M6 · Segurança

Prática de segurança de porta

Visão geral

Port security restringe quais endereços MAC podem acessar uma porta do switch. Quando um endereço não autorizado é detectado, o switch executa uma ação de violação configurável. Este artigo cobre a configuração prática nos modos shutdown e restrict.

Pré-requisito: modo de acesso obrigatório

Port security só funciona em portas configuradas manualmente como access ou trunk. Portas no modo padrão dynamic auto rejeitam o comando:

SW1(config-if)# switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.

Solução:

SW1(config-if)# switchport mode access
SW1(config-if)# switchport port-security

Configuração no SW1 — modo shutdown

Cenário: interfaces F0/1 a F0/3 conectadas a PCs. Um MAC permitido, aging de 60 minutos, sticky desativado.

SW1(config)# interface range f0/1 - 3
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport port-security
SW1(config-if-range)# switchport port-security aging time 60

Os padrões cobrem o restante:

  • Violation mode: shutdown (padrão)
  • Maximum MACs: 1 (padrão)
  • Sticky learning: desativado (padrão)

Verificação

SW1# show port-security interface f0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 60 mins
Maximum MAC Addresses      : 1

Configuração no SW2 — modo restrict

Cenário: interface G0/1 conectada ao SW1. Máximo de 4 MACs (3 PCs + MAC da interface do SW1), sticky ativado.

SW2(config)# interface g0/1
SW2(config-if)# switchport mode access
SW2(config-if)# switchport port-security violation restrict
SW2(config-if)# switchport port-security maximum 4
SW2(config-if)# switchport port-security mac-address sticky
SW2(config-if)# switchport port-security

Após tráfego gerado pelos PCs, os MACs aprendidos são gravados na running-config como entradas estáticas:

SW2# show mac address-table
  VLAN  MAC Address        Type     Ports
     1  0001.xxxx.xxxx     STATIC   Gi0/1
     1  0002.xxxx.xxxx     STATIC   Gi0/1

Verificação geral

SW2# show port-security
Interface  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
Gi0/1               4            4                  0          Restrict

SW2# show port-security interface g0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Total Addresses in Body    : 4

Comportamento nas violações

Restrict (SW2)

Quando um 5º MAC tenta acessar a porta, o tráfego é descartado, o contador de violações é incrementado e a porta permanece ativa:

SW2# show port-security interface g0/1
Security Violation Count   : 1
Port Status                : Secure-up

Shutdown (SW1)

Quando um MAC não autorizado é detectado, a porta entra em err-disabled imediatamente:

SW1# show port-security interface f0/1
Port Status                : Secure-shutdown
Security Violation Count   : 1

Recuperação manual necessária:

SW1(config-if)# shutdown
SW1(config-if)# no shutdown

Comparativo dos modos de violação

Modo Descarta tráfego Porta desliga Incrementa contador Syslog
Shutdown Sim Sim Sim Sim
Restrict Sim Não Sim Sim
Protect Sim Não Não Não

Comandos essenciais para o exame

show port-security
show port-security interface <id>
show port-security address
switchport port-security aging time <minutos>
switchport port-security mac-address sticky