Tweet
1. Port Security
7.1 Tính dễ bị tổn thương
Những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch mộ cách tiềm tàng có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như: Username, Passord, những thông tin cấu hình và hệ thống trên mạng…
7.2 Giải Pháp
Port Security giới hạn số lượng của dịa chỉ MAC hợp lệ được cho phép trên Port. Tất cả những port trên Switch hoặc những interface nên được đảm bảo trước khi triển khai.Theo cách này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để thêm vào hoặc làm dài thêm những đặt tính 1 cách ngẫu nhiên hoặc là những kết quả bảo mật vốn dã có sẵn.
Nên nhớ rằng Port Security không sử dụng cho những Port access động hoặc port đích cho người phân tích Switch Port. Và cho đến khi đó Port security để bật tính năng Port trên Switch nhiều nhất có thể.
Ví dụ sau cho thấy dòng lệnh shutdonw một interface hoặc một mảng các interface:
Single interface:
Switch(config)# interface fastethernet 0/1
Switch(config-if)# shutdown
Range of interfaces:
Switch(config)# interface range fastethernet 0/2 - 8
Switch(config-if-range)# shutdown
Port Security có khả năng làm thay đổi sự phụ thuộc trên chế độ Switch và phiên bản IOS. Mỗi Port hoạt động có thể bị hạn chế bởi số lượng tối đa địa chỉ MAC với hành dộng lựa chọn cho bất kì sự vi phạm nào. Những vi phạm này có thể làm drop gói tin ( violation protect ) hoặc drop và gửi thông điệp (restrict or action trap) hoặc shutdown port hoàn toàn( violation shutdown or action shutdown). Shutdown là trạng thái mặc định , đảm bảo hầu hết protect và restrict cả hai đều yêu cầu theo dõi địa chỉ MAC mà nó đã được quan sát và phá huỷ tài nguyên xử lí hơn là shutdown. Địa chỉ MAC được thu thập một cách tự động với vài Switch hỗ trợ Entry tĩnh và
Sticky Entry. Entry tĩnh thì được cấu hình bằng tay để thêm vào trên mỗi port (e.g., switchport port-security mac- address mac- address) và được luư lại trong file cấu hình.. Sticky Entry đ ược xem như là Entry tĩnh, ngoại nó được học một cách tự động . Những Entry động tồn tại được chuyển sang Sticky Entry sau khi sử dụng câu lệnh (switchport port-security mac- address Stickey). Những Entry động cũ được luư lại trong file cấu hình (switchport port-security mac- address Stickey mac- address) n ếu file c ấu h ình d ược luư v à chạy th ì đ ịa ch ỉ MAC kh ông c ần h ọc l ại l ần n ữacho vi ệc restart l ần sau. V à c ũng v ậy m ột s ố l ư ợng t ối đa đ ịa ch ỉ MAC c ó th ể đ ư ợc c ài đ ặt b ằng c âu l ệnh sau(e.g.,switchport port-security maximun value) .
Người quản trị có thể bật tính năng cấu hình địa chỉ MAC tĩnh trên các port bằng cách sử dụng câu lệnh switchport port-security aging static. Lệnh aging time (e.g., switchport port-security aging time time) có thể đặt dưới dạng phút. Đồng thời dòng lệnh aging có thể đặt cho sự không hoạt động (e.g., switchport port-security aging type inactivity), điều này có nghĩa là độ tuổi các địa chỉ đó được cấu hình trên port ở ngoài nếu không có dữ liệu lưu thông từ những địa chỉ này cho khai báo từng phần bằng dòng lệnh aging time. Đặt tính này cho phép tiếp tục truy cập đến sô lượng những dịa chỉ giới hạn đó.
Ví dụ:
+ Những dòng lệnh sau dùng để giới hạn tĩnh một cổng trên Catalyst Switch 3550.
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 0000.0200.0088
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
+ Những dòng lệnh sau để giới hạn động một cổng trên Catalyst Switch 3550. Chú ý những dòng lệnh aging không được sử dụng với những địa chỉ sticky MAC.
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Chú ý khi có sự vi phạm port security xảy ra thì ngay lập tức nó sẽ trở thành trạng thái error-disable và đèn LED sẽ tắt. Switch cũng sẽ gửi một thông điệp SNMP trap, logs (syslog) và làm tăng lên sự phản đối của xâm nhập. Khi một port o trạng thái error-disable, người quản trị có thể đưa nó ra khỏi trạng thái này bằng cách sử dụng dòng lệnh ở chế độ toàn cục errdisable recovery cause psecure-violation hoặc dòng lệnh shutdown và no shutdown trên cổng được cấu hình.
Có một số vấn đề quan trọng phát sinh khi cấu hình port security trên port kết nối đến một IP phone. Mặt dù port security không được sử dụng trên Trunk port, địa chỉ MAC phản đối việc xem xét viec gán VLAN của gói tin đến. Cùng IP phone gửi gói tin ra 2 Vlan sẽ có 2 bảng entries được chia ra trong bảng MAC vì thế nó sẽ đếm 2 lần lên đến maximum MAC.
Khi IP Phone có thể sử dụng 2 gói tin không được gán vào (untagged, e.g., Layer 2 CDP protocol ) và gói tin Voice Vlan có gắn(tagged); địa chỉ MAC của IP Phone sẽ được thấy trên cả 2 native VLAN và Voice VLAN. Vì vậy nó sẽ được đếm 2 lần. Việc đặt tối đa địa chỉ MAC cho 1 port kết nối đến 1 IP Phone cho trường hợp nhiều máy tính tấn công vào IP Phone. Nhửng máy tình truyền hợp lệ sử dụng nhiều địa chỉ MAC phải đựơc cấu hình để tính toán.
Một khả năng mới để bảo đảm cho những port của Switch nhanh hơn và thích hộp hơn đó là macros. Macros cho phép nhóm những port sẵn sàng để mà những lệnh đó được chấp nhận bằng cấu hình tay. Bất kì dòng lệnh nào được thêm vào bẳng việc sử dụng kí tự “#” tại đấu mỗi dòng lệnh và kết thúc bởi kí tự”@”.
The following example creates a strict security macro called unused to secure the ports, or interfaces, on
a 3550 switch
Ví dụ sau đây tạo ra sự ngăn cản security macro gọi là unused để bảo đảm trên những port hoặc trên những interface trên Switch 3550.
Switch(config)# macro name unused
macro description unused
shutdown
description *** UNUSED Port ***
no ip address switchport
# Set secure defaults for access mode switchport mode access
switchport access vlan 999
switchport nonegotiate
# Set secure defaults for trunking mode switchport trunk encapsulation dot1q switchport trunk native vlan 999 switchport trunk allowed vlan none
# Only learn source MAC addresses switchport block multicast switchport block unicast
# Enable MAC control and set secure options
switchport port-security
switchport port-security maximum 1
switchport port-security aging time 10
switchport port-security aging type inactivity
# Apply any switch-wide access-lists
ip access-group ip-device-list in
mac access-group mac-device-list in
# Set secure defaults for misc. flags and protocols mls qos cos override
dot1x port-control force-unauthenticated
storm-control broadcast level 0.00 storm-control multicast level 0.00 storm-control unicast level 0.00
no cdp enable
# Default Spanning-tree to secure host settings spanning-tree portfast
spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root
@
Sau khi tạo sự găn cấm security macro, unused, áp đặt macro trên tất cả các port của Switch như sự bảo đảm ranh giới với các dòng lệnh sau.
Switch(config)# interface range fasteth0/1 – 24 , giga0/1 – 2
Switch(config-if-range)# macro apply unused
Sau khi macros được xây dựng tính bảo đảm dựa trên unused macro được thiết lập để bật tính năng bảo mật đủ dể hỗ trợ tất cả các hệ thống theo mong đợi..
Switch(config)# macro name host
# Apply macro 'unused' first!
macro description host
# Set the port for a PC host
dot1x port-control auto
no storm-control broadcast level no storm-control multicast level no storm-control unicast level
no shutdown
# The following are recommended port specific commands
#description Host <10.1.10.3>
#switchport access vlan <10>
#switchport trunk native vlan <10>
@
Switch(config)# macro name ipphone
# Apply macro 'unused' first!
macro description ipphone
#
# Set the port for an ipphone without attached PC host switchport port-security maximum 2
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
no storm-control broadcast level no storm-control multicast level no storm-control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1013>
#switchport voice vlan <101>
@
Switch(config)# macro name ipphone-host
# Apply macro 'unused' first!
macro description ipphone & host
#
# Set the port for an ipphone with attached PC host switchport port-security maximum 3
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
dot1x port-control auto
no storm-control broadcast level no storm-control multicast level no storm-control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1014> & HOST <10.1.20.5>
#switchport access vlan <20>
#switchport trunk native vlan <20>
#switchport voice vlan <101>
@
Việc chấp nhận những macros sẽ chỉ làm thay đổi đến tính bảo đảm ở những biên được yêu cấu cho những port hỗ trợ hoàn toàn những hệ thống thích hợp.
Ví dụ sau chỉ ra làm thế nào để dùng các macro lần trước để cấu hình cho những port access của những Switch từ những mô hình ví dụ cho mỗi hệ thống như: Host, Ip Phone và IP Phone với một cuộc tấn công host.
Host:
Switch(config)# interface fa0/1
Switch(config-if)# macro apply host
Switch(config-if)# description Host 10.1.10.3
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# exit
IP phone:
Switch(config)# interface range fa0/2 - 4
Switch(config-if-range)# macro apply ipphone
Switch(config-if-range)# switchport voice vlan 101
Switch(config-if-range)# exit
Switch(config)# interface fa0/2
Switch(config-if)# description IP PHONE x1011
Switch(config)# interface fa0/3
Switch(config)# description IP PHONE x1012
Switch(config)# interface fa0/4
Switch(config-if)# description IP PHONE x1013
Switch(config-if)# exit
IP phone with an attached host:
Switch(config)# interface fa0/5
Switch(config-if)# macro apply ipphone-host
Switch(config-if)# description IP PHONE x1014 & Host 10.1.20.5
Switch(config-if)# switchport access vlan 20
Switch(config-if)# switchport trunk native vlan 20
Switch(config-if)# switchport voice vlan 101
Switch(config-if)# exit
Người quản trị có thể sử dụng câu lệnh macro trace để thay thế cho câu lệnh macro apply bởi vì câu lệnh macro trace có thể xác định debugging cùa macros. Thường xuyên sử dụng show parser macro description để biết macro cuối cùng được áp lên mỗi port.
Cuối cùng địa chỉ MAC tĩnh và port security áp trên mỗi port của Switch có thể trở thành gánh nặng cho người quản trị. Port Access Control List (PACLs) có thể cung cấp khả năng bảo mật tương tự như địa chỉ MAC tĩnh và port security và PACLs cũng cung cấp nhiều tính năng linh động và điều khiển.việc cho phép địa chỉ MAC và địa chỉ IP có thể được chia và dược xem xét từ phía của một Switch mở rộng. Tham chiếu đến phần ALCs đễ biết thêm chi tiết.
7.1 Tính dễ bị tổn thương
Những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch mộ cách tiềm tàng có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như: Username, Passord, những thông tin cấu hình và hệ thống trên mạng…
7.2 Giải Pháp
Port Security giới hạn số lượng của dịa chỉ MAC hợp lệ được cho phép trên Port. Tất cả những port trên Switch hoặc những interface nên được đảm bảo trước khi triển khai.Theo cách này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để thêm vào hoặc làm dài thêm những đặt tính 1 cách ngẫu nhiên hoặc là những kết quả bảo mật vốn dã có sẵn.
Nên nhớ rằng Port Security không sử dụng cho những Port access động hoặc port đích cho người phân tích Switch Port. Và cho đến khi đó Port security để bật tính năng Port trên Switch nhiều nhất có thể.
Ví dụ sau cho thấy dòng lệnh shutdonw một interface hoặc một mảng các interface:
Single interface:
Switch(config)# interface fastethernet 0/1
Switch(config-if)# shutdown
Range of interfaces:
Switch(config)# interface range fastethernet 0/2 - 8
Switch(config-if-range)# shutdown
Port Security có khả năng làm thay đổi sự phụ thuộc trên chế độ Switch và phiên bản IOS. Mỗi Port hoạt động có thể bị hạn chế bởi số lượng tối đa địa chỉ MAC với hành dộng lựa chọn cho bất kì sự vi phạm nào. Những vi phạm này có thể làm drop gói tin ( violation protect ) hoặc drop và gửi thông điệp (restrict or action trap) hoặc shutdown port hoàn toàn( violation shutdown or action shutdown). Shutdown là trạng thái mặc định , đảm bảo hầu hết protect và restrict cả hai đều yêu cầu theo dõi địa chỉ MAC mà nó đã được quan sát và phá huỷ tài nguyên xử lí hơn là shutdown. Địa chỉ MAC được thu thập một cách tự động với vài Switch hỗ trợ Entry tĩnh và
Sticky Entry. Entry tĩnh thì được cấu hình bằng tay để thêm vào trên mỗi port (e.g., switchport port-security mac- address mac- address) và được luư lại trong file cấu hình.. Sticky Entry đ ược xem như là Entry tĩnh, ngoại nó được học một cách tự động . Những Entry động tồn tại được chuyển sang Sticky Entry sau khi sử dụng câu lệnh (switchport port-security mac- address Stickey). Những Entry động cũ được luư lại trong file cấu hình (switchport port-security mac- address Stickey mac- address) n ếu file c ấu h ình d ược luư v à chạy th ì đ ịa ch ỉ MAC kh ông c ần h ọc l ại l ần n ữacho vi ệc restart l ần sau. V à c ũng v ậy m ột s ố l ư ợng t ối đa đ ịa ch ỉ MAC c ó th ể đ ư ợc c ài đ ặt b ằng c âu l ệnh sau(e.g.,switchport port-security maximun value) .
Người quản trị có thể bật tính năng cấu hình địa chỉ MAC tĩnh trên các port bằng cách sử dụng câu lệnh switchport port-security aging static. Lệnh aging time (e.g., switchport port-security aging time time) có thể đặt dưới dạng phút. Đồng thời dòng lệnh aging có thể đặt cho sự không hoạt động (e.g., switchport port-security aging type inactivity), điều này có nghĩa là độ tuổi các địa chỉ đó được cấu hình trên port ở ngoài nếu không có dữ liệu lưu thông từ những địa chỉ này cho khai báo từng phần bằng dòng lệnh aging time. Đặt tính này cho phép tiếp tục truy cập đến sô lượng những dịa chỉ giới hạn đó.
Ví dụ:
+ Những dòng lệnh sau dùng để giới hạn tĩnh một cổng trên Catalyst Switch 3550.
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 0000.0200.0088
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
+ Những dòng lệnh sau để giới hạn động một cổng trên Catalyst Switch 3550. Chú ý những dòng lệnh aging không được sử dụng với những địa chỉ sticky MAC.
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Chú ý khi có sự vi phạm port security xảy ra thì ngay lập tức nó sẽ trở thành trạng thái error-disable và đèn LED sẽ tắt. Switch cũng sẽ gửi một thông điệp SNMP trap, logs (syslog) và làm tăng lên sự phản đối của xâm nhập. Khi một port o trạng thái error-disable, người quản trị có thể đưa nó ra khỏi trạng thái này bằng cách sử dụng dòng lệnh ở chế độ toàn cục errdisable recovery cause psecure-violation hoặc dòng lệnh shutdown và no shutdown trên cổng được cấu hình.
Có một số vấn đề quan trọng phát sinh khi cấu hình port security trên port kết nối đến một IP phone. Mặt dù port security không được sử dụng trên Trunk port, địa chỉ MAC phản đối việc xem xét viec gán VLAN của gói tin đến. Cùng IP phone gửi gói tin ra 2 Vlan sẽ có 2 bảng entries được chia ra trong bảng MAC vì thế nó sẽ đếm 2 lần lên đến maximum MAC.
Khi IP Phone có thể sử dụng 2 gói tin không được gán vào (untagged, e.g., Layer 2 CDP protocol ) và gói tin Voice Vlan có gắn(tagged); địa chỉ MAC của IP Phone sẽ được thấy trên cả 2 native VLAN và Voice VLAN. Vì vậy nó sẽ được đếm 2 lần. Việc đặt tối đa địa chỉ MAC cho 1 port kết nối đến 1 IP Phone cho trường hợp nhiều máy tính tấn công vào IP Phone. Nhửng máy tình truyền hợp lệ sử dụng nhiều địa chỉ MAC phải đựơc cấu hình để tính toán.
Một khả năng mới để bảo đảm cho những port của Switch nhanh hơn và thích hộp hơn đó là macros. Macros cho phép nhóm những port sẵn sàng để mà những lệnh đó được chấp nhận bằng cấu hình tay. Bất kì dòng lệnh nào được thêm vào bẳng việc sử dụng kí tự “#” tại đấu mỗi dòng lệnh và kết thúc bởi kí tự”@”.
The following example creates a strict security macro called unused to secure the ports, or interfaces, on
a 3550 switch
Ví dụ sau đây tạo ra sự ngăn cản security macro gọi là unused để bảo đảm trên những port hoặc trên những interface trên Switch 3550.
Switch(config)# macro name unused
macro description unused
shutdown
description *** UNUSED Port ***
no ip address switchport
# Set secure defaults for access mode switchport mode access
switchport access vlan 999
switchport nonegotiate
# Set secure defaults for trunking mode switchport trunk encapsulation dot1q switchport trunk native vlan 999 switchport trunk allowed vlan none
# Only learn source MAC addresses switchport block multicast switchport block unicast
# Enable MAC control and set secure options
switchport port-security
switchport port-security maximum 1
switchport port-security aging time 10
switchport port-security aging type inactivity
# Apply any switch-wide access-lists
ip access-group ip-device-list in
mac access-group mac-device-list in
# Set secure defaults for misc. flags and protocols mls qos cos override
dot1x port-control force-unauthenticated
storm-control broadcast level 0.00 storm-control multicast level 0.00 storm-control unicast level 0.00
no cdp enable
# Default Spanning-tree to secure host settings spanning-tree portfast
spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root
@
Sau khi tạo sự găn cấm security macro, unused, áp đặt macro trên tất cả các port của Switch như sự bảo đảm ranh giới với các dòng lệnh sau.
Switch(config)# interface range fasteth0/1 – 24 , giga0/1 – 2
Switch(config-if-range)# macro apply unused
Sau khi macros được xây dựng tính bảo đảm dựa trên unused macro được thiết lập để bật tính năng bảo mật đủ dể hỗ trợ tất cả các hệ thống theo mong đợi..
Switch(config)# macro name host
# Apply macro 'unused' first!
macro description host
# Set the port for a PC host
dot1x port-control auto
no storm-control broadcast level no storm-control multicast level no storm-control unicast level
no shutdown
# The following are recommended port specific commands
#description Host <10.1.10.3>
#switchport access vlan <10>
#switchport trunk native vlan <10>
@
Switch(config)# macro name ipphone
# Apply macro 'unused' first!
macro description ipphone
#
# Set the port for an ipphone without attached PC host switchport port-security maximum 2
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
no storm-control broadcast level no storm-control multicast level no storm-control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1013>
#switchport voice vlan <101>
@
Switch(config)# macro name ipphone-host
# Apply macro 'unused' first!
macro description ipphone & host
#
# Set the port for an ipphone with attached PC host switchport port-security maximum 3
no mls qos cos override
mls qos trust device cisco-phone
mls qos trust dscp
dot1x port-control auto
no storm-control broadcast level no storm-control multicast level no storm-control unicast level cdp enable
no shutdown
#
# The following are recommended port specific commands
#description IP PHONE <x1014> & HOST <10.1.20.5>
#switchport access vlan <20>
#switchport trunk native vlan <20>
#switchport voice vlan <101>
@
Việc chấp nhận những macros sẽ chỉ làm thay đổi đến tính bảo đảm ở những biên được yêu cấu cho những port hỗ trợ hoàn toàn những hệ thống thích hợp.
Ví dụ sau chỉ ra làm thế nào để dùng các macro lần trước để cấu hình cho những port access của những Switch từ những mô hình ví dụ cho mỗi hệ thống như: Host, Ip Phone và IP Phone với một cuộc tấn công host.
Host:
Switch(config)# interface fa0/1
Switch(config-if)# macro apply host
Switch(config-if)# description Host 10.1.10.3
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# exit
IP phone:
Switch(config)# interface range fa0/2 - 4
Switch(config-if-range)# macro apply ipphone
Switch(config-if-range)# switchport voice vlan 101
Switch(config-if-range)# exit
Switch(config)# interface fa0/2
Switch(config-if)# description IP PHONE x1011
Switch(config)# interface fa0/3
Switch(config)# description IP PHONE x1012
Switch(config)# interface fa0/4
Switch(config-if)# description IP PHONE x1013
Switch(config-if)# exit
IP phone with an attached host:
Switch(config)# interface fa0/5
Switch(config-if)# macro apply ipphone-host
Switch(config-if)# description IP PHONE x1014 & Host 10.1.20.5
Switch(config-if)# switchport access vlan 20
Switch(config-if)# switchport trunk native vlan 20
Switch(config-if)# switchport voice vlan 101
Switch(config-if)# exit
Người quản trị có thể sử dụng câu lệnh macro trace để thay thế cho câu lệnh macro apply bởi vì câu lệnh macro trace có thể xác định debugging cùa macros. Thường xuyên sử dụng show parser macro description để biết macro cuối cùng được áp lên mỗi port.
Cuối cùng địa chỉ MAC tĩnh và port security áp trên mỗi port của Switch có thể trở thành gánh nặng cho người quản trị. Port Access Control List (PACLs) có thể cung cấp khả năng bảo mật tương tự như địa chỉ MAC tĩnh và port security và PACLs cũng cung cấp nhiều tính năng linh động và điều khiển.việc cho phép địa chỉ MAC và địa chỉ IP có thể được chia và dược xem xét từ phía của một Switch mở rộng. Tham chiếu đến phần ALCs đễ biết thêm chi tiết.