Вы находитесь на странице: 1из 30

Configurer un Commutateur

Commutation LAN et Wireless Chapitre 2

ITE I Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Objectifs


Expliquer brivement le fonctionnement d'Ethernet tel qu'il est


dfini pour les LANs 100/1000 Mb/s dans le standard IEEE
802.3.

Expliquer les fonctions qui permettent un commutateur


d'acheminer les trames Ethernet dans un LAN.

Configurer un commutateur pour qu'il fonctionne dans un


rseau conu pour transporter la voix, la vido et les donnes.

Configurer la scurit de base sur un commutateur pour qu'il


fonctionne dans un rseau conu pour transporter la voix, la
vido et les donnes.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Description du fonctionnement d'Ethernet tel


qu'il est dfini dans le standard IEEE 802.3
pour les LANs 100/1000 Mb/s
 Description des lments cls des rseaux Ethernet/802.3

Unicast:
Un metteur et un rcepteur

Broadcast:
Un metteur et toutes les autres adresses

Multicast:
Un metteur et un groupe d'adresses

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Description du fonctionnement d'Ethernet tel


qu'il est dfini dans le standard IEEE 802.3
pour les LANs 100/1000 Mb/s
 Description des principes des rseaux Ethernet/802.3
Latence du rseau
Chaque quipement plac dans le chemin introduit une latence

La carte d'interface
rseau transmet une
impulsion sur le cble

Le signal traverse
l'quipement rseau

Le signal se propage
sur le cble

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

La carte interface rseau


destination interprte
le signal

Cisco Public

Description du fonctionnement d'Ethernet tel


qu'il est dfini dans le standard IEEE 802.3
pour les LANs 100/1000 Mb/s
 Description des principes mis en uvre dans les LANs pour
rduire la latence du rseau
Contrler la latence du rseau
- Latence cause par chaque quipement dans le rseau
 Un commutateur du niveau cur de rseau supportant 48 ports oprant 100 Mb/s en full
duplex requiert un dbit de traverse de 96 Gb/s si celui-ci veut maintenir un dbit de 100 Mb/s
simultanment sur tous les ports.
- Des quipements de couches hautes du modle OSI peuvent accrotre la latence dans le rseau
 Un routeur doit extraire les informations d'adressage pour les interprter. Ce traitement
introduit de la latence.
 Equilibrer l'utilisation d'quipements de couche haute pour rduire la latence tout en limitant
la porte du trafic de diffusion ou le taux de collision.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Fonctions qui permettent un Commutateur


d'acheminer les trames Ethernet dans un LAN
 Mthodes d'acheminement du commutateur
Mthodes d'acheminement des trames

Store and Forward

Cut-through

La trame complte est


reue puis achemine

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

La trame est achemine


par le commutateur
avant d'tre entirement
reue.

Fonctions qui permettent un Commutateur


d'acheminer les trames Ethernet dans un LAN
 Commutation symtrique et asymtrique
Commutation symtrique et asymtrique

Asymtrique
Tous les ports n'ont pas
la mme vitesse

Symtrique
Tous les ports ont
la mme vitesse

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Fonctions qui permettent un Commutateur


d'acheminer les trames Ethernet dans un LAN
 Fonctionnement des "buffers" mmoire
Buffering bas sur le port et mmoire partage

ITE 1 Chapter 6

Mmoire base sur le port

Dans le buffering mmoire bas sur le


port, les trames sont stockes dans
des files lies en des ports entrants .

Mmoire partage

Dans le buffering mmoire partage,


les trames sont stockes dans un
buffer mmoire commun partag par
tous les ports.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Fonctions qui permettent un Commutateur


d'acheminer les trames Ethernet dans un LAN
 Comparaison de la commutation Couche 2 avec la
commutation Couche 3
Comparaison Commutateur Couche 3 et Routeur

Caractristique

Commutateur Couche 3

Routeur

Routage couche 3

Support

Support

Gestion du trafic

Support

Support

Support WIC

Support

Protocoles de routage
avancs

Support

Routage rapide

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Support

Cisco Public

Configurer un commutateur
 Description des commandes de l'IOS Cisco utilises pour
grer l'interface ligne de commande
Mode de l'interface ligne de commande

Syntaxe de commande de l'IOS Cisco

ITE 1 Chapter 6

Bascule du mode EXEC privilgi en mode de


configuration global.

switch# configure terminal

L'invite (config)# signifie que le commutateur


est en mode de configuration global.

switch(config)#

Passe du mode configuration global au mode de


configuration interface pour l'interface
fastethernet0/1.

switch(config)#interface fastethernet 0/1

L'invite (config-if)# signifie que le commutateur


est en mode de configuration interface.

switch(config-if)#

Bascule du mode de configuration interface en


mode de configuration global.

switch(config-if)# exit

L'invite (config)# signifie que le commutateur


est en mode de configuration global.

switch(config)#

L'invite switch# signifie que le commutateur est en


mode EXEC privilgi.

switch#

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

10

Configurer un commutateur
 Description des facilits de l'aide en ligne de l'IOS Cisco
Configuration de la scurit de port sur un commutateur Catalyst Cisco

Syntaxe de commande de l'IOS Cisco

ITE 1 Chapter 6

Bascule du mode EXEC privilgi en mode de


configuration global.

S1# configure terminal

Spcifie le type et le numro de l'interface


physique configurer, exemple Fa0/18, et entre
en mode de configuration interface..

S1(config)# interface fastethernet 0/18

Passe l'interface en mode accs. Une interface en


mode "dynamic desirable" par dfaut ne peut pas
tre configur comme port scuris.

S1(config-if)# switchport mode access

Active la scurit de port sur l'interface.

S1(config-if)# switchport port-security

Retour en mode EXEC privilgi.

S1(config-if)# end

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

11

Configurer un commutateur
 Description des facilits de l'aide en ligne de l'IOS Cisco
Configuration des paramtres de la scurit de port
sur un commutateur Catalyst Cisco
Syntaxe de commande de l'IOS Cisco

ITE 1 Chapter 6

Bascule du mode EXEC privilgi en mode de


configuration global.

S1# configure terminal

Spcifie le type et le numro de l'interface


physique configurer, exemple Fa0/18, et entre
en mode de configuration interface..

S1(config)# interface fastethernet 0/18

Passe l'interface en mode accs. Une interface en


mode "dynamic desirable" par dfaut ne peut pas
tre configur comme port scuris.

S1(config-if)# switchport mode access

Active la scurit de port sur l'interface.

S1(config-if)# switchport port-security

Fixe le nombre maximum d'adresses scurises


50.

S1(config-if)# switchport port-security


maximum 50

Active l'apprentissage d'une adresse.

S1(config-if)# switchport port-security


mac-address sticky

Retour en mode EXEC privilgi.

S1(config-if)# end

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

12

Configurer un commutateur
 Dcrire les commandes de l'IOS Cisco utilises pour grer
l'historique des commandes
Commande show history

Utilisez la commande show history pour afficher


les commandes entres rcemment.

Configurer l'historique
Syntaxe de commande de l'IOS Cisco
Valide l'historique. Cette commande peut-tre excute en
mode utilisateur ou en mode EXEC privilgi.

Switch# terminal history

Configure la taille de l'historique. L'historique du terminal


peut contenir jusqu' 256 lignes de commande.

Switch# terminal history 50

Rinitialise la taille de l'historique sa valeur par dfaut (10


commandes).

Switch# no terminal history size

Dsactive l'historique.

Switch# terminal no history

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

13

Configurer un commutateur
 Dcrire la squence de dmarrage d'un commutateur Cisco
Description de la squence de dmarrage (boot)
Squence de dmarrage d'un Commutateur Cisco:
- Le commutateur charge le logiciel "boot loader" situ dans la NVRAM.
- Le "boot loader":
 Excute l'initialisation bas niveau de la CPU
 Excute le test POST pour le sous-systme CPU
 Initialise le systme de fichier flash sur la carte systme.
 Charge l'image par dfaut du systme d'exploitation en
mmoire puis dmarre le commutateur.
- Le commutateur opre en utilisant le fichier config.text stock en mmoire flash.
Le "boot loader" peut vous aider rcuprer d'un "crash" du systme d'exploitation
- Permet un accs au commutateur si le systme d'exploitation a des problmes
assez srieux qui l'empchent de fonctionner.
- Permet un accs aux fichiers stocks dans la mmoire flash avant que le systme
d'exploitation soit charg.
- Utilisation des commandes du "boot loader" pour les fonctions de rcupration.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

14

Configurer un commutateur
 Comment prparer un commutateur pour sa configuration

Port Console

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

15

Configurer un commutateur
 Comment raliser une configuration de base
Configurer la connectivit IP

PC1
S1
Fa0/18
PC1:
 Adresse IP : 172.17.99.12
 Connect au port console
 Connect au port Fa0/18 de S1







ITE 1 Chapter 6

S1:
 VLAN 99 - VLAN d'administration
 Adresse IP : 172.17.99.11
 Port Fa0/18 affect au VLAN 99

Pour l'administration, une adresse de couche 3 doit tre affecte au commutateur.


Le VLAN 1 est l'interface d'administration par dfaut pour tous les commutateurs
Il y a des risques de scurit associs au VLAN 1.
Crez un autre VLAN comme par exemple le VLAN 99 ou le VLAN 150.
Affectez ce VLAN un port, par exemple le port Fa0/18.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

16

Configurer un commutateur
 Comment vrifier la configuration de l'IOS en utilisant la
commande show
Utilisation des commandes show

Syntaxe de commande de l'IOS Cisco


Affiche l'tat et la configuration d'une interface ou de toutes les
interfaces du commutateur.

show interfaces [interface-id]

Affiche la configuration de dmarrage.

show startup-config

Affiche la configuration courante.

show running-config

Affiche des informations sur le systme de fichiers de la Flash.

show flash:

Affiche les informations d'tat et de version de logiciel.

show version

Affiche l'historique des commandes.

show history

Affiche l'information IP.


L'option interface affiche l'tat et la configuration IP de l'interface.
l'option http affiche l'information HTTP oprant sur le
commutateur.
L'option ARP affiche la table ARP.

show ip {interface | http | arp}

Affiche la table des adresses MAC

show mac-address table

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

17

Configurer un commutateur
 Comment grer les fichiers de configuration de l'IOS Cisco
Sauvegarde et restauration de la configuration d'un commutateur
Syntaxe de commande de l'IOS Cisco
Version formelle de la commande copy de
l'IOS Cisco.
Confirme le nom de fichier destination.
Pressez la touche Enter pour accepter et
utilisez CTRl-C pour annuler la commande.

S1# copy system:running-config flash:startup-config


Destination filename [startup-config]?

Version simplifie de la commande copy de


l'IOS Cisco. Les suppositions sont que le
fichier running-config fait partie du
systme et que startup-config sera stock
en flash NVRAM. Pressez la touche Enter
pour accepter et utilisez CTRl-C pour
annuler la commande.

S1# copy running-config startup-config


Destination filename [startup-config]?

Sauvegarde de startup-config dans un


fichier stock en flash. Confirmez le nom de
fichier destination. Pressez la touche Enter
pour accepter et utilisez CTRl-C pour
annuler la commande.

S1# copy system:running-config flash:config.bak1


Destination filename [config-bak1]?

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

18

Configurer la scurit de base sur un


commutateur
 Description des commandes de l'IOS Cisco utilises pour
configurer les options de mot de passe
Configurer les mots de passe

Syntaxe de commande de l'IOS Cisco

ITE 1 Chapter 6

Bascule du mode EXEC privilgi en mode de


configuration global.

S1# configure terminal

Configure le mot de passe enable pour entrer en


mode EXE C privilgi.

S1(config)# enable password password

Configure le mot de passe secret pour entrer en


mode EXE C privilgi.

S1(config)# enable secret password

Retour en mode EXEC privilgi.

S1(config)# end

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

19

Configurer la scurit de base sur un


commutateur
 Description des commandes de l'IOS Cisco utilises pour
configurer une bannire de login
Configurer une bannire de login
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilgi en mode de
configuration global.

S1# configure terminal

Configure une bannire de login.

S1(config)# banner login "Authorized Personnel


Only".

Configurer une bannire de MOTD


Syntaxe de commande de l'IOS Cisco

ITE 1 Chapter 6

Bascule du mode EXEC privilgi en mode de


configuration global.

S1# configure terminal

Configure une bannire MOTD de login.

S1(config)# banner motd "Device maintenance


will be occurring on Friday!"

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

20

Configurer la scurit de base sur un


commutateur
 Comment configurer Telnet et SSH sur un commutateur
Telnet et SSH
Configurer Telnet
Telnet
- Mthode d'accs la plus courante
- Transmet les messages en texte clair
- N'est pas scuris

Configurer SSH
SSH
- Doit tre la mthode d'accs
- Transmet les messages sous forme crypte
- Est scuris

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

21

Configurer la scurit de base sur un


commutateur
 Description des attaques de scurit communes d'un
commutateur. Cette description inclut, l'inondation d'adresses
MAC, les attaques d'usurpation, les attaques CDP et les
attaques Telnet
MAC B

De fausses adresses
sont ajoutes dans la
table d'adresses MAC

MAC
X
Y
C

Port
3
3
3
Port 1

S1

Port 2

L'attaquant commence
envoyer de fausses
adresses MAC

Port 3

MAC A

X et Y sont sur le port 3


et la table d'adresses
MAC est mise jour.

Y-> ?

MAC C

Un intrus opre avec un outil


d'attaque sur MAC C

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

22

Configurer la scurit de base sur un


commutateur
 Description de l'utilisation des outils de scurit qui sont
utiliss pour amliorer la scurit rseau
Outils de scurit
Les outils de scurit rseau ralisent ces fonctions:
- Les Audits de scurit rseau vous aident :
 Connatre quel sorte d'informations un attaquant peut rassembler simplement
en supervisant le trafic rseau.
 Dterminer le volume idal d'adresses MAC usurpes retirer.
 Dterminer la dure de validit de la table d'adresses MAC.
- Les Test de pntration rseau vous aident :
 Identifier les faiblesses dans les configurations de vos quipements de rseau.
 Lancer de nombreuses attaques pour tester votre rseau.
 Attention: Planification des tests de pntration pour viter des impacts ngatifs
sur les performances du rseau.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

23

Configurer la scurit de base sur un


commutateur
 Pourquoi est-il ncessaire de scuriser les ports sur un
commutateur?
Caractristiques des Outils de scurit
 Les caractristiques communes d'un outil de scurit rseau moderne sont:
- Service d'identification
- Support de services SSL
- Tests non-destructifs et destructifs
- Base de donnes des vulnrabilits
 Vous pouvez utiliser des outils de scurit rseau pour:
- Capturer des messages de discussion
- Capturer des fichiers de trafic NFS
- Capturer des requtes HTTP au format Common Log
- Capturer des messages au format mbox Berkeley
- Capturer des mots de passe
- Afficher des URLs de capture dans Netscape en temps-rel
- Inonder un commutateur LAN avec des adresses MAC alatoires
- Construire des rponses vers des requtes d'adresses DNS et de pointeur
- Intercepter des paquets sur un LAN commut

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

24

Configurer la scurit de base sur un


commutateur
 Description des commandes de l'IOS Cisco utilises pour
bloquer les ports non utiliss
Scurit de port par dfaut

ITE 1 Chapter 6

Caractristique

Valeur par dfaut

Scurit de port

Non active sur un port.

Nombre maximum d'adresses


MAC scurises

Mode de violation

Shutdown. Le port est bloqu quand


le nombre maximum d'adresses
scurises est dpass. Un trap SNMP
est transmis.

Apprentissage d'adresse

Non activ.

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

25

Rsum
 Architecture LAN
- Processus qui explique comment un LAN doit tre
implment
- Facteurs prendre en compte dans l'architecture LAN
 Domaines de collision
 Domaines de Broadcast
 Latence du rseau
 Segmentation LAN

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

26

Rsum
 Mthodes d'acheminement du commutateur
- Store and forward Utilise par les commutateurs
Catalyst Cisco
- Cut through Deux types
 Cut through
 Fast forwarding

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

27

Rsum
 Commutation Symtrique
- La commutation est ralise entre des ports qui ont la
mme vitesse
 Commutation Asymtrique
- La commutation est ralise entre des ports qui ont des
vitesses diffrentes

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

28

Rsum
 La CLI de l'IOS CISCO comprend les caractristiques
suivantes:
- Aide intgre
- Historique des commandes
 Scurit du commutateur
- Protection par mot de passe
- Utilisation de SSH pour un accs distance
- Scurit de Port

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

29

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

30