در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

نکته ناگفته در Port Security

چند وقت پيش در قسمت سؤالات وبسایت، يک سؤال خيلي خوب مطرح شد در خصوص Port Security که به نظرم ارزش داشت راجع بهش يک مقاله نوشته بشه تا تعداد بیشری بتونن از اين نکته فني استفاده کنن.مشکلي که امروز مي خوايم بررسی کنيم، مشکل خيلي جالبي هست و متأسفانه اين نکته در مورد Port Security توي آموزش ها، کتابهاي مرجع، دوره هاي CCNA و CCNP بيان نميشه و صرفا به صورت تجربی به دست مياد.
به طور کلي موضعي که کمتر از سایر مسائل امنيتي بهش توجه ميشه و اهميت بسیار بالايي هم داره پياده سازی راهکارهاي امنيتي در سطح ارتباطات لايه دوم OSI هستش. يکي از دلايل اين موضوع پيچيدگي هاي پياده سازی و راهبری اين دسته از راهکارهاست. راهکارهايي متداول در اين زمينه عبارت هستند از Port Security، DHCP Snooping، Dynamic Arp Inspection، IP Source Guard، Dot 1 x و…
ساده ترین و دمه دست ترین راهکار از اين مجموعه که در مرحله اول روند امن سازی ارتباطات لايه دويي استفاده مي شه راهکار Port Security هست که نسبت به سایر راهکارها هم ساده تر هست هم راهبریش ساده تره.مشکلی که مي خوايم بررسیش کنيم برمي گرده به زماني که شما مکانیزم Port Security رو به صورت Sticky راه اندازي مي کنيد. وقتي شما کامند mac-address sticky رو زیر يک اينترفيس مي زنيد، به محض دريافت اولین پکت يه خط به صورت زیر به کانفیگ هاي زیر اينترفیستون اضافه ميشه:

switchport port-security mac-address sticky 000b.f601.6d4e

که کلمه اخر، mac address سیستم متصل هست و به عنوان مثال اینجا اوردم. حالا با اين وضعيت اگه شما سيستم متصل به اين پورت سوييچ رو توي شبکه داخلیتون جا به جا کنيد، و به يه پورت ديگه توي يه سوييچ ديگه و حتي توي به vlan ديگه متصل کنید (که اونم مثل سوييچ اول مکانیزم Port Security  به صورت Sticky روش  راه اندازي شده باشه)، بعد از مدت کمی، انترفیش جديدتون Error-Disable مي شه!!! وقتی شما اين سیستم رو جدا می کنيد و مي برید به یه سوييچ دیگه متصل مي کنيد که port security فعال شده روش، خط بالا روي سوييچ جديد هم ايجاد میشه و اين خط روي دو تا از سوييچ هاتون قرار مي گیره و مشکل همينجاست...

*** mac address شناخته شده توسط مکانیزم sticky در سطح دامنه ارتباطات لايه دوييتون (شامل تجهيز لايه سه اي که interface vlanهاتون رو روش تعريف کرديد) نباید تکرار بشه  ***

در صورت بروز همچين مشکلي، شما باید کامند زیر رو روي سوييچ اول بزنید:

no switchport port-security mac-address sticky 000b.f601.6d4e

حواستون باشه که کامند رو کامل بزنید، و mac address سيستم جابه جا شده رو هم انتهای کامند بیارید.وقتي که اين خط برداشته بشه، انترفيس سوييچ جديد که سيستم جابه جا شده بهش متصل شده، دیگه error disable نميگیره و مشکل برطرف مي شه.یه کم عجیبه ولي مکانیزم کارکرد port security به اين گونه هست.

0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....