11.6.2 Lab - Switch Security Configuration - ILM
11.6.2 Lab - Switch Security Configuration - ILM
11.6.2 Lab - Switch Security Configuration - ILM
(Version de l'instructeur)
Remarque de l'instructeur: le texte en rouge ou surligné en gris apparaît uniquement dans la version de
l'instructeur.
Topologie
Table d'adressage
R1
Bouclage 0 10.10.1.1 255.255.255.0
S1 VLAN 10 192.168.10.201 255.255.255.0
S2 VLAN 10 192.168.10.202 255.255.255.0
PC – A Carte réseau (NIC) DHCP 255.255.255.0
PC – B Carte réseau (NIC) DHCP 255.255.255.0
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 1 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
Objectifs
Partie 1: Configurer les périphériques réseau.
Câblage du réseau.
Configurer R1.
Configurer et vérifier les paramètres de base du commutateur.
Partie 2: Configurer les VLAN sur Les Commutateures.
Configurer VLAN 10.
Configurer le SVI pour VLAN 10.
Configurer VLAN 333 avec le nom natif sur S1 et S2.
Configurer VLAN 999 avec le nom ParkingLot sur S1 et S2.
Partie 3: Configurer la Sécurité du Commutateur.
Mettre en œuvre le trunc 802.1Q
Configurer les ports d'accès.
Sécuriser et désactiver les ports de commutateures inutilisés.
Documenter et mettre en œuvre les fonctions de sécurité des ports.
Mettre en œuvre la sécurité d'espionnage DHCP.
Mettre en œuvre PortFast et la protection BPDU.
Vérifier la connectivité de bout en bout.
Contexte/scénario
Ces travaux pratiques passent en revue les fonctionnalités de sécurité de couche 2 précédemment apprises.
Remarque: les routeurs utilisés dans les travaux pratiques CCNA sont Cisco 4221 version 16.9.3 de Cisco
IOS XE (image universalk9). Les commutateurs utilisés dans les travaux pratiques sont des modèles Cisco
Catalyst 2960s version 15.0(2) de Cisco IOS (image lanbasek9). D'autres routeurs, commutateurs et d'autres
versions de Cisco IOS peuvent être utilisés. Selon le modèle et la version de Cisco IOS, les commandes
disponibles et le résultat produit peuvent varier de ce qui est indiqué dans les travaux pratiques. Reportez-
vous au tableau récapitulatif de l'interface du routeur à la fin de ces travaux pratiques pour obtenir les
identifiants d'interface corrects.
Remarque: vérifiez que les paramètres des commutateurs ont été effacés et qu'ils ne présentent aucune
configuration initiale. En cas de doute, contactez votre instructeur.
Remarque de l'instructeur: referez au guide de travaux pratiques de l'instructeur pour initialiser et recharger
les périphériques.
Ressources requises
1 routeur (Cisco 4221 avec la version 16.9.3 de Cisco IOS XE universelle ou similaire).
2 commutateurs (Cisco 2960 avec la version 15.0(2) de Cisco IOS image lanbasek9 ou similaire).
2 PC (Windows équipé d'un programme d'émulation de terminal tel que Tera Term).
Câbles de console pour configurer les appareils Cisco IOS via les ports de console.
Câbles Ethernet comme la topologie indique.
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 2 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
Instructions
Enable
configure terminal
hostname R1
no ip domain lookup
ip dhcp excluded-address 192.168.10.1 192.168.10.9
ip dhcp excluded-address 192.168.10.201 192.168.10.202
!
ip dhcp pool Students
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
domain-name CCNA2.Lab-11.6.1
!
interface Loopback0
ip address 10.10.1.1 255.255.255.0
!
interface GigabitEthernet0/0/1
Description de Liaison porte 5 à S1
ip dhcp relay information trusted
ip address 192.168.10.1 255.255.255.0
no shutdown
!
line con 0
logging synchronous
exec-timeout 0 0
b. Vérifiez la configuration d'exécution sur R1 à l'aide de la commande suivante:
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 unassigned YES unset down down
GigabitEthernet0/0/1 192.168.10.1 YES manual up up
Loopback0 10.10.1.1 YES manual up up
c. Vérifiez que l'adressage IP et les interfaces sont dans l'état up/ up (dépannez si nécessaire).
Fermez la fenêtre de configuration.
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 3 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
Switch# config t
Switch(config)# hostname S1
Ouvrez la fenêtre de configuration.
Switch# config t
Switch(config)# hostname S2
d. Empêchez les recherches DNS indésirables sur les deux commutateures
S1(config)# no ip domain-lookup
S2(config)# no ip domain-lookup
e. Configurez les descriptions d'interface des ports utilisés sur S1 et S2.
S1(config)# interface f0/1
S1(config-if)# description Link to S2
S1(config-if)# interface f0/5
S1(config-if)# description Link to R1
S1(config-if)# interface f0/6
S1(config-if)# description Link to PC-A
S2(config)# vlan 10
S2(config-vlan)# name Management
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 4 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 5 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 6 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 7 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
b. Sur S1, activez la sécurité des ports sur F0/6 avec les paramètres suivants:
o Nombre maximal d'entrées d'adresse : 3
o Mode de violation : Restrict
o Temps d'obsolescence : 60 min
o Type d'obsolescence : Inactivité
S1(config)# interface f0/6
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 3
S1(config-if)# switchport port-security violation restrict
S1(config-if)# switchport port-security aging time 60
S1(config-if)# switchport port-security aging type inactivity
c. Vérifiez la sécurité de port sur S1 F0/6
S1# show port-security interface f0/6
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 60 mins
Aging Type : Inactivity
SecureStatic Address Aging : Disabled
Adresses MAC maximales (Maximum MAC Adresses) : 3
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 8 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
d. Activez la sécurité des ports pour F0/18 sur S2. Configurez le port pour ajouter automatiquement les
adresses MAC apprissent sur le port à la configuration courante.
S2(config)# interface f0/18
S2(config-if)# switchport port-security
S2(config-if)# switchport port-security mac-address sticky
e. Configurez les paramètres de sécurité de port suivant sur S2 F/18:
o Nombre maximal d'entrées d'adresse: 2
o Mode de Violation : Protect
o Temps d'obsolescence : 60 min
S2(config)# interface f0/18
S2(config-if)# switchport port-security aging time 60
S2(config-if)# switchport port-security maximum 2
S2(config-if)# switchport port-security violation protect
f. Vérifiez la sécurité de port sur S2 F0/18
S2# show port-security interface f0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Protect
Aging Time : 60 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Adresses MAC maximales (Maximum MAC Adresses) : 2
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0022.5646.3413:10
Security Violation Count : 0
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 9 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
e. À partir de l'invite de commande sur PC-B, libérez puis renouvelez l'adresse IP.
C:\Users\Student> ipconfig /release
C:\Users\Student> ipconfig /renew
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 10 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
f. Vérifiez la liaison de l'espionnage DHCP en utilisant la commande show ip dhcp snooping binding .
S2# show ip dhcp snooping
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:50:56:90:D0:8E 192.168.10.11 86213 dhcp-snooping 10 FastEthernet0/18
Total number of bindings: 1
Questions de réflexion
1. En référence à la sécurité des ports sur S2, pourquoi n'y a-t-il pas un valeur de minuterie pour l'obsolescence
restant en minutes lorsque l'apprentissage rémanente a été configurée?
Saisissez vos réponses ici
Ce commutateur ne prend pas en charge l'obsolescence de la sécurité des ports des adresses sécurisées
rémanentes.
2. En référence à la sécurité des ports sur S2, si vous chargez le script running-config sur S2, pourquoi PC-B
sur le port 18 n'obtiendra-t-il jamais d'adresse IP via DHCP?
Saisissez vos réponses ici
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 11 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
La sécurité des ports est déterminée pour seulement deux adresses MAC et le port 18 a deux adresses MAC
«rémanentes» liées au port. En addition, la violation est protégée, qui n'enverra jamais de message console /
syslog ni incrémentera le compteur de violation.
3. En ce qui concerne la sécurité des ports, quelle est la différence entre le type d'obsolescence absolu et le
type d'obsolescence inactif ?
Saisissez vos réponses ici
Si le type d'inactivité est déterminé, alors les adresses sécurisées sur le port seront supprimées uniquement
s'il n'y a pas de trafic de données provenant des adresses source sécurisées pendant la période du temps
spécifiée.
Si le type absolu est déterminé, toutes les adresses sécurisées sur ce port expirent exactement après la fin
de la durée spécifiée.
Fin du document
Commutateur S1
S1# show running-config
Building configuration...
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 12 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 13 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
!
interface FastEthernet0/10
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/11
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/12
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/13
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/14
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/15
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/16
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/17
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/18
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/19
switchport access vlan 999
switchport mode access
shutdown
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 14 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
!
interface FastEthernet0/20
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/21
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/22
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/23
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/24
switchport access vlan 999
switchport mode access
shutdown
!
interface GigabitEthernet0/1
switchport access vlan 999
switchport mode access
shutdown
!
interface GigabitEthernet0/2
switchport access vlan 999
switchport mode access
shutdown
!
interface Vlan1
no ip address
!
interface Vlan10
description de gestion SVI
ip address 192.168.10.201 255.255.255.0
!
ip default-gateway 192.168.10.1
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
login
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 15 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
line vty 5 15
login
!
end
Commutateur S2
S2# show running-config
Building configuration...
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 16 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
shutdown
!
interface FastEthernet0/4
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/5
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/6
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/7
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/8
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/9
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/10
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/11
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/12
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/13
switchport access vlan 999
switchport mode access
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 17 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
shutdown
!
interface FastEthernet0/14
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/15
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/16
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/17
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/18
La Description de Liaison à PC-B
switchport access vlan 10
switchport mode access
switchport port-security maximum 2
switchport port-security violation protect
switchport port-security mac-address sticky
switchport port-security aging time 60
switchport port-security
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping limit rate 5
!
interface FastEthernet0/19
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/20
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/21
switchport access vlan 999
switchport mode access
shutdown
!
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 18 sur 19 www.netacad.com
Travaux pratiques - Configuration de la sécurité du commutateur
interface FastEthernet0/22
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/23
switchport access vlan 999
switchport mode access
shutdown
!
interface FastEthernet0/24
switchport access vlan 999
switchport mode access
shutdown
!
interface GigabitEthernet0/1
switchport access vlan 999
switchport mode access
shutdown
!
interface GigabitEthernet0/2
switchport access vlan 999
switchport mode access
shutdown
!
interface Vlan1
no ip address
!
interface Vlan10
description de gestion SVI
ip address 192.168.10.202 255.255.255.0
!
ip default-gateway 192.168.10.1
!
line con 0
exec-timeout 0 0
logging synchronous
line vty 0 4
login
line vty 5 15
login
!
end
2019 - aa Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco Page 19 sur 19 www.netacad.com