Académique Documents
Professionnel Documents
Culture Documents
commutateur de
base requis pour la
sécurisation des
ports
Janvier 2019
Version 1.0
Table des
matières
I - Objectifs 3
3. Exercice ......................................................................................................................................... 7
4. Exercice ....................................................................................................................................... 11
3
Gestion du commutateur à distance
Gestion du
commutateur à I
distance
Objectifs
Configurer l'accès à la gestion du commutateur de base à l'aide d'IPv4
Aujourd'hui la marché des outils réseaux et sécurités sont dominés par les équipements de la marque
Cisco et Huawei. Dans cette ECUE, toute nos configurations seront fait avec les équipements Cisco.
Pour préparer l'accès à la gestion à distance d'un commutateur, il est nécessaire de configurer une
adresse IP et un masque de sous-réseau sur le commutateur.
Dans la figure 1, l'interface virtuelle du commutateur (SVI) sur S1 doit se voir attribuer une adresse
IP. Une interface SVI est une interface virtuelle, et non un port physique du commutateur.
4
Gestion du commutateur à distance
SVI est un concept relatif aux VLAN (Virtual Local Area Network).
Un câble console est utilisé pour connecter un ordinateur au port de console d'un commutateur, à
des fins de configuration.
Pour gérer le commutateur à distance, le commutateur doit d'abord être configuré via le port.
Une adresse IPv4 et un masque de sous-réseau sont configurés sur l'interface SVI de gestion du
commutateur en mode de configuration d'interface du VLAN.
Pour passer en mode de configuration d'interface du commutateur, la commande est : interface vlan
99. La commande qui permet de configurer l'adresse IPv4 est ip address. La commande qui permet
d'activer l'interface est no shutdown.
L'interface SVI du VLAN 99 n'est activé qu'une fois le VLAN 99 créé et qu'un périphérique est
connecté à un port de commutateur associé au VLAN 99. Pour créer un VLAN avec un vlan_id de
99, et pour l'associer à une interface, exécutez les commandes suivantes conformément à la figure 1 :
S1(config)# vlan vlan_id
S1(config-vlan)# name vlan_name
S1(config-vlan)# exit
S1(config)# interface interface_id
S1(config-if)# switchport access vlan vlan_id
Le commutateur doit être configuré avec une passerelle par défaut s'il doit être géré à distance depuis
des réseaux connectés indirectement. La passerelle par défaut est l'interface du routeur auquel le
commutateur est connecté. Le commutateur transmettra à la passerelle par défaut ses paquets IP
ayant des adresses IP de destination en dehors du réseau local.
Pour configurer la passerelle par défaut du commutateur, la commande à utiliser est : ip
default-gateway. Cette commande est suivie de l'adresse IPv4 de la passerelle par défaut.
5
Gestion du commutateur à distance
La passerelle par défaut est l'adresse IPv4 de l'interface du routeur à laquelle le commutateur est
connecté. La configuration de la passerelle par défaut est réalisée comme suit :
S1(config)#ip default-gateway 172.17.99.1
Vérification de la configuration
la commande show ip interface brief est utile pour la détermination de l'état des interfaces physique
et virtuelle.
Communication bidirectionnelle
6
Gestion du commutateur à distance
3. Exercice
[Solution n°1 p 13]
Exercice : Exercice 1
Configurer l'interface de gestion du commutateur S1 dont l'adresse IP est 172.17.99.2 et le masque
est 255.255.255.0 sans oublier d'activer l'interface et d'enregistrer la configuration courante.
1. Passez en mode configuration de l'interface
S1(config)#interface vlan 99
2. Configurer l'adresse IP de l'interface de gestion
S1(config-if)#ip address 172.17.99.2 255.255.255.0
3. Activation de l'interface
S1(config-if)#no shutdown
4. Sauvegarde de la configuration courante
S1(config-if)#end
S1#copy running-config startup-config
7
Sécurisation des ports
Les ports de commutateur peuvent être configurés manuellement avec des paramètres de
bidirectionnalité et de vitesse spécifiques.
la commande duplex du mode de configuration d'interface est utilisée pour spécifier manuellement le
mode de bidirectionnalité d'un port de commutateur.
la commande speed du mode de configuration d'interface est utilisée pour spécifier manuellement la
vitesse d'un port de commutateur
Auto-MDX
Pour connecter certains périphériques, jusqu'à présent, les câbles utilisés sont des câbles droits ou
croisées. La fonction Auto-MDX, lorsqu'elle est activée, permet à une interface de détecter
automatiquement, le type de câble requis (droit, croisé) pour la connexion et se charge de la
8
Sécurisation des ports
configurer en conséquence.
Pour la connexion aux commutateurs, lorsqu'on ne veut pas utiliser la fonctionnalité Auto-MDIX,
des câbles droits doivent être utilisés pour connecter des périphériques tels que des serveurs, des
stations de travail ou des routeurs.
Des câbles croisés doivent être utilisés pour se connecter à d'autres commutateurs ou à des répéteurs.
Le type de câble utilisé n'a plus d'importance lorsque la fonction Auto-MDIX est activée car
l'interface s'adapte et fait en sorte d'assurer la communication.
Pour la configuration de la fonction Auto-MDX sur les commutateurs Cisco les plus récents, la
commande du mode de configuration d'interface est : mdix auto. Cette commande permet d'activer la
fonctionnalité Auto-MDX sur les commutateurs.
Secure Shell (SSH) est un protocole qui permet d'établir une connexion sécurisée (chiffrée) pour la
gestion des périphériques distants.
Le protocole SSH permet de sécuriser les connexions distantes grâce à une méthode de chiffrement
fort pour l'authentification des périphériques (nom d'utilisateur et mot de passe), mais également
pour la transmission des données entre les périphériques de communication. SSH est attribué au port
TCP 22.
9
Sécurisation des ports
Configuration de SSH
Avant de passer à la configuration de SSH, le commutateur doit au moins être configuré avec un nom
d'hôte unique et avec les paramètres de connectivité réseau adéquats.
La configuration de SSH nécessite plusieurs étapes :
Vérification de la prise en charge du protocole SSH : la commande show ip ssh permet de
vérifier que le commutateur prend en charge SSH. Si le commutateur ne prend pas en compte
SSH, cette commande ne sera pas reconnue.
Configuration du domaine IP : La configuration du nom de domaine IP du réseau se fait à
l'aide de la commande ip domain-name nom_du_domaine en mode de configuration globale.
Génération des paires de clés RSA : La génération d'une paire de clés RSA active
automatiquement SSH. La commande de mode de configuration globale crypto key generate
rsa est utilisée pour activer le serveur SSH sur le commutateur et pour générer une paire de
clés RSA. Toutes les versions de l'IOS utilisent par défaut SSH version 2.
Configuration de l'authentification utilisateur : Le serveur SSH peut authentifier les
utilisateurs localement ou avoir recours à un serveur d'authentification. Pour utiliser la
méthode d'authentification locale, il faut créez un nom d'utilisateur et un mot de passe en
utilisant la commande : username nom_utilisateur secret mot_passe, en mode de
configuration globale.
Configuration des lignes vty : Pour activez le protocole SSH sur les lignes vty, il faut utiliser la
commande de mode de configuration de ligne transport input ssh. Cette configuration permet
d'interdire toute connexion autre que SSH. Pour exiger l'authentification locale des connexions
SSH provenant d'une base de données de noms d'utilisateur locale, il faut utiliser la commande
de mode de configuration globale line vty, puis la commande de mode de configuration de ligne
login local .
Activation de SSH version 2 : Pour la configuration de SSH version 2, il faut exécuter la
commande du mode de configuration globale ip ssh version 2.
Pour mieux protéger un réseau contre tout accès non autorisé, une méthode simple est de désactiver
tous les ports qui ne sont pas exploités sur un commutateur.
Si un commutateur Cisco Catalyst 2960 est doté de 24 ports et si trois connexions Fast Ethernet sont
utilisées, il est conseillé de désactiver les 21 ports inutilisés. Pour ce faire, en mode configuration
d'interface, accédez à chaque port inutilisé et exécutez la commande Cisco shutdown. Si plus tard, un
port doit être réactivé, il peut être activé à l'aide de la commande no shutdown.
Le processus de désactivation et d'activation des ports renforce la sécurité sur le réseau et en vaut
vraiment la peine.
La sécurité des ports restreint le nombre d'adresses MAC autorisées sur un port. La sécurité des
ports peut être configurée pour autoriser une ou plusieurs adresses MAC. Si le nombre d'adresses
MAC autorisées sur un port est limité à un, seul le périphérique disposant de cette adresse MAC
spécifique peut se connecter au port.
Si un port est sécurisé et si le nombre maximum d'adresses MAC est atteint pour ce port, toute
tentative de connexion supplémentaire réalisée depuis une adresse MAC inconnue générera une
violation de sécurité.
Il existe plusieurs façons de configurer la sécurité des ports. Le type d'adresse sécurisée est basé sur la
configuration et peut être l'un des types suivants :
10
Sécurisation des ports
Adresses MAC sécurisées statiques : Ces adresses MAC sont configurées manuellement sur un
port à l'aide de la commande switchport port-security mac-address Adresse_MAC en mode de
configuration d'interface.
Adresses MAC sécurisées dynamiques : Ces adresses MAC sont apprises de manière
dynamique
Adresses MAC sécurisées rémanentes : Adresses MAC pouvant être apprises de manière
dynamique ou configurées manuellement. Pour activer l'apprentissage rémanent sur une
interface, exécutez la commande de mode de configuration d'interface switchport port-security
mac-address sticky.
4. Exercice
[Solution n°2 p 13]
Exercice : Exercice 1
Vous devez entrer la commande exacte et complète.
1. Passez en mode de configuration globale sur S1
S1# configure terminal
S1(config)#
2. Définissez le mode de bidirectionalité sur bidirectionnel simultané et la vitesse sur 100 pour
l'interface Fa0/1 de S1
S1(config)# interface Fa0/1
S1(config-if)# duplex full
S1(config-if)# speed 100
S1(config-if)#
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config
11
Sécurisation des ports
Exercice : Exercice 2
1. Passez en mode de configuration globale sur S1
S1# configure terminal
S1(config)#
2. Définissez, sur S2, les paramètres bidirectionnels pour l'interface Fa0/1, de la vitesse et de la
fonction auto-MDIX sur auto.
S1(config)# interface Fa0/1
S1(config-if)# duplex auto
S1(config-if)# speed auto
S1(config-if)# mdix auto
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config
Exercice : Exercice 3
1. Créer un utilisateur local appelé "admin" dont le mot de passe est "uvci"
S1(config)# username admin secret uvci
2. Paramétrez toutes les lignes pour utiliser SSH et un login local pour les connexions à distance. Les
lignes vont de 0 à 15 et se note 0 15
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)#
3. Passez en mode configuration globale
S1(config-line)# exit
S1(config)#
3. Configurer S1 pour utiliser SSH 2.0
S1(config)# ip ssh version 2
12
Ressources annexes
Exercice 1
Configurer l'interface de gestion du commutateur S1 dont l'adresse IP est 172.17.99.2 et le masque
est 255.255.255.0 sans oublier d'activer l'interface et d'enregistrer la configuration courante.
1. Passez en mode configuration de l'interface
S1(config)#interface vlan 99
2. Configurer l'adresse IP de l'interface de gestion
S1(config-if)#ip address 172.17.99.2 255.255.255.0
3. Activation de l'interface
S1(config-if)#no shutdown
4. Sauvegarde de la configuration courante
S1(config-if)#end
S1#copy running-config startup-config
Exercice 1
1. Passez en mode de configuration globale sur S1
S1# configure terminal
S1(config)#
2. Définissez le mode de bidirectionalité sur bidirectionnel simultané et la vitesse sur 100 pour
l'interface Fa0/1 de S1
S1(config)# interface Fa0/1
S1(config-if)# duplex full
S1(config-if)# speed 100
S1(config-if)#
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config
Exercice 2
1. Passez en mode de configuration globale sur S1
S1# configure terminal
13
Solutions des exercices
S1(config)#
2. Définissez, sur S2, les paramètres bidirectionnels pour l'interface Fa0/1, de la vitesse et de la
fonction auto-MDIX sur auto.
S1(config)# interface Fa0/1
S1(config-if)# duplex auto
S1(config-if)# speed auto
S1(config-if)# mdix auto
3. Quittez le mode de configuration.
S1(config-if)# end
S1#
4. Enregistrer la configuration dans la mémoire vive non volatile.
S1# copy running-config startup-config
Exercice 3
1. Créer un utilisateur local appelé "admin" dont le mot de passe est "uvci"
S1(config)# username admin secret uvci
2. Paramétrez toutes les lignes pour utiliser SSH et un login local pour les connexions à distance. Les
lignes vont de 0 à 15 et se note 0 15
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)#
3. Passez en mode configuration globale
S1(config-line)# exit
S1(config)#
3. Configurer S1 pour utiliser SSH 2.0
S1(config)# ip ssh version 2
14