Bài viết Port Security

Bài viết Port SecurityTác giả Lê Quảng HàI.Mục đích của bài labGiúp người thực hành hiểu được chức năng của port security II. Sơ đồ và yêu cầu cấu hìnhYêu cầu : Bạn cần có 1 Switch 2950,
Nội dung trích xuất từ tài liệu:
Bài viết Port SecurityBài viết Port SecurityTác giả Lê Quảng Hà I. Mục đích của bài lab Giúp người thực hành hiểu được chức năng của port security II. Sơ đồ và yêu cầu cấu hình Yêu cầu : Bạn cần có 1 Switch 2950, 2 host Sơ đồ: III. Cấu hình 1. Cấu hình port security Bước 1: Tiến hành nối dây như sơ đồ .Khởi động Switch. Bước 2: Bước 2-1: Switch>enable Switch#conf t Switch(config)#interface f0/1 Bước 2-2: Đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security Switch(config-if)#switchport mode access Bước 2-3: Khởi động port security Switch(config-if)#switchport port-security Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi.Đây là thông số chỉ định số lần tối đa mà port vẫn còn chấpnhận sự thay đổi địa chỉ MAC. “Thay đổi địa chỉ MAC” cónghĩa là bạn đã thay đổi một host khác trong kết nối với Switch. Gọi số lần được phép thay đổi này là k, gọi số lần bạn đã thayđổi địa chỉ MAC là n. Port sẽ vẫn cho phép hoạt động nếu như n≤k và một điều quan trọng nữa là phải kết nối địa chỉ MAC ban đầu vào lại port. Số lần được thay đổi tối thiểu là 1 và tối đa là1024, và mặc định là 1. Ví dụ nếu chỉ định số lần là 3: Switch(config-if)#switchport port-security maximum maximum Bạn được phép thay đổi địa chỉ MAC tối đa là 3 lần. Cần chú ý là mặc dù cho phép thay đổi nhưng không có nghĩa là port vẫn hoạt động bình thường khi địa chỉ MAC bị sai. Khi địa chỉ MAC không đúng port sẽ chuyển sang trạng thái lỗi. Tuy nhiên nếu bạn kết nối địa chỉ MAC ban đầu vào lại trong lúc này thi port sẽ hoạt động bình thường trở lại. Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay đổi là 1, đây là thông số mặc định và do đó không cần phải cấu hình lệnh này cho switch Bước 2-5: Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với động tác này khi host có địa chỉ MAC tương ứng sẽ được hoạt động bình thường khi kết nối vào switch trên interface này.Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trêninterface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có sự chuyển tiếp gói tin trên port này. Switch(config-if)#switchport port-security mac-addressmac-address Chú ý : Định dạng về địa chỉ MAC trong câu lệnh trên là:AAAA.BBBB.CCCC Địa chỉ này phải giống với địa chỉ của host cần đượcbảo mật. Đối với host là PC, để tìm địa chỉ MAC này làmnhư sau: - Mở DOS command bằng cách vào Start\Run rồi gõ lệnh cmd - Trong giao diện DOS này gõ lệnh C:\>ipconfig /all. Màn hình sẽ hiện ra các thông số về địa chỉ MAC của card mạng. Đối với host là Router, để tìm địa chỉ host: - Kết nối cổng console máy tính với router - Dùng lênh show version để tìm địa chỉ MAC Cấu hình cho Switch: Switch(config-if)#switchport port-security mac-address00e0.4d01.2978 Bước 2-6: Chỉ định trạng thái của port sẽ thay đổi khiđịa chỉ MAC kết nối bị sai: Cấu trúc lệnh :Switch(config-if)#switchport port-security violation[shutdown | restrict protect] · shutdown: port sẽ được đưa vào trạng thái lỗi và bị shutdown · restrict: port sẽ vẫn ở trạng thái up mặc dù địa chỉ MAC kết nối bị sai. Tuy nhiên các gói tin đến port này đều bị hủy, và sẽ có một bản thông báo về số lượng gói tin bị hủy. · protect: port vẫn up như restrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin này Trong bài lab này sẽ chỉ định trạng thái port là shut down. Switch(config-if)#switchport port-security violation shutdown Đến đây bạn đã hoàn tất phần cấu hình port security. Bước tiếp theo sẽ là thử nghiệm. Bước 3: Cấu hình lệnh debug để quan sát sự thay đổi: Switch#debug port-security Bước 4: Sử dụng một host khác để thay thể cho host ban đầu. Kiểm tra địa chỉ MAC của host mới : Host mới có địa chỉ MAC là 0006.7b08.cab5 Bước 4: Tiến hành rút cáp ra khỏi host và cắm vào host đã chuẩn bị ở bước 3. Quan sát: + Đèn trên port f0/1 sẽ bị tắt + Thông báo trên giao diện00:22:24: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state00:22:24: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0006.7b08.cab5 on port FastEthernet0/1.00:22:25: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down00:22:26: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down Bước 5: Dùng lệnh show để xem trạng thái của port f0/1 Switch#show interface f0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 000f.239d.c641 (bia 000f.239d.c641) MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 10Mb/s Lúc này mọi nỗ lực để tiến hành gửi thông tin trên port 1 đều vô ích!!! 1. Khôi phục port về trạng thái bình thường Để khôi phục lại port thì bạn phải can thiệp vào switch. Bước 1: Nối cổng console vào switch Switch>enable Switch#conf t Bước 2: Có hai cách để khôi phục port Cách 1: khôi phục nhân công, bạn sẽ thực hiện trực tiếp quá trình khôi phục này. Switch(config)#interface f0/1 Switch(config-if)#shutdown Switch(config-if)#no shutdown Thông báo trên màn hình khi thực hiện xong lệnh00:17:58: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state ...