8.5 Настройка безопасности на интерфейсах (Port Security)¶

clear port-security dynamic¶

Синтаксис команды

1	`clear port-security dynamic [ { address mac [ vlan vlan_on_mac ] } \| { interface port_type [ plist ] [ vlan vlan_on_interface ] } \| vlan vlan ]`

Описание синтаксиса

Параметр	Описание
`address mac`	очистить определенный MAC-адрес. vlan vlan_on_mac — VLAN, в которой нужно очистить MAC-адрес. interface port_type — тип порта (Giga или 25GigabitEthernet).
`plist`	(опционально) список номеров портов, напримр 1/1,2-10. vlan vlan_on_interface — VLAN на интерфейсе, чтобы очистить все MAC-адреса. vlan vlan — VLAN, в которой нужно удалить все MAC-адреса.

Режим команды: Фундаментальный режим.
Уровень доступа: 15

Указания по применению

Используйте команду «clear port-security dynamic» для того, чтобы удалить определенные безопасные MAC-адреса, все MAC-адреса на одном или нескольких портах или все MAC-адреса в определенной VLAN.

Примеры

Пример показывает, как удалить безопасные MAC-адреса в VLAN 1:

1 2	`# clear port-security dynamic vlan 1 #`

port-security¶

Синтаксис команды

1 2	`port-security no port-security`

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security» для включения безопасного изучения адресов на интерфейсе. Используйте команду «no portsecurity» для отключения безопасного изучения адресов на интерфейсе. Используйте команду «port-security» для включения безопасного изучения адресов на устройстве.

Примеры

Пример показывает, как включить безопасное изучение адресов на устройстве и интерфейсе gigabitethernet 1/1:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# port-security
(config-if)#

port-security aging¶

Синтаксис команды

1 2	`port-security aging no port-security aging`

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security aging» для включения старения безопасных адресов на интерфейсах. Используйте команду «no portsecurity aging» для отключения старения безопасных адресов на интерфейсах.

Примеры

Пример показывает, как включить старение безопасных адресов на интерфейсах:

1
2
3

# configure terminal
(config)# port-security aging
(config)#

port-security aging time¶

Синтаксис команды

1 2	`port-security aging time v_10_to_10000000 no port-security aging time`

Описание синтаксиса

Параметр	Описание
`v_10_to_10000000`	время старения безопасных MAC-адресов в диапазоне от 10 до 1000000 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security aging time» для установки времени старения безопасных адресов на интерфейсах. Используйте команду «no port-security aging time» для установки значения по умолчанию. По умолчанию время старения – 3600 секунд.

Примеры

Пример показывает, как установить время старения безопасных адресов на интерфейсах равным 100 секунд:

1
2
3

# configure terminal
(config)# port-security aging time 100
(config)#

port-security hold time¶

Синтаксис команды

1 2	`port-security hold time v_10_to_10000000 no port-security hold time`

Описание синтаксиса

Параметр	Описание
`v_10_to_10000000`	время, в течении которого небезопасные MAC-адреса не пересылаются в диапазоне от 10 до 1000000 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security hold time» для установки времени в течении которого небезопасные MAC-адреса не пересылаются. Используйте команду «no port-security hold time» для установки значения по умолчанию. По умолчанию время – 300 секунд.

Примеры

Пример показывает, как установить время, в течении которого небезопасные MAC-адреса не пересылаются на интерфейсах, равным 100 секунд:

1
2
3

# configure terminal
(config)# port-security hold time 100
(config)#

port-security mac-address¶

Синтаксис команды

1 2	`port-security mac-address { [ sticky ] [ mac [ vlan vlan_id ] ] } no port-security mac-address { [ sticky ] [ mac [ vlan vlan_id ] ] }`

Описание синтаксиса

Параметр	Описание
`sticky`	добавить закрепленный (Sticky) MAC-адрес.
`mac`	одноадресный MAC-адрес для добавления. vlan vlan_id — необязательный VLAN. Если не указано, с использованием и отслеживанием собственной VLAN.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security macaddress» для установки безопасных MACадресов от которых будут разрешены входящие пакеты. Используйте команду «no port-security mac-address» для установки значения по умолчанию. По умолчанию – статические или закрепленные (Sticky) MAC-адреса не установлены.

Примеры

Пример показывает, как установить безопасный статический MAC-адрес 0a:00:27:00:00:00 на интерфейсе gigabitgthernet 1/1 :

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# port-security mac-address 0a:00:27:00:00:00
(config-if)#

port-security maximum¶

Синтаксис команды

1 2	`port-security maximum limit no port-security maximum`

Описание синтаксиса

Параметр	Описание
`limit`	максимальное количество адресов, которые могут быть изучены на интерфейсе, в диапазоне от 0 до 1023.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security maximum» для установки максимального количества адресов, которое может быть изучено на интерфейсе. Используйте команду «no portsecurity maximum» для установки значения по умолчанию. По умолчанию ограничение, при включенном «port-security», равно 4.

Примеры

Пример показывает, как установить максимальное количество адресов, которое может быть изучено на интерфейсе gigabitethernet 1/1, равным 10 и включить безопасный режим:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# port-security maximum 10
(config-if)#

port-security maximum voice¶

Синтаксис команды

1 2	`port-security maximum v_1_to_1024 voice no port-security maximum voice`

Описание синтаксиса

Параметр	Описание
`v_1_to_1024`	максимальное количество адресов, которые могут быть изучены на интерфейсе, в диапазоне от 1 до 1024.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security maximum voice» для установки максимального количества адресов, входящих в группу voice vlan , которое может быть изучено на интерфейсе. Используйте команду «no port-security maximum voice» для установки значения по умолчанию. По умолчанию ограничение, при включенном «port-security», равно 4.

Примеры

Пример показывает, как установить максимальное количество адресов, входящих в группу voice vlan, которое может быть изучено на интерфейсе gigabitethernet 1/1, равным 1 и включить безопасный режим:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# port-security maximum 1 voice
(config-if)#

port-security violation¶

Синтаксис команды

1 2	`port-security violation { protect \| restrict \| shutdown } no port-security violation`

Описание синтаксиса

Параметр	Описание
`protect`	фильтрация пакетов с неизвестным MAC-адресом.
`restrict`	фильтрация пакетов с неизвестным MAC-адресом, при этом отправляется оповещение – syslog, SNMP-уведомление.
`shutdown`	фильтрация пакетов с неизвестным MAC-адресом и отключение интерфейса при обнаружении пакета с неизвестным MAC-адресом.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security violation» для установки реакции на нарушения безопасности при безопасном изучении адресов на интерфейсе. Используйте команду «no port-security violation» для установки значения по умолчанию. По умолчанию установлено фильтрация пакетов с неизвестным MAC-адресом.

Примеры

Пример показывает, как включить режим фильтрации пакетов с неизвестным MAC-адресом и отключения интерфейса при обнаружении пакета с неизвестным MAC-адресом на интерфейсе gigabitethernet 1/1:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# port-security violation shutdown
(config-if)#

port-security maximum-violation¶

Синтаксис команды

1 2	`port-security maximum-violation violate limit no port-security maximum-violation`

Описание синтаксиса

Параметр	Описание
`violate limit`	максимальное количество небезопасных MAC-адресов (от 1 до 1023).

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «port-security maximum-violation» для установки максимального количества небезопасных MACадресов, которые могут быть изучены на интерфейсе. Используйте команду «no portsecurity maximum-violation» чтобы снять ограничения.

Примеры

Пример показывает, как установить максимальное количество небезопасных MAC-адресов, которое может быть изучено на интерфейсе gigabitethernet 1/1, равным 10:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# port-security maximum-violation 10
(config-if)#

show port-security¶

Синтаксис команды

1	`show port-security [ address ] [interface port_type [ v_port_type_list ] ]`

Описание синтаксиса

Параметр	Описание
`address`	(oпционально) показать MAC-адреса, полученные службой безопасности портов.
`port_type`	(oпционально) тип порта ( Giga или 25GigabitEthernet).
`v_port_type_list`	(oпционально) список номеров портов, например: 1/1,2-10.

Режим команды: Фундаментальный режим.
Уровень доступа: 0

Указания по применению

Используйте команду «show port-security» для вывода настроек и состояния безопасности на интерфейсах.

Примеры

Пример показывает, как вывести состояние безопасности:

# show port-security
Users:
P = Port Security (Admin)
8 = 802.1X
V = Voice VLAN
Int   Users Limit Curr Violat Violation Sticky State Voice

Mode

----- ----- ----- ---- ------ --------- ------ ----- -----
Gi1/1 P--      10    1      0 Shutdown  No     Ready No
Aging time: 100 seconds
Hold time: 100 seconds
#

show port-security address¶

Синтаксис команды

1	`show port-security address [interface port_type [ v_port_type_list ] ]`

Описание синтаксиса

Параметр	Описание
`port_type`	(oпционально) тип порта ( Giga или 25GigabitEthernet).
`v_port_type_list`	(oпционально) список номеров портов, например: 1/1,2-10.

Режим команды: Фундаментальный режим.
Уровень доступа: 0

Указания по применению

Используйте команду «show port-security address» для просмотра MAC-адреса, полученного службой безопасности на интерфейсах.

Примеры

Пример показывает, как вывести MAC-адрес, полученный службой безопасности на интерфейсе gigabitethernet 1/1:

1 2	`# show port-security address VLAN MAC Address Type State Port Age/Hold`

Time

---- ----------------- ------- ---------- ------ --------
1 0a-00-27-00-00-00 Static  Forwarding Gi 1/1      N/A
Number of MAC addresses manageable by port-security in the system: 1024
Number of MAC addresses currently used by port-security in the system: 1
#