REDES CISCO: Curso práctico de formación para la certificación CCNA

               Una  diferencia  importante  entre  el  modelo  dinámico  y  estático  radica  en  la
            manera  de  permitir  conexiones  en  ambos  casos.  El  primero  establece  un  límite
            máximo, pero no tienen por qué ser siempre los mismos dispositivos. Por ejemplo,
            una interfaz configurada de manera dinámica para un  total de dos MACs, una vez
            permitidas, una tercera conexión generaría una violación de seguridad. Sin embargo,
            si se desconecta  uno y se vuelve a conectar el tercero obtendría acceso ya que el
            límite continúa en dos conexiones y por lo tanto no se ha violado la seguridad.


               Este hecho en el modelo estático es totalmente diferente, ya que las direcciones
            permitidas son  configuradas manualmente y  cualquier dispositivo  que  no  coincida
            con  ellas  será  denegado,  aplicando  la  acción  de  seguridad  correspondiente.
            Continuando con el ejemplo anterior, una interfaz configurada de manera estática
            para  dos  MACs,  donde  se  desconecta  uno  y  en  su  lugar  se  conecta  otro  cuya
            dirección no coincide con las  asignadas… en este caso se genera una violación de
            seguridad.


               Otra de las diferencias a destacar entre ambos modelos es que las MACs estáticas
            son  almacenadas  en  el  fichero  de  configuración  running-config  mientras  que  las
            dinámicas no.



               Los  pasos  para  llevar  a  cabo  su  configuración  son  los  siguientes,  todos  ellos
            ejecutados desde el modo de configuración de la interfaz:


                  Paso 1: Definir la interfaz en modo acceso o modo trunk. El primero indica
                    que  el  enlace  conectará  con  un  dispositivo  final  como  un  PC  o  impresora,
                    mientras que el trunk es aplicado en interfaces que conectan directamente
                    con  otro  switch  o  router  y  por  el  cual  es  necesario  transmitir  tráfico  de
                    diferentes  VLANs  (será  analizado  en  párrafos  posteriores).  Para  configurar
                    dichos  modos  se  debe  aplicar  el  comando  switchport  mode  access  o
                    switchport mode trunk.
                  Paso  2:  Habilitar  la  seguridad  de  puerto  con  el  comando  switchport port-
                    security.  Al  ejecutarlo  se  aplica  por  defecto  el  modo  dinámico,  con  un
                    máximo de una MAC permitida y en caso de violación de seguridad la interfaz
                    será deshabilitada automáticamente.
                  Paso 3 (Opcional): El número máximo de dispositivos permitidos puede ser
                    modificado manualmente a través de la sentencia switchport port-security
                    maximum [num máximo].
                  Paso  4  (Opcional):  Configurar  la  acción  a  realizar  en  caso  de  violación  de
                    seguridad  con  el  comando  switchport  port-security  violation  [protect  |
                    restrict  |  shutdown].  Donde,  protect  simplemente  descarta  el  tráfico  del

            116