Port Security
Activer le Port Security
S1(config)# interface f0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security !-- Par défaut le mode dynamique est activé
Remarque: Le port sécurity doit être implémanté sur les ports en
access
Définir le nombre maximum de MAC autorisé
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security maximum <number>
Remarque: Par défaut le nombre maximun de mac autorisé est 1.
Configuration manuel des MAC adresses
Le mode manuel permet de définir la ou les adresses MAC qui sont autorisés sur les ports.
S1(config-if)# switchport port-security mac-address <mac-address> {vlan | {access | voice}}
| Paramètre | Description |
|---|---|
| \<mac-address> | |
| vlan access | |
| vlan voice | Spécifie que le vlan est un vlan voice |
Apprentissage dynamique des MAC (Sticky)
Le mode sticky permet au switch d'apprendre dynamiquement l'adresse MAC. l'ensemble des adresses MAC est enregistré dans la running-config.
switchport port-security mac-address sticky
Remarque: Si le nombre max d'adresse MAC à 4, alors le switch apprendra maxium 4 MAC.
Mode Manuel et Sticky
Il est possible d'avoir le mode manuel et le mode Sticky en même temps. Si par exemple on défini le nombre max d'adresse MAC à 4, on peut configurer une adresse MAC en mode statique et les 3 autres MAC seront apprise par le mode sticky.
S1(config-if)# switchport port-security mac-address <mac-address>
S1(config-if)# switchport port-security mac-address sticky
Port Security Violation Modes
Si l'adresse MAC d'un équipement connecté au port diffère de la liste des adresses, il y a une violation de port. Il existe trois modes de violation :
shutdown (default)
- Le port passe immédiatement à l'état
error-disabled - Eteint la LED du port
- Message syslog
- Incrémente le compteur de violation
restrict
- Blocage toutes les trames avec des adresses MAC inconnus et on laisse passer les autres
- Incrémente du compteur de violation
- Message syslog
protect
- Comme le restrict sauf aucun message de log et compteur non incrémenté
S1(config-if)# switchport port-security violation <mode>
| Mode | Forwards know Mac | Forwards unknow Mac | Send Syslog | Increases Counter | Shutdown port |
|---|---|---|---|---|---|
| Protect | yes | no | no | no | no |
| Restrict | yes | no | yes | yes | no |
| shutdown | no | no | yes | yes | yes |
> Remarque : le switch peut également être configuré pour réactiver automatiquement un port désactivé par erreur grâce à la commande de mode de configuration globale errdisable recovery cause psecure-violation global. |
Temps de mémorisation des adresses MAC
Permet de donner le droit à plusieurs adresses MAC. par exemple un utilisateur avec 2 ordinateurs possibles (Limitation à 1 adresse MAC et apprentissage en dynamique)
- Absolue - Les adresses sécurisées sur le port sont supprimées après la durée de vieillissement spécifiée.
- Inactivité - Les adresses sécurisées sur le port sont supprimées uniquement si elles sont inactives pendant la durée de vieillissement spécifiée.
S1(config-if)# switchport port-security aging { static | time <time> | type {absolute | inactivity}}
Exemple
Un port d'accès reliant un téléphone IP et un ordinateur, nécessite généralement 2 adresses MAC. Toutefois, sur certains switch, ce nombre doit être fixé à 3 car lorsque le port est connecté à un téléphone IP Cisco, celui-ci nécessite jusqu'à deux adresses MAC. L'adresse du téléphone IP est apprise sur le VLAN vocal et peut également être apprise sur le VLAN d'accès. La connexion d'un PC au téléphone IP nécessite une adresse MAC supplémentaire.
interface fa0/1
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-securty violation shutdown
switchport port-securyt aging time 120
Vérification
S1# show port-security
S1# show port-security interface <interface-name>
S1# show port-security address