Antoine Mamcarz

BTS SIO

Bloc 3 : Cybersécurité des

services informatique.
02 - La couche accès réseau -
switchs
Compétences abordées :
B3.1 Protéger les données à caractère personnel.
B3.2 Préserver l'identité numérique de l'organisation.
B3.3 Sécuriser les équipements et les usages des utilisateurs.
B3.4 Garantir la disponibilité, l'intégralité et la confidentialité des services informatiques et
des données de l'organisation face à des cyberattaques.
B3.5 Assurer la cybersécurité d'une infrastructure réseau, d'un système, d'un service.
 Une histoire de switch
Reproduisez l’architecture suivante :

Attribuez des IP fixes aux deux postes, par exemple 192.168.0.1 et 192.168.0.2.

Sur un des deux ordinateurs, vérifiez que la table arp est vide à l’aide de la commande arp –a, puis
pingez l’autre ordinateur, et revérifiez le contenu de la table arp des deux ordinateurs.

Maintenant reproduisez celle-là :

Donnez des IP à tout le monde, et pingez PC0 et PC1 depuis PC2 et PC3. Regardez ensuite la table
MAC/port des deux switchs. Comment ont-ils retenu ces informations ?
Résumons le fonctionnement d’un switch :

Plusieurs adresses MAC peuvent être affectées à un même port, c’est le cas lorsque des switchs sont
reliés entre eux ou encore dans le cadre de machines virtuelles.

On ne peut envoyer les trames qu’une par une sur un port. Les switchs ont donc un cache pour
stocker des trames qui devraient être envoyées en même temps au même endroit. Si jamais le cache
était rempli, le paquet serait abandonné par le switch.

Un switch n’apporte aucune modification aux trames qu’il reçoit.

Comment choisir un switch :

Le nombre de ports :
Les switchs contiennent de 2 à 48 ports, rarement plus. Pour des plus grosses infrastructures, il existe
des switchs « stackable » qui se comportent comme un seul switch.

Enchainer plein de petits switchs poserait des problèmes de congestion au niveau des « câbles
partagés »

Il est important de bien inventorier son réseau ainsi que d’évaluer son évolution avant de choisir un
switch.

La vitesse de transfert :
La vitesse requise par votre switch dépendra de la typologie de votre réseau informatique. C’est
souvent une bonne idée d’anticiper un peu sur l’évolution de votre réseau, pour éviter d’avoir à tout
changer dans 5 ans.
Pour vous aider à anticiper ce besoin, retenez que l'un des usages le plus gourmand en besoins
réseaux reste le stockage à distance (NAS, Cloud, ...).

Un switch est dit non bloquant s’il a la capacité matérielle de traiter toutes les données qui arrivent si
tous ses ports fonctionnent au maximum de leurs capacités. C’est mieux mais c’est plus cher, et bien
sûr, ce n’est pas une garantie absolue d’éviter les congestions.
Les ports POE :
Le POE ou Power Over Ethenet permet d'alimenter en courant un appareil électrique (Téléphone IP,
Borne Wifi, Domotique...) qui sera relié au switch par un câble réseau.
Quand vous souhaitez acquérir un switch, il est important de vérifier le nombre de ports POE dont il
dispose.
A noter que le POE nécessite le branchement d'alimentation supplémentaire (Redundant Power
Supply).
Vous avez la possibilité de positionner un onduleur situé à la source du POE pour protéger l'ensemble
des appareils alimentés par cette source de courant électrique.

Support des VLAN :

Les VLAN sont des sous réseaux virtuels qui peuvent cohabiter sur un même switch. Ils sont utiles
pour cloisonner les données, et pour rendre certains types de trafics prioritaires.

Quelques exemples :
Switch HP Procurve Aruba 2920 48G PoE+ 370W (J9729A)

3000 €
Switch PoE+ niveau 2/3 avec 370W de POE+, 48 ports 10/100/1000 2 emplacement pour modules de
10 Gigabit fibre J9731A ou cuivre J9732A , 1 logement pour le module d'empilage de 2 ports de stack
J9733A , Alimentation redondante externe possible par châssis J9805A

Caractéristiques techniques :
Ports Possibilités d'empilement
44 ports RJ-45 10/100/1000 PoE+ à Virtuel
détection automatique 4 switchs
4 ports RJ-45 10/100/1000 double Fonctions d'administration
fonction SFP Aruba AirWave Network Management
2 logements pour modules IMC - Intelligent Management Center
Mémoire et processeur Interface en ligne de commande
ARM1176 trois cœurs 625 MHz Navigateur Web
512 Mo de SDRAM Menu de configuration
Taille du tampon de paquets : 11,25 Gestion hors bande (Ethernet RJ-45)
Mo (6,75 Mo dynamiques en sortie + Gestionnaire SNMP
4,5 Mo en entrée) Telnet
1 Go de mémoire flash RMON1
Latence FTP
Latence de 100 Mbits : < 9 µs En ligne et hors bande
Latence de 1 000 Mbits : < 3,2 µs Gestion hors bande (série RS-232C ou
Latence de 10 Go/s : < 3,2 µs micro USB)
Débit Spécifications d'alimentation et de
jusqu'à 130,9 Mpps fonctionnement
Capacité de routage/commutation 176 Nom du module d'alimentation 1 x
Gbit/s J9738A
Alimentation électrique du module Dimensions & Poids
d'alimentation par câble Ethernet PoE+ Dimensions minimales (L x P x H)
370 W 44,25 x 33,6 x 4,39 cm
Poids 5,7 kg
Sinon, voici la table mac/port d’un switch :

HW addr port
00-0C-29-28-4A-2D 1
00-0C-29-28-8E-FF 1
00-0C-29-AB-00-15 1
0D-95-24-C2-B4-B3 1
00-0E-08-B3-E4-DF 3
00-0E-08-99-71-4F 2
05-21-4C-88-79-21 4
09-84-CE-F4-B3-00 2
0A-CE-45-84-11-A0 2

Sachant que sur notre réseau, une machine est une machine virtuelle si et seulement si son adresse
MAC commence par 00-0C-29 (adresses VMWARE), et que le constructeur d’IP Phone Linksys est
identifié par 00-0E-08, pouvez-vous dessiner le schéma de ce réseau en faisant apparaître les
adresses MAC et les numéros de ports ?

Le spanning tree protocol

On peut avoir envie de créer des cycles entre plusieurs switchs, par exemple pour ne pas couper la
communication entre deux parties de notre réseau si un switch avait une défaillance.

Par exemple, dans cette architecture :

Toute défaillance du switch de gauche coupe la liaison entre PC1 et PC2, ce qui ne serait plus le cas
dans la suivante :
En revanche, que se passe-t-il si un PC émet une trame en broadcast MAC ?

Pour pallier à ce problème nommé tempête de broadcast, les switchs implémentent un protocole dit
de « l’arbre couvrant » qui va désactiver certains liens pour briser les cycles (formellement, les
switchs calculent un arbre couvrant de poids minimum). L’état des liens est recalculé régulièrement,
ce qui permet d’avoir un peu de tolérance aux pannes.

Des exercices
Voici la table MAC/port d’un switch. Reconstituez au mieux le réseau :

Port 1 Mac1
Port 1 Mac2
Port 1 Mac3
Port 1 Mac4
Port 1 Mac5
Port 2 Mac6
Port 2 Mac7
Port 2 Mac8
Port 3 Mac9
Port 4 Mac10
Port 4 Mac11
Port 4 Mac12
Port 4 Mac13
Port 4 Mac14
Port 4 Mac15
Port 4 Mac16
Port 4 Mac17
Port 4 Mac18

Voici les tables MAC/Ports de 2 switchs. Reconstituez au mieux le réseau :

S1 S2
Port 1 Mac1 Port 1 Mac1
Port 1 Mac2 Port 1 Mac2
Port 1 Mac3 Port 1 Mac3
Port 1 Mac4 Port 1 Mac4
Port 1 Mac5 Port 1 Mac5
Port 2 Mac6 Port 1 Mac6
Port 2 Mac7 Port 1 Mac7
Port 2 Mac8 Port 1 Mac8
Port 3 Mac9 Port 1 Mac9
Port 4 Mac10 Port 2 Mac10
Port 4 Mac11 Port 2 Mac11
Port 4 Mac12 Port 2 Mac12
Port 4 Mac13 Port 3 Mac13
Port 4 Mac14 Port 3 Mac14
Port 4 Mac15 Port 3 Mac15
Port 4 Mac16 Port 4 Mac16
Port 4 Mac17 Port 4 Mac17
Port 4 Mac18 Port 4 Mac18

Même question avec ces deux-là :

Port 1 Mac1 Port 1 Mac1

Port 2 Mac2 Port 1 Mac2
Port 3 Mac3 Port 1 Mac3
Port 4 Mac4 Port 1 Mac4
Port 4 Mac5 Port 2 Mac5
Port 4 Mac6 Port 3 Mac6
Port 4 Mac7 Port 4 Mac7
A partir de l’infrastructure suivante :

On suppose vides tous les caches ARP et toutes les tables MAC/Port.

PC1 ping PC0

PC0 ping PC3

PC3 ping PC1

Donnez les tables MAC/Ports des deux switchs.

PC3 veut pinger PC2. Expliquez quelles trames vont être émises et par où elles vont passer.

PC3 veut pinger PC0. Expliquez quelles trames vont être émises et par où elles vont passer.