Vlan hk

Merhaba,
büyük bir network ağına sahip lokasyona vlan kurup sistemi işler hale getirdim

şimdi şunu yapmak istiyorum.
normal şartlarda sw herhangi bir pc gelip patch kablo taksa ip alıp network e dahil olabılıyor.

bu güvenlık açığını nasıl kapatabılırım.

şimdiden teşekkür ederim.

MAC adresi ile koruma yapabilirsiniz kullanılmayan portları kapatıp ihtiyaç halinde açabilirsiniz MAC based vlan yapıp kayıtlı macleri bir vlana alıp diğerlerini defalt bir vlan alabilirsiniz vs..vs..

Merhabalar,

Bir kaç farklı yöntemle bu işlemi yapabilirsin.

Birinci olarak; Switch ayarlamalarını yaparken bütün portları örneğin vlan 1000' e alırsın. Vlan 1000' üzerinden networkünde olmayan bir IP dağıtılmasını sağlarsın. Bu sayede kullanıcı porta kablo taksa bile senin networküne ulaşamaz. İnternete giremiyorum gibi bir talep gelirse kullanıcının switch ucuna gerekli vlan atamasını yaparsın.

İkinci olarak; 802.1x yapılandırması kullanabilirsin. Biraz zordur. Ama istediğiniz tamda budur. Kullanıcı gelir kablo takar. İstemci hiç bir şekilde IP almaz. Kullanıcı adı ve şifre sorar. Eğer kullanıcı bu network üzerinde tanımlı ise ancak o zaman IP alabilir.

Üçüncü yol olarak (ki network ağım büyük demişsin o yüzden tavsiye etmem); Switch üzerindeki her porta mac adresi bazında port security uygulayabilirsin.

tşk.
İkinci Yöntem daha cazip geldi 
Peki 802.1x yapılandırması hakkında gerekli bilgiye ulaşabileceğim link var mı?

Birde bir sorum daha olacak konuyal hiçbir ilgisi yok ama aklıma gelmişken sormak istiyorum.

diyelim ki 30 küsür 48 portluk sw olan bir lokasyonda loop var
ben loop tek seferde nokta atışı yaparak nasıl bulabilirim böyle bir program var mı?

tşk.
İkinci Yöntem daha cazip geldi 
Peki 802.1x yapılandırması hakkında gerekli bilgiye ulaşabileceğim link var mı?

Birde bir sorum daha olacak konuyal hiçbir ilgisi yok ama aklıma gelmişken sormak istiyorum.

diyelim ki 30 küsür 48 portluk sw olan bir lokasyonda loop var
ben loop tek seferde nokta atışı yaparak nasıl bulabilirim böyle bir program var mı?

Nasıl bulurum sorusunun cevabı aslında kullanacağınız ürüne göre değişmekte. Port bazlı bir loop ile karşı karşıya iseniz CISCO da aşağıdaki uyarıyı alırsınız:

LOOP_BACK_DETECTED:, Loop-back detected on [chars]. The port is forced to linkdown. 

mesajda hangi port üzerinde olduğu da yazacaktır.

Eğer kaba tabiri ile swicthte veya switchlerde yaptığınız bir döngü ise STP çalışacaktır ve BLOCKEDPORT olacaktır.  Bu durumda ise yine cisco için;

show spanning-tree interface

komutu ile blocked port monitör edebilirsiniz. 

tşk.
İkinci Yöntem daha cazip geldi 
Peki 802.1x yapılandırması hakkında gerekli bilgiye ulaşabileceğim link var mı?

Birde bir sorum daha olacak konuyal hiçbir ilgisi yok ama aklıma gelmişken sormak istiyorum.

diyelim ki 30 küsür 48 portluk sw olan bir lokasyonda loop var
ben loop tek seferde nokta atışı yaparak nasıl bulabilirim böyle bir program var mı?

Cihazında Loop Protection sistemi varsa sadece aarsınız araştırma yada bulmaya gerek kalmaz switch kendi kendisine önlemi alır sizde sürekli bakım yada sistemle uğraşmak zorunda kalmazsınız 🙂

802.1x için her istemciye sertifika dağıtmanız gerekiyor her gelen misafir vs.. çok uğraştıracaktır switchte MAC based VLAN olup olmadığını kontrol edin.

Eğer port security düşünürseniz;

Network bittikten sonra mac address table kontrol edin ve portlardan emin olun.

Ardından interface mac adreslerini öğretmek için aşağıdaki komutu kullanın.

switchport port-security mac-address sticky

Bu komut sayesinde portlara tek tek mac adres öğretmenize gerek kalmadan mac leri öğretebilirsiniz. 

Bu sayede bir kaç komut ile port security ağınıza hazır hale gelebilir.