راه اندازی Port Security سیسکو

توسط: انتشار: دسته بندی: سیسکو خواندن در ۳ دقیقه

با استفاده از Port Security در واقع ما به سویچ می گوییم که فقط و فقط اتصلات را از MAC Address هایی که ما تعیین می کنیم بپذیرد چراکه در دنیای امروز با استفاده از دستگاههای مختلف ازجمله تلفن همراه می توان به یک شبکه متصل شد همچنین هر کسی می تواند با اتصال به شبکه داخلی و فرستادن هزاران MAC Address به سویچ ، اقدام به پر کردن CAM Table آن کرده ( به این حمله CAM Table Flood می گوییم) و در نتیجه آن سویچبه یک هاب تبدیل شده و هکر می تواند تمامی اطلاعات در حال انتقال را Sniff کند. در نتیجه فعال کردن Port Security، در صورتی که فرد مهاجم بتواند به تجهیزات شبکه داخلی ما دسترسی داشته باشد باز هم نمی تواند وارد شبکه داخلی ما شود.

این ویژگی فقط در سوئیچ ها وجود دارد و باعث می شود ترافیک ورودی به سوئیچ ها بر اساس آدرس Mac فیزیکی محدود شود. برای راه اندازی باید پورتها در حالت Access باشند.

در حالت کلی Port Security در سه حالت زیر کار می کند:

  1. Dynamic : حالت معمولی که تمام MAC Address ها یاد می گیرد و اجازه اتصال می دهد.
  2. Static : تنها به MAC Address هایی که ما تعیین می کنیم اجازه دسترسی می دهد.
  3. Sticky : به صورت اتوماتیک MAC Address ها را ثبت می کند با این تفاوت که این تعداد آدرس ها ثبت شده محدود هستند.

در صورت Shut Down شدن یک اینترفیس به دلیل نقض Port Security شما باید وارد آن اینترفیس بروید و یک بار آن را خاموش و روشن کنید.

 

Violation Mode ها در واقع عملی هستند که سویچ در مقابله با اتصال یک دستگاه با MAC Address غیر مجاز انجام می دهند که شامل سه حالت زیر هستند:

  1. Shutdown : پورت را خاموش می کند.
  2. Restrict : بسته ها را drop می کند و همچنین شمارنده Security Counter را اضافه می کند( به نوعی log ثبت می کند).
  3. Protect : تنها بسته ها را drop می کند اما هیچ log ای را ثبت نمی کند.

 


این اینترفیس را بر روی حالت Access قرار می دهیم.

Switch(config-if)#Switchport mode access


با دستور زیر قابلیت Port Security را فعال می کنیم.

Switch(config-if)#switchport port-security

با دستور زیر حالت Port Securty را بر روی Sticky قرار می دهیم.

Switch(config-if)#switchport port-security mac-address sticky

همچنین با دستور زیر می توانیم به صورت Static مک ادرس را ثبت کنیم.

Switch(config-if)#switchport port-security mac-address <MAC Address>

دستور زیر تعداد مک ادرس هایی که سویچ می تواند از این اینترفیس یاد بگیرد را تعیین می کند.

Switch(config-if)#switchport port-security maximum 2

با دستور زیر Violation Mode یا نوع برخورد با نقض Port Security را تعیین می کنیم

]Switch(config-if)#switchport port-security violation shutdown 



 

مقالات پیشنهادی
سیسکو

راه اندازی VTP در سیسکو

سوئیچ ها ترافیک vlan هایی را از خود عبور می دهند که آن vlan را داشته باشند یعنی برای یک شبکه خصوصاً شبکه که دارای redundancy هستند باید سوئیچ ها تمامی vlan ها را در خود داشته باشند که برای ایجاد تمام...

سیسکو

آشنایی با Trunk در سیسکو

شبکه های flat شبکه های هستند که فاقد vlan هستند و بزرگترین مشکل آنها Malicions Code (مثل worm) است. در صورت نفوز&nbsp;worm ها به یک شبکه به راحتی از طریق Broadcast و Multicast منتشر می شوند و کل شبکه...

سیسکو

دستورات پایه تجهیزات سیسکو

با راه اندازی تجهیزات سیسکو مثل روتر یا سوئیچ پیامی همانند تصویر نمایش داده میشود که در صورت تایید بصورت Wizard تعدادی سوال جهت پیکربندی دستگاه از شما سوال می شود و در اکثر موارد کاربردی و مناسب شرایط...

سیسکو

راه اندازی Allowed Vlan در سیسکو

گاهی لازم است شرایطی ایجاد کنیم تا ترافیک یک VLAN وارد شبکه ما نشود (پورت Trunk به صورت default تمام VLANهای با آیدی یکسان را به هم وصل میکند) به کمک Allowed Vlan می توانیم جلو ترافیک Vlan خاصی را بگی...

دیدگاه‌ها و پرسش‌ها

هیچ دیدگاهی تا به این لحظه برای این موضوع ثبت نشده است