Sieci komputerowe | 19. Przełącznik TP-Link

Port Security

Damian Stelmach

Wstępna konfiguracja przełącznika juz za nami. Teraz możemy już spokojnie zająć się kolejnymi funkcjonalnościami jakie oferuje sprzęt marki TP-LINK. O tym, że bezpieczeństwo sieci powinno być dla każdego administratora priorytetem w dzisiejszych czasach nie trzeba nikogo specjalnie przekonywać. Nowoczesne urządzenia sieciowe, w tym oczywiście przełączniki, oferują szereg funkcji, które ułatwią zapewnienie takiego bezpieczeństwa. Jedną z takich funkcji jest właśnie Port Security, który pozwala tak skonfigurować poszczególne porty przełącznika, aby te obsługiwały tylko jeden, określony adres fizyczny karty sieciowej czyli adres MAC. Dzięki temu, tylko zaufane w sieci komputery mogą być obsługiwane przez przełącznik. Podłączenie do portu innego urządzenia, innego komputera z kartą sieciową o innym adresie MAC niż ten przypisany do portu spowoduje, że port ten zostanie zablokowany i przełącznik nie będzie obsługiwał na nim ruchu sieciowego. Pozwoli to uniknąć sytuacji, w której obca osoba, haker podłącza się do naszej sieci swoim, niezaufanym komputerem i dokonuje spustoszenia. Aby taką funkcje na przełączniku TP-LINK zrealizować:

Korzystając z interfejsu WWW przechodzimy do pozycji Switching w menu, następnie wybieramy Port i przechodzimy do zakładki Port Security:

Zaznaczamy porty dla których chcemy skonfigurować funkcjonalność i dalej w sekcji Max Learned MAC wprowadzamy wartość 1. Następnie Learn Mode ustawaimy na Permanent, a Status na Drop. Permanent oznacza, że adres MAC komputera podłączonego do tego portu zostanie zapamiętany przez przełącznik nawet po jego restarcie, a Status: Drop oznacza, że ramka z innym źródłowym adresem MAC niż zapamiętany zostanie odrzucona. Po dokonaniu odpowiednich zmian klikamy Apply w celu ich zapisania:

Po krótkiej chwili aktywności komputerów w sieci, przełącznik zapisze w swojej pamięci adresy MAC komputerów podłączonych do skonfigurowanych przed chwilą portów. Widoczne to będzie w sekcji Learned Num:

Korzystając z CLI (uruchamianego poprzez Telnet lub SSH) wydajemy następujące polecenia:

• T1600G-18TS> enable
• T1600G-18TS# configure
• T1600G-18TS(config)# interface range gigabitEthernet 1/0/1-2
• T1600G-18TS(config-if-range)# mac address-table max-mac-count max-number 1 mode permanent status drop

Pierwsze polecenie to przejście do trybu uprzywilejowanego, następne to przejście do trybu konfiguracji. Polecenie interface range gigabitEthernet 1/0/1-2 uruchamia zbiorczą konfigurację portów 1 i 2. Ostatnie polecenie, czyli mac address-table max-mac-count max-number 1 mode permanent status drop uruchamia obsługę tylko jednego adresu MAC dla portów 1 i 2:

Jeśli jedna ze stacji podłączonych do portów 1 i 2 prześle jakieś dane w sieci, to wówczas przełącznik zapamięta jej adres MAC, a w konsoli CLI pojawi się odpowiedni komunikat:

Status konfiguracji Port Security dla poszczególnych portów można sprawdzić wydając w trybie konfiguracji interfejsów polecenie: show mac address-table max-mac-count interface gigabitEthernet 1/0/1 – gdzie 1/0/1 to numer portu: