Modélisation Hiérarchique du Réseau F. Nolot 2009 1
Modélisation Hiérarchique du Réseau Pourquoi et comment hiérarchiser? F. Nolot 2009 2
Construire un réseaux? Un réseau n'est pas la simple accumulation de switch et routeur! Il faut l'organiser, le hiérarchiser Pour simplifier son administration Pour isoler rapidement les problèmes Pour rendre modulable le réseau et pour pouvoir facilement l'agrandir Un réseau d'entreprise est donc découpé suivant un modèle en 3 couches Access Layer Distribution Layer Core Layer Chaque couche va avoir des fonctionnalités particulières F. Nolot 2009 3
Access Layer F. Nolot 2009 4
Distribution Layer F. Nolot 2009 5
Rôle du la Distribution Layer De limiter les zones de broadcast Router les données entre VLAN Eviter certaines données de transiter vers certains VLAN F. Nolot 2009 6
Core Layer C'est le backbone du réseau Doit transférer les données le plus rapidement possible Apporte la connexion à Internet ou aux autres réseaux de la société via un MAN ou WAN F. Nolot 2009 7
Représentation physique Généralement, une salle de brassage par étage Serveur dans une salle spécialisée Tous les étages reliés au core layer F. Nolot 2009 8
Avantages d'une architecture hiérarchique Scalabilité Pouvoir faire des agrandissements du réseau simplement Redondance Les services doivent être opérationnel 24/24 Exemple : pour la ToIP, on doit avoir une fiabilité de 99,999%, soit 5 min par an d'interruption de service. Fiabilité que nous avons en téléphonique classique Performance Eviter des goulots d'étranglement Sécurité Sécurisation des données et des accès au plus près de la source Administration simplifiée Maintenance facilité en raison de la modularité du réseau F. Nolot 2009 9
Vocabulaire Diamètre : c'est la distance la plus grande des distances parmi le chemin le plus courte entre les 2 équipements F. Nolot 2009 10
Vocabulaire Agrégation de liens : mise en commun de plusieurs liens reliant les mêmes équipements afin d'augmenter le débit entre ces 2 équipements Avec 2 liens 100 Mb/s entre 2 équipements, on peut alors créer une liaison 200 Mb/s F. Nolot 2009 11
Vocabulaire Redondance F. Nolot 2009 12
Hierarchical Network Model Introduction aux réseaux convergents F. Nolot 2009 13
La convergence? Utiliser le réseau data pour la voix Ouverture vers de nouveaux usages Communication vocale + envoie de document sur un ordinateur Interconnexion du téléphone et de l'ordinateur Actuellement 3 réseaux La voix (le téléphone) La vidéo (vidéo-surveillance par exemple) Les données F. Nolot 2009 14
Hierarchical Network Model Choisir les équipements? F. Nolot 2009 15
Évaluation des besoins Pour faire le choix d'un équipement, vous avez besoin de connaître au moins : La destination des informations L'ensemble des utilisateurs concernés Les serveurs Les serveurs de stockage Analyse du trafic Charge CPU utilisé Taux de packet perdu Quantité de mémoire utilisée Temps moyen de traitement Les outils De très nombres outils existent Libre : Cacti, Nagios, Centreon,... Commerciaux : Solarwinds NetFlow, IBM Tivoli, CiscoWorks, HP Openview F. Nolot 2009 16
Communautés d'utilisateurs Localisation des communautés d'utilisateurs pour regrouper leur connexion Assez souvent les utilisateurs ayant les mêmes rôles travaillent aux mêmes endroits Prévoir des agrandissements éventuels Connaître leurs usages pour placer au mieux les serveurs Modèle client-serveur : les clients envoient régulièrement leur donnée vers le serveur Modèle serveur à serveur : échange d'info, sauvegarde ou stockage Il faut donc optimiser les connexions des clients et des serveur sur les switchs afin d'«équilibrer» les bandes passantes F. Nolot 2009 17
Les switchs existants Switches avec un nombre de ports fixe (24 ou 48 ports) Switches modulable, en chassis sur lesquel on peut ajouter des cartes de plusieurs de ports Stackable Switches : relie les switch entre-eux avec un câble spécial. Solution financièrement intermédiaire entre l'achat d'un switch à nombre de port fixe et le chassis F. Nolot 2009 18
Les fonctionnalités Autres critères de choix : la densité, le débit ou l'agrégation des bandes passantes La densité : le nombre de port par switch : 24 ou 48 avec ou sans connecteur spécifique pour les uplink. Un chassis peut avoir jusque 1000 ports Le débit : quels doivent être les débits de chaque port : 100 Mb/s, 1 Gb/s ou plus? Un switch 48 ports à 1 Gb/s devra pouvoir gérer 48 Gb/s au total. En access layer, pas forcément besoin d'une tel bande passante car limitation sur l'uplink L'agrégation de liens : peut être une solution pour augmenter le débit entre 2 équipements F. Nolot 2009 19
Et pour la convergence? Une fonctionnalité nouvelle : le PoE (Power Over Ethernet) Avec l'apparition des téléphones IP et des bornes sans fil, il est apparu le PoE pour pouvoir alimenter électriquement les équipements via le câble Ethernet F. Nolot 2009 20
Fonctionnalités Couche 3 F. Nolot 2009 21
Fonctions de l'access Layer F. Nolot 2009 22
Fonction de la Distribution Layer F. Nolot 2009 23
Fonctions du Core Layer F. Nolot 2009 24
Conclusion Un réseaux doit donc être hiérarchisé Une étude des rôles et des usages des utilisateurs doit être faite Décider quels types de switchs il faut avoir : fixe, modulaire ou stackable Forte ou faible densité, quel débit par port, agrégation de liens envisagé ou pas? Besoin ou pas du PoE? F. Nolot 2009 25
Concepts de la commutation, IOS et sécurité F. Nolot 2009 26
Concepts de la commutation, IOS et sécurité Les réseaux Ethernet et 802.3 F. Nolot 2009 27
Fonctionnement CSMA/CD Sur réseau half-duplex, la technologie Carrier Sense Multiple Access/Collision Detect (CSMA/CD) est utilisée Les réseaux full-duplex n'utilisent pas cette technologie Carrier Sense Avant de transmettre, les devices du réseau doivent écouter avant de transmettre Si un signal est détecté, la transmission est mise en attente Pendant une transmission, le device continue à faire son écoute afin de savoir si une collision a lieu Multi-access Plusieurs devices utilisent le même média de communication. Une émission peut donc avoir lieu et pendant ce temps, comme le signal va mettre un certain temps à parcourir le média de communication, un autre device peut se mettre à faire une transmission Collision Detect Détection de collision (= sur-tension) permet de détecter un problème de transmission En cas de collision, tous les devices vont exécuter le backoff algorithm : arrêter leur transmission et attendre un temps aléatoire avant de recommencer, le temps que la collision disparaisse F. Nolot 2009 28
Mode de communication Ethernet Sur un réseaux commuté, 3 modes de communication Unicast Un datagramme (ou trame) d'un émetteur à destination d'un unique device Broadcast Un datagramme d'un émetteur à destination de tous les devices connectés. Exemple d'utilisation : les requêtes ARP pour connaître l'adresse Ethernet d'un device qui répond à une adresse IP donnée Multicast Un datagramme d'un émetteur à destination d'un ensemble de devices qui forment un groupe logique. Exemple : diffusion d'un vidéo à quelques devices uniquement. F. Nolot 2009 29
Format de la trame IEEE 802.3 F. Nolot 2009 30
L'adresse MAC F. Nolot 2009 31
Half ou Full Duplex Half-Duplex Communication unidirectionnelle Forte probabilité de collision Mode de connectivité d'un hub Full Duplex Communication bidirectionnelle en point à point Très faible probabilité de collision Collision Detect est désactivé Les switchs peuvent, soit négocier le mode de duplex (fonctionnement par défaut), soit le fixer Il est également possible de faire du auto-mdix pour croiser ou décroiser automatiquement les connexions (reconnaissance automatique du type de câble) F. Nolot 2009 32
Table Mac Apprentissage des adresses MAC source des trames qui passent Si une trame de broadcast arrive sur un switch, elle est retransmise sur tous ses ports, à l'exception du port de la source Si une trame dont la MAC de destination est connu par le switch, il envoie alors cette trame sur le port correspondant Sinon, il broadcast la trame sur tous ses ports, à l'exception du port source F. Nolot 2009 33
Bande passante et débit Sur un réseau commuté, les collisions ne peuvent avoir lieu que sur le lien entre le switch et le device (connexion de type point à point) On parle de domaine de collision Un domaine de collision est la zone dans laquelle une collision peut avoir lieu. Sur un switch, nous avons un domaine de collision par port. Le switch réduit les domaines de collision Entre chaque device, nous avons donc la totalité de la bande passante disponible Sur un hub, la bande passante est divisée par le nombre de device de connecté dessus. F. Nolot 2009 34
Domaine de broadcast C'est la zone dans laquelle va se propager une trame de broadcast Sur un switch, le broadcast est diffusé sur tous ses ports. Seul un device de couche 3 comme un router ou la mise en place de Virtual LAN (VLAN) peut arrêter une trame de broadcast F. Nolot 2009 35
La latence C'est le temps d'acheminement d'une trame ou packet d'une source vers une destination La latence est induite par au moins 3 éléments La carte réseaux qui va transformer le signal numérique en signal électrique (ou optique) Le câble de transmission. Sur un câble Cat 5 UTP de 100m, il faut environ 0,556 micro secondes pour parcourir le câble Chaque device qui se trouve sur le chemin entre la source et la destination Chaque device va avoir induire une latence différente Un router doit analyser la trame jusque la couche 3, cela prend donc plus de temps Un switch fait son analyse uniquement sur la couche 2 et possède des ASIC (application-specific integrated circuits) pour fournir des temps de traitements plus court F. Nolot 2009 36
La congestion Segmenter un réseau permet d'augmenter la bande passante entre les devices Sinon, nous obtenons des congestions (ou goulot d'étranglement) Les causes de ces congestions L'augmentation des vitesses des ordinateurs et cartes réseaux L'augmentation du volume d'informations que l'on envoie sur le réseau Les applications qui sont de plus en plus complexes et utilisent de plus en plus des technologies de collaboration ou des contenus dit riches (vidéo, animation,...) F. Nolot 2009 37
Intérêt de la segmentation F. Nolot 2009 38
Intérêt de la segmentation domaines de collision F. Nolot 2009 39
Intérêt de la segmentation domaines de broadcast F. Nolot 2009 40
Un réseau efficace Un switch 48 ports 1Gb/s doit avoir une bande passante internet de 96 Gb/s (Full-duplex) Suppression de goulot d'étranglement Soit 6 PC et un serveur avec des connexions 1 Gb/s F. Nolot 2009 41
Concepts de la commutation, IOS et sécurité Le fonctionnement des switchs F. Nolot 2009 42
Mode de commutation 2 variantes dans le cut-through Fast-fordwarding : regarde que la MAC destination Fragment-free :sotckage des 64 premiers octets avant transmission car il s'avère que la plupart des erreurs de transmission ont lieu pendant la trasmission de ces 64 premier bits F. Nolot 2009 43
La gestion mémoire F. Nolot 2009 44
Switching niveau 2 et 3? F. Nolot 2009 45
Concepts de la commutation, IOS et sécurité Les bases de l'ios F. Nolot 2009 46
Le modes en résumé F. Nolot 2009 47
Configuration de base Cable console entre l'équipement et le PC Configuration de votre outil de communication série 9600 bit/s, data bits 8, Parity None, Stop bits 1 On parle généralement du config en 9600,8,N,1 F. Nolot 2009 48
Configuration de base F. Nolot 2009 49
Configuration de base F. Nolot 2009 50
Configuration de base F. Nolot 2009 51
Vérification d'une configuration F. Nolot 2009 52
Configuration de l'interface Web F. Nolot 2009 53
Backup de configuration Également possible de faire des sauvegarde (ou restauration) via TFTP F. Nolot 2009 54
Concepts de la commutation, IOS et sécurité La sécurisation d'un switch F. Nolot 2009 55
Mot de passe sur la console F. Nolot 2009 56
Mot de passe sur les connexions Virtuelles Cela correspond au connexion telnet F. Nolot 2009 57
Sécurisation du mode enable Enable password : mot de passe stocké en clair dans le fichier running-config Si le service password-encryption n'est pas activé Enable secret : mot de passe stocké de façon crypté dans le fichier running-config F. Nolot 2009 58
Restauration du mot de passe enable Sur un switch 2960 Connexion au port console et éteindre le switch Rebrancher le switch et rester appuyer sur le bouton Mode jusqu'à ce que le System LED soit orange puis vert fixe (et plus de clignotement) Taper : flash_init load_helper Renommer ou supprimer le fichier flash:config.text ou startup-config Boot Suivant les modèles la procédure peut changer mais le principe reste toujours le même : supprimer ou renommer le fichier de configuration lu au démarrage et donc stocké dans la flash F. Nolot 2009 59
Banner et MOTD Pour afficher un message à chaque personne qui se connecter sur l'équipement banner login "..." Pour afficher un Message Of The Day (MOTD) (afficher avant le banner login) Banner motd " " F. Nolot 2009 60
Access telnet et ssh Telnet : transmission en clair SSH : création d'un tunnel crypté entre la source et la destination Sur les line vty transport input telnet Ou transport input ssh Ou transport input all Pour activer l'accès ssh, il faut en plus faire hostname... ip domain-name... Crypto key generate rsa ip ssh version 2 Attention : pour pouvoir utiliser ssh version 2, il faudra générer une clé RSA >= 768 bits. Par défaut, les clés sont de 512 bits. Recommandé de choisir des clés multiple de 1024. F. Nolot 2009 61
MAC Flooding? Une attaque classique sur les switchs : saturation de sa table MAC Quand le switch ne connait pas la MAC destination, il fait du broadcast Quand la table MAC est pleine, le switch va donc faire du broadcast pour chaque trame F. Nolot 2009 62
Attaque type spoofing C'est de l'usurpation d'identité Peut-être fait avec un serveur DHCP non légitime sur le réseau Ainsi, on connait parfaitement l'ip et la passerelle que l'on attribue à un client Désactivation du serveur DHCP légitime en lui demandant toutes les IP possibles et on lui fait croire qu'elles sont toutes utilisées Solution : DHCP Snooping Configurable sur les switchs On définit les ports légitimes aux réponses des DHCP Request Configuration ip dhcp snooping ip dhcp snooping vlan number Sur le port légitime ou illégitime : ip dhcp snooping trust F. Nolot 2009 63
Autres attaques classiques Récupération d'informations via CDP Découverte des versions de l'ios et autres informations via CDP car protocole de couche 2 et information en clair Conseil : désactiver CDP Telnet Attaque par brute force et protocole non sécurisé Conseil : utiliser à la place de telnet plutôt ssh Recommandation générale : vérifier et tester régulièrement la sécurité de votre réseau et des accès à vos équipements F. Nolot 2009 64
Sécuriser l'accès aux ports Pour éviter que n'importe qui se connecte sur les port d'un switch, il est possible de faire un contrôle sur les adresses MAC des machines connectées sur chaque port Pour activer cette sécurité sur l'interface concernée : Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Définition des adresses MAC autorisées sur un port Adresse MAC fixée Switch(config-if)# switchport port-security mac-address 0123.4567.1423.7890 Ou apprentissage de l'adresse MAC (source) de la première trame qui traversera le ports Switch(config-if)# switchport port-security mac-address sticky Après apprentissage, l'adresse sera dans le running-config comme une adresse fixée Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre Switch(config-if)# switchport port-security maximum nombre F. Nolot 2009 65
Politique de sécurité Plusieurs politiques de sécurité peuvent être envisagées en cas de violation Soit on bloque définitivement le port lors d'une usurpation d'adresse MAC Switch(config-if)# switchport port-security violation shutdown Soit on bloque toutes les trames avec des adresses MAC inconnus et on laisse passer les autres Switch(config-if)# switchport port-security violation protect Soit un message dans le syslog et via SNMP sont envoyés. De plus le compteur du nombre de violation est incrémenté. Switch(config-if)# switchport port-security violation restrict Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité faire un shutdown suivi d'un no shutdown Recommandation : désactiver manuellement tous les ports non utilisés F. Nolot 2009 66
Information sur les @ MAC et l'état d'un port Pour visualiser la politique de sécurité d'une interface Switch# show port-security interface... Pour visualiser les adresses MAC connues sur les ports Switch# show port-security address Switch#show port-security interface FastEthernet 0/4 Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 1 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address : 0000.0000.0000 Security Violation Count : 0 Switch# 00:02:35: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 02e0.4c39.37dd on port FastEthernet 0/4 F. Nolot 2009 67
Résumé du port Security F. Nolot 2009 68
Concepts de la commutation, IOS et sécurité Questions? F. Nolot 2009 69