 

COMUTADORES
C O N F I G U R AÇ ÃO E A D M I N I S T R AÇ ÃO D E SW I TC H E S 3 C O M , H P N , H 3 C E
S O LU Ç Õ E S A R U BA

Comware: Trocando o endereço MAC

de uma porta com Port-security
habilitado
 18 de agosto de 2015  Diego Dias

Galera, quando configuramos o port-security em uma interface Ethernet de um Switch, aquela

porta aprenderá o endereço MAC da máquina conectada e não permitirá que outra máquina
funcione naquela porta (caso você tenha configurado o aprendizado de apenas um endereço
MAC).

Uma vez aprendido o endereço MAC de um host, este não poderá conectar-se em outra porta
caso o port-security esteja habilitado.

No post http://www.comutadores.com.br/switches-3com-4800g-port-security/ há mais

informações da configuração do port-security.

Logo abaixo segue o exemplo de configuração de um Switch HP 1910 com a porta configurada
com port-security:

< HP\v1910_SW04> display current interface giga1/0/8

#
interface GigabitEthernet1/0/8
port-security max-mac-count 1
port-security port-mode autolearn
 port-security mac-address security 0040-63c0-aaaa vlan 1
#

Mas há cenários que é preciso trocar uma máquina queimada ou por qualquer outro motivo.
Nesse caso ao conectarmos a nova placa de rede ao Switch aparecerá a seguinte mensagem
gerada de log, alertando sobre a impossibilidade de comunicação do novo host:

[HP\v1910_SW04]
#Apr 27 07:14:21:820 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is
1, ifOperStatus is 1
#Apr 27 07:14:22:025 2000 HP\v1910_SW04 MSTP/1/PFWD:
Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has
been set to forwarding state!
%Apr 27 07:14:22:225 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN:
GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:14:22:355 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING:
Instance 0's port GigabitEthernet1/0/8 has been set to forwarding
state.
%Apr 27 07:14:22:535 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -
IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-
IfStatus=Up; Intrusion detected.
%Apr 27 07:14:23:270 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -
IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-
IfStatus=Up; Intrusion detected.

Trocando o endereço MAC

Para resolver essa questão, desconecte o novo host do Switch para cessar a mensagem de log. Já
para remoção do endereço basta copiar a linha que contem o endereço MAC.

[HP\v1910_SW04-GigabitEthernet1/0/8]undo port-security mac-address

security 0040-63c0-aaaa vlan 1
--- 1 security MAC address(es) deleted. ---
Conecte a nova máquina e espere o Switch aprender o novo endereço MAC (após este iniciar a
primeira comunicação com a rede) …

[HP\v1910_SW04]
#Apr 27 07:16:01:290 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is
1, ifOperStatus is 1
#Apr 27 07:16:01:495 2000 HP\v1910_SW04 MSTP/1/PFWD:
Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has
been set to forwarding state!
%Apr 27 07:16:01:705 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN:
GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:16:01:835 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING:
Instance 0's port GigabitEthernet1/0/8 has been set to forwarding
state.
%Apr 27 07:16:02:016 2000 HP\v1910_SW04
PORTSEC/6/PORTSEC_LEARNED_MACADDR: -IfName=GigabitEthernet1/0/8-
MACAddr=00:90:DC:05:E9:4F-VlanId=1; A new MAC address learned.
#
[HP\v1910_SW04]disp current-configuration interface giga1/0/8
#
interface GigabitEthernet1/0/8
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 0090-dc05-e94f vlan 1
#

Pronto, a porta está configurada com port-security e vinculará as restrições de endereço MAC
como anteriormente.

Até logo.

 Segurança  port-security, Segurança

 PREVIOUS ARTICLE
Comware 7: Alterando a ACL para o modo L3 em uma Interface VLAN.

NEXT ARTICLE 
 Novo Simulador do Comware: H3C Cloud Lab

3 THOUGHTS ON “COMWARE: TROCANDO O ENDEREÇO MAC

DE UMA PORTA COM PORT-SECURITY HABILITADO”

Pingback: Boas Festas! | Rota Default

ALAN
23 de novembro de 2017 / 20:14

Olá meu caro,

quando ele gera esse aviso de PORTSEC/5/PORTSEC_VIOLATION tem um OID relacionada com isso?
Pergunto isso pq tenho um switch com dhcp-snooping e queria trazer no meu zabbix a informação q
uma porta foi bloqueada

Ou você tem alguma ideia de como fazer isso?

 Responder

Pingback: Port-Security: Intrusion Protection | Comutadores

Deixe um comentário
O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentário *

Nome *

E-mail *
Site

Favor digite a resposta em dígitos:

12 + 4 =

P U B L I C A R C O M E N TÁ R I O

P O S T S R EC E N T E S

 Switches ArubaOS-CX: Cisco Rapid Per-VLAN Spanning-Tree (RPVST)

 Switches ArubaOS-CX: Client IP Track
 Os vídeos mais vistos em 2022
 Treinamento Comware – Aula 5 – Tabela de Roteamento, Rota Estática, Roteamento entre
VLANs, Router on a Stick…
 Treinamento Comware – Aula 4 – VRRP, DHCP-Server e DHCP-Relay

L I V RO S
Guia Básico para Configuração de Switches ArubaOS
Guia Básico para Configuração de Switches 3Com/HP 2.0

Configurações de Segurança para Switches 3Com/HP

CAT EG O R I AS

 Aruba Central
 ArubaOS – Switches
 ArubaOS-CX
 Certificação
 ClearPass
 Datacenter
 Gerenciamento
 IPv6
 IRF
 Laboratórios
 Metroethernet
 MSR's
 Multicast
 Procurve
 QoS
 Roteamento
 SD-WAN
 Segurança
 Sem categoria
 Serviços IP
 Simulador
 Spanning-Tree
 Switching
 Virtual Connect
 VLAN
 VoIP
 Wireless

Proudly powered by WordPress | Theme: Plane by WordPress.com.