بازی با port security – قسمت دوم

در قسمت قبل با دستورات کلی و نحوه ی پیاده سازی port security آشنا شدیم. در این قسمت به نکاتی در مورد این مکانیزم میپردازیم که گاه ممکن است مهم به نظر نیاید ولی اغلب مشکل آفرین میباشد!!!در قسمت قبل اشاره کردیم که برای تنظیم مک آدرس های مجاز میتوان یکی از دو دستور زیر را به کار گرفت:

یا

و اگر هیچکدام از دستورات بالا را اجرا نکنیم ،سوییچ به صورت اتوماتیک مک آدرس اولین فریم ورودی را به عنوان مک آدرس مجاز قرار خواهد داد(چون به صورت پیش فرض تنها یک مک آدرس مجاز است).پس sticky  چه فایده ای دارد اگر سوییچ به صورت اتوماتیک مک آدرس مجاز را تنظیم میکند؟!!!

حال به بررسی تفاوت این دو میپردازیم. شبکه زیر را در نظر بگیرید:

با اجرای دستورات مرحله یک و دو از قسمت قبل ،port security را روی اینترفیس e0/0 فعال کرده ایم. دیدیم که بعد از فعال کردن  port security بر روی یک اینترفیس، مک آدرس متناظر با آن اینترفیس در جدول مک آدرس ها از حالت Dynamic به Static تغییر میکند.

با اجرای دستور زیر ، جدولی ظاهر میشود به نام Secure Mac Address Table که مک آدرس های تنظیم شده در port security  را نمایش میدهد:

پس سوییچ به صورت اتوماتیک ، مک آدرس اولین فریم ورودی را به  عنوان مک آدرس مجاز وارد این جدول کرده است.دستور show running-config را اجرا میکنیم و نگاهی به تنظیمات اینترفیس Ethernet0/0 می اندازیم:

تا اینجا مشکلی نیست. مراحل بالا را را با روش sticky بررسی میکنیم.جهت فعال سازی قابلیت sticky ،علاوه بر اجرای دو دستور اول بیان شده در قسمت اول مقاله،دستور زیر را نیز اجرا میکنیم:

جدول Secure Mac Address Table به شکل زیر تغییر میکند:

و تنظیمات اینترفیس به صورت زیر در می آید:

پس در حالت دوم آدرس ها در جدول Secure Mac Address Table از SecureDynamic به SecureSticky تغییر میکنند و دوخط زیر به تنظیمات اینترفیس مربوطه اضافه میشوند:

شاید در نگاه اول تفاوت زیادی به نظر نرسد اما مشکل زمانی شروع میشود که به اصطلاح یک Violation اتفاق بیفتد. یعنی یک کامپیوتر دیگر به اینترفیسی که port security  روی آن فعال شده متصل گردد.به صورت پیش فرض violation mode روی حالت shutdown  میباشد.فرض کنید میخواهیم کامپیوتر PC1 را با یک کامپیوتر جدید به نام PC2 جایگزین کنیم.ببینیم که در دو حالت (dynamic و sticky) چه اتفاقی می افتد :

حالت اول: کابل شبکه PC1 را جدا میکنیم و PC2 را به اینترفیس e0/0 وصل میکنیم.بلافاصله پیام های زیر بر روی سوییچ ظاهر میشوند:

این پیام ها مشخص میکنند که یک مک آدرس نامعتبر به اینترفیس e0/0 وصل شده و port security ، این اینترفیس را shutdown کرده یا به اصطلاح به حالت err-disable  در آورده.جدول مک آدرس ها و جدول Secure Mac Address Table را چک میکنیم:

میبینیم که هیچ رکوردی در این جداول نمیباشد.زیرا وقتی یک اینترفیس shutdown یا err-disable میشود،رکوردهای جدول مک آدرس پاک میشوند و  همچنین رکوردهای از نوع SecureDynamic در جدول Secure Mac Address Table نیز از بین میروند.برای بیرون آوردن یک اینترفیس از حالت err-disable باید یک بار آن را خاموش و سپس روشن کرد .پس به ترتیب دستورات زیر را روی اینترفیس e0/0 اجرا میکنیم:

مجددا جدول های فوق را چک میکنیم:

میبینیم که مک آدرسی جدید که متعلق به PC2 میباشد در هر دو جدول اضافه شده و بدون هیچ مشکلی میتواند از شبکه استفاده کند.

حالت دوم:کابل شبکه PC1 را جدا میکنیم و PC2 را به اینترفیس e0/0 وصل میکنیم.بلافاصله پیام های زیر بر روی سوییچ ظاهر میشوند:

همانطور که در بالا اشاره کردیم این پیام ها مشخص میکنند که یک مک آدرس نامعتبر به اینترفیس e0/0 وصل شده و port security ، این اینترفیس را shutdown کرده یا به اصطلاح به حالت err-disable  در آورده.جدول مک آدرس ها و جدول Secure Mac Address Table را چک میکنیم:

رکوردهای جدول مک آدرس پاک شده اند اما رکورد جدول Secure Mac Address Table  که از نوع SecureSticky میباشد(چون دستور switchport port-security mac-address sticky روی این اینترفیس تنظیم شده) ، همچنان در جدول جا خوش کرده است. تلاش میکنیم با یک بار خاموش و سپس روشن کرد  اینترفیس، آن را از حالت err-disable خارج کنیم:

میبینیم که بلافاصله بعد از up شدن اینترفیس مربوطه ، مجددا port security آن را به حالت err-disable میبرد. دلیل این موضوع اینست که مک آدرس PC1 که به صورت sticky تنظیم شده است ، در واقع به جدولSecure Mac  Address Table چسبیده است و حتی با خاموش شدن یا err-disable شدن اینترفیس ، رکورد آن پاک نمیشود. و همچنین خط  switchport port-security mac-address sticky 0050.7966.6800 که در running-config وجود دارد بر این موضوع تاکید دارد که این مک آدرس به این اینترفیس چسبیده است.

پس راه حل برای جایگزین کردن PC1 با PC2 چیست؟

دستور زیر معجزه میکند:

با اجرای این دستور ، تمامی رکوردهای از نوع SecureSticky پاک میشوند و همچنین خط زیر از running-config پاک میشود:

و بعد از ین فقط باید یک بار اینترفیس را خاموش و سپس روشن کرد تا مک آدرس PC2 به عنوان رکورد جدیدی از نوع SecureSticky در جدول ثبت شود و بتواند از اینترفیس استفاده کند.

نکاتی راجع به دستورات مرتبط با port security:

  • با اجرای دستور زیر تمام آدرس های SecureSticky در جدول باقی می مانند اما تمامی آدرس های SecureDynamic از جدول پاک میشوند.
  • با اجرای دستور زیر ، تمام رکوردهای SecureSticky تبدیل به SecureDynamic میشوند :

    و همچنین دو خط زیر از running-conf پاک میشوند:

  • زمانی که یک اینترفیس به حالت err-disable  در می آید و یا خاموش و روشن میشود (یا به اصطلاح Bounce میشود) تمامی رکورد های SecureDynamic مربوط به آن اینترفیس پاک میشوند اما رکوردهای SecureSticky در جدول باقی میمانند.

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.