Académique Documents
Professionnel Documents
Culture Documents
Trame Ethernet
Domaines de collision
Lorsque vous étendez un réseau local Ethernet dans le but de prendre en charge un plus grand nombre d’utilisateurs
tout en augmentant les besoins en bande passante, le risque de collision est accru. Pour diminuer le nombre de
nœuds sur un segment réseau donné, vous pouvez créer des segments réseau physiques distincts appelés
« domaines de collision ».
Le terme « domaine de collision » désigne la zone du réseau d’où proviennent les trames qui entrent en collision.
Lorsqu’un hôte est connecté à un port de commutateur, le commutateur crée une connexion dédiée. Cette connexion
est interprétée comme un domaine de collision individuel puisque le trafic reste indépendant de toutes les autres
formes de trafic, éliminant ainsi le risque de collision.
Les commutateurs réduisent donc le nombre de collisions et optimisent la bande passante sur les segments réseau,
puisqu’ils offrent une bande passante dédiée à chacun de ces segments.
2 Source :Cours CISCO
2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Domaines de diffusion
Si les commutateurs filtrent la plupart des trames sur la base des adresses MAC dont ils disposent, ils ne filtrent pas
en revanche les trames de diffusion. Un ensemble de commutateurs interconnectés constitue un domaine de
diffusion unique. Lorsqu’un périphérique souhaite envoyer une diffusion de couche 2, l’adresse MAC de destination
de la trame contient uniquement des 1.
Le domaine de diffusion sur la couche 2 est désigné par l’expression « domaine de diffusion MAC ». Ce domaine
comprend tous les périphériques du réseau local qui reçoivent d’un hôte les trames de diffusion destinées à tous les
autres ordinateurs du réseau local.
Quand un commutateur reçoit une trame de diffusion, il transmet la trame à chacun de ses ports, à l’exception du port
en réception. Chaque périphérique connecté reconnaît la trame de diffusion et la traite. L’efficacité du réseau est de
ce fait réduite puisque la bande passante sert à propager le trafic diffusé.
Latence du réseau
La latence est le temps nécessaire à une trame ou à un paquet pour circuler entre la station source et sa destination
finale.
Premièrement, le temps nécessaire à la carte réseau source pour émettre des impulsions électriques sur le câble,
plus le temps nécessaire à la carte réseau de destination pour interpréter ces impulsions.
Deuxièmement, le délai de propagation réel du signal traversant le câble. En règle générale, ce délai est d’environ
0,556 microseconde par 100 m de câble à paires torsadées non blindées (UTP) de catégorie 5.
Enfin, du temps de latence est ajouté en fonction des périphériques réseau qui se trouvent sur le chemin entre les
deux périphériques. Il s’agit des périphériques de couche 1, 2 ou 3.
La principale cause de latence constatée sur un réseau local commuté est davantage liée aux supports transmis, aux
protocoles de routage employés et aux applications exécutées sur le réseau.
Encombrement du réseau
Le principal intérêt de segmenter un réseau local en parties plus infimes est d’isoler le trafic et d’optimiser l’utilisation
de la bande passante pour chaque utilisateur. Sans segmentation, un réseau local est vite submergé par le trafic et
les collisions. La figure présente un réseau encombré qui héberge plusieurs nœuds et un concentrateur.
Les causes d’encombrement les plus courantes sont les suivantes :
Technologies réseau et informatiques de plus en plus puissantes (transmettent et de traitent davantage de
données avec des débits accrus sur le réseau)
Volume de trafic réseau accru puisque des ressources distantes sont nécessaires pour mener à bien des tâches
élémentaires.
Messages de diffusion, tels que les requêtes de résolution d’adresse émises par le protocole ARP.
Applications à bande passante élevée (publication assistée par ordinateur, de conception technique, e-learning,
lecture vidéo en continu…)
Vérification de la configuration
VLAN 99 configuré sur le port F0/18
S1# show running-config
...
!
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
...
!
interface Vlan99
ip address 172.17.99.11 255.255.255.0
no ip route-cache
!
État du VLAN 99 et du port F0/18
S1# show ip interface brief
Interface IP-Address OK? Method Status
Protocol
Vlan99 172.17.99.11 YES manual up up
...
FastEthernet0/18 unassigned YES unset up up
FastEthernet0/19 unassigned YES unset down down
...
GigabitEthernet0/2 unassigned YES unset down down
S1#
Configuration du mode bidirectionnel et de la vitesse
La figure suivante décrit les étapes à suivre pour configurer le port F0/1 sur le commutateur Comm1.
L’une des tâches les plus courantes pour un apprenti technicien réseau consiste à importer une configuration sur un
commutateur. Dans cette rubrique, vous allez apprendre à importer et stocker une configuration dans la mémoire
flash du commutateur et sur un serveur TFTP.
NVRAM
Sauvegarde de la configuration
Comm1# copy system:running-config flash:startup-config
Nom du fichier de destination [startup-config] ?
Appuyez sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
9 Source :Cours CISCO
2ème année BTS SRI - S33 Concepts et configuration de base de la commutation
Comm1# copy startup-config flash:config.bak1
Nom du fichier de destination [config.bak1] ?
Sauvegardez la configuration de démarrage dans un fichier stocké dans la mémoire vive non volatile flash. Appuyez
sur la touche Entrée pour valider ou sur les touches Crtl+C pour annuler.
Restauration de la configuration
Comm1# copy flash:config.bak1 startup-config
Nom du fichier de destination [startup-config] ?
Copiez le fichier config.bak1 stocké dans la mémoire flash dans la configuration de démarrage qui doit être stockée
dans la mémoire flash.
Comm1# reload
Demandez à Cisco IOS de redémarrer le commutateur.
Serveur TFTP
Vous pouvez utiliser le protocole TFTP pour la sauvegarde de vos fichiers de configuration sur le réseau. Cisco IOS
est fourni avec un client TFTP intégré qui vous permet de vous connecter à un serveur TFTP sur votre réseau.
Remarque : Si vous ne disposez pas déjà d’un serveur TFTP actif, des logiciels pour serveurs TFTP gratuits sont
disponibles sur Internet. Un serveur TFTP fréquemment employé est disponible sur le site www.solarwinds.com.
Sauvegarde de la configuration
Pour télécharger un fichier de configuration depuis un commutateur vers un serveur TFTP à des fins de stockage,
procédez comme suit :
Étape 1. Vérifiez que le serveur TFTP est en cours d’exécution sur votre réseau.
Étape 2. Connectez-vous au commutateur via le port de console ou une session Telnet. Activez le commutateur, puis
envoyez une requête ping sur le serveur TFTP.
Étape 3. Téléchargez la configuration du commutateur sur le serveur TFTP. Précisez l’adresse IP ou le nom d’hôte
du serveur TFTP, ainsi que le nom du fichier de destination. La commande Cisco IOS est la suivante :
#copy system:running-config tftp:[[[//emplacement]/répertoire]/nom_fichier]
#copy nvram:startup-config tftp:[[[//emplacement]/répertoire]/nom_fichier]
Exemple :
Sl#copy System:running-config tftp://172.16.2.155/tokyo-confg
Write file tokyo-confg on host 172.16.2.155? [confirm] y
Writing tokyo-confg!! ! [OK]
Restauration de la configuration
Une fois la configuration stockée avec succès sur le serveur TFTP, procédez comme suit pour la recopier dans le
commutateur :
Étape 1. Copiez le fichier de configuration dans le répertoire TFTP approprié, sur le serveur TFTP, s’il ne s’y trouve
pas déjà.
Étape 2. Vérifiez que le serveur TFTP est actif sur votre réseau.
Étape 3. Connectez-vous au commutateur via le port de console ou une session Telnet. Activez le commutateur, puis
envoyez une requête ping sur le serveur TFTP.
Étape 4. Téléchargez le fichier de configuration du serveur TFTP afin de configurer le commutateur. Précisez
l’adresse IP ou le nom d’hôte du serveur TFTP, ainsi que le nom du fichier à télécharger. La commande
Cisco IOS est la suivante :
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] system:running-config
#copy tftp:[[[//emplacement]/répertoire]/nom_fichier] nvram:startup-config.
Suppression des paramètres de configuration
Pour effacer le contenu de votre configuration de démarrage, utilisez, en mode d’exécution privilégié, la commande :
erase nvram: ou erase startup-config
Attention : vous ne pouvez pas restaurer le fichier de configuration de démarrage après l’avoir effacé. Assurez-vous
alors que vous disposez d’une sauvegarde de la configuration au cas où vous devriez la restaurer à une étape
ultérieure.
Suppression d’un fichier de configuration stocké
Vous avez peut-être travaillé sur une tâche de configuration complexe et stocké un grand nombre de copies de
sauvegarde de vos fichiers dans la mémoire flash. Pour supprimer un fichier de la mémoire flash, utilisez la
commande: delete flash:nom_fichier.
L’inondation MAC est réalisable au moyen d’un outil d’attaque réseau. Le pirate utilise l’outil d’attaque sur le réseau
pour inonder le commutateur d’un nombre important d’adresses MAC jusqu’à ce que la table d’adresses MAC se
remplisse. Une fois la table d’adresses MAC remplie, le commutateur diffuse le trafic entrant sur tous les ports et ainsi,
le pirate peut recevoir et exploiter des trames qui ne lui sont pas destinées.
Attaques DHCP
Attaque par insuffisance de ressources (Starvation : Famine)
Un autre type est l’attaque par insuffisance
de ressources DHCP. Le PC pirate
demande en permanence des adresses IP
auprès d’un véritable serveur DHCP en
modifiant leurs adresses MAC source. Si ce
type d’attaque DHCP réussit, tous les baux
stockés sur le véritable serveur DHCP sont
alloués.
Exactement, un cas typique de DoS (Denial
Of Service), toute nouvelle machine qui
demanderait une adresse IP ne pourrait en
recevoir.
Mesure de sécurité
Configuration de la sécurité des ports et limiter l’accès à tous les ports à un nombre limité d’adresses mac :
Pour activer la sécurité sur un port:
Comm1(config)# interface fastEthernet 0/18
Comm1(config-if)# switchport access vlan 1
Comm1(config-if)# switchport mode access
Comm1(config-if)# switchport port-security
Comm1(config-if)# switchport port-security violation [protect|restrict|shutdown]
Adresses MAC sécurisées statiques
Comm1(config)# switchport port-security mac-address adresse_mac
Limiter l’accès à tous les ports à quelques adresses MAC reconnus dynamiquement
Comm1(config)# interface range FastEthernet 0/1 - FastEthernet 0/24
Comm1(config-if-range)# switchport port-security mac-address sticky
Comm1(config-if-range)# switchport port-security maximum 4
13 Source : Cours CISCO
2ème année BTS SRI - S33 Configuration de la sécurité des commutateurs
Attaque DHCP par mystification (DHCP spoofing)
C’est une attaque de type « man in the middle » qui consiste à usurper le service DHCP. L’attaquant en se faisant
passer pour un DHCP légitime va fournir ainsi aux clients des informations erronées comme par exemple des mauvais
serveurs DNS ou une mauvaise passerelle.
Voilà donc un moyen subtil de forcer une machine à utiliser une certaine passerelle (au hasard : la machine attaquante
pour intercepter tout le trafic) et un certain serveur DNS (qui peut être sur le net : redirection de trafic, phishing et
autres).