Cấu hình các tính năng bảo mật trên Switch 4000 ppt

Bạn có thể sử dụng chức năng Port Security để ngăn chặn các kết nối vào cổng Ethernet, Fast Ethernet hay Gigabit Ethernet có MAC address khác với MAC address đã được chỉ định cho port..

Trang 1

Cấu hình các tính năng bảo mật trên Switch 4000 3.6.1 Port Security.

Bạn có thể sử dụng chức năng Port Security để ngăn chặn các kết nối vào cổng Ethernet, Fast Ethernet hay Gigabit Ethernet có MAC address khác với MAC address đã được chỉ định cho port

Ngoài ra còn có thể chỉ định số MAC address tối đa hỗ trợ trên một port, thời gian có hiệu lực của MAC address trên port đó Bạn còn có thể xác định trạng thái mà một port sẽ được đặt vào nếu có sự xâm phạm về bảo mật Trạng thái shutdown là trạng thái đầu tiên trong đó bạn có thể shutdown port trong một khoảng thời gian xác định hay không xác định (trạng thái mặc định) Trạng thái thừ hai là trạng thái giới hạn (restrictive mode), trong đó port vẫn trong trạng thái hoạt động và chỉ loại bỏ các packet từ các địa chỉ lạ Khi có sự vi phạm về bảo mật LED link của port đó chuyển sang màu cam (orange) vàthông báo link-down sẽ được gửi đến Simple Network Management Protocol (SNMP) manager SNMP trap sẽ không được gửi đi nếu bạn cấu hình port ở chế độ restrictive

• Cấu hình Port Security

Cấu hình Port Security bao gồm các phần sau:

− Cho phép Port Security

− Xác định số lượng MAC Addresses tối đa

− Xác định thời gian hiệu lực của Port Security

− Xoá MAC Addresses

− Xác định Security Violation Action

− Xác định Shutdown Time

− Loại bỏ Port Security

− Monitoring Port Security

− Cho phép Port Security

Ví dụ:

Console> (enable) set port security 2/1 enable

Port 2/1 port security enabled with the learned mac address

Trunking disabled for Port 2/1 due to Security Mode

Console> (enable) show port 2/1

Port Name Status Vlan Level Duplex Speed Type

- - - - - - -

-2/1 connected 522 normal half 100 100BaseTX

Port Security Secure-Src-Addr Last-Src-Addr Shutdown Trap IfIndex

- - - - - -

-2/1 enabled 00-90-2b-03-34-08 00-90-2b-03-34-08 No disabled 1081

Trang 2

Port Broadcast-Limit Broadcast-Drop

- -

-2/1 - 0

Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize

- - -

-2/1 0 0 0 0 0

Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants

- - -

-2/1 0 0 0 0 0 0 0

Last-Time-Cleared

-Fri Jul 10 1998, 17 38

Ví dụ bổ sung MAC address vào danh sách bảo mật

Console> (enable) set port security 2/1 enable 00-90-2b-03-34-08

Port 2/1 port security enabled with 00-90-2b-03-34-08 as the secure mac address

Trunking disabled for Port 2/1 due to Security Mode

Console> (enable)

− Xác định số lượng MAC address tối đa.

Bạn có thể xác định số lượng MAC address tối đa cho phép trên port Số lượng tối đa cho phép là 1024 MAC address

Ví dụ

Console> (enable) set port security 7/7 maximum 20

Maximum number of secure addresses set to 20 for port 7/7

Console> (enable)

Console> (enable) set port security 7/7 maximum 18

Maximum number of secure addresses set to 18 for port 7/7

00-11-22-33-44-55 cleared from secure address list for port 7/7

Console> (enable)

− Xác định thời gian hiệu lực của port security:

Thời gian hiệu lực này bắt đầu tính từ khi MAC address tương ứng truyền dữ liệu qua port Khi hết thời gian này MAC address này sẽ tự động bị xóa khỏi danh sách bảo mật

Trang 3

Thời gian này có thể từ 10 đến 1440 phút Giá trị 0 có nghĩa là không xác định thời gian hiệu lực cho port security

Console> (enable) set port security 7/7 age 600

Secure address age time set to 600 minutes for port 7/7

Console> (enable)

− Xóa bỏ MAC Address

Sử dụng lệnh clear port security để xóa MAC address khỏi danh sách bảo mật:

Ví dụ:

Console> (enable) clear port security 7/7 00-11-22-33-44-55

Console> (enable)

Console> (enable) clear port security 7/5-7 all

All addresses cleared from secure address list for ports 7/5-7

Console> (enable)

− Xác định Security Violation Action

Khi có sự xâm nhập vào chế độ bảo mật, port có thể được đặt vào 1 trong 2 trạng thái sau:

+ Shutdown: Shutdown port cố định hay trong một khoảng thời gian xác định Mặc định

là shutdown cố định

+ Giới hạn: Loại bỏ tất cả các packet từ MAC address lạ nhưng port vẫn ở trạng thái hoạt động

Ví dụ:

Console> (enable) set port security 7/7 violation restrict

Port security violation on port 7/7 will cause insecure packets to be dropped

Console> (enable)

• Xác định Shutdown Time

Trang 4

Ví dụ:

Console> (enable) set port security 7/7 shutdown 600

Secure address shutdown time set to 600 minutes for port 7/7

Console> (enable)

− Loại bỏ Port Security

Ví dụ:

Console> (enable) set port security 2/1 disable

Port 2/1 port security disabled

Console> (enable)

Console> (enable) show port security 2/1

Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex - - - - - -

-3/24 disabled restrict 20 300 10 disabled 921

Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left - - - - -

3/24 1 00e04facb400

-Console> (enable)

− Monitoring Port Security

Lệnh show port security hiển thị các thông tin sau:

+ Hiển thị danh sách MAC addressesbảo mật

+ Số lượng MAC address tối đa

+ Thời gian hiệu lực

+ Shutdown/security mode

Ví dụ:

Console> (enable) show port security 3/24

Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex - - - - - -

-3/24 enabled shutdown 300 60 10 disabled 921

Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left - - - - -

3/24 4 00e04facb400 60 00e04facb400 no

Trang 5

-00-11-22-33-44-55 0

00-11-22-33-44-66 0

00-11-22-33-44-77 0

Console> (enable) show port security statistics 3/24 Port Total-Addrs Maximum-Addrs

- -

-3/24 4 10

Console> (enable)

Port Total-Addrs Maximum-Addrs

- -

-3/24 1 10

Console> (enable)

Console> (enable) show port security statistics 7 Port Total-Addrs Maximum-Addrs

- -

-7/1 0 1

7/2 0 1

7/3 0 1

7/4 0 1

7/5 0 1

7/6 0 1

7/7 0 1

7/8 0 1

7/9 0 1

7/10 0 200

7/11 0 1

7/12 0 1

7/13 0 1

7/14 0 1

7/15 0 1

7/16 0 1

7/17 0 1

7/18 0 1

7/19 0 1

7/20 0 1

7/21 0 1

7/22 0 1

7/23 0 1

7/24 0 1

Module 7:

Total ports: 24

Total MAC address(es): 223

Total global address space used (out of 1024): 199

Trang 6

Status: installed

Console> (enable)

Console> (enable) show port security statistics system

Module 1:

Total ports: 2

Status: installed

Module 3:

Module does not support port security feature

Module 6:

Total ports: 48

Status: installed

Module 7:

Total ports: 24

Status: installed

Console> (enable)

3.6.2 IP permit list.

Tính năng IP permit ngăn chặn các IP address không có thẩm quyền truy cập vào switch thông qua Telnet hay SNMP Các dịch vụ TCI/IP khác (như IP traceroute và IP ping) vẫn hoạt động bình thường Các phiên outbound telnet, TFTP và các dịch vụ dựa trên IP khác cũng không bị ảnh hưởng

Bạn có thể cấu hình đến 10 entry trong IP permit list Mỗi một entry bao gồm một cặp IP address và subnet mask Trong câu lệnh xác định IP permit, nếu không xác định subnet mask hay sử dụng tên host thay cho IP address, giá trị mặc định của subnet mask sẽ là 255.255.255.255, nếu không xác định loại truy cập bị giới hạnlà Telnet hay SNMP, cả hai dịch vụ sẽ cùng bị giới hạn

• Cấu hình IP Permit mặc định

• Cấu hình IP Permit List

− Bổ sung IP Address vào IP Permit List

− Cho phép IP Permit List

− Tắt the IP Permit List

− Xóa IP Permit List Entry

Bổ sung IP Address vào IP Permit List

Trang 7

Ví dụ:

Console> (enable) set ip permit 172.16.0.0 255.255.0.0 telnet

172.16.0.0 with mask 255.255.0.0 added to telnet permit list

Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp 172.20.52.32 with mask 255.255.255.224 added to snmp permit list Console> (enable) set ip permit 172.20.52.3 all

172.20.52.3 added to IP permit list

Console> (enable) show ip permit

Telnet permit list feature enabled

Snmp permit list feature enabled

Permit List Mask Access Type

- -

-172.16.0.0 255.255.0.0 telnet

172.20.52.3 snmp telnet

172.20.52.32 255.255.255.224 snmp

Denied IP Address Last Accessed Time Type Telnet Count SNMP Count - - -

-172.100.101.104 01/20/97,07 20 SNMP 14 1430

172.187.206.222 01/21/97,14:23:05 Telnet 7 236

Console> (enable)

− Cho phép IP Permit List

Ví dụ:

Console> (enable) set ip permit enable

IP permit list enabled

Console> (enable) set snmp trap enable ippermit

SNMP IP Permit traps enabled

Console> (enable) set logging level ip 4 default

System logging facility set to severity 4(warnings)

Console> (enable) show ip permit

Telnet permit list feature enabled

Snmp permit list feature disabled

Permit List Mask Access-Type

-

Trang 8

-172.16.0.0 255.255.0.0 telnet

172.20.52.3 snmp telnet

172.20.52.32 255.255.255.224 snmp

Denied IP Address Last Accessed Time Type Telnet Count SNMP Count - - -

-172.100.101.104 01/20/97,07 20 SNMP 14 1430

172.187.206.222 01/21/97,14:23:05 Telnet 7 236

Console> (enable) show snmp

RMON: Disabled

Extended Rmon: Extended RMON module is not present

Traps Enabled:

ippermit

Port Traps Enabled: None

Community-Access Community-String

-

-read-only public

read-write private

read-write-all secret

Trap-Rec-Address Trap-Rec-Community

-Console> (enable)

− Tắt IP Permit List

Ví dụ:

Console> (enable) set ip permit disable

IP permit list disabled

Console> (enable)

− Xóa IP Permit List Entry

Ví dụ:

Console> (enable) clear ip permit 172.100.101.102

172.100.101.102 cleared from IP permit list

Console> (enable) clear ip permit 172.160.161.0 255.255.192.0 snmp

Trang 9

172.160.128.0 with mask 255.255.192.0 cleared from snmp permit list Console> (enable) clear ip permit 172.100.101.102 telnet

172.100.101.102 cleared from telnet permit list

Console> (enable) clear ip permit all

IP permit list cleared

Console> (enable)

Định dạng
Số trang	9
Dung lượng	52 KB