Vous êtes sur la page 1sur 8

Ch5 : Configuration du commutateur

I- Configuration de base

La première fois qu’un commutateur est mis sous tension, il comporte des données par défaut dans
le fichier de la configuration courante. Le nom d’hôte par défaut est Switch. Aucun mot de passe
n’est défini sur les lignes de console ou de terminal virtuel (vty).

Il est possible de donner une adresse IP à un commutateur pour des raisons d'administration. Il faut
configurer cette adresse au niveau de l’interface virtuelle, VLAN 1. Par défaut, le commutateur
n’a pas d’adresse IP.

Les ports ou interfaces du commutateur sont définis sur le mode automatique et tous les ports du
commutateur se trouvent dans le VLAN 1. VLAN 1 est le VLAN d’administration par défaut.

Fig.1: Les ports du commutateur

Le répertoire flash par défaut comporte un fichier qui contient l’image IOS, un fichier nommé
env_vars et un sous-répertoire nommé html. Une fois que le commutateur est configuré, ce
répertoire peut également contenir un fichier config.text et une base de données VLAN. Le
répertoire flash ne contient ni fichier de base de données, vlan.dat, ni fichier de configuration
stocké, config.text.

1
Fig. 2 : Contenu du répertoire flash par défaut

Il est possible de vérifier les paramètres de version IOS et du registre de configuration en utilisant
la commande show version.

Fig. 3: vérification des paramètres du commutateur

Dans cet état par défaut, le commutateur a un domaine de broadcast et peut être géré ou configuré
via le port console en utilisant l’interface de commande en ligne (CLI). Le protocole
d'acheminement STP (Spanning-Tree Protocol) est également activé et permet au pont d’élaborer
une topologie exempte de boucles de couche 2 dans un réseau local étendu.

La configuration par défaut convient pour les petits réseaux. Les avantages de la
microsegmentation sur le plan des performances sont immédiatement visibles.

Un commutateur peut déjà avoir été préconfiguré et nécessiter uniquement l'entrée des mots de
passe pour accéder au mode utilisateur ou privilégié. Vous pouvez accéder au mode de
configuration des commutateurs à partir du mode privilégié.
2
Dans le mode d'interface de commande en ligne (CLI – command line interface), l'invite de
commande par défaut du mode privilégié est Switch#. L’invite du mode utilisateur sera Switch>.

Suivez les étapes suivantes pour être sûr que la nouvelle configuration remplace la configuration
existante :

• Supprimez toutes les informations VLAN existantes en supprimant le fichier de base de


données VLAN (vlan.dat) de la mémoire flash.
• Supprimez le fichier de configuration sauvegardé startup-config.
• Rechargez le commutateur.

Fig. 4: Suppression des informations existantes

Tous les aspects liés à la sécurité, à la documentation et à la gestion d’un équipement réseau sont
extrêmement importants.

Il est possible de donner un nom d’hôte à un commutateur. Les mots de passe doivent être définis
au niveau des lignes de console et des lignes vty.

Fig. 5 : Configuration du mot de passe

3
Si vous voulez que le commutateur soit accessible via Telnet et d’autres applications TCP/IP, il
faut définir des adresses IP et une passerelle par défaut.

Fig. 6 : Configuration de l’adresse IP et de la passerelle par défaut

VLAN 1 est le VLAN de gestion par défaut. Le VLAN de gestion est utilisé pour gérer tous les
équipements sur le réseau. Dans un réseau commuté, tous les équipements du réseau doivent être
inclus dans le VLAN de gestion. Tous les ports appartiennent au VLAN 1 par défaut. Une pratique
recommandée est d'enlever tous les ports d'accès de VLAN 1 et de les placer dans un autre réseau.
Ceci permet la gestion des équipements tout en gardant le trafic en provenance et à destination des
hôtes en dehors du VLAN de gestion.

Par défaut, la vitesse et le mode duplex des ports de commutation Fast Ethernet sont définis
automatiquement. Les interfaces peuvent ainsi négocier ces paramètres. Lorsqu’un administrateur
réseau tient absolument à fixer lui-même la vitesse et le mode duplex d’une interface, il peut définir
ces valeurs manuellement.

Fig. 7 : Configuration du mode et de la vitesse d’une interface

4
Des équipements de réseau intelligents peuvent offrir une interface Web à des fins de configuration
et de gestion. Une fois qu’un commutateur est configuré avec une adresse IP et une passerelle, il
est possible d’y accéder de cette façon. Un navigateur Web peut accéder à ce service en utilisant
l’adresse IP et le port 80, port par défaut pour http. Il est possible d’activer ou de désactiver le
service HTTP et de choisir l’adresse du port pour le service.

Fig. 7 : Configuration du port et du service http

II- Gestion de la table d’adresses MAC

Les commutateurs apprennent les adresses MAC des PC ou des stations de travail connectés à un
de leurs ports de commutation en examinant l’adresse source des trames reçues sur ce port. Les
adresses MAC ainsi apprises sont ensuite enregistrées dans une table d’adresses MAC. Les trames
ayant une adresse MAC de destination enregistrée dans la table peuvent être commutées vers
l’interface appropriée.

Pour afficher les adresses apprises par un commutateur, entrez la commande : show
mac address–table en mode privilégié.

Fig. 8 : affichage des adresses apprises par un commutateur

5
Un commutateur est capable d’apprendre et de gérer de façon dynamique des milliers d’adresses
MAC. Pour ne pas surcharger la mémoire et optimiser le fonctionnement du commutateur, les
adresses apprises peuvent être supprimées de la table d’adresses MAC. Les machines ont peut-être
été supprimées d’un port, mises hors tensions ou connectées à un autre port sur le même
commutateur ou sur un commutateur différent. Ceci peut engendrer une certaine confusion dans
le transfert des trames. Par conséquent, si aucune trame n’est interceptée avec l’adresse apprise
précédemment, l’entrée correspondante est automatiquement supprimée dans la table d’adresses
MAC ou expire au bout de 300 secondes.

Au lieu d’attendre l’expiration d’une entrée dynamique, l’administrateur a la possibilité d’utiliser


la commande clear mac-address-table en mode privilégié. Cette commande permet également de
supprimer les adresses MAC qu’un administrateur a configurées. Cette méthode permet de
s’assurer que les adresses invalides sont automatiquement supprimées.

Fig. 9 : Suppression des adresses MAC

II- Configuration d’adresses MAC statiques

Vous pouvez décider d’affecter une adresse MAC de façon permanente à une interface pour
différentes raisons. Voici certaines de ces raisons :

• L’adresse MAC ne doit jamais être supprimée automatiquement par le commutateur.


• Un serveur ou une station de travail spécifique doit être attachée au port et l’adresse MAC
est connue.
• Améliorer la sécurité.

Utilisez cette commande pour définir une entrée d’adresse MAC statique pour un commutateur :

Switch(config)#mac-address-table static <adresse-mac de l’hôte> interface FastEthernet


<numéro Ethernet> vlan <nom vlan>

Pour supprimer cette entrée, utilisez la forme no de cette commande :

6
Switch(config)#no mac-address-table static <adresse-mac de l’hôte> interface FastEthernet
<numéro Ethernet>vlan <nom vlan>.

Fig. 9 : Configuration d’adresses MAC statiques

IV- Configuration de la sécurité des ports

Une des grandes responsabilités de l’administrateur réseau est de sécuriser le réseau. Les ports de
commutation de la couche d’accès sont accessibles via le câblage structuré au niveau des prises
murales disponibles dans les bureaux et les salles. N’importe qui peut brancher un PC ou un
ordinateur portable à une de ces prises. Ceci représente donc un accès possible au réseau pour les
utilisateurs non autorisés. Les commutateurs offrent une fonction appelée « sécurité des ports ». Il
est possible de limiter le nombre d’adresses qu’une interface peut apprendre. Le commutateur peut
être configuré pour entreprendre une action dans le cas où cette limite serait dépassée. Des adresses
MAC sécurisées peuvent être définies de façon statique. La sécurisation statique des adresses
MAC peut toutefois s’avérer une tâche complexe et source d’erreurs.

Une autre approche consiste à définir la sécurité des ports sur une interface du commutateur. Le
nombre d’adresses MAC par port peut être limité à 1. La première adresse apprise par le
commutateur de façon dynamique devient l’adresse sécurisée.

Pour annuler la sécurité des ports sur une interface, utilisez la forme no de la commande.

Utilisez la commande show port security pour vérifier l’état de sécurité du port.

7
Fig. 10 : Configuration de la sécurité des ports

V- Exécution d’ajouts, de déplacements et de modifications

Lorsqu’un nouveau commutateur est ajouté à un réseau, configurez les éléments suivants:

• Le nom du commutateur
• L’adresse IP du commutateur dans le VLAN d’administration
• Une passerelle par défaut
• Les mots de passe de ligne

Fig. 11 : Ajout d’un nouveau commutateur

Lorsqu’un hôte passe d’un port ou d’un commutateur à un autre, il est préférable de supprimer
les configurations pouvant entraîner un comportement inattendu. La configuration requise peut
ensuite être ajoutée.

Vous aimerez peut-être aussi