switcport port-security

trunk ports, ether channel ports and switch port analyzer ports တွေမှာဆိုရင် port security က အလုပ်မလုပ်ပါဘူး။
Switch(config-if)#switchport port-security ?
mac-address  Secure mac address
maximum      Max secure addresses
violation    Security violation mode
<cr>
Switch(config-if)#switchport port-security mac-address ?
H.H.H   48 bit mac address
sticky  Configure dynamic secure addresses as sticky
Switch(config-if)#switchport port-security maximum ?
<1-132>  Maximum addresses
Switch(config-if)#switchport port-security violation ?
protect   Security violation protect mode
restrict  Security violation restrict mode
shutdown  Security violation shutdown mode
Switch(config-if)

Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation protect

protect က ဘယ်လိုမျိုးအလုပ်လုပ်လဲဆိုတော့ ဥပမာ  switchport port-security maximum 1 လို့ configure လုပ်ထားမယ်ဆိုရင် mac-address ၁ ခုထက်ပိုလာရင် ပိုလာတဲ့ mac-address တွေဆိုရင် အလုပ်မလုပ်တော့ဘဲနဲ့ အဲဒီကနေလာတဲ့ packets တွေကို drop လုပ်မယ်။ ပထမဆုံး mac-address ကတော့ ပုံမှန်အတိုင်းအလုပ်လုပ်ပါမယ်။

Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation restrict
Switch(config-if)#switchport port-security maximum 3

ဒီအတိုင်းလုပ်ထားမယ်ဆိုရင် mac-address 3 ခုအထိလက်ခံပြီးတော့ ၃ ခုထက်ကျော်သွားရင် ၄ ခုမြောက် mac-address ကနေလာတဲ့ packets တွေကို drop လုပ်လိမ့်မယ်။
ဆိုပါစို့ fa0/1 interface မှာ အထက်ကအတိုင်း configure လုပ်ထားပြီးတော့ အဲဒီportကို နောက်ထပ် switch တစ်ခုနဲ့ ချိတ်ပြီးတော့ အဲဒီ switch မှာ ကွန်ပျူတာ ၃ လုံးချိတ်ထားမယ်။ အဲလိုမျိုး setup လုပ်ထားမယ်ဆိုရင် ကွန်ပျူတာ ၂ လုံးပဲ အလုပ်လုပ်မယ်။ switchport port-security maximum 3 လို့ပေးထားပေမယ့် သူ့နဲ့ချိတ်ထားတဲ့ switch ကနေ mac-address တစ်ခုကိုလဲ learn လုပ်ပါလိမ့်မယ်။ အဲဒါကြောင့် ကွန်ပျူတာ ၂ လုံးပဲ အလုပ်လုပ်တာပါ။

Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security violation shutdown

ဒီလိုမျိုး configure လုပ်ထားမယ်ဆိုရင် အဲဒီ interface ကနေ learn လုပ်လို့ရတဲ့ mac-address ၃ ခုထက်ကျော်သွားမယ်ဆိုရင် အဲဒီ interface ကို shutdown လုပ်ပါလိမ့်မယ်။ အဲဒီ interface ကို ပြန်ပြီး up အောင်လုပ်ချင်တယ်ဆိုရင် အဲဒီ interface အောက်ကို သွားပြီး shut and no shut ရိုက်ပေးဖို့လိုပါတယ်။

port ကို အလိုအလျောက် ပြန်ပြီးတော့ up အောင်လုပ်ထားချင်တယ်ဆိုရင်တော့ အောက်ကကွန်မန်းကို global config mode မှာရိုက်ပေးဖို့လိုပါတယ်။

ESW1(config)#errdisable recovery cause psecure-violation
ESW1(config)#errdisable recovery intervla 30

အဲလိုရိုက်ထားလိုက်ရင် errordisable ကြောင့် port shutdown ဖြစ်ပြီး စက္ကန့် ၃၀ ကြာပြီးရင် အဲဒီ port က ပြန်ပြီး up ဖြစ်လာပါလိမ့်မယ်။

Advertisements

EIGRP with authentication

ဒီတစ်ခါတော့ EIGRP မှာ authentication ထည့်ပြီး configure လုပ်ကြည့်ရအောင်။ screenshot

Topology ကိုတော့အပေါ်က ပုံထဲကအတိုင်း သုံးလိုက်ပါမယ်။ R1 မှာ အောက်ကအတိုင်း configure လုပ်လိုက်မယ်။

int fa0/0

ip add 192.168.12.1 255.255.255.0

no shut

int lo0

ip add 1.1.1.1 255.255.255.0

router eigrp 10

net 192.168.12.0 0.0.0.255

net 1.1.1.0 0.0.0.255

no auto-summary

ပြီးရင် R2 မှာလဲ ဆက်ပြီး Configure လုပ်လိုက်မယ်။

int fa0/0

ip add 192.168.12.2 255.255.255.0

no shut

int lo0

ip add 2.2.2.2 255.255.255.0

router eigrp 10

net 192.168.12.0 0.0.0.255

net 2.2.2.0 0.0.0.255

no auto-summary

ဒါဆိုရင် EIGRP configuration က R1 and R2 မှာပြီးသွားပါဘီ။ ဒီအချိန်မှာ R1 ကနေ ping 2.2.2.2 source 1.1.1.1 လို့ရိုက်လိုက်ရင် အားလုံးအဆင်သွားပါလိမ့်မယ်။

ကဲဆက်ပြီး authentication ကို R2 မှာ configure လုပ်ကြည့်ရအောင်။

R2(config)#key chain EIGRP

R2(config-keychain)#key 1

R2(config-keychain-key)#key-string cisco

R2(config-keychain-key)#int fa0/0

R2(config-if)#ip authentication mode eigrp 10 md5

R2(config-if)#ip authentication key-chain eigrp 10 EIGRP

R2(config-if)#

အဲလို configure လုပ်လိုက်တာနဲ့ R2 မှာ အောက်ကလိုမျိုးတက်လာတယ်။

*Mar 1 00:05:59.835: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.12.1 (FastEthernet0/0) is down: authentication mode changed

ပြီးတော့ R1 ဘက်မှာလဲ အောက်ကလိုမျိုး မြင်ရပါလိမ့်မယ်။

*Mar 1 00:05:59.831: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.12.2 (FastEthernet0/0) is down: Interface Goodbye received *Mar 1 00:06:04.355: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.12.2 (FastEthernet0/0) is up: new adjacency *Mar 1 00:06:18.695: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.12.2 (FastEthernet0/0) is down: Auth failure

ခုဆိုရင် R1 ရဲ့ 1.1.1.1 ကနေ R2 ရဲ့ 2.2.2.2 ကို ping test လုပ်ကြည့်ရင် fail ဖြစ်ပါလိမ့်မယ်။

R1#ping 2.2.2.2 source 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

Packet sent with a source address of 1.1.1.1 ….. Success rate is 0 percent (0/5)

R1#

R1 ဘက်မှာလဲ အဆင်ပြေအောင် အဲဒီဘက်မှာလဲ authentication ကို ဆက်ပြီး configure လုပ်ရအောင်။

R1(config)#key chain EIGRP

R1(config-keychain)#key 1

R1(config-keychain-key)#key-string cisco

R1(config-keychain-key)#int fa0/0

R1(config-if)#ip authentication mode eigrp 10 md5

R1(config-if)#ip authentication key-chain eigrp 10 EIGRP

R1(config-if)#end

အဲလိုလုပ်ပြီးတာနဲ့ R1 ဘက်မှာ အောက်ကလိုမျိုးမြင်ရပါလိမ့်မယ်။

*Mar  1 01:37:36.479: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.12.2 (FastEthernet0/0) is up: new adjacency

R2 ဘက်မှာလဲ အောက်ကလိုမျိုး မြင်ရပါလိမ့်မယ်။

*Mar 1 00:05:59.835: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.12.1 (FastEthernet0/0) is down: authentication mode changed *Mar 1 01:37:36.467: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 192.168.12.1 (FastEthernet0/0) is up: new adjacency

ဒီအချိန်မှာ စောစောကလိုမျိုး ping test လုပ်ကြည့်ရအောင်။

R1#ping 2.2.2.2 source 1.1.1.1

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

Packet sent with a source address of 1.1.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/16/20 ms

R1#

R2 ဘက်မှာလဲ စမ်းကြည့်လိုက်ရအောင်။

R2#ping 1.1.1.1 source 2.2.2.2

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 2.2.2.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/12ms

R2#

ခုဆိုရင် authentication ကို R1 မှာရော R2 မှာရော configure လုပ်လိုက်တော့အားလုံးအဆင်ပြေသွားပါဘီ။

စမ်းကြည့်လိုက်ပါဦး။

RIP with Authentication

အရင်တုန်းက ရေးခဲ့တဲ့ RIP lab အကြောင်းတွေမှာ Authentication အကြောင်းမပါခဲ့ဘူး။ အခု ဒီနုတ်မှာတော့ RIP သုံးပြီး configure လုပ်ထားတဲ့ router တွေမှာ authentication ဘယ်လိုထည့်သလဲဆိုတာကိုပြောပြမှာဖြစ်ပါတယ်။

RIP_authentication

Topology ကိုတော့အထက်က ပုံလေးကိုပဲ သုံးထားပါတယ်။

R1 မှာ IP Address တွေကို ထုံးစံအတိုင်းပေးလိုက်ပါမယ်။

int fa0/0

ip address 192.168.12.1 255.255.255.0

no shut

int loopback 0

ip add 1.1.1.1 255.255.255.0

ပြီးရင် R1 မှာ RIP Version 2 ကို သုံးပြီး configure လုပ်လိုက်ပါမယ်။

router rip

version 2

network 192.168.12.0

network 1.1.1.0

no auto-summary

ဒါဆိုရင် R1 မှာ RIP configuration ပြီးပါဘီ။ ဆက်ပြီး R2 မှာ အဲဒီအတိုင်း Configure လုပ်လိုက်ပါမယ်။ R1 နဲ့ connect လုပ်ထားတဲ့ fa0/0 interface မှာတော့ 192.168.12.2/24 ကို ပေးလိုက်ပါမယ်။

ဒါတွေပြီးရင်တော့ RIP configuration က R1 and R2 မှာပြီးပါဘီ။ ဆက်ပြီး authentication ထည့်ရအောင်။

R1(config)#key chain RIP
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config-keychain-key)#end

R2(config)#key chain RIP
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string cisco
R2(config-keychain-key)#end

ဒီမှာဆိုရင် key chain နာမည်ကို RIP လို့သုံးလိုက်တယ်။ အဲဒီနေရာမှာကြိုက်တာ သုံးနိုင်ပါတယ်။ Router တိုင်းမှာတူစရာမလိုပါဘူး။ ပြီးတော့ authentication key ရဲ့ identifier number ကို ၁ လို့သုံးလိုက်တယ်။ တကယ်လို့ MD5 authentication ကို မသုံးဘူးဆိုရင် အဲဒီနံပါတ်လဲ တူစရာမလိုပါဘူး။ ဒီမှာတော့ အတူတူသုံးလိုက်ပါမယ်။ ဘာလို့လဲဆိုတော့ plain text authentication ရော MD5 authentication ရောသုံးမှာမို့လို့ပါ။ key-string ကတော့ ၂ ဖက်လုံးမှာ တူဖို့လိုပါတယ်။

ကဲပြီးရင် စောစောက ကျွန်တော်တို့ configure လုပ်ထားတဲ့ authentication တွေကို interface မှာ သုံးဖို့အတွက် configure ဆက်လုပ်ရအောင်။

R1(config)#int fa0/0
R1(config-if)#ip rip authentication key-chain RIP
R1(config-if)#end

R2(config)#int fa0/0
R2(config-if)#ip rip authentication key-chain RIP
R2(config-if)#end

ကဲဒါဆိုရင်ပြီးဘီ။ verify ဘယ်လိုပြန်လုပ်မလဲ။
RIP protocol ရဲ့ သဘောသဘာဝအရ routing update တွေကို every 30 seconds ကျရင် တခြား routes တွေကို ပို့တယ်။ အဲဒါကိုမြင်ချင်ရင် debug ip rip လို့ R1 မှာ ရိုက်ပြီးကြည့်ရအောင်။

ဒါတွေကတော့ R1 က R2 ဆီကိုပို့တဲ့ Routing update တွေပါ။
*Mar 1 02:00:22.775: RIP: sending v2 update to 224.0.0.9 via FastEthernet0/0 (192.168.12.1)
*Mar 1 02:00:22.775: RIP: build update entries
*Mar 1 02:00:22.775: 1.1.1.0/24 via 0.0.0.0, metric 1, tag 0
*Mar 1 02:00:27.931: RIP: sending v2 update to 224.0.0.9 via Loopback0 (1.1.1.1)
*Mar 1 02:00:27.931: RIP: build update entries
*Mar 1 02:00:27.931: 192.168.12.0/24 via 0.0.0.0, metric 1, tag 0
*Mar 1 02:00:27.939: RIP: ignored v2 packet from 1.1.1.1 (sourced from one of our addresses)

ဒါတွေကတော့ R1 က R2 ဆီကနေရတဲ့ Routing update တွေပါ။
*Mar 1 02:00:33.175: RIP: received packet with text authentication cisco
*Mar 1 02:00:33.175: RIP: received v2 update from 192.168.12.2 on FastEthernet0/0
*Mar 1 02:00:33.179: 2.2.2.0/24 via 0.0.0.0 in 1 hops
*Mar 1 02:00:35.179: RIP: sending v2 flash update to 224.0.0.9 via FastEthernet0/0 (192.168.12.1)
*Mar 1 02:00:35.179: RIP: build flash update entries – suppressing null update

အဲဒါတွေကြည့်ပြီး ဘာပြောနိုင်သလဲဆိုရင် RIP က routing update တွေကိုပို့ဖို့အတွက် multicast address 224.0.0.9 ကိုသုံးတယ်။ ပြီးတော့စောစောက ကျွန်တော်တို့ configure လုပ်တုန်းက authentication ကို plain text အနေနဲ့ပဲ ပို့တယ်။ ပိုပြီးစိတ်ချရအောင် MD5 ကိုသုံးပြီး authentication လုပ်ရအောင်။ အဲလိုလုပ်ဖို့အတွက်အောက်ကကွန်မန်းတွေထပ်ရိုက်ဖို့လိုပါတယ်။

R2(config)#int fa0/0
R2(config-if)#ip rip authentication mode md5
R2(config-if)#end

R1(config)#int fa0/0
R1(config-if)#ip rip authentication mode md5
R1(config-if)#end

အဲဒါတွေ လုပ်ြပီးရင် debug ip rip ကို ဆက်ရိုက်ပြီး routing update ဘယ်လိုပို့လဲဆိုတာကို ကြည့်ရအောင်။

*Mar 1 02:10:39.027: RIP: sending v2 update to 224.0.0.9 via FastEthernet0/0 (192.168.12.1)
*Mar 1 02:10:39.027: RIP: build update entries
*Mar 1 02:10:39.027: 1.1.1.0/24 via 0.0.0.0, metric 1, tag 0
*Mar 1 02:10:40.851: RIP: received packet with MD5 authentication
*Mar 1 02:10:40.855: RIP: received v2 update from 192.168.12.2 on FastEthernet0/0
*Mar 1 02:10:40.855: 2.2.2.0/24 via 0.0.0.0 in 1 hops
*Mar 1 02:10:53.171: RIP: sending v2 update to 224.0.0.9 via Loopback0 (1.1.1.1)
*Mar 1 02:10:53.171: RIP: build update entries
*Mar 1 02:10:53.171: 2.2.2.0/24 via 0.0.0.0, metric 2, tag 0
*Mar 1 02:10:53.175: 192.168.12.0/24 via 0.0.0.0, metric 1, tag 0
*Mar 1 02:10:53.179: RIP: ignored v2 packet from 1.1.1.1 (sourced from one of our addresses)

ဒီမှာဆိုရင် authentication မှာ ဘာပေးထားတယ်ဆိုတာကို မတွေ့ရတော့ဘူး။ ကျွန်တော်တို့အဲလိုတွေ့ရတာက router ၂ ခုလုံးမှာ MD5 authentication ကို သုံးမယ်ဆိုပြီး configure လုပ်လိုက်လို့အားလုံးအဆင်ပြေတာပါ။ အဲလိုမဟုတ်ဘဲ R1 မှာပဲ MD5 သုံးပြီး R2 မှာ MD5 မသုံးဘူးဆိုရင် အောက်ကလိုမျိုးတွေ့ရပါလိမ့်မယ်။
*Mar 1 02:16:14.115: RIP: ignored v2 packet from 192.168.12.2 (invalid authentication)

May all your updates are secure with MD5 authentication.

Introduction to ISA 2006

မြန်မာအင်ဂျင်နီယာဖိုရမ်မှာ ရေးဖြစ်ခဲ့တဲ့ Introduction to ISA 2006 စာအုပ်ကို ပြန်ရှယ်လိုက်ပါတယ်။
အောက်ကလင့်ကနေ ဒေါင်းနိုင်ပါတယ်။
http://bit.ly/tQqfwi
ပက်ဝပ်ကတော့ MEF ပါ။