Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Es una feature de los switches Cisco que nos permite retener las direcciones MAC conectadas
a un puerto y permitir solamente esas direcciones MAC registradas comunicarse a través de
ese puerto del switch.
El comando mac-addres nos dice las direcciones MAC de los host que tendrán permitido el
acceso a ese puerto, este comando tiene sentido si existe un número máximo de direcciones
definido previamente,
Con este comando las direcciones se irán almacenando en la tabla CAM (MAC) del
switch de forma automatica y cuando llegue al limite ya tendria definidas las
direcciones MAC posibles que se conectarían desde ese puerto.
Este comando sirve para especificar que acción se llevara acabo en caso de que alguna
de nuestras reglas definidas anteriormente sea saltada, nos encontramos con tres
opciones:
Se configura manualmente.
Se agrega a la tabla de direcciones MAC.
Se guarda en la running-config.
Se puede hacer permanente guardando la configuración.
Configuración de Port-Security
Si se ejecuta el comando básico se asumen los valores por defecto: solo se permite 1
dirección MAC en el puerto, que será la primera que se conecte al mismo. En caso de
que otra dirección MAC intente conectarse utilizando el mismo puerto, este será
deshabilitado o bloqueado:
Número de direcciones MAC permitidas
Acciones a realizar
Para establecer la acción que tomará el switch en caso de que se supera el número de
direcciones MAC establecidas ejecutamos:
Opciones:
Resumen:
Utilizando el puerto de seguridad, puede configurar cada puerto del conmutador con una lista
única de las direcciones MAC de los dispositivos que están autorizados a acceder a la red a
través de ese puerto. Esto permite a los distintos puertos para detectar, prevenir y registro de
los intentos de los dispositivos no autorizados para comunicarse a través del interruptor.
Conclusiones
Característica general del puerto de seguridad puede ayudar a aliviar la vida de un
administrador de red mediante la limitación de acceso no autorizado a una red de personas.
Puerto de seguridad no es una solución 100% segura porque las direcciones MAC pueden ser
falseadas. Una solución más elegante sería implementar estándar IEEE 802.1X.
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas
últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones
MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de
manera que se mantengan inclusive si el switch se reinicia.
Recomendaciones
Bibliografia
http://www.netstorming.com.ar/2009/11/26/seguridad-de-puerto-en-
switches-cisco/
http://infodocs.net/articulo/networking/port-security-en-switches-cisco