Остро встала необходимость в настройка PortSecurity на коммутаторах. Для чего это нужно:

  • ограничить форвардинг необходимых одиного или нескольких mac-адресов на порт;
  • отфильтровать ненужные mac-адреса и т.п.

В статье будет рассмотрено несколько вариантов настройки port-security.

Вариант №1 Установка фильтра для конкретного mac-адреса, отключение mac-learn, ограничение колличества допутимых mac-адресов на порт, включение port-security на клиентском порту и глобальное включение port-security на коммутаторе:

Клиентский порт — №1, клиент работает в vlan id 44, mac-адрес клиента 00:e0:81:74:3c:44 Команды по настройке выглядят следующим образом:

ES3124(config)# mac-forward name Client mac 00:e0:81:74:3c:44 vlan 44 interface 1
ES3124(config)# port-security 1 address-limit 1
ES3124(config)# port-security 1 learn inactive
ES3124(config)# port-security 1
ES3124(config)# port-security

ES3124# sh mac add port 1
Port      VLAN ID        MAC Address         Type
1         44            00:e0:81:74:3c:44   Static
ES3124#

Вариант №2 Ограничение по колличеству mac-адресов на порт — 5 mac-адресов, наполнение таблицы происходит динамически, т.е. включен mac-learn

Клиентский порт №1

ES3124(config)# port-security 1 address-limit 5
ES3124(config)# port-security 1
ES3124(config)# port-security

Просмотреть результат выполненых действий можно при помощи команд

sh mac add all PORT
show port-security