CS23 IT Solution Page |1

้ าความปลอดภัยเบืองต
การตังค่ ้ ้นสาหร ับอุปกรณ์ Network Switch

สาหรบั คูม
่ อ ้
ื นี จะแยกอุ ่ อ้ คือ Cisco SG series และ HP-1910 โดย
ปกรณ์ Network ออกเป็ น 2 ยีห
้ าความปลอดภัยในหมวดของ Port Security และ Spanning-Tree โดยใช ้ความสามารถ
จะทาการตังค่
ของ BPDU เข ้ามาช่วยเสริม (ในรายละเอียดของความหมายจะไม่ได ้ระบุในเอกสารนี ้ แต่สามารถหาจาก
่
เว็บไซต ์ทัวไป)
จุดประสงค ์หลักของการตังค่ ้ าความปลอดภัยใหก้ บั อุปกรณ์ Network Switch นั้นคือ การป้ องกัน
ไม่ใหบ้ ุคคล/อุปกรณ์ทไม่่ี ไดร้ ับอนุ ญาตเข ้ามาใช ้งานภายในองค ์กร ซึงสามารถตั
่ ้ าความปลอดภัยได ้ดังนี ้
งค่

PORT SECURITY

อุปกรณ์ Switch จะทาการ Monitor จานวน MAC Address ทีถู ่ กกาหนดไว ้ ซึงท
่ าใหม้ ผ
ี ลกับ
port นั้นๆ ไดต้ ามทีเราต
่ ้องการ เช่น กาหนดให้ port นั้นๆ Learning Mac Address ได ้ไม่เกิน 2 เท่านั้น
่ ้าหากเกินกว่านี จะบั
ซึงถ ้ งคับให ้ Port นั้นๆถูก shutdown เป็ นต ้น ดังนี ้

1. CISCO SWITCH รุน ่ ท้ าการตังค่

่ ทีได ้ าคือ รุน
่ SG200/300
1.1 เข ้าหน้าเว็บ console แล ้วไปที่ Security > Port Security เลือก port แล ้วกดปุ่ ม Edit
CS23 IT Solution Page |2

1.2 จะพบกับ pop-up “Edit Port Security Interface Settings”

้ าใหเ้ ลือกตังค่
การตังค่ ้ าในส่วนของ Learning Mode, Max No. of Address Allowed ให้
เสร็จก่อนแล ้วกด Apply แล ้วค่อยกลับมาเลือก Interface Status: Lock จากนั้นค่อยตังค่
้ า Action on
Violation, Trap, Trap Frequency ต่ออีกครง้ั

โดยที่ Learning Mode ของรุน ้ อยู่ 4 mode คือ

่ นี มี
่ึ
1. Classic Lock คือ การ lock interface แบบปกติซงจะไม่ สามารถระบุจานวน Mac
่ ้องการได ้ แต่สามารถเลือก Action ได ้ เมือเลื
Address ทีต ่ อก Lock แล ้วกด apply port นั้นๆ จะมี
Action ตามทีต ่ ้องการได ้เลย
้
2. Limited Dynamic Lock คือ จะคล ้ายๆกับ Classic lock แต่คราวนี จะสามารถระบุ
่ ้องการได ้ว่าจะมีคา่ มากสุดได ้กีจ่ านวน และ Mac Address นั้นๆจะถูกเก็บไว ้ใน
จานวน Mac Address ทีต
Dynamic Addresses Table
้ ้นเนื่ องจากว่าถ ้าจานวน Max address ถึงจานวนที่
ในการนาไปใช ้งานของ Mode นี นั
้ า action เป็ น shutdown ก็จะไม่มป
ระบุไว ้แล ้วถ ้าเราตังค่ ี ัญหาใดๆ แต่ถ ้าเราเลือก action เป็ น Discard
แม้ switch จะ discard packets ทีไม่ ่ ได ้ถูก learn Mac address ตามจานวนทีระบุไว
่ ้ก็ตาม แต่ถ ้าเราถอด
สาย LAN ออกจาก port นั้นๆ แล ้วเสียบเข ้าไปใหม่ switch จะทาการลบ Mac address ณ ปัจจุบน ั ทีผู่ ก
กับ port นั้นทิงแล
้ ้วทาการ re-learning Mac address บน port นั้นใหม่เป็ นผลทาให ้เครืองที
่ ไม่่ ได ้ร ับ
อนุ ญาตก็ยงั สามารถใช ้งานภายในองค ์กรได ้อยู่
3. Secure Permanent คือ จะคล ้ายๆกับ Limited Dynamic Lock แต่วา่ Mac
address นั้นๆจะถูกเก็บไว ้ใน Static Address Table แทน ซึงท
่ าให ้มีความแตกต่างกันในการนาไปใช ้งาน
ี่
คือ ในกรณี ทเรากาหนด action เป็ น Discard จะทาให้ Switch จา Mac address ใน port นั้นๆไว ้
CS23 IT Solution Page |3

ถึงแม้ว่าจะทาการถอดสาย LAN ออกจาก port นั้นๆ แลว้ เสียบสาย LAN เข ้าไปใน port เดิมก่จะไม่
้ าสาย LAN ไปเสียบกับ Port อืนๆใน
สามารถใช ้งานได ้เลย หรือแม้กระทังน ่ Switch นั้นๆ ก่จะไม่สามารถใช ้
งานได ้เลย แม้กระทัง้ action เป็ น Shutdown เมือเราท
่ าการ re-active port นั้นๆ ขึนมาเครื
้ ่ มี
องที ่ Mac
address ทีถู่ ก learn บน port นั้นเท่านั้นถึงจะสามารถใช ้งานได ้ “ซึงถ้
่ าหากต้องการให้เครืองอื
่ ่
นๆใช้
้
งานบน port นันๆได้
ตอ้ งเข้าไปลบ Mac address ใน Static Address Table ด ังรู ปด้านล่าง
หรือทาการ uncheck Lock ในข้อ 1.2 แล้วกด apply แล้ว switch จะทาการ re-learning
Mac address ใหม่”

่ า switch มาต่อ Cascade กัน (เอามาต่อกัน) ถ ้าหากว่า mac address ถูก เก็บไว ้ใน
** ข้อสังเกต : เมือน
Static Address Table ของ Switch หนึ่ งแล ้ว เมือน
่ าเครืองไปเสี
่ ยบกับอีก Switch หนึ่ งทีท
่ า cascade กัน
ก็จะไม่สามารถใช ้งานได ้ จะต ้องทาการลบ mac address ออกจาก Switch นั้นๆก่อนถึงจะใช ้งานต่อได ้ แต่
ถ ้าหากเป็ นการต่อพวกในลักษณะ uplink ผ่าน Distribute Switch แล ้วไปยัง access switch อีกตัว แบบ
้ งใช ้งานได ้ไม่มป
นี จะยั ี ัญหาใดๆ
4. Secure Delete on Reset คือ จะคล ้ายๆกับ Secure Permanent แต่การทีจะท ่ าให ้
switch re-learning Mac address บน pot นั้นๆ ใหม่นั้นจะต ้องทาการ Reset Switch เท่านั้น
CS23 IT Solution Page |4

1.3 ในกรณี ที่ port นั้นๆถูก shutdown การกู ้คืนสถานะของ port นั้นสามารถเลือกได ้คือ
่
- Automatic ErrDisable Recovery : ซึงโดยค่ ่ ่ี 300 วินาที โดยที่
าปกติแล ้วจะมีเวลาอยูท
่ ้องการใหท้ าการ Automatic Recovery จากนั้นก่เลือกกดปุ่ ม Apply
จะต ้องเลือกหัวข ้อทีต
่ port ถูก action เป็ น shutdown port นั้นๆ จะถูกใหม้ าอยู่
- Manual : โดยปกติแล ้วเมือ
ในกลุม ่ ้องการแล ้วเลือกกดปุ่ ม
่ ของ Suspended (errDisabled) Interface เราสามารถเลือก port ทีต
Reactivate

1.4 การตรวจดู Logs ของ Switch จะมีข ้อความดังนี ้

“Warning %LINK-W-PORT_SUSPENDED: Port gi1 suspended by port-security “

่ี ้ port shutdown
และในห้อข ้อ 1.3 Port setting : ใน Operational Status กรณี ทให
้ า down (port Lock)
จะขึนว่
CS23 IT Solution Page |5

2. HP SWITCH รุน ่ ้ทาการตังค่

่ ทีได ้ าคือรุน
่ 1910-24 (หลักการก็จะคล ้ายๆของ Cisco)
่ า console เลือก Authentication > Port Security
2.1 เข ้าไปทีหน้
- เลือก Enable Port Security
- เลือก MAC Learned (default)
- กด Apply

2.2 จากข ้อ 2.1 ในส่วนของ “Security Ports And Secure MAC Address List” ให้กดปุ่ ม
Add จะเจอกับหน้าต่าง Apply Port Security control

2.3 Asdf
2.4

่ ้องการ
- เลือก port ทีต
- ใส่จานวน MAC address
่ี ้องการ
- เลือก Enable Intrusion Protection : Disable Port Permanent ในกรณี ทต
ให้ port นั้นๆ shutdown เลย
CS23 IT Solution Page |6

2.3 กรณี ที่ Port นั้นๆ ถูก Shutdown หากต ้องการให้ port นั้นๆกลับมาใช ้งานได ้ตามปกติ
- ถ ้า port นั้นถูก disable เพราะนาเครืองอื
่ นมาเสี
่ ยบ port นั้นๆ แล ้วต ้องการใช ้เครืองที
่ ่
้
ถูก Learned Mac address กลับมาใช ้ให้ไปทาการ Enable port ขึนมาตามปกติ โดยเข้าไปที ่
่ องการบนรู ป > Basic
Device > Port Management > Tab Setup > เลือก port ทีต้
Configuration > Port State: เลือก เป็ น Enable
่
- ถ ้าต ้องการใช ้กับเครืองใหม่ ่ี งไม่ถก
ทยั ู Learned Mac address ให้ทาการลบ Mac
่ บ
address ทีอยู ่ น port นั้นๆโดยดูจากรูปด ้านล่างในกรอบสีแดง เสร็จแล ้วทาการ Enable port นั้นขึนมา
้
ตามปกติ

2.4 การตรวจสอบ Logs ของ Switch จะมีข ้อความดังนี ้

Apr 27 01:32:27:113 2000 PORTSEC Notification PORTSEC_VIOLATION

-IfName=Ethernet1/0/1-MACAddr=xx: xx:xx:xx:xx:xx -VlanId=-1-IfStatus=Down; Intrusion detected.
CS23 IT Solution Page |7

BPDU GUARD
BPDU ย่อมาจาก Bride Protocol Data Unit ซึงก็ ่ คอื เป็ นกลไลการทางานของ Spanning-
Tree protocol อย่างหนึ่ งซึงเมื
่ อถู่ กเปิ ดใช ้งาน Switch จะทาการส่ง frame พิเศษนี แลกเปลี
้ ่
ยนกันระหว่าง
่
Switch ด ้วยกัน เพือใช ้ในการหา loop นั่นเอง ซึงมี
่ อยูด
่ ้วยกัน 2 ประเภทคือ
1. Configuration BPDU ใช ้ในการเลือกตัง้ root
่ การเปลียนแปลง
2. TCN BPDU ใช ้ในการแจ ้งข่าว เมือมี ่ Topology
ดังนั้นจะเห็นแล ้วว่าเราสามารถใช ้ BPDU ในการจัดการเกียวกับการตังค่ ้ าความปลอดภัยของ
Network ได ้ นั่นหมายถึงว่า เมือไหร่
่ ก็ตามที่ switch ได ้รับ BPDU เข ้ามาหมายถึงว่า port นั้นๆ กาลัง
่
เชือมต่ ออยูก
่ บั อุปกรณ์ Network device อยูน่ ่ ันเอง แล ้วถ ้าหากว่าเป็ นอุปกรณ์ network device ทีไม่
่ ได ้
่ ถก
ร ับอนุ ญาตเราก็สามารถใช ้ BPDU จัดการได ้ซึงก็ ู เรียกว่า BPDU GUARD แต่ขอ้ จากัดคือต ้องเป็ น
่ี ความสามารถของการทา Spanning-Tree protocol ด ้วย ส่วนถ ้าเป็ น un-manage switch
อุปกรณ์ทมี
จะกล่าวในลาดับถัดไป

1. CISCO SWITCH รุน ่ ท้ าการตังค่

่ ทีได ้ าคือรุน
่ SG300
่ า console > Spanning Tree > STP Interface Setting >เลือก
1.1 เข ้าไปทีหน้
interface > กดปุ่ ม Edit
CS23 IT Solution Page |8

1.2 จะเจอกับ pop-up “Edit STP Interface Setting” จากนั้นทาการ

- BPDU Guard : เลือก Enable
- กดปุ่ ม apply

่ าเสร็จแล ้วสถานะ BPDU Guard จะเปลียนเป็

1.3 เมือท ่ น Enable และ BPDU Handling จะเป
่
ลีนยจาก STP ไปเป็ น Guarding ตามรูปด ้านล่าง
CS23 IT Solution Page |9

1.4 ในกรณี ที่ port นั้นๆถูก shutdown การกู ้คืนสถานะของ port นั้นสามารถเลือกได ้คือ
่
- Automatic ErrDisable Recovery : ซึงโดยค่ ่ ่ี 300 วินาที โดยที่
าปกติแล ้วจะมีเวลาอยูท
่ ้องการใหท้ าการ Automatic Recovery จากนั้นก่เลือกกดปุ่ ม Apply
จะต ้องเลือกหัวข ้อทีต
่ port ถูก action เป็ น shutdown port นั้นๆ จะถูกใหม้ าอยู่
- Manual : โดยปกติแล ้วเมือ
ในกลุม ่ ้องการแล ้วเลือกกดปุ่ ม
่ ของ Suspended (errDisabled) Interface เราสามารถเลือก port ทีต
Reactivate
CS23 IT Solution P a g e | 10

เนื่ องจาก Cisco Switch SG200 ไม่มี Function BPDU GUARD ให้เลือกใช ้แต่เรา
่ ้อเรียก Default VLAN หรือ Native VLAN โดยทีทั
สามารถกาหนดให้ใช ้ PVID หรือ บางยีห ่ ง้ Cisco
SG200 และ SG300 มี STP mode RSTP นั่นหมายความว่าถ ้าหากมี PVID ไม่ตรงกัน port นั้นก่จะไม่
้
สามารถใช ้งานได ้ทังหมดไม่ วา่ จะมีก ่ี VLAN บน port นั้นก่ตาม ซึงตรงนี
่ ้
สามารถนาไปใช ้ได ้กับ Switch Un-
manage ด ้วย เพราะถึงแม้ Switch Un-manage จะไม่มก ี ารส่งค่า BPDU แต่โดยค่า default แล ้วมันจะ
่ ดังนั้นเราสามารถกาหนด PVID ใหเ้ ป็ นวงอืนๆได
ใช ้ Default VLAN 1 ในการส่ง frame ต่างๆไปยังตัวอืนๆ ่ ้
เช่น สร ้าง VLAN 99 แล ้วกาหนด PVID ของ Port นั้นๆเป็ นวง 99 ก็จะทาให ้ Switch Un-manage หรือ
Switch manage ทีมี PVID ไม่ตรงกันจะไม่สามารถใช ้งานได ้ และในกรณี นี ้ port นันๆจะไม่
้ ถก
ู
shutdown
1.5 เข ้าไปที่ console > VLAN Management > Interface Settings > เลือก port >
กดปุ่ ม Edit
CS23 IT Solution P a g e | 11

1.6 จะเจอหน้า pop-up “Edit Interface Settings” แล ้วเลือกดังนี ้

- Interface VLAN Mode : Trunk
่ ทีไม่
- Administrative PVID : เลือกเป็ น VLAN ID อืนๆ ่ ได ้ใช ้เลย
- กดปุ่ ม Apply

2. HP SWITCH รุน ่ ้ทาการตังค่

่ ทีได ้ าคือรุน
่ 1910-24
2.1 ไปที่ console > Network > MSTP > Port Setup ตามรูปด ้านล่าง
CS23 IT Solution P a g e | 12

้ าใหก้ บั port ทีเชื

2.2 เราจะต ้องตังค่ ่ อมต่
่ ออยูก ่
่ บั Network Devices ทีเรารู ้จักก่อนโดยที่
ในข ้อ 5 จากรูปด ้านบน ให้เลือกเป็ น Protection: “Not Set” ด ้วยเหตุผลทีว่่ า port นี เรารู
้ ้อยูแ่ ล ้วว่าเป็ น
อุปกรณ์ network ของเรากาลังเชือมต่ ่ ออยูเ่ พราะฉนั้นไม่จาเป็ นต ้องสนใจ BPDU frame ทีวิ่ งเข
่ ้ามา
2.3 เข ้าไปที่ Network > MSTP > Global
- BPDU Protection: เลือก Enable

้ ้า HP Switch ได ้รับ BPDU เข ้ามาที่ Port ไหนก่ตาม ยกเว ้น port ทีเราเลื

หลังจากนี ถ ่ อก Not
Set เอาไว ้ Switch จะ shutdown port นั้นทันที
ตรวจสอบว่า port ถูก protect ไว ้หรือไม่ได ้จากรูปด ้านล่างนี ้

ถ ้า Protection Type : BPDU แสดงว่า ได ้รับการ protected จาก BPDU แล ้วแต่ถ ้าไม่มจี ะขึน้
ข ้อความว่า None
CS23 IT Solution P a g e | 13

2.4 ี่ ้องการให้ port ทีถู

กรณี ทต ่ ก shutdown กลับมาใช ้งานไดต้ ามปกติ ใหเ้ ข ้าไปที่
Device > Port management > Select port > เลือก Disable แล ้ว apply แล ้วเลือก Enable แล ้ว
apply

2.5 ่
ในกรณี ของ Un-manage Switch ทีจะมาเชื ่
อมต่
อกับ HP Switch สามารถใช ้
วิธก ่ PVID ให้เป็ น VLAN ID อืนๆที
ี ารเดียวกันกับของ CISCO Switch โดยเปลียน ่ ่ ได ้ใช ้งาน ดังนี ้
ไม่
- ไปที่ Network > VLAN > Modify Port > เลือก port > เลือก type เป็ น
Trunk > เลือก PVID > ใส่หมายเลข VLAN ID (Unused VLAN)
- กดปุ่ ม Apply
้
ในกรณี นีจะไม่ ทาให ้ port ถูก shutdown แต่วา่ un-manage switch จะใช ้งานไม่ได ้
CS23 IT Solution P a g e | 14

ี่ ร้ บี BPDU มาจะมีข ้อความดังนี ้

2.6 ตรวจสอบ Logs ของ switch ในกรณี ทได
MSTP Warning MSTP_BPDU_PROTECTION BPDU-Protection port Ethernet1/0/13 received BPDUs.