Нарушение безопасности происходит в любой из указанных ниже ситуаций:
- Добавлено максимальное количество защищённых МАС-адресов в таблицу адресов на интерфейсе, и станция, МАС-адрес которой не зафиксирован в таблице адресов, пытается получить доступ к интерфейсу.
- Адрес, полученный или настроенный на одном защищённом интерфейсе, замечен на другом защищённом интерфейсе в той же VLAN.
Интерфейс можно настроить на один из трёх режимов реагирования на нарушение безопасности, который определяет действия, предпринимаемые в случае нарушения. На рисунке представлено, какие типы трафика пересылаются, когда на порте настроен один из следующих режимов реагирования на нарушение безопасности.
- Защита. Когда количество защищённых МАС-адресов достигает предела разрешённых адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищённых МАС-адресов или не будет увеличено максимальное количество разрешённых адресов. Для этого режима не предусмотрено уведомление о нарушении безопасности.
- Ограничение. Когда количество защищённых МАС-адресов достигает предела разрешённых адресов для порта, пакеты с неизвестными адресами источника отбрасываются, пока не будет удалено достаточное количество защищённых МАС-адресов или не будет увеличено максимальное количество разрешённых адресов. Для этого режима предусмотрено уведомление о нарушении безопасности.
- Выключение. В этом режиме (установленном по умолчанию) нарушение безопасности порта вызывает немедленное отключение интерфейса по причине ошибки и отключает индикатор порта. Для этого режима предусмотрено увеличение значения счётчика нарушений. При выключении защищённого порта в результате сбоя его можно снова включить, используя команды режима конфигурации интерфейса shutdown и no shutdown.
Чтобы изменить режим реагирования на нарушение безопасности на порте коммутатора, используйте команду режима конфигурации интерфейса switchport port-security violation {protect | restrict | shutdown}.