F. Nolot ©2009 1

Modélisation Hiérarchique du Réseau

F. Nolot ©2009 2

Modélisation Hiérarchique du Réseau

Pourquoi et comment hiérarchiser ?

F. Nolot ©2009 3

Construire un réseaux ?

•  Un réseau n'est pas la simple accumulation de switch et routeur ! •  Il faut l'organiser, le hiérarchiser –  Pour simplifier son administration

–  Pour isoler rapidement les problèmes

–  Pour rendre modulable le réseau et pour pouvoir facilement l'agrandir

•  Un réseau d'entreprise est donc découpé suivant un modèle en 3 couches –  Access Layer

–  Distribution Layer

–  Core Layer

•  Chaque couche va avoir des fonctionnalités particulières

F. Nolot ©2009 4

Access Layer

F. Nolot ©2009 5

Distribution Layer

F. Nolot ©2009 6

Rôle du la Distribution Layer

•  De limiter les zones de broadcast

•  Router les données entre VLAN

•  Eviter certaines données de transiter vers certains VLAN

F. Nolot ©2009 7

Core Layer

•  C'est le backbone du réseau

•  Doit transférer les données le plus rapidement possible

•  Apporte la connexion à Internet ou aux autres réseaux de la société via un MAN ou WAN

F. Nolot ©2009 8

Représentation physique

•  Généralement, une salle de brassage par étage

•  Serveur dans une salle spécialisée

•  Tous les étages reliés au core layer

F. Nolot ©2009 9

Avantages d'une architecture hiérarchique

•  Scalabilité –  Pouvoir faire des agrandissements du réseau simplement

•  Redondance –  Les services doivent être opérationnel 24/24

–  Exemple : pour la ToIP , on doit avoir une fiabilité de 99,999%, soit 5 min par an d'interruption de service. Fiabilité que nous avons en téléphonique classique

•  Performance –  Eviter des goulots d'étranglement

•  Sécurité –  Sécurisation des données et des accès au plus près de la source

•  Administration simplifiée

•  Maintenance facilité en raison de la modularité du réseau

F. Nolot ©2009 10

Vocabulaire

•  Diamètre : c'est la distance la plus grande des distances parmi le chemin le plus courte entre les 2 équipements

F. Nolot ©2009 11

Vocabulaire

•  Agrégation de liens : mise en commun de plusieurs liens reliant les mêmes équipements afin d'augmenter le débit entre ces 2 équipements –  Avec 2 liens 100 Mb/s entre 2 équipements, on peut alors créer une liaison 200 Mb/s

F. Nolot ©2009 12

Vocabulaire

•  Redondance

F. Nolot ©2009 13

Hierarchical Network Model

Introduction aux réseaux convergents

F. Nolot ©2009 14

La convergence ?

•  Utiliser le réseau data pour la voix

•  Ouverture vers de nouveaux usages –  Communication vocale + envoie de document sur un ordinateur

–  Interconnexion du téléphone et de l'ordinateur

•  Actuellement 3 réseaux –  La voix (le téléphone)

–  La vidéo (vidéo-surveillance par exemple)

–  Les données

F. Nolot ©2009 15

Hierarchical Network Model

Choisir les équipements ?

F. Nolot ©2009 16

Évaluation des besoins

•  Pour faire le choix d'un équipement, vous avez besoin de connaître au moins : –  La destination des informations

–  L'ensemble des utilisateurs concernés

–  Les serveurs

–  Les serveurs de stockage

•  Analyse du trafic –  Charge CPU utilisé

–  Taux de packet perdu

–  Quantité de mémoire utilisée

–  Temps moyen de traitement

•  Les outils –  De très nombres outils existent

•  Libre : Cacti, Nagios, Centreon, ...

•  Commerciaux : Solarwinds NetFlow, IBM Tivoli, CiscoWorks, HP Openview

F. Nolot ©2009 17

Communautés d'utilisateurs

•  Localisation des communautés d'utilisateurs pour regrouper leur connexion –  Assez souvent les utilisateurs ayant les mêmes rôles travaillent aux mêmes endroits

•  Prévoir des agrandissements éventuels

•  Connaître leurs usages pour placer au mieux les serveurs –  Modèle client-serveur : les clients envoient régulièrement leur donnée vers le serveur

–  Modèle serveur à serveur : échange d'info, sauvegarde ou stockage

•  Il faut donc optimiser les connexions des clients et des serveur sur les switchs afin d'« équilibrer » les bandes passantes

F. Nolot ©2009 18

Les switchs existants

•  Switches avec un nombre de ports fixe (24 ou 48 ports)

•  Switches modulable, en chassis sur lesquel on peut ajouter des cartes de plusieurs de ports

•  Stackable Switches : relie les switch entre-eux avec un câble spécial. Solution financièrement intermédiaire entre l'achat d'un switch à nombre de port fixe et le chassis

F. Nolot ©2009 19

Les fonctionnalités

•  Autres critères de choix : la densité, le débit ou l'agrégation des bandes passantes

•  La densité : le nombre de port par switch : 24 ou 48 avec ou sans connecteur spécifique pour les uplink. Un chassis peut avoir jusque 1000 ports

•  Le débit : quels doivent être les débits de chaque port : 100 Mb/s, 1 Gb/s ou plus ? –  Un switch 48 ports à 1 Gb/s devra pouvoir gérer 48 Gb/s au total. En access layer, pas forcément

besoin d'une tel bande passante car limitation sur l'uplink

•  L'agrégation de liens : peut être une solution pour augmenter le débit entre 2 équipements

F. Nolot ©2009 20

Et pour la convergence ?

•  Une fonctionnalité nouvelle : le PoE (Power Over Ethernet)

•  Avec l'apparition des téléphones IP et des bornes sans fil, il est apparu le PoE pour pouvoir alimenter électriquement les équipements via le câble Ethernet

F. Nolot ©2009 21

Fonctionnalités Couche 3

F. Nolot ©2009 22

Fonctions de l'Access Layer

F. Nolot ©2009 23

Fonction de la Distribution Layer

F. Nolot ©2009 24

Fonctions du Core Layer

F. Nolot ©2009 25

Conclusion

•  Un réseaux doit donc être hiérarchisé

•  Une étude des rôles et des usages des utilisateurs doit être faite

•  Décider quels types de switchs il faut avoir : fixe, modulaire ou stackable

•  Forte ou faible densité, quel débit par port, agrégation de liens envisagé ou pas ?

•  Besoin ou pas du PoE ?

F. Nolot ©2009 26

Concepts de la commutation, IOS et sécurité

F. Nolot ©2009 27

Concepts de la commutation, IOS et sécurité

Les réseaux Ethernet et 802.3

F. Nolot ©2009 28

Fonctionnement

•  CSMA/CD –  Sur réseau half-duplex, la technologie Carrier Sense Multiple Access/Collision Detect (CSMA/CD) est

utilisée –  Les réseaux full-duplex n'utilisent pas cette technologie

•  Carrier Sense –  Avant de transmettre, les devices du réseau doivent écouter avant de transmettre –  Si un signal est détecté, la transmission est mise en attente –  Pendant une transmission, le device continue à faire son écoute afin de savoir si une collision a lieu

•  Multi-access –  Plusieurs devices utilisent le même média de communication. Une émission peut donc avoir lieu et

pendant ce temps, comme le signal va mettre un certain temps à parcourir le média de communication, un autre device peut se mettre à faire une transmission

•  Collision Detect –  Détection de collision (= sur-tension) permet de détecter un problème de transmission –  En cas de collision, tous les devices vont exécuter le backoff algorithm : arrêter leur transmission et

attendre un temps aléatoire avant de recommencer, le temps que la collision disparaisse

F. Nolot ©2009 29

Mode de communication Ethernet

•  Sur un réseaux commuté, 3 modes de communication –  Unicast

•  Un datagramme (ou trame) d'un émetteur à destination d'un unique device

–  Broadcast

•  Un datagramme d'un émetteur à destination de tous les devices connectés. Exemple d'utilisation : les requêtes ARP pour connaître l'adresse Ethernet d'un device qui répond à une adresse IP donnée

–  Multicast

•  Un datagramme d'un émetteur à destination d'un ensemble de devices qui forment un groupe logique. Exemple : diffusion d'un vidéo à quelques devices uniquement.

F. Nolot ©2009 30

Format de la trame IEEE 802.3

F. Nolot ©2009 31

L'adresse MAC

F. Nolot ©2009 32

Half ou Full Duplex

•  Half-Duplex –  Communication unidirectionnelle

–  Forte probabilité de collision

–  Mode de connectivité d'un hub

•  Full Duplex –  Communication bidirectionnelle en point à point

–  Très faible probabilité de collision

–  Collision Detect est désactivé

•  Les switchs peuvent, soit négocier le mode de duplex (fonctionnement par défaut), soit le fixer

•  Il est également possible de faire du auto-MDIX pour croiser ou décroiser automatiquement les connexions (reconnaissance automatique du type de câble)

F. Nolot ©2009 33

Table Mac

•  Apprentissage des adresses MAC source des trames qui passent

•  Si une trame de broadcast arrive sur un switch, elle est retransmise sur tous ses ports, à l'exception du port de la source

•  Si une trame dont la MAC de destination est connu par le switch, il envoie alors cette trame sur le port correspondant –  Sinon, il broadcast la trame sur tous ses ports, à l'exception du port source

F. Nolot ©2009 34

Bande passante et débit

•  Sur un réseau commuté, les collisions ne peuvent avoir lieu que sur le lien entre le switch et le device (connexion de type point à point)

•  On parle de domaine de collision –  Un domaine de collision est la zone dans laquelle une collision peut avoir lieu. Sur un switch, nous

avons un domaine de collision par port. Le switch réduit les domaines de collision

•  Entre chaque device, nous avons donc la totalité de la bande passante disponible –  Sur un hub, la bande passante est divisée par le nombre de device de connecté dessus.

F. Nolot ©2009 35

Domaine de broadcast

•  C'est la zone dans laquelle va se propager une trame de broadcast

•  Sur un switch, le broadcast est diffusé sur tous ses ports.

•  Seul un device de couche 3 comme un router ou la mise en place de Virtual LAN (VLAN) peut arrêter une trame de broadcast

F. Nolot ©2009 36

La latence

•  C'est le temps d'acheminement d'une trame ou packet d'une source vers une destination

•  La latence est induite par au moins 3 éléments –  La carte réseaux qui va transformer le signal numérique en signal électrique (ou optique)

–  Le câble de transmission. Sur un câble Cat 5 UTP de 100m, il faut environ 0,556 micro secondes pour parcourir le câble

–  Chaque device qui se trouve sur le chemin entre la source et la destination

•  Chaque device va avoir induire une latence différente –  Un router doit analyser la trame jusque la couche 3, cela prend donc plus de temps

–  Un switch fait son analyse uniquement sur la couche 2 et possède des ASIC (application-specific integrated circuits) pour fournir des temps de traitements plus court

F. Nolot ©2009 37

La congestion

•  Segmenter un réseau permet d'augmenter la bande passante entre les devices

•  Sinon, nous obtenons des congestions (ou goulot d'étranglement)

•  Les causes de ces congestions –  L'augmentation des vitesses des ordinateurs et cartes réseaux

–  L'augmentation du volume d'informations que l'on envoie sur le réseau

–  Les applications qui sont de plus en plus complexes et utilisent de plus en plus des technologies de collaboration ou des contenus dit riches (vidéo, animation, ...)

F. Nolot ©2009 38

Intérêt de la segmentation

F. Nolot ©2009 39

Intérêt de la segmentation – domaines de collision

F. Nolot ©2009 40

Intérêt de la segmentation – domaines de broadcast

F. Nolot ©2009 41

Un réseau efficace

•  Un switch 48 ports 1Gb/s doit avoir une bande passante internet de 96 Gb/s (Full-duplex)

•  Suppression de goulot d'étranglement –  Soit 6 PC et un serveur avec des connexions 1 Gb/s

F. Nolot ©2009 42

Concepts de la commutation, IOS et sécurité

Le fonctionnement des switchs

F. Nolot ©2009 43

Mode de commutation

•  2 variantes dans le cut-through –  Fast-fordwarding : regarde que la MAC destination

–  Fragment-free :sotckage des 64 premiers octets avant transmission car il s'avère que la plupart des erreurs de transmission ont lieu pendant la trasmission de ces 64 premier bits

F. Nolot ©2009 44

La gestion mémoire

F. Nolot ©2009 45

Switching niveau 2 et 3 ?

F. Nolot ©2009 46

Concepts de la commutation, IOS et sécurité

Les bases de l'IOS

F. Nolot ©2009 47

Le modes en résumé

F. Nolot ©2009 48

Configuration de base

•  Cable console entre l'équipement et le PC •  Configuration de votre outil de communication série

–  9600 bit/s, data bits 8, Parity None, Stop bits 1 –  On parle généralement du config en 9600,8,N,1

F. Nolot ©2009 49

Configuration de base

F. Nolot ©2009 50

Configuration de base

F. Nolot ©2009 51

Configuration de base

F. Nolot ©2009 52

Vérification d'une configuration

F. Nolot ©2009 53

Configuration de l'interface Web

F. Nolot ©2009 54

Backup de configuration

•  Également possible de faire des sauvegarde (ou restauration) via TFTP

F. Nolot ©2009 55

Concepts de la commutation, IOS et sécurité

La sécurisation d'un switch

F. Nolot ©2009 56

Mot de passe sur la console

F. Nolot ©2009 57

Mot de passe sur les connexions Virtuelles

•  Cela correspond au connexion telnet

F. Nolot ©2009 58

Sécurisation du mode enable

•  Enable password : mot de passe stocké en clair dans le fichier running-config –  Si le service password-encryption n'est pas activé

•  Enable secret : mot de passe stocké de façon crypté dans le fichier running-config

F. Nolot ©2009 59

Restauration du mot de passe enable

•  Sur un switch 2960 –  Connexion au port console et éteindre le switch

–  Rebrancher le switch et rester appuyer sur le bouton Mode jusqu'à ce que le System LED soit orange puis vert fixe (et plus de clignotement)

–  Taper :

•  flash_init

•  load_helper

•  Renommer ou supprimer le fichier flash:config.text ou startup-config

•  Boot

•  Suivant les modèles la procédure peut changer mais le principe reste toujours le même : supprimer ou renommer le fichier de configuration lu au démarrage et donc stocké dans la flash

F. Nolot ©2009 60

Banner et MOTD

•  Pour afficher un message à chaque personne qui se connecter sur l'équipement –  banner login "...."

•  Pour afficher un Message Of The Day (MOTD) (afficher avant le banner login) –  Banner motd "…"

F. Nolot ©2009 61

Access telnet et ssh

•  Telnet : transmission en clair •  SSH : création d'un tunnel crypté entre la source et la destination •  Sur les line vty

–  transport input telnet –  Ou –  transport input ssh –  Ou –  transport input all

•  Pour activer l'accès ssh, il faut en plus faire –  hostname ... –  ip domain-name .... –  Crypto key generate rsa –  ip ssh version 2

•  Attention : pour pouvoir utiliser ssh version 2, il faudra générer une clé RSA >= 768 bits. Par défaut, les clés sont de 512 bits. Recommandé de choisir des clés multiple de 1024.

F. Nolot ©2009 62

MAC Flooding ?

•  Une attaque classique sur les switchs : saturation de sa table MAC

•  Quand le switch ne connait pas la MAC destination, il fait du broadcast

•  Quand la table MAC est pleine, le switch va donc faire du broadcast pour chaque trame

F. Nolot ©2009 63

Attaque type spoofing

•  C'est de l'usurpation d'identité

•  Peut-être fait avec un serveur DHCP non légitime sur le réseau –  Ainsi, on connait parfaitement l'IP et la passerelle que l'on attribue à un client

–  Désactivation du serveur DHCP légitime en lui demandant toutes les IP possibles et on lui fait croire qu'elles sont toutes utilisées

•  Solution : DHCP Snooping –  Configurable sur les switchs

–  On définit les ports légitimes aux réponses des DHCP Request

–  Configuration

•  ip dhcp snooping

•  ip dhcp snooping vlan number

•  Sur le port légitime ou illégitime : ip dhcp snooping trust

F. Nolot ©2009 64

Autres attaques classiques

•  Récupération d'informations via CDP –  Découverte des versions de l'IOS et autres informations via CDP car protocole de couche 2 et

information en clair

–  Conseil : désactiver CDP

•  Telnet –  Attaque par brute force et protocole non sécurisé

–  Conseil : utiliser à la place de telnet plutôt ssh

•  Recommandation générale : vérifier et tester régulièrement la sécurité de votre réseau et des accès à vos équipements

F. Nolot ©2009 65

Sécuriser l'accès aux ports

•  Pour éviter que n'importe qui se connecte sur les port d'un switch, il est possible de faire un contrôle sur les adresses MAC des machines connectées sur chaque port

•  Pour activer cette sécurité sur l'interface concernée :

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

•  Définition des adresses MAC autorisées sur un port

–  Adresse MAC fixée

Switch(config-if)# switchport port-security mac-address 0123.4567.1423.7890

–  Ou apprentissage de l'adresse MAC (source) de la première trame qui traversera le ports

Switch(config-if)# switchport port-security mac-address sticky

–  Après apprentissage, l'adresse sera dans le running-config comme une adresse fixée •  Par défaut, une seule adresse MAC est autorisée par port. Pour changer ce nombre

Switch(config-if)# switchport port-security maximum nombre

F. Nolot ©2009 66

Politique de sécurité

•  Plusieurs politiques de sécurité peuvent être envisagées en cas de violation

•  Soit on bloque définitivement le port lors d'une usurpation d'adresse MAC

Switch(config-if)# switchport port-security violation shutdown

•  Soit on bloque toutes les trames avec des adresses MAC inconnus et on laisse passer les autres

Switch(config-if)# switchport port-security violation protect

•  Soit un message dans le syslog et via SNMP sont envoyés. De plus le compteur du nombre de violation est incrémenté.

Switch(config-if)# switchport port-security violation restrict

•  Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité faire un shutdown suivi d'un no shutdown

•  Recommandation : désactiver manuellement tous les ports non utilisés

F. Nolot ©2009 67

Information sur les @ MAC et l'état d'un port

•  Pour visualiser la politique de sécurité d'une interface Switch# show port-security interface ...

•  Pour visualiser les adresses MAC connues sur les ports Switch# show port-security address

Switch#show port-security interface FastEthernet 0/4 Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 1 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address : 0000.0000.0000 Security Violation Count : 0

Switch# 00:02:35: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 02e0.4c39.37dd on port FastEthernet 0/4

F. Nolot ©2009 68

Résumé du port Security

F. Nolot ©2009 69

Concepts de la commutation, IOS et sécurité

Questions ?