Discussione:
Port-security su switch
(troppo vecchio per rispondere)
capitan harlock
2011-06-16 06:30:56 UTC
Permalink
ciao!
sto ripassando alcuni argomenti per una certif cisco, avrei un paio di
dubbi sul port-security.

prima punto. quando una porta access di uno switch è configurata con
protezioni di sicurezza del tipo

interface f0/1
no shutdown
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation restricted
switchport port-security mac-address sticky
switchport port-security mac-address sticky A:B:C:D:E:F

e viene effettuato un tentativo di ingresso da un mac address diverso da
A:B:C:D:E:F, a console si continuano a vedere messaggi di warning, ma mi
pare di capire che comunque l'accesso dalla porta access continua ad
esserci. l'unico modo per bloccare l'accesso è usare "shutdown" invece
di "restricted"?

sempre sul port-security, se voglio sostituire il mac-address
A:B:C:D:E:F con un altro, senza far partire violazioni, come posso fare?
devo disabilitare a manina tutto e riconfigurare da zero?

grazie!
Lorenzo Mainardi
2011-06-16 11:17:32 UTC
Permalink
Post by capitan harlock
sempre sul port-security, se voglio sostituire il mac-address
A:B:C:D:E:F con un altro, senza far partire violazioni, come posso fare?
devo disabilitare a manina tutto e riconfigurare da zero?
Sono 3 comandi di numero, non c'è nulla da rifare:

interface f0/1
no switchport port-security mac-address sticky A:B:C:D:E:F
switchport port-security mac-address sticky X:Y:Z:K:W:H
Rizio
2011-06-16 11:40:35 UTC
Permalink
Post by capitan harlock
e viene effettuato un tentativo di ingresso da un mac address diverso da
A:B:C:D:E:F, a console si continuano a vedere messaggi di warning, ma mi
pare di capire che comunque l'accesso dalla porta access continua ad
esserci. l'unico modo per bloccare l'accesso è usare "shutdown" invece
di "restricted"?
Per quanto ne sò io si. Di default l'action è in shutdown ed è la più rigida
perchè manda in down la porta.
Post by capitan harlock
Post by capitan harlock
sempre sul port-security, se voglio sostituire il mac-address
A:B:C:D:E:F con un altro, senza far partire violazioni, come posso fare?
devo disabilitare a manina tutto e riconfigurare da zero?
Oppure reimposti lo sticky learning dopo il

no switchport port-security mac-address sticky A:B:C:D:E:F

Rizio
capitan harlock
2011-06-16 11:50:12 UTC
Permalink
Post by Rizio
Post by capitan harlock
e viene effettuato un tentativo di ingresso da un mac address diverso da
A:B:C:D:E:F, a console si continuano a vedere messaggi di warning, ma mi
pare di capire che comunque l'accesso dalla porta access continua ad
esserci. l'unico modo per bloccare l'accesso è usare "shutdown" invece
di "restricted"?
Per quanto ne sò io si. Di default l'action è in shutdown ed è la più rigida
perchè manda in down la porta.
grazie.
ma non c'è modo di bloccare accessi senza andare administratively down?

scusate se le domande sono banali ma sono un pò arrugginito con la CLI :(
Francesco Paolini
2011-06-16 17:13:00 UTC
Permalink
Post by capitan harlock
grazie.
ma non c'è modo di bloccare accessi senza andare administratively down?
scusate se le domande sono banali ma sono un pò arrugginito con la CLI :(
a memoria no. anche perchè l'idea di base è evitare "a costo zero" che
un mac sconosciuto vada in lan.
se invece usassi 802.1x, potresti mettere la porta con mac sconosciuto
in una vlan isolata e confinarlo lì
capitan harlock
2011-06-16 19:39:19 UTC
Permalink
Post by Francesco Paolini
Post by capitan harlock
grazie.
ma non c'è modo di bloccare accessi senza andare administratively down?
scusate se le domande sono banali ma sono un pò arrugginito con la CLI :(
a memoria no. anche perchè l'idea di base è evitare "a costo zero" che
un mac sconosciuto vada in lan.
se invece usassi 802.1x, potresti mettere la porta con mac sconosciuto
in una vlan isolata e confinarlo lì
molto interessante! questa della vlan isolata l'avevo già sentita come
espediente di hardening, ma da configurare a mano per porte che devono essere in
no shutdown ma non utilizzate.

in pratica dici che autenticando un mac address in ingresso alla porta facendo
un check con un server 802.1x, posso poi far associare barbaramente la porta
allo switch sulla vlan X che è poi un vicolo cieco?

come si fa questa cosa?
Francesco Paolini
2011-06-17 14:50:33 UTC
Permalink
Post by capitan harlock
in pratica dici che autenticando un mac address in ingresso alla porta facendo
un check con un server 802.1x, posso poi far associare barbaramente la porta
allo switch sulla vlan X che è poi un vicolo cieco?
come si fa questa cosa?
cisco acs
oppure anche con un server radius standard, ma ti devi configurare gli
attributi a manovella.
l'altra possibilità è il cisco nac

Continua a leggere su narkive:
Loading...