CONCOURS EXTERNE ET INTERNE DE TECHNICIENDE CLASSE NORMALE DES SYSTEMES D’INFORMATION

ET DE COMMUNICATION

- SESSION 2020 -

Mardi 7 juillet 2020

Option « Infrastructures et réseaux »

Traitement de questions et résolution de cas pratiques, à partir d’un dossier, portantsur l’une des deux options suivantes choisies par le candidat le jour de l’épreuve :

- infrastructures et réseaux,- solutions logicielles et systèmes d’information.

Cette épreuve permet d’évaluer le niveau de connaissances du candidat, sa capacité àles ordonner pour proposer des solutions techniques pertinentes et à les argumenter.

Le dossier ne peut excéder 20 pages.

(Durée : 3 heures – Coefficient 2)

L’usage de la calculatrice est interdit

Le dossier documentaire comporte 19 pages.(hors page d’énoncé du sujet).

Il vous est rappelé que votre identité ne doit figurer que dans l’en-tête de la copie (ou descopies) mise(s) à votre disposition. Toute mention d’identité ou tout signe distinctif porté surtoute autre partie de la copie ou des copies que vous remettrez en fin d’épreuve entraîneral’annulation de votre épreuve.

Si la rédaction de votre devoir impose de mentionner des noms de personnes ou de villes et sices noms ne sont pas précisés dans le sujet à traiter, vous utiliserez des lettres pour désignerces personnes ou ces villes (A…,B…,Y…,Z…).

IMPORTANT

1. LES COPIES SERONT RENDUES EN L’ÉTAT AU SERVICE ORGANISATEUR. A L’ISSUE DE L’ÉPREUVE, CELUI-CI

PROCÉDERA À L’ANONYMISATION DE LA COPIE.2. NE PAS UTILISER DE CORRECTEUR D’ORTHOGRAPHE SUR LES COPIES.3. ECRIRE EN NOIR OU EN BLEU – PAS D’AUTRE COULEUR.4. IL EST RAPPELÉ AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT APPARAÎTRE SUR LA COPIE.

SUJET

QUESTIONS

Les réponses devront être rédigées sur la copie. L’ensemble des questions sera noté sur 10 points.

Question 1 :

Quelle est l’adresse de broadcast de la machine 10.11.12.13, si elle a pour masque de réseau 255.255.252.0 ?

Question 2 :

Expliquez la différence entre la NAT statique et la NAT dynamique ?

Question 3 :

Expliquez le fonctionnement du Three-way handshake ?

Question 4 :

Quelle est le rôle du champ TTL de l’en-tête IP ?

Question 5 :

Quelle est la commande pour afficher la table de routage ?

Question 6 :

Décrire en quelques mots ce qu'est le 802.1x ?

Question 7 :

Que permet la commande Windows «ipconfig /renew»?

Question 8 :

Qu'est-ce qu'un VLAN ? Précisez les avantages.

Question 9 :

En quoi consiste l’Ip Spoofing ?

Question 10 :

Quel est l’usage du protocole Spanning Tree Protocol ?

1

CAS PRATIQUES

Le cas pratique se subdivise en deux parties distinctes. L’ensemble de ces parties sera noté sur 10 points. Lisez attentivement les documents du dossier avant de répondre aux questions.

Contexte :

En votre qualité de technicien(ne) SIC de classe normale, vous venez d’être affecté(e) au secrétariat général pour l’administration du ministère de l’intérieur (SGAMI), à la direction du numérique (DNUM). Cette direction assure, notamment, l’ingénierie, l’installation et la maintenance des infrastructures et équipements des systèmes d’information et de communication des services.Le directeur, après avoir été alerté par différentes autorités hiérarchiques, d’incidents informatiques réguliers et contraignants, convoque le chef du bureau d’infrastructure et réseaux et lui demande une amélioration de la qualité de service rendue aux utilisateurs.

Étude de cas n° 1 (5 points) :

Vous êtes reçu(e) par votre chef de bureau « infrastructures et réseaux », qui vous expose laproblématique soulevée par le directeur.

Sur la base des topologies présentées au document 1 du dossier, il vous demande de répondre auxquestions suivantes :

1- Topologie 1 : Routage inter-vlan1.1- Configurez le nom et l’adressage IP des commutateurs. Créez, nommez et attribuez les

Vlan.1.2- Configurez les liens Trunk pour permettre uniquement la communication des Vlan 10, 20,

100 et natif. Quelle est la particularité du commutateur SW1 ?

2- Topologie 2 : Agrégation de liens Trunk LACP2.1- Configurez les ports Fa0/1 à Fa0/4 et Fa2/0/1 comme ports d’agrégation de liens Trunk

LACP. Quels sont les avantages ?2.2- Y aurait-il un problème de boucle ? Expliquez.

3- Quels fonctions ou protocoles utiliseriez-vous pour automatiser la configuration d’un réseau plusdense ? Ces solutions sont-elles préconisées ? Expliquez.

Étude de cas n° 2 (5 points) :

Vous êtes affecté(e) dans l’équipe projet « infrastructures et réseaux », et votre chef de bureau vousdétaille la problématique d’une procédure sur certains des sites du département, dite « fiche réflexe ».Elle s’applique lors d’une panne réseau et permet de basculer manuellement en mode secours.Votre chef de bureau vous demande de lui proposer une solution de migration du réseau de la directiondépartementale (cf. synoptique fourni dans le document 2), vers un modèle conforme auxrecommandations nationales. Les effectifs de cette direction départementale ne cessent de croître.

Sur la base des documents fournis dans le dossier, vous proposerez sous forme de schéma unearchitecture réseau en 3 couches, performante, résiliente et sécurisée.Vous expliquerez votre proposition et préciserez :

• les fonctions des différentes couches ;• les besoins en équipements réseaux (commutateurs et câblage) ;• la configuration des équipements réseaux ;• les bonnes pratiques de sécurité.

2

Dossier documentaire :

Document 1 Topologies Pages 4

Document 2 Synoptique LAN Direction Départementale Page 5

Document 3Extrait Recommandations ANSSI pour la sécurisation d’un commutateur de desserte – version initiale du 24/06/2016https://www.ssi.gouv.fr/

Pages 6 à 9

Document 4Commandes commutateurs Ciscohttps://www.fbotutos.com/commandes-commutateurs-cisco.html

Pages 10 à 13

Document 5Commutateur de Couche 2 vs commutateur de Couche 3https://community.fs.com/fr/blog/layer-2-switch-vs-layer-3-switch-what-is-the-difference.html

Pages 14 à 15

Document 6Gamme de commutateurs HPhttp://www.com2.fr

Pages 16 à 19

Document 7Commutateur Ciscohttps://www.cisco.com

Page 20

Document 8

Quelles sont les différences entre les câbles fibre optique et les câbles cuivre ?http://www.fibre-pro.fr/2019/04/03/differences-cables-fibre-optique-cuivre/

Page 21 à 22

3

Topologies

1- Topologie n°1 : Routage inter-vlan

SW1, SW2 et SW3 sont des commutateurs administrables.Le VLAN 100 est réservé à des fins de gestion et ne dispose donc pas d’interface physique.On fixera le Vlan natif (Vlan par défaut) à 99.

Tableaux de configuration :

Périphériques Interface Adresse IPMasque de sous-réseau

Passerelle par défaut

SW1 VLAN 100 10.10.100.2

255.255.255.0 10.10.100.1SW2 VLAN 100 10.10.100.3

SW3 VLAN 100 10.10.100.4

Périphériques Ports sur SW1 et SW2 Attribution RéseauPCAi Fa0/7 - 12 VLAN 10 10.10.10.0/24

PCBi Fa0/13 -20 VLAN 20 10.10.20.0/24

2- Topologie n°2 :Agrégation de liens Trunk LACPSW3 est remplacé par une pile de commutateurs stackés S3.

Document 1

4

LAN DIRECTION DÉPARTEMENTALE

Répartiteur 3ème étageDivisions A2 & B1

Effectifs 100 agents répartis sur 3 DivisionsDivision A : 40 Agents répartis sur 2 services A1 (20 agents) & A2 (20 agents).Division B : 40 Agents répartis sur 2 services B1 (30 agents) & B2 (10 agents).Division C : 20 Agents répartis sur 2 services C1 (10 agents) & C2 (10 agents).

Réseau   : Division A - 10.10.10.0/24Division B - 10.10.20.0/24Division C - 10.10.30.0/24Interface de Gestion - VLAN 100 - 10.10.100.0/24

Légende   : lien cuivreSW1 et Ssrv sont des commutateurs.S2 et S3 représentent chacun une pile de plusieurs commutateurs stackés.Srv A, B et C sont des serveurs de fichiers des divisions respectives. Ils intègrent chacun d’entre eux un serveur DHCP.

Répartiteur 2nd étageDivisions A1 & C1

Répartiteur Général RDC

Arrivée opérateurLocal hébergeant le cœur de réseau

Divisions B2 & C2

Répartiteur Serveurs 1er étageLocal serveur

S3

S2

LAN

Ssrv

SW1

SrvA SrvB SrvC

Document 2

5

Recommandations ANSSI pour la sécurisation d’un commutateur de desserte

1 PréambuleLes commutateurs sont des équipements réseau très répandus au sein des systèmes d’information. Ilsdistribuent une grande partie des données qui y transitent. S’ils ne doivent pas être considérés comme deséquipements de sécurité, leur rôle est souvent trop négligé dans la mise en place des mesures desécurisation du SI. Étant donnés leur positionnement et leur rôle dans le SI de l’entité (entreprise,administration, association, etc.), à la fois physiquement proche des utilisateurs pour certains et véhiculantbeaucoup d’informations, ils ont potentiellement un impact important sur la sécurité et le fonctionnementdu SI (déni de service, écoute du trafic réseau, intrusion dans le SI, etc.).Il convient donc de veiller à les sécuriser du mieux possible afin de renforcer leur robustesse face à desactions malveillantes (venant du SI interne ou de l’extérieur) ou à des erreurs de configuration. Le but decette note est d’améliorer le niveau de sécurité des SI en accompagnant les administrateurs réseau dansleurs tâches de configuration de ces équipements. Elle n’a pas vocation à être un guide technique deconfiguration des commutateurs.

2 Les commutateurs dans le système d’informationComme mentionné en préambule, les commutateurs sont des équipements de transit pour une quantitéimportante d’informations. Il convient donc de porter une attention toute particulière à leur niveau derobustesse face à des attaques venant du réseau. Ces équipements n’ont pas tous le même rôle dans un SI.

Le schéma ci-dessous représente un exemple de répartition de ces différents types de commutateurs ausein d’un SI :

Figure 1 – Différents types de commutateurs au sein d’un SI

Afin de bien appréhender les menaces auxquelles ceux-ci sont exposés, il est utile de distinguer lesdifférents types de commutateurs d’un SI selon trois catégories :

• les commutateurs de desserte ou d’accès : ce sont les équipements directement reliés aux prisesréseau auxquelles se connectent les terminaux du SI (postes bureautique, téléphones IP, etc.) ;

• les commutateurs de distribution : ils regroupent le trafic venant des commutateurs de desserteafin de transmettre les données vers les équipements du cœur de réseau comme les commutateursde cœur de réseau ou les routeurs ;

• les commutateurs de cœur de réseau : ils sont directement reliés aux serveurs, aux commutateursde distribution ou aux routeurs. Ils sont situés généralement au cœur du réseau No

Document 3

6

DAT-NT-25/ANSSI/SDE/NP du 24 juin 2016 Page 8 sur 74 ou à l’intérieur des centres dedonnées.

Ces trois types se différencient principalement par leur contexte d’utilisation, leurs caractéristiquestechniques en matière de capacité de traitement et de débit, les types de ports (Ethernet, fibre, etc.) et leurnombre, etc.

[…]

5 Cloisonnement des réseaux et VLANLes SI ont développé une plus grande modularité au fil des évolutions technologiques successives.Les VLAN font partie des solutions techniques qui ont accru cette modularité au niveau du réseau endonnant aux commutateurs la capacité de simuler différents réseaux physiques sur un même équipement.Il est tout de même important de noter que si la technologie est éprouvée, elle n’a pas été conçue dans lebut d’améliorer la sécurité des SI. De plus, des réglementations imposent un cloisonnement physique desréseaux dans certains cas d’usage, le cloisonnement physique étant la méthode de cloisonnement la plussécurisée.

R24 (recommandation)Lorsqu’il n’est pas possible de mettre en place une séparation physique, il est recommandé de cloisonnerson système d’information de façon cohérente grâce à l’utilisation des VLAN tout en respectant unelogique utilité/simplicité dans le choix de la segmentation.

5.1 Configuration automatique des VLANLe protocole VTP, de niveau 2, est utilisé pour administrer et configurer les VLAN sur les commutateursCisco de façon automatisée. Cette automatisation réduit la maîtrise de la configuration des VLAN ce quipeut créer des problèmes de sécurité, il est donc préférable de le désactiver.Sur les commutateurs de marque HP, l’équivalent du protocole VTP se retrouve sous la dénomination deMVRP ou GVRP, ce dernier étant obsolète, remplacé par MVRP.

R25Désactiver les services de configuration automatique des VLAN, VTP, MVRP ou GVRP selon lescommutateurs.

5.2 Configuration des VLANUn commutateur gère l’attribution des VLAN par port ; ces ports peuvent être configurés dans l’un desdeux modes suivants :

• mode access : le port est directement connecté à un terminal (poste bureautique, imprimante,téléphone IP, etc.). Les trames Ethernet en provenance ou à destination de ces équipements ne sontpas marquées sur ce type de port ;

• mode trunk : le port est utilisé pour interconnecter le commutateur à tout autre équipementcompatible avec la norme 802.1Q. Les trames Ethernet en provenance ou à destination de ceséquipements sont marquées sur ce type de port.

Chacun de ces deux modes a des particularités de configuration. Les paragraphes suivants détaillent lesspécificités de ces modes et expliquent comment les configurer.

5.2.1 Ports en mode accessPar défaut, certains commutateurs basculent automatiquement un port du mode access au mode trunklorsqu’un port en mode trunk est détecté de l’autre côté du câble. Même si cette fonction peut paraîtreutile, elle nuit à la sécurité du réseau. En effet, une attaque consistant à faire passer l’attaquant pour uncommutateur (Switch Spoofing) en simulant un port en mode trunk peut permettre à celui-ci de captertout le trafic passant par le commutateur. Le fait de forcer les ports à être en mode access protège lecommutateur contre l’attaque du Switch Spoofing.

7

5.2.2 Ports en mode trunkDe même que pour les ports en mode access, il est nécessaire de forcer les ports voulus à fonctionner enmode trunk afin d’éviter qu’ils ne basculent en mode access suite à une négociation avec un autreéquipement. De plus, les ports en mode trunk laissent circuler par défaut tous les VLAN. Il convient doncde procéder à un filtrage pour ne laisser passer que les VLAN autorisés.

R26Interdire la configuration automatique des ports (en mode trunk ou access) et configurer ceux-ci de façonsécurisée, notamment :

• dans le cas des ports en mode access : ne configurer que le VLAN nécessaire sur un port donné ;• dans le cas des ports en mode trunk : n’autoriser que les VLAN devant effectivement circuler sur

le port trunk.

5.3 DTPLe protocole DTP est un protocole propriétaire Cisco permettant de négocier dynamiquement le mode(trunk ou access) d’un lien reliant un port du commutateur à l’équipement situé à l’autre bout du câble.Cette fonctionnalité est activée par défaut, le commutateur émet donc régulièrement des trames DTP surtoutes ses interfaces.Ce service étant inutile (les ports étant configurés statiquement en mode trunk ou access sur leséquipements), il est nécessaire de le désactiver conformément à la recommandation R26.

5.4 VLAN de quarantaineLe VLAN de quarantaine est un VLAN dans le lequel sont placés par défaut tous les ports qui sont censésne pas être utilisés. Les ports placés dans ce VLAN doivent être isolés entre eux et du reste du SI. Cecipermet de rajouter une protection au cas où un port n’aurait pas été désactivé comme il aurait dû l’être. Iln’y a pas de contrainte particulière concernant le choix du numéro du VLAN si ce n’est qu’il doit êtredifférent du VLAN par défaut 8 de l’équipement.

R27Tous les ports qui sont censés être inutilisés doivent être associés au VLAN de quarantaine. Les portsplacés dans ce VLAN ne doivent donner accès à aucune ressource du système d’information et doiventinterdire les communications avec toute autre machine, y compris les machines placées dans ce VLAN.Ces ports doivent aussi être désactivés, de même que le VLAN de quarantaine et l’interface associée.

5.5 VLAN par défaut et VLAN natifCes deux VLAN sont particuliers, il est indispensable de bien comprendre leur rôle afin d’appréhender lesrisques associés à leur mauvaise configuration :

• le VLAN par défaut est celui dans lequel les interfaces sont placées par défaut tant qu’elles n’ontété attribuées à aucun VLAN. En configuration par défaut, c’est généralement le VLAN 1 ;

• le VLAN natif est utilisé par les commutateurs pour s’échanger des informations nécessaires aufonctionnement de certains services qu’ils offrent dont STP, CDP et VTP. Ce VLAN a pourparticularité de circuler non marqué (au sens 802.1Q) sur les liens trunk. Ainsi, toute trameEthernet entrante non marquée sur un port trunk du commutateur sera automatiquement associéepar celui-ci au VLAN natif.

Une mauvaise configuration du VLAN natif sur les commutateurs peut avoir plusieurs impacts surla sécurité du SI.

R28Le VLAN par défaut ne doit jamais être utilisé.

R29Le VLAN natif :

• doit être configuré afin d’être différent du VLAN par défaut ;

8

• ne doit être attribué à aucun port en mode access (il ne doit pas être utilisé pour faire circuler dutrafic métier ou d’administration ;

• doit être le même sur tous les commutateurs du même domaine de diffusion (et de préférence danstout le système d’information par principe d’homogénéité) afin d’éviter les comportementsinadéquats.

6 Routage6.1 Routage interVLANLes commutateurs n’ont pas été conçus pour faire du routage de paquets, cette fonction doitexclusivement être remplie par des équipements de niveau 3. Or, de nombreux commutateurs permettentde faire du routage interVLAN, il faut donc veiller à ce que cette fonctionnalité soit effectivementdésactivée. Celle-ci est d’ailleurs parfois activée de façon involontaire par les administrateurs réseau. Eneffet, sur certains commutateurs, le simple fait de leur attribuer deux adresses IP dans des VLANdifférents active automatiquement cette fonctionnalité.Le principal danger à activer le routage interVLAN sur un commutateur est de faire transiter les donnéesdirectement d’un VLAN à l’autre sans aucun filtrage.

R31Le routage interVLAN doit être assuré par des équipements de niveau 3. Celui-ci doit donc être désactivésur les commutateurs d’accès.

Sur les commutateurs HP, il faut notamment s’assurer que la ligne de configuration link-mode bridge estprésente au niveau de la configuration de chaque interface.

6.2 Mandataire ARPLes commutateurs peuvent remplir le rôle de mandataire ARP (proxy ARP). Ceci permet à deux réseauxIP situés de part et d’autre du commutateur de communiquer ensemble sans que le routage IP ne soitactivé. C’est une fonctionnalité qu’il est nécessaire de désactiver pour les mêmes raisons de sécurité quecelles exposées dans le paragraphe 6.1 concernant le routage interVLAN.

R32Le routage interVLAN doit être assuré par des équipements de niveau 3. La fonctionnalité de mandataireARP doit donc être désactivée sur les commutateurs d’accès.

9

COMMANDES COMMUTATEURS CISCO

1- ADMINISTRATION DE SWITCH

Commandes de basesswitch>enable : Passez du mode d’exécution utilisateur au mode d’exécution privilégié.Password:password : Si vous avez défini un mot de passe en mode d’exécution privilégié, le système vousdemande de le saisir.switch#disable : Passez du mode d’exécution privilégié au mode d’exécution utilisateur.switch#configure terminal : Passez du mode d’exécution privilégié au mode de configuration globale.switch(config)#interface fastethernet 0/1 : Passez du mode de configuration globale au mode deconfiguration d’interface pour l’interface Fast Ethernet 0/1.switch(config-if)#exit : Passez du mode de configuration d’interface en mode de configuration globale.

Configuration de la connectivité IP d’un switchComm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.Comm1(config)#interface vlan 99 : Passer en mode de configuration d’interface pour l’interface duVLAN 99.Comm1(config-if)#ip address 172.17.99.11 255.255.255.0 : Configurer l’adresse IP de l’interface.Comm1(config-if)#no shutdown : Activer l’interface.Comm1(config-if)#end : Repasser en mode d’exécution privilégié.Comm1#configure terminal : Passer en mode de configuration globale.Comm1(config)#interface fastethernet 0/18 : Entrer dans l’interface pour affecter le réseau local virtuel.Comm1(config-if)#switchport mode access : Définir le mode d’appartenance du port à un réseau localvirtuel.Comm1(config-if)#switchport acces vlan 99 : Affecter le port à un réseau local virtuel.Comm1(config-if)#end : Repasser en mode d’exécution privilégié.Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configurationde démarrage du commutateur.Comm1(config)#ip default-gateway 172.17.99.1 : Configurer la passerelle par défaut sur le commutateur.Comm1(config)#end : Repasser en mode d’exécution privilégié.Comm1#copy running-config startup-config : Enregistrer la configuration en cours dans la configurationde démarrage du commutateur.Comm1# mdix auto : detecte le cablage ( croisé ou direct ) pour pas avoir a sans occupé

2- CONFIGURATION DE LA SECURITE

Mot de passe consoleComm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.Comm1(config)#line con 0 : Passer du mode de configuration globale au mode de configuration de lignepour la console 0.Comm1(config-line)#password cisco : Définir cisco en tant que mot de passe pour la ligne de console 0sur le commutateur.Comm1(config-line)#login : Définir la ligne de console pour exiger la saisie du mot de passe avantl’octroi de l’accès.Comm1(config-line)#end : Quitter le mode de configuration de ligne et revenir en mode d’exécutionprivilégié.Pour le mot de passe terminal il suffit de mettre à la place de Comm1(config)#line con 0 mettreComm1(config)#line vty 0 4

Document 4

10

Mot de passe execution privilégiéComm1#configure terminal : Passer du mode d’exécution privilégié au mode de configuration globale.Comm1(config)#enable secret mot_de_passe : Configurer le mot de passe enable secret pour le passageen mode d’exécution privilégié.Comm1(config)#end : Quitter le mode de configuration de ligne et revenir en mode d’exécutionprivilégié.

Chiffrer tous les mots de passe d’un coupswitch#conf tswitch(config)#service password-encryption

Blocage des ports non fiable contre attaque dhcpLa procédure ci-après illustre la manière de configurer la surveillance DHCP sur un commutateur CiscoIOS :Étape 1. Activez la surveillance DHCP à l’aide de la commande de configuration globale ip dhcpsnooping.Étape 2. Activez la surveillance DHCP pour des réseaux locaux virtuels spécifiques au moyen de lacommande ip dhcp snooping vlan number [ nombre].Étape 3. Au niveau de l’interface, définissez les ports comme étant fiables ou non en définissant les portsfiables avec la commande ip dhcp snooping trust.Étape 4. (Facultatif) Pour limiter la fréquence à laquelle un pirate peut perpétuellement transmettre defausses requêtes DHCP au serveur DHCP via des ports non fiables, utilisez la commande ip dhcpsnooping limit rate fréquence.

3- CONFIGURATION DES VLANS

Ajout d’un réseau local virtuelComm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.Comm1(config)#vlan id_vlan : Créer un VLAN. « id_vlan » est le numéro de VLAN à créer. Passe enmode de configuration de VLAN pour l’ID de VLAN du VLAN.Comm1(config-vlan)#name nom_vlan : (Facultatif) Spécifier un nom de VLAN unique pour identifier leVLAN. Si aucun nom n’est entré, le numéro de VLAN, complété par des zéros, est ajouté au mot «VLAN », comme par exemple VLAN0020.Comm1(config-if)#end

Affectation d’un port de commutateurComm1#configure terminal : Passer en mode de configuration globale sur le commutateur Comm1.Comm1(config)#interface F0/1 : Passer en mode de configuration d’interface.Comm1(config-if)#switchport mode trunk : Définir l’interface F0/1 comme agrégation IEEE 802.1QComm1(config-if)#switchport trunk native vlan 99 : Configurer le VLAN 99 en tant que VLAN natif.Comm1(config-if)#end

Vérification des réseaux locaux virtuels et des appartenances des portsLa commande show vlanshow vlan [brief | id id_vlan | name nom_vlan | summary].brief : Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son état et ses ports.id id_vlan : Afficher des informations sur un VLAN unique identifié par un numéro d’ID de VLAN. Lavaleur id_vlan peut être comprise entre 1 et 4094.name nom_vlan : Afficher des informations sur un VLAN unique identifié par un nom de VLAN. Le nomde VLAN est une chaîne ASCII de 1 à 32 caractères de long..summary : Afficher un résumé sur les VLAN.La commande show interfaces

11

show interfaces [id_interface | vlan id_vlan] | switchportid_interface : Les interfaces autorisées comprennent les ports physiques (y compris le type, le module etle numéro de port) et les canaux de port. La plage des canaux de port est comprise entre 1 et 6.vlan id_vlan : Identification du VLAN. La plage est comprise entre 1 et 4094. >switchport : Afficher l’état administratif et opérationnel d’un port de commutation, y compris lesparamètres de blocage et de protection du port.

Gérer les appartenances des portsComm1#configure terminal : Passer en mode de configuration globale.Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour configurerl’interface.Comm1(config-if)#no switchport access vlan : Supprimer l’affectation de VLAN sur cette interface deport de commutateur et revenir à l’appartenance par défaut au VLAN 1.Comm1(config-if)#end : Repasser en mode d’exécution privilégié.

Configuration d’une agrégation 802.1QComm1#configure terminal : Passer en mode de configuration globale.Comm1(config)#interface id_interface : Passer en mode de configuration d’interface pour configurerl’interface.Comm1(config-if)#switchport mode trunk : Forcer la liaison reliant les commutateurs à devenir uneliaison agrégée.Comm1(config-if)#switchport trunk native vlan id_vlan : Spécifier un autre VLAN en tant que VLANnatif pour le trafic non étiqueté pour les agrégations IEEE 802.1Q.Comm1(config-if)#end : Repasser en mode d’exécution privilégié.Pour vérifier la configuration d’une agrégation : show interfaces id_interface switchport.

Gestion de la configuration d’une agrégationComm1#configure terminal : Passer en mode de configuration globale.Comm1(config-if)#no switchport trunk allowed vlan : Utilisez cette commande en mode de configurationd’interface pour réinitialiser tous les VLAN configurés sur l’interface d’agrégation.Comm1(config-if)#no switchport trunk native vlan : Utilisez cette commande en mode de configurationd’interface pour réinitialiser le VLAN natif et le réaffecter au VLAN 1.Comm1(config-if)#switchport mode access : Utilisez cette commande en mode de configurationd’interface pour réinitialiser l’interface du port d’agrégation en port de mode d’accès statique.

Configuration du protocole Rapid PVST+configure terminal : Passer en mode de configuration globale.spanning-tree mode rapid-pvst : Configurer le mode d’arbre recouvrant du protocole rapid PVST+.interface interface-id : Spécifier une interface à configurer, et accéder au mode de configurationd’interface. Les valeurs autorisées pour l’ID de VLAN sont comprises entre 1 et 4 094. Les valeursautorisées pour le canal de port sont comprises entre 1 et 6.spanning-tree link-type point-to-point : Spécifier que le type de liaison pour ce port est point à point.end : Repasser en mode d’exécution privilégié.clear spanning-tree detected-protocols : Désactiver tous les protocoles STP détectés.Vérifier la configuration du protocole Rapid PVST+show spanning-tree interface_id

Configuration du routage entre VLANSur le commutateur :Comm1#configure terminalComm1(config)#vlan10Comm1(config-vlan)#vlan30Comm1(config-vlan)#exitComm1(config)#interface f0/11

12

Comm1(config-if)#switchport access vlan 10Comm1(config-if)#interface f0/4Comm1(config-if)#switchport access vlan 30Comm1(config-if)#end

Sur le routeur :R1#configure terminalR1(config)#interface f0/0R1(config-if)#ip address 192.168.1.10 255.255.255.0R1(config-if)#no shutdownR1(config-if)#interface f0/1R1(config-if)#ip address 192.168.3.10 255.255.255.0R1(config-if)#no shutdownConfiguration du routage entre VLAN « Router-on-a-Stick »

Sur le commutateur :Comm1#configure terminalComm1(config)#vlan10Comm1(config-vlan)#vlan30Comm1(config-vlan)#exitComm1(config)#interface f0/11Comm1(config-if)#switchport mode trunk Comm1(config-if)#end

Sur le routeur :R1#configure terminalR1(config)#interface f0/0.10R1(config-if)#encapsulation dot1q 10 R1(config-if)#ip address 192.168.1.10 255.255.255.0R1(config)#interface f0/0.30R1(config-if)#encapsulation dot1q 30 R1(config-if)#interface f0/1R1(config-if)#ip address 192.168.3.10 255.255.255.0R1(config-if)#no shutdown

13

Commutateur de Couche 2 vs commutateur de Couche 3 : Quelle est la différence ?

Généralement, si vous souhaitez connecter tous les périphériques réseau, un commutateur de couche 2 estl'un des dispositifs de base dont vous aurez besoin. À mesure que la diversité des applications réseauaugmente et que l’implémentation de réseaux convergents se développe, de nouveaux commutateurs, telsqu’un commutateur de couche 3 devient de plus en plus indispensable dans les réseaux d’entreprise.

Qu'est-ce qu'un commutateur de Couche 2 ?Les termes Couche 2 & 3 sont adoptés à partir du modèle OSI (Open System Interconnect), qui est unmodèle de référence pour décrire et expliquer les communications dans un réseau. Le modèle OSIcomporte sept couches: couche application, couche présentation, couche session, couche transport, coucheréseau, couche liaison de données et couche physique, parmi lesquelles la couche réseau est la couche 3 etla couche liaison de données, la couche 2.

Figure 1: Couche 2 et Couche 3 dans le Modèle OSI.

La couche 2 fournit un transfert de données direct entre deux périphériques au sein d'un réseau local. Uncommutateur de couche 2 fonctionne en conservant une table d'adresses MAC (Media Access Control).La table d'adresses MAC du commutateur enregistre les adresses MAC du matériel qu'il possède et le portphysique associé où les adresses ont été visualisées en dernier lieu. Les frames de données sont échangéespar des adresses MAC uniquement dans le réseau local et ne seront pas reconnues en dehors de celui-ci.Un commutateur de couche 2 peut attribuer des réseaux locaux virtuels à des ports de commutateursspécifiques, qui sont eux-mêmes situés dans des sous-réseaux de couche 3 différents.

Qu'est-ce qu'un commutateur de Couche 3 ?La couche 3 gère le routage des paquets par un routage logique et un contrôle de sous-réseau. Un routeurest le périphérique réseau le plus courant de la couche 3. Un routeur fonctionne pour transférer les paquetsvers leur adresse IP (Internet Protocol) de destination. Dans la couche 3, les adresses IP de la source et dela destination de chaque paquet seront vérifiées dans sa table de routage IP pour déterminer l’étapesuivante pour le paquet (vers un routeur ou vers un commutateur). Si aucune adresse IP de destinationn'est trouvée dans la table, le paquet sera supprimé sauf s'il possède un routeur par défaut. C’est pourquoile processus de routage provoque souvent une certaine latence.Les fonctions d'un commutateur de couche 3 (ou d'un commutateur multicouche) combinent certaines desfonctions d'un commutateur de couche 2 et celles d'un routeur. Il s’agit essentiellement de trois dispositifsdifférents conçus pour différentes applications, qui dépendent dans une large mesure des fonctions qu’ilspeuvent fournir. En tout cas, leurs fonctions sont aussi similaires.

Document 5

14

Commutateur de Couche 2 vs commutateur de Couche 3 : Quelle est la différence ?La différence principale entre la couche 2 et la couche 3 est la fonction de routage. Un commutateur decouche 2 fonctionne uniquement avec des adresses MAC et ne prend en compte ni l’adresse IP ni leséléments des couches supérieures. Un commutateur de couche 3 peut effectuer tout le travail effectué parun commutateur de couche 2. En outre, il peut effectuer un routage statique et un routage dynamique.Cela signifie qu'un commutateur de couche 3 possède à la fois une table d'adresses MAC et une table deroutage IP, et gère également la communication intra-VLAN et le routage des paquets entre différentsVLAN. Un commutateur qui ajoute uniquement le routage statique est appelé Layer 2+ ou Layer 3 Lite.En plus du routage des paquets, les commutateurs de couche 3 incluent également certaines fonctions quiexigent la capacité de comprendre les informations d'adresse IP des données entrant dans le commutateur,telles que le marquage du trafic VLAN basé sur l'adresse IP plutôt que la configuration manuelle d'unport. La puissance et la sécurité des commutateurs de couche 3 augmentent selon les besoins.

Commutateur de Couche 2 vs commutateur de Couche 3 : Comment choisirLorsque vous choisissez entre un commutateur de couche 2 et un commutateur de couche 3, vous devezpenser où votre choix sera utilisé. Si vous avez un domaine de couche 2 pur, vous pouvez simplementopter pour le commutateur de couche 2; Si vous devez effectuer un routage inter-VLAN, vous avez besoind'un commutateur de couche 3. Un domaine de couche 2 pur est celui où les hôtes sont connectés, de sortequ'un commutateur de couche 2 fonctionnera correctement. Ceci est généralement appelé couche d'accèsdans une topologie de réseau. Si vous avez besoin du commutateur pour regrouper plusieurscommutateurs d'accès et effectuer un routage inter-VLAN, un commutateur de couche 3 est nécessaire.Dans la topologie du réseau, ceci est appelé couche de distribution.

Figure 2: quand utiliser le commutateur de couche 2, le commutateur de couche 3 et le routeur ?

Étant donné que le commutateur de couche 3 et le routeur ont tout les deux une fonction de routage, laquestion est : quelle est la meilleure option? En fait, il ne s'agit pas tant de savoir quelle est la meilleureoption de routage, car les deux sont utiles dans des applications particulières. Si vous souhaitez effectuerun grand nombre de connexions et routage inter-VLAN, et que vous n’avez plus besoin de routage vers lefournisseur d’accès Internet (FAI) , vous pouvez opter pour un commutateur de couche 3. Sinon, vousdevriez opter pour un routeur avec plus de fonctions de couche 3.

15

Gamme de commutateurs HP

Gamme HP 2510

Conçu pour fournir des solutions essentielles destinées aux réseaux de PME, le commutateur (switch) HP2510 comprend quatre commutateurs gérés de couche 2 assurant une connectivité 10/100 et 10/100/1000fiable.

Développée à partir du modèle populaire HP 2510-24 (commutateur 24 ports 10/100 avec ports double-fonction), la série 2510 inclut désormais le HP 2510-48 de densité supérieure avec 48 ports 10/100 et 4liaisons montantes Gigabit Ethernet.En outre, les commutateurs 2510G ajoutent la capacité Gigabit Ethernet à la série 2510, avec lescommutateurs 2510G-24 et 2510G-48 de 10/100/1000 (24 et 48 ports), chacun étant doté de 4 portsdouble fonction – idéal pour les entreprises cherchant à améliorer leurs performances réseau.

Caractéristiques :Qualité de service (QoS)Hiérarchisation IEEE 802.1p : envoie les données vers les équipements en fonction de leur priorité et dutype de trafic

ConnecteursConnectivité 10/100 et 10/100/1000 : les clients peuvent choisir la vitesse réseau qui leur convient etassurer un travail en continu

Tolérance de panne et haute disponibilitéMultiple Spanning Tree IEEE 802.1s : offre une grande disponibilité des liens dans plusieursenvironnements VLAN en autorisant l’utilisation de plusieurs arborescences; permet la prise en chargedes protocoles d’ancienne génération IEEE 802.1d et IEEE 802.1w

Facilité d’administrationIEEE 802.1AB LLDP (Link Layer Discovery Protocol) : protocole de découverte automatisée depériphériques pour un mappage aisé par les applications de gestion du réseau

Commutation de niveau 2Prise en charge et marquage de VLAN : prend en charge jusqu’à 64 VLAN basés sur les ports et laconfiguration dynamique du marquage IEEE 802.1Q VLAN, ce qui permet de garantir la sécurité entre lesgroupes de travail

SécuritéPorts protégés : offre une sécurité accrue en permettant l’isolation de ports spécifiés à partir de tous lesports sur le commutateur; le ou les ports protégés peuvent uniquement communiquer avec les liaisonsmontantes ou les ressources partagées

Document 6

16

Gamme HP 3600 SI et EI

La gamme de commutateurs HP 3600 offre des performances résilientes et intelligentes, la sécurité et lafiabilité pour une commutation robuste à la périphérie du réseau d’entreprise.

La gamme se compose de commutateurs PoE/PoE+ et Fast Ethernet de niveau 3, dotés de fonctionsavancées permettant d’accueillir des applications des PME et grandes entreprises.

Les réseaux convergents sont renforcés grâce à une connectivité résiliente et sécurisée associée auxdernières technologies de priorisation du trafic.

Les commutateurs sont conçus pour renforcer la flexibilité et l’extensibilité.

IRF Lite sur la version SI, IRF automatique sur la version EI.

Nouveautés

• Commutateurs d’accès Fast Ethernet de couche 3 avancés pour le déploiement en périphéried’entreprise.

• Empilage IRF de 9 commutateurs (max.). • Commutateurs 24 et 48 ports 10/100 avec 4 liens montants basés sur les SFP Ethernet Gigablt. • PoE+ de 370 W pour les points d’accès sans fil, les téléphones IP et les caméras vidéo. • Garantie à vie limitée.

17

Gamme HP 5130

La nouvelle génération de commutateurs HP 5130 El offre évolutivité, souplesse et faible coût avec unensemble de fonctionnalités robustes conçues pour les moyennes et grandes entreprises à la recherche degestion centralisée, haute performance et connectivité de pointe fiable.

Cette gamme fournit une qualité de service et une sécurité de niveau entreprise, l’empilage HewlettPackard Enterprise Intelligent Resilient Framework (IRF), le routage statique de couche 3 et RIP, desports fixes 10 GbE de liaison montante pratiques, PoE+, des listes de contrôle d’accès et IPv6, tout enpermettant des économies d’énergie grâce à Energy Efficient Ethernet.

La gamme de commutateurs 5130 EI peut être gérée avec HPE Intelligent Management Center (IMC)pour obtenir une vue d’ensemble unifiée de tout votre réseau.

Nouveautés

• Commutateurs gérés évolutifs avec routage statique de couche 3, RIP et empilage IRF à 9 châssis. • Quatre liens montants fixes 10GbE (SFP+ et 10GBASE-T). • Modèles PoE+ pour la voix, la vidéo et l’accès sans fil • Garantie à vie limitée.

18

Gamme HP 5500 EI, SI et HI

La série de commutateurs HP 5500 se composent de switches de Niveaux 2/3/4 Fast Ethernet et PoE(Power over Ethernet), avec des fonctionnalités avancées qui peuvent accommoder les applications lesplus gourmandes.

Ils offrent une connectivité sécurisée et élastique et des technologies de priorisation du trafic le plusrécent pour optimiser les applications sur des réseaux convergés.

Conçu pour une flexibilité et une évolutivité maximum, ils sont livrés avec 24 ou 48 ports 10/100/(1000),plus quatre ports SFP Gigabit Ethernet actifs pour l’empilage et les liens montants.

Jusqu’à huit unités peuvent être empilées à un seul emplacement ou distribués sur plusieurs sitesjusqu’à 70 km et connectés via des liens Gigabit pour former un « empilage » virtuel.

Une pile peut fournir jusqu’à 384 ports Fast Ethernet et peut être gérée de manière centralisée commeune seule entité IP.

Nouveautés

• Haute résilience et support multiservice. • Prise en charge MPLS/VPLS améliorée et double pile IPv4/IPv6 riche en fonctionnalités. • Alimentation PoE+ de 1 440 W à l’aide de modules d’alimentation doubles pour une haute

résilience. • Prise en charge du protocole OpenFlow 1.3. • Garantie à vie 2.0 limitée avec assistance téléphonique 24 h/24, 7 j/7 pendant 3 ans.

19

Présentation du produitLa nouvelle gamme de commutateurs Cisco Catalyst® 3750 améliorel'efficacité de l'exploitation des réseaux locaux en combinant simplicitéd'utilisation avec la résilience la plus élevée disponible pour lescommutateurs empilables. Cette nouvelle gamme représente la prochainegénération de commutateurs de bureau et intègre la technologie CiscoStackWise™ : interconnexion de commutateur d’une capacité d'empilagede 32 Gbit/s qui permet aux clients de construire un système decommutation unifié et de résilience élevée (un commutateur à la fois).

Pour les succursales d'entreprises et les entreprises de taille moyenne, la gamme Cisco Catalyst 3750 facilite le déploiement d'applications convergées ets'adapte à l'évolution des besoins commerciaux en offrant flexibilité de configuration, prise en charge des fonctionnalités nécessaires aux réseaux convergés et automatisation de configurations des services réseau intelligents. En outre, la gamme Cisco Catalyst 3750 est optimisée pour les déploiements Gigabit Ethernet haute densité et comprend un large éventail de commutateurs qui répondent aux exigences en matière d'accès, d'agrégation ou de connectivité dorsale pour de petits réseaux.

Configurations• Cisco Catalyst 3750G-24TS : 24 portsEthernet 10/100/1000 et 4 liensmontants SFP• Cisco Catalyst 3750G-24T : 24 portsEthernet 10/100/1000• Cisco Catalyst 3750-48TS : 48 portsEthernet 10/100 et 4 liens montants SFP• Cisco Catalyst 3750-24TS : 24 portsEthernet 10/100 et 2 liens montants SFP(small form-factor pluggable)• La gamme Cisco Catalyst 3750 estdisponible dans la version logicielle SMI(Standard Multilayer Software Image)ou EMI (Enhanced Multilayer SoftwareImage). Les fonctionnalités SMIcomprennent la qualité de service (QoS)évoluée, la limitation du débit, les listesde contrôle d'accès (ACL) ainsi que lesfonctionnalités de routage statiqueélémentaire et RIP (routed informationprotocol). La version EMI offre unensemble plus riche de fonctions pourl'entreprise avec avec traitement matérieldu routage IP unicast et multicast évolué.

Figure 1Commutateurs CiscoCatalyst 3750

Cisco Systems, Inc.Tout le contenu est protégé par copyright © 1992–2003 Cisco Systems, Inc. Tous droits réservés. Avis importants et Protection

de la vie privée.

Document 7

20

Quelles sont les différences entre les câbles fibre optique et les câbles cuivre ?

Les principales différences entre les câbles fibre optique et les câbles cuivre résident notamment dans leurcoût, la vitesse qu’ils offrent et les options de câblage qu’ils permettent. Aujourd’hui, les entreprises disposent de plusieurs options pour prendre en charge leurs transmissions de réseaux câblés ; mais aussi sans fil. Gardez à l’esprit que tous les points d’accès sans fil ont un composant filaire. Les normes varient en fonction du type de connectivité à utiliser.Câbles Fibre Optique vs câbles cuivre : avantages et inconvénientsIl existe des avantages et des inconvénients pour les méthodes de distribution en fibres et en cuivre. Lafibre est, en général, la méthode la plus acceptée. Elle est utilisée pour les applications de backbone et delongue distance.

Le cuivre reste dominant pour les connexions de serveur à commutateur et de bureau à commutateur. Laraison est simple : les ports cuivre sont moins chers et peuvent négocier automatiquement ; c’est-à-direqu’ils peuvent supporter plusieurs vitesses sur le même port.

Un autre avantage du cuivre est la possibilité de fournir une alimentation en courant continu sur le câblagede données ;

Tenez aussi compte du coût des ports aux deux extrémités et de la durée de prise en charge del’application. Enfin, pensez aussi à prendre en compte les coûts de maintenance. L’examen des coûts parport et de l’énergie n’est pas aussi révélateur que l’examen du coût total pour vos besoins decommunication.

En décidant où et quand utiliser la fibre par rapport au cuivre, ou en décidant d’utiliser les deux, il fautaussi penser aux distances à supporter et aux vitesses de transmission requises.

Câbles cuivre à paires torsadéesLe câblage en cuivre est disponible en paires torsadées blindées et non blindées (UTP) et classé seloncertaines catégories ; F/UTP, UTP, et S/FTP, etc. Toutes ces catégories prennent en charge le PoE (Powerover Ethernet), PoE + et le nouveau PoE ++ / UPoE. Plus la catégorie est élevée, meilleure est laperformance de transmission. Aussi, les systèmes blindés offriront une meilleure dissipation de la chaleurdans les applications alimentées.

Les canaux de câblage structurés en cuivre, tels que BASE-T, sont conçus (dans la plupart des cas) poursupporter 100 mètres. Selon l’Organisation internationale de normalisation (ISO), certaines réductions delongueur sont cependant nécessaires pour le câblage dans les zones à forte chaleur.

Ainsi, le facteur de déclassement blindé est environ de moitié par-rapport à celui des systèmes non blindésdans ces zones à forte chaleur. À l’exception des catégories 7 et 7A, toutes les interfaces cuivre pré-citéesutilisent des connecteurs RJ-45. Les connecteurs de catégorie 7 et 7A sont spécifiés par les normes ISO /CEI ; qui sont appliquées dans le monde entier.

Document 8

21

Les câbles à fibre optiqueLes taux de transmission des fibres dépendent de la distance, du diamètre de la fibre et de la source delumière utilisée pour déplacer la lumière sur la fibre. La fibre monomode est conçue pour les applicationsles plus longues. La fibre multimode est, quand à elle, généralement utilisée pour les applications deliaison montante, de serveur à commutateur et de backbone plus courtes.

Les distances de fibre sont des longueurs maximales et peuvent diminuer en fonction des budgets de pertede liaison. Un budget de perte de liaison par fibre est une combinaison de la distance totale de la fibre etdu nombre de connecteurs dans le canal. Plus le nombre de connecteurs dans le canal est grand, plus ladistance supportée est courte.

Ensuite, les nouveaux connecteurs à faible perte augmentent le nombre de connexions pouvant êtreutilisées dans un canal ; tout en prenant en charge l’application. Aussi, il convient également de noter que,dans certains cas, les combinaisons électroniques et de fibres actives peuvent supporter des distancessupérieures à celles indiquées ; en raison des progrès de l’électronique active. Les distances généralementindiquées sont basées sur les normes publiées ; et non sur les capacités d’application de certainscomposants électroniques.

Toutes les normes exigent l’utilisation d’un connecteur LC dans les connexions à fibres optiques à deuxbrins ; pour les applications parallèles multistrand au-delà de 10 Gbps. Ainsi, le connecteur acceptable estun MPO / MTP, ou push-on multifibre push-on / mécanique ; avec comme différence que le MTP a desbroches d’alignement en acier inoxydable.

Fibre optique monomode et fibre optique multimodeLa fibre optique monomode contient un noyau plus petit et relaie les transmissions par diodes laser sur detrès longues distances. La fibre multimode relaie la lumière LED à l’aide d’un noyau plus grand en lafaisant «rebondir» jusqu’à ce qu’elle atteigne sa destination sur une distance plus courte.

Ce dernier type de fibre est bien meilleur marché. Raison pour laquelle elle est couramment utilisée dansles réseaux urbains.

Connexion fibre optique : simplex vs duplexEnsuite, vous le savez surement, les connexions vont dans deux sens différents. Les câbles sontprincipalement vendus en : simplex ou duplex. Les câbles en duplex transportent deux câbles de fibredistincts reliés par un revêtement extérieur mutuel ; et ont deux sorties à chaque extrémité. Chaque câblene relaie les données que dans un sens, ce qui rend les câbles duplex parfaitement adaptés aux connexionsà fort trafic ; tels que les commutateurs à fibre optique, les serveurs et les ports dorsaux.

Rapidité, fiabilité et efficacitéEnfin, si la rapidité, la fiabilité et l’efficacité sont importants pour vous ou votre société, le choix de lafibre optique s’impose de lui-même.

En conclusion :Lorsque vous prenez des décisions cruciales en matière de câblage, il est important de prendre en compteles différences de la fibre par-rapport au cuivre. Ainsi, il convient aussi d’examiner avec soin quel câbleoptique ou paire torsadée cuivre fonctionnera le mieux et où, dans votre réseau.

22