Lab 11 – Security trên Switch – Bài số 1 -

Sơ đồ:

​
Hình 11.1 – Sơ đồ bài Lab

Yêu cầu:

1. Cấu hình ban đầu

• Trên SW1 tạo VLAN 10 và thực hiện gán tất cả các cổng Fast Ethernet của Switch vào VLAN 10 vừa tạo.
• Thực hiện cấu hình các địa chỉ IP trên các interface của các thiết bị như được chỉ ra trên hình 11.1.

Cấu hình:

Trên SW1:

SW1(config)#vlan 10
SW1(config-vlan)#exit
SW1(config)#interface range f0/1 - 24
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 10
SW1(config-if-range)#exit
SW1(config)#interface vlan 10
SW1(config-if)#ip address 192.168.10.251 255.255.255.0
SW1(config-if)#exit

Trên R1:

R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#exit

Trên R2:

R2(config)#interface f0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.10.2 255.255.255.0
R2(config-if)#exit
Kiểm tra:

Trên SW1 VLAN 10 đã được tạo ra và các cổng Fast Ethernet đều đã được gán vào VLAN 10 (bài Lab được thực hiện trên Switch 3560 có 24 cổng Fast Ethernet):

SW1#show vlan brief

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi0/1, Gi0/2
10 VLAN0010 active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

Interface VLAN 10 của SW1 đã active (up/up):

SW1#show ip interface brief vlan 10
Interface IP-Address OK? Method Status Protocol
Vlan10 192.168.10.251 YES manual up up

Các địa chỉ IP của các Host trên VLAN 10 đã có thể đi đến nhau được:

R1#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1#ping 192.168.10.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R2#ping 192.168.10.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
2. Port – security (1)

• Cấu hình tính năng port – security trên cổng F0/11 của SW1 đảm bảo:
  • Chỉ thiết bị với địa chỉ MAC 0000.1111.1111 được phép truy nhập vào cổng này.
  • Mọi địa chỉ MAC khác nếu cố tình truy nhập vào cổng này sẽ dẫn đến cổng bị shutdown.
  • Cổng sẽ được tự động mở lại sau 120s khi sự vi phạm không còn xảy ra.
• Cấu hình tính năng port – security trên cổng F0/12 của SW1 đảm bảo:
  • Chỉ thiết bị với địa chỉ MAC 0000.1111.2222 được phép truy nhập vào cổng này.
  • Các frame vi phạm sẽ bị loại bỏ trên cổng, cổng không bị shutdown.
  • Khi sự vi phạm xảy ra, Switch phải phát ra các thông điệp syslog cảnh bảo đến người quản trị.
• Thực hiện đổi địa chỉ MAC sử dụng trên các cổng F0/0 của R1 và R2 thành 0000.1111.1111 và 0000.1111.2222 để kiểm tra cấu hình đã thực hiện.

Cấu hình:

Trên SW1, thực hiện cấu hình tính năng port – security cho cổng F0/11 như sau để đáp ứng yêu cầu đặt ra:

• Cấu hình mode static cho địa chỉ MAC 0000.1111.1111.
• Sử dụng phương thức violation là shutdown.
• Cấu hình tự động khôi phục khỏi err – disable cho port – security trong khoảng thời gian là 120s: nếu không còn xảy ra hiện tượng MAC vi phạm đi vào cổng, cổng sẽ được tự động mở lại khỏi trạng thái err – disable sau 120s.

Thực hiện:

SW1(config)#interface f0/11
SW1(config-if)#shutdown
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0000.1111.1111
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#errdisable recovery cause psecure-violation
SW1(config)#errdisable recovery interval 120

Trong yêu cầu này, cần phải shutdown cổng vì ở mặc định, khi port – security được bật lên trên cổng, tính năng này sẽ hoạt động ở mode Secure Dynamic: tự động đưa địa chỉ MAC của thiết bị đang kết nối trên cổng vào danh sách Security MAC và không cho phép bổ sung thêm địa chỉ.
Sau khi shutdown cổng, địa chỉ MAC 0000.1111.1111 được cấu hình để đưa vào danh sách Security MAC được phép đi vào cổng như yêu cầu. Cấu hình ở trên cũng không cần thiết phải chỉ định tường minh violation mode vì mode mặc định được sử dụng chính là shutdown.
Với violation mode là shutdown, khi một địa chỉ MAC không được phép đi vào cổng, cổng sẽ bị đưa vào trạng thái err – disable và chuyển hẳn sang trạng thái down. Để khắc phục, thiết bị với địa chỉ MAC vi phạm cần phải được gỡ ra khỏi cổng và cổng cần phải được reset lại bằng cách shutdown, rồi no shutdown cổng. Với cấu hình khôi phục tự động như ở trên, cứ 120s một lần, Switch sẽ lại mở cổng F0/11, đưa ra khỏi trạng thái err – disable và kiểm tra xem sự vi phạm còn xảy ra không. Nếu còn vi phạm, lại tiếp tục err – disable cổng, nếu hết vi phạm, trả cổng lại trạng thái active (up/up) để tiếp tục sử dụng cổng.
Với yêu cầu trên cổng F0/12, thực hiện cấu hình port – security với chế độ static cho địa chỉ 0000.1111.2222 cùng với hình thức xử phạt là restrict:

SW1(config)#interface f0/12
SW1(config-if)#shutdown
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0000.1111.2222
SW1(config-if)#switchport port-security violation restrict
SW1(config-if)#no shutdown
SW1(config-if)#exit

Sau khi hoàn thành cấu hình, bước tiếp theo cần thực hiện là kiểm tra kết quả cấu hình. Kiểm tra:

Hiện nay, MAC trên cổng F0/0 của Router R1 (kết nối đến F0/11 của SW1) là địa chỉ MAC khác với MAC được cho phép trên cổng F0/11 của SW1:

R1#show interfaces f0/0 | inc bia
Hardware is MV96340 Ethernet, address is 001c.5829.af68 (bia 001c.5829.af68)

Điều này dẫn đến cổng F0/11 sẽ được SW1 đưa vào trạng thái err – disable và chuyển sang trạng thái down:

*Mar 1 00:52:15.317: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/11, putting Fa0/11 in err-disable state
*Mar 1 00:52:15.317: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001c.5829.af68 on port FastEthernet0/11.
SW1#
*Mar 1 00:52:15.326: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to down
SW1#
*Mar 1 00:52:17.322: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to down
SW1#show interfaces f0/11 status
Port Name Status Vlan Duplex Speed Type
Fa0/11 err-disabled 10 auto auto 10/100BaseTX
SW1#show ip interface brief f0/11
Interface IP-Address OK? Method Status Protocol
FastEthernet0/11 unassigned YES unset down down

(Trong một số trường hợp, nếu sự vi phạm chưa bị phát hiện, có thể chủ động từ Host R1 ping đến interface VLAN 10 của SW1 để SW1 nhanh chóng phát hiện ra MAC không hợp lệ trên cổng F0/11).
Thực hiện cấu hình đổi lại địa chỉ MAC được sử dụng trên cổng F0/0 về địa chỉ MAC được cho phép 0000.1111.1111:

R1(config)#interface f0/0
R1(config-if)#mac-address 0000.1111.1111
R1(config-if)#end
R1#show interfaces f0/0 | inc bia
Hardware is MV96340 Ethernet, address is 0000.1111.1111 (bia 001c.5829.af68)

Khi địa chỉ MAC trên cổng F0/0 của R1 đã được thay đổi hợp lệ, cổng F0/11 sẽ được khôi phục về trạng thái active ban đầu:

*Mar 1 01:01:15.292: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/11
SW1#
*Mar 1 01:01:18.932: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to up
SW1#
*Mar 1 01:01:18.941: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to up

Lúc này, R1 đã có thể giao tiếp được với các thiết bị khác:

R1#ping 192.168.10.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

Tiếp theo, thực hiện kiểm tra với port – security trên cổng F0/12 của SW1.
Từ R2, khởi tạo một luồng lưu lượng về phía Switch. Vì địa chỉ MAC trên cổng F0/0 của R2 đang là địa chỉ không được cho phép trên cổng F0/0 nên mọi lưu lượng xuất phát từ R2 sẽ bị drop bỏ khi đi vào cổng F0/12 của SW1:

R2#show interfaces f0/0 | inc bia
Hardware is MV96340 Ethernet, address is 0025.4568.fa10 (bia 0025.4568.fa10)
R2#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Các thông điệp syslog trên SW1 được phát ra để cảnh báo về sự vi phạm đã diễn ra:

*Mar 1 01:17:17.079: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.
SW1#
*Mar 1 01:17:28.052: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.
SW1#
*Mar 1 01:17:38.051: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.
SW1#
*Mar 1 01:17:48.050: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0025.4568.fa10 on port FastEthernet0/12.

Thực hiện hiệu chỉnh lại địa chỉ MAC sử dụng trên cổng F0/0 của R2 về địa chỉ MAC
hợp lệ:

R2(config)#interface f0/0
R2(config-if)#mac-address 0000.1111.2222
R2(config-if)#exit

Lúc này, lưu lượng xuất phát từ R2 có thể đi tiếp được qua Switch:

R2#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Có thể thực hiện một số lệnh kiểm tra khác với port – security:

SW1#show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
10 0000.1111.1111 SecureConfigured Fa0/11 -
10 0000.1111.2222 SecureConfigured Fa0/12 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6144
SW1#show port-security interface f0/11
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.1111.1111:10
Security Violation Count : 0
SW1#show port-security interface f0/12
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.1111.2222:10
Security Violation Count : 0

3. Port – security (2)

• Cổng F0/24 của SW1 sẽ được sử dụng để kết nối đến một thiết bị tập trung khác (ví dụ: access – point).
• Cấu hình tính năng port – security trên cổng F0/24 của SW1 để chỉ cho phép tối đa 10 địa chỉ MAC được phép truy nhập đồng thời vào cổng này.
• Với mỗi địa chỉ MAC truy nhập cổng F0/24, nếu sau 10 phút liên tục mà không có dữ liệu từ MAC này đi vào cổng, địa chỉ MAC này sẽ được đưa ra khỏi danh sách được phép truy nhập trên cổng để dành chỗ cho MAC khác.
• Khi số lượng MAC truy nhập vượt quá 10 địa chỉ, thực hiện drop các frame đến từ MAC thứ 11 trở đi nhưng không cần phải phát thông điệp syslog cảnh báo.

Cấu hình:

Cấu hình port – security trên cổng F0/24 của SW1:

SW1(config)#interface f0/24
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 10
SW1(config-if)#switchport port-security violation protect
SW1(config-if)#switchport port-security aging type inactivity
SW1(config-if)#switchport port-security aging time 10
SW1(config-if)#exit

Có thể giải thích cách sử dụng các lệnh như sau:

SW1(config-if)#switchport port-security

Khi cấu hình lệnh này trên cổng, cổng sẽ bắt đầu tự động lưu địa chỉ source MAC của các frame đi vào cổng lên một danh sách các địa chỉ MAC được phép đi vào cổng cho đến khi danh sách này đầy. Khi danh sách đã đầy, nếu xuất hiện frame với source MAC mới tiếp tục đi vào cổng, hoạt động xử phạt sẽ diễn ra. Câu lệnh tiếp theo quy định kích thước tối đa của danh sách địa chỉ MAC được phép đi vào cổng (10 địa chỉ):

SW1(config-if)#switchport port-security maximum 10

Danh sách được học một cách tự động này sẽ bị xóa đi và xây dựng lại nếu cổng bị down, do đó hoạt động này chỉ có ý nghĩa nếu cổng được đấu nối đến một thiết bị tập trung như Hub hoặc access – point và các end – user Host sẽ phải truy nhập vào cổng của Switch thông qua thiết bị tập trung này.
Trên cổng F0/24, hình thức xử phạt frame vi phạm được chọn là “protect”:

SW1(config-if)#switchport port-security violation protect

Với hình thức này, frame vi phạm sẽ bị drop bỏ, nhưng không có bất kỳ cảnh báo nào được đưa ra.
Mỗi địa chỉ MAC trong bản danh sách địa chỉ được phép đi vào cổng có thể được cấu hình một giá trị timeout. Sau khoảng thời gian timeout này, địa chỉ sẽ bị xóa để nhường chỗ cho địa chỉ MAC khác. Có hai loại timeout mà có thể áp lên một địa chỉ trong danh sách:

• Absolute: với loại timeout này, hết timeout địa chỉ MAC sẽ bị xóa khỏi danh sách.
• Inactivity: với loại timeout này, hết timeout mà thiết bị không truyền dữ liệu gì vào cổng, MAC của thiết bị sẽ bị xóa khỏi danh sách.

Thực hiện chọn loại timeout để áp lên cổng bằng lệnh:

SW(config-if)#switchport port-security aging type {absolute|inactivity}

Khoảng thời gian timeout được chỉ ra bằng lệnh:

SW(config-if)#switchport port-security aging time minutes

Trên cổng F0/24, thực hiện chọn loại timeout là inactivity và cấu hình giá trị timeout là 10 phút để đáp ứng yêu cầu đặt ra:

SW1(config-if)#switchport port-security aging type inactivity
SW1(config-if)#switchport port-security aging time 10
Kiểm tra:

Thực hiện kiểm tra các thông số port - security đã được thiết lập trên cổng F0/24:

SW1#show port-security interface f0/24
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 10 mins
Aging Type : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 10
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

4. Storm – control

• Cấu hình tính năng storm – control trên cổng F0/11 đảm bảo tốc độ gửi gói unicast vào cổng này không được vượt quá 100 gói/s.
• Cấu hình tính năng storm – control trên cổng F0/12 đảm bảo tốc độ gửi gói broadcast vào cổng này không được vượt quá 10 gói/s.
• Khi số lượng gói tin gửi vào trên cổng vượt quá số lượng cho phép, cổng sẽ bị shutdown.

Cấu hình:

Trên SW1:

SW1(config)#interface f0/11
SW1(config-if)#storm-control action shutdown
SW1(config-if)#storm-control unicast level pps 100
SW1(config-if)#exit
SW1(config)#interface f0/12
SW1(config-if)#storm-control action shutdown
SW1(config-if)#storm-control broadcast level pps 10
SW1(config-if)#exit

Tính năng Storm – control được sử dụng để giới hạn số lượng traffic unicast, multicast hoặc broadcast nhận được trên một cổng.
Tùy thuộc vào hệ điều hành được sử dụng, câu lệnh “storm-control” có thể sử dụng đơn vị là phần trăm băng thông trên cổng, pps (packets per second), bps (bits per second),… Khi cấu hình, có thể sử dụng dấu “?” trong câu lệnh để xác định xem những loại đơn vị nào có thể được sử dụng.
Bên cạnh đó, người quản trị có thể cấu hình hiệu chỉnh ứng xử trên cổng khi hạn mức dữ liệu trên cổng vượt quá mức độ được chỉ ra:

SW1(config-if)#storm-control action ?
shutdown Shutdown this interface if a storm occurs
trap Send SNMP trap if a storm occurs

Trong đó:

• shutdown: với tùy chọn này, cổng sẽ bị shutdown khi số lượng dữ liệu gửi vào cổng vượt quá định mức quy định.
• trap: Switch sẽ chỉ phát đi một trap SNMP cảnh báo đến thiết bị giám sát.

Kiểm tra:

Kiểm tra kết quả cấu hình đã thực hiện:

SW1#show storm-control unicast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/11 Forwarding 100 pps 100 pps 0 pps
SW1#show storm-control broadcast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/12 Forwarding 10 pps 10 pps 0 pps

Thực hiện ping unicast tốc độ cao từ R1 để số lượng gói tin đi vào cổng F0/11 vượt quá 100 gói/s:

R1#ping 192.168.10.2 repeat 100000
Type escape sequence to abort.
Sending 100000, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
(…)

Khi số lượng gói tin đi vào cổng F0/11 vượt quá 100 gói/s, cổng sẽ bị đưa vào trạng thái err – disable và chuyển sang trạng thái down:

SW1#
*Mar 1 00:44:23.290: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/11, putting Fa0/11 in err-disable state
*Mar 1 00:44:23.290: %STORM_CONTROL-3-SHUTDOWN: A packet storm was detected on Fa0/11. The interface has been disabled.
SW1#
*Mar 1 00:44:23.299: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to down
SW1#
*Mar 1 00:44:25.295: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to down

SW1#show storm-control unicast
Int