امنیت پورت در سویچ

امنیت پورت در سویچ

امنیت پورت یکی از خصوصیات امنیتی سویچ میباشد یعنی ما در پورت های سویچ فقط کانفیگیور کرده میتوانیم. از طریق امنیت مشخص کرده میتوانیم  یک یا چندین وسیله مشخص اجازه وصل شدن به پورت سویچ ما را دارد. تا از دسترسی غیر مجاز جلوگیری گردد.

پورت های سویچ میتواند طوری کانفیگیور شود که تنها یک مک آدرس را به همان پورت محدود بسازیم و کدام وسیله و یا سویچ دیگری نتواند به آن پورت وصل شود. و یا میتوانیم طوری کانفیگیور کنیم که همزمان به حد اعظمی n تعداد مک آدرس وسیله ها را بصورت داینمامیک بتواند وصل شود.

روش های وصل کردن وسیله ها به سویچ

بعد از تعیین حد اعظمی تعداد وسیله های که میتوانند در پورت مشخص سویچ، وصل شوند، ما میتوانیم تعیین کنیم که با کدام سه طریق میتواند وصل شود.

  •  Static

ما بصورت انتخابی برای پورت سویچ یک مک آدرس یا چندین مک آدرس را مشخص میتوانیم. ومک آدرس آنرا در running configuration خود ذخیره میکند.

  • Dynamic

سویچ میتواند بصورت اتوماتیک مک آدرس یک یا چندین وسیله هایی که به پورت آن وصل میشوند، بشناسد. اما آنرا در running configuration خود ذخیره نمیتواند و در صورت restart سویچ مک آدرس های کمپیوترهایکه قبلا به آن وصل شده بود، را ذخیره ندارد.

  •  Sticky

سویچ میتواند یک یا چندین مک آدرس وسیله های که به آن وصل میشوند بصورت داینامیک بشناسد اما میتواند آنرا در running configuration ذخیره کند و در صورت خاموش شدن سویچ و دوباره روشن کردن آن، سویچ از قبل مک ـدرس آنرا در حافظه خود دارد.

امنیت پورت در سویچ

سه عملکرد که هنگامیکه وسیله غیر مجاز به سویچ وصل میشود، اجرا میشود

در صورتیکه device های غیر مجاز به پورت های سویچ وصل شوند تخلف امنیتی رخ داده و سه نوع عملکرد میتواند اجرا شود.

  1. Shutdown: در صورت بروز تخلف port ما را خاموش میکند و در حالت err-disabled میرود. سویچ نیز یک پیام بروز تخلف را میدهد و تعداد بروز تخلف را میشمارد.
  2. Restrict: در صورت بروز تخلف port روشن باقی میماند اما packet های انرا ارسال نمیکند، پیام بروز تخلف را ظاهر میکند و تعداد بروز تخلف را نیز میشمارد.
  3.  Protect: در این حالت نیز پورت سویچ روشن باقی میماند اما از آن پورت packet ها را ارسال نمیکند، از طرف سویچ پیام ظاهر نمیشود و تعداد بروز تخلف شمرده میشود.

Aging Time

در صورت کانفیگیوریشن حالت استاتیک و داینامیک ما میتوانیم مدت زمان اعتبار را برای مک آدرس های وسیله ها تعیین کنیم که به آن aging time میگویند.  در حالت پیش فرض  aging time سویچ ها غیر فعال میباشند.

انواع aging time

agine time به دو نوع میباشد.

  • Absolute

در این نوع aging time مدت زمانی اعتبار مک آدرس از زمان فعال شدن پورت آغاز میگردد و در صورت اتمام زمان آن دیگر packet های آن وسیله را ارسال نمیکند.

  •  Inactivity

در این نوع aging time در صورت غیر فعال بودن پورت مربوطه بعد از تکمیل انتروال زمانی معین، در حالت aging time میرود و آن پورت packet های وسیله را دیگر ارسال نمیکند.

فعال کردن سویچ درحالت err-disabled

زمانیکه پورت بعد از بروز تخلف خاموش میشود و در حالت err-disabled میرود دو راه برای فعال کردن آن پورت وجود دارد.

  1. همان پورت را یکبار shutdown میکنیم و دوبار no shutdown میکنیم. پورت ما دوباره فعال میشود.
  2.  میتوانیم تنظیم کنیم تا بعد از خاموش شدن بصورت اتوماتیک بعد از چه مدت زمانی ، خود آن پورت دوباره فعال شود.

امنیت پورت در سویچ

فعال کردن سویچ درحالت err-disabled با استفاده از کامنت

برای دوباره فعال کردن سویچ در حالت err-disabled میتوانیم از کامنت ذیل نیز استفاده کنید.

Errdisabl e recovery cause psecurity-violation
Errdiable recovery interval X: که در جای متحول X تعداد ثانیه ها را میتوانید بنویسید.
در configuration Mode و بعد در پورت که میخواهیم port-security را فعال کنیم رفته مینویسیم:

  1. Switchport mode access: این کامنت حالت port را در مود access قرار میدهد. که برای فعال کردن امنیت پورت لازم است.
  2.  Switchport port-security violation shutdown/restrict/protect: در صورت بروز تخلف عملکرد آنرا تعیین میکند.
  3. Switchport port-security maximum X: که اینجا قیمت متحول X حد اعظمی مک آدرس های device ها را تعیین میکند.
  4. Switchport port-security mac-address h.h.h/sticky: توسط این کامنت تعیین میتوانیم که مک آدرس ما را از کدام طریقه بشناسد اگر استاتیک باشد مک آدرس آن وسیله را مینویسیم و اگر sticky بخواهیم بجای مک آدرس تنها sticky مینویسیم و اگر داینامیک باشد چیزی نمینویسیم.
  5.  Switchport port-security aging time X: مدت زمان برای تطبیق aging time تعیین میکنیم.
  6.  Switchport port security aging type inactivity/absolute: نوعیت aging time را تعیین میکنیم.
  7.  Switchport port-security: این کامنت را برای فعال شدن امنیت پورت مینویسیم.

برای آموزش های بیشتر با رجوع باشید.

سکینه موسوی

پست‌های مرتبط
دیدگاهتان را بنویسید:
کد امنیتی در تصویر کلیک کنید برای به روز رسانی تصویر امنیتی.