Как можно ограничить доступ к локальной сети (ЛВС) на устройстве S2965-48T при подключении неизвестного устройства?

Для ограничения доступа неизвестных устройств к локальной сети на коммутаторе S2965-48T можно использовать функцию портовой безопасности (port security) с использованием мак-адреса.

Вот как это можно сделать:

1. Подключите устройство к коммутатору.
2. Определите порт, к которому подключено неизвестное устройство.
3. Установите максимальное количество разрешенных мак-адресов на порту коммутатора с помощью команды:

```
Switch(config)# interface <название интерфейса>
Switch(config-if)# switchport port-security maximum <количество>
```

Например:

```
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport port-security maximum 1
```

Это ограничит количество разрешенных мак-адресов на порту до одного.

4. Включите портовую безопасность на порту коммутатора с помощью команды:

```
Switch(config)# interface <название интерфейса>
Switch(config-if)# switchport port-security
```

Например:

```
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport port-security
```

5. Настройте действие, которое будет выполняться при обнаружении нарушения безопасности, с помощью команды:

```
Switch(config)# interface <название интерфейса>
Switch(config-if)# switchport port-security violation <действие>
```

Доступны следующие действия:

- `shutdown`: отключить порт, на котором обнаружено нарушение
- `protect`: не отправлять пакеты с неизвестными мак-адресами, но не отключать порт
- `restrict`: не отправлять пакеты с неизвестными мак-адресами и отправлять уведомление об нарушении
- `shutdown vlan`: отключить порт и поместить его в заданное влан

Например:

```
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport port-security violation restrict
```

В этом примере, при обнаружении неизвестного мак-адреса на порту, коммутатор не отправит пакеты на этот адрес и отправит уведомление об нарушении.

6. Не забудьте сохранить конфигурацию коммутатора с помощью команды:

```
Switch# copy running-config startup-config
```

Теперь, если на порту коммутатора будет обнаружено неизвестное устройство, оно будет ограничено в доступе к локальной сети.

Внедрить стандарт 802.1X 

 Включить функцию port-security на порту или портах. Инструкция по настройке находится на странице 82 документации по коммутатору [ссылка]. Однако, если коммутация проводится часто, следует позаботиться об облегчении работы администратору. Учитывая возможность подмены MAC-адреса, эффективность этого решения может вызвать сомнения. Возможно, стоит рассмотреть вариант построения VLAN на основе MAC-адресов (страница 122), чтобы облегчить перемещение легальных пользователей.

внедрение стандарта 802.1X: Рекомендуется активировать порт-безопасность на соответствующих портах. Подробности можно найти на странице 82 документации по коммутатору: [ссылка].

Регулярно меняемая коммутация может усложнить работу администратору, поэтому рекомендуется изучить возможность использования VLAN на основе MAC-адресов. Это позволит легальным пользователям более безопасно перемещаться. Подробности можно найти на странице 122 документации по коммутатору: [ссылка].