CCIE за год. Цикл 3. Тема 18. Вопросы.

1. По какому принципу работает port-security?

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

2. Что является целью port-security?

Используется для предотвращения:

  • несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
  • атак направленных на переполнение таблицы коммутации.
3. Опишите режимы реагирования на нарушения? Дайте их полные характеристики.

shutdown (по умолчанию) — При нарушении порт переходит в error-disabled, отсылается SNMP trap и syslog message, счетчик нарушений увеличивается
protect — Когда количество MAC-адресов достигает максимального предела разрешенных на порту — пакеты с неизвестными адресами источника отбрасываются. Нотификации не происходит.
restrict — Когда количество MAC-адресов достигает максимального предела разрешенных на порту — пакеты с неизвестными адресами источника отбрасываются.Отсылается SNMP trap и syslog message, счетчик нарушений увеличивается

4. Какой командой можно посмотреть характеристики интерфейса port-security?

show port-security

5. К каким интерфейсам можно подключить port-security?

Trunk port, SPAN source port, EtherChannel, Tunneling port, Protected port, IEEE 802.1x port, Voice VLAN port, IP source guard,

6. Сколько мак-адресов по умолчанию включены в port-security? Какой командой это можно проверить?

Максимальное количество безопасных MAC-адресов на порту — 1

show port-security interface [intf]

7. Какие есть режимы Secure Mac адресов. Дайте их характеристики.
  • Статические MAC-адреса:
    задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
    хранятся в таблице адресов,
    добавляются в текущую конфигурацию коммутатора;
  • Динамические MAC-адреса:
    динамически выучиваются,
    хранятся только в таблице адресов,
    удаляются при перезагрузке коммутатора;
  • Sticky MAC-адреса:
    могут быть статически настроены или динамически выучены,
    хранятся в таблице адресов,
    добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.
8. Дайте характеристики ограничения на транковых портах в port-security.

Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.

9. Дать характеристику error disable режиму порта.

Если в конфигурации отображается порт, который должен быть включен, но программное обеспечение на коммутаторе обнаружило порт в состояние ошибки, то программное обеспечение отключит этот порт. Другими словами, порт автоматически отключается операционной системой коммутатора, так как порт обнаружен в состоянии ошибки. Функция отключения из-за ошибки решает две задачи: Она позволяет администраторам знать, когда и где возникла проблема с портом;Она исключает возможность того, что данный порт может вызвать сбой других портов модуля (или всего модуля).
Интерфейс может перейти в состояние «errdisabled» по различным причинам. Среди таких причин могут быть следующие:

  • Несоответствие дуплексных режимов
  • неправильная конфигурация каналов портов
  • нарушение защиты BPDU
  • состояние обнаружения однонаправленной связи (UDLD)
  • обнаружение поздних конфликтов
  • обнаружение переброски канала
  • нарушение безопасности
  • переброска по протоколу агрегации портов (PAgP)
  • защита протокола туннелирования уровня 2 (L2TP)
  • ограничение скорости DHCP-отслеживания
  • неисправный модуль GBIC, подключаемый модуль малого форм-фактора (SFP) или кабель
  • проверка протокола ARP
  • встроенное питание
10. Какие проблемы могут возникнуть при настройке port-security на маршрутизаторах (HSRP, VRRP, GLBP)? Как их избежать?

HSRP, VRRP, GLBP используют виртуальные MAC адреса. Решения: использовать «физические» MAC адреса (standby use-bia) или разрешить виртуальные MAC адреса.

11. Дать характеристику для Storm Control.

Storm Control отслеживает пакеты проходящие от интерфейса к шине коммутации и определяет является ли пакет unicast, multicast или broadcast. Коммутатор подсчитывает количество пакетов заданного типа полученных в течение 1-секундного интервала времени и сравнивает измерения с предварительно установленным уровнем порога. Порт блокирует трафик когда будет достигнут порог. Порт остается заблокированным до тех пор, пока скорость не упадет ниже нижнего порога (если он указан). Если нижний порого не указан, коммутатор блокирует весь трафик до тех пор, пока скорость не упадет ниже верхнего порога.

12. Какая команда используется для настройки Storm Control?

storm-control { broadcast | multicast | unicast } level { level [ level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ]}