SOLUCIÓN PARA EL SIGUIENTE MENSAJE EN EL PUERTO DE UN SWITCH

AnaGRojas · ‎03-11-2024

%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1603.038c.0bef on port GigabitEthernet2/0/11.
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address d49d.a139.1c59 on port GigabitEthernet2/0/11.

Coloqué sólo 2 porque son bastantes y lleva saliendo más de 1 mes.

muchas gracias

saludos

Daniel Ordóñez Flores · ‎03-11-2024

Hola @AnaGRojas

Hola el error se puede producir por dos causas principalmente, una de ellas es por que el puerto detecta mas de una direccion Mac y por ello manda la alerta de seguridad, esto regurlarmente pasa, cuando tienes un telefono conectado y detrás de el una computadora, el problema lo pudes solucionar mediante el comando:

switchport port-security maximum <cantidad maxima de mac>

Ahora bien, es importante entender que cuando el puerto tiene seguridad y conectas un equipo final en ese puerto, ya sea computadora, telefono o impresora la Mac address queda registrada (siempre y cuando tu puerto tenga configurado la opción "switchport port-security mac-address sticky" y si por alguna razón otro dispositivo llega a conectarse a ese mismo puerto, entonces, recibirás las misma alerta. Para evitar ese problema pues usar el comando:

switchport port-security aging time

Port security aging se puede usar para establecer el tiempo en que caduca las direcciones seguras estáticas y dinámicas de un puerto. Se admiten dos tipos de envejecimiento por puerto:

Absolute – Las direcciones seguras en el puerto se eliminan después del tiempo de caducidad especificado.
Inactivity – Las direcciones seguras en el puerto se eliminan solo si están inactivas durante el tiempo de caducidad especificado.

Utiliza aging para eliminar las direcciones MAC seguras en un puerto seguro sin eliminar manualmente las direcciones MAC seguras existentes. También se pueden aumentar los límites de tiempo de vencimiento para asegurar que se mantengan las direcciones MAC seguras del pasado, incluso mientras se añaden nuevas direcciones MAC. El vencimiento de las direcciones seguras configuradas estáticamente puede activarse o desactivarse en cada puerto.

Usa el comando switchport port-security aging para habilitar o deshabilitar el envejecimiento estático para el puerto seguro, o para establecer el tiempo o el tipo de vencimiento.

Para más información al respecto te comparto la fuente de información del ultimo párrafo:

https://ccnadesdecero.es/implementar-port-security/

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

AnaGRojas · ‎03-11-2024

Le agradezco mucho por su publicación, no me había fijado antes, pero ya esos parámetros que usted me indica, están colocados, y de igual forma sale el mensaje, así que eso no fue la solución.

Estos son los parámetros de port security:

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2
Last Source Address:Vlan : xxxx.xxxx.xxxx:17
Security Violation Count : 1799

y el conteo de violaciones de seguridad aumenta cada minuto, no entiendo por qué aumenta en algunos puertos y en otros no.

Daniel Ordóñez Flores · ‎03-12-2024

Hola de nuevo @AnaGRojas

veo que switchport port-security aging se encuentra deshabilitado, esta puede ser una razón, por la cual sigues recibiendo los mensajes, creo que una buena opción es que puedas habilitarlo y configurarlo de acuerdo a tus necesidades.

Solo para no descartar, podrías revisar que no tengas un loop en la red? por medio de CDP puedes revisar que todos tus vecinos sean diferentes en cada uno de tus switches

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

AnaGRojas · ‎03-12-2024

hola @Daniel Ordóñez Flores, no puede ser loop en la red porque es el único puerto que manda esa alerta. Disculpe usted dice SecureStatic Address Aging está en Disabled porque es SecureDynamic porque son mac address con sticky.

Daniel Ordóñez Flores · ‎03-12-2024

Hola @AnaGRojas

Me parece que el tema es justo que esta utilizando sticky, al detectar las dos primeras direcciones MAC, esta se registran y cuando una direccion nueva se conecta a dicho puerto te arroja la alarma, el aging justo te permite hacer un swipe de esas dos primeras direcciones MAC de acuerdo al tiempo que hayas configurado.

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

Jose Suarez · ‎03-12-2024

Hola Ana,

Como te comentaba en ingles por otro hilo. Prueba poniendo el maximum a 3.

switchport port-security maximum 3

https://community.cisco.com/t5/discusiones-routing-y-switching/ayuda-port-security-en-las-int-de-modo-de-acceso/m-p/4620793#M9418

Saludos

Jose Suarez
CCIE No. 66421

.