Table des matières
Configuration de la sécurité des ports
Configuration de la sécurité des ports
Caractéristiques
La fonction de sécurité du port utilise l'adresse MAC source du message pour limiter si le message peut entrer dans le port du commutateur. Elle peut contrôler si le message peut entrer dans le port en définissant statiquement une adresse MAC spécifique ou en apprenant dynamiquement un nombre limité de MAC. adresses. Un port activé avec la fonction de sécurité du port est appelé port de sécurité.
Une fois la fonction de sécurité du port activée sur un port, seuls les paquets dont les adresses MAC source sont configurées ou apprises dans la table des adresses de sécurité du port peuvent entrer dans le commutateur pour la communication, et les autres paquets seront rejetés. Vous pouvez également définir l'adresse de sécurité du port pour lier IP+MAC, ou lier uniquement IP, pour limiter les paquets qui doivent correspondre à l'adresse de sécurité du port liée en tant qu'adresse MAC source pour entrer dans la communication du commutateur.
Remarque : Seules les versions RSR10-02E, RSR20-04E, RSR20-14E/F 10.4 (3b12) et supérieures prennent en charge la fonction de sécurité des ports. Les séries RSR10-02/01G, RSR20-04/14/18/24 ne prennent pas en charge cette fonction.
Scénario d'application
Les entreprises ont des exigences relativement élevées en matière de sécurité réseau : seuls les ordinateurs dotés d'adresses MAC spécifiques (les adresses IP peuvent être configurées arbitrairement) sont autorisés à accéder à Internet, la fonction de sécurité des ports peut donc être activée sur le routeur.
1. Exigences de mise en réseau :
Il est nécessaire que le PC1 (IP : 192.168.1.1, MAC : 0021.CCCF.6F70) puisse être connecté uniquement au port du commutateur F1/0 et effectuer la liaison d'adresse IP+MAC, les autres ordinateurs connectés à ce port ne pourront pas communiquer;
Il est nécessaire que le port F1/1 ne puisse être connecté qu'au PC dont l'adresse MAC est aaaa.aaaa.aaaa et dont l'adresse IP n'est pas restreinte, et les PC avec d'autres adresses MAC ne peuvent pas être connectés via ce port.
2. Topologie du réseau :
3. Points de configuration :
1. Créez l'adresse de la passerelle utilisateur sur le routeur
2. Configurez les paramètres de sécurité du port sur le port F1/0
3. Configurez les paramètres de sécurité du port sur le port F1/1
Remarque : La fonction "switchport port-security maximum " des versions 10.4 (3b12) et 10.4 (3b12) p1 ne compte pas le nombre de MAC dans l'entrée de liaison ip+mac dans le maximum. Par exemple, si une liaison IP+MAC statique et un maximum de 1 sont configurés, le port peut toujours apprendre un MAC dynamique. Si vous souhaitez réaliser qu'un seul utilisateur avec une liaison IP+MAC fixe est accessible sous le port, vous pouvez l'implémenter via la liaison IP+MAC globale et la liaison MAC + maximum sous le port :
liaison d'adresse xxxx HHH
interface Ethernet rapide 0/0
switchport port-sécurité adresse mac HHH
sécurité du port switchport maximum 1
sécurité du port switchport
Les versions postérieures à 10.4(3b12)p1 n'ont pas cette restriction.
4. Étapes de configuration
1. Créez l'adresse de la passerelle utilisateur sur le routeur
Ruijie(config)#interface vlan 1
Ruijie (config-if-VLAN 1)#adresse IP 192.168.1.254 255.255.255.0
2. Configurez les paramètres de sécurité du port sur le port F1/0
Ruijie(config)#interface fastEthernet 1/0
Ruijie(config-if-FastEthernet 1/0)#switchport port-security contraignant 0021.CCCF.6F70 vlan 1 192.168.1.1 //Associer le PC appartenant au vlan1 à l'adresse mac 0021.CCCF.6F70 et à l'adresse IP 192.168.1.1 Bind à l'interface F1/0
Ruijie(config-if-FastEthernet 1/0)# switchport port-security maximum 1 //Spécifiez que ce port ne peut apprendre qu'une seule entrée MAC
Ruijie(config-if-FastEthernet 1/0)#switchport port-security //Activer la fonction de sécurité du port de ce port
3. Configurez les paramètres de sécurité du port sur le port F1/1
Ruijie(config)#interface fastEthernet 1/1
Ruijie(config-if-FastEthernet 1/1)#switchport port-security mac-address aaaa.aaaa.aaaa //Définissez le terminal dont l'adresse MAC est aaaa.aaaa.aaaa sur l'interface F1/1
Ruijie(config-if-FastEthernet 1/0)# switchport port-security maximum 1 //Spécifiez que ce port ne peut apprendre qu'une seule entrée MAC
Ruijie(config-if-FastEthernet 0/2)#switchport port-security //Activer la fonction de sécurité du port
5. Vérification de la configuration
Grâce à la commande show port-security address sur le routeur, vous pouvez voir les entrées d'adresse qui ont été liées et prises en compte
6. Annexe
1. La sécurité du port du routeur est divisée en liaison IP+MAC et uniquement en liaison MAC
Cela se fait avec la commande suivante :
Ruijie(config-if-FastEthernet 0/1)#liaison de sécurité du port switchport ?
Adresse IP ABCD
Adresse matérielle HHH 48 bits
Par exemple, pour lier IP+MAC, vous pouvez utiliser la commande suivante :
Ruijie (config-if-FastEthernet 0/1) # liaison de sécurité du port switchport 0021.CCCF.6F70 vlan 1 192.168.1.1
Si vous effectuez uniquement la liaison MAC, vous devez utiliser la commande suivante pour y parvenir :
Ruijie (config-if-FastEthernet 0/1) #switchport port-security adresse mac 0021.CCCF.6F70
2. Si la liaison IP+MAC ou uniquement la liaison IP est définie, le commutateur apprendra toujours dynamiquement l'adresse MAC de l'utilisateur de la liaison descendante.
Par exemple, les commandes suivantes sont liées au port du commutateur :
Ruijie (config-if-FastEthernet 0/1) #liaison de sécurité du port switchport 1414.4b19.ecc1 vlan 1 192.168.1.1
Ruijie (config-if-FastEthernet 0/1)#switchport port-sécurité
À ce stade, affichez la configuration comme suit :
Ruijie#afficher l'adresse de sécurité du port
Adresse Mac du Vlan Type d'adresse IP Port Âge restant (min.)
---- --------------- ------------------------------- --------- ---------- -------- -------------
1 1414.4b19.ecc1 192.168.1.1 Fa0/1 configuré -
Après l'accès de l'utilisateur, le commutateur apprendra toujours le MAC de l'utilisateur de manière dynamique.
Ruijie#afficher l'adresse de sécurité du port
Adresse Mac du Vlan Type d'adresse IP Port Âge restant (min.)
---- --------------- ------------------------------- --------- ---------- -------- -------------
1 1414.4b19.ecc1 Dynamique Fa0/1 -
1 1414.4b19.ecc1 192.168.1.1 Fa0/1 configuré -
Si vous souhaitez activer la liaison IP+MAC ou uniquement la liaison MAC pour prendre effet, vous devez d'abord laisser le port apprendre l'adresse MAC de l'utilisateur en toute sécurité. Par exemple, si les paramètres suivants sont définis, les utilisateurs de 192.168.1.2 ne pourront pas accéder à Internet :
interface GigabitEthernet 0/1
switchport port-sécurité adresse mac 1414.4b19.0000 vlan 1
liaison de sécurité du port switchport 1414.4b19.ecc1 vlan 1 192.168.1.2
sécurité du port switchport maximum 1
sécurité du port switchport
La raison en est que le nombre maximum autorisé d'adresses MAC est de 1 et qu'une adresse de 1414.4b19.0000 a été liée, de sorte que la sécurité du port ne peut pas apprendre l'adresse MAC et que la liaison IP+MAC (ou IP) de la sécurité du port doit être appris en premier à l'adresse MAC sécurisée du port, de sorte que les utilisateurs de 192.168.1.2 ne peuvent pas être libérés. Si vous souhaitez permettre à l'utilisateur d'accéder à Internet, vous pouvez y parvenir en liant le MAC de l'utilisateur :
interface GigabitEthernet 0/1
switchport port-sécurité adresse mac 1414.4b19.ecc1 vlan 1
switchport port-sécurité adresse mac 1414.4b19.0000 vlan 1
liaison de sécurité du port switchport 1414.4b19.ecc1 vlan 1 192.168.1.2
sécurité du port switchport maximum 2
sécurité du port switchport
Résumé : Si la liaison MAC ou IP+MAC est configurée, les conditions de liaison MAC de sécurité du port doivent également être remplies.
3. Si la sécurité du port (liaison MAC du port) est définie pour certains ports, mais que la sécurité du port n'est pas définie pour certains ports, par exemple, l'utilisateur qui a défini la liaison de sécurité du port pour le port 1 est PC1 et les autres ports ne sont pas définis. pour la sécurité portuaire. Ensuite, le PC1 peut accéder à Internet lorsqu'il est branché sur le port 1, mais il ne peut pas accéder à Internet lorsqu'il est branché sur d'autres ports.
4. Si certains ports du commutateur sont configurés avec la sécurité des ports (port IP+MAC ou liaison IP), mais que certains ports ne sont pas configurés avec la sécurité des ports. Ensuite, le PC1 peut accéder à Internet lorsqu'il est branché sur le port 1, et il peut également accéder à Internet lorsqu'il est branché sur d'autres ports. C'est-à-dire que la liaison de l'adresse MAC de sécurité du port est le facteur clé qui détermine l'accès de l'utilisateur.