Siemens SIMATIC NET SINEC OS V2.4 Manuel De Configuration page 268

Sécurité des données
7.6 Sécurité des ports
Dans certains cas il peut être souhaitable d'affecter un port de pont sécurisé à un VLAN défini
en fonction du résultat de l'authentification. Par exemple :
• Pour permettre à un nœud d'extrémité donné, en fonction de son adresse MAC source, de
rester dans le même VLAN tout en se déplaçant au sein d'un réseau, configurez les appareils
SINEC OS pour qu'ils utilisent l'un des modes de sécurité.
• Pour permettre à un utilisateur spécifique de rester, sur la base de ses données
d'identification, dans le même VLAN lorsqu'il se connecte depuis différents endroits,
configurez les appareils SINEC OS de manière à ce qu'ils utilisent le mode de sécurité
Authentification IEEE 802.1X avec MAB.
Si un serveur d'authentification RADIUS souhaite utiliser cette fonction, il indique le VLAN
voulu avec les attributs de tunnel dans le message d'acceptation d'accès RADIUS. Le serveur
utilise les attributs de tunnel suivants pour l'affectation du VLAN :
• Tunnel-Type=VLAN (13)
• Tunnel-Medium-Type=802
• Tunnel-Private-Group-ID=VLANID
Veuillez noter que le VLANID compte 12 bits et possède une valeur comprise en 1 et 4094
(inclus). Le Tunnel-Private-Group-ID est une chaîne de caractères telle que définie dans la
RFC 2868 (http://tools.ietf.org/html/rfc2868), ce qui signifie que la valeur entière VLANID est
codée sous forme de chaîne de caractères.
Si le serveur d'authentification ne délivre pas d'attributs de tunnel, le VLAN affecté au port de
pont reste inchangé.
7.6.1.6 Requête de VLAN statique
Il se peut que, pour un serveur RADIUS, il soit éventuellement nécessaire d'affecter un client
IEEE 802.1X à un VLAN statique sur un port donné. Vérifiez pour la validation la configuration de
votre serveur RADIUS.
Si le VLAN requis n'est pas disponible sur le commutateur ou si le VLAN est créé
dynamiquement (par GVRP), l'authentification du client échoue.
7.6.2 Configuration de la sécurité des ports
La sécurité des ports est configurable pour les ports individuels du pont.
Pour configurer la sécurité d'un port du pont, procédez comme suit :
1. Activez Port Security.
La sécurité des ports est désactivée par défaut sur tous les ports de pont.
Pour plus d'informations, voir "Activer la sécurité des ports (Page 269)".
2. Activez le mode de sécurité.
Pour plus d'informations, voir "Paramétrage du mode de sécurité (Page 270)".
3. Paramétrez l'ID du VLAN de quarantaine.
Uniquement possible si le mode de sécurité Authentification IEEE 802.1x ou Authentification
IEEE 802.1X avec MAB est paramétré.
Pour plus d'informations, voir "Paramétrage de l'ID du VLAN de quarantaine (Page 271)".
268
Command Line Interface (CLI) SINEC OS V2.4
Manuel de configuration, 10/2023, C79000-G8977-C498-07