Chapitre 5 : Configuration de
commutateur
Routing and Switching Essentials v6.0
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 1
� Chapitre 5 – Sections et objectifs
5.1 Configuration de commutateur de base
• Configurer les paramètres d'origine sur un commutateur Cisco.
• Configurer les ports de commutateur pour répondre à la configuration réseau
requise.
5.2 Sécurité du commutateur : gestion et implémentation
• Configurer l'interface virtuelle de gestion sur un commutateur.
• Configurer la fonction de sécurité des ports pour restreindre l'accès au réseau.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 2
� 5.1 Configuration de
commutateur de base
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 3
�Configuration d'un commutateur avec les paramètres d'origine
La séquence de démarrage du commutateur
1. Autotest à la mise sous tension (POST).
2. Exécutez le programme de démarrage.
3. Il effectue l'initialisation précise du processeur.
4. Il initialise le système de fichiers de la mémoire Flash.
5. Il localise et charge dans la mémoire une image logicielle du système
d'exploitation IOS par défaut et transfère le contrôle du commutateur à
l'IOS.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 4
�Configuration d'un commutateur avec les paramètres d'origine
La séquence de démarrage du commutateur
(suite)
Pour trouver une image IOS appropriée, le commutateur suit cette procédure :
Étape 1. Il tente de démarrer automatiquement en utilisant les informations de la variable d'environnement
BOOT.
Étape 2. Si cette variable n'est pas définie, il cherche dans le système de fichiers flash en le parcourant de
haut en bas. Il charge et exécute le premier fichier exécutable s'il le peut.
Étape 3. Le logiciel IOS initialise ensuite les interfaces à l'aide des commandes Cisco IOS disponibles dans
le fichier de configuration et la configuration initiale, qui est stockée dans la mémoire vive non
volatile.
Remarque : la commande boot system sert à définir la variable d'environnement BOOT. Utilisez la
commande show boot pour voir la configuration actuelle du fichier de démarrage de l'IOS.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 5
�Configuration d'un commutateur avec les paramètres d'origine
Récupération après une panne système
Le programme de démarrage peut également être utilisé pour gérer le
commutateur s'il est impossible de charger l'IOS.
Il est accessible via une connexion console. Pour cela :
1. Connectez un PC via un câble de console au port de console du
commutateur. Débranchez le cordon d'alimentation du commutateur.
2. Rebranchez le cordon d'alimentation sur le commutateur et
maintenez le bouton Mode enfoncé.
3. La LED système devient brièvement orange, puis verte. Relâchez le
bouton Mode.
L'invite switch: du programme de démarrage s'affiche dans le logiciel
d'émulation de terminal sur le PC.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 6
�Configuration d'un commutateur avec les paramètres d'origine
Les voyants du commutateur
Sur les commutateurs Cisco Catalyst, chaque port possède des indicateurs d'état.
Par défaut, ces voyants indiquent l'activité du port, mais ils peuvent également fournir
d'autres informations sur le commutateur via le bouton Mode.
Les modes suivants sont disponibles sur les commutateurs Cisco Catalyst 2960 :
• LED système
• LED système d'alimentation
redondante (RPS)
• LED état port
• LED mode duplex
• LED vitesse port
• LED mode PoE (Power over
Ethernet)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 7
�Configuration d'un commutateur avec les paramètres d'origine
Préparation à la gestion de commutateur de
base
Pour gérer à distance un commutateur Cisco, celui-ci doit être configuré
pour accéder au réseau.
Un câble console est utilisé pour connecter un PC au port de console d'un commutateur, à
des fins de configuration.
Les informations IP (adresse, masque de sous-réseau, passerelle) doivent être attribuées à
une interface virtuelle commutée (SVI).
Si la gestion du commutateur s'effectue à partir d'un réseau distant, il faut également
configurer une passerelle par défaut.
Bien que ces paramètres IP permettent l'accès à distance au commutateur et sa gestion,
celui-ci ne pourra pour autant acheminer les paquets de couche 3.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 8
�Configuration d'un commutateur avec les paramètres d'origine
La configuration de l'accès à la gestion du
commutateur
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 9
�Configuration d'un commutateur avec les paramètres d'origine
La configuration de l'accès à la gestion du
commutateur (suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 10
�Configuration d'un commutateur avec les paramètres d'origine
La configuration de l'accès à la gestion du
commutateur (suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 11
�Configuration des ports de commutateur
La communication en mode duplex
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 12
�Configuration des ports de commutateur
Configurer des ports de commutateur sur la
couche physique
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 13
�Configuration des ports de commutateur
Auto-MDIX
Certains types de câbles (droits ou croisés) étaient indispensables pour connecter des
appareils.
La fonction Auto-MDIX (interface croisée dépendante du support) élimine ce problème.
Lorsque cette fonction est activée, l'interface détecte automatiquement la connexion et
la configure en conséquence.
Lorsque la fonction Auto-MDIX est utilisée sur une interface, la vitesse et le mode
duplex de celle-ci doivent être réglés sur Auto.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 14
�Configuration des ports de commutateur
Auto-MDIX (suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 15
�Configuration des ports de commutateur
Auto-MDIX (suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 16
�Configuration des ports de commutateur
Vérifier la configuration du port de
commutateur
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 17
�Configuration des ports de commutateur
Le problème de la couche d'accès réseau
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 18
�Configuration des ports de commutateur
Le problème de la couche d'accès réseau
(suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 19
�Configuration des ports de commutateur
Résoudre les problèmes de la couche
d'accès réseau
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 20
� 5.2 Sécurité du
commutateur : gestion et
implémentation
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 21
�Accès à distance sécurisé
Le fonctionnement de SSH
Secure Shell (SSH) est un protocole qui permet de se connecter de
manière sécurisée (connexion chiffrée) à un appareil distant via une ligne
de commande.
En raison de la fiabilité de ses fonctions de chiffrement, SSH devrait
remplacer Telnet pour les connexions de gestion.
SSH utilise le port TCP 22 par défaut.
Telnet utilise le port TCP 23.
Il faut disposer d'une version du logiciel IOS comprenant des fonctions et
des fonctionnalités chiffrées pour pouvoir utiliser SSH sur les
commutateurs Catalyst 2960.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 22
�Accès à distance sécurisé
La configuration de SSH
1. Vérifiez que SSH est
pris en charge : show
ip ssh.
2. Configurez le
domaine IP.
3. Générez des paires de
clés RSA.
4. Configurez
l'authentification
utilisateur.
5. Configurez les lignes
vty.
6. Activez SSH version 2.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 23
�Accès à distance sécurisé
La vérification de SSH
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 24
�Accès à distance sécurisé
La vérification de SSH (suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 25
�Sécurité des ports de commutateur
Sécuriser les ports inutilisés
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 26
�Sécurité des ports de commutateur
La sécurité des ports : fonctionnement
Les adresses MAC des périphériques légitimes sont ainsi autorisées.
Toutes les autres adresses MAC sont refusées.
Toute autre tentative de connexion avec des adresses MAC inconnues
constitue une violation des règles de sécurité.
Les adresses MAC fiables peuvent être configurées de différentes
manières :
Adresses MAC statiques sécurisées : configurées et ajoutées
manuellement à la configuration en cours : switchport port-
security mac-address mac-address
Adresses MAC dynamiques sécurisées : supprimées au
redémarrage du commutateur
Adresses MAC sécurisées rémanentes : ajoutées à la
configuration en cours et apprises dynamiquement : commande du
mode de configuration d'interface : switchport port-
security mac-address sticky
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 27
�Sécurité des ports de commutateur
La sécurité des ports : modes de violation
L'IOS détecte une violation des règles de sécurité si :
Le nombre maximal d'adresses MAC sécurisées a été ajouté dans la
table CAM et un appareil dont l'adresse MAC ne figure pas dans cette
table tente d'accéder à l'interface.
Trois actions peuvent être entreprises en cas de violation :
Protéger : aucune notification reçue
Limiter : notification relative à une violation de sécurité reçue
Arrêter
Commande du mode de configuration d'interface switchport port-
security violation {protect | restrict | shutdown}
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 28
�Sécurité des ports de commutateur
La sécurité des ports : modes de violation
(suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 29
�Sécurité des ports de commutateur
La sécurité des ports : configuration
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 30
�Sécurité des ports de commutateur
La sécurité des ports : vérification
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 31
�Sécurité des ports de commutateur
La sécurité des ports : vérification (suite)
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 32
�Sécurité des ports de commutateur
Ports désactivés en raison d'une erreur
Une violation des règles de sécurité des ports peut entraîner la désactivation
d'un commutateur suite à une erreur.
Le port est alors arrêté.
Le commutateur signale ces événements via les messages de console.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 33
�Sécurité des ports de commutateur
Ports désactivés en raison d'une erreur (suite)
La commande show
interface permet
également de détecter un
port de commutateur
désactivé suite à une erreur.
Il faut utiliser la commande du
mode de configuration d'interface
shutdown ou no shutdown
pour réactiver le port.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 34
� 5.3 Synthèse du chapitre
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 35
�Synthèse du chapitre
Synthèse
Séquence d'amorçage des commutateurs LAN Cisco
Modes des voyants des commutateurs LAN Cisco
Comment accéder à distance à un commutateur LAN Cisco et le gérer via une
connexion sécurisée
Modes duplex des ports des commutateurs LAN Cisco
Sécurité des ports, modes de violation et actions pour les commutateurs LAN Cisco
Bonnes pratiques relatives aux réseaux commutés
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 36
�Synthèse du chapitre
Synthèse
Lorsqu'un commutateur LAN Cisco est mis sous tension pour la première fois, il exécute la séquence
de démarrage suivante :
1. D'abord, le commutateur exécute un programme de Power-On Self Test (POST) stocké dans la
mémoire ROM. Le POST contrôle le sous-système du processeur. Il teste le processeur, la
mémoire vive dynamique et la partie du périphérique flash qui compose le système de fichiers
flash.
2. Le commutateur exécute ensuite le bootloader. Le bootloader est un petit programme stocké
dans la mémoire morte et exécuté immédiatement après la réussite du POST.
3. Il effectue l'initialisation de bas niveau du processeur. Il initialise les registres du processeur qui
contrôlent l'emplacement auquel la mémoire physique est mappée, la quantité de mémoire et sa
vitesse.
4. Le bootloader initialise le système de fichiers flash sur la carte système.
5. Finalement, le chargeur de démarrage localise et charge dans la mémoire une image par défaut
du logiciel du système d'exploitation IOS et donne le contrôle du commutateur à l'IOS.
Si les fichiers du logiciel Cisco IOS sont manquants ou endommagés, le bootloader peut être utilisé
pour procéder au redémarrage ou à la récupération à la suite d'un problème.
L'état opérationnel du commutateur est affiché par une série de LED sur le panneau avant. Ces LED
affichent des informations telles que l'état des ports, la bidirectionnalité et la vitesse.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 37
�Synthèse du chapitre
Synthèse
Une adresse IP est configurée sur l'interface SVI du VLAN de gestion afin de permettre la
configuration à distance du périphérique. Une passerelle par défaut appartenant au VLAN
de gestion doit être configurée sur le commutateur à l'aide de la commande ip default-
gateway. Si la passerelle par défaut n'est pas correctement configurée, la gestion à
distance est impossible.
Il est recommandé d'utiliser Secure Shell (SSH) pour créer une connexion de gestion
sécurisée (chiffrée) vers un périphérique distant, afin d'éviter que les noms d'utilisateur et
les mots de passe non chiffrés ne soient interceptés. Certains protocoles, notamment
Telnet, ne permettent pas de se prémunir contre ces interceptions.
Les commutateurs présentent l'avantage de prendre en charge les communications
bidirectionnelles simultanées entre les périphériques, doublant ainsi le débit effectif des
communications. Bien qu'il soit possible de spécifier les paramètres de vitesse et de
bidirectionnalité d'une interface de commutateur, il est recommandé de laisser le
commutateur procéder à ces réglages automatiquement afin d'éviter toute erreur.
La sécurité des ports ne constitue qu'une des méthodes permettant de se prémunir contre
les attaques sur le réseau.
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 38
�ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 41
�ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 42
