La funzione di sicurezza delle porte può essere utilizzata con indirizzi MAC statici e appresi in modo dinamico per limitare il traffico in entrata su una porta, in quanto limita gli indirizzi MAC a cui è consentito inviare il traffico sulla porta. Quando un indirizzo MAC sicuro viene assegnato a una porta protetta, la porta non inoltra il traffico in entrata per quelli con indirizzi MAC di origine non simili agli indirizzi definiti.
Lo scopo di questo documento è spiegare la configurazione della sicurezza delle porte sugli switch serie Sx500.
· Switch Stack Serie Sx500
· v1.2.7.76
Passaggio 1. Accedere all'utility di configurazione Web e scegliere Sicurezza > Sicurezza porta. Viene visualizzata la pagina Port Security:
Passaggio 2. Dal filtro: Nell'elenco a discesa Interface Type (Tipo di interfaccia), selezionare il tipo di interfaccia su cui è previsto il pacchetto.
Passaggio 3. Fare clic su Go per visualizzare lo stato delle interfacce.
Passaggio 4. Fare clic sull'interfaccia da modificare e fare clic su Modifica. Viene visualizzata la finestra Edit Port Security Interface Settings.
Passaggio 5. (Facoltativo) Per modificare l'interfaccia configurata, fare clic sul pulsante di opzione desiderato nel campo Interfaccia e scegliere l'interfaccia desiderata dall'elenco a discesa.
· Unità/Slot: dagli elenchi a discesa Unità/Slot scegliere l'Unità/Slot appropriato. L'unità identifica se lo switch è attivo o è un membro dello stack. Lo slot identifica lo switch collegato a quale slot (lo slot 1 è SF500 e lo slot 2 è SG500). Se non conosci i termini usati, controlla Cisco Business: glossario dei nuovi termini.
· Porta: dall'elenco a discesa Porta, scegliere la porta appropriata da configurare.
· LAG - Scegliere il LAG dall'elenco a discesa LAG. Un LAG (Link Aggregate Group) viene utilizzato per collegare più porte. I LAG moltiplicano la larghezza di banda, aumentano la flessibilità delle porte e forniscono ridondanza dei collegamenti tra due dispositivi per ottimizzare l'utilizzo delle porte
Passaggio 6. (Facoltativo) Per bloccare la porta immediatamente e non conoscere nuovi indirizzi MAC, selezionare Lock nel campo Interface Status (Stato interfaccia).
Timesaver: Se l'opzione Blocca è selezionata, andare al passaggio 9.
Passaggio 7. Fare clic sul pulsante di opzione corrispondente al tipo di blocco della porta desiderato nel campo Modalità di apprendimento. Ci sono quattro opzioni.
· Classic Lock: blocca la porta immediatamente senza tenere conto del numero di indirizzi che sono già stati appresi. La porta non rileva nuovi indirizzi MAC. Gli indirizzi appresi non possono essere riappresi né sottoposti ad aging.
· Blocco dinamico limitato: blocca la porta, rimuove gli attuali indirizzi MAC dinamici relativi alla porta, quindi la porta apprende gli indirizzi fino al limite massimo. La porta può essere riappresa e invecchiata.
· Secure Permanent: l'indirizzo MAC dinamico corrente relativo alla porta viene mantenuto e viene individuato il numero massimo di indirizzi consentiti sulla porta. È impostato dal campo N. massimo di indirizzi consentiti. Riapprendimento e invecchiamento sono abilitati.
· Secure Delete on Reset - Una volta reimpostata la porta, elimina l'indirizzo MAC dinamico corrente. Gli indirizzi MAC possono essere appresi in base al numero di indirizzi consentiti sulla porta. È impostato dal campo N. massimo di indirizzi consentiti. L'apprendimento e l'invecchiamento sono disabilitati.
Passaggio 8. Se Blocco classico non è selezionato nel Passaggio 7, immettere il numero massimo di indirizzi MAC che è possibile apprendere su una porta se si fa clic sulla modalità di apprendimento Blocco dinamico limitato. Il numero 0 indica che l'interfaccia supporta solo indirizzi statici.
Passaggio 9. Se nel Passaggio 6 è selezionato Blocco, fare clic su un pulsante di opzione nel campo Azione su violazione per scegliere l'azione da eseguire sui pacchetti ricevuti sulla porta bloccata.
· Discard - Elimina i pacchetti da qualsiasi origine non appresa.
· Forward: inoltra i pacchetti da un'origine sconosciuta senza conoscere l'indirizzo MAC.
· Shutdown — scarta i pacchetti da qualsiasi origine non appresa e la porta viene chiusa. Questa porta rimane chiusa finché non viene riattivata o finché lo switch non viene riavviato.
Passaggio 10. (Facoltativo) Per abilitare i trap quando una porta bloccata riceve un pacchetto, selezionare Enable nel campo Trap. È applicabile alle violazioni di blocco. In caso di blocco classico, si tratta di un nuovo indirizzo ricevuto. In caso di blocco dinamico limitato, si tratta di un nuovo indirizzo che supera il numero di indirizzi consentiti.
Timesaver: Se l'opzione Abilita non è selezionata al punto 10, andare al punto 12.
Passaggio 11. Immettere il tempo minimo, in secondi, che deve trascorrere tra le trap nel campo Frequenza trap.
Passaggio 12. Fare clic su Apply (Applica) per applicare le impostazioni.
Passaggio 1. Selezionare l'interfaccia da modificare e fare clic su Copia impostazioni. Viene visualizzata la finestra Copia impostazioni.
Passaggio 2. Inserire le interfacce o gli intervalli di interfacce su cui copiare la configurazione nell'apposito campo.
Passaggio 3. Fare clic su Apply (Applica) per modificare la sicurezza della porta e aggiornare il file di configurazione in esecuzione.