В этой статье я приведу пример настройки port security на коммутаторах D-Link.
Благодаря функции Port Security, на портах коммутаторов D-Link можно ограничить количество устройств, которым разрешено подключаться к сети.
Допустим необходимо разрешить на портах с 1 по 5 подключаться только до двух устройств, для этого выполним команду:
config port_security ports 1-5 admin_state enabled max_learning_addr 2 lock_address_mode DeleteOnTimeout
Проверим:
show port_security
Если пользователь поменял устройство, то при режиме «Delete on Timeout» МАС-адрес старого устройства устареет после истечения таймера FDB Aging Time (обычно 5 минут) и будет удален, после этого может быть изучен новый MAC-адрес.
При режиме «Permanent» МАС-адреса никогда не устареют даже после перезагрузки коммутатора.
При режиме «Delete on Reset» МАС-адреса будут удалены после перезагрузки коммутатора.
Чтобы коммутатор делал записи в логах и отправлял SNMP Trap при подключении неавторизованного устройства, выполним команду:
enable port_security trap_log
Чтобы отключить Port Security или вернуть значения по умолчанию, выполним:
config port_security system max_learning_addr no_limit disable port_security trap_log config port_security ports 1-5 admin_state disable max_learning_addr 32 lock_address_mode deleteonreset
Если необходимо запретить изучение МАС-адресов и вручную их указать, то запретим изучение например на портах с 1 по 2:
config port_security ports 1-2 admin_state enabled max_learning_addr 0
И создадим статические записи (default — имя VLAN):
create fdb default 00-00-00-00-11-11 port 1 create fdb default 00-00-00-00-11-b2 port 1 create fdb default 00-00-00-00-11-1a port 2