Cisco Port Security

Geçmiş dönemde aldığım CCNA notlarını hem kolay erişilebilirlik hemde herkesin erişebilmesi için ufak tefek güncellemeler ile paylaşıyorum.

Port Security, bir access port üzerinde etkinleştirilebilir. Temel seviyede yapılandırma adımları;

Switch# configure terminal
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

İzin Verilecek Maksimum MAC Adresi Sayısını Belirleme

Switch(config-if)# switchport port-security maximum <sayı>

Statik MAC Adresi Atama

Switch(config-if)# switchport port-security mac-address <MAC_adresi>

Dinamik MAC Adresi Öğrenme

Switch(config-if)# switchport port-security mac-address sticky

Bu özellik ile switch, öğrenilen MAC adreslerini otomatik olarak kaydeder.

Sticky MAC adresleri, “running-config” dosyasına eklenir ve kaydedilirse kalıcı hale gelir.

Güvenlik İhlalinde (Violation) Alınacak Eylemi Belirleme

Port Security ihlali durumunda switch’in nasıl davranacağını belirleyebilirsiniz:

Switch(config-if)# switchport port-security violation {protect | restrict | shutdown}

Modlar:

  • protect: Yeni MAC adreslerini reddeder, ancak bildirim yapmaz veya log kaydı tutmaz.
  • restrict: Yeni MAC adreslerini reddeder ve log kaydı tutar.
  • shutdown: Portu kapatır (default eylem). Portu tekrar açmak için manuel müdahale gerekir.
Switch(config-if)# switchport port-security violation restrict

Port Security Ayarlarını Kontrol Etme

Switch# show port-security
Port   Security  Action   Max  Current  Sticky
Fa0/1  Enabled   Restrict   2        1       Yes

Güvenlik İhlali Loglarını Görüntüleme

Switch# show port-security interface fastethernet 0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
SecureStatic Address Count : 0
SecureDynamic Address Count: 1
Security Violation Count   : 0

Portu Manuel Olarak Yeniden Açma

Eğer port güvenlik ihlali nedeniyle kapatıldıysa, portu tekrar aktif hale getirmek için:

Switch# configure terminal
Switch(config)# interface fastethernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

Örnek bir konfig ile labımızı gerçekleştirelim.

Switch# configure terminal
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# exit
Switch# write memory

fa 0/1 portuna tüm cihazları tek tek bağlayip mac tablosuna cihazların maclerinin yazıldığını görüp sonrasında ping işlemi başlatalım. Portun kendini kapattığını görebiliriz.

Portu yeniden açmak için,

Switch(config-if)# shutdown
Switch(config-if)# no shutdown

Hangi maclerin kayıt altına alındığını görmek için,

show running-config | include port-security

Mac Address Takibi için;  

show mac-address-table

Komutu ile switch üzerinde hangi portta hangi mac adresi kayıtlı ve hangi vlanda olduğu bilgisi öğrenilebilir. 

Kayıt Altına Alınmış MAC leri silmek 

clear port-security sticky

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir