Các khái niệm
Tính năng bảo mật cổng (port Security)
Trong một số tình huống, ta cần phải kiểm soát được sự truy xuất của client vào một hệ thống mạng. Cách thức đơn giản để quản lý người dùng là dựa vào địa chỉ MAC của người dùng đó. Catalyst Switch cung cấp một tính năng là port security, tính năng này giúp điều khiển truy cập của một người dùng trên một cổng của Switch dựa vào địa chỉ MAC của người dùng đó. Để cấu hình tính năng này trên cổng của Switch ta làm như sau. Đầu tiên bật tính năng port security trên chế độ giao diện (interface mode) bằng lệnh sau:
Switch(config-if)#switchport port-security
Tiếp theo ta chỉ định số địa chỉ MAC tối đa cho phép truy xuất trên cổng:
Switch(config-if)#switchport port-security maximum max-addr
Mặc định chỉ có 1 địa chỉ MAC được cho phép trên cổng. Dãy địa chỉ MAC có thể cấu hình từ 1 đến 1024.
Ta có thể chỉ định trước những địa chỉ MAC nào được cho phép truy xuất trên cổng:
Switch(config-if)#switchport port-security mac-address mac-addr
Theo mặc định khi một người dùng không còn kết nối vào cổng, MAC của người dùng đó cũng sẽ không được lưu lại. Nếu muốn Switch lưu lại địa chỉ MAC của người dùng vào chế độ cấu hình đang chạy (running config) ta dùng lệnh sau:
Switch(config-if)#switchport port-security mac-address sticky
Ví dụ: nếu ta chỉ định số địa chỉ MAC tối đa cho phép trên một port là 5, điều này có nghĩa là tại một thời điểm chỉ được phép có tối đa 5 địa chỉ MAC của người dùng tồn tại trên cổng (hay nói cách khác có tối đa 5 người dùng kết nối vào cổng), nếu thay một người dùng này bằng một người dùng khác thì vẫn không vi phạm điều kiện, vì địa chỉ MAC của người dùng cũ không được lưu lại. Nếu ta chỉ định thêm sticky thì chỉ có 5 người dùng đầu tiên được truy xuất vào cổng, nếu thay 1 máy tính trong nhóm bằng 1 máy tính khác thì sẽ vi phạm điều kiện (vì 5 MAC của 5 máy tính cũ + 1 MAC của máy tính mới = 6 MAC > số MAC tối đa là 5 MAC).
Bình thường khi vi phạm điều kiện, cổng sẽ bị tắt (shutdown) và đưa vào trạng thái lỗi:
Switch(config-if)#switchport port-security violation {shutdown | restrict | protect}
shutdown: khi vi phạm điều kiện port ngay lập tức bị shutdown và đưa vào trạng thái lỗi. Ta phải phục hồi lại bằng tay (dùng lệnh shutdown và no shutdown) hoặc tự động bằng tính năng errdisable recovery (xem lab).
restrict: khi vi phạm cổng vẫn hoạt động, tuy nhiên tất cả những khung (frame) từ địa chỉ MAC vi phạm điều kiện đều bị đánh rớt và một thông điệp bẫy SNMP, syslog được gởi ra.
protect: khi vi phạm port vẫn hoạt động, giống với restrict, tuy nhiên sẽ không gởi thông điệp bẫy SNMP và syslog không được gởi ra.
Một ví dụ cấu hình tính năng port-security chế độ shutdown (mặc định):
Interface fastEthernet 0/10
Switchport access vlan 10
Switchport mode access
Switchport port-security
Switchport port-security violation shutdown
Spanning-tree portfast
Example 15-1 Displaying Port Security Port Status
Switch#show port-security interface fastEthernet0/10
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0003.a089.efc5
Security Violation Count : 1
Tính năng chứng thực trên nền tảng cổng (Port-based Authentication)
Tính năng port-based authentication dựa trên chuẩn IEEE 802.x. Khi được bật lên, switch sẽ ngăn tất cả luồng dữ liệu cho đến khi người dùng được chứng thực thành công với Switch. Để có thể port-based authentication làm việc được, đòi hỏi cả máy tính người dùng và Swith phải hỗ trợ 802.1x, nếu Switch không hỗ trợ 802.1x thì máy tính vẫn có thể truy xuất bình thường, nếu Switch hỗ trợ và bật 802.1x thì máy tính người dùng phải hỗ trợ 802.1x và chứng thực thành công mới có thể truy xuất vào mạng, ngược lại máy tính sẽ không thể truy xuất vào mạng.
Tính năng bảo mật cổng (port Security)
Trong một số tình huống, ta cần phải kiểm soát được sự truy xuất của client vào một hệ thống mạng. Cách thức đơn giản để quản lý người dùng là dựa vào địa chỉ MAC của người dùng đó. Catalyst Switch cung cấp một tính năng là port security, tính năng này giúp điều khiển truy cập của một người dùng trên một cổng của Switch dựa vào địa chỉ MAC của người dùng đó. Để cấu hình tính năng này trên cổng của Switch ta làm như sau. Đầu tiên bật tính năng port security trên chế độ giao diện (interface mode) bằng lệnh sau:
Switch(config-if)#switchport port-security
Tiếp theo ta chỉ định số địa chỉ MAC tối đa cho phép truy xuất trên cổng:
Switch(config-if)#switchport port-security maximum max-addr
Mặc định chỉ có 1 địa chỉ MAC được cho phép trên cổng. Dãy địa chỉ MAC có thể cấu hình từ 1 đến 1024.
Ta có thể chỉ định trước những địa chỉ MAC nào được cho phép truy xuất trên cổng:
Switch(config-if)#switchport port-security mac-address mac-addr
Theo mặc định khi một người dùng không còn kết nối vào cổng, MAC của người dùng đó cũng sẽ không được lưu lại. Nếu muốn Switch lưu lại địa chỉ MAC của người dùng vào chế độ cấu hình đang chạy (running config) ta dùng lệnh sau:
Switch(config-if)#switchport port-security mac-address sticky
Ví dụ: nếu ta chỉ định số địa chỉ MAC tối đa cho phép trên một port là 5, điều này có nghĩa là tại một thời điểm chỉ được phép có tối đa 5 địa chỉ MAC của người dùng tồn tại trên cổng (hay nói cách khác có tối đa 5 người dùng kết nối vào cổng), nếu thay một người dùng này bằng một người dùng khác thì vẫn không vi phạm điều kiện, vì địa chỉ MAC của người dùng cũ không được lưu lại. Nếu ta chỉ định thêm sticky thì chỉ có 5 người dùng đầu tiên được truy xuất vào cổng, nếu thay 1 máy tính trong nhóm bằng 1 máy tính khác thì sẽ vi phạm điều kiện (vì 5 MAC của 5 máy tính cũ + 1 MAC của máy tính mới = 6 MAC > số MAC tối đa là 5 MAC).
Bình thường khi vi phạm điều kiện, cổng sẽ bị tắt (shutdown) và đưa vào trạng thái lỗi:
Switch(config-if)#switchport port-security violation {shutdown | restrict | protect}
shutdown: khi vi phạm điều kiện port ngay lập tức bị shutdown và đưa vào trạng thái lỗi. Ta phải phục hồi lại bằng tay (dùng lệnh shutdown và no shutdown) hoặc tự động bằng tính năng errdisable recovery (xem lab).
restrict: khi vi phạm cổng vẫn hoạt động, tuy nhiên tất cả những khung (frame) từ địa chỉ MAC vi phạm điều kiện đều bị đánh rớt và một thông điệp bẫy SNMP, syslog được gởi ra.
protect: khi vi phạm port vẫn hoạt động, giống với restrict, tuy nhiên sẽ không gởi thông điệp bẫy SNMP và syslog không được gởi ra.
Một ví dụ cấu hình tính năng port-security chế độ shutdown (mặc định):
Interface fastEthernet 0/10
Switchport access vlan 10
Switchport mode access
Switchport port-security
Switchport port-security violation shutdown
Spanning-tree portfast
Example 15-1 Displaying Port Security Port Status
Switch#show port-security interface fastEthernet0/10
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0003.a089.efc5
Security Violation Count : 1
Tính năng chứng thực trên nền tảng cổng (Port-based Authentication)
Tính năng port-based authentication dựa trên chuẩn IEEE 802.x. Khi được bật lên, switch sẽ ngăn tất cả luồng dữ liệu cho đến khi người dùng được chứng thực thành công với Switch. Để có thể port-based authentication làm việc được, đòi hỏi cả máy tính người dùng và Swith phải hỗ trợ 802.1x, nếu Switch không hỗ trợ 802.1x thì máy tính vẫn có thể truy xuất bình thường, nếu Switch hỗ trợ và bật 802.1x thì máy tính người dùng phải hỗ trợ 802.1x và chứng thực thành công mới có thể truy xuất vào mạng, ngược lại máy tính sẽ không thể truy xuất vào mạng.
Comment