Как обезопасить коммутатор: Private VLAN и порт‑безопасность
Узнайте, как использовать Private VLAN, port‑security, DAI и 802.1X для защиты коммутатора. Пошаговое руководство по настройке и усилению безопасности.
Как можно максимально обезопасить коммутатор?
-
Какой уровень коммутатора необходим, чтобы реализовать следующую схему:
- Устройства, подключённые к портам 1–5, видели только порт 6, но не видели друг друга.
- Порт 6 видел все остальные порты.
-
Если устройство отключено от порта, как усложнить подключение нового устройства (например, защита по MAC)? Какие ещё варианты существуют?
Устройства 1–5 – порт 6 – публичный доступ
Краткий ответ
Для реализации схемы «устройства 1–5 видят только порт 6, но не друг друга, а порт 6 видит всех» нужен коммутатор, поддерживающий Private VLAN (PVLAN) со способностью создавать isolated и promiscuous порты. После конфигурации PVLAN порт 6 становится promiscuous (видит всё), а порты 1–5 – isolated (видят только promiscuous). Для усиления безопасности можно дополнить port‑security, динамическое ограничение по MAC, dynamic ARP inspection и 802.1X‑аутентификацию.
Содержание
- Уровень коммутатора и реализация схемы
- Усложнение подключения новых устройств
- Другие варианты защиты
Уровень коммутатора и реализация схемы
Что требуется от коммутатора
| Функция | Как реализуется | Пример оборудования |
|---|---|---|
| Private VLAN (PVLAN) | Создание изолированных (isolated) и промискуитетных (promiscuous) портов | Cisco Catalyst 2960‑X, 3560‑X, 3750‑X, Juniper EX series |
| VLAN‑переадресация | Конфигурация VLAN‑ов и привязка портов | Любой коммутатор уровня 2+ |
| Port‑Security | Ограничение количества MAC‑адресов, защита от spoofing | Встроено в большинство коммутаторов |
Как настроить
- Создайте основной VLAN (например, VLAN 10).
- Создайте Private VLAN внутри VLAN 10 – один promiscuous (порт 6) и несколько isolated (порты 1–5).
- Назначьте порты:
- Порт 6:
switchport mode private-vlan promiscuous - Порты 1–5:
switchport mode private-vlan isolated
- Порт 6:
- Настройте порт‑security для портов 1–5, чтобы допустить только один MAC‑адрес и отключать порт при нарушении.
Пример Cisco‑конфигурации
vlan 10
private-vlan 10 isolated 1-5
private-vlan 10 promiscuous 6
!
interface range GigabitEthernet0/1-5
switchport mode private-vlan isolated
switchport private-vlan association 10
switchport port-security maximum 1
switchport port-security violation shutdown
!
interface GigabitEthernet0/6
switchport mode private-vlan promiscuous
switchport private-vlan association 10
Сведения о команде можно найти в официальной документации Cisco по Private VLAN (см. Private VLAN – Cisco).
Усложнение подключения новых устройств
1. Port‑Security (защита по MAC)
- Максимальное количество MAC‑адресов: ограничьте до 1, чтобы предотвратить «MAC‑спуфинг».
- Поведение при нарушении:
shutdown,restrictилиprotect. - Периодически проверяйте таблицу MAC‑ов, чтобы убедиться, что на порту нет «подозрительных» адресов.
2. Dynamic ARP Inspection (DAI)
- Проверка ARP‑сообщений: только разрешенные MAC‑адреса могут обращаться к IP‑адресу.
- Требует таблицы DHCP snooping (или статической привязки).
- Пример Cisco‑конфигурации:
ip arp inspection vlan 10.
3. 802.1X (Аутентификация по MAC/802.1X)
- Пользовательская аутентификация через RADIUS/Fortigate и т.д.
- Позволяет запретить подключение незарегистрированного устройства.
- Включить:
dot1x system-auth-controlи настроитьauthentication port-control auto.
4. MAC‑таблица с автозаполнением
- Использовать static MAC‑entries для доверенных устройств, а остальные – dynamic.
- При появлении непредвиденного MAC‑адреса можно отключать порт.
5. VLAN‑префиксирование и разнесение
- Если на коммутаторе много клиентов, можно разделить их на отдельные VLAN‑ы, чтобы ограничить доступ только к нужным портам.
Другие варианты защиты
| Механизм | Как работает | Плюсы | Минусы |
|---|---|---|---|
| MAC‑таблица с ограничением | Список разрешенных MAC‑адресов в конфиге | Простая настройка | Не защищает от spoofing больших списков |
| DHCP Snooping | Фильтрация DHCP‑сообщений, создание таблицы доверенных адресов | Защита от spoofing | Требует отдельной настройки |
| Port‑Based Access Control Lists (ACL) | Ограничение трафика на уровне портов | Гибкая фильтрация | Не защищает от MAC‑spoofing |
| 802.1X с EAP‑TTLS, PEAP | Аутентификация с сертификатами | Высокая безопасность | Сложнее в настройке |
| Network Access Control (NAC) | Полное управление доступом к сети | Полный контроль | Требует дополнительного ПО |
Ссылки на источники
- Официальная документация Cisco по Private VLAN (см. Private VLAN – Cisco)
- Руководство Juniper по Private VLAN (см. Juniper Private VLAN)
- Архитектура 802.1X (см. 802.1X – IEEE)
- Документация Cisco по Dynamic ARP Inspection (см. Dynamic ARP Inspection – Cisco)
Заключение
- Для схемы «порты 1–5 видят только порт 6» нужен коммутатор с поддержкой Private VLAN.
- Порт 6 ставится в режим promiscuous, порты 1–5 – в режим isolated.
- Дополнительно применяйте port‑security, DAI, 802.1X и static MAC‑entries для усиления защиты.
- Если устройство отключено, можно использовать MAC‑таблицу с ограничением, DHCP snooping и NAC для усложнения подключения новых устройств.
Эти меры обеспечат высокий уровень безопасности коммутатора и защитят сеть от неавторизованного доступа.