Статичний

МАС-адреси призначаються вручну, використовуючи команду налаштування інтерфейсу

switchport port-security mac-address <mac-адрес>.

Статичні MAC-адреси зберігаються в таблиці адрес і додаються в поточну конфігурацію.

Динамічний

Динамічно отримані відомості про MAC-адреси зберігаються в таблиці адрес. Кількість отриманих адрес можна контролювати. За замовчуванням на один порт може бути отримано не більше одного МАС-адреси. Отримані адреси видаляються з таблиці при вимиканні порта або при перезапуску комутатора.

Зв'язаний

Аналогічний динамічному, за винятком того, що адреси зберігаються ще й в поточну конфігурацію.

За замовчуванням безпека порта відключена. Якщо включити функцію безпеки порта, це призведе до несправності при відключенні порту. Наприклад, якщо включити функцію безпеки порта в динамічному режимі і на один порт може бути отримано не більше однієї МАС-адреси, то перший отриманий адрес стає безпечним. Якщо інша робоча станція спробує одержати доступ до порту з іншою МАС-адресою, то відбудеться порушення безпеки.

Щоб можна було активувати функцію безпеки порту, необхідно перевести порт у режим доступу за допомогою команди switchport mode access.

Для перевірки налаштувань безпеки порта для комутатора або заданого інтерфейсу, скористайтеся командою show port-security interface interface-id. На екрані відобразяться наступні вихідні дані:

· Максимально допустима кількість безпечних МАС-адрес для кожного інтерфейсу

· Кількість безпечних МАС-адрес даного інтерфейсу

· Кількість порушень безпеки

· Режим порушення безпеки

Крім цього, при введенні команди show port-security address відображаються безпечні МАС-адреси для всіх портів, а при введенні команди show port-security відображаються настройки безпеки порта для комутатора.

Якщо включена функція безпеки порта для статичного або зв'язаного режиму, то можна використовувати команду show running-config для перегляду МАС-адрес, пов'язаних з конкретним портом. Існує три способи видалення отриманої МАС-адреси, яка була збережена в поточній конфігурації:

ü Для видалення всіх отриманих адрес слід використовувати команду clear port-security sticky interface <№ порту> access. Потім слід вимкнути порт, ввівши команду shutdown. Нарешті, потрібно знову включити порт за допомогою команди no shutdown.

ü Для відключення режиму безпеки порту слід ввести з інтерфейсу команду no switchport port-security. Після відключення знов включите режим безпеки порту.

ü Перезавантажте комутатор

Комутатор буде перезавантажуватися тільки в тому випадку, якщо поточна конфігурація не збережена у файл початковій конфігурації. Якщо ж поточна конфігурація була збережена у файл початковій конфігурації, то це виключає для комутатора можливість повторного отримання адрес при перезавантаженні системи. Однак отримані MAC-адреси будуть завжди пов'язані з конкретним портом до тих пір, поки не буде проведена очистка порту за допомогою команди clear port-security або не буде відключений режим безпеки порту. Якщо це буде зроблено, не забудьте перезберегти поточну конфігурацію в файл початковій конфігурації, щоб комутатор після перезавантаження не почав використовувати вихідні МАС-адреси.

Якщо на комутаторі є невикористовувані порти, рекомендується відключити їх. Відключення портів на комутаторі виконується просто. Переходячи до кожного невикористовуваного порта, слід ввести команду shutdown. Якщо потім треба буде активувати цей порт, введіть команду no shutdown за допомогою відповідного інтерфейсу.

Крім включення режиму безпеки порту і відключення невикористовуваних портів, існують інші настройки безпеки комутатора, які дозволяють встановлювати паролі на порти vty, застосовувати банери входу в систему і зашифровувати паролі за допомогою команди service password-encryption.

Протокол знаходження пристроїв Cisco

Протокол виявлення пристроїв Cisco (CDP) - це засіб збору інформації, використовуваний комутатором, ISR або маршрутизатором для обміну даними з іншими безпосередньо підключеними пристроями Cisco. За замовчуванням CDP починає працювати при завантаженні пристрою. Потім цей засіб періодично відправляє підключеним пристроям повідомлення, відомі як оголошення CDP.

CDP працює тільки на рівні 2. Його можна використовувати в різних типах локальних мережах, включаючи Ethernet і послідовні мережі. Протокол рівня 2 дозволяє визначити статус безпосередньо підключеного каналу за відсутності IP-адреси або при неправильному налаштуванні адреси.

Два пристрої Cisco, безпосередньо підключені до однієї і тієї ж локальної мережі, називаються сусідніми. Концепція сусідніх пристроїв важлива для розуміння вихідних даних команд CDP.

CDP збирає наступну інформацію:

Ø Ідентифікатори пристроїв - задані імена вузлів

Ø Список адрес - адреси рівня 3, якщо вони налаштовані

Ø Ідентифікатор порту - безпосередньо підключений порт, наприклад, послідовний порт 0/0/0

Ø Список функцій - одна або декілька функцій, які виконуються пристроєм

Ø Платформа - апаратна платформа пристрою, наприклад, Cisco 1841

Для перегляду інформації, зібраної CDP, не потрібно вхід на віддалені пристрої. Оскільки CDP збирає і відображає багато інформації про безпосередньо підключених сусідніх пристроїв, не заходячи на них, в мережах виробничих підприємств його зазвичай відключають в цілях безпеки. Крім того, CDP використовує частину смуги пропускання і може впливати на продуктивність мережі.