8-laboratoriya ishi cisco packet tracer dasturida port havfsizligini ta`minlash ishdan maqsad

8-LABORATORIYA ISHI 

CISCO PACKET TRACER DASTURIDA PORT HAVFSIZLIGINI 

TA`MINLASH 

  

Ishdan maqsad : Cisco 

Packet 

Tracer 

dasturida kommutatorning port 

havfsizligini funksiyasi bilan tanishish va amaliy ko`nikmalarga ega bo`lish . 

  

Nazariy qism.  

Port xavfsizligi - Cisco catalyst  kommutatorlari tavsifi va ularni sozash

 

Port xavfsizligi 

Cisco 

catalyst 

kommutatorlarida foydalanish 

kerak 

bo'lgan xususiyatdir. Ethernet freymlari tugmachadan 

o'tib , 

MAC 

manzil 

jadvalini ushbu 

freymlarda 

ko'rsatilgan 

yuboruvchi 

manzilidan foydalanib 

to'ldiradi . Ushbu  jadvalning  maksimal  hajmi  cheklangan,  tajovuzkor  uchun  uni 

to'ldirish qiyin bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab 

freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya. 

 Nega  sizga  kerak  bo'lishi  mumkin? MAC-manzil  jadvali  to'lib  toshgan 

taqdirda,  kommutator markaz vazifasini  bajarishi  mumkin -  ya'ni  barcha  qabul 

qilingan  kadrlarni  barcha  portlarga  yuborish. Hujumchining  keyingi  harakati  -

 snaynerni ishga tushirish    Bizning switch vahima holatida buyon, barcha kiruvchi 

paketlarni  ko'rish  uchun  dastur,  va  tajovuzkor  ning  portiga  bir  xil  VLAN  unga 

o'tib,  barcha  paketlari  ko'rinadigan  bo'ladi tajovuzkor . Bunday  vaziyatni  oldini 

olish uchun siz port xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor 

berishingiz kerak . 

Ushbu  funktsiyaning  mohiyati  nimada:  u  yoki  bu  tarzda  har  bir  port  uchun 

unda  paydo  bo'lishi  mumkin  bo'lgan  MAC-manzillar  ro'yxati  (yoki  raqami) 

cheklangan,  agar  portda  juda  ko'p  manzillar  ko'rinadigan  bo'lsa,  u  holda  port 

o'chadi. Shunday  qilib,  ko'rish  qiyin  emasligi  sababli  tasodifiy  qaytish  manzillari 

bilan freymlarni yaratish g'oyasi tezda muvaffaqiyatsiz bo'ladi. 

MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud: 

1. 

                   

Statik  -  administrator  qaysi  manzillarga  ruxsat  berilganligini 

ro'yxatlashganda 

2. 

                   

Dinamik  -  ma'mur  nechta  manzilga  ruxsat  berilishini 

aniqlaganda va o'tish tugmasi bilib oladi, qaysi manzilga hozirda ko'rsatilgan port 

orqali kirish mumkinligini eslab qoladi 

O'z  navbatida,  dinamik  ravishda  o'rganilgan  manzillar  kommutatorning 

RAM-da saqlanishi mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish" 

ni 

takrorlash 

kerak 

bo'ladi; yoki konfiguratsiyada - 

keyin konfiguratsiyani 

saqlash mumkin va qayta yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim 

"yopishqoq"  ( yopishqoq ) deb  nomlanadi ,  chunki  u  portga  qanday  yopishish 

kerakligi  haqida  gapiradi,  shundan  so'ng  "unstick"  ularni  faqat  administrator 

qilishlari  mumkin  -  qo'lda. Yana  bir  savol  -  agar  xavfsizlik  buzilgan  bo'lsa 

va portga xavfsizlikni sozlashimizga qaraganda ko'proq manzillar kirsa nima qilish 

kerak ? Ushbu holatdagi o'tish rejimiga uchta rejimdan biri javobgardir: 



 

Himoya  qilish -  yangi  MAC-manzillarga  ega  bo'lgan  ramkalar  e'tiborga 

olinmaydi,  qolganlari  ham  ishlashda  davom  etmoqda. Rejim  yaxshi,  chunki  port 

ishlashda  davom  etmoqda,  ammo  yomon  tomoni  shundaki, administrator o'z 

tarmog'ida bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi

 



 

Cheklash - himoya  qilish rejimiga o'xshaydi,  faqat  kommutator  SNMP 

orqali bunday noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari, 

bu haqda syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)

 



 

O'chirish -  nomidan  ko'rinib  turibdiki, syslog va  SNMP  orqali xabarlarga 

qo'shimcha  ravishda port  o'chadi. Bu  tarmoq  xatolariga  bardoshlik  nuqtai 

nazaridan  unchalik  yaxshi  emas,  lekin  biz portni qo'lda yoqmagunimizcha 

tajovuzkor o'z 

tarmog'imizni 

o'rganish 

bo'yicha 

tajribalarini 

davom 

ettira olmasligini aniq bilamiz .

 

Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat 

qilaylik : 

S1#configure terminal 

S1(config)#interface fastEthernet 0/11 

S1(config-if)#switchport mode access 

S1(config-if)#switchport port-security 

Shunday  qilib,  biz  ushbu  funktsiyani  interfeysda  standart  qiymatlari  bilan 

yoqdik, ya'ni: 



 

Har bir port uchun maksimal 1 MAC-manzil

 



 

Xotira rejimi dinamikasi (RAMda, yopishqoq emas )

 



 

Ikkinchi MAC-manzil paydo bo'lganda harakat - portni o'chirib qo'ying

 

Bu  siz  portiga  11,  uchun,  kompyuterni  ulash  tekshirish  oson Ping narsa, 

so'ngra  MAC  o'zgartirish  va  harakat Ping yana . Port  o'chiriladi  va xato-o'chirib 

qo'yilgan holatga kiradi . Portni qayta yoqish uchun uni o'chirib yoqishingiz kerak: 

S1(config)#interface fastEthernet 0/11 

S1(config-if)#shutdown  

%LINK-5-CHANGED:  Interface  FastEthernet0/11,  changed  state  to 

administratively down 

S1(config-if)#no shutdown  

%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up 

%LINEPROTO-5-UPDOWN:  Line  protocol  on  Interface  FastEthernet0/11, 

changed state to up 

Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin: 

S1#show port-security  

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action 

               (Count)       (Count)        (Count) 

-------------------------------------------------------------------- 

        Fa0/11        1          1                 0         Shutdown 

---------------------------------------------------------------------- 

Jadvalda  siz  maksimal  1 MAC ekanligini  ko'rishingiz  mumkin va  u 

allaqachon o'rganilgan, harakat O'chirish . 

Qayta  switch,  saqlanishi  MAC  unutiladi  va  bu  oldini  olish  uchun  qayta-

o'rganish  kerak  bo'lsa,  u  MAC-  yod  "yopishqoq"  o'z  ichiga  zarur s . Shu  bilan 

birga, keling, ularning sonini beshdan oshiraylik: 

S1(config)#interface fastEthernet 0/11 

S1(config-if)#switchport port-security mac-address sticky 

S1(config-if)#switchport port-security maximum 5 

Agar  biz  manzillarni  statik  ravishda  qo'lda  ro'yxatlashni  istasak, 

unda yopishqoq so'z  o'rniga (yoki unga parallel  ravishda -  alohida  satrda)  ularni 

quyidagi buyruq bilan ro'yxatlashimiz mumkin: 

S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234

 

Ammo 

biz 

MACni 

statik 

ravishda 

qo'shmadik, 

shunchaki yopishqoq rejimni yoqdik . Biz kompyuterdan ping qilishga 

harakat 

qilamiz , shundan so'ng biz konfiguratsiyani ko'rib chiqamiz : 

S1#show running-config  

Building configuration... 

Current configuration : 1185 bytes 

! 

version 12.2 

no service timestamps log datetime msec 

no service timestamps debug datetime msec 

no service password-encryption 

! 

hostname S1 

… 

interface FastEthernet0/1 

 switchport mode access 

 switchport port-security 

 switchport port-security mac-address sticky  

 switchport port-security mac-address sticky 0001.4276.96B5 

… 

Biz 

nimani 

ko'ramiz? «switchport 

port-security  mac-address  sticky 

0001.4276.96B5»    qatori  kompyuter  manzilini  eslab  qolganligini  va  "portga 

yopishib  qolgan"  degan  ma'noni  anglatadi,  go'yo  biz  o'zimiz  uni  statik  ravishda 

haydab 

yubordik. Agar 

siz 

hozirda konfiguratsiyani saqlasangiz, qayta yoqilgandan so'ng  manzil yo'qolmaydi 

va kommutatorni qayta tayyorlash kerak bo'lmaydi. 

Xulosa  shuki, port xavfsizlik xususiyati  hisoblanadi modernizatsiya  qilish 

uchun juda oson va juda yaxshi hujumlar ba'zi turlariga qarshi yordam beradi.