cisco & port-security sur un trunk

cisco & port-security sur un trunk - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 19-02-2015 à 16:04:32    

salut à tous,
 
voici l'infra
 
sw1------sw2-----sw3
 
sur sw2 sur l'interface qui arrive du sw1, nous devons activer le port sécurity sur un port en trunk avec divers vlan's
 
est-ce que si je configure ça comme sur un port access cela fonctionne
c'est à dire la conf suivante, que j'ai testé sur un port en access qui fonctionne très bien.
 
switchport port-security maximum 3
switchport port-security mac-address xxxx.xxxx.xxxx
switchport port-security mac-address yyyy.yyyy.yyyy
switchport port-security mac-address zzzz.zzzz.zzzz
switchport port-security violation protect
switchport port-security
 
ou faut-il vraiment que la notion de vlan soit présente, avec le nombre de max de mac par vlan, les id  etc...
 
le seul but est de fixer les mac qui doivent passer du sw1 vers le sw3, le sw2 ne sert qu'a ça.


Message édité par scoume le 19-02-2015 à 16:06:13
Reply

Marsh Posté le 19-02-2015 à 16:04:32   

Reply

Marsh Posté le 19-02-2015 à 18:48:26    

Salut,  
 
Port security sur un trunk ??  
Je vois mal l’intérêt !

Reply

Marsh Posté le 19-02-2015 à 21:24:06    

Demande de la sécurité.
Il faut restreindre l'accès au sw3 avec une liste de mac.

Reply

Marsh Posté le 20-02-2015 à 10:57:56    

salut,
 
c'est pour des ports d'inteconnexion ? enfin je soupçonne :o


---------------
------------------------------------------
Reply

Marsh Posté le 20-02-2015 à 22:01:25    

Pour être clair.
Sw1 et sw3 appartiennent à un projet dont nous ne gerons pas le matos.
Sw1 client
Sw3 serveur.
La sécurité veut gérer les machines clientes qui se connecter au serveur.
 
On ajoute sw2 pour pouvoir faire du filtrage mac entre les deux.

Reply

Marsh Posté le 20-02-2015 à 22:31:33    

pourquoi ne pas affecter une adresse mac à chaque port et n'autoriser que cette adresse mac sur un port ?


---------------
------------------------------------------
Reply

Marsh Posté le 20-02-2015 à 22:35:43    

On ne gère pas les sw1et sw2

Reply

Marsh Posté le 21-02-2015 à 01:05:15    

Plus je lis d'information sur ce sujet et plus je me dit que c'est foireux ( excusé l'expression ).
 
Soit tu as plusieurs VLAN et dans ce cas, jouer avec des liste de mac est une abérration complète ! Si c'est le cas il faut filtrer sur le router inter-vlan qui lui te permettra de filtrer facilement.
 
Soit tu n'as qu'un seul vlan ( et probablement le même réseau ip ) et dans ce cas également c'est foireux parce que les mac adresses ne sont pas fiables et tu donnes accès potentiellement à toute ton infra.

Reply

Marsh Posté le 21-02-2015 à 08:52:26    

Il n'y a pas de routeur inter vlan, infra simple de 3 switchs.

Reply

Marsh Posté le 21-02-2015 à 09:06:17    

et combien de vlan ?

Reply

Marsh Posté le 21-02-2015 à 09:06:17   

Reply

Marsh Posté le 22-02-2015 à 01:00:45    

En quoi le nombre de VLAN est il important ?
Je veux juste savoir si on peut faire un port-security simple comme dans mon premier commentaire, ou si sur un trunk on est obligé de faire apparaître la notion de VLAN.
Vu que je ne peux pas tester avant la mise en place.

Reply

Marsh Posté le 08-03-2015 à 19:50:18    

scoume a écrit :

En quoi le nombre de VLAN est il important ?
Je veux juste savoir si on peut faire un port-security simple comme dans mon premier commentaire, ou si sur un trunk on est obligé de faire apparaître la notion de VLAN.
Vu que je ne peux pas tester avant la mise en place.


 
J'ai passé cette commande sur un port en mode trunk (qui passe plusieurs VLAN) avec swtichport port-security maximum 3 sans les MAC address, le port passe en err-disable.

Reply

Marsh Posté le 10-03-2015 à 16:18:01    

scoume a écrit :

Pour être clair.
Sw1 et sw3 appartiennent à un projet dont nous ne gerons pas le matos.
Sw1 client
Sw3 serveur.
La sécurité veut gérer les machines clientes qui se connecter au serveur.
 
On ajoute sw2 pour pouvoir faire du filtrage mac entre les deux.

Port security sert á sécuriser l'accès au port. C'est une sécurité et rien d'autre. De plus il ne fonctionne (et c'est logique) que sur des ports en access.
Selon ta problématique, s'est du filtrage qu'il faut faire. Donc acl.
Sur le port trunk du sw2 tu appliques tes acl (ex : ip access-group 110 in et ip access-group 111 out) créées au préalable (access-list 110 permit ip...) afin de n'autoriser que les ip que tu souhaites et interdire le reste.
 

Reply

Marsh Posté le 10-03-2015 à 17:57:50    

c'est plus compliqué que ça, la sécurité veut bloquer les mac qui ne serait pas autorisés sur le switch et non les ip's.
 
par contre sur le site cisco je trouve la conf pour un trunk, mais je n'arrive pas à le mettre en application.

Reply

Marsh Posté le 11-03-2015 à 10:45:07    

C'est marrant, il me semblait que j'avais posté un message en réponse il y a quelques jours et je ne le vois pas  
 
Donc oui, c'est possible. En résumé :  
 
http://www.cisco.com/c/en/us/td/do [...] #wp1103933

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed