salut à tous,
 
voici l'infra
 
sw1------sw2-----sw3
 
sur sw2 sur l'interface qui arrive du sw1, nous devons activer le port sécurity sur un port en trunk avec divers vlan's
 
est-ce que si je configure ça comme sur un port access cela fonctionne
c'est à dire la conf suivante, que j'ai testé sur un port en access qui fonctionne très bien.
 
switchport port-security maximum 3
switchport port-security mac-address xxxx.xxxx.xxxx
switchport port-security mac-address yyyy.yyyy.yyyy
switchport port-security mac-address zzzz.zzzz.zzzz
switchport port-security violation protect
switchport port-security
 
ou faut-il vraiment que la notion de vlan soit présente, avec le nombre de max de mac par vlan, les id  etc...
 
le seul but est de fixer les mac qui doivent passer du sw1 vers le sw3, le sw2 ne sert qu'a ça.

Salut,  
 
Port security sur un trunk ??  
Je vois mal l’intérêt !

Demande de la sécurité.
Il faut restreindre l'accès au sw3 avec une liste de mac.

salut,
 
c'est pour des ports d'inteconnexion ? enfin je soupçonne

Pour être clair.
Sw1 et sw3 appartiennent à un projet dont nous ne gerons pas le matos.
Sw1 client
Sw3 serveur.
La sécurité veut gérer les machines clientes qui se connecter au serveur.
 
On ajoute sw2 pour pouvoir faire du filtrage mac entre les deux.

pourquoi ne pas affecter une adresse mac à chaque port et n'autoriser que cette adresse mac sur un port ?

On ne gère pas les sw1et sw2

Plus je lis d'information sur ce sujet et plus je me dit que c'est foireux ( excusé l'expression ).
 
Soit tu as plusieurs VLAN et dans ce cas, jouer avec des liste de mac est une abérration complète ! Si c'est le cas il faut filtrer sur le router inter-vlan qui lui te permettra de filtrer facilement.
 
Soit tu n'as qu'un seul vlan ( et probablement le même réseau ip ) et dans ce cas également c'est foireux parce que les mac adresses ne sont pas fiables et tu donnes accès potentiellement à toute ton infra.

Il n'y a pas de routeur inter vlan, infra simple de 3 switchs.

et combien de vlan ?

En quoi le nombre de VLAN est il important ?
Je veux juste savoir si on peut faire un port-security simple comme dans mon premier commentaire, ou si sur un trunk on est obligé de faire apparaître la notion de VLAN.
Vu que je ne peux pas tester avant la mise en place.

 
J'ai passé cette commande sur un port en mode trunk (qui passe plusieurs VLAN) avec swtichport port-security maximum 3 sans les MAC address, le port passe en err-disable.

Port security sert á sécuriser l'accès au port. C'est une sécurité et rien d'autre. De plus il ne fonctionne (et c'est logique) que sur des ports en access.
Selon ta problématique, s'est du filtrage qu'il faut faire. Donc acl.
Sur le port trunk du sw2 tu appliques tes acl (ex : ip access-group 110 in et ip access-group 111 out) créées au préalable (access-list 110 permit ip...) afin de n'autoriser que les ip que tu souhaites et interdire le reste.
 

c'est plus compliqué que ça, la sécurité veut bloquer les mac qui ne serait pas autorisés sur le switch et non les ip's.
 
par contre sur le site cisco je trouve la conf pour un trunk, mais je n'arrive pas à le mettre en application.

C'est marrant, il me semblait que j'avais posté un message en réponse il y a quelques jours et je ne le vois pas  
 
Donc oui, c'est possible. En résumé :  
 
http://www.cisco.com/c/en/us/td/do [...] #wp1103933