URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17366
[ Назад ]

Исходное сообщение
"Catalyst 2960 + Aironet 1250"

Отправлено sasch , 13-Окт-08 14:22 
День добрый. Есть следующая схема:
Порт коммутатора Catalyst 2960 (IOS 12.2(40)SE) соединен с WiFi Access Point Cisco Aironet 1250 (IOS 12.4(10b)JA3). И соответственно к этой AccessPoint подключаются сотрудники по WiFi и им с точки доступа выдаются по dhcp все реквизиты.
Встала задача настроить port-security на порту коммутатора смотрящего на точку доступа.

Нынешняя настройка порта Коммутатора Catalyst 2960:
interface GigabitEthernet0/38
description Cisco1250_WiFi
switchport access vlan 20
switchport mode access
ip access-group dhcp_off in
storm-control broadcast level 20.00
storm-control action trap
spanning-tree portfast
spanning-tree bpduguard enable

Настройка порта точки доступа смотрящего на коммутатор:
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled

Так вот беда в том, что как только я на порту коммутатора даю команду switchport port-security, то этот порт сразу сваливается в состояние GigabitEthernet0/38 is down, line protocol is down (err-disabled).
А в логах коммутатора вижу вот что:
Oct 13 15:07:35 SAM: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/38, putting Gi0/38 in err-disable state
Oct 13 15:07:35 SAM: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001f.9e1d.3f12 on port GigabitEthernet0/38.

Причем при обычной работе WiFi точки на этом порту коммутатора я вижу 4-5 работающих МАС адресов, стоит только включить port-security так порт ложиться в err-disable, но ведь никаких violation или max mac address ведь я не ставлю

Посдкажите куда копать

Заранее благодарен


Содержание

Сообщения в этом обсуждении
"Catalyst 2960 + Aironet 1250"
Отправлено Аноним , 13-Окт-08 16:27 
Если просто писать "switchport port-security" тогда по дефолту будет разрешён только один мак, а violation policy будет shutdown

"Catalyst 2960 + Aironet 1250"
Отправлено sasch , 14-Окт-08 10:18 
>Если просто писать "switchport port-security" тогда по дефолту будет разрешён только один
>мак, а violation policy будет shutdown

Спасибо. все так и оказалось
сначала дал команду sw port-secu max N, затем sw port-secu и все стало нормально.