May 02 2021

Cómo Prohibir / Forzar una Dirección Mac en un VLAN en Cisco

Published by at 8:02 under Cisco

Hay varias formas de filtrar direcciones mac en un conmutador, entre las que podemos mencionar
– el port security,
– las access lists mac o tambien
– la autenticación 802.1x con un servidor Radius.

Las ACL de Mac requieren switches de alto nivel, mientras que la autenticación 802.1x requiere una instalación bastante pesada y requiere administrar una base de datos de direcciones mac en un servidor Radius.
Port security autoriza la apertura de puertos a direcciones mac pero esto implica tener una lista exhaustiva y aplicar una gestión drástica. ¿Y cómo prohibir el acceso de un mac a un vlan específico?

Todos los switches Cisco tienen una funcionalidad básica que le permite configurar direcciones mac estáticas. Aquí hay 2 comandos simples que lo ayudarán en diferentes escenarios.

Prohibir una Dirección Mac en un VLAN

Desea prohibir que una máquina pertenezca a un vlan específico porque este vlan tiene derechos específicos, como el acceso a Internet, por ejemplo, mientras que este no es el caso para los demás.
Puede prohibir una dirección MAC de estar en un VLAN con la opción de «drop»:

Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 49 drop
Cisco(config)# do show mac address
  49    0025.64a4.0e8c    STATIC      Drop


Forzar una Dirección Mac en un VLAN

También puedes hacer lo contrario. Forzar una dirección mac en un vlan y un puerto únicos, para asegurarse de que esté bien aislado del resto de la red (si el vlan está configurado de esta manera). ¡Piense en ese viejo Windows XP que todavía tiene un software en ejecución del que no puede deshacerse!

Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 48 int fa0/35
Cisco(config)# do show mac address
  48    0025.64a4.0e8c    STATIC      Fa0/35


Esto evita que alguien obtenga acceso al vlan incorrecto simplemente conectando su cable a otro puerto – intencionalmente o accidentalmente – en caso de que obtenga acceso al gabinete de conexión de red.


No responses yet

Comments RSS

Leave a Reply