kmgmt-2879-cbs-220-configure-port-security
Objetivo
Este artigo explica suas opções de segurança de porta no switch Cisco Business 220 Series.
Dispositivos aplicáveis | Versão do firmware
Introdução
A segurança da rede pode ser aumentada limitando o acesso em uma porta para usuários com endereços MAC específicos. Os endereços MAC podem ser aprendidos dinamicamente ou configurados estaticamente. Os monitores de segurança de porta receberam e aprenderam pacotes. O acesso às portas bloqueadas é limitado a usuários com endereços MAC específicos.
A segurança de porta não pode ser habilitada em portas nas quais 802.1X está habilitado ou em portas que estão definidas como destino de SPAN.
A segurança de porta tem dois modos:
- Bloqueio Clássico — Todos os endereços MAC aprendidos na porta são bloqueados, e a porta não aprende nenhum endereço MAC novo. Os endereços aprendidos não estão sujeitos a envelhecimento ou reaprendizado.
- Bloqueio dinâmico limitado — O dispositivo aprende endereços MAC até o limite configurado de endereços permitidos. Depois que o limite é atingido, o dispositivo não aprende endereços adicionais. Nesse modo, os endereços estão sujeitos a envelhecimento e reaprendizado.
Quando um quadro de um novo endereço MAC é detectado em uma porta onde não está autorizado (a porta é bloqueada classicamente e há um novo endereço MAC, ou a porta é bloqueada dinamicamente e o número máximo de endereços permitidos foi excedido), o mecanismo de proteção é chamado e uma das seguintes ações pode ocorrer:
- O quadro é descartado.
- O quadro é encaminhado.
- O quadro é descartado e uma mensagem de SYSLOG é gerada.
- A porta está desativada.
Quando o endereço MAC seguro é visto em outra porta, o quadro é encaminhado, mas o endereço MAC não é aprendido nessa porta.
Além de uma dessas ações, você também pode gerar traps e limitar sua frequência e número para evitar sobrecarregar os dispositivos.
Passo 1
Faça login na Interface de usuário da Web (IU).
Passo 2
No menu à esquerda, selecione Security > Port Security.
Etapa 3
Selecione uma interface a ser modificada e clique no ícone de edição.
Passo 4
Informe os parâmetros.
- Interface — Selecione o nome da interface.
- Status administrativo—Selecione para bloquear a porta.
- Modo de aprendizagem—Selecione o tipo de bloqueio de porta. Para configurar esse campo, o Status da interface deve ser desbloqueado. O campo Modo de aprendizagem ficará ativado apenas se o campo Status da interface estiver bloqueado. Para alterar o Modo de aprendizado, a Interface de bloqueio deve ser desmarcada. Depois que o modo é alterado, a Interface de bloqueio pode ser restabelecida. As opções são:
- Bloqueio clássico — Bloqueia a porta imediatamente, independentemente do número de endereços que já foram aprendidos.
- Bloqueio dinâmico limitado — Bloqueia a porta excluindo os endereços MAC dinâmicos atuais associados à porta. A porta aprende até o máximo de endereços permitidos na porta. Tanto o reaprendizado quanto o envelhecimento dos endereços MAC estão habilitados.
- Número máximo de endereços permitidos — Insira o número máximo de endereços MAC que podem ser aprendidos na porta se o modo de aprendizagem Bloqueio dinâmico limitado estiver selecionado. O número 0 indica que somente endereços estáticos são suportados na interface.
- Ação em caso de violação — Selecione uma ação a ser aplicada aos pacotes que chegam em uma porta bloqueada. As opções são:
- Discard — Descarta pacotes de qualquer origem não aprendida ·
- Forward — Encaminha pacotes de uma origem desconhecida sem aprender o endereço MAC
- Descartar e registrar — Descarta pacotes de qualquer origem não aprendida, desliga a interface, registra os eventos e envia interceptações para os receptores de interceptação especificados Desligar — Descarta pacotes de qualquer origem não aprendida e desliga a porta. A porta permanece desativada até ser reativada ou até que o dispositivo seja reinicializado.
- Frequência de interceptação — Insira o tempo mínimo (em segundos) decorrido entre as interceptações
Clique em Apply.
Se você quiser ver um exemplo do comportamento padrão para segurança de porta em seu CBS220, confira
Port Security Behavior.
Conclusão
É tão simples quanto isso. Aproveite sua rede segura!
Para obter mais configurações, consulte o Guia de Administração de Switches Cisco Business 220 Series.
Se você quiser ver outros artigos, confira a página de suporte do switch Cisco Business 220 Series.
Histórico de revisões
Revisão |
Data de publicação |
Comentários |
1.0 |
11-Jun-2021 |
Versão inicial |