1. 1 Catalyst Switch 4006


           Cấu hình các tính năng bảo mật



tải về 0.8 Mb.
trang6/8
Chuyển đổi dữ liệu14.08.2016
Kích0.8 Mb.
#18836
1   2   3   4   5   6   7   8

3.6           Cấu hình các tính năng bảo mật.

3.6.1            Port Security.

Bạn có thể sử dụng chức năng Port Security để ngăn chặn các kết nối vo cổng Ethernet, Fast Ethernet hay Gigabit Ethernet có MAC address khác với MAC address đã được chỉ định cho port.

Ngồi ra còn có thể chỉ định số MAC address tối đa hỗ trợ trên một port, thời gian có hiệu lực của MAC address trên port đó. Bạn còn có thể xác định trạng thái mà một port sẽ được  đặt vào nếu có sự xâm phạm về bảo mật. Trạng thái shutdown là trạng thái đầu tiên trong đó bạn có thể shutdown port trong một khoảng thời gian xác định hay không xác định (trạng thi mặc định). Trạng thái thứ hai là trạng thái giới hạn (restrictive mode), trong đó port vẫn trong trạng thi hoạt động và chỉ loại bỏ các packet từ các địa chỉ lạ.

Khi có sự vi phạm về bảo mật LED link của port đó chuyển sang màu cam (orange) và thông báo link-down sẽ được gửi đến Simple Network Management Protocol (SNMP) manager. SNMP trap sẽ không được gửi đi nếu bạn cấu hình port ở chế độ restrictive.

 

·       Cấu hình Port Security



Cấu hình Port Security bao gồm các phần sau:

-            Cho phép Port Security

-            Xác định số lượng MAC Addresses tối đa

-            Xác định thời gian hiệu lực của Port Security

-            Xoá  MAC Addresses

-            Xác định Security Violation Action

-            Xác định Shutdown Time

-            Loại bỏ Port Security

-            Monitoring Port Security

 

-            Cho phép Port Security



 

Task

Command

Step 1 Cho phép port security. Nếu cần, xác định  MAC address cho phép trên port.

set port security mod_num/port_num enable [mac_addr]

Step 2 Bổ sung MAC address vào danh sách bảo mật.

set port security mod_num/port_num mac_addr

Step 3 Xác nhận cấu hình.

show port [mod_num[/port_num]]

 

Ví dụ:


 

Console> (enable) set port security 2/1 enable

Port 2/1 port security enabled with the learned mac address.

Trunking disabled for Port 2/1 due to Security Mode

Console> (enable) show port 2/1

Port  Name               Status     Vlan       Level  Duplex Speed  Type

-----  ------------------  ----------  ----------    ------    ------    -----     ------------

 2/1                       connected  522        normal   half    100     100BaseTX

 

Port  Security Secure-Src-Addr   Last-Src-Addr     Shutdown Trap     IfIndex



----- -------- ----------------- ----------------- -------- -------- -------

 2/1  enabled  00-90-2b-03-34-08 00-90-2b-03-34-08 No       disabled 1081

 

Port     Broadcast-Limit Broadcast-Drop



-------- --------------- --------------

 2/1                   -              0

 

Port  Align-Err  FCS-Err    Xmit-Err   Rcv-Err    UnderSize



-----  ----------    ----------     ----------     ----------    ---------

 2/1           0          0             0              0              0

 

Port  Single-Col  Multi-Coll  Late-Coll   Excess-Col  Carri-Sen  Runts     Giants



-----  ----------       ----------    ----------      ----------       ---------       ---------   ---------

 2/1          0          0               0               0                   0               0            0

 

Last-Time-Cleared



--------------------------

Fri Jul 10 1998, 17:53:38

 

Ví dụ bổ sung MAC address vào danh sách bảo mật.



 

Console> (enable) set port security 2/1 enable 00-90-2b-03-34-08

Port 2/1 port security enabled with 00-90-2b-03-34-08 as the secure mac address

Trunking disabled for Port 2/1 due to Security Mode

Console> (enable)

 

-            Xác định số lượng MAC address tối đa.



Bạn có thể xác định số lượng MAC address tối đa cho phép trên port. Số lượng tối đa cho pép l 1024 MAC address.

 


Task

Command

Xác định số lượng MAC address tối đa

set port security mod_num/port_num maximum num_of_mac

 

Ví dụ


 

Console> (enable) set port security 7/7 maximum 20

Maximum number of secure addresses  set to 20 for port 7/7.

Console> (enable)

 

Console> (enable) set port security 7/7 maximum 18



Maximum number of secure addresses set to 18 for port 7/7

00-11-22-33-44-55 cleared from secure address list for port 7/7

00-11-22-33-44-66 cleared from secure address list for port 7/7

Console> (enable)

 

-            Xác định thời gian hiệu lực của port security:



Thời gian hiệu lực này bắt đầu tính từ khi MAC address tương ứng truyền dữ liệu qua port. Khi hết thời gian này MAC address này sẽ tự động bị xóa khỏi danh sách bảo mật. Thời gian này có thể từ 10 đến 1440 phút. Giá trị 0 có nghĩa là không xác định thời gian hiệu lực cho port security.

 


Task

Command

Xác định thời gian hiệu lực của port security

set port security mod_num/port_num age time

 

Console> (enable) set port security 7/7 age 600

Secure address age time set to 600 minutes for port 7/7.

Console> (enable)

 

-            Xóa bỏ MAC Address



Sử dụng lệnh clear port security để xóa MAC address khỏi danh sách bảo mật:

 


Task

Command

Xóa tất cả hay một vài MAC address ra khỏi danh sách bảo mật.

clear port security mod_num/port_num {mac_addr | all}

 

Ví dụ:


 

Console> (enable) clear port security 7/7 00-11-22-33-44-55

00-11-22-33-44-55 cleared from secure address list for port 7/7

Console> (enable)

 

Console> (enable) clear port security 7/5-7 all



All addresses cleared from secure address list for ports 7/5-7

Console> (enable)

 

-            Xác định Security Violation Action



Khi có sự xâm nhập vào chế độ bảo mật, port có thể được đặt vào 1 trong 2 trạng thái sau:

§       Shutdown: Shutdown port cố định hay trong một khoảng thời gian xác định. Mặc định là shutdown cố định.

§       Giới hạn: Loại bỏ tất cả các packet từ MAC address là những port vẫn ở trạng thái hoạt động..

 


Task

Command

Xác định violation action trên port.

set port security mod_num/port_num violation {shutdown | restrict}

 

Ví dụ:


 

Console> (enable) set port security 7/7 violation restrict

Port security violation on port 7/7 will cause insecure packets to be dropped.

Console> (enable)

 

·       Xác định Shutdown Time



 

Task

Command

Xác định shutdown time của port khi bị xâm nhập.

set port security mod_num/port_num shutdown time

 

Ví dụ:


 

Console> (enable) set port security 7/7 shutdown 600

Secure address shutdown time set to 600 minutes for port 7/7.

Console> (enable)

 

-            Loại bỏ Port Security



 

Task

Command

Step 1 Loại bỏ Port security.

set port security mod_num / port_num disable

Step 2 Xác nhận cấu hình

show port security [mod_num / port_num]

 

Ví dụ:


 

Console> (enable) set port security 2/1 disable

Port 2/1 port security disabled.

Console> (enable)

Console> (enable) show port security 2/1

Port  Security Violation Shutdown-Time        Age-Time Max-Addr  Trap          IfIndex

-----   -------      ---------   -------------                 --------      -------- -       ------         -------

 3/24 disabled  restrict     20                           300         10                disabled   921

 

Port  Num-Addr Secure-Src-Addr   Age-Left Last-Src-Addr     Shutdown/Time-Left



----- -------- ----------------- -------- ----------------- ------------------

 3/24        1 00-e0-4f-ac-b4-00        -                 -        -         -

Console> (enable)

 

-            Monitoring Port Security



Lệnh show port security hiển thị các thông tin sau:

§       Hiển thị danh sch MAC addressesbảo mật.

§       Số lượng MAC address tối đa.

§       Thời gian hiệu lực

§       Shutdown/security mode

 


Task

Command

Step 1 Hiển thị cấu hình port security.

show port security [statistics] mod_num / port_num

Step 2 Hiển thị trạng thái phân tích của port security.

show port security statistics [system] [mod_num / port_num]

 

Ví dụ:


 

Console> (enable) show port security 3/24

Port  Security  Violation  Shutdown-Time  Age-Time  Max-Addr  Trap        IfIndex

----- --------        ---------    -------------           --------        --------        --------     -------

 3/24  enabled  shutdown  300                   60              10              disabled 921

 

Port  Num-Addr   Secure-Src-Addr   Age-Left    Last-Src-Addr        Shutdown/Time-Left



-----   --------         -----------------          --------       -----------------          ------------------

 3/24        4          00-e0-4f-ac-b4-00       60        00-e0-4f-ac-b4-00       no         -

                            00-11-22-33-44-55        0

                            00-11-22-33-44-66        0

                            00-11-22-33-44-77        0

 

Console> (enable) show port security statistics 3/24



Port  Total-Addrs Maximum-Addrs

-----   -----------      -------------

 3/24           4         10

Console> (enable)

Port  Total-Addrs Maximum-Addrs

-----    -----------     -------------

 3/24   1               10

Console> (enable)

 

 

Console> (enable) show port security statistics 7



Port  Total-Addrs Maximum-Addrs

----- ----------- -------------

 7/1            0             1

 7/2            0             1

 7/3            0             1

 7/4            0             1

 7/5            0             1

 7/6            0             1

 7/7            0             1

 7/8            0             1

 7/9            0             1

 7/10           0           200

 7/11           0             1

 7/12           0             1

 7/13           0             1

 7/14           0             1

 7/15           0             1

 7/16           0             1

 7/17           0             1

 7/18           0             1

 7/19           0             1

 7/20           0             1

 7/21           0             1

 7/22           0             1

 7/23           0             1

 7/24           0             1

Module 7:

  Total ports: 24

  Total MAC address(es): 223

  Total global address space used (out of 1024): 199

  Status: installed

Console> (enable)

 

Console> (enable) show port security statistics system



Module 1:

  Total ports: 2

  Total MAC address(es): 2

  Total global address space used (out of 1024): 0

  Status: installed

Module 3:

  Module does not support port security feature

Module 6:

  Total ports: 48

  Total MAC address(es): 48

  Total global address space used (out of 1024): 0

  Status: installed

Module 7:

  Total ports: 24

  Total MAC address(es): 223

  Total global address space used (out of 1024): 199

  Status: installed

Console> (enable)

 

3.6.2            IP permit list.



Tính năng IP permit ngăn chặn các IP address không có thẩm quyền truy cập vào switch thông qua Telnet hay SNMP. Các dịch vụ TCI/IP khác  (như IP traceroute và IP ping) vẫn hoạt động bình thường. Các phiên outbound telnet, TFTP và các dịch vụ dựa trên IP khác cũng không bị ảnh hưởng.

Bạn có thể cấu hình đến 10 entry trong IP permit list. Mỗi một entry bao gồm một cặp IP address và subnet mask. Trong câu lệnh xác định IP permit, nếu không xác định subnet mask hay sử dụng tên host thay cho IP address, gi trị mặc định của subnet mask sẽ l 255.255.255.255, nếu không xác định loại truy cập bị giới hạnl Telnet hay SNMP, cả hai dịch vụ sẽ cùng bị giới hạn.

 

·       Cấu hình IP Permit mặc định



 

Tính năng

Giá trị mặc định

IP permit list enable state

Disabled

Permit list entries

None configured

IP syslog message severity level

2

SNMP IP permit trap (ippermit)

Disabled

 

 

·       Cấu hình IP Permit List



 

-            Bổ sung IP Address vào  IP Permit List

-            Cho phép IP Permit List

-            Tắt theo IP Permit List

-            Xóa IP Permit List Entry

 

-            Bổ sung IP Address vào IP Permit List



 

Task

Command

Step 1 Xác định IP addresses để bổ sung vào IP permit list.

set ip permit ip_address [mask] [all | snmp | telnet]

Step 2 Xác nhận cấu hình

show ip permit

 

Ví dụ:


 

Console> (enable) set ip permit 172.16.0.0 255.255.0.0 telnet

172.16.0.0 with mask 255.255.0.0 added to telnet permit list.

Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp

172.20.52.32 with mask 255.255.255.224 added to snmp permit list.

Console> (enable) set ip permit 172.20.52.3 all

172.20.52.3 added to IP permit list.

 

Console> (enable) show ip permit



Telnet permit list feature enabled.

Snmp permit list feature enabled.

Permit List        Mask                           Access Type                 

----------------   ----------------             -------------

172.16.0.0         255.255.0.0           telnet

172.20.52.3                                     snmp telnet

172.20.52.32    255.255.255.224    snmp

 

Denied IP Address   Last Accessed Time    Type    Telnet Count   SNMP Count



-----------------            ------------------               ------     ------------        ----------

172.100.101.104     01/20/97,07:45:20        SNMP   14                   1430

172.187.206.222     01/21/97,14:23:05        Telnet    7                     236

 

Console> (enable)



 

-            Cho phép IP Permit List

 

Task

Command

Step 1 Cho phép IP permit list.

set ip permit enable [all | snmp | telnet]

Step 2 Nếu cần, cho phép IP permit gửi các SNMP trap..

set snmp trap enable ip permit

Step 3 Nếu cần, cấu hình syslog messages

set logging level ip 4 default

Step 4 Xác nhận cấu hình

show ip permit
show snmp


 

Ví dụ:


 

Console> (enable) set ip permit enable

IP permit list enabled.

Console> (enable) set snmp trap enable ippermit

SNMP IP Permit traps enabled.

Console> (enable) set logging level ip 4 default

System logging facility set to severity 4(warnings)

Console> (enable) show ip permit

Telnet permit list feature enabled.

Snmp permit list feature disabled.

 

Permit List          Mask                     Access-Type



----------------     ---------------             ---------------

172.16.0.0         255.255.0.0               telnet

172.20.52.3                                         snmp telnet

172.20.52.32       255.255.255.224     snmp

 

Denied IP Address   Last Accessed Time   Type    Telnet Count   SNMP Count



-----------------            ------------------              ------     ------------        ----------

172.100.101.104     01/20/97,07:45:20        SNMP   14                 1430

172.187.206.222     01/21/97,14:23:05        Telnet    7                   236

 

Console> (enable) show snmp



RMON:                       Disabled

Extended Rmon:        Extended RMON module is not present

Traps Enabled:

ippermit


Port Traps Enabled: None

 

Community-Access     Community-String



----------------                 --------------------

read-only                      public

read-write                     private

read-write-all                secret

 

Trap-Rec-Address                           Trap-Rec-Community



----------------------------------------   --------------------

Console> (enable)

 

-            Tắt IP Permit List



 

Task

Command

Step 1 Tắt IP permit list trên switch

set ip permit disable [all | snmp | telnet]

Step 2 Xác nhận cấu hình

show ip permit

 

Ví dụ:


 

Console> (enable) set ip permit disable

IP permit list disabled.

Console> (enable)

 

-            Xóa IP Permit List Entry



 

Task

Command

Step 1 Tắt IP permit list.

set ip permit disable [all | snmp | telnet]

Step 2 Xác định IP address muốn xóa khỏi IP permit list.

clear ip permit {ip_address [mask] | all} [all | snmp | telnet]

Step 3 Xác nhận cấu hình.

show ip permit



tải về 0.8 Mb.

Chia sẻ với bạn bè của bạn:
1   2   3   4   5   6   7   8




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý

    Quê hương