Security

Seguridad Portuaria con Dinmicamente aprendidas y las direcciones MAC estticas
Puede utilizar la seguridad portuaria con dinmica aprendida y esttica de direcciones MAC para restringir el
trfico de entrada de un puerto, al limitar las direcciones MAC que estn autorizados a enviar el trfico en el
puerto. Al asignar direcciones MAC seguras a un puerto seguro, el puerto no reenva el trfico de ingreso que
tiene las direcciones de origen fuera del grupo de direcciones definidas. Si limita el nmero de direcciones MAC
seguras a uno y asigna una nica direccin MAC segura, el dispositivo conectado al puerto que tiene el ancho de
banda del puerto.
Una violacin de la seguridad se produce en cualquiera de estas situaciones:
Cuando se alcanza el nmero mximo de direcciones MAC seguras en un puerto seguro y la direccin MAC
de origen del trfico de entrada es diferente a cualquiera de las direcciones MAC seguras identificadas, la
seguridad portuaria se aplica el modo de violacin configurado.
Si el trfico con una direccin MAC seguro que est configurado o aprendido en un puerto seguro intente
conectarse a otro puerto seguro en la misma VLAN, se aplica el modo de violacin configurado.

Nota Despus de una direccin MAC segura est configurada o aprendido en un puerto seguro, la
secuencia de eventos que se produce cuando el puerto de seguridad detecta que la direccin MAC
segura en un puerto diferente en la misma VLAN se conoce como un movimiento violacin MAC.

Consulte la "Configuracin del modo de Violacin de Seguridad Portuaria en un puerto" seccin para ms
informacin sobre los modos de violacin.
Despus de configurar el nmero mximo de direcciones MAC seguras en un puerto, la seguridad portuaria
incluye las direcciones seguras en la tabla de direcciones en una de las siguientes maneras:
Puede configurar estticamente todas las direcciones MAC seguras mediante el uso de la switchport port-
security mac-address mac_addresscomando de interfaz de configuracin.
Puede permitir que el puerto para configurar dinmicamente las direcciones MAC seguras con las
direcciones MAC de los dispositivos conectados.
esttica Puede configurar un nmero de direcciones y permitir que el resto de configurarse dinmicamente.
Si el puerto tiene una condicin de enlace descendente, se eliminan todas las direcciones aprendidas
dinmicamente.
Tras el arranque, una recarga, o una condicin de enlace descendente, la seguridad portuaria no rellena la tabla
de direcciones con las direcciones MAC aprendidas dinmicamente hasta que el puerto recibe el trfico de
ingreso.
Una violacin de seguridad si el nmero mximo de direcciones MAC seguras se han aadido a la tabla de
direccin y el puerto recibe el trfico procedente de una direccin MAC que no est en la tabla de direcciones.
Usted puede configurar el puerto de uno de los tres modos de violacin: proteger, restringir, o el
apagado. Consulte la seccin "Configuracin de Seguridad Portuaria" .
Para asegurarse de que un dispositivo conectado tiene el ancho de banda del puerto, establecer el nmero
mximo de direcciones a una y configurar la direccin MAC del dispositivo conectado.
Seguridad Portuaria con direcciones MAC Sticky
La seguridad del puerto con las direcciones MAC pegajosas proporciona muchas de las mismas ventajas que la
proteccin portuaria con las direcciones MAC estticas, pero las direcciones MAC pegajosos se puede aprender
de forma dinmica. La seguridad del puerto con las direcciones MAC pegajosas conserva aprendi
dinmicamente las direcciones MAC durante una condicin de enlace descendente.
Si se introduce una memoria de escritura o startup-config running-config copiar comandos, a continuacin, la
seguridad portuaria con direcciones MAC pegajosas ahorra aprendido dinmicamente las direcciones MAC en el
archivo de configuracin de inicio y el puerto no tiene que aprender las direcciones de trfico de ingreso despus
de arranque o un reinicie.
Seguridad Portuaria con los telfonos IP
La Figura 62-1 muestra una aplicacin en la que un dispositivo se conecta al conmutador a travs del puerto de
datos de un telfono IP.
Figura 62-1 dispositivo conectado a travs del telfono IP

Debido a que el dispositivo no est conectado directamente al conmutador, el conmutador no puede detectar
fsicamente una prdida de enlace de puerto si el dispositivo se desconecta. Ms tarde los telfonos IP de Cisco
envan un Cisco Discovery Protocol (CDP) Tipo presencia anfitrin valor de longitud (TLV) para notificar el
interruptor de cambios en el estado del enlace del puerto del dispositivo conectado. Con Cisco IOS versin 12.2
(33) SXI y versiones posteriores, el interruptor reconoce el TLV presencia host. Tras recibir una notificacin TLV
presencia de host de un enlace descendente en el puerto de datos del telfono IP, seguridad de puertos, se
elimina de la tabla de direcciones de todas las direcciones MAC estticas, pegajosos, y aprendido de forma
dinmica. Las direcciones eliminadas se agregan de nuevo slo cuando las direcciones se aprenden de forma
dinmica o configurados.
Configuracin por defecto de Seguridad Portuaria
Tabla 62-1 muestra la configuracin de seguridad de puerto predeterminado para una interfaz.
Tabla 62-1 Configuracin por defecto de Seguridad Portuaria
Caracterstica Configuracin predeterminada
La seguridad portuaria Inhabilitado.
Nmero mximo de
direcciones MAC seguras
1.
Modo de Violacin Apagar. El puerto se apaga cuando se excede el nmero
mximo de direcciones MAC seguras, y una notificacin de
captura SNMP se enva.

Directrices de Seguridad Portuaria y restricciones
Al configurar la seguridad de puerto, siga estas pautas:
Con la configuracin de seguridad de puerto por defecto, para que todos los puertos seguros fuera del
estado sin errores desactivado, introduzca la psecure-violacin causa recuperacin errdisable comando
de configuracin global, o manualmente volver a habilitar el puerto introduciendo elapagado y no cerrar los
comandos de configuracin del interfaz.
Introduzca el dinmico puerto de seguridad clara comando de configuracin global para borrar todas las
direcciones seguras aprendidas dinmicamente. Ver el IOS Maestro Lista de comandos de Cisco para
obtener informacin completa de sintaxis.
La seguridad del puerto aprende direcciones MAC no autorizadas con un conjunto de bits que causa el
trfico a ellos o de que se caigan. Los show mac-address-table comando muestra las direcciones MAC no
autorizadas, pero no muestra el estado del bit. (CSCeb76844)
Para conservar las direcciones MAC aprendidas dinmicamente pegajosas y configurarlos en un puerto
despus de un arranque o una recarga y despus de la aprendieron de forma dinmica direcciones MAC
pegajosas se han aprendido, debe introducir una escritura de memoria o copiar startup-config running-
config comando para salvarlos en el archivo de configuracin de inicio.
Seguridad de puertos soporta VLAN privada (PVLAN) puertos.
Seguridad de puertos es compatible con puertos IEEE 802.1Q tnel.
Seguridad de puertos no soporta Port Switch Analyzer (SPAN) puertos de destino.
Seguridad de puertos no soporta interfaces de puerto-canal EtherChannel.
Con Cisco IOS versin 12.2 (33) SXH y versiones posteriores, puede configurar la seguridad de puerto y
autenticacin basada en el puerto 802.1X en el mismo puerto. Con versiones anteriores de Cisco IOS versin
12.2 (33) SXH:
- Si intenta habilitar la autenticacin basada en el puerto 802.1X en un puerto seguro, aparece un
mensaje de error y la autenticacin basada en el puerto 802.1X no est habilitado en el puerto.
- Si intenta habilitar la seguridad de puerto en un puerto configurado para la autenticacin basada en el
puerto 802.1X, aparece un mensaje de error y la seguridad portuaria no est habilitado en el puerto.
Seguridad de puertos es compatible con troncos nonnegotiating.
- La seguridad del puerto slo admite enlaces troncales configurados con estos comandos:
switchport
switchport encapsulacin tronco
del modo del switchport tronco
del switchport nonegotiate
- Si vuelve a configurar un puerto de acceso seguro como un tronco, seguridad portuaria convierte todas
las direcciones seguras pegajosas y estticas en ese puerto que se aprendieron de forma dinmica en
la VLAN de acceso a las direcciones seguras pegajosos o estticas en la VLAN nativa del
tronco. Seguridad de puertos elimina todas las direcciones seguras en la VLAN de voz del puerto de
acceso.
- Si vuelve a configurar un tronco seguro como un puerto de acceso, la seguridad portuaria convierte
todas las direcciones pegajosas y estticas aprendidas en la VLAN nativa de direcciones aprendidas en
la VLAN de acceso del puerto de acceso. Seguridad de puertos elimina todas direcciones aprendidas
sobre las VLAN que no sea la VLAN nativa.

Tenga en cuenta la proteccin del puerto utiliza el ID de VLAN configurado con la VLAN nativa
switchport trunk comando para ambos troncos IEEE 802.1Q y troncales ISL.

Tenga cuidado cuando se habilita la seguridad de puerto en los puertos conectados a los interruptores
adyacentes cuando hay enlaces redundantes que corren entre los switches ya seguridad portuaria de errores
podra desactivar los puertos debido a violacines de seguridad portuaria.
Flex Links y la seguridad portuaria no son compatibles entre s.
Configuracin de Seguridad Portuaria
Estas secciones describen cmo configurar la seguridad de puerto:
Habilitacin de Seguridad Portuaria
Configuracin del modo de Violacin de Seguridad Portuaria en un puerto
Configuracin del limitador Tasa de Seguridad Portuaria
Configurar el nmero mximo de direcciones MAC seguras en el puerto
Habilitacin de Seguridad Portuaria con direcciones Sticky MAC en un puerto
Configuracin de un esttico Secure direccin MAC de un puerto
Configuracin de Secure Direccin MAC Aging en un puerto
Habilitacin de Seguridad Portuaria
Estas secciones se describe cmo habilitar la seguridad del puerto:
Habilitacin de Seguridad Portuaria en un tronco
Habilitacin de Seguridad Portuaria en un puerto de acceso
Habilitacin de Seguridad Portuaria en un tronco
La seguridad portuaria es compatible con troncos nonnegotiating.

Precaucin Debido a que el nmero predeterminado de direcciones seguras es uno y la accin de violacin por omisin
es cerrar el puerto, configure el nmero mximo de direcciones MAC seguras en el puerto antes de habilitar la
seguridad portuaria en un tronco (ver "Configurar el nmero mximo de Secure direcciones MAC en una seccin
de puerto " ).

Para habilitar la seguridad portuaria en un tronco, realizar esta tarea:
Comando Propsito
Paso
1

Router (config) # interface tipo
1
ranura
/ puerto
Selecciona el puerto LAN
para configurar.
Paso
2

Router (config-if) # switchport
Configura el puerto como
un puerto de la Capa 2.
Paso
3

Router (config-if) # switchport tronco
encapsulacin { isl | dot1q }
Configura la
encapsulacin, que
configura el puerto de
conmutacin Layer 2, ya
sea como un ISL o 802.1Q
tronco.
Paso
4

Router (config-if) # switchport mode
tronco
Configura el puerto en el
tronco de manera
incondicional.
Paso
5

nonegotiate
Configura el tronco no
utilizar DTP.
Paso
6

Router (config-if) # switchport port-
security
Habilita la seguridad
portuaria en el tronco.
Paso
7

Router (config-if) # no mostrar port-
security interface tipo
1
ranura /
puerto | Incluye Seguridad Portuaria
Verifica la configuracin.
1
Tipo = fastethernet , gigabitethernet o tengigabitethernet
Este ejemplo muestra cmo configurar el puerto Fast Ethernet 5/36 como un tronco nonnegotiating y habilitar la
seguridad del puerto:
Router # configure terminal
Introduzca los comandos de configuracin, uno por lnea. Terminar con CTRL / Z.
Router (config) # interface FastEthernet 5/36
Router (config-if) # switchport mode tronco
Router (config-if) # switchport nonegotiate
Router (config-if) # switchport port-security
Router (config-if) # hacer mostrar fastethernet interfaz de puerto de seguridad 5/36 | Incluye
puerto
Seguridad
Seguridad Portuaria: Habilitado
Habilitacin de Seguridad Portuaria en un puerto de acceso
Para habilitar la seguridad de puerto en un puerto de acceso, realizar esta tarea:
Comando Propsito
Paso
1

1
ranura
/ puerto
para configurar.
Nota El puerto puede ser
un puerto de tnel
o un puerto
PVLAN.
Paso
2

un puerto de la Capa 2.
Paso
3

Router (config-if) # switchport mode
access
un puerto de acceso de
capa 2.
Nota Un puerto en el
modo por defecto
(dinmico
deseable) no se
puede configurar
como un puerto
seguro.
Paso
4

security
Permite la seguridad de
puerto en puerto.
Paso
5

Router (config-if) # no mostrar port-
1
ranura /
puerto | Incluye Seguridad Portuaria
1
Este ejemplo muestra cmo habilitar la seguridad portuaria en el puerto Fast Ethernet 5/12:
Router (config-if) # switchport mode access
puerto
Seguridad
Configuracin del modo de Violacin de Seguridad Portuaria en un puerto
Para configurar el modo de violacin de seguridad de puerto en un puerto, realizar esta tarea:
Comando Propsito
Paso
1

1
ranura /
puerto
Selecciona el
puerto LAN para
configurar.
Paso
2

violacin { proteger | restringen| apagado }
(Opcional)
Establece la
modalidad de
violacin y de la
accin a tomar
cuando se detecta
una violacin de
seguridad.
Paso
3

Router (config-if) # hacer mostrar port-
1
ranura / puerto |
Incluye violation_mode
2

Verifica la
configuracin.
1
2
violation_mode = proteger , restringir o apagado
En la configuracin de los modos de violacin de la proteccin portuaria, tenga en cuenta la siguiente informacin:
proteger -Gotas paquetes con direcciones de origen desconocido hasta que se elimine un nmero suficiente de
seguro direcciones MAC a caer por debajo del valor mximo.
restringir -Gotas paquetes con direcciones de origen desconocido hasta que se elimine un nmero suficiente de
seguro direcciones MAC para caer por debajo del valor mximo y hace que el contador SecurityViolation
incrementar.
apagado : coloca la interfaz en el estado de error desactivado inmediatamente y enva una notificacin de
captura SNMP.

Nota Para que un puerto seguro fuera del estado sin errores desactivado, introduzca la recuperacin causa
errdisable violation_mode comando de configuracin global, o se puede volver a activar manualmente
mediante la introduccin de la parada y no cerr los comandos de configuracin del interfaz.
Para proteger la CPU contra la utilizacin excesiva, al configurar la proteccin o restringir los modos de
violacin, configurar el limitador de velocidad de cada de paquetes (vase el apartado "Configuracin del
puerto de Seguridad Limitador" seccin ).

Este ejemplo muestra cmo configurar el modo de violacin de seguridad de proteccin en el puerto Fast
Ethernet 5/12:
Router (config-if) # switchport port-security violacin proteger
Protect
Modo de Violacin: Proteger
Este ejemplo muestra cmo configurar el modo de restringir violacin de seguridad en el puerto Fast Ethernet
5/12:
Router (config-if) # switchport port-security violacin restringir
Restringir
Modo de Violacin: Restringir
Configuracin del limitador Tasa de Seguridad Portuaria

Nota El modo de conmutacin truncada no soporta el limitador de velocidad de seguridad portuaria.

La seguridad portuaria examina todo el trfico recibido por puertos seguros para detectar violacines o para
reconocer y asegurar nuevas direcciones MAC. Cuando se configura el modo de apagado violacin, el trfico no
puede entrar en el puerto seguro despus de una violacin se ha detectado, que elimina la posibilidad de que
violacines podran suponer una carga excesiva de la CPU.
Cuando se configuran los modos de violacin proteger o restringir, la seguridad portuaria contina procesando el
trfico despus de que ocurre una violacin, lo que podra suponer una carga excesiva de la CPU. Configure el
limitador de velocidad de seguridad portuaria para proteger la CPU contra la carga excesiva cuando se configuran
los modos de violacin proteger o restringir.
Para configurar el limitador de velocidad de seguridad portuaria, realizar esta tarea:
Comando Propsito
Paso
1

Router (config) # mls rate-limit Layer2
puerto-seguridad rate_in_pps [ burst_size ]
Configura el limitador
de velocidad de
seguridad portuaria.
Paso
2

Router (config) # hacer mostrar rate-limit
mls | Incluye PORTSEC
Verifica la
configuracin.
Al configurar el limitador de velocidad de seguridad de puerto, tenga en cuenta la siguiente informacin:
Para el rate_in_pps valor:
- El rango es de 10 a 1.000.000 (ingres como 1.000.000).
- No hay ningn valor predeterminado.
- Cuanto ms bajo sea el valor, ms que la CPU est protegida. El limitador de velocidad se aplica al
trfico antes y despus de una violacin de seguridad. Configure un valor lo suficientemente alto como
para permitir el trfico nonviolating para llegar a la funcin de seguridad del puerto.
- Los valores inferiores a 1000 (entr como 1000) debera ofrecer suficiente proteccin.
Para el burst_size valor:
- El rango es de 1 a 255.
- El valor predeterminado es 10.
- El valor por defecto debera ofrecer suficiente proteccin.
Este ejemplo muestra cmo configurar el limitador de velocidad de seguridad portuaria:
Router (config) # mls rate-limit layer2 puerto de seguridad 1000
Router (config) # final
Este ejemplo muestra cmo comprobar la configuracin:
Router # mostrar rate-limit mls | Incluye PORTSEC
Layer_2 PORTSEC En 1000 1 No compartir
Configurar el nmero mximo de direcciones MAC seguras en el puerto
Para configurar el nmero mximo de direcciones MAC seguras en un puerto, realizar esta tarea:
Comando Propsito
Paso
1

1
ranura / puerto
Selecciona el
puerto LAN
para
configurar.
Paso
2

mximo number_of_addresses vlan { vlan_ID |vlan_range }
Establece el
nmero
mximo de
direcciones
MAC seguras
para el puerto
(por defecto
es 1).
Nota de
config
uraci
n de
cada
VLAN
slo
se
admite
en los
tronco
s.
Paso
3

1
ranura / puerto | Incluye
mxima
Verifica la
configuracin.
1
Al configurar el nmero mximo de direcciones MAC seguras en un puerto, tenga en cuenta la siguiente
informacin:
La gama de number_of_addresses es de 1 a 4097.
Seguridad de puertos es compatible con troncos.
- En un tronco, se puede configurar el nmero mximo de direcciones MAC seguras tanto en el tronco y
para todas las VLAN en el maletero.
- Puede configurar el nmero mximo de direcciones MAC seguras en una nica VLAN o un rango de
VLAN.
- Para un rango de VLAN, introduzca un par de nmeros de VLAN separadas por guiones.
- Usted puede entrar en una lista separada por comas de nmeros de las VLAN y el guin separados por
pares de nmeros de las VLAN.
Este ejemplo muestra cmo configurar un mximo de 64 direcciones MAC seguras en el puerto Fast Ethernet
5/12:
Router (config-if) # switchport port-security mximo 64
mxima
Las direcciones MAC Mximo: 64
Habilitacin de Seguridad Portuaria con direcciones Sticky MAC en un puerto
Para habilitar la seguridad portuaria con direcciones MAC adhesivas en un puerto, realizar esta tarea:
Comando Propsito
Paso
1

Router (config)
# interface tipo
1
ranura / puerto
Selecciona el puerto LAN para
configurar.
Paso
2

port-security mac-address sticky
Permite la proteccin portuaria
con las direcciones MAC
adhesivas en un puerto.
1
Al habilitar la seguridad portuaria con direcciones MAC pegajosos, tenga en cuenta la siguiente informacin:
Al entrar en el puerto de seguridad mac-address pegajosa switchport comando:
- Todas las direcciones MAC seguras aprendidas dinmicamente en el puerto se convierten en Sticky
direcciones MAC seguras.
- Las direcciones MAC estticas seguras no se convierten en direcciones MAC pegajosos.
- Secure direcciones MAC aprendidas dinmicamente en una VLAN de voz no se convierten en
direcciones MAC pegajosos.
- Nueva aprendi dinmicamente las direcciones MAC seguras son pegajosos.
Al entrar en la pegajosa no switchport port-security mac-address comando, todas las direcciones MAC
seguras adhesivas en el puerto se convierten en direcciones MAC seguras dinmicas.
Para conservar las direcciones MAC aprendidas dinmicamente pegajosas y configurarlos en un puerto
despus de un arranque o una recarga, despus de la aprendieron de forma dinmica direcciones MAC
pegajosas se han aprendido, debe introducir una escritura de memoria o copiar startup-config running-
config comando para salvarlos en el archivo de configuracin de inicio.
Este ejemplo muestra cmo habilitar la seguridad portuaria con direcciones MAC adhesivas en puerto Fast
Ethernet 5/12:
Router (config-if) # switchport port-security mac-address sticky
Configuracin de un esttico Secure direccin MAC de un puerto
Para configurar una direccin MAC esttica seguro en un puerto, realizar esta tarea:
Comando Propsito
Paso
1

1
ranura / puerto
Selecciona el
puerto LAN
para configurar.
Paso
2

Router (config-if) # switchport port-security mac-
address [ pegajoso ] mac_address [ vlan vlan_ID ]
Configura una
direccin
esttica MAC
como seguro
en el puerto.
Nota de
configur
acin de
cada
VLAN
slo se
admite
en los
troncos.
Paso
3

Router (config-if) # final
Sale del modo
de
configuracin.
Paso
4

Router # demuestran direccin puerto de seguridad
Verifica la
configuracin.
1
Al configurar una direccin MAC esttica seguro en un puerto, tenga en cuenta la siguiente informacin:
Puede configurar las direcciones MAC seguras pegajosos si la seguridad portuaria con direcciones MAC
pegajosas est habilitada (vea elapartado "Habilitacin de Seguridad Portuaria con direcciones Sticky MAC
en un puerto" seccin ).
El nmero mximo de direcciones MAC seguras en el puerto, configurados con el mximo puerto de
seguridad switchport comando, define el nmero de seguro direcciones MAC puede configurar.
Si configura un menor nmero de direcciones MAC seguras que el mximo, las direcciones MAC restantes
se aprenden de forma dinmica.
La seguridad del puerto es compatible en troncales.
- En un tronco, se puede configurar una direccin MAC esttica segura en una VLAN.
- En un tronco, si no configura una VLAN para una direccin MAC esttica seguro, es seguro en la VLAN
configurado con la VLAN nativa switchport trunk comando.
Este ejemplo muestra cmo configurar una direccin MAC 1000.2000.3000 tan seguro en el puerto Fast Ethernet
5/12 y verificar la configuracin:
Router (config-if) # switchport port-security mac-address 1000.2000.3000
Router (config-if) # final
Secure Tabla de direcciones Mac
-------------------------------------------------- ----------
Vlan Mac Tipo Direccin de Puertos
------------------------
1 1000.2000.3000 SecureConfigured Fa5/12
Configuracin de Secure Direccin MAC Aging en un puerto
Cuando el tipo de envejecimiento se configura con la absoluta de palabras clave, todas las direcciones seguras
edad aprendido dinmicamente cuando expira el tiempo de envejecimiento. Cuando el tipo de envejecimiento
est configurado con la inactividad palabra clave, el tiempo de envejecimiento define el perodo de inactividad
despus del cual todas las direcciones seguras edad aprendido dinmicamente.

Nota Las direcciones estticas MAC seguras y direcciones MAC seguras pegajosos no envejecer a cabo.

Estas secciones describen cmo configurar la direccin MAC segura de envejecimiento en un puerto:
Configuracin de la Seguridad MAC Address Type Envejecimiento en un puerto
Configuracin de Secure MAC Address Aging Time en un puerto
Configuracin de la Secure MAC Address Type Envejecimiento en un puerto
Puede configurar el MAC tipo envejecimiento direccin segura en un puerto. Para configurar el tipo MAC
envejecimiento direccin segura en un puerto, realizar esta tarea:
Comando Propsito
Paso
1

1
ranura / puerto
Selecciona el
puerto LAN
para
configurar.
Paso
2

securityenvejecimiento tipo { absoluta | inactividad }
Configura el
tipo MAC
envejecimiento
direccin
segura en el
puerto (por
defecto es
absoluto).
Paso
3

1
ranura / puerto | Incluye
Tiempo
Verifica la
configuracin.
1
En este ejemplo se muestra cmo se establece el tipo de envejecimiento a la inactividad en el puerto Fast
Ethernet 5/12:
Router (config-if) # Tipo switchport port-security envejecimiento inactividad
Router (config-if) # hacer mostrar fastethernet interfaz de puerto de seguridad 5/12 | Incluye Tipo
Envejecimiento Tipo: Inactividad
Configuracin de Secure MAC Address Aging Time en un puerto
Para configurar la direccin MAC de tiempo de envejecimiento en un puerto seguro, lleve a cabo esta tarea:
Comando Propsito
Paso
1

1
ranura
/ puerto
para configurar.
Paso
2

security envejecimiento tiempoaging_time
Configura el MAC tiempo
seguro envejecimiento
direccin en el
puerto. El aging_time rango
es de 1 a 1440 minutos (por
defecto es 0).
Paso
3

1
ranura /
puerto | Incluye Tiempo
1
Este ejemplo muestra cmo configurar de 2 horas (120 minutos) como la direccin MAC seguras tiempo de
envejecimiento en el puerto Fast Ethernet 5/1:
Router (config-if) # tiempo de envejecimiento switchport port-security 120
Router (config-if) # hacer mostrar fastethernet interfaz de puerto de seguridad 5/12 | Incluye Tiempo
Tiempo de crianza: 120 min
Visualizacin de la configuracin de Seguridad Portuaria
Para mostrar la configuracin de seguridad de puertos, introduzca el siguiente comando:
Comando Propsito
Router # show port-security [ interfaz
de {{ vlanvlan_ID } | { tipo
1
ranura /
puerto }}] [direccin ]
La configuracin de seguridad del
puerto y exhibidores para el
interruptor o para la interfaz
especificada.
1
Cuando se muestra la configuracin de seguridad de puertos, tenga en cuenta la siguiente informacin:
Seguridad de puertos es compatible con el vlan palabra clave slo en los troncos.
Introduzca la direccin de palabra clave para mostrar las direcciones MAC seguras, con el envejecimiento
de la informacin para cada direccin, a nivel mundial para el interruptor o por interfaz.
La pantalla incluye estos valores:
- El nmero mximo permitido de seguro direcciones MAC para cada interfaz
- El nmero de seguro direcciones MAC en la interfaz
- El nmero de violacines de seguridad que se han producido
- El modo de violacin.
Este ejemplo muestra la salida desde el puerto de seguridad muestran comandos cuando no se introduce una
interfaz:
Router # show port-security
Puerto seguro MaxSecureAddr CurrentAddr SecurityViolation Seguridad
Accin
(Conde) (Count) (Count)
-------------------------------------------------- --------------------------
FA5 / 1 11 11 0 Apagado
FA5 / 5 15 5 0 Restringir
Fa5/11 5 4 0 Protect
-------------------------------------------------- --------------------------
Direcciones totales de sistema: 21
Max Direcciones lmite de sistema: 128
Este ejemplo muestra la salida desde el puerto de seguridad muestran comandos para una interfaz
especificada:
Router # show interface port-security fastethernet 5/1
Estado puerto: SecureUp
Modo de Violacin: Apagado
Las direcciones MAC Mximo: 11
Total de direcciones MAC: 11
Configurado direcciones MAC: 3
Tiempo de crianza: 20 minutos
Tipo de crianza: La inactividad
SecureStatic envejecimiento direccin: Habilitado
Recuento Violacin de seguridad: 0
En este ejemplo se muestra la salida de la demostracin de la direccin puerto de seguridad de comando
EXEC privilegiado:
Secure Tabla de direcciones Mac
-------------------------------------------------- -----------------
Vlan Mac Tipo Direccin puertos restantes Edad
(Minutos)
-------------------------------------
1 0001.0001.0001 SecureDynamic FA5 / 1 15 (I)
1 0001.0001.0002 SecureDynamic FA5 / 1 15 (I)
1 0001.0001.1111 SecureConfigured FA5 / 1 16 (I)
1 0001.0001.1112 SecureConfigured FA5 / 1 -
1 0001.0001.1113 SecureConfigured FA5 / 1 -
1 0005.0005.0001 SecureConfigured FA5 / 5 23
1 0011.0011.0001 SecureConfigured Fa5/11 25 (I)
1 0011.0011.0002 SecureConfigured Fa5/11 25 (I)
-------------------------------------------------- -----------------
Direcciones totales de sistema: 10
Max Direcciones lmite de sistema: 128

Security

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Security

Caricato da

Copyright:

Formati disponibili

Seguridad Portuaria con Dinmicamente aprendidas y las direcciones MAC estticas

Potrebbero piacerti anche