Функция Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определёнными устройствами. Устройства, которым разрешено подключаться к порту определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым, ограничивая количество подключаемых к нему узлов.

Существует два режима работы функции Port Security:

Изученные портом с включенной функцией Port Security адреса называются безопасными МАС-адресами.

 

Если на порту достигнуто максимальное количество изученных безопасных MAC-адресов и рабочая станция с MAC-адресом неизвестным порту попытается получить к нему доступ, происходит нарушение безопасности. Их количество подсчитывается и хранится в счетчике нарушений безопасности (violation count).

 

При изменении режима работы функции Port Security на порту счетчик нарушений безопасности будет очищен, а записи с безопасными МАС-адресами, ранее занесенные в таблицу коммутации как постоянные будут преобразованы в динамические. Когда функция Port Security на порту отключается (disable), все записи с безопасными МАС-адресами удаляются вместе со счетчиками нарушений безопасности. При изменении конфигурации соответствующей VLAN динамические записи с безопасными МАС-адресами удаляются.

 

При увеличении ранее настроенного на порту значения максимального количества изучаемых адресов, уже изученные МАС-адреса останутся неизменными. При уменьшении ранее настроенного на порту значения максимального количества изучаемых адресов, команда отклоняется.

 

Нарушение безопасности происходит при превышении максимального числа MAC-адресов, изученных портом с функцией Port Security. Если оно произошло, порт может выполнить одно из следующих действий:

Функция Port Security оказывается весьма полезной при построении домовых сетей, сетей провайдеров Интернет и локальных сетей с повышенным требованием по безопасности, где требуется исключить доступ незарегистрированных рабочих станций к услугам сети.

 

 

 

Рассматриваемый пример настройки подходит для следующих серий коммутаторов: DGS-1250, DGS-1510, DGS-1520, DGS-3130, DGS-3630, DXS-3610.

 

В локальной сети требуется запретить  подключение дополнительных  рабочих станций через самовольно установленные коммутаторы и/или точки доступа. Для этого надо ограничить количество изучаемых портом коммутатора адресов одним МАС-адресом.

Решается эта задача при помощи функции Port Security.

 

Схема сети представлена на рисунке 1.

Подключенный к порту 1/0/2 управляемого коммутатора ПК 1 получит доступ к сети. ПК 2 и ПК 3 подключены к порту 1/0/18 управляемого коммутатора через неуправляемый коммутатор. Доступ к сети в один момент времени получит только один из них.

 

Рисунок 1. Схема подключения

 

 

В локальной сети требуется исключить доступ незарегистрированных рабочих станций к услугам сети. Для этого нужно запретить динамическое изучение МАС-адресов указанными или всеми портами коммутатора. В этом случае доступ к сети получат только те рабочие станции, МАС-адреса которых указаны в статической таблице коммутации.

 

Решается эта задача при помощи функции Port Security.

Схема сети представлена на рисунке 2.

 

Для ПК 1 и ПК 2 создаются статические записи в таблице МАС-адресов коммутатора. Динамическое изучение коммутатором МАС-адресов отключается для портов 1/0/1-24. При подключении к коммутатору новых рабочих станций в будущем, в таблице коммутации потребуется создать статические записи для них.

 

Рисунок 2. Схема подключения