Просмотреть исходный

Port Security — это механизм ограничения количества MAC-адресов на порту. Если эта функция включена, вы определяете максимальное количество MAC-адресов, которые будут пересылаться. Трафик с остальных адресов будет отклонен.
Кадры проверяются на основе MAC-адресов источника.

MAC-адреса могут добавляться статически или изучаться динамически на основе кадров, полученных через порт. Динамически полученные адреса можно сохранить в конфигурации устройства в sticky режиме.

При превышении максимального количества адресов на порту возможны 3 действия:

режим "shutdown" - по умолчанию, выключает порт и переходит в состояние error-disabled, увеличивает счетчик событий и отправляет SNMP trap.
режим "restrict" - отклоняет кадров с MAC-адресами, превышающими максимальное количество, увеличивает счетчик событий и генерирует SNMP trap.
режим "protect" - отклоняет кадры с MAC-адресами, превышающими максимальное количество адресов, разрешенное на порту

Пример:

Вектор Технологии > Port Security > image-2025-12-10_12-34-46.png

Включение Port Security:

SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security

На VA2100 необходимо дополнительно включать mac-address-learning cpu-control

SW2(config)#mac-address-learning cpu-control

Установка максимального количества MAC-адресов - 1:

SW2(config-if-ethernet1/0/8)#switchport port-security maximum 1

Режим работы по умолчанию — «shutdown», поэтому при подключении двух устройств, порт 1/0/8 автоматически переходит в режим DOWN.

SW2#%Jan 03 04:56:43 2006 Port-security has reached the threshold on Interface Ethernet1/0/8 and violation mode is shutdown, so shutdown it!
%Jan 03 04:56:43 2006 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/8, changed state to DOWN
%Jan 03 04:56:43 2006 %LINK-5-CHANGED: Interface Ethernet1/0/8, changed state to administratively DOWN

SW2(config)#show port-security
Secure Port 	MaxSecureAddr (count) 	CurrentAddr (count) SecurityViolation (count) 	Security Action
---------------------------------------------------------------------------------------------------
Ethernet1/0/8 	1 						0 					1 							Shutdown

Счетчик событий Port Security — SecurityViolation (count) — увеличен на 1.
Настройка автоматического поднятия порта через определенное минуту:

SW2(config-if-ethernet1/0/24)#switchport port-security violation shutdown recovery 60

Настройка режима protect:

SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#no shutdown
SW2(config-if-ethernet1/0/8)#switchport port-security violation protect

В этом режиме порт будет блокировать трафик только с адресов, превышающих разрешенное количество.
Ping до ПК3 возможен только с одного ПК, с другого он отклоняется.

%Jan 13 22:07:20 20023 Port-security has reached the threshold on Interface Ethernet1/0/8, so packets with unknown source addresses are dropped!

Отображение адресов, динамически полученных с помощью Port Security:

SW2(config)#show port-security interface ethernet 1/0/8 address
Secure Mac Address Table
------------------------------------------------------------------
Vlan 	Mac Address 		Type 	Ports
1 		00-1f-e2-14-3e-de 	SECURED Ethernet1/0/8

Тип SECURED означает, что это динамически изученный адрес.
Настройка режима restrict:

SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security violation restrict

Поведение аналогично «protect», кроме того, увеличивается счетчик Security Violation.

По умолчанию динамически полученные адреса действительны до перезапуска коммутатора.
Настройка времени, по истечении которого они должны быть автоматически удалены:

SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security aging time 10

Срок действия указывается в минутах.
Также можно указать, должно ли это быть абсолютное время или неактивное время для записи.

SW2(config-if-ethernet1/0/8)#switchport port-security aging type inactivity

Настройка сохранения динамически полученных MAC-адресов в конфигурацию:

SW2(config-if-ethernet1/0/8)#switchport port-security mac-address sticky

Проверка показывает, что в show running-config, отображается динамически полученный MAC-адрес:

Ethernet interface1/0/8
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security aging time 10
switchport port-security mac-address sticky 8с-1а-64-36-50-de

После сохранения конфигурации и перезагрузки устройства на этом порту по-прежнему назначен тот же MAC-адрес:

SW2#show port-security interface ethernet 1/0/8 address
Secure Mac Address Table
------------------------------------------------------------------
Vlan 	Mac Address 		Type 	Ports
1 		8с-1а-64-36-50-de 	SECURES Ethernet1/0/24

Тип SECURES указывает, что это закрепленный (sticky) адрес.