یکی از مسائل در حال رشد که امروزه مدیران شبکه با آن برخورد میکنند نحوه کنترل دسترسی افراد به شبکه داخلی سازمانشان میباشد. به عنوان مثال آیا هر شخصی میتواند وارد سازمان شده، laptop خود را به پریز شبکه متصل کرده و به شبکه داخلی دسترسی داشته باشد؟ ممکن است جواب شما به این پرسش این باشد که هر پریز شبکه روی دیوار به سوئیچ متصل نیست. ولی اگر شخصی کابل اترنت را از PC در حال کاری جدا کند و به شبکه متصل شود چطور؟ شاید این سناریو غیر ممکن به نظر بیاید ولی این اتفاق بارها در سازمانهای مختلف پیش آمده است. مسئلهای که بیش از هرچیز در این مورد نگران کننده است ویروسها و wormهای مختلفی است که PC شخص غیر مجاز متصل شده به شبکه ممکن است داشته باشد. Switchport security برای حل این مشکل به شما کمک میکند. در ادامه به بررسی ویژگیهای Cisco""s Port Security خواهیم پرداخت.

مفاهیم اولیهدر سادهترین حالت Port Security آدرس MAC متصل به پورت سوئیچ را به خاطر میسپارد وفقط به همان آدرس MAC اجازه برقراری ارتباط با پورت سوئیچ را میدهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود، پورت مذکورغیرفعال میشود. اکثر اوقات مدیران شبکه سوئیچ را طوری تنظیم میکنند که یک SNMP trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک پورت به دلایل امنیتی فرستاده شود.اگر چه پیادهسازی راهحل های امنیتی همیشه شامل یک trade-off میباشد و لی این کاهش سهولت در مقابل افزایش امنیت سیستم میباشد. وقتی شما از Port Security استفاده میکنید میتوانید از دسترسی دستگاههای مختلف به شبکه جلوگیری کنید و این امر موجب افزایش امنیت میشود. ولی از طرف دیگر فقط مدیر شبکه است که میتواند پورت را فعال کند و این امر در جایی که به دلایل مجاز قرار به تغییردستگاهها باشد ایجاد مشکل میکند.

تنظیم Port Security

تنظیمات Port Security نسبتا ً ساده میباشد. در آسانترین حالت کافیاست دستورات زیر اعمال شود:

با وارد کردن ابتداییترین دستور، تنظیمات پیش فرض که اجازه دسترسی فقط به یک آدرس MAC (آدرس دستگاهی که اولین بار به پورت سوئیچ وصل شده است.)میباشد، اعمال میگردد. و در صورتی که دستگاه دیگری بخواهد با آن پورت ارتباط برقرار کند، پورت سوئیچ خاموش میشود. ولی قطعا ً تنظیمات پیش فرض مد نظر شما نمیباشد.

شناخت سایر امکانات :

همانطور که در مثال بالا مشاهده کردید، دستورات Port Security دیگری وجود دارند که قابل تنظیم میباشند از جمله:

switchport port-security maximum {max # of MAC addresses allowed} : با استفاده از این دستور میتوان تعداد پیش فرض آدرسهای MAC که یک عدد میباشد راتغییر داد. به عنوان مثال اگر به پورت سوئیچ شما یک هاب 12 پورتی متصل باشد، 12 آدرس MAC که هر کدام مربوط به یک دستگاه میباشد باید اجازه دسترسی داشته باشند. بیشترین تعداد آدرس MAC که قابل تنظیم است، 132 میباشد.

switchport port-security violation {shutdown | restrict | protect} : این دستور به سوئیچ می گوید در صورتی که تعداد بیشتری دستگاه از ماکزیمم تعداد آدرس MACمجاز به پورت متصل شود، پورت وارد چه حالتی شود. حالت پیش فرض shutdown میباشد. درحالت restrict به مدیر شبکه هشدار داده میشود و در حالت protect بستههایی که از طرف آدرس غیر مجاز ارسال میشود دور ریخته میشوند.

switchport port-security mac-address {MAC address} : با استفاده از این دستور میتوان آدرس MAC مجاز برای هر پورت را به صورت دستی برای آن تنظیم کرد. (به جای اینکه هر پورت آدرس را به صورت پویا شناسایی کند.) همچنین میتوان Port Security را برای یک رنج از پورتها تعریف کرد. به عنوان مثال:

در مورد کاربرد این دستور میبایست بسیار محتاط بود چرا که اگر این دستور برای یک پورت uplink که به بیش از یک دستگاه وصل است، استفاده شود به محض اینکه دستگاه دوم بستهای را بفرستد، پورت خاموش میشود.

مشاهده وضعیت Port Security

برای دانستن وضعیت Port Securityمیتوانازدستوراتshow port-security address وshow port-security interface استفاده کرد: