Como configurar seguridad en los puertos de un switch cisco

1. Configurar el puerto en modo acceso (access).
2. Habilitar la seguridad en los puertos.
3. Limitar la cantidad de direcciones mac permitidas en cada puerto.
4. Configurar la acción que se ejecutara al violar la limitación del puerto.

• Protegido (protect)
• restringir (restrict)
• apagar (shutdown)

5. Configurar el puerto como pegajoso (sticky)
6. Consejos.

• Configurar mas de una interfaz a la vez.

NOTA: Todas las configuraciones (a menos que no se haga la salvedad) serán configuradas en el modo de configuración de la interfaz (nombre_switch(config-if)#), para ingresar a este modo se utiliza el comando “interface” desde el modo de configuración global (Primer_switch(config)#) en conjunto con el nombre de la interfaz. Por ejemplo [nombre_switch(config)#interface fastEthernet 0/1]. Hay otros métodos de ingresar al modo de configuración de interfaz pero estos sera explicados como consejos al final del how to.

Configuración:

1. Configurar el puerto en modo de acceso: Para configurar un puerto como modo de acceso tenemos que ingresar desde el modo configuración de interfaz (nombre_switch(config-if)#) el comando switchport mode access: [switchport mode access]. 
2. Habilitar la seguridad en el o los puertos: Para habilitar la seguridad desde el modo el modo de configuración de interfaz ingresamos el comando “switchport port-security”: [nombre_switch(config-if)#switchport port-security]. 
3. Limitar la cantidad de direcciones mac permitidas en cada puerto:Para realizar esta configuración, ingresamos desde el modo de configuración de interfaz el comando switchport port-security máximum:  [nombre_switch(config-if)#switchport port-security maximum 1]. NOTA: El numero “1” es un numero opcional entre 1 y 132.

    

4. Configurar la acción que se ejecutara al violar la limitación del puerto: Ingresamos desde el modo de configuración de la interfaz el comando. “switchport port-security violation”: [nombre_switch(config)#switchport port-security violation]. 

• Para configurar el puerto como protegido (protec) y provocar que al conectar un equipo que no este registrado en la tabla de direcciones mac, este puerto no permitirá que el equipo ingrese a la red: “switchport port-security violation protect”: [nombre_switch(config-if)#switchport port-security violation protect]. 
• Para configurar el puerto como restringido (restrict) y provocar que al conectar un equipo que no este registrado en la tabla de direcciones mac, este puerto no permitirá que el equipo ingrese a la red y registrara la conexion de este equipo al puerto en los logs: “switchport port-security violation restrict”: [nombre_switch(config-if)#switchport port-security violation restrict]. 
• Para configurar el puerto como apagado (shutdown) y provocar que al conectar un equipo que no este registrado en la tabla de direcciones mac, este puerto se apague y se registre en los logs: “switchport port-security violation shutdown”: [nombre_switch(config-if)#switchport port-security violation shutdown].

5. Configurar el puerto como pegajoso (sticky): Para configurar el puerto como sticky y provocar que el equipo adquiera la dirección mac del equipo conectado a dicho puerto de manera automática y aplique las reglas configuradas con esta dirección mac, se utiliza el comando “switchport port-security mac-address sticky”: [nombre_switch(config-if)#switchport port-security mac-address sticky]. 
6. Consejo: En caso que deseen configurar un rango de interfaces pueden utilizar el comando “interface range”: interface range fastEthernet 0/1 – 5. NOTA: la parte “fastEthernet 0/1 – 5” del comando indica que las interfaces que se configuraran serán desde la interfaz “fastEthernet 0/1” a la “fastEthernet 0/5”. En caso de que deseen configurar mas de una interfaz pero que no sea un rango de interfaces o sea que estén en secuencia sino cada uno por separado, en lugar de utilizar el guion “–” utilizamos la coma “,”: interface range fastEthernet 0/1 , fastEthernet 0/5 , fastEthernet 0/2.

          NOTA: como podemos ver interfaz 0/1 y 0/2 no están en orden, incluso la interfaz 0/5 esta entre ellas.

Espero que les haya sido de utilidad este how to, si tienen alguna sugerencia y/o duda sobre algún punto pueden dejar sus comentarios.