Configuração da segurança de porta em switches empilháveis Sx500 Series

Objetivo

A segurança de porta pode ser usada com endereços MAC estáticos e aprendidos dinamicamente para limitar o tráfego de entrada de uma porta, pois limita os endereços MAC que podem enviar tráfego à porta. Quando um endereço MAC seguro é atribuído a uma porta segura, a porta não encaminha o tráfego de entrada para aqueles que têm endereços MAC de origem que não são semelhantes aos endereços definidos.

O objetivo deste documento é explicar a configuração da segurança de porta em Switches Sx500 Series.

Dispositivos aplicáveis

Switches Empilháveis Sx500 Series

Versão de software

•v1.2.7.76

Configuração da segurança de porta

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > Port Security. A página Segurança de porta é aberta:

Etapa 2. No filtro: Lista suspensa Tipo de interface, escolha o tipo de interface na qual o pacote é esperado.

Etapa 3. Clique em Ir, que exibe o status das interfaces.

Etapa 4. Clique na interface a ser modificada e clique em Editar. A janela Edit Port Security Interface Settings é exibida.

Etapa 5. (Opcional) Para alterar a interface configurada, clique no botão de opção desejado no campo Interface e escolha a interface desejada na lista suspensa.

Unidade/Slot — Nas listas suspensas Unidade/Slot, escolha a Unidade/Slot apropriada. A unidade identifica se o switch está ativo ou um membro na pilha. O slot identifica qual switch está conectado a qual slot (o slot 1 é SF500 e o slot 2 é SG500). Se você não está familiarizado com os termos usados, confira o Cisco Business: Glossário de Novos Termos.

  Porta — Na lista suspensa Porta, escolha a porta apropriada para configurar. 

LAG — Escolha o LAG na lista suspensa LAG. Um LAG (Link Aggregate Group) é usado para vincular várias portas. Os LAGs multiplicam a largura de banda, aumentam a flexibilidade da porta e fornecem redundância de link entre dois dispositivos para otimizar o uso da porta

Etapa 6. (Opcional) Para bloquear a porta imediatamente e não aprender nenhum novo endereço MAC, marque Bloquear no campo Status da interface.

Proteção de tempo: Se a opção Bloquear estiver marcada, vá para a Etapa 9.

Passo 7. Clique no botão de opção que corresponde ao tipo desejado de bloqueio de porta necessário no campo Modo de aprendizado. Há quatro opções.

Classic Lock — Bloqueia a porta instantaneamente sem considerar o número de endereços que já foram aprendidos. A porta não aprende nenhum novo endereço MAC. Os endereços aprendidos não podem ser reaprendidos ou envelhecidos.

Bloqueio dinâmico limitado — Bloqueia a porta, remove os endereços MAC dinâmicos atuais relacionados à porta e, em seguida, a porta aprende endereços até o limite máximo. A porta pode ser reaprendida e envelhecida.

Secure Permanent — O endereço MAC dinâmico atual relacionado à porta é mantido e ele aprende o número máximo de endereços permitidos na porta. Isso é definido pelo campo Número máximo de endereço permitido. A liberação e o vencimento estão ativados.

Secure Delete on Reset — Quando a porta é redefinida, ela exclui o endereço MAC dinâmico atual. Os endereços MAC podem ser aprendidos com base no número de endereços permitidos na porta. Isso é definido pelo campo Número máximo de endereço permitido. A liberação e o vencimento estão desativados.

Etapa 8. Se o Classic Lock não for clicado na Etapa 7, insira o número máximo de endereços MAC que podem ser aprendidos em uma porta se o modo Limited Dynamic Lock Learning for clicado. O número 0 indica que somente endereços estáticos são suportados na interface.

Etapa 9. Se a opção Bloquear estiver marcada na Etapa 6, clique em um botão de opção no campo Ação sobre violação para escolher a ação a ser executada nos pacotes recebidos na porta bloqueada. 

Descartar — Descarta pacotes de qualquer fonte não aprendida.

Forward — Encaminha pacotes de uma origem desconhecida sem saber o endereço MAC.

Desligamento - Descarta pacotes de qualquer fonte não aprendida e a porta é desligada. Essa porta é mantida desligada até ser reativada ou até que o switch seja reinicializado.

Etapa 10. (Opcional) Para ativar as armadilhas quando uma porta bloqueada recebe um pacote, marque Enable (Habilitar) no campo Trap. É aplicável para violações de bloqueio. No caso do Classic Lock, este é qualquer novo endereço recebido. No caso de bloqueio dinâmico limitado, este é qualquer novo endereço que excede o número de endereços permitidos.

Proteção de tempo: Se Enable não estiver marcado na Etapa 10, vá para a Etapa 12.

Etapa 11. Insira o tempo mínimo, em segundos, que passa entre as armadilhas no campo Frequência de interceptação.

Etapa 12. Clique em Apply para aplicar as configurações.

Copiar configurações

Etapa 1. Clique na Interface a ser modificada e clique em Copiar configurações. A janela Copiar configurações é exibida.

Etapa 2. Insira a(s) interface(s) ou intervalo(s) de interfaces para as quais a configuração precisa ser copiada no campo fornecido.

Etapa 3. Clique em Apply para modificar a segurança da porta e atualizar o arquivo de configuração atual.