Tweet
[Chia sẻ kỹ thuật] Bảo mật cổng trên Switch Cisco: Hướng dẫn toàn diện cho kỹ sư mạng
Trong thế giới mạng hiện đại, nơi mọi thiết bị đều có thể là “cửa ngõ” tấn công, bảo mật cổng (Port Security) trên switch Cisco không chỉ là một tính năng – mà là tuyến phòng thủ đầu tiên giúp bạn kiểm soát truy cập vật lý vào hạ tầng mạng.
Nếu bạn là kỹ sư hệ thống, sinh viên MCSA/Azure hoặc đang hành nghề IT tại doanh nghiệp, thì đây là kỹ năng cực kỳ quan trọng cần nắm vững!
Bảo mật cổng là gì?
Port Security cho phép bạn giới hạn và giám sát các địa chỉ MAC có thể truy cập qua mỗi cổng chuyển mạch. Điều này giúp:
Ba chế độ phản ứng khi có vi phạm
Khi phát hiện địa chỉ MAC trái phép, switch có thể phản hồi theo ba cách:
📌 Trong môi trường đào tạo hoặc doanh nghiệp, lựa chọn chế độ phù hợp là yếu tố sống còn để vừa bảo vệ mạng vừa duy trì vận hành.
1. Giới hạn số lượng MAC – “Chặn ngay từ cửa”
interface GigabitEthernet0/0
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-security violation protect
→ Chỉ cho phép 3 MAC truy cập. Gói vi phạm bị drop im lặng. Dùng tốt cho lớp học hoặc môi trường đào tạo.
2. Cấu hình MAC tĩnh – “Chỉ định danh rõ ràng”
interface GigabitEthernet0/1 switchport mode access switchport port-security switchport port-security mac-address 0001.1234.ABCD switchport port-security maximum 1 switchport port-security violation restrict
→ Áp dụng cho các thiết bị quan trọng như máy in, điện thoại IP. Nếu MAC khác xuất hiện → log lại và chặn lưu lượng.
3. MAC dính (Sticky) – “Tự học và ghi nhớ”
interface GigabitEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security maximum 2
switchport port-security violation shutdown
→ Switch sẽ học MAC khi thiết bị đầu tiên cắm vào, lưu lại. Rất tiện lợi cho môi trường ổn định như phòng tài chính, nhân sự...
Tip: Đừng quên lưu cấu hình write memory để sticky MAC tồn tại sau khi reboot.
4. Lão hóa địa chỉ MAC – “Quản lý thiết bị di động hiệu quả”
interface GigabitEthernet0/3 switchport mode access switchport port-security switchport port-security aging time 10 switchport port-security aging type absolute
→ Sau 10 phút không hoạt động, MAC sẽ bị xóa. Phù hợp không gian linh hoạt (coworking space, văn phòng linh động).
5. Kiểm tra & xác minh bảo mật cổng
→ Giúp bạn theo dõi MAC đã học, vi phạm đang xảy ra, trạng thái của cổng…
🎯 Câu hỏi ôn tập nhanh
Trong bảo mật cổng, điều gì xảy ra khi vi phạm xảy ra ở chế độ "protect"?
✅ Lưu lượng không được phép bị loại bỏ mà không ghi nhật ký hoặc vô hiệu hóa cổng.
Lời kết
Port Security tuy là một tính năng cơ bản nhưng lại vô cùng mạnh mẽ trong Zero Trust ở tầng truy cập mạng. Bắt đầu từ chính chiếc switch văn phòng nhỏ, bạn đã có thể chặn đứng một cuộc tấn công từ bên trong.
Nếu bạn thấy bài viết hữu ích, đừng ngần ngại chia sẻ cho anh em cộng đồng MCSA - Azure - AWS - Network nhé!
Bạn có thể comment nếu muốn mình viết thêm phần Port Security + 802.1X + ISE nhé.
vnpro #SwitchSecurity #PortSecurity cisco MCSA AZURE #NetworkBasics #ZeroTrustAccess #NetCenter
Trong thế giới mạng hiện đại, nơi mọi thiết bị đều có thể là “cửa ngõ” tấn công, bảo mật cổng (Port Security) trên switch Cisco không chỉ là một tính năng – mà là tuyến phòng thủ đầu tiên giúp bạn kiểm soát truy cập vật lý vào hạ tầng mạng.
Nếu bạn là kỹ sư hệ thống, sinh viên MCSA/Azure hoặc đang hành nghề IT tại doanh nghiệp, thì đây là kỹ năng cực kỳ quan trọng cần nắm vững!
Bảo mật cổng là gì?
Port Security cho phép bạn giới hạn và giám sát các địa chỉ MAC có thể truy cập qua mỗi cổng chuyển mạch. Điều này giúp:
- Ngăn thiết bị lạ cắm vào mạng LAN và truy cập trái phép.
- Giảm thiểu các cuộc tấn công như giả mạo MAC hoặc tràn bảng CAM.
- Kiểm soát số lượng thiết bị kết nối vật lý vào từng cổng.
Ba chế độ phản ứng khi có vi phạm
Khi phát hiện địa chỉ MAC trái phép, switch có thể phản hồi theo ba cách:
- Protect: Bỏ qua gói tin vi phạm (không ghi log, không tắt cổng).
- Restrict: Bỏ qua gói tin vi phạm và ghi log vi phạm.
- Shutdown: Tắt hẳn cổng và chuyển sang trạng thái lỗi err-disabled.
📌 Trong môi trường đào tạo hoặc doanh nghiệp, lựa chọn chế độ phù hợp là yếu tố sống còn để vừa bảo vệ mạng vừa duy trì vận hành.
1. Giới hạn số lượng MAC – “Chặn ngay từ cửa”
interface GigabitEthernet0/0
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-security violation protect
→ Chỉ cho phép 3 MAC truy cập. Gói vi phạm bị drop im lặng. Dùng tốt cho lớp học hoặc môi trường đào tạo.
2. Cấu hình MAC tĩnh – “Chỉ định danh rõ ràng”
interface GigabitEthernet0/1 switchport mode access switchport port-security switchport port-security mac-address 0001.1234.ABCD switchport port-security maximum 1 switchport port-security violation restrict
→ Áp dụng cho các thiết bị quan trọng như máy in, điện thoại IP. Nếu MAC khác xuất hiện → log lại và chặn lưu lượng.
3. MAC dính (Sticky) – “Tự học và ghi nhớ”
interface GigabitEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security maximum 2
switchport port-security violation shutdown
→ Switch sẽ học MAC khi thiết bị đầu tiên cắm vào, lưu lại. Rất tiện lợi cho môi trường ổn định như phòng tài chính, nhân sự...
Tip: Đừng quên lưu cấu hình write memory để sticky MAC tồn tại sau khi reboot.
4. Lão hóa địa chỉ MAC – “Quản lý thiết bị di động hiệu quả”
interface GigabitEthernet0/3 switchport mode access switchport port-security switchport port-security aging time 10 switchport port-security aging type absolute
→ Sau 10 phút không hoạt động, MAC sẽ bị xóa. Phù hợp không gian linh hoạt (coworking space, văn phòng linh động).
5. Kiểm tra & xác minh bảo mật cổng
- Kiểm tra toàn cục:
- Kiểm tra theo từng cổng:
→ Giúp bạn theo dõi MAC đã học, vi phạm đang xảy ra, trạng thái của cổng…
🎯 Câu hỏi ôn tập nhanh
Trong bảo mật cổng, điều gì xảy ra khi vi phạm xảy ra ở chế độ "protect"?
✅ Lưu lượng không được phép bị loại bỏ mà không ghi nhật ký hoặc vô hiệu hóa cổng.
Lời kết
Port Security tuy là một tính năng cơ bản nhưng lại vô cùng mạnh mẽ trong Zero Trust ở tầng truy cập mạng. Bắt đầu từ chính chiếc switch văn phòng nhỏ, bạn đã có thể chặn đứng một cuộc tấn công từ bên trong.
Bạn đã bật bảo mật cổng cho các switch trong hệ thống mình chưa?
Nếu bạn thấy bài viết hữu ích, đừng ngần ngại chia sẻ cho anh em cộng đồng MCSA - Azure - AWS - Network nhé!
Bạn có thể comment nếu muốn mình viết thêm phần Port Security + 802.1X + ISE nhé.
vnpro #SwitchSecurity #PortSecurity cisco MCSA AZURE #NetworkBasics #ZeroTrustAccess #NetCenter
Attached Files