ما هو الـ Port Security ؟

هي خاصيه نقوم بإعدادها على كل “Interface” تهدف لتحديد أجهزة الكمبيوتر التى يُسمح لها بالاتصال من خلال هذا الـ Interface، وتتم العملية عن طريق ربط الـ Interface بالـ Mac Address الخاص بكل جهاز كمبيوتر لديه الصلاحية للدخول إلى الشبكة، وبهذه الطريقة نكون قد منعنا الأجهزة الدخيلة من محاولة الاتصال بالشبكة من خلال شبك الكمبيوتر بأحد مخارج السويتش، كما يمكننا ردع هجوم مايعرف بـ “mac flood” من خلال تحديد عدد الأجهزة المتصلة بالـ Interface.

 

في حال لو كان عندنا جهاز “HUB”مثلاً، ماذا سوف يحدث في حال محاولة أحد الأشخاص الولوج إلى الشبكة ؟

للـ Port Security ثلاث وضعيات يمكن أن يتخذها في حال تم شبك MAC Address لجهاز كمبيوتر غير مصرح به للدخول إلى الشبكة والحالات هي كالتالي :

◊ أول حاله هي shutdown :

في هذه الحالة سوف يقوم السويتش بإغلاق المنفذ بشكل مباشر وهذه الوضعية تعد الـ Default للـ Port Security.

◊ ثاني حالة هي protect :

في هذه الحالة يقوم السوتش بعمل Drop لكل الترافيك القادم من الـ MAC Address الغير مصرح به مع إبقاء المنفذ مفتوح للأجهزة المصرحة بها.

◊ ثالث حالة هي restrict :

نفس الحالة السابقة، لكن هنا يقوم السويتش بإحصاء كل الباكيت التى قام بعمل drop لها.
طريقة إعداده في غاية السهولة، وتتم عن طريق أمرين فقط وهما :

Cisco’s IOSHide
Switch# conf t
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

كما نرى تقوم أولاً بتحديد البورت وبعدها نختار mode access لكي نخبر السويتش أن هذا البورت متصل مع end device أو جهاز كمبيوتر.
عندما نقوم بتقعيل الـ Port Security فالحالة الطبيعية التى يتخذها السويتش هي إغلاق السويتش، بالإضافة للسماح لـ Mac Address واحد كأقصى حد، وبكلام آخر أول Mac Address سوف يتصل على البورت سوف يكون هو الوحيد القادر على الاتصال بالسويتش وهو يفيدنا في موضوع ردع هجوم الـ “Mac Flooding”

في حالة لو أردنا أن نسمح لأكثر من MAC Address الاتصال بالسويتش نكتب الأمر التالي :

Cisco’s IOSHide
Switch(config-if)# switchport port-security maximum 3

وقد سمحت هنا لـ 3 أجهزة بالدخول إلى السويتش من خلال هذا البورت، وفي حال أردت أن تقوم بتحديد MAC Address معين هو الوحيد الذي يستطيع الدخول إلى السويتش أقوم بكتابة الأمر التالي :

Cisco’s IOSHide
Switch(config-if)# switchport port-security mac-address 00-11-22-33-44-55-66

ولو وجدت أن هذا الموضوع مرهِق وطويل جداً تستطيع أن تضع مكان كل MAC Address كلمة Sticky وهي تخبر السويتش بتسجيل الـ MAC Address المتصل حالياً على البورت كـ Static Mac Address، وصيغة الأمر تكون :

Cisco’s IOSHide
Switch(config-if)# switchport port-security mac-address mac-address sticky

وأخيراً لتغيير ردة الفعل التى سوف يأخذها السويتش في حال تم حدوث أي تجاوز نكتب الأمر التالي :

Cisco’s IOSHide
Switch(config-if)# switchport port-security mac-address violation ?

ونختار أحد الخيارات الثلاث الموضحة في الجدول السابق shutdown ,protect , restrict، ولاستعراض حالة البورتات على السويتش نقوم بكتابة الأمر التالي :

Cisco’s IOSHide
Switch#show port-security address

الأمر التالي لأستعراض كل التفاصيل حول Interface معين :

Cisco’s IOSHide
Switch#show port-security interface fastethernet 0/1