Cisco 2950 port-security Problem

[Sarfein 10]

Hallo alle zusammen !

 

Wie man sieht bin ich neu hier, hab mir gedacht ich stöber mal durchs Netzt um zu sehn obs irgenwo ein vernüftiges Forum für Cisco anliegen gibt und bin also hier gelandet.

 

Nun zu meinem Problem ich möchte vereinzelte Ports (oder auch alle) eines Catalyst 2950 auf bestimmte Mac-adressen einschränken. In der Konfiguration bin ich bereits so weit das ich

folgendens auf dem interface konfiguriert hab:

 

!

interface FastEthernet0/6

switchport mode access

switchport protected

switchport port-security maximum 1

switchport port-security violation protect

switchport port-security mac-address 0001.1140.0939

spanning-tree portfast

!

 

Mein Problem is das das aber gar nix nützt da der Port trozdem noch von jedem benutzt werden kann. Wenn ich mir mit dem Befehl show port-security interface fastethernet 0/6 die konfiguration nochmal anseh bekomm ich folgendes

 

Security enabled:No,

Port status:Secureup

Violation mode:Protect

Max. addrs:1, Current addrs:1, Configured addrs:1

 

Kann mir jetzt bitte bitte jemand sagen wie ich die security enabled krieg ????

[scooby 10]

Hi,

 

Tipp mal ein unter dem Interface:

 

switchport port-security

 

Wenn das nicht gehe mal auf die Cisco Seite und dann suche mal nach:

switchport port-security enable cisco 2950

und sag mal bescheid ob es funktioniert hat und was du noch geändert hast.

[Sarfein 10]

Danke für die promte Antwort, leider hat sie mich nicht

wirklich weitergebracht. Wenn ich den Befehl

 

switchport port-security

 

alleine absetze bekomm ich lediglich folgende message

 

edv-test-cat2950(config-if)#switchport port-security

Command rejected: Not eligible for secure port.

 

Auf der Cisco Homepage hab ich mich schon ziemlich zu tode

gesucht, ehrlich gesagt finde ich das Web-Design der Cisco

Page nicht besonders gut gelungen und da bin ich noch mehr als

höfflich in meiner Fromulierung

:mad:

 

Hättest Du (oder jemand anderes) sonst noch eine Idee ?

Im Prinzip gehts nur darum ports für nicht bekannte

Mac-Adressen zu sperren.

[scooby 10]

Hi,

 

habe nochmal bei Cisco gesucht. schmeiße mal bei der config folgenden befehl raus: switchport protected und dafür gibst du dann nochmal ein switchport port-security.

Ich habe dir noch eine beispiel config von cisco gesucht. Da hast du dann auch gleich die ausgabe des sh befehls. Ich würde halt nur wieder wie du schon gemacht hast switchport port-security maximum wieder auf 1 setzen. und den Befehl mit dem stick würde ich auch raus schmeißen. ist halt schon o.k. wenn man zu faul ist alle mac aadressen von hand einzugeben.

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security maximum 50

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# end

Switch# show port-security interface fastethernet0/1

Port Security: Enabled

Port status: SecureUp

Violation mode: Shutdown

Maximum MAC Addresses :50

Total MAC Addresses: 11

Configured MAC Addresses: 0

Sticky MAC Addresses :11

Aging time: 20 mins

Aging type: Inactivity

SecureStatic address aging: Enabled

Security Violation count: 0

This example shows how to configure a static secure MAC address and a sticky secure MAC address on Fast Ethernet port 12 and verify the configuration:

 

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface fastethernet0/12

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security mac-address 0000.02000.0004

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# switchport port-security mac-address sticky 0008.a343.b581

Switch(config-if)# end

hier der link auf dem ich die info her habe.

http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a0080150bcd.html#1029319

wenn du damit nicht weiter kommst in der firma habe ich einen ordner in dem die port security für den 2950 genau beschrieben ist. Kursunterlagen ICND 2.0 Werde morgen gegen 15 uhr mal reinschauen und wenn es nicht funktioniert den ordner rauskramen.

[Sarfein 10]

Nochmals besten dank !

Jetzt hab ichs geschaft die ports auf bestimmte adressen einzuschränken.

Allerdings stehlt sich mir jetzt ein anderes problem, ich kann

keine Mac-adresse bei mehreren Port angeben. Das schluck er

einfach nicht er nimmt den befehl dafür zwar an, ignoriert ihn aber.

 

Was ich eigentlich erreichen möchte ist eine Liste von adressen darf 4-6 ports

benützen.

 

So sieht das momentan aus obwohl ich

auf Interface 0/2 ebenfalls dieselbe adresse definiert habe.

trägt er sie nicht in der konfig ein. Ode ist es gar nicht möglich ein

und dieselbe Mac-Adresse für mehrere Ports freizuschalten ?

 

Ach ja und der Befehl sticky kennt er bei mir nicht !

 

!

interface FastEthernet0/1

switchport mode access

switchport port-security

switchport port-security maximum 1

switchport port-security violation protect

switchport port-security mac-address 0002.1140.0939

spanning-tree portfast

!

interface FastEthernet0/2

switchport mode access

switchport port-security

switchport port-security maximum 1

switchport port-security violation protect

spanning-tree portfast

!

[scooby 10]

Hi,

 

doch müßte möglich sein. Wenn ich Cisco richtig verstanden habe mußt du folgenden Befehl ändern switchport port-security maximum 1 und die 1 sagt 1 mac adresse auf diesem interface ist gültig das heißt wenn du 2 einträgst kannst du 2 mac adressen auf dem port eingeben mit 50 50 halt. Und dann kannst du auch doppelte Mac Adressen vergeben.

[Sarfein 10]

Nein ich glaub du hast mich nicht richtig verstanden,

(Soll in keinsterweise Vorwurfsvoll klingen, ich bin froh das

mir überhaupt mal jemand einen Tip geben kann)

es ist mir schon klar das mit

 

switchport port-security maximum 1

 

nur eine Adresse auf diesem Port gültig ist,

was ich jedoch gern hätte ist das diese eine Mac-addresse

auf mehren ports gülitg ist.

 

Ich glaub ich hohl mal ein wenig genauer aus zur besseren

verständniss.

 

Ich hab einen switch der etwa 5 ports hat die frei zugänglich in einer bibliothek sind.

An diesen Ports kann sich JEDER beliebige

Mensch mit nem laptop anschliessen. Mittels DHCP bekommt er

dann von unserem Server einen Adresse und kann frei im

Internet rumsurfen (Bitte keine Komentare zum Thema Sicherheit)

genau deshalb mach ich ja diesen Akt.

 

Also haben wir jetzt ein Prozedere eingeführt bei welchem jeder

der diese Anschlüsse nutzen will uns seine Daten incl. Mac-Adresse gibt.

Diese Liste von mac-adressen soll dann natürlich auf allen diesen 5 ports erlaubt sein.

 

Das scheint aber nicht zu funktionieren da ich ein und dieselbe

mac-adresse nicht auf 2 verschiedenen ports eintragen kann.

 

konfig die ich hoch lade:

 

interface FastEthernet0/1

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security violation protect

switchport port-security mac-address 0001.1140.0939

spanning-tree portfast

!

interface FastEthernet0/2

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security violation protect

switchport port-security mac-address 0001.1140.0939

spanning-tree portfast

!

 

konfig die nach reload im switch ist (running-config)

 

interface FastEthernet0/1

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security violation protect

switchport port-security mac-address 0001.1140.0939

spanning-tree portfast

!

interface FastEthernet0/2

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security violation protect

spanning-tree portfast

!

[scooby 10]

Hi,

 

und beim reinladen macht der keinen ärger und motzt nicht. Dann muß er es auch annehmen und nicht später wieder rauswerfen. Was siehst du wenn du gleich sh run dir nach dem konfigurieren anschaust?

 

Benutzte mal folgenden Command

 

show port-security

 

show port-security address

 

show port-security interface interface-id

 

dort müßtest du sehen welche Mac Adresse auf welchen Port ist.

 

Ich habe in meinem Kursunterlagen mal nachgelesen. Dort steht natürlich nicht über die Problematik Mac-Adressen auf verschiedene Ports. Die haben das nur mit einem Hub gezeigt. Und bei Cisco steht auch nichts davon das die eine Mac Adresse nur auf einem Port zulassen.

Wenn das alles noch nicht bringt raten versuche doch mal folgendes:

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# switchport port-security mac-address sticky und dann die mac adresse. Und den Befehl switchport port-security mac-address 0001.1140.0939 schmeiße mal raus. Schaue was dann passiert. Bin schon gespannt.

[Sarfein 10]

Also wie bereits in meinem vorherigen Post is die Mac-Adresse in

der Startup - konfig drin aber nicht in der Running.

 

Auf die Befehle bekommm ich folgende antworten:

 

edv-test-cat2950#show port-security

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action

(Count) (Count) (Count)

-------------------------------------------------------------------------------

Fa0/1 2 1 0 Protect

Fa0/2 2 0 0 Protect

 

edv-test-cat2950#show port-security address

Secure Mac Address Table

------------------------------------------------------------

 

Vlan Mac Address Type Ports

---- ----------- ---- -----

1 0001.1140.0939 SecureConfigured Fa0/1

 

edv-test-cat2950#show port-security interface fastethernet 0/1

Security enabled:Yes,

Port status:Secureup

Violation mode:Protect

Max. addrs:2, Current addrs:1, Configured addrs:1

 

edv-test-cat2950#show port-security interface fastethernet 0/2

Security enabled:Yes,

Port status:Secureup

Violation mode:Protect

Max. addrs:2, Current addrs:0, Configured addrs:0

 

Achja und der Befehl sticky ist bei mir nicht bekannt ?

Hab ich eventuell ein zu altes IOS ?

Aktuell auf meine Test Switch ist

Version 12.1(6)EA2a

[scooby 10]

Das IOS Image ist ein bischen älter als 1 Jahr. Also zu alt würde ich nicht tippen. Wenn es geht und du kannst dein Switch kostenlos updaten auf ein höheres Image dann mach das mal. Das stick sagt ja nur aus das er die Mac adressen Automatisch lernne soll und man diese nicht per Hand eingeben muß. Mach mal folgendes wenn du im Interface bist und switchport port-security eingibst mal ein Fragezeichen hinter zu machen. Vielleicht kann man irgendwo eine Gruppe anlegen in der man die Mac Adressen verwaltet. Und wenn das alles nicht hilft gehe mal auf http://www.dsl-webseiten.de die haben auch ein cisco Forum. Versuche da mal dein Glück. Soweit ich mitbekommen habe sind da ein paar CCIE unterwegs. Und wenn die nicht weiterhelfen können wer dann??

[Sarfein 10]

Vielen Dank nochmal !

Ich werd wohl einen Work-a-round basteln, da ich nun schon

recht lange dran rumbastel. Mir schwebt da auch schon so was

vor. Is nicht besonders schön aber es sollte helfen.

 

Ich werd wohl einen mini-hub auf die anschlüsse der pcs legen und denn

dann an nur einen port am switch anschliessen. So kann ich

dann alle definitionen auf nur einen Port durchführen was ja

geht.

 

Falls doch noch jemand was einfallen sollte zu meine Problem :)

kann ich das ja hinterher noch korrigiren.

[scooby 10]

Ja das geht auf jeden Fall. Ist nicht die schönste Lösung aber was solls. Du kannst auch einen 8 Port noname Switch nehmen dann kannst du wenigstens full-duplex auf dem link fahren.