Bu yazımızda Packet Tracer yazılımını kullanarak bir Switch üzerinde Port Security nasıl yapılandırılır inceleyeceğiz.
Cisco Switch Üzerinde Port Security Yapılandırma
Cisco Switch’lerde Port Güvenliğini yapılandırmak oldukça basit bir işlemdir. Bunu yapmak için portun arayüzünde Switchport Mode Access komutu ile arayüz erişim portu olarak yapılandırılır.
Eğer portu erişim modu olarak yapılandırmazsanız, Switch, Dynamic bir port uyarısı verecektir. Bu yüzden uygulayacağınız komut sıralaması önemlidir. Bu sebeple herhangi bir arayüzü yapılandırmadan önce erişim portuna çevirmeniz gerekir.
Port Security etkinleştirildikten sonra, port için Violation (İhlal) durumunu belirtmeniz gerekir.
Violation durumu 3 türden oluşur. Bunlar;
- Shutdown (Kapat)
- Restrict (Kısıtla)
- Protect (Koru)
Violation Shutdown seçeneği, güvenlik için en sağlam yöntem olduğu için bu yazımızda yalnızca ihlale uğrayan arayüz için Shutdown (Kapat) aksiyonunu uygulayacağız.
Cisco anahtarda port güvenliğini etkinleştirmek ve test etmek adımlarına artık geçebiliriz.
Adım 1
Cisco Packet Tracer programını açınız ve çalışma alanına bir adet Router, Switch ve iki adet bilgisayar ekledikten sonra Cisco Router’a IP adresi atayınız.
Adım 2
Port Security etkinleştirmeden önce, istemciler arasında ağ bağlantısı testi yapınız. PC0’dan Router arayüzüne ve PC1’e Ping atarak bağlantıyı test ediniz.
Adım 3
Aynı şekilde, PC1’den de Ping ile bağlantıyı test ediniz. Bağlantı sınamasından sonra, Cisco Switch üzerine tıklayınız.
Adım 4
Cisco Switch üzerine tıklayarak CLI komut istemini açınız ve port güvenliğini yapılandırmak için aşağıdaki komutları uygulayınız.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastethernet0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#
Switch(config-if)#exit
Switch(config)#
Switch(config)#interface fastethernet0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#
Switch(config-if)#end
Switch#
Yukarıdaki konfigürasyon komutlarını açıklayacak olursak;
- Switch üzerinde FastEthernet0/1 ve FastEthernet0/2 arayüzlerinde Port Security aktif hale getirildi.
- Switchport Mode Access komutu ile arayüz access moda ayarlandı.
- Mac-address sticky komutu ile, arayüzlere bağlı bilgisayarların MAC adresleri otomatik olarak hafızaya alındı.
- Maksimum 1 komutu ile de yalnızca 1 adet MAC adresi hafızaya alınarak Port Güvenliği sağlanacaktır.
Bu arayüzlere uygulanacak herhangi bir ihlal durumunda, Fa0/1 veya Fa0/2 arayüzleri shutdown olacaktır.
Adım 5
Switch’in privileged modunda show port-security komutunu uygulayınız. Şuan arayüzler üzerinde ihlal oluşmadığından dolayı, SecurityViolation (Count) kısmı 0’dır.
Adım 6
Show mac address-table komutunu uyguladığınızda, Switch’e bağlı bilgisayarların MAC adreslerinin tabloya kaydedildiğini görebilirsiniz. Buradaki MAC adresleri ihlal durumunda kıyaslanacaktır.
Adım 7
Show port-security interface fa0/1 komutunu uygulayarak, FastEthernet0/1 arayüzünün detaylı bilgilerini görebilirsiniz.
Adım 8
Şimdi, port güvenliğinin çalışıp çalışmadığını test etmek için çalışma alanına bir adet daha bilgisayar ekleyiniz ve bu bilgisayarın IP ayarlarını yapılandırınız. Daha sonra, PC0 ve Switch0 arasındaki kabloyu çıkarınız.
Adım 9
PC2 bilgisayarı yapılandırdıktan sonra, Switch0 üzerinde Fa0/1 arayüzüne bağlayınız.
Adım 10
PC2’den PC1’e Ping attığınızda işlemin başarısız olduğunu görebiliriz.
Bu işlemin sonrasıda, Switch, Fa0/1 arayüzünde bir ihlal algılayarak, hafızasındaki MAC adresini eşleştirdi ve tablosundaki MAC adresi ile farklı olduğunu anlayınca Portu hemen kapattı.
Adım 11
Switch üzerinde oluşan ihlalden sonra, CLI komut isteminde show ip interface brief komutunu çalıştırarak arayüz durumlarını kontrol ediniz.
Aşağıdaki görüntüde gördüğünüz gibi, FastEthernet0/1 arayü Down (Kapalı) duruma geçmiştir.
Adım 12
Aynı şekilde, show port-security komutunu uyguladığınızda ise Violation Count (İhlal Sayacı) bölümünde 1 artış olduğunu görebilirsiniz.
Adım 13
Port, shutdown durumunda olduğu için bir sistem yöneticisinin bu portu manuel olarak açması gereklidir. Dolayısıyla, önce shutdown komutunu ve ardından no shutdown çalıştırarak Fa0/1 portunu Up duruma ayarlayabilirsiniz.
Adım 14
FastEthernet0/1 arayüzünü aktif hale getirdikten sonra, tekrar PC0’ı Switch’e bağlayınız ve ağ bağlantısını sınayınız.
Show Komutları
Switch#show run
Building configuration...
Current configuration : 1357 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Switch
!
spanning-tree mode pvst
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.43EC.7639
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0007.EC9C.8167
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
shutdown
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
end
Switch#
Router#show running-config
Building configuration...
Current configuration : 620 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX1524837C
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.5.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
end
Router#
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/1 1 0 0 Shutdown
Fa0/2 1 0 0 Shutdown
----------------------------------------------------------------------
Switch#
Switch#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.43ec.7639 STATIC Fa0/1
1 0001.c7a9.d501 DYNAMIC Gig0/1
1 0007.ec9c.8167 STATIC Fa0/2
Switch#
Switch#show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0001.43EC.7639:1
Security Violation Count : 0
Switch#
Video
Port Security çalışma mantığını daha iyi anlamak için aşağıdaki videoyu izleyebilir ve ayrıca bize destek olmak için YouTube kanalımıza abone olabilirsiniz!
Sonuç
Bu yazımızda, Cisco anahtarları üzerinde port güvenliği nasıl sağlanır temel olarak ele aldık. Bizi takip ettiğiniz için teşekkürler!