Scribd
Importer
72 vues3 pages

Configuration STP et sécurité des ports

La configuration générale du routeur R1 et R2 est décrite ainsi que la configuration des machines. La configuration de STP sur les commutateurs est ensuite détaillée avec la détermination du pont racine actuel, l'affectation de Central comme pont racine principal et de SW-1 comme pont racine secondaire. La vérification de la configuration STP est effectuée. La sécurité des ports et la désactivation des ports inutilisés sont également configurées. Des mesures de protection contre les attaques STP sont mises en place.

Transféré par

aydlen
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
72 vues3 pages

Configuration STP et sécurité des ports

La configuration générale du routeur R1 et R2 est décrite ainsi que la configuration des machines. La configuration de STP sur les commutateurs est ensuite détaillée avec la détermination du pont racine actuel, l'affectation de Central comme pont racine principal et de SW-1 comme pont racine secondaire. La vérification de la configuration STP est effectuée. La sécurité des ports et la désactivation des ports inutilisés sont également configurées. Des mesures de protection contre les attaques STP sont mises en place.

Transféré par

aydlen
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Partie 1 configuration générale du routeur

1. Sur le routeur configurer les éléments suivants


 Interface fa0/0 [Link]/24
 Le nom du host : R1
 La ligne console : login local et mot de passe Cons0leR1
 Ligne VTY : login local et mot de passe VTy-TrI00
 Les options de mot de passe : au moins 8 caractères
 Tous les mots de passe doivent être secret
 L’utilisateur : admin avec le mot de passe P@€@rdAdmin
 Sur R2 configurer l’accès ssh avec les paramètres suivants :
 Version ssh version 2
 Nom de domaine : [Link]
 Login user1 mot de passe secret ssh-2022
 Clé asymétrique généré par l’algorithme RSA avec une taille de 1024
 Accès ssh uniquement sur les lignes VTY pour le flux entrant
 Configurer la durée de l’inactivité à 3 minutes pour les sessions ssh
 Configurer un blockage de la ligne pour 60 secondes après tentatives
espacées par 20 secondes
2. Sur les machines configurer les adresses ip /masque/passerelle

Partie 2 : configuration de STP sur les commutateurs

Étape 1 : Déterminez le pont racine actuel.

À partir de Central, émettez la commande show spanning-tree pour déterminer le pont


racine actuel, pour voir les ports utilisés et pour voir leur état.
Quel commutateur est le pont racine actuel ?
Sur la base du pont racine actuel, quel est le spanningtree résultant ? (Dessinez la topologie
Spanning Tree.)
Étape 2 : Affectez Central comme pont racine principal.
 Utilisez la commande spanning-tree vlan 1 root primary et affectez Central comme
pont racine.
Étape 3 : Affectez SW-1 en tant que pont racine secondaire.
 Attribuez SW-1 comme pont racine secondaire à l'aide de la commande spanning-
tree vlan 1 root secondary.
Étape 4 : Vérifiez la configuration Spanning Tree.
 Exécutez la commande show spanning-tree pour vérifier que Central est le pont
racine.
Central# show spanning-tree
Central# show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 00D0.D31C.634C
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

 Quel commutateur est le rootbridge actuel ?


 Sur la base du nouveau pont racine, quel est le spanningtree résultant ? (Dessinez la
topologie Spanning Tree.)
Partie 2 : Configurer la sécurité des ports et désactiver les ports inutilisés
 Étape 1 : Configurez la sécurité de port de base sur tous les ports connectés aux
périphériques hôtes.
Cette procédure doit être effectuée sur tous les ports d'accès sur SW-A et SW-B. Définissez le
nombre maximal d'adresses MAC apprises sur 2, autorisez l'apprentissage dynamique de
l'adresse MAC et définissez la violation sur arrêt.
 Remarque : Un port de commutateur doit être configuré en tant que port d'accès
pour activer la sécurité du port.
Pourquoi la sécurité des ports n'est-elle pas activée sur les ports connectés à d'autres
périphériques de commutateur ?
Étape 2 : Vérifiez la sécurité du port.
Sur SW-A, émettez la commande show port-security interface f0/1 pour vérifier que la
sécurité du port a été configurée.
SW-A# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

Partie 3 : Protégez-vous contre les attaques STP


Sécurisez les paramètres STP pour empêcher les attaques de manipulation STP.
Étape 1 : Activez PortFast sur tous les ports d'accès.
PortFast est configuré sur les ports d'accès qui se connectent à un seul poste de travail ou serveur
pour leur permettre de devenir actifs plus rapidement. Sur les ports d'accès connectés des SW-A et
SW-B, utilisez la commande spanning-tree portfast.
Étape 2 : Activez la protection BPDU sur tous les ports d'accès.
La protection BPDU est une fonctionnalité qui peut aider à empêcher les commutateurs malveillants
et l'usurpation d'identité sur les ports d'accès. Activez la protection BPDU sur les ports d'accès SW-A
et SW-B.
Remarque : Spanning-tree BPDU Guard peut être activé sur chaque port individuel à l'aide de la
commande spanning-tree bpduguard enable en mode de configuration d'interface ou de la
commande spanning-tree portfast bpduguard default en mode de configuration globale. À des fins
de notation dans cette activité, veuillez utiliser la commande spanning-tree bpduguard enable

Étape 3 : Activez la protection racine.


Root Guard peut être activé sur tous les ports d'un commutateur qui ne sont pas des ports root. Il est
préférable de le déployer sur des ports qui se connectent à d'autres commutateurs non racine.
Utilisez la commande show spanning-tree pour déterminer l'emplacement du port racine sur chaque
commutateur.
 Sur SW-1, activez le root guard sur les ports F0/23 et F0/24. Sur SW-2, activez le root guard
sur les ports F0/23 et F0/24.

Vous aimerez peut-être aussi