Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Ciao Jody, riesci a spiegarmi la funzione del comando port-security aging time ...... Vorrei capire la sua funzione è come attivarlo. Ho letto qualcosa anche sul forum ma non ho capito.
Inoltre è possibile fare in modo di bloccare la porta di uno switch in caso viene inserito un Hub oppure uno switch a mia insaputa? Grazie |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da jpalombi. Motivo: Nome :)
|
|
Ciao Luigi,
il comando da te citato serve ad impostare i timer di scadenza dei mac-address su una porta quando è attivo il port-security. Cito dalla risorsa ufficiale Cisco Configuring Port Security Aging Switch(config-if)# switchport port-security [ aging {static | time aging_time | type {absolute | inactivity} ] Sets the aging time for the secure port The static keyword enables aging for statically configured secure addresses on this port. The time aging_time keyword specifies the aging time for this port. Valid range for aging_time is from 0 to 1440 minutes. If the time is equal to 0, aging is disabled for this port. The type keyword sets the aging type as absolute or inactive. For absolute aging, all the secure addresses on this port ago out exactly after the time (minutes) specified and are removed from the secure address list. For inactive aging, the secure addresses on this port ago out only if there is no data traffic from the secure source address for the specified time period. Altra fonte: Configuring Secure MAC Address Aging on a Port Quindi ad esempio, il set di comandi: interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security maximum 5 switchport port-security aging time 10 farebbero sì che i 5 MAC-address (sicuri) dietro la fa0/1 scadrebbero tutti dopo 10 minuti, sia che essi stessero facendo traffico o meno. SW#show port-security interface fastEthernet 0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 10 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 5 Total MAC Addresses : 2 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0015.fa88.9f0f:1 Security Violation Count : 0 Per quanto concerne la tua seconda domanda, il port security è proprio ciò che ti servirebbe: se ad esempio dietro la porta di uno switch tu avessi un solo PC, potresti attivare il port-security su quella porta ed impostare magari un maximum 1 con annesso mac-address della macchina (aggiunto staticamente o tramite il parametro sticky). Il tutto condito dal criterio di violazione preferito (il default è shutdown). Ad esempio: interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security mac-address aaaa.aaaa.aaaa IpCert Instructor
CCENT - CCNA - CCNA CyberOps - CCNP Enterprise - CCNP Collaboration - CCNP Service Provider CCS - Enterprise Core, Ent. Advanced Infrastructure, SP Core, SP Advanced Routing, SP VPN Services, Collaboration Core, Coll. Applications |
Si prega Accedi a partecipare alla conversazione. |
|
Grazie Jody, ho letto anche altri post sul vostro forum e sono riuscito a configurarlo aging time, anche se attivando questo valore con basso time tipo 2 minuti si perde la sicurezza del comando. Quindi sto riflettendo molto se attivarlo o meno. Da un lato inserendo aging time mi agevolerebbe il fatto che se in una controllata estera devono collegare un pc o altro non mi devono chiamare per sbloccare la porta ma dall'altra parte però sicuramente vado a perdere in sicurezza.
Corretto? Per quanto riguarda la seconda domanda invece, io visto su una porta in questo modo configurata: switchport mode access switchport port-security maximum 2 switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky switchport port-security mac-address sticky 0001.e328.bd8f spanning-tree bpduguard enable se collego uno switch la porta va in error-disable, perchè c'è il comando spanning-tree bpduguard enable, ma se inserisco un HUB lo switch non blocca e questo mi da un po fastidio. A questo punto dovrei configurare gli switch con switchport port-security maximum 1 però questo mi caricherà di più di lavoro. Hai altri consigli? Faccio queste domanda perchè sono tornato da poco dalla Polonia e mi sono raddrizzati i capelli. Il tecnico che era li, quando aveva bisogno di prese ethernet compravi degli HUB e li collegava alla rete. Ne ho contati 7. Saluti |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da jpalombi. Motivo: Nome :))
|
|
Ma figurati!
Per quanto riguarda gli hub ti capisco molto bene. Tuttavia essi sono semplici replicatori di segnali (device layer 1), e vanno dunque individuati i dispositivi ad essi collegati. Dai fatti coraggio, esistono i "range" IpCert Instructor
CCENT - CCNA - CCNA CyberOps - CCNP Enterprise - CCNP Collaboration - CCNP Service Provider CCS - Enterprise Core, Ent. Advanced Infrastructure, SP Core, SP Advanced Routing, SP VPN Services, Collaboration Core, Coll. Applications |
Si prega Accedi a partecipare alla conversazione. |
|
Ciao Jody, come stai? Pensavi che ti eri liberato di me, ma come vedi sono ritornato sul forum e ne approfitto subito per farti una domanda.
Riprendo una domanda che ti ho fatto tempo fa. Io sto configurando su uno switch 2960G il comando aging time. Lo switch la seguente flash: c2960-lanbasek9-mz.122-55.SE10/c2960-lanbasek9-mz.122-55.SE10.bin Ecco la configurazione della porta: switchport mode access switchport nonegotiate switchport port-security switchport port-security aging time 10 switchport port-security aging type inactivity switchport port-security aging static spanning-tree portfast spanning-tree bpduguard enable Se ho capito bene il mac-address dovrebbe essere rimosso dalla tabella dopo 10 minuti di inattività e solo dopo questo lasso di tempo sarà possibile collegare un nuovo device. Giusto? Io con questa configurazione invece rimuovendo il cavo del computer dallo switch e facendo il comando: show port-security address mi trovo la labella vuota immediatamente senza che il tempo sia scaduto. Sbaglio qualche cosa? Oppure non ho capito l'utilità di questo comando. Grazie e a presto |
Si prega Accedi a partecipare alla conversazione. |
|
Ciao Luigi
Semplicemente lo switch cancella qualunque informazione dinamicamente appresa al cadere del link in questione: effettivamente, se quel link è down, non ha senso mantenere alcuna associazione. Il comando in questione prende senso se pensi a delle device connesse in cascata Ti riporto la guida ufficiale per eventuali approfondimenti Ciao! IpCert Instructor
CCENT - CCNA - CCNA CyberOps - CCNP Enterprise - CCNP Collaboration - CCNP Service Provider CCS - Enterprise Core, Ent. Advanced Infrastructure, SP Core, SP Advanced Routing, SP VPN Services, Collaboration Core, Coll. Applications |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da jpalombi. Motivo: Inserimento link conf Cisco
|