Sommaire :
I) Activation de la sécurisation
II) Politique de sécurité
III) Statut du port-security
I) Activation de la sécurisation
– Pour activer cette sécurité sur l’interface concernée :
Switch(config)# interface fastethernet 0/x
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
– Définition des adresses MAC autorisées sur un port :
- Adresse MAC fixée
Switch(config-if)# switchport port-security mac-address 0123.4567.1423.7890
- Ou apprentissage de l’adresse MAC (source) de la première trame qui traversera le port.
Switch(config-if)# switchport port-security mac-address sticky
– Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre vous pouvez exécuter ces commandes :
Switch(config-if)# switchport port-security maximum {{nombre}}
II) Politique de sécurité
Plusieurs politiques de sécurité peuvent être envisagées
– Soit on bloque définitivement le port lors d’une usurpation d’adresse MAC :
Switch(config-if)# switchport port-security violation shutdown
– Soit on bloque toutes les trames avec des adresses MAC non connues et on laisse passer les autres :
Switch(config-if)# switchport port-security violation protect
– Soit des messages dans le syslog sont envoyés via SNMP. De plus le compteur du nombre de violation est incrémenté :
Switch(config-if)# switchport port-security violation restrict
– Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité, tapez les commandes suivantes :
shutdown
no shutdown
III) Statut du port-security
– Pour visualiser la politique de sécurité d’une interface :
Switch# show port-security interface 0/x
– Pour visualiser les adresses MAC connues sur les ports :
Switch# show port-security address