Port Security — NetLab Academy

1/7

🛡️ Violation Modes — Simulazione

Seleziona un modo e simula una violazione per vedere cosa succede

Porta Fa0/1 — Max 1 MAC — MAC autorizzato: AA:11. Clicca "Simula Violazione" per collegare un device sconosciuto (BB:22).

🔴

Shutdown

Porta va in err-disabled. Blocca tutto. Serve reset manuale. Default.

🟠

Restrict

Scarta frame non autorizzati. Porta resta UP. Incrementa violation counter. Genera syslog.

🟡

Protect

Scarta frame non autorizzati. Porta resta UP. Nessun log, nessun counter. Silenzioso.

Seleziona un violation mode e clicca "Simula Violazione"...

📊 Confronto Violation Modes

Azione	Shutdown (default)	Restrict	Protect
Scarta frame non autorizzati	Sì	Sì	Sì
Porta rimane UP	No (err-disabled)	Sì	Sì
Incrementa violation counter	Sì	Sì	No
Genera syslog/SNMP	Sì	Sì	No
Richiede reset manuale	Sì (shut/no shut)	No	No

💡 Per l'esame: Il default è shutdown. Restrict e protect entrambi scartano i frame, ma solo restrict genera log e incrementa il counter. Protect è "silenzioso" — pericoloso perché non ti avvisa!

💻 Comandi Port Security

Configurazione, sticky MAC, recovery e verifica

🔧 Configurazione Base

SW(config)# interface FastEthernet0/1
SW(config-if)# switchport mode access   ! Obbligatorio: solo access port
SW(config-if)# switchport port-security   ! Abilita port security
SW(config-if)# switchport port-security maximum 2   ! Max 2 MAC (default: 1)
SW(config-if)# switchport port-security violation restrict   ! Violation mode
SW(config-if)# switchport port-security mac-address sticky   ! Impara e salva i MAC

💡 Prerequisito: La porta DEVE essere in access mode prima di abilitare port-security. Su una porta trunk non funziona!

🧲 Sticky MAC — Impara e Ricorda

Con sticky, lo switch impara automaticamente i MAC dei dispositivi collegati e li salva nella running-config. Con write memory diventano permanenti.

Statico

MAC inserito manualmente. Non scade. Massimo controllo ma non scalabile.
switchport port-security mac-address AAAA.BBBB.CCCC

Sticky (consigliato)

MAC imparato automaticamente e salvato in config. Combina il meglio di statico e dinamico. Scalabile.
switchport port-security mac-address sticky

Dinamico

MAC imparato automaticamente ma non salvato in config. Si perde al reboot o se la porta va down. Default.

🔍 Comandi di Verifica

Comando	Cosa mostra
show port-security	Riepilogo tutte le porte: max MAC, count, violation mode, status
show port-security interface Fa0/1	Dettaglio porta: mode, max, count, sticky, violazioni, ultimo MAC
show port-security address	Lista MAC sicuri: tipo (static/sticky/dynamic), VLAN, porta
show interfaces Fa0/1 status	Stato porta: connected, err-disabled, notconnect
errdisable recovery cause psecure-violation	Auto-recovery dopo timeout (default off, attivabile)

🔄 Recovery da err-disabled

Quando una porta va in err-disabled per violazione, serve un reset manuale o l'auto-recovery:

Reset Manuale

interface Fa0/1
shutdown
no shutdown

Auto-Recovery (consigliato)

errdisable recovery cause psecure-violation
errdisable recovery interval 300
! Riprova ogni 300 secondi

🧪 Lab — Port Security

Configura port-security, testa le violazioni e il recovery

🔒

Lab — Port Security Completo

Medio ~20 minuti

Switch con 4 PC. Configura port-security con max MAC, sticky, e tutti e 3 i violation modes. Simula violazioni e pratica il recovery da err-disabled.

12 Obiettivi:
▸ Abilita port-security su access port
▸ Configura max MAC, sticky, violation modes
▸ Simula violazione e verifica err-disabled
▸ Recovery manuale (shut/no shut)
▸ Verifica con show port-security

🔒

Lab disponibile con Pro

Lab CLI per configurare port-security, testare le violazioni e praticare il recovery.

✓ 12 obiettivi

✓ 3 violation modes

✓ Sticky MAC

❓ Quiz — Port Security

10 domande sulla sicurezza delle porte

🔒

Quiz disponibile con Pro

10 domande su port-security, violation modes, sticky MAC, err-disabled.

✓ 10 domande

✓ Spiegazioni