18. Miscellaneous

  2. Home
  4. Docs
  6. 18. Miscellaneous
  8. Port security

Port security

डिफ़ॉल्ट रूप से, cisco स्विच पर सभी इंटरफेस चालू होते हैं। इसका मतलब है कि एक हमलावर दीवार सॉकेट के माध्यम से आपके नेटवर्क से जुड़ सकता है और संभावित रूप से आपके नेटवर्क को धमकी दे सकता है। यदि आप जानते हैं कि कौन से उपकरण किस पोर्ट से जुड़े होंगे, तो आप पोर्ट सुरक्षा नामक cisco सुरक्षा सुविधा का उपयोग कर सकते हैं । पोर्ट सुरक्षा का उपयोग करके, एक नेटवर्क व्यवस्थापक इंटरफ़ेस के साथ विशिष्ट मैक पते को जोड़ सकता है, जो एक हमलावर को अपने डिवाइस को कनेक्ट करने से रोक सकता है। इस तरह आप एक इंटरफ़ेस तक पहुंच को प्रतिबंधित कर सकते हैं ताकि केवल अधिकृत डिवाइस ही इसका उपयोग कर सकें। यदि एक अज्ञात उपकरण जुड़ा हुआ है, तो आप तय कर सकते हैं कि स्विच क्या कार्रवाई करेगा, उदाहरण के लिए ट्रैफ़िक को छोड़ना और पोर्ट को बंद करना।

पोर्ट सुरक्षा को कॉन्फ़िगर करने के लिए, तीन चरणों की आवश्यकता होती है:

  1. switchport mode access इंटरफ़ेस सबकोमैंड का उपयोग करके इंटरफ़ेस को एक्सेस इंटरफ़ेस के रूप में परिभाषित करें। 
  2. switchport port-security इंटरफ़ेस सबकुंड का उपयोग करके पोर्ट सुरक्षा को सक्षम करें।
  3. परिभाषित करें कि किस मैक पते को स्विचपोर्ट पोर्ट का उपयोग करके इस इंटरफ़ेस के माध्यम से फ़्रेम भेजने की अनुमति है। switchport port-security mac-address MAC_ADDRESS इंटरफ़ेस सबकोमैंड या swichport port-security mac-address sticky इंटरफ़ेस सबकोएंड का उपयोग करके गतिशील रूप से वर्तमान में जुड़े होस्ट के मैक पते को जानने के लिए।

दो चरण वैकल्पिक हैं:

  1. परिभाषित करें कि port security violation {protect | restrict | shutdown} इंटरफ़ेस सबकमांड का उपयोग करके एक अज्ञात डिवाइस से एक फ्रेम प्राप्त करते समय स्विच क्या कार्रवाई करेगा । सभी तीन विकल्प अनधिकृत डिवाइस से यातायात को रोकते हैं। प्रतिबंध और शटडाउन विकल्प एक उल्लंघन होने पर लॉग गड़बड़ भेजते हैं। पोर्ट के नीचे शट डाउन मोड भी बंद हो जाता है।
  2. switchport port-security maximum NUMBER इंटरफ़ेस सबमॉड कमांड का उपयोग करके पोर्ट पर उपयोग किए जा सकने वाले मैक पते की अधिकतम संख्या को परिभाषित करें

निम्न उदाहरण एक cisco स्विच पर पोर्ट सुरक्षा के कॉन्फ़िगरेशन को दर्शाता है:

सबसे पहले, हमें पोर्ट सुरक्षा को सक्षम करने और परिभाषित करने की आवश्यकता है कि किस मैक पते को फ़्रेम भेजने की अनुमति है:

अगला, show port-security interface fa0/1  का उपयोग करके हम देख सकते हैं कि स्विच ने होस्ट ए का मैक पता सीखा है:

डिफ़ॉल्ट रूप से, अनुमत मैक पते की अधिकतम संख्या एक है, इसलिए यदि हम किसी अन्य होस्ट को उसी पोर्ट से कनेक्ट करते हैं, तो सुरक्षा उल्लंघन होगा:

गलत-अक्षम की स्थिति कोड का मतलब है कि पोर्ट पर सुरक्षा उल्लंघन हुआ।

नोट

पोर्ट को सक्षम करने के लिए, हमें shutdownऔर no  shutdown इंटरफ़ेस उपकमांड का उपयोग करने की आवश्यकता है ।

 

Was this article helpful to you? Yes 1 No