Что выбрать: restrict или shutdown?

restrict отбрасывает трафик нарушителя, но оставляет порт активным — легитимные устройства продолжают работать; генерируются логи и счётчики. shutdown полностью отключает порт при нарушении (err-disabled) — подходит для критичных точек (серверы, камеры), где важнее блокировать доступ нарушителя.

Почему порт ушёл в err-disabled и как понять причину?

Проверьте show port-security interface gi1/0/X — Security Violation Count покажет, было ли нарушение. Для уточнения причины смотрите show errdisable recovery и логи (show log | include Port-Security). Частые причины: превышение maximum, попытка подключения MAC с другого порта, sticky-конфликт при замене устройства.

Как посмотреть, какие MAC "secure" на порту?

Используйте команды show port-security address и show port-security interface gi1/0/X — вывод покажет secure MAC (static/dynamic/sticky), VLAN и тип записи.

Можно ли Port Security на trunk?

Зависит от платформы и режима. На многих Catalyst (например, 2960/3750/9300) Port Security ограничен или не поддерживается в стандартном trunk-режиме; на части платформ возможна частичная поддержка. Проверяйте доступные опции через switchport port-security ? и документацию вашей модели/версии.

Почему SPAN не показывает трафик VLAN / только rx/tx?

Проверьте конфигурацию SPAN (show monitor session 1). Если задан filter vlan — зеркалируются только указанные VLAN. Если задано направление rx или tx — зеркалируется только входящий или исходящий трафик. Используйте both, если нужен весь трафик.

Как быстро найти устройство по IP на коммутаторе?

1) show ip arp | include — найти MAC. 2) show mac address-table | include — найти порт. Если ARP-записи нет — выполните ping для обновления таблицы и повторите поиск.

Tilda Publishing

Привет, любопытный друг. Да, это Tilda. Потому что мы хотим быстро внедрять и управлять решением, а не ждать
в очереди разработчика. Контроль, предсказуемость и отказоустойчивость — наша главная идея.

Для запросов и ТЗ

с 9:30 до 18:00

get@work-system.ru
Для запросов и ТЗ

+7 495 108-54-54
с 9:30 до 18:00

Заказать звонок

Получить КП

[{"lid":"1631794322839","ls":"10","loff":"","li_parent_id":"","li_type":"em","li_ph":" ","li_title":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0432\u0430\u0448\u0443 \u044d\u043b. \u043f\u043e\u0447\u0442\u0443","li_name":"email","li_req":"y","li_nm":"email"},{"lid":"1631794322840","ls":"20","loff":"","li_parent_id":"","li_type":"ph","li_ph":" +7","li_title":"\u0412\u0430\u0448 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430","li_name":"phone","li_masktype":"a","li_maskcountry":"RU","li_req":"y","li_nm":"phone"},{"lid":"1631794322841","ls":"30","loff":"","li_parent_id":"","li_type":"nm","li_ph":" ","li_title":"\u041a\u0430\u043a \u0432\u0430\u0441 \u0437\u043e\u0432\u0443\u0442?","li_name":"name","li_nm":"name"},{"lid":"1631794322843","ls":"40","loff":"","li_parent_id":"","li_type":"sb","li_title":"\u0412 \u0447\u0435\u043c \u043d\u0443\u0436\u043d\u0430 \u043f\u043e\u043c\u043e\u0449\u044c?","li_variants":"\u041a\u043e\u043d\u0441\u0443\u043b\u044c\u0442\u0430\u0446\u0438\u044f \u0441 \u043f\u043e\u0434\u0431\u043e\u0440\u043e\u043c \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u041f\u043e\u043c\u043e\u0449\u044c \u0432 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u0438 \u0422\u0417 \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 44-\u0424\u0417 \u0438 223-\u0424\u0417\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0433\u043e \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0438\u043c\u043f\u043e\u0440\u0442\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439\n\u041f\u0440\u0438\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u0435 \u0432 \u0442\u0435\u043d\u0434\u0435\u0440\/\u043a\u043e\u043d\u043a\u0443\u0440\u0441","li_name":"type","li_nm":"type"},{"lid":"1631794322844","ls":"50","loff":"","li_parent_id":"","li_type":"uw","li_uwkey":"dropbox-975ea70dd556b2b055c263","li_title":"\u0424\u0430\u0439\u043b\u044b","li_name":"file","li_multiupl":"y","li_nm":"file"},{"lid":"1631794322845","ls":"60","loff":"","li_parent_id":"","li_type":"ta","li_ph":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0441\u0440\u043e\u043a\u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0434\u043e\u0431\u0430\u0432\u043e\u0447\u043d\u044b\u0439 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430 \u0438 \u043b\u044e\u0431\u044b\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0438","li_rows":"4","li_name":"comment","li_nm":"comment"},{"lid":"1761695496708","ls":"70","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u043c\u043e\u0438\u0445 <a href=\"\/privacy\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">\u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445<\/a>","li_name":"checkbox","li_req":"y","li_nm":"checkbox"},{"lid":"1761695518561","ls":"80","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 <a href=\"\/mailing\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">E-mail \u0440\u0430\u0441\u0441\u044b\u043b\u043e\u043a<\/a>","li_name":"mailing","li_req":"y","li_nm":"mailing"}]

Подберём типовое или произведем на заказ серверное оборудование, предоставим расчёт и поможем интегрировать в систему.

Заполните форму запроса слева или отправьте описание вашей задачи на почту get@work-system.ru

При отправке письма на почту укажите номер телефона вашего специалиста для обсуждения аналогов оборудования в случае необходимости

Настройка портов коммутатора Cisco: полный гид по базовой конфигурации, Port Security и SPAN

Name: WORK SYSTEM
Address: Варшавское шоссе, д. 1, стр. 6, офис А107, БЦ W Plaza-2, Москва, Москва, 117105, RU
Telephone: +7 495 108-54-54

Обновлено: Декабрь 2025

Команды и примеры проверены для Cisco IOS 15.x и IOS XE 17.x на платформах Catalyst 2960, 3560, 9200 и 9300. Синтаксис может отличаться на коммутаторах с NX-OS (Nexus) — в таких случаях уточните версию в официальной документации производителя.

Информация носит общий характер и не заменяет консультацию специалиста.

Как подключиться к коммутатору Cisco в первый раз

Прежде чем настроить порт, нужно получить доступ к командной строке (CLI) коммутатора. Для этого используется консольное подключение через специальный кабель.

Параметры консольного подключения

Подключите консольный кабель (RJ-45 — RS-232 или USB) к порту Console на коммутаторе и к компьютеру. Откройте терминальную программу (PuTTY, Tera Term, SecureCRT) и настройте соединение:

Параметры консольного подключения к коммутатору Cisco

Скорость (baud rate)

9600

Биты данных

Паритет

Нет

Стоп-биты

Управление потоком

Нет

После подключения вы увидите приглашение командной строки коммутатора. При первом запуске нового устройства автоматически запускается мастер настройки (configuration dialog) — рекомендуем отказаться от него нажатием no, чтобы выполнить конфигурацию вручную с полным контролем.

Безопасный доступ: настройка SSH вместо Telnet

Для удалённого управления коммутатором по сети используйте протокол SSH вместо устаревшего Telnet — это защитит учётные данные и команды от перехвата.

Пример настройки SSH:

enable
configure terminal
hostname SW1
ip domain-name example.com
crypto key generate rsa
! При запросе выберите длину ключа не менее 2048 бит
ip ssh version 2
line vty 0 4
 transport input ssh
 login local
exit
username admin privilege 15 secret SecurePassword123
service password-encryption
end
copy running-config startup-config

Пояснение команд:

crypto key generate rsa — генерирует RSA-ключи для SSH (потребуется доменное имя ip domain-name).
ip ssh version 2 — использует только SSH версии 2 (более безопасная).
transport input ssh — разрешает подключение к VTY-линиям только по SSH.
login local — использует локальную базу пользователей.
service password-encryption — шифрует пароли в конфигурации.

После этого вы сможете подключаться к коммутатору по SSH с любого устройства в сети, указав IP-адрес управления (см. раздел «Управление и L3: SVI»).

Базовая настройка портов коммутатора Cisco: основные команды

Чтобы настроить порт, войдите в режим привилегированного доступа командой enable, затем в режим глобальной конфигурации — configure terminal. Для выбора одиночного интерфейса используйте interface GigabitEthernet1/0/1 (где 1/0/1 — номер слота/модуля/порта). Для группы портов используйте interface range. Синтаксис диапазона может различаться в зависимости от версии IOS — используйте подсказку interface range ? для проверки допустимого формата.

Минимальный набор команд для быстрого запуска порта:

enable
configure terminal
interface GigabitEthernet1/0/1
 description Single port PC
 speed auto
 duplex auto
 no shutdown
end

Для диапазона портов:

interface range GigabitEthernet1/0/1 - 5
 description Range ports Access VLAN 10
 no shutdown
end

Команда no shutdown активирует порт. description помогает быстро идентифицировать назначение интерфейса при диагностике. Параметры speed и duplex по умолчанию установлены в режим автосогласования (auto). Фиксировать их вручную стоит только при подключении legacy-устройств, которые не поддерживают автопереговоры, или при явных проблемах (duplex mismatch).

Что такое Port Security: функции защиты порта и предотвращение угроз

Port Security на уровне L2 контролирует источники трафика по MAC-адресу отправителя. Функция ограничивает количество безопасных MAC-адресов, которые могут использовать порт, и блокирует попытки подключения устройств с неизвестными адресами. Это предотвращает подключение «чужого» оборудования и несанкционированную смену MAC-адреса на порту.

Когда на защищённый порт поступает кадр с source MAC, не входящим в список разрешённых, коммутатор выполняет действие в зависимости от настроенного режима violation: protect (тихий дроп трафика), restrict (дроп с логами и счётчиками) или shutdown (отключение порта в err-disabled). Остальные MAC-адреса, выученные динамически или заданные статически, продолжают работать без ограничений.

Схема работы Cisco Port Security: проверка MAC-адреса отправителя на порту и реакция protect/restrict/shutdown при нарушении. Входящий кадр → извлечение source MAC → проверка на совпадение с secure MAC (Match/No Match) → при No Match: protect (отбрасывание без логов), restrict (отбрасывание + лог/SNMP), shutdown (err-disabled).

Источники:
Подробнее о механизме Port Security читайте в официальном руководстве Security Configuration Guide, Cisco IOS XE 17.12.x (Catalyst 9200) и Security Configuration Guide, Cisco IOS XE 17.16.x (Catalyst 9300). Синтаксис может отличаться на платформах Nexus (NX-OS) — уточняйте в соответствующей версии документации.

Типы адресов: статические, динамические и Sticky MAC-адреса

В контексте Port Security коммутаторы Cisco распознают три типа MAC-адресов для формирования списка разрешённых адресов:

1.Статические (Static): администратор задаёт MAC вручную командой switchport port-security mac-address <H.H.H>. Запись сразу попадает в running-config и сохраняется в startup-config при выполнении write memory. Такие адреса остаются после перезагрузки и требуют явного удаления из конфигурации.

2.Динамические (Dynamic): коммутатор автоматически учит MAC из source-адреса входящих кадров. Записи хранятся только в CAM-таблице (памяти коммутатора) и удаляются при перезагрузке или потере линка. В running-config они не записываются.

3.Sticky: работают как динамические, но автоматически добавляются в running-config в виде switchport port-security mac-address sticky <H.H.H>. При сохранении конфигурации (write memory) sticky-записи переносятся в startup-config и остаются после перезагрузки. Удаление требует правки конфигурации.

Параметры консольного подключения к коммутатору Cisco

Static

Вручную администратором

Автоматически (MAC learning)

Автоматически с записью в config

Рекомендуемые сценарии

Dynamic

Автоматически (MAC learning)

CAM-таблица

Нет

Временные подключения, лабораторные стенды

Sticky

Автоматически с записью в config

Running/Startup-config

Да (при сохранении)

Рабочие места пользователей с ПК

Sticky-адреса удобны для офисных портов: коммутатор сам выучит MAC первого подключённого устройства и зафиксирует его. Статические адреса — оптимальный выбор для критичного оборудования (серверы, IP-камеры), где нужна жёсткая привязка. Динамические — для ситуаций, когда устройства часто меняются и постоянная запись в конфигурацию излишняя.

Посмотреть список безопасных MAC можно командой show port-security address.

Настройка максимального количества MAC-адресов на порту

Ограничение количества MAC-адресов защищает от подключения мини-коммутаторов, разветвителей и атак типа MAC-flood. Лимит задаётся командой switchport port-security maximum <число>. Типичные значения: 1 для ПК или принтера, 2–3 для порта с IP-телефоном и ПК (при использовании Voice VLAN).

Порядок настройки:

Переведите порт в режим access (если это edge-порт): switchport mode access.
Включите Port Security: switchport port-security.
Задайте максимум: switchport port-security maximum 2.
Опционально включите sticky для автоматического запоминания: switchport port-security mac-address sticky.

Пример конфигурации для порта с IP-телефоном и ПК:

interface GigabitEthernet1/0/10
 switchport mode access
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security violation restrict
end

Пояснение параметров:

switchport mode access — фиксирует режим порта в access.
switchport port-security — включает функцию Port Security.
switchport port-security maximum 2 — разрешает до двух MAC-адресов.
switchport port-security mac-address sticky — автоматически запоминает выученные MAC в конфигурации.
switchport port-security violation restrict — при превышении лимита отбрасывает трафик нарушителя, но оставляет порт активным.

Когда лимит превышен (адрес, которого нет в списке безопасных, пытается отправить трафик), срабатывает violation. Режим restrict отбрасывает пакеты нарушителя, инкрементирует счётчик и отправляет syslog/SNMP-уведомления, но не отключает порт. Это позволяет сохранить связь для легитимных устройств и получить сигнал о проблеме.

Port Security на Cisco — пошаговая настройка (шаблоны для рабочих мест, принтеров, uplink)

Базовый шаблон для рабочей станции (1 MAC, Sticky, мягкая реакция)

Для офисного ПК рекомендуем следующую конфигурацию:

interface GigabitEthernet1/0/5
 description PC User Dept Sales
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation restrict
 switchport port-security aging time 2
 switchport port-security aging type absolute
 no shutdown
end

Пояснение параметров:

maximum 1 — разрешён один MAC (ПК).
sticky — коммутатор автоматически запомнит MAC при первом подключении и запишет в running-config.
violation restrict — при попытке подключить второе устройство трафик блокируется, но порт остаётся активным; генерируется лог.
aging time 2 absolute — MAC-адрес удаляется через 2 минуты после добавления (опционально; уберите строку, если хотите бессрочное хранение).

Режим restrict подходит для пользовательских портов: вы получите уведомление о нарушении, но легитимное устройство продолжит работать.

Шаблон для принтера/камеры (статический MAC, строгая реакция)

Для устройств с неизменным MAC (принтеры, IP-камеры, кассы) используйте статическую привязку:

interface GigabitEthernet1/0/12
 description Printer Floor 2
 switchport mode access
 switchport access vlan 20
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address 0000.1111.2222
 switchport port-security violation shutdown
 no shutdown
end

Здесь violation shutdown переводит порт в err-disabled при любой попытке подключения с другим MAC. Это минимизирует риск подмены оборудования, но требует ручного восстановления порта (см. раздел «Восстановление из err-disabled»).

Предупреждение: При замене устройства не забудьте обновить MAC в конфигурации, иначе порт сразу перейдёт в err-disabled.

Режимы Violation: Protect, Restrict, Shutdown (как выбрать)

Сравнение режимов violation в Port Security

Protect

Отбрасывает трафик нарушителя

Нет

Да

Up (активен)

Порты, где инциденты редки и логи не критичны

Restrict

Отбрасывает трафик нарушителя

Да (syslog/SNMP)

Да

Up (активен)

Пользовательские порты — баланс безопасности/доступности

Shutdown

Блокирует весь трафик (err-disabled)

Да (syslog/SNMP)

Да

Err-disabled

Критичные точки (серверы, камеры), где нужна жёсткая защита

Protect тихо отбрасывает кадры от неразрешённых MAC без генерации логов. Подходит для сценариев, где важна стабильность порта, а инциденты маловероятны.

Restrict — самый распространённый выбор для офисных портов. Трафик нарушителя блокируется, но легитимные устройства продолжают работать. Счётчики и логи позволяют отследить попытки подключения посторонних устройств через централизованный сбор syslog или SNMP-ловушки.

Shutdown полностью отключает порт при первом нарушении, переводя его в состояние err-disabled. Это самый строгий режим — используйте для точек, где любая аномалия критична (uplink к серверам, камеры видеонаблюдения). Восстановление требует ручного вмешательства или настройки автоматического восстановления (см. errdisable recovery).

Рекомендация сетевого инженера: начинайте с restrict на пользовательских портах и настройте централизованный сбор syslog/SNMP для мониторинга нарушений.

Восстановление порта из состояния Err-Disabled (после Port Security)

Быстрый чек: почему порт упал

Когда порт переходит в err-disabled, первым делом выясните причину. Используйте команды:

show interface status — покажет статус порта (err-disabled).
show port-security interface GigabitEthernet1/0/X — детали Port Security: текущие MAC, лимиты, счётчик нарушений.
show errdisable recovery — список причин err-disable и статус таймера восстановления.
show log | include Port-Security (или просмотр syslog) — поиск записей о нарушениях.

Если в выводе show port-security interface видите Security Violation Count больше 0 и Port Status: Secure-shutdown, причина — превышение лимита MAC или попытка подключения MAC, уже закреплённого на другом порту.

Способы поднять порт безопасно

Ручное восстановление (shutdown/no shutdown)

Самый простой способ:

interface GigabitEthernet1/0/X
 shutdown
 no shutdown
end

Команда shutdown отключает порт, no shutdown активирует заново. Это сбросит err-disabled, но не устранит причину нарушения — если устройство-нарушитель всё ещё подключено, порт снова упадёт.

Перед восстановлением убедитесь:

Нарушитель отключён (проверьте физически или через CDP/LLDP).
Лимит maximum соответствует числу легитимных устройств (например, для IP-телефона + ПК должно быть maximum 2).

Автовосстановление errdisable recovery (когда можно включать)

Cisco поддерживает автоматическое восстановление портов из err-disabled через заданный интервал:

errdisable recovery cause psecure-violation
errdisable recovery interval 300

cause psecure-violation — включает восстановление для нарушений Port Security.
interval 300 — таймер ожидания (в секундах, по умолчанию 300). Через 5 минут коммутатор попытается поднять порт автоматически.

Проверка:

show errdisable recovery

Вывод покажет, какие причины включены и текущий таймер.

Предупреждение: автовосстановление может маскировать реальную проблему. Если устройство-нарушитель не убрано, порт будет циклически падать и подниматься, создавая ложное ощущение стабильности. Рекомендуем использовать errdisable recovery только в контролируемых средах (лаборатории, временные подключения) и обязательно мониторить логи.

Восстановление порта из состояния Err-Disabled (после Port Security)

Для верификации настроек используйте следующие команды:

show port-security — общий статус всех защищённых портов (Maximum MAC, текущие адреса, счётчик нарушений).
show port-security interface gi1/0/X — детали конкретного порта: тип адресов (static/dynamic/sticky), violation count, aging.
show mac address-table interface gi1/0/X — список всех MAC, выученных на порту (не только secure).

Пример вывода show port-security interface gi1/0/5:

Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Maximum MAC Addresses      : 2
Total MAC Addresses        : 1
Sticky MAC Addresses       : 1
Security Violation Count   : 0

Важные поля:

Port Status — Secure-up (порт активен) или Secure-shutdown (err-disabled).
Violation Mode — текущий режим (protect/restrict/shutdown).
Maximum MAC Addresses — лимит разрешённых адресов.
Security Violation Count — счётчик нарушений (если больше 0 — были попытки подключения неразрешённых MAC).

Как найти устройство по IP-адресу в сети Cisco

Если нужно найти устройство по IP-адресу, используйте связку ARP → MAC → CAM:

Шаг 1. Найти MAC по IP:

show ip arp | include 192.168.1.100

Шаг 2. Найти порт по MAC:

show mac address-table | include <MAC>

Для коммутаторов уровня L2 (без IP-роутинга) команда show ip arp работает только для адресов, известных управляющему интерфейсу (SVI). Если искомый IP не в таблице ARP коммутатора — выполните поиск на L3-ядре сети (маршрутизаторе или L3-коммутаторе), где находится шлюз подсети.

Настройка SPAN порта на коммутаторе Cisco для анализа трафика

SPAN (Switched Port Analyzer) зеркалирует трафик с одного или нескольких портов (source) на порт анализатора (destination), где подключён Wireshark, IDS или другой инструмент мониторинга. Это позволяет захватывать и анализировать трафик без физического разрыва линка.

Что можно выбрать источником:

Один или несколько интерфейсов (source interface gi1/0/5).
VLAN (source vlan 10).
Направление трафика: rx (входящий), tx (исходящий) или both.

Пример локальной SPAN-сессии:

monitor session 1 source interface GigabitEthernet1/0/5 both
monitor session 1 destination interface GigabitEthernet1/0/24

Пояснение команд:

monitor session 1 source interface gi1/0/5 both — зеркалирует весь трафик (входящий и исходящий) с порта Gi1/0/5.
monitor session 1 destination interface gi1/0/24 — копирует трафик на порт Gi1/0/24, где подключён анализатор.

Проверка:

show monitor session 1

Вывод покажет источники, направление и порт назначения.
Нюанс для trunk-портов: если источник — trunk, можно ограничить зеркалирование конкретными VLAN:

monitor session 1 source interface gi1/0/1 rx
monitor session 1 filter vlan 10,20
monitor session 1 destination interface gi1/0/24

Фильтр vlan 10,20 зеркалирует только трафик из этих VLAN.

Ограничения:

Destination-порт нельзя использовать для обычного трафика во время работы SPAN. Он работает только как приёмник зеркалированных пакетов.
При множественных source не гарантируется захват всего трафика — пропускная способность destination-порта может быть меньше суммарного трафика источников.

Настройка L2-порта: Access, Trunk, Voice VLAN (чтобы Port Security работал предсказуемо)

Access-порт (конечные устройства)

Access-порт передаёт трафик одного VLAN без тегов 802.1Q. Подходит для подключения конечных устройств (ПК, принтеры).

Пример конфигурации:

interface GigabitEthernet1/0/3
 description PC User VLAN 10
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 no shutdown
end

switchport mode access фиксирует режим порта в access (отключает динамическую переговорку DTP).
switchport access vlan 10 назначает порт VLAN 10.
spanning-tree portfast ускоряет переход в forwarding (используйте только на edge-портах без риска петель).

Подробнее о создании и назначении VLAN читайте в материале настройка VLAN.

Практика: фиксируйте все edge-порты в mode access, чтобы исключить случайное формирование trunk при подключении ещё одного коммутатора.

Voice VLAN (IP-телефон + ПК за телефоном)

Voice VLAN позволяет передавать голосовой трафик IP-телефона и данные ПК через один физический порт.

interface GigabitEthernet1/0/8
 description IP-Phone + PC
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security violation restrict
 no shutdown
end

Рекомендации по настройке Port Security для разных сценариев

ПК (data only)

Sticky

IP-телефон + ПК

Sticky

Принтер/камера

Static

Мини-коммутатор (3–5 устройств)

3–5

Sticky

Trunk-порт (между коммутаторами/к роутеру)

Trunk передаёт трафик нескольких VLAN с тегами 802.1Q.

Allowed VLAN и Native VLAN (минимизация ошибок и атак)

Пример конфигурации trunk:

interface GigabitEthernet1/0/1
 description Trunk to Core Switch
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 switchport trunk native vlan 99
 switchport nonegotiate
 no shutdown
end

switchport trunk allowed vlan 10,20,30 — ограничивает передачу только указанными VLAN (pruning).
switchport trunk native vlan 99 — задаёт Native VLAN (по умолчанию VLAN 1). Рекомендуется использовать неиспользуемый VLAN (например, 99) и не назначать его ни одному порту, чтобы минимизировать риск VLAN hopping.
switchport nonegotiate — отключает DTP (Dynamic Trunking Protocol), предотвращает незапланированное формирование trunk.

Чек-лист настройки trunk:

Ограничить allowed VLAN списком реально используемых.
Задать Native VLAN (не VLAN 1).
Согласовать Native VLAN на обоих концах trunk.
Отключить DTP командой nonegotiate.
Добавить описание порта (description).

Native VLAN mismatch возникает, когда на концах trunk заданы разные Native VLAN. Это приводит к петлям и утечкам трафика. Проверьте командой show interfaces trunk — поле Native vlan должно совпадать на обоих коммутаторах.

Управление и L3: SVI (Interface VLAN) и шлюз по умолчанию

SVI для управления коммутатором (mgmt IP)

SVI (Switched Virtual Interface) — это логический интерфейс VLAN с IP-адресом, используемый для управления коммутатором или для Inter-VLAN routing.

Пример конфигурации mgmt SVI на L2-коммутаторе:

vlan 100
 name Management
exit
interface vlan 100
 ip address 192.168.100.10 255.255.255.0
 no shutdown
exit
ip default-gateway 192.168.100.1

interface vlan 100 создаёт SVI для VLAN 100.
ip address назначает IP для удалённого доступа (SSH/Telnet).
ip default-gateway задаёт шлюз по умолчанию (нужен только на L2-коммутаторах без IP-роутинга).

Альтернативный вариант — получение IP по DHCP:

interface vlan 100
 ip address dhcp
 no shutdown
exit

При условии, что в сети есть DHCP-сервер, коммутатор получит IP-адрес, маску и шлюз автоматически. Проверить арендованный адрес можно командой show dhcp lease.

Проверка:

show ip interface brief
ping 192.168.100.

Если пинг не проходит, проверьте:

VLAN 100 существует и активен (show vlan brief).
На каком-то порту назначен VLAN 100 (иначе SVI не поднимется).
Default-gateway корректен.

Диагностика и мониторинг портов Cisco (статус, ошибки, поиск устройства)

Статус интерфейса и администрирование

Команды диагностики портов коммутатора Cisco

Общий статус всех портов

show interfaces status

Status (connected/notconnect/err-disabled), VLAN, Duplex, Speed

Краткий список интерфейсов с IP

show ip interface brief

Status (up/down), Protocol (up/down), IP address

Детали интерфейса (ошибки/дропы)

show interfaces gi1/0/X

CRC, collisions, runts, giants, input/output errors

Статус Port Security

show port-security interface gi1/0/X

Secure-up/Secure-down, violation count, maximum MAC

Состояние err-disabled

show errdisable recovery

Причина err-disable, таймер восстановления

Пример: если порт в статусе notconnect, проверьте физический линк (кабель, SFP). Если err-disabled — смотрите причину в show errdisable recovery или логах.

Найти, на каком порту устройство (MAC/ARP)

Через MAC-таблицу

show mac address-table | include 0000.1111.2222
show mac address-table interface gi1/0/5

Первая команда найдёт порт по известному MAC. Вторая покажет все MAC, выученные на конкретном порту.

Через IP → ARP → MAC → порт

1. Найти MAC по IP:

show ip arp | include 192.168.1.100

Вывод покажет MAC-адрес для IP.

2. Найти порт по MAC:

show mac address-table | include <MAC>

Вывод покажет интерфейс, на котором выучен этот MAC.

Если MAC найден на Port-channel (Po1)

Когда MAC-адрес "висит" на логическом интерфейсе Port-channel (например, Po1), это означает, что устройство подключено через EtherChannel — агрегацию нескольких физических портов. Чтобы узнать, какие именно порты входят в Po1:

show etherchannel summary

или

show interfaces port-channel 1

Вывод покажет список физических интерфейсов (например, Gi1/0/23-24), объединённых в Po1.

Best Practices: безопасная и поддерживаемая конфигурация портов (чек-лист)

Чек-лист для edge-портов (пользовательских)

Description: задать понятное описание (description PC User Dept Sales).
VLAN: назначить access VLAN (switchport access vlan 10).
Port Security: включить и задать maximum (switchport port-security maximum 1).
Violation: выбрать режим (switchport port-security violation restrict).
Sticky (опционально): switchport port-security mac-address sticky.
Неиспользуемые порты: отключить командой shutdown.
PortFast/BPDU Guard (опционально): для ускорения STP и защиты от петель (см. отдельные материалы).

Частые ошибки

Native VLAN mismatch на trunk

Признак: петли, утечка трафика между VLAN, логи о mismatch.

Решение:

show interfaces trunk

Проверьте поле Native vlan на обоих концах. Согласуйте командой:

switchport trunk native vlan 99

Неправильный maximum при IP-телефонии (телефон+ПК)

Признак: порт в err-disabled или устройство не получает доступ.

Решение: используйте maximum 2 для порта с voice VLAN.

"Самоблокировка" порта из-за sticky и замены устройства

Признак: после замены ПК порт уходит в err-disabled.

Решение: удалите старую sticky-запись из конфигурации:

no switchport port-security mac-address sticky <старый MAC>

Затем восстановите порт (shutdown/no shutdown).

Для диагностики проверьте вывод show port-security interface gi1/0/X — в поле Sticky MAC Addresses увидите закреплённый адрес. Команда show port-security address покажет все sticky-записи с указанием VLAN и порта.

SPAN на неправильный destination (почему "сломался" доступ)

Признак: устройство на destination-порту теряет связь.

Решение: destination-порт SPAN не может использоваться для обычного трафика. Переместите устройство на другой порт или удалите SPAN-сессию:

no monitor session 1

Типовые ошибки настройки портов и их решение

Native VLAN mismatch

Петли, логи mismatch

Согласовать Native VLAN на обоих концах

Maximum при телефоне+ПК

Устройство не получает доступ

Задать maximum 2

Sticky и замена устройства

Err-disabled при новом ПК

Удалить старый sticky MAC из config

SPAN на destination

Устройство на порту теряет связь

Переместить устройство или удалить SPAN-сессию

Состояние err-disabled

show errdisable recovery

Причина err-disable, таймер восстановления

Методика тестирования: все примеры команд рекомендуется сначала проверять в лабораторной среде (Packet Tracer, EVE-NG, CML) и затем внедрять через процедуру change management. Неправильная настройка Port Security или SPAN может привести к потере доступа к критичным системам. Всегда делайте резервную копию конфигурации (copy running-config startup-config) перед применением изменений в продакшене.

Если вы столкнулись с какой-то проблемой, то можно вернуться к заводским настройкам.

Настройка портов коммутатора Cisco: полный гид по базовой конфигурации, Port Security и SPAN

Оглавление

Как подключиться к коммутатору Cisco в первый раз

Безопасный доступ: настройка SSH вместо Telnet

Базовая настройка портов коммутатора Cisco: основные команды

Что такое Port Security: функции защиты порта и предотвращение угроз

Типы адресов: статические, динамические и Sticky MAC-адреса

Настройка максимального количества MAC-адресов на порту

Port Security на Cisco — пошаговая настройка (шаблоны для рабочих мест, принтеров, uplink)

Восстановление порта из состояния Err-Disabled (после Port Security)

Восстановление порта из состояния Err-Disabled (после Port Security)

Настройка SPAN порта на коммутаторе Cisco для анализа трафика

Настройка L2-порта: Access, Trunk, Voice VLAN (чтобы Port Security работал предсказуемо)

Управление и L3: SVI (Interface VLAN) и шлюз по умолчанию

Диагностика и мониторинг портов Cisco (статус, ошибки, поиск устройства)

Best Practices: безопасная и поддерживаемая конфигурация портов (чек-лист)

FAQ по настройке портов Cisco (Port Security, SPAN, VLAN)