10
Cisco C3750 Switch problem mit Port-Security
Hallo zusammen vieleicht kann mir jemand weiterhelfen.
Ich wollte auf einem unserer Switche die Port-security aktivieren:
Hallo zusammen vieleicht kann mir jemand weiterhelfen.
Ich wollte auf einem unserer Switche die Port-security aktivieren:
Nun gehen aber einige Ports auf error-diabled. An mehreren Mac adressen kanns nicht liegen, ist immer nur ein endgerät pro port,
keine weiteren switches dahinter etc.
Fehlermeldung :
Total secure mac-addresses on the vlan for the received packet has reached maximum limit.
Wie kann ich das maximum limit erweitern?
Ich wollte auf einem unserer Switche die Port-security aktivieren:
(config)#interface range fastEthernet 2/0/1 -24
(config-if-range)#switchport port-security
(config-if-range)#switchport port-security mac-address stickykeine weiteren switches dahinter etc.
Fehlermeldung :
Total secure mac-addresses on the vlan for the received packet has reached maximum limit.
Wie kann ich das maximum limit erweitern?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124049
Url: https://administrator.de/contentid/124049
Printed on: April 25, 2024 at 12:04 o'clock
10 Comments
Latest comment
Hallo VeniceBeach,
hast Du mal den Mac Cache geleert? Also zuerst den cache leeren und dann die Port Security eingerichtet?
Hast Du mal jeden Port für sich, auch wenn das aufwendiger ist, einzeln auf Port Security gesetzt? Wenn ja, triit dieses Problem hier auch auf?
hast Du mal den Mac Cache geleert? Also zuerst den cache leeren und dann die Port Security eingerichtet?
Hast Du mal jeden Port für sich, auch wenn das aufwendiger ist, einzeln auf Port Security gesetzt? Wenn ja, triit dieses Problem hier auch auf?
Laut Cisco Doku
http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_s6.h ...
ist die bessere Reihenfolge:
1.) Mac Tabelle im Switch löschen
2.) switchport port-security mac-address sticky Kommando aktivieren
3.) Dann switchport port-security aktivieren
Damit sollte es klappen !
In der Switchkonfig kannst du dann auch die gelernten Mac Adressen überprüfen !
http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_s6.h ...
ist die bessere Reihenfolge:
1.) Mac Tabelle im Switch löschen
2.) switchport port-security mac-address sticky Kommando aktivieren
3.) Dann switchport port-security aktivieren
Damit sollte es klappen !
In der Switchkonfig kannst du dann auch die gelernten Mac Adressen überprüfen !
Ja wenn ich sie einzeln aktiviere gehen die betreffenden Ports auch auf error-disabled.
Mit welchem kommando lösche ich die Mac Cache?
Mit welchem kommando lösche ich die Mac Cache?
Zitat von @VeniceBeach:
Ja wenn ich sie einzeln aktiviere gehen die betreffenden Ports auch
auf error-disabled.
Mit welchem kommando lösche ich die Mac Cache?
Ja wenn ich sie einzeln aktiviere gehen die betreffenden Ports auch
auf error-disabled.
Mit welchem kommando lösche ich die Mac Cache?
mit "clear mac-address-table", vllt. in neueren IOS auch ohne die Bindestriche.
Mach doch mal folgendes:
sh conf -> Was is auf den Ports aktiv?, dann ausmachen, was falsch is und/oder nicht mehr gebraucht wird.
conf t
clear mac-address-table -> bestätigen
switchport port-security mac-address sticky
switchport port-security enable
exit
sh conf
und wenn es geht copy running-config startup-config.
Die von aqui beschriebenen Befehle, in dieser Reihenfolge sind exakt die einfachsten und schnellsten Schritte
Wenn Du sagst, dass es geht, aber nur einige Ports das Problem haben, dann solltest schauen, was an diesen Programmiert ist, da Port Security unter manchen umständen nich ohne weiteres geht.
Hier mal ein Beispiel: Beim port 2 funktionierts tadellos beim Port 3 geht er auf error disabled, sobald ich port-sec aktiviere.
An beiden Ports hängen normale PCs :
interface FastEthernet2/0/2
description XXXXXXX
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 031e.0rgb.454e
speed 100
duplex full
!
interface FastEthernet2/0/3
description XXXXXXX
switchport mode access
speed 100
duplex full
Ich werde einfach aus der Fehlermeldung nicht schlau:
Total secure mac-addresses on the vlan for the received packet has reached maximum limit.
Mac Cache habe ich über "clear ma-address-table" geleehrt, geht immer noch nicht.
An beiden Ports hängen normale PCs :
interface FastEthernet2/0/2
description XXXXXXX
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 031e.0rgb.454e
speed 100
duplex full
!
interface FastEthernet2/0/3
description XXXXXXX
switchport mode access
speed 100
duplex full
Ich werde einfach aus der Fehlermeldung nicht schlau:
Total secure mac-addresses on the vlan for the received packet has reached maximum limit.
Mac Cache habe ich über "clear ma-address-table" geleehrt, geht immer noch nicht.
Hm...
was sagt er, wenn Du "show port-security" in der normalen IOS shell eingibst?
funktioniert es, wenn Du auf Port 3 folgendes konfigurierst?:
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
Das "switchport port-security maximum 50" setzt die maximale Anzahl von secure addresses. Das könnte die Einstellung sein, weswegen Dein Switch zickt...
solltest Du irgendwo eine secure Mac Address von Hand eingegeben haben, darum show config, musst Du diese löschen, wenn Du das Port-Security auf sticky setzt.
Sollte es wie oben nicht funktionieren, erhöhe nochmals die maximum anzahl, z.B.: "switchport port-security maximum 100"
Ich denke, dass das evtl. damit zusammen hängt, dass in der default config dass nicht so einfach geht. Cisco sagt in Ihrer Anweisung bezüglich der version, welche Du vor hast, dass man das maximum der security macs eingeben soll, wenn man das auf dem ganzen switch konfiguriert.
Funktioniert es so? Lass es mich wissen..
Grüsse
was sagt er, wenn Du "show port-security" in der normalen IOS shell eingibst?
funktioniert es, wenn Du auf Port 3 folgendes konfigurierst?:
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
Das "switchport port-security maximum 50" setzt die maximale Anzahl von secure addresses. Das könnte die Einstellung sein, weswegen Dein Switch zickt...
solltest Du irgendwo eine secure Mac Address von Hand eingegeben haben, darum show config, musst Du diese löschen, wenn Du das Port-Security auf sticky setzt.
Sollte es wie oben nicht funktionieren, erhöhe nochmals die maximum anzahl, z.B.: "switchport port-security maximum 100"
Ich denke, dass das evtl. damit zusammen hängt, dass in der default config dass nicht so einfach geht. Cisco sagt in Ihrer Anweisung bezüglich der version, welche Du vor hast, dass man das maximum der security macs eingeben soll, wenn man das auf dem ganzen switch konfiguriert.
Funktioniert es so? Lass es mich wissen..
Grüsse
Hab jetzt nochmals rum probiert und hab herausgefunden, dass:
Wenn ich die Port-Security auf Maximum 2 stelle, dann gehts, wenn ich sie dann wieder auf Maximum 1 zurück stelle gehts immer noch.
Wenn ich aber portsecurity dann wieder ganz deaktiviere und erneut aktiviere, dann ist wieder error-diabled.
Wenn ich die Port-Security auf Maximum 2 stelle, dann gehts, wenn ich sie dann wieder auf Maximum 1 zurück stelle gehts immer noch.
Wenn ich aber portsecurity dann wieder ganz deaktiviere und erneut aktiviere, dann ist wieder error-diabled.
warum stellst dann nich einfach das maximum auf 50 ?
wenn er mit sticky die angeschlossene Mac erlernt hat, is doch egal wie gross der speicher ist, er akzeptiert dann nur die erste gerlernte, oder?
Abgesehen davon: Musst auch evtl. noch einstellen, was er tun soll, wenn die MAC sich ändert
wenn er mit sticky die angeschlossene Mac erlernt hat, is doch egal wie gross der speicher ist, er akzeptiert dann nur die erste gerlernte, oder?
Abgesehen davon: Musst auch evtl. noch einstellen, was er tun soll, wenn die MAC sich ändert
Nein so viel wie ich bei Maximum eingebe, soviele neue akzeptiert er auch. Dann ist zwar das problem mit dem error-disabled gelöst, jedoch kann dann jeder einfach an den port ran und somit kann mans dann auch gleich ganz sein lassen mit der port security.
aber wenn Du das max auf 2 stellst geht es, auf 1 nicht?
Das sieht fast so aus, als würde er entweder die eigene MAC des Portes aus irgendeinem Grund mit reinrechnen, oder aber, irgendwas an der einzelnen Portconfig is nich so, wie es sich der switch vorstellt.
Das sieht fast so aus, als würde er entweder die eigene MAC des Portes aus irgendeinem Grund mit reinrechnen, oder aber, irgendwas an der einzelnen Portconfig is nich so, wie es sich der switch vorstellt.
