Tweet
Các cấu hình Port Security Aging và VLAN Access Control List
1. Cấu hình Port Security Aging
+ Có thể sử dụng port security aging để đặt aging time và aging type cho tất cả đia chỉ bảo mật trên cổng. Sử dụng tính năng này để loại bỏ à thêm vào các máy tính trên một secure port mà không cần xóa bằng tay địa chỉ MAC secure trong khi vẫn hạn chế số lượng địa chỉ bảo mật trên một cổng. Để cấu hình port security aging , thực hiện thao tác sau:
.jpg)
.jpg)
Câu lệnh trong Port Security Aging
+ Để đảm bảo vô hiệu hóa cổng aging cho tất cả các địa chỉ bảo mật trên một port, sử dụng câu lệnh no switchport port-security aging time cấu hình cho interface.
+ Ví dụ dưới đây cho thấy làm thế nào để thiết lập thời gian aging là 2 giờ cho các địa chỉ an toàn về interface Fast Ethernet 5/1:
Switch(config)# interface fastethernet 5/1
Switch(config-if)# switchport port-security aging time 120
Ví dụ cho thấy làm thế nào thiết lập thời gian aging là 2 phút:
Switch(config-if)# switchport port-security aging time 2
+ Có thể kiểm tra các câu lệnh trước đó bằng cách nhập câu lệnh:
Switch(config)#show port-security interface interface_id
2. Bảo mật với VLAN Access Control List
+ VLAN ACL (VACL) là một dịch vụ cho phép tạo và quản lý danh sách truy cập dựa vào địa chỉ MAC, IP. Bạn có thể cấu hình VACLs để kiểm tra các gói tin lưu thông trong nội bộ một VLAN hoặc giữa các VLAN với nhau. VACLs thì không định nghĩa quản lý truy cập theo hướng(in, out). VACLs dùng Access Maps để chứa danh sách tuần tự một hoặc nhiều mẫu tin (entry) về việc quản lý truy cập. Mỗi mẫu tin trong bản đồ truy cập mô tả việc kiểm tra gói tin dựa vào IP hoặc MAC để áp cho một hành dộng nào đó đối với những gói tin.
+ Các mẫu tin đều được đánh số thứ tự nên ta có thể cấu hình ưu tiên cho các mẫu tin phù hợp với một yêu cầu nào đó. Khi các gói tin đi qua thiết bị sẻ được kiểm tra thông qua VACL dựa vào bản đồ truy cập đã được cấu hình mà thiết bị sẻ quyết định có chuyển tiếp gói tin đi hay không. Những mẫu tin trong VLAN Access Maps cung cấp các hành động đối với gói tin như sau:
• Forward: Hành động này sẻ cho phép gói tin được chuyển qua switch
• Redirect: Gói tin sẻ được chuyển hướng sang một hoặc nhiều giao diện được chỉ định.
• Drop: Với một gói tin vi phạm thì hành động này cho phép hủy gói tinngay lập tức và chúng ta có thể lưu trạng thái(logs) về việc hủy các góitin này. Cách cấu hình:
• Tạo vlan access map: Switch(config)#vlan access-map {map-name}{sequence-number)
• Đưa ACL vào : Switch(config-access-map)#match {ip|ipv6|mac} address {ip-accesslist|mac-accesslist}
• Định nghĩa hành động cho gói tin: Switch(config-access-map)#action {forward|drop|redirect}
• Áp dụng lên các VLAN Switch(config)#vlan filter {map-name} vlan-list {list}
• Gỡ bỏ cấu hình Switch(config)#no vlan access-map {map-name} {sequence-number}
Các lệnh kiểm tra cấu hình:
Switch#show running-config aclmgr ->hiển thị ACL được cấu hình
Switch#show vlan filter->hiển thị thông tin VACLs áp dụng cho vlan
Switch#show vlan access-map ->hiển thị các entry trong access-map
Lê Đức Thịnh – VnPro