День добрый. Есть следующая схема:
Порт коммутатора Catalyst 2960 (IOS 12.2(40)SE) соединен с WiFi Access Point Cisco Aironet 1250 (IOS 12.4(10b)JA3). И соответственно к этой AccessPoint подключаются сотрудники по WiFi и им с точки доступа выдаются по dhcp все реквизиты.
Встала задача настроить port-security на порту коммутатора смотрящего на точку доступа.Нынешняя настройка порта Коммутатора Catalyst 2960:
interface GigabitEthernet0/38
description Cisco1250_WiFi
switchport access vlan 20
switchport mode access
ip access-group dhcp_off in
storm-control broadcast level 20.00
storm-control action trap
spanning-tree portfast
spanning-tree bpduguard enableНастройка порта точки доступа смотрящего на коммутатор:
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabledТак вот беда в том, что как только я на порту коммутатора даю команду switchport port-security, то этот порт сразу сваливается в состояние GigabitEthernet0/38 is down, line protocol is down (err-disabled).
А в логах коммутатора вижу вот что:
Oct 13 15:07:35 SAM: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/38, putting Gi0/38 in err-disable state
Oct 13 15:07:35 SAM: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001f.9e1d.3f12 on port GigabitEthernet0/38.Причем при обычной работе WiFi точки на этом порту коммутатора я вижу 4-5 работающих МАС адресов, стоит только включить port-security так порт ложиться в err-disable, но ведь никаких violation или max mac address ведь я не ставлю
Посдкажите куда копать
Заранее благодарен
Если просто писать "switchport port-security" тогда по дефолту будет разрешён только один мак, а violation policy будет shutdown
>Если просто писать "switchport port-security" тогда по дефолту будет разрешён только один
>мак, а violation policy будет shutdownСпасибо. все так и оказалось
сначала дал команду sw port-secu max N, затем sw port-secu и все стало нормально.