Ich möchte bei einem Cisco Switch 2950 erreichen,
dass am Port 23 die Funktion "port-security" aktiviert ist.
Dabei soll folgendes passieren:
Eine bestimmte MAC Adresse, die ich konfiguriere, soll an diesem Port erlaubt sein. Der PC mit dieser MAC, der an den Switchport angeschlossen wird, soll also Zugriff aufs LAN bekommen.

Wenn sich nun aber ein ANDERER PC u. damit eine andere MAC an den Port anschliesst, soll ein SNMP Trap gesendet werden. Der Port selber soll aber weiter funktionieren u. NICHT shutdown sein.

Verstanden?

Also habe ich konfiguriert

interface fa0/23

switchport port-security
switchport port-security mac-address 00:e9:d2:ed:c8:fe
switchport port-security maximum 1
switchport port-security violation restrict

Das funktioniert soweit auch. Sobald eine "neue" MAC an den Switchport angeschlossen wird, bekomme ich einen schönen SNMP Trap der auch die neue MAC enthält. Das Problem ist - der Port wird ausgeschaltet.

Wenn ich "maximum 100" stelle, bleibt auch bei einer neuen MAC die an den Port kommt, der Port up. Aber es wird kein Trap gesendet.

Hat einer ne Idee, wie ich es hinkriege, dass der Trap gesendet wird, der Port aber nicht down geht?

Hehe.

Es wäre ein Versuch mit dem Wert:

switchport port-security maximum 1
switchport port-security violation protect

hab leider kein Switch mit dem richtigen IOS zu Hand aber der unterschied ist zwischen protocet und restrict ist laut Cisco nur das er den inkementeller zähler nicht erhoht wird und somit das interface nicht shutdown geht.

Also Xheon, das nenn ich mal ne klare Aussage!
Genau das wollte ich morgen mit frischem Kopf ausprobieren. "protect".
Im Cisco Buch steht halt ausdrücklich bei
"restrict" dass bei diesem Kommando ein SNMP Trap gesendet wird. Bei "protect" steht das leider nicht, daher hab ichs nicht probiert.
Aber morgen früh wissen wir mehr...

Das wäre geil wenns klappt. Ein Problem weniger.

Thanx.

Jetzt schau dir das an

"Violation Restrict will not disable the switch port, but instead cause the switch to increment a security violation counter, and send an SNMP trap. These options are quite configurable, you can even specify how long to shut down the port when a violation occurs. An alternative, less dynamic method, is to program the MAC address binding as static. This stops any other MAC from working on a port, ever."


Quelle:
http://www.enterprisenetworkingplane...le.php/3462211

Eigentlich GENAU das, was ich will.
Ich denk mit "restrict" war ich schon auf dem richtigen Dampfer.

Ich glaube der Fehler war, dass ich eine bestimmte MAC statisch eingetragen habe.

switchport port-security mac-address xx:xx:xx:xx:xx:xx

und hat es mit restrict ohne feste mac funktioniert?

Das "restrict" ohne statischen MAC Eintrag hab ich jetzt auch probiert.
Dann wird jede neue MAC auch erlaubt, u. kein Trap gesendet.
Wenn ich gleichzeitig das "maximum" auf 1 habe, ist dynamisch jede neue MAC erlaubt, ohne Trap.
Es ist jedoch immer nur EINE MAC erlaubt,
man kann also keinen HUB oder sowas an den Port anschliessen, da (dynamisch) nur eine MAC (egal welche) an dem Port erlaubt ist.

Wenn ich eine fixe MAC an den Port binde,
in Verbindung mit "violation restrict", wird zwar ein Trap gesendet, wenn eine neue MAC angeschlossen wird, aber gleichzeitig wird der Port abgeschaltet, was ich ja gerade nicht möchte.

Wenn ich restrict in Verbindung mit maximum 100 eingebe, incl. statischer MAC Eintrag, sind 100 MACs erlaubt, u. es wird weder ein Trap gesendeet noch der Port runtergefahren, wenn eine neue MAC angeschlossen wird (bis 100 MACs erreicht sind..).


Also, ich gebs auf. Ich glaub ich kann mit der Funktion mein Ziel nicht erreichen, dass bei Anschluss einer neuen MAC ein Trap gesendet wird, der Port aber up bleibt. Seufz.

Hat vielleicht einer der Spezialisten noch ne Idee wie man das doch noch drehen kann?

Ich überlege schon mit dem Parameter "Aging" zu forschen ... aber die Sache erscheint mir jetzt doch aufwendiger als geplant....