Resumen
La función de seguridad de los puertos de conmutación (Port Security) es una pieza importante del rompecabezas de la seguridad de los conmutadores de red; proporciona la capacidad de limitar las direcciones a las que se permitirá enviar tráfico en los puertos de conmutación individuales dentro de la red conmutada.
Una vez que una organización decide utilizar la función de seguridad de conmutación en sus redes, es importante planificar cuidadosamente antes de poner en marcha cualquier configuración. Si bien la función de seguridad de las puertas de enlace es muy útil si se utiliza correctamente, puede ser fácilmente mal configurada; esta mala configuración puede causar la interrupción del servicio y continuos dolores de cabeza para una organización. La planificación de la configuración incluye la determinación del modo de violación y el modo de funcionamiento que se debe utilizar en función de los objetivos de la organización, así como la determinación de los puertos de conmutación que se deben habilitar con la función. Este artículo analiza cómo se configura la característica de seguridad de las puertas de enlace extendiéndose sobre los conceptos que se trataron en Conceptos de seguridad de las puertas de enlace.

Configuración de seguridad de Switchport
Por defecto, la función de seguridad de las puertas de cambio está desactivada en todas las puertas de cambio y debe estar activada. La Tabla 1 muestra los pasos necesarios para habilitar la característica de seguridad de switchport en una interfaz (Esto puede causar cierta confusión, pero cuando se utiliza Cisco IOS, la configuración de switchport se realiza mientras se está en el modo de configuración de la interfaz. Los términos interfaz y switchport son intercambiables).
Enter privileged moderouter>enableEnter global configuration moderouter#configure terminalEnter interface configuration moderouter(config)#interface interfaceEnable the switchport security featurerouter(config-if)#switchport port-security
Sin configurar ningún otro parámetro específico, la función de seguridad del puerto de conmutación sólo permitirá aprender una dirección MAC por puerto de conmutación (de forma dinámica) y utilizar el modo de violación de apagado; esto significa que si se ve una segunda dirección MAC en el puerto de conmutación, el puerto se apagará y se pondrá en el estado de desactivado por error.
La tabla 2 muestra los pasos necesarios para alterar estos parámetros predeterminados:
Enter privileged moderouter>enableEnter global configuration moderouter#configure terminalEnter interface configuration moderouter(config)#interface interfaceConfigurar el máximo número de direcciones MAC permitidas en un switchport (por defecto : 1)router(config-if)#switchport port-security maximum valueConfigurar el modo de violación del switchport (por defecto : apagar)router(config-if)#switchport port-security violation {protect | restrict | shutdown}
Como ya se ha dicho, por defecto las direcciones MAC se aprenden en un switchport de forma dinámica y se llaman direcciones MAC dinámicas. Las direcciones MAC también pueden ser configuradas de otras dos maneras: estática y pegajosa. Las direcciones MAC estáticas pueden configurarse en un switchport para garantizar que sólo un dispositivo con una MAC específica pueda utilizar un switchport (por ejemplo, si la ubicación del switchport y un dispositivo son de acceso público y la organización desea garantizar que sólo un dispositivo autorizado pueda acceder a la red). Una dirección MAC pegajosa es un híbrido entre una dirección MAC estática y una dinámica. Cuando se aprende de forma dinámica, la dirección MAC se introduce automáticamente en la configuración en ejecución como una dirección MAC estática; a continuación, la dirección se mantiene en la configuración en ejecución hasta un reinicio. Al reiniciar, la dirección MAC se perderá; si el ingeniero de redes quiere mantener la dirección MAC a través de un reinicio, se requiere guardar la configuración (copiar el inicio de la ejecución).
La tabla 3 muestra los pasos necesarios para configurar una dirección MAC estática:
Enter global configuration moderouter#configure terminalEnter interface configuration moderouter(config)#interface interfaceConfigurar un router de direcciones MAC estático(config-if)#switchport port-security mac-address
La tabla 4 muestra los pasos necesarios para permitir el uso del aprendizaje adhesivo en un conmutador:
Enter global configuration moderouter#configure terminalEnter interface configuration moderouter(config)#interface interfacePermitir el uso de la dirección MAC pegajosa learningrouter(config-if)#switchport port-security mac-address pegajosa
Ejemplo de configuración de seguridad de Switchport
Para envolver los comandos de configuración en un solo ejemplo para asegurar la claridad, esta sección mostrará un ejemplo básico de seguridad de switchport.
La configuración que se muestra en la Tabla 5 permitirá el uso de la función de seguridad del puerto de conmutación en los puertos f0/1 y f0/2, configurar estáticamente la dirección MAC 0000.1111.2222 en el puerto de conmutación f0/1 y habilitar el aprendizaje adhesivo en el puerto de conmutación f0/2.
Enter global configuration moderouter#configure terminalEnter interface configuration moderouter(config)#interface f0/1Enabling the switchport security featurerouter(config-if)#switchport port-securityConfigurar una dirección MAC estática (0000.1111.2222) en el switchport. router(config-if)#switchport port-security dirección mac 0000.1111.2222Introducir la configuración de la interfaz moderouter(config)#interface f0/2Habilitar la característica de seguridad del switchportouter(config-if)#switchport port-securityConfigurar el uso de la dirección MAC pegajosa learningrouter(config-if)#switchport port-security mac-address pegajosa
Resumen
Si bien la función de seguridad del switchport no requiere que muchos comandos funcionen correctamente, también puede ser mal configurada con la misma facilidad. Tómese el tiempo para anotar y comprobar tres veces que la configuración propuesta está haciendo lo que se espera, y/o probar una configuración propuesta en un entorno no productivo. Esperemos que el contenido de este artículo pueda ser usado para empezar con la función de seguridad de switchport.
¿Listo para probar tus habilidades para el examen de CCNA? Vean cómo se acumulan con esta evaluación de Smarterer. Comienza este examen de CCNA ahora