Professional Documents
Culture Documents
Giúp người thực hành hiểu được chức năng của port security
Sơ đồ:
Bước 2:
Bước 2-1:
Switch>enable
Switch#conf t
Switch(config)#interface f0/1
Bước 2-2: Đưa port vào chế độ access, đây là chế độ bắt
buộc cho port khi cấu hình port security
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi.
Đây là thông số chỉ định số lần tối đa mà port vẫn còn chấp
nhận sự thay đổi địa chỉ MAC. “Thay đổi địa chỉ MAC” có
nghĩa là bạn đã thay đổi một host khác trong kết nối với Switch.
Gọi số lần được phép thay đổi này là k, gọi số lần bạn đã thay
đổi địa chỉ MAC là n. Port sẽ vẫn cho phép hoạt động nếu như
n≤k và một điều quan trọng nữa là phải kết nối địa chỉ MAC ban
đầu vào lại port. Số lần được thay đổi tối thiểu là 1 và tối đa là
1024, và mặc định là 1.
Bạn được phép thay đổi địa chỉ MAC tối đa là 3 lần. Cần chú ý
là mặc dù cho phép thay đổi nhưng không có nghĩa là port vẫn
hoạt động bình thường khi địa chỉ MAC bị sai. Khi địa chỉ MAC
không đúng port sẽ chuyển sang trạng thái lỗi. Tuy nhiên nếu
bạn kết nối địa chỉ MAC ban đầu vào lại trong lúc này thi port
sẽ hoạt động bình thường trở lại.
Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay
đổi là 1, đây là thông số mặc định và do đó không cần phải cấu
hình lệnh này cho switch
Bước 2-5: Chỉ định địa chỉ MAC cần được bảo mật trên interface.
Với động tác này khi host có địa chỉ MAC tương ứng sẽ được hoạt
động bình thường khi kết nối vào switch trên interface này.
Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên
interface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có
sự chuyển tiếp gói tin trên port này.
Chú ý :
Định dạng về địa chỉ MAC trong câu lệnh trên là:
AAAA.BBBB.CCCC
Địa chỉ này phải giống với địa chỉ của host cần được
bảo mật.
Đối với host là PC, để tìm địa chỉ MAC này làm
như sau:
Bước 2-6: Chỉ định trạng thái của port sẽ thay đổi khi
địa chỉ MAC kết nối bị sai:
Trong bài lab này sẽ chỉ định trạng thái port là shut down.
Đến đây bạn đã hoàn tất phần cấu hình port security.
Bước tiếp theo sẽ là thử nghiệm.
Switch#debug port-security
Bước 5: Dùng lệnh show để xem trạng thái của port f0/1
Full-duplex, 10Mb/s
Lúc này mọi nỗ lực để tiến hành gửi thông tin trên port 1
đều vô ích!!!
Để khôi phục lại port thì bạn phải can thiệp vào switch.
Switch>enable
Switch#conf t
Switch(config)#interface f0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
Thông báo trên màn hình khi thực hiện xong lệnh
Quá trình trên giống như bạn cho phép port hoạt động
lại bình thường, tuy nhiên cần chú ý rằng các cấu hình
trước đó cho port này vẫn không thay đổi, kể cả
port-security.
Trong bài lab này sẽ cho switch tìm tất cả các lỗi:
Bước 2-3: cài đặt thông số thời gian cho quá trình khôi phục.
Mặc định port sẽ được khôi phục sau 300 giây khi bạn đã thực
hiện lệnh ở bước 2-2. Tuy nhiên bạn có thể can thiệp vào thông
số thời gian này bằng cách dùng lệnh:
Thông số thời gian second có đơn vị là giây bạn cần phải chú ý
điều này để tránh nhầm lẫn.
Bây giờ bạn cài đặt thông số thời gian khôi phục cho switch là
30 giây
Switch(config-if)#errdisable recorvery 30
Switch(config-if)#^Z
+ Quan sát đèn trên port f0/1 của switch : sau 30 giây sẽ
sáng lại
(Tiếp theo)
00:55:55: PSECURE:
- Dùng lệnh :
version 12.1
no service pad
no service password-encryption
hostname Switch
ip subnet-zero
interface FastEthernet0/1
switchport port-security
interface FastEthernet0/2
interface FastEthernet0/3
interface FastEthernet0/4
!
interface FastEthernet0/5
interface FastEthernet0/6
interface FastEthernet0/7
interface FastEthernet0/8
interface FastEthernet0/9
interface FastEthernet0/10
interface FastEthernet0/11
interface FastEthernet0/12
interface FastEthernet0/13
interface FastEthernet0/14
interface FastEthernet0/15
!
interface FastEthernet0/16
interface FastEthernet0/17
interface FastEthernet0/18
interface FastEthernet0/19
interface FastEthernet0/20
interface FastEthernet0/21
interface FastEthernet0/22
interface FastEthernet0/23
interface FastEthernet0/24
interface Vlan1
no ip address
no ip route-cache
shutdown
ip http server
line con 0
line vty 0 4
login
line vty 5 15
login
end
V. Đánh giá
Đến đây bạn đã có một khái niệm cơ bản và thao tác cấu hình
tương đối về port security. Bạn có thể thay đổi các thông số
trong các câu lệnh để tìm hiểu rõ các đặc tính của chúng