Configurer un Commutateur Commutation LAN et Wireless Chapitre 2 ITE I Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1
Objectifs Expliquer brièvement le fonctionnement d'ethernet tel qu'il est défini pour les LANs 100/1000 Mb/s dans le standard IEEE 802.3. Expliquer les fonctions qui permettent à un commutateur d'acheminer les trames Ethernet dans un LAN. Configurer un commutateur pour qu'il fonctionne dans un réseau conçu pour transporter la voix, la vidéo et les données. Configurer la sécurité de base sur un commutateur pour qu'il fonctionne dans un réseau conçu pour transporter la voix, la vidéo et les données. 2
Description du fonctionnement d'ethernet tel qu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s Description des éléments clés des réseaux Ethernet/802.3 Unicast: Un émetteur et un récepteur Broadcast: Un émetteur et toutes les autres adresses Multicast: Un émetteur et un groupe d'adresses 3
Description du fonctionnement d'ethernet tel qu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s Description des principes des réseaux Ethernet/802.3 Latence du réseau Chaque équipement placé dans le chemin introduit une latence La carte d'interface réseau transmet une impulsion sur le câble La carte interface réseau destination interprète le signal Le signal se propage sur le câble Le signal traverse l'équipement réseau 4
Description du fonctionnement d'ethernet tel qu'il est défini dans le standard IEEE 802.3 pour les LANs 100/1000 Mb/s Description des principes mis en œuvre dans les LANs pour réduire la latence du réseau Contrôler la latence du réseau - Latence causée par chaque équipement dans le réseau Un commutateur du niveau cœur de réseau supportant 48 ports opérant à 100 Mb/s en full duplex requiert un débit de traversée de 96 Gb/s si celui-ci veut maintenir un débit de 100 Mb/s simultanément sur tous les ports. - Des équipements de couches hautes du modèle OSI peuvent accroître la latence dans le réseau Un routeur doit extraire les informations d'adressage pour les interpréter. Ce traitement introduit de la latence. Equilibrer l'utilisation d'équipements de couche haute pour réduire la latence tout en limitant la portée du trafic de diffusion ou le taux de collision. 5
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN Méthodes d'acheminement du commutateur Méthodes d'acheminement des trames Store and Forward Cut-through La trame complète est reçue puis acheminée La trame est acheminée par le commutateur avant d'être entièrement reçue. 6
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN Commutation symétrique et asymétrique Commutation symétrique et asymétrique Asymétrique Tous les ports n'ont pas la même vitesse Symétrique Tous les ports ont la même vitesse 7
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN Fonctionnement des "buffers" mémoire Buffering basé sur le port et mémoire partagée Mémoire basée sur le port Mémoire partagée Dans le buffering mémoire basé sur le port, les trames sont stockées dans des files liées en des ports entrants. Dans le buffering mémoire partagée, les trames sont stockées dans un buffer mémoire commun partagé par tous les ports. 8
Fonctions qui permettent à un Commutateur d'acheminer les trames Ethernet dans un LAN Comparaison de la commutation Couche 2 avec la commutation Couche 3 Comparaison Commutateur Couche 3 et Routeur Caractéristique Commutateur Couche 3 Routeur Routage couche 3 Supporté Supporté Gestion du trafic Supporté Supporté Support WIC Protocoles de routage avancés Routage rapide Supporté Supporté Supporté 9
Configurer un commutateur Description des commandes de l'ios Cisco utilisées pour gérer l'interface ligne de commande Mode de l'interface ligne de commande Syntaxe de commande de l'ios Cisco Bascule du mode EXEC privilégié en mode de configuration global. L'invite (config)# signifie que le commutateur est en mode de configuration global. Passe du mode configuration global au mode de configuration interface pour l'interface fastethernet0/1. L'invite (config-if)# signifie que le commutateur est en mode de configuration interface. Bascule du mode de configuration interface en mode de configuration global. L'invite (config)# signifie que le commutateur est en mode de configuration global. L'invite switch# signifie que le commutateur est en mode EXEC privilégié. switch# configure terminal switch(config)# switch(config)#interface fastethernet 0/1 switch(config-if)# switch(config-if)# exit switch(config)# switch# 10
Configurer un commutateur Description des facilités de l'aide en ligne de l'ios Cisco Configuration de la sécurité de port sur un commutateur Catalyst Cisco Syntaxe de commande de l'ios Cisco Bascule du mode EXEC privilégié en mode de configuration global. S1# configure terminal Spécifie le type et le numéro de l'interface S1(config)# interface fastethernet 0/18 physique à configurer, exemple Fa0/18, et entre en mode de configuration interface.. Passe l'interface en mode accès. Une interface en mode "dynamic desirable" par défaut ne peut pas être configuré comme port sécurisé. Active la sécurité de port sur l'interface. S1(config-if)# switchport mode access S1(config-if)# switchport port-security Retour en mode EXEC privilégié. S1(config-if)# end 11
Configurer un commutateur Description des facilités de l'aide en ligne de l'ios Cisco Configuration des paramètres de la sécurité de port sur un commutateur Catalyst Cisco Syntaxe de commande de l'ios Cisco Bascule du mode EXEC privilégié en mode de configuration global. Spécifie le type et le numéro de l'interface physique à configurer, exemple Fa0/18, et entre en mode de configuration interface.. Passe l'interface en mode accès. Une interface en mode "dynamic desirable" par défaut ne peut pas être configuré comme port sécurisé. Active la sécurité de port sur l'interface. Fixe le nombre maximum d'adresses sécurisées à 50. Active l'apprentissage d'une adresse. Retour en mode EXEC privilégié. S1# configure terminal S1(config)# interface fastethernet 0/18 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security maximum 50 S1(config-if)# switchport port-security mac-address sticky S1(config-if)# end 12
Configurer un commutateur Décrire les commandes de l'ios Cisco utilisées pour gérer l'historique des commandes Commande show history Utilisez la commande show history pour afficher les commandes entrées récemment. Configurer l'historique Syntaxe de commande de l'ios Cisco Valide l'historique. Cette commande peut-être exécutée en mode utilisateur ou en mode EXEC privilégié. Configure la taille de l'historique. L'historique du terminal peut contenir jusqu'à 256 lignes de commande. Réinitialise la taille de l'historique à sa valeur par défaut (10 commandes). Désactive l'historique. Switch# terminal history Switch# terminal history 50 Switch# no terminal history size Switch# terminal no history 13
Configurer un commutateur Décrire la séquence de démarrage d'un commutateur Cisco Description de la séquence de démarrage (boot) Séquence de démarrage d'un Commutateur Cisco: - Le commutateur charge le logiciel "boot loader" situé dans la NVRAM. - Le "boot loader": Exécute l'initialisation bas niveau de la CPU Exécute le test POST pour le sous-système CPU Initialise le système de fichier flash sur la carte système. Charge l'image par défaut du système d'exploitation en mémoire puis démarre le commutateur. - Le commutateur opère en utilisant le fichier config.text stocké en mémoire flash. Le "boot loader" peut vous aider à récupérer d'un "crash" du système d'exploitation - Permet un accès au commutateur si le système d'exploitation a des problèmes assez sérieux qui l'empêchent de fonctionner. - Permet un accès aux fichiers stockés dans la mémoire flash avant que le système d'exploitation soit chargé. - Utilisation des commandes du "boot loader" pour les fonctions de récupération. 14
Configurer un commutateur Comment préparer un commutateur pour sa configuration Port Console 15
Configurer un commutateur Comment réaliser une configuration de base Configurer la connectivité IP PC1 Fa0/18 S1 PC1: S1: Adresse IP : 172.17.99.12 VLAN 99 - VLAN d'administration Connecté au port console Adresse IP : 172.17.99.11 Connecté au port Fa0/18 de S1 Port Fa0/18 affecté au VLAN 99 Pour l'administration, une adresse de couche 3 doit être affectée au commutateur. Le VLAN 1 est l'interface d'administration par défaut pour tous les commutateurs Il y a des risques de sécurité associés au VLAN 1. Créez un autre VLAN comme par exemple le VLAN 99 ou le VLAN 150. Affectez ce VLAN à un port, par exemple le port Fa0/18. 16
Configurer un commutateur Comment vérifier la configuration de l'ios en utilisant la commande show Utilisation des commandes show Syntaxe de commande de l'ios Cisco Affiche l'état et la configuration d'une interface ou de toutes les interfaces du commutateur. Affiche la configuration de démarrage. Affiche la configuration courante. Affiche des informations sur le système de fichiers de la Flash. Affiche les informations d'état et de version de logiciel. Affiche l'historique des commandes. Affiche l'information IP. L'option interface affiche l'état et la configuration IP de l'interface. l'option http affiche l'information HTTP opérant sur le commutateur. L'option ARP affiche la table ARP. Affiche la table des adresses MAC show interfaces [interface-id] show startup-config show running-config show flash: show version show history show ip {interface http arp} show mac-address table 17
Configurer un commutateur Comment gérer les fichiers de configuration de l'ios Cisco Sauvegarde et restauration de la configuration d'un commutateur Syntaxe de commande de l'ios Cisco Version formelle de la commande copy de l'ios Cisco. Confirme le nom de fichier destination. Pressez la touche Enter pour accepter et utilisez CTRl-C pour annuler la commande. Version simplifiée de la commande copy de l'ios Cisco. Les suppositions sont que le fichier running-config fait partie du système et que startup-config sera stocké en flash NVRAM. Pressez la touche Enter pour accepter et utilisez CTRl-C pour annuler la commande. Sauvegarde de startup-config dans un fichier stocké en flash. Confirmez le nom de fichier destination. Pressez la touche Enter pour accepter et utilisez CTRl-C pour annuler la commande. S1# copy system:running-config flash:startup-config Destination filename [startup-config]? S1# copy running-config startup-config Destination filename [startup-config]? S1# copy system:running-config flash:config.bak1 Destination filename [config-bak1]? 18
Configurer la sécurité de base sur un commutateur Description des commandes de l'ios Cisco utilisées pour configurer les options de mot de passe Configurer les mots de passe Syntaxe de commande de l'ios Cisco Bascule du mode EXEC privilégié en mode de configuration global. Configure le mot de passe enable pour entrer en mode EXE C privilégié. Configure le mot de passe secret pour entrer en mode EXE C privilégié. Retour en mode EXEC privilégié. S1# configure terminal S1(config)# enable password password S1(config)# enable secret password S1(config)# end 19
Configurer la sécurité de base sur un commutateur Description des commandes de l'ios Cisco utilisées pour configurer une bannière de login Configurer une bannière de login Syntaxe de commande de l'ios Cisco Bascule du mode EXEC privilégié en mode de configuration global. Configure une bannière de login. S1# configure terminal S1(config)# banner login "Authorized Personnel Only". Configurer une bannière de MOTD Syntaxe de commande de l'ios Cisco Bascule du mode EXEC privilégié en mode de configuration global. Configure une bannière MOTD de login. S1# configure terminal S1(config)# banner motd "Device maintenance will be occurring on Friday!" 20
Configurer la sécurité de base sur un commutateur Comment configurer Telnet et SSH sur un commutateur Telnet et SSH Telnet - Méthode d'accès la plus courante - Transmet les messages en texte clair - N'est pas sécurisé Configurer Telnet Configurer SSH SSH - Doit être la méthode d'accès - Transmet les messages sous forme cryptée - Est sécurisé 21
Configurer la sécurité de base sur un commutateur Description des attaques de sécurité communes d'un commutateur. Cette description inclut, l'inondation d'adresses MAC, les attaques d'usurpation, les attaques CDP et les attaques Telnet MAC B De fausses adresses sont ajoutées dans la table d'adresses MAC MAC Port X 3 Y 3 C 3 Port 1 Port 2 S1 L'attaquant commence àenvoyer de fausses adresses MAC MAC A X et Y sont sur le port 3 et la table d'adresses MAC est miseà jour. Port 3 Y->? MAC C Un intrus opère avec un outil d'attaque sur MAC C 22
Configurer la sécurité de base sur un commutateur Description de l'utilisation des outils de sécurité qui sont utilisés pour améliorer la sécurité réseau Outils de sécurité Les outils de sécurité réseau réalisent ces fonctions: - Les Audits de sécurité réseau vous aident à: Connaître quel sorte d'informations un attaquant peut rassembler simplement en supervisant le trafic réseau. Déterminer le volume idéal d'adresses MAC usurpées à retirer. Déterminer la durée de validité de la table d'adresses MAC. - Les Test de pénétration réseau vous aident à: Identifier les faiblesses dans les configurations de vos équipements de réseau. Lancer de nombreuses attaques pour tester votre réseau. Attention: Planification des tests de pénétration pour éviter des impacts négatifs sur les performances du réseau. 23
Configurer la sécurité de base sur un commutateur Pourquoi est-il nécessaire de sécuriser les ports sur un commutateur? Caractéristiques des Outils de sécurité Les caractéristiques communes d'un outil de sécurité réseau moderne sont: - Service d'identification - Support de services SSL - Tests non-destructifs et destructifs - Base de données des vulnérabilités Vous pouvez utiliser des outils de sécurité réseau pour: - Capturer des messages de discussion - Capturer des fichiers de trafic NFS - Capturer des requêtes HTTP au format Common Log - Capturer des messages au format mbox Berkeley - Capturer des mots de passe - Afficher des URLs de capture dans Netscape en temps-réel - Inonder un commutateur LAN avec des adresses MAC aléatoires - Construire des réponses vers des requêtes d'adresses DNS et de pointeur - Intercepter des paquets sur un LAN commuté 24
Configurer la sécurité de base sur un commutateur Description des commandes de l'ios Cisco utilisées pour bloquer les ports non utilisés Sécurité de port par défaut Caractéristique Sécurité de port Nombre maximum d'adresses MAC sécurisées Mode de violation Apprentissage d'adresse Valeur par défaut Non activée sur un port. 1 Shutdown. Le port est bloqué quand le nombre maximum d'adresses sécurisées est dépassé. Un trap SNMP est transmis. Non activé. 25
Résumé Architecture LAN - Processus qui explique comment un LAN doit être implémenté - Facteurs à prendre en compte dans l'architecture LAN Domaines de collision Domaines de Broadcast Latence du réseau Segmentation LAN 26
Résumé Méthodes d'acheminement du commutateur - Store and forward Utilisée par les commutateurs Catalyst Cisco - Cut through Deux types Cut through Fast forwarding 27
Résumé Commutation Symétrique - La commutation est réalisée entre des ports qui ont la même vitesse Commutation Asymétrique - La commutation est réalisée entre des ports qui ont des vitesses différentes 28
Résumé La CLI de l'ios CISCO comprend les caractéristiques suivantes: - Aide intégrée - Historique des commandes Sécurité du commutateur - Protection par mot de passe - Utilisation de SSH pour un accès à distance - Sécurité de Port 29
30