Port-security
>>> Sécurisation des interfaces du Switch
Version PDF

Pour éviter que n’importe qui se connecte sur les ports d’un switchs, il est possible de faire un contrôle d’adresses MAC des machines connectées sur chaque port.


Sommaire :

I) Activation de la sécurisation
II) Politique de sécurité
III) Statut du port-security


I) Activation de la sécurisation

- Pour activer cette sécurité sur l’interface concernée :

Switch(config)# interface fastethernet 0/x
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

- Définition des adresses MAC autorisées sur un port :
— Adresse MAC fixée

Switch(config-if)# switchport port-security mac-address 0123.4567.1423.7890

— Ou apprentissage de l’adresse MAC (source) de la première trame qui traversera le port.


Switch(config-if)# switchport port-security mac-address sticky

- Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre vous pouvez exécuter ces commandes :

Switch(config-if)# switchport port-security maximum {{nombre}}

II) Politique de sécurité

Plusieurs politiques de sécurité peuvent être envisagées

- Soit on bloque définitivement le port lors d’une usurpation d’adresse MAC :

Switch(config-if)# switchport port-security violation shutdown

- Soit on bloque toutes les trames avec des adresses MAC non connues et on laisse passer les autres :

Switch(config-if)# switchport port-security violation protect

- Soit des messages dans le syslog sont envoyés via SNMP. De plus le compteur du nombre de violation est incrémenté :

Switch(config-if)# switchport port-security violation restrict

- Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité :

faire un shutdown suivi d’un no shutdown

III) Statut du port-security

- Pour visualiser la politique de sécurité d’une interface :

Switch# show port-security interface 0/x

- Pour visualiser les adresses MAC connues sur les ports :

Switch# show port-security address
 
 
11 décembre 2009  --  N.Salmon
 
 
 
 
Commentaires :
Répondre à cet article

  •  Port-security    > 6 mai 2014 18:01, par youness

    je voie que c ’est un très bon article :)

 
 
Se connecter | Copyright © 2016 Idum