TD [PDF]

Zitiervorschau

Architecture et Fonctionnement d un Réseau Informatique - Tome II TP D’APPLICATION : TP N°3 Objectifs. § Configurer les options avancées d’un commutateur. § Configurer l’accès à distance sécurisées avec le protocole ssh. Configuration requise Les éléments suivants décrivent le matériel et les logiciels dont vous aurez besoin pour réaliser ce TP: § Un ordinateur avec un système d’exploitation « Windows 7 » (ou équivalent) installé. § Le logiciel « Packet Tracer» (V6.0 ou plus) installé. Travail à faire § Réaliser le schéma ci-dessous Port console

Partie I : L’attribution d’une adresse IP au commutateur

1. Créer le VLAN 99 sur le commutateur. S0 configure terminal S0(config) vlan 99 S0(config-vlan) exit 2. Définissez l adresse IP du commutateur. S0(config) interface vlan99 S0(config-if) ip address 192.168.1.2 255.255.255.0 S0(config-if) no shutdown S0(config-if) exit 3. Affectez tous les ports utilisateur au VLAN 99. S0(config) interface range f0/1 – 24 S0(config-if-range) switchport access vlan 99 S0(config-if-range) exit 4. Configurez la passerelle par défaut IP pour le commutateur : S0(config) ip default-gateway 192.168.1.1 Pour quelle raison il faut configurer une passerelle ? _____________________________________________________________________ 5. Configurez le mot de passe « cisco » pour les lignes de terminal virtuel (vty) Pourquoi la commande login est-elle requise ? _____________________________________________________________________

Partie II : se connecter avec Telnet et SSH §

Se connecter avec Telnet

Page | 49

Configuration d’un commutateur 1. À partir de l invite de commande de PC1, envoyez une requête ping à l adresse de gestion de S1. PC1> ping 192.168.1.2 2. Exécutez la commande Telnet pour se connecter à S0 par l intermédiaire de son adresse de gestion. Le mot de passe est cisco. PC1>telnet 192.168.1.2 3. Après la saisie du mot de passe cisco, vous accéderez à l invite du mode d exécution utilisateur. Accédez au mode d exécution privilégié. 4. Tapez exit pour clôturer la session Telnet. 5. Enregistrez le fichier de configuration en cours du commutateur. §

Se connecter avec SSH

1. À partir du mode de configuration globale, créez un nom de domaine triLab.com. S0(config) ip domain-name tri-Lab.com 2. Créez une entrée dans la base de données des utilisateurs locaux à utiliser lors de la connexion au commutateur par le biais de SSH. : Utilisateur : admin ; Mot de passe : sshadmin S0(config) username admin privilege 15 secret sshadmin 3. Configurez l entrée de transport de telle sorte que les lignes vty permettent uniquement les connexions SSH et utilisez la base de données locale pour l authentification. S0(config) line vty 0 15 S0(config-line) transport input ssh S0(config-line) login local S0(config-line) exit 4. Générez une clé de chiffrement RSA utilisant un module de 1 024 bits. S0(config) crypto key generate rsa S0(config) 1024 5. Vérifiez la configuration SSH et répondez aux questions ci-dessous. S0 show ip ssh 6. Quelle version de SSH le commutateur utilise-t-il ? _______________________ Combien de tentatives d authentification SSH permet-il ? ______________________ Quelle est la valeur par défaut du délai d attente de SSH ? ______________________ 7. Modifiez la configuration de SSH sur S0. S0 config t S0(config) ip ssh time-out 75 S0(config) ip ssh authentication-retries 2 Combien de tentatives d authentification SSH permet-il ? ______________________ Quelle est la valeur du délai d attente de SSH ? _______________________ 8. Vérifiez la configuration de SSH sur S0.

50

Architecture et Fonctionnement d un Réseau Informatique - Tome II . À partir de l invite de commande de PC1, tapez la commande PC1>ssh -l admin 192.168.1.2 Open Password: La connexion a-t-elle réussi ? _________________________ Quelle invite était affichée sur S0 ? Pourquoi ? ____________________________________________________________________ Tapez exit pour terminer la session SSH sur S0.

Partie III : Gestion de la table des adresses MAC

1. Notez l adresse MAC de l hôte.

PC1> ipconfig /all Noter l’adresse MAC de la carte réseau du PC1.

_______________________________________________________________________

2. Affichez les adresses MAC à l aide de la commande show mac address-table. S0 show mac address-table Combien y a-t-il d adresses dynamiques ? ____________ Combien y a-t-il d adresses MAC au total ? ____________ L adresse MAC dynamique correspond-elle à l adresse MAC de PC1 ? _______________________________________________________________ 3. Affichez les options de la table d adresses MAC. S0 show mac address-table ? Combien d options sont disponibles avec la commande show mac addresstable ? ____________ 4. Exécutez la commande show mac address-table dynamic pour n afficher que les adresses MAC acquises de façon dynamique. S0 show mac address-table dynamic Combien y a-t-il d adresses dynamiques ? ____________ 5. Affichez l entrée d adresse MAC de PC1. Le format de l adresse MAC de la commande est xxxx.xxxx.xxxx. S0 show mac address-table address 6. Pour supprimer les adresses MAC existantes, exécutez la commande clear mac address-table à partir du mode d exécution privilégié. S0 clear mac address-table dynamic 7. Vérifiez que la table d adressage MAC a bien été effacée. S0 show mac address-table Combien y a-t-il d adresses MAC statiques ? ________________________________________________ Combien y a-t-il d adresses dynamiques ? _______________________________________________________________ 9. Configurez une adresse MAC statique. S0(config) mac address-table static vlan 99 interface

10. Vérifiez les entrées de la table d adressage MAC. S0 show mac address-table Combien y a-t-il d adresses MAC au total ? __________ Combien y a-t-il d adresses statiques ? _____________

Page | 51

Configuration d’un commutateur 11. Supprimez l entrée MAC statique. .S0(config) no mac address-table static vlan 99 interface

12. Vérifiez que l adresse MAC statique a été supprimée. S0 show mac address-table Combien y a-t-il d adresses MAC statiques au total ? ____________

52

Architecture et Fonctionnement d un Réseau Informatique - Tome II TP D’APPLICATION : TP N°4 Objectifs. § Configurer la sécurité des ports sur un commutateur pour limiter l’accès à un réseau. Configuration requise Les éléments suivants décrivent le matériel et les logiciels dont vous aurez besoin pour réaliser ce TP: § Un ordinateur avec un système d’exploitation « Windows 7 » (ou équivalent) installé. § Le logiciel « Packet Tracer» (V6.0 ou plus) installé. Remarque : des questions demandes des commandes qui peuvent ne pas figurer dans la liste des commandes disponibles dans le logiciel «Packet Tracer ». Il est demandé dans ce cas de mentionner uniquement la commande requit pour effectuer la tâche associé. Ces questions sont mentionnées avec le symbole « * ». Travail à faire Réaliser le schéma réseau suivant : Port console

Partie I 1. Expliquer les options permettant de définir la sécurité des ports sur l’interface Fast Ethernet 0/1. S0 configure terminal S0(config) interface fastethernet 0/1 S0(config-if) switchport port-security ? (*) aging :__________________________ mac-address : _____________________ maximum :_______________________ violation :_________________________ 2. Configurer le port du commutateur Fast Ethernet 0/1 de sorte qu’il accepte deux périphériques uniquement. 3. Configurer ce port du commutateur de sorte qu’il acquière les adresses MAC de façon dynamique. 4. Configurer ce port du commutateur de sorte qu’il bloque le trafic issu d’hôtes non valides en cas de violation. 5. (*) Limiter dans le temps la validité d’une adresse à 120 min

Page | 53

Configuration d’un commutateur _____________________________________________________________________ 6. Afficher les paramètres de sécurité des ports. Combien d’adresses sécurisées sont autorisées sur Fast Ethernet 0/1 ?____________ Quelle est la mesure de sécurité appliquée à ce port ?__________________________ 7. Afficher le fichier de configuration en cours Y a-t-il des instructions répertoriées qui reflètent directement la mise en œuvre de la sécurité de la configuration en cours ? ____________________________________________________ 8. Faire passer le nombre d’adresses MAC maximum pour la sécurité des ports à 1 et paramétrer la désactivation en cas de violation. 9. Désactiver tous les autres ports de commutateur. S0(config) interface range f0/3 – 24 S0(config-if-range) shutdown S0(config-if-range) exit Partie II 1. Notez les adresses MAC de PC1 et PC2 Adresse MAC de PC1 : _________________________________________________ Adresse MAC de PC2 : _________________________________________________ 2. Configurer les périphériques selon le tableau suivant : Table d adressage Périphérique PC1 PC2 S1

Interface NIC NIC VLAN 99

Adresse IP 192.168.1.10 192.168.1.11 192.168.1.9

Masque de sous-réseau 255.255.255.0 255.255.255.0 255.255.255.0

3. Faire un ping entre PC1 et PC2 4. Afficher la table des adresses MAC du commutateur. 5. Noter les entrées dynamiques des ports F0/1 et F0/2. Adresse MAC de F0/1 :__________________________________________________ Adresse MAC de F0/2 : _________________________________________________ 6. Configurez une entrée statique pour l adresse MAC PC1. S0(config-if) switchport mode access S0(config-if) switchport port-security mac-address xxxx.xxxx.xxxx (xxxx.xxxx.xxxx est l adresse MAC réelle PC1.) 7. Quelle déférence lors de l’utilisation de la commande : S0(config-if) switchport port-security mac-address sticky _________________________________________________________________ 8. Activez le port du commutateur. S0(config-if) no shutdown S0(config-if) end 9. Vérifiez la sécurité des ports sur l interface F0/1

54

Architecture et Fonctionnement d un Réseau Informatique - Tome II S0 show port-security interface f0/1 10. Configurez une nouvelle adresse MAC pour PC1, en utilisant aaaa.bbbb.cccc comme adresse. 11. de PC1 envoyez une requête ping à PC2. La requête ping a-t-elle abouti ? Justifiez votre réponse. _____________________________________________________________________ 12. Expliquer chaque élément du tableau suivant : S0 show port-security Secure Port Fa0/1

MaxSecureAddr (Count) 1

CurrentAddr (Count) 1

SecurityViolation (Count) 1

Security Action Shutdown

13. Expliquer les éléments soulignés : S0 show port-security interface f0/1 Port Security : Enabled Port Status : Secure-shutdown : _________________________________ Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses :1 Total MAC Addresses :1 Configured MAC Addresses : 1 :______________________________________ Sticky MAC Addresses :0 Last Source Address:Vlan : aaaa.bbbb.cccc:99 Security Violation Count : 1:______________________________________ 14. Expliquer les messages affichés par les commandes show interface et show port-security address: _____________________________________________________________________ _____________________________________________________________________ S0 show interface f0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 0cd9.96e2.3d05 (bia 0cd9.96e2.3d05) MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255

S0 show port-security address Secure Mac Address Table -----------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) ---- ------------------ ------------99 30f7.0da3.1821 SecureConfigured Fa0/1 -----------------------------------------------------------------------

Page | 55

Configuration d’un commutateur EXERCICES D’APPLICATION : TD N° 7 Exercice N°1 Où est stockée la configuration de démarrage ? 1) Dans la mémoire DRAM 2) Dans la mémoire NVRAM 3) Dans la mémoire ROM 4) Dans startup-config.text Exercice N°2 Si un administrateur réseau entre ces commandes sur un commutateur, quel sera le résultat ? S1(config-line)# line console 0 S1(config-line)# password cisco S1(config-line)# login 1) La sécurisation du port de console avec le mot de passe « cisco » 2) Le refus de l’accès au port de console en indiquant qu’aucune ligne n’est disponible 3) L’accès au mode « configuration de ligne » requis un mot de passe. 4) La configuration du mot de passe de mode privilégiée utilisé pour un accès à distance Exercice N°3 Un administrateur réseau entre ces commandes sur un commutateur : S1(config)#interface vlan 1 S1(config-if)#ip address 192.168.1.2 255.255.255.0 S1(config-if)#no shutdown S1(config-if)#exit S1(config)#ip default-gateway 192.168.1.1 S1(config)#crypto key generate rsa S1(config)#ip ssh version 2 S1(config)#line vty 04 S1(config-line)#password cisco S1(config-line)#login L’administrateur n’arrive pas à se connecter au commutateur S1 via Secure Shell (ssh). Compte tenu de la configuration présentée, quelle est la cause la plus probable de ce problème? 1) Les lignes vty sont mal configurées. 2) L’adresse de la passerelle par défaut est incorrecte. 3) La version de Secure Shell est incompatible. 4) Les lignes vty sont configurées uniquement pour autoriser les connexions Telnet. Exercice N°4

56

Architecture et Fonctionnement d un Réseau Informatique - Tome II S1(config)#interface fastEthernet 0/1 S1(config-if)#switchport port-security S1(config-if)#switchport port-security mac-address 0011.1111.1111 S1(config-if)#switchport port-security maximum 1 Compte tenu de la configuration présentée. Que se passe-t-il lorsque PC1 tente d’envoyer des données ? 1) Les trames de l’hôte 1 provoquent la fermeture de l’interface. 2) Les trames de l’hôte 1 sont abandonnées et aucun message de consignation n’est envoyé. 3) Les trames de l’hôte 1 créent une adresse MAC dans running-config. 4) Les trames de l’hôte 1 supprimeront toutes les entrées d’adresses MAC dans la table d’adresses. Exercice N°5 Quelles affirmations relatives à la sécurité du port du commutateur sont vraies ? (Choisissez deux réponses.) 1) Les trois modes de violation configurables consignent les violations via SNMP. 2) Les adresses MAC sécurisées acquises de façon dynamique sont perdues au redémarrage du commutateur. 3) Les trois modes de violation configurables nécessitent l’intervention de l’utilisateur pour réactiver les ports. 4) Une fois le paramètre sticky saisi, seules les adresses MAC acquises ultérieurement sont converties en adresses MAC sécurisées. 5) Si un nombre inférieur au nombre maximum d’adresses MAC d’un port est configuré de manière statique, les adresses acquises de manière dynamique sont ajoutées à la mémoire associative jusqu’à ce que le nombre maximum soit atteint. Exercice N°6 Que se passe-t-il lorsque vous saisissez la commande transport input ssh sur les lignes vty du commutateur ? 1) Le client SSH du commutateur est activé. 2) La communication entre le commutateur et les utilisateurs distants est chiffrée. 3) La combinaison d’un nom d’utilisateur et d’un mot de passe n’est plus nécessaire pour établir une connexion à distance sécurisée avec le commutateur. 4) Le commutateur nécessite des connexions distantes via un logiciel client propriétaire. Exercice N°7 Vous devez configurer la sécurité des ports sur un commutateur. Quelles sont les deux déclarations vraies au sujet de cette technologie ? (Choisir deux réponses.) 1) La sécurité des ports peut être configurée sur les ports supportant la VoIP. 2) Lors de la configuration de la sécurité des ports, quatre adresses MAC sont autorisés par défaut. 3) L administrateur réseau doit entrer manuellement l adresse MAC de chaque appareil afin de permettre sa connectivité. 4) Lors de la configuration de la sécurité des ports, une seule adresse MAC est autorisée par défaut. 5) La sécurité des ports ne peut pas être configurée pour des ports supportant la VoIP. Page | 57

Configuration d’un commutateur Exercice N°8 La commande « show interface port-security fa0/1 » a été exécutée sur le commutateur SW1et a donné le résultat suivant :

Compte tenu de la sortie générée, Quel énoncé de sécurité est exact ? 1) L’interface FastEthernet 0/1 a été configurée avec la commande switchport portsecurity aging. 2) L’interface FastEthernet 0/1 a été configurée avec la commande switchport portsecurity violation protect. 3) L’interface FastEthernet 0/1 a été configurée avec la commande switchport portsecurity violation restrict. 4) Lorsque le nombre d adresses IP sécurisés atteint 10, l interface s arrêtera immédiatement. 5) Lorsque le nombre d adresses MAC sécurisés atteint 10, l interface s arrêtera immédiatement. Exercice N°9 Soit la configuration suivante sur une interface d’un commutateur. Que se passe-t-il lorsqu un hôte, dont l adresse MAC est 0003.0003.0003, sera relié sur cette interface de ce commutateur ? switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security mac-address 0002.0002.0002 switchport port-security violation shutdown 1) L hôte va se connecter sans difficulté. 2) Le port s arrêtera. 3) L hôte peut uniquement se connecter sur un commutateur où l adresse MAC 0002.0002.0002 a été déjà connectée. 4) L hôte se verra refuser l accès.

58

Architecture et Fonctionnement d un Réseau Informatique - Tome II Exercice N°10 La commande « show interface port-security fa0/1 » a été exécutée sur un commutateur. Compte tenu de la sortie générée, Quel énoncé de ce qui suit est exact ? switch show port-security interface fastethernet 0/1 Port Security: Enabled Port status: SecureUp Violation mode: Shutdown Maximum MAC Addresses: 11 Total MAC Addresses: 11 Configured MAC Addresses: 3 Aging time: 20 mins Aging type: Inactivity SecureStatic address aging: Enabled Security Violation count: 0 1) Si le nombre d’hôtes qui tente d accéder au port est supérieur à 11, le port s arrêtera pendant 20 minutes. 2) Le port est sécurisé et s est arrêté en raison d une violation de sécurité. 3) Le port est opérationnel et a atteint sa configuration maximal de nombre autorisé d adresses MAC. 4) Le port permettra l accès de 11 adresses MAC en plus 3 adresses MAC configuré. Exercice N°11 Un administrateur a défini un compte d utilisateur local avec un mot de passe secret sur un commutateur S1 pour une utilisation avec SSH. Quelles sont les trois étapes supplémentaires requises pour configurer S1 à accepter uniquement les connexions SSH ? (Choisir trois réponses). 1) Configurer le nom de domaine IP. 2) Activer des sessions Telnet vty entrant. 3) Générer les clés SSH. 4) Configurer un serveur DNS. 5) Activer des sessions SSH vty entrant. 6) Générer des clés partagées bidirectionnelles. Exercice N°12 Quel est la longueur de clé minimale recommandée pour les clés générées pour être utilisée avec SSH ? 1) 256 2) 512 3) 768 4) 1024 5) 2048 Exercice N°13 Quels sont les trois conditions que doivent être respectées si un administrateur souhaite effectuer la configuration sécurisée d’un périphérique par l intermédiaire d’un réseau ? (Choisir trois réponses.) 1) Les périphériques réseaux doivent être configurés pour utiliser SSH. Page | 59

Configuration d’un commutateur 2) 3) 4) 5)

Un segment de réseau séparé reliant tous les dispositifs de gestion. Au moins un routeur agissant comme un serveur terminal server. chiffrement du trafic de gestion de tous les accès à distance. connexion à des périphériques réseau à travers un réseau de production ou de l Internet. 6) accès direct aux ports console de tous les périphériques réseau. Exercice N°14 Quelle configuration doit être mise en place pour que l option auto-MDIX fonctionne sur une interface d’un commutateur ? 1) L interface doit être configurée en mode d accès. 2) L interface doit être affectée au VLAN 1. 3) La vitesse et le duplex de l interface doivent être configurés pour être détecté automatiquement. 4) L interface doit être configurée manuellement pour le mode full-duplex. Exercice N°15 Quel est le résultat de la commande no switchport port-security mac-address sticky sur une interface où la sécurité des ports est configurée ? 1) Les adresses MAC rémanentes sont supprimées de la table d adresses et de la configuration en cours d exécution. 2) Les adresses MAC rémanentes vont continuer de faire partie de la table d’adresses mais elles sont retirées de la configuration en cours. 3) Les adresses MAC statiques sécurisées sont supprimées de la table d adresses et de la configuration en cours. 4) Les adresses MAC statiques sécurisées vont continuer à faire partie de la table d’adresses mais elles sont supprimées de la configuration en cours. 5) Les trames avec des adresses sources inconnues seront détruites et l interface devient « err-disabled » et désactive le port. 6) Les trames avec des adresses sources inconnues seront transférées et il y aura une notification sur le serveur syslog.

60