Wednesday, July 25, 2018
Port Security , telnet trên Switch
Port Security , telnet trên Switch
Tình huống:
– Bạn là Admin của một tổ chức, trong phòng ban A có 2 PC tương ứng cho 2 người làm việc
Nhưng có một số thành viên (bạn thành viên) dùng Laptop rồi cắm thêm HUB/Switch mới…admin khó kiểm soát
Bạn muốn đã đăng ký 2 PC thì chỉ có 2 PC đó hoạt động, nếu hơn phải báo cho Admin, nếu không mạng không hoạt động:
Tính năng Port Security trong Switch Cisco sẽ giúp bạn
Cơ chế của Switch là dựa vào bảng CAM (Content Addressable Memory) của Switch lưu trữ các địa chỉ MAC của các port
Và SW quy định tương ứng port nào thì chỉ có những MAC nào thì được phép hoạt động và tối đa có bao nhiêu MAC (do admin tự đặt)
Nếu vi phạm (tức là cắm PC khác, hay cắm quá số PC cho phép) sẽ bị shudown hoặc đưa Port vào trạng thái không hoạt động
Để Port đó hoạt động trở lại thì admin phải cấu hình để sau bao nhiêu thời gian tự Port bật lên.
Cách cấu hình:
Bước 1:
Switch>enable
Switch#conf terminal
Switch(config)#interface f0/1
Switch>enable
Switch#conf terminal
Switch(config)#interface f0/1
Bước 2: Đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security
Switch(config-if)#switchport mode access
Switch(config-if)#switchport mode access
Bước 3: Khởi động port security
Switch(config-if)#switchport port-security
Bước 4: chỉ định số lần địa chỉ MAC được thay đổi.
Switch(config-if)#switchport port-security maximum 1
(Quy đinh chỉ cho 1 PC là tối đa)
+ có 2 cách gán địa chỉ mác
C1:
Switch(config-if)#sw port-security mac-address 0010.113D.8954
(gán địa chỉ mac tĩnh)
C2:
Switch(config-if)#sw port-security mac-address sticky
(Quy đinh tự động học địa chỉ MAC khi có 1 mấy cắm vào cơ chế tự động)
Bước 5: Chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai:
Cấu trúc lệnh :
Switch(config-if)#switchport port-security violation [shutdown | restrict | protect]
– shutdown: port sẽ được đưa vào trạng thái lỗi và bị shutdown
– restrict: port sẽ vẫn ở trạng thái up mặc dù địa chỉ MAC kết nối bị sai. Tuy nhiên các gói tin đến port này đều bị hủy, và sẽ có một bản thông báo về số lượng gói tin bị hủy.
– protect: port vẫn up như restrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin này
Giả sử phòng A mua thêm Hub hoặc cắm thêm PC khác vào thì cổng F0/3 trên Switch phòng mạng sẽ bị tắt (như hình)
Cấu trúc lệnh :
Switch(config-if)#switchport port-security violation [shutdown | restrict | protect]
– shutdown: port sẽ được đưa vào trạng thái lỗi và bị shutdown
– restrict: port sẽ vẫn ở trạng thái up mặc dù địa chỉ MAC kết nối bị sai. Tuy nhiên các gói tin đến port này đều bị hủy, và sẽ có một bản thông báo về số lượng gói tin bị hủy.
– protect: port vẫn up như restrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin này
Giả sử phòng A mua thêm Hub hoặc cắm thêm PC khác vào thì cổng F0/3 trên Switch phòng mạng sẽ bị tắt (như hình)
Với cách quy định này thì cổng tại Switch bị tắt và tại phòng A sẽ không còn mạng nữa. Liên hệ Admin
Admin sẽ truy xuất vào cổng F0/1 và No shutdown để kích hoạt cổng đó.
- Khôi phục port về trạng thái bình thường
Để khôi phục lại port thì bạn phải can thiệp vào switch.
Bước 1: Nối cổng console vào switch
Switch>enable
Switch#conf terminal
Bước 1: Nối cổng console vào switch
Switch>enable
Switch#conf terminal
Bước 2: Có hai cách để khôi phục port
Cách 1: Khôi phục thủ công, bạn sẽ thực hiện trực tiếp quá trình khôi phục này.
Switch(config)#interface f0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
Thông báo trên màn hình khi thực hiện xong lệnh
00:17:58: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
00:18:00: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
00:18:01: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Quá trình trên giống như bạn cho phép port hoạt động lại bình thường, tuy nhiên cần chú ý rằng các cấu hình trước đó cho port này vẫn không thay đổi, kể cả port-security.
Để bỏ các cấu hình trước đó ta gõ lệnh sau:
Switch(config-if)#no switchport port-security
Switch(config-if)#no switchport port-security maximum 1
Switch(config-if)#no sw port-security mac-address 0010.113D.8954
Switch(config-if)#no sw port-security mac-address sticky
Cách 2: Khôi phục tự động, thiết lập lệnh để switch tự động dò tìm lỗi và khôi phục.
Với cách này giả sử như bạn không hề biết nguyên nhân vì sao port bị down.
Bước 2-1: Tiến hành tìm lỗi trên port
Cấu trúc lệnh:
Switch(config)#errdisable detect cause [all | cause-name ]
+ all có nghĩa là tìm tất cả các lỗi xảy ra
+ cause-name : chỉ tìm lỗi có tên là cause-name, gồm có:
all Enable error detection on all cases
dhcp-rate-limit Enable error detection on dhcp-rate-limit
dtp-flap Enable error detection on dtp-flapping
(Cấu trúc lệnh – tiếp theo)
gbic-invalid Enable error detection on gbic-invalid
link-flap Enable error detection on linkstate-flapping
loopback Enable error detection on loopback
pagp-flap Enable error detection on pagp-flapping
Trong bài lab này sẽ cho switch tìm tất cả các lỗi:
Switch(config)#errdisable detect cause all
Với cách này giả sử như bạn không hề biết nguyên nhân vì sao port bị down.
Bước 2-1: Tiến hành tìm lỗi trên port
Cấu trúc lệnh:
Switch(config)#errdisable detect cause [all | cause-name ]
+ all có nghĩa là tìm tất cả các lỗi xảy ra
+ cause-name : chỉ tìm lỗi có tên là cause-name, gồm có:
all Enable error detection on all cases
dhcp-rate-limit Enable error detection on dhcp-rate-limit
dtp-flap Enable error detection on dtp-flapping
(Cấu trúc lệnh – tiếp theo)
gbic-invalid Enable error detection on gbic-invalid
link-flap Enable error detection on linkstate-flapping
loopback Enable error detection on loopback
pagp-flap Enable error detection on pagp-flapping
Trong bài lab này sẽ cho switch tìm tất cả các lỗi:
Switch(config)#errdisable detect cause all
Bước 2-2: Cho switch khôi phục trạng thái
Switch(config)#errdisable recorvery cause all
Bước 2-3: Cài đặt thông số thời gian cho quá trình khôi phục. Mặc định port sẽ được khôi phục sau 300 giây khi bạn đã thực hiện lệnh ở bước 2-2. Tuy nhiên bạn có thể can thiệp vào thông số thời gian này bằng cách dùng lệnh:
Switch(config-if)#errdisable recorvery second
Thông số thời gian second có đơn vị là giây bạn cần phải chú ý điều này để tránh nhầm lẫn.
Bây giờ bạn cài đặt thông số thời gian khôi phục cho switch là 30 giây
Switch(config-if)#errdisable recorvery 30
Switch(config-if)#^Z
Bước 2-4: Quan sát
+ Quan sát đèn trên port f0/1 của switch : sau 30 giây sẽ sáng lại
+ Quan sát trên giao diện:
– Quan sát thông số thời gian do lệnh debug tạo ra.
00:55:54: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/1
00:55:55: PSECURE: psecure_linkchange: Fa0/1 hwidb=0x807D6C98
00:55:55: PSECURE: Link is coming up
00:55:55: PSECURE: psecure_linkup_init_internal: Fa0/1 hwidb = 0x807D6C98
00:55:55: PSECURE: No change in violation_mode
00:55:55: PSECURE: psecure_vlan_linkchange invoked: Vlan 1
00:55:55: PSECURE: Activating port-security feature
00:55:55: PSECURE: port_activate: status is 1
(Tiếp theo)
00:55:55: PSECURE:
PSECURE: Deleting all dynamic addresses from h/w tables.
00:55:55: PSECURE: psecure_platform_delete_all_addrs: deleting all addresses on vlan 1
00:55:55: PSECURE: psecure_delete_address_not_ok address <1,00e0.4d01.2978> allowed
00:55:55: PSECURE: skipping Fa0/1 while searching
<1,00e0.4d01.2978>
00:55:55: PSECURE: Adding entry to HA table from port-security sub block
00:55:55: PSECURE: psecure_platform_add_mac_addrs: Do nothing, called to add <1,00e0.4d01.2978> to FastEthernet0/1
00:55:57: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
00:55:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
– Dùng lệnh :
Switch#show interface f0/1
FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 000f.239d.c641 (bia 000f.239d.c641)
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set Keepalive set (10 sec)
6. Kết luận
Đến đây bạn đã có một khái niệm cơ bản và thao tác cấu hình tương đối về port security. Bạn có thể thay đổi các thông số trong các câu lệnh để tìm hiểu rõ các đặc tính của chúng
Switch(config)#errdisable recorvery cause all
Bước 2-3: Cài đặt thông số thời gian cho quá trình khôi phục. Mặc định port sẽ được khôi phục sau 300 giây khi bạn đã thực hiện lệnh ở bước 2-2. Tuy nhiên bạn có thể can thiệp vào thông số thời gian này bằng cách dùng lệnh:
Switch(config-if)#errdisable recorvery second
Thông số thời gian second có đơn vị là giây bạn cần phải chú ý điều này để tránh nhầm lẫn.
Bây giờ bạn cài đặt thông số thời gian khôi phục cho switch là 30 giây
Switch(config-if)#errdisable recorvery 30
Switch(config-if)#^Z
Bước 2-4: Quan sát
+ Quan sát đèn trên port f0/1 của switch : sau 30 giây sẽ sáng lại
+ Quan sát trên giao diện:
– Quan sát thông số thời gian do lệnh debug tạo ra.
00:55:54: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/1
00:55:55: PSECURE: psecure_linkchange: Fa0/1 hwidb=0x807D6C98
00:55:55: PSECURE: Link is coming up
00:55:55: PSECURE: psecure_linkup_init_internal: Fa0/1 hwidb = 0x807D6C98
00:55:55: PSECURE: No change in violation_mode
00:55:55: PSECURE: psecure_vlan_linkchange invoked: Vlan 1
00:55:55: PSECURE: Activating port-security feature
00:55:55: PSECURE: port_activate: status is 1
(Tiếp theo)
00:55:55: PSECURE:
PSECURE: Deleting all dynamic addresses from h/w tables.
00:55:55: PSECURE: psecure_platform_delete_all_addrs: deleting all addresses on vlan 1
00:55:55: PSECURE: psecure_delete_address_not_ok address <1,00e0.4d01.2978> allowed
00:55:55: PSECURE: skipping Fa0/1 while searching
<1,00e0.4d01.2978>
00:55:55: PSECURE: Adding entry to HA table from port-security sub block
00:55:55: PSECURE: psecure_platform_add_mac_addrs: Do nothing, called to add <1,00e0.4d01.2978> to FastEthernet0/1
00:55:57: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
00:55:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
– Dùng lệnh :
Switch#show interface f0/1
FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 000f.239d.c641 (bia 000f.239d.c641)
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set Keepalive set (10 sec)
6. Kết luận
Đến đây bạn đã có một khái niệm cơ bản và thao tác cấu hình tương đối về port security. Bạn có thể thay đổi các thông số trong các câu lệnh để tìm hiểu rõ các đặc tính của chúng
——————————————————————————————————————————————————————————————————————————————————————————————————————
Cấu Hình telnet
- Để telnet đến sw và router:
- Đặt IP của sw,r
- Sw,router phải cấu hình telnet + pass enable
- Ping thong
- Đặt địa chỉ IP cho SW:
Sw(config)# interface vlan 1
Sw(config)#ip address 192.x.x.x 255.255.255.x
Switch(config)#ip default-gateway giúp truy cập SW từ xa khi đi qua các lớp mạng khác nhau
Sw(config)# no shut
- Đặt địa chỉ IP cho router
R(config)#interface fo/o
R(config-if)# ip address 192.x.x.x 255.255.255.x
R(config)#no shut
- Cấu hình sw,router để telnet:
Sw(config)# line vty 0 4 (cho phép 5 cổng vào cùng lúc)
Sw(config-line)#password(pass)
Sw(config-line)#login
Sw(config-line)#exit
Sw(config)#enable password(pass) (bắt buộc đặt pass này nếu không sẽ không vào được chế độ đặc quyền)
Bài Thực Hành:
y/c 1: R cấp ip cho network 192.168.100.0/24
ngoại trừ: 192.168.100.1 – 192.168.100.20
cấp: 192.168.100.21 – 192.168.100.254
test: pc nhận ip động không?
y/c 2: Đặt ip cho sw: 192.168.100.5/24
cấu hình telnet
pc->SW
pc -> R
R ->SW
SW ->R
B1: Đặt địa chỉ IP cho router
R(config)#interface fo/o
R(config-if)# ip address 192.168.100.1 255.255.255.0
R(config)#no shut
B2: Đặt router làm DHCP Cấp ip cho network 192.168.100.0/24
R(config)#ip dhcp excluded-address 192.168.100.1 192.168.100.20 (ngoại trừ các địa chỉ dành cho server…)
B3: Router(config)#ip dhcp pool capip (đặt tên cho DHCP)
Router(dhcp-config)#network 192.168.100.0 255.255.255.0 (khai báo địa chỉ lớp mạng)
Router(dhcp-config)#default-router 192.168.100.1
Router(dhcp-config)#exit
R(config)# line vty 0 4
R(config-line)#password(pass)
R(config-line)#login
R(config-line)#exit
R(config)#enable password(pass) (bắt buộc đặt pass này nếu không sẽ không vào được chế độ đặc quyền)
B4: Đặt địa chỉ IP cho SW:
Sw(config)# interface vlan 1
Switch(config-if)#ip address 192.168.100.5 255.255.255.0
Sw(config)# no shut
B5: Sw(config)# line vty 0 4 (cho phép 5 cổng vào cùng lúc)
Sw(config-line)#password(pass)
Sw(config-line)#login
Sw(config-line)#exit
Sw(config)#enable password(pass) (bắt buộc đặt pass này nếu không sẽ không vào được chế độ đặc quyền)
Bạn có thể bình luận bài viết tại đây...
