Modos de violación en port security

Los modos de violación en port security definen cómo debe reaccionar una interfaz que tiene configurado este protocolo cuando se produce una violación. Las violaciones ocurren cuando cualquier frame recibido interrumpe las reglas de port security en una interfaz. Por ejemplo:

- Para una interfaz que permite tres direcciones MAC, una violación ocurre cuando el total de direcciones MAC preconfiguradas y aprendidas en la interfaz excede el máximo configurado de tres.

- Para una interfaz que predefine todas las direcciones MAC específicas permitidas, una violación ocurre cuando el switch recibe un frame cuya MAC fuente no es una de esas direcciones configuradas.

Con port security, cada interfaz del switch se puede configurar con uno de tres modos de violación que definen las acciones a tomar. Los modos son: shutdown, protect y restrict.

Modo shutdown

El modo shutdown es el predeterminado. Cuando se utiliza y se produce una violación, port security detiene todo el reenvío de frames en la interfaz, tanto dentro como fuera. De hecho, port security apaga la interfaz, sin embargo, no configura literalmente el comando shutdown, en su lugar, utiliza la característica err-disabled.

Cuando se emplea el modo shutdown de port security y ocurre una violación, sucede lo siguiente:

- El estado de la interfaz cambia a err-disabled.

- El estado de port security de la interfaz cambia al estado secure-down.

- El switch deja de enviar y recibir frames en la interfaz.

- Envía mensajes log y SNMP

Una vez que port security ha colocado una interfaz en estado err-disabled, permanece en este estado hasta que se toma acción. Para recuperarse de un estado err-disabled, la interfaz debe ser apagada con el comando shutdown y después habilitada con el comando no shutdown.

Alternativamente, el switch se puede configurar para recuperarse automáticamente del estado err-disabled, cuando es causado por port security, con estos comandos:

- errdisable recovery cause psecure-violation: un comando global para habilitar la recuperación automática de las interfaces en un estado err-disabled cuando es causado por port security.

- recovery interval seconds: un comando global para establecer el tiempo de espera antes de sacar a la interfaz del estado err-disable.

Modos protect y restrict

Los modos protect y restrict tienen un enfoque muy diferente al modo shutdown para proteger las interfaces. Estos modos descartan el tráfico no permitido, pero la interfaz permanece en un estado conectado (up/up) y el estado de port security se mantiene en secure-up. Como consecuencia, la interfaz continúa reenviando el tráfico permitido, pero descarta el tráfico que realiza violaciones.

En el modo protect, la única acción que el switch toma es descartar los frames que violan las reglas. El switch no cambia la interfaz a un estado err-disabled, no genera mensajes log o SNMP y ni siquiera incrementa el contador de las violaciones.

Por otra parte, el modo restrict proporciona un punto medio entre los otros dos modos. Este modo mantiene el estado de port security en secure-up, sin embargo, IOS mostraría alguna indicación de la actividad de port security, tal como un contador que incrementa, así como los mensajes de syslog.

¿Qué te parece el post? ¿Aprendiste algo nuevo? Déjame tu opinión y preguntas en los comentarios.