• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Port security

Collapse
X
Collapse
 
  • Page of 2
  • Filter
  • Time
  • Show
Clear All
new posts
Previous 1 2 template Next
  • #1

    Port security

    Hi folks

    Tôi đang sử dụng con 2950, nếu port bi shutdown do violation, xin hỏi có cách nào làm cho port tự động up sau 1 khoảng thời gian quy định khổng

    thanks
    Thương Nhất Là Mẹ,
    Hận Nhất Là Thời Gian.
    Tags: None
  • #2
    chào homeless

    có thể điều chỉnh các thông số timeout của lệnh errdisable. Tiếc rằng lệnh errdisable timeout không rõ có hỗ trợ trên Catalyst 2950.

    Recovering From errDisable Port State on the CatOS Platforms
    http://www.cisco.com/en/US/tech/tk389/tk214/technologies_tech_note09186a0080093dcb.shtml
    Customers often contact the Cisco Technical Support when they notice one or more of their switch ports have become error-disabled; that is, the ports have a status of errDisable. They want to know why this happened and how the ports can be restored to normal. This document describes what the errDisable state is, how to recover from it, and provides two examples of recovering from errDisable. Throughout this document, the terms errDisable and error-disable are used interchangeably. (errDisable is the status of a port as shown by the show port command, error-disable or error-disabled are the English language equivalents of errDisable.)

    Comment

    • #3
      Bạn có thể cấu hình 1 port tự động shutdown khi có 1 violation xảy ra bằng lệnh:
      errdisable detect cause <cause>
      Còn nếu muốn phục hồi sau khi port bị shut thì sử dụng lệnh:
      errdisable recovery interval <sec>
      errdisable recovery cause <cause>

      ...
      And we are all connected to each other
      In a circle, in a hoop that never ends
      ...

      Comment

      • #4
        RE: Port security

        Hướng dẫn thực hành Port security

        I. Mục đích của bài lab
        Giúp người thực hành hiểu được chức năng của port security

        II. Sơ đồ và yêu cầu cấu hình
        Yêu cầu : Bạn cần có 1 Switch 2950, 2 host
        Sơ đồ: xem hình ở file đính kèm

        III. Cấu hình

        1. Cấu hình port security
        Bước 1: Tiến hành nối dây như sơ đồ .Khởi động Switch.
        Bước 2:
        Bước 2-1:

        Switch>enable
        Switch#conf t
        Switch(config)#interface f0/1

        Bước 2-2: Đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security

        Switch(config-if)#switchport mode access

        Bước 2-3: Khởi động port security

        Switch(config-if)#switchport port-security

        Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi.

        Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay đổi là 1, đây là thông số mặc định và do đó không cần phải cấu hình lệnh này cho switch

        Bước 2-5: Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với động tác này khi host có địa chỉ MAC tương ứng sẽ được hoạt động bình thường khi kết nối vào switch trên interface này. Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có sự chuyển tiếp gói tin trên port này.

        Switch(config-if)#switchport port-security mac-address mac-address

        Chú ý :
        Định dạng về địa chỉ MAC trong câu lệnh trên là:AAAA.BBBB.CCCC
        Địa chỉ này phải giống với địa chỉ của host cần được bảo mật.
        * Đối với host là PC, để tìm địa chỉ MAC này làm như sau:
        -Mở DOS command bằng cách vào Start\Run rồi gõ lệnh cmd
        -Trong giao diện DOS này gõ lệnh C:\>ipconfig /all. Màn hình sẽ hiện ra các thông số về địa chỉ MAC của card mạng.

        · Đối với host là Router, để tìm địa chỉ host:
        - Kết nối cổng console máy tính với router
        - Dùng lênh show version để tìm địa chỉ MAC

        Cấu hình cho Switch:

        Switch(config-if)#switchport port-security mac-address 00e0.4d01.2978

        Bước 2-6: Chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai:


        Trong bài lab này sẽ chỉ định trạng thái port là shut down.

        Switch(config-if)#switchport port-security violation shutdown

        Đến đây bạn đã hoàn tất phần cấu hình port security. Bước tiếp theo sẽ là thử nghiệm.
        Bước 3: Cấu hình lệnh debug để quan sát sự thay đổi:

        Switch#debug port-security

        Bước 4: Sử dụng một host khác để thay thể cho host ban đầu. Kiểm tra địa chỉ MAC của host mới :

        Host mới có địa chỉ MAC là 0006.7b08.cab5
        Bước 4: Tiến hành rút cáp ra khỏi host và cắm vào host đã chuẩn bị ở bước trước đó. Quan sát:
        + Đèn trên port f0/1 sẽ bị tắt
        + Thông báo trên giao diện đèn LED của switch

        Bước 5: Dùng lệnh show để xem trạng thái của port f0/1

        Lúc này mọi nỗ lực để tiến hành gửi thông tin trên port 1 đều vô ích!!!


        Khôi phục port về trạng thái bình thường

        Để khôi phục lại port thì bạn phải can thiệp vào switch.

        Bước 1: Nối cổng console vào switch

        Switch>enable
        Switch#conf t

        Bước 2: Có hai cách để khôi phục port
        · Cách 1: khôi phục nhân công, bạn sẽ thực hiện trực tiếp quá trình khôi phục này.

        Switch(config)#interface f0/1
        Switch(config-if)#shutdown
        Switch(config-if)#no shutdown

        Thông báo trên màn hình khi thực hiện xong lệnh

        Quá trình trên giống như bạn cho phép port hoạt động lại bình thường, tuy nhiên cần chú ý rằng các cấu hình trước đó cho port này vẫn không thay đổi, kể cả port-security.
        · Cách 2: khôi phục tự động, thiết lập lệnh để switch tự động dò tìm lỗi và khôi phục.
        Với cách này giả sử như bạn không hề biết nguyên nhân vì sao port bị down.
        Bước 2-1: Tiến hành tìm lỗi trên port

        Trong bài lab này sẽ cho switch tìm tất cả các lỗi:

        Switch(config)#errdisable detect cause all

        Bước 2-2: cho switch khôi phục trạng thái

        Switch(config)#errdisable recorvery cause all

        Bước 2-3: cài đặt thông số thời gian cho quá trình khôi phục. Mặc định port sẽ được khôi phục sau 300 giây khi bạn đã thực hiện lệnh ở bước 2-2. Tuy nhiên bạn có thể can thiệp vào thông số thời gian này bằng cách dùng lệnh:

        Switch(config-if)#errdisable recorvery second

        Thông số thời gian second có đơn vị là giây bạn cần phải chú ý điều này để tránh nhầm lẫn.
        Bây giờ bạn cài đặt thông số thời gian khôi phục cho switch là 30 giây

        Switch(config-if)#errdisable recorvery 30
        Switch(config-if)#^Z

        Bước 2-4: Quan sát
        + Quan sát đèn trên port f0/1 của switch : sau 30 giây sẽ sáng lại
        + Quan sát trên giao diện:
        - Quan sát thông số thời gian do lệnh debug tạo ra.

        - Dùng lệnh :
        Switch#show interface f0/1


        Đánh giá
        Đến đây bạn đã có một khái niệm cơ bản và thao tác cấu hình tương đối về port security. Bạn có thể thay đổi các thông số trong các câu lệnh để tìm hiểu rõ các đặc tính của chúng.


        Người thực hiện : Lê Quảng Hà (PTIT)
        Nguồn: chuyenviet.com
        Email : vnpro@vnpro.org
        ---------------------------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org      		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment

      • #5
        Lab 5-1: Port security

        Lab 5-1: Port security

        Sơ đồ và yêu cầu cấu hình



        Cấu hình

        Cấu hình port security

        Bước 1: Tiến hành nối dây như sơ đồ. Khởi động Switch.

        Bước 2:

        Bước 2-1:

        Switch>enable
        Switch#conf t
        Switch(config)#interface f0/1

        Bước 2-2: Đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security
        Switch(config-if)#switchport mode access

        Bước 2-3: Khởi động port security
        Switch(config-if)#switchport port-security

        Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi. Đây là thông số chỉ định số lần tối đa mà port vẫn còn chấp nhận sự thay đổi địa chỉ MAC. “Thay đổi địa chỉ MAC” có nghĩa là bạn đã thay đổi một host khác trong kết nối với Switch. Gọi số lần được phép thay đổi này là k, gọi số lần bạn đã thay đổi địa chỉ MAC là n. Port sẽ vẫn cho phép hoạt động nếu như n≤k và một điều quan trọng nữa là phải kết nối địa chỉ MAC ban đầu vào lại port. Số lần được thay đổi tối thiểu là 1 và tối đa là 1024, và mặc định là 1. Ví dụ nếu chỉ định số lần là 3:

        Switch(config-if)#switchport port-security maximum maximum
        Bạn được phép thay đổi địa chỉ MAC tối đa là 3 lần. Cần chú ý là mặc dù cho phép thay đổi nhưng không có nghĩa là port vẫn hoạt động bình thường khi địa chỉ MAC bị sai. Khi địa chỉ MAC không đúng port sẽ chuyển sang trạng thái lỗi. Tuy nhiên nếu bạn kết nối địa chỉ MAC ban đầu vào lại trong lúc này thi port sẽ hoạt động bình thường trở lại.Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay đổi là 1. Đây là thông số mặc định và do đó không cần phải cấu hình lệnh này cho switch

        Bước 2-5: Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với động tác này host có địa chỉ MAC tương ứng gắn vào switch sẽ được hoạt động bình thường trên interface này. Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có sự chuyển tiếp gói tin trên port này.
        Switch(config-if)#switchport port-security mac-address mac-address
        Định dạng về địa chỉ MAC trong câu lệnh trên là:AAAA.BBBB.CCCC. Địa chỉ này phải giống với địa chỉ của host cần được bảo mật. Đối với host là PC, để tìm địa chỉ MAC, mở DOS command bằng cách vào Start\Run rồi gõ lệnh cmd. Trong giao diện DOS này gõ lệnh C:\>ipconfig /all. Màn hình sẽ hiện ra các thông số về địa chỉ MAC của card mạng.

        Đối với host là Router, để tìm địa chỉ host:
        -Kết nối cổng console máy tính với router
        -Dùng lênh show version để tìm địa chỉ MAC
        Cấu hình cho Switch:
        Switch(config-if)#switchport port-security mac-address 00e0.4d01.2978

        Bước 2-6: Chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai:
        Cấu trúc lệnh :
        Switch(config-if)#switchport port-security violation [shutdown | restrict |protect]
        shutdown: port sẽ được đưa vào trạng thái lỗi và bị shutdown
        restrict: port sẽ vẫn ở trạng thái up mặc dù địa chỉ MAC kết nối bị sai. Tuy nhiên các gói tin đến port này đều bị hủy, và sẽ có một bản thông báo về số lượng gói tin bị hủy.
        protect: port vẫn up như restrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin này
        Trong bài lab này sẽ chỉ định trạng thái port là shut down.
        Switch(config-if)#switchport port-security violation shutdown
        Đến đây bạn đã hoàn tất phần cấu hình port security. Bước tiếp theo sẽ là thử nghiệm.

        Bước 3: Cấu hình lệnh debug để quan sát sự thay đổi:
        Switch#debug port-security

        Bước 4: Sử dụng một host khác để thay thể cho host ban đầu. Kiểm tra địa chỉ MAC của host mới :

        Host mới có địa chỉ MAC là 0006.7b08.cab5

        Bước 4: Tiến hành rút cáp ra khỏi host và cắm vào host đã chuẩn bị ở bước

        3. Quan sát:
        + Đèn trên port f0/1 sẽ bị tắt
        + Thông báo trên giao diện
        00:22:24: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
        00:22:24: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0006.7b08.cab5 on port FastEthernet0/1.
        00:22:25: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
        00:22:26: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

        Bước 5: Dùng lệnh show để xem trạng thái của port f0/1
        Switch#show interface f0/1
        FastEthernet0/1 is down, line protocol is down (err-disabled)
        Hardware is Fast Ethernet, address is 000f.239d.c641 (bia 000f.239d.c641)
        MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
        reliability 255/255, txload 1/255, rxload 1/255
        Encapsulation ARPA, loopback not set
        Keepalive set (10 sec)
        Full-duplex, 10Mb/s

        Lúc này mọi nỗ lực để tiến hành gửi thông tin trên port 1 đều vô ích!!!
        Khôi phục port về trạng thái bình thường

        Để khôi phục lại port thì bạn phải can thiệp vào switch.

        Bước 1: Nối cổng console vào switch
        Switch>enable
        Switch#conf t

        Bước 2: Có hai cách để khôi phục port

        Cách 1: khôi phục thủ công, bạn sẽ thực hiện trực tiếp quá trình khôi phục này.
        Switch(config)#interface f0/1
        Switch(config-if)#shutdown
        Switch(config-if)#no shutdown
        Thông báo trên màn hình khi thực hiện xong lệnh
        00:17:58: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
        00:18:00: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
        00:18:01: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
        Quá trình trên giống như bạn cho phép port hoạt động lại bình thường. Tuy nhiên cần chú ý rằng các cấu hình trước đó cho port này vẫn không thay đổi, kể cả port-security.

        Cách 2: khôi phục tự động, thiết lập lệnh để switch tự động dò tìm lỗi và khôi phục. Với cách này giả sử như bạn không hề biết nguyên nhân vì sao port bị down.

        Bước 2-1: Tiến hành tìm lỗi trên port
        Switch(config)#errdisable detect cause [all | cause-name ]
        + all có nghĩa là tìm tất cả các lỗi xảy ra
        + cause-name : chỉ tìm lỗi có tên là cause-name, gồm có:
        all Enable error detection on all cases
        dhcp-rate-limit Enable error detection on dhcp-rate-limit
        dtp-flap Enable error detection on dtp-flapping
        gbic-invalid Enable error detection on gbic-invalid
        link-flap Enable error detection on linkstate-flapping
        loopback Enable error detection on loopback
        pagp-flap Enable error detection on pagp-flapping
        Trong bài lab này sẽ cho switch tìm tất cả các lỗi:
        Switch(config)#errdisable detect cause all

        Bước 2-2: cho switch khôi phục trạng thái
        Switch(config)#errdisable recorvery cause all

        Bước 2-3: cài đặt thông số thời gian cho quá trình khôi phục. Mặc định port sẽ được khôi phục sau 300 giây khi bạn đã thực hiện lệnh ở bước 2-2. Tuy nhiên bạn có thể can thiệp vào thông số thời gian này bằng cách dùng lệnh:
        Switch(config-if)#errdisable recorvery second
        Thông số thời gian second có đơn vị là giây bạn cần phải chú ý điều này để tránh nhầm lẫn. Bây giờ bạn cài đặt thông số thời gian khôi phục cho switch là 30 giây
        Switch(config-if)#errdisable recorvery 30

        Bước 2-4: Quan sát
        + Quan sát đèn trên port f0/1 của switch : sau 30 giây sẽ sáng lại
        + Quan sát trên giao diện:
        Quan sát thông số thời gian do lệnh debug tạo ra.
        00:55:54: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/1
        00:55:55: PSECURE: psecure_linkchange: Fa0/1 hwidb=0x807D6C98
        00:55:55: PSECURE: Link is coming up
        00:55:55: PSECURE: psecure_linkup_init_internal: Fa0/1 hwidb = 0x807D6C98
        00:55:55: PSECURE: No change in violation_mode
        00:55:55: PSECURE: psecure_vlan_linkchange invoked: Vlan 1
        00:55:55: PSECURE: Activating port-security feature
        00:55:55: PSECURE: port_activate: status is 1
        00:55:55: PSECURE:
        PSECURE: Deleting all dynamic addresses from h/w tables.
        00:55:55: PSECURE: psecure_platform_delete_all_addrs: deleting all addresses on vlan 1
        00:55:55: PSECURE: psecure_delete_address_not_ok address <1,00e0.4d01.2978> allowed
        00:55:55: PSECURE: skipping Fa0/1 while searching <1,00e0.4d01.2978>
        00:55:55: PSECURE: Adding entry to HA table from port-security sub block
        00:55:55: PSECURE: psecure_platform_add_mac_addrs: Do nothing, called to add <1,00e0.4d01.2978> to FastEthernet0/1
        00:55:57: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
        00:55:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
        Email : vnpro@vnpro.org
        ---------------------------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org        		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment

        • #6
          thanks admin nhiều, bài viết rất rõ ràng, đầy đủ!
          1'hpSky!

          Comment

          • #7
            Re: Lab 5-1: Port security

            Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi. Đây là thông số chỉ định số lần tối đa mà port vẫn còn chấp nhận sự thay đổi địa chỉ MAC. “Thay đổi địa chỉ MAC” có nghĩa là bạn đã thay đổi một host khác trong kết nối với Switch. Gọi số lần được phép thay đổi này là k, gọi số lần bạn đã thay đổi địa chỉ MAC là n. Port sẽ vẫn cho phép hoạt động nếu như n≤k và một điều quan trọng nữa là phải kết nối địa chỉ MAC ban đầu vào lại port. Số lần được thay đổi tối thiểu là 1 và tối đa là 1024, và mặc định là 1. Ví dụ nếu chỉ định số lần là 3:

            Switch(config-if)#switchport port-security maximum maximum
            Bạn được phép thay đổi địa chỉ MAC tối đa là 3 lần. Cần chú ý là mặc dù cho phép thay đổi nhưng không có nghĩa là port vẫn hoạt động bình thường khi địa chỉ MAC bị sai. Khi địa chỉ MAC không đúng port sẽ chuyển sang trạng thái lỗi. Tuy nhiên nếu bạn kết nối địa chỉ MAC ban đầu vào lại trong lúc này thi port sẽ hoạt động bình thường trở lại.Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay đổi là 1. Đây là thông số mặc định và do đó không cần phải cấu hình lệnh này cho switch



            ----------------

            Sach KNet BCMSN 2.1 viêt:
            Sw(config-if): switchport port-security maximum value
            The maximum value option allows the network administrator to define the maximum number of MAC addresses that can be supported by this port. The maximum number can range from 1 to 132. The default value is 132. The violation option specifies what action to take when a violation occurs:
            protect: When the number of secure MAC addresses reaches the maximum limit allowed on the port, packets with unknown source addresses are dropped until you remove a sufficient number of secure MAC addresses to drop below the maximum value.

            ----------------
            Tôi kô sure lắm, vậy ở đây giá trị maximum là số lần thay đổi d/c MAC hay là số tối đa d/c MAC dc chấp nhận bởi cổng port sẻcurity. Và giá trị maximum này là bao nhiệu Hình như giá trị 1 - 1024 là defaul của Cat4000 thôi chứ:
            url: http://www.cisco.com/en/US/products/...08019d0de.html


            Mong nhận được hồi âm

            Comment

            • #8
              RE: Port security

              Hi, trong bài viết của Admin, tôi có phần ko sure lắm.

              Câu lệnh: Sw(config-if):switchport port-security maximum value violation protect.

              Theo tôi, giá trị maximum là giá trị tối đa số đ/c MAC mà port này có thể hỗ trợ. Số d/c này được thiết lập bằng static, số còn lại là dynamic. Trong trường hợp d/c MAC ko có trong dãy được port hỗ trợ, nó vẫn được chấp nhận nếu số d/c chấp nhận chưa tới giá trị max.
              Option này thể hiện khả năng đáp ứng của port với nhiều cổng, chứ ko phải chấp nhận số lần ko phù hợc MAC của port.

              Tôi tham khảo ở d/c sau:

              Products, Solutions, and Services
              http://www.cisco.com/en/US/products/hw/switches/ps4324/products_configuration_guide_chapter09186a008019d0de.html
              Cisco offers a wide range of products and networking solutions designed for enterprises and small businesses across a variety of industries.


              Ko biết tôi hiểu vậy có chính xác ko, mong nhận được phản hồi.
              Tks

              Comment

              • #9
                thế có sự khác nhau trong cách hiểu của anh nhim àh ? tôi thấy hai cách hiểu đó là 1.
                In VnPro we trust

                Comment

                • #10
                  Hi,

                  Mình thử config sau:
                  switchport mode access
                  switchport port-security
                  switchport port-security maximum 1
                  switchport port-security violation shutdown

                  Thì khi cắm PC khác vào, port không bị shutdown. Nhưng khi thêm vào config trên lệnh sau:
                  switchport port-security mac-address sticky

                  Thi khi thay đổi sang PC khác, port bị shutdown.

                  Các bạn làm ơn giải thích dùm.

                  Thanks

                  Phúc

                  Comment

                  • #11
                    RE: Port security

                    tính năng sticky cho phép cập nhật các MAC học được động sẽ được cập nhật vào running config. Khi switch reload lại, ta không cần chỉ ra địa chỉ MAC tĩnh.

                    "Sticky secure MAC addresses—These are dynamically configured, stored in the address table, and added to the running configuration. If these addresses are saved in the configuration file, when the switch restarts, the interface does not need to dynamically reconfigure them.


                    You can configure an interface to convert the dynamic MAC addresses to sticky secure MAC addresses and to add them to the running configuration by enabling sticky learning. To enable sticky learning, enter the switchport port-security mac-address sticky interface configuration command. When you enter this command, the interface converts all the dynamic secure MAC addresses, including those that were dynamically learned before sticky learning was enabled, to sticky secure MAC addresses. The interface adds all the sticky secure MAC addresses to the running configuration.

                    The sticky secure MAC addresses do not automatically become part of the configuration file, which is the startup configuration used each time the switch restarts. If you save the sticky secure MAC addresses in the configuration file, when the switch restarts, the interface does not need to relearn these addresses. If you do not save the sticky secure addresses, they are lost."
                    Nguyễn Hữu Hòa, CCNA
                    CCNP in progress

                    Comment

                    • #12
                      Như vậy là bắt buộc phải có lệnh switchport port-security mac-address sticky thì mới chạy à? Mình không nghĩ vậy. Nhưng không hiểu tại sao trong config của mình nếu ko có lệnh này thì nó không chạy.

                      Comment

                      • #13
                        RE: Port security

                        Cấu hình của bạn cho biết port này được phép learn tối đa 1 MAC address (cấu hình bởi lệnh switchport port-security maximum 1).

                        Vì trong cấu hình bạn không chỉ rõ static secured MAC address là gì (cấu hình bằng lệnh switchport port-security mac-address mac_address), nên khi thay đổi PC, switch sẽ tự động update bảng MAC address table và thay thế MAC entry tương ứng với port đó bằng MAC address của PC mới (miễn là ở cùng 1 thời điểm chỉ có 1 MAC address là ok).

                        Còn khi bạn có lệnh "switchport port-security mac-address sticky", switch sẽ tự động learn địa chỉ MAC address đầu tiên và xem đây là secured MAC address duy nhất được phép trên port này. Do đó, khi bạn thay đổi PC (chính xác hơn là thay đổi card mạng), switch sẽ so sánh với secured MAC address này và shutdown port vì đây là MAC address hoàn toàn mới.

                        Comment

                        • #14
                          Vậy nếu không có lệnh sticky thì config trên chỉ hoạt động khi cắm 2 pc thông qua hub cùng 1 lúc?

                          Cám ơn 2 bạn

                          Phúc

                          Comment

                          • #15
                            RE: Port security

                            Đúng vậy, với cấu hình của bạn (không có sticky), nếu bạn cắm port đó vào 1 hub/switch và trên hub/switch này cắm từ 2 PCs trở lên, switch sẽ chỉ cho phép PC đầu tiên mà thôi và block tất cả các PCs còn lại.

                            Comment

                              • Previous 1 2 template Next
                              Working...
                              X