Pada dasarnya, switch tidak akan membatasi berapa banyak MAC-Address yang boleh akses ke switch, atau MAC Address mana saja yang boleh akses. Tetapi kita bisa melakukannya dengan fitur yang bernama Port-Security.
Dengan Port-Security kita bisa membatasi berapa banyak MAC Address yang dapat mengakses ke interface switch, dan MAC Address mana saja yang boleh mengakses.
Berdasarkan topologi diatas, kita ingin agar interface fa0/1 hanya bisa diakses oleh Laptop Kantor, dan Laptop Hacker tidak bisa berkomunikasi lewat interface fa0/1. Maka kita bisa gunakan konfigurasi sebagai berikut :
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0001.C994.958E
Switch(config-if)#switchport port-security violation protect
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0001.C994.958E
Switch(config-if)#switchport port-security violation protect
Ada 2 cara untuk menambahkan MAC-Address kedalam port-security yang kita buat :
1. Manual
Dengan metode manual kita harus memasukkan sendiri mac-address PC yang akan jadikan sebagai pemilik sah dari interface yang akan kita terapkan port-security.
Switch(config-if)#switchport port-security mac-address 0001.C994.958E
2. Sticky
Dengan metode Sticky, kita tidak perlu memasukan MAC-Address PC secara manual. Karena dengan metode ini, switch akan otomatis menambahkan MAC-Address dari PC yang pertama kali berkomunikasi di interface tersebut sebagai pemilik interface.
MAC-Address yang disimpan sticky tersimpan di running-configuration, dan akan hilang jika switchnya reboot / restart.
Switch(config-if)#switchport port-security mac-address sticky
By default, MAC-Address yang dapat didaftarkan dalam sebuah port-security adalah 1 MAC-Address, jika kita ingin menambahnya kita bisa gunakan perintah :
Switch(config-if)#switchport port-security maximum 2
Maksimal jumlah MAC-Address yang bisa disimpan adalah 132
Setelah kita menentukan MAC-Address mana yang bisa mengakses interface. Kita bisa menerapkan violation atau hukuman bagi MAC-Address pelanggar / yang tidak terdaftar di port-security.
Ada 3 metode violation di cisco :
1. Protect
Akan mengedrop komunikasi dari PC yang bukan pemilik asli
Switch(config-if)#switchport port-security violation protect
2. Restrict
Akan mengedrop komunikasi dari PC yang bukan pemilik asli interface dan akan membuat log message (menghitung berapa kali PC tersebut mencoba berkomunikasi)
Switch(config-if)#switchport port-security violation restrict
3. Shutdown
Akan mematikan interface saat ada komunikasi dari PC yang bukan pemilik asli interface dan akan membuat log message.
Switch(config-if)#switchport port-security violation shutdown
Interface yang mati karena di shutdown oleh port-security, maka statusnya adalah error-disabled. By default interface tersebut akan kembali lagi aktif setelah 50 detik saat dia kembali konek ke pemilik asli interface tersebut. Untuk mempercepat pengaktifkan kembali interface tersebut kita bisa memasukkan perintah shutdown, kemudian no shutdown.
Comments
Post a Comment