نوشته‌ها

کانفیگ Port Security سوئیچ سیسکو

کانفیگ Port Security سوئیچ سیسکو

کانفیگ Port Security سوئیچ سیسکو

کانفیگ Port Security سوئیچ سیسکو در بعضی مواقع لازم است تا برخی موارد امنیتی را برای پورت‌های سوئیچ در نظر گرفت. به‌عنوان مثال می‌توان مشخص کرد چه تعداد دستگاه‌هایی می‌توانند از طریق یک پورت به سوئیچ متصل شوند. یا اینکه مشخص کرد چه آدرسی می‌تواند از یک پورت سوئیچ استفاده کند.

با استفاده از Port Security می‌توان کامپیوترهایی را که به یک پورت سوئیچ متصل می‌شوند از جهات مختلفی محدود کرد. شاید در شبکه نیاز باشد که تعداد محدودی کامپیوتر به سوئیچ وصل شوند یا اگر کاربری لپ‌تاپ خود را به شکل فیزیکی به سوئیچ متصل کرد، ارتباط برقرار نشود.

در ادامه مثال کاملی از حالت‌ها و کاربردهای مختلف Port Security قابل مشاهده است.

دستورات زیر برای Port Security استفاده می‌شوند که هرکدام جداگانه توضیح داده شده است.

2950(config)# interface fastethernet|gigabit 0/port_# (1)
2950(config-if)# switchport mode access (2)
2950(config-if)# switchport port-security (3)
2950(config-if)# switchport port-security maximum value (4)
2950(config-if)# switchport port-security violation protect|restrict|shutdown (5)
2950(config-if)# switchport port-security mac-address MAC_address (6)
2950(config-if)# switchport port-security mac-address sticky (7)

(1) در ابتدا باید به اینترفیسی وارد شوید که قصد دارید تا محدودیت‌های امنیتی را بر روی آن‌ها اعمال کنید.

(2) با استفاده از این حالت، اینترفیس در حالت Access قرار می‌گیرد. توجه داشته باشید که کلاینت‌ها به اینترفیس‌های Access متصل می‌شوند.

(3) ویژگی Port Security با استفاده از دستور سوم فعال می‌شود.

(4) با استفاده از دستور چهارم می‌توان بیشترین تعداد کامپیوتری که می‌توانند به پورت متصل شوند را مشخص کرد.

(5) با استفاده از دستور بعد می‌توان مشخص کرد که اگر تعداد کامپیوترهای متصل شده به پورت از تعداد MAX که در دستور قبل مشخص شده بیشتر شود، چه محدودیتی اعمال شود.

محدودیت های قابل اعمال برای Port Security

Protect: آدرس جدید Learn نمی‌شود و بسته‌ها Drop می‌شوند.

Restrict: سوئیچ یک پیام امنیتی صادر می‌کند و بسته‌های آن پورت نیز Drop می‌شوند.

Shutdown: سوئیچ یک پیام تولید کرده و اینترفیس را غیرفعال می‌کند.

توجه داشته باشید که حالت پیش‌فرض Shutdown است.

(6) با استفاده از دستور یک آدرس MAC مشخص می‌شود تا تنها همان آدرس MAC بتواند به سوئیچ متصل شود.

(7) با استفاده از این دستور می‌توان تعیین کرد تا آدرس‌های MAC را Learn کند و آن‌ها را به صورت Static در جدول اضافه کند.

در این مثال نیاز است برای هر پورت از سوئیچ یکسری تنظیمات امنیتی را براساس موارد زیر اعمال کنیم.

  • از طریق پورت Fa0/1 تنها یک سرور با آدرس 0200.1111.1111 بتواند به سوئیچ متصل شود.
  • از طریق پورت Fa0/2 اولین سروری که متصل می‌شود بتواند با سوئیچ ارتباط برقرار کند.
  • تنظیمات مربوط به پورت Fa0/3 به نحوی صورت بپذیرد تا حداکثر یک کلاینت بتواند متصل شود.
  • از طریق پورت Fa0/4 حداکثر ۸ کلاینت بتواند با سوئیچ ارتباط برقرار کند و در صورتی که تعداد کلاینت‌های متصل شده به پورت از ۸ کلاینت بیشتر شد، پورت غیرفعال شود.

کانفیگ Port Security سوئیچ سیسکو

گام اول

در پورت Fa0/1 تنظیمات را به‌صورت ایستا انجام دهید.

در Fa0/1 مشخص کرده‌ایم که تنها Server1 بتواند به این پورت متصل شود و هیچ کامپیوتر دیگری اجازه اتصال به این را ندارد.

Switch(config)#interface fastEthernet 0/1 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security mac-address 0200.111.1111 (4)
Switch(config-if)#switchport port-security violation restrict (5)

(1) وارد اینترفیس fa0/1 شوید.

(2) اینترفیس را در حالت Access بگذارید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) با استفاده از این دستور آدرس MAC سرور ۱ را وارد کنید تا فقط این سرور بتواند به اینترفیس متصل شود.

(5) درصورتی‌که کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

گام دوم

در Fa0/2 تنظیمات Sticky را انجام دهید.

در Fa0/2 تنها اولین کلاینتی که به پورت ۲ متصل شود قادر به تبادل اطلاعات در شبکه را خواهد بود و کلاینت دیگری نمی‌تواند از این پورت استفاده کند.

Switch(config)#interface fastEthernet 0/2 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security mac-address sticky (4)
Switch(config-if)#switchport port-security violation restrict (5)

(1) وارد اینترفیس fa0/2 شوید.

(2) حالت اینترفیس را درحالت Access بگذارید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) به وسیله این دستور مشخص خواهید کرد که فقط اولین نفری که به اینترفیس متصل شود می‌تواند از آن استفاده کند.

(5) در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

گام سوم

تنظیمات مربوط به این پورت را به نحوی انجام دهید تا حداکثر یک کلاینت به آن متصل شود.

یک حالت خاص از تنظیمات وجود دارد که پورت در حالت پویا قرار دارد اما حداکثر یک کلاینت می‌تواند به سوئیچ متصل شود.

Switch(config)#interface fastEthernet 0/3 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security violation restrict (4)

(1) وارد اینترفیس Fa0/3 شوید.

(2) حالت اینترفیس را به Access تغییر دهید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

همان‌گونه که قابل مشاهده است دستور port-security به‌تنهایی این ویژگی را فعال می‌کند.

گام چهارم

در Fa0/4 تنظیماتی انجام دهید که تنها ۸ کامپیوتر بتوانند به سوئیچ متصل شوند.

به Fa0/4 یک Hub متصل شده است که از طریق آن ۴ کامپیوتر به سوئیچ متصل هستند. محدودیتی که باید برروی این اینترفیس اعمال شود این است که بیشتر از ۸ کلاینت نتواند به این اینترفیس وصل شود.

دستورات زیر را اجرا کنید:

Switch(config)#interface fastEthernet 0/4 (1)
Switch(config-if)#switchport mode access (2)
Switch(config-if)#switchport port-security (3)
Switch(config-if)#switchport port-security mac-address maximum 8 (4)
Switch(config-if)#switchport port-security violation shutdown (5)

(1) وارد اینترفیس Fa0/4 شوید.

(2) حالت اینترفیس را روی Access بگذارید.

(3) Port-security را برای اینترفیس فعال کنید.

(4) به‌وسیله این دستور فقط به ۸ کامپیوتر (آدرس MAC) اجازه اتصال به این اینترفیس را می‌دهید.

(5) در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد، اینترفیس غیرفعال شود.

حال درصورتی‌که ۹ کلاینت به Hub متصل کنید اینترفیس ۴ سوئیچ خاموش خواهد شد.

مطالب مرتبط:

کتاب CCNA Security

کتاب CCNA Security LAB

کتاب CCNP Security VPN

کتاب CCNP Routing Switching

 

کتاب CCNA Security LAB

کتاب CCNA Security LAB

کتاب CCNA Security LAB

کتاب CCNA Security LAB شامل سناریوها و لابراتوارهای دوره CCNA Security است. این کتاب برای کسانی که قصد شروع دوره‌های امنیت را دارند؛ توصیه می‌شود. مشخصات این کتاب به شرح زیر است.

  • تعداد صفحه: ۲۸۳ صفحه
  • ناشر: سیسکو
  • سال انتشار: ۲۰۱۰ میلادی
  • فرمت: PDF
  • زبان: انگلیسی

[su_button url=”https://rootlan.com/wp-content/uploads/2017/04/CCNA_Seciruty_Lab_SLM_v10.pdf” target=”blank” style=”glass”]دانلود کتاب[/su_button]

کتاب CCNA Security LAB

کتاب CCNA Security LAB

درباره آزمون CCNA

با آزمون CCNA می‌توان نصب، پیکربندی و عیب‌یابی شبکه را در مقیاس‌های متوسط انجام داد. همچنین در زمینه سوئیچینگ و روتینگ و شبکه‌های راه دور هم کاربرد خواهد داشت. استاندارد آموزشی این دوره، پروتکل های Routing از جمله OSPF ،EIGRP و RIP را شامل می‌شود. پیاده‌سازی شبکه‌های Frame Relay و Access Control List نیز از دیگر امکانات آن به شمار می‌رود.

پیش نیاز شرکت در هر یک از آزمون‌های سیسکو، قبولی در آزمون CCNA Routing & Switching خواهد بود. بنابراین نمی‌توان به طور مستقیم CCNA Voice ،CCNA Security و CCNP را امتحان داد. تنها آزمونی که نیاز به پیش نیاز ندارد، CCIE است. به شکل مستقیم می‌توانید CCIE Written را ثبت نام کنید.

به چه میزان مطالعه برای شرکت در آزمون CCNA نیاز است؟

سوالات تمامی آزمون‌های دیگر نظیر CCNA و CCNP به جز آزمون CCIE همگی از کتاب مطرح می‌شوند. علاوه بر این در هر آزمون پنج سوال عملی هم وجود دارد که نیاز به وارد کردن دستورات دارد. این سوالات همانند سناریو های Packet Tracer است. با کلیک بر روی روتر و سوئیچ سیسکو کنسول دستگاه ظاهر شده و دستورات را اجرا می‌کند.

بهتر است به مطالب دوره بالاتر نیز مسلط باشید یا در آزمون قبلی شرکت کنید. به عنوان مثال اگر می‌خواهید در آزمون CCNA شرکت کنید؛ بهتر است دوره CCNP را هم گذرانده باشید.

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]کتاب CCNP Security VPN
کتاب CCNP Routing Switching
کتاب CCNP Route Student Lab [/su_box]