|
Jumıstıń maqseti
Bul laboratoriya jumısından maqset:
- Port security protokolın sazlaw boyınsha kónlikpelerge ıyelew.
2. Qısqa teoriyalıq maǵlıwmatlar
Port Security - bul tarmaq jalǵanıwınıń MAC adresin ruxsatsız ózgerislerdi aldın alıw ushın mólsherlengen kanal dárejesi funktsiyası. Sonıń menen birge, bul funktsiya kommutatorni MAC mánziller kestein toltırıp taslawǵa jóneltiriliwi múmkin bolǵan hújimlerden qorǵaw etedi.
Port Security-den paydalanıp, siz interfeys degi jalǵanıwlar sanın (MAC adresler) sheklewińiz (kanal dárejesinde), sonıń menen birge kerek bolǵanda qawipsiz MAC mánzillerin (statikalıq MAC mánzilleri) qolda kirgiziwińiz múmkin.
Port Security funksiyası :
- «switchport port -security» bul interfeysde Port Security qosılǵanlıǵın ańlatadı ;
- «switchport port -security maximum N» sonı kórsetedi, MAC mánzilleriniń tek N tasi bir waqtıniń ózinde interfeysde " janıp turıwı" múmkin;
- «switchport port -security violation restrict» qaǵıydabuzarlıqqa reakciya qılıw rejimin ańlatadı. Sonday etip, eger úshinshi (belgisiz) MAC-mánzil bir waqtıniń ózinde bul interfeysde " janıp -óshsa", ol jaǵdayda bul mánzilden barlıq paketler óshiriledi hám eskertiw jiberiledi - syslog, SNMP trap, qaǵıydabuzarlıqlar esaplagichi artadı (violetion counter).
Qawipsizlik boyınsha qaǵıydabuzarlıqqa reakciya qılıw rejimi. Qawipsizlik boyınsha qaǵıydabuzarlıqqa reakciya qılıwdıń ush usılı ámeldegi:
- «switchport port -security violation restrict»;
- «switchport port -security violation shutdown»;
- «switchport port -security violation protect».
«switchport port -security violation restrict» buyrıǵı joqorida tariyp berińan.
Ekinshi buyrıq — «switchport port -security violation shutdown» eger buzılıwlar anıqlansa, ol interfeysti error-disabled jaǵdayǵa ótkeredi jáne onı óshiredi. Bunda SNMP trap xabarnaması, syslog xabarı jiberedi hám qaǵıydabuzarlıqlar esaplagichi (violation counter) ma`nisi asıradı. Aytqansha, eger interfeys error-disabled jaǵdayında bolsa, onı blokirovka qılıwdıń eń ańsat usılı bul interfeysti óshiriw hám qosıw bolıp tabıladı (interfeys sazlamalarida “shutdown”, buyrıǵın kiritiń, keyin “no shundown”).
Eger interfeyske “switchport port -security violation protect” buyrıǵı kiritilgen bolsa, buzılıw jaǵdaylarında belgisiz MAC adresinen paketler alıp taslanadı, biraq qáte haqqında xabarlar qáliplestirilmaydi.
Áyne qanday usıldı tańlaw hár kimning ózin jumısı, biraq " switchport port -security violation restrict" kópshilik jaǵdaylar ushın maqul túsetuǵın bolıp tabıladı.
MAC mánzil. Port Security den paydalanıwda MAC mánzillerdiń tómendegi tuurlari ámeldegi:
- Dinamikalıq ;
- Statikalıq ;
- Sticky MAC mánzil.
Dinamikalıq MAC mánziller kommutatsiya kesteinde saqlanadı, biraq “aging time” tawsılǵanda yamasa kommutator qayta ishka túsirilgende óshadi.
Statikalıq mánziller MAC mánziller kesteinde saqlanadı hám kommutator yadında jazıadı. “aging time” tawsılǵanda yamasa kommutator qayta ishka túsirilgende olar óshirilmaydi.
Sticky MAC mánzilleri kommutatsiya kesteine statikalıq (qolda ) yamasa dinamikalıq kiritiliwi múmkin. Olar kommutatsiya kesteinde hám kommutator yadında saqlanadı. “aging time” tawsılǵanda yamasa kommutator qayta ishka túsirilgende olar óshirilmaydi.
1-súwret. Isletilineyatgan tarmaq tapologiyasi
3. 1 1-súwret boyınsha sxemanı dúziń. MAC mánzillerin sazlang.
3. 2 Statikalıq MAC mánzilleri ushın Port security funktsiyasın sazlaw ushın tómendegi sazlamalarni atqarıń :
1-suwretde biz iri shólkemlerde ulıwma apparatlar jalǵanıwın kóremiz. Qaǵıydaǵa kóre, portqa eki apparat jalǵanadı : IP telefon hám paydalanıwshınıń kompyuteri. Port Security járdeminde kommutatsiya interfeysin sazlawǵa mısal :
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport voice vlan 2
switchport port -security
switchport port -security maximum 2
switchport port -security violation restrict
Eger kerek bolsa, siz MAC mánzillerin statikalıq túrde kirgiziwińiz múmkin, keyin konfiguratsiya tómendegishe boladı :
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport voice vlan 2
switchport port -security
switchport port -security maximum 2
switchport port -security violation restrict
switchport port -security mac-address 0005. 5 E80. 22 A3
switchport port -security mac-address 00 E0. F75 B. C101
3. 3 Sticky MAC mánzilleri ushın Port Security funksiyasın sazlaw ushın tómendegi sazlamalarni atqarıń :
Switch#conf t
Switch (config) #
Switch (config) #interface fa0/1
Switch (config-if) #
Switch (config-if) #switchport mode access
Switch (config-if) #switchport access vlan 10
Switch (config-if) #switchport voice vlan 2
Switch (config-if) #switchport port -security
Switch (config-if) #switchport port -security maximum 2
Switch (config-if) #switchport port -security mac-address 0005. 5 E80. 22 A3
Switch (config-if) #switchport port -security mac-address sticky
Switch (config-if) #switchport port -security violation restrict
Joqarıdaǵı mısalda bir MAC adresi statikalıq túrde konfiguratsiya etilgen (" switchport port -security mac-address 0005. 5 E80. 22 A3") hám basqa barlıq MAC mánziller (biziń jaǵdaylarımızda, taǵı bir) dinamikalıq alınadı, biraq kommutator yadına jazıp qóyıladı (" switchport port -security mac-address sticky"). Eger jeńillikli rejimde " show run int fa0/1" buyrıǵın kiritsak, biz bunı kóremiz:
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport voice vlan 2
switchport port -security
switchport port -security maximum 2
switchport port -security mac-address sticky
switchport port -security violation restrict
switchport port -security mac-address 0005. 5 E80. 22 A3
switchport port -security mac-address sticky 00 E0. F75 B. C101
Sonday etip, telefondıń MAC adresi (0005. 5 E80. 22 A3) statikalıq túrde kirgizildi hám kompyuter adresi (00 E0. F75 B. C101) kommutator tárepinen óz-ózinen alınadı hám kommutatsiya konfiguratsiyasiga kirgizildi.
Do'stlaringiz bilan baham: |
