Port Security Violation Mode

Mode de violation de la sécurité des ports sur un commutateur Cisco avec les options Shutdown, Restrict et Protect

1. Introduction

Le Port Security Violation Mode définit la manière dont un commutateur Cisco réagit lorsqu’un appareil non autorisé envoie du trafic via un port sécurisé.

Cisco propose 3 modes de violation Port Security pour contrôler ce comportement :

  • Shutdown (default)
  • Restrict
  • Protect
Vue d'ensemble des options du mode de violation de la sécurité des ports : Arrêter, Restreindre et Protéger sur les commutateurs Cisco

Chaque mode offre un niveau différent d’application et d’enregistrement. Examinons-les l’un après l’autre.

2. Shutdown Mode (Default)

Le mode arrêt est l’option la plus agressive et la plus sûre.

Comportement

  • Le commutateur désactive le port (état err-disabled).
  • Une alerte syslog et/ou SNMP est générée lorsque la violation se produit.
  • Tous les arrêts de trafic sur l’interface, y compris à partir de dispositifs autorisés.
  • Le compteur de violations augmente une fois (au moment de l’arrêt).

Une fois le port fermé, aucun journal supplémentaire n’est généré, même si l’appareil non autorisé continue d’envoyer du trafic.

Ce mode assure une sécurité maximale mais nécessite une intervention manuelle ou une récupération automatique pour remettre le port en service.

3. Restrict Mode

Le mode Restrict est plus souple que le mode Shutdown.

Comportement

  • Le trafic non autorisé est abandonné.
  • Un message syslog et/ou SNMP est généré chaque fois qu’une violation se produit.
  • Le port reste opérationnel pour les appareils autorisés.
  • Le compteur de violations augmente pour chaque trame non autorisée.

Ce mode est utile dans les environnements de production où la disponibilité du réseau est une priorité, mais où la surveillance des violations reste nécessaire.

Exemple de configuration pour le mode restreint

Voyons comment fonctionne le mode restreint dans la pratique !

Exemple de configuration en mode restreint avec PC1 connecté au commutateur Cisco SW1 sur l'interface G0/1 en utilisant l'adresse MAC sécurisée AAAA.BBBB.CCCC


Étape 1 – Activer Port Security :

Tout d’abord, activez Port Security sur l’interface G0/1 :

SW1(config)# int g0/1
SW1(config-if)# switchport port-security

Étape 2 – Configurer une adresse MAC sécurisée (PC1) :

Cette fois, je vais autoriser statiquement l’adresse MAC de PC1. Explorons les options disponibles en matière de sécurité des ports : 

SW1(config)# int g0/1
SW1(config-if)# switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode

Nous configurons maintenant l’adresse MAC de PC1 (AAAA.BBBB.CCCC) comme adresse MAC sécurisée :

SW1(config-if)# switchport port-security mac-address AAAA.BBBB.CCCC

Étape 3 – Définir le mode de violation Restrict:

Ensuite, configurons le mode de violation en mode Restric :

SW1(config-if)# switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode

Les modes de violation disponibles sont présentés ci-dessous :

SW1(config-if)# switchport port-security violation ?
  protect   Security violation protect mode
  restrict  Security violation restrict mode
  shutdown  Security violation shutdown mode

Pour activer le mode restriction :

SW1(config-if)# switchport port-security violation restrict

Étape 4 – Vérifier :

Nous pouvons maintenant vérifier l’état de Port Security sur G0/1 :

SW1# show port-security interface g0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

Nous pouvons voir ici :

  • Port Status: Secure-up, ce qui signifie que le port est opérationnel.
  • Violation Mode: Restrict, confirmer le mode configuré.
  • Security Violation Count: 0, car aucun trafic non autorisé n’a encore été détecté.

Étape 5 – Test avec un appareil non autorisé :

Maintenant, connectons un appareil non autorisé à G0/1 et observons ce qui se passe.

Violation de la sécurité du port en mode restrictif : le dispositif pirate avec MAC DDDD.EEEE.FFFF connecté à SW1 sur G0/1 est bloqué et déclenche un événement de journal.

Lorsque l’appareil non autorisé envoie des données, le commutateur détecte une violation de la sécurité et l’enregistre :

*Jan 21 13:52:10.469: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violatio
n occurred, caused by MAC address DDDD.EEEE.FFFF on port GigabitEthernet0/1
.
*Jan 21 13:52:21.138: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violatio
n occurred, caused by MAC address DDDD.EEEE.FFFF on port GigabitEthernet0/1
.
*Jan 21 13:52:26.601: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violatio
n occurred, caused by MAC address DDDD.EEEE.FFFF on port GigabitEthernet0/1

Chaque entrée de log correspond à une trame envoyée par le dispositif non autorisé (DDDD.EEEE.FFFF).

Étape 6 – Revérifier l’état de l’interface :

SW1# show port-security interface g0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : DDDD.EEEE.FFFF:1
Security Violation Count   : 9£

Observations

Port Status: Secure-up, ce qui signifie que les appareils autorisés peuvent toujours utiliser le port.
Last Source Address: Affiche l’adresse MAC de l’appareil non autorisé (DDDD.EEEE.FFFF).
Security Violation Count: 9, ce qui signifie que le commutateur a détecté et enregistré neuf trames non autorisées.

Le mode Restrict bloque efficacement le trafic non autorisé tout en maintenant le port opérationnel pour les appareils autorisés.

4. Protect Mode

Le mode Protection est l’option la plus indulgente et la plus silencieuse.

Comportement

  • Le trafic non autorisé est abandonné en silence.
  • Aucun log ou alerte n’est généré.
  • Le port reste pleinement opérationnel pour les appareils autorisés.
  • Le compteur de violations n’est pas incrémenté.

Ce mode est utile lorsque vous vous attendez à des violations et que vous ne souhaitez pas qu’elles soient enregistrées ou qu’elles aient un impact sur la disponibilité du port.

Exemple de configuration du Mode Protect

Configurons le mode Protect en action !

Exemple de mode de protection sur le commutateur Cisco SW1 : PC1 avec MAC sécurisé AAAA.BBBB.CCCC connecté à l'interface G0/1

Étape 1 – Activer Port Security et définir l’adresse MAC sécurisée :

SW1(config)# int g0/1
SW1(config-if)# switchport port-security
SW1(config-if)# switchport port-security mac-address AAAA.BBBB.CCCC

Étape 2 – Définir le mode de violation sur Protect:

SW1(config-if)# switchport port-security violation protect

Test du Mode Protect en action

Maintenant, connectez un appareil non autorisé avec l’adresse MAC DDDD.EEEE.FFFF à l’interface G0/1. Ce dispositif tentera d’envoyer du trafic via le port.

Protect mode on Cisco switch SW1 : un périphérique non autorisé avec MAC DDDD.EEEE.FFFF connecté à G0/1 est bloqué silencieusement sans log.

Que se passe-t-il ?

  • Aucun trafic provenant de l’appareil non autorisé ne sera transmis.
  • Aucun message n’apparaîtra dans la console.
  • Les appareils autorisés ne sont pas affectés.
  • Le port reste sécurisé et continue à fonctionner normalement.

Vérification de la configuration

Utilisez la commande suivante pour vérifier le comportement du port :

SW1# show port-security interface g0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Protect
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : DDDD.EEEE.FFFF:1
Security Violation Count   : 0£

Principales observations :

  • Port Status : Secure-up → Le port est actif.
  • Violation Mode : Protect → Confirmation que le mode silencieux est actif.
  • Last Source Address → Il se peut que le MAC le plus récent soit toujours affiché, mais sans aucune alerte ni mesure prise.
  • Security Violation Count: 0 → Pas d’alerte, pas de compteur incrémenté.

5. Conclusion

Le choix du bon mode de violation de Port Security est essentiel pour maintenir la sécurité et la disponibilité sur les commutateurs Cisco.

Port Security Violation ModeAbandon du trafic non autoriséGénère des journauxDésactive le portIncrémente le compteur
Shutdown✅ Oui✅ Oui (Une fois)✅ Oui✅ Oui (Une fois)
Restrict✅ Oui✅ Oui (Toutes les fois)❌ Non✅ Oui (Toutes les fois)
Protect✅ Oui❌ Non❌ Non❌ Non


Choisir le bon mode

  • Shutdown: Idéal pour les environnements de haute sécurité où toute violation doit déclencher un arrêt complet et une alerte.
  • Restrict: Il convient mieux aux réseaux de production, car il permet aux appareils de confiance de fonctionner normalement tout en enregistrant les violations.
  • Protect: Utile lorsque l’application silencieuse est préférée et que la journalisation n’est pas nécessaire.

En comprenant le fonctionnement de chaque mode de Port Security, les administrateurs de réseau peuvent prendre des décisions plus judicieuses en fonction des besoins de leur environnement.