (for example, Gigabit Ethernet port 1) or an EtherChannel group (for example, port-channel 5). When you enable protected ports for a port channel, it is enabled for all ports in the port-channel group.
How to Configure Protected Ports
Configuring a Protected Port
Protected ports are not pre-defined. This is the task to configure one.
1. configure terminal
2. interface interface-id
3. switchport protected
5. show interfaces interface-id switchport
6. copy running-config startup-config
DETAILED STEPS
Command or Action
Purpose
Step 1
configure terminal
Enters global configuration mode.
Step 2
interface interface-id
Specifies the interface to be configured, and enter interface configuration mode.
Step 3
switchport protected
Configures the interface to be a protected port.
Returns to privileged EXEC mode.
Step 5
show interfaces interface-id switchport
Verifies your entries.
Step 6
copy running-config startup-config
(Optional) Saves your entries in the configuration file.
Monitoring Protected Ports
Command
Purpose
show interfaces [ interface-id ] switchport
Displays the administrative and operational status of all switching (nonrouting) ports or the specified port, including port blocking and port protection settings.
В данной статье рассмотрим такую интересную, на мой взгляд, технологию, как Private VLANs в теории и практике.
Для начала вспомним, что такое VLANы. VLAN – отдельная подсеть, отдельный домен бродкаста, используется для логической сегментации сети, ограничения домена широковещательной рассылки, безопасности и т.д.
Обычно сеть делится на VLANы, далее c помощью router-on-the-stick либо многоуровнего свича (любого устройства 3 уровня) включается маршрутизация (разрешается весь трафик), а потом, с помощью списков контроля доступа, прописывается кому, с кем и по какому протоколу разрешено “общаться” (или применяется контроль трафика исходя из требований политики безопасности вашей организации, как было бы написано в учебнике Cisco).
Но что же делать когда, например, сеть уже разделена, сегментирована, но возникла необходимость изолировать серверы либо группы хостов друг от друга?
У Cisco, как и других вендоров, есть дополнительные инструменты, помогающие ограничивать пересылку трафика между хостами, находящимися в пределах одной подсети или контроля трафика внутри VLAN. Для этого чаще всего используются Private VLANs (частные VLANы), VLAN access list и protected ports.
Следует отметить, что Private VLANы на Cisco поддерживаются на моделях Nexus, а так же Catalyst начиная с 3560 и старше.
Первый пример.
На свичах младших моделей есть такое понятие как private vlan edge. Настраивается очень просто – из режима конфигурации интерфейса прописываем команду (config-if)#switchport protected, в результате чего, хосты подключенные к этим портам буду изолированы друг от друга на 2 уровне (т.е. физически они будут подключены к одному свичу, находиться в одной подсети, но не будут “видеть” друг друга, при этом будут “видеть” все остальные хосты). Один из недостатков этого механизма, это то, что он имеет локальное значение для свича, и не масштабируется.( т.е. если мы соединим свич А и свич В транком, например, то protected порт свича А сможет “увидеть” protected порт свича B).
Остановимся более подробнее на частных VLANах. Основная цель статьи – научить настраивать частные VLANы, разобраться с терминологией, а так же получить общее представление, где их использовать.
Второй пример.
В первом примере, сеть уже разбита на VLANы, но вдруг потребовалась изоляция хостов, что делать? Вы скажете, что всё очень просто: выносим хосты, которые требуется изолировать в отдельные VLANы, включаем маршрутизацию, с помощью списков контроля доступа изолируем их друг от друга. Для этого просто создаем еще несколько подсетей и всё. Но, вдруг вы работаете в организации, где очень строгая иерархия IP-адресации и просто получить еще одну частную подсеть не так легко либо у вас нет свободных VLANов?
VLAN Support Matrix for Catalyst Swithes
Type of Switch
Maximum No. of VLANs
VLAN IDs Range
Catalyst 2940
4
1-1005
Catalyst 2960 / 2955
250
1-4094.
Catalyst 2960
255
1-4094.
Catalyst 2970/2550/3560/3750
1005
1-4094.
Catalyst 2848G/2980G/4000/4500
4094
1-4094.
Catalyst 6500
4094
1-4094.
Рис. – Изоляция серверов в DMZ.
Третий пример.
Вы работаете в провайдере и предоставляете услуги web-хостинга для большого количества клиентов, вы поместили веб-серверы в одну сеть, при этом получается, что нет никакой изоляции, все они могут “слышать” броадкасты друг друга, т.е. передавать трафик без фильтрации через межсетевой экран. Если хакер сможет попасть на один из серверов, то он сможет развернуть атаку на все серверы, ”положить” всю серверную ферму. И, конечно же, клиенты хотят изоляции своих серверов друг от друга. Особенно PVLANы актуальны для провайдеров, предоставляющих layer 2 подключения как вид услуги, для разделения клиентов, клиент А конечно же не захочет, что бы его широковещательная рассылка попадала к клиенту Б, сами понимаете, какая дыра в безопасности здесь открывается. Традиционный выход из положения методом добавления нового VLANа здесь не подойдет (метод один VLAN на клиента), “упираемся” в масштабируемость максимальное количество VLANов 4094 минус зарезервированные. Вторая проблема, т.к. VLAN – отдельная подсеть, нужно заниматься subnetting и откидывать еще по 2 адреса на каждую подсеть (subnet и broadcast) жалко, так как это “белые” адреса :).
В данных ситуациях на помощь приходят частные VLANы.
Немного терминологии. Частные VLANы делятся на:
Общие правила
Только один isolated vlan может быть привязан к одному promiscuous порту. Если хотите несколько isolated vlan, тогда к каждому vlan должен быть привязан отдельный promiscuous порт.
Обычно создается только один isolated vlan, не важно, сколько там хостов, все равно они не будут видеть друг друга.
В отличие от isolated VLAN, несколько community VLAN может быть привязано к одному promiscuous порту.
Рассмотрим следующую топологию:
— Все устройства находятся в одной подсети 10.0.0.0/24 VLAN 10. — R4 и R5 должны быть изолированы друг от друга и R2, R3 – т.е. должны иметь доступ только к интерфейсу маршрутизатора. — R2 и R3 должны быть изолированы от R4, R5, но видеть друг друга и маршрутизатор.
Сперва создадим 2 второстепенных VLANа, 101 community VLAN и 102 isolated VLAN. VLAN 10 сделаем основной и привяжем к ней второстепенные( порядок ввода команд не имеет значения).
Далее, мы должны ассоциировать порты c VLANами.
Из режима конфигурации интерфейса делаем его сначала private vlan host (говорим ему, что он необычный порт), второй командой привязываем его к isolated и primary VLANам
По аналогии настраиваем интерфейс fa1/0/4
То же самое прописываем на fa1/0/9 – сначала говорим ему, что он private vlan host и для того, что бы он понял, что он принадлежит community vlan 102, привязываем его к ней, а так же не забываем привязать его к основному VLANу.
Аналогично настраиваем fa1/0/9
Интерфейсу fa2/0/2, так как мы хотим, что бы все хосты его “видели” и он всех “видел”, задаем режим promiscuous и по правилу привязываем его к основному и всем второстепенным VLANам.
Проверяем ассоциацию портов:
Следующее действие не обязательное, создаем L3 SVI, для проверки, что isolated и community хосты могут его “видеть” так же, как и promiscuous port.
И теперь самое интересное – как это все работает.
Взглянем на таблицу MAC-адресов на свиче, выглядит она необычно. Оказывается, MAC-адреса хостов на портах, с которых они были получены, одновременно ассоциируются с основным и второстепенным VLANами!
Почему хосты R4 и R5 в isolated vlan 102 не могут ничего “видеть” кроме интерфейса маршрутизатора? Обратите внимание, что MAC-адреса этих хостов в пределах 102 isolated vlan свич пометил, как BLOCKED, в то же время MAC-адрес promiscuous интерфейса маршрутизатора в пределах vlan 102, как обычный DYNAMIC.
Теперь давайте посмотрим, почему интерфейс маршрутизатора, помеченный, как promiscuous может “общаться” со всеми интерфейсами, дело в том, что он их может видеть через primary VLAN 10 (первые 5 строчек в таблице MAC-адресов).
В следующей статье рассмотрим тонкости масштабируемости частных VLANов, как между свичами поддерживающими эту технологию, так и на / через обычные свичи, которые даже и не знают такого понятия, как частный VLAN (нет, нет никакого двойного тегирования фрэйма) и типы “специальных” транков.
Что такое protected порты, и зачем они нужны? Давайте рассмотрим на примере:
Допустим, у нас есть такая схема сети:
В этой сети все подключенные к коммутатору компьютеры могут взаимодействовать как с маршрутизатором, так и друг с другом. Без каких-либо ограничений.
Вроде все хорошо, но иногда возникает необходимость сделать так:
То есть ограничить взаимодействие между компьютерами в сети, но при этом не ограничивать их доступ к маршрутизатору, серверу, сетевому принтеру или другим общим устройствам в сети.
Для решения этой задачи на коммутаторах Cisco Catalyst есть функциональность, называемая protected ports. Вкратце суть этой функциональности заключается в следующем: Некоторые порты на коммутаторе мы можем настроить как protected. Между этими портами не будут проходить никакие пакеты, ни unicast, ни multicast, ни broadcast, т.е. вообще никакие. Таким образом выполняется изоляция портов друг от друга. При этом между protected портами и всеми остальными, называемыми unprotected, все пакеты будут проходить без ограничений.
В нашем примере мы можем настроить порты так:
По умолчанию все порты на коммутаторе являются unprotected, таким образом прохождение пакетов на них никак не ограничивается.
Для включения режима protected введите в режиме настройки интерфейса:
Switch(config-if)# switchport protected
Для отмены режима protected введите:
Switch(config-if)# no switchport protected
Все описанное работает только в пределах одного коммутатора. Если у нас несколько коммутаторов, и на каждом из них есть protected порты, то пакеты между ними будут проходить без ограничений, как между unprotected портами:
Как видите, изоляция портов в cisco — это несложно. Пользуйтесь!
Сisco switchport protected поддерживается не на всех линейках коммутаторов. В таблице ниже расписано, в каких линейках и каких версиях IOS есть поддержка этой функциональности:
Catalyst Express 500
не поддерживает
Catalyst 1900
не поддерживает
Catalyst 2940
поддерживает начиная с версии IOS 12.1(13)AY
Catalyst 2950
поддерживает начиная с версии IOS 12.0(5.2)WC1 или 12.1(4)EA1
Catalyst 2955
поддерживает начиная с версии IOS 12.1(6)EA2
Catalyst 2960
поддерживает начиная с версии IOS 12.2(25)FX
Catalyst 2970
поддерживает начиная с версии IOS 12.1(11)AX
Catalyst 2900XL/3500XL
поддерживает начиная с версии IOS 12.0(5)XU (on 8MB switches only)
The following sections provide information about protected ports.
Protected Ports
Some applications require that no traffic be forwarded at Layer 2 between ports on the same switch so that one neighbor does not see the traffic generated by another neighbor. In such an environment, the use of protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between these ports on the switch.
Protected ports have these features:
A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port. Data traffic cannot be forwarded between protected ports at Layer 2; only control traffic, such as PIM packets, is forwarded because these packets are processed by the CPU and forwarded in software. All data traffic passing between protected ports must be forwarded through a Layer 3 device.
Forwarding behavior between a protected port and a nonprotected port proceeds as usual.
Default Protected Port Configuration
The default is to have no protected ports defined.
Protected Ports Guidelines
You can configure protected ports on a physical interface (for example, Gigabit Ethernet port 1) or an EtherChannel group (for example, port-channel 5). When you enable protected ports for a port channel, it is enabled for all ports in the port-channel group.
How to Configure Protected Ports
The following section provides information on configuring protected ports.
Configuring a Protected Port
To configure a protected port, perform this procedure:
Before you begin
Protected ports are not pre-defined.
SUMMARY STEPS
DETAILED STEPS
Example:
Enables privileged EXEC mode.
Enter your password if prompted.
Example:
Enters global configuration mode.
Example:
Specifies the interface to be configured, and enter interface configuration mode.
Example:
Configures the interface to be a protected port.
Example:
Returns to privileged EXEC mode.
show interfaces interface-id switchport
Example:
Verifies your entries.
Example:
Verifies your entries.
copy running-config startup-config
Example:
(Optional) Saves your entries in the configuration file.
Monitoring Protected Ports
show interfaces [ interface-id ] switchport
Displays the administrative and operational status of all switching (nonrouting) ports or the specified port, including port blocking and port protection settings.
Feature History for Protected Ports
This table provides release and related information for features explained in this module.
These features are available on all releases subsequent to the one they were introduced in, unless noted otherwise.
Cisco IOS Release 15.2(5)E
Protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between ports on the switch.
Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.
Используется для предотвращения:
Содержание
[править] Port security на коммутаторах ProCurve
[править] Режимы запоминания адресов
Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.
[править] Eavesdrop Prevention
Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.
[править] Настройка port security
Настройка port security:
Параметры команды port-security:
[править] Отмена настройки port security
Отмена настройки port security:
[править] Включение порта после его блокировки
Включение порта после того, как он был выключен port security:
[править] Настройка Eavesdrop Prevention
[править] Настройка port security с аутентификацией 802.1X
Необходимо настроить port security в режиме запоминания port-access:
Установить при настройке аутентификации 802.1X режим контроля auto:
Port security и режим контроля аутентификации 802.1X:
[править] Port security на коммутаторах Cisco
[править] Безопасные MAC-адреса
Коммутатор поддерживает такие типы безопасных MAC-адресов:
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.
[править] Настройки по умолчанию
На коммутаторах Cisco такие настройки по умолчанию для функции port security:
[править] Настройка port security
Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:
Включение port security на интерфейсе (после этого включены настройки по умолчанию):
Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят.
Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию.
[править] Максимальное количество безопасных MAC-адресов
Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:
Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:
Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).
Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:
Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.
Просмотр информации о настройках port-security для VLAN 7:
Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу «кто первый встал того и тапки».
Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan’ах. Настройка port-security в таком случае будет выглядеть следующим образом:
[править] Настройка безопасных MAC-адресов
Включение sticky запоминания адресов:
[править] Настройка режима реагирования на нарушения безопасности
Режим реагирования на нарушения безопасности (по умолчанию shutdown):
Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.
Посмотреть, что порт перешел в состояние error-disabled:
[править] Очистка таблицы MAC-адресов
Очистить таблицу MAC-адресов, для подключения других устройств:
[править] Настройка port security с аутентификацией 802.1X
[править] Просмотр информации о настройках port security
[править] Совместимость port security с другими функциями коммутатора
Port security несовместима с такими функциями коммутатора:
Port security совместима с такими функциями коммутатора:
