Scribd
Cargar
112 vistas3 páginas

Configurar Port Security en Switches Cisco-Cisco

Port Security permite restringir el acceso a los puertos de un switch Cisco a direcciones MAC específicas. Se activa en cada interfaz individualmente, se especifica la acción ante una violación, y se pueden configurar manualmente o aprender automáticamente las direcciones MAC permitidas.

Cargado por

Luis Morell
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
112 vistas3 páginas

Configurar Port Security en Switches Cisco-Cisco

Port Security permite restringir el acceso a los puertos de un switch Cisco a direcciones MAC específicas. Se activa en cada interfaz individualmente, se especifica la acción ante una violación, y se pueden configurar manualmente o aprender automáticamente las direcciones MAC permitidas.

Cargado por

Luis Morell
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Configurar Port Security en Switches Cisco

En switches Cisco existe la posibilidad de restringir a partir de la


dirección MAC quien se puede conectar a un determinado puerto del switch,
permitiendo crear una política de seguridad en capa 2 para evitar conexiones no
deseadas a los puertos y ejecutar una acción cuando esto ocurra (security violation).
La activación de Port Security la realizamos a nivel de interfaz, vamos a trabajar
con la interfaz GigabitEthernet 0/1. Lo primero es acceder al modo de configuración
y después a la interfaz:

Switch01# config terminal


Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)#

Algo importante: para poder configurar Port Security en la interfaz tiene que estar en modo acceso
(access mode) o trunk mode, en dynamic desirable no es posible. Nosotros no vamos a hacer tagging
de VLAN ni configurar trunks así que modo acceso será suficiente:

Switch01(config-if)# switchport mode access

Port Security por defecto está desactivado, así que lo activamos:

Switch01(config-if)#switchport port-security

¿Cuántas direcciones MAC vamos a permitir acceder al puerto? Por defecto es 1, para que veas
como se puede acceder una sola MAC, no haría falta porque es el valor por defecto:

Switch01(config-if)#switchport port-security maximum 1

Indicamos que acción tomar cuando se detecte una violación de la seguridad del puerto, es decir,
que se conecte a la interfaz una MAC distinta a las permitidas:

Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown }

Podemos elegir entre protect, restrict y shutdown:

• Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el


tráfico del resto, no se notifica sobre la intrusión.
• Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite
únicamente a las MAC especificadas, del resto se descarta.
• Shutdown: el puerto se deshabilita.

Vamos a elegir shutdown, creo que es el valor por defecto, aun así lo especificamos para que lo
veáis:

Switch01(config-if)# switchport port-security violation shutdown


Por supuesto en algún momento tendremos que especificar las MAC permitidas, lo hacemos con el
siguiente comando:

Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad

Llegados a este punto pensaréis que sería tedioso configurar Port Security en una red de Switches
amplia, o incluso en un único switch de 48 puertos, por ejemplo. Para eso está el siguiente comando,
que aprende la MAC conectada a las interfaces y la configura como MAC permitida para el
puerto. Para usar esta opción lógicamente es necesario cerciorarse de que todo está conectado
donde tiene que estar.

Switch01(config-if)# switchport port-security mac-address sticky

En resumen, estos serían los pasos que hemos realizado:

Switch01> enable
Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)# switchport mode access
Switch01(config-if)#switchport port-security
Switch01(config-if)#switchport port-security maximum 1
Switch01(config-if)# switchport port-security violation shutdown
Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad
Switch01(config-if)# end

Si queremos la auto-detección de la MAC usamos el sticky:

Switch01> enable
Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)# switchport mode access
Switch01(config-if)#switchport port-security
Switch01(config-if)#switchport port-security maximum 1
Switch01(config-if)# switchport port-security violation shutdown
Switch01(config-if)# switchport port-security mac-address sticky
Switch01(config-if)# end

Todavía queda por ahí alguna opción más, podéis revisarlas con la propia ayuda de IOS:

Switch01(config-if)#switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode

Para la monitorización del estado de los puertos y si hay alguna restricción aplicada utilizamos estos
dos comandos:

Switch01# show port-security interface GigabitEthernet 0/1


Port Security.....................: Enabled
Port Status.......................: Secure-up
Violation Mode....................: Shutdown
Aging Time........................: 0 mins
Aging Type........................: Absolute
SecureStatic Address Aging........: Disabled
Maximum MAC Addresses.............: 1
Total MAC Addresses...............: 1
Configured MAC Addresses..........: 0
Sticky MAC Addresses..............: 0
Last Source Address...............: 0a04.aaf8.13ad
Security Violation Count..........: 0

Como tenemos un contador que especifica el número de veces que se ha producido una violación de
la política de seguridad, indicando también la última MAC de origen conectada al puerto. Además de
eso todos los parámetros especificados en la configuración. También podemos ver el estado general
de Port Security en los puertos del Switch con el siguiente comando:

Switch01# show port-security address


Secure Mac Address Table
---------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0a04.aaf8.13ad SecureSticky Gi0/1 -
...
...
...
----------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024

También podría gustarte