<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="fr">
	<id>https://doc.ycharbi.fr/index.php?action=history&amp;feed=atom&amp;title=Filtrage_mac_-_cisco</id>
	<title>Filtrage mac - cisco - Historique des versions</title>
	<link rel="self" type="application/atom+xml" href="https://doc.ycharbi.fr/index.php?action=history&amp;feed=atom&amp;title=Filtrage_mac_-_cisco"/>
	<link rel="alternate" type="text/html" href="https://doc.ycharbi.fr/index.php?title=Filtrage_mac_-_cisco&amp;action=history"/>
	<updated>2026-07-04T02:42:58Z</updated>
	<subtitle>Historique des versions pour cette page sur le wiki</subtitle>
	<generator>MediaWiki 1.45.3</generator>
	<entry>
		<id>https://doc.ycharbi.fr/index.php?title=Filtrage_mac_-_cisco&amp;diff=1231&amp;oldid=prev</id>
		<title>Ycharbi : Page créée avec « Category:cisco Les équipements &#039;&#039;Cisco&#039;&#039; permettent de réaliser un filtrage des adresses &#039;&#039;MAC&#039;&#039; traversant leurs ports de niveau deux. Le principe étant de n&#039;autor... »</title>
		<link rel="alternate" type="text/html" href="https://doc.ycharbi.fr/index.php?title=Filtrage_mac_-_cisco&amp;diff=1231&amp;oldid=prev"/>
		<updated>2020-12-28T17:39:37Z</updated>

		<summary type="html">&lt;p&gt;Page créée avec « &lt;a href=&quot;/index.php/Cat%C3%A9gorie:Cisco&quot; title=&quot;Catégorie:Cisco&quot;&gt;Category:cisco&lt;/a&gt; Les équipements &amp;#039;&amp;#039;Cisco&amp;#039;&amp;#039; permettent de réaliser un filtrage des adresses &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; traversant leurs ports de niveau deux. Le principe étant de n&amp;#039;autor... »&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Nouvelle page&lt;/b&gt;&lt;/p&gt;&lt;div&gt;[[Category:cisco]]&lt;br /&gt;
Les équipements &amp;#039;&amp;#039;Cisco&amp;#039;&amp;#039; permettent de réaliser un filtrage des adresses &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; traversant leurs ports de niveau deux. Le principe étant de n&amp;#039;autoriser que certaines machines à se brancher à un commutateur &amp;#039;&amp;#039;Ethernet&amp;#039;&amp;#039; (et à en autoriser l&amp;#039;accès au réseau) en se basant sur une liste d&amp;#039;adresses physiques de cartes réseau. L&amp;#039;article de [https://www.it-connect.fr/securiser-son-switch-cisco-avec-port-security/ it-connect.fr] sur le sujet peut vous apporter des complément à ce document.&lt;br /&gt;
&lt;br /&gt;
Trois modes de filtrage sont utilisables :&lt;br /&gt;
* statique&lt;br /&gt;
* dynamique&lt;br /&gt;
* collant&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
Chacun permet de définir trois types d&amp;#039;actions en cas de violation de sécurité :&lt;br /&gt;
* Protect : toutes les trames ayant des adresses &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; sources inconnues sont bloquées mails les autres restent autorisées&lt;br /&gt;
* Restrict : une alerte &amp;#039;&amp;#039;SNMP&amp;#039;&amp;#039; est émise et le compteur de violation est incrémenté&lt;br /&gt;
* Shutdown : désactive le port incriminé en cas de violation&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
Chaque commandes sera à renseigner dans la section d&amp;#039;une interface de niveau deux. L&amp;#039;état d&amp;#039;une interface concernant le filtrage &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; est visualisable via la commande :&lt;br /&gt;
 show port-security interface &amp;lt;interface&amp;gt;&lt;br /&gt;
&lt;br /&gt;
{{attention|Il est recommandé de n&amp;#039;utiliser cette fonction que sur des ports reliés à des équipements de terminaison. En effet, si vous filtrez des tronçons &amp;#039;&amp;#039;802.1Q&amp;#039;&amp;#039;, vous aurez des chances certaines de violer vos règles car il est difficile (mais pas impossible en fonction du réseau) de dresser de façon exhaustive la liste des adresses physiques y transitant. Préférez réserver le filtrage &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; aux ports en mode &amp;#039;&amp;#039;access&amp;#039;&amp;#039; reliés à des utilisateurs finaux.}}&lt;br /&gt;
&lt;br /&gt;
=Filtrage statique=&lt;br /&gt;
Le filtrage statique consiste à rentrer manuellement les adresses dans l’équipement. Cette méthode permet de définir à l’avance les machines autorisées à ce connecter au commutateur. Son inconvénient réside dans la pénibilité de renseigner les adresses à la main (sur plusieurs équipements cela peut représenter une charge de travail non négligeable).&lt;br /&gt;
&lt;br /&gt;
 switchport mode access&lt;br /&gt;
 switchport port-security&lt;br /&gt;
 switchport port-security mac-address XXXX.XXXX.XXXX&lt;br /&gt;
 switchport port-security violation shutdown&lt;br /&gt;
 switchport port-security maximum 1&lt;br /&gt;
&lt;br /&gt;
=Filtrage dynamique=&lt;br /&gt;
Le filtrage dynamique consiste à laisser le commutateur ajouter lui même l’adresse &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; à sa table lors de la connexion du premier équipement. Lorsqu&amp;#039;elle est renseignée, celui-ci considère que toute autre adresse physique détecté, dans la limite du nombre définit (par défaut 1) viole la règle établie. Un filtrage dynamique ne peut conserver les adresses &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; recensées après un redémarrage. C’est pour cette raison que le filtrage collant lui sera généralement préféré.&lt;br /&gt;
&lt;br /&gt;
 switchport mode access&lt;br /&gt;
 switchport mode access&lt;br /&gt;
 switchport port-security&lt;br /&gt;
 switchport port-security violation shutdown&lt;br /&gt;
 switchport port-security maximum 1&lt;br /&gt;
&lt;br /&gt;
=Filtrage collant=&lt;br /&gt;
Le filtrage collant (&amp;#039;&amp;#039;sticky&amp;#039;&amp;#039;) est identique au filtrage dynamique à ceci près qu’il rend possible l’enregistrement des adresses &amp;#039;&amp;#039;MAC&amp;#039;&amp;#039; référencées dans la configuration &amp;#039;&amp;#039;startup-config&amp;#039;&amp;#039; via la commande d&amp;#039;enregistrement standard (et donc la persistance au redémarrage).&lt;br /&gt;
&lt;br /&gt;
 switchport mode access&lt;br /&gt;
 switchport port-security&lt;br /&gt;
 switchport port-security mac-address sticky&lt;br /&gt;
 switchport port-security violation shutdown&lt;br /&gt;
 switchport port-security maximum 1&lt;br /&gt;
&lt;br /&gt;
=Lever un blocage=&lt;br /&gt;
Cette fonctionnalité étant généralement mise en place au plus proches des utilisateurs finaux, il n&amp;#039;est pas rare que ceux-ci s&amp;#039;amusent à débrancher les câbles afin d&amp;#039;insérer leurs équipements personnels dans le réseau. En fonction du type d&amp;#039;action définie dans votre règle, le port peut se retrouver bloquer même après rebranchement de l&amp;#039;équipement initial. Voici quelques méthodes pour débloquer un port.&lt;br /&gt;
&lt;br /&gt;
==Supprimer la configuration==&lt;br /&gt;
La méthode la plus extrême consiste à supprimer toutes les lignes contenant &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;switchport port-security&amp;lt;/source&amp;gt; dans l&amp;#039;interface incriminée et de la redémarrer (avec un &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;shutdown&amp;lt;/source&amp;gt; suivit d&amp;#039;un &amp;lt;source lang=&amp;quot;bash&amp;quot; inline&amp;gt;no shutdown&amp;lt;/source&amp;gt;). N&amp;#039;oubliez pas de remettre votre configuration de sécurité à l&amp;#039;issue.&lt;br /&gt;
&lt;br /&gt;
==Purger la violation==&lt;br /&gt;
Cette façon de faire est un plus propre et moins fastidieuse car elle ne nécessite pas de devoir supprimer et remettre une configuration en place.&lt;br /&gt;
&lt;br /&gt;
 clear port-security sticky interface &amp;lt;interface_bloquée&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Il faudra toutefois penser à éteindre/allumer l&amp;#039;interface via les commandes adéquates pour appliquer la purge.&lt;br /&gt;
&lt;br /&gt;
==Réactivation automatique==&lt;br /&gt;
Il est possible de ne bloquer le port que pour une durée déterminée. Arrivée à échéance et seulement si la condition de fonctionnement normale a été restauré (sous couvert de re-déclencher le blocage pour la même durée), le port se débloquera de lui même et aucun redémarrage manuel de celui-ci ne sera nécessaire.&lt;br /&gt;
&lt;br /&gt;
Dans le prompt &amp;#039;&amp;#039;configure terminal&amp;#039;&amp;#039;&lt;br /&gt;
 errdisable recovery cause psecure-violation&lt;br /&gt;
 errdisable recovery interval &amp;lt;30-86400_secondes&amp;gt;&lt;/div&gt;</summary>
		<author><name>Ycharbi</name></author>
	</entry>
</feed>