L’article présente une procédure afin de modifier la sécurité des ports d’un matériel Cisco. L’article comporte un rappel tiré du cours COURS CISCO.
Il y a violation de la sécurité lorsque l’une des situations suivantes se présente :
- – Le nombre maximal d’adresses MAC sécurisées a été ajouté dans la table d’adresses de l’interface et une station dont l’adresse MAC ne figure pas dans la table d’adresses tente d’accéder à l’interface.
- – Une adresse assimilée ou configurée dans une interface sécurisée est visible sur une autre interface sécurisée dans le même VLAN.
- – Une interface peut être configurée pour l’un des trois modes de violation, en spécifiant les actions à entreprendre en cas de violation.
- Protect : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, les paquets munis d’adresses sources inconnues sont ignorés jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soit supprimé ou que le nombre maximal d’adresses à autoriser soit augmenté. Aucune notification n’indique qu’une violation de sécurité s’est produite.
- Restrict : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, les paquets munis d’adresses sources inconnues sont ignorés jusqu’à ce qu’un nombre suffisant d’adresses MAC sécurisées soit supprimé ou que le nombre maximal d’adresses à autoriser soit augmenté. Dans ce mode, une notification indique qu’une violation de sécurité s’est produite.
- Shutdown : dans ce mode (le mode par défaut), toute violation de sécurité de port entraîne immédiatement la désactivation de l’enregistrement des erreurs dans l’interface et celle de la LED du port. Dans ce mode, le compteur de violation est incrémenté. Lorsqu’un port sécurisé fonctionne en mode de désactivation des erreurs, il est possible d’annuler cet état par simple saisie des commandes de mode de configuration d’interface shutdown et no shutdown.
S1#conf t
S1(config)#interface fastEthernet 0/2
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 50
S1(config-if)#end
S1(config)#interface fastEthernet 0/2
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 50
S1(config-if)#end