root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Cấu hình port security cho Switch


Port security là tính năng security layer 2 trên Switch. Port security thường được triển khai trên các switch Cisco layer 2 để ngăn chặn người lạ xâm nhập vào thống mạng nội bộ.
Port security dựa vào địa chỉ MAC của thiết bị để bảo vệ port.
Một số nguyên tắc khi cấu hình port security

  • không thể cấu hình port security trên các port trunk.
  • không thể cấu hình port security trên Destination port SPAN.
  • không thể cấu hình port security trên interface port-channel.
Tham khảo thêm phần tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
I. Cấu hình port security
Gồm 5 bước chính:

Code:
SwitchX(config)#interface fa0/5
SwitchX(config-if)#switchport mode access
SwitchX(config-if)#switchport port-security
SwitchX(config-if)#switchport port-security maximum 1
SwitchX(config-if)#switchport port-security mac-address sticky
SwitchX(config-if)#switchport port-security violation shutdown

Chi tiết các bước cấu hình port-security

1. Bước 1: Vào port cần cấu hình

Code:
Switch>enable
Switch#conf t
Switch(config)#interface f0/1

2. Bước 2: Đưa port vào chế độ access để kết nối với end user.

Code:
Switch(config-if)#switchport mode access

3. Bước 3: Khởi động port security

Code:
Switch(config-if)#switchport port-security

4. Bước 4: Chỉ định số lần địa chỉ MAC được thay đổi.

Code:
 SwitchX(config-if)#switchport port-security maximum 1
  • Đây là thông số mặc định và do đó không cần phải cấu hình lệnh này cho switch
5. Bước 5: Chỉ định địa chỉ MAC cần được bảo mật trên interface.

Code:
Switch(config-if)#switchport port-security mac-address mac-address

  • Với động tác này khi host có địa chỉ MAC tương ứng sẽ được hoạt động bình thường khi kết nối vào switch trên interface này.
  • Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có sự chuyển tiếp gói tin trên port này.
Có 2 option :
  • Gán địa chỉ MAC tĩnh vào.

- Ví dụ :

Code:
Switch(config-if)# switchport port-security mac-address CAFE.CAFE.8000
- Chú ý :
  • Định dạng về địa chỉ MAC trong câu lệnh trên là: AAAA.BBBB.CCCC
  • Địa chỉ này phải giống với địa chỉ của host cần được bảo mật.
  • Đối với host là PC, để tìm địa chỉ MAC này làm như sau :
    • Mở DOS command bằng cách vào Start\Run rồi gõ lệnh cmd
    • Trong giao diện DOS này gõ lệnh C:\>ipconfig /all. Màn hình sẽ hiện ra các thông số về địa chỉ MAC của card mạng.
  • Đối với host là Router, để tìm địa chỉ host:
    • Kết nối cổng console máy tính với router
    • Dùng lênh show version để tìm địa chỉ MAC
  • Sticky : Sw sự động cập nhập địa chỉ MAC của thiết bị gắn vào đầu tiên.

Code:
Switch(config-if)# switchport port-security mac-address sticky

6. Bước 6: Chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai:

Code:
Switch(config-if)# switchport port-security mac-address sticky

Đến đây bạn đã hoàn tất phần cấu hình port security. Bước tiếp theo sẽ là thử nghiệm.

Lưu ý : Packet Tracer ko hỗ trợ Port Security
 
Last edited:
Nhờ admin update lại sơ đồ .:)

nó giống cái mô hình dưới đây nhé. Nếu có 1 pc khác cắm vào mà khác MAC thì port đó bị shutdown... (tùy mình config trạng thái port )

PortSecuritySim_Title.jpg

 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu