{"id":589,"date":"2015-05-07T10:57:30","date_gmt":"2015-05-07T09:57:30","guid":{"rendered":"http:\/\/www.netexpertise.eu\/fr\/?p=589"},"modified":"2021-05-02T07:43:18","modified_gmt":"2021-05-02T06:43:18","slug":"interdiction-adresse-mac-vlan-cisco-catalyst","status":"publish","type":"post","link":"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html","title":{"rendered":"Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco"},"content":{"rendered":"\n

Il existe plusieurs moyens de filtrer des adresses mac sur un switch parmi lesquels nous pouvons citer
– le port security<\/a>,
– les access lists mac<\/a> ou m\u00eame
– l’authentication 802.1x<\/a> avec un serveur Radius.

Les ACL mac requi\u00e8rent des switches de haut niveau tandis que l’authentification 802.1x n\u00e9cessite une installation assez lourde et exige de g\u00e9rer une base de donn\u00e9es d’adresses mac sur un serveur Radius.
Port security autorise l’ouverture de ports \u00e0 des adresses mac mais cela implique d’avoir une liste exhaustive et d’appliquer une gestion drastique. Et comment interdire l’acc\u00e8s d’une mac \u00e0 un vlan sp\u00e9cifique?

Tous les switches Cisco<\/a> ont une fonctionnalit\u00e9 de base qui permet de configurer des adresses mac statiques. Voici 2 commandes simples qui vous aideront dans diff\u00e9rents scenarii.

<\/p>\n\n\n\n

Interdire une Adresse Mac sur un vlan<\/h3>\n\n\n\n

Vous souhaitez interdire une machine d’appartenir \u00e0 un vlan sp\u00e9cifique parce que ce vlan a des droits particuliers comme un acc\u00e8s \u00e0 internet parr exemple alors que ce n’est pas le cas pour les autres.
Vous pouvez interdire une adresse mac d’\u00eatre sur un vlan avec l’option \u00ab\u00a0drop\u00a0\u00bb:

<\/p>\n\n\n\n

Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 49 drop\nCisco(config)# do show mac address\n  49    0025.64a4.0e8c    STATIC      Drop<\/code><\/pre>\n\n\n\n

Forcer une Adresse Mac sur un vlan<\/h3>\n\n\n\n
Vous pouvez aussi faire l’inverse. Forcer une adresse mac sur un vlan et un port uniques, pour s’assurer qu’elle soit bien isol\u00e9e du reste du r\u00e9seau (si le vlan est configur\u00e9 de cette fa\u00e7on). Pensez \u00e0 ce vieil Windows XP sur lequel tourne encore un logiciel dont vous ne pouvez pas vous d\u00e9barrasser :)

<\/p>\n\n\n\n
Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 48 int fa0\/35\nCisco(config)# do show mac address\n  48    0025.64a4.0e8c    STATIC      Fa0\/35<\/code><\/pre>\n\n\n\n

Cela emp\u00eache quelqu’un d’acc\u00e9der au mauvais vlan juste en connectant son c\u00e2ble sur un autre port – intentionnellement ou accidentellement – au cas o\u00f9 il aurait acc\u00e8s \u00e0 l’armoire de brassage r\u00e9seau.<\/p>\n","protected":false},"excerpt":{"rendered":"
Il existe plusieurs moyens de filtrer des adresses mac sur un switch parmi lesquels nous pouvons citer– le port security,– les access lists mac ou m\u00eame– l’authentication 802.1x avec un serveur Radius. Les ACL mac requi\u00e8rent des switches de haut niveau tandis que l’authentification 802.1x n\u00e9cessite une installation assez lourde et exige de g\u00e9rer une […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[20,31],"tags":[408,449,387],"yoast_head":"\nNetexpertise - Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco<\/title>\n<meta name=\"description\" content=\"Interdire ou forcer une adresse mac \u00e0 appartenir \u00e0 une interface vlan sur un switch Cisco en configurant des entr\u00e9es d'adresses mac statiques\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Netexpertise - Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco\" \/>\n<meta property=\"og:description\" content=\"Interdire ou forcer une adresse mac \u00e0 appartenir \u00e0 une interface vlan sur un switch Cisco en configurant des entr\u00e9es d'adresses mac statiques\" \/>\n<meta property=\"og:url\" content=\"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html\" \/>\n<meta property=\"og:site_name\" content=\"Netexpertise\" \/>\n<meta property=\"article:published_time\" content=\"2015-05-07T09:57:30+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-05-02T06:43:18+00:00\" \/>\n<meta name=\"author\" content=\"dave\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@netexpertise\" \/>\n<meta name=\"twitter:site\" content=\"@netexpertise\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html\",\"url\":\"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html\",\"name\":\"Netexpertise - Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco\",\"isPartOf\":{\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/#website\"},\"datePublished\":\"2015-05-07T09:57:30+00:00\",\"dateModified\":\"2021-05-02T06:43:18+00:00\",\"author\":{\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/#\/schema\/person\/e398f0307e2b167f6b884c4953be2632\"},\"description\":\"Interdire ou forcer une adresse mac \u00e0 appartenir \u00e0 une interface vlan sur un switch Cisco en configurant des entr\u00e9es d'adresses mac statiques\",\"breadcrumb\":{\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"http:\/\/www.netexpertise.eu\/fr\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/#website\",\"url\":\"http:\/\/www.netexpertise.eu\/fr\/\",\"name\":\"Netexpertise\",\"description\":\"Syst\u00e8mes \/ R\u00e9seaux \/ DevOps\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/www.netexpertise.eu\/fr\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Person\",\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/#\/schema\/person\/e398f0307e2b167f6b884c4953be2632\",\"name\":\"dave\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"http:\/\/www.netexpertise.eu\/fr\/#\/schema\/person\/image\/\",\"url\":\"http:\/\/1.gravatar.com\/avatar\/1129916e1f4955bd632f27f836f64e55?s=96&d=mm&r=g\",\"contentUrl\":\"http:\/\/1.gravatar.com\/avatar\/1129916e1f4955bd632f27f836f64e55?s=96&d=mm&r=g\",\"caption\":\"dave\"},\"sameAs\":[\"http:\/\/www.netexpertise.eu\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Netexpertise - Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco","description":"Interdire ou forcer une adresse mac \u00e0 appartenir \u00e0 une interface vlan sur un switch Cisco en configurant des entr\u00e9es d'adresses mac statiques","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html","og_locale":"fr_FR","og_type":"article","og_title":"Netexpertise - Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco","og_description":"Interdire ou forcer une adresse mac \u00e0 appartenir \u00e0 une interface vlan sur un switch Cisco en configurant des entr\u00e9es d'adresses mac statiques","og_url":"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html","og_site_name":"Netexpertise","article_published_time":"2015-05-07T09:57:30+00:00","article_modified_time":"2021-05-02T06:43:18+00:00","author":"dave","twitter_card":"summary_large_image","twitter_creator":"@netexpertise","twitter_site":"@netexpertise","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html","url":"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html","name":"Netexpertise - Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco","isPartOf":{"@id":"http:\/\/www.netexpertise.eu\/fr\/#website"},"datePublished":"2015-05-07T09:57:30+00:00","dateModified":"2021-05-02T06:43:18+00:00","author":{"@id":"http:\/\/www.netexpertise.eu\/fr\/#\/schema\/person\/e398f0307e2b167f6b884c4953be2632"},"description":"Interdire ou forcer une adresse mac \u00e0 appartenir \u00e0 une interface vlan sur un switch Cisco en configurant des entr\u00e9es d'adresses mac statiques","breadcrumb":{"@id":"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/www.netexpertise.eu\/fr\/reseau\/cisco\/interdiction-adresse-mac-vlan-cisco-catalyst.html#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"http:\/\/www.netexpertise.eu\/fr"},{"@type":"ListItem","position":2,"name":"Comment Interdire\/Forcer une Adresse mac sur un VLAN sur Cisco"}]},{"@type":"WebSite","@id":"http:\/\/www.netexpertise.eu\/fr\/#website","url":"http:\/\/www.netexpertise.eu\/fr\/","name":"Netexpertise","description":"Syst\u00e8mes \/ R\u00e9seaux \/ DevOps","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/www.netexpertise.eu\/fr\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"http:\/\/www.netexpertise.eu\/fr\/#\/schema\/person\/e398f0307e2b167f6b884c4953be2632","name":"dave","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"http:\/\/www.netexpertise.eu\/fr\/#\/schema\/person\/image\/","url":"http:\/\/1.gravatar.com\/avatar\/1129916e1f4955bd632f27f836f64e55?s=96&d=mm&r=g","contentUrl":"http:\/\/1.gravatar.com\/avatar\/1129916e1f4955bd632f27f836f64e55?s=96&d=mm&r=g","caption":"dave"},"sameAs":["http:\/\/www.netexpertise.eu"]}]}},"_links":{"self":[{"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/posts\/589"}],"collection":[{"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/comments?post=589"}],"version-history":[{"count":0,"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/posts\/589\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/media?parent=589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/categories?post=589"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.netexpertise.eu\/fr\/wp-json\/wp\/v2\/tags?post=589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}