le 19-01-2022 06:45 AM
Bonjour a tous,
Voilà, je dois configurer un filtrage par adresses MAC sur un switch Cisco 2960 CX, sur ce switch les 25 premiers ports sont utilisés mais une centaine de pc portables sont susceptibles de s'y connecter.
1 seule vlan regroupant les 25 ports du switch les autres étant sur off. Quelle est la meilleure méthode pour activer le filtrage de 100 adresses MAC sur les 25 ports ?
Pour info si je rentre les 100 MAC sur le port Gi 1/0/1 en activant le port-security mac-address, lorsque je veux les configurer sur le Gi 1/0/2 il me dit que les adresses sont déjà configurées.
Merci pour vos réponses.
le 19-01-2022 10:34 AM
Salut @Abysses
Dans ce cas particulier, ce que vous essayez de faire n'est pas le mieux adapté, car le commutateur (switch) apprend les adresses MAC de manière dynamique, cela signifie que ces 100 MAC seront apprises via le port où vous les recevez. Ceci est copié dans la table MAC et qui sait donc où envoyer le trafic.
La deuxième option que vous utilisez pour mettre un MAC statique, vous forcez ce port à être associé à ces MAC et même si vous les avez pour un autre port dynamique, vous pouvez provoquer un MAC flapping car le commutateur (switch) sait que ce MAC est associé à un autre port, et cela pourrait entraîner des problèmes dans le réseau.
Après avoir expliqué cela, permettez-moi de vous partager quelques suggestions :
Vous pouvez utiliser une ACL MAC pour filtrer les adresses MAC dont vous ne voulez pas rediriger le trafic, elles apprendront le port mais elles ne pourront pas communiquer à moins qu'elles ne soient dans la liste autorisée.
Exemple
Conf t
mac access-list extended unwantedMAC
permit host <source-MAC-address> any
End
Étape 2 : Créer une autre liste d'accès MAC autorisant tous les autres MAC.
Conf t
mac access-list extended OtherMAC
permit any any
end
Étape 3 : Définir la carte d'accès pour indiquer l'action à entreprendre lorsqu'un trafic atteint cette liste d'accès MAC en particulier.
Conf t
vlan access-map blockunwanted 10
match mac address unwantedMAC
action drop
match mac address blockunwanted 20
match mac address OtherMAC
action forward
end
Étape 4 : Configurer le MAC
conf t
vlan filter blockunwanted vlan-list 100
end
* Un autre moyen efficace consiste à utiliser un portsecurity et à savoir que les 25 premières adresses mac sont apprises dynamiquement et que les autres sont ignorées "switchport port-security maximum 25".
* La meilleure option est d'utiliser un service d'authentification de port le plus évolutif, avec un serveur RADIUS ou TACACS, afin que les utilisateurs autorisés dans les ports soient authentifiés.
Références :
Configuration du contrôle du trafic basé sur un port (Port-Based Traffic Control)
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960cx_3650cx/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_3560cx_2960cx_cg/b_1524e_consolidated_3560cx_2960cx_cg_chapter_01000000.html
Configuration de RADIUS
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960cx_3650cx/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_3560cx_2960cx_cg/b_1524e_consolidated_3560cx_2960cx_cg_chapter_0110100.html
le 19-01-2022 10:56 PM
Bonjour et merci pour votre réponse,
Pour etre sûr de bien comprendre dans votre 1ere étape :
Conf t
mac access-list extended unwantedMAC
permit host <source-MAC-address> any
End
Je dois remplacer le <source-MAC-address> par chaque adresse MAC connue et les autoriser sur n'importe le quel des 25 ports du switch ?
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français