Não Resolvido
Esta postagem tem mais de 5 anos
10 Mensagens
0
1782
Limitar quantidade de MAC por portas N-series e S-series
Bom dia,
Atualmente enfrento um problema que já vem se resolvendo a medida que vamos aplicando as configurações de segurança nos Switchs. Acabamos de executar o DHCP snooping em todos os equipamentos, resolvendo assim o problema de outro DHCP na rede.
Porém possuímos uma estrutura relativamente grande (por se tratar de uma Universidade), e acontece de aparecer Access Points clandestinos em nossa rede. Dando uma estudada vi que existe a possibilidade de limitar a quantidade de MAC por porta.
A duvida é, tem que ser especificado apenas um MAC autorizado, ou posso especificar a quantidade que desejo autorizar? A outra dúvida, qual seria os comandos de configuração para esta tarefa nos Switchs da linha S e N?
Desde já, muito obrigado.
Sandro Gassen
3 Apprentice
3 Apprentice
•
6 Mensagens
1
15 de agosto de 2017 13:00
Olá Zardin, boa tarde!
Obrigado por enviar sua dúvida, certamente servirá para orientar alguém no futuro.
Vamos a sua dúvida / solicitação :emotion-2:
Há algumas formas de tratar a restrição por MAC, mas irei me focar no que chamamos de port-security.
O port-security contempla algumas opções, podendo limitar a quantidade de MACs aprendidos em uma porta, caso este limite seja ultrapassado uma das ações é tomada: desativa a porta ou insere uma informação nos logs do switch.
# A configuração podem ser: #
- Limitar a quantidade de MACs aprendidos
- Fixar o MAC que deve ser aprendido na porta
- Ativar a opção para que os MACs sejam aprendidos de forma automatica até chegar a quantidade definida
# As ações podem ser: #
- Colocar a porta em shutdown
- Inserir uma entrada nos logs do switch
Descrevo um exemplo de configuração limitando o aprendizado a 1 MAC e ativando aprendizado automatico de MAC, ou seja, o MAC do primeiro dispositivo que conectar-se a porta do switch será fixado a porta, e caso outro dispositivo seja conectado, a porta será colocada em shutdown
# N-Series #
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
# S-Series #
mac learning-limit 1 sticky
mac learning-limit learn-limit-violation shutdown
Obs: as configurações devem ser aplicadas nas portas.
Você encontra mais informações sobre como aplicar estas funcionalidades, no manual do equipamento no link abaixo.
http://dell.to/1WFiTWT
Não esqueça de clicar em "SIM", se sua dúvida foi esclarecida
Qualquer dúvida, estou a disposição
Forte abraço,
Zardin
10 Mensagens
0
16 de agosto de 2017 06:00
Bom dia,
Tentei validar as configurações e não obtive sucesso.
Passos executados no switch N-Series;
Em modo config:
switchport port-security
switchport port-security mac-address sticky
Na porta desejada (gi x/x/x):
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
Depois de dar uma olhada no manual que foi indicado encontrei esta combinação, que também foi adicionada:
switchport port-security dynamic 2
Ao validar as configurações, executei o comando clear em modo global, e em seguida o comando show para visualizar os MACs da porta, e para surpresa já possuía 9 MACs registrados na porta com as configurações.
Ao executar alguns comandos de visualização, segue os resultados:
###################
show port-security interface gi x/x/x
Interface Status Max-dynamic Max-static Protect Frequency Shutdown Sticky Mode
--------- -------- ----------- ---------- --------- ---------- ---------- -----------
Gi1/0/3 Disabled 2 2 Enabled 30 Enabled Enabled
###################
show port-security
Port Security Administration Mode: Enabled
###################
Desde já agradeço.
Att,
Eduardo Zardin.
Zardin
10 Mensagens
0
24 de agosto de 2017 08:00
Ainda sem resultados.