REALISATION CHAPITRE 01 

: VIRTUEL LAN

1- Définition des VLANs :

Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un
réseau local regroupant un ensemble de machines de façon logique et non physique. De nombreux
VLANs peuvent coexister sur un même commutateur réseau (switch).

En effet dans un réseau local la communication entre les différentes machines est régie par
l'architecture physique. Grâce aux réseaux virtuels (VLANs) il est possible de s'affranchir des
limitations de l'architecture physique (contraintes géographiques, contraintes d'adressage, ...) en
définissant une segmentation logique (logicielle) basée sur un regroupement de machines grâce à
des critères (adresses MAC, numéros de port, protocole, etc.).

1-1- Typologie de VLAN

Plusieurs types de VLAN sont définis, selon le critère de commutation et le niveau auquel il
s'effectue :

•Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN) définit un
réseau virtuel en fonction des ports de raccordement sur le commutateur .

•Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais
MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des
stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est
indépendant de la localisation de la station.

•Un VLAN de niveau 3 : on distingue plusieurs types de VLAN de niveau 3 :

a) Le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe des sous
réseaux selon l'adresse IP source des datagrammes. Ce type de solution apporte une grande
souplesse dans la mesure où la configuration des commutateurs se modifie automatiquement en cas
de déplacement d'une station. En contrepartie une légère dégradation de performances peut se faire
sentir dans la mesure où les informations contenues dans les paquets doivent être analysées plus
finement.
b) Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un réseau virtuel
par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les
machines utilisant le même protocole au sein d'un même réseau.

75
REALISATION CHAPITRE 01 : VIRTUEL LAN

2- Les avantages des VLANs:

Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique et à ce titre offre les
avantages suivants :

- Sécurité : permettre de créer un ensemble logique isolé pour améliorer la sécurité. Le seul
moyen pour communiquer entre des machines appartenant à des VLANs différents est alors
de passer par un routeur. Donc gain en sécurité car les informations sont encapsulées dans
un niveau supplémentaire et éventuellement analysées

- Segmentation : Réduction de la diffusion du trafic sur le réseau, en réduisant la taille du

domaine de broadcast.

- Souplesse : Plus de souplesse pour l'administration et les modifications du réseau car toute
l'architecture peut être modifiée par simple paramétrage des commutateurs

- Flexibilité : Possibilité de travailler au niveau 2 (couche liaison) (Adresse MAC) ou au

niveau 3 (IP). Les VLANs fonctionnent au niveau de la couche 2 du modèle OSI.
Toutefois, un VLAN est souvent configuré pour se connecter directement à un réseau IP, ce
qui donne l'impression de travailler plutôt au niveau de la couche 3. Les VLAN'S peuvent
aussi se baser sur les ports physiques des commutateurs (attention à ne pas confondre les
ports "physiques" avec les ports "logiques" du protocole) (en anglais : "port-based" ) ce qui
correspond au niveau 1 du modèle OSI et non au numéro de port du niveau 4 (par
exemple : le port 80 en TCP qui "pointe" vers le service HTTP).
Les VLAN vous permettent des grouper des utilisateurs dans un domaine de diffusion commun,
indépendamment de leur emplacement dans l’inter réseau. Crée un VLAN améliore les
performances et la sécurité du réseau commuté. En contrôlant la propagation de la diffusion. Dans
un environnement de diffusion, une diffusion émise par un hôte sur un seul segment se propage à
tous les segments, saturant la bande passante du réseau entier, comme la montre la figure suivante.
De plus, en l’absence de méthode de vérification au niveau de la couche supérieure, tous les
équipements de domaine de diffusion peuvent communiquer avec la couche 2. ceci limite
sérieusement les possibilités d’application de la sécurité sur le réseau.

76
REALISATION CHAPITRE 01 : VIRTUEL LAN

Station A

Serveur/hote Diffusion A
Diffusion A

Station de travail

Diffusion A

Station A

Station de travail
Tous les équipements S-
R
172.16.0.0

Diffusion A
Station de travail

Figure1. Propagation de la diffusion

Les VLAN permettent aux commutateurs de crée plusieurs domaines de diffusion au sien d’un
réseau commuté (voir figure 2). Remarquez que tous les utilisateurs appartenant à un groupe donné
(un service, en l’occurrence) sont maintenant regroupés dans le même VLAN. Tous les utilisateurs
de ce VLAN reçoivent les diffusion de tous les autres membres du VLAN, mais les membres des
autres VLAN ne les reçoivent pas. Chaque utilisateurs d’un VLAN donné est également dans le
même sous-réseau IP. Cette organisation diffère de celle de la figure 1, dans laquelle
l’emplacement physique de l’équipement déterminer le domaine de diffusion.

77
REALISATION CHAPITRE 01 : VIRTUEL LAN

Sous-Réseau Sous-Réseau Sous-Réseau

172.16.0.0 172.17.0.0 172.18.0.0

3étage

2étage

Réseau
1étage Réseau Réseau RH R&D
ventes

Figure 2. Vue d’ensemble des VLAN.

Les VLAN permettent de segmenter un interréseau commuté et d’en augmenter la souplesse.

Grâce à cette technologie,vous pouvez grouper les ports de commutateurs et les utilisateurs qui y
sont connectés en communautés d’intérêts définies logiquement, comme les membres d’un même
service,une équipe de produit transversale ou différentes applicateurs partagent la même
application en réseau
Un VLAN peut exister sur un seul commutateur ou en englober plusieurs. Il peut comprendre des
stations de travail situées dans une ou plusieurs infrastructures de bâtiments. Dans certains cas, ils
peuvent même fonctionner avec des réseaux étendus (WAN).

3- L’architecture d’un réseau local segmenté en VLAN

Avant l'architecture réseau était composée de la manière suivante :
Les principaux services au centre du réseau avec des switch niveau 2 qui assurent le transport entre
les utilisateurs et les ressources.

Maintenant l'architecture réseau est en 3 couches :

 Core Layer (le coeur du réseau) : fournit un backbone à haut débit (switch avec des ports
GigabitEthernet). L'objectif de cette couche est de permettre la commutation entre
différentes couches de distribution aussi vite que possible. Généralement cette partie est
assuré par de l'interconnexion de niveau 2 uniquement.

78
REALISATION CHAPITRE 01 : VIRTUEL LAN

 Distribution Layer : implémente les politiques réseaux de l'entreprise (switch layer 3).
Cette couche se trouve entre le coeur du réseau et la couche d'accès aux réseaux, elle
interconnecte les switchs de la couche d'accès au réseau et fait la liaison avec le coeur de réseau
- Elle doit gérer les fonctionnalités de niveau 3 et mettre en place la politique de
sécurité
- Mettre en place les VLANs
- Faire le routage entre les VLANs
- Effectuer l'agrégation des routes

 Access Layer : donne aux utilisateurs l'accès aux réseaux, Cette couche est généralement
composée de switchs niveau 2. Il Défini les VLANs afin d'interdire la propogation des
broadcasts et du multicast.

Figure 3. L'architecture d'un réseau local segmenté en VLAN

79
REALISATION CHAPITRE 01 : VIRTUEL LAN

4- PROTOCOLE VTP (VlAN Trunking Protocol):

VTP est un protocole servant à distribuer et synchroniser les informations d’identification des
VLAN configurés dans un réseau commuté.
Pour assurer la connectivité VLAN dans toute la matrice de commutation, les VLANs doivent être
configurés sur chaque commutateur. Le protocole VTP (Vlan trunking protocol) de Cisco fournit
une méthode simple pour maintenir l’homogénéité de la configuration des VLAN sur la totalité du
réseau commuté.
Les configurations effectuées sur un seul switch serveur VTP sont propagées via les tronçons (les
trunk) à tous les commutateurs connectés sur le réseau.
VTP permet aux solutions de réseau commuté de changer d’échelle en réduisant les besoins de
configuration manuelle.
VTP est un protocole de transmission de message de niveau 2, qui maintient l’homogénéité de la
configuration des VLAN dans un domaine d’administration commun, en gérant les insertions,
suppressions et changements de noms de VLAN. VTP réduit les erreurs ou les incohérences de
configuration qui peuvent causer des problème, comme les noms dupliqués ou les spécification de
type de VLAN incorrectes.

4.1- Domaine VTP

Un domaine VTP est constitué d’un commutateur ou de plusieurs commutateurs interconnectés
partageant le même environnement. Un commutateur est configuré pour n’appartenir qu’un seul
domaine VTP.
La figure suivante illustre la façon dont les informations de configurations des VLAN se propagent
entre commutateurs.

Domaine VTP ICND

3.Synchronisation avec la dernière information

1.Ajout d’un
Nouveau VLAN

Figure 4. Fonctionnement de VTP

80
REALISATION CHAPITRE 01 : VIRTUEL LAN

A la figure, nous ajoutons un nouveau VLAN à notre réseau commuté. Les étapes illustrées dans
cette figure sont les suivantes :

ETAPE 1 Un nouveau VLAN est ajouté. VTP va faciliter votre travail.

ETAPE 2 L’annonce VTP est envoyée aux autres commutateurs du domaine VTP.
ETAPE 3 Le nouveau VLAN est ajouté aux configurations des autres commutateurs. La
configurations des VLAN demeure cohérente.

Par défaut, un commutateur catalyst est dans l’état « sans domaine d’administration » jusqu’à ce
qu’il reçoive une annonce pour un domaine sur un tronçon, ou jusqu’à ce que vous configurez un
domaine d’administration.

Pour adhérer un switch a un domaine on entre la commande suivante (voir plus déttaillé dans
chapitre 2)
Switch#configure terminal
switch (config)#vtp domain “nom du domaine”

note: (on note que le materiel utilisé dans notre apllication est fabriquer par l'enterprise CISCO)
4-2- Mode VTP

VTP fonctionne sur les switches Cisco dans un de ces 3 modes:

- server : Le mode VTP par défaut est le mode serveur, mais les VLAN ne sont pas propagés
sur le réseau tant qu’un domaine d’administration n’est pas spécifié ou appris. Un
commutateur catalyst fonctionnant en mode VTP serveur peut crée, modifier et supprimer
des VLAN et d’autres paramètres de configuration pour l’ensemble du domaine VTP. En
mode serveur, les configuration des VLAN sont sauvegardées en NVRAM. Quand vous
apportez une modification à la configuration d’un VLAN sur un serveurVTP, celle-ci est
propagée à tous les commutateurs du domaine. Les messages VTP sont distribués à tout le
domaine VTP au travers des liens "trunk".

- client : Les switches en mode client appliquent automatiquement les changements reçus du
domaine VTP. Un équipement exécutant un client VTP ne peut crée, modifier ni supprimer
des VLAN, et il n’enregistre pas les configurations en NVRAM. En mode client comme en

81
REALISATION CHAPITRE 01 : VIRTUEL LAN

mode serveur, les commutateurs synchronisent leurs configurations avec les commutateurs
ayant le numéro de révision le plus élevé dans le domaine VTP.

- transparent : En mode transparent, les modifications sont locales mais non distribuées. Un
commutateur fonctionnant en mode VTP transparent ne crée pas d’annonces VTP, ni ne
synchronise sa configuration de VLAN avec les informations qu’il reçoit des autres
commutateurs de son domaine d’administration. Il retransmet les annonces VTP reçus des
autres commutateurs appartenant au même domaine d’administration. Il peut crée,
supprimer et modifier des VLAN, mais les modifications ne sont pas propagées aux autres
commutateurs du domaine : elles n’affectent que le commutateur local.

Les configurations VTP successives du réseau ont un numéro de révision. Si le numéro de

révision reçu par un switch client est plus grand que celui en cours, la nouvelle configuration est
appliqué. Sinon, elle est ignorée.

Quand un nouveau switch est ajouté au domaine VTP, le numéro de révision de celui-ci doit être
réinitialisé pour éviter les conflits.

Le tableau suivant compare ces trois modes :

82
 REALISATION CHAPITRE 01 : VIRTUEL LAN

Serveur client transparent

Envoie/retransmet des Envoie/retransmet des Retransmet les annonces VTP
annonces VTP annonces VTP

Synchronise ses informations Synchronise ses informations Ne synchronise pas ses informations
de configuration des VLAN de configuration des VLAN de configurations des VLAN avec les
avec les autres commutateurs. avec les autres commutateurs. autres commutateurs.

Les configurations sont Les configurations ne sont pas Les configurations sont auvegardées
sauvegardées en NVRAM sauvegardées en NVRAM en NVRAM

Le catalyst peut créer des Le catalyst ne peut pas créer Le catalyst peut crée des VLANs
VLAN des VLAN

Le catalyst peut modifier Le catalyst ne peut pas

des VLAN modifie de VLAN Le catalyst peut modifier des

Le catalyst peut supprimer Le catalyst ne peut pas Le catalyst peut supprimer des
des VLAN supprimer de VLAN VLAN

Lors de l’installation de VTP sur un commutateur, il est important de choisir le mode approprié.
VTP étant un outil puissant, il peut écraser les configurations des VLAN sur certains commutateur
et provoquer des problèmes de réseau. La section suivante expliquer se phénomène. Vous devez
néanmoins savoir que le mode que vous choisissez peut éliminer ce risque. Vous devez choisir le
mode serveur pour le commutateur qui vous servira à créer, modifier et supprimer les VLAN. Le
serveur propagera ces informations aux autres commutateurs configurés comme serveurs ou
comme clients. Le mode client doit être installé sur tout commutateur ajouté au domaine VTP,
pour empêcher un éventuel écrasement d’un VLAN. Utilisez le mode transparent sur un
commutateur qui doit passer des annonces à d’autres commutateurs, et qui à également besoins
d’administrer indépendamment ces propres VLAN.
Pour configurer un switch en mode serveur, client ou transparent on utilise la commande suivante :

Switch#configure terminal
Switch (config) #vtp mode {server/ client/ transparent}

83
REALISATION CHAPITRE 01 : VIRTUEL LAN

4-3- Le trunk :
Dans le contexte de VLANs, le terme « trunk » indique un lien de réseau supportant des VLANs
multiples entre 2 commutateurs ou entre un commutateur et un routeur, cela fonctionne en utilisant
un protocole adapté. En effet pour tenir compte des raccordements multiples sur un lien, les trames
d'un VLAN doivent être identifiées avec un protocole commun.

Il existe deux protocoles :

- Le protocole IEEE 802.1Q ajoute une étiquette à l'en-tête du paquet Ethernet, la marquant
comme appartenant à un certain VLAN, ceci est la méthode préférée en 2007 et la seule
option valable dans un environnement avec des équipements de fournisseurs multiples.
- Il y a également un protocole propriétaire Cisco (de propriété industrielle Cisco) pour la
Virtualisation de réseau local (VLAN). Il est appelé : ISL "Inter Switch Link", il encapsule
la trame Ethernet avec sa propre encapsulation, et marque la trame comme appartenant à un
VLAN spécifique, dans un réseau composé d'équipement de commutation de la marque
Cisco.
Pour configurer un port en mode trunk sur un switch on utilise la commande suivante :

switch#configure terminal
switch(config)#interface fastethernet “slot/port”
switch (config-if)#switchport mode trunk
switch (config-if)#switchport trunk encapsulation {isl/dot1q/negotiate}

5- Configuration des vlans sur le commutateur Cisco

Le système de VLAN (Virtual Local Area Network) permet de procéder a un regroupement

logique de certains ports d’un commutateur pour simuler un LAN (Local Area Network).
Concrètement nous allons utiliser les vlan pour séparer plusieurs réseaux différents et créer une
segmentation qui va réduire le domaine de collisions tout en assurant une parfaite sécurité.
a) Mise en place des vlan
Commençons par mettre en place nos vlan dans notre configuration sur le switch distribution, Pour
cela il nous faut nous connecter sur le commutateur grâce au port console et s’identifier en mode «
enable » (cf. : utilisateur privilégié).

84
REALISATION CHAPITRE 01 : VIRTUEL LAN

Nous allons créer les vlans qui vont correspondre au réseau d’un service ou d’une direction :

switch#configure terminal
switch(config)#vlan “vlan_id”
switch(config)#name “nom du vlan”

b) Attribution des ports aux différents vlan

Une fois nos vlan créés il nous faut attribuer les ports correspondants aux différents services sur les
Vlan.

Switch#configure terminal
Switch (config) #interface fastethernet “slot/port”
Switch (config-if) #switchport mode access
Switch (config-if) #switchport access vlan “vlan_id”

c) Attribution d’une adresse IP à l’interface VLAN sur le switch distribution :

Pour chaque vlan crée correspond une interface VLAN, à la quelle on va attribué une adresse IP,
cette adresse IP sera la passerelle des postes client correspondant a ce VLAN.

Example:
Switch#configure terminal
Switch (config) # interface vlan 2
Switch (config-if) #ip address 10.26.104.1 255.255.255.0

6- L’utillisation du DHCP :

6-1- DNS : (Domain Name System, système de noms de domaine)

DNS est un système de noms pour les ordinateurs et les services réseau organisé selon une
hiérarchie de domaines. Le système DNS est utilisé dans les réseaux TCP/IP tels qu'Internet pour
localiser des ordinateurs et des services à l'aide de noms conviviaux. Lorsqu'un utilisateur entre un

85
REALISATION CHAPITRE 01 : VIRTUEL LAN

nom DNS dans une application, les services DNS peuvent résoudre ce nom en une autre
information qui lui est associée, par exemple une adresse IP.

Le serveur DNS sert à faire une correspondance entre adresse IP et nom d’ordinateur sur le
réseau.

6-2- Active Directory :

Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau.
Un service d'annuaire, tel que Active Directory, fournit des méthodes de stockage des données de
l'annuaire et met ces données à la disposition des utilisateurs et des administrateurs du réseau. Par
exemple, Active Directory stocke des informations sur les comptes d'utilisateurs, notamment les
noms, les mots de passe, les numéros de téléphone, etc. et permet à d'autres utilisateurs autorisés
du même réseau d'accéder à ces informations.

6-3- Le serveur DHCP : (Dynamic Host Configuration Protocol)

Le protocole DHCP est un standard TCP/IP conçu pour simplifier la gestion de la configuration
d'IP hôte. Le standard DHCP permet d'utiliser des serveurs DHCP comme une méthode de gestion
d'affectation dynamique d'adresses IP et d'autres détails de configuration correspondants pour les
clients DHCP de votre réseau.

Il convient d'attribuer à chaque ordinateur d'un réseau TCP/IP un nom d'ordinateur et une
adresse IP unique. L'adresse IP (avec son masque de sous-réseau associé) identifie l'ordinateur
hôte et le sous-réseau auquel il est associé. Lorsque vous déplacez un ordinateur vers un autre
sous-réseau, l'adresse IP doit être modifiée. DHCP vous permet d'affecter de manière
dynamique une adresse IP à un client à partir de la base de données d'une adresse IP du serveur
DHCP sur votre réseau local (voir figure 5).

86
REALISATION CHAPITRE 01 : VIRTUEL LAN

Figure5 : serveur DHCP

Pour les réseaux TCP/IP, DHCP réduit la complexité et la quantité de travail
d’administrateurs impliqués dans la reconfiguration des ordinateurs.
Windows 2003 Server propose un service DHCP qu’on peut utiliser pour gérer une
configuration IP client et automatiser une affectation d'adresse IP sur votre réseau.

6-4- Avantages de l'utilisation de DHCP :

DHCP offre les avantages suivants dans l'administration de réseau TCP/IP :

- Configuration sûre et fiable

DHCP évite les erreurs de configuration dues au besoin de taper manuellement des valeurs sur
chaque ordinateur. De plus, DHCP permet d'empêcher les conflits d'adresses causés par une
adresse IP affectée précédemment réutilisée pour configurer un nouvel ordinateur sur le réseau.

- Réduction de la gestion de la configuration

Les serveurs DHCP peuvent considérablement diminuer le temps passé à configurer et

reconfigurer les ordinateurs de votre réseau. Les serveurs peuvent être configurés pour fournir une
plage complète de valeurs de configuration supplémentaires lors de l'affectation des baux
d'adresses. Ces valeurs sont affectées à l'aide des options DHCP.

De plus, le processus de renouvellement du bail DHCP vous permet de vous assurer que lorsque
les configurations de client doivent être régulièrement mises à jour (par exemple pour les
utilisateurs possédant des ordinateurs portables qui changent régulièrement d'emplacement), ces
modifications peuvent être apportées de manière efficace et automatique par les clients
communiquant directement avec les serveurs DHCP.

87
 REALISATION CHAPITRE 01 : VIRTUEL LAN

6-5- Mode de fonctionnement de DHCP :

Le protocole DHCP utilise un modèle client-serveur. L'administrateur réseau désigne un ou

plusieurs serveurs DHCP comme responsables de la gestion des informations relatives à la
configuration de TCP/IP et de leur transmission aux clients. La base de données du serveur
comprend les éléments suivants :

- Paramètres de configuration corrects pour tous les clients du réseau.

- Adresses IP correctes gérées dans un pool et destinées à être attribuées aux clients, ainsi
que des adresses pouvant être affectées manuellement.

- Durée d'un bail offert par le serveur. Le bail définit la durée d'utilisation de l'adresse IP
attribuée.

Avec un serveur DHCP installé et configuré sur un réseau, les clients DHCP peuvent obtenir
de manière dynamique leur adresse IP et les paramètres de configuration associés chaque fois
qu'ils ouvrent et se connectent au réseau. Les serveurs DHCP fournissent cette configuration sous
forme d'offre de bail d'adresse aux clients qui la demande.

6-6- Terminologie DHCP :

Terme Description

étendue Une étendue est la plage consécutive complète des adresses IP probables
d'un réseau. Les étendues désignent généralement un sous-réseau
physique unique de votre réseau auquel sont offerts les services DHCP.
Les étendues constituent également pour le serveur le principal moyen
de gérer la distribution et l'attribution d'adresses IP et de tout autre
paramètre de configuration associé aux clients d réseau

plage d'exclusion Une plage d'exclusion est une séquence limitée d'adresses IP dans une
étendue, exclue des offres de service DHCP. Les plages d'exclusion
permettent de s'assurer que toutes les adresses de ces plages ne sont pas
offertes par le serveur aux clients DHCP de votre réseau.

Pool d’adresses Une fois que vous avez défini une étendue DHCP et appliqué des plages

88
 REALISATION CHAPITRE 01 : VIRTUEL LAN

d'exclusion, les adresses restantes forment le pool d'adresse disponible

dans l'étendue. Les adresses de pool sont éligibles pour une affectation
dynamique par le serveur aux clients DHCP de votre réseau.

bail Un bail est un intervalle de temps, spécifié par un serveur DHCP,

pendant lequel un ordinateur client peut utiliser une adresse IP affectée.
Lorsqu'un bail est accordé à un client, le bail est actif. Avant l'expiration
du bail, le client doit renouveler le bail de l'adresse auprès du serveur.
Un bail devient inactif lorsqu'il arrive à expiration ou lorsqu'il est
supprimé du serveur. La durée d'un bail détermine sa date d'expiration et
la fréquence avec laquelle le client doit le renouveler auprès du serveur.

réservation Utilisez une réservation pour créer une affectation de bail d'adresse
permanente par le serveur DHCP. Les réservations permettent de
s'assurer qu'un périphérique matériel précis du sous-réseau peut toujours
utiliser la même adresse IP.

Lorsque vous avez défini les paramètres de configuration TCP/IP de base (adresse IP, masque
de sous-réseau et passerelle par défaut) des clients, la plupart ont aussi besoin que le serveur
DHCP leur fournisse d'autres informations par le biais des options DHCP. Les plus courantes sont
les suivantes :

Routeurs : Liste d'adresses IP préférées pour les routeurs du même sous-réseau que les
clients DHCP. Le client peut alors contacter ces routeurs selon ses besoins pour transférer
des paquets IP à destination d'hôtes distants!

Serveurs DNS : Adresse IP de serveurs de noms de domaines que les clients DHCP
peuvent contacter et utiliser pour résoudre une requête de nom d'hôte de domaine!

Domaine DNS : Spécifie le nom de domaine que les clients DHCP doivent utiliser pour
résoudre des noms non qualifiés pendant la résolution de noms de domaine DNS.

89
REALISATION CHAPITRE 01 : VIRTUEL LAN

 Au niveau du switch Distribution, dans chaque interface vlan on configure l’adresse du serveur
DHCP, Via la command : ip helper-address

Example:
Switch#configure terminal
Switch (config) # interface vlan 2
switch (config-if)#ip address 10.26.104.1 255.255.255.0
switch (config-if)#ip helper-address 10.10.30.1

7- Sécurisation des switchs

La sécurité des réseaux commutés est aujourd’hui renforcée par un certain nombre de
mécanismes implémentés dans les commutateurs Cisco Catalyst.

7-1- Les mots de passe

L'accès au mode Privileged doit être sécurisé par un mot de passe, Solution la moins sécurisée, le
mot de passe est stocké en clair

host (config) # enable password mot_de_passe

Solution la plus sécurisée, le mot de passe est crypté :

host(config) # enable secret ?

0 : spécifie que le mot de passe qui suit est en clair

5 : spécifie que le mot de passe qui suit est crypté
LINE : le mot de passe non crypté

host (config) # enable secret mot_de_passe

Dans tous les cas, le enable secret crypte le mot de passe en utilisant l'algorithme MD5
Dans le cas de l'utilisation des 2 commandes, c'est le enable secret qui sera prioritaire

7-2- Mot de passe d'accès telnet

L'accès avec le telnet au switch doit être sécurisé par un mot de passe :

90
REALISATION CHAPITRE 01 : VIRTUEL LAN

Switch#configure terminal
host (config) # line vty 0 4
host (config-line) # password mot_de_passe
host (config-line) # login

7-3- Port Security :

Protection des services de commutation (Attaque Mac Flooding)
Cette attaque cherche à impacter le bon fonctionnement de la commutation de niveau 2 afin de
pouvoir écouter le trafic réseau. Elle consiste à envoyer sur le port d’un commutateur un grand
nombre d’adresses MACs pour remplir sa table de commutation (CAM), et donc bloquer son
fonctionnement normal. Si la table CAM est pleine, le commutateur est obligé de renvoyer sur tous
les ports les paquets à destination des adresses MAC inconnues. Cette attaque peut être une
technique pour capturer un flux qui en fonctionnement normal n’aurait jamais pu être écouté car
non destiné à l’attaquant.
Pour éviter ce type d’attaque, Cisco met à disposition au sein de ses commutateurs une fonction
qui se nomme « PortSecurity ». Cette fonction permet entre autre de limiter le nombre d’adresses
MAC sur un port et donc protège contre le «Mac Flooding ».
La fonction ‘Port Security’ offre plusieurs déclinaisons de configuration sur un port (cf. figure ci-
dessous) :
· Configuration statique des adresses MACs autorisées sur un port, ce qui permet d’éviter qu’un
port connecté sur une imprimante ou dans un lieu en libre accès soit utilisé par une tierce personne.
Configuration du nombre d’adresses MAC maximal que peut apprendre un commutateur sur un
port. En limitant à un sur des ports PC, 2 pour PC + téléphone et supérieur (par exemple 12) pour
des salles de réunions, il deviendra impossible à un attaquant de remplir la table CAM du
commutateur.

91
REALISATION CHAPITRE 01 : VIRTUEL LAN

7-4- Sécuriser l'accès aux ports d'un switch Cisco :

Pour éviter que n'importe qui se connecte sur les ports d'un switch, il est possible de faire un
contrôle sur les adresses MAC des machines connectées sur chaque port. Pour activer cette sécurité
sur l'interface concernée :

Switch (config-if) # switchport mode access

Switch (config-if) # switchport port-security

Définition des adresses MAC autorisées sur un port, fixée l’adresse MAC :

Switch (config-if) # switchport port-security mac-address 0123.4567.1423.7890

Ou apprentissage de l'adresse MAC (source) de la première trame qui traversera le port

Switch (config-if) # switchport port-security mac-address sticky

Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre

Switch (config-if) # switchport port-security maximum nombre

92
REALISATION CHAPITRE 01 : VIRTUEL LAN

7-5- Politique de sécurité :

Plusieurs politiques de sécurité peuvent être envisagées. Soit on bloque définitivement le port
lors d'une usurpation d'adresse MAC
Switch (config-if) # switchport port-security violation shutdown

Soit on bloque toutes les trames avec des adresses MAC non connu et on laisse passer les autres

Switch (config-if) # switchport port-security violation protect

Soit un message dans le syslog et via SNMP est envoyé. De plus le compteur du nombre de
violation est incrémenté.
Switch (config-if) # switchport port-security violation restrict

Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité, on fait un

shutdown suivi d'un no shutdown.

7-6- Information sur les @ MAC et l'état d'un port

Pour visualiser la politique de sécurité d'une interface
Switch# show port-security interface ...

Pour visualiser les adresses MAC connues sur les ports

Switch# show port-security address

Switch#show port-security interface FastEthernet 0/4

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 1 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000

93
 REALISATION CHAPITRE 01 : VIRTUEL LAN

Security Violation Count : 0

Switch#
00:02:35: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,

caused by MAC address 02e0.4c39.37dd on port FastEthernet 0/4

8- ACL (Access Control List) :

Access Control List (ACL), en français liste de contrôle d'accès, désigne en réseau, une liste des
adresses et ports autorisés ou interdits par un pare-feu.

Une ACL est une liste d'Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou
supprimant des droits d'accès à une personne ou un groupe

Une ACL sur un pare-feu, un routeur ou un switch filtrant, est une liste d'adresses ou de ports
(port logiciel correspondant à la couche de transport du modèle OSI) autorisés ou interdits par le
dispositif de filtrage.

Les Access Control List sont divisés en deux grandes catégories, l'ACL standard et l'ACL
étendue

8.1- l'ACL standard :

Ne peut contrôler que deux ensembles : l'adresse IP source et une partie l'adresse IP source, au
moyen de masque générique.

8.2- l'ACL étendue :

Peut contrôler l'adresse IP de destination, la partie de l'adresse de destination (masque
générique), le type de protocole (TCP, UDP, ICMP, IGRP, IGMP, etc), le port source et de
destination, les flux TCP, IP TOS (Type of service) ainsi que les priorité IP.
Les ACL conviennent bien à des protocoles dont les ports sont statiques (connus à l'avance)
comme SMTP, mais ne suffisent pas avec des logiciels comme BitTorrent où les ports peuvent
varier.

94
REALISATION CHAPITRE 01 : VIRTUEL LAN

 ACCESS LISTS:

IP Standard 1-99
IP Extended 100-199
IPX Standard 800-899
IPX Extended 900-999
IPX SAP Filters 1000-1099

8-3- IP STANDARD:

Permettre tous les IP source d’un réseau

Exemple :

Config# access-list 10 permit 133.2.2.0 0.0.0.255

Permettre un poste spécifique

Config# access-list 10 permit host 133.2.2.2

Permettre n'importe quelle adresse

Config# access-list 10 permit any

Pour appliquer les access list sur une interface en sortie on procède comme suivant :

Config# int Ethernet 0

Config-if# ip access-group 10 in

8-4- IP EXTENDED:

Pour les access list étendu on spécifie l’adresse source, l’adresse destination, le protocole, et le
port
  
- Protocols: tcp, udp, icmp, ip entre autre
 - l’adresse source puis l’adresse de destination
95
REALISATION CHAPITRE 01 : VIRTUEL LAN

- les ports peuvent être numériques ou nommées (23 ou telnet, 21 ou ftp, etc..)

Exemple :
Permettre le telnet de puis le réseau 133.12.0.0 vers le réseau 122.3.2.0

Config# access-list 101 permit tcp 133.12.0.0 0.0.255.255 122.3.2.0 0.0.0.255 eq telnet

Empêcher tout les utilisateurs d’accéder au page web

Config# access-list 101 deny tcp any host 133.2.23.3 eq www

Ou
Config# access-list 101 deny tcp any host 133.2.23.3 eq 80

Permettre à tous les utilisateurs le flux IP

Config# access-list 101 permit ip any any

Pour appliquer les access list sur une interface en sortie on procède comme suivant :

Config# interface Ethernet 0

Config-if# ip access-group 101 out

9- Liste des ports TCP/UDP les plus essentiels.

n° type description

20 tcp ftp-data - File Transfer Protocol [flux de données]

ftp - File Transfer Protocol (le flux de contrôle pour le transfert de

21 tcp
fichiers), voir Diagramme des flux FTP (port 20 et 21)

22 tcp ssh - Secure Shell

96
REALISATION CHAPITRE 01 : VIRTUEL LAN

23 tcp telnet

25 tcp smtp - Simple Mail Transfer

53 tcp domain - Domain Name Service

bootps - Bootstrap Protocol Server, ce port est aussi utilisé par une
67 tcp
extension de bootp : DHCP, pour la recherche d'un serveur DHCP

bootpc - Bootstrap Protocol Client, ce port est aussi utilisé par une
68 tcp extension de bootp : DHCP, pour le dialogue entre le serveur
DHCP et le client (attribution d'un bail pour une adresse IP)

69 udp tftp - Trivial File Transfer

80 tcp www-http - World Wide Web HTTP

110 tcp pop3 - Post Office Protocol - Version 3

118 tcp sqlserv - SQL Services

150 tcp sql-net

156 tcp sqlsrv - SQL Service

443 tcp https

ISAKMP (Internet Security Association and Key Management

500 tcp
Protocol), un des composants d'IPsec

995 tcp pop3 sécurisé (ssl)

97
REALISATION CHAPITRE 01 : VIRTUEL LAN

135
tcp Lotus Notes
2

143
tcp Microsoft SQL Server
3

143
tcp Microsoft SQL Monitor
4

152
tcp Serveur Oracle
1

590
tcp VNC Server
0

808
tcp http alternatif (webcache)
0

98