Я пытаюсь настроить маршрутизаторы HP procurve (25xx и 26xx) с безопасностью портов. Цель - разрешить клиентские устройства и маршрутизаторы. Но запретить коммутатор, точку доступа или маршрутизатор в режиме моста. Для этого необходимо:
Еще не пробовал. Но выполняется ли это в безопасности веб-интерфейса -> безопасность порта (или аналогичная команда cli)
learn-mode: static
address-limit: 1
Violation Action: none
Я совершенно уверен, что это ограничит порт только 1 MAC. Но будет ли это запоминаться «статичным», когда пользователь переходит на другое устройство?
Обновлено решением, версия 2
Это должен быть режим обучения: ограниченный-непрерывный. Действие: нет
Работает отлично. Это можно сделать из CLI для нескольких портов одновременно. Эта строка для порта 1-23:
port-security 1-23 address-limit 1 learn-mode limited-continuous action none
О ограниченно-непрерывном: http://h30499.www3.hp.com/t5/Switches-Hubs-Modems-Legacy-ITRC/port-security-learn-mode-limited-continuous/td-p/5179211#.Vd3CL5ej_1Q
Если указано «limited-continuous», первые MAC-адреса источника «address-limit», слышимые на этом порте, становятся авторизованными адресами. Когда узнаются новые авторизованные адреса, они сохраняются в таблице. Когда таблица достигает своего «предела адресов», любые новые исходные MAC-адреса, полученные через порт, представляют собой вторжение. Авторизованные адреса в этом режиме будут устаревать в системе, поэтому список авторизованных адресов может быть динамичным с течением времени.
На страницах 9-10 руководства указано, что: Это означает, что будет достигнут предел MAC-адреса, и он будет запоминаться до тех пор, пока не будет удален вручную.
Порт в статическом режиме обучения (статический режим обучения) сохраняет изученный MAC-адрес, даже если позже вы перезагрузите коммутатор или отключите безопасность порта для этого порта:
Из документации:
Вы можете авторизовать определенные устройства для порта, в то же время позволяя порту принимать другие, не указанные устройства, пока порт не достигнет настроенного предела адресов.
Это наводит меня на мысль, что вы можете установить ограничение порта на 1 и заставить его действовать так, как вы намереваетесь.
Однако это предложение:
порт заполняет оставшуюся часть допустимого адреса MAC-адресами, которые он автоматически узнает
Заставляет меня поверить в обратное. Вероятно, отсюда и возникает путаница. Я бы посоветовал установить его на один порт и попробовать, посмотреть, что произойдет, и вы получите окончательный ответ., эта нечеткость весьма раздражает.