+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues

Switch-Port Security

Port Security: Sur cette topologie, quelqu’un a ramené de chez lui, un petit switch et la connecter à la place de son PC.

Il a ensuite connecté son pc de bureau et un pc portable…

Dans ce cas, notre commutateur Cisco, apprendra l’adresse MAC du PC A et celle du PC portable par le biais de son interface fast ethernet 0/1.

Pour des raisons de sécurité, nous ne souhaitons pas que les utilisateurs puissent ramener leurs propres équipements, et les brancher normalement sur notre propre réseau que nous gérons…

Pour éviter que cela se produise, nous allons voir comment mettre en place la fonctionnalité de « PortSecurity » :

|Tout d’abord il faut se connecter sur l’interface en question, ici ce sera l’interface Fast Ethernet 0/1.

Ensuite la commande « switchport port-security » permet d’activer la sécurité du port.

Et la commande « switchport port-security maximum 1 » permet d’autoriser qu’une seule adresse Mac à se connecter sur ce port.

Après nous avons 2 options.

  • |Soit on spécifier l’adresse MAC qui est autorisée à ce se connecter manuellement.

  • |Ou bien on lui dit, qu’il apprendra automatiquement la première adresse MAC qui se connectera sur le port.

Quand le switch apprendra la mac adresse statiquement ou en dynamiquement, il l’enregistrera dans la running config.

Par défaut, dès qu’une violation intervient, c’est-à-dire qu’une adresse mac n’est pas autorisé à ce connecté, le switch désactivera automatiquement le port, en lui faisant un « shutdown »…

|Il existe 3 modes de violation :

  • |Il y’a le mode « Protect ».
    Dans ce mode les trames Ethernet provenant d’adresses MAC non autorisées seront supprimées, et il n’y aura aucune log en cas de violation.
  • |Dans le mode « Restrict »,
    les trames Ethernet ne provenant pas d’adresse MAC autorisée sont elles aussi supprimées, comme pour le mode Protect.
    Sauf que cette fois, on aura une trace dans le journal de bord ou bien on aura des trap SNMP, si on utilise un serveur de supervision.
  • |Et le mode « Shutdown » est le mode par défaut.
    Ici dès qu’une violation intervient, le port est mis en « shutdown » pendant un laps de temps, ou alors indéfiniment et seul un administrateur réseau pourra rétablir le port.

|Il devra se connecter sur le port et faire un « shutdown » « no shutdown » pour le remettre en service.

|Pour régler le laps de temps soit même, il faut tapez cette commande :

par défaut c’est réglé à « 0 », et ici on le change à 10 minutes !

Pour configurer l’un des trois modes de violation, il faut taper la |commande « switchport port-security violation » et l’un des 3 mots clefs de violation.

  • Protect,
  • Restrict,
  • ou shutdown.