Re: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches
Bonjour, Merci a tous pour vos reponses! En fait on est souvent sur des liens etherchannel + trunk. Je vais creuse un peu tout cela, Merci JEremy - Mail original - De: "Philippe Bourcier" À: frnog-t...@frnog.org Envoyé: Jeudi 12 Septembre 2019 12:40:38 Objet: Re: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches Re, > Mais on parle de trunk, pas d'etherchannel. Quand je fais du trunk, c'est > pour transporter > plusieurs VLANs, un tuyau plus gros ne va pas changer çà. Oops! Autant pour moi :) J'ai assumé qu'on parlait d'un problème que j'avais eu et confondu les termes : il faut remplacer trunk par etherchannel dans tout ce que je disais (du coup rien à voir avec les ports en mode trunk) :) En fait dont je me rappelais c'est que quand on faisait du FTTD, on avait le problème de ne pas pouvoir authentifier les liens en Etherchannel (2 x nG). Mais par contre on n'a jamais eut le moindre problème sur les trunks (sur lien unique) en fait... a priori la négo 802.1x précède l'échange de paquets, qu'ils soient taggés ou non... donc pas de raisons que ca pose des problèmes (on était avec des 2960 vers 3750 (old :))). Et du coup, Jérome, on peut faire du NDAC sur un Etherchannel ? Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches
Re, > Mais on parle de trunk, pas d'etherchannel. Quand je fais du trunk, c'est > pour transporter > plusieurs VLANs, un tuyau plus gros ne va pas changer çà. Oops! Autant pour moi :) J'ai assumé qu'on parlait d'un problème que j'avais eu et confondu les termes : il faut remplacer trunk par etherchannel dans tout ce que je disais (du coup rien à voir avec les ports en mode trunk) :) En fait dont je me rappelais c'est que quand on faisait du FTTD, on avait le problème de ne pas pouvoir authentifier les liens en Etherchannel (2 x nG). Mais par contre on n'a jamais eut le moindre problème sur les trunks (sur lien unique) en fait... a priori la négo 802.1x précède l'échange de paquets, qu'ils soient taggés ou non... donc pas de raisons que ca pose des problèmes (on était avec des 2960 vers 3750 (old :))). Et du coup, Jérome, on peut faire du NDAC sur un Etherchannel ? Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches
> Philippe Bourcier a écrit : > Non, je disais juste qu'au lieu de faire 2x10G avec un trunk (pour une > histoire de débit/oversub), tu peux te > prendre un switch avec 2-4 ports 25G ou 40G à côté des (24-48?) ports 10G... > et ce (single) port 25G ou 40G > remplacera avantageusement le trunk 2x10G, tout en supportant 802.1x vu qu'il > n'y aura plus de trunk. C'est tout :) Mais on parle de trunk, pas d'etherchannel. Quand je fais du trunk, c'est pour transporter plusieurs VLANs, un tuyau plus gros ne va pas changer çà. Jeremy, tu te retrouves avec Command rejected: Fa0/1 is not an access port quand tu configure ? Essayes switchport nonegotiate ou switchport trunk nonegotiate. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches
Bonjour, >> Malheureusement, 802.1x (dot1x) n'est pas supporté sur les trunks. Si c'est >> un trunk 2x10G... >> tu remplaces par un switch avec quelques ports 25/40G et à toi les joies du >> 802.1x. > > J'ai loupé le train, apparemment. 802.1x c'est supporté sur les trunks 40G? Non, je disais juste qu'au lieu de faire 2x10G avec un trunk (pour une histoire de débit/oversub), tu peux te prendre un switch avec 2-4 ports 25G ou 40G à côté des (24-48?) ports 10G... et ce (single) port 25G ou 40G remplacera avantageusement le trunk 2x10G, tout en supportant 802.1x vu qu'il n'y aura plus de trunk. C'est tout :) Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches
> Philippe Bourcier a écrit : > Malheureusement, 802.1x (dot1x) n'est pas supporté sur les trunks. Si c'est > un trunk 2x10G... > tu remplaces par un switch avec quelques ports 25/40G et à toi les joies du > 802.1x. J'ai loupé le train, apparemment. 802.1x c'est supporté sur les trunks 40G? > C'est quand même plus propre que d'utiliser des MAC, surtout si tu fais du > devnetops et que tu > peux balancer automatiquement la config sur un switch spare en cas de > remplacement de hardware +1 > (Loi de Murphy oblige : ce qui arrivera forcément le jour où tu n'es > pas là et que personne ne sait que tu as filtré sur les MACs :)). De préférence un dimanche à 2 heures du mat ;-) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco - Mechanism similaire Port Security entre 2 switches
Re, > Avec un collègue on se demande si il est possible de sécuriser les liens type > trunk entre deux > switchs Cisco, un peu a la façon des commandes switchport Port-Security Mac > Address qu’on peut > appliquer aux ports d’accès: si le switch change mon port configurer en trunk > passe en shutdown. > Y’a til un moyen de gerer cela ? Malheureusement, 802.1x (dot1x) n'est pas supporté sur les trunks. Si c'est un trunk 2x10G... tu remplaces par un switch avec quelques ports 25/40G et à toi les joies du 802.1x. C'est quand même plus propre que d'utiliser des MAC, surtout si tu fais du devnetops et que tu peux balancer automatiquement la config sur un switch spare en cas de remplacement de hardware (Loi de Murphy oblige : ce qui arrivera forcément le jour où tu n'es pas là et que personne ne sait que tu as filtré sur les MACs :)). Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/