iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 15
0
自我挑戰組

網管實務系列 第 15

DAY15-PortSecurity

  • 分享至 

  • xImage
  •  

DAY 15
Cisco的 port security
這邊除了稍微介紹一下它的使用方法之外,
還要介紹一個對於下指令很苦惱的人的好朋友,Cisco Network Assistant
它可以用全圖形化介面進行Cisco設備的操作,當你熟悉之後可能就不會在想回頭去看CLI介面了

我們先來看到port security的部分,它的用途再於防止非法的或者非公司設備的連接。
*防止非法的MAC的網路存取要怎麼做?
|_讓switch記合法的
|_合法的MAC數量
|_合法的MAC address

我們直接來看設定檔比較快。

  1. (config)#interface fastethernet 0/? (1-24針對哪個port)

  2. (config-if)#switchport mode access //設定成存取模式

  3. (config-if)#switchport port-security 啟用switchport中port-security功能

  4. (config-if)#switchport port-security“數字” //表示1個port可記住的MAC數量
    *1個port可多MAC,但1個MAC只能針對1個port

  5. (config-if)#switchport port-security mac-address sticky <sticky=黏附>
    //表示此port是黏住此MAC,,這個黏上去的MAC以後是這個port合法的MAC
    //也可以手動設定(但容易出錯)

  6. (config-if)#switchport port-security violation {protect 保護
    {restrict 限制
    {shutdown 關機
    //對於不合法者的處置上述三者的哪一個,看要怎麼處理就設定哪個。

▲上述6個步驟設定完成後,便可判斷誰是合法的使用者。

再來就是要來看看自己設定的狀況部份了
#show port-security interface fastethernet 0/1
//針對Fa0/1 port看port-security的設定
#show port-security
//看哪些port啟用port security

#show port-security address <查看switch上有哪些合法的MAC>

#show interface fa 0/X <查看 0/X的狀態>

雖然鎖port很開心,但是今天若是鎖到每個部門主管呢?
很可能主管今天帶了自己私人筆電來公司接著用,就公司的立場而言是不行的。
但就人道救援跟自己的安危而言,是必須要協助的。
下面會是怎麼處理這個為規狀況,今天port 已經是違規了。
第一件要做的就是先排除這個錯誤狀況。
*違規處置
shutdown <violation的預設值>將介面置於”錯誤停用”狀態,使其無法使用

  1. 先排除
    可能是已經記憶之前的MAC address,是否要先將舊的清掉,先記憶新的MAC address
    或者是大心的幫這個port的限制從原本只能接一個設備變成接兩個。
    這些都要依現場情勢進行判斷。
  2. 再shutdown
  3. 再no shutdown
    2&3的步驟是再重啟,如此回來就合法回來了


下面簡單說一下三種處置法的不同。
http://ithelp.ithome.com.tw/upload/images/20161206/201033627BfWEI7Zvz.png
▲通常選擇由Restrict或者shutdown二選一,建議選擇Shutdown
Protect 不會通知我誰非法了,所以我看不到資料。
Restrict 顯示警告,但還是繼續收集資料

關於port security 大概就介紹到這邊~


上一篇
DAY14-Cisco開箱
下一篇
DAY16-Cisco 設備開機與救援
系列文
網管實務30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言