Bài viết Port Security

Tác giả Lê Quảng Hà

I. Mục đích của bài lab

Giúp người thực hành hiểu được chức năng của port security

II. Sơ đồ và yêu cầu cấu hình

Yêu cầu : Bạn cần có 1 Switch 2950, 2 host

Sơ đồ:

III. Cấu hình

1. Cấu hình port security

Bước 1: Tiến hành nối dây như sơ đồ .Khởi động Switch.

Bước 2:

Bước 2-1:

Switch>enable

Switch#conf t

Switch(config)#interface f0/1

Bước 2-2: Đưa port vào chế độ access, đây là chế độ bắt
buộc cho port khi cấu hình port security
 Switch(config-if)#switchport mode access

Bước 2-3: Khởi động port security

Switch(config-if)#switchport port-security

Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi.

Đây là thông số chỉ định số lần tối đa mà port vẫn còn chấp
nhận sự thay đổi địa chỉ MAC. “Thay đổi địa chỉ MAC” có
nghĩa là bạn đã thay đổi một host khác trong kết nối với Switch.
Gọi số lần được phép thay đổi này là k, gọi số lần bạn đã thay
đổi địa chỉ MAC là n. Port sẽ vẫn cho phép hoạt động nếu như
n≤k và một điều quan trọng nữa là phải kết nối địa chỉ MAC ban
đầu vào lại port. Số lần được thay đổi tối thiểu là 1 và tối đa là
1024, và mặc định là 1.

Ví dụ nếu chỉ định số lần là 3:

Switch(config-if)#switchport port-security maximum maximum

Bạn được phép thay đổi địa chỉ MAC tối đa là 3 lần. Cần chú ý
là mặc dù cho phép thay đổi nhưng không có nghĩa là port vẫn
hoạt động bình thường khi địa chỉ MAC bị sai. Khi địa chỉ MAC
không đúng port sẽ chuyển sang trạng thái lỗi. Tuy nhiên nếu
bạn kết nối địa chỉ MAC ban đầu vào lại trong lúc này thi port
sẽ hoạt động bình thường trở lại.

Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay
đổi là 1, đây là thông số mặc định và do đó không cần phải cấu
hình lệnh này cho switch

Bước 2-5: Chỉ định địa chỉ MAC cần được bảo mật trên interface.
Với động tác này khi host có địa chỉ MAC tương ứng sẽ được hoạt
động bình thường khi kết nối vào switch trên interface này.
Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên
interface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có
sự chuyển tiếp gói tin trên port này.

Switch(config-if)#switchport port-security mac-address

mac-address

Chú ý :

Định dạng về địa chỉ MAC trong câu lệnh trên là:
AAAA.BBBB.CCCC

Địa chỉ này phải giống với địa chỉ của host cần được
bảo mật.

Đối với host là PC, để tìm địa chỉ MAC này làm
như sau:

- Mở DOS command bằng cách vào Start\Run rồi

gõ lệnh cmd

- Trong giao diện DOS này gõ lệnh C:\>ipconfig /all.

Màn hình sẽ hiện ra các thông số về địa chỉ MAC
của card mạng.
 Đối với host là Router, để tìm địa chỉ host:

- Kết nối cổng console máy tính với router

- Dùng lênh show version để tìm địa chỉ MAC

Cấu hình cho Switch:

Switch(config-if)#switchport port-security mac-address

00e0.4d01.2978

Bước 2-6: Chỉ định trạng thái của port sẽ thay đổi khi
địa chỉ MAC kết nối bị sai:

Cấu trúc lệnh :

Switch(config-if)#switchport port-security violation

[shutdown | restrict protect]

· shutdown: port sẽ được đưa vào trạng thái

lỗi và bị shutdown

· restrict: port sẽ vẫn ở trạng thái up mặc dù

địa chỉ MAC kết nối bị sai. Tuy nhiên các gói
tin đến port này đều bị hủy, và sẽ có một bản
thông báo về số lượng gói tin bị hủy.

· protect: port vẫn up như restrict, các gói tin

đến port bị hủy và không có thông báo về việc
hủy bỏ gói tin này

Trong bài lab này sẽ chỉ định trạng thái port là shut down.

Switch(config-if)#switchport port-security violation

 shutdown

Đến đây bạn đã hoàn tất phần cấu hình port security.
Bước tiếp theo sẽ là thử nghiệm.

Bước 3: Cấu hình lệnh debug để quan sát sự thay đổi:

Switch#debug port-security

Bước 4: Sử dụng một host khác để thay thể cho host

ban đầu. Kiểm tra địa chỉ MAC của host mới :

Host mới có địa chỉ MAC là 0006.7b08.cab5

Bước 4: Tiến hành rút cáp ra khỏi host và cắm vào

host đã chuẩn bị ở bước 3. Quan sát:

+ Đèn trên port f0/1 sẽ bị tắt

+ Thông báo trên giao diện

00:22:24: %PM-4-ERR_DISABLE: psecure-violation error

detected on Fa0/1, putting Fa0/1 in err-disable state
00:22:24: %PORT_SECURITY-2-PSECURE_VIOLATION:
Security violation occurred, caused by MAC address
0006.7b08.cab5 on port FastEthernet0/1.
00:22:25: %LINEPROTO-5-UPDOWN: Line protocol
on Interface FastEthernet0/1, changed state to down

00:22:26: %LINK-3-UPDOWN: Interface FastEthernet0/1,

changed state to down

Bước 5: Dùng lệnh show để xem trạng thái của port f0/1

Switch#show interface f0/1

FastEthernet0/1 is down, line protocol is down

(err-disabled)

Hardware is Fast Ethernet, address is 000f.239d.c641

(bia 000f.239d.c641)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

Full-duplex, 10Mb/s

Lúc này mọi nỗ lực để tiến hành gửi thông tin trên port 1
đều vô ích!!!

1. Khôi phục port về trạng thái bình thường

Để khôi phục lại port thì bạn phải can thiệp vào switch.

Bước 1: Nối cổng console vào switch

Switch>enable

Switch#conf t

Bước 2: Có hai cách để khôi phục port

Cách 1: khôi phục nhân công, bạn sẽ thực hiện

trực tiếp quá trình khôi phục này.

Switch(config)#interface f0/1
 Switch(config-if)#shutdown

Switch(config-if)#no shutdown

Thông báo trên màn hình khi thực hiện xong lệnh

00:17:58: %LINK-5-CHANGED: Interface FastEthernet0/1,

changed state to administratively down

00:18:00: %LINK-3-UPDOWN: Interface FastEthernet0/1,

changed state to up

00:18:01: %LINEPROTO-5-UPDOWN: Line protocol on

Interface FastEthernet0/1, changed state to up

Quá trình trên giống như bạn cho phép port hoạt động
lại bình thường, tuy nhiên cần chú ý rằng các cấu hình
trước đó cho port này vẫn không thay đổi, kể cả
port-security.

Cách 2: khôi phục tự động, thiết lập lệnh để switch

tự động dò tìm lỗi và khôi phục.

Với cách này giả sử như bạn không hề biết nguyên

nhân vì sao port bị down.

Bước 2-1: Tiến hành tìm lỗi trên port

Cấu trúc lệnh:

Switch(config)#errdisable detect cause

[all | cause-name ]

+ all có nghĩa là tìm tất cả các lỗi xảy ra

+ cause-name : chỉ tìm lỗi có tên là cause-name,

gồm có:

all Enable error detection

on all cases

dhcp-rate-limit Enable error detection

on dhcp-rate-limit

dtp-flap Enable error detection

 on dtp-flapping

(Cấu trúc lệnh - tiếp theo)

gbic-invalid Enable error detection

on gbic-invalid

link-flap Enable error detection

on linkstate-flapping

loopback Enable error detection

on loopback

pagp-flap Enable error detection

on pagp-flapping

Trong bài lab này sẽ cho switch tìm tất cả các lỗi:

Switch(config)#errdisable detect cause all

Bước 2-2: cho switch khôi phục trạng thái

Switch(config)#errdisable recorvery cause all

Bước 2-3: cài đặt thông số thời gian cho quá trình khôi phục.
Mặc định port sẽ được khôi phục sau 300 giây khi bạn đã thực
hiện lệnh ở bước 2-2. Tuy nhiên bạn có thể can thiệp vào thông
số thời gian này bằng cách dùng lệnh:

Switch(config-if)#errdisable recorvery second

Thông số thời gian second có đơn vị là giây bạn cần phải chú ý
 điều này để tránh nhầm lẫn.

Bây giờ bạn cài đặt thông số thời gian khôi phục cho switch là
30 giây

Switch(config-if)#errdisable recorvery 30

Switch(config-if)#^Z

Bước 2-4: Quan sát

+ Quan sát đèn trên port f0/1 của switch : sau 30 giây sẽ
sáng lại

+ Quan sát trên giao diện:

- Quan sát thông số thời gian do lệnh debug tạo ra.

00:55:54: %PM-4-ERR_RECOVER: Attempting to recover

from psecure-violation err-disable state on Fa0/1

00:55:55: PSECURE: psecure_linkchange: Fa0/1

hwidb=0x807D6C98

00:55:55: PSECURE: Link is coming up

00:55:55: PSECURE: psecure_linkup_init_internal:

Fa0/1 hwidb = 0x807D6C98

00:55:55: PSECURE: No change in violation_mode

00:55:55: PSECURE: psecure_vlan_linkchange invoked: Vlan 1

00:55:55: PSECURE: Activating port-security feature

00:55:55: PSECURE: port_activate: status is 1

(Tiếp theo)

00:55:55: PSECURE:

PSECURE: Deleting all dynamic addresses from h/w tables.

00:55:55: PSECURE: psecure_platform_delete_all_addrs:

deleting all addresses on vlan 1

00:55:55: PSECURE: psecure_delete_address_not_ok

address <1,00e0.4d01.2978> allowed

00:55:55: PSECURE: skipping Fa0/1 while searching

<1,00e0.4d01.2978>

00:55:55: PSECURE: Adding entry to HA table from

port-security sub block

00:55:55: PSECURE: psecure_platform_add_mac_addrs:

Do nothing, called to add <1,00e0.4d01.2978>
to FastEthernet0/1

00:55:57: %LINK-3-UPDOWN: Interface FastEthernet0/1,

changed state to up

00:55:58: %LINEPROTO-5-UPDOWN: Line protocol

on Interface FastEthernet0/1, changed state to up

- Dùng lệnh :

Switch#show interface f0/1

FastEthernet0/1 is up, line protocol is up (connected)

Hardware is Fast Ethernet, address is 000f.239d.c641

(bia 000f.239d.c641)

MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

IV. Cấu hình toàn bộ

Cấu hình của switch:

Current configuration : 1727 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

hostname Switch

errdisable recovery cause udld

errdisable recovery cause bpduguard

errdisable recovery cause security-violation

errdisable recovery cause channel-misconfig

errdisable recovery cause pagp-flap

errdisable recovery cause dtp-flap

errdisable recovery cause link-flap

errdisable recovery cause psecure-violation

errdisable recovery cause gbic-invalid

errdisable recovery cause dhcp-rate-limit

errdisable recovery cause unicast-flood

errdisable recovery cause vmps

errdisable recovery cause loopback

errdisable recovery interval 30

ip subnet-zero

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

interface FastEthernet0/1

switchport mode access

switchport port-security

switchport port-security mac-address 00e0.4d01.2978

interface FastEthernet0/2

interface FastEthernet0/3

interface FastEthernet0/4
!

interface FastEthernet0/5

interface FastEthernet0/6

interface FastEthernet0/7

interface FastEthernet0/8

interface FastEthernet0/9

interface FastEthernet0/10

interface FastEthernet0/11

interface FastEthernet0/12

interface FastEthernet0/13

interface FastEthernet0/14

interface FastEthernet0/15
!

interface FastEthernet0/16

interface FastEthernet0/17

interface FastEthernet0/18

interface FastEthernet0/19

interface FastEthernet0/20

interface FastEthernet0/21

interface FastEthernet0/22

interface FastEthernet0/23

interface FastEthernet0/24

interface Vlan1

no ip address

no ip route-cache
 shutdown

ip http server

line con 0

line vty 0 4

login

line vty 5 15

login

end

V. Đánh giá

Đến đây bạn đã có một khái niệm cơ bản và thao tác cấu hình
tương đối về port security. Bạn có thể thay đổi các thông số
trong các câu lệnh để tìm hiểu rõ các đặc tính của chúng