Sécurité du commutateur : gestion et implémentation

Sécurité des ports de commutateur

Sécurité des ports

Tous les ports (interfaces) de commutateur doivent être sécurisés avant le déploiement du commutateur en production. L'une des méthodes de sécurisation des ports consiste à implémenter une fonctionnalité appelée sécurité des ports. La sécurité des ports restreint le nombre d'adresses MAC autorisées sur un port. Les adresses MAC des périphériques légitimes sont ainsi autorisées. Toutes les autres adresses MAC sont refusées.

La sécurité des ports peut être configurée pour autoriser une ou plusieurs adresses MAC. Si le nombre d'adresses MAC autorisées sur un port est limité à un, seul le périphérique disposant de cette adresse MAC spécifique peut se connecter au port.

Si un port est sécurisé et si le nombre maximum d'adresses MAC est atteint pour ce port, toute tentative de connexion supplémentaire réalisée depuis une adresse MAC inconnue générera une violation de sécurité. La Figure 1 résume ces points.

Types d'adresses MAC sécurisées

Il existe plusieurs façons de configurer la sécurité des ports. Le type d'adresse sécurisée est basé sur la configuration et peut être l'un des types suivants :

• Adresses MAC sécurisées statiques : adresses MAC configurées manuellement sur un port à l'aide de la commande de mode de configuration globale switchport port-security mac-address adresse-mac. Les adresses MAC configurées de cette manière sont stockées dans la table d'adresses et sont ajoutées à la configuration en cours sur le commutateur.

• Adresses MAC sécurisées dynamiques : adresses MAC apprises de manière dynamique et stockées uniquement dans la table d'adresses. Les adresses MAC configurées ainsi sont supprimées au redémarrage du commutateur.

• Adresses MAC sécurisées rémanentes : adresses MAC pouvant être apprises de manière dynamique ou configurées manuellement, puis stockées dans la table d'adresses et ajoutées à la configuration en cours.

Adresses MAC sécurisées rémanentes

Pour configurer une interface dans le but de convertir des adresses MAC apprises de manière dynamiques en adresses MAC sécurisées rémanentes et les ajouter à la configuration en cours, vous devez activer l'apprentissage rémanent. Pour activer l'apprentissage rémanent sur une interface, exécutez la commande de mode de configuration d'interface switchport port-security mac-address sticky.

Lorsque cette commande est exécutée, le commutateur convertit toutes les adresses MAC apprises de manière dynamique, y compris les adresses apprises avant l'activation de l'apprentissage rémanent, en adresses MAC sécurisées rémanentes. Toutes les adresses MAC sécurisées rémanentes sont ajoutées à la table d'adresses et à la configuration en cours.

Les adresses MAC sécurisées rémanentes peuvent également être définies manuellement. Lorsque des adresses MAC sécurisées rémanentes sont configurées à l'aide de la commande de mode de configuration d'interface switchport port-security mac-address sticky adresse-mac, toutes les adresses spécifiées sont ajoutées à la table d'adresses et à la configuration en cours.

Si les adresses MAC sécurisées rémanentes sont enregistrées dans le fichier de configuration initiale, alors, lorsque le commutateur est redémarré ou lorsque l'interface est désactivée, l'interface n'a pas à réapprendre les adresses. Si les adresses MAC sécurisées rémanentes ne sont pas enregistrées, elles seront perdues.

Si l'apprentissage rémanent est désactivé à l'aide de la commande de configuration d'interface no switchport port-security mac-address sticky, les adresses MAC sécurisées rémanentes restent intégrées à la table d'adresses mais sont supprimées de la configuration en cours.

La Figure 2 présente les caractéristiques des adresses MAC sécurisées rémanentes.

Notez que la fonction de sécurité des ports ne fonctionnera pas si la sécurité des ports n'est pas activée sur l'interface avec la commande switchport port-security.