Blognhung.no1.vn
Công ty TNHH TM&DV Minh Đức Chuyên cung cấp Máy tính PC,Notebooks,Linh kiện máy tính như RAM,CPU,Mainboard,HDD,Card màn hình,Card mạng,Case+Nguồn..!Các loại Notebook như Dell,Sony VaiO,Asus,Acer,HP,Lenovo,Toshiba...Có các loại,mới+Cũ.Ngoài ra còn cung cấp Máy in,Scaner,Photo,Fax..dây mạng và thiết bị mạng.Vui lòng đóng góp những sản phẩm mới của bạn lên Website www.minhduccomputing.no1.vn và lựa chọn cho mình 1 sản phẩm phù hợp với túi tiền của bạn.Chúc các bạn có 1 ngày làm việc vui vẻ,hiệu quả.Mọi thong tin chi tiết xin phản hồi về Admin Dungviet_it-+819066559891 Japan-Braverybkap@gmail.com Số 1 Ngõ 283 Trần Khát chân HBT HN

Blognhung.no1.vn

Forum cá nhân Phan Nhung
 
Indexwww.pnh.com.vnCalendarGalleryTrợ giúpTìm kiếmThành viênNhómĐăng kýĐăng Nhập

Share | 
 

 Cấu Hình Port Security Bộ môn CCNA

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
Nhungph
Chuyên gia
Chuyên gia


Tổng số bài gửi : 14
Points : 40
Join date : 16/01/2011

Bài gửiTiêu đề: Cấu Hình Port Security Bộ môn CCNA   Tue Mar 29, 2011 2:02 am

Trước khi cấu hình bài lab này, ta nên hiểu xem Port – Security được dùng trong trường hợp nào. Giả sử ta đưa ra một ngữ cảnh như sau, port Fastethernet 0/8 của Switch 1 hoạt động được khi máy tính có Physical Address là CAFE.CAFE.8000. Các máy tính có Physial Address khác trên nếu như cắm vào port này thì nó sẽ bị shutdown trên cổng Fastethernet. Ta sẽ thực hiện bài lab có mô hình như sau:



1.Cấu hình gán IP vào PC và gán IP vào Interface vlan 1

-Ta vào PC gán IP vào card mạng là 192.168.100.100/24
- Cấu hình trên trên interface vlan 1 của switch

Sw1(config)#interface vlan 1
Sw1(config-if)#ip address 192.168.100.1 255.255.255.0
Sw1(config-if)#no shutdown
Sw1(config-if)#exit


- Thực hiện quá trình kiểm tra ping từ PC lên switch



- Ta có thể kiểm tra xem mac address của PC ứng với port fa 0/8 bằng câu lệnh như sau:

Sw1#show mac address-table dynamic

2. Cấu hình port – security trên Interface Fastethernet

Sw1(config)#interface fastethernet 0/8
Sw1(config-if)#shutdown
Sw1(config-if)#switchport mode access
Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security maximum 1
Sw1(config-if)#switchport port-security mac-address CAFE.CAFE.8000
Sw1(config-if)#switchport port-security mac-address violation shutdown
Sw1(config-if)#no shutdown
Sw1(config-if)#exit


Ta thử đổi mac – address của PC. Ta sẽ thấy các dòng log như hình bên dưới và port fastethernet 0/8 đã bị down.



Ta cấu hình lại mac address của card mạng máy tính là CAFE.CAFE.8000 và port fasethernet 0/8 cũng không hoạt động được. Để port này hoạt động lại bình thường ta làm như sau

Sw1(config)#interface fasethernet 0/8
Sw1(config-if)#shutdown
Sw1(config-if)#no shutdown


Tuy nhiên nếu như trong mạng có số lượng máy tính, công việc nhập mac-address security của admin như vậy sẽ rất vất vả. Giải pháp mac-address sticky sẽ được sử dụng trong tình huống. Switch sẽ nhận mac-address đầu tiên connect đến port làm mac-address cho port security. Ví dụ ta sẽ cấu hình một lần trên các cổng fa0/9 đến fa 0/15 và fa 0/24 như sau:

Sw1(config)#interface range fa 0/8 – 9 , fa 0/24
Sw1(config-if)#shutdown
Sw1(config-if)#switchport mode access
Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security maximum 1
Sw1(config-if)#switchport port-security mac-address sticky
Sw1(config-if)#switchport port-security mac-address violation shutdown
Sw1(config-if)#no shutdown
Sw1(config-if)#exit


Để kiểm tra các thông số của port đã được cấu hình port-security ta có thể dùng câu lệnh như sau:

Sw1#show port-security fastethernet 0/8

3. Phục hồi port – security khi Violation
Giả sử như ta triển khai port – security cho công ty của mình. Như vậy có cách nào phục hồi một cách tự động khi violation port – security xảy ra không ? Giải pháp ở đây là ta dùng câu lệnh errdisble. Ta sẽ cấu hình như sau:

Sw1(config)#errdisable detect cause all
Sw1(config)#errdisable recovery cause psecure-violation
Sw1(config)#errdisable recovery cause interval 3600

Hàng đầu tiên ta yêu cầu switch detect trạng thái error disbable bởi tất cả các lý do. Kế tiếp hàng thứ hai ta yêu cầu phục hồi chỉ với error disbable là port security mà thôi. Và khoảng thời gian là 3600 giây sau khi detect.

Mình xin bổ sung một số chi tiết về port-security dựa trên bài viết của Nhanld83 trên:
- Maximum Mac-address: số lượng tối da cho phép các mac-address được cuấ hình trên mỗi port là từ 1 - 3072. giá trị mặc định là 1 khi ta gõ lệnh: 'switchport port-security'. Để thay đổi giá trị max mac-address, dùng lệnh: 'switchport port-security maximum xxx' với xxx là con số cụ thể. Nhự vậy với cấu hình trên mình không cần thiết phải để lệnh: 'switchport port-security maximum 1'

- Violation mode: khi một mac-address không được cấu hình trong port-security và số lương mac-address đã vượt quá số lương tối đa mac-address cho phép thì sẽ vi phạm đến cấu hinh của port-security, action tiếp theo đối với port này tùy thuộc vào cách bạn cấu hình với 3 vioaltion mode sau: protect, restrict, shutdown.
+ Protect: Port sẽ drop tất cả traffic của mac-address 'lạ' không được cấu hình cho đến khi bạn remove mac-address này ra khỏi port (ngắt kết nối của PC ra khỏi port).
+ Restrict: Port sẽ drop tất cả traffic của mac-address 'lạ' không được cấu hình cho đến khi bạn remove mac-address này ra khỏi port (ngắt kết nối của PC ra khỏi port). Nhưng khác với mode 'Protect' 1 chỗ, mode này sẽ tăng dần giá trị bộ đếm dành cho SecurityViolation ( SecurityViolation counter to increment) và sẽ sinh ra các cảnh báo - SNMP Notification cỏ thể được gửi đến Network Administrator.
+ Shutdown: mode mặc định khi cấu hình port-security với lệnh 'swithcport port-security'. Mode này sẽ drop tất cả các traffic trên port chứ không chỉ của mac 'lạ' và shutdown port này ngay lập tực, port khi này rơi vào trạng thái 'error disable'. Bạn có thể đưa port trở lại hoạt đồng bằng cách cấu hình 'shudown' sau đó 'no shutdown' trên port, hay tự động enable bằng chuỗi lệnh: 'errdisable recovery cause psecure-violation' và'errdisable recovery cause interval 3600'.


Tham khảo nguồn bacskup IOS của Router tại đây...http://forum.athena.edu.vn/cisco-ccna-ccnp-ccie/369-backup-ios-router.html

_________Mừng các bạn ra đi hạnh phúc...!!!!________


Đang kết nối với tình yêu.....
Vui lòng đợi trong giây lát ..... Loading...
Chấm dứt kết nối máy chủ ..........
Về Đầu Trang Go down
Xem lý lịch thành viên
 
Cấu Hình Port Security Bộ môn CCNA
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang
 Similar topics
-
» Guide to Port Entry Edition 2011-2012 on CD-ROM
» Bản quyền miễn phí AVG Internet Security 2011 một năm
» Những phần mềm không thể thiếu_không đọc tiếc cả đời(khà khà)
» Một số thuật ngữ trong giám định mớn nước
» Kaspersky Internet Security 2011- Bản quyền miễn phí 1 năm

Permissions in this forum:Bạn không có quyền trả lời bài viết
Blognhung.no1.vn :: Giới Thiệu Chung :: Thế giới CNTT :: Thiết lập mạng-
Chuyển đến