Ce document fournit un exemple de configuration et de vérification pour les fonctions de contrôle du trafic basées sur les ports sur vos commutateurs de la gamme Catalyst 3550/3560. Ce document vous montre tout particulièrement comment configurer, sur un commutateur Catalyst 3550, les fonctionnalités de contrôle du trafic basé sur le port.
Assurez-vous que vous remplissez ces conditions avant d'essayer cette configuration :
Posséder des connaissances de base sur la configuration des commutateurs Cisco Catalyst 3550/3560.
Avoir une compréhension de base des fonctions de contrôle du trafic basées sur les ports.
Les informations contenues dans ce document sont basées sur les commutateurs de la gamme Cisco Catalyst 3550.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Le commutateur Catalyst 3550/3560 offre un contrôle du trafic basé sur les ports qui peut être mis en oeuvre de différentes manières :
Contrôle Des Tempêtes
Ports protégés
Blocage des ports
Sécurité de port
Le contrôle des tempêtes empêche le trafic tel qu'une tempête de diffusion, de multidiffusion ou de monodiffusion sur l'une des interfaces physiques du commutateur. Un trafic excessif dans le réseau local, appelé tempête LAN, entraînera une dégradation des performances du réseau. Utilisez le contrôle des tempêtes afin d'éviter la dégradation des performances du réseau.
Le contrôle des tempêtes observe les paquets passant par une interface et détermine s'ils sont monodiffusion, multidiffusion ou diffusion. Définissez le niveau de seuil pour le trafic entrant. Le commutateur compte le nombre de paquets en fonction du type de paquet reçu. Si le trafic de diffusion et de monodiffusion dépasse le niveau de seuil sur une interface, seul le trafic d’un type particulier est bloqué. Si le trafic de multidiffusion dépasse le niveau de seuil sur une interface, alors tout le trafic entrant est bloqué jusqu'à ce que le niveau de trafic passe sous le niveau de seuil. Utilisez la commande de configuration d'interface storm-control pour configurer le contrôle de tempête spécifié du trafic sur l'interface.
Configurez des ports protégés sur un commutateur utilisé dans un cas où un voisin ne devrait pas voir le trafic généré par un autre voisin, de sorte qu'une partie du trafic d'application ne soit pas transférée entre les ports du même commutateur. Dans un commutateur, Protected Ports ne transfère aucun trafic (monodiffusion, multidiffusion ou diffusion) vers aucun autre port protégé, mais un port protégé peut transférer tout trafic vers des ports non protégés. Utilisez la commande de configuration d'interface switchport protected sur une interface pour isoler le trafic au niveau de la couche 2 des autres ports protégés.
Des problèmes de sécurité peuvent survenir lorsque le trafic des adresses MAC de destination inconnues (monodiffusion et multidiffusion) est diffusé sur tous les ports du commutateur. Afin d'empêcher le trafic inconnu d'être transféré d'un port à un autre port, configurez le blocage de port, qui bloquera les paquets de monodiffusion ou de multidiffusion inconnus. Utilisez la commande de configuration d'interface switchport block pour empêcher le transfert de trafic inconnu.
Utilisez Port Security afin de restreindre l'entrée à une interface en identifiant les adresses MAC des stations autorisées à accéder au port. Attribuez des adresses MAC sécurisées à un port sécurisé, de sorte que le port ne transfère pas les paquets dont les adresses source sont en dehors du groupe d'adresses définies. Utilisez la fonction d’apprentissage rémanent sur une interface pour convertir les adresses MAC dynamiques en adresses MAC sécurisées rémanentes. Utilisez la commande de configuration d'interface switchport port-security pour configurer les paramètres de sécurité de port sur l'interface.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) afin d'obtenir plus d'informations sur les commandes utilisées dans cette section.
Ce document utilise la configuration réseau suivante :
Ce document utilise la configuration suivante :
Commutateur Catalyst 3550 |
---|
Switch#configure terminal Switch(config)#interface fastethernet0/3 !--- Configure the Storm control with threshold level. Switch(config-if)#storm-control unicast level 85 70 Switch(config-if)#storm-control broadcast level 30 !--- Configure the port as Protected port. Switch(config-if)#switchport protected !--- Configure the port to block the multicast traffic. Switch(config-if)#switchport block multicast !--- Configure the port security. Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security !--- set maximum allowed secure MAC addresses. Switch(config-if)#switchport port-security maximum 30 !--- Enable sticky learning on the port. Switch(config-if)#switchport port-security mac-address sticky !--- To save the configurations in the device. switch(config)#copy running-config startup-config Switch(config)#exit |
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Employez l'OIT afin d'afficher une analyse de la sortie de la commande show.
Utilisez la commande show interfaces [interface-id] switchport afin de vérifier vos entrées :
Exemple :
Switch#show interfaces fastEthernet 0/3 switchport Name: Fa0/3 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: true Unknown unicast blocked: disabled Unknown multicast blocked: enabled Appliance trust: none
Utilisez la commande show storm-control [id-interface] [broadcast | multidiffusion | unicast] afin de vérifier les niveaux de suppression du contrôle des tempêtes définis sur l'interface pour le type de trafic spécifié.
Exemple :
Switch#show storm-control fastEthernet 0/3 unicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 85.00% 70.00% 0.00% Switch#show storm-control fastEthernet 0/3 broadcast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 30.00% 30.00% 0.00% Switch#show storm-control fastEthernet 0/3 multicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 inactive 100.00% 100.00% N/A
Utilisez la commande show port-security [interface id-interface] afin de vérifier les paramètres de sécurité de port pour l'interface spécifiée.
Exemple :
Switch#show port-security interface fastEthernet 0/3 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 30 Total MAC Addresses : 4 Configured MAC Addresses : 0 Sticky MAC Addresses : 4 Last Source Address : 0012.0077.2940 Security Violation Count : 0
Utilisez la commande show port-security [interface id-interface] address afin de vérifier toutes les adresses MAC sécurisées configurées sur une interface spécifiée.
Exemple :
Switch#show port-security interface fastEthernet 0/3 address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 000d.65c3.0a20 SecureSticky Fa0/3 - 1 0011.212c.0e40 SecureSticky Fa0/3 - 1 0011.212c.0e41 SecureSticky Fa0/3 - 1 0012.0077.2940 SecureSticky Fa0/3 - ------------------------------------------------------------------- Total Addresses: 4