Konfiguracja przełącznika CISCO – konfiguracja portów do obsługi jednego adresu MAC

W dzisiejszych czasach duży nacisk kładziony jest na bezpieczeństwo systemów informatycznych i sieci komputerowych. Istnieje wiele sposobów zabezpieczenia sieci komputerowych przed niepowołanym dostępem, jedne opierają się na zabezpieczeniach systemów operacyjnych, inne zaś na odpowiedniej konfiguracji sprzętu sieciowego. W dzisiejszym artykule przedstawię sposób zabezpieczenia fizycznego dostępu do zasobów naszej sieci komputerowej, poprzez takie ustawienia przełącznika CISCO, aby mógł on obsługiwać tylko jeden adres MAC (przełączniki na podstawie tego parametru przesyłają dane w sieci -przyp.), każdorazowe podłączenie urządzenia z innym adresem fizycznym niż ten zapisane w konfiguracji, spowoduje zablokowanie portu i uniemożliwi korzystanie z sieci. Uzasadnienie takiego sposobu zabezpieczenia jest proste, mianowicie uniemożliwi na korzystanie z naszej sieci urządzeniom spoza niej.

Zadanie zostanie omówione na przykładzie 3 komputerów podłączonych do przełącznika.



Konfigurację przełącznika powinniśmy zacząć od pozyskania adresów MAC urządzeń, które są do niego podłączone. Najłatwiej jest to zrobić wykonując poprzez wyświetlenie tablicy adresów MAC w konsoli:

  • Switch>enable
  • Switch#show mac-address-table

W wyniku wykonania polecenia zostanie wyświetlona tabela z adresami MAC przypisanym do danego interfejsu:

Vlan      Mac Address        Type     Ports

 1      0001.9666.099c     DYNAMIC    Fa0/1
 1      0060.3ed6.41eb     DYNAMIC    Fa0/2
 1      0060.5c52.b33e     DYNAMIC    Fa0/3

Skoro udało nam się pozyskać już adresy MAC naszym komputerów, możemy przejść teraz do etapu przypisywania ich do konkretnego portu przełącznika:

Z trybu uprzywilejowanego (Switch#) przejdziemy do trybu konfiguracji globalnej (Switch(config)#), a następnie do trybu konfiguracji szczegółowej interfejsu 0/1:

  • Switch#configure terminal
  • Switch(config)#interface fastEthernet 0/1

W tym miejscu wykonamy polecenia, które przypiszą adres MAC pierwszego komputera do tego interfejsu:

  • Switch(config-if)#switchport mode access
  • Switch(config-if)#switchport port-security
  • Switch(config-if)#switchport port-security maximum 1
  • Switch(config-if)#switchport port-security mac-address 0001.9666.099c
  • Switch(config-if)#exit               //opuszczamy tryb konfiguracji szczegółowej dla interfejsu 0/1

Przechodzimy do trybu konfiguracji szczegółowej dla interfejsu fastEthernet 0/2 i przypisujemy adres MAC drugiego komputera:

  • Switch(config)#interface fastEthernet 0/2
  • Switch(config-if)#switchport mode access
  • Switch(config-if)#switchport port-security
  • Switch(config-if)#switchport port-security maximum 1
  • Switch(config-if)#switchport port-security mac-address 0060.3ed6.41eb
  • Switch(config-if)#exit

Następnie przechodzimy do trybu konfiguracji szczegółowej dla interfejsu fastEthernet 0/3 i przypisujemy adres MAC trzeciego komputera:

  • Switch(config)#interface fastEthernet 0/3
  • Switch(config-if)#switchport mode access
  • Switch(config-if)#switchport port-security
  • Switch(config-if)#switchport port-security maximum 1
  • Switch(config-if)#switchport port-security mac-address 0060.5c52.b33e
  • Switch(config-if)#exit

Na koniec powinniśmy wyłączyć pozostałe interfejsy, tak aby do nich nie mógł się wpiąć żaden inny komputer, a następnie zapisać konfigurację urządzenia:

  • Switch(config)#interface range fastEthernet 0/4-24    //przejście do trybu konfiguracji grupy interfejsów od 4 do 24
  • Switch(config-if-range)#shutdown                                                   //wyłączenie interfejsów
  • Switch(config-if-range)#end
  • Switch#copy running-config startup-config           //zapisanie konfiguracji

Od teraz każdorazowe podłączenie do jednego z 3 portów urządzenia z innym adresem MAC niż ten przypisane spowoduje zablokowanie interfejsu. Aby go odblokować należy w trybie konfiguracji szczegółowej danego interfejsu wykonać polecenie no shutdown:

  • Switch>enable
  • Switch#configure terminal
  • Switch(config)#interface fastEthernet 0/1
  • Switch(config-if)#no shutdown

 

Przedstawiony powyżej sposób zabezpieczenia sieci komputerowej jest tylko jednym z wielu i nie powinien być stosowany jako jedyny. Zawsze należy stosować kilka rodzajów zabezpieczeń, zarówno sprzętowych jak i programowych, aby skutecznie zabezpieczyć naszą się przez nieupoważnionym dostępem.

Ćwiczenie do wykonania:

Pobierz plik programu Cisco Packet Tracer (plik został przygotowany w wersji 6.1) i wykonaj zadanie w nim zapisane.