در این سری از پست های آموزشی در مورد قابلیت Port Security در تجهیزات سیسکو صحبت خواهیم کردم.
Port security چیست؟
Port Security قابلیت دسترسی به درگاه ها را براساس آدرس فیزیکی (MAC) هر دستگاه محدود می کند. این قابلیت می تواند هم به صورت محلی برای کنترل درگاه ها و هم به صورت مرکزی در تجهیزاتی نظير سوییچ اعمال شود در حالتی که درگاه به آدرس فیزیکی خاصی محدود می شود. اتصال آن درگاه به دستگاه دیگری اتصال به شبکه را فورا غیر فعال خواهد کرد. از این تکنولوژی در مواردی نظير سوييچ هایی که در مکان های عمومی قرار دارند یا درگاه های حساس شبکه استفاده می کنند.
نحوه فعال سازی قابلیت پورت سکیوریتی (Port Security) در سیسکو
قابل ذکر است این قابلیت در تجهیزات مختلف نظير میکروتیک هم وجود دارد اما به طور پیشفرض غیر فعال است.ما در زیر روش فعال سازی آن را روی یک سوييچ شریح می دهیم:
مرحله اول – سوييچ باید لایه دویی باشد و این قابلیت در درگاه های نوع Access فعال می شود،در صورتی که سوييچ لایه سه ای باشد می توان با دستور زیر آن را به لایه دو تبدیل کرد:
Switchport
مرحله دوم – برای استفاده از این قابلیت دستور زیر را وارد کنید:
Switchport port-security
مرحله سوم – نوع محدودیت برای دستگاهی که متصل میشود را روی درگاه اعمال می کنيد:
Switch port-security violation {Protect | Restrict | Shutdown }
انواع محدودیت هایی را که در پورت سکیوریتی (Port security) میتوان اعمال کرد به شرح زیر می باشند:
حالت Protect : این وضعیت ترافیک را حذف می کند اما درگاه همچنان فعال یا up خواهد ماند و پيام snmp را ارسال نمی کند.
حالت Restrict : این وضعیت مانند حالت قبلی هم ترافیک را حذف می کند و هم درگاه را در حالت فعال یا up نگه می دارد اما یک پیام به پروتکل مدیریتی snmp در شبکه ارسال می کند.
حالت Shutdown : این وضعیت که سخت ترین نوع سیاست است هم ترافیک را محدود میکند و هم پیام را snmp ارسال می کند و در نهایت درگاه غیر فعال می شود.
مرحله چهارم – می توانید مک آدرس خاصی را به لیست مجاز اختصاص دهید، این حالت Manual است و محدود سازی به روش اتوماتیک صورت نمی گیرد:
switchport port-security mac-address value
همچنین می توانيد مک آدرس خاصی را اضافه نکنید تا سیستم در صورت اتصال به یک دستگاه آن ها را بر اساس اولویت اتصال محدود کند. یعنی اولین دستگاهی که متصل می شود به عنوان دستگاه مجاز و برای اتصالات بعد محدودیت ها اعمال می شوند:
switchport port-security mac-address sticky
نمونه ای از پیاده سازی این قابلیت در شبکه :
Switch(config)# interface gig0/2 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security mac-address 00-d0-ba-11-21-31 Switch(config-if)# switchport port-security violation shutdown Switch(config-if)#end
برای نمایش وضعیت فعالسازی port Security از دستور زیر استفاده کنید:
To Verify the port security status use "show port-security"
- Design
