Port Security — это механизм ограничения количества MAC-адресов на порту. Если эта функция включена, вы определяете максимальное количество MAC-адресов, которые будут пересылаться. Трафик с остальных адресов будет отклонен.
Кадры проверяются на основе MAC-адресов источника.
MAC-адреса могут добавляться статически или изучаться динамически на основе кадров, полученных через порт. Динамически полученные адреса можно сохранить в конфигурации устройства в sticky режиме.
При превышении максимального количества адресов на порту возможны 3 действия:
- режим "shutdown" - по умолчанию, выключает порт и переходит в состояние error-disabled, увеличивает счетчик событий и отправляет SNMP trap.
- режим "restrict" - отклоняет кадров с MAC-адресами, превышающими максимальное количество, увеличивает счетчик событий и генерирует SNMP trap.
- режим "protect" - отклоняет кадры с MAC-адресами, превышающими максимальное количество адресов, разрешенное на порту
Пример:
Включение Port Security:
SW2(config)#int ethernet 1/0/8 SW2(config-if-ethernet1/0/8)#switchport port-security
На VA2100 необходимо дополнительно включать mac-address-learning cpu-control
SW2(config)#mac-address-learning cpu-control
Установка максимального количества MAC-адресов - 1:
SW2(config-if-ethernet1/0/8)#switchport port-security maximum 1
Режим работы по умолчанию — «shutdown», поэтому при подключении двух устройств, порт 1/0/8 автоматически переходит в режим DOWN.
SW2#%Jan 03 04:56:43 2006 Port-security has reached the threshold on Interface Ethernet1/0/8 and violation mode is shutdown, so shutdown it! %Jan 03 04:56:43 2006 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/8, changed state to DOWN %Jan 03 04:56:43 2006 %LINK-5-CHANGED: Interface Ethernet1/0/8, changed state to administratively DOWN
SW2(config)#show port-security Secure Port MaxSecureAddr (count) CurrentAddr (count) SecurityViolation (count) Security Action --------------------------------------------------------------------------------------------------- Ethernet1/0/8 1 0 1 Shutdown
Счетчик событий Port Security — SecurityViolation (count) — увеличен на 1.
Настройка автоматического поднятия порта через определенное минуту:
SW2(config-if-ethernet1/0/24)#switchport port-security violation shutdown recovery 60
Настройка режима protect:
SW2(config)#int ethernet 1/0/8 SW2(config-if-ethernet1/0/8)#no shutdown SW2(config-if-ethernet1/0/8)#switchport port-security violation protect
В этом режиме порт будет блокировать трафик только с адресов, превышающих разрешенное количество.
Ping до ПК3 возможен только с одного ПК, с другого он отклоняется.
%Jan 13 22:07:20 20023 Port-security has reached the threshold on Interface Ethernet1/0/8, so packets with unknown source addresses are dropped!
Отображение адресов, динамически полученных с помощью Port Security:
SW2(config)#show port-security interface ethernet 1/0/8 address Secure Mac Address Table ------------------------------------------------------------------ Vlan Mac Address Type Ports 1 00-1f-e2-14-3e-de SECURED Ethernet1/0/8
Тип SECURED означает, что это динамически изученный адрес.
Настройка режима restrict:
SW2(config)#int ethernet 1/0/8 SW2(config-if-ethernet1/0/8)#switchport port-security violation restrict
Поведение аналогично «protect», кроме того, увеличивается счетчик Security Violation.
По умолчанию динамически полученные адреса действительны до перезапуска коммутатора.
Настройка времени, по истечении которого они должны быть автоматически удалены:
SW2(config)#int ethernet 1/0/8 SW2(config-if-ethernet1/0/8)#switchport port-security aging time 10
Срок действия указывается в минутах.
Также можно указать, должно ли это быть абсолютное время или неактивное время для записи.
SW2(config-if-ethernet1/0/8)#switchport port-security aging type inactivity
Настройка сохранения динамически полученных MAC-адресов в конфигурацию:
SW2(config-if-ethernet1/0/8)#switchport port-security mac-address sticky
Проверка показывает, что в show running-config, отображается динамически полученный MAC-адрес:
Ethernet interface1/0/8 switchport port-security switchport port-security mac-address sticky switchport port-security violation restrict switchport port-security aging time 10 switchport port-security mac-address sticky 8с-1а-64-36-50-de
После сохранения конфигурации и перезагрузки устройства на этом порту по-прежнему назначен тот же MAC-адрес:
SW2#show port-security interface ethernet 1/0/8 address Secure Mac Address Table ------------------------------------------------------------------ Vlan Mac Address Type Ports 1 8с-1а-64-36-50-de SECURES Ethernet1/0/24
Тип SECURES указывает, что это закрепленный (sticky) адрес.
