Port-Security es una feature de los switches Cisco que nos permite retener las direcciones MAC conectadas a un puerto y permitir solamente esas direcciones MAC registradas comunicarse a través de ese puerto del switch.

Nos permite restringir:

  • Restringir el acceso a los puertos del switch según la MAC.
  • Restringir el número de MACs por puerto en el switch.
  • Reaccionar de diferentes maneras a violaciones de las restricciones anteriores.
  • Establecer la duración de las asociaciones MAC-Puerto

Si un dispositivo con otra dirección MAC intenta comunicarse a través de un puerto de la LAN, port-security deshabilitará el puerto.

 

Configuración de Port-Security

El proceso de configuración requiere ingresar a la configuración de la interfaz en cuestión y ejecutar el comando port-security. En el siguiente ejemplo vamos a tomar el puerto 15 del switch:

switch# configure terminal
switch(config)# int fa0/15
switch(config-if)# switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode
  <cr>    

 

Asumir valores por defecto

Si se ejecuta el comando básico se asumen los valores por defecto: solo se permite 1 dirección MAC en el puerto, que será la primera que se conecte al mismo. En caso de que otra dirección MAC intente conectarse utilizando el mismo puerto, este será deshabilitado o bloqueado:

switch(config-if)# switch port-security

 

Número de direcciones MAC permitidas

Para definir el número de direcciones MAC permitidas que se conecten a través de la interfaz del switch ejecutamos:

switch(config-if)# switchport port-security maximum 2

 

Acciones a realizar

Para establecer la acción que tomará el switch en caso de que se supera el número de direcciones MAC establecidas ejecutamos:

switch(config-if)# switchport port-security violation protect

o

switch(config-if)# switchport port-security violation restrict

o

switch(config-if)# switchport port-security violation shutdown

Opciones:

  • protect: que deje de prender.
  • restrict: que envíe una alerta administrativa.
  • shutdown: que deshabilite el puerto.

 

Volver a habilitar un puerto

Si un puerto ha sido deshabilitado por recibir conexiones de direcciones MACs indeseadas podemos volver habilitarlo de la siguiente manera:

switch(config-if)# switchport port-security mac-address 0.3.ba.ae.59.8f
switch(config-if)# shutdown
switch(config-if)# no shutdown

 

Con el parámetro "mac-address" podemos definir manualmente la MAC que aceptaremos. Si no conocemos la MAC de un equipo podemos establecer que la MAC se aprenda dinámicamente:

switch(config-if)# switchport port-security mac-address sticky

 

Deshabilitar Port-Security de un puerto

Para deshabilitar el port-security de un puerto especifico ejecutamos:

switch(config)# no switchport port-security
  • Delicious
  • Digg
  • Reddit
  • Magnoliacom
  • Facebook
  • Google
  • Yahoo
  • Technorati