annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
703
Visites
10
Compliment
2
Réponses

Filtrage MAC Cisco 2960 CX

Abysses
Level 1
Level 1

Bonjour a tous,

 

Voilà, je dois configurer un filtrage par adresses MAC sur un switch Cisco 2960 CX, sur ce switch les 25 premiers ports sont utilisés mais une centaine de pc portables sont susceptibles de s'y connecter. 

1 seule vlan regroupant les 25 ports du switch les autres étant sur off. Quelle est la meilleure méthode pour activer le filtrage de 100 adresses MAC sur les 25 ports ? 

Pour info si je rentre les 100 MAC sur le port Gi 1/0/1 en activant le port-security mac-address, lorsque je veux les configurer sur le Gi 1/0/2 il me dit que les adresses sont déjà configurées.

 

Merci pour vos réponses.

2 RÉPONSES 2

gtrejoor
Cisco Employee
Cisco Employee

Salut @Abysses 

Dans ce cas particulier, ce que vous essayez de faire n'est pas le mieux adapté, car le commutateur (switch) apprend les adresses MAC de manière dynamique, cela signifie que ces 100 MAC seront apprises via le port où vous les recevez. Ceci est copié dans la table MAC et qui sait donc où envoyer le trafic.
La deuxième option que vous utilisez pour mettre un MAC statique, vous forcez ce port à être associé à ces MAC et même si vous les avez pour un autre port dynamique, vous pouvez provoquer un MAC flapping car le commutateur (switch) sait que ce MAC est associé à un autre port, et cela pourrait entraîner des problèmes dans le réseau.
Après avoir expliqué cela, permettez-moi de vous partager quelques suggestions :
Vous pouvez utiliser une ACL MAC pour filtrer les adresses MAC dont vous ne voulez pas rediriger le trafic, elles apprendront le port mais elles ne pourront pas communiquer à moins qu'elles ne soient dans la liste autorisée.
Exemple

Conf t
mac access-list extended unwantedMAC
permit host <source-MAC-address> any
End

Étape 2 : Créer une autre liste d'accès MAC autorisant tous les autres MAC.

Conf t
mac access-list extended OtherMAC
permit any any
end

Étape 3 : Définir la carte d'accès pour indiquer l'action à entreprendre lorsqu'un trafic atteint cette liste d'accès MAC en particulier.

Conf t
vlan access-map blockunwanted 10
match mac address unwantedMAC
action drop
match mac address blockunwanted 20
match mac address OtherMAC
action forward
end

Étape 4 : Configurer le MAC

conf t
vlan filter blockunwanted vlan-list 100
end

* Un autre moyen efficace consiste à utiliser un portsecurity et à savoir que les 25 premières adresses mac sont apprises dynamiquement et que les autres sont ignorées "switchport port-security maximum 25".
* La meilleure option est d'utiliser un service d'authentification de port le plus évolutif, avec un serveur RADIUS ou TACACS, afin que les utilisateurs autorisés dans les ports soient authentifiés.
Références :
Configuration du contrôle du trafic basé sur un port (Port-Based Traffic Control)
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960cx_3650cx/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_3560cx_2960cx_cg/b_1524e_consolidated_3560cx_2960cx_cg_chapter_01000000.html
Configuration de RADIUS
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960cx_3650cx/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_3560cx_2960cx_cg/b_1524e_consolidated_3560cx_2960cx_cg_chapter_0110100.html

Abysses
Level 1
Level 1

Bonjour et merci pour votre réponse,

Pour etre sûr de bien comprendre dans votre 1ere étape :

Conf t
mac access-list extended unwantedMAC
permit host <source-MAC-address> any
End

Je dois remplacer le <source-MAC-address> par chaque adresse MAC connue et les autoriser sur n'importe le quel des 25 ports du switch ?