Dicas e Truques: Port-security

O port-security tem muitos parâmetros pouco explorados pela maioria dos candidatos a CCNA...

Em termos gerais, quem aprende port-security no CCNA utiliza uma sequência de comandos similar a esta:

SW01#conf t
SW01(config)#interface fastethernet 0/7
SW01(config-if)#switchport mode access
SW01(config-if)#switchport port-security
SW01(config-if)#switchport port-security maximum
SW01(config-if)#switchport port-security mac-address
SW01(config-if)#switchport port-security violation shutdown

Onde pode-se definir o número máximo de endereços MAC a serem aprendidos numa interface e, eventualmente, pode-se definir estaticamente quais os MACs que poderão ser aceitos. Caso o limite seja ultrapassado, a porta será desabilitada (comportamento padrão).

Pode-se também armazenar as entradas dinâmicas aprendidas via CAM Table na running-config usando o comando abaixo. (Assim, não é preciso cadastrar cada MAC manualmente):

SW01(config)#switchport port-security mac-address sticky

Pois bem, vamos falar agora das opções que são pouco exploradas no comando, começando pelo tratamento da violação quando esta ocorre:

SW01(config-if)# switchport port-security violation {shutdown | restrict | protect}

Além de desativar a interface com o parâmetro shutdown, podemos apenas impedir que o novo MAC-Address seja aprendido com os parâmetros restrict ou protect. Assim, não haverá interrupção no funcionamento da interface e não teremos que reativa-la manualmente. A diferença entre eles é que o restrict gera uma trap SNMP avisando a ocorrência da tentativa de violação e o protect não.

PS: É claro que o SNMP deve estar configurado no Switch para que isto ocorra !

Outro parâmetro pouco explorado é o aging time. Após ocorrer uma violação, esta fica registrada na interface enquanto o switch estiver ativo ou até que esta entrada seja removida manualmente. É possível definir uma validade para a violação no cache do port-security com o comando abaixo:

SW01(config-if)# switchport port-security [ aging {static | time aging_time | type
{absolute | inactivity} ]

Confuso ? Vamos lá: o paraâmetro aging static define que haverá um tempo de vida para as entradas configuradas estaticamente e não só para aquelas aprendidas de forma dinâmica, o time do cache de violações é definido em segundos. Podemos também definir este time com o atributo absolute (quando se passar exatamente o time determinado a partir do momento da violação) ou o atributo inactivity (quando o tempo começa a contar quando o MAC address causador da violação não está mais tentando se associar a CAM Table).

No exemplo abaixo, as entradas estáticas serão removidas do cache após 30 minutos (1800 segundos) de inatividade:

SW01(config)# interface fastethernet0/7
SW01(config-if)# switchport port-security aging time 1800
SW01(config-if)# switchport port-security aging type inactivity
SW01(config-if)# switchport port-security aging static

Para eliminar as entradas dinâmicas, pode se usar o comando abaixo:

SW01# clear port-security dynamic interface fastethernet0/7

Caso vc queira desabilitar o port-security de uma interface (e remover todos os comando relacionados a ele) basta digitar:

SW01(config)#interface fastethernet 0/7
SW01(config)#no switchport port-security

Por último, uma dica que eu achei muito interessante, ao invés de se reabilitar manualmente uma interface desabilitada pelo violation shutdown (entrando nesta interface e usando os comandos shut e no shut). Podemos programar um time para que as interfaces desativadas sejam reabilitadas automaticamente. Veja os comandos abaixo:

SW01(config)# errdisable recovery cause psecure-violation
SW01(config)# errdisable recovery interval 1800

Neste exemplo, todas as interfaces que entrarem no estado de error-disable devido a uma violação de segurança serão automaticamente reabilitadas em 30 minutos (1800 segundos).

Gostou ? Agora, aproveite as férias para testar estas features do port-security.

Have Fun !

Fonte:
http://www.cioby.ro/cisco/how-to-configure-port-security-on-cisco-catalyst-switches.php