Документация
Page tree

Versions Compared

Old Version 7

changes.mady.by.user kis-import-docs

Saved on

compared with

New Version Current

changes.mady.by.user kis-import-docs

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • protect - не изучать новые MAC-адреса, отбрасывать пакеты и не записывать событие в Syslog;
  • restrict - не изучать новые MAC-адреса, отбрасывать пакеты, посылать SNMP-трап и записывать событие в Syslog;
  • shutdown - отключать интерфейс, посылать SNMP-трап и записывать событие в Syslog (по умолчанию).


Info
titleВажно!

Параметр maximum влияет на изучение MAC-адресов методами Dynamic и Sticky.На некоторых коммутаторах требуется включить 'mac-address-learning cpu-control' - об этом вы увидите соответсвующее предупреждение:

Mac learning is not in cpu-control mode, please enable it to make port-security work well!


Настроим порт коммутатора  e1/0/1 таким образом, что максимальное количество MAC-адресов будет равняться двум, а также будет создана статическая запись. Действие при превышении количества адресов - restrict:

Code Block
languagecoldfusion
(config)#int e1/0/1
(config-if-ethernet1/0/1)#switchport port-security 
(config-if-ethernet1/0/1)#switchport port-security maximum 2
(config-if-ethernet1/0/1)#switchport port-security violation protect 
(config-if-ethernet1/0/1)#switchport port-security mac-address f0-de-f1-19-d5-eb
(config-if-ethernet1/0/1)#exit


Info
titleВажно!

На моделях SNR-S2995, SNR-S2989 и SNR-S3850 команда «switchport port-security maximum ...» ограничивает суммарное число dynamic + static MAC-адресов (здесь и далее под static MAC-адресами подразумеваются адреса, заданные командой «switchport port-security mac-address <Static protected MAC-address>»).
На моделях SNR-S225Gi-8T-POE, SNR-S2962, SNR-S2965, SNR-S2982 и SNR-S2985 команда «switchport port-security maximum ...» ограничивает только число dynamic MAC-адресов, число static MAC-адресов определяется только самими записями о статических MAC-адресах («switchport port-security mac-address ...»).

Поэтому, — как пример, — если вы хотите на SNR-S2995G разрешить один статический MAC-адрес и запретить любые dynamic MAC-дреса, то вам необходимо установить число разрешённых MAC-адресов 1 («switchport port-security maximum 1» - значение по умолчанию) и установить сам статический MAC-адрес («switchport port-security mac-address ...»).
Если нужно сделать то же самое на SNR-S2985, то необходимо установить число разрешённых MAC-адресов 0 («switchport port-security maximum 0») и установить сам статический MAC-адрес («switchport port-security mac-address ...»).

Чтобы проверить, какие MAC-адреса ограничивает команда «switchport port-security maximum ...» (только dynamic или dynamic + static), можно установить число разрешённых MAC-адресов 0 («switchport port-security maximum 0») и сделать тестовую запись static MAC-адреса. Если коммутатор покажет ошибку, то команда «switchport port-security maximum ...» ограничивает суммарное число dynamic + static MAC-адресов. Если ошибки не будет, то команда «switchport port-security maximum ...» ограничивает только dynamic MAC-адреса.

Такой нюанс работы связан с особенностями чипов, на которых построены коммутаторы.

Порт e1/0/2 будет изучать MAC-адреса методом sticky:

...