Port Security یکی از خصوصیت های کنترل ترافیک لایه ۲ در سوئیچ های Catalyst می باشد. دلیل استفاده از Port Securityاین است که به شما این امکان را میدهد که به تعداد خاصی از آدرس های mac مبدا اجازه ورود به پورت را بدهید. در سادهترین حالت آدرس متصل به پورت سوئیچ را به خاطر می سپارد و فقط به همان آدرس اجازه برقراری ارتباط با پورت سوئیچ را می دهد .اگر آدرس دیگری بخواهد از طریق همان پورت به شبکه وصل شود. پورت مذکور غیر فعال میشود اکثر اوقات مدیران شبکه سوئیچ را طوری تنظیم میکنند که یک SNMP trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک فرد به دلایل امنیتی فرستاده شود.
اگرچه پیاده سازی راه حل های امنیتی همیشه شامل یک trade-off می باشد ولی این کاهش سهولت در مقابل افزایش امنیت سیستم می باشد. وقتی شما از Port Security استفاده می کنید میتوانید از دسترسی دستگاههای مختلف به شبکه جلوگیری کنید و این امر موجب افزایش امنیت می شود ولی از طرف دیگر فقط مدیر شبکه است که می تواند پورت را فعال کند و این امر در جایی که به دلایل مجاز قرار به تغییر دستگاهها باشد ایجاد مشکل میکند.
با وارد کردن ابتدایی ترین دستور ،تنظیمات پیش فرض که اجازه دسترسی فقط به یک آدرسMac (آدرس دستگاهی که اولین بار به پورت سوئیچ وصل شده است) می باشد، اعمال می گردد. و در صورتی که دستگاه دیگری بخواهد با آن پورت ارتباط برقرار کند، پورت سوئیچ خاموش میشود .ولی قطعاً تنظیمات پیش فرض مد نظر شما نمی باشد.
Switch(config)# interface {range} TYPE MOD/NUM or NUMs
Switch(config-if)# switchport mode access */set port to access mode
Switch(config-if)# switchport-security */open port
Switch(config-if)#Switchport port-security mac-address {MAC_ADDRESS| sticky} */set MAC
Switch(config-if)# switchport port-security maximum MAX_NO */MAX_NO:1-132
Switch(config-if)#switchport port-securityn violation<shutdown|restrict|protect> */defult:shutdown
Switch>#show port-security
Swutch>#show port-security address
*/
Switch(config-if)#switchport port-security 0001.96D7.7026 */setMAC
Switch(config-if)# switchport port-security maximum 4 */set MAX_NO
Mac_Address: با به دست آوردن Mac_Addressیا Physical Address کامپیوتر خود با استفاده از دستورipconfig/all و وارد نمودن آن به پورت اعلام میکند که به جزء این آدرس دیگر امکان استفاده از این پورت اختصاصی را ندارد.
Sticky: با اعمال این تنظیم ، به محض اینکه اولین دستگاه به این پورت متصل میشودMac آن در حافظه پورت ذخیره می گردد.
Max_NO: تعداد حافظه هایی که برای ذخیره Mac_Address ها در هر پورت تعیین می گردد. به عبارت سادهتر تعداد دستگاههایی که میتوانند از این پورت سوئیچ استفاده نمایند.
Violation: به منظور تعیین واکنش به خط ایجاد شده بر روی پورت از یکی از گزینههای موجود این دستور استفاده می شود.
Shutdown: (پیش فرض(: اینترفیس در حالتerror-disable قرار میگیرد و تمام ترافیک ورودی را بلاک میکند. برای خروج پورت از این وضعیت باید پورت راshutdown و سپس no shutdown نمود .
Restrict:فرم هایی که از مک آدرس بدون مجوز برسد را حذف می کند و دسترسی متوقف می گردد همراه با ثبتViolation syslog massage
Protect:فرم هایی که از مک آدرس بدون مجوز به رصد را حذف می کند و دسترسی متوقف می گردد و بدون ثبت Violation syslog massage
