Configuration de

commutateur de
base requis pour la
sécurisation des
ports

Équipe Pédagogique Informatique@ UVCI 2019

Janvier 2019
Version 1.0
 Table des
matières

I - Objectifs 3

II - Gestion du commutateur à distance 4

1. Préparation et configuration de l'accès à la gestion du commutateur .......................................... 4

2. Configuration de l'accès à la gestion des commutateurs à base d'IPv4 ........................................ 5

3. Exercice ......................................................................................................................................... 7

III - Sécurisation des ports 8

1. Gestion des ports ......................................................................................................................... 8

2. Le protocole SSH(Secure Shell) .................................................................................................... 9

3. Sécurité des ports inutilisés ........................................................................................................ 10

4. Exercice ....................................................................................................................................... 11

IV - Solutions des exercices 13

 Objectifs

À la fin de cette leçon, vous serez capable de :

Configurer l'accès à la gestion du commutateur de base à l'aide d'IPv4
Configurer les ports de commutateur au niveau de la couche physique
Configurer et Expliquer le fonctionnement de SSH

3
 Gestion du commutateur à distance

Gestion du
commutateur à I
distance

Objectifs
Configurer l'accès à la gestion du commutateur de base à l'aide d'IPv4

Aujourd'hui la marché des outils réseaux et sécurités sont dominés par les équipements de la marque
Cisco et Huawei. Dans cette ECUE, toute nos configurations seront fait avec les équipements Cisco.

1. Préparation et configuration de l'accès à la gestion du

commutateur
Préparation à la gestion du commutateur

Pour préparer l'accès à la gestion à distance d'un commutateur, il est nécessaire de configurer une
adresse IP et un masque de sous-réseau sur le commutateur.
Dans la figure 1, l'interface virtuelle du commutateur (SVI) sur S1 doit se voir attribuer une adresse
IP. Une interface SVI est une interface virtuelle, et non un port physique du commutateur.

Figure 1 : Interface SVI

Une interface SVI est une interface virtuelle, et non un port physique du commutateur. Une interface

4
 Gestion du commutateur à distance

SVI est un concept relatif aux VLAN (Virtual Local Area Network).
Un câble console est utilisé pour connecter un ordinateur au port de console d'un commutateur, à
des fins de configuration.
Pour gérer le commutateur à distance, le commutateur doit d'abord être configuré via le port.

Remarque : Rôle des paramètres d'accès au commutateur

Notez que l'adresse IP et le Masque sont uniquement utilisés pour l'accès à la gestion à distance du
commutateur. Ces paramètres ne permettent pas au commutateur de router des paquets de couche 3.

2. Configuration de l'accès à la gestion des commutateurs à

base d'IPv4
Configuration de l'interface de gestion

Une adresse IPv4 et un masque de sous-réseau sont configurés sur l'interface SVI de gestion du
commutateur en mode de configuration d'interface du VLAN.
Pour passer en mode de configuration d'interface du commutateur, la commande est : interface vlan
99. La commande qui permet de configurer l'adresse IPv4 est ip address. La commande qui permet
d'activer l'interface est no shutdown.

Passer en mode de configuration globale S1#configure terminal

Passer en mode de configuration d'interface S1(config)#interface vlan 99

pour SVI

Configurer l'adresse IP de l'interface de gestion S1(config-if)#ip address 172.17.99.11

255.255.255.0

Activer l'interface de gestion S1(config-if)#no shutdown

Repasser en mode d'exécution privilégié S1(config-if)#end

Enregistrer la configuration courante dans la S1#copy running-config startup-config

configuration de base

Commandes de commutateurs Cisco S1

L'interface SVI du VLAN 99 n'est activé qu'une fois le VLAN 99 créé et qu'un périphérique est
connecté à un port de commutateur associé au VLAN 99. Pour créer un VLAN avec un vlan_id de
99, et pour l'associer à une interface, exécutez les commandes suivantes conformément à la figure 1 :
S1(config)# vlan vlan_id
S1(config-vlan)# name vlan_name
S1(config-vlan)# exit
S1(config)# interface interface_id
S1(config-if)# switchport access vlan vlan_id

Configuration de la passerelle par défaut

Le commutateur doit être configuré avec une passerelle par défaut s'il doit être géré à distance depuis
des réseaux connectés indirectement. La passerelle par défaut est l'interface du routeur auquel le
commutateur est connecté. Le commutateur transmettra à la passerelle par défaut ses paquets IP
ayant des adresses IP de destination en dehors du réseau local.
Pour configurer la passerelle par défaut du commutateur, la commande à utiliser est  : ip
default-gateway. Cette commande est suivie de l'adresse IPv4 de la passerelle par défaut.

5
 Gestion du commutateur à distance

La passerelle par défaut est l'adresse IPv4 de l'interface du routeur à laquelle le commutateur est
connecté. La configuration de la passerelle par défaut est réalisée comme suit :
S1(config)#ip default-gateway 172.17.99.1

Vérification de la configuration

la commande show ip interface brief est utile pour la détermination de l'état des interfaces physique
et virtuelle.

Communication bidirectionnelle

Deux modes de communication existent avec le commutateurs : les communications bidirectionnelles

simultanées et
non simultanées
comme le montre la figure 4 ci-dessous.

Figure 4 : Modes de communication des commutateurs

6
 Gestion du commutateur à distance

3. Exercice
[Solution n°1 p 13]

Exercice : Exercice 1
Configurer l'interface de gestion du commutateur S1 dont l'adresse IP est 172.17.99.2 et le masque
est 255.255.255.0 sans oublier d'activer l'interface et d'enregistrer la configuration courante.
1. Passez en mode configuration de l'interface
S1(config)#interface vlan 99
2. Configurer l'adresse IP de l'interface de gestion
S1(config-if)#ip address 172.17.99.2 255.255.255.0
3. Activation de l'interface
S1(config-if)#no shutdown
4. Sauvegarde de la configuration courante
S1(config-if)#end
S1#copy running-config startup-config

7
 Sécurisation des ports

Sécurisation des ports

II
Objectifs
Configurer les ports de commutateur au niveau de la couche physique
Configurer et Expliquer le fonctionnement de SSH

1. Gestion des ports

Configuration des ports de commutateur

Les ports de commutateur peuvent être configurés manuellement avec des paramètres de
bidirectionnalité et de vitesse spécifiques.
la commande duplex du mode de configuration d'interface est utilisée pour spécifier manuellement le
mode de bidirectionnalité d'un port de commutateur.
la commande speed du mode de configuration d'interface est utilisée pour spécifier manuellement la
vitesse d'un port de commutateur

Auto-MDX

Pour connecter certains périphériques, jusqu'à présent, les câbles utilisés sont des câbles droits ou
croisées. La fonction Auto-MDX, lorsqu'elle est activée, permet à une interface de détecter
automatiquement, le type de câble requis (droit, croisé) pour la connexion et se charge de la

8
 Sécurisation des ports

configurer en conséquence.
Pour la connexion aux commutateurs, lorsqu'on ne veut pas utiliser la fonctionnalité Auto-MDIX,
des câbles droits doivent être utilisés pour connecter des périphériques tels que des serveurs, des
stations de travail ou des routeurs.
Des câbles croisés doivent être utilisés pour se connecter à d'autres commutateurs ou à des répéteurs.
Le type de câble utilisé n'a plus d'importance lorsque la fonction Auto-MDIX est activée car
l'interface s'adapte et fait en sorte d'assurer la communication.
Pour la configuration de la fonction Auto-MDX sur les commutateurs Cisco les plus récents, la
commande du mode de configuration d'interface est : mdix auto. Cette commande permet d'activer la
fonctionnalité Auto-MDX sur les commutateurs.

Figure 6 : Configuration Auto-MDX

Remarque : Fonctionnalité auto-MDIX

Lorsque la fonctionnalité auto-MDIX est utilisée sur une interface, la vitesse de l'interface et le mode
de bidirectionnalité doivent être réglés sur auto pour un fonctionnement correct.

Remarque : La Fonction auto-MDX

La fonctionnalité auto-MDIX est activée par défaut sur les commutateurs Cisco Catalyst 2960 et
3560, mais n'est pas disponible sur les anciens commutateurs Cisco Catalyst 2950 et 3550.

2. Le protocole SSH(Secure Shell)

Fonctionnement de SSH

Secure Shell (SSH) est un protocole qui permet d'établir une connexion sécurisée (chiffrée) pour la
gestion des périphériques distants.
Le protocole SSH permet de sécuriser les connexions distantes grâce à une méthode de chiffrement
fort pour l'authentification des périphériques (nom d'utilisateur et mot de passe), mais également
pour la transmission des données entre les périphériques de communication. SSH est attribué au port
TCP 22.

9
 Sécurisation des ports

Configuration de SSH

Avant de passer à la configuration de SSH, le commutateur doit au moins être configuré avec un nom
d'hôte unique et avec les paramètres de connectivité réseau adéquats.
La configuration de SSH nécessite plusieurs étapes :
Vérification de la prise en charge du protocole SSH  : la commande show ip ssh permet de
vérifier que le commutateur prend en charge SSH. Si le commutateur ne prend pas en compte
SSH, cette commande ne sera pas reconnue.
Configuration du domaine IP : La configuration du nom de domaine IP du réseau se fait à
l'aide de la commande ip domain-name nom_du_domaine en mode de configuration globale.
Génération des paires de clés RSA  : La génération d'une paire de clés RSA active
automatiquement SSH. La commande de mode de configuration globale crypto key generate
rsa est utilisée pour activer le serveur SSH sur le commutateur et pour générer une paire de
clés RSA. Toutes les versions de l'IOS utilisent par défaut SSH version 2.
Configuration de l'authentification utilisateur  : Le serveur SSH peut authentifier les
utilisateurs localement ou avoir recours à un serveur d'authentification. Pour utiliser la
méthode d'authentification locale, il faut créez un nom d'utilisateur et un mot de passe en
utilisant la commande  : username nom_utilisateur secret mot_passe, en mode de
configuration globale.
Configuration des lignes vty : Pour activez le protocole SSH sur les lignes vty, il faut utiliser la
commande de mode de configuration de ligne transport input ssh. Cette configuration permet
d'interdire toute connexion autre que SSH. Pour exiger l'authentification locale des connexions
SSH provenant d'une base de données de noms d'utilisateur locale, il faut utiliser la commande
de mode de configuration globale line vty, puis la commande de mode de configuration de ligne
login local .
Activation de SSH version 2  : Pour la configuration de SSH version 2, il faut exécuter la
commande du mode de configuration globale ip ssh version 2.

3. Sécurité des ports inutilisés

Désactivation des ports inutilisés

Pour mieux protéger un réseau contre tout accès non autorisé, une méthode simple est de désactiver
tous les ports qui ne sont pas exploités sur un commutateur.
Si un commutateur Cisco Catalyst 2960 est doté de 24 ports et si trois connexions Fast Ethernet sont
utilisées, il est conseillé de désactiver les 21 ports inutilisés. Pour ce faire, en mode configuration
d'interface, accédez à chaque port inutilisé et exécutez la commande Cisco shutdown. Si plus tard, un
port doit être réactivé, il peut être activé à l'aide de la commande no shutdown.
Le processus de désactivation et d'activation des ports renforce la sécurité sur le réseau et en vaut
vraiment la peine.

Sécurité des ports : fonctionnement

La sécurité des ports restreint le nombre d'adresses MAC autorisées sur un port. La sécurité des
ports peut être configurée pour autoriser une ou plusieurs adresses MAC. Si le nombre d'adresses
MAC autorisées sur un port est limité à un, seul le périphérique disposant de cette adresse MAC
spécifique peut se connecter au port.
Si un port est sécurisé et si le nombre maximum d'adresses MAC est atteint pour ce port, toute
tentative de connexion supplémentaire réalisée depuis une adresse MAC inconnue générera une
violation de sécurité.

Sécurité des ports : Adresse MAC

Il existe plusieurs façons de configurer la sécurité des ports. Le type d'adresse sécurisée est basé sur la
configuration et peut être l'un des types suivants :

10
 Sécurisation des ports

Adresses MAC sécurisées statiques : Ces adresses MAC sont configurées manuellement sur un
port à l'aide de la commande switchport port-security mac-address Adresse_MAC en mode de
configuration d'interface.
Adresses MAC sécurisées dynamiques : Ces adresses MAC sont apprises de manière
dynamique
Adresses MAC sécurisées rémanentes : Adresses MAC pouvant être apprises de manière
dynamique ou configurées manuellement. Pour activer l'apprentissage rémanent sur une
interface, exécutez la commande de mode de configuration d'interface switchport port-security
mac-address sticky.

Remarque : Adresse MAC sécurisées rémanentes

Lorsque la commande de configuration est exécutée, le commutateur convertit toutes les adresses
MAC apprises de manière dynamique, y compris les adresses apprises avant l'activation de
l'apprentissage rémanent, en adresses MAC sécurisées rémanentes.

4. Exercice
[Solution n°2 p 13]

Exercice : Exercice 1
Vous devez entrer la commande exacte et complète.
1. Passez en mode de configuration globale sur S1
S1# configure terminal
S1(config)#
2. Définissez le mode de bidirectionalité sur bidirectionnel simultané et la vitesse sur 100 pour
l'interface Fa0/1 de S1
S1(config)# interface Fa0/1
S1(config-if)# duplex full
S1(config-if)# speed 100
S1(config-if)#
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config

11
 Sécurisation des ports

Exercice : Exercice 2
1. Passez en mode de configuration globale sur S1
S1# configure terminal
S1(config)#
2. Définissez, sur S2, les paramètres bidirectionnels pour l'interface Fa0/1, de la vitesse et de la
fonction auto-MDIX sur auto.
S1(config)# interface Fa0/1
S1(config-if)# duplex auto
S1(config-if)# speed auto
S1(config-if)# mdix auto
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config

Exercice : Exercice 3
1. Créer un utilisateur local appelé "admin" dont le mot de passe est "uvci"
S1(config)# username admin secret uvci
2. Paramétrez toutes les lignes pour utiliser SSH et un login local pour les connexions à distance. Les
lignes vont de 0 à 15 et se note 0 15
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)#
3. Passez en mode configuration globale
S1(config-line)# exit
S1(config)#
3. Configurer S1 pour utiliser SSH 2.0
S1(config)# ip ssh version 2

12
 Ressources annexes

Solutions des exercices

> Solution n°1 Exercice p. 7

Exercice 1
Configurer l'interface de gestion du commutateur S1 dont l'adresse IP est 172.17.99.2 et le masque
est 255.255.255.0 sans oublier d'activer l'interface et d'enregistrer la configuration courante.
1. Passez en mode configuration de l'interface
S1(config)#interface vlan 99
2. Configurer l'adresse IP de l'interface de gestion
S1(config-if)#ip address 172.17.99.2 255.255.255.0
3. Activation de l'interface
S1(config-if)#no shutdown
4. Sauvegarde de la configuration courante
S1(config-if)#end
S1#copy running-config startup-config

> Solution n°2 Exercice p. 11

Exercice 1
1. Passez en mode de configuration globale sur S1
S1# configure terminal
S1(config)#
2. Définissez le mode de bidirectionalité sur bidirectionnel simultané et la vitesse sur 100 pour
l'interface Fa0/1 de S1
S1(config)# interface Fa0/1
S1(config-if)# duplex full
S1(config-if)# speed 100
S1(config-if)#
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config

Exercice 2
1. Passez en mode de configuration globale sur S1
S1# configure terminal

13
 Solutions des exercices

S1(config)#
2. Définissez, sur S2, les paramètres bidirectionnels pour l'interface Fa0/1, de la vitesse et de la
fonction auto-MDIX sur auto.
S1(config)# interface Fa0/1
S1(config-if)# duplex auto
S1(config-if)# speed auto
S1(config-if)# mdix auto
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config

Exercice 3
1. Créer un utilisateur local appelé "admin" dont le mot de passe est "uvci"
S1(config)# username admin secret uvci
2. Paramétrez toutes les lignes pour utiliser SSH et un login local pour les connexions à distance. Les
lignes vont de 0 à 15 et se note 0 15
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)#
3. Passez en mode configuration globale
S1(config-line)# exit
S1(config)#
3. Configurer S1 pour utiliser SSH 2.0
S1(config)# ip ssh version 2

14