کانفیگ Port Security سوئیچ سیسکو

کانفیگ Port Security سوئیچ سیسکو :در بعضی مواقع لازم است تا یکسری موارد امنیتی را برای پورت‌های سوئیچ در نظر گرفت. به‌عنوان‌مثال مشخص کرد حداکثر دستگاه‌هایی که می‌توانند از طریق یک پورت به سوئیچ سیسکو متصل شوند چه تعداد باشند و یا اینکه مشخص کرد که چه آدرسی می‌تواند از یک پورت سوئیچ استفاده کند. با استفاده از Port Security می‌توان کامپیوترهایی را که به یک پورت سوئیچ متصل می‌شوند از جهات مختلفی محدود کرد به‌عنوان‌مثال شاید در شبکه نیاز باشد که تعداد محدودی کامپیوتر به سوئیچ وصل شوند و یا اگر کاربری لپ‌تاپ خود را به سوئیچ متصل کرد ارتباط برقرار نشود.

در ادامه مثال کاملی از حالت‌ها و کاربردهای مختلف Port Security قابل‌مشاهده است.

دستورات زیر برای Port Security استفاده می‌شوند که هرکدام جداگانه توضیح داده شده است.

2950(config)# interface fastethernet|gigabit 0/port_# ❶
2950(config-if)# switchport mode access ❷
2950(config-if)# switchport port-security ❸
2950(config-if)# switchport port-security maximum value ❹
2950(config-if)# switchport port-security violation ❺
protect|restrict|shutdown
2950(config-if)# switchport port-security mac-address MAC_address ❻
2950(config-if)# switchport port-security mac-address sticky ❼

❶ در ابتدا باید به اینترفیسی وارد شوید که قصد دارید تا محدودیت‌های امنیتی برروی آن‌ها اعمال کنید.

❷ با استفاده از این حالت اینترفیس در حالت Access قرار می‌گیرد (توجه داشته باشید که کلاینت‌ها به اینترفیس‌های Access متصل می‌شوند).

❸ ویژگی Port Security با استفاده از این دستور فعال می‌شود.

❹ با استفاده از این دستور بیشترین تعداد کامپیوترهایی که می‌توانند به پورت متصل شوند را مشخص کرد.

❺ با استفاده از این دستور می‌توان مشخص کرد که اگر تعداد کامپیوترهای متصل شده به پورت از تعداد MAX که در دستور قبل مشخص گردید بیشتر شد چه محدودیتی اعمال شود.

محدودیت هایی که می توان اعمال کرد شامل:

Protect: آدرس جدید Learn نمی‌شود و بسته‌ها Drop می‌شوند.

Restrict: سوئیچ یک پیام امنیتی صادر می‌کند و بسته‌های آن پورت نیز Drop می‌شوند.

Shutdown: سوئیچ یک پیام تولید کرده و اینترفیس را غیرفعال می‌کند.

توجه داشته باشید که حالت پیش‌فرض Shutdown است.

❻ با استفاده از این دستور یک آدرس MAC مشخص می‌شود تا تنها همان آدرس MAC بتواند به سوئیچ متصل شود.

❼ با استفاده از این دستور می‌توان تعیین کرد تا آدرس‌های MAC را Learn کند و آن‌ها را به‌صورت Static در جدول اضافه کند.

در این مثال نیاز است برای هر پورت از سوئیچ یکسری تنظیمات امنیتی را براساس موارد زیر اعمال کنیم.

از طریق پورت Fa0/1 تنها یک سرور با آدرس ۰۲۰۰.۱۱۱۱.۱۱۱۱ بتواند به سوئیچ متصل شود.

از طریق پورت Fa0/2 اولین سروری که متصل می‌شود بتواند با سوئیچ ارتباط برقرار کند.

تنظیمات مربوط به پورت Fa0/3 به نحوی صورت بپذیرد تا حداکثر یک کلاینت بتواند متصل شود.

از طریق پورت Fa0/4 حداکثر ۸ کلاینت بتواند با سوئیچ ارتباط برقرار کند و درصورتی‌که تعداد کلاینت‌های متصل شده به پورت از ۸ کلاینت بیشتر شد، پورت غیرفعال شود.

کانفیگ Port Security سوئیچ سیسکو

گام اول

در پورت Fa0/1 تنظیمات را به‌صورت ایستا انجام دهید.

در Fa0/1 مشخص کرده‌ایم که تنها Server1 بتواند به این پورت متصل شود و هیچ کامپیوتر دیگری اجازه اتصال به این را ندارد.

Switch(config)#interface fastEthernet 0/1 ❶
Switch(config-if)#switchport mode access ❷
Switch(config-if)#switchport port-security ❸
Switch(config-if)#switchport port-security mac-address 0200.111.1111 ❹
Switch(config-if)#switchport port-security violation restrict ❺

❶ وارد اینترفیس fa0/1 شوید.

❷ اینترفیس را در حالت Access بگذارید.

❸ Port-security را برای اینترفیس فعال کنید.

❹ با استفاده از این دستور آدرس MAC سرور ۱ را وارد کنید تا فقط این سرور بتواند به اینترفیس متصل شود.

❺ درصورتی‌که کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

گام دوم

در Fa0/2 تنظیمات Sticky را انجام دهید.

در Fa0/2 تنها اولین کلاینتی که به پورت ۲ متصل شود قادر به تبادل اطلاعات در شبکه را خواهد بود و کلاینت دیگری نمی‌تواند از این پورت استفاده کند.

Switch(config)#interface fastEthernet 0/2 ❶
Switch(config-if)#switchport mode access ❷
Switch(config-if)#switchport port-security ❸
Switch(config-if)#switchport port-security mac-address sticky ❹
Switch(config-if)#switchport port-security violation restrict ❺

❶ وارد اینترفیس fa0/2 شوید.

❷ حالت اینترفیس را درحالت Access بگذارید.

❸ Port-security را برای اینترفیس فعال کنید.

❹ به‌وسیله این دستور مشخص خواهید کرد که فقط اولین نفری که به اینترفیس متصل شود می‌تواند از آن استفاده کند.

❺ در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

گام سوم

تنظیمات مربوط به این پورت را به نحوی انجام دهید تا حداکثر یک کلاینت به آن متصل شود.

یک حالت خاص از تنظیمات وجود دارد که پورت در حالت پویا قرار دارد اما حداکثر یک کلاینت می‌تواند به سوئیچ متصل شود.

Switch(config)#interface fastEthernet 0/3 ❶
Switch(config-if)#switchport mode access ❷
Switch(config-if)#switchport port-security ❸
Switch(config-if)#switchport port-security violation restrict ❹

❶وارد اینترفیس Fa0/3 شوید.

❷ حالت اینترفیس را به Access تغییر دهید.

❸ Port-security را برای اینترفیس فعال کنید.

❹ در صورتی کامپیوتری با آدرس MAC دیگری به اینترفیس متصل شد پیامی صادر شود و از اتصال کامپیوتر جلوگیری شود.

همان‌گونه که قابل مشاهده است دستور port-security به‌تنهایی این ویژگی را فعال می‌کند.

گام چهارم

در Fa0/4 تنظیماتی انجام دهید که تنها ۸ کامپیوتر بتوانند به سوئیچ متصل شوند.

به Fa0/4 یک Hub متصل شده است که از طریق آن ۴ کامپیوتر به سوئیچ متصل هستند. محدودیتی که باید برروی این اینترفیس اعمال شود این است که بیشتر از ۸ کلاینت نتواند به این اینترفیس وصل شود.

آموزش سیسکو : برای این کار دستورات زیر را اجرا کنید.

Switch(config)#interface fastEthernet 0/4 ❶
Switch(config-if)#switchport mode access ❷
Switch(config-if)#switchport port-security ❸
Switch(config-if)#switchport port-security mac-address maximum 8 ❹
Switch(config-if)#switchport port-security violation shutdown ❺

❶ وارد اینترفیس Fa0/4 شوید.

❷ حالت اینترفیس را روی Access بگذارید.

❸ Port-security را برای اینترفیس فعال کنید.

❹ به‌وسیله این دستور فقط به ۸ کامپیوتر(آدرس MAC) اجازه اتصال به این اینترفیس را می‌دهید.

❺ در صورتی کامپیوتری با آدرسMAC دیگری به اینترفیس متصل شد، اینترفیس غیرفعال شود.

حال درصورتی‌که ۹ کلاینت به Hub متصل کنید اینترفیس ۴ سوئیچ خاموش خواهد شد.

کانفیگ Port Security سوئیچ سیسکو