Страница 1 из 1
port security
Добавлено: 18 янв 2019 12:02
ahel3
Здравствуйте.
Не подскажите имеется ли на оборудовании mes2124, mes2324 аналогичная функция Huawei'вской:
port-security enable
port-security protect-action shutdown
port-security mac-address sticky
Т.е. нам необходимо следующее, сперва все порты пользователей настраиваются на привязку по одному МАК адресу
и далее по мере подключения патч-кордов от ПЭВМ коммутатор сам привязывает первый появившейся МАК адрес к этому порту.
А на Eltex такого уже не получается, или мы что то делаем не так подскажите.
На Eltex у нас получается следующее, при включении этой функции ПЭВМ уже должна быть подключена к порту коммутатора и работать, в этом случаи все привязывается ОК, а вот если ПЭВМ была выключена и в это время включить эту функцию, то после включения ПЭВМ, этот порт уже не привязывается к МАК адресу этой ПЭВМ.
Как будто обучение МАК адресов происходит только в момент включения функции port-security.
За ранее спасибо.
Re: port security
Добавлено: 18 янв 2019 12:06
Евгений Т
Здравствуйте.
Выберите один из этих вариантов настройки в зависимости от целей.
Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, не удаляет адреса после перезагрузки
port security mode secure permanent
port security max 3
port security discard trap 300
Очищает MAC-адреса на порту, сохраняет 3 MAC адреса в конфигурацию, добавляет их в MAC-таблицу в режиме secure, отключает aging адресов, удаляет адреса после перезагрузки
port security mode delete-on-reset
port security max 3
port security discard trap 300
Re: port security
Добавлено: 18 янв 2019 14:15
ahel3
А еще вопрос. А смотреть сообщения о срабатывании port security можно только по SNMP и более нигде?
Удобно было бы discard-shutdown конечно, но ранее писалось вроде как она не работает толком и исправят в будущих прошивках.
Re: port security
Добавлено: 18 янв 2019 14:26
Евгений Т
Можно discard-shutdown написать. Работает функционал.
Сообщение о срабатывании появится в логах, отправится на syslog сервер, отправится трап.
После срабатывания порт перейдёт в errdisable состояние и посмотреть это можно командой
sh errd int
Автоматическое восстановление порта из errdisable выполняется командой:
errdisable recovery cause port-sec
Re: port security
Добавлено: 18 янв 2019 19:18
ahel3
Может я что то делаю не так?
errdisable recovery interval interval 60
errdisable recovery cause port-security
port security mode secure permanent
port security discard-shutdown
Настройки
Port status Learning Action Maximum Trap Frequency
--------- --------- ------------ ----------- --------- -------- ----------
gi1/0/1 Enabled Secure Discard, Shutdown 1 Disabled -
permanent
включаем первую ПЭВМ в порт, пинги идут.
Подключаем тот же порт другую ПЭВМ, пингов нет, счетчик принятых пакетов 0.
Смотрим статус портов
ck Mdix
Port Type Duplex Speed Neg ctrl State (d,h:m:s) Pres
sure Mode Port Mode (VLAN)
-------- ------------ ------ ----- -------- ---- ----------- ------------- ----
---- ------- ------------------------
gi1/0/1 1G-Copper Full 1000 Enabled Off Up 00,00:01:25 Disa
bled On Access (1)
В логах сообщений что отрабатывает port security нет.
Подключаем первую ПЭВМ обратно, все восстонавливается пинги снова идут.
При появлении левого мак адреса на порту порт почему то не отключается.
Пробовал с новой прошивкой 4.0.10.1 на коммутаторе MES2324, тоже самое.
Re: port security
Добавлено: 21 янв 2019 11:09
Евгений Т
errdisable recovery interval interval 60
errdisable recovery cause port-security
!
interface gigabitethernet1/0/14
port security mode secure permanent
port security discard-shutdown trap 10
На порту стоит лимит в 1 MAC-адрес. Подключил ПК. MAC обучился.
sh mac address-table
Flags: I - Internal usage VLAN
Aging time is 300 sec
Vlan Mac Address Port Type
------------ --------------------- ---------- ----------
1 18:31:bf:0d:e4:9c gi1/0/14 secure
1 a8:f9:4b:2f:17:00 0 self
Подключаю в 14 порт вместо ПК другое оборудование, срабатывает port-security. Порт блокируется, переходя в errdisable состояние.
console(config)#08-Oct-2018 18:58:24 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:24 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:29 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:50 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:50 %LINK-W-Down: Vlan 1
08-Oct-2018 18:58:53 %LINK-I-Up: gi1/0/14
08-Oct-2018 18:58:53 %LINK-I-Up: Vlan 1
08-Oct-2018 18:58:55 %STP-W-PORTSTATUS: gi1/0/14: STP status Forwarding
08-Oct-2018 18:58:56 %2SWPORT-W-LOCKPORTACTIVE: A packet with source MAC a8:f9:4b:31:ca:00 tried to access through d
08-Oct-2018 18:58:56 %LINK-W-PORT_SUSPENDED: Port gi1/0/14 suspended by port-security
08-Oct-2018 18:58:56 %LINK-W-Down: gi1/0/14
08-Oct-2018 18:58:56 %LINK-W-Down: Vlan 1
Re: port security
Добавлено: 21 янв 2019 15:57
ahel3
При такой схеме да все работает.
А вот если прописываем на 1 и 2 порту port security, подключаем ПК к этим портам, мак адреса обучились пинги идут, далее меняем ПК местами, пингов нет, порты светятся, в логах сообщений никаких нет.
Re: port security
Добавлено: 21 янв 2019 16:02
Евгений Т
При такой схеме да все работает.
Логи о срабатывании port security появляются?
далее меняем ПК местами, пингов нет,
А почему пинги должны идти, если этот MAC обучен на другом порту как secure? В этом же и смысл работы port security. И, судя по наблюдаемому поведению, функционал отрабатывает.
порты светятся,
Что это значит?
в логах сообщений никаких нет.
Конфиг портов как выглядит?
Re: port security
Добавлено: 21 янв 2019 16:27
Евгений Т
Проверил на стенде. Действительно, при переключении клиента, MAC которого был обучен как secure на одном порту, в другой порт не появляются логи port security. В остальном функционал полностью отрабатывает, блокируя трафик переключенного клиента.
Re: port security
Добавлено: 21 янв 2019 17:02
ahel3
Спс за помощь.