Limitar y Aprender MAC Addresses

Posted: 30th October 2020 by ccna7guru in ITN

Para poner el numero máximo de direcciones MAC permitidas en un puerto, utilice el siguiente comando

Switch(config-if)# switchport port-security maximum value 

El valor predeterminado de port security es 1. EL numero maximo de direcciones MAC seguras que se puede configurar depende del switch y el IOS. En este ejemplo, el maximo es 8192.

S1(config)# interface f0/1 
S1(config-if)# switchport port-security maximum ? 
  <1-8192> Maximas direcciones
S1(config-if)# switchport port-security maximum 

El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres maneras:

1. Manually Configured

El administrador configura manualmente una(s) direccion MAC estatica usando el siguiente comando para cada direccion MAC en el puerto:

Switch(config-if)# switchport port-security mac-address mac-address

2. Dynamically Learned

Cuando se ingresa el comando switchport port-security, la fuente MAC actual para el dispositivo conectado al puerto se asegura automáticamente pero no se agrega a la configuración de inicio. Si el switch es reiniciado, el puerto tendrá que re-aprender la direccion MAC del dispositivo.

3. Dynamically Learned – Sticky

El administrador puede configurar al switch para que aprenda la direccion MAC automáticamente a la “pegue” a la configuración en ejecución usando el siguiente comando:

Switch(config-if)# switchport port-security mac-address sticky 

Al guardar la configuración en ejecución la direccion MAC aprendida automaticamente se quedara en NVRAM.

EL siguiente ejemplo muestra una configuración completa de port security en la interfaz FastEthernet 0/1. El administrador especifica una cantidad máxima de 4 direcciones MAC, configura una direccion MAC segura, y luego configura el puerto para que aprenda mas direcciones MAC de manera automática hasta un máximo de 4 direcciones MAC. Use los comandos show port-security interface y show port-security address para verificar la configuración.

S1(config)# interfaz fa0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 4
S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)# switchport port-security mac-address sticky 
S1(config-if)# finalizar
S1# show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 4
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
S1# show port-security address
               Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
                                                                   (mins)    
--- ----------- --- ----- -------------
   1 aaaa.bbbb.1234 SecureConfigured Fa0/1 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192S1#

The output of the show port-security interface command verifies that port security is enabled, there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses will be allowed, and S1 has learned one MAC address statically and one MAC address dynamically (i.e., sticky).

The output of the show port-security address command lists the two learned MAC addresses.