Problemas aplicando Port Security en varios switch

arenasponte · ‎01-15-2019

Tengo una red con varios switch d elas gamas SG200, SG300 y SG500 principalmente. Hay aproximadamente 140 usuarios, todos con IP fija para la red cableada y DHCP para Wifi, cada uno con un equipo.

He aplicado "port security permanent" con límite de una MAC en lso puestos de usuarios. En los puertos de salas de reunión no he aplicado "port security", tiene la configuración por defecto.

Mi problema es que si un usuario se desplaza a una sala de reuniones, salta alerta de violación del port security y no obtiene conexión. Este error ocurre aunque el puerto del puesto del usuario y el puerto de la sala estén en distinto switch, ambos pertenecen a la misma VLAN. Como el usuario tiene que usar el mismo rango de red en ambos puertos, no puedo separarlo en VLAN distintas para evitar la violación de la MAC en port security.

Mi objetivo es que en los puertos de las mesas de trabajo sólo admitan la MAC del equipo de ese usuario, impidiendo que otro usuario pueda conectar su ordenador en el mismo puerto, pero que si usa una toma "compartida" como son las salas de reuniones, pueda obtener conexión cualquier usuario.

¿port-security es válido para este objetivo? ¿cómo puedo corregir mi problema?

¿Que alternativas hay que sirvan para conseguir mi objetivo?

Julio E. Moisa · ‎01-15-2019

Hola,

Port security es valido para este tipo de escenario, ahora bien, en los switches catalyst existe una linea de comando llamada aging time, que lo que hace es eliminar la MAC Address despues de cierto tiempo de inactividad.

He trabajado con los SG350 y configurado port channel, utilizando Limited Dynamic Lock, trata activando esa opcion en lugar de Classic lock.

• Classic Lock — Locks the port immediately, regardless of the number of devices that have already been learned.

• Limited Dynamic Lock — Deletes the current MAC address related to the port to lock it. The port can learn a specific amount of devices.

• Secure Permanent — Keeps the current MAC address related to the port, and can learn a specific number of of devices.

• Secure Delete on Reset — Deletes the current MAC address related to the port after reset. After the switch is reset, the port can learn a specific amount of devices.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

arenasponte · ‎01-15-2019

Julio, gracias por tu respuesta, la estoy teniendo en cuenta para las pruebas.

El caso es que no quería que se eliminara la MAC aprendida ni que permita aprender más de una. Con la solución que me das, pasado el "aging time", el puerto podría aprender otra MAC distinta y es precisamente lo que quiero evitar.

Estoy buscando la posibilidad de que sólo tenga en cuenta la MAC aprendida de forma permanente si el puerto tiene un equipo conectado. En caso de desconectar el equipo para trasladarse a un puerto no bloqueado/limitado por port security, que no se tenga en cuenta la MAC aprendida en el puerto bloqueado y que permita al usuario conectarse en otro puerto desbloqueado. ¿sería posible de alguna forma?

Julio E. Moisa · ‎01-15-2019

Hola

El inconveniente que veo es quizas al momento de transferir los frames, ya que si la PC se mueve a otro punto, en la tabla MAC aun aparecera su MAC y eso podria generar inconvenientes, ya que el frame entrante podría ver 2 tipos de puertos como destino, es lo que creo que podria suceder.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Dagoberto Alzamora Chacon · ‎01-15-2019

Cordial Saludo Arenasponte

Para solucionar este problema que es capa 2 tendrias que separarlo de vlan....

Como dices que necesitas el mismo segmento de red y por eso no puedes quitarla de la vlan necesitarias un router para separar el segmento de red en otra vlan y enrutar nuevamente hacia el gateway de salida de tu red con una ruta estatica.

Hilda Arteaga · ‎01-15-2019

Hola @Dagoberto Alzamora Chacon

Gracias por aportar a la solución de este porblema, agradecemos mucho compartas tu conocimiento y experiencia con otros miembros

whiteangel · ‎07-02-2019

@arenasponte ha escrito:
Tengo una red con varios switch d elas gamas SG200, SG300 y SG500 principalmente. Hay aproximadamente 140 usuarios, todos con IP fija para la red cableada y DHCP para Wifi, cada uno con un equipo.
He aplicado "port security permanent" con límite de una MAC en lso puestos de usuarios. En los puertos de salas de reunión no he aplicado "port security", tiene la configuración por defecto.
Mi problema es que si un usuario se desplaza a una sala de reuniones, salta alerta de violación del port security y no obtiene conexión. Este error ocurre aunque el puerto del puesto del usuario y el puerto de la sala estén en distinto switch, ambos pertenecen a la misma VLAN. Como el usuario tiene que usar el mismo rango de red en ambos puertos, no puedo separarlo en VLAN distintas para evitar la violación de la MAC en port security.

Mi objetivo es que en los puertos de las mesas de trabajo sólo admitan la MAC del equipo de ese usuario, impidiendo que otro usuario pueda conectar su ordenador en el mismo puerto, pero que si usa una toma "compartida" como son las salas de reuniones, pueda obtener conexión cualquier usuario.
¿port-security es válido para este objetivo? ¿cómo puedo corregir mi problema?
¿Que alternativas hay que sirvan para conseguir mi objetivo?

Saludos compañero, sé que es un poco tarde para responder... (varios meses más tarde) pero, estuve investigando sobre el tema y probando en un entorno virtualizado. Luego de probar lo que le pasó a usted, llegué a la conclusión de que puede que en el switch que conecta los switches que mencionaste (del área de trabajo y del área de reuniones) tengan configurado port-security para bloquear cualquier tráfico fuera de la red controlada. Sé que es algo que no es común o debido configurar, pero puede que sea una posibilidad.

En caso de que así sea, lo que sucede es que el switch que conecta los demás puede tener registrado el usuario en su tabla de direcciones mac en determinado puerto, y al intentar conectar ese usuario en otro puerto, simplemente no lo registra (para evitar una duplicación) o lo bloquea.

Espero que mi opinión sea de ayuda.