Cisco Packet Tracer Üzerinde Port Security Konfigürasyonu

Bu yazımızda Packet Tracer yazılımını kullanarak bir Switch üzerinde Port Security nasıl yapılandırılır inceleyeceğiz.

Cisco Packet Tracer Üzerinde Port Security Konfigürasyonu

Cisco Switch Üzerinde Port Security Yapılandırma

Cisco Switch’lerde Port Güvenliğini yapılandırmak oldukça basit bir işlemdir. Bunu yapmak için portun arayüzünde Switchport Mode Access komutu ile arayüz erişim portu olarak yapılandırılır.

Eğer portu erişim modu olarak yapılandırmazsanız, Switch, Dynamic bir port uyarısı verecektir. Bu yüzden uygulayacağınız komut sıralaması önemlidir. Bu sebeple herhangi bir arayüzü yapılandırmadan önce erişim portuna çevirmeniz gerekir.

Port Security etkinleştirildikten sonra, port için Violation (İhlal) durumunu belirtmeniz gerekir.

Violation durumu 3 türden oluşur. Bunlar;

  • Shutdown (Kapat)
  • Restrict (Kısıtla)
  • Protect (Koru)

Violation Shutdown seçeneği, güvenlik için en sağlam yöntem olduğu için bu yazımızda yalnızca ihlale uğrayan arayüz için Shutdown (Kapat) aksiyonunu uygulayacağız.

Cisco anahtarda port güvenliğini etkinleştirmek ve test etmek adımlarına artık geçebiliriz.

   Adım 1

Cisco Packet Tracer programını açınız ve çalışma alanına bir adet Router, Switch ve iki adet bilgisayar ekledikten sonra Cisco Router’a IP adresi atayınız.

Bir Cisco Router'a Bağlı Bir Switch ve İki Bilgisayar

   Adım 2

Port Security etkinleştirmeden önce, istemciler arasında ağ bağlantısı testi yapınız. PC0’dan Router arayüzüne ve PC1’e Ping atarak bağlantıyı test ediniz.

PC0'dan Router'ın Arayüzüne ve PC1'e Ping Atma

   Adım 3

Aynı şekilde, PC1’den de Ping ile bağlantıyı test ediniz. Bağlantı sınamasından sonra, Cisco Switch üzerine tıklayınız.

PC1'den Router'ın Arayüzüne ve PC0'a Ping Atma

   Adım 4

Cisco Switch üzerine tıklayarak CLI komut istemini açınız ve port güvenliğini yapılandırmak için aşağıdaki komutları uygulayınız.

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#
Switch(config-if)#exit
Switch(config)#
Switch(config)#interface fastethernet0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#
Switch(config-if)#end
Switch#

Yukarıdaki konfigürasyon komutlarını açıklayacak olursak;

  • Switch üzerinde FastEthernet0/1 ve FastEthernet0/2 arayüzlerinde Port Security aktif hale getirildi.
  • Switchport Mode Access komutu ile arayüz access moda ayarlandı.
  • Mac-address sticky komutu ile, arayüzlere bağlı bilgisayarların MAC adresleri otomatik olarak hafızaya alındı.
  • Maksimum 1 komutu ile de yalnızca 1 adet MAC adresi hafızaya alınarak Port Güvenliği sağlanacaktır.

Bu arayüzlere uygulanacak herhangi bir ihlal durumunda, Fa0/1 veya Fa0/2 arayüzleri shutdown olacaktır.

Cisco Switch'te Port Güvenliğini Yapılandırma

   Adım 5

Switch’in privileged modunda show port-security komutunu uygulayınız. Şuan arayüzler üzerinde ihlal oluşmadığından dolayı, SecurityViolation (Count) kısmı 0’dır.

show port-security

   Adım 6

Show mac address-table komutunu uyguladığınızda, Switch’e bağlı bilgisayarların MAC adreslerinin tabloya kaydedildiğini görebilirsiniz. Buradaki MAC adresleri ihlal durumunda kıyaslanacaktır.

Show mac address-table

   Adım 7

Show port-security interface fa0/1 komutunu uygulayarak, FastEthernet0/1 arayüzünün detaylı bilgilerini görebilirsiniz.

Show port-security interface fa0/1

   Adım 8

Şimdi, port güvenliğinin çalışıp çalışmadığını test etmek için çalışma alanına bir adet daha bilgisayar ekleyiniz ve bu bilgisayarın IP ayarlarını yapılandırınız. Daha sonra, PC0 ve Switch0 arasındaki kabloyu çıkarınız.

Port Güvenliğini Test Etme

   Adım 9

PC2 bilgisayarı yapılandırdıktan sonra, Switch0 üzerinde Fa0/1 arayüzüne bağlayınız.

Bilgisayarı Switch'e Bağlama

   Adım 10

PC2’den PC1’e Ping attığınızda işlemin başarısız olduğunu görebiliriz.

Bu işlemin sonrasıda, Switch, Fa0/1 arayüzünde bir ihlal algılayarak, hafızasındaki MAC adresini eşleştirdi ve tablosundaki MAC adresi ile farklı olduğunu anlayınca Portu hemen kapattı.

Ping Testi

   Adım 11

Switch üzerinde oluşan ihlalden sonra, CLI komut isteminde show ip interface brief komutunu çalıştırarak arayüz durumlarını kontrol ediniz.

Aşağıdaki görüntüde gördüğünüz gibi, FastEthernet0/1 arayü Down (Kapalı) duruma geçmiştir.

show ip interface brief

   Adım 12

Aynı şekilde, show port-security komutunu uyguladığınızda ise Violation Count (İhlal Sayacı) bölümünde 1 artış olduğunu görebilirsiniz.

Violation Count (İhlal Sayacı)

   Adım 13

Port, shutdown durumunda olduğu için bir sistem yöneticisinin bu portu manuel olarak açması gereklidir. Dolayısıyla, önce shutdown komutunu ve ardından no shutdown çalıştırarak Fa0/1 portunu Up duruma ayarlayabilirsiniz.

Switch'in Port Durumunu Aktif Etme

   Adım 14

FastEthernet0/1 arayüzünü aktif hale getirdikten sonra, tekrar PC0’ı Switch’e bağlayınız ve ağ bağlantısını sınayınız.

PC0'dan Tekrar Ping ile Ağ Bağlantı Testi

Show Komutları

Switch#show run
Building configuration...

Current configuration : 1357 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Switch
!
spanning-tree mode pvst
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.43EC.7639
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0007.EC9C.8167
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
end
Switch#

 

Router#show running-config
Building configuration...

Current configuration : 620 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX1524837C
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.5.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
end
Router#

 

Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/1 1 0 0 Shutdown
Fa0/2 1 0 0 Shutdown
----------------------------------------------------------------------
Switch#

 

Switch#show mac address-table
Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----

1 0001.43ec.7639 STATIC Fa0/1
1 0001.c7a9.d501 DYNAMIC Gig0/1
1 0007.ec9c.8167 STATIC Fa0/2
Switch#

 

Switch#show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0001.43EC.7639:1
Security Violation Count : 0
Switch#

   Video

Port Security çalışma mantığını daha iyi anlamak için aşağıdaki videoyu izleyebilir ve ayrıca bize destek olmak için YouTube kanalımıza abone olabilirsiniz!

   Son Söz


Bu yazımızda, Cisco anahtarları üzerinde port güvenliği nasıl sağlanır temel olarak ele aldık. Bizi takip ettiğiniz için teşekkürler!

   İlgili Yazılar


Cisco Packet Tracer ile DHCP
♦ Cisco Packet Tracer ile Telnet
♦ Cisco Packet Tracer ile SSH
♦ Cisco Packet Tracer ile Static NAT
♦ Cisco Packet Tracer ile Dynamic NAT

Add a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

You cannot copy content of this page