Chapitre 2 Concepts - Et - Configuration - de - Base - de - La - Commutation

Cours Services des R€seaux
LSI2
Chapitre 2: Concepts et configuration de

base de la commutation
Objectifs
• Configurer des param€tres d’origine sur un commutateur Cisco
• Configurer les ports de commutateur
• Configurer l’interface virtuelle de gestion du commutateur
• D‚crire les attaques de base dans un environnement commut‚
• D‚crire les meilleurs pratiques de s‚curit‚
• Configurer la mesure de s‚curit‚ des ports pour restreindre l’acc€s
2
Plan
1. Configuration de base d’un commutateur
2. S€curit€ du commutateur
3
Introduction
• Les commutateurs sont utilis€s pour connecter plusieurs p€riph€riques sur

un mƒme r€seau.
• Les commutateurs contiennent une partie mat€rielle et une autre logicielle :
Syst„me IOS
• Les commutateurs Cisco sont … configuration automatique, ils sont ainsi
prƒts … l'emploi.
• Les commutateurs Cisco ex€cutent le logiciel Cisco IOS et peuvent ƒtre
configur€s manuellement pour mieux r€pondre aux besoins du r€seau.
• La configuration comprend:
– le r‚glage de la vitesse de port,
– la bande passante,
– des exigences de s‚curit‚.
4
Introduction
• Les commutateurs Cisco peuvent ƒtre g€r€s localement et … distance.
• La couche d'acc„s est l'une des zones les plus vuln‚rables du r€seau.
• Les commutateurs doivent ƒtre configur€s pour ƒtre r€silients aux attaques
de tous types.
• La s‚curit‚ des ports est l'une des fonctions de s€curit€ propos€es par
les commutateurs g€r€s Cisco.
5
1. Configuration de base d'un commutateur
1.1 Configuration avec les param€tres d'origine
1.1.1 S€quence de d€marrage du commutateur
Apr„s la mise sous tension, le commutateur :
1. ex€cute un programme de Power-On Self Test (POST) stock€ dans la

m€moire ROM.(Le POST contr€le le sous-syst•me du processeur. Il teste le processeur, la m‚moire vive
dynamique et la partie du p‚riph‚rique flash qui compose le syst•me de fichiers flash.)
2. ex€cute ensuite le bootloader. (Le bootloader est un petit programme stock‚ dans la
m‚moire morte et ex‚cut‚ apr•s la r‚ussite du POST).
3. effectue l'initialisation de bas niveau du processeur: les registres du
processeur , la quantit€ de m€moire et sa vitesse.
4. Le bootloader initialise le syst„me de fichiers flash sur la carte syst„me.
5. localise et charge une image de logiciel du syst€me d'exploitation IOS
par d€faut dans la m€moire et transf„re le contr‡le du commutateur …
l'IOS.
6
1.1.1 S€quence de d€marrage du commutateur
• IOS initialise ensuite les interfaces … l'aide des commandes Cisco IOS
• Startup est stock€ dans la m€moire NVRAM.
• La variable d'environnement BOOT est d€finie via la commande de mode
de configuration globale boot system.
7
1.1.2 R€cup€ration apr„s une panne syst„me
• Le bootloader (chargeur de d€marrage) permet d'acc€der au commutateur

si le syst„me d'exploitation ne peut pas ƒtre charg€.
• Pour acc€der au bootloader, proc€dez comme suit :
– ƒtape 1: Connectez un PC par le cˆble de console au port de console du commutateur.
Configurez le logiciel d'€mulation de terminal
– ƒtape 2: D€branchez le cordon d'alimentation du commutateur.
– ƒtape 3: Reconnectez le cordon d'alimentation au commutateur et, dans les 15 secondes
suivantes, appuyez sur le bouton Mode et maintenez-le enfonc€ tandis que la LED syst„me
clignote en vert.
– ƒtape 4: Continuez … appuyer sur le bouton Mode jusqu'… ce que la LED syst„me devienne
orange, puis vert fixe ; vous pouvez alors relˆcher le bouton Mode.
– ƒtape 5: L'invite switch: du bootloader s'affiche dans le logiciel d'€mulation de terminal sur le
PC.
8
1.1.3 LED du commutateur
• Les LED permettant de surveiller l'activit€ et les performances du commutateur.

Exemple : Cisco Catalyst 2960.
Le bouton Mode : permet :

• d'afficher alternativement l'€tat,
• le mode de bidirectionnalit€
• la vitesse des ports,
• le PoE (Power Over Ethernet, si
pris en charge) avec les LED.
9
• Fonction des indicateurs LED et leur code couleur :

– LED syst€me : si le syst„me est bien aliment€ et s'il fonctionne correctement.
• Si la LED est ‚teinte: syst„me est hors tension.
• Si la LED est verte: le syst„me fonctionne normalement.
• Si la LED est orange: le syst„me est sous tension mais ne fonctionne pas correctement.
– LED syst€me d'alimentation redondante (RPS) : €tat du syst„me RPS.

– LED ‚tat port : indique que le mode €tat de port est s€lectionn€ lorsque la LED
est verte et clignote. Il s'agit du mode par d€faut. Lorsque cette option est
s€lectionn€e, les LED du port affichent des couleurs de diff€rentes significations.
– LED de bidirectionnalit‚ du port : LED €teintes: les ports en mode half duplex.
LED verte: le port en mode full duplex
– LED de vitesse de port : LED est €teinte: 10 Mbit/s. LED est verte: 100 Mbit/s.
LED est verte et clignote, 1000 Mbit/s.
– LED de mode PoE (Power over Ethernet)
10
11
1.1.4 Pr€paration … la gestion de commutateur de base
• Pour administrer le commutateur depuis un r€seau distant, le commutateur

doit ƒtre configur€ avec une passerelle par d€faut.
• L'interface virtuelle du commutateur (SVI) sur S1 doit avoir une adresse IP.
(Une interface SVI est une interface virtuelle, et non un port physique du commutateur).
12
1.1.4 Pr€paration … la gestion de commutateur de base
• Le commutateur est configur€ de telle sorte que sa gestion est r€gie par le
VLAN 1.
• Tous les ports sont assign€s … VLAN 1 par d€faut.
• Pour des raisons de s€curit€, les meilleures pratiques recommandent

d'utiliser un VLAN de gestion autre que le VLAN 1.
• Notez que ces param„tres IP sont uniquement utilis€s pour l'acc„s … la

gestion … distance du commutateur. Les param„tres IP ne permettent pas
au commutateur de router des paquets de couche 3.
13
1.1.5 Configurer l'acc„s … la gestion du commutateur de base … l'aide d'IPv4
ƒtape 1. Configuration de l'interface de gestion
14
ƒtape 2. Configuration de la passerelle par d‚faut
15
ƒtape 3. V‚rification de la configuration
16
1.2 Configuration des ports de commutateur
1.2.1 Communications bidirectionnelles simultan€es (full duplex)
• Les communications bidirectionnelles simultan€es:

– am€liorent les performances d'un r€seau LAN commut€.
– augmentent la bande passante r€elle.
• Les communications bidirectionnelles non simultan€es:

– sont unidirectionnelles.
– L'envoi et la r€ception de donn€es n'ont jamais lieu simultan€ment.
– entra‰nent des probl„mes de performances car les donn€es ne peuvent circuler que dans un
sens … la fois, ce qui se traduit souvent par des collisions.
– se rencontrent g€n€ralement dans du mat‚riel ancien, tel que des concentrateurs.
17
1.2.2 Configurer des ports de commutateur au niveau de la couche physique
Mode bidirectionnel et vitesse
18
1.2.2 Configurer des ports de commutateur au niveau de la couche physique
Mode bidirectionnel et vitesse

• La n‚gociation automatique est utile lorsque les param„tres de vitesse et
de transmission bidirectionnelle du p€riph€rique connect€ au port sont
inconnus ou susceptibles de changer.
• La configuration manuelle de duplex et de vitesse est recommand€e lors
d'une connexion … des €quipements connus, (serveurs, postes de travail
d€di€s ou des p€riph€riques r€seau,…)
• Lors du d€pannage des probl„mes de port de commutateur, les param„tres
de bidirectionnalit€ et de vitesses doivent ƒtre v€rifi€s.
• Tous les ports fibre optique, tels que les ports 100BASE-FX, fonctionnent
uniquement … une vitesse pr€d€finie et en mode bidirectionnel simultan€.
19
1.2.3 Auto-MDIX
• Le choix du type de cˆbles (crois€ ou droit) est n€cessaire pour connecter

deux p€riph€riques r€seau (deux commutateurs ou un commutateur et un routeur).
• La fonctionnalit‚ d'interface crois‚e d‚pendante du support (auto-

MDIX) d'une interface permet d'€liminer ce probl„me.
• Si la fonction auto-MDIX est activ€e, l'interface d€tecte automatiquement le

type de cˆble requis pour la connexion (droit ou crois€) et configure la
connexion en cons€quence.
• Sans la fonction auto-MDIX:

– des cˆbles droits doivent ƒtre utilis€s pour la connexion des serveurs, des stations de travail
ou des routeurs.
– Des cˆbles crois€s doivent ƒtre utilis€s pour la connexion d'autres commutateurs et de
r€p€teurs.
20
1.2.3 Auto-MDIX
21
1.2.3 Auto-MDIX
• Pour examiner le param„tre auto-MDIX d'une interface donn€e, utilisez la

commande show controllers ethernet-controller avec le mot-cl€ phy.
• Pour limiter le r€sultat aux lignes relatives … la fonction auto-MDIX, utilisez le
filtre include Auto-MDIX.
• Le r€sultat indique si la fonctionnalit€ est activ€e ou d€sactiv€e (On/Off).
22
1.2.4 V€rification de la configuration des ports de commutateur
• La commande show est utile pour v€rifier les fonctionnalit€s configurables

les plus courantes des commutateurs.
23
• La commande show running-config: est utilis€e pour v€rifier que le

commutateur a €t€ correctement configur€.
24
• La commande show interfaces affiche l'€tat et les statistiques des interfaces

r€seau d'un commutateur.
25
1.2.5 Probl„mes de couche d'acc„s au r€seau
• La commande show interfaces peut ƒtre utilis€ pour d€tecter les probl„mes
de support courants €tat de la ligne et du protocole de liaison de
donn€es.
• FastEthernet0/1 is up: fait r€f€rence … la couche mat€rielle et indique essentiellement si

l'interface re‹oit le signal Œ D€tection de la porteuse • depuis l'autre extr€mit€ de la connexion.
• Line protocol is up: fait r€f€rence … la couche de liaison de donn€es et indique si les messages
de test d'activit€ du protocole de couche liaison de donn€es sont en cours de r€ception.
26
• Les r€sultats de la commande show interfaces permettent de

r€soudre des probl„mes de la fa‹on suivante :
– Si l'interface est active (up) et que le protocole de ligne est d€sactiv€ (down), un
probl„me existe. Il existe peut-ƒtre une incoh€rence dans le type
d'encapsulation, l'interface de l'autre c‡t€ est peut-ƒtre en mode de d€sactivation
des erreurs, ou il peut exister un probl„me mat€riel.
– Si le protocole de ligne et l'interface sont tous deux d€sactiv€s, un cˆble est
d€branch€ ou il existe un autre probl„me sur l'interface. Par exemple, dans une
connexion jumel€e, l'autre extr€mit€ de la connexion peut ƒtre d€sactiv€e sur le
plan administratif.
– Si l'interface est d€sactiv€e sur le plan administratif, cela signifie qu'elle a €t€
d€sactiv€e manuellement (la commande shutdown a €t€ €mise) dans la
configuration courante.
27
• Certaines erreurs enregistr€es sur le support ne sont pas suffisamment

graves pour entra‰ner une panne du circuit, mais elles peuvent entra‰ner
une diminution sensible des performances.
28
• La Figure illustre certaines de ces erreurs courantes qui peuvent ƒtre

d€tect€es … l'aide de la commande show interfaces.
29
1.2.6 D€pannage des probl„mes de couche d'acc„s au r€seau
• La plupart des probl„mes d'un r€seau commut€ surviennent lors de

l'impl€mentation initiale.
30
2. S‚curit‚ du commutateur : gestion et impl‚mentation
2.1 Acc€s „ distance s‚curis‚
2.1.1 Fonctionnement des SSH
• Secure Shell (SSH) est un protocole qui permet d'€tablir une connexion
s€curis€e (chiffr€e) pour la gestion des p€riph€riques distants.
• SSH doit remplacer Telnet pour les connexions de gestion.

(Telnet est un protocole plus ancien qui utilise un mode de transmission en texte clair non s€curis€
des informations d'identification (nom d'utilisateur et mot de passe) et des donn€es entre les
p€riph€riques qui communiquent).
• SSH permet de s€curiser les connexions distantes grˆce … une m€thode de

chiffrement fort pour l'authentification des p€riph€riques (nom d'utilisateur et
mot de passe),
• SSH est attribu€ au port TCP 22.
• Telnet est attribu€ au port TCP 23.
31
2.1.1 Fonctionnement des SSH
• Pour activer SSH sur un commutateur Cisco Catalyst 2960, le commutateur

doit utiliser une version du logiciel IOS qui prend en charge les
fonctionnalit€s de cryptographie (chiffrement).
• La commande show version sur le commutateur pour afficher la version du
logiciel IOS ex€cut€e par le commutateur
 ainsi que le nom du fichier IOS dans lequel figure la combinaison Œ k9 •,
indiquant la prise en charge des fonctionnalit€s de cryptographie
(chiffrement).
32
2.1.2 Configuration de SSH
• Avant de configurer SSH, le commutateur doit au moins ƒtre configur€ avec

un nom d'h‡te unique et avec les param„tres de connectivit€ r€seau
ad€quats.
• ƒtape 1 V€rifiez la prise en charge du protocole SSH.
– Utilisez la commande show ip ssh pour v€rifier que le commutateur prend en charge SSH.
• ƒtape 2 configuration du domaine IP

Configurez le nom de domaine IP du r€seau : ip domain-name nom-domaine.
(exemple :nom-domaine est cisco.com).
• ƒtape 3 G€n€rez des paires de cl€s RSA.
• ƒtape 4 Configurez l'authentification utilisateur.
• ƒtape 5 Configurez les lignes vty.
• ƒtape 6 Activez SSH version 2.

33
2.1.2 Configuration de SSH
34
2.1.3 V€rification de SSH
• Sur un PC, un client SSH, par exemple PuTTY, est utilis€ pour €tablir une
connexion … un serveur SSH.
• Voici les configurations :
– SSH activ€ sur le commutateur S1
– Interface VLAN 99 avec IP 172.17.99.11 sur S1
– PC1 avec l'adresse IP 172.17.99.21
• Le PC initie une connexion SSH

… l'adresse IP du VLAN SVI de S1.
35
• L'utilisateur saisit un nom d'utilisateur et un mot de passe.

• Ensuite, l'utilisateur est connect€ via SSH … l'interface en ligne de
commande du commutateur Cisco Catalyst 2960.
36
• La commande … show ip ssh Ä affiche des donn€es de version et de

configuration SSH du serveur SSH;
37
2.2 Probl€mes de s‚curit‚ dans les LAN
2.2.1 Attaques de s€curit€ courantes : inondation d'adresse MAC
Inondation d'adresses MAC
• Si une adresse de destination n’est pas enregistr€e dans la table MAC alors
le commutateur diffuse la trame vers tous les port … l'exception du port sur
lequel la trame a €t€ re‹ue.
• Cette action est dite inondation d’adresses MAC
• Cette action peut ƒtre utilis€e comme une attaque.
• On l’appelle attaque par d€bondement de la table d'adresses MAC
• On parle d’attaques par inondation d’adresse MAC
38
• L'h‡te A envoie le trafic … l'h‡te B. Le commutateur re‹oit les trames et

recherche l'adresse MAC de destination dans sa table d'adresses MAC.
• S’il ne la trouve alors il copie alors la trame et en inonde (diffuse) chaque
port du commutateur, … l'exception du port sur lequel elle a €t€ re‹ue.
39
• L’h‡te B re‹oit la trame et envoie une r€ponse … l'h‡te A.

• Le commutateur enregistre l'adresse MAC de l'h‡te B situ€e sur le port 2
dans la table d'adresses MAC.
• L'h‡te C ignore cette trame.
40
• Toutes les trames transmises par l'h‡te A (ou un autre) vers l'h‡te B sont
envoy€es au port 2 du commutateur et ne sont pas diffus€es sur les ports.
• La taille des tables d'adresses MAC est limit€e.
• L'inondation d'adresses MAC profite de cette limite pour submerger le
commutateur de fausses adresses MAC source jusqu'… ce que la table
d'adresses MAC de ce dernier soit satur€e.
41
•Un pirate sur l'h‡te C peut envoyer au

commutateur des trames avec de fausses
adresses MAC source et de destination
g€n€r€es al€atoirement.
•Le commutateur met … jour la table
d'adresses MAC avec les informations
contenues dans les fausses trames.
•Si cette table d'adresses MAC devient pleine
le commutateur passe en mode … fail-open †.
 Dans ce mode, le commutateur diffuse l'ensemble des trames … toutes les

machines du r€seau. Par cons€quent, le pirate peut voir toutes les trames.
42
• L'une des m€thodes permettant d'att€nuer les attaques par d€bordement de

la table d'adresses MAC consiste … configurer la s€curit€ des ports.
43
2.2.2 Attaques de s€curit€ courantes : usurpation de DHCP
• DHCP est le protocole qui affecte automatiquement … un h‡te d'une

adresse IP valide depuis un pool DHCP.
• Deux types d'attaques DHCP peuvent ƒtre men€es contre un r€seau
commut€ :
– l'€puisement des ressources DHCP
– l'usurpation de DHCP.
1. Attaques d'‚puisement des ressources DHCP
• Un pirate inonde le serveur DHCP de requƒtes DHCP afin d'utiliser toutes

les adresses IP disponibles sur le serveur DHCP.
• Une fois que toutes les adresses IP ont €t€ €mises, le serveur ne peut plus
fournir d'autre adresse.
• Cette situation se traduit par une attaque de d€ni de service (DoS) car les
clients ne peuvent obtenir un acc„s au r€seau.
44
2. Attaques par usurpation de DHCP
45
• Une attaque d'€puisement des ressources DHCP est g€n€ralement men€e

avant une attaque par usurpation de DHCP.
• Ce qui facilite ainsi l'introduction d'un faux serveur DHCP sur le r€seau.
Solution pour l’attaque DHCP:
46
2.2.3 Attaques de s€curit€ courantes : utiliser le protocole CDP
• CDP (Cisco Discovery Protocol) est un protocole propri€taire de Cisco

• CDP d€tecte tous les autres p€riph€riques Cisco connect€s directement.
• Par d€faut, le protocole CDP est activ€ sur tous les ports de la plupart des
routeurs et des commutateurs Cisco.
• Les informations CDP sont envoy€es r€guli„rement via des diffusions non
chiffr€es. (adresse IP, version de l’IOS, la plate-forme, les fonctions et le
VLAN natif).
• Ces informations peuvent ƒtre utilis€es par un pirate afin d'attaquer le
r€seau, g€n€ralement par une attaque de d€ni de service (DoS).
Solution:
• Il est recommand€ de d€sactiver le protocole CDP sur les p€riph€riques ou
les ports sur lesquels il n'est pas requis, … l'aide de la commande de mode
de configuration globale no cdp run.
47
2.2.3 Attaques de s€curit€ courantes : utiliser le protocole CDP
Attaques Telnet
• Le protocole Telnet n'est pas s€curis€, un pirate peut ainsi l'utiliser pour
acc€der … distance … un p€riph€rique r€seau Cisco.
Attaque de mot de passe en force
• Une attaque en force permet de d€coder quasiment tous les mots de passe
employ€s.
• Pour vous pr€munir contre les attaques en force, utiliser des mots de passe
forts et changez-les r€guli„rement.
Attaque DoS Telnet
• Telnet peut €galement ƒtre utilis€ pour lancer une attaque de d€ni de
service (DoS).
• Dans une attaque DoS Telnet, le pirate exploite une faille d'un logiciel
serveur Telnet ex€cut€ sur le commutateur qui rend le service Telnet
indisponible.
• Ce type d'attaque empƒche l'administrateur d'acc€der … distance aux
48 fonctions de gestion du commutateur.
2.3.1 Meilleures pratiques
49
2.2 S‚curit‚ des ports de commutateur
2.4.1 S€curisation des ports inutilis€s
D‚sactivation des ports inutilis‚s

• Acc€dez … chaque port inutilis€ et ex€cutez la commande Cisco
IOS shutdown.
• Si un port doit par la suite ƒtre r€activ€, ex€cutez la commande no
shutdown.
50
2.4.2 Surveillance DHCP
51
2.4.3 S€curit€ des ports : fonctionnement
S€curit€ des ports

• Pr€ciser le nombre d'adresses MAC autoris€es sur un port.
• Si le nombre d'adresses MAC autoris€es sur un port est limit€ … un, seul le
p€riph€rique disposant de cette adresse MAC sp€cifique peut se connecter
au port.
• Si le nombre maximum d'adresses MAC est atteint pour ce port, toute
tentative de connexion suppl€mentaire r€alis€e depuis une adresse MAC
inconnue g€n€rera une violation de s€curit€.
52
Types d'adresses MAC s‚curis‚es:
• Adresses MAC s‚curis‚es statiques : configur€es manuellement sur un

port … l'aide de la commande de mode de configuration globale:
switchport port-security mac-address adresse-mac.
• Adresses MAC s‚curis‚es dynamiques : apprises de mani„re dynamique

et stock€es uniquement dans la table d'adresses: (supprim‚es au red‚marrage du
commutateur).
• Adresses MAC s‚curis‚es r‚manentes : apprises de mani„re dynamique

ou configur€es manuellement, puis stock€es dans la table d'adresses et
ajout€es … la configuration en cours.
53
Adresses MAC s‚curis‚es r‚manentes

• Assimilation dynamique, conversion en adresses MAS s€curis€es
r€manentes stock€es dans la configuration en cours.
• La commande utilis€e pour activer l’apprentissage dynamique
est: switchport port-security mac-address sticky.
• Toutes les adresses sont converties en adresses MAC s€curis€es
r€manentes.
• Toutes les adresses MAC s€curis€es r€manentes sont ajout€es … la table
d'adresses et „ la configuration en cours.
• Les adresses MAC s€curis€es r€manentes peuvent €galement ƒtre d€finies
manuellement.
• La commande : switchport port-security mac-address sticky adresse-mac,
ajoute les adresses dans adresse-mac … la table d'adresses et … la
configuration en cours.
54
Adresses MAC s‚curis‚es r‚manentes

• Les adresses MAC s€curis€es r€manentes sont perdues au red€marrage
du commutateur ou lorsque l'interface est d€sactiv€e.
• La d€sactivation de l’apprentissage r€manent supprime les adresses MAC

de la configuration en cours mais pas de la table MAC.
• La commande … l’interface : no switchport port-security mac-address sticky
• Enregistrer les adresse MAC s€curis€es r€manentes dans le fichier de

configuration afin de les conserver lors du red€marrage de commutateur
55
R‚sum‚
56
2.4.4 S€curit€ des ports : modes de violation
57
2.4.5 S€curit€ des ports : configuration
58
2.4.6 S€curit€ des ports : v€rification
59
2.4.7 Ports en €tat Error Disabled
• Si un port est s€curis€, toute violation permet de faire passer ce port en

mode de d€sactivation des erreurs (Error Disabled).
 Ce port devient d€sactiv€ et ne peut ni envoyer ni recevoir de trafic.
60
2.4.7 Ports en €tat Error Disabled
61
2.4.8 Protocole NTP
• Le protocole NTP est un protocole utilis€ pour synchroniser les horloges

des syst„mes informatiques appartenant … un r€seau de donn€es …
paquets commut€s et … latence variable.
• Un groupe de clients NTP qui obtient des informations d'heure et de date
depuis une source unique pr€sentera davantage de coh€rence dans ses
param„tres de temps.
• Le protocole NTP permet d'obtenir l'heure correcte depuis une source de
temps interne ou externe, notamment les suivantes :
– Horloge ma‰tre locale
– Horloge ma‰tre sur Internet
– GPS ou horloge atomique
• Un p€riph€rique r€seau peut ƒtre configur€ comme serveur ou comme
client NTP.
62
2.4.8 Protocole NTP
• Pour se synchroniser … un serveur de temps NTP, utilisez la commande de

mode de configuration globale: ntp server adresse-ip.
• Le routeur R2 est configur€ comme client NTP, tandis que le routeur R1 fait
office de serveur NTP faisant autorit€.
63
2.4.8 Protocole NTP
• Pour configurer un p€riph€rique comme ma‰tre d'une horloge NTP, on

utilise la commande de mode de configuration globale: ntp master [strate].
64

Chapitre 2 Concepts - Et - Configuration - de - Base - de - La - Commutation

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 2 Concepts - Et - Configuration - de - Base - de - La - Commutation

Transféré par

Droits d'auteur :

Formats disponibles

Cours Services des R€seaux

Chapitre 2: Concepts et configuration de

• Configurer des param€tres d’origine sur un commutateur Cisco

• Configurer les ports de commutateur

• Configurer l’interface virtuelle de gestion du commutateur

• D‚crire les attaques de base dans un environnement commut‚

• D‚crire les meilleurs pratiques de s‚curit‚

• Configurer la mesure de s‚curit‚ des ports pour restreindre l’acc€s

1. Configuration de base d’un commutateur

• Les commutateurs sont utilis€s pour connecter plusieurs p€riph€riques sur

• Les commutateurs Cisco peuvent ƒtre g€r€s localement et … distance.

Apr„s la mise sous tension, le commutateur :

1. ex€cute un programme de Power-On Self Test (POST) stock€ dans la

• Le bootloader (chargeur de d€marrage) permet d'acc€der au commutateur

• Les LED permettant de surveiller l'activit€ et les performances du commutateur.

Le bouton Mode : permet :

• Fonction des indicateurs LED et leur code couleur :

– LED syst€me d'alimentation redondante (RPS) : €tat du syst„me RPS.

• Pour administrer le commutateur depuis un r€seau distant, le commutateur

• Tous les ports sont assign€s … VLAN 1 par d€faut.

• Pour des raisons de s€curit€, les meilleures pratiques recommandent

• Notez que ces param„tres IP sont uniquement utilis€s pour l'acc„s … la

ƒtape 1. Configuration de l'interface de gestion

ƒtape 2. Configuration de la passerelle par d‚faut

ƒtape 3. V‚rification de la configuration

• Les communications bidirectionnelles simultan€es:

• Les communications bidirectionnelles non simultan€es:

Mode bidirectionnel et vitesse

Mode bidirectionnel et vitesse

• Le choix du type de cˆbles (crois€ ou droit) est n€cessaire pour connecter

• La fonctionnalit‚ d'interface crois‚e d‚pendante du support (auto-

• Si la fonction auto-MDIX est activ€e, l'interface d€tecte automatiquement le

• Sans la fonction auto-MDIX:

• Pour examiner le param„tre auto-MDIX d'une interface donn€e, utilisez la

• La commande show est utile pour v€rifier les fonctionnalit€s configurables

• La commande show running-config: est utilis€e pour v€rifier que le

• La commande show interfaces affiche l'€tat et les statistiques des interfaces

• FastEthernet0/1 is up: fait r€f€rence … la couche mat€rielle et indique essentiellement si

• Les r€sultats de la commande show interfaces permettent de

• Certaines erreurs enregistr€es sur le support ne sont pas suffisamment

• La Figure illustre certaines de ces erreurs courantes qui peuvent ƒtre

• La plupart des probl„mes d'un r€seau commut€ surviennent lors de

• SSH doit remplacer Telnet pour les connexions de gestion.

• SSH permet de s€curiser les connexions distantes grˆce … une m€thode de

• SSH est attribu€ au port TCP 22.

• Telnet est attribu€ au port TCP 23.

• Pour activer SSH sur un commutateur Cisco Catalyst 2960, le commutateur

• Avant de configurer SSH, le commutateur doit au moins ƒtre configur€ avec

• ƒtape 2 configuration du domaine IP

• ƒtape 3 G€n€rez des paires de cl€s RSA.

• ƒtape 4 Configurez l'authentification utilisateur.

• ƒtape 5 Configurez les lignes vty.

• ƒtape 6 Activez SSH version 2.

• Le PC initie une connexion SSH

• L'utilisateur saisit un nom d'utilisateur et un mot de passe.

• La commande … show ip ssh Ä affiche des donn€es de version et de

Inondation d'adresses MAC

• L'h‡te A envoie le trafic … l'h‡te B. Le commutateur re‹oit les trames et

• L’h‡te B re‹oit la trame et envoie une r€ponse … l'h‡te A.

•Un pirate sur l'h‡te C peut envoyer au

 Dans ce mode, le commutateur diffuse l'ensemble des trames … toutes les

• L'une des m€thodes permettant d'att€nuer les attaques par d€bordement de

• DHCP est le protocole qui affecte automatiquement … un h‡te d'une