W niektórych sieciach portsecurity może być bardzo przydatną funkcją. Polega ona na kontroli dostępu do portów na podstawie MAC adresów. Aby włączyć porstecurity na porcie trzeba w konfiguracji portu wpisać:

switchport port-security

A następnie określić adresy MAC, których użycie na tym porcie ma być dozwolone. Można to zrobić na dwa sposoby:

  • poprzez ręczne ustawienie MAC’ów
  • naukę MAC’ów na podstawie ruchu na porcie (domyślnie)

Na każdym interfejsie trzeba ustalić maksymalna liczbę MAC’ów jaka ma być dozwolona (domyślnie w Cisco jest to 1). Służy do tego polecenie:

switchport port-security maximum x

gdzie x to liczba adresów z zakresu od 1 do 1024.

Jeśli chcemy zdefiniować konkretny adres, który może pojawić się na porcie, musimy wykonać w trybie konfiguracji interfejsu polecenie:

switchport port-security mac-address adres_mac

Przy czym adres_mac musi być podany w formie xxxx.xxxx.xxxx.

Na koniec musimy jeszcze ustalić w jaki sposób switch powinien zareagować jeśli MAC jest niezgodny z tym czego switch się nauczył lub co zostało przez nas skonfigurowane. Służy do tego polecenie:

switchport port-security violation akcja

Akcja może przyjmować jedną z trzech wartości:

  • shutdown – gdy zostanie wykryty nieautoryzowany MAC, to interfejs jest wyłączany i ustawiany w stan errdisable. Trzeba go manualnie włączyć.
  • restrict – port pozostaje włączony, ale ruch z niewłaściwego MAC’ka jest odrzucany, a switch zlicza liczbę pakietów przesłanych z tego adresu i może wygenerować trapa SNMP
  • protect – interfejs nadal pozostaje włączony podobnie jak w trybie restrict, pakiety z niewłaściwego adresu są odrzucane, ale nie są zbierane statystyki na temat liczby pakietów pochodzących z nieuprawnionego MAC’ka