CCNA Exploration - Commutation de réseau local et sans fil. Chapitre 2- Concepts et Configuration de Base de la Commutation

Transcription

1 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 1 sur 48 CCNA Exploration - Commutation de réseau local et sans fil Chapitre 2- Concepts et Configuration de Base de la Commutation 2.0-Présentation du Chapitre Dans ce chapitre, vous allez faire appel aux connaissances acquises dans le cours «CCNA Exploration 4.0 : Notions de base sur les réseaux». Vous réviserez et consoliderez ces connaissances au moyen d exercices pratiques approfondis. Vous étudierez quelquesunes des principales menaces malveillantes au niveau des commutateurs et apprendrez à activer un commutateur avec une configuration initiale sécurisée. 2.1-Présentation des Réseaux Locaux Ethernet/ Principaux Eléments des Réseaux Ethernet/802.3 Page 1 : Dans cette rubrique, vous découvrirez comment les composants clés de la norme Ethernet jouent un rôle primordial dans la conception et la mise en œuvre de réseaux commutés. Vous étudierez la manière dont les communications Ethernet fonctionnent et dont les commutateurs interviennent dans le processus de communication. CSMA/CD Les signaux Ethernet sont transmis à tous les hôtes connectés au réseau local au moyen d un ensemble de règles spécial qui permet de déterminer quelle station peut avoir accès au réseau. L ensemble de règles auquel Ethernet a recours est fondé sur la technologie détection de porteuse avec accès multiple (CSMA/CD) de la norme IEEE. Vous vous souvenez peut-être que, dans le cours «CCNA Exploration : Notions de base sur les réseaux», nous avons constaté que la technologie CSMA/CD n est employée que dans le cadre d une communication bidirectionnelle non simultanée, généralement utilisée dans des concentrateurs. Les commutateurs bidirectionnels simultanés ne font pas appel à cette technologie. Écoute de porteuse Avec la méthode d accès CSMA/CD, tous les périphériques réseau qui ont des messages à envoyer doivent les écouter avant de les transmettre. Si un périphérique détecte un signal provenant d un autre périphérique, il patiente un certain temps avant d essayer de transmettre un message. Si aucun trafic n est détecté, le périphérique transmet son message. Lorsque la transmission a lieu, le périphérique continue d écouter le trafic ou les collisions survenant sur le réseau local. Une fois le message envoyé, le périphérique revient au mode d écoute par défaut.

2 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 2 sur 48 Accès multiple Si la distance entre les périphériques est telle que la latence des signaux d un périphérique implique que les signaux ne sont pas détectés par un deuxième périphérique, ce dernier peut, lui aussi, commencer à transmettre son message. Les supports disposent désormais de deux périphériques qui transmettent simultanément des signaux. Les messages sont propagés sur les supports jusqu à ce qu ils se rencontrent. À ce stade, les signaux se mélangent, et les messages sont détruits. Une collision se produit. Bien que les messages soient endommagés, les signaux restants désordonnés continuent à se propager sur les supports. Détection de collisions Lorsqu un périphérique est en mode d écoute, il peut détecter à quel moment une collision a lieu sur les supports partagés puisque tous les périphériques sont en mesure de détecter si l amplitude du signal excède le niveau normal. En cas de collision, les autres périphériques en mode d écoute, ainsi que tous les périphériques émetteurs, détectent l augmentation d amplitude des signaux. Chaque périphérique qui émet continue de transmettre pour s assurer que tous les périphériques du réseau détectent la collision. Signal de congestion et interruption aléatoire Dès qu une collision est détectée, les périphériques émetteurs envoient un signal de congestion. Le signal de congestion informe les autres périphériques d une collision pour leur permettre d appeler un algorithme d interruption. Cet algorithme demande à tous les périphériques de cesser leur transmission pendant un laps de temps aléatoire, ce qui permet d atténuer les signaux de collision. Une fois le délai expiré sur un périphérique, ce dernier se remet en mode d écoute avant transmission. Une période d interruption aléatoire garantit que les périphériques impliqués dans la collision ne tentent pas d envoyer leur trafic en même temps, ce qui inciterait le processus à se reproduire dans son intégralité. Néanmoins, au cours de la période d interruption, il est possible qu un troisième périphérique puisse transmettre ses messages avant que les deux autres impliqués dans la collision n aient une chance de retransmettre leur trafic.

3 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 3 sur 48 Page 2 : Communications Ethernet Citez en référence la zone Communication Ethernet sélectionnée dans la figure. Les communications dans un réseau local commuté surviennent sous trois formes : monodiffusion, diffusion et multidiffusion : Monodiffusion : communication dans laquelle une trame est transmise depuis un hôte vers une destination spécifique. Ce mode de transmission nécessite simplement un expéditeur et un récepteur. La transmission monodiffusion est la forme de transmission prédominante adoptée sur les réseaux locaux et sur Internet. HTTP, SMTP, FTP et Telnet sont des exemples de transmission monodiffusion. Diffusion : communication dans laquelle une trame est transmise d une adresse vers toutes les autres adresses existantes. Un seul expéditeur intervient dans ce cas, mais les informations sont transmises à tous les récepteurs connectés. La transmission par diffusion est un incontournable si vous envoyez le même message à tous les périphériques sur le réseau local. Un exemple de diffusion est la requête de résolution d adresse que le protocole ARP (Address Resolution Protocol) transmet à tous les ordinateurs sur un réseau local. Multidiffusion : communication dans laquelle une trame est transmise à un groupe spécifique de périphériques ou de clients. Les clients de transmission multidiffusion doivent être membres d un groupe de multidiffusion logique pour recevoir les informations. Les transmissions vidéo et vocales employées lors de réunions professionnelles collaboratives en réseau sont des exemples de transmission multidiffusion. Trame Ethernet Cliquez sur le bouton Trame Ethernet dans la figure. Le premier cours proposé (CCNA Exploration : Notions de base sur les réseaux) décrivait de manière détaillée la structure de la trame Ethernet. Revenons un moment sur ce sujet. La structure de trame Ethernet ajoute des en-têtes et des queues de bande autour de l unité de données de protocole (PDU) de la couche 3 afin d encapsuler le message transmis. L en-tête et la queue de bande Ethernet disposent tous les deux de plusieurs sections (ou champs) d informations que le protocole Ethernet exploite. La figure illustre la structure de la norme de trame Ethernet actuelle, soit la norme révisée IEEE (Ethernet). Champs Préambule et Délimiteur de début de trame Le champ Préambule à 7 octets et le champ Délimiteur de début de trame (SFD) à 1 octet sont utilisés à des fins de synchronisation entre les périphériques d envoi et de réception. Les huit premiers octets de la trame servent à attirer les nœuds de réception. Les premiers octets demandent essentiellement aux récepteurs de se préparer à recevoir une nouvelle trame. Champ Adresse MAC de destination Ce champ de 6 octets identifie l adresse du destinataire concerné. Cette adresse est utilisée par la couche 2 pour aider un périphérique à déterminer si une trame lui est adressée. L adresse de la trame est comparée à l adresse MAC du périphérique. Si une correspondance est établie, le périphérique accepte la trame.

4 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 4 sur 48 Champ Adresse MAC source Le champ Adresse MAC source (6 octets) identifie la carte réseau ou l interface d origine de la trame. Les commutateurs utilisent cette adresse pour les ajouter à leurs tables de recherche. Champ Longueur/Type Ce champ de 2 octets définit la longueur exacte du champ de données de la trame. Ce champ est utilisé par la suite dans le cadre de la séquence de contrôle de trame (FCS) pour s assurer que le message a été reçu comme il se doit. Vous ne pouvez entrer qu une longueur ou un type de trame dans ce champ. Si le champ a pour but de désigner un type, le champ Type indique alors quel protocole est mis en place. Lorsqu un nœud reçoit une trame et que le champ Longueur/Type désigne un type, le nœud détermine quel protocole de couche supérieure est présent. Si la valeur de deux octets est égale ou supérieure à la valeur hexadécimale 0x0600 ou 1536 en notation décimale, le contenu du champ de données est décodé conformément au protocole indiqué. Si la valeur de deux octets est inférieure à 0x0600, elle représente alors la longueur des données au sein de la trame. Champs de données et remplissage Ces deux champs de 46 à octets contiennent les données encapsulées d une couche supérieure, ce qui correspond à une unité de données de protocole de la couche 3 ou à un paquet IPv4 pour employer un terme plus courant. Toutes les trames doivent afficher une longueur d au moins 64 octets (une longueur minimale facilite la détection des collisions). Si un paquet de petite taille est encapsulé, le champ de remplissage est utilisé pour augmenter la trame et la ramener à sa taille minimale. Champ Séquence de contrôle de trame Le champ de séquence de contrôle de trame (4 octets) permet de détecter les erreurs survenues dans une trame. Il fait appel à un contrôle par redondance cyclique (CRC). Le périphérique d envoi inclut les résultats d un contrôle par redondance cyclique dans le champ Séquence de contrôle de trame de la trame. Le périphérique de réception reçoit la trame et procède à un contrôle par redondance cyclique pour rechercher des erreurs. Si les calculs correspondent, aucune erreur n est détectée. Dans le cas contraire, la trame est abandonnée. Adresse MAC Cliquez sur le bouton Adresse MAC dans la figure. Nous avons étudié le concept d adresse MAC dans le cours «CCNA Exploration : Notions de base sur les réseaux». Une adresse MAC Ethernet est une valeur binaire de 48 bits exprimée sur 12 chiffres hexadécimaux. Le format des adresses peut apparaître sous une forme semblable à A-3C-78-00, 00:05:9A:3C:78:00 ou A3C Tous les périphériques connectés à un réseau local Ethernet présentent des interfaces dotées d une adresse MAC. La carte réseau se sert de l adresse MAC pour déterminer si un message doit être transmis aux couches supérieures à des fins de traitement. L adresse MAC est codée en permanence dans une puce de mémoire morte sur une carte réseau. Le terme employé pour désigner ce type d adresse MAC est «adresse fixe». Certains constructeurs autorisent la modification locale de l adresse MAC. L adresse MAC se compose de l identifiant unique d organisation (OUI) et du numéro d affectation du constructeur. Organizational Unique Identifier (identifiant unique d organisation) L identifiant d organisation constitue la première partie de l adresse MAC. Il est caractérisé par une longueur de 24 bits et identifie le fabricant de la carte réseau. L organisme chargé de réguler l affectation des numéros d identifiant d organisation est l IEEE (Institute of Electrical and Electronics Engineers). L identifiant unique d organisation contient 2 bits qui n ont de sens que s ils sont utilisés dans l adresse de destination comme suit :

5 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 5 sur 48 Bit de diffusion ou multidiffusion : indique à l interface de réception que la trame est destinée à l ensemble ou à un groupe de stations d extrémité sur le réseau local. Bit d adresse administrée localement : s il est possible de modifier localement l adresse MAC du constructeur, vous devez alors définir ce bit. Numéro d affectation constructeur Partie de l adresse MAC qui concerne le constructeur. Sa longueur est de 24 bits et elle identifie de manière unique le matériel Ethernet. Il peut désigner une adresse fixe ou être modifié au moyen du logiciel indiqué par le bit local. Page 3 : Paramètres bidirectionnels Deux types de paramètres bidirectionnels sont employés pour les communications dans un réseau Ethernet : bidirectionnel non simultané et bidirectionnel simultané. La figure illustre les deux paramètres bidirectionnels disponibles dans les équipements réseau modernes. Bidirectionnel non simultané : la communication bidirectionnelle non simultanée repose sur un flux de données unidirectionnel où l envoi et la réception des données n ont pas lieu simultanément. Ceci s apparente à la manière dont les talkies-walkies ou les radios bidirectionnelles fonctionnent puisqu une seule personne est autorisée à parler à la fois. Si une personne prend la parole au même moment qu une autre, il y a collision. C est pourquoi la communication bidirectionnelle non simultanée met en œuvre la technologie CSMA/CD afin de mieux réduire les risques de collision et les détecter dès qu ils surviennent. Le temps d attente qu exigent en permanence les communications bidirectionnelles non simultanées pose des problèmes de performance puisque les données ne peuvent circuler que dans un sens à la fois. Les connexions bidirectionnelles non simultanées se rencontrent généralement dans des équipements anciens, tels que des concentrateurs. Les nœuds reliés aux concentrateurs qui partagent leur connexion avec le port d un commutateur doivent fonctionner en mode bidirectionnel non simultané, car les ordinateurs finaux doivent être capables de détecter des collisions. Les nœuds doivent opérer en mode bidirectionnel non simultané si la carte réseau ne peut être configurée pour des opérations bidirectionnelles simultanées. Dans ce cas, le port du commutateur fonctionne également par défaut en mode bidirectionnel non simultané. Du fait de ces restrictions, la communication bidirectionnelle simultanée a remplacé la communication bidirectionnelle non simultanée dans la plupart des équipements. Bidirectionnel simultané : dans le cadre de la communication bidirectionnelle simultanée, le flux de données est bidirectionnel, de sorte que les données peuvent être envoyées et reçues de manière simultanée. La prise en charge bidirectionnelle améliore les performances en réduisant le temps d attente entre les transmissions. La majorité des cartes réseau Ethernet, Fast Ethernet et Gigabit Ethernet vendues à l heure actuelle offrent des fonctions bidirectionnelles simultanées. En mode bidirectionnel simultané, le circuit de détection de collision est désactivé. Les trames transmises par les deux nœuds finaux connectés ne peuvent entrer en collision puisque ces derniers utilisent deux circuits distincts sur le câble réseau. Chaque connexion bidirectionnelle simultanée utilise un seul port. Les connexions bidirectionnelles simultanées nécessitent un commutateur qui prend en charge une connexion bidirectionnelle simultanée ou directe entre les deux nœuds qui eux-mêmes prennent individuellement en charge le mode bidirectionnel simultané. Les nœuds reliés directement à un port de commutateur dédié par l entremise de cartes réseau prenant en charge le mode bidirectionnel simultané doivent être connectés à des ports de commutateur configurés pour fonctionner en mode bidirectionnel simultané. L efficacité d une configuration Ethernet avec concentrateur standard et partagée est généralement évaluée de 50 à 60 pour cent de la bande passante de 10 Mbits/s. Par comparaison, une configuration Fast Ethernet bidirectionnelle simultanée offre une efficacité de 100 pour cent dans les deux sens (100 Mbits/s à la transmission et à la réception).

6 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 6 sur 48 Page 4 : Paramètres du port de commutateur Vous devez configurer un port sur un commutateur à l aide de paramètres bidirectionnels qui correspondent au type de support. Vous apprendrez à configurer des paramètres bidirectionnels plus loin dans ce chapitre. Les commutateurs Cisco Catalyst présentent trois paramètres : L option auto définit l auto-négociation pour le mode bidirectionnel. Avec l auto-négociation activée, les deux ports communiquent entre eux pour convenir du meilleur mode opératoire. L option full définit le mode bidirectionnel simultané. L option half définit le mode bidirectionnel non simultané. Pour les ports Fast Ethernet et 10/100/1000, la valeur par défaut est auto. Pour les ports 100BASE-FX, la valeur par défaut est full. Les ports 10/100/1000 fonctionnent soit en mode bidirectionnel non simultané, soit en mode bidirectionnel simultané lorsqu ils sont définis à 10 ou 100 Mbits/s. Par contre, à Mbits/s, ils fonctionnent en mode bidirectionnel simultané. Remarque : l auto-négociation peut produire des résultats inattendus. Par défaut, en cas d échec de l auto-négociation, le commutateur Catalyst définit le port de commutateur correspondant en mode bidirectionnel non simultané. Ce type d échec survient quand un périphérique relié ne prend pas en charge l auto-négociation. Si le périphérique est manuellement configuré pour fonctionner en mode bidirectionnel non simultané, il adopte le mode par défaut du commutateur. En revanche, des erreurs peuvent survenir au cours de l auto-négociation si vous avez manuellement configuré le périphérique en mode bidirectionnel simultané. L emploi du mode bidirectionnel non simultané à une extrémité et du mode bidirectionnel simultané à l autre entraîne des erreurs de collision à l extrémité en mode bidirectionnel non simultané. Pour éviter cette situation, définissez manuellement les paramètres bidirectionnels du commutateur afin qu ils correspondent au périphérique connecté. Si le port de commutateur est en mode bidirectionnel simultané et le périphérique relié en mode bidirectionnel non simultané, recherchez les erreurs de séquence de contrôle de trame (FCS) sur le port en mode bidirectionnel simultané. auto-mdix Les connexions entre périphériques spécifiques, par exemple de commutateur à commutateur ou de commutateur à routeur, nécessitaient auparavant l utilisation de certains types de câbles (croisés, droits). Désormais, vous pouvez utiliser à la place la commande de configuration d interface mdix auto dans l interface de ligne de commande (ILC) pour activer la fonction auto-mdix. Lorsque vous activez cette fonction, le commutateur détecte le type de câble requis pour les connexions Ethernet cuivre, puis configure les interfaces en conséquence. Vous devez donc opter pour un câble de croisement ou un câble direct pour les connexions sur un port 10/100/1000 cuivre sur le commutateur, quel que soit le type de périphérique à l autre extrémité de la connexion. Par défaut, la fonction auto-mdix est activée sur des commutateurs dotés de la version 12.2(18)SE (ou ultérieure) du logiciel Cisco IOS. Pour les versions comprises entre 12.1(14)EA1 et 12.2(18)SE de ce même logiciel, la fonction auto-mdix est désactivée par défaut. Page 5 : Adressage MAC et tables d adresses MAC des commutateurs Les commutateurs utilisent des adresses MAC pour orienter les communications réseau via leur matrice de commutation vers le port approprié et en direction du nœud de destination. La matrice de commutation désigne les circuits intégrés et les éléments de programmation associés qui permettent de contrôler les chemins de données par le biais du commutateur. Pour qu un commutateur

7 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 7 sur 48 puisse connaître les ports à utiliser en vue de la transmission d une trame de monodiffusion, il doit avant tout savoir quels nœuds existent sur chacun de ses ports. Un commutateur détermine le mode de gestion des trames de données entrantes à l aide d une table d adresses MAC. Il crée sa table d adresses MAC en enregistrant les adresses MAC des nœuds connectés à chacun de ses ports. Dès que l adresse MAC d un nœud spécifique sur un port spécifique est enregistrée dans la table d adresses, le commutateur peut alors envoyer le trafic destiné au nœud vers le port mappé à ce dernier pour les transmissions suivantes. Lorsqu un commutateur reçoit une trame de données entrantes et que l adresse MAC de destination ne se trouve pas dans la table, il transmet la trame à l ensemble des ports, à l exception du port sur lequel elle a été reçue. Dès que le nœud de destination répond, le commutateur enregistre l adresse MAC de ce dernier dans la table d adresses à partir du champ d adresse source de la trame. Dans le cadre de réseaux dotés de plusieurs commutateurs interconnectés, les tables d adresses MAC enregistrent plusieurs adresses MAC pour les ports chargés de relier les commutateurs qui permettent de voir au-delà du nœud. En règle générale, les ports de commutateur utilisés pour connecter entre eux deux commutateurs disposent de plusieurs adresses MAC enregistrées dans la table d adresses MAC. Pour comprendre ce processus, cliquez sur les différentes étapes dans la figure. Ce processus se présente comme suit : Étape 1. Le commutateur reçoit une trame de diffusion du PC 1 sur le port 1. Étape 2. Le commutateur enregistre l adresse MAC source et le port de commutateur ayant reçu la trame dans la table d adresses. Étape 3. L adresse de destination étant une diffusion, le commutateur inonde la trame sur tous les ports, à l exception du port sur lequel il a reçu la trame. Étape 4. Le périphérique de destination réagit à la diffusion en envoyant une trame de monodiffusion à PC 1. Étape 5. Le commutateur enregistre l adresse MAC source du PC 2 et le numéro de port du commutateur ayant reçu la trame dans la table d adresses. L adresse de destination de la trame et le port qui lui est associé se trouvent dans la table d adresses MAC. Étape 6. Le commutateur peut alors transmettre les trames entre les périphériques source et de destination sans les diffuser, puisqu il dispose d entrées dans la table d adresses qui identifient les ports associés.

8 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 8 sur Considération liées à la Conception des Réseaux Ethernet/802.3 Page 1 : Dans cette rubrique, vous découvrirez toutes les instructions de conception Ethernet nécessaires pour comprendre les structures de réseau hiérarchique conçues pour les petites et moyennes entreprises. Cette rubrique étudie avant tout les domaines de collision et de diffusion, et explique dans quelle mesure ils affectent la conception de réseaux locaux. Bande passante et débit Les collisions constituent l inconvénient majeur des réseaux Ethernet Une collision se produit lorsque deux hôtes transmettent des trames simultanément. Les trames transmises au cours d une collision sont endommagées ou détruites. Les hôtes émetteurs arrêtent toute transmission pendant une période de temps aléatoire en fonction des règles Ethernet inhérentes à la technologie CSMA/CD. Sachant qu Ethernet ne permet pas de savoir quel nœud transmet des informations à un moment déterminé, nous partons du principe que les collisions se produisent lorsque plusieurs nœuds tentent d accéder au réseau. Dans le cas du traitement des collisions, la résolution d Ethernet n est pas instantanée. De plus, un nœud impliqué dans une collision ne peut entamer aucune transmission tant que le problème n est pas résolu. Au fur et à mesure que des périphériques sont ajoutés aux supports partagés, les risques de collisions augmentent. C est pourquoi il faut impérativement garder à l esprit que lorsque la bande passante du réseau Ethernet est de 10 Mbits/s, l intégralité de la bande passante est disponible pour la transmission uniquement après la résolution des collisions. Le débit net du port (soit les données réellement transmises en moyenne) est considérablement diminué et réduit à une fonction indiquant combien de nœuds souhaitent utiliser le réseau. Un concentrateur n offre aucun mécanisme permettant d éliminer ou de réduire ces collisions. La bande passante dont dispose un nœud pour transmettre est réduite d autant. Par conséquent, le nombre de nœuds partageant le réseau Ethernet a une incidence sur le débit ou la productivité du réseau. Domaines de collision Lorsque vous étendez un réseau local Ethernet dans le but de prendre en charge un plus grand nombre d utilisateurs tout en augmentant les besoins en bande passante, le risque de collision est accru. Pour diminuer le nombre de nœuds sur un segment réseau donné, vous pouvez créer des segments réseau physiques distincts appelés «domaines de collision». Le terme «domaine de collision» désigne la zone du réseau d où proviennent les trames qui entrent en collision. Tous les environnements à supports partagés, notamment ceux que vous créez au moyen de concentrateurs, sont des domaines de collision. Lorsqu un hôte est connecté à un port de commutateur, le commutateur crée une connexion dédiée. Cette connexion est interprétée comme un domaine de collision individuel puisque le trafic reste indépendant de toutes les autres formes de trafic, éliminant ainsi le risque de collision. La figure montre des domaines de collision uniques dans un environnement commuté. Par exemple, si un commutateur à douze ports est doté d un périphérique connecté à chaque port, douze domaines de collision sont créés. Comme vous le savez déjà, un commutateur crée une table d adresses MAC en mémorisant les adresses MAC des hôtes connectés à chaque port du commutateur. Lorsque deux hôtes connectés veulent communiquer, le commutateur fait appel à la table de commutation pour établir une connexion entre les ports. Le circuit est maintenu jusqu à ce que la session prenne fin. Dans la figure, les hôtes A et B cherchent à communiquer entre eux. Le commutateur crée la connexion appelée «microsegment». Ce microsegment se comporte comme si le réseau ne comprenait que deux hôtes, un hôte émetteur et un hôte récepteur, signalant le taux d utilisation maximal de la bande passante. Les commutateurs réduisent le nombre de collisions et optimisent la bande passante sur les segments réseau, puisqu ils offrent une bande passante dédiée à chacun de ces segments.

9 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 9 sur 48 Page 2 : Domaines de diffusion Si les commutateurs filtrent la plupart des trames sur la base des adresses MAC dont ils disposent, ils ne filtrent pas en revanche les trames de diffusion. Pour que d autres commutateurs du réseau local puissent bénéficier de trames diffusées, les trames de diffusion doivent être transmises par des commutateurs. Un ensemble de commutateurs interconnectés constitue un domaine de diffusion unique. Seule une entité de la couche 3, telle qu un routeur ou un réseau local virtuel, peut arrêter un domaine de diffusion de couche 3. Les routeurs et les réseaux locaux virtuels sont utilisés pour segmenter les domaines de collision et de diffusion. Le recours aux réseaux locaux virtuels pour la segmentation des domaines de diffusion sera abordé dans le chapitre suivant. Lorsqu un périphérique souhaite envoyer une diffusion de couche 2, l adresse MAC de destination de la trame contient uniquement des 1. Lorsque vous attribuez cette valeur à la destination, tous les périphériques acceptent et traitent la trame de diffusion. Le domaine de diffusion sur la couche 2 est désigné par l expression «domaine de diffusion MAC». Ce domaine comprend tous les périphériques du réseau local qui reçoivent d un hôte les trames de diffusion destinées à tous les autres ordinateurs du réseau local. C est ce qu illustre la première moitié de l animation. Quand un commutateur reçoit une trame de diffusion, il transmet la trame à chacun de ses ports, à l exception du port en réception. Chaque périphérique connecté reconnaît la trame de diffusion et la traite. L efficacité du réseau est de ce fait réduite puisque la bande passante sert à propager le trafic diffusé. Lorsque deux commutateurs sont connectés, le domaine de diffusion augmente. Dans cet exemple, une trame de diffusion est transmise à tous les ports connectés sur le commutateur Comm1. Le commutateur Comm1 est connecté au commutateur Comm2. La trame est diffusée sur tous les périphériques connectés au commutateur Comm2. C est l objet de la deuxième moitié de l animation. Page 3 : Latence du réseau La latence est le temps nécessaire à une trame ou à un paquet pour circuler entre la station source et sa destination finale. Les utilisateurs des applications réseau connaissent des problèmes de latence lorsqu ils doivent patienter de nombreuses minutes pour accéder aux données stockées dans un centre de calcul ou lorsqu un site Web prend plusieurs minutes pour se charger dans un navigateur. Il existe au moins trois causes de latence. Premièrement, le temps nécessaire à la carte réseau source pour émettre des impulsions électriques sur le câble, plus le temps nécessaire à la carte réseau de destination pour interpréter ces impulsions. Cette cause est parfois appelée «délai de carte réseau», soit généralement une microseconde pour une carte réseau 10BASE-T. Deuxièmement, le délai de propagation réel du signal traversant le câble. En règle générale, ce délai est d environ 0,556 microseconde par 100 m de câble à paires torsadées non blindées (UTP) de catégorie 5. Un câble plus long et une vitesse de propagation nominale (NVP) plus lente augmentent le délai de propagation. Enfin, du temps de latence est ajouté en fonction des périphériques réseau qui se trouvent sur le chemin entre les deux périphériques. Il s agit des périphériques de couche 1, 2 ou 3. Dans l animation, vous pouvez distinguer ces trois éléments qui contribuent à la latence, à mesure que la trame circule sur le réseau. La latence ne dépend pas uniquement de la distance et du nombre de périphériques. Par exemple, si trois commutateurs correctement configurés séparent deux ordinateurs, ces derniers subiront peut-être moins de latence que s ils étaient séparés par deux routeurs configurés comme il se doit puisque les routeurs gèrent des fonctions plus longues et plus complexes. Par exemple, un routeur doit analyser des données de la couche 3 tandis que les commutateurs analysent simplement les données de la couche 2. Du

10 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 10 sur 48 fait que les données de la couche 2 apparaissent plus tôt dans la structure de trame que les données de la couche 3, les commutateurs peuvent traiter la trame plus rapidement. Les commutateurs prennent également en charge les taux de transmission élevés des réseaux gérant voix, données et vidéo grâce à l emploi de circuits intégrés à application spécifique (ASIC) qui offrent une prise en charge du matériel pour un grand nombre de tâches réseau. D autres fonctions de commutation, telles que la mise en mémoire tampon axée sur les ports, la qualité de service (QS) par port et la gestion des encombrements permettent également de réduire la latence du réseau. La latence constatée sur les commutateurs peut également être liée à une matrice de commutation excédentaire. Beaucoup de commutateurs de base ne disposent pas d un débit interne suffisant pour gérer simultanément les fonctions de la bande passante sur tous les ports. Le commutateur doit être capable de gérer le débit de données maximal attendu sur le réseau. Avec l évolution constante des technologies de commutation, la latence observée au niveau du commutateur ne pose plus aucun problème. La principale cause de latence constatée sur un réseau local commuté est davantage liée aux supports transmis, aux protocoles de routage employés et aux applications exécutées sur le réseau. Page 4 : Encombrement du réseau Le principal intérêt de segmenter un réseau local en parties plus infimes est d isoler le trafic et d optimiser l utilisation de la bande passante pour chaque utilisateur. Sans segmentation, un réseau local est vite submergé par le trafic et les collisions. La figure présente un réseau encombré qui héberge plusieurs nœuds et un concentrateur. Les causes d encombrement les plus courantes sont les suivantes : Technologies réseau et informatiques de plus en plus puissantes. Aujourd hui, les unités centrales (UC), les bus et les périphériques sont bien plus rapides et puissants que ceux employés dans les premiers réseaux locaux. Ils sont donc capables de transmettre et de traiter davantage de données avec des débits accrus sur le réseau. Volume de trafic réseau accru. De nos jours, le trafic réseau est un phénomène plus fréquent, puisque des ressources distantes sont nécessaires pour mener à bien des tâches élémentaires. Qui plus est, les messages de diffusion, tels que les requêtes de résolution d adresse émises par le protocole ARP, peuvent nuire aux performances des stations d extrémité et des réseaux. Applications à bande passante élevée. Les applications logicielles sont constamment enrichies de fonctions et exigent une consommation de bande passante de plus en plus élevée. Qu il s agisse de publication assistée par ordinateur, de conception technique, de vidéo à la demande (VOD), d e-learning (apprentissage en ligne) et de lecture vidéo en continu, toutes les applications nécessitent une puissance et une vitesse de traitement considérables.

11 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 11 sur 48 Page 5 : Segmentation des réseaux locaux Les réseaux locaux sont segmentés en un plus petit nombre de domaines de collision et de diffusion au moyen de routeurs et de commutateurs. Des ponts étaient auparavant utilisés, mais ce type d équipement réseau est rarement employé dans un réseau local commuté. La figure illustre les routeurs et les commutateurs qui segmentent le réseau local. Dans cette figure, le réseau est segmenté en deux domaines de collision à l aide du commutateur. Placez votre pointeur sur Domaine de collision pour afficher la taille de chaque domaine de collision. Cependant, dans la figure, le domaine de diffusion couvre la totalité du réseau. Placez votre pointeur sur le domaine de diffusion pour afficher sa taille. Ponts et commutateurs Malgré les nombreux attributs que les ponts et les commutateurs ont en commun, plusieurs éléments permettent de distinguer ces technologies. Les ponts servent généralement à segmenter un réseau local en quelques segments plus petits. Les commutateurs permettent traditionnellement de segmenter un réseau local de taille importante en plusieurs petits segments. Les ponts ne disposent que d un nombre limité de ports pour la connectivité de réseau local, les commutateurs en possèdent un grand nombre. Routeurs Bien que le commutateur de réseau local réduise la taille des domaines de collision, tous les hôtes connectés à ce même commutateur appartiennent toujours au même domaine de diffusion. Du fait que, par défaut, les routeurs ne transmettent pas le trafic de diffusion, vous pouvez y recourir pour créer des domaines de diffusion. La création de domaines de diffusion supplémentaires plus réduits avec un routeur a pour effet de diminuer le trafic de diffusion et garantit une bande passante plus importante pour les communications monodiffusion. Chaque interface de routeur est reliée à un réseau indépendant comprenant le trafic de diffusion au sein du segment LAN duquel il provient. Cliquez sur le bouton Domaine de collision et de diffusion contrôlé pour afficher les effets liés à l introduction de routeurs et d autres commutateurs dans le réseau. Placez votre pointeur sur les deux zones de texte pour identifier les différents domaines de diffusion et de collision.

12 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 12 sur Considérations liées à la conception des Réseaux Locaux Page 1 : Contrôle de la latence du réseau Lorsque vous créez un réseau en vue de réduire la latence, vous devez tenir compte de la latence que génère chaque périphérique sur le réseau. Les commutateurs peuvent créer une latence sur un réseau s ils apparaissent excédentaires sur un réseau surchargé. Par exemple, si un commutateur au niveau du cœur du réseau doit prendre en charge 48 ports offrant chacun une capacité d exécution de l ordre de 1000 Mbits/s en mode bidirectionnel simultané, il doit permettre la prise en charge d un débit interne d environ 96 Gbits/s s il lui faut maintenir une vitesse filaire globale sur tous les ports en même temps. Les exigences de débit indiquées dans cet exemple sont caractéristiques des commutateurs au niveau du cœur et non des commutateurs de niveau d accès. L usage de périphériques de couche supérieure peut également accroître la latence sur un réseau. Lorsqu un périphérique de la couche 3 (par exemple, un routeur) doit analyser des paramètres d adressage de couche 3 contenus dans la trame, il doit aller plus loin dans l examen de la trame qu un périphérique de couche 2, ce qui rallonge le temps de traitement. En limitant l usage de périphériques de couche supérieure, vous pouvez contribuer à la réduction de la latence du réseau. Néanmoins, un usage adapté des périphériques de la couche 3 permet d éviter des conflits liés au trafic de diffusion dans un domaine de diffusion important ou un taux de collision élevé dans un domaine de collision volumineux. Suppression des goulots d étranglement Les goulots d étranglement dans un réseau sont des emplacements où un encombrement trop élevé peut ralentir les performances du réseau. Cliquez sur le bouton Suppression des goulots d étranglement du réseau dans la figure. Dans cette figure qui illustre six ordinateurs connectés à un commutateur, un seul serveur est également relié au même commutateur. Chacune des stations de travail, ainsi que le serveur, sont tous connectés au moyen d une carte réseau de Mbits/s. Que se passe-t-il quand les six ordinateurs tentent tous d accéder simultanément au serveur? Chaque station de travail bénéficie-telle d un accès dédié de Mbits/s au serveur? Non, tous les ordinateurs doivent partager la connexion Mbits/s entre le serveur et le commutateur. Par effet cumulé, les ordinateurs peuvent bénéficier d une connexion à Mbits/s avec le commutateur. Si chaque connexion était exploitée à pleine capacité, chaque ordinateur pourrait utiliser uniquement 167 Mbits/s, soit un sixième de la bande passante à Mbits/s. Pour réduire le goulot d étranglement au niveau du serveur, vous pouvez installer des cartes réseau supplémentaires, ce qui permet d augmenter la bande passante globale que le serveur est en mesure de recevoir. La figure montre cinq cartes réseau sur le serveur et environ cinq fois la bande passante. La même logique s applique aux topologies réseau. Lorsque des commutateurs dotés de plusieurs nœuds sont interconnectés via une connexion Mbits/s unique, un goulot d étranglement est créé à ce point d interconnexion unique. Des liaisons à plus forte capacité (par exemple, mise à niveau de connexions de 100 Mbits/s à 1000 Mbits/s) et l utilisation de plusieurs liaisons permettant d optimiser les technologies d agrégation (par exemple, en associant deux liaisons comme si elles ne formaient qu une afin de doubler la capacité d une connexion) peuvent contribuer à réduire les goulots d étranglement générés par les liaisons entre commutateurs et les liaisons de routage. Bien que la configuration de l agrégation dépasse le cadre de ce cours, vous devez impérativement tenir compte des fonctions d un périphérique au moment d évaluer les besoins d un réseau. Combien de ports y a-t-il et quelle vitesse le périphérique peut-il offrir? Quel est le débit interne du périphérique? Peut-il gérer les charges de trafic prévues si l on tient compte de son emplacement sur le réseau? Page 2 :

13 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 13 sur Transmission des Trame à l aide d un Commutateur Méthodes de Transmission par Commutateur Méthodes de transmission de paquets Dans cette rubrique, vous apprendrez comment les commutateurs transmettent des trames Ethernet sur un réseau. Les commutateurs peuvent opérer selon différents modes qui peuvent tous avoir des effets positifs et négatifs. Auparavant, les commutateurs faisaient appel aux méthodes de transmission pour la commutation des données entre des ports réseau : commutation Store and Forward (stockage et retransmission) ou cut-through (direct). Vous pouvez cliquer sur le bouton Méthodes de transmission par commutateur pour afficher ces deux méthodes. Néanmoins, le mode Store and Forward est la seule méthode de transmission employée avec les modèles actuels des commutateurs Cisco Catalyst. Commutation par stockage et retransmission (store and forward) Dans le cas de la commutation Store and Forward, lorsque le commutateur reçoit la trame, il stocke les données dans des mémoires tampons jusqu à ce que vous ayez reçu l intégralité de la trame. Au cours de ce processus de stockage, le commutateur recherche dans la trame des informations concernant sa destination. Dans le cadre de ce même processus, le commutateur procède à un contrôle d erreur à l aide du contrôle par redondance cyclique (CRC) de l en-queue de la trame Ethernet. Le contrôle par redondance cyclique (CRC) a recours à une formule mathématique fondée sur le nombre de bits (de uns) dans la trame afin de déterminer si la trame reçue possède une erreur. Une fois l intégrité de la trame confirmée, celle-ci est transférée via le port approprié vers la destination. En cas d erreur détectée au sein de la trame, le commutateur ignore la trame. L abandon des trames avec erreurs réduit le volume de bande passante consommé par les données altérées. La commutation Store and Forward est nécessaire pour l analyse de la qualité de service (QS) sur des réseaux convergés où la classification des trames pour la priorité du trafic est indispensable. Par exemple, les flux de données de voix sur IP doivent être prioritaires sur le trafic Web. Cliquez sur le bouton Commutation par stockage et retransmission (store and forward). Commutation cut-through Dans le cas de la commutation cut-through, le commutateur agit sur les données à mesure qu il les reçoit, même si la transmission n est pas terminée. Le commutateur met une quantité juste suffisante de la trame en tampon afin de lire l adresse MAC de destination et déterminer ainsi le port auquel les données sont à transmettre. L adresse MAC de destination est située dans les six premiers octets de la trame à la suite du préambule. Le commutateur recherche l adresse MAC de destination dans sa table de commutation, détermine le port d interface de sortie et transmet la trame vers sa destination via le port de commutateur désigné. Le commutateur ne

14 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 14 sur 48 procède à aucun contrôle d erreur dans la trame. La commutation cut-through est bien plus rapide que la commutation Store and Forward, puisque le commutateur n a ni à attendre que la trame soit entièrement mise en mémoire tampon, ni besoin de réaliser un contrôle d erreur. En revanche, du fait de l absence d un contrôle d erreur, elle transmet les trames endommagées sur le réseau. Les trames qui ont été altérées consomment de la bande passante au cours de leur transmission. La carte de réseau de destination ignore ces trames au bout du compte. Cliquez sur le bouton Commutation cut-through pour lire l animation et consulter une démonstration du processus cut-through. Il existe deux variantes de la commutation cut-through : Commutation Fast-Forward : ce mode de commutation offre le niveau de latence le plus faible. La commutation Fast- Forward transmet un paquet immédiatement après la lecture de l adresse de destination. Du fait que le mode de commutation Fast-Forward entame la transmission avant la réception du paquet tout entier, il peut arriver que des paquets relayés comportent des erreurs. Cette situation est occasionnelle et la carte réseau de destination ignore le paquet défectueux lors de sa réception. En mode Fast-Forward, la latence est mesurée à partir du premier bit reçu jusqu au premier bit transmis. La commutation Fast-Forward est la méthode de commutation cut-through classique. Commutation Fragment-Free : en mode de commutation Fragment-Free, le commutateur stocke les 64 premiers octets de la trame avant la transmission. La commutation Fragment-Free peut être considérée comme un compromis entre la commutation Store and Forward et la commutation cut-through. La raison pour laquelle la commutation Fragment-Free stocke uniquement les 64 premiers octets de la trame est que la plupart des erreurs et des collisions sur le réseau surviennent pendant ces 64 premiers octets. La commutation Fragment-Free tente d améliorer la commutation cut-through en procédant à un petit contrôle d erreur sur les 64 premiers octets de la trame afin de s assurer qu aucune collision ne s est produite lors de la transmission de la trame. La commutation Fragment-Free offre un compromis entre la latence élevée et la forte intégrité de la commutation Store and Forward, et la latence faible et l intégrité réduite de la commutation cut-through. Certains commutateurs sont configurés pour une commutation cut-through par port. Une fois le seuil d erreurs défini par l utilisateur atteint, ils passent automatiquement en mode Store and Forward. Lorsque le nombre d erreurs est inférieur au seuil défini, le port revient automatiquement en mode de commutation cut-through Commutation Symétrique et Asymétrique Commutation symétrique et asymétrique Dans cette rubrique, vous découvrirez les caractéristiques qui différencient la commutation symétrique et asymétrique sur un réseau. La commutation symétrique ou asymétrique d un réseau local dépend de la façon dont la bande passante est allouée aux ports de commutateur. La commutation symétrique offre des connexions commutées entre les ports dotés de la même bande passante, notamment tous les ports 100 Mbits/s ou 1000 Mbits/s. Un commutateur de réseau local asymétrique assure des connexions commutées entre des ports associés à des bandes passantes différentes, par exemple entre une combinaison de ports de 10 Mbits/s, 100 Mbits/s et 1000 Mbits/s. La figure illustre les éléments qui différencient la commutation symétrique de la commutation asymétrique. Asymétrique La commutation asymétrique dédie un volume de bande passante plus important au port de commutateur d un serveur afin d éviter tout goulot d étranglement. Le trafic devient ainsi plus fluide lorsque plusieurs clients communiquent simultanément avec le même serveur. La commutation asymétrique nécessite une mise en mémoire tampon. Pour que le commutateur puisse correspondre aux divers débits de données sur des ports différents, les trames tout entières sont conservées dans la mémoire tampon et sont déplacées vers le port l une après l autre selon les besoins.

15 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 15 sur 48 Symétrique Sur un commutateur symétrique, tous les ports disposent de la même bande passante. La commutation symétrique est optimisée pour une charge de trafic raisonnablement distribuée, telle que dans un environnement de Bureau peer to peer. Un administrateur réseau doit évaluer la quantité requise de bande passante pour les connexions entre périphériques afin d adapter le flux des données des applications réseau. La plupart des commutateurs actuels sont asymétriques, car ce sont ceux qui offrent la plus grande souplesse Mise en mémoire tampon Mise en mémoire tampon axée sur les ports et partagée Comme vous l avez constaté dans une rubrique précédente, un commutateur analyse une partie ou l intégralité d un paquet avant de le transmettre à un hôte de destination en fonction de la méthode de transmission. Le commutateur stocke le paquet dans une mémoire tampon pendant une courte période. Dans cette rubrique, vous apprendrez comment deux types de mémoire tampon sont utilisés pour la transmission par commutateur. Un commutateur Ethernet peut utiliser une technique de mise en mémoire tampon pour stocker des trames avant de les transmettre. La mise en mémoire tampon peut également être une solution lorsque le port de destination est saturé suite à un encombrement et que le commutateur stocke la trame jusqu à ce qu il puisse la transmettre. Le recours à une mémoire pour le stockage des données est désigné par le terme de «mise en mémoire tampon». La mise en mémoire tampon est matériellement intégrée au commutateur et, hormis la possibilité d accroître la quantité de mémoire disponible, n offre aucune possibilité de configuration. Il existe deux méthodes de mise en mémoire tampon : axée sur les ports et partagée. Mise en mémoire tampon axée sur les ports Dans le cas de la mise en mémoire tampon axée sur les ports, les trames sont stockées dans des files d attente liées à des ports entrants spécifiques. Une trame est transmise au port sortant uniquement si toutes les trames qui la précèdent dans la file d attente ont été correctement transmises. Une seule trame peut retarder la transmission de toutes les trames en mémoire si un port de destination est saturé. Ce retard se produit, même si les autres trames peuvent être transmises à des ports de destination libres. Mise en mémoire tampon partagée La mise en mémoire tampon partagée stocke toutes les trames dans une mémoire tampon commune à tous les ports du commutateur. La capacité de mémoire tampon nécessaire à un port est allouée dynamiquement. Les trames de la mémoire tampon sont liées de manière dynamique au port de destination, ce qui permet de recevoir le paquet sur un port et de le transmettre sur un autre, sans avoir à le déplacer vers une autre file d attente. Le commutateur tient à jour une carte de liaisons entre une trame et un port, indiquant l emplacement vers lequel un paquet doit être acheminé. Cette carte est effacée dès que la trame a été transmise correctement. Le nombre de trames stockées dans la mémoire tampon est limité par la taille totale de cette dernière, mais ne se limite pas à un seul tampon du port, ce qui permet de transmettre de plus grandes trames en en supprimant un minimum. C est là une caractéristique importante de la commutation asymétrique, car les trames sont échangées entre des ports associés à des débits différents.

16 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 16 sur Commutation sur les couches 2 et 3 Page 1 : Commutation sur les couches 2 et 3 Dans cette rubrique, vous allez passer en revue le concept de commutation de couche 2 et découvrir la commutation de couche 3. Un commutateur de réseau local de couche 2 permet d effectuer une commutation et un filtrage en se basant uniquement sur l adresse MAC de la couche liaison de données (couche 2) du modèle OSI (Open System Interconnection). Un commutateur de couche 2 est entièrement transparent pour les protocoles réseau et les applications utilisateur. Rappelez-vous qu un commutateur de couche 2 génère une table d adresses MAC qu il utilise pour des décisions de transmission. Un commutateur de couche 3, tel que le commutateur Catalyst 3560, fonctionne de manière similaire à un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais, à défaut d exploiter les informations d adresses MAC de couche 2 pour toute décision en matière de transmission, un commutateur de couche 3 peut également exploiter celles des adresses IP. Un commutateur de couche 3 ne cherche pas uniquement à savoir quelles adresses MAC sont associées à chacun des ports ; il peut également identifier les adresses IP associées à ses interfaces. Il peut alors orienter le trafic sur le réseau sur la base des informations recueillies sur les adresses IP. Les commutateurs de couche 3 peuvent également exécuter des fonctions de routage de la couche 3, ce qui réduit le besoin de routeurs dédiés sur un réseau local. Parce que les commutateurs de couche 3 disposent d un matériel de commutation spécialisé, l acheminement des données est généralement aussi rapide que la commutation. Page 2 : Comparaison entre un commutateur et un routeur de couche 3 Dans la rubrique précédente, vous avez découvert que, par le biais des commutateurs de couche 3, vous pouvez examiner des informations de la couche 3 dans un paquet Ethernet et prendre ainsi des décisions en matière de transmission. Les commutateurs de couche 3 peuvent acheminer des paquets entre différents segments de réseau local de la même manière que les routeurs dédiés. Cependant, ils n éliminent pas entièrement le besoin de recourir à des routeurs sur un réseau. Les routeurs offrent des services de couche 3 que les commutateurs de couche 3 sont incapables de vous apporter. Les routeurs rendent également possible la transmission de paquets que les commutateurs de couche 3 ne permettent pas d effectuer, notamment l établissement de connexions d accès à distance sur des réseaux et des périphériques distants. Les routeurs dédiés garantissent une plus grande flexibilité pour la prise en charge des cartes réseau WAN (WIC). Ils constituent donc le choix de prédilection, et parfois le seul, pour la connexion à un réseau étendu (WAN). Les commutateurs de couche 3 proposent des fonctions de routage de base dans un réseau local et réduisent la nécessité de faire appel à des routeurs dédiés. Page 3 :

17 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 17 sur Configuration de la Gestion des Commutateurs Utilisation des Modes d interface de ligne de Commande Page 1 : Modes d interface de ligne de commande Dans cette rubrique, vous allez passer en revue les connaissances que vous avez acquises dans le cours «CCNA Exploration : Notions de base sur les réseaux» sur les divers modes de l interface de ligne de commande (ILC) et les moyens de les consulter. En matière de sécurité, le logiciel Cisco IOS séparait les sessions d exécution d après ces niveaux d accès : Mode d exécution utilisateur : permet à un utilisateur d accéder uniquement à un nombre de commandes de contrôle de base. Le mode d exécution utilisateur constitue le mode par défaut après que vous vous êtes connecté à un commutateur Cisco à partir de l interface de ligne de commande. Le mode d exécution utilisateur est identifié par l invite >. Mode d exécution privilégié : permet à une personne d accéder à toutes les commandes d un périphérique, notamment celles utilisées pour la configuration et la gestion. Vous pouvez le protéger par un mot de passe de sorte que seuls les utilisateurs autorisés puissent accéder au périphérique. Le mode d exécution privilégié est identifié par l invite #. Pour passer du mode d exécution utilisateur au mode d exécution privilégié, entrez la commande enable. Pour passer du mode d exécution privilégié au mode d exécution utilisateur, entrez la commande disable. Sur un véritable réseau, le commutateur demande le mot de passe. Entrez le mot de passe approprié. Le mot de passe n est pas configuré par défaut. La figure illustre les commandes Cisco IOS employées pour la navigation du mode d exécution utilisateur au mode d exécution privilégié, et inversement. Cliquez sur le bouton du mode d exécution utilisateur/privilégié dans la figure. Consultation des modes de configuration Après avoir choisi le mode d exécution privilégié dans le commutateur Cisco, vous pouvez accéder à d autres modes de configuration. Le logiciel Cisco IOS fait appel à une hiérarchie de commandes au sein de sa structure de modes de commande. Chaque mode de commande prend en charge des commandes Cisco IOS associées à un type d opération sur le périphérique. Il existe de nombreux modes de configuration. Pour l heure, vous allez découvrir comment explorer deux modes de configuration courants : le mode de configuration globale et le mode de configuration d interface. Cliquez sur le bouton Consultation des modes de configuration dans la figure.

18 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 18 sur 48 Mode de configuration globale L exemple démarre avec le commutateur en mode d exécution privilégié. Pour configurer les paramètres de commutation généraux, notamment le nom d hôte ou l adresse IP du commutateur servant à la gestion de ce dernier, optez pour le mode de configuration globale. Pour accéder au mode de configuration globale, entrez la commande configure terminal en mode d exécution privilégié. L invite devient (config)#. Mode de configuration d interface La configuration des paramètres d interface est une tâche courante. Pour passer du mode de configuration globale au mode de configuration d interface, entrez la commande interface <nom_interface>. L invite devient (config-if)#. Pour quitter le mode de configuration d interface, utilisez la commande exit. L invite redevient (config)# pour indiquer que vous êtes en mode de configuration globale. Pour quitter le mode de configuration globale, entrez à nouveau la commande exit. L invite devient # indiquant le mode d exécution privilégié. Page 2 : Solutions de l interface graphique utilisateur par rapport à l interface de ligne de commande Il existe plusieurs autres solutions de gestion graphique pour la gestion d un commutateur Cisco. Le recours à une interface graphique utilisateur offre une solution de gestion et de configuration des commutateurs qui ne demande aucune connaissance approfondie de l interface de ligne de commande Cisco. Cliquez sur le bouton Cisco Network Assistant dans la figure. Cisco Network Assistant L outil Cisco Network Assistant est une interface utilisateur graphique d administration réseau pour PC optimisée. Elle est conçue pour les réseaux locaux de petite et moyenne taille. Vous pouvez configurer et gérer des groupes de commutateurs ou des commutateurs autonomes. La figure présente l interface de gestion de Cisco Network Assistant. Cliquez sur le bouton de l application CiscoView dans la figure. Application CiscoView L application de gestion de périphériques CiscoView affiche une vue physique du commutateur que vous pouvez utiliser pour définir les paramètres de configuration et consulter des informations relatives à l état et aux performances du commutateur. L application CiscoView, vendue séparément, peut être une application autonome ou intégrée à une plateforme SNMP (Simple Network Management Protocol). La figure illustre l interface du gestionnaire de périphériques CiscoView Device Manager. Cliquez sur le bouton Cisco Device Manager dans la figure. Cisco Device Manager Le gestionnaire de périphériques Cisco Device Manager est un outil logiciel Web qui est stocké dans la mémoire du commutateur. Vous pouvez y faire appel pour configurer et gérer des commutateurs. Vous pouvez accéder à Cisco Device Manager depuis n importe où sur votre réseau au moyen d un navigateur Web. La figure présente son interface de gestion.

19 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 19 sur 48 Cliquez sur le bouton Gestion de réseau SNMP dans la figure. Gestion de réseau SNMP Vous pouvez gérer des commutateurs à partir d une station de gestion compatible SNMP, telle que HP OpenView. Le commutateur peut fournir des informations de gestion exhaustives et quatre groupes Remote Monitoring (RMON). La gestion de réseau SNMP est bien plus fréquente dans des réseaux d entreprise de très grande taille Utilisation de la Fonction d aide Page 1 : Aide contextuelle L interface de ligne de commande de Cisco IOS propose deux types d aide : Aide sur les termes : si vous ne vous souvenez pas d une commande dans son intégralité, mais uniquement des premiers caractères, entrez la séquence de caractères suivie d un point d interrogation (?). N insérez pas d espace avant le point d interrogation. Une liste des commandes débutant par les caractères que vous venez d entrer s affiche. Par exemple, la saisie de sh? retourne une liste de toutes les commandes commençant par la séquence de caractères «sh». Aide relative à la syntaxe des commandes : si vous n êtes pas familiarisé avec les commandes disponibles dans votre contexte actuel de l interface de ligne de commande du logiciel Cisco IOS ou si vous ne connaissez pas les paramètres requis ou disponibles pour valider une commande en particulier, entrez la commande?. Pour afficher une liste de l ensemble des commandes disponibles dans le contexte actuel, vous devez impérativement entrer un caractère?. Si vous entrez la commande? après une commande spécifique, les arguments de la commande s affichent. Si <cr> apparaît, aucun autre argument n est nécessaire exécuter la commande. Pensez surtout à inclure un espace avant le point d interrogation pour empêcher l interface de ligne de commande de Cisco IOS d effectuer une recherche par terme plutôt qu une recherche avec la syntaxe de commande. Par exemple, tapez show? pour obtenir la liste des options de commande compatibles avec la commande show. La figure illustre les fonctions d aide de Cisco. Prenons l exemple de configuration de l horloge du périphérique et observons le fonctionnement de l interface de ligne de commande. Si vous devez configurer l horloge du périphérique mais ne connaissez pas la syntaxe de la commande clock, l aide contextuelle offre un moyen de vérifier la syntaxe. L aide contextuelle permet d obtenir la commande tout entière même si vous entrez simplement la première partie de cette commande, comme cl?. Si vous entrez la commande clock suivie de la touche Entrée, un message d erreur indique que la commande est incomplète. Pour afficher les paramètres requis pour la commande clock, entrez? précédé d un espace. Dans l exemple clock?, l aide affichée montre que le mot clé set est nécessaire après clock. Si vous entrez à présent la commande clock set, un autre message d erreur signale que la commande est toujours incomplète. Ajoutez maintenant un espace et entrez la commande? pour afficher une liste des arguments de commande disponibles à cette étape pour la commande concernée. Les arguments supplémentaires requis pour la configuration de l horloge sur le périphérique s affichent : heure actuelle détaillée avec heures, minutes et secondes. Pour bénéficier d une excellente ressource sur l utilisation de l interface de ligne de commande de Cisco IOS.

20 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 20 sur 48 Page 2 : Messages d erreur de la console Les messages d erreur de la console permettent d identifier des problèmes en cas de saisie d une commande incorrecte. La figure propose des messages d erreur à titre d exemple, explique leur signification et décrit la manière de se procurer une aide s ils s affichent Accès à l historique des Commandes Page 1 : Mémoire tampon d historique des commandes Lorsque vous configurez un grand nombre d interfaces sur un commutateur, vous pouvez éviter de retaper les commandes grâce à la mémoire tampon d historique des commandes du logiciel Cisco IOS. Dans cette rubrique, vous allez apprendre à configurer la mémoire tampon d historique des commandes pour faciliter la prise en charge de vos efforts de configuration. L interface de ligne de commande de Cisco fournit un historique ou enregistrement des commandes qui ont été saisies. Cette fonction appelée «historique des commandes» est particulièrement utile, car elle permet de rappeler des commandes ou des entrées longues ou complexes. La fonction d historique des commandes vous permet d accomplir les tâches suivantes : afficher le contenu de la mémoire tampon des commandes ; définir la taille de la mémoire tampon de l historique des commandes ; rappeler les commandes entrées précédemment et stockées dans la mémoire tampon de l historique. Il existe une mémoire tampon pour chaque mode de configuration. Par défaut, l historique des commandes est activé et le système enregistre 10 lignes de commande dans sa mémoire tampon. Vous pouvez utiliser la commande show history pour afficher les commandes d exécution qui ont été récemment entrées. Page 2 : Configuration de la mémoire tampon d historique des commandes Dans les produits de réseau Cisco qui prennent en charge le logiciel Cisco IOS, l historique des commandes est activé par défaut et les dix dernières lignes de commande sont enregistrées dans la mémoire tampon de l historique.

21 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 21 sur 48 Vous pouvez désactiver l historique des commandes pour la session de terminal en cours uniquement par le biais de la commande terminal no history en mode d exécution utilisateur ou privilégié. Lorsque l historique des commandes est désactivé, le périphérique ne conserve plus les lignes de commande entrées auparavant. Pour rétablir la valeur par défaut (10 lignes) de la taille de l historique du terminal, entrez la commande terminal no history size en mode d exécution privilégié. La figure fournit une explication et un exemple de ces commandes du logiciel Cisco IOS Séquence d amorçage des Commutateur Description de la séquence d amorçage Dans cette rubrique, vous découvrirez la séquence des commandes Cisco IOS qu un commutateur exécute de l état désactivé à l affichage de l invite de connexion. Dès qu un commutateur est activé, il exécute la séquence d amorçage suivante : Le commutateur exécute le chargeur d amorçage. Il s agit d un petit programme stocké dans la mémoire NVRAM et exécuté lorsque le commutateur est activé pour la première fois. Le chargeur d amorçage effectue les opérations suivantes : Il procède à une initialisation de l unité centrale à un faible niveau. Il initialise les registres de l unité centrale qui contrôlent l emplacement auquel la mémoire physique est mappée, la quantité de mémoire et sa vitesse. Il effectue un test automatique de mise sous tension (POST) pour le sous-système de l unité centrale. Il teste la mémoire DRAM de l unité centrale et la partie du périphérique flash qui compose le système de fichiers flash. Il initialise le système de fichiers flash sur la carte système. Il importe une image du système d exploitation par défaut dans la mémoire et amorce le commutateur. Le chargeur d amorçage recherche l image Cisco IOS sur le commutateur en regardant d abord dans un répertoire portant le même nom que le fichier d image (sans l extension.bin). S il ne le trouve pas à cet emplacement, ce programme recherche chaque sousrépertoire avant de poursuivre la recherche dans le répertoire d origine. Le système d exploitation initialise ensuite les interfaces à l aide des commandes Cisco IOS disponibles dans le fichier de configuration du système d exploitation (config.text) stocké dans la mémoire flash du commutateur. Récupération après une panne système Le chargeur d amorçage fournit également un accès au commutateur si le système d exploitation est inutilisable. Il dispose d un outil de ligne de commande qui garantit l accès aux fichiers stockés dans la mémoire flash avant le chargement du système d exploitation. Sur la ligne de commande du chargeur d amorçage, vous pouvez saisir des commandes pour formater le système de fichiers flash, réinstaller l image du système d exploitation ou procéder à une récupération à partir d un mot de passe perdu ou oublié.

22 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 22 sur Préparation de la configuration du commutateur Préparation de la configuration du commutateur Le démarrage initial d un commutateur Catalyst exige que vous suiviez la procédure suivante : Étape 1. Avant de démarrer le commutateur, vérifiez les points suivants : Les câbles réseau doivent tous être fermement raccordés. Votre PC ou terminal est connecté au port de la console. Votre logiciel émulateur de terminal (par exemple, HyperTerminal) s exécute et est configuré comme il se doit. La figure illustre un PC connecté à un commutateur via le port de la console. Cliquez sur le bouton Configurer HyperTerminal dans la figure. La figure montre la configuration en bonne et due forme d HyperTerminal que vous pouvez utiliser pour afficher la console d un périphérique Cisco. Étape 2. Branchez la fiche du câble d alimentation dans la prise d alimentation électrique du commutateur. Le commutateur démarre. Certains commutateurs Catalyst, notamment ceux de la série Cisco Catalyst 2960, ne disposent pas de boutons d alimentation. Étape 3. Observez la séquence d amorçage comme suit : Lorsque le commutateur est activé, le test POST démarre. Lors de ce test, les LED clignotent tandis qu une série de tests détermine que le commutateur fonctionne correctement. Une fois le test POST terminé, le LED SYST clignote rapidement en vert. Si le commutateur échoue au test POST, le LED SYST devient orange. Lorsqu un commutateur échoue au test POST, il est nécessaire de le réparer. Observez le texte de sortie du logiciel Cisco IOS sur la console. Cliquez sur le bouton Afficher le processus d amorçage sur la console dans la figure. La figure illustre le processus d amorçage sur la console d un commutateur Cisco. Lors du démarrage initial du commutateur, si les tests POST échouent, ils sont signalés à la console et le commutateur ne démarre pas. Si les tests POST sont menés avec succès et que le commutateur n a pas été configuré auparavant, le système vous invite à le faire.

23 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 23 sur Configuration de base d un Commutateur Page 1 : Éléments à prendre en considération pour l interface de gestion Un commutateur de couche d accès ressemble beaucoup à un PC, puisque vous devez configurer une adresse IP, un masque de sousréseau et une passerelle par défaut. Pour gérer un commutateur à distance à l aide de TCP/IP, vous devez attribuer une adresse IP au commutateur. Dans la figure, vous cherchez à gérer le commutateur Comm1 à partir du PC 1, c est-à-dire l ordinateur utilisé pour la gestion du réseau. Pour cela, vous devez attribuer une adresse IP au commutateur Comm1. Cette adresse IP est attribuée à une interface virtuelle appelée «réseau local virtuel» (VLAN). Vous devez vous assurer que ce réseau local virtuel est attribué à un ou des ports spécifiques sur le commutateur. La configuration par défaut sur le commutateur est de contrôler la gestion du commutateur par le biais du réseau local virtuel VLAN 1. Cependant, une méthode recommandée pour la configuration de base du commutateur est de confier la gestion à un réseau local virtuel autre que le VLAN 1. Les implications et la raison de cette opération sont exposées dans le chapitre suivant. La figure illustre le recours au réseau local virtuel VLAN 99 en tant que réseau local virtuel de gestion. Néanmoins, il peut être indispensable d envisager l emploi d une interface autre que le VLAN 99 pour la gestion. Remarque : vous en apprendrez davantage sur les réseaux locaux virtuels dans le prochain chapitre. L objectif ici est de proposer un accès pour la gestion du commutateur via un autre réseau local virtuel. Certaines des commandes présentées sont décrites de manière plus approfondie dans le chapitre suivant. Pour l instant, le VLAN 99 est créé. Il est associé à une adresse IP. Le port approprié sur le commutateur Comm1 est attribué au VLAN 99. La figure présente également ces paramètres de configuration. Cliquez sur le bouton Configurer l interface de gestion dans la figure. Configuration de l interface de gestion Pour configurer une adresse IP et un masque de sousréseau sur le réseau local virtuel de gestion du commutateur, vous devez travailler en mode de configuration d interface de réseau local virtuel. Utilisez la commande interface vlan 99 et entrez la commande de configuration d adresse IP. Vous devez utiliser la commande de configuration d interface no shutdown pour rendre cette interface de la couche 3 opérationnelle. L intitulé «interface VLAN x», dès qu il apparaît, désigne l interface de couche 3 associée au réseau local virtuel x. Seul le réseau local virtuel de gestion dispose d un réseau local virtuel associé qui lui sert d interface. Notez qu un commutateur de couche 2 (par exemple, Cisco Catalyst 2960), autorise l activation d une seule interface de réseau local virtuel à la fois, ce qui signifie que l interface de la couche 3 (celle du VLAN 99) est active mais que l interface de couche 3 du réseau local virtuel VLAN 1 ne l est pas.

24 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 24 sur 48 Cliquez sur le bouton Configurer la passerelle par défaut dans la figure. Configuration de la passerelle par défaut Vous devez configurer le commutateur afin qu il puisse transmettre les paquets IP à des réseaux distants. La passerelle par défaut est le mécanisme qui permet d effectuer cette opération. Le commutateur transmet des paquets IP avec des adresses IP de destination externes au réseau local à la passerelle par défaut. Dans la figure, le routeur R1 désigne le routeur du tronçon suivant. Son adresse IP est Pour configurer une passerelle par défaut pour le commutateur, utilisez la commande ip default-gateway. Entrez l adresse IP de l interface du routeur de tronçon suivant qui est directement connectée au commutateur sur lequel vous configurez une passerelle par défaut. Pensez à enregistrer la configuration en cours d exécution sur un commutateur ou un routeur. Utilisez la commande copy running-config startup-config pour sauvegarder votre configuration. Cliquez sur le bouton Vérifier la configuration dans la figure. Vérification de la configuration La capture d écran supérieure présente un échantillon des données obtenues indiquant que le VLAN 99 a été configuré avec une adresse IP et un masque de sous-réseau et que l interface de gestion de ce même réseau local virtuel a été attribuée au port Fast Ethernet F0/18. Affichage des interfaces IP Utilisez la commande show ip interface brief pour vérifier le fonctionnement et l état du port. Vous allez maintenant utiliser la commande switchport access vlan 99 dans le cadre d une mise en pratique et d un exercice avec Packet Tracer. Commande mdix auto Vous deviez auparavant faire appel à certains types de câbles (câble de croisement ou direct) pour établir des connexions entre des périphériques spécifiques (de commutateur à commutateur ou de commutateur à routeur). Désormais, vous pouvez utiliser à la place la commande de configuration d interface mdix auto dans l interface de ligne de commande (ILC) pour activer la fonction auto- MDIX. Lorsque vous activez cette fonction, le commutateur détecte le type de câble requis pour les connexions Ethernet cuivre, puis configure les interfaces en conséquence. Vous devez donc opter pour un câble de croisement ou un câble direct pour les connexions sur un port 10/100/1000 cuivre sur le commutateur, quel que soit le type de périphérique à l autre extrémité de la connexion. Par défaut, la fonction auto-mdix est activée sur des commutateurs dotés de la version 12.2(18)SE (ou ultérieure) du logiciel Cisco IOS. Pour les versions comprises entre 12.1(14)EA1 et 12.2(18)SE de ce même logiciel, la fonction auto-mdix est désactivée par défaut. Page 2 : Configuration du mode bidirectionnel et de la vitesse Vous pouvez utiliser la commande de configuration d interface duplex pour spécifier le mode bidirectionnel de fonctionnement des ports de commutateur. Vous pouvez manuellement définir le mode bidirectionnel et la vitesse des ports de commutateur pour éviter des problèmes entre constructeurs liés à l auto-négociation. Malgré les problèmes susceptibles de survenir lorsque vous configurez les paramètres bidirectionnels des ports de commutateur en auto, dans cet exemple, les commutateurs Comm1 et Comm2 disposent des mêmes paramètres bidirectionnels et des mêmes vitesses. La figure décrit les étapes à suivre pour configurer le port F0/1 sur le commutateur Comm1.

25 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 25 sur 48 Page 3 : Configuration d une interface Web Les commutateurs Cisco modernes sont dotés de plusieurs outils de configuration Web qui nécessitent que vous configuriez le commutateur en tant que serveur HTTP. Ces applications incluent l interface utilisateur du navigateur Web Cisco, l outil Cisco Router and Security Device Manager (SDM) et les applications IP Phone et Cisco IOS Telephony Service (ITS). Pour contrôler qui peut avoir accès aux services HTTP sur le commutateur, vous pouvez éventuellement configurer l authentification. Les méthodes d authentification peuvent être complexes. Un nombre trop important d utilisateurs des services HTTP peut vous contraindre à faire appel à un serveur distinct spécialement consacré à la gestion de l authentification des utilisateurs. Les modes d authentification AAA et TACACS utilisent, par exemple, ce type de méthode d authentification à distance. AAA et TACACS sont des protocoles d authentification que vous pouvez utiliser dans des réseaux pour valider les paramètres d identification des utilisateurs. Vous devrez peut-être recourir à une méthode d authentification moins complexe. La méthode enable exige que les utilisateurs se servent du mot de passe actif du serveur. Dans le cas de la méthode d authentification locale, l utilisateur doit préciser le nom d utilisateur de connexion, le mot de passe et la combinaison d accès au niveau de privilège spécifiée dans la configuration du système local (à l aide de la commande de configuration globale username).

26 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 26 sur 48 Page 4 : Gestion de la table d adresses MAC Les commutateurs utilisent des tables d adresses MAC pour déterminer le mode de transmission du trafic d un port à l autre. Ces tables MAC comprennent des adresses dynamiques et statiques. La figure illustre un exemple de table d adresses MAC obtenue après exécution de la commande show mac-address-table et incluant des adresses MAC statiques et dynamiques. Remarque : la table d adresses MAC était auparavant désignée par l expression «mémoire associative» (CAM) ou «table CAM» (Content Addressable Memory). Les adresses dynamiques sont des adresses MAC source que le commutateur assimile, puis définit comme obsolètes dès qu elles ne sont plus utilisées. Vous pouvez modifier le paramètre d obsolescence des adresses MAC. La durée par défaut est de 300 secondes. Une valeur d obsolescence trop courte peut entraîner une suppression prématurée des adresses de la table. Dans ce cas, lorsque le commutateur reçoit un paquet pour une destination inconnue, il inonde le paquet sur tous les ports dans le même réseau local (ou réseau local virtuel) que le port de réception. Cette inondation superflue peut avoir des effets négatifs sur les performances. À contrario, avec un délai d obsolescence trop long, la table d adresses risque d être remplie d adresses inutilisées, empêchant ainsi l assimilation de nouvelles adresses. Cette situation peut également entraîner un phénomène d inondation. Le commutateur garantit un adressage dynamique en assimilant l adresse MAC source de chaque trame qu il reçoit sur chaque port, puis en ajoutant l adresse MAC source et son numéro de port associé à la table d adresses MAC. À mesure que les ordinateurs sont ajoutés ou supprimés du réseau, le commutateur met à jour la table d adresses MAC tout en ajoutant de nouvelles entrées et en invalidant les entrées obsolètes. Un administrateur réseau peut de manière spécifique affecter des adresses MAC à certains ports. Les adresses statiques ne sont jamais mises en obsolescence et le commutateur sait toujours sur quel port il doit transmettre le trafic destiné à une adresse MAC spécifique. Ainsi donc, le besoin de réassimiler ou d actualiser le port auquel l adresse MAC est connectée n est pas impératif. Une raison justifiant la mise en œuvre d adresses MAC statiques est d offrir à l administrateur réseau un contrôle total de l accès au réseau. Seuls les périphériques connus de l administrateur réseau sont autorisés à se connecter au réseau. Pour créer un mappage statique dans la table d adresses MAC, utilisez la commande mac-address-table static <adresse_mac> vlan {1-4096, ALL} interface id_interface. Pour supprimer un mappage statique dans la table d adresses MAC, utilisez la commande no mac-address-table static <adresse_mac> vlan {1-4096, ALL} interface id_interface. La taille maximale de la table d adresses MAC varie selon les différents commutateurs. Par exemple, un commutateur de type Catalyst 2960 peut stocker jusqu à adresses MAC. Il existe d autres protocoles susceptibles de limiter le nombre absolu d adresses MAC disponibles pour un commutateur.

27 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 27 sur Vérification de la Configuration d un Commutateur Utilisation des commandes show Une fois la configuration initiale du commutateur terminée, vous devez confirmer que le commutateur a été correctement configuré. Dans cette rubrique, vous allez découvrir comment vérifier la configuration du commutateur au moyen de diverses commandes show. Cliquez sur le bouton Commandes show dans la figure. Lorsque vous devez vérifier la configuration de votre commutateur Cisco, la commande show peut s avérer très utile. La commande show est exécutée en mode d exécution privilégié. La figure présente quelques unes des options clés de la commande show permettant de vérifier quasiment toutes les fonctions configurables du commutateur. Il existe de nombreuses autres commandes show que vous découvrirez lors de ce cours. Cliquez sur le bouton show running-config dans la figure. L une des commandes show les plus importantes est la commande show running-config. Elle affiche la configuration actuelle sur le commutateur. Choisissez cette commande si vous souhaitez vérifier que vous avez configuré le commutateur comme il se doit. La figure présente un échantillon des données obtenues à partir de la commande show runningconfig. Les trois points indiquent le contenu manquant. La figure met en évidence les données obtenues pour le commutateur Comm1, notamment les éléments suivants : Interface Fast Ethernet 0/18 configurée à l aide du réseau local virtuel VLAN 99 de gestion VLAN 99 configuré avec une adresse IP Passerelle par défaut définie à Serveur HTTP configuré Cliquez sur le bouton show interfaces dans la figure. Une autre commande fréquemment employée est la commande show interfaces qui affiche des informations sur l état, ainsi que des statistiques sur les interfaces réseau du commutateur. La commande show interfaces est souvent utilisée lors de la configuration et du contrôle des périphériques réseau. Souvenezvous que vous pouvez taper des commandes partielles à l invite de commandes et que, tant qu aucune autre option de commande n est identique, le logiciel Cisco IOS interprète correctement la commande. Par exemple, vous pouvez utiliser show int pour cette commande. La figure présente un échantillon des données obtenues à partir d une commande show interfaces FastEthernet 0/1. La première ligne mise en évidence dans la figure indique que l interface Fast Ethernet 0/1 fonctionne. La ligne suivante mise en évidence précise que le mode bidirectionnel est auto-duplex et la vitesse auto-speed.

28 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 28 sur Gestion de Base des Commutateurs Page 1 : Sauvegarde et restauration des configurations des commutateurs L une des tâches les plus courantes pour un apprenti technicien réseau consiste à importer une configuration sur un commutateur. Dans cette rubrique, vous allez apprendre à importer et stocker une configuration dans la mémoire flash du commutateur et sur un serveur TFTP. Cliquez sur le bouton Sauvegarder les configurations dans la figure. Sauvegarde de la configuration Vous savez déjà comment sauvegarder la configuration en cours d un commutateur dans le fichier de configuration de démarrage. Au moyen de la commande copy running-config startup-config du mode d exécution privilégié, vous avez appris à sauvegarder les configurations que vous avez créées jusqu ici. Comme le savez peut-être déjà, la configuration en cours est enregistrée dans la mémoire DRAM et la configuration de démarrage est stockée dans la section NVRAM de la mémoire flash. Lorsque vous émettez la commande copy running-config startup-config, le logiciel Cisco IOS copie la configuration en cours dans la mémoire vive non volatile (NVRAM) afin que la configuration de démarrage soit chargée avec votre nouvelle configuration au moment où le commutateur démarre. Vous ne souhaitez pas enregistrer en permanence les modifications que vous apportez à la configuration en cours d un commutateur. Par exemple, vous cherchez peut-être à modifier la configuration pour une courte durée et non de manière définitive. Si vous souhaitez conserver plusieurs fichiers de configuration de démarrage différents sur le périphérique, vous pouvez copier la configuration en lui attribuant des noms de fichiers différents au moyen de la commande copy startup-config flash:nom_fichier. Le stockage de plusieurs versions de configuration de démarrage vous permet de revenir en arrière, à un instant donné, si votre configuration pose des problèmes. La figure présente trois exemples de sauvegarde de la configuration dans la mémoire flash. Le premier décrit une syntaxe formelle complète. Le deuxième décrit la syntaxe fréquemment employée. Optez pour la première forme de syntaxe si vous n êtes pas familiarisé avec le périphérique réseau avec lequel vous travaillez. Choisissez la deuxième lorsque vous savez que la destination est la mémoire vive non volatile flash installée dans le commutateur. Le troisième exemple décrit la syntaxe utilisée pour enregistrer une copie du fichier de configuration de démarrage dans la mémoire flash. Cliquez sur le bouton Restaurer les configurations dans la figure. Restauration de la configuration La restauration d une configuration est un jeu d enfant. Il vous suffit de copier la configuration enregistrée dans la configuration actuelle. Par exemple, si vous disposez d une configuration enregistrée et nommée config.bak1, vous pouvez la restaurer dans votre configuration de démarrage existante en tapant la commande copy flash:config.bak1 startup-config de Cisco IOS. Une fois la configuration restaurée dans la configuration de démarrage, vous pouvez redémarrer le commutateur afin qu il recharge la nouvelle configuration de démarrage à l aide de la commande reload en mode d exécution privilégié. La commande reload arrête le système. Si le système est configuré pour redémarrer en cas d erreur, il redémarre de lui-même. Utilisez la commande reload après avoir entré les informations de configuration dans un fichier et les avoir enregistrées dans la configuration de démarrage.

29 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 29 sur 48 Remarque : vous ne pouvez effectuer aucune opération de rechargement depuis un terminal virtuel si le commutateur n est pas configuré pour un démarrage automatique. Cette restriction empêche le système de passer en mode moniteur ROM (ROMMON) et de le mettre ainsi hors contrôle de l utilisateur distant. Une fois la commande reload émise, le système vous demande de confirmer si vous avez enregistré ou non la configuration. En temps normal, vous répondriez «oui» mais dans ce cas particulier, vous devez répondre par un non. Si vous répondez «oui», le fichier que vous venez de restaurer sera remplacé. Dans tous les cas, vous devez déterminer si la configuration en cours d exécution est celle que vous souhaitez activer après le rechargement. Pour plus d informations détaillées sur la commande reload, reportez-vous au document de référence sur les commandes de configuration de base du logiciel Cisco IOS, version 12.4, disponible sur le site Web suivant : Remarque : vous avez également la possibilité d entrer la commande copy startup-config running-config. Malheureusement, cette commande ne remplace pas intégralement la configuration en cours. Elle ne fait qu ajouter des commandes existantes de la configuration de démarrage vers la configuration en cours. Cette opération peut entraîner des résultats inattendus et exige donc que vous fassiez preuve de prudence. Page 2 : Sauvegarde des fichiers de configuration sur un serveur TFTP Après avoir configuré votre commutateur avec toutes les options souhaitées, il peut être judicieux de sauvegarder la configuration sur le réseau où vous pouvez l archiver avec le reste des données de votre réseau soumises à une sauvegarde nocturne. Le stockage sécurisé de la configuration, loin du commutateur, permet de la protéger en cas de problème majeur et important avec votre commutateur. Plusieurs heures peuvent s écouler avant que les configurations de certains commutateurs ne fonctionnent. Si vous perdez une configuration suite à la défaillance matérielle d un commutateur, vous devez configurer un nouveau commutateur. S il existe une configuration de sauvegarde pour le commutateur défaillant, vous pouvez la télécharger en un clin d œil dans le nouveau commutateur. Si aucune configuration de sauvegarde n est disponible, vous devez configurer de zéro le nouveau commutateur. Vous pouvez utiliser le protocole TFTP pour la sauvegarde de vos fichiers de configuration sur le réseau. Le logiciel Cisco IOS est fourni avec un client TFTP intégré qui vous permet de vous connecter à un serveur TFTP sur votre réseau. Remarque : des logiciels pour serveurs TFTP gratuits sont disponibles sur Internet. Vous pouvez y recourir si vous ne disposez pas déjà d un serveur TFTP actif. Un serveur TFTP fréquemment employé est disponible sur le site Sauvegarde de la configuration Pour télécharger un fichier de configuration depuis un commutateur vers un serveur TFTP à des fins de stockage, procédez comme suit : Étape 1. Vérifiez que le serveur TFTP est en cours d exécution sur votre réseau. Étape 2. Connectez-vous au commutateur via le port de console ou une session Telnet. Activez le commutateur, puis envoyez une requête ping sur le serveur TFTP. Étape 3. Téléchargez la configuration du commutateur sur le serveur TFTP. Précisez l adresse IP ou le nom d hôte du serveur TFTP, ainsi que le nom du fichier de destination. La commande Cisco IOS est la suivante : #copy system:running-config tftp:[[[//emplacement]/répertoire]/nom_fichier] ou #copy nvram:startup-config tftp:[[[//emplacement]/répertoire]/nom_fichier]. La figure montre un exemple de sauvegarde de la configuration sur un serveur TFTP.

30 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 30 sur 48 Restauration de la configuration Une fois la configuration stockée avec succès sur le serveur TFTP, procédez comme suit pour la recopier dans le commutateur : Étape 1. Copiez le fichier de configuration dans le répertoire TFTP approprié, sur le serveur TFTP, s il ne s y trouve pas déjà. Étape 2. Vérifiez que le serveur TFTP est actif sur votre réseau. Étape 3. Connectez-vous au commutateur via le port de console ou une session Telnet. Activez le commutateur, puis envoyez une requête ping sur le serveur TFTP. Étape 4. Téléchargez le fichier de configuration du serveur TFTP afin de configurer le commutateur. Précisez l adresse IP ou le nom d hôte du serveur TFTP, ainsi que le nom du fichier à télécharger. La commande Cisco IOS est la suivante : #copy tftp:[[[//emplacement]/répertoire]/nom_fichier] system:running-config ou #copy tftp:[[[//emplacement]/répertoire]/nom_fichier] nvram:startup-config. Si vous téléchargez le fichier de configuration dans la configuration en cours, les commandes sont exécutées lors de l analyse ligne par ligne du fichier. Si vous téléchargez le fichier de configuration dans la configuration de démarrage, vous devez recharger le commutateur pour que les modifications prennent effet. Page 3 : Suppression des paramètres de configuration Vous pouvez supprimer les paramètres de la configuration de démarrage. Vous devrez peut-être le faire pour préparer l envoi d un commutateur déjà utilisé à un client ou un autre service et souhaiterez alors vous assurer que le commutateur a été reconfiguré. Lorsque vous supprimez le fichier de configuration de démarrage au redémarrage du commutateur, il entre le programme de configuration pour vous permettre de reconfigurer le commutateur à l aide de nouveaux paramètres. Pour effacer le contenu de votre configuration de démarrage, utilisez la commande erase nvram: ou erase startup-config en mode d exécution privilégié. La figure illustre un cas de suppression de fichiers de configuration stockés dans la mémoire vive non volatile. Attention : vous ne pouvez pas restaurer le fichier de configuration de démarrage après l avoir effacé. Assurez-vous alors que vous disposez d une sauvegarde de la configuration au cas où vous devriez la restaurer à une étape ultérieure. Suppression d un fichier de configuration stocké Vous avez peut-être travaillé sur une tâche de configuration complexe et stocké un grand nombre de copies de sauvegarde de vos fichiers dans la mémoire flash. Pour supprimer un fichier de la mémoire flash, utilisez la commande delete flash:nom_fichier en mode d exécution privilégié. Selon la configuration globale, il est possible que le système vous invite à confirmer vos intentions avant que vous ne supprimiez un fichier. Par défaut, le commutateur vous demande de confirmer la suppression d un fichier. Attention : vous ne pouvez pas restaurer le fichier de configuration de démarrage après l avoir supprimé. Assurez-vous que vous disposez d une sauvegarde de la configuration au cas où vous devriez la restaurer ultérieurement. Une fois la configuration effacée ou supprimée, vous pouvez importer une nouvelle configuration sur le commutateur. Page 4 : La gestion élémentaire des commutateurs constitue l élément de base de la configuration des commutateurs. Cet exercice porte essentiellement sur la sélection des modes de l interface de ligne de commande, l utilisation des fonctions d aide, l accès à l historique des commandes, la configuration des paramètres de la séquence d amorçage, la définition des paramètres bidirectionnels et de vitesse, ainsi que la gestion de la table d adresses MAC et du fichier de configuration du commutateur. Les connaissances acquises au cours de cet exercice sont nécessaires à la configuration de la sécurité de base des commutateurs, thème que nous aborderons dans les prochains chapitres. Des instructions détaillées sont fournies dans l exercice même, ainsi que dans le lien PDF ci-dessous.

31 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 31 sur Configuration de la Sécurité des Commutateurs Configuration des Options de mot de passe Page 1 : Configuration de l accès à la console Dans cette rubrique, vous allez apprendre à configurer des mots de passe pour l accès à la console, le terminal virtuel et le mode d exécution. Vous apprendrez également à chiffrer et récupérer des mots de passe dans un commutateur. Vos données sont précieuses et doivent faire l objet d une surveillance et d une protection minutieuses. Le FBI (Federal Bureau of Investigation) estime les pertes commerciales annuelles à 67,2 milliards de dollars. Ces pertes sont liées à des piratages informatiques. Les données personnelles des particuliers se vendent à prix d or. Voici quelques indices de prix actuels pour les données volées suivantes : Carte de crédit ou de débit avec numéro de code confidentiel : 500 dollars Numéro de permis de conduire d un automobiliste : 150 dollars Numéro de sécurité sociale : 100 dollars Numéro de carte de crédit avec date d expiration : 15 à 20 dollars Pour sécuriser vos commutateurs, vous devez avant tout les protéger contre tout accès non autorisé. Vous pouvez effectuer toutes les opérations de configuration directement à partir de la console. Pour accéder à la console, vous devez bénéficier d un accès physique local au périphérique. Si vous ne sécurisez pas le port de la console comme il se doit, un utilisateur malveillant risque de compromettre la configuration du commutateur. Sécurisation de la console Pour protéger la console contre tout accès non autorisé, définissez un mot de passe sur le port de la console au moyen de la commande du mode de configuration de ligne password <mot_de_passe>. Utilisez la commande line console 0 pour passer du mode de configuration globale au mode de configuration de ligne pour la console 0 (port de console sur les commutateurs Cisco). L invite devient (config-line)# et indique que le commutateur est désormais en mode de configuration de ligne. Ce mode vous permet de définir le mot de passe de la console en entrant la commande password <mot_de_passe>. Pour vous assurer qu un utilisateur sur le port de la console est nécessaire pour la saisie du mot de passe, utilisez la commande login. Même lorsqu un mot de passe est défini, sa saisie n est pas obligatoire tant que la commande login n a pas été émise. La figure illustre les commandes employées pour configurer et solliciter un mot de passe permettant d accéder à la console. Rappelez-vous que vous pouvez faire appel à la commande show running-config pour vérifier votre configuration. Avant de finaliser la configuration du commutateur, pensez à enregistrer le fichier de configuration en cours dans la configuration de démarrage. Suppression du mot de passe de la console Si vous devez supprimer le mot de passe et la nécessité d entrer le mot de passe à la connexion, procédez comme suit : Étape 1. Passez du mode d exécution privilégié au mode de configuration globale. Entrez la commande configure terminal. Étape 2. Passez du mode de configuration globale au mode de configuration de ligne pour la console 0. L invite de commandes (config-line)# indique que vous êtes en mode de configuration de ligne. Entrez la commande line console 0. Étape 3. Supprimez le mot de passe de la ligne de la console à l aide de la commande no password. Attention : si aucun mot de passe n est défini et que la connexion est toujours activée, aucun accès à la console n est disponible. Étape 4. Supprimez l obligation de saisie du mot de passe lors de la connexion dans la ligne de la console à l aide de la commande no login. Étape 5. Quittez le mode de configuration de ligne et revenez au mode d exécution privilégié par le biais de la commande end.

32 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 32 sur 48 Page 2 : Protection des ports vty Les ports vty d un commutateur Cisco vous permettent d accéder à distance au périphérique. Vous pouvez recourir à toutes les options de configuration grâce aux ports de terminal vty. Vous n avez pas besoin d un accès physique au commutateur pour accéder aux ports vty. Il est donc primordial de sécuriser ces derniers. Tout utilisateur bénéficiant d un accès réseau au commutateur peut établir une connexion à un terminal virtuel (vty) distant. Si les ports vty sont mal sécurisés, un utilisateur malveillant risque de compromettre la configuration du commutateur. Pour protéger les ports vty contre tout accès non autorisé, vous pouvez définir un mot de passe vty requis avant l octroi de l accès. Pour définir le mot de passe sur les ports vty, vous devez travailler en mode de configuration de ligne. Plusieurs ports vty peuvent être disponibles sur un commutateur Cisco. Le recours à plusieurs ports permet à plusieurs administrateurs de se connecter au commutateur et de le gérer. Pour sécuriser toutes les lignes vty, assurez-vous qu un mot de passe a été défini et que la connexion a été validée sur toutes les lignes. L utilisation de lignes non sécurisées compromet la sécurité et permet à des utilisateurs non autorisés d accéder au commutateur. Utilisez la commande line vty 0 4 pour passer du mode de configuration globale au mode de configuration de ligne pour les lignes vty 0 à 4. Remarque : si le commutateur dispose de davantage de lignes disponibles, réglez la plage pour les sécuriser toutes. Par exemple, un commutateur Cisco 2960 dispose des lignes 0 à 15. La figure illustre les commandes employées pour configurer et solliciter un mot de passe pour l accès vty. Vous pouvez utiliser la commande show running-config pour vérifier votre configuration et la commande copy running-config startup config pour enregistrer votre travail. Suppression du mot de passe vty Si vous devez supprimer le mot de passe et la nécessité d entrer le mot de passe à la connexion, procédez comme suit : Étape 1. Passez du mode d exécution privilégié au mode de configuration globale. Entrez la commande configure terminal. Étape 2. Passez du mode de configuration globale au mode de configuration de ligne pour les terminaux virtuels (vty) 0 à 4. L invite de commandes (config-line)# indique que vous êtes en mode de configuration de ligne. Entrez la commande line vty 0 4. Étape 3. Supprimez le mot de passe de la ligne de la console à l aide de la commande no password. Attention : si aucun mot de passe n est défini et que la connexion est toujours activée, aucun accès à la console n est disponible. Étape 4. Supprimez l obligation de saisie du mot de passe lors de la connexion dans la ligne de la console à l aide de la commande no login. Étape 5. Quittez le mode de configuration de ligne et revenez au mode d exécution privilégié par le biais de la commande end. Page 3 : Configuration du mot de passe en mode d exécution Le mode d exécution privilégié permet à toutes les personnes qui l utilisent sur un commutateur Cisco de configurer toutes les options disponibles sur le commutateur. Vous pouvez également afficher tous les paramètres actuellement configurés sur le commutateur, y compris certains des mots de passe non chiffrés. C est pourquoi il est primordial que vous sécurisiez l accès au mode d exécution privilégié.

33 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 33 sur 48 La commande de configuration globale enable password vous permet de préciser un mot de passe pour restreindre l accès au mode d exécution privilégié. La commande enable password pose néanmoins un problème, puisqu elle stocke le mot de passe sous forme d un texte lisible dans la configuration de démarrage et la configuration actuelle. Si une personne accédait à un fichier de configuration de démarrage stocké ou accédait provisoirement à une session Telnet ou de console connectée en mode d exécution privilégié, elle pourrait connaître le mot de passe. C est pourquoi Cisco propose une nouvelle option de mot de passe à l aide de laquelle vous pouvez contrôler l accès au mode d exécution privilégié chargé de stocker le mot de passe dans un format chiffré. Vous pouvez donner une forme chiffrée au mot de passe actif appelée «mot de passe secret actif». Pour cela, entrez la commande enable secret avec le mot de passe souhaité à l invite du mode de configuration globale. S il est configuré, le mot de passe secret actif n agira pas en complément du mot de passe actif ; il le remplacera. Le logiciel Cisco IOS intègre également une protection qui vous empêche de définir le mot de passe secret actif d après le même mot de passe utilisé pour le mot de passe actif. La figure illustre les commandes utilisées pour configurer les mots de passe en mode d exécution privilégié. Vous pouvez utiliser la commande show running-config pour vérifier votre configuration et la commande copy running-config startup config pour enregistrer votre travail. Suppression du mot de passe en mode d exécution Si vous devez supprimer l obligation d utilisation d un mot de passe pour accéder au mode d exécution privilégié, vous pouvez utiliser les commandes no enable password et no enable secret à partir du mode de configuration globale. Page 4 : Configuration des mots de passe chiffrés Lorsque vous configurez des mots de passe dans l interface de ligne de commande (ILC) du logiciel Cisco IOS, tous les mots de passe, à l exception du mot de passe secret actif, sont stockés dans un format texte clair dans la configuration de démarrage et la configuration en cours. La figure présente un échantillon des données obtenues avec la commande show runningconfig sur le commutateur Comm1. Les mots de passe en texte clair sont mis en évidence en orange. Il est universellement reconnu que les mots de passe doivent être chiffrés et non stockés dans un format de texte clair. La commande Cisco IOS service password-encryption autorise le chiffrement des mots de passe de service. Lorsque vous entrez la commande service password-encryption en mode de configuration globale, tous les mots de passe système sont stockés au format chiffré. Dès que vous entrez la commande, tous les mots de passe actuellement définis sont convertis en mots de passe chiffrés. Les mots de passe chiffrés sont mis en évidence en orange au bas de la figure. Si vous ne souhaitez plus que les mots de passe système soient obligatoirement stockés sous une forme chiffrée, entrez la commande no service password-encryption en mode de configuration globale. La suppression du chiffrement des mots de passe ne signifie pas une reconversion des mots de passe actuellement chiffrés dans un format de texte lisible. En revanche, tous les mots de passe récemment définis sont stockés sous forme de texte clair. Remarque : la norme de chiffrement adoptée par la commande service password-encryption est désignée par l expression «type 7». Cette norme de chiffrement est très simple et de nombreux outils aisément accessibles sur Internet permettent de déchiffrer les mots de passe. Le type 5 est plus sécurisé, mais vous devez l utiliser manuellement pour chaque mot de passe que vous configurez.

34 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 34 sur 48 Page 5 : Activation de la récupération des mots de passe Après avoir défini des mots de passe dans le but de contrôler l accès à l interface de ligne de commande du logiciel Cisco IOS, vous devez être certain que vous vous en rappelez. Si vous perdez ou oubliez des mots de passe d accès, Cisco dispose d un mécanisme de récupération des mots de passe par l intermédiaire duquel des administrateurs peuvent accéder à leurs périphériques Cisco. La procédure de récupération des mots de passe exige un accès physique au périphérique. La figure montre une capture d écran de la console indiquant que la récupération des mots de passe est activée. Vous verrez le contenu de ce qui est affiché après l étape 3 ciaprès. Notez que vous ne serez peut-être pas en mesure de récupérer réellement les mots de passe sur le périphérique Cisco, surtout si le chiffrement de mot de passe a été activé, mais vous pourrez les réinitialiser avec une nouvelle valeur. Pour récupérer le mot de passe sur un commutateur Cisco 2960, procédez comme suit : Étape 1. Au moyen d un logiciel d émulation de terminal, connectez un terminal ou un PC au port de la console du commutateur. Étape 2. Définissez le débit de la ligne dans le logiciel d émulation à bauds. Étape 3. Mettez le commutateur hors tension. Reconnectez le cordon d alimentation au commutateur, puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis que le LED système continue de clignoter en vert. Maintenez le bouton Mode enfoncé jusqu à ce que le LED système devienne brièvement orange, puis prenne une couleur verte définitive. Relâchez ensuite le bouton Mode. Étape 4. Initialisez le système de fichiers flash à l aide de la commande flash_init. Étape 5. Chargez tous les fichiers d aide au moyen de la commande load_helper. Étape 6. Affichez le contenu de la mémoire flash à l aide de la commande dir flash : Le système de fichiers du commutateur apparaît : Directory of flash: 13 drwx 192 Mar :30:48 c2960-lanbase-mz fx 11 -rwx 5825 Mar :31:59 config.text 18 -rwx 720 Mar :21:30 vlan.dat bytes total ( bytes free) Étape 7. À l aide de la commande rename flash:config.text flash:config.text.old, modifiez le fichier de configuration en le renommant «config.text.old», soit le fichier contenant la définition du mot de passe. Étape 8. Démarrez le système avec la commande boot. Étape 9. Le système vous demande de démarrer le programme de configuration. À l invite, entrez N et lorsque le système vous demande si vous souhaitez poursuivre dans la boîte de dialogue de configuration, entrez N. Étape 10. À l invite du commutateur, entrez le mode d exécution privilégié en vous servant de la commande enable. Étape 11. Utilisez la commande rename flash:config.text.old flash:config.text pour renommer le fichier de configuration d après son nom d origine. Étape 12. Copiez le fichier de configuration dans la mémoire à l aide de la commande copy flash:config.text system:running-config. Une fois cette commande entrée, le texte suivant s affiche dans la console :

35 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 35 sur 48 Source filename [config.text]? Destination filename [running-config]? Appuyez sur la touche Entrée en réponse à l invite de confirmation. Le fichier de configuration est désormais rechargé et vous pouvez modifier le mot de passe. Étape 13. Passez en mode de configuration globale au moyen de la commande configure terminal. Étape 14. Modifiez le mot de passe en utilisant la commande enable secret mot de passe. Étape 15. Repassez en mode d exécution privilégié avec la commande exit. Étape 16. Inscrivez la configuration en cours dans le fichier de configuration de démarrage au moyen de la commande copy runningconfig startup-config. Étape 17. Rechargez le commutateur à l aide de la commande reload. Remarque : la procédure de récupération de mots de passe peut varier selon la gamme de commutateurs Cisco. Pensez alors à vous reporter à la documentation du produit avant toute tentative de récupération Bannière de Connexion Page 1 : Configuration d une bannière de connexion Les commandes de Cisco IOS comprennent une fonction à l aide de laquelle vous pouvez configurer les messages que toutes les personnes se connectant au commutateur sont en mesure de consulter. Ces messages sont appelés «bannières de connexion» et «bannières de message du jour (MOTD)». Dans cette rubrique, vous allez apprendre à les configurer. Vous pouvez définir une bannière personnalisée à afficher avant les invites de nom d utilisateur et de mot de passe de connexion grâce à la commande banner login en mode de configuration globale. Placez le texte de la bannière entre guillemets ou utilisez un autre délimiteur pour tous les caractères apparaissant dans la chaîne MOTD. La figure montre le commutateur Comm1 configuré avec une bannière de connexion Personnel autorisé uniquement. Pour supprimer la bannière MOTD, entrez le format no de cette commande en mode de configuration globale (par exemple, Comm1(config)#no banner login). Page 2 : Configuration d une bannière MOTD La bannière MOTD affiche tous les terminaux connectés à la connexion et permet de transmettre des messages destinés à tous les utilisateurs du réseau (pour les avertir, par exemple, d un arrêt imminent du système). La bannière MOTD apparaît avant la configuration de la bannière de connexion. Définissez la bannière MOTD au moyen de la commande banner motd en mode de configuration globale. Mettez le texte de la bannière entre guillemets. La figure illustre le commutateur Comm1 configuré avec une bannière MOTD dans le but d afficher le texte La maintenance du périphérique aura lieu vendredi. Pour supprimer la bannière de connexion, entrez le format no de cette commande en mode de configuration globale (par exemple, Comm1(config)#no banner motd).

36 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 36 sur Configuration de Telnet et SSH Page 1 : Telnet et SSH Il est possible que des commutateurs plus anciens ne prennent en charge aucune communication sécurisée avec Secure Shell (SSH). Cette rubrique vous aidera à choisir entre les méthodes Telnet et SSH pour la communication avec un commutateur. Il existe deux choix pour l accès distant à un terminal virtuel (vty) sur un commutateur Cisco. Telnet constitue la méthode d origine prise en charge dans les premiers modèles de commutateurs Cisco. Telnet est un protocole très répandu pour l accès à des terminaux puisque la plupart des systèmes d exploitation actuels sont fournis avec un client Telnet intégré. En revanche, il offre une méthode d accès à un périphérique réseau non sécurisée puisqu il transmet toutes les communications sur le réseau en texte clair. À l aide d un logiciel de contrôle réseau, une personne malveillante peut lire toutes les frappes transmises entre le client Telnet et le service Telnet en cours d exécution sur le commutateur. En raison des problèmes de sécurité que pose le protocole Telnet, Secure Shell (SSH) est devenu le protocole de prédilection pour l accès distant à des lignes de terminal virtuel sur un périphérique Cisco. SSH offre le même type d accès que Telnet avec la sécurité en plus. Les communications entre le client SSH et le serveur SSH sont chiffrées. Plusieurs versions de SSH ont été développées et les périphériques Cisco prennent actuellement en charge les versions SSHv1 et SSHv2. Il est préférable de mettre en place la version SSHv2 dès que possible, car elle utilise un algorithme de chiffrement de sécurité plus sophistiqué que la version SSHv1. La figure présente les différences entre les deux protocoles. Page 2 : Configuration de Telnet Telnet est le protocole pris en charge par défaut par les terminaux virtuels (vty) sur un commutateur Cisco. Lorsqu une adresse IP de gestion est attribuée au commutateur Cisco, vous pouvez vous y connecter au moyen d un client Telnet. Au départ, les lignes vty ne sont pas sécurisées. Tout utilisateur qui tente de s y connecter peut donc y avoir accès. Dans la rubrique précédente, vous avez appris à sécuriser l accès au commutateur sur les lignes vty en exigeant l authentification du mot de passe, ce qui rend l exécution du service Telnet un peu plus sécurisée. Du fait que Telnet constitue le mode de transport par défaut pour les lignes vty, vous n avez pas besoin de le spécifier après la configuration initiale du commutateur. En revanche, si vous avez commuté le protocole de transport sur les lignes vty pour autoriser uniquement SSH, vous devez activer le protocole Telnet pour autoriser manuellement l accès à Telnet. Si vous devez réactiver le protocole Telnet sur un commutateur Cisco 2960, utilisez la commande suivante à partir du mode de configuration de ligne : (config-line)#transport input telnet ou (config-line)#transport input all. En autorisant tous les protocoles de transport, vous autorisez quand même l accès au commutateur, ainsi que l accès à Telnet.

37 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 37 sur 48 Page 3 : Configuration de SSH Secure Shell (SSH) est une fonction de sécurité cryptographique qui est soumise à des restrictions en matière d exportation. Pour exploiter cette fonction, vous devez installer une image cryptographique sur votre commutateur. La fonction Secure Shell dispose d un serveur SSH et d un client SSH intégré qui constituent les applications qui sont exécutées sur le commutateur. Vous pouvez utiliser n importe quel client SSH exécuté sur un PC ou bien le client SSH Cisco exécuté sur le commutateur pour vous connecter à un commutateur exécutant le serveur SSH. Le commutateur prend en charge la version SSHv1 ou SSHv2 pour le composant serveur. Il prend uniquement en charge la version SSHv1 pour le composant client. SSH prend en charge l algorithme DES (Data Encryption Standard), l algorithme Triple DES (3DES) et l authentification utilisateur basée sur les mots de passe. Le chiffrement est de 56 bits dans DES, il est de 168 bits dans 3DES. Le chiffrement est un processus généralement long, mais DES met moins de temps à chiffrer du texte que 3DES. En règle générale, les normes de chiffrement sont précisées par le client. Ainsi, si vous devez configurer SSH, demandez laquelle vous devez choisir. (L étude des méthodes de chiffrement des données n est pas au programme de ce cours.) Pour mettre en œuvre SSH, vous devez créer des clés RSA. La norme RSA implique l emploi d une clé publique conservée sur un serveur RSA public et celui d une clé privée conservée uniquement par l expéditeur et le récepteur. La clé publique peut être connue de tout le monde et sert au chiffrement des messages. Les messages chiffrés à l aide de la clé publique peuvent être déchiffrés au moyen de la clé privée. On parle alors de chiffrement asymétrique, sujet que nous aborderons en détail dans le cours «Exploration : Accès au réseau étendu». Vous devez créer les clés RSA chiffrées avec la commande crypto key generate rsa. Cette procédure est nécessaire si vous configurez le commutateur en tant que serveur SSH. Débutez en mode d exécution privilégié et procédez comme suit pour configurer un nom d hôte, ainsi qu un nom de domaine IP, puis générer une paire de clés RSA. Étape 1. Passez en mode de configuration globale au moyen de la commande configure terminal. Étape 2. Configurez un nom d hôte pour votre commutateur au moyen de la commande hostname nom_hôte. Étape 3. Configurez un domaine hôte pour votre commutateur à l aide de la commande ip domain-name nom_domaine. Étape 4. Activez le serveur SSH en vue d une authentification locale et distante sur le commutateur et générez une paire de clés RSA en utilisant la commande crypto key generate rsa. Lorsque vous créez des clés RSA, le système vous demande d entrer une longueur de modulus. Cisco préconise l utilisation d une taille de modulus de 1024 bits. Une longueur de modulus plus importante peut s avérer plus sûre, mais sa création et son utilisation prennent plus de temps. Étape 5. Repassez en mode d exécution privilégié à l aide de la commande end. Étape 6. Affichez l état du serveur SSH sur le commutateur en vous servant de la commande show ip ssh ou show ssh. Pour supprimer la paire de clés RSA, utilisez la commande de configuration globale crypto key zeroize rsa. Une fois la paire de clés RSA supprimée, le serveur SSH est automatiquement désactivé. Configuration du serveur SSH Débutez en mode d exécution privilégié et procédez comme suit pour configurer le serveur SSH. Étape 1. Passez en mode de configuration globale au moyen de la commande configure terminal. Étape 2. (Facultatif) Configurez le commutateur pour exécuter SSHv1 ou SSHv2 à l aide de la commande ip ssh version [1 2].

38 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 38 sur 48 Si vous n entrez pas cette commande ou ne spécifiez aucun mot de passe, le serveur SSH sélectionne la dernière version SSH prise en charge par le client SSH. Par exemple, si le client SSH prend en charge les versions SSHv1 et SSHv2, le serveur SSH choisit la version SSHv2. Étape 3. Configurez les paramètres de contrôle SSH : Précisez la valeur de délai d attente en secondes. La valeur par défaut est 120 secondes. La valeur peut aller de 0 à 120 secondes. Pour une connexion SSH à établir, vous devez exécuter plusieurs phases, telles que la connexion, la négociation de protocole et la négation de paramètre. La valeur de délai d attente désigne le temps que le commutateur autorise pour l établissement d une connexion. Par défaut, cinq connexions SSH chiffrées simultanées sont disponibles au maximum pour plusieurs sessions de l interface de ligne de commande (ILC) sur le réseau (session 0 à session 4). Après le démarrage de l interpréteur de commandes d exécution, le délai d attente de la session d interface de ligne de commande revient à sa valeur par défaut de 10 minutes. Précisez le nombre de fois qu il est possible d authentifier de nouveau un client sur le serveur. La valeur par défaut est 3 dans un éventail de 0 à 5. Par exemple, un utilisateur peut définir à trois reprises un temps d attente de dix minutes avant que la session ne prenne fin. Répétez cette étape lors de la configuration de ces deux paramètres. Pour configurer ces paramètres, utilisez la commande ip ssh {timeoutsecondes authentication-retries nombre}. Étape 4. Repassez en mode d exécution privilégié à l aide de la commande end. Étape 5. Indiquez l état des connexions du serveur SSH sur le commutateur en vous servant de la commande show ip ssh ou show ssh. Étape 6. (Facultatif) Enregistrez vos entrées dans le fichier de configuration à l aide de la commande copy running-config startupconfig. Si vous souhaitez éviter des connexions non SSH, ajoutez la commande transport input ssh en mode de configuration de ligne afin de limiter le commutateur aux connexions SSH uniquement. Les connexions Telnet directes (non SSH) sont rejetées Menaces Fréquentes en termes de Sécurité Page 1 : Inondation d adresses MAC Malheureusement, une protection et une sécurité de base ne mettent pas les commutateurs à l abri d attaques malveillantes. Dans cette rubrique, vous allez découvrir quelques-uns des risques de sécurité et à quel point ils sont dangereux. Les informations fournies dans cette rubrique constituent une introduction aux risques et attaques en termes de sécurité. L étude détaillée du fonctionnement de ces attaques courantes n est pas au programme de ce cours. Si la sécurité des réseaux vous intéresse, nous vous conseillons l étude du cours «CCNA Exploration : Accès au réseau étendu». Inondation d adresses MAC L inondation d adresses MAC est l une de ces attaques fréquemment rencontrées. Comme vous le savez, dans un commutateur, la table d adresses MAC est le composant qui renferme les adresses MAC d un port physique donné du commutateur, ainsi que les paramètres de réseau local virtuel associés à chacune. Quand un commutateur de couche 2 reçoit une trame, il recherche l adresse MAC de destination dans la table d adresses MAC. Tous les modèles de commutateurs Catalyst font appel à une table d adresses MAC pour la commutation de couche 2. À mesure que les trames parviennent aux ports du commutateur, les adresses MAC source sont assimilées et enregistrées dans la table d adresses MAC. Si une entrée existe pour l adresse MAC, le commutateur transmet la trame au port d adresses MAC désigné dans la table d adresses MAC. Si aucune adresse MAC n existe, le commutateur agit en tant que concentrateur et transmet la trame à

39 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 39 sur 48 chaque port du commutateur. Les attaques par dépassement de la table d adresses MAC sont souvent appelées attaques par inondation MAC. Pour comprendre le mécanisme d attaque par dépassement de table d adresses MAC, souvenez-vous du fonctionnement élémentaire d un commutateur. Cliquez sur le bouton de l étape 1 dans la figure pour voir comment débute une attaque par dépassement de table d adresses MAC. Dans la figure, l hôte A envoie le trafic à l hôte B. Le commutateur reçoit les trames et recherche l adresse MAC de destination dans sa table d adresses MAC. Si l adresse MAC de destination est introuvable dans la table d adresses MAC, le commutateur copie la trame et la diffuse sur chaque port du commutateur. Cliquez sur le bouton de l étape 2 dans la figure pour afficher l étape suivante. L hôte B reçoit la trame et renvoie une réponse à l hôte A. Le commutateur sait alors que l adresse MAC de l hôte B se trouve sur le port 2 et inscrit ces informations dans la table d adresses MAC. L hôte C reçoit également la trame de l hôte A à l hôte B mais l adresse MAC de destination de la trame en question étant l hôte B, l hôte C ignore cette trame. Cliquez sur le bouton de l étape 3 dans la figure pour afficher l étape suivante. Désormais, toutes les trames transmises par l hôte A (ou un autre) vers l hôte B sont envoyées au port 2 du commutateur et ne sont pas transmises à chaque port. Pour bien comprendre comment les attaques par dépassement de table d adresses MAC fonctionnent, il faut savoir que la taille des tables d adresses MAC est limitée. L inondation MAC profite de cette limite pour submerger le commutateur de fausses adresses MAC source jusqu à ce que la table d adresses MAC de ce dernier soit saturée. Le commutateur passe alors en mode fail-open, commence à agir en qualité de concentrateur et diffuse des paquets à tous les ordinateurs du réseau. La personne malveillante peut alors voir toutes les trames transmises de l hôte attaqué vers un autre hôte sans une entrée de la table d adresses MAC. Cliquez sur le bouton de l étape 4 dans la figure pour voir comment un utilisateur malveillant peut exploiter des outils légitimes. La figure démontre comment une personne malveillante peut se servir des fonctions d exploitation normales du commutateur pour interrompre le fonctionnement de ce dernier. L inondation MAC est réalisable au moyen d un outil d attaque réseau. Le pirate utilise l outil d attaque sur le réseau pour inonder le commutateur d un nombre important d adresses MAC jusqu à ce que la table d adresses MAC se remplisse. Une fois la table d adresses MAC remplie, le commutateur inonde tous les ports avec le trafic entrant parce qu il ne parvient pas à identifier le numéro de port d une adresse MAC en particulier dans la table d adresses MAC. De par sa conception, le commutateur agit en tant que concentrateur. Certains outils d attaque réseau peuvent produire entrées MAC par minute sur un commutateur. La taille maximale de la table d adresses MAC varie selon le commutateur. Dans la figure, l outil d attaque est exécuté sur l hôte avec l adresse MAC C en bas, à droite de l écran. Cet outil inonde un commutateur de

40 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 40 sur 48 paquets contenant des adresses MAC et IP source et de destination créées au hasard. Sur une courte période de temps, la table d adresses MAC du commutateur se remplit jusqu à ce qu elle ne puisse plus accepter de nouvelles entrées. Lorsque la table d adresses MAC est remplie d adresses MAC source incorrectes, le commutateur commence à transmettre toutes les trames qu il reçoit à chaque port. Cliquez sur le bouton de l étape 5 dans la figure pour afficher l étape suivante. Tant que l outil d attaque réseau est en cours d exécution, la table d adresses MAC dans le commutateur reste pleine. Lorsque cette situation survient, le commutateur commence par transmettre l ensemble des trames reçues vers chaque port afin que les trames transmises entre l hôte A et l hôte B soient également diffusées sur le port 3, dans le commutateur. Page 2 : Attaques par mystification Cliquez sur le bouton Mystification dans la figure. Une des possibilités pour une personne malveillante d accéder au trafic réseau est de s approprier les réponses envoyées par un serveur DHCP autorisé sur le réseau. Le périphérique de mystification DHCP répond aux requêtes DHCP clientes. Le serveur légitime peut lui aussi répondre, mais si le périphérique de mystification agit sur le même segment que le client, sa réponse au client peut parvenir en premier. La réponse DHCP du pirate fournit des informations de prise en charge et une adresse IP qui le désignent comme passerelle par défaut ou serveur DNS (Domain Name System). S il s agit d une passerelle, les clients transmettent alors les paquets au périphérique «attaquant» qui, à son tour, les transmet vers la destination voulue. On parle alors d attaque de l intercepteur. Ce type d attaque peut passer complètement inaperçu puisque le pirate intercepte le flux de données sur le réseau. Un autre type d attaque DHCP est l attaque par insuffisance de ressources DHCP. Le PC pirate demande en permanence des adresses IP auprès d un véritable serveur DHCP en modifiant leurs adresses MAC source. Si ce type d attaque DHCP réussit, tous les baux stockés sur le véritable serveur DHCP sont alloués, empêchant ainsi les véritables utilisateurs (clients DHCP) de se procurer une adresse IP. Pour empêcher toute attaque DHCP, faites appel aux fonctions de sécurité des ports et de surveillance DHCP disponibles sur les commutateurs Cisco Catalyst. Fonctions de sécurité des ports et de surveillance DHCP de Cisco Catalyst La surveillance DHCP est une fonction de Cisco Catalyst qui détermine quels ports du commutateur sont en mesure de répondre aux requêtes DHCP. Les ports sont identifiés comme étant fiables et non fiables. Les ports fiables peuvent authentifier la source de tous les messages. Les ports non fiables peuvent uniquement authentifier la source des requêtes. Les ports fiables hébergent un serveur DHCP ou peuvent offrir une liaison montante vers le serveur DHCP. Si un périphérique non autorisé sur un port non fiable tente de transmettre un paquet de requêtes DHCP sur le réseau, le port est fermé. Vous pouvez associer cette fonction aux options DHCP dans lesquelles des informations concernant le commutateur, notamment l ID de port de la requête DHCP, peuvent être incluses dans le paquet de requêtes DHCP.

41 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 41 sur 48 Cliquez sur le bouton Surveillance DHCP. Les ports non fiables désignent les ports qui ne sont pas explicitement configurés comme étant fiables. Une table de liaison DHCP est construite pour les ports non fiables. Chaque entrée contient une adresse MAC cliente, une adresse IP, une durée de bail, un type de liaison, un numéro de réseau local virtuel et un ID de port enregistrés à mesure que les clients soumettent des requêtes DHCP. La table sert ensuite à filtrer le trafic DHCP qui suit. Du point de vue de la surveillance DHCP, les ports d accès non fiables ne doivent envoyer aucune réponse à un serveur DHCP. La procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur Cisco IOS : Étape 1. Activez la surveillance DHCP à l aide de la commande de configuration globale ip dhcp snooping. Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen de la commande ip dhcp snooping vlan number [ nombre]. Étape 3. Au niveau de l interface, définissez les ports comme étant fiables ou non en définissant les ports fiables avec la commande ip dhcp snooping trust. Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre de fausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcp snooping limit rate fréquence. Page 3 : Attaques CDP CDP (Cisco Discovery Protocol) est un protocole propriétaire que tous les périphériques Cisco peuvent utiliser. CDP détecte tous les autres périphériques Cisco qui bénéficient d une connexion directe, ce qui leur permet de configurer automatiquement cette connexion dans certains cas, tout en simplifiant la configuration et la connectivité. Les messages CDP ne sont pas chiffrés. Par défaut, le protocole CDP est activé sur la plupart des routeurs et des commutateurs Cisco. Les informations CDP sont transmises sous forme de diffusions périodiques mises à jour localement dans la base de données CDP de chaque périphérique. CDP étant un protocole de la couche 2, il n est pas propagé par les routeurs. CDP renferme des informations sur le périphérique, notamment son adresse IP, la version du logiciel, la plateforme, les fonctions et le réseau local virtuel natif. Si ces informations sont mises à la disposition d un pirate, ce dernier peut les exploiter pour attaquer votre réseau, généralement sous la forme d une attaque par déni de service (DoS). La figure montre une partie d une capture de paquets Ethereal dévoilant l intérieur d un paquet CDP. La version du logiciel Cisco IOS découverte par CDP permettrait notamment au pirate de rechercher et d identifier quelques points vulnérables en matière de sécurité inhérents à cette version spécifique du code. De même, du fait que CDP n est pas authentifié, un pirate peut concevoir de faux paquets CDP et les transmettre via le périphérique Cisco directement connecté dont il dispose. Pour résoudre ce problème de vulnérabilité, il est préférable de désactiver CDP sur les périphériques sur lesquels ce protocole est inutile.

42 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 42 sur 48 Page 4 : Attaques Telnet Un pirate peut utiliser le protocole Telnet pour accéder au commutateur d un réseau Cisco. Au cours d une rubrique précédente, vous avez configuré un mot de passe de connexion pour les lignes vty et avez défini les lignes de sorte qu elles exigent une authentification du mot de passe avant tout accès, ce qui garantit un degré de sécurité élémentaire et primordial pour la protection du commutateur face à tout accès non autorisé. Néanmoins, cette méthode n est pas une méthode fiable pour sécuriser l accès aux lignes vty. Il existe des outils à l aide desquels un pirate informatique peut lancer une attaque de décodage en force des mots de passe des lignes vty sur le commutateur. Attaque de mot de passe en force La première phase de ce type d attaque consiste pour le pirate à utiliser une liste de mots de passe courants, ainsi qu un programme conçu pour tenter d établir une session Telnet au moyen de chaque mot figurant dans la liste du dictionnaire. Heureusement, vous êtes suffisamment clairvoyant pour ne pas utiliser un mot du dictionnaire et ne craignez donc rien pour le moment. Lors de la deuxième phase de l attaque en force, le pirate fait appel à un programme chargé de créer des combinaisons de caractères séquentielles pour tenter de deviner le mot de passe. Lorsque le pirate dispose de suffisamment de temps, une attaque en force permet de décoder quasiment tous les mots de passe employés. La chose la plus simple à faire de votre côté pour limiter votre vulnérabilité face aux attaques en force est de modifier fréquemment vos mots de passe et d utiliser des mots de passe forts combinant au hasard des lettres en majuscules et minuscules et des chiffres. Des configurations plus avancées vous permettent de limiter les personnes autorisées à communiquer avec les lignes vty grâce à des listes d accès, mais ce sujet n est pas au programme de ce cours. Attaque par déni de service (DoS) Un autre type d attaque Telnet est l attaque par déni de service ou DoS. Dans une attaque DoS, le pirate exploite une faille d un logiciel serveur Telnet exécuté sur le commutateur qui rend le service Telnet indisponible. Ce type d attaque constitue surtout une nuisance puisqu il empêche un administrateur d exécuter les fonctions de gestion du commutateur. Les vulnérabilités du service Telnet qui autorisent les attaques DoS sont généralement traitées au moyen de correctifs de sécurité inclus dans les nouvelles versions révisées du logiciel Cisco IOS. Si votre service Telnet, ou tout autre service installé sur un périphérique Cisco, est la cible d une attaque DoS, vérifiez si une nouvelle version du logiciel Cisco IOS est disponible Outils de Sécurité Page 1 : Après avoir configuré la sécurité du commutateur, vous devez vérifier que vous n avez oublié aucun point faible susceptible d être exploité par un pirate. La sécurité des réseaux est un sujet complexe en perpétuelle évolution. Dans cette section, vous allez découvrir comment les outils de sécurité réseau forment un rempart contre toutes les attaques malveillantes. Grâce à ces outils, vous pouvez évaluer les diverses faiblesses de votre réseau. Ils vous permettent de jouer les rôles de pirate et d analyste de sécurité réseau. Avec ces outils, vous pouvez également lancer une attaque et en contrôler les résultats afin de déterminer comment affiner vos stratégies de sécurité et empêcher une attaque spécifique. Les fonctions employées par les outils de sécurité réseau connaissent une constante évolution. Par exemple, autrefois, les outils de sécurité réseau se concentraient exclusivement sur les services à l écoute du réseau et recherchaient des failles dans ces services. Aujourd hui, les virus et les vers peuvent se propager en exploitant les failles des clients de messagerie et des navigateurs Web. Les outils de sécurité réseau modernes ne se contentent pas de détecter les failles des hôtes du réseau, ils déterminent également s il existe des failles au niveau des applications, telles que des correctifs manquants sur des ordinateurs clients. La sécurité réseau s étend au-delà des périphériques réseau, jusqu au Bureau de l utilisateur. L audit de sécurité et les tests de pénétration constituent deux fonctions de base que les outils de sécurité réseau peuvent appliquer.

43 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 43 sur 48 Audit de sécurité réseau Grâce aux outils de sécurité réseau, vous pouvez soumettre votre réseau à un audit de sécurité. Un audit de sécurité révèle quel type d information un pirate est de mesure de rassembler grâce à un simple contrôle du trafic réseau. Les outils d audit de sécurité réseau vous permettent d inonder la table MAC de fausses adresses MAC. Vous pouvez ensuite soumettre à un audit les ports du commutateur à mesure que ce dernier commence à diffuser le trafic sur tous les ports et que les mappages d adresses MAC légitimes deviennent obsolètes et sont remplacés par d autres faux mappages d adresses MAC. Vous pouvez ainsi déterminer quels ports sont compromis et n ont pas été corrigés pour empêcher ce type d attaque. Le temps est un facteur crucial pour un audit réussi. Les différents commutateurs prennent en charge diverses quantités d adresses MAC dans leur table MAC. Le travail qui consiste à évaluer la quantité idéale d adresses MAC usurpées à rejeter sur le réseau peut s avérer délicat. Vous devez également gérer la période d obsolescence de la table MAC. Si les adresses MAC usurpées deviennent obsolètes tandis que vous réalisez un audit de votre réseau, les adresses MAC autorisées commencent à remplir la table MAC, ce qui limite les données qu il vous est possible de contrôler via un outil d audit de sécurité. Tests de pénétration réseau Vous pouvez également recourir aux outils de sécurité réseau pour tester la pénétration sur votre réseau. Cette fonction vous permet d identifier les faiblesses dans la configuration de vos périphériques réseau. Les attaques que vous pouvez réaliser sont nombreuses et la plupart des suites d outils offrent une documentation complète détaillant la syntaxe requise pour l exécution de l attaque voulue. En raison des effets que peuvent avoir ces types de tests sur le réseau, ils sont menés selon des conditions de contrôle strictes qui respectent les procédures détaillées dans le cadre d une stratégie de sécurité réseau complète. Il va de soi que si vous travaillez sur un petit réseau en classe, vous pouvez vous concerter avec votre formateur pour essayer de mener vos propres tests de pénétration réseau. Dans la rubrique suivante, vous allez apprendre à sécuriser des ports sur vos commutateurs Cisco afin de vous assurer que ces tests de sécurité réseau ne révèlent pas des failles dans votre configuration. Page 2 : Fonctions des outils de sécurité réseau Un réseau sécurisé est véritablement un processus et non un produit. Vous ne pouvez pas simplement activer un commutateur et dire que le tour est joué. Pour affirmer que votre réseau est sécurisé, vous devez disposer d un programme de sécurité réseau exhaustif qui définit comment vous pouvez vérifier régulièrement que votre réseau est capable de faire face aux dernières attaques malveillantes. Le caractère évolutif des risques de sécurité implique le recours impératif à des outils d audit et de pénétration que vous pouvez mettre à jour face aux risques les plus récents. Les fonctions courantes d un outil de sécurité réseau moderne incluent notamment les éléments suivants : Identification de service : les outils sont utilisés dans le but de cibler des hôtes au moyen des numéros de ports IANA (Internet Assigned Numbers Authority). Ces outils doivent également être capables de détecter un serveur FTP exécuté sur un port non standard ou sur un serveur Web fonctionnant sur le port Ils doivent pouvoir aussi tester tous les services en cours d exécution sur un hôte. Prise en charge des services SSL : évaluation des services qui utilisent le niveau de sécurité SSL, notamment HTTPS, SMTPS, IMAPS et le certificat de sécurité. Tests non destructifs et destructifs : exécution régulière d audits de sécurité non destructifs qui ne compromettent pas, ou simplement de manière modérée, les performances du réseau. Ces outils doivent également vous permettre de réaliser des

44 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 44 sur 48 audits destructifs nuisant considérablement aux performances réseau. Les audits destructifs vous indiquent à quel point votre réseau peut résister aux attaques de pirates informatiques. Base de données des vulnérabilités : les vulnérabilités changent constamment. Les outils de sécurité réseau doivent être conçus de sorte que vous puissiez les connecter à un module de code, puis tester les vulnérabilités. Vous pouvez ainsi conserver et charger une base de données de vulnérabilités importante dans l outil pour vous assurer que les vulnérabilités les plus récentes ont été testées. Vous pouvez faire appel aux outils de sécurité réseau pour : capturer des messages de discussion ; capturer des fichiers issus du trafic NFS ; capturer des requêtes HTTP au format CLF (Common Log Format) ; capturer des courriels au format mbox de Berkeley ; capturer des mots de passe ; afficher en temps réel les adresses URL capturées dans le navigateur ; inonder un réseau local commuté d adresses MAC aléatoires ; créer des réponses aux demandes d adresse DNS/pointeur ; intercepter des paquets sur Configuration de la Sécurité des ports Page 1 : Réduction des attaques via la sécurité des ports Dans cette rubrique, vous apprendrez tout sur les problèmes dont vous devrez tenir compte lors de la configuration de la sécurité des ports d un commutateur. Les commandes de sécurité des ports dans Cisco IOS y sont résumées. Vous découvrirez aussi comment configurer la sécurité des ports statiques et dynamiques. Cliquez sur le bouton Sécurité des ports dans la figure. Sécurité des ports Un commutateur dont les ports ne sont pas sécurisés permet à un pirate de relier un système à un port inutilisé et activé et de rassembler des informations ou de mener des attaques. Vous pouvez configurer un commutateur en tant que concentrateur, ce qui permet aux systèmes reliés au commutateur de consulter l ensemble du trafic réseau circulant sur le commutateur à destination des systèmes connectés à ce dernier. Un pirate peut ainsi collecter des informations de trafic contenant les noms des utilisateurs, des mots de passe ou des données de configuration concernant les systèmes situés sur le réseau. Tous les ports ou les interfaces de commutateur doivent être sécurisés avant le déploiement du commutateur. La sécurité des ports restreint le nombre d adresses MAC autorisées sur un port. Lorsque vous affectez des adresses MAC sécurisées à un port tout aussi sécurisé, ce dernier ne transmet aucun paquet avec adresse source en dehors du groupe des adresses définies. Si vous limitez le nombre des adresses MAC sécurisées à une adresse et affectez une adresse MAC sécurisée unique sur ce port, la station de travail reliée au port bénéficie de la bande passante intégrale de ce dernier et seule cette station de travail dotée de cette adresse MAC sécurisée en particulier peut se connecter avec succès à ce port du commutateur. Si vous configurez le port comme un port sécurisé et atteignez le nombre maximal d adresses MAC sécurisées, une violation de sécurité se produit lorsque l adresse MAC d une station de travail qui tente d accéder au port est différente de toutes les adresses MAC sécurisées qui ont été identifiées. La figure résume ces points. Cliquez sur le bouton Types d adresses MAC sécurisées dans la figure. Types d adresses MAC sécurisées Il existe plusieurs façons de configurer la sécurité des ports. Les sections suivantes décrivent les moyens de configurer la sécurité des ports sur un commutateur Cisco :

45 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 45 sur 48 Adresses MAC sécurisées statiques : les adresses MAC sont configurées manuellement à l aide de la commande de configuration d interface switchport port-security macaddress adresse_mac. Les adresses MAC configurées de cette manière sont stockées dans la table d adresses et sont ajoutées à la configuration en cours sur le commutateur. Adresses MAC sécurisées dynamiques : les adresses MAC sont assimilées de manière dynamique et stockées uniquement dans la table d adresses. Les adresses MAC configurées ainsi sont supprimées au redémarrage du commutateur. Adresses MAC sécurisées rémanentes : vous pouvez configurer un port pour assimiler dynamiquement des adresses MAC, puis enregistrer ces dernières dans la configuration en cours. Adresses MAC rémanentes Les adresses MAC sécurisées rémanentes présentent les caractéristiques suivantes : Lorsque vous activez l apprentissage rémanent dans une interface au moyen de la commande de configuration d interface switchport port-security mac-address sticky, l interface convertit toutes les adresses MAC sécurisées dynamiques, y compris celles qui ont été dynamiquement assimilées avant que l apprentissage rémanent ne soit activé, en adresses MAC sécurisées rémanentes et ajoute l ensemble de ces dernières dans la configuration en cours. Si vous désactivez l apprentissage rémanent à l aide de la commande de configuration d interface no switchport portsecurity mac-address sticky, les adresses MAC sécurisées rémanentes restent intégrées à la table d adresses mais sont supprimées de la configuration en cours. Lorsque vous faites appel à la commande de configuration d interface switchport port-security mac-address sticky adresse_mac pour configurer des adresses MAC sécurisées rémanentes, ces dernières sont ajoutées à la table d adresses et la configuration en cours. Si vous désactivez la sécurité du port, les adresses MAC sécurisées rémanentes demeurent dans la configuration en cours. Si vous enregistrez les adresses MAC sécurisées rémanentes dans le fichier de configuration, il n est pas nécessaire pour l interface de réassimiler ces adresses lorsque vous redémarrez le commutateur ou arrêtez l interface. Si vous ne les enregistrez pas, les adresses MAC sécurisées rémanentes seront perdues. Si vous désactivez l apprentissage rémanent et entrez la commande de configuration d interface switchport port-security mac-address sticky adresse_mac, un message d erreur apparaît et l adresse MAC sécurisée rémanente n est pas ajoutée dans la configuration en cours Cliquez sur le bouton Modes de violation de sécurité dans la figure. Modes de violation de sécurité Il y a violation de la sécurité lorsque l une des situations suivantes se présente : Le nombre maximal d adresses MAC sécurisées a été ajouté dans la table d adresses et une station dont l adresse MAC ne figure pas dans cette table tente d accéder à l interface. Une adresse assimilée ou configurée dans une interface sécurisée est visible sur une autre interface sécurisée dans le même réseau local virtuel. Vous pouvez configurer l interface pour l un des trois modes de violation en fonction de l action à entreprendre en cas de violation. La figure illustre les types de trafic de données transmis lorsque l un des modes de violation de sécurité suivants est configuré sur un port :

46 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 46 sur 48 Page 2 : protect : lorsque le nombre d adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d adresses source inconnues sont ignorés jusqu à ce que vous supprimiez un nombre suffisant d adresses MAC sécurisées ou augmentiez le nombre maximal d adresses à autoriser. Aucun message de notification ne vous est adressé en cas de violation de la sécurité. restrict : lorsque le nombre d adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d adresses source inconnues sont ignorés jusqu à ce que vous supprimiez un nombre suffisant d adresses MAC sécurisées ou augmentiez le nombre maximal d adresses à autoriser. Ce mode vous permet d être informé si une violation de la sécurité est constatée. Dans ce cas, une interruption SNMP est transmise, un message syslog est consigné et le compteur de violation est incrémenté. shutdown : si vous optez pour ce mode, toute violation de sécurité de port entraîne immédiatement la désactivation de l enregistrement des erreurs dans l interface et celle de la LED du port. Une interruption SNMP est également transmise, un message syslog est consigné et le compteur de violation est incrémenté. Lorsqu un port sécurisé opère en mode de désactivation des erreurs, vous pouvez annuler cet état par simple saisie des commandes de configuration d interface shutdown et no shutdown. Il s agit du mode par défaut. Configuration de la sécurité des ports Cliquez sur le bouton Configuration par défaut dans la figure. Les ports d un commutateur Cisco sont configurés à l avance avec des paramètres par défaut. La figure résume la configuration par défaut de la sécurité des ports. Cliquez sur le bouton Configurer la sécurité des ports dynamiques dans la figure. La figure illustre les commandes de l interface de ligne de commande du logiciel Cisco IOS nécessaires pour configurer la sécurité des ports sur le port Fast Ethernet F0/18 du commutateur Comm1. Remarquez que l exemple ne précise aucun mode de violation. Dans cet exemple, le mode de violation est défini à shutdown. Cliquez sur le bouton Configurer la sécurité des ports rémanents dans la figure. La figure décrit comment activer la sécurité des ports rémanents sur le port Fast Ethernet 0/18 du commutateur Comm1. Comme mentionné auparavant, vous pouvez configurer le nombre maximal d adresses MAC sécurisées. Cet exemple présente la syntaxe de commande Cisco IOS utilisée pour fixer le nombre maximal d adresses MAC à 50. Par défaut, le mode de violation est shutdown.

47 Chapitre 2 - Concepts et Configuration de Base de la Commutation Page 47 sur 48 Page 3 : Vérification de la sécurité des ports Une fois la sécurité des ports de votre commutateur configurée, vous chercherez à vérifier qu elle a été configurée comme il se doit. Vous devez inspecter chaque interface pour vérifier que vous avez correctement défini le port. Vous devez également vous assurer que les adresses MAC statiques ont elles aussi été configurées comme il se doit. Vérifier les paramètres de sécurité des ports Pour afficher les paramètres de sécurité des ports du commutateur ou de l interface spécifiée, utilisez la commande show portsecurity [interface id_interface]. Le résultat obtenu est le suivant : nombre maximal autorisé d adresses MAC sécurisées pour chaque interface ; nombre d adresses MAC sécurisées dans l interface ; nombre de violations de la sécurité ; Mode de violation Vérifier les adresses MAC sécurisées Cliquez sur le bouton Vérifier les adresses MAC sécurisées dans la figure. Pour afficher toutes les adresses MAC sécurisées configurées dans toutes les interfaces de commutation ou sur une interface définie avec informations d obsolescence pour chacune, utilisez la commande d adresse show port-security [interface id_interface] Sécurisation des ports inutilisés Désactivation des ports inutilisés Dans cette rubrique, vous allez apprendre à utiliser une simple commande Cisco IOS pour sécuriser des ports inutilisés du commutateur. Une méthode simple à laquelle nombre d administrateurs ont recours pour mieux protéger leur réseau contre tout accès non autorisé est de désactiver tous les ports qui ne sont pas exploités sur un commutateur réseau. Par exemple, imaginez un commutateur Cisco 2960 doté de 24 ports. Si trois connexions Fast Ethernet sont utilisées, la bonne démarche à suivre en matière de sécurité est de désactiver les 21 ports non utilisés. La figure montre un résultat partiel de cette configuration. La désactivation de plusieurs ports sur un commutateur est un jeu d enfant. Accédez à chaque port inutilisé et émettez la commande shutdown de Cisco IOS. Un autre moyen pour arrêter plusieurs ports est l utilisation de la commande interface range. Si vous devez activer un port, vous pouvez manuellement entrer la commande no shutdown dans cette interface. Le processus d activation et de désactivation des ports peut être fastidieux, mais le gain en termes d optimisation de la sécurité sur votre réseau justifie cet effort.