Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт. Используется для предотвращения:
– Несанкционированной смены MAC-адреса сетевого устройства или подключения к сети
– Атак направленных на переполнение таблицы коммутации.
Для защиты серверов от атак необходимо выполнить следующие настройки:
DES-3500:admin# config port_security ports <portlist> admin_state enable/disable max_learning_addr <max_lock_no 0-64> lock_address_mode Permanent Permanent/DeleteOnTimeout/DeleteOnReset, где :
1)Admin State – Данное выпадающее меню позволяет включить/выключить функцию Port Security (закрывает таблицу МАС-адресов для помеченного порта).
2)Max. Learning Addr. (0-64) – Допустимое количество МАС-адресов в таблице Коммутатора для выбранной группы портов.
3)Lock Address Mode - Это выпадающее меню позволяет настроить режим работы таблицы блокировки МАС-адресов для выбранной группы портов:
- Permanent – заблокированные адреса не будут устаревать после истечения таймера.
- DeleteOnTimeout – заблокированные адреса будут устаревать после истечения таймера.
- DeleteOnReset – заблокированные адреса не будут устаревать до тех пор, пока Коммутатор не будет перегружен.