Portbiztonság
Minden portot (interfészt) védeni kell, mielőtt a kapcsolót a végleges környezetébe telepítenénk. Az egyik biztonsági módszer a portok védelmére az úgynevezett portbiztonság funkció, mely fizikai interfészenként korlátozza az engedélyezett MAC-címek számát. A szabályosan üzemelő eszközök MAC-címeiről engedélyezi a hozzáférést, míg a többi MAC-címről letiltja azt.
A portbiztonságot egy vagy több MAC-cím számára is be lehet állítani. Ha a porton egyetlen engedélyezett MAC-cím van, akkor kizárólag csak csak a meghatározott MAC-című eszköz kapcsolódhat a portra.
Ha a portbiztonság be van állítva és az engedélyezett MAC-című gépek már kapcsolódtak erra a portra, akkor bármilyen más, idegen MAC-címről érkező csatlakozási kísérlet a biztonsági szabályok megsértését vonja maga után. Az 1. ábrán a legfontosabb megvalósítási elveket láthatjuk.
MAC-cím védelem típusai
A portbiztonságot többféle módon is be lehet állítani, melyek a következők:
- Statikus MAC-cím védelem - A MAC-címeket manuálisan állítjuk be a portokon a switchport port-security mac-address MAC-cím interfész konfigurációs paranccsal. A statikusan beállított MAC-címeket a címtábla és az aktív konfiguráció is tárolja.
- Dinamikus MAC-cím védelem - A MAC-címek megtanulása ebben az esetben dinamikusan történik, ezeket címeket csak a címtábla tárolja. A táblában levő MAC-címek a kapcsoló újraindulásakor törlődnek.
- Sticky MAC-cím védelem - Azokat a címeket soroljuk ide, amelyeket dinamikusan tanult meg a kapcsoló, de nem csak a címtáblában tárolja el, hanem hozzáadja az aktív konfigurációhoz is.
Sticky MAC-cím védelem
Annak érdekében, hogy az interfész a dinamikusan tanult címeket átalakítsa "sticky" címekké és elhelyezze az aktív konfigurációban, portonként engedélyeznünk kell ezt a funkciót a switchport port-security mac-address sticky interfész konfigurációs paranccsal.
A parancs kiadásával a kapcsoló átalakítja az összes dinamikusan megtanult MAC-címet "sticky" MAC-címmé. Minden ilyen MAC-cím bekerül a címtáblába és az aktív konfigurációba is (a konfigurációhoz ragasztja ezeket a címeket).
"Ragadós" MAC-címeket manuálisan is beállíthatunk a switchport port-security mac-address sticky MAC-cím interfész konfigurációs paranccsal. Ekkor az összes megadott cím eltárolásra kerül a címtáblában és az aktív konfigurációban.
Ha a "sticky" MAC-címeket elmentjük az indító konfigurációs állományba, akkor újrainduláskor vagy az interfész letiltásakor a kapcsolónak nem kell ismételten megtanulnia ezeket a címeket. Amennyiben a biztonságos címeket nem mentjük el, azok ilyenkor elvesznek.
Ha a funkciót letiltjuk a no switchport port-security mac-address sticky interfész konfigurációs paranccsal, a már megtanult címek megmaradnak a címtáblában, de az aktív konfigurációból kitörlődnek.
A 2. ábrán a "sticky" MAC-címek sajátosságai láthatók.
Ne felejtsük, hogy a fenti portbiztonsági utasítások addig nem érvényesek, amíg a switchport port-security paranccsal magát a portbiztonságot nem engedélyezzük!