...
| Блок кода |
|---|
SW2(config)#show port-security Secure Port MaxSecureAddr (count) CurrentAddr (count) SecurityViolation (count) Security Action --------------------------------------------------------------------------------------------------- Ethernet1/0/8 1 0 1 Shutdown |
Счетчик событий Port Security — SecurityViolation (count) — увеличен на 1.
Режим «shutdown» с автоматическим поднятием порта через определенное время:
SW2(config-if-ethernet1/0/24)#switchport port-security violation shutdown recovery 60
В этом случае порт поднимется через 60 секунд.
Поднимаем порт командой «no shutdown» и меняем режим на «protect»:
SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#no shutdown
SW2(config-if-ethernet1/0/8)#switchport port-security violation protect
В этом режиме порт будет блокировать трафик только с адресов, превышающих разрешенное количество.
Ping на ПК3 возможен только с одного ПК, с другого он отклоняется.
%Jan 13 22:07:20 20023 Port-security has reached the threshold on Interface Ethernet1/0/8,
so packets with unknown source addresses are dropped!
Отображение адресов, динамически полученных с помощью Port Security:
SW2(config)#show port-security interface ethernet 1/0/8 address
Secure Mac Address Table
------------------------------------------------------------------
Vlan Mac Address Type Ports
1 00-1f-e2-14-3e-de SECURED Ethernet1/0/8
Тип SECURED означает, что это динамически изученный адрес.
Изменим режим на 'restrict':
SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security violation restrict
Поведение аналогично «protect», кроме того, увеличивается счетчик Security Violation.
По умолчанию динамически полученные адреса действительны до перезапуска коммутатора. Чтобы указать
время, по истечении которого они должны быть автоматически удалены, мы используем команду:
SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security aging time 10
SW2(config-if-ethernet1/0/8)#switchport port-security aging type ?
absolute Absolute aging type
inactivity Inactivity aging type
Срок действия указан в минутах. Кроме того, мы можем указать, должно ли это быть абсолютное время или
неактивное время для записи.
Чтобы сохранить динамически полученные MAC-адреса в конфигурации, мы используем команду
«sticky»:
SW2(config-if-ethernet1/0/8)#switchport port-security mac-address sticky
В show running-config, отображается динамически полученный MAC-адрес:
Ethernet interface1/0/8
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security aging time 10
switchport port-security mac-address sticky 8с-1а-64-36-50-de
Сохраняем конфигурацию командой «write» и перезагружаем устройство. После перезагрузки на этом порту
по-прежнему назначен тот же MAC-адрес:
SW2#show port-security interface ethernet 1/0/8 address
Secure Mac Address Table
------------------------------------------------------------------
Vlan Mac Address Type Ports
1 8с-1а-64-36-50-de SECURES Ethernet1/0/24
Тип SECURES указывает, что это закрепленный (sticky) адрес.