Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1727 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Port-Security Cisco Question

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Port-Security Cisco Question

n°158160
evan52
Posté le 25-10-2018 à 17:00:19  profilanswer
 

Bonjour,
 
Comme évoqué dans un autre poste, sur notre réseau, nous avons un filtrage mac sur les étendus de nos serveurs DHCP, une pool d'adresse mac dans une stratégie,  a été ajouté sur toute les étendus, et ça fonctionne.
 
Si un pc est branché sur notre réseau et que sa  mac adress n'est pas dans ces étendus, le DHCP ne lui octroie pas une ip.  ça fonctionne.
 
Néanmoins, on me demande de regarder si on ne peut pas, en plus, faire du filtrage mac sur les ports de nos switchs de distribution ( cisco 2960X), donc appliquer du port-security.
 
C'est un peu redondant, mais l'avantage est qu'on peut mettre en down le port temporairement si qqu'un se branche sur une prise avec son pc portable par exemple . Néanmoins, ça a l'air assez chiant à gérer.  
 
On parle d'un bâtiment avec plus de 400 PC, des tas de salles de réunion, bcp de passage de gens extérieurs ( commerciaux, formateurs, prestataire divers et variés...).  
 
ça fait  bcp de mac adress! De plus, on est un site ou il y a très régulièrement des "déménagements" de services, directions etc...Donc un PC1 par exemple, au 2 ème étage, dans un VLAN donnée ( on a 6 VLAN poste de travail , sur un port d'un switchs donnés, peut se retrouver 2 mois après, au 3 ème étage sur un port d'un autre switch).
Donc la solution serait de mettre du port security sur tout les ports de tout les  switchs en y incluant l'intégralité des mac adress de 400 PC + imprimantes ( via un script ou autre). Chaque switch aurait sa table de mac adress ( la même partout au final), n'est ce pas trop "lourd" en ressource pour un switch ( des 48 ports)?  
 
Le mode "sticky" permet de faire apprendre dynamiquement au switch une mac ( la première qui se connecte).  Mais là, je vois pas trop l'utilité.  
 
Il existe pas un truc genre  une centralisation des mac adress ( sur un switch L3 coeur de réseau par exemple)?  Les switchs de distri iraient l'interroger, comparatif de la mac adress dans sa table et renvoie si oui ou non c'est ok, et blocage du port si pas bon? Plutôt que la même chose mais avec une  table de mac adress sur chacun des switchs?  
 
Bon, j'ai cherché un peu, ça n'a pas l'air d'exister, mais si  qqu'un pouvait me confirmer ou m'infirmer?

mood
Publicité
Posté le 25-10-2018 à 17:00:19  profilanswer
 

n°158162
Ivy gu
Posté le 25-10-2018 à 17:23:39  profilanswer
 

tu te lances dans une galère infinie. La solution à ce type de problème est 802.1x.


---------------
Infused with cruelty, malice, and abstract jazz music.
n°158163
logre
Posté le 25-10-2018 à 17:26:45  profilanswer
 

recherche du côté du 802.1x. S'il y a une solution, c'est de ce côté là qu'il faut chercher.
 
J'ai jamais tenté ce genre de truc, (auth via l'@mac only).
 
Le coup de se dire : le client a pas d'ip on est protégé.. On est d'accord pour dire que ça gène seulement Mme michu? Si quelqu'un dispose d'un accès à ton réseau c'est pas le manque d'IP 'DHCP' qui le bloquera =)
 
grillé  :o

Message cité 1 fois
Message édité par logre le 25-10-2018 à 17:27:25
n°158181
evan52
Posté le 25-10-2018 à 21:43:21  profilanswer
 

logre a écrit :

recherche du côté du 802.1x. S'il y a une solution, c'est de ce côté là qu'il faut chercher.
 
J'ai jamais tenté ce genre de truc, (auth via l'@mac only).
 
Le coup de se dire : le client a pas d'ip on est protégé.. On est d'accord pour dire que ça gène seulement Mme michu? Si quelqu'un dispose d'un accès à ton réseau c'est pas le manque d'IP 'DHCP' qui le bloquera =)
 
grillé  :o


 
 
Oui, tout à fait.  Pour le 802.X, oui c'est l'autre solution que je regardais, qui me parait effectivement plus simple, d'autant qu'on a déjà un serveur radius. Je voulais faire un comparatif et présenter les solutions possibles à mes responsables.  
 
Quelqu'un a t'il déjà mis en place cela pour un retour d'expérience?


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Port-Security Cisco Question

 

Sujets relatifs
Question pour DSI, RIT, RSI, ... : Process Achat InformatiqueInstallation imprimante locale port TCP IP via GPO
Avis WatchGuard, Security Suite et SonicWallProblème connexion port console depuis PC
Question sur rocade fibre et jarretière[CISCO] - Log
Question configuration boite mailQuestion sur les sauvegardes WS2008R2
broker cisco et fortinetQuestion DHCP pour un projet
Plus de sujets relatifs à : Port-Security Cisco Question


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR