2ème année BTS SRI - S33 Concepts et configuration de base de la commutation

CONCEPTS ET CONFIGURATION DE BASE DE LA COMMUTATION

I. Réseaux Ethernet/802.3
1. Principaux éléments des réseaux Ethernet/802.3
Protocole CSMA/CD
Les signaux Ethernet sont transmis à tous les hôtes connectés au réseau local au moyen d’un ensemble de règles
spécial qui permet de déterminer quelle station peut avoir accès au réseau. L’ensemble de règles auquel Ethernet a
recours est fondé sur la technologie détection de porteuse avec accès multiple (CSMA/CD) de la norme IEEE.
Écoute de porteuse
Avec la méthode d’accès CSMA/CD, tous les périphériques réseau qui ont des messages à envoyer doivent écouter
le câble avant de les transmettre. Si un périphérique détecte un signal provenant d’un autre périphérique, il patiente
un certain temps avant d’essayer de transmettre un message.
Lorsque la transmission a lieu, le périphérique continue d’écouter le trafic ou les collisions survenant sur le réseau
local. Une fois le message envoyé, le périphérique revient au mode d’écoute par défaut.
Détection de collisions
Si deux périphériques émettent en même temps une collision se produit. En cas de collision, les autres périphériques
en mode d’écoute, ainsi que tous les périphériques émetteurs, détectent l’augmentation d’amplitude des signaux.
Chaque périphérique qui émet continue de transmettre pour s’assurer que tous les périphériques du réseau détectent
la collision.
Signal de congestion et interruption aléatoire
Dès qu’une collision est détectée, les périphériques émetteurs envoient un signal de congestion. Le signal de
congestion informe les autres périphériques d’une collision pour leur permettre d’appeler un algorithme d’interruption.
Cet algorithme demande à tous les périphériques de cesser leur transmission pendant un laps de temps aléatoire, ce
qui permet d’atténuer les signaux de collision. Une période d’interruption aléatoire garantit que les périphériques
impliqués dans la collision ne tentent pas d’envoyer leur trafic en même temps.
Communications Ethernet
Les communications dans un réseau local commuté surviennent sous trois formes : monodiffusion, diffusion et
multidiffusion :
Monodiffusion : communication dans laquelle une trame est
transmise depuis un hôte vers une destination
spécifique. (ex : adoptée sur les réseaux locaux
et sur Internet. HTTP, SMTP, FTP et Telnet)

Diffusion : communication dans laquelle une trame est

transmise d’une adresse vers toutes les autres
adresses existantes dans le réseau local. (Un
exemple de diffusion est la requête de résolution
d’adresse que le protocole ARP transmet à tous
les ordinateurs sur un réseau local.
Multidiffusion : communication dans laquelle une trame est
transmise à un groupe spécifique de
périphériques ou de clients. Les clients de
transmission multidiffusion doivent être
membres d’un groupe de multidiffusion logique
pour recevoir les informations.

Trame Ethernet

Préambule : (101010101010… sur 58 bits) utilisé pour la synchronisation ;

Délimiteur : (10101011) pour marquer la fin des informations de synchronisation.
Adresse de destination : adresse MAC 48 bits du nœud de destination.
Adresse source : adresse MAC 48 bits du nœud source.
Type : valeur indiquant le protocole de couche supérieure (0x0800 : IPv4, 0x86DD : IPv6, 0x0806 : ARP,
0x809B : AppleTalk, 0x8100 : VLAN).
Données : unité de données de protocole (généralement, un paquet IPv4) à transporter sur les supports.
FCS : (Séquence de contrôle de trame) valeur utilisée pour vérifier si des trames sont endommagées.

1 Source :Cours CISCO

2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Paramètres bidirectionnels
Deux types de paramètres bidirectionnels sont employés pour les communications dans un réseau Ethernet :
bidirectionnel non simultané et bidirectionnel simultané.
Bidirectionnel non simultané (mode half): la communication bidirectionnelle non simultanée repose sur un flux de
données unidirectionnel où l’envoi et la réception des données n’ont pas lieu simultanément. Ceci s’apparente à la
manière dont les talkies-walkies ou les radios bidirectionnelles fonctionnent puisqu’une seule personne est autorisée
à parler à la fois. Si une personne prend la parole au même moment qu’une autre, il y a collision. C’est pourquoi la
communication bidirectionnelle non simultanée met en œuvre la technologie CSMA/CD afin de mieux réduire les
risques de collision.
Bidirectionnel simultané (mode full) : dans le cadre de la communication bidirectionnelle simultanée, le flux de
données est bidirectionnel, de sorte que les données peuvent être envoyées et reçues de manière simultanée. Les
nœuds reliés directement à un port de commutateur dédié par l’entremise de cartes réseau prenant en charge le
mode bidirectionnel simultané doivent être connectés à des ports de commutateur configurés pour fonctionner en
mode bidirectionnel simultané.
L’efficacité d’une configuration Ethernet avec concentrateur standard et partagée est généralement évaluée de 50
à 60 pour cent de la bande passante de 10 Mbits/s. Par comparaison, une configuration Fast Ethernet bidirectionnelle
simultanée offre une efficacité de 100 pour cent dans les deux sens (100 Mbits/s à la transmission et à la réception).
Remarque : L’option auto définit l’auto-négociation pour le mode bidirectionnel. Avec l’auto-négociation activée, les
deux ports communiquent entre eux pour convenir du meilleur mode opératoire. Si le périphérique relié ne prend pas
en charge l’auto-négociation c’est le mode non simultané qui est adopté.
Comm1(config)# interface fastethernet 0/1
Comm1(config-if)# duplex auto ( Full ou Half)
Comm1(config-if)# speed auto
Adressage MAC et tables d’adresses MAC des commutateurs
Les commutateurs utilisent des adresses MAC pour orienter les communications réseau via leur matrice de
commutation (circuits intégrés et les éléments de programmation) vers le port approprié et en direction du nœud de
destination. Pour qu’un commutateur puisse connaître les ports à utiliser en vue de la transmission d’une trame de
monodiffusion, il doit avant tout savoir quels nœuds existent sur chacun de ses ports. Il crée sa table
d’adresses MAC en enregistrant les adresses MAC des nœuds connectés à chacun de ses ports.
Lorsqu’un commutateur reçoit une trame de données entrantes et que l’adresse MAC de destination ne se trouve pas
dans la table, il transmet la trame à l’ensemble des ports, à l’exception du port sur lequel elle a été reçue. Dès que le
nœud de destination répond, le commutateur enregistre son adresse MAC. Dans le cadre de réseaux dotés de
plusieurs commutateurs interconnectés les ports utilisés pour connecter entre eux deux commutateurs disposent de
plusieurs adresses MAC enregistrées dans la table d’adresses MAC.
Pour afficher la table d’adresses MACs :
show mac-address-table
2. Facteurs liés à la conception des réseaux Ethernet/802.3

Domaines de collision
Lorsque vous étendez un réseau local Ethernet dans le but de prendre en charge un plus grand nombre d’utilisateurs
tout en augmentant les besoins en bande passante, le risque de collision est accru. Pour diminuer le nombre de
nœuds sur un segment réseau donné, vous pouvez créer des segments réseau physiques distincts appelés
« domaines de collision ».
Le terme « domaine de collision » désigne la zone du réseau d’où proviennent les trames qui entrent en collision.
Lorsqu’un hôte est connecté à un port de commutateur, le commutateur crée une connexion dédiée. Cette connexion
est interprétée comme un domaine de collision individuel puisque le trafic reste indépendant de toutes les autres
formes de trafic, éliminant ainsi le risque de collision.
Les commutateurs réduisent donc le nombre de collisions et optimisent la bande passante sur les segments réseau,
puisqu’ils offrent une bande passante dédiée à chacun de ces segments.
2 Source :Cours CISCO
2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Domaines de diffusion
Si les commutateurs filtrent la plupart des trames sur la base des adresses MAC dont ils disposent, ils ne filtrent pas
en revanche les trames de diffusion. Un ensemble de commutateurs interconnectés constitue un domaine de
diffusion unique. Lorsqu’un périphérique souhaite envoyer une diffusion de couche 2, l’adresse MAC de destination
de la trame contient uniquement des 1.
Le domaine de diffusion sur la couche 2 est désigné par l’expression « domaine de diffusion MAC ». Ce domaine
comprend tous les périphériques du réseau local qui reçoivent d’un hôte les trames de diffusion destinées à tous les
autres ordinateurs du réseau local.
Quand un commutateur reçoit une trame de diffusion, il transmet la trame à chacun de ses ports, à l’exception du port
en réception. Chaque périphérique connecté reconnaît la trame de diffusion et la traite. L’efficacité du réseau est de
ce fait réduite puisque la bande passante sert à propager le trafic diffusé.
Latence du réseau
La latence est le temps nécessaire à une trame ou à un paquet pour circuler entre la station source et sa destination
finale.

Premièrement, le temps nécessaire à la carte réseau source pour émettre des impulsions électriques sur le câble,
plus le temps nécessaire à la carte réseau de destination pour interpréter ces impulsions.
Deuxièmement, le délai de propagation réel du signal traversant le câble. En règle générale, ce délai est d’environ
0,556 microseconde par 100 m de câble à paires torsadées non blindées (UTP) de catégorie 5.
Enfin, du temps de latence est ajouté en fonction des périphériques réseau qui se trouvent sur le chemin entre les
deux périphériques. Il s’agit des périphériques de couche 1, 2 ou 3.
La principale cause de latence constatée sur un réseau local commuté est davantage liée aux supports transmis, aux
protocoles de routage employés et aux applications exécutées sur le réseau.
Encombrement du réseau
Le principal intérêt de segmenter un réseau local en parties plus infimes est d’isoler le trafic et d’optimiser l’utilisation
de la bande passante pour chaque utilisateur. Sans segmentation, un réseau local est vite submergé par le trafic et
les collisions. La figure présente un réseau encombré qui héberge plusieurs nœuds et un concentrateur.
Les causes d’encombrement les plus courantes sont les suivantes :
 Technologies réseau et informatiques de plus en plus puissantes (transmettent et de traitent davantage de
données avec des débits accrus sur le réseau)
 Volume de trafic réseau accru puisque des ressources distantes sont nécessaires pour mener à bien des tâches
élémentaires.
 Messages de diffusion, tels que les requêtes de résolution d’adresse émises par le protocole ARP.
 Applications à bande passante élevée (publication assistée par ordinateur, de conception technique, e-learning,
lecture vidéo en continu…)

3. Segmentation des réseaux locaux

Les réseaux locaux sont segmentés en un plus petit nombre de domaines de collision et de diffusion au moyen de
routeurs et de commutateurs. Des ponts étaient auparavant utilisés, mais ce type d’équipement réseau est rarement
employé dans un réseau local commuté.

3 Source :Cours CISCO

2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Ponts et commutateurs
Malgré les nombreux attributs que les ponts et les commutateurs ont en commun, plusieurs éléments permettent de
distinguer ces technologies. Les ponts servent généralement à segmenter un réseau local en quelques segments
plus petits. Les commutateurs permettent traditionnellement de segmenter un réseau local de taille importante en
plusieurs petits segments. Les ponts ne disposent que d’un nombre limité de ports pour la connectivité de réseau
local, les commutateurs en possèdent un grand nombre.
Routeurs
Bien que le commutateur de réseau local réduise la taille des domaines de collision, tous les hôtes connectés à ce
même commutateur appartiennent toujours au même domaine de diffusion. Du fait que, par défaut, les routeurs ne
transmettent pas le trafic de diffusion, vous pouvez y recourir pour créer des domaines de diffusion. La création de
domaines de diffusion supplémentaires plus réduits avec un routeur a pour effet de diminuer le trafic de diffusion et
garantit une bande passante plus importante pour les communications monodiffusion. Chaque interface de routeur
est reliée à un réseau indépendant comprenant le trafic de diffusion au sein du segment LAN duquel il provient.

4. Méthodes de transmission de paquets par commutateur

Auparavant, les commutateurs faisaient appel aux méthodes de transmission pour la commutation des données entre
des ports réseau : commutation Store and Forward (stockage et retransmission) ou cut-through (direct).
Néanmoins, le mode Store and Forward est la seule méthode de transmission employée avec les modèles actuels
des commutateurs Cisco Catalyst.

4 Source :Cours CISCO

2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Commutation par stockage et retransmission (store and forward)
Le commutateur reçoit la trame entièrement et
la stocke dans des mémoires tampons,
recherche des informations concernant sa
destination, procède à un contrôle d’erreur à
l’aide du contrôle par redondance cyclique
(CRC) de l’en-queue de la trame Ethernet. Si la
trame ne présente pas d'erreurs elle est
transférée via le port approprié vers la
destination. En cas d’erreur le commutateur
ignore la trame. L’abandon des trames avec
erreurs réduit le volume de bande passante
consommé par les données altérées.
Commutation cut-through
Le commutateur agit sur les données à mesure
qu’il les reçoit, même si la transmission n’est
pas terminée. Le commutateur met une quantité
juste suffisante de la trame en tampon afin de
lire l’adresse MAC de destination et déterminer
ainsi le port auquel les données sont à
transmettre.
La commutation cut-through est bien plus rapide
que la commutation Store and Forward, puisque
le commutateur n’a ni à attendre que la trame
soit entièrement mise en mémoire tampon, ni
besoin de réaliser un contrôle d’erreur.
En revanche, du fait de l’absence d’un contrôle d’erreur, elle transmet les trames endommagées sur le réseau ce qui
consomme de la bande passante puisque la carte de réseau de destination ignore ces trames au bout du compte.
Il existe deux variantes de la commutation cut-through :
Commutation Fast-Forward : Ce mode de commutation offre le niveau de latence le plus faible. La commutation
Fast-Forward transmet un paquet immédiatement après la lecture de l’adresse de
destination.
Commutation Fragment-Free : le commutateur stocke les 64 premiers octets de la trame avant la transmission. La
raison est que la plupart des erreurs et des collisions sur le réseau surviennent
pendant ces 64 premiers octets.
Remarque : Certains commutateurs sont configurés pour une commutation cut-through par port. Une fois le seuil
d’erreurs défini par l’utilisateur atteint, ils passent automatiquement en mode Store and Forward. Lorsque le nombre
d’erreurs est inférieur au seuil défini, le port revient automatiquement en mode de commutation cut-through.
5. Commutation symétrique et asymétrique

Commutation symétrique et asymétrique

La commutation symétrique offre des connexions commutées entre les ports dotés de la même bande passante,
notamment tous les ports 100 Mbits/s ou 1000 Mbits/s. Un commutateur de réseau local asymétrique assure des
connexions commutées entre des ports associés à des bandes passantes différentes, par exemple entre une
combinaison de ports de 10 Mbits/s, 100 Mbits/s et 1000 Mbits/s.
5 Source :Cours CISCO
2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Asymétrique:
La commutation asymétrique dédie un volume de bande passante plus important au port de commutateur d’un
serveur afin d’éviter tout goulot d’étranglement. Le trafic devient ainsi plus fluide lorsque plusieurs clients
communiquent simultanément avec le même serveur. La commutation asymétrique nécessite une mise en mémoire
tampon. Pour que le commutateur puisse correspondre aux divers débits de données sur des ports différents, les
trames tout entières sont conservées dans la mémoire tampon et sont déplacées vers le port l’une après l’autre selon
les besoins.
Symétrique
Sur un commutateur symétrique, tous les ports disposent de la même bande passante. La commutation symétrique
est optimisée pour une charge de trafic raisonnablement distribuée, telle que dans un environnement peer to peer.
Un administrateur réseau doit évaluer la quantité requise de bande passante pour les connexions entre périphériques
afin d’adapter le flux des données des applications réseau. La plupart des commutateurs actuels sont asymétriques,
car ce sont ceux qui offrent la plus grande souplesse.
6. Mise en mémoire tampon
Un commutateur Ethernet peut utiliser une technique de mise en mémoire tampon pour stocker des trames avant de
les transmettre. La mise en mémoire tampon peut également être une solution lorsque le port de destination est
saturé suite à un encombrement et que le commutateur stocke la trame jusqu’à ce qu’il puisse la transmettre. Le
recours à une mémoire pour le stockage des données est désigné par le terme de « mise en mémoire tampon ». La
mise en mémoire tampon est matériellement intégrée au commutateur et, hormis la possibilité d’accroître la quantité
de mémoire disponible, n’offre aucune possibilité de configuration.
Il existe deux méthodes de mise en mémoire tampon : axée sur les ports et partagée.
Mise en mémoire tampon axée sur les ports : les trames sont stockées dans des files d’attente liées à des ports
entrants spécifiques. Une trame est transmise au port sortant uniquement si toutes les trames qui la précèdent dans
la file d’attente ont été correctement transmises.
Mise en mémoire tampon partagée : La mise en mémoire tampon partagée stocke toutes les trames dans une
mémoire tampon commune à tous les ports du commutateur. La capacité de mémoire tampon nécessaire à un port
est allouée dynamiquement. Les trames de la mémoire tampon sont liées de manière dynamique au port de
destination, ce qui permet de recevoir le paquet sur un port et de le transmettre sur un autre, sans avoir à le déplacer
vers une autre file d’attente.
7. Commutation sur les couches 2 et 3
Un commutateur de réseau local de couche 2 permet d’effectuer une commutation et un filtrage en se basant
uniquement sur l’adresse MAC de la couche liaison de données (couche 2).
Un commutateur de couche 3, tel que le commutateur Catalyst 3560, peut également exploiter celles des adresses
IP. Un commutateur de couche 3 ne cherche pas uniquement à savoir quelles adresses MAC sont associées à
chacun des ports ; il peut également identifier les adresses IP associées à ses interfaces. Il peut alors orienter le
trafic sur le réseau sur la base des informations recueillies sur les adresses IP.

Comparaison entre un commutateur de couche 3 et un routeur

Caractéristique Commutateur de couche 3 Routeur
Routage de couche 3 Compatible Compatible
Gestion du trafic Compatible Compatible
Cartes WIC Compatibles
Protocoles de routage avancés Compatibles
Routage à vitesse filaire Compatible
6 Source :Cours CISCO
2ème année BTS SRI - S33 Concepts et configuration de base de la commutation

II. Configuration de la gestion des commutateurs

1. Utilisation des modes d'interface de ligne de commande
Modes d’interface de ligne de commande (CLI)
(voir cours routage…)
Solutions de l’interface graphique utilisateur
Le recours à une interface graphique utilisateur offre une solution de gestion et de configuration des commutateurs
qui ne demande aucune connaissance approfondie de l’interface de ligne de commande Cisco.
Cisco Network Assistant : une interface utilisateur graphique d’administration réseau pour PC optimisée. Elle est
conçue pour les réseaux locaux de petite et moyenne taille.
Il est disponible gratuitement sur http://www.cisco.com/go/networkassistant
Application CiscoView : Affiche une vue physique du commutateur que vous pouvez utiliser pour définir les
paramètres de configuration et consulter des informations relatives à l’état et aux
performances du commutateur.
Cisco Device Manager : Le gestionnaire de périphériques Cisco Device Manager est un outil logiciel Web qui
est stocké dans la mémoire du commutateur. Vous pouvez y faire appel pour configurer
et gérer des commutateurs. Vous pouvez accéder à Cisco Device Manager depuis
n’importe où sur votre réseau au moyen d’un navigateur Web.
2. Configuration de base d'un commutateur
Éléments à prendre en considération pour l’interface de gestion
Un commutateur de couche d’accès ressemble beaucoup à un PC, puisque vous devez configurer une adresse IP,
un masque de sous-réseau et une passerelle par défaut. Pour gérer un commutateur à distance à l’aide de TCP/IP,
vous devez attribuer une adresse IP au commutateur. Dans la figure, vous cherchez à gérer le commutateur Comm1
à partir du PC 1, c’est-à-dire l’ordinateur utilisé pour la gestion du réseau. Pour cela, vous devez attribuer une
adresse IP au commutateur Comm1. Cette adresse IP est attribuée à une interface virtuelle appelée « réseau local
virtuel » (VLAN). Vous devez vous assurer que ce réseau local virtuel est attribué à un ou des ports spécifiques sur le
commutateur.
La configuration par défaut sur le commutateur est de contrôler la gestion du commutateur par le biais du réseau
local virtuel VLAN 1. Cependant, une méthode recommandée pour la configuration de base du commutateur est de
confier la gestion à un réseau local virtuel autre que le VLAN 1. Les implications et la raison de cette opération sont
exposées dans le chapitre suivant. La figure illustre le recours au réseau local virtuel VLAN 99 en tant que réseau
local virtuel de gestion. Néanmoins, il peut être indispensable d’envisager l’emploi d’une interface autre que le
VLAN 99 pour la gestion.
Pour l’instant, le VLAN 99 est créé. Il est associé à une adresse IP. Le port approprié sur le commutateur Comm1
est attribué au VLAN 99. La figure présente également ces paramètres de configuration.

Configuration de l’interface de gestion

Comm1(config)# interface vlan 99
Comm1(config-if)# ip address 172.17.99.11 255.255.255.0
Comm1(config-if)# no shutdown

Comm1(config)# interface fastethernet 0/18

Comm1(config-if)# switchport mode access
Comm1(config-if)# switchport acces vlan 99

7 Source :Cours CISCO

2ème année BTS SRI - S33 Concepts et configuration de base de la commutation

Configuration de la passerelle par défaut

Comm1(config)# ip default-gateway 172.17.99.1

Vérification de la configuration
VLAN 99 configuré sur le port F0/18
S1# show running-config
...
!
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
...
!
interface Vlan99
ip address 172.17.99.11 255.255.255.0
no ip route-cache
!
État du VLAN 99 et du port F0/18
S1# show ip interface brief
Interface IP-Address OK? Method Status
Protocol
Vlan99 172.17.99.11 YES manual up up
...
FastEthernet0/18 unassigned YES unset up up
FastEthernet0/19 unassigned YES unset down down
...
GigabitEthernet0/2 unassigned YES unset down down
S1#
Configuration du mode bidirectionnel et de la vitesse
La figure suivante décrit les étapes à suivre pour configurer le port F0/1 sur le commutateur Comm1.

Comm1(config)# Interface fastethernet 0/1

Comm1(config-if)# duplex auto
Comm1(config-if)# speed auto
Configuration d’une interface Web
Les commutateurs Cisco modernes sont dotés de plusieurs outils de configuration Web qui nécessitent que vous
configuriez le commutateur en tant que serveur HTTP. Ces applications incluent l’interface utilisateur du
navigateur Web Cisco, l’outil Cisco Router and Security Device Manager (SDM) et les applications IP Phone et
Cisco IOS Telephony Service (ITS).

8 Source :Cours CISCO

2ème année BTS SRI - S33 Concepts et configuration de base de la commutation

Comm1# configure terminal

Comm1(config)# ip http authentication enable
Comm1(config)# ip http server
La table d’adresses MAC
Les commutateurs utilisent des tables d’adresses MAC pour déterminer le mode de transmission du trafic d’un port à
l’autre. Ces tables MAC comprennent des adresses dynamiques et statiques.
Les adresses dynamiques sont des adresses MAC source que le commutateur assimile, puis définit comme
obsolètes dès qu’elles ne sont plus utilisées. Vous pouvez modifier le paramètre d’obsolescence des adresses MAC.
La durée par défaut est de 300 secondes. Une valeur d’obsolescence trop courte peut entraîner une suppression
prématurée des adresses de la table. Dans ce cas, lorsque le commutateur reçoit un paquet pour une destination
inconnue, il inonde le paquet sur tous les ports dans le même réseau local (ou réseau local virtuel) que le port de
réception. Cette inondation superflue peut avoir des effets négatifs sur les performances. À contrario, avec un délai
d’obsolescence trop long, la table d’adresses risque d’être remplie d’adresses inutilisées, empêchant ainsi
l’assimilation de nouvelles adresses. Cette situation peut également entraîner un phénomène d’inondation.
Le commutateur garantit un adressage dynamique en assimilant l’adresse MAC source de chaque trame qu’il reçoit
sur chaque port, puis en ajoutant l’adresse MAC source et son numéro de port associé à la table d’adresses MAC. À
mesure que les ordinateurs sont ajoutés ou supprimés du réseau, le commutateur met à jour la table
d’adresses MAC tout en ajoutant de nouvelles entrées et en invalidant les entrées obsolètes.
Un administrateur réseau peut de manière spécifique affecter des adresses MAC à certains ports. Les adresses
statiques ne sont jamais mises en obsolescence et le commutateur sait toujours sur quel port il doit transmettre le
trafic destiné à une adresse MAC spécifique. Ainsi donc, le besoin de réassimiler ou d’actualiser le port auquel
l’adresse MAC est connectée n’est pas impératif. Une raison justifiant la mise en œuvre d’adresses MAC statiques
est d’offrir à l’administrateur réseau un contrôle total de l’accès au réseau. Seuls les périphériques connus de
l’administrateur réseau sont autorisés à se connecter au réseau.
Pour créer un mappage statique dans la table d’adresses MAC, utilisez la commande:
mac-address-table static <ad_MAC> vlan {1-4096, ALL} interface id_interface
Pour supprimer un mappage statique dans la table d’adresses MAC, utilisez la commande:
no mac-address-table static <ad_MAC> vlan {1-4096, ALL} interface id_interface
La taille maximale de la table d’adresses MAC varie selon les différents commutateurs. Par exemple, un
commutateur de type Catalyst 2960 peut stocker jusqu’à 8 192 adresses MAC. Il existe d’autres protocoles
susceptibles de limiter le nombre absolu d’adresses MAC disponibles pour un commutateur.
Remarque : les adresses mac définies sur un port ne peuvent plus utiliser un autre port pour pouvoir communiquer
3. Vérification de la configuration d'un commutateur
Utilisation des commandes show
show interfaces [interface-id]
show startup-config
show running-config
show version (Affiche l’état du logiciel et du matériel système.)
show flash: (Affiche des informations sur le système de fichiers flash.)
show history (Affiche l’historique des commandes de session.)
show mac-address-table (Affiche la la table de transmission MAC.)
4. Sauvegarde et restauration des configurations des commutateurs

L’une des tâches les plus courantes pour un apprenti technicien réseau consiste à importer une configuration sur un
commutateur. Dans cette rubrique, vous allez apprendre à importer et stocker une configuration dans la mémoire
flash du commutateur et sur un serveur TFTP.

NVRAM
Sauvegarde de la configuration
Comm1# copy system:running-config flash:startup-config
Nom du fichier de destination [startup-config] ?
Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
9 Source :Cours CISCO
2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Comm1# copy startup-config flash:config.bak1
Nom du fichier de destination [config.bak1] ?
Sauvegardez la configuration de démarrage dans un fichier stocké dans la mémoire vive non volatile flash. Appuyez
sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
Restauration de la configuration
Comm1# copy flash:config.bak1 startup-config
Nom du fichier de destination [startup-config] ?
Copiez le fichier config.bak1 stocké dans la mémoire flash dans la configuration de démarrage qui doit être stockée
dans la mémoire flash.
Comm1# reload
Demandez à Cisco IOS de redémarrer le commutateur.
Serveur TFTP
Vous pouvez utiliser le protocole TFTP pour la sauvegarde de vos fichiers de configuration sur le réseau. Cisco IOS
est fourni avec un client TFTP intégré qui vous permet de vous connecter à un serveur TFTP sur votre réseau.
Remarque : Si vous ne disposez pas déjà d’un serveur TFTP actif, des logiciels pour serveurs TFTP gratuits sont
disponibles sur Internet. Un serveur TFTP fréquemment employé est disponible sur le site www.solarwinds.com.
Sauvegarde de la configuration
Pour télécharger un fichier de configuration depuis un commutateur vers un serveur TFTP à des fins de stockage,
procédez comme suit :
Étape 1. Vérifiez que le serveur TFTP est en cours d’exécution sur votre réseau.
Étape 2. Connectez-vous au commutateur via le port de console ou une session Telnet. Activez le commutateur, puis
envoyez une requête ping sur le serveur TFTP.
Étape 3. Téléchargez la configuration du commutateur sur le serveur TFTP. Précisez l’adresse IP ou le nom d’hôte
du serveur TFTP, ainsi que le nom du fichier de destination. La commande Cisco IOS est la suivante :
#copy system:running-config tftp:[[[//emplacement]/répertoire]/nom_fichier]
#copy nvram:startup-config tftp:[[[//emplacement]/répertoire]/nom_fichier]
Exemple :
Sl#copy System:running-config tftp://172.16.2.155/tokyo-confg
Write file tokyo-confg on host 172.16.2.155? [confirm] y
Writing tokyo-confg!! ! [OK]
Restauration de la configuration
Une fois la configuration stockée avec succès sur le serveur TFTP, procédez comme suit pour la recopier dans le
commutateur :
Étape 1. Copiez le fichier de configuration dans le répertoire TFTP approprié, sur le serveur TFTP, s’il ne s’y trouve
pas déjà.
Étape 2. Vérifiez que le serveur TFTP est actif sur votre réseau.
Étape 3. Connectez-vous au commutateur via le port de console ou une session Telnet. Activez le commutateur, puis
envoyez une requête ping sur le serveur TFTP.
Étape 4. Téléchargez le fichier de configuration du serveur TFTP afin de configurer le commutateur. Précisez
l’adresse IP ou le nom d’hôte du serveur TFTP, ainsi que le nom du fichier à télécharger. La commande
Cisco IOS est la suivante :
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] system:running-config
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] nvram:startup-config.
Suppression des paramètres de configuration
Pour effacer le contenu de votre configuration de démarrage, utilisez, en mode d’exécution privilégié, la commande :
erase nvram: ou erase startup-config
Attention : vous ne pouvez pas restaurer le fichier de configuration de démarrage après l’avoir effacé. Assurez-vous
alors que vous disposez d’une sauvegarde de la configuration au cas où vous devriez la restaurer à une étape
ultérieure.
Suppression d’un fichier de configuration stocké
Vous avez peut-être travaillé sur une tâche de configuration complexe et stocké un grand nombre de copies de
sauvegarde de vos fichiers dans la mémoire flash. Pour supprimer un fichier de la mémoire flash, utilisez la
commande: delete flash:nom_fichier.

10 Source :Cours CISCO

2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs

CONFIGURATION DE LA SECURITE DES COMMUTATEURS

I- configuration des options de mot de passe
Sécurisation de la console
Comm1(config)# line con 0 Remarque : Même lorsqu’un mot de passe est défini,
Comm1(config-line)# password mot_de-passe sa saisie n’est pas obligatoire tant que la commande
Comm1(config-line)# login login n’a pas été émise.
Suppression du mot de passe de la console
Comm1(config)# line con 0
Comm1(config-line)# no password mot_de-passe
Comm1(config-line)# no login
Protection des ports vty
Plusieurs ports vty peuvent être disponibles sur un Pour sécuriser toutes les lignes vty :
commutateur Cisco. Le recours à plusieurs ports Comm1(config)# line vty 0 4
permet à plusieurs administrateurs de se connecter au Comm1(config-line)# password mot_de-passe
commutateur et de le gérer. Comm1(config-line)# login
Suppression du mot de passe vty
Comm1(config)# line vty 0 4
Comm1(config-line)# no password
Comm1(config-line)# no login
Configuration du mot de passe du mode d’exécution
Comm1(config)# enable password mot_de-passe (non crypté)
ou
Comm1(config)# enable secret mot_de-passe (crypté)
Suppression du mot de passe du mode d’exécution
Comm1(config)# no enable password ou no enable secret
Configuration des mots de passe chiffrés
Pour autoriser le chiffrement des mots de passe de service :
Comm1(config)# service password-encryption
Dès que vous entrez la commande, tous les mots de passe actuellement définis sont convertis en mots de passe
chiffrés.
Pour annuler le chiffrement :
Comm1(config)# no service password-encryption
Remarque : la norme de chiffrement adoptée par la commande service password-encryption est désignée par
l’expression « type 7 ». Cette norme de chiffrement est très simple et de nombreux outils aisément accessibles sur
Internet permettent de déchiffrer les mots de passe. Le type 5 est plus sécurisé, mais vous devez l’utiliser
manuellement pour chaque mot de passe que vous configurez.
Désactivation des interfaces d'administration web
Les commandes suivantes activent puis désactivent l'administration web non sécurisée et sécurisée.
Router(config)# ip http server
Router(config)# ip http secure-server
Router(config)# no ip http server
Router(config)# no ip http secure-server

II- Configuration Telnet et SSH

Il existe deux choix pour l’accès distant à un terminal virtuel (vty) sur un commutateur Cisco.
Telnet SSH (Secure Shell)
 Méthode d'accès la plus courante  Devrait être la méthode d'accès la plus
 Envoie des flux de messages en texte clair fréquemment employée
 Méthode non sécurisée  Envoie des flux de messages chiffrés
 Méthode sécurisée
Configuration du protocole ssh pour le switch
Il est possible que des commutateurs plus anciens ne prennent en charge aucune communication sécurisée avec SS).
 Vérification de la prise en compte du protocole ssh par l'IOS
Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit figurer dans le nom de
l'IOS.
Pour vérifier la version de l'IOS :
2960-RG# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2)
Configuration du nom d'hote et du nom de domaine.
Le nom du switch ainsi que le nom de domaine (ex : mondomaine.fr) doivent avoir été configurés.
11 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
 Création de la clé
Router2960(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Router2960.mondomaine.fr
*Mar 1 00:42:43.625: %SSH-5-ENABLED: SSH 1.99 has been enabled
 Activation de ssh
Router2960(config)# ip ssh version 2
 Options ajoutées au service ssh
- les évènements associés aux connexions ssh sont enregistrés.
- Un timeout de 60 secondes est ajouté pour les sessions ssh en cas d’inactivité.
- Nous laissons trois essais pour la connexion au switch.
Router2960(config)# ip ssh logging events
Router2960(config)# ip ssh time-out 60
Router2960(config)# ip ssh authentication-retries 3
 Ajout d'un compte administrateur
Router2960(config)# username admin secret P@55w0rd
 Désactivation de telnet pour l'accès au switch
Router2960(config)# line vty 0 15
Router2960(config-line)# login local
Router2960(config-line)# transport input ssh
 Vérification de la configuration
Router2960# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 3
SSH est maintenant activé. Nous pouvons accéder au switch avec un client ssh (par exemple putty pour windows).
 Suppression de ssh
La suppression de la clé entraine la désactivation de ssh.
Router2960(config)# crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
Vérification :
Router2960# sh ip ssh
SSH Disabled - version 2.0

III- Menaces fréquents en termes de sécurités

Inondation d’adresses MAC
Malheureusement, une protection de base ne met pas les commutateurs à l’abri d’attaques malveillantes.
Dans la figure, l’hôte A envoie le trafic à l’hôte B. Le
commutateur reçoit les trames et recherche
l’adresse MAC de destination dans sa table
d’adresses MAC. Si l’adresse MAC de destination
est introuvable dans la table, le commutateur copie
la trame et la diffuse sur chaque port.
L’hôte B reçoit la trame et renvoie une réponse à
l’hôte A. Le commutateur sait alors que
l’adresse MAC de l’hôte B se trouve sur le port 2 et
inscrit ces informations dans la table
d’adresses MAC.
L’hôte C reçoit également la trame de l’hôte A à
l’hôte B mais l’adresse MAC de destination de la
trame en question étant l’hôte B, l’hôte C ignore
cette trame.
Désormais, toutes les trames transmises par l’hôte A (ou un autre) vers l’hôte B sont envoyées au port 2 du
commutateur et ne sont pas transmises à chaque port.
Important : Le MAC de B est enregistré dans la table des MACs du commutateur si la table n'est pas pleine.
Si la table est déjà pleine le MAC de B ne sera pas enregistré et toute communication de A avec B sera en diffusion sur
tous les ports. C'est ce phénomène qui sera exploité par les pirates pour annuler la fonction de commutation du
commutateur et le rendre comme un concentrateur (hub) et ceci pour pouvoir capter toutes les communications qui
transitent dans le réseau.
12 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs

L’inondation MAC est réalisable au moyen d’un outil d’attaque réseau. Le pirate utilise l’outil d’attaque sur le réseau
pour inonder le commutateur d’un nombre important d’adresses MAC jusqu’à ce que la table d’adresses MAC se
remplisse. Une fois la table d’adresses MAC remplie, le commutateur diffuse le trafic entrant sur tous les ports et ainsi,
le pirate peut recevoir et exploiter des trames qui ne lui sont pas destinées.
Attaques DHCP
Attaque par insuffisance de ressources (Starvation : Famine)
Un autre type est l’attaque par insuffisance
de ressources DHCP. Le PC pirate
demande en permanence des adresses IP
auprès d’un véritable serveur DHCP en
modifiant leurs adresses MAC source. Si ce
type d’attaque DHCP réussit, tous les baux
stockés sur le véritable serveur DHCP sont
alloués.
Exactement, un cas typique de DoS (Denial
Of Service), toute nouvelle machine qui
demanderait une adresse IP ne pourrait en
recevoir.

Mesure de sécurité
Configuration de la sécurité des ports et limiter l’accès à tous les ports à un nombre limité d’adresses mac :
 Pour activer la sécurité sur un port:
Comm1(config)# interface fastEthernet 0/18
Comm1(config-if)# switchport access vlan 1
Comm1(config-if)# switchport mode access
Comm1(config-if)# switchport port-security
Comm1(config-if)# switchport port-security violation [protect|restrict|shutdown]
 Adresses MAC sécurisées statiques
Comm1(config)# switchport port-security mac-address adresse_mac
 Limiter l’accès à tous les ports à quelques adresses MAC reconnus dynamiquement
Comm1(config)# interface range FastEthernet 0/1 - FastEthernet 0/24
Comm1(config-if-range)# switchport port-security mac-address sticky
Comm1(config-if-range)# switchport port-security maximum 4
13 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
Attaque DHCP par mystification (DHCP spoofing)
C’est une attaque de type « man in the middle » qui consiste à usurper le service DHCP. L’attaquant en se faisant
passer pour un DHCP légitime va fournir ainsi aux clients des informations erronées comme par exemple des mauvais
serveurs DNS ou une mauvaise passerelle.
Voilà donc un moyen subtil de forcer une machine à utiliser une certaine passerelle (au hasard : la machine attaquante
pour intercepter tout le trafic) et un certain serveur DNS (qui peut être sur le net : redirection de trafic, phishing et
autres).

Pour empêcher toute attaque DHCP, faites appel aux

fonctions de sécurité des ports et de
surveillance DHCP :
• Les ports fiables peuvent transmettre des
requêtes DHCP et des reçus.
• Les ports non fiables transmettent uniquement
des requêtes DHCP.

Switch(config)# ip dhcp snooping

Switch(config)# ip dhcp snooping vlan X
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/24
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate X

1. Mise en place du DHCP Snooping sur le switch (de façon globale)

2. Mise en place du DHCP Snooping sur un VLAN en particulier
3. Activation de l'option 82 (fournir des informations supplémentaires sur le client attaché au port)
4. On sélectionne l'interface fa 0/24 pour la configurer
5. On déclare le port en tant qu'interface de confiance
6. Permet de définir le maximum de requêtes que l'interface traitera (en seconde)
Attaques CDP
CDP (Cisco Discovery Protocol) est un protocole propriétaire que tous les périphériques Cisco peuvent utiliser. CDP
détecte tous les autres périphériques Cisco qui bénéficient d’une connexion directe, ce qui leur permet de configurer
automatiquement cette connexion dans certains cas, tout en simplifiant la configuration et la connectivité. Les
messages CDP ne sont pas chiffrés.
Pour résoudre ce problème de vulnérabilité, il est préférable de désactiver CDP sur les périphériques sur lesquels ce
protocole est inutile. ( commande : no cdp run )
Attaques Telnet
Attaque de mot de passe en force
Le pirate fait appel à un programme chargé de créer des combinaisons de caractères séquentielles pour tenter de
deviner le mot de passe. Lorsque le pirate dispose de suffisamment de temps, une attaque en force permet de décoder
quasiment tous les mots de passe employés.
La chose la plus simple à faire de votre côté pour limiter votre vulnérabilité face aux attaques en force est de modifier
fréquemment vos mots de passe et d’utiliser des mots de passe forts combinant au hasard des lettres en majuscules et
14 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
minuscules et des chiffres. Des configurations plus avancées vous permettent de limiter les personnes autorisées à
communiquer avec les lignes vty grâce à des listes d’accès.
Attaque par déni de service (DoS)
Dans une attaque DoS, le pirate exploite une faille d’un logiciel serveur Telnet exécuté sur le commutateur qui rend le
service Telnet indisponible. Ce type d’attaque constitue surtout une nuisance puisqu’il empêche un administrateur
d’exécuter les fonctions de gestion du commutateur.
Les vulnérabilités du service Telnet qui autorisent les attaques DoS sont généralement traitées au moyen de correctifs
de sécurité inclus dans les nouvelles versions révisées du logiciel Cisco IOS. Si votre service Telnet, ou tout autre
service installé sur un périphérique Cisco, est la cible d’une attaque DoS, vérifiez si une nouvelle version du logiciel
Cisco IOS est disponible.

IV- Réduction des attaques via la configuration de la sécurité des ports

Sécurité des ports
Tous les ports ou les interfaces de commutateur doivent être sécurisés avant le déploiement du commutateur. La
sécurité des ports restreint le nombre d’adresses MAC autorisées sur un port. Lorsque vous affectez des
adresses MAC sécurisées à un port tout aussi sécurisé, ce dernier ne transmet aucun paquet avec adresse source en
dehors du groupe des adresses définies.
Si vous limitez le nombre des adresses MAC sécurisées à une adresse et affectez une adresse MAC sécurisée unique
sur ce port, la station de travail reliée au port bénéficie de la bande passante intégrale de ce dernier et seule cette
station de travail dotée de cette adresse MAC sécurisée en particulier peut se connecter avec succès à ce port du
commutateur.
Adresses MAC sécurisées
Il existe plusieurs façons de configurer la sécurité des ports. Les sections suivantes décrivent les moyens de configurer
la sécurité des ports sur un commutateur Cisco :
 Pour activer la sécurité sur un port:
Comm1(config)# interface fastEthernet 0/18
Comm1(config-if)# switchport mode access
Comm1(config-if)# switchport access vlan 1
Comm1(config-if)# switchport port-security
 Adresses MAC sécurisées statiques :
switchport port-security mac-address adresse_mac
Les adresses MAC configurées de cette manière sont stockées dans la table d’adresses et sont ajoutées à la
configuration en cours sur le commutateur.
 Adresses MAC sécurisées dynamiques :
Les adresses MAC sont assimilées de manière dynamique et stockées uniquement dans la table d’adresses. Les
adresses MAC configurées ainsi sont supprimées au redémarrage du commutateur.
Vous pouvez configurer un port pour assimiler dynamiquement des adresses MAC, puis enregistrer ces dernières
dans la configuration en cours.
switchport port-security mac-address sticky
Exemple :
Comm1(config-if)# switchport port-security maximum 50
Comm1(config-if)# switchport port-security mac-address sticky
Cet exemple présente la syntaxe de commande Cisco IOS utilisée pour fixer le nombre maximal d’adresses MAC
à 50. Par défaut, le mode de violation est shutdown.
 Modes de violation de sécurité
Lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses
source inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou
augmentiez le nombre maximal d’adresses à autoriser .
En fonction de l’action à entreprendre en cas de violation, vous pouvez configurer l’interface pour l’un des trois
modes de violation
protect : Aucun message de notification ne vous est adressé en cas de violation de la sécurité.
restrict : Vous permet d’être informé si une violation de la sécurité constatée. Un message syslog est consigné
et le compteur de violation est incrémenté.
shutdown : Toute violation de sécurité entraîne immédiatement la désactivation de l’enregistrement des erreurs
dans l’interface et celle de la LED du port. Une interruption SNMP est également transmise, un
message syslog est consigné et le compteur de violation est incrémenté. Il s’agit du mode par défaut.
Comm1(config-if)#switchport port-security violation protect|restrict|shutdown

15 Source : Cours CISCO

2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
Vérification de la sécurité des ports
Une fois la sécurité des ports de votre commutateur configurée, vous chercherez à vérifier qu’elle a été configurée
comme il se doit. Vous devez inspecter chaque interface pour vérifier que vous avez correctement défini le port. Vous
devez également vous assurer que les adresses MAC statiques ont elles aussi été configurées comme il se doit.
 Vérifier les paramètres de sécurité des ports
Pour afficher les paramètres de sécurité des ports du commutateur ou de l’interface spécifiée:
show port-security [interface id_interface].
S1# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 00E0.F7B0.086E:99
Security Violation Count : 1
 Vérifier les adresses MAC sécurisées
Pour afficher toutes les adresses MAC sécurisées configurées dans toutes les interfaces de commutation ou sur
une interface définie avec informations d’obsolescence pour chacune:
show port-security address
S1# show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age (mins)
99 0060.5C5B.CD23 SecureSticky FastEthernet0/18 -
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
Désactivation des ports inutilisés
Accédez à chaque port inutilisé et taper la commande : shutdown
On peut utiliser la commande interface range pour sélectionner plusieurs interfaces inutilisées puis les désactiver.
Exemple :
Comm1(config)# interface range FastEthernet 0/6 - FastEthernet 0/10
Comm1(config-if-range)# shutdown
Remarque : La commande précédente peut être abrégée en « in r f0/6-10 »

16 Source : Cours CISCO