Securing Switch Port with Port-Security

Wokeh, mengamankan port pada switch dengan port security. Kisahnya gw nggak mau port gw di switch dipake orang lain pokoknya yang bisa pake port switch nomor 7 (misal Fa0/7) itu cuma laptop gw ‘doang’. Nah ada nih fitur di catalyst yang namanya port-security buat ngakomodir kebutuhan itu.

Konsepnya sederhana, port switch yang kita set port-security hanya akan beroperasi/forward frame kalo source framenya match dengan mac-address yang diijinkan. Konsep konfignya juga gampang, (1) enablekan port-security di port yang mau diamanin, (2) define mac-address perangkat yang boleh pake, (3) define violationnya, dah jadi, gampang kan…haha… mari kita mainkan. Sekenario pertama, aku pengen cuma PC dengan mac address 0007.EC80.246E yang bisa pake port 1 (fa0/1).

Topo
Topo

Topologi seperti diatas, yang akan kita mainkan di switch port fa 0/1 dengan PC1-3. Skenario pertama, (1) tinggal enablekan saja port securitynya di fa0/1. Btw port security tidak bisa dipake di port yang modenya dynamic (DTP), hanya bisa di mode access atau trunk. (2) lalu define mac-address yang boleh pake port itu, bisa didefine manual dengan command switchport port-security mac-address xxxx.xxxx.xxxx atau pake sticky, yaitu source mac-address yang pertama kali dilihat switch di port itu. (3) Setelah itu tentukan deh violationnya alias hukumannya jika menyalahi rule. Ada 3 pilihan violation yang bisa dipake, yaitu :

– shutdown (default) yang maksudnya port switch bakal menjadi secure-shutdown state jika ada yang pake port tapi mac-address nggak sesuai sama yang di allow plus log (kecatet violation & last mac-address yang pake port itu)

– restric, port bakal ngediscard alias mengabaikan traffic yang masuk/keluar port itu plus log (log bisa dilihat dg show port-security interface [port])

– protect, kayak restric, cuma dia nggak ngelog

1 cfg

Berikut hasil konfig diatas, terlihat mana aja port yang port-securitynya enabled, di fa0/1  status port ‘secure-up’, maximum mac 1 biji, udah dapet tuh mac yang bakal di allow via sticky. Lalu mari cek mantra-mantra diatas dengan mencolokkan PC2 ke port 1. harusnya port jadi shutdown kan??? masak?? mari dicoba 😀

2 show 1

Wokeh, ketika PC2 dicolok ke fa0/1 switch maka portnya jadi merah alias shutdown. Cek juga di port-security interface terlihat ada violation dari mac-address 0060.5CE6.0269 yang mana adalah mac-address PC2. Btw kalo port ke-shutdown karena port security, by default port itu kagak bisa idup sendiri, musti dihidupin manual T_T . tapi tenang, kita bisa pake errdisable recovery buat hidupin portnya, nanti deh di post selanjutnya..haha… 😀 next skenario 2..2a violation 3 violation 1

Skenario kedua, PC2 itu PC sahabatku, aku pengen dia juga bisa pake port fa0/1 dong, bisa nggak???? siap ndan, bisa banget, tinggal set aja maximum max sesuai kebutuhan, jika pengen 2 mac yang bisa pake port itu ya tinggal set max 2 (switchport port-security maximum 2), gampang kan 😀 cekidott…..

**aku pake hub untuk membagi koneksi ke fa0/1. kenapa hub? karena hub main di Layer 1, nggak bakal punya pengaruh di mac-addr (Layer 2)

4 skenario 5 show port

 

Nah loh, berubah kan, max addressnya udah 2, addresses yang diallow terlihat juga tuh dibawah. lalu gimana mengujinya?? ya tinggal coba aja colok PC lain, misal disini PC 3 supaya kena violation.

6 err shutdown 7 show portPC3 nyolok, port-security violation, port shutdown….. cek di show port-security int fa 0/1 kelihatan tuh last mac-addr yang bikin violation adalah 0007.EC92.D458 (mac addressnya PC3). oke sederhananya begitu, monggo cobain tuh yang violation protect sama restrict efeknya gimana. advancement ke errdisable recovery buat ngidupin interface yang shutdown gara-gara port security, supaya nggak perlu manual, kan repot kalo tiap violation masak musti hidupin manual -_-

Next post, masih dalam nuansa securing switch, ErrDisable Recovery, Static Mac-Address Mapping…. 😀

 

One thought on “Securing Switch Port with Port-Security

Komen dimari gann....

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s