Kurumsal ağ güvenliğinin en kritik adımlarından biri, kenar (Access) switch portlarına yetkisiz cihazların bağlanmasını engellemektir. Port Güvenliği (Port Security) teknolojisi, switch üzerindeki fiziksel portlara hangi cihazların (MAC adreslerinin) bağlanabileceğini denetlememizi sağlar.

Bu rehberde, Huawei VRP işletim sistemi üzerinde Port Güvenliği, Sticky MAC ve ihlal (violation) modlarının nasıl yapılandırılacağını inceleyeceğiz.

1. Port Güvenliği ve MAC Adres Türleri

Huawei switch’lerde port güvenliği etkinleştirildiğinde üç tip MAC adresi öğrenme yöntemi kullanılabilir:

  1. Dynamic Secure MAC: Port bağlandığında cihazların MAC adreslerini dinamik olarak öğrenir. Switch kapandığında bu adresler bellekten silinir.
  2. Static Secure MAC: MAC adresleri yönetici tarafından elle tanımlanır ve konfigürasyon kaydedildiğinde kalıcı olur.
  3. Sticky MAC (Yapışkan MAC - Önerilen): Portun öğrendiği ilk MAC adresini “yapışkan” olarak kabul eder ve çalışan konfigürasyona yazar. Switch yeniden başlasa dahi bu cihaz dışındaki bağlantılara izin verilmez.

2. İhlal (Violation) Aksiyonları

Porta izin verilen limitin üzerinde veya yetkisiz bir MAC adresi bağlandığında switch’in alacağı aksiyonlar şunlardır:

  • Protect: Yetkisiz paketi sessizce düşürür (Drop). Log kaydı üretmez ve portu kapatmaz.
  • Restrict (Önerilen): Yetkisiz paketi düşürür. Ek olarak SNMP Trap gönderir, Syslog üretir ve ihlal sayacını (violation counter) artırır.
  • Shutdown: Yetkisiz cihaz bağlandığı anda portu error-down durumuna getirerek tamamen kapatır. Portu tekrar açmak için el ile müdahale (shutdown / undo shutdown) gerekir.

3. Adım Adım Yapılandırma

GigabitEthernet 0/0/5 portunu sadece tek bir bilgisayarın (Sticky MAC ile) bağlanabileceği şekilde yapılandıralım ve ihlal durumunda portun kapatılmasını sağlayalım:

Adım 1: Arayüze Giriş ve Port Security Etkinleştirme

Arayüz içine girip port tipini access olarak ayarlıyor ve port güvenliğini aktif hale getiriyoruz:

<Huawei> system-view
[Huawei] interface GigabitEthernet 0/0/5
[Huawei-GigabitEthernet0/0/5] port link-type access
[Huawei-GigabitEthernet0/0/5] port-security enable

Adım 2: Limit Belirleme ve Sticky MAC Yapılandırması

Portta sadece 1 adet MAC adresi öğrenilmesine izin veriyoruz ve bu öğrenilen adresin kalıcı olması için sticky özelliğini aktif ediyoruz:

[Huawei-GigabitEthernet0/0/5] port-security max-mac-num 1
[Huawei-GigabitEthernet0/0/5] port-security mac-address sticky

Adım 3: İhlal Aksiyonunu Belirleme

İhlal durumunda portun kendini kapatması için shutdown aksiyonunu seçiyoruz (Varsayılan restrict modudur):

[Huawei-GigabitEthernet0/0/5] port-security protect-action shutdown
[Huawei-GigabitEthernet0/0/5] quit

4. Sorun Giderme ve Doğrulama Komutları

Port güvenliğinin çalışmasını doğrulamak için aşağıdaki komutları kullanabilirsiniz:

! Port Güvenliği genel durumunu ve korunan portları görüntüleme
[Huawei] display port-security

! Belirli bir arayüzdeki port güvenliği detaylarını ve ihlal sayacını görme
[Huawei] display port-security interface GigabitEthernet 0/0/5

! Öğrenilen güvenli (Sticky) MAC adreslerini listeleme
[Huawei] display mac-address security

Hata Durumundan Çıkarma (Error-Down Recovery)

Eğer port shutdown aksiyonu sebebiyle kapanmışsa (error-down), yetkisiz cihaz porttan söküldükten sonra portu tekrar aktif etmek için:

[Huawei] interface GigabitEthernet 0/0/5
[Huawei-GigabitEthernet0/0/5] shutdown
[Huawei-GigabitEthernet0/0/5] undo shutdown

Alternatif olarak, switch üzerinde error-down auto-recovery komutu kullanılarak portun belirli bir süre sonra otomatik olarak tekrar açılması sağlanabilir.