1 Configuration de base du commutateur Retrouver dans la documentation config2960fr.pdf tous les éléments permettant de réaliser une communication via le port console du commutateur : NB : si le commutateur est déjà configuré, on peut effacer la configuration en appuyant pendant 10 secondes sur le bouton «mode» Le type de communication et les paramètres de celle-ci. C est une liaison série. Les paramètres sont : 9600 bauds, 8 bits d informations, aucune parité, 1 bit d arrêt et aucun contrôle de flux. Le type de câble et les ports physiques à utiliser sur l'ordinateur et sur le commutateur. Il faut un câble inversé aussi appelé câble console. Il doit être branché sur une prise DB9 de l ordinateur appelée COM. Sur le switch la prise est du type RJ45 (de même type que les prises réseaux), elle est repérée par son nom «console» et se trouve au dos du switch. Les applications logicielles disponibles permettant d'établir cette communication. On peut utiliser toutes les applications émulant un terminal comme par exemple «Hyperterminal» ou «PUTTY» Effectuer la connexion physique entre l'ordinateur et le commutateur puis lancer l'application choisie permettant l'établissement de la communication avec le commutateur (Taper Entrée pour communiquer avec le commutateur). Exemple d écran affiché par PUTTY pour sa configuration. On obtient l émulation du terminal en cliquant sur «open» Effectuer le paramétrage de base du commutateur en respectant le cahier des charges suivant : Nom du commutateur : constitué des noms du binôme Mot de passe pour l accès console : cons. Mot de passe pour l accès au mode privilégié : admin. Mot de passe pour l accès aux lignes virtuelles utilisées pour l'application telnet : virt. Suite de commandes suivantes :
2 Configuration de l'adresse IP et des VLANs du commutateur Créer un VLAN 3 de nom administration switch et un VLAN 4 de nom utilisateurs. * Configurer l'adresse IP du commutateur sur le VLAN d'administration conformément à la topologie du réseau (voir le document Topologie_TP1.pdf). Affecter les ports fa0/1 et fa0/2 au VLAN d'administration et tous les autres ports au VLAN des utilisateurs. Deux méthodes possibles, soit on affecte tous les ports un par un au VLAN associé soit on utilise la commande «range». L exemple suivant montre les deux possibilités.
Sauvegarder la configuration courante dans la configuration de démarrage. Il faut taper la commande «copy running-config startup-config»: Taper les commandes suivantes et indiquer les renseignements principaux fournis par chacune : o show vlan brief Cette commande affiche les VLANS créés, les ports qui y sont affectés et le statut du VLAN. o show ip interface
Beaucoup d informations sont données, ce qui nous intéresse pour l instant est le début. On y trouve les différents VLAN créés ainsi que leur état (down ou up) et l adresse IP éventuellement donné au VLAN. o show interfaces trunk Cette commande actuellement n affiche rien car aucune interface n a été configurées en mode TRUNK. Dans le cas contraire on verrait les différents ports en mode TRUNK et leurs caractéristiques (VLAN natif, VLAN autorisés ). Voir exemple ci-dessous pour le switch SWT. 3 Configuration des hôtes, tests de connectivité Les adresses IP des ordinateurs seront du type : 192.168.100.XY (X : N du binôme, Y : au choix de 0 à 9) avec le masque par défaut 255.255.255.0. Configurer l'adressage IP de 2 ordinateurs PC1 et PC2. Il faut se rendre dans les propriétés de la carte réseau dans le «centre de réseau et partage «et saisir son adresse IP. Exemple :
Connecter PC1 sur fa0/3 et PC2 sur fa0/2. Tester la connectivité entre les 3 éléments (les 2 ordinateurs et le commutateur). Expliquer. La connectivité est testée à l aide de la commande PING (réalisée depuis le PC dont l adresses est 192.168.100.13). Exemple : Ping 192.168.100.12 On constate alors qu il est «Impossible de joindre l hôte distant». Ceci est normal puisque ils ne sont pas sur le même VLAN. Ils ne peuvent donc pas communiquer directement l un avec l autre.
Connecter PC1 sur fa0/3 et PC2 sur fa0/4. Tester la connectivité entre les 3 éléments (les 2 ordinateurs et le commutateur). Utiliser Wireshark pour analyser précisément les problèmes de connectivité éventuels : repérer la (ou les) trame(s) significatives, indiquer quels sont les protocoles mis en oeuvre, déterminer à quel niveau le problème se situe (2 ou 3?). On utilisera un filtrage dans Wireshark pour «cibler» les trames «intéressantes». Si on branche le PC2 sur FA0/4 on a la réponse suivante : Car les deux pc sont maintenant dans le même VLAN. Une capture WIRESHARK va ressembler à cela : On peut remarquer des trames STP qui permettent au SWITCH de vérifier qu il n y ait pas de boucles de commutation, mais celles-ci ne nous intéressent pas. Le PING met en œuvre deux mécanismes que l on peut retrouver dans la capture. - Utilisation du protocole ARP pour demander l adresse MAC de la machine de destination (trame 22 : requête ARP en broadcast et trame 23 : réponse ARP). - Utilisation du protocole ICMP pour vérifier la connectivité au niveau de l adressage IP.(trames 24 : requête ICMP et trame 27 : réponse ICMP). Lorsque les deux machines ne sont pas sur le même VLAN on a une capture similaire ou presque. En effet il y a bien le broadcast ARP mais la machine recherchée, n appartenant pas au même domaine de broadcast, elle ne reçoit pas cette requête : il n y a donc pas de réponses possible. La machine source réémet encore trois ARP sans réponses et à chaque fois on a sur la machine source le message «Impossible de joindre l hôte distant». Le problème se situe donc au niveau de la couche 2. En effet, le protocole ARP est un protocole de couche 2 car il n utilise que le protocole Ethernet pour fonctionner. On reste au niveau de l adresse MAC (matériel) car la carte réseau n arrive pas à obtenir l adresse IP de la machine distante. Déduire des questions précédentes l'intérêt du vlan d'administration en termes de sécurité sur les commutateurs. L intérêt du VLAN administration est de fournir une sécurité supplémentaire. En effet seules les machines connectées sur le VLAN d administration peuvent accéder à sa configuration. De plus les machines sur les autres VLAN ne peuvent pas «SNIFFER» ou espionner les échanges lors de l accès au SWITCH pour sa configuration car les informations ne passent pas d un VLAN à l autre.
4 Accès à distance du commutateur L'accès à distance sur les matériels réseaux peut s'effectuer avec différents protocoles (telnet, SSH). L'IOS de votre commutateur ne permet que l'utilisation de telnet alors que l'ios de SWT permet l'utilisation de SSH. L'objectif de cette partie est d'utiliser les deux protocoles et de les comparer. a) Session telnet : Établir une session telnet avec votre commutateur. On doit brancher le PC avec lequel on veut établir cette session sur un port Ethernet affecté au VLAN 3. En effet, l adresse IP du switch a été définie sur l interface virtuelle «vlan 3». Ce qui signifie que le switch appartient au domaine de broadcast du vlan 3. On utilise toujours PUTTY mais cette fois on coche TELNET et on saisit l adresse IP du VLAN d administration. Retrouver à l'aide de Wireshark le mot de passe de connexion virtuelle appelée vty dans la terminologie Cisco. La capture suivante nous montre que dans la partie donnée du protocole TELNET on trouve la lettre «V» du début de notre mot de passe. Si on regarde les données des trames TELNET suivantes, on trouvera «I» puis «R» puis «T». On constate que toutes les données transmises par le protocole TELNET sont lisibles. De plus on constate que les données sont transmises caractère par caractère ce qui fait de ce protocole un protocole inapproprié pour le transfert de gros fichiers.
b) Session SSH : SWT est configuré afin qu'on puisse établir une communication sécurisée sous SSH : Utilisateur : CISCO, mot de passe : CISCO. L adresse IP de SWT est 192.168.100.253 (adresse attribuée au switch SWT sur le vlan 3). Si on veut communiquer avec cette machine, il faut que le PC appartienne à ce vlan. On peut donc brancher notre PC sur le port FastEthernet0/1. Le port FastEthernet 0/2 (configuré en access sur le vlan 3) sera utilisé pour relier le switch étudiant à SWT sur un des ports FastEthernet0/1-9 (configuré eux aussi en access sur le vlan 3. Une fois, le lien physique réalisé, on utilise encore PUTTY en cochant l option SSH et en saisissant l adresse IP d administration de SWT (attention seul les machines sur le VLAN d administration peuvent y accéder). A l'aide du fichier de configuration de SWT : o Déterminer l'adresse IP de SWT à contacter pour établir la communication. L adresse IP de SWT est 192.168.100.253 o En déduire le port de SWT sur lequel se connecter physiquement pour accéder à son administration. Se connecter sur un port appartenant au VLAN 3 soit FA0/1 à FA0/9 de SWT Établir avec PuTTY une session SSH avec SWT. Voir capture ci-dessus Vérifier à l'aide de Wireshark que les données sont cryptées.
La capture suivante montre bien que la communication se fait maintenant à l aide du protocole SSH. De plus WIRESHARK nous indique que le client (PC) et que le serveur (SWT) communiquent à l aide de données cryptées («encrypted packet»). Si on essaie de lire ou si on fait une recherche sur «CISCO», on ne trouve à aucun moment ces données. Elles sont bien cryptées. Ceci permet de faire des échanges sans risques si une machine «hostile» sniffe le réseau. 5 Analyse de la configuration de SWT a) Remplir le tableau ci-dessous à l'aide du contenu du fichier de configuration courante (runningconfig) de SWT. Ports Mode : (access, trunk) VLAN autorisés VLAN untagged(802.3) VLAN(s) tagged(802.1q) Fa 0/1-fa0/9 Access 3 3 Fa0/10-fa0/11 trunk 2 à 4 2 3 et 4 Fa0/12 Trunk 6,8,9 8 6 et 9 Fa0/13-fa0/22 Trunk 3,4 4 3 Fa0/23 access 4 4 Fa0/24 access 15 15
b) Vérifier la cohérence entre le tableau et les informations données par les commandes show VLAN et show interfaces trunk. Expliquer les différences. Lors du «show VLAN» on remarque que les ports TRUNK inutilisés sont affectés au VLAN par défaut. Par exemple FA0/11 est affecté au VLAN 1 alors qu en réalité, il est configuré en TRUNK. Le «show TRUNK interface» nous montre les différentes interfaces configurées en TRUNK avec les VLAN autorisés et le VLAN natif. On constate que les ports configurés en TRUNK mais non branchés physiquement n apparaissent pas. Il n y a que ceux qui sont utilisés, si on souhaite le détail de chacun d entre eux il faut passer par un «show running-config». c) On souhaite établir une communication entre PC2 et PC4 qui est branché sur SW8. Le port sur lequel est connecté PC4 est configuré en mode Access VLAN 4. Proposer une modification de la configuration du port sur lequel est connecté PC2 pour permettre cette communication. Pour pouvoir communiquer avec PC4 le port sur lequel est branché PC2 doit être sur le VLAN 4. Pour la configuration du lien entre votre commutateur et SWT, il existe deux possibilités : soit un lien configuré en mode Access, soit un lien configuré en mode Trunk. Pour chacune des possibilités, proposer (sans modifier la configuration de SWT) : o Le câblage avec les ports utilisés sur les deux commutateurs. * Mode ACCESS :
Il faut un port sur le VLAN utilisateur (VLAN4) pour notre SWITCH et le brancher sur un port du VLAN utilisateur (VLAN4) de SWT. Seul Fa0/23 du switch SWT le permet car seul ce dernier appartient au VLAN 4 en mode ACCESS. * Mode TRUNK Nous devons configurer un port de notre commutateur en mode TRUNK qui doit être compatible avec un port en mode TRUNK de SWT et qui doit laisser passer le VLAN 4. On peut prendre par exemple FA0/10 de SWT et configurer à l identique notre switch sur l interface FA0/22 par exemple. interface FastEthernet0/22 switchport trunk native VLAN 2 switchport trunk allowed VLAN 2-4 switchport mode trunk 6 Remise en état initial du matériel Effacer la configuration sauvegardée et effectuer un rechargement du commutateur. Vérifier que la configuration au redémarrage est bien celle par défaut. Taper la commande «erase startup-config» puis débrancher le commutateur. On peut faire un démarrage à chaud en tapant «reload». Attention de bien répondre non quand le switch demande si l on souhaite sauvegarder la configuration courante. Remettre la configuration réseau initiale des ordinateurs (utiliser une adresse IP automatiquement).