Ejemplo de configuración de la Seguridad de puerto de CatOS de los Catalyst 6500 Series Switch Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Descripción de la Seguridad de puerto Configurar Diagrama de la red Configuraciones Verificación Información Relacionada Introducción Este documento proporciona una configuración de muestra para la Seguridad de puerto en un Cisco Catalyst 6500 Series Switch que funcione con el Catalyst OS (CatOS). prerrequisitos Requisitos Asegúrese de cumplir estos requisitos antes de intentar esta configuración: Conocimientos básicos de la configuración en los Cisco Catalyst 6500 Series Switch Comprensión básica de la Seguridad de puerto Componentes Utilizados La información en este documento se basa en un Cisco Catalyst 6500 Series Switch que ejecute CatOS. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos. Descripción de la Seguridad de puerto Utilice la Seguridad de puerto para restringir la entrada a las interfaces de Ethernet basadas en las direcciones MAC del host. Usted puede definir los MAC Address seguro al puerto; sin embargo, el puerto no remite los paquetes con las direcciones de origen que no se especifican para ese puerto. Usted puede asignar los MAC Address seguro para un puerto manualmente o permitir que el puerto aprenda dinámicamente. (Las direcciones MAC se salvan en la memoria RAM no volátil (el NVRAM).) Usted puede especificar intervalo para la dirección MAC en un puerto que diga cuánto tiempo la dirección MAC seguirá siendo segura. Por abandono, todos los direccionamientos en un puerto se aseguran permanentemente. El paquete con la dirección MAC de un host que no se especifique en la lista de MAC Address seguro está intentando acceder que el puerto causará la violación de seguridad. Como resultado de la violación de seguridad, el puerto entra el modo apagado o el modo restrictivo. En el modo apagado, usted puede configurar el puerto para estar en un estado de cierre normal por un período de tiempo o permanentemente. Por abandono, cuando sucede una violación de seguridad, el puerto entra el modo apagado permanentemente. En el modo restrictivo, el puerto cae los paquetes adentro de un host inseguro. Si un host cuyo MAC address se configura ya mientras que un MAC Address seguro en otro puerto conecta con un puerto en el modo restrictivo, después ese puerto entra el modo apagado en vez de restringir el tráfico de ese host. Configurar En esta sección, le presentan con la información para configurar la Seguridad de puerto en un Cisco Catalyst 6500 Series Switch que ejecute CatOS. Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección. Diagrama de la red En este documento, se utiliza esta configuración de red: Configuraciones Esta sección describe cómo configurar la Seguridad de puerto en un Cisco Catalyst 6500 Series Switch que ejecute CatOS. En este ejemplo, el puerto 4/21 está conectado con el Switch, y la Seguridad de puerto se configura con el número máximo de MAC Addresses, que se limita a 50. Temporizador de desactualización se fija a 500 minutos, y el modo restrictivo se fija para la infracción. Intervalo especifica cuánto tiempo las direcciones MAC serán aseguradas; intervalo recomienza siempre que el tráfico se genere con la dirección MAC en un puerto. Si ocurre una infracción, sólo se caen los paquetes que están viniendo adentro de una dirección MAC insegura. El puerto 4/22 está conectado con el servidor, y la Seguridad de puerto se configura con el número máximo de MAC Addresses, que se limita al modo restrictivo 3. fijado para la infracción. Esta configuración se puede utilizar para la mayoría de las situaciones seguras. Las direcciones MAC se especifican manualmente. El puerto 4/23 está conectado con el teléfono del IP, y la Seguridad de puerto se configura con un temporizador del apagar de 600 minutos. Si ocurre una infracción, el puerto entra el estado de cierre normal por el tiempo especificado. Se habilita el puerto después de que expire el tiempo del apagar. En este documento, se utilizan estas configuraciones: Cisco Catalyst 6500 Switch Console> (enable)set port security 4/21 enable !--- Use this command in order to set the number of MAC addresses to be secured. Console> (enable)set port security 4/21 maximum 50 !--- Use this command in order to set the age timer. Console> (enable)set port security 4/21 age 500 Console> (enable)set port security 4/21 violation restrict Console> (enable)set port security 4/22 enable D4-85-64-A5-35-5C Console> (enable)set port security 4/22 maximum 3 !--- Use this command in order to add MAC addresses manually to the secure address list. Console> (enable)set port security 4/22 D4-85-64-15-15-5A Console> (enable)set port security 4/22 00-23-04-33-E4-0D Console> (enable)set port security 4/22 violation restrict !--- Use this command in order to clear one MAC address from the secure address list. Console> (enable)clear port security 4/22 00-23-04-33-E4-0D Console> (enable)set port security 4/23 enable 00-0c-29-a5-fa-d5 !--- Use this command in order to set the shutdown timer. Console> (enable)set port security 4/23 shutdown 600 Verificación Use esta sección para confirmar que su configuración funciona correctamente. La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show. Utilice el comando mod/port de la Seguridad de puerto de la demostración para visualizar la información relacionada de la configuración de Seguridad de puerto. Console> (enable)show port security 4/21 * = Configured MAC Address Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex ----- -------- --------- ------------- -------- -------- -------- ------4/21 enabled restrict 0 500 50 disabled 87 Port Num-Addr Secure-Src-Addr ----- -------- ----------------4/21 11 00-12-43-06-95-83 00-0b-85-48-53-c0 00-1a-a2-19-ad-44 02-01-00-00-00-00 00-17-59-e7-49-2c 00-0d-9d-93-8b-55 00-0b-85-33-84-a0 00-12-44-0d-89-40 00-16-35-66-c2-d6 00-17-94-06-62-88 00-09-e9-19-98-7f Age-Left Last-Src-Addr Shutdown/Time-Left -------- ----------------- -----------------475 00-09-e9-19-98-7f no 475 475 475 475 475 475 475 476 478 494 Port Flooding on Address Limit ----- ------------------------4/21 Enabled Utilice el comando show port mod/port para verificar la configuración del puerto. Console> (enable)show port 4/21 * = Configured MAC Address Port Name Status Vlan Duplex Speed Type ----- -------------------- ---------- ---------- ------ ----- -----------4/21 connected 1 a-full a-100 10/100BaseTX Port AuxiliaryVlan AuxVlan-Status ----- ------------- -------------4/21 none none Port InlinePowered PowerAllocated Device IEEE class DiscoverMode Admin Oper Detected mWatt mA @42V ----- ------ ------ -------- ----- -------- ---------- ---------- -----------4/21 auto off no 0 0 none none cisco Port Maximum Power Actual Consumption absentCounter OverCurrent mWatt mA @42V mWatt mA @42V ----- ----------- -------------- ------------- ----------4/21 7000 166 0 0 0 0 Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex ----- -------- --------- ------------- -------- -------- -------- ------- 4/21 enabled restrict Port Num-Addr Secure-Src-Addr ----- -------- ----------------4/21 11 00-12-43-06-95-83 00-0b-85-48-53-c0 00-1a-a2-19-ad-44 02-01-00-00-00-00 00-17-59-e7-49-2c 00-0d-9d-93-8b-55 00-0b-85-33-84-a0 00-12-44-0d-89-40 00-16-35-66-c2-d6 00-17-94-06-62-88 00-09-e9-19-98-7f 0 500 50 disabled 87 Age-Left Last-Src-Addr Shutdown/Time-Left -------- ----------------- -----------------474 00-09-e9-19-98-7f no 474 474 474 474 474 474 474 475 477 493 Port Flooding on Address Limit ----- ------------------------4/21 Enabled Port Broadcast-Limit Multicast Unicast Total-Drop Action -------- --------------- --------- ------- -------------------- -----------4/21 0 drop-packets Port Send FlowControl Receive FlowControl admin oper admin oper ----- -------- -------- --------- --------4/21 off off off off Port RxPause TxPause ---------- ---------0 0 Status Channel Admin Ch Mode Group Id ----- ---------- -------------------- ----- ----4/21 connected auto silent 53 0 Port Status ---- ---------4/21 connected ErrDisable Reason Port ErrDisableTimeout Action on Timeout ------------------- ---------------------- ----------------- Enable No Change Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize ----- ---------- ---------- ---------- ---------- --------4/21 0 0 0 0 0 Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants ----- ---------- ---------- ---------- ---------- --------- --------- --------4/21 0 0 0 0 0 0 0 Port Last-Time-Cleared ----- -------------------------4/21 Wed Jul 13 2011, 21:40:21 Idle Detection --------------- Utilice el comando system de las estadísticas de la Seguridad de puerto de la demostración para visualizar las estadísticas de la Seguridad de puerto sobre el sistema. Console> (enable)show port security statistics system Module 1: Module does not support port security feature Module 2: Total ports: 2 Total secure ports: 0 Total MAC addresses: 2 Total global address space used (out of 4096): 0 Status: installed Module 4: Total ports: 48 Total secure ports: 3 Total MAC addresses: 99 Total global address space used (out of 4096): 51 Status: installed Module 5: Total ports: 48 Total secure ports: 0 Total MAC addresses: 48 Total global address space used (out of 4096): 0 Status: installed Module 16: Module does not support port security feature Total secure ports in the system: 3 Total secure MAC addresses in the system: 149 Total global MAC address resource used in the system (out of 4096): 51 Información Relacionada Ejemplos de Configuración y Lista de Notas Técnicas © 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Agosto 2015 http://www.cisco.com/cisco/web/support/LA/110/1108/1108879_port-security-6500-00.html