Cấu hình Port-Security cho Switch

 

1. Chức năng của Port-Security 

+ Giới hạn đầu vào interface bằng cách hạn chế và xác định địa chỉ MAC của các máy trạm được phép truy cập vào.
+ Đảm bảo tính bảo mật của hệ thống không bị tấn công từ bên trong mạng.
+ Port security có thể giúp phòng chống dạng tấn công phổ biến như giả MAC address hay chặn người dùng không hợp lệ truy cập vào mạng.

2. Cơ chế hoạt động

Khi ta cấu hình port security xong, bảng CAM (Bảng CAM chứa thông tin về những interface của switch và MAC address của thiết bị cắm vào interface ấy) sẽ ghi điạ chỉ MAC của thiết bị kết nối.
Nếu hạn chế số lượng địa chỉ secure MAC tới một cổng và chỉ định một địa chỉ secure MAC, các máy trạm thuộc port đó được đảm bảo đầy đủ băng thông. Nếu một port secure với số lượng tối đa các địa chỉ secure MAC được đạt tới, khi địa chỉ MAC của các máy trạm còn lại cố gắng truy cập vào cổng mà khác với các địa chỉ secure MAC đã xác định, thì vi phạm (violation) bảo mật xảy ra.

3. Thực hành

Thực hành trên Cisco Packet Tracer với sơ đồ sau:

Bước 1: Cấu hình port-security trên Switch1 cho các port access (port1 -> port24), maximum =1, Sticky, violation:shutdown

Note:
+ switchport mode access: cho biết interface này đang nối đến 1 máy tính.
+ switchport port-security: bật chức năng port security cho switch.
+ switchport port-security maximum 1: trong 1 thời điểm, chỉ gắn tối đa 1 máy vào interface này.
+ switchport port-security mac-address sticky: switch sẽ gán cố định 1 MAC address với interface. Nếu MAC address của máy được nối vào switch khác với MAC address được gán thì xem như là vi phạm rule. Khai báo “sticky” nghĩa là MAC address đầu tiên mà switch được học từ interface đó sẽ được lưu lại.
+ switchport port-security violation shutdown: khi vi phạm, dùng hành động là shutdown đối với interface. Port sẽ bị tắt.
switchport port-security violation protect : vi phạm nó sẽ không có thông báo bất kì thứ gì cho client
switchport port-security violation restrict : vi phạm nó tạo kết nối, nhưng không cho bạn truy cập vào mạng

Bước 2 : Hoán đổi cáp maṇg giữa hai PC1 và PC2 -> Kiểm tra chức năng port-securit có hoaṭ đôṇg

Chúng ta thay một PC khác vào port f0/1 để xem nó có vi phạm chính sách không? Nếu có nó sẽ shutdown port
Nhớ đợi tý cho nó học MAC nhé

Bước 3: Xử lý port khi bị shutdown

 

Bình luận