Cisco Catalyst - Port Security
Guten Abend @all,
es geht dieses Mal um Cisco Catalyst Switches der 95xx Serie.
Standardmäßig wird auf allen Ports das Feature Port Security eingesetzt. Die Konfiguration dafür ist entworfen und wird erfolgreich genutzt.
Nun soll für ein Gerät auf dem selben Switch Stack ein weiterer Port eingerichtet werden. Allerdings wird beim Hinterlegen der MAC Adresse folgende Meldung ausgegeben:
War eigentlich klar. Den Port Security basiert auf MAC-Adressen und damit auf Layer 2.
Somit haben wir einen anderen Weg verfolgt mit Hilfe von mac access-group.
Leider funktioniert das ebenfalls nicht. Vermutlich sitze ich schon zu lange davor. 
Kann mir jemand sagen wo der (Logik)Fehler sich versteckt?
Gruß,
Dani
P.S. Eine Nutzung von IEEE 802.1X ist nicht möglich.
es geht dieses Mal um Cisco Catalyst Switches der 95xx Serie.
Standardmäßig wird auf allen Ports das Feature Port Security eingesetzt. Die Konfiguration dafür ist entworfen und wird erfolgreich genutzt.
Nun soll für ein Gerät auf dem selben Switch Stack ein weiterer Port eingerichtet werden. Allerdings wird beim Hinterlegen der MAC Adresse folgende Meldung ausgegeben:
cisco port security Found duplicate mac-addressSomit haben wir einen anderen Weg verfolgt mit Hilfe von mac access-group.
conf t
!
mac access-list extended Client1
permit host 1111.2222.3333 any
deny any any
!
exit
!
interface Twen 1/0/40
mac access-group Client1 in
!
endKann mir jemand sagen wo der (Logik)Fehler sich versteckt?
Gruß,
Dani
P.S. Eine Nutzung von IEEE 802.1X ist nicht möglich.
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen3 Antworten
- LÖSUNG aqui schreibt am 26.02.2021 um 09:09:23 Uhr
- LÖSUNG Dani schreibt am 26.02.2021 um 20:13:43 Uhr
- LÖSUNG aqui schreibt am 27.02.2021 um 09:39:39 Uhr
- LÖSUNG Dani schreibt am 26.02.2021 um 20:13:43 Uhr
LÖSUNG 26.02.2021, aktualisiert um 09:09 Uhr
Hi Dani,
Gilt nur wenn es non IP Traffic ist. Guckst du auch hier:
https://community.cisco.com/t5/switching/mac-access-list-question/td-p/6 ...
Gilt nur wenn es non IP Traffic ist. Guckst du auch hier:
https://community.cisco.com/t5/switching/mac-access-list-question/td-p/6 ...
LÖSUNG 26.02.2021 um 20:13 Uhr
Moin @aqui,
schön, dass man auf dich zählen kann.
Ich kann es die nächsen zwei Wochen nicht mehr ausprobieren. Daher ein bisschen Theorie:
Vielen Dank für den Link. Das heißt, wir müssen zuerst wieder die einfache Port Security pro Interface im VLAN 4040 entfernen. Anschließend ein neue Liste mit allen MAC-Adressen der Geräte an dem Switch (Stack), welche zu VLAN4040 gehören, erstellen. Abschließend die ACL auf das VLAN binden (vlan access-map und vlan filter). Korrekt?
Gruß,
Dani
schön, dass man auf dich zählen kann.
Ich kann es die nächsen zwei Wochen nicht mehr ausprobieren. Daher ein bisschen Theorie:
Vielen Dank für den Link. Das heißt, wir müssen zuerst wieder die einfache Port Security pro Interface im VLAN 4040 entfernen. Anschließend ein neue Liste mit allen MAC-Adressen der Geräte an dem Switch (Stack), welche zu VLAN4040 gehören, erstellen. Abschließend die ACL auf das VLAN binden (vlan access-map und vlan filter). Korrekt?
Gruß,
Dani
LÖSUNG 27.02.2021, aktualisiert um 09:40 Uhr
Ich habe es so verstanden das man auch die einzelne ungewollte Mac auch denien kann und nur diese dann über die Liste nicht in die Mac Table des betreffenden Access VLANs übernommen wird.
Ich checke das hier gleich mal an einem Catalysten...
Ich checke das hier gleich mal an einem Catalysten...
