آموزش کانفیگ Port Security در سویچ سیسکو
امروز تصمیم دارم در مورد Port security در سوییچ های سیسکو مختصری توضیح بدهم.خب همانطور که از نامش پیداست port security برای امن کردن پورت های سوییچ استفاده می شود بدین صورت که توسط این دستور ما می توانیم مشخص کنیم کدام دستگاه یا دستگاهها اجازه اتصال به پورت مورد نظر را دارند و در صورت تخلف یا به اصطلاح violation چه اتفاقی برای پورت مورد نظر بیافتد. این شناسایی بر اساس mac-address دستگاهها صورت می گیرد. در مقاله زیر میتوانید توضیحات بیشتری در مورد Port security ببینید:
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
خب برویم سراغ نحوه تنظیمات
اولین نکته ای که باید مد نظر قرار داد این است که port security بر روی Interface ها اعمال می شود نه کل سوییچ. یعنی اینکه ما برای کانفیگ کردن باید وارد interface یا interface های مورد نظر بشویم.با دستور زیر در configure terminal mode میتوانیم وارد یک interface شویم.به عنوان مثال Interface 0//1 مورد نظر ماست:
Switch(config)#interface fastEthernet 0/1
توجه داشه باشید که سوییچ ما در بالا مجهز به پورت fastEthernet میباشد و ما باید با توجه به نوع پورتهای سوییچ نوع متناسب را وارد کنیم. همچنین برای انتخاب بیشتر از یک پورت از فرمان زیر استفاده می کنیم:
Switch(config)#interface range fastEthernet 0/1-10
مثلا در بالا Interface های 0//1 تا 0//10 را انتخاب می کند.نکته قابل توجه دیگر این است که interface مورد نظر حتما باید در Mode access باشد. بنابرین بعد از وارد شدن به تنظیمات interface فرمان زیر را تایپ می کنیم:
Switch(config-if)#switchport mode access
با دستور زیر port security را فعال می کنیم:
Switch(config-if)#switchport port-security
با دستور زیر مشخص می کنیم چند دستگاه مجوز دسترسی به Interface مورد نظر را دارند:
Switch(config-if)#switchport port-security maximum 1
با استفاده از پارامترsticky در زیرمشخص می کنیم که mac-address دستگاه یا دستگاه هایی که به پورت وصل می شوند را شناسایی کن و به عنوان دستگاه مجاز در نظر بگیر که البته تعداد آن بستگی به پارامتر maximum در دستور قبلی دارد.
Switch(config-if)#switchport port-security mac-address sticky
چنانچه بخواهیم mac-address را به صورت دستی وارد کنیم کافیست بجای پارامتر sticky در دستور قبل mac-address دستگاه مورد نظر را بنویسیم.با استفاده از پارامتر violation میتوان مشخص کرد که در صورت رخ دادن تخلف یا اتصال دستگاه غیر مجاز به پورت مربوطه چه اتفاقی بیافتد.
Switch(config-if)#switchport port-security violation [ protect |restrict |shutdown ]
همانطور که در بالا می بینید پس از پارامتر violation سه گزینه می توان انتخاب کرد. در ادامه به بررسی هر کدام می پردازیم.
- Shutdown : در این حالت که حالت پیش فرض نیز می باشد پس از شناسایی دستگاه غیر مجاز Interface را بحالت disable می برد و پس از آن تمام بسته های مجاز و غیر مجاز را دور می ریزد. توجه داشته باشید که حتی دستگاه مجاز هم نمی تواند بسته ای عبور دهد تا اینکه یکبار interface را خاموش و مجدد روشن نمایید.( با دستور shutdown و no shutdown)
- Restrict : فقط بسته های مربوط به دستگاههای غیر مجاز را دور می ریزد ولی Interface را disable نمی کند.
- Protect : کاملا شبیه به restrict عمل می کند با این تفاوت که یک log نیز از رویدادها تهیه می کند .
در پایان با کمک دستور show port-security می توانید گزارشی از Port security اعمال شده را رویت کنید. مثلا گزارش وضعیت Interface 0/1 را در زیر می بینید:
Switch#show port-security interface fastEthernet 0/1
امیدوارم این مقاله مفید واقع شده باشد. ممنون از وقتی که گذاشتید ...