تکنولوژی Port Security یکی از متد های استفاده شده جهت جلوگیری از دسترسی غیر مجاز به شبکه شما می‌باشد. با استفاده از Port Security میتوانید اطمینان داشته باشید که یک MAC Address خاص فقط به یک پورت خاص از سوئیچ شما میتواند متصل شود و در صورتی که MAC دیگری شناسایی شد آن پورت shutdown شود. قبل از پیاده سازی این قابلیت باید پورت هایی که میخواهید ایمن شوند، چه تعداد آدرس MAC برروی هر پورت مجاز است؟ MAC ها به صورت دستی باید وارد شوند یا به صورت Dynamic؟ اگر محدودیتی که در نظر گرفتید شکسته شد چه اتفاقی برای پورت بی‌افتد؟ 

قابلیت port security عموما در جاهایی استفاده میشود که سوئیچ شما در مکانی قرار گرفته که شخص دیگری میتواند کابلی به سوئیچ وصل کند. البته وقتی پریز شبکه دارید که keystone دارد در واقع هرکسی میتواند با یک پچ کورد ساده به شبکه شما وصل شود. همچنین شما میتوانید از دسترسی چند کلاینت به یک پورت جل.گیری کنید. مثلا اگر یک هاب سوئیچ به یکی از پورتها متصل بشه و چندین سیستم از آن طریق وصل بشوند. همچنین افرادی که میخواهند از وصل شدن لپ تاپ ها به شبکه جلوگیری کنند قابلیت خیلی مفیدی است براشون. در واقع Port security قابلیتی است که با استفاده از آن میتوانیم بگوییم که فقط این آدرس MAC یا این آدرس های MAC بتوانند به این پورت بخصوص متصل شوند.

دستورات با رنگ قرمز و متغیر ها (با توجه به نوع دستگاه یا متغیر های انتخابی شما) با رنگ آبی مشخص شده اند!

قابلیت port security فقط برروی پورت های Access قابل فعال سازی است و به صورت پیشفرض غیر فعال میباشد.برای فعال کردن این قابلیت به صورت زیر عمل میکنیم.

hellodigi(config)# interface Fa0/1
hellodigi(config-if)# switchport mode access
hellodigi(config-if)# switchport port-security

تنظیمات پیشفرض port security به صورت زیر است:

حداکثر تعداد آدرس های MAC مجاز: ۱ آدرس.

اگر MAC دیگری خواست وصل شود چه اتفاقی بی‌افتد (Violation Mode)؟ : پورت shutdown شود.

مدت زمانی که یک MAC معتبر است (Aging Time): پیشفرض ۰٫

مدت زمانی که یک MAC بعد از جدا شدن در حافظه سوئیچ باقی میماند (SecureStatic Address Aging): پیشفرض غیر فعال (Disable).

با تنظیمات پیشفرض فوق در واقع فقط یک MAC میتواند متصل شود.اگر MAC دیگری بخواهد متصل شود پورت به وضعیت shutdown در می‌آید. آن یک MAC همیشه معتبر است و حتی اگر از سوئیچ جدا شود از حافظه مربوط به port security پاک نخواهد شد.

احتمالا شما خواهید خواست که آن تنظیمات پیشفرض را نسبت به نیاز خود تغییر دهید. در ادامه به چگونگی این امر میپردازیم.

تنظیم حداکثر تعداد MAC ها:

بعضی مواقع ممکن است نیاز داشته باشید بیشتر از یک MAC به یک پورت متصل شود. برای مثال یک کامپیوتر و یک لپ تاپ، همچنین ممکن است از هاب سوئیچ استفاده کرده باشید. برای این امر به صورت زیر عمل کنید:

hellodigi(config-if)# switchport port-security maximum 2

تنظیم Violation Mode:

شما میتونید تصمیم بگیرید زمانی که سوئیچ یک آدرس MAC غیر معتبر دیگه رو شناسایی کرد چه اتفاقی برای آن پورت بی‌افتد؟ گزینه های موجود shutdown ، protect و restrict هستند. اگر shutdown (گزینه پیشفرض) را انتخاب کنید به محض شناسایی یک MAC غیر معتبر آن پورت shutdown میشود. اگر گزینه protect را انتخاب کنید سوئیچ فقط ترافیک آن MAC غیر معتبر را بلاک میکند و بقیه ترافیک ها عبور خواهند کرد. اگر restrict را انتخاب کنید نیز مانند protect عمل خواهد کرد با این تفاوت که در protect سوئیچ هیچ پیغامی مبنی بر اینکه دسترسی غیر مجازی انجام شده نخواهد فرستاد ولی در restrict شمارنده دسترسی غیر مجاز یک شماره اضافه میکند واگر تنظیم کرده باشید یک پیغام syslog یا SNMP Trap ارسال خواهد شد.

hellodigi(config-if)# switchport port-security violation protect

hellodigi(config-if)# switchport port-security violation restrict

hellodigi(config-if)# switchport port-security violation shutdown

تنظیمات Aging:

همانطور که در بالا نیز اشاره کردم میتوانید تنظیم کنید سوئیچ پس از مدتی آن MAC آدرس را فراموش کند. این کار زمانی به درد میخورد که مثلا فرض کنید میخواهید آن کامپیوتر متصل را به هر دلیلی عوض کنید. یا مثلا کارت شبکه‌اش را تعویض نمایید. دقت کنید این امر فقط در صورتی که Dynamic Learning فعال باشد کار میکند. برای مثال در زیر ما تنظیم میکنیم که سوئیچ یک MAC را اگر ۱۰ دقیقه غیر فعال بود پاک کند.

hellodigi(config-if)# switchport port-security aging time 10
hellodigi(config-if)# switchport port-security aging type inactivity

تنظیم دستی آدرس MAC:

اگر میخواهید مشخص کنید که فقط یک آدرس خاص بتواند به آن پورت متصل شود و آدرس را دستی مشخص کنید به شکل زیر عمل کنید.

hellodigi(config-if)# switchport port-security mac-address 001a.a48d.d0d8

تنظیم MAC Address Learning:

در یک شبکه عملیاتی درون سازمانی تغریبا غیر ممکن به نظر میرسد که بشود به راحتی تمام MAC ها را دستی وارد کرد.شما باید وارد تنظیمات هر پورت شودید (برای مثال Interface fast 0/1) و آدرس MAC کلاینت متصل به آن را وارد کنید. تصورکنید ده ها سوئیچ دارید که هر کدام ۲۴ تا ۴۸ پورت دارد. یک راه حل ساده تر استفاده از MAC Address Learning است. با استفاده از این شیوه سوئیچ MAC هایی که متصل به پورت ها هستند را یاد میگیرد و درون port security قرار میدهد. اگر تعداد بیشتری MAC به ازای هر پورت در تنظیمات وارد کرده‌اید و در زمان استفاده از این قابلیت همه آنها متصل نیستند نگران نباشید. سوئیچ به تعدادی که شما مشخص کرده اید در حال یا آینده یاد خواهد گرفت.

hellodigi(config-if)# switchport port-security mac-address sticky

همچنین نیازی نیست تک تک پورت ها جداگانه تنظیم کنید.

hellodigi(config)# interface range fastEthernet 0/1 – 23
hellodigi(config-if)# switchport port-security

با دستور interface range میتواند چندین پورت را به یکباره تنظیم کنید.

اطلاع از وضعیت port security

برای نمایش وضعیت کنونی port security ار دستور زیر استفاده کنید:

hellodigi# show port-security address
Secure Mac Address Table
——————————————
Vlan Mac Address Type Ports Remaining Age
۱ ۰۰۱a.a48d.d0d8 SecureDynamic Fa0/1 –
——————————————

همچنین برای نمایش تنظیمات port security برروی یک پورت خاص به این شکل عمل کنید:

hellodigi# show port-security interface fa0/1

Port Security : Enable