TP Agrgation de liens

A. Prsentation
Nous allons nous faire plaisir et monter une architecture un petit peu complexe afin de constater que les concepts vus dans le cours peuvent se cumuler: agrgation, liens redondants, Spanning tree, VLAN et routage. La topologie construire est la suivante:

Atelier 1

Que veut-on faire ici? Clairement, il sagit de mettre en place une architecture redondante au niveau de la couche que nos amis de CISCO appellent Distribution. Celle-ci est constitue dans lexemple par les deux commutateurs 3560 de niveau 3. Un seul pourrait tre suffisant mais cette couche est particulirement sensible car elle interconnecte les diffrents groupes de travail.

OSI 2 et Packet Tracer Page 1

Exercice 1
Rappelez en quelques mots le principe des 3 couches rseau CISCO aussi appel le modle rseau hirarchique 3 couches ou Enterprise Composite Network Model (ECNM).

Exercice 2
Rappelez ce qu'est un commutateur de niveau 3. Dans Packet Tracer, comme sur la figure, placez les diffrents lments et interconnectez-les.

Les switchs disposent de ports FastEthernet et GigaEthernet. Rappelez-vous que les ports doivent avoir exactement les mmes caractristiques pour tre agrgs!

8 2954 TP PA 00

B. Cration des agrgats

Nous allons maintenant crer les agrgats. En ce qui me concerne, jai mis en place la situation suivante:
Switch 3560_0 3560_0 3560_1 3560_1 Ports Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/1 Fa0/2 Fa0/3 Fa0/4 2960_0 2960_1 2960_1 Switch li 2960_0 Ports Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/1 Fa0/2 Fa0/3 Fa0/4

Configurons un premier agrgat. Par exemple, sur le 3560_0:

3560_0(config)# int range Fa0/1-2 3560_0(config-if-range)# channel-protocol lacp 3560_0(config-if-range)# channel-group 1 mode active

Atelier 1

OSI 2 et Packet Tracer Page 2

Quavons-nous fait? 1. Pour les deux interfaces FastEthernet 0/1 et FastEthernet 0/2 2. Nous avons activ le protocole LACP (qui nest pas par dfaut chez CISCO) 3. Nous avons cr un groupe portant le numro 1 en mode actif, ce qui veut dire quil est habilit engager des ngociations LACP. Le groupe sur le switch den face devra tre en mode passif. Maintenant, si on passe sur le switch den face. Nous aurons peu prs les mmes manipulations raliser:
2960_0(config)# int range Fa0/1-2 2960_0(config-if-range)# channel-protocol lacp 2960_0(config-if-range)# channel-group 1 mode passive

Exercice 3
Sur le mme principe, vous finalisez la configuration des 3 autres agrgations. N'oubliez pas que le groupe d'interfaces est cr sur chaque switch. Lorsque nos agrgats sont configurs, on s'aperoit qu'une interface rseau virtuelle est cre pour chaque agrgat et que certains paramtres peuvent tre personnaliss. Par exemple, pour l'agrgat 1 sur le 2960_0:
2960_0(config)#int port-channel 1 2960_0(config-if)#? cdp Global CDP configuration subcommands channel-group Etherchannel/port bundling configuration channel-protocol Select the channel protocol (LACP, PAgP) description Interface specific description duplex Configure duplex operation. exit Exit from interface configuration mode mac-address Manually set interface MAC address

8 2954 TP PA 00

mdix mls no shutdown spanning-tree speed storm-control switchport tx-ring-limit

Set Media Dependent Interface with Crossover mls interface commands Negate a command or set its defaults Shutdown the selected interface Spanning Tree Subsystem Configure speed operation. storm configuration Set switching mode characteristics Configure PA level transmit ring limit

Enfin, rappelons-nous du cours qui nous indiquait que LACP est prvu pour la rpartition de charges mais que diffrentes mthodes dallocation de la bande passante existent. On peut donc intervenir avec cette commande (globalement pour le switch et non agrgat par agrgat):
2960_0(config)#port-channel load-balance? dst-ip Dst IP Addr dst-mac Dst Mac Addr src-dst-ip Src XOR Dst IP Addr src-dst-mac Src XOR Dst Mac Addr src-ip Src IP Addr src-mac Src Mac Addr

Par dfaut, CISCO met en place la rpartition de charge par adresse MAC source.

C. Surveillance
Diffrentes commandes sont notre disposition pour surveiller la mise en uvre de LACP. Commenons par vrifier la mthode de load balancing active:
2960_0#sh etherchannel load-balance EtherChannel Load-Balancing Operational State (src-mac): Non-IP: Source MAC address IPv4: Source MAC address IPv6: Source MAC address

Atelier 1

OSI 2 et Packet Tracer Page 3

Vrifions ensuite la constitution de nos agrgats avec diffrentes vues:

2960_0#sh etherchannel Channel-group listing: ---------------------Group: 1 ---------Group state = L2 Ports: 2 Maxports = 16 Port-channels: 1 Max Port-channels = 16 Protocol: LACP Group: 2 ---------Group state = L2 Ports: 2 Maxports = 16 Port-channels: 1 Max Port-channels = 16 Protocol: LACP

8 2954 TP PA 00

Ceci nous apprend que notre 2960_0 dispose de deux agrgats de niveau OSI 2 (L2) disposant de deux ports (sur 16 possibles). Essayons cette commande:
2960_0#sh Flags: D I H R U u w d etherchannel summary - down P - in port-channel - stand-alone s - suspended - Hot-standby (LACP only) - Layer3 S - Layer2 - in use f - failed to allocate aggregator - unsuitable for bundling - waiting to be aggregated - default port

Number of channel-groups in use: 2 Number of aggregators: 2 Group Port-channel Protocol Ports ------+-------------+-----------+-------------------------------------1 2 Po1(SU) Po2(SU) LACP LACP Fa0/1(P) Fa0/2(P) Fa0/3(P) Fa0/4(P)

Atelier 1

Ceci nous donne des dtails sur la composition et ltat de chaque agrgat. Chaque agrgat est dans ltat SU (S pour Layer2 et U pour in use). Chaque agrgat est compos de deux interfaces qui sont dans ltat P pour in port-channel. On peut avoir un tat encore plus dtaill:
#sh etherchannel port-channel Channel-group listing: ---------------------Group: 1 ---------Port-channels in the group: --------------------------Port-channel: Po1 -----------(Primary Aggregator)

OSI 2 et Packet Tracer Page 4

Age of the Port-channel = 00d:01h:41m:36s Logical slot/port = 2/1 Number of ports = 2 GC = 0x00000000 HotStandBy port = null Port state = Port-channel Protocol = LACP Port Security = Disabled Ports in the Port-channel:

8 2954 TP PA 00

Index Load Port EC state No of bits ------+------+------+------------------+----------0 00 Fa0/1 Passive 0 0 00 Fa0/2 Passive 0 Time since last port bundled: 00d:01h:41m:36s Fa0/2 Group: 2 ---------Port-channels in the group: --------------------------Port-channel: Po2 -----------(Primary Aggregator)

Age of the Port-channel = 00d:01h:41m:36s Logical slot/port = 2/2 Number of ports = 2 GC = 0x00000000 HotStandBy port = null Port state = Port-channel Protocol = LACP Port Security = Disabled Ports in the Port-channel: Index Load Port EC state No of bits ------+------+------+------------------+----------0 00 Fa0/3 Passive 0 0 00 Fa0/4 Passive 0 Time since last port bundled: 00d:01h:41m:36s Fa0/4

Atelier 1

OSI 2 et Packet Tracer Page 5

On peut ici vrifier ltat en mode passif ou actif ainsi que la charge de chaque interface.

D. Connexion des PC
Les PC sont relis aux ports Fa0/5 et Fa0/6 de leur switch respectif. Le plan dadressage IP est le suivant:
PC0 PC1 PC2 PC3 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4

Vrifiez que n'importe quel PC peut envoyer des ping n'importe quel autre.

Exercice 4
Comment est-ce possible que cela fonctionne alors que le rseau prsente une boucle et que Ethernet n'aime pas du tout ? Pourquoi nos trames ne rentrent-elles pas dans une course folle passant de switch en switch? Vous pouvez suivre le fonctionnement en dtail de Etherchannel avec les commandes ci-dessous: http://www.dummies.com/how-to/content/debugging-etherchannel.html

8 2954 TP PA 00

Avant de poursuivre, je vous conseille d'enregistrer vos configurations qui sont pour l'instant en RAM dans le fichier de dmarrage de chaque appareil avec la commande IOS: write mem. Enregistrez galement le fichier Packet Tracer.

2.

Spanning tree

Comme nous lavions dj dit dans le cours de premire anne, les switchs CISCO activent par dfaut lalgorithme du Spanning tree ce qui empche les boucles rseau. Vous avez probablement remarqu sur votre rseau que pour un switch (ce nest pas forcment le mme pour tout le monde du fait de la mthode de calcul utilis par STP) un groupe dinterfaces est inactif. Chez moi cest sur le 3560_1, les LEDs sont oranges, ce qui fait que les trames entre PC0 et PC3 passent par le 3560_0. Sur la figure ci-dessous, on peut dire que mes paquets passent par le lien not 2, le lien not 1 tant dsactiv:

Atelier 1

OSI 2 et Packet Tracer

Passez en mode simulation et vrifiez par quel chemin passent les pings.
Page 6

Observons ltat du Spanning tree sur lun de nos switchs:

2960_1#sh span VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0001.42B1.812C Cost 18 Port 27(Port-channel 1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address Hello Time Aging Time Interface ---------------Fa0/6 Fa0/5 Po2 Po1 Role ---Desg Desg Altn Root 32769 (priority 32768 sys-id-ext 1) 0060.2F1E.4C7E 2 sec Max Age 20 sec Forward Delay 15 sec 20 Sts --FWD FWD BLK FWD Cost --------19 19 9 9 Prio.Nbr -------128.6 128.5 128.28 128.27 Type --------------------P2p P2p P2p P2p

8 2954 TP PA 00

Le tableau la fin est trs important, il nous indique ltat de chaque lien actif du switch. On constate que les deux agrgats sont bien prsents. Conformment ce que lon disait auparavant, chez moi, lagrgat Po2 est bloqu (indicateur BLK) et reprsente un lien alternatif qui pourra servir en cas de ppin (indicateur Altn). Les autres sont actifs et peuvent faire passer des trames (FWD pour Forward). On remarque aussi 2 colonnes qui reprsentent le cot dune interface et sa priorit. Le cot est fonction du dbit (plus le dbit est lev, plus le cot est faible). Lorsque 2 liens sont en concurrence, STP favorisera le lien avec le cot le plus faible. Si les cots sont identiques, il utilisera la priorit. Le cot est modifiable sur de vrais switchs (voir introduction de ce TP;-). On peut donc jouer sur ces paramtres pour favoriser un lien plutt quun autre (voir par exemple: http://astorinonetworks.com/2011/06/30/spanningtree-port-priority/ ) Un switch a t lu racine du rseau. On le voit avec la commande prcdente (paragraphe Root ID). Un rapide examen montre quil sagit chez moi de ladresse MAC du switch 2960_0. On peut changer cela et faire devenir racine un autre switch. Par exemple, je souhaite que ce soit le 3560_0, car celui-ci est plus puissant (le STP peut consommer pas mal de ressources sur des rseaux importants). Sur ce switch saisir la commande suivante:
3560_0(config)#spanning-tree vlan 1 root primary

Cette commande doit nous rappeler que les VLANs sont implments par dfaut sur les switch CISCO, et comme chaque VLAN est un rseau, il y a autant de Spanning tree que de rseau. Tiens, tiens, bonne transition avec la suite de cet atelier;-) Lorsque la commande prcdente a t saisie, un recalcul du Spanning tree est dclench. Au bout de quelques dizaines de secondes, un nouvel tat est disponible. Vous constaterez que cest un autre lien qui est devenu bloqu. Vrifiez que toutes les machines sont toujours joignables par ping. ventuellement, passez en mode simulation pour confirmer le cheminement des trames. Pour conclure, disons que dans des rseaux complexes, il peut tre ncessaire de suivre de faon dtaille le fonctionnement du Spanning tree: http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080136673. shtml
Atelier 1

OSI 2 et Packet Tracer Page 7

8 2954 TP PA 00

3.

VLANs et routage inter-VLAN

A. Mise en place des VLANs

Nous allons maintenant coller sur cette architecture nos VLANs chris. Larchitecture souhaite est la suivante:
VLAN100 VLAN200 PC0, PC2 PC1, PC3

Exercice 5
H, h. Maintenant, c'est vous qui allez travailler puisque nous avons dj trait les VLANs dans les prcdents modules. Vous tes sens tre autonome sur la question. Dans mon immense bont, voici quelques petits conseils: les VLANs sont bass sur les ports et sont donc affecter sur les ports des switchs proximit des PC; les liens inter-switch seront en mode trunk afin que les trames soient tiquetes avec le numro de VLAN (tag 802.1Q); ne vous laissez pas impressionner ou perturber par la prsence des ports agrgs. Le trunk est dclarer sur l'interface port-channel (comme une interface rseau normale); important: les switchs de la couche distribution (les 3560) doivent connatre les ids de VLAN 100 et 200 dans leur base de donnes de VLAN. vous de jouer!

Atelier 1

OSI 2 et Packet Tracer Page 8

B. Routage inter-VLAN
Maintenant que vous avez tout bien valid, nous allons mettre en place le routage inter-VLAN afin que les machines situes dans diffrents VLANs puissent tout de mme communiquer. Le plan dadressage devra tre le suivant:
PC PC0 PC1 PC2 PC3 Adresse 192.168.100.1 192.168.200.1 192.168.100.2 192.168.200.2 Passerelle 192.168.100.254 192.168.200.254 192.168.100.254 192.168.200.254

Je vous laisse le soin de configurer cela sur les postes de travail. Sur les 3560, il faudra crer 2 interfaces rseau, une par VLAN afin de disposer d'une passerelle de sortie pour les PC:
3560_0(config)#int vlan 100 %LINK-5-CHANGED: Interface Vlan100, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up 3560_0(config-if)#ip address 192.168.100.254 255.255.255.0

8 2954 TP PA 00

3560_0(config-if)#exit 3560_0(config)#int vlan 200 3560_0(config-if)# %LINK-5-CHANGED: Interface Vlan200, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up 3560_0(config-if)#ip address 192.168.200.254 255.255.255.0 3560_0(config-if)#exit

Important, il ne faut pas oublier dactiver le routage sur notre switch de niveau 3:
3560_0(config)#ip routing

Maintenant toutes les machines doivent pouvoir senvoyer des pings mme si elles ne sont pas dans le mme sous-rseau IP. Derniers tests, nous avons conu cette architecture comme redondante au niveau distribution. Si lon supprime un des deux switches 3560, cela devrait fonctionner... jai bien dit devrait:-) 1. Enregistrez votre fichier Packet Tracer 2. Dans un interprteur de commandes sur PC0, affichez le cache arp, observez ladresse MAC de la passerelle, dterminez sil sagit de 3560_0 ou de 3560_1 3. Supprimez purement et simplement ce 3560 4. Depuis PC0 vous devez pouvoir joindre lautre machine de son rseau IP (PC2) 5. Par contre PC0 ne peut pas joindre PC3.

Atelier 1

Exercice 6
Sauriez-vous dire pourquoi PC0 peut joindre PC2 mais pas PC3 ? Que faire pour remdier cela?

OSI 2 et Packet Tracer Page 9

8 2954 TP PA 00