Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Ciao,
sono in difficoltà con il punto 2.2.4.3. Qui si spiega il Dynamic secure MAC addresses ma non si dice come si attiva. Tanto più che nell'attivity 2.2.4.10 quando cerco di attivare il port-security sulla porta f0/1 il comando viene rigettato spiegando che si tratta di una porta dinamica??? (l'esercizio non richiede di attivarlo, ma dagli show mi sembra disattivo). AIUTO |
Si prega Accedi a partecipare alla conversazione. |
|
Ciao Davide,
il port security si attiva con il comando "switchport port-security" , e se vai a vedere le ultime righe del paragrafo che hai postato vedrai che c'è scritto: "Note that port security feature will not work until port security is enabled on the interface using the switchport port-security command." Per quanto riguarda l'esercizio è vero il port security non è attivato, hanno creato l'esercizio con il solo scopo di farti dare i comandi per riattivare la porta. Non ci stare a sbattere la testa |
Si prega Accedi a partecipare alla conversazione. |
|
Ha ragione Davide,
io ho provato col packet tracer a mettere uno switch 2960 e poi ad andare su una interfaccia e poi dare i comando di abilitazione del port security sulla interfaccia switchport port-security e lo switch risponde che: " Switch(config-if)#switchport port-security Command rejected: FastEthernet0/1 is a dynamic port. Switch(config-if)# " ho tentato in molti modi ad impostare politiche di security differenti per poi cercare di visualizzarle con show port-security ma non viene mai visualizzato nulla. |
Si prega Accedi a partecipare alla conversazione. |
|
Per abilitare il port security è necessario che la porta sia in access (di default è in AUTO).
Quindi prima di abilitare il port security bisogna dare il comando: Switch(config-if)#switchport mode access
Ringraziano per il messaggio: jpalombi
|
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da Zangheri.
|
|
chiarito l'arcano resta una considerazione e cioe' che l'output del rifiuto poteva esseere piu' chiaro ed invece di dire che Command rejected: FastEthernet0/1 is a dynamic port che in prima analisi pareva essere il dynamic del security avrebbe potuto dire Command rejected: FastEthernet0/1 is not an access port, comunque non mi pare di aver letto in nessuna parte del curriculum che le porte a cui applicare le policy di security dovessero essere di access.
|
Si prega Accedi a partecipare alla conversazione. |
|
Viene riportato il termine Dynamic perché la modalità AUTO in realtà si chiama "dynamic auto", infatti il comando per attivarla è:
#switchport mode dynamic auto Hai ragione sul fatto che il curriculum non dica esplicitamente che la porta deve essere in access, però negli esempi di configurazione che vengono mostrati il comando è sempre presente. Inoltre, se ci pensi bene, alla fine una porta di uno switch se attiva, funzionante, e connessa con un cavo ad un'altro dispositivo, può essere in Access o in Trunk. Non è che ci sia tanta scelta.
Ringraziano per il messaggio: instructor, jpalombi
|
Si prega Accedi a partecipare alla conversazione. |
|
Putropoo c'e' qualcosa che scricchiola nel ragionamento, io ho provato a mettere in trunk una porta ed IOS mi consente di attivare su di essa il port security, quindi non e' vero cio' che e' stato scritto prima e cioe' che per attivare il port security sia necessario che la porta sia in access, qui le prove da me fatte:
Switch(config)#vlan 100 Switch(config-vlan)#name test Switch(config-vlan)#exit Switch(config)#interface fa0/1 Switch(config-if)#switch port-se Switch(config-if)#switch port-security Command rejected: FastEthernet0/1 is a dynamic port. Switch(config-if)#switchport mode trunk ? <cr> Switch(config-if)#switchport mode trunk Switch(config-if)#switch port-security Switch(config-if)#switch port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode <cr> Quindi visti i risultati in grassetto e conseguentemente considerato che comunque sia che in access o che in trunk comunque IOS fa impostare la modalita' di security e' evidente che la motivazione addotta da Zangheri non e' corretta. |
Si prega Accedi a partecipare alla conversazione. |
|
Ciao Roberto,
la tua prova dimostra che al sistema, per abilitare il port security, basta che la porta non sia in AUTO. Detto questo, però, non trovo corretto abilitare il port security su un Trunk, nonostante sia permesso. Credo che sia possibile attivarlo sul Trunk, per gestire un eventuale configurazione Legacy ossia un Hub che si trova in mezzo ad un collegamento Trunk, e al quale siano collegati 1 o più PC. |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da Zangheri.
|
|
Lasciamo stare a cosa puo' servire abilitare il port security su un trunk anche perche' a quel punto andrebbe anche definito su quale vlan verranno applicate le impostazioni (o magari su tutte), comunque riesco ad immaginare qualche modo anche senza andare in scenary legacy con hub e simili cose.
Comunque lasciando perdere il fatto se cio' sia utie o meno che ci distoglie dal centro della questione che e' questa: perche' IOS non consente la configurazione della funzionalita' di port security su una porta in auto visto e considerato che in realta' IOS consentira' successivamente l'attivazione del port security sia su porte configurate trunk che su porte configurate access ed inoltre che dalla modalita' auto, quando la porta diventa operativa, la stessa possa e debba necessariamente evolvere solo verso lo stato di trunk o di access? Questa e' la questione centrale, ed a mio parere in questo post non si e' data nessuna risposta. Se qualcuno intravede un motivo ce lo spieghi. |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da roberto ulisse.
|
|
Ho trovato un post in cui Virgilio dice che:
"è possibile attivare il port security, ma per farlo la porta deve essere in modalità statica di accesso, nel senso che non può essere configurata come dynamic auto o dynamic desirable. Questo vale per il port security in generale." qui il post: www.ipcert.it/forum/ccnp-switch/2323-port-security.html Ho trovato anche le linee guida sulla configurazione di alcuni switch: Catalyst 3750 port-security Configuration Guide Catalyst 4500 port-security Configuration Guide |
Si prega Accedi a partecipare alla conversazione. |
|
Ragazzi,
i toni del post dimostrano semplicemente che in questo caso il cv è poco esplicito come dimostra, del resto, il fatto che Jody abbia rinviato a dopo il capitolo 3 questo argomento. Credo che le risposte verranno date dallo studio del terzo capitolo (personalmente a volte la lezione non basta per fissare le idee seppure Jody è molto bravo). Se questo non bastasse a mercoledi le risposte |
Si prega Accedi a partecipare alla conversazione. |
|
Salve ragazzi, sposto il post nel forum pubblico ricordandovi che ogni aspetto riguardante i contenuti del corso dovrebbe essere postato sul forum pubblico.
Detto questo cerco di sintentizzare il funzionamento del port security: - Per poter essere attivato la porta deve essere configurata in access o trunk statico, non in dynamic auto o dynamic desirable. Questo non è dovuto ad una question strettamente logica ma semplicemente ad un limite del sistema operativo che non consente una autoattivazione del port security in relazione ad uno stato della porta che potrebbe cambiare. - Attivare il port security in trunk non è comune ma è qualcosa che ha senso se pensiamo ad un server che fa girare un hypervisor come VMWare ESXi e che quindi potrebbe essere collegato ad uno switch direttamente in trunk differenziando le diverse macchine virtuali su differenti vlan ...aggiungo una cosa... il curriculum è poco esplicito, ma d'altra parte si cerca di fare sintesi, ogni funzionalità ha diverse sfaccettature, lo scopo della CCENT non è quello di approfondire ogni singolo aspetto delle funzionalità ma dare una conoscenza di massima che può essere approfondita se necessario, come del resto state facendo voi. Neanche in CCNA si vedono tutti i singoli aspetti delle feature... e neanche nella CCNP... e tutto sommato neanche nella CCIE... perchè sarebbe come prepararsi imparando i dettagli della Enciclopedia Treccani
Ringraziano per il messaggio: Zangheri, Matteo Menghini
|
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da instructor.
|