HP Switch Port Security ve MAC Limiti

Kurumsal yerel ağlarda, switchlerin fiziksel portlarına sadece yetkilendirilmiş cihazların bağlanabilmesini sağlamak ağ güvenliğinin ilk adımıdır. HP Comware işletim sistemi kullanan switchlerde Port Security özelliği, port bazında öğrenilebilecek MAC adresi sayısını kısıtlayarak ağa izinsiz yabancı cihazların (kişisel bilgisayarlar vb.) takılmasını veya MAC adresi taşma (MAC Flooding) saldırılarını engeller.

Bu yazıda, HP Comware switchlerde Port Security ve MAC limiti yapılandırma adımlarını inceleyeceğiz.

1. Port Security Özelliğini Aktifleştirmek

Port Security özelliğinin çalışabilmesi için ilgili portun Access modunda olması gerekir.

Global seviyede port güvenliği özelliğini aktif edelim:

<HP-Switch> system-view

# Port güvenliğini global olarak aktif edelim
[HP-Switch] port-security enable

2. Port Bazında Port Security ve MAC Limiti Yapılandırma

GigabitEthernet 1/0/5 portuna sadece 1 adet yetkili cihazın takılabilmesini sağlayalım ve bu cihazın MAC adresini ilk bağlandığı anda sabitleyen Mac-Address Sticky (Yapışkan MAC) özelliğini aktif edelim:

# Fiziksel arayüze giriş yapalım
[HP-Switch] interface gigabitethernet 1/0/5

# Port güvenlik modunu "Secure-learning" (Sticky MAC benzeri otomatik öğrenme) yapalım
[HP-Switch-GigabitEthernet1/0/5] port-security port-mode autolearn

# Port üzerinde öğrenilebilecek maksimum MAC adresi sayısını sınırlandıralım (Maks: 1)
[HP-Switch-GigabitEthernet1/0/5] port-security max-mac-count 1

3. İhlal Durumu Eylemleri (Intrusion Action)

Limiti aşan veya yetkisiz bir MAC adresi algılandığında switchin alacağı aksiyon Intrusion Action parametresiyle belirlenir:

• disable: İhlal durumunda portu tamamen kapatır (Cisco shutdown modu).
• disableport-temporarily: Portu geçici bir süre için kapatır (Otomatik açılır).
• blockmac: Sadece ihlale yol açan yabancı MAC adresini bloke eder, portu açık tutar.

Örnek olarak, ihlal durumunda portun tamamen kapatılmasını seçelim:

[HP-Switch-GigabitEthernet1/0/5] port-security intrusion-mode disable
[HP-Switch-GigabitEthernet1/0/5] quit

4. Yapılandırma Doğrulama Komutları

Port güvenliğinin durumunu kontrol etmek için aşağıdaki display komutları kullanılır:

• Genel Port Güvenlik Durumu ve Limitleri:

  [HP-Switch] display port-security
  

• Belirli Bir Portun Detaylı Güvenlik Bilgileri:

  [HP-Switch] display port-security interface gigabitethernet 1/0/5
  

  Maksimum MAC limiti, ihlal modu ve öğrenilen MAC adres sayısını listeler.

• Öğrenilen Güvenli MAC Adresleri Listesi:

  [HP-Switch] display port-security mac-address
  

Yapılandırmanızı kaydetmeyi unutmayın:

<HP-Switch> save safely force