Securizando (un poco) switches cisco, port security

Los equipos de nivel 2 suelen estar bastante desprotegidos, sobre todo los equipos pequeños de las oficinas, para intentar minimizar ataques contra estos podemos activar estas dos características (port security) y tener los entornos un poco mas controlados.

Empecemos por el mas sencillo, port security.
Port security limita el numero de MACS que se pueden aprender por cada puerto, si la limitas a 1, evitas que alguien pueda engancharte un switch pequeño y pincharte mas equipos (el pc de casa por ejemplo).
Para configurarlo en un puerto que esta en modo acceso:
sw1# conf t
sw1(config)# interface fastethernet 0/1
sw1(config-if)# switchport
sw1(config-if)# switchport mode access
sw1(config-if)# switchport port-security

Ahora definimos el modo en que queremos que se comporte cuando se active el port security.

sw1(config)# switchport port-security violation protect

Hay 3 modos:

Protect: deja el puerto en enable, pero hace drop de todos los paquetes has que el numero de macs vuelva a ser aceptable.
restrict: hace lo mismo que el modo protect, pero ademas necesita que el contador de SecurityViolation se incremente para dejar de dropear paquetes, la verdad es que nunca he entendido a que se debe esto, pero bueno.
shutdown: Pone el interface en Disable cuando detecta mas MACs, es el que se suele usar normalmente, ademas cuando pone el puerto en disable genera un trap snmp.

sw1(config)# switchport port-security maximum 2

Se puede jugar un poco mas, asignando macs estáticas a los puertos, en caso de conocerlas (impresoras o dispositivos similares que no suelen cambiar),

Aquí tenéis la la documentación de cisco.