Eltex Knowledge Base
Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Существует несколько режимов работы port security.

1) По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static. В данном режиме сохраняет в файл текущие динамически изученные адреса, связанные с интерфейсом и запрещает обучение новым адресам и старение уже изученных адресов

Пример настройки port-security в режиме lock. Данный режим также добавляет все MAC-адреса статически  в конфигурацию show run

  • Включить функцию защиты на интерфейсе:

console(config-if)# switchport port-security enable

Настройка MAC-адреса в port-security в ручном режиме. После ввода команды настройка отображается как в выводе show run, так и в выводе show mac-address-table, с пометкой Static в типе записи.

console(config)# mac-address-table static unicast aa:bb:cc:dd:00:11 vlan X interface gi 0/X


2) Режим max-address удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение мак-симального максимального количества адресов на порту. Повторное изучение и старение разрешены.

...

console(config-if)# switchport port-security enable


3) Режим secure-delete-on-reset удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются до перезагрузки.

...

После настройки порта на нем возможно изучение 2х новых мак-адресов.


4) Режим secure-permanent удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются при перезагрузке

...

Настройка  режима реагирования возможна в режимах:

  • protect - в данном режиме оповещения о нарушении безопасности нет. Включает перехват МАС-адресов, которые должны быть отброшены, на CPU, после чего MAC-адреса помечаются как заблокированные и отбрасываются в течение aging-time.  Режим по умолчанию.
  • restrict - в данном режиме при нарушении безопасности отправляется SNMPSYSLOG-трап сообщение на SYSLOG-сервер.

  • discard-shutdown - в данном режиме кадры с неизученными МАС-адресами источника отбрасываются, порт отключается. Поддерживается начиная с версии ПО 10.3.3.

Пример настройки

console(config-if)# switchport port-security violation restrict


Настройка мак-адреса в port-security  ручном режиме. После ввода команды на порту настройка не появлется в конфигурации и отображается только как вывод команды show mac-address-table

console(config-if)# switchport port-security unicast aa:bb:cc:dd:00:11

show-команды:

show run

show mac-address-table