Cisco Port Güvenliği Yapilandirmasi

tarafından 11 Mart 2010 tarihinde Cisco kategorisine yazıldı.

Merhaba;

Bir bilgisayar ağı mühendisi, hangi cihazların kablolamasının yapılacağına ve switch‘in belirli hangi arabirimine bağlanacağına karar ve belirli kurallarla kısıtlama uygulayarak, sadece istenilen cihazların o arabirimi kullanmalarına izin verir.Eğer, izin verilmemiş bir cihazo arabirimi kullanmak isterse, bu durumda, switch olayı bilgi mesajı olarak kayıt altına alabilir ya da o cihazdan gelen çerçeveleri engelleyebilir veya o arabirimi tamamen kapatabilir.

Port güvenlik yapılandırması için birkaç şeyi birden yapılandırmanız gerekecektir.Önce, switchport port-security arabirim yapılandırma kipi komutuyla, o port’ta güvenlik modu etkinleştirilir. 2950 switch ‘inin IOS işletim sistemi, diğer switch’lere bağlantı kuran port’ların dışındaki port’lar içinde güvenlik yapılandırılmasına olanak tanır.Bir arabirimin, başka bir switch’e bağlantı için kullanılmadığını göstermek amacıyla switchport mode access komutu kullanılır.Ardından, switchport port-security mac-address mac_adresi komutu aracılığıyla statik olarak o arabirimi kullanacak olan cihazların MAC adresleri girilebilir.

Örneğin; Şekil 1 ‘de sadece Sunucu-1 ve Sunucu-2 ‘nin, sırasıyla switch‘in Fastethernet 0/1 ve Fastethernet 0/2 arabirimlerinden çıkış yapmasına izin verilmektedir.Örnek-1 ‘de gösterildiği gibi, yapacağınız yapılandırma ile sadece belirtilen sunucuların MAC adreslerinin, ilgili arabirimlerden çıkmasına olanak verecek, port güvenlik yapılandırmasını sağlayabilirsiniz.

Bu örnek, port güvenliği yapılandırmasının iki farklı tipini kullanmaktadır. Birinci tip kullanım, Fastethernet 0/1 arabiriminde yapılandırılmıştır. Bu yapılandırmada, Sunucu-1’in MAC adresi tanımlanırken, switchport port-security mac-address 0200.1111.1111 komutu kullanılmıştır.Port güvenliğinin doğru çalışabilmesi için 2950 switch’inin bu arabirimin, trunk değil normal erişim kullanıldığı düşünmesi gerekir.Yani Fastethernet 0/1 arabiriminin normal erişim arabirimi olduğunu switch’e belirtmemiz gerekmektedir. Bunu sağlayacak komut switchport mode access komutudur. Ayrıca bu arabirim üzerinde, port  güvenliğinin etkinleşmesini sağlayacak switchport port security komutunu da işletmeniz gerekmektedir. İşte bahsettiğim bu üç komutu birden yapılandırılarak, sadece MAC adresi 0200.1111.1111 olan sunucunun bu arabirimi kullanmasına izin verilmiştir.

Eğer port güvenliği yapılandırmasında, bir arabirim için izin verilen MAC adreslerinin sayısı bildirilmezse, varsayılan değer her arabirim için yalnızca bir MAC adresidir. Ancak istenirse, bir arabirim için maksimum 132 adet MAC adresi çıkışına izin verilebilir. Kullanılacak komut ise, switchport port-security maximum komutudur. Eğer güvenlik yapılandırmasında, tanımlı olmayan MAC adresi çıkış yapmak isterse ve herhangi bir eylem belirtmemişse, varsayılan eylem o arabirimin kapatılmasıdır. Bu varsayılan eylemi değiştirmek istiyorsanız, switchport port-security violation komutunu kullanabilirsiniz.

İkinci tip port güvenliği yapılandırması ise, Fastethernet 0/2 arabirimindedir. Bu yapılandırmada sticky secure MAC adresleri özelliği kullanılmıştır. Bu yapılandırmada da, birinci tip güvenlik yapılandırmasında yer alan switchport mode access ve switchport port-security komutları fastethernet 0/1 arabirimi için  yine aynı biçimde ve aynı amaçlarla kullanılmaktadır. Ancak switchport portsecurity mac-address sticky komutu, switch‘e ilk gelen çerçevenin MAC adresini öğrenmesini ve bu MAC adresini çalışan yapılandırmaya güvenilir MAC adresi olarak eklemesini dikte eder. Bir başka deyişle, ilk öğrenilen MAC adresi, yapılandırmaya yapışır (sticky, yapışkan anlamına gelir) Böylece, bilgisayar ağı mühendisinin, o arabirime bağlı olan cihazın MAC adresini bilmesine gerek kalmaz.

Örnek-1 ‘de de görüldüğü gibi, fastethernet 0/2 arabirimi sağlıklı çalışmasına devam ederken, fastethernet 0/1 arabiriminde bir güvenlik ihlali oluşmuştur. show port-security interface fastethernet 0/1 komutu çalıştırıldığında, görüntülenen bilgi mesajlarında, fastethernet 0/1 arabiriminin durumunda “err-disabled” gözükmektedir, bunun anlamı o arabirimin hata yüzünden kapatıldığıdır. Fastethernet 0/1 arabirimine bağlı olan cihaz 0200.1111.1111 MAC adresini kullanmadığı için, switch aldığı çerçevede bu MAC adresini görmüş ve kural ihlali yapılması sebebiyle, arabirimi servis dışı bırakmıştır.

Fastethernet 0/2 arabirimi için ise, port güvenliği yapılandırılması ile ilgili “secureup” durumu gözükmektedir. Dikkat edilecek olursa, show running-config komutunun çıktısında, Sunucu-2 ‘nin MAC adresi (0200.2222.2222) öğrenilmiş ve çalışan yapılandırmaya switchport port-security mac-address sticky 0200.2222.2222 komutu şeklinde eklenmiştir. Eğer bundan böyle, fastethernet 0/2 ‘den çıkmasını istediğiniz MAC adresin gerçekten sadece 0200.2222.2222 olmasını istiyorsanız yapacağınız en basit işlem copy running-config startup-config komutunu işleterek, yapılandırmanın kaydedilmesini sağlamanızdır.

email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2017, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.