Port Security Nedir
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Konuyu Cevapla
Toplam 2 Sayfadan 1. Sayfa 12 SonuncuSonuncu
Toplam 19 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Like Tree5Likes
Port Security Nedir

Port Security Switch i kendi haline bırakırsak nasıl çalıştıgını biliyoruz. Port a gelen bir frame in source adresine bakıp, ilgili vlan bilgisi ile CAM tablosuna işler. Kod: Switch#sh mac address-table

  1. #1
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart Port Security Nedir

    Port Security

    Switch i kendi haline bırakırsak nasıl çalıştıgını biliyoruz.

    Port a gelen bir frame in source adresine bakıp, ilgili vlan bilgisi ile CAM tablosuna işler.

    Kod:
    Switch#sh mac address-table
    Vlan    Mac Address       Type        Ports
    ----    -----------       --------    -----
     1    0001.1991.1919   DYNAMIC     Fa0/19

    19 uncu portumuza baglı, Vlan 1 e ait “0001.1991.1919 “ mac adresine sahip birisini Dynamic olarak ögrenmişiz. Yani bu kişi bişi yollamış bize, bizde o esnada fırsat bilip ögrenmişiz MAC ını. Dinamik budur.

    Ayrıca bir de Switchin kendine ait Static Mac adresleri vardır bi sürü.
    Sanırım bunu başka bi makalede anlatmıştık ….

    ---
    Port Security ile biz bu duruma hükmedicez.
    Yani Switch in işine karışcaz.


    Nasıl yaptıgımıza bakalım.

    Örnek olarak Fa0/19 u alalım.

    Ve hem konfigurasyon yapalım hemde konulara bakalım.


    Kural 1
    ******

    Port Security uygulayacağımız port ACCESS yada TRUNK mode da olacak


    Kod:
    Conf t
    Int fa0/19
    Switchport mode [access / trunk]


    Kural 2
    ******

    Port Security özelliğini aktif hale getirelim.

    Bunun için sadece “switchport port-security” komutunu girmemiz yeterlidir.

    Kod:
    Conf t
    Int fa0/19
    Switchport port-security 
    
    [switchport port-security max 1]  
    [switchport port-security violation shutdown ]

    Evet sadece bu komutu girdik ama altında iki komut daha var!

    BUnlar nedir ? Bu komutları biz yazmadık

    Bu iki komutla yukarda girdiğimiz “switchport port-security” komutunun GÖBEKLERİ BİR KESİLMİŞTİR.

    Onun için ilk komutu girince bunlar otomatik girilir, biz göremeyiz. Ne anlama geldiklerini de ögrenicez.


    Şunu bilelim. “switchport port-security” komutu port-security olayını aktif etti. O Kadar.


    [switchport port-security max 1] bunun anlamı şudur :

    Port security aktif oldu ve bu port altından sadece 1 MAC ögrenilebilir( Default 1 dir). Tabi istersek biz bu BIR sayısını degiştiririz. Komutun orda oldugunu biliyoruz. 

    Nasıl degiştiririz ?

    [Switcport port-security max X]

    Aynı anda o port u kullanan kişi sayısı X sayısını olmalıdır.

    Aksi halde Switch imiz Önlem alır :

    [switchport port-security violation shutdown ] bu port kendini kapatsın demektir. Ayrıntılı anlatıcaz.

    Buraya kadar yapılan ayarlamalar sonucu ögrenilen MAC adresleri, running-config e yazılmaz, yani ilgili interface altında göremessiniz. Ve ögrenilen MAC adresler , frame ler geldikçe DINAMIC olarak öğrenilir. Kriter sadece Aynı anda o port u kullanan kişi sayısının geçmemesidir.



    Peki bu durumu biraz özelleştirelim. STATIC.

    Port altında hangi mac adres/lerinin olabileceğine biz karar verelim.

    Kod:
    Switchport port-security mac-address aaaa.bbbb.cccc
    Açıkca görebilirizki bu komut ile bu port altında sadece bu şahıs olsun dedik.

    Bu bilgi running-config de interface imiz altında tutulmaya başlamıştır.

    Copy run start ile kaydedip bu bilgiyi nvram e kaydederiz.

    (Bu arada Catalist 2950 de Nvram in yerini gösterebilene Ferrari veriyorlarmış bilginize)

    Birden fazla static mac daha girmek istedigimizde,

    [Sw port-security max 1] komutundaki 1 degerini degiştirmemiz gerekeceğini biliyoruz. !!!



    Bu Static işi güzel. Yani bizim istediklerimize izin verilsin sadece.

    Ancak bir sürü PC nin oldugu ortamda bu biraz sıkıntılı olacak. Tek Tek girmek ölüm.

    Onun için diyoruzki, ağımızda 20 kişi var zaten.

    Bi komut gireyim, PC ler çalışınca bunların MAC ını nasıl olsa ögrencek, bunları alıp kendisi STATIC hale getirsin. STICKY.


    Kod:
    Switchport port-security mac-address sticky
    Işte Bu kadar. Yine burda [Sw port-security max 1] komutunu 20 yapmayı unutmayalım.


    Violation --- Recovery
    ------------------------------
    Peki bu durumlar ihlal olursa NE OLSUN ?
    Yani ikinci komuta geldi sıra,

    Kod:
    [switchport port-security violation shutdown ]
    Burdaki SHUTDOWN default olan durumdur.

    Ayrıca şunlarıda kullanabiliriz -- anlamlarıyla birlikte yazalım.
    PROTECT = Düşük seviye korumadır. Kural Dışı Mac lara izin vermez o kadar.
    RESTRICT = Orta seviye korumadır. Kural dışılara izin vermez ve ayrıca bunu admin e bildirir.
    SHUTDOWN = Üst seviye korumadır. Port u kapatır. Sebebini de ERR-DISABLE diye görebiliriz.

    Eger bu portu tekrar çalışır hale getirmek istersek, port altında “ sh – no sh” yapmamız yeterlidir.

    Ayrıca bunun için otomatik bir recovery de oluşturabiliriz.

    Kod:
    Err-disable recovery cause psecure-violation   [ port security ihlali olursa]
    Err-disable recovery interval X  [X süresi kadar bekle ve portu aç demektir.]
    ---

    Bu arada MAC TAblosundaki MAC adreslerinin 300 saniye ömürlerinin oldugunu biliyoruz.

    Ama port-security ile ögrenilmiş [static, sticky yada dinamik] Mac adresleri için bu durum geçerli degildir.

    Eger bu kuralın onlar içinde geçerli olmasını istersek onu da yaparız.

    Şöyle ki:

    Kod:
    Switchport port-security aging time  X  [ X  kadar zaman sonra]
    Switchport port-security aging type     ? 
    [ absolute  = Kesin Age Out olsun]
    [inactivity   = Inactive ise Age Out olsun]
    Bu komutu girdikden sonra ise bu kural yine sadece DYNAMIC ögrenilenler için geçerlidir.

    Eger STATIC olarak girdiklerimize de uygulanmasını istersek ayrıca,

    Kod:
    Switchport port-security aging static
    --- komutunu girmemiz gerekecektir.

    Yine bu kurala STICKY ile ögrenilen MAC lar da uysun dersek,

    Onu yapamıyoz işte




    Bazı Komutlar
    ----------------

    Kod:
    CLEAR PORT-SECURITY  ?
    All/Configured/Dynamic/Sticky ile ögrenilen Mac ları temizleriz.

    Kod:
    Show port-security
    Show port-security int fa0/19
    Show port-security address
    Port Security ile ilgili bilgileri ise bu 3 komut ile görebiliriz.


    ****

    Son olarak ise konuyu bir soru ile bitirelim.
    Static olarak MAC adresinin nasıl girildiğini biliyoruz.
    Kod:
    Switchport port-security mac address aaaa.bbbb.cccc
    Veya ugraşmayayım da sistem ögrendiği mac adreslerini benim için static yapıversin diyoruz.

    Kod:
    Switchport port-security mac address sticky
    Peki !

    Kod:
    Switchport port-security mac address sticky aaaa.bbbb.cccc 
    BU KOMUT NE ANLAMA GELİR ACABA ?
    challanger and psi like this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  2. #2
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,331

    Standart

    Switchport port-security mac address sticky aaaa.bbbb.cccc

    bu komut öğrendiğin mac adresi aaaa.bbbb.cccc ise static yap değilse kural ihlaline bak demek sanırım. denemedim !

  3. #3
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart

    Alıntı trunkmode Nickli Üyeden Alıntı Mesajı göster
    Switchport port-security mac address sticky aaaa.bbbb.cccc

    bu komut öğrendiğin mac adresi aaaa.bbbb.cccc ise static yap değilse kural ihlaline bak demek sanırım. denemedim !
    Switchport port-security mac address aaaa.bbbb.cccc

    komutu da aynı işi yapıyor.


    Cevap makale de gizli
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  4. #4
    Murat Gunay isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2009
    Mesajlar
    13

    Standart

    Switchport port-security mac address sticky aaaa.bbbb.cccc
    bu komutu kullanmama gerek yok ki switchport port security mac address sticky dediğimde zaten ortamdaki makinelern mac adresini zaten kaydediyor..ayrıca niye kendim mac eklemekle uğraşayım ? yanlşmı düşünüyorum....?

    makale için teşekkrler..

  5. #5
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart

    @Murat

    Mantıgın cok güzel.

    Ancak böyle bir komut var.

    Yani Sticky den sonra MAC adres yazılabiliyor.

    O halde bir nedeni olmalı de mi ?
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  6. #6
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,331

    Standart

    Elinde cihazlarla istediğin gibi yap boz yapıyorsun,herkesin bu şansı yok demi Hocam

  7. #7
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart

    benim de cok eksiklerim var abi

    ---

    Gecen oturup çay içelim dedik,

    inan sandalye bulamadık düşün,

    herkes altına 7-8 tane switch aldı ...

    ---

    sehpa yerine de 3640 ları kullanıyoz,

    gerçek sehpanın yerini tutar mı hiç sen söyle,

    yine de şükür ediyoruz halimize,

    çayı bulamayan da var ...

    Hypnotic, Nexus and huawei like this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  8. #8
    Ahmet732 isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Nov 2009
    Mesajlar
    34

    Standart

    Switchport port-security mac address aaaa.bbbb.cccc switch'e statik öğretiyorsun ve running-config de yer alıyor

    Switchport port-security mac address sticky dynamic öğrenilen mac adreslerini (stickyden önce ya da sonra)sticky adrese çevirir(bir nevi static sizin de bahsettiğiniz gibi) ve running-config e kaydeder

    Switchport port-security mac address sticky aaaa.bbbb.cccc bu da sadece bir üsttekinin garanti hali. Dynamic rastgele bağlanacak bir PCnin mac adresini öğrenmesine fırsat vermeden kendi elinle giriyorsun.Aslında dynamic öğrenmemiş oluyor. static ten de bir farkı kalmıyor sadece tabloda dynamic yerine sticky mi yazıyor ne yazıyor? Anlatabilirseniz memnun oluruz...

  9. #9
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart

    Cevap veriyorum


    Biliyoruzki,

    Mac Tablosundaki Mac lar için Time Out 300 saniyedir.

    Bu durum Port Security uygulanmış port lar için geçerli degildir.

    Port Security ile 3 şekilde MAC ögrenilir.


    Dinamik
    Statik
    Sticky


    Eger bunlar içinde MAC Time Out geçerli olmasını isterseniz.


    Dinamik için :

    Switchport port-security aging time
    Switchport port-security aging type


    komutu yeterlidir.


    Statik için :

    Switchport port-security aging static

    komutu girilmelidir.


    Sticky için :

    Bu komut ile ögrenilenlere Age Out işlemez.

    Yani adı üzerinde, YAPIŞIP kalır.


    Onun için illaki bir MAC adresinin ne şartta olırsa olsun

    yapışıp kalmasını isterseniz
    bunun sonuna eklersiniz.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  10. #10
    Ahmet732 isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Nov 2009
    Mesajlar
    34

    Standart reputation

    Açıklamalar için teşekkürler bu tip konular üzerine yazılarınızın devamını bekleriz. Reputation puan nereden atabiliriz size

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok