Académique Documents
Professionnel Documents
Culture Documents
R&T
09/09/11
Alain Roussel
A.Programme :
Conception dun rseau local Rseau local commut (24%)
Wireless
(8%)
VTP (16%)
QOS (0%)
09/09/11
Alain Roussel
Ladministrateur peut aussi entrer manuellement une affectation mac - interface (permanente) Comm1(config)#mac-address-table static <adresse_MAC> vlan {1-4096, ALL} interface fa0/1 Pour ne pas surcharger la mmoire et optimiser le fonctionnement du commutateur, les adresses apprises seront supprimes de la table dadresses MAC au bout de 300 secondes dinactivit. Au lieu dattendre lexpiration dune entre dynamique, ladministrateur a la possibilit dutiliser la commande clear mac-address-table en mode privilgi Switch# clear mac-address-table Alain Roussel 09/09/11 4 Switch# show mac-address-table
09/09/11
Alain Roussel
Le domaine de collision :
Zone ou est propage une collision. Le Hub propage sur tous les postes la collision. Le switch ne propage pas la collision. Chaque port de switch dfinit un domaine Alain Roussel 09/09/11 de collision distinct.
Une collision est dtect lorsque la tension excde un niveau de tension maximale (la collision double la tension bit)
09/09/11
Alain Roussel
Configuration des quipements : Configuration du mode de transmission : Mode Half duplex : CSMA/CD est activ (peu utilis de nos jours) Mode Full duplex : CSMA/CD est dsactiv (connexion point point uniquement) Mode Auto : auto ngociation par dfaut. En cas dchec le mode Half duplex est activ Pour viter des erreurs la configuration des 2 extrmits du lien doit tre identique (soit mme config manuelle, soit config auto des 2 cots). Configuration de linterface en fonction du cble utilis : Mode auto MDIX : le commutateur dtecte le type de cble requis pour les connexions Ethernet cuivre, puis configure les interfaces en consquence. En fonction de la latence du rseau et de lquipement lautre extrmit cela peut gnrer une instabilit.
09/09/11 Alain Roussel 8
Mthodes de transmission des messages par les switchs : Mode cut-through : Commence la transmission ds rception de ladresse MAC de destination. Mode le plus rapide, transmet les trames corrompues par une collision. Mode fragment-free : Commence la transmission aprs la rception des 64 premiers octets, vite la transmission des trames corrompues par une collision. Mode store and forward : Enregistre et vrifie le message avant de le transfrer au port de destination. Mode le plus lent, vite la transmission des trames corrompues. Permet la transmission des trames avec des dbits asymtriques. Mode de fonctionnement de tous les switchs Cisco actuels. Dans le cas ou les mmoires tampon partages et les mmoires tampon du port sont pleines, Le commutateur abandonnera le Alain Roussel 09/09/11 9 trafic.
Diamtre de rseau Lors de la conception dune topologie de rseau hirarchique, le premier lment dont il faut tenir compte est le diamtre du rseau. Le diamtre de rseau correspond au nombre de priphriques que doit traverser un paquet avant datteindre sa destination. Lorsque vous maintenez un faible diamtre de rseau, cela garantit une latence faible et prvisible entre les priphriques. Lors de la mise en place de protocoles tel STP, le diamtre de rseau ne doit pas dpasser 7 et des messages peuvent tre abandonns en raison de lexpiration des minuteurs utiliss par ces protocoles.
09/09/11
Alain Roussel
10
Configuration fixe
Le dbit de transferts 100 Mbits/s, Gigabit, 10 Gigabits La possibilit de ladministrer -par le port console -par une connexion telnet -par un accs web
09/09/11 Alain Roussel
11
Lagrgation de liaisons
09/09/11
Alain Roussel
12
La POE
09/09/11
Alain Roussel
13
Chaque VLAN est un domaine de broadcast indpendant. Un commutateur gre une table dadresses MAC pour chaque VLAN Les commutateurs de niveau 2 ne peuvent pas raliser de communication inter VLAN
Vlan gestion
Vlan par dfaut
09/09/11
Vlan natif
Vlan par
Vlan voix
dfaut
14
IUT d'Annecy dept. R&T Les VLANs sont bass sur le port : Chaque port du commutateur est affect un VLAN. Diffrents rles peuvent tre affects aux VLAN. Ces rles amnent la dfinition des VLAN suivant (appellations usuelles) VLAN par dfaut : Tous les ports du commutateur deviennent membres du VLAN par dfaut aprs le dmarrage initial du commutateur. Le VLAN par dfaut des commutateurs Cisco est le VLAN1. Le trafic de gestion des commutateur circule sur ce VLAN (CDP, STP) VLAN de donnes : Un VLAN de donnes est un rseau local virtuel qui est configur pour ne transporter que le trafic gnr par lutilisateur. VLAN natif : Un VLAN natif est affect un port dagrgation 802.1Q. Le VLAN natif par dfaut des commutateurs Cisco est le VLAN1. Le Vlan natif achemine le trafic sans le tagger. VLAN de gestion : Un VLAN de gestion est un rseau local virtuel que vous configurez pour accder aux fonctionnalits de gestion dun commutateur (par dfaut cest le VLAN1). VLAN voix : Le VLAN voix est utilis pour prendre en charge la voix sur IP, et affecter ce trafic une priorit suprieure celle des donnes. Alain Roussel 09/09/11 15
Interconnexion dun mme VLAN prsent sur 2 switchs distincts : PCetu1 PCetu2
PCadmin VLAN99 IP:172.17.99.1/2 Fa0/1 4 Fa0/2 VLAN20 IP:172.17.16.1/2 VLAN 99 4 VLAN 20 Fa0/4 Fa0/2 3 Fa0/3 VLAN 10 VLAN 150 VLAN20 IP:172.17.16.2/2 4
Les 2 commutateurs ont des ports affects aux 4 VLANs. Il faut donc un lien de connexion entre les 2 commutateurs pour chacun de ces VLANs. 4 ports sur chaque switchs seront affects respectivement chacun de ces VLANs.
09/09/11 Alain Roussel 17
Pour les identifier et les transmettre correctement, ces trames seront tiquetes (tag). Elles seront donc encapsules dans un format de trame appel 802.1Q
09/09/11 Alain Roussel
18
Un tag est ajout la trame par le commutateur avant son envoi sur un lien trunk. Ce tag est enlev quand il sort du (des) trunk(s) par le commutateur dextrmit.
09/09/11
Alain Roussel
19
TAG
4 recalcul
09/09/11
Alain Roussel
20
Protocole DTP
Le protocole DTP (Dynamic Trunking Protocol) est un protocole propritaire dvelopp par Cisco. Il nest pas pris en charge par les commutateurs dautres fournisseurs. Le protocole DTP est automatiquement activ sur un port de commutateur lorsque certains modes dagrgation sont configurs sur ce dernier.
Extrmit 2 Extrmit 1
09/09/11
Alain Roussel
21
09/09/11
Alain Roussel
22
Affectation des ports de commutateur aux IUT d'Annecy dept. R&T VLANs :
Comm1(config)#interface fa0/1 Comm1(config-if)#switchport mode access Comm1(config-if)#switchport access vlan 99 Comm1(config-if)#end Comm1(config)#interface fa0/2 Comm1(config-if)#switchport mode access Comm1(config-if)#switchport access vlan 10
Le protocole VTP (VLAN Trunking Protocol) a t cr par Cisco pour rsoudre des problmes oprationnels dans des rseaux commuts contenant des VLAN. Cest un protocole propritaire Cisco. Le rle de VTP est de maintenir la cohrence de la configuration VLAN sur un domaine dadministration rseau commun. VTP est un protocole de messagerie qui utilise les trames dagrgation de couche 2 pour grer lajout, la suppression et lattribution de nouveaux noms aux VLAN sur un domaine unique. VTP autorise les changements centraliss qui sont communiqus tous les autres commutateurs du rseau. Les messages VTP sont encapsuls dans des trames de protocole IEEE 802.1Q, puis transmis sur des liens multi-VLAN aux autres units. Un domaine VTP est compos dun ou de plusieurs quipements interconnects qui partagent le mme nom de domaine VTP. Un commutateur ne peut appartenir qu un seul domaine VTP. Pour une question de scurit un mot de passe peux tre configur pour protger ce trafic.
Alain Roussel
VTP
09/09/11
24
Un commutateur ne traite la IUT d'Annecy dept. R&Tsil appartient au mme mise jour que domaine VTP. Chaque fois quun commutateur reoit une mise jour avec un numro de rvision de configuration suprieur (donc plus rcente), il remplace les informations stockes dans sa base de donne VLAN par les nouvelles informations envoyes dans la mise jour VTP. Avec ce processus de remplacement, lorsque le VLAN nexiste pas dans la nouvelle base de donnes, il est supprim du commutateur. En outre, VTP met jour sa propre configuration dans la mmoire NVRAM. La commande erase startup-configuration efface les commandes de configuration en mmoire NVRAM, lexception du numro de rvision de la base de donnes VTP. Pour redfinir le numro de rvision de configuration sur zro, le commutateur doit tre redmarr.
09/09/11
Alain Roussel
26
Configuration de VTP
Les tches de base suivantes doivent tre effectues avant de configurer le protocole VTP et les VLAN sur le rseau. Indiquez si ce commutateur sera un membre dun domaine de gestion existant ou si un nouveau domaine doit tre cr. Si un domaine de gestion existe, dterminez son nom et son mot de passe. Choisissez un mode VTP pour le commutateur. Dfinition du numro de version de VTP Switch(config)#vtp version 2 ; changer le numro de version de VTP Deux versions diffrentes de VTP sont disponibles: la version 1 et la version 2. la version 1 est par dfaut. Les deux versions ne peuvent pas fonctionner ensemble. La version 2 de VTP peut tre mise en uvre si certaines des fonctions quelle offre ne sont pas proposes dans la version1. La fonction la plus couramment utilise est la prise en charge de VLAN Token Ring. Cration du domaine de gestion (1er commutateur install) Switch(config)#vtp domain cisco; Le nom du domaine peut comporter entre 1 et 32 caractres. Switch(config)#vtp password bonjour; Le mot de passe peut comporter entre 8 et 64 caractres. Vrification du numro de rvision de configuration VTP Switch#show vtp status; Les commutateurs dun domaine VTP utilisent toujours la configuration VLAN du commutateur qui porte le numro de rvision de configuration VTP le plus lev. Si un commutateur est ajout et sil porte un numro de rvision suprieur celui du domaine VTP, il peut effacer toutes les informations VLAN du serveur et du domaine VTP 09/09/11 Alain Roussel 27
IUT d'Annecy dept. R&T Dfinition du mode appropri pour le commutateur Choisissez un des trois modes VTP disponibles pour le commutateur. Sil sagit du premier commutateur du domaine de gestion et que dautres commutateurs vont tre ajouts, dfinissez le mode sur serveur. Les autres commutateurs seront en mesure dacqurir des informations VLAN de ce commutateur. Il doit y avoir au moins un serveur. ConfigurationVTP serveur: Switch(config)#vtp mode server ; activation des services vtp en mode serveur (actifs par defaut) Switch(config)#vtp domain group1 ; affectation dun nom de domaine (par defaut nom dhote) ConfigurationVTP client: Switch(config)#vtp mode client ; activation des services vtp en mode client Switch(config)#vtp domain group1 ; affectation dun nom de domaine (par defaut nom dhote) Les VLANs ne seront diffuss aux clients par le serveur quune fois ceux-ci crs sur le serveur et que le lien entre les commutateurs aient ts configurs et activs en agrgation 802.1q. Les Vlans ne seront activs quaprs affectation de ports. Switch#show vtp counters; Cette commande est utilise pour afficher des statistiques sur les annonces envoyes et reues sur le commutateur.
09/09/11
Alain Roussel
28
Elagage VTP
Llagage VTP vite linondation superflue dinformations de diffusion provenant dun rseau local virtuel sur toutes les agrgations dun domaine VTP. Cet lagage permet aux commutateurs de ngocier les rseaux locaux virtuels affects des ports lautre extrmit dune agrgation et, par consquent, dlaguer les rseaux locaux virtuels qui ne sont pas affects des ports sur le commutateur distant. Llagage est dsactiv par dfaut. Il peut tre activ laide de la commande de configuration globale : Switch(config)#vtp pruning. Vous devez activer llagage sur un seul commutateur serveur VTP du domaine.
09/09/11
Alain Roussel
29
09/09/11
Alain Roussel
30
La solution prcdente monopolise beaucoup de ports du commutateur et surtout dinterfaces sur le routeur. On va donc connecter directement le lien trunk sur le routeur. On dit que le routeur est on a stick. Sur le routeur on va crer des sous interfaces logiques sur une seule interface physique. (quivalent dun TRUNK au niveau IP). Cette solution est donc plus conomique et volutive que laffectation dune interface physique chaque VLAN, mais elle sera moins performante car la bande passante de linterface sera partage entre les VLANs
VLAN30
CONFIG ROUTER
Pour le routage entre VLAN avec sous-interfaces, une sous-interface doit tre cre pour chaque VLAN
Router(config)#interface fastethernet 0/1.59 Router(config-subif)#description Administration vlan1 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 59 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config)#interface fastethernet 0/1.2 Router(config-subif)#description VENTE vlan10 ; cmde optionnelle Router(config-subif)# encapsulation dot1q 10 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config)#interface fastethernet 0/1.99 Router(config-subif)#description natif vlan 99 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 99 native Router(config-subif)#ip address 192.168.99.1 255.255.255.0 Router(config)#interface fastethernet 0/1 linterface physique Router(config)#no shutdown ; activation obligatoire de
09/09/11
Ladresse IP de ces sous interfaces correspond donc ladresse de passerelle par dfaut de chaque VLAN.
Alain Roussel
32
CONFIG ROUTER
Pour le routage entre VLAN avec sous-interfaces, une sous-interface doit tre cre pour chaque VLAN
Router(config)#interface fastethernet 0/1.59 Router(config-subif)#description Administration vlan1 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 59 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config)#interface fastethernet 0/1.2 Router(config-subif)#description VENTE vlan10 ; cmde optionnelle Router(config-subif)# encapsulation dot1q 10 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config)#interface fastethernet 0/1.99 Router(config-subif)#description natif vlan 99 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 99 native Router(config-subif)#ip address 192.168.99.1 255.255.255.0 Router(config)#interface fastethernet 0/1 linterface physique Router(config)#no shutdown ; activation obligatoire de
09/09/11
Ladresse IP de ces sous interfaces correspond donc ladresse de passerelle par dfaut de chaque VLAN.
Alain Roussel
33
Il est aussi possible dutiliser un switch de niveau 3 (ou multilayer) Ce type de switch est en fait lassociation dans un mme botier dun switch traditionnel de niveau 2 et dun routeur ayant autant dinterface que de port. Ce type de routeur est donc plus performant au niveau du temps de traitement mais ne possde pas toutes les fonctionnalits dun routeur indpendant.
Cartes WAN
09/09/11
Alain Roussel
34
Nous voulons:
- Des liaisons redondantes. - Des switchs diffrents interconnects par des trunks - Si un lien ou un switch est dfaillant un autre 09/09/11 35 doit prendre le relais Alain Roussel automatiquement.
Les trames Ethernet nont pas de dure de vie(TTL) comme les paquetsIP qui traversent les routeurs. Par consquent, si elles ne sont pas arrtes correctement dans un rseau commut, elles continuent de circuler indfiniment dun commutateur un autre ou jusqu ce quune liaison soit interrompue et mette fin la boucle. Des trames de diffusion sont transmises par tous les ports, hormis le port dorigine. De cette manire, tous les priphriques du domaine de diffusion reoivent la trame. Si la trame peut emprunter plusieurs chemins, une boucle sans fin pourra tre cre. On appelle cela une tempte de Broadcast. Une boucle peut tre cre volontairement pour crer de la redondance mais parfois aussi involontairement sur la baie de brassage. Cest une erreur assez classique. Alain Roussel 09/09/11
36
4.Tempte de broadcast:
MAC
PC1 2 1
MAC POR T
ARP ARP PC1 3 1 2 ARP ARP ARP ARP ARP PC1 ARP
MAC
ARP ARP
ARP
PC1 2 1
ARPARP PC2
PC1 PC1 1 1 2
POR T
La redondance ncessite des boucles. IUT d'Annecy dept. R&T Les boucles sur un rseau commuts provoquent des temptes de broadcast, des transmissions multiples de la mme trame, des tables dadresses MAC incohrentes si tous les liens sont actifs simultanment. Il faut donc mettre en uvre un protocole qui permet dactiver automatiquement les liens redondants sans jamais avoir de boucle. Ce protocole sappelle STP (Spanning Tree Protocol). Quest ce que SPANNING TREE ? Cest une topologie en arbre (Tree). Un arbre na pas de boucle. Cest arbre couvre tous les quipements (Spanning). Tous les quipements ont une connexion active. Les liens redondants seront dsactivs en bloquant les ports. Plusieurs protocoles existent et ont t normaliss Spanning Tree Protocol : STP (IEEE 802.1d). Ce protocole est activ par dfaut sur les switchs CISCO. Rapid Spanning Tree Protocol : RSTP (IEEE 802.1w). STP peut grer des arbres de Alain Rousselmaximum (pb de diamtre 7 sauts 09/09/11 38 rseau).
Le commutateur utilise cet algorithme pour dcider quel port doit tre dsactiv. Pour cela : il dtermine un commutateur racine (appel pont racine), Il dtermine un port racine sur tous les autres commutateurs, Il dtermine un port dsign sur tous les autres liens, Il bloque tous les autres ports. Ils seront appels ports non dsigns
pont racine port dsign port dsign port racine port dsign port racine port dsign
09/09/11 Alain Roussel
port racine
Chaque commutateur diffuse une BPDU (Bridge Protocol Data Unit) contenant son BID toutes les 2 secondes, en se prtendant pont racine. Chaque pont qui reoit une BPDU avec un BID infrieur au sien reconnat ce pont comme pont racine. Il remplace alors dans ses BPDU, son propre BID par celui-ci (ce nest pas lui le pont racine). A la fin du processus, tous les BPDU contiennent le BID du pont de plus petit BID. Celui-ci est alors lu pont racine.
Le message BPDU est encapsul dans une trame Ethernet multicast et diffus vers ladresse MAC 0180-C200-0000 Bits : TCA 000000 TC (TC: BID pont racine Cot du chemin vers le pont BID pont metteur de la BPDU racine N du port dmission de la BPDU Temps coul depuis le dernier message du pont racine Dure de vie max de llection du pont racine (20s) Dlai entre 2 BPDU (dfaut 2s) Tempo de mise jour de la topologie (2x15s)
09/09/11 Alain Roussel 40 Topology change , TCA: TCAck)
09/09/11
Alain Roussel
41
pont racine
port racine
Cot racine A-B=23 Cot racine A-C-B=42
09/09/11
Que se passe t il si 2 chemins ont le mme cot ? Cot 4 port racine Cot racine A=4
Cot racine A-C=23
port racine
Cot 19
2
On prends alors en compte la priorit du port (128 par dfaut) et son numro de port. La priorit du port est configurable. par dfaut FA0/0=128.0 FA0/1=128.1 FA0/2=128.2 . Alain Roussel 09/09/11 43
port dsign
port racine
port racine
Cot 4 Cot 19 Cot 19
port dsign
port racine
Cot racine =23
09/09/11
Dlai de convergence:
Entre 30 et 60 secondes dattente avant de retrouver un tat de transmission suite un lien rompu.
Blocage Dmarrage du commutateur Ecoute Forward delay = 15 sec Apprentissage (learning) Forward delay = 15 sec Acheminement
(forwarding)
En cas de changement de la topologie, une Ou trame BPDU TCN (Topology Change i Notification) est mise vers le pont racine Le pont racine diffuse lensemble du rseau cette modification. Cela pour len informer. acclre la prise en compte de cette modification.
09/09/11 Alain Roussel 45
Configuration de STP
Dfinition du pont racine Switch(config)# spanning-tree vlan id_de_vlan root primary|secondary ; dfinit le switch comme pont racine (principal ou secondaire) Switch(config)# spanning-tree vlan id_de_vlan priority value ; dfinit la priorit du switch (par dfaut : 32768), Modification des couts pour les interfaces Switch(config)# interface fa0/1 Switch(config-if)# spanning-tree cost 25 ; dfinit un cout non standart linterface Modification de la priorit des ports (par dfaut 128.Nport) Switch(config)# interface fa0/1 spanning-tree port-priority valeur Suppression de linterface du processus de convergence STP. PortFast ne peut tre utilis que sur des ports daccs connects une station de travail ou un serveur. Switch(config)# interface fa0/1 Switch(config-if)# spanning-tree portfast
Vrification de STP
09/09/11
Alain Roussel
46
RSTP Rapid STP (802.1w) Fournit des amliorations significatives de la vitesse de convergence pour le rseau maill en permutant immdiatement les ports racines et dsigns ltat de transmission. Le protocole RSTP est en mesure de confirmer activement quun port peut basculer sans risque ltat dacheminement en saffranchissant compltement de tout minuteur. Le temps de convergence passe ainsi 2-6 secondes. RSTP permet aussi de grer des arbres comportant jusqu 18 sauts. RSTP utilise la mme structure de BPDU que STP. Il met un BPDU toute les 2 secondes. Le dlai max age est rduit 6 seconde (la perte de 3 BPDU entrane une reconfiguration de larbre). Il dfinit des rles de ports et des tats de ports diffrents de STP.
47
Un port dextrmit RSTP est un port de commutateur qui ne doit jamais tre connect un autre priphrique de commutateur. Il passe immdiatement ltat dacheminement lorsquil est activ. Cest ladministrateur qui configure ce mode de fonctionnement. un port dextrmit RSTP qui reoit une trame BPDU perd immdiatement son statut de port dextrmit et devient un port Spanning Tree normal. Un port de secours est un port supplmentaire offrant une liaison redondante pour un port dsign. Ce port est mis ltat discard (mise lcart). Un port alternatif est un port qui offre un autre chemin vers le pont racine. Ce port est mis ltat discard (mise lcart).
09/09/11
Alain Roussel
48
IUT d'Annecy dept. R&T Le protocole RSTP acclre considrablement le processus de recalcul aprs une modification de topologie, car il effectue la convergence en fonction de chaque liaison et il peut autoriser le changement dtat dun port sans attendre l'expiration du dlai d'un minuteur (pour STP 2x15s). Quand un nouveau chemin apparat, on coupe les ports amonts (les plus loigns de la racine) jusqu ce que les commutateurs suivants aient fait la mme opration. La modification de topologie se fait donc de proche en proche. Cela ncessite des BPDU changs dans les deux sens
Rsum sur le STP et le RSTP : Il ne peut y avoir seulement quun arbre dans un rseau. Si des VLANs sont dfinis, tous les VLANs partagerons le STP (RSTP). Cela signifie que tous les VLANs auront la mme topologie logique et auront traiter lensemble des BPDU. Le protocole MSTP (Multiple STP : norme IEEE 802.1Q-2003) permet la cration de plusieurs liens redondants pour un rseau segment en VLAN 802.1q. Le MSTP peut fournir un STP ddi pour chaque VLAN et ainsi fournir un partage de charge du trafic. Alain Roussel 09/09/11
49
6.La scurit:
-La scurit du rseau commence dj par : -La mise en place de mots de passe daccs lquipement. Laccs ces fonctions peut se faire par : - hyper terminal en mode console (CLI): ncessite une connexion srie avec lquipement. - telnet - SSH - navigateur Web pour les quipements rcents. -La mise en place de mots de passe daccs aux fonctions dadministration des quipements. Deux modes de fonctionnement sont prvus : -le mode utilisateur -le mode privilgi. - Lactivation du chiffrement des mots de passe. - Linstallation des quipements dans un local dont laccs est scuris. En effet laccs direct en mode console lquipement permet laccs au fonctions dadministration mme si on nen connat pas les mots de passe. Une procdure de rcupration de mot de passe existe pour quen cas doubli on puisse accder lquipement. -La dsactivation des ports inutiliss
09/09/11 Alain Roussel 50
6.La scurit:
-La scurit du rseau commence dj par : -La mise en place de mots de passe daccs lquipement. Laccs ces fonctions peut se faire par : - hyper terminal en mode console (CLI): ncessite une connexion srie avec lquipement. - telnet - SSH - navigateur Web pour les quipements rcents. -La mise en place de mots de passe daccs aux fonctions dadministration des quipements. Deux modes de fonctionnement sont prvus : -le mode utilisateur -le mode privilgi. - Lactivation du chiffrement des mots de passe. - Linstallation des quipements dans un local dont laccs est scuris. En effet laccs direct en mode console lquipement permet laccs au fonctions dadministration mme si on nen connat pas les mots de passe. Une procdure de rcupration de mot de passe existe pour quen cas doubli on puisse accder lquipement. -La dsactivation des ports inutiliss
09/09/11 Alain Roussel 51
Comm1>enable Comm1#configure terminal Comm1 (config)# Comm1(config)#line vty 0 15 Comm1(config-line)#password cisco Comm1(config-line)#login Comm1(config-line)#exit Comm1(config)#service password-encryption Comm1(config)#enable secret mot_de_passe ; activation de ssh Comm1 (config)#ip domain-name mondomaine.fr Comm1 (config)#crypto key generate rsa ; cre une paire de cls rsa Comm1 (config)#ip ssh version 1|2 Comm1(config)#line vty 0 15 Comm1(config-line)#transport input ssh|telnet|all ; interdit les connexion telnet Comm1 (config)# crypto key zeroize rsa ; permet de supprimer les cls rsa Alain Roussel 09/09/11 52
-Malheureusement, une protection et une scurit de base ne mettent pas les commutateurs labri dattaques malveillantes (exemple de pack logiciel dattaque : DSNIFF). Attaque par inondation dadressesMAC : Il faut savoir que la taille des tables dadressesMAC est limite. LinondationMAC profite de cette limite pour submerger le commutateur de fausses adressesMAC source jusqu ce que la table dadressesMAC de ce dernier soit sature. Le commutateur passe alors en mode failopen, commence agir en qualit de concentrateur et diffuse des paquets tous les ordinateurs du rseau. La personne malveillante peut alors voir toutes les trames transmises de lhte attaqu vers un autre hte. Si les communications ne sont pas cryptes il est trs facile de voir tous les mots de passe utilisateur par exemple. Protection : Mettre en uvre la scurit des ports
la scurit des ports La scurit des ports restreint le nombre dadressesMAC autorises sur un port. Lorsque vous affectez des adressesMAC scurises un port tout aussi scuris, ce dernier ne transmet aucun paquet avec adresse source en dehors du groupe des adresses dfinies. Si vous limitez le nombre des adressesMAC scurises une adresse et affectez une adresseMAC scurise unique sur ce port, la station de travail relie au port bnficie de la bande passante intgrale de ce dernier et seule cette station de travail dote de cette adresseMAC scurise en particulier peut se connecter avec succs ce port du commutateur. Si vous configurez le port comme un port scuris et atteignez le nombre maximal dadressesMAC scurises, une violation de scurit se produit lorsque ladresseMAC dune station de travail qui tente daccder au port est diffrente de toutes les adressesMAC scurises qui ont t identifies. Ladresse MAC associ au port peut tre ralis manuellement ou par apprentissage.
09/09/11
Alain Roussel
54
Il y a violation de la scurit lorsque lune des situations suivantes se prsente: Le nombre maximal dadressesMAC scurises a t ajout dans la table dadresses et une station dont ladresseMAC ne figure pas dans cette table tente daccder linterface. Une adresse assimile ou configure dans une interface scurise est visible sur une autre interface scurise dans le mme rseau local virtuel (2 adresses MAC identiques sur 2 ports diffrents).
Comm1(config)#interface fastEthernet 0/18 Comm1(config-if)#switchport mode access Comm1(config-if)#switchport port-security ; activation de la scurit des ports Comm1(config-if)#switchport port-security maximum 1 Affectation statique Comm1(config)#switchport port-security mac-address 0002.16E8.C285 Affectation par apprentissage Comm1(config-if)#switchport port-security mac-address sticky Comm1(config-if)#switchport port-security violation shutdown Alain Roussel 09/09/11
55
Attaques Telnet : Un pirate attaque le mot de passe en force. Protection : Modifier frquemment les mots de passe et utiliser des mots de passe forts combinant au hasard des lettres en majuscules et minuscules et des chiffres. Mettre en place des ACL pour les accs Telnet (niveau IP couche 3). Sera vu plus tard.
09/09/11
Alain Roussel
57
Pour la certification Explo3 Vous devez savoir quoi correspond le SSID, connaitre les diffrents types de scurisation du rseau (ouverte, WEP, WPA,), tre capable de configurer une connexion wifi sur un PC.
09/09/11
59
Un Etherchannel permet une agrgation de bande passante. Il permet dagrger jusqu 8 liens physiques FastEthernet ou GigabitEthernet et den faire un seul lien logique. Le trafic est redistribu ensuite entre les liens physiques selon diffrentes mthodes. Letherchannel permet aussi dobtenir une tolrance de panne en basculant automatiquement le trafic sur les liens disponibles. Ces boucles de switchs ne sont pas dsactives par STP. En effet pour celui-ci lensemble de ces liens correspond un lien unique.
09/09/11 Alain Roussel 60
Il existe 2 protocoles d'agrgation de liens Port Aggregation Protocol (PAgP), propritaire Cisco Link Aggregation Protocol (LACP), normalis IEEE (802.3ad) PAgP envoie toutes les 30 secondes des paquets multicast l'adresse MAC 01:00:0C:CC:CC:CC sur tous les ports de lagrgation afin de vrifier que tous les ports ont bien la mme configuration : Mme protocole, vitesse, duplex et VLAN Quand EtherChannel est identifi de part et d'autre, PAgP regroupe les liens entre-eux et ajoute ce port au spanning tree, comme un unique port LACP est une partie de la spcification 802.3ad Fonctionnement comme PAgP mais galement entre fabriquant diffrent car normalis
09/09/11
Alain Roussel
61
Mode non-silent : utiliser quand lquipement supporte PAgP ou LACP Mode silent : utiliser pour une connexion qui ne supporte pas PAgP ou LACP (serveur, analyseur) Alain Roussel
09/09/11
62
Le router nayant quune seule adresse MAC et IP(NAT), si le mode adresse de destination est choisie seule un port de lagrgation sera utilis. Avec le mode adresse source le trafic sera rparti en fonction de lorigine des PC. Le routeur doit choisir un mode de fonctionnement inverse pour les mmes Alain Roussel 09/09/11 raisons.
63
Configuration des 2 ports GI0/1 et GI0/2 appartenant au VLAN 10 comme Etherchannel N5 matre PAGP (initie la ngociation PAGP) Switch(config)# interface range gigabitethernet0/1 -2 Switch(config-if-range)# switchport mode {access | trunk} Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# channel-group 5 mode {auto [non-silent] | desirable [non-silent] | on} | Configuration des 2 ports GI0/1 et GI0/2 (mode access) appartenant au VLAN 10 comme Etherchannel N5 matre LACP (initie la ngociation LACP) Switch(config)# interface range gigabitethernet0/1 -2 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# channel-group 5 mode {active | passive} Une interface logique nomme Port-Channel5 vient dtre associ au groupement de ports GI0/1 et GI0/2. Ce port doit tre configur comme nimporte quelle interface (trunk, access, vlan, vlan allowed, scurity ) Switch(config)#interface port-channel 5 Switch(config)# switchport mode access Configuration de la rpartition de charge (pour tous les etherchannel): Switch(config)#port-channel load-balance {dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac}
09/09/11 Alain Roussel 64
Qualit de service (QOS) -class of service (COS) La qualit de service (QOS) est la mesure de la qualit de transmission et de la disponibilit des services dun rseau. La QOS dpends de plusieurs facteur : la latence, la gigue, et les pertes. La gestion de la qualit de service repose sur les traitements suivants: -Classification et marquage des trames -Gestion des trafics -Classification des trafics par priorit -Reordonnancement des trames
Un champ de 3 bits de la trame 802.1Q est attribu la dfinition de priorits selon 7 classes de services :
09/09/11 Alain Roussel 65
Les switchs CISCO permettent la mise en uvre de la qualit de service trs simplement. Il suffit dactiver lauto-QoS sur tous les routeurs et switchs (cisco). Switch(config)# interface gigabitethernet0/1 Switch(config-if)# auto qos voip trust Switch(config-if)# mls qos trust cos Pour plus de dtail sur la QOS se rfrer aux documents suivants : http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps655 8/prod_presentation0900aecd80312b59.pdf http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/softwa re/release/12.1_20_ea2/configuration/guide/swqos.html
09/09/11 Alain Roussel 66