- Feature que controla la cantidad de direcciones MAC por puerto
- Se puede configurar el máximo número de direcciones MAC por puerto (por defecto es 1)
- Se puede configurar diversas formas de aprender las direcciones MAC por puerto:
- Estático: Ingresando las direcciones MAC
- Dynamic: La interfaz aprende las direcciones MAC hasta llegar al valor máximo permitido. Se puede agregar el comando sticky para que se agreguen al archivo de configuración.
- Existen varios métodos de violación:
- Shutdown: La interfaz se pone en errdisable (Default)
- Restrict: Los paquetes de las direcciones MAC que exceden el número máximo no son procesados. Se envía un mensaje SNMP y syslog
- Protect: Los paquetes de las direcciones MAC que exceden el número máximo no son procesados pero no envía mensajes snmp y syslog.
Habilitar port-security en el puerto:
Switch(config-if)# switchport port-security
Especificar número máximo de drecciones MAC que se pueden aprender por puerto
Switch(config-if)# switchport port-security maximum max-addr
Para que las direcciones aprendidas sean persistentes durante el reinicio de un switch, puede habilitar el aprendizaje de direcciones MAC "sticky" con el siguiente comando:
Switch(config-if)# switchport port-security mac-address sticky
Definir una dirección MAC estática
Switch(config-if)# switchport port-security mac-address mac-addr
Definir cómo debe reaccionar cada interfaz que usa port-security si una dirección MAC viola dicha seguridad:
Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}
Ejemplo:
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5
Switch(config-if)# switchport port-seecurity mac-address sticky
Switch(config-if)# switchport port-seecurity violation restrict
Comandos debug
Switch# show port-security
Switch# show port-security interface fa0/1
Switch# show interface status err-disabled
Para quitar el estado err-disable es necesario apagar y volver a encender la interfaz (shut/no shut).
