CCNP Switch 16 I
Port security
Catalyst offre la caractéristique de contrôler les ports en se basant sur l’adresse mac.
Activer le port security
Switchport port-security
Par défaut, seul un adresse mac.
L’apprentissage des adresses mac est automatique sticky.
Changer le nombre maximum d’adresses mac
Switchport port-security maximum max
Définir statiquement l’adresse mac autorisé
Switchport port-security mac-address mac-adress
Définir le type d’action en cas de violation
Switchport port-security violation (shutdown / restricted /protect)
Shut – extinction du port
Restrict – envoi msg syslog or snmp
Protect – Drop des paquets qui viol la règle.
Voir le status port security d’un port
Show port-security interface gigabitethernet 0/1
Voir les interfaces en err-disabled
Show interfaces status err-disabled
Authentification basé sur les ports
Combinaison entre port security et AAA.
Basé sur 802.1X
Pour une authentification port based le switch et le pc doivent supporter l’authentification 802.1x, utilisant le extensible authentication protocol over lan (EAPOL).
802.1x configuration
Authentification port basé peut être effectué sur 1 ou plusieurs server radius.
Seul Radius est supporté pour 802.1x
Etapes de configuration
1- Activer AAA sur le switch
2- Définir le server radius externe
3- Définir la méthode d’authenfication
4- Activer 802.1x sur le switch
5- Configurer les ports pour utiliser 802.1x
6- Autoriser plusieurs hôtes sur le switch
Activer AAA sur le switch
Aaa new-model
Définir le server radius externe
Radius-server host (hostname / ip) key string
Définir la méthode d’authenfication Aaa authentication dot1x default group radius
Activer 802.1x sur le switch
Dot1x systel-auth-control
Configurer les ports pour utiliser 802.1x
En conf if :
Dot1x port-control (force-authorized / force-unauthorized / auto)
force-authorized
Le port est oblige d’authorizer les connections clients. Aucune authentification