Tous les ports (interfaces) de commutateur doivent être sécurisés avant le déploiement du commutateur en
production. L'une des méthodes de sécurisation des ports consiste à implémenter une fonctionnalité appelée sécurité
des ports. La sécurité des ports restreint le nombre d'adresses MAC autorisées sur un port. Les adresses
MAC des périphériques légitimes sont ainsi autorisées. Toutes les autres adresses MAC sont refusées.
La sécurité des ports peut être configurée pour autoriser une ou plusieurs adresses MAC. Si le nombre d'adresses
MAC autorisées sur un port est limité à un, seul le périphérique disposant de cette adresse MAC spécifique peut se
connecter au port.
Types d'adresses MAC sécurisées
Il existe plusieurs façons de configurer la sécurité des ports. Le type d'adresse sécurisée est basé sur la configuration
et peut être l'un des types suivants :
• Adresses MAC sécurisées statiques : adresses MAC configurées manuellement sur un port à l'aide de la
commande de mode de configuration globale switchport port-security mac-address adresse-mac.
Les adresses MAC configurées de cette manière sont stockées dans la table d'adresses et sont ajoutées à la
configuration en cours sur le commutateur.
• Adresses MAC sécurisées dynamiques : adresses MAC apprises de manière dynamique et stockées
uniquement dans la table d'adresses. Les adresses MAC configurées ainsi sont supprimées au redémarrage du
commutateur. switchport port-security
• Adresses MAC sécurisées rémanentes : adresses MAC pouvant être apprises de manière dynamique ou
configurées manuellement, puis stockées dans la table d'adresses et ajoutées à la configuration en cours.
- switchport port-security mac-address sticky (Dynamique)
- switchport port-security mac-address sticky adresse-mac (Manuellement)
Sécurité des ports : modes de violation
Une interface peut être configurée pour l'un des trois modes de violation, en spécifiant les actions à entreprendre en
cas de violation. La figure illustre les types de trafic de données transmis lorsque l'un des modes de violation de
sécurité suivants est configuré sur un port :
• Protect : lorsque le nombre d'adresses MAC sécurisées atteint la limite autorisée sur le port, les paquets munis
d'adresses sources inconnues sont ignorés jusqu'à ce qu'un nombre suffisant d'adresses MAC sécurisées soit
supprimé ou que le nombre maximal d'adresses à autoriser soit augmenté. Aucune notification n'indique qu'une
violation de sécurité s'est produite.
• Restrict : lorsque le nombre d'adresses MAC sécurisées atteint la limite autorisée sur le port, les paquets munis
d'adresses sources inconnues sont ignorés jusqu'à ce qu'un nombre suffisant d'adresses MAC sécurisées soit
supprimé ou que le nombre maximal d'adresses à autoriser soit augmenté. Dans ce mode, une notification
indique qu'une violation de sécurité s'est produite.
• Shutdown : dans ce mode (le mode par défaut), toute violation de sécurité de port entraîne immédiatement la
désactivation de l'enregistrement des erreurs dans l'interface et celle de la LED du port. Dans ce mode, le
compteur de violation est incrémenté. Lorsqu'un port sécurisé fonctionne en mode de désactivation des erreurs,
il est possible d'annuler cet état par simple saisie des commandes de mode de configuration d'interface
shutdown et no shutdown.
La Figure 2 illustre les commandes de l'interface de ligne de commande du logiciel Cisco IOS nécessaires pour
configurer la sécurité des ports sur le port Fast Ethernet F0/18 du commutateur S1. Remarquez que l'exemple ne
précise aucun mode de violation. Dans cet exemple, le mode de violation est Shutdown (mode par défaut).
La Figure 3 montre comment activer la sécurité des ports à l'aide des adresses MAC sécurisées rémanentes sur le
port Fast Ethernet port 0/19 du commutateur S1. Comme indiqué précédemment, le nombre d'adresses MAC
sécurisées peut être configuré manuellement. Dans cet exemple, la syntaxe des commandes Cisco IOS est utilisée
pour définir le nombre d'adresses MAC maximal sur 50 pour le port 0/19. Le mode de violation est défini sur
Shutdown, le mode par défaut.
