Cisco Port-Security Yapılandırması

cisco port security

Portlara belirlenen sayı kadar  host ve istenilirse belirlenen cihazın bağlanmasını sağlayan güvenlik önlemidir. Güvenlik MAC adresi ile sağlanmaktadır. MAC adresi el ile girilebileceği gibi, switch tarafından dinamik olarak öğrenilip kaydedilmesi de sağlanabilir ki genelde de dinamik olan yöntem seçilir. Çünkü büyük ağlarda tek tek MAC adresi girmek uzun zaman alacağı ve kontrolünün zor olacağı için pek tercih edilmez.

Küçük bir örnek ile başlayalım.

Örnekte, aynı subnet ve networkte olan bilgisayarlar bulunmaktadır. Switchte herhangi bir yapılandırma olmadığı için 11 ve 12 nolu IP adresine sahip bilgisayarlar birbirlerine paket gönderip alabilirler.  (11’den 12’ye ping attım ve sonuç aşağıdaki gibi)

Yapılandırmamıza başlayım. 11 nolu IP adresine sahip olan bilgisayar fastEthernet 0/1 nolu portuna bağlı. Config moda girerek yapılandırmaya başlayalım.

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access  (portu Access yaptık)
Switch(config-if)#switchport port-security (port-security aktifleştirdik)

Switch(config-if)#switchport port-security ? ile kullanabileceğimiz komutlara bakalım.

Temel olarak 4 tane komut bulunuyor.

aging

aging komutu ile MAC adresinin ne kadar süre ile tutulacağı gibi ayarlamalar yapılabiliyor. Komut ayarların aging time diye bir komut bulunuyor ve bu komut ile öğrenilen MAC adresinin kaç dakika switch hafızasında tutulacağı belirtiliyor. 1 ila 1440 arasında değer girilebiliyor.

switchport port-security mac-address

Bu bölümde MAC adresinin statik veya dinamik şekilde ayarlanması sağlanabiliyor.

switchport port-security maximum

Bu alanda en fazla kaç tane MAC adresinin girilebileceği ayarlanabiliyor. 1 ila 132 adet arasında MAC adresi girilebilir. Default olarak 1’dir.

switchport port-security violation (ihlal)

Bu alanda (violation) ihlal olduğunda ne gibi aksiyon alınması gerektiği ayarlanıyor. Default olarak shutdown işlemi yapılır.

Protect modunda ihlal olduğu zaman syslog mesajı gönderilmez. Öğrenilen MAC adresli cihaz porta tekrar takıldığında paket iletimi başlar.

Restrict modunda ihlal olduğu zaman syslog mesajı üretilir. Öğrenilen MAC adresli cihaz porta tekrar takıldığında paket iletimi başlar.

Shutdown : ihlal gerçekleştiğinde port kapatılır. İhlal ortadan kalksa dahi, ağ yönetici tarafından port açılmadığı sürece paket gönderim ve alımı yapılmaz.

Biz örnekte MAC adresinin dinamik olarak öğrenildiği, en fazla 1 adresin olduğu ve ihlal gerçekleştiğinde portun kapatılması şeklinde yapılandırma yapacağız ve sonucu göreceğiz.

Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown

Yapılandırma tamam. Şimdi fa0/1 portuna 13 nolu IP adresine sahip bilgisayarı bağlayacağım ve 12 nolu bilgisayara ping atmayı deneyeceğim.

Görüldüğü gibi ping atılamamakta ve packet tracera baktığımda da 13 nolu IP adresinin olduğu portun kapalı olduğu görülmekte.

Porta öğrenilen MAC adresinin olduğu bilgisayarı taksam da port açılmayacaktır. Ağ yöneticisi tarafından ilgili portun açılması gerekmektedir.  Portu açmak için ise önce shutdown komutuyla kapatıp sonra no shutdown komuyla açmak gerekmektedir. Direkt no shutdown komutuyla portu açsanız bile port açılmayacaktır.

Konu uzamasın diye Protect ve restrict modlarıyla ilgili örnek yapmayacağım. Bu modlarda öğrenilen MAC adresli cihaz dışında başka bir cihaz takıldığında port tamamen kapatılmaz, sadece paketler drop edilir.

Not : Çok özel bir durum olmadığı sürece port kapatma seçeneği tercih edilmez.

Port-security show komutları

show port-security

Komut çıktısına baktığımızda hangi portta port-securitynin aktif olduğunu, kaç tane MAC adresinin öğrenildiğini, kaç tane ihlalin (vilation) olduğunu ve ihlal aksiyonunun ne olduğunu görebiliyoruz.

show port-security address

Bu komutla öğrenilen MAC adresini, hangi portta olduğun ve VLAN bilgilerini görebiliyoruz.

show port-security interface

Bu komut ile interface bazında port-security detaylarını görebiliyoruz. Örnek yapılandırma yaptığımız porta bakmak gerekirse;

Switch#show port-security interface fastEthernet 0/1

Click to rate this post!
[Total: 2 Average: 5]

Salih ALTUNTAŞ

Cisco CCNA ve Huawei HCIA hakkında blog içerikleri üretmekteyim.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir