Home / آموزش / آموزش شبکه / آموزش پیاده سازی Port Security در cisco

آموزش پیاده سازی Port Security در cisco

پیاده سازی Port Security برروی سوئیچ های سیسکو

تکنولوژی Port Security یکی از متد های استفاده شده جهت جلوگیری از دسترسی غیر مجاز به شبکه شما می‌باشد. با استفاده از Port Security میتوانید اطمینان داشته باشید که یک MAC Address خاص فقط به یک پورت خاص از سوئیچ شما میتواند متصل شود و در صورتی که MAC دیگری شناسایی شد آن پورت shutdown شود. قبل از پیاده سازی این قابلیت باید پورت هایی که میخواهید ایمن شوند، چه تعداد آدرس MAC برروی هر پورت مجاز است؟ MAC ها به صورت دستی باید وارد شوند یا به صورت Dynamic؟ اگر محدودیتی که در نظر گرفتید شکسته شد چه اتفاقی برای پورت بی‌افتد؟ 

قابلیت port security عموما در جاهایی استفاده میشود که سوئیچ شما در مکانی قرار گرفته که شخص دیگری میتواند کابلی به سوئیچ وصل کند. البته وقتی پریز شبکه دارید که keystone دارد در واقع هرکسی میتواند با یک پچ کورد ساده به شبکه شما وصل شود. همچنین شما میتوانید از دسترسی چند کلاینت به یک پورت جل.گیری کنید. مثلا اگر یک هاب سوئیچ به یکی از پورتها متصل بشه و چندین سیستم از آن طریق وصل بشوند. همچنین افرادی که میخواهند از وصل شدن لپ تاپ ها به شبکه جلوگیری کنند قابلیت خیلی مفیدی است براشون. در واقع Port security قابلیتی است که با استفاده از آن میتوانیم بگوییم که فقط این آدرس MAC یا این آدرس های MAC بتوانند به این پورت بخصوص متصل شوند.

دستورات با رنگ قرمز و متغیر ها (با توجه به نوع دستگاه یا متغیر های انتخابی شما) با رنگ آبی مشخص شده اند!

قابلیت port security فقط برروی پورت های Access قابل فعال سازی است و به صورت پیشفرض غیر فعال میباشد.برای فعال کردن این قابلیت به صورت زیر عمل میکنیم.

OTGSwitch(config)# interface Fa0/1
OTGSwitch(config-if)# switchport mode access
OTGSwitch(config-if)# switchport port-security

تنظیمات پیشفرض port security به صورت زیر است:

حداکثر تعداد آدرس های MAC مجاز: ۱ آدرس.

اگر MAC دیگری خواست وصل شود چه اتفاقی بی‌افتد (Violation Mode)؟ : پورت shutdown شود.

مدت زمانی که یک MAC معتبر است (Aging Time): پیشفرض ۰٫

مدت زمانی که یک MAC بعد از جدا شدن در حافظه سوئیچ باقی میماند (SecureStatic Address Aging): پیشفرض غیر فعال (Disable).

با تنظیمات پیشفرض فوق در واقع فقط یک MAC میتواند متصل شود.اگر MAC دیگری بخواهد متصل شود پورت به وضعیت shutdown در می‌آید. آن یک MAC همیشه معتبر است و حتی اگر از سوئیچ جدا شود از حافظه مربوط به port security پاک نخواهد شد.

احتمالا شما خواهید خواست که آن تنظیمات پیشفرض را نسبت به نیاز خود تغییر دهید. در ادامه به چگونگی این امر میپردازیم.

تنظیم حداکثر تعداد MAC ها:

بعضی مواقع ممکن است نیاز داشته باشید بیشتر از یک MAC به یک پورت متصل شود. برای مثال یک کامپیوتر و یک لپ تاپ، همچنین ممکن است از هاب سوئیچ استفاده کرده باشید. برای این امر به صورت زیر عمل کنید:

OTGSwitch(config-if)# switchport port-security maximum 2

تنظیم Violation Mode:

شما میتونید تصمیم بگیرید زمانی که سوئیچ یک آدرس MAC غیر معتبر دیگه رو شناسایی کرد چه اتفاقی برای آن پورت بی‌افتد؟ گزینه های موجود shutdown ، protect و restrict هستند. اگر shutdown (گزینه پیشفرض) را انتخاب کنید به محض شناسایی یک MAC غیر معتبر آن پورت shutdown میشود. اگر گزینه protect را انتخاب کنید سوئیچ فقط ترافیک آن MAC غیر معتبر را بلاک میکند و بقیه ترافیک ها عبور خواهند کرد. اگر restrict را انتخاب کنید نیز مانند protect عمل خواهد کرد با این تفاوت که در protect سوئیچ هیچ پیغامی مبنی بر اینکه دسترسی غیر مجازی انجام شده نخواهد فرستاد ولی در restrict شمارنده دسترسی غیر مجاز یک شماره اضافه میکند واگر تنظیم کرده باشید یک پیغام syslog یا SNMP Trap ارسال خواهد شد.

OTGSwitch(config-if)# switchport port-security violation protect

OTGSwitch(config-if)# switchport port-security violation restrict

OTGSwitch(config-if)# switchport port-security violation shutdown

تنظیمات Aging:

همانطور که در بالا نیز اشاره کردم میتوانید تنظیم کنید سوئیچ پس از مدتی آن MAC آدرس را فراموش کند. این کار زمانی به درد میخورد که مثلا فرض کنید میخواهید آن کامپیوتر متصل را به هر دلیلی عوض کنید. یا مثلا کارت شبکه‌اش را تعویض نمایید. دقت کنید این امر فقط در صورتی که Dynamic Learning فعال باشد کار میکند. برای مثال در زیر ما تنظیم میکنیم که سوئیچ یک MAC را اگر ۱۰ دقیقه غیر فعال بود پاک کند.

OTGSwitch(config-if)# switchport port-security aging time 10
OTGSwitch(config-if)# switchport port-security aging type inactivity

تنظیم دستی آدرس MAC:

اگر میخواهید مشخص کنید که فقط یک آدرس خاص بتواند به آن پورت متصل شود و آدرس را دستی مشخص کنید به شکل زیر عمل کنید.

OTGSwitch(config-if)# switchport port-security mac-address 001a.a48d.d0d8

تنظیم MAC Address Learning:

در یک شبکه عملیاتی درون سازمانی تغریبا غیر ممکن به نظر میرسد که بشود به راحتی تمام MAC ها را دستی وارد کرد.شما باید وارد تنظیمات هر پورت شودید (برای مثال Interface fast 0/1) و آدرس MAC کلاینت متصل به آن را وارد کنید. تصورکنید ده ها سوئیچ دارید که هر کدام ۲۴ تا ۴۸ پورت دارد. یک راه حل ساده تر استفاده از MAC Address Learning است. با استفاده از این شیوه سوئیچ MAC هایی که متصل به پورت ها هستند را یاد میگیرد و درون port security قرار میدهد. اگر تعداد بیشتری MAC به ازای هر پورت در تنظیمات وارد کرده‌اید و در زمان استفاده از این قابلیت همه آنها متصل نیستند نگران نباشید. سوئیچ به تعدادی که شما مشخص کرده اید در حال یا آینده یاد خواهد گرفت.

OTGSwitch(config-if)# switchport port-security mac-address sticky

همچنین نیازی نیست تک تک پورت ها جداگانه تنظیم کنید.

OTGSwitch(config)# interface range fastEthernet 0/1 – 23
OTGSwitch(config-if)# switchport port-security

با دستور interface range میتواند چندین پورت را به یکباره تنظیم کنید.

اطلاع از وضعیت port security

برای نمایش وضعیت کنونی port security ار دستور زیر استفاده کنید:

OTGSwitch# show port-security address
Secure Mac Address Table
——————————————
Vlan Mac Address Type Ports Remaining Age
۱ ۰۰۱a.a48d.d0d8 SecureDynamic Fa0/1 –
——————————————

همچنین برای نمایش تنظیمات port security برروی یک پورت خاص به این شکل عمل کنید:

OTGSwitch# show port-security interface fa0/1

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 001a.a48d.d0d8
Security Violation Count : 0

منبع: opentechguides.com

 

دانلود IOS های سوئیچ های سری ۳۷۵۰ از اینجا

دانلود IOS های سوئیچ های سری ۳۵۶۰ از اینجا

دانلود IOS های سوئیچ ها سری ۲۹۶۰ از اینجا

 

این مقاله برای شما مفید بود؟ لطفا نظر خود را بنویسید.

پاسخ سوالاتون رو پیدا نکردید؟ در نظرات آن را مطرح کنید.

 

 

فروش ویژه سرور های دست دوم HP

سرور کارکرده HP DL380 G7

سرو HP dl380

سرور کارکرده HP ML350 G6

سرور HP مناسب

فروش ویژه محصولات دست دوم سیسکو

Cisco 3750 POE فروش
سوییچ سیسکو ۳۷۵۰ G  بیست و چهار پورت POE گیگ
Cisco 3750 POE فروش
سوییچ سیسکو ۳۷۵۰ چهل و هشت پورت POE

 

درباره محمد کلینی

از سال 1382 به صورت تخصصی وارد دنیای شبکه شدم، از MCP مایکروسافت شروع کردم تا Microsoft MCSE 2003 و بعد ها 2008 و همینطور MCTS در 3 گرایش،تا اینکه وارد شرکت نفت شدم و وارد مبحث مجازی سازی با استفاده از پلتفرم VMWare شدم، و بعدها به صورت تخصصی سیسکو و تکنولوژی های مرتبط با آن را کار کردم تا به امروز! عاشق طبیعت و طبیعت گردی و مسافرت هستم و از هر فرصتی برای رفتن به دل طبیعت استفاده میکنم! و رویای جهانگردی رو همیشه تو سر داشتم و الانم بیشتر از همیشه دوست دارم تا دنیا رو ببینم!!

Check Also

آموزش استفاده از poe

سیسکو inline power, POE یا POE پلاس

سیسکو Inline power، POE یا POE پلاس. کدام یک برای شما مناسب هستند؟ دو تکنولوژی ...

نظر بدید!

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

عضویت در خبرنامه
برای دریافت آموزش های کاربردی در زمینه شبکه و کامپیوتر، اطلاعات زیر را تکمیل کنید! ما هیچ وقت به ایمیل شما اسپم نمیفرستیم و آن را در اختیار دیگران قرار نخواهیم داد.
میخواهید کوپن های تخفیف برایتان ارسال شود؟
فقط کافیست نام و ایمیل خود را وارد کنید! تخفیف های شگفت انگیز برایتان ارسال میشود!!
ما هیچ وقت برای شما اسپم نمیفرستیم!!!
میخواهید کوپن های تخفیف برایتان ارسال شود؟
فقط کافیست نام و ایمیل خود را وارد کنید! تخفیف های شگفت انگیز برایتان ارسال میشود!!
ما هیچ وقت برای شما اسپم نمیفرستیم!!!
عضویت در خبرنامه
برای دریافت آموزش های کاربردی در زمینه شبکه و کامپیوتر، اطلاعات زیر را تکمیل کنید! ما هیچ وقت به ایمیل شما اسپم نمیفرستیم و آن را در اختیار دیگران قرار نخواهیم داد.