1
00:00:00,930 --> 00:00:08,920
En el video anterior, configuramos la seguridad del puerto en gigabit 00 convirtiendo el puerto en un puerto de acceso y

2
00:00:08,920 --> 00:00:11,370
luego habilitando la seguridad del puerto.

3
00:00:11,680 --> 00:00:14,890
La dirección MAC se aprende dinámicamente.

4
00:00:14,990 --> 00:00:25,000
Entonces, esta dirección MAC se aprendió dinámicamente en el puerto a Gigabit 00 y, por lo tanto, la seguridad del puerto Shope nos

5
00:00:25,000 --> 00:00:28,000
muestra la dirección permitida en ese puerto.

6
00:00:28,150 --> 00:00:29,860
Es esta dirección MAC

7
00:00:29,860 --> 00:00:35,110
Fue hecho. Me enteré dócilmente y fue agregado a la base de datos de direcciones MAC

8
00:00:35,680 --> 00:00:37,860
permitidas en el puerto. Solo se

9
00:00:41,000 --> 00:00:43,650
permite una dirección MAC en el gigabit 00.

10
00:00:43,750 --> 00:00:50,930
Por lo tanto, la precisión máxima del esquema es una si se produce una infracción, la acción de seguridad es cerrar

11
00:00:50,930 --> 00:00:51,550
el puerto.

12
00:00:52,680 --> 00:00:58,440
Ahora configuremos las direcciones MAC estáticamente Así que configuremos la seguridad del puerto en gigabit.

13
00:00:58,480 --> 00:01:02,920
0 1 pero hágalo manualmente.

14
00:01:03,150 --> 00:01:08,460
Así que voy a usar el conmutador de conmociones de Puerto.

15
00:01:08,460 --> 00:01:11,560
La seguridad del puerto especifica un máximo.

16
00:01:11,760 --> 00:01:13,840
El valor predeterminado es 1.

17
00:01:13,970 --> 00:01:15,390
Así que voy a decir uno aquí.

18
00:01:15,750 --> 00:01:23,960
Y lo que notará es que la salida no se muestra porque ese es un comando predeterminado en la interfaz.

19
00:01:24,030 --> 00:01:34,640
Pero lo que haremos ahora es cambiar la dirección MAC del puerto de seguridad del puerto y lo que voy a hacer es especificar explícitamente la

20
00:01:34,640 --> 00:01:36,460
dirección MAC que está permitida.

21
00:01:36,620 --> 00:01:43,230
Y solo para probar el punto o especificar una dirección MAC diferente, digamos tres.

22
00:01:43,390 --> 00:01:55,090
Ahora, en este momento, la dirección MAC en este enrutador que actúa como nuestra PC es así.

23
00:01:55,170 --> 00:02:02,550
Por lo tanto, es una dirección MAC diferente, la PC aún puede hacer ping a una porque no

24
00:02:02,550 --> 00:02:08,440
hemos habilitado explícitamente la seguridad del puerto todavía, así que hemos configurado la dirección MAC.

25
00:02:08,700 --> 00:02:11,970
Configuramos las direcciones MAC máximas permitidas.

26
00:02:12,410 --> 00:02:16,890
Especificaré la acción a tomar si hay un aviso de violación que

27
00:02:19,390 --> 00:02:26,620
tenemos proteger restrinja y apague el valor predeterminado, ya que hemos visto que está apagado. Proteja ahora los paquetes de

28
00:02:26,650 --> 00:02:32,680
gotas con direcciones MAC de origen desconocido hasta que elimine una cantidad suficiente de direcciones MAC seguras

29
00:02:32,680 --> 00:02:35,130
para caer por debajo del valor máximo.

30
00:02:35,140 --> 00:02:38,930
En otras palabras, estamos eliminando paquetes de direcciones MAC de origen desconocido.

31
00:02:39,160 --> 00:02:43,630
Pero no hay registro en este momento solo permitiendo una dirección MAC.

32
00:02:43,630 --> 00:02:49,840
Pero como ejemplo, si ha especificado una dirección MAC máxima de tres y un cuarto, intente

33
00:02:49,840 --> 00:02:56,530
enviar tráfico a dispositivos que se descartarían. Restrinja paquetes de paquetes con direcciones MAC de origen desconocido

34
00:02:56,830 --> 00:03:02,960
hasta que elimine una cantidad suficiente de direcciones MAC seguras para descartar debajo del valor máximo.

35
00:03:02,980 --> 00:03:05,410
Entonces eso es muy parecido a proteger.

36
00:03:05,410 --> 00:03:10,610
Pero además provoca que se incremente la violación de seguridad contada.

37
00:03:10,900 --> 00:03:17,470
En otras palabras, va a haber la generación de mensajes de registro y el incremento de incrementos del

38
00:03:17,520 --> 00:03:20,260
contador es el predeterminado que ya hemos visto.

39
00:03:20,260 --> 00:03:28,600
Y eso pone al puerto en modo de deshabilitación y la notificación de captura de Saens y SMP si SMP está configurado.

40
00:03:29,050 --> 00:03:37,110
Así que continuaré usando shutdown para que podamos ver que la configuración de salida se ve de la siguiente manera.

41
00:03:37,180 --> 00:03:41,630
Recuerde que la dirección MAC de este dispositivo es una dirección MAC diferente.

42
00:03:41,650 --> 00:03:42,730
Es así.

43
00:03:42,940 --> 00:03:50,650
Pero solo permitimos esta dirección MAC, pero como no hemos habilitado globalmente, la seguridad del puerto de seguridad del

44
00:03:50,650 --> 00:03:52,430
puerto no está activa.

45
00:03:52,690 --> 00:03:57,580
Entonces podemos usar el inodoro para mostrar la seguridad del puerto en este momento.

46
00:03:57,580 --> 00:04:03,380
La seguridad del puerto está habilitada en gigabit 00 pero no en gigabit 0 1.

47
00:04:03,390 --> 00:04:11,510
También podemos usar el comando do show interface status en este momento tanto gigabit 0 0 como 0 1.

48
00:04:11,520 --> 00:04:16,080
Nuestro soporte conectado no se ha cerrado debido a la seguridad del puerto.

49
00:04:17,050 --> 00:04:22,740
Pero ahora, cuando escribimos qué puerto de seguridad de puerto, en realidad estamos habilitando la seguridad del puerto.

50
00:04:23,050 --> 00:04:33,300
Y una vez más tenemos que tener esto configurado como un puerto de acceso Conti's TTP para mostrar la interfaz de

51
00:04:33,310 --> 00:04:35,050
ejecución gigabit 0 1.

52
00:04:35,740 --> 00:04:41,990
Y mientras hacía ese aviso, recibimos un mensaje de violación de seguridad del puerto.

53
00:04:42,100 --> 00:04:50,190
Nos dijeron que había un problema con esta dirección MAC que terminaba en dos en gigabit.

54
00:04:50,210 --> 00:04:57,050
0 1 solo permitimos que la dirección MAC termine en tres direcciones MAC máximas permitidas.

55
00:04:57,080 --> 00:05:01,720
Solo se permiten una dirección MAC en este caso.

56
00:05:01,730 --> 00:05:08,720
Cuando miramos el Comeau y mostramos el estado de la interfaz, podemos ver que el puerto estaba deshabilitado.

57
00:05:08,980 --> 00:05:13,870
Entonces, mostrar el estado de la interfaz es un comando que nos muestra el estado

58
00:05:14,710 --> 00:05:22,210
de los puertos. Podemos ver que está conectado pero este puerto está deshabilitado, así que la seguridad del puerto nos muestra una vez

59
00:05:22,210 --> 00:05:27,110
más que gigabit es 0 0 y 0 1 tiene una acción de seguridad de apagar.

60
00:05:27,420 --> 00:05:34,380
Pero el único puerto que actualmente está apagado es el puerto 0 1.

61
00:05:34,560 --> 00:05:38,600
Entonces, mostrar el estado de la interfaz nos muestra que este puerto todavía está conectado.

62
00:05:38,650 --> 00:05:45,990
El área de seguidores está deshabilitada y ahora este host puede hacer ping a la derecha de uno porque los porteros del

63
00:05:48,790 --> 00:05:54,080
puerto están deshabilitados y muestran que la interfaz de seguridad del puerto gigabit es 0 1.

64
00:05:54,310 --> 00:05:57,890
Podemos ver que la seguridad del puerto está habilitada en este puerto.

65
00:05:57,910 --> 00:06:02,620
Actualmente está cerrado debido a que el modo está cerrado.

66
00:06:02,650 --> 00:06:08,770
Esta es la última dirección MAC que violó la política de seguridad en esa interfaz.

67
00:06:09,790 --> 00:06:24,560
Entonces, si lo cambiamos si cambiamos la dirección MAC a la dirección MAC que espera el conmutador, todavía no podrá hacer ping debido

68
00:06:24,560 --> 00:06:28,660
a la violación que se produjo.

69
00:06:29,620 --> 00:06:38,590
Entonces tenemos que entrar al puerto y cerrarlo y luego no cerrarlo.

70
00:06:38,750 --> 00:06:44,480
Y una vez que lo haya hecho y el switch aprenda la

71
00:06:48,510 --> 00:06:52,530
dirección MAC correcta, el dispositivo debería poder hacer ping.

72
00:06:52,560 --> 00:06:54,540
Entonces, en este momento, la dirección MAC no se

73
00:06:57,380 --> 00:06:59,360
ha aprendido, solo esperando a que aparezca la interfaz.

74
00:07:01,370 --> 00:07:03,240
Entonces muestra el estado de la interfaz.

75
00:07:03,250 --> 00:07:09,420
Veamos qué están pasando las interfaces conectadas.

76
00:07:09,640 --> 00:07:11,890
Y ahora el ping tiene éxito.

77
00:07:12,040 --> 00:07:17,620
Estaba demasiado impaciente y necesitaba esperar a que el árbol y otros

78
00:07:17,620 --> 00:07:23,820
protocolos se solucionaran, pero mostrara la interfaz de seguridad del puerto gigabit 0 1.

79
00:07:24,040 --> 00:07:31,070
Podemos ver que la seguridad del puerto está habilitada, el modo de violación se apaga en el momento en que el estado del puerto

80
00:07:31,070 --> 00:07:36,200
es seguro y las interfaces de la última dirección MAC que se vio fueron las de ese puerto.

81
00:07:36,200 --> 00:07:38,550
No hubo violaciones de seguridad.

82
00:07:38,810 --> 00:07:43,540
La dirección MAC máxima se permite una vez más, ya que una dirección MAC total se ve como una sola.

83
00:07:43,550 --> 00:07:51,410
Se está configurando una dirección MAC porque configuramos manualmente la dirección MAC en el conmutador.

84
00:07:51,420 --> 00:07:59,680
Entonces, si guardo esta configuración y el interruptor reinicia, la dirección MAC se almacena en la configuración guardada.

85
00:08:00,460 --> 00:08:06,600
Entonces eso es diferente a lo que tenemos en gigabit 00 aquí.

86
00:08:06,610 --> 00:08:12,190
Cuando el conmutador se reinicie, simplemente aprenderá la dirección MAC de origen de un fotograma recibido.

87
00:08:12,220 --> 00:08:18,630
Por lo tanto, el primer dispositivo que se conecte tendrá su dirección MAC agregada a la base de datos para mostrar la dirección de

88
00:08:21,400 --> 00:08:24,730
seguridad del puerto, ya que un ejemplo nos muestra las dos direcciones.

89
00:08:24,750 --> 00:08:27,430
Este fue configurado estáticamente.

90
00:08:27,600 --> 00:08:30,240
Este fue dinámicamente aprendido.

91
00:08:30,240 --> 00:08:33,240
Entonces la dirección MAC en la interfaz fue configurada.

92
00:08:33,330 --> 00:08:35,070
Esto fue hecho químicamente aprendido.

93
00:08:35,070 --> 00:08:42,390
Ahora el ejemplo de la derecha es donde explícitamente permite una dirección MAC específica en la red.

94
00:08:42,390 --> 00:08:48,120
El ejemplo de la izquierda es donde está restringiendo el número de direcciones MAC permitidas en un puerto de

95
00:08:48,990 --> 00:08:49,650
la izquierda.

96
00:08:49,650 --> 00:08:56,730
Detendría a un usuario conectando un concentrador como ejemplo a la red y conectando varios dispositivos

97
00:08:56,730 --> 00:09:05,140
al puerto, mientras que el ejemplo de la derecha es donde estamos limitando el tráfico a una dirección MAC específica.

98
00:09:05,160 --> 00:09:12,780
El problema con este método es que tenemos que determinar cuáles son las direcciones MAC de los

99
00:09:13,260 --> 00:09:16,860
dispositivos y luego configurar manualmente esas direcciones MAC.

100
00:09:16,890 --> 00:09:18,660
Entonces, veamos otra forma de hacerlo.