در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

افزایش امنیت شبکه با قابلیت Port Security در سوئیچ های سیسکو

در طراحی یک شبکه ، در نظر گرفتن مباحث امنیتی آن دارای اهمیت ویژه است چون در زمان حمله ، شبکه دچار مشکلاتی مختلفی مانند از کار افتادن بخشی یا کل شبکه ، افشاء اطلاعات محرمانه سازمان ، دستکاری در اطلاعات و ... می شود. برای جلوگیری از بروز این حملات ما باید طرح و برنامه درستی برای شبکه خود در نظر بگیریم.

افزایش امنیت شبکه با قابلیت Port Security در سوئیچ های سیسکو

بر اساس طراحی سه لایه ای سیسکو دسترسی ها از طریق لایه Access ایجاد می شود که عمده مشکلات امنیتی به دلیل عدم کنترل این دسترسی ها صورت می پذیرد. در این آموزش ما سعی می کنیم مبحث Port Security را بازگو کنیم که به وسیله این قابلیت تا سطح بسیار زیادی ما می توانیم امنیت شبکه خود را برقرار کنیم. Port Security امنیت شبکه ما را در لایه دوم بهبود می بخشد. Port Security شبکه ما را در برابر حملات زیر محافظت می کند :

همچنین از دسترسی دستگاه های غیر مجاز به شبکه و ایجاد مشکلات ناشی مانند سرقت اطلاعات و آلوده کردن شبکه و ... جلوگیری می کند.

مکانیزم Port Security


به وسیله Port Security تعداد MAC آدرس هایی که اجازه دسترسی به شبکه دارند به ازای هر پورت را محدود می کنیم. به این صورت مشخص می کنیم از هر پورت چه دستگاه هایی اجازه دسترسی به شبکه دارند و به این صورت دستگاه های ناشناش اجازه دسترسی به شبکه را نخواهند داشت. زمانی که این قابلیت روی سوئیچ فعال شود در صورت اتصال یک دستگاه غیرمجاز به شبکه ، می توان وضعیت های زیر را نسبت به این دسترسی غیر مجاز تعیین کرد:

  • Protect
  • Restrict
  • Shutdown
  • نکته : حالت Shutdown پیش فرض می باشد.
  1. Protect : در این حالت ترافیک مربوط به دستگاه غیر مجاز Drop می شود.
  2. Restrict : همانند حالت قبل ترافیک مربوط به دستگاه غیر مجاز Drop می شود و علاوه بر این Log نیز تولید می کند.
  3. ShutDown : سخت گیرانه ترین حالت می باشد که با دریافت ترافیک غیرمجاز پورت مربوطه در حالت Err-Disable قرار می گیرد و پورت خاموش می شود و برای خارج کردن آن از این حالت باید وارد تنظیمات سوئیچ شد و پورت مورد نظر را خاموش و روشن کرد.
  • نکته : Port Security را روی پورتی که Access است می توان فعال کرد.

نحوی فعال کردن Port Security


اولین کار قرار دادن پورت در حالت Access است:

Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode access

بعد باید این قابلیت را فعال کنیم:

Switch(config-if)#switchport port-security

سپس MAC آدرس های مجاز را تعیین می کنیم که به دو صورت امکان پذیر است :

  • به صورت دستی

  • Switch(config-if)#switchport port-security mac-address AD49.FB36.3596
    
  • استفاده از ویژگی Sticky

  • Switch(config-if)#switchport port-security mac-address sticky
    
  • نکته : در حالت sticky نیاز به وارد کردن MAC ادرس نیست و سوئیچ MAC ادرس را از روی اولین بسته دریافتی برمیدارد.

تعیین یکی از سه حالت موجود :

Switch(config-if)#switchport port-security violation portect

تعیین تعداد دستگاه های مجاز جهت استفاده از پورت:

Switch(config-if)#switchport port-security maximum 2
  • نکته : پیش فرض مقدار یک است و تا 132 می توان انرا مقداردهی کرد.

جهت مشاهده و بررسی تنظیمات از دستورات زیر استفاده می کنیم:

Switch#show port-security 
Switch#show port-security address

  • نکته : در صورتی که بخواهیم MAC آدرس هایی که از طریق Sticky آنها را پیدا کرده ایم را حذف کنیم از دستورات زیر استفاده می کنیم:
  • Switch#clear port-security all
    Switch#clear port-security sticky interface fastEthernet 0/1
    
    

نویسنده : جعفر قنبری شوهانی

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#port_security_چیست #آموزش_راه_اندازی_port_security #جلوگیری_از_حملات_mac_flooding #کاربرد_port_security_در_سویچ_سیسکو #آموزش_port_security #آموزش_پیاده_سازی_port_security #پیاده_سازی_port_security_درسویچ_لایه_3 #حالت_های_مختلف_port_security #نحوه_عملکرد_port_security_در_سویچ
10 نظر
Siamak.k

سلام دوست عزیز

در مورد تعیین تعداد دستگاه های محاز جهت استفاده از یک پورت شما فرمودید ماکسیمم مقدار برابر با 132 خواهد بود؟

آیا این مورد رو در شبیه ساز Packet tracer می فرمایید؟

چون در شبیه ساز GNS3 این میزان تا چهار هزار و اندی و در سوئیچ 3560 سیسکو در محیط Real این مقدار تا شش هزار و اندی بود.

ممنون میشم راهنمایی فرمایید

جعفر قنبری شوهانی

این عدد بسته به نوع IOS متغییر است

مثلا توی Packet Tracer برابر با 132

توی 2960 برابر با 8196

توی 3560X برابر با 6144

یا توی برخی مدل ها 4096

مثل توی کتاب CCNP SWITCH 642-813 Official Certification Guide گفته حداکثر میتونه 1024 باشه

network1991

باتشکر ازشما..اگه دستورswitchport port-security رو نزنیم ایا اتفاق خاصی رخ می دهد؟ یا باید واسه فعال کردن این دستور رو بزنیم؟

جعفر قنبری شوهانی

باید این دستور را بزنید تا این قابلیت فعال بشه

network1991

دوست عزیز من میخام پورت 20 رو بلاک کنم که هیچ کامپیوتری نتونه به این پورت وصل بشه باید از کدوم دستوربالا استفاده کنم...؟ یعنی هیچ چینتونه به پورته وصل بشه

جعفر قنبری شوهانی

بهترین کار اینه که پورت را خاموش کنید با دستور shutdown

احسان عروه

سلام

خسته نباشید

برای برداشتن port security از روی یک پورت از چه دستوری استفاده میکنیم؟

جعفر قنبری شوهانی

با دستور no switchport portsecurity

احسان عروه

وقتی یک پورت، پورت سکوریتی شده است دستور جواب نمیده، حتما باید بزنم:

clear mac-table-address

shut

noshut

تا پورت به حالت عادی برگرده!

جعفر قنبری شوهانی

اگه منظورتون زمانی هست که port security عمل کرده و یک دستگاه رو به عنوان دستگاه غیر مجاز شناخته و در حالت err-disable قرار گرفته باید پورت رو shutdown و بعد از no shutdown بزنید البته می تونید err-disable recovery هم تعیین کنید

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....