در شبکه های سیسکو، سوئیچ ها از آدرس های MAC برای شناسایی دستگاه های متصل به خود استفاده می کنند. این آدرس ها به صورت منحصر به فرد هستند و به سوئیچ کمک می کنند تا ترافیک را بین دستگاه ها هدایت کند.
چندین تنظیمات شبکه سوئیچ وجود دارد که MAC آدرس را در شبکه های سیسکو تحت تأثیر قرار می دهد. این تنظیمات عبارتند از:
Port Security:
این تنظیم به شما امکان می دهد تعداد MAC آدرس هایی را که می توانند به یک پورت سوئیچ متصل شوند را محدود کنید. همچنین می توانید مشخص کنید که در صورت مشاهده MAC آدرس غیر مجاز، چه کاری باید انجام شود.
MAC Address Learning:
این تنظیم به سوئیچ اجازه می دهد تا MAC آدرس دستگاه های متصل به خود را یاد بگیرد. این اطلاعات برای هدایت ترافیک استفاده می شود.
MAC Address Aging:
این تنظیم به شما امکان می دهد مشخص کنید که سوئیچ پس از مدت مشخصی، MAC آدرس دستگاه های جدا شده را فراموش کند.
Port Security:
Port Security به شما امکان می دهد تعداد MAC آدرس هایی را که می توانند به یک پورت سوئیچ متصل شوند را محدود کنید. این تنظیم می تواند به جلوگیری از حملات شبکه مانند DoS کمک کند.
برای فعال کردن Port Security روی یک پورت سوئیچ، از دستور زیر استفاده کنید:
...
switchport port-security
...
برای تعیین تعداد MAC آدرس هایی که می توانند به یک پورت سوئیچ متصل شوند، از دستور زیر استفاده کنید:
...
switchport port-security maximum <تعداد>
...
برای مشخص کردن اینکه در صورت مشاهده MAC آدرس غیر مجاز، چه کاری باید انجام شود، از دستور زیر استفاده کنید:
...
switchport port-security violation {shutdown | restrict | protect}
...
گزینه shutdown پورت را در حالت غیرفعال قرار می دهد. گزینه restrict ترافیک از MAC آدرس غیر مجاز را مسدود می کند. گزینه protect ترافیک از MAC آدرس غیر مجاز را ردیابی می کند، اما پورت را در حالت فعال نگه می دارد.
به عنوان مثال، فرض کنید می خواهید پورت FastEthernet 0/1 را به گونه ای تنظیم کنید که فقط یک MAC آدرس مجاز به اتصال به آن باشد. همچنین می خواهید در صورت مشاهده MAC آدرس غیر مجاز، پورت را در حالت غیرفعال قرار دهید.
برای انجام این کار، از دستورات زیر استفاده کنید:
...
switchport port-security switchport port-security maximum 1 switchport port-security violation shutdown
...
MAC Address Learning:
MAC Address Learning به سوئیچ اجازه می دهد تا MAC آدرس دستگاه های متصل به خود را یاد بگیرد. این اطلاعات برای هدایت ترافیک استفاده می شود.
برای فعال کردن MAC Address Learning روی یک پورت سوئیچ، از دستور زیر استفاده کنید:
...
switchport mode access
...
برای غیرفعال کردن MAC Address Learning روی یک پورت سوئیچ، از دستور زیر استفاده کنید:
...
switchport mode trunk
...
MAC Address Aging:
MAC Address Aging به شما امکان می دهد مشخص کنید که سوئیچ پس از مدت مشخصی، MAC آدرس دستگاه های جدا شده را فراموش کند. این تنظیم به جلوگیری از انباشت MAC آدرس های قدیمی کمک می کند.
برای فعال کردن MAC Address Aging روی یک پورت سوئیچ، از دستور زیر استفاده کنید:
...
switchport port-security aging time <مدت>
...
به عنوان مثال، فرض کنید می خواهید سوئیچ پس از 30 روز، MAC آدرس دستگاه های جدا شده را فراموش کند.
برای انجام این کار، از دستور زیر استفاده کنید:
...
switchport port-security aging time 30
...
نتیجه:
تنظیمات شبکه سوئیچ که MAC آدرس را در شبکه های سیسکو تحت تأثیر قرار می دهد، می تواند به بهبود امنیت و عملکرد شبکه کمک کند. با درک نحوه عملکرد این تنظیمات، می توانید شبکه خود را به گونه ای پیکربندی کنید که نیازهای شما را برآورده کند.
Port Security را می توان برای محافظت از شبکه در برابر حملات شبکه مانند DoS استفاده کرد. با محدود کردن تعداد MAC آدرس هایی که می توانند به یک پورت سوئیچ متصل شوند، می توانید از اتصال دستگاه های غیر مجاز به شبکه جلوگیری کنید.
MAC Address Learning را می توان برای بهبود عملکرد شبکه استفاده کرد. با فعال کردن MAC Address Learning، سوئیچ می تواند ترافیک را مستقیماً به دستگاه مقصد ارسال کند، که باعث کاهش زمان تأخیر می شود.
MAC Address Aging را می توان برای جلوگیری از انباشت MAC آدرس های قدیمی استفاده کرد. با تعیین مدت زمان انقضای MAC آدرس، می توانید اطمینان حاصل کنید که سوئیچ MAC آدرس دستگاه های جدا شده را فراموش می کند.
در اینجا چند مثال دیگر از نحوه استفاده از این تنظیمات آورده شده است:
برای محافظت از یک سرور مهم در برابر حملات شبکه، می توانید Port Security را روی پورت سوئیچی که سرور به آن متصل است، فعال کنید.
برای بهبود عملکرد شبکه، می توانید MAC Address Learning را روی تمام پورت های سوئیچ خود فعال کنید.
برای جلوگیری از انباشت MAC آدرس های قدیمی، می توانید MAC Address Aging را روی تمام پورت های سوئیچ خود فعال کنید و مدت زمان انقضای MAC آدرس را به 30 روز تنظیم کنید.
با درک نحوه عملکرد این تنظیمات، می توانید شبکه خود را به گونه ای پیکربندی کنید که نیازهای شما را برآورده کند.
در اینجا چند نکته امنیتی اضافی در مورد تنظیمات شبکه سوئیچ که MAC آدرس را در شبکه های سیسکو تحت تأثیر قرار می دهد، آورده شده است:
هنگام استفاده از Port Security، باید گزینه shutdown را به عنوان تنظیم violation انتخاب کنید. این کار به شما کمک می کند تا در صورت مشاهده MAC آدرس غیر مجاز، از اتصال دستگاه های غیر مجاز به شبکه جلوگیری کنید.
هنگام استفاده از MAC Address Aging، باید مدت زمان انقضای MAC آدرس را به اندازه کافی کوتاه تنظیم کنید تا MAC آدرس دستگاه های جدا شده را به سرعت فراموش کند. این کار به شما کمک می کند تا از انباشت MAC آدرس های قدیمی جلوگیری کنید و خطر حملات شبکه را کاهش دهید.
در اینجا چند مثال دیگر از نحوه استفاده از این تنظیمات برای بهبود امنیت شبکه آورده شده است:
برای محافظت از یک شبکه کوچک در برابر حملات شبکه، می توانید Port Security را روی تمام پورت های سوئیچ خود فعال کنید و گزینه shutdown را به عنوان تنظیم violation انتخاب کنید.
برای محافظت از یک شبکه بزرگ در برابر حملات شبکه، می توانید Port Security را روی پورت های سوئیچی که دستگاه های مهم به آنها متصل هستند، فعال کنید.
برای جلوگیری از انباشت MAC آدرس های قدیمی در یک شبکه بزرگ، می توانید MAC Address Aging را روی تمام پورت های سوئیچ خود فعال کنید و مدت زمان انقضای MAC آدرس را به 30 روز تنظیم کنید.
با درک نحوه عملکرد این تنظیمات و نحوه استفاده از آنها برای بهبود امنیت شبکه، می توانید شبکه خود را در برابر حملات شبکه محافظت کنید.