Geçmiş dönemde aldığım CCNA notlarını hem kolay erişilebilirlik hemde herkesin erişebilmesi için ufak tefek güncellemeler ile paylaşıyorum.
Port Security, bir access port üzerinde etkinleştirilebilir. Temel seviyede yapılandırma adımları;
Switch# configure terminal Switch(config)# interface fastethernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security
İzin Verilecek Maksimum MAC Adresi Sayısını Belirleme
Switch(config-if)# switchport port-security maximum <sayı>
Statik MAC Adresi Atama
Switch(config-if)# switchport port-security mac-address <MAC_adresi>
Dinamik MAC Adresi Öğrenme
Switch(config-if)# switchport port-security mac-address sticky
Bu özellik ile switch, öğrenilen MAC adreslerini otomatik olarak kaydeder.
Sticky MAC adresleri, “running-config” dosyasına eklenir ve kaydedilirse kalıcı hale gelir.
Güvenlik İhlalinde (Violation) Alınacak Eylemi Belirleme
Port Security ihlali durumunda switch’in nasıl davranacağını belirleyebilirsiniz:
Switch(config-if)# switchport port-security violation {protect | restrict | shutdown}
Modlar:
protect
: Yeni MAC adreslerini reddeder, ancak bildirim yapmaz veya log kaydı tutmaz.restrict
: Yeni MAC adreslerini reddeder ve log kaydı tutar.shutdown
: Portu kapatır (default eylem). Portu tekrar açmak için manuel müdahale gerekir.
Switch(config-if)# switchport port-security violation restrict
Port Security Ayarlarını Kontrol Etme
Switch# show port-security
Port Security Action Max Current Sticky Fa0/1 Enabled Restrict 2 1 Yes
Güvenlik İhlali Loglarını Görüntüleme
Switch# show port-security interface fastethernet 0/1
Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 0 mins SecureStatic Address Count : 0 SecureDynamic Address Count: 1 Security Violation Count : 0
Portu Manuel Olarak Yeniden Açma
Eğer port güvenlik ihlali nedeniyle kapatıldıysa, portu tekrar aktif hale getirmek için:
Switch# configure terminal Switch(config)# interface fastethernet 0/1 Switch(config-if)# shutdown Switch(config-if)# no shutdown
Örnek bir konfig ile labımızı gerçekleştirelim.
Switch# configure terminal Switch(config)# interface fastethernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 2 Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# switchport port-security violation shutdown Switch(config-if)# exit Switch# write memory
fa 0/1 portuna tüm cihazları tek tek bağlayip mac tablosuna cihazların maclerinin yazıldığını görüp sonrasında ping işlemi başlatalım. Portun kendini kapattığını görebiliriz.
Portu yeniden açmak için,
Switch(config-if)# shutdown Switch(config-if)# no shutdown
Hangi maclerin kayıt altına alındığını görmek için,
show running-config | include port-security
Mac Address Takibi için;
show mac-address-table
Komutu ile switch üzerinde hangi portta hangi mac adresi kayıtlı ve hangi vlanda olduğu bilgisi öğrenilebilir.
Kayıt Altına Alınmış MAC leri silmek
clear port-security sticky