Commutateur
Sommaire Définition Réseaux Ethernet/802.3 Conception des réseaux Ethernet Commutation symétrique et asymétrique Mise en mémoire tampon Commutation sur la couche 2 et 3 Modes d’interface de ligne de commande Configuration de la connectivité IP Mode bidirectionnel Configuration d’une interface WEB Gestion de la table MAC Sauvegarde et restaurations de la configuration Sauvegarde des fichiers de configuration Configuration de l’accès console
Définition Un commutateur ou switch, est un équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer des circuits virtuels. La commutation est un des deux modes de transport de trame au sein des réseaux informatiques et de communication, l'autre étant le routage. Il dispose de plusieurs ports Ethernet , il a la même apparence qu’un hub (concentrateur) Sauf qu’il y a une grande différence entre un commutateur et un concentrateur. Les concentrateurs peuvent identifier la destination prévue pour les informations reçues, et envoyer ces informations uniquement aux ordinateurs qui sont sensés les recevoir. Tandis que les concentrateur envoie l’information à tous le monde. Les commutateurs peuvent envoyer et recevoir simultanément des informations, et peuvent par conséquent envoyer des informations plus rapidement que les concentrateurs.
Réseaux Ethernet/802.3 CSMA/CD Les signaux Ethernet sont transmis à tous les hôtes connectés au réseau local au moyen d’un ensemble de règles spécial qui permet de déterminer quelle station peut avoir accès au réseau. L’ensemble de règles auquel Ethernet a recours est fondé sur la technologie d’accès multiple avec écoute de porteuse/détection de collision (CSMA/CD) de la norme IEEE. Écoute de porteuse Avec la méthode d’accès CSMA/CD, tous les périphériques réseau qui ont des messages à envoyer doivent les écouter avant de les transmettre. Si un périphérique détecte un signal provenant d’un autre périphérique, il patiente un certain temps avant d’essayer de transmettre un message. Accès multiple Si la distance entre les périphériques est telle que la latence des signaux d’un périphérique implique que les signaux ne sont pas détectés par un deuxième périphérique, ce dernier peut, lui aussi, commencer à transmettre son message.
Réseaux Ethernet/802.3 Détection de collisions Lorsqu’un périphérique est en mode d’écoute, il peut détecter à quel moment une collision a lieu sur les supports partagés puisque tous les périphériques sont en mesure de détecter si l’amplitude du signal excède le niveau normal. Signal de congestion et interruption aléatoire Dès qu’une collision est détectée, les périphériques émetteurs envoient un signal de congestion. Le signal de congestion informe les autres périphériques d’une collision pour leur permettre d’appeler un algorithme d’interruption.
Réseaux Ethernet/802.3 Communications Ethernet Les communications dans un réseau local commuté il existe trois différent formes: Monodiffusion Il y a un expéditeur et un récepteur, dans laquelle une trame est transmise depuis une hôte vers une destination spécifique. Les protocoles HTTP, SMTP, FTP et Telnet utilisent les transmissions de monodiffusion. Diffusion La transmission diffusons est un expéditeur pour toutes les autres adresses. Dans ce cas là il y a qu’un seul expéditeur qui intervient. L’exemple de transmission par diffusion est la requête de résolution d’adresse le protocole ARP (Address Resolution Protcole). Multidiffussion La transmission par multidiffusion est un expéditeur à un groupe d’adresse. Par exemple une trame est transmise à un groupe spécifique de périphériques ou de clients.
Réseaux Ethernet/802.3 Paramètres bidirectionnels Il existe deux types de paramètres bidirectionnels pour la communication dans un réseau Ethernet: Mode bidirectionnel non simultané: Flux de données unidirectionnel, l’envoi et la réception des données n’ont pas lieu simultanément. Risques de collision plus élevés Connectivité avec le concentrateur Mode bidirectionnel simultané: Communications point à point Connexion au port commuté dédié Prise en charge du mode bidirectionnel Aucun risques de collision
Réseaux Ethernet/802.3 Paramètres du port de commutateur Grâce au commutateur Cisco Catalyst 2960 il est possible de configurer les ports grâce au commandes suivantes: L’options auto permet deux ports de communiquer pour choisir le mode. Il définit également l’auto-négociation pour le mode bidirectionnel. L’options full définit le mode bidirectionnel simultané. L’options half définit le mode bidirectionnel non simultané.
Réseaux Ethernet/802.3 Adressage MAC et tables d’adresses MAC des commutateurs Les commutateurs utilisent des adresses MAC pour orienter les communications réseau via leur matrice de commutation vers le port approprié et en direction du nœud de destination. Étape 1 Le commutateur reçoit une trame de diffusion du PC 1 sur le port 1. Étape 2 Le commutateur enregistre l’adresse MAC source et le port de commutateur ayant reçu la trame dans la table d’adresses. Étape 3 L’adresse de destination étant une diffusion, le commutateur inonde la trame sur tous les ports Étape 4 Le périphérique de destination réagit à la diffusion en envoyant une trame de monodiffusion Étape 5 Le commutateur enregistre l’adresse MAC source. L’adresse de destination de la trame et le port qui lui est associé se trouvent dans la table d’adresses MAC. Étape 6 Le commutateur peut alors transmettre les trames entre les périphériques source et de destination sans les diffuser
Conception des réseaux Ethernet Bande passante et débit: Les collisions constituent l’inconvénient majeur des réseaux Ethernet 802.3. Une collision se produit lorsque deux hôtes transmettent des trames simultanément. Les hôtes émetteurs arrêtent toute transmission pendant une période de temps aléatoire en fonction des règles Ethernet 802.3. Domaines de collision: C’est une zone logique d'un réseau informatique où les paquets de données peuvent entrer en collision entre eux, en particulier avec le protocole de communication Ethernet. Un domaine de collision peut être un seul segment de câble Ethernet, un seul concentrateur ou même un réseau complet de concentrateurs et de répéteurs. Généralement, un concentrateur forme un seul domaine de collision alors qu'un commutateur ou un routeur en crée un par port, ce qui réduit les risques de collision. Lorsque l'Ethernet est utilisé en mode full-duplex, il n'y a plus de domaine de collision, car aucune collision n'est possible.
Conception des réseaux Ethernet Latence réseau La latecne est un délai dans les communications informatiques (on trouve parfois l’anglicisme lag). Il désigne le temps nécessaire à un paquet de données pour passer de la source à la destination à travers un réseau. A n'importe quel paquet transmis par réseau correspond donc une valeur de latence. Le terme est néanmoins utilisé pour désigner les délais plus longs, perceptibles par les utilisateurs. Les utilisateurs des applications réseau connaissent des problèmes de latence lorsqu’ils doivent patienter de nombreuses minutes pour accéder aux données stockées dans un centre de calcul ou lorsqu’un site Web prend plusieurs minutes pour se charger dans un navigateur. Il existe au moins trois causes de latence.
Conception des réseaux Ethernet Encombrement du réseau Le principal intérêt de segmenter un réseau local en parties plus infimes est d’isoler le trafic et d’optimiser l’utilisation de la bande passante pour chaque utilisateur. Sans segmentation, un réseau local est vite submergé par le trafic et les collisions. Les causes d’encombrement les plus courantes sont les suivantes : Technologies réseau et informatiques de plus en plus puissantes. Volume de trafic réseau accru. Applications à bande passante élevée.
Commutation symétrique et asymétrique Commutation asymétrique: La commutation asymétrique dédie un volume de bande passante plus important au port de commutateur d’un serveur afin d’éviter tout goulot d’étranglement. Le trafic devient ainsi plus fluide lorsque plusieurs clients communiquent simultanément avec le même serveur. La commutation asymétrique nécessite une mise en mémoire tampon. Commutation symétrique: Sur un commutateur symétrique, tous les ports disposent de la même bande passante. La commutation symétrique est optimisée pour une charge de trafic raisonnablement distribuée, telle que dans un environnement de Bureau peer to peer. Elle offre des connexions commutées entre les ports dotés de la même bande passante, notamment tous les ports 100 Mbits/s ou 1000 Mbits/s.
Mise en mémoire tampon Mise en mémoire tampon axée sur les ports et partagée: un commutateur analyse une partie ou l’intégralité d’un paquet avant de le transmettre à un hôte de destination en fonction de la méthode de transmission. Le commutateur stocke le paquet dans une mémoire tampon pendant une courte période. Un commutateur Ethernet peut utiliser une technique de mise en mémoire tampon pour stocker des trames avant de les transmettre. La mise en mémoire tampon peut également être une solution lorsque le port de destination est saturé suite à un encombrement et que le commutateur stocke la trame jusqu’à ce qu’il puisse la transmettre. Mise en mémoire tampon axée sur les ports: Dans le cas de la mise en mémoire tampon axée sur les ports, les trames sont stockées dans des files d’attente liées à des ports entrants et sortants spécifiques. Une trame est transmise au port sortant uniquement si toutes les trames qui la précèdent dans la file d’attente ont été correctement transmises. Mise en mémoire tampon partagée: La mise en mémoire tampon partagée stocke toutes les trames dans une mémoire tampon commune à tous les ports du commutateur. La capacité de mémoire tampon nécessaire à un port est allouée dynamiquement.
Commutation sur la couche 2 et 3 Un commutateur de réseau local de couche 2 permet d’effectuer une commutation et un filtrage en se basant uniquement sur l’adresse MAC de la couche liaison de données (couche 2) du modèle OSI (Open System Interconnection). Un commutateur de couche 2 est entièrement transparent pour les protocoles réseau et les applications utilisateur Un commutateur de couche 3, tel que le commutateur Catalyst 3560, fonctionne de manière similaire à un commutateur de couche 2.
Comparaison entre un commutateur et un routeur de couche 3 Les commutateurs de couche 3 peuvent acheminer des paquets entre différents segments de réseau local de la même manière que les routeurs dédiés. Cependant, ils n’éliminent pas entièrement le besoin de recourir à des routeurs sur un réseau. Les routeurs offrent des services de couche 3 que les commutateurs de couche 3 sont incapables de vous apporter.
Modes d’interface de ligne de commande Mode d’exécution utilisateur: Permet à un utilisateur d’accéder uniquement à un nombre de commandes de contrôle de base. Mode d’exécution privilégié: Permet à une personne d’accéder à toutes les commandes d’un périphérique, notamment celles utilisées pour la configuration et la gestion.
Modes d’interface de ligne de commande Mode de configuration globale: Pour configurer les paramètres de commutation généraux, notamment le nom d’hôte ou l’adresse IP du commutateur servant à la gestion de ce dernier. Il faut entrer la commande configure terminal pour être en mode d’exécution privilégié. Mode de configuration d’interface Pour passer du mode configuration globale au mode de configuration d’interface il faudra entrer la commande interface <interface name>.
Mémoire tampon d’historique des commandes La fonction d’historiques des commandes permet de : Afficher le contenu de la mémoire tampon des commandes Définir la taille de la mémoire tampon de l’historique des commandes Rappel des commandes entrées précédemment et stockées dans la mémoire tampon de l’historique. L‘historique des commandes est activé et le système enregistre 10 lignes de commandes dans sa mémoire tampon. Grâce à la commande show history permet d’afficher les commandes qui ont été exécutés.
Mémoire tampon d’historique des commandes
Configuration de la connectivité IP
Configuration du mode bidirectionnel
Configuration d’une interface WEB
Gestion de la table MAC Les commutateurs utilisent des tables d’adresses MAC pour déterminer le mode de transmission du trafic d’un port à l’autre. Ces tables MAC comprennent des adresses dynamiques et statiques. Les adresses dynamiques sont des adresses MAC source que le commutateur assimile, puis définit comme obsolètes dès qu’elles ne sont plus utilisées. Pour créer un mappage statique dans la table d’adresses MAC, il faudra taper la commande mac-address-table static <adresse_MAC> vlan {1-4096, ALL} interface id_interface. Pour supprimer un mappage statique dans la table d’adresses MAC, il faudra taper la commande no mac-address-table static <adresse_MAC> vlan {1-4096, ALL} interface id_interface. Show mac-address-table cette commande permet d’afficher la table d’adressage MAC.
Utilisation des commandes show La commande show est exécutée en mode d’exécution privilégiée. La commandes show la plus importantes est la commande show running-config. Elle permet d’afficher la configuration actuelle sur le commutateur.
Sauvegarde et restaurations de la configuration Sauvegarde de la configuration: la commande copy running-config startup-config doit s’éxécuter en mode privilégiée. La configuration en cours est enregistrée dans la mémoire DRAM et la configuration de démarrage est stockée dans la NVRAM.
Sauvegarde et restaurations de la configuration
Sauvegarde des fichiers de configuration
Suppression des fichiers de configuration Pour supprimer un fichier de la mémoire flash il faudra utiliser la commande delete flash: nom du fichier il faudra le faire en mode privilégié. Pour effacer le contenu de la configuration au démarrage il faudra utiliser la commande erase nvram: ou erase startup-config en mode priviligié bien sur.
Configuration de l’accès console Pour protéger la console contre tout accès non autorisé, définissez un mot de passe sur le port de la console au moyen de la commande du mode de configuration de ligne password <mot de passe>. Utilisez la commande line console 0 pour passer du mode de configuration globale au mode de configuration de ligne pour la console 0
Configuration de l’accès au terminal Virtuel
Supression du mot de passe vty Étape 1. Passez du mode d’exécution privilégié au mode de configuration globale. Entrez la commande configure terminal. Étape 2. Passez du mode de configuration globale au mode de configuration de ligne pour les terminaux virtuels (vty) 0 à 4. L’invite de commandes (config-line)# indique que vous êtes en mode de configuration de ligne. Entrez la commande line vty 0 4. Étape 3. Supprimez le mot de passe des lignes vty à l’aide de la commande no password. Étape 4. Supprimez l’obligation de saisie du mot de passe lors de la connexion dans les ligne vty à l’aide de la commande no login. Étape 5. Quittez le mode de configuration de ligne et revenez au mode d’exécution privilégié par le biais de la commande end.
Configuration du mot de passe La commande de configuration globale enable password permet de préciser un mot de passe pour restreindre l’accès au mode d’éxécution privilégié. Pour supprimer le mot de passe en mode exécution il faudra taper la commande no enable password et no enable secret en mode configuration glob ale.
Configuration des mots de passe chiffrés La commande service password-encryption en mode configuration, tous les mots de passe système sont stockés au format chiffrés La commande no service password-encryption en mode configuration donne la supression du chiffrement des mots de passe
Récupération des mots de passe Étape 1. Au moyen d’un logiciel d’émulation de terminal, connectez un terminal ou un PC au port de la console du commutateur. Étape 2. Définissez le débit de la ligne dans le logiciel d’émulation à 9 600 bauds. Étape 3. Mettez le commutateur hors tension. Reconnectez le cordon d’alimentation au commutateur, puis appuyez sur le bouton Mode pendant les 15 secondes qui suivent tandis que le LED système continue de clignoter en vert. Étape 4. Initialisez le système de fichiers flash à l’aide de la commande flash_init. Étape 5. Chargez tous les fichiers d’aide au moyen de la commande load_helper. Étape 6. Affichez le contenu de la mémoire flash à l’aide de la commande dir flash :
Configuration d’une bannière de connexion
Configuration d’une bannière MOTD La bannière MOTD affiche tous les terminaux connectés à la connexion et permet de transmettre des messages destinés à tous les utilisateurs du réseau (pour les avertir, par exemple, d’un arrêt imminent du système). La bannière MOTD apparaît avant la configuration de la bannière de connexion. Pour supprimer la bannière de connexion, entrez le format no de cette commande en mode de configuration globale (par exemple, S1(config)#no banner motd).
Telnet et SSH Telnet: Méthode de l’accès la plus courante Envoie des flux de message en texte clair Méthode non sécurisée SSH: Devrait être la méthode d’accès la plus fréquemment employée Envoie des flux de messages chiffrés Méthode sécurisée
Configuration de Telnet Telnet est le protocole pris en charge par défaut par les terminaux virtuels (vty) sur un commutateur Cisco. Lorsqu’une adresse IP de gestion est attribuée au commutateur Cisco, vous pouvez vous y connecter au moyen d’un client Telnet. Au départ, les lignes vty ne sont pas sécurisées. Tout utilisateur qui tente de s’y connecter peut donc y avoir accès.
Configuration de SSH Secure Shell (SSH) est une fonction de sécurité cryptographique qui est soumise à des restrictions en matière d’exportation. Pour exploiter cette fonction, vous devez installer une image cryptographique sur votre commutateur. La fonction Secure Shell dispose d’un serveur SSH et d’un client SSH intégré qui constituent les applications qui sont exécutées sur le commutateur.
Attaques CDP CDP (Cisco Discovery Protocol) est un protocole propriétaire que tous les périphériques Cisco peuvent utiliser. CDP détecte tous les autres périphériques Cisco qui bénéficient d’une connexion directe, ce qui leur permet de configurer automatiquement cette connexion dans certains cas, tout en simplifiant la configuration et la connectivité. Les messages CDP ne sont pas chiffrés. Par défaut, le protocole CDP est activé sur la plupart des routeurs et des commutateurs Cisco. Les informations CDP sont transmises sous forme de diffusions périodiques mises à jour localement dans la base de données CDP de chaque périphérique. CDP étant un protocole de la couche 2, il n’est pas propagé par les routeurs.
Attaques Telnet Un pirate peut utiliser le protocole Telnet pour accéder au commutateur d’un réseau Cisco. La première phase de ce type d’attaque consiste pour le pirate à utiliser une liste de mots de passe courants, ainsi qu’un programme conçu pour tenter d’établir une session Telnet au moyen de chaque mot figurant dans la liste du dictionnaire. Sa permet d’attaqué en force les mots de passes c’est définit par le service DOS. Pour éviter de se faire attaquer son mot de passe en force il faut tout d’abord le changer régulièrement. Il faut utiliser des mts de passe forts c’est a dire des qu’il faudra utiliser des touches spéciaux.
Outils de Sécurité Les outils de sécurité réseau permettent de:
Outils de Sécurité Les outils de sécurité réseau doivent être conçus de sorte que vous puissiez les connecter à un module de code. Le rôle de outils de sécurité réseau capturer des messages de discussion capturer des fichiers issus du trafic NFS capturer des requêtes HTTP au format CLF (Common Log Format) capturer des courriels au format mbox de Berkeley capturer des mots de passe afficher en temps réel les adresses URL capturées dans le navigateur inonder un réseau local commuté d’adresses MAC aléatoires créer des réponses aux demandes d’adresse DNS/pointeur intercepter des paquets sur un réseau local commuté
Configuration de la sécurité des ports Il existe des adresses MAC de sécurités: Adresses Mac sécuritsé statiques avec la commande switchport port- security mac-address adresse_mac. Adresse MAC sécurisées dynamiques Adresse MAC sécurisés rémanentes Il faut mettre en place la sécurité sur les ports des commutateurs: Préciser un groupe d’adresse MAC autorisés sur un port. Il faudra ensuite autoriser une seule @MAC à accéder au port Et enfin préciser le port qui s’arrete automatiquement si les @MAC non autorisés sont détectés.
Sécurité des ports
Sécurité des ports
Sécurité des ports
Configuration de la sécurité des ports Pour afficher les paramètres de sécurité des ports du commutateur ou de l’interface spécifié il faudra utiliser la commande show port-security [interface id_interface]. Avec cette commande on obtiendra le résultat suivant: nombre maximal autorisé d’adresses MAC sécurisées pour chaque interface ; nombre d’adresses MAC sécurisées dans l’interface ; nombre de violations de la sécurité ; mode de violation Pour afficher toutes les @MAC sécurisés configurés dans les interfaces de commutation il faudra taper la commande suivante show port-security [interface id_interface].
Configuration de la sécurité des ports Pour afficher les paramètres de sécurité des ports du commutateur ou de l’interface spécifié il faudra utiliser la commande show port-security [interface id_interface]. Avec cette commande on obtiendra le résultat suivant: nombre maximal autorisé d’adresses MAC sécurisées pour chaque interface ; nombre d’adresses MAC sécurisées dans l’interface ; nombre de violations de la sécurité ; mode de violation Pour afficher toutes les @MAC sécurisés configurés dans les interfaces de commutation il faudra taper la commande suivante show port-security [interface id_interface].