DAS3_Přepínání na linkové vrstvě
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
Rozhodování o předávání a filtrování
Když je na rozhraní přepínače doručen rámec, je cílová adresa porovnávána s databází MAC adres pro předávání a filtrování.
Jestliže je cílová hardwarová adresa známa a uvedena v databázi, je rámec odeslán pouze ze správného výstupního rozhraní. Přepínač nevysílá rámec z žádného rozhraní s výjimkou cílového rozhraní.
Tímto způsobem, který se označuje jako filtrování rámců (frame filtering), se šetří šířka pásma v jiných síťových segmentech.
Pokud však cílová hardwarová adresa není v databázi MAC adres uvedena, je rámec hromadně odeslán ze všech aktivních rozhraní kromě toho rozhraní, na kterém byl přijat. Jestliže zařízení na hromadně odeslaný rámec odpoví, je databáze MAC adres aktualizována s použitím umístění zařízení (rozhraní).
Podívejme se nyní na výstup příkazu: show mac address-table
Zabezpečení portů
Jak lze tabulku MAC adres zabezpečit před neautorizovanými uživateli?
MAC adresy se ve výchozím nastavení dynamicky objevují v databázi MAC adres pro předávání a filtrování.
Toto automatické přidávání je možné nastavit pomocí zabezpečení portů.
K dispozici jsou následující možnosti:
Switch#config t
Switch(config)#int f0/1
Switch(config-if)#switchport port-security ?
againPort-security again commands
mac-address Secure mac address
maximum Max secure address
violation Security violation mode
<cr>
Z předchozího výstupu je jasně patrné, že příkaz switchport port-security lze použít se čtyřmi možnostmi.
Příkaz port-security je výhodný tím, že umožňuje snadno kontrolovat uživatele v síti.
Pomocí příkazu switchport port-security macaddress MAC_adresa lze přiřazovat jednotlivé MAC adresy každému portu přepínače.
Pokud se však rozhodneme pro toto řešení, musíme mít spoustu volného času.
Chceme-li nastavit port přepínače tak, aby umožňoval připojení pouze jediného hostitele, a v případě porušení tohoto pravidla se vypnul, zadáme následující příkazy:
Switch#config t
Switch(config)#int f0/1
Switch(congif-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Nastavení parametru maximum na hodnotu 1 znamená, že lze u daného portu použít pouze jednu MAC adresu. Jestliže se uživatel pokusí v příslušném segmentu přidat další hostitelské zařízení, přepínač se vypne.
V tomto případě musíme přejít k tomuto přepínači a ručně port povolit příkazem no shutdown.
Mezi velmi praktické příkazy patří parametr sticky. Parametr je dostupný v rámci příkazu mac-address:
Switch(congif-if)#switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)#switchport port-security violation shutdown
V zásadě tím získáme statické zabezpečení MAC adres, aniž by bylo nutné zadávat všechny MAC adresy, které se v síti používají.
V tomto příkladu se první dvě MAC adresy zachytí (stick) jako statické a jejich záznam zůstane v platnosti tak dlouho, jak nastavíme příkaz stárnutí.
Proč je zde nastavena hodnota 2?
Jedna adresa je totiž pro PC/data a jedna pro telefon. Tento typ konfigurace si popíšeme u kapitoly VLAN.