389
Laboratoriya ishi №8
Mavzu: Cisco Packet Tracer dasturida port xavfsizligini ta’minlash
Ishdan maqsad: Kommutatsiya jadvallari to`ldirilishiga yo`naltirilgan
hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatorning “port-
security” funksiyasini sozlash bo`yicha amaliy ko`nikmalarga ega bo’lish.
Nazariy qism.
Port-security funksiyasi kommutatorning biror
bir porti orqali tarmoqqa
faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon beradi.
Ushbu portga
kirishga ruxsat berilgan qurilmalar MAC-manzillar bo`yicha aniqlanadi. MAC-
manzillar dinamik yoki tarmoq administrator tomonidan qo`lda sozlanishi mumkin.
Bundan tashqari Port-security funksiyasi portga
ulanuvchi tugunlar sonini
cheklashga
imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish
orqali
amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali to`ldirilishiga
yo`naltirilgan hujumlardan kommutatorni himoyalash hisoblanadi (8.1-rasm.).
8.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi.
MAC-manzillarga cheklov kiritishning ikkita usuli mavjud:
1. Statik – administrator qaysi manzillar kirishini ko`rsatadi (8.3-rasm);
2. Dinamik – administrator nechta manzil kirishini ko`rsatadi va kommutator qaysi
manzillar shu vaqtda ko`rsatilgan port orqali murojat qilayotganini eslab qoladi
(8.3-rasm).
390
Windows OS da Ethernet adapterining MAC-manzilini ipconfig /all buyrug`i
yordamida aniqlanadi. Quyidagi 8.2-rasmga kompyuterning MAC-manzili 00-18- DE-
C7-F3-FB ko`rinishda keltirilgan.
8.2-rasm. Kompyuter qurilmasining MAC-manzilini ko`rish
Kommutator qurilmasining MAC-manzillar jadvalini ko`rish uchun show mac-
address-table buyrug`i orqali aniqlanadi (8.3-rasm).
8.3-rasm. Kommutator qurilmasining MAC-manzilini ko`rish
Kommutatorni himoya qilishning oddiy usullaridan biri bu –
ishlatilmayotgan
portlarni o`chirib qo`yish hisoblanadi.
Ishlatilmayotgan portlarni o`chirish
Ishlatilmayotgan portlarni o`chirish – bu ko`pchilik
administratorlar
foydalanadigan, tarmoqni ruxsatsiz kirishdan himoya qilishda oddiy usullardan biri.
Masalan, agar Catalyst 2960 kommutatori 24 portga ega va unda 3
ta FastEthernet
portlari ishlatilayotgan bo`lsa, qolgan 21 ta ishlatilmayotgan portlarni o`chirib qo`yish
tavsiya etiladi. Buni amalga oshirish uchun har bir ishlatilmayotgan
portga alohida
kiritiladi va o`chirib qo`yish buyrug`i beriladi: Cisco IOSda
shutdown.
Sw1(config)#interface range fastEthernet 0/5-24
Sw1(config-if-range)#shutdown