Comment mettre en place le filtrage MAC sur les switchs Cisco de la gamme Small Business / SG series

Mise à jour le 11 nov. 2024

Introduction

Nous allons voir comment paramétrer le filtrage mac en ligne de commandes pour les switchs Cisco de la gamme Small Business.

Le filtrage par adresses mac se fait en deux étapes. Tout d'abord, nous créons une ACL dans laquelle nous déclarons les adresses mac qui seront autorisées, puis nous bloquons tout le reste. Enfin, nous assignons l'ACL à un port ou plusieurs ports du commutateur.

Note : on pourra choisir de mettre en place un filtrage dynamique avec le port security, comme expliqué dans cet article.

Configuration

Modèle Switch : Cisco SG550X
Modèle Switch : Cisco SG350X

Création d'ACL

Créer une acl que l'on nomme MF01 :

Switch(config)# mac access-list extended MF01

Autoriser l'addresse mac 24:B6:FD:14:08:53 :

Switch(config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any ace-priority 20

Autoriser l'addresse mac 48:bd:0e:02:ea:41 :

Switch(config-mac-al)# permit 48:bd:0e:02:ea:41 00:00:00:00:00:00 any ace-priority 10

Autoriser la famille d'addresses mac 00:11:xx:xx:xx:xx :

Switch(config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any ace-priority 8

On refuse toutes les autres MAC :

Switch(config-mac-al)# deny any any ace-priority 40

Appliquer l'ACL aux interfaces

On rentre en mode configuration des interfaces ge1/0/4 à ge1/0/18 :

Switch(config)# interface range ge1/0/4-18

Appliquer l'access list aux interfaces :

Switch(config-if-range)# service-acl input MF01

Si l'on souhaite revenir en arrière et dissocier l'access list on pourra lancer la commande suivante :

Switch(config-if-range)# no service-acl input MF01

Quelques Commandes Pratiques

Afficher les access lists :

Switch# show access-lists MF01
Extended MAC access list MF01
    permit  host 48:bd:0e:02:ea:41 any ace-priority 10
    permit  host 24:b6:fd:14:08:53 any ace-priority 20
    deny    any any ace-priority 40

Supprimer une règle précise de notre acl :

Switch(config)# mac access-list extended MF01
Switch(config-mac-al)# no permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any

Supprimer une acl :

Switch(config)# no mac access-list extended MF01

Mise en pratique

Voyons ici comment autoriser la famille d'addresses 00:11 et l'hôte 24:B6:FD:14:08:53. Les autres adresses seront bloquées.

Diagramme montrant un commutateur Cisco connecté à plusieurs appareils, illustrant les adresses MAC filtrées ou autorisées sur le réseau.

Création d'une access list :

Switch(config)# mac access-list extended MF01

On autorise la famille d'adresses 00:11:XX:XX:XX:XX :

Switch(config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any

On autorise l'hôte 24:B6:FD:14:08:53 :

Switch(config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any

On bloque les autres adresses :

Switch(config-mac-al)# deny any any

On applique notre filtrage MAC à toutes nos interfaces. Ici de ge1/0/1 à ge1/0/24 :

Switch(config)# interface range ge1/0/1-24
Switch(config-if-range)# service-acl input MF01

Informatique

Zik

Autres