Switches 3Com 4800G – Port Security

A feature port security permite o aprendizado dinâmico de endereço MAC vinculado a uma interface GibabitEthernet para fins de segurança, não permitindo que outro host funcione naquela interface. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados.

É possível configurar a quantidade de endereços MAC aprendidos dinamicamente pela Interface, inserindo assim (após o aprendizado estático ou dinâmico dos endereços) entradas fixas na tabela de endereços MAC.

A feature é bastante útil em ambientes que os hosts/Servidores precisam ser vinculados a uma interface (como em CPDs, DataCenters, etc) ou em localidades que o usuário costuma migrar a estação sem comunicar a equipe de suporte!

As configurações aprendidas serão atribuídas à configuração da memória volátil. Se o dispositivo for reiniciado ele aprenderá novos endereços. Na necessidade de manter os endereços aprendidos, sugerimos salvar a configuração.

Configuração

[4800] port-security enable
! Habilitando o port-security no Switch
[4800] interface gigabitethernet 1/0/1
[4800-GigabitEthernet1/0/1] port-security max-mac-count 1
! Habilitando o port-security para o aprendizado dinamico de
! apenas 1 endereço MAC ( o primeiro descoberto)
[4800-GigabitEthernet1/0/1] port-security port-mode autolearn
! Habilitando o port-security para aprendizado dinamico do endereço
! MAC para a interface GigabitEthernet 1/0/1

Obs: Após o aprendizado do endereço MAC, a interface GigabitEthernet não permitirá a conexão de outra máquina na porta giga 1/0/1. O endereço aprendido na interface giga 1/0/1 não poderá ser utilizado em outra interface no mesmo Switch. Sugerimos não configurar o Port-Security em interfaces TRUNK

Display

Segue abaixo a configuração da interface após o aprendizado:

#
interface GigabitEthernet1/0/1
port access vlan 10
stp edged-port enable
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 000a-aab2-a33b vlan 10

! A saída abaixo relata a troca de máquina na int GigabitEthernet 1/0/1

%Apr 26 17:23:01:527 2000 SBSSWCOR03 PORTSEC/1/VIOLATION:
OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2
An intrusion occurs!
IfIndex: 9437189
Port:GigabitEthernet1/0/1
MAC Addr: 00:0F:DF:B4:FA:49
VLAN id:10
IfAdminStatus: 1