Configurer un Commutateur © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public ITE I Chapter 6 1
Configurer un Commutateur
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE I Chapter 6 1
Objectifs
� Expliquer brièvement le fonctionnement d'Ethernet tel qu'il est défini pour les LANs 100/1000 Mb/s dans le standard IEEE 802.3.
� Expliquer les fonctions qui permettent à un commutateurd'acheminer les trames Ethernet dans un LAN.
� Configurer un commutateur pour qu'il fonctionne dans unréseau conçu pour transporter la voix, la vidéo et les données.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 2
réseau conçu pour transporter la voix, la vidéo et les données.
� Configurer la sécurité de base sur un commutateur pour qu'il fonctionne dans un réseau conçu pour transporter la voix, la vidéo et les données.
Description du fonctionnement d'Ethernet telqu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s� Description des éléments clés des réseaux Ethernet/802.3
Unicast:Un émetteur et un récepteur
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 3
Broadcast:Un émetteur et toutes les autres adresses
Multicast:Un émetteur et un groupe d'adresses
� Description des principes des réseaux Ethernet/802.3
Description du fonctionnement d'Ethernet telqu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s
Latence du réseau
Chaque équipement placé dans le chemin introduit une latence
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 4
Le signal se propagesur le câble
Le signal traversel'équipement réseau
La carte d'interfaceréseau transmet une impulsion sur le câble
La carte interface réseaudestination interprète
le signal
� Description des principes mis en œuvre dans les LANs pour réduire la latence du réseau
Description du fonctionnement d'Ethernet telqu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s
- Latence causée par chaque équipement dans le réseau� Un commutateur du niveau cœur de réseau supportant 48 ports opérant à 100 Mb/s en fullduplex requiert un débit de traversée de 96 Gb/s si celui-ci veut maintenir un débit de 100 Mb/s simultanément sur tous les ports.
Contrôler la latence du réseau
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 5
simultanément sur tous les ports.
- Des équipements de couches hautes du modèle OSI peuvent accroître la latence dans le réseau� Un routeur doit extraire les informations d'adressage pour les interpréter. Ce traitementintroduit de la latence.
� Equilibrer l'utilisation d'équipements de couche haute pour réduire la latence tout en limitantla portée du trafic de diffusion ou le taux de collision.
� Méthodes d'acheminement du commutateur
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN
Méthodes d'acheminement des trames
Store and Forward Cut-through
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 6
La trame complète estreçue puis acheminée
La trame est acheminéepar le commutateur
avant d'être entièrementreçue.
� Commutation symétrique et asymétrique
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN
Commutation symétrique et asymétrique
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 7
AsymétriqueTous les ports n'ont pasla même vitesse
SymétriqueTous les ports ontla même vitesse
� Fonctionnement des "buffers" mémoire
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN
Buffering basé sur le port et mémoire partagée
Mémoire basée sur le port Dans le buffering mémoire basé sur le
port, les trames sont stockées dans
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 8
port, les trames sont stockées dans
des files liées en des ports entrants .
Mémoire partagée Dans le buffering mémoire partagée,
les trames sont stockées dans un
buffer mémoire commun partagé par
tous les ports.
� Comparaison de la commutation Couche 2 avec lacommutation Couche 3
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN
Comparaison Commutateur Couche 3 et Routeur
Caractéristique Commutateur Couche 3 Routeur
Routage couche 3 Supporté Supporté
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 9
Gestion du trafic Supporté Supporté
Support WIC Supporté
Protocoles de routage
avancés
Supporté
Routage rapide Supporté
Configurer un commutateur
� Description des commandes de l'IOS Cisco utilisées pour gérer l'interface ligne de commande
Mode de l'interface ligne de commande
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilégié en mode de
configuration global.
switch# configure terminal
L'invite (config)# signifie que le commutateur switch(config)#
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 10
L'invite (config)# signifie que le commutateur
est en mode de configuration global.
switch(config)#
Passe du mode configuration global au mode de
configuration interface pour l'interface
fastethernet0/1.
switch(config)#interface fastethernet 0/1
L'invite (config-if)# signifie que le commutateur
est en mode de configuration interface.
switch(config-if)#
Bascule du mode de configuration interface en
mode de configuration global.
switch(config-if)# exit
L'invite (config)# signifie que le commutateur
est en mode de configuration global.
switch(config)#
L'invite switch# signifie que le commutateur est en
mode EXEC privilégié.
switch#
Configurer un commutateur
� Description des facilités de l'aide en ligne de l'IOS Cisco
Configuration de la sécurité de port sur un commutateur Catalyst Cisco
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilégié en mode de
configuration global.
S1# configure terminal
Spécifie le type et le numéro de l'interface S1(config)# interface fastethernet 0/18
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 11
Spécifie le type et le numéro de l'interface
physique à configurer, exemple Fa0/18, et entre
en mode de configuration interface..
S1(config)# interface fastethernet 0/18
Passe l'interface en mode accès. Une interface en
mode "dynamic desirable" par défaut ne peut pas
être configuré comme port sécurisé.
S1(config-if)# switchport mode access
Active la sécurité de port sur l'interface. S1(config-if)# switchport port-security
Retour en mode EXEC privilégié. S1(config-if)# end
Configurer un commutateur
� Description des facilités de l'aide en ligne de l'IOS Cisco
Configuration des paramètres de la sécurité de portsur un commutateur Catalyst Cisco
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilégié en mode de
configuration global.
S1# configure terminal
Spécifie le type et le numéro de l'interface
physique à configurer, exemple Fa0/18, et entre
en mode de configuration interface..
S1(config)# interface fastethernet 0/18
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 12
en mode de configuration interface..
Passe l'interface en mode accès. Une interface en
mode "dynamic desirable" par défaut ne peut pas
être configuré comme port sécurisé.
S1(config-if)# switchport mode access
Active la sécurité de port sur l'interface. S1(config-if)# switchport port-security
Fixe le nombre maximum d'adresses sécurisées à
50.
S1(config-if)# switchport port-securitymaximum 50
Active l'apprentissage d'une adresse. S1(config-if)# switchport port-securitymac-address sticky
Retour en mode EXEC privilégié. S1(config-if)# end
Configurer un commutateur
� Décrire les commandes de l'IOS Cisco utilisées pour gérer l'historique des commandesCommande show history
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 13
Configurer l'historique
Syntaxe de commande de l'IOS Cisco
Valide l'historique. Cette commande peut-être exécutée en
mode utilisateur ou en mode EXEC privilégié.
Switch# terminal history
Configure la taille de l'historique. L'historique du terminal
peut contenir jusqu'à 256 lignes de commande.
Switch# terminal history 50
Réinitialise la taille de l'historique à sa valeur par défaut (10
commandes).
Switch# no terminal history size
Désactive l'historique. Switch# terminal no history
Utilisez la commande show history pour afficher les commandes entrées récemment.
Configurer un commutateur
� Décrire la séquence de démarrage d'un commutateur Cisco
Description de la séquence de démarrage (boot)
Séquence de démarrage d'un Commutateur Cisco:
- Le commutateur charge le logiciel "boot loader" situé dans la NVRAM.
- Le "boot loader":
� Exécute l'initialisation bas niveau de la CPU
� Exécute le test POST pour le sous-système CPU
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 14
� Exécute le test POST pour le sous-système CPU
� Initialise le système de fichier flash sur la carte système.
� Charge l'image par défaut du système d'exploitation en
mémoire puis démarre le commutateur.
- Le commutateur opère en utilisant le fichier config.text stocké en mémoire flash.
Le "boot loader" peut vous aider à récupérer d'un "crash" du système d'exploitation
- Permet un accès au commutateur si le système d'exploitation a des problèmes
assez sérieux qui l'empêchent de fonctionner.
- Permet un accès aux fichiers stockés dans la mémoire flash avant que le système
d'exploitation soit chargé.
- Utilisation des commandes du "boot loader" pour les fonctions de récupération.
Configurer un commutateur
� Comment préparer un commutateur pour sa configuration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 15
Port Console
Configurer un commutateur
� Comment réaliser une configuration de base
Configurer la connectivité IP
PC1S1
Fa0/18
PC1: S1:
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 16
PC1:� Adresse IP : 172.17.99.12� Connecté au port console� Connecté au port Fa0/18 de S1
S1:� VLAN 99 - VLAN d'administration� Adresse IP : 172.17.99.11� Port Fa0/18 affecté au VLAN 99
� Pour l'administration, une adresse de couche 3 doit être affectée au commutateur.� Le VLAN 1 est l'interface d'administration par défaut pour tous les commutateurs� Il y a des risques de sécurité associés au VLAN 1.� Créez un autre VLAN comme par exemple le VLAN 99 ou le VLAN 150. � Affectez ce VLAN à un port, par exemple le port Fa0/18.
Configurer un commutateur
� Comment vérifier la configuration de l'IOS en utilisant la commande show
Utilisation des commandes show
Syntaxe de commande de l'IOS Cisco
Affiche l'état et la configuration d'une interface ou de toutes les
interfaces du commutateur.
show interfaces [interface-id]
Affiche la configuration de démarrage. show startup-config
Affiche la configuration courante. show running-config
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 17
Affiche la configuration courante. show running-config
Affiche des informations sur le système de fichiers de la Flash. show flash:
Affiche les informations d'état et de version de logiciel. show version
Affiche l'historique des commandes. show history
Affiche l'information IP.
L'option interface affiche l'état et la configuration IP de l'interface.
l'option http affiche l'information HTTP opérant sur le
commutateur.
L'option ARP affiche la table ARP.
show ip {interface | http | arp}
Affiche la table des adresses MAC show mac-address table
Configurer un commutateur
� Comment gérer les fichiers de configuration de l'IOS Cisco
Sauvegarde et restauration de la configuration d'un commutateur
Syntaxe de commande de l'IOS Cisco
Version formelle de la commande copy de
l'IOS Cisco.
Confirme le nom de fichier destination.
Pressez la touche Enter pour accepter et
utilisez CTRl-C pour annuler la commande.
S1# copy system:running-config flash:startup-configDestination filename [startup-config]?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 18
utilisez CTRl-C pour annuler la commande.
Version simplifiée de la commande copy de
l'IOS Cisco. Les suppositions sont que le
fichier running-config fait partie du
système et que startup-config sera stocké
en flash NVRAM. Pressez la touche Enter
pour accepter et utilisez CTRl-C pour
annuler la commande.
S1# copy running-config startup-configDestination filename [startup-config]?
Sauvegarde de startup-config dans un
fichier stocké en flash. Confirmez le nom de
fichier destination. Pressez la touche Enter
pour accepter et utilisez CTRl-C pour
annuler la commande.
S1# copy system:running-config flash:config.bak1Destination filename [config-bak1]?
Configurer la sécurité de base sur un commutateur� Description des commandes de l'IOS Cisco utilisées pour
configurer les options de mot de passe
Configurer les mots de passe
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilégié en mode de
configuration global.
S1# configure terminal
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 19
Configure le mot de passe enable pour entrer en mode EXE C privilégié.
S1(config)# enable password password
Configure le mot de passe secret pour entrer en mode EXE C privilégié.
S1(config)# enable secret password
Retour en mode EXEC privilégié. S1(config)# end
� Description des commandes de l'IOS Cisco utilisées pour configurer une bannière de login
Configurer la sécurité de base sur un commutateur
Configurer une bannière de login
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilégié en mode de
configuration global.
S1# configure terminal
Configure une bannière de login. S1(config)# banner login "Authorized PersonnelOnly".
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 20
Configurer une bannière de MOTD
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilégié en mode de
configuration global.
S1# configure terminal
Configure une bannière MOTD de login. S1(config)# banner motd "Device maintenance will be occurring on Friday!"
� Comment configurer Telnet et SSH sur un commutateur
Configurer la sécurité de base sur un commutateur
Telnet et SSH
Configurer Telnet
Telnet- Méthode d'accès la plus courante- Transmet les messages en texte clair- N'est pas sécurisé
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 21
Configurer SSH
SSH- Doit être la méthode d'accès - Transmet les messages sous forme cryptée- Est sécurisé
� Description des attaques de sécurité communes d'un commutateur. Cette description inclut, l'inondation d'adresses MAC, les attaques d'usurpation, les attaques CDP et les attaques Telnet
Configurer la sécurité de base sur un commutateur
S1
MAC B
MAC Port
X 3
Y 3
C 3
De fausses adresses
sont ajoutées dans la
table d'adresses MAC
L'attaquant commence
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 22
MAC A
MAC C
Port 2
Port 1
Port 3
Y-> ?
C 3 L'attaquant commence
à envoyer de fausses
adresses MAC
X et Y sont sur le port 3
et la table d'adresses
MAC est mise à jour.
Un intrus opère avec un outil
d'attaque sur MAC C
� Description de l'utilisation des outils de sécurité qui sont utilisés pour améliorer la sécurité réseau
Configurer la sécurité de base sur un commutateur
Outils de sécurité
Les outils de sécurité réseau réalisent ces fonctions:
- Les Audits de sécurité réseau vous aident à:
� Connaître quel sorte d'informations un attaquant peut rassembler simplement
en supervisant le trafic réseau.
� Déterminer le volume idéal d'adresses MAC usurpées à retirer.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 23
� Déterminer le volume idéal d'adresses MAC usurpées à retirer.
� Déterminer la durée de validité de la table d'adresses MAC.
- Les Test de pénétration réseau vous aident à:
� Identifier les faiblesses dans les configurations de vos équipements de réseau.
� Lancer de nombreuses attaques pour tester votre réseau.
� Attention: Planification des tests de pénétration pour éviter des impacts négatifs
sur les performances du réseau.
� Pourquoi est-il nécessaire de sécuriser les ports sur uncommutateur?
Configurer la sécurité de base sur un commutateur
Caractéristiques des Outils de sécurité
� Les caractéristiques communes d'un outil de sécurité réseau moderne sont:
- Service d'identification
- Support de services SSL
- Tests non-destructifs et destructifs
- Base de données des vulnérabilités
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 24
- Base de données des vulnérabilités
� Vous pouvez utiliser des outils de sécurité réseau pour:
- Capturer des messages de discussion
- Capturer des fichiers de trafic NFS
- Capturer des requêtes HTTP au format Common Log
- Capturer des messages au format mbox Berkeley
- Capturer des mots de passe
- Afficher des URLs de capture dans Netscape en temps-réel
- Inonder un commutateur LAN avec des adresses MAC aléatoires
- Construire des réponses vers des requêtes d'adresses DNS et de pointeur
- Intercepter des paquets sur un LAN commuté
� Description des commandes de l'IOS Cisco utilisées pourbloquer les ports non utilisés
Configurer la sécurité de base sur un commutateur
Sécurité de port par défaut
Caractéristique Valeur par défaut
Sécurité de port Non activée sur un port.
Nombre maximum d'adresses
MAC sécurisées
1
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 25
MAC sécurisées
Mode de violation Shutdown. Le port est bloqué quand
le nombre maximum d'adresses
sécurisées est dépassé. Un trap SNMP
est transmis.
Apprentissage d'adresse Non activé.
Résumé
� Architecture LAN
- Processus qui explique comment un LAN doit être implémenté
- Facteurs à prendre en compte dans l'architecture LAN
� Domaines de collision
� Domaines de Broadcast
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 26
� Domaines de Broadcast
� Latence du réseau
� Segmentation LAN
� Méthodes d'acheminement du commutateur
- Store and forward – Utilisée par les commutateurs Catalyst Cisco
- Cut through – Deux types
� Cut through
� Fast forwarding
Résumé
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 27
� Fast forwarding
� Commutation Symétrique
- La commutation est réalisée entre des ports qui ont la même vitesse
� Commutation Asymétrique
- La commutation est réalisée entre des ports qui ont des vitesses différentes
Résumé
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 28
� La CLI de l'IOS CISCO comprend les caractéristiques suivantes:
- Aide intégrée
- Historique des commandes
� Sécurité du commutateur
- Protection par mot de passe
Résumé
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 29
- Utilisation de SSH pour un accès à distance
- Sécurité de Port
© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 30