Vous êtes sur la page 1sur 69

F.

Nolot 2009 1
Modlisation Hirarchique du Rseau
F. Nolot 2009 2
Modlisation Hirarchique du Rseau
Pourquoi et comment hirarchiser ?
F. Nolot 2009 3
Construire un rseaux ?
Un rseau n'est pas la simple accumulation de switch et routeur !
Il faut l'organiser, le hirarchiser
Pour simplifier son administration
Pour isoler rapidement les problmes
Pour rendre modulable le rseau et pour pouvoir facilement l'agrandir
Un rseau d'entreprise est donc dcoup suivant un modle en 3 couches
Access Layer
Distribution Layer
Core Layer
Chaque couche va avoir des fonctionnalits particulires
F. Nolot 2009 4
Access Layer
F. Nolot 2009 5
Distribution Layer
F. Nolot 2009 6
Rle du la Distribution Layer
De limiter les zones de broadcast
Router les donnes entre VLAN
Eviter certaines donnes de transiter vers certains VLAN
F. Nolot 2009 7
Core Layer
C'est le backbone du rseau
Doit transfrer les donnes le plus rapidement possible
Apporte la connexion Internet ou aux autres rseaux de la socit via un MAN ou WAN
F. Nolot 2009 8
Reprsentation physique
Gnralement, une salle de brassage par tage
Serveur dans une salle spcialise
Tous les tages relis au core layer
F. Nolot 2009 9
Avantages d'une architecture hirarchique
Scalabilit
Pouvoir faire des agrandissements du rseau simplement
Redondance
Les services doivent tre oprationnel 24/24
Exemple : pour la ToIP , on doit avoir une fiabilit de 99,999%, soit 5 min par an d'interruption de
service. Fiabilit que nous avons en tlphonique classique
Performance
Eviter des goulots d'tranglement
Scurit
Scurisation des donnes et des accs au plus prs de la source
Administration simplifie
Maintenance facilit en raison de la modularit du rseau
F. Nolot 2009 10
Vocabulaire
Diamtre : c'est la distance la plus grande des distances parmi le chemin le plus courte
entre les 2 quipements
F. Nolot 2009 11
Vocabulaire
Agrgation de liens : mise en commun de plusieurs liens reliant les mmes quipements
afin d'augmenter le dbit entre ces 2 quipements
Avec 2 liens 100 Mb/s entre 2 quipements, on peut alors crer une liaison 200 Mb/s
F. Nolot 2009 12
Vocabulaire
Redondance
F. Nolot 2009 13
Hierarchical Network Model
Introduction aux rseaux convergents
F. Nolot 2009 14
La convergence ?
Utiliser le rseau data pour la voix
Ouverture vers de nouveaux usages
Communication vocale + envoie de document sur un ordinateur
Interconnexion du tlphone et de l'ordinateur
Actuellement 3 rseaux
La voix (le tlphone)
La vido (vido-surveillance par exemple)
Les donnes
F. Nolot 2009 15
Hierarchical Network Model
Choisir les quipements ?
F. Nolot 2009 16
valuation des besoins
Pour faire le choix d'un quipement, vous avez besoin de connatre au moins :
La destination des informations
L'ensemble des utilisateurs concerns
Les serveurs
Les serveurs de stockage
Analyse du trafic
Charge CPU utilis
Taux de packet perdu
Quantit de mmoire utilise
Temps moyen de traitement
Les outils
De trs nombres outils existent
Libre : Cacti, Nagios, Centreon, ...
Commerciaux : Solarwinds NetFlow, IBM Tivoli, CiscoWorks, HP Openview
F. Nolot 2009 17
Communauts d'utilisateurs
Localisation des communauts d'utilisateurs pour regrouper leur connexion
Assez souvent les utilisateurs ayant les mmes rles travaillent aux mmes endroits
Prvoir des agrandissements ventuels
Connatre leurs usages pour placer au mieux les serveurs
Modle client-serveur : les clients envoient rgulirement leur donne vers le serveur
Modle serveur serveur : change d'info, sauvegarde ou stockage
Il faut donc optimiser les connexions des clients et des serveur sur les switchs afin
d' quilibrer les bandes passantes
F. Nolot 2009 18
Les switchs existants
Switches avec un nombre de ports
fixe (24 ou 48 ports)
Switches modulable, en chassis
sur lesquel on peut ajouter des
cartes de plusieurs de ports
Stackable Switches : relie les
switch entre-eux avec un cble
spcial. Solution financirement
intermdiaire entre l'achat d'un
switch nombre de port fixe et le
chassis
F. Nolot 2009 19
Les fonctionnalits
Autres critres de choix : la densit, le dbit ou l'agrgation des bandes passantes
La densit : le nombre de port par switch : 24 ou 48 avec ou sans connecteur spcifique
pour les uplink. Un chassis peut avoir jusque 1000 ports
Le dbit : quels doivent tre les dbits de chaque port : 100 Mb/s, 1 Gb/s ou plus ?
Un switch 48 ports 1 Gb/s devra pouvoir grer 48 Gb/s au total. En access layer, pas forcment
besoin d'une tel bande passante car limitation sur l'uplink
L'agrgation de liens : peut tre une solution pour augmenter le dbit entre 2 quipements
F. Nolot 2009 20
Et pour la convergence ?
Une fonctionnalit nouvelle : le PoE (Power Over Ethernet)
Avec l'apparition des tlphones IP et des bornes sans fil, il est apparu le PoE pour pouvoir
alimenter lectriquement les quipements via le cble Ethernet
F. Nolot 2009 21
Fonctionnalits Couche 3
F. Nolot 2009 22
Fonctions de l'Access Layer
F. Nolot 2009 23
Fonction de la Distribution Layer
F. Nolot 2009 24
Fonctions du Core Layer
F. Nolot 2009 25
Conclusion
Un rseaux doit donc tre hirarchis
Une tude des rles et des usages des utilisateurs doit tre faite
Dcider quels types de switchs il faut avoir : fixe, modulaire ou stackable
Forte ou faible densit, quel dbit par port, agrgation de liens envisag ou pas ?
Besoin ou pas du PoE ?
F. Nolot 2009 26
Concepts de la commutation, IOS et scurit
F. Nolot 2009 27
Concepts de la commutation, IOS et scurit
Les rseaux Ethernet et 802.3
F. Nolot 2009 28
Fonctionnement
CSMA/CD
Sur rseau half-duplex, la technologie Carrier Sense Multiple Access/Collision Detect (CSMA/CD) est
utilise
Les rseaux full-duplex n'utilisent pas cette technologie
Carrier Sense
Avant de transmettre, les devices du rseau doivent couter avant de transmettre
Si un signal est dtect, la transmission est mise en attente
Pendant une transmission, le device continue faire son coute afin de savoir si une collision a lieu
Multi-access
Plusieurs devices utilisent le mme mdia de communication. Une mission peut donc avoir lieu et
pendant ce temps, comme le signal va mettre un certain temps parcourir le mdia de communication,
un autre device peut se mettre faire une transmission
Collision Detect
Dtection de collision (= sur-tension) permet de dtecter un problme de transmission
En cas de collision, tous les devices vont excuter le backoff algorithm : arrter leur transmission et
attendre un temps alatoire avant de recommencer, le temps que la collision disparaisse
F. Nolot 2009 29
Mode de communication Ethernet
Sur un rseaux commut, 3 modes de communication
Unicast
Un datagramme (ou trame) d'un metteur destination d'un unique device
Broadcast
Un datagramme d'un metteur destination de tous les devices connects. Exemple
d'utilisation : les requtes ARP pour connatre l'adresse Ethernet d'un device qui rpond une
adresse IP donne
Multicast
Un datagramme d'un metteur destination d'un ensemble de devices qui forment un groupe
logique. Exemple : diffusion d'un vido quelques devices uniquement.
F. Nolot 2009 30
Format de la trame IEEE 802.3
F. Nolot 2009 31
L'adresse MAC
F. Nolot 2009 32
Half ou Full Duplex
Half-Duplex
Communication unidirectionnelle
Forte probabilit de collision
Mode de connectivit d'un hub
Full Duplex
Communication bidirectionnelle en point point
Trs faible probabilit de collision
Collision Detect est dsactiv
Les switchs peuvent, soit ngocier le mode de duplex (fonctionnement par dfaut), soit le
fixer
Il est galement possible de faire du auto-MDIX pour croiser ou dcroiser automatiquement
les connexions (reconnaissance automatique du type de cble)
F. Nolot 2009 33
Table Mac
Apprentissage des adresses MAC source des trames qui passent
Si une trame de broadcast arrive sur un switch, elle est retransmise sur tous ses ports,
l'exception du port de la source
Si une trame dont la MAC de destination est connu par le switch, il envoie alors cette trame
sur le port correspondant
Sinon, il broadcast la trame sur tous ses ports, l'exception du port source
F. Nolot 2009 34
Bande passante et dbit
Sur un rseau commut, les collisions ne peuvent avoir lieu que sur le lien entre le switch et
le device (connexion de type point point)
On parle de domaine de collision
Un domaine de collision est la zone dans laquelle une collision peut avoir lieu. Sur un switch, nous
avons un domaine de collision par port. Le switch rduit les domaines de collision
Entre chaque device, nous avons donc la totalit de la bande passante disponible
Sur un hub, la bande passante est divise par le nombre de device de connect dessus.
F. Nolot 2009 35
Domaine de broadcast
C'est la zone dans laquelle va se propager une trame de broadcast
Sur un switch, le broadcast est diffus sur tous ses ports.
Seul un device de couche 3 comme un router ou la mise en place de Virtual LAN (VLAN)
peut arrter une trame de broadcast
F. Nolot 2009 36
La latence
C'est le temps d'acheminement d'une trame ou packet d'une source vers une destination
La latence est induite par au moins 3 lments
La carte rseaux qui va transformer le signal numrique en signal lectrique (ou optique)
Le cble de transmission. Sur un cble Cat 5 UTP de 100m, il faut environ 0,556 micro secondes
pour parcourir le cble
Chaque device qui se trouve sur le chemin entre la source et la destination
Chaque device va avoir induire une latence diffrente
Un router doit analyser la trame jusque la couche 3, cela prend donc plus de temps
Un switch fait son analyse uniquement sur la couche 2 et possde des ASIC (application-specific
integrated circuits) pour fournir des temps de traitements plus court
F. Nolot 2009 37
La congestion
Segmenter un rseau permet d'augmenter la bande passante entre les devices
Sinon, nous obtenons des congestions (ou goulot d'tranglement)
Les causes de ces congestions
L'augmentation des vitesses des ordinateurs et cartes rseaux
L'augmentation du volume d'informations que l'on envoie sur le rseau
Les applications qui sont de plus en plus complexes et utilisent de plus en plus des technologies de
collaboration ou des contenus dit riches (vido, animation, ...)
F. Nolot 2009 38
Intrt de la segmentation
F. Nolot 2009 39
Intrt de la segmentation domaines de collision
F. Nolot 2009 40
Intrt de la segmentation domaines de broadcast
F. Nolot 2009 41
Un rseau efficace
Un switch 48 ports 1Gb/s doit avoir une bande passante internet de 96 Gb/s (Full-duplex)
Suppression de goulot d'tranglement
Soit 6 PC et un serveur avec des connexions 1 Gb/s
F. Nolot 2009 42
Concepts de la commutation, IOS et scurit
Le fonctionnement des switchs
F. Nolot 2009 43
Mode de commutation
2 variantes dans le cut-through
Fast-fordwarding : regarde que la MAC destination
Fragment-free :sotckage des 64 premiers octets avant transmission car il s'avre que la plupart des
erreurs de transmission ont lieu pendant la trasmission de ces 64 premier bits
F. Nolot 2009 44
La gestion mmoire
F. Nolot 2009 45
Switching niveau 2 et 3 ?
F. Nolot 2009 46
Concepts de la commutation, IOS et scurit
Les bases de l'IOS
F. Nolot 2009 47
Le modes en rsum
F. Nolot 2009 48
Configuration de base
Cable console entre l'quipement et le PC
Configuration de votre outil de communication srie
9600 bit/s, data bits 8, Parity None, Stop bits 1
On parle gnralement du config en 9600,8,N,1
F. Nolot 2009 49
Configuration de base
F. Nolot 2009 50
Configuration de base
F. Nolot 2009 51
Configuration de base
F. Nolot 2009 52
Vrification d'une configuration
F. Nolot 2009 53
Configuration de l'interface Web
F. Nolot 2009 54
Backup de configuration
galement possible de faire des sauvegarde (ou restauration) via TFTP
F. Nolot 2009 55
Concepts de la commutation, IOS et scurit
La scurisation d'un switch
F. Nolot 2009 56
Mot de passe sur la console
F. Nolot 2009 57
Mot de passe sur les connexions Virtuelles
Cela correspond au connexion telnet
F. Nolot 2009 58
Scurisation du mode enable
Enable password : mot de passe stock en clair dans le fichier running-config
Si le service password-encryption n'est pas activ
Enable secret : mot de passe stock de faon crypt dans le fichier running-config
F. Nolot 2009 59
Restauration du mot de passe enable
Sur un switch 2960
Connexion au port console et teindre le switch
Rebrancher le switch et rester appuyer sur le bouton Mode jusqu' ce que le System LED soit
orange puis vert fixe (et plus de clignotement)
Taper :
flash_init
load_helper
Renommer ou supprimer le fichier flash:config.text ou startup-config
Boot
Suivant les modles la procdure peut changer mais le principe reste toujours le mme :
supprimer ou renommer le fichier de configuration lu au dmarrage et donc stock dans la
flash
F. Nolot 2009 60
Banner et MOTD
Pour afficher un message chaque personne qui se connecter sur l'quipement
banner login "...."
Pour afficher un Message Of The Day (MOTD) (afficher avant le banner login)
Banner motd ""
F. Nolot 2009 61
Access telnet et ssh
Telnet : transmission en clair
SSH : cration d'un tunnel crypt entre la source et la destination
Sur les line vty
transport input telnet
Ou
transport input ssh
Ou
transport input all
Pour activer l'accs ssh, il faut en plus faire
hostname ...
ip domain-name ....
Crypto key generate rsa
ip ssh version 2
Attention : pour pouvoir utiliser ssh version 2, il faudra gnrer une cl RSA >= 768 bits. Par
dfaut, les cls sont de 512 bits. Recommand de choisir des cls multiple de 1024.
F. Nolot 2009 62
MAC Flooding ?
Une attaque classique sur les switchs : saturation de sa table MAC
Quand le switch ne connait pas la MAC destination, il fait du broadcast
Quand la table MAC est pleine, le switch va donc faire du broadcast pour chaque trame
F. Nolot 2009 63
Attaque type spoofing
C'est de l'usurpation d'identit
Peut-tre fait avec un serveur DHCP non lgitime sur le rseau
Ainsi, on connait parfaitement l'IP et la passerelle que l'on attribue un client
Dsactivation du serveur DHCP lgitime en lui demandant toutes les IP possibles et on lui fait
croire qu'elles sont toutes utilises
Solution : DHCP Snooping
Configurable sur les switchs
On dfinit les ports lgitimes aux rponses des DHCP Request
Configuration
ip dhcp snooping
ip dhcp snooping vlan number
Sur le port lgitime ou illgitime : ip dhcp snooping trust
F. Nolot 2009 64
Autres attaques classiques
Rcupration d'informations via CDP
Dcouverte des versions de l'IOS et autres informations via CDP car protocole de couche 2 et
information en clair
Conseil : dsactiver CDP
Telnet
Attaque par brute force et protocole non scuris
Conseil : utiliser la place de telnet plutt ssh
Recommandation gnrale : vrifier et tester rgulirement la scurit de votre rseau et
des accs vos quipements
F. Nolot 2009 65
Scuriser l'accs aux ports
Pour viter que n'importe qui se connecte sur les port d'un switch, il est possible de faire un contrle sur les adresses
MAC des machines connectes sur chaque port
Pour activer cette scurit sur l'interface concerne :
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Dfinition des adresses MAC autorises sur un port
Adresse MAC fixe
Switch(config-if)# switchport port-security mac-address 0123.4567.1423.7890
Ou apprentissage de l'adresse MAC (source) de la premire trame qui traversera le ports
Switch(config-if)# switchport port-security mac-address sticky
Aprs apprentissage, l'adresse sera dans le running-config comme une adresse fixe
Par dfaut, une seule adresse MAC est autorise par port. Pour changer ce nombre
Switch(config-if)# switchport port-security maximum nombre
F. Nolot 2009 66
Politique de scurit
Plusieurs politiques de scurit peuvent tre envisages en cas de violation
Soit on bloque dfinitivement le port lors d'une usurpation d'adresse MAC
Switch(config-if)# switchport port-security violation shutdown
Soit on bloque toutes les trames avec des adresses MAC inconnus et on laisse passer les autres
Switch(config-if)# switchport port-security violation protect
Soit un message dans le syslog et via SNMP sont envoys. De plus le compteur du nombre de violation est
incrment.
Switch(config-if)# switchport port-security violation restrict
Pour ractiver un port dsactiv automatiquement, suite un problme de scurit faire un shutdown suivi d'un no
shutdown
Recommandation : dsactiver manuellement tous les ports non utiliss
F. Nolot 2009 67
Information sur les @ MAC et l'tat d'un port
Pour visualiser la politique de scurit d'une interface
Switch# show port-security interface ...
Pour visualiser les adresses MAC connues sur les ports
Switch# show port-security address
Switch#show port-security interface FastEthernet 0/4
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 1 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
Switch#
00:02:35: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,
caused by MAC address 02e0.4c39.37dd on port FastEthernet 0/4
F. Nolot 2009 68
Rsum du port Security
F. Nolot 2009 69
Concepts de la commutation, IOS et scurit
Questions ?

Vous aimerez peut-être aussi