Tweet
Port Security
📘 PORT SECURITY – BẢO VỆ MẠNG LAN KHỎI TẤN CÔNG GIẢ MẠO MAC
🔹 1. Vì sao cần Port Security?
Trong mạng LAN, các switch hoạt động ở lớp 2 (Data Link Layer) và dùng bảng địa chỉ MAC (CAM table) để xác định thiết bị nào kết nối vào cổng nào.
Hacker có thể lợi dụng điểm này để tấn công kiểu MAC flooding:
⚠️ Đây là lý do tại sao Port Security ra đời – để giới hạn số lượng và loại địa chỉ MAC có thể truy cập qua từng cổng switch.
🔹 2. Port Security là gì?
Port Security là tính năng bảo mật lớp 2 trên Cisco Switch, giúp:
✅ Giới hạn số lượng địa chỉ MAC được phép hoạt động trên cổng.
✅ Ngăn chặn người dùng lạ cắm thiết bị trái phép vào mạng.
✅ Phát hiện và xử lý khi có địa chỉ MAC giả mạo xuất hiện.
Khi cấu hình, bạn có thể:
🔹 3. Ba chế độ học MAC trong Port Security
🔹 4. Cách switch phản ứng khi phát hiện vi phạm
Bạn có thể cấu hình switch phản ứng theo 3 chế độ:
🔹 5. Ví dụ cấu hình thực tế
Giả sử bạn muốn chỉ cho 1 máy hợp lệ (MAC 0000.1111.2222) kết nối vào cổng f0/1 của switch:
Switch(config)# interface f0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security mac-address 0000.1111.2222 Switch(config-if)# switchport port-security violation shutdown
✅ Như vậy, chỉ máy có MAC hợp lệ mới được phép truy cập.
⚙️ Nếu ai đó cắm laptop khác vào, cổng sẽ tự động shutdown để bảo vệ mạng.
🔹 6. Tự động phục hồi khi vi phạm
Nếu muốn switch tự mở lại cổng sau một thời gian, bạn thêm:
Switch(config)# errdisable recovery cause psecure-violation Switch(config)# errdisable recovery interval 300
➡️ Cổng sẽ tự kiểm tra lại sau 5 phút, nếu hết vi phạm thì kích hoạt lại.
🔹 7. Kết luận
Port Security là “hàng rào lớp 2” giúp doanh nghiệp ngăn chặn tấn công nội bộ, đặc biệt hiệu quả trong môi trường nhiều người dùng.
Đây là một kỹ năng bắt buộc mà bất kỳ kỹ sư mạng chuyên nghiệp (CCNA) nào cũng phải nắm vững.
🎯 Nếu bạn muốn nắm chắc các kỹ thuật bảo mật switch, VLAN, Trunk, Port Security, ACL, DHCP Snooping, và được học thực hành trực tiếp trên thiết bị Cisco thật,
👉 Hãy đăng ký ngay khóa học CCNA tại VnPro – nơi đào tạo chuyên sâu cho kỹ sư mạng thực chiến!
ccna cisco networking #PortSecurity vnpro cybersecurity
🔹 1. Vì sao cần Port Security?
Trong mạng LAN, các switch hoạt động ở lớp 2 (Data Link Layer) và dùng bảng địa chỉ MAC (CAM table) để xác định thiết bị nào kết nối vào cổng nào.
Hacker có thể lợi dụng điểm này để tấn công kiểu MAC flooding:
- Hắn gửi hàng ngàn frame giả mạo với địa chỉ MAC khác nhau vào switch.
- Khi bảng MAC đầy, switch không còn lưu được địa chỉ hợp lệ nữa.
- Lúc này, nó sẽ gửi bản sao của mọi gói tin ra tất cả các cổng, khiến hacker có thể nghe lén, đánh cắp dữ liệu — và switch gần như hoạt động như một hub!
⚠️ Đây là lý do tại sao Port Security ra đời – để giới hạn số lượng và loại địa chỉ MAC có thể truy cập qua từng cổng switch.
🔹 2. Port Security là gì?
Port Security là tính năng bảo mật lớp 2 trên Cisco Switch, giúp:
✅ Giới hạn số lượng địa chỉ MAC được phép hoạt động trên cổng.
✅ Ngăn chặn người dùng lạ cắm thiết bị trái phép vào mạng.
✅ Phát hiện và xử lý khi có địa chỉ MAC giả mạo xuất hiện.
Khi cấu hình, bạn có thể:
- Cho phép chỉ 1 hoặc vài địa chỉ MAC cụ thể hoạt động trên cổng.
- Xác định hành động khi có thiết bị “lạ” cắm vào.
🔹 3. Ba chế độ học MAC trong Port Security
| Dynamic | Switch tự động học MAC đầu tiên và khóa lại | Dễ cấu hình, dùng cho phòng lab nhỏ |
| Static | Quản trị viên khai báo thủ công MAC hợp lệ | Bảo mật cao, dùng trong môi trường cố định |
| Sticky | Switch tự học MAC, sau đó lưu vào running-config | Phổ biến nhất, kết hợp giữa bảo mật & linh hoạt |
🔹 4. Cách switch phản ứng khi phát hiện vi phạm
Bạn có thể cấu hình switch phản ứng theo 3 chế độ:
| Shutdown (mặc định) | Ngắt cổng ngay, đưa vào trạng thái err-disable, gửi cảnh báo SNMP. |
| Restrict | Giữ cổng hoạt động nhưng chặn frame vi phạm và ghi log cảnh báo. |
| Protect | Giữ cổng hoạt động, loại bỏ frame vi phạm mà không log cảnh báo. |
🔹 5. Ví dụ cấu hình thực tế
Giả sử bạn muốn chỉ cho 1 máy hợp lệ (MAC 0000.1111.2222) kết nối vào cổng f0/1 của switch:
Switch(config)# interface f0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security mac-address 0000.1111.2222 Switch(config-if)# switchport port-security violation shutdown
✅ Như vậy, chỉ máy có MAC hợp lệ mới được phép truy cập.
⚙️ Nếu ai đó cắm laptop khác vào, cổng sẽ tự động shutdown để bảo vệ mạng.
🔹 6. Tự động phục hồi khi vi phạm
Nếu muốn switch tự mở lại cổng sau một thời gian, bạn thêm:
Switch(config)# errdisable recovery cause psecure-violation Switch(config)# errdisable recovery interval 300
➡️ Cổng sẽ tự kiểm tra lại sau 5 phút, nếu hết vi phạm thì kích hoạt lại.
🔹 7. Kết luận
Port Security là “hàng rào lớp 2” giúp doanh nghiệp ngăn chặn tấn công nội bộ, đặc biệt hiệu quả trong môi trường nhiều người dùng.
Đây là một kỹ năng bắt buộc mà bất kỳ kỹ sư mạng chuyên nghiệp (CCNA) nào cũng phải nắm vững.
🎯 Nếu bạn muốn nắm chắc các kỹ thuật bảo mật switch, VLAN, Trunk, Port Security, ACL, DHCP Snooping, và được học thực hành trực tiếp trên thiết bị Cisco thật,
👉 Hãy đăng ký ngay khóa học CCNA tại VnPro – nơi đào tạo chuyên sâu cho kỹ sư mạng thực chiến!
ccna cisco networking #PortSecurity vnpro cybersecurity