سوال در خصوص Port Security

[th95]

سلام
دوستان فرق این دو دستور چیه ؟

switchport port-security mac-address sticky
switchport port-security mac-address sticky 0e:11:11:22:33:aa


در واقع این دستور دوم اصلا کی استفاده میشه و به درد میخوره ؟ آیا هدف اینه که مثلا امنیت رو بالا برده باشیم و از قبل بگیم که چه دستگاهی قراره به این پورت بخوره ؟ اگر اینطوره اصلا چرا از Sticky استفاده بشه ؟ کلا با این Sticky که اینجا اومده و هدفش یادگیری دینامیک آدرس دستگاه ها و اضافه کردنشون به جدول است (که پس از رایت توی st config میاد) مشکل دارم. به نظرم بی مزه میاد
گرچه خود سوییچ پس از یاد گیری آدرس اون طوری که دیدم میاد و همین دستور دوم رو با آدرس مربوطه تو Running Config مینویسه

---

موضوعات مشابه:

• فعال نشدن Port Security در سوئیچ 2960
• switchport port-security
• شرايطي خاص درباره port-security
• port security
• Port Security

---

[vadood]

switchport port-security

[th95]

من این لینک رو دیدم ! اونجا هم طرف به جواب نرسیده
آخرین جواب اینه که اینطوری Flexible تره (اینکه اتوماتیک بگیره) ولی خودت هم میتونی دستی بدی
سوال اینه که اگه بخوایم دستی بدیم میزنیم sw po mac-address H.H.H دیگه چه نیازی به sticky هستش
شما توضیح بدید ممنون میشم
مختصر و مفید ! اوردن آدرس بعد از sticky برای چیه ؟ اگر قراره خودش بگیره که کارکردش هم معمولا همینه که آدرس نمیخواد ! اگر هم میخوایم آدرس bind کنیم که به sticky نیازی نیست

[Sinozit]

با سلام

در حالت Dynamic وقتی پورت shutdown بشه یا سویچ رستارت بشه هر چی mac آدرس که سیو شده بود پاک میشه . اما در حالت static اینطور نیست . خوب شما یک شبکه دارید که ممکن هستش سالی 1 بار هم سیستم های داخل اون رو تعویض نکنید و یک شبکه ممکن هستش داشته باشید که هر روز ممکن باشه سیستم ها تعویض بشن و پایداری بالایی نداشته باشه مشخص هستش که در حالت دوم static جواب گو نیست و سخت میکنه کار شما رو .

در روش دوم Dynamic مشکل امنیت فیزیکی هم موجود هستش . اما در روش استاتیک کاملاً تعریف شدست .

اگر باز هم نتونستم جوابی رو که می خواهید بدهم عذر خواهی میکنم . سواد بنده بیشتر از این جوابگو نیست .

با تشکر

[SADEGH65]

سلام
دوستان فرق این دو دستور چیه ؟

switchport port-security mac-address sticky
switchport port-security mac-address sticky 0e:11:11:22:33:aa


در واقع این دستور دوم اصلا کی استفاده میشه و به درد میخوره ؟ آیا هدف اینه که مثلا امنیت رو بالا برده باشیم و از قبل بگیم که چه دستگاهی قراره به این پورت بخوره ؟ اگر اینطوره اصلا چرا از Sticky استفاده بشه ؟ کلا با این Sticky که اینجا اومده و هدفش یادگیری دینامیک آدرس دستگاه ها و اضافه کردنشون به جدول است (که پس از رایت توی st config میاد) مشکل دارم. به نظرم بی مزه میاد
گرچه خود سوییچ پس از یاد گیری آدرس اون طوری که دیدم میاد و همین دستور دوم رو با آدرس مربوطه تو Running Config مینویسه

محمد جان هیچ تفاوت خواصی با هم ندارند در اجرا و عملکرد کاری ( حداقل با تست و سطح اطلاعات من )
فقط اولی را به عنوان Static secure MAC و دومی را Sticky static MAC عنوان میدارند
در سایت زیر دوستمون پرسیدند و از یک CCIE دار جواب زیر را گرفته اند:

Re: switchport port-security mac-address mac-address VS. switchport port-security mac-addres sticky H.H.H

The behavior has changed a little bit. So here's what the switch has now:



NDC-SW1(config-if)#do sh run int f0/10

Building configuration...



Current configuration : 84 bytes

!

interface FastEthernet0/10

switchport mode access

switchport port-security

end



NDC-SW1(config-if)#switchport port-security mac-address 0010.1111.2222

NDC-SW1(config-if)#

NDC-SW1(config-if)#do sh run int f0/10

Building configuration...



Current configuration : 149 bytes

!

interface FastEthernet0/10

switchport mode access

switchport port-security

switchport port-security mac-address 0010.1111.2222 vlan access

end



NDC-SW1(config-if)#do wr

Building configuration...

[OK]



NDC-SW1(config-if)#do sh start | b 0/10

interface FastEthernet0/10

switchport mode access

switchport port-security

switchport port-security mac-address 0010.1111.2222 vlan access

!

(truncated)





NDC-SW1(config-if)#switch port ?

aging Port-security aging commands

mac-address Secure mac address

maximum Max secure addresses

violation Security violation mode

<cr>



NDC-SW1(config-if)#switch port mac ?

H.H.H 48 bit mac address

sticky Configure dynamic secure addresses as sticky



NDC-SW1(config-if)#switch port mac st ?

<cr>



NDC-SW1(config-if)#switch port mac 0010.1111.3333 ?

vlan set VLAN ID of the VLAN on which this address can be learned

<cr>



NDC-SW1(config-if)#



Notice that the "switchport port-security mac-address" command DOES commit it to startup, meaning it will survive a reboot.
At the same time, notice that the "sticky" part does not allow you to specify a MAC address.
So "sticky" is just for keeping DYNAMIC entries in the saved config to survive reboot. The mac-address one will do that for STATIC entries.
In older IOS versions, the "static" one would only populate the port-security table and would not be saved to the config whereas the 'sticky' could apple to dynamic or to static entries individually.

HTH,

Scott

https://learningnetwork.cisco.com/message/135091#135091
تفاوتی در کارایی وجو ندارد مادامی که بحث ریبوت سوییچ پیش بیاید.

[th95]

صادق جان اون بنده خدا CCIE دار هم جواب ما رو نداده
اومده Sticky رو توضیح داده و تو متنش ببینی جالبه اصلا گفته نمیشه بعدش آدرس وارد کرد
ببین

notice that the "sticky" part does not allow you to specify a MAC address.

پس اون که هیچ @

بعدش هم که یک نفر اومده و کلا گفته Port Security و Sticky چی هست
من به جفتشون هم جواب دادم که بابا منظور ما اینها نیست
حالا منتظرم ببینم ادامه بحث چی میشه

در مورد ریبوت هم منظورت چیه ؟ اگر قراره این دستور رو بزنیم بعد طرف دستگاهش رو بزنه یا اینکه این رو بزنیم و سوییچ قبل از وصل شدن طرف ریست بشه بهرحال در هر دو حالت باید کانفیگ رو رایت کرد ! این که قبوله ؟
حالا اگر قراره پورت رو Bind کنیم فقط به این آدرس که خوب استاتیک تعریف میکنیم دیگه به Sticky نیازی نداریم
یکی از دوستان تو فوروم دیگه ای جوابی دادند که به نظرم فعلا از همه بهتره
اجازه بدید نظر بقیه رو هم بشنویم بعد من اون رو هم مطرح میکنم
بالاخره یه فرقی باید بین Static secure MAC و Sticky static MAC باشه ( و البته متفاوت باشند با کاربر SecureConfigured MAC یا همون استاتیک تعریف کردن)

[th95]

ببینید اسکات هم به این نتیچه رسید که ظاهرا فرقی ندارند البته ظاهرا ایشون رو 3560 تست کرده بودند
بحثش این بود که بدون استیکی تو کانفیگ سیو نمیشه اما فکر کنم اشتباه میکرد
من یه کانفیگ واسش گذاشتم و قبول کرد

https://learningnetwork.cisco.com/message/135318#135318

[mavrick]

جسارت در حضور بزرگان نباشه اما فکر کنم تفاوتش رو پیدا کرده باشم

توی کتاب CCNA یه مثالی زده و بعد اخرش یه اشاره ای کرده که فکر میکنم درست باشه

صفحه های 253 تا 256
ICND 1

fred#show running-config
(Lines omitted for brevity)
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address 0200.1111.1111
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
fred#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0013.197b.5004:1
Security Violation Count : 1
fred#show port-security interface fastEthernet 0/2

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0200.2222.2222:1
Security Violation Count : 0
fred#show running-config
(Lines omitted for brevity)
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0200.2222.2222


For FastEthernet 0/1, Server 1’s MAC address is configured with the switchport portsecurity
mac-address 0200.1111.1111 command. For port security to work, the 2960 must
think that the interface is an access interface, so the switchport mode access command is
required. Furthermore, the switchport port-security command is required to enable port
security on the interface. Together, these three interface subcommands enable port security,
and only MAC address 0200.1111.1111 is allowed to use the interface. This interface uses
defaults for the other settings, allowing only one MAC address on the interface, and causing
the switch to disable the interface if the switch receives a frame whose source MAC address
is not 0200.1111.111.
Interface FastEthernet 0/2 uses a feature called sticky secure MAC addresses. The
configuration still includes the switchport mode access and switchport port-security
commands for the same reasons as on FastEthernet 0/1. However, the switchport portsecurity
mac-address sticky command tells the switch to learn the MAC address from the
first frame sent to the switch and then add the MAC address as a secure MAC to the running
configuration. In other words, the first MAC address heard “sticks” to the configuration,
so the engineer does not have to know the MAC address of the device connected to the
interface ahead of time.
The show running-config output at the beginning of Example 9-10 shows the
configuration for Fa0/2, before any sticky learning occurred. The end of the example
shows the configuration after an address was sticky-learned, including the switchport

port-security mac-address sticky 0200.2222.2222 interface subcommand, which the
switch added to the configuration. If you wanted to save the configuration so that only
0200.2222.2222 is used on that interface from now on, you would simply need to use the
copy running-config startup-config command to save the configuration.

[Sinozit]

با سلام

والا هم من و هم خودتون به این نتایج رسیده بودیم از اول . یک کتابی بود بنام what hackers know about your switch , اونجا میگفت که یک هکر با تغیر اینترفیس به صورت فیزیکی میتونه در یک vlan دیگه دسترسی بگیره . اما اگه استاتیک باشه باید حتماً مدیر شبکه به صورت استاتیک اضافه کنه اون mac آدرس رو . من هم قبلاً تست کردم به همین صورت بود . به این دلیل گفتم بیشتر بحث امنیت فیزیکی در این دستور مطرح هستش .

با تشکر

[th95]

جناب مشکواتی جسارتا گمان میکنم اشتباه میکنید ! ببینید این میگه که از sticky که استفاده کنید و بعد دستگاه به پورت زده بشه یک دستور با شکل
sw port-s mac sticky H.H.H به
سوییچ اضافه میشه (میاد تو کانفیگ) و حالا اگر کانفیگ رو رایت کنید این پورت ملزم به ساتفاده از همین آدرس میشه (اگر ماکزیمم رو 1 گذاشته باشیم و مابقی قضایا مثل نحوه برخورد با violation و .. که کاری باهاش نداریم)

اما بحث ما اینه که از اول ما هیچ وقت این دستور رو روی سوییچ نمیزنیم چون نمیدونیم چه دستگاهی قراره به اون وصل بشه
اگر هم بدونیم که دیگه به sticky نیازی نیست !

یک هکر با تغیر اینترفیس به صورت فیزیکی میتونه در یک vlan دیگه دسترسی بگیره . اما اگه استاتیک باشه باید حتماً مدیر شبکه به صورت استاتیک اضافه کنه اون mac آدرس رو .

کیوان جان یعنی چی با تغییر به صورت فیزیکی ؟ البته همه میدونیم که امنیت فیزیکی اولین بحث امنیتی در هر شبکه ای هست وگرنه خیلی کارها میشه کرد
اما مثلا شما شبکه من رو در نظر بگیر
پورتهای اضافه همه خاموش ! پورت کلاینتها برابر با ماکزیمم 1 آدرس که اون هم لرن شده ! دسترسی ها محدود و کسی نمیتونه مک رو عوض کنه یا دست به کارت شبکه بزنه ! DHCP Snooping و IP Source Guard و .. هم در حال اجرا !
در این شرایط چه کارهایی میشه کرد ؟

[Sinozit]

با سلام

ببیم محمد جان بزار سناریو رو من اینطور توضیح بدم .

شما سویچی داری که 8 تا پورت فعال داره پوت های 1 تا 4 به Vlan 1 اختصاص داده شده و 5 تا 8 به Vlan2. هدف از vlan بندی این بود که سیستم هایی که در vlan 1 هستند . سیستم ها و منابع ای که در Vlan2 هستش رو نبینند و بلعکس . دو راه موجود هستش برای port Security . یا static یا Dynamic . درسته ؟ اگه Dynamic (sticky) باشه خود دستگاه سویچ از سیستم ها میخواد که mac آدرس ها رو در ابتدای امر به سویچ بدن و تا shutdown شدن یا رستارت شدن دیگه این مک تغیر نمی کنه ( اگه پورت ethernet رو در بیارید و دوباره بزنید باز هم این عمل تکرار میشه ) . حالا یک هکر به سویچ دسترسی فیزیکی داره و در Vlan1 قرار گرفته پورت رو در میاره و به یکی از پورت های 5 تا 8 میزنه . چی میشه ؟ دوباره مراحل درخواست mac آدرس انجام میشه و اون به راحتی به Vlan2 دسترسی پیدا میکنه . اما در حالت static شما میگین پورت eth0/0 فقط و فقط مک آدرس 00:11:22:33:44:55 رو قبول کنه . در حالت اول در شبکه های بزرگ راحت تر با امنیت کم تر و در حالت دوم در شبکه های کوچک تر راحتر و امنیت بالا تر . در یک شبکه که شما از چندین سویچ با تعداد زیادی دستگاه استفاده میکنید خیلی سخت هستش که همه اونها رو به صورت استاتیک وارد کنید .

در کل فرق عمده این دو روش تو این موضوع هستش و فرق محسوسی ندارند سیسکو بسته به نیاز کاربرانش این دو امکان رو گذاشته .

اگر باز هم نتونستم با سواد کمی که دارم جواب سوال رو بدم به بزرگی خودتون من رو ببخشید

با تشکر

[th95]

اولا که کیوان جان شما استادی انقدر شرمندمون نکن
دوما که ما پروژه که تموم شد دستگاه های مثلا یک طبقه رو وصل میکنیم به سوییچ و روشن میکنیم (Sticky و Max=1 تعریف شده است)
بعد کانفیگ رو رایت میکنیم ! نتیجتا دیگه هکر شما که فرض میکنیم تونسته تنظیمات کارت شبکش رو دستکاری بکنه و آدرس تو رنج دیگه هم بده میخواد بره تو وی لن دیگه ای و بترکونه ! اما با در اوردن کابلش و زدن به یک پورت دیگه فقط باعث میشه اون پورت مقصد err-disable بشه
البته اگه همه رو Static بزنی که خیلی عالیه ولی خوب نمیشه صد تا یوزر رو ...

کیوان جان فکر کنم یکجا رو داری اشتباه میکنی
ببین بحث من کاربرد استاتیک و استیکی و . نیست ! بحث من اینه که ذات استیکی یعنی کاربر بزنه و سوییچ داینامیک لرن کنه و بعد ما با رایت کردن اون رو به همون پورت Bind کنیم ! بنابراین میگم در این شرایط دیگه بی معنیه که سیسکو اجازه داده بعد از sticky شما بتونی آدرس وارد کنی
sw port-s mac sticky H.H.H

اگر بخوایم آدرس رو دستی و استاتیک وارد کنیم دیگه نیازی به Sticky نیست ! همین ! الان بحث ما اینه که بعد از Sticky نباید دیگه آدرس بیاد

[SADEGH65]

صادق جان اون بنده خدا CCIE دار هم جواب ما رو نداده
اومده Sticky رو توضیح داده و تو متنش ببینی جالبه اصلا گفته نمیشه بعدش آدرس وارد کرد
ببین
پس اون که هیچ @

بالاخره یه فرقی باید بین Static secure MAC و Sticky static MAC باشه ( و البته متفاوت باشند با کاربر SecureConfigured MAC یا همون استاتیک تعریف کردن)

محمد جان هیچ تفاوت خاصی با هم ندارند در اجرا و عملکرد کاری ( حداقل با تست و سطح اطلاعات من )
فقط اولی را به عنوان Static secure MAC و دومی را Sticky static MAC عنوان میدارند

من آخر سر به حرف خودم رسیدم که هیچ تفاوتی ندارند مگر در عنوان و برچسبی که دارند .
فقط تنها تفاوتی که من دیدم این است که وقتی که بخواهیم مک آدرس های لرن شده یک پورت را پاک کنیم به دستور زیر را میزنیم

کد:

clear port-security sticky interface x

در صورتی که ما برچسب استیکی را به این مک آدرس زده باشیم این نیز حذف میشود و در صورتی که به صورت استاتیک تعریف شده باشد باقی میماند .

من چند تست انجام دادم در این تست ها هیچ تفاوتی در ذخیره شدن در رانینگ و یا استارت آپ و یا ریلود سوییچ و استفاده از این دو ندیدم.( 2960 - 3750 - 4507 )

[al1p0ur]

ببین محمد جان
شما میگید اگه بدونیم چه مکی قراره به پورت بخوره از نوع Static و اگر ندونیم از نوع Sticky استفاده میکنیم .
حالا اگه قرار باشه 5 نفر به یک پورت بخورن که شما دو تا شون رو میدونید و بقیه رو نمیدونید ، اونوقت از کدوم روش استفاده میکنید ؟
شما میتونید در این حالت Sticky رو فعال کنید برای اون 3 نفر و اون دو نفر رو به طور استاتیک اضافه کنید یا به صورت استیکی با مک .
حالا چه فرقی میکنه که از کدوم روش استفاده کنید ؟
به نظر من این فقط یک بر چسبه که در مواقع لزوم بتونید فقط Sticky ها و در مواقع دیگر فقط Static ها رو از روی پورت حذف کنید .( همونطور که جناب نجاتی زاده فرمودند )

کد:

 Switch#clear port-security ?
  all         Clear all secure MAC addresses
  configured  Clear all configured secure MAC addresses
  dynamic     Clear all secure MAC address auto-learned by hardware
  sticky      Clear all secure MAC address either auto-learned or configured

مثل زمانی که قراره چند نفر به طور موقت به یکی از پورت ها وصل شوند و بعد بروند . اینجوری اگه اونها رو Sticky اضافه کنید به راحتی میتونید بدون درد سر فقط Sticky ها حذف کنید .