Port-Security سوئیچ های سیسکو
با سلام و احترام ، یک سوال در مورد پیکربندی Port-Security سوئیچ های سیسکو داشتم ممنون می شوم دوستان راهنمایی بفرمایند. فرضیات زیر را در نظر بگیریم:
1- محیط مجازی سازی GNS3 و Virtual BOXمی باشد.
2- IOSهای روتر و سوئیچ ها را از طریق سرور IOU لود کرده ام.
3- سوئیچ مورد استفاده 2960 سیسکو می باشد.
4- توپولوژی مورد نظر مطابق شکل زیر می باشد.
--------------------------------------------------------------------------------------------------------------
حال کاری که بنده انجام داده ام به شرح ذیل می باشد:
پورت e1 1 سوئیچ را به گونه ای کانفیگ کنیم که تنها ماشین مجازی سمت راست(در توپولوژی بالا Win 7 _2) که نقش سرور را دارد بتواند به پورت e11 متصل شود. وقتی mac غیر مجاز به e11 متصل شد پورت مورد نظر Violation Protect در مورد آن اتفاق بیافتد. بنابراین پیکربندی زیر را روی پورت e11 انجام شده است
حال سوالم از محضر دوستان بزرگوار این هست. آیا پیکربندی درست هست
آخه بعد از انجام کار نمی کند البته برای اولین بار کار می کند بعد از اینکه mac غیر مجاز متصل شود و مجددا mac مجاز متصل شود کار نمیکند. سوال دومم این هست چگونه می توانم Secutrity را از روی پورت e1/1 پاک کنم؟
13 پاسخ
با سلام
در سوئیچ ها از دو جدول استفاده می شود.
CAM Table مخفف Content Addressable Memory Table
TCAM Table مخفف Ternary Content Addressable Memory Table
در یک سوئیچ مک آدرس کامپیوتر ها و دیوایس ها به شماره پورت سوئیچ نظیر می شود و با این کار مشخص می شود که روی یک پورت چه مک آدرس هایی وجود دارد. این اطلاعات به همراه زمان Time Stamp در جدول CAM Table ذخیره می شوند. در جدول TCAM اطلاعات بیشتری نسبت به جدول CAM وجود دارد.
وقتی که یک Frame می رسد به پورت سوئیچ Source Mac را می خواند و در Cam Table ذخیره میکند این اطلاعات دارای Time Stamp هستند اگر یک Mac آدرس خوانده شد در یک پورت جابجا شود به پورت دیگری برود Mac آدرس و Time Stamp برای پورت جدید ثبت می شوند سپس اطلاعات پورت قبلی را پاک میکند اگر یک Mac آدرس که قبلا در Table داشته باشد به همان پورت بیاید فقط Time Stamp را Update می کند اگر آدرسهای درون Cam Table برا مدت خاصی که حدود ۳۰۰ ثانیه است ldle باشند آنها را پاک می کند .
زمانی که یک mac آدرس برای پورتی Learn شود و بعد Host را جابجایی می کنیم به یک پورت دیگر چه اتفاقی می افتد؟ بصورتعادی محتویات Cam Table اگر عمر آنها از ۳۰۰ ثانیه بگذرد پایان می یابد هنگامی که در پورت جدید Learn شود برای جلوگیری از وجود آمدن اطلاعات Duplicate در Cam Table سوئیچ هر اطلاعاتی در مورد آن Mac آدرس را پاکسازی می کند بجز اطلاعات تازه ای که برای پورت جدید که Learn شده است چون Mac آدرس باید بصورتUnique باشد و یک Host نباید بیشتر از یک پورت دیده شود مگر اینکه در شبکه مشکلی باشد.اگرسوئیچ اعلام کند که یک Mac آدرس Learn شده که در پورت دیگری هم وجود دارد سویچ خطائی بعنوان Flapping بین اینرفیس ها تولید می کند
دستوراتی که وارد کردید درسته و باید درست کار کنه برای اینکه ببینید مشکل چیه از دستورات زیر استفاده کنید :
Switch#show port-security Switch#show port-security address
برای اینکه log بده و ببینید چرا درست عمل نمی کند در حالت Restrict قرار بدید
اگه با این تست ها به نتیجه ای نرسیدید این سناریو را یه بار توی packet tracer امتحان کنید
منظورتون را از سوال دوم نفهمیدم
از لینک زیر هم برای آشنایی بیشتر با Port security می تونید استفاده کنید
افزایش امنیت شبکه با قابلیت Port Security در سوئیچ های سیسکو
سلام
خواهش میکنم.
Aging Time مدت زمانی است که آدرس mac یه سیستم توی جدول سوئیچ می ماند.
فرض بگیرید یه سیستم به یه پورت سوئیچ وصل است و تنظیمات port-security هم انجام شده باشد
آدرس mac این سیستم در جدول مربوطه روی سوئیچ نگهداری میشه اگه در مدت حداکثر 300 ثانیه بسته ای یا packet از ان آدرس mac دریافت نشود سوئیچ آن آدرس mac ذخیره شده در جدول خود را حذف میکند.
اگه از دستور stickyاستفاده شده باشد اولین mac بعد حذف را که دریافت کرد در جدول خود دوباره ذخیره میکند.
اگه این زمان را برابر 0 بگیریم یعنی هیچوقت این ادرس mac از داخل جدول سوئیچ پاک نشود.
با سلام و احترام
ممنون از پاسخ هایتان
چند تا سوال داشتم جداگانه مطرح می کنم:
1- مهندس جان فرض کنیم که روی یک پورت سوئیچ Port Security غیر فعال هست. حال سوال این است اگر یک Pc به سوئیچ متصل شود خوب بدیهی است که آدرس macآن هم در mac-table سوئیچ ذخیره می شود. حال اگر همین pc از پورت مربوطه سوئیچ قطع شود یا ارسال و دریافت با پورت مربوطه سوئیچ نداشته باشد چه مدت زمان آدرس mac آن pc در جدول mac-table سوئیچ باقی می ماند؟
2- با توجه به شکل زیر موارد مطرح شده در Port-security به چه معناست؟
ممنون می شوم ارتباط پارامترهای مربوطه را به یکدیگر مطرح بفرمائید
ارتباط Aging time و Aging type و Securestatic aging
باسلام.
نگران نباشید دستوراتتان درست است ولی کاش max اتصال به پورت رو هم مشخص میکردین در مورد پاک کردن دستور که دوستان عزیز فرمودند چه جوری port-security رو بردارین.
اما در مورد اتصال mac مجاز که وصل میکنید و لی وصل نمیشه حالت Error-disable رخ میدهد که بهتر است پورت رو یه بار shutdown و سپس no shutdown بکنید .
اما در اتصال یه mac مجاز و غیرمجاز در واقع چه اتفاقی می افتد؟
ببینید:
اگر در اتصال به پورت سوئیچ تخلفي صورت بگيرد Port status از حالت secure UP به حالت Secure Down تغيير خواهد كرد.
هر MAC Add كه به سوييچ متصل مي شود يك عمري ( Age time ) دارد كه اگر پس ار آن Age Time هيچ پكتي را به سوييچ ارسال نكند از جدول Port-security پاك خواهد شد، كه در اين صورت Aging Type بايد InActivity تعريف شود.
وقتي Aging Type را Absolute تعريف مي كنيم، يعني مستقل از اينكه ميخواهد Mac مربوطه Activity داشته باشد يا نداشته باشد، تا Aging time تعريف شده، در جدول باقي بماند و حذف نشود.
Aging time با مقدار صفر يعني اينكه هرگز expire نشود يعني Mac Add را كه ياد گرفته همواره در جدول باقي بماند.
اگر يك سيستم غيرمجاز به سوييچ وصل گردد، پورت به دليل secure violation به حالت error-disable خواهد رفت كه براي فعال كردن پورتهاي error disable بصورت دستي، روي اينترفيس بايد shutdown و No Shutdown زد .اگر منشاء مشكل برطرف شده باشد و يا اينكه از زمانيكه منشاء مشكل برطرف شده باشد، پنج دقيقه بعد بصورت اتوماتيك پورت فعال خواهد شد.
بعد از اينكه Mac غيرمجاز متصل شده و پورت به حالت Shutdown رود، با اتصال يك Mac مجاز، پورت به وضعيت error-disable خواهد رفت.
براي مشاهده علت error-disable از كامند show interface status err-disabled استفاده مي كنيم :
show interface status err-disabled#
Port Name Status Reason
------ ---------- ----------- ------------
Fa0/5 err-disabled Psecure-violation P=Port
علت error-disable شدن، Port security violation مي باشد.
اگر از طريق روش فوق بخواهيم Port Security را روي تعداد زيادي پورت فعال كنيم، بايد روي تك تك پورتها رفته و كامند port-security را وارد كنيم كه كار زمانبري مي باشد.
براي انجام راحتر اينكار، مي توانيم از دستور Interface range استفاده كرده و يك تنظيم را بصورت همزمان و يكجا بر روي تعدادي اينترفيس پياده كنيم.بعنوان مثال :
interface range fastethernet 05 - 7 , fa01
switchport mode Access
swichport port-security
امیدوارم مفید واقع شده باشد.
بازم اگه مشکل داشتین در خدمتم.
ممنون از پاسختان
دستوراتی که فرمودید را چک کرده ام نمی ددانم شاید مشکل از شبیه ساز باشد
منظورم از سوال دوم این هست که چگونه قابلیتی Port-security که روی e1/1فعال شده است را پاک کنیم
البته جنابعالی در لینک ارسالی گفتید که از دستورات زیر استفاده کنیم ولی متاسفانه در gns3 و سرور iou عمل نمی کنند فکر کنم پشتیبانی نمی شوند توسط gns3
Switch#clear port-security all
Switch#clear port-security sticky interface fastEthernet 0/1
با سلام و احترام
مهندس جان Aging Time چیست؟
خواهش می کنم اگه می شه راهنمایی کنید؟
مهندس جان بینهایت سپاسگزارم
ان شالله در تمام مراحل زندگی موفق باشید.
-------------------------------------------
اگر سوالی بود مطرح می کنم تا از دانش شما استفاده کنم
اما در مورد سوال دوم
دستورات زیر را در نظر بگیرید :
Aging Time : 5 mins
Aging Type : Inactivity
SecureStatic Address Aging : Disabled
خط اول یعنی مدت زمانی که آدرس ذخیره میشود 5 دقیقه است و بعد آن اگه بسته ای دریافت نشود آدرس mac را پاک میکند. محدوده مشخص شده بین 0 تا 1440 دقیقه می باشد.
خط دوم aging type طریقه پاک کردن mac از جدول را مشخص میکند و 2نوع دارد :
Inactivity :(غیرفعال) : یعنی اگه ظرف مدت 5 دقیقه از آدرس mac ذخیره شده بسته ای دریافت نشود آدرس macرا پاک میکند و اگه بسته ای دریافت شود که هیچ کاری نمیکند و به فعالیت ادامه میدهد
Absolute : یعنی زمان aging time (در اینجا 5دقیقه) که تمام شد دقیقا بعد تمام شدن زمان تمام آدرس های macذخیره شده روی جدول برای پورت مشخص پاک خواهند شد. مثلا maxرو برابر 4 در نظر گرفتیم و 4ادرس macروی پورت مورد نظر وجود دارد حال بعد گذشتن 5 دقیقه هر 4آدرس پاک میشوند و فعال بودن یا نبودن آدرس mac مهم نیست.
SecureStatic Address Aging میتواند دومقدار enable و disable داشته باشد و فکر میکنم وضعیت فعال و غیر فعال بودن aging را تعیین میکند.
با سلام.
چون violation shutdown زده همانطور که گفتید فقط همان mac میتواند وصل شود
با توجه به تصویری که فرستادید
چون aging time برابر 0 زده یعنی فقط همان mac میتواند وصل شود و این آدرس mac هیچوقت expire نمیشود پس احتمال اینکه بخواد آدرس mac رو پس از فعال کردن پورت توسط مدیر از جدولش حذف کنه وجود ندارد.
پس اگه بعد از فعال کردن پورت توسط مدیر این تنظیماتی که فرستادید روی interface مورد نظر وجود داشت مدت زمانی که لازم است تا پورت فعال شود با توجه به توضیحات سیسکو حدود 5 دقیقه هستش که بعد این مدت باید پورت فعال شود.
گه بعد این مدت نتوانستید ping بگیرید مشکل از پیکربندی هستش ولی با توجه به شرایطی که فرمودید بعد 5دقیقه باید پورت برای mac مجاز فعال شود.
در ادامه پست قبلی تنظیمات زیر را سوئیچ مورد نظر گرفته شده است
با این حساب باید از mac که در گزارش دیده می شود ping بگیرم ولی نمی توانم
به نظر شما دلیل چیست؟
برای غیر فعال کردن port security دستور زیر را روی اینترفیس مربوطه وارد کن
sw(config-if)#no switchport port-sercurity
با سلام و احترام
مهندس جان فرض کنیم که پورت سوئیچ داراری violation shutdown می باشد. پورت مورد نظر در برابر یک mac غیر مجاز قرار گرفته است و shutdown شده است. حالا مدیر شبکه متوجه شده و پورت مورد نظر مجدد فعال شده است بعد از این تنظیمات حالا اگر پورت مورد نظر به mac مجاز متصل شود باید بلافاصله بتوانیم ping بگیریم
می خواستم بدونم آیا بین این تنظیمات و ping گرفتن چقدر زمان می برد تا پورت سوئیچ در برابر mac مجاز اجازه ping داشته باشد؟
بازم تشکر می کنم از راهنمایییتان