Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
- Permite a los administradores especificar las direcciones MAC permitidas en un puerto determinado.
- Permite al switch aprender de forma dinámica un número limitado de direcciones MAC.
Configuración:
- S(config)#int + (tipo/nº)
- S(config-if)#swichport mode + (modo) -> (trunk o access: si no hay un modo configurado el switch está
configurado como dinámico y no se puede habilitar la seguridad).
- S(config-if)#switchport port-security
- S(config-if)# switchport port-security + maximum + (nº de macs permitidas) -> (nº máximo de MACs permitidas,
entre 1 – 132 MACs)
- S(config-if)# switchport port-security + mac-address sticky -> (habilita el aprendizaje por resistencia)
- S(config-if)# switchport port-security + violation + (tipo de violación)
- Sticky: convertimos las MAC dinámicas en seguras persistentes, de esta forma se agregan a la configuración en
ejecución. Las MAC dinámicas se almacenan en la tabla de direcciones MAC y se pierden cuando se reinicia al
switch.
- Para eliminar la restricción de nº máximo de MACs primero hay que borrar switchport portsecurity en la interfaz,
después realizar un reload, reconfigurar las caracteristicas de seguridad del puerto y levantarlo
- S(config)#int + (tipo/nº)
- S(config-if)#no switchport port-security
- S(config-if)#end
- S#reload
- S#conf term
- S(conf)#int + (tipo/nº)
- S(config-if)#switchport port-security
- << continuar con la configuración de seguridad del puerto>>
- S(config-if)#no shut
Nivel de violación:
- Protect: sólo se permite el tráfico de la cantidad de MACs permitidas en la configuración descartando el resto.
No informa sobre la intrusión.
- Restrict: cuando la cantidad de direcciones MAC seguras alcanza el limite permitido para el puerto. En este caso
se envía una notificación de que se ha producido una violación.
- Shutdown: una violación de seguridad de puerto produce que se inhabilite el puerto. Para levantar un puerto
caído después de este tipo de violación hay que entrar en el interface hacer un shutdown y después no
shutdown.
Verificaciones:
Ejercicio:
Realizar configuraciones de tal manera que solo un equipo por puerto de switch se pueda conectar:
1. Laptop1: 192.168.0.1/24
2. Laptop2: 192.168.0.2/24
3. Laptop3: 192.168.0.3/24
Switch1
- Configurar en interface FastEthernet0/23:
Puerto en modo acceso
Configurar port-security en la interface
Restringir para solo acceso a mac-address 0003.E4EE.E796
Permitir solo 1 mac
Si se produce la violación realizar shutdown en la interface
Pruebas:
- Conectar Laptop 1 a Hub
- Verificar que int f0/24 aprendió mac de Laptop 1 (usar comando "sho run")
- Conectar Laptop 2 a Hub y verificar que int f0/24 se fue a shutdown
- Cambiar MAC a Laptop3 y verificar que int f0/23 se va a shutdown.
Switch1>en
Switch1#conf term
Enter configuration commands, one per line. End with CNTL/Z.
Switch1(config)#int f0/23
Switch1(config-if)#switchport mode access -> para que funcione debe estar en modo trunk o access
Switch1(config-if)#switchport port-security
Switch1(config-if)#switchport port-security mac-address 0003.e4ee.e796 -> solo se autoriza el acceso al equipo conectado con esta mac.
Switch1(config-if)#switchport port-security maximum 1
Switch1(config-if)#switchport port-security violation shutdown -> si hay una violación tira el puerto abajo, para recuperarlo hay que hacer un
shutdown y después no shutdown en el puerto
Switch1(config-if)#exit
Switch1(config)#int f0/24
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport port-security
Switch1(config-if)#switchport port-security maximum 1
Switch1(config-if)#switchport port-security violation shutdown
Switch1(config-if)#switchport port-security mac-address sticky -> con el comando sticky se memoriza la mac y se mantiene incluso se se
reinicia el sistema
Switch1(config-if)#end
Switch1#
%SYS-5-CONFIG_I: Configured from console by console
Switch1#wr
Switch1#sh ru
interface FastEthernet0/23
En este momento se conecta al Hub el PC2 y se observa como tira el puerto f0/24 abajo porque tenemos configurada la violación en shutdown
si se detecta más de una mac conectada al puerto.
Para recuperar el puerto f0/24 tenemos que pasarlo a shutdown y después a no shutdown.
Switch1(config)#int f0/24
Switch1(config-if)#shut
Switch1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to up
Sí quisieramos conectar otro dispositivo distinto habría que borrar la configuración de seguridad del puerto primero y después hacer un
reload, volver a configurar el puerto a los valores deseados y levantarlo, en este momento se ha borrado la mac antigua y está en disposición
de memorizar una mac nueva.
Si conectara los PCs 1 y 2 al hub y realizara un ping al PC3 solo me devolvería los paquetes del ping realizado desde el dispositivo desde donde
se hiciera primero el ping, es decir si lanzó el ping desde PC2 a PC3 y después desde PC1 a PC3 solo se acusaría el ping de PC2. Esto ocurre
porque le hemos configurado una restricción de un máximo de una mac.