Le 23 septembre 2011 14:19, Damien Fleuriot <m...@my.gd> a écrit : > Ici, portfast sur les ports access, portfast trunk sur les ports trunk > non uplink. > > bpdufilter pour que les machines clientes ne voient rien, bpduguard pour > que leur port tombe si ils font des conneries. > > En projet: > - UDLD > - DAI > - DHCP snooping, c'est vrai que je l'avais pas mentionné mais ça serait > vraiment une bonne idée > > > Reste la question de: loopguard, intéressant ou pas, si oui sur quel > type de port (edge, uplink) ...
Ce sujet m'intéresse particulièrement, puisque je suis exactement en train de faire cela :) Mon soucis est que mon implémentation est un poil différente, puisqu'il s'agit d'une école d'informatique (et donc de bidouilleur :)) où les étudiants tournent chaque jour, voir demi journée. Du coup je suis partie sur cela pour sécuriser mes ports edge : - DHCP Snooping - DAI (sauf salle en vieux 2950, si quelqu'un à une solution? J'ai bien une solution avec la surveillance de table ARP du 3750 sinon...) - port-security maximum 5 - port-security violation restrict - port-security aging type inactivity - port-security aging time 15 Je suis en train de regarder pour un peu de storm-control et justement du BPDUfilter ou BPDUgard avec du rootguard. Si vous avez des idées/remarques sur ces points la, je suis totalement preneur :) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/