Les fondamentaux
Un réseau est un groupe de deux à plusieurs terminaux interconnectés dans le but d’échanger et partager de donnes et ressourcés. Entre les qualités d’un réseau, deux des plus souhaitables se distinguent: la résilience et le control d’accès.
Les composants plus élémentaires d’une infrastructure réseau sont les commutateurs. Ils opèrent sur les couches inférieures (physique, liaison de données et réseau) du modèle OSI de référence.
La résilience
Nous considérons un réseau comme résilient lorsque des incidents tels qu’une panne de port n’affectent pas la connectivité globale d’un bout à l’autre. Une façon d’y parvenir est d’avoir des commutateurs redondants et des connexions redondantes entre eux.
Une topologie en anneau est principalement utilisée pour disposer d’un réseau redondant. Les effets secondaires d’une topologie en anneau sont les tempêtes de diffusion, l’instabilité de la table d’adresses mac et les copies excessives de trames IP. Ces effets secondaires apparaissent, car une topologie en anneau fait une boucle dans laquelle les informations passent d’un commutateur à l’autre sans fin.
- Tempête de diffusion (Broadcast storm) Chaque fois qu’un commutateur reçoit une requête ARP sur l’un de ses ports, il la diffuse sur tous les autres ports, s’il y a une réponse, il la transmettra à la source de la requête. Mais si nous avons une topologie en anneau, la demande est renvoyée depuis la connexion redondante, provoquant la retransmission et l’inondation du réseau avec des demandes de diffusion.
- L’instabilité de la table d’adresses mac (MAC addres table instability) Dans une topologie en anneau, la table d’adresses mac est constamment réécrite car le commutateur continue de recevoir des trames d’une seule entité à partir de différents ports.
- Nombre excessif de copies de trames IP (Excessive ip frame copies) Un autre effet secondaire de la boucle est la multiplication des trames IP, chaque trame est multipliée par le nombre de connexions redondantes. Ces trames multipliées ajoutent à l’engorgement du réseau.
Protocole STP
Pour surmonter ce problème, le protocole Spanning Tree1 a été créé. Ce protocole arrête la transmission de données dans l’une des connexions redondantes, délibérément pour arrêter la formation d’une boucle.
STP fonctionne en ayant une connexion séparée entre les commutateurs, via cette connexion, les commutateurs conservent une carte globale du réseau. Habituellement, le port qui a une connexion de redondance ne transmet pas les données, mais il laisse les mises à jour des données STP. Ceci rend possible la réponse en cas de changement de topologie du réseau, et le « déblocage » des flux de données.
Dans le paramètre réseau STP, les ports des commutateurs sont dans des états différents selon leur contexte. Les deux grands états sont
Forwarding
Blocking
Comme leur nom l’indique, soit le port fonctionne normalement et transmet et reçoit des trames, soit il bloque toutes les données sauf le STP et les autres trames liées à l’administration du réseau.
Les autres états dans lesquels un port peut se trouver sont :
- Écoute (Listening) Le commutateur traite les BPDU et attend d’éventuelles nouvelles informations qui le feraient revenir à l’état de blocage. Il ne remplit pas la table MAC et ne transmet pas les trames.
- Apprentissage (Learning) Bien que le port ne transfère pas encore les trames, il apprend les adresses source des trames reçues et les ajoute à la table MAC.
Dans le cas d’un réseau vaste et complexe avec de nombreux commutateurs et des connexions redondantes, le STP utilise le STA (Spanning Tree Algorithm) pour trouver la connexion la moins coûteuse. Ici, nous nous référons à la bande passante d’une connexion comme un coût.
| Bande Passante | Cout STP | Cout RSTP/MSTP |
|---|---|---|
| 4 Mbit/s | 250 | 5.000.000 |
| 10 Mbit/s | 100 | 2.000.000 |
| 16 Mbit/s | 62 | 1.250.000 |
| 100 Mbit/s | 19 | 200.000 |
| 1 Gbit/s | 4 | 20.000 |
| 2 Gbit/s | 3 | 10.000 |
| 10 Gbit/s | 2 | 2.000 |
| 100 Gbit/s | N/A | 200 |
| 1 Tbit/s | N/A | 20 |
La STA prend en considération lors du choix d’un chemin le coût d’une connexion donnée par rapport au commutateur racine. Le commutateur racine lui-même est sélectionné par la valeur de BID s’il n’est pas configuré manuellement. Le BID est un numéro de 8 octets dont les deux premiers sont configurables et les 6 derniers sont l’adresse MAC qui est unique. Les deux premiers sont nommés Bridge Priority et leur valeur peut changer la place d’un commutateur dans la hiérarchie racine.
Dans un réseau stable, les connexions entre les commutateurs convergent dans une structure ressemblant à un arbre inversé, avec le commutateur racine à sa racine. En cas de panne, l’ensemble de la structure peut changer de forme pour s’adapter aux critères STA : la connexion la moins coûteuse par rapport au commutateur racine. Les données qui maintiennent la structure à jour s’appellent BPDU, unités de données de protocole de pont, et est échangé toutes les 2 secondes.
Contrôle d’Accès
La première mesure de sécurité recommandée qui n’est pas si évidente est de fermer tous les ports qui ne sont pas utilisés.
Cisco configuration:
en
conf t
int range fa x/x
shutdown
Les commutateurs Cisco ont des fonctions STP telles que PORTFAST qui placent le port concerné dans un état de transfert dépassant les états STP normaux. Ce paramètre permet une connexion plus rapide au réseau des hôtes, des terminaux. Le commutateur, il ne va pas envoyer ou attendre le BPDU d’un autre commutateur. Il est forcé dans un état Forwarding. Un problème découle de la flexibilité qu’offre STP par la possibilité de choisir le commutateur racine, et c’est le détournement de la topologie du réseau et la possibilité de renifler les données ou de créer des boucles. BDPU Guard est la réponse à ce problème, il fonctionne en tandem avec PORTFAST et bloque tout port qui reçoit des BPDU.
Un autre type de contrôle d’accès que l’on peut trouver sur les commutateurs est le filtrage des adresses MAC.
Cette fonction est appelée et configurée sur les commutateurs Cisco par :
en
conf t
int fa x/x
switchport port-security
Et il a différentes options comme le nombre maximum d’entrées d’adresse MAC (qui seront autorisées à transmettre des données par ce port spécifique.)
switchport port-security mac-address maximum 5
Configurez un port manuellement :
switchport port-security mac-address aaaa.bbbb.cccc
Configurez un port pour enregistrer l’adresse mac de l’appareil branché dans la liste blanche :
switchport port-security mac-address sticky
Sachez que si vous branchez un autre commutateur sur lequel 10 appareils sont branchés, vous devez modifier la valeur maximale de la liste d’adresses MAC de votre sécurité de port pour inclure les 10 clients plus le commutateur.
Un autre aspect que vous devrez peut-être prendre en considération est la politique de violation de sécurité, il existe des modes :
- Protéger (Protect) Les paquets provenant d’adresses MAC non enregistrées ne sont pas transmis.
- Limiter (Restrict) Les paquets provenant d’adresses MAC non enregistrées ne sont pas transmis, le compteur de violation de sécurité est incrémenté et un message syslog est envoyé.
- Arrêter (Shutdown) Le port est immédiatement désactivé, un message est envoyé au syslog et le compteur de violation est incrémenté. Pour réactiver le port il faut passer par une procédure de : « shutdown - no shutdown » .