SECURITE RESEAU ET VLAN

Réalisation

DUCHESNE Romain
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

SOMMAIRE
INTRODUCTION................................................................................................................................................................3
MATERIELS ET CONFIGURATIONS...............................................................................................................................3
Définition VLAN............................................................................................................................................................3
Trois types de VLAN................................................................................................................................................3
Les VLAN par port .............................................................................................................................................3
Les VLAN par adresse MAC..............................................................................................................................3
Les VLAN par adresse IP de Niveau 3................................................................................................................3
Mise en œuvre.................................................................................................................................................................4
Caractéristiques switch CiscoCatalyst 2960 series.........................................................................................................4
Commandes de base pour la création des VLAN...........................................................................................................5
Les commandes de mise en place et gestion des ACL....................................................................................................5
Configuration d’une ACL numérique standard.........................................................................................................5
Gestion d'une ACL numérique standard....................................................................................................................5
Suppression d'une ACL.............................................................................................................................................5
Commande base pour sécuriser les modes d’accès.........................................................................................................6
Configurer la longueur minimale d’un mot de passe ...............................................................................................6
Limiter le nombre de tentatives de connexions échouées.........................................................................................6
Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)...........................................................6
Autoriser juste les accès distants en SSH (le Telnet n'étant pas sécurisé).................................................................7
Désactiver tous les services, protocoles et comptes inutiles ....................................................................................7
SAUVEGARDE ET RESTAURATION..............................................................................................................................7
Sauvegarder en externe...................................................................................................................................................7
Par le biais d'un serveur TFTP..................................................................................................................................7
Configuration du serveur TFTP...........................................................................................................................7
Configuration du routeur.....................................................................................................................................7
Restauration.........................................................................................................................................................8
Par le biais d'un serveur FTP ....................................................................................................................................8
Configuration du routeur.....................................................................................................................................8
Restauration.........................................................................................................................................................9
Sauvegarde en interne.....................................................................................................................................................9
Invite de commande ................................................................................................................................................9
Méthode « Kron ».....................................................................................................................................................9
Préparation de la mise en place du matériel..................................................................................................................10
Liste des différentes tâches......................................................................................................................................10
Description des tâches.............................................................................................................................................11
Ordonnancement par niveaux..................................................................................................................................11
Trie par ordre chronologique...................................................................................................................................11
Schématisation grâce à la méthode MPM...............................................................................................................12
MISE EN PLACE...............................................................................................................................................................12
Câblage..........................................................................................................................................................................12
Répartition ports......................................................................................................................................................14
Création des VLAN......................................................................................................................................................14
Création des machines virtuelles sur les STA...............................................................................................................15
Configuration routeur....................................................................................................................................................15
Création des Interface d'entrés................................................................................................................................15
Affectation des ports aux VLANs.................................................................................................................................16
Activation du mode TRUNK........................................................................................................................................16
Configuration des machines virtuelles..........................................................................................................................17
Création des ACL..........................................................................................................................................................18
Test finaux.....................................................................................................................................................................19
Conclusion..........................................................................................................................................................................20
Schéma représentatif du réseau.....................................................................................................................................20

2/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

INTRODUCTION
Le but de cette mission est de mettre en place des VLAN au sein de la travée. Il va s'agir de
deux VLAN par travée (un VLAN pour deux postes). Pour cela nous allons devoir configurer à la
fois le routeur et le switch pour créer l'adressage adéquat ainsi que la distribution des ports. Un
mode trunk à aussi été mis en place pour l'encapsulation des VLAN.
Dans un premier temps il nous a été nécessaire d'effectuer des recherches sur les VLAN, les
différents type de VLAN pour ainsi choisir la configuration nous correspondant le mieux. Nous
avons également effectués des recherches sur la manière de sauvegarder les configurations matériel
et toutes les commandes qui nous seront nécessaires.

MATERIELS ET CONFIGURATIONS

Définition VLAN
Avant tout, un VLAN est un réseau local (LAN) qui est défini par un domaine de diffusion.
Tous les hôtes d'un réseau local reçoivent les messages de diffusion émis par n'importe quel autre
hôte de ce réseau. Par définition, un réseau local est délimité par des équipements fonctionnant au
niveau 3 du modèle OSI : la couche réseau.

Un réseau local virtuel (VLAN) est un réseau local (LAN) distribué sur des équipements
fonctionnant au niveau 2 du modèle OSI : la couche liaison. À priori, il n'est donc plus nécessaire
d'avoir recours à un équipement de niveau 3 pour «borner» le réseau local.

Trois types de VLAN

Les VLAN par port

Vlan de niveau 1→ Les VLAN par port associent un port d'un switch à un numéro de Vlan. On dit
alors que le port est tagué suivant le VLAN donné. Le switch entretien ensuite une table qui lie
chaque VLAN au port associé.

Les VLAN par adresse MAC

VLAN de niveau 2→Le VLAN de niveau 2 segmente le réseau en fonction de l'adresse MAC de
l'utilisateur. On associe ainsi des adresses à des VLAN pour permettre à un utilisateur de se déplacer
sans pour autant changer de profil. Ce type de VLAN est généralement utilisé pour regrouper les
utilisateurs par service.

Les VLAN par adresse IP de Niveau 3

VLAN de niveau 3→ Les VLANS de niveau 3 permettent de regrouper plusieurs machines suivant
le sous réseau auxquels elles appartiennent. La mise en place de Vlan de niveau 3 est conditionné
par l'utilisation d'un protocole routable (IP, autres protocoles propriétaires ...).

3/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Mise en œuvre
Pour cette mission nous allons procéder à l'utilisation de VLAN par port, de niveau 1. Cette
méthode est utilisée pour affecter chaque port des commutateurs à un VLAN et est donc la méthode
la plus adéquate pour mener à bien cette mission.

Caractéristiques switch CiscoCatalyst 2960 series

Les ports 1 et 2 seront toujours réservés pour les liaisons montantes vers la baies générale.

Les ports 3 et 4 seront toujours réservés pour les liaisons entre switch d’une même baie.

Les ports 5 et 6 seront toujours réservés pour les liaisons entre switch et routeur d’une même
baie.
Les ports 9 à 16 seront réservés pour les VLAN de cette mission.

Le dernier port sera toujours réservé.

La seul façon d'accéder à l’hyper-terminal du switch ou du routeur est de brancher un câble console
sur le port adéquat.

4/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Commandes de base pour la création des VLAN

Commandes Description
switch# vlan « name » Création d'un VLAN
switch# no VLAN « name » Suppression d'un VLAN
switch# show VLAN Affiche les VLAN
switch(config)# interface fastEthernet Affectation sur un port
switch(config)# interface range Affectation sur un ensemble de ports
fastEthernet
switch(config-if-range)# switchport Passe en mode de configuration de l'interface
mode access
switch(config-if-range)# switchport Active le VLAN sur le ou les interfaces
access vlan 4

Les commandes de mise en place et gestion des ACL

Les ACL (Access Control List) permettent de filtrer des paquets sur des interfaces selon
certains critères plus ou moins complexes, pour le trafic sortant ou entrant. Elles sont utilisées afin
d’assurer la sécurité des réseaux ou d’en optimiser la charge.
Une ACL se présente sous la forme d’une liste d’instructions de filtrage terminée par une dernière
instruction implicite rejetant tous les paquets. Celle-ci sera exécutée si aucune autre condition
précédente dans la liste n’a été validée.

Configuration d’une ACL numérique standard

R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 1 deny 192.168.0.0 0.0.3.255
R1(config)#access-list 1 permit any

Gestion d'une ACL numérique standard

R1#configure terminal //Mode configuration d'ACL
R1(config)#ip access-list standard 1
R1(config-std-nacl)#no 20 //Supprime la règle n°20
R1(config-std-nacl)#15 permit 192.168.1.0 0.0.0.127 //Ajoute une règle numérotée 15
R1(config-std-nacl)#^Z
R1#show access-list 1

Suppression d'une ACL

R1#configure terminal t
R1(config)#no access-list 100 //Suppression de l'ACL 100
R1(config)#no ip access-list standard monACL //Suppression de l'ACL « monACL »
R1(config)#^Z
R1#show access-lists

5/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Commande base pour sécuriser les modes d’accès

Dans un premier temps il faut sécuriser l’accès physique au routeur, pour cela on peut
sécuriser les types d’accès par une politique de mot de passe.

Configurer la longueur minimale d’un mot de passe

R1 (config)# security passwords min-length 10

Le routeur n'acceptera pas les mots de passe de moins de 10 caractères.

Limiter le nombre de tentatives de connexions échouées

Afin d'éviter les attaques par force brute sur les mots de passe, il faut limiter le nombre de
tentatives de connexions sur le routeur.

R1 (config) # security authentication failure rate 4 log

Au bout de 4 tentatives de connexion sans succès en moins d'une minute, les informations
seront enregistrées dans le journal des événements.

R1 (config)# login block-for 60 attempts 4 within 10

Au bout de 4 tentatives de connexion sans succès dans un intervalle de 10 seconde, une autre
tentative ne sera possible qu'après 60 secondes, car le routeur restera silencieux pendant cette
période.
Pendant cette période, il sera impossible de se connecter sur le routeur. Ce qui pourrait
affecter les Administrateurs du routeur ayant les droits. Pour éviter cela, il faudra mettre en place
une ACL qui permettra aux Administrateurs de se connecter.

R1#configure terminal
R1(config)#ip access-list standard 1
R1(config-std-nacl)#no 20
R1(config-std-nacl)#15 permit 192.168.1.0 0.0.0.127
R1(config-std-nacl)#^Z
R1#show access-list 1

Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)

// Ligne auxiliaire
R1 (config)# line aux 0
R1 (config-line)# no password
R1 (config-line)# login
R1 (config-line)# exit

// Lignes virtuelle
R1 (config) # line vty 0 4
R1 (config-line) # no password
R1 (config-line) # login
R1 (config-line) # exit

6/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Autoriser juste les accès distants en SSH (le Telnet n'étant pas sécurisé)

R1 (config) # line vty 0 4

R1 (config-line) # no transport input
R1 (config-line) # transport input ssh
R1 (config-line) # exit

Désactiver tous les services, protocoles et comptes inutiles

R1 (config)# no service finger // exemple du service finger

R1 (config)# no cdp run // exemple du protocole CDP

SAUVEGARDE ET RESTAURATION

Sauvegarder en externe

Par le biais d'un serveur TFTP

Configuration du serveur TFTP

Exemple de configuration pour une sauvegarde automatique tous les dimanches à 23h sur le serveur
tftp 10.1.1.1
Router1> conf t
Router1(config)# Kron policy-list Backup

Router1(config-kron-policy)# cli show run | redirect

tftp://10.1.1.1/test.cfg
Router1(config-kron-policy)# exit
!
Router1(config)# kron occurrence Backup at 23:00 Sun recurring
Router1(config-kron-occurrence)# policy-list Backup

La méthode Kron sera expliquée plus loin dans le dossier !

Configuration du routeur
« Le protocole TFTP (Trivial File Transfer Protocol) est un protocole simplifié de transfert de
fichiers. Il fonctionne en UDP. L'utilisation d'UDP implique que le client et le serveur doivent gérer eux-
même une éventuelle perte de paquets. En terme de rapidité, l'absence de fenêtrage nuit à l'efficacité du
protocole sur les liens à forte latence. On réserve généralement l'usage du TFPT à un réseau local.
Le TFTP ne gère pas le listage de fichier et ne dispose pas de mécanisme d'authentification ni de chiffrement.
Il faut connaître à l'avance le nom du fichier que l'on souhaite récupérer. De même, aucune notion de droit de
lecture/écriture n'est disponible en standard. TFTP reste très utilisé pour la mise à jour des logiciels
embarqués sur les équipements réseaux (routeur, pare-feu,..). »

7/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

• Pour commencer, après s'être connecté au routeur, passez en mode privilégié avec la commande
enable (un # apparaît, cela indique que nous sommes bien en mode privilégié).
Router1>enable
Password:
Router1#
• On copie le fichier de configuration sur le serveur TFTP :
Router1 # copy running-config tftp:
Adresse or name of remote host ?
Destination filname [router1-config] ? conf_router_router1

Il y a 2 champs à saisir :
l’adresse ip du serveur TFTP
le nom de la sauvegarde

Restauration
• Ouvrez le fichier de configuration( conf_router_router1) avec un éditeur de texte. Rechercher
et supprimer une ligne qui commence par "AAA".
Note: Cette étape consiste à supprimer toutes les commandes de sécurité qui peuvent vous interdire
l'accès au routeur.
• Copie du fichier de configuration du serveur TFTP
Router1 # copy tftp: running-config
Adress or name of remote host ?
Source filename ? conf_router_router1
Destination filename [running-config]?

Par le biais d'un serveur FTP

Configuration du routeur
« File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole de
communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. Il permet, depuis un
ordinateur, de copier des fichiers vers un autre ordinateur du réseau, ou encore de supprimer ou de modifier
des fichiers sur cet ordinateur. »

• Pour commencer, après s'être connecté au routeur, passez en mode privilégié avec la commande
enable (un # apparaît, cela indique que nous sommes bien en mode privilégié).
Router1>enable
Password:
Router1#
• Configuration du nom d'utilisateur et du mot de passe FTP
Router1# conf t
Router1(config) # ip ftp nom d'utilisateur cisco
Router1(config) # ip mot de passe ftp
Router1(config) # end
• Copie de la configuration sur le serveur ftp
Router1# copy running-config ftp :
Adress or name of remote host ?
Destination filename [router1-config] ? conf_router_router1

8/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Restauration
• Ouvrez le fichier de configuration( conf_router_router1) avec un éditeur de texte. Rechercher
et supprimer une ligne qui commence par "AAA".
Note: Cette étape consiste à supprimer toutes les commandes de sécurité qui peuvent vous interdire
l'accès au routeur.

• Copie du fichier de configuration du serveur FTP

Router1# copy ftp:running-config
Adress or name of remote host ?
Source filename ?
Destination filename [conf_router_router1]?

Sauvegarde en interne

Invite de commande

Les deux commandes suivantes peuvent être utilisée pour enregistrer la configuration courante:
switch# copy running-config startup-config
switch# write

• En pratique :
switch1# copy running-config startup-config
Destination filename [switch1-config]?

• Ou bien :
switch1# write

• En abrégé :
switch1# co ru st
Destination filename [switch1-config]?

switch1# wr

Méthode « Kron »

• Créer une Kron policy list (C'est un script qui répertorie les commandes qui vont être exécutées par
le routeur à un moment donné)
Router1(config) # kron policy-list SaveConfig
Router1(config-kron-policy) # cli write
Router1(config-kron-policy) # exit
• Créer un Kron occurrence (Cela informe le routeur du nombre de fois et du moment de l'exécution
de la méthode kron)
Router1(config) # kron occurrence SaveConfigAuto
at hh:mm day recurring
Router1(config-kron-occurrence) # policy-list SaveConfig

9/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

- SaveConfigAuto : nom de l'occurrence. Ne doit pas dépasser 31 caractères.S'il s'agit d'une nouvelle
occurrence, celle-ci sera créée, sinon l'occurrence existante sera modifiée.
- at : Renseigne une date et une heure spécifique à l'occurrence.
- reccurring : Spécifie qu'une fonction est récurrente.

• Vérifier la configuration de la fonction Kron en utilisant la commande show.

Router1 # sh kron schedule
~
Router1 # show running-configuration

Préparation de la mise en place du matériel

Liste des différentes tâches

Durée approximative en
Numéro tâches Nom tâches Tâches précédentes
minutes
A Configuration Routeur E 10
Création du mode trunk
B C 1
(Switch)
C Création VLAN (Switch) - 5
Création machines
D - 20
virtuelle (STA)
E Câblage - 5
Affectation ports
F C 3
(Switch)
G Configuration machines D 5
virtuelle: adressage
(STA)
Mis en place ACL
H A 3
(Routeur)
I Ping H, G 5

10/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Description des tâches

Tâches
A - Configuration Routeur
B - Création du mode trunk
C - Création VLAN (Switch)
D - Création des machines
virtuelle (STA)
E - Câblage
F - Affectation des ports
(Switch)
G - Configuration des machines
virtuelle (STA)
H – Mise en place ACL
(Routeur)
I - Ping
Description
Configuration sorite, création sous-interface d'entrée,
reconfiguration entrée.
Activation d'un protocole permettant l'encapsulation.
Création des VLAN dans le Switch avec l’hyper-terminal.
Création des machines virtuelles grâce à Virtual Box. Les systèmes
sont installés via des ISO.
Branchement routeur, switch, postes.
Association des ports STA aux VLAN.
Adressage des machines virtuelles, désactivation du pare-feu.
Invite de commande dans l’hyper-terminal routeur.
Depuis les VM via les console (>ping 192.168.*.**)

Ordonnancement par niveaux

Niveaux Tâches
1 C, D, E
2 A, B, F, G
3 H
4 I

Trie par ordre chronologique

Tâches Successeurs Tâches Successeurs

A H G I
B - H I
C B, F I -
D G
E A
F -

11/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Schématisation grâce à la méthode MPM

MISE EN PLACE

Câblage
Première étape de la mission, mettre en place les connexions physique grâce aux supports de
réseau. Nous utilisons des câbles RJ45 droit.
Photo 1 : Plage d'accès physique aux STA

12/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Photo 2 : Switch

Photo 3 : Routeur

13/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Répartition ports

PC1 PC2 PC3 PC4

Port Switch 9 10 11 12 5
Port Routeur 0/2 0/1
Port général 31
VLAN 2 2 3 3

Création des VLAN

Dans cette étapes nous allons créer les différents VLAN dont nous avons besoin. C'est à dire
deux VLAN. Un VLAN 2, pour les postes 31 et 32 et un VLAN 3 pour les postes 33 et 34. Cette
opération est effectuée depuis un STA via un logiciel d’hyper-terminal sur le Switch.

Dès les VLANs créés, nous vérifions leur existence grâce à la commande « show vlan » :

En n°1, nous avons le VLAN natif qui est appelé « default ».

14/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Création des machines virtuelles sur les STA

Sur chacun des postes de travail de la travée, nous avons créer une machines virtuelles qui
nous permettrons de configurer les postes à notre guise, comme par exemple modifié l'adressage
pour mener à bien notre mission.
Nous utilisons Windows7 Professionnel 32bits.

Sur cette machine virtuelle nous utiliserons l'invite de commande pour réaliser des ping. Ainsi qu'un
navigateur, pour vérifier la bonne configuration du routeur, nous permettant d'avoir accès à internet
et de réaliser les ping voulus.

Configuration routeur
L'accès au routeur se fait via un câble console branché sur le port « console » du routeur
relié au port 24 de la baie murale. Dans un premier temps nous configurons le routeur de sorte à
créer des sous-interface dédiés aux futurs VLAN.

Création des Interface d'entrés

15/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Affectation des ports aux VLANs

Maintenant que la configuration routeur et la création des VLAN est créée, nous pouvons
affecter les ports des STA aux VLAN correspondants.

En résumé, les ports 9 (fastEthernet 0/9) et 10 (fastEthernet 0/10) muraux sont associés au VLAN 2.
Et les ports 11 (fastEthernet 0/11) et 12 (fastEthernet 0/12) muraux sont associés au VLAN 3.

Activation du mode TRUNK

Le mode trunk est un protocole d'encapsulation qui permet au routeur de configurer les
VLANs créés par le switch.

1 t3s1>enable
2 t3s1#conf t
3 t3s1(config)#interface fastEthernet 0/5
4 t3s1(config-if)#switchport mode trunk
5 t3s1(conf-if)#end

16/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Configuration des machines virtuelles

Sur chacune de nos machines virtuelles, nous avons configurer la carte réseau, de sorte à ce
que les plages d'adresses correspondent aux VLANs.
Exemple pour le Poste 2 :

PC1 PC2 PC3 PC4

IP STA 172.20.193.31 172.20.193.32 172.20.193.33 172.20.193.34
IP VLAN 2 192.168.32.1 192.168.32.2
IP VLAN 3 192.168.33.1 192.168.33.2

Passerelle VLAN 2 Passerelle VLAN 3

Adresses 192.168.32.0 192.168.33.0
Masque de sous-réseau 255.255.255.0 255.255.255.0

17/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Création des ACL

Le but de la mission étant d'interdire les communications inter-travées, nous mettons en
place des Access-List, qui auront pour rôle de filtrer les adresses Ip.
Dans un premier temps, nous avons dû procéder à une suppression du protocole RIP afin
d'empêcher la communication inter-travées.

1 t3r1>enable
2 t3r1#no router rip

Une fois le RIP supprimé, nous devons mettre en place une ACL permettant la communication
intra-travée.

1 t3r1>enable
2 t3r1#conf t
3 t3r1(config)#ip access-list 1 permit 192.168.0.0 0.0.255.255

L'acces-list est créée, nous devons maintenant l'affecter aux VLANs de la travée.

1 t3r1>enable
2 t3r1#conf t
3 t3r1(config)#interface GigabitEthernet 0/2.2
4 t3r1(config-if)#ip access-group 1 in
5 t3r1(config-if)#end

6 t3r1#conf t
7 t3r1(config)#interface GigabitEthernet 0/2.3
8 t3r1(config-if)#ip access-group 1 in
9 t3r1(config-if)#end

18/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Une vérification de la configuration s'effectue grâce à la commande « show run ».

t3r1#show run

Test finaux
En ultime étape nous effectuons des test de ping depuis nos machines virtuelles située sur les
VLANs de la travée.

Lignes = Départs
Colonnes = Destinations
PC1 PC2 PC3 PC4
PC1 - 192.168.32.2 192.168.33.1 192.168.33.2
PC2 192.168.32.1 - 192.168.33.1 192.168.33.2
PC3 192.168.32.1 192.168.32.2 - 192.168.33.2
PC4 192.168.32.1 192.168.32.2 192.168.33.1 -

Par exemple, depuis le poste 2, pour exécuter un ping vers le poste 1 :

19/20
 SIO SISR Le 14 novembre 2013
Mission 3
Travée 3 Ligue Canoë

Conclusion
Pour pouvoir réaliser cette mission, nous avons dû effectuer des recherches préalables qui
nous ont permis de mener à bien notre mission.
Mise à part les problèmes rencontrés lors de la mise en place des ACL pour la plus value, les
difficultés rencontrées ont été portées, principalement, sur la compréhension du sujet.
Cette mission fut très intéressante, mais également complexe dans sa réalisation. Grâce à celle-ci
nous avons une meilleure connaissance des réseaux virtuels et nous savons ce que sont des Access-
list et à quoi elles servent.

Schéma représentatif du réseau

(réalisé avec Packet Tracer)

20/20