Chapitre 2 – Cisco 3

CSMA/CD n’est employée que dans le cadre d’une communication

bidirectionnelle non simultanée, généralement utilisée dans des
concentrateurs. Les commutateurs bidirectionnels simultanés ne font pas
appel à cette technologie.

Si un périphérique détecte un signal provenant d’un autre périphérique, il

patiente un certain temps avant d’essayer de transmettre un message.

Si aucun trafic n’est détecté, le périphérique transmet son message. Lorsque

la transmission a lieu, le périphérique continue d’écouter le trafic ou les
collisions survenant sur le réseau local. Une fois le message envoyé, le
périphérique revient au mode d’écoute par défaut.

Signal de congestion :

Dès qu’une collision est détectée, les périphériques émetteurs envoient un

signal de congestion. Le signal de congestion informe les autres
périphériques d’une collision pour leur permettre d’appeler un algorithme
d’interruption. Cet algorithme demande à tous les périphériques de cesser
leur transmission pendant un laps de temps aléatoire, ce qui permet
d’atténuer les signaux de collision.
Une fois le délai expiré sur un périphérique, ce dernier se remet en mode
d’écoute avant transmission. Une période d’interruption aléatoire garantit
que les périphériques impliqués dans la collision ne tentent pas d’envoyer
leur trafic en même temps, ce qui inciterait le processus à se reproduire dans
son intégralité.

Les communications dans un réseau local commuté

surviennent sous trois formes :
monodiffusion :

communication dans laquelle une trame est transmise depuis un hôte vers
une destination spécifique. Ce mode de transmission nécessite simplement
un expéditeur et un récepteur. La transmission monodiffusion est la forme de
transmission prédominante adoptée sur les réseaux locaux et sur Internet.
HTTP, SMTP, FTP et Telnet sont des exemples de protocoles qui utilisent des
transmissions monodiffusion.

diffusion :
communication dans laquelle une trame est transmise d’une adresse vers
toutes les autres adresses existantes. Un seul expéditeur intervient dans ce
cas, mais les informations sont transmises à tous les récepteurs connectés.
La transmission par diffusion est un incontournable si vous envoyez le même
message à tous les périphériques sur le réseau local. Un exemple de
transmission par diffusion est la requête de résolution d’adresse que le
protocole ARP (Address Resolution Protocol) transmet à tous les ordinateurs
sur un réseau local.

multidiffusion :
communication dans laquelle une trame est transmise à un groupe spécifique
de périphériques ou de clients. Les clients de transmission multidiffusion
doivent être membres d’un groupe de multidiffusion logique pour recevoir les
informations. Les transmissions vidéo et vocales employées lors de réunions
professionnelles collaboratives en réseau sont des exemples de transmission
multidiffusion.
Mode de communication

Mode bidirectionnel non simultané ( EX. HUB): la communication

bidirectionnelle non simultanée repose sur un flux de données unidirectionnel
où l’envoi et la réception des données n’ont pas lieu simultanément. Ceci
s’apparente à la manière dont les talkies-walkies.

C’est pourquoi la communication bidirectionnelle non simultanée met en

oeuvre la technologie CSMA/CD.

Le temps d’attente qu’exigent en permanence les communications

bidirectionnelles non simultanées pose des problèmes de performance
puisque les données ne peuvent circuler que dans un sens à la fois.

Mode bidirectionnel simultané : dans le cadre de la communication

bidirectionnelle simultanée, le flux de données est bidirectionnel, de sorte
que les données peuvent être envoyées et reçues de manière simultanée. La
prise en charge bidirectionnelle améliore les performances en réduisant le
temps d’attente entre les transmissions. La majorité des cartes réseau
Ethernet, Fast Ethernet et Gigabit Ethernet.

Les connexions bidirectionnelles simultanées nécessitent un commutateur

qui prend en charge une connexion bidirectionnelle simultanée ou directe
entre les deux noeuds qui eux-mêmes prennent individuellement en charge
le mode bidirectionnel simultané. Les noeuds reliés directement à un port de
commutateur dédié par l’entremise de cartes réseau prenant en charge le
mode bidirectionnel simultané doivent être connectés à des ports de
commutateur configurés pour fonctionner en mode bidirectionnel simultané.

Comparaison :

L’efficacité d’une configuration Ethernet avec concentrateur standard et

partagée est généralement évaluée de 50 à 60 pour cent de la bande
passante de 10 Mbits/s. Par comparaison, une configuration Fast Ethernet
bidirectionnelle simultanée offre une efficacité de 100 pour cent dans les
deux sens (100 Mbits/s à la transmission et à la réception).

Paramètre de Switch :

Pour les ports Fast Ethernet et 10/100/1000, la valeur par défaut est auto.
Pour les ports 100BASE-FX, la valeur par défaut est full. Les ports
10/100/1000 fonctionnent soit en mode bidirectionnel non simultané, soit en
mode bidirectionnel simultané lorsqu’ils sont définis à 10 ou 100 Mbits/s. Par
contre, à 1000 Mbits/s, ils fonctionnent en mode bidirectionnel simultané.

Remarque :
l’auto-négociation peut produire des résultats inattendus. Par défaut, en cas
d’échec de l’auto-négociation, le commutateur Catalyst définit le port de
commutateur correspondant en mode bidirectionnel non simultané. Ce type
d’échec survient quand un périphérique relié ne prend pas en charge l’auto-
négociation. Si le périphérique est manuellement configuré pour fonctionner
en mode bidirectionnel non simultané, il adopte le mode par défaut du
commutateur. En revanche, des erreurs peuvent survenir au cours de l’auto-
négociation si vous avez manuellement configuré le périphérique en mode
bidirectionnel simultané. L’emploi du mode bidirectionnel non simultané à
une extrémité et du mode bidirectionnel simultané à l’autre entraîne des
erreurs de collision à l’extrémité en mode bidirectionnel non simultané. Pour
éviter cette situation, définissez manuellement les paramètres bidirectionnels
du commutateur afin qu’ils correspondent au périphérique connecté.
Fonction de détection des câbles : auto-MDIX
Par défaut, la fonction auto-MDIX est activée sur des commutateurs dotés de
la version 12.2(18)SE (ou ultérieure) du logiciel Cisco IOS. Pour les versions
comprises entre 12.1(14)EA1 et 12.2(18)SE de ce même logiciel, la fonction
auto-MDIX est désactivée par défaut.
Commande de configuration d’interface mdix auto.

Adressage MAC :
Pour qu’un commutateur puisse connaître les ports à utiliser en vue de la
transmission d’une trame de monodiffusion, il doit avant tout savoir quels
noeuds existent sur chacun de ses ports.

Étape 1. Le commutateur reçoit une trame de diffusion du PC 1 sur le port 1.

Étape 2. Le commutateur enregistre l’adresse MAC source et le port de

commutateur ayant reçu la trame dans la table d’adresses.

Étape 3. L’adresse de destination étant une diffusion, le commutateur

inonde la trame sur tous les ports, à l’exception du port sur lequel il a reçu la
trame.

Étape 4. Le périphérique de destination réagit à la diffusion en envoyant une

trame de monodiffusion à PC 1.

Étape 5. Le commutateur enregistre l’adresse MAC source du PC 2 et le

numéro de port du commutateur ayant reçu la trame dans la table
d’adresses. L’adresse de destination de la trame et le port qui lui est associé
se trouvent dans la table d’adresses MAC.

Étape 6. Le commutateur peut alors transmettre les trames entre les

périphériques source et de destination sans les diffuser, puisqu’il dispose
d’entrées dans la table d’adresses qui identifie
Collision :
Sachant qu’Ethernet ne permet pas de savoir quel noeud transmet des
informations à un moment déterminé, nous partons du principe que les
collisions se produisent lorsque plusieurs noeuds tentent d’accéder au
réseau.

Plus il y a de périphérique sur un HUB, plus la bande passante

diminue :

C’est pourquoi il faut impérativement garder à l’esprit que lorsque la bande

passante du réseau Ethernet est de 10 Mbits/s, l’intégralité de la bande
passante est disponible pour la transmission uniquement après la résolution
des collisions. Le débit net du port (soit les données réellement transmises en
moyenne) est considérablement diminué et réduit à une fonction indiquant
combien de noeuds souhaitent utiliser le réseau. Un concentrateur n’offre
aucun mécanisme permettant d’éliminer ou de réduire ces collisions, ce qui
réduit donc la bande passante dont dispose un noeud pour transmettre. Par
conséquent, le nombre de noeuds partageant le réseau Ethernet a une
incidence sur le débit ou la productivité du réseau.

Le terme « domaine de collision » désigne la zone du réseau d’où

proviennent les trames qui entrent en collision. Tous les environnements à
supports partagés, notamment ceux que vous créez au moyen de
concentrateurs, sont des domaines de collision.

Domaine de diffusion :
les trames de diffusion doivent être transmises par des commutateurs. Un
ensemble de commutateurs interconnectés constitue un domaine de diffusion
unique. Seule une entité de la couche 3, telle qu’un routeur ou un réseau
local virtuel, peut arrêter un domaine de diffusion de couche 3. Les
routeurs et les réseaux locaux virtuels sont utilisés pour segmenter les
domaines de collision et de diffusion. Le recours aux réseaux locaux virtuels
pour la segmentation.
Encombrement du réseau

Le principal intérêt de segmenter un réseau local en parties plus infimes est

d’isoler le trafic et d’optimiser l’utilisation de la bande passante pour chaque
utilisateur. Sans segmentation, un réseau local est vite submergé par le trafic
et les collisions. La figure présente un réseau encombré qui héberge
plusieurs noeuds et un concentrateur.

Les causes d’encombrement :

- Technologies réseau et informatiques de plus en plus puissantes.

Aujourd’hui, les unités centrales (UC), les bus et les périphériques sont
bien plus rapides et puissants que ceux employés dans les premiers
réseaux locaux. Ils sont donc capables de transmettre et de traiter
davantage de données avec des débits accrus sur le réseau.

- Volume de trafic réseau accru. De nos jours, le trafic réseau est un

phénomène plus fréquent, puisque des ressources distantes sont
nécessaires pour mener à bien des tâches élémentaires. Qui plus est,
les messages de diffusion, tels que les requêtes de résolution
d’adresse émises par le protocole ARP, peuvent nuire aux
performances des stations d’extrémité et des réseaux.

- Applications à bande passante élevée. Les applications logicielles sont

constamment enrichies de fonctions et exigent une consommation de
bande passante de plus en plus élevée. Qu’il s’agisse de publication
assistée par ordinateur, de conception technique, de vidéo à la
demande (VOD, Video on Demand), d’e-learning (apprentissage en
ligne) et de lecture vidéo en continu, toutes les applications
nécessitent une puissance et une vitesse de traitement considérables.
Segmentation réseaux

Ponts et commutateurs
Les ponts servent généralement à segmenter un réseau local en quelques
segments plus petits.

Les commutateurs permettent traditionnellement de segmenter un réseau

local de taille importante en plusieurs petits segments.

Les routeurs pour une bande passant plus élevé :

La création de domaines de diffusion supplémentaires plus réduits avec un
routeur a pour effet de diminuer le trafic de diffusion et garantit une bande
passante plus importante pour les communications monodiffusion.

Contrôle de la latence du réseau

Par exemple, si un commutateur au niveau du coeur du réseau doit prendre
en charge 48 ports offrant chacun une capacité d’exécution de l’ordre de
1000 Mbits/s en mode bidirectionnel simultané, il doit permettre la prise en
charge d’un débit interne d’environ 96 Gbits/s s’il lui faut maintenir une
vitesse filaire globale sur tous les ports en même temps. Les exigences de
débit indiquées dans cet exemple sont caractéristiques des commutateurs au
niveau du coeur et non des commutateurs de niveau d’accès.
En limitant l’usage de périphériques de couche supérieure, vous pouvez
contribuer à la réduction de la latence du réseau.

Néanmoins, un usage adapté des périphériques de la couche 3 permet

d’éviter des conflits liés au trafic de diffusion dans un domaine de diffusion
important ou un taux de collision élevé dans un domaine de collision
volumineux.
Méthodes de transmission par commutateur

Auparavant, les commutateurs faisaient appel aux méthodes

de transmission pour la commutation des données entre des
ports réseau : commutation Store and Forward (stockage
et retransmission) ou cut-through (direct).

il stocke les données dans des mémoires tampons jusqu’à ce qu'il ait
reçu l’intégralité de la trame. Au cours de ce processus de stockage, le
commutateur recherche dans la trame des informations concernant sa
destination. Dans le cadre de ce même processus, le commutateur procède
à un contrôle d’erreur à l’aide du contrôle par redondance cyclique (CRC)
de l’en-queue de la trame Ethernet.

- formule mathématique fondée sur le nombre de bits.

- Store and Forward est nécessaire pour l’analyse de la qualité de

service (QS).

En cas d’erreur détectée au sein de la trame, le commutateur ignore la

trame. L’abandon des trames avec erreurs réduit le volume de bande
passante consommé par les données altérées.
le commutateur agit sur les données à mesure qu’il les reçoit, même si la
transmission n’est pas terminée. Le commutateur met une quantité juste
suffisante de la trame en tampon afin de lire l’adresse MAC de destination et
déterminer ainsi le port auquel les données sont à transmettre.
L’adresse MAC de destination est située dans les six premiers octets de la
trame à la suite du préambule.

La commutation cut-through est bien plus rapide que la commutation Store

and Forward.

En revanche, du fait de l’absence d’un contrôle d’erreur, elle transmet les

trames endommagées sur le réseau. Les trames qui ont été altérées
consomment de la bande passante au cours de leur transmission. La carte de
réseau de destination ignore ces trames au bout du compte.

il existe deux variantes de la commutation cut-through :

Commutation Fast-Forward :

- - ce mode de commutation offre le niveau de latence le plus faible.

- Fast-Forward entame la transmission avant la réception du paquet tout

entier, il peut arriver que des paquets relayés comportent des erreurs.

- La commutation Fast-Forward est la méthode de commutation cut-

through classique.

Commutation non fragmentée (Fragment-Free) :

 - le commutateur stocke les 64 premiers octets de la trame avant la
transmission.

- (RAISON : pour laquelle la commutation Fragment-Free stocke

uniquement les 64 premiers octets de la trame est que la plupart des
erreurs et des collisions sur le réseau surviennent pendant ces
64 premiers octets)

- La commutation Fragment-Free offre un compromis entre la latence

élevée et la forte intégrité de la commutation Store and Forward.

REMARQUE :
Certains commutateurs sont configurés pour une commutation cut-
through par port. Une fois le seuil d’erreurs défini par l’utilisateur atteint,
ils passent automatiquement en mode Store and Forward. Lorsque le
nombre d’erreurs est inférieur au seuil défini, le port revient
automatiquement en mode de commutation cut-through.

Commutation symétrique et asymétrique

Asymétrique
. La commutation asymétrique nécessite une mise en mémoire tampon.

Pour que le commutateur puisse correspondre aux divers débits de données

sur des ports différents, les trames tout entières sont conservées dans la
mémoire tampon et sont déplacées vers le port l’une après l’autre selon les
besoins.

Symétrique :`

La commutation symétrique est optimisée pour une charge de trafic

raisonnablement distribuée, telle que dans un environnement de Bureau peer
to peer.

Un administrateur réseau doit évaluer la quantité requise de bande

passante pour les connexions entre périphériques afin d’adapter le flux
des données des applications réseau. La plupart des commutateurs actuels
sont asymétriques, car ce sont ceux qui offrent la plus grande souplesse.

Mémoire Tempon :
La mise en mémoire tampon peut également être une solution lorsque le port
de destination est saturé suite à un encombrement et que le commutateur
stocke la trame jusqu’à ce qu’il puisse la transmettre.

Mise en mémoire tampon axée sur les ports

Dans le cas de la mise en mémoire tampon axée sur les ports, les trames
sont stockées dans des files d’attente liées à des ports entrants et sortants
spécifiques. Une trame est transmise au port sortant uniquement si toutes les
trames qui la précèdent dans la file d’attente ont été correctement
transmises. Une seule trame peut retarder la transmission de toutes
les trames en mémoire si un port de destination est saturé. Ce retard se
produit, même si les autres trames peuvent être transmises à des ports de
destination libres.

Mise en mémoire tampon partagée

La mise en mémoire tampon partagée stocke toutes les trames dans une
mémoire tampon commune à tous les ports du commutateur. La capacité de
mémoire tampon nécessaire à un port est allouée dynamiquement.
Les trames de la mémoire tampon sont liées de manière dynamique au port
de destination, ce qui permet de recevoir le paquet sur un port et de le
transmettre sur un autre, sans avoir à le déplacer vers une autre file
d’attente.

Le commutateur tient à jour une carte de liaisons entre une trame et

un port, indiquant l’emplacement vers lequel un paquet doit être acheminé.
Cette carte est effacée dès que la trame a été transmise
correctement. Le nombre de trames stockées dans la mémoire tampon est
limité par la taille totale de cette dernière, mais ne se limite pas à un
seul tampon du port, ce qui permet de transmettre de plus grandes
trames en en supprimant un minimum. C’est là une caractéristique
importante de la commutation asymétrique, car les trames sont échangées
entre des ports associés à des débits différents.

Commutation

Commutateur de couche 2 :
Ex : Catalyst 2960

Un commutateur de réseau local de couche 2 permet d’effectuer une

- commutation et un filtrage en se basant uniquement sur

l’adresse MAC de la couche liaison de données.

- Rappelez-vous qu’un commutateur de couche 2 génère une table

d’adresses MAC qu’il utilise pour des décisions de transmission.

Commutateur de couche 3 :
Exemple : Catalyst 3560.
Comme une switch de couche 2 :
mais, à défaut d’exploiter les informations d’adresses MAC de couche 2 pour
toute décision en matière de transmission, un commutateur de couche 3
peut également exploiter celles des adresses IP. Un commutateur de
couche 3 ne cherche pas uniquement à savoir quelles adresses MAC sont
associées à chacun des ports ; il peut également identifier les
adresses IP associées à ses interfaces.
Il peut alors orienter le trafic sur le réseau sur la base des
informations recueillies sur les adresses IP.

- Peuvent également exécuter des fonctions de routage de la couche 3,

ce qui réduit le besoin de routeurs dédiés sur un réseau local.
Parce que les commutateurs de couche 3 disposent d’un matériel de
commutation spécialisé, l’acheminement des données est
généralement aussi rapide que la commutation.

Comparaison entre Switch(3) et Router

Les routeurs rendent également possible la transmission de paquets que les
commutateurs de couche 3 ne permettent pas d’effectuer, notamment
l’établissement de connexions d’accès à distance sur des réseaux et
des périphériques distants. Les routeurs dédiés garantissent une
plus grande flexibilité pour la prise en charge des cartes réseau WAN
(WIC).

Les commutateurs de couche 3 proposent des fonctions de routage de base

dans un réseau local et réduisent la nécessité de faire appel à des routeurs
dédiés.
Configuration de la switch : Différentes façons

Cisco Network Assistant :

L’outil Cisco Network Assistant est une interface utilisateur graphique
d’administration réseau pour PC optimisée. Elle est conçue pour les réseaux
locaux de petite et moyenne taille.
Gratuite.

Application CiscoView
L’application de gestion de périphériques CiscoView affiche une vue physique
du commutateur que vous pouvez utiliser pour définir les paramètres de
configuration et consulter des informations relatives à l’état et aux
performances du commutateur.
- L’application CiscoView, vendue séparément, peut être une application
autonome ou intégrée à une plateforme SNMP.

Cisco Device Menager

Le gestionnaire de périphériques Cisco Device Manager est un outil
logiciel Web qui est stocké dans la mémoire du commutateur
Gestion de réseau SNMP

Vous pouvez gérer des commutateurs à partir d’une station de gestion

compatible SNMP, telle que HP OpenView. Le commutateur peut fournir des
informations de gestion exhaustives et quatre groupes RMON (Remote
Monitoring). La gestion de réseau SNMP est bien plus fréquente dans des
réseaux d’entreprise de très grande taille.
- afficher le contenu de la mémoire tampon des commandes ;

- définir la taille de la mémoire tampon de l’historique des commandes ;

- rappeler les commandes entrées précédemment et stockées dans la

mémoire tampon de l’historique. Il existe une mémoire tampon pour
chaque mode de configuration.

Par défaut, l’historique des commandes est activé et le système

enregistre 10 lignes.
Le chargeur d’amorçage fournit également un accès au commutateur si le
système d’exploitation est inutilisable. Il dispose d’un outil de ligne de
commande qui garantit l’accès aux fichiers stockés dans la mémoire flash
avant le chargement du système d’exploitation. Sur la ligne de commande
du chargeur d’amorçage, vous pouvez saisir des commandes pour
formater le système de fichiers flash, réinstaller l’image du système
d’exploitation ou procéder à une récupération à partir d’un mot de passe
perdu ou oublié.
Configuration d’interface de gestion de switch

Notez qu’un commutateur de couche 2 (par exemple, Cisco Catalyst 2960),

autorise l’activation d’une seule interface de réseau local virtuel à la fois, ce
qui signifie que l’interface de la couche 3 (celle du VLAN 99) est active mais
que l’interface de couche 3 du réseau local virtuel VLAN 1 ne l’est pas.
Pour contrôler qui peut avoir accès aux services HTTP sur le commutateur,
vous pouvez éventuellement configurer l’authentification. Les méthodes
d’authentification peuvent être complexes. Un nombre trop important
d’utilisateurs des services HTTP peut vous contraindre à faire appel à un
serveur distinct spécialement consacré à la gestion de l’authentification
des utilisateurs. Les modes d’authentification AAA et TACACS utilisent,
par exemple, ce type de méthode d’authentification à distance. AAA et
TACACS sont des protocoles d’authentification que vous pouvez utiliser
dans des réseaux pour valider les paramètres d’identification des
utilisateurs. Vous devrez peut-être recourir à une méthode
d’authentification moins complexe. La méthode enable exige que les
utilisateurs se servent du mot de passe actif du serveur. Dans le cas de la
méthode d’authentification locale, l’utilisateur doit préciser le nom
d’utilisateur de connexion, le mot de passe et la combinaison d’accès au
niveau de privilège spécifiée dans la configuration du système local (à
l’aide de la commande de configuration globale username).
show mac-address-table
Les adresses dynamiques sont des adresses MAC source que le
commutateur assimile, puis définit comme obsolètes dès qu’elles ne sont
plus utilisées. Vous pouvez modifier le paramètre d’obsolescence des
adresses MAC. La durée par défaut est de 300 secondes. Une valeur
d’obsolescence trop courte peut entraîner une suppression prématurée
des adresses de la table. Dans ce cas, lorsque le commutateur reçoit un
paquet pour une destination inconnue, il inonde le paquet sur tous les
ports dans le même réseau local (ou réseau local virtuel) que le port de
réception. Cette inondation superflue peut avoir des effets négatifs sur les
performances. À contrario, avec un délai d’obsolescence trop long, la
table d’adresses risque d’être remplie d’adresses inutilisées, empêchant
ainsi l’assimilation de nouvelles adresses. Cette situation peut également
entraîner un phénomène d’inondation.

Un administrateur réseau peut de manière spécifique affecter des

adresses MAC à certains ports. Les adresses statiques ne sont jamais
mises en obsolescence et le commutateur sait toujours sur quel port il doit
transmettre le trafic destiné à une adresse MAC spécifique. Ainsi donc, le
besoin de réassimiler ou d’actualiser le port auquel l’adresse MAC
est connectée n’est pas impératif. Une raison justifiant la mise en
oeuvre d’adresses MAC statiques est d’offrir à l’administrateur réseau
un contrôle total de l’accès au réseau. Seuls les périphériques connus
de l’administrateur réseau sont autorisés à se connecter au réseau.

Pour créer un mappage statique dans la table

d’adresses MAC, utilisez la commande : mac-address-table static
<adresse_MAC> vlan {1-4096, ALL} interface id_interface.

Pour supprimer un mappage statique dans la table

d’adresses MAC, utilisez la commande no mac-address-
table static <adresse_MAC> vlan {1-4096, ALL} interface
id_interface.
La restauration

copy flash:config.bak1 startup-config

Remarque :
vous ne pouvez effectuer aucune opération de rechargement depuis un
terminal virtuel si le commutateur n’est pas configuré pour un démarrage
automatique. Cette restriction empêche le système de passer en mode
moniteur ROM (ROMMON) et de le mettre ainsi hors contrôle de
l’utilisateur distant.
 effacer le contenu de votre configuration de
Pour
démarrage, utilisez la commande erase nvram: ou erase startup-
config en mode d’exécution privilégié

supprimer un fichier de la mémoire flash,

utilisez la commande delete flash:nom_fichier en mode d’exécution
privilégié

Mot de passe :
Lorsque vous entrez la commande service password-encryption en
mode de configuration globale, tous les mots de passe système sont
stockés au format chiffré. Dès que vous entrez la commande, tous les
mots de passe actuellement définis sont convertis en mots de passe
chiffrés.
Si vous ne souhaitez plus que les mots de passe système soient
obligatoirement stockés sous une forme chiffrée, entrez la commande no
service password-encryption en mode de configuration globale. La
suppression du chiffrement des mots de passe ne signifie pas une
reconversion des mots de passe actuellement chiffrés dans un
format de texte lisible. En revanche, tous les mots de passe récemment
définis sont stockés sous forme de texte clair.

Remarque :

Remarque : la norme de chiffrement adoptée par la commande service

password-encryption est désignée par l’expression « type 7 ». Cette
norme de chiffrement est très simple et de nombreux outils aisément
accessibles sur Internet permettent de déchiffrer les mots de passe. Le
type 5 est plus sécurisé, mais vous devez l’utiliser manuellement pour
chaque mot de passe que vous configurez.

Si vous perdez ou oubliez des mots de passe d’accès,

Cisco dispose d’un mécanisme de récupération des mots de passe par
l’intermédiaire duquel des administrateurs peuvent accéder à leurs
périphériques Cisco. La procédure de récupération des mots de passe
exige un accès physique au périphérique.

Les étapes :
Étape 1. Au moyen d’un logiciel d’émulation de terminal, connectez un
terminal ou un PC au port de la console du commutateur.
Étape 2. Définissez le débit de la ligne dans le logiciel d’émulation à
9 600 bauds.

Étape 3. Mettez le commutateur hors tension. Reconnectez le cordon

d’alimentation au commutateur, puis appuyez sur le bouton Mode
pendant les 15 secondes qui suivent tandis que le LED système continue
de clignoter en vert. Maintenez le bouton Mode enfoncé jusqu’à ce que le
LED système devienne brièvement orange, puis prenne une couleur verte
définitive. Relâchez ensuite le bouton Mode.

Étape 4. Initialisez le système de fichiers flash à l’aide de la commande

flash_init.

Étape 5. Chargez tous les fichiers d’aide au moyen de la commande

load_helper.

Étape 6. Affichez le contenu de la mémoire flash à l’aide de la commande

dir flash :

Étape 7. À l’aide de la commande rename flash:config.text

flash:config.text.old, modifiez le fichier de configuration en le renommant
« config.text.old », soit le fichier contenant la définition du mot de passe.

Étape 8. Démarrez le système avec la commande boot.

Étape 9. Le système vous demande de démarrer le programme de

configuration. À l’invite, entrez N et lorsque le système vous demande si
vous souhaitez poursuivre dans la boîte de dialogue de configuration,
entrez N.

Étape 10. À l’invite du commutateur, entrez le mode d’exécution

privilégié en vous servant de la commande enable.

Étape 11. Utilisez la commande rename flash:config.text.old

flash:config.text pour renommer le fichier de configuration d’après son
nom d’origine.
Étape 12. Copiez le fichier de configuration dans la mémoire à l’aide de
la commande copy flash:config.text system:running-config. Une fois cette
commande entrée, le texte suivant s’affiche dans la console :

Source filename [config.text]?

Destination filename [running-config]?

Appuyez sur la touche Entrée en réponse à l’invite de confirmation. Le

fichier de configuration est désormais rechargé et vous pouvez modifier le
mot de passe.

Étape 13. Passez en mode de configuration globale au moyen de la

commande configure terminal.

Étape 14. Modifiez le mot de passe en utilisant la commande enable

secret mot de passe.

Étape 15. Repassez en mode d’exécution privilégié avec la commande

exit.

Étape 16. Inscrivez la configuration en cours dans le fichier de

configuration de démarrage au moyen de la commande copy running-
config startup-config.

Étape 17. Rechargez le commutateur à l’aide de la commande reload.

Configuration de Telnet et SSH

Au départ, les lignes vty ne sont pas sécurisées. Tout utilisateur qui tente de
s’y connecter peut donc y avoir accès.

Du fait que Telnet constitue le mode de transport par défaut pour les
lignes vty, vous n’avez pas besoin de le spécifier après la configuration
initiale du commutateur. En revanche, si vous avez commuté le protocole de
transport sur les lignes vty pour autoriser uniquement SSH, vous devez
activer le protocole Telnet pour autoriser manuellement l’accès à Telnet.

Si vous devez réactiver le protocole Telnet sur un commutateur Cisco 2960,

utilisez la commande suivante à partir du mode de configuration de ligne :
(config-line)#transport input telnet ou
(config-line)#transport input all.

SSH
Pour exploiter cette fonction, vous devez installer une image cryptographique
sur votre commutateur.

Le commutateur prend en charge la version SSHv1 ou SSHv2 pour le

composant serveur. Il prend uniquement en charge la version SSHv1 pour le
composant client.

SSH prend en charge l’algorithme DES (Data Encryption Standard),

l’algorithme Triple DES (3DES) et l’authentification utilisateur basée sur les
mots de passe. Le chiffrement est de 56 bits dans DES, il est de 168 bits dans
3DES.

Règle de chiffrement : Le client les définis.

Pour mettre en oeuvre SSH, vous devez

créer des clés RSA.

implique l’emploi d’une clé publique conservée sur un serveur RSA public.

clé privée conservée uniquement par l’expéditeur et le récepteur.

La clé publique peut être connue de tout le monde et sert au chiffrement des
messages.

Les messages chiffrés à l’aide de la clé publique peuvent être déchiffrés au

moyen de la clé privée. = Chiffrement asymétrique.

Configuration Serveur SSH :

Étape 1. Passez en mode de configuration globale au moyen de la
commande configure terminal.

Étape 2. Configurez un nom d’hôte pour votre commutateur au moyen de la

commande hostname nom_hôte.

Étape 3. Configurez un domaine hôte pour votre commutateur à l’aide de la

commande
ip domain-name nom_domaine.

Étape 4. Activez le serveur SSH en vue d’une authentification locale et

distante sur le commutateur et générez une paire de clés RSA en utilisant la
commande
crypto key generate rsa.

Remarque : Lorsque vous créez des clés RSA, le système vous demande
d’entrer une longueur de modulus. Cisco préconise l’utilisation d’une taille de
modulus de 1024 bits. Une longueur de modulus plus importante peut
s’avérer plus sûre, mais sa création et son utilisation prennent plus de temps.

Afficher l’état du serveur SSH :

show ip ssh ou show ssh.

Supprimer la paire de clé RSA désactive automatiquement le serveur
SSH :

crypto key zeroize rsa

Suite configuration serveur SSH

Étape 2.
(Facultatif) Configurez le commutateur pour exécuter SSHv1 ou SSHv2 à
l’aide de la commande
ip ssh version [1 | 2].

Étape 3.
Précisez la valeur de délai d’attente en secondes. La valeur par défaut est
120 secondes. La valeur peut aller de 0 à 120 secondes

Remarque :

Pour une connexion SSH à établir, vous devez exécuter plusieurs phases,
telles que la connexion, la négociation de protocole et la négation de
paramètre. La valeur de délai d’attente désigne le temps que le
commutateur autorise pour l’établissement d’une connexion.

Par défaut, cinq connexions SSH chiffrées simultanées sont disponibles au

maximum pour plusieurs sessions de l’interface de ligne de commande (ILC)
sur le réseau (session 0 à session 4). Après le démarrage de l’interpréteur
de commandes d’exécution, le délai d’attente de la session d’interface de
ligne de commande revient à sa valeur par défaut de 10 minutes.

Précisez le nombre de fois qu’il est possible d’authentifier de nouveau

un client sur le serveur. La valeur par défaut est 3 dans un éventail de 0 à 5.
Par exemple, un utilisateur peut définir à trois reprises un temps d’attente de
dix minutes avant que la session ne prenne fin.

Si vous souhaitez éviter des connexions non SSH, ajoutez la commande

transport input ssh en mode de configuration de ligne afin de limiter le
commutateur aux connexions SSH uniquement. Les connexions Telnet
directes (non SSH) sont rejetées.
Menaces fréquentes en termes de sécurité
Inondation d’adresses MAC

la table d’adresses MAC (Rappel) :

est le composant qui renferme les adresses MAC d’un port physique donné
du commutateur, ainsi que les paramètres de réseau local virtuel associés à
chacune.
Quand un commutateur de couche 2 reçoit une trame, il recherche
l’adresse MAC de destination dans la table d’adresses MAC.
Si aucune adresse MAC n’existe, le commutateur agit en tant que
concentrateur et transmet la trame à chacun des autres ports du
commutateur.
Pour bien comprendre comment les attaques par dépassement de
table d’adresses MAC fonctionnent, il faut savoir que la taille des tables
d’adresses MAC est limitée. L’inondation MAC profite de cette limite pour
submerger le commutateur de fausses adresses MAC source jusqu’à ce que
la table d’adresses MAC de ce dernier soit saturée. Le commutateur passe
alors en mode fail-open, commence à agir en qualité de hub (concentrateur)
et diffuse des paquets à tous les ordinateurs du réseau. La personne
malveillante peut alors voir toutes les trames transmises de l’hôte attaqué
vers un autre hôte sans une entrée de la table d’adresses MAC.

L’inondation MAC est réalisable au moyen d’un outil d’attaque réseau.

Le pirate utilise l’outil d’attaque sur le réseau pour inonder le commutateur
d’un nombre important d’adresses MAC jusqu’à ce que la table
d’adresses MAC se remplisse. Certains outils d’attaque réseau peuvent
produire 155 000 entrées MAC par minute sur un commutateur.

Impact :
Sur une courte période de temps, la table d’adresses MAC du commutateur
se remplit jusqu’à ce qu’elle ne puisse plus accepter de nouvelles entrées.
Lorsque la table d’adresses MAC est remplie d’adresses MAC source
incorrectes, le commutateur commence à transmettre toutes les trames qu’il
reçoit à chaque port.

Attaques par mystification

Une des possibilités pour une personne malveillante d’accéder au trafic
réseau est de s’approprier les réponses envoyées par un serveur DHCP
autorisé sur le réseau.

Un autre type d’attaque DHCP est l’attaque par insuffisance de

ressources DHCP. Le PC pirate demande en permanence des adresses IP
auprès d’un véritable serveur DHCP en modifiant leurs adresses MAC source.
Si ce type d’attaque DHCP réussit, tous les baux stockés sur le véritable
serveur DHCP sont alloués, empêchant ainsi les véritables utilisateurs
(clients DHCP) de se procurer une adresse IP.

Pour empêcher toute attaque DHCP, faites appel aux fonctions de sécurité
des ports et de surveillance DHCP disponibles sur les commutateurs
Cisco Catalyst.

Fonctions de sécurité des ports et de

surveillance DHCP de Cisco Catalyst
La surveillance DHCP détermine quels ports du commutateur sont en mesure
de répondre aux requêtes DHCP. Les ports sont identifiés comme étant
fiables et non fiables. Les ports fiables peuvent authentifier la source de tous
les messages. non fiable tente de transmettre un paquet de requêtes DHCP
sur le réseau, le port est fermé.

Attaques CDP
CDP étant un protocole de la couche 2, il n’est pas propagé par les routeurs.

CDP renferme des informations sur le périphérique, notamment son

adresse IP, la version du logiciel, la plateforme, les fonctions et le réseau
local virtuel natif. Si ces informations sont mises à la disposition d’un pirate,
ce dernier peut les exploiter pour attaquer votre réseau, généralement sous
la forme d’une attaque par déni de service (DoS).
Attaques Telnet

Outils relatifs à la sécurité

Les outils d’audit de sécurité réseau vous permettent d’inonder la table MAC
de fausses adresses MAC. Vous pouvez ensuite soumettre à un audit les ports
du commutateur à mesure que ce dernier commence à diffuser le trafic sur
tous les ports et que les mappages d’adresses MAC légitimes deviennent
obsolètes et sont remplacés par d’autres faux mappages d’adresses MAC.
Vous pouvez ainsi déterminer quels ports sont compromis et n’ont pas été
corrigés pour empêcher ce type d’attaque.
Il y a violation de la sécurité lorsque l’une des
situations suivantes se présente :
 - Le nombre maximal d’adresses MAC sécurisées a été ajouté dans la
table d’adresses et une station dont l’adresse MAC ne figure pas dans
cette table tente d’accéder à l’interface.

- Une adresse assimilée ou configurée dans une interface sécurisée est

visible sur une autre interface sécurisée dans le même réseau local
virtuel.

Mode de violation et action à entreprendre

protect : lorsque le nombre d’adresses MAC sécurisées atteint la limite

autorisée sur le port, des paquets munis d’adresses sources inconnues sont
ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC
sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Aucun
message de notification ne vous est adressé en cas de violation de la
sécurité.

restrict : lorsque le nombre d’adresses MAC sécurisées atteint la limite

autorisée sur le port, des paquets munis d’adresses sources inconnues sont
ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC
sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Ce
mode vous permet d’être informé si une violation de la sécurité est
constatée. Dans ce cas, une interruption SNMP est transmise, un message
syslog est consigné et le compteur de violation est incrémenté.

shutdown : si vous optez pour ce mode, toute violation de sécurité de port

entraîne immédiatement la désactivation de l’enregistrement des erreurs
dans l’interface et celle de la LED du port. Une interruption SNMP est
également transmise, un message syslog est consigné et le compteur de
violation est incrémenté. Lorsqu’un port sécurisé opère en mode de
désactivation des erreurs, vous pouvez annuler cet état par simple saisie des
commandes de configuration d’interface shutdown et no shutdown. Il s’agit
du mode par défaut.

Sécurité des ports (configuration)

Ports dynamique :

Ports rémanents :