Vous êtes sur la page 1sur 47

RST-271

5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 1

Déploiement de
réseaux de campus

Session 1.8

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 2

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Objectif

• Objectif de la session : Il s’agit d’une session de


niveau intermédiaire qui met l’accent sur le
modèle de design multicouche de Cisco destiné
aux réseaux de campus; elle porte sur les
pratiques exemplaires, les particularités de mise
en œuvre et les pièges courants au niveau du
design.
• Nous supposons que les participants ont une
connaissance des protocoles de commutation et
de routage LAN courants.

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 3

Ordre du jour

• Vue d’ensemble du modèle multicouche


• Pratiques exemplaires en matière de design de
réseau campus
• Implantation
• Particularités et pièges de design
• Services de réseau campus

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 4

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Avantages du design multicouche

• Hiérarchie—Chaque couche joue un rôle spécifique


• Modularité—La topologie est basée sur une
conception modulaire
• Avec des modules il est plus facile de croître de
comprendre et de dépanner
• Le design multicouche promouvoit l’efficacité et la
redondance
• Un bon design assure des configurations de trafic
uniformes et déterminantes

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 5

Design de réseau multicouche


Accès

Distribution

Dorsale
Noyau

Ajouts de
modules
Parc de serveurs

RST-271
WAN Internet RTPC
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 6

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Lignes directrices du design multicouche

• Accès
Commutation de couche 2 au niveau de l’armoire de câblage (peut être
sensible à la couche 3)
Frontière de confiance (trust boundary) et de politique (policy boundary)
• Distribution
Commutation de niveau 3
Utilisation de protocoles de routage pour assurer des avantages comme
l’équilibre de charge, la convergence rapide et l’évolutivité
Procure une redondance/résilience de premier bond
Regroupe les éléments de la couche d’accès
• Noyau
Commutation de couche 3 au niveau de la dorsale pour assurer équilibre de
charge, convergence rapide et évolutivité
Nécessité d’un service haute vitesse sans exécution des politiques

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 7

Définition de la couche d’accès


Vers
noyau
Commutateurs de
distribution

Commutateurs
d’accès

Regroupement des postes des utilisateurs finals, des téléphones IP et des


serveurs
Connexion aux commutateurs de la couche de distribution
Toutes les liaisons ascendantes acheminent activement le trafic (distribution de
couche 3)
Dispositif de couche 2—Avec l’intelligence de couche 3 (sécurité, QoS, IP
Multicast, etc.)
Utilisation de Intelligent Network Services pour l’établissement de la frontière de
confiance
RST-271 (Trust Boundary)
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 8

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Mécanismes de la couche d’accès
Couche Armoire
Armoire
• Protocoles de niveau 2 d’accès de
de câblage
câblage
(spanning tree protocol)
IEEE 802.1D, Rapid Spanning Tree
Protocol (802.1w), Multiple Spanning
Tree (802.1s )
• Caractéristiques STP
UplinkFast, CrossStack UplinkFast,
Portfast, LoopGuard, BPDUGuard
• Services réseau intelligents
Qualité de service, classification et
contrôle du trafic, contrôle des
accès, alimentation en ligne, VLAN
voix , suppression de diffusion,
agrégation de liens (trunking)
• VLAN privés Couche Armoire
Armoire
d’accès de
de câblage
câblage

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 9

Définition de la couche de distribution

Commutateurs
de distribution

Commutateurs
d’accès

• Aggrégation des armoires de câblage (couche d’accès) et liaison


montante (uplink) au réseau d’infrastructure
• Protection du noyau contre l’interconnexion égale à égale à densité
élevée
• Disponibilité, équilibre de charge et qualité de service sont les
points importants à considérer au niveau de cette couche
Utilisation de la commutation de couche 3 au niveau de la couche de distribution
RST-271 Suivi HSRP
5383_05_2002_c1
(tracking) et redondance de premier bond
© 2002, Cisco Systems, Inc. All rights reserved. 10

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Mécanismes de la couche de distribution
Enterprise

Armoire de
• Caractéristiques de STP câblage
Configuration de ‘’STP Root’’
Protection avec ’’Root Guard’’
• Routage de couche 3 Couche de
Pèse les routes: Assure une distribution
symétrie
Sommaire de routes: Vers le
noyau
• HSRP
Hot Standby Routing Protocol
(HSRP): redondance premier Couche de
bond distribution
HSRP Timers: Reduit temps de
panne
HSRP Track : Routage optimal
Enterprise

Parc de
serveurs
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 11

Définition de la couche de noyau

Noyau

Distribution

Accès

• Dorsale pour le réseau - relie les modules de la couche de distribution


• Point d’agrégation pour la couche de distribution
• La couche de noyau est nécessaire pour assurer l’évolutivité des
réseaux campus
Exigences de câblage physique
RST-271 Complexité du routage
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 12

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Ordre du jour

• Vue d’ensemble du modèle multicouche


• Pratiques exemplaires en matière de
design de réseau campus
• Implantation
• Particularités et embûches de design
• Services de réseau campus

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 13

Pratiques exemplaires en matière de


design d’un réseau campus

• Associer les VLAN de couche 2 aux sous-réseaux


de couche 3
• Éviter les VLAN à la grandeur du campus
• Maintenir une redondance simple
• Connexion en chaîne (daisy chain)
• Tirer parti des routes au même coût
• Se laisser des portes de sortie
• Comprendre les caractéristiques de performance et
de sur-inscription

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 14

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Associer les VLAN de couche 2 aux sous-
réseaux de couche 3
HSRP HSRP
HSRP Active
Active HSRP
HSRP Active
Active
HSRP
HSRP Active
Active HSRP Active
Active
Layer
Layer 33 &
& STP
STP Root
Root Layer
Layer 22 &
& STP
STP Root
Root
VLAN
VLAN 20,140
20,140 VLAN
VLAN 40,120
40,120
VLAN
VLAN 20,140
20,140 Trunk
Trunk VLAN
VLAN 40,120
40,120

Modèle A
Modèle B

10.1.20.0
10.1.20.0 VLAN
VLAN 20
20 Data
Data 10.1.40.0
10.1.40.0 VLAN
VLAN 40
40 Data
Data 10.2.20.0
10.2.20.0 VLAN
VLAN 20
20 Data
Data 10.2.40.0
10.2.40.0 VLAN
VLAN 40
40 Data
Data
10.1.120.0
10.1.120.0 VLAN
VLAN 120
120 Voice
Voice 10.1.140.0
10.1.140.0 VLAN
VLAN 140
140 Voice
Voice 10.2.120.0
10.2.120.0 VLAN
VLAN 120
120 Voice
Voice 10.2.140.0
10.2.140.0 VLAN
VLAN 140
140 Voice
Voice

• Associer le domaine de couche 2 à un sous-réseau de couche 3


avec un plan de numérotation compréhensible de VLAN à sous-
réseau IP
• Par exemple, VLAN de données 20 et VLAN voix 120 dans
l’immeuble 1 peuvent correspondre à 10.1.20.x/24 et 10.1.120.x/24
• De bons plans d’adressage aident à résumer les routes et à
faciliter le dépannage

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 15

Éviter les VLAN à la grandeur du campus

• Domaine STP vaste et superposé


• Propagation des problèmes (possibilité de défaillance du
domaine)
• Lenteur de la convergence
• Les routeurs modernes ne sont plus des goulots
d’étranglement

• DHCP et IP mobile répondent aux besoins de la mobilité client


RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 16

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Maintenir une redondance simple
« La redondance est une bonne chose, mais
trop de redondance peut s’avérer nuisible»

• Placement de la racine
(Root bridge)?
• Combien de liens
bloqués?
• Convergence?
• Résolution de
problèmes difficile

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 17

Connexions en chaîne

VLAN
VLAN X
X

Racine
Racine de
de sauvegarde
sauvegarde

Lien
Lien couche
couche 22 -VLAN
-VLAN X
X
STP
STP racine
racine
STP racine Racine en attente
HSRP
HSRP Actif
Actif
HSRP actif HSRP en attente

• Aucun UplinkFast—Lenteur de la convergence STP


• Sous-réseaux discontinus : le trafic est dans un trou noir
(les deux routeurs prétendent pouvoir atteindre le VLAN x)
• Installer une liaison de couche 2 entre les deux
commutateurs de distribution
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 18

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Double chemin couche 3
Noyau 1 Distribution 1
Coût=X

t =X
Coû Couche
Coû
t=X d’accès

Coût=X

Noyau 2 Distribution 2
• L’équilibre de charge de couche 3 conserve la largeur
de bande
Contrairement à la redondance de couche 1 et couche 2 (ports
bloqués)
• Reprise rapide au chemin restant
La convergence est très rapide (chemins doubles au même
coût : aucun besoin pour OSPF ou EIGRP de recalculer un
RST-271nouveau chemin)
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 19

Se laisser des portes de sortie


• Que se passe-t-il si
tombe en passe? A B
• Aucune route vers le
noyau? Accès couche 2

• Liens d’armoire de câblage


GE/GEC
actifs (un-passive) pour
routes de rechange?
• Mais…est-ce le vrai rôle de Distribution
la couche d’accès? HSRP actif

• Qu’advient-il de Un seul chemin


l’évolutivité? vers noyau

• Installer un lien entre les


commutateurs de Noyau couche 3
distribution
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 20

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Caractéristiques de performance et de sur-
inscription
• La plupart des réseaux sont
construits avec la sur-inscription 200 100BaseT
• La performance est Accès couche 2
habituellement limitée non par
l’équipement, mais par la liaison
montante 20:1
• Utiliser la qualité de service pour GE 8 liaisons
protéger les flux en temps réel montantes
aux points de congestion Distribution
L3
• Les règles empiriques de la sur-
inscription fonctionnent bien Double lien
4:1
• 20:1 max à l’armoire de câblage GEC

• Moins à la couche de distribution Noyau L3


(4:1) et au parc de serveurs (de Utiliser les
4:1 à 1:1) commutateurs
non bloquants

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 21

Ordre du jour

• Vue d’ensemble du modèle multicouche


• Pratiques exemplaires en matière de design de
réseau campus
• Implantation
• Particularités et pièges de design
• Services de réseau campus

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 22

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Règles d’implantation

• Utiliser les interfaces passives


• Utiliser le suivi HSRP (tracking)
• Utiliser la redondance de premier bond (first hop
redundancy)
• Utiliser les extensions STP
Note: nouveau protocole IEEE 802.1w et 802.1s
Spanning Tree
• Caractéristiques de haute disponibilité et de
redondance

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 23

Interfaces passives
• Limiter les connexions non
Distribution
nécessaires
Mises à
• Sans interface passive : niveau
de
routage
4 VLANs par armoire de
câblage, 12 contiguïtés au total
Augmentation des exigences
en termes de mémoire et Accès
d’unité centrale sans avantage
tangible
Création de surdébit pour IGP

Router(config)#router ospf 1 Router(config)#router eigrp 1


Router(config-router)#passive-interface Vlan 1 Router(config-router)#passive-interface Vlan 1

Router(config)#router ospf 1 Router(config)#router eigrp 1


Router(config-router)#passive-interface default Router(config-router)#passive-interface default
Router(config-router)#no passive-interface Vlan 1 Router(config-router)#no passive-interface Vlan 1

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 24

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Le suivi HSRP évite les trous noirs

Noyau
Distribution-Left#
Suivi
interface Vlan14
ip address 10.5.14.2 255.255.255.0
standby 14 ip 10.5.14.1
0/1 standby 14 priority 150 preempt
Couche standby 14 track GigabitEthernet0/1 51
Couche 33
Distribution
Distribution-Right#
interface Vlan14
ip address 10.5.14.3 255.255.255.0
standby 14 ip 10.5.14.1
standby 14 priority 100 preempt
Accès

La défaillance de la liaison montante au noyau et la


liaison de couche 3 aura un effet de trou noir sur le
trafic… utiliser le suivi HSRP avec option Preempt
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 25

Protocoles redondance de premier bond

• Hot Standby Router Protocol (HSRP)


Cisco informational RFC 2281 ( mars 1998)

• Virtual Router Redundancy Protocol (VRRP)


IETF Standard RFC 2338 (avril 1998)

• Gateway Load Balancing Protocol (GLBP)


Conception Cisco, partage de charge, brevet en instance

Le navigateur fournit de l’information sur les fonctionnalités


spécifiques de plate-forme : http://www.cisco.com/go/fn

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 26

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
HSRP

• Un groupe de routeurs fonctionne comme un


routeur virtuel en partageant UNE adresse IP
virtuelle et une adresse MAC virtuelle
• Un routeur actif exécute l’acheminement des
paquets pour les hôtes locaux
• Les autres routeurs fournissent un « secours
automatique » en cas de panne du routeur actif
• Les routeurs en attente demeurent au repos en
ce qui a trait à l’acheminement des paquets du
côté client
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 27

Redondance de premier bond avec HSRP


R1- ACTIF, Acheminement du trafic; R2, R3 - secours automatique,
mode repos
HSRP ACTIVE HSRP STANDBY HSRP LISTEN
IP: 10.0.0.254 IP: 10.0.0.253 IP: 10.0.0.252
MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc MAC: 0000.0cde.f123
vIP: 10.0.0.10 vIP: vIP:
vMAC : 0000.0c07ac00 vMAC : vMAC :

R1 R2 R3
Routeurs de passerelle

Clients CL1 CL2 CL3

IP: 10.0.0.1 IP: 10.0.0.2 IP: 10.0.0.3


MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02 MAC: aaaa.aaaa.aa03
GW: 10.0.0.10 GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.0c07.ac00 ARP: 0000.0c07.ac00 ARP: 0000.0c07.ac00
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 28

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
VRRP

• Très semblable à HSRP


• Un groupe de routeurs fonctionne comme un seul
routeur virtuel en partageant UNE adresse IP
virtuelle et une adresse MAC virtuelle
• Un routeur (maître) exécute l’acheminement des
paquets pour les hôtes locaux
• Les autres routeurs agissent comme routeurs
« de secours » en cas de défaillance du routeur
principal
• Les routeurs de secours demeurent au repos en
ce qui a trait à l’acheminement des paquets du
côté client
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 29

Redondance de premier bond avec VRRP


R1- Principal, acheminement du trafic; R2, R3 - sauvegarde
VRRP ACTIVE VRRP BACKUP VRRP BACKUP
IP: 10.0.0.254 IP: 10.0.0.253 IP: 10.0.0.252
MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc MAC: 0000.0cde.f123
vIP: 10.0.0.10 vIP: vIP:
vMAC : 0000.0c07ac00 vMAC : vMAC :

R1 R2 R3
Routeurs de passerelle

Clients CL1 CL2 CL3

IP: 10.0.0.1 IP: 10.0.0.2 IP: 10.0.0.3


MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02 MAC: aaaa.aaaa.aa03
GW: 10.0.0.10 GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0000.0c07.ac00 ARP: 0000.0c07.ac00 ARP: 0000.0c07.ac00
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 30

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
GLBP

• Un groupe de routeurs qui fonctionne comme un


routeur virtuel en partageant une adresse IP
virtuelle, mais en utilisant de multiples adresses
MAC virtuelles pour l’acheminement du trafic

• Partage du trafic sur plusieurs liaisons montantes, ce


qui améliore le débit et réduit la congestion dans une
situation où la défaillance n’existe pas

• Permet au trafic d’un seul sous-réseau commun de


passer dans des passerelles redondantes multiples
en utilisant une seule adresse IP virtuelle

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 31

Redondance du meilleur d’abord avec


GLBP
R1- AVG; R1, R2, R3 acheminent tous le trafic
GLBP AVG/AVF,SVF GLBP AVF,SVF GLBP AVF,SVF
IP: 10.0.0.254 IP: 10.0.0.253 IP: 10.0.0.252
MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc MAC: 0000.0cde.f123
vIP: 10.0.0.10 vIP: 10.0.0.10 vIP: 10.0.0.10
vMAC : 0007.b400.0101 vMAC : 0007.b400.0102 vMAC : 0007.b400.0103

R1 R2 R3
Routeurs de passerelle

Clients CL1 CL2 CL3

IP: 10.0.0.1 IP: 10.0.0.2 IP: 10.0.0.3


MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02 MAC: aaaa.aaaa.aa03
GW: 10.0.0.10 GW: 10.0.0.10 GW: 10.0.0.10
ARP: 0007.B400.0101 ARP: 0007.B400.0102 ARP: 0007.B400.0103
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 32

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Outils Spanning Tree
• PortFast : Outrepasser les phases
d’écoute-apprentissage du port Pont
Pont racine
racine
d’accès
Lien
Lien 11
Outils de couche 2 :
• UplinkFast : Transition du lien 3
directement à l’acheminement si le Lien
Lien 22 Lien
Lien 33
lien 2 ou le pont racine sont en
défaillance
Blocage
Blocage
• BackboneFast : Réduction du
temps de convergence par
secondes «Max_Age» en cas de Port
Port d’accès
d’accès
défaillance de lien indirect
(défaillance Link1)

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 33

Outils Spanning Tree (Suite)


Pont
Pont racine
racine
• BPDU Guard: ErrDisables d’un port
PortFast s’il reçoit un BPDU
• BDPU Filtering : Arrêt de l’envoi et
de la réception des BPDUs sur un
port actif Portfast
• BPDU skewing : envoie un message
Acheminement
Acheminement
syslogs si BPDUs reçu après le Blocage
Blocage
hello time ou quand on a atteint 50%
du MaxAge Ports
Ports d’accès
d’accès

CatOS (enable) set spantree portfast bpdu-guard 5/3 enable

%SPANTREE -2-RX_BPDUGUARD:Received BPDU on bpdu guard enabled


port. Disabling 5/3
-------------------------------------------------------------
CatOS (enable) set spantree portfast bpdu-filter 5/3 enable Commutateur
Commutateur Rogue
Rogue
-------------------------------------------------------------
CatOS (enable) set spantree bpdu-skewing enable
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 34

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Outils Spanning Tree (suite)

Pont
Pont racine
racine

• LoopGuard : Empêche le
port racine ou de rechange Boucle
BPDU
BPDU

(alternate) d’être désigné


en l’absence des BPDU Port
Port racine
racine
Blocage
Blocage
• RootGuard : Empêche les Acheminement
Acheminement
commutateurs externes de
devenir racine; ErrDisables
un port si des BPDUs Port
Port désactivé
désactivé BPDU
BPDU supérieur
supérieur
supérieurs sont reçus
Commuta-
Commuta-
teur
teur

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 35

Outils Spanning Tree (suite)


CatOS (enable) set spantree guard loop 5/1-2

%SPANTREE -2-LOOPGUARDBLOCK: No BPDUs were received on port 5/2 in VLAN 5.


Moved to loop-inconsistent state

%SPANTREE -2-LOOPGUARDUNBLOCK: Port 5/2 restored in VLAN 5


---------------------------------------------------------------- ---------------
CatOS (enable) set spantree guard root 6/1

%SPANTREE -2-ROOTGUARDBLOCK: Port 6/1 tried to become non-designated in VLAN 5.


Moved to root-inconsistent state
---------------------------------------------------------------- ---------------
Native IOS (config-if)# spanning-tree ?
bpdufilter Don't send or receive BPDUs on this interface
bpduguard Don't accept BPDUs on this interface
guard Change an interface's spanning tree guard mode

Native IOS (config-if)# spanning-tree guard ?


loop Set guard mode to loop guard on interface
none Set guard mode to none
root Set guard mode to root guard on interface
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 36

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
IEEE 802.1w/s

• 802.1w—Rapid Spanning-Tree Protocol (RSTP)


Améliore la vitesse de convergence STP
Semblable à l’implantation Cisco de 802.1D avec
extensions STP comme PortFast, UplinkFast et
BackboneFast
• 802.1s—Multiple Spanning-Tree (MST)
Exploite des instances logiques de STP
Mappage de nombreux VLANs à des instances
Réduction de la complexité de l’exploitation d’une
seule instance STP pour chaque VLAN du réseau

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 37

802.1w (RSTP)

• Définition de nouveaux rôles de port Racine


Racine
Port racine
Port désigné
Port de rechange (alternate )
Port de sauvegarde (Back Up)
• Les BPDU agissent come
«keep alive»
Tous les ponts transmettent BPDU chaque « hello
time» contrairement à 802.1D où les BPDU sont
transmis par relais
• Détection de panne plus rapide
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 38

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Fonctionnement de 802.1w
Racine

• 802.1w
A
A et B commencent en mode blocage et
transmettent des BPDU en utilisant le bit
« proposition » Proposition
B devient le port racine, achemine et
retransmet BPDU en utilisant le bit « entente »
A achemine immédiatement, 802.1D aurait
attendu 2x15=30 secondes
• Transition rapide Entente

S’applique à des liens duplex point à point


Possibilité de convergence sous-seconde
B

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 39

802.1s (MST)

VLANs 1-50: VLANs 51-99:


• Seulement 2 topologies Instance 1 Instance 2
actives
• Mappage des VLAN a des
instances
• Moins de BPDU
• Dépannage plus simple
• Moins grande utilisation de
l’unité centrale F B B F
• Très grande évolutivité

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 40

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Instances MST

• Le pont MST traite 2 instances :


IST—Internal Spanning Tree, Instance 0
(existe sur tous les ports)
MSTI—Au moins un Multiple Spanning
Tree Instance
• Cisco supporte 16 instances (0–15)
• La terminologie 802.1s n’est pas normalisée

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 41

Redondance
• Redondance couche 1 — Fournit un chemin
physique de rechange dans le réseau
• Redondance couche 2/3 — Spanning-Tree,
Protocole de routage, EtherChannel pour une
sensibilisation de chemin de rechange et une
convergence rapide
• Stabilité — Assurer la stabilité du réseau grâce à
un design physique adéquat, STP et routage
pour réduire les erreurs humaines
• Disponibilité de l’application—Le serveur
d’application et les processus client doivent
supporter le basculement (failover) pour assurer
une disponibilité maximale
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 42

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
6500 - haute disponibilité (CatOS)

• Haute disponibilité
Minimiser le temps de basculement du moteur
superviseur à 1–3 secondes
États de protocole synchronisés avec le superviseur en
attente (Standby Supervisor)
• Redondance Single Router Mode
Solution de rechange à ’’Dual MSFC Redundancy’’
Configuration de routeur synchronisé (MSFC)
Seul le routeur désigné est visible sur le réseau
Les interfaces du routeur non désigné sont dans un
état d’arrêt
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 43

6500 - Haute disponibilité (suite)

CatOS (enable) set system highavailability enable

MSFC-Router#configure terminal
MSFC-Router(config)#redundancy
MSFC-Router(config-r)#high -availability
MSFC-Router(config-r-ha)#single -router -mode

MSFC-Router(config-r-ha)#single -router -mode failover table-update-delay ?


<0-4294967295> Delay in seconds between Switch over detection and
h/w FIB reload

Le paramètre Table-Update-Delay Timer précise le


temps de transition. Le routeur nouvellement désigné
attend avant de télécharger les nouvelles entrées de
commutation de couche 3 (FIB) au moteur
superviseur; valeur par défaut : 120 secondes
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 44

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
6500/7600 - Haute disponibilité (IOS natif)
• Pas de haute disponibilité avec conservation d’état
comme CatOS
Route Processor Redundancy Plus (RPR+) :
Synchronisation entre les superviseurs actif et en
attente de : Startup-config, Running-config,
Config-register, bootvar
Superviseur en attente est amorcé et l’état des cartes
est synchronisé entre le superviseur actif et celui en
attente
Le délai de commutation est une fonction de la taille du
fichier de configuration
Native IOS#configure terminal
Native IOS( config)#redundancy
Native IOS( config-red)#mode rpr -plus
Native IOS#copy running -config startup -config

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 45

Ordre du jour

•Vue d’ensemble du modèle multicouche

•Pratiques exemplaires en matière de


design de réseau campus

•Implantation

•Particularités et pièges de design

•Services de réseau campus


RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 46

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Design patrimonial : « mêmes VLAN’s
partout »
Couche de Racine
Distribution secondaire
Racine STP
Niveau 2 STP

F
F B B
Couche B F
d’accès
Niveau 2

1,2,3,4,5 1,2,3,4,5 1,2,3,4,5


• VLANs s’étendent sur l’ensemble du réseau - pas une bonne situation
• STP devrait fonctionner avec des temporisateurs conservateurs dans un
grand réseau
• Recalcul massif à la suite de la défaillance de la racine; grand domaine de
diffusion
• Connaître l’emplacement de la racine!; identifier les ports qui
bloquent/acheminent!
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 47

Accès à la couche de distribution


Couche de
Racine STP Racine STP
Distribution
2/3 HSRP primaire HSRP primaire
( VLANs pairs) (VLANs
impairs)
Liaisons 5
F F
B 2 B
4
3 F
B 4

2
F 3

F 32

5
B 2

B 5
B

F 4

F 3
B 5
F

B 4
Accès
couche 2

2 3 2 3 4 5 4 5
• Certains commutateurs d’accès partagent un VLAN commun
• Installer une liaison de couche 2 entre les commutateurs de distribution
• HSRP pour redondance de premier bond et le partage de charge
• Les chemins de couche 3 correspondent aux chemins de couche 2 (racine STP
et HSRP actif)
• Utiliser l’agrégation de liaison (EtherChannel) pour augmenter la largeur de
bande
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 48

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Design moderne : « terminaison des VLAN »
Couche de
Distribution HSRP primaire
HSRP primaire
2/3 ( VLANs pairs) (VLANs
impairs)

Liaisons

Couche
d’accès 2

2 3 4 5 6 7

• STP n’est plus nécessaire - mais continuez à l’exploiter


• Aucune liaison bloquée - toutes les liaisons sont utilisées
• VLANs se terminent au premier bond de couche 3 (couche de
distribution)
• Utiliser HSRP pour l’équilibre de charge et la redondance de premier
bond
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 49

Couche de distribution —Modèle de


couche 3
Couche de
distribution 3 HSRP primaire HSRP primaire
(VLANs pairs) (VLANs impairs)

Liaisons

Couche
d’accès 2

2 3 4 5 6 7

• Liaison de couche 3 entre les deux commutateurs de distribution


• Vitesse de convergence dépend de HSRP
• Utiliser «HSRP-track» pour empêcher les trous noirs
• Peut enlever VLAN1 des liaisons—Les protocoles de gestion passent
quand même
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 50

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Parcs de serveurs

2 3

3 Parc de
serveur

4 5

3 8
6 7
Couche
Couche d’accès
d’accès Couche
Couche de
de distribution
distribution Parc
Parc de
de serveur
serveur
• Mettre le parc de serveur dans son propre VLAN et sous-réseau IP -
commutation couche 3
• Si des serveurs à carte réseau double relient 2 commutateurs d’accès, il
faut alors utiliser la contiguïté de couche 2 pour la redondance de carte
réseau…
RST-271
Installer une
5383_05_2002_c1 liaison
© 2002, de
Cisco Systems, couche
Inc. All rights reserved.2 entre la couche de distribution, par exemple VLAN 351

Sommaire couche distribution-noyau

Accès

Distribution

Double chemin au Simple chemin au


Noyau noyau noyau
Modèle 1 Modèle 2

• Concevoir un noyau de couche 3 sans boucle


• Modèle 1 procure une convergence plus rapide en raison de 2 chemins au même coût vers chaque
distribution; IGP n’a pas besoin de reconverger
• Modèle 1 procure une double capacité de largeur de bande au noyau
• Modèle 1 utilise 2 fois plus de ports pour l’agrégation noyau
• Modèle 2 procure moins d’adjacences de routage
• Modèle 2 n’a pas de partage de charge par défaut au noyau à partir de la distribution
• Pourquoi avons-nous besoin d’une liaison couche 3 entre les commutateurs de distribution dans le
modèle 2? Pour converger autour d’un problème de couche 2 UP, mais couche 3 DOWN vers le
noyau.
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 52

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Est-ce que j’ai besoin d’une couche noyau ?

Distribution 3
Distribution 2 Distribution 2

Distribution 3
Distribution 1

Distribution 1
Pas de noyau—Des couches
de distribution presque Commutateurs de noyau dédiés
entièrement maillées

• Plus facile à ajouter un module


• Moins de liaisons au noyau
• Mise à niveau plus facile de la bande passante
• Réduction de l’échange de trafic du protocole de routage
RST-271
• Couche noyau —optionnelle pour les petits réseaux
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 53

Petit réseau campus


VLAN A Données VLAN C Données VLAN E Données
VLAN B Voix VLAN D Voix VLAN F Voix
Couche d’accès
(Empilab le/modulaire

Liens VLAN
données et voix

Niveau 3 Interfaces couche 3


Couche dorsale (HSRP)

Couche parc de
serveurs
(Empilable/modulaire)
VLAN G VLAN H
• Couche dorsale—Noyau et distribution centralisés
• Peut utiliser des solutions de commutation
modulaires/empilables
• Évolutif à peu de commutateurs d’accès
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 54

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Réseau campus de taille moyenne
VLAN A Données VLAN C DonnéesVLAN E Données VLAN G Données VLAN I Données VLAN K Données
VLAN B Voix VLAN D Voix VLAN F Voix VLAN H Voix VLAN J Voix VLAN L Voix

Liaison Couche d’accès

Couche de distribution

Immeuble 1 Immeuble n

Couche distribution et
noyau distincte s Couche noyau

Le noyau regroupe
plusieurs distributions

Couche parc de
serveurs
VLAN M VLAN N VLAN O
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 55

Réseau campus de grande taille


VLAN A Données VLAN C Données VLAN E Données VLAN G Données VLAN I Données VLAN K
Données
VLAN B Voix VLAN D Voix VLAN F Voix VLAN H Voix VLAN J Voix
VLAN L Voix

Couche d’accès
Liaison

Couche de distribution

Immeuble 1 Immeuble n

Parc de serveurs - Parc de serveurs -


couche de distribution couche de distribution
Noyau
Noyau

Couche de parc de serveurs


RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 56

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Interface de gestion

• Séparer le trafic utilisateur du


trafic de gestion 172.10.1.100 172.10.1.101

• Pas besoin d’un VLAN commun de


gestion à l’échelle du campus
• Ne pas étendre le VLAN de gestion
au noyau; utiliser plutôt le routage
• Mettre l’interface de gestion dans
le même VLAN pour tous les
commutateurs d’un module accès-
distribution donné
• Vous pouvez utiliser la même ID
VLAN pour différents modules,
mais utiliser différents sous-
réseaux 172.10.1.1 172.10.1.2 172.10.1.3
• HSRP procure la redondance de
passerelle des interfaces de
gestion
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 57

pièges de conception

• « HSRP Tracking gotcha »


• Effet secondaire de la connexion en
chaîne
• Problème relié au sommaire de route
• Problème relié au routage asymétrique
• Problème possible de lenteur de
convergence

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 58

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
HSRP Tracking Gotcha
Accès

Suivi HSRP
non utile
Lien
Couche 3
HSRP actif HSRP en attente
Distribution

Couche 2 UP mais
Couche 3 down

Noyau

• Installer une liaison de couche 3 entre les commutateurs de


distribution pour acheminer autour d’une situation de couche 2
UP, mais de couche 3 DOWN au niveau de la couche de
distribution
• Solution alternative—Distribution branché en double vers noyau
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 59

Connexion en chaîne

• Le câble de boucle arrière empêche un sous-réseau


discontinu
Une interruption au niveau d’un câble empilable ou commutateur au
centre entraînera l’interruption du sous -réseau si une connexion de
couche 3 existe entre la couche de distribution

HSRP actif HSRP


HSRP actif
actif

Layer
Layer 33

HSRP en HSRP
HSRP actif
actif
attente
Cable
Cable de
de boucle
boucle
arrière
arrière

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 60

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Connexion en chaîne (suite)
• Utilisez la fonction de « Cross Stack UplinkFast » pour les
commutateurs empilables
Transition du lien de blocage directement à l’acheminement en cas
d’interruption du lien à la racine
spanning-tree uplinkfast
!
interface GigabitEthernet0/1 HSRP actif
Port racine
Switchport mode trunk
spanning-tree stack-port
! STP racine
interface GigabitEthernet0/2 principal
Switchport mode trunk Layer
Layer 22
Blocage lien STP racine
spanning-tree uplinkfast
redondant secondaire
!
interface GigabitEthernet0/1
switchport mode trunk HSRP en
spanning-tree stack-port attente

spanning-tree uplinkfast
!
interface GigabitEthernet0/1
!
Switchport mode trunk
spanning-tree stack-port
!
interface GigabitEthernet0/2
Switchport mode trunk
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 61

Problème relié au sommaire de route

• HSRP de la couche de 10.1.2.a/24 10.1.1.b/24


distribution de droite prend la
relève à la suite de l’interruption Accès
de la liaison
• Toutefois, l’ancienne passerelle
continue d’envoyer le sommaire
au noyau
• Le trafic de retour est perdu au Distribution
niveau du commutateur de
distribution de gauche Sommaire :
• Le sommaire nécessite une 10.1.0.0/16
liaison de couche 3 entre les
commutateurs de distribution
Noyau
• Design alternatif :
2 interfaces VLAN d’accès non
passives, encombrant
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 62

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Sommaire de route (suite)
A B

• Si la couche de Accès
distribution ne résume
pas les sous-réseaux
d’accès, alors pas besoin
d’une liaison de couche 3
entre les commutateurs Distribution
de distribution
• Le trafic du noyau est
acheminé à la distribution
de droite Noyau

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 63

Routage asymétrique

Coût x liens Distribution 1 Coût y liens

Noyau
Noyau 11 Coû A
t =Z

HSRP actif

Q
Noyau
Noyau 11 Coût=
Distribution 2

Table IGP avant Table IGP après


!Suppose coût vers A de distribution = y !Le coût a changé

A via Distribution 1 = x + y A via Distribution 1 = x + Z


A via Distribution 2 = x + y A via Distribution 2 = x + Q
Par conséquent, équilibre de charge Si Q < Z,
entre distribution 1 et distribution 2 alors passer par distribution 2
pour atteindre A pour atteindre A
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 64

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Routage asymétrique (suite)
• Le routage asymétrique produit un inondement inutile
• Solution :
Ajuster le coût des interfaces VLAN d’accès IGP ou
Ajuster le temporisateur ARP pour être identique au temporisateur
CAM
• Ajuster le coût d’interface du routeur de couche de
distribution non-HSRP actif
Distribution 1:
interface Vlan2
ip address 10.1.0.2 255.255.255.0
ip ospf cost 50
---------------------------------------------------------------- ----------------
Distribution 1:
interface Vlan2
ip address 10.1.0.2 255.255.255.0
arp timeout 300

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 65

PortFast sur les liaisons (trunks)


Je peux Non, tu ne
atteindre peux pas
10.1.0.0/16
Réseau
10.1.0.0/16
Liaison
Liaison couche
couche 22

Routeur Commutateur
• Aussitôt que le lien est UP au niveau 2 le routeur commence a
annoncer le réseau. Toutefois, STP est toujours en transition
sur le commutateur
• Activer PortFast sur les liaisons reliées au routeur
CatOS (enable) set spantree portfast 5/1 enable trunk

!Native IOS
interface FastEthernet 5/1
spanning-tree portfast trunk

• Fonction Autostate
Ne permet pas à une interface VLAN de couche 3 de s’activer jusqu’à ce que
STP indique au VLAN d’acheminer
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 66

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Couche 2 entre distribution?
STP racine secondaire
Couche de et HSRP en attente
Hellos
distribution STP racine et
2/3 HSRP actif HSRP actif
(Temporairement)
Max secondes
avant détection
de la
22 panne….Ensuite
FF BB

FF 22
22 écoute et

FF
F: Forwarding
apprentissage
22
Couche B: Blocking
d’accès 2 Accès-b

2 2
• Le blocage du lien sur accès-b prend 50 secondes pour
acheminer -> trou noir du trafic pendant ce temps
• Si un VLAN s’étend à plusieurs commutateurs d’accès,
alors il faut installer un lien de couche 2 entre les
commutateurs de distribution
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 67

Ordre du jour

• Vue d’ensemble du modèle multicouche

• Pratiques exemplaires en matière de design de


réseau campus

• Implantation

• Particularités et pièges de design

• Services de réseau campus

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 68

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Services de réseau campus

• Outils de sécurité
• Intégration du sans fil
• Qualité de service
• IP Multicast dans le campus

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 69

Contrôle d’accès des ports


• Sécurité du port (port security)
Restriction des adresses MAC apprises sur un port
Empêche la table CAM de devenir pleine
Filtre CAM peut restreindre trafic aller et retour vers l’hôte
CatOS (enable) set port security 5/1 enable
CatOS (enable) set port security 5/1 enable 00-90-2b-03-34-08
CatOS (enable) set port security 5/1 maximum 10
CatOS (enable) set cam static filter 00-02-03-04-05-06 <vlan>
---------------------------------------------------------------- --------------
!Feature not available in Native IOS for 6500/7600 Platform
Switch # configure terminal
Switch (config )# interface fastEthernet 0/5
Switch (config -if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addrs
violation Security Violation Mode

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 70

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Contrôle d’accès des ports (suite)

• 802.1x
Décrit un protocole standard de niveau 2
utilisé pour transporter des protocoles
d’authentification de plus haut niveau.
Maintient les communications d’arrière-plan à
un serveur d’authentification (RADIUS)
• Désactiver CDP sur les ports non reliés à
d’autres dispositifs Cisco

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 71

Contrôle d’accès des ports (suite)

CatOS (enable) set dot1x system -auth-control enable


CatOS (enable) set port dot1x 5/1 -8 port -control auto
-------------------------------------------------------
!Feature not available in Native IOS for 6500/7600

aaa new -model


aaa authentication dot1x group radius

interface FastEthernet0/2
Switchport mode access
dot1x port-control auto
-------------------------------------------------------
CatOS (enable) set cdp disable 3/1-48
!IOS
interface FastEthernet0/2
no cdp enable

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 72

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Protection du Spanning Tree

• BPDU Guard
Arrêt d’un port PortFast s’il reçoit un BPDU;
empêche les BPDUs non autorisés sur les
ports d’accès

• Root Guard
Blocage d’un port s’il reçoit des BPDUs
supérieurs; empêche tout dispositif non
autorisé d’être le pont racine ou de
s’acheminer vers le pont racine.

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 73

Un PVLAN n’est pas un pare-feu!


• Un VLAN privé procure une isolation de couche 2 entre les
ports isolés; si un hôte X sur un port isolé dirige sans
restriction son trafic IP à l’adresse MAC du routeur, alors le
routeur acheminera le trafic à l’hôte Z
• Utiliser des listes d’accès au routeur pour empêcher cette
situation
Dst_MAC Src_MAC Dst_IP Src_IP
R X 10.1.1.3 10.1.1.2 Port isolé

10.1.1.2 10.1.1.1 10.1.1.3


MAC X Configurer les listes MAC R MAC Z
d’accès pour rejeter de
tels hôtes (RACL)

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 74

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Protection de VLAN 1
• VLAN 1
Utilisé par les protocoles de contrôle comme VTP, DTP, etc.
Passe sur les liaisons par défaut
Les ports non configurés ne devraient pas faire partie du VLAN 1

• Retirer, si possible VLAN 1 des liaisons


• Désactiver les ports non-utilisés
Empêche les dispositifs non autorisés d’avoir accès

CatOS (enable) clear trunk 2/1 1


Native IOS( config-if)#switchport trunk allowed vlan remove 1
---------------------------------------------------------------- ----
CatOS (enable) set port disable 2/1 -48
Native IOS( config)#interface range fastEthernet2/1 - 48
Native IOS (config-if-range)#shutdown

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 75

802.1Q - Recommandations à l’égard de la


configuration des liaisons

Trame .1Q .1Q Trame .1Q Trame

Liaison

Port d’accès VLAN natif Port d’accès


VLAN Bleu Bleu VLAN Rouge

• Double Encapsulated 802.1q Frame


Configurer VLAN natif sur les liaisons de façon différente du numéro
VLAN d’accès
Autre solution : Étiqueter toutes les trames
• Changer l’état de la liaison des ports non-liés de Auto à Off
Empêche un hôte de devenir un port de liaison et de recevoir du trafic
qui résiderait normalement sur un port de liaison

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 76

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
802.1Q - Recommandations à l’égard de la
configuration des liaisons (suite)
CatOS (enable) set vlan 99 5/1
!Change Native VLAN of Trunk Port 5/1 to VLAN 99

Native IOS#configure terminal


Native IOS( config)#interface FastEthernet 5/1
Native IOS( config-if)#switchport trunk native vlan 99
---------------------------------------------------------------- --
CatOS (enable) set dot1q-all -tagged enable

Native IOS#configure terminal


Enter configuration commands, one per line. End with CNTL/Z.
Native IOS( config)#vlan dot1q tag native
---------------------------------------------------------------- --
CatOS (enable) set trunk 5/1 off

Native IOS( config)#interface FastEthernet 5/1


Native IOS( config-if)#Switchport mode access

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 77

Campus WLAN
Modèle de sécurité EAP 802.1x
• APs sur VLAN à couche
d’accès dédiée
• Changement minimal
—2 serveurs RADIUS
• AP bloque tout trafic non
authentifié jusqu’à ce que
l’authentification soit
terminée Si
Si Si
Si Si
Si Si
Si

• EAP-Cisco utilise base de


données des utilisateurs et
mots de passe Windows Si
Si Si
Si

• TKIP et Dynamic par session,


par utilisateur, clés avec Si
Si Si
Si

temps limite
• Cartes réseau Cisco NICS ou
Windows XP(EAP-TLS) Cisco Cisco
ACS ACS
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 78

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
WLAN campus
VPN avec filtres AP

DMZ
• Filtres complexes aux points
d’accès (AP) et routeurs de
périphérie
• 3DES/OTP supportés par Si Si Si Si
Si Si Si Si
VPN
• Clients doivent supporter les
piles VPN Si
Si Si
Si

DMZ
• Trafic de diffusion et CNR
multicast non supporté Si
Si Si
Si

• Analyse attentive de tout


changement de réseau en
cas d’incidence sur la Concentrateur
sécurité WLAN
VPN
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 79

La qualité de service est-elle nécessaire


dans le campus?

« Il suffit d’ajouter de la
bande passante. Ceci
permettra de résoudre le
problème! »
Peut-être que oui
Peut- oui,, peut
peut--être que non;
la congestion campus est un problème
de gestion de mémoire tampon
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 80

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Activer la qualité de service dans le campus
Scénario de congestion : Rafale de trafic TCP +
VoIP
Congestion
instantanée
Noyau au niveau de
Si Si
Si
Sur -inscription
Sur- l’interface
de données
type 4:1
Distribution
Si Si
Si

Sur -inscription
Sur-
de données
type 20:1 Accès
Accès

= Données
= Voix
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 81

Activation de la qualité de service dans le campus


Gestion de congestion dans le campus
• Les mémoires tampon de = Points de congestion instantanée
sortie peuvent atteindre
100% dans les réseaux
campus ce qui entraîne la TX TX TX Si TX TX TX
perte de paquets de la
voix
• La qualité de service est
requise quand il y a File d’attente assignée
Données
possibilité de congestion en fonction
RX
dans les mémoires
tampon Données classification L 2/
2/LL3
RX
• Les files d’attentes
multiples sont la seule
façon de «garantir» la
qualité de la voix
Données
RX Si TX

• Voir Session 1.9 -


Implantation de la Qualité Voix
de Service dans RX Voix mise dans file
l'entreprise
sensible délai /perte
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 82

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Activation de la qualité de service dans le campus
Classification de couche 2 —802.1p, CoS
Pream. SFD DA SA Type TAG PT Données FCS
2 Bytes
Ethernet Frame
Trois bits utilisés pour CoS
(802.1p User Priority )
PRI CFI VLAN ID En-tête
802.1Q/p
CoS Application
• Champ 802.1p User Priority
7 Réservé
aussi nommé Class of Service
(CoS) 6 Réservé
5 Porteur voix
• Différentes valeurs CoS sont 4 Conférence vidéo
attribuées aux différents types
3 Signalisation des appels
de trafic
2 Données haute priorité
• CoS 6 et 7 sont réservées à un 1 Données moyenne priorité
usage réseau 0 Données meilleur effort
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 83

Activation de la qualité de service dans le campus


Classification couche 3—IP Precedence, DSCP
Version ToS
Len ID Offset TTL Proto FCS IP SA IP DA Data
Length Byte
IPv4 Packet

7 6 5 4 3 2 1 0
IP Precedence Unused Standard IPv4
DiffServ Code Point (DSCP) Flow Ctrl DiffServ Extensions

• IPv4: les trois principaux bits de l’octet ToS portent le


nom de IP Precedence—autres bits sont inutilisés
• DiffServ: les six bits les plus significatifs de l’octet
ToS portent le nom de DiffServ Code Point (DSCP)—
les deux autres bits sont utilisés pour le contrôle du
flux
• DSCP est rétrocompatible avec IP Precedence
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 84

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Activation de la qualité de service dans le campus
Sommaire de la classification

L2 L3 Classification
Application
CoS IP Prec. PHB DSCP

7 7 - 56–63 Réservé
6 6 - 48–55 Réservé

5 5 EF 46 Porteur voix
4 4 AF41 34 Conférence vidéo
3 3 AF31 26 Signalisation des appels
2 2 AF2y 18,20,22 Données haute priorité
1 1 AF1y 10,14,16 Données moyenne priorité
0 0 BE 0 Données meilleur effort

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 85

Activation de la qualité de service dans le campus


Frontière de confiance
Points de bout Accès Distribution Noyau WAN Agg.

1 Si Si

2
Si Si

3
Frontière de confiance
• Un dispositif est dit de confiance s’il peut classer
correctement les paquets
• Pour assurer l’évolutivité, la classification doit être
effectuée le plus près possible de la périphérie.
• Les dispositifs de confiance le plus à l’extérieur
représentent la frontière de confiance
• 1 et 2 sont la situation optimale, 3 est acceptable
(si le commutateur d’accès ne peut exécuter la
classification)
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 86

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Conseils sur IP Multicast

• PIM Sparse-mode—Il est recommander d’utiliser


Sparse-Mode et d’éviter d’utiliser Dense-mode
surtout dans les réseaux de taille moyenne et plus.
• Design à tolérance de panne
AutoRP fournit une facilité d’administration et de multiples
C-RPs peuvent prendre la relève en cas de panne.
Anycast RP procure la relève la plus rapide et permet une
conception plus évolutive. Configuration plus complexe.
• Comprendre l’application—Avec Tibco IPmc, tous les
receveurs peuvent être des sources. Extensions de
recherche au PIM (Bi-Dir et SSM)
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 87

IP Multicast couche 2
• IGMP Snooping
IGMP Snooping ACTIVÉ par défaut
• CGMP
Exécution sur les commutateurs et le routeur
Les paquets IGMP sont interceptés au
Le routeur transmet des paquets multicast
niveau du matériel sans pénalité à la
CGMP aux commutateurs et à l’adresse MAC
performance multicast connue :
0100.0cdd.dddd
Le commutateur examine le contenu des Le paquet CGMP comprend :
messages IGMP pour déterminer quels
Champ de type: —Join ou Leave
ports désirent quel trafic
Adresse MAC du client IGMP
Rapport membre IGMP + messages de départ
Adresse multicast du groupe

Sans la commutation IGMP :


Le commutateur utilise info de paquet CGMP
Les commutateurs traitent TOUS les paquets packet pour ajouter ou retirer une entrée de
multicast de couche 2 couche 2 pour une adresse MAC multicast
La charge admin. augmente avec la charge de particulière
trafic multicast, ce qui entraîne un
débordement excessif
2900/3500—CGMP 4003—CGMP
RST-271 2950/3550—IGMP Snooping 6500/4006—IGMP Snooping
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 88

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Sommaire
• Le trafic en temps réel, comme la voix, la vidéo
et les données à mission critique deviennent la
tendance dominante
• L’infrastructure de réseau d’entreprise doit
permettre les applications émergentes tout en
assurant des temps de réponse et une
disponibilité des applications de données à
mission critique
Disponibilité du réseau, sécurité, qualité de service et
IP Multicast
• Élaborez les « Services » pour supporter ces
applications dans le réseau dès aujourd’hui!
RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 89

Positionnement des produits Cisco


Catalyst
Catalyst 6500 Series
• Modular
10/100/1000
• Highest switching
capacity
• Layer 2/3/4 -7
• 32-256 Gbps
Catalyst 4500 Series Switching Engine

• Modular 10/100/1000
• High performance Layer 2,L 3,L4
• 24-64 Gbps Switching Engine

Catalyst 3750 Series


Prix/Performance

• Stackable 10/100/1000 and 10/100 configurations


• Cisco StackWise™ Technology
• Optimized for Gigabit Ethernet deployment
• Enterprise-class Intelligent Layer 3/L4 services
• Highly resilient 32Gbps stacking interconnection
• Single management interface w/ auto configuration

Catalyst 3550 Series

• Stackable 10/100 and GE configurations


• High performance switching and routing
• Enterprise-class intelligent Layer 3/L4 services
• Clustering capable
Catalyst 2950 Series
• Stackable 10/100 switching
• GBIC-based Gigabit connectivity
• Advanced intelligent Layer 3/L4 services
• Clustering capable

RST-271
5383_05_2002_c1
Fonctionalité/Flexibilité
© 2002, Cisco Systems, Inc. All rights reserved. 90

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Références

Design campus :
http://www.cisco.com/warp/public/cc/so/cuso/epso/entdes/
http://www.cisco.com/warp/public/779/largeent/design/campus_index.
html
http://www.cisco.com/warp/public/cc/so/neso/lnso/cpso/gcnd_wp.htm

Conseils techniques sur les technologies LAN :


http://www.cisco.com/warp/public/473/

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 91

Déploiement des réseaux


campus

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 92

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271
Veuillez remplir le formulaire
d’évaluation

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 93

RST-271
5383_05_2002_c1 © 2002, Cisco Systems, Inc. All rights reserved. 94

Copyright © 2002, Cisco Systems, Inc. All rights reserved. Printed in USA.
5383_05_2002, RST271

Vous aimerez peut-être aussi