Om MAC-adressen för en enhet som är ansluten till en av switchens port skiljer sig från listan över säkra adresser, inträffar ett överträdelsefel (violation). Som standard ställer porten sig in i error-disabled -tillstånd.
För att ställa in överträdelseläge (violation mode) för port-security, använd följande kommando:
Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}
Följande tabeller visar hur en switch reagerar baserat på det konfigurerade överträdelseläget (violation mode).
Mode | Description |
---|---|
shutdown (default) | Porten övergår omedelbart till error-disabled tillstånd, stänger av portens LED och skickar ett syslog-meddelande. Överträdelsräknaren ökar. När en säker port är i error-disabled tillstånd måste en administratör aktivera den igen genom att ange kommandona shutdown och no shutdown. |
restrict | Porten blockerar paket med okända source-adresser tills du tar bort tillräckligt många säkra MAC-adresser för att sänka antalet under det maximala värdet eller öka det maximala värdet. Detta läge orsakar att säkerhetsöverträdels räknaren ökar och genererar ett syslog-meddelande. |
protect | Detta är det minst säkra av säkerhetsöverträdelselägena. Porten blockerar paket med okända source MAC-adresser tills du tar bort tillräckligt många säkra MAC-adresser för att sänka antalet under det maximala värdet eller öka det maximala värdet. Inget syslog- meddelande skickas. |
Security Violation Mode Comparison
Violation Mode |
Discards Offending Traffic |
Sends Syslog Message |
Increase Violation Counter |
Shuts Down Port |
---|---|---|---|---|
Protect | Yes | No | No | No |
Restrict | Yes | Yes | Yes | No |
Shutdown | Yes | Yes | Yes | Yes |
Följande exempel visar hur en administratör ändrar säkerhetsöverträdelseläget till ”restrict”. Utdata från kommandot show port-security interface bekräftar att ändringen har genomförts.
S1(config)# interface f0/1 S1(config-if)# switchport port-security violation restrict S1(config-if)# end S1# S1# show port-security interface f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 10 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7272.676a:1 Security Violation Count : 0 S1#
Portar i error-disabled tillstånd
Vad händer när säkerhetsöverträdelseläget är inställt på shutdown och en överträdelse inträffar? Porten stängs fysiskt ned och placeras i error-disabled tillstånd, och ingen trafik skickas eller tas emot på den porten.
I figuren ändras säkerhetsöverträdelseläget tillbaka till standardinställningen shutdown. Sedan kopplas enheten med MAC-adressen a41f.7272.676a bort och en ny enhet ansluts till Fa0/1.
Observera hur en serie meddelanden relaterade till portens säkerhet genereras i konsolen.
S1(config)# int fa0/1
S1(config-if)# switchport port-security violation shutdown
S1(config-if)# end
S1#
*Mar 1 00:24:15.599: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Mar 1 00:24:16.606: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
*Mar 1 00:24:19.114: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar 1 00:24:20.121: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
S1#
*Mar 1 00:24:32.829: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
*Mar 1 00:24:32.838: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address a41f.7273.018c on port FastEthernet0/1.
*Mar 1 00:24:33.836: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Mar 1 00:24:34.843: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
S1#
Obs: Portprotokollet och länkstatusen ändras till shutdown och portens LED-indikator stängs av.
I exemplet identifierar kommandot show interface portstatusen som err-disabled. Utdata från kommandot show port-security interface visar nu att portstatusen är Secure-shutdown istället för Secure-up. Säkerhetsöverträdelsens räknare ökar med 1.
S1# show interface fa0/1 | include down FastEthernet0/18 is down, line protocol is down (err-disabled) (output omitted) S1# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 10 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7273.018c:1 Security Violation Count : 1 S1#
Administratören bör fastställa vad som orsakade säkerhetsöverträdelsen. Om en obehörig enhet ansluts till en säker port, bör säkerhetshotet elimineras innan porten återaktiveras.
I nästa exempel kopplas den första enhet åter in till Fa0/1. För att återaktivera porten används först kommandot shutdown och sedan kommandot no shutdown för att göra porten operativ, som visas i exemplet.
S1(config)# interface fa0/1 S1(config-if)# shutdown S1(config-if)# *Mar 1 00:39:54.981: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down S1(config-if)# no shutdown S1(config-if)# *Mar 1 00:40:04.275: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up *Mar 1 00:40:05.282: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up S1(config-if)#
Verifiera Port Säkerhet
Efter att ha konfigurerat port säkerhet på en switch, kontrollera varje interface för att verifiera att port security är korrekt inställd och kontrollera att de statiska MAC-adresserna har konfigurerats korrekt.
Port Security för Alla interface
För att visa port säkerhetsinställningarna för switchen, använd kommandot show port-security. Exemplet visar att endast en port är konfigurerad med kommandot switchport port-security.
S1# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa0/1 2 2 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 8192 S1#
Port Säkerhet för Ett Specifikt interface
Använd kommandot show port-security interface för att visa detaljer för ett specifikt interface, som tidigare visats och i detta exempel.
S1# show port-security interface fastethernet 0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 10 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7273.018c:1 Security Violation Count : 0 S1#
Verifiera Lärda MAC-adresser
För att verifiera att MAC-adresserna ”fastnar” i konfigurationen, använd kommandot show run som visas i exemplet för FastEthernet 0/19.
S1# show run interface fa0/1
Building configuration...
Current configuration : 365 bytes
!
interface FastEthernet0/1
switchport mode access
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky a41f.7272.676a
switchport port-security mac-address aaaa.bbbb.1234
switchport port-security aging time 10
switchport port-security aging type inactivity
switchport port-security
end
S#1
Verifiera Säkra MAC-adresser
För att visa alla säkra MAC-adresser som är manuellt konfigurerade eller dynamiskt inlärda på alla switchportar, använd kommandot show port-security address som visas i exemplet.
1# show port-security address Secure Mac Address Table< ----------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 a41f.7272.676a SecureSticky Fa0/1 - 1 aaaa.bbbb.1234 SecureConfigured Fa0/1 - ----------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 8192 S1#