Mise en place du port security Cisco pour les switchs Small Business / SG

Cisco logo

Nous allons voir ici comment mettre en place le port security Cisco en ligne de commande sur la gamme de Switch Small Business.

Le port security est une fonctionnalité présente sur les switchs Cisco permettant la mise en place d'un controle d'accès au niveau des Switchs et ce via diverses fonctionnalités : filtrage MAC manuel et/ou automatique, limitation du nombre d'équipements autorisés par port etc...

Configuration

  • Modèle de Switch : Cisco SG550X
  • Modèle de Switch : Cisco SG350X

Définitions

Les différents Modes

  • lock (défaut) : Mode par défaut, sans apprentissage automatique des adresses MAC. L'ajout des adresses MAC doit se faire manuellement avec la commande mac address-table static.
  • max-addresses : Apprentissage d'adresses MAC dynamique mais limité en nombre. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
  • secure permanent : Enregistre les adresses MAC en cours d'utilisation et peu apprendre d'autres adresses jusqu'à une limite prédéfini. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
  • secure delete-on-reset : Apprentissage d'adresses MAC limité en nombre. Les adresses enregistrées peuvent être réinitialisées avec la commande delete-on-reset time-of-live ou lors de la réinitialisation du switch. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.

Les Actions

  • Discard (défaut) : Les paquets sont rejetés si la source n'est pas connue (n'a pas été apprise). Il est également possible d'envoyer des trappes snmp.
  • Forward : Les paquets sont transmis même si la source n'est pas connue (n'a pas été apprise). Il est également possible d'envoyer des trappes snmp.
  • Discard-Shutdown : Les paquets sont rejetés et le port est désactivé si la source n'est pas connue (n'a pas été apprise). Il est également possible d'envoyer des trappes snmp.

Activation du Port Security

  • Activer le port security sur l'interface gi1/0/1, en mode Lock et avec l'action Discard-Shutdown.
Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode lock
Switch(config-if)# port security discard-shutdown
Switch(config-if)# port security

Désactivation du Port Security

  • Désactiver le port security sur l'interface gi1/0/1.
Switch(config)# interface gi1/0/1
Switch(config-if)# no port security

Exemple avec le mode max-addresses

Nous allons ici voir l'autorisation pour deux adresses MAC maximum. Ce mode peut par exemple être utile pour empêcher la mise en place de switchs secondaires.

Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode max-addresses
Switch(config-if)# port security max 2
Switch(config-if)# port security

Exemple avec le mode secure permanent

Ici le port pourra apprendre et autoriser jusqu'à 2 addresses MAC, les suivantes seront bloquées.

Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode secure permanent
Switch(config-if)# port security max 5
Switch(config-if)# port security

Les commandes Show liées au port security

  • Affiche les paramètres port security :
Switch# show ports security
  • Affiche les paramètres détaillés port security :
Switch# show ports security detailled
  • Affiche les paramètres port security d'une interface :
Switch# show ports security GigabitEthernet1/0/20
  • Affiche la table des adresses MAC :
Switch# show mac address-table
  • Affiche l'entrée d'une MAC address spécifique :
Switch# show mac address-table 00:3f:bd:45:5a:b1
  • Affiche le nombre d'adresses présentes dans la base Forwarding
Switch# show mac address-table count
  • Affiche les adresses présentes pour une interface specifique :
Switch# show mac address-table interface GigabitEthernet1/0/20
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :