Kullanıcı portlarının güvenliğini sağlamak ve ağa yetkisiz cihazların (yabancı laptoplar, routerlar vb.) dahil olmasını engellemek amacıyla Port Security özelliği kullanılır. Aruba switchlerde bu özellik, port başına bağlanabilecek maksimum MAC adresi sayısını sınırlayarak ve ihlal durumunda alınacak aksiyonları belirleyerek çalışır.
Bu yazıda, Aruba switchlerde Port Security ve MAC adres limitleme yapılandırma adımlarını inceleyeceğiz.
1. Port Security Özelliğini Aktifleştirmek
Port Security, sadece uç kullanıcıların bağlı olduğu Access (Untagged) portlarda yapılandırılmalıdır.
Port 5 üzerinde temel port güvenliğini aktif etmek ve izin verilen maksimum MAC sayısını belirlemek için:
Aruba-Switch> enable
Aruba-Switch# configure terminal
# Port 5 arayüzüne giriş yapalım
Aruba-Switch(config)# interface 5
# Port güvenliğini aktif edip maksimum MAC limitini 1 yapalım
Aruba-Switch(eth-5)# port-security status enabled
Aruba-Switch(eth-5)# port-security address-limit 1
2. Öğrenilen MAC Adreslerinin Kalıcı Hale Getirilmesi (Sticky / Mac-Trust)
Cihazın portuna takılan ilk MAC adresinin otomatik olarak güvenli kabul edilmesi ve konfigürasyona yazılması için Sticky MAC mantığı kullanılır. Aruba dünyasında bu durum mac-address altındaki authorized komutuyla veya portun ilk öğrendiği cihazı sabitlemesiyle gerçekleştirilir:
Aruba-Switch(config)# interface 5
# Portun o an öğrendiği (veya ilk öğreneceği) MAC adresini yetkilendirelim
# (Cihaz bağlı durumdayken bu komut çalıştırılırsa mevcut MAC sabitlenir)
Aruba-Switch(eth-5)# port-security learn-mode port-limits
3. İhlal Durumu Aksiyonları (Action on Violation)
Limiti aşan yetkisiz bir cihaz bağlandığında switchin alacağı aksiyon belirlenir:
- None (Protect): İhlal durumunda portu kapatmaz, yetkisiz cihazın paketlerini engeller.
- Send-Alarm (Restrict): Yetkisiz cihaz paketlerini engeller ve log/SNMP alarmı üretir.
- Shutdown (Varsayılan): Portu tamamen kapatır. Yönetici portu tekrar açana kadar kapalı kalır.
# Port 5 üzerinde ihlal durumunda portun kapatılmasını isteyelim
Aruba-Switch(config)# interface 5
Aruba-Switch(eth-5)# port-security action shutdown
Aruba-Switch(eth-5)# exit
4. Yapılandırma Doğrulama Komutları
Yaptığımız port güvenliği ayarlarını ve ihlal durumlarını kontrol etmek için şu komutları kullanabilirsiniz:
- Tüm Portların Güvenlik Durumu:
Aruba-Switch# show port-security - Belirli Bir Portun Güvenlik Detayları:
Aruba-Switch# show port-security 5Bu komutla maksimum MAC limiti, aktif öğrenme modu, ihlal eylemi ve o ana kadar gerçekleşen ihlal sayısını görebilirsiniz.
- Port Tarafından Öğrenilen Yetkili MAC Adresleri:
Aruba-Switch# show port-security mac-address
Ayarlarınızı kaydetmeyi unutmayın:
Aruba-Switch# write memory