Précédent : 2017-10-31 / 420-R63-MA / Infrastructure réseau 2
Sécurisation d'un commutateur (suite)[]
La procédure en gros[]
Étape 1 : Sélection du mode acces[]
Étape 2 : Activer la sécurité[]
Étape 3 : Fixer un maximum de MACs[]
Étape 4 : Fixer l'apprentissage des MACs[]
- static (donner un MAC)
- dynamique (sticky)
Étape 5 : prévoir une action lorsqu'il y a une violation de sécurité[]
- shutdown
- protect (MAC ignoré)
- restrict (MAC ignoré ? et journalisation)
VLAN[]
Chapitre 6 de netacad.com
La notion de VLAN[]
Les avantages des VLAN[]
Les VLANs permettent de profiter des avantages de la segmentation en sous-réseaux, sans être limité pour les commutateurs. On gagne :
- en coût
- en flexibilité
- en sécurité
Les types de VLAN[]
- VLAN données : trafic généré par l'utilisateur à l'exception du trafic de gestion et de voix
- VLAN par défaut : tous les ports de commutateur font partie de ce VLAN tant que le commutateur est configuré (show vlan brief)
- VLAN natif : utilisé pour le trafic non étiqueté qui ne provient pas des autres VLAN
- VLAN de gestion : utilisé pour accéder aux fonctionnalités de gestion
L'implémentation de VLAN[]
Les plages de VLAN[]
- VLAN à plage normale : 1..1005
- VLAN 1..1001
- VLAN 1002..1005 : Token Ring et FDDI (Fiber Distributed Data Interface), crées automatiquement
- VLAN à plage étendue : 1006..4094
- Les configurations sont stockées dans vlan.dat (mémoire Flash)
- VLAN 1002..1005 sont réservés
Création d'un VLAN[]
Création des VLAN et attribution des noms :
S1(config)# vlan 99 S1(config-vlan)# name Gestion S1(config-vlan)# end
Attribution des ports aux VLANs :
S1(config)# interface fa0/1 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 99
Suppression d'un VLAN[]
Suppression d'un seul VLAN :
no vlan 20
Completement :
delete flash:vlan.dat
(On peut utiliser la version abrégée : delete vlan.dat, mais seulement si le fichier n'a pas été déplacé)
Attribution d'un port à un VLAN[]
Pour un interface : mode --> access, puis attribuer à un VLAN
switchport mode access switchport access vlan 20
Vérification de configuration VLAN[]
S(config)# show vlan
Pour l'information plus brève :
S(config)# show vlan id 20
ou
S(config)# show vlan name <Nom de VLAN>
Plus d'informations precises :
show interfaces fa0/1 switchport
Aussi :
show interfaces vlan 20