Port Security Violation Mode

Modo de violación de Port Security en switch Cisco con opciones de Shutdown, Restrict y Protect.

1. Introducción

El modo de violación de Port Security define cómo reacciona un switch Cisco cuando un dispositivo no autorizado envía tráfico a través de un puerto protegido.

Cisco ofrece tres modos de violación de Port Security para controlar este comportamiento:

  • Shutdown (por defecto)
  • Restrict
  • Protect
Visión general de las opciones del modo de violación de seguridad de puertos: Shutdown, Restrict y Protect en los switches Cisco.

Cada modo ofrece un nivel diferente de aplicación y registro. Vamos a explorarlos uno por uno.

2. Shutdown Modo (por defecto)

El modo Shutdown es la opción más agresiva y segura.

Comportamiento

  • El switch deshabilita el puerto (estado err-disabled).
  • Se genera una alerta syslog y/o SNMP cuando se produce la violación.
  • Todo el tráfico se detiene en la interfaz, incluido el procedente de dispositivos autorizados.
  • El contador de violaciones aumenta una vez (en el momento de la desconexión).

Una vez cerrado el puerto, no se generan más registros, aunque el dispositivo no autorizado siga enviando tráfico.

Este modo garantiza la máxima seguridad, pero requiere intervención manual o recuperación automática para que el puerto vuelva a funcionar.

3. Restrict Modo

El modo Restrict es más flexible que el modo Shutdown.

Comportamiento

  • Unauthorized traffic is dropped.
  • Se genera un mensaje syslog y/o SNMP cada vez que se produce una violación.
  • El puerto permanece operativo para los dispositivos autorizados.
  • El contador de violaciones aumenta por cada trama no autorizada.

Este modo es útil en entornos de producción en los que la disponibilidad de la red es prioritaria, pero sigue siendo necesario supervisar las infracciones.

Ejemplo de configuración para el modo restringido

Veamos cómo funciona en la práctica el modo Restrict.

Ejemplo de configuración en modo Restrict con PC1 conectado al switch Cisco SW1 en la interfaz G0/1 utilizando la dirección MAC segura AAAA.BBBB.CCCC


Paso 1 – Activar la Port Security:

En primer lugar, active Port Security en la interfaz G0/1:

SW1(config)# int g0/1
SW1(config-if)# switchport port-security

Paso 2 – Configure una dirección MAC segura (PC1):

Esta vez, autorizaré estáticamente la dirección MAC de PC1. Exploremos las opciones de seguridad de puertos disponibles: 

SW1(config)# int g0/1
SW1(config-if)# switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode

Ahora, configuramos la dirección MAC de PC1 (AAAA.BBBB.CCCC) como dirección MAC segura:

SW1(config-if)# switchport port-security mac-address AAAA.BBBB.CCCC

Paso 3 – Establezca el modo de violación en Restrict:

A continuación, vamos a configurar el modo de violación a Restrict:

SW1(config-if)# switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode

A continuación se muestran los modos de violación disponibles:

SW1(config-if)# switchport port-security violation ?
  protect   Security violation protect mode
  restrict  Security violation restrict mode
  shutdown  Security violation shutdown mode

Para activar el modo Restrict:

SW1(config-if)# switchport port-security violation restrict

Paso 4 – Verificar:

Ahora podemos comprobar el estado de Port Security en G0/1:

SW1# show port-security interface g0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

Aquí podemos ver:

  • Port Status: Secure-up, lo que significa que el puerto está operativo.
  • Violation Mode: Restrict, confirmando el modo configurado.
  • Security Violation Count: 0, ya que aún no se ha detectado tráfico no autorizado.

Paso 5 – Pruebe con un dispositivo no autorizado:

Ahora, conectemos un dispositivo no autorizado a G0/1 y observemos qué ocurre.

Violación de la seguridad de puertos en modo Restrict: el dispositivo hacker con MAC DDDD.EEEE.FFFF conectado a SW1 en G0/1 se bloquea y activa un evento de registro.

Cuando el dispositivo no autorizado envía datos, el conmutador detecta una violación de la seguridad y la registra:

*Jan 21 13:52:10.469: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violatio
n occurred, caused by MAC address DDDD.EEEE.FFFF on port GigabitEthernet0/1
.
*Jan 21 13:52:21.138: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violatio
n occurred, caused by MAC address DDDD.EEEE.FFFF on port GigabitEthernet0/1
.
*Jan 21 13:52:26.601: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violatio
n occurred, caused by MAC address DDDD.EEEE.FFFF on port GigabitEthernet0/1

Cada entrada de registro corresponde a una trama enviada por el dispositivo no autorizado (DDDD.EEEE.FFFF).

Paso 6 – Vuelva a comprobar el estado de la interfaz:

SW1# show port-security interface g0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : DDDD.EEEE.FFFF:1
Security Violation Count   : 9£

Observaciones

Port Status: Secure-up, lo que significa que los dispositivos autorizados pueden seguir utilizando el puerto.
Last Source Address: Muestra la dirección MAC del dispositivo no autorizado (DDDD.EEEE.FFFF).
Security Violation Count: 9, lo que significa que el switch ha detectado y registrado nueve tramas no autorizadas.

El modo Restringir bloquea eficazmente el tráfico no autorizado mientras mantiene el puerto operativo para los dispositivos autorizados.

4. Protect Modo

El modo Protect es la opción más indulgente y silenciosa.

Comportamiento

  • El tráfico no autorizado se descarta silenciosamente.
  • No se generan registros ni alertas.
  • El puerto permanece plenamente operativo para los dispositivos autorizados.
  • El contador de violaciones no se incrementa.

Este modo es útil cuando se esperan algunas violaciones y no se desea que se registren o que afecten a la disponibilidad del puerto.

Ejemplo de configuración para el modo de Protect

Configuremos el modo Protect en acción.

Ejemplo de modo Protect en el switch Cisco SW1: PC1 con MAC segura AAAA.BBBB.CCCC conectado a la interfaz G0/1

Paso 1 – Habilite la Port Security y defina la dirección MAC segura:

SW1(config)# int g0/1
SW1(config-if)# switchport port-security
SW1(config-if)# switchport port-security mac-address AAAA.BBBB.CCCC

Paso 2 – Establezca el modo de violación en Protect:

SW1(config-if)# switchport port-security violation protect

Prueba del Modo Protect en acción

Ahora, conecta un dispositivo no autorizado con dirección MAC DDDD.EEEE.FFFF a la interfaz G0/1. Ese dispositivo intentará enviar tráfico a través del puerto.

Modo de Protect en el switch Cisco SW1: el dispositivo no autorizado con MAC DDDD.EEEE.FFFF conectado a G0/1 se bloquea silenciosamente sin registro.

¿Qué ocurre?

  • No se reenviará ningún tráfico procedente del dispositivo no autorizado.
  • No aparecerá ningún mensaje de registro en la consola.
  • Los dispositivos autorizados no se verán afectados.
  • El puerto permanece Secure-up y sigue funcionando con normalidad.

Verificación de la configuración

Utilice el siguiente comando para verificar el comportamiento del puerto:

SW1# show port-security interface g0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Protect
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : DDDD.EEEE.FFFF:1
Security Violation Count   : 0£

Observaciones clave:

  • Port Status: Secure-up → El puerto está activo.
  • Violation Mode: Protect → Confirmando que el modo silencioso está activo.
  • Last Source Address → Puede seguir mostrando el MAC más reciente, pero sin ninguna alerta o acción tomada.
  • Security Violation Count: 0 → No hay alerta, no se incrementa el contador.

5. Conclusión

Elegir el modo correcto de violación de seguridad de puertos es esencial para mantener tanto la seguridad como la disponibilidad en los switches Cisco.

Port Security Violation ModeCancela el tráfico no autorizadoGenera registrosDesactiva el puertoContador de incrementos
Shutdown✅ Sí✅ Sí (una vez)✅ Sí✅ Sí (una vez)
Restrict✅ Sí✅ Sí (siempre)❌ No✅ Sí (siempre)
Protect✅ Sí❌ No❌ No❌ No


Elegir el modo adecuado

  • Shutdown: Ideal para entornos de alta seguridad en los que cualquier infracción debe desencadenar un apagado completo y una alerta.
  • Restrict: El más adecuado para redes de producción, ya que permite el funcionamiento normal de los dispositivos de confianza sin dejar de registrar las infracciones.
  • Protect: Útil cuando se prefiere la aplicación silenciosa y no se requiere el registro.

Al comprender cómo funciona cada modo de violación de Port Security, los administradores de red pueden tomar decisiones más inteligentes en función de las necesidades de su entorno.