Port security dapat digunakan untuk membatasi input ke interface dengan membatasi dan mengidentifikasi mac-address dari workstation yang diizinkan untuk mengakses port. Pada saat menetapkan mac-address ke port security, port tidak meneruskan paket dari mac-address dengan sumber di luar grup mac-address yang ditentukan. Jika membatasi jumlah mac-address untuk satu dan menetapkan satu mac-address tunggal, workstation yang terpasang pada port tersebut dijamin bandwidth sepenuhnya untuk workstation tersebut.
Jika port dikonfigurasikan sebagai port security dan jumlah maksimum mac-adress tercapai, ketika mac-adress workstation yang mencoba mengakses port berbeda dari mac-address yang diidentifikasi, maka terjadi pelanggaran keamanan. Pelanggaran keamanan terjadi jika jumlah maksimum mac-address telah ditambahkan ke address tabel dan workstation yang mac-address nya tidak ada dalam address tabel mencoba mengakses interface.
Ada tiga cara konfigurasi port security :
Ada tiga cara konfigurasi port security :
- Static : Menentukan mac address yang akan di konfigurasi secara manual. Konfigurasi ini seorang administrator harus mengetahui terlebih dalulu mac address pc yang akan di daftarkan mac addressnya ke dalam address table switch, dan mac address yang telah dikonfigurasi akan di simpan secara permanen di address table switch. Jika interface atau switch down, switch tidak perlu lagi mempelajari mac adress secara ulang untuk menfatarkan mac address ke dalam adress table switch.
- Dynamic : Konfigurasi ini seorang administrator tidak perlu harus mengetahui terlebih dahulu mac address pc mana saja yang akan di daftarkan ke dalam address table switch. Switch akan menetukan secara otomatis mac address pc yang akan di daftarkan ke dalam address table switch dengan cara mendeteksi pc mana saja yang terhubung di interface switch. Mac address yang didaftarkan ke dalam address table switch dengan cara dinamis tidak disimpan secara permanen di address table switch, jika interface atau switch down, swich harus memperlajari secara ulang mac address mana saja yang akan di daftarkan ke dalam address switch.
- Sticky : Konfigurasi ini adalah penggabungan antara static dan dinamic. Penggunaan konfigurasi sticky ini seorang administrator tidak perlu harus mengetahui mac address pc mana saja yang akan di daftarkan ke dalam address table switch. switch akan mempelajari mac address secara otomatis sesuai batas maksimum mac addres yang ditentukan oleh administrator, dan semua mac address yang telah di pelajalari oleh switch akan di daftarkan ke dalam address table switch secara permanen.
Berikut mode pelanggaran berdasarkan tindakan yang akan diambil jika terjadi pelanggaran:
- Shutdown : Jika terjadi pelanggaran maka port akan dimatikan dengan status err-disabled dan switch akan mengirimkan notifikasi (SNMP - Simple Network Management Protocol).
- Protect : Jika terjadi pelanggaran maka port akan tetap menyala tetapi tidak dapat digunakan dan switch akan mengirimkan notifikasi (SNMP).
- Restrict : Jika terjadi pelanggaran maka port akan tetap menyala namun switch tidak akan mengirimkan pesan notifikasi (SNMP).
1.) Konfigurasi port security dengan cara static.
aprizal382#conf t
Enter configuration commands, one per line. End with CNTL/Z.
aprizal382(config)#int et0/0
aprizal382(config-if)#switchport port-security maximum 2
aprizal382(config-if)#switchport port-security mac-address 0050.7966.6800
aprizal382(config-if)#switchport port-security mac-address 0050.7966.6801
aprizal382(config-if)#end
aprizal382#Verifikasi konfigurasi.aprizal382#sh run int et0/0
Building configuration...
Current configuration : 221 bytes
!
interface Ethernet0/0
switchport mode access
switchport port-security maximum 2
switchport port-security mac-address 0050.7966.6800
switchport port-security mac-address 0050.7966.6801
switchport port-security
aprizal382#
aprizal382#sh port-security int et0/0
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 2
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0050.7966.6800:1
Security Violation Count : 0
aprizal382#
aprizal382#sh port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0050.7966.6800 SecureConfigured Et0/0 -
1 0050.7966.6801 SecureConfigured Et0/0 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 4096
aprizal382#Hasil verifikasi di atas konfigurasi port security secara static telah berhasil dan mac address sudah terdaftar dalam address table switch.- switchport port-security maximum 2 (Perintah untuk menentukan jumlah mac-address yang di perbolehkan)
- switchport port-security mac-address 0050.7966.6800 (Mendaftarkan mac address secara static)
- switchport port-security (Perintah untuk mengaktifkan port-security)
- sh run int et0/0 (Verifikasi port security yang sudah di konfigurasi di interface)
- sh port-security address (Verifikasi apakah mac address sudah terdaftar ke dalam address table switch)
- sh port-security int et0/0 (Verifikasi port security yang sudah di konfigurasi di interface et0/0)
2.) Konfigurasi port security dinamis (dynamic).
Dibawa ini konfigurasi port security secara dinamis sesuai topologi diatas, dengan dua PC yang terhubung di interface e0/0 switch melalui HUB.
3.) Konfigurasi port security secara sticky dan tindakan (shutdown) yang akan diambil jika terjadi pelanggaran.
Dari topologi diatas hanya mac-address PC-1 dan mac-address PC-2 yang diperbolehkan terhubung di interface e0/0 switch. Jika ada mac-address PC selain PC-1dan PC2 yang terhubung ke interface e0/0 maka PC tersebut dianggap melakukan pelanggaran dan switch akan langsung mengambil tindakan dengan cara men shutdown intercace et0/0.
aprizal382#
aprizal382#conf t
Enter configuration commands, one per line. End with CNTL/Z.
aprizal382(config)#int et0/0
aprizal382(config-if)#switchport port-security maximum 2
aprizal382(config-if)#switchport port-security
aprizal382(config-if)#end
aprizal382#
aprizal382#sh run int et0/0
Building configuration...
Current configuration : 115 bytes
!
interface Ethernet0/0
switchport mode access
switchport port-security maximum 2
switchport port-security
end
aprizal382#
aprizal382#sh port-security int et0/0
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0050.7966.6801:1
Security Violation Count : 0
aprizal382#
aprizal382#sh port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0050.7966.6800 SecureDynamic Et0/0 -
1 0050.7966.6801 SecureDynamic Et0/0 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 4096
aprizal382#Hasil verifikasi di atas konfigurasi port security secara dinamis telah berhasil dan mac address sudah terdaftar dalam address table switch. Di bagian verifikasi sh run int et0/0, mac address pc-1 dan pc-2 tidak terkonfigurasi secara langsung karena dikonfigurasi port dinamis mac address pc yang terhubung ke switch tidak didaftarkan secara permanen kedalam address table switch. Jika interface atau switch dimatikan, semua alamat yang dipelajari secara dinamis akan dihapus dan pada saat switch dihidupkan kembali mac-address akan dipelajarai secara ulang.3.) Konfigurasi port security secara sticky dan tindakan (shutdown) yang akan diambil jika terjadi pelanggaran.
aprizal382#conf t
Enter configuration commands, one per line. End with CNTL/Z.
aprizal382(config)#int et0/0
aprizal382(config-if)#switchport port-security
aprizal382(config-if)#switchport port-security maximum 2
aprizal382(config-if)#switchport port-security mac-address sticky
aprizal382(config-if)#switchport port-security violation shutdown
aprizal382(config-if)#end
aprizal382#
*Jun 25 13:11:51.209: %SYS-5-CONFIG_I: Configured from console by console
aprizal382#
aprizal382#sh port-security int et0/0
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2
Last Source Address:Vlan : 0050.7966.6801:1
Security Violation Count : 0
aprizal382#
aprizal382#sh port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0050.7966.6800 SecureSticky Et0/0 -
1 0050.7966.6801 SecureSticky Et0/0 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 4096
aprizal382#switchport port-security mac-address sticky (Perintah ini untuk mengaktifkan pembelajaran mac address secara dinamis di interface dan mac address yang telah di pelajarai akan di daftarkan di address switch secara permanen). Verifikasi dibawa ini menunjukan bahwa mac-address PC-1 dan mac-address PC-2 sudah terkonfigurasi secara dinamis dan mac address terdaftar secara permanen di address table.
aprizal382#sh run int et0/0
Building configuration...
Current configuration : 280 bytes
!
interface Ethernet0/0
switchport mode access
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0050.7966.6800
switchport port-security mac-address sticky 0050.7966.6801
switchport port-security
end
aprizal382#Konfigurasi port security secara sticky selesai. Lanjut untuk melihat tindakan yang akan di ambil oleh switch jika terjadi pelanggaran atau ada PC lain yang tersambung selain pc yang mac-address nya sudah terdaftar dalam address table di inteface et0/0. Sekarang PC-3 dihubungkan ke HUB yang terhubungi ke switch melalui interface et0/0. Seperti topologi berikut.
aprizal382#
aprizal382#
aprizal382#
*Jun 25 14:14:27.883: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/0, putting Et0/0 in err-disable state
aprizal382#
*Jun 25 14:14:27.883: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/0.
*Jun 25 14:14:28.884: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
aprizal382#
*Jun 25 14:14:29.883: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down
aprizal382#
aprizal382#
aprizal382#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset down down
Ethernet0/1 unassigned YES unset up up
Ethernet0/2 unassigned YES unset up up
Ethernet0/3 unassigned YES unset up up
Vlan1 192.168.1.254 YES manual up up
aprizal382#
aprizal382#
aprizal382#sh int status
Port Name Status Vlan Duplex Speed Type
Et0/0 err-disabled 1 auto auto unknown
Et0/1 connected 1 auto auto unknown
Et0/2 connected 1 auto auto unknown
Et0/3 connected 1 auto auto unknown
aprizal382#Dari hasil verifikasi di atas switch meberitahu notifikasi bawa telah terjadi pelanggar di interface et0/0 beserta mac-address perangkat yang telah melakukan pelanggaran"%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/0. Dengan adanya pelanggaran tersebut switch langsung mengambil tindakan yang sudah ditentukan dengan mematikan (shutdown) interface tersebut dan interface bersetatus err-disabled. Penyelesaian tindakan pelanggaran yang sudah diambil oleh switch tersebut lakukan dengan cara melepas kembali PC-3 yang terhubung ke HUB dan lakukan shutdown no shutdown di interface et0/0.
Untuk bahasan port security cukup sampai di sini saja, jika ada pertanyaan silahkan tinggalkan di kolom komentar. Terima kasih.............
No comments:
Post a Comment