Traduit de Anglais vers Français - www.onlinedoctranslator.

com

Chapitre 10
Commutation de couche 2

LES SUJETS D'EXAMEN ICND1 SUIVANTS SONT COUVERTS DANS CE CHAPITRE :

Technologies de commutation LAN 2.0

2.1 Décrire et vérifier les concepts de commutation

2.1.a Apprentissage et vieillissement du MAC

2.1.b Commutation de trame

2.1.c Inondation de trame

2.1.d Tableau des adresses MAC

2.7 Configurer, vérifier et dépanner la sécurité des ports

2.7.a Statique

2.7.b Dynamique

2.7.c Collant

2.7.d Adresses MAC max.

2.7.e Actions en cas d'infraction

2.7.f Erreur de désactivation de la récupération

Lorsque les gens de Cisco discutent de la commutation en ce qui concerne Cisco

objectifs d'examen, ils parlent de changement de couche 2, sauf indication contraire. La commutation de
couche 2 est le processus d'utilisation de l'adresse matérielle des périphériques sur un LAN pour segmenter
un réseau. Puisque vous avez maintenant une idée de base de la façon dont cela fonctionne, nous allons
approfondir les détails de la commutation de couche 2 pour nous assurer que votre concept de
fonctionnement est solide et complet.

Vous savez déjà que nous comptons sur la commutation pour diviser les grands domaines de collision en plus petits
et qu'un domaine de collision est un segment de réseau avec deux appareils ou plus partageant la même bande
passante. Un réseau hub est un exemple typique de ce type de technologie. Mais comme chaque port d'un
commutateur est en fait son propre domaine de collision, nous avons pu créer un bien meilleur réseau LAN Ethernet
en remplaçant simplement nos concentrateurs par des commutateurs !

Les commutateurs ont véritablement changé la façon dont les réseaux sont conçus et mis en œuvre. Si une
conception commutée pure est correctement mise en œuvre, cela se traduira absolument par un interréseau
propre, rentable et résilient. Dans ce chapitre, nous examinerons et comparerons la manière dont les réseaux ont
été conçus avant et après l'introduction des technologies de commutation.

J'utiliserai trois commutateurs pour commencer notre configuration d'un réseau commuté, et nous
continuerons en fait avec leurs configurations au chapitre 11, « VLAN et routage inter-VLAN ».
 Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter

www.lammle.com/ccna ou la page Web du livre àwww.sybex.com/go/ccna .

Changer de service
Contrairement aux anciens ponts, qui utilisaient un logiciel pour créer et gérer une table de filtrage de mémoire adressable
par le contenu (CAM), nos nouveaux commutateurs rapides utilisent des circuits intégrés spécifiques à l'application (ASIC)
pour créer et maintenir leurs tables de filtrage MAC. Mais il est toujours acceptable de considérer un commutateur de
couche 2 comme un pont multiport car leur raison d'être fondamentale est la même : briser les domaines de collision.

Les commutateurs et les ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps à examiner
les informations d'en-tête de la couche réseau. Au lieu de cela, ils regardent les adresses matérielles de la trame avant de
décider de transférer, d'inonder ou de supprimer la trame.

Contrairement aux concentrateurs, les commutateurs créent des domaines de collision privés et dédiés et fournissent une bande
passante indépendante exclusive sur chaque port.

Voici une liste de quatre avantages importants que nous obtenons lors de l'utilisation de la commutation de couche 2 :

Pontage matériel (ASIC)

Vitesse filaire
Faible latence

Faible coût

Une grande raison pour laquelle la commutation de couche 2 est si efficace est qu'aucune modification du paquet de
données n'a lieu. L'appareil ne lit que la trame encapsulant le paquet, ce qui rend le processus de commutation
considérablement plus rapide et moins sujet aux erreurs que les processus de routage.

Et si vous utilisez la commutation de couche 2 pour la connectivité des groupes de travail et la segmentation du
réseau (rupture des domaines de collision), vous pouvez créer plus de segments de réseau qu'avec les réseaux
routés traditionnels. De plus, la commutation de couche 2 augmente la bande passante pour chaque utilisateur car,
encore une fois, chaque connexion, ou interface dans le commutateur, est son propre domaine de collision
autonome.

Trois fonctions de commutation au niveau 2

Il existe trois fonctions distinctes de commutation de couche 2 dont vous devez absolument vous souvenir :
aborder l'apprentissage,transmettre/filtrer les décisions, etévitement de boucle.

Adresser l'apprentissageLes commutateurs de couche 2 se souviennent de l'adresse matérielle source de chaque trame
reçue sur une interface et entrent ces informations dans une base de données MAC appelée table de transfert/filtrage.

Transférer/filtrer les décisionsLorsqu'une trame est reçue sur une interface, le commutateur examine
l'adresse matérielle de destination, puis choisit l'interface de sortie appropriée dans la base de données
MAC. De cette façon, la trame n'est transmise qu'à partir du port de destination correct.

Évitement de boucleSi plusieurs connexions entre les commutateurs sont créées à des fins de redondance, des
boucles de réseau peuvent se produire. Le protocole Spanning Tree (STP) est utilisé pour empêcher les boucles de
réseau tout en permettant la redondance.

Ensuite, je vais parler de l'apprentissage des adresses et des décisions de transfert/filtrage.

L'évitement des boucles dépasse le cadre des objectifs couverts dans ce chapitre.

Apprentissage des adresses

Lorsqu'un commutateur est mis sous tension pour la première fois, la table de transfert/filtrage MAC (CAM) est vide, comme indiqué dans
Illustration 10.1 .

FIGURE 10.1 Table de transfert/filtre vide sur un commutateur

Lorsqu'un appareil transmet et qu'une interface reçoit une trame, le commutateur place l'adresse source de la trame
dans la table de transfert/filtrage MAC, ce qui lui permet de se référer à l'interface précise sur laquelle se trouve
l'appareil émetteur. Le commutateur n'a alors d'autre choix que d'inonder le réseau avec cette trame à partir de
chaque port, à l'exception du port source, car il n'a aucune idée de l'emplacement réel du périphérique de destination.

Si un appareil répond à cette trame inondée et renvoie une trame, le commutateur prendra l'adresse source de cette
trame et placera également cette adresse MAC dans sa base de données, en associant cette adresse à l'interface qui a
reçu la trame. Étant donné que le commutateur dispose désormais des deux adresses MAC pertinentes dans sa table
de filtrage, les deux appareils peuvent désormais établir une connexion point à point. Le commutateur n'a pas besoin
d'inonder la trame comme il l'a fait la première fois, car désormais les trames peuvent et ne seront transmises qu'entre
ces deux appareils. C'est exactement pourquoi les commutateurs de couche 2 sont si supérieurs aux concentrateurs.
Dans un réseau concentrateur, toutes les trames sont transmises à tous les ports à chaque fois, quoi qu'il arrive.
Illustration 10.2 montre les processus impliqués dans la construction d'une base de données MAC.

FIGURE 10.2 Comment les commutateurs apprennent les emplacements des hôtes

Dans cette figure, vous pouvez voir quatre hôtes connectés à un commutateur. Lorsque le commutateur est sous tension, il
n'a rien dans sa table de transfert/filtrage d'adresses MAC, tout comme dansIllustration 10.1 . Mais lorsque les hôtes
commencent à communiquer, le commutateur place l'adresse matérielle source de chaque trame dans le
table avec le port auquel correspond l'adresse source de la trame.
Permettez-moi de vous donner un exemple de la façon dont une table de transfert/filtre est remplie à l'aide deIllustration 10.2 :

1. L'hôte A envoie une trame à l'hôte B. L'adresse MAC de l'hôte A est 0000.8c01.000A ; L'adresse MAC de
l'hôte B est 0000.8c01.000B.

2. Le commutateur reçoit la trame sur l'interface Fa0/0 et place l'adresse source dans la table
d'adresses MAC.
3. Étant donné que l'adresse de destination ne se trouve pas dans la base de données MAC, la trame est transmise à toutes les
interfaces à l'exception du port source.

4. L'hôte B reçoit la trame et répond à l'hôte A. Le commutateur reçoit cette trame sur
l'interface Fa0/1 et place l'adresse matérielle source dans la base de données MAC.
5. L'hôte A et l'hôte B peuvent maintenant établir une connexion point à point et seuls ces appareils
spécifiques recevront les trames. Les hôtes C et D ne verront pas les trames et leurs adresses MAC ne
seront pas trouvées dans la base de données car ils n'ont pas encore envoyé de trame au commutateur.

Si l'hôte A et l'hôte B ne communiquent plus avec le commutateur dans un certain délai, le commutateur
videra leurs entrées de la base de données pour la maintenir aussi à jour que possible.

Décisions de transfert/filtrage

Lorsqu'une trame arrive à une interface de commutateur, l'adresse matérielle de destination est comparée à la base
de données MAC de transfert/filtrage. Si l'adresse matérielle de destination est connue et répertoriée dans la base
de données, la trame est uniquement envoyée depuis l'interface de sortie appropriée. Le commutateur ne
transmettra la trame sur aucune interface, à l'exception de l'interface de destination, qui préserve la bande passante
sur les autres segments du réseau. Ce processus est appeléfiltrage de trame.

Mais si l'adresse matérielle de destination n'est pas répertoriée dans la base de données MAC, la trame sera inondée
de toutes les interfaces actives à l'exception de l'interface sur laquelle elle a été reçue. Si un appareil répond à la
trame inondée, la base de données MAC est alors mise à jour avec l'emplacement de l'appareil, son interface correcte.

Si un hôte ou un serveur envoie une diffusion sur le réseau local, par défaut, le commutateur inondera la trame de tous
les ports actifs à l'exception du port source. N'oubliez pas que le commutateur crée des domaines de collision plus petits,
mais il s'agit toujours d'un grand domaine de diffusion par défaut.

DansIllustration 10.3 , l'hôte A envoie une trame de données à l'hôte D. Que pensez-vous que le
commutateur fera lorsqu'il recevra la trame de l'hôte A ?

FIGURE 10.3 Tableau de transfert/filtrage examinons

Illustration 10.4 pour trouver la réponse.

FIGURE 10.4 Réponse du tableau de transfert/filtrage

Étant donné que l'adresse MAC de l'hôte A n'est pas dans la table de transfert/filtrage, le commutateur
ajoutera l'adresse source et le port à la table d'adresses MAC, puis transmettra la trame à l'hôte D. Il est
vraiment important de se rappeler que le MAC source est toujours vérifié en premier. pour vous assurer qu'il
est dans la table CAM. Après cela, si l'adresse MAC de l'hôte D n'a pas été trouvée dans la table de transfert/
filtre, le commutateur aurait inondé la trame de tous les ports à l'exception du port Fa0/3 car c'est le port
spécifique sur lequel la trame a été reçue.

Examinons maintenant la sortie qui résulte de l'utilisation d'unafficher la table d'adresses mac
commande:

Changer#table d'adresses sh mac

VLAN Adresse Mac Taper Ports
---- ----------- -------- -----
1 0005.dccb.d74b DYNAMIQUE Fa0/1
1 000a.f467.9e80 DYNAMIQUE Fa0/3
1 000a.f467.9e8b DYNAMIQUE Fa0/4
1 000a.f467.9e8c DYNAMIQUE Fa0/3
1 0010.7b7f.c2b0 DYNAMIQUE Fa0/3
1 0030.80dc.460b DYNAMIQUE Fa0/3
1 0030.9492.a5dd DYNAMIQUE Fa0/1
1 00d0.58ad.05f4 DYNAMIQUE Fa0/1

Mais disons que le switch précédent a reçu une trame avec les adresses MAC suivantes :
MAC source :0005.dccb.d74b MAC
de destination :000a.f467.9e8c
Comment le commutateur gérera-t-il ce cadre ? La bonne réponse est que l'adresse MAC de destination sera trouvée
dans la table d'adresses MAC et que la trame ne sera transmise qu'à Fa0/3. N'oubliez jamais que si l'adresse MAC de
destination n'est pas trouvée dans la table de transfert/filtrage, la trame sera transmise à tous les ports du
commutateur, à l'exception de celui sur lequel elle a été reçue à l'origine pour tenter de localiser le périphérique de
destination. Maintenant que vous pouvez voir la table d'adresses MAC et comment les commutateurs ajoutent des
adresses d'hôte à la table de filtrage de transfert, comment pensez-vous que nous pouvons la protéger des
utilisateurs non autorisés ?

Sécurité portuaire
Ce n'est généralement pas une bonne chose d'avoir vos commutateurs à la disposition de n'importe qui pour se brancher
et jouer avec. Je veux dire, nous nous soucions de la sécurité sans fil, alors pourquoi n'exigerions-nous pas autant, sinon
plus, la sécurité des commutateurs ?

Mais comment empêcher quelqu'un de simplement brancher un hôte sur l'un de nos ports de commutateur ou,
pire, d'ajouter un concentrateur, un commutateur ou un point d'accès sur la prise Ethernet de son bureau ? Par
défaut, les adresses MAC apparaîtront dynamiquement dans votre base de données de transfert/filtrage MAC et
vous pouvez les arrêter dans leur élan en utilisant la sécurité des ports !

Illustration 10.5 montre deux hôtes connectés au port Fa0/3 du commutateur unique via un concentrateur ou un
point d'accès (AP).

FIGURE 10.5 "Port security » sur un port de commutateur limite l'accès au port par adresse MAC.

Le port Fa0/3 est configuré pour observer et autoriser uniquement certaines adresses MAC à s'associer au
port spécifique. Ainsi, dans cet exemple, l'hôte A se voit refuser l'accès, mais l'hôte B est autorisé à s'associer
au port.

En utilisant la sécurité des ports, vous pouvez limiter le nombre d'adresses MAC pouvant être attribuées dynamiquement à
un port, définir des adresses MAC statiques et, voici ma partie préférée, définir des sanctions pour les utilisateurs qui
abusent de votre politique ! Personnellement, j'aime que le port soit fermé lorsque la politique de sécurité est violée. Faire
en sorte que les agresseurs m'apportent une note de leur patron expliquant pourquoi ils ont violé la politique de sécurité
apporte une certaine justice poétique, ce qui est agréable. Et j'aurai également besoin de quelque chose comme ça avant
de réactiver leur port. Des choses comme celle-ci semblent vraiment aider les gens à se rappeler de se comporter !

Tout cela est bien, mais vous devez toujours équilibrer vos besoins de sécurité particuliers avec le temps que
leur mise en œuvre et leur gestion exigeront de manière réaliste. Si vous avez beaucoup de temps libre, alors
allez-y et verrouillez sérieusement votre réseau dans un coffre-fort ! Si vous êtes occupé comme le reste d'entre
nous, je suis ici pour vous rassurer qu'il existe des moyens de bien sécuriser les choses sans être totalement
submergé par une énorme quantité de frais administratifs. Tout d'abord, et sans douleur, n'oubliez pas de
toujours fermer les ports inutilisés ou de les affecter à un VLAN inutilisé. Tous les ports sont activés par défaut,
vous devez donc vous assurer qu'il n'y a pas d'accès aux ports de commutateur inutilisés !

Voici vos options pour configurer la sécurité des ports :

Changer#config t
Commutateur (configuration) #entier f0/1
Commutateur (config-if) #accès en mode switchport
Commutateur (config-if) #switchport port-sécurité
Commutateur (config-if) #switchport port-sécurité ?
vieillissement Commandes de vieillissement de la sécurité des
Adresse Mac ports Adresse mac sécurisée
maximum Max adresses sécurisées
violation Mode violation de sécurité
<cr>

La plupart des commutateurs Cisco sont livrés avec leurs ports en mode souhaitable, ce qui signifie que ces
ports souhaiteront se connecter lorsqu'ils détecteront qu'un autre commutateur vient d'être connecté. Donc,
d'abord, nous devons changer le port du mode souhaitable et en faire un port d'accès à la place. Si nous ne le
faisons pas, nous ne pourrons pas du tout configurer la sécurité des ports ! Une fois que cela est réglé, nous
pouvons passer à l'aide de notreport-sécuritécommandes, sans jamais oublier que nous devons activer la
sécurité des ports sur l'interface avec la commande de baseswitchport portsecurity.Remarquez que je l'ai fait
après avoir fait du port un port d'accès !

La sortie précédente illustre clairement que leswitchport port-sécuritéLa commande peut être utilisée
avec quatre options. Vous pouvez utiliser leadresse mac de sécurité du port switchportAdresse Mac
pour attribuer des adresses MAC individuelles à chaque port de commutateur, mais soyez averti car
si vous optez pour cette option, vous feriez mieux d'avoir beaucoup de temps devant vous !

Vous pouvez configurer l'appareil pour qu'il entreprenne l'une des actions suivantes lorsqu'une violation de
sécurité se produit en utilisant leswitchport port-sécuritécommande:

Protéger:Le mode de violation de protection supprime les paquets avec des adresses source inconnues jusqu'à ce que vous
supprimiez suffisamment d'adresses MAC sécurisées pour tomber en dessous de la valeur maximale.

Limiter:Le mode de violation de restriction supprime également les paquets avec des adresses source inconnues jusqu'à ce
que vous supprimiez suffisamment d'adresses MAC sécurisées pour passer en dessous de la valeur maximale. Cependant, il
génère également un message de journal, provoque l'incrémentation du compteur de violations de sécurité et envoie une
interruption SNMP.

Fermer:L'arrêt est le mode de violation par défaut. Le mode de violation d'arrêt place immédiatement
l'interface dans un état d'erreur désactivée. Tout le port est fermé. De plus, dans ce mode, le système
génère un message de journal, envoie une interruption SNMP et incrémente le compteur de violation.
Pour rendre l'interface utilisable, vous devez effectuer unefermé/non fermé
sur l'interface.
Si vous souhaitez configurer un port de commutateur pour n'autoriser qu'un seul hôte par port et vous assurer que le
port s'arrêtera si cette règle est violée, utilisez les commandes suivantes comme ceci :

Commutateur (config-if) #switchport port-sécurité maximum 1

Commutateur (config-if) #arrêt de la violation de la sécurité du port switchport

Ces commandes sont probablement les plus populaires car elles empêchent des utilisateurs aléatoires de se
connecter à un commutateur ou à un point d'accès spécifique qui se trouve dans leur bureau. La valeur par
défaut de la sécurité du port qui est immédiatement définie sur un port lorsqu'il est activé estmaximum 1et
infraction à l'arrêt.Cela semble correct, mais l'inconvénient est qu'il ne permet d'utiliser qu'une seule adresse
MAC sur le port, donc si quelqu'un, y compris vous, essaie d'ajouter un autre hôte sur ce segment, le port du
commutateur entrera immédiatement désactivé. l'état et le port deviendra orange. Et lorsque cela se produit,
vous devez entrer manuellement dans le commutateur et réactiver le port en le cyclant avec unfermerpuis un
Pas d'extinctioncommande.

L'une de mes commandes préférées est probablement lacollantcommande, et pas seulement parce qu'elle porte
un nom sympa. Cela fait aussi des choses très cool! Vous pouvez trouver cette commande sous le
Adresse Maccommande:

Commutateur (config-if) #switchport port-security mac-address collant

Commutateur (config-if) #switchport port-sécurité maximum 2
Commutateur (config-if) #arrêt de la violation de la sécurité du port switchport

En gros, avec lecollantcommande, vous pouvez fournir une sécurité d'adresse MAC statique sans avoir à
saisir l'adresse MAC de tout le monde sur le réseau. J'aime les choses qui me font gagner du temps
comme ça !

Dans l'exemple précédent, les deux premières adresses MAC entrant dans le port "s'y collent" en tant
qu'adresses statiques et seront placées dans la configuration en cours, mais lorsqu'une troisième adresse
tentait de se connecter, le port se fermait immédiatement.

Je reviendrai sur les objectifs de sécurité des ports CCENT dans les exemples de

configuration plus loin dans ce chapitre. Ils sont importants !

Permettez-moi de vous montrer un autre exemple.Illustration 10.6 affiche un hôte dans un hall d'entreprise qui
doit être sécurisé contre le câble Ethernet utilisé par toute personne autre qu'une seule personne autorisée.

FIGURE 10.6 Protéger un PC dans un hall

Que pouvez-vous faire pour vous assurer que seule l'adresse MAC du PC du lobby est autorisée par le port de
commutateur Fa0/1 ?

La solution est assez simple car dans ce cas, les valeurs par défaut de la sécurité des ports fonctionneront bien. Tout
ce qu'il me reste à faire est d'ajouter une entrée MAC statique :

Commutateur (config-if) #switchport port-sécurité

Commutateur (config-if) #restriction de violation de la sécurité du port switchport
Commutateur (config-if) #switchport port-security adresse-mac
aa.bb.cc.dd.ee.ff

Pour protéger le PC du lobby, nous définirions le maximum d'adresses MAC autorisées sur 1 et la violation
surlimiterainsi le port n'a pas été arrêté chaque fois que quelqu'un a essayé d'utiliser le câble Ethernet (qui
serait constamment). En utilisantviolation restreindre,les trames non autorisées seraient simplement
supprimées. Mais avez-vous remarqué que j'ai activésécurité du portpuis définir une adresse MAC statique ?
N'oubliez pas que dès que vous activezsécurité du portsur un port, il est par défautinfraction à l'arrêtet un
maximum de 1. Donc, tout ce que j'avais à faire était de changer le mode de violation et d'ajouter l'adresse
MAC statique et notre exigence commerciale est solidement satisfaite !
 Le PC du hall toujours déconnecté devient un risque pour la sécurité
Dans une grande entreprise Fortune 50 à San Jose, en Californie, il y avait un PC dans le hall qui contenait
l'annuaire de l'entreprise. En l'absence de garde de sécurité dans le hall, le câble Ethernet reliant le PC était
un jeu gratuit pour tous les fournisseurs, sous-traitants et visiteurs attendant dans le hall.

La sécurité portuaire à la rescousse ! Lorsque la sécurité du port a été activée sur le port avec le
switchport port-sécuritécommande, le port du commutateur se connectant au PC a été
automatiquement sécurisé avec les valeurs par défaut permettant à une seule adresse MAC de
s'associer au port et à l'arrêt de la violation. Cependant, le port passait toujours en mode err-
shutdown chaque fois que quelqu'un essayait d'utiliser le port Ethernet. Lorsque le mode de violation
a été changé enlimiteret une adresse MAC statique a été définie pour le port avec le
switchport port-security mac-addresscommande, seul le Lobby PC a pu
pour se connecter et communiquer sur le réseau ! Problème résolu!

Évitement de boucle

Il est important de mettre en place des liaisons redondantes entre les commutateurs, car elles aident à prévenir les pannes
de réseau désagréables dans le cas où une liaison cesse de fonctionner.

Mais s'il est vrai que les liens redondants peuvent être extrêmement utiles, ils peuvent aussi causer plus de
problèmes qu'ils n'en résolvent ! En effet, les trames peuvent être inondées simultanément sur tous les liens
redondants, créant des boucles de réseau ainsi que d'autres maux. Voici une liste de certains des problèmes les
plus laids qui peuvent survenir :

Si aucun schéma d'évitement de boucle n'est mis en place, les commutateurs inonderont les diffusions
à l'infini dans tout l'interréseau. Ceci est parfois appelé untempête de diffusion. La plupart du temps,
ils sont mentionnés de manière très difficile à imprimer !Illustration 10.7 illustre comment une
diffusion peut être propagée à travers le réseau. Observez comment une trame est continuellement
inondée à travers le support réseau physique de l'interréseau.

FIGURE 10.7 Tempête de diffusion

Un appareil peut recevoir plusieurs copies de la même trame car cette trame peut arriver de
différents segments en même temps.Illustration 10.8 montre comment tout un tas de
 les trames peuvent arriver simultanément de plusieurs segments. Le serveur de la figure envoie une trame
monodiffusion au routeur C. Comme il s'agit d'une trame monodiffusion, le commutateur A transmet la trame et le
commutateur B fournit le même service : il transfère la monodiffusion. C'est mauvais car cela signifie que le
routeur C reçoit deux fois cette trame monodiffusion, ce qui entraîne une surcharge supplémentaire sur le réseau.

FIGURE 10.8 Copies d'images multiples

Vous avez peut-être pensé à celui-ci : la table de filtrage des adresses MAC peut être totalement confuse quant à
l'emplacement de l'appareil source, car le commutateur peut recevoir la trame de plusieurs liaisons. Pire encore,
le commutateur déconcerté pourrait être tellement pris dans la mise à jour constante de la table de filtrage MAC
avec les emplacements des adresses matérielles sources qu'il ne parviendra pas à transmettre une trame ! C'est
ce qu'on appelle battre la table MAC.

L'un des événements les plus ignobles se produit lorsque plusieurs boucles se propagent sur un réseau. Des
boucles peuvent se produire dans d'autres boucles, et si une tempête de diffusion se produisait simultanément,
le réseau ne serait pas en mesure d'effectuer la commutation de trames — point !

Tous ces problèmes sont synonymes de catastrophe ou de fermeture, et ce sont toutes des situations diaboliques qui
doivent être évitées ou résolues d'une manière ou d'une autre. C'est là que le protocole Spanning Tree entre en jeu. Il a en
fait été développé pour résoudre chacun des problèmes dont je viens de vous parler !

Maintenant que j'ai expliqué les problèmes qui peuvent survenir lorsque vous avez des liens redondants ou lorsque
vous avez des liens mal implémentés, je suis sûr que vous comprenez à quel point il est vital de les prévenir.
Cependant, les meilleures solutions dépassent le cadre de ce chapitre et font partie du territoire couvert par les
objectifs d'examen Cisco plus avancés. Pour l'instant, concentrons-nous sur la configuration de certaines
commutations !

Configuration des commutateurs Catalyst

Les commutateurs Cisco Catalyst sont disponibles en plusieurs versions ; certains fonctionnent à 10 Mbps, tandis que d'autres
peuvent accélérer jusqu'à 10 Gbps ou des ports commutés supérieurs avec une combinaison de paire torsadée et de fibre.
Ces commutateurs plus récents, comme le 3850, ont également plus d'intelligence, de sorte qu'ils peuvent vous fournir des données rapidement,

ainsi que des services de médias mixtes !

Dans cet esprit, il est temps de vous montrer comment démarrer et configurer un commutateur Cisco Catalyst à l'aide
de l'interface de ligne de commande (CLI). Après avoir lu les commandes de base dans ce chapitre, je vais vous
montrer comment configurer les réseaux locaux virtuels (VLAN) plus la liaison inter-commutateurs (ISL) et la jonction
802.1q dans le prochain.

Voici une liste des tâches de base que nous couvrirons ensuite :

Fonctions administratives
Configuration de l'adresse IP et du masque de sous-réseau

Définition de la passerelle IP par défaut

Configuration de la sécurité des ports

Tester et vérifier le réseau

Vous pouvez tout savoir sur la gamme Cisco de commutateurs Catalyst sur

www.cisco.com/en/US/products/hw/switches/index.html .

Configuration du commutateur Catalyst

Mais avant de commencer à configurer l'un des commutateurs Catalyst, je dois vous renseigner sur le
processus de démarrage de ces commutateurs, tout comme je l'ai fait avec les routeurs au chapitre 7, « Gestion
d'un interréseau Cisco ».Illustration 10.9 montre un commutateur Cisco Catalyst typique, et je dois vous parler
des différentes interfaces et fonctionnalités de cet appareil.

FIGURE 10.9 Un commutateur Cisco Catalyst

La première chose que je veux souligner est que le port de console des commutateurs Catalyst est
généralement situé à l'arrière du commutateur. Pourtant, sur un commutateur plus petit comme le
3560 illustré sur la figure, la console est juste à l'avant pour faciliter son utilisation. (Le 2960 à huit
ports a exactement la même apparence.) Si le POST se termine avec succès, le voyant système devient
vert, mais si le POST échoue, il devient orange. Et voir cette lueur ambrée est une chose inquiétante,
généralement mortelle. Donc, vous voudrez peut-être juste garder un interrupteur de rechange,
surtout au cas où c'est un interrupteur de production qui croasse ! Le bouton du bas est utilisé pour
vous montrer quelles lumières fournissent une alimentation par Ethernet (PoE). Vous pouvez le voir
en appuyant sur le bouton Mode. Le PoE est une fonctionnalité très intéressante de ces
commutateurs.
Tout comme nous l'avons fait avec les routeurs que nous avons configurés au chapitre 9, "Routage IP", nous utiliserons un schéma
et une configuration de commutateur dans ce chapitre ainsi qu'au chapitre 11.Illustration 10.10 montre le réseau commuté sur
lequel nous allons travailler.
FIGURE 10.10 Notre réseau commuté
Je vais utiliser trois commutateurs 3560, que j'ai également utilisés pour la démonstration au chapitre 6, "Système
d'exploitation Internetworking (IOS) de Cisco", et au chapitre 7. Vous pouvez utiliser n'importe quel commutateur de
couche 2 pour ce chapitre afin de suivre la configuration, mais lorsque nous arriverons au chapitre 11, vous aurez besoin
d'au moins un routeur ainsi qu'un commutateur de couche 3, comme mon 3560.

Maintenant, si nous connectons nos commutateurs les uns aux autres, comme indiqué dansIllustration 10.10 , rappelez-vous que
nous aurons d'abord besoin d'un câble croisé entre les commutateurs. Mes commutateurs 3560 détectent automatiquement le type
de connexion, j'ai donc pu utiliser des câbles directs. Mais tous les commutateurs ne détectent pas automatiquement le type de
câble. Différents commutateurs ont des besoins et des capacités différents, alors gardez cela à l'esprit lorsque vous connectez vos
différents commutateurs ensemble. Notez que dans les objectifs de l'examen Cisco, les commutateurs ne se détectent jamais
automatiquement !

Lorsque vous connectez les ports du commutateur pour la première fois les uns aux autres, les voyants de liaison sont orange
puis deviennent verts, indiquant un fonctionnement normal. Ce que vous regardez réellement est une convergence d'arbre
couvrant, et ce processus prend environ 50 secondes sans extensions activées. Mais si vous vous connectez à un port de
commutateur et que le voyant du port de commutateur est vert et orange en alternance, cela signifie que le port rencontre
des erreurs. Si cela se produit, vérifiez la carte réseau hôte ou le câblage, éventuellement même les paramètres duplex sur le
port pour vous assurer qu'ils correspondent au paramètre hôte.

Avons-nous besoin de mettre une adresse IP sur un commutateur ?

Absolument pas! Les commutateurs ont tous les ports activés et prêts à fonctionner. Sortez le commutateur de la
boîte, branchez-le et le commutateur commence à apprendre les adresses MAC dans le CAM. Alors pourquoi aurais-je
besoin d'une adresse IP puisque les commutateurs fournissent des services de couche 2 ? Parce que vous en avez
toujours besoin à des fins de gestion intrabande ! Telnet, SSH, SNMP, etc. ont tous besoin d'une adresse IP pour
communiquer avec le commutateur via le réseau (intrabande). N'oubliez pas que tous les ports étant activés par
défaut, vous devez fermer les ports inutilisés ou les affecter à un VLAN inutilisé pour des raisons de sécurité.

Alors, où plaçons-nous cette adresse IP de gestion dont le commutateur a besoin à des fins de gestion ?
Sur ce que l'on peut s'attendre à appeler l'interface VLAN de gestion, une interface routée sur chaque
commutateur Cisco et appelée interface VLAN 1. Cette interface de gestion peut être modifiée et Cisco vous
recommande de la remplacer par une interface de gestion différente pour des raisons de sécurité. Pas de
soucis, je vous montrerai comment procéder au chapitre 11.

Configurons maintenant nos commutateurs afin que vous puissiez voir comment je configure les interfaces de gestion
sur chaque commutateur.
S1
Nous allons commencer notre configuration en nous connectant à chaque commutateur et en définissant les fonctions
d'administration. Nous attribuerons également une adresse IP à chaque commutateur, mais comme je l'ai dit, cela
n'est pas vraiment nécessaire pour faire fonctionner notre réseau. La seule raison pour laquelle nous allons le faire est
que nous pouvons le gérer/l'administrer à distance, via Telnet par exemple. Utilisons un schéma IP simple comme
192.168.10.16/28. Ce masque devrait vous être familier ! Découvrez la sortie suivante :

Changer>fr
Changer#config t
Commutateur (configuration) #nom d'hôte S1
S1(config)#activer secret todd
S1(config)#entier f0/15
S1(config-if)#description 1ère connexion à S3
S1(config-if)#entier f0/16
S1(config-if)#description 2ème connexion à S3
S1(config-if)#entier f0/17
S1(config-if)#description 1ère connexion à S2
S1(config-if)#entier f0/18
S1(config-if)#description 2ème connexion à S2
S1(config-if)#entier f0/8
S1(config-if)#desc Connexion au SVI
S1(config-if)#ligne avec 0
S1 (ligne de configuration) #console de mot de passe
S1 (ligne de configuration) #connexion
S1 (ligne de configuration) #ligne vty 0 15
S1 (ligne de configuration) #mot de passe telnet
S1 (ligne de configuration) #connexion
S1 (ligne de configuration) #vlan international 1
S1(config-if)#adresse IP 192.168.10.17 255.255.255.240
S1(config-if)#pas fermé
S1(config-if)#sortir
S1(config)#banner motd #c'est mon switch S1#
S1(config)#sortir
S1#copier le début de l'exécution
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[OK]
S1#

La première chose à remarquer à ce sujet est qu'aucune adresse IP n'est configurée sur les interfaces
physiques du commutateur. Étant donné que tous les ports d'un commutateur sont activés par défaut, il n'y
a pas grand-chose à configurer ! L'adresse IP est configurée sous une interface logique, appelée domaine
de gestion ou VLAN. Vous pouvez utiliser le VLAN 1 par défaut pour gérer un réseau commuté comme nous
le faisons ici, ou vous pouvez choisir d'utiliser un VLAN différent pour la gestion.

Le reste de la configuration est fondamentalement le même que le processus que vous suivez pour la
configuration du routeur. Alors rappelez-vous… pas d'adresses IP sur les interfaces de commutation physiques, pas
de protocoles de routage, etc. Nous effectuons une commutation de couche 2 à ce stade, pas de routage ! Notez
également qu'il n'y a pas de port AUX sur les commutateurs Cisco.

S2
Voici la configuration S2 :

Changer#config t
Commutateur (configuration) #nom d'hôte S2
S2(config)#activer secret todd
S2(config)#entier f0/1
S2(config-if)#desc 1ère connexion à S1
S2(config-if)#entier f0/2
S2(config-if)#description 2ème connexion à s2
S2(config-if)#entier f0/5
S2(config-if)#description 1ère connexion à S3
S2(config-if)#entier f0/6
S2(config-if)#description 2ème connexion à s3
S2(config-if)#ligne avec 0
S2 (ligne de configuration) #console de mot de passe
S2 (ligne de configuration) #connexion
S2 (ligne de configuration) #ligne vty 0 15
S2 (ligne de configuration) #mot de passe telnet
S2 (ligne de configuration) #connexion
S2 (ligne de configuration) #vlan international 1
S2(config-if)#adresse IP 192.168.10.18 255.255.255.240
S2(config)#sortir
S2#copier le début de l'exécution
Nom du fichier de destination [startup-config] ?[Entrer]
Configuration du bâtiment...
[OK]
S2#

Nous devrions maintenant pouvoir envoyer un ping de S2 à S1. Essayons:

S2#ping 192.168.10.17

Tapez la séquence d'échappement pour abandonner.

Envoi de 5 échos ICMP de 100 octets à 192.168.10.17, le délai d'attente est de
2 secondes :
. !!!!
Le taux de réussite est de 80 % (4/5), aller-retour min/moy/max = 1/1/1 ms S2#

D'accord, pourquoi n'ai-je reçu que quatre pings au lieu de cinq ? Le premier point [.] est un timeout,
mais le point d'exclamation [!] est un succès.
C'est une bonne question, et voici votre réponse : le premier ping n'a pas fonctionné en raison du temps
nécessaire à ARP pour résoudre l'adresse IP en son adresse MAC matérielle correspondante.

S3
Découvrez la configuration du commutateur S3 :

Changer>fr
Changer#config t
SW-3(config)#nom d'hôte S3
S3(config)#activer secret todd
S3(config)#entier f0/1
S3(config-if)#desc 1ère connexion à S1
S3(config-if)#entier f0/2
S3(config-if)#desc 2ème connexion à S1
S3(config-if)#entier f0/5
S3(config-if)#desc 1ère connexion à S2
S3(config-if)#entier f0/6
S3(config-if)#desc 2ème connexion à S2
S3(config-if)#ligne avec 0
S3 (ligne de configuration) #console de mot de passe
S3 (ligne de configuration) #connexion
S3 (ligne de configuration) #ligne vty 0 15
S3 (ligne de configuration) #mot de passe telnet
S3 (ligne de configuration) #connexion
S3 (ligne de configuration) #vlan international 1
S3(config-if)#adresse IP 192.168.10.19 255.255.255.240
S3(config-if)#pas fermé
S3(config-if)#banner motd #Voici le switch S3#
S3(config)#sortir
S3#copier le début de l'exécution
Nom du fichier de destination [startup-config] ?[Entrer]
Configuration du bâtiment...
[OK]
S3#

Maintenant, envoyons un ping à S1 et S2 à partir du commutateur S3 et voyons ce qui se passe :

S3#ping 192.168.10.17
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 192.168.10.17, le délai d'attente est de
2 secondes :
. !!!!
Le taux de réussite est de 80 % (4/5), aller-retour min/moy/max = 1/3/9 ms
S3#ping 192.168.10.18
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 échos ICMP de 100 octets à 192.168.10.18, le délai d'expiration est de
2 secondes :
. !!!!
Le taux de réussite est de 80 % (4/5), aller-retour min/moy/max = 1/3/9 ms
S3#navire arp
Protocole Adresse Âge (min) Adresse matérielle Taper
Interface
l'Internet 192.168.10.17 0 001c.575e.c8c0 ARPA Vlan1
l'Internet 192.168.10.18 0 b414.89d9.18c0 ARPA Vlan1
l'Internet 192.168.10.19 - ecc8.8202.82c0 ARPA Vlan1
S3#

Dans la sortie duafficher ip arpcommande, le tiret (-) dans la colonne des minutes signifie qu'il
s'agit de l'interface physique de l'appareil.
Maintenant, avant de passer à la vérification des configurations du commutateur, il y a une autre commande que vous
devez connaître, même si nous n'en avons pas vraiment besoin dans notre réseau actuel car nous n'avons pas de
routeur impliqué. C'est lepasserelle IP par défautcommande. Si vous souhaitez gérer vos commutateurs depuis
l'extérieur de votre réseau local, vous devez définir une passerelle par défaut sur les commutateurs comme vous le
feriez avec un hôte, et vous le faites à partir de la configuration globale. Voici un exemple où nous introduisons notre
routeur avec une adresse IP utilisant la dernière adresse IP de notre plage de sous-réseau :

S3#config t
S3(config)#passerelle IP par défaut 192.168.10.30

Maintenant que nous avons configuré les trois commutateurs, amusons-nous avec eux !

Sécurité portuaire

Un port de commutateur sécurisé peut associer de 1 à 8 192 adresses MAC, mais les 3560 que j'utilise ne
peuvent en prendre en charge que 6 144, ce qui me semble bien plus que suffisant. Vous pouvez
choisissez d'autoriser le commutateur à apprendre ces valeurs dynamiquement, ou vous pouvez définir des adresses statiques
pour chaque port utilisant leswitchport port-security mac-addressAdresse Mac
commande.

Alors, définissons maintenant la sécurité des ports sur notre commutateur S3. Les ports Fa0/3 et Fa0/4 n'auront qu'un seul
appareil connecté dans notre laboratoire. En utilisant la sécurité des ports, nous sommes assurés qu'aucun autre appareil ne
peut se connecter une fois que nos hôtes dans les ports Fa0/3 et Fa0/4 sont connectés. Voici comment le faire facilement avec
seulement quelques commandes :

S3#config t
S3(config)#plage entière f0/3-4
S3(config-if-range)#accès en mode switchport
S3(config-if-range)#switchport port-sécurité
S3(config-if-range)#do show port-security int f0/3 Port
Security : Activée
État des ports : Sécurisé
Mode infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement d'adresse SecureStatic : désactivé
Adresses MAC maximales :1
Nombre total d'adresses MAC :0
Adresses MAC configurées :0
Adresses MAC collantes :0
Dernière adresse source : Nombre : 0000.0000.0000:0
de violations de sécurité VLAN :0

La première commande définit le mode des ports sur les ports « d'accès ». Ces ports doivent être des ports
d'accès ou de jonction pour activer la sécurité des ports. En utilisant la commandeswitchport port-sécurité
sur l'interface, j'ai activé la sécurité des ports avec une adresse MAC maximale de 1 et une violation de
l'arrêt. Ce sont les valeurs par défaut, et vous pouvez les voir dans la sortie en surbrillance du
afficher port-sécurité int f0/3commande dans le code précédent.
La sécurité du port est activée, comme affiché sur la première ligne, mais la deuxième ligne afficheSécuriser
parce que je n'ai pas encore connecté mes hôtes aux ports. Une fois que je fais, le statut montrera
Sécuriseret deviendraitArrêt sécurisési une violation se produit.
Je dois juste souligner une fois de plus ce fait si important : il est très important de se rappeler que vous pouvez définir
des paramètres pour la sécurité des ports, mais cela ne fonctionnera pas tant que vous n'aurez pas activé la sécurité des
ports au niveau de l'interface. Notez la sortie pour le port F0/6 :

S3#config t
S3(config)#plage entière f0/6
S3(config-if-range)#accès en mode switchport
S3(config-if-range)#restriction de violation de la sécurité du port switchport
S3(config-if-range)#affichez la sécurité du port int f0/6
Sécurité portuaire :désactivé
État des ports : Sécuriser
Mode infraction : limiter
[coupe de sortie]

Le port Fa0/6 a été configuré avec une violation de restriction, mais la première ligne indique que la sécurité du port
n'a pas encore été activée sur le port. N'oubliez pas que vous devez utiliser cette commande au niveau de l'interface
pour activer la sécurité des ports sur un port :

S3(config-if-range)#switchport port-sécurité

Il existe deux autres modes que vous pouvez utiliser au lieu de simplement fermer le port. La restriction
et les modes de protection signifient qu'un autre hôte peut se connecter au maximum d'adresses MAC
autorisées, mais une fois le maximum atteint, toutes les trames seront simplement abandonnées et le
port ne sera pas fermé. De plus, les modes de violation de restriction et d'arrêt vous avertissent via SNMP
qu'une violation s'est produite sur un port. Vous pouvez ensuite appeler l'agresseur et lui dire qu'il est
tellement foutu - vous pouvez le voir, vous savez ce qu'il a fait et il a de sérieux ennuis !

Si vous avez configuré des ports avec leinfraction à l'arrêtcommande, les ports ressembleront à
ceci lorsqu'une violation se produit :

S3#sh port-sécurité int f0/3

Sécurité portuaire : Activée
État des ports : Arrêt sécurisé
Mode infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement des adresses SecureStatic : adresses
MAC maximales désactivées :1
Nombre total d'adresses MAC :2
Adresses MAC configurées :0
Adresses MAC collantes :0
Dernière adresse source : Nombre :0013:0ca69:00bb3:00ba8:1
de violations de sécurité VLAN :1

Ici vous pouvez voir que le port est dansArrêt sécurisémode et le voyant du port
serait orange. Pour réactiver le port, procédez comme suit :

S3(config-if)#fermer
S3(config-if)#Pas d'extinction

Vérifions nos configurations de commutateurs avant de passer aux VLAN dans le chapitre suivant.
Attention, même si certains interrupteurs afficheronterreur-désactivéau lieu deArrêt sécurisécomme
le montre mon interrupteur, il n'y a pas de différence entre les deux.

Vérification des commutateurs Cisco Catalyst

La première chose que j'aime faire avec n'importe quel routeur ou commutateur est de parcourir les configurations
avec unafficher la configuration en cours d'exécutioncommande. Pourquoi? Parce que cela me donne un très bon aperçu
de chaque appareil. Mais cela prend du temps et vous montrer toutes les configurations prendrait beaucoup trop de
pages dans ce livre. En outre, nous pouvons à la place exécuter d'autres commandes qui nous fourniront toujours de
très bonnes informations.

Par exemple, pour vérifier l'adresse IP définie sur un commutateur, nous pouvons utiliser leafficher l'interface
commande. Voici la sortie :

S3#sh int vlan 1

Vlan1 est en place, le protocole de ligne est en place
Le matériel est EtherSVI, l'adresse est ecc8.8202.82c0 (bia
ecc8.8202.82c0)
L'adresse Internet est 192.168.10.19/28
MTU 1500 octets, BW 1000000 Kbit/sec, DLY 10 usec,
fiabilité 255/255, txload 1/255, rxload 1/255 Encapsulation
ARPA, bouclage non défini
[coupe de sortie]

La sortie précédente montre que l'interface est en état haut/haut. N'oubliez pas de toujours vérifier cette
interface, soit avec cette commande, soit avec leprésentation de l'interface show ipcommande. Beaucoup de
gens ont tendance à oublier que cette interface estfermerpar défaut.
 N'oubliez jamais que les adresses IP ne sont pas nécessaires sur un commutateur pour qu'il fonctionne. Les

la seule raison pour laquelle nous définirions une adresse IP, un masque et une passerelle par défaut est à des fins de
gestion.

afficher la table d'adresses mac

Je suis sûr que vous vous souvenez avoir vu cette commande plus tôt dans le chapitre. Son utilisation affiche
la table de filtrage direct, également appelée table de mémoire adressable par le contenu (CAM). Voici la
sortie du commutateur S1 :

S3#table d'adresses sh mac

Tableau des adresses Mac
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vlan
Adresse Mac Taper Ports
---- ----------- -------- -----
Tous 0100.0ccc.cccc STATIQUE CPU
[coupe de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.2f55.c9e8 DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 b414.89d9.1886 DYNAMIQUE Fa0/5
1 b414.89d9.1887 DYNAMIQUE Fa0/6

Les commutateurs utilisent des choses appelées adresses MAC de base, qui sont attribuées au CPU. La première
répertoriée est l'adresse MAC de base du commutateur. À partir de la sortie précédente, vous pouvez voir que nous
avons six adresses MAC attribuées dynamiquement à Fa0/1, ce qui signifie que le port Fa0/1 est connecté à un autre
commutateur. Les ports Fa0/5 et Fa0/6 n'ont qu'une seule adresse MAC attribuée et tous les ports sont attribués au
VLAN 1.

Jetons un coup d'œil à la CAM du commutateur S2 et voyons ce que nous pouvons découvrir.

S2#table d'adresses sh mac

Tableau des adresses Mac
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vlan
Adresse Mac Taper Ports
---- ----------- -------- -----
Tous 0100.0ccc.cccc STATIQUE CPU
[coupe de sortie
1 000e.83b2.e34b DYNAMIQUE Fa0/5
1 0011.1191.556f DYNAMIQUE Fa0/5
1 0011.3206.25cb DYNAMIQUE Fa0/5
1 001a.4d55.2f7e DYNAMIQUE Fa0/5
1 581f.aaff.86b8 DYNAMIQUE Fa0/5
1 ecc8.8202.8286 DYNAMIQUE Fa0/5
1 ecc8.8202.82c0 DYNAMIQUE Fa0/5
Nombre total d'adresses Mac pour ce critère :
27 S2#

Cette sortie nous indique que nous avons sept adresses MAC attribuées à Fa0/5, qui est notre connexion à
S3. Mais où est le port 6 ? Le port 6 étant une liaison redondante vers S3, STP a placé Fa0/6 en mode
blocage.

Attribution d'adresses MAC statiques

Vous pouvez définir une adresse MAC statique dans la table d'adresses MAC, mais comme définir la sécurité du
port MAC statique sans lecollantcommande, c'est une tonne de travail. Juste au cas où vous voudriez le faire, voici
comment procéder :

S3(config)#table d'adresse mac ?

temps de vieillissement Définir l'âge maximum de l'entrée de la table d'adresses MAC
apprentissage Activer la fonction d'apprentissage de la table MAC
bouge toi Déplacer le mot-clé
notification Activer/désactiver la notification MAC sur le mot-clé statique
statique du commutateur

S3(config)#table d'adresses mac statique aaaa.bbbb.cccc vlan 1 int fa0/7

S3(config)#afficher la table d'adresses mac
Tableau des adresses Mac
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vlan
Adresse Mac Taper Ports
---- ----------- -------- -----
Tous 0100.0ccc.cccc STATIQUE CPU
[coupe de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001b.d40a.0538 DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 aaaa.bbbb.0ccc STATIQUE Fa0/7
[coupe de sortie]
Nombre total d'adresses Mac pour ce critère : 59

Comme indiqué sur le côté gauche de la sortie, vous pouvez voir qu'une adresse MAC statique a maintenant été attribuée
de manière permanente à l'interface Fa0/7 et qu'elle a également été attribuée au VLAN 1 uniquement.

Maintenant, admettez-le, ce chapitre contenait beaucoup d'informations intéressantes, et vous avez vraiment beaucoup appris et,
eh bien, vous vous êtes peut-être même un peu amusé en cours de route ! Vous avez maintenant configuré et vérifié tous les
commutateurs et défini la sécurité des ports. Cela signifie que vous êtes maintenant prêt à tout savoir sur les réseaux locaux
virtuels ! Je vais enregistrer toutes nos configurations de commutateurs afin que nous puissions commencer dès maintenant au
chapitre 11.

Résumé
Dans ce chapitre, j'ai parlé des différences entre les commutateurs et les ponts et de leur fonctionnement au
niveau de la couche 2. Ils créent des tables de transfert/filtrage d'adresses MAC afin de prendre des décisions sur
le transfert ou l'inondation d'une trame.

Bien que tout dans ce chapitre soit important, j'ai écrit deux sections sur la sécurité des ports - une pour
fournir une base et une avec un exemple de configuration. Vous devez connaître ces deux sections en
détail.

J'ai également couvert certains problèmes qui peuvent survenir si vous avez plusieurs liens entre les ponts
(commutateurs).

Enfin, j'ai couvert la configuration détaillée des commutateurs Catalyst de Cisco, y compris la vérification de la
configuration.

L'essentiel de l'examen

Rappelez-vous les trois fonctions de commutation.L'apprentissage d'adresse, les décisions de transfert/filtrage et

l'évitement de boucle sont les fonctions d'un commutateur.

Rappelez-vous la commandeafficher la table d'adresses mac.La commandeafficher la table

d'adresses macvous montrera la table de transfert/filtre utilisée sur le commutateur LAN.
Comprendre la raison de la sécurité portuaire.La sécurité des ports restreint l'accès à un commutateur en fonction des
adresses MAC.

Connaissez la commande pour activer la sécurité du port.Pour activer la sécurité de port sur un port, vous
devez d'abord vous assurer que le port est un port d'accès avecaccès en mode switchportpuis utilisez le
switchport port-sécuritécommande au niveau de l'interface. Vous pouvez définir les paramètres de sécurité du
port avant ou après l'activation de la sécurité du port.

Connaître les commandes pour vérifier la sécurité des ports.Pour vérifier la sécurité du port, utilisez leAfficher
sécurité du port, afficher l'interface de sécurité du portinterface, etafficher la configuration en
cours d'exécutioncommandes.

Laboratoire écrit 10

Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que les informations et les concepts
qu'ils contiennent sont parfaitement intégrés :

Laboratoire 10.1 : Commutation de couche 2

Vous trouverez les réponses à cet atelier dans l'annexe A, "Réponses aux ateliers écrits".

Écrivez les réponses aux questions suivantes :

1. Quelle commande vous montrera le tableau de transfert/filtre ?

2. Si une adresse MAC de destination ne figure pas dans la table de transfert/filtrage, que fera le commutateur
avec la trame ?

3. Quelles sont les trois fonctions de commutation au niveau 2 ?

4. Si une trame est reçue sur un port de commutateur et que l'adresse MAC source ne figure pas dans la table
de transfert/filtrage, que fera le commutateur ?

5. Quels sont les modes par défaut pour un port de commutateur configuré avec la sécurité du port ?

6. Quels sont les deux modes de violation qui envoient un trap SNMP ?

7. Quel mode de violation supprime les paquets avec des adresses source inconnues jusqu'à ce que vous supprimiez
suffisamment d'adresses MAC sécurisées pour descendre en dessous du maximum, mais génère également un
message de journal, provoque l'incrémentation du compteur de violation de sécurité et envoie une interruption SNMP
mais ne désactive pas le port ?

8. Que signifie lecollantmot-clé dans leport-sécuritécommande fournir?

9. Quelles sont les deux commandes que vous pouvez utiliser pour vérifier que la sécurité du port a été configurée sur un port
FastEthernet 0/12 sur un commutateur ?

10. Vrai/Faux : Le commutateur de couche 2 doit avoir une adresse IP définie et les PC qui se connectent au
commutateur doivent utiliser cette adresse comme passerelle par défaut.

Laboratoires pratiques

Dans cette section, vous utiliserez le réseau commuté suivant pour configurer vos laboratoires de commutation. Vous pouvez utiliser
n'importe quel commutateur Cisco pour faire ce laboratoire, ainsi que le simulateur de version LammleSim IOS disponible sur
www.lammle.com/ccna . Il n'est pas nécessaire qu'il s'agisse de commutateurs multicouches, mais uniquement de commutateurs de couche 2.
Le premier laboratoire (Lab 10.1) vous demande de configurer trois commutateurs, puis vous les vérifierez
dans le Lab 10.2.

Les laboratoires de ce chapitre sont les suivants :

TP 10.1 : Configuration des commutateurs de couche 2

TP 10.2 : Vérification des commutateurs de couche 2 TP

10.3 : Configuration de la sécurité des ports

Laboratoire 10.1 : Configuration des commutateurs de couche 2

Dans cet atelier, vous allez configurer les trois commutateurs du graphique :

1. Connectez-vous au commutateur S1 et configurez les éléments suivants, sans ordre particulier :

Nom d'hôte

Bannière

Description de l'interface

Mots de passe

Adresse IP, masque de sous-réseau, passerelle par défaut

Changer>fr
Changer#config t
Commutateur (configuration) #nom d'hôte S1
S1(config)#activer secret todd
S1(config)#entier f0/15
S1(config-if)#description 1ère connexion à S3
S1(config-if)#entier f0/16
S1(config-if)#description 2ème connexion à S3
S1(config-if)#entier f0/17
S1(config-if)#description 1ère connexion à S2
S1(config-if)#entier f0/18
S1(config-if)#description 2ème connexion à S2
S1(config-if)#entier f0/8
S1(config-if)#desc Connexion au SVI
S1(config-if)#ligne avec 0
S1 (ligne de configuration) #console de mot de passe
 S1 (ligne de configuration) #connexion
S1 (ligne de configuration) #ligne vty 0 15
S1 (ligne de configuration) #mot de passe telnet
S1 (ligne de configuration) #connexion
S1 (ligne de configuration) #vlan international 1
S1(config-if)#adresse IP 192.168.10.17 255.255.255.240
S1(config-if)#pas fermé
S1(config-if)#sortir
S1(config)#banner motd #c'est mon switch S1#
S1(config)#sortir
S1#copier le début de l'exécution
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...

2. Connectez-vous au commutateur S2 et configurez tous les paramètres que vous avez utilisés à l'étape 1. N'oubliez pas d'utiliser
une adresse IP différente sur le commutateur.

3. Connectez-vous au commutateur S3 et configurez tous les paramètres que vous avez utilisés aux étapes 1 et 2.
N'oubliez pas d'utiliser une adresse IP différente sur le commutateur.

Laboratoire 10.2 : Vérification des commutateurs de couche 2

Une fois que vous avez configuré un appareil, vous devez être en mesure de le vérifier.

1. Connectez-vous à chaque commutateur et vérifiez l'interface de gestion.

S1#interface sh vlan 1

2. Connectez-vous à chaque commutateur et vérifiez le CAM.

S1#table d'adresses sh mac

3. Vérifiez vos configurations avec les commandes suivantes :

S1#sh en cours d'exécution-config

S1#Expédier en bref

Laboratoire 10.3 : Configuration de la sécurité des ports

La sécurité des ports est un objectif majeur de Cisco. Ne sautez pas ce laboratoire ! 1.

Connectez-vous à votre commutateur S3.

2. Configurez le port Fa0/3 avec la sécurité du port.

S3#config t
S(config)#entier fa0/3
S3(config-if#Accès au mode Switchport
S3(config-if#switchport port-sécurité

3. Vérifiez votre paramètre par défaut pour la sécurité des ports.

S3#afficher port-sécurité int f0/3

4. Modifiez les paramètres pour avoir un maximum de deux adresses MAC pouvant être associées à
l'interface Fa0/3.

S3#config t
S(config)#entier fa0/3
S3(config-if#switchport port-sécurité maximum 2
5. Changez le mode de violation enlimiter.

S3#config t
S(config)#entier fa0/3
S3(config-if#restriction de violation de la sécurité du port switchport

6. Vérifiez votre configuration avec les commandes suivantes :

S3#afficher la sécurité du port

S3#show port-security int fa0/3
S3#afficher la configuration en cours d'exécution

Questions de révision

Les questions suivantes sont conçues pour tester votre compréhension du contenu de ce chapitre.

Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .

Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ». 1.

Lequel des énoncés suivants estne pasvrai en ce qui concerne la commutation de couche 2 ?

A. Les commutateurs et les ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps à
examiner les informations d'en-tête de la couche liaison de données.

B. Les commutateurs et les ponts de couche 2 examinent les adresses matérielles de la trame avant de décider de
transférer, d'inonder ou de supprimer la trame.

C. Les commutateurs créent des domaines de collision privés et dédiés et fournissent une bande passante
indépendante sur chaque port.

D. Les commutateurs utilisent des circuits intégrés spécifiques à l'application (ASIC) pour créer et maintenir leurs
tables de filtrage MAC.

2. Répertoriez les deux commandes qui ont généré la dernière entrée dans la table d'adresses MAC affichée.

Tableau des adresses Mac

------------------------------------------

VLAN Adresse Mac Taper Ports

---- ----------- -------- -----
Tous 0100.0ccc.cccc STATIQUE CPU
[coupe de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001b.d40a.0538 DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 aaaa.bbbb.0ccc STATIQUE Fa0/7

3. Dans le diagramme illustré, que fera le commutateur si une trame avec une adresse MAC de destination de
000a.f467.63b1 est reçue sur Fa0/4 ? (Choisissez tout ce qui correspond.)
 A. Déposez le cadre.
B. Envoyez la trame hors de Fa0/3.

C. Envoyez la trame hors de Fa0/4.

D. Envoyez la trame hors de Fa0/5.

E. Envoyer le cadre de Fa0/6.

4. Écrivez la commande qui a généré la sortie suivante.

Tableau des adresses Mac

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vlan
Adresse Mac Taper Ports
---- ----------- -------- -----
Tous 0100.0ccc.cccc STATIQUE CPU
[coupe de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.2f55.c9e8 DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 b414.89d9.1886 DYNAMIQUE Fa0/5
1 b414.89d9.1887 DYNAMIQUE Fa0/6

5. Dans la zone de travail du graphique suivant, dessinez les fonctions d'un interrupteur de la liste de
gauche à droite.

6. Quelle(s) affirmation(s) est/sont vraie(s) concernant la sortie montrée ici ? (Choisissez tout ce qui correspond.)

S3#sh port-sécurité int f0/3

 Sécurité portuaire : Activée
État des ports : Arrêt sécurisé
Mode infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement des adresses SecureStatic : adresses
MAC maximales désactivées :1
Nombre total d'adresses MAC :2
Adresses MAC configurées :0
Adresses MAC collantes :0
Dernière adresse source : Nombre : 0013:0ca69:00bb3:00ba8:1 : 1
de violations de sécurité VLAN

A. Le hublot pour F0/3 sera de couleur ambre.

B. Le port F0/3 transfère des trames.
C. Ce problème se résoudra en quelques minutes.
D. Ce port nécessite lefermercommande de fonctionner.
7. Écrivez la commande qui limiterait le nombre d'adresses MAC autorisées sur un port à 2.
Écrivez uniquement la commande et non l'invite.
8. Laquelle des commandes suivantes de cette configuration est une condition préalable au fonctionnement des
autres commandes ?

S3#config t
S(config)#entier fa0/3
S3(config-if#switchport port-sécurité
S3(config-if#switchport port-sécurité maximum 3
S3(config-if#restriction de violation de la sécurité du port switchport
S3(config-if#Temps de vieillissement de la sécurité du mode Switchport 10

UN.temps de vieillissement de la sécurité du mode switchport 10

Bswitchport port-sécurité
Cswitchport port-sécurité maximum 3
RÉ.restriction de violation de la sécurité du port switchport
9. Lequel si ce qui suit estne pasun problème traité par STP ?
A. Orages de diffusion

B. Redondance de la passerelle

C. Un appareil recevant plusieurs copies de la même trame

D. Mise à jour constante de la table de filtrage MAC

10. Quel problème qui survient lorsqu'il existe une redondance entre les commutateurs est illustré dans la figure ?
 A. Tempête de diffusion

B. Boucle de routage

C. Violation du port

D. Perte de passerelle

11. Parmi les modes de violation de port de commutateur suivants, lesquels vous alertent via SNMP qu'une
violation s'est produite sur un port ?

UN.limiter
Bprotéger
Cfermer
RÉ.erreur-désactiver
12. ___________est le mécanisme d'évitement de boucle utilisé par les commutateurs.

13. Écrivez la commande qui doit être présente sur tout commutateur que vous devez gérer à partir d'un sous-
réseau différent.

14. Sur quelle interface par défaut avez-vous configuré une adresse IP pour un switch ?

UN.entier fa0/0
Bint vty 0 15
Cvlan international 1

RÉ.entier s/0/0
15. Quelle commande Cisco IOS est utilisée pour vérifier la configuration de sécurité d'un port de commutateur ?

UN.show interfaces port-sécurité

Bafficher l'interface de port-sécurité
Cafficher l'interface IP
RÉ.afficher les interfaces switchport
16. Écrivez la commande qui enregistrera une adresse MAC apprise dynamiquement dans la configuration
en cours d'un commutateur Cisco ?
17. Laquelle des méthodes suivantes garantira qu'un seul hôte spécifique peut se connecter au port F0/3 sur un
commutateur ? (Choisissez deux réponses. Chaque bonne réponse est une solution distincte.)

A. Configurez la sécurité du port sur F0/3 pour accepter le trafic autre que celui de l'adresse MAC de
l'hôte.

B. Configurez l'adresse MAC de l'hôte en tant qu'entrée statique associée au port F0/3.
C. Configurez une liste de contrôle d'accès entrant sur le port F0/3 limitant le trafic à l'adresse IP
de l'hôte.
D. Configurez la sécurité du port sur F0/3 pour accepter le trafic uniquement à partir de l'adresse MAC de
l'hôte.

18. Quel sera l'effet de l'exécution de la commande suivante sur le port F0/1 ?

switch(config-if)# switchport port-security mac-address

00C0.35F0.8301

A. La commande configure une liste de contrôle d'accès entrant sur le port F0/1, limitant le
trafic à l'adresse IP de l'hôte.
B. La commande interdit expressément l'adresse MAC de 00c0.35F0.8301 en tant qu'hôte autorisé sur le
port du commutateur.

C. La commande chiffre tout le trafic sur le port à partir de l'adresse MAC

00c0.35F0.8301.
D. La commande définit statiquement l'adresse MAC de 00c0.35F0.8301 en tant qu'hôte autorisé sur le
port du commutateur.

19. La salle de conférence dispose d'un port de commutation disponible pour être utilisé par le présentateur
pendant les cours, et chaque présentateur utilise le même PC connecté au port. Vous souhaitez empêcher
d'autres PC d'utiliser ce port. Vous avez complètement supprimé l'ancienne configuration pour
recommencer à zéro. Laquelle des étapes suivantes estne pasnécessaire pour empêcher d'autres PC
d'utiliser ce port ?

A. Activez la sécurité du port.

B. Attribuez l'adresse MAC du PC au port.

C. Faites du port un port d'accès.
D. Faites du port un port de jonction.

20. Écrivez la commande requise pour désactiver le port en cas de violation de la sécurité. Écrivez
uniquement la commande et non l'invite.