2014
Domingues Almeida Nicolas
[TP2 COMPTE RENDU AVANCE D’UN SWITCH]
Fonction pour accéder à distance à un Switch, VTY GTY, et compte rendu de la sécurité par adresse mac
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 2
SISR2
TP 2 : Configuration des Switch
Table des matières
Objectif : .................................................................................................. 3
Introduction VTY, GTY, sécurité par adresse Mac : ................................. 3
VTY ......................................................................................................... 3
CTY ......................................................................................................... 4
Sécurité par adresse Mac ...................................................................... 4
Mise en place des machines : ................................................................... 5
Schéma du câblage réseau .................................................................... 5
Tableau d’adressage .............................................................................. 6
Configuration Périphérique: ................................................................ 6-7
Configuration du Switch ........................................................................... 7
Commande de base : .............................................................................. 7
Tâche 3 : création d’une configuration de commutateur ............... 8-9-10
Tâche 4 : gestion de la table d’adresses MAC ................................. 10-11
Tâche 5 : Tâche 5 : configuration de la sécurité des ports ............... 12-13
Conclusion ............................................................................................... 13
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 3
Objectif :
L’objectif principal de ce TP est de nous apprendre la configuration d’un
Switch à développer nos compétences en étant autonome.
Puis nous apprendre le principe du VTY et CTY et la sécurité par adresse
Mac et de nous familiariser avec toutes les commandes pouvant être
rencontrées
Introduction VTY, GTY, sécurité par adresse Mac :
Tout d’abord connexion au Switch s'effectue par le port console en
utilisant la ligne associée à ce port (CTY = Console Lines Teminal) ou bien
à distance en utilisant les lignes virtuelles (VTY = Virtual Lines Teminal).
VTY (Virtual Lines Terminal)
VTY apparait dans la conf comme « ligne vty 0 15 ». Cela signifie que
vous pouvez avoir jusqu'à 16 connexions simultanées à la fois) mais l’on
peut délimiter le nombre de session simultané selon ce que l’on souhaite.
VTY utilise la connexion à partir d'un emplacement distant via Telnet ou
SSH.
SSH et Telnet sont des protocoles de couche application (7) qui
permettent aux demandes terminaux distants de se connecter à une ligne
de VTY.
Il faut créer au minimum un mot de passe pour l'accès aux différents
terminaux (console et virtuel) et un mot de passe pour l'accès au mode
privilégié. On doit donc s’assurer d’avoir un réseau local sécurisé et
optimisé.
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 4
CTY (Console Lines Terminal)
CTY est le port de la console. Il apparaît dans la configuration
comme « ligne con 0 ». Le port console est principalement utilisé pour
l'accès au système local à l'aide d'un terminal de console.
Sécurité par adresse Mac
Dans une architecture réseau, il est important de sécuriser l’équipement.
En effet, utiliser un ordinateur non autorisé peut être dangereux et donc il
est possible d’empêcher cela à travers un Switch et par sécurité par adr
Mac.
Le commutateur établit et met à jour une table d' adresses MAC, qui lui
indique une adresse Mac distant connecter à son port et en fonction
des adresses MAC reçues sur chaque port le commutateur construit
dynamiquement une table qui associe des adresses MAC avec des ports
correspondants. Et c’est ce qui le rend impossible à traverser avec
d’autres postes car chaque poste à une unique adr Mac.
Avantage :
- C’est souvent la première approche pour empêcher les connexions de
visiteurs indésirables sur de petits réseaux.
- Gestion centralisée des autorisations (annuaire).
Inconvénients:
- L’administration qui devient dure sur de grands réseaux car en cas de
changement de la carte réseau, la configuration du système de filtrage
doit être adaptée, dans ce cas la elle va plutôt se répandre sur les arrivées
des réseaux sans fil pour lequel elle est très dure à contourner (usurper
l’adr Mac ce que l’on appel « Mac spoofing »
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 5
Mise en place des machines :
Les configurations des machines qui seront connecté au réseau avec un
des postes reliés au Switch avec un câble RJ45 et un câble console pour la
configuration du commutateur puis l’autre dans la suite du TP à été
rajouté et qui est relié par un câble RJ45 au Switch.
Schéma du câblage réseau
172.17.99.21
172.17.99.32
Câble horizontal
Câble RJ45
Câb
le R
J45
Fa 0/18
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 6
Tableau d’adressage
Périphérique interface Adresse IP Masque de Sous réseau
Passerelle par default
PC1 Carte réseau 172.17.99.21 255.255.255.0 172.17.99.1
PC2 Carte réseau 172.17.99.22 255.255.255.0 172.17.99.1
Comm1 VLAN99 172.17.99.11 255.255.255.0 172.17.99.1
Configuration périphérique:
Configuration Switch:
Switch>enable
Switch#conf t
Switch(config)#hostname Comm1
Comm1(config)#vlan 99
Comm1(config-vlan)#exit
Comm1(config)#interface vlan 99
Comm1(config-if)#ip address 172.17.99.11 255.255.255.0
Comm1(config-if)#no shutdown
Comm1(config-if)#exit
Comm1(config)#
Configuration PC1 et PC2:
IL faut ensuite configurer les paramètres d'adressage IP du PC1.
address 172.17.99.21 netmask 255.255.255.0 gateway 172.17.99.11
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 7
On effectue la même manipulation pour le PC2.
address 172.17.99.32 netmask 255.255.255.0 gateway 172.17.99.11
Configuration du Switch
Commande de base :
Pour pouvoir configurer le Switch, il est nécessaire de passer en mode privilégié :
Comm1 > enable
Comm1#
Suppression de la configuration de démarrage
Il faut tout d’abord supprimer toute configuration préexistante :
Comm1#erase startup-config
Puis:
Comm1#reload
Mode configuration
Comm1#configure terminal
Comm1 (config)#
Sauvegarder la configuration
Comm1 # copy running-config startup-config
Examinez le contenu actuel de la mémoire vive non volatile en exécutant la commande show startup-config.
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 8
Tâche 3 : création d’une configuration de commutateur
Etape 2 définition des mots de passes
Comm1 (config)#line console 0
Comm1 (config-line)# password cisco
Comm1 (config-line)# login
Comm1 (config-line) # line vty 0 15
Comm1 (config-line) # password cisco
Comm1 (config-line) # login
Comm1 (config-line) # exit
Cette commande permet donc de configurer un mot de passe pour la connexion Cisco ainsi que les lignes Vty avec comme mdp cisco.
La commande login est donc requise pour définir qu’il y a bien un login et mdp mais que l’on ne met pas de login
Vty 0 15 signifie (Virtual télétype) les 15 premières connexions TCPIP.
Etape 3 définition mot de passe en mode commande
Définissez class comme mot de passe secret actif.
Comm1(config)#enable secret class
Étape 4 : création Vlan et affectation des ports sur le réseau local virtuel du commutateur
On passe donc à l’étape 5 à la partie Vlan car l’adresse de la couche 3 à déjà été configuré
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 9
Pour la création du Vlan 99 :
Comm1(config)#Vlan 99
Comm1(config-vlan)#Exit
Comm1(config)#Interface Vlan 99
L’affection à tous les ports du Switch
Comm1 (config) #interface fastEthernet 0/8 – 24
Comm1 (config-if) #switchport access vlan 99
Comm1 (config-if) #no shutdown
Comm1 (config) #end
L’affection 0/1 – 24 signifie que l’on sélectionne de 1 à 24 pour le vlan 99
Étape 5 : définition de la passerelle par défaut du commutateur
Comm1(config)#ip default-gateway 172.17.99.1
Comm1 (config) #exit
Etape 6: Vérification des parameter Lan
Comm1#show interface vlan 99
En faisant cette commande on vérifie chaque paramètre comme
La bande passante qui est BW 100 000 Kbit
L’état du Vlan qui est « actif », le Protocol de ligne est « is up, donc actif »
La stratégie de la file d’attente qui est fifo.
Etape 8 : Vérification de la connectivité
Après avoir paramétré le Pc1 correctement on peut donc effectuer une requête Ping qui aboutit bien.
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 10
Etape 9 : configuration des paramètres de vitesse du port et du mode bidirectionnel pour une interface Fast Ethernet
Configurez les paramètres de vitesse sur Fast Ethernet 0/18. Utilisez la commande end pour retourner au mode d’exécution privilégié une fois que vous avez terminé.
Comm1#configure terminal
Comm1 (config)#interface fastethernet 0/18
Comm1 (config-if)#speed 100
Comm1 (config-if)#duplex full
Comm1 (config-if)#end
Vérifiez à présent les paramètres sur l’interface Fast Ethernet à l’aide de la commande show interface fa0/18. On enregistre donc la config grâce à la commande Comm1 # copy running-config startup-config
Grâce à la commande Comm1# show startup-config on peut voir que les modifications on bien été effectué.
Tâche 4 : gestion de la table d’adresses MAC
L’adresse Mac du Pc1 est : 000D.BD75.78BB L’adresse Mac du Pc2 est : 00E0. F740.3531
Étape 2 : identification des adresses MAC apprises par le commutateur
Envoyez une requête Ping au commutateur Comm1 depuis PC1, puis procédez à une vérification dans la table des adr MAC et on constate donc bien l’adresse Mac de notre PC1
Comm1#show mac-address-table
Étape 3 : effacement de la table d’adresses MAC
Pour supprimer les adresses MAC existantes
Comm1#clear mac-address-table dynamic
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 11
Étape 4-5 : vérification des résultats
Assurez-vous que la table d’adresses MAC a été effacée.
S1#show mac-address-table
Vérifiez une nouvelle fois la table d’adresses MAC en mode d’exécution privilégié. La table n’a pas changé
Étape 6 : configuration d’une adresse MAC statique
Pour spécifier à quels ports un hôte peut se connecter, créez un mappage statique de l’adresse MAC hôte à un port. Pour le configurer on utilise donc la commande : (en utilisant l’adr mac du Pc1 000D.BD75.78BB)
Comm1 (config)#mac-address-table static 000D.BD75.78BB vlan 99 interface fastethernet 0/18
Comm1 (config)#end
Pour vérifiez les entrées de la table d’adresses MAC on effectue donc :
Comm1#show mac-address-table Et on constate qu’il y a donc qu’une seule adresse mac qui est celle du Pc1.
Étape 8 : suppression de l’entrée MAC statique
Pour supprimer l’entrée Mac statique il suffit de rajouter no au début de la ligne de commande :
Comm1(config)#no mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18
Comm1(config)#end
Il faut s’ que l’adresse MAC statique a été supprimée à l’aide de la commande show mac-addresstable static.
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 12
Tâche 5 : configuration de la sécurité des ports
Étape 1 : configuration d’un deuxième hôte
Pour la tâche 5 on a donc besoin du second poste c'est-à-dire PC2 que l’on configure au préalable, puis on test une requête ping du Pc2 vers le Comm1 et elle aboutit.
Ensuite on affiche les adresses mac Comm1#show mac-address-table Et on constate que l’adresse Mac ajouté est bien l’adr Mac de l’hôte.
Étape 5 : liste des options de sécurité des ports
Pour connaître la suite des éléments d’une commande il faut mettre un point d’interrogation « ? »
Comm1# configure terminal
Comm1 (config)#interface fastethernet 0/18
Comm1 (config-if)#switchport port-security ?
Étape 6 : configuration de la sécurité sur un port d’accès
Cette commande permet de configurer le port 0/18 pour qu’il n’accepte que 2 périphériques, acquière des adresse Mac de ces périphérique et qu’il soit sécurisé en cas d’hôte non valide (il bloque le trafic de l’hôte non valide).
Comm1 (config-if)#switchport mode access
Comm1 (config-if)#switchport port-security
Comm1 (config-if)#switchport port-security maximum 2
Comm1 (config-if)#switchport port-security mac-address sticky
Comm1 (config-if)#switchport port-security violation shutdown
Comm1 (config-if)#exit
Étape 7-8 : vérifier et examiner
Pour vérifier et examiner les paramètres de sécurité des ports on tape :
Comm1# show port-security (pour voir les ports sécurisés)
Comm1#show running-config (pour voir si la conf à bien été pris en compte)
[COMPTE RENDU TP ET SECURITE PAR ADRESSE MAC ] 3 février 2014
Domingues Almeida Nicolas Page 13
Étape 8 : modification des paramètres de sécurité sur un port
On fait donc passer le nombre d’adresse mac maximum à 1 sur le port 0/18 :
Comm1(config-if)#switchport port-security maximum 1
Étape 9 : vérification des résultats
On affiche pour vérifier les paramètres de sécurité des ports :
Comm1#show port-security
En lançant un ping on aperçoit qu’ensuite les modifications on bien été effectuer (Comm1#show run)
En branchant le pc2 sur le port fa 0/18 on peu voir que le voyant devenu vert devient immédiatement désactivé on peut donc en conclure que la config qui a été faite à retenu l’adr mac du pc1 donc aucune autre adr Mac ne peut accéder à ce port. Donc en tapant Comm1#show interface fastethernet 0/18 on voit donc que l’interface 0/18 est down Aucun trafic ne peut passer entre l’hôte et le commutateur tant que l’hôte non autorisé est raccordé à Fast Ethernet 0/18. Reconnectez PC1 à Fast Ethernet 0/18
Pour réactiver le port on doit donc taper la commande :
Comm1#configure terminal
Comm1 (config)#interface fastethernet 0/18
Comm1 (config-if)#no shutdown
Comm1 (config-if)#end
Conclusion
Pour conclure, ce travail m’a beaucoup apporté et m’a permis d’enrichir mes connaissances et d’en apprendre de nouvelles.
Il m’a permis d’être indépendant et m’a demandé de la concentration et de la réflexion.
Top Related