نوشته‌ها

کانفیگ Port Security سوئیچ سیسکو

کانفیگ Port Security سوئیچ سیسکو

کانفیگ Port Security سوئیچ سیسکو

کانفیگ Port Security سوئیچ سیسکو در بعضی مواقع لازم است تا برخی موارد امنیتی را برای پورت‌های سوئیچ در نظر گرفت. به‌عنوان مثال می‌توان مشخص کرد چه تعداد دستگاه‌هایی می‌توانند از طریق یک پورت به سوئیچ متصل شوند. یا اینکه مشخص کرد چه آدرسی می‌تواند از یک پورت سوئیچ استفاده کند.

با استفاده از Port Security می‌توان کامپیوترهایی را که به یک پورت سوئیچ متصل می‌شوند از جهات مختلفی محدود کرد. شاید در شبکه نیاز باشد که تعداد محدودی کامپیوتر به سوئیچ وصل شوند یا اگر کاربری لپ‌تاپ خود را به شکل فیزیکی به سوئیچ متصل کرد، ارتباط برقرار نشود.

در ادامه مثال کاملی از حالت‌ها و کاربردهای مختلف Port Security قابل مشاهده است.

دستورات زیر برای Port Security استفاده می‌شوند که هرکدام جداگانه توضیح داده شده است.

2950(config)# interface fastethernet|gigabit 0/port_# (1)
2950(config-if)# switchport mode access (2)
2950(config-if)# switchport port-security (3)
2950(config-if)# switchport port-security maximum value (4)
2950(config-if)# switchport port-security violation protect|restrict|shutdown (5)
2950(config-if)# switchport port-security mac-address MAC_address (6)
2950(config-if)# switchport port-security mac-address sticky (7)

(1) در ابتدا باید به اینترفیسی وارد شوید که قصد دارید تا محدودیت‌های امنیتی را بر روی آن‌ها اعمال کنید.

(2) با استفاده از این حالت، اینترفیس در حالت Access قرار می‌گیرد. توجه داشته باشید که کلاینت‌ها به اینترفیس‌های Access متصل می‌شوند.

(3) ویژگی Port Security با استفاده از دستور سوم فعال می‌شود.

(4) با استفاده از دستور چهارم می‌توان بیشترین تعداد کامپیوتری که می‌توانند به پورت متصل شوند را مشخص کرد.

(5) با استفاده از دستور بعد می‌توان مشخص کرد که اگر تعداد کامپیوترهای متصل شده به پورت از تعداد MAX که در دستور قبل مشخص شده بیشتر شود، چه محدودیتی اعمال شود.

محدودیت های قابل اعمال برای Port Security

Protect: آدرس جدید Learn نمی‌شود و بسته‌ها Drop می‌شوند.

Restrict: سوئیچ یک پیام امنیتی صادر می‌کند و بسته‌های آن پورت نیز Drop می‌شوند.

Shutdown: سوئیچ یک پیام تولید کرده و اینترفیس را غیرفعال می‌کند.

توجه داشته باشید که حالت پیش‌فرض Shutdown است.

(6) با استفاده از دستور یک آدرس MAC مشخص می‌شود تا تنها همان آدرس MAC بتواند به سوئیچ متصل شود.

(7) با استفاده از این دستور می‌توان تعیین کرد تا آدرس‌های MAC را Learn کند و آن‌ها را به صورت Static در جدول اضافه کند.

در این مثال نیاز است برای هر پورت از سوئیچ یکسری تنظیمات امنیتی را براساس موارد زیر اعمال کنیم.

  • از طریق پورت Fa0/1 تنها یک سرور با آدرس 0200.1111.1111 بتواند به سوئیچ متصل شود.
  • از طریق پورت Fa0/2 اولین سروری که متصل می‌شود بتواند با سوئیچ ارتباط برقرار کند.
  • تنظیمات مربوط به پورت Fa0/3 به نحوی صورت بپذیرد تا حداکثر یک کلاینت بتواند متصل شود.
  • از طریق پورت Fa0/4 حداکثر ۸ کلاینت بتواند با سوئیچ ارتباط برقرار کند و در صورتی که تعداد کلاینت‌های متصل شده به پورت از ۸ کلاینت بیشتر شد، پورت غیرفعال شود.

کانفیگ Port Security سوئیچ سیسکو

گام اول

در پورت Fa0/1 تنظیمات را به‌صورت ایستا انجام دهید.

در Fa0/1 مشخص کرده‌ایم که تنها Server1 بتواند به این پورت متصل شود و هیچ کامپیوتر دیگری اجازه اتصال به این را ندارد.

Switch(config)#interface fastEthernet 0/1 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security mac-address 0200.111.1111 (4)
Switch(config-if)#switchport port-security violation restrict (5)

(1) وارد اینترفیس fa0/1 شوید.

(2) اینترفیس را در حالت Access بگذارید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) با استفاده از این دستور آدرس MAC سرور ۱ را وارد کنید تا فقط این سرور بتواند به اینترفیس متصل شود.

(5) درصورتی‌که کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

گام دوم

در Fa0/2 تنظیمات Sticky را انجام دهید.

در Fa0/2 تنها اولین کلاینتی که به پورت ۲ متصل شود قادر به تبادل اطلاعات در شبکه را خواهد بود و کلاینت دیگری نمی‌تواند از این پورت استفاده کند.

Switch(config)#interface fastEthernet 0/2 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security mac-address sticky (4)
Switch(config-if)#switchport port-security violation restrict (5)

(1) وارد اینترفیس fa0/2 شوید.

(2) حالت اینترفیس را درحالت Access بگذارید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) به وسیله این دستور مشخص خواهید کرد که فقط اولین نفری که به اینترفیس متصل شود می‌تواند از آن استفاده کند.

(5) در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

گام سوم

تنظیمات مربوط به این پورت را به نحوی انجام دهید تا حداکثر یک کلاینت به آن متصل شود.

یک حالت خاص از تنظیمات وجود دارد که پورت در حالت پویا قرار دارد اما حداکثر یک کلاینت می‌تواند به سوئیچ متصل شود.

Switch(config)#interface fastEthernet 0/3 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security violation restrict (4)

(1) وارد اینترفیس Fa0/3 شوید.

(2) حالت اینترفیس را به Access تغییر دهید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

همان‌گونه که قابل مشاهده است دستور port-security به‌تنهایی این ویژگی را فعال می‌کند.

گام چهارم

در Fa0/4 تنظیماتی انجام دهید که تنها ۸ کامپیوتر بتوانند به سوئیچ متصل شوند.

به Fa0/4 یک Hub متصل شده است که از طریق آن ۴ کامپیوتر به سوئیچ متصل هستند. محدودیتی که باید برروی این اینترفیس اعمال شود این است که بیشتر از ۸ کلاینت نتواند به این اینترفیس وصل شود.

دستورات زیر را اجرا کنید:

Switch(config)#interface fastEthernet 0/4 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security mac-address maximum 8 (4)
Switch(config-if)#switchport port-security violation shutdown (5)

(1) وارد اینترفیس Fa0/4 شوید.

(2) حالت اینترفیس را روی Access بگذارید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) به‌وسیله این دستور فقط به ۸ کامپیوتر (آدرس MAC) اجازه اتصال به این اینترفیس را می‌دهید.

(5) در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد، اینترفیس غیرفعال شود.

حال درصورتی‌که ۹ کلاینت به Hub متصل کنید اینترفیس ۴ سوئیچ خاموش خواهد شد.

مطالب مرتبط:

کتاب CCNA Security

کتاب CCNA Security LAB

کتاب CCNP Security VPN

کتاب CCNP Routing Switching