ARGOMENTO:

Ciao,

sono in difficoltà con il punto 2.2.4.3.
Qui si spiega il Dynamic secure MAC addresses ma non si dice come si attiva.

Tanto più che nell'attivity 2.2.4.10 quando cerco di attivare il port-security sulla porta f0/1 il comando viene rigettato spiegando che si tratta di una porta dinamica??? (l'esercizio non richiede di attivarlo, ma dagli show mi sembra disattivo).

AIUTO

Ciao Davide,

il port security si attiva con il comando "switchport port-security" , e se vai a vedere le ultime righe del paragrafo che hai postato vedrai che c'è scritto:

"Note that port security feature will not work until port security is enabled on the interface using the switchport port-security command."

Per quanto riguarda l'esercizio è vero il port security non è attivato, hanno creato l'esercizio con il solo scopo di farti dare i comandi per riattivare la porta. Non ci stare a sbattere la testa

Ha ragione Davide,
io ho provato col packet tracer a mettere uno switch 2960 e poi ad andare su una interfaccia e poi dare i comando di abilitazione del port security sulla interfaccia
switchport port-security e lo switch risponde che:
" Switch(config-if)#switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
Switch(config-if)# "
ho tentato in molti modi ad impostare politiche di security differenti per poi cercare di visualizzarle con show port-security ma non viene mai visualizzato nulla.

Per abilitare il port security è necessario che la porta sia in access (di default è in AUTO).

Quindi prima di abilitare il port security bisogna dare il comando:

Switch(config-if)#switchport mode access

chiarito l'arcano resta una considerazione e cioe' che l'output del rifiuto poteva esseere piu' chiaro ed invece di dire che Command rejected: FastEthernet0/1 is a dynamic port che in prima analisi pareva essere il dynamic del security avrebbe potuto dire Command rejected: FastEthernet0/1 is not an access port, comunque non mi pare di aver letto in nessuna parte del curriculum che le porte a cui applicare le policy di security dovessero essere di access.

Viene riportato il termine Dynamic perché la modalità AUTO in realtà si chiama "dynamic auto", infatti il comando per attivarla è:

#switchport mode dynamic auto

Hai ragione sul fatto che il curriculum non dica esplicitamente che la porta deve essere in access, però negli esempi di configurazione che vengono mostrati il comando è sempre presente.

Inoltre, se ci pensi bene, alla fine una porta di uno switch se attiva, funzionante, e connessa con un cavo ad un'altro dispositivo, può essere in Access o in Trunk. Non è che ci sia tanta scelta.

Grazie ragazzi. Effettivamente questa cosa se c'è è ben nascosta nel cv

Putropoo c'e' qualcosa che scricchiola nel ragionamento, io ho provato a mettere in trunk una porta ed IOS mi consente di attivare su di essa il port security, quindi non e' vero cio' che e' stato scritto prima e cioe' che per attivare il port security sia necessario che la porta sia in access, qui le prove da me fatte:
Switch(config)#vlan 100
Switch(config-vlan)#name test
Switch(config-vlan)#exit
Switch(config)#interface fa0/1
Switch(config-if)#switch port-se
Switch(config-if)#switch port-security
Command rejected: FastEthernet0/1 is a dynamic port.
Switch(config-if)#switchport mode trunk ?
<cr>
Switch(config-if)#switchport mode trunk
Switch(config-if)#switch port-security
Switch(config-if)#switch port-security ?
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
<cr>
Quindi visti i risultati in grassetto e conseguentemente considerato che comunque sia che in access o che in trunk comunque IOS fa impostare la modalita' di security e' evidente che la motivazione addotta da Zangheri non e' corretta.

Ciao Roberto,


la tua prova dimostra che al sistema, per abilitare il port security, basta che la porta non sia in AUTO.

Detto questo, però, non trovo corretto abilitare il port security su un Trunk, nonostante sia permesso.

Credo che sia possibile attivarlo sul Trunk, per gestire un eventuale configurazione Legacy ossia un Hub che si trova in mezzo ad un collegamento Trunk, e al quale siano collegati 1 o più PC.

Lasciamo stare a cosa puo' servire abilitare il port security su un trunk anche perche' a quel punto andrebbe anche definito su quale vlan verranno applicate le impostazioni (o magari su tutte), comunque riesco ad immaginare qualche modo anche senza andare in scenary legacy con hub e simili cose.
Comunque lasciando perdere il fatto se cio' sia utie o meno che ci distoglie dal centro della questione che e' questa: perche' IOS non consente la configurazione della funzionalita' di port security su una porta in auto visto e considerato che in realta' IOS consentira' successivamente l'attivazione del port security sia su porte configurate trunk che su porte configurate access ed inoltre che dalla modalita' auto, quando la porta diventa operativa, la stessa possa e debba necessariamente evolvere solo verso lo stato di trunk o di access?
Questa e' la questione centrale, ed a mio parere in questo post non si e' data nessuna risposta. Se qualcuno intravede un motivo ce lo spieghi.

Ho trovato un post in cui Virgilio dice che:
"è possibile attivare il port security, ma per farlo la porta deve essere in modalità statica di accesso, nel senso che non può essere configurata come dynamic auto o dynamic desirable. Questo vale per il port security in generale."

qui il post:
www.ipcert.it/forum/ccnp-switch/2323-port-security.html


Ho trovato anche le linee guida sulla configurazione di alcuni switch:

Catalyst 3750 port-security Configuration Guide




Catalyst 4500 port-security Configuration Guide

Ragazzi,

i toni del post dimostrano semplicemente che in questo caso il cv è poco esplicito come dimostra, del resto, il fatto che Jody abbia rinviato a dopo il capitolo 3 questo argomento. Credo che le risposte verranno date dallo studio del terzo capitolo (personalmente a volte la lezione non basta per fissare le idee seppure Jody è molto bravo). Se questo non bastasse a mercoledi le risposte

Salve ragazzi, sposto il post nel forum pubblico ricordandovi che ogni aspetto riguardante i contenuti del corso dovrebbe essere postato sul forum pubblico.

Detto questo cerco di sintentizzare il funzionamento del port security:

- Per poter essere attivato la porta deve essere configurata in access o trunk statico, non in dynamic auto o dynamic desirable. Questo non è dovuto ad una question strettamente logica ma semplicemente ad un limite del sistema operativo che non consente una autoattivazione del port security in relazione ad uno stato della porta che potrebbe cambiare.

- Attivare il port security in trunk non è comune ma è qualcosa che ha senso se pensiamo ad un server che fa girare un hypervisor come VMWare ESXi e che quindi potrebbe essere collegato ad uno switch direttamente in trunk differenziando le diverse macchine virtuali su differenti vlan


...aggiungo una cosa... il curriculum è poco esplicito, ma d'altra parte si cerca di fare sintesi, ogni funzionalità ha diverse sfaccettature, lo scopo della CCENT non è quello di approfondire ogni singolo aspetto delle funzionalità ma dare una conoscenza di massima che può essere approfondita se necessario, come del resto state facendo voi.

Neanche in CCNA si vedono tutti i singoli aspetti delle feature... e neanche nella CCNP... e tutto sommato neanche nella CCIE... perchè sarebbe come prepararsi imparando i dettagli della Enciclopedia Treccani