Conf Switch

Configurer un Commutateur
ITE I Chapter 6 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1
Objectifs
Expliquer brièvement le fonctionnement d'Ethernet tel qu'il est
défini pour les LANs 100/1000 Mb/s dans le standard IEEE
802.3.
Expliquer les fonctions qui permettent à un commutateur
d'acheminer les trames Ethernet dans un LAN.
Configurer un commutateur pour qu'il fonctionne dans un
réseau conçu pour transporter la voix, la vidéo et les données.
Configurer la sécurité de base sur un commutateur pour qu'il
fonctionne dans un réseau conçu pour transporter la voix, la
vidéo et les données.
ITE 1 Chapter 6 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 2
Description du fonctionnement d'Ethernet tel
qu'il est défini dans le standard IEEE 802.3
pour les LANs 100/1000 Mb/s
Description des éléments clés des réseaux Ethernet/802.3
Unicast:
Un émetteur et un récepteur
Broadcast:
Un émetteur et toutes les autres adresses
Multicast:
Un émetteur et un groupe d'adresses
Description des principes des réseaux Ethernet/802.3
Latence du réseau
Chaque équipement placé dans le chemin introduit une latence
La carte d'interface
réseau transmet une La carte interface réseau
impulsion sur le câble destination interprète
le signal
Le signal traverse
Le signal se propage l'équipement réseau
sur le câble
Description des principes mis en œuvre dans les LANs pour
réduire la latence du réseau
Contrôler la latence du réseau

- Latence causée par chaque équipement dans le réseau
Un commutateur du niveau cœur de réseau supportant 48 ports opérant à 100 Mb/s en full
duplex requiert un débit de traversée de 96 Gb/s si celui-ci veut maintenir un débit de 100 Mb/s
simultanément sur tous les ports.
- Des équipements de couches hautes du modèle OSI peuvent accroître la latence dans le réseau
Un routeur doit extraire les informations d'adressage pour les interpréter. Ce traitement
introduit de la latence.
Equilibrer l'utilisation d'équipements de couche haute pour réduire la latence tout en limitant
la portée du trafic de diffusion ou le taux de collision.
Fonctions qui permettent à un Commutateur
d'acheminer les trames Ethernet dans un LAN
Méthodes d'acheminement du commutateur
Méthodes d'acheminement des trames
Store and Forward Cut-through
La trame complète est La trame est acheminée

reçue puis acheminée par le commutateur
avant d'être entièrement
reçue.
Commutation symétrique et asymétrique
Commutation symétrique et asymétrique
Asymétrique
Tous les ports n'ont pas
la même vitesse
Symétrique
Tous les ports ont
la même vitesse
Fonctionnement des "buffers" mémoire
Buffering basé sur le port et mémoire partagée
Mémoire basée sur le port Dans le buffering mémoire basé sur le

port, les trames sont stockées dans
des files liées en des ports entrants .
Mémoire partagée Dans le buffering mémoire partagée,
les trames sont stockées dans un
buffer mémoire commun partagé par
tous les ports.
Comparaison de la commutation Couche 2 avec la
commutation Couche 3
Comparaison Commutateur Couche 3 et Routeur
Caractéristique Commutateur Couche 3 Routeur
Routage couche 3 Supporté Supporté
Gestion du trafic Supporté Supporté
Support WIC Supporté
Protocoles de routage Supporté

avancés
Routage rapide Supporté
Configurer un commutateur
Description des commandes de l'IOS Cisco utilisées pour
gérer l'interface ligne de commande
Mode de l'interface ligne de commande
Syntaxe de commande de l'IOS Cisco
Bascule du mode EXEC privilégié en mode de switch# configure terminal

configuration global.
L'invite (config)# signifie que le commutateur switch(config)#
est en mode de configuration global.
Passe du mode configuration global au mode de switch(config)#interface fastethernet 0/1
configuration interface pour l'interface
fastethernet0/1.
L'invite (config-if)# signifie que le commutateur switch(config-if)#
est en mode de configuration interface.
Bascule du mode de configuration interface en switch(config-if)# exit
mode de configuration global.
L'invite (config)# signifie que le commutateur switch(config)#
est en mode de configuration global.
L'invite switch# signifie que le commutateur est en switch#
mode EXEC privilégié.
Description des facilités de l'aide en ligne de l'IOS Cisco
Configuration de la sécurité de port sur un commutateur Catalyst Cisco

Bascule du mode EXEC privilégié en mode de S1# configure terminal
Spécifie le type et le numéro de l'interface S1(config)# interface fastethernet 0/18
physique à configurer, exemple Fa0/18, et entre
en mode de configuration interface..
Passe l'interface en mode accès. Une interface en S1(config-if)# switchport mode access
mode "dynamic desirable" par défaut ne peut pas
être configuré comme port sécurisé.
Active la sécurité de port sur l'interface. S1(config-if)# switchport port-security
Retour en mode EXEC privilégié. S1(config-if)# end
Description des facilités de l'aide en ligne de l'IOS Cisco
Configuration des paramètres de la sécurité de port

sur un commutateur Catalyst Cisco

Spécifie le type et le numéro de l'interface S1(config)# interface fastethernet 0/18
physique à configurer, exemple Fa0/18, et entre
en mode de configuration interface..
Passe l'interface en mode accès. Une interface en S1(config-if)# switchport mode access
mode "dynamic desirable" par défaut ne peut pas
être configuré comme port sécurisé.
Active la sécurité de port sur l'interface. S1(config-if)# switchport port-security
Fixe le nombre maximum d'adresses sécurisées à S1(config-if)# switchport port-security

50. maximum 50
Active l'apprentissage d'une adresse. S1(config-if)# switchport port-security
mac-address sticky
Retour en mode EXEC privilégié. S1(config-if)# end
Décrire les commandes de l'IOS Cisco utilisées pour gérer
l'historique des commandes
Commande show history
Utilisez la commande show history pour afficher

les commandes entrées récemment.
Configurer l'historique
Valide l'historique. Cette commande peut-être exécutée en Switch# terminal history
mode utilisateur ou en mode EXEC privilégié.
Configure la taille de l'historique. L'historique du terminal Switch# terminal history 50

peut contenir jusqu'à 256 lignes de commande.
Réinitialise la taille de l'historique à sa valeur par défaut (10 Switch# no terminal history size
commandes).
Désactive l'historique. Switch# terminal no history
Décrire la séquence de démarrage d'un commutateur Cisco
Description de la séquence de démarrage (boot)
Séquence de démarrage d'un Commutateur Cisco:

- Le commutateur charge le logiciel "boot loader" situé dans la NVRAM.
- Le "boot loader":
Exécute l'initialisation bas niveau de la CPU
Exécute le test POST pour le sous-système CPU
Initialise le système de fichier flash sur la carte système.
Charge l'image par défaut du système d'exploitation en
mémoire puis démarre le commutateur.
- Le commutateur opère en utilisant le fichier config.text stocké en mémoire flash.
Le "boot loader" peut vous aider à récupérer d'un "crash" du système d'exploitation
- Permet un accès au commutateur si le système d'exploitation a des problèmes
assez sérieux qui l'empêchent de fonctionner.
- Permet un accès aux fichiers stockés dans la mémoire flash avant que le système
d'exploitation soit chargé.
- Utilisation des commandes du "boot loader" pour les fonctions de récupération.
Comment préparer un commutateur pour sa configuration
Port Console
Comment réaliser une configuration de base
Configurer la connectivité IP
PC1
S1
Fa0/18
PC1: S1:
Adresse IP : 172.17.99.12 VLAN 99 - VLAN d'administration
Connecté au port console Adresse IP : 172.17.99.11
Connecté au port Fa0/18 de S1 Port Fa0/18 affecté au VLAN 99
Pour l'administration, une adresse de couche 3 doit être affectée au commutateur.

Le VLAN 1 est l'interface d'administration par défaut pour tous les commutateurs
Il y a des risques de sécurité associés au VLAN 1.
Créez un autre VLAN comme par exemple le VLAN 99 ou le VLAN 150.
Affectez ce VLAN à un port, par exemple le port Fa0/18.
Comment vérifier la configuration de l'IOS en utilisant la
commande show
Utilisation des commandes show

Affiche l'état et la configuration d'une interface ou de toutes les show interfaces [interface-id]
interfaces du commutateur.
Affiche la configuration de démarrage. show startup-config
Affiche la configuration courante. show running-config
Affiche des informations sur le système de fichiers de la Flash. show flash:
Affiche les informations d'état et de version de logiciel. show version
Affiche l'historique des commandes. show history
Affiche l'information IP. show ip {interface | http | arp}
L'option interface affiche l'état et la configuration IP de l'interface.
l'option http affiche l'information HTTP opérant sur le
commutateur.
L'option ARP affiche la table ARP.
Affiche la table des adresses MAC show mac-address table
Comment gérer les fichiers de configuration de l'IOS Cisco
Sauvegarde et restauration de la configuration d'un commutateur

Version formelle de la commande copy de S1# copy system:running-config flash:startup-config
l'IOS Cisco. Destination filename [startup-config]?
Confirme le nom de fichier destination.
Pressez la touche Enter pour accepter et
utilisez CTRl-C pour annuler la commande.
Version simplifiée de la commande copy de S1# copy running-config startup-config
l'IOS Cisco. Les suppositions sont que le Destination filename [startup-config]?
fichier running-config fait partie du
système et que startup-config sera stocké
en flash NVRAM. Pressez la touche Enter
pour accepter et utilisez CTRl-C pour
annuler la commande.
Sauvegarde de startup-config dans un S1# copy system:running-config flash:config.bak1
fichier stocké en flash. Confirmez le nom de Destination filename [config-bak1]?
fichier destination. Pressez la touche Enter
pour accepter et utilisez CTRl-C pour
annuler la commande.
Configurer la sécurité de base sur un
commutateur
configurer les options de mot de passe
Configurer les mots de passe

Configure le mot de passe enable pour entrer en S1(config)# enable password password
mode EXE C privilégié.
Configure le mot de passe secret pour entrer en S1(config)# enable secret password
mode EXE C privilégié.
Retour en mode EXEC privilégié. S1(config)# end
commutateur
configurer une bannière de login
Configurer une bannière de login

Configure une bannière de login. S1(config)# banner login "Authorized Personnel
Only".
Configurer une bannière de MOTD

Configure une bannière MOTD de login. S1(config)# banner motd "Device maintenance
will be occurring on Friday!"
commutateur
Comment configurer Telnet et SSH sur un commutateur
Telnet et SSH
Configurer Telnet
Telnet
- Méthode d'accès la plus courante
- Transmet les messages en texte clair
- N'est pas sécurisé
Configurer SSH
SSH
- Doit être la méthode d'accès
- Transmet les messages sous forme cryptée
- Est sécurisé
commutateur
Description des attaques de sécurité communes d'un
commutateur. Cette description inclut, l'inondation d'adresses
MAC, les attaques d'usurpation, les attaques CDP et les
attaques Telnet
MAC B
De fausses adresses MAC Port S1

sont ajoutées dans la X 3
table d'adresses MAC Y 3
C 3 L'attaquant commence
Port 2
à envoyer de fausses
Port 1 adresses MAC
Port 3
MAC A
X et Y sont sur le port 3 Y-> ?
et la table d'adresses
MAC est mise à jour.
MAC C
Un intrus opère avec un outil
d'attaque sur MAC C
commutateur
Description de l'utilisation des outils de sécurité qui sont
utilisés pour améliorer la sécurité réseau
Outils de sécurité
Les outils de sécurité réseau réalisent ces fonctions:

- Les Audits de sécurité réseau vous aident à:
Connaître quel sorte d'informations un attaquant peut rassembler simplement
en supervisant le trafic réseau.
Déterminer le volume idéal d'adresses MAC usurpées à retirer.
Déterminer la durée de validité de la table d'adresses MAC.
- Les Test de pénétration réseau vous aident à:

Identifier les faiblesses dans les configurations de vos équipements de réseau.
Lancer de nombreuses attaques pour tester votre réseau.
Attention: Planification des tests de pénétration pour éviter des impacts négatifs
sur les performances du réseau.
commutateur
Pourquoi est-il nécessaire de sécuriser les ports sur un
commutateur?
Caractéristiques des Outils de sécurité
Les caractéristiques communes d'un outil de sécurité réseau moderne sont:

- Service d'identification
- Support de services SSL
- Tests non-destructifs et destructifs
- Base de données des vulnérabilités
Vous pouvez utiliser des outils de sécurité réseau pour:

- Capturer des messages de discussion
- Capturer des fichiers de trafic NFS
- Capturer des requêtes HTTP au format Common Log
- Capturer des messages au format mbox Berkeley
- Capturer des mots de passe
- Afficher des URLs de capture dans Netscape en temps-réel
- Inonder un commutateur LAN avec des adresses MAC aléatoires
- Construire des réponses vers des requêtes d'adresses DNS et de pointeur
- Intercepter des paquets sur un LAN commuté
commutateur
bloquer les ports non utilisés
Sécurité de port par défaut
Caractéristique Valeur par défaut

Sécurité de port Non activée sur un port.
Nombre maximum d'adresses 1
MAC sécurisées
Mode de violation Shutdown. Le port est bloqué quand
le nombre maximum d'adresses
sécurisées est dépassé. Un trap SNMP
est transmis.
Apprentissage d'adresse Non activé.
Résumé
Architecture LAN
- Processus qui explique comment un LAN doit être
implémenté
- Facteurs à prendre en compte dans l'architecture LAN
Domaines de collision
Domaines de Broadcast
Latence du réseau
Segmentation LAN
Résumé
Méthodes d'acheminement du commutateur
- Store and forward – Utilisée par les commutateurs
Catalyst Cisco
- Cut through – Deux types
Cut through
Fast forwarding
Résumé
Commutation Symétrique
- La commutation est réalisée entre des ports qui ont la
même vitesse
Commutation Asymétrique
- La commutation est réalisée entre des ports qui ont des
vitesses différentes
Résumé
La CLI de l'IOS CISCO comprend les caractéristiques
suivantes:
- Aide intégrée
- Historique des commandes
Sécurité du commutateur
- Protection par mot de passe
- Utilisation de SSH pour un accès à distance
- Sécurité de Port

Conf Switch

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Conf Switch

Transféré par

Droits d'auteur :

Formats disponibles

Configurer un Commutateur

Chaque équipement placé dans le chemin introduit une latence

Contrôler la latence du réseau

Méthodes d'acheminement du commutateur

Méthodes d'acheminement des trames

Store and Forward Cut-through

La trame complète est La trame est acheminée

Buffering basé sur le port et mémoire partagée

Mémoire basée sur le port Dans le buffering mémoire basé sur le

Caractéristique Commutateur Couche 3 Routeur

Routage couche 3 Supporté Supporté

Gestion du trafic Supporté Supporté

Support WIC Supporté

Protocoles de routage Supporté

Syntaxe de commande de l'IOS Cisco

Bascule du mode EXEC privilégié en mode de switch# configure terminal

Configuration de la sécurité de port sur un commutateur Catalyst Cisco

Syntaxe de commande de l'IOS Cisco

Retour en mode EXEC privilégié. S1(config-if)# end

Configuration des paramètres de la sécurité de port

Syntaxe de commande de l'IOS Cisco

Fixe le nombre maximum d'adresses sécurisées à S1(config-if)# switchport port-security

Utilisez la commande show history pour afficher

Configure la taille de l'historique. L'historique du terminal Switch# terminal history 50

Description de la séquence de démarrage (boot)

Séquence de démarrage d'un Commutateur Cisco:

Pour l'administration, une adresse de couche 3 doit être affectée au commutateur.

Syntaxe de commande de l'IOS Cisco

Sauvegarde et restauration de la configuration d'un commutateur

Syntaxe de commande de l'IOS Cisco

Syntaxe de commande de l'IOS Cisco

Configurer une bannière de login

Syntaxe de commande de l'IOS Cisco

Configurer une bannière de MOTD

De fausses adresses MAC Port S1

Les outils de sécurité réseau réalisent ces fonctions:

- Les Test de pénétration réseau vous aident à:

Les caractéristiques communes d'un outil de sécurité réseau moderne sont:

Vous pouvez utiliser des outils de sécurité réseau pour:

Caractéristique Valeur par défaut

Vous aimerez peut-être aussi