logo rss

Mettre en place le filtrage MAC sur les commutateurs Cisco Catalyst

Cisco logo

Nous allons voir comment mettre en place le filtrage mac en ligne de commandes sur les switchs Cisco Catalyst.

Configuration

  • Modèle de switch : Cisco catalyst 1000

Création d'ACL

  • Créer une acl MF01 :
Switch(config)# mac access-list extended MF01
  • Autoriser l'addresse mac 24:B6:FD:14:08:53 :
Switch(config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any
  • Autoriser l'addresse mac 48:bd:0e:02:ea:41 :
Switch(config-mac-al)# permit 48:bd:0e:02:ea:41 00:00:00:00:00:00 any
  • Autoriser la famille d'addresse mac 00:11:xx:xx:xx:xx :
Switch(config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any
  • On refuse toutes les autres MAC :
Switch(config-mac-al)# deny any any

Associate MF01 acl to interfaces

  • Configurer les interfaces gi1/0/4 à gi1/0/18 :
Switch(config)# interface range ge1/0/4-18
  • Appliquer l'access list aux interfaces :
Switch(config-if-range)# mac access-group MF01 in
  • Pour dissocier MF01 access list with interfaces :
Switch(config-if-range)# no mac access-group MF01 in

Commandes Utiles

  • Afficher les adresses MAC :
Switch# show mac address-table
  • Afficher les adresses MAC du port Gi1/0/1 :
Switch# show mac address-table | include Gi1/0/1
  • Afficher les access list :
Switch# show access-lists MF01
Extended MAC access list MF01
    permit host 24b6.fd14.0853 any
    permit host 48bd.0e02.ea41 any
    permit 0011.0000.0000 0000.ffff.ffff any
    deny   any any
  • Supprimer une ACL :
Switch(config)# mac access-list extended MF01
Switch(config-mac-al)# no permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any
  • Supprimer une ACL :
Switch(config)# no mac access-list extended MF01

Exemple

Voyons comment autoriser la famille d'addresses 00:11 et l'hôte 24:B6:FD:14:08:53. Les autres adresses seront bloquées.

Architecture pc et serveurs connectés à un switch qui fait du filtrage MAC
  • Création d'une access list :
Switch(config)# mac access-list extended MF01
  • On autorise la famille d'adresses 00:11:XX:XX:XX:XX :
Switch(config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any
  • On autorise l'hôte 24:B6:FD:14:08:53 :
Switch(config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any
  • On bloque les autres adresses :
Switch(config-mac-al)# deny any any
  • On applique notre filtrage MAC à toutes nos interfaces. Ici de l'interface ge1/0/1 à ge1/0/24 :
Switch(config)# interface range ge1/0/1-24
Switch(config-if-range)# mac access-group MF01 in