Просмотреть исходный

Port Security — это механизм ограничения количества MAC-адресов на порту. Если эта функция включена, вы определяете максимальное количество MAC-адресов, которые будут пересылаться. Трафик с остальных адресов будет отклонен.
Кадры проверяются на основе MAC-адресов источника.

MAC-адреса могут добавляться статически или изучаться динамически на основе кадров, полученных через порт. Динамически полученные адреса можно сохранить в конфигурации устройства в sticky режиме.

При превышении максимального количества адресов на порту возможны 3 действия:

режим "shutdown" - по умолчанию, выключает порт и переходит в состояние error-disabled, увеличивает счетчик событий и отправляет SNMP trap.
режим "restrict" - отклоняет кадров с MAC-адресами, превышающими максимальное количество, увеличивает счетчик событий и генерирует SNMP trap.
режим "protect" - отклоняет кадры с MAC-адресами, превышающими максимальное количество адресов, разрешенное на порту

Пример:

Вектор Технологии > Port Security > image-2025-12-10_12-34-46.png

Включение Port Security:

SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security

На VA2100 необходимо дополнительно включать mac-address-learning cpu-control

SW2(config)#mac-address-learning cpu-control

Установка максимального количества MAC-адресов - 1:

SW2(config-if-ethernet1/0/8)#switchport port-security maximum 1

Режим работы по умолчанию — «shutdown», поэтому при подключении двух устройств, порт 1/0/8 автоматически переходит в режим DOWN.

SW2#%Jan 03 04:56:43 2006 Port-security has reached the threshold on Interface Ethernet1/0/8 and violation mode is shutdown, so shutdown it!
%Jan 03 04:56:43 2006 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/8, changed state to DOWN
%Jan 03 04:56:43 2006 %LINK-5-CHANGED: Interface Ethernet1/0/8, changed state to administratively DOWN

SW2(config)#show port-security
Secure Port 	MaxSecureAddr (count) 	CurrentAddr (count) 	SecurityViolation (count) 	Security Action
---------------------------------------------------------------------------------------------------
Ethernet1/0/8 	1 						0 						1 							Shutdown

Счетчик событий Port Security — SecurityViolation (count) — увеличен на 1.
Режим «shutdown» с автоматическим поднятием порта через определенное время:
SW2(config-if-ethernet1/0/24)#switchport port-security violation shutdown recovery 60
В этом случае порт поднимется через 60 секунд.
Поднимаем порт командой «no shutdown» и меняем режим на «protect»:
SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#no shutdown
SW2(config-if-ethernet1/0/8)#switchport port-security violation protect
В этом режиме порт будет блокировать трафик только с адресов, превышающих разрешенное количество.
Ping на ПК3 возможен только с одного ПК, с другого он отклоняется.
%Jan 13 22:07:20 20023 Port-security has reached the threshold on Interface Ethernet1/0/8,
so packets with unknown source addresses are dropped!
Отображение адресов, динамически полученных с помощью Port Security:
SW2(config)#show port-security interface ethernet 1/0/8 address
Secure Mac Address Table
------------------------------------------------------------------
Vlan Mac Address Type Ports
1 00-1f-e2-14-3e-de SECURED Ethernet1/0/8
Тип SECURED означает, что это динамически изученный адрес.
Изменим режим на 'restrict':
SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security violation restrict
Поведение аналогично «protect», кроме того, увеличивается счетчик Security Violation.
По умолчанию динамически полученные адреса действительны до перезапуска коммутатора. Чтобы указать
время, по истечении которого они должны быть автоматически удалены, мы используем команду:
SW2(config)#int ethernet 1/0/8
SW2(config-if-ethernet1/0/8)#switchport port-security aging time 10
SW2(config-if-ethernet1/0/8)#switchport port-security aging type ?
absolute Absolute aging type
inactivity Inactivity aging type
Срок действия указан в минутах. Кроме того, мы можем указать, должно ли это быть абсолютное время или
неактивное время для записи.
Чтобы сохранить динамически полученные MAC-адреса в конфигурации, мы используем команду
«sticky»:
SW2(config-if-ethernet1/0/8)#switchport port-security mac-address sticky
В show running-config, отображается динамически полученный MAC-адрес:
Ethernet interface1/0/8
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security aging time 10
switchport port-security mac-address sticky 8с-1а-64-36-50-de
Сохраняем конфигурацию командой «write» и перезагружаем устройство. После перезагрузки на этом порту
по-прежнему назначен тот же MAC-адрес:
SW2#show port-security interface ethernet 1/0/8 address
Secure Mac Address Table
------------------------------------------------------------------
Vlan Mac Address Type Ports
1 8с-1а-64-36-50-de SECURES Ethernet1/0/24
Тип SECURES указывает, что это закрепленный (sticky) адрес.