protected port cisco что это

Configuring Protected Port

This module contains the following topics:

Information About Protected Ports

Protected Ports

Some applications require that no traffic be forwarded at Layer 2 between ports on the same switch so that one neighbor does not see the traffic generated by another neighbor. In such an environment, the use of protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between these ports on the switch.

Protected ports have these features:

Because a switch stack represents a single logical switch, Layer 2 traffic is not forwarded between any protected ports in the switch stack, whether they are on the same or different switches in the stack.

Default Protected Port Configuration

The default is to have no protected ports defined.

Protected Ports Guidelines

You can configure protected ports on a physical interface (for example, Gigabit Ethernet port 1) or an EtherChannel group (for example, port-channel 5). When you enable protected ports for a port channel, it is enabled for all ports in the port-channel group.

How to Configure Protected Ports

Configuring a Protected Port

Protected ports are not pre-defined. This is the task to configure one.

1. configure terminal

2. interface interface-id

3. switchport protected

5. show interfaces interface-id switchport

6. copy running-config startup-config

DETAILED STEPS

    Command or ActionPurpose
    Step 1configure terminal

    Enters global configuration mode.

    Step 2interface interface-id

    Specifies the interface to be configured, and enter interface configuration mode.

    Step 3switchport protected

    Configures the interface to be a protected port.

    Returns to privileged EXEC mode.

    Step 5show interfaces interface-id switchport

    Verifies your entries.

    Step 6copy running-config startup-config

    (Optional) Saves your entries in the configuration file.

    Monitoring Protected Ports

    Command

    Purpose

    show interfaces [ interface-id ] switchport

    Displays the administrative and operational status of all switching (nonrouting) ports or the specified port, including port blocking and port protection settings.

    Источник

    Настройка Private VLANs на Cisco

    В данной статье рассмотрим такую интересную, на мой взгляд, технологию, как Private VLANs в теории и практике.

    Для начала вспомним, что такое VLANы. VLAN – отдельная подсеть, отдельный домен бродкаста, используется для логической сегментации сети, ограничения домена широковещательной рассылки, безопасности и т.д.

    Обычно сеть делится на VLANы, далее c помощью router-on-the-stick либо многоуровнего свича (любого устройства 3 уровня) включается маршрутизация (разрешается весь трафик), а потом, с помощью списков контроля доступа, прописывается кому, с кем и по какому протоколу разрешено “общаться” (или применяется контроль трафика исходя из требований политики безопасности вашей организации, как было бы написано в учебнике Cisco).

    Но что же делать когда, например, сеть уже разделена, сегментирована, но возникла необходимость изолировать серверы либо группы хостов друг от друга?

    У Cisco, как и других вендоров, есть дополнительные инструменты, помогающие ограничивать пересылку трафика между хостами, находящимися в пределах одной подсети или контроля трафика внутри VLAN. Для этого чаще всего используются Private VLANs (частные VLANы), VLAN access list и protected ports.

    Следует отметить, что Private VLANы на Cisco поддерживаются на моделях Nexus, а так же Catalyst начиная с 3560 и старше.

    Первый пример.

    На свичах младших моделей есть такое понятие как private vlan edge. Настраивается очень просто – из режима конфигурации интерфейса прописываем команду (config-if)#switchport protected, в результате чего, хосты подключенные к этим портам буду изолированы друг от друга на 2 уровне (т.е. физически они будут подключены к одному свичу, находиться в одной подсети, но не будут “видеть” друг друга, при этом будут “видеть” все остальные хосты). Один из недостатков этого механизма, это то, что он имеет локальное значение для свича, и не масштабируется.( т.е. если мы соединим свич А и свич В транком, например, то protected порт свича А сможет “увидеть” protected порт свича B).

    Остановимся более подробнее на частных VLANах. Основная цель статьи – научить настраивать частные VLANы, разобраться с терминологией, а так же получить общее представление, где их использовать.

    Второй пример.

    В первом примере, сеть уже разбита на VLANы, но вдруг потребовалась изоляция хостов, что делать? Вы скажете, что всё очень просто: выносим хосты, которые требуется изолировать в отдельные VLANы, включаем маршрутизацию, с помощью списков контроля доступа изолируем их друг от друга. Для этого просто создаем еще несколько подсетей и всё. Но, вдруг вы работаете в организации, где очень строгая иерархия IP-адресации и просто получить еще одну частную подсеть не так легко либо у вас нет свободных VLANов?

    VLAN Support Matrix for Catalyst Swithes
    Type of SwitchMaximum No. of VLANsVLAN IDs Range
    Catalyst 294041-1005
    Catalyst 2960 / 29552501-4094.
    Catalyst 29602551-4094.
    Catalyst 2970/2550/3560/375010051-4094.
    Catalyst 2848G/2980G/4000/450040941-4094.
    Catalyst 650040941-4094.

    Рис. – Изоляция серверов в DMZ.

    Третий пример.

    Вы работаете в провайдере и предоставляете услуги web-хостинга для большого количества клиентов, вы поместили веб-серверы в одну сеть, при этом получается, что нет никакой изоляции, все они могут “слышать” броадкасты друг друга, т.е. передавать трафик без фильтрации через межсетевой экран. Если хакер сможет попасть на один из серверов, то он сможет развернуть атаку на все серверы, ”положить” всю серверную ферму. И, конечно же, клиенты хотят изоляции своих серверов друг от друга. Особенно PVLANы актуальны для провайдеров, предоставляющих layer 2 подключения как вид услуги, для разделения клиентов, клиент А конечно же не захочет, что бы его широковещательная рассылка попадала к клиенту Б, сами понимаете, какая дыра в безопасности здесь открывается. Традиционный выход из положения методом добавления нового VLANа здесь не подойдет (метод один VLAN на клиента), “упираемся” в масштабируемость максимальное количество VLANов 4094 минус зарезервированные. Вторая проблема, т.к. VLAN – отдельная подсеть, нужно заниматься subnetting и откидывать еще по 2 адреса на каждую подсеть (subnet и broadcast) жалко, так как это “белые” адреса :).

    В данных ситуациях на помощь приходят частные VLANы.

    Немного терминологии. Частные VLANы делятся на:

    Общие правила

    Только один isolated vlan может быть привязан к одному promiscuous порту. Если хотите несколько isolated vlan, тогда к каждому vlan должен быть привязан отдельный promiscuous порт.

    Обычно создается только один isolated vlan, не важно, сколько там хостов, все равно они не будут видеть друг друга.

    В отличие от isolated VLAN, несколько community VLAN может быть привязано к одному promiscuous порту.

    Рассмотрим следующую топологию:

    — Все устройства находятся в одной подсети 10.0.0.0/24 VLAN 10.
    — R4 и R5 должны быть изолированы друг от друга и R2, R3 – т.е. должны иметь доступ только к интерфейсу маршрутизатора.
    — R2 и R3 должны быть изолированы от R4, R5, но видеть друг друга и маршрутизатор.

    protected port cisco что это. Смотреть фото protected port cisco что это. Смотреть картинку protected port cisco что это. Картинка про protected port cisco что это. Фото protected port cisco что это

    Сперва создадим 2 второстепенных VLANа, 101 community VLAN и 102 isolated VLAN. VLAN 10 сделаем основной и привяжем к ней второстепенные( порядок ввода команд не имеет значения).

    Далее, мы должны ассоциировать порты c VLANами.

    Из режима конфигурации интерфейса делаем его сначала private vlan host (говорим ему, что он необычный порт), второй командой привязываем его к isolated и primary VLANам

    По аналогии настраиваем интерфейс fa1/0/4

    То же самое прописываем на fa1/0/9 – сначала говорим ему, что он private vlan host и для того, что бы он понял, что он принадлежит community vlan 102, привязываем его к ней, а так же не забываем привязать его к основному VLANу.

    Аналогично настраиваем fa1/0/9

    Интерфейсу fa2/0/2, так как мы хотим, что бы все хосты его “видели” и он всех “видел”, задаем режим promiscuous и по правилу привязываем его к основному и всем второстепенным VLANам.

    Проверяем ассоциацию портов:

    Следующее действие не обязательное, создаем L3 SVI, для проверки, что isolated и community хосты могут его “видеть” так же, как и promiscuous port.

    И теперь самое интересное – как это все работает.

    Взглянем на таблицу MAC-адресов на свиче, выглядит она необычно. Оказывается, MAC-адреса хостов на портах, с которых они были получены, одновременно ассоциируются с основным и второстепенным VLANами!

    Почему хосты R4 и R5 в isolated vlan 102 не могут ничего “видеть” кроме интерфейса маршрутизатора? Обратите внимание, что MAC-адреса этих хостов в пределах 102 isolated vlan свич пометил, как BLOCKED, в то же время MAC-адрес promiscuous интерфейса маршрутизатора в пределах vlan 102, как обычный DYNAMIC.

    Теперь давайте посмотрим, почему интерфейс маршрутизатора, помеченный, как promiscuous может “общаться” со всеми интерфейсами, дело в том, что он их может видеть через primary VLAN 10 (первые 5 строчек в таблице MAC-адресов).

    В следующей статье рассмотрим тонкости масштабируемости частных VLANов, как между свичами поддерживающими эту технологию, так и на / через обычные свичи, которые даже и не знают такого понятия, как частный VLAN (нет, нет никакого двойного тегирования фрэйма) и типы “специальных” транков.

    Источник

    Protected порты на коммутаторах Cisco Catalyst

    Что такое protected порты, и зачем они нужны? Давайте рассмотрим на примере:

    Допустим, у нас есть такая схема сети:
    protected port cisco что это. Смотреть фото protected port cisco что это. Смотреть картинку protected port cisco что это. Картинка про protected port cisco что это. Фото protected port cisco что это

    В этой сети все подключенные к коммутатору компьютеры могут взаимодействовать как с маршрутизатором, так и друг с другом. Без каких-либо ограничений.

    Вроде все хорошо, но иногда возникает необходимость сделать так:
    protected port cisco что это. Смотреть фото protected port cisco что это. Смотреть картинку protected port cisco что это. Картинка про protected port cisco что это. Фото protected port cisco что это

    То есть ограничить взаимодействие между компьютерами в сети, но при этом не ограничивать их доступ к маршрутизатору, серверу, сетевому принтеру или другим общим устройствам в сети.

    Для решения этой задачи на коммутаторах Cisco Catalyst есть функциональность, называемая protected ports. Вкратце суть этой функциональности заключается в следующем: Некоторые порты на коммутаторе мы можем настроить как protected. Между этими портами не будут проходить никакие пакеты, ни unicast, ни multicast, ни broadcast, т.е. вообще никакие. Таким образом выполняется изоляция портов друг от друга. При этом между protected портами и всеми остальными, называемыми unprotected, все пакеты будут проходить без ограничений.

    В нашем примере мы можем настроить порты так:
    protected port cisco что это. Смотреть фото protected port cisco что это. Смотреть картинку protected port cisco что это. Картинка про protected port cisco что это. Фото protected port cisco что это

    По умолчанию все порты на коммутаторе являются unprotected, таким образом прохождение пакетов на них никак не ограничивается.

    Для включения режима protected введите в режиме настройки интерфейса:

    Switch(config-if)# switchport protected

    Для отмены режима protected введите:

    Switch(config-if)# no switchport protected

    Все описанное работает только в пределах одного коммутатора. Если у нас несколько коммутаторов, и на каждом из них есть protected порты, то пакеты между ними будут проходить без ограничений, как между unprotected портами:
    protected port cisco что это. Смотреть фото protected port cisco что это. Смотреть картинку protected port cisco что это. Картинка про protected port cisco что это. Фото protected port cisco что это

    Как видите, изоляция портов в cisco — это несложно. Пользуйтесь!

    Сisco switchport protected поддерживается не на всех линейках коммутаторов. В таблице ниже расписано, в каких линейках и каких версиях IOS есть поддержка этой функциональности:

    Catalyst Express 500не поддерживает
    Catalyst 1900не поддерживает
    Catalyst 2940поддерживает начиная с версии IOS 12.1(13)AY
    Catalyst 2950поддерживает начиная с версии IOS 12.0(5.2)WC1 или 12.1(4)EA1
    Catalyst 2955поддерживает начиная с версии IOS 12.1(6)EA2
    Catalyst 2960поддерживает начиная с версии IOS 12.2(25)FX
    Catalyst 2970поддерживает начиная с версии IOS 12.1(11)AX
    Catalyst 2900XL/3500XLподдерживает начиная с версии IOS 12.0(5)XU (on 8MB switches only)
    Catalyst 2948G/2980Gне поддерживает
    Catalyst 2948G-L3 / 4908G-L3не поддерживает
    Catalyst 3550поддерживает начиная с версии IOS 12.1(4)EA1
    Catalyst 3560поддерживает начиная с версии IOS 12.1(19)EA1
    Catalyst 3750поддерживает начиная с версии IOS 12.1(11)AX
    Catalyst 3750 Metroподдерживает начиная с версии IOS 12.1(14)AX
    Catalyst 4500/4000не поддерживает
    Catalyst 5500/5000не поддерживает
    Catalyst 6500/6000не поддерживает
    Catalyst 8500не поддерживает

    Источник

    Security Configuration Guide, Cisco IOS Release 15.2(7)Ex (Catalyst 2960-L Switches)

    Book Title

    Security Configuration Guide, Cisco IOS Release 15.2(7)Ex (Catalyst 2960-L Switches)

    Chapter Title

    View with Adobe Reader on a variety of devices

    Results

    Chapter: Protected Ports

    Protected Ports

    Information About Protected Ports

    The following sections provide information about protected ports.

    Protected Ports

    Some applications require that no traffic be forwarded at Layer 2 between ports on the same switch so that one neighbor does not see the traffic generated by another neighbor. In such an environment, the use of protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between these ports on the switch.

    Protected ports have these features:

    A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port. Data traffic cannot be forwarded between protected ports at Layer 2; only control traffic, such as PIM packets, is forwarded because these packets are processed by the CPU and forwarded in software. All data traffic passing between protected ports must be forwarded through a Layer 3 device.

    Forwarding behavior between a protected port and a nonprotected port proceeds as usual.

    Default Protected Port Configuration

    The default is to have no protected ports defined.

    Protected Ports Guidelines

    You can configure protected ports on a physical interface (for example, Gigabit Ethernet port 1) or an EtherChannel group (for example, port-channel 5). When you enable protected ports for a port channel, it is enabled for all ports in the port-channel group.

    How to Configure Protected Ports

    The following section provides information on configuring protected ports.

    Configuring a Protected Port

    To configure a protected port, perform this procedure:

    Before you begin

    Protected ports are not pre-defined.

    SUMMARY STEPS

    DETAILED STEPS

    Example:

    Enables privileged EXEC mode.

    Enter your password if prompted.

    Example:

    Enters global configuration mode.

    Example:

    Specifies the interface to be configured, and enter interface configuration mode.

    Example:

    Configures the interface to be a protected port.

    Example:

    Returns to privileged EXEC mode.

    show interfaces interface-id switchport

    Example:

    Verifies your entries.

    Example:

    Verifies your entries.

    copy running-config startup-config

    Example:

    (Optional) Saves your entries in the configuration file.

    Monitoring Protected Ports

    show interfaces [ interface-id ] switchport

    Displays the administrative and operational status of all switching (nonrouting) ports or the specified port, including port blocking and port protection settings.

    Feature History for Protected Ports

    This table provides release and related information for features explained in this module.

    These features are available on all releases subsequent to the one they were introduced in, unless noted otherwise.

    Cisco IOS Release 15.2(5)E

    Protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between ports on the switch.

    Источник

    Port security

    Материал из Xgu.ru

    protected port cisco что это. Смотреть фото protected port cisco что это. Смотреть картинку protected port cisco что это. Картинка про protected port cisco что это. Фото protected port cisco что это
    Данная страница находится в разработке.
    Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

    Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

    Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

    Используется для предотвращения:

    Содержание

    [править] Port security на коммутаторах ProCurve

    [править] Режимы запоминания адресов

    Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:

    [править] Режимы реагирования на нарушения безопасности

    Нарушением безопасности для port security считаются ситуации:

    На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

    clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.

    [править] Eavesdrop Prevention

    Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).

    Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.

    Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.

    [править] Настройка port security

    Настройка port security:

    Параметры команды port-security:

    [править] Отмена настройки port security

    Отмена настройки port security:

    [править] Включение порта после его блокировки

    Включение порта после того, как он был выключен port security:

    [править] Настройка Eavesdrop Prevention

    [править] Настройка port security с аутентификацией 802.1X

    Необходимо настроить port security в режиме запоминания port-access:

    Установить при настройке аутентификации 802.1X режим контроля auto:

    Port security и режим контроля аутентификации 802.1X:

    [править] Port security на коммутаторах Cisco

    [править] Безопасные MAC-адреса

    Коммутатор поддерживает такие типы безопасных MAC-адресов:

    [править] Режимы реагирования на нарушения безопасности

    Нарушением безопасности для port security считаются ситуации:

    На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

    Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.

    [править] Настройки по умолчанию

    На коммутаторах Cisco такие настройки по умолчанию для функции port security:

    [править] Настройка port security

    Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:

    Включение port security на интерфейсе (после этого включены настройки по умолчанию):

    Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят.

    Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию.

    [править] Максимальное количество безопасных MAC-адресов

    Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:

    Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:

    Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).

    Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:

    Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.

    Просмотр информации о настройках port-security для VLAN 7:

    Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу «кто первый встал того и тапки».

    Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan’ах. Настройка port-security в таком случае будет выглядеть следующим образом:

    [править] Настройка безопасных MAC-адресов

    Включение sticky запоминания адресов:

    [править] Настройка режима реагирования на нарушения безопасности

    Режим реагирования на нарушения безопасности (по умолчанию shutdown):

    Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.

    Посмотреть, что порт перешел в состояние error-disabled:

    [править] Очистка таблицы MAC-адресов

    Очистить таблицу MAC-адресов, для подключения других устройств:

    [править] Настройка port security с аутентификацией 802.1X

    [править] Просмотр информации о настройках port security

    [править] Совместимость port security с другими функциями коммутатора

    Port security несовместима с такими функциями коммутатора:

    Port security совместима с такими функциями коммутатора:

    Источник

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *