25
Kommutator qurilmasining MAC-manzillar jadvalini ko`rish
uchun
show mac-address-table buyrug`i qoʻllaniladi (2.3-rasm).
2.3-rasm. Kommutator qurilmasining MAC-manzilini ko`rish
Kommutatorni himoya qilishning oddiy usullaridan biri bu –
ishlatilmayotgan portlarni o`chirib qo`yish hisoblanadi.
Ishlatilmayotgan portlarni o`chirish. Ishlatilmayotgan portlarni
o`chirish – bu ko`pchilik administratorlar foydalanadigan, tarmoqni
ruxsatsiz kirishdan himoya qilishda oddiy usullardan biri. Masalan,
agar Catalyst 2960 kommutatori 24 ta portga ega va unda 3 ta
FastEthernet
portlari
ishlatilayotgan
bo`lsa,
qolgan
21
ta
ishlatilmayotgan portlarni o`chirib qo`yish tavsiya etiladi. Buni
amalga oshirish uchun har bir ishlatilmayotgan
portga alohida
kiritiladi va o`chirib qo`yish buyrug`i beriladi: Cisco IOSda
shutdown
Sw1(config)#interface range fastEthernet 0/5-24
Sw1(config-if-range)#shutdown
Agar keyinchalik portlarni yana ishga tushurish kerak bo`lsa,
no shutdown buyrug`idan foydalaniladi:
Sw1(config)#interface range fastEthernet 0/5-24
Sw1(config-if-range)#no shutdown
Cisco kommutatorlarida Port-security
Port-securityni sozlash. Port-security
interfeysni sozlash
kommutatorning port rejimlar orqali amalga oshiriladi. Ko`pchilik
Cisco kommutatorlarida portlar odatda
dynamic auto rejimida turadi,
ushbu rejim port-security funksiyasiga to`g`ri kelmaydi.
Shuning
uchun interfeysni
trunk yoki
access rejimiga o`tkazish kerak:
26
switch(config-if)# switchport mode
Interfeysda port securityni ishga tushurish:
switch(config-if)# switchport port-security
Xavfsiz MAC-manzillarni sozlash. Manzillarni dinamik saqlash
(
sticky) buyrug`i orqali ishga tushurish:
switch(config-if)# switchport port-security mac-address sticky
Agar manzillarni statik tarzda kiritish kerak bo`lsa
sticky
buyrug`i o`rniga manzillar yoziladi:
switch (config) # interface ethernet 0/1
switch (config-if) # switchport port-security mac-адрес 0050.3e8d.6400
Xavfsiz MAC-manzillarning maksimal soni. switchport port-
security maximum
N – bu bir vaqtda
N sonli MAC-manzillar
interfeysda ishlashini anglatadi.
Masalan:
switch(config)# interface Fastethernet0/3
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security maximum 3
switch(config-if)# switchport port-security
Xavfsizlik buzilishiga javob berish (реагирование) rejimini
sozlash
Xavfsizlik buzilishiga javob berishning uchta usuli mavjud:
switch(config-if)# switchport port-security violation
shutdown>
switchport port-security violation restrict – buzilishga javob
berish rjimini ko`rsatish. Bunda, agar interfeysda
uchinchi notanish
MAC-manzil paydo bo`lsa, undan keluvchi barcha paketlar qabul
27
qilinmaydi. Undan tashqari syslog, SNMP trap, violetion counter
ka`bi jurnallashtiruvchilarga xabar jo`natiladi.
switchport port-security violation shutdown -
buzilish
aniqlanganda interfeysni error-disabled holatiga o`tkazadi va
o`chiradi. Undan tashqari syslog, SNMP trap, violetion counter ka`bi
jurnallashtiruvchilarga xabar jo`natiladi. Ushbu holatdan chiqarish
uchun
shutdown va
no shutdown buyruqlaridan foydalaniladi.
Agar interfeysga
switchport port-security violation protect
buyrug`i kiritilgan bo`lsa, unda notanish MAC-manzil paketlari qabul
qilinmaydi va xech qanday xabar yaratilmaydi, hamda port shutdown
holatiga o`tmaydi.
Ushbu usullardan switchport port-security violation restrict
ko`pchilik hollarda tavsiya etiladi.
MAC-manzillar jadvalini tozalash.Boshqa qurilmalar ulanishi
uchun MAC-manzillar jadvalini tozalash:
switch# clear port-security [all|configured|dynamic|sticky] [address
|interface
]:
switch #clear port-security all
switch #clear port-security configured
switch #clear port-security dynamic
switch #clear port-security sticky
Port-security sozlanishlari haqidagi ma’lumotlarni ko`rish
switch# show port-security
switch# show port-security interface fa0/3
switch# show port-security address