Mise en place du port security Cisco pour les switchs Small Business / SG
Mise à jour le 11 nov. 2024
Nous allons voir ici comment configurer le Cisco port security en ligne de commande sur les commutateurs Small Business.
Le port security est une fonctionnalité sur les commutateurs Cisco qui renforce la sécurité du réseau en limitant l'accès à des appareils prédéterminés, identifiés en fonction de leur adresse MAC.
Le port security permet notamment de :
Empêcher les appareils non autorisés
Limiter le nombre d'appareils par port (pour éviter l'ajout de commutateurs indésirables ou de points d'accès WIFI, par exemple)
Filtrer les adresses MAC de manière manuelle ou automatique
Définitions
Les différents Modes
Lock (défaut) : Mode par défaut, sans apprentissage automatique des adresses MAC. L'ajout des adresses MAC doit se faire manuellement avec la commande mac address-table static.
Max-addresses : Apprentissage d'adresses MAC dynamique mais limité en nombre. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
Secure permanent : Enregistre les adresses MAC en cours d'utilisation et peu apprendre d'autres adresses jusqu'à une limite prédéfini. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
Secure delete-on-reset : Apprentissage d'adresses MAC limité en nombre. Les adresses enregistrées peuvent être réinitialisées avec la commande delete-on-reset time-of-live ou lors de la réinitialisation du switch. L'ajout d'adresses MAC peut se faire manuellement avec la commande mac address-table static.
Les Actions
Discard (défaut) : Les paquets sont rejetés si la source n'est pas connue (n'a pas été apprise).
Forward : Les paquets sont transmis même si la source n'est pas connue (n'a pas été apprise).
Discard-Shutdown : Les paquets sont rejetés et le port est désactivé si la source n'est pas connue (n'a pas été apprise).
Ajout d'adresses statiques
Les adresses peuvent être apprises de manière statique ou dynamique. Les adresses statiques sont ajoutées avec la commande mac address-table static.
Paramètres pour la commande mac address-table static :
permanent (par défaut) : l'adresse MAC est enregistrée jusqu'à ce qu'elle soit supprimée manuellement.
delete-on-reset : l'adresse MAC est enregistrée jusqu'au prochain redémarrage.
delete-on-timeout : l'adresse MAC peut être supprimée en fonction du temps d'expiration.
L'exemple suivant ajoute une adresse MAC statique permanente :
Switch(config)# mac address-table static 00:3f:bd:45:5a:b2 vlan 1 interface gi1 permanent
L'exemple suivant ajoute une adresse MAC statique supprimée au redémarrage :
Switch(config)# mac address-table static 00:3f:bd:45:5a:b2 vlan 1 interface gi1 delete-on-reset
L'exemple suivant ajoute une adresse MAC statique supprimée en fonction du délai d'expiration :
Switch(config)# mac address-table static 00:3f:bd:45:5a:b2 vlan 1 interface gi1 delete-on-timeout
L'exemple suivant ajoute une adresse MAC sécurisée :
Switch(config)# mac address-table static 00:3f:bd:45:5a:b2 vlan 1 interface gi1 secure
Activer le port security
Active le port security sur l'interface gi1/0/1, avec les modes Discard-Shutdown et Lock. Dans cet exemple, le port sera désactivé si une adresse autre que 00:3f:bd:45:5a:b1 est connectée au port gi1/0/1 :
Switch(config)# mac address-table static 00:3f:bd:45:5a:b1 vlan 1 interface gi1/0/1 permanent
Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode lock
Switch(config-if)# port security discard-shutdown
Switch(config-if)# port security
Désactiver le port security
Désactive le port security sur l'interface gi1/0/1 :
Switch(config)# interface gi1/0/1
Switch(config-if)# no port security
Définir le nombre maximum d'adresses MAC
Nous pouvons définir le nombre maximum d'adresses MAC qu'un port peut accepter. Cela peut être utile si vous ne souhaitez pas qu'un utilisateur connecte un commutateur ou un point d'accès WiFi sur un port réseau.
Ici, nous autorisons jusqu'à deux adresses MAC à se connecter à une l'interface gi1/0/1. (Remarque : Les deux adresses seront apprises dynamiquement) :
Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode max-addresses
Switch(config-if)# port security max 2
Switch(config-if)# port security discard
Switch(config-if)# port security
Port security avec secure permanent
Ici on ajoute manuellement deux adresses mac et on active les modes secure permanent et security max :
Switch(config)# mac address-table static 00:3f:bd:45:5a:b1 vlan 1 interface gi1/0/1 permanent
Switch(config)# mac address-table static 00:3f:bd:45:5a:b2 vlan 1 interface gi1/0/1 permanent
Switch(config)# interface gi1/0/1
Switch(config-if)# port security mode secure permanent
Switch(config-if)# port security max 5
Switch(config-if)# port security
Clear mac address-table
Supprimer toutes les adresses dynamiques (apprises) sur l'interface gi1/0/1 :
Switch# clear mac address-table dynamic interface gi1/0/1
Supprimer toutes les adresses sécurisées apprises sur l'interface gi1/0/1 :
Switch# clear mac address-table secure interface gi1/0/1
Les commandes Show liées au port security
Affiche les paramètres port security :
Switch# show ports security
Affiche les paramètres détaillés port security :
Switch# show ports security detailed
Affiche les paramètres port security d'une interface :
Switch# show ports security GigabitEthernet1/0/20
Affiche la table des adresses MAC :
Switch# show mac address-table
Affiche l'entrée d'une MAC address spécifique :
Switch# show mac address-table 00:3f:bd:45:5a:b1
Affiche le nombre d'adresses présentes dans la base Forwarding
Switch# show mac address-table count
Affiche les adresses présentes pour une interface specifique :
Switch# show mac address-table interface GigabitEthernet1/0/20
