Configurer un Commutateur - .:|NoVa FTP|:.novamine.free.fr/root/COURS TCRT/Cours Reseaux IP/Switch... · Chaque équipement placé dans le chemin introduit une latence ... Configurer

Configurer un Commutateur

© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE I Chapter 6 1

Commutation LAN et Wireless – Chapitre 2

Objectifs

� Expliquer brièvement le fonctionnement d'Ethernet tel qu'il est défini pour les LANs 100/1000 Mb/s dans le standard IEEE 802.3.

� Expliquer les fonctions qui permettent à un commutateurd'acheminer les trames Ethernet dans un LAN.

� Configurer un commutateur pour qu'il fonctionne dans unréseau conçu pour transporter la voix, la vidéo et les données.

© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 2

réseau conçu pour transporter la voix, la vidéo et les données.

� Configurer la sécurité de base sur un commutateur pour qu'il fonctionne dans un réseau conçu pour transporter la voix, la vidéo et les données.

Description du fonctionnement d'Ethernet telqu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s� Description des éléments clés des réseaux Ethernet/802.3

Unicast:Un émetteur et un récepteur


Broadcast:Un émetteur et toutes les autres adresses

Multicast:Un émetteur et un groupe d'adresses

� Description des principes des réseaux Ethernet/802.3

Description du fonctionnement d'Ethernet telqu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s

Latence du réseau

Chaque équipement placé dans le chemin introduit une latence


Le signal se propagesur le câble

Le signal traversel'équipement réseau

La carte d'interfaceréseau transmet une impulsion sur le câble

La carte interface réseaudestination interprète

le signal

� Description des principes mis en œuvre dans les LANs pour réduire la latence du réseau

Description du fonctionnement d'Ethernet telqu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s

- Latence causée par chaque équipement dans le réseau� Un commutateur du niveau cœur de réseau supportant 48 ports opérant à 100 Mb/s en fullduplex requiert un débit de traversée de 96 Gb/s si celui-ci veut maintenir un débit de 100 Mb/s simultanément sur tous les ports.

Contrôler la latence du réseau


simultanément sur tous les ports.

- Des équipements de couches hautes du modèle OSI peuvent accroître la latence dans le réseau� Un routeur doit extraire les informations d'adressage pour les interpréter. Ce traitementintroduit de la latence.

� Equilibrer l'utilisation d'équipements de couche haute pour réduire la latence tout en limitantla portée du trafic de diffusion ou le taux de collision.

� Méthodes d'acheminement du commutateur

Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN

Méthodes d'acheminement des trames

Store and Forward Cut-through


La trame complète estreçue puis acheminée

La trame est acheminéepar le commutateur

avant d'être entièrementreçue.

� Commutation symétrique et asymétrique


Commutation symétrique et asymétrique


AsymétriqueTous les ports n'ont pasla même vitesse

SymétriqueTous les ports ontla même vitesse

� Fonctionnement des "buffers" mémoire


Buffering basé sur le port et mémoire partagée

Mémoire basée sur le port Dans le buffering mémoire basé sur le

port, les trames sont stockées dans


port, les trames sont stockées dans

des files liées en des ports entrants .

Mémoire partagée Dans le buffering mémoire partagée,

les trames sont stockées dans un

buffer mémoire commun partagé par

tous les ports.

� Comparaison de la commutation Couche 2 avec lacommutation Couche 3


Comparaison Commutateur Couche 3 et Routeur

Caractéristique Commutateur Couche 3 Routeur

Routage couche 3 Supporté Supporté


Gestion du trafic Supporté Supporté

Support WIC Supporté

Protocoles de routage

avancés

Supporté

Routage rapide Supporté

Configurer un commutateur

� Description des commandes de l'IOS Cisco utilisées pour gérer l'interface ligne de commande

Mode de l'interface ligne de commande

Syntaxe de commande de l'IOS Cisco

Bascule du mode EXEC privilégié en mode de

configuration global.

switch# configure terminal

L'invite (config)# signifie que le commutateur switch(config)#


L'invite (config)# signifie que le commutateur

est en mode de configuration global.

switch(config)#

Passe du mode configuration global au mode de

configuration interface pour l'interface

fastethernet0/1.

switch(config)#interface fastethernet 0/1

L'invite (config-if)# signifie que le commutateur

est en mode de configuration interface.

switch(config-if)#

Bascule du mode de configuration interface en

mode de configuration global.

switch(config-if)# exit

L'invite (config)# signifie que le commutateur

est en mode de configuration global.

switch(config)#

L'invite switch# signifie que le commutateur est en

mode EXEC privilégié.

switch#


� Description des facilités de l'aide en ligne de l'IOS Cisco

Configuration de la sécurité de port sur un commutateur Catalyst Cisco




S1# configure terminal

Spécifie le type et le numéro de l'interface S1(config)# interface fastethernet 0/18


Spécifie le type et le numéro de l'interface

physique à configurer, exemple Fa0/18, et entre

en mode de configuration interface..

S1(config)# interface fastethernet 0/18

Passe l'interface en mode accès. Une interface en

mode "dynamic desirable" par défaut ne peut pas

être configuré comme port sécurisé.

S1(config-if)# switchport mode access

Active la sécurité de port sur l'interface. S1(config-if)# switchport port-security

Retour en mode EXEC privilégié. S1(config-if)# end


� Description des facilités de l'aide en ligne de l'IOS Cisco

Configuration des paramètres de la sécurité de portsur un commutateur Catalyst Cisco





Spécifie le type et le numéro de l'interface

physique à configurer, exemple Fa0/18, et entre


S1(config)# interface fastethernet 0/18



Passe l'interface en mode accès. Une interface en

mode "dynamic desirable" par défaut ne peut pas

être configuré comme port sécurisé.

S1(config-if)# switchport mode access

Active la sécurité de port sur l'interface. S1(config-if)# switchport port-security

Fixe le nombre maximum d'adresses sécurisées à

50.

S1(config-if)# switchport port-securitymaximum 50

Active l'apprentissage d'une adresse. S1(config-if)# switchport port-securitymac-address sticky

Retour en mode EXEC privilégié. S1(config-if)# end


� Décrire les commandes de l'IOS Cisco utilisées pour gérer l'historique des commandesCommande show history


Configurer l'historique


Valide l'historique. Cette commande peut-être exécutée en

mode utilisateur ou en mode EXEC privilégié.

Switch# terminal history

Configure la taille de l'historique. L'historique du terminal

peut contenir jusqu'à 256 lignes de commande.

Switch# terminal history 50

Réinitialise la taille de l'historique à sa valeur par défaut (10

commandes).

Switch# no terminal history size

Désactive l'historique. Switch# terminal no history

Utilisez la commande show history pour afficher les commandes entrées récemment.


� Décrire la séquence de démarrage d'un commutateur Cisco

Description de la séquence de démarrage (boot)

Séquence de démarrage d'un Commutateur Cisco:

- Le commutateur charge le logiciel "boot loader" situé dans la NVRAM.

- Le "boot loader":

� Exécute l'initialisation bas niveau de la CPU

� Exécute le test POST pour le sous-système CPU


� Exécute le test POST pour le sous-système CPU

� Initialise le système de fichier flash sur la carte système.

� Charge l'image par défaut du système d'exploitation en

mémoire puis démarre le commutateur.

- Le commutateur opère en utilisant le fichier config.text stocké en mémoire flash.

Le "boot loader" peut vous aider à récupérer d'un "crash" du système d'exploitation

- Permet un accès au commutateur si le système d'exploitation a des problèmes

assez sérieux qui l'empêchent de fonctionner.

- Permet un accès aux fichiers stockés dans la mémoire flash avant que le système

d'exploitation soit chargé.

- Utilisation des commandes du "boot loader" pour les fonctions de récupération.


� Comment préparer un commutateur pour sa configuration


Port Console


� Comment réaliser une configuration de base

Configurer la connectivité IP

PC1S1

Fa0/18

PC1: S1:


PC1:� Adresse IP : 172.17.99.12� Connecté au port console� Connecté au port Fa0/18 de S1

S1:� VLAN 99 - VLAN d'administration� Adresse IP : 172.17.99.11� Port Fa0/18 affecté au VLAN 99

� Pour l'administration, une adresse de couche 3 doit être affectée au commutateur.� Le VLAN 1 est l'interface d'administration par défaut pour tous les commutateurs� Il y a des risques de sécurité associés au VLAN 1.� Créez un autre VLAN comme par exemple le VLAN 99 ou le VLAN 150. � Affectez ce VLAN à un port, par exemple le port Fa0/18.


� Comment vérifier la configuration de l'IOS en utilisant la commande show

Utilisation des commandes show


Affiche l'état et la configuration d'une interface ou de toutes les

interfaces du commutateur.

show interfaces [interface-id]

Affiche la configuration de démarrage. show startup-config

Affiche la configuration courante. show running-config


Affiche la configuration courante. show running-config

Affiche des informations sur le système de fichiers de la Flash. show flash:

Affiche les informations d'état et de version de logiciel. show version

Affiche l'historique des commandes. show history

Affiche l'information IP.

L'option interface affiche l'état et la configuration IP de l'interface.

l'option http affiche l'information HTTP opérant sur le

commutateur.

L'option ARP affiche la table ARP.

show ip {interface | http | arp}

Affiche la table des adresses MAC show mac-address table


� Comment gérer les fichiers de configuration de l'IOS Cisco

Sauvegarde et restauration de la configuration d'un commutateur


Version formelle de la commande copy de

l'IOS Cisco.

Confirme le nom de fichier destination.

Pressez la touche Enter pour accepter et

utilisez CTRl-C pour annuler la commande.

S1# copy system:running-config flash:startup-configDestination filename [startup-config]?


utilisez CTRl-C pour annuler la commande.

Version simplifiée de la commande copy de

l'IOS Cisco. Les suppositions sont que le

fichier running-config fait partie du

système et que startup-config sera stocké

en flash NVRAM. Pressez la touche Enter

pour accepter et utilisez CTRl-C pour

annuler la commande.

S1# copy running-config startup-configDestination filename [startup-config]?

Sauvegarde de startup-config dans un

fichier stocké en flash. Confirmez le nom de

fichier destination. Pressez la touche Enter

pour accepter et utilisez CTRl-C pour

annuler la commande.

S1# copy system:running-config flash:config.bak1Destination filename [config-bak1]?

Configurer la sécurité de base sur un commutateur� Description des commandes de l'IOS Cisco utilisées pour

configurer les options de mot de passe

Configurer les mots de passe






Configure le mot de passe enable pour entrer en mode EXE C privilégié.

S1(config)# enable password password

Configure le mot de passe secret pour entrer en mode EXE C privilégié.

S1(config)# enable secret password

Retour en mode EXEC privilégié. S1(config)# end

� Description des commandes de l'IOS Cisco utilisées pour configurer une bannière de login

Configurer la sécurité de base sur un commutateur

Configurer une bannière de login





Configure une bannière de login. S1(config)# banner login "Authorized PersonnelOnly".


Configurer une bannière de MOTD





Configure une bannière MOTD de login. S1(config)# banner motd "Device maintenance will be occurring on Friday!"

� Comment configurer Telnet et SSH sur un commutateur


Telnet et SSH

Configurer Telnet

Telnet- Méthode d'accès la plus courante- Transmet les messages en texte clair- N'est pas sécurisé


Configurer SSH

SSH- Doit être la méthode d'accès - Transmet les messages sous forme cryptée- Est sécurisé

� Description des attaques de sécurité communes d'un commutateur. Cette description inclut, l'inondation d'adresses MAC, les attaques d'usurpation, les attaques CDP et les attaques Telnet


S1

MAC B

MAC Port

X 3

Y 3

C 3

De fausses adresses

sont ajoutées dans la

table d'adresses MAC

L'attaquant commence


MAC A

MAC C

Port 2

Port 1

Port 3

Y-> ?

C 3 L'attaquant commence

à envoyer de fausses

adresses MAC

X et Y sont sur le port 3

et la table d'adresses

MAC est mise à jour.

Un intrus opère avec un outil

d'attaque sur MAC C

� Description de l'utilisation des outils de sécurité qui sont utilisés pour améliorer la sécurité réseau


Outils de sécurité

Les outils de sécurité réseau réalisent ces fonctions:

- Les Audits de sécurité réseau vous aident à:

� Connaître quel sorte d'informations un attaquant peut rassembler simplement

en supervisant le trafic réseau.

� Déterminer le volume idéal d'adresses MAC usurpées à retirer.


� Déterminer le volume idéal d'adresses MAC usurpées à retirer.

� Déterminer la durée de validité de la table d'adresses MAC.

- Les Test de pénétration réseau vous aident à:

� Identifier les faiblesses dans les configurations de vos équipements de réseau.

� Lancer de nombreuses attaques pour tester votre réseau.

� Attention: Planification des tests de pénétration pour éviter des impacts négatifs

sur les performances du réseau.

� Pourquoi est-il nécessaire de sécuriser les ports sur uncommutateur?


Caractéristiques des Outils de sécurité

� Les caractéristiques communes d'un outil de sécurité réseau moderne sont:

- Service d'identification

- Support de services SSL

- Tests non-destructifs et destructifs

- Base de données des vulnérabilités


- Base de données des vulnérabilités

� Vous pouvez utiliser des outils de sécurité réseau pour:

- Capturer des messages de discussion

- Capturer des fichiers de trafic NFS

- Capturer des requêtes HTTP au format Common Log

- Capturer des messages au format mbox Berkeley

- Capturer des mots de passe

- Afficher des URLs de capture dans Netscape en temps-réel

- Inonder un commutateur LAN avec des adresses MAC aléatoires

- Construire des réponses vers des requêtes d'adresses DNS et de pointeur

- Intercepter des paquets sur un LAN commuté

� Description des commandes de l'IOS Cisco utilisées pourbloquer les ports non utilisés


Sécurité de port par défaut

Caractéristique Valeur par défaut

Sécurité de port Non activée sur un port.

Nombre maximum d'adresses

MAC sécurisées

1


MAC sécurisées

Mode de violation Shutdown. Le port est bloqué quand

le nombre maximum d'adresses

sécurisées est dépassé. Un trap SNMP

est transmis.

Apprentissage d'adresse Non activé.

Résumé

� Architecture LAN

- Processus qui explique comment un LAN doit être implémenté

- Facteurs à prendre en compte dans l'architecture LAN

� Domaines de collision

� Domaines de Broadcast


� Domaines de Broadcast

� Latence du réseau

� Segmentation LAN

� Méthodes d'acheminement du commutateur

- Store and forward – Utilisée par les commutateurs Catalyst Cisco

- Cut through – Deux types

� Cut through

� Fast forwarding

Résumé


� Fast forwarding

� Commutation Symétrique

- La commutation est réalisée entre des ports qui ont la même vitesse

� Commutation Asymétrique

- La commutation est réalisée entre des ports qui ont des vitesses différentes

Résumé


� La CLI de l'IOS CISCO comprend les caractéristiques suivantes:

- Aide intégrée

- Historique des commandes

� Sécurité du commutateur

- Protection par mot de passe

Résumé


- Utilisation de SSH pour un accès à distance

- Sécurité de Port


Documents

Configurer un Commutateur - .:|NoVa FTP|:.novamine.free.fr/root/COURS TCRT/Cours Reseaux IP/Switch... · Chaque équipement placé dans le chemin introduit une latence ... Configurer