ARGOMENTO:

Ciao Jody, riesci a spiegarmi la funzione del comando port-security aging time ...... Vorrei capire la sua funzione è come attivarlo. Ho letto qualcosa anche sul forum ma non ho capito.
Inoltre è possibile fare in modo di bloccare la porta di uno switch in caso viene inserito un Hub oppure uno switch a mia insaputa?
Grazie

Ciao Luigi,
il comando da te citato serve ad impostare i timer di scadenza dei mac-address su una porta quando è attivo il port-security.

Cito dalla risorsa ufficiale Cisco Configuring Port Security Aging

Switch(config-if)# switchport port-security [ aging {static | time aging_time | type
{absolute | inactivity} ]

Sets the aging time for the secure port

The static keyword enables aging for statically configured secure addresses on this port.

The time aging_time keyword specifies the aging time for this port. Valid range for aging_time is from 0 to 1440 minutes. If the time is equal to 0, aging is disabled for this port.

The type keyword sets the aging type as absolute or inactive. For absolute aging, all the secure addresses on this port ago out exactly after the time (minutes) specified and are removed from the secure address list. For inactive aging, the secure addresses on this port ago out only if there is no data traffic from the secure source address for the specified time period.

Altra fonte: Configuring Secure MAC Address Aging on a Port

Quindi ad esempio, il set di comandi:

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security aging time 10

farebbero sì che i 5 MAC-address (sicuri) dietro la fa0/1 scadrebbero tutti dopo 10 minuti, sia che essi stessero facendo traffico o meno.

SW#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 10 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 5
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0015.fa88.9f0f:1
Security Violation Count : 0

Per quanto concerne la tua seconda domanda, il port security è proprio ciò che ti servirebbe: se ad esempio dietro la porta di uno switch tu avessi un solo PC, potresti attivare il port-security su quella porta ed impostare magari un maximum 1 con annesso mac-address della macchina (aggiunto staticamente o tramite il parametro sticky). Il tutto condito dal criterio di violazione preferito (il default è shutdown). Ad esempio:

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address aaaa.aaaa.aaaa

Grazie Jody, ho letto anche altri post sul vostro forum e sono riuscito a configurarlo aging time, anche se attivando questo valore con basso time tipo 2 minuti si perde la sicurezza del comando. Quindi sto riflettendo molto se attivarlo o meno. Da un lato inserendo aging time mi agevolerebbe il fatto che se in una controllata estera devono collegare un pc o altro non mi devono chiamare per sbloccare la porta ma dall'altra parte però sicuramente vado a perdere in sicurezza.
Corretto?
Per quanto riguarda la seconda domanda invece, io visto su una porta in questo modo configurata:
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.e328.bd8f
spanning-tree bpduguard enable

se collego uno switch la porta va in error-disable, perchè c'è il comando spanning-tree bpduguard enable, ma se inserisco un HUB lo switch non blocca e questo mi da un po fastidio. A questo punto dovrei configurare gli switch con
switchport port-security maximum 1 però questo mi caricherà di più di lavoro.
Hai altri consigli? Faccio queste domanda perchè sono tornato da poco dalla Polonia e mi sono raddrizzati i capelli. Il tecnico che era li, quando aveva bisogno di prese ethernet compravi degli HUB e li collegava alla rete. Ne ho contati 7.
Saluti

Ma figurati!
Per quanto riguarda gli hub ti capisco molto bene. Tuttavia essi sono semplici replicatori di segnali (device layer 1), e vanno dunque individuati i dispositivi ad essi collegati. Dai fatti coraggio, esistono i "range"

Ciao Jody, come stai? Pensavi che ti eri liberato di me, ma come vedi sono ritornato sul forum e ne approfitto subito per farti una domanda.
Riprendo una domanda che ti ho fatto tempo fa.
Io sto configurando su uno switch 2960G il comando aging time. Lo switch la seguente flash:
c2960-lanbasek9-mz.122-55.SE10/c2960-lanbasek9-mz.122-55.SE10.bin
Ecco la configurazione della porta:
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security aging time 10
switchport port-security aging type inactivity
switchport port-security aging static
spanning-tree portfast
spanning-tree bpduguard enable

Se ho capito bene il mac-address dovrebbe essere rimosso dalla tabella dopo 10 minuti di inattività e solo dopo questo lasso di tempo sarà possibile collegare un nuovo device. Giusto?
Io con questa configurazione invece rimuovendo il cavo del computer dallo switch e facendo il comando:
show port-security address mi trovo la labella vuota immediatamente senza che il tempo sia scaduto.
Sbaglio qualche cosa? Oppure non ho capito l'utilità di questo comando.
Grazie e a presto

Ciao Luigi

Semplicemente lo switch cancella qualunque informazione dinamicamente appresa al cadere del link in questione: effettivamente, se quel link è down, non ha senso mantenere alcuna associazione. Il comando in questione prende senso se pensi a delle device connesse in cascata

Ti riporto la guida ufficiale per eventuali approfondimenti

Ciao!