Применение port-security на коммутаторах Cisco

Рассмотрим базовые возможности по обеспечению безопасности на портах коммутаторов доступа.

Топология: 

Настройка: 
Для начала переведём порт в режим доступа (если порт находится в динамическом режиме то он просто не примет комманду switchport portsecurity)

Switch(config-if)# switchport mode access

Теперь можно включать режим защиты портов:

Switch(config-if)# switchport port-security

По умолчанию, адреса источника динамически узнаются из приходящих на порт фреймов (в конфиг не записываются), но можно их прописать статически

Switch(config-if)# switchport port-security mac-address HH.HH.HH

или использовать динамическое обучение с записью в конфиг-файл:

Switch(config-if)# switchport port-security mac-address sticky

Для защиты от MAC Flood указываем количество разрешенных мак-адресов на порту (по умолчанию 1):

Switch(config-if)# switchport port-security maximum 1

Затем, нужно указать действие, которое будет применено, если свич получит на порту больше маков чем указанное максимально значение:

Switch(config-if)# switchport port-security violation protect

При превышении максимума, свич просто перестает форвардить пакеты с порта.

Switch(config-if)# switchport port-security violation restrict

В данном случае, свич перестает форвардить кадры и отсылает уведомление администратору

Switch(config-if)# switchport port-security violation shutdown

Режим по умолчанию. При превышении максимального значения порт отключается и отсылается уведомление администратору. Чтобы вернуть порт в нормальное состояние, нужно зайти на интерфейс и выполнить команды - shutdown и затем no shutdown.

Проверяем:
После подключения первого ПК1 к порту коммутатора fa 0/1

видим что счетчик сработал

Теперь переподключаем кабель с ПК1 к ПК2

счетчик сработал второй раз и порт перешел в состояние shutdown