La sécu Cisco au niveau port

[glmrenard]

Bonjour, <BR> <BR>Voilà, je dispose de Catalyst 3500 (Cisco) auxquels j'aimerais faire faire la chose suivante : <BR>Sur tous les ports FE (Fast Ethernet), il faut 'apprendre' UNE adresse MAC (et une seule) et interdire la connexion d'une autre adresse sur ce port, de même, interdire une adresse MAC identique sur plusieurs ports. <BR>J'ai entendu parler de : <BR> witchport port-security violation restrict <BR> switchport port-security mac-address sticky <BR>Mais puis-je avior plus de détails... <BR>Merci d'avance <BR> <BR>Guillaume

[stardust]

<BR> <BR>Peut être " port security" : <!-- BBCode auto-link start --><a href="http://www.cisco.com/univercd/cc/td/doc/product/lan/c2900xl/29_35xp/scg/kiconfig.htm#26669" target="_blank">http://www.cisco.com/univercd/cc/td/doc/product/lan/c2900xl/29_35xp/scg/kiconfig.htm#26669</a><!-- BBCode auto-link end --> <BR> <BR> <IMG SRC="images/smiles/icon_wink.gif">

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-22 16:25, glmrenard a écrit: <BR>Bonjour, <BR> <BR>Voilà, je dispose de Catalyst 3500 (Cisco) auxquels j'aimerais faire faire la chose suivante : <BR>Sur tous les ports FE (Fast Ethernet), il faut 'apprendre' UNE adresse MAC (et une seule) et interdire la connexion d'une autre adresse sur ce port, de même, interdire une adresse MAC identique sur plusieurs ports. <BR>J'ai entendu parler de : <BR> witchport port-security violation restrict <BR> switchport port-security mac-address sticky <BR>Mais puis-je avior plus de détails... <BR>Merci d'avance <BR> <BR>Guillaume <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je pige pas trop ton besoin. <BR>Pour empecher chaque port d'apprendre plus d'une addresse, tu dois dans chaque interface taper la commande suivante : <BR> <BR>switch(config-if)#port security max-mac-count 1 <BR> <BR>Cette commande empeche d'avoir plus d'une entrée dans la table des addresses mac pour cette interface. Ici, si une deuxième station envoie une trame, le switch essaye de mettre son adresse dans sa table et ceci est refusé par la comande port-secure. Il y a donc une "address-violation" <BR> <BR>switch(config-if)#port security action shutdown <BR> <BR> <BR>ceci definit le comportement en cas de access-violation. Ici, on shutdown. On peut egalement envoyer un trap snmp si on veut (action trap) <BR> <BR> <BR>Par contre, avec ce shema, le première station qui se connecte à un port le "monopolise", et les autres ne peuvent pas se connecter. <BR>Si tu as le temps, il serait plus sage d'entrer sur chaque port l'adresse mac en statique de la station qui peut se connecter. <BR>Attention, c'est assez compliqué la conf des adresses statiques sur les 3500... <BR> <BR>T.

[tomtom]

Oups, j'avais pas vu la fin de ta question. <BR> <BR>Pour qu'une adresse soit reservée à un port, tu peux utiliser : <BR> <BR>Switch(config)# mac-address-table secure xxxx.xxxx.xxxx fa1/1 <BR> <BR>Ceci "bloque" l'adresse hw sur le port (ici, fa1/1). Elle sera rejetée si elle arrive sur un autre. <BR> <BR> <BR>t.

[glmrenard]

Bonjour, <BR> <BR>Merci à tous pour vos réponses. <BR>J'ai plus de vingt switchs ==> Adresse MAC à la main c'est impossible surtout que le parc évolue ==> Trop de travail. <BR>pour l'instant, j'ai : <BR> <BR>switchport port-security <BR>switchport port-security violation restrict <BR>switchport port-security mac-address sticky <BR> <BR>Ce qui fait que si je met une autre machine ça ne fonctionne pas mais si je met la première, c'est OK. <BR>Mon problème maintenant est si je veux changer de machine 'définitivement'. La méthode que j'ai est d'enlever la sécu: <BR>no switchport port-security <BR>no switchport port-security violation restrict <BR>no switchport port-security mac-address sticky <BR>puis de faire un clear mac-address dynamic, de mettre le nouveau PC et de remettre la sécu. <BR>y-a-t-il plus court ? <BR>Merci d'avance. <BR> <BR>Guillaume

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-23 09:40, glmrenard a écrit: <BR>Bonjour, <BR> <BR>Merci à tous pour vos réponses. <BR>J'ai plus de vingt switchs ==> Adresse MAC à la main c'est impossible surtout que le parc évolue ==> Trop de travail. <BR>pour l'instant, j'ai : <BR> <BR>switchport port-security <BR>switchport port-security violation restrict <BR>switchport port-security mac-address sticky <BR> <BR>Ce qui fait que si je met une autre machine ça ne fonctionne pas mais si je met la première, c'est OK. <BR>Mon problème maintenant est si je veux changer de machine 'définitivement'. La méthode que j'ai est d'enlever la sécu: <BR>no switchport port-security <BR>no switchport port-security violation restrict <BR>no switchport port-security mac-address sticky <BR>puis de faire un clear mac-address dynamic, de mettre le nouveau PC et de remettre la sécu. <BR>y-a-t-il plus court ? <BR>Merci d'avance. <BR> <BR>Guillaume <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je comprends pas trop les commandes que tu mets ? Tu n'utilise pas la CLI là ? Tu config comment tes switches ? <BR> <BR>Sinon, je suppose qu'il suffitr de retirer à la main la mac-address en question de la table d'addresses (en tout cas avec le max-mac-count ca suffit). Le parametre sticky je connais pas, c'est donc pe différent.... <BR> <BR>T.

[glmrenard]

En fait, sticky permet d'apprendre dynamiquement une adresse MAC et de la coller ensuite dans la conf (c'est automatique), si la conf est sauvée, l'adresse MAC aussi --> Ca permet de simplifier la vie : <BR>Si si, j'utilisais la CLI pour toutes mes commandes.(ca vient de copier/coller de putty) <BR>

[tomtom]

Bizarre, il me semblait qu'il n'y avait pas de tiret entre port et security (port security et non port-security), d'ou mes interrogations... <BR> <BR>t.