Upload
el-amri-el-hassan
View
48
Download
4
Embed Size (px)
Citation preview
Concepts et configuration de
base de la commutation
El Hassan EL AMRI
Campus des Réseaux Informatiques et
Télécommunication - CRIT
Email : [email protected]
Introduction
• Les commutateurs sont utilisés pour connecter plusieurs périphériques sur
un même réseau.
• Les commutateurs LAN ont pour fonction de diriger et de contrôler le flux de
données au niveau de la couche d'accès des ressources mises en réseau.
• Les commutateurs Cisco sont à configuration automatique, ils sont ainsi
prêts à l'emploi.
• Les commutateurs Cisco exécutent le logiciel Cisco IOS et peuvent être
configurés manuellement pour mieux répondre aux besoins du réseau.
Cette configuration manuelle comprend notamment le réglage de la vitesse
de port, de la bande passante, ainsi que des exigences de sécurité.
Séquence de démarrage du
commutateur
• La première étape :
Le commutateur exécute un programme de Power-On Self Test (POST)
stocké dans la mémoire ROM. Le POST contrôle le sous-système du
processeur. Il teste le processeur, la mémoire vive dynamique et la partie du
périphérique flash qui compose le système de fichiers flash.
Séquence de démarrage du
commutateur
• La deuxième étape :
Le commutateur exécute ensuite le bootloader. Le bootloader est un petit
programme stocké dans la mémoire morte et exécuté immédiatement après la
réussite du POST.
Séquence de démarrage du
commutateur
• La troisième étape :
Il effectue l'initialisation de bas niveau du processeur. Il initialise les registres
du processeur qui contrôlent l'emplacement auquel la mémoire physique est
mappée, la quantité de mémoire et sa vitesse.
• La quatrième étape :
Le bootloader initialise le système de fichiers flash sur la carte système.
• La cinquième étape :
Enfin, il localise et charge une image de logiciel du système d'exploitation IOS
par défaut dans la mémoire et transfère le contrôle du commutateur à l'IOS.
Séquence de démarrage du
commutateur
Récupération après une panne
système
• Le bootloader (chargeur de démarrage) permet d'accéder au commutateur
si le système d'exploitation ne peut pas être chargé, notamment si des
fichiers système sont manquants ou endommagés. Il dispose d'une ligne de
commande qui permet l'accès aux fichiers stockés dans la mémoire Flash.
• Cependant, pour récupérer le système d’exploitation, il faut procéder dans 5
étape :
Récupération après une panne
système
• Étape 1. Connectez un PC par le câble de console au port de console du
commutateur. Configurez le logiciel d'émulation de terminal pour établir une
connexion avec le commutateur.
• Étape 2. Débranchez le cordon d'alimentation du commutateur.
• Étape 3. Reconnectez le cordon d'alimentation au commutateur et, dans les
15 secondes suivantes, appuyez sur le bouton Mode et maintenez-le enfoncé tandis
que la LED système clignote en vert.
• Étape 4. Continuez à appuyer sur le bouton Mode jusqu'à ce que la LED système
devienne orange, puis vert fixe ; vous pouvez alors relâcher le bouton Mode.
• Étape 5. L'invite switch: du bootloader s'affiche dans le logiciel d'émulation de
terminal sur le PC.
LED du commutateur
• Un commutateur est composé de 6 LED, et un bouton mode :
LED du commutateur
• Un commutateur est composé de 6 LED, et un bouton mode :
LED système : indique si le système est bien alimenté et s'il fonctionne
correctement.
LED système d'alimentation redondante (RPS) : affiche l'état du système RPS.
o La LED est éteinte, le système RPS est éteint ou n'est pas correctement
connecté
o La LED est verte, le système RPS est connecté et prêt à fournir l'alimentation de
secours.
o La LED est orange, le système RPS est en veille ou en erreur.
LED état port : indique que le mode état de port est sélectionné lorsque la LED est
verte et clignote.
o La LED est orange et clignote, le port est bloqué pour éviter tout bouclage dans
le domaine de redirection.
LED du commutateur
• Un commutateur est composé de 6 LED, et un bouton mode :
LED de bidirectionnalité du port : indique que le mode de bidirectionnalité du port
est sélectionné lorsque la LED est verte.
LED de vitesse de port : indique que le mode vitesse de port est sélectionné.
o La LED est éteinte, le port fonctionne à 10 Mbit/s.
o La LED est verte, le port fonctionne à 100 Mbit/s.
o La LED est verte et clignote, le port fonctionne à 1 000 Mbit/s.
LED de mode PoE (Power over Ethernet) : si le mode POE est pris en charge,
une LED de mode PoE est présente.
o La LED est éteinte, le mode PoE n'est pas sélectionné.
o La LED est orange et clignote, le mode PoE n'est pas sélectionné.
o La LED de port alterne entre le vert et l'orange, le mode PoE est refusé car
l'alimentation du périphérique entraînerait un dépassement de la capacité
électrique
La gestion de
commutateur de base
• Pour gérer un commutateur à distance via le PC, il faut respecter certains
conditions :
o Un câble console est utilisé pour connecter un PC au port de console d'un
commutateur,
o Réaliser la configuration IPv4 pour accéder à distance au commutateur.
o Accéder à la configuration via les logiciels sur internet (exp. TeraTerm)
La gestion de
commutateur de base
• Câble console
• Un câble console est utilisé pour
connecter un PC au port de console
d'un commutateur, à des fins de
configuration.
• Pour gérer le commutateur à
distance, le commutateur doit
d'abord être configuré via le port de
console.
La gestion de
commutateur de base
• Les ports des commutateurs
Configuration des commutateurs
avec les commandes
• Configuration de base pour un commutateur
Configuration des commutateurs
avec les commandes
• Configuration de base pour un commutateur
Cette commande affiche des informations sommaires
sur la configuration d’interface, notamment l’adresse
IP et l’état de l’interface.
Configuration des commutateurs
avec les commandes
• Configuration de base pour les VLANs
Configuration des commutateurs
avec les commandes
• Configuration de base pour les VLANs (SUITE)
S1(config)# vlan vlan_id(exp : (1, 2, 20, 80 ……)
S1(config-vlan)# name vlan_name(affectez un nom quelconque)
S1(config-vlan)# exit
S1(config)# Interface interface_id
(Précisez le type et le numéro de l’interface physique à configurer)
S1(config-if)# switchport access vlan vlan_id
(configure le VLAN X en tant que VLAN (de données) en mode accès)
Communications
bidirectionnelles simultanées
(full duplex)
• Les communications bidirectionnelles simultanées améliorent les
performances d'un réseau LAN commuté.
• Les communications bidirectionnelles simultanées augmentent la
bande passante réelle car les deux extrémités de la connexion transmettent
et reçoivent simultanément des données.
• les communications bidirectionnelles non simultanées sont
unidirectionnelles. L'envoi et la réception de données n'ont jamais lieu
simultanément.
• Les connexions bidirectionnelles non simultanées se rencontrent
généralement dans du matériel ancien, tel que des concentrateurs.
Communications
bidirectionnelles simultanées
(full duplex)
• Récapitulatif
Configuration du mode
bidirectionnelles
La fonction auto-MDIX
• La fonction auto-MDIX permet de détecter automatiquement le type de
câble requis pour la connexion (droit ou croisé) et configure la connexion en
conséquence.
Les commandes de
vérification
• La Figure ci-dessous décrit certaines des options disponibles pour la
commande show et qui peuvent se révéler utiles pour vérifier les
fonctionnalités configurables les plus courantes des commutateurs.
Problèmes de couche
d'accès au réseau
• Trames incomplètes : les trames Ethernet dont la longueur est inférieure
au minimum autorisé de 64 octets sont appelées trames incomplètes.
• Trames géantes : les trames Ethernet dont la longueur est supérieure au
maximum autorisé sont appelées géantes.
• Erreurs CRC : sur les interfaces Ethernet et série, les erreurs CRC
indiquent généralement une erreur relative au support ou au câble.
• Pour afficher les problèmes au niveau de la couche d’accès, il suffit de
taper la commande :
Switch# show interfaces id_inteface
Dépannage des problèmes de
couche d'accès au réseau
Sécurité du commutateur
gestion et implémentation
Accès à distance sécurisé
Fonctionnement des
SSH
• Secure Shell (SSH) est un protocole qui permet d'établir une connexion
sécurisée (chiffrée) pour la gestion des périphériques distants.
• SSH permet de sécuriser les connexions distantes grâce à une méthode
de chiffrement fort pour l'authentification des périphériques (nom
d'utilisateur et mot de passe), mais également pour la transmission des
données entre les périphériques de communication. SSH est attribué au
port TCP 22.
Configuration de SSH
Sécurité du commutateur
gestion et implémentation
Les attaques de sécurité
courantes
Les Attaques de sécurité
courantes
Sécurité du commutateur
gestion et implémentation
Meilleures pratiques de
sécurité
La politique de sécurité
réseau
• Développez une stratégie de sécurité écrite pour l'organisation.
• Arrêtez les services et les ports inutilisés.
• Utilisez des mots de passe forts et modifiez-les souvent.
• Contrôlez l'accès physique aux périphériques.
• Effectuez des sauvegardes et testez les fichiers enregistrés de façon régulière.
• Éduquez les employés à propos des attaques par manipulation psychologique, et
développez des stratégies de validation des identités par téléphone, par e-mail, et en
personne.
• Implémentez des logiciels et des matériels de sécurité, tels que des pare-feu.
• Veillez à mettre les logiciels à jour en installant les correctifs de sécurité chaque
semaine voire chaque jour, si possible.
Sécurité du commutateur
gestion et implémentation
Sécurité des ports de
commutateur
Surveillance DHCP
• La surveillance DHCP est une fonction de Cisco Catalyst qui détermine
quels ports du commutateur sont en mesure de répondre aux requêtes
DHCP. Les ports sont identifiés comme étant fiables et non fiables. Les
ports fiables peuvent obtenir tous les messages DHCP, y compris les
paquets des offres et des accusés de réception DHCP.
Surveillance DHCP
Configuration de la surveillance DHCP,
• La configuration de la surveillance DHCP ci-après au niveau d’un
commutateur se fait dans 4 étapes
Étape 1. Activez la surveillance DHCP à l'aide de la commande
ip dhcp snooping
Étape 2. Activez la surveillance DHCP pour des VLAN spécifiques au moyen
de la commande
ip dhcp snooping vlan nombre.
Étape 3. Au niveau de l'interface, définissez les ports comme étant fiables en
définissant les ports fiables avec la commande
ip dhcp snooping trust.
Étape 4. (Facultatif) Pour limiter la fréquence à laquelle les ports non fiables
ip dhcp snooping limit ratefréquence.
Surveillance DHCP
• Récapitulatif
Surveillance DHCP
• Récapitulatif
Sécurité des ports :
modes de violation
• Une station dont l'adresse MAC ne figure pas dans la table d'adresses tente
d'accéder à l'interface lorsque la table est saturée.
• Une adresse est en cours d'utilisation dans deux interfaces sécurisées sur
le même VLAN.
• Pour modifier le mode de violation d'un port de commutateur, utilisez la
commande de mode de configuration d'interface
switchport port-security violation {protect | restrict | shutdown}.
Sécurité des ports :
configuration
Sécurité des ports :
vérification
• Pour afficher les paramètres de sécurité des ports du commutateur ou de
l'interface spécifiée, utilisez la commande
show port-security [interface interface-id]
• Pour afficher toutes les adresses MAC sécurisées configurées sur toutes
les interfaces de commutateur ou sur une interface définie avec
informations d'obsolescence pour chacune, utilisez la commande
show port-security address.
• Pour afficher le statut d’un port, on utilise la commande
Show interface interface_id status
Chapitre sur concepts et configuration de base de la commutation
(Initiation aux réseaux Commutés)
El Hassan EL AMRI
Campus des Réseaux Informatiques et
Télécommunication - CRIT
Email : [email protected]