Bonjour,
 
Comme évoqué dans un autre poste, sur notre réseau, nous avons un filtrage mac sur les étendus de nos serveurs DHCP, une pool d'adresse mac dans une stratégie,  a été ajouté sur toute les étendus, et ça fonctionne.
 
Si un pc est branché sur notre réseau et que sa  mac adress n'est pas dans ces étendus, le DHCP ne lui octroie pas une ip.  ça fonctionne.
 
Néanmoins, on me demande de regarder si on ne peut pas, en plus, faire du filtrage mac sur les ports de nos switchs de distribution ( cisco 2960X), donc appliquer du port-security.
 
C'est un peu redondant, mais l'avantage est qu'on peut mettre en down le port temporairement si qqu'un se branche sur une prise avec son pc portable par exemple . Néanmoins, ça a l'air assez chiant à gérer.  
 
On parle d'un bâtiment avec plus de 400 PC, des tas de salles de réunion, bcp de passage de gens extérieurs ( commerciaux, formateurs, prestataire divers et variés...).  
 
ça fait  bcp de mac adress! De plus, on est un site ou il y a très régulièrement des "déménagements" de services, directions etc...Donc un PC1 par exemple, au 2 ème étage, dans un VLAN donnée ( on a 6 VLAN poste de travail , sur un port d'un switchs donnés, peut se retrouver 2 mois après, au 3 ème étage sur un port d'un autre switch).
Donc la solution serait de mettre du port security sur tout les ports de tout les  switchs en y incluant l'intégralité des mac adress de 400 PC + imprimantes ( via un script ou autre). Chaque switch aurait sa table de mac adress ( la même partout au final), n'est ce pas trop "lourd" en ressource pour un switch ( des 48 ports)?  
 
Le mode "sticky" permet de faire apprendre dynamiquement au switch une mac ( la première qui se connecte).  Mais là, je vois pas trop l'utilité.  
 
Il existe pas un truc genre  une centralisation des mac adress ( sur un switch L3 coeur de réseau par exemple)?  Les switchs de distri iraient l'interroger, comparatif de la mac adress dans sa table et renvoie si oui ou non c'est ok, et blocage du port si pas bon? Plutôt que la même chose mais avec une  table de mac adress sur chacun des switchs?  
 
Bon, j'ai cherché un peu, ça n'a pas l'air d'exister, mais si  qqu'un pouvait me confirmer ou m'infirmer?

tu te lances dans une galère infinie. La solution à ce type de problème est 802.1x.

recherche du côté du 802.1x. S'il y a une solution, c'est de ce côté là qu'il faut chercher.
 
J'ai jamais tenté ce genre de truc, (auth via l'@mac only).
 
Le coup de se dire : le client a pas d'ip on est protégé.. On est d'accord pour dire que ça gène seulement Mme michu? Si quelqu'un dispose d'un accès à ton réseau c'est pas le manque d'IP 'DHCP' qui le bloquera =)
 
grillé  

 
 
Oui, tout à fait.  Pour le 802.X, oui c'est l'autre solution que je regardais, qui me parait effectivement plus simple, d'autant qu'on a déjà un serveur radius. Je voulais faire un comparatif et présenter les solutions possibles à mes responsables.  
 
Quelqu'un a t'il déjà mis en place cela pour un retour d'expérience?