سیسکوCCNA

آموزش CCNA : آموزش Port Security در سیسکو

در بعضی مواقع لازم است تا یکسری موارد امنیتی را برای پورت‌های سوئیچ در نظر گرفت. به‌عنوان‌ مثال مشخص کرد حداکثر دستگاه‌هایی که می‌توانند از طریق یک پورت به سوئیچ متصل شوند چه تعداد باشند و یا اینکه مشخص کرد که چه آدرسی می‌تواند از یک پورت سوئیچ استفاده کند. با استفاده از PortSecurity می‌توان کامپیوترهایی را که به یک پورت سوئیچ متصل می‌شوند از جهات مختلفی محدود کرد به‌عنوان‌ مثال شاید در شبکه نیاز باشد که تعداد محدودی کامپیوتر به سوئیچ وصل شوند و یا اگر کاربری لپ‌تاپ خود را به سوئیچ متصل کرد ارتباط برقرار نشود.

آموزش راه اندازی Port Security

قبل از شروع بهتره به این نکته اشاره کنیم که برای فعال سازی PortSecurity باید پورت مورد نظر در مود access باشد

برای این کار از دستور زیر استفاده میکنیم

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access

حالا می توانیم با دستور زیر قابلیت portsecurity را در سوئیچ موردنظر فعال کنیم

Switch(config-if)#switchport port-security

با استفاده از دستور زیر یک آدرس MAC مشخص می‌شود تا تنها همان آدرس MAC بتواند به سوئیچ متصل شود.

Switch(config-if)#switchport port-security mac-address 00D0.BA6D.1141

با استفاده از دستور زیر می‌توان تعیین کرد تا آدرس‌های MAC را Learn کند و آن‌ها را به‌صورت Static در جدول اضافه کند.

Switch(config-if)#switchport port-security mac-address sticky

با استفاده از دستور زیر بیشترین تعداد کامپیوترهایی که می‌توانند به پورت متصل شوند را مشخص کرد، برای مثال ما 5 قرار دادیم

Switch(config-if)#switchport port-security maximum value 5

با استفاده از دستور زیر می‌توان مشخص کرد که اگر تعداد کامپیوترهای متصل شده به پورت از تعداد MAX که در دستور قبل مشخص گردید بیشتر شد چه محدودیتی اعمال شود.

Switch#switchport port-security violation protect یا restrict یا shutdown

محدودیت هایی که می توان اعمال کرد شامل:

  1. Protect: آدرس جدید Learn نمی‌شود و بسته‌ها Drop می‌شوند.
  2. Restrict: سوئیچ یک پیام امنیتی صادر می‌کند و بسته‌های آن پورت نیز Drop می‌شوند.
  3. Shutdown: سوئیچ یک پیام تولید کرده و اینترفیس را غیرفعال می‌کند.

نکته: توجه داشته باشید که حالت پیش‌فرض Shutdown است

در صورتی که بخواهیم برای Vlan های access و voice تعداد ماکزیمم مک تعیین کنیم می توانیم از دستورات زیر استفاده کنیم

Switch(config-if)# switchport port-security maximum 1 vlan access

Switch(config-if)# switchport port-security maximum 1 vlan voice

قابلیت Auto-recovery

برای اجتناب از مداخله دستی برای برگرداندن وضعیت پورت به حالت عادی زمانی که پورت توسط portsecurity مجبور به رفتن به حالت error-disabled میشود، میتوانیم قابلیت auto-recovery را برای Port security violation فعال کنیم. فاصله زمانی که پورت به حالت عادی بر میگردد بر حسب ثانیه است.

Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 600

در مثال بالا خواهیم دید که بعد از ده دقیقه که پورت به حال error-disabled رفته است . به صورت اتومات عملکرد پورت به حالت عادی برمیگردد.

نکته: portsecurity یک خصوصیت امنیتی قابل اطمینان نیست. چون mac-address ها قابل spoof شدن میباشند و چندین host هنوز میتوانند به راحتی پشت یک روتر کوچک مخفی شوند

کاهش زمان ضبط مک آدرس (MAC Address Aging) در port security :

به صورت پیش فرض مک آدرس بصورت همیشگی در پورتی که قابلیت portsecurity را فعال کرده ایم ضبط میشود .با aging میتوانیم تنظیم کنیم که آدرس ضبط شده توسط portsecurity بعد ازطی یک زمان معین expire شود. این خصوصیت به یک host جدید اجازه میدهد که به پورتی که اتصال host از آن قطع شده متصل شود. Aging میتواند برای تاثیر در یک مدت زمان معینی تنظیم شود یا مدت زمان که هیچ فعالیتی انجام نشود. در مثال زیر تنظیمات به این صورت است که مک آدرس بعد از 5 دقیقه عدم فعالیت expire میشود.

Switch(config-if)# switchport port-security aging time 5
Switch(config-if)# switchport port-security aging type inactivity

مشاهده وضعیت Port Security

به محض اینکه تنظیمات مربوط به PortSecurity را بر روی سویچ انجام دادید ، قابلیت فعال شده و سویچ کلیه آدرس های MAC که به سویچ متصل می شوند را ضبط میکند و بوسیله این آدرسها پورت را ایمن میکند . برای مشاهده وضعیت PortSecurity بر روی سویچ ها کافیست از دو دستور show port-security و همچنین دستور show port-security interface استفاده کنید . در ادامه یک مثال از مشاهده این تنظیمات را مشاهده خواهید کرد :

Switch# show port-security

show port security
show port-security

با دستور بالا اطلاعاتی به ما نمایش داده می شود به شرح زیر:

Port: پورت هایی که از قابلیت port-security استفاده می کنند

MaxSecureAddr: حداکثر مک آدرس مجازی که برای این پورت در نظر گرفته شده است

CurrentAddr: تعداد آدرس هایی که برای این پورت استفاده شده است

SecurityViolation: تعداد موارد غیرمجازی که شناسایی شده است

Security Action: واکنشی هست که بعد از شناسایی که آدرس غیرمجاز پورت انجام می دهد

نکته: برای این که عدد SecurityViolation را صفر کنیم و پورت مورد نظر را فعال کنیم اول باید یکبار دستور shutdown استفاده  کنیم و سپس no shutdown را بزنیم

با دستور زیر نیز می تواینم اطلاعات مفیدی از پورت مورد نظر داشته باشیم

Switch#show port-security interface fastethernet 0/1

آموزش رفع ایراد Port Security در سویچ های سیسکو

فرض کنید سیستمی یه شبکه وصل شده است و Port Security جلوی اتصال آن را گرفته است و یا فرض کنید در شبکه شما جابجایی سیستم بین کارمندان اتفاق میافتد،کاربری اتاقش را عوض میکنید و…. در تمامی این موارد چون Mac Address کامپیوتر روی یک پورت سویچ به اصطلاح Bind است بنابراین با انتقال یا جابجایی آن به محلی دیگر مطمینا به پورت دیگری متصل میشود و بلافاصله این پورت سویچ که قابلیت Port Security روی آن فعال است بنا به تعریف پورت سکیوریتی به یکی از سه حالت Protect ،Restrict ،Shutdown تغییر وضعیت میدهد، و در هر سه حالت سیستم IP از شبکه دریافت نمیکند و وارد مدار شبکه نمیشود، حال چه باید کنیم؟

در مرحله اول باید ببینیم این سیستم که کدام پورت سویچ متصل شده است برای تشخیص این پورت ممکن است ما مستنداتی از سویچ های شبکه داشته باشیم و یا با استفاده از دستور:

Switch#show interface fastethernet {port number}
و یا دستور
Switch#show interfaces fastethernet {Port number} status

در خروجی دستور اول اگر جلوی نام پورت عبارت err-disabled را مشاهده کردید، این پورت دچار خطای پورت سکوریتی شده است و شما باید روی این پورت کار کنید تا مشکل حل شود:

fastethernet 0/1 is down, line protocol is down (err-disabled)

در خروجی دستور دوم هم اگر زیر ستون status،عبارت err-disabled مشاهده شد،پورت دچار مشکل Port security شده است مانند خروجی زیر:

Port Name Status Vlan Duplex Speed Type
Gi4/1 err-disabled 100 full 1000 1000BaseSX

خوب بعد از اینکه پورت مورد نظر را پیدا کردیم، حال باید با اجرای دستورات زیر مشکل را حل کنیم: فرض کنید پورت fastethernet 0/1 دچار port security شده است.

Switch(config)#interface fastethernet 0/1
Switch(config-if)#shutdown
Switch(config-if)#exit
Switch(config)#exit
Switch#clear port-security sticky interface fastethernet 0/1
Switch#conf ter
Switch(config)#interface fastethernet 0/1
Switch(config-if)#no shutdown
%LINK-5-CHANGED: Interface fastethernet /1, changed state to Up
Switch(config-if)# do wr

بعد از اجرای این دستورات port مورد نظر به حالت Up در میاید و سیستم از شبکه IP دریافت میکند و وارد شبکه میشود.

منبع
networkbooks.irhushplus.irtechnet24.irnethelper.ir

1 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا