On 25 Sep 2011, at 01:27, Johann <ado...@gmail.com> wrote:
> Le 23 septembre 2011 14:19, Damien Fleuriot <m...@my.gd> a écrit : >> Ici, portfast sur les ports access, portfast trunk sur les ports trunk >> non uplink. >> >> bpdufilter pour que les machines clientes ne voient rien, bpduguard pour >> que leur port tombe si ils font des conneries. >> >> En projet: >> - UDLD >> - DAI >> - DHCP snooping, c'est vrai que je l'avais pas mentionné mais ça serait >> vraiment une bonne idée >> >> >> Reste la question de: loopguard, intéressant ou pas, si oui sur quel >> type de port (edge, uplink) ... > > Ce sujet m'intéresse particulièrement, puisque je suis exactement en > train de faire cela :) > > Mon soucis est que mon implémentation est un poil différente, > puisqu'il s'agit d'une école d'informatique (et donc de bidouilleur > :)) où les étudiants tournent chaque jour, voir demi journée. > Du coup je suis partie sur cela pour sécuriser mes ports edge : > > - DHCP Snooping > - DAI (sauf salle en vieux 2950, si quelqu'un à une solution? J'ai > bien une solution avec la surveillance de table ARP du 3750 sinon...) > - port-security maximum 5 > - port-security violation restrict > - port-security aging type inactivity > - port-security aging time 15 > > Je suis en train de regarder pour un peu de storm-control et justement > du BPDUfilter ou BPDUgard avec du rootguard. > Si vous avez des idées/remarques sur ces points la, je suis totalement > preneur :) Pourquoi 5 Mac par port ? A moins que tes étudiants aient des VM qui bridgent (par opposition a du nat) ou qu'il y ait des hubs sur ton réseau, aucun intérêt d'avoir + de 1 ou 2. Pourquoi du restrict sur les ports ? Mets les en shutdown avec une err-disable recovery en 30 secondes.--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/