Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт. Используется для предотвращения:

• Несанкционированной смены MAC-адреса сетевого устройства или подключения к сети
• Атак направленных на переполнение таблицы коммутации.

Для защиты от атак необходимо выполнить следующие настройки:

сatalyst_3560(config)#interface fa 0/1

По умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security.

Поэтому интерфейс надо перевести в режим trunk или access:

сatalyst_3560(config-if)#switchport mode access

Максимальное количество безопасных MAC-адресов:

catalyst_3560(config-if)#switchport port-security maximum 1
catalyst_3560(config-if)#switchport port-security mac-address sticky/H.H.H

где sticky - коммутатор сам анализирует и запоминает MAC - адрес (остается после перезагрузки), H.H.H - администратор вручную вносит MAC - адрес компьютера (остается после перезагрузки)

Режимы реагирования на нарушения безопасности:

catalyst_3560(config-if)#switchport port-security violation protect/restrict/shutdown

где protect - будет отбрасывать пакеты, restrict - тоже что и первый только с занесением события в журнал, shutdown - просто выключит порт и внесет событие в журнал

Включение/выключение port-security:

catalyst_3560(config-if)#switchport port-security/no switchport port-security

Просмотр информации о настройках port security:

сatalyst_3560#show port-security

Очистить таблицу MAC адресов, для подключения других устройств можно:

сatalyst_3560#clear port-security all/configured/dynamic/sticky

Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду shutdown и no shutdown.