Modélisation Hiérarchique du Réseau

F. Nolot ©2009 1
 Modélisation Hiérarchique du Réseau

Pourquoi et comment hiérarchiser ?

F. Nolot ©2009 2
Construire un réseaux ?

•  Un réseau n'est pas la simple accumulation de switch et routeur !

•  Il faut l'organiser, le hiérarchiser
–  Pour simplifier son administration
–  Pour isoler rapidement les problèmes
–  Pour rendre modulable le réseau et pour pouvoir facilement l'agrandir
•  Un réseau d'entreprise est donc découpé suivant un modèle en 3 couches
–  Access Layer
–  Distribution Layer
–  Core Layer
•  Chaque couche va avoir des fonctionnalités particulières

F. Nolot ©2009 3
Access Layer

F. Nolot ©2009 4
Distribution Layer

F. Nolot ©2009 5
Rôle du la Distribution Layer

•  De limiter les zones de broadcast

•  Router les données entre VLAN
•  Eviter certaines données de transiter vers certains VLAN

F. Nolot ©2009 6
Core Layer

•  C'est le backbone du réseau

•  Doit transférer les données le plus rapidement possible
•  Apporte la connexion à Internet ou aux autres réseaux de la société via un MAN ou WAN

F. Nolot ©2009 7
Représentation physique

•  Généralement, une salle de brassage par étage

•  Serveur dans une salle spécialisée
•  Tous les étages reliés au core layer

F. Nolot ©2009 8
Avantages d'une architecture hiérarchique

•  Scalabilité
–  Pouvoir faire des agrandissements du réseau simplement
•  Redondance
–  Les services doivent être opérationnel 24/24
–  Exemple : pour la ToIP , on doit avoir une fiabilité de 99,999%, soit 5 min par an d'interruption de
service. Fiabilité que nous avons en téléphonique classique
•  Performance
–  Eviter des goulots d'étranglement
•  Sécurité
–  Sécurisation des données et des accès au plus près de la source
•  Administration simplifiée
•  Maintenance facilité en raison de la modularité du réseau

F. Nolot ©2009 9
Vocabulaire

•  Diamètre : c'est la distance la plus grande des distances parmi le chemin le plus courte
entre les 2 équipements

F. Nolot ©2009 10
Vocabulaire

•  Agrégation de liens : mise en commun de plusieurs liens reliant les mêmes équipements
afin d'augmenter le débit entre ces 2 équipements
–  Avec 2 liens 100 Mb/s entre 2 équipements, on peut alors créer une liaison 200 Mb/s

F. Nolot ©2009 11
Vocabulaire

•  Redondance

F. Nolot ©2009 12
 Hierarchical Network Model

Introduction aux réseaux convergents

F. Nolot ©2009 13
La convergence ?

•  Utiliser le réseau data pour la voix

•  Ouverture vers de nouveaux usages
–  Communication vocale + envoie de document sur un ordinateur
–  Interconnexion du téléphone et de l'ordinateur
•  Actuellement 3 réseaux
–  La voix (le téléphone)
–  La vidéo (vidéo-surveillance par exemple)
–  Les données

F. Nolot ©2009 14
Hierarchical Network Model

Choisir les équipements ?

F. Nolot ©2009 15
Évaluation des besoins

•  Pour faire le choix d'un équipement, vous avez besoin de connaître au moins :
–  La destination des informations
–  L'ensemble des utilisateurs concernés
–  Les serveurs
–  Les serveurs de stockage
•  Analyse du trafic
–  Charge CPU utilisé
–  Taux de packet perdu
–  Quantité de mémoire utilisée
–  Temps moyen de traitement
•  Les outils
–  De très nombres outils existent
•  Libre : Cacti, Nagios, Centreon, ...
•  Commerciaux : Solarwinds NetFlow, IBM Tivoli, CiscoWorks, HP Openview
F. Nolot ©2009 16
Communautés d'utilisateurs

•  Localisation des communautés d'utilisateurs pour regrouper leur connexion

–  Assez souvent les utilisateurs ayant les mêmes rôles travaillent aux mêmes endroits
•  Prévoir des agrandissements éventuels
•  Connaître leurs usages pour placer au mieux les serveurs
–  Modèle client-serveur : les clients envoient régulièrement leur donnée vers le serveur
–  Modèle serveur à serveur : échange d'info, sauvegarde ou stockage
•  Il faut donc optimiser les connexions des clients et des serveur sur les switchs afin
d'« équilibrer » les bandes passantes

F. Nolot ©2009 17
Les switchs existants

•  Switches avec un nombre de ports

fixe (24 ou 48 ports)
•  Switches modulable, en chassis
sur lesquel on peut ajouter des
cartes de plusieurs de ports
•  Stackable Switches : relie les
switch entre-eux avec un câble
spécial. Solution financièrement
intermédiaire entre l'achat d'un
switch à nombre de port fixe et le
chassis

F. Nolot ©2009 18
Les fonctionnalités

•  Autres critères de choix : la densité, le débit ou l'agrégation des bandes passantes

•  La densité : le nombre de port par switch : 24 ou 48 avec ou sans connecteur spécifique
pour les uplink. Un chassis peut avoir jusque 1000 ports
•  Le débit : quels doivent être les débits de chaque port : 100 Mb/s, 1 Gb/s ou plus ?
–  Un switch 48 ports à 1 Gb/s devra pouvoir gérer 48 Gb/s au total. En access layer, pas forcément
besoin d'une tel bande passante car limitation sur l'uplink
•  L'agrégation de liens : peut être une solution pour augmenter le débit entre 2 équipements

F. Nolot ©2009 19
Et pour la convergence ?

•  Une fonctionnalité nouvelle : le PoE (Power Over Ethernet)

•  Avec l'apparition des téléphones IP et des bornes sans fil, il est apparu le PoE pour pouvoir
alimenter électriquement les équipements via le câble Ethernet

F. Nolot ©2009 20
Fonctionnalités Couche 3

F. Nolot ©2009 21
Fonctions de l'Access Layer

F. Nolot ©2009 22
Fonction de la Distribution Layer

F. Nolot ©2009 23
Fonctions du Core Layer

F. Nolot ©2009 24
Conclusion

•  Un réseaux doit donc être hiérarchisé

•  Une étude des rôles et des usages des utilisateurs doit être faite
•  Décider quels types de switchs il faut avoir : fixe, modulaire ou stackable
•  Forte ou faible densité, quel débit par port, agrégation de liens envisagé ou pas ?
•  Besoin ou pas du PoE ?

F. Nolot ©2009 25
 Concepts de la commutation, IOS et sécurité

F. Nolot ©2009 26
 Concepts de la commutation, IOS et sécurité

Les réseaux Ethernet et 802.3

F. Nolot ©2009 27
Fonctionnement

•  CSMA/CD
–  Sur réseau half-duplex, la technologie Carrier Sense Multiple Access/Collision Detect (CSMA/CD) est
utilisée
–  Les réseaux full-duplex n'utilisent pas cette technologie
•  Carrier Sense
–  Avant de transmettre, les devices du réseau doivent écouter avant de transmettre
–  Si un signal est détecté, la transmission est mise en attente
–  Pendant une transmission, le device continue à faire son écoute afin de savoir si une collision a lieu
•  Multi-access
–  Plusieurs devices utilisent le même média de communication. Une émission peut donc avoir lieu et
pendant ce temps, comme le signal va mettre un certain temps à parcourir le média de communication,
un autre device peut se mettre à faire une transmission
•  Collision Detect
–  Détection de collision (= sur-tension) permet de détecter un problème de transmission
–  En cas de collision, tous les devices vont exécuter le backoff algorithm : arrêter leur transmission et
attendre un temps aléatoire avant de recommencer, le temps que la collision disparaisse

F. Nolot ©2009 28
Mode de communication Ethernet

•  Sur un réseaux commuté, 3 modes de communication

–  Unicast
•  Un datagramme (ou trame) d'un émetteur à destination d'un unique device
–  Broadcast
•  Un datagramme d'un émetteur à destination de tous les devices connectés. Exemple
d'utilisation : les requêtes ARP pour connaître l'adresse Ethernet d'un device qui répond à une
adresse IP donnée
–  Multicast
•  Un datagramme d'un émetteur à destination d'un ensemble de devices qui forment un groupe
logique. Exemple : diffusion d'un vidéo à quelques devices uniquement.

F. Nolot ©2009 29
Format de la trame IEEE 802.3

F. Nolot ©2009 30
L'adresse MAC

F. Nolot ©2009 31
Half ou Full Duplex

•  Half-Duplex
–  Communication unidirectionnelle
–  Forte probabilité de collision
–  Mode de connectivité d'un hub
•  Full Duplex
–  Communication bidirectionnelle en point à point
–  Très faible probabilité de collision
–  Collision Detect est désactivé
•  Les switchs peuvent, soit négocier le mode de duplex (fonctionnement par défaut), soit le
fixer
•  Il est également possible de faire du auto-MDIX pour croiser ou décroiser automatiquement
les connexions (reconnaissance automatique du type de câble)

F. Nolot ©2009 32
Table Mac

•  Apprentissage des adresses MAC source des trames qui passent

•  Si une trame de broadcast arrive sur un switch, elle est retransmise sur tous ses ports, à
l'exception du port de la source
•  Si une trame dont la MAC de destination est connu par le switch, il envoie alors cette trame
sur le port correspondant
–  Sinon, il broadcast la trame sur tous ses ports, à l'exception du port source

F. Nolot ©2009 33
Bande passante et débit

•  Sur un réseau commuté, les collisions ne peuvent avoir lieu que sur le lien entre le switch et
le device (connexion de type point à point)
•  On parle de domaine de collision
–  Un domaine de collision est la zone dans laquelle une collision peut avoir lieu. Sur un switch, nous
avons un domaine de collision par port. Le switch réduit les domaines de collision
•  Entre chaque device, nous avons donc la totalité de la bande passante disponible
–  Sur un hub, la bande passante est divisée par le nombre de device de connecté dessus.

F. Nolot ©2009 34
Domaine de broadcast

•  C'est la zone dans laquelle va se propager une trame de broadcast

•  Sur un switch, le broadcast est diffusé sur tous ses ports.
•  Seul un device de couche 3 comme un router ou la mise en place de Virtual LAN (VLAN)
peut arrêter une trame de broadcast

F. Nolot ©2009 35
La latence

•  C'est le temps d'acheminement d'une trame ou packet d'une source vers une destination
•  La latence est induite par au moins 3 éléments
–  La carte réseaux qui va transformer le signal numérique en signal électrique (ou optique)
–  Le câble de transmission. Sur un câble Cat 5 UTP de 100m, il faut environ 0,556 micro secondes
pour parcourir le câble
–  Chaque device qui se trouve sur le chemin entre la source et la destination
•  Chaque device va avoir induire une latence différente
–  Un router doit analyser la trame jusque la couche 3, cela prend donc plus de temps
–  Un switch fait son analyse uniquement sur la couche 2 et possède des ASIC (application-specific
integrated circuits) pour fournir des temps de traitements plus court

F. Nolot ©2009 36
La congestion

•  Segmenter un réseau permet d'augmenter la bande passante entre les devices

•  Sinon, nous obtenons des congestions (ou goulot d'étranglement)
•  Les causes de ces congestions
–  L'augmentation des vitesses des ordinateurs et cartes réseaux
–  L'augmentation du volume d'informations que l'on envoie sur le réseau
–  Les applications qui sont de plus en plus complexes et utilisent de plus en plus des technologies de
collaboration ou des contenus dit riches (vidéo, animation, ...)

F. Nolot ©2009 37
Intérêt de la segmentation

F. Nolot ©2009 38
Intérêt de la segmentation – domaines de collision

F. Nolot ©2009 39
Intérêt de la segmentation – domaines de broadcast

F. Nolot ©2009 40
Un réseau efficace

•  Un switch 48 ports 1Gb/s doit avoir une bande passante internet de 96 Gb/s (Full-duplex)
•  Suppression de goulot d'étranglement
–  Soit 6 PC et un serveur avec des connexions 1 Gb/s

F. Nolot ©2009 41
 Concepts de la commutation, IOS et sécurité

Le fonctionnement des switchs

F. Nolot ©2009 42
Mode de commutation

•  2 variantes dans le cut-through

–  Fast-fordwarding : regarde que la MAC destination
–  Fragment-free :sotckage des 64 premiers octets avant transmission car il s'avère que la plupart des
erreurs de transmission ont lieu pendant la trasmission de ces 64 premier bits

F. Nolot ©2009 43
La gestion mémoire

F. Nolot ©2009 44
Switching niveau 2 et 3 ?

F. Nolot ©2009 45
 Concepts de la commutation, IOS et sécurité

Les bases de l'IOS

F. Nolot ©2009 46
Le modes en résumé

F. Nolot ©2009 47
Configuration de base

•  Cable console entre l'équipement et le PC

•  Configuration de votre outil de communication série
–  9600 bit/s, data bits 8, Parity None, Stop bits 1
–  On parle généralement du config en 9600,8,N,1

F. Nolot ©2009 48
Configuration de base

F. Nolot ©2009 49
Configuration de base

F. Nolot ©2009 50
Configuration de base

F. Nolot ©2009 51
Vérification d'une configuration

F. Nolot ©2009 52
Configuration de l'interface Web

F. Nolot ©2009 53
Backup de configuration

•  Également possible de faire des sauvegarde (ou restauration) via TFTP

F. Nolot ©2009 54
 Concepts de la commutation, IOS et sécurité

La sécurisation d'un switch

F. Nolot ©2009 55
Mot de passe sur la console

F. Nolot ©2009 56
Mot de passe sur les connexions Virtuelles

•  Cela correspond au connexion telnet

F. Nolot ©2009 57
Sécurisation du mode enable

•  Enable password : mot de passe stocké en clair dans le fichier running-config

–  Si le service password-encryption n'est pas activé
•  Enable secret : mot de passe stocké de façon crypté dans le fichier running-config

F. Nolot ©2009 58
Restauration du mot de passe enable

•  Sur un switch 2960

–  Connexion au port console et éteindre le switch
–  Rebrancher le switch et rester appuyer sur le bouton Mode jusqu'à ce que le System LED soit
orange puis vert fixe (et plus de clignotement)
–  Taper :
•  flash_init
•  load_helper
•  Renommer ou supprimer le fichier flash:config.text ou startup-config
•  Boot
•  Suivant les modèles la procédure peut changer mais le principe reste toujours le même :
supprimer ou renommer le fichier de configuration lu au démarrage et donc stocké dans la
flash

F. Nolot ©2009 59
Banner et MOTD

•  Pour afficher un message à chaque personne qui se connecter sur l'équipement

–  banner login "...."
•  Pour afficher un Message Of The Day (MOTD) (afficher avant le banner login)
–  Banner motd "…"

F. Nolot ©2009 60
Access telnet et ssh

•  Telnet : transmission en clair

•  SSH : création d'un tunnel crypté entre la source et la destination
•  Sur les line vty
–  transport input telnet
–  Ou
–  transport input ssh
–  Ou
–  transport input all
•  Pour activer l'accès ssh, il faut en plus faire
–  hostname ...
–  ip domain-name ....
–  Crypto key generate rsa
–  ip ssh version 2
•  Attention : pour pouvoir utiliser ssh version 2, il faudra générer une clé RSA >= 768 bits. Par
défaut, les clés sont de 512 bits. Recommandé de choisir des clés multiple de 1024.

F. Nolot ©2009 61
MAC Flooding ?

•  Une attaque classique sur les switchs : saturation de sa table MAC

•  Quand le switch ne connait pas la MAC destination, il fait du broadcast
•  Quand la table MAC est pleine, le switch va donc faire du broadcast pour chaque trame

F. Nolot ©2009 62
Attaque type spoofing

•  C'est de l'usurpation d'identité

•  Peut-être fait avec un serveur DHCP non légitime sur le réseau
–  Ainsi, on connait parfaitement l'IP et la passerelle que l'on attribue à un client
–  Désactivation du serveur DHCP légitime en lui demandant toutes les IP possibles et on lui fait
croire qu'elles sont toutes utilisées
•  Solution : DHCP Snooping
–  Configurable sur les switchs
–  On définit les ports légitimes aux réponses des DHCP Request
–  Configuration
•  ip dhcp snooping
•  ip dhcp snooping vlan number
•  Sur le port légitime ou illégitime : ip dhcp snooping trust

F. Nolot ©2009 63
Autres attaques classiques

•  Récupération d'informations via CDP

–  Découverte des versions de l'IOS et autres informations via CDP car protocole de couche 2 et
information en clair
–  Conseil : désactiver CDP
•  Telnet
–  Attaque par brute force et protocole non sécurisé
–  Conseil : utiliser à la place de telnet plutôt ssh
•  Recommandation générale : vérifier et tester régulièrement la sécurité de votre réseau et
des accès à vos équipements

F. Nolot ©2009 64
Sécuriser l'accès aux ports

•  Pour éviter que n'importe qui se connecte sur les port d'un switch, il est possible de faire un contrôle sur les adresses
MAC des machines connectées sur chaque port
•  Pour activer cette sécurité sur l'interface concernée :
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
•  Définition des adresses MAC autorisées sur un port
–  Adresse MAC fixée
Switch(config-if)# switchport port-security mac-address 0123.4567.1423.7890
–  Ou apprentissage de l'adresse MAC (source) de la première trame qui traversera le ports
Switch(config-if)# switchport port-security mac-address sticky
–  Après apprentissage, l'adresse sera dans le running-config comme une adresse fixée
•  Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre
Switch(config-if)# switchport port-security maximum nombre

F. Nolot ©2009 65
Politique de sécurité

•  Plusieurs politiques de sécurité peuvent être envisagées en cas de violation

•  Soit on bloque définitivement le port lors d'une usurpation d'adresse MAC
Switch(config-if)# switchport port-security violation shutdown
•  Soit on bloque toutes les trames avec des adresses MAC inconnus et on laisse passer les autres
Switch(config-if)# switchport port-security violation protect
•  Soit un message dans le syslog et via SNMP sont envoyés. De plus le compteur du nombre de violation est
incrémenté.
Switch(config-if)# switchport port-security violation restrict
•  Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité faire un shutdown suivi d'un no
shutdown
•  Recommandation : désactiver manuellement tous les ports non utilisés

F. Nolot ©2009 66
Information sur les @ MAC et l'état d'un port

•  Pour visualiser la politique de sécurité d'une interface

Switch# show port-security interface ...

•  Pour visualiser les adresses MAC connues sur les ports

Switch# show port-security address

Switch#show port-security interface FastEthernet 0/4

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 1 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
Switch#
00:02:35: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,
caused by MAC address 02e0.4c39.37dd on port FastEthernet 0/4

F. Nolot ©2009 67
Résumé du port Security

F. Nolot ©2009 68
 Concepts de la commutation, IOS et sécurité

Questions ?

F. Nolot ©2009 69