Mai 07 2015
Comment Interdire/Forcer une Adresse mac sur un VLAN sur Cisco
Il existe plusieurs moyens de filtrer des adresses mac sur un switch parmi lesquels nous pouvons citer
– le port security,
– les access lists mac ou même
– l’authentication 802.1x avec un serveur Radius.
Les ACL mac requièrent des switches de haut niveau tandis que l’authentification 802.1x nécessite une installation assez lourde et exige de gérer une base de données d’adresses mac sur un serveur Radius.
Port security autorise l’ouverture de ports à des adresses mac mais cela implique d’avoir une liste exhaustive et d’appliquer une gestion drastique. Et comment interdire l’accès d’une mac à un vlan spécifique?
Tous les switches Cisco ont une fonctionnalité de base qui permet de configurer des adresses mac statiques. Voici 2 commandes simples qui vous aideront dans différents scenarii.
Interdire une Adresse Mac sur un vlan
Vous souhaitez interdire une machine d’appartenir à un vlan spécifique parce que ce vlan a des droits particuliers comme un accès à internet parr exemple alors que ce n’est pas le cas pour les autres.
Vous pouvez interdire une adresse mac d’être sur un vlan avec l’option « drop »:
Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 49 drop
Cisco(config)# do show mac address
49 0025.64a4.0e8c STATIC Drop
Forcer une Adresse Mac sur un vlan
Vous pouvez aussi faire l’inverse. Forcer une adresse mac sur un vlan et un port uniques, pour s’assurer qu’elle soit bien isolée du reste du réseau (si le vlan est configuré de cette façon). Pensez à ce vieil Windows XP sur lequel tourne encore un logiciel dont vous ne pouvez pas vous débarrasser :)
Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 48 int fa0/35
Cisco(config)# do show mac address
48 0025.64a4.0e8c STATIC Fa0/35
Cela empêche quelqu’un d’accéder au mauvais vlan juste en connectant son câble sur un autre port – intentionnellement ou accidentellement – au cas où il aurait accès à l’armoire de brassage réseau.