Vitali88 Geschrieben 6. November 2008 Geschrieben 6. November 2008 So, ich habe hier ein Catalyst 2950 ich möchte das ein bestimmter Port, z.b. 5 nur eine von mir bestiommte mac addresse akzeptiert, wie kann ich das machen? danke im Vorraus Zitieren
Crash2001 Geschrieben 6. November 2008 Geschrieben 6. November 2008 Schau mal hier. Auf der Cisco-Seite findet man solche Sachen meist recht flott. Zitieren
Vitali88 Geschrieben 6. November 2008 Autor Geschrieben 6. November 2008 jo stimmt, danke schön Zitieren
Vitali88 Geschrieben 10. November 2008 Autor Geschrieben 10. November 2008 (bearbeitet) Ich habe eine bitte! Schaut euch das mal an, irgendwie funktioniert das nicht obwohl das auf der cisco seite so beschrieben wird! FiSi(config-if)#sw FiSi(config-if)#switchport mode FiSi(config-if)#switchport mode ac FiSi(config-if)#switchport mode access FiSi(config-if)#sw por^ FiSi(config-if)#sw por FiSi(config-if)#sw port-security FiSi(config-if)#sw port-security max 1 FiSi(config-if)#sw port-security vio shu FiSi(config-if)#sw port-security mac FiSi(config-if)#sw port-security mac-address 000e.a6c6.0ee6 FiSi(config-if)#end FiSi# 03:15:25: %SYS-5-CONFIG_I: Configured from console by console FiSi#sh por FiSi#sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) ------------------------------------------------------------------------------- Fa0/1 1 1 4 Shutdown ------------------------------------------------------------------------------- Total Addresses in System : 1 Max Addresses limit in System : 1024 danke Bearbeitet 10. November 2008 von Vitali88 Zitieren
Crash2001 Geschrieben 10. November 2008 Geschrieben 10. November 2008 Was genau funktioniert denn da nicht? Es hat doch schon 4x angeschlagen. P.S.: Poste mal nur, was du in der Console auch abgeschickt hast und nicht das was du alles geschrieben hast. mit anderen Worten, die Ausgabe von sh run int Fa0/1 Und dann schreib mal, was genau du da machen willst und was genau nicht funktioniert und wie sich das äussert. Zitieren
Vitali88 Geschrieben 10. November 2008 Autor Geschrieben 10. November 2008 (bearbeitet) Was genau funktioniert denn da nicht? Es hat doch schon 4x angeschlagen. P.S.: Poste mal nur, was du in der Console auch abgeschickt hast und nicht das was du alles geschrieben hast. mit anderen Worten, die Ausgabe von sh run int Fa0/1 FiSi#show run int fa 0/1 Building configuration... Current configuration : 173 bytes ! interface FastEthernet0/1 switchport mode access switchport protected switchport port-security switchport port-security mac-address 000e.a6c6.0ee6 no ip address end er fährt den port niocht runter und das mit den 4 mal ist auch irgend nicht richtig, es sind bestimmt schon 7 mal gewesen, weil ich selber das ausprobiert habe Bearbeitet 10. November 2008 von Vitali88 Zitieren
Crash2001 Geschrieben 10. November 2008 Geschrieben 10. November 2008 [...]er fährt den port niocht runter und das mit den 4 mal ist auch irgend nicht richtig, es sind bestimmt schon 7 mal gewesen, weil ich selber das ausprobiert habe Kein Wunder. Du hast ja auch nicht konfiguriert, dass er heruntergefahren werden soll, bzw gar nicht konfiguriert, was gemacht werden soll, wenn ein Port-Security ausgelöst wird. Wenn der Port heruntergefahren werden soll, muss noch ein switchport port-security violation shutdown dazu. switchport port-security violation {protect | restrict | shutdown} (Optional) Set the violation mode, the action to be taken when a security violation is detected, as one of these: •protect—When the number of secure MAC addresses reaches the limit allowed on the port, packets with unknown source addresses are dropped until you remove a sufficient number of secure MAC addresses or increase the number of maximum allowable addresses. You are not notified that a security violation has occurred. •restrict—When the number of secure MAC addresses reaches the limit allowed on the port, packets with unknown source addresses are dropped until you remove a sufficient number of secure MAC addresses or increase the number of maximum allowable addresses. In this mode, you are notified that a security violation has occurred. Specifically, an SNMP trap is sent, a syslog message is logged, and the violation counter increments. •shutdown—In this mode, a port security violation causes the interface to immediately become error-disabled, and turns off the port LED. It also sends an SNMP trap, logs a syslog message, and increments the violation counter. Note When a secure port is in the error-disabled state, you can bring it out of this state by entering the errdisable recovery cause psecure-violation global configuration command, or you can manually re-enable it by entering the shutdown and no shutdown interface configuration commands. Zitieren
Vitali88 Geschrieben 10. November 2008 Autor Geschrieben 10. November 2008 Kein Wunder. Du hast ja auch nicht konfiguriert, dass er heruntergefahren werden soll, bzw gar nicht konfiguriert, was gemacht werden soll, wenn ein Port-Security ausgelöst wird. Wenn der Port heruntergefahren werden soll, muss noch ein switchport port-security violation shutdown dazu. doch habe ich FiSi(config-if)#sw port-security max 1 FiSi(config-if)#sw port-security vio shu !!!!!! FiSi(config-if)#sw port-security mac Zitieren
Crash2001 Geschrieben 10. November 2008 Geschrieben 10. November 2008 (bearbeitet) Dann hat ers entweder nicht übernommen, oder aber du hast nicht die komplette Ausgabe vom sh run int fa0/1 hier rein kopiert. Siehe hier - in deiner running-config steht kein switchport port-security violation shutdown drin. [...]Building configuration... Current configuration : 173 bytes ! interface FastEthernet0/1 switchport mode access switchport protected switchport port-security switchport port-security mac-address 000e.a6c6.0ee6 no ip address end[...] Bei dir scheint es auf restrict oder protect zu stehen, aber nicht auf shutdown. [edit] Oder es ist die Standardeinstellung und wird daher nicht angezeigt. *grybl* [/edit] Bearbeitet 10. November 2008 von Crash2001 Zitieren
Vitali88 Geschrieben 10. November 2008 Autor Geschrieben 10. November 2008 Dann hat ers entweder nicht übernommen, oder aber du hast nicht das ganze beim sh run hier rein kopiert. Siehe hier - in der running-config steht kein switchport port-security violation shutdown drin. er hat nicht übernommen, aber ich weiß nicht warum habe das auch schon 4 mal neu gemacht! Zitieren
Crash2001 Geschrieben 10. November 2008 Geschrieben 10. November 2008 (bearbeitet) Dann tippe das Kommando mal bis violation und schau mittels Fragezeichen, was er da alles kennt. Falls er es kennt, sollte er es auch eigentlich übernehmen, falls der Port in den Modus konfiguriert werden kann. Welche IOS-Version hast du denn genau auf dem Switch drauf? [edit] Probier mal, ob es evtl funktioniert, wenn du das noch hinzufügst: switchport port-security maximum 1 [/edit] Bearbeitet 10. November 2008 von Crash2001 Zitieren
Vitali88 Geschrieben 10. November 2008 Autor Geschrieben 10. November 2008 Dann tippe das Kommando mal bis violation und schau mittels Fragezeichen, was er da alles kennt. Falls er es kennt, sollte er es auch eigentlich übernehmen, falls der Port in den Modus konfiguriert werden kann. Welche IOS-Version hast du denn genau auf dem Switch drauf? [edit] Probier mal, ob es evtl funktioniert, wenn du das noch hinzufügst: switchport port-security maximum 1 [/edit] FiSi(config-if)#sw port vio ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode gibts! die bis 2003! Glaub ich Zitieren
Vitali88 Geschrieben 10. November 2008 Autor Geschrieben 10. November 2008 Dann tippe das Kommando mal bis violation und schau mittels Fragezeichen, was er da alles kennt. Falls er es kennt, sollte er es auch eigentlich übernehmen, falls der Port in den Modus konfiguriert werden kann. Welche IOS-Version hast du denn genau auf dem Switch drauf? [edit] Probier mal, ob es evtl funktioniert, wenn du das noch hinzufügst: switchport port-security maximum 1 [/edit] ioch habe probiert noch eine hinzuzufügen, er meinte maximunm auf 1 und deshalb geht keine zweite, also das geht schon mal! Zitieren
Crash2001 Geschrieben 10. November 2008 Geschrieben 10. November 2008 Ich schau gleich mal im Lager, ob wir da noch einen 2950er haben und teste das dann mal durch. Zitieren
Crash2001 Geschrieben 10. November 2008 Geschrieben 10. November 2008 (bearbeitet) Also ich habe es ausgetestet mit folgender Konfiguration: Interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security mac-address sticky Und es funktioniert einwandfrei. <i>switchport port-security violation <b>shutdown </b></i> ist wie ich gesehen habe der Standardwert und es taucht nur auf, wenn man es auf <i>restrict</i> oder <i>protect</i> stellt [edit] Statt sticky kann man natürlich auch eine MAC-Adresse fest einstellen. War ich aber zu faul zu. [/edit] Bearbeitet 10. November 2008 von Crash2001 Zitieren
Vitali88 Geschrieben 11. November 2008 Autor Geschrieben 11. November 2008 Also ich habe es ausgetestet mit folgender Konfiguration: Interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security mac-address sticky Und es funktioniert einwandfrei. <i>switchport port-security violation <b>shutdown </b></i> ist wie ich gesehen habe der Standardwert und es taucht nur auf, wenn man es auf <i>restrict</i> oder <i>protect</i> stellt [edit] Statt sticky kann man natürlich auch eine MAC-Adresse fest einstellen. War ich aber zu faul zu. [/edit] interface FastEthernet0/1 switchport mode access switchport protected switchport port-security switchport port-security mac-address 000e.a6c6.0ee6 no ip address end bei mir siehts auch so aus aber irgendwie gehts nicht, ich lass mal das protect raus mal schauen was da passiert! Zitieren
Vitali88 Geschrieben 12. November 2008 Autor Geschrieben 12. November 2008 (bearbeitet) Alles klar, ich habe das ohne das sw por protected versucht und es geht wie nehme ich die aber wieder raus wenn ich will vielen danke für die hilfe! Bearbeitet 12. November 2008 von Vitali88 Zitieren
Vitali88 Geschrieben 12. November 2008 Autor Geschrieben 12. November 2008 Alles klar, ich habe das ohne das sw por protected versucht und es geht wie nehme ich die aber wieder raus wenn ich will vielen danke für die hilfe! ich mein sw protected Zitieren
Crash2001 Geschrieben 12. November 2008 Geschrieben 12. November 2008 (bearbeitet) [...]wie nehme ich die aber wieder raus wenn ich will[...]Du meinst wie du das err-disabled wieder weg bekommst? Das kommt drauf an, aus welchem Grund der Port auf err-disabled steht. Einmal per errordisable recovery cause [cause], wobei [cause] den Grund für das err-disabled angibt, oder alternativ einfach ein shut und no shut auf dem Interface was disabled wurde. Hmmm... das switchport protected solltest du doch eigentlich durch voranstellen eines no wieder aufheben können, wie so ziemlich jeden anderen Befehl auch. Bearbeitet 12. November 2008 von Crash2001 Zitieren
Vitali88 Geschrieben 12. November 2008 Autor Geschrieben 12. November 2008 Du meinst wie du das err-disabled wieder weg bekommst? Das kommt drauf an, aus welchem Grund der Port auf err-disabled steht. Einmal per errordisable recovery cause [cause], wobei [cause] den Grund für das err-disabled angibt, oder alternativ einfach ein shut und no shut auf dem Interface was disabled wurde. Hmmm... das switchport protected solltest du doch eigentlich durch voranstellen eines no wieder aufheben können, wie so ziemlich jeden anderen Befehl auch. Also ich möchte die ganze port security entfernen Zitieren
Crash2001 Geschrieben 12. November 2008 Geschrieben 12. November 2008 Also ich möchte die ganze port security entfernen [...]das switchport protected solltest du doch eigentlich durch voranstellen eines no wieder aufheben können, wie so ziemlich jeden anderen Befehl auch. Also jedem Befehl ein no vorranstellen. Alternativ könntest du die Config auf einen TFTP-Server laden, bearbeiten und dann vom Switch wieder runterladen, oder aber einfach die aktuelle running-config löschen und dann abspeichern oder die startup-config löschen und neu starten. Kommt halt drauf an, ob du die aktuellen Einstellungen bis auf die port-security weiter verwenden willst, oder nicht. Zitieren
Vitali88 Geschrieben 12. November 2008 Autor Geschrieben 12. November 2008 Du meinst wie du das err-disabled wieder weg bekommst? Das kommt drauf an, aus welchem Grund der Port auf err-disabled steht. Einmal per errordisable recovery cause [cause], wobei [cause] den Grund für das err-disabled angibt, oder alternativ einfach ein shut und no shut auf dem Interface was disabled wurde. Hmmm... das switchport protected solltest du doch eigentlich durch voranstellen eines no wieder aufheben können, wie so ziemlich jeden anderen Befehl auch. Ja err-disable zeigt er an, wie benutz ich das errordisable, vllt ein beispiel, bitte Zitieren
Crash2001 Geschrieben 12. November 2008 Geschrieben 12. November 2008 Wie wie benutz ich das err-disable? Das ist ein Status eines Interfaces, wenn es deaktiviert wurde aufgrund port-security. Wie du es wieder raus bekommst, steht bereits oben. Und sorry, aber schau dir doch mal den Command Reference Guide für den 2950 an, den ich in meinem ersten Posting hier gelinkt habe, an. Da findest du alles was du brauchst. Da sind auch immer Beispiele bzw Konfigurationsschnipsel bei. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.