သီတင္းကၽြတ္ကာလမွာ အားလံုးေပ်ာ္ၾကပါးၾကနဲ႕
သူငယ္ခ်င္းအေပါင္းအသင္းမိတ္ေဆြေတြနဲ႕ ေပ်ာ္ေပ်ာ္ရႊင္ရႊင္ျဖတ္သန္းခဲ့ၿပီးၾကၿပီ။ ဒီေတာ့
cisco ရဲ႕ port security အေၾကာင္းေလးကိုလည္း ေပ့ါေပ့ါပါးပါးေလး ေလ့လာၾကည့္ရေအာင္ဗ်ာ။
port security ဆိုတာကေတာ့ management switch ေတြမွာ သံုးတဲ့ security feature တစ္မ်ိဳးပါပဲ။
ေျပာရရင္ေတာ့ cisco မွမဟုတ္ဘူး management switch အေတာ္မ်ားမ်ားမွာ support လုပ္ေပးထားတယ္။
သူကဘာလုပ္ေပးတာလဲေပ့ါ။ ကၽြန္ေတာ့္ကြန္ပ်ဴတာကို cisco switch ရဲ႕ port no fa0/1 မွာတပ္ထားတယ္၊
ၿပီးေတာ့ ကၽြန္ေတာ့္ကြန္ပ်ဴတာနဲ႕ ခ်ိတ္ဆက္ၿပီး port security ကို on ထားလိုက္တယ္ေပါ့။
ဒီေတာ့ ကၽြန္ေတာ္မရွိတုန္း တစ္ေယာက္ေယာက္က ကၽြန္ေတာ့္ေနရာမွာလာထိုင္၊ ၿပီးေတာ့ သူ႕အိမ္ကပါလာတဲ့
laptop ေလးကိုထုတ္၊ IP ေလးထည့္ၿပီး ကၽြန္ေတာ့္ network cable ကိုဆြဲျဖဳတ္ၿပီး သူ႕ကြန္ပ်ဴတာမွာတပ္လိုက္တယ္ေပါ့။
သာမန္အေျခအေနတစ္ခုမွာ ဆိုရင္ေတာ့ သူ႕အေနနဲ႕ network access ရသြားမွာေပါ့။ ဒီေတာ့ဘာျဖစ္မလဲ
ကၽြန္ေတာ္တို႕ network နဲ႕ မသက္ဆိုင္တဲ့ PC တစ္လံုးက network ထဲမွာရွိတဲ့
resources ေတြကိုယူလို႕ရသြားတာေပါ့။ ဒါဆိုရင္ security က်ိဳးၿပီေလ။ ဒီလိုမ်ိဳးမျဖစ္ေအာင္
အခုကၽြန္ေတာ္က port security ကို on လိုက္တယ္၊ ၿပီးေတာ့ ကၽြန္ေတာ့္ကြန္ပ်ဴတာမဟုတ္တဲ့
အျခားကြန္ပ်ဴတာတစ္ခုလာသံုးခဲ့ရင္ သံုးလို႕မရေအာင္လုပ္ထားႏိုင္တယ္။ ဒါဟာ port
security ပါပဲ။ အရွင္းဆံုးေျပာရရင္ေတာ့ layer 2 security လုပ္ထားလိုက္တာေပါ့။ ဒီေတာ့
port security ကို configure မလုပ္ခင္ေလးမွာ step by step လုပ္ရမွာေတြ သိထားရမွာေလးေတြကိုအရင္ေျပာျပပါ့မယ္။
သိထားရမွာက port security ကို configure လုပ္မယ့္
port သည္ Trunk နဲ႕ Etherchannel port ေတြမျဖစ္ရပါဘူး။ ဒါကလည္း လြယ္ပါတယ္။ Trunk တို႕
etherchannel တို႕ဆိုတာက uplink ေတြပဲမဟုတ္လား၊ ဒီေတာ့ သူ႕ဆီကေနၿပီး mac-address ေပါင္းမ်ားစြာ
learn လုပ္ရမွာပဲ။ ဒါမွ ဟိုဘက္ ဒီဘက္ host ေတြကို link ခ်ိတ္ေပးႏိုင္မွာေပါ့။ ဒါကိုမွ
port security on ထားလိုက္မိတယ္ဆိုရင္ ဘယ္အလုပ္လုပ္ပါေတာ့မလဲေနာ္။ port security ကို
configure လုပ္တဲ့အခါ ေအာက္ပါအတိုင္း step by step လုပ္ေပးပါ။
ေအာက္က
network topology ကိုလုပ္ၾကည့္မယ္။
အဲဒီမွာ
trusted user နဲ႕ untrusted user ဆိုၿပီး computer ႏွစ္လံုးရွိမယ္။ ၿပီးေတာ့ ပံုထဲကအတိုင္း
IP ေတြ ေပးလိုက္မယ္။ အဲဒီမွာ ကၽြန္ေတာ္ vlan 1 ကို IP ေပးထားတာကိုေတြ႕မွာပါ။ ဘာေၾကာင့္လို႕ေပးထားလဲဆိုေတာ့
port security က layer 2 ethernet frame ပို႕မွအလုပ္လုပ္တာဗ်။ ဆိုလိုတာကဗ်ာ switch
ရဲ႕ CAM table မွာ ပထမဆံုးဆိုရင္ ဘာမွမရွိေသးဘူးေလ။ ဒီေတာ့ သူ႕ဆီကေနျဖတ္သြားတဲ့
arp request ေတြကိုၾကည့္ၿပီး CAM TABLE ကိုတည္ေဆာက္တာမဟုတ္လား။
ဘယ္ port ကေန ဘယ္ mac-address လာသလဲဆိုတာၾကည့္ၿပီး port no နဲ႕ MAC ကိုတြဲေပးတယ္ေလ။
ဒါကို arp တုန္းက ကၽြန္ေတာ္ေျပာခဲ့ပါတယ္။ မသိေသးရင္ ဒီမွာ ၾကည့္လိုက္ေနာ္။ ဒီေတာ့ ကၽြန္ေတာ္တို႕က
port security ကို on ၿပီးေပးမယ့္လည္း layer 2 frame မပို႕ေသသေရြ႕ေတာ့ သူက
mac-address မသိေသးဘူး။ ဒီေတာ့ port security ကအလုပ္မလုပ္ေသးဘူးေပါ့။ စၿပီးေတာ့
ping လုိက္မွပဲ source mac-address ကိုၾကည့္ၿပီးအလုပ္လုပ္တာကိုးဗ်။ ဒီေတာ့ ping လို႕ရေအာင္
vlan 1 ကို IP ေပးထားလိုက္တာပါ။ အိုေခေနာ္။ ဒီေတာ့ ကၽြန္ေတာ္က trusted user ရဲ႕ pc
ကိုပဲ port no fa0/1 မွာခ်ိတ္ဆက္ေစခ်င္တယ္ေပါ့။
အကယ္လို႕မ်ား untrusted user pc ကလာခ်ိတ္လိုက္တာနဲ႕ port ကို shutdown က်သြားေစခ်င္တယ္။
ဒီေတာ့ စလိုက္ရေအာင္။ switch ထဲကို၀င္ၿပီး configure လုပ္မယ္။
Port
security on မယ့္ port ထဲကို၀င္လိုက္တယ္၊ ၿပီးေတာ့ ေအာက္ကအတုိင္း configuration ေတြကိုရိုက္ထည့္မယ္။
အဲဒီမွာေတြ႕လား၊
ပထမဦးဆံုး access mode ကိုေျပာင္းတယ္။ ၿပီးေတာ့ port security ကို on လိုက္တယ္။ ေနာက္ၿပီး
mac-address ဘယ္ႏွစ္ခုကိုအမ်ားဆံုး လက္ခံမွာလဲေပါ့။ ကၽြန္ေတာ့္စက္တစ္လံုးတည္းဆိုေတာ့
1 လို႕ထားလိုက္တယ္။ ၿပီးေတာ့ mac-address sticky ဆိုတာကေတာ့ ကၽြန္ေတာ့္စက္ရဲ႕
mac-address ကို manual ရိုက္ထည့္ေပးမေနေတာ့ဘူး၊ သူ႕ဘာသာ သူ learn လုပ္ၿပီး မွတ္ထားခိုင္းလိုက္တာ။
ေနာက္ဆံုးတစ္ေၾကာင္းကေတာ့ အျခား mac-address နဲ႕လာခဲ့ရင္ port ကို shutdown လုပ္ျပစ္လိုက္ပါလို႕ေျပာလိုက္တာ။
ဒီေတာ့ ကၽြန္ေတာ္ အခုခ်ိန္မွာ show running-config နဲ႕ switch ရဲ႕ configuration ကိုၾကည့္လိုက္ေတာ့
ဒီလိုေတြ႕ရမယ္။
အဲဒီမွာေတြ႕လား
swtich က အခုထိ ကၽြန္ေတာ့္ရဲ႕ mac-address ကိုမသိေသးေတာ့ mac-address sticky လို႕ပဲျပေနေသးတယ္။
ဒီလိုအခ်ိန္မွာ trusted user pc ကေန vlan 1 ရဲ႕ IP 192.168.1.1 ကို လွမ္း ping ၾကည့္လိုက္တယ္။
reply ျပန္တာကိုေတြ႕ရမွာပါ။
ဒီေတာ့
running-config ကိုျပန္ၾကည့္ရင္ ကၽြန္ေတာ့္ pc ရဲ႕ mac-address ကို learn လုပ္ထားတာကိုေတြ႕ရမွာပါ။
ဒါဆိုရင္ port security က ကၽြန္ေတာ့္
mac-address ကုိသိသြားၿပီ။ ေနာက္တစ္ခါ port no fa0/1 ကလာတဲ့ layer 2 frame မွန္သမွ်
source mac-address 00D0.BA44.76CC မဟုတ္ရင္ port က shutdown ပဲ။ မိုက္တယ္ေနာ္။ ဒီေတာ့
စမ္းၾကည့္ပါ။ untrusted user pc ကို port no fa0/1 မွာထိုးၿပီး 192.168.1.1 ကို
ping ၾကည့္လိုက္။ ဒီလို အနီေရာင္ျပၿပီး port ကို shutdown လုပ္ထားလိုက္တာကိုေတြ႕ရမွာပါ။ မိုက္တယ္ေနာ္။
ေအာ္။ ေမ့ေတာ့မလို႕ port security ကို
configure လုပ္ၿပီးၿပီ mac-address ကိုလည္း learn လုပ္ထားၿပီးၿပီဆိုရင္ copy
running-config startup-config ကိုသံုးၿပီး အရင္ save ထားေနာ္။ မဟုတ္ရင္ switch ကို
power ပိတ္ၿပီး ျပန္ဖြင့္တာနဲ႕ untrusted user ကသံုးလို႕ရသြားမွာ။
No comments:
Post a Comment