Остро встала необходимость в настройка PortSecurity на коммутаторах. Для чего это нужно:
- ограничить форвардинг необходимых одиного или нескольких mac-адресов на порт;
- отфильтровать ненужные mac-адреса и т.п.
В статье будет рассмотрено несколько вариантов настройки port-security.
Вариант №1 Установка фильтра для конкретного mac-адреса, отключение mac-learn, ограничение колличества допутимых mac-адресов на порт, включение port-security на клиентском порту и глобальное включение port-security на коммутаторе:
Клиентский порт — №1, клиент работает в vlan id 44, mac-адрес клиента 00:e0:81:74:3c:44 Команды по настройке выглядят следующим образом:
ES3124(config)# mac-forward name Client mac 00:e0:81:74:3c:44 vlan 44 interface 1 ES3124(config)# port-security 1 address-limit 1 ES3124(config)# port-security 1 learn inactive ES3124(config)# port-security 1 ES3124(config)# port-security ES3124# sh mac add port 1 Port VLAN ID MAC Address Type 1 44 00:e0:81:74:3c:44 Static ES3124#
Вариант №2 Ограничение по колличеству mac-адресов на порт — 5 mac-адресов, наполнение таблицы происходит динамически, т.е. включен mac-learn
Клиентский порт №1
ES3124(config)# port-security 1 address-limit 5 ES3124(config)# port-security 1 ES3124(config)# port-security
Просмотреть результат выполненых действий можно при помощи команд
sh mac add all PORT show port-security