Académique Documents
Professionnel Documents
Culture Documents
2.2.4.11 Lab - Configuring Switch Security Features PDF
2.2.4.11 Lab - Configuring Switch Security Features PDF
commutateurs
Topologie
Table d'adressage
Objectifs
Partie 1 : configuration de la topologie et initialisation des priphriques
Partie 2 : configuration des paramtres du priphrique de base et vrification de la connectivit
Partie 3 : configuration et vrification de l'accs SSH sur S1
Configurez l'accs SSH.
Modifiez les paramtres SSH.
Vrifiez la configuration SSH.
Partie 4 : configuration et vrification des fonctions de scurit sur S1
Configurez et vrifiez les fonctions de scurit gnrales.
Configurez et vrifiez la scurit des ports.
Contexte/scnario
Il est assez courant de verrouiller l'accs aux PC et aux serveurs, et d'y installer des fonctions de scurit
correctes. Il est important que les priphriques de votre infrastructure rseau, tels que les commutateurs et
les routeurs, soient galement configurs avec des fonctions de scurit.
Au cours de ces travaux pratiques, vous appliquerez quelques-unes des mthodes recommandes visant
configurer des fonctions de scurit sur des commutateurs LAN. Vous activerez exclusivement des sessions
SSH et HTTPS scurises. Vous configurerez et vrifierez galement la scurit des ports en vue de
verrouiller n'importe quel priphrique avec une adresse MAC non reconnue par le commutateur.
Remarque : le routeur utilis lors des travaux pratiques CCNA est un routeur services intgrs (ISR)
Cisco 1941 quip de Cisco IOS version 15.2(4)M3 (image universalk9). Le commutateur utilis est un
modle Cisco Catalyst 2960 quip de Cisco IOS version 15.0(2) (image lanbasek9). D'autres routeurs,
commutateurs et versions de Cisco IOS peuvent tre utiliss. Selon le modle et la version de Cisco IOS, les
commandes disponibles et le rsultat produit peuvent varier de ceux indiqus dans les travaux pratiques.
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 1 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
Reportez-vous au tableau rcapitulatif des interfaces de routeur la fin de ces travaux pratiques pour obtenir
les identifiants d'interface corrects.
Remarque : assurez-vous que le routeur et le commutateur ont t rinitialiss et ne possdent aucune
configuration initiale. En cas de doute, contactez votre instructeur ou reportez-vous aux travaux pratiques
prcdents afin de connatre les procdures d'initialisation et de redmarrage des priphriques.
Ressources requises
1 routeur (Cisco 1941 quip de Cisco IOS version 15.2(4)M3 image universelle ou similaire)
1 commutateur (Cisco 2960 quip de Cisco IOS version 15.0(2) image lanbasek9 ou similaire)
1 PC (Windows 7, Vista ou XP, quip d'un programme d'mulation du terminal tel que Tera Term)
Cbles de console pour configurer les priphriques Cisco IOS via les ports de console
Cbles Ethernet conformment la topologie
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 2 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 3 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
S1(config)#
S1(config)# end
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 4 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 5 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 6 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 7 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
g. Configurez une nouvelle adresse MAC pour l'interface, en utilisant aaaa.bbbb.cccc comme adresse.
R1(config-if)# mac-address aaaa.bbbb.cccc
h. Si possible, ayez une connexion console ouverte sur S1 en mme temps que vous ralisez cette tape.
Vous verrez divers messages s'afficher sur la connexion console S1 indiquant une violation de scurit.
Activez l'interface G0/1 sur R1.
R1(config-if)# no shutdown
i. partir du mode d'excution privilgi sur R1, envoyez une requte ping PC-A. La requte ping a-t-elle
abouti ? Justifiez votre rponse.
____________________________________________________________________________________
j. Sur le commutateur, vrifiez la scurit des ports l'aide des commandes indiques ci-dessous.
S1# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/5 1 1 1 Shutdown
----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 8 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
-----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192
k. Sur le routeur, arrtez l'interface G0/1, supprimez l'adresse MAC code en dur du routeur, puis ractivez
l'interface G0/1.
R1(config-if)# shutdown
R1(config-if)# no mac-address aaaa.bbbb.cccc
R1(config-if)# no shutdown
R1(config-if)# end
l. partir de R1, envoyez nouveau une requte ping PC-A l'adresse 172.16.99.3. La requte ping a-t-
elle abouti ? _________________
m. Excutez la commande show interface f0/5 afin de dterminer la cause de l'chec de la requte ping.
Notez vos rsultats.
____________________________________________________________________________________
n. Effacez l'tat Error Disabled de F0/5 sur S1.
S1# config t
S1(config)# interface f0/5
S1(config-if)# shutdown
S1(config-if)# no shutdown
Remarque : il existe un dlai lorsque les tats des ports convergent.
o. Excutez la commande show interface f0/5 sur S1 afin de vrifier que F0/5 n'est plus en mode Error
Disabled .
S1# show interface f0/5
FastEthernet0/5 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0023.5d59.9185 (bia 0023.5d59.9185)
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
p. partir de l'invite de commande de R1, envoyez nouveau une requte ping PC-A. Cette nouvelle
requte ping devrait aboutir.
Remarques gnrales
1. Pourquoi activer la scurit des ports sur un commutateur ?
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Pourquoi les ports non utiliss sur un commutateur doivent-ils tre dsactivs ?
_______________________________________________________________________________________
_______________________________________________________________________________________
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 9 / 10
Travaux pratiques : configuration des fonctions de scurit des commutateurs
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Remarque : pour savoir comment le routeur est configur, observez les interfaces afin d'identifier le type de
routeur ainsi que le nombre d'interfaces qu'il comporte. Il n'est pas possible de rpertorier de faon exhaustive
toutes les combinaisons de configurations pour chaque type de routeur. Ce tableau inclut les identifiants des
combinaisons possibles des interfaces Ethernet et srie dans le priphrique. Ce tableau ne comporte aucun
autre type d'interface, mme si un routeur particulier peut en contenir un. L'exemple de l'interface RNIS BRI peut
illustrer ceci. La chane de caractres entre parenthses est l'abrviation normalise qui permet de reprsenter
l'interface dans les commandes de Cisco IOS.
2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 10 / 10