ARGOMENTO:

Ciao a tutti,
mi servirebbe un chiarimento riguardo il comando switchport.
Supponiamo che abbia configurato uno switch con "switchport port-security mac-address sticky" e come valore "maximum 6", il che vuol dire che saranno permessi i primi 6 mac address che passano per lo switch ed inseriti nella mac-address table.
Ora supponiamo che un utente stacchi fisicamente il cavo di rete da uno dei pc che hanno il traffico consentito sul suddetto switch; dopo il cosiddetto tempo di aging la mac address table dello switch, non vedendo passare più quel determinato mac-address, lo toglie dalla lista. In questo modo che succede? Si "libera" un posto per il mac address e il primo dispositivo che collego alla rete funziona???
Probabilmente non è così, altrimenti la sicurezza sarebbe pari a zero.


Grazie

Ciao,

se è stato dato il comando "switchport port-security mac-address" il mac address non viene cancellato fino a che non si riavvia lo switch o si pulisce la mac address table.

Inoltre il comando da te indicato "switchport port-security mac-address sticky" fa si che il mac address venga salvato anche sulla running-config, quindi a patto che non si sia salvato la running nella startup, in questo caso oltre al riavvio dello switch, per far perdere l'associazione mac - porta bisognerebbe ripulire la mac address table e poi dare il comando "no switchport port-security mac-address sticky" sotto l'interfaccia.

mrizzi ha scritto: Probabilmente non è così, altrimenti la sicurezza sarebbe pari a zero.

Infatti non lo è

Come infatti dice Elia:

il comando "switchport port-security mac-address sticky" fa si che il mac address venga salvato anche sulla running-config

Inoltre, i mac associati all'interfaccia nella mac-address-table sono di tipo statico, proprio perchè scritti in configurazione.

Dunque staccando il cavo non si avrebbe alcun aging delle entry in tabella

sposto sul forum pubblico perchè il contenuto del post non riguarda esami o aspetti logistici del corso.

Ma quale differenza esite tra le due modalita' di consentire l'accesso col comando switchport port-security mac-address xxxx.yyyy.zzzz
oppure utiizzando il comando switchport port-security mac-address sticky xxxx.yyyy.zzzz
Io ho verificato che ambedue le "direttive" finiscono nella running config e come tali se vengono copiate nella startup config al successivo riavvio saranno attive.
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 6
switchport port-security mac-address sticky
switchport port-security violation protect
switchport port-security mac-address AAAA.BBBB.CCCC
switchport port-security mac-address DDDD.EEEE.FFFF
switchport port-security mac-address sticky BBBB.CCCC.DDDD

La differenza sostanziale sta nel fatto che con lo sticky eviti di dover copiare a mano i mac adress.

Se ad esempio hai una rete in produzione e vuoi attivare port security su 200 porte, non devi copiare 200 mac address se sai che in quel momento sono connesse le macchine corrette alle varie porte.

Ci sono anche altre differenze, nel senso che se non salvi la config dopo che hai applicato lo sticky al riavvio i mac vengono persi e quindi in un certo senso resettati, ma questa è una questione di poco conto.

Certo ho capito cio' che vuoi dire con lo sticky si risparmia tempo e si evitano errori, forse non mi sono spiegato bene, il mio dubbio e' che non vedo nessuna differenza tra il configurare e quindi consentire l'accesso al mac address per esempio abcd.ef01.2345 utilizzando il comando switchport port-security mac-address sticky abcd.ef01.2345 oppure attraverso il comando switchport port-security mac-address sticky abcd.ef01.2345[/b], quindi non riesco a capire la necessita' di dare la possibilita' di esprimere ed attuare la stessa cosa attraverso comandi differenti, generalmente quando ho una simile impressione e quindi trovo una qualche ridondanza e' perche' sta sfuggendo qualche particolare differenza, per questo mi faccio questa domanda, tra le altre cose col comando switchport port-security mac-address sticky abcd.ef01.2345 comunque devo scrivere il mac address quindi njon esiste nessun vantaggio.

Ok, non avevo capito la domanda.

In realtà quando utilizzi l'opzione sticky non è necessario esplicitare il mac, lo switch impara il mac automaticamente e lo scrive in config.

Anche in packet tracer prova a dare il comando switchport port-security mac-address sticky su una interfaccia con un PC collegato, poi fai show run e vedrai il mac del pc apparire in config.

Tu hai scritto: "In realtà quando utilizzi l'opzione sticky non è necessario esplicitare il mac, lo switch impara il mac automaticamente e lo scrive in config." Stai esattamente dicendo cio' che penso anche io, resta il fatto che IOS consente, cosi come indica anche il curriculum, di poter fare la stessa cosa in due modi differenti e questa e' una ridondanza.

il fatto che tu possa esplicitare il mac nel comando sticky serve quando vuoi ad esempio backuppare una config che abbia appreso i mac con lo sticky.

Da un punto di vista funzionale non c'è differenza nell'impostare un mac statico con l'opzione sticky o direttamente come statico, tuttavia se configuri un mac completamente staticamente è preferibile non usare sticky per una chiarezza di lettura e di uso della funzionalità.

A questo punto si potrebbe obiettare che le due funzionalità sono identiche. A questo scopo ti invito a pensare alla genesi delle funzionalità, queste vengono insierite man mano nelle differenti release, così a volte hai funzionalità nuove che fanno tutto e più di quelle precedenti, ma i comandi precedenti non vengono sostituiti per motivi di retrocompatibilità, altrimenti potresti creare problemi nel momento in cui fai un upgrade.

Quindi e' una ridondanza dovuta a retrocompatibilita'.

Quindi e' una ridondanza dovuta a retrocompatibilita'.