Chapitre 1 : Architecture et configuration d'un réseau LAN PDF

CHAPITRE 1 ARCHITECTURE ET CONFIGURATION D’UN RÉSEAU LAN Module CCNA2-Alternance 1 OBJECTIFS  Définir un réseau LAN et rappeler ses caractéristiques  Décrire le modèle hiérarchique d’un réseau LAN et distinguer le rôle les différentes couches  Différencier les domaines de collision et de diffusion.  Comprendre l’architecture d’un commutateur et manipuler les commandes de configuration de base  Décrire les méthodes d’apprentissage des adresses MAC au niveau d’un commutateur  Manipuler les tables de commutation d’un commutateur  Décrire la sécurité des ports d’un commutateur.  Appliquer la configuration de la sécurité des ports. 2 PARTIE 1 Caractéristiques d’un réseaux LAN 3 QU’EST CE QU’UN RÉSEAU LOCAL ?  C’est un réseaux dont la taille est comprise entre quelques mètres (liaison directe entre des équipements périphériques) jusqu’à quelques kms (avec équipements d’interconnexion)  Géographiquement limité (société, école, immeuble,…)  Le débit allant de 100 Mb/s jusqu’à 10Gb/s  La technologie répandue pour une infrastructure câblée: Ethernet  Composants Terminaux Equipement Câbles Protocoles d’interconnexion 4 EQUIPEMENTS Equipement D’INTERCONNEXION Rôle Illustration Répéteur N’est pas vraiment un équipement d’interconnexion Régénérer le signal Concentrateur Connecter plusieurs hôtes entre eux dans un même domaine de collision Commutateur Relier divers éléments tout en segmentant physiquement le réseau en domaines de collision Pont Relier deux segments de réseaux Pont homogène: les technologies des segments sont les mêmes Pont hétérogène: les technologies sont différentes Passerelle/ Relier des réseaux locaux différents. routeur 5 LES CÂBLES D’INTERCONNEXION ▪ La paire torsadée Cross- over Câble en cuivre de Connectique Paire 8 fils torsadés RJ45 Torsadée 6 POURQUOI A-T-ON BESOIN D’UN MODÈLE DANS UN LAN ? Modèle de conception d’un réseau ▪ Un modèle de conception sert à construire des réseaux en respectant certaines règles d’architecture qui leurs permettent de répondre aux besoins actuels et futurs des entreprises et de leurs utilisateurs. Principes d’un modèle de conception ▪ Hiérarchie : le modèle offre des niveaux fonctionnels : Core/Distribution/Access ▪ Modularité : il supporte facilement la croissance et les changements. Faire évoluer le réseau est facilité par l’ajout de nouveaux modules au lieu de redessiner entièrement l’architecture du réseau. ▪ Résilience : il supporte la haute disponibilité (HA) (proche de 100 % de disponibilité) ▪ Flexibilité : les changements dans l’entreprise peuvent être adaptés au réseau rapidement selon les besoins ▪ Sécurité : la sécurité est intégrée au niveau de chaque couche 7 MODÈLE HIÉRARCHIQUE EN 3 COUCHES La couche Core fournit la connectivité entre tous les périphériques de la couche Distribution. On l’appelle aussi le “Backbone” du réseau dont le rôle principal est, de transférer de la manière la plus efficace, un gros volume de trafic du réseau. La couche Distribution fournit l’interconnexion entre les couches Access et Core. Les commutateurs de la couche Distribution doivent être capables de supporter la charge de traitement de tout le trafic venant des périphériques Access. Ces commutateurs devraient disposer d’une haute densité de ports à débit élevé. La couche Access est celle qui connecte les utilisateurs finaux au réseau. 8 MODÈLE COLLAPSED (EN 2 COUCHES) Certaines infrastructures réseau de taille réduite ne nécessitent pas une couche Core dédiée. 🡺 Dans ce cas, on peut simplifier la topologie en “Collapsed Core” en réduisant le nombre de couches de trois à deux selon un modèle 2 Tiers. Dans une topologie collapsed Core, chaque commutateur de la couche core dispose d’un lien redondant vers chaque commutateur de la couche Distribution. Les commutateurs de couche Distribution se connectent les uns aux autres avec des liens redondants. 9 DOMAINES DE COLLISION / DIFFUSION (1/3) Un domaine de collision est un ensemble d’entités qui partagent le même média de communication. Si deux entités envoient des données à un instant T alors il y a collision des données et il faut retransmettre les données. 10 DOMAINES DE COLLISION / DIFFUSION (2/3) Un domaine de diffusion est une aire logique d'un réseau informatique où n'importe quelle machine connectée au réseau peut directement transmettre à toutes les autres machines du même domaine. 11 DOMAINES DE COLLISION / DIFFUSION (3/3) 12 PARTIE 2 Caractéristiques et configuration de base d’un commutateur 13 CARACTÉRISTIQUES D’UN ÉQUIPEMENT Tout équipement réseau est composé de : Interpréteur de commande : Interface utilisateur permettant de demander des tâches spécifiques à partir d’un ordinateur, via l’interface CLI. Noyau : Elément qui assure la communication entre le matériel et l’interpréteur Matériel : partie physique de l’équipement Un système d'exploitation réseau utilisant CLI (comme Cisco IOS, installé sur un commutateur ou un routeur) permet d’ : utiliser un clavier pour exécuter des programmes réseau basés sur CLI utiliser un clavier pour entrer des commandes textuelles; afficher des images sur un écran. 14 MODES DE CONFIGURATION  Mode d'exécution utilisateur : n'autorise l'accès qu'à un nombre limité de commandes de surveillance de base  Mode d'exécution privilégié : permet d'accéder à toutes les commandes et fonctionnalités.  Mode de configuration globale : Les configurations globale affectent le fonctionnement du périphérique dans son ensemble  Modes de configuration spécifiques  Mode de configuration de ligne - utilisé pour configurer l'accès par la console, par SSH, par Telnet, ou l'accès AUX.  Mode de configuration d'interface - utilisé pour configurer l'interface réseau d'un port de commutateur 15 ou d'un routeur STRUCTURE D’UNE COMMANDE IOS  Un administrateur réseau doit connaître la structure de commande IOS de base pour pouvoir utiliser l'interface de ligne de commande (CLI) pour la configuration de l’équipement d’interconnexion.  Chaque commande IOS a un format ou une syntaxe spécifique et ne peut être exécutée que dans le mode qui lui est approprié. 16 MÉMOIRES ET FICHIERS DE CONFIGURATION Deux fichiers système stockent la configuration des périphériques: Startup-config - Ce fichier stocké dans la mémoire vive non volatile (NVRAM) contient toutes les commandes qui seront utilisées au démarrage de l’équipement. N.B: La mémoire vive non volatile ne perd pas son contenu lors de la mise hors tension du périphérique. Running-config - Ceci est stocké dans la mémoire vive (RAM). Il s’agit de la configuration actuelle. Modifier une configuration en cours affecte immédiatement le fonctionnement d'un périphérique Cisco. La RAM est une mémoire volatile. 17 CONFIGURATION DE BASE D’UN COMMUTATEUR (1/8) Nom d’équipement  Il sert pour identifier facilement un équipement sur le réseau  Le nom doit respecter la structure suivante  Débute par une lettre  Ne contient pas d'espaces  se termine par une lettre ou un chiffre  Ne comporte que des lettres, des chiffres et des tirets  Comporte moins de 64 caractères 18 CONFIGURATION DE BASE D’UN COMMUTATEUR (2/8) Désactivation de la recherche DNS  Après avoir saisi une commande invalide, l’utilisateur sera bloqué pour des dizaines de secondes, et ce message est affiché :  En fait, l’équipement considère la commande comme un nom de domaine (équivalent à google.com), et lance les opérations de traduction du nom à l’aide d’un serveur DNS.  Cette recherche étant inutile, on recommande de la désactiver.  Pour désactiver la recherche DNS inutile, il suffit d’exécuter la commande suivante en mode de configuration globale : Switc h 19 CONFIGURATION DE BASE D’UN COMMUTATEUR (3/8) Mots de passe (1/2)  Les mots de passes servent à sécuriser l’accès aux périphériques réseaux  Il faut protéger les mots de passe en activant le service de chiffrement de mots de passes sur l’équipement  Différents types de mots de passe  Accès console  Accès Telnet via les lignes du terminal virtuel  Accès utilisateur privilégié Accès Console Accès Telnet 20 CONFIGURATION DE BASE D’UN COMMUTATEUR (4/8) Mots de passe (2/2)  Pour disposer d'un accès administrateur à toutes les commandes IOS, y compris la configuration d’un équipement, vous devez obtenir un accès privilégié en mode d'exécution.  Deux manières de configurer le mot de passe d’accès privilégié  Via la commande « enable password mot_de_passe »  Via la commande « enable secret mot_de_passe »  L’option « secret » permet l’hachage du mot de passe avec l’algorithme MD5 et son enregistrement sous forme de cryptogramme le mot de passe créé. 21 CONFIGURATION DE BASE D’UN COMMUTATEUR (5/8) Message de bannière  C’est un message d’information supplémentaire ajouté au périphérique.  Le message sert d’information sur les autorisations d’accès à l’équipement réseau.  La commande « banner motd » permet la création de la bannière du jour, et le message à afficher sera écrit entre deux délimiteurs ( Pour le message: Tous les caractères sont acceptés : lettres, chiffres, caractères alpha numériques) 22 CONFIGURATION DE BASE D’UN COMMUTATEUR (6/8) Interface virtuelle de gestion  Afin de pouvoir accéder à distance au commutateur, il faut lui attribuer une adresse IP.  Le commutateur étant un équipement de niveau 2, aucune de ses interfaces ne possède une adresse IP 🡪 Configurer une interface virtuelle de gestion (SVI).  Par défaut cette interface est l’interface VLAN 1  La configuration de cette interface inclut :  L’attribution de l’adresse IP  Son activation via la commande 1 « no shutdown » 1 23 CONFIGURATION DE BASE D’UN COMMUTATEUR (7/8) Passerelle par défaut  La passerelle par défaut est essentielle afin de permettre au commutateur de communiquer avec d’autres réseaux.  La passerelle par défaut est l’adresse IP du routeur qui délimite le domaine de diffusion auquel appartient le commutateur.  La configuration se fait avec la commande « ip default-gateway » 24 CONFIGURATION DE BASE D’UN COMMUTATEUR (8/8) Enregistrement de la configuration  Si une modification de configuration est réalisée, le fichier running-config sera modifiée. Par contre, le fichier startup-config ne sera pas modifiée.  Pour modifier la configuration de démarrage, il faudra enregistrer la configuration courante (running-config) en tant que configuration initiale (dans la startup-config).  Par conséquent, toute modification effectuée et non enregistrée sera annulée au prochain démarrage du switch. 25 PARTIE 3 La commutation : Gestion de la table de commutation MAC 26 GESTION DE LA TABLE MAC (1/3) Les adresses MAC sont stockées dans la table de commutation qui associe un port physique à une adresse MAC. La table d’adresses MAC permet d’identifier les différents hôtes connectés sur le réseau en spécifiant le n° de port du commutateur auquel, chacun est connecté 0260-8c01-1111 0260-ec02-2222 @ MAC N° port 0260-8c01-1111 1 0260-ab12-3333 0260-ec02-2222 2 0260-ab12-3333 3 2 1 3 0260-ef13-4444 4 0260-e718-5555 5 5 4 Comment alimenter la table de commutation ? Manuellement 0260-e718-5555 0260-ef13-4444 27 Dynamiquement par Auto-Apprentissage GESTION DE LA TABLE MAC (2/3) La Table de Commutation (TC) est remplie manuellement ou dynamiquement par l’auto- apprentissage L’auto-apprentissage, est le processus de remplissage automatique de la TC, en utilisant les adresses MAC source dans l’entête des trames reçues par le commutateur. Si un switch reçoit un trafic en provenance d’une machine A vers une machine B, il consulte sa TC : Si B existe dans sa TC alors, le trafic est dirigé vers le port correspondant Sinon 1. Enregistrement du port correspondant à A 2. Diffusion de la trame vers tous les ports actifs sauf le port d’entrée (celui de A) 28 GESTION DE LA TABLE MAC (3/3) Exemple : Auto-Apprentissage A B E F Table de commutation 1 3 @MAC N° port C D G H 2 4 T0 A 1 T0 : A communique avec B ==> A inscrite dans TC avec n° port 1 et la trame est T1 B 1 envoyée sur les ports 2,3,4 T1 : B communique avec A ===> B inscrite dans TC avec n° port 1 T2 C 2 T2 : C communique avec F ===> C inscrite dans TC avec n° port 2 et la trame est envoyée sur les ports 1,3,4 T3 H 4 T3 : H communique avec C ===> H inscrite dans TC avec n° port 4 et trame transmise sur le port 2 29 PRINCIPE DE FONCTIONNEMENT DU COMMUTATEUR 2- Délimitation de la trame et identification des adresses 1- Réception de la trame Pc2 Pc1 Source P4 Pc3 P5 Identification de la destination P1 3- Consultation de la table de commutation P3 @ MAC N° port P2 Destination Pc1 P4 Pc5 Pc2 P5 Pc4 Port de Pc3 P1 Destination Pc4 P2 4- Emission de la trame Pc5 P3 30 30 MÉTHODES DE TRANSMISSION DES TRAMES 2 Commutation Fast-Forward : 1 Avec le temps de latence le plus faible, le commutateur transmet un paquet immédiatement après la lecture de l'adresse de destination Commutation cut-through classique Commutation Fragment-free : Le commutateur stocke les 64 premiers octets de la trame avant la transmission La plupart des erreurs réseau et des collisions se produisant dans ces 64 premiers octets 32 MANIPULATION DE LA TABLE DE COMMUTATION (1/2) ▪ La commande qui permet d’afficher la table de commutation d’un commutateur est: ▪ Pour afficher que les entrées dynamiques il faut ajouter l’option « dynamic ». ▪ Pour afficher que les entrées statiques il faut ajouter l’option « static ». 33 MANIPULATION DE LA TABLE DE COMMUTATION (2/2) ▪ La commande qui permet d’ajouter une entrée statique à la table de commutation est: S1(config)# mac-address-table static vlan interface ▪ La commande qui permet de supprimer les entrées dynamiques est: S1# clear mac-address-table dynamic ▪ La commande qui permet de supprimer une entrée statique est: S1(config)# no mac-address-table static vlan interface 34 PARTIE 4 Sécurisation des ports d’un commutateur 35 SÉCURISATION DES PORTS D’UN COMMUTATEUR (1/3)  Afin de sécuriser le réseau, il faut permettre seulement aux machines autorisées d’y accéder. 🡪 Il faut donc sécuriser les ports du commutateur :  En arrêtant de manière administrative tous les ports non utilisés  En limitant l’accès sur les autres ports pour un ensemble d’@ MAC autorisées La commande suivante permet la désactivation des ports non utilisés S1(config)# interface range fa0/5-24,g0/1-2 S1(config-range-if)#shutdown 36 SÉCURISATION DES PORTS D’UN COMMUTATEUR (2/3) Port Security (1/2)  La sécurité des ports limite le nombre d'adresses MAC valides autorisées à transmettre des données via un port du commutateur.  Si la sécurité des ports est activée sur un port et qu'une adresse MAC inconnue envoie des données, le commutateur présente une violation de sécurité.  La liste des adresses MAC autorisées est reconnue via 3 méthodes :  Statique : les adresses MAC sont ajoutées manuellement, sauvegardées dans le fichier « running-Config » et maintenues après redémarrage de l’équipement, sous condition d’enregistrement dans le startup-config.  Dynamique : les adresses MAC sont apprises dynamiquement, sauvegardées dans la table MAC et supprimées après redémarrage de l’équipement  Sticky : les adresses MAC sont ajoutées dynamiquement, sauvegardées dans le fichier « Running Config » et la table « MAC » et maintenues après redémarrage de l’équipement sous condition d’enregistrement 37 SÉCURISATION DES PORTS D’UN COMMUTATEUR (3/3) Port Security (2/2)  Si une machine ayant une adresse MAC non autorisée utilise le port du commutateur, il s’agit d’une violation de la sécurité du port.  3 actions sont possibles à la suite d’une violation :  PROTECT : les données sont supprimées, aucune notification n’est présentée par le commutateur  RESTRICT : les données sont supprimées, une notification est présentée par le commutateur, et le compteur des violations est incrémenté SHUTDOWN : C’est le mode par défaut. Le port est désactivé et le compteur de violation est incrémenté. Le port ne reprend son fonctionnement normal qu’à la suite de l’intervention de l’administrateur pour l’activer. 38 CONFIGURATION DE LA SÉCURITÉ DES PORTS Méthode de Changer le mode du reconnaissance port en « access » des adresses MAC (sticky dans ce Activer la cas) sécurité du port Spécification du Action en cas de nombre des violation adresses MAC (par défaut = autorisées shutdown) (par défaut = 1) switchport port-security violation protect 39 OBSERVATION DE LA CONFIGURATION DE SÉCURITÉ Extrait du fichier running config Protect Le nombre d’adresse ne sera incrémenté que si ! des données sont envoyées sur le port Fa0/19 On peut utiliser une requête PING afin de tester 40 Fin chapitre 1 41 ANNEXE Utilisation de Cisco Packet Tracer 42 INITIATION À PACKET TRACER (1/2) ✔ Un simulateur de réseau CISCO permettant de construire un réseau physique virtuel et de simuler le comportement des protocoles réseaux sur ce réseau. ✔ Etape 1: Construction de son réseau à l’aide d’équipements tels que les routeurs, les commutateurs ou des terminaux. ✔ Etape 2: Ces équipements doivent ensuite être reliés via des liaisons. ✔ Etape 3: Configuration des équipements et paramétrage de protocoles. ✔ Etape 4: Simulation du réseau. 43 INITIATION À PACKET TRACER (2/2) Barre de tâches Les outils (sélection, suppression,…) Zone de travail Types d’équipements Mode simulation Catégories d’équipements 44 NAVIGATION CLI | 🡨 Mode prompt Switch 🡨 Mode > enable / en user Enregistrement/ Affichage Switch 🡨 Mode Switch# wr Switch# show run # privilégié !! Forcer l’enregistrement/ l’affichage configure terminal/ conf si on est dans un mode supérieur au t privilégié: Switch(………..)# do … Switch(config 🡨 Mode conf )# globale Vlan …… Line console 0 Switch (config- Line vty 0 vlan) # Mode conf Switch (config- spécifique 15 # line) Interface Switch (config- …… if) # 45

Chapitre 1 : Architecture et configuration d'un réseau LAN PDF

Document Details

Tags

Related

Summary

Full Transcript