Voici quelques notes sur les switchs

Attention en cours de rédaction

Switch virtuel ci-dessous

Etape 1 configurer le switch

Avantage du Radius : On a le nom d’utilisateur si un fait une connerie

alors qu’avec le DHCP on a MAC IP mais pas le nom d’utilisateur

Configuration de base d’un switch

  • Attribution d’une adresse Ip dans la plage d’administration
  • Activation du SSH et désactivation du Telnet
  • Activation du https et du http
  • Configurer les VLANS ( Si besoin )
  • Déterminer le Spanning tree (PVST, MSTP ) : ou Loop detected ( Sur switch Dell )

Sécurisation des switchs

Exemple d’une situation

Des utilisateurs doivent se brancher sur le réseau sans avoir de domaine

Situation 1 : le DHCP

Un DHCP attribue une IP à l’utilisateur

Condition :

  • La personne doit avoir le DHCP d’activé sur sa machine
  • Un DHCP doit être disponible soit sur le switch soit sur un serveur

Risque :

  • Elle peut changer sont IP par une fixe et piquer l’IP de quelqu’un ce qui les déconnectes (A voir car le DHCP snooping peut corriger cette faille)
  • Elle peut déconnecter le câble et se brancher sur un autre VLAN

Situation 2 : Attribution par adresse MAC par VLAN + DHCP

Si la personne possède telle adresse mac elle est redirigée vers tel VLAN.

Condition :

  • Un DHCP doit être disponible soit sur le switch soit sur un serveur

Risque :

  • Elle peut changer sont IP par une fixe et piquer l’IP de quelqu’un ce qui les déconnectes (A voir car le DHCP snooping peut corriger cette faille)

Situation 3 : Attribution des IP par adresse MAC

Condition :

  • Correspond a l’IP guard
  • On doit configurer les adresses au fil de l’eau

Risque :

  • Pas de faille de sécurité

Situation 4 : Attribution des IP par ports

Une seule IP est autorisée par ports

Condition :

  • Nécessite un switch de niveau 3

Risque :

  • Pas de faille de sécurité

Situation 5 : Attribution des IP a la main

Condition :

  • Attribuer sur tous les postes une IP
  • Avoir un peu de temps
  • Ne pas se perdre dans les IP

Risque :

  • Elle peut changer sont IP par une fixe et piquer l’IP de quelqu’un ce qui les déconnectes
  • Elle peut déconnecter le câble et se brancher sur un autre VLAN

Situation 6 : Accés au réseau par identification

  • Utilisation d’un serveur radius

DHCP Snooping ou DHCP Relay

Dans l’idée cette option doit pouvoir virer ou refuser les gens qui n’ont pas d’adresses IP par le DHCP

Informations complémtentaires

Concernant les switchs Dell

  • Loop protection : désactive le port sur détection de boucle ( Keepalive actif par défaut )
  • DHCP Snooping : Protextion d’un DHCP  ( Exemple : si ça c’est du DHCP ok sinon port bloqué je pense … )
  • IPSG : IP source Guard
  • DAI : Dynamic ARP Inspection
  • Storm-control : Bloquer le port au dela d’une limite en (broadcast , unicast, multicast)

Exemple :

console(config)#interface range te1/0/1-24
console(config-if)#storm-control broadcast level 10

  • Protection DDOS

Général

  • SNMP
  • sflow : Superviser une couche de niveau 2 des informations
  • ISDP : équivalent du CDP de chez cirsco
  • Email : Envoi d’email d’alertes
  • Portail captif
  • Green ethernet
  • CLI Banner
  • Port miroring : Copie les fluxet les renvoies sur un autre port ou autre destination

Switching

  • Network security : Autorisation ou non d’un utilisateur, blocage de ports
  • adresse table : si jean paul se connecte il ira automatiquement sur le VLAN2
  • Garp : Automatiqsation des attributs si un switch tombe ?
  • Spanning tree :
  • STP,PVST,STP
  • VLAN
  • Link aggregation : Lié un ou deux lien ensemble
  • Multi cast support : pour adresses mac différentes
  • MVR Configuration Multicast VLAN Registration, routing packets received from a multicast source VLAN to one or more receive VLANs, thus saving upload bandwidt.déploi VLAN sur autre switch.

. Il s’agit de permettre aux différents éléments  d’un réseau d’obtenir des informations sur les VLAN du réseau. Cela permet de maintenir automatiquement une cohérence dans la configuration des VLANs sans être obligé de passer sur chaque équipement pour configurer le swicth.

  • LLDP LLDP (Link Layer Discovery Protocol) est un protocole N2 de découverte des topologies réseau de proche en proche. LLDP est activé par défaut dans les switchs.
  • lldp Med : LLDP-med est une variante de LLDP qui va permettre l’échange de données entre le téléphone IP et le switch via des variables TLVs (Type, Length, and Value).

Permet d’automatiser par exemple :

–Le port est en mode général
–Le vlan VOIP est tagué il est qualifié « voice »
–Le vlan data est natif

  • Dynamix ARP inspection : ???
  • DHCP Snooping :
  • IP source guard : Vérifier si un utilisateur change manuellement son adresse IP, attention il faut rentrer les correspondances IP/MAC sur les switchs ou le couplet avc le DHCP Snooping
  • Link dependency ??
  • RA GUARD : ???

Routing

  • ARP
  • IP
  • IPV6
  • IP HELPER
  • RIP
  • Router
  • VRRP  : Permet une redondance des gateway au cas ou
  • policy based routing : ??

Statistics/RMON

  • Trap manager : récupère les information de flux
  • RMON : The Remote Network MONitoring (RMON) MIB . MIB de supervision

QOS 

Par défaut : tout les flux ont la même priorité et FIFO est appliquée.

Posibilité :

La QOS va classifier les flux pour garantir pour les prioriser au sein du réseau.

Le choix de la file se fait selon des critères comme le vlan d’origine (notre cas), le n° de port, IP destination

  • Differentiated Services (DiffServ)

The QoS Differentiated Services (DiffServ) feature allows traffic to be classified into streams and given certain QoS treatment in accordance with defined per-hop behaviors. Dell Networking N-Series switches support both IPv4 and IPv6 packet classification. For information about configuring DiffServ, see « Differentiated Services  » on page 1445. Class Of Service (CoS)

  • The Class Of Service (CoS)

Plus simple que le DiffServ . Il permets de gérer la priorité d’un port et de ses paquets.

queueing feature enables directly configuring certain aspects of switch queuing. This provides the desired QoS behavior for different types of network traffic when the complexities of DiffServ are not required. CoS queue characteristics, such as minimum guaranteed bandwidth and transmission rate shaping, are configurable at the queue (or port) level. For information about configuring CoS, see « Class-of-Service  » on page 1473.

PILE et FIRMWARE

  • Pile montée correctement      show switch
  • Etat du switch      show system
  • Lister les diags interfaces stacks      show switch stackports diag

Interfaces

  • Lister l’état de tous les ports      Show interface status
  • Lister le détail d’un port      show interface te 1/0/2
  • Lister tous les ports en état Disable      Show interface status port-disabled
  • Liste les actions en cours de recov      Show errdisable recovery
  • Relancer un port      shut   et   noshut

Spanning tree

  • Désactiver le spanning tree ou l’activer avec un mode

No spanning tree       Spanning tree mode stp

  • Voir l’état des interfaces en STP, RSTP      show spanning-tree
  • Lister les ports bloqués en STP      show spanning tree blockedports//pas valable avec pvst rapid
  • Voir état ports en PVST      show spanning tree vlan XX

LOGS

  • Effacer l’historique des erreurs      clear logging
  • Voir les erreurs      show logging

POE

  • Voir le status des POE       show power inline(Interface POE status)

DOT1X

  • Voir le status 802.1x d’un port      Show dot1x interface gi1/0/1
  • Voir historique 802.1x      Show dot1x authentication-history gi1/0/8
  • Voir stat sur un port      Show authentication statistics gi1/0/1
  • Relancer manuellement authentication      Dot1x re-authenticate gi1/0/1

Loop protect

  • Activer le service de loop protection      keepalive
  • Activer le port protec sur des interfaces      keepalive(sur une sélection d’interfaces)
  • Liste les actions de recovery en cours      Show errdisable recovery(si activés)

Exemple d’une situation

Des utilisateurs doivent se brancher sur le réseau En ayant accés au domaine

Solution : Le NAP

Question sur les technos :

Encapsulation rappel : 

encapsulation

LE SIP :TOIP

User Agent (UA): logiciel qui « parle SIP » dans le téléphone, le softphone, …
Registrar (XIVO) : Serveur qui va faire la liaison URI/IP. L’UA doit s’enregistrer avant de pouvoir téléphoner (ouvrir une session SIP).
Proxy Server (XIVO) : « route » les messages SIP.

c’est du UDP

Résumé du boot d’un téléphone IP :
–Le téléphone charge son OS (~20s sans switch)
–Il envoie des trames LLDP-med (*)
–Il reçoit son vlan avec LLDP-med via le switch
–Il fait une authentification au réseau RADIUS (*)
–Il fait une requête DHCP (srv XIVO)
–Il fait un téléchargement de sa conf (HTTP sur srv XIVO)
–Il s’enregistre sur le registrar (srv XIVO)
–On peut recevoir/envoyer un appel
(*) précisions

 Risque :

  • Perte de paquets ( voix hachée )
  • Gigue ( décalage de la voie )

 

 

Choix de switch

  • le travail à la CLI : accès SSH, les niveaux d’admin, les utilisateurs, sécurisation de l’accès
  • Les modes des VLans « Trunk, general, acces », PVID, …
  • Visualisation de l’état du switch et de la configuration (la famille de commandes show)
  • Sauvegarde des configs, export-import, utilisation de la clé USB
  • La gestion des stacks : principe des mises à jour, organisation des éléments, …