مفاهيم اوليه
در سادهترين حالت Port Security آدرس MAC متصل به پورت سوئيچ را به خاطر ميسپارد وفقط به همان آدرس MAC اجازه برقراري ارتباط با پورت سوئيچ را ميدهد. اگر آدرس MAC ديگري بخواهد از طريق همان پورت به شبكه متصل شود، پورت مذكورغيرفعال ميشود. اكثر اوقات مديران شبكه سوئيچ را طوري تنظيم ميكنند كه يك SNMP trap به سيستم مانيتورينگ مبني بر غير فعال شدن يك پورت به دلايل امنيتي فرستاده شود.
اگر چه پيادهسازي راهحل هاي امنيتي هميشه شامل يك trade-off ميباشد و لي اين كاهش سهولت در مقابل افزايش امنيت سيستم ميباشد. وقتي شما از Port Security استفاده ميكنيد ميتوانيد از دسترسي دستگاههاي مختلف به شبكه جلوگيري كنيد و اين امر موجب افزايش امنيت ميشود. ولي از طرف ديگر فقط مدير شبكه است كه ميتواند پورت را فعال كند و اين امر در جايي كه به دلايل مجاز قرار به تغييردستگاهها باشد ايجاد مشكل ميكند.
تنظيم Port Security
تنظيمات Port Security نسبتا ً ساده ميباشد. در آسانترين حالت كافياست دستورات زير اعمال شود:
Switch# config t
Switch(config)# int fa0/18
?Switch(config-if)# switchport port-security
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z
با وارد كردن ابتداييترين دستور، تنظيمات پيش فرض كه اجازه دسترسي فقط به يك آدرس MAC (آدرس دستگاهي كه اولين بار به پورت سوئيچ وصل شده است.)ميباشد، اعمال ميگردد. و در صورتي كه دستگاه ديگري بخواهد با آن پورت ارتباط برقرار كند، پورت سوئيچ خاموش ميشود. ولي قطعا ً تنظيمات پيش فرض مد نظر شما نميباشد.
شناخت ساير امكانات
همانطور كه در مثال بالا مشاهده كرديد، دستورات Port Security ديگري وجود دارند كه قابل تنظيم ميباشند از جمله:
- switchport port-security maximum {max # of MAC addresses allowed} : با استفاده از اين دستور ميتوان تعداد پيش فرض آدرسهاي MAC كه يك عدد ميباشد راتغيير داد. به عنوان مثال اگر به پورت سوئيچ شما يك هاب 12 پورتي متصل باشد، 12 آدرس MAC كه هر كدام مربوط به يك دستگاه ميباشد بايد اجازه دسترسي داشته باشند. بيشترين تعداد آدرس MAC كه قابل تنظيم است، 132 ميباشد.
- switchport port-security violation {shutdown | restrict | protect} : اين دستور به سوئيچ مي گويد در صورتي كه تعداد بيشتري دستگاه از ماكزيمم تعداد آدرس MAC مجاز به پورت متصل شود، پورت وارد چه حالتي شود. حالت پيش فرض shutdown ميباشد. درحالت restrict به مدير شبكه هشدار داده ميشود و در حالت protect بستههايي كه از طرف آدرس غير مجاز ارسال ميشود دور ريخته ميشوند.
- switchport port-security mac-address {MAC address} : با استفاده از اين دستور ميتوان آدرس MAC مجاز براي هر پورت را به صورت دستي براي آن تنظيم كرد. (به جاي اينكه هر پورت آدرس را به صورت پويا شناسايي كند.) همچنين ميتوان Port Security را براي يك رنج از پورتها تعريف كرد. به عنوان مثال:
Switch # config t
Switch (config) # int range fastEthernet 0/1 - 24
Switch (config-if) # switchport port-security
در مورد كاربرد اين دستور ميبايست بسيار محتاط بود چرا كه اگر اين دستور براي يك پورت uplink كه به بيش از يك دستگاه وصل است، استفاده شود به محض اينكه دستگاه دوم بستهاي را بفرستد، پورت خاموش ميشود.
مشاهده وضعيت Port Security
براي دانستن وضعيت Port Securityميتوان از دستورات show port-security address وshow port-security interface استفاده كرد:
Switch# show port-security address
Secure Mac Address Table
---------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0004.00d5.285d SecureDynamic Fa0/18 -
--------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
Switch#
براي كسب اطلاعات بيشتر در مورد Port Security و تنظيمات مربوط به آن به سند فعال سازي Port Security براي سوئيچ Catalyst 2950 به آدرسCisco''s Enabling Port Security documentation مراجعه كنيد.