MUHAMMAD RIZKY M

TEDK SMKN 1 CIMAHI · XII TEDK A

rmaulana0014@gmail.com · 081224753344 · m.rizkyym

Tugas ini ditujukan sebagai pemenuhan tugas mata pelajaran SKDTKB pada semester genap. Tahun
pelajaran 2020-2021

HASIL TERJEMAHAN
11.0.1
MENGAPA SAYA HARUS MENGAMBIL MODUL INI?

Selamat datang di Switch Security Configuration!

Bagian penting dari tanggung jawab Anda sebagai profesional jaringan adalah
menjaga keamanan jaringan. Seringkali kita hanya memikirkan serangan
keamanan yang datang dari luar jaringan, tetapi ancaman juga dapat datang dari
dalam jaringan. Ancaman ini dapat berkisar dari karyawan yang secara tidak
sengaja menambahkan sakelar Ethernet ke jaringan perusahaan sehingga mereka
dapat memiliki lebih banyak port, hingga serangan jahat yang disebabkan oleh
karyawan yang tidak puas. Adalah tugas Anda untuk menjaga jaringan tetap aman
dan memastikan bahwa operasi bisnis terus berlanjut tanpa gangguan.

Bagaimana kami menjaga jaringan tetap aman dan stabil? Bagaimana cara kami
melindunginya dari serangan jahat dari dalam jaringan? Bagaimana cara kami
memastikan karyawan tidak menambahkan sakelar, server, dan perangkat lain ke
jaringan yang dapat membahayakan operasi jaringan?

Modul ini adalah pengantar Anda untuk menjaga keamanan jaringan Anda dari dalam!

11.0.2
APA YANG AKAN SAYA PELAJARI DALAM MODUL INI?

Judul Modul:Konfigurasi Keamanan Switch

ModulTujuan: Mengonfigurasi keamanan switch untuk mengurangi serangan

LAN.

Topik Judul Topik Tujuan

Menerapkan Menerapkan keamanan port untuk mengurangi serangan tabel
Keamanan Port alamat MAC.
 Mitigasi Serangan Jelaskan cara mengkonfigurasi DTP dan VLAN asli untuk
VLAN mengurangi serangan VLAN.
Mitigate DHCP Jelaskan bagaimana mengkonfigurasi DHCP mengintip untuk
Attacks mengurangi serangan DHCP.
Mitigasi Serangan Jelaskan bagaimana mengkonfigurasi inspeksi ARP untuk
ARP mengurangi serangan ARP.
Mitigasi Serangan Jelaskan cara mengkonfigurasi PortFast dan BPDU Guard untuk
STP mengurangi serangan STP.

11.1.1
MENGAMANKAN PORT YANG TIDAK DIGUNAKAN PERANGKAT

lapisan 2 dianggap sebagai tautan terlemah dalam infrastruktur keamanan

perusahaan. Serangan Layer 2 adalah beberapa yang paling mudah digunakan oleh
peretas, tetapi ancaman ini juga dapat dikurangi dengan beberapa solusi Layer 2 yang
umum.

Semua port sakelar (antarmuka) harus diamankan sebelum sakelar digunakan untuk
penggunaan produksi. Bagaimana sebuah port diamankan bergantung pada
fungsinya.

Metode sederhana yang digunakan banyak administrator untuk membantu

mengamankan jaringan dari akses tidak sah adalah dengan menonaktifkan semua
port yang tidak digunakan pada sebuah sakelar. Misalnya, jika sakelar Catalyst
2960 memiliki 24 port dan ada tiga koneksi Fast Ethernet yang digunakan, praktik
yang baik adalah menonaktifkan 21 port yang tidak digunakan. Arahkan ke setiap
port yang tidak digunakan danCisco IOS keluarkanshutdown perintah. Jika sebuah
port harus diaktifkan kembali di lain waktu, itu dapat diaktifkan tanpashutdown
perintah.

Untuk mengkonfigurasi berbagai port, gunakan range interface perintah.

Beralih (config) # rentang antarmuka ketik module / first-number - last-number

Misalnya, untuk mematikan port Fa0 / 8 melalui Fa0 / 24 di S1, Anda

harus memasukkan perintah berikut.

2
S1 (config) # range interface fa0 / 8 - 24
S1 (config-if-range) # shutdown
% LINK-5-CHANGED: Interface FastEthernet0 / 8, status berubah menjadi
secara administratif turun
(keluaran dihilangkan)
% LINK-5-CHANGED: Antarmuka FastEthernet0 / 24, mengubah status ke bawah
secara administratif
S1 (config-if-range) #

11.1.2
MENGURANGI SERANGAN TABEL ALAMAT MAC

Metode paling sederhana dan efektif untuk mencegah serangan overflow tabel
alamat MAC adalah dengan mengaktifkan keamanan port.

Keamanan port membatasi jumlah alamat MAC valid yang diperbolehkan pada
sebuah port. Hal ini memungkinkan administrator untuk secara manual
mengkonfigurasi alamat MAC untuk sebuah port atau untuk mengizinkan switch
untuk secara dinamis mempelajari alamat MAC dalam jumlah terbatas. Saat port
yang dikonfigurasi dengan keamanan port menerima bingkai, alamat MAC
sumber bingkai dibandingkan dengan daftar alamat MAC sumber aman yang
dikonfigurasi secara manual atau dipelajari secara dinamis di port.

Dengan membatasi jumlah alamat MAC yang diizinkan pada satu port menjadi
satu, keamanan port dapat digunakan untuk mengontrol akses tidak sah ke
jaringan, seperti yang ditunjukkan pada gambar.

3
11.1.3

AKTIFKANKEAMANAN PORT

Pemberitahuandalam contoh, keamanan port switchport perintahditolak. Ini karena

keamanan port hanya dapat dikonfigurasi pada port akses yang dikonfigurasi secara
manual atau port trunk yang dikonfigurasi secara manual. Secara default, port switch
Layer 2 diatur ke auto dinamis (trunking aktif). Oleh karena itu, dalam contoh, port
dikonfigurasi dengan akses mode switchport perintah konfigurasi antarmuka.

Catatan: Keamanan port trunk berada di luar cakupan kursus ini.

S1 (config) # interface f0 / 1

S1 (config-if) # switchport port-security

Perintah ditolak: FastEthernet0 / 1 adalah port dinamis.

S1 (config-if) # switchport mode access

S1 (config-if) # switchport port-security

S1 (config-if) # end

S1 #

Gunakan perintah show port-security interface untuk menampilkan pengaturan

keamanan port saat ini untuk FastEthernet 0 / 1, seperti yang ditunjukkan pada contoh.
Perhatikan bagaimana keamanan port diaktifkan, status port Aman-down yang berarti
tidak ada perangkat yang terpasang dan tidak ada pelanggaran yang terjadi, mode
pelanggaran adalah Shutdown, dan berapa jumlah maksimum alamat MAC adalah 1.
Jika perangkat terhubung ke port, status port switch akan menampilkan Secure-up dan
switch akan secara otomatis menambahkan alamat MAC perangkat sebagai MAC aman.
Dalam contoh ini, tidak ada perangkat yang terhubung ke port.
4
S1 # show port-security interface f0 / 1

Port Security: Enabled

Status Port: Secure-down

Violation Mode: Shutdown

Aging Time: 0 mnt

Jenis Penuaan: Absolute

SecureStatic Address Penuaan: Dinonaktifkan

Alamat MAC Maksimum: 1

Alamat MAC Total: 0

MAC yang Dikonfigurasi Alamat: 0

Sticky MAC Addresses: 0

Last Source Address: Vlan: 0000.0000.0000: 0

Security Violation Count: 0

S1 #

Catatan: Jika port aktif dikonfigurasi dengan perintah switchport port-security

dan lebih dari satu perangkat terhubung ke sana port, port akan beralih ke status
error-disabled. Kondisi ini dibahas nanti dalam topik ini.

Setelah keamanan port diaktifkan, spesifikasi keamanan port lainnya

dapat dikonfigurasi, seperti yang ditunjukkan dalam contoh.

S1 (config-if) # switchport port-security?

penuaan Perintah penuaan keamanan port

mac-address Alamat mac

amanalamat aman maksimum

5
 PelanggaranMode pelanggaran keamanan <cr>

S1 (config-if) # switchport port-security

11.1.4

BATASI DAN PELAJARI ALAMAT MAC

Untuk mengatur jumlah maksimum alamat MAC yang diperbolehkan pada

sebuah port, gunakan perintah berikut:

Switch (config-if) # switchport port-securitymaksimum nilaiNilai

keamanan port default adalah 1. Jumlah maksimum alamat MAC aman yang
dapat dikonfigurasi bergantung pada sakelar dan IOS. Dalam contoh ini,
maksimumnya adalah 8192.

S1 (config) # interface f0 / 1

S1 (config-if) # switchport port-security maximum?

<1-8192> Alamat maksimum

S1 (config-if) # switchport port-security maximum

Switch dapat dikonfigurasi untuk mempelajari tentang alamat MAC pada port
aman dengan salah satu dari tiga cara:

1. Dikonfigurasi Secara Manual

Administrator secara manual mengkonfigurasi MAC statis alamat dengan

menggunakan perintah berikut untuk setiap alamat MAC aman di port:

Switch (config-if) # switchport port-security mac-address mac-

address 2. Dipelajari Secara Dinamis

Ketika perintah switchport port-security dimasukkan, MAC sumber saat ini untuk
perangkat yang terhubung ke port diamankan secara otomatis tetapi tidak
6
ditambahkan ke konfigurasi startup. Jika sakelar di-boot ulang, port harus
mempelajari kembali alamat MAC perangkat.

3. Dipelajari Secara Dinamis - Lengket

Administrator dapat mengaktifkan sakelar untuk mempelajari alamat MAC

secara dinamis dan “menempelkannya” ke konfigurasi yang sedang
berjalan dengan menggunakan perintah berikut:

Alihkan (config-if) # switchport port-security mac-address sticky

Menyimpan menjalankan konfigurasi akan memasukkan alamat MAC yang

dipelajari secara dinamis ke NVRAM.

Contoh berikut menunjukkan konfigurasi keamanan port lengkap untuk FastEthernet 0/1
dengan host yang terhubung ke port Fa0 / 1. Administrator menentukan maksimal 2
alamat MAC, secara manual mengkonfigurasi satu alamat MAC aman, dan kemudian
mengkonfigurasi port untuk secara dinamis mempelajari alamat MAC aman tambahan
hingga maksimal 2 alamat MAC aman. Gunakan antarmuka show port-security dan
perintah show port-security address untuk memverifikasi konfigurasi.

* 1 Mar 00: 12: 38.179:% LINK-3-UPDOWN: Interface FastEthernet0 / 1, status

berubah menjadi lebih tinggi

* 1 Mar 00: 12: 39.194:% LINEPROTO-5-UPDOWN: Protokol baris pada Interface

* FastEthernet0 / 1, diubah negara ke atas
*
* S1 #conf t
*
* Masukkan perintah konfigurasi, satu per baris. Akhiri

dengan CNTL / Z. S1 (config) #

* S1 (config) # interface fa0 / 1

*
* S1 (config-if) # akses mode switchport
*
* S1 (config-if) # switchport port-security
*
* S1 (config-if) # switchport port-security maximum 2
*
* S1 ( config-if) # switchport port-security mac-address aaaa.bbbb.1234
7
 *
* S1 (config-if) # switchport port-security mac-address lengket
*
* S1 (config-if) # end
*
* S1 # show port-security interface fa0 / 1
*
* Port Security: Diaktifkan
*
* Status Port: Secure-up
*
* Mode Pelanggaran: Shutdown
*
* Aging Time: 0 mnt
*
* Jenis Penuaan: Absolute
*
* SecureStatic Address Penuaan: Dinonaktifkan
*
* Alamat MAC Maksimum: 2
*
* Alamat MAC Total: 2
*
* Alamat MAC yang Dikonfigurasi: 1
*
* Alamat MAC Lengket: 1
*
* Alamat Sumber Terakhir: Vlan: a41f.7272.676a: 1
*
* Jumlah Pelanggaran Keamanan: 0
*
* S1 # tampilkan alamat keamanan port
Tabel Alamat Mac Aman

------ -------------------------------------------------- ---------------------

Jenis Alamat Mac Vlan Ports Sisa Umur

(menit)

---- ----------- ---- ----- -------------

1 a41f.7272.676a SecureSticky Fa0 / 1 -

8
1 aaaa.bbbb.1234 SecureConfigured Fa0 / 1 -

----------- -------------------------------------------------- ----------------

Total Alamat di Sistem (tidak termasuk satu mac per port): 1

Batas Alamat Maks di Sistem (tidak termasuk satu mac per port): 8192

S1 #

Output dari perintah show port-security interface memverifikasi bahwa keamanan

port diaktifkan, ada host yang terhubung ke port (yaitu, Secure-up), total 2 alamat
MAC akan diizinkan, dan S1 telah mempelajari satu alamat MAC statis dan satu
alamat MAC secara dinamis (mis., lengket).

Output dari perintah show port-security address mencantumkan dua alamat MAC
yang dipelajari.

Output dari perintah show port-security interface memverifikasi bahwa keamanan

port diaktifkan, ada host yang terhubung ke port (yaitu, Secure-up), total 2 alamat
MAC akan diizinkan, dan S1 telah mempelajari satu alamat MAC statis dan satu
alamat MAC secara dinamis (mis., lengket).

Output dari perintah show port-security address mencantumkan dua alamat

MAC yang dipelajari.

11.1.5

Penuaan Keamanan Port Penuaan

keamanan port dapat digunakan untuk mengatur waktu penuaan untuk alamat
aman statis dan dinamis pada port. Dua jenis penuaan didukung per port:

∙ Absolute - Alamat aman di port dihapus setelah waktu penuaan yang ditentukan.
∙ Ketidakaktifan - Alamat aman di port akan dihapus hanya jika tidak aktif selama
∙ waktu penuaan yang ditentukan.
∙
∙ Gunakan penuaan untuk menghapus alamat MAC aman pada port
aman tanpa menghapus alamat MAC aman yang ada secara manual. Batas

9
 waktu penuaan juga dapat ditingkatkan untuk memastikan alamat MAC aman
sebelumnya tetap ada, bahkan saat alamat MAC baru ditambahkan. Penuaan
alamat aman yang dikonfigurasi secara statis dapat diaktifkan atau
dinonaktifkan pada basis per port.
∙
∙ Gunakan penuaan keamanan port switchport perintahuntuk
mengaktifkan atau menonaktifkan penuaan statis untuk port aman, atau
untuk menyetel waktu atau jenis penuaan.
∙
∙ Switch (config-if) # switchport port-security aging { statis | waktu
waktu | ketik {absolut | inaktivitas}}
∙
∙ Parameter untuk perintah dijelaskan dalam tabel.
∙

Parameter Deskripsi

Aktifkan penuaan untuk alamat aman yang dikonfigurasi secara statis

statis pada port ini.

waktu Tentukanpenuaan untuk port ini. Kisarannya adalah 0 hingga 1440

waktuwaktu menit. Jika waktunya 0, penuaan dinonaktifkan untuk port ini.
jenis absolut Atur waktu penuaan absolut. Semua alamat aman di port ini habis tepat
setelah waktu (dalam menit) yang ditentukan dan dihapus dari daftar
alamat aman.
type Setel jenis penuaan ketidakaktifan. Alamat aman di port ini akan habis
inactivity hanya jika tidak ada lalu lintas data dari alamat sumber aman untuk
jangka waktu yang ditentukan.
∙
∙ Catatan: Alamat MAC ditampilkan sebagai 24 bit untuk
kesederhanaan.
∙
∙ Contoh tersebut menunjukkan administrator yang mengonfigurasi
tipe penuaan hingga 10 menit tanpa aktivitas dan dengan menggunakan
perintah show port-security interface untuk memverifikasi konfigurasi.
∙
∙ S1 (config) # interface fa0 / 1
∙
∙ S1 (config-if) # switchport port-security aging time 10
∙
∙ S1 (config-if) # switchport port-security aging type tidak aktif
10
 ∙
∙ S1 (config-if) # end
∙
∙ S1 # show port- antarmuka keamanan fa0 / 1

Port Keamanan: Diaktifkan

Status Port: Secure-up

Mode Pelanggaran: Shutdown

Penuaan Waktu: 10 menit

Jenis Penuaan: Tidak AktifUsia

Alamat SecureStatic: Dinonaktifkan

Alamat MAC Maksimum: 2

Alamat MAC Total: 2

Alamat MAC yang Dikonfigurasi: 1

MAC Lengket Alamat: 1

Alamat Sumber Terakhir: Vlan: a41f.7272.676a: 1

Jumlah Pelanggaran Keamanan: 0

S1 #

11.1.6

MODE PELANGGARAN KEAMANAN PORT

Jika alamat MAC perangkat yang terpasang ke port berbeda dari daftar
alamat aman, maka a pelanggaran pelabuhan terjadi. Secara default, port
memasuki status error-disabled.

Untuk menyetel mode pelanggaran keamanan port, gunakan perintah berikut:

11
Switch (config-if) # switchport port-security breaking { protect | batasi |
shutdown}

Tabel berikut menunjukkan bagaimana saklar bereaksi berdasarkan mode

pelanggaran yang dikonfigurasi.

MODE PELANGGARAN KEAMANAN DESKRIPSI

Mode Deskripsi

Port bertransisi ke status error-disabled segera, mematikan LED port, dan

shutdown mengirim pesan syslog. Ini meningkatkan penghitung pelanggaran. Jika
port aman dalam status error-nonaktif, administrator harus
(default)
mengaktifkannya kembali dengan memasukkan perintah shutdown dan
tidak adashutdown perintah.
Batasi Port menjatuhkan paket dengan alamat sumber yang tidak diketahui
sampai Anda menghapus alamat MAC aman dalam jumlah yang cukup
untuk turun di bawah nilai maksimum atau meningkatkan nilai maksimum.
Mode ini menyebabkan penghitung Pelanggaran Keamanan bertambah dan
menghasilkan pesan syslog.
melindun Ini adalah mode pelanggaran keamanan yang paling tidak aman. Port
gi menjatuhkan paket dengan alamat sumber MAC yang tidak diketahui
sampai Anda menghapus alamat MAC aman dalam jumlah yang cukup
untuk jatuh di bawah nilai maksimum atau meningkatkan nilai maksimum.
Tidak ada pesan syslog yang dikirim.

MODE PELANGGARAN KEAMANAN PERBANDINGAN MODE

Pelanggar Membuang Lalu Lintas Mengirim Meningkatkan Menutup

an yang Menyinggung Pesan Syslog Penghitung Port
Pelanggaran

Proteksi Ya Tidak Tidak Tidak

Batasi Ya Ya Ya Tidak

Shutdown Ya Ya Ya Ya
12
 Contoh berikut menunjukkan administrator mengubah pelanggaran keamanan
untuk "membatasi". Output dari perintah show port-security interface
mengkonfirmasi bahwa perubahan telah dilakukan.

S1 (config) # interface f0 / 1

S1 (config-if) # switchport port-security breaking limit

S1 (config-if) # end

S1 #

S1 # tampilkan port-security interface f0 / 1

Port Security: Diaktifkan

Status Port: Aman -up

Mode Pelanggaran: Batasi

Waktu Penuaan: 10 menit

Jenis Penuaan: Ketidakaktifan

Alamat SecureStatic Penuaan: Dinonaktifkan

Alamat MAC Maksimum: 2

Alamat MAC Total: 2

Alamat MAC yang Dikonfigurasi: 1

Alamat MAC Lengket: 1

Alamat Sumber Terakhir: Vlan: a41f.7272.676a : 1

Hitungan Pelanggaran Keamanan: 0

S1 #

11.1.7

13
PORT DALAMERROR-NONAKTIF

Apa yang terjadi jika pelanggaran keamanan port dimatikan dan terjadi
pelanggaran port? Port secara fisik dimatikan dan ditempatkan dalam status
error-nonaktif, dan tidak ada lalu lintas yang dikirim atau diterima di port tersebut.

Pada gambar, pelanggaran keamanan port diubah kembali ke pengaturan

shutdown default. Kemudian host dengan alamat MAC a41f.7272.676a diputus
dan host baru dicolokkan ke Fa0 / 1.

Perhatikan bagaimana serangkaian pesan terkait keamanan port dibuat di konsol.

S1 (config) # int fa0 / 1

S1 (config-if) # switchport port-security breaking shutdown

S1 (config-if) # end

S1 #

* Mar 1 00: 24: 15.599:% LINEPROTO-5-UPDOWN: Line protocol pada

Interface FastEthernet0 / 1, merubah status menjadi down
* Mar 1 00: 24: 16.606:% LINK-3-UPDOWN: Interface FastEthernet0 / 1, merubah
status menjadi down

* 1 Mar 00: 24: 19.114:% LINK-3-UPDOWN : Antarmuka FastEthernet0 / 1,

status berubah menjadi lebih tinggi

* Mar 1 00: 24: 20.121:% LINEPROTO-5-UPDOWN: Protokol baris pada

Antarmuka FastEthernet0 / 1, berubah status ke atas

S1 #

* Mar 1 00: 24: 32.829:% PM-4-ERR_DISABLE: kesalahan pelanggaran psecure

terdeteksi pada Fa0 / 1, menempatkan Fa0 / 1 dalam status err-disable

* 1 Mar 00: 24: 32.838:% PORT_SECURITY-2-PSECURE_VIOLATION: Terjadi

pelanggaran keamanan, yang disebabkan oleh alamat MAC a41f .7273.018c pada
port FastEthernet0 / 1.

14
* 1 Mar 00: 24: 33.836:% LINEPROTO-5-UPDOWN: Protokol baris pada
Interface FastEthernet0 / 1, berubah status menjadi down

* 1 Mar 00: 24: 34.843:% LINK-3-UPDOWN: Interface FastEthernet0 / 1, diubah

status ke bawah

S1 #

Catatan: Protokol port dan status tautan diubah ke bawah dan LED port dimatikan.

Dalam contoh, perintah show interface mengidentifikasi status port sebagai

err-disabled. Output dari perintah show port-security interface sekarang
menunjukkan status port sebagai Secure-shutdown, bukan Secure-up.
Penghitung Pelanggaran Keamanan bertambah sebesar 1.

S1 # tampilkan antarmuka fa0 / 1 | termasuk down

FastEthernet0 / 18 down, line protocol down (err-disabled)

(output dihilangkan)

S1 # show port-security interface fa0 / 1

Port Security: Enabled

Port Status: Secure-shutdown

Violation Mode: Shutdown

Aging Time: 10 menit

Jenis Penuaan: Ketidakaktifan

Alamat SecureStatic Penuaan: Dinonaktifkan

Alamat MAC Maksimum: 2

Alamat MAC Total: 2

Alamat MAC yang Dikonfigurasi: 1

Alamat MAC Lengket: 1

15
Alamat Sumber Terakhir: Vlan: a41f.7273.018c: 1

Jumlah Pelanggaran Keamanan: 1

S1 #

Administrator harus menentukan apa yang menyebabkan pelanggaran

keamanan Jika perangkat yang tidak sah terhubung ke port aman, ancaman
keamanan dihilangkan sebelum mengaktifkan kembali port.

Dalam contoh berikutnya, host pertama dihubungkan kembali ke Fa0 / 1. Untuk

mengaktifkan kembali port, pertama-tama gunakan shutdown perintah, lalu
gunakan perintah no shutdown untuk membuat port beroperasi, seperti yang
ditunjukkan pada contoh.

S1 (config) # interface fa0 / 1

S1 (config-if) # shutdown

S1 (config-if) #

* Mar 1 00: 39: 54.981:% LINK-5-CHANGED: Interface FastEthernet0 / 1, berubah

status menjadi administratif down

S1 (config-if) # no shutdown

S1 (config-if) #

* Mar 1 00: 40: 04.275:% LINK-3-UPDOWN: Interface FastEthernet0 / 1, status

berubah ke atas

* Mar 1 00: 40: 05.282: % LINEPROTO-5-UPDOWN: Protokol baris pada

Interface FastEthernet0 / 1, mengubah status ke

S1 (config-if) #

11.1.8

VERIFIKASI KEAMANAN PORT

16
Setelah mengkonfigurasi keamanan port pada sebuah sakelar, periksa setiap
antarmuka untuk memastikan bahwa keamanan port telah diatur dengan benar, dan
periksa untuk memastikan bahwa alamat MAC statis telah dikonfigurasi dengan benar.

Keamanan Port untuk Semua Antarmuka

Untuk menampilkan pengaturan keamanan port untuk sakelar, gunakan perintah

show port-security . Contoh tersebut menunjukkan bahwa hanya satu port yang
dikonfigurasi dengan perintah switchport port-security.

S1 # show port-security

Secure Port MaxSecureAddr CurrentAddr Security Violation Security Action

(Count) (Count) (Count)

---------------------------- -----------------------------------------------

Fa0 / 1 2 2 0 Shutdown

---------------------------------------------- -----------------------------

Total Alamat di Sistem (tidak termasuk satu mac per port): 1

Batas Alamat Maks di Sistem (tidak termasuk satu mac per port): 8192

S1 #

Keamanan Port untuk Antarmuka Tertentu

Gunakan perintah show port-security interface untuk melihat detail antarmuka

tertentu, seperti yang ditunjukkan sebelumnya dan dalam contoh ini.

S1 # show port-security interface fastethernet 0/1

Port Security : Enabled

Status Port : Secure-up

Violation Mode: Shutdown

Ageing Time: 10 menit

17
Aging Type: Inactivity

SecureStatic Address Penuaan: Dinonaktifkan

Alamat MAC Maksimum: 2

Alamat MAC Total: 2

Dikonfigurasi Alamat MAC: 1

Alamat MAC Lengket: 1

Alamat Sumber Terakhir: Vlan: a41f.7273.018c: 1

Jumlah Pelanggaran Keamanan: 0

S1 #

Verifikasi Alamat MAC yang Dipelajari

Untuk memverifikasi bahwa alamat MAC "melekat" pada konfigurasi, gunakan

perintah show run seperti yang ditunjukkan pada contoh untuk FastEthernet 0/19.

S1 # show run interface fa0 / 1

Konfigurasi bangunan ...

Konfigurasi saat ini: 365 byte

antarmuka FastEthernet0 / 1

switchport akses mode

switchport port-security maksimum 2

switchport port-security mac-address sticky

18
switchport port-security mac-address sticky

a41f.7272.676a switchport port-security mac-address

aaaa.bbbb.1234 switchport port-security aging waktu 10

switchport port-security aging type

inaktivitas switchport port-security end

S1 #

Verify Secure MAC Addresses

Untuk menampilkan semua alamat MAC aman yang dikonfigurasi secara

manual atau secara dinamis dipelajari pada semua antarmuka switch, gunakan
perintah show port-security address seperti yang ditunjukkan pada contoh.

S1 # tampilkan alamat port-security

Secure Mac Address Table

--------------------------------------- --------------------------------------

Port Jenis Alamat Mac Vlan Sisa Umur

(menit)

- - ----------- ---- ----- -------------

1 a41f.7272.676a SecureSticky Fa0 / 1 -

1 aaaa.bbbb. 1234 Fa0 / 1 yang Dikonfigurasi Aman -

-------------------------------------------- ---------------------------------

Total Alamat di Sistem (tidak termasuk satu mac per port): 1

Batas Alamat Maks Sistem (tidak termasuk satu mac per port): 8192

S1 #
19
11.1.9

PEMERIKSA SINTAKS - MENERAPKAN KEAMANAN PORT

Menerapkan keamanan port untuk antarmuka sakelar berdasarkan

persyaratan yang ditentukan

Anda saat ini masuk ke S1. Konfigurasikan FastEthernet 0/5 untuk

keamanan port dengan menggunakan persyaratan berikut:

∙ Gunakan nama antarmuka fa0 / 5 untuk masuk ke mode konfigurasi antarmuka.

∙ Aktifkan port untuk mode akses.
∙ Aktifkan keamanan port.
∙ Tetapkan jumlah maksimum alamat MAC ke 3.

∙ Konfigurasi alamat MAC secara statis aaaa.bbbb.1234.

∙ Konfigurasi port untuk secara dinamis mempelajari alamat MAC tambahan
dan secara dinamis menambahkannya ke konfigurasi yang sedang berjalan.
∙ Kembali ke mode EXEC istimewa.

S1 (config) #interface fa0 / 5

S1 (config-if) #

11.1.10

PACKET TRACER - MENERAPKAN KEAMANAN PORT

Dalam aktivitas ini, Anda akan mengkonfigurasi dan memverifikasi keamanan port
pada sakelar. Keamanan port memungkinkan Anda membatasi lalu lintas masuk port
dengan membatasi alamat MAC yang diizinkan untuk mengirim lalu lintas ke port.

11.2.1

20
TINJAUAN SERANGAN VLAN

Sebagai tinjauan singkat, serangan hopping VLAN dapat diluncurkan dengan

salah satu dari tiga cara:

∙ Memalsukan pesan DTP dari host yang menyerang untuk menyebabkan

sakelar memasuki mode trunking. Dari sini, penyerang dapat mengirim
lalu lintas yang ditandai dengan VLAN target, dan sakelar kemudian
mengirimkan paket ke tujuan.
∙ Memperkenalkan sakelar nakal dan mengaktifkan trunking. Penyerang
kemudian dapat mengakses semua VLAN di sakelar korban dari sakelar jahat.
∙ Jenis lain dari serangan hopping VLAN adalah serangan penandaan
ganda (atau berenkapsulasi ganda). Serangan ini memanfaatkan cara
perangkat keras pada sebagian besar sakelar beroperasi.

11.2.2

LANGKAH-LANGKAH UNTUK MENGURANGI SERANGAN HOPPING VLAN

Gunakan langkah-langkah berikut untuk mengurangi serangan hopping VLAN:

Langkah 1: Nonaktifkan negosiasi DTP (trunking otomatis) pada port non-trunking

dengan menggunakan akses mode switchport perintah konfigurasi antarmuka.

Langkah 2: Nonaktifkan port yang tidak digunakan dan letakkan di VLAN

yang tidak digunakan.

Langkah 3: Aktifkan tautan trunk secara manual pada port trunking

dengan menggunakan trunk mode switchport perintah.

Langkah 4: Nonaktifkan negosiasi DTP (auto trunking) pada port trunking

dengan menggunakan nonegotiate switchport perintah.

Langkah 5: Setel VLAN asli ke VLAN selain VLAN 1 dengan menggunakan

vlan asli switchport trunk vlan_number .

Misalnya, asumsikan berikut ini:

∙ Port FastEthernet 0/1 hingga fa0 / 16 adalah port akses aktif Port
∙ FastEthernet 0/17 hingga 0/20 saat ini tidak digunakan
∙ Port FastEthernet 0/21 hingga 0/24 adalah port trunk.
21
VLAN hopping dapat dikurangi dengan mengimplementasikan konfigurasi berikut.

S1 (config) # rentang antarmuka fa0 / 1 - 16

S1 (config-if-range) # akses mode switchport

S1 (config-if-range) # keluar

S1 (config) #

S1 (config) # rentang antarmuka fa0 / 17 - 20

S1 (config-if-range) # akses mode switchport

S1 (config-if-range) # akses switchport vlan 1000

S1 (config-if-range) # shutdown

S1 (config-if-range) # exit

S1 (config) #

S1 (config) # rentang antarmuka fa0 / 21 - 24

S1 (config-if-range) # switchport mode trunk

S1 (config-if-range) # switchport nonegotiate

S1 (config-if-range) # switchport trunk native vlan 999

S1 (config-if-range) # end

S1 #

∙ Port FastEthernet 0/1 hingga 0/16 adalah port akses dan oleh karena itu
trunking dinonaktifkan dengan menjadikannya port akses secara eksplisit.
∙ Port FastEthernet 0/17 hingga 0/20 adalah port yang tidak digunakan
dan dinonaktifkan serta ditetapkan ke VLAN yang tidak digunakan.
∙ Port FastEthernet 0/21 hingga 0/24 adalah tautan trunk dan secara
manual diaktifkan sebagai trunk dengan DTP dinonaktifkan. VLAN asli
juga diubah dari VLAN 1 default ke VLAN 999 yang tidak digunakan.
22
11.2.3

PEMERIKSA SINTAKS - MENGURANGI SERANGAN HOPPING

VLAN Mengurangi serangan hopping VLAN pada sakelar berdasarkan

persyaratan yang ditentukan.

Anda saat ini masuk ke S1. Status port dari port adalah sebagai berikut:

∙ Port FastEthernet 0/1 hingga 0/4 digunakan untuk trunking dengan sakelar lain.
∙ Port FastEthernet 0/5 hingga 0/10 tidak digunakan.
∙ Port FastEthernet 0/11 hingga 0/24 adalah port aktif yang saat ini digunakan.

Gunakan rentang fa0 / 1 - 4 untuk masuk ke mode konfigurasi antarmuka untuk trunk.

S1 (config) #

MENGURANGI SERANGAN DHCP

11.3.1

REVIEW SERANGAN DHCP

Tujuan dari serangan kelaparan DHCP adalah untuk membuat Denial of Service (DoS)
untuk menghubungkan klien. Serangan kelaparan DHCP membutuhkan alat serangan
seperti Gobbler. Ingatlah bahwa serangan kelaparan DHCP dapat dikurangi secara
efektif dengan menggunakan keamanan port karena Gobbler menggunakan alamat
MAC sumber unik untuk setiap permintaan DHCP yang dikirim.

Namun, mengurangi serangan spoofing DHCP membutuhkan perlindungan lebih.

Gobbler dapat dikonfigurasi untuk menggunakan alamat MAC antarmuka aktual

sebagai alamat Ethernet sumber, tetapi tentukan alamat Ethernet yang berbeda
dalam muatan DHCP. Ini akan membuat keamanan port tidak efektif karena
alamat MAC sumber akan sah.
23
Serangan spoofing DHCP dapat dikurangi dengan menggunakan DHCP
mengintip pada port tepercaya.

11.3.2 Pengintaian

DHCP PENGINTAIAN

DHCP tidak bergantung pada alamat MAC sumber. Sebaliknya, pengintaian DHCP
menentukan apakah pesan DHCP berasal dari sumber tepercaya atau tidak
tepercaya yang dikonfigurasi secara administratif. Kemudian menyaring pesan
DHCP dan lalu lintas DHCP batas-kecepatan dari sumber yang tidak tepercaya.

Perangkat di bawah kendali administratif Anda, seperti sakelar, router, dan

server, adalah sumber tepercaya. Perangkat apa pun di luar firewall atau di luar
jaringan Anda adalah sumber yang tidak tepercaya. Selain itu, semua port
akses umumnya diperlakukan sebagai sumber tidak tepercaya. Gambar
tersebut menunjukkan contoh port tepercaya dan tidak tepercaya.

Diagram menunjukkan server DHCP di sisi kanan atas topologi yang terhubung ke
sakelar distribusi di bawahnya. Sakelar distribusi terhubung ke sakelar distribusi lain
di sebelah kiri diagram dan sakelar akses di bawahnya. Sakelar distribusi lainnya
memiliki sakelar akses yang terhubung di bawahnya. Kedua sakelar akses memiliki
koneksi ke kedua sakelar distribusi, tetapi satu sama lain. Tombol akses di sebelah
kanan memiliki PC di bawahnya dan tombol akses lainnya memiliki PC dengan
karakter jahat di bawahnya. Diagram menunjukkan kotak ungu untuk port tepercaya
dan lingkaran merah untuk port tidak tepercaya. Ada kotak ungu antara server DHCP
dan sakelar distribusi, serta di antara setiap tautan di antara semua sakelar. Namun,
ada lingkaran merah antara dua PC dan sakelar akses.

Perhatikan bahwa server DHCP penipu akan berada di port yang tidak tepercaya
setelah mengaktifkan pengintaian DHCP. Semua antarmuka diperlakukan
sebagai tidak tepercaya secara default. Antarmuka tepercaya biasanya berupa
tautan trunk dan port yang langsung terhubung ke server DHCP yang sah.
Antarmuka ini harus secara eksplisit dikonfigurasi sebagai tepercaya.

24
Tabel DHCP dibuat yang menyertakan alamat MAC sumber perangkat pada port yang
tidak tepercaya dan alamat IP yang ditetapkan oleh server DHCP ke perangkat itu.
Alamat MAC dan alamat IP terikat bersama. Oleh karena itu, tabel ini disebut tabel

penjilidan pengintaian DHCP.

11.3.3Pengintaian

LANGKAH-LANGKAH UNTUK MENERAPKANDHCP

Gunakan langkah-langkah berikut untuk mengaktifkan pengintaian DHCP:

Langkah 1. Aktifkan pengintaian DHCP dengan menggunakan pengintaian

ip dhcp perintah konfigurasi global.

LANGKAH 2. Pada port tepercaya, gunakan trust ip dhcp snooping perintah

konfigurasi antarmuka.

LANGKAH 3. Batasi jumlah pesan penemuan DHCP yang dapat diterima per
detik pada port yang tidak tepercaya dengan menggunakan tingkat batas
pengintaian ip dhcp perintah konfigurasi antarmuka.

LANGKAH 4. Aktifkan pengintaian DHCP oleh VLAN, atau dengan berbagai VLAN,
dengan menggunakan pengintaian ip dhcp vlan perintah konfigurasi global.

11.3.4Pengintaian

CONTOH KONFIGURASIDHCP

Topologi referensi untuk contoh pengintaian DHCP ini ditunjukkan pada gambar.
Perhatikan bahwa F0 / 5 adalah port yang tidak tepercaya karena terhubung ke
PC. F0 / 1 adalah port tepercaya karena terhubung ke server DHCP.

Grafik memiliki legenda dengan Port Tepercaya persegi Ungu dan lingkaran
merah Pelabuhan Tidak Tepercaya di bawah diagram topologi. Kemudian grafik
menunjukkan jaringan LAN dengan sakelar dengan port tepercaya dan tidak
tepercaya. Sakelar memiliki PC yang terhubung ke kiri dan DHCP yang terhubung
ke sana di sebelah kanan. Pada antarmuka yang menghubungkan ke PC adalah
lingkaran merah untuk antarmuka yang tidak tepercaya dan pada antarmuka yang
terhubung ke Server DHCP adalah kotak ungu untuk port tepercaya.
25
DHCP ServerTrusted PortUntrusted Port

Berikut ini adalah contoh cara mengkonfigurasi DHCP snooping pada S1. Perhatikan
bagaimana pengintaian DHCP pertama kali diaktifkan. Kemudian antarmuka hulu ke
server DHCP dipercaya secara eksplisit. Selanjutnya, kisaran port FastEthernet dari F0 /
5 hingga F0 / 24 tidak dipercaya secara default, jadi batas kecepatan disetel ke enam
paket per detik. Terakhir, pengintaian DHCP diaktifkan di VLANS 5, 10, 50, 51, dan 52.

S1 (config) # ip dhcp snooping

S1 (config) # interface f0 / 1

S1 (config-if) # ip dhcp snooping trust

S1 (config -if) # exit

S1 (config) # range interface f0 / 5 - 24

S1 (config-if-range) # ip dhcp kecepatan pengintaian 6

S1 (config-if-range) # exit

S1 (config) # ip dhcp snooping vlan 5,10,50-52

S1 (config) # end

S1 #

Gunakan perintah show ip dhcp snooping privileged EXEC untuk memverifikasi

DHCP snooping dan tampilkan ip dhcp snooping binding untuk melihat klien yang
telah menerima informasi DHCP, seperti yang ditunjukkan pada contoh.

Catatan: Pengintaian DHCP juga diperlukan oleh Inspeksi ARP Dinamis

(DAI), yang merupakan topik berikutnya

S1 # tampilkan pengintaian ip dhcp

Sakelar

dikonfigurasi pada VLAN berikut:

26
Pengintaiandiaktifkan Pengintaian5,10,50-52

Pengintaian DHCPDHCPDHCP beroperasi pada

VLAN berikut: tidak ada

pengintaian DHCP yang dikonfigurasi pada Antarmuka L3 berikut:

Penyisipan opsi 82 diaktifkan

format default circuit-id: vlan-mod-port

remote-id: 0cd9.96d2.3f80 (MAC)

Opsi 82 pada port tidak tepercaya tidak diizinkan

Verifikasi bidang hwaddr diaktifkan

Verifikasi bidang giaddr diaktifkan

Tingkat kepercayaan / pengintaian DHCP dikonfigurasi pada Antarmuka berikut:laju

Antarmuka Dipercaya Izinkan opsi Batas(pps)

--------------- -------- ------- ------------ ----------------

FastEthernet0 / 1 ya yaterbatas

Kustomcircuit-ids:

FastEthernet0 / 5 no no 6

Custom circuit-ids:

FastEthernet0 / 6 no no 6

Custom circuit-id:

S1 # tampilkan ip dhcp pengintaian yang mengikat

MacAddress IpAddress Lease (detik) Jenis Antarmuka VLAN

-------- ---------- --------------- --- ------- ------------- ---- --------------------

27
00:03:47: B5: 9F: AD 192.168.10.11 193185 dhcp-snooping 5 FastEthernet0 / 5

11.3.5

SYNTAX CHECKER - MENGURANGI SERANGAN

DHCP Menerapkan pengintaian DHCP untuk sakelar berdasarkan topologi

berikut dan persyaratan yang ditentukan.

Pemeriksa sintaks memiliki topologi yang memiliki sakelar distribusi yang terhubung ke
sakelar akses antarmuka G0 / 1. Antarmuka sakelar akses F0 / 1 terhubung ke PC di
sebelah kiri dan di sisi kanan antarmuka sakelar G0 / 2 terhubung ke server.

DHCP Server

Anda saat ini login ke S1. Aktifkan pengintaian DHCP secara global untuk pengalihan.

S1 (config) #

INSPEKSI ARP DINAMIS

Dalam serangan ARP tipikal, pelaku ancaman dapat mengirim permintaan ARP
yang tidak diminta ke host lain di subnet dengan Alamat MAC pelaku ancaman
dan alamat IP dari gateway default. Untuk mencegah spoofing ARP dan
keracunan ARP yang dihasilkan, sakelar harus memastikan bahwa hanya
Permintaan dan Balasan ARP yang valid yang diteruskan.

Inspeksi ARP dinamis (DAI) memerlukan pengintaian DHCP dan membantu

mencegah serangan ARP dengan:

∙ Tidak menyampaikan Permintaan ARP yang tidak valid atau

serampangan ke port lain dalam VLAN yang sama.
∙ Mencegah semua Permintaan dan Balasan ARP di port yang tidak tepercaya.
∙ Memverifikasi setiap paket yang dicegat untuk pengikatan IP-ke-MAC yang valid.
∙ Menghapus dan mencatat Permintaan ARP yang berasal dari sumber yang
tidak valid untuk mencegah keracunan ARP.
∙ Kesalahan menonaktifkan antarmuka jika jumlah paket ARP DAI
yang dikonfigurasi terlampaui.

28
11.4.2

PEDOMAN PENERAPAN DAI

Untuk mengurangi kemungkinan spoofing ARP dan keracunan ARP, ikuti
pedoman penerapan DAI berikut:

∙ Aktifkan pengintaian DHCP secara global.

∙ Aktifkan pengintaian DHCP pada VLAN yang dipilih.
∙ Aktifkan DAI pada VLAN yang dipilih.
∙ Konfigurasikan antarmuka tepercaya untuk pengintaian DHCP dan inspeksi ARP.

Umumnya disarankan untuk mengkonfigurasi semua port sakelar akses sebagai

tidak tepercaya dan untuk mengonfigurasi semua port uplink yang terhubung ke
sakelar lain sebagai tepercaya.

Contoh topologi pada gambar mengidentifikasi port tepercaya dan tidak tepercaya.

Grafik menunjukkan legenda dengan Port Tepercaya persegi Ungu dan lingkaran merah
Untrusted Port, di atasnya adalah diagram LAN yang menunjukkan Dynamic ARP
Inspection Trust. Diagram menggambarkan jaringan LAN dengan port tepercaya dan
tidak tepercaya. Di satu antarmuka di kiri bawah adalah penyerang di satu PC dan di kiri
atas adalah PC biasa. Kedua perangkat terhubung ke sakelar dan keduanya memiliki
lingkaran merah pada port sakelar untuk port yang tidak tepercaya. Di sebelah kanan
sakelar adalah router yang juga terhubung ke sakelar. Koneksi router memiliki kotak
ungu pada sakelar yang melambangkan koneksi tepercaya untuk ARP.

PC-AS1R1F0/1F0/2
F0/24
Untrusted PortTrusted PortVLAN 10
11.4.3

DAI KONFIGURASI CONTOH

Dalam topologi sebelumnya, S1 menghubungkan dua pengguna pada VLAN 10. DAI akan
dikonfigurasi untuk mitigasi terhadap ARP spoofing dan keracunan ARP serangan.

Seperti yang ditunjukkan pada contoh, pengintaian DHCP diaktifkan karena DAI
memerlukan tabel pengikatan pengintaian DHCP untuk beroperasi. Selanjutnya,
29
pengintaian DHCP dan inspeksi ARP diaktifkan untuk PC di VLAN10. Port uplink
ke router dipercaya, dan oleh karena itu, dikonfigurasi sebagai dipercaya untuk
pengintaian DHCP dan inspeksi ARP.

S1 (config) # ip dhcp snooping

S1 (config) # ip dhcp snooping vlan 10
S1 (config) # ip arp inspeksi vlan 10
S1 (config) # interface fa0 / 24
S1 (config-if) # ip dhcp snooping trust
S1 ( config-if) # ip arp inspection trust

DAI juga dapat dikonfigurasi untuk memeriksa tujuan atau sumber MAC dan alamat IP:

∙ MAC Tujuan - Memeriksa alamat MAC tujuan di header Ethernet terhadap

alamat MAC target di badan ARP.
∙ Source MAC - Memeriksa alamat MAC sumber di header Ethernet dengan
alamat MAC pengirim di badan ARP.
∙ Alamat IP - Memeriksa badan ARP untuk alamat IP yang tidak valid dan
tidak diharapkan termasuk alamat 0.0.0.0, 255.255.255.255, dan semua
alamat multicast IP.

Pemeriksaan ip arp memvalidasi {[src-mac] [dst-mac] [ip]} perintah konfigurasi global

digunakan untuk mengonfigurasi DAI agar melepaskan paket ARP saat alamat IP tidak
valid. Ini dapat digunakan ketika alamat MAC di badan paket ARP tidak cocok dengan
alamat yang ditentukan di header Ethernet. Perhatikan dalam contoh berikut bagaimana
hanya satu perintah yang dapat dikonfigurasi. Oleh karena itu, memasukkan beberapa ip
arp inspeksi memvalidasi perintahmenimpa perintah sebelumnya. Untuk menyertakan
lebih dari satu metode validasi, masukkan metode tersebut pada baris perintah yang
sama seperti yang ditunjukkan dan diverifikasi pada keluaran berikut.

S1 (config) # ip arp inspeksi memvalidasi?

dst-mac Validasi alamat MAC tujuan

ip Validasi alamat IP

src-mac Validasi alamat MAC sumber

S1 (config) # inspeksi arp ip validasi src-mac

30
S1 (config) # ip arp inspeksi validasi dst-mac

S1 (config) # ip arp inspeksi memvalidasi ip

S1 (config) # do show run | termasuk memvalidasi

ip arp inspeksi memvalidasi ip

S1 (config) # ip arp inspeksi memvalidasi src-mac dst-mac ip

S1 (config) # do show run | termasuk memvalidasi

pemeriksaan ip arp memvalidasi src-mac dst-mac ip

S1 (config) #

11.4.4

PEMERIKSA SINTAKS - MENGURANGI SERANGAN ARP

Menerapkan DAI untuk sakelar berdasarkan topologi berikut dan

persyaratan yang ditentukan.

Pemeriksa sintaks memiliki topologi yang memiliki sakelar distribusi yang terhubung ke
sakelar akses antarmuka G0 / 1. Antarmuka sakelar akses F0 / 1 terhubung ke PC ke kiri
dan di sisi kanan antarmuka sakelar G0 / 2 terhubung ke server.

31
Anda saat ini masuk ke S1. Aktifkan pengintaian DHCP secara global untuk pengalihan.

S1 (config) #

MITIGASI SERANGAN STP

11.5.1

PORTFAST DAN BPDU GUARD

Ingatlah bahwa penyerang jaringan dapat memanipulasi Spanning Tree Protocol (STP)
untuk melakukan serangan dengan melakukan spoofing pada root bridge dan
mengubah topologi jaringan. Untuk mengurangi serangan manipulasi Spanning Tree
Protocol (STP), gunakan PortFast dan Bridge Protocol Data Unit (BPDU) Guard:

∙ PortFast - PortFast segera menghadirkan antarmuka yang dikonfigurasi

sebagai port akses ke status penerusan dari status pemblokiran, melewati
status mendengarkan dan pembelajaran . Berlaku untuk semua port
pengguna akhir. PortFast sebaiknya hanya dikonfigurasi pada port yang
terpasang ke perangkat akhir.
∙ BPDU Guard - BPDU guard segera error menonaktifkan port yang
menerima BPDU. Seperti PortFast, pelindung BPDU hanya boleh
dikonfigurasi pada antarmuka yang terpasang ke perangkat akhir.

Pada gambar, port akses untuk S1 harus dikonfigurasi dengan PortFast dan
BPDU Guard.

32
11.5.2

KONFIGURASI PORTFAST

PortFast melewati status mendengarkan dan belajar STP untuk meminimalkan waktu
saat port akses harus menunggu STP untuk berkumpul. Jika PortFast diaktifkan pada
port yang menghubungkan ke sakelar lain, ada risiko membuat loop spanning-tree.

PortFast dapat diaktifkan pada antarmuka dengan menggunakan portfast

spanning-tree perintah konfigurasi antarmuka. Alternatifnya, Portfast dapat
dikonfigurasi secara global pada semua port akses dengan menggunakan default
portfast-tree spanning perintah konfigurasi global.

Untuk memverifikasi apakah PortFast diaktifkan secara global, Anda dapat

menggunakan show running-config | mulaispan perintahatau perintah show
spanning-tree summary . Untuk memverifikasi apakah PortFast mengaktifkan
sebuah antarmuka, gunakan antarmuka show running-config ketik / nomor
perintah, seperti yang ditunjukkan pada contoh berikut. acara antarmuka
spanning-tree jenis / nomor detail perintahjuga dapat digunakan untuk verifikasi.

Perhatikan bahwa ketika PortFast diaktifkan, pesan peringatan akan ditampilkan.

S1 (config) # interface fa0 / 1

S1 (config-if) # switchport mode access

S1 (config-if) # spanning-tree portfast

% Peringatan: portfast sebaiknya hanya diaktifkan pada port yang terhubung ke satu
host. Menghubungkan hub, konsentrator, sakelar, jembatan, dll ... keini

antarmukaketika portfast diaktifkan, dapat menyebabkan loop penghubung

sementara. Gunakan dengan PERHATIAN

% Portfast telah dikonfigurasi di FastEthernet0 / 1 tetapi hanya

akan berpengaruh jika antarmuka dalam mode non-trunking.

S1 (config-if) # exit

33
S1 (config) # spanning-tree portfast default

% Peringatan: perintah ini mengaktifkan portfast secara default pada semua

antarmuka. Anda

sekarang harus menonaktifkan portfast secara eksplisit pada port yang

diaktifkan yang mengarah ke hub,,

sakelardan jembatan karena mereka dapat membuat loop penghubung sementara.

S1 (config) # exit

S1 # tampilkan running-config | mulai span

spanning-tree mode pvst

spanning-tree portfast default

spanning-tree memperpanjang system-id

antarmuka FastEthernet0 / 1

akses mode switchport

spanning-tree portfast

antarmuka FastEthernet0 / 2

antarmuka FastEthernet0 / 3

!
antarmuka FastEthernet0 / 4

antarmuka FastEthernet0 / 5

34
!

(keluaran dihilangkan)

S1 #

11.5.3

KONFIGURASI BPDU GUARD

Meskipun PortFast diaktifkan, antarmuka masih akan mendengarkan BPDU.

BPDU yang tidak terduga mungkin tidak disengaja, atau bagian dari upaya tidak
sah untuk menambahkan sakelar ke jaringan.

Jika ada BPDU yang diterima di port yang mendukung BPDU Guard, port
tersebut dimasukkan ke dalam status nonaktif kesalahan. Ini berarti port
dimatikan dan harus diaktifkan kembali secara manual atau dipulihkan secara
otomatis melalui perintah errdisable recovery cause bpduguard global.

BPDU Guard dapat diaktifkan pada port dengan menggunakan aktifkan bpduguard
spanning-tree perintah konfigurasi antarmuka. Alternatifnya, Gunakan default
bpduguard spanning-tree portfast perintah konfigurasi globaluntuk mengaktifkan
BPDU guard secara global di semua port yang mendukung PortFast.

Untuk menampilkan informasi tentang status spanning tree, gunakan perintah show
spanning-tree summary . Dalam contoh, PortFast default dan BPDU Guard keduanya
diaktifkan sebagai status default untuk port yang dikonfigurasi sebagai mode akses.

Catatan: Selalu aktifkan BPDU Guard di semua port yang mendukung PortFast.

S1 (config) # interface fa0 / 1

S1 (config-if) # spanning-tree bpduguard aktifkan

S1 (config-if) # exit

S1 (config) # spanning-tree portfast bpduguard default

S1 (config) # end

S1 # show spanning -Ringkasan pohon

35
Switch dalam mode pvst

Root bridge untuk: tidak ada

Extended system ID diaktifkan

Portfast Default diaktifkan

PortFast BPDU Guard Default diaktifkan

Portfast BPDU Filter Default dinonaktifkan

Loopguard Default dinonaktifkan

Penjaga misconfig EtherChannel diaktifkan

UplinkFast dinonaktifkan

BackboneFast dinonaktifkan

Dikonfigurasi Metode pathcost yang digunakan adalah

short (output dihilangkan)

S1 #

11.5.4

PEMERIKSA SINTAKS - MENGURANGI SERANGAN STP

Menerapkan PortFast dan BPDU Guard untuk sakelar berdasarkan topologi

berikut dan persyaratan yang ditentukan

36
Anda saat ini masuk ke S1. Selesaikan langkah-langkah berikut untuk
mengimplementasikan PortFast dan BPDU Guard di semua port akses:

∙ Masuk ke mode konfigurasi antarmuka untuk fa0 / 1 - 24.

∙ Konfigurasikan port untuk mode akses.
∙ Kembali ke mode konfigurasi global.
∙ Aktifkan PortFast secara default untuk semua port akses.
∙ Aktifkan BPDU Guard secara default untuk semua port akses.

S1 (config) #

37