Jeśli wystąpi którakolwiek z następujących sytuacji, mamy do czynienia z naruszeniem zasad bezpieczeństwa:
- Do tablicy adresów została dodana maksymalna liczba bezpiecznych adresów MAC, a stacja, której adresu MAC nie ma w tablicy adresów, próbuje uzyskać dostęp do interfejsu.
- Rozpoznany lub skonfigurowany adres na zabezpieczonym interfejsie pojawi się na innym zabezpieczonym interfejsie w tej samej sieci VLAN.
Interfejs może być skonfigurowany dla jednego z trzech trybów naruszeń bezpieczeństwa, określając jakie działania należy podjąć, jeśli dojdzie do naruszenia zasad bezpieczeństwa. Rysunek przedstawia, jakie rodzaje danych są przekazywane, gdy jeden z następujących trybów naruszeń bezpieczeństwa jest skonfigurowany na porcie:
- Protect - gdy liczba bezpiecznych adresów MAC osiąga dozwolony limit na porcie, pakiety z nieznanych adresów źródłowych są odrzucane, aż wystarczająca ilość bezpiecznych adresów MAC zostanie usunięta lub maksymalna liczba dopuszczalnych adresów zostanie zwiększona. Nie jesteśmy powiadamiani, że wystąpiło naruszenie zasad bezpieczeństwa.
- Restrict - gdy liczba bezpiecznych adresów MAC osiąga dozwolony limit na porcie, pakiety z nieznanych adresów źródłowych są odrzucane, aż wystarczająca ilość bezpiecznych adresów MAC zostanie usunięta lub maksymalna liczba dopuszczalnych adresów zostanie zwiększona. W tym trybie jesteśmy powiadamiani, że wystąpiło naruszenie zasad bezpieczeństwa.
- Shutdown - w tym (domyślnym) trybie naruszenia, naruszenie zasad bezpieczeństwa portu powoduje, że interfejs zostaje natychmiast wyłączony i wprowadzony w tryb error-disabled i gaśnie dioda LED portu. Zwiększa to licznik naruszeń. Gdy port jest w stanie error-disabled, może być wyłączony poprzez wprowadzenie poleceń trybu konfiguracji interfejsu shutdown i no shutdown.
Aby zmienić tryb naruszeń zabezpieczeń na porcie przełącznika, należy użyć polecenia trybu konfiguracji interfejsu switchport port-security violation {protect | restrict |shutdown}.