Port Security چيست؟

ما مي توانيم روي اينترفيسهاي سوئيچ كه در مد Access هستند، تنظيم كنيم كه چند تا MAC Address و چه MAC Add هايي بتوانند وصل شوند و در صورت وصل شدن كامپيوتري با MAC غيرمجاز چه مجازاتي براي آن پورت در نظر گرفته شود.
براي انجام تنظيمات Port Security وارد اينترفيس مربوطه شده و ابتدا مطمئن مي شويم كه اينترفيس در مد Access مي باشد:
switch2950(config-if)#switchport mode access

سپس با دستور زير Port Security  را روي اينترفيس فعال مي كنيم :
switch2950(config-if)# switchport port-security

حال با دستور  switchport port-security maximm  تعريف مي كنيم كه حداكثر چند تا MAC ميتواند از هاب يا سوئيچ ديگر به اين اينترفيس وصل شود ( ياد گرفته شود ) كه اين تعداد بين 1 تا 132 خواهد بود. عدد پيش فرض يك مي باشد.

با دستور switchport port-security mac-address مي توان Mac موردنظر با فرمت xxxx.xxxx.xxxx وارد كرد ( 12 رقم يا 6 بايت )
چون وارد كردن Mac Add  به اين روش مديريت آنرا بسيار پيچيده مي كند، روش جايگزيني براي آن پيشنهاد شده است كه به اين روش sticky مي گويند.در اين روش اولين mac يا با توجه به تنظيمات مربوطه اولين چند mac كه روي اينترفيس ياد گرفته مي شوند بعنوان mac مجاز در نظر گرفته مي شوند:
switchport  port-security  mac-address  sticky# 

Violation روي اينترفيس هم مي تواند بصورت protected يا restrict يا shutdown تنظيم گردد.
در حالت shutdown پورت به حالت shutdown  رفته و هيچ mac مجاز و غير مجازي قادر به اتصال به پورت سوئيچ نخواهد بود.در حالت restrict و protect تنها mac هاي غير مجاز
قادر به اتصال نخواهند بود و Discard مي شوند منتها در حالت Restrict يك Log روي كنسول يا Syslog Server نيز توليد خواهد شد كه در حالت Protect اين Log را ارسال نمي كند.

پيش فرض اين تنظيم Shutdown مي باشد.

جهت تست اين تنظيم، يك دستگاهي كه MAC آن مجاز مي باشد را به سوئيچ وصل كرده و با كامند show port-security وضعيت را بررسي مي كنيم:

2950#show port-security

Secure port           Max secure Add      Current Add           security violation    security Action
                              (count)                (count)
----------------------------------------------------------------------------------------------------------------------------------
Fa0/5                          1                         1                            0                 shutdown

 يعني يك دستگاه به پورت Fa0/5 متصل شده است كه براي ديدن Mac Add آن از دستور  show port-security address استفاده مي كنيم :

2950# sh port-security address
                                                     secure MAC address table
----------------------------------------------------------------------------------------------------------------------------------------------
VLAN         Mac Address             TYpe            Ports          Remaining Age (mins)
-------         -----------------              -------           --------         ------------------------------
  1        000c.6e0b.e835       secure sticky       Fa0/5     

با دستور show port-security interface fastethernet 0/5 مي توان ويژگيهاي port-security را بصورت جزييتر مشاهده كرد :

2950#sh port-security interface fastethernet 0/5
Port security : Enabled
Port status : Secure UP
Violation mode : Shutdown
Maximum MAC address : 1
Total Mac Address : 1
Configured MAC Address : 1
Aging time : 0 min
Aging type : Absolute
Secure static Adress aging : Disabled
Security Violation Count : 0


 اگر تخلفي صورت بگيرد Port status از حالت secure UP به حالت Secure Down تغيير خواهد كرد.
هر MAC Add كه به سوييچ متصل مي شود يك عمري ( Age time ) دارد كه اگر پس ار آن Age Time هيچ پكتي را به سوييچ ارسال نكند از جدول Port-security پاك خواهد شد، كه در اين صورت Aging Type بايد InActivity تعريف شود.
وقتي Aging Type را Absolute  تعريف مي كنيم، يعني مستقل از اينكه ميخواهد Mac  مربوطه Activity داشته باشد يا نداشته باشد، تا Aging time تعريف شده، در جدول باقي بماند و حذف نشود.
Aging time با مقدار صفر يعني اينكه هرگز expire نشود يعني Mac Add را كه ياد گرفته همواره در جدول باقي بماند.

اگر يك سيستم غيرمجاز به سوييچ وصل گردد، پورت به دليل secure violation به حالت error-disable خواهد رفت كه براي فعال كردن پورتهاي error disable بصورت دستي، روي اينترفيس بايد shutdown  و No Shutdown زد .اگر منشاء مشكل برطرف شده باشد و يا اينكه از زمانيكه منشاء مشكل برطرف شده باشد، پنج دقيقه بعد بصورت اتوماتيك پورت فعال خواهد شد.
بعد از اينكه Mac غيرمجاز متصل شده و پورت به حالت Shutdown رود، با اتصال يك Mac مجاز، پورت به وضعيت error-disable خواهد رفت.
براي مشاهده علت error-disable از كامند  show interface status err-disabled استفاده مي كنيم :

2950# show interface status err-disabled

Port            Name                 Status                  Reason
------          ----------               -----------               ------------
Fa0/5                               err-disabled        Psecure-violation          P=Port


علت error-disable شدن، Port security violation مي باشد.

اگر از طريق روش فوق بخواهيم Port Security را روي تعداد زيادي پورت فعال كنيم، بايد روي تك تك پورتها رفته و كامند port-security را وارد كنيم كه كار زمانبري مي باشد.

براي انجام راحتر اينكار، مي توانيم از دستور Interface range استفاده كرده و يك تنظيم را بصورت همزمان و يكجا بر روي تعدادي اينترفيس پياده كنيم.بعنوان مثال :

2950#conf t
2950(conf-if)# interface range fastethernet 0/5 - 7 , fa0/1
2950(conf-if-range)#switchport mode Access
2950(conf-if-range)#swichport port-security