Configurar Port Security en Switches Cisco

CiscoEn switches Cisco existe la posibilidad de restringir a partir de la dirección MAC quien se puede conectar a un determinado puerto del switch, permitiendo crear una política de seguridad en capa 2 para evitar conexiones no deseadas a los puertos y ejecutar una acción cuando esto ocurra (security violation).

La activación de Port Security la realizamos a nivel de interfaz, vamos a trabajar con la interfaz GigabitEthernet 0/1. Lo primero es acceder al modo de configuración y después a la interfaz:

Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)#

Algo importante: para poder configurar Port Security en la interfaz tiene que estar en modo acceso (access mode) o trunk mode, en dynamic desirable no es posible. Nosotros no vamos a hacer tagging de VLAN ni configurar trunks así que modo acceso será suficiente:

Switch01(config-if)# switchport mode access

Port Security por defecto está desactivado, así que lo activamos:

Switch01(config-if)#switchport port-security

¿Cuantas direcciones MAC vamos a permitir acceder al puerto? Por defecto es 1, para que veais como es indicamos que podrán acceder una sola MAC, no haría falta porque es el valor por defecto:

Switch01(config-if)#switchport port-security maximum 1

Indicamos que acción tomar cuando se detecte una violación de la seguridad del puerto, es decir, que se conecte a la interfaz una MAC distinta a las permitidas:

Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown }

Como véis, podemos elegir entre protect, restrict y shutdown:

  • Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.
  • Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta.
  • Shutdown: el puerto se deshabilita.

Vamos a elegir shutdown, creo que es el valor por defecto, aún así lo especificamos para que lo veáis:

Switch01(config-if)# switchport port-security violation shutdown

Por supuesto en algún momento tendremos que especificar las MAC permitidas, lo hacemos con el siguiente comando:

Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad

Llegados a este punto pensaréis que sería tedioso configurar Port Security en una red de Switches amplia, o incluso en un único switch de 48 puertos por ejemplo. Para eso está el siguiente comando, que aprende la MAC conectada a las interfaces y la configura como MAC permitida para el puerto. Para usar esta opción lógicamente es necesario cerciorarse de que todo está conectado donde tiene que estar.

Switch01(config-if)# switchport port-security mac-address sticky

En resumen estos serían los pasos que hemos realizado:

Switch01> enable
Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)# switchport mode access
Switch01(config-if)#switchport port-security
Switch01(config-if)#switchport port-security maximum 1
Switch01(config-if)# switchport port-security violation shutdown
Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad
Switch01(config-if)# end

Si quieremos la auto-detección de la MAC usamos el sticky:

Switch01> enable
Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)# switchport mode access
Switch01(config-if)#switchport port-security
Switch01(config-if)#switchport port-security maximum 1
Switch01(config-if)# switchport port-security violation shutdown
Switch01(config-if)# switchport port-security mac-address sticky
Switch01(config-if)# end

Todavía queda por ahí alguna opción más, podéis revisarlas con la propia ayuda de IOS:

Switch01(config-if)#switchport port-security ?
aging		Port-security aging commands
mac-address	Secure mac address
maximum		Max secure addresses
violation	Security violation mode

Para la monitorización del estado de los puertos y si hay alguna restricción aplicada utilizamos estos dos comandos:

Switch01# show port-security interface GigabitEthernet 0/1
Port Security.....................: Enabled
Port Status.......................: Secure-up
Violation Mode....................: Shutdown
Aging Time........................: 0 mins
Aging Type........................: Absolute
SecureStatic Address Aging........: Disabled
Maximum MAC Addresses.............: 1
Total MAC Addresses...............: 1
Configured MAC Addresses..........: 0
Sticky MAC Addresses..............: 0
Last Source Address...............: 0a04.aaf8.13ad
Security Violation Count..........: 0

Como véis tenemos un contador que especifica el número de veces que se ha producido una violación de la política de seguridad, indicando también la última MAC de origen conectada al puerto. Además de eso todos los parámetros específicados en la configuración. También podemos ver el estado general de Port Security en los puertos del Switch con el siguiente comando:

Switch01# show port-security address
	Secure Mac Address Table
---------------------------------------------------------
Vlan	Mac Address	Type	Ports	Remaining Age
					   (mins)
----	-----------	----	-----	-------------
1	0a04.aaf8.13ad	SecureSticky	Gi0/1	-
...
...
...
----------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

18 comentarios en “Configurar Port Security en Switches Cisco

  1. Estimado, tengo el caso en mi oficina de que varios empleados se movieron de lugar, pero al momento de conectar sus laptops en su nueva ubicación no tienen conexión de red (ojo el problema no fue con todos los movimientos, digamos 4 de 6), nos estábamos volviendo locos hasta que nos dimos cuenta de que si los regresábamos a su ubicación de origen conectaban sin problema. Tratando de aislar el problema ubicamos los puertos «con falla» y directamente en el switch intentamos conectar otros equipos pero no conectan, alguna idea ? yo no administro los sw’s cisco, lo hace un proveedor externo, pero ellos comentan que revisaron la configuración y todo esta bien…. saludos gracias

  2. Buenos dias, si solo coloco en la interfaz de la siguiente manera :

    witch01# config terminal
    Switch01(config)# interface GigabitEthernet 0/1
    Switch01(config-if)# switchport mode access
    Switch01(config-if)#switchport port-security
    Switch01(config-if)#switchport port-security maximum 5

    Que ocurriria, mi duda seria solo permitiria 5 mac-addres en esa interfaz?? las mac-addres tendrian algun problema si cambian a diario???

    • No lo he probado, pero supongo que cuando llegues a cinco MAC registradas ya no dejará conectarse a más equipos a la boca del switch, o realizará la acción que le especifiques con switchport port-security violation

  3. realice las Pruebas, y se cae el puerto al superar las mac establecida. De igual manera para poder levantar el puerto tienes que reiniciarlo…

    • si, se cae porque por defecto tiene configurado violation shutdown, al levantarlo de nuevo solo permitira las 5 mac registradas, si conectas otras 5 mac que no estaban registradas se bajara nuevamente el puerto…

      Saludos
      Santiago

  4. Hola, una consulta, en que se diferencia el comando switchport port-security mac-address ( agregar direccion mac) y el comando switchport port-security mac-address sticky (agregar direccion mac), si ambos agregan la dirección mac en la tabla MAC y en el archivo running-config del switch? Hay alguna diferencia entre estos comandos o provocan el mismo resultado? Gracias

    • switchport port-security mac-address xxxx.xxxx.xxxx :tu vas a tener que ingresar manualmente la mac
      switchport port-security mac-address sticky :el switch aprende dinamicamente la Mac del dispositivo que conectes .

  5. Hola a todos tengo un problema cuando se me apaga el puerto por una violacion no se como encenderlo nuevamente
    Gracias de antemano por toda la ayuda

  6. O ya sorry frank tenia razon solo ahy que apagar y volver a encender el puerto no se me habia ocurrido
    Gracias a todo

  7. Muy bueno todo y sencillo de entender. Gracias por las aclaraciones.
    Quisiera que me ayudaran con una duda que tengo. Cual es la diferencia entre la configuracion dinamica (solo poniendo el subcomando de interfaz switchport port security) y la configuracion switchport port-security mac-address sticky?
    Porque hasta donde tengo entendido ambas aprenden dinamicamente la direccion MAC sin tener que escribirla de forma manual.

  8. Buenos dias tengo un problema;
    Estoy intentando instalar una camara nueva en el equipo actual. Cisco no le la detecta y si me detecta portátiles nuevos y asigna ip. La cámara está en el mismo rango la puse fija y con el dhcp activado, ) prove de las dos maneras, conecto a puerto 1 y no hay manera. Conecto portátil a puerto 1 y si que va cual podrá ser el problema. Y que puedo hacer.

Comments are closed.