Concepts et configuration de base de

la commutation

Introduction

Les commutateurs sont utilisés pour connecter plusieurs périphériques sur un même réseau. Dans un
réseau correctement conçu, les commutateurs LAN ont pour fonction de diriger et de contrôler le flux
de données au niveau de la couche d'accès des ressources mises en réseau.

Les commutateurs manageables sont à configuration automatique, ils sont ainsi prêts à l'emploi.
Cependant, les commutateurs Cisco exécutent le logiciel Cisco IOS et peuvent être configurés
manuellement pour mieux répondre aux besoins du réseau. Cette configuration manuelle comprend
notamment le réglage de la vitesse de port, de la bande passante, ainsi que des exigences de
sécurité.

En outre, les commutateurs manageables peuvent être gérés localement et à distance. Pour
permettre la gestion à distance du commutateur, vous devez configurer une adresse IP et une
passerelle par défaut. Ce ne sont là que deux des configurations présentées dans ce chapitre.

Les commutateurs fonctionnent au niveau de la couche d'accès, à partir de laquelle les périphériques
réseau client se connectent directement au réseau et pour laquelle les départements informatiques
souhaitent simplifier au maximum l'accès des utilisateurs au réseau. La couche d'accès est l'une des
zones les plus vulnérables du réseau étant donné son exposition aux utilisateurs. Les commutateurs
doivent être configurés pour être résilients aux attaques de tous types, tout en protégeant les
données utilisateur et en offrant des connexions à haut débit. La sécurité des ports est l'une des
fonctions de sécurité proposées par les commutateurs gérés Cisco.

Ce chapitre décrit certains paramètres de configuration de commutateur de base requis pour

maintenir un environnement LAN commuté sécurisé et disponible.

Configuration d'un commutateur avec les

paramètres d'origine

Séquence de démarrage du switch

Dès qu'un commutateur est mis sous tension, il exécute la séquence de démarrage suivante :
1. D'abord, le commutateur exécute un programme de Power-On Self Test (POST) stocké dans la
mémoire ROM. Le POST contrôle le sous-système du processeur. Il teste le processeur, la mémoire
vive dynamique et la partie du périphérique flash qui compose le système de fichiers flash.

2. Le commutateur exécute ensuite le bootloader. Le bootloader est un petit programme stocké dans
la mémoire morte et exécuté immédiatement après la réussite du POST.

3. Il effectue l'initialisation de bas niveau du processeur. Il initialise les registres du processeur qui
contrôlent l'emplacement auquel la mémoire physique est mappée, la quantité de mémoire et sa
vitesse.

4. Le bootloader initialise le système de fichiers flash sur la carte système.

5. Enfin, il localise et charge une image de logiciel du système d'exploitation IOS par défaut dans la
mémoire et transfère le contrôle du commutateur à l'IOS.

Le bootloader recherche l'image Cisco IOS sur le commutateur comme suit : le commutateur tente de
démarrer automatiquement en utilisant la variable d'environnement BOOT. Si cette variable n'est pas
définie, le commutateur tente de télécharger et d'exécuter le premier fichier exécutable trouvé en
effectuant une recherche récursive en profondeur d'abord sur l'ensemble du système de fichiers
Flash. Dans une recherche en profondeur d'abord sur un répertoire, chaque sous-répertoire fait l'objet
d'une recherche complète avant que la recherche dans le répertoire racine ne se poursuive. Sur les
commutateurs de la gamme Catalyst 2960, le fichier d'image se trouve normalement dans un
répertoire portant le même nom que l'image (à l'exception de l'extension de fichier .bin).

Le système d'exploitation IOS initialise ensuite les interfaces à l'aide des commandes Cisco IOS
figurant dans le fichier de configuration, startup-config, qui est stocké dans la mémoire NVRAM.

Dans la figure, la variable d'environnement BOOT est définie via la commande de mode de
configuration globale boot system. Notez que l'IOS se trouve dans un dossier à part et que le
chemin d'accès est spécifié. Utilisez la commande show bootvar (show boot dans les versions
antérieures du logiciel IOS) pour voir le réglage actuel du fichier de démarrage du logiciel IOS.
Récupération après une panne système

Le bootloader (chargeur de démarrage) permet d'accéder au commutateur si le système d'exploitation

ne peut pas être chargé, notamment si des fichiers système sont manquants ou endommagés. Il
dispose d'une ligne de commande qui permet l'accès aux fichiers stockés dans la mémoire Flash.

Pour accéder au bootloader, procédez comme suit :

Étape 1. Connectez un PC par le câble de console au port de console du commutateur. Configurez le

logiciel d'émulation de terminal pour établir une connexion avec le commutateur.

Étape 2. Débranchez le cordon d'alimentation du commutateur.

Étape 3. Reconnectez le cordon d'alimentation au commutateur et, dans les 15 secondes suivantes,
appuyez sur le bouton Mode et maintenez-le enfoncé tandis que la LED système clignote en vert.

Étape 4. Continuez à appuyer sur le bouton Mode jusqu'à ce que la LED système devienne orange,
puis vert fixe ; vous pouvez alors relâcher le bouton Mode.

Étape 5. L'invite switch: du bootloader s'affiche dans le logiciel d'émulation de terminal sur le PC.

La ligne de commande boot loader prend en charge des commandes permettant de formater le
système de fichiers Flash, de réinstaller le système d'exploitation et de récupérer un mot de passe
perdu ou oublié. Par exemple, la commande dir peut être utilisée pour afficher la liste des fichiers
dans un dossier spécifique comme illustré dans la figure.

Remarque : notez que dans cet exemple, l'IOS se trouve à la racine du dossier Flash.

LED du commutateur

Les commutateurs Cisco Catalyst ont plusieurs témoins lumineux LED. Vous pouvez utiliser les LED
du commutateur pour surveiller rapidement l'activité et les performances du commutateur. En fonction
du modèle et des fonctionnalités des commutateurs, les LED et leur emplacement sur le panneau
avant peuvent varier.

La figure illustre les LED et le bouton Mode d'un commutateur Cisco Catalyst 2960. Le bouton Mode
permet d'afficher alternativement l'état, le mode de bidirectionnalité et la vitesse des ports, ainsi que
le PoE (Power Over Ethernet, si pris en charge) avec les LED. Cette rubrique décrit la fonction des
indicateurs LED, ainsi que leur code couleur :

 LED système : indique si le système est bien alimenté et s'il fonctionne correctement. Si la LED
est éteinte, cela signifie que le système est hors tension. Si la LED est verte, le système
fonctionne normalement. Si la LED est orange, le système est sous tension mais ne fonctionne
pas correctement.

 LED système d'alimentation redondante (RPS) : affiche l'état du système RPS. Si la LED est
éteinte, le système RPS est éteint ou n'est pas correctement connecté. Si la LED est verte, le
système RPS est connecté et prêt à fournir l'alimentation de secours. Si la LED est verte et
clignote, le système RPS est connecté mais n'est pas disponible parce qu'il alimente un autre
périphérique. Si la LED est orange, le système RPS est en veille ou en erreur. Si la LED est
orange et clignote, l'alimentation interne du commutateur a rencontré une erreur et le système
RPS a pris le relais de l'alimentation.

 LED état port : indique que le mode état de port est sélectionné lorsque la LED est verte et
clignote. Il s'agit du mode par défaut. Lorsque cette option est sélectionnée, les LED du port
affichent des couleurs de différentes significations. Si la LED est éteinte, aucune liaison n'est
établie ou le port a été arrêté administrativement. Si la LED est verte, une liaison est établie. Si
la LED est verte et clignote, la liaison est active et le port envoie ou reçoit des données. Si la
 LED est verte, puis orange, une panne au niveau de la liaison est présente. Si la LED est
orange, le port est bloqué pour s'assurer que le domaine de redirection ne présente pas de
bouclage et ne redirige pas de données (en général, les ports restent à cet état au cours des 30
premières secondes suivant leur activation). Si la LED est orange et clignote, le port est bloqué
pour éviter tout bouclage dans le domaine de redirection.

 LED de bidirectionnalité du port : indique que le mode de bidirectionnalité du port est

sélectionné lorsque la LED est verte. Lorsque ce mode est sélectionné, les LED éteintes
indiquent les ports en mode bidirectionnel non simultané. Si la LED du port est verte, le port est
en mode bidirectionnel simultané.

 LED de vitesse de port : indique que le mode vitesse de port est sélectionné. Lorsque cette
option est sélectionnée, les LED du port affichent des couleurs de différentes significations. Si la
LED est éteinte, le port fonctionne à 10 Mbit/s. Si la LED est verte, le port fonctionne à
100 Mbit/s. Si la LED est verte et clignote, le port fonctionne à 1 000 Mbit/s.

 LED de mode PoE (Power over Ethernet) : si le mode POE est pris en charge, une LED de
mode PoE est présente. Si la LED est éteinte, le mode PoE n'est pas sélectionné et aucun port
n'est privé de courant ou ne présente d'erreur. Si la LED est orange et clignote, le mode PoE
n'est pas sélectionné mais au moins un port est privé de courant ou présente une erreur relative
au PoE. Si la LED est verte, le mode PoE est sélectionné et les LED de port présentent
différentes couleurs, dont la signification varie. Si la LED de port est éteinte, le mode PoE est
désactivé. Si la LED de port est verte, le mode PoE est activé. Si la LED de port alterne entre le
vert et l'orange, le mode PoE est refusé car l'alimentation du périphérique entraînerait un
dépassement de la capacité électrique du commutateur. Si la LED est orange et clignote, le
mode PoE est désactivé en raison d'une erreur. Si la LED est orange, le mode PoE a été
désactivé pour le port.

Préparation de la gestion de commutateur de base

Pour préparer l'accès à la gestion à distance d'un commutateur, il est nécessaire de configurer une
adresse IP et un masque de sous-réseau sur le commutateur. Gardez à l'esprit que pour administrer
le commutateur depuis un réseau distant, le commutateur doit être configuré avec une passerelle par
défaut. Cette opération est très similaire à la configuration des informations d'adresse IP sur des
périphériques hôtes. Dans la figure, l'interface virtuelle du commutateur (SVI) sur S1 doit se voir
attribuer une adresse IP. Une interface SVI est une interface virtuelle, et non un port physique du
commutateur.

Une interface SVI est un concept relatif aux VLAN. Les VLAN sont des groupes logiques numérotés
auxquels les ports physiques peuvent être attribués. Les configurations et les paramètres appliqués à
un VLAN peuvent également être appliqués aux ports attribués à ce même VLAN.
Par défaut, le commutateur est configuré de telle sorte que sa gestion est régie par le VLAN 1. Tous
les ports sont assignés à VLAN 1 par défaut. Pour des raisons de sécurité, les meilleures pratiques
recommandent d'utiliser un VLAN de gestion autre que le VLAN 1.

Notez que ces paramètres IP sont uniquement utilisés pour l'accès à la gestion à distance du
commutateur. Les paramètres IP ne permettent pas au commutateur de router des paquets de
couche 3.

Configuration de l’accès à la gestion du commutateur de base à

l’aide d’IPv4

Étape 1. Configuration de l'interface de gestion

Une adresse IP et un masque de sous-réseau sont configurés sur l'interface SVI de gestion du
commutateur en mode de configuration d'interface du VLAN. Comme illustré à la Figure 1, la
commande interface vlan 99 permet de passer en mode de configuration d'interface. La
commande ip address permet de configurer l'adresse IP. La commande no shutdown permet
d'activer l'interface. Dans cet exemple, le VLAN 99 est configuré avec l'adresse IP 172.17.99.11.
L'interface SVI du VLAN 99 n'apparaît comme « up/up » qu'une fois le VLAN 99 créé et qu'un
périphérique est connecté à un port de commutateur associé au VLAN 99. Pour créer un VLAN avec
un vlan_id de 99, et pour l'associer à une interface, exécutez les commandes suivantes :

S1(config)# vlan vlan_id

S1(config-vlan)# name vlan_name

S1(config-vlan)# exit

S1(config)# Interface interface_id

S1(config-if)# switchport access vlan vlan_id

Étape 2. Configuration de la passerelle par défaut

Le commutateur doit être configuré avec une passerelle par défaut s'il doit être géré à distance depuis
des réseaux connectés indirectement. La passerelle par défaut est le routeur auquel le commutateur
est connecté directement. Le commutateur transmettra à la passerelle par défaut ses paquets IP
ayant des adresses IP de destination en dehors du réseau local. Comme illustré à la Figure 2, R1 est
la passerelle par défaut pour S1. L'interface sur R1 connectée au commutateur dispose de l'adresse
IP 172.17.99.1. Cette adresse est l'adresse de la passerelle par défaut pour S1.

Pour configurer la passerelle par défaut du commutateur, utilisez la commande ip default-

gateway. Entrez l'adresse IP de la passerelle par défaut. La passerelle par défaut est l'adresse IP de
l'interface du routeur à laquelle le commutateur est connecté. Utilisez la commande copy running-
config startup-config pour sauvegarder votre configuration.

Étape 3. Vérification de la configuration

Comme illustré à la Figure 3, la commande show ip interface brief est utile pour la
détermination de l'état des interfaces physique et virtuelle. Les résultats que vous voyez confirment
que l'interface du VLAN 99 a été configurée avec une adresse IP et un masque de sous-réseau et
qu'elle est opérationnelle.

Configuration des ports de commutateur

Communications bidirectionnelles simultanées (full duplex)

La figure illustre les communications bidirectionnelles simultanées et non simultanées.

Les communications bidirectionnelles simultanées améliorent les performances d'un réseau LAN
commuté. Les communications bidirectionnelles simultanées augmentent la bande passante réelle
car les deux extrémités de la connexion transmettent et reçoivent simultanément des données. On
parle également de bidirectionnalité. Cette méthode d'optimisation des performances réseau
nécessite la microsegmentation du réseau. Un LAN microsegmenté est créé lorsqu'un port de
commutateur est connecté à un seul périphérique et fonctionne en mode bidirectionnel simultané. Un
microdomaine de collision constitué d'un seul périphérique est ainsi créé. Toutefois, étant donné
qu'un seul périphérique est connecté, un LAN microsegmenté ne présente aucune collision.
Contrairement aux communications bidirectionnelles simultanées, les communications
bidirectionnelles non simultanées sont unidirectionnelles. L'envoi et la réception de données n'ont
jamais lieu simultanément. Les communications bidirectionnelles non simultanées entraînent des
problèmes de performances car les données ne peuvent circuler que dans un sens à la fois, ce qui se
traduit souvent par des collisions. Les connexions bidirectionnelles non simultanées se rencontrent
généralement dans du matériel ancien, tel que des concentrateurs. Les communications
bidirectionnelles simultanées ont remplacé les communications bidirectionnelles non simultanées
pour la plupart du matériel.

La plupart des cartes réseau Ethernet et Fast Ethernet commercialisées aujourd'hui permettent les
communications bidirectionnelles simultanées. Les cartes réseau Gigabit Ethernet et 10Gb
fonctionnent obligatoirement en mode bidirectionnel simultané. En mode bidirectionnel simultané, le
circuit de détection de collision de la carte réseau est désactivé. Les trames transmises par les deux
périphériques connectés ne peuvent entrer en collision puisque ces derniers utilisent deux circuits
distincts sur le câble réseau. Les connexions bidirectionnelles simultanées nécessitent un
commutateur qui prend en charge la configuration bidirectionnelle simultanée, ou une connexion
directe à l'aide d'un câble Ethernet entre les deux périphériques.

L'efficacité d'une configuration Ethernet avec concentrateur standard et partagée est généralement
évaluée entre 50 et 60 % de la bande passante allouée. Les communications bidirectionnelles
simultanées offrent une efficacité de 100 % dans les deux sens (émission et réception). Ainsi, le taux
d'utilisation maximal potentiel de la bande passante allouée est de 200 %.

Configuration des ports du switch au niveau de la couche physique

Mode bidirectionnel et vitesse

Les ports de commutateur peuvent être configurés manuellement avec des paramètres de
bidirectionnalité et de vitesse spécifiques. Utilisez la commande duplex du mode de configuration
d'interface pour spécifier manuellement le mode de bidirectionnalité d'un port de commutateur.
Utilisez la commande speed du mode de configuration d'interface pour spécifier manuellement la
vitesse d'un port de commutateur. Dans la Figure 1, le port F0/1 sur les commutateurs S1 et S2 est
configuré manuellement avec le mot-clé full pour la commande duplex, et avec le mot-clé 100
pour la commande speed.
Le paramètre de bidirectionnalité et de vitesse d'un port de commutateur Cisco Catalyst 2960 ou
3560 est auto. Les ports 10/100/1000 fonctionnent soit en mode bidirectionnel non simultané, soit en
mode bidirectionnel simultané lorsqu'ils sont définis à 10 ou 100 Mbit/s. Par contre, à 1 000 Mbit/s
(1 Gbit/s), ils fonctionnent uniquement en mode bidirectionnel simultané. La négociation automatique
est utile lorsque les paramètres de vitesse et de transmission bidirectionnelle du périphérique
connecté au port sont inconnus ou susceptibles de changer. Lors d'une connexion à des équipements
connus, tels que des serveurs, des postes de travail dédiés ou des périphériques réseau, il est
recommandé de régler manuellement les paramètres de vitesse et de transmission bidirectionnelle.

Lors du dépannage des problèmes de port de commutateur, les paramètres de bidirectionnalité et de

vitesses doivent être vérifiés.

Remarque : toute incohérence entre les paramètres de bidirectionnalité et de vitesse peut entraîner
des problèmes de connectivité. L'échec de la négociation automatique produit des réglages
incohérents.

Tous les ports fibre optique, tels que les ports 100BASE-FX, fonctionnent uniquement à une vitesse
prédéfinie et en mode bidirectionnel simultané.

Utilisez le contrôleur de syntaxe de la Figure 2 pour configurer le port F0/1 du commutateur S1.
Auto MDIX

Jusqu'à récemment, il était nécessaire d'utiliser certains types de câble (droit ou croisé) pour
connecter les périphériques. Différents câbles Ethernet étaient notamment nécessaires pour
connecter deux commutateurs ou un commutateur et un routeur. La fonctionnalité d'interface croisée
dépendante du support (auto-MDIX) d'une interface permet d'éliminer ce problème. Lorsque la
fonction auto-MDIX est activée, l'interface détecte automatiquement le type de câble requis pour la
connexion (droit ou croisé) et configure la connexion en conséquence. Lors de la connexion de
périphérique à des commutateurs sans fonction auto-MDIX, des câbles droits doivent être utilisés,
notamment pour la connexion des serveurs, des stations de travail ou des routeurs. Des câbles
croisés doivent être utilisés pour la connexion d'autres commutateurs et de répéteurs.

Lorsque la fonction auto-MDIX est activée, le type de câble utilisé n'a pas d'importance. L'interface
s'adapte et fait en sorte d'assurer la communication. Sur les routeurs et les commutateurs Cisco les
plus récents, la commande du mode de configuration d'interface mdix auto permet d'activer cette
fonctionnalité. Lorsque la fonctionnalité auto-MDIX est utilisée sur une interface, la vitesse de
l'interface et le mode de bidirectionnalité doivent être réglés sur auto pour un fonctionnement correct.

Les commandes permettant d'activer la fonctionnalité auto-MDIX sont indiquées sur la Figure 1.
Remarque : la fonctionnalité auto-MDIX est activée par défaut sur les commutateurs Cisco
Catalyst 2960 et 3560, mais n'est pas disponible sur les anciens commutateurs Cisco Catalyst 2950
et 3550.

Pour examiner le paramètre auto-MDIX d'une interface donnée, utilisez la commande show
controllers ethernet-controller avec le mot-clé phy. Pour limiter le résultat aux lignes
relatives à la fonction auto-MDIX, utilisez le filtre include Auto-MDIX. Comme illustré à la
Figure 2, le résultat indique si la fonctionnalité est activée ou désactivée (On/Off).

Utilisez le contrôleur de syntaxe de la Figure 3 pour configurer la fonctionnalité auto-MDIX sur

l'interface FastEthernet 0/1 de S2.
Vérifications de la configuration des ports du switch

La Figure 1 décrit certaines des options disponibles pour la commande show et qui peuvent se
révéler utiles pour vérifier les fonctionnalités configurables les plus courantes des commutateurs.

La Figure 2 présente un échantillon des données obtenues à partir de la commande show

running-config. Utilisez cette commande pour vérifier que le commutateur a été correctement
configuré. Comme indiqué dans les résultats de la commande exécutée sur S1, certaines
informations clés sont affichées :
  Interface Fast Ethernet 0/18 configurée à l'aide du VLAN 99 de gestion

 VLAN 99 configuré avec l'adresse IP 172.17.99.11 255.255.255.0

 Passerelle par défaut définie à 172.17.99.1

La commande show interfaces est également une commande souvent utilisée. Elle affiche l'état
et les statistiques des interfaces réseau d'un commutateur. La commande show interfaces est
souvent utilisée lors de la configuration et du contrôle des périphériques réseau.

La Figure 3 présente un échantillon des données obtenues à partir de la commande show

interfaces fastEthernet 0/18. La première ligne de la figure indique que l'interface
FastEthernet 0/18 est « up/up », ce qui signifie qu'elle est opérationnelle. Plus bas, le résultat indique
que l'interface est en mode bidirectionnel simultané et que la vitesse est de 100 Mbit/s.
Problèmes de couches d’accès au réseau

Les résultats de la commande show interfaces peuvent être utilisés pour détecter les problèmes
de support courants. L'un des points les plus importants de ce résultat est l'affichage de l'état de la
ligne et du protocole de liaison de données. La Figure 1 présente la ligne résumée afin de vérifier
l'état d'une interface.

Le premier paramètre (FastEthernet0/1 is up) fait référence à la couche matérielle et indique

essentiellement si l'interface reçoit le signal « Détection de la porteuse » depuis l'autre extrémité de la
connexion. Le second paramètre (line protocol is up) fait référence à la couche de liaison de données
et indique si les messages de test d'activité du protocole de couche liaison de données sont en cours
de réception.

Les résultats de la commande show interfaces permettent de résoudre des problèmes de la

façon suivante :
  Si l'interface est active (up) et que le protocole de ligne est désactivé (down), un problème
existe. Il existe peut-être une incohérence dans le type d'encapsulation, l'interface de l'autre côté
est peut-être en mode de désactivation des erreurs, ou il peut exister un problème matériel.

 Si le protocole de ligne et l'interface sont tous deux désactivés, un câble est débranché ou il
existe un autre problème sur l'interface. Par exemple, dans une connexion jumelée, l'autre
extrémité de la connexion peut être désactivée sur le plan administratif.

 Si l'interface est désactivée sur le plan administratif, cela signifie qu'elle a été désactivée
manuellement (la commande shutdown a été émise) dans la configuration courante.

La Figure 2 présente un exemple de résultat pour la commande show interfaces. L'exemple

présente les compteurs et les statistiques de l'interface FastEthernet0/1.

Certaines erreurs enregistrées sur le support ne sont pas suffisamment graves pour entraîner une
panne du circuit, mais elles peuvent entraîner une diminution sensible des performances. La Figure 3
illustre certaines de ces erreurs courantes qui peuvent être détectées à l'aide de la commande show
interfaces.
Les erreurs en entrée sont la somme de toutes les erreurs contenues dans les datagrammes reçus
sur l'interface examinée. Elles comprennent les erreurs suivantes : trames incomplètes, trames
géantes, CRC, pas de mémoire tampon, trame, débordement et comptes ignorés. Les erreurs en
entrée signalées par la commande show interfaces sont notamment :

 Trames incomplètes : les trames Ethernet dont la longueur est inférieure au minimum autorisé
de 64 octets sont appelées trames incomplètes. Un grand nombre de trames incomplètes est
souvent lié à un dysfonctionnement de la carte réseau. Leur origine peut être identique à celles
des problèmes causant un nombre excessif de collisions.

 Trames géantes : les trames Ethernet dont la longueur est supérieure au maximum autorisé
sont appelées géantes. Leur origine peut être identique à celles des problèmes causant un
nombre excessif de trames incomplètes.

 Erreurs CRC : sur les interfaces Ethernet et série, les erreurs CRC indiquent généralement une
erreur relative au support ou au câble. Les causes courantes sont les interférences électriques,
des connexions lâches ou endommagées, ou l'utilisation d'un type de câble incorrect. Si vous
constatez un nombre élevé d'erreurs CRC, la liaison présente un bruit trop important. Vérifiez
alors l'état et la longueur du câble. Vous devez également rechercher et éliminer des sources de
bruit, si possible.

Les erreurs en sortie sont la somme de toutes les erreurs ayant empêché la transmission finale des
datagrammes vers l'interface examinée. Les erreurs en sortie signalées par la commande show
interfaces sont notamment :

 Collisions : les collisions en mode bidirectionnel non simultané sont tout à fait normales, et
vous n'avez pas à vous en inquiéter tant que le fonctionnement en mode bidirectionnel non
 simultané ne présente pas de dysfonctionnement. Cependant, vous ne devez pas constater de
collisions dans un réseau correctement conçu et configuré qui utilise les communications
bidirectionnelles simultanées. L'utilisation du mode bidirectionnel simultané est hautement
recommandée, sauf si vous disposez d'équipements vieillissants ou existants qui ne peuvent
fonctionner qu'en mode bidirectionnel non simultané.

 Collisions tardives : une collision tardive désigne une collision se produisant après que 512
octets de la trame (le préambule) ont été transmis. Les collisions tardives sont le plus souvent
causées par des longueurs de câble excessives. Une mauvaise configuration du mode
bidirectionnel peut également provoquer des collisions tardives. Par exemple, vous pouvez avoir
configuré une extrémité de la collision en mode bidirectionnel simultané et l'autre en mode
bidirectionnel non simultané. L'interface configurée en mode bidirectionnel non simultané
présentera alors des collisions tardives. Dans ce cas, vous devez configurer le même mode de
bidirectionnalité aux deux extrémités. Un réseau correctement conçu et configuré ne doit jamais
présenter de collisions tardives.

Dépannage des problèmes de couche d’accès au réseau

La plupart des problèmes d'un réseau commuté surviennent lors de l'implémentation initiale. En
théorie, une fois installé, un réseau continue à fonctionner sans problème. Cependant, des câbles
sont endommagés, les configurations évoluent, de nouveaux périphériques sont connectés au
commutateur dont la configuration doit alors être modifiée. Il est nécessaire de procéder à la
maintenance continue et au dépannage de l'infrastructure réseau.

Suivez la procédure générale suivante pour dépanner les problèmes de connectivité pouvant affecter
un commutateur et les périphériques qui y sont connectés :
Utilisez la commande show interfaces pour vérifier l'état de l'interface.

Si l'interface est désactivée :

 Vérifiez que les câbles utilisés sont adéquats. Vérifiez également que les câbles et les
connecteurs ne sont pas endommagés. Si vous pensez qu'un câble inapproprié ou endommagé
est utilisé, remplacez-le.

 Si l'interface est toujours désactivée, le problème peut être dû à un réglage de vitesse

incohérent. Généralement, la vitesse d'une interface est déterminée par la négociation
automatique. Par conséquent, même si la vitesse est définie manuellement sur une interface,
l'interface connectée doit procéder à la négociation automatique correspondante. En cas
d'incohérence dans le réglage de la vitesse en raison d'une mauvaise configuration ou d'un
problème matériel ou logiciel, l'interface peut se désactiver. Si vous suspectez un problème,
définissez une vitesse identique aux deux extrémités de la connexion.

Si des problèmes de connectivité subsistent alors que l'interface est active :

 Avec la commande show interfaces, vérifiez tout indice de bruit excessif. Ces indices
peuvent notamment prendre la forme d'une augmentation du nombre de trames incomplètes, de
trames géantes et d'erreurs CRC. En cas de bruit excessif, recherchez et éliminez la source de
bruit, si possible. Vérifiez également que le câble n'excède pas la longueur maximale autorisée
et vérifiez-en le type. Pour les câbles en cuivre, il est recommandé d'utiliser au moins du câble
de catégorie 5.
  Si le bruit n'est pas la cause du problème, recherchez des collisions excessives. Si l'interface
présente des collisions excessives ou tardives, vérifiez les paramètres bidirectionnels à chaque
extrémité de la connexion. Tout comme pour la vitesse, les paramètres bidirectionnels doivent
être déterminés par la négociation automatique. En cas d'incohérence dans les paramètres
bidirectionnels, définissez-les manuellement à chaque extrémité de la connexion. Si les deux
extrémités prennent en charge le mode bidirectionnel simultané, utilisez-le.

Sécurité du commutateur : gestion et

implémentation

Accès à distance sécurisé

Fonctionnement des SSH

Secure Shell (SSH) est un protocole qui permet d'établir une connexion sécurisée (chiffrée) pour la
gestion des périphériques distants. SSH doit remplacer Telnet pour les connexions de gestion. Telnet
est un protocole plus ancien qui utilise un mode de transmission en texte clair non sécurisé des
informations d'identification (nom d'utilisateur et mot de passe) et des données entre les
périphériques qui communiquent. SSH permet de sécuriser les connexions distantes grâce à une
méthode de chiffrement fort pour l'authentification des périphériques (nom d'utilisateur et mot de
passe), mais également pour la transmission des données entre les périphériques de communication.
SSH est attribué au port TCP 22. Telnet est attribué au port TCP 23.

Dans la Figure 1, un pirate peut surveiller des paquets à l'aide de Wireshark. Un flux Telnet peut être
ciblé afin de capturer le nom d'utilisateur et mot de passe.
Dans la Figure 2, le pirate peut capturer le nom d'utilisateur et mot de passe de l'administrateur à
partir de la session Telnet en texte clair.

La Figure 3 présente une session SSH vue depuis Wireshark. Le pirate peut suivre la session à l'aide
de l'adresse IP du périphérique administrateur.
Cependant, dans la Figure 4, le nom d'utilisateur et mot de passe sont chiffrés.

Pour activer SSH sur un commutateur Cisco Catalyst 2960, le commutateur doit utiliser une version
du logiciel IOS qui prend en charge les fonctionnalités de cryptographie (chiffrement). Dans la
Figure 5, exécutez la commande show version sur le commutateur pour afficher la version du
logiciel IOS exécutée par le commutateur, ainsi que le nom du fichier IOS dans lequel figure la
combinaison « k9 », indiquant la prise en charge des fonctionnalités de cryptographie (chiffrement).
Configuration de SSH

Avant de configurer SSH, le commutateur doit au moins être configuré avec un nom d'hôte unique et
avec les paramètres de connectivité réseau adéquats.

Étape 1. Vérifiez la prise en charge du protocole SSH.

Utilisez la commande show ip ssh pour vérifier que le commutateur prend en charge SSH. Si le
commutateur n'exécute pas une version du logiciel IOS qui prend en charge les fonctionnalités de
cryptographie (chiffrement), cette commande n'est pas reconnue.

Étape 2. Configuration du domaine IP

Configurez le nom de domaine IP du réseau à l'aide de la commande de mode de configuration

globale ip domain-name nom-domaine. Dans la Figure 1, la valeur pour nom-domaine est
cisco.com.

Étape 3. Générez des paires de clés RSA.

Toutes les versions de l'IOS utilisent par défaut SSH version 2. SSH version 1 a des failles de
sécurité connues. Pour configurer SSH version 2, exécutez la commande du mode de configuration
globale ip ssh version 2. La génération d'une paire de clés RSA active automatiquement SSH.
Utilisez la commande de mode de configuration globale crypto key generate rsa pour activer
le serveur SSH sur le commutateur et pour générer une paire de clés RSA. Lors de la génération de
clés RSA, l'administrateur est invité à saisir une longueur de module. Cisco recommande l'utilisation
d'une longueur de module minimale de 1 024 octets (voir l'exemple de configuration précédente).

Une longueur de module plus importante peut se révéler plus sûre, mais sa création et son utilisation
prennent plus de temps.

Remarque : pour supprimer la paire de clés RSA, utilisez la commande de configuration globale
crypto key zeroize rsa. Une fois la paire de clés RSA supprimée, le serveur SSH est
automatiquement désactivé.

Étape 4. Configurez l'authentification utilisateur.

Le serveur SSH peut authentifier les utilisateurs localement ou avoir recours à un serveur
d'authentification. Pour utiliser la méthode d'authentification locale, créez un nom d'utilisateur et un
mot de passe à l'aide de la commande du mode de configuration globale username username
secret password. Dans cet exemple, l'utilisateur admin se voit attribuer le mot de passe ccna.

Étape 5. Configurez les lignes vty.

Activez le protocole SSH sur les lignes vty à l'aide de la commande de mode de configuration de ligne
transport input ssh. Le commutateur Cisco Catalyst 2960 intègre des lignes vty allant de 0 à
15. Cette configuration permet d'interdire toute connexion autre que SSH (par exemple Telnet).
Seules les connexions SSH sont ainsi autorisées sur le commutateur. Utilisez la commande de mode
de configuration globale line vty, puis la commande de mode de configuration de ligne login
local pour exiger l'authentification locale des connexions SSH provenant d'une base de données
de noms d'utilisateur locale.

Étape 6. Activez SSH version 2.

Par défaut, SSH prend en charge les versions 1 et 2. Cette double prise en charge se voit dans les
résultats de la commande show ip ssh (prise en charge de la version 1.99). La version 1 a des
vulnérabilités connues. Par conséquent, il est préférable d'activer uniquement la version 2. Activez
cette version de SSH avec la commande de configuration globale ip ssh version 2.

Vérification de SSH
Sur un PC, un client SSH, par exemple PuTTY, est utilisé pour établir une connexion à un serveur
SSH. Voici les configurations appliquées dans les exemples des Figures 1 à 3 :

 SSH activé sur le commutateur S1

 Interface VLAN 99 (SVI) avec l'adresse IP 172.17.99.11 sur le commutateur S1

 PC1 avec l'adresse IP 172.17.99.21

Dans la Figure 1, le PC initie une connexion SSH à l'adresse IP du VLAN SVI de S1.

Dans la Figure 2, l'utilisateur a été invité à saisir un nom d'utilisateur et un mot de passe. En utilisant
la configuration de l'exemple précédent, le nom d'utilisateur admin et le mot de passe ccna sont
saisis. Après avoir saisi la combinaison adéquate, l'utilisateur est connecté via SSH à l'interface en
ligne de commande du commutateur Cisco Catalyst 2960.
Pour afficher les données de version et de configuration SSH du périphérique configuré en tant que
serveur SSH, utilisez la commande show ip ssh. Dans l'exemple, SSH version 2 est activé. Pour
vérifier les connexions SSH vers le périphérique, utilisez la commande show ssh (voir Figure 3).

Problèmes de sécurité dans les LAN

Attaques de sécurités courantes : inondation d’adresse Mac

La sécurité de base des commutateurs n'empêche pas les attaques malveillantes. La sécurité est un
processus en couches qui par essence n'est jamais terminé. Plus les professionnels des réseaux
d'une organisation sont conscients des attaques de sécurité auxquelles ils sont confrontés et du
danger qu'elles représentent, plus ils sont en mesure de les prévenir. Certains types d'attaques de
sécurité sont décrits dans ce module. Les détails relatifs au fonctionnement de ces attaques sortent
du cadre de ce cours. Des informations détaillées sur ces attaques sont disponibles dans les cours
CCNA sur les technologies WAN et sur la sécurité.

Inondation d'adresses MAC

La table d'adresses MAC d'un commutateur contient les adresses MAC associées à chaque port
physique et le VLAN associé à chaque port. Quand un commutateur de couche 2 reçoit une trame, il
recherche l'adresse MAC de destination dans la table d'adresses MAC. Tous les modèles de
commutateurs Catalyst font appel à une table d'adresses MAC pour la commutation de couche 2. À
mesure que les trames parviennent aux ports du commutateur, les adresses MAC source sont
enregistrées dans la table d'adresses MAC. Si une entrée existe pour l'adresse MAC, le commutateur
transfère la trame vers le port approprié. Si l'adresse MAC n'existe pas dans la table d'adresses MAC,
le commutateur inonde tous les ports du commutateur avec la trame, à l'exception du port sur lequel
la trame a été reçue.

Ce comportement des commutateurs, l'inondation d'adresse MAC pour les adresses inconnues, peut
être utilisé pour attaquer un commutateur. Ces attaques sont appelées attaques par débordement de
la table d'adresses MAC. Les attaques par débordement de la table d'adresses MAC sont parfois
appelées attaques par inondation d'adresses MAC ou attaques par débordement de la table CAM.
Les figures illustrent le fonctionnement de ce type d'attaque.

Dans la Figure 1, l'hôte A envoie le trafic à l'hôte B. Le commutateur reçoit les trames et recherche
l'adresse MAC de destination dans sa table d'adresses MAC. Si le commutateur ne trouve pas
l'adresse MAC de destination dans la table d'adresses MAC, le commutateur copie alors la trame et
en inonde (diffuse) chaque port du commutateur, à l'exception du port sur lequel elle a été reçue.

Dans la Figure 2, l'hôte B reçoit la trame et envoie une réponse à l'hôte A. Le commutateur apprend
ensuite que l'adresse MAC de l'hôte B est située sur le port 2, puis il enregistre ces informations dans
la table d'adresses MAC.
L'hôte C reçoit également la trame de l'hôte A à l'hôte B mais l'adresse MAC de destination de la
trame en question étant l'hôte B, l'hôte C ignore cette trame.

Comme illustré à la Figure 3, toutes les trames transmises par l'hôte A (ou un autre) vers l'hôte B sont
envoyées au port 2 du commutateur et ne sont pas diffusées sur chaque port.

La taille des tables d'adresses MAC est limitée. L'inondation d'adresses MAC profite de cette limite
pour submerger le commutateur de fausses adresses MAC source jusqu'à ce que la table d'adresses
MAC de ce dernier soit saturée.

Comme illustré à la Figure 4, un pirate sur l'hôte C peut envoyer au commutateur des trames avec de
fausses adresses MAC source et de destination générées aléatoirement. Le commutateur met à jour
la table d'adresses MAC avec les informations contenues dans les fausses trames. Lorsque la table
d'adresses MAC est pleine de fausses adresses MAC, le commutateur passe en mode « fail-open ».
Dans ce mode, le commutateur diffuse l'ensemble des trames à toutes les machines du réseau. Par
conséquent, le pirate peut voir toutes les trames.
Certains outils d'attaque réseau peuvent produire jusqu'à 155 000 entrées MAC par minute sur un
commutateur. La taille maximale de la table d'adresses MAC varie selon le commutateur.

Comme illustré à la Figure 5, aussi longtemps que la table d'adresses MAC est pleine, le
commutateur diffuse toutes les trames reçues à l'ensemble des ports. Dans cet exemple, les trames
transmises entre l'hôte A vers l'hôte B sont également diffusées sur le port 3 du commutateur et vues
par le pirate sur l'hôte C.

L'une des méthodes permettant d'atténuer les attaques par débordement de la table d'adresses MAC
consiste à configurer la sécurité des ports.

Attaques de sécurités courantes : Usurpation de DHCP

DHCP est le protocole qui affecte automatiquement à un hôte d'une adresse IP valide depuis un pool
DHCP. L'utilisation de DHCP pour l'allocation d'adresses IP client remonte à l'avènement du protocole
TCP/IP. Deux types d'attaques DHCP peuvent être menées contre un réseau commuté : l'épuisement
des ressources DHCP et l'usurpation de DHCP.

Dans les attaques d'épuisement des ressources DHCP, un pirate inonde le serveur DHCP de
requêtes DHCP afin d'utiliser toutes les adresses IP disponibles sur le serveur DHCP. Une fois que
toutes les adresses IP ont été émises, le serveur ne peut plus fournir d'autre adresse. Cette situation
se traduit par une attaque de déni de service (DoS) car les clients ne peuvent obtenir un accès au
réseau. Une attaque DoS est définie comme une attaque utilisée pour surcharger certains
périphériques et services réseau ciblés avec un trafic illégitime, empêchant ainsi le trafic légitime
d'atteindre les ressources ciblées par l'attaque.

Dans les attaques par usurpation de DHCP, un pirate configure un faux serveur DHCP sur le réseau
pour affecter des adresses DHCP aux clients. Cette attaque a généralement pour but de forcer les
clients à utiliser un faux système de noms de domaine (DNS) ou Windows Internet Naming Service
(WINS) et d'utiliser le serveur du pirate, ou une machine contrôlée par ce dernier, comme passerelle
par défaut.

Une attaque d'épuisement des ressources DHCP est généralement menée avant une attaque par
usurpation de DHCP, facilitant ainsi l'introduction d'un faux serveur DHCP sur le réseau.

Pour atténuer toute attaque DHCP, faites appel aux fonctions de sécurité des ports et de surveillance
DHCP disponibles sur les commutateurs Cisco Catalyst. Ces fonctions sont traitées dans une autre
rubrique.

Meilleures pratiques de sécurité

Meilleures pratiques

La défense de votre réseau contre les attaques nécessite vigilance et formation. Les meilleures
pratiques de sécurisation du réseau sont les suivantes :

 Développez une stratégie de sécurité écrite pour l'organisation.

  Arrêtez les services et les ports inutilisés.

 Utilisez des mots de passe forts et modifiez-les souvent.

 Contrôlez l'accès physique aux périphériques.

 Évitez de vous connecter à des sites Web HTTP non sécurisés, préférez les écrans de
connexion qui utilisent le protocole HTTPS.

 Effectuez des sauvegardes et testez les fichiers enregistrés de façon régulière.

 Éduquez les employés à propos des attaques par manipulation psychologique, et développez
des stratégies de validation des identités par téléphone, par e-mail, et en personne.

 Chiffrez et protégez par mot de passe les données sensibles.

 Implémentez des logiciels et des matériels de sécurité, tels que des pare-feu.

 Veillez à mettre les logiciels à jour en installant les correctifs de sécurité chaque semaine voire
chaque jour, si possible.

Ces méthodes sont uniquement un point de départ pour la gestion de la sécurité. Les entreprises
doivent constamment rester vigilantes pour se défendre contre des menaces en constante évolution.
Utilisez les outils de sécurité réseau pour mesurer la vulnérabilité du réseau existant.

Outils et test de sécurité réseau

Les outils de sécurité réseau permettent à un administrateur réseau de tester les faiblesses d'un
réseau. Certains outils permettent à un administrateur de prendre le rôle d'un pirate. Avec l'un de ces
outils, un administrateur peut attaquer un réseau et procéder à un audit des résultats, afin de
déterminer les modifications à apporter aux stratégies de sécurité et ainsi réduire les conséquences
d'une telle attaque. L'audit de sécurité et les tests de pénétration constituent deux fonctions de base
que les outils de sécurité réseau peuvent appliquer.

Les tests de la sécurité réseau peuvent être initiés manuellement par l'administrateur. D'autres tests
sont hautement automatisés. Quel que soit le type de test, le personnel qui configure et exécute les
tests de sécurité doit être particulièrement compétent dans le domaine des réseaux et de la sécurité.
Le personnel doit donc faire preuve d'une expertise dans les domaines suivants :

 Sécurité du réseau

 Pare-feu

 Systèmes de prévention contre les intrusions

 Systèmes d'exploitation

 Programmation

 Protocoles réseau (tels que TCP/IP)

Audits de sécurité réseau

Les outils de sécurité réseau permettent à un administrateur réseau de procéder à un audit de

sécurité réseau. Un audit de sécurité révèle quel type d'informations un pirate est en mesure de
rassembler grâce à un simple contrôle du trafic réseau.

Par exemple, les outils d'audit de sécurité réseau permettent à un administrateur d'inonder la table
d'adresses MAC de fausses adresses MAC. Les ports de commutateur sont ensuite audités lorsque
le commutateur les inonde de trafic. Au cours de l'audit, les mappages d'adresses MAC légitimes
deviennent obsolètes et sont replacés par de faux mappages d'adresses MAC. Cette méthode permet
d'identifier les ports compromis et les ports incorrectement configurés pour résister à ce type
d'attaque.

Le temps est un facteur crucial pour un audit réussi. Les différents commutateurs prennent en charge
diverses quantités d'adresses MAC dans leur table MAC. Il peut être difficile de déterminer le nombre
adéquat d'adresses MAC usurpées à envoyer au commutateur. L'administrateur réseau doit
également faire face au délai d'obsolescence de la table d'adresses MAC. Si les adresses MAC
usurpées deviennent obsolètes tandis qu'un audit du réseau est en cours, les adresses MAC
autorisées commencent à remplir la table MAC, ce qui limite les données qu'il est possible de
contrôler via un outil d'audit de sécurité.
Il est également possible de recourir aux outils de sécurité réseau pour tester la pénétration sur un
réseau. Le test de pénétration est une attaque simulée contre le réseau permettant de déterminer le
niveau de vulnérabilité en cas de véritable attaque. Un administrateur réseau peut ainsi identifier les
faiblesses de la configuration des périphériques réseau et apporter les modifications nécessaires pour
rendre ces périphériques davantage résilients aux attaques. Les attaques qu'un administrateur peut
réaliser sont nombreuses et la plupart des suites d'outils offrent une documentation complète
détaillant la syntaxe requise pour l'exécution de l'attaque voulue.

En raison des effets que peuvent avoir les tests de pénétration sur le réseau, ils sont menés selon
des conditions de contrôle strictes qui respectent les procédures détaillées dans le cadre d'une
stratégie de sécurité réseau complète. Un réseau de banc d'essai hors ligne qui simule le véritable
réseau de production est idéal. Le réseau de banc d'essai peut être utilisé par le personnel réseau
pour effectuer des tests de pénétration sur le réseau.

Sécurité des ports de commutateur

Désactivation des ports inutilisés

Une méthode simple à laquelle nombre d'administrateurs ont recours pour mieux protéger le réseau
contre tout accès non autorisé est de désactiver tous les ports qui ne sont pas exploités sur un
commutateur. Par exemple, si un commutateur Cisco Catalyst 2960 est doté de 24 ports et si trois
connexions Fast Ethernet sont utilisées, il est conseillé de désactiver les 21 ports inutilisés. Accédez
à chaque port inutilisé et exécutez la commande Cisco IOS shutdown. Si un port doit par la suite
être réactivé, exécutez la commande no shutdown. La figure montre un résultat partiel de cette
configuration.
Il est facile de modifier la configuration de plusieurs ports sur un commutateur. Si une plage de ports
doit être configurée, utilisez la commande interface range.

Switch(config)# interface range type module/premier nombre – dernier nombre

Le processus d'activation et de désactivation des ports peut être long, mais il renforce la sécurité sur
le réseau et en vaut vraiment la peine.

Surveillance DHCP

La surveillance DHCP est une fonction de Cisco Catalyst qui détermine quels ports du commutateur
sont en mesure de répondre aux requêtes DHCP. Les ports sont identifiés comme étant fiables et non
fiables. Les ports fiables peuvent obtenir tous les messages DHCP, y compris les paquets des offres
et des accusés de réception DHCP. Les ports non fiables peuvent uniquement obtenir les demandes.
Les ports fiables hébergent un serveur DHCP ou peuvent offrir une liaison montante vers le serveur
DHCP. Si un périphérique non autorisé sur un port non fiable tente d'envoyer un paquet d'offre DHCP
sur le réseau, le port est arrêté. Vous pouvez associer cette fonction aux options DHCP dans
lesquelles des informations concernant le commutateur, notamment l'ID de port de la requête DHCP,
peuvent être incluses dans le paquet de requêtes DHCP.

Comme illustré aux Figures 1 et 2, les ports non fiables sont les ports autres que ceux configurés
explicitement comme fiables. Une table de liaison DHCP est construite pour les ports non fiables.
Chaque entrée contient une adresse MAC cliente, une adresse IP, une durée de bail, un type de
liaison, un numéro de VLAN et un ID de port enregistrés à mesure que les clients soumettent des
requêtes DHCP. La table sert ensuite à filtrer le trafic DHCP qui suit. Du point de vue de la
surveillance DHCP, les ports d'accès non fiables ne doivent envoyer aucun message de serveur
DHCP.
La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur
Cisco Catalyst 2960 :

Étape 1. Activez la surveillance DHCP à l'aide de la commande de mode de configuration globale ip

dhcp snooping.

Étape 2. Activez la surveillance DHCP pour des VLAN spécifiques au moyen de la commande ip
dhcp snooping vlan nombre.

Étape 3. Au niveau de l'interface, définissez les ports comme étant fiables en définissant les ports
fiables avec la commande ip dhcp snooping trust.

Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre de
fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp
snooping limit rate fréquence.

Sécurité des ports : fonctionnement

Sécurité des ports

Tous les ports (interfaces) de commutateur doivent être sécurisés avant le déploiement du
commutateur en production. L'une des méthodes de sécurisation des ports consiste à implémenter
une fonctionnalité appelée sécurité des ports. La sécurité des ports restreint le nombre d'adresses
MAC autorisées sur un port. Les adresses MAC des périphériques légitimes sont ainsi autorisées.
Toutes les autres adresses MAC sont refusées.

La sécurité des ports peut être configurée pour autoriser une ou plusieurs adresses MAC. Si le
nombre d'adresses MAC autorisées sur un port est limité à un, seul le périphérique disposant de cette
adresse MAC spécifique peut se connecter au port.

Si un port est sécurisé et si le nombre maximum d'adresses MAC est atteint pour ce port, toute
tentative de connexion supplémentaire réalisée depuis une adresse MAC inconnue générera une
violation de sécurité. La Figure 1 résume ces points.
Types d'adresses MAC sécurisées

Il existe plusieurs façons de configurer la sécurité des ports. Le type d'adresse sécurisée est basé sur
la configuration et peut être l'un des types suivants :

 Adresses MAC sécurisées statiques : adresses MAC configurées manuellement sur un port à
l'aide de la commande de mode de configuration globale switchport port-security mac-
address adresse-mac. Les adresses MAC configurées de cette manière sont stockées dans
la table d'adresses et sont ajoutées à la configuration en cours sur le commutateur.

 Adresses MAC sécurisées dynamiques : adresses MAC apprises de manière dynamique et

stockées uniquement dans la table d'adresses. Les adresses MAC configurées ainsi sont
supprimées au redémarrage du commutateur.

 Adresses MAC sécurisées rémanentes : adresses MAC pouvant être apprises de manière
dynamique ou configurées manuellement, puis stockées dans la table d'adresses et ajoutées à
la configuration en cours.

Adresses MAC sécurisées rémanentes

Pour configurer une interface dans le but de convertir des adresses MAC apprises de manière
dynamiques en adresses MAC sécurisées rémanentes et les ajouter à la configuration en cours, vous
devez activer l'apprentissage rémanent. Pour activer l'apprentissage rémanent sur une interface,
exécutez la commande de mode de configuration d'interface switchport port-security mac-
address sticky.

Lorsque cette commande est exécutée, le commutateur convertit toutes les adresses MAC apprises
de manière dynamique, y compris les adresses apprises avant l'activation de l'apprentissage
rémanent, en adresses MAC sécurisées rémanentes. Toutes les adresses MAC sécurisées
rémanentes sont ajoutées à la table d'adresses et à la configuration en cours.

Les adresses MAC sécurisées rémanentes peuvent également être définies manuellement. Lorsque
des adresses MAC sécurisées rémanentes sont configurées à l'aide de la commande de mode de
configuration d'interface switchport port-security mac-address sticky adresse-mac,
toutes les adresses spécifiées sont ajoutées à la table d'adresses et à la configuration en cours.

Si les adresses MAC sécurisées rémanentes sont enregistrées dans le fichier de configuration initiale,
alors, lorsque le commutateur est redémarré ou lorsque l'interface est désactivée, l'interface n'a pas à
réapprendre les adresses. Si les adresses MAC sécurisées rémanentes ne sont pas enregistrées,
elles seront perdues.

Si l'apprentissage rémanent est désactivé à l'aide de la commande de configuration d'interface no

switchport port-security mac-address sticky, les adresses MAC sécurisées rémanentes
restent intégrées à la table d'adresses mais sont supprimées de la configuration en cours.
La Figure 2 présente les caractéristiques des adresses MAC sécurisées rémanentes.

Notez que la fonction de sécurité des ports ne fonctionnera pas si la sécurité des ports n'est pas
activée sur l'interface avec la commande switchport port-security.

Sécurité des ports : modes de violation

Il y a violation de la sécurité lorsque l'une des situations suivantes se présente :

 Le nombre maximal d'adresses MAC sécurisées a été ajouté dans la table d'adresses de
l'interface et une station dont l'adresse MAC ne figure pas dans la table d'adresses tente
d'accéder à l'interface.

 Une adresse assimilée ou configurée dans une interface sécurisée est visible sur une autre
interface sécurisée dans le même VLAN.

Une interface peut être configurée pour l'un des trois modes de violation, en spécifiant les actions à
entreprendre en cas de violation. La figure illustre les types de trafic de données transmis lorsque l'un
des modes de violation de sécurité suivants est configuré sur un port :
  Protect : lorsque le nombre d'adresses MAC sécurisées atteint la limite autorisée sur le port, les
paquets munis d'adresses sources inconnues sont ignorés jusqu'à ce qu'un nombre suffisant
d'adresses MAC sécurisées soit supprimé ou que le nombre maximal d'adresses à autoriser soit
augmenté. Aucune notification n'indique qu'une violation de sécurité s'est produite.

 Restrict : lorsque le nombre d'adresses MAC sécurisées atteint la limite autorisée sur le port,
les paquets munis d'adresses sources inconnues sont ignorés jusqu'à ce qu'un nombre suffisant
d'adresses MAC sécurisées soit supprimé ou que le nombre maximal d'adresses à autoriser soit
augmenté. Dans ce mode, une notification indique qu'une violation de sécurité s'est produite.

 Shutdown : dans ce mode (le mode par défaut), toute violation de sécurité de port entraîne
immédiatement la désactivation de l'enregistrement des erreurs dans l'interface et celle de la
LED du port. Dans ce mode, le compteur de violation est incrémenté. Lorsqu'un port sécurisé
fonctionne en mode de désactivation des erreurs, il est possible d'annuler cet état par simple
saisie des commandes de mode de configuration d'interface shutdown et no shutdown.

Pour modifier le mode de violation d'un port de commutateur, utilisez la commande de mode de
configuration d'interface switchport port-security violation {protect | restrict |
shutdown}.

Sécurité des ports : Configuration

La Figure 1 récapitule les paramètres par défaut de la sécurité des ports sur un commutateur
Cisco Catalyst.

La Figure 2 illustre les commandes de l'interface de ligne de commande du logiciel Cisco IOS
nécessaires pour configurer la sécurité des ports sur le port Fast Ethernet F0/18 du commutateur S1.
Remarquez que l'exemple ne précise aucun mode de violation. Dans cet exemple, le mode de
violation est Shutdown (mode par défaut).
La Figure 3 montre comment activer la sécurité des ports à l'aide des adresses MAC sécurisées
rémanentes sur le port Fast Ethernet port 0/19 du commutateur S1. Comme indiqué précédemment,
le nombre d'adresses MAC sécurisées peut être configuré manuellement. Dans cet exemple, la
syntaxe des commandes Cisco IOS est utilisée pour définir le nombre d'adresses MAC maximal sur
10 pour le port 0/19. Le mode de violation est défini sur Shutdown, le mode par défaut.

Sécurité des ports : Vérification

Vérification de la sécurité des ports

Après avoir configuré la sécurité des ports sur un commutateur, contrôlez chaque interface pour vous
assurer que la sécurité des ports et les adresses MAC statiques ont été configurées correctement.

Vérification des paramètres de sécurité des ports

Pour afficher les paramètres de sécurité des ports du commutateur ou de l'interface spécifiée, utilisez
la commande show port-security [interface interface-id]. Le résultat de la
configuration de la sécurité des ports dynamique est indiqué à la Figure 1. Par défaut, une seule
adresse MAC est autorisée sur ce port.
Le résultat indiqué à la Figure 2 présente les valeurs des paramètres de sécurité des ports
rémanente. Le nombre maximal d'adresses est défini sur 10, tel que configuré.

Remarque : l'adresse MAC est identifiée comme adresse MAC rémanente.

Les adresses MAC rémanentes sont ajoutées à la table d'adresses MAC et à la configuration en
cours. Comme illustré à la Figure 3, l'adresse MAC rémanente pour PC2 a été ajoutée à la
configuration en cours pour S1.

Vérification des adresses MAC sécurisées

Pour afficher toutes les adresses MAC sécurisées configurées sur toutes les interfaces de
commutateur ou sur une interface définie avec informations d'obsolescence pour chacune, utilisez la
commande show port-security address. Comme illustré à la Figure 4, les adresses MAC
sécurisées sont référencées avec les types.

Ports en état error ou disabled

Lorsque la sécurité des ports est configurée sur un port, ce dernier peut passer en mode de
désactivation des erreurs (Error Disabled) à la suite d'une violation. Lorsqu'un port passe en mode de
désactivation des erreurs, il est désactivé et ne peut plus ni envoyer ni recevoir de trafic. Une série de
messages relatifs à la sécurité des ports s'affiche sur la console (Figure 1).
Remarque : le protocole et l'état de la liaison du port passent à l'état down.

La LED du port devient orange. La commande show interfaces identifie l'état du port comme
étant err-disabled (Figure 2). Le résultat de la commande show port-security
interface indique désormais que l'état du port est passé à secure-shutdown. Étant donné que
le mode de violation du port est défini sur shutdown, le port sujet à une violation de sécurité passe en
mode de désactivation des erreurs.

L'administrateur doit déterminer la cause de la violation de sécurité avant de réactiver le port. Si un

périphérique non autorisé est connecté à un port sécurisé, le port ne doit pas être réactivé tant que la
menace de sécurité n'a pas été éliminée. Pour réactiver le port, exécutez la commande de mode de
configuration d'interface shutdown (Figure 3). Exécutez ensuite la commande de mode de
configuration de d'interface no shutdown pour que le port fonctionne.

Protocole NTP
L'utilisation d'une heure correcte sur un réseau est particulièrement importante. Des horodatages
corrects sont nécessaires pour suivre avec précision les événements réseau tels que les violations de
sécurité. Par ailleurs, la synchronisation des horloges est critique pour la bonne interprétation des
événements au sein des fichiers de données Syslog, ainsi que pour les certificats numériques.

Le protocole NTP est un protocole utilisé pour synchroniser les horloges des systèmes informatiques
appartenant à un réseau de données à paquets commutés et à latence variable. Le protocole NTP
permet aux périphériques réseau de synchroniser leurs paramètres de temps avec un serveur NTP.
Un groupe de clients NTP qui obtient des informations d'heure et de date depuis une source unique
présentera davantage de cohérence dans ses paramètres de temps.

L'une des méthodes les plus sûres pour fournir des paramètres d'horloge sur le réseau consiste à
faire en sorte que les administrateurs réseaux implémentent leurs propres horloges maîtres de réseau
privé, synchronisées au temps universel coordonné par satellite ou par radio. Toutefois, si les
administrateurs réseau ne souhaitent pas implémenter leurs propres horloges maîtres, pour des
raisons de coût ou autres, d'autres sources de temps sont disponibles sur Internet. Le protocole NTP
permet d'obtenir l'heure correcte depuis une source de temps interne ou externe, notamment les
suivantes :

 Horloge maître locale

 Horloge maître sur Internet

 GPS ou horloge atomique

Un périphérique réseau peut être configuré comme serveur ou comme client NTP. Pour permettre à
l'horloge logicielle de se synchroniser à un serveur de temps NTP, utilisez la commande de mode de
configuration globale ntp server adresse-ip. Un exemple de configuration est indiqué à la
Figure 1. Le routeur R2 est configuré comme client NTP, tandis que le routeur R1 fait office de
serveur NTP faisant autorité.

Pour configurer un périphérique comme disposant d'une horloge NTP maître à laquelle les pairs
peuvent se synchroniser eux-mêmes, utilisez la commande de mode de configuration globale ntp
master [strate]. La valeur de strate est un nombre compris entre 1 et 15, qui indiquent la strate
NTP que demandera le système. Si le système est configuré en tant que NTP maître et si aucun
numéro de strate n'est spécifié, la strate 8 sera utilisée par défaut. Si le maître NTP ne peut atteindre
d'horloge sur une strate inférieure, le système déclarera être synchronisé avec le numéro de strate
configuré. Les autres systèmes pourront s'y synchroniser à l'aide du protocole NTP.

La Figure 2 illustre la vérification du NTP. Pour vérifier l'état des associations NTP, utilisez la
commande show ntp associations en mode d'exécution privilégié. Cette commande indique
les adresses IP des homologues éventuellement synchronisés sur cet homologue, des homologues
configurés de manière statique et le numéro de strate. La commande de mode d'exécution utilisateur
show ntp status peut être utilisée pour afficher des informations telles que l'état de la
synchronisation NTP, l'homologue avec lequel le périphérique est synchronisé et la strate sur laquelle
le périphérique fonctionne.

Résumé
Lorsqu'un commutateur LAN Cisco est mis sous tension pour la première fois, il exécute la séquence
de démarrage suivante :

1. D'abord, le commutateur exécute un programme de Power-On Self Test (POST) stocké dans la
mémoire ROM. Le POST contrôle le sous-système du processeur. Il teste le processeur, la mémoire
vive dynamique et la partie du périphérique flash qui compose le système de fichiers flash.

2. Le commutateur exécute ensuite le bootloader. Le bootloader est un petit programme stocké dans
la mémoire morte et exécuté immédiatement après la réussite du POST.

3. Il effectue l'initialisation de bas niveau du processeur. Il initialise les registres du processeur qui
contrôlent l'emplacement auquel la mémoire physique est mappée, la quantité de mémoire et sa
vitesse.

4. Le bootloader initialise le système de fichiers flash sur la carte système.

5. Enfin, il localise et charge une image de logiciel du système d'exploitation IOS par défaut dans la
mémoire et transfère le contrôle du commutateur à l'IOS.
Le fichier Cisco IOS spécifique chargé est spécifié par la variable d'environnement BOOT. Une fois le
logiciel Cisco IOS chargé, il utilise les commandes qui se trouvent dans le fichier de configuration
initiale pour configurer les interfaces. Si les fichiers du logiciel Cisco IOS sont manquants ou
endommagés, le bootloader peut être utilisé pour procéder au redémarrage ou à la récupération suite
à un problème.

L'état opérationnel du commutateur est affiché par une série de LED sur le panneau avant. Ces LED
affichent des informations telles que l'état des ports, la bidirectionnalité et la vitesse.

Une adresse IP est configurée sur l'interface SVI du VLAN de gestion afin de permettre la
configuration à distance du périphérique. Une passerelle par défaut appartenant au VLAN de gestion
doit être configurée sur le commutateur à l'aide de la commande ip default-gateway. Si la
passerelle par défaut n'est pas correctement configurée, la gestion à distance est impossible. Il est
recommandé d'utiliser Secure Shell (SSH) pour créer une connexion de gestion sécurisée (chiffrée)
vers un périphérique distant, afin d'éviter que les noms d'utilisateur et les mots de passe non chiffrés
ne soient interceptés. Certains protocoles, notamment Telnet, ne permettent pas de se prémunir
contre ces interceptions.

Les commutateurs présentent l'avantage de prendre en charge les communications bidirectionnelles

simultanées entre les périphériques, doublant ainsi le débit effectif des communications. Bien qu'il soit
possible de spécifier les paramètres de vitesse et de bidirectionnalité d'une interface de commutateur,
il est recommandé de laisser le commutateur procéder à ces réglages automatiquement afin d'éviter
toute erreur.
La sécurité des ports est nécessaire pour éviter les attaques, notamment par inondation d'adresses
MAC et par usurpation de DHCP. Les ports de commutateur doivent être configurés de sorte à
autoriser uniquement les trames provenant d'adresses MAC sources spécifiques. Les trames
provenant d'adresses MAC inconnues doivent être refusées et entraîner la désactivation du port de
sorte afin d'éviter toute attaque supplémentaire.

La sécurité des ports ne constitue qu'une des méthodes permettant de se prémunir contre les
attaques sur le réseau. Pour protéger au mieux un réseau, observez les 10 meilleures pratiques
suivantes :

 Développez une stratégie de sécurité écrite pour l'organisation.

 Arrêtez les services et les ports inutilisés.

 Utilisez des mots de passe forts et modifiez-les souvent.

 Contrôlez l'accès physique aux périphériques.

 Évitez de vous connecter à des sites Web HTTP non sécurisés. Préférez les écrans de
connexion qui utilisent le protocole HTTPS.

 Effectuez des sauvegardes et testez les fichiers enregistrés de façon régulière.

 Éduquez les employés à propos des attaques par manipulation psychologique, et développez
des stratégies de validation des identités par téléphone, par e-mail, et en personne.

 Chiffrez les données sensibles et protégez-les avec un mot de passe fort.

 Implémentez des logiciels et des matériels de sécurité, tels que des pare-feu.

 Veillez à mettre le logiciel Cisco IOS à jour en installant les correctifs de sécurité chaque
semaine voire chaque jour, si possible.

Ces méthodes sont uniquement un point de départ pour la gestion de la sécurité. Les entreprises
doivent constamment rester vigilantes pour se défendre contre des menaces en constante évolution.