Port-Segurity

En switches Cisco existe la posibilidad de restringir a partir de la dirección MAC quien se puede conectar a un determinado puerto del switch.  Lo primero es acceder al modo de configuración y después a la interfaz, en este caso Gigabit Ethernet y comenzamos con la configuración: 

 

COMANDOS...

Switch01# config terminal

Switch01(config)# interface GigabitEthernet 0/1

Switch01(config-if)# switchport mode access

Switch01(config-if)#switchport port-security ( Port Security por defecto esta desactivado, asi que lo activamos)

Switch01(config-if)#switchport port-security maximum 1 (definimos la cantidad de interfaces a permitir)

Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown } (Identificamos la Acción a tomar del Puerto)

 

PODEMOS ELEGIR:

Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.
Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta.
Shutdown: el puerto se deshabilita.
 
En algún momento tendremos que especificar las MAC permitidas, lo hacemos con el siguiente comando:
 
         Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad
 
 
El siguiente comando aprendera las MAC conectadas de manera automatico, asi nos ahorramos timepo de tener que especificar cada una de las MAC conectadas:
                                     
        Switch01(config-if)# switchport port-security mac-address sticky
 
 
Para monitorear los estados de los puertos utilizamos:  
                                                                 
          show port-security interface GigabitEthernet 0/1
 
 
También podemos ver el estado general de Port Security en los puertos del Switch con el siguiente comando:
                                                                       
               show port-security address