1. Objectifs

L’objectif de ce TP est de vous permettre de configurer et vérifier la sécurité des ports sur un commutateur afin de limiter l’accès réseau aux périphériques autorisés.

2. Prérequis

Pour ce TP, vous aurez besoin :

• D’un poste de travail avec le logiciel Packet Tracer installé.

3. Tâches à réaliser

Réalisez les tâches suivantes en autonomie, en suivant les étapes fournies pour chaque action.

A. Topologie et plan d’adressage

• Périphériques et interfaces :
  • S1 (commutateur) : VLAN 1 – IP : 10.10.10.2 / Masque : 255.255.255.0
  • PC1 : IP : 10.10.10.10 / Masque : 255.255.255.0
  • PC2 : IP : 10.10.10.11 / Masque : 255.255.255.0
  • PC Intrus : IP : 10.10.10.12 / Masque : 255.255.255.0

B. Configuration de la sécurité des interfaces

1. Activer le mode accès et la sécurité des ports :

   • Configurez les interfaces Fa 0/1 et Fa 0/2 du switch S1 pour être en mode accès et activer la sécurité des ports :
     • S1(config)# interface range fa0/1-2
     • S1(config-if-range)# switchport mode access
     • S1(config-if-range)# switchport port-security

2. Configurer le niveau maximum d’adresses MAC autorisées :

   • Limitez l’accès à un seul périphérique par interface :
     • S1(config-if-range)# switchport port-security maximum 1

3. Configurer l’apprentissage dynamique des adresses MAC :

   • Permettez l’apprentissage dynamique des adresses MAC et l’ajout de celles-ci à la configuration en cours :
     • S1(config-if-range)# switchport port-security mac-address sticky

4. Définir le mode de violation :

   • Configurez les interfaces pour que les paquets provenant d’une source inconnue soient abandonnés sans désactiver les ports (mode restrict) :

     • S1(config-if-range)# switchport port-security violation restrict

   • Question : Quels sont les autres modes de sécurité d’interface et quelle est leur utilité ?

5. Désactiver les interfaces inutilisées :

   • Désactivez toutes les interfaces inutilisées restantes pour renforcer la sécurité :
     • S1(config-if-range)# interface range fa0/3-24
     • S1(config-if-range)# shutdown
     • S1(config-if-range)# exit
     • S1(config-if-range)# interface range gi0/1-2
     • S1(config-if-range)# shutdown
     • S1(config-if-range)# exit

C. Vérification de la sécurité des interfaces

1. Tester la connectivité entre PC1 et PC2 :

   • Depuis PC1, envoyez un ping vers PC2.

2. Vérifier l’activation de la sécurité d’interface :

   • Contrôlez l’ajout des adresses MAC de PC1 et PC2 à la configuration en cours en utilisant la commande :
     • S1# show port-security

3. Tester la sécurité avec le PC intrus :

   • Connectez le PC intrus à une interface inutilisée et observez la couleur du témoin de liaison.
   • Question : Quelle est la couleur du témoin de liaison et pourquoi ?

4. Activer l’interface et tester la communication du PC intrus :

   • Activez l’interface inutilisée connectée au PC intrus et tentez un ping vers PC1 et PC2.
   • Arrêtez ensuite l’interface connectée au PC intrus.

5. Changer la connexion du PC intrus :

   • Déconnectez PC2 et connectez le PC intrus à l’interface de PC2.
   • Vérifiez que le PC intrus ne peut pas envoyer de ping à PC1.
   • Affichez les violations de sécurité de l’interface avec la commande suivante :
     • S1# show port-security interface fa0/2

6. Restaurer la configuration initiale :

   • Déconnectez le PC intrus et reconnectez PC2 à son interface d’origine.
   • Vérifiez que PC2 peut envoyer un ping à PC1.
   • Question : Pourquoi PC2 peut-il envoyer un ping à PC1 alors que le PC intrus ne le peut pas ?

Conseils pour le TP

• Documentation : Utilisez man [commande] ou l’aide contextuelle ? pour mieux comprendre les commandes utilisées.
• Pratiquez : Essayez différentes options pour renforcer la sécurité des interfaces.
• Notez les résultats : Prenez des notes sur les commandes et les résultats obtenus pour une référence future.