Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
119
Apresentações
1
Útil
1
Comentários

Port-Security - Configuração Básica

Assis Teixeira
Spotlight
Spotlight

em ‎04-07-2025 05:41 AM

Neste artigo/Lab, você e eu podemos implementar e verificar o port security em uma porta de switch de Camada 2. Para o nosso plano, vamos trabalhar com o switch da camada de acesso com sua interface gig 0/0 que por acaso é onde há um computador, que na verdade, é a caixa Kali Linux.

AssisTeixeira_0-1743948398071.png

Vamos abrir uma conexão para Access-1, que é nosso switch da camada de acesso. E vamos para a interface gig 0/0. E faremos um switchport mode access e switchport access VLAN 10. Também faremos um switchport host, que também habilitará o Port-fast nessa porta, para que não passe pelos modos do Spanning-tree.

Access-1#configure terminal
Access-1(config)#interface g0/0
Access-1(config-if)#switchport mode access
Access-1(config-if)#switchport access vlan 10
Access-1(config-if)#switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled

 

Vamos verificar algumas coisas. Faremos um “do show VLAN brief”. E com certeza, há a gig 0/0 está atribuído à VLAN 10.

Access-1(config-if)#do show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/1, Gi0/2, Gi0/3, Gi1/0
                                                Gi1/1, Gi1/2, Gi1/3
10   VLAN0010                         active    Gi0/0
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

 

Vamos também vamos fazer “do show mac address-table vlan 10”.
Conhecendo o comando, você teria que digitá-lo todo aqui no modo de configuração da interface. Se você não se lembra da sintaxe, pode sair do modo de configuração de volta ao modo de privilégio e, em seguida, apenas fazer os pontos de interrogação para obter a ajuda sensível ao contexto ao longo do caminho.

Access-1(config-if)#do show mac address-table vlan 10
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  10    0e4d.fd0d.d6c9    DYNAMIC     Gi0/0
  10    3c2a.713a.a2ba    DYNAMIC     Gi0/0
  10    3c3f.1c2b.0493    DYNAMIC     Gi0/0
  10    3ce4.8106.9d92    DYNAMIC     Gi0/0
  10    5666.364c.b56c    DYNAMIC     Gi0/0
Total Mac Addresses for this criterion: 5

 

No meu exemplo temos 5 endereços. Agora, atualmente, se fizermos um show port-security para a interface gig 0/0, ele dirá que está Disabled.

Access-1(config-if)#do show port-security interface g0/0
Port Security              : Disabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

 

Não temos o port-security habilitado nesta interface. Mas está nos mostrando que, se o habilitássemos, o Violation Mode, caso excedido o máximo de endereços Mac, a interface seria desligada.

Na saída também informa o número máximo de endereços Mac (Maximum MAC Addresses      : 1). No entanto, por estar desabilitado, esse recurso não está sendo usado no momento. Se ativarmos o recurso como 1 e se ultrapassarmos esse valor, teremos uma violação, que desligará a porta.

Um outro comando é um show port-security. E isso só vai nos mostrar todas as nossas interfaces.

Access-1(config-if)#do show port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 4096

 

Não temos interfaces que atualmente tenham o port-security habilitado. E, como resultado, eles não estão aparecendo na saída do comando.

Então, vamos habilitar o port-security com o conhecimento de que provavelmente teremos uma violação.

Como ainda estamos na configuração da interface gig 0/0. E a sintaxe é switchport port-security. E isso habilitará o port-security com as suas configurações padrão.

Access-1(config-if)#switchport port-security

 

Agora está ativo. Se fizermos um show port-security, a saída nos mostrará que a interface gig 0/0 está habilitado para o port-security.

Access-1(config-if)#do show port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
      Gi0/0              1            0                  0         Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 4096

 

A Security Action, que é a ação de violação, é Shutdown. E o máximo de endereços Mac que está disposto a lidar é 1 nessa porta. Portanto, no momento em que tivermos mais de um endereço Mac que gera um quadro na interface gig 0/0, que o switch vê, teremos uma violação de port-security.

E no nosso Kali Linux vamos fazer um ping para 10.0.0.1, que é apenas a interface virtual da vlan 10 no switch Access-1.

root@kali:~# ping 10.0.0.1     
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
From 10.0.0.10 icmp_seq=9 Destination Host Unreachable
From 10.0.0.10 icmp_seq=10 Destination Host Unreachable
From 10.0.0.10 icmp_seq=11 Destination Host Unreachable
From 10.0.0.10 icmp_seq=12 Destination Host Unreachable

 

A razão pela qual isso não está funcionando é porque o outro endereço Mac de um outro dispositivo já foi visto. E agora, que o Kali está tentando falar, ele está sendo rejeitado e essa porta foi desligada.

Podemos verificar isso voltando para a CLI do switch Access-1.

Access-1(config-if)#
*Apr  6 13:52:19.145: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/0, putting Gi0/0 in err-disable state
Access-1(config-if)#
*Apr  6 13:52:19.148: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 86c9.8e3b.b4bb on port GigabitEthernet0/0.
Access-1(config-if)#
*Apr  6 13:52:20.146: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
Access-1(config-if)#
*Apr  6 13:52:21.147: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down

 

Então, aqui, temos a violação de port-security causada pelo endereço Mac. O endereço Mac do nosso Kali Linux na interface gig 0/0. E essa interface está fora do ar.

Se fizermos um show interface status err-disabled. Isso mostrará todas as nossas portas que estão desativadas e também o motivo.

Access-1#show interface status err-disabled

Port      Name               Status       Reason               Err-disabled Vlans
Gi0/0                        err-disabled psecure-violation

 

Portanto, temos uma violação de port-security, que fez com que ele desligasse a interface.

Então, neste artigo e lab, tivemos a oportunidade de implementar o port-security e obter uma violação, pois tínhamos mais do que o padrão de 1 endereço Mac que apareceu como um endereço de origem nessa porta.

Espero que tenha ajudado e bons estudos!

Comentários
Marcelo Morais
VIP
VIP
‎04-07-2025 05:46 AM

@Assis Teixeira ... obrigado por compartilhar !!!

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Pergunte aos Especialistas Comunidade de FSO Vídeo dos últimos eventos
Customers Also Viewed These Support Documents