آموزش راه اندازی پورت سکیوریتی Port Security

قبل از شروع پیشنهاد میکنم مقاله توضیحی در مورد Port Security را مطالعه کنید.

پیاده سازی Port Security بر روی پورت های Access

برای فعال سازی Port Securityبر روی اینترفیس های Access از دستورات زیر پیروی کنید:

ابتدا وارد اینترفیس شده و مشخص کنید که اینترفیس در لایه ی ۲ فعالیت می کند.

switch (config)#interface type slot/port
switch (config-if)#switchport

در قدم دوم با استفاده از دستور زیر اینترفیس را در حالت Access قرار دهید.

switch (config-if)#switchport mode access

با استفاده از دستور زیر Security Port را بر روی اینترفیس فعال کنید.

switch (config-if)#switchport port-security

مثال زیر نحوه ی فعال کردن Security Port بر روی اینترفیس ۱۰/۰ FastEthernet را در حالت Access نشان می دهد.

Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet 0/10
Switch(config-if)#switchport
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security

پیاده سازی Security Port بر روی پورت های Trunk


برای فعال سازی Security Port بر روی اینترفیس های Trunk از دستورات زیر پیروی کنید:

ابتدا وارد اینترفیس شده و مشخص کنید که اینترفیس در لایه ی ۲ فعالیت می کند.


switch (config)#interface type slot/port
switch (config-if)#switchport


در قدم دوم با استفاده از دستور زیر مشخص کنید اینترفیس برای مبحث ترانک از چه پروتکلی استفاده کند.

switch (config-if)#switchport trunk encapsulation [dot1q | isl]

با استفاده از دستور زیر اینترفیس را در حالت Trunk قرار دهید.

switch (config-if)#switchport mode trunk

پس از اینکه اینترفیس را در حالت ترانک قرار دادید DTP را با دستور زیر بر روی اینترفیس غیرفعال کنید.

switch (config-if)#switchport nonegotiate

با استفاده از دستور زیر Security Port را بر روی اینترفیس فعال کنید.

switch (config-if)#switchport port-security

مثال زیر نحوه ی فعال کردن Security Port بر روی اینترفیس ۱۲/۰ FastEthernet را در حالت Trunk را نشان می دهد.

Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet 0/12
Switch(config-if)#switchport
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport nonegotiate
Switch(config-if)#switchport port-security

پیکربندی انواع Violation ها در Security Port

برای مشخص کردن نوع Violation بر روی یک پورت در Security Port از دستورات زیر پیروی کنید

وارد اینترفیسی که میخواهید Violation آن را تغییر دهید شده و نوع Violation را مشخص کنید.

switch (config)#interface type slot/port
switch (config-if)#switchport port-security violation [protect | restrict | shutdown]

توجه – بصورت پیش فرض اینترفیس هایی که بر روی آنها Security Port فعال شده Violation در حالت Shutdown قرار دارد.

مثال زیر نحوه ی تغییر دادن Violation بر روی اینترفیس ۱۰/۰ FastEthernet را به Protect نشان می دهد.

Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet 0/10
Switch(config-if)#switchport port-security violation protect

مثال زیر نحوه ی تغییر دادن Violation بر روی اینترفیس ۱۲/۰ FastEthernet را به Restrict نشان می دهد.

Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet 0/12
Switch(config-if)#switchport port-security violation restrict

تغییر مقدار Maximum آدرس های MAC در Security Port

بصورت پیش فرض تنها یک آدرس MAC بر روی هر اینترفیس مجاز می باشد و اگر پیام هایی با آدرس های MAC بیشتری بر روی یک اینترفیس دریافت شود تخلف رخ می دهد. برای اینکه بتوانید مقدار Maximum این آدرس های MAC را تغییر دهید از دستورات زیر پیروی کنید:

برای تغییر Maximum آدرس های MAC وارد اینترفیس شده و تعداد Address MAC های مورد نظر را وارد کنید.

switch (config)#interface type slot/port
switch (config-if)#switchport port-security maximum number_of_address VLAN [VLAN_ID] 

هنگام پیکربندی مقدار Maximum آدرس های MAC بر روی یک پورت به نکات زیر توجه داشته باشید:

  1. مقدار Maximum را فقط در اینترفیس های ترانک می توانید VLAN-Per مشخص کنید.
  2. رنج آدرس هایی که می توانید مشخص کنید بین ۱ تا ۴۰۹۷ می باشد.
  3. برای مشخص کردن یک رنج VLAN بر روی اینترفیس های ترانک از dash )-( ،استفاده کنید.
  4. برای مشخص کردن چندین VLAN بر روی اینترفیس های ترانک از کاما ),( استفاده کنید.


مثال زیر نحوه ی پیکربندی Maximum آدرس های MAC به ۶۴ آدرس را در اینترفیس FastEthernet 10/0 را نشان می دهد.

Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet 0/10
Switch(config-if)#switchport port-security maximum 64

پیکربندی Address MAC Sticky بر روی یک اینترفیس

برای فعال سازی Security Port با Address MAC Sticky بر روی یک اینترفیس از دستورات زیر پیروی کنید:

برای فعال کردن Address MAC Sticky بر روی یک اینترفیس، وارد اینترفیس شده و با دستور مربوطه آنرا فعال کنید.

switch (config)#interface type slot/port
switch (config-if)#switchport port-security mac-address sticky 

زمانی که از دستور sticky address-mac security-port switchport استفاده کنید:

  • تمامی آدرس های MAC که از قبل بصورت داینامیک بر روی اینترفیس یاد گرفته شده اند به آدرس MAC بصورت Sticky تبدیل می شوند.
  • آدرس هایی که بصورت Static بر روی اینترفیس پیکربندی شده اند به آدرس MAC بصورت Sticky تبدیل نمی شوند.
  • هر آدرس MAC جدیدی که یاد گرفته شود بصورت Sticky ذخیره می شود.
  • زمانی که از دستور sticky address-mac security-port switchport no بر روی یک اینترفیس استفاده کنید تمام آدرس هایی که بصورت Sticky یاد گرفته شده اند به آدرس های داینامیک تبدیل می شوند.

مثال زیر نحوه ی پیکربندی Address MAC Sticky را در اینترفیس ۱۰/۰ FastEthernet نشان می دهد.

Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet 0/10
Switch(config-if)#switchport port-security mac-address sticky

پیکربندی Address MAC Static بر روی یک اینترفیس


برای پیکربندی Address MAC Static بر روی یک اینترفیس از دستورات زیر پیروی کنید:

وارد اینترفیس مورد نظر شده و آدرس های MAC مورد نظر را بصورت دستی بر روی اینترفیس معرفی کنید.

switch (config)#interface type slot/port
switch (config-if)#switchport port-security mac-address [H.H.H]

تعداد Maximum آدرس های MAC که می توانید بر روی یک اینترفیس بصورت Static پیکربندی کنید بستگی به این دارد که در دستور maximum security-port switchport چه مقدار آدرس MAC را به عنوان آدرس های مجاز مشخص کرده اید.


اگر تعداد آدرس هایی که بصورت Static پیکربندی می کنید کمتر از مقدار Maximum ای که مشخص کرده اید باشد، به تعداد آدرس هایی که در Maximum بصورت اضافه باقی مانده آدرس های MAC بصورت داینامیک یاد گرفته می شوند.


مثال زیر نحوه ی پیکربندی آدرس ۳۰۰۰.۲۰۰۰.۱۰۰۰، MAC را بر روی اینترفیس FastEthernet 10/0 نشان می دهد.

Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet 0/10
Switch(config-if)#switchport port-security mac-address 1000.2000.3000
Switch#show port-security address
                   Secure Mac Address Table
------------------------------------------------------------
Vlan        Mac Address               Type                Ports
----       -------------             ------               ------
 ۱        ۱۰۰۰.۲۰۰۰.۳۰۰۰        SecureConfigured          Gi5/12

مشاهده ی پیکربندی های مربوط به Security Port

برای مشاهده تنظیمات مربوط به Security Port از دستور زیر استفاده کنید:

switch# show port-security [interface {vlan [vlan_id]} | {type slot/port}] [address] 

کیورد VLAN در Security Port فقط برای اینترفیس های ترانک پیشتیبانی می شود.

دستور بالا این اطلاعات را نمایش می دهد:

  • مقدار Maximum آدرس های مجاز بر روی یک اینترفیس.
  • تعداد آدرس های MAC که بر روی یک اینترفیس یاد گرفته شده اند.
  • تعداد دفعاتی که بر روی یک اینترفیس تخلف رخ داده است.
  • نوع Violation بر روی یک اینترفیس

مثال زیر خروجی دستور security-port show را نشان می دهد زمانی که هیچ اینترفیسی مشخص نشده است:

Switch# show port-security 
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)      (Count)        (Count)
-------------------------------------------------------------------------
Gi5/1            11           11             0              Shutdown
Gi5/5            15           5              0              Restrict
Gi5/11           5            4              0              Protect
-------------------------------------------------------------------------
Total Addresses in System: 21
Max Addresses limit in System: 128

مثال زیر خروجی دستور security-port show را برای یک اینترفیس مشخص نشان می دهد:

Switch# show port-security interface gigabitethernet 5/1
Port Security: Enabled
Port status: SecureUp
Violation mode: Shutdown
Maximum MAC Addresses: 11
Total MAC Addresses: 11
Configured MAC Addresses: 3
Aging time: 20 mins
Aging type: Inactivity
SecureStatic address aging: Enabled
Security Violation count: 0

دیدگاه‌ خود را بنویسید

اسکرول به بالا