Для того чтобы ограничить количество MAC адресов ( количество подключенных узлов) на порту коммутатора Cisco необходимо использовать функцию Port Security.
Настройка очень простая, настройка производится непосредственно в режиме конфигурации интерфейса:
1. Отключение автосогласования режима порта, режим порта должен быть статически указан access или trunk (подробно можно посмотреть тут).
2. На интерфейсе включается port security с настройками по умолчанию.
3. Кастомизация port security
4. Активация автовосстановления порта после срабатывания port security.
Настроим на портe коммутатора e0/1 ограничение в 1 MAC адрес:
Switch(config-if)#switchport port-security
Command rejected: Ethernet0/1 is a dynamic port.
Настройка очень простая, настройка производится непосредственно в режиме конфигурации интерфейса:
1. Отключение автосогласования режима порта, режим порта должен быть статически указан access или trunk (подробно можно посмотреть тут).
2. На интерфейсе включается port security с настройками по умолчанию.
3. Кастомизация port security
4. Активация автовосстановления порта после срабатывания port security.
Настроим на портe коммутатора e0/1 ограничение в 1 MAC адрес:
Switch(config-if)#switchport port-security
Command rejected: Ethernet0/1 is a dynamic port.
witch(config-if)#do sh int e0/1 swi
Name: Et0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Режим порта не совместим с port security, переведем его в режим access:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Теперь скажем ему изучать адреса автоматически:
Switch(config-if)#switchport port-security mac-address ?
H.H.H 48 bit mac address #указать разрешенный MAC статически
forbidden Configure mac address as forbidden on this interface #запретить определенный MAC
sticky Configure dynamic secure addresses as sticky #динамически изучить MAC
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Далее необходимо указать действие, в случае нарушения (shutdown - по умолчанию):
Switch(config-if)#switchport port-security violation ?
protect Security violation protect mode #Новый MAC не добавляется
restrict Security violation restrict mode #Новый MAC не добавляется но генерируется сообщение об этом(SNMP trap,syslog и растет счетчик ошибок)
shutdown Security violation shutdown mode #Порт переходит в состояние err-disabled и выключается
Для того чтобы коммутатор мог самостоятельно попробовать восстановить порт в рабочее состояние добавим автовосстановление:
errdisable recovery cause psecure-violation
errdisable recovery interval 30
Причина psecure-violation означает что порт был заблокирован по причине нарушения политики port security.Интервал определяет время через которое коммутатор попробует восстановить порт.
Попробуем на маршрутизаторе который подключен к порту коммутатора e0/1 сменить MAC. В данный момент коммутатор изучил текущий MAC(aabb.cc00.9012) и занес его в конфигурацию:
interface Ethernet0/1
switchport mode access
switchport port-security mac-address sticky
switchport port-security mac-address sticky aabb.cc00.9012
switchport port-security
Сменим MAC:
Router(config)#int e0/1
Router(config-if)#mac-address aabb.cc00.9013
Порт на коммутаторе блокируется:
*Dec 25 13:06:21.256: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/1, putting Et0/1 in err-disable state
*Dec 25 13:06:21.258: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.9013 on port Ethernet0/1.
*Dec 25 13:06:22.262: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state to down
Через 30 секунд коммутатор пробует восстановить порт:
*Dec 25 13:06:51.258: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Et0/1
Но не может т.к. MAC не совпадает с записанным в конфигурации.
Просмотр статуса port security на порту.
Switch#sh port-security interface e0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
errdisable recovery cause psecure-violation
errdisable recovery interval 30
Причина psecure-violation означает что порт был заблокирован по причине нарушения политики port security.Интервал определяет время через которое коммутатор попробует восстановить порт.
Попробуем на маршрутизаторе который подключен к порту коммутатора e0/1 сменить MAC. В данный момент коммутатор изучил текущий MAC(aabb.cc00.9012) и занес его в конфигурацию:
interface Ethernet0/1
switchport mode access
switchport port-security mac-address sticky
switchport port-security mac-address sticky aabb.cc00.9012
switchport port-security
Сменим MAC:
Router(config)#int e0/1
Router(config-if)#mac-address aabb.cc00.9013
Порт на коммутаторе блокируется:
*Dec 25 13:06:21.256: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/1, putting Et0/1 in err-disable state
*Dec 25 13:06:21.258: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.9013 on port Ethernet0/1.
*Dec 25 13:06:22.262: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state to down
Через 30 секунд коммутатор пробует восстановить порт:
*Dec 25 13:06:51.258: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Et0/1
Но не может т.к. MAC не совпадает с записанным в конфигурации.
Просмотр статуса port security на порту.
Switch#sh port-security interface e0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
У проблемы есть 3 варианта решения:
1. Вернуть обратно исходный MAC на маршрутизаторе.
2. Увеличить количество разрешенных адресов на порту коммутатора.
3. Очистить изученные адреса no switchport port-security mac-address sticky.
P.S. к портам куда подключаются IP телефоны количество разрешенных MAC адресов необходимо устанавливать не менее 2 (1 на телефон, 1 на ПК подключенный через телефон).
При подготовке использовался продукт EVE-NG, статья на xgu.ru и cisco.com.
Комментариев нет:
Отправить комментарий