Рассмотрим пример сети где к коммутатору ECS3510-28T во 2 и 4 порты подключены два клиента, а в 24-ый порт DHCP сервер. Все порты уже находятся в Vlan 2.
ПК1 Мас: 98-E7-F4-DC-5C-53, у ПК2 Мас: F8-46-1C-2D-E0-71.
Настройка Port-security происходит на порту.
1. Настройка Port Security в режиме Static MAC
Console(config)#mac-address-table static 98-E7-F4-DC-5C-53 interface ethernet 1/2 vla 2 permanent – создаем статическую запись MAC-адреса.
Console(config)#interface ethernet 1/2
Console(config-if)#port security max-mac-count 1 – задаем максимальное количество MAC адресов
Console(config-if)#port security action trap задаем действие при обнаружении другого MAC адреса, в данном случае уведомление и отправку snmp trap на сервер.
Console(config-if)#port security – включаем функционал защиты порта.
2. Настройка Port Security в динамическом режиме.
Console(config)#interface ethernet 1/4
Console(config-if)#port security max-mac-count 2 – разрешим двум динамическим MAC адресам быть изученными на порту.
Console(config-if)#port security action trap
Console(config-if)#port security
3. Просмотр таблицы MAC адресов
Console#show mac-address-table
Interface MAC Address VLAN Type Life Time
——— —————— —- ——— ——————
CPU CC-37-AB-5D-99-CC 1 CPU Delete on Reset
Eth 1/ 2 98-E7-F4-DC-5C-53 2 Config Permanent
Eth 1/ 4 F8-46-1C-2D-E0-71 2 Security Delete on Reset
Eth 1/ 24 B8-55-10-00-E0-94 2 Learn Delete on Timeout
-Как видно на втором порту МАС привязан статично (Permanent), а на 4 порту мы использовали опцию max count 2, чем ограничили кол-во MAC на порту до 2-х. Мы сможем подключить на этот порт еще одно устройство. После подключения в таблице появиться дополнительная запись.
Console#show mac-address-table
Interface MAC Address VLAN Type Life Time
——— —————— —- ——— ——————
CPU CC-37-AB-5D-99-CC 1 CPU Delete on Reset
Eth 1/ 2 98-E7-F4-DC-5C-53 2 Config Permanent
Eth 1/ 4 50-46-5D-59-77-1B 2 Security Delete on Reset
Eth 1/ 4 F8-46-1C-2D-E0-71 2 Security Delete on Reset
Eth 1/ 24 B8-55-10-00-E0-94 2 Learn Delete on Timeout
4. Включение MAC address aging для Port Security.
Динамические МАС адреса port security удаляются только после перезагрузки коммутатора. Если необходимо удаление через определенный промежуток времени, то нужно использовать команду:
Console(config)#network-access aging – включаем «время жизни» для MAC в port security
Console(config)#mac-address-table aging-time 200 –задаем «время жизни» (стандартное 300 сек.)
Console(config)#exit
Console#show mac-address-table
Interface MAC Address VLAN Type Life Time
——— —————— —- ——— ——————
CPU CC-37-AB-5D-99-CC 1 CPU Delete on Reset
Eth 1/ 2 98-E7-F4-DC-5C-53 2 Config Permanent
Eth 1/ 4 F8-46-1C-2D-E0-71 2 Security Delete on Timeout
Eth 1/ 9 B8-55-10-00-E0-94 2 Learn Delete on Timeout