46
Chapitre 2 – Cisco 3 CSMA/CD n’est employée que dans le cadre d’une communication bidirectionnelle non simultanée, généralement utilisée dans des concentrateurs. Les commutateurs bidirectionnels simultanés ne font pas appel à cette technologie. Si un périphérique détecte un signal provenant d’un autre périphérique, il patiente un certain temps avant d’essayer de transmettre un message. Si aucun trafic n’est détecté, le périphérique transmet son message. Lorsque la transmission a lieu, le périphérique continue d’écouter le trafic ou les collisions survenant sur le réseau local. Une fois le message envoyé, le périphérique revient au mode d’écoute par défaut. Signal de congestion : Dès qu’une collision est détectée, les périphériques émetteurs envoient un signal de congestion. Le signal de congestion informe les autres périphériques d’une collision pour leur permettre d’appeler un algorithme d’interruption. Cet algorithme demande à tous les périphériques de cesser leur transmission pendant un laps de temps aléatoire, ce qui permet d’atténuer les signaux de collision. Une fois le délai expiré sur un périphérique, ce dernier se remet en mode d’écoute avant transmission. Une période d’interruption aléatoire garantit que les périphériques impliqués dans la collision ne tentent pas d’envoyer leur trafic en même temps, ce qui inciterait le processus à se reproduire dans son intégralité. Les communications dans un réseau local commuté surviennent sous trois formes : monodiffusion : communication dans laquelle une trame est transmise depuis un hôte vers une destination spécifique. Ce mode de transmission

Chapitre 2 - Cisco 3

Embed Size (px)

Citation preview

Page 1: Chapitre 2 - Cisco 3

Chapitre 2 – Cisco 3CSMA/CD n’est employée que dans le cadre d’une communication bidirectionnelle non simultanée, généralement utilisée dans des concentrateurs. Les commutateurs bidirectionnels simultanés ne font pas appel à cette technologie.

Si un périphérique détecte un signal provenant d’un autre périphérique, il patiente un certain temps avant d’essayer de transmettre un message.

Si aucun trafic n’est détecté, le périphérique transmet son message. Lorsque la transmission a lieu, le périphérique continue d’écouter le trafic ou les collisions survenant sur le réseau local. Une fois le message envoyé, le périphérique revient au mode d’écoute par défaut.

Signal de congestion :

Dès qu’une collision est détectée, les périphériques émetteurs envoient un signal de congestion. Le signal de congestion informe les autres périphériques d’une collision pour leur permettre d’appeler un algorithme d’interruption. Cet algorithme demande à tous les périphériques de cesser leur transmission pendant un laps de temps aléatoire, ce qui permet d’atténuer les signaux de collision.Une fois le délai expiré sur un périphérique, ce dernier se remet en mode d’écoute avant transmission. Une période d’interruption aléatoire garantit que les périphériques impliqués dans la collision ne tentent pas d’envoyer leur trafic en même temps, ce qui inciterait le processus à se reproduire dans son intégralité.

Les communications dans un réseau local commuté surviennent sous trois formes : monodiffusion :

communication dans laquelle une trame est transmise depuis un hôte vers une destination spécifique. Ce mode de transmission nécessite simplement un expéditeur et un récepteur. La transmission monodiffusion est la forme de transmission prédominante adoptée sur les réseaux locaux et sur Internet. HTTP, SMTP, FTP et Telnet sont des exemples de protocoles qui utilisent des transmissions monodiffusion.

diffusion : communication dans laquelle une trame est transmise d’une adresse vers toutes les autres adresses existantes. Un seul expéditeur intervient dans ce cas, mais les informations sont transmises à tous les récepteurs connectés. La transmission par diffusion est un incontournable si vous envoyez le même message à tous les périphériques sur le réseau local. Un exemple de transmission par diffusion est la requête de résolution d’adresse que le protocole ARP (Address Resolution Protocol) transmet à tous les ordinateurs sur un réseau local.

Page 2: Chapitre 2 - Cisco 3

multidiffusion : communication dans laquelle une trame est transmise à un groupe spécifique de périphériques ou de clients. Les clients de transmission multidiffusion doivent être membres d’un groupe de multidiffusion logique pour recevoir les informations. Les transmissions vidéo et vocales employées lors de réunions professionnelles collaboratives en réseau sont des exemples de transmission multidiffusion.

Mode de communication

Page 3: Chapitre 2 - Cisco 3

Mode bidirectionnel non simultané ( EX. HUB): la communication bidirectionnelle non simultanée repose sur un flux de données unidirectionnel où l’envoi et la réception des données n’ont pas lieu simultanément. Ceci s’apparente à la manière dont les talkies-walkies.

C’est pourquoi la communication bidirectionnelle non simultanée met en oeuvre la technologie CSMA/CD.

Le temps d’attente qu’exigent en permanence les communications bidirectionnelles non simultanées pose des problèmes de performance puisque les données ne peuvent circuler que dans un sens à la fois.

Mode bidirectionnel simultané : dans le cadre de la communication bidirectionnelle simultanée, le flux de données est bidirectionnel, de sorte que les données peuvent être envoyées et reçues de manière simultanée. La prise en charge bidirectionnelle améliore les performances en réduisant le temps d’attente entre les transmissions. La majorité des cartes réseau Ethernet, Fast Ethernet et Gigabit Ethernet.

Les connexions bidirectionnelles simultanées nécessitent un commutateur qui prend en charge une connexion bidirectionnelle simultanée ou directe entre les deux noeuds qui eux-mêmes prennent individuellement en charge le mode bidirectionnel simultané. Les noeuds reliés directement à un port de commutateur dédié par l’entremise de cartes réseau prenant en charge le mode bidirectionnel simultané doivent être connectés à des ports de commutateur configurés pour fonctionner en mode bidirectionnel simultané.

Comparaison :

L’efficacité d’une configuration Ethernet avec concentrateur standard et partagée est généralement évaluée de 50 à 60 pour cent de la bande passante de 10 Mbits/s. Par comparaison, une configuration Fast Ethernet bidirectionnelle simultanée offre une efficacité de 100 pour cent dans les deux sens (100 Mbits/s à la transmission et à la réception).

Paramètre de Switch :

Pour les ports Fast Ethernet et 10/100/1000, la valeur par défaut est auto. Pour les ports 100BASE-FX, la valeur par défaut est full. Les ports 10/100/1000 fonctionnent soit en mode bidirectionnel non simultané, soit en mode bidirectionnel simultané lorsqu’ils sont définis à 10 ou 100 Mbits/s. Par contre, à 1000 Mbits/s, ils fonctionnent en mode bidirectionnel simultané.

Page 4: Chapitre 2 - Cisco 3

Remarque : l’auto-négociation peut produire des résultats inattendus. Par défaut, en cas d’échec de l’auto-négociation, le commutateur Catalyst définit le port de commutateur correspondant en mode bidirectionnel non simultané. Ce type d’échec survient quand un périphérique relié ne prend pas en charge l’auto-négociation. Si le périphérique est manuellement configuré pour fonctionner en mode bidirectionnel non simultané, il adopte le mode par défaut du commutateur. En revanche, des erreurs peuvent survenir au cours de l’auto-négociation si vous avez manuellement configuré le périphérique en mode bidirectionnel simultané. L’emploi du mode bidirectionnel non simultané à une extrémité et du mode bidirectionnel simultané à l’autre entraîne des erreurs de collision à l’extrémité en mode bidirectionnel non simultané. Pour éviter cette situation, définissez manuellement les paramètres bidirectionnels du commutateur afin qu’ils correspondent au périphérique connecté.

Fonction de détection des câbles : auto-MDIXPar défaut, la fonction auto-MDIX est activée sur des commutateurs dotés de la version 12.2(18)SE (ou ultérieure) du logiciel Cisco IOS. Pour les versions comprises entre 12.1(14)EA1 et 12.2(18)SE de ce même logiciel, la fonction auto-MDIX est désactivée par défaut.Commande de configuration d’interface mdix auto.

Adressage MAC :Pour qu’un commutateur puisse connaître les ports à utiliser en vue de la transmission d’une trame de monodiffusion, il doit avant tout savoir quels noeuds existent sur chacun de ses ports.

Étape 1. Le commutateur reçoit une trame de diffusion du PC 1 sur le port 1.

Étape 2. Le commutateur enregistre l’adresse MAC source et le port de commutateur ayant reçu la trame dans la table d’adresses.

Étape 3. L’adresse de destination étant une diffusion, le commutateur inonde la trame sur tous les ports, à l’exception du port sur lequel il a reçu la trame.

Étape 4. Le périphérique de destination réagit à la diffusion en envoyant une trame de monodiffusion à PC 1.

Page 5: Chapitre 2 - Cisco 3

Étape 5. Le commutateur enregistre l’adresse MAC source du PC 2 et le numéro de port du commutateur ayant reçu la trame dans la table d’adresses. L’adresse de destination de la trame et le port qui lui est associé se trouvent dans la table d’adresses MAC.

Étape 6. Le commutateur peut alors transmettre les trames entre les périphériques source et de destination sans les diffuser, puisqu’il dispose d’entrées dans la table d’adresses qui identifie

Collision :Sachant qu’Ethernet ne permet pas de savoir quel noeud transmet des informations à un moment déterminé, nous partons du principe que les collisions se produisent lorsque plusieurs noeuds tentent d’accéder au réseau.

Plus il y a de périphérique sur un HUB, plus la bande passante diminue :

C’est pourquoi il faut impérativement garder à l’esprit que lorsque la bande passante du réseau Ethernet est de 10 Mbits/s, l’intégralité de la bande passante est disponible pour la transmission uniquement après la résolution des collisions. Le débit net du port (soit les données réellement transmises en moyenne) est considérablement diminué et réduit à une fonction indiquant combien de noeuds souhaitent utiliser le réseau. Un concentrateur n’offre aucun mécanisme permettant d’éliminer ou de réduire ces collisions, ce qui réduit donc la bande passante dont dispose un noeud pour transmettre. Par conséquent, le nombre de noeuds partageant le réseau Ethernet a une incidence sur le débit ou la productivité du réseau.

Le terme « domaine de collision » désigne la zone du réseau d’où proviennent les trames qui entrent en collision. Tous les environnements à supports partagés, notamment ceux que vous créez au moyen de concentrateurs, sont des domaines de collision.

Domaine de diffusion :les trames de diffusion doivent être transmises par des commutateurs. Un ensemble de commutateurs interconnectés constitue un domaine de diffusion unique. Seule une entité de la couche 3, telle qu’un routeur ou un réseau local virtuel, peut arrêter un domaine de diffusion de couche 3. Les routeurs et les réseaux locaux virtuels sont utilisés pour segmenter les domaines de collision et de diffusion. Le recours aux réseaux locaux virtuels pour la segmentation.

Page 6: Chapitre 2 - Cisco 3

Encombrement du réseau

Le principal intérêt de segmenter un réseau local en parties plus infimes est d’isoler le trafic et d’optimiser l’utilisation de la bande passante pour chaque utilisateur. Sans segmentation, un réseau local est vite submergé par le trafic et les collisions. La figure présente un réseau encombré qui héberge plusieurs noeuds et un concentrateur.

Les causes d’encombrement :

- Technologies réseau et informatiques de plus en plus puissantes. Aujourd’hui, les unités centrales (UC), les bus et les périphériques sont bien plus rapides et puissants que ceux employés dans les premiers réseaux locaux. Ils sont donc capables de transmettre et de traiter davantage de données avec des débits accrus sur le réseau.

- Volume de trafic réseau accru . De nos jours, le trafic réseau est un phénomène plus fréquent, puisque des ressources distantes sont nécessaires pour mener à bien des tâches élémentaires. Qui plus est, les messages de diffusion, tels que les requêtes de résolution d’adresse émises par le protocole ARP, peuvent nuire aux performances des stations d’extrémité et des réseaux.

- Applications à bande passante élevée . Les applications logicielles sont constamment enrichies de fonctions et exigent une consommation de bande passante de plus en plus élevée. Qu’il s’agisse de publication assistée par ordinateur, de conception technique, de vidéo à la demande (VOD, Video on Demand), d’e-learning (apprentissage en ligne) et de lecture vidéo en continu, toutes les applications nécessitent une puissance et une vitesse de traitement considérables.

Page 7: Chapitre 2 - Cisco 3

Segmentation réseaux

Ponts et commutateursLes ponts servent généralement à segmenter un réseau local en quelques segments plus petits.

Les commutateurs permettent traditionnellement de segmenter un réseau local de taille importante en plusieurs petits segments.

Les routeurs pour une bande passant plus élevé :La création de domaines de diffusion supplémentaires plus réduits avec un routeur a pour effet de diminuer le trafic de diffusion et garantit une bande passante plus importante pour les communications monodiffusion.

Contrôle de la latence du réseauPar exemple, si un commutateur au niveau du coeur du réseau doit prendre en charge 48 ports offrant chacun une capacité d’exécution de l’ordre de 1000 Mbits/s en mode bidirectionnel simultané, il doit permettre la prise en charge d’un débit interne d’environ 96 Gbits/s s’il lui faut maintenir une vitesse filaire globale sur tous les ports en même temps. Les exigences de débit indiquées dans cet exemple sont caractéristiques des commutateurs au niveau du coeur et non des commutateurs de niveau d’accès.

En limitant l’usage de périphériques de couche supérieure, vous pouvez contribuer à la réduction de la latence du réseau.

Page 8: Chapitre 2 - Cisco 3

Néanmoins, un usage adapté des périphériques de la couche 3 permet d’éviter des conflits liés au trafic de diffusion dans un domaine de diffusion important ou un taux de collision élevé dans un domaine de collision volumineux.

Page 9: Chapitre 2 - Cisco 3

Méthodes de transmission par commutateur

Auparavant, les commutateurs faisaient appel aux méthodes de transmission pour la commutation des données entre des ports réseau : commutation Store and Forward (stockage et retransmission) ou cut-through (direct).

il stocke les données dans des mémoires tampons jusqu’à ce qu'il ait reçu l’intégralité de la trame. Au cours de ce processus de stockage, le commutateur recherche dans la trame des informations concernant sa destination. Dans le cadre de ce même processus, le commutateur procède à un contrôle d’erreur à l’aide du contrôle par redondance cyclique (CRC) de l’en-queue de la trame Ethernet.

- formule mathématique fondée sur le nombre de bits.

- Store and Forward est nécessaire pour l’analyse de la qualité de service (QS).

En cas d’erreur détectée au sein de la trame, le commutateur ignore la trame. L’abandon des trames avec erreurs réduit le volume de bande passante consommé par les données altérées.

Page 10: Chapitre 2 - Cisco 3

le commutateur agit sur les données à mesure qu’il les reçoit, même si la transmission n’est pas terminée. Le commutateur met une quantité juste suffisante de la trame en tampon afin de lire l’adresse MAC de destination et déterminer ainsi le port auquel les données sont à transmettre. L’adresse MAC de destination est située dans les six premiers octets de la trame à la suite du préambule.

La commutation cut-through est bien plus rapide que la commutation Store and Forward.

En revanche, du fait de l’absence d’un contrôle d’erreur, elle transmet les trames endommagées sur le réseau. Les trames qui ont été altérées consomment de la bande passante au cours de leur transmission. La carte de réseau de destination ignore ces trames au bout du compte.

il existe deux variantes de la commutation cut-through :

Commutation Fast-Forward :

- - ce mode de commutation offre le niveau de latence le plus faible.

- Fast-Forward entame la transmission avant la réception du paquet tout entier, il peut arriver que des paquets relayés comportent des erreurs.

- La commutation Fast-Forward est la méthode de commutation cut-through classique.

Commutation non fragmentée (Fragment-Free) :

- le commutateur stocke les 64 premiers octets de la trame avant la transmission.

Page 11: Chapitre 2 - Cisco 3

- (RAISON : pour laquelle la commutation Fragment-Free stocke uniquement les 64 premiers octets de la trame est que la plupart des erreurs et des collisions sur le réseau surviennent pendant ces 64 premiers octets)

- La commutation Fragment-Free offre un compromis entre la latence élevée et la forte intégrité de la commutation Store and Forward.

REMARQUE :

Certains commutateurs sont configurés pour une commutation cut-through par port. Une fois le seuil d’erreurs défini par l’utilisateur atteint, ils passent automatiquement en mode Store and Forward. Lorsque le nombre d’erreurs est inférieur au seuil défini, le port revient automatiquement en mode de commutation cut-through.

Commutation symétrique et asymétrique

Asymétrique. La commutation asymétrique nécessite une mise en mémoire tampon.

Page 12: Chapitre 2 - Cisco 3

Pour que le commutateur puisse correspondre aux divers débits de données sur des ports différents, les trames tout entières sont conservées dans la mémoire tampon et sont déplacées vers le port l’une après l’autre selon les besoins.

Symétrique :`

La commutation symétrique est optimisée pour une charge de trafic raisonnablement distribuée, telle que dans un environnement de Bureau peer to peer.

Un administrateur réseau doit évaluer la quantité requise de bande passante pour les connexions entre périphériques afin d’adapter le flux des données des applications réseau. La plupart des commutateurs actuels sont asymétriques, car ce sont ceux qui offrent la plus grande souplesse.

Mémoire Tempon :La mise en mémoire tampon peut également être une solution lorsque le port de destination est saturé suite à un encombrement et que le commutateur stocke la trame jusqu’à ce qu’il puisse la transmettre.

Mise en mémoire tampon axée sur les ports

Dans le cas de la mise en mémoire tampon axée sur les ports, les trames sont stockées dans des files d’attente liées à des ports entrants et sortants spécifiques. Une trame est transmise au port sortant uniquement si toutes les trames qui la précèdent dans la file d’attente ont été correctement transmises. Une seule trame peut retarder la transmission de toutes les trames en mémoire si un port de destination est saturé. Ce retard se produit, même si les autres trames peuvent être transmises à des ports de destination libres.

Mise en mémoire tampon partagée

La mise en mémoire tampon partagée stocke toutes les trames dans une mémoire tampon commune à tous les ports du commutateur. La capacité de mémoire tampon nécessaire à un port est allouée dynamiquement. Les trames de la mémoire tampon sont liées de manière dynamique au port de destination, ce qui permet de recevoir le paquet sur un port et de le transmettre sur un autre, sans avoir à le déplacer vers une autre file d’attente.

Page 13: Chapitre 2 - Cisco 3

Le commutateur tient à jour une carte de liaisons entre une trame et un port, indiquant l’emplacement vers lequel un paquet doit être acheminé. Cette carte est effacée dès que la trame a été transmise correctement. Le nombre de trames stockées dans la mémoire tampon est limité par la taille totale de cette dernière, mais ne se limite pas à un seul tampon du port, ce qui permet de transmettre de plus grandes trames en en supprimant un minimum. C’est là une caractéristique importante de la commutation asymétrique, car les trames sont échangées entre des ports associés à des débits différents.

Commutation

Commutateur de couche 2 :Ex : Catalyst 2960

Un commutateur de réseau local de couche 2 permet d’effectuer une

- commutation et un filtrage en se basant uniquement sur l’adresse MAC de la couche liaison de données.

- Rappelez-vous qu’un commutateur de couche 2 génère une table d’adresses MAC qu’il utilise pour des décisions de transmission.

Commutateur de couche 3 :Exemple : Catalyst 3560.

Comme une switch de couche 2 :mais, à défaut d’exploiter les informations d’adresses MAC de couche 2 pour toute décision en matière de transmission, un commutateur de couche 3 peut également exploiter celles des adresses IP. Un commutateur de couche 3 ne cherche pas uniquement à savoir quelles adresses MAC sont associées à chacun des ports ; il peut également identifier les adresses IP associées à ses interfaces.

Page 14: Chapitre 2 - Cisco 3

Il peut alors orienter le trafic sur le réseau sur la base des informations recueillies sur les adresses IP.

- Peuvent également exécuter des fonctions de routage de la couche 3, ce qui réduit le besoin de routeurs dédiés sur un réseau local. Parce que les commutateurs de couche 3 disposent d’un matériel de commutation spécialisé, l’acheminement des données est généralement aussi rapide que la commutation.

Comparaison entre Switch(3) et RouterLes routeurs rendent également possible la transmission de paquets que les commutateurs de couche 3 ne permettent pas d’effectuer, notamment l’établissement de connexions d’accès à distance sur des réseaux et des périphériques distants. Les routeurs dédiés garantissent une plus grande flexibilité pour la prise en charge des cartes réseau WAN (WIC).

Les commutateurs de couche 3 proposent des fonctions de routage de base dans un réseau local et réduisent la nécessité de faire appel à des routeurs dédiés.

Page 15: Chapitre 2 - Cisco 3
Page 16: Chapitre 2 - Cisco 3

Configuration de la switch : Différentes façons

Cisco Network Assistant :

L’outil Cisco Network Assistant est une interface utilisateur graphique d’administration réseau pour PC optimisée. Elle est conçue pour les réseaux locaux de petite et moyenne taille.Gratuite.

Application CiscoView L’application de gestion de périphériques CiscoView affiche une vue physique du commutateur que vous pouvez utiliser pour définir les paramètres de configuration et consulter des informations relatives à l’état et aux performances du commutateur.- L’application CiscoView, vendue séparément, peut être une application autonome ou intégrée à une plateforme SNMP.

Cisco Device Menager Le gestionnaire de périphériques Cisco Device Manager est un outil logiciel Web qui est stocké dans la mémoire du commutateur

Page 17: Chapitre 2 - Cisco 3

Gestion de réseau SNMP

Vous pouvez gérer des commutateurs à partir d’une station de gestion compatible SNMP, telle que HP OpenView. Le commutateur peut fournir des informations de gestion exhaustives et quatre groupes RMON (Remote Monitoring). La gestion de réseau SNMP est bien plus fréquente dans des réseaux d’entreprise de très grande taille.

Page 18: Chapitre 2 - Cisco 3

- afficher le contenu de la mémoire tampon des commandes ;

- définir la taille de la mémoire tampon de l’historique des commandes ;

- rappeler les commandes entrées précédemment et stockées dans la mémoire tampon de l’historique. Il existe une mémoire tampon pour chaque mode de configuration.

Par défaut, l’historique des commandes est activé et le système enregistre 10 lignes.

Page 19: Chapitre 2 - Cisco 3

Le chargeur d’amorçage fournit également un accès au commutateur si le système d’exploitation est inutilisable. Il dispose d’un outil de ligne de commande qui garantit l’accès aux fichiers stockés dans la mémoire flash avant le chargement du système d’exploitation. Sur la ligne de commande du chargeur d’amorçage, vous pouvez saisir des commandes pour formater le système de fichiers flash, réinstaller l’image du système d’exploitation ou procéder à une récupération à partir d’un mot de passe perdu ou oublié.

Page 20: Chapitre 2 - Cisco 3

Configuration d’interface de gestion de switch

Notez qu’un commutateur de couche 2 (par exemple, Cisco Catalyst 2960), autorise l’activation d’une seule interface de réseau local virtuel à la fois, ce qui signifie que l’interface de la couche 3 (celle du VLAN 99) est active mais que l’interface de couche 3 du réseau local virtuel VLAN 1 ne l’est pas.

Page 21: Chapitre 2 - Cisco 3
Page 22: Chapitre 2 - Cisco 3

Pour contrôler qui peut avoir accès aux services HTTP sur le commutateur, vous pouvez éventuellement configurer l’authentification. Les méthodes d’authentification peuvent être complexes. Un nombre trop important d’utilisateurs des services HTTP peut vous contraindre à faire appel à un serveur distinct spécialement consacré à la gestion de l’authentification des utilisateurs. Les modes d’authentification AAA et TACACS utilisent, par exemple, ce type de méthode d’authentification à distance. AAA et TACACS sont des protocoles d’authentification que vous pouvez utiliser dans des réseaux pour valider les paramètres d’identification des utilisateurs. Vous devrez peut-être recourir à une méthode d’authentification moins complexe. La méthode enable exige que les utilisateurs se servent du mot de passe actif du serveur. Dans le cas de la méthode d’authentification locale, l’utilisateur doit préciser le nom d’utilisateur de connexion, le mot de passe et la combinaison d’accès au niveau de privilège spécifiée dans la configuration du système local (à l’aide de la commande de configuration globale username).

Page 23: Chapitre 2 - Cisco 3

show mac-address-table

Page 24: Chapitre 2 - Cisco 3

Les adresses dynamiques sont des adresses MAC source que le commutateur assimile, puis définit comme obsolètes dès qu’elles ne sont plus utilisées. Vous pouvez modifier le paramètre d’obsolescence des adresses MAC. La durée par défaut est de 300 secondes . Une valeur d’obsolescence trop courte peut entraîner une suppression prématurée des adresses de la table. Dans ce cas, lorsque le commutateur reçoit un paquet pour une destination inconnue, il inonde le paquet sur tous les ports dans le même réseau local (ou réseau local virtuel) que le port de réception. Cette inondation superflue peut avoir des effets négatifs sur les performances. À contrario, avec un délai d’obsolescence trop long, la table d’adresses risque d’être remplie d’adresses inutilisées, empêchant ainsi l’assimilation de nouvelles adresses. Cette situation peut également entraîner un phénomène d’inondation.

Un administrateur réseau peut de manière spécifique affecter des adresses MAC à certains ports. Les adresses statiques ne sont jamais mises en obsolescence et le commutateur sait toujours sur quel port il doit transmettre le trafic destiné à une adresse MAC spécifique. Ainsi donc, le besoin de réassimiler ou d’actualiser le port auquel l’adresse MAC est connectée n’est pas impératif. Une raison justifiant la mise en oeuvre d’adresses MAC statiques est d’offrir à l’administrateur réseau un contrôle total de l’accès au réseau. Seuls les périphériques connus de l’administrateur réseau sont autorisés à se connecter au réseau.

Pour créer un mappage statique dans la table d’adresses MAC, utilisez la commande : mac-address-table static <adresse_MAC> vlan {1-4096, ALL} interface id_interface.

Pour supprimer un mappage statique dans la table d’adresses MAC, utilisez la commande no mac-address-table static <adresse_MAC> vlan {1-4096, ALL} interface id_interface.

Page 25: Chapitre 2 - Cisco 3

La restauration

copy flash:config.bak1 startup-config

Remarque :

vous ne pouvez effectuer aucune opération de rechargement depuis un terminal virtuel si le commutateur n’est pas configuré pour un démarrage automatique. Cette restriction empêche le système de passer en mode moniteur ROM (ROMMON) et de le mettre ainsi hors contrôle de l’utilisateur distant.

Page 26: Chapitre 2 - Cisco 3

Pour effacer le contenu de votre configuration de démarrage, utilisez la commande erase nvram: ou erase startup-config en mode d’exécution privilégié

supprimer un fichier de la mémoire flash, utilisez la commande delete flash:nom_fichier en mode d’exécution privilégié

Mot de passe :

Lorsque vous entrez la commande service password-encryption en mode de configuration globale, tous les mots de passe système sont stockés au format chiffré. Dès que vous entrez la commande, tous les mots de passe actuellement définis sont convertis en mots de passe chiffrés.

Si vous ne souhaitez plus que les mots de passe système soient obligatoirement stockés sous une forme chiffrée, entrez la commande no service password-encryption en mode de configuration globale. La suppression du chiffrement des mots de passe ne signifie pas une reconversion des mots de passe actuellement chiffrés dans un format de texte lisible. En revanche, tous les mots de passe récemment définis sont stockés sous forme de texte clair.

Remarque :

Remarque : la norme de chiffrement adoptée par la commande service password-encryption est désignée par l’expression « type 7 ». Cette norme de chiffrement est très simple et de nombreux outils aisément accessibles sur Internet permettent de déchiffrer les mots de passe. Le type 5 est plus sécurisé, mais vous devez l’utiliser manuellement pour chaque mot de passe que vous configurez.

Page 27: Chapitre 2 - Cisco 3

Si vous perdez ou oubliez des mots de passe d’accès, Cisco dispose d’un mécanisme de récupération des mots de passe par l’intermédiaire duquel des administrateurs peuvent accéder à leurs périphériques Cisco. La procédure de récupération des mots de passe exige un accès physique au périphérique.

Les étapes :

Étape 1. Au moyen d’un logiciel d’émulation de terminal, connectez un terminal ou un PC au port de la console du commutateur.

Étape 2. Définissez le débit de la ligne dans le logiciel d’émulation à 9 600 bauds.

Étape 3. Mettez le commutateur hors tension. Reconnectez le cordon d’alimentation au commutateur, puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis que le LED système continue de clignoter en vert. Maintenez le bouton Mode enfoncé jusqu’à ce que le LED système devienne brièvement orange, puis prenne une couleur verte définitive. Relâchez ensuite le bouton Mode.

Étape 4. Initialisez le système de fichiers flash à l’aide de la commande flash_init.

Étape 5. Chargez tous les fichiers d’aide au moyen de la commande load_helper.

Étape 6. Affichez le contenu de la mémoire flash à l’aide de la commande dir flash :

Étape 7. À l’aide de la commande rename flash:config.text flash:config.text.old, modifiez le fichier de configuration en le renommant « config.text.old », soit le fichier contenant la définition du mot de passe.

Étape 8. Démarrez le système avec la commande boot.

Étape 9. Le système vous demande de démarrer le programme de configuration. À l’invite, entrez N et lorsque le système vous demande si vous souhaitez poursuivre dans la boîte de dialogue de configuration, entrez N.

Étape 10. À l’invite du commutateur, entrez le mode d’exécution privilégié en vous servant de la commande enable.

Page 28: Chapitre 2 - Cisco 3

Étape 11. Utilisez la commande rename flash:config.text.old flash:config.text pour renommer le fichier de configuration d’après son nom d’origine.

Étape 12. Copiez le fichier de configuration dans la mémoire à l’aide de la commande copy flash:config.text system:running-config. Une fois cette commande entrée, le texte suivant s’affiche dans la console :

Source filename [config.text]?

Destination filename [running-config]?

Appuyez sur la touche Entrée en réponse à l’invite de confirmation. Le fichier de configuration est désormais rechargé et vous pouvez modifier le mot de passe.

Étape 13. Passez en mode de configuration globale au moyen de la commande configure terminal.

Étape 14. Modifiez le mot de passe en utilisant la commande enable secret mot de passe.

Étape 15. Repassez en mode d’exécution privilégié avec la commande exit.

Étape 16. Inscrivez la configuration en cours dans le fichier de configuration de démarrage au moyen de la commande copy running-config startup-config.

Étape 17. Rechargez le commutateur à l’aide de la commande reload.

Page 29: Chapitre 2 - Cisco 3

Configuration de Telnet et SSH

Au départ, les lignes vty ne sont pas sécurisées. Tout utilisateur qui tente de s’y connecter peut donc y avoir accès.

Du fait que Telnet constitue le mode de transport par défaut pour les lignes vty, vous n’avez pas besoin de le spécifier après la configuration initiale du commutateur. En revanche, si vous avez commuté le protocole de transport sur les lignes vty pour autoriser uniquement SSH, vous devez activer le protocole Telnet pour autoriser manuellement l’accès à Telnet.

Si vous devez réactiver le protocole Telnet sur un commutateur Cisco 2960, utilisez la commande suivante à partir du mode de configuration de ligne : (config-line)#transport input telnet ou (config-line)#transport input all.

SSHPour exploiter cette fonction, vous devez installer une image cryptographique sur votre commutateur.

Le commutateur prend en charge la version SSHv1 ou SSHv2 pour le composant serveur. Il prend uniquement en charge la version SSHv1 pour le composant client .

Page 30: Chapitre 2 - Cisco 3

SSH prend en charge l’algorithme DES (Data Encryption Standard), l’algorithme Triple DES (3DES) et l’authentification utilisateur basée sur les mots de passe. Le chiffrement est de 56 bits dans DES, il est de 168 bits dans 3DES.

Règle de chiffrement : Le client les définis.

Pour mettre en oeuvre SSH, vous devez

créer des clés RSA.

implique l’emploi d’une clé publique conservée sur un serveur RSA public.

clé privée conservée uniquement par l’expéditeur et le récepteur.

La clé publique peut être connue de tout le monde et sert au chiffrement des messages.

Les messages chiffrés à l’aide de la clé publique peuvent être déchiffrés au moyen de la clé privée. = Chiffrement asymétrique.

Configuration Serveur SSH :Étape 1. Passez en mode de configuration globale au moyen de la commande configure terminal.

Étape 2. Configurez un nom d’hôte pour votre commutateur au moyen de la commande hostname nom_hôte.

Étape 3. Configurez un domaine hôte pour votre commutateur à l’aide de la commande ip domain-name nom_domaine.

Étape 4. Activez le serveur SSH en vue d’une authentification locale et distante sur le commutateur et générez une paire de clés RSA en utilisant la commande crypto key generate rsa.

Remarque : Lorsque vous créez des clés RSA, le système vous demande d’entrer une longueur de modulus. Cisco préconise l’utilisation d’une taille de modulus de 1024 bits. Une longueur de modulus plus importante peut s’avérer plus sûre, mais sa création et son utilisation prennent plus de temps.

Page 31: Chapitre 2 - Cisco 3

Afficher l’état du serveur SSH :

show ip ssh ou show ssh.

Supprimer la paire de clé RSA désactive automatiquement le serveur SSH :

crypto key zeroize rsa

Suite configuration serveur SSH

Étape 2. (Facultatif) Configurez le commutateur pour exécuter SSHv1 ou SSHv2 à l’aide de la commandeip ssh version [1 | 2].

Étape 3. Précisez la valeur de délai d’attente en secondes. La valeur par défaut est 120 secondes. La valeur peut aller de 0 à 120 secondes

Remarque :

Pour une connexion SSH à établir, vous devez exécuter plusieurs phases, telles que la connexion, la négociation de protocole et la négation de paramètre. La valeur de délai d’attente désigne le temps que le commutateur autorise pour l’établissement d’une connexion.

Par défaut, cinq connexions SSH chiffrées simultanées sont disponibles au maximum pour plusieurs sessions de l’interface de ligne de commande (ILC) sur le réseau (session 0 à session 4). Après le démarrage de l’interpréteur de commandes d’exécution, le délai d’attente de la session d’interface de ligne de commande revient à sa valeur par défaut de 10 minutes.

Précisez le nombre de fois qu’il est possible d’authentifier de nouveau un client sur le serveur. La valeur par défaut est 3 dans un éventail de 0 à 5. Par exemple, un utilisateur peut définir à trois reprises un temps d’attente de dix minutes avant que la session ne prenne fin.

Si vous souhaitez éviter des connexions non SSH, ajoutez la commande transport input ssh en mode de configuration de ligne afin de limiter le commutateur aux connexions SSH uniquement. Les connexions Telnet directes (non SSH) sont rejetées.

Page 32: Chapitre 2 - Cisco 3

Menaces fréquentes en termes de sécurité

Inondation d’adresses MAC

la table d’adresses MAC (Rappel) : est le composant qui renferme les adresses MAC d’un port physique donné du commutateur, ainsi que les paramètres de réseau local virtuel associés à chacune.Quand un commutateur de couche 2 reçoit une trame, il recherche l’adresse MAC de destination dans la table d’adresses MAC.Si aucune adresse MAC n’existe, le commutateur agit en tant que concentrateur et transmet la trame à chacun des autres ports du commutateur.

Pour bien comprendre comment les attaques par dépassement de table d’adresses MAC fonctionnent, il faut savoir que la taille des tables d’adresses MAC est limitée. L’inondation MAC profite de cette limite pour submerger le commutateur de fausses adresses MAC source jusqu’à ce que la table d’adresses MAC de ce dernier soit saturée. Le commutateur passe alors en mode fail-open, commence à agir en qualité de hub (concentrateur) et diffuse des paquets à tous les ordinateurs du réseau. La personne malveillante peut alors voir toutes les trames transmises de l’hôte attaqué vers un autre hôte sans une entrée de la table d’adresses MAC.

L’inondation MAC est réalisable au moyen d’un outil d’attaque réseau. Le pirate utilise l’outil d’attaque sur le réseau pour inonder le commutateur d’un nombre important d’adresses MAC jusqu’à ce que la table d’adresses MAC se remplisse. Certains outils d’attaque réseau peuvent produire 155 000 entrées MAC par minute sur un commutateur.

Impact :

Sur une courte période de temps, la table d’adresses MAC du commutateur se remplit jusqu’à ce qu’elle ne puisse plus accepter de nouvelles entrées. Lorsque la table d’adresses MAC est remplie d’adresses MAC source incorrectes, le commutateur commence à transmettre toutes les trames qu’il reçoit à chaque port.

Page 33: Chapitre 2 - Cisco 3

Attaques par mystificationUne des possibilités pour une personne malveillante d’accéder au trafic réseau est de s’approprier les réponses envoyées par un serveur DHCP autorisé sur le réseau.

Un autre type d’attaque DHCP est l’attaque par insuffisance de ressources DHCP. Le PC pirate demande en permanence des adresses IP auprès d’un véritable serveur DHCP en modifiant leurs adresses MAC source. Si ce type d’attaque DHCP réussit, tous les baux stockés sur le véritable serveur DHCP sont alloués, empêchant ainsi les véritables utilisateurs (clients DHCP) de se procurer une adresse IP.

Pour empêcher toute attaque DHCP, faites appel aux fonctions de sécurité des ports et de surveillance DHCP disponibles sur les commutateurs Cisco Catalyst.

Fonctions de sécurité des ports et de surveillance DHCP de Cisco CatalystLa surveillance DHCP détermine quels ports du commutateur sont en mesure de répondre aux requêtes DHCP. Les ports sont identifiés comme étant fiables et non fiables. Les ports fiables peuvent authentifier la source de tous les messages. non fiable tente de transmettre un paquet de requêtes DHCP sur le réseau, le port est fermé.

Page 34: Chapitre 2 - Cisco 3

Attaques CDPCDP étant un protocole de la couche 2, il n’est pas propagé par les routeurs.

CDP renferme des informations sur le périphérique, notamment son adresse IP, la version du logiciel, la plateforme, les fonctions et le réseau local virtuel natif. Si ces informations sont mises à la disposition d’un pirate, ce dernier peut les exploiter pour attaquer votre réseau, généralement sous la forme d’une attaque par déni de service (DoS).

Page 35: Chapitre 2 - Cisco 3

Attaques Telnet

Outils relatifs à la sécuritéLes outils d’audit de sécurité réseau vous permettent d’inonder la table MAC de fausses adresses MAC. Vous pouvez ensuite soumettre à un audit les ports du commutateur à mesure que ce dernier commence à diffuser le trafic sur tous les ports et que les mappages d’adresses MAC légitimes deviennent obsolètes et sont remplacés par d’autres faux mappages d’adresses MAC. Vous pouvez ainsi déterminer quels ports sont compromis et n’ont pas été corrigés pour empêcher ce type d’attaque.

Page 36: Chapitre 2 - Cisco 3
Page 37: Chapitre 2 - Cisco 3

Il y a violation de la sécurité lorsque l’une des situations suivantes se présente :

Page 38: Chapitre 2 - Cisco 3

- Le nombre maximal d’adresses MAC sécurisées a été ajouté dans la table d’adresses et une station dont l’adresse MAC ne figure pas dans cette table tente d’accéder à l’interface.

- Une adresse assimilée ou configurée dans une interface sécurisée est visible sur une autre interface sécurisée dans le même réseau local virtuel.

Mode de violation et action à entreprendre

protect : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses sources inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Aucun message de notification ne vous est adressé en cas de violation de la sécurité.

restrict : lorsque le nombre d’adresses MAC sécurisées atteint la limite autorisée sur le port, des paquets munis d’adresses sources inconnues sont ignorés jusqu’à ce que vous supprimiez un nombre suffisant d’adresses MAC sécurisées ou augmentiez le nombre maximal d’adresses à autoriser. Ce mode vous permet d’être informé si une violation de la sécurité est constatée. Dans ce cas, une interruption SNMP est transmise, un message syslog est consigné et le compteur de violation est incrémenté.

shutdown : si vous optez pour ce mode, toute violation de sécurité de port entraîne immédiatement la désactivation de l’enregistrement des erreurs dans l’interface et celle de la LED du port. Une interruption SNMP est également transmise, un message syslog est consigné et le compteur de violation est incrémenté. Lorsqu’un port sécurisé opère en mode de désactivation des erreurs, vous pouvez annuler cet état par simple saisie des commandes de configuration d’interface shutdown et no shutdown. Il s’agit du mode par défaut.

Page 39: Chapitre 2 - Cisco 3

Sécurité des ports (configuration)

Ports dynamique :

Ports rémanents :