Allied Telesis Cấu hình Port Security trên Switch Allied Telesis

HanaLink

Junior – IT Sơ cấp
Mar 11, 2022
189
27
28
25
Ho Chi Minh City
Tính năng Port Security giúp quản trị viên kiếm soát các kết nối vào hệ thống đến Switch dựa trên địa chỉ MAC, cụ thể ta có thể quản trị số lượng địa chỉ MAC kết nối đến cổng hoặc gán địa chỉ MAC cụ thể vào các cổng kết nối của Switch. Tính năng Port Security hỗ trợ cấu hình 2 chế độ là chế độ tĩnh (static) và chế độ động (dynamic). Trong bài viết này mình sẽ chỉ ra cách sử dụng 2 chế độ này và cách cấu hình chúng.

1. Chế độ Static
Port Security có thể được cấu hình trên cổng đơn hoặc cổng LACP. Ta sử dụng câu lệnh sau trên cổng muốn bật tính năng Port Security:
Code:
awplus# configure terminal
awplus(config)# interface port1.1.1
awplus(config-if)# switchport port-security
awplus(config-if)# switchport port-security maximum <number>
awplus(config-if)# switchport port-security violation <action>
Trong đó thông tin <number> ta sẽ chọn số địa chỉ MAC tối đa mà cổng sẽ học và sẽ được gán cứng cho cổng (tối đa cấu hình được 256 địa chỉ MAC), còn <action> sẽ bao gồm các hành động được thực hiện khi vi phạm vào cấu hình:
  • Protect: Loại bỏ gói tin và không thực hiện thêm hành động nào. Đây là hành động mặc định nên khi bạn show thông tin cấu hình cổng sẽ không thấy.
  • Restrict: Loại bỏ gói tin và thông báo cho người quản trị bằng bẫy SNMP.
  • Shutdown: Loại bỏ gói tin, thông báo cho người quản trị bằng bẫy SNMP đồng thời disable cổng.
    • Trong trường hợp bạn chọn action restrict hoặc shutdown bạn cần cấu hình bẫy SNMP:
Code:
awplus(config)# snmp-server enable trap nsm
Lưu ý khi cấu hình trên cổng LACP:
  • LACP hỗ trợ sẵn trên phiên bản AlliedWare Plus 5.5.1-0.1 trở đi, trên các phiên bản cũ hơn thì chỉ hỗ trợ cấu hình trên port đơn.
  • Trên thiết bị SBx81CFC960, có thể định cấu hình Port Security tối đa 30 port LACP.
  • LCAP sử dụng địa chỉ MAC cục bộ của liên kết. Trên các thiết bị chuyển mạch dòng SBx81CFC960, x530, x530L, x320 và x220, địa chỉ MAC cục bộ này cũng được tính vào giới hạn MAC. Trong trường hợp đó, khi cấu hình trên các thiết bị này ta chỉ cần tăng giới hạn lên 1. Ví dụ nếu chúng ta muốn cấu hình giới hạn 2 thiết bị (2 địa chỉ MAC), hãy đặt giới hạn thành 3.
Khi cấu hình chế độ Static, các địa chỉ MAC sẽ được gán cứng cho cổng. Bất cứ địa chỉ MAC nào được học trên cổng sẽ được đặt tĩnh vào bảng địa chỉ MAC bất kể thiết bị đó còn được kết nối hay không. Sử dụng tùy chọn này nếu bạn muốn cho phép các thiết bị cụ thể được kết nối vào cổng, và có thể ngăn chặn một người cắm máy tính xách tay hoặc thiết bị không được xác định vào mạng LAN công ty bạn.
Ví dụ trường hợp nếu bạn cấu hình action là shutdown và có thiết bị lạ cố gắng kết nối vào cổng thì bạn có thể thấy cổng sẽ chuyển sang trạng thái err-disable (sau khi đã xử lý và muốn sử dụng lại cổng này bạn chỉ cần dùng lệnh shutdownno shutdown trên cổng đó):
1683526756985.png


2. Chế độ Dynamic
Với chế độ Dynamic, bất kỳ địa chỉ MAC nào được học trên port của Switch sẽ được cài đặt động vào bảng địa chỉ MAC. Không giống như chế độ Static, không có địa chỉ MAC nào được thêm vào cấu hình đang chạy của thiết bị. Nếu một thiết bị bị ngắt kết nối, số địa chỉ MAC tối đa được phép trên một cổng sẽ giảm đi 1 (sau khi hết thời gian chờ trong bảng Địa chỉ MAC). Sử dụng tùy chọn này nếu bạn chỉ muốn giới hạn số lượng thiết bị truy cập vào cổng, nhưng bạn không quan tâm đến thiết bị cụ thể nào có quyền truy cập.
Ví dụ trong trường hợp này có thể ngăn một người kết nối 1 thiết bị Switch lạ vào một port và kết nối nhiều thiết bị khác nhau vào hệ thống mạng LAN của bạn. Cách cấu hình tương tự chế độ Static nhưng chỉ cần thêm câu lệnh như bên dưới:
Code:
awplus# configure terminal
awplus(config)# interface port1.1.1
awplus(config-if)# switchport port-security aging
awplus(config-if)# switchport port-security maximum <number>
awplus(config-if)# switchport port-security violation <action>

Ví dụ trong trường hợp này thì khi cấu hình và kiểm tra sẽ thấy chỉ cần trong 1 thời điểm có 1 thiết bị kết nối thì kết nối vẫn bình thường và cổng sẽ không bị disable như chế độ Static:
1683527271343.png


Chúc mọi người thành công :">
 
Last edited:
  • Like
Reactions: gani

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu