switch sg500 - port security

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
Pinki
fresh
fresh
Posty: 6
Rejestracja: 26 sie 2010, 08:58

switch sg500 - port security

#1

#1 Post autor: Pinki »

Dzień Dobry.
Czy mógłby mi ktoś wytłumaczyć jak dokładnie działają poniższe opcje, próbuje to jakoś zrozumieć, ale coś mi nie idzie.
Np. Classic Lock - nauczone MAC adresy zostają zapamiętane i przypisane do danego portu. Nowe adresy, które się pojawiają nie są zapamiętywane. Tylko teraz pytanie do kiedy ten port się uczy i skąd wie że więcej już nie powinien zapamiętywać nowych adresów?

Kod: Zaznacz cały

• Classic Lock—All learned MAC addresses on the port are locked, and the
port does not learn any new MAC addresses. The learned addresses are
not subject to aging or re-learning.

• Limited Dynamic Lock—The device learns MAC addresses up to the
configured limit of allowed addresses. After the limit is reached, the device
does not learn additional addresses. In this mode, the addresses are
subject to aging and re-learning.

• Secure Permanent—Keeps the current dynamic MAC addresses
associated with the port and learns up to the maximum number of
addresses allowed on the port (set by Max No. of Addresses Allowed).
Relearning and aging are disabled.

• Secure Delete on Reset—Deletes the current dynamic MAC addresses
associated with the port after reset. New MAC addresses can be learned
as Delete-On-Reset ones up to the maximum addresses allowed on the
port. Relearning and aging are disabled.
Na górę
Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:
Skontaktuj się z Kyniu

Re: switch sg500 - port security

#2

#2 Post autor: Kyniu »

Pinki pisze:do kiedy ten port się uczy
Tak długo, jak długo ma "wolne miejsca".
Pinki pisze:skąd wie że więcej już nie powinien zapamiętywać nowych adresów?
Jak wyczerpie "wolne miejsca". A ile ich ma, to mu mówi administrator, konfigurując urządzenie.

W popularnym przypadku np. port dla telefonu i PC administrator mówi "masz się nauczyć trzech MAC i to koniec". Więc switch czeka na pierwsze trzy, te trzy zapamiętuje i kolejne odrzuca. Możesz jeszcze zapytać czemu trzy MAC a nie dwa, skoro podałem dwa urządzenia - ale dam Ci szanse samemu wyjaśnić tę zagadkę, czegoś się nauczysz.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Na górę
Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: switch sg500 - port security

#3

#3 Post autor: judge dredd »

Czemu trzy? Ja zawsze na portach telefon/komputer dawałem "switchport portsecurity max 2" i wystarczało... Faktycznie czytałem coś kiedyś, że czasem na telefonie pojawia się trzeci "ghost mac-address", który ludzie kojarzą w internecie z mac-addresem switcha w telefonie, ale ja osobiście nigdy tego zjawiska na oczy nie widziałem przy telefonach cisco.

Pozdrawiam,

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Na górę
Pinki
fresh
fresh
Posty: 6
Rejestracja: 26 sie 2010, 08:58

Re: switch sg500 - port security

#4

#4 Post autor: Pinki »

Wyciągnąłem to co wyżej z dokumentacji i próbuję zrozumieć, bo mam taki problem. Mam ustawione na porcie access: Limited Dynamic Lock z wartością 1 i zdarzają się takie przypadki że w ciągu kilkunastu sekund w obrębie całej sieci (różne switche sx300 i sg500) blokowane są różne porty z informacją o przyczynie port security. Końcówki to zwykłe stacje robocze dell vostro. I nie potrafię tego zdiagnozować.
Na górę
Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:
Skontaktuj się z Kyniu

Re: switch sg500 - port security

#5

#5 Post autor: Kyniu »

judge dredd pisze:Czemu trzy? Ja zawsze na portach telefon/komputer dawałem "switchport portsecurity max 2" i wystarczało... Faktycznie czytałem coś kiedyś, że czasem na telefonie pojawia się trzeci "ghost mac-address", który ludzie kojarzą w internecie z mac-addresem switcha w telefonie, ale ja osobiście nigdy tego zjawiska na oczy nie widziałem przy telefonach cisco
Była dzisiaj chwila czasu więc:

Kod: Zaznacz cały

#show cdp neighbors
(...)
SEP0019E72C1A59  Gig 0/13          154              H P   IP Phone  Port 1
SEP001AA18DD6E5  Gig 0/12          134              H P   IP Phone  Port 1


#show mac address-table interface gigabitEthernet 0/13
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  10    0019.e72c.1a59    DYNAMIC     Gi0/13
  20    0019.e72c.1a59    DYNAMIC     Gi0/13
Total Mac Addresses for this criterion: 2


#show mac address-table interface gigabitEthernet 0/12
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  10    001a.a18d.d6e5    DYNAMIC     Gi0/12
  10    3cd9.2b4d.6693    DYNAMIC     Gi0/12
  20    001a.a18d.d6e5    DYNAMIC     Gi0/12
Total Mac Addresses for this criterion: 3
Zadowolony?
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Na górę
Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: switch sg500 - port security

#6

#6 Post autor: judge dredd »

Dzięki za listing. Powiem szczerze, że nie spotkałem się z tym nigdy na switchach 3560 z telefonami Cisco 7962. Na wszystkich portach mam max 2 i na kilkaset podpiętych telefonów nigdy to się nie zdarzyło.

Tak teraz pomyślałem, że może u mnie tego efektu nie ma dlatego, że to środowisko zakładał dawno temu dość paranoiczny Admin, który na tych wszystkich portach również wyłączył CDP i kazał wpisywać ręcznie na telefonach voice vlan. Może przy ustalaniu voice vlanu przez CDP telefon najpierw zgłasza się dwoma mac-addressami w vlanie data, potem dowiaduje się w którym ma być telefon i powiela ten mac-address w vlanie voice... Przy ręcznej konfiguracji voice vlanu na telefonie może telefon od razu zgłasza się swoim mac-addressem w vlanie voice. Taki pomysł na szybko bez głębszego przemyślenia.

Pozdrawiam,

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Na górę
RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: switch sg500 - port security

#7

#7 Post autor: RiFF »

A co w przypadku gdy CDP jest wyłączone a działa LLDP ? Bo też nie zauważyłem takiej sytuacji jak powyżej (używam telefonów Avaya i Cisco). Natomiast zdarzają się sytuacje że na porcie czasem pojawia się dodatkowy adres typu xxxx.0000.0000 . Początek adresu wskazuje niby na PC , ale jakie zdarzenie go generuje nie udało mi się ustalić :/
Na górę
ODPOWIEDZ

Wróć do „Security”