Sử dụng tính năng port security để giới hạn đầu vào interface bằng cách hạn chế và xác định địa chỉ MAC của các máy trạm được phép truy cập vào. Khi chỉ định địa chỉ secure MAC đến một cổng bảo mật, cổng không chuyển tiếp các gói tin với địa chỉ nguồn bên ngoài nhóm của các địa chỉ đã xác định. Nếu hạn chế số lượng địa chỉ secure MAC tới một cổng và chỉ định một địa chỉ secure MAC, các máy trạm thuộc port đó được đảm bảo đầy đủ băng thông.
Nếu một port secure với số lượng tối đa các địa chỉ secure MAC được đạt tới, khi địa chỉ MAC của các máy trạm còn lại cố gắng truy cập vào cổng mà khác với các địa chỉ secure MAC đã xác định, thì vi phạm (violation) bảo mật xảy ra. Sau khi đặt số lượng tối đa của địa chỉ secure MAC trên một cổng, ta có thể đưa địa chỉ MAC vào bảng địa chỉ theo những cách sau:
• Có thể cấu hình tất cả các địa chỉ secure MAC bằng cách sử dụng câu lệnh: switchport port-security mac-address [mac_address] trên interface.
• Có thể cho phép port tự động cấu hình địa chỉ secure MAC với địa chỉ MAC của thiết bị kết nối.
• Có thể cấu hình một lượng địa chỉ và cho phép ngừng tự động cấu hình.
• Nếu port bị tắt (shutdown) thì tất cả các địa chỉ được học tự động sẽ bị xóa bỏ.
• Có thể cấu hình bằng tùy chọn sticky. Tính năng này giúp Switch có thể học địa chỉ secure MAC tự động hoặc có thể cấu hình bằng tay, nó được lưu trữ trong bảng địa chỉ và được thêm vào cấu hình đang chạy. Nếu những địa chỉ được lưu trong file cấu hình, thì interface không cần thiết phải tự động học chúng khi switch khởi động lại. Mặc dù địa chỉ bảo mật sticky có thể cấu hình bằng tay nhưng nó không được khuyến cáo sử dụng. Chúng ta có thể cấu hình một interface để nó học địa chỉ MAC và thêm chúng vào cấu hình đang chạy bằng cách kích hoạt sticky learning. Để kích hoạt sticky learning, nhập dòng lệnh: switchport port-security mac-address sticky.
Khi nhập vào dòng lệnh trên, interface chuyển đổi tất cả các địa chỉ động thành địa chỉ MAC secure, bao gồm cả những cái đã học tự động trước đó. Địa chỉ MAC secure sticky không tự động trở thành một phần của file cấu hình. Nếu lưu địa chỉ MAC secure sticky trong file cấu hình, thì khi switch khởi động lại, interface không cần thiết phải học lại những địa chỉ này. Nếu không lưu lại cấu hình thì các địa chỉ MAC sẽ mất sau mỗi lần restart lại thiết bị. Nếu sticky leraning bị disable, địa chỉ MAC secure sticky được chuyển đổi thành địa chỉ secure động và được xóa khỏi running configuration. Sau khi số lượng tối đa địa chỉ MAC secure được cấu hình, chúng được lưu trữ trong một bảng. Để đảm bảo rằng một thiết bị có đầy đủ băng thông của port, cấu hình địa chỉ MAC theo thiết bị và thiết lập số lượng tối đa của địa chỉ là mặc định. Một hành vi vi phạm bảo mật xảy ra khi máy trạm kết nối vào giao diện và có địa chỉ MAC không trùng khớp với các địa chỉ secure MAC đã được lưu trong bảng. Khi vi phạm xảy ra ta có thể cấu hình các hành động ứng với các vị phạm đó cụ thể là:
• Restrict – Một vi phạm an ninh cổng nhằm hạn chế dữ liệu, làm cho bộ đếm Security Violation gia tăng, và một thông báo SNMP được tạo ra. Một SNMP trap được tạo ra có thể kiểm soát bởi dòng lệnh snmp-server enable traps port-security trap-rate. Giá trị mặc định (“0”) thì một SNMP trap được tạo ra cho mỗi hành vi vi phạm an ninh.
• Shutdown – Một vi phạm an ninh cổng làm cho cổng đóng ngay lập tức. Khi một secure port ở trạng thái lỗi, có thể giải quyết tình trạng này bằng cách nhập dòng lệnh eradisable recovery cause psecure-violation hoặc có thể tự bật lại bằng cách nhập lệnh shutdown và no shutdown interface. Đó là chế độ mặc định. Cũng có thể tùy chỉnh thời gian để phục hồi từ các nguyên nhân gây lỗi ( mặc định là 300 giây) bằng cách nhập lệnh erridisable recovery interval.
Lê Đức Thịnh – VnPro
Nếu một port secure với số lượng tối đa các địa chỉ secure MAC được đạt tới, khi địa chỉ MAC của các máy trạm còn lại cố gắng truy cập vào cổng mà khác với các địa chỉ secure MAC đã xác định, thì vi phạm (violation) bảo mật xảy ra. Sau khi đặt số lượng tối đa của địa chỉ secure MAC trên một cổng, ta có thể đưa địa chỉ MAC vào bảng địa chỉ theo những cách sau:
• Có thể cấu hình tất cả các địa chỉ secure MAC bằng cách sử dụng câu lệnh: switchport port-security mac-address [mac_address] trên interface.
• Có thể cho phép port tự động cấu hình địa chỉ secure MAC với địa chỉ MAC của thiết bị kết nối.
• Có thể cấu hình một lượng địa chỉ và cho phép ngừng tự động cấu hình.
• Nếu port bị tắt (shutdown) thì tất cả các địa chỉ được học tự động sẽ bị xóa bỏ.
• Có thể cấu hình bằng tùy chọn sticky. Tính năng này giúp Switch có thể học địa chỉ secure MAC tự động hoặc có thể cấu hình bằng tay, nó được lưu trữ trong bảng địa chỉ và được thêm vào cấu hình đang chạy. Nếu những địa chỉ được lưu trong file cấu hình, thì interface không cần thiết phải tự động học chúng khi switch khởi động lại. Mặc dù địa chỉ bảo mật sticky có thể cấu hình bằng tay nhưng nó không được khuyến cáo sử dụng. Chúng ta có thể cấu hình một interface để nó học địa chỉ MAC và thêm chúng vào cấu hình đang chạy bằng cách kích hoạt sticky learning. Để kích hoạt sticky learning, nhập dòng lệnh: switchport port-security mac-address sticky.
Khi nhập vào dòng lệnh trên, interface chuyển đổi tất cả các địa chỉ động thành địa chỉ MAC secure, bao gồm cả những cái đã học tự động trước đó. Địa chỉ MAC secure sticky không tự động trở thành một phần của file cấu hình. Nếu lưu địa chỉ MAC secure sticky trong file cấu hình, thì khi switch khởi động lại, interface không cần thiết phải học lại những địa chỉ này. Nếu không lưu lại cấu hình thì các địa chỉ MAC sẽ mất sau mỗi lần restart lại thiết bị. Nếu sticky leraning bị disable, địa chỉ MAC secure sticky được chuyển đổi thành địa chỉ secure động và được xóa khỏi running configuration. Sau khi số lượng tối đa địa chỉ MAC secure được cấu hình, chúng được lưu trữ trong một bảng. Để đảm bảo rằng một thiết bị có đầy đủ băng thông của port, cấu hình địa chỉ MAC theo thiết bị và thiết lập số lượng tối đa của địa chỉ là mặc định. Một hành vi vi phạm bảo mật xảy ra khi máy trạm kết nối vào giao diện và có địa chỉ MAC không trùng khớp với các địa chỉ secure MAC đã được lưu trong bảng. Khi vi phạm xảy ra ta có thể cấu hình các hành động ứng với các vị phạm đó cụ thể là:
• Restrict – Một vi phạm an ninh cổng nhằm hạn chế dữ liệu, làm cho bộ đếm Security Violation gia tăng, và một thông báo SNMP được tạo ra. Một SNMP trap được tạo ra có thể kiểm soát bởi dòng lệnh snmp-server enable traps port-security trap-rate. Giá trị mặc định (“0”) thì một SNMP trap được tạo ra cho mỗi hành vi vi phạm an ninh.
• Shutdown – Một vi phạm an ninh cổng làm cho cổng đóng ngay lập tức. Khi một secure port ở trạng thái lỗi, có thể giải quyết tình trạng này bằng cách nhập dòng lệnh eradisable recovery cause psecure-violation hoặc có thể tự bật lại bằng cách nhập lệnh shutdown và no shutdown interface. Đó là chế độ mặc định. Cũng có thể tùy chỉnh thời gian để phục hồi từ các nguyên nhân gây lỗi ( mặc định là 300 giây) bằng cách nhập lệnh erridisable recovery interval.
Lê Đức Thịnh – VnPro