Перейти к основному содержимому

Работа с MAC таблицей и Port Security

Таблица MAC-адресов

По-умолчанию коммутатор изучает MAC-адреса устройств, отправляющих данные через его порты. Зачастую требуется отслеживание состояния таблицы МАС-адресов либо изменение поведения по умолчанию. В данном разделе собраны примеры таких операций.

Для добавления в MAC-таблицу статической записи используется команда mac address-table static, где указывается интерфейс и VLAN на который будет зарегистрирован статический МАС-адрес. Опционально указываются ключи для влияния на сброс статической записи:

  • permanent - статическая запись будет сохранена в конфигурации до удаления администратором
  • delete-on-reset - статическая запись будет удалена после перезагрузки
  • delete-on-timeout - статическая запись будет удалена по истечении таймаута.
  • secure - для использования в одноименном режиме функции port security
FPN_FCS_1(config)#mac address-table static 4c:e1:73:42:8b:10 vlan 1 interface GigabitEthernet1/0/1

Просмотреть записи в таблице МАС-адресов можно командой show mac address-table:

FPN_FCS_1#show mac address-table 
Flags: I - Internal usage VLAN
Aging time is 300 sec
    Vlan          Mac Address         Port       Type    
------------ --------------------- ---------- ---------- 
     1         4c:e1:73:42:8b:09    gi1/0/1    dynamic   
     1         4c:e1:73:42:8b:10    gi1/0/1     static   
     1         8c:5d:b2:20:b7:f5       0         self

Для очистки таблицы используется команда clear mac address-table.

Настройка Port Security

Port Security изменяет алгоритм работы с динамическими MAC-адресами, полученные на интерфейсе. Они могут быть сохранены как безопасные MAC-адреса, а так же коммутатор может выполнять заданные действия после того, как количество безопасных MAC-адресов достигает предела или на порт приходит кадр с не безопасного адреса.

Для включения функции на порту необходимо активировать ее командой port security с параметром поведения коммутатора в случае появления кадров от не безопасных МАС-адресов на порту. Доступно 3 варианта поведения коммутатора (по умолчанию выбирается поведение discard):

  • forward - передавать кадры от них но не изучать на порту (они не смогут получить ответ)
  • discard - блокировать трафик от не безопасных устройств
  • discard-shutdown - в случае если на порту появится не безопасный МАС-адрес, порт уйдет в режим административного отключения, данные будут заблокированы
FPN_FCS_1(config-if-range)#int gi 1/0/12
FPN_FCS_1(config-if)#port security discard-shutdown

Так же можно изменить максимальное количество безопасных адресов на порту (по умолчанию - 1):

FPN_FCS_1(config-if)#port security max 1

Так же необходимо задать режим работы порта командой port security mode. Доступны три режима:

  • secure - коммутатор очищает таблицу МАС-адресов на порту, затем изучает МАС-адреса до достижения ограничения (заданного командой port security max). Дальнейшее изучение не происходит, старение (aging) МАС-адресов на порту отключается. Есть два дополнительных ключа в режиме secure: permanent (безопасные адреса сохраняются даже после перезагрузки коммутатора) и delete-on-reset (при перезагрузке изученные адреса удаляются, и после загрузки коммутатор перейдет в режим безопасного изучения).
  • lock - коммутатор не очищает изученные адреса, отключается старение и изучение новых адресов
  • max-address - коммутатор очищает табилцу МАС-адресов на порту, затем переходит в режим ограничения числа МАС-адресов но без отключения их старения и с сохранением воможности изучать новые в пределах заданного количества
FPN_FCS_1(config-if)#port security mode secure permanent

Проверить статус конфигурации порта можно командой show ports security:

FPN_FCS_1#show ports security gi 1/0/12
  Port      status      Learning       Action    Maximum    Trap   Frequency  
--------- ---------- --------------- ---------- --------- -------- ---------- 
gi1/0/12   Enabled   Secure          Discard &      1     Disabled     -      
                     permanent       Shutdown

Количество изученных адресов и их количество командой show ports security addresses:

FPN_FCS_1#show ports security addresses gi 1/0/12
Port     status    Learning         Current     Maximum
-------  --------  ---------------  ----------  ----------
gi1/0/12 Enabled   Secure           1           1
                   permanent

Так же доступен просмотр изученных МАС-адресов на порту:

FPN_FCS_1#show mac address-table secure 
 Vlan       Mac Address         Port           Type         
------ --------------------- ---------- ------------------- 
  1      4c:e1:73:42:8b:09    gi1/0/12       permanent

При появлении на порту кадров от другого МАС-адреса он будет отключен, с соответствующей пометкой в статусе порта:

FPN_FCS_1#show int status 
                                             Flow Link          Back   Mdix
Port     Type         Duplex  Speed Neg      ctrl State       Pressure Mode
-------- ------------ ------  ----- -------- ---- ----------- -------- -------
...
gi1/0/12 1G-Copper      --      --     --     --  Down*          --     --    
...
*: The interface was suspended by the system.

Восстановить работу интерфейса можно командой errdisable recovery reset с указанием интерфейса или типа события блокировки (в нашем примере - по типу блокировки):

FPN_FCS_1#errdisable recovery reset port-security
Команды

Команды работы с таблицей MAC-адресов и Port Security