Assalamu'alaikum wr.wb
Apa Itu Port Security
Port Security merupakan mekanisme keamanan yang digunakan pada switch Cisco. Dengan port security, kita bisa membatasi jumlah host yang dapat terkoneksi pada sebuah port yang ada pada switch serta menentukan host mana saja yang bisa terkoneksi ke switch.
Prinsip dalam mengkonfigurasi port security adalah mendaftarkan mac address mana saja yang bisa atau diperbolehkan untuk terkoneksi ke switch. Sedangkan cara kerja dari port security adalah ia akan membuang paket dari host atau memblok host yang mac address nya tidak sesuai dengan konfigurasi pada port security.
Terdapat dua macam port security pada cisco, yakni static dan sticky (dinamik). Pada port security statik, mac address host harus ditambahkan secara manual oleh administrator, sedangkan pada port security dinamik, mac address akan ditambahkan secara otomatis.
Selain itu, dalam port security dikenal istilah violation. Yakni tindakan yang akan dilakukan oleh port interface pada switch ketika terdapat host yang tidak terdaftar mac address nya berusaha untuk terhubung melalui interface yang sudah disetting port security. Ada 3 macam violation yaitu:
1. Protect.
2. Restrict.
3. Shutdown.
Interface yang merupakan violation protect, akan membuang (drop) paket yang dikirim oleh host yang tidak di ijinkan tadi. Jika dilihat melalui commad ping, maka akan menghasilkan output Request time out.
Interface yang menerapkan violation restrict, akan membuang (drop) pakrt seperti pada mode protect, namun interface akan menghitung jumlah violation yang terjadi. sementara pada mode protect jumlah violation tidak akan dihitung. Untuk melihat jumlah violasi yang terjadi (violation count), gunakan perintah (show port-security interface <nama-interface>).
Sedangkan interface yang menerapkan violation shutdown, akan menonaktifkan port interface yang digunakan oleh host yang tidak diijinkan tadi. Ketika host mengirim paket ke host lain seperti ping, maka seketika port akan ter-shutdown. Apabila dilihat pada cisco packet tracer, maka link yang menghubungkan host dengan switch akan berwarna merah.
TOPOLOGI.
Dibawah ini adalah cara konfigurasi Port Security:
1. Langkah pertama masukan semua IP ke masing-masing PC dan lakukan pengecekan mac-address pada switch, agar switch bisa mencatat mac-address yang ada pada PC dan memasukannya kedalam mac-address pada table kita perlu melakukan ping ke PC1 ke PC2
Switch>en
Switch#show mac-address-table
Kita coba ping kan dari PC1 ke PC 2
kita bisa lihat lagi hasil dari verifikasi mac-address-table pada swicth, lakukan seperti sebelumnya
Switch#show mac-address-table
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int fa0/1
Switch(config-if)#sw port-security mac-address 000a.f3d2.53b3
Port-security not enabled on interface FastEthernet0/1.
Di atas ada peringatan bahwa kita harus mengaktifkan port-security yang ada pada switch, sekarang kita aktifkan dulu port-security nya perintahnya adalah sebagai berikut.
masih ada peringatan lagi, isi dari peringatan tersebut adalah status port pada switch masih menggunakan mode dynamic, untuk itu kita harus mengubah nya menjadi akses terlebih dahulu baru mengaktifkan port-security serta konfigurasi static address pada switch ini.
Configurasi nya seperti ini.
Switch(config-if)#sw port-security
Command rejected: FastEthernet0/1 is a dynamic port.
Switch(config-if)#sw mode access
Switch(config-if)#sw port-security
Switch(config-if)#sw port-security mac-address 000a.f3d2.53b3
Switch(config-if)#do write
Building configuration...
[OK]
Switch(config-if)#do reload
Proceed with reload? [confirm]
Kita akan melakukan percobaan dengan merestasrt switch ini, jangan lupa untuk menyimpan hasil konfigurasi yang sudah kita lakukan.
bisa kita lihat bahwa jika kita melakukan konfigurasi mac-address static pada port-security maka ketika di restart mac-address masih tetap tersimpan di dalam switch berbeda dengan tipe-tipe dynamic yang akan hilang ketika switch di restart. Kita lakukan konfigurasi port-security untuk mendaftarkan mac-address kedalam switch menggunakan sticky. Kita akan mendaftarkan interface yang mengarah ke PC2, lakukan konfigurasi dibawah ini!,
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int fa0/2
Switch(config-if)#sw mod acc
Switch(config-if)#sw port-security
Switch(config-if)#sw port-security mac-address sticky
jangan lupa untuk melakukan ping dari PC2 ke PC1 agar switch melakukan update mac-address-table nya.
Bisa dilihat type mac-address pada port yang mengarah ke PC2 sudah berubah menjadi static secara otomatis tanpa harus mendaftarkan adress tersebut secara manual, untuk informasi lebih detailnya kita bisa menggunakan perintah ini.
Switch(config-if)#do show mac-address-table
bisa dilihat tipe port interface fastEthernet0/2 adalah SecureSticky, langkah selanjutnya yaitu tindakan yang akan di lakukan oleh switch jika ada PC yang mac-address nya tidak sesuai dengan mac-address-table, misalnya disini kita akan menggunakan violation protect.
Switch(config-if)#sw port-security violation protect
Switch(config-if)#do show port-security interface fastethernet 0/2
bisa dilihat dari hasil tersebut pada bagian Port Status adalah: Secure-up dan Violation Mode nya adalah protect. Selanjutnya kita pindahkan kabel nya dari PC2 ke PC3 serta lakukan perintah ping di PC3 ke PC1.
Jika hasil tidak terkoneksi. Perintah lainnya adalah violation restrict, sebelum kita melakukan konfigurasi violation restrict kita kembalikan kabel nya ke PC2.
Switch(config-if)#sw port-security violation restrict
Switch(config-if)#do show port-security interface fastethernet 0/2
dari hasil verifikasi tersebut kita bisa lihat bahwa Violation nya sudah berubah menjadi Restrict. Kita lakukan hal yang sama seperti sebelumnya lakukan ping dari PC3 ke PC1, kita pindahkan kabel dari PC2 ke PC3.
Disini masih tidak terkoneksi maka kita akan melakukan perintah yang terakhir yaitu Violation shutdown seperti biasa sebelum melakukan konfigurasi Violation shutdown kita pindahkan kabel dari PC3 ke PC2.
Switch(config-if)#sw port-security violation shutdown
Switch(config-if)#do show port-security interface fastethernet0/2
Oke disini kita bisa lihat Violation nya sudah berubah menjadi shutdown, sekarang kita pindahkan lagi kabel nya seperti sebelum nya dan kita coba melakukan perintah ping ke PC1.
dan hasilnya masih tidak bisa terkoneksi dan lihat lampu indikatornya berubah berwarna merah
Ketika di lihat pada log di switch pun mengindikasikan bahwa port switch dalam keadaan down ia mengakibatkan PC tersebut tidak terkoneksi ke jaringan, agar interface yang down ini kembali menjadi up caranya seperti ini.
Switch(config-if)#shutdownSwitch(config-if)#no shutdown
Bisa dilihat status portnya sudah kembali up dan lampu indikator pada switch sudah kembali berwarna hijau selain konfigurasi tersebut kita juga bisa membuat jumlah maximum mac-address yang dapat di simpan untuk satu port interface pada mac-address-table, misalnya kita akan membatasi 2 mac-addres saja untuk satu port interface pada switch. Caranya kita gunakan perintah ini.
Switch(config-if)#sw port-security maximum 2
Switch(config-if)#do show port-security
Dari hasil verifikasi tersebut kita bisa lihat jumlah mac-address yang dapat ditambahkan dalam sebuah port interface pada bagian MaxSecureAddr seperti yang sudah kita konfigurasi sebelumnya jumlahnya adalah 2 yang artinya bahwa dalam satu port interface hanya akan menampung 2 mac-address yang nantinya akan dimasukan ke dalam mac-address-table, sedangkan pada bagian Current Addr adalah jumlah yang sudah terdaftar port tersebut, kita akan menambahkannya dengan cara memindahkan kabel dari PC2 ke PC3. Setelah itu lakukan ping ke PC3 ke PC1 agar switch melakukan update mac-address-table nya.
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int fa0/2
Switch(config-if)#do show port-security
Oke sudah berubah menjadi 2 selanjutnya kita pindahkan kabel dari PC3 ke PC4, kemudian lakukan perintah ping dari PC ke PC1.
hasil tidak terkoneksi dan lihat kembali status port-security pada switch
Switch(config-if)#do show port-security
Pada bagian SecurityViolantion ada angka 1 ini mengindikasikan bahwa ada satu PC yang mencoba untuk masuk kedalam jaringan melalui port yang sudah kita lakukan konfigurasi port-security.
Itulah cara konfigurasi Port Security pada port interface yang ada di switch Cisco, semoga bermanfaat. Sekian dari saya Wassalamu'alaikum wr.wb
