Protected port là 1 tính năng trên switch cisco, nó sẽ giúp bạn phòng tránh port trên switch kết nối với những device mà bạn không mong muốn. Hãy xem ví dụ dưới nhé.
Bạn nhìn thấy hình bên trên đó. Chúng ta có 2 máy tính và 1 server. Không có gì đặc biệt ở đây, tất cả đều trong 1 VLAN, 2 máy tính và server có thể kết nối được với nhau. Bây giờ để nâng cao bảo mật, bạn chỉ muốn máy tính trên kết nối được tới server thôi, 2 máy tính H1 và H2 không được kết nối với nhau. Lúc này tính năng Protected port sẽ phát huy tác dụng.
Port kết nối giữa switch và 2 máy tính đã được bật port protected, port kết nối switch với server ở không bật port protected. Như các bạn thấy đấy. Khi ta bật tính năng port protected lên thì tất cả các interface bật tính năng này đều chặn các end device kết nối với nhau. Giờ đây 2 máy tính chỉ có thể kết nối với server.
Hãy xem 1 ví dụ khác nhé.
Giờ giả sử 1 hacker đã tấn công được vào web server của bạn, hắn sẽ dùng chính web server đó để kết nối và tấn công tiếp vào các server trong hệ thống mạng của bạn. Như thế mọi chuyện sẽ vô cùng tồi tê. Trong trường hợp này port protected có thể giúp bạn chống lại kiểu tấn công như thế.
Giờ hãy xem cấu hình như thế nào nhé.
Giả sử chúng ta có 3 máy tính cùng nằm trên 1 vlan.
Với cài đặt mặc định trên switch thì hiện giờ các switch đểu ping được cho nhau.
C:\Documents and Settings\H1>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
C:\Documents and Settings\H1>ping 192.168.1.3
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.3: bytes=32 time<1ms TTL=128
C:\Documents and Settings\H3>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
Bây giờ chúng ta sẽ bật protected port trên interface kết nối với H1 và H3 nhé.
SW1(config)#interface fa0/1
SW1(config-if)#switchport protected
SW1(config)#interface fa0/3
SW1(config-if)#switchport protected
Giờ interface fa0/1 và fa0/3 đã bệt protected, còn fa0/2 thì vẫn để mặc định là unprotected.
Hãy kiểm tra cấu hình trên các interface nhé.
SW1#show interfaces fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: true
Đó port fa0/1 đã được protected. Giờ hãy kiểm tra kết nối từ H1 và H3 tới H2 nhé.
C:\Documents and Settings\H1>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
C:\Documents and Settings\H3>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
Aha, các bạn thấy không? H1 và H3 vấn kết nối tới H2 bình thường. Thế H1 kết nối tới H3 thì sao nào?
C:\Documents and Settings\H1>ping 192.168.1.3
Pinging 192.168.1.2 with 32 bytes of data:
Request timed out.
Ping statistics for 192.168.1.2:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),
C:\Documents and Settings\H3>ping 192.168.1.1
Pinging 192.168.1.2 with 32 bytes of data:
Request timed out.
Ping statistics for 192.168.1.2:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),
Hehe. H1 và H3 không thể kết nối với nhau. Như vậy traffic giữa 2 port được bật protected đã bị block, traffic giữa port bật protected và port unprotected thì vẫn OK.
Đây là cấu hình interface trên sw1 các bạn nhé.
hostname SW1
!
interface FastEthernet0/1
switchport protected
!
interface FastEthernet0/3
switchport protected
!
end
Port protected là 1 tính năng khá hay trên switch cisco. Nhưng về cơ bản trong mạng LAN của doanh nghiệp thì các bạn sẽ không cần dùng nhiều tính năng này, bản thân hệ thống hoặc người quản trị hệ thống mạng đã có các tool, firewall để bảo vệ tấn công từ ngoài vào người dùng và server rồi (Trường hợp kẻ tấn công từ trong mạng LAN thì em chịu ạ :D). Thường tính năng này hay được bật trên các port switch ở các ISP. Trong môi trường ISP khi họ cho thuê chỗ đặt server, mỗi 1 đơn vị cá nhân thuê chỗ đặt server thì được kết nối vào 1 port riêng biệt, họ sẽ không cần thiết phải trao đổi dữ liệu với nhau. Vì thế port protected sẽ được bật lên để tránh các trường hợp đáng tiếc xảy ra khi 1 server của khách hàng nào đó bảo mật kém quá dẫn đến bị hacker tấn công rồi lây lan sang các server của khách hàng khác.
Trên đây là 1 vài chia sẻ về tính năng port protected.
Trân trọng!
Hãy xem 1 ví dụ khác nhé.
Giờ hãy xem cấu hình như thế nào nhé.
Giả sử chúng ta có 3 máy tính cùng nằm trên 1 vlan.
- Tất cả máy tính cùng chung 1 subnet (192.168.1.0/24)
- Tất cả máy tính đều chung 1 VLAN.
- Switch đang được cấu hình ở mức mặc định.
Với cài đặt mặc định trên switch thì hiện giờ các switch đểu ping được cho nhau.
C:\Documents and Settings\H1>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
C:\Documents and Settings\H1>ping 192.168.1.3
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.3: bytes=32 time<1ms TTL=128
C:\Documents and Settings\H3>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
Bây giờ chúng ta sẽ bật protected port trên interface kết nối với H1 và H3 nhé.
SW1(config)#interface fa0/1
SW1(config-if)#switchport protected
SW1(config)#interface fa0/3
SW1(config-if)#switchport protected
Giờ interface fa0/1 và fa0/3 đã bệt protected, còn fa0/2 thì vẫn để mặc định là unprotected.
Hãy kiểm tra cấu hình trên các interface nhé.
SW1#show interfaces fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: true
Đó port fa0/1 đã được protected. Giờ hãy kiểm tra kết nối từ H1 và H3 tới H2 nhé.
C:\Documents and Settings\H1>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
C:\Documents and Settings\H3>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128
Aha, các bạn thấy không? H1 và H3 vấn kết nối tới H2 bình thường. Thế H1 kết nối tới H3 thì sao nào?
C:\Documents and Settings\H1>ping 192.168.1.3
Pinging 192.168.1.2 with 32 bytes of data:
Request timed out.
Ping statistics for 192.168.1.2:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),
C:\Documents and Settings\H3>ping 192.168.1.1
Pinging 192.168.1.2 with 32 bytes of data:
Request timed out.
Ping statistics for 192.168.1.2:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),
Hehe. H1 và H3 không thể kết nối với nhau. Như vậy traffic giữa 2 port được bật protected đã bị block, traffic giữa port bật protected và port unprotected thì vẫn OK.
Đây là cấu hình interface trên sw1 các bạn nhé.
hostname SW1
!
interface FastEthernet0/1
switchport protected
!
interface FastEthernet0/3
switchport protected
!
end
Port protected là 1 tính năng khá hay trên switch cisco. Nhưng về cơ bản trong mạng LAN của doanh nghiệp thì các bạn sẽ không cần dùng nhiều tính năng này, bản thân hệ thống hoặc người quản trị hệ thống mạng đã có các tool, firewall để bảo vệ tấn công từ ngoài vào người dùng và server rồi (Trường hợp kẻ tấn công từ trong mạng LAN thì em chịu ạ :D). Thường tính năng này hay được bật trên các port switch ở các ISP. Trong môi trường ISP khi họ cho thuê chỗ đặt server, mỗi 1 đơn vị cá nhân thuê chỗ đặt server thì được kết nối vào 1 port riêng biệt, họ sẽ không cần thiết phải trao đổi dữ liệu với nhau. Vì thế port protected sẽ được bật lên để tránh các trường hợp đáng tiếc xảy ra khi 1 server của khách hàng nào đó bảo mật kém quá dẫn đến bị hacker tấn công rồi lây lan sang các server của khách hàng khác.
Trên đây là 1 vài chia sẻ về tính năng port protected.
Trân trọng!
2.10 Protected Port on Cisco Catalyst Switch
Reviewed by phucvm
on
tháng 8 21, 2019
Rating:
Reviewed by phucvm
on
tháng 8 21, 2019
Rating:
Không có nhận xét nào: