Page 135 - Untitled
P. 135
CAPÍTULO 2: CONFIGURACIÓN DE SWITCHS CISCO
dispositivo, no genera mensajes de log ni SNMP y tampoco deshabilita la
interfaz. Restrict, además de descartar el tráfico también genera una alerta
de log y SNMP al administrador, sin embargo, la interfaz tampoco es
deshabilitada. Por último, con shutdown (opción por defecto) se descarta el
tráfico, se genera un log y SNMP y además se deshabilita la interfaz. Cuando
esto ocurre pasa a un estado de error disabled donde es necesaria la
intervención del administrador para volver a habilitarla, teniendo primero
que apagarla con un shutdown para luego volver a activarla con un no
shutdown.
Paso 5 (Opcional): Configurar las direcciones estáticas deseadas gracias al
comando switchport port-security mac-address [dir mac], estas serán
almacenadas en el fichero running-config y asociadas a la interfaz en
cuestión.
En entornos corporativos, con multitud de switchs y dispositivos finales, optar por
la configuración estática puede resultar una tarea bastante tediosa y prácticamente
interminable. Para poder llevarlo a cabo de una manera más sencilla, IOS incorpora la
opción switchport port-security mac-address sticky, que ejecutada desde el modo
de configuración de la interfaz aprende las MACs de los dispositivos conectados y las
define de manera estática.
Ejemplo: Configurar la seguridad de puerto del switch de la siguiente topología
para que cumpla los siguientes requisitos:
La interfaz Fa/01 solo debe permitir la MAC del servidor DHCP. En caso de
violación debe ser deshabilitada.
La interfaz Fa0/2 puede permitir un máximo de 20 dispositivos de forma
dinámica. En caso de violación se debe enviar una alerta al administrador,
pero no deshabilitarla.
La interfaz Fa0/3 puede permitir un máximo de 5 MACs, que serán
aprendidas automáticamente, pero almacenadas de manera estática. En caso
de violación de seguridad el puerto debe ser apagado.
117
