آخرین زمان Update
| 6 مرداد 1389, 2:27 ق.ظ |
افراد آنلاين در سايت
حاضرين در سايت : 11 نفر مهمان
| امنیت در switch و دو فرمان مشابه |
|
دیروز داشتم Video Training مربوط به CCIE Security متعلق به شرکت NetMetric را می دیدم که متوجه یک نکته خیلی جالب شدم و دیدم که شخص مدرس جواب فرد سوال کنند را اشتباه داد. برای همین تصمیم گرفتم که این نکته را در یک پست در قالب یک نکته متذکر شوم. در مبحث Switch Security دو فرمان وجود دارد که خیلی شبیه هم هستند ولی کابرد های کاملا مجزا دارند. فرمان های: switchport protected switchport port-security violation protect همین طور که می بینید دو فرمان بسیار شبیه هم است ولی مورد استفاده آنها کمی با هم فرق دارند. فرض کنید که شما دوتا سرور مجزا بر روی سوئیچ سرور های شبکه خود دارید . بطور مثال یکی نقش Mail Server را دارد و بر روی دومی هم SQL Server نصب شده است. این دو تا سرور کارایی های مجزا از هم دارند و اصلا نیاز به وجود هیچ گونه ای ارتباطی بین این دو سرور وجود ندارد. در صورت تعریف فرمان switchport protected بر روی هر دو پورت متصل به این سرور ها ترافیک unicast ، multicast و broadcast آنها از همهisolate شده و دیگر هیچ گونه ترافیکی بین این دو جابجا نخواهد شد.خوب در صورتی که یکی از سرور expose شود امنیت سرور دوم به خطر نخواهد افتاد و این یک مزیت بسیار مهم محسوب می شود. البته این تنها مزیت این فرمان نیست. از این فرمان حتی می توان بر روی پورت هایی استفاده کرد که در یک VLAN قرار دارند اما بر روی که بر روی سوئیچ های متفاوت قرار گرفته اند و بین آنها dot1q trunk وجود دارد. در سوئیچ ها امکان تبادل packet های بین پورت های protected و غیر protected وجود دارد.البته لازم به اشاره این نکته هست که قرار دادن یک پورت به تنهایی در حالت protected هیچ تاثیری در برقراری امنیت ندارد. فرمان دوم زمانی کاربرد دارد که شما بر روی یک پورت از port-security استفاده می کنید که تعداد معینی Mac ایمن برای آن تعریف شده است. حال فرض کنید که یک frame ارسالی به این پورت فرستاده شود که MAC address آن در میان Secure MAC ها نیست و حداکثر تعداد مجاز MAC قابل تعریف و استفاده برای این پورت تمام شده است. در چنین حالتی اگر که از گزینه protect استفاده شده باشد ، frame های با source های MAC ناشناس drop خواهند شد. این نوع violation هیچ گونه پیغام اخطار ارسال نمی کند. البته این تنها زمانی نیست که از violation رخ می دهد. حالت دوم زمانی که violation در port-security رخ می دهد ، وضعیتی است که MAC Address تعریف شده بر روی یک secure port سعی کند به یک secure port دیگر دسترسی پیدا کند. : بيننده: 367 :: ايميل
|
||||||
ارسال نظر
| < بعد | قبل > |
|---|
آخرين اخبار
- setup express
- SSL inspection
- L2TP/IPSec یا PPTP ؟
- one-time password
- BGP looking glass
- Packet Tracer 5.2 + Labs
- تغییرات در CCNP
- پرونکل RIP تمام شد !
- Annual Security Report 2009
- پس از bootcamp
- Cisco CPQRG September 2009
- بعد از یک ماه
- static route redistribution در EIGRP
- سری جدید روتر های ISR
- خوب CCIE شروع شد !!
- EIGRP Network Command
- EIGRP Auto-Summary
- AREA ID در OSPF
- Cisco 2009 Midyear Security Report
- فیلتر کردن TCP Flag در IOS
لینک های متفرقه
| لینک دوستان |
| Cisco In Persian |
| IP2Location |
| Swiss Army Knife |
| Latest Threats info |
| All Net Monitoring Tools |
| Online Network Tools |
| Networking ToolBox |
| speedtest.net |
| DNS Stuff |
ورود اعضا
خبر خوان
تمامی حقوق مادی و معنوی این وب سایت محفوظ و متعلق به مدیر آن ( ایمان منصوری) می باشد. 1387
For More Information Please contact the Web Master ( webmaster [at] mynetnote. Com)