La activación de Port Security la realizamos a nivel de interfaz, vamos a trabajar con la interfaz GigabitEthernet 0/1. Lo primero es acceder al modo de configuración y después a la interfaz:
Switch01# config terminal Switch01(config)# interface GigabitEthernet 0/1 Switch01(config-if)#
Algo importante: para poder configurar Port Security en la interfaz tiene que estar en modo acceso (access mode) o trunk mode, en dynamic desirable no es posible. Nosotros no vamos a hacer tagging de VLAN ni configurar trunks así que modo acceso será suficiente:
Switch01(config-if)# switchport mode access
Port Security por defecto está desactivado, así que lo activamos:
Switch01(config-if)#switchport port-security
¿Cuantas direcciones MAC vamos a permitir acceder al puerto? Por defecto es 1, para que veais como es indicamos que podrán acceder una sola MAC, no haría falta porque es el valor por defecto:
Switch01(config-if)#switchport port-security maximum 1
Indicamos que acción tomar cuando se detecte una violación de la seguridad del puerto, es decir, que se conecte a la interfaz una MAC distinta a las permitidas:
Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown }
Como véis, podemos elegir entre protect, restrict y shutdown:
- Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.
- Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta.
- Shutdown: el puerto se deshabilita.
Vamos a elegir shutdown, creo que es el valor por defecto, aún así lo especificamos para que lo veáis:
Switch01(config-if)# switchport port-security violation shutdown
Por supuesto en algún momento tendremos que especificar las MAC permitidas, lo hacemos con el siguiente comando:
Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad
Llegados a este punto pensaréis que sería tedioso configurar Port Security en una red de Switches amplia, o incluso en un único switch de 48 puertos por ejemplo. Para eso está el siguiente comando, que aprende la MAC conectada a las interfaces y la configura como MAC permitida para el puerto. Para usar esta opción lógicamente es necesario cerciorarse de que todo está conectado donde tiene que estar.
Switch01(config-if)# switchport port-security mac-address sticky
En resumen estos serían los pasos que hemos realizado:
Switch01> enable Switch01# config terminal Switch01(config)# interface GigabitEthernet 0/1 Switch01(config-if)# switchport mode access Switch01(config-if)#switchport port-security Switch01(config-if)#switchport port-security maximum 1 Switch01(config-if)# switchport port-security violation shutdown Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad Switch01(config-if)# end
Si quieremos la auto-detección de la MAC usamos el sticky:
Switch01> enable Switch01# config terminal Switch01(config)# interface GigabitEthernet 0/1 Switch01(config-if)# switchport mode access Switch01(config-if)#switchport port-security Switch01(config-if)#switchport port-security maximum 1 Switch01(config-if)# switchport port-security violation shutdown Switch01(config-if)# switchport port-security mac-address sticky Switch01(config-if)# end
Todavía queda por ahí alguna opción más, podéis revisarlas con la propia ayuda de IOS:
Switch01(config-if)#switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode
Para la monitorización del estado de los puertos y si hay alguna restricción aplicada utilizamos estos dos comandos:
Switch01# show port-security interface GigabitEthernet 0/1 Port Security.....................: Enabled Port Status.......................: Secure-up Violation Mode....................: Shutdown Aging Time........................: 0 mins Aging Type........................: Absolute SecureStatic Address Aging........: Disabled Maximum MAC Addresses.............: 1 Total MAC Addresses...............: 1 Configured MAC Addresses..........: 0 Sticky MAC Addresses..............: 0 Last Source Address...............: 0a04.aaf8.13ad Security Violation Count..........: 0
Como véis tenemos un contador que especifica el número de veces que se ha producido una violación de la política de seguridad, indicando también la última MAC de origen conectada al puerto. Además de eso todos los parámetros específicados en la configuración. También podemos ver el estado general de Port Security en los puertos del Switch con el siguiente comando:
Switch01# show port-security address Secure Mac Address Table --------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0a04.aaf8.13ad SecureSticky Gi0/1 - ... ... ... ---------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024