چگونه MAC آدرس مربوط به هر پورت سوییچ رو بدست بیارم!؟
مدیر IT به من دستور داده که باید به تک تک واحدها برم و MAC آدرس هر PC متصل به شبکه رو یادداشت کنم.میخواد با اعمال این اطلاعات ، امنیت شبکه رو بالا ببره.و فقط PC های اداری بتونن به شبکه وصل بشن.از من خواسته که به تک تک اتاق ها برم و یادداشت : «مثلاً PC فلان با MAC آدرس بهمان به پورت 6 وصل شده".
به نظر شما راهی وجود داره که با ابزارهای نرم افزاری شبکه این کار خیلی ساده تر بشه!؟ یعنی نیاز نباشه به تک تک اتاق ها برم و دستور ipconfig -all رو بنویسم و بعد Physical Address رو بنویسم و پورتش رو هم یادداشت کنم؟ با ابزارهایی که شبکه رو Scan میکنن میشه MAC آدرس ها و IP ها رو پیدا کرد(مثل Advanced IP Scanner).ولی چه طوری میشه با همین ابزارها شماره پورت ها رو هم پیدا کرد!؟ راه ساده تری هم هست؟ یا چاره ای جز سرکشی به واحدها ندارم!؟
11 پاسخ
با استفاده از دستور زیر میتونید محتوای MAC table رو ببنید
SW#show mac address-table
ممنون از پاسخ همه دوستان.خیلی کاربردی و مفید بود
در مورد کار با MAC Table سوییچ راهنمایی دارید!؟ فقط لینک بدین یا منبع معرفی کنید.
برای اعمال Security هم سوییچ های ما شاید قدیمی باشند .ولی همه Cisco هستن.خوب اینکه یکی از دوستان گفته بود : "هر بار برید و دوباره مک آدرس هارو با Document های قبلی چک کنید؟شما برای این منظور بایستی از سوییچ های مدیریتی استفاده کنید. مثلا سیسکو و اعمال port Security و تعریف violation مورد نظر تا این سیاست رو روی شبکه اعمال کنه. "
سوییچ های مدیریتی چه طور هستند.و چه فرقی با این روشی که مدیر شبکه ما مدنظرشه داره!؟ چون ایشون فقط MAC آدرس و شماره پورت رو میخواد.و با یه سری دستورات که روی سوییچ اعمال میکنه تا امنیت پورت داشته باشیم.جزییاتش رو هم هنوز نمیدونم و بهم نگفته.ولی فکر میکنم این روش جمع آوری خیلی کند و پردردسره و تبعات بعدی هم داره.مثلا اگه کارت شبکه بسوزه یا سیستم عوض بشه خوب MAC هم عوض میشه و باید دوباره دستورات و MAC جدید را وارد کرد.
به نظر من از shutdown استفاده نکنید. برای خودتون دردسر میشه. از restrict استفاده کنید. توی این حالت اگر مک غیر مجاز وارد سیستم شد، سوییچ دسترسی رو میبنده و بهتون لاگ هم میده و با خروج مک غیر مجاز دسترسی خود بخود باز میشه.
با دستوراتی که شما فرمودید من هم کار کردم اما گاهی درست نتیجه نگرفتم. و مجبور شدم shutdown و no shutdown کنم.
در ضمن شما نگران سوختن و یا تعویض کارت شبکه نباشید. خیلی راحت دوباره میتونید مک جدید رو به سیستم تعریف کنید.
پ.ن: ارسال پست من با آقای jeffar همزمان شد.
سلام
خب با فرض اینکه شما متوجه شدید هر کلاینت با چه مک آدرسی به کدوم پورت سوییچ متصله. چطور میخواید روی این مساله و عدم ورود سیستم های غیر مجاز مدیریت داشته باشید؟ هر بار برید و دوباره مک آدرس هارو با Document های قبلی چک کنید؟
شما برای این منظور بایستی از سوییچ های مدیریتی استفاده کنید. مثلا سیسکو و اعمال port Security و تعریف violation مورد نظر تا این سیاست رو روی شبکه اعمال کنه.
سلام دوست عزیز
پاسخ آقای jeffar بهترین solution هستش.
بدون نرم افزار
برای اینکه MAC آدرسی که از طریق sticky ثبت شده رو پاک کنیم از دستور زیر استفاده میکنیم :
SW#clear port-security sticky interface fastEthernet 0/1
اینکه بخوایم به صورت خودکار پورتی که shutdown شده رو از حالت shutdown خارج کنیم باید از recovery استفاده کنیم البته روش های دیگه ای وجود داره مثلا از ماژول NCM نرم افزار solarwinds می تونید برای تنظمیات تجهیزات در شرایط مختلف استفاده کنیم
اگه کاربر به طور مثال لب تاپ خودشو بیاره و mac ادرس اون به mac ادرس دستگاه مجاز شبکه تغییر بده خیلی راحت می تونه به شبکه متصل بشه
اگه می خوای کارت راحت تر بشه می تونی violation رو در حالت restrict قرار بدی و اگه log ها مانیتور بشه متوجه فعالیت غیرمجاز توی شبکه میشی
روش امن تر اینه که از 802.1x استفاده کنی البته پیاده سازی پیچیدگی های خاص خودشو داره
سلام مجدد
شما در فرمایشات خودتان اشاره کردید که با یه سری دستورات رو سوییچ قصد دارید امنیت پورت ها رو تامین کنید.
در لایه 2 یکی از روش هایی که توی این امر کمک تون میکنه، اعمال Port Security هستش که برای هر پورت مشخص می کنید که کدوم سیستم با چه مک آدرسی متصله و با امکانات دیگر این مجموعه دستورات می تونید تعداد مک های مجاز ورودی در این پورت رو مشخص کرده و همینطور با انتخاب violation مورد نظر در مورد زمانی که شبکه با عضو جدید روی اون پورت مواجه بشه،رفتار مناسبی رو برای سوییچ مشخص می کنید.
با این مجموعه دستورات از ورود مهمان ناخوانده به شبکه خودتون (در حالت معمول) جلوگیری می کنید و در هر پورتی تنها همون سیستم با مک مشخص می تونه فعال باشه.
با گزارش گیری از طریق IOS سوییچ هم همیشه به مک آدرس ها نیز دسترسی خواهید داشت.
در رابطه با port security:
آموزش سناریوی port security در نرم افزار packet tracer
آموزش مقدماتی راه اندازی Port Security در سویچ های سیسکو
افزایش امنیت شبکه با قابلیت Port Security در سوئیچ های سیسکو
با ping کردن دستگاه و گرفتن خروجی دستور arp -a می تونید mac ادرس دستگاه ها رو ببینید
اما برای اینکه بتونید پورت رو تشخیص بدید باید سوئیچ منیج داشته باشید و به سوئیچ تون متصل بشید و mac table رو ببنید و از این طریق شماره پورت مشخص میشه
با این که من در مورد شبکه، خصوصاً سیسکو هیچی بلد نیستم اما دیشب در مورد Port Security مطالب Unity و jeffar و دیگر کاربران رو مطالعه کردم.مطالبشون خیلی خوب بود.حالا دیگه صاحب نظر شدیم :)
به نظرم بهتره Port Security رو در حالت Sticky طراحی کنیم.سناریوی توی ذهن من اینه : در این حالت نیاز به داشتن MAC آدرس ها هم نیست.و سوییچ اولین MAC رو به عنوان آدرس فیزیکی اون پورت ذخیره میکنه.اگر یک Violation اتفاق بیفته ، پورت Shutdown بشه و به مدت چند ساعت هم shutdown باقی بمونه.و بعد از چند ساعت پورت باز بشه اما فقط با MAC اولیه (آدرس فیزیکی دخیره شده) کار کنه.
اما اگر کارت شبکه سیستمی که آدرس فیزیکی اش ذخیره شده ، بسوزه.و بخوایم اون رو جایگزین کنیم.دیگه روی اون پورت کار نمیکنه.چی کار باید کرد!؟ دستوری که بعد از یه مدت زمان(مثلاً چند ساعت) که پورت Shutdown شده به طور خودکار پورت رو باز کنه دستور زیر هستش :
Switch(config)#errordisable recovery cause psecure-violation
Switch(config)#errordisable recovery interval <time>
بعد که پورت باز شد.میشه کاری کرد که به صورت خودکار MAC آدرس جدید رو هم به جای قبلی ذخیره کنه.و این طوری مدیر شبکه هم دیگه درگیر نشه!؟ آیا این کار شدنیه!؟ و به نظر شما راه دور زدنش توسط کاربر وجود دارد!؟
شما سناریوی بهتری رو پیشنهاد میکنید ؟ سناریویی که یک Trade off بین امنیت و راحتی کاربران ایجاد کنه.طوری که امنیت پایین نیاد و دردسرهای مدیریتی زیادی برای مدیر شبکه نداشته باشد!؟
دوست عزیز سلام
همونطور که آقا سیامک گفتن بهتره از سوئیچ های سیسکو و قابلیت های امنیتی فوق العاده اونها استفاده کنید.