el 09-22-2021 08:09 AM
Hola. Mientras administraba un switch Catalyst 1000 recién aprovisionado, necesitaba encontrar la dirección MAC de un host en la VLAN 20 de WiFi. Así que probé lo siguiente:
SW01#show mac address-table dynamic vlan 20 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- -----
Parecía extraño que no hubiera salida porque estaba conectado a esta VLAN. Saqué mi teléfono para verificar que también estuviera conectado. A continuación, dejé caer el filtro dinámico y pude encontrar la dirección MAC deseada:
SW01#show mac address-table vlan 20 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- All 0100.0ccc.cccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0180.c200.0000 STATIC CPU All 0180.c200.0001 STATIC CPU All 0180.c200.0002 STATIC CPU All 0180.c200.0003 CPU ESTÁTICA Todo 0180.c200.0004 CPU ESTÁTICA Todo 0180.c200.0005 CPU ESTÁTICA Todo 0180.c200.0006 CPU ESTÁTICA Todo 0180.c200.0007 CPU ESTÁTICA Todo 0180.c200.0008 CPU ESTÁTICA Todo 0180.c200.0009 CPU ESTÁTICA Todo 0180.c200.000a CPU ESTÁTICA Todo 0180.c200.000b CPU ESTÁTICA Todo 0180.c200.000c CPU ESTÁTICA Todas 0180.c200.000d CPU ESTÁTICA Todas las 0180.c200.000e CPU ESTÁTICA Todas las 0180.c200.000f CPU ESTÁTICAS Todas las 0180.c200.0010 CPU ESTÁTICAS Todas las ffff.ffff.ffff CPU ESTÁTICAs 20 1cb1.7fe4.7434 ESTÁTICA Gi1/0/3 20 7440.bb7f.d88f ESTÁTICA Gi1/0/3 20 b072.bff3.0f04 ESTÁTICA Gi1/0/3 20 b89a.2aea.ecd7 STATIC Gi1/0/3 20 c8ff.7700.77ed STATIC Gi1/0/3 20 d8c4.6a91.cfde STATIC Gi1/0/3 Total de direcciones Mac para este criterio: 26
Curiosamente, todas las direcciones MAC de Gi1/0/3 son ESTÁTICAS. No los he definido manualmente, por lo que hubiera esperado DYNAMIC. (Y, de hecho, en mis VLAN que no son WIFI, las direcciones MAC del host están marcadas como DINÁMICAS). ¿Por qué se identifican estos MAC como STATIC? ¿Es este el comportamiento esperado?
Gracias.
¡Resuelto! Ir a solución.
el 09-22-2021 08:09 AM
Hola
Ah, esto lo explica completamente, entonces.
Incluso con direcciones MAC seguras dinámicas, se almacenan en la tabla de direcciones MAC como estáticas. Esto es por diseño y este comportamiento es esperado. La razón es que las direcciones MAC seguras dinámicas no caducan de la manera en que lo hacen las direcciones MAC habituales, por lo que, desde el punto de vista de la administración de la tabla de direcciones MAC, son estáticas. Se olvidan las direcciones MAC seguras dinámicas
Así que, no te preocupes. Lo que usted observó es totalmente esperado.
Saludos
Pedro
el 09-22-2021 08:09 AM
Hola
extraño por cierto. ¿Es lo mismo para los clientes cableados?
el 09-22-2021 08:09 AM
Hola George,
Todos los clientes cableados de otras VLAN muestran direcciones MAC dinámicas.
Pero como indicó Peter, probablemente se deba a "port-security maximum 30" en esta interfaz.
(Sin embargo, no se usa el aprendizaje MAC pegajoso).
Todavía no he implementado esto para las otras interfaces.
Gracias.
el 09-22-2021 08:09 AM
Hola
Por casualidad, ¿activó la seguridad portuaria en Gi1/0/3? Todas las direcciones MAC seguras aprendidas a través de la seguridad del puerto (ya sean seguras dinámicas, seguras estáticas o seguras adhesivas) se marcarán como estáticas en la salida de la tabla de direcciones MAC, a menos que también haya configurado su envejecimiento.
Si no ha configurado la seguridad del puerto en Gi1/0/3, ¿sería tan amable de compartir su configuración aquí? Tal vez haya otra característica allí que haga que las direcciones MAC se almacenen como estáticas.
Saludos
Pedro
el 09-22-2021 08:09 AM
Hola Pedro.
Tengo habilitada la seguridad del puerto para limitar el número de direcciones MAC aprendidas en el Gi1/0/3.
interfaz GigabitEthernet1/0/3 descripción punto de acceso wifi switchport acceso vlan 20 switchport mode access switchport port-security maximum 30 switchport port-security violation restrict switchport port-security end
No es un máximo absoluto, pero quiero saber si/cuando supera ese número para poder confirmar si es apropiado y hacer los cambios oportunos.
Había evitado la entrada manual de MAC y los MAC pegajosos, así que pensé que el interruptor consideraría los MAC entrantes como dinámicos. No soy una ventana de tiempo de inactividad para apagar el puerto y eliminar el máximo en este momento, pero lo probaré más adelante.
Todavía no lo había implementado en otros puertos, así que solo lo noté en esta interfaz.
Gracias.
el 09-22-2021 08:09 AM
Hola
Ah, esto lo explica completamente, entonces.
Incluso con direcciones MAC seguras dinámicas, se almacenan en la tabla de direcciones MAC como estáticas. Esto es por diseño y este comportamiento es esperado. La razón es que las direcciones MAC seguras dinámicas no caducan de la manera en que lo hacen las direcciones MAC habituales, por lo que, desde el punto de vista de la administración de la tabla de direcciones MAC, son estáticas. Se olvidan las direcciones MAC seguras dinámicas
Así que, no te preocupes. Lo que usted observó es totalmente esperado.
Saludos
Pedro
el 09-22-2021 08:09 AM
Gracias Pedro por la explicación.
Aparentemente mi comprensión era incompleta.
Muy apreciado.
el 09-22-2021 08:09 AM
Hola
Usted es bienvenido. Sabía de esta "sorpresa" porque yo mismo me tomó por sorpresa cuando descubrí el comportamiento por primera vez hace años. Por otra parte, tiene sentido. Una dirección MAC segura dinámica es dinámica solo para el mecanismo de seguridad del puerto en sí, pero para la tabla de direcciones MAC, debe comportarse como una estática que no expira y no se mueve a otro puerto porque ese es el objetivo de una MAC segura.
Saludos
Pedro
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad