Académique Documents
Professionnel Documents
Culture Documents
La norme 802.3af :
L’alimentation fournie peut aller jusqu’à 15,4W au niveau du commutateur ou de
l’injecteur, et se traduit par une consommation électrique de 12,9W maximum au
niveau du périphérique pour une tension de 48 V.
PSE (Power Sourcing Equipment) : le périphérique qui fournit l’alimentation
PD (Powered Device): Le périphérique qui reçoit l’alimentation.
• La norme 802.3at
appelée également PoE+ :L’alimentation fournie est de 24W minimum et peut aller
jusqu’à 30W pour une tension de 48V
Exemple :
Cisco Catalyst 3750E-24PD 24 10/100/1000 ports with PoE and 2x2 10 Gig uplinks
Cisco Catalyst 2975GS-48PS-L 48 10/100/1000 PoE ports and 4 SFP uplinks
Equipements
Hubs/Repeaters,
Layer 2 Bridges/Switches
Layer 3 Routers
Layer 3/Layer 4 Switches (Ports TCP/UDP)
Standard VLANs
» Standard VLAN range is 1 – 1005
» VLAN 1
• Default Ethernet Access VLAN & default 802.1q Native VLAN
• Cannot be deleted, but can be manually pruned from trunks
• Cannot be pruned by VTP
• Should not be used for actual port assignments
» VLANs 1002 – 1005
• Default legacy Token Ring / FDDI VLANs
• Cannot be deleted, but can be manually pruned from trunks
• Cannot be pruned by VTP
• Should not be used for actual port assignments
Extended VLANs
» Extended VLAN range is 1006 – 4094
Internal VLANs
» VLANs reserved for internal applications
• E.g. native layer 3 switchports
• show vlan internal usage
Etape 2 : Créer un VLAN ou une plage de VLANs. Etape 2 : Spécifier l'interface à configurer .
switch(config)# vlan { vlan-id | vlan-range } switch(config)# interface {type slot/port | port-channel
number}
Etape 3 : nommer le VLAN
switch(config-vlan)# name vlan-name Etape 3 : Définir le mode d'accès de l'interface au VLAN
spécifié.
Etape 4 : Supprimer un VLAN switch(config-if)# switchport mode access
switch(config-vlan)# no vlan { vlan-id | vlan-range } switch(config-if)# switchport access vlan vlan-id
Trame Ethernet :
La difference entre 802.1Q et ISL est que 802.1 marque la trame Ethernet tandis que ISL
encapsulate la trame Ethernet.
ISL ajoute une entête à la trame Ethernet et le champ FCS (Frame Check Sequence).
- VLAN identifier : représente le numéro du VLAN du trafic
- User : utilisé pour la QoS (Quality of Service)
» Layer 2 Switchports
• Access (One VLAN)
• Trunk (Multiple VLANs)
• Tunnel (Transparent Layer 2 VPN)
• Dynamic (DTP Negotiation)
» Layer 3 Ports
• Switched Virtual Interface (SVI)
• Native Routed Interfaces
Module 1 : mise en œuvre des réseaux commutés Page 41 |
2. Architecture d'un réseau de type Campus
2.1. Implémenter les VLAN et les trunks – Layer 2 Trunking :
» 802.1q
• Open standard
• “Native” VLAN sent untagged
» Cisco ISL (Inter-Switch Link):
• An old Cisco proprietary protocol
» DTP (Dynamic Trunking Protocol): is a proprietary
networking protocol developed by Cisco Systems for the
purpose of negotiating trunking on a link between two
VLAN-aware switches, and for negotiating the type of
trunking encapsulation to be used.
Module 1 : mise en œuvre des réseaux commutés Page 42 |
2. Architecture d'un réseau de type Campus
2.1. Implémenter les VLAN et les trunks – DTP negotiation :
» Enabled by default
» Can be disabled by…
» DTP Desirable mode
• switchport nonegotiate
• Initiates trunking negotiation
• switchport mode access
• switchport mode dynamic desirable
• switchport mode dot1q-tunnel
• switchport mode trunk
» Verified with…
» DTP Auto mode
• show interface trunk
• Passively listen for trunking
• show interface switchport
negotiation
• show spanning-tree [vlan |
• switchport mode dynamic auto
interface]
Depending on the switch model you might see the same error as me. If we want to change
the interface to trunk mode we need to change the trunk encapsulation type. Let’s see what
options we have:
If I go to the interface configuration to change the switchport mode you can see I have more
options than access or trunk mode. There is also a dynamic method. Don’t worry about the
other options for now.
● Les trames circulent en boucles et sont multipliées à chaque passage sur un commutateur.
● N'ayant pas de durée de vie (TTL comme les paquets IP), elles peuvent tourner indéfiniment.
Un port démarre en état “Blocking” et peut atteindre l’état “Forwarding” en fonction des
BPDUs reçus.
Module 1 : mise en œuvre des réseaux commutés Page 70 |
3. Implémentation du Spanning Tree
3.10. Les délais STP ou STP Timers:
Les Timers affectent la transition entre les états du port :
- A définir uniquement sur le Root Bridge
- Âge maximum, délais avant lequel un port attend avant d’entrer en état “Listening” :
(config)#spanning-tree [vlan vlan-id] max-age seconds, 6 à 200 secondes, 20
secondes par défaut
- NB: EtherChannel peut être utilisé sur des liens cuivre en paire torsadée aussi
bien que sur fibre optique monomode et multimode.
Avantages Limites
Bande passante plus Impossibilité d’utiliser des interfaces de
importante types différents pour créer un
Etherchannel
Prévention de panne Nécessité d’avoir la même configuration
au niveau des interfaces à agréger
Equilibrage de charge Nombre de lien regroupable limité à huit
Tâches de
configuration réalisées
sur l’interface
Etherchannel
Module 1 : mise en œuvre des réseaux commutés Page 85 |
4. Implémentation du
routage Inter VLAN
Router1(config)#interface fa0/0.10
Router1(config-subif)#encapsulation dot1Q 10
Router1(config-subif)#ip address 172.17.10.1
255.255.255.0
Router1(config)#interface fa0/0.20
Router1(config-subif)#encapsulation dot1Q 20
Router1(config-subif)#ip address 172.17.20.1
255.255.255.0
SwitchA(config)#interface vlan 20
SwitchA(config-if)#no shutdown
SwitchA(config-if)#ip address 172.17.20.1 255.255.255.0
NMS: Network Management System, est un logiciel installé dans une station de
travail permettant d'interpréter les données en provenance des équipements
managés.
L’agent (Agent) est un processus installé dans les équipements administrés. Il
assurer les fonctions suivantes:
Collecter les informations sur les équipements,
Permettre la prise en charge des équipements à distance par le NMS
Envoyer des traps à la station NMS
une MIB (Management Information Base) décrivant les informations gérées
(objets administrés).
Authentification : MD5
Group: MYGROUP
Username: MYUSER
Password: MYPASS123
Encryption key (AES 128-bit): MYKEY123
Etape 5: vérification
SW1#sh snmp user
SW1#sh snmp group
Module 1 : mise en œuvre des réseaux commutés Page 105 |
5. Implémentation la supervision
5.3. Le protocole NTP :
NTP (Network Time Protocol) : mise à jour des
horloges en se synchronisant sur des serveurs
de temps présents sur Internet.
Les serveurs de strate 0, qui sont des
horloges atomiques. Ce sont les serveurs
de référence.
Les serveurs de strate 1. Ils se
synchronisent sur les serveurs de strate 0.
Leur dérive est de 1 seconde pour 10 000
ans...
Les serveurs de strate 2. Ils se
synchronisent sur les serveurs de strate 1.
Ce sont généralement des serveurs
publics.
Les serveurs de strate 3. Ils se
synchronisent sur les serveurs de strate 2.
Au niveau entreprise
Le mode symétrique :
La priorité est donnée au poste qui a la plus courte
distance de synchronisation.
Le mode multicast :
Permet au client d'obtenir une réponse de plusieurs
serveurs
Module 1 : mise en œuvre des réseaux commutés Page 108 |
5. Implémentation la supervision
5.3. Le protocole NTP – Architecture :
L'architecture NTP prévoit :
la diffusion verticale arborescente de
proche en proche d'une heure de référence
à partir d'une ou plusieurs machines
racines garantes d'une grande précision
Authentification NTP
1. config t
2. [no] ntp authentication-key number md5 md5-string
3. [no] ntp
Module trusted-key number
1 : mise en œuvre des réseaux commutés Page 111 |
5. Implémentation la supervision
5.4. Autres plateformes de supervision :
Outils Caractéristiques Avantages Inconveniants
Zabbix -Auto découverte des machines du réseau -Facilité d’installation -Chaque machine à superviser
-Mise en place de tests indépendants sur les -Génération facile des graphs doit disposer du client Zabbix
machines -Facilité de consultation des graphs
-Gestion des alertes en fonction du temps -Limité au ping sans le client
-Affichage clair des erreurs sur le
Dashboard
Nagios/ -Surveillance des services (SMTP, POP3, -Grosse communauté et bonne -Difficile à installer et à
Centreon HTTP, FTP) réputation configurer
-Surveillance des ressources d’une machine -Très puissant et modulaire -Nagios dispose d’une interface
(la charge du processeur, l’espace disque, …) -Peut disposer d’une surcouche austère
-Possibilité de développer ses propres graphique (Centreon) -Nagios n’affiche pas de graphs
plugins -Centreon apporte la gestion de en natif
-Hiérarchisation des équipements composant graphiques -Nagios ne permet pas d’ajouter
le réseau -Peut disposer de nombreux plugins des hosts via Web
-Notification par email
-Journalisation des évènements
Pour fixer la valeur de la priorité HSRP d'un routeur, entrez cette commande en mode
de configuration interface:
standby group-number priority priority-value
La valeur de priorité peut être 0 à 255. La valeur par défaut est 100.
Pendant le processus d'élection, le routeur avec la priorité la plus élevée dans le
groupe HSRP devient le routeur actif. Si une égalité se produit, le routeur avec
l'adresse IP configurée la plus élevée devient actif.
SwitchA(config)#interface fa0/17
SwitchA(config-if)#standby 1 track fastEthernet 0/19 60
Les timers sont configurés sur le master (vrrp # timers advertise {hello}), et
sont appris par le backup (vrrp # timers learn, par défaut)
Les routeurs A, B et C sont membres du groupe VRRP. L'adresse IP du routeur virtuel est
la même que celle de l'interface LAN du routeur A (10.0.0.1). Le routeur A est
responsable de l'acheminement des paquets transmis vers cette adresse IP.
Les clients ont une adresse de passerelle 10.0.0.1. Les routeurs B et C sont des routeurs
de secours. Si le routeur maître est défaillant, le routeur de secours avec la priorité la
plus élevée devient le routeur maître. Quand le routeur A a récupéré, il reprend son rôle
de routeur maître.
Module 1 : mise en œuvre des réseaux commutés Page 130 |
6. Implémentation de la haute disponibilité
6.4. Virtual Router Redundancy Protocol (VRRP) :
6.4.3. Scénario VRRP (1) - Processus de transition
Etape Description Notes
1. Le routeur A est le maître courant, aussi il transmet des Router A est le seul équipement qui transmet
annonces toutes les secondes par défaut. des annonces.
2. Le routeur A est défaillant. Arrêt des annonces.
3. Le routeur B et le routeur C ne reçoivent plus d'annonces et Par défaut, le "down interval" est de 3
attendent que le "down interval" expire avant de passer à l'état secondes plus le temps de décalage.
maître.
4. Comme le temps de décalage est inversement proportionnel à Le temps décalage pour le routeur B est égal à
la priorité, le "down interval" du routeur B est inférieur à (256 – 200) / 256 qui est approximativement
celui du routeur C. Le routeur B a un "down interval" qui est égal à 0,2 secondes.
approximativement de 3,2 secondes. Le routeur C a un "down Le décalage pour le routeur C est égal à (256 –
interval" qui approximativement de 3,6 secondes. 100) / 256 qui est approximativement égal à
0,6 secondes.
5. Le routeur B passe à l'état maître après 3,2 secondes et ---
commence à transmettre des annonces.
6. Le routeur C reçoit des annonces du nouveau maître aussi il ---
remet à zéro son "down interval" et reste à l'état secours.
SwitchA(config)#interface fa0/17
SwitchA(config-if)#vrrp 1 ip 192.168.1.3
SwitchA(config-if)#vrrp 1 priority 150
SwitchA(config-if)#vrrp 1 authentication md5 key-string mykey
SwitchB(config-if)#interface fa0/19
SwitchB(config-if)#vrrp 1 ip 192.168.1.3
SwitchB(config-if)#vrrp 1 authentication md5 key-string mykey
Vérification : sh vrrp
Hello : 3s
Dead : 10s (temps à partir duquel un AVF sera dead, son adresse mac sera
associée à un autre AVF
Redirect (Temps à partir duquel on arrêtera de rediriger l’adresse mac d’une
AVF dead vers une autre AVF ): 600s
Timeout (Temps à partir duquel un routeur est considéré comme inactif, son
adresse MAC ne sera plus utilisée) : 14,400s (4 heures), doit être supérieur au
temps de conservation des entrées ARP des clients.
GLBP active virtual gateway (AVG): Les membres d'un groupe GLBP élisent une passerelle pour être l'AVG du
groupe. Les autres membres du groupe fournissent un AVG de secours, si l'AVG devient indisponible. L'AVG
affecte une adresse MAC virtuelle à chaque membre du groupe GLBP.
GLBP active virtual forwarder (AVF): Chaque passerelle assume la responsabilité d'acheminement des paquets
qui sont transmis vers l'adresse MAC virtuelle par l'AVG. L'adresse MAC virtuelle affectée à cette passerelle par
l'AVG. Ces passerelles sont connues comme AVFs pour leurs adresses MAC virtuelles.
GLBP communication: Les membres GLBP communiquent entre elles au travers de messages hello transmis
toutes les 3 secondes vers l'adresse multicast 224.0.0.102, port UDP (User Datagram Protocol) 3222.
Le routeur A agit comme l'AVG. Le routeur A s'est affecté l'adresse MAC virtuelle MAC
0007.b400.0101.
Le routeur B agit comme un AVF pour l'adresse MAC virtuelle 0007.b400.0102 qui lui a été
affectée par le routeur A.
La passerelle par défaut de Client 1 est le routeur A.
La passerelle par défaut de Client 2 est le routeur B sur la base de l'affectation de l'adresse MAC
virtuelle.
SwitchA(config)#interface f0/17
SwitchA(config-if)#glbp 1 ip 192.168.1.3
SwitchA(config-if)#glbp 1 priority 150
SwitchA(config-if)#glbp 1 preempt
SwitchA(config-if)#glbp 1 authentication md5 key-string
mypass
SwitchB(config-if)#interface f0/19
SwitchB(config-if)#glbp 1 ip 192.168.1.3
SwitchB(config-if)#glbp 1 preempt
SwitchB(config-if)#glbp 1 authentication md5 key-string
mypass
Vérification:
Module 1 : mise en œuvre des réseaux commutés Page 145 |
7. Sécurisation du
réseau de type Campus
ACCES
Module 1 : mise en œuvre des réseaux commutés Page 149 |
7. Sécurisation du réseau de type Campus
7.1. Problématique de la sécurité dans un réseau (4/19):
Les attaques réseau les plus répandues:
Intrusion
IP&MAC address Spoofing Attacks (usurpation d’adresses MAC)
Rogue DHCP server
ARP spoofing (Man-in-the-Middle) Attack
Le hacker se comporte
maintenant comme la
machine avec la MAC B
• Les paquets Broadcast, multicast et unicast sont inondés sur tous les ports.
• Cette inondation de paquets peut augmenter l’utilisation du CPU et réduire la
performance du switch.
Module 1 : mise en œuvre des réseaux commutés Page 158 |
7. Sécurisation du réseau de type Campus
7.1. Problématique de la sécurité dans un réseau (13/19):
MAC Flooding Attack
Connexion TCP
Inondation TCP
Un ver informatique (en anglais worm) est un programme qui peut s’auto-
reproduire et se déplacer à travers un réseau.
Social engineering
Password cracking
TCP Keepalives aide à terminer les connexions TCP lorsque l’hôte distant ne
répond pas ou à cesser le processus TCP.
Commande pour activer :
service tcp−keepalive−in
service tcp−keepalive−out
en mode de configuration globale
TCP intercept
TCP permet d’éviter les attaques TCP SYN flood qui consistent à saturer les
ressources de l’équipement visé.
Etape 2 : Mode d’authentification locale
!------- terminaux virtuels
R1(config)# line vty 0 4
R1(config-line)# login local
Etape 2 : Mode d’authentification locale
!------- terminaux virtuels
R1(config)# line vty 0 4
R1(config-line)# login local
Une fois le routeur acquis, il convient de définir une politique de déploiement et de mise
en œuvre. Cette politique devra tenir compte de son installation, de sa configuration et de
sa
mise en service. Par exemple, il doit être placé dans un endroit sécurisé (accès protégé),
derrière un dispositif de protection comme un pare-feu par exemple. Il doit être testé avant
sa mise en production. En cas de problème, on doit pouvoir revenir à la configuration de
départ
sans qu'il
Module y ait
1 : mise en d'impact sur le système
œuvre des réseaux commutésd'information ou sur le réseau. Page 178 |
7. Sécurisation du réseau de type Campus
7.5. Implémentation des politiques de sécurité (2/5) :
3- Politique des mots de passe
Les switchs offrent en général plusieurs types et niveaux d'accès (telnet, ligne
virtuelle (vty), http, ligne auxiliaire, mode enable, mode de configuration globale,
etc.). Chaque type d'accès
peut être protégé par un mot de passe. Une politique des mots de passe doit être
définie et appliquée pour éviter leur compromission.
les mots de passe doivent être changés suivant une périodicité
Ils doivent être forts, c'est à dire composé des chiffres, caractères spéciaux
(@§!&#), majuscules et minuscules.