Port Security

Port Security é um recurso suportado em switches Cisco, e restringe uma porta de um switch especificando e definindo uma quantidade definida de MAC Address. Esses MACs podem ser aprendidos dinamicamente ou configurados estaticamente.

Um recurso chamado "STICKY" learning é disponível em algumas plataformas, combina o recurso para aprender os MACs dinamicamente ou estaticamente configurados. Quando esse recurso é configurado a interface converte os endereços dinamicamente aprendidos  como STICKY SECURE address, quando a configuração é salva o switch mantem o MAC aprendido.

Comando: 

Switch(config-if)# switchport port-security mac-address sticky

Exemplos de configurações:

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security (habilita a porta em port security)

Switch(config-if)# switchport port-security maximum 2 (limita a quantidade de MAC)

Switch(config-if)# switchport port-security aging time 5 (Define o tempo do MAC na tabela)

•    Range valido de aging_time: 0 até 1440 minutos
•   Aging time com o valor 0 = desabilita o aging time e permite somente o MAC original apos ser removido. O switch não permite nenhum outro MAC                       

Switch(config-if)# switchport port-security mac-address 0002.0002.0002 (define o MAC estatico)

Switch(config-if)# switchport port-security violation shutdown (habilita a porta para entrar em Shutdown caso o maximo de IP confiavel seja excedido)

Switch(config-if)# switch port-security violation protect (Habilita para parar as notificações na CLI)

Port Security violation:

Comando:

Switch(config-if)# switch port-security violation restrict/protect

Mode Protect = bloqueia pacotes com endereços de origem desconhecidos até remover um número suficiente de Endereços MAC seguros ficar abaixo do valor máximo, porem não gera log de violação.

Mode Restrict =  bloqueia  pacotes com endereços de origem desconhecidos até remover um número suficiente de Endereços MAC seguros ficar abaixo do valor máximo e faz com que o contador  de SecurityViolation  incrementar e gera log de violação além de enviar o trap SNMP

Mode Shutdown = coloca a interface em error-disable state imediatamente e envia um SNMP trap notification

Obs.:

• Port security pode ser configurado em portas suportando VoIP;
• Com port security configurado, somente um MAC é permitido por default
• As portas entram no modo SHUTDOWN quando o numero máximo de MAC seguro é excedido, e um SNMP trap notification é enviado
• Com o a interface configurada com port security e 802.1x na mesma interface, permite port security para secure o MAC address 802.1x autenticado.

Port Errors:

• Port security violation
• Spanning-tree BPDU guard
• Etherchannel miscunfiguration
• Duplex mismatch
• UDLD
• STP root Guard
• Link flapping

Para colocar a porta em error disable usar o comando:

Switch(config-if)#errdisable detect cause

Configurar a porta para automatic recovery:

Switch(config)# errdisable recovery cause psecure-violation

Switch(config)# errdisable recovery interval 30

# show errdisable recovery

O valor default para errdisable recovery é de 300 segundos