Vous êtes sur la page 1sur 263

1

Interconnexion de nos vies : L’impact des réseaux dans la vie quotidienne

 Les réseaux facilitent l'apprentissage


 Les réseaux facilitent la communication
 Les réseaux facilitent notre travail
 Les réseaux facilitent le divertissement

Peer-to-Peer (P2P)

Les réseaux locaux, les réseaux étendus et Internet


Composants d'un réseau

Les composants d'un réseau se classent en trois catégories :


 Les périphériques
 Les supports de transmission
 Les services

2
Les périphériques finaux

Voici quelques exemples de périphériques finaux :


 Ordinateurs (stations de travail, ordinateurs portables, serveurs de fichiers, serveurs
Web)
 Imprimantes réseau
 Téléphones VoIP
 Caméras de surveillance
 Appareils portatifs (smartphones, tablettes, PDA, lecteurs de carte sans fil et lecteurs
de codes à barres)

Équipements de l'infrastructure réseau

Parmi ces périphériques réseau intermédiaires, citons :

 Les périphériques d'accès réseau (commutateurs et points d'accès sans fil)


 Les périphériques interréseau (routeurs)
Les dispositifs de sécurité (pare-feu

Supports de transmission

Représentations graphiques des réseaux

3
Schémas de topologie

Types de réseau

Les deux types d'infrastructures réseau les plus répandus sont :

 Le réseau étendu (WAN)

Autres types de réseau :

 Le réseau métropolitain (MAN)

4
 Le réseau local sans fil (WLAN)
 Le réseau de stockage (SAN)
 Le réseau local (LAN)

Les réseaux LAN :

O Couvrent une région géographique limitée


O Permettent un accès multiple aux médias à large bande
O Ils assurent une connectivité continue aux services locaux (Internet, messagerie, …)
Exemple : Une salle de classe

Les réseaux WAN :

Couvrent une vaste zone géographique


O Permettent l’accès par des interfaces séries plus lentes
O Assurent une connectivité pouvant être continue ou intermittente
Exemple : Internet

5
Intranet et Extranet

Connexion à Internet
Connexion a des utilisateurs distants à Internet

Réseau fiable

Alors que les réseaux évoluent, nous découvrons que les architectures sous-jacentes doivent prendre
en considération quatre caractéristiques de base si elles veulent répondre aux attentes des utilisateurs :
 Tolérance aux pannes
 Évolutivité
 Qualité de service (QS)
 Sécurité

Tolérance aux pannes dans les réseaux à commutation de circuits

Qualité de service (QS)

Dans une entreprise, il faut établir des priorités. Par exemple :

 Les communications pour lesquelles la vitesse est importante (augmenter la priorité des
services tels que la téléphonie ou la distribution vidéo)
 Les communications pour lesquelles la vitesse n'est pas importante (réduire la priorité du
téléchargement des pages Web ou des e-mails)
 Les communications revêtant une grande importance pour l'entreprise (augmenter la priorité
des données de contrôle de la production ou de transactions commerciales)
 Les communications indésirables telles que le partage de fichiers en peer-to-peer ou la
transmission multimédia en continu : réduire leur priorité ou bloquer les activités indésirables

Sécurité du réseau

6
Tendances relatives aux réseaux
Nouvelles tendances

Les plus répandues incluent :

 La collaboration en ligne
 Les vidéos
 Le cloud computing

Collaboration en ligne

Cloud computing

Il existe quatre types principaux de cloud :

 Clouds publics
 Clouds privés
 Clouds personnalisés
 Clouds hybrides

Data centers

Un data center héberge des systèmes informatiques et les composants associés :


 Connexions de communication de données redondantes
 Serveurs virtuels haut débit (parfois appelés batteries de serveurs ou clusters de serveurs)
 Systèmes de stockage redondants (généralement, technologie SAN)
 Alimentations redondantes ou de secours
 Systèmes de contrôle de l'environnement (par exemple, climatisation, système d'extinction des
incendies)
 Dispositifs de sécurité

7
Menaces pour la sécurité

Les menaces externes les plus courantes pour les réseaux sont les suivantes :
 Virus, vers et chevaux de Troie
 Logiciels espions et logiciels publicitaires
 Piratage informatique
 Attaques par déni de service
 Interception et vol de données
 Usurpation d'identité

Solutions de sécurité

La sécurité du réseau repose souvent sur les éléments suivants :

 Antivirus et logiciel anti-espion


 Filtrage au niveau du pare-feu
 Systèmes de pare-feu dédiés
 Listes de contrôle d'accès (ACL)
 Systèmes de protection contre les intrusions
 VPN

Résumé :

Dans ce chapitre, vous avez appris les notions suivantes :


 Les réseaux et Internet ont modifié notre façon de communiquer, d'apprendre, de travailler et
de nous divertir.
 Les réseaux peuvent être de différentes tailles. Cela va des réseaux de base, constitués de deux
ordinateurs, aux réseaux les plus complexes capables de connecter des millions de
périphériques.
 Internet est le plus grand réseau existant. En réalité, Internet est un « réseau de réseaux ».
Internet fournit des services qui nous permettent de communiquer avec la famille, les amis et
les collègues.
 L'infrastructure réseau est la plate-forme qui prend en charge le réseau. Elle fournit le canal
stable et fiable à travers lequel nos communications peuvent s'établir. Ce dernier est constitué
de composants réseau tels que les périphériques finaux, les équipements intermédiaires et les
supports de transmission.
 Les réseaux doivent être fiables.
La sécurité du réseau est une partie intégrante des réseaux informatiques, qu'il s'agisse d'un simple
environnement domestique avec une seule connexion à Internet ou d'une entreprise avec des milliers
d'utilisateurs

8
Principes fondamentaux de la couche physique

La bande passante numérique et le débit

La bande passante :
La bande passante d’un réseau représente sa capacité, c'est-à-dire la quantité de données pouvant
circuler en une période donnée. Celle-ci se mesure en bits par seconde. Du fait de la capacité des
supports réseau actuels, les différentes conventions suivantes sont utilisées :

9
Le débit :
Le débit est la bande passante réelle, mesurée à un instant précis de la journée. Ce débit est souvent
inférieur à la bande passante ; cette dernière représentant le débit maximal du média ; en raison :
O du type de données transmises
O de la topologie du réseau
O du nombre d’utilisateur
O de l’ordinateur de l’utilisateur et du serveur
O des coupures d’électricité et autres pannes

De ce fait, le temps de téléchargement d’un fichier peut se mesurer de la manière suivante :


Temps de téléchargement (seconde) = Taille du fichier (bit) / débit (bit/seconde)

Principes fondamentaux de la couche 1


Types de supports physiques

Câblage en cuivre

10
Câble à paires torsadées non blindées (UTP)

Câble à paires torsadées blindées (STP)

Câble coaxial

Consignes de sécurité pour les supports en cuivre

11
Propriétés du câblage UTP

Normes de câblage UTP

Connecteurs UTP

Types de câble UTP

12
Test des câbles UTP

Le câble UTP est composé de 4 paires de fils torsadées 2 à 2, chacune de ses paires étant isolé des
autres.
Ce câble à paires torsadées a pour but de limiter la dégradation du signal causée par une
perturbation électromagnétique et une interférence radioélectrique.

Avantages

O Simple à installer
O Peu coûteux
O Petit diamètre (pour installation dans des conduits existants)

Inconvénient :

O Sensible aux interférences

Câblage en fibre optique


Fibre ou cuivre

13
Sans fil
Types de transmissions sans fil

LAN sans fil

Normes Wi-Fi 802.11

14
Le modèle OSI décrit le processus de codage, de mise en forme, de segmentation et d'encapsulation
de données pour la transmission sur le réseau.
La suite de protocoles TCP/IP est un protocole standard ouvert qui a été approuvé par le secteur des
réseaux et ratifié, ou approuvé, par un organisme de normalisation.
Le but de ce modèle est d’analyser la communication en découpant les différentes étapes en
7 couches ; chacune de ces couches remplissant une tache bien spécifique :

Quelles sont les informations qui circulent ?


Sous quelle forme circulent-elles ?
Quel chemin empruntent-elles ?
Quelles règles s’appliquent aux flux d’informations ?

Les avantages de ce modèle sont :

Une division de la communication réseau en éléments plus petits et plus simple


pour une meilleure compréhension
L’uniformisation des éléments afin de permettre le développement multi
constructeur
La possibilité de modifier un aspect de la communication réseau sans modifier le
reste (Exemple : un nouveau média

L'encapsulation

Pour communiquer entre les couches et entre les hôtes d’un réseau, OSI a recourt au principe
d’encapsulation.

Encapsulation : processus de conditionnement des données consistant à ajouter un en tête de


protocole déterminé avant que les données ne soient transmises à la couche inférieure :

15
Lorsque 2 hôtes communiquent, on parle de communication d’égal à égal ; c'est-à-dire que la
couche n de la source communique avec la couche n du destinataire.

Lorsqu’une couche de la source reçoit des données, elle encapsule ces dernières avec ses
informations puis les passe à la couche inférieure. Le mécanisme inverse a lieu au niveau du
destinataire ou une couche réceptionne les données de la couche inférieure ; enlève les
informations la concernant ; puis transmet les informations restantes à la couche supérieure.
Les données transitant à la couche n de la source sont donc les mêmes que les données
transitant à la couche n du destinataire

Pour identifier les données lors de leur passage au travers d’une couche, l’appellation « Unité
de données de protocole (PDU) » est utilisé

16
Couche Désignation
7
6 Données
5
4 Segment
3 Paquets
2 Trame
1 Bits

Les PDU des différentes couches

LE MODÈLE TCP/IP

TCP/IP est un modèle comprenant 4 couches :

Couche Nom Description


4 Application Couches 7 à 5 du modèle OSI
3 Transport Qualité de transmission
2 Internet Sélection du chemin
1 Accès au Reprend les couches 1 et 2 du
réseau modèle OSI

Protocole orienté/non orienté connexion : TCP ET UDP

Protocole : Ensemble formel de règles et de conventions qui régit l’échange d’informations


entre des unités en réseau

TCP est un protocole orienté connexion, c'est-à-dire qu’il associe au transport des informations, la
notion de qualité en offrant les services suivants :

fiabilité
division des messages sortants en segments
ré assemblage des messages au niveau du destinataire
ré envoi de toute donnée non reçue

UDP est lui un protocole non orienté connexion, c'est-à-dire qu’il n’offre pas de fonction de
contrôle du bon acheminement :

aucune vérification logicielle de la livraison des messages


pas de réassemblage des messages entrants
pas d‘accusé de réception
aucun contrôle de flux
Cependant, UDP offre l’avantage de nécessiter moins de bande passante que TCP. Il peut
donc être intéressant d’utiliser ce protocole pour l’envoi de messages ne nécessitant pas de
contrôle de qualité

Comparaison entre OSI et TCP/IP

Ces deux modèles sont très similaires, dans la mesure où les 2 sont des modèles de
communication à couche et utilisent l’encapsulation de données.

On remarque cependant deux différences majeures :

17
TCP/IP regroupe certaines couches du modèle OSI dans des couches plus général
TCP/IP est plus qu’un modèle de conception théorique, c’est sur lui que repose le
réseau Internet actuel

Modèle OSI Modèle TCP/IP

Couche Désignation Couche Désignation


Application
Couche
Présentation Application
Applications Protocoles
Session
Transport Transport
Réseau Internet
Couches flux de
Liaison de
données Réseaux
données Accès Réseau
Physique

Les modèles OSI et TCP/IP

Couches presentation et session

La couche présentation remplit trois fonctions principales :


• Codage et conversion des données de la couche application
• Compression des données
• Chiffrement des données pour la transmission et déchiffrement de celles reçues par le
périphérique de destination.
La couche session :
• Crée et gère les communications entre les applications source et de destination
• Gère l'échange d'informations pour entamer les dialogues et les maintenir actifs, et
redémarrer les sessions

Protocoles de couche application TCP/IP

DNS (Domain Name Service) : utilisé pour traduire les adresses Internet en adresses IP
Telnet : protocole d'émulation de terminal utilisé pour fournir l'accès distant aux serveurs et
aux périphériques réseau
BOOTP (Bootstrap) : précurseur du protocole DHCP utilisé pour obtenir des informations
d'adresse IP pendant le démarrage
DHCP (Dynamic Host control protocol) : utilisé pour attribuer une adresse IP, un masque
de sous-réseau, une passerelle par défaut et un serveur DNS à un hôte
HTTP (Hypertext Transfer Protocol) : utilisé pour transférer les fichiers qui constituent les
pages du Web

FTP (File Transfer Protocol) : utilisé pour le transfert interactif de fichiers entre les
systèmes
TFTP (Trivial File Transfer Protocol) : utilisé pour le transfert de fichiers simple et sans
connexion
SMTP (Simple Mail Transfer Protocol) : utilisé pour transférer les e-mails et les pièces
jointes
POP (Post Office Protocol) : utilisé par les clients de messagerie pour récupérer des e-mails
sur un serveur de messagerie
IMAP (Internet Message Access Protocol) : un autre protocole pour la récupération des e-
mails

18
Interaction des protocoles d'application avec les applications des utilisateurs finaux
Réseaux peer-to-peer (P2P)

Applications P2P courantes


 Avec les applications P2P, chaque ordinateur du réseau exécutant l'application peut
faire office de client ou de serveur pour les autres ordinateurs du réseau qui l'utilisent
aussi
 Voici quelques applications P2P courantes :
• eDonkey
• eMule
• Shareaza
• BitTorrent
• Bitcoin
• LionShare

Interaction des protocoles application avec les utilisateurs finaux


Modèle client-serveur

19
Modèle serveur- client

Protocoles de couche application courants

 HTTP (HyperText Transfer Protocol)


• Navigation sur le Web
 SMTP (Simple Mail Transfer Protocol)
• Permet aux utilisateurs d'envoyer des e-mails
• Transfert du courrier
• Le message doit avoir le format correct
• Les processus SMTP doivent être exécutés à la fois sur le client et sur le serveur
• L'en-tête de message doit comporter une adresse e-mail du destinataire au format
correct et un expéditeur
• Utilise le port 25

 POP (Post Office Protocol)


• Permet aux utilisateurs de recevoir des e-mails
• Permet à une station de travail de récupérer le courrier depuis un serveur de
messagerie
• Le courrier est téléchargé depuis le serveur vers le client, puis supprimé du serveur
• Utilise le port 110
• POP ne stocke pas les messages

IMAP (Internet Message Access Protocol)


• Autre protocole qui permet de récupérer des messages électroniques
• Contrairement au protocole POP, lorsque l'utilisateur se connecte à un serveur IMAP, ce sont
des copies des messages qui sont envoyées à l'application cliente
• Les messages originaux sont conservés sur le serveur jusqu'à ce qu'ils soient supprimés
manuellement
• Le protocole POP3 convient à un FAI puisqu'il lui évite d'avoir à gérer de grandes quantités de
stockage sur ses serveurs de messagerie

Fournir des services d'adressage IP: DNS (domain name service)

Un nom compréhensible par l'utilisateur est converti par le protocole DNS pour devenir son
adresse de périphérique réseau numérique

20
Un nom compréhensible par l'utilisateur est converti par le protocole DNS pour devenir son adresse de
périphérique réseau numérique

Hiérarchie DNS

Exemples de domaines de premier niveau :


.au : Australie
.co : Colombie
.com : entreprise ou industrie
.jp : Japon
.org : organisme à but non lucratif

21
Nslookup
• nslookup est un utilitaire du système d'exploitation qui permet à l'utilisateur d'interroger
manuellement les serveurs de noms pour résoudre un nom d'hôte donné
• Cet utilitaire permet de résoudre les problèmes de résolution des noms et de vérifier l'état
actuel des serveurs de noms

La couche application
Résumé
 Les applications sont des programmes informatiques avec lesquels les utilisateurs interagissent
et qui lancent le processus de transfert de données à la demande des utilisateurs.
 Les services sont des programmes s'exécutant en tâche de fond qui assurent la connexion entre
la couche application et les couches inférieures du modèle de réseau.
 Les protocoles fournissent une structure de règles et de processus convenus grâce auxquels les
services s'exécutant sur un périphérique particulier peuvent envoyer et recevoir des données de
divers périphériques réseau.

 Le protocole HTTP prend en charge l'envoi de pages Web vers les périphériques finaux
 Les protocoles SMTP, POP et IMAP prennent en charge l'envoi et la réception des e-mails
 Les protocoles SMB et FTP permettent aux utilisateurs de partager des fichiers
 Les applications P2P simplifient le partage de contenus multimédias pour les clients
 Le DNS convertit en adresses numériques utilisables par le réseau les noms humainement
compréhensibles et utilisés pour faire référence aux ressources réseau
 Tous ces éléments collaborent au niveau de la couche application
 La couche application permet aux utilisateurs de travailler et de jouer sur Internet

ROLE DES COUCHES : SUITE

L1 : LA COUCHE PHYSIQUE
 Chargée de la transmission effective sur le support

22
L2 : LA COUCHE LIAISON DE DONNÉES
 Gère la communication entre 2 nœuds directement connectés par un support
physique
 Cette couche gère également le contrôle d’erreurs

Exemple de protocoles travaillant sur la couche 2 : Ethernet, ATM, 802.11n (Wifi), PPP
Exemple d’équipement travaillant sur la couche 2 : Commutateur Ethernet (Switch)

L3:LA COUCHE RÉSEAU

 Adressage des périphériques finaux


 Encapsulation
 Routage
 Désencapsulation

Les protocoles de couche réseau courants

 Le protocole IP version 4 (IPv4)


 Le protocole IP version 6 (IPv6)

Caractéristiques du protocole IP

IP – Sans connexion

IP – Acheminement au mieux

23
L4 : LA COUCHE TRANSPORT

 Le rôle de la couche transport est d'établir une session de communication


temporaire entre deux applications pour acheminer les données entre elles.

TCP/IP utilise deux protocoles pour cela :

 TCP (Transmission Control Protocol)


 UDP (User Datagram Protocol)

Fonctions principales des protocoles de la couche transport :

 Suivre les communications individuelles entre les applications résidant sur les hôtes
source et de destination
 Segmenter les données pour faciliter la gestion et réassembler les données
segmentées en flux de données d'application vers la destination
 Identifier l'application appropriée pour chaque flux de communication

Transport des données : Fiabilité de la couche transport

Toutes les applications n'ont pas besoin du même degré de fiabilité.


TCP/IP fournit deux protocoles de la couche transport, TCP et UDP.

Transmission Control Protocol (TCP)


 Assure un acheminement fiable – Toutes les données arrivent à destination
 Utilise les accusés de réception et d'autres mécanismes pour garantir la transmission
 Sollicite davantage le réseau, et le surcharge plus

User Datagram Protocol (UDP)

 Fournit juste les fonctions de base pour la transmission, sans aucune garantie
 Moins de surcharge

TCP ou UDP
 Compromis entre l'importance accordée à la fiabilité et la charge imposée au réseau
 Les développeurs d'applications choisissent le protocole de transport en fonction des besoins

Initiation aux protocoles TCP et UDP

Présentation du protocole TCP (Transmission Control Protocol)

 RFC 793
 Orienté connexion : création d'une session entre la source et la destination
 Acheminement fiable : retransmission des données perdues ou endommagées
 Reconstitution ordonnée des données : numérotation et séquencement des segments
 Contrôle de flux : régulation de la quantité de données transmises
 Protocole avec état : garde une trace de la session

Présentation du protocole UDP (User Datagram Protocol)

 RFC 768
 Sans négociation préalable
 Sans garantie de remise
 Sans reconstitution ordonnée des données
 Sans contrôle de flux
 Protocole sans état

Applications utilisant UDP :

24
 Système de noms de domaine (DNS)
 Lecture vidéo en continu
 Voix sur IP (VoIP)

Séparation des communications multiples

Les numéros de port sont utilisés par les protocoles TCP et UDP pour différencier les applications

Adressage de ports TCP et UDP

25
Netstat
 Permet d'examiner les connexions TCP qui sont ouvertes et actives sur un hôte connecté
au réseau

Établissement et fermeture d'une connexion TCP

Connexion en trois étapes

 Vérifie que le périphérique de destination est bien présent sur le réseau


 S'assure que le périphérique de destination a un service actif et qu'il accepte les requêtes sur le
numéro de port de destination que le client qui démarre la session a l'intention d'utiliser
 Informe le périphérique de destination que le client source souhaite établir une session de
communication sur ce numéro de port

Fiabilité du protocole TCP

 Livraison ordonnée
 Numéros d'ordre utilisés pour remettre les segments dans l'ordre d'origine
 Accusé de réception et taille de fenêtre

Taille de fenêtre : la quantité de données qu'une source peut transmettre avant qu'un accusé de
réception doive être reçu.

Faible surcharge et fiabilité du protocole UDP

UDP
 Protocole simple offrant les fonctions de base de la couche transport
 Utilisé par les applications qui peuvent tolérer des pertes de données mineures
 Utilisé par les applications pour lesquelles les retards ne sont pas tolérables
Utilisé par
Système de noms de domaine (DNS)
Protocole SNMP (Simple Network Management Protocol)
Protocole DHCP (Dynamic Host Configuration Protocol)
Protocole TFTP (Trivial File Transfer Protocol)
Téléphonie IP ou voix sur IP (VoIP)
Jeux en ligne

Processus serveur et client UDP

 Les applications serveur basées sur le protocole UDP se voient attribuer des numéros de port
réservés ou enregistrés.
 Le processus client UDP sélectionne aléatoirement le numéro de port dans la plage dynamique
de numéros de ports qu'il utilise comme port source.

26
Applications utilisant le protocole TCP

Applications utilisant le protocole UDP

Résumé
 La couche transport assure trois fonctions essentielles : le multiplexage, la segmentation et
la reconstitution, et le contrôle des erreurs.
 Celles-ci sont indispensables pour assurer la qualité de service et la sécurité sur les réseaux.
 Il faut savoir comment les protocoles TCP et UDP fonctionnent et quelles applications
courantes utilisent chacun d'eux pour garantir la qualité de service et créer des réseaux plus
fiables.
 Les ports fournissent un « tunnel » qu'empruntent les données pour passer de la couche
transport à l'application appropriée au niveau de la destination.

L5 : LA COUCHE SESSION

Elle est chargée de l’ouverture, du maintien et de la fermeture d’une session entre processus

Elle est donc fortement liée aux notions suivantes


 Authentification :

Exemple : Ouverture de session avec login/mot de passe

 Permissions :

Exemple : Droits accordés à l’utilisateur pendant la session

 Restauration de session :

27
Exemple : L’utilisateur retrouve ses droits si la connexion est interrompue

Elle assure aussi la communication multipoint

Typiquement : Visioconférence, téléphonie

Exemple de protocoles:SSH, SIP, L2TP, PPTP

L6 : LA COUCHE PRÉSENTATION

Chargée du codage des données applicatives


Les couches 1 à 5 ne se préoccupent pas de la signification des octets qu’elles
transportent

La couche 6 prépare ces données pour la couche applicative

Exemple : Encodage de caractères (UTF8, ISO ...)

Chargée aussi de la sérialisation de structures complexes sous forme d’une suite


d’octets

Exemple : XML

A l’occasion, L6 peut aussi réaliser du cryptage


Exemple de protocoles : ASCII, Unicode, MIME, HTML

L7 : LA COUCHE APPLICATION

L7 est considérée comme le point d’accès réseau de toute application


Le modèle OSI n’a pas pour rôle de spécifier de règles à ce niveau

Quelques exemples de protocoles :

DNS : Domain Name System


DHCP : Dynamic Host configuration Protocol
HTTP : HyperText Transfer Protocol
IMAP : Internet Message Access Protocol
RTP : Realtime Transfer Pr

28
Notions de base sur le codage de signaux réseau.

Tout d'abord, une liaison entre 2 équipements A et B peut être :

O Simple (unidirectionnelle) : A est toujours l'émetteur et B le récepteur. C'est ce que l'on


trouve par exemple entre un banc de mesure et un ordinateur recueillant les données
mesurées.
O Half-duplex (bidirectionnelle à l'alternat) : Le rôle de A et B peut changer, la
communication change de sens à tour de rôle (principe talkies-walkies).
O Full-duplex (bidirectionnelle simultanée) : A et B peuvent émettre et recevoir en même
temps (comme dans le cas du téléphone).

Topologies de réseau étendu (WAN)

Topologies de réseau local (LAN)

Topologies de réseau local (LAN) : Accès avec gestion des conflits

29
Topologies de réseau local (LAN) : Topologie d'accès multiple

Topologies de réseau local (LAN) : Topologie en anneau

Protocole Ethernet : Les sous-couches LLC et MAC

LLC
• Gère la communication entre la couche supérieure et la couche inférieure
• Prend les données du protocole réseau et ajoute des informations de contrôle pour
faciliter la remise du paquet à sa destination
MAC
• Constitue la sous-couche inférieure de la couche liaison de données
• Implémentée par le matériel, généralement dans la carte réseau de l'ordinateur
Deux rôles essentiels :

30
• Encapsulation des données
• Contrôle d'accès au support

La sous-couche MAC

Encapsulation des données

• Assemblage des trames avant la transmission et désassemblage des trames à leur


réception
• La couche MAC ajoute un en-tête et un code de fin (traiter) à l'unité de données de
protocole de la couche réseau (PDU)

Trois fonctions principales :

• Délimitation des trames : identification d'un groupe de bits formant une trame,
synchronisation entre les nœuds de transmission et les nœuds de réception
• Adressage : chaque en-tête Ethernet ajouté à la trame contient l'adresse physique
(MAC) qui permet de remettre celle-ci au nœud de destination
• Détection des erreurs : chaque trame Ethernet contient un code de fin (traiter)
avec un contrôle par redondance cyclique (CRC, Cyclic Redundancy Check) du
contenu des trames

Contrôle d'accès au support


Communique directement avec la couche physique
Si plusieurs périphériques utilisant le même support tentent d'envoyer des données en
même temps, cela provoque une collision néfaste pour ces dernières
Ethernet fournit une méthode pour contrôler comment les nœuds se partagent l'accès
grâce à la technologie d'accès multiple avec écoute de porteuse (CSMA, Carrier Sense
Multiple Access)

Accès multiple avec écoute de porteuse (CSMA)

• Méthode utilisée au début pour déceler si le support transporte un signal


• Si aucune porteuse n'est détectée, le périphérique envoie ses données
• Si deux périphériques transmettent en même temps, il y a collision de données

Le fonctionnement d'Ethernet : Le contrôle d'accès au support

31
Les deux méthodes couramment utilisées sont les suivantes :

CSMA/CD (CSMA/Collision Détection)

• Le périphérique observe le support en cherchant à détecter un signal de données


• En l'absence de signal de données, ce qui signifie que le support est libre, le périphérique
transmet ses données
• Si des signaux sont détectés, ce qui indique qu'un autre périphérique était aussi en train de
transmettre des données, tous les équipements cessent leurs transmissions et réessayent
ultérieurement
• Les réseaux Ethernet sont conçus avec la technologie CSMA/CD, et avec les périphériques
intermédiaires actuels, il n'y a pas de collisions et les processus utilisés par CSMA/CD sont
véritablement inutiles
• Les connexions sans fil dans un environnement LAN doivent tout de même tenir compte des
collisions

Méthode d'accès au support CSMA avec évitement de collisions (CSMA/CA)

• Le périphérique inspecte le support pour y détecter la présence d'un signal de données ; s'il n'y
en pas, il envoie une notification dessus pour indiquer son intention de l'utiliser
• Le périphérique transmet alors ses données
• Cette méthode est utilisée par les technologies de réseau sans fil 802.11

Le fonctionnement d'Ethernet : Le contrôle d'accès au support

Le fonctionnement d'Ethernet. Adresse MAC : identité Ethernet

• Une adresse MAC Ethernet de couche 2 est une valeur binaire de 48 bits constituée de
12 chiffres hexadécimaux
 L'IEEE demande aux revendeurs de suivre deux règles simples :
• L'adresse doit utiliser dans ses 3 premiers octets l'identifiant unique (OUI) attribué au
revendeur
• Toutes les adresses MAC ayant le même identifiant OUI doivent utiliser une valeur
unique dans les 3 derniers

Le fonctionnement d'Ethernet : Traitement des trames

 Adresses MAC attribuées aux stations de travail, aux serveurs, aux imprimantes, aux
commutateurs et aux routeurs
 Exemples d'adresses MAC : 00-05-9A-3C-78-00, 00:05:9A:3C:78:00 ou 0005.9A3C.7800
 Message transféré à un réseau Ethernet : informations d'en-tête jointes au paquet, adresses
MAC source et de destination
 Chaque carte réseau observe ces informations pour déterminer si l'adresse MAC de destination
fournie dans la trame correspond à l'adresse MAC physique du périphérique stockée dans la
mémoire vive (RAM)
 Si elle ne correspond pas, le périphérique rejette la trame
 Si elle correspond, la carte réseau transmet la trame aux couches OSI, et la désencapsulation
est effectuée

32
Les attributs de la trame Ethernet : La taille de la trame Ethernet

 Les normes Ethernet II et IEEE 802.3 définissent une taille de trame minimale de 64 octets et
maximale de 1 518 octets
 Une trame faisant moins de 64 octets est considérée comme « fragment de collision » ou
« trame incomplète »
 Si la trame transmise est plus petite ou plus grande que les limites minimale et maximale, le
périphérique récepteur l'ignore
 Au niveau de la couche physique, les versions d'Ethernet varient dans leur manière de détecter
et de placer les données sur le support

33
Adresses MAC et IP

Adresse MAC
 Cette adresse ne change pas
 Elle est similaire au nom d'une personne
 Également appelée adresse physique, car elle est attribuée physiquement à la carte réseau de
l'hôte
Adresse IP
 Elle est similaire à l'adresse d'une personne
 Elle dépend de l'emplacement réel de l'hôte
 Également appelée adresse logique, car elle est attribuée par logiciel
 Elle est attribuée à chaque hôte par l'administrateur réseau
L'adresse MAC physique et l'adresse IP logique sont toutes deux requises pour que l'ordinateur puisse
communiquer, comme le nom et l'adresse d'une personne sont nécessaires dans la vie réelle pour
envoyer une lettre.

Le protocole ARP : Initiation au protocole ARP

Le rôle du protocole ARP

 Le nœud expéditeur a besoin d'un moyen de trouver l'adresse MAC de destination pour une
liaison Ethernet donnée

Le protocole ARP assure deux fonctions de base :

 La résolution des adresses IPv4 en adresses MAC

34
 La tenue d'une table des mappages

Le protocole ARP : Initiation au protocole ARP

Fonctions et fonctionnement du protocole ARP

Table ARP
 Sert à trouver l'adresse de la couche liaison de données qui est mappée à l'adresse IPv4 de
destination
 Quand un nœud reçoit des trames en provenance du support, il enregistre les adresses MAC
et IP source dans la table ARP sous forme de mappages
Requête ARP
 Diffusion de couche 2 vers tous les périphériques du LAN Ethernet
 Le nœud qui correspond à l'adresse IP de la diffusion répond
 Si aucun périphérique ne répond à la requête ARP, le paquet est abandonné du fait qu'il est
impossible de créer une trame

Des entrées de mappage statiques peuvent également être ajoutées dans la table ARP, ce qui est
rare.

Rôle d'ARP dans les communications à distance

 Si l'hôte IPv4 de destination se trouve sur le réseau local, la trame utilise l'adresse MAC de ce
périphérique comme adresse MAC de destination.
 Si l'hôte IPv4 de destination n'est pas sur le réseau local, l'émetteur utilise la méthode ARP
pour déterminer une adresse MAC pour l'interface du routeur qui sert de passerelle.
 Si la table ne contient pas d'entrée pour la passerelle, une requête ARP est utilisée pour
récupérer l'adresse MAC associée à l'adresse IP de l'interface du routeur.

Tables ARP sur les périphériques réseau

35
Problèmes potentiels engendrés par ARP

Limitation des problèmes engendrés par ARP

Les commutateurs LAN

La commutation : Principes fondamentaux des ports de commutateur

Les commutateurs LAN de couche 2

 Connectent les périphériques finaux à un équipement intermédiaire central sur la


plupart des réseaux Ethernet
 Effectuent la commutation et le filtrage en s'appuyant uniquement sur l'adresse MAC
 Créent une table d'adresses MAC qu'ils utilisent pour prendre les décisions relatives à
la transmission
 Dépendent des routeurs pour transmettre les données d'un sous-réseau IP à l'autre

36
Table d'adresses MAC du commutateur

1. Le commutateur reçoit une trame de diffusion du PC 1 sur le port 1.


2. Le commutateur ajoute l'adresse MAC source et le port de commutateur ayant reçu la trame
dans la table d'adresses.
3. L'adresse de destination étant une diffusion, le commutateur envoie la trame sur tous les
ports, sauf celui sur lequel il l'a reçue.
4. Le périphérique de destination réagit à la diffusion en envoyant une trame de
monodiffusion au PC 1.
5. Le commutateur enregistre l'adresse MAC source du PC 2 et le numéro de port du
commutateur ayant reçu la trame dans la table d'adresses. L'adresse de destination de la trame
et le port qui lui est associé se trouvent dans la table d'adresses MAC.
6. Le commutateur peut alors transmettre les trames entre les périphériques source et de
destination sans les diffuser partout, puisqu'il dispose des entrées qui identifient les ports
associés dans la table d’adresses.

PARAMETRES BIDIRECTIONNELS

La commutation
Auto-MDIX

37
Méthodes de transmission de trames sur les commutateurs Cisco

Deux variantes :

Commutation Fast-Forward :
• Avec le temps de latence le plus faible, transmet un paquet immédiatement après la lecture de
l'adresse de destination – commutation cut-through classique
Commutation Fragment-free :
• Le commutateur stocke les 64 premiers octets de la trame avant la transmission, la plupart des
erreurs réseau et des collisions se produisant dans ces 64 premiers octets

Mise en mémoire tampon sur les commutateurs

38
Avantages et inconvénients des configurations fixes et modulaires

Modules destinés aux slots des commutateurs Cisco

La commutation de couche 3
Commutation de couche 2 et commutation de couche 3

La commutation de couche 3 :Cisco Express Forwarding

Deux composants principaux :

 Base FIB (Forwarding Information Base)


• Conçue comme une table de routage

39
• Un périphérique réseau utilise cette table pour prendre des décisions de
commutation en fonction de la destination lors de l'utilisation de Cisco Express
Forwarding
• Actualisée lorsqu'un changement survient sur le réseau ; elle contient toutes les
routes connues

Tables de contiguïté
• Gèrent les adresses de tronçon suivant de la couche 2 pour toutes les entrées
FIB

Types d'interface de couche 3

Les principaux types d'interface de couche 3 sont les suivants :

 Interface virtuelle de commutateur (SVI) : sur un commutateur, interface logique


associée à un réseau local virtuel (VLAN).
 Port routé : sur un commutateur de couche 3, port physique configuré pour faire office
de port de routeur. Pour configurer ces ports, mettez l'interface en mode couche 3 avec
la commande de configuration no switchport.
 EtherChannel sur la couche 3 : interface logique d'un périphérique Cisco associé à un
ensemble de ports routés.

Configuration d'un port routé sur un commutateur de couche 3

Résumé
 Ethernet est la technologie LAN la plus répandue aujourd'hui.
 Les normes Ethernet définissent à la fois les protocoles de la couche 2 et les
technologies de la couche 1.
 La structure de trame Ethernet ajoute des en-têtes et des codes de fin à l'unité de
données de protocole de la couche 3 pour encapsuler le message envoyé.
 Conformément aux spécifications des normes IEEE 802.2/3, la trame Ethernet fournit
un adressage MAC et un contrôle des erreurs.

40
 Le remplacement des concentrateurs par des commutateurs sur le réseau local a permis
de réduire les risques de collision de trames dans les liaisons bidirectionnelles non
simultanées.
 L'adressage de la couche 2 fourni par Ethernet prend en charge les différents types de
communications : monodiffusion, diffusion et multidiffusion.
 Ethernet utilise le protocole ARP pour déterminer les adresses MAC de destination et
les mapper à des adresses de couche de réseau connues.
 Chaque nœud sur un réseau IP possède une adresse MAC et une adresse IP.
 Le protocole ARP résout les adresses IPv4 en adresses MAC et met à jour une table
des mappages.
Un commutateur de couche 2 génère une table d'adresses MAC qu'il utilise pour des
décisions de transmission
 Les commutateurs de couche 3 peuvent également exécuter des fonctions de routage
de la couche 3, ce qui réduit le besoin de routeurs dédiés sur un réseau local.
Les commutateurs de couche 3 disposent d'un matériel de commutation spécialisé,
aussi l'acheminement des données est généralement aussi rapide que la commutation

Transport de bout en bout


 Adressage des périphériques finaux
 Encapsulation
 Routage
 Désencapsulation

Les protocoles de couche réseau courants


 Le protocole IP version 4 (IPv4)

41
 Le protocole IP version 6 (IPv6)

Caractéristiques du protocole IP
IP – Sans connexion

IP – Acheminement au mieux

Limitations de l'IPv4
 Manque d'adresses IP
 Croissance de la table de routage Internet
 Absence de connectivité de bout en bout

Présentation de l'IPv6
 Espace d'adressage plus important
 Amélioration du traitement des paquets
 Élimination du besoin d'adresses réseau (NAT)
 Sécurité intégrée
 4 milliards d'adresses IPv4
4 000 000 000
 340 undécillions d'adresses IPv6
340 000 000 000 000 000 000 000 000 000 000 000 000

42
Décisions relatives à la transmission des paquets

La passerelle par défaut


Les hôtes ont également besoin d'une table de routage locale pour s'assurer que les paquets
de couche réseau sont dirigés vers le réseau de destination correct. La table locale de l'hôte
contient généralement :
 Connexion directe
 Route de réseau local
 Route par défaut locale

Table de routage d'hôte IPv4

Exemple de table de routage d'hôte IPv6

43
Tables de routage du routeur
Décisions relatives à la transmission des paquets du routeur

Table de routage d'un routeur IPv4

Entrées d'une table de routage pour une connexion directe

44
Entrées d'une table de routage d'un réseau distant

Composants d'un routeur

Un routeur est un ordinateur

45
Processeur et système d’exploitation d’un routeur

Mémoire du routeur

Vue intérieur d’un routeur

46
Fond de panier du routeur

Connexion à un routeur

Interfaces LAN et WAN

Processus de démarrage d'un routeur

47
Résultat de la commande show version

Configuration d'un routeur Cisco

Étapes de la configuration d'un routeur

48
Configuration des interfaces

Configuration des interfaces LAN

Vérification de la configuration des interfaces

Configuration de la passerelle par défaut

49
Passerelle par défaut sur un hôte

Passerelle par défaut sur un commutateur

Dans ce chapitre, vous avez appris les notions suivantes :


 La couche réseau, ou couche 3 du modèle OSI, fournit des services permettant aux
périphériques finaux d'échanger des données sur le réseau.
 La couche réseau utilise quatre fonctions de base : l'adressage IP pour les
périphériques finaux, l'encapsulation, le routage et la désencapsulation.
 Internet repose essentiellement sur l'IPv4, qui est toujours le protocole de couche
réseau le plus répandu.

50
 Un paquet IPv4 contient l'en-tête IP et les données utiles.
 L'en-tête simplifié IPv6 offre plusieurs avantages par rapport à l'IPv4, y compris une
meilleure efficacité du routage, des en-têtes d'extension simplifiés et le traitement par
flux.
 En plus de gérer l'adressage hiérarchique, la couche réseau est également responsable
du routage.
 Les hôtes ont besoin d'une table de routage locale pour s'assurer que les paquets sont
dirigés vers le réseau de destination correct.
 La route locale par défaut est la route à la passerelle par défaut.
 La passerelle par défaut est l'adresse IP d'une interface de routeur connectée au réseau
local.
 Lorsqu'un routeur, tel que la passerelle par défaut, reçoit un paquet, il examine
l'adresse IP de destination pour déterminer le réseau de destination.
 La table de routage d'un routeur stocke des informations sur les routes connectées
directement et les routes distantes vers les réseaux IP. Si le routeur possède une entrée
dans sa table de routage correspondant au réseau de destination, le routeur transfère le
paquet. S'il n'existe aucune entrée de routage, le routeur peut transférer le paquet vers
sa propre route par défaut, si elle est configurée, ou il abandonne le paquet.
 Les entrées de la table de routage peuvent être configurées manuellement sur chaque
routeur pour fournir le routage statique, ou les routeurs peuvent se transmettre les
informations concernant les routes de manière dynamique à l'aide d'un protocole de
routage. Pour que les routeurs soient accessibles, l'interface de routeur doit être
configurée

51
Structure d'une adresse IPv4: Système binaire

En notation binaire, les ordinateurs communiquent en utilisant des 0 et des 1

Conversion d'une adresse décimale en adresse binaire

Le masque de sous-réseau IPv4


La partie réseau et la partie hôte d'une adresse IPv4

 Pour définir les parties réseau et hôte d'une adresse, les périphériques utilisent un
modèle 32 bits distinct appelé masque de sous-réseau
 Le masque de sous-réseau ne contient pas réellement le réseau ou la partie hôte d'une
adresse IPv4 ; il indique simplement où rechercher ces parties dans une adresse IPv4
donnée

Le masque de sous-réseau IPv4


Réseau, hôte et adresses de diffusion IPv4

52
Première et dernière adresses d'hôte

Opération AND au niveau du bit

Adresses IPv4 de monodiffusion, de diffusion et de multidiffusion


Attribution d'une adresse IPv4 statique à un hôte

Propriétés d'interface LAN Configuration d'une adresse IPv4


statique

53
Attribution d'une adresse IPv4 dynamique à un hôte

Vérification

DHCP : méthode privilégiée de « location » des adresses IPv4 aux hôtes sur les grands
réseaux, car elle réduit la charge de travail de l'assistance technique et élimine presque toutes
les erreurs d'entrée

Transmission en monodiffusion

Dans un réseau IPv4, les hôtes peuvent communiquer de trois façons :


1. Monodiffusion (unicast) : consiste à envoyer un paquet d'un hôte à un autre

Transmission en diffusion

2. Diffusion (broadcast) : consiste à envoyer un paquet d'un hôte à tous les hôtes du
réseau

54
Transmission en multidiffusion

• Multidiffusion (multicast) : consiste à envoyer un paquet d'un hôte à un groupe


d'hôtes en particulier, même situés dans des réseaux différents
• Réduit le trafic
• Réservé à l'adressage à des groupes de multidiffusion - de 224.0.0.0 à
239.255.255.255
• link-local : de 224.0.0.0 à 224.0.0.255 (exemple : informations de routage échangées
par les protocoles de routage)
• Adresses d'une étendue globale : de 224.0.1.0 à 238.255.255.255 (exemple : 224.0.1.1
a été réservée au protocole NTP)

Les types d'adresses IPv4


Les adresses IPv4 publiques et privées

Blocs d'adresses privées :


 Les hôtes qui n'ont pas besoin d'accéder à Internet peuvent utiliser des adresses privées
 10.0.0.0 à 10.255.255.255 (10.0.0.0/8)
 172.16.0.0 à 172.31.255.255 (172.16.0.0/12)
 192.168.0.0 à 192.168.255.255 (192.168.0.0/16)

Adresses d'un espace d'adressage partagé :

 Ne sont pas globalement routables


 Destinées uniquement à un usage dans les réseaux des fournisseurs d'accès
 Bloc d'adresses : 100.64.0.0/10

Les adresses IPv4 réservées

 Adresses réseau et de diffusion : dans chaque réseau, les première et dernière


adresses ne peuvent pas être attribuées à des hôtes
 Adresse de bouclage : 127.0.0.1 est une adresse spéciale utilisée par les hôtes
pour diriger le trafic vers eux-mêmes (les adresses de 127.0.0.0 à 127.255.255.255
sont réservées)
 Adresse Link-local : les adresses de 169.254.0.0 à 169.254.255.255
(169.254.0.0/16) peuvent être automatiquement attribuées à l'hôte local
 Adresses TEST-NET : les adresses de 192.0.2.0 à 192.0.2.255 (192.0.2.0/24) sont
réservées à des fins pédagogiques et utilisées dans la documentation et dans des
exemples de réseau
 Adresses expérimentales : les adresses de 240.0.0.0 à 255.255.255.254 sont
indiquées comme étant réservées

55
L'ancien adressage par classe

Adressage sans classe


Le nom officiel est Routage interdomaine sans classe (CIDR, Classless Inter-Domain
Routing)
Un nouvel ensemble de normes a été créé pour permettre aux fournisseurs de services
d'allouer les adresses IPv4 sur n'importe quelle limite binaire (longueur de préfixe)
plutôt que seulement avec une adresse de classe A, B ou C.

L'attribution des adresses IP

Les organismes d'enregistrement Internet locaux


Voici les principaux :

56
Segmentation des réseaux IP en sous-réseaux

Pourquoi créer des sous-réseaux ?


Définition de sous-réseaux : Un sous réseau est formé par toutes les machines
connectées de manière à pouvoir s'échanger des paquets IP sans faire intervenir de
routeur

Les grands réseaux doivent être segmentés en sous-réseaux plus petits en créant des
groupes de périphériques et de services pour :
 Surveiller le trafic en contenant le trafic de diffusion dans le sous-réseau
 Réduire le trafic total du réseau et améliorer les performances de ce dernier

Création de sous-réseaux : procédé consistant à segmenter un réseau en portions plus petites


appelées sous-réseaux.
Communication entre les sous-réseaux
 Un routeur est nécessaire pour que les périphériques des différents réseaux et sous-
réseaux puissent communiquer.
 Chaque interface de routeur doit comporter une adresse d'hôte IPv4 qui appartient au
réseau ou au sous-réseau auquel elle est connectée
 Les périphériques d'un réseau et d'un sous-réseau utilisent l'interface de routeur
associée à son réseau local (LAN) comme passerelle par défaut.

Segmenter un réseau IPv4 en sous-réseaux


La segmentation en sous-réseaux IP est fondamentale

57
Les sous-réseaux dans la pratique

Segmenter le réseau en sous-réseaux en fonction des besoins des hôtes

Deux considérations sont à prendre en compte lors de la planification de


sous-réseaux :
 Nombre de sous-réseaux nécessaires
 Nombre d'adresses d'hôte nécessaires
 Formule pour déterminer le nombre d'hôtes utilisables 2^n-2
2^n (où n est le nombre de bits d'hôte restant) est utilisé pour calculer le nombre
d'hôtes
-2 L'ID de sous-réseau et l'adresse de diffusion ne peuvent pas être utilisés sur
chaque sous-réseau
Calculer le nombre de sous-réseaux
 Formule 2^n (où n est le nombre de bits empruntés)
 Sous-réseau nécessaire pour chaque service du schéma

Exemple d’application:
Soit l’adresse IP suivant : 172.31.10.0 /18 et 192.168.1.0 /25 calculer les plages d’adresses
correspondantes

Segmenter le réseau en fonction des besoins de celui-ci

 Il est important d'équilibrer le nombre de sous-réseaux nécessaires et le nombre


d'hôtes nécessaires pour le plus grand sous-réseau.

58
 Il faut que le schéma d'adressage puisse accueillir le nombre maximal d'hôtes pour
chaque sous-réseau.
 Prévision de croissance dans chaque sous-réseau.

Les avantages des masques de sous-réseau de longueur variable


La segmentation traditionnelle en sous-réseaux entraîne un gaspillage d'adresses

 Segmentation traditionnelle : le même nombre d'adresses est attribué à


chaque sous-réseau.

 Les sous-réseaux qui n'ont pas besoin de la totalité ont des adresses
inutilisées (gaspillées). Par exemple, les liaisons WAN n'ont besoin que de
2 adresses.
 Les masques de sous-réseau de longueur variable (VLSM, Variable Length
Subnet Mask) ou la segmentation d'un sous-réseau optimisent l'utilisation
des adresses

Les masques de sous-réseau de longueur variable (VLSM)

 La technique VLSM permet de décomposer un espace réseau en parties inégales.


 Le masque de sous-réseau varie alors selon le nombre de bits ayant été empruntés pour
un sous-réseau particulier.
 Le réseau est segmenté en premier, puis les sous-réseaux sont divisés à leur tour.
 Cette opération est répétée autant de fois que nécessaire pour créer des sous-réseaux
de différentes tailles.

59
VLSM dans la pratique
 Avec des sous-réseaux VLSM, les segments LAN et WAN dans l'exemple ci-
dessous peuvent être adressés avec un minimum de perte.
 Un sous-réseau avec le masque /27 sera attribué à chaque réseau local
(LAN).
 Un sous-réseau avec le masque /30 sera attribué à chaque liaison WAN.

Conception structurée
Planification de l'adressage réseau
L'attribution des adresses réseau doit être planifiée et documentée pour :
 Éviter la duplication des adresses

 Fournir et contrôler l'accès

 Contrôler la sécurité et surveiller les performances

Exemple de plan d'adressage réseau

Adresses pour les clients : généralement attribuées de manière dynamique à


l'aide du protocole DHCP (Dynamic Host Configuration Protocol)
Résumé
 La segmentation d'un réseau, autrement dit sa fragmentation en espaces réseau plus
petits, consiste à le décomposer en sous-réseaux.
 La segmentation des sous-réseaux, ou l'utilisation des masques de sous-réseau de
longueur variable (VLSM), permet d'éviter le gaspillage des adresses.
 L'espace d'adressage IPv6 est énorme. Il est fractionné afin de prendre en charge la
conception hiérarchique et logique du réseau pour ne pas conserver les adresses.
 La taille, l'emplacement, l'utilisation et l'accès sont autant de facteurs déterminants lors
de la planification de l'adressage.
 Les réseaux IP doivent être testés pour vérifier la connectivité et les performances.

Les problèmes liés au protocole IPv4


La nécessité du protocole IPv6

 IPv6 est conçu pour être le successeur d'IPv4


 L'épuisement de l'espace d'adressage IPv4 a motivé la migration vers IPv6
 Les prévisions indiquent que les cinq organismes d'enregistrement Internet locaux
manqueront d'adresses IPv4 entre 2015 et 2020

60
 Avec l'utilisation croissante d'Internet, un espace limité d'adresses IPv4, les problèmes
liés à la fonction NAT et les objets connectés, le moment est venu d'entamer la
transition vers IPv6 !
 IPv4 dispose d'un maximum théorique d'adresses de 4,3 milliards, plus les adresses
privées en combinaison avec NAT
 L'espace d'adressage IPv6 de 128 bits est bien plus étendu et fournit 340 undécillions
d'adresses
 IPv6 élimine les problèmes de limitation d'IPv4 et apporte d'autres améliorations,
notamment ICMPv6

La coexistence des protocoles IPv4 et IPv6

Les techniques de migration peuvent être classées en trois catégories :

Dual-stack : permet la coexistence IPv4/IPv6 sur le même réseau. Les périphériques


utilisent les deux piles de protocoles, IPv4 et IPv6, en même temps.

Tunneling : méthode qui consiste à transporter un paquet IPv6 sur un réseau IPv4 en
l'encapsulant dans un paquet IPv4.

61
Traduction : le NAT64 (Network Address Translation 64) permet aux périphériques IPv6
de communiquer avec des périphériques IPv4 à l'aide d'une technique de traduction analogue
au NAT pour IPv4. Un paquet IPv6 est converti en paquet IPv4, et inversement

Le système de numération hexadécimale


 Le système hexadécimal est en base seize
 Le système de numération en base 16 utilise les chiffres de 0 à 9 et les lettres de A à F
 Quatre bits (la moitié d'un octet) peuvent être représentés par une seule valeur
hexadécimale

La representation des adresses IPv6


 Comportent 128 bits, sous la forme d'une chaîne de valeurs hexadécimales
 Dans l'adressage IPv6, 4 bits représentent un seul chiffre hexadécimal, 32 valeurs
hexadécimales = adresse IPv6
2001:0DB8:0000:1111:0000:0000:0000:0200
FE80:0000:0000:0000:0123:4567:89AB:CDEF
 Un hextet fait référence à un segment de 16 bits ou quatre hexadécimales
 Peuvent être écrites en minuscules ou en majuscules

Règle n°1 - Omettre les zéros en début de segment


 Première règle pour réduire les adresses IPv6 : les zéros (0) du début d'une section de
16 bits (ou hextet) peuvent être omis
 01AB est équivalent à 1AB
 09F0 est équivalent à 9F0
 0A00 est équivalent à A00
 00AB est équivalent à AB

Règle n°2 - Omettre toutes les séquences de zéros


 Une suite de deux deux-points (::) peut remplacer toute chaîne unique et continue d'un
ou plusieurs segments de 16 bits (hextets) comprenant uniquement des zéros.
 Cette suite (::) ne peut être utilisée qu'une seule fois dans une adresse, sinon celle-ci
devient ambiguë.
 C'est ce qu'on appelle le format compressé
 Adresse incorrecte – 2001:0DB8:: ABCD::1234

1 Exemples

62
2

Types d'adresses IPv6

Il existe trois types d'adresses IPv6 :

• Monodiffusion
• Multidiffusion
• Anycast

Remarque : IPv6 n'a pas d'adresses de diffusion.

La longueur du préfixe IPv6

 IPv6 n'utilise pas la notation décimale à point du masque de sous-réseau.


 La longueur de préfixe indique la partie réseau d'une adresse IPv6 au format
suivant :
• Adresse IPv6/longueur de préfixe
• La longueur de préfixe peut aller de 0 à 128
• La longueur de préfixe est généralement /64

Les adresses IPv6 de monodiffusion

Monodiffusion
• Identifie de façon unique une interface sur un périphérique Ipv6
Un paquet envoyé à une adresse de monodiffusion est reçu par l'interface correspondant à
cette adresse

63
Monodiffusion globale

• Similaire à une adresse IPv4 publique


• Globalement unique
• Adresses routables sur Internet
• Peuvent être configurées pour être statiques ou attribuées dynamiquement

Link-local
• Pour communiquer avec les autres périphériques sur la même liaison locale
• Restriction à une seule liaison - non routables au-delà de la liaison

Envoi en boucle
• Permet à un hôte de s'envoyer un paquet à lui-même ; pas d'attribution à une
interface physique
• Envoyez une requête ping à l'adresse de bouclage pour tester la configuration
TCP/IP de l'hôte local
• Seulement des 0, sauf pour le dernier bit – adresses avec la syntaxe ::1/128 ou
juste ::1

Adresse non spécifiée


• Adresse contenant uniquement des 0 – Représentée sous la forme ::/128 ou
juste ::
• Ne peut pas être attribuée à une interface et est utilisée uniquement comme
adresse source

64
• Une adresse non spécifiée est utilisée comme adresse source lorsque le
périphérique n'a pas encore d'adresse IPv6 permanente ou lorsque la source du
paquet est inappropriée pour la destination

Adresse locale unique


• Similaire aux adresses privées pour IPv4
• Adresse utilisée pour l'adressage local à l'intérieur d'un site entre un nombre
limité de sites
• Comprise entre FC00::/7 et FDFF::/7

IPv4 intégré (sujet non traité dans ce cours)


• Permet de faciliter la transition d'IPv4 vers IPv6

Les adresses de monodiffusion link-local IPv6

 Chaque interface réseau IPv6 DOIT avoir une adresse link-local


 Permet à un périphérique de communiquer avec les autres périphériques IPv6 sur la
même liaison et seulement sur celle-ci (le sous-réseau)
 Plage FE80::/10, les 10 premiers bits étant 1111 1110 10xx xxxx
 1111 1110 1000 0000 (FE80) - 1111 1110 1011 1111 (FEBF)

 Les paquets associés à une adresse link-local source ou de destination ne peuvent pas
être acheminés au-delà de leur liaison d'origine.

Structure d'une adresse de monodiffusion globale IPv6

 Les adresses de monodiffusion (unicast) globale IPv6 sont globalement uniques et


routables sur le réseau Internet IPv6
 L'équivalent des adresses IPv4 publiques
 ICANN attribue les blocs d'adresses IPv6 aux cinq organismes d'enregistrement
Internet locaux (RIR)
 Actuellement, seules des adresses de monodiffusion globale dont les premiers bits sont
001 ou 2000::/3 sont attribuées

65
Une adresse de monodiffusion globale se compose de trois parties

 Préfixe de routage global : préfixe ou partie réseau de l'adresse attribué(e) par le


fournisseur (par exemple un FAI) à un client ou à un site. Actuellement, les
organismes d'enregistrement Internet locaux attribuent le préfixe /48 aux clients.
 2001:0DB8:ACAD::/48 a un préfixe qui indique que les 48 premiers bits
(2001:0DB8:ACAD) constituent le préfixe ou la partie réseau.

ID de sous-réseau
 Utilisé par une organisation pour identifier les sous-réseaux de son site

ID d'interface
 Équivaut à la partie hôte d'une adresse IPv4
 Elle est utilisée parce que le même hôte peut avoir plusieurs interfaces,
chacune ayant une ou plusieurs adresses IPv6

La configuration statique d'une adresse de monodiffusion globale

66
Configuration dynamique d'une adresse de monodiffusion globale avec la
méthode SLAAC

Configuration automatique des adresses sans état (SLAAC)


• Méthode permettant à un périphérique d'obtenir son préfixe, sa longueur de préfixe et
sa passerelle par défaut auprès d'un routeur IPv6
• Aucun serveur DHCPv6 n'est nécessaire
• Repose sur les messages d'annonce de routeur ICMPv6

Routeurs IPv6
• Transfèrent les paquets IPv6 entre les réseaux
• Peuvent être configurés avec des routes statiques ou un protocole de routage IPv6
dynamique
• Envoient des messages d'annonce de routeur ICMPv6

La commande IPv6 unicast routing active le routage IPv6

Les messages d'annonce de routeur peuvent contenir une des trois options
suivantes :
• SLAAC uniquement : pour utiliser les informations contenues dans le message
d'annonce de routeur
• SLAAC et DHCPv6 : pour utiliser les informations contenues dans le message
d'annonce de routeur et obtenir d'autres informations par le serveur DHCPv6,
DHCPv6 sans état (exemple : DNS)
• DHCPv6 uniquement : le périphérique ne doit pas utiliser les informations de
l'annonce de routeur (DHCPv6 avec état)
Les routeurs envoient des messages d'annonce ICMPv6 en utilisant l'adresse link-local
comme adresse IPv6 source

Génération aléatoire ou à l'aide de la méthode EUI-64

Processus EUI-64
 Ce processus utilise l'adresse MAC Ethernet 48 bits d'un client et insère 16 autres bits
au milieu de l'adresse MAC 46 bits pour créer un ID d'interface sur 64 bits
 L'avantage est que l'adresse MAC Ethernet peut être utilisée pour déterminer
l'interface – traçage plus facile

L'ID d'interface EUI-64 est représenté au format binaire et comprend trois


parties :
 Le code OUI sur 24 bits, provenant de l'adresse MAC du client, mais dont le septième
bit (universellement/localement) est inversé (le 0 devient un 1)
 Valeur FFFE 16 bits insérée
 ID de périphérique sur 24 bits déterminé d'après l'adresse MAC du client

67
Adresses link-local dynamiques

Attribution dynamique
 L'adresse link-local est créée dynamiquement à l'aide du préfixe FE80::/10 et de l'ID
d'interface

Configuration des adresses link-local

Vérifier la configuration des adresses IPv6

Chaque interface possède deux adresses IPv6


1. l'adresse de monodiffusion globale qui a été configurée
2. une adresse de monodiffusion link-local commençant par FE80 est automatiquement
ajoutée

68
Les adresses de multidiffusion IPv6 attribuées
 Les adresses de multidiffusion IPv6 ont le préfixe FFxx::/8
 Il existe deux types d'adresses de multidiffusion IPv6 :
• Les adresses de multidiffusion attribuées
• Les adresses de multidiffusion de nœud sollicité

Les deux groupes suivants de multidiffusion IPv6 attribuée sont les plus courants :

FF02::1 Groupe de multidiffusion avec tous les nœuds


• Tous les périphériques IPv6 sont inclus
• Même effet qu'une adresse de diffusion IPv4

FF02::2 Groupe de multidiffusion avec tous les routeurs


• Tous les routeurs IPv6 sont inclus
• Un routeur devient un membre de ce groupe lorsqu'il est activé en tant
que routeur IPv6 avec la commande de configuration globale ipv6
unicast-routing
• Un paquet envoyé à ce groupe est reçu et traité par tous les
routeurs IPv6 situés sur la liaison ou le réseau

69
Le protocole ICMP
Les messages ICMPv4 et ICMPv6

 Les messages ICMP communs à ICMPv4 et à ICMPv6 sont notamment les suivants :
• Host confirmation (Confirmation de l'hôte)
• Destination or Service Unreachable (destination ou service inaccessible)
• Time exceeded (Délai dépassé)
• Route redirection (Redirection de la route)
 Bien que le protocole IP ne soit pas un protocole fiable, la suite TCP/IP permet
d'envoyer les messages via les services du protocole ICMP si certaines erreurs se
produisent

Les messages de sollicitation et d'annonce de routeur ICMPv6

 ICMPv6 inclut quatre nouveaux protocoles dans le cadre du protocole Neighbor


Discovery Protocol (ND ou NDP) :
• Message de sollicitation de routeur
• Message d'annonce de routeur
• Message de sollicitation de voisin
• Message d'annonce de voisin

Messages de sollicitation et d'annonce de routeur : échangés entre les hôtes et


les routeurs

Messages de sollicitation de routeur : envoyés sous forme de message de


multidiffusion « tous routeurs » IPv6

Messages d'annonce de routeur : envoyés par les routeurs pour fournir les
informations d'adressage

Les messages de sollicitation et d'annonce de voisin ICMPv6

Deux types de message supplémentaires


• Sollicitation de voisin
• Messages d'annonce de voisin

Utilisés pour :
• La résolution d'adresse
• Utilisés lorsqu'un périphérique du réseau local (LAN) connaît l'adresse
de monodiffusion IPv6 d'une destination, mais pas son adresse MAC
Ethernet
• La détection d'adresses en double (DAD)
• Sur l'adresse pour s'assurer qu'elle est unique
• Le périphérique envoie un message NS avec sa propre adresse IPv6
comme destination

70
Test et vérification
Ping - Tester la pile locale

Ping – Tester la connectivité au réseau local

Traceroute – Tester le chemin

Traceroute (tracert)
• Génère une liste de sauts déjà atteints le long du chemin
• Fournit des informations de contrôle et de dépannage
• Si les données parviennent à destination, la commande affiche tous les routeurs situés
entre les hôtes
• Si les données restent bloquées au niveau d'un saut, l'adresse du dernier routeur ayant
répondu à la commande peut fournir une indication sur l'endroit où se situe le
problème ou sur d'éventuelles restrictions de sécurité
• Fournit la durée de transmission sur chacun des sauts rencontrés et indique si l'un
d'eux ne répond pas

Résumé
 Il existe trois types d'adresses IPv6 : monodiffusion, multidiffusion et anycast
(monodiffusion aléatoire).
 Une adresse link-local IPv6 permet à un périphérique de communiquer avec d'autres
périphériques IPv6 sur la même liaison et uniquement sur cette liaison (sous-réseau).
Les paquets associés à une adresse source ou de destination link-local ne peuvent pas

71
être acheminés au-delà de leur liaison d'origine. Les adresses link-local IPv6 se
trouvent dans la plage FE80::/10.
 Le protocole ICMP est disponible pour IPv4 et pour IPv6.

Périphériques d'un petit réseau


Topologies de petits réseaux
 Topologie typique d'un petit réseau

Sélection de périphériques pour un petit réseau

Facteurs à prendre en compte lors de la sélection des périphériques intermédiaires

Adressage pour un petit réseau

 Le schéma d'adressage IP doit être planifié, documenté et mis à jour en fonction du


type de périphériques recevant l'adresse.
 Exemples de périphériques qui feront partie de la conception IP :
Périphériques finaux des utilisateurs
Serveurs et périphériques
Hôtes accessibles depuis Internet
Périphériques intermédiaires
 Les schémas IP planifiés aident l'administrateur pour :
Le suivi des périphériques et le dépannage
Le contrôle de l'accès aux ressources

Redondance dans un petit réseau

 La redondance permet d'éliminer les points de défaillance uniques.


 Elle améliore la fiabilité du réseau.

72
Considérations liées à la conception d'un petit réseau
 Voici ce qu'il faut prévoir dans la conception du réseau :
Assurez-vous que les serveurs de messagerie et de fichiers sont dans un emplacement
centralisé.
Protégez cet emplacement en utilisant des dispositifs de sécurité matériels et logiciels.
Créez la redondance dans la batterie de serveurs.
Configurez des chemins d'accès redondants vers les serveurs.

Applications courantes d'un petit réseau

 Applications orientées Réseau : logiciels qui permettent de communiquer sur le


réseau.
 Services de couche application : programmes qui communiquent avec le réseau et
préparent les données à transférer

 Les protocoles réseau définissent :


Les processus sur l'une des extrémités d'une session de communication
Les types de message
La syntaxe des messages
La signification des champs informatifs
La manière dont les messages sont envoyés et la réponse attendue
L'interaction avec la couche du niveau juste en dessous

Applications en temps réel pour un petit réseau

 Infrastructure : doit être évaluée pour vérifier qu'elle prend en charge les
applications en temps réel proposées.
 La téléphonie IP (VoIP) est mise en œuvre dans les entreprises qui utilisent encore des
téléphones traditionnels.
 Téléphonie IP : le téléphone IP exécute lui-même la conversion voix-vers-IP.
 Protocoles de vidéo en temps réel : utilisent le protocole RTP et le protocole RTCP.

Évolutivité d'un petit réseau


Facteurs importants à prendre en compte lors de l'évolution vers un plus grand
réseau :
 Documentation : topologies logiques et physiques

73
 Inventaire des équipements : liste des périphériques qui utilisent ou constituent le
réseau
 Budget : budget informatique détaillé, y compris les achats d'équipements pour l'année
fiscale
 Analyse du trafic : documentation des protocoles, applications et services, avec leurs
besoins respectifs quant au trafic

Menaces pour la sécurité du réseau

 Les catégories de menaces à la sécurité du réseau

Sécurité physique

Les quatre catégories de menaces physiques sont les suivantes :


 Menaces matérielles : entraînant des dommages physiques sur les serveurs, routeurs,
commutateurs, installations de câblage et stations de travail.
 Menaces environnementales : variations extrêmes de la température ou du taux
d'humidité.
 Menaces électriques : pointes de tension, tension d'alimentation insuffisante (chutes),
alimentation non contrôlée (bruit) et panne totale.
 Menaces liées à la maintenance : mauvaise manipulation des composants électriques
principaux (décharges électrostatiques), pénurie de pièces de rechange importantes,
câblage mal effectué et étiquetage médiocre.

Types de failles de sécurité

 Faiblesses technologiques
 Faiblesses de configuration
 Faiblesses dans la stratégie de sécurité

74
Failles et attaques du réseau
Virus, vers et chevaux de Troie
 Virus : logiciel malveillant associé à un autre programme pour exécuter des fonctions
indésirables sur une station de travail.
 Cheval de Troie : entièrement conçu pour ressembler à une application normale, alors
qu'il s'agit d'un outil de piratage.
Vers : programmes autonomes qui attaquent un système et essaient d'exploiter une
vulnérabilité spécifique. Le ver recopie son programme de l'hôte assaillant sur les
systèmes qu'il vient d'attaquer, et le cycle recommence

Failles et attaques du réseau

Attaques par reconnaissance

Attaques par accès

75
Sauvegarde, mise à jour, mise à niveau et correctif
 Faites en sorte de toujours utiliser les versions les plus récentes des antivirus.
 Installez les derniers correctifs de sécurité.

Authentification, autorisation et gestion des comptes


Authentification, autorisation et gestion des comptes
 Authentification : les utilisateurs et les administrateurs doivent prouver leur identité.
L'authentification peut être implémentée à l'aide de combinaisons de nom d'utilisateur
et de mot de passe, de questions d'authentification, de jetons et d'autres méthodes.
 Autorisation : les ressources auxquelles les utilisateurs peuvent accéder et les
opérations qu'ils sont autorisés à effectuer.
Gestion des comptes : enregistrements auxquels l'utilisateur a accédé, durée de l'accès
aux ressources et modifications apportées

Les pare-feu
Un pare-feu se trouve entre deux réseaux ou plus. Il contrôle le trafic et contribue à
éviter les accès non autorisés. Méthodes utilisées :
 Filtrage des paquets
 Filtrage des applications
 Filtrage des URL

76
 Inspection dynamique de paquets (SPI) - Les paquets entrants doivent constituer des
réponses légitimes aux requêtes des hôtes internes.

Sécurité des terminaux

 Les terminaux courants sont les ordinateurs portables, les ordinateurs de bureau, les
serveurs, les smartphones ou encore les tablettes.
 Les employés doivent respecter les politiques de sécurité établies par les entreprises
afin d'assurer la sécurité de leurs appareils.
 Ces politiques incluent souvent l'utilisation d'un logiciel antivirus et la prévention des
intrusions sur les hôtes.

Sécurisation des périphériques


Initiation à la sécurisation des périphériques
 La sécurité du réseau repose en partie sur la sécurisation des équipements, y compris
les appareils des utilisateurs et les périphériques intermédiaires.
 Les noms d'utilisateur et les mots de passe par défaut doivent être changés
immédiatement.
 L'accès aux ressources du système doit être limité strictement aux personnes
autorisées à les utiliser.
 Dans la mesure du possible, les services et les applications qui ne sont pas nécessaires
doivent être désactivés et désinstallés.
Les correctifs de sécurité doivent être appliqués dès qu'ils sont disponibles

Les mots de passe

77
Mesures de sécurité élémentaires
 Chiffrement des mots de passe
 Longueur minimale à respecter pour les mots de passe
 Blocage des attaques en force
 Utilisation d'un message de bannière
 Définition d'un délai d'expiration EXEC

Activation de SSH

78
Ping
Interprétation des messages ICMP
 ! – indique la réception d'une réponse d'écho ICMP.
 . - indique l'expiration du délai pendant l'attente d'une réponse d'écho ICMP.
 U - indique la réception d'un message ICMP d'inaccessibilité.

Les extensions de la commande ping


 Le logiciel Cisco IOS offre un mode « étendu » de la commande ping.
R2# ping
Protocol [ip]:
Target IP address: 192.168.10.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.1.1
Type of service [0]:

Les commandes show


Révision des commandes show courantes
 Vous pouvez afficher l'état de presque tous les processus ou fonctions du routeur à
l'aide de la commande show.

 Commandes show fréquemment utilisées :

show running-config
show interfaces
show arp
show ip route
show protocols
show version

Affichage des paramètres du routeur avec la commande show version

79
Affichage des paramètres du commutateur avec la commande s how version

Options de commande ipconfig


 ipconfig : affiche l'adresse IP, le masque de sous-réseau et la passerelle par défaut.

 ipconfig /all : affiche également l'adresse MAC.

 ipconfig /displaydns : affiche toutes les entrées DNS stockées dans la mémoire cache
d'un système Windows.

Options de commande arp

80
Options de commande show cdp neighbors

Utilisation de la commande show ip interface brief


Cette commande peut être utilisée pour vérifier l'état de toutes les interfaces réseau sur
un routeur ou un commutateur

Systèmes de fichiers du routeur et du commutateur


Systèmes de fichiers du routeur
 show file systems : répertorie tous les systèmes de fichiers disponibles sur un routeur
Cisco 1941

 * L'astérisque indique qu'il s'agit du système de fichiers par défaut

Systèmes de fichiers du commutateur


 show file systems : répertorie tous les systèmes de fichiers disponibles sur un
commutateur Catalyst 2960

81
Sauvegarde et restauration des fichiers de configuration
Utilisation des ports USB d'un routeur Cisco
 Le lecteur Flash USB doit être formaté en FAT16.

 Peut contenir plusieurs copies de Cisco IOS et plusieurs configurations de routeur.

 Permet à l'administrateur de déplacer plus facilement les configurations d'un routeur à


l'autre.

Sauvegarde et restauration via une connexion USB

Routeur intégré
Périphérique multifonction
 Intègre un commutateur, un routeur et un point d'accès sans fil.

 Assure le routage, la commutation et la connectivité sans fil.

 Les routeurs sans fil Linksys sont de conception simple et sont utilisés dans les
réseaux domestiques.

 La gamme de routeurs à services intégrés (ISR) de Cisco offre un large choix de


modèles conçus aussi bien pour les petits bureaux que pour les réseaux plus grands.

Routeur intégré
Connectivité sans fil
 Mode sans fil : la plupart des routeurs sans fil intégrés prennent en charge les normes
802.11b, 802.11g et 802.11n

82
 SSID (Service Set Identifier) : nom alphanumérique, avec distinction
majuscules/minuscules, pour votre réseau domestique sans fil

 Canal sans fil : spectre des radiofréquences (RF) divisé en canaux

Sécurité de base des connexions sans fil


 Modifiez les valeurs par défaut

 Désactivez la diffusion SSID

 Configurez le chiffrement WEP ou WPA

 Protocole WEP (Wired Equivalency Protocol) : clés préconfigurées utilisées pour


chiffrer et déchiffrer les données Chaque périphérique sans fil autorisé à accéder au
réseau doit avoir fourni la même clé WEP.

WPA (Wi-Fi Protected Access) : utilise également des clés de chiffrement comprises
entre 64 et 256 bits. De nouvelles clés sont générées chaque fois qu'une connexion est
établie avec le point d'accès. Cette méthode est donc plus sûre
Configuration du routeur intégré

 Accédez au routeur en raccordant un ordinateur à l'un de ses ports LAN Ethernet à


l'aide d'un câble.

 L'appareil connecté recevra automatiquement les informations d'adressage IP depuis le


routeur intégré.

 Par sécurité, changez le nom d'utilisateur et le mot de passe par défaut, ainsi que
l'adresse IP Linksys par défaut.

Activation de la connectivité sans fil


 Configurez le mode sans fil

83
 Configurez le SSID

 Configurez le canal RF

 Configurez le mécanisme de chiffrement souhaité

Configuration d'un client sans fil

 Les paramètres de configuration du client sans fil doivent correspondre à ceux du


routeur sans fil.

SSID
Security Settings (Paramètres de sécurité)
Channel
Le logiciel client sans fil peut être intégré au système d'exploitation ou être un
utilitaire sans fil autonome et téléchargeable

Résumé du chapitre
 Une bonne conception de réseau intègre la fiabilité, l'évolutivité, ainsi que la
disponibilité.

 Les réseaux doivent être à l'abri des virus, des chevaux de Troie, des vers et des
attaques.

 Documentez les performances réseau de base.

 Testez la connectivité réseau avec les commandes ping et traceroute.

 Utilisez les commandes IOS pour contrôler et afficher des informations sur le réseau et
ses périphériques.

 Sauvegardez les fichiers de configuration via TFTP ou USB.

 Les réseaux domestiques et les PME utilisent souvent des routeurs intégrés. Ceux-ci
leur procurent des fonctionnalités de commutateur, de routeur et de point d'accès sans
fil.

84
 Le monde numérique change
 Les informations doivent être accessibles où que l'on se trouve dans le monde
 Les réseaux doivent être sécurisés, fiables et extrêmement disponibles

Éléments d'un réseau convergent


 La collaboration est une exigence
 Pour prendre en charge la collaboration, les réseaux utilisent les solutions
convergentes
 Services de données tels que les systèmes vocaux, les téléphones IP, les passerelles
voix, la prise en charge de la vidéo et les vidéoconférences
 Le contrôle des appels, la messagerie vocale, la mobilité et le standard automatisé sont
d'autres fonctions courantes

 Avantage des réseaux convergents :


• Plusieurs types de trafic, un seul réseau à gérer
• Des économies considérables sur l'installation et la gestion des différents
réseaux (voix, vidéo, données)
• Gestion informatique intégrée

Réseaux commutés sans frontières

 Le réseau sans frontières de Cisco est une architecture réseau qui permet
aux entreprises de connecter n'importe qui, n'importe où, à tout moment et
sur n'importe quel appareil d'une manière à fois sûre, fiable et transparente
 Il est conçu pour répondre aux besoins des services informatiques et des
entreprises, notamment en matière de prise en charge du réseau
convergent et les nouvelles façons de travailler

Hiérarchie dans le réseau commuté sans frontières

85
 Les directives de conception de réseaux commutés sans frontières
reposent sur les principes suivants :
• Hiérarchique
• Modularité
• Résilience
• Flexibilité

Cœur, distribution, accès

Rôle des réseaux commutés

 Le rôle des réseaux commutés a évolué


 Un réseau local (LAN) commuté accroît la flexibilité et permet la gestion
du trafic
 Il prend également en charge des fonctionnalités telles que la qualité de
service, la sécurité renforcée, la prise en charge de la technologie sans fil
et de la téléphonie IP, et les services de mobilité
 Facteur de forme
 FIXE

86
Modulaire

 Empilable

Transfert de trame
La commutation comme concept général

 Un commutateur prend une décision en fonction du port d'entrée et de


destination
 Un commutateur LAN gère une table qu'il utilise pour déterminer
comment acheminer le trafic
 Les commutateurs LAN Cisco transmettent des trames Ethernet basées
sur l'adresse MAC de destination des trames.

Remplissage dynamique de la table d'adresses MAC d'un commutateur

87
 Un commutateur doit d'abord savoir quels équipements figurent sur
chaque port avant de pouvoir transmettre une trame
 Il crée une table appelée table d'adresses MAC, ou table de mémoire
associative (CAM)
 Le port <-> de mappage de périphériques est stocké dans la table CAM
 La CAM est un type particulier de mémoire utilisé dans des applications
de recherche haut débit.
 Les informations de la table d'adresses MAC sont utilisées pour
transmettre les trames

Lorsqu'un commutateur reçoit une trame entrante dont l'adresse MAC ne


figure pas dans la table CAM, il l'envoie à tous les ports, sauf à celui qui
l'a reçue

Méthodes de transfert par commutateur

Commutation par stockage et retransmission (« Store-and-Forward »)

 Cette méthode permet au commutateur :

Rechercher les erreurs (via le contrôle FCS)

Effectuer la mise en mémoire tampon automatique

88
 Transmettre plus lentement

Commutation à la volée (« Cut-Through »)

 Cette méthode permet au commutateur de lancer le transfert en


10 microsecondes environ
 Pas de contrôle FCS
 Pas de mise en mémoire
tampon automatique

Domaines de commutation
Domaines de collision

 Le domaine de collision est le segment sur lequel les périphériques sont


en concurrence les uns avec les autres pour communiquer
 Tous les ports d'un concentrateur appartiennent au même domaine de
collision
 Chaque port d'un commutateur constitue un domaine de collision
 Le commutateur décompose le segment en domaines de collision plus
petits, ce qui facilite les choses pour les périphériques.

Domaines de diffusion

 Le domaine de diffusion représente l'étendue du réseau dans laquelle une


trame de diffusion peut être « entendue ».
 Les commutateurs envoient les trames de diffusion à tous les ports. C'est
pourquoi ils ne segmentent pas les domaines de diffusion.
 Tous les ports d'un commutateur (avec la configuration par défaut)
appartiennent au même domaine de diffusion
 Si deux commutateurs ou plus sont connectés, les diffusions sont
envoyées vers tous les ports de tous les commutateurs (à l'exception de
celui qui les a initialement reçues)

Réduction de l'encombrement du réseau

Les commutateurs contribuent à réduire l'encombrement du réseau :

 Ils facilitent la segmentation d'un LAN en domaines de collision séparés


 Ils assurent une communication bidirectionnelle simultanée entre les
périphériques
 Ils tirent profit de leur densité de ports la plus élevée
 Ils mettent les trames volumineuses dans la mémoire tampon
 Ils utilisent les ports haut débit
 Ils exploitent leur méthode rapide de commutation interne
 Ils représentent un faible coût par port

Résumé

89
 Dans ce chapitre, vous avez vu que la tendance est à la convergence des
réseaux : un seul ensemble de câbles et d'équipements pour gérer la
transmission de la voix, de la vidéo et des données.
 En outre, la façon dont les entreprises fonctionnent a significativement
changé.
 Pas de bureaux physiques ni de contraintes géographiques. Les ressources
doivent maintenant être parfaitement disponibles à tout moment et en tout
lieu.
 L'architecture du réseau sans frontières de Cisco permet à différents
éléments, des commutateurs d'accès aux points d'accès sans fil, pour
fonctionner ensemble et permettre aux utilisateurs d'accéder aux
ressources à tout moment et en tout lieu.
 Le modèle de conception hiérarchique traditionnel à trois couches divise
le réseau ainsi : cœur, distribution et accès. Chaque partie du réseau peut
être optimisée pour sa fonction spécifique.
 Cela procure modularité, résilience et souplesse, ce qui constitue une base
qui permet aux concepteurs de réseaux de fournir une sécurité, une
mobilité et des fonctionnalités de communications unifiées.
 Les commutateurs utilisent la commutation « store-and-forward » ou
« cut-through ».
 Chaque port d'un commutateur crée un domaine de collision distinct
permettant une communication bidirectionnelle simultanée très haut débit.
 Les ports des commutateurs ne bloquent pas les diffusions et le fait
d'associer des commutateurs peut augmenter la taille du domaine de
diffusion, ce qui entraîne souvent une dégradation des performances.

Chapitre 2: présentation des réseaux commutés

Séquence d'amorçage de commutateur

1. POST
2. Exécutez le bootloader (chargeur de démarrage).
3. Ce programme se charge de l'initialisation de bas niveau du processeur.
4. Il initialise le système de fichiers de la mémoire flash.
5. Il localise et charge dans la mémoire une image logicielle du système
d'exploitation IOS par défaut et transfère le contrôle du commutateur à
l'IOS.

Pour trouver une image IOS appropriée, le commutateur suit cette


procédure :

1. Il tente de démarrer automatiquement en utilisant les informations de la


variable d'environnement BOOT.
2. Si cette variable n'est pas définie, il cherche dans le système de fichiers
flash en le parcourant de haut en bas. Il chargera et exécutera le premier
fichier exécutable s'il le peut.

90
3. Le système d'exploitation IOS initialise ensuite les interfaces à l'aide des
commandes Cisco IOS disponibles dans le fichier de configuration, la
configuration initiale, qui est stockée dans la mémoire vive non volatile.

Remarque : la commande boot system peut être utilisée pour définir la


variable d'environnement BOOT

Récupération après une panne système

 Le programme d'amorçage peut également être utilisé pour la gestion du


commutateur si l'IOS ne peut pas être chargé.
 Il est accessible via une connexion console. Pour cela :
1. Connectez un PC par le câble de console au port de console du
commutateur. Débranchez le cordon d'alimentation du
commutateur.
2. Rebranchez le cordon d'alimentation sur le commutateur et
maintenez le bouton Mode enfoncé.
3. La LED système devient brièvement orange, puis verte. Relâchez le
bouton Mode.
 L'invite switch:prompt du programme d'amorçage s'affiche dans le
logiciel d'émulation de terminal sur le PC.

Voyants LED de commutateur

 Sur les commutateurs Cisco Catalyst, chaque port possède des indicateurs
d'état.
 Par défaut, ces LED indiquent l'activité du port, mais elles peuvent
également fournir d'autres informations sur le commutateur via le bouton
Mode.
 Les modes suivants sont disponibles sur les commutateurs Cisco Catalyst
2960 :

LED système

LED système d'alimentation redondante (RPS)

LED statut port

LED bidirectionnel port

LED vitesse port

LED du mode PoE (Power over Ethernet)

 Modes du commutateur Cisco Catalyst 2960

91
Préparation à la gestion de commutateur de base

 La gestion à distance du commutateur Cisco implique que celui-ci a été


configuré pour accéder au réseau.
 Une adresse IP et un masque de sous-réseau doivent être configurés.
 Si la gestion du commutateur s'effectue à partir d'un réseau distant, il faut
également configurer une passerelle par défaut.
 Les informations IP (adresse, masque de sous-réseau, passerelle) doivent
être attribuées à une interface virtuelle (SVI) du commutateur.
 Bien que ces paramètres IP permettent l'accès à distance au commutateur
et sa gestion, celui-ci ne pourra pour autant acheminer les paquets de
couche 3.

92
Communication bidirectionnelle

Configuration des ports de commutateur au niveau de la couche physique

Fonction auto-MDIX

 Certains types de câble (droit ou croisé) étaient nécessaires pour la


connexion des périphériques.
 La fonction auto-MDIX (Automatic Medium-Dependent Interface
Crossover) élimine ce problème.
 Lorsque la fonction auto-MDIX est activée, l'interface détecte
automatiquement la connexion et la configure de manière appropriée.

93
 Lorsque la fonction auto-MDIX est utilisée sur une interface, la vitesse et
le mode bidirectionnel de celle-ci doivent être réglés sur auto.

Fonction auto-MDIX

Vérification de la configuration du port de commutateur

94
Problèmes de couche d'accès au réseau

Problèmes de couche d'accès au réseau

Problèmes de couche d'accès au réseau

Résolution des problèmes liés au support de transmission du


commutateur (connexion)

95
Résolution des problèmes liés à l'interface

Accès à distance sécurisé


Fonctionnement de SSH

 Secure Shell (SSH) est un protocole qui permet de se connecter de


manière sécurisée (connexion chiffrée) à un périphérique distant via une
ligne de commande.
 SSH est généralement utilisé dans les systèmes basés sur UNIX.
 Cisco IOS prend également en charge SSH.
 Il faut disposer d'une version du logiciel IOS comprenant des fonctions
et des fonctionnalités chiffrées pour pouvoir utiliser SSH sur les
commutateurs Catalyst 2960.
 En raison de la fiabilité de ses fonctions de chiffrement, SSH devrait
remplacer Telnet pour les connexions servant à la gestion.
 SSH utilise le port TCP 22 par défaut et Telnet utilise le port TCP 23.

96
Vérification de SSH

97
Problèmes de sécurité dans les LAN
Inondation d'adresses MAC

 Les commutateurs remplissent automatiquement leurs tables CAM en


observant le trafic arrivant sur leurs ports
 Ils renvoient ensuite ce trafic sur tous les ports s'ils ne trouvent pas
l'adresse MAC de destination dans leur table CAM
 Dans ce cas, le commutateur fait office de concentrateur. Le trafic de
monodiffusion est visible par tous les périphériques connectés au
commutateur
 Un pirate peut en profiter pour accéder au trafic normalement contrôlé par
le commutateur en utilisant un PC pour envoyer un flot d'adresses MAC
 Il peut s'agir d'un programme conçu pour générer et envoyer sur le port du
commutateur des trames avec des adresses MAC source fictives.
 Lorsque ces trames parviennent au commutateur, celui-ci ajoute les
adresses MAC fictives dans sa table CAM en spécifiant le port sur lequel
elles sont arrivées.
 La table CAM finit par être totalement surchargée.
 Celle-ci n'a donc plus de place pour les périphériques légitimes du réseau.
Il devient alors impossible de trouver leurs adresses MAC dans cette
table.
 Toutes les trames sont désormais envoyées à tous les ports, ce qui permet
au pirate d'accéder au trafic destiné aux autres hôtes.

Inondation d'adresses MAC

 Un pirate inonde la table CAM d'entrées fictives

 Le commutateur fait maintenant office de concentrateur

98
Usurpation DHCP

 DHCP est un protocole réseau utilisé pour attribuer automatiquement les


informations IP.

Il existe deux types d'attaques ciblant DHCP :

• Usurpation DHCP (ou spoofing)


• Insuffisance de ressources DHCP

 Dans une usurpation DHCP, un faux serveur DHCP est placé dans le réseau
pour envoyer des adresses DHCP aux clients.
 L'attaque qui consiste à saturer un serveur DHCP par épuisement des
ressources (« starvation » en anglais) est souvent utilisée avant l'usurpation
pour empêcher le serveur DHCP légitime d'accéder au service.

Usurpation DHCP

 Attaque par usurpation DHCP

Utilisation du protocole CDP

99
 CDP est un protocole propriétaire de couche 2 développé par Cisco. Il sert à
détecter les autres périphériques Cisco qui sont connectés directement.
 Il est conçu pour permettre aux équipements de configurer automatiquement
leurs connexions.
 Si un pirate écoute les messages CDP, il peut apprendre des informations
importantes telles que le modèle de périphérique et la version du logiciel
exécuté.
 Cisco recommande de désactiver le protocole CDP quand il n'est pas utilisé

Utilisation de Telnet

 Comme nous l'avons mentionné, le protocole Telnet n'est pas fiable et


devrait être remplacé par SSH.
 Cependant, un pirate peut utiliser Telnet dans d'autres attaques, par
exemple la récupération en force des mots de passe et l'attaque DoS
Telnet.
 S'ils ne parviennent pas à se procurer les mots de passe, les pirates tentent
autant de combinaisons de caractères que possible. C'est ce qu'on appelle
la récupération en force des mots de passe.
 Telnet peut être utilisé pour tester sur le système le mot de passe deviné.
 Dans une attaque DoS Telnet, le pirate exploite une faille d'un logiciel
serveur Telnet exécuté sur le commutateur qui rend le service Telnet
indisponible.
 Ce type d'attaque empêche l'administrateur d'accéder à distance aux
fonctions de gestion du commutateur.
 Ce type d'attaque peut être combiné avec d'autres attaques directes sur le
réseau dans le cadre d'une tentative coordonnée pour empêcher
l'administrateur réseau d'accéder à des périphériques principaux pendant une
faille de sécurité.
 Les vulnérabilités du service Telnet qui autorisent les attaques DoS sont
généralement traitées au moyen de correctifs de sécurité inclus dans les
nouvelles versions révisées du logiciel Cisco IOS

Meilleures pratiques pour la sécurité


Les 10 meilleures pratiques

 Rédigez une stratégie de sécurité pour l'organisation.


 Arrêtez les services et les ports qui ne sont pas utilisés.
 Utilisez des mots de passe forts et modifiez-les souvent.
 Contrôlez l'accès physique aux périphériques.
 Utilisez HTTPS plutôt que HTTP.
 Effectuez régulièrement des sauvegardes.
 Informez les employés sur les attaques par manipulation psychologique.
 Chiffrez les données sensibles et protégez-les avec un mot de passe.
 Mettez des pare-feu en place.
 Faites en sorte que les logiciels soient toujours à jour.

Outils de sécurité réseau : options

100
 Les outils de sécurité réseau sont très importants pour les administrateurs
réseau.
 Ils leur permettent de tester l'efficacité des mesures de sécurité mises en
œuvre.
 Ils peuvent par exemple lancer une attaque contre le réseau et analyser les
résultats.
 Cela leur permet également de déterminer comment rectifier les stratégies de
sécurité pour limiter ces types d'attaques.
 Les audits de sécurité et les tests d'intrusion constituent deux fonctions
essentielles des outils de sécurité réseau

Outils de sécurité réseau : audits

 Les outils de sécurité réseau peuvent être utilisés pour réaliser un audit du
réseau.
 En surveillant le réseau, l'administrateur peut déterminer quel type
d'informations un pirate peut récupérer.
 Il peut par exemple inonder la table CAM d'un commutateur pour savoir
quels ports précisément sont vulnérables à ce type d'attaque et agir en
conséquence.
 Les outils de sécurité réseau peuvent également être utilisés comme outils de
test d'intrusion
 Le test d'intrusion est une attaque simulée.
 Il permet d'évaluer le degré de vulnérabilité du réseau en cas d'attaque réelle.
 Les faiblesses de configuration des périphériques réseau peuvent être
identifiées en fonction des résultats de ces tests.
 Des modifications peuvent être effectuées pour rendre ces périphériques plus
résistants.
 Ces tests risquent d'endommager le réseau et nécessitent une excellente
maîtrise de la situation.
 Un réseau de banc d'essai hors ligne qui simule le véritable réseau de
production est idéal

Sécurité des ports de commutateur


Sécurisation des ports inutilisés

La désactivation des ports non utilisés est une mesure de sécurité simple
mais efficace

101
Sécurité des ports de commutateur
Surveillance DHCP

La surveillance DHCP indique quels ports de commutateur sont en mesure de


répondre aux requêtes DHCP

Sécurité des ports de commutateur


Sécurité des ports : fonctionnement

 La sécurité des ports restreint le nombre d'adresses MAC valides autorisées sur un
port.
 Les adresses MAC des périphériques légitimes peuvent y accéder, mais les autres sont
refusées.
 Toute tentative supplémentaire pour se connecter avec des adresses MAC inconnues
constitue une violation des règles de sécurité.

Les adresses MAC fiables peuvent être configurées de différentes manières :

• Adresses MAC sécurisées statiques


• Adresses MAC sécurisées dynamiques
• Adresses MAC sécurisées rémanentes

Sécurité des ports : modes de violation

IOS détecte une violation des règles de sécurité dans les deux cas suivants :

• Le nombre maximal d'adresses MAC sécurisées a été ajouté dans la


table CAM et un appareil dont l'adresse MAC ne figure pas dans cette
table tente d'accéder à l'interface.
• Une adresse assimilée ou configurée dans une interface sécurisée est
visible sur une autre interface sécurisée dans le même réseau local
virtuel.

102
Il existe trois actions possibles à entreprendre en cas de violation :

• Protect
• Restrict
• Shutdown

Sécurité des ports : configuration

Failles dans la sécurité dynamique des ports

Sécurité des ports : configuration

Configuration de la sécurité des ports dynamiques

Configuration de la sécurité des ports rémanents

103
Sécurité des ports : vérification

Vérification de la sécurité des ports rémanents

Vérification de la sécurité des ports rémanents – configuration en


cours

Vérification des adresses MAC sécurisées dans la sécurité des


ports

104
Ports en état Error Disabled

 Une violation des règles de sécurité des ports peut provoquer


une erreur du commutateur et engendrer l'état « désactivé ».
 Un port dans cet état est effectivement arrêté.
 Le commutateur communiquera ces événements via les
messages de console

La commande show interface permet également de détecter un port de


commutateur désactivé

105
Il faut utiliser la commande d'interface shutdown/no shutdown
réactiver le port

Protocole NTP

 NTP est un protocole utilisé pour synchroniser les horloges des réseaux de
données des systèmes informatiques.
 Il peut récupérer l'heure exacte à partir d'une source interne ou externe.
 Il peut s'agir des éléments suivants :

• Horloge maître locale


• Horloge maître sur Internet
• GPS ou horloge atomique

 Un périphérique réseau peut être configuré en tant que serveur NTP ou client
NTP.
 Consultez les notes des diapositives pour plus d'informations sur le NTP.

Protocole NTP

Configuration NTP

Vérification de NTP

106
Résumé

 Thèmes abordés dans ce chapitre :


 Séquence d'amorçage des commutateurs LAN Cisco
 Modes des LED des commutateurs LAN Cisco
 Comment accéder à distance à un commutateur LAN Cisco et le gérer via
une connexion sécurisée
 Modes bidirectionnels des ports des commutateurs LAN Cisco
 Sécurité des ports, modes de violation et actions pour les commutateurs
LAN Cisco
 Meilleures pratiques pour les réseaux commutés

107
Présentation des VLAN
Définitions des VLAN
 Un VLAN (réseau local virtuel) est une partition logique d'un réseau de
couche 2.

 Plusieurs partitions peuvent être créées, de sorte qu'il est possible de faire
coexister plusieurs VLAN.
 Chaque VLAN constitue un domaine de diffusion, généralement avec son
propre réseau IP.
 Les VLAN sont isolés les uns des autres et les paquets ne peuvent circul

entre eux qu'en passant par un routeur.

 La segmentation du réseau de couche 2 a lieu à l'intérieur d'un périphérique

de couche 2, généralement un commutateur.

 Les hôtes regroupés dans un VLAN ignorent l'existence de celui-ci.

Présentation des VLAN


Définitions des VLAN

Avantages des VLAN

 Sécurité
 Réduction des coûts
 Meilleures performances
 Diminution des domaines de diffusion
 Efficacité accrue des équipes informatiques
 Simplification de la gestion des projets et des application

Types de VLAN

108
 VLAN de données
 VLAN par défaut
 VLAN natif
 VLAN de gestion

VLAN voix

 Le facteur temps est très important pour le trafic VoIP. Cela nécessite :
• bande passante consolidée pour garantir la qualité de la voix ;
• priorité de transmission par rapport aux autres types de trafic réseau ;
• possibilité de routage autour des zones encombrées du réseau ;
• Délai inférieur à 150 ms sur tout le réseau.
 La fonction VLAN voix permet aux ports du commutateur d'acheminer le
trafic VoIP (voix sur IP) provenant d'un téléphone IP.
 Le commutateur peut être connecté à un téléphone IP Cisco 7960 et
transmettre le trafic VoIP.
 Puisque la qualité audio de la téléphonie IP peut se détériorer si la
transmission des données est inégale, le commutateur prend en charge la
qualité de service (QS).

VLAN voix

 Le téléphone IP Cisco 7960 comporte un commutateur 10/100 intégré à


3 ports :
• Le port 1 est relié au commutateur.
• Le port 2 est une interface 10/100 interne chargée de la transmission
du trafic de la téléphonie IP.
• Le port 3 (port d'accès) est connecté à un ordinateur ou autre
périphérique.

109
VLAN dans un environnement à commutateurs multiples
Trunks de VLAN

 Un trunk de VLAN achemine le trafic de plusieurs VLAN.


 Il est généralement établi entre des commutateurs pour permettre aux
périphériques du même VLAN de communiquer même s'ils sont
physiquement connectés à des commutateurs différents.
 Un trunk de VLAN n'est associé à aucun VLAN. Aucun port trunk n'est
utilisé pour établir la liaison trunk.
 Cisco IOS prend en charge la norme IEEE802.1q, un protocole de trunk de
VLAN très répandu.

VLAN dans un environnement à commutateurs multiples


Trunks de VLAN

Contrôle des domaines de diffusion à l'aide des VLAN

 Les VLAN peuvent être utilisés pour limiter la portée des trames de
diffusion.
 Un VLAN est un domaine de diffusion à part entière.

110
 Par conséquent, une trame de diffusion envoyée par un périphérique d'un
VLAN donné est transmise au sein de ce VLAN uniquement.
 Cela permet de contrôler la portée des trames de diffusion et leur impact sur
le réseau.

Les trames de monodiffusion et de multidiffusion sont également transmises


dans le VLAN d'où elles ont été émises

Étiquetage des trames Ethernet pour l'identification des VLAN

 L'étiquetage des trames est utilisé pour transmettre correctement plusieurs


trames VLAN via une liaison trunk.
 Les commutateurs étiquettent les trames pour identifier le VLAN auquel
elles appartiennent. Il existe différents protocoles d'étiquetage, IEEE 802.1q
étant le plus répandu.
 Le protocole définit la structure de l'en-tête d'étiquetage ajouté à la trame.
 Les commutateurs ajouteront des étiquettes VLAN aux trames avant de les
placer dans les liaisons trunk. Ils les enlèveront avant de transmettre les
trames via les autres ports (non trunk).
 Une fois qu'elles sont correctement étiquetées, les trames peuvent traverser
n'importe quel nombre de commutateurs via les liaisons trunk. Elles resteront
dans le VLAN approprié pour atteindre leur destination.

VLAN natifs et étiquetage 802.1q

 Une trame qui appartient au VLAN d'origine n'est pas étiquetée.


 Une trame reçue sans étiquette reste sans étiquetage et est placée dans le
VLAN natif lors de la transmission.
 S'il n'y a pas de ports associés au VLAN natif et en l'absence de liaison
trunk, une trame non étiquetée est ignorée.
 Dans les commutateurs Cisco, le VLAN natif est le VLAN 1 par défaut.

Plages VLAN sur les commutateurs Catalyst

 Les commutateurs Catalyst 2960 et 3560 prennent en charge plus de 4 000


VLAN.
 Ces VLAN se répartissent dans 2 catégories :
 VLAN de la plage normale
• Ce sont les VLAN du numéro 1 au numéro 1 005.
• Les configurations sont stockées dans le fichier vlan.dat (dans la
mémoire flash).
• VTP peut uniquement « apprendre » et stocker les VLAN de la plage
normale.
 Les VLAN de la plage étendue
• Ce sont les VLAN du numéro 1 006 au numéro 4 096.
• Les configurations sont stockées dans la configuration en cours (dans
la mémoire NVRAM).
• Le protocole VTP ne prend pas en compte les VLAN appartenant à la
plage étendue.

111
Attribution
Création d'un VLAN

Attribution de ports aux VLAN

Attribution de ports aux VLAN

Modification de l'appartenance des ports aux VLAN

112
Modification de l'appartenance des ports aux VLAN

Suppression de VLAN

113
Vérification des informations VLAN

Vérification des informations VLAN

Configuration des liaisons trunk IEEE 802.1q

114
Attribution VLAN
Réinitialisation du trunk à l'état par défaut

Vérification de la configuration du trunk

115
Protocole DTP
Introduction au protocole DTP

 Les ports de commutateur peuvent être configurés manuellement pour créer


les trunks.
 Ils peuvent également être configurés pour négocier et établir une liaison
trunk avec un homologue connecté.
 DTP (Dynamic Trunking Protocol) est un protocole qui gère la négociation
de trunk.
 C'est un protocole propriétaire de Cisco et il est activé par défaut sur les
commutateurs Cisco Catalyst 2960 et 3560.
 Si le port du commutateur voisin est configuré dans un mode trunk qui prend
en charge le protocole DTP, il gère la négociation.
 La configuration DTP s'effectue en mode dynamique automatique par défaut
sur les commutateurs Cisco Catalyst 2960 et 3560.

Protocole DTP
Modes d'interface négociés

 Les commutateurs Cisco Catalyst 2960 et 3560 prennent en charge les


modes trunk suivants :
• switchport mode dynamic auto
• switchport mode dynamic desirable
• switchport mode trunk
• switchport nonegotiate

Dépannage des VLAN et des trunks


Résolution des problèmes liés aux VLAN

 Il est très fréquent d'associer un VLAN à un réseau IP.


 Comme les différents réseaux IP communiquent uniquement via un routeur,
tous les périphériques d'un VLAN doivent appartenir au même réseau IP
pour communiquer.
 Dans l'illustration ci-dessous, le PC1 ne peut pas communiquer avec le
serveur parce que son adresse IP est incorrecte.

116
VLAN manquants

Si tous les problèmes de concordance des adresses IP ont été résolus et que le périphérique ne
peut toujours pas se connecter, vérifiez que le VLAN existe dans le commutateur

Dépannage des VLAN et des trunks


Introduction au dépannage des trunks

Dépannage des VLAN et des trunks


Problèmes courants avec les trunks

 Les problèmes de trunking sont généralement associés à des configurations


incorrectes.
 Le plus souvent, les erreurs de configuration des trunks sont les suivantes :
1. Non-concordance du VLAN natif
2. Non-concordance du mode trunk
3. VLAN autorisés sur les trunks

En cas de problème sur un trunk, il est recommandé de faire les vérifications dans l'ordre ci-
dessus

117
Dépannage des VLAN et des trunks
Non-concordance du mode trunk

 Lorsqu'un port sur une liaison trunk est configuré avec un mode trunk qui
n'est pas compatible avec le port trunk voisin, la liaison en question ne
peut pas être établie entre les deux commutateurs.
 Vérifiez l'état des ports trunk sur les commutateurs à l'aide de la
commande show interfaces trunk.
 Pour résoudre ce problème, configurez les interfaces avec les modes trunk
appropriés.

Dépannage des VLAN et des trunks


Liste de VLAN incorrecte

 Les VLAN doivent être autorisés dans le trunk avant que leurs trames
puissent être transmises sur la liaison.
Utilisez la commande switchport trunk allowed vlan pour indiquer quels
VLAN sont admis dans une liaison trunk.
Pour garantir que les VLAN appropriés sont autorisés dans un trunk,
utilisez la commande show interfaces trunk

Attaques sur les VLAN


Attaque par usurpation de commutateur

 Il existe différents types d'attaque VLAN dans les réseaux commutés


modernes. L'attaque « VLAN hopping » en est une.
 Par défaut, le port du commutateur est configuré en mode dynamique
automatique.
 En configurant un hôte pour qu'il fasse office de commutateur et forme un
trunk, le pirate peut accéder à n'importe quel VLAN du réseau.
 Il peut ensuite accéder aux autres VLAN.
 Pour éviter une attaque de base, désactivez le trunking sur tous les ports,
sauf sur ceux qui l'utilisent.

118
Attaques sur les VLAN
Attaque Double-Tagging

 L'attaque « Double-Tagging » tire parti de la façon dont les composants


matériels de la plupart des commutateurs désencapsulent les étiquettes
802.1Q.
 Le plus souvent, les commutateurs effectuent un seul niveau de
désencapsulation 802.1Q, ce qui permet au pirate d'incorporer un
deuxième en-tête, non autorisé celui-là, dans la trame.
 Après avoir supprimé le premier en-tête 802.1Q légitime, le commutateur
transmet la trame au VLAN spécifié dans le faux en-tête 802.1Q.
 La meilleure façon de parer ces attaques consiste à vérifier que le VLAN
natif des ports trunk est différent de celui de tous les autres ports

Attaques sur les VLAN


Attaque Double-Tagging

Attaques sur les VLAN


Périphérie PVLAN

 La fonction PVLAN (VLAN privé), ou « ports protégés », garantit qu'il


n'y a aucun échange de trafic de monodiffusion, de diffusion ou de
multidiffusion entre les ports protégés du commutateur.
 Cette protection n'est pertinente qu'en local.
 Un port protégé échange du trafic uniquement avec les ports non protégés.
 Un port protégé n'échange pas de trafic avec un autre port protégé.

119
Meilleures pratiques de conception pour les VLAN
Conseils pour la conception d'un VLAN

 Déplacez tous les ports du VLAN1 et attribuez-les à un VLAN qui n'est


pas utilisé.
 Arrêtez tous les ports non utilisés du commutateur.
 Séparez le trafic de gestion et le trafic des données des utilisateurs.
 Remplacez le VLAN de gestion par un VLAN autre que VLAN1. Faites
de même pour le VLAN natif.
 Assurez-vous que seuls les périphériques du VLAN de gestion peuvent se
connecter aux commutateurs.
 Le commutateur doit accepter uniquement les connexions SSH.
 Désactivez l'autonégociation sur les ports trunk.
 N'utilisez pas les modes « auto » ni « desirable » pour les ports des
commutateurs.

Résumé

 Dans ce chapitre, vous avez découvert les différents types de VLAN, ainsi
que la connexion entre les VLAN et le domaine de diffusion.
 Vous connaissez maintenant les détails de l'étiquetage IEEE 802.1Q et
comment cette méthode permet de différencier les trames Ethernet
associées aux différents VLAN lorsqu'elles parcourent les liaisons trunk
courantes.
 Vous avez également observé la configuration, la vérification et le
dépannage des VLAN et des trunks en utilisant la ligne de commande de
Cisco IOS et exploré les notions de base de la sécurité et de la conception
dans le contexte des VLAN.

120
Chapitre 11: concepts du routage

Fonctions d'un routeur


Caractéristiques d'un réseau

Fonctions d'un routeur


Pourquoi le routage ?

 Le routeur est responsable du routage du trafic entre les réseaux.

Fonctions d'un routeur


Les routeurs sont des ordinateurs

 Les routeurs sont des ordinateurs spécialisés qui contiennent


obligatoirement ces composants :

121
• Processeur
• Système d'exploitation (OS) – Les routeurs utilisent Cisco IOS
• Stockage et mémoire (RAM, ROM, NVRAM, flash, disque dur)

 Les routeurs utilisent les types de mémoire suivant

 Les routeurs utilisent des cartes réseau et des ports spécialisés pour
l'interconnexion avec d'autres réseaux

Fonctions d'un routeur


Les routeurs interconnectent les réseaux

 Les routeurs peuvent connecter plusieurs réseaux.


 Ils ont plusieurs interfaces, chacune sur un réseau IP différent

122
Fonctions d'un routeur
Les routeurs choisissent les meilleurs chemins

 Ils déterminent le meilleur chemin pour l'envoi des paquets.


 Ils utilisent leur table de routage pour déterminer le chemin.

 Ils transfèrent les paquets vers leur destination.


 Ils transmettent les paquets vers l'interface indiquée dans la table de
routage.
 Ils encapsulent les paquets et les transfèrent vers leur destination.

 Ils utilisent des routes statiques et des protocoles de routage dynamique


 pour découvrir les réseaux distants et créer leurs tables de routage.

Fonctions d'un routeur


Les routeurs choisissent les meilleurs chemins

123
Fonctions d'un routeur
Méthodes de transmission des paquets

 Permutation de processus : une ancienne méthode de transmission des


paquets toujours disponibles pour les routeurs Cisco.
 Commutation rapide : une méthode courante de transmission des paquets
qui utilise un cache à commutation rapide pour stocker les informations
du tronçon suivant.
 Cisco Express Forwarding (CEF) : le dernier mécanisme de transmission
des paquets de Cisco IOS. C'est la méthode la plus rapide et la plus
utilisée. Les entrées de la table ne sont pas déclenchées par les paquets
comme dans la technique de commutation rapide, mais par les
modifications

Connexion des périphériques


Connexion à un réseau

124
Connexion des périphériques
Passerelles par défaut
Pour permettre l'accès au réseau, il faut configurer les périphériques avec les
informations d'adresse IP suivantes.

 Adresse IP : identifie un hôte unique sur un réseau local.


 Masque de sous-réseau : identifie le sous-réseau du réseau de l'hôte.
 Passerelle par défaut : identifie le routeur auquel un paquet est
envoyé lorsque la destination n'est pas sur le même sous-réseau du
réseau local.

Connexion des périphériques


Documentation de l'adressage réseau

La documentation réseau doit inclure au moins les éléments suivants dans une
table d'adressage et un schéma de topologie :

 Noms des périphériques


 Interfaces
 Adresses IP et masque de sous-réseau
 Passerelles par défaut

125
Connexion des périphériques
Activation de l'IP sur un hôte

 Adresse IP attribuée de manière statique : l'adresse IP, le masque de


sous-réseau et la passerelle par défaut sont attribués manuellement à
l'hôte. L'adresse IP du serveur DNS peut également être attribuée.
• Elle sert à identifier les ressources réseau spécifiques telles que les
serveurs et les imprimantes.
• Elle peut être utilisée dans les tout petits réseaux ne comportant que
quelques hôtes.
 Adresse IP attribuée dynamiquement : les informations d'adresse IP
sont attribuées dynamiquement par un serveur via le protocole DHCP
(Dynamic Host Configuration Protocol).

• La plupart des hôtes reçoivent ces informations via DHCP.

Les services DHCP peuvent être fournis par les routeurs Cisco

Connexion des périphériques


LED des périphériques

126
Connexion des périphériques
Accès à la console

 L'accès à la console nécessite :

• Câble de console : RJ-45 vers DB-9


• Logiciel d'émulation de terminal : Tera term, PuTTY, HyperTerminal

Connexion des périphériques


Activation de l'IP sur un commutateur

 Les périphériques d'infrastructure réseau nécessitent des adresses IP pour


activer la gestion à distance.
 Sur un commutateur, l'adresse IP de gestion est attribuée à une interface
virtuelle

Paramètres de base d'un routeur


Configuration des paramètres de base du routeur

Premières tâches de configuration à effectuer sur un routeur ou un commutateur


Cisco :

 Attribuer un nom au périphérique : cela permettra de le distinguer des


autres routeurs.
 Sécuriser l'accès pour la gestion : cela consiste à sécuriser l'accès en mode
d'exécution privilégié, en mode d'exécution utilisateur et via Telnet, et de
chiffrer les mots de passe au meilleur niveau de protection.

127
 Configurer une bannière : fournit une mention légale concernant les accès
non autorisés.

Paramètres de base d'un routeur


Configuration des interfaces du routeur

Pour être disponible, une interface de routeur doit être :

 Configurée avec une adresse et un masque de sous-réseau.


 Activée : par défaut, les interfaces LAN et WAN ne sont pas activées.
Pour les activer, utilisez la commande no shutdown.
 Autres paramètres : l'extrémité du câble série identifiée par la mention
DCE doit être configurée avec la commande clock rate.
 Une description peut être incluse (facultatif).

Configuration d'une interface de routeur IPv6

128
 Configurez l'interface avec l'adresse IPv6 et le masque de sous-
réseau. Utilisez la commande de configuration d'interface ipv6
address adresse_ipv6/longueur_ipv6 [link-local | eui-64].
 Activation : avec la commande no shutdown.

Les interfaces IPv6 peuvent prendre en charge plusieurs adresses :

 Configurez une adresse de monodiffusion globale spécifiée :


adresse_ipv6/longueur_ipv6
 Configurez une adresse IPv6 globale avec un identificateur d'interface
(ID) situé dans les 64 bits de poids faible : adresse_ipv6/longueur_ipv6
eui-64
 Configurez une adresse link-local : adresse_ipv6/longueur_ipv6 link-local

Paramètres de base d'un routeur


Configuration d'une interface de bouclage

 L'interface de bouclage est une interface logique interne du routeur.


 Elle n'est pas attribuée à un port physique et est considérée comme une
interface logicielle réglée automatiquement sur l'état « UP ».
 Elle est utile pour les tests, et elle joue un rôle important dans le routage
OSPF.

129
Vérification de la connectivité des réseaux connectés directement
Vérification des paramètres d'interface

Commandes show utilisées pour vérifier le fonctionnement et la


configuration de l'interface :

 show ip interfaces brief


 show ip route
 show running-config

Commandes show utilisées pour recueillir des informations plus détaillées


sur l'interface :

 show interfaces
 show ip interfaces

130
Vérification des paramètres d'interface

 show ipv6 interface brief : affiche un récapitulatif pour chacune des


interfaces.
 show ipv6 interface gigabitethernet 0/0 : affiche l'état de l'interface et
toutes les adresses IPv6 associées à celle-ci.
 show ipv6 route : vérifie que les réseaux IPv6 et les adresses
d'interface IPv6 spécifiques ont été intégrés dans la table de routage IPv6.
 show interface
 show ipv6 routers

Filtrage des résultats des commandes show

 Utilisez la commande terminal lengthnombre pour spécifier combien de


lignes afficher. La valeur 0 (zéro) empêche le routeur de s'arrêter entre les
écrans de résultat.
 Pour filtrer des résultats spécifiques, utilisez le symbole | après la
commande show. Après ce symbole, les paramètres suivants peuvent être
utilisés :section, include, ecxclude, begin

131
Fonction d'historique de commande

 Rappel des commandes : Ctrl+P ou la flèche vers le haut


 Retour aux dernières commandes : Ctrl+N ou flèche vers le bas
 L'historique des commandes est activé et stocke les 10 dernières
commandes dans la mémoire tampon : utilisez show history pour afficher
le contenu.
 Utilisez terminal history size pour augmenter ou réduire la taille de la
mémoire tampon.

Fonctions de commutation du routeur

Commutation des paquets entre les réseaux


Envoi d'un paquet

132
Transfert vers le tronçon suivant

Routage des paquets

133
Atteindre la destination

Détermination du chemin
Décisions relatives au routage

Détermination du chemin
Meilleur chemin

 Le meilleur chemin est sélectionné par un protocole de routage en


fonction d'une valeur ou d'une métrique qu'il utilise pour déterminer la
distance à parcourir pour atteindre un réseau.
 Une métrique est la valeur utilisée pour mesurer la distance par rapport à
un réseau donné.
 Le meilleur chemin pour atteindre un réseau est celui dont la métrique est
la plus faible.
 Les protocoles de routage dynamique utilisent leurs propres règles et
métriques pour créer et gérer les tables de routage. Par exemple :

134
Protocole RIP (Routing Information Protocol) : nombre de sauts

Protocole OSPF (Open Shortest Path First) : coût basé sur la bande
passante cumulée entre la source et la destination

Protocole EIGRP (Enhanced Interior Gateway Routing Protocol) : bande


passante, délai, charge, fiabilité

Protocole OSPF (Open Shortest Path First) : coût basé sur la bande passante
cumulée entre la source et la destination

Protocole EIGRP (Enhanced Interior Gateway Routing Protocol) : bande


passante, délai, charge, fiabilité.

Détermination du chemin
Équilibrage de la charge

Lorsqu'un routeur contient deux chemins ou plus vers une destination avec des
métriques à coût égal, le routeur transmet les paquets en utilisant de manière
égale les deux chemins

Détermination du chemin de la route


Distance administrative

 Si plusieurs chemins pour une même destination sont configurés sur


un routeur, celui de la table de routage possède la meilleure distance
administrative (AD).
 La distance administrative indique la « fiabilité ».

Plus la distance administrative est faible, plus la route est fiable

La table de routage
La table de routage

 La table de routage est un fichier stocké dans la mémoire vive (RAM).


Celui-ci contient des informations sur les éléments suivants :

135
 Routes connectées directement
 Routes distantes
 Réseau ou associations réseau/tronçon suivant

La table de routage
Sources de la table de routage

 La commande show IP route affiche le contenu de la table de routage.


 Interfaces de liaisons locales : ajoutées à la table de routage lors de leur
configuration (affichées dans IOS 15 ou version plus récente)
 Interfaces connectées directement : ajoutées à la table de routage
lorsqu'elles sont configurées et actives.
 Routes statiques : ajoutées lors de leur configuration manuelle et quand
l'interface de sortie est active.
 Protocole de routage dynamique : ajouté lorsque le protocole EIGRP ou
OSPF est mis en œuvre et que les réseaux sont identifiés.

La table de routage
Sources de la table de routage

136
La table de routage
Entrées de routage d'un réseau distant

 Interprétation des entrées de la table de routage

outes connectées directement


Interfaces connectées directement

 Un routeur nouvellement déployé, sans aucune interface configurée,


dispose d'une table de routage vide.
 Une interface connectée directement active configurée crée deux entrées
de table de routage : link-local (L) et Connecté directement (C)

137
Exemple d'interface IPv6 connectée directement

 La commande show ipv6 route affiche les réseaux IPv6 et les routes
intégrées dans la table de routage.

Routes apprises de manière statique


Les routes statiques

 Sont configurées manuellement.


 Définissent un chemin explicite entre deux périphériques réseau.
 Doivent être mises à jour manuellement si la topologie change.
 Présentent des avantages, tels que la sécurité renforcée et le contrôle des
ressources.
 Offre une route statique vers un réseau donné.

ip routenetworkmask {next-hop-ip | exit-intf}

 Une route statique par défaut est utilisée lorsque la table de routage ne
contient pas de chemin vers un réseau de destination.

ip route 0.0.0.0 0.0.0.0 {exit-intf | next-hop-ip

Routes apprises de manière statique


Exemple de route statique

138
Exemple de routes IPv6 statiques

Protocoles de routage dynamique


Routage dynamique

 Utilisé par les routeurs pour partager des informations sur l'accessibilité et
l'état des réseaux distants.
 Détecte les réseaux et gère les tables de routage.

139
Protocoles de routage IPv4

 Les routeurs Cisco ISR peuvent prendre en charge divers protocoles de


routage IPv4 dynamique, notamment :
 EIGRP : Enhanced Interior Gateway Routing Protocol
 OSPF : Open Shortest Path First
 IS-IS : Intermediate System-to-Intermediate System
 RIP : Routing Information Protocol

Protocoles de routage IPv4

Protocoles de routage IPv6

 Les routeurs Cisco ISR peuvent prendre en charge divers protocoles de


routage IPv6 dynamique, notamment :
 RIPng (protocole RIP nouvelle génération)
 OSPF version 3
 EIGRP pour IPv6
 MP-BGP4 (protocole BGP multidiffusion)

Protocoles de routage IPv6

140
Chapitre 12: routage inter-VLAN

Fonctionnement du routage inter-VLAN


Qu'est-ce que le routage inter-VLAN ?

 Les commutateurs de couche 2 ne peuvent pas acheminer le trafic entre


les VLAN sans l'aide d'un routeur.
 Le routage inter-VLAN est une technique d'acheminement du trafic
réseau d'un VLAN à un autre qui repose sur l'utilisation d'un routeur

Fonctionnement du routage inter-VLAN


L'ancien routage inter-VLAN

 Auparavant, le routage entre les VLAN nécessitait des routeurs réels.


 Chaque VLAN était connecté à une interface physique différente du
routeur.
 Les paquets arrivaient sur le routeur par l'une des interfaces, étaient
routés, puis ressortaient par une autre.
 Comme les interfaces du routeur étaient connectées aux VLAN et avaient
des adresses IP correspondant au VLAN concerné, cela permettait
d'assurer le routage entre les VLAN.
 C'était une solution simple, mais non évolutive. Les grands réseaux avec
beaucoup de VLAN nécessitaient de nombreuses interfaces de routeur.

Routage inter-VLAN avec la méthode « Router-on-a-stick »

 La technique dite « Router-on-a-stick » utilise un chemin différent pour le


routage entre les VLAN.
 Une des interfaces physiques du routeur est configurée en tant que port
trunk 802.1Q. Elle est alors capable d'interpréter les étiquettes VLAN.
 Des sous-interfaces logiques sont ensuite créées (une par VLAN).
 Chaque sous-interface est configurée avec une adresse IP du VLAN
qu'elle représente.
 Les membres (hôtes) du VLAN sont configurés pour utiliser l'adresse de
la sous-interface comme passerelle par défaut.
 Une seule interface physique du routeur est utilisée.

141
Routage inter-VLAN des commutateurs multicouches

 Les commutateurs multicouches peuvent exécuter des fonctions de


couche 2 et de couche 3. Les routeurs ne sont plus nécessaires.
 Chaque VLAN présent dans le commutateur est une interface SVI.
 Les interfaces SVI sont considérées comme des interfaces de couche 3.
 Le commutateur reconnaît les unités de données de protocole (PDU) de la
couche réseau, de sorte qu'il peut acheminer le trafic entre ses interfaces
SVI de la même façon qu'un routeur entre ses interfaces.
 Avec un commutateur multicouche, le trafic est routé à l'intérieur du
périphérique de commutation.
 Cette solution est très évolutive.

Configuration du routage inter-VLAN existant


Préparation

 Avec l'ancienne technique de routage inter-VLAN, les routeurs doivent


posséder plusieurs interfaces physiques.
 Chacune de ces interfaces physiques est connectée à un seul VLAN.
 Chaque interface est également configurée avec une adresse IP pour le
sous-réseau associé au VLAN en question.
 Les périphériques réseau utilisent le routeur comme passerelle pour
accéder aux périphériques connectés aux autres VLAN.

Configuration du routage inter-VLAN existant


Préparation

142
Configuration du routage inter-VLAN existant
Configuration du commutateur

Configuration des interfaces du routeur

Configuration de type « router-on-a-stick »


Préparation

 Pour remplacer l'ancien routage inter-VLAN, vous pouvez recourir à


l'agrégation (trunking) de VLAN et aux sous-interfaces.
 Le trunking de VLAN permet à une seule interface physique du routeur
d'acheminer le trafic de plusieurs VLAN.
 Cette interface physique doit être connectée à une liaison trunk sur le
commutateur adjacent.
 Sur le routeur, des sous-interfaces sont créées pour chacun des VLAN du
réseau.
 Chaque sous-interface reçoit une adresse IP spécifique selon son sous-
réseau/VLAN et est également configurée pour étiqueter les trames en
fonction du VLAN destinataire.

143
Configuration de type « router-on-a-stick »
Configuration du commutateur

Configuration de type « router-on-a-stick »


Configuration des interfaces du routeur

Vérification des sous-interfaces

144
Configuration de type « router-on-a-stick »
Vérification du routage

 L'accès aux périphériques des VLAN distants peut être testé au moyen de
la commande ping.
 La commande ping envoie une requête d'écho ICMP à l'adresse de
destination.
 Lorsqu'un hôte reçoit une requête d'écho ICMP, il envoie une réponse
d'écho ICMP.
 Tracert est un utilitaire qui permet de confirmer le chemin emprunté entre
deux périphériques.

Problèmes de configuration inter-VLAN


Problèmes liés aux ports de commutateur

 Avec l'ancien modèle de routage, assurez-vous que les ports du


commutateur reliés aux interfaces du routeur sont configurés avec les
VLAN appropriés.
 Utilisez la commande switchport access vlan 10 pour rectifier les
attributions port/VLAN incorrectes.

145
 Assurez-vous également que le routeur est connecté au port approprié sur
le commutateur.
 Lors de l'utilisation de la technique « router-on-a-stick », vérifiez que le
port du commutateur connecté au routeur est configuré en tant que liaison
trunk.
 La commande switchport mode trunk peut être utilisée pour résoudre ce
problème.

Vérification de la configuration du commutateur

Problèmes de configuration inter-VLAN


Vérification de la configuration du routeur

 Avec les configurations « router-on-a-stick », il arrive souvent que l'ID de


VLAN attribué à la sous-interface ne soit pas correct.
 La commande show interface peut aider à détecter ce problème.
 En cas d'erreur, utilisez la commande d'interface encapsulation dot1q
<vlan id> pour rectifier

Vérification de la configuration du routeur

146
Problèmes d'adressage IP
Erreurs au niveau de l'adresse IP et du masque de sous-réseau

 Avec l'ancienne technique de routage inter-VLAN, vérifiez que le routeur


a l'adresse IP et le masque corrects sur les interfaces connectées au
commutateur.
 Assurez-vous également que les périphériques réseau sont configurés avec
l'adresse IP et le masque corrects.
 Dans le routeur, la commande ip address peut être utilisée pour rectifier
les erreurs d'attribution IP.
 Pour un PC, consultez la documentation du système d'exploitation pour
vous assurer que vos modifications des informations IP sont correctes

Problèmes d'adressage IP
Vérification de la configuration de l'adresse IP et du masque de sous-
réseau

 Pour savoir si l'adresse IP a été configurée correctement dans le routeur,


utilisez la commande show ip interface.
 La commande show running-config peut également se révéler utile pour
résoudre les problèmes liés au routeur.
 Bien que faire concorder les ID des sous-interfaces avec les numéros des
VLAN facilite la configuration inter-VLAN, cela n'est pas obligatoire.
Lors de la résolution des problèmes d'adressage, assurez-vous que la sous-
interface est configurée avec l'adresse appropriée pour ce VLAN.

Fonctionnement et configuration de la commutation de couche 3


Présentation de la commutation de couche 3

 Les commutateurs de couche 3 offrent généralement des débits élevés de


commutation de paquets, de l'ordre de plusieurs millions par seconde
(pps).
 Tous les commutateurs Catalyst prennent en charge deux types
d'interfaces de couche 3 :
• Port routé
• L'interface SVI
 Les commutateurs hautes performances, tels que le Catalyst 6500 et le
Catalyst 4500, sont capables d'assumer la plupart des fonctions d'un
routeur.
 Mais plusieurs modèles Catalyst nécessitent un logiciel spécial pour des
fonctions spécifiques des protocoles de routage.

147
Fonctionnement et configuration de la commutation de couche 3
Routage inter-VLAN au moyen de SVI

 Aujourd'hui, le routage est devenu plus rapide et économique et peut


s'adapter à la vitesse du matériel.
 Il peut être transféré des périphériques centraux aux périphériques de
distribution avec peu d'impact, voire aucun, sur les performances du
réseau.
 De nombreux utilisateurs se trouvent sur des VLAN séparés, dont chacun
constitue généralement un sous-réseau distinct.
 Cela implique que chaque commutateur de distribution doit avoir des
adresses IP qui correspondent à chaque VLAN de commutateur d'accès.
 Les ports de couche 3 (routés) sont généralement implémentés entre la
couche de distribution et la couche cœur de réseau.
 Cette méthode est moins dépendante du mode spanning tree, car il n'y a
aucune boucle dans la portion de couche 2 de la topologie.
 Par défaut, une interface SVI est créée pour le VLAN par défaut
(VLAN1). Cela rend possible l'administration à distance du commutateur.
 Toutes les interfaces SVI supplémentaires doivent être créées par
l'administrateur.
 Elles sont créées la première fois que le mode de configuration d'interface
VLAN est utilisé pour une interface SVI VLAN particulière.
 La commande interface vlan 10 utilisée pour la première fois crée une
interface SVI appelée VLAN 10.
 Le numéro de VLAN indiqué correspond à l'étiquette de VLAN associée
aux trames de données d'un trunk encapsulé 802.1Q.
 Pour chaque création d'interface SVI, assurez-vous que le VLAN
correspondant est présent dans la base de données des VLAN.
 Les interfaces SVI présentent plusieurs avantages :
 Cette méthode est beaucoup plus rapide que le modèle Router-on-a-stick,
car l'ensemble de la commutation et du routage est assuré de manière
matérielle.
 Il n'est pas nécessaire d'utiliser des liaisons externes entre le commutateur
et le routeur pour le routage.
 Ceci ne se limite pas à une seule liaison. Des liaisons EtherChannels de
couche 2 peuvent être utilisées entre les commutateurs pour obtenir
davantage de bande passante.
 La latence est bien plus faible, car elle n'a pas à quitter le commutateur

Fonctionnement et configuration de la commutation de couche 3


Routage inter-VLAN au moyen de ports routés

 Un port routé est un port physique qui se comporte comme une interface
sur un routeur.
 Les ports routés ne sont associés à aucun VLAN.
 Les protocoles de couche 2, tels que STP, ne fonctionnent pas sur une
interface routée.

148
 Les ports routés d'un commutateur Cisco IOS ne prennent pas en charge
les sous-interfaces.
 Pour configurer les ports routés, utilisez la commande no switchport du
mode de configuration d'interface.
 Remarque : les commutateurs de la gamme Catalyst 2960 ne prennent
pas en charge les ports routés.

Configuration de routes statiques sur un Cat2960

 Le gestionnaire de base de données des commutateurs (SDM, Switch


Database Manager) de Cisco fournit plusieurs modèles pour le
commutateur 2960.
 Le modèle SDM lanbase-routing peut être activé pour que le
commutateur puisse acheminer le trafic entre les VLAN et prenne en
charge le routage statique.
 La commande show sdm prefer permet de savoir quel modèle est utilisé.
 Pour changer le modèle SDM, passez en mode de configuration globale et
utilisez la commande sdm prefer.

 Dépannage de la commutation de couche 3


Pour résoudre les problèmes liés à la commutation de couche 3, effectuez
les vérifications suivantes :
 VLAN
• Les VLAN doivent être définis sur tous les commutateurs.
• Les VLAN doivent être activés sur les ports trunk.
• Les ports doivent se trouver dans les VLAN appropriés.
 SVI
• L'interface SVI doit avoir l'adresse IP ou le masque de sous-réseau
correct.
• L'interface SVI doit être fonctionnelle.
• L'interface SVI doit correspondre au numéro de VLAN.
 Pour résoudre les problèmes liés à la commutation de couche 3, effectuez
les vérifications suivantes (suite) :
 Routage
• Le routage doit être activé.
• Chaque interface ou réseau doit être ajouté au protocole de routage.
 Hôtes
• Les hôtes doivent avoir l'adresse IP ou le masque de sous-réseau
correct.
• Les hôtes doivent avoir une passerelle par défaut associée à une
interface SVI ou un port routé.

Résumé

 Dans ce chapitre, vous avez découvert le routage inter-VLAN, autrement


dit l'acheminement du trafic entre les différents VLAN en utilisant soit un
routeur dédié, soit un commutateur multicouche.

149
 L'ancienne technique de routage inter-VLAN « router-on-a-stick » et la
commutation multicouche ont également été présentées.
 Ce chapitre décrit également la commutation de couche 3, les interfaces
SVI et les ports routés.
 Enfin, le dépannage du routage inter-VLAN au moyen d'un routeur ou
d'un commutateur de couche 3 ont été traités. Les erreurs les plus
courantes impliquent les configurations de VLAN, de trunk, d'interface de
couche 3 et d'adresses IP.

150
Chapitre 6 : routage statique

Routage statique
Atteindre les réseaux distants

Un routeur peut apprendre des réseaux distants de deux manières


différentes :

• Manuellement : les réseaux distants sont saisis manuellement dans la table


de route à l'aide de routes statiques.
• Dynamiquement : les routes distantes sont automatiquement acquises via
un protocole de routage dynamique.

Routage statique
Pourquoi utiliser le routage statique ?

Le routage statique offre plusieurs avantages par rapport au routage


dynamique, notamment :

 Les routes statiques ne sont pas annoncées sur le réseau, pour une
meilleure sécurité.
 Les routes statiques utilisent moins de bande passante que les protocoles
de routage dynamique, aucun cycle de processeur n'est utilisé pour
calculer et communiquer des routes.
 Le chemin qu'une route statique utilise pour envoyer des données est
connu

Le routage statique présente les inconvénients suivants :

 La configuration et la maintenance prennent du temps.


 La configuration présente des risques d'erreur, tout particulièrement dans
les grands réseaux.
 L'intervention de l'administrateur est requise pour assurer la mise à jour
des informations relatives aux routes.
 Il a du mal à suivre l'évolution des réseaux et la maintenance devient
fastidieuse.
 Il exige une connaissance complète de l'ensemble du réseau pour une
implémentation correcte.

Quand utiliser les routes statiques ?

Le routage statique a trois fonctions principales :

151
 Il facilite la maintenance des tables de routage dans les réseaux de petite
taille qui ne sont pas amenés à se développer de manière significative.
 Il assure le routage entre les réseaux d'extrémité. Un réseau d'extrémité est
accessible via une seule route, et le routeur n'a pas d'autres voisins.
 Une seule route par défaut est utilisée pour représenter un chemin vers
tout réseau ne présentant aucune correspondance plus spécifique avec une
autre route figurant dans la table de routage. Les routes par défaut sont
utilisées pour envoyer du trafic vers toute destination au-delà du routeur
ascendant.

Types de routes statiques


Usage des routes statiques

Les routes statiques sont souvent utilisées pour :

 La connexion à un réseau spécifique


 Fournir une passerelle de dernier recours à un réseau d'extrémité
 Réduire le nombre de routes annoncées en récapitulant plusieurs réseaux
contigus sous la forme d'une seule route statique
 Créer une route de secours en cas de panne d'une route principale

Types de routes statiques


Route statique standard

Route statique par défaut

 Une route statique par défaut est une route qui correspond à tous les
paquets.
 Une route par défaut identifie l'adresse IP de la passerelle à laquelle le
routeur envoie tous les paquets IP qui n'ont pas de route apprise ou
statique.
 Une route statique par défaut est simplement une route statique avec
0.0.0.0/0 comme adresse IPv4 de destination

152
Types de routes statiques
Route statique récapitulative

Types de routes statiques


Route statique flottante

 Les routes statiques flottantes sont des routes statiques utilisées pour
fournir un chemin de secours à une route statique ou une route dynamique
principale, en cas de défaillance de la liaison.
 La route statique flottante est utilisée uniquement lorsque la route
principale n'est pas disponible.
 Pour cela, la route statique flottante doit être configurée avec une
distance administrative supérieure à celle de la route principale

Configuration des routes statiques IPv4


Commande ip route

153
Configuration des routes statiques IPv4
Options de tronçon suivant

Le tronçon suivant peut être identifié par une adresse IP, une interface de sortie,
ou les deux. La manière dont la destination est spécifiée crée un des trois types
de route suivants :

 Route de tronçon suivant : seule l'adresse IP du tronçon suivant est


spécifiée.
 Route statique connectée directement : seule l'interface de sortie du
routeur est spécifiée.
 Route statique entièrement spécifiée : l'adresse IP de tronçon suivant et
l'interface de sortie sont spécifiées

Configuration d'une route statique de tronçon suivant

Lorsqu'un paquet est destiné au réseau 192.168.2.0/24, R1 :

1. Recherche une correspondance dans la table de routage et découvre qu'il doit


envoyer les paquets à l'adresse IPv4 de tronçon suivant, 172.16.2.2.

2. R1 doit maintenant déterminer comment atteindre 172.16.2.2.


Il recherche donc à nouveau une correspondance avec 172.16.2.2

154
Configuration d'une route statique connectée directement

155
Configuration d'une route statique entièrement spécifiée

 Dans une route statique entièrement spécifiée, l'interface de sortie et


l'adresse IP de tronçon suivant sont spécifiées.
 C'est un autre type de route statique utilisé dans les IOS plus anciens,
avant l'apparition du mode CEF.
 Cette forme de route statique est utilisée lorsque l'interface de sortie est
une interface à accès multiple et il est nécessaire d'identifier explicitement
le tronçon suivant.
 Le tronçon suivant doit être connecté directement à l'interface de sortie
spécifique

Vérification d'une route statique

Avec ping et traceroute, les commandes utiles pour vérifier les routes
statiques sont les suivantes :

 show ip route
 show ip route static
 show ip route réseau

Route statique par défaut

156
Configuration d'une route statique par défaut

Vérification d'une route statique par défaut

157
Configuration des routes statiques IPv6
La commande ipv6 route

La plupart des paramètres sont identiques à la version IPv4 de la commande. Les


routes statiques IPv6 peuvent également être implémentées comme :

 route statique IPv6 standard


 route statique IPv6 par défaut
 route statique IPv6 récapitulative
 route statique IPv6 flottante

Configuration des routes statiques IPv6


Options de tronçon suivant

Le tronçon suivant peut être identifié par une adresse IPv6, une interface
de sortie, ou les deux. La manière dont la destination est spécifiée crée un
des trois types de route suivants :

 Route IPv6 de tronçon suivant : seule l'adresse IPv6 de tronçon suivant est
spécifiée.
 Route IPv6 statique connectée directement : seule l'interface de sortie du
routeur est spécifiée.

Route IPv6 statique entièrement spécifiée : l'adresse IPv6 de tronçon


suivant et l'interface de sortie sont spécifiées

Configuration d'une route IPv6 statique de tronçon suivant

158
Configuration d'une route IPv6 statique connectée directement

159
Configuration d'une route IPv6 statique entièrement spécifiée

Vérification des routes statiques IPv6

Avec ping et traceroute, les commandes utiles pour vérifier les routes statiques
sont les suivantes :

 show ipv6 route


 static no show ipv6 route
 show ipv6 route réseau

Route IPv6 statique par défaut

160
Configuration d'une route IPv6 statique par défaut

Vérification d'une route statique par défaut

161
Adressage par classe
Adressage réseau par classe

Adressage par classe


Masques de sous-réseau par classe

Exemple de protocole de routage par classe

162
Gaspillage dans l'adressage par classe

CIDR et récapitulation de route

163
Exemple d'utilisation du CIDR dans le routage statique

Exemple du protocole de routage sans classe

164
VLSM en action

 La technique VLSM permet l'utilisation de masques différents pour


chaque sous-réseau.
 Une fois un bloc d'adresses réseau segmenté en sous-réseaux, ces sous-
réseaux peuvent à leur tour être segmentés en sous-réseaux.
 La technique VLSM segmente simplement un réseau (ou sous-réseau) en
d'autres sous-réseaux. Le VLSM peut être considéré comme découpage en
sous-réseaux.
 Les adresses IP des hôtes sont attribuées ici à partir des adresses des
« sous-réseaux de sous-réseaux ».

Configuration des routes récapitulatives IPv4


Récapitulation de route

 La récapitulation de route, également connue sous le nom d'agrégation de


routes, est le processus de notification d'un ensemble contigu d'adresses
par une seule adresse avec un masque de sous-réseau plus court et moins
spécifique.
 Le routage interdomaine sans classe (CIDR) est une forme de
récapitulation de route et il est synonyme de création d'un super-réseau.
 Le CIDR ignore les limitations des classes et autorise le récapitulatif avec
les masques inférieurs à celui du masque par classe par défaut.
 Ce type de récapitulation permet de réduire le nombre d'entrées dans les
mises à jour de routage et de diminuer le nombre d'entrées dans les tables
de routage locales.

Configuration des routes récapitulatives IPv4


Calcul d'une route récapitulative

165
Configuration des routes récapitulatives IPv4
Exemple de route statique récapitulative

Récapitulation des adresses réseau IPv6

 Outre le fait que les adresses IPv6 ont une longueur de 128 bits et sont
écrites au format hexadécimal, le récapitulatif d'adresses IPv6 est
réellement similaire au récapitulatif d'adresses IPv4. Il nécessite quelques
étapes supplémentaires liées aux adresses IPv6 abrégées et à la conversion
hexadécimale.
 Plusieurs routes IPv6 statiques peuvent être récapitulées en une seule
route IPv6 statique si :
• Les réseaux de destination sont contigus et peuvent être récapitulés
dans une adresse réseau unique.

166
• Les multiples routes statiques utilisent toutes la même interface de
sortie ou adresse IPv6 de tronçon suivant.

Calcul des adresses réseau IPv6

Étape 1. Répertoriez les adresses réseau (préfixes) et identifiez la partie où les


adresses diffèrent.

Étape 2. Développez l'IPv6 s'il est abrégé.

Étape 3. Convertissez la section différente du format hexadécimal au format


binaire.

Étape 4. Comptez le nombre de bits correspondants à gauche pour déterminer la


longueur de préfixe de la route récapitulative.

Étape 5. Copiez les bits correspondants, puis ajoutez les bits zéro pour
déterminer l'adresse réseau récapitulée (préfixe).

Étape 6. Convertissez la section binaire de nouveau au format hexadécimal.

Étapes 7. Ajoutez le préfixe de la route récapitulative (généré par étape 4).

Configuration d'une adresse récapitulative IPv6

Configuration des routes statiques flottantes


Routes statiques flottantes

167
 Les routes statiques flottantes sont des routes statiques qui ont une
distance administrative supérieure à la distance administrative d'une autre
route statique ou de routes dynamiques.
 La distance administrative d'une route statique peut être augmentée pour
rendre la route moins souhaitable que celle d'une autre route statique ou
d'une route apprise via un protocole de routage dynamique.
 De cette manière, la route statique « flotte » et n'est pas utilisée lorsque la
route dont la distance administrative est meilleure est active.

Toutefois, si la route préférée est perdue, la route statique flottante peut


relayer, et le trafic peut être envoyé par cette autre route

Configuration d'une route statique flottante

Test de la route statique flottante

 Utilisez la commande show ip route pour savoir si la table de routage


utilise bien la route statique par défaut.
 Utilisez la commande traceroute pour suivre le trafic sortant de la route
principale.
 Déconnectez la liaison principale ou arrêtez l'interface de sortie
principale.
 Utilisez la commande show ip route pour savoir si la table de routage
utilise bien la route statique flottante.
 Utilisez la commande traceroute pour suivre le trafic sortant de la route
de secours.

Résolution du problème de route manquante

Les commandes standard de dépannage IOS sont notamment :

 ping

168
 traceroute
 show ip route
 show ip interface brief
 show cdp neighbors detail

résumé

 Les routes statiques peuvent être configurées avec une adresse IP de


tronçon suivant, communément l'adresse IP du routeur de tronçon suivant.
 En cas d'utilisation d'une adresse IP de tronçon suivant, le processus de la
table de routage doit convertir cette adresse en interface de sortie.
 Pour les liens série point à point, il est généralement plus efficace de
configurer une interface de sortie sur la route statique.
 Sur les réseaux à accès multiple comme Ethernet, une adresse IP de
tronçon suivant et une interface de sortie peuvent être configurées sur la
route statique.
 Les routes statiques ont une distance administrative par défaut de « 1 ».
 Une route statique n'est entrée dans la table de routage que si l'adresse IP
de tronçon suivant peut être résolue par le biais d'une interface de sortie.
 Que la route statique soit configurée avec une adresse IP de tronçon
suivant ou avec une interface de sortie, si cette dernière (utilisée pour
transférer le paquet) n'est pas dans la table de routage, la route statique
n'est pas incluse dans la table de routage.
 Souvent, plusieurs routes statiques peuvent être configurées comme une
seule route récapitulative.
 La meilleure route récapitulative est une route par défaut, configurée avec
une adresse réseau 0.0.0.0 et un masque de sous-réseau 0.0.0.0.
 En l'absence de correspondance plus précise dans la table de routage, cette
dernière utilise la route par défaut pour transférer le paquet vers un autre
routeur.
 Une route statique flottante peut être configurée comme route de secours
pour un lien principal en manipulant sa valeur administrative

Chapitre 13 : routage dynamique

Fonctionnement des protocoles de routage dynamique


L'évolution des protocoles de routage dynamique

 Les protocoles de routage dynamique utilisés dans les réseaux depuis la


fin des années 1980
 Les versions plus récentes prennent en charge les communications IPv6

Classification des protocoles de routage

169
 Protocoles de routage
• Utilisés pour faciliter l'échange d'informations de routage entre les
routeurs
 Les protocoles de routage dynamique ont plusieurs fonctions, dont :
• La détection des réseaux distants
• L'actualisation des informations de routage
• Le choix du meilleur chemin vers des réseaux de destination
• La capacité à trouver un nouveau meilleur chemin si le chemin actuel
n'est plus disponible

Fonction des protocoles de routage dynamique

Les protocoles de routage dynamique se composent principalement des


éléments suivants :

 Structures de données : pour fonctionner, les protocoles de routage


utilisent généralement des tables ou des bases de données. Ces
informations sont conservées dans la mémoire vive.
 Messages de protocoles de routage : les protocoles de routage utilisent
différents types de messages pour découvrir les routeurs voisins, échanger
des informations de routage et effectuer d'autres tâches afin d'obtenir et de
gérer des informations précises relatives au réseau.
 Algorithme : les protocoles de routage utilisent des algorithmes pour
faciliter l'échange d'informations de routage et déterminer le meilleur
chemin d'accès.

170
 Avantages du routage dynamique
• Partage automatique des informations sur les réseaux distants
• Identification du meilleur chemin vers chaque réseau et ajout de ces
informations dans les tables de routage
• Moins de tâches administratives que le routage statique
• Pour les administrateurs réseau, gestion plus facile des processus
fastidieux de configuration et des routes statiques
 Inconvénients du routage dynamique
• Une partie des ressources des routeurs dédiée au fonctionnement du
protocole, notamment le temps processeur et la bande passante de
la liaison réseau
 Périodes pendant lesquelles le routage statique est plus approprié

Comparaison des routages dynamique et statique


Utilisation du routage statique

 Les réseaux combinent généralement le routage dynamique et le routage


statique.
 Le routage statique est principalement utilisé pour les raisons suivantes :
• Faciliter la maintenance des tables de routage dans les réseaux plus
petits qui ne sont pas amenés à se développer de manière
significative
• Le routage entre les réseaux d'extrémité
o Un réseau avec une seule route par défaut à la sortie et
aucune connaissance des réseaux distants
• Accès à un routeur par défaut unique
o Représenter un chemin vers tout réseau ne contenant pas
d'entrée correspondante dans la table de routage

Utilisation du routage statique

171
Fonctionnement des protocoles de routage dynamique

D'une manière générale, le fonctionnement d'un protocole de routage


dynamique peut être décrit de la manière suivante :

1. Le routeur envoie et reçoit des messages de routage sur ses interfaces.


2. Le routeur partage les messages et les informations de routage avec les
autres routeurs qui utilisent le même protocole de routage.
3. Les routeurs échangent des informations de routage pour découvrir des
réseaux distants.
4. Lorsqu'un routeur détecte un changement de topologie, le protocole de
routage peut l'annoncer aux autres routeurs.

Principes fondamentaux des protocoles de routage


Démarrage à froid

172
 R1 ajoute le réseau 10.1.0.0 disponible via l'interface FastEthernet 0/0 et
10.2.0.0 devient alors disponible via l'interface Serial 0/0/0.
 R2 ajoute le réseau 10.2.0.0 disponible via l'interface Serial 0/0/0 et
10.3.0.0 devient alors disponible via l'interface Serial 0/0/1.
 R3 ajoute le réseau 10.3.0.0 disponible via l'interface Serial 0/0/1 et
10.4.0.0 devient alors disponible via l'interface FastEthernet 0/0.

Principes fondamentaux des protocoles de routage


Détection de réseau

Routeurs exécutant le protocole RIPv2

R1 :

 Envoie les dernières informations sur le réseau 10.1.0.0 via l'interface


Serial 0/0/0.
 Envoie les dernières informations sur le réseau 10.2.0.0 via l'interface
FastEthernet 0/0.
 Reçoit une mise à jour de R2 sur le réseau 10.3.0.0 avec une métrique
égale à 1.
 Stocke le réseau 10.3.0.0 dans la table de routage avec une métrique égale
à 1.

173
Routeurs exécutant le protocole RIPv2

R2 :

 Envoie les dernières informations sur le réseau 10.3.0.0 via l'interface


Serial 0/0/0.
 Envoie les dernières informations sur le réseau 10.2.0.0 via l'interface
Serial 0/0/1.
 Reçoit une mise à jour de R1 sur le réseau 10.1.0.0 avec une métrique
égale à 1.
 Stocke le réseau 10.1.0.0 dans la table de routage avec une métrique égale
à 1.
 Reçoit une mise à jour de R3 sur le réseau 10.4.0.0 avec une métrique
égale à 1.
 Stocke le réseau 10.4.0.0 dans la table de routage avec une métrique égale
à 1.

Routeurs exécutant le protocole RIPv2

R3 :

 Envoie les dernières informations sur le réseau 10.4.0.0 via l'interface


Serial 0/0/1.
 Envoie les dernières informations sur le réseau 10.3.0.0 via l'interface
FastEthernet 0/0.
 Reçoit une mise à jour de R2 sur le réseau 10.2.0.0 avec une métrique
égale à 1.

Stocke le réseau 10.2.0.0 dans la table de routage avec une métrique égale
à1

Échange des informations de routage

174
Routeurs exécutant le protocole RIPv2

R1 :

 Envoie les dernières informations relatives au réseau 10. 1. 0. 0 via


l'interface Serial 0/0/0.
 Envoie les dernières informations relatives aux réseaux 10. 2. 0. 0 et 10. 3.
0. 0 via l'interface FastEthernet 0/0.
 Reçoit les dernières informations envoyées par R2 sur le réseau 10. 4. 0. 0
avec une métrique égale à 2
 Stocke le réseau 10. 4. 0. 0 dans la table de routage avec une métrique
égale à 2.

Une mise à jour identique depuis R2 contient des informations sur le


réseau 10. 3. 0. 0 avec une métrique égale à 1. Aucune modification n'est
intervenue ; par conséquent, les informations de routage restent les mêmes

Échange des informations de routage

175
R2 :

 Envoie les dernières informations relatives aux réseaux 10. 3. 0. 0 et 10. 4.


0. 0 via l'interface Serial 0/0/0.
 Envoie les dernières informations relatives aux réseaux 10. 1. 0. 0 et 10. 2.
0. 0 via l'interface Serial 0/0/1.
 Reçoit les dernières informations envoyées par R1 sur le réseau 10. 1. 0.
0. Aucune modification n'est intervenue ; par conséquent, les informations
de routage restent les mêmes.
 Reçoit les dernières informations envoyées par R3 sur le réseau 10. 4. 0.
0. Aucune modification n'est intervenue ; par conséquent, les informations
de routage restent les mêmes.

Échange des informations de routage

R3 :

 Envoie les dernières informations relatives au réseau 10. 4. 0. 0 via


l'interface Serial 0/0/1.
 Envoie les dernières informations relatives aux réseaux 10. 2. 0. 0 et 10. 3.
0. 0 via l'interface FastEthernet 0/0.
 Reçoit les dernières informations envoyées par R2 sur le réseau 10. 1. 0. 0
avec une métrique égale à 2.
 Stocke le réseau 10. 1. 0. 0 dans la table de routage avec une métrique
égale à 2.
 Une mise à jour identique depuis R2 contient des informations sur le
réseau 10. 2. 0. 0 avec une métrique égale à 1. Aucune modification n'est
intervenue ; par conséquent, les informations de routage restent les
mêmes.

Principes fondamentaux des protocoles de routage


Assurer la convergence

 Le réseau est convergent lorsque tous les routeurs disposent


d'informations complètes et précises à son sujet.

176
 Le temps de convergence est le temps nécessaire aux routeurs pour
partager des informations, calculer les meilleurs chemins et mettre à jour
leurs tables de routage.
 Un réseau n'est pas complètement opérationnel tant qu'il n'est pas
convergent.
 Les propriétés de convergence incluent la vitesse de propagation des
informations de routage et le calcul des chemins optimaux. La vitesse de
propagation désigne le temps nécessaire aux routeurs du réseau pour
transférer les informations de routage.

 En général, les protocoles plus anciens, tels que le protocole RIP,


convergent lentement, tandis que les protocoles modernes, tels que les
protocoles EIGRP et OSPF, convergent plus rapidement.

Types de protocoles de routage


Classification des protocoles de routage

Types de protocoles de routage


Protocoles de routage IGP et EGP

177
Protocoles IGP (Interior Gateway Protocol) :

 Utilisés pour le routage à l'intérieur d'un AS


 Sont notamment RIP, EIGRP, OSPF et IS-IS

Protocoles EGP (Exterior Gateway Protocols) :

 Utilisés pour le routage entre AS


 Protocole de routage officiel utilisé par Internet

Types de protocoles de routage


Protocoles de routage à vecteur de distance

Protocoles IGP à vecteur de distance IPv4 :

Pour R1, 172.16.3.0/24 est à un tronçon (distance) et peut être atteint


via R2 (vecteur).

 RIPv1 : ancien protocole de première génération

 RIPv2 : protocole simple de routage à vecteur de distance


 IGRP : protocole propriétaire de Cisco de première génération (obsolète)
 EIGRP : version avancée du routage à vecteur de distance

Types de protocoles de routage


Protocoles de routage à état de liens ou à vecteur de distance

Les protocoles à vecteur de distance utilisent les routeurs comme


poteaux indicateurs le long du chemin, et ceci jusqu'à la destination finale

Un protocole de routage à état de liens est comme une carte complète


de la topologie du réseau. Les poteaux indicateurs le long du chemin entre
la source et la destination ne sont pas nécessaires, car tous les routeurs à
état de liens utilisent une carte du réseau identique. Un routeur à état de
liens utilise les informations d'état de liens pour créer une topologie et
sélectionner le meilleur chemin vers tous les réseaux de destination.

178
Types de protocoles de routage
Protocoles de routage à état de liens

Protocoles IGP à état de liens IPv4 :

 OSPF : protocole de routage courant basé sur des normes


 IS-IS : courant dans les réseaux des fournisseurs de services

Types de protocoles de routage


Protocoles de routage par classe

 Les protocoles de routage par classe n'envoient pas les informations de


masque de sous-réseau dans les mises à jour de routage.
• Seuls RIPv1 et IGRP sont des protocoles de routage par classe.
• Ils ont été créés lorsque les adresses réseau étaient attribuées en
fonction des classes (A, B ou C).
• Ils ne peuvent pas fournir des masques de sous-réseau de longueur
variable (VLSM) ni le routage interdomaine sans classe (CIDR).
• Ils posent des problèmes sur les réseaux discontinus.

Types de protocoles de routage


Protocoles de routage sans classe

 Les protocoles de routage sans classe incluent les informations de


masque de sous-réseau dans les mises à jour de routage.
• RIPv2, EIGRP, OSPF et IS_IS
• Prise en charge de la technique VLSM et de CIDR
• Protocoles de routage IPv6

Caractéristiques des protocoles de routage

179
Métriques des protocoles de routage

Une métrique est une valeur mesurable attribuée par le protocole de


routage aux différentes routes selon leur utilité.

 Elle sert à déterminer le « coût » global d'un chemin entre la source et la


destination.
 Les protocoles de routage déterminent le meilleur chemin en fonction de
la route dont la métrique est la plus faible.

Routage dynamique à vecteur de distance

Fonctionnement des protocoles de routage à vecteur de distance


Technologies liées au vecteur de distance

Les protocoles de routage à vecteur de distance

 Partagent les mises à jour entre voisins.


 Ne connaissent pas la topologie du réseau.
 Certains envoient des mises à jour régulières pour diffuser l'adresse IP
255.255.255.255 même si la topologie n'a pas changé.
 Les mises à jour consomment de la bande passante et les ressources
processeur des périphériques réseau.
 RIPv2 et EIGRP utilisent des adresses de multidiffusion.
 EIGRP envoie une mise à jour uniquement lorsque la topologie a changé.

Algorithme du vecteur de distance

Le protocole RIP utilise l'algorithme de Bellman-Ford comme


algorithme de routage.

180
IGRP et EIGRP utilisent l'algorithme de routage DUAL (Diffusing
Update Algorithm) développé par Cisco.

Types de protocoles de routage à vecteur de distance


Protocole RIP (Routing Information Protocol)

 Les mises à jour de routage sont diffusées toutes les 30 secondes


 Les mises à jour utilisent le port UDP 520.
 RIPng est basé sur RIPv2 avec une limitation à 15 sauts et une distance
administrative égale à 120.

Protocole EIGRP (Enhanced Interior-Gateway Routing Protocol)

Protocole EIGRP (Enhanced Interior-Gateway Routing Protocol)

EIGRP

 Mises à jour déclenchées associées


 Mécanisme de maintien de connexion (Hello)
 Gestion d'une table topologique

181
 Convergence rapide
 Prise en charge de plusieurs protocoles de couche réseau

Routage RIP et RIPng

Configuration du protocole RIP


Mode de configuration RIP du routeur
Annonce aux réseaux

Examen des paramètres RIP par défaut

Activation de RIPv2

182
Configuration des interfaces passives

L'envoi de mises à jour inutiles sur un LAN a trois effets néfastes sur
le réseau :

 Gaspillage de la bande passante


 Gaspillage des ressources

Risque pour la sécurité

183
Propagation d'une route par défaut

Configuration du protocole RIPng


Annonce aux réseaux IPv6

184
Examen de la configuration du protocole RIPng

Routage dynamique à état de liens

Fonctionnement du protocole de routage à état de liens


Protocoles du plus court chemin

185
Fonctionnement du protocole de routage à état de liens
Algorithme de Dijkstra

Mises à jour d'état de liens


Processus de routage à état de liens

Mises à jour d'état de liens


Lien et état de liens

186
La première étape du processus de routage à état de liens consiste à faire
en sorte que chaque routeur prenne connaissance de ses propres liens et de
ses propres réseaux connectés directement

Mises à jour d'état de liens


Dites Hello

La deuxième étape du processus de routage à état de liens consiste à faire


en sorte que chaque routeur se charge de répondre à ses voisins sur les
réseaux connectés directement

187
Mises à jour d'état de liens
Dites Hello

La troisième étape du processus de routage à état de liens consiste à faire


en sorte que chaque routeur construise un LSP (Link-State Packet)
contenant l'état de chaque lien connecté directement

1. R1 ; réseau Ethernet ; 10.1.0.0/16 ; coût 2


2. R1 -> R2 ; réseau série point à point ; 10.2.0.0/16 ; coût 20
3. R1 -> R3 ; réseau série point à point ; 10.7.0.0/16 ; coût 5
4. R1 -> R4 ; réseau série point à point ; 10.4.0.0/16 ; coût 20

Mises à jour d'état de liens


Inondation de LSP

La quatrième étape du processus de routage à état de liens consiste à faire


en sorte que chaque routeur diffuse le LSP à tous ses voisins, qui vont
alors stocker l'ensemble des LSP reçus dans une base de données

188
Mises à jour d'état de liens
Création de la base de données d'états de liens

L'étape finale du processus de routage d'état de liens est la suivante : chaque


routeur utilise la base de données pour créer une carte topologique complète et
calcule le meilleur chemin vers chaque réseau de destination.

Mises à jour d'état de lien


Création de l'arborescence SPF

189
Mises à jour d'état de lien
Création de l'arborescence SPF

Mises à jour d'état de lien


Ajout des routes OSPF dans la table de routage

190
Pourquoi utiliser des protocoles de routage à état de liens
Pourquoi utiliser des protocoles à état de liens ?

Inconvénients par rapport aux protocoles de routage à vecteur de distance :

• Mémoire requise
• Temps processeur requis
• Bande passante requise

Pourquoi utiliser des protocoles de routage à état de liens


Inconvénients des protocoles à état de liens

Pourquoi utiliser des protocoles de routage à état de liens


Protocoles utilisant l'état de liens

Seulement deux protocoles de routage à état de liens :

 OSPF (Open Shortest Path First), le plus répandu


• Début du travail en 1987

191
• Deux versions actuelles
• OSPFv2 : OSPF pour les réseaux IPv4
• OSPFv3 : OSPF pour les réseaux IPv6
 IS-IS a été conçu par l'organisation internationale de normalisation (ISO)

La table de routage

Parties d'une entrée de route IPv4


Entrées de table de routage

Parties d'une entrée de route IPv4


Entrées pour des interfaces connectées directement

Parties d'une entrée de route IPv4


Entrée pour un réseau distant

192
Routes IPv4 apprises dynamiquement
Termes associés aux tables de routage

Les routes sont décrites selon les termes suivants :

 Meilleure route
 Route de niveau 1
 Route parent de niveau 1
 Routes enfant de niveau 2

Routes IPv4 apprises dynamiquement


Meilleure route

Une meilleure route est une entrée de table de routage qui contient soit
une adresse IP de tronçon suivant, soit une interface de sortie. Les routes
link-local, connectées directement et apprises dynamiquement sont des
meilleures routes

Routes IPv4 apprises dynamiquement


Route de niveau 1

193
Routes IPv4 apprises dynamiquement
Route parent de niveau 1

Routes IPv4 apprises dynamiquement


Route enfant de niveau 2

Le Processus de recherche de route IPv4


Meilleure route = correspondance la plus longue

194
Analyse d'une table de routage IPv6
Entrées pour les routes connectées directement

195
Analyse d'une table de routage IPv6
Entrées pour un réseau IPv6 distant

Résumé

Les protocoles de routage dynamiques :

 Sont utilisés par les routeurs pour détecter automatiquement les réseaux
distants à partir des autres routeurs.
 Leur rôle : détection des réseaux distants, actualisation des informations
de routage, choix du meilleur chemin vers les réseaux de destination et
capacité à trouver un autre meilleur chemin si l'actuel n'est plus
disponible.
 C'est le choix idéal pour les grands réseaux, mais le routage statique est
mieux adapté aux réseaux d'extrémité.
 Ils sont conçus pour informer les autres routeurs sur les modifications.
 Ils peuvent être de différentes sortes : par classe ou sans classe, à vecteur
de distance ou à état de liens, et protocole EGP.

196
 Un protocole de routage à état de liens peut créer une vue ou une
topologie complète du réseau en recueillant des informations à partir de
tous les autres routeurs.
 Les métriques sont utilisées pour déterminer le meilleur chemin ou le
chemin le plus court pour atteindre un réseau de destination.
 Selon le protocole de routage, les éléments suivants peuvent être
différents : sauts, bande passante, délai, fiabilité, charge.
 La commande show ip protocols affiche les paramètres du protocole de
routage IPv4 en vigueur sur le routeur. Pour IPv6, utilisez la commande
show ipv6 protocols

 Les routeurs Cisco utilisent la valeur de la distance administrative pour


déterminer quelle source de routage utiliser.
 Chaque protocole de routage dynamique possède une valeur de distance
administrative unique. Il en va de même pour les routes statiques et les
réseaux connectés directement. La route préférée est celle qui a la valeur
la plus faible.
 Les réseaux connectés directement sont la source privilégiée. Viennent
ensuite les routes statiques, puis divers protocoles de routage dynamique.
 Un lien OSPF est une interface sur un routeur. Des informations sont
fournies sur l'état des liens.
 Les protocoles de routage à état de liens appliquent l'algorithme de
Dijkstra pour calculer la meilleure route (cumul des coûts le long de
chaque chemin, de la source à la destination, afin de déterminer le coût
total d'une route).

197
Chapitre 14 : OSPF à zone unique

Protocole OSPF
Évolution du protocole OSPF

OSPFv2 1988

OSPFv3 1989 actualisé en 1989

Caractéristiques du protocole OSPF

Composants du protocole OSPF

198
Composants du protocole OSPF

Les routeurs OSPF échangent des paquets. Ceux-ci sont utilisés pour détecter les
routeurs voisins et échanger des informations de routage afin de garantir
l'exactitude des données relatives au réseau.

Fonctionnement des états de liens

199
Si un voisin est présent, le routeur à fonction OSPF tente d'établir une contiguïté
de voisinage avec celui-ci.

Fonctionnement des états de liens

 Les LSA contiennent l'état et le coût de chaque lien connecté directement.


 Les routeurs transmettent leurs LSA aux voisins contigus.
 Les voisins contigus recevant des LSA les diffusent immédiatement aux
autres voisins connectés directement, jusqu'à ce que tous les routeurs de la
zone aient tous les LSA.

Fonctionnement des états de liens

 Créez la table topologique à partir des LSA reçues.


 Cette base de données se retrouve alors à stocker toutes les informations
relatives à la topologie du réseau.
 Exécutez l'algorithme SPF.

Fonctionnement des états de liens

200
Les meilleurs chemins sont insérés dans la table de routage à partir de
l'arborescence SPF

OSPF à zone unique et à zones multiples

201
OSPF à zone unique et à zones multiples

Encapsulation des messages OSPF

Messages OSPF

202
Messages OSPF

Types de paquets OSPF

Messages OSPF
Paquet Hello

Paquet OSPF de type 1 = paquet Hello

 Détection des voisins OSPF et établissement des contiguïtés


 Annonce des paramètres sur lesquels deux routeurs doivent s'accorder
pour devenir voisins
 Choix du routeur désigné (DR) et du routeur désigné de secours (BDR)
sur les réseaux à accès multiple (Ethernet et relais de trames par exemple)

Messages OSPF
Intervalles entre les paquets Hello

Les paquets Hello OSPF sont transmis :

 À l'adresse 224.0.0.5 dans un environnement IPv4 et à l'adresse FF02::5


dans un environnement IPv6 (tous les routeurs OSPF)

203
 Toutes les 10 secondes (valeur par défaut dans les réseaux à accès
multiple et point à point)
 Toutes les 30 secondes (valeur par défaut dans les réseaux à accès
multiple sans diffusion [NBMA])
 L'intervalle d'inactivité (Dead) correspond au laps de temps pendant
lequel le routeur attend de recevoir un paquet Hello avant de déclarer le
voisin hors service
 Le routeur inonde la LSDB d'informations sur les voisins hors service
pour toutes les interfaces OSPF
 C'est par défaut 4 fois l'intervalle Hello

Mises à jour d'état de liens

Fonctionnement d'OSPF
États opérationnels OSPF

Lorsqu'un routeur OSPF est initialement connecté à un réseau, il tente de :

 Créer des contiguïtés avec ses voisins


 Procéder à l'échange des informations de routage
 Calculer les meilleures routes
 Converger
 OSPF passe par plusieurs états en tentant d'atteindre la convergence.

204
Établissement des contiguïtés de voisinage

Établissement des contiguïtés de voisinage

205
Fonctionnement d'OSPF
Sélection DR/BDR

Synchronisation de la base de données OSPF

Configuration d'OSPFv2 à zone unique

ID de routeur OSPF
Topologie de réseau OSPF

206
ID de routeur OSPF
ID de routeur

207
Configurer OSPFv2 à zone unique
La commande network

Configurer OSPFv2 à zone unique


Configuration des interfaces passives

Utilisez la commande du mode de configuration du routeur passive-


interface pour empêcher la transmission de messages de routage via une
interface de routeur, mais permettre que le réseau soit annoncé aux autres
routeurs.

208
Coût OSPF
Métrique OSPF = coût

Coût = bande passante de référence / bande passante des interfaces

(la bande passante de référence par défaut est 10^8)

Coût = 100 000 000 bits/s / bande passante des interfaces en bits/s

Coût OSPF
OSPF cumule les coûts

Le coût d'une route OSPF correspond à la valeur cumulée entre un routeur


et le réseau de destination.

209
Coût OSPF
Réglage de la bande passante de référence

 Avec la commande auto-cost reference-bandwidth


 À effectuer sur chaque routeur du domaine OSPF
 Notez que la valeur est exprimée en Mbit/s :

Gigabit Ethernet : auto-cost reference-bandwidth 1000

10 Gigabit Ethernet : auto-cost reference-bandwidth 10000

Coût OSPF
Bande passante par défaut des interfaces

210
Sur les routeurs Cisco, la bande passante par défaut de la plupart des interfaces
série est réglée sur 1,544 Mbit/s.

Coût OSPF
Réglage de la bande passante des interfaces

Coût OSPF
Réglage manuel du coût OSPF

Les commandes d'interface bandwidth et ip ospf cost produisent toutes deux


le même résultat : elles fournissent une valeur précise qu'OSPF utilise pour
déterminer la meilleure route.

211
Vérification d'OSPF
Vérification des voisins OSPF

Vérifiez que le routeur a établi une contiguïté avec les routeurs voisins

Vérification d'OSPF
Vérification des paramètres du protocole OSPF

Vérification d'OSPF
Vérification des paramètres d'interface OSPF

212
Configuration d'OSPFv3 à zone unique

Comparaison d'OSPFv2 et d' OSPFv3


OSPFv3

Comparaison d'OSPFv2 et d' OSPFv3


Points communs entre OSPFv2 et OSPFv3

Comparaison d'OSPFv2 et d' OSPFv3


Différences entre OSPFv2 et OSPFv3

213
Comparaison d'OSPFv2 et d' OSPFv3
Adresses link-local

L'adresse FF02::5 est l'adresse pour tous les routeurs OSPF.

FF02::6 est l'adresse de multidiffusion DR/BDR.

Configuration d'OSFPv3
Topologie de réseau OSPFv3

214
Configuration d'OSFPv3
Adresses
link-local

 Les adresses link-local sont créées automatiquement lorsqu'une adresse de


monodiffusion globale IPv6 est attribuée à l'interface (obligatoire).
 Les adresses de monodiffusion globale ne sont pas nécessaires.
 Les routeurs Cisco créent l'adresse link-local en utilisant le préfixe
FE80::/10 et le processus EUI-64, sauf s'ils sont configurés manuellement.
 EUI-64 consiste à utiliser l'adresse MAC Ethernet 48-bit, à insérer FFFE
au milieu et à manipuler le septième bit. Pour les interfaces série, Cisco
utilise l'adresse MAC d'une interface Ethernet.
 Notez que dans la figure les trois interfaces utilisent la même adresse link-
local.

Configuration d'OSFPv3
Attribution des adresses link-local

La configuration de l'adresse link-local permet de créer une adresse qui


est reconnaissable et plus facile à mémoriser

215
Configuration d'OSFPv3
Configuration de l'ID de routeur OSPFv3

Configuration d'OSFPv3
Modification d'un ID de routeur OSPFv3

216
Configuration d'OSFPv3
Activation d'OSPFv3 sur les interfaces

Au lieu d'utiliser la commande du mode de configuration de


routeur network pour spécifier les adresses d'interface correspondantes,
OSPFv3 est configuré directement sur l'interface.

Vérification des paramètres de protocole/voisins OSPFv3

217
Vérification d'OSPFv3
Vérification des interfaces OSPFv3

Vérification de la table de routage IPv6

Résumé

OSPF :

 OSPFv2 pour IPv4


 OSPFv3 pour IPv6

218
 Protocole de routage à état de liens, sans classe, avec une distance
administrative par défaut de 110, et identifié dans la table de routage par
le code source de route O.
 OSPFv2 est activé avec la commande de configuration globale router
ospf id-processus. La valeur id-processus n'a qu'une signification locale,
ce qui veut dire qu'elle n'a pas à correspondre à celle des autres routeurs
OSPF pour établir des contiguïtés avec des voisins.
 La commande network utilise la valeur masque-générique qui est
l'inverse du masque de sous-réseau, et la valeur id-zone.
 Par défaut, des paquets Hello OSPF sont envoyés toutes les 10 secondes
sur les segments à accès multiple et point à point, et toutes les 30
secondes sur les segments NBMA (Frame Relay, X.25, ATM), et sont
utilisés par OSPF pour établir des contiguïtés de voisinage. Par défaut,
l'intervalle Dead est quatre fois plus long que l'intervalle Hello.
 Pour que les routeurs deviennent contigus, leurs intervalles de paquets
Hello et Dead, leurs types de réseau et leurs masques de sous-réseau
doivent correspondre. Utilisez la commande show ip ospf neighbors pour
vérifier les contiguïtés OSPF.
 Dans un réseau à accès multiple, OSPF choisit un routeur désigné comme
point de collecte et de distribution des LSA envoyées et reçues. Un
routeur désigné de secours est sélectionné pour remplir le rôle de routeur
désigné si ce dernier venait à défaillir. Tous les autres routeurs sont
connus sous le nom de DROthers. Tous les routeurs envoient leur LSA au
DR, qui les diffuse ensuite aux autres routeurs du réseau à accès multiple.
 Dans un réseau à accès multiple, le routeur ayant l'ID de routeur le plus
élevé est le DR, et le suivant est le BDR. Pour changer cet ordre, utilisez
la commande ip ospf priorité sur l'interface concernée. Le routeur ayant
la priorité la plus élevée est le DR, et le suivant est le BDR.
 La commande show ip protocols sert à vérifier les données de
configuration OSPF importantes, notamment l'ID de processus OSPF, l'ID
du routeur et les réseaux auxquels ce dernier fait ses annonces.
 OSPFv3 est activé sur une interface et n'est pas en mode de configuration
du routeur. OSPFv3 a besoin que les adresses link-local soient
configurées. Le routage monodiffusion IPv6 doit être activé pour
OSPFv3. Un ID de routeur de 32 bits est requis avant qu'une interface
puisse être activée pour OSPFv3.
 La commande show ip protocols sert à vérifier les données de
configuration OSPFv2 importantes, notamment l'ID de processus OSPF,
l'ID du routeur et les réseaux auxquels ce dernier fait ses annonces.
 OSPFv3
 Est activé sur une interface et n'est pas en mode de configuration du
routeur.
 Rend obligatoire la configuration des adresses link-local. IPv6
 Le routage monodiffusion doit être activé pour OSPFv3.
 Un ID de routeur de 32 bits est requis pour qu'une interface puisse
être activée pour OSPFv3.

219
 La commande show ipv6 protocols est un moyen rapide de vérifier
les informations de configuration (ID de processus OSPF, ID du
routeur et interfaces activées pour OSPFv3).

Objectif des listes de contrôle d'accès


Qu'est-ce qu'une liste de contrôle d'accès ?

Objectif des listes de contrôle d'accès


Filtrage des paquets
 Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à
un réseau en analysant les paquets entrants et sortants et en les transmettant ou en
rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses IP de
destination et le protocole transporté dans le paquet.

 Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément
aux règles de filtrage.

 Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation


ou de refus, appelées entrées de contrôle d'accès (ACE).

Fonctionnement des listes de contrôle d'accès


Les listes de controle d’acces entrantes filtrent les paquets entrant dans une interface
speifique avant qu’ils soient acheminez vers l’interfae de sortie
Les listes de controle d’acces sortantes filtrent les paquets entrant filtrent les paquets apres
qu’ils soient routés et ce, quelque soit l’interface de sortie.
La dernière instruction d'une liste de contrôle d'accès est toujours implicit deny. Cette
instruction est automatiquement ajoutée à la fin de chaque liste de contrôle d'accès, même si
elle n'est pas physiquement présente. L'instruction implicit deny bloque l'ensemble du trafic.
En raison de ce refus implicite, une liste de contrôle d'accès qui n'a pas au moins une
instruction d'autorisation bloquera tout le trafic
Comparaison des listes de contrôle d'accès IPv4 standard et étendues
Types de listes de contrôle d'accès IPv4 Cisco
Listes de contrôle d'accès standard

220
Comparaison des listes de contrôle d'accès IPv4 standard et étendues
Numérotation et nom des listes de contrôle d'accès

Masques génériques dans les listes de contrôle d'accès


Présentation des masques génériques des listes de contrôle d'accès
Les masques génériques et les masques de sous-réseau diffèrent dans leur méthode de mise en
correspondance des 1 et des 0 binaires. Les masques génériques respectent les règles
suivantes pour faire correspondre les chiffres binaires 1 et 0 :
 Bit 0 de masque générique : permet de vérifier la valeur du bit correspondant dans
l'adresse.

 Bit 1 de masque générique : permet d'ignorer la valeur du bit correspondant dans


l'adresse.

Les masques génériques sont souvent appelés masques inverses. En effet, contrairement à un

221
masque de sous-réseau, où le chiffre binaire 1 équivaut à une correspondance et le chiffre
binaire 0 à une non-correspondance, les masques génériques procèdent de façon inverse.
Exemples de masques génériques : hôtes/sous-réseaux

Exemples de masques génériques : correspondance avec des plages

Calcul du masque générique


Le calcul des masques génériques peut être complexe. La méthode la plus rapide consiste à
soustraire le masque de sous-réseau de 255.255.255.255

Mots-clés des masques génériques

222
Exemples de mots-clés de masque générique

Directives concernant la création des listes de contrôle d'accès


Directives générales concernant la création des listes de contrôle d'accès
 Utilisez des listes de contrôle d'accès sur les routeurs pare-feu situés entre votre réseau
interne et un réseau externe, par exemple Internet.

 Utilisez des listes de contrôle d'accès sur un routeur situé entre deux parties de votre
réseau pour contrôler le trafic entrant ou sortant sur une portion donnée du réseau
interne.

 Configurez des listes de contrôle d'accès sur les routeurs périphériques situés à la
périphérie de vos réseaux.

 Configurez des listes de contrôle d'accès pour tout protocole réseau configuré sur les
interfaces de routeur périphérique.

Directives générales concernant la création des listes de contrôle d'accès


Règle des trois P
 Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une
interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur
l'interface.

 Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le
trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes
de contrôle d'accès, la première pour contrôler le trafic entrant et la seconde pour
contrôler le trafic sortant.

 Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le
trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.

Méthodes recommandées pour les listes de contrôle d'accè s

223
Directives concernant l'emplacement des listes de contrôle d'accès
Où placer les listes de contrôle d'accès
Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact
sur les performances. Règles de base :
 Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le
plus près possible de la source du trafic à filtrer.

 Listes de contrôle d'accès standard : étant donné qu'elles ne spécifient pas les adresses
de destination, placez-les le plus près possible de la destination.

L'emplacement de la liste de contrôle d'accès et donc son type peuvent aussi dépendre
de l'étendue du contrôle de l'administrateur réseau, de la bande passante des réseaux
concernés et de la facilité de configuration.
Emplacement d'une liste de contrôle d'accès standard

Emplacement d'une liste de contrôle d'accès étendue

224
Configuration des listes de contrôle d'accès IPv4 standard
Saisie des instructions pour les critères

Configuration d'une liste de contrôle d'accès standard (suite)


La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante :
Router(config)# access-list access-list-number deny permit remark source [ source-
wildcard ] [ log ]
Pour supprimer la liste de contrôle d'accès, la commande de configuration globale no access-
list est utilisée.

Le mot-clé remark est utilisé à des fins de documentation et rend les listes de contrôle d'accès
bien plus simples à comprendre.
Logique interne
 Cisco IOS applique une logique interne lors de l'acceptation et du traitement des
instructions des listes de contrôle d'accès standard. Comme nous l'avons vu, les
instructions des listes de contrôle d'accès sont traitées dans l'ordre. Par conséquent,
l'ordre dans lequel elles sont fournies est important.

Application de listes de contrôle d'accès standard aux interfaces


Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une
interface à l'aide de la commande ip access-group en mode de configuration d'interface :
 Router(config- if)# ip access-group { access-list-number | access-list-name } { in | out
}

Pour supprimer une liste de contrôle d'accès d'une interface, entrez d'abord la commande no

225
ip access-group sur l'interface, puis la commande globale no access-list pour supprimer
l'ensemble de la liste.
Application de listes de contrôle d'accès standard aux interfaces (suite)

Création des listes de contrôle d'accès standard nommées

Commentaires dans les listes de contrôle d'accès

226
Modification des listes de contrôle d'accès numérotées

Modification des listes de contrôle d'accès numérotées (suite)

Modification des listes de contrôle d'accès nommées standard

227
Vérification des listes de contrôle d'accès

Numéros d'ordre des listes de contrôle d'accès standard


 Une autre partie de la logique interne IOS comprend le séquençage interne des
instructions des listes de contrôle d'accès standard. Les instructions de plage qui
refusent trois réseaux sont configurées en premier et sont suivies de cinq instructio ns
d'hôte. Les instructions d'hôte sont toutes des instructions valides car leurs adresses IP
d'hôte ne font pas partie des instructions de plage précédemment entrées.

 Les instructions d'hôte apparaissent avec la commande show en premier, mais pas
nécessairement dans l'ordre dans lequel elles ont été saisies. IOS classe les instructions
d'hôte à l'aide d'une fonction de hachage spéciale. Le classement résultant permet
d'optimiser la recherche d'une entrée de liste de contrôle d'accès d'hôte.

228
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard
Configuration d'une liste de contrôle d'accès standard pour sécuriser un port VTY
Le filtrage du trafic Telnet ou SSH est généralement considéré comme une fonction de liste de
contrôle d'accès IP étendue parce qu'il s'agit de filtrer un protocole de niveau plus élevé.
Cependant, étant donné que la commande access-class permet de filtrer les sessions
Telnet/SSH entrantes ou sortantes par adresse source, une liste de contrôle d'accès standard
peut être utilisée.
 Router(config- line)# access-class access-list-number { in [ vrf-also ] | out }

Vérification d'une liste de contrôle d'accès standard utilisée pour sécuriser un


port VTY

Structure d'une liste de contrôle d'accès IPv4 étendue


Listes de contrôle d'accès étendues

Structure d'une liste de contrôle d'accès IPv4 étendue


Listes de contrôle d'accès étendues (suite)

229
Configuration des listes de contrôle d'accès étendues
Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes
que pour les listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est
d'abord configurée, puis elle est activée sur une interface. La syntaxe et les paramètres
de commande sont plus complexes, car ils prennent en charge des fonctions
supplémentaires fournies par les listes de contrôle d'accès étendues.

Application des listes de contrôle d'accès étendues aux interfaces

Filtrage du trafic avec des listes de contrôle d'accès étendues

230
Création des listes de contrôle d'accès étendues nommées

Vérification des listes de contrôle d'accès étendues

Modification des listes de contrôle d'accès étendues


La modification d'une liste de contrôle d'accès étendue peut être effectuée de la même
manière qu'avec une liste standard. Une liste de contrôle d'accès étendue peut être modifiée
comme suit :
 Méthode 1 : éditeur de texte

 Méthode 2 : numéros d'ordre

Limitation des résultats du débogage


Objectif de la limitation des résultats du débogage avec les listes de contrôle d'accès
 Les commandes debug sont des outils destinés à vérifier et à dépanner le réseau.

231
 Si vous les utilisez avec des options, les résultats risquent de contenir beaucoup plus
d'informations que nécessaire ou d'être difficiles à lire.

 Dans un environnement de production, cela risque de saturer le réseau et d'entraîner


des interruptions.

 Certaines commandes debug peuvent être associées à une liste d'accès pour limiter les
résultats et afficher uniquement les informations requises pour la vérification ou la
résolution d'un problème.

Configuration des listes de contrôle d'accès pour limiter les résultats du débogage
L'administrateur de R2 souhaite s'assurer que le trafic est acheminé correctement grâce à la
commande debug ip packet. Pour limiter les résultats du débogage et inclure uniquement le
trafic ICMP entre R1 et R3, la liste de contrôle d'accès ACL 101 sera appliquée.

Vérification des listes de contrôle d'accès qui limitent les résultats du débogage

Traitement des paquets avec les listes de contrôle d'accès


Logique d'une liste de contrôle d'accès pour le trafic entrant
 Les paquets sont comparés à une liste de contrôle d'accès pour le trafic entrant, s'il en
existe une, avant d'être acheminés.

232
 Si un paquet entrant correspond à une instruction de la liste de contrôle d'accès avec
une autorisation, il est envoyé pour être acheminé.

 Si un paquet entrant correspond à une instruction de la liste de contrôle d'accès avec


un refus, il est abandonné et pas acheminé.

 Si un paquet entrant ne correspond à aucune instruction de la liste de contrôle d'accès,


il est « implicitement refusé » et abandonné sans être acheminé.

Logique d'une liste de contrôle d'accès pour le trafic sortant


 Une route est d'abord cherchée pour les paquets avant leur envoi à une interface
sortante. En l'absence de route, les paquets sont abandonnés.

 Si une interface de sortie n'a pas de liste de contrôle d'accès, les paquets sont envoyés
directement vers celle-ci.

 S'il existe une liste de contrôle d'accès sur l'interface de sortie, il y a une vérification
avant l'envoi à cette interface.

 Si un paquet sortant correspond à une instruction de la liste de contrôle d'accès avec


une autorisation, il est envoyé à l'interface.

 Si un paquet sortant correspond à une instruction de la liste de contrôle d'accès avec


un refus, il est abandonné.

 Si un paquet sortant ne correspond à aucune instruction de la liste de contrôle d'accès,


il est « implicitement refusé » et abandonné.

Opérations logiques de la liste de contrôle d'accès


 Lorsqu'un paquet parvient à l'interface d'un routeur, le processus de ce dernier est
identique, que des listes de contrôle d'accès soient utilisées ou non. Lorsqu'une trame
arrive dans l'interface, le routeur détermine si l'adresse de couche 2 de la destination
correspond à l'adresse de couche 2 de l'interface ou si la trame est une trame de
diffusion.

 Si l'adresse de la trame est acceptée, les informations sur la trame sont éliminées et le
routeur recherche une liste de contrôle d'accès sur l'interface d'entrée. Le cas échéant,
le paquet est vérifié pour déceler des correspondances avec les instructions de la liste.

 Si le paquet est accepté, il est ensuite comparé aux entrées de la table de routage afin
de déterminer l'interface de destination. S'il existe une entrée de table de routage pour
la destination, le paquet est alors transmis à l'interface sortante. Dans le cas contraire,
le paquet est abandonné.

 Le routeur vérifie ensuite si l'interface sortante possède une liste de contrôle d'accès.
Le cas échéant, le paquet est vérifié pour déceler des correspondances avec les
instructions de la liste.

 En l'absence d'une liste de contrôle d'accès ou si le paquet est autorisé, ce dernier est
encapsulé dans le nouveau protocole de couche 2 et acheminé par l'interface jusqu'au
périphérique suivant.

Processus de décision avec les listes de contrôle d'accès standard

233
 Les listes de contrôle d'accès standard examinent uniquement l'adresse IPv4 source. La
destination du paquet et les ports concernés ne sont pas pris en compte.

 Le logiciel Cisco IOS vérifie les correspondances d'adresses dans les listes de contrôle
d'accès les unes après les autres. La première correspondance détermine si le logiciel
accepte ou refuse l'adresse. Dans la mesure où le logiciel ne vérifie plus les conditions
après la première correspondance, l'ordre des conditions est primordial. En cas de non-
concordance des conditions, l'adresse est rejetée.

 Dans cet exemple, la liste de contrôle d'accès filtre en fonction de l'adresse source
avant de passer au port et au protocole de la source. Elle filtre en fonction de l'adresse
de destination, du port et du protocole de destination, avant de prendre une décision
finale d'autorisation ou de refus.

Erreurs courantes avec les listes de contrôle d'accès


Résolution des erreurs courantes avec listes de contrôle d'accès – Exemple 1
L'hôte 192.168.10.10 n'a aucune connectivité avec 192.168.30.12.

contrôle d'accès – Exemple 2


Le réseau 192.168.10.0 /24 ne peut pas utiliser TFTP pour se connecter au réseau
192.168.30.0 /24.

234
contrôle d'accès – Exemple 3 : Le réseau 192.168.11.0 /24 peut utiliser Telnet pour se
connecter à 192.168.30.0 /24 alors que cette connexion doit être interdite.

contrôle d'accès – Exemple 4 : L'hôte 192.168.30.12 peut utiliser Telnet pour se


connecter à 192.168.31.12, mais la politique de l'entreprise stipule que cette connexion
ne doit pas être autorisée.

235
contrôle d'accès – Exemple 5 : L'hôte 192.168.30.12 peut utiliser Telnet pour se
connecter à 192.168.31.12, mais selon la stratégie de sécurité, cette connexion ne doit pas
être autorisée.

Types de listes de contrôle d'accès IPv6

Comparaison des listes de contrôle d'accès IPv4 et IPv6


Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre
eux.
 Application d'une liste de contrôle d'accès IPv6

236
IPv6 utilise la commande ipv6 traffic-filter pour effectuer la même tâche sur les interfaces
IPv6.
 Aucun masque générique

La longueur de préfixe est utilisée pour indiquer dans quelle mesure l'adresse IPv6 source ou
de destination doit correspondre.
 Instructions supplémentaires par défaut

permit icmp any any nd-na


permit icmp any any nd-ns

Configuration des listes de contrôle d'accès IPv6


Configuration de la topologie IPv6

Configuration des listes de contrôle d'accès IPv6


Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 :
 En mode de configuration globale, utilisez la commande ipv6 access-listname pour
créer une liste de contrôle d'accès IPv6.

 En mode de configuration des listes de contrôle d'accès nommées, utilisez les


instructions permit ou deny pour spécifier une ou plusieurs conditions pour
déterminer si un paquet est transféré ou abandonné.

Retournez au mode d'exécution privilégié à l'aide de la commande end

Application d'une liste de contrôle d'accès IPv6 à une interface

237
Exemples de listes de contrôle d'accès IPv6
Refuser FTP

Restriction de l'accès

Vérification des listes de contrôle d'accès IPv6

238
Résumé
 Par défaut un routeur ne filtre pas le trafic. Le trafic qui entre dans le routeur est routé
uniquement en fonction des informations de la table de routage.

 Le filtrage des paquets consiste à contrôler l'accès à un réseau en analysant les paquets
entrants et sortants et en les transmettant ou en les rejetant selon des critères
spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole
transporté dans le paquet.

 Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser
ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au
niveau de la couche 4, la couche transport.

 Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation


ou de refus.

 La dernière instruction d'une liste de contrôle d'accès est toujours une instruction deny
implicite bloquant tout le trafic. Pour empêcher l'instruction deny any implicite à la fin
de la liste de contrôle d'accès de bloquer tout le trafic, vous pouvez ajouter
l'instruction permit ip any any.

 Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle
d'accès, le routeur compare les informations du paquet à chaque entrée, dans l'ordre
séquentiel, afin de déterminer si le paquet correspond à l'une des instructions. Si une
correspondance est trouvée, le paquet est traité en conséquence.

 Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou
sortant.

 Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser
le trafic uniquement depuis les adresses IPv4 source. La destination du paquet et les

239
ports concernés ne sont pas évalués. La règle de base pour le placement des listes de
contrôle d'accès standard consiste à les placer aussi près que possible de la destination.

 Les listes de contrôle d'accès étendues filtrent les paquets en fonction de plusieurs
attributs : type de protocole, adresse IPv4 source ou de destination et ports source ou
de destination. La règle de base pour le placement des listes de contrôle d'accès
étendues consiste à les placer aussi près que possible de la source.

 La commande de configuration globale access-list définit une liste de contrôle d'accès


standard avec un numéro compris entre 1 et 99 ou une liste de contrôle d'accès étendue
avec des nombres compris entre 100 et 199, et 2000 et 2699. Les listes de contrôle
d'accès standard et étendues peuvent être nommées.

 La commande name ip access-list standard permet de créer une liste de contrôle


d'accès standard nommée, tandis que la commande name ip access-list extended
permet de créer une liste de contrôle d'accès étendue. Les instructions des listes de
contrôle d'accès IPv4 incluent l'utilisation des masques génériques.

 Une fois qu'une liste de contrôle d'accès est configurée, elle est associée à une
interface à l'aide de la commande ip access-group en mode de configuration
d'interface.

 Rappelez-vous de la règle des trois P, une liste de contrôle d'accès par protocole, par
direction, par interface.

 Pour supprimer une liste de contrôle d'accès d'une interface, entrez d'abord la
commande no ip access-group sur l'interface, puis la commande globale no access-
list pour supprimer l'ensemble de la liste.

 Les commandes show running-config et show access-lists permettent de vérifier la


configuration des listes de contrôle d'accès. La commande show ip interface permet
de vérifier la liste de contrôle d'accès sur l'interface et la direction dans laquelle elle a
été appliquée.

 La commande access-class configurée en mode de configuration de ligne limite les


connexions entrantes et sortantes entre un VTY spécifique et les adresses renseignées
dans une liste de contrôle d'accès.

 Comme avec les ACL IPv4 nommées, les noms IPv6 sont alphanumériques et
sensibles à la casse. Ils doivent également être uniques. Contrairement aux listes de
contrôle d'accès IPv4, l'option standard ou étendue n'est pas nécessaire.

 En mode de configuration globale, utilisez la commande name ipv6 access-list pour


créer une liste de contrôle d'accès IPv6. La longueur de préfixe est utilisée pour
indiquer dans quelle mesure l'adresse IPv6 source ou de destination doit correspondre.

 Une fois qu'une liste de contrôle d'accès IPv6 est configurée, elle est associée à une
interface à l'aide de la commande ipv6 traffic-filter.

240
 Le protocole DHCP (Dynamic Host Configuration Protocol) est un protocole réseau
qui permet l'attribution automatique des adresses IP et des autres informations aux
clients : adresse IP

Masque de sous-réseau (IPv4) ou longueur de préfixe (IPv6)


Adresse de la passerelle par défaut
Adresse du serveur DNS
 Disponible pour IPv4 et IPv6

 Ce chapitre présente le fonctionnement, la configuration et le dépannage de DHCPv4


et de DHCPv6.

Présentation de DHCPv4
 DHCPv4 utilise trois méthodes différentes d'attribution des adresses :

Attribution manuelle : l'administrateur attribue une adresse IPv4 préallouée au client


et DHCPv4 communique uniquement l'adresse IPv4 au périphérique.
Attribution automatique : DHCPv4 attribue automatiquement et définitivement une
adresse IPv4 statique à un périphérique en la sélectionnant dans un pool d'adresses
disponibles. Pas de bail.
Attribution dynamique : DHCPv4 attribue, ou loue, dynamiquement une
adresse IPv4 à partir d'un pool d'adresses pendant une durée limitée définie par le serveur, ou
jusqu'à ce que le client n'en ait plus besoin. C'est la méthode la plus courante.

Configuration d'un serveur DHCPv4


 Le logiciel Cisco IOS du routeur Cisco peut être configuré en tant que serveur
DHCPv4. Pour configurer DHCP :

1. Excluez des adresses du pool.


2. Définissez le nom du pool DHCP.
3. Tâches de configuration spécifiques : définissez la plage d'adresses et le masque de
sous-réseau. Utilisez la commande default-router pour la passerelle par défaut. Éléments
facultatifs pouvant être inclus dans le pool : serveur DNS, nom de domaine.

 Pour désactiver le DHCP : no service dhcp

Vérification d'un serveur DHCPv4

241
 Commandes permettant de vérifier le DHCP :

show running-config | section dhcp


show ip dhcp binding
show ip dhcp server statistics
 Sur le PC : utilisez la commande ipconfig /all


Relais DHCPv4
 La commande ip helper-address permet à un routeur de transférer les diffusions
DHCPv4 au serveur DHCPv4. Elle sert à relayer les diffusions.

Configuration d'un routeur en tant que client DHCPv4

242
Dépannage de DHCPv4
Tâches de dépannage

Vérification de la configuration de DHCPv4 du routeur

Débogage de DHCPv4

243
SLAAC et DHCPv6
Configuration automatique des adresses sans état (SLAAC)
SLAAC est une méthode grâce à laquelle un périphérique peut obtenir une adresse de
monodiffusion globale IPv6 sans les services d'un serveur DHCPv6.

Fonctionnement de SLAAC

244
SLAAC et DHCPv6

Option SLAAC

Option DHCP sans état

245
Option DHCP avec état

Fonctionnement de DHCPv6

Configuration d'un routeur en tant que serveur DHCPv6 sans état

246
Configuration d'un routeur en tant que client DHCPv6 sans éta

 Vérifiez le client DHCP sans état en utilisant :

Show IPv6 interface

Debug ipv6 dhcp detail


Configuration d'un routeur en tant que serveur DHCPv6 avec état

Configuration d'un routeur en tant que client DHCPv6 avec état

247
Vérifiez le serveur DHCPv6 avec état en utilisant :

show ipv6 dhcp pool

show ipv6 dhcp binding


Vérifiez le client DHCPv6 avec état en utilisant :

show ipv6 interface


Configuration d'un routeur en tant qu'agent de relais DHCPv6 avec état

Dépannage de DHCPv6
Tâches de dépannage

248
Vérification de la configuration DHCPv6 du route

Débogage de DHCPv6

249
Résumé
 Tous les nœuds d'un réseau nécessitent une adresse IP unique pour communiquer avec
d'autres périphériques.

 DHCPv4 utilise trois méthodes différentes d'attribution des adresses :

Attribution manuelle

Attribution automatique

Attribution dynamique

 Il existe deux méthodes disponibles pour la configuration dynamique des adresses de


monodiffusion globale IPv6.

Configuration automatique des adresses sans état (SLAAC)

Protocole DHCP (Dynamic Host Configuration Protocol) pour IPv6 (DHCPv6 avec état)

 Le dépannage de DHCPv4 et de DHCPv6 implique les mêmes tâches :

Résolution des conflits d'adresses

Vérification de la connectivité physique

Vérification de la connectivité à l'aide d'une adresse IP statique

Vérification de la configuration du port du commutateur

Vérification du fonctionnement sur le même sous-réseau ou VLAN

Caractéristiques de la NAT
Espace d'adressage privé IPv4

 L'espace d'adressage IPv4 est trop restreint pour accommoder tous les périphériques à
connecter à Internet

250
 Les adresses privées des réseaux sont décrites dans la RFC 1918 et sont conçues pour
être utilisées dans une organisation ou un site uniquement.

 Elles ne sont pas routées par les routeurs Internet, contrairement aux adresses
publiques.

 Elles peuvent pallier la pénurie d'adresses IPv4, mais comme elles ne sont pas routées
par les périphériques Internet, elles doivent d'abord être traduites.

 C'est le rôle de la fonction NAT.

Caractéristiques de la NAT
Espace d'adressage privé IPv4

Caractéristiques de la NAT
Qu'est-ce que la NAT ?
 La NAT est le procédé utilisé pour traduire les adresses réseau.

 Sa fonction première est d'économiser les adresses IPv4 publiques.

 Elle est généralement mise en œuvre sur les périphériques réseau situés à la périphérie,
tels que les pare-feu ou les routeurs.

 Ainsi, les réseaux peuvent utiliser des adresses privées en interne, et les traduire en
adresses publiques uniquement lorsque c'est nécessaire.

 Les équipements de l'entreprise peuvent recevoir des adresses privées et fonctionner


avec des adresses uniques en local.

 Lorsque les données doivent être échangées avec d'autres organisations ou Internet, le
routeur de périphérie traduit les adresses en adresses publiques et globalement
uniques.

Qu'est-ce que la NAT ?

251
Terminologie NAT
 Dans la terminologie NAT, le réseau interne est l'ensemble des périphériques qui
utilisent des adresses privées. Les réseaux externes sont tous les autres réseaux.

 La NAT inclut 4 types d'adresse :

• Adresse locale interne

• Adresse globale interne

• Adresse locale externe

• Adresse globale externe

Terminologie NAT
 Les termes, à l'intérieur et à l'extérieur, sont combinés avec les termes locaux et
globaux pour désigner des adresses spécifiques.

• Adresse locale interne

• Adresse globale interne

• Adresse globale externe

• Adresse locale externe

252
Fonctionnement de la NAT

NAT statique
 La fonction NAT statique utilise un mappage « un à un » entre les adresses locales et
globales.

 Ces mappages sont configurés par l'administrateur réseau et ne changent pas.

 La fonction NAT statique est particulièrement utile lorsque les serveurs hébergés dans
le réseau interne doivent être accessibles depuis le réseau externe.

 L'administrateur réseau peut établir une connexion SSH vers un serveur du réseau
interne en faisant pointer son client SSH sur l'adresse globale interne appropriée.

NAT dynamique
 La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la
méthode du premier arrivé, premier servi.

253
 Lorsqu'un périphérique interne demande l'accès à un réseau externe, la NAT
dynamique attribue une adresse IPv4 publique disponible du pool.

 Il doit y avoir suffisamment d'adresses publiques disponibles pour le nombre total de


sessions utilisateur simultanées.

Types de NAT
Traduction d'adresses de port (PAT)
 La fonction PAT mappe les adresses IPv4 privées à des adresses IP publiques uniques
ou à quelques adresses.

 Elle utilise la paire port source/adresse IP source pour garder une trace du trafic de
chaque client interne.

 La PAT est également appelée surcharge NAT.

 Comme elle utilise également le numéro de port, elle peut transférer les paquets de
réponse au périphérique interne approprié.

Elle vérifie aussi que les paquets entrants étaient demandés, ce qui ajoute un niveau de
sécurité à la session.

Comparaison entre NAT et PAT


 La fonction NAT traduit les adresses IPv4 selon un mappage « un à un » entre les
adresses privées et les adresses publiques.

 La fonction PAT modifie à la fois l'adresse et le numéro de port.

 La NAT achemine les paquets entrants vers leur destination interne en faisant
référence à l'adresse IPv4 source entrante donnée par l'hôte sur le réseau public.

 Avec la PAT, il n'y a généralement qu'une adresse IPv4 exposée publiquement, ou très
peu.

 La PAT peut également traduire les protocoles qui n'utilisent pas les numéros de port
tels qu'ICMP. Chacun de ces protocoles est pris en charge différemment par la PAT.

254
Avantages de la NAT

Inconvénients de la NAT

Configuration de la NAT statique


 La configuration de la traduction des adresses réseau statiques implique deux tâches
de base :

• Créer le mappage entre les adresses locales internes et les adresses locales
externes

• Définir quelle interface appartient au réseau interne et laquelle appartient au


réseau externe

255
Vérification de la NAT statique

Vérification de la NAT statique

256
Fonctionnement de la NAT dynamique
 Le pool d'adresses publiques IPv4 (pool d'adresses globales internes) est disponible
pour n'importe quel périphérique du réseau interne selon le principe du premier arrivé,
premier servi.

 Avec la NAT dynamique, une seule adresse interne est traduite en une seule adresse
externe.

 Le pool doit être suffisamment vaste pour accommoder tous les périphériques internes.

 Un périphérique ne pourra pas communiquer avec les réseaux externes si aucune


adresse n'est disponible dans le pool.

Configuration de la NAT dynamique

Vérification de la NAT dynamique

257
Configuration de la traduction d'adresses de port (PAT)
Configuration de la PAT : pool d'adresses

258
Configuration de la PAT : adresse unique

Vérification de la PAT

Redirection
 La redirection consiste à transférer un port réseau d'un nœud à l'autre.

 Un paquet envoyé à l'adresse IP publique et au port d'un routeur peut être transféré à
une adresse IP privée et à un port d'un réseau interne.

259
 Cela est utile lorsque les serveurs ont des adresses privées, lesquelles ne sont pas
accessibles depuis des réseaux externes.

Exemple de SOHO

Configuration de la redirection avec IOS


 Dans IOS, la redirection est en fait une traduction NAT statique avec un numéro de
port TCP ou UDP spécifique.

Configuration NAT et IPv6


NAT pour IPv6 ?

260
 La NAT est une solution à la pénurie d'adresses IPv4.

 Avec une adresse 128 bits, IPv6 fournit 340 undécillions d'adresses.

 L'espace d'adressage n'est pas un problème pour IPv6.

 Du fait de sa conception, IPv6 rend inutile la traduction d'adresses IPv4


publiques/privées.

 Toutefois, IPv6 implémente une forme d'adresses privées qui sont mises en œuvre
différemment par rapport à IPv4.

Adresses locales uniques IPv6


 Les adresses locales uniques (ULA, Unique Local Address) IPv6 sont conçues pour
permettre les communications IPv6 à l'intérieur d'un site local.

 Ces adresses n'ont pas vocation à fournir un espace d'adressage IPv6 supplémentaire.

 Elles ont le préfixe FC00::/7, ce qui aboutit à une première plage d'hextets de FC00 à
FDFF.

 Elles sont définies dans la RFC 4193.

 On les appelle également adresses IPv6 locales (à ne pas confondre avec les adresses
link-local IPv6).

Configuration NAT et IPv6


NAT pour IPv6
 IPv6 utilise également la NAT, mais dans un contexte très différent.

 Dans IPv6, la NAT est utilisée pour établir une communication transparente entre IPv6
et IPv4.

 NAT64 n'est pas prévu pour être une solution permanente. Il s'agit d'un mécanisme de
transition.

 La traduction adresse réseau/protocole (NAT-PT) était un autre mécanisme de


transition vers IPv6 basé sur la NAT, mais celui-ci a été abandonné par l'IETF

 au profit de NAT64.

Dépannage de la NAT : commandes show

261
Dépannage de la NAT : commande debug

Résumé
 Ce chapitre a décrit la manière dont la NAT est utilisée pour éviter la pénurie d'espace
d'adressage IPv4.

 La NAT permet de ménager l'espace d'adressage public et représente une économie


considérable en termes de coûts d'administration liés à la gestion des ajouts, des
déplacements et des modifications.

 Ce chapitre a abordé la NAT pour IPv4, notamment :

 Caractéristiques de la NAT, terminologie et fonctionnement général

 Les différents types de NAT sont les suivants : NAT statique, NAT dynamique et
NAT avec surcharge

 Les avantages et les inconvénients de la NAT

 La configuration, la vérification et l'analyse de la NAT statique, de la NAT dynamique


et de la NAT avec surcharge

 La manière dont la redirection peut être utilisée pour accéder aux périphériques
internes à partir d'Internet

 Le dépannage de la NAT à l'aide des commandes show et debug

262
La manière dont la NAT pour IPv6 est utilisée pour la conversion entre les adresses
IPv6 et les adresses Ipv4

263