Mise en place du port security Cisco pour les switchs Small Business / SG
Mise à jour le 11 août 2023
Nous allons voir ici comment mettre en place le port securityCisco en ligne de commande sur la gamme de SwitchSmall Business.
Le port security est une fonctionnalité présente sur les switchs Cisco permettant la mise en place d'un controle d'accès au niveau des Switchs et ce via diverses fonctionnalités : filtrage MAC manuel et/ou automatique, limitation du nombre d'équipements autorisés par port etc...
Configuration
Modèle de Switch : Cisco SG550X
Modèle de Switch : Cisco SG350X
Définitions
Les différents Modes
Lock (défaut) : Mode par défaut, sans apprentissage automatique des adresses MAC. L'ajout des adresses MAC doit se faire manuellement avec la commande mac address-table static.
Max-addresses : Apprentissage d'adresses MAC dynamique mais limité en nombre. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
Secure permanent : Enregistre les adresses MAC en cours d'utilisation et peu apprendre d'autres adresses jusqu'à une limite prédéfini. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
Secure delete-on-reset : Apprentissage d'adresses MAC limité en nombre. Les adresses enregistrées peuvent être réinitialisées avec la commande delete-on-reset time-of-live ou lors de la réinitialisation du switch. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
Les Actions
Discard (défaut) : Les paquets sont rejetés si la source n'est pas connue (n'a pas été apprise). Il est également possible d'envoyer des trappes snmp.
Forward : Les paquets sont transmis même si la source n'est pas connue (n'a pas été apprise). Il est également possible d'envoyer des trappes snmp.
Discard-Shutdown : Les paquets sont rejetés et le port est désactivé si la source n'est pas connue (n'a pas été apprise). Il est également possible d'envoyer des trappes snmp.
Activation du Port Security
Activer le port security sur l'interface gi1/0/1, en mode Lock et avec l'action Discard-Shutdown.
Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode lock
Switch(config-if)# port security discard-shutdown
Switch(config-if)# port security
Désactivation du Port Security
Désactiver le port security sur l'interface gi1/0/1.
Switch(config)# interface gi1/0/1
Switch(config-if)# no port security
Exemple avec le mode max-addresses
Nous allons ici voir l'autorisation pour deux adresses MAC maximum. Ce mode peut par exemple être utile pour empêcher la mise en place de switchs secondaires.
Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode max-addresses
Switch(config-if)# port security max 2
Switch(config-if)# port security
Exemple avec le mode secure permanent
Ici le port pourra apprendre et autoriser jusqu'à 2 addresses MAC, les suivantes seront bloquées.
Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode secure permanent
Switch(config-if)# port security max 5
Switch(config-if)# port security
Les commandes Show liées au port security
Affiche les paramètres port security :
Switch# show ports security
Affiche les paramètres détaillés port security :
Switch# show ports security detailed
Affiche les paramètres port security d'une interface :
Switch# show ports security GigabitEthernet1/0/20
Affiche la table des adresses MAC :
Switch# show mac address-table
Affiche l'entrée d'une MAC address spécifique :
Switch# show mac address-table 00:3f:bd:45:5a:b1
Affiche le nombre d'adresses présentes dans la base Forwarding
Switch# show mac address-table count
Affiche les adresses présentes pour une interface specifique :
Switch# show mac address-table interface GigabitEthernet1/0/20