отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
260
Просмотры
0
Полезный материал
7
Ответы
vara93
Beginner

Настройка Port Security на SF200-24P 24-Port 10/100 PoE Smart Switch

Коллеги, Добрый День.

 

Есть SF200-24P 24-Port 10/100 PoE Smart Switch

 

SSH он не имеет. Подскажите, как настроить Port Security на нем ?

 

Я бы хотел записать два MAC адреса и выключать порт если кто-то другой подключиться.

 

В данный момент ничего не отрабатывает. 

 

Так же дополнительный вопрос, где смотреть список MAC адресов здесь ? Как удалить\добавить вручную потом ?

7 ОТВЕТ 7
Sergey Lisitsin
Collaborator

Добрый день,

 

здесь инструкция по настройке Port-Security на этой линейке коммутаторов.

Port Security Configuration on the 200/300 Series Managed Switches - Cisco

К сожалению задать допустимые адреса на конкретном порту невозможно. Ближайшая альтернатива - режим Limited Dynamic Lock. В этом режиме порт обнуляет свою CAM таблицу и потом "учит" разрешённое количество адресов. Если Вы укажете лимит в 2 устройства, то первые 2 MAC адреса, обнаруженные на этом порту будут сохранены в таблице, остальные не будут. Чтобы отключить порт при нарушении, в секции "Action on Violation" отметьте опцию "shutdown". Ручного списка допустимых адресов на этих моделях нет.

vara93
Beginner

Сергей, в данный момент я настроил так:

 

1.PNG

 

При подключении другого устройства, порт отключается и сеть теряется, чего и хотелось. 

Но объясните, как работает одно устройство со статусом Locked ? Логически вроде щас трафик должен быть заблокирован, а нет, одно устройство работает корректно.

 

Как происходит запоминание, нужно ли перезагружать устройство ? Как вернуть порт в no shut после блокировки ?

 

Так же не дает выбирать действие при нарушении если не выбрать статус Locked. Как им варьировать ? Не понятно, оставить его или убрать..

Locked/Unlocked - это просто режимы работы порта. По сути это наличие или отсутствие в принципе port-security. Locked - не означает, что порт заблокирован, это означает что на нём включена функция port-security. Именно поэтому невозможно сконфигурировать реакцию на нарушение режима, если на порту не включён port-security.  Режим Secure permanent означает, что МАС адрес находящийся на этом порту на момент включения функции остаётся в таблице и становится разрешённым. По умолчанию лимит адресов 1, так что он остаётся единственным. 

Запоминание адресов происходит как обычно - считыванием МАС адреса отправителя. В режиме Limited Dynamic Lock при включении функции происходит сброс таблицы и потом начинается процесс запоминания.

 

vara93
Beginner

Сергей, спасибо. Теперь всё понятно. Можете привести пример, когда может быть полезен Limited Dynamic Lock, а когда Secure permanent ?

 

И еще вопрос, у меня роутер cisco 881, как я должен настроить порт, от его коммутации до моего коммутатора ? Почему-то кода устанавливаю 1 мак, порт всегда блокируется. Поставил для теста 4 адреса, вся таблица забивается. Что-то не понятное происходит.

 

И как настраивать транк порт ?

Secure Permanent не сбрасывает таблицу. Например, если Вы знаете, что на порту в данный момент находятся те маки, которые и должны быть, то можно использовать Secure Permanent. Если маки находятся кто где, и Вы хотите их привязать к определённым портам, то Limited Dynamic Lock подойдёт. В общем - особой разницы нет.

Что у Вас ещё подключено к маршрутизатору? Настраивать транк очень просто - переключите режим порта в trunk в разделе VLAN Management -> Interface settings.

vara93
Beginner

У меня схема простая. Роутер -> Свитч - Пользователи. Один широковещательный домен. Но в некоторых филиалах есть роутер на палочке. 

 

И я не знаю\не понимаю, нужно ли настраивать Port Security на порту коммутатора, который идет в роутер.

Ну, обычно в этом нет необходимости, если физический доступ к устройствам ограничен.