1 Configuration de base du commutateur

Retrouver dans la documentation config2960fr.pdf tous les éléments permettant de réaliser une
communication via le port console du commutateur :
NB : si le commutateur est déjà configuré, on peut effacer la configuration en appuyant pendant
10 secondes sur le bouton « mode »

Le type de communication et les paramètres de celle-ci.

C’est une liaison série. Les paramètres sont :
9600 bauds, 8 bits d’informations, aucune parité, 1 bit d’arrêt et aucun contrôle de flux.
Le type de câble et les ports physiques à utiliser sur l'ordinateur et sur le commutateur.
Il faut un câble inversé aussi appelé câble console. Il doit être branché sur une prise DB9 de
l’ordinateur appelée COM. Sur le switch la prise est du type RJ45 (de même type que les prises
réseaux), elle est repérée par son nom « console » et se trouve au dos du switch.
Les applications logicielles disponibles permettant d'établir cette communication.
On peut utiliser toutes les applications émulant un terminal comme par exemple
« Hyperterminal » ou « PUTTY »

Effectuer la connexion physique entre l'ordinateur et le commutateur puis lancer l'application

choisie permettant l'établissement de la communication avec le commutateur (Taper Entrée pour
communiquer avec le commutateur).
Exemple d’écran affiché par PUTTY pour sa configuration.

On obtient l’émulation du terminal en cliquant sur « open »

Effectuer le paramétrage de base du commutateur en respectant le cahier des charges suivant :

Nom du commutateur : constitué des noms du binôme
Mot de passe pour l’accès console : cons.
Mot de passe pour l’accès au mode privilégié : admin.
Mot de passe pour l’accès aux lignes virtuelles utilisées pour l'application telnet : virt.
Suite de commandes suivantes :
 *

2 Configuration de l'adresse IP et des VLANs du commutateur

Créer un VLAN 3 de nom administration switch et un VLAN 4 de nom utilisateurs.

Configurer l'adresse IP du commutateur sur le VLAN d'administration conformément à la

topologie du réseau (voir le document Topologie_TP1.pdf).

Affecter les ports fa0/1 et fa0/2 au VLAN d'administration et tous les autres ports au VLAN des
utilisateurs.
Deux méthodes possibles, soit on affecte tous les ports un par un au VLAN associé soit on utilise
la commande « range ». L’exemple suivant montre les deux possibilités.
 Sauvegarder la configuration courante dans la configuration de démarrage.
Il faut taper la commande « copy running-config startup-config »:

Taper les commandes suivantes et indiquer les renseignements principaux fournis par chacune :
o show vlan brief

Cette commande affiche les VLANS créés, les ports qui y sont affectés et le statut du VLAN.
o show ip interface
Beaucoup d’informations sont données, ce qui nous intéresse pour l’instant est le début. On y
trouve les différents VLAN créés ainsi que leur état (down ou up) et l’adresse IP éventuellement
donné au VLAN.
o show interfaces trunk

Cette commande actuellement n’affiche rien car aucune interface n’a été configurées en mode
TRUNK. Dans le cas contraire on verrait les différents ports en mode TRUNK et leurs
caractéristiques (VLAN natif, VLAN autorisés …). Voir exemple ci-dessous pour le switch SWT.
3 Configuration des hôtes, tests de connectivité
Les adresses IP des ordinateurs seront du type : 192.168.100.XY (X : N° du binôme, Y : au choix
de 0 à 9) avec le masque par défaut 255.255.255.0.
Configurer l'adressage IP de 2 ordinateurs PC1 et PC2.
Il faut se rendre dans les propriétés de la carte réseau dans le « centre de réseau et partage « et
saisir son adresse IP. Exemple :
 Connecter PC1 sur fa0/3 et PC2 sur fa0/2. Tester la connectivité entre les 3 éléments (les 2
ordinateurs et le commutateur). Expliquer.
La connectivité est testée à l’aide de la commande PING (réalisée depuis le PC dont l’adresses est
192.168.100.13). Exemple :
Ping 192.168.100.12

On constate alors qu’il est « Impossible de joindre l’hôte distant ». Ceci est normal puisque ils ne sont
pas sur le même VLAN. Ils ne peuvent donc pas communiquer directement l’un avec l’autre.

 
Connecter PC1 sur fa0/3 et PC2 sur fa0/4. Tester la connectivité entre les 3 éléments (les 2
ordinateurs et le commutateur). Utiliser Wireshark pour analyser précisément les problèmes de
connectivité éventuels : repérer la (ou les) trame(s) significatives, indiquer quels sont les
protocoles mis en oeuvre, déterminer à quel niveau le problème se situe (2 ou 3 ?). On utilisera un
filtrage dans Wireshark pour « cibler » les trames « intéressantes ».

Si on branche le PC2 sur FA0/4 on a la réponse suivante :

Car les deux pc sont maintenant dans le même VLAN.

Une capture WIRESHARK va ressembler à cela :

On peut remarquer des trames STP qui permettent au SWITCH de vérifier qu’il n’y ait pas de boucles
de commutation, mais celles-ci ne nous intéressent pas. Le PING met en œuvre deux mécanismes
que l’on peut retrouver dans la capture.
- Utilisation du protocole ARP pour demander l’adresse MAC de la machine de destination (trame
22 : requête ARP en broadcast et trame 23 : réponse ARP).
- Utilisation du protocole ICMP pour vérifier la connectivité au niveau de l’adressage IP.(trames 24 :
requête ICMP et trame 27 : réponse ICMP).

Lorsque les deux machines ne sont pas sur le même VLAN on a une capture similaire ou presque. En
effet il y a bien le broadcast ARP mais la machine recherchée, n’appartenant pas au même domaine
de broadcast, elle ne reçoit pas cette requête : il n’y a donc pas de réponses possible. La machine
source réémet encore trois ARP sans réponses et à chaque fois on a sur la machine source le message
« Impossible de joindre l’hôte distant ». Le problème se situe donc au niveau de la couche 2. En effet,
le protocole ARP est un protocole de couche 2 car il n’utilise que le protocole Ethernet pour
fonctionner. On reste au niveau de l’adresse MAC (matériel) car la carte réseau n’arrive pas à obtenir
l’adresse IP de la machine distante.
Déduire des questions précédentes l'intérêt du vlan d'administration en termes de sécurité sur les
commutateurs.
L’intérêt du VLAN administration est de fournir une sécurité supplémentaire. En effet seules les
machines connectées sur le VLAN d’administration peuvent accéder à sa configuration. De plus les
machines sur les autres VLAN ne peuvent pas « SNIFFER » ou espionner les échanges lors de l’accès
au SWITCH pour sa configuration car les informations ne passent pas d’un VLAN à l’autre.
4 Accès à distance du commutateur
L'accès à distance sur les matériels réseaux peut s'effectuer avec différents protocoles (telnet,
SSH). L'IOS de votre commutateur ne permet que l'utilisation de telnet alors que l'IOS de SWT
permet l'utilisation de SSH. L'objectif de cette partie est d'utiliser les deux protocoles et de les
comparer.
a) Session telnet :
Établir une session telnet avec votre commutateur.
On doit brancher le PC avec lequel on veut établir cette session sur un port Ethernet affecté au
VLAN 3. En effet, l’adresse IP du switch a été définie sur l’interface virtuelle « vlan 3 ». Ce qui
signifie que le switch appartient au domaine de broadcast du vlan 3.
On utilise toujours PUTTY mais cette fois on coche TELNET et on saisit l’adresse IP du VLAN
d’administration.

Retrouver à l'aide de Wireshark le mot de passe de connexion virtuelle appelée vty dans la
terminologie Cisco.
La capture suivante nous montre que dans la partie donnée du protocole TELNET on trouve la
lettre « V » du début de notre mot de passe. Si on regarde les données des trames TELNET
suivantes, on trouvera « I » puis « R » puis « T ». On constate que toutes les données transmises
par le protocole TELNET sont lisibles. De plus on constate que les données sont transmises
caractère par caractère ce qui fait de ce protocole un protocole inapproprié pour le transfert de
gros fichiers.
b) Session SSH :
SWT est configuré afin qu'on puisse établir une communication sécurisée sous SSH :
Utilisateur : CISCO, mot de passe : CISCO.
L’adresse IP de SWT est 192.168.100.253 (adresse attribuée au switch SWT sur le vlan 3). Si on
veut communiquer avec cette machine, il faut que le PC appartienne à ce vlan. On peut donc
brancher notre PC sur le port FastEthernet0/1. Le port FastEthernet 0/2 (configuré en access sur le
vlan 3) sera utilisé pour relier le switch étudiant à SWT sur un des ports FastEthernet0/1-9
(configuré eux aussi en access sur le vlan 3°.
Une fois, le lien physique réalisé, on utilise encore PUTTY en cochant l’option SSH et en
saisissant l’adresse IP d’administration de SWT (attention seul les machines sur le VLAN
d’administration peuvent y accéder).

A l'aide du fichier de configuration de SWT :

o Déterminer l'adresse IP de SWT à contacter pour établir la communication.
L’adresse IP de SWT est 192.168.100.253
o En déduire le port de SWT sur lequel se connecter physiquement pour accéder à son
administration.

Se connecter sur un port appartenant au VLAN 3 soit FA0/1 à FA0/9 de SWT

Établir avec PuTTY une session SSH avec SWT.

Voir capture ci-dessus
Vérifier à l'aide de Wireshark que les données sont cryptées.
La capture suivante montre bien que la communication se fait maintenant à l’aide du protocole
SSH. De plus WIRESHARK nous indique que le client (PC) et que le serveur (SWT)
communiquent à l’aide de données cryptées (« encrypted packet »). Si on essaie de lire ou si on
fait une recherche sur « CISCO », on ne trouve à aucun moment ces données. Elles sont bien
cryptées. Ceci permet de faire des échanges sans risques si une machine « hostile » sniffe le
réseau.

5 Analyse de la configuration de SWT

a) Remplir le tableau ci-dessous à l'aide du contenu du fichier de configuration courante (running-
config) de SWT.
Ports Mode : (access, VLAN autorisés VLAN VLAN(s)
trunk) untagged(802.3) tagged(802.1q)
Fa 0/1-fa0/9 Access 3 3
Fa0/10-fa0/11 trunk 2à4 2 3 et 4
Fa0/12 Trunk 6,8,9 8 6 et 9
Fa0/13-fa0/22 Trunk 3,4 4 3
Fa0/23 access 4 4
Fa0/24 access 15 15
b) Vérifier la cohérence entre le tableau et les informations données par les commandes show
VLAN et show interfaces trunk. Expliquer les différences.

Lors du « show VLAN » on remarque que les ports TRUNK inutilisés sont affectés au VLAN par
défaut. Par exemple FA0/11 est affecté au VLAN 1 alors qu’en réalité, il est configuré en
TRUNK.

Le « show TRUNK interface » nous montre les différentes interfaces configurées en TRUNK
avec les VLAN autorisés et le VLAN natif. On constate que les ports configurés en TRUNK mais
non branchés physiquement n’apparaissent pas. Il n’y a que ceux qui sont utilisés, si on souhaite
le détail de chacun d’entre eux il faut passer par un « show running-config ».
c) On souhaite établir une communication entre PC2 et PC4 qui est branché sur SW8. Le port sur
lequel est connecté PC4 est configuré en mode Access VLAN 4.

Proposer une modification de la configuration du port sur lequel est connecté PC2 pour
permettre cette communication.
Pour pouvoir communiquer avec PC4 le port sur lequel est branché PC2 doit être sur le VLAN 4.
Pour la configuration du lien entre votre commutateur et SWT, il existe deux possibilités : soit
un lien configuré en mode Access, soit un lien configuré en mode Trunk. Pour chacune des
possibilités, proposer (sans modifier la configuration de SWT) :
o Le câblage avec les ports utilisés sur les deux commutateurs.
* Mode ACCESS :
Il faut un port sur le VLAN utilisateur (VLAN4) pour notre SWITCH et le brancher sur un port du
VLAN utilisateur (VLAN4) de SWT. Seul Fa0/23 du switch SWT le permet car seul ce dernier
appartient au VLAN 4 en mode ACCESS.
* Mode TRUNK
Nous devons configurer un port de notre commutateur en mode TRUNK qui doit être compatible
avec un port en mode TRUNK de SWT et qui doit laisser passer le VLAN 4. On peut prendre par
exemple FA0/10 de SWT et configurer à l’identique notre switch sur l’interface FA0/22 par
exemple.
interface FastEthernet0/22
switchport trunk native VLAN 2
switchport trunk allowed VLAN 2-4
switchport mode trunk

6 Remise en état initial du matériel

Effacer la configuration sauvegardée et effectuer un rechargement du commutateur. Vérifier
que la configuration au redémarrage est bien celle par défaut.
Taper la commande « erase startup-config » puis débrancher le commutateur.
On peut faire un démarrage à chaud en tapant « reload ». Attention de bien répondre non quand le
switch demande si l’on souhaite sauvegarder la configuration courante.
Remettre la configuration réseau initiale des ordinateurs (utiliser une adresse IP
automatiquement).