Académique Documents
Professionnel Documents
Culture Documents
passez en revue comment configurer un PC et lui permettre de se connecter à un port de console de routeur.
Vous pouvez également vous connecter à un routeur Cisco via un port auxiliaire , ce qui est vraiment la même chose
en tant que port de console, il s'ensuit que vous pouvez l'utiliser comme un seul. La principale différence avec un auxiliaire
est qu'il vous permet également de configurer les commandes du modem afin qu'un modem puisse être connecté
au routeur. C'est une fonctionnalité intéressante car elle vous permet de connecter un routeur distant et de vous connecter au
port auxiliaire si le routeur est en panne et que vous devez le configurer à distance, hors bande . Un des
les différences entre les routeurs et les commutateurs Cisco sont que les commutateurs n'ont pas de port auxiliaire.
La troisième façon de se connecter à un appareil Cisco est intrabande , via le programme Telnet ou Secure
Shell (SSH) . In-band signifie configurer l'appareil via le réseau, à l'opposé de l' out-of-band .
Nous avons couvert Telnet et SSH au chapitre 3, « Introduction à TCP/IP », et dans ce chapitre, je vais
vous montrer comment configurer l'accès à ces deux protocoles sur un périphérique Cisco.
La figure 6.1 montre une illustration d'un commutateur Cisco 2960. Concentrez-vous vraiment sur tous les types
d'interfaces et de connexions ! Sur le côté droit se trouve la liaison montante 10/100/1000. Vous pouvez utiliser soit
le port UTP ou le port fibre, mais pas les deux à la fois.
Le commutateur 3560 que j'utiliserai dans ce livre ressemble beaucoup au 2960, mais il peut effectuer la couche 3
commutation, contrairement au 2960, qui est limité aux seules fonctions de la couche 2.
Je veux aussi prendre un moment et vous parler du routeur de la série 2800 parce que c'est le routeur
série que je vais utiliser dans ce livre. Ce routeur est connu sous le nom de routeur à services intégrés (ISR) et
Cisco l'a mis à jour vers la série 2900, mais j'ai encore beaucoup de routeurs de la série 2800 dans mon
réseaux de production. La figure 6.2 montre un nouveau routeur de la série 1900. La nouvelle série de routeurs ISR
Sont gentils; ils sont ainsi nommés car de nombreux services, comme la sécurité, y sont intégrés. L'ISR
Le routeur de la série est un appareil modulaire, beaucoup plus rapide et beaucoup plus élégant que l'ancienne série 2600
routeurs, et il est élégamment conçu pour prendre en charge une large gamme d'options d'interface. Le nouveau
Le routeur de la série ISR peut offrir plusieurs interfaces série, qui peuvent être utilisées pour connecter un T1 à l'aide
une connexion WAN série V.35. Et plusieurs ports Fast Ethernet ou Gigabit Ethernet peuvent être utilisés
sur le routeur, selon le modèle. Ce routeur dispose également d'une console via un connecteur RJ45
et un autre via le port USB. Il y a aussi une connexion auxiliaire pour permettre une console
connexion via un modem distant.
Vous devez garder à l'esprit que la plupart du temps, vous en avez pour votre argent avec
le 2800/2900, à moins que vous ne commenciez à y ajouter un tas d'interfaces. Vous avez à poney pour
chacune de ces petites beautés, donc cela peut vraiment commencer à s'additionner et rapidement !
Quelques autres séries de routeurs qui vous coûteront beaucoup moins que la série 2800 sont les
1800/1900, alors regardez ces routeurs si vous voulez une alternative moins chère au
Page 2
www.cisco.com/en/US/products/hw/routers/index.html .
Une fois l'IOS chargé et opérationnel, la configuration de démarrage sera copiée de la NVRAM dans
RAM et à partir de ce moment-là appelé le running-config.
Mais si une configuration de démarrage valide n'est pas trouvée dans la NVRAM, votre commutateur entrera en mode de configuration, vous donnant
une boîte de dialogue étape par étape pour aider à configurer certains paramètres de base dessus.
Vous pouvez également entrer en mode configuration à tout moment à partir de la ligne de commande en tapant la commande setup
du mode privilégié, auquel je reviendrai dans une minute. Le mode de configuration ne couvre que certains éléments de base
commandes et n'est généralement pas vraiment utile. Voici un exemple :
À tout moment, vous pouvez entrer un point d'interrogation '?' pour aider.
Utilisez ctrl-c pour abandonner la boîte de dialogue de configuration à n'importe quelle invite.
Les paramètres par défaut sont entre crochets '[]'.
Vous pouvez quitter le mode de configuration à tout moment en appuyant sur Ctrl+C.
Je recommande fortement de passer par le mode de configuration une fois, puis plus jamais parce que vous devriez
utilisez toujours la CLI à la place !
Page 3
Une fois que les messages d'état de l'interface apparaissent et que vous appuyez sur Entrée, l' invite Switch> apparaîtra.
C'est ce qu'on appelle le mode d'exécution utilisateur , ou mode utilisateur en abrégé, et bien qu'il soit principalement utilisé pour afficher
statistiques, c'est aussi un tremplin vers la connexion au mode d'exécution privilégié , appelé
mode privilégié pour faire court.
Vous pouvez afficher et modifier la configuration d'un routeur Cisco uniquement en mode privilégié, et
vous l'entrez via la commande enable comme ceci :
Commutateur> activer
Changer#
L' invite Switch# signale que vous êtes en mode privilégié où vous pouvez à la fois afficher et modifier le
configuration du commutateur. Vous pouvez revenir du mode privilégié au mode utilisateur en utilisant la désactivation
commander:
Commutateur # désactiver
Commutateur>
Vous pouvez saisir logout depuis l'un ou l'autre mode pour quitter la console :
Basculer> se déconnecter
Le commutateur con0 est maintenant disponible
Appuyez sur RETOUR pour commencer.
# configuration du commutateur
Configuration à partir du terminal, de la mémoire ou du réseau [terminal] ? [ appuyez sur entrée ]
Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z.
Commutateur(config)#
À ce stade, vous apportez des modifications qui affectent le routeur dans son ensemble (globalement), d'où le terme global
mode de configuration . Par exemple, pour modifier la configuration courante, la configuration actuelle
fonctionnant dans la RAM dynamique (DRAM) - utilisez la commande configure terminal , comme je viens de le démontrer.
Invites CLI
Explorons les différentes invites que vous rencontrerez lors de la configuration d'un commutateur ou d'un routeur maintenant,
car bien les connaître vous aidera vraiment à vous orienter et à reconnaître exactement où vous
sont à tout moment en mode de configuration. Je vais démontrer certaines des invites
utilisé sur un commutateur Cisco et couvrent les différents termes utilisés en cours de route. Assurez-vous que vous êtes très
familiarisez-vous avec eux, et vérifiez toujours vos invites avant d'apporter des modifications à un routeur
configuration!
Nous n'allons pas nous aventurer dans chaque dernière invite de commande obscure que vous pourriez potentiellement venir
dans le monde du mode de configuration parce que cela nous plongerait profondément dans un territoire qui est
au-delà de la portée de ce livre. Au lieu de cela, je vais me concentrer sur les invites que vous devez absolument
savoir pour réussir l'examen ainsi que ceux très pratiques et vraiment vitaux dont vous aurez besoin et que vous utiliserez le plus
dans le réseautage réel, la crème de la crème.
Ne paniquez pas ! Il n'est pas important que vous compreniez exactement ce que chacun de ces
les invites de commande accomplissent pour l'instant parce que je vais vous renseigner complètement sur tout
eux très bientôt. Pour l'instant, détendez-vous et concentrez-vous sur le fait de vous familiariser avec les différents
Page 4
Interfaces
Pour apporter des modifications à une interface, vous utilisez la commande interface de la configuration globale
mode:
Switch(config)# interface ?
Asynchrone Interface asynchrone
BVI Interface virtuelle de groupe de pont
CTunnel Interface CTunnel
Numéroteur Interface de numérotation
FastEthernet FastEthernet IEEE 802.3
Filtre Filtrer l'interface
Groupe de filtres Interface de groupe de filtres
GigabitEthernet GigabitEthernet IEEE 802.3z
Groupe-Async Interface de groupe asynchrone
Lex Interface lexique
Bouclage Interface de bouclage
Nul Interface nulle
Port-channel Ethernet Canal d'interfaces
Groupe de ports Interface de groupe de ports
Pos-canal POS Canal d'interfaces
Tunnel Interface de tunnel
Vif Interface hôte de multidiffusion PGM
Interface de modèle virtuel de modèle virtuel
Virtual-TokenRing Virtual TokenRing
Vlan Vlans catalyseurs
FCPA Fibre Channel
gamme commande de plage d'interface
Switch(config)# interface fastEthernet 0/1
Commutateur(config-if)#)
Avez-vous remarqué que l'invite est devenue Switch(config-if)# ? Cela vous indique que vous êtes dans
mode de configuration des interfaces . Et ne serait-il pas bien que l'invite vous donne également une indication
de quelle interface tu étais en train de configurer ? Eh bien, au moins pour l'instant, nous devrons vivre sans le
des informations rapides, car ce n'est pas le cas. Mais il devrait déjà être clair pour vous que vous avez vraiment besoin
faire attention lors de la configuration d'un périphérique IOS !
Commandes de ligne
Pour configurer les mots de passe en mode utilisateur, utilisez la commande line . L'invite devient alors
Switch(config-line)# :
Switch(config)# ligne ?
<0-16> Numéro de première ligne
console Ligne terminale primaire
vty Terminal virtuel
Switch(config)# ligne console 0
Commutateur (ligne de configuration)#
La commande line console 0 est une commande globale, et parfois vous entendrez également des personnes se référer à
commandes globales comme commandes principales. Dans cet exemple, toute commande tapée à partir de (config-
line) est connue comme une sous-commande.
Pour configurer une liste d'accès nommée standard, vous devez accéder à l'invite Switch(config-std-
ncl)# :
Switch# config t
Switch(config)# ip access-list standard Todd
Commutateur (config-std-nacl)#
Ce que vous voyez ici est une invite ACL standard de base typique. Il existe différentes manières de configurer
listes d'accès, et les invites ne sont que légèrement différentes de cet exemple particulier.
Je dois souligner que nous n'utilisons pas de protocoles de routage ou de routeur sur les commutateurs 2960, mais nous pouvons
Page 5
et je les utiliserai sur mes commutateurs 3560. Voici un exemple de configuration de routage sur une couche 3
changer:
Avez-vous remarqué que l'invite est devenue Switch(config-router)# ? Pour vous assurer d'atteindre le
objectifs spécifiques à l'examen Cisco et à ce livre, je vais configurer le routage statique, RIPv2 et
RIPng. Et ne vous inquiétez pas, j'expliquerai tout cela en détail bientôt, au chapitre 9, « Routage IP » et
Chapitre 14, « Protocole Internet version 6 (IPv6) » !
Le tableau 6.1 définit certains des termes que j'ai utilisés jusqu'à présent.
Mode Définition
Mode d'exécution privilégié Donne accès à toutes les autres commandes du routeur
Commutateur # ?
Exécuter les commandes :
access-enable Créer une entrée de liste d'accès temporaire
access-template Créer une entrée de liste d'accès temporaire
archiver gérer les fichiers d'archives
CD Changer le répertoire courant
dégager Fonctions de réinitialisation
l'horloge Gérer l'horloge système
cns Agents du SNC
configurer Entrer en mode configuration
relier Ouvrir une connexion terminale
copie Copier d'un fichier à un autre
déboguer Fonctions de débogage (voir aussi 'undebug')
effacer Supprimer un fichier
diagnostic Commandes de diagnostic
réal Lister les fichiers sur un système de fichiers
désactiver Désactiver les commandes privilégiées
déconnecter Déconnecter une connexion réseau existante
point1x Commandes d'exécution IEEE 802.1X
permettre Activer les commandes privilégiées
euh EAPoUDP
effacer Effacer un système de fichiers
sortir Sortie de l'EXEC
––Plus–– ?
Appuyez sur RETOUR pour une autre ligne, ESPACE pour une autre page, autre chose pour quitter
Et si ce n'est pas assez d'informations pour vous, vous pouvez appuyer sur la barre d'espace pour obtenir un autre entier
page d'informations, ou vous pouvez appuyer sur Entrée pour passer une commande à la fois. Vous pouvez également appuyer sur Q,
ou toute autre touche d'ailleurs, pour quitter et revenir à l'invite. Remarquez que j'ai tapé une question
marque (?) à l' invite plus et il m'a dit quelles étaient mes options à partir de cette invite.
Voici un raccourci : pour rechercher des commandes commençant par une certaine lettre, utilisez la lettre et le
point d'interrogation sans espace entre eux, comme ceci :
Page 6
Commutateur # c?
cd effacer l'horloge cns configurer
connecter la copie
Commutateur # c
D'accord, tu vois ça ? En tapant c? , j'ai reçu une réponse listant toutes les commandes commençant par c . Aussi
notez que l' invite Switch# c réapparaît après l'affichage de la liste des commandes. Cela peut être
vraiment utile lorsque vous travaillez avec de longues commandes mais que vous manquez de patience
et encore besoin du prochain possible. Il vieillirait vite si vous deviez réellement retaper l'intégralité
commande à chaque fois que vous utilisez un point d'interrogation !
Alors avec ça, trouvons la commande suivante dans une chaîne en tapant la première commande puis un
point d'interrogation:
Commutateur# horloge ?
régler Régler l'heure et la date
J'ai entré l' horloge ? commande et a obtenu une liste des prochains paramètres possibles ainsi que ce qu'ils font.
Notez que vous pouvez simplement continuer à taper une commande, un espace, puis une question
marquez jusqu'à ce que <cr> (retour chariot) soit votre seule option restante.
pas de soucis, cela vous dit seulement que la chaîne de commande n'est tout simplement pas encore complète. Tous
vous devez faire est d'appuyer sur la touche fléchée vers le haut pour réafficher la dernière commande entrée, puis
continuez avec la commande en utilisant votre point d'interrogation.
tout ne va pas bien car cela signifie que vous avez entré une commande de manière incorrecte. Voir ce petit
caret—le ^ ? C'est un outil très utile qui marque le point exact où vous l'avez fait sauter et fait un
désordre.
Cette commande semble correcte, mais soyez prudent ! Le problème est que la commande complète est show interface
Fastethernet 0/0 .
Commutateur# sh cl
% Commande ambiguë : "sh cl"
on vous dit qu'il y a plusieurs commandes qui commencent par la chaîne que vous avez entrée et c'est
Page 7
Pas unique. Utilisez le point d'interrogation pour trouver la commande exacte dont vous avez besoin :
Commutateur # sh cl?
cluster d'horloge de mappage de classe
Le Tableau 6.2 répertorie les commandes d'édition améliorées disponibles sur un routeur Cisco.
Commande Signification
Une autre fonctionnalité d'édition vraiment intéressante que vous devez connaître est le défilement automatique de longs
lignes. Dans l'exemple suivant, la commande que j'ai tapée a atteint la marge de droite et automatiquement
déplacé de 11 cases vers la gauche. Comment puis-je savoir cela? Parce que le signe dollar [ $ ] me dit que le
la ligne a été défilée vers la gauche :
Switch# config t
Commutateur (config) # 100 $ autorisent l'hôte IP 192.168.10.1 192.168.10.0 0.0.0.255
Vous pouvez consulter l'historique des commandes du routeur avec les commandes indiquées dans le Tableau 6.3 .
Commander Sens
afficher le terminal Affiche les configurations de terminal et la taille de la mémoire tampon d'historique
L'exemple suivant illustre la commande show history ainsi que la façon de modifier le
taille de l'histoire. Il montre également comment vérifier l'historique avec la commande show terminal . Première utilisation
la commande show history , qui vous permettra de voir les 20 dernières commandes entrées sur
le routeur (même si mon routeur particulier ne révèle que 10 commandes car c'est tout ce que j'ai
entré depuis son redémarrage). Vérifiez-le:
Switch# sh historique
sh fastethernet 0/0
sh ru
sh cl
Page 8
configuration t
sh histoire
sh flash
sh running-config
sh startup-config
sh ver
sh histoire
Bon, maintenant, nous allons utiliser la commande show terminal pour vérifier la taille de l'historique du terminal :
Commutateur # sh terminal
Ligne 0, Emplacement : "", Tapez : ""
Longueur : 24 lignes, Largeur : 80 colonnes
Le débit en bauds (TX/RX) est de 9600/9600, pas de parité, 2 bits d'arrêt, 8 bits de données
État : PSI activé, prêt, actif, Ctrl-c activé, Automore activé
0x40000
Capacités : aucune
État du modem : Prêt
[coupure de sortie]
Le type de modem est inconnu.
La limite de session n'est pas définie.
Temps depuis l'activation : 00:17:22
L'édition est activée.
L'historique est activé, la taille de l'historique est de 10.
La résolution DNS dans les commandes show est activée
L'aide complète à l'utilisateur est désactivée
Aucun transport d'entrée autorisé n'est autorisé.
Les transports de sortie autorisés sont telnet.
Le transport préféré est telnet.
Aucun caractère de sortie n'est rempli
Aucun caractère spécial de répartition des données
Vous vous retrouverez à utiliser quelques fonctionnalités d'édition assez souvent et d'autres moins, si à
tous. Comprenez que Cisco ne les a pas inventées ; ce ne sont que de vieilles commandes Unix ! Toutefois,
Ctrl+A est toujours un moyen très utile d'annuler une commande.
Par exemple, si vous deviez entrer une commande longue et décider ensuite que vous ne voulez pas utiliser
cette commande dans votre configuration après tout, ou si cela ne fonctionnait pas, vous pouvez simplement appuyer sur
votre flèche vers le haut pour afficher la dernière commande entrée, appuyez sur Ctrl+A, tapez non puis un
espace, appuyez sur Entrée et pouf ! La commande est annulée. Cela ne fonctionne pas sur tous
commande, mais cela fonctionne sur beaucoup d'entre eux et fait gagner un temps considérable !
Configurations administratives
Même si les sections suivantes ne sont pas critiques pour faire un routeur ou un commutateur travail sur un
réseau, ils sont toujours très importants. Je vais vous guider à travers la configuration spécifique
commandes particulièrement utiles lors de l'administration de votre réseau.
Vous pouvez configurer les fonctions administratives suivantes sur un routeur et un commutateur :
Noms d'hôtes
Bannières
Mots de passe
N'oubliez pas qu'aucun de ces éléments ne permettra à vos routeurs ou commutateurs de fonctionner mieux ou plus rapidement, mais croyez-moi,
votre vie sera bien meilleure si vous prenez juste le temps de régler ces configurations sur chacun des
vos périphériques réseau. En effet, cela facilite le dépannage et la maintenance de votre
réseauter beaucoup plus facilement—sérieusement ! Dans cette prochaine section, je vais démontrer des commandes sur un
Commutateur Cisco, mais comprenez que ces commandes sont utilisées exactement de la même manière sur un Cisco
Page 9
routeur.
Noms d'hôtes
Nous utilisons la commande hostname pour définir l'identité du routeur et du commutateur. C'est seulement localement
significatif, ce qui signifie qu'il n'affecte pas la façon dont le routeur ou le commutateur effectue les recherches de nom ou la façon dont le
l'appareil fonctionne réellement sur l'interréseau. Mais le nom d'hôte est toujours important dans les routes car
il est souvent utilisé pour l'authentification dans de nombreux réseaux étendus (WAN). Voici un exemple :
Switch# config t
Switch(config)# nom d'hôte Todd
Todd(config)# nom d'hôte Chicago
Chicago(config)# nom d'hôte Todd
Todd(config)#
Je sais qu'il est assez tentant de configurer le nom d'hôte après votre propre nom, mais c'est généralement un
bien meilleure idée de nommer l'appareil quelque chose qui se rapporte à son emplacement physique. Un nom qui
les cartes de l'endroit où se trouve l'appareil faciliteront grandement sa recherche, ce qui, entre autres,
confirme que vous configurez réellement le bon périphérique. Même s'il semble que je suis
abandonnant complètement mes propres conseils en nommant le mien Todd , je ne le suis pas, car cet appareil particulier
vit vraiment dans le bureau de « Todd ». Son nom correspond parfaitement à l'endroit où il se trouve, il ne sera donc pas confondu
avec ceux des autres réseaux avec lesquels je travaille !
Bannières
Une très bonne raison d'avoir une bannière est de donner à tous ceux qui osent essayer de telnet ou de se faufiler
dans votre interréseau un petit avis de sécurité. Et ils sont très cool parce que vous pouvez créer et
personnalisez-les afin qu'ils accueillent toute personne qui se présente sur le routeur avec exactement le
informations que vous voulez qu'ils aient !
Bannière de connexion
Todd(config)# bannière ?
LIGNE c banner-text c, où 'c' est un caractère de délimitation
l'exécutif Définir la bannière de création de processus EXEC
entrant Définir la bannière de la ligne de terminal entrante
connexion Définir la bannière de connexion
mot Définir la bannière du message du jour
prompt-timeout Définir le message pour le délai d'expiration de l'authentification de connexion
slip-ppp Définir le message pour SLIP/PPP
Les bannières Message du jour (MOTD) sont les bannières les plus utilisées car elles donnent une
message à toute personne se connectant au routeur via Telnet ou un port auxiliaire ou même via un
port de console comme vu ici :
Todd(config)# ^Z (Appuyez sur la touche Ctrl + les touches z pour revenir en mode privilégié)
Todd# sortie
con0 est maintenant disponible
Appuyez sur RETOUR pour commencer.
Si vous n'êtes pas autorisé à faire partie du réseau Acme.com, vous
doit se déconnecter immédiatement.
Todd#
Cette bannière MOTD indique essentiellement à toute personne se connectant à l'appareil de se perdre si elle n'est pas allumée
Page 10
la liste des invités. La partie sur laquelle se concentrer ici est le caractère délimitant, qui est ce qui informe le
routeur, le message est terminé. De toute évidence, vous pouvez utiliser n'importe quel caractère pour cela, à l'exception du
caractère délimitant dans le message lui-même. Une fois le message terminé, appuyez sur Entrée, puis sur le
caractère de délimitation, puis appuyez à nouveau sur Entrée. Tout fonctionnera toujours si vous ne suivez pas cela
routine sauf si vous avez plus d'une bannière. Si tel est le cas, assurez-vous de le suivre ou
vos bannières seront toutes regroupées en un seul message et mises sur une seule ligne !
Vous pouvez définir une bannière sur une ligne comme ceci :
Prenons une minute pour détailler les deux autres types de bannières que j'ai mentionnés :
Bannière d' exécution Vous pouvez configurer une bannière d'activation de ligne (exec) à afficher lors de l'exécution
des processus tels qu'une activation de ligne ou une connexion entrante à une ligne VTY ont été créés.
Le simple fait de lancer une session d'exécution utilisateur via un port de console activera la bannière d'exécution.
Bannière de connexion Vous pouvez configurer une bannière de connexion à afficher sur tous les terminaux connectés. Ce sera
apparaissent après la bannière MOTD mais avant les invites de connexion. Cette bannière de connexion ne peut pas être désactivée
sur une base par ligne, donc pour le désactiver globalement, vous devez le supprimer avec la connexion sans bannière
commander.
!
connexion à la bannière ^C
—————————————————————————————————————————————————— —————————————————————————
Cisco Router and Security Device Manager (SDM) est installé sur cet appareil.
Cette fonctionnalité nécessite l'utilisation unique du nom d'utilisateur « cisco »
avec le mot de passe "cisco". Le nom d'utilisateur et le mot de passe par défaut
avoir un niveau de privilège de 15.
Veuillez modifier ces identifiants initiaux publiquement connus en utilisant
SDM ou l'interface de ligne de commande IOS.
Voici les commandes Cisco IOS.
nom d'utilisateur <monutilisateur> privilège 15 secret 0 <monmotdepasse>
pas de nom d'utilisateur cisco
Remplacez <myuser> et <mypassword> par le nom d'utilisateur et
mot de passe que vous souhaitez utiliser.
Pour plus d'informations sur SDM, veuillez suivre les instructions
dans le GUIDE DE DÉMARRAGE RAPIDE de votre routeur ou rendez-vous sur www.cisco.com/go/sdm
—————————————————————————————————————————————————— ——————————————————————————–
^C
!
La bannière de connexion précédente devrait sembler assez familière à quiconque s'est déjà connecté à un ISR
routeur car c'est la bannière que Cisco a dans la configuration par défaut de ses routeurs ISR.
N'oubliez pas que la bannière de connexion s'affiche avant les invites de connexion et après
la bannière MOTD.
Vous définissez les mots de passe d'activation à partir du mode de configuration global comme ceci :
Todd(config)# activer ?
Page 11
mot de passe Cecidéfinit le mot de passe d'activation sur les systèmes antérieurs à 10.3 et n'est jamais utilisé si un
le secret est établi.
secret Le mot de passe crypté le plus récent qui remplace le mot de passe d'activation s'il a été défini.
use-tacacs Ceci
indique au routeur ou au commutateur de s'authentifier via un serveur TACACS. Il entre
vraiment pratique quand on a beaucoup de routeurs car changer le mot de passe sur une multitude de
ils peuvent être incroyablement fastidieux. Il est beaucoup plus facile de simplement passer par le serveur TACACS et
ne changez le mot de passe qu'une seule fois !
Voici un exemple qui montre comment définir les mots de passe d'activation :
Les mots de passe en mode utilisateur sont attribués via la commande de ligne comme ceci :
Todd(config)# ligne ?
<0-16> Numéro de première ligne
console Ligne terminale primaire
vty Terminal virtuel
Et ces deux lignes sont particulièrement importantes pour les objectifs de l'examen :
vty Définit un mot de passe Telnet sur le périphérique. Si ce mot de passe n'est pas défini, par défaut, Telnet ne peut pas
être utilisé.
Pour configurer les mots de passe en mode utilisateur, choisissez la ligne souhaitée et configurez-la à l'aide du login
commande pour que le commutateur invite à l'authentification. Concentrons-nous sur la configuration de
lignes individuelles maintenant.
Nous définissons le mot de passe de la console avec la commande line console 0 , mais regardez ce qui s'est passé lorsque j'ai
essayé de taper la ligne console ? à partir de l' invite (config-line)# : j'ai reçu une erreur ! Ici se trouve le
Exemple:
Vous pouvez toujours taper la ligne console 0 et cela sera accepté, mais les écrans d'aide ne fonctionnent tout simplement pas
à partir de cette invite. Tapez exit pour revenir d'un niveau et vous constaterez que vos écrans d'aide s'affichent maintenant
travail. Il s'agit d'une « fonctionnalité ». Vraiment.
Parce qu'il n'y a qu'un seul port de console, je ne peux choisir que la ligne console 0. Vous pouvez définir toute votre ligne
Page 12
mots de passe au même mot de passe, mais ce n'est pas exactement une mesure de sécurité brillante !
N'oubliez pas que bien que Cisco dispose de cette « fonctionnalité de mot de passe » sur son
routeurs commençant par IOS 12.2 et versions ultérieures, il n'est pas inclus dans les anciens IOS.
D'accord, vous devez connaître quelques autres commandes importantes concernant le port de console.
D'une part, la commande exec-timeout 0 0 définit le délai d'expiration de la session EXEC de la console à zéro,
s'assurer qu'il n'expire jamais. Le délai d'attente par défaut est de 10 minutes.
Si vous vous sentez malicieux, essayez ceci sur les personnes au travail : définissez le délai d'expiration de l' exécution
commande à 0 1. Cela fera expirer la console en 1 seconde, et pour le réparer, vous devez
appuyez continuellement sur la touche fléchée vers le bas tout en modifiant le temps d'attente avec votre main libre !
Vous pouvez configurer la console pour qu'elle passe de ne jamais expirer (0 0) à expirer en 35 791
minutes et 2 147 483 secondes. N'oubliez pas que la valeur par défaut est de 10 minutes.
Mot de passe Telnet
Pour définir le mot de passe en mode utilisateur pour l'accès Telnet au routeur ou au commutateur, utilisez la ligne vty
commander. Les commutateurs IOS ont généralement 16 lignes, mais les routeurs exécutant l'édition Enterprise ont
considérablement plus. La meilleure façon de savoir combien de lignes vous avez est d'utiliser cette
point d'interrogation comme ceci :
Page 13
Cette sortie montre clairement que vous ne pouvez pas obtenir d'aide de votre invite (config-line)# . Vous devez aller
retour en mode de configuration globale afin d'utiliser le point d'interrogation ( ? ).
Alors, que se passera-t-il si vous essayez de vous connecter par telnet à un appareil qui n'a pas de mot de passe VTY défini ? Vous allez
recevoir une erreur indiquant que la connexion a été refusée car le mot de passe n'est pas défini. Alors, si vous
telnet dans un commutateur et recevez un message comme celui-ci que j'ai reçu du commutateur B
cela signifie que le commutateur n'a pas défini de mot de passe VTY. Mais tu peux toujours contourner ça et dire
le commutateur pour autoriser les connexions Telnet sans mot de passe en utilisant la commande no login :
connexions sans mot de passe, sauf si vous êtes dans un environnement de test ou de classe. Dans un
réseau de production, définissez toujours votre mot de passe VTY !
Une fois vos appareils IOS configurés avec une adresse IP, vous pouvez utiliser le programme Telnet pour
configurez et vérifiez vos routeurs au lieu d'avoir à utiliser un câble de console. Vous pouvez utiliser Telnet
programme en tapant telnet à partir de n'importe quelle invite de commande (DOS ou Cisco). Je couvrirai tout ce qui concerne Telnet
plus en détail au chapitre 7, « Gestion d'un interréseau Cisco ».
Pour configurer le mot de passe auxiliaire sur un routeur, passez en mode de configuration globale et tapez line
aux ? .
Et au fait, vous ne trouverez pas ces ports sur un commutateur. Cette sortie montre que vous obtenez seulement
un choix de 0 à 0, car il n'y a qu'un seul port :
Todd# config t
Todd(config)# ligne aux ?
<0-0> Numéro de la première ligne
Todd(config)# ligne aux 0
Todd(ligne de configuration)# connexion
% Connexion désactivée sur la ligne 1, jusqu'à ce que le « mot de passe » soit défini
Todd(config-line)# mot de passe aux
Todd(ligne de configuration)# connexion
Je recommande fortement d'utiliser Secure Shell (SSH) au lieu de Telnet car cela crée un plus
session sécurisée. L'application Telnet utilise un flux de données non crypté, mais SSH utilise
clés de cryptage pour envoyer des données afin que votre nom d'utilisateur et votre mot de passe ne soient pas envoyés en clair, vulnérable
à tous ceux qui rôdent !
2. Définissez le nom de domaine—le nom d'hôte et le nom de domaine sont requis pour le cryptage
clés à générer :
Page 14
4. Générez les clés de chiffrement pour sécuriser la session :
Todd(config)#
1d14h : %SSH-5-ENABLED : SSH 1.99 a été activé*24 juin
19:25:30.035 : %SSH-5-ENABLED : SSH 1.99 a été activé
5. Activez SSH version 2 sur l'appareil, non obligatoire, mais fortement suggéré :
7. Dites aux lignes d'utiliser la base de données locale pour le mot de passe :
Méfiez-vous de cette ligne suivante, et assurez-vous de ne jamais l'utiliser en production car c'est un
terrible risque de sécurité :
Je recommande d'utiliser la ligne suivante pour sécuriser vos lignes VTY avec SSH :
En fait, j'utilise Telnet de temps en temps lorsqu'une situation l'exige spécifiquement. C'est juste
n'arrive pas très souvent. Mais si vous voulez utiliser Telnet, voici comment procéder :
Sachez que si vous n'utilisez pas le mot-clé telnet à la fin de la chaîne de commande, alors seulement SSH
fonctionnera sur l'appareil. Vous pouvez choisir l'un ou l'autre, tant que vous comprenez que SSH est bien
plus sûr que Telnet.
Notez que vous pouvez voir tous les mots de passe sauf le secret d'activation lors de l'exécution d'un spectacle
running-config sur un commutateur :
Todd# sh running-config
Configuration du bâtiment...
Page 15
Pour chiffrer manuellement vos mots de passe, utilisez la commande service password-encryption . Voici comment:
Todd# config t
Chiffrement du mot de passe du service Todd(config)#
Todd(config)# sortie
Todd# show run
Configuration du bâtiment...
!
!
activer le secret 4 ykw.3/tgsOuy9.6qmgG/EeYOYgBvfX4v.S8UNA9Rddg
activer le mot de passe 7 1506040800
!
[coupure de sortie]
!
!
ligne con 0
mot de passe 7 050809013243420C
connexion
ligne vty 0 4
mot de passe 7 06120A2D424B1D
connexion
ligne vty 5 15
mot de passe 7 06120A2D424B1D
connexion
!
finir
Todd# config t
Todd(config)# pas de service de cryptage de mot de passe
Todd(config)# ^Z
Todd#
Bien joué, les mots de passe seront désormais cryptés. Tout ce que vous avez à faire est de crypter les mots de passe,
effectuez un show run , puis désactivez la commande si vous le souhaitez. Cette sortie nous montre clairement que le
activer le mot de passe et les mots de passe de ligne sont tous cryptés.
Avant de découvrir comment définir des descriptions sur vos interfaces, je tiens à souligner certains
points sur le cryptage des mots de passe. Comme je l'ai dit, si vous définissez vos mots de passe, puis activez le
commande service password-encryption ,
vous devez effectuer un show running-config avant de tourner
désactiver le service de cryptage ou vos mots de passe ne seront pas cryptés. Vous n'avez pas besoin d'éteindre le
service de cryptage du tout - vous ne le feriez que si votre commutateur manque de processus. Et si
vous activez le service avant de définir vos mots de passe, vous n'avez même pas besoin de les afficher pour
les faire crypter.
Descriptifs
Définir des descriptions sur une interface est une autre chose utile sur le plan administratif, et comme le
hostname, il n'est également significatif que localement. Un cas où la commande de description entre en jeu
vraiment pratique, c'est quand vous voulez garder une trace des numéros de circuit sur un commutateur ou le numéro de série d'un routeur
port WAN.
Page 16
Todd# config t
Todd(config)# int fa0/1
Todd(config-if)# description Sales VLAN Trunk Link
Todd(config-if)# ^Z
Todd#
Routeur# config t
Routeur(config)# int s0/0/0
Routeur(config-if)# description WAN vers Miami
Routeur(config-if)# ^Z
Vous pouvez afficher la description d'une interface avec la commande show running-config ou la commande show
interface — même avec la commande show interface description :
Todd#sh court
Configuration du bâtiment...
Bob, un administrateur réseau senior chez Acme Corporation à San Francisco, possède plus de 50 liens WAN
à des succursales partout aux États-Unis et au Canada. Chaque fois qu'une interface tombe en panne,
Bob perd beaucoup de temps à essayer de comprendre le numéro de circuit et le numéro de téléphone du
fournisseur de sa liaison WAN défaillante.
Ce genre de scénario montre à quel point la commande de description d' interface peut être utile. Ce
permettrait à Bob d'économiser beaucoup de travail car il pourrait l'utiliser sur ses liaisons LAN de commutation les plus importantes
pour savoir exactement où chaque interface est connectée. La vie de Bob serait aussi beaucoup faite
plus facile en ajoutant des numéros de circuit à chaque interface WAN sur ses routeurs, ainsi que
avec le numéro de téléphone du fournisseur responsable.
Alors si Bob avait juste pris le temps d'ajouter préventivement cette information à son
interfaces, il se serait épargné un océan de stress et une tonne de temps précieux quand
ses liens WAN tombent inévitablement en panne !
Faire la commande do
Dans tous les exemples précédents jusqu'à présent, nous avons dû exécuter toutes les commandes show à partir du mode privilégié. Mais
J'ai de bonnes nouvelles : à partir de la version 12.3 d'IOS, Cisco a finalement ajouté une commande au
IOS qui permet de visualiser la configuration et les statistiques depuis le mode configuration !
En fait, avec n'importe quel IOS, vous obtiendrez l'erreur suivante si vous essayez d'afficher la configuration à partir de
configuration globale :
Page 17
Todd(config)# sh exécuter
^
% Entrée non valide détectée au marqueur '^'.
Comparez cela à la sortie que j'obtiens en entrant cette même commande sur mon routeur en cours d'exécution
l'IOS 15.0 en utilisant la syntaxe "do":
Alors maintenant, vous pouvez à peu près exécuter n'importe quelle commande à partir de n'importe quelle invite de configuration.
En repensant à tous ces exemples de cryptage de nos mots de passe, vous pouvez voir que le do
commande aurait certainement commencé la fête plus tôt, faisant de cette innovation un
célébrer à coup sûr!
Sur un commutateur de couche 2, les configurations d'interface impliquent généralement beaucoup moins de travail que le routeur
configuration des interfaces. Vérifiez la sortie de la puissante commande de vérification show ip
bref d'interface , qui révèle toutes les interfaces sur mon commutateur 3560 :
Présentation de l'interface de livraison Todd#
Interface Adresse IP OK ? État de la méthode Protocole
Vlan1 192.168.255.8 OUI DHCP activé en haut
FastEthernet0/1 non affecté OUI non configuré en haut
FastEthernet0/2 non affecté OUI non configuré en haut
FastEthernet0/3 non affecté OUI non configuré vers le bas
FastEthernet0/4 non affecté OUI non configuré vers le bas
FastEthernet0/5 non affecté OUI non configuré en haut
FastEthernet0/6 non affecté OUI non configuré en haut
FastEthernet0/7 non affecté OUI non configuré vers le bas
FastEthernet0/8 non affecté OUI non configuré vers le bas
GigabitEthernet0/1 non affecté OUI non configuré vers le bas
La sortie précédente affiche le port routé par défaut trouvé sur tous les commutateurs Cisco (VLAN 1), plus
neuf ports d'interface FastEthernet de commutateur, un port étant un port Ethernet Gigabit utilisé pour
liaisons montantes vers d'autres commutateurs.
Différents routeurs utilisent différentes méthodes pour choisir les interfaces utilisées sur eux. Par exemple, le
la commande suivante montre l'un de mes routeurs Cisco 2800 ISR avec deux interfaces FastEthernet
avec deux interfaces WAN série :
Auparavant, nous utilisions toujours la séquence de numéros de type d'interface pour configurer une interface, mais le
Page 18
les routeurs plus récents sont livrés avec un emplacement physique réel et incluent un numéro de port sur le module
branché dessus. Ainsi, sur un routeur modulaire, la configuration serait le type d' interface slot/port , comme
démontré ici :
Todd# config t
Todd(config)# interface GigabitEthernet 0/1
Todd(config-if)#
Vous pouvez voir que nous sommes maintenant à l'invite Gigabit Ethernet slot 0, port 1, et à partir de là, nous pouvons
apporter des modifications de configuration à l'interface. Prenez note du fait que vous ne pouvez pas simplement taper int
gigabithernet 0 .
Pas de raccourcis sur le slot/port—vous devez taper les variables slot/port dans le
commande : tapez slot/port ou, par exemple, intgigabitethernet 0/1 (ou simplement int g0/1 ).
Une fois en mode de configuration de l'interface, nous pouvons configurer diverses options. Gardez à l'esprit que la vitesse
et duplex sont les deux facteurs à prendre en compte pour le LAN :
Todd# config t
Todd(config)# interface GigabitEthernet 0/1
Todd(config-if)# vitesse 1000
Todd(config-if)# duplex complet
Alors que s'est-il passé ici ? Eh bien, en gros, cela a désactivé le mécanisme de détection automatique sur le port,
l'obligeant à n'exécuter que des vitesses gigabit en duplex intégral. Pour le routeur de la série ISR, il s'agit essentiellement du
même chose, mais vous obtenez encore plus d'options ! Les interfaces LAN sont les mêmes, mais le reste du
les modules sont différents : ils utilisent trois nombres au lieu de deux. Les trois nombres utilisés ici peuvent
représentent slot/subslot/port , mais cela dépend de la carte utilisée dans le routeur ISR. Pour le
objectifs, vous devez juste vous rappeler ceci : le premier 0 est le routeur lui-même. Vous choisissez ensuite le
slot puis le port. Voici un exemple d'interface série sur mon 2811 :
Cela peut vous sembler un peu risqué, mais je vous promets que ce n'est vraiment pas si difficile ! ça aide à se souvenir
que vous devriez toujours afficher la sortie de la commande show ip interface brief ou un show running-
config sortie
en premier afin que vous sachiez les interfaces exactes avec lesquelles vous devez traiter. Voici l'un de mes
La sortie du 2811 qui a encore plus d'interfaces série installées :
Page 19
pas d'adresse ip
fermer
fréquence d'horloge 2000000
!
[coupure de sortie]
Par souci de concision, je n'ai pas inclus ma configuration de fonctionnement complète, mais je vous ai tout affiché
vraiment besoin. Vous pouvez voir les deux interfaces FastEthernet intégrées, les deux interfaces série dans l'emplacement
0 (0/0/0 et 0/0/1), l'interface série dans l'emplacement 1 (0/1/0) et l'interface série dans l'emplacement 2
(0/2/0). Et une fois que vous voyez les interfaces comme celle-ci, il est beaucoup plus facile de comprendre comment le
modules sont insérés dans le routeur.
Comprenez simplement que si vous tapez interface e0 sur un ancien routeur de la série 2500, interface fastethernet
0/0 sur
un routeur modulaire (comme le routeur de la série 2800), ou interface série 0/1/0 sur un ISR
routeur, tout ce que vous faites est de choisir une interface à configurer. Essentiellement, ils sont tous
configuré de la même manière après cela.
Approfondissons notre discussion sur l'interface du routeur en explorant comment faire apparaître l'interface
et définissez ensuite une adresse IP.
Faire apparaître une interface
Vous pouvez désactiver une interface avec la commande d'interface shutdown et l'activer avec le no
commande d' arrêt . Juste pour vous rappeler, tous les ports de commutation sont activés par défaut et tous les ports de routeur
sont désactivés par défaut, nous allons donc parler davantage de ports de routeur que de ports de commutateur dans le
quelques sections suivantes.
Si une interface est fermée, elle s'affichera comme administrativement arrêtée lorsque vous utiliserez le show
commande interfaces ( sh int pour faire court):
Routeur# sh int f0/0
FastEthernet0/1 est en panne administrative, le protocole de ligne est en panne
[coupure de sortie]
Une autre façon de vérifier l'état d'une interface consiste à utiliser la commande show running-config . Tu peux apporter
jusqu'à l'interface du routeur avec la commande no shutdown ( no shutdown pour faire court) :
Même si vous n'êtes pas obligé d'utiliser l'IP sur vos routeurs, c'est généralement ce que tout le monde utilise. À
configurer les adresses IP sur une interface, utilisez la commande ip address de la configuration de l'interface
et rappelez-vous que vous ne définissez pas d'adresse IP sur un port de commutateur de couche 2 !
En outre, ne pas oublier de permettre à l'interface avec l' arrêt aucune commande. N'oubliez pas de regarder le
commande show interface int sortie pour voir si l'interface est administrativement arrêtée ou non.
Show ip int brief et show running-config vous donneront également ces informations.
interface. Encore une fois, vous ne configurez pas d'adresse IP sur une interface de commutateur de couche 2 !
D'accord, maintenant si vous souhaitez ajouter une deuxième adresse de sous-réseau à une interface, vous devez utiliser le
paramètre secondaire . Si vous saisissez une autre adresse IP et appuyez sur Entrée, elle remplacera l'adresse IP existante.
Page 20
adresse IP principale et masque. C'est certainement l'une des fonctionnalités les plus intéressantes de Cisco IOS !
Essayons donc. Pour ajouter une adresse IP secondaire, utilisez simplement le paramètre secondaire :
interface FastEthernet0/1
adresse IP 172.16.20.2 255.255.255.0 secondaire
adresse IP 172.16.10.2 255.255.255.0
recto-verso automatique
vitesse automatique
!
Mais je dois m'arrêter ici pour vous dire que je ne recommanderais vraiment pas d'avoir plusieurs IP
adresses sur une interface car c'est vraiment inefficace. Je t'ai montré comment de toute façon juste au cas où
vous vous retrouvez un jour face à un gestionnaire de SIG amoureux d'un très mauvais réseau
concevoir et vous fait administrer! Et qui sait? Peut-être que quelqu'un vous posera des questions à ce sujet
un jour et vous aurez l'air vraiment intelligent parce que vous le savez.
Utiliser le tuyau
Non, pas ce tuyau. Je veux dire le modificateur de sortie. Cependant, je dois dire que certains des routeurs
les configurations que j'ai pu voir dans ma carrière me font rêver ! Quoi qu'il en soit, ce tuyau ( | ) nous permet de patauger
à travers toutes les configurations ou autres sorties longues et accédez directement à nos marchandises rapidement. Voici un
Exemple:
Routeur# sh exécuter | ?
ajouter Ajouter la sortie redirigée à l'URL (URL prenant en charge l'ajout
fonctionnement uniquement)
commencer Commencer par la ligne qui correspond
exclure Exclure les lignes qui correspondent
inclure Inclure les lignes qui correspondent
rediriger Rediriger la sortie vers l'URL
section Filtrer une section de sortie
tee Copier la sortie vers l'URL
Donc, fondamentalement, le symbole du tuyau - le modificateur de sortie - est ce dont vous avez besoin pour vous aider à arriver là où vous
voulez aller des années-lumière plus vite que de fouiller dans toute la configuration d'un routeur. Je l'utilise beaucoup
lors de l'examen d'une grande table de routage pour savoir si une certaine route est dans la table de routage.
Voici un exemple :
Tout d'abord, vous devez savoir que cette table de routage avait plus de 100 entrées, donc sans mon fidèle tuyau,
Je serais probablement encore en train de parcourir cette sortie ! C'est un outil puissant et efficace qui vous fait économiser
beaucoup de temps et d'efforts en trouvant rapidement une ligne dans une configuration - ou comme dans l'exemple précédent
Page 21
Donnez-vous un peu de temps pour jouer avec la commande pipe pour vous y habituer et vous serez
naturellement élevé sur votre nouvelle capacité à analyser rapidement la sortie du routeur !
Mais attendez! Avant de vous lancer et de configurer une interface série, vous avez besoin d'une clé
informations, comme savoir que l'interface sera généralement attachée à un périphérique de type CSU/DSU qui
fournit la synchronisation de la ligne au routeur. Consultez la figure 6.3 pour un exemple.
FIGURE 6.3 Une connexion WAN typique. La synchronisation est généralement fournie par un réseau DCE pour
routeurs. Dans les environnements hors production, un réseau DCE n'est pas toujours présent.
Ici vous pouvez voir que l'interface série est utilisée pour se connecter à un réseau DCE via un CSU/DSU
qui fournit la synchronisation à l'interface du routeur. Mais si vous avez une configuration dos à dos,
comme celui qui est utilisé dans un environnement de laboratoire comme celui de la Figure 6.4 , une extrémité—les données
l'extrémité du câble de l'équipement de communication (DCE) – doit fournir la synchronisation !
Par défaut, les interfaces série des routeurs Cisco sont toutes des interfaces d'équipement de terminal de données (DTE), qui
signifie que vous devez configurer une interface pour fournir la synchronisation si vous en avez besoin pour agir comme un DCE
Page 22
dispositif. Encore une fois, vous ne fourniriez pas de pointage sur une connexion série WAN de production car
vous auriez un CSU/DSU connecté à votre interface série, comme le montre la figure 6.3 .
Vous configurez une interface série DCE avec la commande clock rate :
Routeur# config t
Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z.
Routeur(config)# int s0/0/0
Fréquence d'horloge du routeur(config-if)# ?
Vitesse (bits par seconde)
1200
2400
4800
9600
14400
19200
28800
32000
38400
48000
56000
57600
64000
72000
115200
125000
128000
148000
192000
250000
256000
384000
500000
512000
768000
800000
1000000
2000000
4000000
5300000
8000000
La fréquence d'horloge de commande est définie en bits par seconde. En plus de regarder l'extrémité du câble pour vérifier un
étiquette de DCE ou DTE, vous pouvez voir si l'interface série d'un routeur a un câble DCE connecté au
commande show controllers int :
La prochaine commande que vous devez connaître est la commande de bande passante . Chaque Cisco
Le routeur est livré avec une bande passante de liaison série par défaut de T1 (1,544 Mbps). Mais cela n'a rien à voir
avec la façon dont les données sont transférées sur un lien. La bande passante d'une liaison série est utilisée par le routage
protocoles tels que EIGRP et OSPF pour calculer le meilleur chemin de coût vers un réseau distant. Donc si
vous utilisez le routage RIP, le paramètre de bande passante d'une liaison série n'a pas d'importance puisque le RIP n'utilise que
nombre de sauts pour le déterminer.
Page 23
Routeur# config t
Routeur(config)# int s0/0/0
Routeur(config-if)# bande passante ?
<1-10000000> Bande passante en kilobits
hériter Spécifie que la bande passante est héritée
recevoir Spécifier la bande passante côté réception
Routeur(config-if)# bande passante 1000
Avez-vous remarqué que, contrairement à la commande de fréquence d'horloge , la commande de bande passante est configurée dans
kilobits par seconde ?
Après avoir parcouru tous ces exemples de configuration concernant la fréquence d'horloge
commande, comprenez que les nouveaux routeurs ISR détectent automatiquement les connexions DCE et
réglez la fréquence d'horloge sur 2000000. Mais sachez que vous devez toujours comprendre la fréquence d'horloge
commande pour les objectifs Cisco, même si les nouveaux routeurs le configurent automatiquement pour vous !
Vous pouvez enregistrer manuellement le fichier de la DRAM, qui est généralement simplement appelée RAM, vers la NVRAM en
à l'aide de la commande copy running-config startup-config . Vous pouvez utiliser le raccourci de démarrage de la copie en tant que
bien:
Lorsque vous voyez une question avec une réponse entre [] , cela signifie que si vous appuyez simplement sur Entrée, vous êtes
choisir la réponse par défaut.
De plus, lorsque la commande demande le nom du fichier de destination, la réponse par défaut est startup-config.
La raison pour laquelle il vous le demande est que vous pouvez copier la configuration à peu près n'importe où.
Jetez un oeil à la sortie de mon commutateur:
Pour vous rassurer, nous verrons plus en détail comment et où copier des fichiers au chapitre 7.
Pour l'instant, vous pouvez afficher les fichiers en tapant show running-config ou show startup-config à partir de
Page 24
mode privilégié. La commande sh run , qui est un raccourci pour show running-config , nous dit que
nous visualisons la configuration actuelle :
Todd# sh courir
Configuration du bâtiment...
La commande sh start, l' un des raccourcis de la commande show startup-config , nous montre le
configuration qui sera utilisée lors du prochain rechargement du routeur. Il nous dit aussi combien
La NVRAM est utilisée pour stocker le fichier de configuration de démarrage. Voici un exemple :
Todd# sh commence
Utilisation de 855 sur 524288 octets
!
! Dernier changement de configuration à 23:20:06 UTC lun. 1 mars 1993
!
version 15.0
[coupure de sortie]
Todd# sh commence
startup-config n'est pas présent
vous n'avez pas enregistré votre configuration en cours dans la NVRAM ou vous avez supprimé la configuration de sauvegarde !
Laissez-moi vous expliquer comment vous feriez cela maintenant.
Tout d'abord, notez que vous ne pouvez plus utiliser les commandes de raccourci pour effacer la sauvegarde
configuration. Cela a commencé dans IOS 12.4 avec les routeurs ISR.
Maintenant, si vous rechargez ou éteignez le routeur après avoir utilisé la commande d' effacement de démarrage-config , vous
se voir proposer le mode de configuration car aucune configuration n'est enregistrée dans la NVRAM. Vous pouvez appuyer sur Ctrl+C
pour quitter le mode configuration à tout moment, mais la commande reload ne peut être utilisée qu'à partir du mode privilégié.
À ce stade, vous ne devez pas utiliser le mode de configuration pour configurer votre routeur. Alors dites non à la configuration
mode, car il est là pour aider les personnes qui ne savent pas utiliser l'interface de ligne de commande
(CLI), et cela ne s'applique plus à vous. Soyez fort, vous pouvez le faire !
Eh bien, une fois que vous avez jeté un œil à la configuration en cours, si tout semble bien, vous pouvez vérifier votre
configuration avec des utilitaires comme Ping et Telnet. Ping est un programme qui utilise les requêtes d'écho ICMP
et les réponses, dont nous avons parlé au chapitre 3. Pour examen, Ping envoie un paquet à un hôte distant, et
si cet hôte répond, vous savez qu'il est vivant. Mais vous ne savez pas si c'est vivant et aussi bien ; seulement
25
parce que vous pouvez pinger un serveur Microsoft ne signifie pas que vous pouvez vous connecter ! Même ainsi, Ping est un
point de départ génial pour dépanner un interréseau.
Saviez-vous que vous pouvez cingler avec différents protocoles ? Vous pouvez, et vous pouvez tester cela en
taper ping ? à l'invite du routeur en mode utilisateur ou en mode privilégié :
Todd# ping ?
WORD Ping adresse de destination ou nom d'hôte
écho clns CLNS
ip écho IP
écho IPv6 IPv6
tag Tag écho IP encapsulé
<cr>
Si vous voulez trouver l'adresse de couche réseau d'un voisin, vous allez directement au routeur ou
basculer lui-même ou vous pouvez taper show cdp entry * protocol pour obtenir les adresses de la couche réseau que vous
besoin de ping.
Vous pouvez également utiliser un ping étendu pour modifier les variables par défaut, comme indiqué ici :
Todd# ping
Protocole [ip] :
Adresse IP cible : 10.1.1.1
Répéter le décompte [5] :
% Un nombre décimal compris entre 1 et 2147483647.
Nombre de répétitions [5] : 5000
Taille du datagramme [100] :
% Un nombre décimal compris entre 36 et 18024.
Taille du datagramme [100] : 1500
Délai d'attente en secondes [2] :
Commandes étendues [n] : y
Adresse source ou interface : FastEthernet 0/1
Adresse source ou interface : Vlan 1
Type de prestation [0] :
Définir le bit DF dans l'en-tête IP ? [non]:
Valider les données de réponse ? [non]:
Modèle de données [0xABCD] :
Loose, Strict, Record, Timestamp, Verbose [aucun] :
Gamme de tailles de balayage [n] :
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 000 échos ICMP de 1 500 octets à 10.1.1.1, le délai d'attente est de 2 secondes :
Paquet envoyé avec une adresse source de 10.10.10.1
Notez qu'en utilisant le point d'interrogation, j'ai pu déterminer que le ping étendu vous permet de
définissez le nombre de répétitions supérieur à la valeur par défaut de 5 et la taille du datagramme plus grande. Cela soulève le
MTU et permet un test plus précis du débit. L'interface source est une dernière
information importante que je retirerai de la sortie. Vous pouvez choisir l'interface
ping provient de, ce qui est vraiment utile dans certaines situations de diagnostic. Utiliser mon commutateur pour
afficher les capacités de ping étendues, je devais utiliser mon seul port routé, nommé VLAN 1,
par défaut.
Cependant, si vous souhaitez utiliser un autre port de diagnostic, vous pouvez créer une interface logique appelée
interface de bouclage ainsi :
Maintenant, je peux utiliser ce port pour les diagnostics, et même comme port source de mon ping ou traceroute, comme
donc:
Todd# ping
Protocole [ip] :
Adresse IP cible : 10.1.1.1
Répéter le décompte [5] :
Taille du datagramme [100] :
Délai d'attente en secondes [2] :
Commandes étendues [n] : y
Page 26
L'interface logique est idéale pour les diagnostics et pour les utiliser dans nos laboratoires à domicile où nous ne
avons de vraies interfaces avec lesquelles jouer, mais nous les utiliserons également dans nos configurations OSPF dans
ICND2.
Traceroute utilise ICMP avec des délais de durée de vie IP (TTL) pour suivre le chemin emprunté par un paquet donné
via un inter-réseau. Cela contraste avec Ping, qui trouve simplement l'hôte et répond.
Traceroute peut également être utilisé avec plusieurs protocoles. Découvrez cette sortie :
Todd# traceroute ?
WORD Trace la route vers l'adresse de destination ou le nom d'hôte
aaa Définir les options de trace pour les événements/actions/erreurs AAA
AppleTalk Trace
Clns ISO CLNS Trace
ip Trace IP
Trace IPv6 IPv6
ipx Suivi IPX
Mac Tracer le chemin Layer2 entre 2 points de terminaison
vieilles vignes Trace de vignes (Cisco)
Vignes Trace de Vignes (Banyan)
<cr>
Et comme avec ping, nous pouvons effectuer une traceroute étendue en utilisant des paramètres supplémentaires, généralement
utilisé pour changer l'interface source :
Todd# traceroute
Protocole [ip] :
Adresse IP cible : 10.1.1.1
Adresse source : 172.16.10.1
Affichage numérique [n] :
Délai d'attente en secondes [3] :
Nombre de sondes [3] :
Durée de vie minimale [1] : 255
Durée de vie maximale [30] :
Tapez la séquence d'échappement pour abandonner.
Traçage de l'itinéraire vers 10.1.1.1
Telnet, FTP et HTTP sont vraiment les meilleurs outils car ils utilisent IP au niveau de la couche réseau et
TCP au niveau de la couche Transport pour créer une session avec un hôte distant. Si vous pouvez telnet, ftp ou http
dans un appareil, vous savez que votre connectivité IP doit simplement être solide !
Todd# telnet ?
WORD Adresse IP ou nom d'hôte d'un système distant
<cr>
Todd# telnet 10.1.1.1
Lorsque vous vous connectez par telnet à un appareil distant, vous ne verrez pas les messages de la console par défaut. Par exemple,
vous ne verrez pas la sortie de débogage. Pour autoriser l'envoi de messages de console à votre session Telnet,
utilisez la commande terminal monitor, comme indiqué sur le routeur SF.
À partir de l'invite du commutateur ou du routeur, il vous suffit de taper un nom d'hôte ou une adresse IP et cela supposera que vous
veulent-telnet vous n'avez pas besoin de taper la commande réelle, telnet .
27
Une autre façon de vérifier votre configuration est de taper les commandes show interface , dont la première
est l' interface du spectacle ? commander. Cela révélera toutes les interfaces disponibles pour vérifier et
configurer.
Routeur# sh int ?
Asynchrone Interface asynchrone
BVI Interface virtuelle de groupe de pont
CDMA-Ix Interface CDMA Ix
CTunnel Interface CTunnel
Numéroteur Interface de numérotation
FastEthernet FastEthernet IEEE 802.3
Bouclage Interface de bouclage
MFR Interface de faisceau de relais de trames multiliaison
Multilien Interface de groupe à liaisons multiples
Nul Interface nulle
Port-channel Ethernet Canal d'interfaces
En série En série
Tunnel Interface de tunnel
Vif Interface hôte de multidiffusion PGM
PPP virtuel Interface PPP virtuelle
Interface de modèle virtuel de modèle virtuel
Virtual-TokenRing Virtual TokenRing
comptabilité Afficher la comptabilité de l'interface
compteurs Afficher les compteurs d'interface
crb Afficher les informations de routage/de pontage de l'interface
amortissement Afficher les informations sur l'amortissement de l'interface
la description Afficher la description de l'interface
etherchannel Afficher les informations sur l'interface etherchannel
irb Afficher les informations de routage/de pontage de l'interface
mac-accounting Afficher les informations de comptabilité MAC de l'interface
exp-mpls Afficher les informations de comptabilité expérimentale MPLS de l'interface
priorité Afficher les informations de comptabilité de priorité de l'interface
taille Afficher les informations d'élagage VTP du tronc d'interface
taux-limite Afficher les informations sur la limite de débit de l'interface
statut Afficher l'état de la ligne d'interface
sommaire Afficher le résumé de l'interface
commutation Afficher la commutation d'interface
port de commutation Afficher les informations sur le port de commutation de l'interface
tronc Afficher les informations sur le tronc d'interface
| Modificateurs de sortie
<cr>
Les seules interfaces physiques « réelles » sont FastEthernet, Serial et Async, les autres sont toutes logiques
interfaces ou commandes que vous pouvez utiliser pour vérifier.
La commande suivante est show interface fastethernet 0/0 . Il révèle l'adresse matérielle, logique
adresse et méthode d'encapsulation ainsi que des statistiques sur les collisions, comme on le voit ici :
Page 28
Vous avez probablement deviné que nous allons passer en revue les statistiques importantes de cette sortie, mais
tout d'abord, juste pour le plaisir, je dois vous demander de quel sous-réseau FastEthernet 0/0 est membre et de quoi
l'adresse de diffusion et la plage d'hôtes valide ?
Je suis sérieux, vous devez vraiment être capable de maîtriser ces choses rapidement en NASCAR ! Juste au cas où tu ne l'aurais pas fait,
l'adresse est 192.168.1.33/27. Et je dois être honnête - si tu ne sais pas ce qu'est un /27 à ça
point, vous aurez besoin d'un miracle pour réussir l'examen ! Cela ou vous devez réellement lire ce livre. (Comme un
rappel rapide, un /27 est 255.255.255.224.) Le quatrième octet est une taille de bloc de 32. Les sous-réseaux
sont 0, 32, 64, etc. ; l'interface FastEthernet se trouve dans le sous-réseau 32 ; l'adresse de diffusion est 63 ; et
les hôtes valides sont 33-62. Tout va bien maintenant ?
Si vous avez eu du mal avec tout cela, s'il vous plaît, sauvez-vous d'un certain malheur et obtenez
retournez au chapitre 4, « Easy Subnetting », maintenant ! Lisez-le et relisez-le jusqu'à ce que vous l'ayez
connecté !
D'accord, revenons à la sortie. L'interface précédente fonctionne et semble en bon état. Les
La commande show interfaces vous
montrera si vous recevez des erreurs sur l'interface, et elle sera également
vous montrer l'unité de transmission maximale (MTU). MTU est la taille de paquet maximale autorisée à
transmettre sur cette interface, la bande passante (BW) est à utiliser avec les protocoles de routage, et 255/255 signifie
cette fiabilité est parfaite ! La charge est de 1/255, ce qui signifie pas de charge.
En continuant à travers la sortie, pouvez-vous déterminer la bande passante de l'interface ? Eh bien, d'autres
que le cadeau facile de l'interface étant appelée une interface "FastEthernet", nous pouvons voir que
la bande passante est de 100 000 Kbit, soit 100 000 000. Kbit signifie ajouter trois zéros, ce qui est
100 Mbits par seconde, ou FastEthernet. Gigabit serait de 1000000 Kbits par seconde.
Assurez-vous de ne pas manquer les erreurs de sortie et les collisions, qui affichent 0 dans ma sortie. Si ces
les nombres augmentent, alors vous avez une sorte de problème de couche physique ou de liaison de données. Vérifier
votre duplex ! Si vous avez un côté en semi-duplex et un en duplex intégral, votre interface fonctionnera,
bien que très lent et ces chiffres augmenteront rapidement !
La statistique la plus importante de la commande show interface est la sortie de la ligne et de la liaison de données
état du protocole. Si la sortie révèle que FastEthernet 0/0 est actif et que le protocole de ligne est actif, alors
l'interface est opérationnelle :
Le premier paramètre fait référence à la couche physique, et elle est active lorsqu'elle reçoit la détection de porteuse. Les
le deuxième paramètre fait référence à la couche de liaison de données, et il recherche les keepalives de la connexion
finir. Keepalives sont importants car ils sont utilisés entre les appareils pour assurer la connectivité
n'a pas été abandonné.
Voici un exemple de l'endroit où votre problème se trouve souvent, sur les interfaces série :
Page 29
Si vous voyez que la ligne est active mais que le protocole est en panne, comme indiqué ici, vous rencontrez un
problème de synchronisation (keepalive) ou de cadrage, peut-être une incompatibilité d'encapsulation. Vérifier la
keepalives aux deux extrémités pour s'assurer qu'ils correspondent. Assurez-vous que la fréquence d'horloge est réglée, si nécessaire,
et que le type d'encapsulation est égal aux deux extrémités. La sortie précédente nous dit qu'il y a un
Problème de couche de liaison de données.
Si vous découvrez que l'interface de ligne et le protocole sont en panne, il s'agit d'un câble ou d'une interface
problème. La sortie suivante indiquerait un problème de couche physique :
Comme vous le verrez ensuite, si une extrémité est fermée administrativement, l'extrémité distante se présentera comme
en bas et en bas :
Pour activer l'interface, utilisez la commande no shutdown à partir du mode de configuration de l'interface.
La prochaine commande show interface serial 0/0/0 montre la ligne série et le maximum
unité de transmission (MTU) : 1 500 octets par défaut. Il affiche également la bande passante par défaut (BW) sur
toutes les liaisons série Cisco, soit 1,544 Kbps. Ceci est utilisé pour déterminer la bande passante de la ligne pour
protocoles de routage comme EIGRP et OSPF. Une autre configuration importante à noter est la
keepalive, qui est de 10 secondes par défaut. Chaque routeur envoie un message keepalive à son voisin
toutes les 10 secondes, et si les deux routeurs ne sont pas configurés pour la même durée de keepalive, il ne
travail! Découvrez cette sortie :
Vous pouvez effacer les compteurs sur l'interface en tapant la commande clear counters :
Page 30
Jetons un coup d' oeil à la sortie du show interfaces commande une fois de plus avant de passer.
Il y a quelques statistiques dans cette sortie qui sont importantes pour les objectifs de Cisco.
Trouver par où commencer lors du dépannage d'une interface peut être la partie difficile, mais certainement
nous chercherons immédiatement le nombre d'erreurs de saisie et de CRC. Typiquement, nous verrions ces statistiques
augmenter avec une erreur duplex, mais il pourrait s'agir d'un autre problème de couche physique tel que le câble pourrait
recevoir des interférences excessives ou les cartes d'interface réseau peuvent avoir une défaillance. Typiquement
vous pouvez dire s'il s'agit d'interférences lorsque le CRC et les erreurs d'entrée augmentent mais que la collision
les compteurs ne le font pas.
Pas de tampon Ce n'est pas un nombre que vous voulez voir s'incrémenter. Cela signifie que vous n'avez aucun
espace tampon laissé pour les paquets entrants. Tous les paquets reçus une fois les tampons pleins sont
mis au rebut. Vous pouvez voir combien de paquets sont abandonnés avec la sortie ignorée.
Ignoré Si les tampons de paquets sont pleins, les paquets seront abandonnés. Vous voyez cet incrément le long
avec la sortie sans tampon. Généralement, si les sorties sans tampon et ignorées s'incrémentent, vous
avoir une sorte de tempête de diffusion sur votre réseau local. Cela peut être causé par une mauvaise carte réseau ou même une mauvaise
conception de réseau.
Je vais le répéter parce que c'est très important pour les objectifs de l'examen : généralement si le non
le tampon et les sorties ignorées s'incrémentent, vous avez une sorte de tempête de diffusion sur
votre réseau local. Cela peut être dû à une mauvaise carte réseau ou même à une mauvaise conception du réseau.
Runts Trames qui ne satisfont pas à l'exigence de taille de trame minimale de 64 octets. Typiquement
causés par des collisions.
Erreurs d'entrée Il s'agit du total de nombreux compteurs : runts, Giants, no buffer, CRC, frame, overrun,
et les comptes ignorés.
CRC À la fin de chaque trame se trouve un champ de séquence de contrôle de trame (FCS) qui contient la réponse à un
contrôle de redondance cyclique (CRC). Si la réponse de l'hôte destinataire au CRC ne correspond pas à la
envoyant la réponse de l'hôte, une erreur CRC se produira.
Frame Cette sortie s'incrémente lorsque les trames reçues sont d'un format illégal, ou incomplètes,
qui est généralement incrémenté lorsqu'une collision se produit.
Erreurs de sortie Nombre total de paquets (trames) que le port de commutateur a essayé de transmettre mais pour
lequel un problème est survenu.
Page 31
Collisions Lors de la transmission d'une trame en semi-duplex, la carte réseau écoute sur la paire réceptrice du
câble pour un autre signal. Si un signal est transmis depuis un autre hôte, une collision s'est produite.
Cette sortie ne doit pas s'incrémenter si vous exécutez le duplex intégral.
Collisions tardives Si toutes les spécifications Ethernet sont respectées lors de l'installation du câble, toutes les collisions
devrait se produire par le 64e octet de la trame. Si une collision se produit après 64 octets, les collisions tardives
incréments du compteur. Ce compteur s'incrémentera sur une interface duplex incompatible, ou si le câble
la longueur dépasse les spécifications.
Une non-concordance de duplex provoque des erreurs de collision tardive à la fin de la connexion. À
éviter cette situation, définissez manuellement les paramètres duplex du commutateur pour qu'ils correspondent au
dispositif.
Une incompatibilité de duplex est une situation dans laquelle le commutateur fonctionne en duplex intégral et le
l'appareil fonctionne en semi-duplex, ou vice versa. Le résultat d'une non-concordance duplex est extrêmement lent
performances, connectivité intermittente et perte de connexion. Autres causes possibles de données-
les erreurs de liaison en duplex intégral sont des câbles défectueux, un port de commutateur défectueux ou des problèmes logiciels ou matériels de la carte réseau.
Utilisez la commande show interface pour vérifier les paramètres duplex.
Si la non-concordance se produit entre deux appareils Cisco avec Cisco Discovery Protocol activé, vous
verra les messages d'erreur Cisco Discovery Protocol sur la console ou dans le tampon de journalisation des deux
dispositifs.
Cisco Discovery Protocol est utile pour détecter les erreurs et pour rassembler le port et le système
statistiques sur les appareils Cisco à proximité. Le CDP est traité au chapitre 7.
L'état de l'interface, l'adresse IP et le masque, des informations indiquant si une liste d'accès est définie
sur l'interface, et les informations IP de base sont toutes incluses dans cette sortie.
La commande show ip interface brief est probablement l'une des meilleures commandes que vous puissiez
utiliser sur un routeur ou un commutateur Cisco. Cette commande fournit un aperçu rapide des appareils
interfaces, y compris l'adresse logique et l'état :
Page 32
N'oubliez pas qu'administrativement down signifie que vous devez taper no shutdown afin d'activer le
interface. Notez que Serial0/0/0 est up/down, ce qui signifie que la couche physique est bonne et
la détection de porteuse est détectée mais aucune keepalives n'est reçue de l'extrémité distante. Dans un
réseau de non-production, comme celui avec lequel je travaille, cela nous indique que la fréquence d'horloge n'a pas été
ensemble.
La commande show protocols est également une commande très utile que vous utiliseriez pour rapidement
voir l'état des couches 1 et 2 de chaque interface ainsi que les adresses IP utilisées.
Routeur# protocoles sh
Valeurs globales :
Le routage du protocole Internet est activé
Ethernet0/0 est en panne administrative, le protocole de ligne est en panne
Serial0/0 est actif, le protocole de ligne est actif
L'adresse Internet est 100.30.31.5/24
Serial0/1 est en panne administrative, le protocole de ligne est en panne
Serial0/2 est actif, le protocole de ligne est actif
L'adresse Internet est 100.50.31.2/24
Loopback0 est actif, le protocole de ligne est actif
L'adresse Internet est 100.20.31.1/24
Les commandes show ip interface brief et show protocols fournissent les statistiques des couches 1 et 2
d'une interface ainsi que les adresses IP. La commande suivante, show controllers , fournit uniquement
informations de la couche 1. Nous allons jeter un coup d'oeil.
Notez que série 0/0 a un câble DTE, alors que la connexion série 0/1 a un câble DCE. En série
0/1 devrait fournir la synchronisation avec la commande de fréquence d'horloge . Serial 0/0 obtiendrait son
pointage du DSU.
Regardons à nouveau cette commande. Dans la Figure 6.5 , voyez le câble DTE/DCE entre les deux routeurs ?
Sachez que vous ne verrez pas cela dans les réseaux de production !
Page 33
FIGURE 6.5 Où configurez-vous la synchronisation ? Utilisez la commande show controllers sur chaque
l'interface série du routeur pour le savoir.
Le routeur R1 dispose d'une connexion DTE, qui est généralement la valeur par défaut pour tous les routeurs Cisco. Routeurs R1
et R2 ne peut pas communiquer. Vérifiez la sortie de la commande show controllers s0/0 ici :
La commande show controllers s0/0 révèle que l'interface est un câble V.35 DCE. Ça signifie
que R1 doit fournir la synchronisation de la ligne au routeur R2. Fondamentalement, l'interface a le mauvais
étiquette sur le câble de l'interface série du routeur R1. Mais si vous ajoutez la synchronisation sur le routeur R1
interface série, le réseau devrait se mettre en place.
Chèque Let sur un autre problème dans la figure 6.6 que vous pouvez résoudre en utilisant les montrent contrôleurs
commander. Encore une fois, les routeurs R1 et R2 ne peuvent pas communiquer.
FIGURE 6.6 En regardant R1, la commande show controllers révèle que R1 et R2 ne peuvent pas
communiquer.
Si vous utilisez la commande show controllers et la commande show ip interface , vous verrez que
le routeur R1 ne reçoit pas la synchronisation de la ligne. Ce réseau est un réseau de non-production, donc non
Page 34
CSU/DSU est connecté pour fournir la synchronisation pour cela. Cela signifie que l'extrémité DCE du câble sera
fournissant la fréquence d'horloge - dans ce cas, le routeur R2. L' interface show ip indique que le
l'interface est active mais le protocole est en panne, ce qui signifie qu'aucun keepalives n'est reçu de
l'extrémité éloignée. Dans cet exemple, le coupable probable est le résultat d'un mauvais câble, ou simplement le manque de
pointage.
Sommaire
C'était un chapitre amusant ! Je vous ai montré beaucoup de choses sur Cisco IOS, et j'espère vraiment que vous avez beaucoup gagné
d'informations sur le monde des routeurs Cisco. J'ai commencé par expliquer l'interréseau Cisco
Système d'exploitation (IOS) et comment vous pouvez utiliser l'IOS pour exécuter et configurer les routeurs Cisco. Tu
appris comment mettre en place un routeur et ce que fait le mode de configuration. Oh, et au fait, puisque tu peux
configurez maintenant essentiellement les routeurs Cisco, vous ne devriez jamais utiliser le mode de configuration, n'est-ce pas ?
Après avoir expliqué comment se connecter à un routeur avec une console et une connexion LAN, j'ai couvert les
Fonctionnalités d'aide de Cisco et comment utiliser l'interface de ligne de commande pour rechercher des commandes et des paramètres de commande. Dans
De plus, j'ai discuté de quelques commandes show de base pour vous aider à vérifier vos configurations.
Les fonctions administratives d'un routeur vous aident à administrer votre réseau et à vérifier que vous êtes
configurer le bon appareil. La définition des mots de passe du routeur est l'un des plus importants
configurations que vous pouvez effectuer sur vos routeurs. Je vous ai montré les cinq mots de passe que vous devez définir,
De plus, je vous ai présenté le nom d'hôte, la description de l'interface et les bannières comme outils pour vous aider
administrer votre routeur.
Eh bien, cela conclut votre introduction à Cisco IOS. Et, comme d'habitude, c'est super important pour
vous devez avoir les bases que nous avons abordées dans ce chapitre avant de passer à
les chapitres suivants !
Essentiels de l'examen
Décrire les responsabilités de l'IOS. Le logiciel IOS du routeur Cisco est responsable de
protocoles réseau et fournissant des fonctions de support, connectant le trafic à haute vitesse entre
périphériques, en ajoutant la sécurité pour contrôler l'accès et empêcher l'utilisation non autorisée du réseau, en fournissant
évolutivité pour faciliter la croissance et la redondance du réseau, et fournir la fiabilité du réseau pour
connexion aux ressources du réseau.
Répertoriez les options disponibles pour se connecter à un périphérique Cisco à des fins de gestion.
Les trois options disponibles sont le port console, le port auxiliaire et la communication intrabande,
tels que Telnet, SSH et HTTP. N'oubliez pas qu'une connexion Telnet n'est pas possible tant qu'une IP
adresse a été configurée et un mot de passe Telnet a été configuré.
Comprendre la séquence de démarrage d'un routeur. Lorsque vous ouvrez un routeur Cisco pour la première fois, il
exécutez un autotest à la mise sous tension (POST), et si cela réussit, il recherchera et chargera le Cisco IOS à partir de
mémoire flash, si un fichier est présent. L'IOS procède ensuite au chargement et recherche un
configuration dans la NVRAM appelée startup-config. Si aucun fichier n'est présent dans la NVRAM, le routeur
passer en mode configuration.
Décrire l'utilisation du mode de configuration. Le mode de configuration est automatiquement lancé si un routeur démarre et
aucune configuration de démarrage n'est dans la NVRAM. Vous pouvez également afficher le mode de configuration en tapant setup à partir de
mode privilégié. Le programme d'installation fournit un minimum de configuration dans un format simple pour
quelqu'un qui ne comprend pas comment configurer un routeur Cisco à partir de la ligne de commande.
Page 35
invite, permet d'effectuer des modifications de configuration qui s'appliquent à l'ensemble du routeur (par opposition à un
changement de configuration pouvant affecter une seule interface, par exemple).
Reconnaître les invites supplémentaires disponibles dans d'autres modes et décrire leur utilisation.
Des modes supplémentaires sont atteints via l'invite de configuration globale, routername(config)# , et leur
les invites incluent l'interface, router(config-if)# , pour définir les paramètres de l'interface ; configuration de ligne
mode, router(config-line)# , utilisé pour définir des mots de passe et définir d'autres paramètres pour diverses connexions
méthodes; et modes de protocole de routage pour divers protocoles de routage ; router(config-router)# , utilisé
pour activer et configurer les protocoles de routage.
Accédez aux fonctions d'édition et d'aide et utilisez-les. Utilisez la saisie d'un point d'interrogation à la
fin des commandes pour obtenir de l'aide sur l'utilisation des commandes. De plus, comprenez comment filtrer
aide de commande avec le même point d'interrogation et les mêmes lettres. Utilisez l'historique des commandes pour récupérer
commandes précédemment utilisées sans retaper. Comprendre la signification du caret lorsqu'un
la commande incorrecte est rejetée. Enfin, identifiez les combinaisons de touches de raccourci utiles.
Identifiez les informations fournies par la commande show version . La version spectacle
La commande fournira une configuration de base pour le matériel du système ainsi que le logiciel
version, les noms et les sources des fichiers de configuration, le paramètre du registre de configuration et le
images de démarrage.
Définissez le nom d'hôte d'un routeur. La séquence de commandes pour définir le nom d'hôte d'un routeur est la
suit :
permettre
configuration t
nom d'hôte Todd
Différenciez le mot de passe d'activation et le mot de passe secret d'activation. Ces deux
les mots de passe sont utilisés pour accéder au mode privilégié. Cependant, le mot de passe secret d'activation est
plus récent et est toujours crypté par défaut. De plus, si vous définissez le mot de passe d'activation, puis définissez le
enable secret, seul le secret enable sera utilisé.
Décrire la configuration et l'utilisation des bannières. Les bannières fournissent des informations aux utilisateurs
accéder à l'appareil et peut être affiché à diverses invites de connexion. Ils sont configurés avec le
commande de bannière et un mot-clé décrivant le type spécifique de bannière.
Définissez le secret d'activation sur un routeur. Pour définir le secret d'activation, vous utilisez la configuration globale
commande activer secret . N'utilisez pas activer mot de passe secret mot de passe ou vous définirez votre mot de passe sur
mot de passe mot de passe . Voici un exemple:
permettre
configuration t
activer le secret todd
Définissez le mot de passe de la console sur un routeur. Pour définir le mot de passe de la console, utilisez ce qui suit
séquence:
permettre
configuration t
console de ligne 0
mot de passe à ajouter
connexion
Définissez le mot de passe Telnet sur un routeur. Pour définir le mot de passe Telnet, la séquence est la suivante
suit :
permettre
configuration t
ligne vty 0 4
mot de passe à ajouter
connexion
Décrivez les avantages de l'utilisation de Secure Shell et énumérez ses exigences. Enveloppe de protection
(SSH) utilise des clés cryptées pour envoyer des données afin que les noms d'utilisateur et les mots de passe ne soient pas envoyés dans le
dégager. Cela nécessite qu'un nom d'hôte et un nom de domaine soient configurés et que les clés de chiffrement soient
généré.
Page 36
Décrire le processus de préparation d'une interface à utiliser. Pour utiliser une interface, vous devez
configurez-le avec une adresse IP et un masque de sous-réseau dans le même sous-réseau des hôtes qui seront
connexion au commutateur qui est connecté à cette interface. Il doit également être activé avec le no
commande d' arrêt . Une interface série qui est connectée dos à dos avec un autre routeur série
L'interface doit également être configurée avec une fréquence d'horloge à l'extrémité DCE du câble série.
Comprendre comment résoudre un problème de liaison série. Si vous tapez show interface serial
0/0 etde voir vers le bas, le protocole de ligne est en baisse , cela sera considéré comme un problème de couche physique. Si tu vois
il est actif, le protocole de ligne est en panne , alors vous avez un problème de couche de liaison de données.
Comprenez comment vérifier votre routeur avec la commande show interfaces . Si vous tapez afficher
interfaces ,
vous pouvez afficher les statistiques des interfaces sur le routeur, vérifier si le
les interfaces sont fermées et voient l'adresse IP de chaque interface.
Décrire comment afficher, modifier, supprimer et enregistrer une configuration. Le show running-config
La commande est utilisée pour afficher la configuration actuelle utilisée par le routeur. Le démarrage du spectacle-
La commande config affiche la dernière configuration qui a été enregistrée et c'est celle qui sera utilisée à
prochain démarrage. La commande copy running-config startup-config est utilisée pour enregistrer les modifications apportées au
configuration en cours dans la NVRAM. La commande d' effacement startup-config supprime le
configuration et entraînera l'invocation du menu de configuration au redémarrage du routeur
car il n'y aura pas de configuration présente.
1. Quelle commande est utilisée pour définir une interface série pour fournir la synchronisation à un autre routeur à 1000
Ko ?
2. Si vous vous connectez par telnet à un commutateur et que la connexion de réponse est refusée, le mot de passe n'est pas défini , qu'est-ce que
commandes que vous exécutez sur le périphérique de destination pour arrêter de recevoir ce message et
ne pas être invité à saisir un mot de passe ?
3. Si vous tapez show int fastethernet 0/1 et notez le port est administrativement vers le bas, ce qui
commandes exécuteriez-vous pour activer l'interface ?
4. Si vous vouliez supprimer la configuration stockée dans la NVRAM, quelle(s) commande(s) voudriez-vous
taper?
5. Si vous vouliez définir le mot de passe du mode utilisateur sur todd pour le port de console, quelle(s) commande(s)
taperiez-vous ?
6. Si vous vouliez définir le mot de passe secret d'activation sur cisco , quelle(s) commande(s) saisiriez-vous ?
7. Si vous vouliez déterminer si l'interface série 0/2 de votre routeur doit fournir la synchronisation,
quelle commande utiliserais-tu ?
9. Vous souhaitez réinitialiser le commutateur et remplacer totalement la configuration courante par la configuration actuelle
startup-config. Quelle commande allez-vous utiliser ?
Laboratoires pratiques
Dans cette section, vous exécuterez des commandes sur un commutateur Cisco (ou vous pouvez utiliser un routeur) qui
Page 37
Vous aurez besoin d'au moins un appareil Cisco : deux seraient mieux, trois seraient exceptionnels. Les
les travaux pratiques de cette section sont inclus pour une utilisation avec de vrais routeurs Cisco, mais tous ces travaux pratiques
fonctionne avec la version LammleSim IOS (voir www.lammle.com/ccna ) ou utilise Cisco Packet Tracer
simulateur de routeur. Enfin, pour l'examen Cisco, peu importe le modèle de commutateur ou de routeur que vous
à utiliser avec ces laboratoires, tant que vous utilisez IOS 12.2 ou une version plus récente. Oui, je sais que les objectifs sont de 15
code, mais ce n'est important pour aucun de ces laboratoires.
On suppose que l'appareil que vous allez utiliser n'a pas de configuration actuelle. Si
si nécessaire, effacez toute configuration existante avec Hands-on Lab 6.1 ; sinon, passez à Mains-
sur Lab 6.2 :
Atelier 6.6 : Définir le nom d'hôte, les descriptions, l'adresse IP et la fréquence d'horloge
3. Si vous y êtes invité, saisissez le nom d'utilisateur et appuyez sur Entrée. Saisissez ensuite le mot de passe correct et appuyez sur
Entrer.
5. À l' invite du mode privilégié , tapez reload , et lorsque vous êtes invité à enregistrer la configuration, tapez
n pour non.
1. Branchez l'interrupteur ou allumez le routeur. Si vous venez d'effacer la configuration comme dans Hands-on
Lab 6.1, lorsque vous êtes invité à continuer avec la boîte de dialogue de configuration, entrez n pour non et appuyez sur
Entrer. Lorsque vous y êtes invité, appuyez sur Entrée pour vous connecter à votre routeur. Cela vous mettra en utilisateur
mode.
5. Tapez enable ou en et appuyez sur Entrée. Cela vous mettra en mode privilégié où vous pourrez
modifier et afficher la configuration du routeur.
6. À l' invite Switch# , tapez un point d'interrogation ( ? ). Remarquez combien d'options s'offrent à vous
en mode privilégié.
Page 38
9. Lorsque vous êtes invité à choisir une méthode, appuyez sur Entrée pour configurer votre routeur à l'aide de votre terminal.
(qui est la valeur par défaut).
10. Au Switch (config) # invite, tapez un point d'interrogation ( ? ), Alors q de quitter, ou appuyez sur la barre d' espace pour
voir les commandes.
11. Tapez interface f0/1 ou int f0/1 (ou même int gig0/1 ) et appuyez sur Entrée. Cela vous permettra de
configurer l'interface FastEthernet 0/1 ou Gigabit 0/1.
13. Si vous utilisez un routeur, tapez int s0/0 , interface s0/0 ou même interface s0/0/0 et appuyez sur Entrée. Cette
vous permettra de configurer l'interface série 0/0. Notez que vous pouvez passer de l'interface à
interface facilement.
15. Tapez sortie . Remarquez comment cela vous ramène d'un niveau.
16. Appuyez sur Ctrl+Z. Remarquez comment cela vous fait sortir du mode de configuration et vous remet dans
mode privilégié.
3. Tapez cl? puis appuyez sur Entrée. Notez que vous pouvez voir toutes les commandes commençant par cl .
Remarquez la différence entre les étapes 3 et 4. À l'étape 3, vous devez taper des lettres avec
pas d'espace et un point d'interrogation, qui vous donnera toutes les commandes commençant par cl .
À l'étape 4, vous devez taper une commande, un espace et un point d'interrogation. En faisant cela, vous verrez le
prochain paramètre disponible.
5. Réglez l'horloge en tapant clock ? et, en suivant les écrans d'aide, régler l'heure et la date. Les
Les étapes suivantes vous guident tout au long du réglage de la date et de l'heure.
6. Tapez horloge ? .
13. En mode privilégié, tapez show access-list 10 . N'appuyez pas sur Entrée.
15. Appuyez sur Ctrl+E. Cela devrait vous ramener à la fin de la ligne.
16. Ctrl+A ramène votre curseur au début de la ligne, puis Ctrl+F déplace votre
Page 39
20. Tapez sh historique . Cela vous montre les 10 dernières commandes entrées.
21. Tapez la taille de l'historique du terminal ? . Cela modifie la taille de l'entrée de l'historique. Le ? est le nombre de
lignes autorisées.
22. Tapez show terminal pour collecter les statistiques du terminal et la taille de l'historique.
23. Tapez terminal sans édition . Cela désactive l'édition avancée. Répétez les étapes 14 à 18 pour voir
que les touches d'édition de raccourci n'ont aucun effet jusqu'à ce que vous tapiez l'édition du terminal .
24. Tapez l' édition du terminal et appuyez sur Entrée pour réactiver l'édition avancée.
25. Tapez sh run , puis appuyez sur la touche Tab. Cela finira de taper la commande pour vous.
26. Tapez sh start , puis appuyez sur la touche Tab. Cela finira de taper la commande pour vous.
1. Connectez-vous à votre appareil et passez en mode privilégié en tapant en ou enable , puis appuyez sur Entrée.
2. Pour voir la configuration stockée dans la NVRAM, tapez sh start et appuyez sur Tab et Entrée, ou tapez
affichez startup-config et
appuyez sur Entrée. Cependant, si aucune configuration n'a été enregistrée, vous obtiendrez
un message d'erreur.
3. Pour enregistrer une configuration dans la NVRAM, connue sous le nom de configuration de démarrage, vous pouvez effectuer l'une des
Suivant:
Tapez copy running , appuyez sur Tab, tapez start , appuyez sur Tab et appuyez sur Entrée.
6. Tapez effacer startup-config , appuyez sur Tab, puis appuyez sur Entrée.
7. Tapez sh start , appuyez sur Tab, puis appuyez sur Entrée. Le routeur vous dira que la NVRAM n'est pas
présenter ou afficher un autre type de message, selon l'IOS et le matériel.
8. Tapez recharger , puis appuyez sur Entrée. Confirmez le rechargement en appuyant sur Entrée. Attendez que l'appareil
à recharger.
3. Tapez activer ? .
4. Définissez votre mot de passe d'activation secret en tapant enable secretpassword (le troisième mot doit être
votre propre mot de passe personnalisé) et appuyez sur Entrée. Ne pas ajouter le mot de passe du paramètre après
le paramètre secret (cela ferait de votre mot de passe le mot password ). Un exemple serait
être activer le todd secret .
Page 40
5. Voyons maintenant ce qui se passe lorsque vous vous déconnectez complètement du routeur, puis que vous vous connectez.
en appuyant sur Ctrl+Z, puis tapez exit et appuyez sur Entrée. Passez en mode privilégié. Avant que tu sois
autorisé à entrer en mode privilégié, un mot de passe vous sera demandé. Si vous entrez avec succès
le mot de passe secret, vous pouvez continuer.
6. Supprimez le mot de passe secret. Accédez au mode privilégié, tapez config t et appuyez sur Entrée. Tapez non
activez le secret et
appuyez sur Entrée. Déconnectez-vous puis reconnectez-vous ; maintenant on ne devrait pas te demander
pour un mot de passe.
7. Un autre mot de passe utilisé pour entrer en mode privilégié s'appelle le mot de passe d'activation. C'est un ancien,
mot de passe moins sécurisé et n'est pas utilisé si un mot de passe secret d'activation est défini. Voici un exemple de
comment le régler :
configuration t
activer le mot de passe todd1
8. Notez que les mots de passe enable secret et enable sont différents. Ils ne doivent jamais être réglés
le même. En fait, vous ne devriez jamais utiliser le mot de passe d'activation, seulement activer le secret.
9. Tapez config t pour être au bon niveau pour définir votre console et les mots de passe auxiliaires, puis tapez
ligne ? .
10. Notez que les paramètres des commandes de ligne sont auxiliaires , vty et console . vous définirez
les trois si vous êtes sur un routeur ; si vous êtes sur un switch, seules les lignes console et VTY sont
disponible.
11. Pour définir le mot de passe Telnet ou VTY, saisissez la ligne vty 0 4 , puis appuyez sur Entrée. Le 0 4 est le
plage des cinq lignes virtuelles disponibles utilisées pour se connecter à Telnet. Si vous avez une entreprise
IOS, le nombre de lignes peut varier. Utilisez le point d'interrogation pour déterminer le dernier numéro de ligne
disponible sur votre routeur.
12. La commande suivante est utilisée pour activer ou désactiver l'authentification. Tapez login et appuyez sur Entrée pour
demander un mot de passe en mode utilisateur lors de la connexion telnet dans l'appareil. Vous ne pourrez pas
telnet dans un périphérique Cisco si le mot de passe n'est pas défini.
Vous pouvez utiliser la commande no login pour désactiver l'invite de mot de passe en mode utilisateur
13. Une autre commande que vous devez définir pour votre mot de passe VTY est password . Tapez mot de passemot de passe
pour définir le mot de passe. (le mot de passe est votre mot de passe.)
configuration t
ligne vty 0 4
mot de passe à ajouter
connexion
15. Définissez votre mot de passe auxiliaire en tapant d'abord line auxiliaire 0 ou line aux 0 (si vous utilisez un
routeur).
18. Définissez votre mot de passe de console en tapant d'abord line console 0 ou line con 0 .
20. Tapez mot de passemot de passe . Voici un exemple des deux dernières séquences de commandes :
configuration t
ligne con 0
mot de passe todd1
connexion
ligne aux 0
Page 41
21. Vous pouvez ajouter la commande Exec-timeout 0 0 à la ligne 0 de la console . Cela arrêtera la console
de l'expiration et de la déconnexion. La séquence de commandes ressemblera maintenant à ceci :
configuration t
ligne con 0
mot de passe todd2
connexion
Exec-timeout 0 0
22. Configurez l'invite de la console pour ne pas écraser la commande que vous tapez avec les messages de la console
en utilisant la commande logging synchronous .
configuration t
ligne con 0
journalisation synchrone
2. Définissez votre nom d'hôte à l'aide de la commande hostname . Remarquez que c'est un mot. Voici un
exemple de définition de votre nom d'hôte sur votre routeur, mais le commutateur utilise exactement le même
commander:
Routeur#config t
Routeur(config)#hostname RouterA
RouteurA(config)#
Notez que le nom d'hôte du routeur a changé dans l'invite dès que vous avez appuyé sur Entrée.
3. Définissez une bannière que les administrateurs réseau verront à l'aide de la commande banner , comme indiqué
dans les étapes suivantes.
5. Notez que vous pouvez définir au moins quatre bannières différentes. Pour ce laboratoire, nous ne nous intéressons qu'à
les bannières de connexion et de message du jour (MOTD).
6. Définissez votre bannière MOTD, qui s'affichera lorsqu'une console, un auxiliaire ou Telnet
la connexion est établie au routeur, en tapant ceci :
configuration t
bannière motd #
Ceci est une bannière motd
#
7. L'exemple précédent utilisait un signe # comme caractère de délimitation. Ceci indique au routeur quand le
le message est fait. Vous ne pouvez pas utiliser le caractère de délimitation dans le message lui-même.
8. Vous pouvez supprimer la bannière MOTD en tapant la commande suivante :
configuration t
pas de bannière
10. La bannière de connexion s'affichera immédiatement après le MOTD mais avant le mode utilisateur
invite de mot de passe. N'oubliez pas que vous définissez vos mots de passe en mode utilisateur en configurant la console,
mots de passe de ligne auxiliaire et VTY.
Page 42
configuration t
pas de connexion à la bannière
12. Vous pouvez ajouter une adresse IP à une interface avec la commande ip address si vous utilisez un
routeur. Vous devez d'abord passer en mode de configuration d'interface ; voici un exemple de la façon dont vous
fais ça :
configuration t
entier f0/1
adresse IP 1.1.1.1 255.255.0.0
Pas d'extinction
Notez que l'adresse IP ( 1.1.1.1 ) et le masque de sous-réseau ( 255.255.0.0 ) sont configurés sur une seule ligne.
L' arrêt du pas (ou pas d' arrêt pour faire court) commande est utilisée pour activer l'interface. Toutes les interfaces
sont arrêtés par défaut sur un routeur. Si vous êtes sur un switch de couche 2, vous pouvez définir une adresse IP
uniquement sur l'interface VLAN 1.
13. Vous pouvez ajouter une identification à une interface à l'aide de la commande description . Ceci est utile pour
ajouter des informations sur la connexion. Voici un exemple:
configuration t
entier f0/1
adresse IP 2.2.2.1 255.255.0.0
pas de fermeture
description lien LAN vers Finance
14. Vous pouvez ajouter la bande passante d'une liaison série ainsi que la fréquence d'horloge lors de la simulation d'un DCE
Liaison WAN sur un routeur. Voici un exemple:
configuration t
int s0/0
bande passante 1000
fréquence d'horloge 1000000
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
Page 43
2. La sortie de la commande show running-config provient de _________.
A. NVRAM
B. Flash
C. RAM
D. Micrologiciel
3. Lesquelles des deux commandes suivantes sont requises lors de la configuration de SSH sur votre routeur ?
(Choisissez deux.)
B. Exec-timeout 0 0
C. nom de domaine ip
E. ip ssh version 2
4. Quelle commande vous montrera si un câble DTE ou DCE est branché en série 0/0 sur
le port WAN de votre routeur ?
A. sh int s0/0
B. sh int serial0/0
5. Dans la zone de travail, faites glisser le terme routeur vers sa définition sur la droite.
Mode Définition
Modes de configuration spécifiques Donne accès à toutes les autres commandes du routeur
[coupure de sortie]
Le matériel est MV96340 Ethernet, l'adresse est 001a.2f55.c9e8 (bia 001a.2f55.c9e8)
L'adresse Internet est 192.168.1.33/27
MTU 1500 octets, BW 100000 Kbit, DLY 100 usec,
fiabilité 255/255, txload 1/255, rxload 1/255
A. 10 Mo
B. 100 Mo
C. 1000 Mo
D. 1000 Mo
7. Laquelle des commandes suivantes configurera tous les ports VTY par défaut sur un commutateur ?
8. Laquelle des commandes suivantes définit le mot de passe du mode privilégié sur Cisco et crypte
le mot de passe?
Page 44
9. Si vous souhaitez que les administrateurs voient un message lorsqu'ils se connectent au commutateur, quelle commande
utiliseriez-vous ?
C. bannière motd
D. message
10. Laquelle des invites suivantes indique que le commutateur est actuellement en mode privilégié ?
A. Commutateur (config) #
B. Commutateur>
C. Commutateur #
D. Commutateur (config-if)
11. Quelle commande tapez-vous pour enregistrer la configuration stockée dans la RAM dans la NVRAM ?
12. Vous essayez de vous connecter à SF depuis le routeur Corp et recevez ce message :
Corp# telnet SF
Essayer SF (10.0.0.1)...Ouvrir
A. Corp(config)#line console 0
Corp(ligne de configuration)#password mot de passe
Corp(ligne de configuration)#login
B. SF config)#ligne console 0
SF(config-line)#enable mot de passe secret
SF(config-line)#login
C. Corp(config)#line vty 0 4
Corp(ligne de configuration)#password mot de passe
Corp(ligne de configuration)#login
D. SF(config)#ligne vty 0 4
SF(config-line)#password mot de passe
SF(config-line)#login
A. supprimer la NVRAM
C. effacer le flash
E. effacer le début
Page 45
14. Quel est le problème avec une interface si vous tapez show interface g0/1 et recevez ce qui suit
un message?
Gigabit 0/1 est en panne administrativement, le protocole de ligne est en panne
15. Laquelle des commandes suivantes affiche les paramètres configurables et les statistiques de tous
interfaces sur un commutateur?
A. show running-config
16. Si vous supprimez le contenu de la NVRAM et redémarrez le commutateur, dans quel mode serez-vous ?
A. Mode privilégié
B. Mode global
C. Mode configuration
17. Vous tapez la commande suivante dans le commutateur et recevez la sortie suivante :
18. Vous tapez Switch#sh r et recevez une erreur de commande % ambiguë . Pourquoi as-tu reçu ça
un message?
19. Laquelle des commandes suivantes affichera l'adressage IP actuel et les couches 1 et 2
statut d'une interface ? (Choisissez deux.)
A. afficher la version
D. afficher l'interface IP
E. show running-config
20. À quelle couche du modèle OSI supposeriez-vous que le problème est si vous tapez show interface
série 1 et recevez le message suivant ?
Page 46
A. Couche physique
C. Couche réseau
Chapitre 7
Gestion d'un interréseau Cisco
2.6.bLLDP
4.3.a Serveur
4.3.b Relais
4.3.c Client
4.4 Résoudre les problèmes de connectivité DHCP basés sur les clients et les routeurs
5.2.d Journalisation
5.2.f Bouclage
48
un routeur, ainsi que la séquence de démarrage du routeur. Vous découvrirez également comment gérer les appareils Cisco en
en utilisant la commande copy avec un hôte TFTP et comment configurer DHCP et NTP, plus vous obtiendrez un
étude du Cisco Discovery Protocol (CDP). Je vais également vous montrer comment résoudre les noms d'hôtes.
Je vais conclure le chapitre en vous guidant à travers certains dépannages importants de Cisco IOS
techniques pour vous assurer que vous êtes bien équipé avec ces compétences clés.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Description du composant
Amorcer Stocké dans le microcode de la ROM, le bootstrap est utilisé pour faire monter un routeur
lors de l'initialisation. Il démarre le routeur, puis charge l'IOS.
POST (alimentation-Egalement stocké dans le microcode de la ROM, le POST permet de vérifier les bases
sur l'autotest) fonctionnalité du matériel du routeur et détermine quelles interfaces sont
présent.
Moniteur ROM Encore une fois, stocké dans le microcode de la ROM, le moniteur ROM est utilisé pour
la fabrication, les tests et le dépannage, ainsi que l'exécution d'un mini-IOS lorsque
l'IOS en flash ne se charge pas.
Mini-IOS Appelé le RXBOOT ou bootloader par Cisco, le mini-IOS est un petit IOS en ROM
qui peut être utilisé pour faire apparaître une interface et charger un Cisco IOS dans la mémoire flash.
Le mini-IOS peut également effectuer quelques autres opérations de maintenance.
RAM Utilisé pour contenir les tampons de paquets, le cache ARP, les tables de routage, ainsi que le logiciel
(Aléatoire et des structures de données qui permettent au routeur de fonctionner. Running-config est stocké dans
accès RAM, et la plupart des routeurs étendent l'IOS de la mémoire flash à la RAM au démarrage.
Mémoire)
ROM (lecture- Utilisé pour démarrer et entretenir le routeur. Contient le POST et le bootstrap
seul souvenir) programme ainsi que le mini-IOS.
Éclat Stocke le Cisco IOS par défaut. La mémoire flash n'est pas effacée lorsque le routeur est
Mémoire rechargé. Il s'agit d'une EEPROM (électroniquement effaçable programmable en lecture seule
mémoire) créé par Intel.
NVRAM Utilisé pour contenir la configuration du routeur et du commutateur. La NVRAM n'est pas effacée lorsque
(non volatile le routeur ou le commutateur est rechargé. Ne stocke pas d'IOS. La config
RAM) registre est stocké dans la NVRAM.
Configuration Utilisé pour contrôler le démarrage du routeur. Cette valeur peut être trouvée comme dernière ligne
49
S'inscrire de la sortie de la commande show version et est défini par défaut sur 0x2102, ce qui indique
le routeur pour charger l'IOS depuis la mémoire flash ainsi que pour charger la configuration
de la NVRAM.
1. Le périphérique IOS effectue un POST, qui teste le matériel pour vérifier que tous les composants de
l'appareil sont présents et opérationnels. La poste fait le point sur les différentes interfaces sur le
commutateur ou routeur, et il est stocké et exécuté à partir de la mémoire morte (ROM).
2. Le bootstrap dans la ROM localise et charge ensuite le logiciel Cisco IOS en exécutant des programmes
responsable de trouver l'emplacement de chaque programme IOS. Une fois qu'ils sont trouvés, il charge
les fichiers appropriés. Par défaut, le logiciel IOS est chargé à partir de la mémoire flash de tous les appareils Cisco.
3. Le logiciel IOS recherche alors un fichier de configuration valide stocké dans la NVRAM. Ce fichier s'appelle
startup-config et ne sera présent que si un administrateur a copié le fichier running-config
en NVRAM.
4. Si un fichier de configuration de démarrage est trouvé dans la NVRAM, le routeur ou le commutateur le copiera, le placera dans la RAM,
et nommez le fichier running-config. L'appareil utilisera ce fichier pour s'exécuter, et le
le routeur/commutateur devrait maintenant être opérationnel. Si un fichier de configuration de démarrage n'est pas dans la NVRAM, le routeur
diffusera toute interface qui détecte la détection de porteuse (CD) pour un hôte TFTP à la recherche d'un
configuration, et quand cela échoue (généralement, cela échouera - la plupart des gens ne réaliseront même pas le
routeur a tenté ce processus), il lancera le processus de configuration du mode de configuration.
L'ordre par défaut du chargement d'un IOS à partir d'un périphérique Cisco commence par flash, puis
50
n'entrez pas de commande copy run start après avoir modifié running-config, ce changement sera
disparaissent totalement si l'appareil redémarre ou s'éteint. Comme toujours, les sauvegardes sont bonnes, donc
vous voudrez faire une autre sauvegarde des informations de configuration juste au cas où le routeur ou
l'interrupteur meurt complètement sur vous. Même si votre machine est en bonne santé et heureuse, il est bon d'avoir un
sauvegarde pour des raisons de référence et de documentation !
Ensuite, je couvrirai comment copier la configuration d'un routeur sur un serveur TFTP ainsi que comment
restaurer cette configuration.
Pour vérifier la configuration dans la DRAM, utilisez la commande show running-config ( sh run pour faire court) comme
cette:
Les informations de configuration actuelles indiquent que le routeur exécute la version 15.0 du
IOS.
Ensuite, vous devez vérifier la configuration stockée dans la NVRAM. Pour voir cela, utilisez le show startup-
commande de configuration ( sh start pour faire court) comme ceci :
Routeur# sh start
Utilisation de 855 sur 524288 octets
!
! Dernier changement de configuration à 04:49:14 UTC vendredi 5 mars 1993
!
version 15.0
La première ligne vous indique l'espace occupé par votre configuration de sauvegarde. Ici, on peut
voyez que la NVRAM fait environ 524 Ko et que seuls 855 octets sont utilisés. Mais la mémoire est
plus facile à révéler via la commande show version lorsque vous utilisez un routeur ISR.
Si vous n'êtes pas sûr que les fichiers sont les mêmes et que le fichier running-config est ce que vous voulez utiliser
avec, puis utilisez la commande copy running-config startup-config . Cela vous aidera à vous assurer que les deux
les fichiers sont en fait les mêmes. Je vais vous guider à travers cela dans la section suivante.
En copiant running-config sur NVRAM en tant que sauvegarde, comme indiqué dans la sortie suivante, vous vous assurez
que votre configuration en cours sera toujours rechargée si le routeur est redémarré. À partir du 12.0
IOS, vous serez invité à saisir le nom de fichier que vous souhaitez utiliser :
La raison pour laquelle l'invite de nom de fichier apparaît est qu'il y a maintenant tellement d'options que vous pouvez utiliser lorsque
en utilisant la commande copy —vérifiez-le :
Une fois le fichier copié dans la NVRAM, vous pouvez effectuer une deuxième sauvegarde sur un serveur TFTP en utilisant le
copiez la commande running-config tftp ou copiez run tftp en abrégé. Je vais définir le nom d'hôte sur Todd
avant de lancer cette commande :
Si vous avez déjà configuré un nom d'hôte, la commande utilisera automatiquement le nom d'hôte
plus l'extension -confg comme nom de fichier.
Si vous avez copié la configuration sur un serveur TFTP en tant que seconde sauvegarde, vous pouvez restaurer le
configuration à l'aide de la commande copy tftp running-config ( copy tftp run pour faire court), ou la copie
Commande tftp startup-config ( copiez tftp start pour faire court), comme indiqué dans la sortie suivante. Juste ainsi
vous savez, l'ancienne commande que nous utilisions pour cela est config net :
Bon, le fichier de configuration est un fichier texte ASCII. . . ce qui signifie qu'avant de copier le
configuration stockée sur un serveur TFTP vers un routeur, vous pouvez apporter des modifications au fichier avec
n'importe quel éditeur de texte.
N'oubliez pas que lorsque vous copiez ou fusionnez une configuration d'un serveur TFTP vers
la RAM d'un routeur fraîchement effacé et redémarré, les interfaces sont fermées par défaut et
vous devez activer manuellement chaque interface avec la commande no shutdown .
Effacement de la configuration
Pour supprimer le fichier startup-config sur un routeur ou un commutateur Cisco, utilisez la commande delete startup-
config , comme ceci :
Page 52
Cette commande supprime le contenu de la NVRAM sur le commutateur et le routeur. Si vous tapez recharger pendant
en mode privilégié et dites non à l'enregistrement des modifications, le commutateur ou le routeur se rechargera et s'activera
en mode configuration.
Configuration de DHCP
Nous avons examiné DHCP au chapitre 3, « Introduction à TCP/IP », où j'ai décrit son fonctionnement et
ce qui se passe quand il y a un conflit. À ce stade, vous êtes prêt à apprendre à configurer DHCP
sur l'IOS de Cisco ainsi que comment configurer un redirecteur DHCP lorsque vos hôtes ne vivent pas dessus
le même réseau local que le serveur DHCP. Vous souvenez-vous du processus en quatre étapes utilisé par les hôtes pour obtenir un
adresse d'un serveur? Sinon, ce serait le moment idéal pour retourner au chapitre 3 et
examinez-le attentivement avant de passer à autre chose !
Pour configurer un serveur DHCP pour vos hôtes, vous avez besoin au minimum des informations suivantes :
Réseau et masque pour chaque ID de réseau LAN , également appelé étendue. Toutes les adresses dans un
le sous-réseau peut être loué à des hôtes par défaut.
Adresses réservées/exclues Adresses réservées pour les imprimantes, serveurs, routeurs, etc.
Ces adresses ne seront pas transmises aux hôtes. Je réserve habituellement la première adresse de chaque
sous-réseau pour le routeur, mais vous n'êtes pas obligé de le faire.
Routeur par défaut Il s'agit de l'adresse du routeur pour chaque réseau local.
Adresse DNS Une liste d'adresses de serveur DNS fournie aux hôtes afin qu'ils puissent résoudre les noms.
1. Excluez les adresses que vous souhaitez réserver. La raison pour laquelle vous effectuez cette étape en premier est que, en tant que
dès que vous définissez un identifiant de réseau, le service DHCP commencera à répondre aux demandes des clients.
2. Créez votre pool pour chaque réseau local en utilisant un nom unique.
3. Choisissez l'ID de réseau et le masque de sous-réseau pour le pool DHCP que le serveur utilisera pour fournir
adresses aux hôtes.
6. Si vous ne souhaitez pas utiliser la durée de location par défaut de 24 heures, vous devez définir la durée de location dans
jours, heures et minutes.
Je vais configurer le commutateur de la figure 7.2 pour qu'il soit le serveur DHCP du réseau local sans fil des ventes.
53
Comprenez que cette configuration aurait pu être facilement placée sur le routeur de la Figure 7.2 .
Voici comment nous allons configurer DHCP à l'aide de l'ID réseau 192.168.10.0/24 :
Tout d'abord, vous pouvez voir que j'ai réservé 10 adresses dans la plage pour le routeur, les serveurs et les imprimantes,
etc. J'ai ensuite créé le pool nommé Sales_Wireless, ajouté la passerelle par défaut et le serveur DNS,
et fixez le bail à 3 jours, 12 heures et 15 minutes (ce qui n'est pas vraiment significatif car je viens de
définissez-le de cette façon à des fins de démonstration). Enfin, j'ai donné un exemple sur vous de la façon dont vous
définissez l'option 66, qui envoie une adresse de serveur TFTP à un client DHCP. Généralement utilisé pour la VoIP
les téléphones ou les installations automatiques, et doit être répertorié en tant que nom de domaine complet. Assez simple, non? Les
le commutateur répondra désormais aux requêtes des clients DHCP. Mais que se passe-t-il si nous devons fournir une IP
adresse d'un serveur DHCP à un hôte qui n'est pas dans notre domaine de diffusion, ou si nous voulons recevoir
une adresse DHCP pour un client depuis un serveur distant ?
Relais DHCP
Si vous devez fournir des adresses d'un serveur DHCP à des hôtes qui ne sont pas sur le même LAN que le
Serveur DHCP, vous pouvez configurer l'interface de votre routeur pour relayer ou transférer le client DHCP
demandes, comme le montre la figure 7.3 . Si nous ne fournissons pas ce service, notre routeur recevra le
Diffusion du client DHCP, supprimez-la rapidement et l'hôte distant ne recevra jamais d'adresse
54
—à moins que nous ayons ajouté un serveur DHCP sur chaque domaine de diffusion ! Voyons comment nous ferions
configurent généralement le service DHCP dans les réseaux actuels.
Nous savons donc que parce que les hôtes du routeur n'ont pas accès à un serveur DHCP, le routeur
supprimera simplement les messages de diffusion de demande de client par défaut. Pour résoudre ce problème, nous
peut configurer l'interface Fa0/0 du routeur pour accepter les demandes du client DHCP et transmettre
les au serveur DHCP comme ceci :
Routeur# config t
Routeur(config)# interface fa0/0
Routeur(config-if)# ip helper-address 10.10.10.254
Maintenant, je sais que c'était un exemple assez simple, et il y a certainement d'autres façons de configurer
le relais, mais soyez assuré que j'ai couvert les objectifs pour vous. Aussi, je veux que vous sachiez que
ip helper-address transmet
plus que de simples demandes de client DHCP, alors assurez-vous de rechercher ceci
commande avant de l'implémenter ! Maintenant que j'ai montré comment créer le service DHCP,
prenons une minute pour vérifier DHCP avant de passer à NTP.
show ip dhcp binding Répertorie les informations d'état sur chaque adresse IP actuellement louée à un client.
show ip dhcp server statistics Répertorie les statistiques du serveur DHCP, beaucoup d'entre elles !
Page 55
Encore une fois, pas de soucis car nous couvrirons ces commandes vitales en détail au chapitre 9.
Syslog
La lecture des messages système à partir de la mémoire tampon interne d'un commutateur ou d'un routeur est la méthode la plus populaire et
méthode efficace pour voir ce qui se passe avec votre réseau à un moment donné. Mais le meilleur
moyen est de consigner les messages sur un serveur syslog , qui stocke les messages de votre part et peut même chronométrer
tamponnez-les et séquencez-les pour vous, et c'est facile à installer et à configurer !
Syslog vous permet d'afficher, de trier et même de rechercher des messages, ce qui en fait un très bon
outil de dépannage. La fonction de recherche est particulièrement puissante car vous pouvez utiliser des mots-clés
et même des niveaux de gravité. De plus, le serveur peut envoyer des e-mails aux administrateurs en fonction du niveau de gravité du
un message.
Les périphériques réseau peuvent être configurés pour générer un message syslog et le transmettre à divers
destinations. Ces quatre exemples sont des moyens populaires de collecter des messages à partir d'appareils Cisco :
Serveur Syslog
Comme vous le savez déjà, tous les messages système et les sorties de débogage générés par l'IOS ne sortent que du
port de console par défaut et sont également enregistrés dans les tampons de la RAM. Et vous savez aussi que Cisco
les routeurs n'hésitent pas à envoyer des messages ! Pour envoyer un message aux lignes VTY, utilisez le
commande de moniteur de terminal . Nous allons également ajouter une petite configuration nécessaire pour syslog, que je vais montrer
vous bientôt dans la section de configuration.
Donc, par défaut, nous verrions quelque chose comme ceci sur notre ligne de console :
Et le routeur Cisco enverrait une version générale du message au serveur syslog qui
être formaté dans quelque chose comme ceci:
seq no Ce tampon enregistre les messages avec un numéro de séquence, mais pas par défaut. Si tu veux ça
sortie, vous devez le configurer.
Horodatage Données et heure du message ou de l'événement, qui à nouveau ne s'afficheront que s'ils sont configurés.
Description Chaîne de texte contenant des informations détaillées sur l'événement signalé.
Les niveaux de gravité, de niveau le plus sévère à la moins sévère, sont expliqués dans le tableau 7.2 .
Informational est la valeur par défaut et entraînera l'envoi de tous les messages aux tampons et à la console.
Page 56
Si vous étudiez pour votre examen Cisco, vous devez mémoriser le tableau 7.2 à l' aide de ce
Router(config)# journalisation ?
Nom d'hôte ou adresse IP ABCD de l'hôte de journalisation
tamponné Définir les paramètres de journalisation en mémoire tampon
bogueinf Activer la journalisation buginf pour le débogage
événements-cns Définir le niveau de journalisation des événements CNS
console Définir les paramètres de journalisation de la console
compter Compter chaque message de journal et horodater la dernière occurrence
esm Définir les restrictions de filtre ESM
exception Limiter la taille de la sortie de vidage des exceptions
établissement Paramètre de facilité pour les messages syslog
filtre Spécifier le filtre de journalisation
l'histoire Configurer la table d'historique syslog
hôte Définir l'adresse IP et les paramètres du serveur syslog
surveiller Définir les paramètres de journalisation de la ligne terminale (moniteur)
au Activer la journalisation vers toutes les destinations activées
ID-origine Ajouter l'ID d'origine aux messages syslog
limite de file d'attente Définir la taille de la file d'attente des messages de l'enregistreur
taux-limite Définir la limite de messages par seconde
recharger Définir le niveau de journalisation de rechargement
serveur-arp Activez l'envoi de requêtes ARP pour les serveurs syslog lorsque
d'abord configuré
source-interface Spécifier l'interface pour l'adresse source dans la journalisation
transactions
piéger Définir le niveau de journalisation du serveur syslog
informations utilisateur Activer la journalisation des informations utilisateur sur l'activation du mode privilégié
Wow, comme vous pouvez le voir dans cette sortie, il existe de nombreuses options que vous pouvez utiliser avec la journalisation
commander! La configuration précédente permettait à la console et au buffer de recevoir tous les logs
messages de toutes les sévérités, et n'oubliez pas qu'il s'agit du paramètre par défaut pour tous les périphériques Cisco IOS.
Si vous souhaitez désactiver les valeurs par défaut, utilisez les commandes suivantes :
J'aime laisser les commandes console et buffer activées pour recevoir les informations de journalisation, mais c'est
à toi de voir. Vous pouvez voir les tampons avec la commande show logging ici :
57
Routeur# sh journalisation
Journalisation Syslog : activée (11 messages abandonnés, 1 message à débit limité,
0 flush, 0 dépassement, xml désactivé, filtrage désactivé)
Journalisation de la console : débogage de niveau, 29 messages enregistrés, xml désactivé,
filtrage désactivé
Monitor logging : débogage de niveau, 0 messages enregistrés, xml désactivé,
filtrage désactivé
Buffer logging : débogage de niveau, 1 messages enregistrés, xml désactivé,
filtrage désactivé
Taille de l'exception de journalisation (4096 octets)
Messages de journalisation du nombre et de l'horodatage : désactivé
Aucun module de filtrage actif.
Le niveau d'interruption par défaut (message de l'appareil vers NMS) est le débogage , mais vous pouvez également le modifier.
Et maintenant que vous avez vu le format de message système sur un appareil Cisco, je veux vous montrer comment
vous pouvez également contrôler le format de vos messages via des numéros de séquence et des horodatages, qui
ne sont pas activés par défaut. Nous commencerons par un exemple simple et basique de la façon de configurer un appareil pour
envoyer des messages à un serveur syslog, illustré à la figure 7.4 .
FIGURE 7.4 Messages envoyés à un serveur syslog
Un serveur syslog enregistre des copies des messages de la console et peut les horodater pour les consulter ultérieurement
temps. C'est en fait assez facile à configurer, et voici à quoi cela ressemblerait sur le SF
routeur :
C'est génial - maintenant tous les messages de la console seront stockés dans un seul endroit pour être consultés à votre
commodité! J'utilise généralement la commande logging host ip_address , mais logging IP_address sans
le mot-clé host obtient le même résultat.
Nous pouvons limiter la quantité de messages envoyés au serveur syslog, en fonction de la gravité, avec le
commande suivante :
Notez que nous pouvons utiliser soit le numéro, soit le nom du niveau de gravité réel, et ils sont dans
Page 58
ordre alphabétique, pas ordre de gravité, ce qui rend encore plus difficile la mémorisation de l'ordre !
(Merci Cisco !) Depuis que je suis passé au niveau de gravité 6 (Informationnel), je vais recevoir des messages pour
niveaux 0 à 6. Ceux-ci sont également appelés niveaux locaux, tels que, par exemple, local6 - non
différence.
Lorsque vous quittez le mode de configuration, le routeur enverra un message comme celui affiché dans le
lignes de code précédentes. Sans les horodatages activés, nous ne verrons plus d'heure et de date, mais
nous verrons un numéro de séquence.
Installation : %SYS
Niveau de gravité : 5
MNEMONIQUE : CONFIG_I
Je tiens à souligner que de tous ces éléments, le niveau de gravité est ce à quoi vous devez le plus faire attention
pour les examens Cisco ainsi que pour un moyen de contrôler la quantité de messages envoyés au syslog
serveur.
En règle générale, vous aurez un serveur NTP qui se connecte via Internet à une horloge atomique. Cette
l'heure peut ensuite être synchronisée via le réseau pour conserver tous les routeurs, commutateurs, serveurs, etc.
recevoir les informations en même temps.
L'heure correcte permet le suivi des événements dans le réseau dans le bon ordre.
La synchronisation de l'horloge est essentielle pour l'interprétation correcte des événements dans le syslog
Les données.
S'assurer que tous vos appareils ont l'heure correcte est particulièrement utile pour vos routeurs et
commutateurs pour consulter les journaux concernant les problèmes de sécurité ou d'autres problèmes de maintenance. Routeurs et
les commutateurs émettent des messages de journal lorsque différents événements ont lieu, par exemple, lorsqu'une interface
descend puis remonte. Comme vous le savez déjà, tous les messages générés par l'IOS ne vont qu'à
le port de console par défaut. Cependant, comme le montre la Figure 7.4 , ces messages de console peuvent être
dirigé vers un serveur syslog.
Un serveur syslog enregistre des copies des messages de la console et peut les horodater afin que vous puissiez les visualiser
à un moment ultérieur. C'est en fait assez facile à faire. Voici votre configuration sur le SF
routeur :
Page 59
appareils pour recevoir les informations de temps précises d'un serveur centralisé, comme indiqué ici dans le
commande suivante et dans la Figure 7.5 :
Utilisez simplement cette commande simple sur tous vos appareils et sur chaque appareil réseau de votre réseau
auront alors les mêmes informations d'heure et de date exactes. Vous pouvez alors être assuré que votre
les horodatages sont exacts. Vous pouvez également faire de votre routeur ou commutateur un serveur NTP avec le ntp
commande maître .
Pour vérifier que notre client NTP reçoit les informations de synchronisation, nous utilisons les commandes suivantes :
SF# sh ntp ?
associations associations PNLT
statut Statut du statut NTP Statut du domaine VTP
Vous pouvez voir dans l'exemple que le client NTP dans SF n'est pas synchronisé avec le serveur en utilisant
la commande show ntp status . La valeur de la strate est un nombre de 1 à 15, et une strate inférieure
la valeur indique une priorité NTP plus élevée ; 16 signifie qu'il n'y a pas de pointage reçu.
Il existe de nombreuses autres configurations d'un client NTP qui sont disponibles, telles que l'authentification
de NTP afin qu'un routeur ou un commutateur ne soit pas dupe en changeant l'heure d'une attaque, par exemple.
Commençons par explorer le minuteur CDP et les commandes CDP dont nous aurons besoin pour vérifier notre réseau.
Page 60
Le temporisateur CDP délimite la fréquence à laquelle les paquets CDP sont transmis à toutes les interfaces actives.
CDP holdtime délimite la durée pendant laquelle l'appareil conservera les paquets reçus de
appareils voisins.
Les routeurs et les commutateurs Cisco utilisent les mêmes paramètres. Consultez la figure 7.6 pour voir comment CDP
fonctionne au sein d'un réseau commuté que j'ai configuré pour mes laboratoires de commutation dans ce livre.
FIGURE 7.6 Protocole de découverte Cisco
SW-3# sh cdp
Informations globales sur le CDP :
Envoi de paquets CDP toutes les 60 secondes
Envoi d'une valeur de temps d'attente de 180 secondes
L'envoi de publicités CDPv2 est activé
Cette sortie nous indique que la valeur par défaut transmet toutes les 60 secondes et contiendra les paquets d'un
voisin dans la table CDP pendant 180 secondes. Je peux utiliser les commandes globales cdp holdtime et cdp
timer pour configurer le holdtime CDP et le timer sur un routeur si nécessaire comme ceci :
SW-3(config) #cdp ?
Advert-v2 CDP envoie des publicités version-2
holdtime Spécifiez le temps d'attente (en secondes) à envoyer en paquets
Cours Activer le CDP
minuteur Spécifiez la vitesse à laquelle les paquets CDP sont envoyés (en secondes)
tlv Activer l'échange d'informations tlv spécifiques
Vous pouvez désactiver complètement CDP avec la commande no cdp run du mode de configuration globale
d'un routeur et activez-le avec la commande cdp run :
Pour activer ou désactiver le CDP pour une interface, utilisez les commandes no cdp enable et cdp enable .
Page 61
des appareils connectés. Il est important de se rappeler que les paquets CDP ne passent pas par un Cisco
commutateur et que vous ne voyez que ce qui est directement attaché. Cela signifie donc que si votre routeur est
connecté à un commutateur, vous ne verrez aucun des appareils Cisco connectés au-delà de ce commutateur !
La sortie suivante montre la commande show cdp voisin que j'ai utilisée sur mon SW-3 :
D'accord, nous pouvons voir que je suis directement connecté avec un câble de console au commutateur SW-3 et également
que SW-3 est directement connecté à deux autres commutateurs. Cependant, avons-nous vraiment besoin du chiffre pour
développer notre réseau ? Nous ne le faisons pas ! CDP me permet de voir qui sont mes voisins directement connectés
et recueillir des informations à leur sujet. Depuis le commutateur SW-3, nous pouvons voir qu'il y a deux
connexions à SW-1 et deux connexions à SW-2. SW-3 se connecte à SW-1 avec les ports Fas 0/1
et Fas 0/2, et nous avons des connexions à SW-2 avec les interfaces locales Fas 0/5 et Fas 0/6. Les deux
les commutateurs SW-1 et SW-2 sont des commutateurs 3650, et SW-1 utilise les ports Fas 0/15 et Fas 0/16 à
connectez-vous à SW-3. SW-2 utilise les ports Fas 0/5 et Fas 0/6.
Pour résumer, l'ID de l'appareil affiche le nom d'hôte configuré de l'appareil connecté, que le
L'interface locale est notre interface, et l'ID de port est directement connecté aux périphériques distants
interface. N'oubliez pas que tout ce que vous voyez sont des appareils directement connectés !
Le tableau 7.3 résume les informations affichées par la commande show cdp voisin pour chaque
dispositif.
Champ La description
Le
Reference de l'appareil nom d'hôte de l'appareil directement connecté.
Temps d'attente Le temps restant pendant lequel le routeur conservera les informations avant de les rejeter
il si plus aucun paquet CDP n'est reçu.
Plate-forme Le type de périphérique Cisco directement connecté. Dans la sortie précédente, le SW-3 affiche
il est directement connecté à deux commutateurs 3560.
Identifiant de port Le port ou l'interface du périphérique voisin sur lequel les paquets CDP sont multidiffusés.
Il est impératif que vous puissiez regarder la sortie d'une commande show cdp voisins
et déchiffrer les informations obtenues sur la capacité du périphérique voisin, qu'il s'agisse d'un
routeur ou commutateur, le numéro de modèle (plate-forme), votre port de connexion à cet appareil (local
interface) et le port du voisin qui se connecte à vous (ID de port).
Une autre commande qui livrera les marchandises sur les informations du voisin est le show cdp voisins
commande detail ( show cdp nei de pour faire court). Cette commande peut être exécutée sur les deux routeurs et
commutateurs, et il affiche des informations détaillées sur chaque appareil connecté à l'appareil que vous êtes
en exécutant la commande. Vérifiez la sortie du routeur dans l'extrait 7.1.
62
Version :
Logiciel Cisco IOS, logiciel C3560 (C3560-IPSERVICESK9-M), version 12.2(55)SE7, RELEASE LOGICIEL
(fc1)
Support technique : http://www.cisco.com/techsupport
Copyright (c) 1986-2013 par Cisco Systems, Inc.
Compilé lun 28-jan-13 10:10 par prod_rel_team
version de la publicité : 2
Protocole Hello : OUI=0x00000C, ID de protocole=0x0112 ; longueur de charge utile=27,
valeur=00000000FFFFFFFF010221FF000000000000001C575EC880Fc00f000
Domaine de gestion VTP : 'NULL'
VLAN natif : 1
Duplex : complet
Puissance disponible TLV :
Identifiant de demande d'alimentation : 0, Identifiant de gestion de l'alimentation : 1, Puissance disponible : 0, Niveau de gestion de l'alimentation : -1
Adresse(s) de gestion :
Adresse IP : 10.100.128.10
-------------------------
[coupure de sortie]
-------------------------
Identifiant de l'appareil : SW-2
Adresse(s) d'entrée :
Adresse IP : 10.100.128.9
Plate-forme : Cisco WS-C3560-8PC, Capacités : Switch IGMP
Interface : FastEthernet0/5, ID de port (port sortant) : FastEthernet0/5
Temps de maintien : 129 sec
Version :
Logiciel Cisco IOS, logiciel C3560 (C3560-IPBASE-M), version 12.2(35)SE5, RELEASE LOGICIEL (fc1)
Copyright (c) 1986-2007 par Cisco Systems, Inc.
Compilé jeu. 19-juil.-07 18:15 par nachen
version de la publicité : 2
Protocole Hello : OUI=0x00000C, ID de protocole=0x0112 ; longueur de charge utile=27,
valeur=00000000FFFFFFFF010221FF000000000000B41489D91880Fc00f000
Domaine de gestion VTP : 'NULL'
VLAN natif : 1
Duplex : complet
Puissance disponible TLV :
Identifiant de demande d'alimentation : 0, Identifiant de gestion de l'alimentation : 1, Puissance disponible : 0, Niveau de gestion de l'alimentation : -1
Adresse(s) de gestion :
Adresse IP : 10.100.128.9
[coupure de sortie]
Alors qu'est-ce qui est révélé ici? Tout d'abord, nous avons reçu le nom d'hôte et l'adresse IP de tous directement
des appareils connectés. Et en plus des mêmes informations affichées par les voisins show cdp
(voir le tableau 7.3 ), la commande show cdp neighbors detail nous renseigne sur la version IOS
et l'adresse IP de l'appareil voisin, c'est beaucoup !
La commande show cdp entry * affiche les mêmes informations que le détail des voisins show cdp
commander. Il n'y a aucune différence entre ces commandes.
Le CDP peut sauver des vies !
Karen vient d'être embauchée en tant que consultante réseau senior dans un grand hôpital de Dallas, au Texas,
on s'attend donc à ce qu'elle soit capable de s'occuper de tout problème qui se présente. Comme si ça
n'y avait pas assez de pression, elle doit aussi s'inquiéter de l'horrible possibilité que les gens ne
recevoir les bonnes solutions de soins de santé, même les bons médicaments, si le réseau
vers le bas. Parlez d'une situation potentielle de vie ou de mort !
Page 63
Mais Karen est confiante et commence son travail avec optimisme. Bien sûr, il ne faut pas longtemps avant que le
réseau révèle qu'il a quelques problèmes. Imperturbable, elle demande à l'un des juniors
administrateurs pour une carte du réseau afin qu'elle puisse dépanner le réseau. Cette personne lui dit
que l'ancienne administratrice principale, qu'elle a remplacée, les avait avec lui et que maintenant personne ne peut
les trouver. Le ciel commence à s'assombrir !
Les médecins appellent toutes les deux minutes parce qu'ils ne peuvent pas obtenir le nécessaire
informations dont ils ont besoin pour prendre soin de leurs patients. Que devrait-elle faire?
C'est le CDP à la rescousse ! Et c'est un cadeau que cet hôpital utilise des routeurs Cisco
et les commutateurs exclusivement, car CDP est activé par défaut sur tous les appareils Cisco. Karen est
aussi de la chance parce que l'ancien administrateur mécontent n'a désactivé le CDP sur aucun appareil
avant qu'il parte!
Donc tout ce que Karen a à faire maintenant est d'utiliser la commande show cdp voisin detail pour trouver tous les
informations dont elle a besoin sur chaque appareil pour aider à dessiner le réseau hospitalier, en lui apportant
se remettre à niveau afin que le personnel qui en dépend puisse se consacrer à l'important travail de
sauver des vies !
Le seul hic pour vous de clouer cela dans votre propre réseau est si vous ne connaissez pas les mots de passe de
tous ces appareils. Votre seul espoir est alors de découvrir d'une manière ou d'une autre les mots de passe d'accès ou de
effectuer la récupération de mot de passe sur eux.
Alors, utilisez CDP - vous ne savez jamais quand vous pourriez sauver la vie de quelqu'un.
Page 64
FIGURE 7.7 Documentation d'une topologie de réseau à l'aide de CDP
Dans cette sortie, vous pouvez voir que vous avez un routeur avec quatre interfaces : deux Fast Ethernet et deux
en série. Tout d'abord, déterminez les adresses IP de chaque interface en utilisant le show running-config
commande comme ceci :
Lab_A# sh running-config
Configuration du bâtiment...
Page 65
Une fois cette étape terminée, vous pouvez maintenant noter les adresses IP des quatre
interfaces. Ensuite, vous devez déterminer le type d'appareil à l'autre extrémité de chacun de ces
interfaces. C'est simple, il suffit d'utiliser la commande show cdp neighbors :
Wow, on dirait que nous sommes connectés à de vieux routeurs ! Mais ce n'est pas notre travail de juger. Notre mission est
pour tisser notre réseau, c'est donc bien que nous ayons de belles informations pour relever le défi
avec maintenant. En utilisant à la fois les commandes show running-config et show cdp neighbors , nous connaissons
toutes les adresses IP du routeur Lab_A, les types de routeurs connectés à chacun des Lab_A
les liens du routeur, et toutes les interfaces des routeurs distants.
Maintenant que nous sommes équipés de toutes les informations recueillies via show running-config et show cdp
voisins , nous pouvons créer avec précision la topologie de la figure 7.8 .
FIGURE 7.8 Topologie du réseau documentée
Si nous en avions besoin, nous aurions également pu utiliser la commande show cdp neighbors detail pour afficher le
les adresses IP du voisin. Mais comme nous connaissons les adresses IP de chaque lien sur le routeur Lab_A, nous
savez déjà quelle sera la prochaine adresse IP disponible.
Avant de passer de CDP, je veux vous parler d'un protocole de découverte non propriétaire qui
fournit à peu près les mêmes informations que CDP mais fonctionne dans les réseaux multi-fournisseurs.
L'IEEE a créé un nouveau protocole de découverte normalisé appelé 802.1AB pour Station and Media
Découverte de la connectivité du contrôle d'accès. Nous l'appellerons simplement Link Layer Discovery Protocol (LLDP) .
Page 66
LLDP définit les capacités de découverte de base, mais il a également été amélioré pour répondre spécifiquement aux
application vocale, et cette version s'appelle LLDP-MED (Media Endpoint Discovery). C'est bon de
rappelez-vous que LLDP et LLDP-MED ne sont pas compatibles.
LLDP doit être activé sur l'appareil avant que vous puissiez l'activer ou le désactiver sur n'importe quelle interface.
Vous pouvez désactiver complètement LLDP avec la commande no lldp run à partir du mode de configuration globale
d'un périphérique et activez-le avec la commande lldp run , qui l'active également sur toutes les interfaces :
Pour activer ou désactiver LLDP pour une interface, utilisez les commandes lldp transmit et lldp receive .
Utiliser Telnet
Faisant partie de la suite de protocoles TCP/IP, Telnet est un protocole de terminal virtuel qui vous permet de
établir des connexions à des appareils distants, collecter des informations et exécuter des programmes.
Une fois vos routeurs et commutateurs configurés, vous pouvez utiliser le programme Telnet pour reconfigurer
et/ou vérifiez-les sans utiliser de câble de console. Vous exécutez le programme Telnet en tapant
telnet à partir
de n'importe quelle invite de commande (Windows ou Cisco), mais vous devez définir des mots de passe VTY
sur les appareils IOS pour que cela fonctionne.
N'oubliez pas que vous ne pouvez pas utiliser CDP pour collecter des informations sur les routeurs et les commutateurs qui ne sont pas
directement connecté à votre appareil. Mais vous pouvez utiliser l'application Telnet pour vous connecter à votre
périphériques voisins, puis exécutez CDP sur ces périphériques distants pour obtenir des informations sur eux.
Vous pouvez émettre la commande telnet à partir de n'importe quel routeur ou commutateur. Dans le code suivant, je suis
essayer de telnet du commutateur 1 au commutateur 3:
Oups—clairement, je n'ai pas défini mes mots de passe—comme c'est embarrassant ! N'oubliez pas que les ports VTY sont
par défaut configuré comme login , ce qui signifie que nous devons soit définir les mots de passe VTY, soit utiliser le no
commande de connexion . Si vous devez revoir le processus de définition des mots de passe, revenez rapidement dans
Chapitre 6, « Système d'exploitation Internet de Cisco (IOS) ».
Si vous ne pouvez pas connecter un telnet à un appareil, il se peut que le mot de passe de la télécommande
l'appareil n'a pas été configuré. Il est également tout à fait possible qu'une liste de contrôle d'accès filtre le Telnet
session.
Sur un périphérique Cisco, vous n'avez pas besoin d'utiliser la commande telnet ; vous pouvez simplement taper une adresse IP
à partir d'une invite de commande et le routeur supposera que vous souhaitez établir une connexion telnet avec l'appareil. Voici
à quoi cela ressemble en utilisant uniquement l'adresse IP :
67
SW-1# 10.100.128.8
Essayer 10.100.128.8... Ouvrir
Ce serait maintenant le bon moment pour définir ces mots de passe VTY sur le SW-3 dans lequel je veux me connecter.
Voici ce que j'ai fait sur le switch nommé SW-3 :
Essayons maintenant à nouveau. Cette fois, je me connecte à SW-3 depuis la console SW-1 :
SW-1# 10.100.128.8
Essayer 10.100.128.8 ... Ouvrir
Mot de passe:
SW-3>
N'oubliez pas que le mot de passe VTY est le mot de passe du mode utilisateur, pas le mot de passe du mode d'activation.
Regardez ce qui se passe lorsque j'essaie de passer en mode privilégié après avoir connecté le telnet au commutateur :
SW-3> fr
% Aucun mot de passe défini
SW-3>
Il me claque totalement la porte au nez, ce qui se trouve être un élément de sécurité vraiment sympa !
Après tout, vous ne voulez pas que n'importe qui se connecte à votre appareil et tape la commande enable
pour passer en mode privilégié maintenant, n'est-ce pas ? Vous devez définir votre mot de passe de mode d'activation ou activer
mot de passe secret pour utiliser Telnet pour configurer les périphériques distants.
Lorsque vous vous connectez à un appareil distant, vous ne verrez pas les messages de la console en
défaut. Par exemple, vous ne verrez pas la sortie de débogage. Pour permettre aux messages de la console d'être
envoyé à votre session Telnet, utilisez la commande terminal monitor .
En utilisant le groupe d'exemples suivant, je vais vous montrer comment connecter telnet à plusieurs appareils
simultanément ainsi que comment utiliser les noms d'hôtes au lieu des adresses IP.
SW-1# 10.100.128.8
Essayer 10.100.128.8... Ouvrir
Mot de passe:
SW-3> Ctrl+Maj+6
SW-1#
Ici, vous pouvez voir que je me suis connecté à SW-1, puis j'ai tapé le mot de passe pour entrer en mode utilisateur. Prochain,
J'ai appuyé sur Ctrl+Maj+6, puis sur X, mais vous ne verrez rien de tout cela car cela ne s'affiche pas sur le
Page 68
sortie écran. Notez que mon invite de commande me ramène maintenant au commutateur SW-1.
SW-1# sessions sh
Conn Hôte Adresse Nom de connexion d'octet inactif
1 10.100.128.9 10.100.128.9 0 10.100.128.9
* 2 10.100.128.8 10.100.128.8 0 10.100.128.8
SW-1#
Vous voyez cet astérisque ( * ) à côté de la connexion 2 ? Cela signifie que la session 2 était la dernière session à laquelle je me suis connecté
à. Vous pouvez revenir à votre dernière session en appuyant deux fois sur Entrée. Vous pouvez également revenir à n'importe quelle session
en tapant le numéro de la connexion puis Enter.
SW-1# sh utilisateurs
Hôte(s) de l'utilisateur de ligne Lieu d'inactivité
* 0 contre 0 10.100.128.9 00:00:01
10.100.128.8 00:01:06
Dans la sortie de la commande, con représente la console locale, et nous pouvons voir que la console
session est connectée à deux adresses IP distantes, c'est-à-dire deux appareils.
Pour mettre fin à une session à partir d'un appareil distant, utilisez la commande exit :
SW-3> sortie
[Connexion à 10.100.128.8 fermée par l'hôte étranger]
SW-1#
Pour mettre fin à une session à partir d'un périphérique local, utilisez la commande de déconnexion :
SW-1# sh session
Conn Hôte Adresse Nom de connexion d'octet inactif
*2 10.100.128.9 10.100.128.9 0 10.100.128.9
SW-1# déconnecter ?
<2-2> Le numéro d'une connexion réseau active
qdm Déconnecter les clients Web QDM
ssh Déconnecter une connexion SSH active
SW-1# déconnecter 2
Fermeture de la connexion au 10.100.128.9 [confirmer] [enter]
Dans cet exemple, j'ai utilisé la session numéro 2 car c'était la connexion que je voulais conclure.
Comme démontré, vous pouvez utiliser la commande show sessions pour voir le numéro de connexion.
Il existe deux manières de résoudre les noms d'hôtes en adresses IP. La première consiste à construire une table d'hôtes sur
chaque routeur, et la seconde consiste à créer un serveur DNS (Domain Name System). Cette dernière méthode
est similaire à la création d'une table d'hôtes dynamique, en supposant que vous avez affaire à un DNS dynamique.
69
La valeur par défaut est le numéro de port TCP 23, mais vous pouvez créer une session en utilisant Telnet avec un autre
Numéro de port TCP si vous le souhaitez. Vous pouvez également attribuer jusqu'à huit adresses IP à un nom d'hôte.
Voici comment j'ai configuré une table d'hôtes sur le commutateur SW-1 avec deux entrées pour résoudre les noms pour
les SW-2 et SW-3 :
SW-1# config t
SW-1(config)# hôte IP SW-2 ?
<0-65535> Numéro de port telnet par défaut
Adresse IP de l'hôte ABCD
Ajouter des adresses supplémentaires
Notez que je peux simplement continuer à ajouter des adresses IP pour référencer un hôte unique, l'une après l'autre. À
voir notre table d'hôtes nouvellement construite, je vais simplement utiliser la commande show hosts :
Dans cette sortie, vous pouvez voir les deux noms d'hôte ainsi que leurs adresses IP associées. La permanente dans le
La colonne Indicateurs signifie
que l'entrée a été configurée manuellement. S'il lisait temp , ce serait un
entrée qui a été résolue par DNS.
La commande show hosts fournit des informations sur les entrées DNS temporaires et
Pour vérifier que la table d'hôtes résout les noms, essayez de saisir les noms d'hôtes à l'invite du routeur.
N'oubliez pas que si vous ne spécifiez pas la commande, le routeur supposera que vous souhaitez utiliser telnet.
Dans l'exemple suivant, j'utiliserai les noms d'hôte pour me connecter aux appareils distants et j'appuierai sur
Ctrl+Maj+6 puis X pour revenir à la console principale du routeur SW-1 :
SW-1# sw-3
Essayer SW-3 (10.100.128.8)... Ouvrir
Mot de passe:
SW-3> Ctrl+Maj+6
SW-1#
Cela a fonctionné - j'ai utilisé avec succès des entrées dans la table d'hôtes pour créer une session sur le périphérique SW-3 en
en utilisant le nom pour y accéder par telnet. Et juste pour que vous le sachiez, les noms dans la table d'hôtes ne sont pas en casse
sensible.
Notez que les entrées dans la sortie suivante de show sessions affichent maintenant les noms d'hôte et l'IP
adresses au lieu de simplement les adresses IP :
Page 70
SW-1# sessions sh
Conn Hôte Adresse Nom de connexion d'octet inactif
1 SW-3 10.100.128.8 0 1 SW-3
* 2 SW-2 10.100.128.9 0 1 SW-2
SW-1#
Si vous souhaitez supprimer un nom d'hôte de la table, il vous suffit d'utiliser l' hôte no ip
commande comme ceci :
L'inconvénient d'utiliser cette méthode de table d'hôtes est que vous devez créer une table d'hôtes sur chaque
routeur afin de pouvoir résoudre les noms. Donc clairement, si vous avez tout un tas de routeurs et
voulez résoudre des noms, l'utilisation de DNS est une bien meilleure option !
Chaque fois qu'un périphérique Cisco reçoit une commande qu'il ne comprend pas, il essaiera de la résoudre via
DNS par défaut. Regardez ce qui se passe lorsque je tape la commande spéciale todd sur un routeur Cisco
rapide:
SW-1# todd
Traduction de "todd"... serveur de domaine (255.255.255.255)
% Commande ou nom d'ordinateur inconnu, ou impossible à trouver
adresse de l'ordinateur
SW-1#
Parce qu'il ne connaît pas mon nom ou la commande que j'essaie de taper, il essaie de résoudre ce problème
via DNS. C'est vraiment embêtant pour deux raisons : d'abord, parce qu'il ne connaît pas mon nom
<grin>, et deuxièmement, parce que je dois sortir et attendre que la recherche de nom expire. Tu
peut contourner ce problème et éviter une recherche DNS fastidieuse en utilisant la recherche de domaine sans ip
commande sur votre routeur à partir du mode de configuration globale.
Donc, si vous avez un serveur DNS sur votre réseau, vous devrez ajouter quelques commandes pour rendre DNS
la résolution de nom fonctionne bien pour vous :
La première commande est ip domain-lookup , qui est activée par défaut. Il faut le saisir
uniquement si vous l'avez précédemment désactivé avec la commande no ip domain-lookup . La commande peut
être utilisé sans le tiret avec la syntaxe ip domain lookup .
La deuxième commande est ip name-server . Cela définit l'adresse IP du serveur DNS. Vous pouvez
entrez les adresses IP d'un maximum de six serveurs.
La dernière commande est ip domain-name . Bien que cette commande soit facultative, vous devez vraiment définir
car il ajoute le nom de domaine au nom d'hôte que vous saisissez. Étant donné que DNS utilise un
système de nom de domaine qualifié (FQDN), vous devez avoir un nom DNS de second niveau, sous la forme
domaine.com .
Une fois les configurations DNS définies, vous pouvez tester le serveur DNS en utilisant un nom d'hôte pour
ping ou telnet dans un appareil comme celui-ci :
Page 71
2 secondes:
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max
= 28/31/32 ms
Une fois qu'un nom est résolu à l'aide de DNS, utilisez la commande show hosts pour vérifier que le périphérique a mis en cache
ces informations dans la table d'hôtes. Si je n'avais pas utilisé la commande ip domain-name lammle.com , j'aurais
ont dû taper ping sw-3.lammle.com , ce qui est un peu compliqué.
Karen a enfin fini de cartographier son réseau via CDP et le personnel de l'hôpital est maintenant bien
plus heureux. Mais Karen a encore de la difficulté à administrer le réseau parce qu'elle a
regarder le schéma du réseau pour trouver une adresse IP chaque fois qu'elle a besoin de se connecter à un telnet
routeur distant.
Karen pensait mettre des tables d'hôtes sur chaque routeur, mais avec littéralement des centaines de
routeurs, c'est une tâche ardue et pas la meilleure solution. Que devrait-elle faire?
La plupart des réseaux ont maintenant un serveur DNS de toute façon, donc en y ajoutant une centaine de noms d'hôtes
serait beaucoup plus facile, certainement mieux que d'ajouter ces noms d'hôtes à chaque
routeur ! Elle peut simplement ajouter les trois commandes sur chaque routeur et voilà, elle résout
noms!
L'utilisation d'un serveur DNS facilite également la mise à jour des anciennes entrées. Rappelez-vous, même pour un
peu de changement, son alternative serait d'aller sur chaque routeur pour mettre à jour manuellement son
table si elle utilise des tables hôtes statiques.
Gardez à l'esprit que cela n'a rien à voir avec la résolution de noms sur le réseau et rien à
faire avec ce qu'un hôte sur le réseau essaie d'accomplir. Vous n'utilisez cette méthode que lorsque
vous essayez de résoudre les noms à partir de la console du routeur.
SW-1# ping ?
WORD Ping adresse de destination ou nom d'hôte
écho clns CLNS
ip écho IP
écho IPv6 IPv6
tag Tag écho IP encapsulé
<cr>
La sortie ping affiche les temps minimum, moyen et maximum nécessaires à un paquet ping pour
trouver un système spécifié et revenir. Voici un exemple :
Page 72
Cette sortie nous indique que le serveur DNS a été utilisé pour résoudre le nom et que l'appareil a été ping
dans un minimum de 28 ms (millisecondes), une moyenne de 31 ms et jusqu'à 32 ms. Ce réseau a
un peu de latence !
La commande ping peut être utilisée en mode utilisateur et privilégié mais pas
mode de configuration !
La commande trace , que vous pouvez déployer en mode utilisateur ou en mode privilégié, vous permet
pour déterminer quel routeur dans le chemin vers un hôte réseau inaccessible devrait être examiné plus
étroitement comme la cause probable de la défaillance de votre réseau.
Pour voir les protocoles que vous pouvez utiliser avec la commande traceroute , tapez traceroute ? :
SW-1# traceroute ?
WORD Trace la route vers l'adresse de destination ou le nom d'hôte
AppleTalk Trace
Clns ISO CLNS Trace
ip Trace IP
Trace IPv6 IPv6
ipx Suivi IPX
Mac Tracer le chemin Layer2 entre 2 points de terminaison
vieilles vignes Trace de vignes (Cisco)
Vignes Trace de Vignes (Banyan)
<cr>
La commande traceroute affiche le ou les sauts qu'un paquet traverse sur son chemin vers un
dispositif.
Ne vous trompez pas ! Vous ne pouvez pas utiliser la commande tracert ; c'est un Windows
Voici un exemple d'utilisation de tracert sur une invite Windows - notez que la commande est tracert ,
pas traceroute :
1* * * La demande a expiré.
2 53 ms 61 ms 53 ms hlrn-dsl-gw15-207.hlrn.qwest.net [207.225.112.207]
3 53 ms 55 ms 54 ms hlrn-agw1.inet.qwest.net [71.217.188.113]
4 54 ms 53 ms 54 ms hlr-core-01.inet.qwest.net [205.171.253.97]
5 54 ms 53 ms 54 ms apa-cntr-01.inet.qwest.net [205.171.253.26]
6 54 ms 53 ms 53 ms 63.150.160.34
7 54 ms 54 ms 53 ms www.whitehouse.gov [69.8.201.107]
Trace terminée.
73
Bon, passons maintenant et parlons de la façon de dépanner votre réseau à l'aide du débogage
commander.
Débogage
Debug est une commande de dépannage utile qui est disponible à partir du mode d'exécution privilégié de
Cisco IOS. Il est utilisé pour afficher des informations sur les différentes opérations du routeur et le trafic associé
générés ou reçus par le routeur, ainsi que les éventuels messages d'erreur.
Même s'il s'agit d'un outil utile et informatif, il y a quelques faits importants que vous devez
le savoir. Le débogage est considéré comme une tâche très lourde car il peut consommer un énorme
quantité de ressources et le routeur est obligé de changer de processus les paquets en cours de débogage. Donc
vous n'utilisez pas uniquement le débogage comme outil de surveillance, il est destiné à être utilisé pendant une courte période et
uniquement comme outil de dépannage. C'est très utile pour découvrir des faits vraiment significatifs sur
à la fois des composants logiciels et/ou matériels fonctionnels et défectueux, mais n'oubliez pas de limiter son utilisation car
l'outil de dépannage avantageux pour lequel il est conçu.
Parce que la sortie de débogage est prioritaire sur le reste du trafic réseau, et parce que le débogage tout
commande génère plus de sortie que toute autre commande de débogage , elle peut sérieusement diminuer le
les performances du routeur, voire le rendre inutilisable ! Pour cette raison, il est presque toujours préférable d'utiliser
commandes de débogage plus spécifiques .
Comme vous pouvez le voir sur la sortie suivante, vous ne pouvez pas activer le débogage à partir du mode utilisateur, uniquement
mode privilégié :
SW-1> déboguer ?
% Commande non reconnue
SW-1> fr
SW-1# déboguer ?
aaa Authentification, autorisation et comptabilité AAA
expression_accès expression d'accès booléenne
proximité proximité
objectif Gestionnaire d'informations sur les pièces jointes
tous Activer tout le débogage
archiver commandes d'archive de débogage
arp Transactions IP ARP et HP Probe
authentification Débogage du gestionnaire d'authentification
auto Automatisation du débogage
bip BIP de débogage
bgp Informations BGP
bing Débogage Bing(d)
appel-admission Contrôle d'admission des appels
cca Activité du CCA
cdp Informations sur le PCD
cef CEF s'adresse aux exploitations familiales indépendantes
cfgdiff déboguer les commandes cfgdiff
cisp Débogage CISP
clns Informations CLNS
grappe Informations sur le cluster
cmdhd Gestionnaire de commandes
cns Agents du SNC
état État
configuration Comportement de la configuration de débogage
[coupure de sortie]
Si vous avez la liberté de retirer à peu près un routeur ou un commutateur et que vous voulez vraiment avoir
un peu de plaisir avec le débogage, utilisez la commande debug all :
Cela peut avoir un impact important sur les performances du réseau. Continuer? (oui/[non]): oui
Tous les débogages possibles ont été activés
À ce stade, mon commutateur a été surchargé et s'est écrasé et j'ai dû le redémarrer. Essayez ceci sur votre commutateur à
travailler et voir si vous obtenez les mêmes résultats. Je rigole!
Pour désactiver le débogage sur un routeur, utilisez simplement la commande no devant la commande debug :
J'utilise généralement simplement la commande undebug all car c'est si facile d'utiliser le raccourci :
Page 74
SW-1# un tout
N'oubliez pas qu'au lieu d'utiliser la commande debug all , c'est généralement une bien meilleure idée d'utiliser
commandes spécifiques et uniquement pour de courtes périodes. Voici un exemple :
Je suis sûr que vous pouvez voir que la commande de débogage est une commande puissante. Et à cause de cela, je suis
Assurez-vous également que vous réalisez qu'avant d'utiliser l'une des commandes de débogage, vous devez vous assurer
vous vérifiez la capacité d'utilisation du processeur de votre routeur. Ceci est important car dans la plupart des cas,
vous ne voulez pas affecter négativement la capacité de l'appareil à traiter les paquets sur votre
interréseau. Vous pouvez déterminer les informations d'utilisation du processeur d'un routeur spécifique en utilisant le show
commande de processus .
N'oubliez pas que lorsque vous vous connectez à un appareil distant, vous ne verrez pas la console
messages par défaut ! Par exemple, vous ne verrez pas la sortie de débogage. Pour autoriser la console
messages à envoyer à votre session Telnet, utilisez la commande terminal monitor .
Alors, quelles autres approches pouvez-vous utiliser ? Eh bien, les processus d'exposition (ou les processus d'exposition cpu ) sont un bon
outil pour déterminer l'utilisation du processeur d'un routeur donné. De plus, il vous donnera une liste des processus actifs
ainsi que leur ID de processus correspondant, priorité, test du planificateur (état), temps CPU utilisé,
nombre de fois invoqué, et ainsi de suite. Plein de bonnes choses ! De plus, cette commande est super pratique lorsque
vous souhaitez évaluer les performances de votre routeur et l'utilisation du processeur et êtes autrement tenté
pour atteindre la commande de débogage !
D'accord, que voyez-vous dans le résultat suivant ? La première ligne montre la sortie d'utilisation du processeur
pendant les 5 dernières secondes, 1 minute et 5 minutes. La sortie fournit 5%/0% devant le CPU
utilisation au cours des 5 dernières secondes : le premier nombre correspond à l'utilisation totale et le second
indique l'utilisation due aux routines d'interruption. Regarde:
SW-1# sh processus
Utilisation du processeur pendant cinq secondes : 5 %/0 % ; une minute : 7 % ; cinq minutes : 8%
PID QTy PC Runtime (ms) Invoqué uSecs Stacks TTY Processus
1 Cwe 29EBC58 0 22 0 5236/6000 0 Gestionnaire de blocs
2 Csp 1B9CF10 241 206881 1 2516/3000 0 Compteur de charge
3 Hwe 1F108D0 0 1 0 8768/9000 0 Gestionnaire de connexion
4 Lst 29FA5C4 9437909 454026 20787 5540/6000 0 Vérifier les tas
5 Cwe 2A02468 0 2 0 5476/6000 0 Gestionnaire de piscine
6 Mst 1E98F04 0 2 0 5488/6000 0 Minuteurs
7 Hwe 13EB1B4 3686 101399 36 5740/6000 0 Entrée nette
75
Donc , en gros, la sortie du spectacle traite commande révèle que notre routeur est heureusement en mesure
pour traiter les commandes de débogage sans être surchargé — sympa !
Sommaire
Dans ce chapitre, vous avez appris comment les routeurs Cisco sont configurés et comment les gérer.
configuration.
Nous avons couvert les composants internes d'un routeur, y compris la ROM, la RAM, la NVRAM et la mémoire flash.
Ensuite, vous avez découvert comment sauvegarder et restaurer la configuration d'un routeur et d'un commutateur Cisco.
Vous avez également appris à utiliser CDP et Telnet pour collecter des informations sur les périphériques distants. Finalement,
vous avez découvert comment résoudre les noms d'hôtes et utiliser les commandes ping et trace pour tester le réseau
la connectivité ainsi que l'utilisation des commandes de débogage et d' exposition des processus, bravo !
Essentiels de l'examen
Définissez les composants du routeur Cisco. Décrire les fonctions du bootstrap, POST, ROM
moniteur, mini-IOS, RAM, ROM, mémoire flash, NVRAM et le registre de configuration.
Identifiez les étapes de la séquence de démarrage du routeur. Les étapes de la séquence de démarrage sont POST,
chargement de l'IOS et copie de la configuration de démarrage de la NVRAM vers la RAM.
Enregistrez la configuration d'un routeur ou d'un commutateur. Il y a plusieurs façons de le faire, mais
la méthode la plus courante, ainsi que la plus testée, est copy running-config startup-config .
Effacez la configuration d'un routeur ou d'un commutateur. Tapez la commande d' effacement en mode privilégié
startup-config et rechargez le routeur.
Comprendre les différents niveaux de syslog. C'est plutôt simple de configurer syslog ; cependant,
il y a un tas d'options dont vous devez vous souvenir pour l'examen. Pour configurer le syslog de base avec
débogage comme niveau par défaut, c'est juste cette commande :
SF(config)# journalisation 172.16.10.1
Comprendre comment configurer NTP. C'est assez simple de configurer NTP, comme avant
syslog, mais nous n'avons pas à nous souvenir d'un tas d'options ! C'est juste dire au syslog de marquer le
l'heure et la date et l'activation de NTP :
Décrivez la valeur du CDP et du LLDP. Cisco Discovery Protocol peut être utilisé pour vous aider
documenter ainsi que dépanner votre réseau ; aussi, LLDP est un protocole non propriétaire qui peut
fournir les mêmes informations que le CDP.
Page 76
Répertoriez les informations fournies par la sortie de la commande show cdp neighbors . Les
La commande show cdp neighbors fournit
les informations suivantes : ID de périphérique, interface locale,
temps d'attente, capacité, plate-forme et ID de port (interface distante).
Identifiez les sessions Telnet en cours. La commande show sessions vous fournira
informations sur toutes les sessions actuellement actives que votre routeur a avec d'autres routeurs.
Créez une table d'hôtes statique sur un routeur. En utilisant la commande de configuration globale ip host
host_name ip_address ,
vous pouvez créer une table d'hôtes statique sur votre routeur. Vous pouvez appliquer plusieurs IP
adresses par rapport à la même entrée d'hôte.
Vérifiez la table d'hôtes sur un routeur. Vous pouvez vérifier la table d'hôtes avec les hôtes du spectacle
commander.
Décrivez la fonction de la commande ping . Packet Internet Groper ( ping ) utilise l'écho ICMP
les requêtes et les réponses d'écho ICMP pour vérifier une adresse IP active sur un réseau.
Ping un ID d'hôte valide à partir de l'invite correcte. Vous pouvez cingler une adresse IP à partir d'un routeur
mode utilisateur ou mode privilégié mais pas depuis le mode configuration, sauf si vous utilisez la commande do .
Vous devez envoyer un ping à une adresse valide, telle que 1.1.1.1.
Laboratoires écrits 7
Dans cette section, vous effectuerez les travaux pratiques suivants pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
Vous pouvez trouver les réponses à ces laboratoires dans l'annexe A, « Réponses aux laboratoires écrits ».
2. Quelle commande pouvez-vous utiliser pour voir l'adresse IP du routeur voisin à partir de votre routeur
rapide?
3. Quelle commande pouvez-vous utiliser pour voir le nom d'hôte, l'interface locale, la plate-forme et le port distant
d'un routeur voisin ?
4. Quelles frappes pouvez-vous utiliser pour telnet dans plusieurs appareils simultanément ?
5. Quelle commande vous montrera vos connexions Telnet actives au voisin et à distance
dispositifs?
6. Quelle commande pouvez-vous utiliser pour fusionner une configuration de sauvegarde avec la configuration en RAM ?
7. Quel protocole peut être utilisé sur un réseau pour synchroniser les informations d'horloge et de date ?
8. Quelle commande est utilisée par un routeur pour transmettre une demande de client DHCP à un DHCP distant
serveur?
9. Quelle commande permet à votre commutateur ou routeur de recevoir des informations d'horloge et de date et
synchroniser avec le serveur NTP ?
10. Quelle commande de vérification NTP affichera le maître de référence pour le client ?
77
1. Cisco IOS
2. Bootstrap
3. Configuration de démarrage
4. Routine POST
5. Configuration en cours
6. Cache ARP
7. Mini-IOS
8. Moniteur ROM
9. Tables de routage
2. Envoyez un ping au serveur TFTP pour vous assurer que vous disposez d'une connectivité IP.
4. Lorsque vous y êtes invité, saisissez l'adresse IP du serveur TFTP (par exemple, 172.16.30.2) et
appuyez sur Entrée.
5. Par défaut, le routeur vous demandera un nom de fichier. Le nom d'hôte du routeur est suivi
par le suffixe -confg (oui, je l'ai correctement orthographié). Vous pouvez utiliser n'importe quel nom que vous voulez.
Page 78
2. Depuis le routeur, tapez sh cdp et appuyez sur Entrée. Vous devriez voir que les paquets CDP sont envoyés
à toutes les interfaces actives toutes les 60 secondes et le temps d'attente est de 180 secondes (ce sont les
valeurs par défaut).
3. Pour changer la fréquence de mise à jour CDP à 90 secondes, tapez cdp timer 90 dans la configuration globale
mode.
Routeur# config t
Saisissez les commandes de configuration, une par ligne. Terminer par
CNTL/Z.
Routeur(config)# minuteur cdp ?
<5-900> Débit auquel les paquets CDP sont envoyés (en secondes)
Routeur (config) # minuteur cdp 90
4. Vérifiez que la fréquence de votre minuteur CDP a changé en utilisant la commande show cdp dans
mode privilégié.
Routeur# sh cdp
Informations globales sur le CDP :
Envoi de paquets CDP toutes les 90 secondes
Envoi d'une valeur de temps d'attente de 180 secondes
5. Utilisez maintenant CDP pour collecter des informations sur les routeurs voisins. Vous pouvez obtenir la liste des disponibles
commandes en tapant sh cdp ? .
Routeur# sh cdp ?
entrée Informations pour une entrée voisine spécifique
état et configuration de l'interface CDP
voisins entrées de voisins CDP
statistiques de trafic CDP
<cr>
6. Tapez sh cdp int pour voir les informations d'interface ainsi que l'encapsulation par défaut utilisée par le
interface. Il affiche également les informations de la minuterie CDP.
7. Tapez sh cdp entry * pour afficher les informations CDP complètes reçues de tous les appareils.
8. Tapez show cdp neighbors pour collecter des informations sur tous les voisins connectés. (Vous devriez
connaître les informations spécifiques sorties par cette commande.)
9. Tapez afficher les détails des voisins cdp . Notez qu'il produit la même sortie que show cdp entry * .
Atelier pratique 7.3 : Utilisation de Telnet
Secure Shell a été traité au chapitre 6, et c'est ce que vous devez utiliser pour accéder à distance à un
Appareil Cisco. Cependant, les objectifs de Cisco couvrent la configuration Telnet, alors faisons un laboratoire sur
Telnet !
2. Depuis RouterA, telnet dans votre routeur distant (RouterB) en tapant telnet ip_address à partir du
invite de commande. Tapez exit pour vous déconnecter.
3. Tapez maintenant l'adresse IP du routeur B à partir de l'invite de commande du routeur A. Notez que le routeur
essaie automatiquement de se connecter par telnet à l'adresse IP que vous avez spécifiée. Vous pouvez utiliser la commande telnet
ou tapez simplement l'adresse IP.
4. Depuis RouterB, appuyez sur Ctrl+Maj+6, puis sur X pour revenir à l'invite de commande de RouterA. Maintenant
telnet dans votre troisième routeur, RouterC. Appuyez sur Ctrl+Maj+6, puis sur X pour revenir à RouterA.
5. Depuis RouterA, saisissez show sessions . Remarquez vos deux séances. Vous pouvez appuyer sur le numéro
affiché à gauche de la session et appuyez deux fois sur Entrée pour revenir à cette session. L'astérisque
affiche la session par défaut. Vous pouvez appuyer deux fois sur Entrée pour revenir à cette session.
79
6. Accédez à la session de votre RouterB. Tapez afficher les utilisateurs . Cela montre la connexion de la console et
la connexion à distance. Vous pouvez utiliser la commande de déconnexion pour effacer la session ou simplement taper
quittez l'invite pour fermer votre session avec RouterB.
7. Accédez au port de console de RouterC en tapant show sessions sur le premier routeur et en utilisant le
numéro de connexion à retourner à RouterC. Tapez show user et notez la connexion à votre
premier routeur, RouterA.
2. Depuis RouterA, tapez todd et appuyez sur Entrée à l'invite de commande. Remarquez l'erreur que vous
recevoir et le délai. Le routeur essaie de résoudre le nom d'hôte en une adresse IP en
à la recherche d'un serveur DNS. Vous pouvez désactiver cette fonctionnalité en utilisant la recherche de domaine sans ip
commande depuis le mode de configuration globale.
3. Pour créer une table d'hôtes, vous utilisez la commande ip host . Depuis RouterA, ajoutez une entrée de table d'hôtes pour
RouterB et RouterC en entrant les commandes suivantes :
Voici un exemple:
4. Testez votre table d'hôtes en tapant ping routerb à partir de l'invite du mode privilégié (pas le config
rapide).
6. Telnet au routeur B et gardez votre session sur le routeur B ouverte au routeur A en appuyant sur
Ctrl+Maj+6, puis X.
8. Revenez à RouterA et gardez la session sur RouterC ouverte en appuyant sur Ctrl+Maj+6, puis sur X.
9. Affichez la table des hôtes en saisissant show hosts et en appuyant sur Entrée.
Questions de révision
Page 80
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
1. Lequel des protocoles suivants est un protocole basé sur des normes qui fournit un réseau dynamique ?
Découverte?
A. DHCP
B. LLDP
C. DDNS
D. SSTP
E. CDP
2. Quelle commande peut être utilisée pour déterminer l'utilisation du processeur d'un routeur ?
A. afficher la version
D. montrer la mémoire
A. Routeur>ping
B. Routeur>trace
D. Routeur>afficher l'interface
4. Vous copiez une configuration d'un hôte réseau vers la RAM d'un routeur. La configuration semble
correct, mais cela ne fonctionne pas du tout. Quel pourrait être le problème?
D. L'IOS est devenu corrompu après que la commande de copie ait été lancée.
Routeur# config t
Routeur(config)# interface fa0/0
Routeur(config-if)# ip helper-address 10.10.10.254
6. Le siège social vous envoie un nouveau routeur pour vous connecter, mais lors de la connexion de la console
câble, vous voyez qu'il y a déjà une configuration sur le routeur. Que faut-il faire avant
Page 81
7. Quelle commande pouvez-vous utiliser pour déterminer l'adresse IP d'un voisin directement connecté ?
A. montrer cdp
A. Fas 0/1
B. Fas 0/16
C. Fas 0/2
D. Fas 0/5
9. Laquelle des commandes suivantes active syslog sur un périphérique Cisco avec le débogage comme niveau ?
A. syslog 172.16.10.1
B. journalisation 172.16.10.1
10. Vous enregistrez la configuration sur un routeur avec le démarrage-config copy running-config commande
et redémarrez le routeur. Le routeur, cependant, propose une configuration vierge. Ce qui peut
le problème est-il ?
D. L'IOS nouvellement mis à niveau n'est pas compatible avec le matériel du routeur.
E. La configuration que vous avez enregistrée n'est pas compatible avec le matériel.
11. Si vous souhaitez ouvrir plusieurs sessions Telnet en même temps, quelle frappe
combinaison utiliseriez-vous?
B. Ctrl+X, puis 6
C. Ctrl+Maj+X, puis 6
D. Ctrl+Maj+6, puis X
12. Vous ne parvenez pas à vous connecter à un périphérique distant à partir de votre commutateur, mais vous pourriez
au routeur plus tôt. Cependant, vous pouvez toujours envoyer un ping à l'appareil distant. Quel pourrait être le problème
être? (Choisissez deux.)
Page 82
13. Quelles informations sont affichées par la commande show hosts ? (Choisissez deux.)
14. Quelles trois commandes peuvent être utilisées pour vérifier les problèmes de connectivité LAN sur une entreprise
changer? (Choisissez trois.)
B. afficher l'itinéraire IP
C. tracer
D. ping
E. recherches DNS
A. local4
B. local5
C. local6
D. local7
16. Vous telnet dans un périphérique distant et tapez debug ip icmp , mais aucune sortie de la commande debug
est vu. Quel pourrait être le problème?
17. Quelles sont les trois affirmations concernant l'utilisation de syslog qui sont vraies ? (Choisissez trois.)
C. Un serveur syslog fournit l'espace de stockage nécessaire pour stocker les fichiers journaux sans utiliser de routeur
espace disque.
D. Il y a plus de messages Syslog disponibles dans Cisco IOS qu'il n'y en a de comparables
Messages d'interruption SNMP.
E. L'activation de syslog sur un routeur active automatiquement NTP pour un horodatage précis.
18. Vous devez collecter l'adresse IP d'un commutateur distant situé à Hawaï. Qu'est-ce que tu peux
faire pour trouver l'adresse?
A. Envolez-vous vers Hawaï, consolez-vous dans le commutateur, puis détendez-vous et prenez un verre avec un parapluie dedans.
Page 83
E. Émettez la commande show cdp neighbors detail sur le routeur connecté au commutateur.
19. Vous devez configurer tous vos routeurs et commutateurs pour qu'ils synchronisent leurs horloges à partir de
source unique. Quelle commande taperez-vous pour chaque appareil ?
20. Un administrateur réseau entre la commande suivante sur un routeur : logging trap 3 . Quels sont
trois types de messages qui seront envoyés au serveur syslog ? (Choisissez trois.)
A. Informationnel
B. Urgence
C. Avertissement
D. Critique
E. Débogage
F. Erreur
84
Chapitre 8
Gestion des appareils Cisco
5.2.c Licence
5.5.a Mises à niveau et récupération de Cisco IOS (vérification SCP, FTP, TFTP et MD5)
Enfin, je couvrirai comment vérifier les licences sur les routeurs ISRG2 ainsi que comment installer un
licence permanente et configurer les fonctionnalités d'évaluation dans les dernières images universelles.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Page 85
Registre de configuration 2 1 0 2
Numéro de bit 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0
Binaire 0010000100000010
Ajoutez le préfixe 0x à l'adresse du registre de configuration. Le 0x signifie que le
Le Tableau 8.2 répertorie les significations des bits de configuration logicielle. Notez que le bit 6 peut être utilisé pour ignorer le
Contenu NVRAM. Ce bit est utilisé pour la récupération de mot de passe - quelque chose que je vais bientôt aborder avec vous
dans la section « Récupération des mots de passe », plus loin dans ce chapitre.
Rappelez-vous qu'en hexadécimal, le schéma est 0-9 et A-F (A = 10, B = 11, C = 12, D =
13, E = 14 et F = 15). Cela signifie qu'un paramètre 210F pour le registre de configuration est
en fait 210(15), ou 1111 en binaire.
Le champ de démarrage, composé des bits 0 à 3 du registre de configuration (les 4 derniers bits), contrôle
la séquence de démarrage du routeur et localise Cisco IOS. Le tableau 8.3 décrit les bits du champ de démarrage.
00 ROM Pour démarrer en mode moniteur ROM, définissez le registre de configuration sur 2100. Vous
surveiller doit démarrer manuellement le routeur avec la commande b . Le routeur affichera le
mode rommon> invite.
01 Image de démarrage Pour démarrer l'image mini-IOS stockée dans la ROM, définissez le registre de configuration sur
86
à partir de la ROM 2101. Le routeur affichera l' invite Router(boot)> . Le mini-IOS n'est pas
disponible dans tous les routeurs et est également appelé RXBOOT.
02–F Spécifie un Toute valeur comprise entre 2102 et 210F indique au routeur d'utiliser le démarrage
défaut commandes spécifiées dans la NVRAM.
botte
nom de fichier
La dernière information donnée par cette commande est la valeur du registre de configuration. Dans ce
exemple, la valeur est 0x2102—le paramètre par défaut. Le réglage du registre de configuration de 0x2102
indique au routeur de rechercher dans la NVRAM la séquence de démarrage.
Notez que la commande show version fournit également la version IOS, et dans le précédent
exemple, il affiche la version IOS comme 15.1(4)M6.
informations, le numéro de série du système, la version du logiciel et les noms des images de démarrage
sur un routeur.
Il est important que vous soyez prudent lorsque vous définissez le registre de configuration !
Si vous enregistrez votre configuration et rechargez le routeur et qu'il apparaît dans la configuration
Il existe des commandes de démarrage avec lesquelles vous pouvez jouer qui vous aideront à gérer la façon dont votre routeur
démarre le Cisco IOS, mais n'oubliez pas que nous parlons ici de l'IOS du routeur, pas du
configuration du routeur !
Routeur> fr
Routeur# config t
Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z.
Routeur(config)# boot ?
bootstrap Fichier image de bootstrap
config Fichier de configuration
fichier de configuration spécifique au routeur hôte
87
La commande de démarrage vous offre vraiment une multitude d'options, mais d'abord, je vais vous montrer les paramètres typiques
que Cisco recommande. Alors commençons, la commande boot system vous permettra de dire au
routeur quel fichier IOS système pour démarrer à partir de la mémoire flash. N'oubliez pas que le routeur, par défaut,
démarre le premier fichier IOS système trouvé dans la mémoire flash. Vous pouvez changer cela avec les commandes suivantes,
comme indiqué dans la sortie :
Remarquez que je pourrais démarrer à partir de FLASH, FTP, ROM, TFTP ou d'autres options inutiles. La commande je
utilisé configure le routeur pour démarrer l'IOS qui y est répertorié. Il s'agit d'une commande utile lorsque vous
charger un nouvel IOS dans le flash et vouloir le tester, ou même quand vous voulez changer totalement quel IOS est
chargement par défaut.
La commande suivante est considérée comme une routine de secours, mais comme je l'ai dit, vous pouvez en faire une commande permanente
moyen de faire démarrer vos routeurs à partir d'un hôte TFTP. Personnellement, je ne recommanderais pas nécessairement
faire cela (point de défaillance unique) ; Je te montre juste que c'est possible :
Comme dernière option de secours recommandée - celle à laquelle aller si l'IOS en flash ne se charge pas et
l'hôte TFTP ne produit pas l'IOS — chargez le mini-IOS à partir de la ROM comme ceci :
Si la configuration précédente est définie, le routeur essaiera de démarrer à partir du serveur TFTP si flash
échoue, et si le démarrage TFTP échoue, le mini-IOS se chargera après six tentatives infructueuses d'essayer de
localisez le serveur TFTP.
Dans la section suivante, je vais vous montrer comment charger le routeur en mode moniteur ROM afin que vous puissiez
effectuer la récupération du mot de passe.
La valeur par défaut du registre de configuration est 0x2102, ce qui signifie que le bit 6 est désactivé. Avec la valeur par défaut
paramètre, le routeur recherchera et chargera une configuration de routeur stockée dans la NVRAM (démarrage-
configuration). Pour récupérer un mot de passe, vous devez activer le bit 6. Cela indiquera au routeur d'ignorer
le contenu de la NVRAM. La valeur du registre de configuration pour activer le bit 6 est 0x2142.
Voici les principales étapes de la récupération du mot de passe :
1. Démarrez le routeur et interrompez la séquence de démarrage en effectuant une pause, ce qui prendra le
88
3. Rechargez le routeur.
4. Dites « non » pour entrer en mode de configuration, puis entrez en mode privilégié.
5. Copiez le fichier startup-config dans running-config, et n'oubliez pas de vérifier que vos interfaces
sont réactivés.
Je vais couvrir ces étapes plus en détail dans les sections suivantes. Je vais aussi vous montrer le
commandes pour restaurer l'accès aux routeurs de la série ISR.
Vous pouvez entrer en mode moniteur ROM en appuyant sur Ctrl+Break ou Ctrl+Maj+6, puis b, pendant le routeur
démarrage. Mais si l'IOS est corrompu ou manquant, s'il n'y a pas de connectivité réseau disponible pour trouver un
Hôte TFTP, ou si le mini-IOS de la ROM ne se charge pas (ce qui signifie que le routeur de secours par défaut
échoué), le routeur entrera en mode moniteur ROM par défaut.
Votre première étape consiste à démarrer le routeur et à effectuer une pause. Cela se fait généralement en appuyant sur la
Combinaison de touches Ctrl+Break lors de l'utilisation d'HyperTerminal (personnellement, j'utilise SecureCRT ou
PuTTY) pendant le premier redémarrage du routeur.
Remarquez le moniteur de ligne : la commande « boot » a été abandonnée en raison d'une interruption de l'utilisateur . À ce stade, vous serez à
l' invite rommon 1> , appelée mode moniteur ROM.
Comme je l'ai expliqué précédemment, vous pouvez modifier le registre de configuration à partir de l'IOS en utilisant le
commande config-register . Pour activer le bit 6, utilisez la valeur du registre de configuration 0x2142.
Pour modifier la valeur du bit sur un routeur de la série Cisco ISR, il vous suffit d'entrer la commande suivante à la
rommon 1> invite :
rommon 1 > confreg 0x2142
Vous devez réinitialiser ou éteindre et rallumer pour que la nouvelle configuration prenne effet
rommon 2 > réinitialiser
89
Le routeur se rechargera et vous demandera si vous souhaitez utiliser le mode de configuration (car aucune configuration de démarrage n'est utilisée).
Répondez non à l'entrée en mode de configuration, appuyez sur Entrée pour passer en mode utilisateur, puis tapez enable pour y aller
en mode privilégié.
Vous avez maintenant dépassé le point où vous auriez besoin d'entrer en mode utilisateur et en mode privilégié
mots de passe dans un routeur. Copiez le fichier startup-config dans le fichier running-config :
Ou utilisez le raccourci :
copier démarrer exécuter
La configuration s'exécute maintenant en mémoire vive (RAM) et vous êtes en mode privilégié
mode, ce qui signifie que vous pouvez maintenant afficher et modifier la configuration. Mais vous ne pouvez pas voir le
activez le paramètre secret pour le mot de passe puisqu'il est crypté. Pour changer le mot de passe, procédez comme suit :
configuration t
activer le secret todd
Une fois que vous avez terminé de changer les mots de passe, remettez le registre de configuration à la valeur par défaut
avec la commande config-register :
configuration t
config-registre 0x2102
Il est important de se rappeler d'activer vos interfaces après avoir copié la configuration depuis
NVRAM vers RAM.
Enfin, enregistrez la nouvelle configuration avec une copie running-config startup-config et utilisez reload pour
recharger le routeur.
Si vous enregistrez votre configuration et rechargez le routeur et qu'il apparaît dans la configuration
Pour résumer, nous avons maintenant configuré la routine de sauvegarde IOS suggérée par Cisco sur notre routeur :
flash, hôte TFTP, ROM.
Et vous pouvez utiliser n'importe quel hôte TFTP pour accomplir cela. Par défaut, la mémoire flash d'un routeur est
utilisé pour stocker le Cisco IOS. Dans les sections suivantes, je décrirai comment vérifier le montant de
mémoire flash, comment copier le Cisco IOS de la mémoire flash vers un hôte TFTP et comment copier
l'IOS d'un hôte TFTP vers la mémoire flash.
Mais avant de sauvegarder une image IOS sur un serveur réseau sur votre intranet, vous devez faire ces
trois choses:
Assurez-vous que le serveur réseau dispose de suffisamment d'espace pour l'image de code.
Vous pouvez connecter le port Ethernet de votre ordinateur portable ou de votre poste de travail directement à l'Ethernet d'un routeur
interface, comme le montre la Figure 8.1 .
90
FIGURE 8.1 Copie d'un IOS d'un routeur vers un hôte TFTP
Vous devez vérifier les points suivants avant d'essayer de copier l'image vers ou depuis le routeur :
Le logiciel du serveur TFTP doit être exécuté sur l'ordinateur portable ou le poste de travail.
La connexion Ethernet entre le routeur et le poste de travail doit être effectuée avec un
câble croisé.
Le poste de travail doit se trouver sur le même sous-réseau que l'interface Ethernet du routeur.
L' adresse IP du poste de travail doit être fournie à la commande copy flash tftp si vous êtes
copie à partir du flash du routeur.
Et si vous copiez « dans » le flash, vous devez vérifier qu'il y a assez de place dans le flash
mémoire pour accueillir le fichier à copier.
Vérification de la mémoire flash
Avant d'essayer de mettre à niveau Cisco IOS sur votre routeur avec un nouveau fichier IOS, c'est une bonne idée
pour vérifier que votre mémoire flash dispose de suffisamment d'espace pour contenir la nouvelle image. Vous vérifiez le montant
de mémoire flash et le ou les fichiers stockés dans la mémoire flash en utilisant le show flash
commande ( sh flash pour faire court):
Routeur# sh flash
-#- --length-- -----date/heure------ chemin
1 45392400 14 avril 2013 05:31:44 +00:00 c2800nm-advsecurityk9-mz.151-4.M6.bin
image IOS actuelle et vous indique s'il y a assez de place disponible pour contenir les deux
et de nouvelles images. Vous devez savoir que s'il n'y a pas assez de place pour l'ancien et le nouveau
l'image que vous souhaitez charger, l'ancienne image sera effacée !
La quantité de RAM et de flash est en fait facile à calculer à l'aide de la commande show version sur les routeurs :
Page 91
La deuxième ligne en surbrillance nous montre que ce routeur dispose d'environ 256 Mo de RAM, et vous pouvez voir
que la quantité de flash apparaît sur la dernière ligne. En estimant, nous obtenons la quantité de flash à
64 Mo.
Notez dans la première ligne en surbrillance que le nom de fichier dans cet exemple est c2800nm-advsecurity k9-
mz.151-4.M6.bin .
La principale différence dans la sortie des commandes show flash et show version est
que la commande show flash affiche tous les fichiers dans la mémoire flash et la commande show version
affiche le nom réel du fichier utilisé pour exécuter le routeur et l'emplacement à partir duquel il a été
chargé, qui est la mémoire flash.
La clé du succès dans cette routine de sauvegarde est de s'assurer que vous disposez d'une bonne et solide connectivité à
le serveur TFTP. Vérifiez cela en pingant le périphérique TFTP à partir de l'invite de la console du routeur comme
cette:
Après avoir envoyé un ping au serveur TFTP pour vous assurer que l'IP fonctionne, vous pouvez utiliser la copie flash tftp
commande pour copier l'IOS sur le serveur TFTP comme indiqué ensuite :
Copiez simplement le nom de fichier IOS à partir de la commande show flash ou show version , puis collez-le
lorsqu'on vous demande le nom du fichier source.
Dans l'exemple précédent, le contenu de la mémoire flash a été copié avec succès dans le TFTP
serveur. L'adresse de l'hôte distant est l'adresse IP de l'hôte TFTP et la source
nom de fichier est le fichier dans la mémoire flash.
De nombreux routeurs Cisco récents ont une mémoire amovible. Vous pouvez voir des noms pour cela
mémoire telle que flash0: , auquel cas la commande de l'exemple précédent serait copy
flash0 : tftp : . Alternativement, vous pouvez le voir comme usbflash0 : .
92
a été endommagé ou si vous souhaitez mettre à niveau l'IOS ? Vous pouvez télécharger le fichier à partir d'un TFTP
serveur vers la mémoire flash à l'aide de la commande copy tftp flash . Cette commande nécessite l'IP
l'adresse de l'hôte TFTP et le nom du fichier que vous souhaitez télécharger.
Cependant, étant donné que les IOS peuvent être très volumineux aujourd'hui, nous pouvons vouloir utiliser autre chose que tftp,
ce qui n'est pas fiable et ne peut transférer que des fichiers plus petits. Regarde ça:
Corp# copie ?
/effacer Effacer le système de fichiers de destination.
/Erreur Autoriser à copier le fichier d'erreur.
/noverify Ne vérifie pas la signature de l'image avant le rechargement.
/Vérifier Vérifiez la signature de l'image avant de recharger.
archiver: Copier depuis l'archive : système de fichiers
cns : Copier depuis cns : système de fichiers
éclat: Copier depuis flash : système de fichiers
ftp : Copier depuis ftp : système de fichiers
http: Copier depuis http: système de fichiers
https : Copier depuis https : système de fichiers
nul: Copier depuis null : système de fichiers
nvram : Copier depuis nvram : système de fichiers
rcp : Copier depuis rcp : système de fichiers
running-config Copie à partir de la configuration système actuelle
scp : Copier depuis scp : système de fichiers
startup-config Copie à partir de la configuration de démarrage
système: Copier depuis le système : système de fichiers
le goudron: Copier depuis tar : système de fichiers
tftp : Copier depuis tftp : système de fichiers
tmpsys : Copier depuis tmsys : système de fichiers
xmodem : Copier depuis xmodem : système de fichiers
ymodem : Copier depuis ymodem : système de fichiers
Vous pouvez voir à partir de la sortie ci-dessus que nous avons de nombreuses options, et pour les fichiers plus volumineux, nous utiliserons
ftp :
ou scp : pour copier notre IOS dans ou depuis des routeurs et des commutateurs, et vous pouvez même effectuer un MD5
vérification avec le / verify à la fin d'une commande.
Utilisons simplement tftp pour nos exemples dans le chapitre car c'est plus simple. Mais avant de commencer, faites
assurez-vous que le fichier que vous souhaitez placer dans la mémoire flash est dans le répertoire TFTP par défaut sur votre hôte.
Lorsque vous exécutez la commande, TFTP ne vous demandera pas où se trouve le fichier, donc si le fichier que vous souhaitez utiliser
n'est pas dans le répertoire par défaut de l'hôte TFTP, cela ne fonctionnera tout simplement pas.
Dans l'exemple précédent, j'ai copié le même fichier dans la mémoire flash, il m'a donc demandé si je voulais
réécrit dessus. N'oubliez pas que nous «jouons» avec des fichiers en mémoire flash. Si j'avais juste corrompu
mon fichier en l'écrasant, je ne le saurai pas avant de redémarrer le routeur. Soyez prudent avec cela
commander! Si le fichier est corrompu, vous devrez effectuer une restauration IOS à partir du mode moniteur ROM.
Si vous chargez un nouveau fichier et que vous n'avez pas assez de place dans la mémoire flash pour stocker à la fois le
copies nouvelles et existantes, le routeur demandera d'effacer le contenu de la mémoire flash avant d'écrire
le nouveau fichier dans la mémoire flash, et si vous pouvez copier l'IOS sans effacer l'ancien
version, puis assurez-vous de ne pas oublier d'utiliser la commande boot system flash:ios-file .
Un routeur Cisco peut devenir un hôte de serveur TFTP pour une image système de routeur qui est
exécuter dans la mémoire flash. La commande de configuration globale est tftp-server flash: ios-file .
Page 93
Vous êtes arrivé tôt pour mettre à niveau l'IOS de votre routeur. Après la mise à niveau, vous rechargez
le routeur et le routeur affiche maintenant l' invite rommon> .
On dirait que tu vas passer une mauvaise journée ! C'est ce que j'appelle un RGE : un CV-
événement générateur ! Alors, maintenant, que faites-vous ? Gardez votre calme et continuez ! Suivez ces étapes
pour sauvegarder votre travail :
rommon 1 > tftpdnld
De là, vous pouvez voir les variables que vous devez configurer à l'aide de la commande set ; etre sur
vous utilisez ALL_CAPS avec ces commandes ainsi que le trait de soulignement (_). De là, vous devez
définissez l'adresse IP, le masque et la passerelle par défaut de votre routeur, puis l'adresse IP du
Hôte TFTP, qui dans cet exemple est un routeur directement connecté dont j'ai fait un serveur TFTP
avec cette commande :
Il existe une autre façon de restaurer l'IOS sur un routeur, mais cela prend un certain temps. Vous pouvez utiliser quoi
est appelé le protocole Xmodem pour télécharger un fichier IOS dans la mémoire flash via la console
Port. Vous utiliseriez le Xmodem via la procédure de port de console si vous n'aviez pas de connectivité réseau
au routeur ou au commutateur.
C'est très cool qu'IFS rende l'interface utilisateur du système de fichiers universelle - ce n'est pas spécifique à la plate-forme
plus. Vous pouvez maintenant utiliser la même syntaxe pour toutes vos commandes sur tous vos routeurs, non
94
importe la plateforme !
C'est trop beau pour être vrai? Eh bien, c'est en quelque sorte parce que vous découvrirez que le soutien pour tous
commandes sur chaque système de fichiers et plate-forme n'est tout simplement pas là. Mais ce n'est vraiment pas grave puisque
les différents systèmes de fichiers diffèrent dans les actions qu'ils effectuent ; les commandes qui ne sont pas pertinentes pour un
système de fichiers particulier sont ceux-là mêmes qui ne sont pas pris en charge sur ce système de fichiers. Soyez assuré que
n'importe quel système de fichiers ou plate-forme prendra entièrement en charge toutes les commandes dont vous avez besoin pour le gérer.
Une autre fonctionnalité intéressante de l'IFS est qu'elle réduit toutes ces invites obligatoires pour la plupart des
commandes. Si vous souhaitez saisir une commande, il vous suffit de saisir toutes les informations nécessaires
directement dans la ligne de commande - plus besoin de sauter à travers des cerceaux d'invites ! Alors, si vous voulez
copier un fichier sur un serveur FTP, il vous suffirait d'indiquer d'abord où se trouve le fichier source souhaité sur votre
routeur, localisez où le fichier de destination doit être sur le serveur FTP, déterminez le nom d'utilisateur
et le mot de passe que vous allez utiliser lorsque vous souhaitez vous connecter à ce serveur, et tapez le tout sur
une ligne — élégant ! Et pour ceux d'entre vous qui résistent au changement, vous pouvez toujours avoir l'invite du routeur
vous pour toutes les informations dont il a besoin et profitez d'une version plus élégamment minimisée du
commande qu'avant.
Mais même en dépit de tout cela, votre routeur peut toujours vous inviter, même si vous avez tout fait correctement
dans votre ligne de commande. Cela dépend de la façon dont vous avez configuré la commande d' invite de fichier et
quelle commande vous essayez d'utiliser. Mais ne vous inquiétez pas, si cela se produit, la valeur par défaut sera
entré juste là dans la commande, et tout ce que vous avez à faire est d'appuyer sur Entrée pour vérifier le bon
valeurs.
IFS vous permet également d'explorer divers répertoires et fichiers d'inventaire dans n'importe quel répertoire de votre choix. Plus,
vous pouvez créer des sous-répertoires dans la mémoire flash ou sur une carte, mais vous ne pouvez le faire que si vous êtes
travaillant sur l'une des plates-formes les plus récentes.
Et obtenez ceci : la nouvelle interface du système de fichiers utilise des URL pour déterminer où se trouve un fichier. Donc
tout comme elles localisent des endroits sur le Web, les URL indiquent maintenant où se trouvent les fichiers sur votre routeur Cisco,
ou même sur un serveur de fichiers distant ! Il vous suffit de taper des URL directement dans vos commandes pour identifier où
le fichier ou le répertoire est. C'est vraiment aussi simple que cela : pour copier un fichier d'un endroit à un autre, vous n'avez qu'à
entrez la commande copy source-url destination-url —super ! Les URL IFS sont un peu différentes de ce que
vous y êtes habitué, et il existe un éventail de formats à utiliser qui varient selon l'endroit,
exactement, le fichier est que vous recherchez.
Nous allons utiliser les commandes Cisco IFS à peu près de la même manière que nous avons utilisé la copie
commande dans la section IOS plus tôt :
D'accord, avec tout cela en bas, jetons un coup d'œil aux commandes IFS courantes à notre disposition pour
gestion de l'IOS. Je vais bientôt entrer dans les fichiers de configuration, mais pour l'instant je vais vous aider à démarrer
en passant en revue les bases utilisées pour gérer le nouveau Cisco IOS.
dir Identiqueà Windows, cette commande permet de visualiser les fichiers dans un répertoire. Tapez dir , appuyez sur Entrée,
et par défaut, vous obtenez le contenu de la sortie du répertoire flash:/ .
copy Ils'agit d'une commande populaire, souvent utilisée pour mettre à niveau, restaurer ou sauvegarder un IOS. Mais comme je
dit, lorsque vous l'utilisez, il est vraiment important de se concentrer sur les détails : ce que vous copiez, où il se trouve
d'où il va atterrir.
more Identique à Unix, cela prendra un fichier texte et vous permettra de le regarder sur une carte. Vous pouvez l'utiliser pour
consultez votre fichier de configuration ou votre fichier de configuration de sauvegarde. J'y reviendrai plus quand nous
entrer dans la configuration réelle.
delete Trois suppositions—oui, ça supprime des trucs. Mais avec certains types de routeurs, pas aussi bien que vous le feriez
95
pense. C'est parce que même s'il frappe le fichier, il ne libère pas toujours l'espace qu'il était
à l'aide de. Pour récupérer réellement l'espace, vous devez également utiliser ce qu'on appelle la commande squeeze .
effacer/formater Utilisez-les
avec précaution—assurez-vous que lorsque vous copiez des fichiers, vous dites non au
dialogue qui vous demande si vous voulez effacer le système de fichiers ! Le type de mémoire que vous utilisez
détermine si vous pouvez annuler le lecteur flash ou non.
cd/pwd Identique
à Unix et DOS, cd est la commande que vous utilisez pour changer de répertoire. Utiliser le mot de passe
commande pour imprimer (afficher) le répertoire de travail.
mkdir/rmdir Utilisez
ces commandes sur certains routeurs et commutateurs pour créer et supprimer des répertoires
—la commande mkdir pour la création et la commande rmdir pour la suppression. Utiliser le cd et le pwd
commandes pour accéder à ces répertoires.
nvram:startup-config lors
de la copie des configurations sur un routeur, bien que ce ne soit pas
obligatoire que vous utilisiez cette convention de nommage.
Jetons un coup d'œil à certaines de ces commandes Cisco IFS sur mon routeur ISR (série 1841) avec un
nom d'hôte de R1.
Nous allons commencer par la commande pwd pour vérifier notre répertoire par défaut, puis utiliser la commande dir pour
vérifier son contenu ( flash:/ ):
Ce que nous pouvons voir ici, c'est que nous avons l'IOS IP de base ( c1841-ipbase-mz.124-1c.bin ). On dirait que nous
besoin de mettre à niveau notre 1841. Vous devez juste aimer la façon dont Cisco met le type IOS dans le nom de fichier
maintenant! Tout d'abord, vérifions la taille du fichier qui est en flash avec la commande show file ( show flash
fonctionnerait aussi):
96
R1# sh flash
-#- --length-- -----date/heure------ chemin
1 1821 20 décembre 2006 20:11:24 +00:00 sdmconfig-18xx.cfg
2 4734464 20 déc. 2006 20:12:00 +00:00 sdm.tar
3 833024 20 déc. 2006 20:12:24 +00:00 es.tar
4 1052160 20 déc. 2006 20:12:50 +00:00 common.tar
5 1038 20 déc. 2006 20:13:10 +00:00 home.shtml
6 102400 20 déc. 2006 20:13:30 +00:00 home.tar
7 491213 20 déc. 2006 20:13:56 +00:00 128MB.sdf
8 1684577 20 déc. 2006 20:14:34 +00:00 secureesktop-ios-3.1.1.27-k9.pkg
9 398305 20 déc. 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg
22757376 octets disponibles (9314304 octets utilisés)
Flash d'informations sur le fichier R1# sh : c1841-ipbase-mz.124-1c.bin
% Erreur lors de l'ouverture du flash : c1841-ipbase-mz.124-1c.bin (Fichier introuvable)
R1#
Donc avec les commandes précédentes, nous avons supprimé le fichier existant puis vérifié la suppression par
en utilisant à la fois les commandes show flash et show file . Nous allons ajouter le nouveau fichier avec la commande copy ,
mais encore une fois, nous devons nous assurer d'être prudents car cette façon n'est pas plus sûre que la première
méthode que je vous ai montré plus tôt:
Nous pouvons également vérifier les informations du fichier avec la commande show file :
N'oubliez pas que l'IOS est étendu en RAM lorsque le routeur démarre, de sorte que le nouvel IOS ne fonctionnera pas
jusqu'à ce que vous rechargez le routeur.
Je recommande vraiment d'expérimenter les commandes Cisco IFS sur un routeur juste pour obtenir une bonne
ressentir pour eux parce que, comme je l'ai dit, ils peuvent certainement vous donner du chagrin s'ils ne sont pas exécutés
correctement!
Je mentionne souvent les « méthodes plus sûres » dans ce chapitre. Clairement, je me suis causé quelques
douleur grave en ne faisant pas assez attention lorsque l'on travaille en mémoire flash ! je ne peux pas insister là-dessus
assez - faites attention lorsque vous vous amusez avec la mémoire flash !
L'une des caractéristiques brillantes des routeurs ISR est qu'ils utilisent les cartes flash physiques qui sont
accessible depuis l'avant ou l'arrière de n'importe quel routeur. Ceux-ci ont généralement un nom comme usbflash0 :, donc pour
afficher le contenu, si vous tapez dir usbflash0: , par exemple. Vous pouvez retirer ces cartes flash, mettre
97
dans un emplacement approprié de votre PC, et la carte apparaîtra comme un lecteur. Vous pouvez ensuite ajouter,
modifier et supprimer des fichiers. Remettez simplement la carte flash dans votre routeur et allumez-le instantanément
améliorer. Joli!
Licence
L'octroi de licences IOS est désormais effectué de manière assez différente de ce qu'il était avec les versions précédentes de l'IOS.
En fait, il n'y avait pas de licence avant le nouveau code IOS 15.0, juste votre parole et votre honneur, et nous
ne peut que deviner en fonction de la façon dont tous les produits sont téléchargés quotidiennement sur Internet dans quelle mesure cela a
travaillé pour Cisco!
À partir du code IOS 15.0, les choses sont très différentes, presque trop différentes. je peux imaginer
que Cisco reviendra vers le milieu sur ses problèmes de licences, afin que l'administration et
la gestion ne sera pas aussi détaillée qu'elle ne l'est avec la nouvelle licence de code 15.0 ; mais tu peux être le
jugez-en après avoir lu cette section.
Un nouveau routeur ISR est pré-installé avec les images logicielles et les licences que vous avez commandées, afin que
tant que vous avez commandé et payé tout ce dont vous avez besoin, vous êtes prêt ! Sinon, vous pouvez simplement installer
une autre licence, ce qui peut être un peu fastidieux au début, assez pour que l'installation d'une licence soit faite
un objectif à l'examen Cisco ! Bien sûr, cela peut être fait, mais cela demande certainement un certain effort.
Comme c'est généralement le cas avec Cisco, si vous dépensez suffisamment d'argent pour leurs produits, ils ont tendance à vous faciliter la tâche.
sur vous et votre administration, et la licence pour le dernier IOS ne fait pas exception, car vous
bientôt voir.
Sur une note positive, Cisco fournit des licences d'évaluation pour la plupart des progiciels et fonctionnalités
qui sont pris en charge sur le matériel que vous avez acheté, et c'est toujours agréable de pouvoir l'essayer
avant d'acheter. Une fois la licence temporaire expirée après 60 jours, vous devez acquérir un
licence permanente afin de continuer à utiliser les fonctionnalités étendues qui ne sont pas disponibles dans votre
version actuelle. Cette méthode de licence vous permet de permettre à un routeur d'utiliser différentes parties de
l'IOS. Alors, que se passe-t-il après 60 jours ? Eh bien, rien, revenons au système d'honneur pour le moment. Cette
est maintenant appelé licence Right-To-Use (RTU) , et il ne sera probablement pas toujours disponible via votre
l'honneur, mais pour l'instant c'est le cas.
Mais ce n'est pas la meilleure partie des nouvelles fonctionnalités de licence. Avant la sortie du code 15.0, il
Il y avait huit ensembles de fonctionnalités logicielles différentes pour chaque type de routeur matériel. Avec le code IOS 15.0,
l'emballage est désormais appelé image universelle , ce qui signifie que tous les ensembles de fonctionnalités sont disponibles dans un seul fichier
avec toutes les fonctionnalités soigneusement emballées à l'intérieur. Donc, au lieu des packages de fichiers IOS antérieurs à 15.0 d'une image
par ensemble de fonctionnalités, Cisco ne crée désormais qu'une seule image universelle qui les inclut toutes dans le fichier.
Même ainsi, nous avons toujours besoin d'une image universelle différente par modèle ou série de routeur, mais pas d'une autre
image pour chaque ensemble de fonctionnalités comme nous l'avons fait avec les versions précédentes d'IOS.
Pour utiliser les fonctionnalités du logiciel IOS, vous devez les déverrouiller à l'aide du logiciel d'activation
traiter. Étant donné que toutes les fonctionnalités disponibles se trouvent déjà dans l'image universelle, vous pouvez simplement déverrouiller
les fonctionnalités dont vous avez besoin comme vous en avez besoin, et bien sûr payer pour ces fonctionnalités lorsque vous
déterminer qu'ils répondent aux exigences de votre entreprise. Tous les routeurs sont livrés avec quelque chose appelé
la licence IP Base, qui est la condition préalable à l'installation de toutes les autres fonctionnalités.
Il existe trois packages technologiques différents disponibles à l'achat qui peuvent être installés en tant que
des packs de fonctionnalités supplémentaires en plus de la base IP prérequise (par défaut), qui fournit des
Fonctionnalité IOS. Ceux-ci sont les suivants :
Par exemple, si vous avez besoin de MPLS et d'IPsec, vous aurez besoin de la base IP, des données et de la sécurité par défaut
forfaits premium débloqués sur votre routeur.
Pour obtenir la licence, vous aurez besoin de l'identifiant unique de l'appareil (UDI), qui comporte deux éléments :
l'ID du produit (PID) et le numéro de série du routeur. La commande show license UDI
Page 98
Une fois la période d'évaluation de 60 jours expirée, vous pouvez soit obtenir la licence
du Cisco License Manager (CLM), qui est un processus automatisé, ou utilisez le manuel
via le portail d'enregistrement de licence de produit Cisco. Généralement, seules les grandes entreprises
utilisera le CLM parce que vous auriez besoin d'installer un logiciel sur un serveur, qui garde ensuite une trace de tous
vos licences pour vous. Si vous n'avez que quelques licences que vous utilisez, vous pouvez opter pour le web manuel
processus de navigateur trouvé sur le portail d'enregistrement de licence de produit Cisco, puis ajoutez simplement un
quelques commandes CLI. Après cela, vous gardez simplement une trace de la mise en place de toutes les différentes licences
fonctionnalités ensemble pour chaque appareil que vous gérez. Bien que cela ressemble à beaucoup de travail, vous ne
devez effectuer ces étapes souvent. Mais clairement, aller avec le CLM a beaucoup de sens si vous
avoir des tas de licences à gérer car il rassemblera tous les petits morceaux de licence pour
chaque routeur en un seul processus simple.
Lorsque vous achetez le progiciel avec les fonctionnalités que vous souhaitez installer, vous devez
activer en permanence le progiciel à l'aide de votre UDI et de la clé d'autorisation du produit
(PAK) que vous avez reçu avec votre achat. Il s'agit essentiellement de votre reçu attestant que
vous avez acheté la licence. Vous devez ensuite connecter la licence à un routeur particulier en
combinant le PAK et l'UDI, que vous faites en ligne lors de l'enregistrement de la licence de produit Cisco
portail ( www.cisco.com/go/license ). Si vous n'avez pas déjà enregistré la licence sur un autre
routeur, et il est valide, Cisco vous enverra alors par e-mail votre licence permanente, ou vous pouvez la télécharger
de votre compte.
Mais attendez! Vous n'avez toujours pas terminé. Vous devez maintenant activer la licence sur le routeur. Ouf...
ça vaut peut-être la peine d'installer le CLM sur un serveur après tout ! Rester avec la méthode manuelle,
vous devez mettre le nouveau fichier de licence à la disposition du routeur soit via un port USB sur le routeur
ou via un serveur TFTP. Une fois qu'il est disponible pour le routeur, vous utiliserez la licence d'installation
commande à partir du mode privilégié.
En supposant que vous ayez copié le fichier dans la mémoire flash, la commande ressemblerait à quelque chose
comme ça:
Vous devez redémarrer pour que la nouvelle licence prenne effet. Maintenant que vous avez installé votre licence
et en cours d'exécution, comment utilisez-vous les licences Right-To-Use pour découvrir les nouvelles fonctionnalités de votre routeur ?
Regardons cela maintenant.
99
Le modèle de licence de Cisco vous permet d'installer la fonctionnalité que vous souhaitez sans PAK. Le droit d'usage
La licence fonctionne pendant 60 jours avant que vous n'ayez besoin d'installer votre licence permanente. Pour activer le
Licence Right-To-Use, vous utiliseriez la commande license boot module . Ce qui suit
illustre le démarrage de la licence Right-To-Use sur mon routeur de la série 2900, activant la sécurité
module nommé securityk9 :
% utilise la commande 'write' pour que la configuration de démarrage de la licence prenne effet au prochain démarrage
12 février 01:35:45.060 : %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL :
Nom du module =c2900 Niveau de redémarrage suivant = securityk9 et Licence = securityk9
Une fois le routeur rechargé, vous pouvez utiliser l'ensemble de fonctions de sécurité. Et c'est vraiment bien que tu
n'avez pas besoin de recharger à nouveau le routeur si vous choisissez d'installer une licence permanente pour cette fonctionnalité.
La commande show license affiche les licences installées sur le routeur :
Vous pouvez voir dans la sortie précédente que l' ipbasek9 est permanent et que le securityk9 a une licence
type de EvalRightToUse . La commande show license feature fournit les mêmes informations que show
license , mais il est résumé en une seule ligne comme indiqué dans la sortie suivante :
100
La commande show version affiche également les informations de licence à la fin de la sortie de la commande :
Licence UDI :
-------------------------------------------------
PID de l'appareil n° SN
-------------------------------------------------
*0 CISCO2901/K9 FTX1641Y07J
-------------------------------------------------- ---------------
Technologie Pack technologique Pack technologique
Type de courant Redémarrage suivant
-------------------------------------------------- ----------------
ipbase ipbasek9 permanent ipbasek9
sécurité Aucun Rien Rien
uc uck9 uck permanent9
Les données Rien Rien Rien
La commande show version indique si la licence a été activée. N'oubliez pas, vous devrez recharger
le routeur pour que les fonctionnalités de licence prennent effet si l'évaluation de la licence n'est pas déjà active.
Si votre licence a été enregistrée dans un emplacement autre que Flash, vous pouvez facilement la sauvegarder dans Flash
mémoire via la commande license save :
La commande précédente enregistrera votre licence actuelle dans la mémoire flash. Vous pouvez restaurer votre licence avec
la commande d' installation de licence que j'ai démontrée plus tôt.
Il y a deux étapes pour désinstaller la licence sur un routeur. Tout d'abord, pour désinstaller la licence dont vous avez besoin
pour désactiver le package technologique, à l'aide de la commande no license boot module avec le mot-clé
désactiver à la fin de la ligne de commande :
Module de démarrage de licence du routeur # c2900 pack technologique securityk9 désactiver
La deuxième étape consiste à effacer la licence. Pour y parvenir depuis le routeur, utilisez la licence clear
puis supprimez la licence avec la commande no license boot module :
Après avoir exécuté les commandes précédentes, la licence sera supprimée de votre routeur.
101
Voici un résumé des commandes de licence que j'ai utilisées dans ce chapitre. Ceux-ci sont importants
commandes à avoir vers le bas et vous devez vraiment les comprendre pour atteindre les objectifs de Cisco :
show license détermineles licences actives sur votre système. Il affiche également un groupe de
lignes pour chaque fonctionnalité de l'image IOS en cours d'exécution avec plusieurs variables d'état
liés à l'activation du logiciel et à l'octroi de licences, à la fois aux fonctionnalités sous licence et sans licence.
Le module de démarrage de licence installe une fonction de licence de droit d'utilisation sur un routeur.
Pour vous aider à organiser un grand nombre de licences, recherchez sur Cisco.com le Cisco
Gestionnaire de logiciels intelligent. Cette page Web vous permet de gérer toutes vos licences à partir d'un seul
site web centralisé. Avec Cisco Smart Software Manager, vous organisez et visualisez votre
licences dans des groupes appelés comptes virtuels , qui sont des collections de licences et
instances de produit.
Sommaire
Vous savez maintenant comment les routeurs Cisco sont configurés et comment gérer ces configurations.
Ce chapitre a couvert les composants internes d'un routeur, qui comprenaient la ROM, la RAM, la NVRAM,
et flash.
De plus, j'ai expliqué ce qui se passe lorsqu'un routeur démarre et quels fichiers sont chargés à ce moment-là.
Le registre de configuration indique au routeur comment démarrer et où trouver les fichiers. Tu as appris comment
pour modifier et vérifier les paramètres du registre de configuration à des fins de récupération de mot de passe. moi aussi
vous a montré comment gérer ces fichiers à l'aide de la CLI et de l'IFS.
Enfin, le chapitre couvrait les licences avec le nouveau code 15.0, y compris comment installer un
licence permanente et une licence Right-To-Use pour installer des fonctionnalités pendant 60 jours. je t'ai aussi montré
les commandes de vérification utilisées pour voir quelles licences sont installées et pour vérifier leur statut.
Essentiels de l'examen
Définissez les composants du routeur Cisco. Décrire les fonctions du bootstrap, POST, ROM
moniteur, mini-IOS, RAM, ROM, mémoire flash, NVRAM et le registre de configuration.
Identifiez les étapes de la séquence de démarrage du routeur. Les étapes de la séquence de démarrage sont POST,
chargement de l'IOS et copie de la configuration de démarrage de la NVRAM vers la RAM.
Comprendre les commandes et les paramètres du registre de configuration. Le paramètre 0x2102 est le
par défaut sur tous les routeurs Cisco et indique au routeur de rechercher la séquence de démarrage dans la NVRAM. 0x2101
indique au routeur de démarrer à partir de la ROM et 0x2142 indique au routeur de ne pas charger la configuration de démarrage dans
NVRAM pour fournir la récupération de mot de passe.
Effectuez la récupération du mot de passe. Les étapes du processus de récupération du mot de passe interrompent le
séquence de démarrage du routeur, modifiez le registre de configuration, rechargez le routeur et entrez privilégié
mode, copiez le fichier startup-config dans running-config et vérifiez que vos interfaces sont re-
activé, modifier/définir le mot de passe, enregistrer la nouvelle configuration, réinitialiser le registre de configuration,
102
et rechargez le routeur.
Sauvegardez une image IOS. En utilisant la commande en mode privilégié copy flash tftp , vous pouvez sauvegarder
un fichier de la mémoire flash vers un serveur TFTP (réseau).
Restaurez ou mettez à niveau une image IOS. En utilisant la commande en mode privilégié copy tftp flash ,
vous pouvez restaurer ou mettre à niveau un fichier d'un serveur TFTP (réseau) vers la mémoire flash.
Décrire les meilleures pratiques pour préparer la sauvegarde d'une image IOS sur un serveur réseau.
Assurez-vous que vous pouvez accéder au serveur réseau, assurez-vous que le serveur réseau dispose
l'espace pour l'image de code et vérifiez l'exigence de nom de fichier et de chemin d'accès.
Comprendre et utiliser les commandes de gestion du système de fichiers Cisco IFS. Les commandes
à utiliser sont dir , copier , plus , supprimer , effacer ou formater , cd et pwd , et mkdir et rmdir , ainsi que
system:running-config et nvram:startup-config .
N'oubliez pas comment installer une licence permanente et de droit d'utilisation. Pour installer un
licence permanente sur un routeur, utilisez la commande install license url . Pour installer une évaluation
fonction, utilisez la commande license boot module .
N'oubliez pas les commandes de vérification utilisées pour les licences dans le nouvel ISR G2
routeurs. La commande show license détermine les licences actives sur votre système. Les
La commande show license feature vous
permet d'afficher les licences et la fonctionnalité du package technologique
licences prises en charge par votre routeur. La commande show license udi affiche l'unique
l'identifiant de l'appareil (UDI) du routeur, qui comprend l'ID du produit (PID) et le numéro de série de
le routeur, et la commande show version affiche des informations sur la version actuelle de l'IOS,
y compris les détails de la licence à la fin de la sortie de la commande.
Laboratoire écrit 8
Vous pouvez trouver les réponses à ces ateliers dans l'annexe A, « Réponses aux ateliers écrits ».
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
1. Quelle est la commande pour copier un Cisco IOS sur un serveur TFTP ?
2. Sur quoi définissez-vous le paramètre de registre de configuration afin de démarrer le mini-IOS en ROM ?
3. Quel est le paramètre du registre de configuration pour dire au routeur de rechercher dans la NVRAM le démarrage
séquence?
4. Sur quoi définissez-vous le paramètre de registre de configuration pour démarrer en mode moniteur ROM ?
5. Qu'est-ce qui est utilisé avec un PAK pour générer un fichier de licence ?
7. Quelle commande peut changer l'emplacement à partir duquel le système charge l'IOS ?
10. Quelle commande détermine les licences actives sur votre système ?
Laboratoires pratiques
Pour effectuer les travaux pratiques de cette section, vous avez besoin d'au moins un routeur (trois serait le mieux) et à
au moins un PC fonctionnant en tant que serveur TFTP. Le logiciel du serveur TFTP doit être installé et exécuté sur
103
le PC. Pour ces travaux pratiques, il est également supposé que votre PC et le(s) routeur(s) sont connectés ensemble
avec un commutateur ou un concentrateur et que toutes les interfaces (interfaces NIC PC et routeur) se trouvent dans le même sous-réseau.
Vous pouvez alternativement connecter le PC directement au routeur ou connecter les routeurs directement à un
un autre (utilisez un câble croisé dans ce cas). N'oubliez pas que les laboratoires répertoriés ici ont été créés pour
utiliser avec de vrais routeurs mais peut facilement être utilisé avec la version LammleSim IOS (trouvée sur
www.lammle.com/ccna ) ou le programme Packet Tracer de Cisco.
Voici une liste des laboratoires de ce chapitre :
2. Assurez-vous que vous pouvez vous connecter au serveur TFTP qui est sur votre réseau en pingant l'IP
adresse de la console du routeur.
4. Tapez show version à l'invite du mode privilégié du routeur pour obtenir le nom de l'IOS actuellement
fonctionnant sur le routeur. S'il n'y a qu'un seul fichier dans la mémoire flash, le show flash et la version show
les commandes affichent le même fichier. N'oubliez pas que la commande show version vous montre le fichier
qui est en cours d'exécution et la commande show flash vous montre tous les fichiers en flash
Mémoire.
5. Une fois que vous savez que vous avez une bonne connectivité Ethernet au serveur TFTP et que vous savez également
le nom de fichier IOS, sauvegardez votre IOS en tapant copy flash tftp . Cette commande indique au routeur
pour copier un fichier spécifié de la mémoire flash (c'est là que l'IOS est stocké par défaut) vers un
Serveur TFTP.
6. Saisissez l'adresse IP du serveur TFTP et le nom de fichier IOS source. Le fichier est maintenant copié
et stocké dans le répertoire par défaut du serveur TFTP.
2. Assurez-vous que vous pouvez vous connecter au serveur TFTP en pingant l'adresse IP du serveur à partir de
la console du routeur.
3. Une fois que vous savez que vous avez une bonne connectivité Ethernet au serveur TFTP, tapez la copie tftp
commande flash .
4. Confirmez que le routeur ne fonctionnera pas pendant la restauration ou la mise à niveau en suivant les
invites fournies sur la console du routeur. Il est possible que cette invite ne se produise pas.
5. Saisissez l'adresse IP du serveur TFTP.
6. Entrez le nom du fichier IOS que vous souhaitez restaurer ou mettre à niveau.
7. Confirmez que vous comprenez que le contenu de la mémoire flash sera effacé s'il n'y a pas
suffisamment de place dans le flash pour stocker la nouvelle image.
8. Regardez avec étonnement votre IOS supprimé de la mémoire flash et votre nouvel IOS copié
à la mémoire flash.
Si le fichier qui était dans la mémoire flash est supprimé mais que la nouvelle version n'a pas été copiée dans la mémoire flash,
le routeur démarrera à partir du mode moniteur ROM. Vous devrez comprendre pourquoi l'opération de copie
n'a pas eu lieu.
104
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
2. Quelle commande copiera l'IOS sur un hôte de sauvegarde sur votre réseau ?
3. Quelle commande permet d'installer définitivement une licence sur un routeur ISR2 ?
A. installer la licence
B. installation de la licence
4. Vous tapez ce qui suit dans le routeur et rechargez. Que fera le routeur ?
5. Un administrateur réseau souhaite mettre à niveau l'IOS d'un routeur sans supprimer l'image
actuellement installé. Quelle commande affichera la quantité de mémoire consommée par le
l'image IOS actuelle et indiquer s'il y a suffisamment d'espace disponible pour contenir à la fois le
images actuelles et nouvelles ?
A. afficher la version
B. montrer le flash
C. montrer la mémoire
105
E. show running-config
6. Le siège social vous envoie un nouveau routeur pour vous connecter, mais lors de la connexion de la console
câble, vous voyez qu'il y a déjà une configuration sur le routeur. Que faut-il faire avant
une nouvelle configuration est entrée dans le routeur ?
7. Quelle commande charge une nouvelle version de Cisco IOS dans un routeur ?
8. Quelle commande vous montrera la version IOS en cours d'exécution sur votre routeur ?
A. sh IOS
B. sh flash
C. version sh
D. protocoles sh
9. Quelle doit être la valeur du registre de configuration une fois que vous avez terminé avec succès le mot de passe
procédure de récupération et remettre le routeur en fonctionnement normal ?
A. 0x2100
B. 0x2101
C. 0x2102
D. 0x2142
10. Vous enregistrez la configuration sur un routeur avec le démarrage-config copy running-config commande
et redémarrez le routeur. Le routeur, cependant, propose une configuration vierge. Ce qui peut
le problème est-il ?
D. L'IOS nouvellement mis à niveau n'est pas compatible avec le matériel du routeur.
E. La configuration que vous avez enregistrée n'est pas compatible avec le matériel.
11. Quelle commande installera une licence Right-To-Use afin que vous puissiez utiliser une version d'évaluation d'un
caractéristique?
12. Quelle commande détermine les licences actives sur votre système ainsi que plusieurs
variables d'état ?
A. licence d'exposition
106
D. afficher la version
13. Quelle commande vous permet d'afficher les licences de packages technologiques et les licences de fonctionnalités qui
sont pris en charge sur votre routeur avec plusieurs variables d'état ?
A. licence d'exposition
D. afficher la version
14. Quelle commande affiche l'identifiant unique de l'appareil qui comprend l'ID du produit et
numéro de série du routeur ?
A. licence d'exposition
D. afficher la version
15. Quelle commande affiche diverses informations sur la version actuelle de l'IOS,
y compris les détails de la licence à la fin de la sortie de la commande ?
A. licence d'exposition
D. afficher la version
A. afficher l'itinéraire IP
C. afficher la version
D. montrer le flash
18. Quelles sont les deux étapes nécessaires pour supprimer une licence d'un routeur ? (Choisissez deux.)
B. Rechargez le système.
C. Utilisez la commande license boot avec la variable disable à la fin de la ligne de commande.
19. Votre ordinateur portable est directement connecté au port Ethernet d'un routeur. Lequel des suivants
font partie des conditions requises pour que la commande copy flash tftp réussisse ? (Choisir
Trois.)
B. Le logiciel serveur TFTP doit être exécuté sur votre ordinateur portable.
107
C. Le câble Ethernet reliant l'ordinateur portable directement au port Ethernet du routeur doit être
un câble droit.
D. L'ordinateur portable doit se trouver sur le même sous-réseau que l'interface Ethernet du routeur.
E. La commande copy flash tftp doit être fournie avec l'adresse IP de l'ordinateur portable.
F. Il doit y avoir suffisamment d'espace dans la mémoire flash du routeur pour accueillir le fichier à
être copié.
Chapitre 9
Routage IP
3.2.a Préfixe
3.2.f Métrique
3.3 Décrire comment une table de routage est remplie par différentes sources d'informations de routage
processus de routage IP omniprésent. Il fait partie intégrante de la mise en réseau car il concerne tous les routeurs et
configurations qui l'utilisent, qui se taille facilement la part du lion. Le routage IP est essentiellement le processus de
déplacer des paquets d'un réseau à un autre réseau à l'aide de routeurs. Et par routeurs, je veux dire
Les routeurs Cisco, bien sûr ! Cependant, les termes routeur et périphérique de couche 3 sont interchangeables, et
tout au long de ce chapitre, lorsque j'utilise le terme routeur , je fais référence à n'importe quel périphérique de couche 3.
Avant d'entrer dans ce chapitre, je veux m'assurer que vous comprenez la différence entre un
protocole de routage et un protocole routé . Les routeurs utilisent des protocoles de routage pour trouver dynamiquement tous
réseaux au sein du plus grand interréseau et pour s'assurer que tous les routeurs ont le même routage
table. Les protocoles de routage sont également utilisés pour déterminer le meilleur chemin qu'un paquet doit emprunter
via un interréseau pour atteindre sa destination le plus efficacement possible. RIP, RIPv2, EIGRP et OSPF
sont d'excellents exemples des protocoles de routage les plus courants.
Une fois que tous les routeurs connaissent tous les réseaux, un protocole routé peut être utilisé pour envoyer des données utilisateur
(paquets) par l'intermédiaire de l'entreprise établie. Les protocoles routés sont affectés à une interface et
déterminer la méthode de livraison des paquets. IP et IPv6 sont des exemples de protocoles routés.
Je suis assez convaincu que je n'ai pas à souligner à quel point il est crucial pour vous d'avoir ce chapitre
matériel jusqu'à un niveau presque instinctif. Le routage IP est intrinsèquement ce que font les routeurs Cisco, et ils
le faire très bien, il est donc essentiel de bien comprendre les principes fondamentaux et les bases de ce sujet si vous
voulez exceller pendant l'examen et dans un environnement de réseautage réel également !
Dans ce chapitre, je vais vous montrer comment configurer et vérifier le routage IP avec les routeurs Cisco
et vous guide à travers ces cinq sujets clés :
Bases du routage
Le processus de routage IP
Routage statique
Routage dynamique
Je veux commencer par définir les bases de la façon dont les paquets se déplacent réellement à travers un interréseau,
Alors, commençons!
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Le terme routage fait référence au fait de prendre un paquet d'un appareil et de l'envoyer via le réseau à
un autre appareil sur un autre réseau. Les routeurs ne se soucient pas vraiment des hôtes, ils ne se soucient que
sur les réseaux et le meilleur chemin vers chacun d'eux. L'adresse réseau logique du
L'hôte de destination est la clé pour obtenir des paquets via un réseau routé. C'est l'adresse matérielle de
l'hôte qui est utilisé pour livrer le paquet d'un routeur et s'assurer qu'il arrive au bon
hôte de destination.
Le routage n'est pas pertinent si votre réseau n'a pas de routeurs car leur travail consiste à acheminer le trafic vers tous les
réseaux dans votre interréseau, mais c'est rarement le cas ! Voici donc une liste importante des
facteurs minimaux qu'un routeur doit connaître pour pouvoir acheminer efficacement les paquets :
Adresse de destination
Routeurs voisins à partir desquels il peut se renseigner sur les réseaux distants
Page 110
Le routeur apprend les réseaux distants à partir des routeurs voisins ou d'un administrateur.
Le routeur construit ensuite une table de routage, qui est essentiellement une carte de l'interréseau, et il
décrit comment trouver des réseaux distants. Si un réseau est directement connecté, le routeur
sait déjà comment y accéder.
Mais si un réseau n'est pas directement connecté au routeur, le routeur doit utiliser l'une des deux manières suivantes pour
Découvrez comment accéder au réseau distant. La méthode de routage statique nécessite que quelqu'un
tapez tous les emplacements réseau dans la table de routage, ce qui peut être une tâche assez intimidante lorsqu'il est utilisé
sur tous les réseaux sauf le plus petit !
Inversement, lorsque le routage dynamique est utilisé, un protocole sur un routeur communique avec le
même protocole s'exécutant sur les routeurs voisins. Les routeurs se mettent ensuite à jour sur tous les
réseaux qu'ils connaissent et placent ces informations dans la table de routage. Si un changement survient dans
le réseau, les protocoles de routage dynamique informent automatiquement tous les routeurs de l'événement. Si
le routage statique est utilisé, l'administrateur est responsable de la mise à jour manuelle de toutes les modifications sur tous
routeurs. La plupart des gens utilisent généralement une combinaison de routage dynamique et statique pour administrer un
grand réseau.
Avant de nous lancer dans le processus de routage IP, examinons un exemple très simple qui
montre comment un routeur utilise la table de routage pour acheminer les paquets hors d'une interface. Bien être
bientôt une étude plus détaillée du processus, mais je veux vous montrer quelque chose qui s'appelle le
« règle de correspondance la plus longue » en premier. Avec lui, IP va scanner une table de routage pour trouver la correspondance la plus longue comme
par rapport à l'adresse de destination d'un paquet. Jetons un coup d'œil à la figure 9.1 pour obtenir une image de
ce processus.
Page 111
La figure 9.1 montre un réseau simple. Lab_A a quatre interfaces. Pouvez-vous voir quelle interface sera
utilisé pour transmettre un datagramme IP à un hôte avec une adresse IP de destination de 10.10.10.30 ?
En utilisant la commande show ip route sur un routeur, on peut voir la table de routage (carte du
interréseau) que Lab_A a utilisé pour prendre ses décisions de transfert :
Lab_A# itinéraire de livraison
Codes : L - local, C - connecté, S - statique,
[coupure de sortie]
10.0.0.0/8 est en sous-réseaux variable, 6 sous-réseaux, 4 masques
C 10.0.0.0/8 est directement connecté, FastEthernet0/3
L 10.0.0.1/32 est directement connecté, FastEthernet0/3
C 10.10.0.0/16 est directement connecté, FastEthernet0/2
L 10.10.0.1/32 est directement connecté, FastEthernet0/2
C 10.10.10.0/24 est directement connecté, FastEthernet0/1
L 10.10.10.1/32 est directement connecté, FastEthernet0/1
S* 0.0.0.0/0 est directement connecté, FastEthernet0/0
Le C dans la sortie de la table de routage signifie que les réseaux répertoriés sont « directement connectés » et
jusqu'à ce que nous ajoutions un protocole de routage tel que RIPv2, OSPF, etc. aux routeurs de notre interréseau, ou que nous saisissions
routes statiques, seuls les réseaux directement connectés apparaîtront dans notre table de routage. Mais attendez, quoi
à propos de ce L dans la table de routage, c'est nouveau, n'est-ce pas ? Oui, car dans le nouveau Cisco IOS 15
code, Cisco définit une route différente, appelée route hôte locale. Chaque route locale a un préfixe /32,
définir un itinéraire uniquement pour une seule adresse. Ainsi, dans cet exemple, le routeur s'est appuyé sur ces
routes qui répertorient leurs propres adresses IP locales pour transférer plus efficacement les paquets vers le routeur
lui-même.
112
Voici un autre exemple : sur la base de la sortie de la table de routage suivante, quelle interface sera
paquet avec une adresse de destination de 10.10.10.14 à partir de ?
Pour comprendre cela, examinez attentivement la sortie jusqu'à ce que vous voyiez que le réseau est en sous-réseau et que chaque
l'interface a un masque différent. Et je dois vous dire que vous ne pouvez tout simplement pas répondre à cette question si vous
ne peut pas créer de sous-réseau ! 10.10.10.14 serait un hôte dans le sous-réseau 10.10.10.8/29 qui est connecté au
Interface FastEthernet0/1. Ne paniquez pas si vous avez du mal et ne comprenez pas ça ! A la place, vas-y
Revenez en arrière et relisez le chapitre 4, « Easy Subnetting », jusqu'à ce que cela devienne clair pour vous.
Le processus de routage IP
Le processus de routage IP est assez simple et ne change pas, quelle que soit la taille de votre réseau.
Pour un bon exemple de ce fait, j'utiliserai la figure 9.2 pour décrire étape par étape ce qui se passe lorsque
L'hôte A souhaite communiquer avec l'hôte B sur un autre réseau.
Dans la figure 9.2, un utilisateur sur Host_A a envoyé un ping à l'adresse IP de Host_B. Le routage n'est pas plus simple que
ceci, mais cela implique encore beaucoup d'étapes, alors passons en revue maintenant :
1. Internet Control Message Protocol (ICMP) crée une charge utile de demande d'écho, qui est simplement
l'alphabet dans le champ de données.
2. ICMP transmet cette charge utile au protocole Internet (IP), qui crée ensuite un paquet. À
minimum, ce paquet contient une adresse IP source, une adresse IP de destination et un
Champ de protocole avec 01h. N'oubliez pas que Cisco aime utiliser 0x devant les caractères hexadécimaux, donc
cela pourrait aussi ressembler à 0x01. Cela indique à l'hôte destinataire à qui il doit remettre le
charge utile lorsque la destination est atteinte, dans cet exemple, ICMP.
4. Étant donné qu'IP a déterminé qu'il s'agit d'une demande distante, le paquet doit être envoyé à la valeur par défaut
passerelle afin qu'il puisse être acheminé vers le réseau distant. Le registre de Windows est analysé pour trouver
la passerelle par défaut configurée.
Page 113
5. La passerelle par défaut de Host_A est configurée sur 172.16.10.1. Pour que ce paquet soit envoyé au
passerelle par défaut, l'adresse matérielle de l'interface Ethernet 0 du routeur, qui est
configuré avec l'adresse IP 172.16.10.1, doit être connu. Pourquoi? Le paquet peut donc être
transmis à la couche de liaison de données, encadré et envoyé à l'interface du routeur qui est
connecté au réseau 172.16.10.0. Parce que les hôtes ne communiquent que via le matériel
adresses sur le réseau local, il est important de reconnaître que pour que Host_A communique avec
Host_B, il doit envoyer des paquets à l'adresse de contrôle d'accès au support (MAC) de la valeur par défaut
passerelle sur le réseau local.
Les adresses MAC sont toujours locales sur le LAN et ne traversent jamais un
routeur.
6. Ensuite, le cache ARP (Address Resolution Protocol) de l'hôte est vérifié pour voir si l'adresse IP
l'adresse de la passerelle par défaut a déjà été résolue en une adresse matérielle.
Si c'est le cas, le paquet est alors libre d'être transmis à la couche de liaison de données pour le tramage. Rappelles toi
que l'adresse de destination matérielle est également transmise avec ce paquet. Pour voir l'ARP
cache sur votre hôte, utilisez la commande suivante :
C:\> arp -a
Interface : 172.16.10.2 --- 0x3
Adresse Internet Type d'adresse physique
172.16.10.1 00-15-05-06-31-b0 dynamique
Si l'adresse matérielle n'est pas déjà dans le cache ARP de l'hôte, une diffusion ARP sera
envoyé sur le réseau local pour rechercher l'adresse matérielle 172.16.10.1. Le routeur
répond ensuite à la demande et fournit l'adresse matérielle d'Ethernet 0, et l'hôte
met en cache cette adresse.
7. Une fois que le paquet et l'adresse matérielle de destination sont transmis à la couche de liaison de données, le réseau local
pilote est utilisé pour fournir un accès multimédia via le type de réseau local utilisé, qui est Ethernet dans
ce cas. Une trame est ensuite générée, encapsulant le paquet avec des informations de contrôle.
Dans ce cadre se trouvent les adresses de destination et de source matérielles plus, dans ce cas, un
Champ Ether-Type, qui identifie le protocole de couche réseau spécifique qui a remis le paquet
à la couche de liaison de données. Dans ce cas, c'est IP. À la fin du cadre se trouve quelque chose appelé un
Champ Frame Check Sequence (FCS) qui abrite le résultat du contrôle de redondance cyclique
(CRC). Le cadre ressemblerait à ce que j'ai détaillé dans la figure 9.3 . Il contient l'hôte
L'adresse matérielle (MAC) de A et l'adresse matérielle de destination de la passerelle par défaut. Ce
n'inclut pas l'adresse MAC de l'hôte distant—n'oubliez pas cela !
FIGURE 9.3 Trame utilisée de l'hôte A au routeur Lab_A lorsque l'hôte B est ping
8. Une fois la trame terminée, elle est transmise à la couche physique pour être placée sur le physique
moyen (dans cet exemple, un fil à paire torsadée) un bit à la fois.
9. Chaque périphérique dans le domaine de collision reçoit ces bits et construit la trame. Ils exécutent chacun un
CRC et vérifiez la réponse dans le champ FCS. Si les réponses ne correspondent pas, la trame est supprimée.
Si le CRC correspond, l'adresse de destination matérielle est vérifiée pour voir si elle correspond
(qui, dans cet exemple, est l'interface Ethernet 0 du routeur).
S'il s'agit d'une correspondance, le champ Ether-Type est vérifié pour trouver le protocole utilisé au
Couche réseau.
10. Le paquet est extrait de la trame et ce qui reste de la trame est rejeté. Le paquet est
remis au protocole répertorié dans le champ Ether-Type - il est attribué à IP.
114
12. La table de routage doit avoir une entrée pour le réseau 172.16.20.0 ou le paquet sera
immédiatement et un message ICMP sera renvoyé à l'appareil d'origine avec un
message réseau de destination inaccessible.
13. Si le routeur trouve une entrée pour le réseau de destination dans sa table, le paquet est commuté
à l'interface de sortie — dans cet exemple, l'interface Ethernet 1. La sortie suivante affiche le
Table de routage du routeur Lab_A. Le C signifie « directement connecté ». Aucun protocole de routage n'est
nécessaire dans ce réseau puisque tous les réseaux (tous les deux) sont directement connectés.
Si l'adresse matérielle de Host_B a déjà été résolue et se trouve dans l'ARP du routeur
cache, le paquet et l'adresse matérielle seront transmis au Data Link
couche à encadrer. Regardons le cache ARP sur le routeur Lab_A en utilisant le
commande show ip arp :
Lab_A# arp expédition
Âge de l'adresse du protocole (min) Type d'adresse du matériel Interface
Internet 172.16.20.1 - 00d0.58ad.05f4 ARPA Ethernet1
Internet 172.16.20.2 3 0030.9492.a5dd ARPA Ethernet1
Internet 172.16.10.1 - 00d0.58ad.06aa ARPA Ethernet0
Internet 172.16.10.2 12 0030.9492.a4ac ARPA Ethernet0
Le tiret (-) signifie qu'il s'agit de l'interface physique sur le routeur. Cette sortie nous montre
que le routeur connaît le matériel 172.16.10.2 (Host_A) et 172.16.20.2 (Host_B)
adresses. Les routeurs Cisco conserveront une entrée dans la table ARP pendant 4 heures.
Maintenant, si l'adresse matérielle n'a pas déjà été résolue, le routeur enverra un ARP
demandez à E1 de rechercher l'adresse matérielle 172.16.20.2. Host_B répond avec son
l'adresse matérielle, et les adresses matérielles du paquet et de destination sont alors toutes deux envoyées
à la couche de liaison de données pour le cadrage.
16. La couche Data Link crée une trame avec les adresses matérielles de destination et source,
Champ Ether-Type et champ FCS à la fin. La trame est ensuite remise à la couche Physique pour
être envoyé sur le support physique un bit à la fois.
17. Host_B reçoit la trame et exécute immédiatement un CRC. Si le résultat correspond aux informations
dans le champ FCS, l'adresse de destination matérielle sera ensuite vérifiée. Si l'hôte trouve un
correspondent, le champ Ether-Type est ensuite vérifié pour déterminer le protocole que le paquet doit
être remis à la couche réseau - IP dans cet exemple.
18. Au niveau de la couche réseau, IP reçoit le paquet et exécute un CRC sur l'en-tête IP. Si ça passe,
IP vérifie ensuite l'adresse de destination. Puisqu'un match a finalement été fait, le Protocole
est vérifié pour savoir à qui la charge utile doit être donnée.
19. La charge utile est remise à ICMP, qui comprend qu'il s'agit d'une demande d'écho. ICMP
répond à cela en rejetant immédiatement le paquet et en générant une nouvelle charge utile en tant que
réponse en écho.
20. Un paquet est alors créé comprenant les adresses source et destination, le champ Protocole et
charge utile. Le périphérique de destination est maintenant Host_A.
21. IP vérifie ensuite si l'adresse IP de destination est un périphérique sur le LAN local ou sur un
réseau distant. Étant donné que le périphérique de destination se trouve sur un réseau distant, le paquet doit être
Page 115
22. L'adresse IP de la passerelle par défaut se trouve dans le Registre de l'appareil Windows et l'ARP
le cache est vérifié pour voir si l'adresse matérielle a déjà été résolue à partir d'une adresse IP.
23. Une fois l'adresse matérielle de la passerelle par défaut trouvée, le paquet et la destination
les adresses matérielles sont transmises à la couche de liaison de données pour le cadrage.
24. La couche de liaison de données encadre le paquet d'informations et inclut les éléments suivants dans le
entête:
25. La trame est maintenant transmise à la couche physique pour être envoyée sur le support réseau
un peu à la fois.
26. L'interface Ethernet 1 du routeur reçoit les bits et construit une trame. Le CRC est exécuté et le
Le champ FCS est vérifié pour s'assurer que les réponses correspondent.
27. Une fois que le CRC est correct, l'adresse de destination matérielle est vérifiée. Depuis le
l'interface du routeur correspond, le paquet est extrait de la trame et le champ Ether-Type est
vérifié pour déterminer à quel protocole le paquet doit être livré au niveau de la couche réseau.
28. Le protocole est déterminé comme étant IP, il obtient donc le paquet. IP exécute un contrôle CRC sur l'IP
d'abord, puis vérifie l'adresse IP de destination.
IP n'exécute pas un CRC complet comme le fait la couche de liaison de données - il vérifie seulement
Étant donné que l'adresse IP de destination ne correspond à aucune des interfaces du routeur, la table de routage
est vérifié pour voir s'il a une route vers 172.16.10.0. S'il n'y a pas de route vers le
réseau de destination, le paquet sera immédiatement rejeté. Je veux prendre une minute pour
souligner que c'est exactement là que la source de confusion commence pour beaucoup d'administrateurs
car lorsqu'un ping échoue, la plupart des gens pensent que le paquet n'a jamais atteint l'hôte de destination.
Mais comme on le voit ici, ce n'est pas toujours le cas. Tout ce qu'il faut pour que cela se produise, c'est même juste
l'un des routeurs distants n'a pas de route de retour vers le réseau de l'hôte d'origine et— pouf ! -
le paquet est déposé sur le voyage de retour , pas sur son chemin vers l'hôte !
Juste un petit mot pour mentionner que quand (et si) le paquet est perdu en chemin
à l'hôte d'origine, vous verrez généralement un message d'expiration du délai de demande car il
est une erreur inconnue. Si l'erreur se produit en raison d'un problème connu, par exemple si une route est
pas dans la table de routage sur le chemin vers l'appareil de destination, vous verrez une destination
message inaccessible. Cela devrait vous aider à déterminer si le problème est survenu sur le
chemin vers la destination ou sur le chemin du retour.
29. Dans ce cas, le routeur sait comment accéder au réseau 172.16.10.0—l'interface de sortie
est Ethernet 0 : le paquet est donc commuté sur l'interface Ethernet 0.
30. Le routeur vérifie ensuite le cache ARP pour déterminer si l'adresse matérielle pour
172.16.10.2 a déjà été résolu.
31. Étant donné que l'adresse matérielle de 172.16.10.2 est déjà mise en cache depuis le voyage d'origine vers
Host_B, l'adresse matérielle et le paquet sont ensuite transmis à la couche de liaison de données.
32. La couche Data Link construit une trame avec l'adresse matérielle de destination et la source
116
adresse matérielle, puis place IP dans le champ Ether-Type. Un CRC est exécuté sur le châssis et le
résultat est placé dans le champ FCS.
33. La trame est ensuite transmise à la couche Physique pour être envoyée sur le réseau local un bit à
un temps.
34. L'hôte de destination reçoit la trame, exécute un CRC, vérifie le matériel de destination
adresse, puis regarde dans le champ Ether-Type pour savoir à qui remettre le paquet.
35. IP est le récepteur désigné, et une fois le paquet remis à IP au niveau de la couche réseau, il
vérifie le champ Protocole pour plus d'informations. IP trouve des instructions pour donner la charge utile à
ICMP, et ICMP détermine que le paquet est une réponse d'écho ICMP.
36. ICMP reconnaît avoir reçu la réponse en envoyant un point d'exclamation (!) au
interface utilisateur. ICMP tente ensuite d'envoyer quatre autres demandes d'écho à l'hôte de destination.
Vous venez de découvrir les 36 étapes faciles de Todd pour comprendre le routage IP. Le point clé ici est
que si vous aviez un réseau beaucoup plus vaste, le processus serait le même . C'est juste que plus le
interréseau, plus le paquet parcourt de sauts avant de trouver l'hôte de destination.
Il est très important de se rappeler que lorsque Host_A envoie un paquet à Host_B, la destination
l'adresse matérielle utilisée est l'interface Ethernet de la passerelle par défaut. Pourquoi? Parce que les cadres ne peuvent pas être
placés sur des réseaux distants, uniquement des réseaux locaux. Ainsi, les paquets destinés aux réseaux distants doivent
passer par la passerelle par défaut.
Avez-vous remarqué que l'adresse matérielle (MAC) que Host_A utilise pour accéder à Host_B est le Lab_A
Interface E0 ? Les adresses matérielles sont toujours locales et ne passent jamais par le routeur d'un routeur.
interface. Comprendre ce processus est aussi important que l'air pour vous, alors écrivez-le dans votre
Mémoire!
Changement de processus C'est en fait le nombre de personnes qui voient des routeurs à ce jour, car c'est vrai
que les routeurs ont effectivement effectué ce type de commutation de paquets à nu en 1990 lorsque
Cisco a sorti son tout premier routeur. Mais ces jours où les demandes de trafic étaient inimaginablement
la lumière ont disparu depuis longtemps—pas dans les réseaux d'aujourd'hui ! Ce processus est maintenant extrêmement complexe et
implique de rechercher chaque destination dans la table de routage et de trouver l'interface de sortie pour chaque
paquet. C'est à peu près comme ça que je viens d'expliquer le processus dans mes 36 étapes. Mais même si
ce que j'ai écrit était absolument vrai dans son concept, le processus interne nécessite bien plus que
technologie de commutation de paquets aujourd'hui en raison des millions de paquets par seconde qui doivent maintenant
en traitement. Cisco a donc proposé d'autres technologies pour aider avec le « grand processus
problème."
Commutation rapide Cette solution a été créée pour rendre les performances lentes de la commutation de processus
plus rapide et plus efficace. La commutation rapide utilise un cache pour stocker les destinations les plus récemment utilisées
Page 117
de sorte que les recherches ne sont pas nécessaires pour chaque paquet. En mettant en cache l'interface de sortie de la destination
périphérique, ainsi que l'en-tête de couche 2, les performances ont été considérablement améliorées, mais comme notre
les réseaux ont évolué avec le besoin d'encore plus de vitesse, Cisco a créé une autre technologie !
Cisco Express Forwarding (CEF) C'est la création la plus récente de Cisco, et c'est le paquet par défaut-
méthode de transfert utilisée sur tous les derniers routeurs Cisco. CEF crée de nombreuses tables de cache différentes pour
aider à améliorer les performances et est déclenché par le changement, pas par paquet. Traduit, cela signifie
que lorsque la topologie du réseau change, le cache change avec elle.
Pour voir quelle méthode de commutation de paquets votre interface de routeur utilise, utilisez le
La figure 9.4 montre un réseau local connecté au routeur A qui est connecté via une liaison WAN au routeur B.
RouterB a un LAN connecté avec un serveur HTTP connecté.
L'information critique que vous voulez obtenir en regardant cette figure est exactement comment le routage IP va
se produire dans cet exemple. Déterminons les caractéristiques d'une trame lorsqu'elle quitte HostA. D'accord-
on va tricher un peu. Je vais vous donner la réponse, mais alors vous devriez revenir sur la figure et voir si
vous pouvez répondre à l'exemple 2 sans regarder ma réponse en trois étapes !
Page 118
C'était un scénario assez simple et direct. Une chose à retenir est que lorsque plusieurs
les hôtes communiquent avec un serveur via HTTP, ils doivent tous utiliser un port source différent
numéro. Les adresses IP source et de destination et les numéros de port permettent au serveur de conserver les
données séparées au niveau de la couche Transport.
Compliquons les choses en ajoutant un autre appareil au réseau, puis voyons si vous pouvez trouver
les réponses. La figure 9.5 montre un réseau avec un seul routeur mais deux commutateurs.
FIGURE 9.5 Exemple de routage IP 2
L'élément clé à comprendre sur le processus de routage IP dans ce scénario est ce qui se passe lorsque
HostA envoie des données au serveur HTTPS ? Voici votre réponse :
2. L'adresse de destination d'un paquet est l'adresse IP de l'interface réseau du serveur HTTPS
carte (NIC).
3. Le numéro de port de destination dans l'en-tête de segment aura une valeur de 443.
Avez-vous remarqué que les commutateurs n'étaient pas utilisés comme passerelle par défaut ou comme autre
destination? C'est parce que les commutateurs n'ont rien à voir avec le routage. Je me demande combien d'entre vous
a choisi le commutateur comme adresse MAC de passerelle par défaut (destination) pour HostA ? Si vous l'avez fait, ne
se sentir mal, il suffit de jeter un autre coup d'œil pour voir où vous vous êtes trompé et pourquoi. Il est très important de
rappelez-vous que l'adresse MAC de destination sera toujours l'interface du routeur, si vos paquets
sont destinés à l'extérieur du LAN, comme dans ces deux derniers exemples !
Page 119
Avant de passer à certains des aspects les plus avancés du routage IP, examinons un autre
problème. Jetez un œil à la sortie de la table de routage de ce routeur :
Que voit-on ici ? Si je vous disais que le routeur d'entreprise a reçu un paquet IP avec un
une adresse IP source de 192.168.214.20 et une adresse de destination de 192.168.22.3, que faites-vous
pensez-vous que le routeur Corp fera avec ce paquet ?
Si vous avez dit : « Le paquet est arrivé sur l'interface FastEthernet 0/0, mais parce que la table de routage
n'affiche pas de route vers le réseau 192.168.22.0 (ou une route par défaut), le routeur rejettera le
paquet et renvoyer un message de destination ICMP inaccessible à l'interface FastEthernet
0/0 », tu es un génie ! La raison pour laquelle c'est la bonne réponse est parce que c'est le LAN source
d'où provient le paquet.
Voyons maintenant la figure suivante et parlons en détail des trames et des paquets. N'étaient pas
vraiment passer en revue quelque chose de nouveau ici; Je m'assure juste que vous totalement, complètement, complètement,
comprendre parfaitement le routage IP de base ! C'est le cœur de ce livre, et le sujet les objectifs de l'examen
sont orientés vers. Tout est une question de routage IP, ce qui signifie que vous devez être au courant de tout cela ! Bien
utilisez la figure 9.6 pour les quelques scénarios suivants.
FIGURE 9.6 Routage IP de base utilisant les adresses MAC et IP
En vous référant à la Figure 9.6 , voici une liste de toutes les réponses aux questions dont vous avez besoin inscrites dans votre
cerveau:
1. Afin de commencer à communiquer avec le serveur de vente, l'hôte 4 envoie une requête ARP.
Comment les appareils présentés dans la topologie répondront-ils à cette demande ?
2. L'hôte 4 a reçu une réponse ARP. L'hôte 4 va maintenant construire un paquet, puis place ce paquet dans le
Cadre. Quelles informations seront placées dans l'en-tête du paquet qui quitte l'hôte 4 si l'hôte
4 va communiquer avec le serveur Sales ?
120
serveur. Qu'est-ce que la trame aura dans l'en-tête comme adresses source et destination ?
4. L'hôte 4 affiche deux documents Web du serveur de vente dans deux fenêtres de navigateur à la
en même temps. Comment les données se sont-elles retrouvées dans les bonnes fenêtres de navigateur ?
Ce qui suit devrait probablement être écrit dans une police minuscule et mis à l'envers dans une autre partie de
le livre, il serait donc très difficile pour vous de tricher et de jeter un coup d'œil, mais comme je ne suis pas si méchant et
vous avez vraiment besoin de noter cela, voici vos réponses dans le même ordre que les scénarios
viennent d'être présentés :
1. Afin de commencer à communiquer avec le serveur, l'hôte 4 envoie une requête ARP. Comment sera
les appareils présentés dans la topologie répondent à cette requête ? Étant donné que les adresses MAC doivent rester
sur le réseau local, le routeur Lab_B répondra avec l'adresse MAC du Fa0/0
l'interface et l'hôte 4 enverront toutes les trames à l'adresse MAC de l'interface Lab_B Fa0/0
lors de l'envoi de paquets au serveur de vente.
2. L'hôte 4 a reçu une réponse ARP. L'hôte 4 va maintenant construire un paquet, puis place ce paquet dans le
Cadre. Quelles informations seront placées dans l'en-tête du paquet qui quitte l'hôte 4 si l'hôte
4 va communiquer avec le serveur Sales ? Puisque nous parlons maintenant de paquets, non
trames, l'adresse source sera l'adresse IP de l'hôte 4 et l'adresse de destination sera
l'adresse IP du serveur de vente.
4. L'hôte 4 affiche deux documents Web du serveur de vente dans deux navigateurs différents
fenêtres en même temps. Comment les données se sont-elles retrouvées dans les bonnes fenêtres de navigateur ? TCP
les numéros de port sont utilisés pour diriger les données vers la fenêtre d'application appropriée.
Super! Mais nous n'avons pas encore tout à fait terminé. J'ai encore quelques questions à vous poser avant que vous n'obteniez
pour configurer le routage dans un réseau réel. Prêt? La figure 9.7 montre un réseau de base et l'hôte 4
doit recevoir un e-mail. Quelle adresse sera placée dans le champ d'adresse de destination du cadre
quand il quitte l'hôte 4 ?
FIGURE 9.7 Test des connaissances de base sur le routage
La réponse est que l'hôte 4 utilisera l'adresse MAC de destination de l'interface Fa0/0 sur le
Page 121
Routeur Lab_B, vous le saviez, n'est-ce pas ? Regardez à nouveau la figure 9.7 : et si l'hôte 4 doit
communiquer avec l'hôte 1—pas le serveur, mais avec l'hôte 1. Quelle adresse source OSI de couche 3
être trouvé dans l'en-tête du paquet lorsqu'il atteint l'hôte 1 ?
J'espère que vous avez ceci : à la couche 3, l'adresse IP source sera l'hôte 4 et la destination
l'adresse dans le paquet sera l'adresse IP de l'hôte 1. Bien sûr, l'adresse MAC de destination
de l'hôte 4 sera toujours l'adresse Fa0/0 du routeur Lab_B, n'est-ce pas ? Et puisque nous avons
plus d'un routeur, nous aurons besoin d'un protocole de routage qui communique entre les deux afin
que le trafic peut être transféré dans la bonne direction pour atteindre le réseau auquel l'hôte 1 est connecté
à.
D'accord, encore un scénario et vous êtes sur la bonne voie pour devenir une machine de routage IP ! Encore une fois, en utilisant
Figure 9.7 , l'hôte 4 transfère un fichier vers le serveur de messagerie connecté au routeur Lab_A. Quoi
serait l'adresse de destination de la couche 2 quittant l'hôte 4 ? Oui, j'ai posé cette question plus de
une fois que. Mais pas celle-ci : quelle sera l'adresse MAC source lorsque la trame sera reçue au
serveur de messagerie ?
J'espère que vous avez répondu que l'adresse de destination de la couche 2 quittant l'hôte 4 est l'adresse MAC
de l'interface Fa0/0 sur le routeur Lab_B et que l'adresse source de la couche 2 que l'email
serveur recevra est l'interface Fa0/0 du routeur Lab_A.
Si vous l'avez fait, vous êtes prêt à découvrir comment le routage IP est géré dans un environnement réseau plus vaste !
Configuration du routage IP
Il est temps de passer aux choses sérieuses et de configurer un vrai réseau. La figure 9.8 montre trois routeurs : Corp, SF,
et LA. N'oubliez pas que, par défaut, ces routeurs ne connaissent que les réseaux qui sont directement
connecté à eux. Je continuerai à utiliser ce chiffre et ce réseau dans le reste du
chapitres de ce livre. Au fur et à mesure que je progresse dans ce livre, j'ajouterai d'autres routeurs et commutateurs au fur et à mesure
nécessaire.
Page 122
FIGURE 9.8 Configuration du routage IP
Comme vous pouvez le deviner, j'ai une assez belle collection de routeurs avec lesquels nous pouvons jouer. Mais tu ne
besoin d'un placard rempli d'appareils pour exécuter la plupart, sinon la totalité, des commandes que nous utiliserons dans ce livre.
Vous pouvez vous en tirer avec à peu près n'importe quel routeur ou même avec un bon simulateur de routeur.
Pour reprendre les affaires, le routeur Corp dispose de deux interfaces série, qui fourniront un WAN
connexion au routeur SF et LA ainsi que deux interfaces Fast Ethernet. Les deux télécommandes
les routeurs ont deux interfaces série et deux interfaces Fast Ethernet.
La première étape de ce projet consiste à configurer correctement chaque routeur avec une adresse IP sur chaque
interface. La liste suivante montre le schéma d'adresse IP que je vais utiliser pour configurer le
réseau. Après avoir expliqué comment le réseau est configuré, j'expliquerai comment configurer le routage IP.
Faites attention aux masques de sous-réseau, ils sont importants ! Les réseaux locaux utilisent tous un masque /24, mais le
Les WAN utilisent un /30.
Société
Fa0/0 : 10.10.10.1/24
SF
S0/0/0 : 172.16.10.2/30
Fa0/0 : 192.168.10.1/24
123
LA
S0/0/0 : 172.16.10.6/30
Fa0/0 : 192.168.20.1/24
La configuration du routeur est vraiment un processus assez simple puisqu'il suffit d'ajouter l'IP
adresses à vos interfaces, puis effectuez un arrêt sans arrêt sur ces mêmes interfaces. ça devient un peu
plus complexe par la suite, mais pour l'instant, configurons les adresses IP dans le réseau.
Configuration de l'entreprise
Nous devons configurer trois interfaces pour configurer le routeur Corp. Et la configuration du
les noms d'hôte de chaque routeur faciliteront grandement l'identification. Pendant que nous y sommes, définissons le
les descriptions d'interface, la bannière et les mots de passe du routeur aussi, car c'est une très bonne idée de faire un
l'habitude de configurer ces commandes sur chaque routeur !
Pour commencer, j'ai effectué une effacement de configuration de démarrage sur le routeur et rechargé, nous allons donc commencer dans
Mode de configuration. J'ai choisi non lorsqu'on m'a demandé d'entrer en mode de configuration, ce qui nous amènera directement au
invite de nom d'utilisateur de la console. Je vais configurer tous mes routeurs de la même manière.
Parlons de la configuration du routeur Corp. Tout d'abord, j'ai défini le nom d'hôte et activé le secret,
mais qu'est-ce que c'est qu'aucune commande ip domain-lookup ? Cette commande empêche le routeur d'essayer de
résolvez les noms d'hôtes, ce qui est une fonctionnalité ennuyeuse à moins que vous n'ayez configuré une table d'hôtes ou un DNS.
Ensuite, j'ai configuré les trois interfaces avec des descriptions et des adresses IP et les ai activées avec
la commande no shutdown . Les mots de passe de la console et du VTY sont venus ensuite, mais qu'est-ce que cette journalisation
commande de synchronisation sous la ligne de console ? La commande logging synchronous arrête la console
124
messages d'écrire sur ce que vous tapez, ce qui signifie que c'est une commande d'économie d'esprit qui
tu finiras par aimer ! Enfin, j'ai mis ma bannière, puis j'ai enregistré mes configs.
Pour afficher les tables de routage IP créées sur un routeur Cisco, utilisez la commande show ip route . Voici
le résultat de la commande :
Il est important de se rappeler que seuls les réseaux configurés et connectés directement vont afficher
dans la table de routage. Alors pourquoi se fait-il que seule l'interface FastEthernet 0/0 s'affiche dans le
table? Pas de soucis, c'est juste parce que vous ne verrez pas les interfaces série apparaître avant l'autre
côté des liens sont opérationnels. Dès que nous configurons nos routeurs SF et LA, ces interfaces
devrait apparaître tout de suite !
Mais avez-vous remarqué le C sur le côté gauche de la sortie de la table de routage ? Quand tu vois ça
là, cela signifie que le réseau est directement connecté. Les codes pour chaque type de connexion sont
répertoriés en haut de la commande show ip route , avec leurs descriptions.
Par souci de concision, les codes en haut de la sortie seront coupés dans le reste de ce
chapitre.
Configuration SF
Nous sommes maintenant prêts à configurer le prochain routeur, SF. Pour que cela se produise correctement, gardez à l'esprit
que nous avons deux interfaces à gérer : Serial 0/0/0 et FastEthernet 0/0. Alors assurons-nous
nous n'oublions pas d'ajouter le nom d'hôte, les mots de passe, les descriptions d'interface et les bannières au routeur
configuration. Comme je l'ai fait avec le routeur Corp, j'ai effacé la configuration et rechargé depuis ce
routeur avait déjà été configuré auparavant.
125
Avant de continuer, parlons une seconde de cette sortie. Tout d'abord, notez qu'en commençant par IOS
12.4, les routeurs ISR ne prendront plus la commande delete start . Le routeur n'a qu'une seule commande
après effacement qui commence par s , comme indiqué ici :
Routeur# effacer s?
configuration de démarrage
Je sais, on pourrait penser que l'IOS continuerait à accepter la commande, mais non, désolé ! Les
La deuxième chose que je veux souligner est que la sortie nous indique que le routeur recherche un hôte TFTP pour
voir s'il peut télécharger une configuration. En cas d'échec, il passe directement en mode configuration. Cela donne
vous avez une excellente image de la séquence de démarrage par défaut du routeur Cisco dont nous avons parlé au chapitre 7,
« Gestion d'un interréseau Cisco ».
Jetons un œil à notre configuration des interfaces avec les deux commandes suivantes :
Page 126
Maintenant que les deux extrémités de la liaison série sont configurées, la liaison est établie. Rappelez-vous, le haut/haut
l'état des interfaces sont des indicateurs d'état de la couche Physique/Liaison de données qui ne reflètent pas la couche
3 statuts ! Je demande aux élèves de mes cours : « Si le lien s'affiche, pouvez-vous envoyer un ping directement au
réseau connecté ?” Et ils disent : « Oui ! » La bonne réponse est « Je ne sais pas », parce que nous
ne peut pas voir l'état de la couche 3 avec cette commande. Nous ne voyons que les couches 1 et 2 et vérifions que l'IP
les adresses n'ont pas de faute de frappe. C'est vraiment important à comprendre !
SF # itinéraire de navigation
C 192.168.10.0/24 est directement connecté, FastEthernet0/0
L 192.168.10.1/32 est directement connecté, FastEthernet0/0
172.16.0.0/30 est divisé en sous-réseaux, 1 sous-réseaux
C 172.16.10.0 est directement connecté, Serial0/0/0
L 172.16.10.2/32 est directement connecté, Serial0/0/0
Notez que le routeur SF sait comment accéder aux réseaux 172.16.10.0/30 et 192.168.10.0/24 ; nous
peut maintenant envoyer un ping au routeur Corp depuis SF :
Sur l'interface série 0/0/0 du routeur SF se trouve une connexion DCE, ce qui signifie qu'une fréquence d'horloge doit
être défini sur l'interface. N'oubliez pas que vous n'avez pas besoin d'utiliser la commande clock rate dans
production. Bien que cela soit vrai, il est toujours impératif que vous sachiez comment/quand vous pouvez l'utiliser et que vous
comprenez-le très bien lorsque vous préparez votre examen CCNA !
Étant donné que le routeur SF dispose d'une connexion par câble DCE, j'ai dû ajouter une fréquence d'horloge à cette interface
parce que le DTE reçoit l'horloge. Gardez à l'esprit que les nouveaux routeurs ISR détecteront automatiquement cela et définiront
la fréquence d'horloge à 2000000. Et vous devez toujours vous assurer que vous êtes en mesure de trouver une interface qui est
DCE et régler le pointage pour atteindre les objectifs.
Puisque les liaisons série apparaissent, nous pouvons maintenant voir les deux réseaux dans la table de routage Corp.
Et une fois que nous aurons configuré LA, nous verrons un réseau de plus dans la table de routage du routeur Corp.
Le routeur Corp ne peut pas voir le réseau 192.168.10.0 car nous n'avons aucun routage
configuré pour le moment : les routeurs ne voient que les réseaux directement connectés par défaut.
Configuration LA
Pour configurer LA, nous allons faire à peu près la même chose que nous avons fait avec les deux autres routeurs.
Page 127
Il y a deux interfaces à gérer, Serial 0/0/1 et FastEthernet 0/0, et encore une fois, nous serons sûrs
pour ajouter le nom d'hôte, les mots de passe, les descriptions d'interface et une bannière à la configuration du routeur :
Alors maintenant que nous avons configuré les trois routeurs avec des adresses IP et des fonctions administratives, nous
peut passer à la gestion du routage. Mais je veux faire une autre chose sur les routeurs SF et LA—
puisqu'il s'agit d'un très petit réseau, construisons un serveur DHCP sur le routeur Corp pour chaque réseau local.
S'il est vrai que je pourrais aborder cette tâche en allant sur chaque routeur distant et en créant un pool,
pourquoi s'embêter avec tout ça quand je peux facilement créer deux pools sur le routeur Corp et avoir le
les routeurs distants transmettent les requêtes au routeur Corp ? Bien sûr, vous vous souvenez comment faire cela
du chapitre 7 !
Essayons :
Corp# config t
Corp(config)# ip dhcp exclu-adresse 192.168.10.1
Corp(config)# ip dhcp exclu-adresse 192.168.20.1
Corp(config)# ip dhcp pool SF_LAN
Corp(dhcp-config)# réseau 192.168.10.0 255.255.255.0
Corp(dhcp-config)# routeur par défaut 192.168.10.1
Corp(dhcp-config)# dns-server 4.4.4.4
Corp(dhcp-config)# sortie
Corp(config)# ip dhcp pool LA_LAN
Corp(dhcp-config)# réseau 192.168.20.0 255.255.255.0
Corp(dhcp-config)# routeur par défaut 192.168.20.1
Corp(dhcp-config)# dns-server 4.4.4.4
Corp(dhcp-config)# sortie
Corp(config)# sortie
Page 128
La création de pools DHCP sur un routeur est en fait un processus simple, et vous
configuration de la même manière sur n'importe quel routeur auquel vous souhaitez ajouter un pool DHCP. Pour désigner un routeur
en tant que serveur DHCP, vous créez simplement le nom du pool, ajoutez le réseau/sous-réseau et la valeur par défaut
passerelle, puis excluez toutes les adresses que vous ne souhaitez pas distribuer. Vous voulez absolument
assurez-vous que vous avez exclu l'adresse de passerelle par défaut et que vous ajoutez généralement un serveur DNS en tant que
bien. J'ajoute toujours les exclusions en premier et n'oubliez pas que vous pouvez facilement exclure une plage
d'adresses sur une seule ligne. Bientôt, je vais vous montrer les commandes de vérification que j'ai promis de
vous montrer au chapitre 7, mais d'abord, nous devons comprendre pourquoi le routeur Corp ne peut toujours pas accéder à
les réseaux distants par défaut !
Maintenant, je suis presque sûr d'avoir correctement configuré DHCP, mais j'ai juste ce sentiment persistant que j'ai oublié
quelque chose d'important. Qu'est-ce que cela pourrait être? Eh bien, les hôtes sont distants via un routeur, alors quoi
aurais-je besoin de faire cela leur permettrait d'obtenir une adresse d'un serveur DHCP ? Si tu
conclu que je dois configurer les interfaces SF et LA F0/0 pour transférer le client DHCP
requêtes au serveur, vous l'avez compris !
LA# config t
LA(config)# int f0/0
LA(config-if)# ip helper-address 172.16.10.5
SF# config t
SF(config)# int f0/0
SF(config-if)# ip helper-address 172.16.10.1
Je suis presque sûr d'avoir fait cela correctement, mais nous ne le saurons pas avant d'avoir un certain type de routage
configuré et fonctionnel. Alors allons-y ensuite !
Nous ne sommes donc pas vraiment prêts à basculer après tout. Mais nous le serons bientôt car il y a plusieurs façons de
configurer les tables de routage pour inclure tous les réseaux dans notre petit interréseau afin que les paquets
sera correctement transmis. Comme d'habitude, une taille unique convient rarement du tout, et ce qui est mieux pour un
réseau n'est pas nécessairement ce qu'il y a de mieux pour un autre. C'est pourquoi comprendre les différents types de
le routage sera vraiment utile pour choisir la meilleure solution pour votre environnement spécifique et
besoins de l'entreprise.
Voici les trois méthodes de routage que je vais aborder avec vous :
Routage statique
Routage par défaut
Routage dynamique
Nous allons commencer par la première méthode et implémenter le routage statique sur notre réseau, car si
vous pouvez implémenter le routage statique et le faire fonctionner, vous avez démontré que vous
avoir une solide compréhension de l'interréseau. Alors, commençons.
Routage statique
Le routage statique est le processus qui s'ensuit lorsque vous ajoutez manuellement des routes dans le routage de chaque routeur
Page 129
table. Comme on pouvait s'y attendre, il y a des avantages et des inconvénients au routage statique, mais c'est vrai pour tous les routages
approches.
Il n'y a pas de surcharge sur le processeur du routeur, ce qui signifie que vous pourriez probablement vous contenter d'un
routeur moins cher que ce dont vous auriez besoin pour le routage dynamique.
Il n'y a pas d'utilisation de bande passante entre les routeurs, ce qui vous permet d'économiser de l'argent sur les liaisons WAN ainsi que sur
minimisant les frais généraux sur le routeur puisque vous n'utilisez pas de protocole de routage.
Cela ajoute de la sécurité car vous, l'administrateur, pouvez être très exclusif et choisir d'autoriser
routage de l'accès à certains réseaux uniquement.
Quel que soit l'administrateur, il doit avoir une connaissance approfondie de l'interréseau et de la façon dont
chaque routeur est connecté afin de configurer correctement les routes. Si vous n'avez pas de bon,
carte précise de votre interréseau, les choses vont vite devenir très compliquées !
Si vous ajoutez un réseau à l'interréseau, vous devez péniblement y ajouter une route sur tous les routeurs
à la main, ce qui devient de plus en plus insensé à mesure que le réseau se développe.
En raison de ce dernier point, il n'est tout simplement pas possible de l'utiliser dans la plupart des grands réseaux car le maintien
ce serait un travail à temps plein en soi.
Mais cette liste d'inconvénients ne signifie pas que vous ne devez pas tout apprendre à ce sujet principalement à cause de ce premier
inconvénient que j'ai énuméré - le fait que vous devez avoir une si solide compréhension d'un réseau pour
le configurer correctement et que vos connaissances administratives doivent pratiquement frôler le
surnaturel! Alors plongeons et développons ces compétences. Commençant par le début, voici le
syntaxe de commande que vous utilisez pour ajouter une route statique à une table de routage à partir de la configuration globale :
next-hop_address Il
s'agit de l'adresse IP du routeur du prochain saut qui recevra les paquets et
les transmettre au réseau distant, ce qui doit signifier une interface de routeur qui est directement sur un
réseau connecté. Vous devez être en mesure d'envoyer un ping à l'interface du routeur avant de pouvoir
ajouter l'itinéraire. Remarque importante pour moi-même : si vous saisissez la mauvaise adresse de saut suivant ou le
l'interface vers le bon routeur est en panne, la route statique apparaîtra dans la configuration du routeur
mais pas dans la table de routage.
exitinterface Utilisé
à la place de l'adresse du saut suivant si vous le souhaitez, et s'affiche directement
itinéraire connecté.
administrative_distance Par
défaut, les routes statiques ont une distance administrative de 1 ou 0 si vous
utilisez une interface de sortie au lieu d'une adresse de saut suivant. Vous pouvez modifier la valeur par défaut en ajoutant
un poids administratif en fin de commande. J'en parlerai beaucoup plus tard dans le
chapitre lorsque nous arrivons à la section sur le routage dynamique.
permanente Si
l'interface est arrêté ou le routeur ne peut pas communiquer au routeur suivant-hop, la
route sera automatiquement supprimé de la table de routage par défaut. Choisir la permanente
L'option conserve l'entrée dans la table de routage quoi qu'il arrive.
Avant de vous guider dans la configuration des routes statiques, examinons un exemple de route statique vers
voir ce qu'on peut en savoir :
La commande ip route nous dit simplement qu'il s'agit d'une route statique.
Page 130
172.16.3.0 est le réseau distant auquel nous voulons envoyer des paquets.
192.168.2.4 est le prochain saut, ou routeur, auquel les paquets seront envoyés.
Mais que se passe-t-il si la route statique ressemble à ceci à la place ?
Ce 150 à la fin change la distance administrative (AD) par défaut de 1 à 150. Comme je l'ai dit, je vais
parler beaucoup plus d'AD lorsque nous entrons dans le routage dynamique, mais pour l'instant, n'oubliez pas que le
AD est la fiabilité d'un itinéraire, où 0 est le meilleur et 255 est le pire.
Au lieu d'utiliser une adresse de saut suivant, nous pouvons utiliser une interface de sortie qui fera apparaître la route
comme un réseau directement connecté. Fonctionnellement, l'interface de saut suivant et de sortie fonctionne exactement comme
même.
Pour vous aider à comprendre le fonctionnement des routes statiques, je vais vous montrer la configuration sur le
l'interréseau illustré précédemment à la figure 9.8 . Le voici à nouveau dans la figure 9.9 pour vous éviter la peine
d'avoir à faire des allers-retours pour voir la même figure.
Société
Page 131
Chaque table de routage inclut automatiquement les réseaux directement connectés. Pour être en mesure d'acheminer vers tous
réseaux indirectement connectés au sein de l'interréseau, la table de routage doit inclure
informations qui décrivent où se trouvent ces autres réseaux et comment y accéder.
Le routeur Corp est connecté à trois réseaux. Pour que le routeur Corp puisse router vers tous
réseaux, les réseaux suivants doivent être configurés dans sa table de routage :
192.168.10.0
192.168.20.0
La sortie de routeur suivante montre les routes statiques sur le routeur Corp et la table de routage après
la config. Pour que le routeur Corp trouve les réseaux distants, je devais placer une entrée dans
la table de routage décrivant le réseau distant, le masque distant, et où envoyer le
paquets. Je vais ajouter un 150 à la fin de chaque ligne pour augmenter la distance administrative. Vous allez
voir pourquoi bientôt lorsque nous arrivons au routage dynamique. Souvent, cela est également appelé flotteur
route statique car la route statique a une distance administrative plus élevée que n'importe quel routage
protocole et ne sera utilisé que si les routes trouvées avec les protocoles de routage tombent en panne. Ici se trouve le
sortir:
Corp# config t
Corp(config)# ip route 192.168.10.0 255.255.255.0 172.16.10.2 150
Corp(config)# ip route 192.168.20.0 255.255.255.0 s0/1 150
Corp(config)# affiche l'exécution | commencer la route ip
route IP 192.168.10.0 255.255.255.0 172.16.10.2 150
ip route 192.168.20.0 255.255.255.0 Serial0/1 150
J'avais besoin d'utiliser des chemins différents pour les réseaux 192.168.10.0 et 192.168.20.0, j'ai donc utilisé un saut suivant
adresse pour le routeur SF et une interface de sortie pour le routeur LA. Une fois que le routeur a été
configuré, vous pouvez simplement taper show ip route pour voir les routes statiques :
Le routeur Corp est configuré pour acheminer et connaître toutes les routes vers tous les réseaux. Mais pouvez-vous voir un
différence dans la table de routage pour les routes vers SF et LA ? C'est exact! Le prochain saut
la configuration s'est présentée comme via, et la route configurée avec une configuration d'interface de sortie
apparaît comme statique mais aussi comme directement connecté ! Cela montre comment ils sont fonctionnellement
le même mais s'affichera différemment dans la table de routage.
Comprenez que si les routes n'apparaissent pas dans la table de routage, c'est parce que le routeur ne peut pas
communiquer avec l'adresse de saut suivant que vous avez configurée. Mais vous pouvez toujours utiliser le permanent
paramètre pour conserver la route dans la table de routage même si le périphérique du saut suivant ne peut pas être contacté.
Le S dans la première entrée de la table de routage signifie que la route est une entrée statique. Le [150/0] signifie
la distance administrative et la métrique au réseau distant, respectivement.
D'accord, nous allons bien. Le routeur Corp dispose désormais de toutes les informations nécessaires pour communiquer avec le
d'autres réseaux distants. Cependant, gardez à l'esprit que si les routeurs SF et LA ne sont pas configurés avec tous
les mêmes informations, les paquets seront rejetés. Nous pouvons résoudre ce problème en configurant des routes statiques.
Ne vous souciez pas du tout des 150 à la fin de la configuration de la route statique,
parce que je promets d'y arriver très bientôt dans ce chapitre, pas un plus tard ! Vous n'avez vraiment pas
besoin de s'en soucier à ce stade.
132
SF
10.10.10.0/24
192.168.20.0/24
172.16.10.4/30
La configuration du routeur SF est révélée dans la sortie suivante. N'oubliez pas que nous allons
ne jamais créer de route statique vers un réseau auquel nous sommes directement connectés ainsi que le fait que nous
doit utiliser le prochain saut de 172.16.10.1 car c'est notre seule connexion de routeur. Voyons le
commandes :
En regardant la table de routage, vous pouvez voir que le routeur SF comprend maintenant comment trouver chaque
réseau:
Et nous pouvons maintenant être assurés que le routeur SF dispose également d'une table de routage complète. Aussitôt que
le routeur LA a tous les réseaux dans sa table de routage, SF pourra communiquer avec tous
réseaux distants !
LA
10.10.10.0/24
172.16.10.0/30
192.168.10.0/24
LA# config t
LA(config)# ip route 10.10.10.0 255.255.255.0 172.16.10.5 150
LA(config)# itinéraire IP 172.16.10.0 255.255.255.252 172.16.10.5 150
LA(config)# itinéraire IP 192.168.10.0 255.255.255.0 172.16.10.5 150
LA(config)# affiche l'exécution | commencer la route ip
ip route 10.10.10.0 255.255.255.0 172.16.10.5 150
route IP 172.16.10.0 255.255.255.252 172.16.10.5 150
route IP 192.168.10.0 255.255.255.0 172.16.10.5 150
Page 133
LA affiche désormais les cinq réseaux de l'interréseau, de sorte qu'il peut également communiquer avec tous
routeurs et réseaux. Mais avant de tester notre petit réseau, ainsi que notre serveur DHCP, allons
couvrir un autre sujet.
LA# config t
LA(config)# pas de route IP 10.10.10.0 255.255.255.0 172.16.10.5 150
LA(config)# pas de route IP 172.16.10.0 255.255.255.252 172.16.10.5 150
LA(config)# pas de route IP 192.168.10.0 255.255.255.0 172.16.10.5 150
LA(config)# itinéraire ip 0.0.0.0 0.0.0.0 172.16.10.5
LA(config)# faire la route IP
[coupure de sortie]
La passerelle de dernier recours est 172.16.10.5 vers le réseau 0.0.0.0
172.16.0.0/30 est divisé en sous-réseaux, 1 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/0/1
L 172.16.10.6/32 est directement connecté, Serial0/0/1
C 192.168.20.0/24 est directement connecté, FastEthernet0/0
L 192.168.20.0/32 est directement connecté, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 172.16.10.5
D'accord, j'ai supprimé toutes les routes statiques initiales que j'avais configurées, et l'ajout d'une route par défaut est un
beaucoup plus facile que de taper un tas de routes statiques ! Pouvez-vous voir l'itinéraire par défaut répertorié en dernier dans le
table de routage? Le S* le montre en tant que candidat pour la route par défaut. Et je veux vraiment que tu
notez que la passerelle de dernier recours est désormais également définie. Tout ce que le routeur reçoit avec un
destination non trouvée dans la table de routage sera transmise au 172.16.10.5. Vous devez être
attention où vous placez les routes par défaut car vous pouvez facilement créer une boucle de réseau !
Nous y sommes donc, nous avons configuré toutes nos tables de routage ! Tous les routeurs ont le bon routage
table, de sorte que tous les routeurs et hôtes devraient pouvoir communiquer sans accroc, pour le moment. Mais si tu
ajouter encore un réseau ou un autre routeur à l'interréseau, vous devrez mettre à jour chacun
et les tables de routage de chaque routeur à la main—pouah ! Pas vraiment un problème du tout si vous avez un petit
réseau comme nous le faisons, mais ce serait un monstre chronophage si vous avez affaire à un grand
interréseau !
Mais nous n'avons pas encore terminé : une fois que toutes les tables de routage des routeurs sont configurées, elles doivent être vérifiées.
La meilleure façon de le faire, en plus d'utiliser la commande show ip route , est via Ping. je vais commencer par ping
du routeur Corp au routeur SF.
Ici, vous pouvez voir que j'ai envoyé un ping du routeur Corp à l'interface distante du routeur SF.
Maintenant, pingons le réseau distant sur le routeur LA, et après cela, nous testerons notre serveur DHCP
et regarde si ça marche aussi !
Page 134
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max = 1/2/4 ms
Numéro d'entreprise
Et pourquoi ne pas tester ma configuration du serveur DHCP sur le routeur Corp pendant qu'on y est ? je suis
va aller à chaque hôte sur les routeurs SF et LA et en faire des clients DHCP. D'ailleurs, je suis
utiliser un ancien routeur pour représenter les « hôtes », ce qui fonctionne très bien à des fins d'étude.
Voici comment j'ai fait ça :
SF_PC(config)# int e0
SF_PC(config-if)# adresse ip dhcp
SF_PC(config-if)# non fermé
Interface Ethernet0 attribuée adresse DHCP 192.168.10.8, masque 255.255.255.0
LA_PC(config)# int e0
LA_PC(config-if)# adresse ip dhcp
LA_PC(config-if)# pas de fermeture
Interface Ethernet0 affectée à l'adresse DHCP 192.168.20.4, masque 255.255.255.0
Joli! N'aimez-vous pas quand les choses fonctionnent juste la première fois ? Malheureusement, ce n'est tout simplement pas réaliste
attentes dans le monde des réseaux, nous devons donc être en mesure de dépanner et de vérifier nos
réseaux. Vérifions notre serveur DHCP avec quelques-unes des commandes que vous avez apprises au chapitre
7:
On voit plus haut que notre petit serveur DHCP fonctionne ! Essayons un autre couple de
commandes :
La dernière commande nous dirait si nous avions deux hôtes avec la même adresse IP, donc c'est une bonne nouvelle
car il n'y a pas de conflits signalés ! Deux méthodes de détection sont utilisées pour le confirmer :
Un ping du serveur DHCP pour s'assurer qu'aucun autre hôte ne répond avant de distribuer un
adresse
Un ARP gratuit d'un hôte qui reçoit une adresse DHCP du serveur
Le client DHCP enverra une requête ARP avec sa nouvelle adresse IP cherchant à voir si quelqu'un
répond, et si c'est le cas, il signalera le conflit au serveur.
D'accord, puisque nous pouvons communiquer de bout en bout et avec chaque hôte sans problème pendant que
recevoir des adresses DHCP de notre serveur, je dirais nos configurations de routes statiques et par défaut
ont été un succès — bravo !
Routage dynamique
135
Le routage dynamique se produit lorsque des protocoles sont utilisés pour rechercher des réseaux et mettre à jour les tables de routage sur
routeurs. C'est beaucoup plus facile que d'utiliser le routage statique ou par défaut, mais cela vous coûtera en termes de
traitement CPU du routeur et bande passante sur les liaisons réseau. Un protocole de routage définit l'ensemble des
règles utilisées par un routeur lorsqu'il communique des informations de routage entre des routeurs voisins.
Le protocole de routage dont je vais parler dans ce chapitre est le protocole d'information de routage
(RIP) versions 1 et 2.
Deux types de protocoles de routage sont utilisés dans les interréseaux : les protocoles de passerelle intérieure (IGP) et
protocoles de passerelle extérieure (EGP) . Les IGP sont utilisés pour échanger des informations de routage avec les routeurs
dans le même système autonome (AS) . Un AS est soit un réseau unique, soit un ensemble de réseaux
sous un domaine administratif commun, ce qui signifie essentiellement que tous les routeurs partageant le même
Les informations de table de routage sont dans le même AS. Les EGP sont utilisés pour communiquer entre les AS. Un
un exemple d'EGP est le Border Gateway Protocol (BGP), dont nous n'allons pas nous occuper
car cela dépasse le cadre de ce livre.
Étant donné que les protocoles de routage sont si essentiels au routage dynamique, je vais vous donner les bases
informations que vous devez connaître à leur sujet ensuite. Plus loin dans ce chapitre, nous nous concentrerons sur
configuration.
Distances administratives
La distance administrative (AD) est utilisée pour évaluer la fiabilité des informations de routage
reçu sur un routeur d'un routeur voisin. Une distance administrative est un nombre entier de 0 à
255, où 0 est le plus fiable et 255 signifie qu'aucun trafic ne sera transmis via cette route.
Si un routeur reçoit deux mises à jour répertoriant le même réseau distant, la première chose que le routeur vérifie
est l'AD. Si l'une des routes annoncées a un AD inférieur à l'autre, alors la route avec le
AD le plus bas sera choisi et placé dans la table de routage.
Si les deux routes annoncées vers le même réseau ont le même AD, alors les métriques du protocole de routage
comme le nombre de sauts et/ou la bande passante des lignes seront utilisés pour trouver le meilleur chemin vers la télécommande
réseau. La route annoncée avec la métrique la plus basse sera placée dans la table de routage, mais si
les deux routes annoncées ont le même AD ainsi que les mêmes métriques, puis le protocole de routage
équilibrera la charge sur le réseau distant, ce qui signifie que le protocole enverra des données sur chaque lien.
Le Tableau 9.1 montre les distances administratives par défaut qu'un routeur Cisco utilise pour décider
route à emprunter vers un réseau distant.
Interface connectée 0
Route statique 1
BGP externe 20
EIGRP 90
OSPF 110
DÉCHIRURE 120
Page 136
Si vous avez une route statique, une route annoncée par RIP et une route annoncée par EIGRP répertoriant les
même réseau, avec quelle route le routeur ira-t-il ? C'est vrai, par défaut, le routeur
utilisez toujours la route statique à moins que vous ne changiez son AD, ce que nous avons fait !
Protocoles de routage
Vecteur de distance Les protocoles de vecteur de distance utilisés aujourd'hui trouvent le meilleur chemin vers un
réseau en jugeant la distance. Dans le routage RIP, chaque instance où un paquet passe par un routeur
est appelé un saut, et la route avec le moins de sauts vers le réseau sera choisie comme
meilleur. Le vecteur indique la direction vers le réseau distant. RIP est un vecteur de distance
protocole de routage et envoie périodiquement la totalité de la table de routage aux
voisins.
État de la liaison Dans les protocoles à état de liaison, également appelés protocoles SPF (shortest-path-first), les routeurs
chacun crée trois tables distinctes. L'une de ces tables garde la trace des voisins directement attachés,
l'un détermine la topologie de l'ensemble de l'interréseau et l'autre sert de table de routage.
Les routeurs à état de liens en savent plus sur l'interréseau que n'importe quel protocole de routage à vecteur de distance
jamais pu. OSPF est un protocole de routage IP entièrement à état de lien. Tables de routage à état de liens
ne sont pas échangés périodiquement. Au lieu de cela, des mises à jour déclenchées contenant uniquement un état de lien spécifique
les informations sont envoyées. Keepalives périodiques petites et efficaces, sous forme de bonjour
messages, sont échangés entre voisins directement connectés pour établir et maintenir
relations de voisinage.
Vecteur de distance avancé Les protocoles de vecteur de distance avancé utilisent des aspects à la fois de
protocoles vectoriels et à état de liens, et EIGRP est un excellent exemple. EIGRP peut agir comme un état de liaison
protocole de routage car il utilise un protocole Hello pour découvrir les voisins et former des voisins
relations et parce que seules des mises à jour partielles sont envoyées lorsqu'un changement se produit. Cependant, EIGRP
est toujours basé sur le principe clé du protocole de routage à vecteur de distance selon lequel les informations sur le
le reste du réseau est appris des voisins directement connectés.
Il n'y a pas d'ensemble de règles à suivre qui dictent exactement comment configurer largement les protocoles de routage
pour chaque situation. C'est une tâche qui doit vraiment être entreprise au cas par cas, avec un œil
sur les besoins spécifiques de chacun. Si vous comprenez comment les différents protocoles de routage
travail, vous pouvez prendre de bonnes décisions solides qui répondront solidement aux besoins individuels de tout
Entreprise!
RIP version 1 utilise uniquement le routage par classe , ce qui signifie que tous les périphériques du réseau doivent utiliser
le même masque de sous-réseau. C'est parce que RIP version 1 n'envoie pas de mises à jour avec le masque de sous-réseau
informations en remorque. RIP version 2 fournit quelque chose appelé routage de préfixe et envoie un sous-réseau
masquer les informations avec ses mises à jour d'itinéraire. C'est ce qu'on appelle le routage sans classe .
Page 137
Donc, avec cela, configurons notre réseau actuel avec RIPv2, avant de passer au suivant
chapitre.
Société
RIP a une distance administrative de 120. Les routes statiques ont une distance administrative de 1 par
par défaut, et puisque nous avons actuellement des routes statiques configurées, les tables de routage ne seront pas
renseigné par défaut avec les informations RIP. Nous sommes toujours bons parce que j'ai ajouté le 150 à
la fin de chaque route statique !
Vous pouvez ajouter le protocole de routage RIP à l'aide de la commande router rip et de la commande network .
La commande network indique au protocole de routage quel réseau classful annoncer. En faisant
ceci, vous activez le processus de routage RIP sur les interfaces dont l'adressage relève du
réseaux par classe spécifiés configurés avec la commande network sous le processus de routage RIP.
Regardez la configuration du routeur Corp pour voir à quel point c'est facile. Oh, attendez, d'abord, je veux vérifier mon
réseaux directement connectés donc je sais avec quoi configurer RIP :
C'est ça, vraiment ! Généralement, juste deux ou trois commandes et vous avez terminé, ce qui rend votre
travail beaucoup plus facile que de traiter des routes statiques, n'est-ce pas ? Assurez-vous de garder à l'esprit le routeur supplémentaire
Processus CPU et bande passante que vous consommez.
Quoi qu'il en soit, alors qu'est-ce que j'ai fait exactement ici? J'ai activé le protocole de routage RIP, ajouté mon directement
réseaux connectés, je me suis assuré que je n'exécutais que RIPv2, qui est un protocole de routage sans classe,
puis j'ai désactivé le résumé automatique. Nous ne voulons généralement pas que nos protocoles de routage résument
pour nous car il est préférable de le faire manuellement et à la fois RIP et EIGRP (avant le code 15.x) auto-
résumer par défaut. Donc, une règle générale est de désactiver le résumé automatique, ce qui leur permet
pour annoncer des sous-réseaux.
Remarquez que je n'ai pas tapé de sous-réseaux, seulement l'adresse réseau par classe, qui est trahie par le fait
que tous les bits de sous-réseau et les bits d'hôte sont désactivés ! C'est parce qu'avec le routage dynamique, ce n'est pas mon travail et
c'est au protocole de routage de trouver les sous-réseaux et de remplir les tables de routage. Et puisque nous
n'ayez aucun routeur associé exécutant RIP, nous ne verrons pas encore de routes RIP dans la table de routage.
N'oubliez pas que RIP utilise l'adresse par classe lors de la configuration du réseau
adresse. Pour clarifier cela, référez-vous à l'exemple dans notre réseau avec une adresse de
172.16.0.0/24 en utilisant les sous-réseaux 172.16.10.0 et 172.16.20.0. Vous ne saisiriez que le
l'adresse réseau classful de 172.16.0.0 et laissez RIP trouver les sous-réseaux et les placer dans le
table de routage. Cela ne signifie pas que vous exécutez un protocole de routage par classe ; c'est juste le
Page 138
façon dont RIP et EIGRP sont configurés.
SF
Configurons maintenant notre routeur SF, qui est connecté à deux réseaux. Nous devons configurer
les deux réseaux classful directement connectés, pas les sous-réseaux :
C'était assez simple. Parlons de cette table de routage. Puisque nous avons un copain RIP
là-bas avec qui nous échangeons des tables de routage, nous pouvons voir les réseaux RIP en provenance de
le routeur Corp. Toutes les autres routes apparaissent toujours comme statiques et locales. RIP a également trouvé les deux
connexions via le routeur Corp aux réseaux 10.10.10.0 et 172.16.10.4. Mais nous ne sommes pas
déjà fait!
LA
Configurons notre routeur LA avec RIP, seulement je vais d'abord supprimer la route par défaut, même
même si je n'ai pas à le faire. Vous verrez pourquoi bientôt :
LA# config t
LA(config)# pas de route IP 0.0.0.0 0.0.0.0
LA(config)# routeur rip
LA(config-routeur)# réseau 192.168.20.0
LA(config-routeur)# réseau 172.16.0.0
LA(config-router)# pas d'auto
LA(config-routeur)# vers 2
LA(config-router)# affiche la route IP
R 192.168.10.0/24 [120/2] via 172.16.10.5, 00:00:10, Série0/0/1
172.16.0.0/30 est divisé en sous-réseaux, 3 sous-réseaux
C 172.16.10.4 est directement connecté, Serial0/0/1
L 172.16.10.6/32 est directement connecté, Serial0/0/1
R 172.16.10.0 [120/1] via 172.16.10.5, 00:00:10, Série0/0/1
C 192.168.20.0/24 est directement connecté, FastEthernet0/0
L 192.168.20.1/32 est directement connecté, FastEthernet0/0
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux
R 10.10.10.0 [120/1] via 172.16.10.5, 00:00:10, Série0/0/1
La table de routage fait germer de nouveaux R au fur et à mesure que nous ajoutons des amis RIP ! Nous pouvons encore voir que tous les itinéraires sont en
la table de routage.
Cette sortie nous montre essentiellement la même table de routage et les mêmes entrées qu'elle avait lorsque nous
utilisaient des routes statiques, sauf pour les R s ». Un R indique que les réseaux ont été ajoutés
dynamiquement à l'aide du protocole de routage RIP. Le [120/1] est la distance administrative du
route (120) avec la métrique, qui pour RIP est le nombre de sauts vers ce réseau distant
(1). Depuis le routeur Corp, tous les réseaux sont à un saut.
Donc, bien que oui, il est vrai que RIP a fonctionné dans notre petit interréseau, ce n'est tout simplement pas une excellente solution
Page 139
pour la plupart des entreprises. Son nombre maximum de sauts de seulement 15 est un facteur très limitatif. Et cela
effectue des mises à jour complètes de la table de routage toutes les 30 secondes, ce qui apporterait un plus grand interréseau à
un crawl douloureux en un rien de temps !
Il y a encore une chose que je veux vous montrer sur les tables de routage RIP et les paramètres utilisés
pour annoncer les réseaux distants. Utiliser un routeur différent sur un réseau différent comme exemple pour un
Deuxièmement, examinez la sortie suivante. Pouvez-vous repérer où la table de routage suivante montre
[120/15] dans
la métrique de réseau 10.1.3.0 ? Cela signifie que la distance administrative est de 120, le
par défaut pour RIP, mais le nombre de sauts est de 15. N'oubliez pas qu'à chaque fois qu'un routeur envoie une mise à jour
à un routeur voisin, le nombre de sauts augmente d'un incrément pour chaque route ! Voici ça
sortie maintenant :
Donc ce [120/15] est vraiment mauvais. Nous sommes fondamentalement condamnés parce que le prochain routeur qui reçoit le
table de ce routeur supprimera simplement la route vers le réseau 10.1.3.0 car le nombre de sauts serait
monter à 16, ce qui est invalide !
Si un routeur reçoit une mise à jour de routage qui contient un chemin plus coûteux vers un
réseau qui est déjà dans sa table de routage, la mise à jour sera ignorée.
Il existe différentes manières d'empêcher les mises à jour RIP indésirables de se propager sur votre
LAN et WAN, et le plus simple est via la commande passive-interface . Cette commande
empêche les diffusions de mise à jour RIP d'être envoyées à partir d'une interface spécifiée mais permet toujours que
même interface pour recevoir les mises à jour RIP.
Voici un exemple de configuration d'une interface passive sur l' interface Fa0/1 du routeur Corp,
que nous prétendrons être connecté à un réseau local sur lequel nous ne voulons pas RIP (et l'interface n'est pas
montré sur la figure) :
Corp# config t
Corp(config)# routeur rip
Corp(config-router)# interface passive FastEthernet 0/1
Cette commande arrêtera la propagation des mises à jour RIP hors de l'interface FastEthernet 0/1,
mais il peut toujours recevoir des mises à jour RIP.
Page 140
Vous avez été embauché en tant que consultant pour installer quelques routeurs Cisco dans un
réseau. Ils ont quelques vieux routeurs Unix qu'ils veulent garder sur le réseau.
Ces routeurs ne prennent en charge aucun protocole de routage à l'exception de RIP. Je suppose que cela signifie que vous venez
doivent exécuter RIP sur l'ensemble du réseau. Si tu étais chauve avant, ta tête brille maintenant
comme le chrome.
Pas besoin d'abandonner le navire, vous pouvez exécuter RIP sur un routeur connectant cet ancien
réseau, mais vous n'avez certainement pas besoin d'exécuter RIP sur tout l'interréseau !
Vous pouvez faire ce qu'on appelle la redistribution , qui se traduit essentiellement par un type de
protocole de routage vers un autre. Cela signifie que vous pouvez prendre en charge ces anciens routeurs à l'aide de RIP
mais utilisez quelque chose de bien mieux comme Enhanced IGRP sur le reste de votre réseau.
Cela empêchera les routes RIP d'être envoyées sur tout l'interréseau engloutissant tout ce qui
bande passante précieuse !
Maintenant, je vais vous expliquer comment annoncer un moyen de sortir de votre système autonome pour
autres routeurs, et vous verrez que cela se fait de la même manière avec OSPF. Imaginez que notre Corp
L'interface Fa0/0 du routeur est connectée à un certain type de Metro-Ethernet en tant que connexion au
L'Internet. Il s'agit d'une configuration assez courante aujourd'hui qui utilise une interface LAN pour se connecter à
le FAI au lieu d'une interface série.
Si nous ajoutons une connexion Internet à Corp, tous les routeurs de notre AS (SF et LA) doivent savoir où
envoyer des paquets destinés aux réseaux sur Internet ou ils vont simplement laisser tomber les paquets quand ils
obtenir une demande à distance. Une solution à ce petit problème serait de placer une route par défaut sur chaque
routeur et acheminer les informations vers Corp, qui à son tour aurait une route par défaut vers le FAI.
La plupart des gens font ce type de configuration dans des réseaux de petite à moyenne taille, car il
fonctionne plutôt bien !
Mais comme j'exécute RIPv2 sur tous les routeurs, je vais simplement ajouter une route par défaut sur le routeur Corp à notre
FAI, comme je le ferais normalement. Je vais ensuite ajouter une autre commande pour annoncer mon réseau à l'autre
routeurs dans l'AS comme route par défaut pour leur montrer où envoyer les paquets destinés au
L'Internet.
Pouvez-vous voir cette dernière entrée? Il crie que c'est une route injectée RIP, mais c'est aussi une route par défaut,
donc notre commande d' origine des informations par défaut fonctionne ! Enfin, notez que la passerelle de last
La station balnéaire est désormais également définie.
Page 141
Si tout ce que vous avez appris est clair et compris, félicitations, vous êtes prêt à passer à autre chose
au chapitre suivant juste après avoir parcouru les laboratoires écrits et pratiques, et pendant que vous êtes à
ça, n'oubliez pas les questions de révision !
Sommaire
Ce chapitre a couvert le routage IP en détail. Encore une fois, il est extrêmement important de bien comprendre les
bases que nous avons abordées dans ce chapitre, car tout ce qui est fait sur un routeur Cisco sera généralement
avoir une sorte de routage IP configuré et en cours d'exécution.
Vous avez appris comment le routage IP utilise des trames pour transporter des paquets entre les routeurs et vers le
hôte de destination. À partir de là, nous avons configuré le routage statique sur nos routeurs et discuté de la
distance administrative utilisée par IP pour déterminer la meilleure route vers un réseau de destination. Tu
découvert que si vous avez un réseau stub, vous pouvez configurer le routage par défaut, qui définit le
passerelle de dernier recours sur un routeur.
Nous avons ensuite discuté du routage dynamique, en particulier de RIPv2 et de son fonctionnement sur un interréseau,
ce qui n'est pas très bien !
Essentiels de l'examen
Décrire le processus de routage IP de base. Vous devez vous rappeler que le cadre change à
chaque saut, mais que le paquet n'est jamais modifié ou manipulé de quelque façon que ce soit jusqu'à ce qu'il atteigne le
périphérique de destination (le champ TTL dans l'en-tête IP est décrémenté pour chaque saut, mais c'est tout !).
Répertoriez les informations requises par un routeur pour acheminer les paquets avec succès. Pouvoir
pour acheminer des paquets, un routeur doit connaître, au minimum, l'adresse de destination, l'emplacement de
routeurs voisins par lesquels il peut atteindre les réseaux distants, routes possibles vers tous les
réseaux, la meilleure route vers chaque réseau distant, et comment maintenir et vérifier le routage
informations.
Décrivez comment les adresses MAC sont utilisées pendant le processus de routage. Un MAC (matériel)
l'adresse ne sera utilisée que sur un réseau local local. Il ne passera jamais l'interface d'un routeur. Une trame utilise MAC
(matérielle) adresses pour envoyer un paquet sur un réseau local. La trame amènera le paquet soit à un hôte
sur le LAN ou l'interface d'un routeur (si le paquet est destiné à un réseau distant). Sous forme de paquets
passer d'un routeur à un autre, les adresses MAC utilisées changeront, mais normalement les adresses d'origine
les adresses IP source et de destination dans le paquet ne le seront pas.
Afficher et interpréter la table de routage d'un routeur. Utilisez la commande show ip route pour afficher
la table de routage. Chaque route sera répertoriée avec la source des informations de routage. Un C à
la gauche de l'itinéraire indiquera les itinéraires directement connectés, et d'autres lettres à côté de l'itinéraire peuvent
indiquer également un protocole de routage particulier qui a fourni l'information, comme, par exemple, R
pour RIP.
Différencier les trois types de routage. Les trois types de routage sont statiques (dans lesquels
les routes sont configurées manuellement au niveau de la CLI), dynamiques (dans lesquelles les routeurs partagent le routage
via un protocole de routage) et le routage par défaut (dans lequel une route spéciale est configurée pour
tout le trafic sans un réseau de destination plus spécifique trouvé dans le tableau).
Comparez et contrastez le routage statique et dynamique. Le routage statique ne crée aucun routage
mettre à jour le trafic et crée moins de surcharge sur le routeur et les liens réseau, mais il doit être
configuré manuellement et n'a pas la capacité de réagir aux pannes de liaison. Routage dynamique
crée un trafic de mise à jour de routage et utilise plus de temps système sur le routeur et les liaisons réseau.
Configurez les routes statiques sur la CLI. La syntaxe de commande pour ajouter une route est ip route
[destination_network] [mask] [next-hop_address ou exitinterface] [administrative_distance]
[permanent] .
Créez un itinéraire par défaut. Pour ajouter une route par défaut, utilisez la syntaxe de commande ip route 0.0.0.0
0.0.0.0 adresse IP ou type et numéro d'interface de sortie .
Page 142
Différencier les protocoles de routage à vecteur de distance, à état de lien et hybride. Distance-
les protocoles de routage vectoriels prennent des décisions de routage en fonction du nombre de sauts (pensez à RIP), tandis que l'état des liens
les protocoles de routage sont capables de prendre en compte plusieurs facteurs tels que la bande passante disponible et la construction d'un
tableau de topologie. Les protocoles de routage hybride présentent des caractéristiques des deux types.
Configurez le routage RIPv2. Pour configurer le routage RIP, vous devez d'abord être en configuration globale
mode , puis vous tapez la commande router rip . Ensuite, vous ajoutez tous les réseaux directement connectés,
en veillant à utiliser l'adresse classful et la commande version 2 et à désactiver l'auto-
résumé avec la commande no auto-summary .
Laboratoire écrit 9
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».
1. À l'invite de commande appropriée, créez une route statique vers le réseau 172.16.10.0/24 avec un
passerelle de saut suivant de 172.16.20.1 et une distance administrative de 150.
2. Lorsqu'un PC envoie un paquet à un autre PC dans un réseau distant, quelles adresses de destination seront
être dans la trame qu'il envoie à sa passerelle par défaut ?
3. À l'invite de commande appropriée, créez une route par défaut vers 172.16.40.1.
4. Sur quel type de réseau une route par défaut est-elle la plus avantageuse ?
6. Lors de la création d'une route statique ou par défaut, vous n'avez pas besoin d'utiliser l'adresse IP du saut suivant ; tu
peut utiliser le ______________.
7. Vrai/Faux : Pour atteindre un hôte distant, vous devez connaître l'adresse MAC de l'hôte distant.
8. Vrai/Faux : Pour atteindre un hôte distant, vous devez connaître l'adresse IP de l'hôte distant.
9. À la ou aux invites de commande appropriées, empêchez un routeur de propager les informations RIP
sortie série 1.
Laboratoires pratiques
Dans les ateliers pratiques suivants, vous allez configurer un réseau avec trois routeurs. Ces exercices
supposent toutes les mêmes exigences de configuration que les laboratoires trouvés dans les chapitres précédents. Vous pouvez utiliser du vrai
routeurs, la version LammleSim IOS disponible sur www.lammle.com/ccna ou Cisco Packet Tracer
programme pour exécuter ces laboratoires.
L'interréseau illustré dans le graphique suivant sera utilisé pour configurer tous les routeurs.
Page 143
Le tableau 9.2 montre nos adresses IP pour chaque routeur (chaque interface utilise un masque /24).
TABLEAU 9.2 Nos adresses IP
Adresse IP de l'interface du routeur
Ces travaux pratiques ont été écrits sans utiliser l'interface LAN sur le routeur Lab_B. Vous pouvez choisir de
ajoutez ce réseau local aux laboratoires si nécessaire. De plus, si vous avez suffisamment d'interfaces LAN, vous ne
besoin d'ajouter les interfaces série dans ce laboratoire. L'utilisation de toutes les interfaces LAN est très bien.
1. Le routeur Lab_A est connecté à deux réseaux, 172.16.10.0 et 172.16.20.0. Vous devez
ajouter des routes aux réseaux 172.16.30.0 et 172.16.40.0. Utilisez les commandes suivantes pour ajouter le
routes statiques :
Lab_A# config t
Lab_A(config)# ip route 172.16.30.0 255.255.255.0
172.16.20.2
Lab_A(config)# ip route 172.16.40.0 255.255.255.0
172.16.20.2
2. Enregistrez la configuration actuelle du routeur Lab_A en passant en mode privilégié, en tapant copy
lancez start et appuyez sur Entrée.
3. Sur le routeur Lab_B, vous disposez de connexions directes aux réseaux 172.16.20.0 et 172.16.30.0.
Vous devez ajouter des routes aux réseaux 172.16.10.0 et 172.16.40.0. Utilisez le suivant
commandes pour ajouter les routes statiques :
Lab_B# config t
Lab_B(config)# ip route 172.16.10.0 255.255.255.0
172.16.20.1
Lab_B(config)# ip route 172.16.40.0 255.255.255.0
172.16.30.2
4. Enregistrez la configuration actuelle du routeur Lab_B en passant en mode activé, en tapant copy
lancez start et appuyez sur Entrée.
Page 144
5. Sur le routeur Lab_C, créez une route statique vers les réseaux 172.16.10.0 et 172.16.20.0, qui sont
pas directement connecté. Créez des routes statiques pour que le routeur Lab_C puisse voir tous les réseaux, en utilisant
les commandes montrées ici :
Lab_C# config t
Lab_C(config)# ip route 172.16.10.0 255.255.255.0
172.16.30.1
Lab_C(config)# ip route 172.16.20.0 255.255.255.0
172.16.30.1
6. Enregistrez la configuration actuelle du routeur Lab_C en passant en mode d'activation, en tapant copy run
start et appuyez sur Entrée.
7. Vérifiez vos tables de routage pour vous assurer que les quatre réseaux s'affichent en exécutant la commande show ip
commande d' itinéraire .
8. Maintenant, envoyez un ping de chaque routeur à vos hôtes et de chaque routeur à chaque routeur. S'il est mis en place
correctement, cela fonctionnera.
1. Supprimez toutes les routes statiques ou routes par défaut configurées sur vos routeurs à l'aide de la commande no ip
commande d' itinéraire . Par exemple, voici comment supprimer les routes statiques sur le Lab_A
routeur :
Lab_A# config t
Lab_A(config)# pas de route IP 172.16.30.0 255.255.255.0
172.16.20.2
Lab_A(config)# pas de route IP 172.16.40.0 255.255.255.0
172.16.20.2
Faites la même chose pour les routeurs Lab_B et Lab_C. Vérifiez que seul votre directement connecté
les réseaux sont dans les tables de routage.
2. Une fois que vos routes statiques et par défaut sont claires, passez en mode de configuration sur le routeur Lab_A en
en tapant config t .
3. Dites à votre routeur d'utiliser le routage RIP en tapant router rip et en appuyant sur Entrée, comme indiqué ici :
configuration t
déchirure de routeur
4. Ajoutez le numéro de réseau des réseaux que vous souhaitez annoncer. Étant donné que le routeur Lab_A a deux
interfaces qui se trouvent dans deux réseaux différents, vous devez saisir une déclaration de réseau à l'aide de la
ID de réseau du réseau dans lequel réside chaque interface. Alternativement, vous pouvez utiliser un
résumé de ces réseaux et d'utiliser une seule déclaration, en minimisant la taille de la
table de routage. Étant donné que les deux réseaux sont 172.16.10.0/24 et 172.16.20.0/24, le réseau
le résumé 172.16.0.0 inclurait les deux sous-réseaux. Pour ce faire, tapez network 172.16.0.0
et en appuyant sur Entrée.
6. Les interfaces sur Lab_B et Lab_C sont dans les réseaux 172.16.20.0/24 et 172.16.30.0/24 ;
par conséquent, la même déclaration de réseau résumée y fonctionnera également. Tapez le même
commandes, comme indiqué ici :
Config t
Déchirement de routeur
réseau 172.16.0.0
7. Vérifiez que RIP s'exécute sur chaque routeur en saisissant les commandes suivantes sur chaque routeur :
afficher l'itinéraire ip
Page 145
(Doit indiquer que RIP est présent et que les réseaux sont annoncés.)
8. Enregistrez vos configurations en tapant copy run start ou copy running-config startup-config et
appuyant sur Entrée sur chaque routeur.
9. Vérifiez le réseau en effectuant une requête ping sur tous les réseaux et hôtes distants.
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
2. Vous visualisez la table de routage et vous voyez une entrée 10.1.1.1/32. Quel code de légende
vous attendez-vous à voir à côté de cette route?
A.C
B. L
C. S
D.D
3. Lesquelles des affirmations suivantes sont vraies concernant la commande ip route 172.16.4.0
255.255.255.0 192.168.4.2 ? (Choisissez deux.)
A. La commande est utilisée pour établir une route statique.
4. Quelles adresses de destination seront utilisées par HostA pour envoyer des données au serveur HTTPS comme indiqué
dans le réseau suivant ? (Choisissez deux.)
A. L'adresse IP du commutateur
5. À l'aide de la sortie affichée, quel protocole a été utilisé pour apprendre l'adresse MAC de 172.16.10.1 ?
A. ICMP
B. ARP
C. TCP
D. UDP
6. Lequel des protocoles suivants est appelé protocole de routage à vecteur de distance avancé ?
A. OSPF
B. EIGRP
C. BGP
GOUTTE
7. Lorsqu'un paquet est acheminé sur un réseau, le_________________ dans le paquet change
à chaque saut alors que le __________ ne le fait pas.
8. Quelles affirmations sont vraies concernant les protocoles de routage sans classe ? (Choisissez deux.)
Page 147
D. IGRP prend en charge le routage sans classe au sein du même système autonome.
9. Parmi les affirmations suivantes, lesquelles sont vraies en ce qui concerne le routage à vecteur de distance et à état de lien ?
protocoles ? (Choisissez deux.)
A. L'état du lien envoie sa table de routage complète hors de toutes les interfaces actives à un moment périodique
intervalles.
B. Le vecteur de distance envoie sa table de routage complète hors de toutes les interfaces actives à des intervalles périodiques
intervalles de temps.
C. L'état du lien envoie des mises à jour contenant l'état de ses propres liens à tous les routeurs du
interréseau.
D. Le vecteur de distance envoie des mises à jour contenant l'état de ses propres liens à tous les routeurs du
interréseau.
10. Lorsqu'un routeur recherche la destination dans la table de routage pour chaque paquet, il est
appelé_____________.
A. commutation dynamique
B. commutation rapide
C. commutation de processus
11. Quel(s) type(s) d'itinéraire sont les suivants ? (Choisissez tout ce qui correspond.)
Un défaut
B. Sous-réseau
C. Statique
D. Locale
12. Un administrateur réseau affiche la sortie de la commande show ip route . Un réseau qui
annoncé par RIP et EIGRP apparaît dans la table de routage signalée comme une route EIGRP.
Pourquoi la route RIP vers ce réseau n'est-elle pas utilisée dans la table de routage ?
13. Lequel des éléments suivants n'est pas un avantage du routage statique ?
C. Ajoute la sécurité
14. Quelle métrique RIPv2 utilise-t-il pour trouver le meilleur chemin vers un réseau distant ?
Page 148
A. Nombre de houblon
B. MTU
D. Charge
15. Le routeur d'entreprise reçoit un paquet IP avec une adresse IP source de 192.168.214.20 et un
adresse de destination 192.168.22.3. En regardant la sortie du routeur Corp, quel sera le
routeur faire avec ce paquet?
16. Si votre table de routage a une route statique, RIP et EIGRP vers le même réseau, ce qui
route sera utilisé pour acheminer les paquets par défaut ?
B. Route RIP
C. Route statique
D. Route EIGRP
C. BGP
GOUTTE
C. Ajoute la sécurité
A. afficher l'itinéraire IP
Page 149
D. montrer ip arp
A. Métrique
B. Distance administrative
C. Nombre de houblon
D. Coût
Page 150
Chapitre 10
Commutation de couche 2
2.7.a Statique
2.7.b Dynamique
2.7.c Collant
Vous savez déjà que nous comptons sur la commutation pour diviser les grands domaines de collision en plus petits
et qu'un domaine de collision est un segment de réseau avec deux appareils ou plus partageant le même
bande passante. Un réseau concentrateur est un exemple typique de ce type de technologie. Mais puisque chaque port sur
un commutateur est en fait son propre domaine de collision, nous avons pu créer un bien meilleur réseau local Ethernet
réseau en remplaçant simplement nos hubs par des switchs !
Les commutateurs ont vraiment changé la façon dont les réseaux sont conçus et mis en œuvre. Si un pur commuté
la conception est correctement mise en œuvre, il en résultera absolument un produit propre, rentable et résilient
interréseau. Dans ce chapitre, nous étudierons et comparerons la façon dont les réseaux ont été conçus avant et
Page 151
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Les commutateurs et les ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps à regarder
les informations d'en-tête de la couche réseau. Au lieu de cela, ils regardent les adresses matérielles du cadre
avant de décider de transférer, d'inonder ou de supprimer la trame.
Contrairement aux concentrateurs, les commutateurs créent des domaines de collision privés et dédiés et fournissent des
bande passante exclusive sur chaque port.
Voici une liste de quatre avantages importants que nous tirons de l'utilisation de la commutation de couche 2 :
Vitesse du fil
Faible latence
À bas prix
L'une des principales raisons pour lesquelles la commutation de couche 2 est si efficace est qu'aucune modification du paquet de données n'a lieu.
L'appareil ne lit que la trame encapsulant le paquet, ce qui rend le processus de commutation
considérablement plus rapide et moins sujet aux erreurs que les processus de routage.
Et si vous utilisez la commutation de couche 2 pour la connectivité des groupes de travail et la segmentation du réseau
(brisant les domaines de collision), vous pouvez créer plus de segments de réseau qu'avec
réseaux routés traditionnels. De plus, la commutation de couche 2 augmente la bande passante pour chaque utilisateur car,
encore une fois, chaque connexion, ou interface dans le commutateur, est son propre domaine de collision autonome.
Apprentissage des adresses Les commutateurs de couche 2 mémorisent l'adresse matérielle source de chaque trame
reçu sur une interface et entrez ces informations dans une base de données MAC appelée transfert/filtre
table.
Décisions de transfert/filtrage Lorsqu'une trame est reçue sur une interface, le commutateur examine le
adresse matérielle de destination, puis choisit l'interface de sortie appropriée pour elle dans le MAC
base de données. De cette façon, la trame n'est transférée que depuis le port de destination correct.
Évitement de boucle Si plusieurs connexions entre les commutateurs sont créées pour la redondance
fins, des boucles de réseau peuvent se produire. Le protocole Spanning Tree (STP) est utilisé pour empêcher le
boucles tout en permettant la redondance.
Ensuite, je vais parler de l'apprentissage des adresses et des décisions de transfert/filtrage. L'évitement de boucle est
au-delà de la portée des objectifs couverts dans ce chapitre.
Page 152
Apprentissage d'adresse
Lorsqu'un commutateur est mis sous tension pour la première fois, la table de transfert/filtre MAC (CAM) est vide, comme indiqué dans
Graphique 10.1 .
Lorsqu'un appareil transmet et qu'une interface reçoit une trame, le commutateur place la source de la trame
adresse dans la table de transfert/filtre MAC, lui permettant de se référer à l'interface précise l'envoi
l'appareil se trouve sur. Le commutateur n'a alors d'autre choix que d'inonder le réseau avec cette trame sortante
de chaque port à l'exception du port source car il n'a aucune idée de l'emplacement du périphérique de destination
réellement situé.
Si un appareil répond à cette trame inondée et renvoie une trame, le commutateur prendra la
l'adresse source de cette trame et placez également cette adresse MAC dans sa base de données, en associant
cette adresse avec l'interface qui a reçu la trame. Parce que le commutateur a maintenant les deux
adresses MAC pertinentes dans sa table de filtrage, les deux appareils peuvent désormais faire un point à point
lien. Le commutateur n'a pas besoin d'inonder le cadre comme il l'a fait la première fois car maintenant le
les trames peuvent et ne seront transférées qu'entre ces deux appareils. C'est exactement pourquoi la couche 2
les commutateurs sont tellement supérieurs aux concentrateurs. Dans un réseau concentrateur, toutes les trames sont transférées vers tous les ports chaque
temps, quoi qu'il arrive. La figure 10.2 montre les processus impliqués dans la création d'une base de données MAC.
FIGURE 10.2 Comment les commutateurs apprennent les emplacements des hôtes
Dans cette figure, vous pouvez voir quatre hôtes connectés à un commutateur. Lorsque le commutateur est sous tension, il a
Page 153
rien dans sa table de transfert/filtre d'adresse MAC, comme dans la figure 10.1 . Mais quand les hôtes commencent
communiquant, le commutateur place l'adresse matérielle source de chaque trame dans la table le long
avec le port auquel correspond l'adresse source de la trame.
Permettez-moi de vous donner un exemple de la façon dont une table de transfert/filtre est remplie à l'aide de la figure 10.2 :
1. L'hôte A envoie une trame à l'hôte B. L'adresse MAC de l'hôte A est 0000.8c01.000A ; MAC de l'hôte B
l'adresse est 0000.8c01.000B.
2. Le commutateur reçoit la trame sur l'interface Fa0/0 et place l'adresse source dans le
Tableau d'adresses MAC.
3. Étant donné que l'adresse de destination n'est pas dans la base de données MAC, la trame est transmise à tous
interfaces à l'exception du port source.
4. L'hôte B reçoit la trame et répond à l'hôte A. Le commutateur reçoit cette trame sur l'interface
Fa0/1 et place l'adresse matérielle source dans la base de données MAC.
5. L'hôte A et l'hôte B peuvent désormais établir une connexion point à point et uniquement ces appareils spécifiques
recevra les cadres. Les hôtes C et D ne verront pas les trames, et leurs adresses MAC ne seront pas
trouvé dans la base de données car ils n'ont pas encore envoyé de trame au commutateur.
Lorsqu'une trame arrive à une interface de commutateur, l'adresse matérielle de destination est comparée à la
transmettre/filtrer la base de données MAC. Si l'adresse matérielle de destination est connue et répertoriée dans le
base de données, la trame n'est envoyée que depuis l'interface de sortie appropriée. Le commutateur ne transmettra pas
la trame sur n'importe quelle interface à l'exception de l'interface de destination, qui préserve la bande passante sur
les autres segments du réseau. Ce processus est appelé filtrage de trame .
Mais si l'adresse matérielle de destination n'est pas répertoriée dans la base de données MAC, alors la trame sera
a inondé toutes les interfaces actives à l'exception de l'interface sur laquelle elle a été reçue. Si un appareil répond au
trame inondée, la base de données MAC est ensuite mise à jour avec l'emplacement de l'appareil - son correct
interface.
Si un hôte ou un serveur envoie une diffusion sur le réseau local, par défaut, le commutateur inondera la trame
tous les ports actifs à l'exception du port source. N'oubliez pas que le commutateur crée des domaines de collision plus petits,
mais c'est toujours toujours un grand domaine de diffusion par défaut.
Dans la Figure 10.3 , l'hôte A envoie une trame de données à l'hôte D. À votre avis, que fera le commutateur lorsqu'il
reçoit la trame de l'hôte A ?
FIGURE 10.3 Tableau de transfert/filtre
Page 154
Étant donné que l'adresse MAC de l'hôte A n'est pas dans la table de transfert/filtre, le commutateur ajoutera la source
adresse et port à la table d'adresses MAC, puis transférez la trame à l'hôte D. C'est vraiment
important de se rappeler que le MAC source est toujours vérifié en premier pour s'assurer qu'il est dans le CAM
table. Après cela, si l'adresse MAC de l'hôte D n'a pas été trouvée dans la table de transfert/filtre, le commutateur
aurait inondé la trame sur tous les ports à l'exception du port Fa0/3 car c'est le port spécifique
la trame a été reçue le.
Examinons maintenant la sortie résultant de l'utilisation d'une commande show mac address-table :
Mais disons que le commutateur précédent a reçu une trame avec les adresses MAC suivantes :
Comment le commutateur gérera-t-il ce cadre? La bonne réponse est que l'adresse MAC de destination sera
se trouvent dans la table d'adresses MAC et la trame ne sera transmise que Fa0/3. N'oublie jamais
que si l'adresse MAC de destination n'est pas trouvée dans la table de transfert/filtre, la trame sera
a transféré tous les ports du commutateur, à l'exception de celui sur lequel il a été initialement reçu dans un
essayer de localiser le périphérique de destination. Maintenant que vous pouvez voir la table d'adresses MAC et comment
les commutateurs ajoutent des adresses d'hôte à la table de filtrage de transfert, comment pensons-nous pouvoir la sécuriser à partir de
utilisateurs non autorisés ?
Page 155
Mais comment pouvons-nous réellement empêcher quelqu'un de simplement brancher un hôte sur l'un de nos commutateurs
ports ou pire, en ajoutant un concentrateur, un commutateur ou un point d'accès à la prise Ethernet de leur bureau ? Par
par défaut, les adresses MAC apparaîtront dynamiquement dans votre base de données de transfert/filtre MAC et
vous pouvez les arrêter dans leur élan en utilisant la sécurité du port !
La figure 10.5 montre deux hôtes connectés au port de commutateur unique Fa0/3 via un concentrateur ou un accès
pointe (AP).
FIGURE 10.5 « Sécurité des ports » sur un port de commutateur restreint l'accès au port par adresse MAC.
Le port Fa0/3 est configuré pour observer et autoriser uniquement certaines adresses MAC à s'associer au
port spécifique, donc dans cet exemple, l'hôte A se voit refuser l'accès, mais l'hôte B est autorisé à s'associer avec
Le port.
En utilisant la sécurité des ports, vous pouvez limiter le nombre d'adresses MAC pouvant être attribuées
dynamiquement sur un port, définissez des adresses MAC statiques et, voici ma partie préférée, définissez des pénalités pour
utilisateurs qui abusent de votre politique ! Personnellement, j'aime que le port soit fermé lorsque la sécurité
la politique est violée. Faire en sorte que les agresseurs m'apportent un mémo de leur patron expliquant pourquoi ils ont violé
la politique sécuritaire s'accompagne d'une certaine justice poétique, ce qui est agréable. Et je vais aussi exiger
quelque chose comme ça avant d'activer à nouveau leur port. Des choses comme celle-ci semblent vraiment aider les gens
n'oubliez pas de vous comporter !
Tout cela est bien, mais vous devez toujours équilibrer vos besoins de sécurité particuliers avec le temps qui
leur mise en œuvre et leur gestion exigera de façon réaliste. Si vous avez des tonnes de temps sur votre
mains, alors allez-y et verrouillez sérieusement votre réseau à l'abri du coffre-fort ! Si vous êtes occupé comme le
le reste d'entre nous, je suis ici pour vous rassurer qu'il existe des moyens de bien sécuriser les choses sans être
totalement submergé par une quantité massive de frais administratifs. D'abord, et sans douleur,
n'oubliez jamais de fermer les ports inutilisés ou de les affecter à un VLAN inutilisé. Tous les ports sont
activé par défaut, vous devez donc vous assurer qu'il n'y a pas d'accès aux ports de commutateur inutilisés !
Page 156
Switch# config t
Commutateur(config)# int f0/1
Switch(config-if)# accès en mode switchport
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security ?
vieillissement Commandes de vieillissement de la sécurité des ports
adresse mac Adresse mac sécurisée
maximum Adresses sécurisées max.
violation Mode violation de sécurité
<cr>
La plupart des commutateurs Cisco sont livrés avec leurs ports en mode souhaitable, ce qui signifie que ces ports seront
désir de jonction lorsqu'il détecte qu'un autre commutateur vient d'être connecté. Donc d'abord, nous devons
changez le port du mode souhaitable et faites-en un port d'accès à la place. Si nous ne le faisons pas,
nous ne pourrons pas du tout configurer la sécurité des ports dessus ! Une fois que c'est à l'écart, nous pouvons passer à autre chose
en utilisant nos commandes de sécurité des ports , sans jamais oublier que nous devons activer la sécurité des ports sur le
interface avec la commande de base switchport port-security . Notez que je l'ai fait après avoir fait le
port un port d'accès !
La sortie précédente illustre clairement que la commande switchport port-security peut être utilisée
avec quatre options. Vous pouvez utiliser la commande switchport port-security mac-address mac-address pour
attribuez des adresses MAC individuelles à chaque port de commutateur, mais soyez averti car si vous optez pour cela
option, vous feriez mieux d'avoir beaucoup de temps devant vous !
Vous pouvez configurer l'appareil pour qu'il entreprenne l'une des actions suivantes lorsqu'une violation de sécurité
se produit à l'aide de la commande switchport port-security :
Protéger :
le mode de protection contre les violations supprime les paquets avec des adresses source inconnues jusqu'à ce que vous
supprimez suffisamment d'adresses MAC sécurisées pour tomber en dessous de la valeur maximale.
: le mode de violation de restriction supprime également les paquets avec des adresses source inconnues jusqu'à ce que
Restreindre
vous supprimez suffisamment d'adresses MAC sécurisées pour tomber en dessous de la valeur maximale. Cependant, il
génère également un message de journal, provoque l'incrémentation du compteur de violations de sécurité et envoie un
trappe SNMP.
Arrêt :L'arrêt est le mode de violation par défaut. Le mode de violation d'arrêt met le
l'interface dans un état de désactivation d'erreur immédiatement. Tout le port est fermé. Aussi, dans ce
mode, le système génère un message de journal, envoie une interruption SNMP et incrémente la violation
contrer. Pour rendre l'interface utilisable, vous devez effectuer un arrêt/aucun arrêt sur l'interface.
Si vous souhaitez configurer un port de commutateur pour autoriser un seul hôte par port et assurez-vous que le port
arrêter si cette règle est violée, utilisez les commandes suivantes comme celle-ci :
Ces commandes sont probablement les plus populaires car elles empêchent les utilisateurs aléatoires de
se connecter à un commutateur ou à un point d'accès spécifique qui se trouve dans leur bureau. La valeur par défaut de la sécurité du port
qui est immédiatement défini sur un port lorsqu'il est activé est au maximum 1 et à l' arrêt de la violation . Cela sonne
d'accord, mais l'inconvénient est qu'il ne permet d'utiliser qu'une seule adresse MAC sur le port,
donc si quelqu'un, y compris vous, essaie d'ajouter un autre hôte sur ce segment, le port du commutateur
entrez immédiatement dans l'état de désactivation d'erreur et le port deviendra orange. Et quand cela arrive, vous
devez entrer manuellement dans le commutateur et réactiver le port en le cyclant avec un arrêt , puis un
pas de commande d' arrêt .
L'une de mes commandes préférées est probablement la commande collante , et pas seulement parce qu'elle a un
nom cool. Cela fait aussi des choses très cool! Vous pouvez trouver cette commande sous mac-
commande d' adresse :
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport arrêt de violation de sécurité du port
Fondamentalement, avec la commande sticky, vous pouvez fournir une sécurité d'adresse MAC statique sans avoir à
pour taper l'adresse MAC de tout le monde sur le réseau. J'aime les choses qui me font gagner du temps comme
Page 157
cette!
Dans l'exemple précédent, les deux premières adresses MAC entrant dans le port "s'y collent" comme statiques
adresses et sera placé dans la configuration en cours, mais lorsqu'une troisième adresse a essayé de se connecter, le
le port s'arrêterait immédiatement.
Laissez-moi vous montrer un autre exemple. La figure 10.6 montre un hôte dans le hall d'une entreprise qui doit
être sécurisé contre le câble Ethernet utilisé par toute personne autre qu'une seule personne autorisée.
Que pouvez-vous faire pour vous assurer que seule l'adresse MAC du PC du lobby est autorisée par le port de commutation
Fa0/1?
La solution est assez simple car dans ce cas, les valeurs par défaut de la sécurité des ports seront
bien travailler. Il ne me reste plus qu'à ajouter une entrée MAC statique :
Pour protéger le PC du lobby, nous définirions le maximum d'adresses MAC autorisées sur 1 et le
violation à restreindre afin que le port ne soit pas fermé à chaque fois que quelqu'un a essayé d'utiliser le
Câble Ethernet (qui serait constamment). En utilisant la restriction de violation , les trames non autorisées
serait simplement abandonné. Mais avez-vous remarqué que j'ai activé la sécurité des ports , puis défini un MAC statique
adresse? N'oubliez pas que dès que vous activez la sécurité des ports sur un port, elle passe par défaut à la violation
shutdown et
un maximum de 1. Donc tout ce que j'avais à faire était de changer le mode de violation et d'ajouter le
adresse MAC statique et notre exigence commerciale est solidement satisfaite !
Dans une grande entreprise Fortune 50 à San Jose, Californie, il y avait un PC dans le hall qui tenait
l'annuaire de l'entreprise. En l'absence d'agent de sécurité dans le hall, le câble Ethernet
connecter le PC était un jeu gratuit pour tous les vendeurs, entrepreneurs et visiteurs qui attendaient dans le
lobby.
La sécurité portuaire à la rescousse ! Lorsque la sécurité des ports a été activée sur le port avec le switchport
commande port-security , le port du commutateur se connectant au PC a été automatiquement sécurisé avec
les valeurs par défaut d'autoriser une seule adresse MAC à s'associer au port et à la violation
fermer. Cependant, le port passait toujours en mode erreur d'arrêt chaque fois que quelqu'un
essayé d'utiliser le port Ethernet. Lorsque le mode de violation a été modifié pour restreindre et un statique
L'adresse MAC a été définie pour le port avec la commande switchport port-security mac-address ,
seul le Lobby PC a pu se connecter et communiquer sur le réseau ! Problème résolu!
Page 158
Évitement de boucle
Il est important de mettre en place des liens redondants entre les commutateurs car ils aident à empêcher
pannes de réseau désagréables dans le cas où un lien cesse de fonctionner.
Mais s'il est vrai que les liens redondants peuvent être extrêmement utiles, ils peuvent également causer plus de
problèmes qu'ils ne résolvent ! C'est parce que les trames peuvent être inondées par tous les liens redondants
simultanément, créant des boucles de réseau ainsi que d'autres maux. Voici une liste de quelques-uns des plus laids
problèmes qui peuvent survenir :
Si aucun schéma d'évitement de boucle n'est mis en place, les commutateurs inonderont les diffusions sans fin
tout au long de l'interréseau. C'est ce qu'on appelle parfois une tempête de diffusion . La plupart
temps, ils sont mentionnés de manières très non imprimables ! La figure 10.7 illustre comment une diffusion peut
se propager dans tout le réseau. Observez comment un cadre est continuellement inondé
via le support réseau physique de l'interréseau.
Un appareil peut recevoir plusieurs copies de la même trame car cette trame peut provenir de
différents segments en même temps. La figure 10.8 montre comment tout un tas de cadres
peuvent arriver de plusieurs segments simultanément. Le serveur de la figure envoie une monodiffusion
trame vers le routeur C. Puisqu'il s'agit d'une trame monodiffusion, le commutateur A transfère la trame et le commutateur B
fournit le même service : il transfère la monodiffusion. C'est mauvais car cela signifie que le routeur C
reçoit cette trame de monodiffusion deux fois, provoquant une surcharge supplémentaire sur le réseau.
Page 159
FIGURE 10.8 Copies de trames multiples
Vous avez peut-être pensé à celui-ci : La table de filtrage des adresses MAC pourrait être totalement confuse
sur l'emplacement de l'appareil source, car le commutateur peut recevoir la trame de plus de
un lien. Pire encore, le commutateur déconcerté pourrait être tellement pris dans la mise à jour constante du MAC
filtrer la table avec les emplacements d'adresses matérielles source qu'il ne réussira pas à transmettre une trame ! C'est
appelé battre la table MAC.
L'un des événements les plus vils est lorsque plusieurs boucles se propagent dans un réseau. Boucles
peut se produire dans d'autres boucles, et si une tempête de diffusion devait se produire simultanément, le
le réseau ne serait pas en mesure d'effectuer la commutation de trames, point final !
Tous ces problèmes sont synonymes de catastrophe ou de fermeture, et ce sont toutes des situations maléfiques qui doivent être évitées ou
fixé en quelque sorte. C'est là que le protocole Spanning Tree entre en jeu. C'était en fait
développé pour résoudre chacun des problèmes dont je viens de vous parler !
Maintenant que j'ai expliqué les problèmes qui peuvent survenir lorsque vous avez des liens redondants, ou lorsque vous avez
liens mal mis en œuvre, je suis sûr que vous comprenez à quel point il est vital de les empêcher.
Cependant, les meilleures solutions dépassent le cadre de ce chapitre et parmi le territoire
couverts dans les objectifs d'examen Cisco plus avancés. Pour l'instant, concentrons-nous sur la configuration de certains
commutation !
Dans cet esprit, il est temps de vous montrer comment démarrer et configurer un commutateur Cisco Catalyst
Page 160
à l'aide de l'interface de ligne de commande (CLI). Après avoir obtenu les commandes de base dans ce chapitre,
Je vais vous montrer comment configurer des réseaux locaux virtuels (VLAN) plus Inter-Switch Link (ISL) et 802.1q
goulotte dans la suivante.
Voici une liste des tâches de base que nous aborderons ensuite :
Fonctions administratives
Vous pouvez tout savoir sur la gamme Cisco de commutateurs Catalyst sur
www.cisco.com/en/US/products/hw/switches/index.html .
La première chose que je veux souligner est que le port de console pour les commutateurs Catalyst est généralement
situé à l'arrière de l'interrupteur. Pourtant, sur un commutateur plus petit comme le 3560 illustré sur la figure, le
la console est juste à l'avant pour faciliter son utilisation. (Le 2960 à huit ports ressemble exactement au
même.) Si le POST se termine avec succès, le voyant système devient vert, mais si le POST échoue, il
deviendra ambré. Et voir cette lueur ambrée est une chose inquiétante, généralement fatale. Alors tu peux juste
voulez garder un interrupteur de rechange, surtout au cas où il s'agirait d'un interrupteur de production qui croasse !
Le bouton du bas est utilisé pour vous montrer quelles lumières fournissent Power over Ethernet (PoE).
Vous pouvez le voir en appuyant sur le bouton Mode. Le PoE est une fonctionnalité très intéressante de ces commutateurs. Ce
me permet d'alimenter mon point d'accès et mon téléphone en les connectant simplement au commutateur avec un
Câble Ethernet — doux.
Tout comme nous l'avons fait avec les routeurs que nous avons configurés au chapitre 9, « Routage IP », nous utiliserons un schéma et
configuration du commutateur dans ce chapitre ainsi que dans le chapitre 11. La figure 10.10 montre le réseau commuté
nous allons travailler dessus.
Page 161
Je vais utiliser trois commutateurs 3560, que j'ai également utilisés pour la démonstration au chapitre 6, « Cisco
Internetworking Operating System (IOS) », et le chapitre 7. Vous pouvez utiliser n'importe quel commutateur de couche 2 pour
ce chapitre pour suivre la configuration, mais lorsque nous arriverons au chapitre 11, vous aurez besoin d'au moins un
routeur ainsi qu'un commutateur de couche 3, comme mon 3560.
Maintenant, si nous connectons nos commutateurs les uns aux autres, comme le montre la Figure 10.10 , rappelez-vous que nous allons d'abord
besoin d'un câble croisé entre les commutateurs. Mes switchs 3560 détectent automatiquement le type de connexion,
J'ai donc pu utiliser des câbles droits. Mais tous les commutateurs ne détectent pas automatiquement le type de câble.
Différents commutateurs ont des besoins et des capacités différents, alors gardez cela à l'esprit lors de la connexion
vos différents interrupteurs ensemble. Notez que dans les objectifs de l'examen Cisco, les commutateurs ne
détection automatique!
Lorsque vous connectez pour la première fois les ports du commutateur les uns aux autres, les voyants de liaison sont orange, puis s'allument
vert, indiquant un fonctionnement normal. Ce que vous regardez en fait, c'est la convergence des arbres couvrants,
et ce processus prend environ 50 secondes sans extensions activées. Mais si vous vous connectez à un
le port du commutateur et le voyant du port du commutateur est vert et orange en alternance, cela signifie que le port est
éprouver des erreurs. Si cela se produit, vérifiez la carte réseau hôte ou le câblage, peut-être même le duplex
paramètres sur le port pour vous assurer qu'ils correspondent aux paramètres de l'hôte.
Absolument pas! Les commutateurs ont tous les ports activés et prêts à basculer. Retirez l'interrupteur du
Box, branchez-le et le commutateur commence à apprendre les adresses MAC dans le CAM. Alors pourquoi aurais-je besoin d'un
Adresse IP puisque les commutateurs fournissent des services de couche 2 ? Parce que vous en avez toujours besoin pour l'in-band
à des fins de gestion ! Telnet, SSH, SNMP, etc. ont tous besoin d'une adresse IP pour communiquer
avec le commutateur via le réseau (in-band). N'oubliez pas, puisque tous les ports sont activés par défaut,
vous devez fermer les ports inutilisés ou les affecter à un VLAN inutilisé pour des raisons de sécurité.
Alors, où plaçons-nous cette adresse IP de gestion dont le commutateur a besoin à des fins de gestion ? Au
ce qu'on appelle de manière prévisible l'interface VLAN de gestion—une interface routée sur chaque Cisco
commutateur et appelé interface VLAN 1. Cette interface de gestion peut être modifiée, et Cisco
vous recommande de changer cela pour une interface de gestion différente pour des raisons de sécurité.
Pas de soucis, je vais vous montrer comment procéder au chapitre 11.
Configurons nos commutateurs maintenant pour que vous puissiez voir comment je configure les interfaces de gestion sur
chaque interrupteur.
S1
Page 162
Nous allons commencer notre configuration en nous connectant à chaque switch et en réglant le
fonctions administratives. Nous allons également attribuer une adresse IP à chaque commutateur, mais comme je l'ai dit, faire cela
n'est pas vraiment nécessaire pour faire fonctionner notre réseau. La seule raison pour laquelle nous allons le faire est si
nous pouvons le gérer/l'administrer à distance, via Telnet par exemple. Utilisons un schéma IP simple comme
192.168.10.16/28. Ce masque devrait vous être familier ! Découvrez la sortie suivante :
Commutateur> fr
Switch# config t
Switch(config)# nom d'hôte S1
S1(config)# activer le secret todd
S1(config)# int f0/15
S1(config-if)# description 1ère connexion à S3
S1(config-if)# int f0/16
S1(config-if)# description 2ème connexion à S3
S1(config-if)# int f0/17
S1(config-if)# description 1ère connexion à S2
S1(config-if)# int f0/18
S1(config-if)# description 2ème connexion à S2
S1(config-if)# int f0/8
S1(config-if)# desc Connexion à l'IVR
S1(config-if)# ligne con 0
S1(config-line)# console de mot de passe
S1(ligne de configuration)# connexion
S1(ligne de configuration)# ligne vty 0 15
S1(ligne de configuration)# mot de passe telnet
S1(ligne de configuration)# connexion
S1 (ligne de configuration) # int vlan 1
S1(config-if)# adresse IP 192.168.10.17 255.255.255.240
S1(config-if)# non fermé
S1(config-if)# sortie
S1(config)# banner motd #ceci est mon commutateur S1#
S1(config)# sortie
Début de l'exécution de la copie S1#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[D'ACCORD]
S1#
La première chose à noter à ce sujet est qu'il n'y a pas d'adresse IP configurée sur le commutateur
interfaces physiques. Étant donné que tous les ports d'un commutateur sont activés par défaut, il n'y a pas vraiment de
beaucoup à configurer ! L'adresse IP est configurée sous une interface logique, appelée gestion
domaine ou VLAN. Vous pouvez utiliser le VLAN 1 par défaut pour gérer un réseau commuté comme nous le faisons.
faire ici, ou vous pouvez choisir d'utiliser un autre VLAN pour la gestion.
Le reste de la configuration est fondamentalement le même que le processus que vous suivez pour le routeur
configuration. Alors n'oubliez pas… pas d'adresses IP sur les interfaces de commutateurs physiques, pas de routage
protocoles, etc. Nous effectuons la commutation de couche 2 à ce stade, pas le routage ! Faites aussi un
notez qu'il n'y a pas de port AUX sur les commutateurs Cisco.
S2
Voici la configuration S2 :
Switch# config t
Switch(config)# nom d'hôte S2
S2(config)# activer le secret todd
S2(config)# int f0/1
S2(config-if)# desc 1ère connexion à S1
S2(config-if)# int f0/2
S2(config-if)# desc 2ème connexion à s2
S2(config-if)# int f0/5
S2(config-if)# desc 1ère connexion à S3
S2(config-if)# int f0/6
S2(config-if)# desc 2e connexion à s3
S2(config-if)# ligne con 0
S2(config-line)# console de mot de passe
S2(ligne de configuration)# connexion
S2(ligne de configuration)# ligne vty 0 15
S2(ligne de configuration)# mot de passe telnet
Page 163
D'accord, maintenant pourquoi n'ai-je eu que quatre pings au lieu de cinq ? La première période [.] est un temps mort,
mais le point d'exclamation [!] est un succès.
C'est une bonne question, et voici votre réponse : le premier ping n'a pas fonctionné à cause du temps que
ARP prend pour résoudre l'adresse IP à son adresse MAC matérielle correspondante.
S3
Commutateur> fr
Switch# config t
SW-3(config)# nom d'hôte S3
S3(config)# activer le secret todd
S3(config)# int f0/1
S3(config-if)# desc 1ère connexion à S1
S3(config-if)# int f0/2
S3(config-if)# desc 2e connexion à S1
S3(config-if)# int f0/5
S3(config-if)# desc 1ère connexion à S2
S3(config-if)# int f0/6
S3(config-if)# desc 2e connexion à S2
S3(config-if)# ligne avec 0
S3(config-line)# console de mot de passe
S3(ligne de configuration)# connexion
S3(ligne de configuration)# ligne vty 0 15
S3(ligne de configuration)# mot de passe telnet
S3(ligne de configuration)# connexion
S3 (ligne de configuration) # int vlan 1
S3(config-if)# adresse IP 192.168.10.19 255.255.255.240
S3(config-if)# non fermé
S3(config-if)# banner motd #Ceci est le commutateur S3#
S3(config)# sortie
Début de l'exécution de la copie S3#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[D'ACCORD]
S3#
Page 164
Dans la sortie de la commande show ip arp , le tiret ( - ) dans la colonne des minutes signifie qu'il s'agit du
l'interface physique de l'appareil.
Maintenant, avant de passer à la vérification des configurations de commutateur, il y a une autre commande que vous
besoin de savoir, même si nous n'en avons pas vraiment besoin dans notre réseau actuel parce que nous n'avons pas
avoir un routeur impliqué. C'est la commande ip default-gateway . Si vous souhaitez gérer vos commutateurs
de l'extérieur de votre réseau local, vous devez définir une passerelle par défaut sur les commutateurs comme vous le feriez avec un
host, et vous le faites à partir de la configuration globale. Voici un exemple où nous introduisons notre routeur avec
une adresse IP utilisant la dernière adresse IP de notre plage de sous-réseaux :
S3 # config t
S3(config)# ip default-gateway 192.168.10.30
Maintenant que nous avons fondamentalement configuré les trois commutateurs, amusons-nous avec eux !
Un port de commutateur sécurisé peut associer de 1 à 8 192 adresses MAC, mais le 3560s I
que j'utilise ne peut prendre en charge que 6 144, ce qui me semble bien plus que suffisant. Tu peux choisir
pour permettre au commutateur d'apprendre ces valeurs de manière dynamique, ou vous pouvez définir des adresses statiques pour chaque
port à l'aide de la commande switchport port-security mac-address mac-address .
Définissons
connecté donc
dans maintenant
notre la sécurité
laboratoire. des ports
En utilisant sur notre
la sécurité commutateur
des ports, S3. Lesassurés
nous sommes ports Fa0/3 et Fa0/4
qu'aucun autren'auront
appareilqu'un seul
ne peut sepériphérique
connecter une fois
nos hôtes dans les ports Fa0/3 et dans Fa0/4 sont connectés. Voici comment le faire facilement avec juste un
deux commandes :
S3 # config t
S3(config)# int range f0/3-4
S3(config-if-range)# accès en mode switchport
S3(config-if-range)# switchport port-security
S3(config-if-range)# affiche la sécurité du port int f0/3
Sécurité des ports : Activée
État des ports : Sécurisation
Mode d'infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement d'adresse SecureStatic : désactivé
Adresses MAC maximales : 1
Nombre total d'adresses MAC :0
Adresses MAC configurées : 0
Adresses MAC collantes : 0
Dernière adresse source : Vlan : 0000.000.0000 : 0
Nombre de violations de sécurité : 0
La première commande définit le mode des ports pour « accéder » aux ports. Ces ports doivent être des accès ou
ports de jonction pour activer la sécurité des ports. En utilisant la commande switchport port-security sur le
interface, j'ai activé la sécurité des ports avec une adresse MAC maximale de 1 et une violation de
fermer. Ce sont les valeurs par défaut, et vous pouvez les voir dans la sortie en surbrillance du show port-
security int f0/3 dans le code précédent.
La sécurité du port est activée, comme indiqué sur la première ligne, mais la deuxième ligne affiche Secure-down
car je n'ai pas encore connecté mes hôtes aux ports. Une fois que je le fais, le statut affichera Secure-up
et deviendrait Secure-shutdown en cas de violation.
Je dois juste souligner une fois de plus ce fait si important : il est très important de
rappelez-vous que vous pouvez définir des paramètres pour la sécurité du port, mais cela ne fonctionnera pas tant que vous n'aurez pas activé le port
sécurité au niveau de l'interface. Notez la sortie pour le port F0/6 :
S3 # config t
S3(config)# int range f0/6
S3(config-if-range)# accès en mode switchport
S3(config-if-range)# switchport port-security violation restreindre
S3(config-if-range)# affiche la sécurité du port int f0/6
Page 165
Le port Fa0/6 a été configuré avec une violation de restriction, mais la première ligne indique que le port
la sécurité n'a pas encore été activée sur le port. N'oubliez pas que vous devez utiliser cette commande à
niveau d'interface pour activer la sécurité des ports sur un port :
Il existe deux autres modes que vous pouvez utiliser au lieu de simplement fermer le port. La restriction et
les modes de protection signifient qu'un autre hôte peut se connecter jusqu'au maximum d'adresses MAC autorisées,
mais une fois le maximum atteint, toutes les trames seront simplement supprimées et le port ne sera pas fermé
vers le bas. De plus, les modes de violation de restriction et d'arrêt vous avertissent via SNMP qu'un
une violation s'est produite sur un port. Vous pouvez alors appeler l'agresseur et lui dire qu'il est tellement fichu...
vous pouvez les voir, vous savez ce qu'ils ont fait, et ils ont de sérieux ennuis !
Si vous avez configuré des ports avec la commande d' arrêt de violation , les ports ressembleront à ceci
lorsqu'une violation se produit :
Ici, vous pouvez voir que le port est en mode d' arrêt sécurisé et que le voyant du port serait
ambre. Pour réactiver le port, procédez comme suit :
S3(config-if)# arrêt
S3(config-if)# pas d'arrêt
Vérifions nos configurations de commutateur avant de passer aux VLAN dans le chapitre suivant. Il faut se méfier
que même si certains commutateurs afficheront err-disabled au lieu de Secure-shutdown comme commutateur
montre, il n'y a pas de différence entre les deux.
La sortie précédente montre que l'interface est en état up/up. N'oubliez pas de toujours vérifier cela
interface, soit avec cette commande, soit avec la commande show ip interface brief . Beaucoup de gens ont tendance
oublier que cette interface est fermée par défaut.
Page 166
N'oubliez jamais que les adresses IP ne sont pas nécessaires sur un commutateur pour qu'il fonctionne. Les
la seule raison pour laquelle nous définirions une adresse IP, un masque et une passerelle par défaut est pour la gestion
fins.
Je suis sûr que vous vous souvenez avoir vu cette commande plus tôt dans le chapitre. Son utilisation affiche le
table de filtrage avant, également appelée table de mémoire adressable par le contenu (CAM). Voici la sortie
depuis le commutateur S1 :
Les commutateurs utilisent des éléments appelés adresses MAC de base, qui sont attribuées au processeur. Le premier
répertorié est l'adresse MAC de base du commutateur. De la sortie précédente, vous pouvez voir que nous avons
six adresses MAC attribuées dynamiquement à Fa0/1, ce qui signifie que le port Fa0/1 est connecté à
un autre interrupteur. Les ports Fa0/5 et Fa0/6 n'ont qu'une seule adresse MAC attribuée, et tous les ports sont
affecté au VLAN 1.
Jetons un coup d'œil à la CAM du commutateur S2 et voyons ce que nous pouvons découvrir.
Cette sortie nous indique que nous avons sept adresses MAC attribuées à Fa0/5, qui est notre
connexion à S3. Mais où est le port 6 ? Étant donné que le port 6 est un lien redondant vers S3, STP a placé Fa0/6
en mode blocage.
Vous pouvez définir une adresse MAC statique dans la table d'adresses MAC, mais comme définir un port MAC statique
la sécurité sans la commande collante , c'est une tonne de travail. Juste au cas où vous voudriez le faire, voici comment
c'est fait:
Page 167
S3(config)# mac address-table statique aaaa.bbbb.cccc vlan 1 int fa0/7
S3(config)# affiche la table d'adresses mac
Tableau d'adresses Mac
--------------------------------------------
Type d'adresse Vlan Mac Ports
---- ----------- -------- -----
Tout 0100.0ccc.cccc CPU STATIQUE
[coupure de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001b.d40a.0538 DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 aaaa.bbbb.0ccc STATIQUE Fa0/7
[coupure de sortie]
Nombre total d'adresses Mac pour ce critère : 59
Comme indiqué sur le côté gauche de la sortie, vous pouvez voir qu'une adresse MAC statique a maintenant été
affecté de manière permanente à l'interface Fa0/7 et qu'il a également été affecté au VLAN 1 uniquement.
Maintenant admettez-le, ce chapitre contenait beaucoup d'informations intéressantes, et vous avez vraiment beaucoup appris et, eh bien,
peut-être même eu un peu de plaisir en cours de route aussi! Vous avez maintenant configuré et vérifié tous les commutateurs
et définissez la sécurité du port. Cela signifie que vous êtes maintenant prêt à tout apprendre sur les réseaux locaux virtuels ! je vais
enregistrez toutes nos configurations de commutateur afin que nous puissions commencer à partir d'ici au chapitre 11.
Sommaire
Dans ce chapitre, j'ai parlé des différences entre les commutateurs et les ponts et de la façon dont ils
fonctionnent à la couche 2. Ils créent des tables de transfert/filtre d'adresses MAC afin de prendre des décisions sur
s'il faut transmettre ou inonder une trame.
Bien que tout dans ce chapitre soit important, j'ai écrit deux sections sur la sécurité des ports—une pour
fournir une base et un avec un exemple de configuration. Vous devez connaître ces deux sections
en détail.
J'ai également couvert certains problèmes qui peuvent survenir si vous avez plusieurs liens entre les ponts
(commutateurs).
Enfin, j'ai couvert la configuration détaillée des commutateurs Catalyst de Cisco, y compris la vérification de la
configuration.
Essentiels de l'examen
Rappelez-vous les trois fonctions du commutateur. Aborder l'apprentissage, transférer/filtrer les décisions et
l'évitement de boucle sont les fonctions d'un commutateur.
N'oubliez pas la commande show mac address-table. La commande show mac adresse table volonté
vous montrer la table de transfert/filtre utilisée sur le commutateur LAN.
Comprendre la raison de la sécurité portuaire. La sécurité des ports restreint l'accès à un commutateur basé
sur les adresses MAC.
Connaître la commande pour activer la sécurité des ports. Pour activer la sécurité des ports sur un port, vous devez
assurez-vous d'abord que le port est un port d'accès avec un accès en mode switchport, puis utilisez le switchport
commande port-security au niveau de l'interface. Vous pouvez définir les paramètres de sécurité du port avant ou
après avoir activé la sécurité du port.
Connaître les commandes pour vérifier la sécurité des ports. Pour vérifier la sécurité du port, utilisez le show port-
security, show port-security interface interface et show running-config commandes.
Laboratoire écrit 10
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
Page 168
Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».
2. Si une adresse MAC de destination n'est pas dans la table de transfert/filtre, que fera le commutateur avec le
Cadre?
4. Si une trame est reçue sur un port de commutateur et que l'adresse MAC source n'est pas dans le transfert/filtre
table, que fera le commutateur ?
5. Quels sont les modes par défaut pour un port de commutateur configuré avec la sécurité des ports ?
6. Quels sont les deux modes de violation qui envoient un trap SNMP ?
7. Quel mode de violation supprime les paquets avec des adresses source inconnues jusqu'à ce que vous supprimiez
suffisamment d'adresses MAC sécurisées pour tomber en dessous du maximum, mais génère également un message de journal,
provoque l'incrémentation du compteur de violations de sécurité et envoie une interruption SNMP mais ne
désactiver le port ?
8. Que fournit le mot-clé sticky dans la commande port-security ?
9. Quelles deux commandes pouvez-vous utiliser pour vérifier que la sécurité des ports a été configurée sur un port
FastEthernet 0/12 sur un switch ?
10. Vrai/Faux : le commutateur de couche 2 doit avoir une adresse IP définie et les PC se connectant au
switch doit utiliser cette adresse comme passerelle par défaut.
Laboratoires pratiques
Dans cette section, vous utiliserez le réseau commuté suivant pour configurer vos laboratoires de commutation. Tu
peut utiliser n'importe quel commutateur Cisco pour faire ce laboratoire, ainsi que le simulateur de version LammleSim IOS trouvé à
www.lammle.com/ccna . Ils n'ont pas besoin d'être des commutateurs multicouches, juste des commutateurs de couche 2.
Le premier laboratoire (Lab 10.1) vous oblige à configurer trois commutateurs, puis vous les vérifierez dans
Laboratoire 10.2.
Page 169
Nom d'hôte
Bannière
Description de l'interface
Mots de passe
Commutateur> fr
Switch# config t
Switch(config)# nom d'hôte S1
S1(config)# activer le secret todd
S1(config)# int f0/15
S1(config-if)# description 1ère connexion à S3
S1(config-if)# int f0/16
S1(config-if)# description 2ème connexion à S3
S1(config-if)# int f0/17
S1(config-if)# description 1ère connexion à S2
S1(config-if)# int f0/18
S1(config-if)# description 2ème connexion à S2
S1(config-if)# int f0/8
S1(config-if)# desc Connexion à l'IVR
S1(config-if)# ligne con 0
S1(config-line)# console de mot de passe
S1(ligne de configuration)# connexion
S1(ligne de configuration)# ligne vty 0 15
S1(ligne de configuration)# mot de passe telnet
S1(ligne de configuration)# connexion
S1 (ligne de configuration) # int vlan 1
S1(config-if)# adresse IP 192.168.10.17 255.255.255.240
S1(config-if)# non fermé
S1(config-if)# sortie
S1(config)# banner motd #ceci est mon commutateur S1#
S1(config)# sortie
Début de l'exécution de la copie S1#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
2. Connectez-vous au commutateur S2 et configurez tous les paramètres que vous avez utilisés à l'étape 1. N'oubliez pas d'utiliser
une adresse IP différente sur le commutateur.
3. Connectez-vous au commutateur S3 et configurez tous les paramètres que vous avez utilisés aux étapes 1 et 2. N'oubliez pas
pour utiliser une adresse IP différente sur le commutateur.
S1# sh running-config
Brève expédition S1#
170
S3 # config t
S(config)# int fa0/3
S3(config-if# accès en mode Switchport
S3(config-if# switchport port-security
4. Modifiez les paramètres pour avoir un maximum de deux adresses MAC pouvant être associées à l'interface
Fa0/3.
S3 # config t
S(config)# int fa0/3
S3(config-if# switchport port-security maximum 2
S3 # config t
S(config)# int fa0/3
S3(config-if# switchport port-security violation restreindre
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
1. Laquelle des affirmations suivantes n'est pas vraie en ce qui concerne la commutation de couche 2 ?
A. Les commutateurs et ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps
en regardant les informations d'en-tête de la couche de liaison de données.
B. Les commutateurs et ponts de couche 2 examinent les adresses matérielles de la trame avant de décider de
soit avancer, inonder ou laisser tomber la trame.
C. Les commutateurs créent des domaines de collision privés et dédiés et fournissent une bande passante indépendante
sur chaque port.
D. Les commutateurs utilisent des circuits intégrés spécifiques à l'application (ASIC) pour construire et maintenir leur
Tableaux de filtrage MAC.
2. Répertoriez les deux commandes qui ont généré la dernière entrée dans la table d'adresses MAC affichée.
3. Dans le schéma illustré, que fera le commutateur si une trame avec une adresse MAC de destination de
000a.f467.63b1 est reçu sur Fa0/4 ? (Choisissez tout ce qui correspond.)
5. Dans la zone de travail du graphique suivant, dessinez les fonctions d'un interrupteur de la liste sur le
de gauche à droite.
Page 172
6. Quelle(s) affirmation(s) est/sont vraie(s) concernant le résultat affiché ici ? (Choisissez tout ce qui correspond.)
7. Écrivez la commande qui limiterait le nombre d'adresses MAC autorisées sur un port à 2.
N'écrivez que la commande et non l'invite.
8. Laquelle des commandes suivantes dans cette configuration est une condition préalable à l'autre
commandes pour fonctionner?
S3 # config t
S(config)# int fa0/3
S3(config-if# switchport port-security
S3(config-if# switchport port-security maximum 3
S3(config-if# switchport port-security violation restreindre
S3(config-if# Switchport mode-sécurité temps de vieillissement 10
A. Orages de diffusion
B. Redondance de passerelle
10. Quel problème se pose lorsqu'une redondance existe entre les commutateurs est illustré dans la figure ?
Page 173
A. Orage de diffusion
B. Boucle de routage
C. Violation portuaire
D. Perte de la passerelle
11. Lequel des deux modes de violation de port de commutateur suivants vous alertera via SNMP qu'un
violation a eu lieu sur un port?
A. restreindre
B. protéger
C. l' arrêt
D. err-désactiver
13. Écrivez la commande qui doit être présente sur tout commutateur que vous devez gérer à partir d'un
sous-réseau différent.
14. Sur quelle interface par défaut avez-vous configuré une adresse IP pour un commutateur ?
A. int fa0/0
B. int vty 0 15
C. int vlan 1
D. int s/0/0
15. Quelle commande Cisco IOS est utilisée pour vérifier la configuration de sécurité des ports d'un port de commutateur ?
C. afficher l'interface IP
16. Écrivez la commande qui enregistrera une adresse MAC apprise dynamiquement dans le
configuration d'un switch Cisco ?
17. Laquelle des méthodes suivantes garantira qu'un seul hôte spécifique peut se connecter au port
F0/3 sur un interrupteur ? (Choisissez deux réponses. Chaque bonne réponse est une solution distincte.)
Page 174
A. Configurez la sécurité des ports sur F0/3 pour accepter le trafic autre que celui de l'adresse MAC de
l'hôte.
B. Configurez l'adresse MAC de l'hôte en tant qu'entrée statique associée au port F0/3.
C. Configurez une liste de contrôle d'accès entrant sur le port F0/3 limitant le trafic à l'adresse IP de
l'hôte.
D. Configurez la sécurité des ports sur F0/3 pour accepter le trafic uniquement à partir de l'adresse MAC de l'hôte.
18. Quel sera l'effet de l'exécution de la commande suivante sur le port F0/1 ?
switch(config-if)# switchport port-security mac-address 00C0.35F0.8301
A. La commande configure une liste de contrôle d'accès entrante sur le port F0/1, limitant le trafic à
l'adresse IP de l'hôte.
C. La commande crypte tout le trafic sur le port à partir de l'adresse MAC de 00c0.35F0.8301.
19. La salle de conférence dispose d'un port de commutation disponible pour être utilisé par le présentateur pendant les cours, et
chaque présentateur utilise le même PC connecté au port. Vous souhaitez empêcher d'autres PC
d'utiliser ce port. Vous avez complètement supprimé l'ancienne configuration pour commencer
un nouveau. Laquelle des étapes suivantes n'est pas nécessaire pour empêcher d'autres PC d'utiliser ce
Port?
20. Écrivez la commande requise pour désactiver le port si une violation de sécurité se produit. N'écrivez que le
commande et non l'invite.
Page 175
Chapitre 11
VLAN et routage inter-VLAN
2.4 Configurer, vérifier et dépanner les VLAN (plage normale) couvrant plusieurs
commutateurs
2.5.b 802.1Q
Je sais que je n'arrête pas de te le dire, mais pour que tu ne l'oublies jamais,
c'est parti, une dernière fois : par défaut, les commutateurs cassent les domaines de collision et les routeurs se cassent
domaines de diffusion. D'accord, je me sens mieux ! Maintenant, nous pouvons continuer.
Contrairement aux réseaux d'hier qui reposaient sur des dorsales effondrées, les réseaux d'aujourd'hui
la conception du réseau se caractérise par une architecture plus plate, grâce aux commutateurs. Et maintenant? Comment
décomposons-nous les domaines de diffusion dans un interréseau purement commuté ? En créant un local virtuel
réseaux locaux (VLAN). Un VLAN est un regroupement logique d'utilisateurs du réseau et de ressources connectées
aux ports définis administrativement sur un commutateur. Lorsque vous créez des VLAN, vous avez la possibilité de
créer des domaines de diffusion plus petits au sein d'un inter-réseau commuté de couche 2 en attribuant différents
ports sur le commutateur pour desservir différents sous-réseaux. Un VLAN est traité comme son propre sous-réseau ou
domaine de diffusion, ce qui signifie que les trames diffusées sur le réseau ne sont commutées qu'entre
les ports regroupés logiquement au sein du même VLAN.
Alors, cela signifie-t-il que nous n'avons plus besoin de routeurs ? Peut-être oui; peut-être que non. ça dépend vraiment de quoi
vos besoins et objectifs particuliers en matière de réseautage sont. Par défaut, les hôtes d'un VLAN spécifique ne peuvent pas
communiquer avec des hôtes membres d'un autre VLAN, donc si vous voulez inter-VLAN
communication, la réponse est que vous avez toujours besoin d'un routeur ou d'un routage inter-VLAN (IVR).
Page 176
Dans ce chapitre, vous allez apprendre en détail ce qu'est un VLAN et comment le VLAN
les adhésions sont utilisées dans un réseau commuté. Vous saurez également ce qu'est un lien de jonction
est et comment les configurer et les vérifier.
Je terminerai ce chapitre en démontrant comment vous pouvez faire en sorte que la communication inter-VLAN se produise
en introduisant un routeur dans un réseau commuté. Bien sûr, nous allons configurer notre commutateur habituel
la disposition du réseau que nous avons utilisée dans le dernier chapitre pour créer des VLAN et pour implémenter la jonction
et le routage inter-VLAN sur un commutateur de couche 3 en créant des interfaces virtuelles commutées (SVI).
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Par défaut, les routeurs autorisent les diffusions uniquement au sein du réseau d'origine, tandis que les commutateurs
transmettre les diffusions à tous les segments. Oh, et au fait, la raison pour laquelle ça s'appelle un réseau plat est
parce qu'il s'agit d'un domaine de diffusion , et non parce que la conception réelle est physiquement plate. Dans la figure 11.1
nous voyons l'hôte A envoyer une diffusion et tous les ports sur tous les commutateurs la transmettre, tous sauf le
port qui l'a initialement reçu.
Consultez maintenant la figure 11.2 . Il représente un réseau commuté et montre l'hôte A envoyant une trame
avec l'hôte D comme destination. De toute évidence, le facteur important ici est que le cadre n'est
transmis le port où se trouve l'hôte D.
Page 177
Il s'agit d'une énorme amélioration par rapport aux anciens réseaux concentrateurs, à moins d'avoir un domaine de collision par
par défaut, c'est ce que vous voulez vraiment pour une raison quelconque !
D'accord, vous savez déjà que le plus grand avantage d'un réseau commuté de couche 2 est
qu'il crée des segments de domaine de collision individuels pour chaque périphérique connecté à chaque port du
changer. Ce scénario nous libère des anciennes contraintes de densité Ethernet et nous permet de
construire de plus grands réseaux. Mais trop souvent, chaque nouvelle avancée s'accompagne de nouveaux problèmes. Par exemple, le
plus d'utilisateurs et d'appareils peuplent et utilisent un réseau, plus il y a de diffusions et de paquets chacun
l'interrupteur doit gérer.
Et il y a un autre gros problème : la sécurité ! Celui-ci est un vrai problème car dans la couche typique 2
interréseau commuté, tous les utilisateurs peuvent voir tous les appareils par défaut. Et vous ne pouvez pas empêcher les appareils de
diffusion, et vous ne pouvez pas empêcher les utilisateurs d'essayer de répondre aux diffusions. Cela signifie que votre
les options de sécurité sont lamentablement limitées à placer des mots de passe sur vos serveurs et autres appareils.
Mais attendez, il y a de l'espoir si vous créez un réseau local virtuel (VLAN) ! Vous pouvez résoudre de nombreux problèmes
associé à la commutation de couche 2 avec les VLAN, comme vous le verrez bientôt.
Les VLAN fonctionnent comme ceci : La figure 11.3 montre tous les hôtes de cette très petite entreprise connectés à un
switch, ce qui signifie que tous les hôtes recevront toutes les trames, ce qui est le comportement par défaut de tous les switchs.
Page 178
FIGURE 11.3 Un commutateur, un LAN : avant les VLAN, il n'y avait pas de séparations entre les hôtes.
Si nous voulons séparer les données de l'hôte, nous pouvons soit acheter un autre commutateur, soit créer des réseaux locaux virtuels,
comme le montre la figure 11.4 .
FIGURE 11.4 Un commutateur, deux réseaux locaux virtuels ( séparation logique entre les hôtes) : toujours physiquement
un seul interrupteur, mais cet interrupteur agit comme plusieurs appareils séparés.
Dans la figure 11.4 , j'ai configuré le commutateur pour qu'il soit deux réseaux locaux distincts, deux sous-réseaux, deux diffusions
domaines, deux VLAN—ils signifient tous la même chose—sans acheter un autre commutateur. Nous pouvons faire
cela 1 000 fois sur la plupart des commutateurs Cisco, ce qui permet d'économiser des milliers de dollars et plus !
Notez que même si la séparation est virtuelle et que les hôtes sont toujours connectés au même
commutateur, les réseaux locaux ne peuvent pas s'envoyer de données par défaut. C'est parce qu'ils sont toujours séparés
réseaux, mais ne vous inquiétez pas, nous aborderons la communication inter-VLAN plus loin dans ce chapitre.
Page 179
Voici une courte liste de façons dont les VLAN simplifient la gestion du réseau :
Les ajouts, déplacements et modifications de réseau sont réalisés facilement en configurant simplement un port dans le
VLAN approprié.
Un groupe d'utilisateurs qui ont besoin d'un niveau de sécurité exceptionnellement élevé peut être placé dans son propre VLAN afin
que les utilisateurs en dehors de ce VLAN ne peuvent pas communiquer avec les utilisateurs du groupe.
En tant que regroupement logique d'utilisateurs par fonction, les VLAN peuvent être considérés comme indépendants de leur
emplacements physiques ou géographiques.
Les VLAN améliorent considérablement la sécurité du réseau s'ils sont implémentés correctement.
Les VLAN augmentent le nombre de domaines de diffusion tout en diminuant leur taille.
À venir, nous explorerons en profondeur le monde de la commutation, et vous apprendrez exactement comment et pourquoi
les commutateurs nous fournissent de bien meilleurs services réseau que les hubs de nos réseaux actuels.
Contrôle de diffusion
Les diffusions se produisent dans tous les protocoles, mais leur fréquence dépend de trois éléments :
Le type de protocole
Certaines applications plus anciennes ont été réécrites pour réduire leur consommation de bande passante, mais il y a
une nouvelle génération d'applications si gourmandes en bande passante qu'elles consomment tout ce qu'elles
peuvent trouver. Ces gloutons sont la légion d'applications multimédias qui utilisent à la fois des diffusions et
multicast de manière intensive. Comme s'il n'y avait pas assez de problèmes, des facteurs comme un équipement défectueux,
une segmentation inadéquate et des pare-feu mal conçus peuvent sérieusement aggraver les problèmes
déjà causé par ces applications à forte intensité de diffusion. Tout cela a ajouté une grande nouveauté
dimension à la conception du réseau et présente un tas de nouveaux défis pour un administrateur.
S'assurer positivement que votre réseau est correctement segmenté afin que vous puissiez rapidement isoler un seul
les problèmes de segment pour les empêcher de se propager dans tout votre interréseau est
désormais impératif. Et le moyen le plus efficace d'y parvenir est la commutation et le routage stratégiques !
Depuis que les commutateurs sont devenus plus abordables, presque tout le monde a remplacé son hub plat
réseaux avec des environnements de réseau commuté et VLAN purs. Tous les périphériques d'un VLAN sont
membres du même domaine de diffusion et recevoir toutes les diffusions qui s'y rapportent. Par défaut,
ces diffusions sont filtrées à partir de tous les ports d'un commutateur qui ne sont pas membres du même VLAN.
C'est génial parce que vous obtenez tous les avantages que vous auriez avec une conception commutée sans être touché
avec tous les problèmes que vous auriez si tous vos utilisateurs étaient dans le même domaine de diffusion, chouette !
Sécurité
Mais il y a toujours un hic, non ? Il est temps de revenir à ces problèmes de sécurité. Un interréseau plat
La sécurité était auparavant abordée en connectant des concentrateurs et des commutateurs avec des routeurs. Donc c'était ça
essentiellement le travail du routeur pour maintenir la sécurité. Cet arrangement était assez inefficace pour
plusieurs raisons. Premièrement, toute personne se connectant au réseau physique pourrait accéder au réseau
ressources situées sur ce LAN physique particulier. Deuxièmement, tout ce que quelqu'un avait à faire pour observer
et tout le trafic traversant ce réseau consistait simplement à brancher un analyseur de réseau au concentrateur. Et
similaire à ce dernier fait effrayant, les utilisateurs pourraient facilement rejoindre un groupe de travail en branchant simplement leur
postes de travail dans le hub existant. C'est à peu près aussi sûr qu'un baril de miel dans un ours
enceinte!
Mais c'est exactement ce qui rend les VLAN si cool. Si vous les construisez et créez plusieurs diffusions
groupes, vous pouvez toujours avoir un contrôle total sur chaque port et utilisateur ! Alors les jours où n'importe qui pouvait
il suffit de brancher leurs postes de travail sur n'importe quel port de commutateur et d'accéder aux ressources du réseau sont de l'histoire ancienne
car maintenant vous contrôlez chaque port et toutes les ressources auxquelles il peut accéder.
Et ce n'est même pas tout : les VLAN peuvent être créés en harmonie avec le besoin d'un utilisateur spécifique pour le
Page 180
ressources du réseau. De plus, les commutateurs peuvent être configurés pour informer une station de gestion de réseau
sur l'accès non autorisé à ces ressources réseau vitales. Et si vous avez besoin d'inter-VLAN
communication, vous pouvez implémenter des restrictions sur un routeur pour vous assurer que tout se passe
en toute sécurité. Vous pouvez également imposer des restrictions sur les adresses matérielles, les protocoles et les applications.
Maintenant, nous parlons de sécurité - notre baril de miel est maintenant scellé hermétiquement, fait de titane solide et
enveloppé dans du fil de rasoir !
Flexibilité et évolutivité
Si vous avez fait attention jusqu'à présent, vous savez que la couche 2 ne commute que les trames de lecture pour
filtrage car ils ne regardent pas le protocole de la couche réseau. Vous savez aussi que par défaut,
les commutateurs transmettent les diffusions à tous les ports. Mais si vous créez et implémentez des VLAN, vous
créant essentiellement des domaines de diffusion plus petits au niveau de la couche 2.
Par conséquent, les diffusions envoyées depuis un nœud dans un VLAN ne seront pas transmises aux ports configurés
appartenir à un autre VLAN. Mais si nous attribuons des ports de commutateur ou des utilisateurs à des groupes VLAN sur un commutateur
ou sur un groupe de commutateurs connectés, nous gagnons la flexibilité d'ajouter exclusivement uniquement les utilisateurs que nous
veulent laisser entrer dans ce domaine de diffusion quel que soit leur emplacement physique. Cette configuration peut également
travailler pour bloquer les tempêtes de diffusion causées par une carte d'interface réseau (NIC) défectueuse ainsi que
empêcher un périphérique intermédiaire de propager des tempêtes de diffusion dans l'ensemble
interréseau. Ces problèmes peuvent toujours se produire sur le VLAN d'où provient le problème, mais le
la maladie sera entièrement contenue dans ce VLAN malade !
Un autre avantage est que lorsqu'un VLAN devient trop grand, vous pouvez simplement créer plus de VLAN pour
les diffusions de consommer trop de bande passante. Moins il y a d'utilisateurs dans un VLAN, moins il y a d'utilisateurs
touchés par les émissions. Tout cela est bien, mais vous devez sérieusement garder à l'esprit les services réseau
et comprendre comment les utilisateurs se connectent à ces services lors de la création d'un VLAN. Une bonne stratégie
est d'essayer de garder tous les services, à l'exception du courrier électronique et de l'accès Internet dont tout le monde a besoin, en local
à tous les utilisateurs dans la mesure du possible.
Les commutateurs sont certainement des appareils assez occupés. Comme une myriade d'images sont commutées tout au long de la
réseau, les commutateurs doivent pouvoir les suivre tous et savoir quoi faire avec
en fonction de leurs adresses matérielles associées. Et n'oubliez pas que les images sont gérées
différemment selon le type de lien qu'ils traversent.
Il existe deux types de ports différents dans un environnement commuté. Jetons un coup d'oeil au premier
saisissez la figure 11.5 .
Page 181
Notez qu'il existe des ports d'accès pour chaque hôte et un port d'accès entre les commutateurs, un pour chaque
VLAN.
Ports d' accès Un port d'accès appartient et transporte le trafic d'un seul VLAN. Le trafic est à la fois
reçus et envoyés dans des formats natifs sans aucune information VLAN (marquage). N'importe quoi
arrivant sur un port d'accès est simplement supposé appartenir au VLAN attribué au port. Parce que
un port d'accès ne regarde pas l'adresse source, le trafic balisé—une trame avec un VLAN ajouté
informations—peuvent être correctement transférés et reçus uniquement sur les ports de jonction.
Avec un lien d'accès, cela peut être appelé le VLAN configuré du port. Tout appareil
attaché à un lien d'accès n'est pas au courant d'une appartenance à un VLAN - l'appareil suppose simplement qu'il fait partie de
un domaine de diffusion. Mais il n'a pas une vue d'ensemble, donc il ne comprend pas le physique
topologie du réseau du tout.
Une autre bonne information à savoir est que les commutateurs suppriment toute information VLAN de
la trame avant qu'elle ne soit transmise à un périphérique de liaison d'accès. N'oubliez pas que les appareils à liaison d'accès
ne peut pas communiquer avec des périphériques en dehors de leur VLAN à moins que le paquet ne soit routé. Aussi, vous pouvez
créez uniquement un port de commutateur pour être un port d'accès ou un port de jonction, pas les deux. Alors tu dois
choisissez l'un ou l'autre et sachez que si vous en faites un port d'accès, ce port peut être affecté à
un seul VLAN. Dans la Figure 11.5 , seuls les hôtes du VLAN de vente peuvent communiquer avec d'autres hôtes du
même VLAN. C'est la même chose avec le VLAN Admin, et ils peuvent tous deux communiquer avec les hôtes sur
l'autre commutateur en raison d'un lien d'accès pour chaque VLAN configuré entre les commutateurs.
Ports d'accès vocal Pour ne pas vous embrouiller, mais tout ce que je viens de dire sur le fait qu'un accès
le port ne peut être affecté qu'à un seul VLAN n'est vraiment qu'une sorte de vrai. De nos jours, la plupart des commutateurs
vous permettra d'ajouter un deuxième VLAN à un port d'accès sur un port switch pour votre trafic voix,
appelé le VLAN voix. Le VLAN voix s'appelait auparavant VLAN auxiliaire, ce qui permettait
il doit être superposé au VLAN de données, permettant aux deux types de trafic de voyager à travers le
même port. Même si cela est techniquement considéré comme un type de lien différent, c'est toujours juste
un port d'accès qui peut être configuré pour les VLAN de données et de voix. Cela vous permet de
Page 182
connectez à la fois un téléphone et un PC à un port de commutateur tout en gardant chaque appareil dans un
VLAN séparé.
Ports de jonction Croyez-le ou non, le terme port de jonction a été inspiré par les jonctions du système téléphonique,
qui transportent plusieurs conversations téléphoniques à la fois. Il s'ensuit donc que les ports de jonction peuvent
transporter de la même manière plusieurs VLAN à la fois.
Une liaison de jonction est une liaison point à point de 100, 1 000 ou 10 000 Mbps entre deux commutateurs, entre un
commutateur et routeur, ou même entre un commutateur et un serveur, et il transporte le trafic de plusieurs
VLAN : de 1 à 4 094 VLAN à la fois. Mais le montant n'est vraiment que jusqu'à 1001 à moins que
vous allez avec quelque chose appelé VLAN étendu.
Au lieu d'un lien d'accès pour chaque VLAN entre les commutateurs, nous allons créer un lien de jonction,
illustré à la figure 11.6 .
FIGURE 11.6 Les VLAN peuvent s'étendre sur plusieurs commutateurs en utilisant des liaisons de jonction, qui transportent le trafic
pour plusieurs VLAN.
Le trunking peut être un réel avantage car avec lui, vous pouvez faire en sorte qu'un seul port fasse partie d'un tout
un tas de VLAN différents en même temps. C'est une fonctionnalité intéressante car vous pouvez réellement définir
ports jusqu'à avoir un serveur dans deux domaines de diffusion distincts simultanément afin que vos utilisateurs ne
devez traverser un périphérique de couche 3 (routeur) pour vous connecter et y accéder. Un autre avantage de la goulotte vient
en jeu lorsque vous connectez des commutateurs. Les liaisons de jonction peuvent transporter les trames de divers VLAN
à travers eux, mais par défaut, si les liens entre vos commutateurs ne sont pas partagés, seules les informations
à partir de l'accès configuré, le VLAN sera commuté sur ce lien.
Il est également bon de savoir que tous les VLAN envoient des informations sur un lien à ressources partagées à moins que vous ne désactiviez chacun d'eux.
VLAN à la main, et pas de soucis, je vais vous montrer comment effacer des VLAN individuels d'un tronc dans un instant.
D'accord, il est enfin temps de vous parler du balisage des trames et des méthodes d'identification VLAN utilisées
dedans à travers nos liaisons interurbaines.
Page 183
Comme vous le savez maintenant, vous pouvez configurer vos VLAN pour couvrir plusieurs commutateurs connectés. Vous pouvez
voyez cela sur la figure 11.6 , qui décrit les hôtes de deux VLAN répartis sur deux commutateurs.
Cette capacité flexible et puissante est probablement le principal avantage de la mise en œuvre de VLAN,
et nous pouvons le faire avec jusqu'à mille VLAN et des milliers et des milliers d'hôtes !
Tout cela peut devenir un peu compliqué, même pour un commutateur, il doit donc y avoir un moyen pour chacun
pour garder une trace de tous les utilisateurs et trames lorsqu'ils parcourent la matrice de commutation et les VLAN. Quand je dis,
« switch fabric », je fais simplement référence à un groupe de commutateurs qui partagent les mêmes informations VLAN.
Et c'est justement là que le marquage des images entre en scène. Cette identification de cadre
La méthode attribue de manière unique un ID de VLAN défini par l'utilisateur à chaque trame.
Voici comment cela fonctionne : une fois dans la matrice de commutation, chaque commutateur atteint par la trame doit d'abord
identifiez l'ID de VLAN à partir de la balise de trame. Il découvre alors quoi faire avec le cadre en regardant
aux informations contenues dans ce qu'on appelle la table de filtrage. Si le cadre atteint un commutateur qui a
autre liaison à ressources partagées, la trame sera transférée hors du port de liaison à ressources partagées.
Une fois que la trame atteint une sortie qui est déterminée par la table de transfert/filtre comme étant un lien d'accès
correspondant à l'ID de VLAN de la trame, le commutateur supprimera l'identifiant de VLAN. C'est ainsi le
l'appareil de destination peut recevoir les trames sans avoir à comprendre son VLAN
informations d'identification.
Un autre avantage des ports de jonction est qu'ils prendront en charge le trafic balisé et non balisé.
simultanément si vous utilisez la jonction 802.1q, dont nous parlerons ensuite. Le port de jonction est
attribué un ID de VLAN de port par défaut (PVID) pour un VLAN sur lequel tout le trafic non balisé passera.
Ce VLAN est également appelé VLAN natif et est toujours VLAN 1 par défaut, mais il peut être modifié
à n'importe quel numéro de VLAN.
De même, tout trafic non balisé ou balisé avec un ID de VLAN NULL (non attribué) est supposé
appartiennent au VLAN avec le PVID par défaut du port. Encore une fois, ce serait le VLAN 1 par défaut. Un paquet
avec un ID de VLAN égal au port sortant, le VLAN natif est envoyé sans balise et peut communiquer avec
uniquement des hôtes ou des périphériques dans ce même VLAN. Tout autre trafic VLAN doit être envoyé avec une balise VLAN
pour communiquer au sein d'un VLAN particulier qui correspond à cette balise.
Inter-Switch Link (ISL) est un moyen de marquer explicitement les informations VLAN sur une trame Ethernet.
Ces informations de marquage permettent aux VLAN d'être multiplexés sur une liaison de jonction via un réseau externe.
méthode d'encapsulation. Cela permet au commutateur d'identifier l'appartenance au VLAN d'une trame
reçu sur la liaison partagée.
En exécutant ISL, vous pouvez interconnecter plusieurs commutateurs tout en conservant les informations VLAN comme
le trafic circule entre les commutateurs sur les liaisons interurbaines. ISL fonctionne à la couche 2 en encapsulant une donnée
trame avec un nouvel en-tête et en effectuant un nouveau contrôle de redondance cyclique (CRC).
Il est à noter qu'ISL est la propriété des commutateurs Cisco et qu'il est également assez polyvalent. ISL peut être utilisé
sur un port de commutateur, des interfaces de routeur et des cartes d'interface de serveur pour relier un serveur.
Bien que certains commutateurs Cisco prennent toujours en charge le balisage des trames ISL, Cisco s'oriente vers l'utilisation uniquement
802.1q.
IEEE 802.1q
Créé par l'IEEE comme méthode standard de marquage de trame, IEEE 802.1q insère en fait un champ
dans la trame pour identifier le VLAN. Si vous effectuez une jonction entre une liaison commutée Cisco et un
marque différente de commutateur, vous devez utiliser 802.1q pour que le tronc fonctionne.
Contrairement à ISL, qui encapsule la trame avec les informations de contrôle, 802.1q insère un 802.1q
Page 184
ainsi que les informations de contrôle des balises, comme illustré à la Figure 11.7 .
FIGURE 11.7 Encapsulation IEEE 802.1q avec et sans balise 802.1q
Pour les objectifs de l'examen Cisco, seul l'ID de VLAN 12 bits compte. Ce champ identifie le
VLAN et peut être de 2 au 12, moins 2 pour le 0 et 4 095 VLAN réservés, ce qui signifie un
La trame balisée 802.1q peut transporter des informations pour 4 094 VLAN.
Cela fonctionne comme ceci: vous désignez d'abord chaque port qui va être un tronc avec 802.1q
encapsulation. Les autres ports doivent se voir attribuer un ID de VLAN spécifique pour qu'ils
communiquer. VLAN 1 est le VLAN natif par défaut, et lors de l'utilisation de 802.1q, tout le trafic pour un natif
Le VLAN n'est pas balisé. Les ports qui peuplent le même tronc créent un groupe avec ce VLAN natif
et chaque port est étiqueté avec un numéro d'identification reflétant cela. Encore une fois, la valeur par défaut est VLAN
1. Le VLAN natif permet aux jonctions d'accepter les informations reçues sans aucun VLAN
identification ou étiquette de cadre.
La plupart des commutateurs du modèle 2960 ne prennent en charge que le protocole de jonction IEEE 802.1q, mais le 3560
supportent à la fois les méthodes ISL et IEEE, que vous verrez plus loin dans ce chapitre.
L'objectif fondamental des méthodes de marquage de trame ISL et 802.1q est de fournir
basculer la communication VLAN. N'oubliez pas que tout balisage de trame ISL ou 802.1q est supprimé
si une trame est transférée vers un lien d'accès, le balisage est utilisé en interne et sur les liens de jonction
seul!
Pour cela, vous pouvez utiliser un routeur qui a une interface pour chaque VLAN ou un routeur qui prend en charge ISL
ou routage 802.1q. Le routeur le moins cher qui prend en charge le routage ISL ou 802.1q est le 2600
routeur en série. Il faudrait l'acheter chez un revendeur de matériel d'occasion car ils sont en fin de
vie, ou EOL. Je recommanderais au moins un 2800 comme strict minimum, mais même cela ne prend en charge que
802.1q ; Cisco s'éloigne vraiment de l'ISL, vous ne devriez donc probablement utiliser que 802.1q
De toute façon. Certains 2800 peuvent prendre en charge à la fois ISL et 802.1q ; Je ne l'ai jamais vu pris en charge.
Quoi qu'il en soit, comme le montre la figure 11.8 , si vous aviez deux ou trois VLAN, vous pourriez vous en tirer avec un routeur
équipé de deux ou trois connexions FastEthernet. Et 10Base-T est correct pour l'étude à domicile
fins, et je veux dire seulement pour vos études, mais pour toute autre chose, je recommanderais fortement Gigabit
Page 185
Si vous disposez de plus de VLAN que d'interfaces de routeur, vous pouvez configurer l'agrégation sur un
Interface FastEthernet ou achetez un commutateur de couche 3, comme l'ancien et maintenant bon marché 3560 ou un haut de gamme
switch comme un 3850. Vous pouvez même opter pour un 6800 si vous avez de l'argent à dépenser !
Au lieu d'utiliser une interface de routeur pour chaque VLAN, vous pouvez utiliser une interface FastEthernet et
exécutez la jonction ISL ou 802.1q. La figure 11.9 montre à quoi ressemblera une interface FastEthernet sur un routeur
lorsqu'il est configuré avec la jonction ISL ou 802.1q. Cela permet à tous les VLAN de communiquer via
une interface. Cisco appelle cela un routeur sur une clé (ROAS).
Page 186
FIGURE 11.9 Routeur sur clé : interface de routeur unique connectant les trois VLAN ensemble pour
communication inter-VLAN
Je tiens vraiment à souligner que cela crée un goulot d'étranglement potentiel, ainsi qu'un seul point de
échec, de sorte que votre nombre d'hôtes/VLAN est limité. A combien ? Eh bien, cela dépend de votre trafic
niveau. Pour vraiment arranger les choses, vous feriez mieux d'utiliser un commutateur haut de gamme et un routage sur
le fond de panier. Mais si vous avez juste un routeur assis, la configuration de cette méthode est
gratuit, non ?
La figure 11.10 montre comment créer un routeur sur une clé en utilisant l'interface physique d'un routeur en
créer des interfaces logiques, une pour chaque VLAN.
Ici, nous voyons une interface physique divisée en plusieurs sous-interfaces, avec un sous-réseau affecté
par VLAN, chaque sous-interface étant l'adresse de passerelle par défaut pour chaque VLAN/sous-réseau. Un
l'identifiant d'encapsulation doit être affecté à chaque sous-interface pour définir l'ID de VLAN de cette
sous-interface. Dans la section suivante où je vais configurer les VLAN et le routage inter-VLAN, je vais
configurer notre réseau commuté avec un routeur sur clé et démontrer cette configuration pour
tu.
Mais attendez, il y a encore une autre façon de faire le routage ! Au lieu d'utiliser un routeur externe
interface pour chaque VLAN, ou un routeur externe sur une clé, nous pouvons configurer des interfaces logiques sur
Page 187
le fond de panier du commutateur de couche 3 ; c'est ce qu'on appelle le routage inter-VLAN (IVR), et il est configuré
avec une interface virtuelle commutée (SVI). La figure 11.11 montre comment les hôtes voient ces interfaces virtuelles.
FIGURE 11.11 Avec l'IVR, le routage s'exécute sur le fond de panier du commutateur et il apparaît aux hôtes
qu'un routeur est présent.
Dans la Figure 11.11 , il semble qu'un routeur soit présent, mais aucun routeur physique n'est présent car
il y avait quand nous avons utilisé le routeur sur un bâton. Le processus IVR demande peu d'efforts et est facile à
mettre en œuvre, ce qui le rend très cool! De plus, il est beaucoup plus efficace pour le routage inter-VLAN que
un routeur externe est. Pour implémenter l'IVR sur un switch multicouche, il suffit de créer une logique
interfaces dans la configuration du commutateur pour chaque VLAN. Nous allons configurer cette méthode dans une minute,
mais prenons d'abord notre réseau commuté existant du chapitre 10, « Commutation de couche 2 », et ajoutons
certains VLAN, puis configurez les adhésions VLAN et les liaisons de jonction entre nos commutateurs.
Pour configurer des VLAN sur un commutateur Cisco Catalyst, utilisez la commande global config vlan . Dans le
exemple suivant, je vais montrer comment configurer des VLAN sur le commutateur S1 en
créer trois VLAN pour trois départements différents — encore une fois, n'oubliez pas que le VLAN 1 est le
VLAN natif et de gestion par défaut :
S1(config)# vlan ?
Page 188
S1(config-vlan)# vlan 5
S1(config-vlan)# nom Voix
S1(config-vlan)# ^Z
S1#
Dans cette sortie, vous pouvez voir que vous pouvez créer des VLAN de 1 à 4094. Mais ce n'est que la plupart du temps
vrai. Comme je l'ai dit, les VLAN ne peuvent vraiment être créés que jusqu'à 1001, et vous ne pouvez pas utiliser, modifier, renommer,
ou supprimez
1005 les VLAN
sont appelés VLAN1étendus
ou 1002etàne
1005 car pas
seront ils sont réservés.
enregistrés Leslanuméros
dans base de de VLANà ci-dessus
données moins que votre commutateur ne soit défini sur
ce qu'on appelle le mode transparent VLAN Trunking Protocol (VTP). Vous ne verrez pas ces VLAN
chiffres trop souvent utilisés en production. Voici un exemple de moi essayant de régler mon commutateur S1 sur
VLAN 4000 lorsque mon commutateur est défini sur le mode serveur VTP (le mode VTP par défaut) :
S1# config t
S1(config)# vlan 4000
S1(config-vlan)# ^Z
% Échec de la création des VLAN 4000
VLAN étendu(s) non autorisé(s) dans le mode VTP actuel.
%Échec de la validation des modifications des VLAN étendus.
Après avoir créé les VLAN souhaités, vous pouvez utiliser la commande show vlan pour les vérifier
dehors. Mais notez que, par défaut, tous les ports du commutateur sont dans le VLAN 1. Pour changer le VLAN
associé à un port, vous devez vous rendre sur chaque interface et lui indiquer spécifiquement quel VLAN doit être un
partie de.
N'oubliez pas qu'un VLAN créé n'est pas utilisé jusqu'à ce qu'il soit affecté à un port de commutateur ou
ports et que tous les ports sont toujours attribués dans le VLAN 1, sauf indication contraire.
Une fois les VLAN créés, vérifiez votre configuration avec la commande show vlan ( sh vlan pour
court):
S1# sh vlan
Nom du VLAN État des ports
---- ------------------------- --------- ------------ -------------------
1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Gi0/1
Gi0/2
2 Ventes actif
3 Commercialisation actif
4 Comptabilité actif
5 voix actif
[coupure de sortie]
Cela peut sembler répétitif, mais c'est important, et je veux que vous vous en souveniez : vous ne pouvez pas changer,
supprimez ou renommez le VLAN 1 car c'est le VLAN par défaut et vous ne pouvez tout simplement pas le changer, point final.
C'est également le VLAN natif de tous les commutateurs par défaut, et Cisco vous recommande de l'utiliser comme
VLAN de gestion. Si les problèmes de sécurité vous inquiètent, changez-le ! Fondamentalement, tous les ports
qui ne sont pas spécifiquement affectés à un autre VLAN seront envoyés au VLAN natif—VLAN
1.
Dans la sortie S1 précédente, vous pouvez voir que les ports Fa0/1 à Fa0/14, Fa0/19 à 23,
et les liaisons montantes Gi0/1 et Gi0/2 sont toutes dans le VLAN 1. Mais où sont les ports 15 à 18 ? D'abord,
comprenez que la commande show vlan n'affiche que les ports d'accès, alors maintenant que vous savez quoi
vous regardez avec la commande show vlan , où pensez-vous que les ports Fa15-18 sont ? C'est
droit! Ce sont des ports à ressources partagées. Les commutateurs Cisco exécutent un protocole propriétaire appelé Dynamic Trunk
Protocole (DTP) , et s'il y a un commutateur compatible connecté, ils commenceront la jonction
automatiquement, c'est précisément là que se trouvent mes quatre ports. Vous devez utiliser les interfaces de spectacle
commande trunk pour voir vos ports à ressources partagées comme ceci :
S1 # afficher le tronc d'interfaces
Page 189
[coupure de sortie]
Cette sortie révèle que les VLAN de 1 à 4094 sont autorisés par défaut sur la jonction.
Une autre commande utile, qui fait également partie des objectifs de l'examen Cisco, est le show interfaces
commande d'interface switchport :
Interfaces S1# sh fastEthernet 0/15 switchport
Nom : Fa0/15
Port de commutation : activé
Mode administratif : dynamique souhaitable
Mode de fonctionnement : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun
[coupure de sortie]
La sortie en surbrillance nous montre le mode administratif de dynamique souhaitable , que le port est un
port de jonction, et que DTP a été utilisé pour négocier la méthode de marquage de trame d'ISL. Ça aussi
montre de manière prévisible que le VLAN natif est la valeur par défaut de 1.
Maintenant que nous pouvons voir les VLAN créés, nous pouvons attribuer des ports de commutation à des ports spécifiques. Chaque port
peut faire partie d'un seul VLAN, à l'exception des ports d'accès vocal. Grâce à la jonction, vous pouvez
rendre un port disponible pour le trafic de tous les VLAN. Je couvrirai cela ensuite.
Dans l'exemple suivant, je vais configurer l'interface Fa0/3 au VLAN 3. Il s'agit de la connexion du S3
basculer vers l'appareil hôte :
S3 # config t
S3(config)# int fa0/3
S3(config-if)# switchport ?
accès Définir les caractéristiques du mode d'accès de l'interface
autostate Inclure ou exclure ce port du calcul de liaison vlan
sauvegarde Définir une sauvegarde pour l'interface
bloquer Désactiver le transfert d'adresses uni/multicast inconnues
hôte Définir l'hôte du port
mode Définir le mode de jonction de l'interface
nonegotiate L'appareil ne s'engagera pas dans le protocole de négociation sur ce
interface
port-security Commande liée à la sécurité
priorité Définir la priorité 802.1p de l'appareil
private-vlan Définir la configuration du VLAN privé
protected Configurer une interface pour être un port protégé
tronc Définir les caractéristiques de jonction de l'interface
voix L'appareil vocal attribue la voix
Eh bien maintenant, qu'avons-nous ici? Il y a de nouvelles choses qui apparaissent dans notre sortie maintenant. Nous pouvons
voir diverses commandes - certaines que j'ai déjà couvertes, mais pas de soucis car je vais
couvrira très bientôt les commandes access , mode , nonegotiate et trunk . Commençons par définir un
Page 190
port d'accès sur S1, qui est probablement le type de port le plus utilisé que vous trouverez en production
Commutateurs qui ont des VLAN configurés :
En commençant par la commande switchport mode access , vous indiquez au commutateur qu'il s'agit d'un
port de couche 2 sans agrégation. Vous pouvez ensuite affecter un VLAN au port avec l' accès switchport
commande, ainsi que de configurer le même port pour qu'il soit membre d'un type différent de VLAN, appelé
le VLAN voix . Cela vous permet de connecter un ordinateur portable à un téléphone et le téléphone à un seul
port de commutation. N'oubliez pas que vous pouvez choisir de nombreux ports à configurer simultanément avec le
commande de plage d'interface .
Notez que le port Fa0/3 est désormais membre du VLAN 3 et du VLAN 5, deux types différents de VLAN.
Mais pouvez-vous me dire où sont les ports 1 et 2 ? Et pourquoi n'apparaissent-ils pas dans la sortie de
montrer le vlan ? C'est vrai, car ce sont des ports de jonction !
Nous pouvons également le voir avec la commande show interfaces interface switchport :
La sortie en surbrillance montre que Fa0/3 est un port d'accès et un membre du VLAN 3 (Marketing),
ainsi qu'un membre du Voice VLAN 5.
C'est ça. Eh bien, en quelque sorte. Si vous avez branché des appareils sur chaque port VLAN, ils ne peuvent communiquer qu'avec d'autres
périphériques dans le même VLAN. Mais dès que vous en saurez un peu plus sur le trunking, nous allons
activer la communication inter-VLAN !
Configuration des ports de jonction
Le commutateur 2960 exécute uniquement la méthode d'encapsulation IEEE 802.1q. Pour configurer la jonction sur un
Port FastEthernet, utilisez la commande d'interface switchport mode trunk . C'est un peu différent sur le
3560 commutateur.
La sortie de commutateur suivante affiche la configuration de jonction sur les interfaces Fa0/15–18 définie sur
coffre :
Page 191
Si vous avez un commutateur qui exécute uniquement la méthode d'encapsulation 802.1q, vous n'utiliserez pas le
commande d' encapsulation comme je l'ai fait dans la sortie précédente. Voyons maintenant nos ports de jonction :
S1(config-if-range)# do sh int f0/15 swi
Nom : Fa0/15
Port de commutation : activé
Mode administratif : tronc
Mode de fonctionnement : tronc
Encapsulation d'agrégation administrative : dot1q
Encapsulation d'agrégation opérationnelle : dot1q
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun
Notez que le port Fa0/15 est une jonction et exécute 802.1q. Jetons un autre regard :
Prenez note du fait que les ports 15–18 sont maintenant en mode trunk activé et que l'encapsulation est
maintenant 802.1q au lieu de l'ISL négocié. Voici une description des différentes options disponibles
lors de la configuration d'une interface de commutateur :
Dynamic Trunking Protocol (DTP) est utilisé pour négocier la jonction sur un lien
entre deux périphériques ainsi que la négociation du type d'encapsulation 802.1q ou ISL. je
utiliser la commande nonegotiate lorsque je veux des ports de jonction dédiés ; aucune question posée.
Pour désactiver la jonction sur une interface, utilisez la commande switchport mode access , qui définit le port
192
Mais nous pouvons supprimer les VLAN de la liste autorisée pour empêcher le trafic de certains VLAN de
en traversant une liaison à ressources partagées. Je vais vous montrer comment vous feriez cela, mais d'abord permettez-moi de démontrer à nouveau que
tous les VLAN sont autorisés sur la liaison de jonction par défaut :
La commande précédente a affecté la liaison de jonction configurée sur le port S1 F0/15, l'amenant à
autoriser tout le trafic envoyé et reçu pour les VLAN 4, 6, 12 et 15. Vous pouvez essayer de supprimer le VLAN 1 sur
un lien de jonction, mais il enverra et recevra toujours une gestion comme CDP, DTP et VTP, alors quel est le
point?
Si par hasard quelqu'un a supprimé certains VLAN d'une liaison de jonction et que vous souhaitez définir la jonction
retour à la valeur par défaut, utilisez simplement cette commande :
Ensuite, je veux vous montrer comment configurer un VLAN natif pour un tronc avant de commencer le routage
entre les VLAN.
Nous avons donc changé notre VLAN natif sur notre lien de jonction en 4, et en utilisant le show running-config
commande, je peux voir la configuration sous le lien trunk :
Page 193
S1# !
Oups, attendez une minute ! Vous ne pensiez pas que ce serait aussi facile et que vous commenceriez simplement à travailler,
vous? Bien sûr que non! Voici le hic : si tous les commutateurs n'ont pas le même VLAN natif configuré
sur les liens de jonction donnés, nous commencerons à recevoir cette erreur, qui s'est produite immédiatement après que j'ai
entré la commande :
En fait, c'est une bonne erreur non cryptique, donc soit nous pouvons aller à l'autre extrémité de notre (nos) lien(s) de jonction.
et changeons le VLAN natif ou nous remettons le VLAN natif à la valeur par défaut pour le réparer. Voici comment
on ferait ça :
Maintenant, notre lien de jonction utilise le VLAN 1 par défaut comme VLAN natif. N'oubliez pas que tout
les commutateurs sur un tronc donné doivent utiliser le même VLAN natif ou vous aurez de sérieux
problèmes de gestion. Ces problèmes n'affecteront pas les données des utilisateurs, mais uniquement la gestion du trafic entre
commutateurs. Maintenant, mélangeons-le en connectant un routeur à notre réseau commuté et configurons
communication inter-VLAN.
Configuration du routage inter-VLAN
Par défaut, seuls les hôtes membres du même VLAN peuvent communiquer. Pour changer cela et
permettre la communication inter-VLAN, vous avez besoin d'un routeur ou d'un commutateur de couche 3. je vais commencer par
l'approche du routeur.
Pour prendre en charge le routage ISL ou 802.1q sur une interface FastEthernet, l'interface du routeur est divisée
en interfaces logiques, une pour chaque VLAN, comme illustré à la Figure 11.10 . Ceux-ci sont appelés
sous-interfaces . A partir d'une interface FastEthernet ou Gigabit, vous pouvez définir l'interface sur trunk avec
la commande d' encapsulation :
ISR# config t
ISR(config)# int f0/0.1
ISR(config-subif)# encapsulation ?
LAN virtuel dot1Q IEEE 802.1Q
ISR(config-subif)# encapsulation dot1Q ?
<1-4094> ID de VLAN IEEE 802.1Q
Notez que mon routeur 2811 (nommé ISR) ne prend en charge que 802.1q. Nous aurions besoin d'un routeur plus ancien
pour exécuter l'encapsulation ISL, mais pourquoi s'embêter ?
Le numéro de sous-interface n'est significatif que localement, donc peu importe quelle sous-interface
les numéros sont configurés sur le routeur. La plupart du temps, je vais configurer une sous-interface avec le
même numéro que le VLAN que je veux acheminer. Il est facile de s'en souvenir puisque la sous-interface
le numéro est utilisé uniquement à des fins administratives.
Il est vraiment important que vous compreniez que chaque VLAN est en fait un sous-réseau distinct. C'est vrai, je
savoir-ils ne doivent être. Mais c'est vraiment une bonne idée de configurer vos VLAN séparément
sous-réseaux, alors faites-le. Avant de continuer, je souhaite définir le routage en amont . C'est un terme
utilisé pour définir le routeur sur un bâton. Ce routeur fournira un routage inter-VLAN, mais il peut également
être utilisé pour transférer le trafic en amont du réseau commuté vers d'autres parties de l'entreprise
réseau ou Internet.
Maintenant, je dois m'assurer que vous êtes parfaitement prêt à configurer le routage inter-VLAN ainsi que
déterminer les adresses IP des hôtes connectés dans un environnement VLAN commuté. Et comme toujours,
c'est aussi une bonne idée d'être en mesure de résoudre les problèmes qui peuvent survenir. Pour vous préparer au succès, laissez
je vous donne quelques exemples.
Page 194
Tout d'abord, commencez par regarder la figure 11.12 et lisez la configuration du routeur et du commutateur qu'elle contient. Par
ce point du livre, vous devriez être en mesure de déterminer l'adresse IP, les masques et la valeur par défaut
passerelles de chacun des hôtes dans les VLAN.
L'étape suivante consiste à déterminer quels sous-réseaux sont utilisés. En regardant le routeur
configuration dans la figure, vous pouvez voir que nous utilisons 192.168.10.0/28 pour VLAN1,
192.168.1.64/26 avec le VLAN 2 et 192.168.1.128/27 pour le VLAN 10.
En regardant la configuration du commutateur, vous pouvez voir que les ports 2 et 3 sont dans le VLAN 2 et le port 4 est
dans le VLAN 10. Cela signifie que l'hôte A et l'hôte B sont dans le VLAN 2 et l'hôte C est dans le VLAN 10.
Mais attendez, que fait cette adresse IP sous l'interface physique ? Pouvons-nous même faire cela?
Bien sûr que nous pouvons! Si nous plaçons une adresse IP sous l'interface physique, le résultat est que les trames envoyées
de l'adresse IP ne serait pas balisée. Alors, de quel VLAN ces trames seraient-elles membres ? Par
par défaut, ils appartiendraient au VLAN 1, notre VLAN de gestion. Cela signifie l'adresse
192.168.10.1 /28 est mon adresse IP VLAN native pour ce commutateur.
Les hôtes peuvent être n'importe quelle adresse de la plage - je viens de choisir la première adresse IP disponible après le
adresse de passerelle par défaut. Ce n'était pas si difficile, n'est-ce pas ?
Maintenant, en utilisant à nouveau la Figure 11.12 , passons en revue les commandes nécessaires pour configurer le port du commutateur
1 afin d'établir un lien avec le routeur et de fournir une communication inter-VLAN en utilisant l'IEEE
version pour l'encapsulation. Gardez à l'esprit que les commandes peuvent varier légèrement en fonction de ce que
type de commutateur auquel vous avez affaire.
2960# config t
2960(config)# interface fa0/1
2960(config-if)# tronc de mode switchport
C'est ça! Comme vous le savez déjà, le commutateur 2960 ne peut exécuter que l'encapsulation 802.1q, il y a donc
pas besoin de le préciser. Vous ne pouvez pas de toute façon. Pour un 3560, c'est fondamentalement la même chose, mais parce qu'il peut fonctionner
ISL et 802.1q, vous devez spécifier le protocole d'encapsulation de jonction que vous allez utiliser.
Page 195
N'oubliez pas que lorsque vous créez un lien agrégé, tous les VLAN sont autorisés à passer
Regardons la figure 11.13 et voyons ce que nous pouvons déterminer. Cette figure montre trois VLAN,
avec deux hôtes dans chacun d'eux. Le routeur de la Figure 11.13 est connecté au port du commutateur Fa0/1,
et le VLAN 4 est configuré sur le port F0/6.
Lorsque vous regardez ce diagramme, gardez à l'esprit que ces trois facteurs sont ce que Cisco attend de vous.
savoir:
Les ports de commutation qui se connectent aux clients et au concentrateur sont des ports d'accès et non des ports de jonction.
2960# config t
2960(config)# entier f0/1
2960(config-if)# tronc de mode switchport
2960(config-if)# int f0/2
2960(config-if)# switchport access vlan 2
2960(config-if)# int f0/3
2960(config-if)# switchport access vlan 2
2960(config-if)# int f0/4
2960(config-if)# switchport access vlan 3
2960(config-if)# int f0/5
2960(config-if)# switchport access vlan 3
2960(config-if)# int f0/6
2960(config-if)# switchport access vlan 4
Page 196
VLAN 2 : 192.168.10.16/28
VLAN 3 : 192.168.10.32/28
VLAN 4 : 192.168.10.48/28
ISR# config t
ISR(config)# int fa0/0
ISR(config-if)# adresse IP 192.168.10.1 255.255.255.240
ISR(config-if)# pas d'arrêt
ISR(config-if)# int f0/0.2
ISR(config-subif)# encapsulation dot1q 2
ISR(config-subif)# adresse IP 192.168.10.17 255.255.255.240
ISR(config-subif)# int f0/0.3
ISR(config-subif)# encapsulation dot1q 3
ISR(config-subif)# adresse IP 192.168.10.33 255.255.255.240
ISR(config-subif)# int f0/0.4
ISR(config-subif)# encapsulation dot1q 4
ISR(config-subif)# adresse IP 192.168.10.49 255.255.255.240
Notez que je n'ai pas balisé le VLAN 1. Même si j'aurais pu créer une sous-interface et baliser le VLAN 1,
ce n'est pas nécessaire avec 802.1q car les trames non étiquetées sont membres du VLAN natif.
Les hôtes de chaque VLAN se verraient attribuer une adresse de leur plage de sous-réseau, et la valeur par défaut
La passerelle serait l'adresse IP attribuée à la sous-interface du routeur dans ce VLAN.
Maintenant, jetons un coup d'œil à une autre figure et voyons si vous pouvez déterminer le commutateur et le routeur
configurations sans regarder la réponse—pas de triche ! La figure 11.14 montre un routeur
connecté à un commutateur 2960 avec deux VLAN. Un hôte dans chaque VLAN se voit attribuer une adresse IP.
Quelles seraient vos configurations de routeur et de commutateur basées sur ces adresses IP ?
Page 197
FIGURE 11.14 Exemple 3 d'inter-VLAN
Étant donné que les hôtes ne répertorient pas de masque de sous-réseau, vous devez rechercher le nombre d'hôtes utilisés dans chaque
VLAN pour déterminer la taille du bloc. Le VLAN 2 a 85 hôtes et le VLAN 3 a 115 hôtes. Chacun de ces
s'adaptera à une taille de bloc de 128, qui est un masque /25, ou 255.255.255.128.
Vous devez savoir maintenant que les sous-réseaux sont 0 et 128 ; le sous-réseau 0 (VLAN 2) a une plage d'hôtes
de 1 à 126, et le sous-réseau 128 (VLAN 3) a une plage de 129 à 254. Vous pouvez presque être dupe puisque
L'hôte A a une adresse IP de 126, ce qui donne presque l' impression que l'hôte A et B sont dans le même
sous-réseau. Mais ils ne le sont pas, et vous êtes bien trop intelligent maintenant pour vous laisser berner par celui-ci !
2960# config t
2960(config)# entier f0/1
2960(config-if)# tronc de mode switchport
2960(config-if)# int f0/2
2960(config-if)# switchport access vlan 2
2960(config-if)# int f0/3
2960(config-if)# switchport access vlan 3
ISR# config t
ISR(config) # int f0/0
Page 198
J'ai utilisé la première adresse de la plage d'hôtes pour le VLAN 2 et la dernière adresse de la plage pour le VLAN 3,
mais n'importe quelle adresse dans la plage fonctionnerait. Vous auriez juste à configurer la valeur par défaut de l'hôte
passerelle vers tout ce que vous faites de l'adresse du routeur. De plus, j'ai utilisé un sous-réseau différent pour mon
l'interface physique, qui est l'adresse de mon routeur VLAN de gestion.
Maintenant, avant de passer à l'exemple suivant, je dois m'assurer que vous savez comment définir l'IP
adresse sur le commutateur. Étant donné que le VLAN 1 est généralement le VLAN administratif, nous utiliserons une adresse IP
à partir de ce pool d'adresses. Voici comment définir l'adresse IP du commutateur (pas lancinante,
mais vous devriez vraiment déjà le savoir !):
2960# config t
2960(config)# int vlan 1
2960(config-if)# adresse IP 192.168.10.2 255.255.255.0
2960(config-if)# pas d'arrêt
2960(config-if)# sortie
2960(config)# ip par défaut-passerelle 192.168.10.1
Oui, vous devez exécuter un arrêt sur l'interface VLAN et définir la passerelle par défaut ip
adresse au routeur.
Un autre exemple, puis nous passerons à l'IVR à l'aide d'un commutateur multicouche - un autre
sujet à ne surtout pas manquer ! Dans la Figure 11.15, il y a deux VLAN, plus le
VLAN de gestion 1. En regardant la configuration du routeur, quelle est l'adresse IP, le masque de sous-réseau,
et la passerelle par défaut de l'hôte A ? Utilisez la dernière adresse IP de la plage pour l'adresse de l'hôte A.
Si vous regardez vraiment attentivement la configuration du routeur (le nom d'hôte dans cette configuration est juste
Routeur), il existe une réponse simple et rapide. Tous les sous-réseaux utilisent un /28, qui est un
255.255.255.240 masque. Il s'agit d'une taille de bloc de 16. L'adresse du routeur pour le VLAN 2 est dans le sous-réseau
128. Le sous-réseau suivant est 144, donc l'adresse de diffusion du VLAN 2 est 143 et la plage d'hôtes valide
est 129-142. L'adresse de l'hôte serait donc celle-ci :
Adresse IP : 192.168.10.142
Masque : 255.255.255.240
Cette section était probablement la partie la plus difficile de tout ce livre, et j'ai honnêtement créé le
configuration la plus simple que vous puissiez utiliser pour vous aider à traverser cela !
Je vais utiliser la figure 11.16 pour démontrer la configuration du routage inter-VLAN (IVR) avec un multicouche
commutateur, qui est souvent appelé interface virtuelle commutée (SVI). je vais utiliser le même
réseau que j'ai utilisé pour discuter d'un commutateur multicouche à la figure 11.11 , et j'utiliserai cette adresse IP
schéma : 192.168. x .0/24, où x représente le sous-réseau VLAN. Dans mon exemple, ce sera le
identique au numéro de VLAN.
Les hôtes sont déjà configurés avec l'adresse IP, le masque de sous-réseau et l'adresse de passerelle par défaut
Page 200
en utilisant la première adresse de la plage. Il ne me reste plus qu'à configurer le routage sur le switch, ce qui
c'est assez simple en fait :
Routage IP S1(config)#
S1(config)# int vlan 10
S1(config-if)# adresse IP 192.168.10.1 255.255.255.0
S1(config-if)# int vlan 20
S1(config-if)# adresse IP 192.168.20.1 255.255.255.0
Et c'est tout! Activez le routage IP et créez une interface logique pour chaque VLAN à l'aide de l' interface
commande de numéro de vlan et voilà ! Vous avez maintenant réussi à faire fonctionner le routage inter-VLAN sur
le fond de panier du switch !
Sommaire
Dans ce chapitre, je vous ai présenté le monde des réseaux locaux virtuels et décrit comment les commutateurs Cisco
peut les utiliser. Nous avons parlé de la façon dont les VLAN divisent les domaines de diffusion dans un
interréseau - une chose très importante et nécessaire car les commutateurs de couche 2 ne font que briser les collisions
domaines, et par défaut, tous les commutateurs constituent un grand domaine de diffusion. j'ai aussi décrit
accéder aux liens vers vous, et nous avons expliqué comment les VLAN à ressources partagées fonctionnent sur un FastEthernet ou plus rapide
relier.
Le Trunking est une technologie cruciale à très bien comprendre lorsque vous traitez avec un réseau
peuplé de plusieurs commutateurs exécutant plusieurs VLAN.
On vous a également présenté quelques exemples de dépannage et de configuration clés pour l'accès
et les ports de jonction, la configuration des options de jonction et une énorme section sur l'IVR.
Essentiels de l'examen
Comprenez le terme étiquetage de trame . Le balisage des trames fait référence à l'identification du VLAN ; c'est
quels commutateurs utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent une matrice de commutation. Cela montre
les commutateurs identifient quelles trames appartiennent à quels VLAN.
Comprenez la méthode d'identification du VLAN 802.1q. Ceci est un IEEE non propriétaire
méthode de marquage de trame. Si vous effectuez une jonction entre une liaison commutée Cisco et une marque différente
du commutateur, vous devez utiliser 802.1q pour que le tronc fonctionne.
Rappelez-vous comment définir un port de jonction sur un commutateur 2960. Pour définir un port sur la jonction sur un
2960, utilisez la commande switchport mode trunk .
N'oubliez pas de vérifier l'affectation VLAN d'un port de commutateur lorsque vous branchez un nouveau
hôte. Si vous branchez un nouvel hôte dans un commutateur, vous devez alors vérifier l'appartenance au VLAN de ce
Port. Si l'adhésion est différente de ce qui est nécessaire pour cet hôte, l'hôte ne pourra pas
accéder aux services réseau nécessaires, tels qu'un serveur de groupe de travail ou une imprimante.
Rappelez-vous comment créer un routeur Cisco sur une clé pour fournir un inter-VLAN
la communication. Vous pouvez utiliser une interface Cisco FastEthernet ou Gigabit Ethernet pour fournir
routage inter-VLAN. Le port du commutateur connecté au routeur doit être un port de jonction ; alors vous
doit créer des interfaces virtuelles (sous-interfaces) sur le port du routeur pour chaque VLAN qui s'y connecte.
Les hôtes de chaque VLAN utiliseront cette adresse de sous-interface comme adresse de passerelle par défaut.
Rappelez-vous comment fournir un routage inter-VLAN avec un commutateur de couche 3. Vous pouvez utiliser un
commutateur de couche 3 (multicouche) pour fournir l'IVR comme avec un routeur sur une clé, mais en utilisant une couche 3
commutateur est plus efficace et plus rapide. Commencez par démarrer le processus de routage avec la commande ip
routage ,
puis créez une interface virtuelle pour chaque VLAN à l'aide de la commande interface vlan vlan , et
puis appliquez l'adresse IP pour ce VLAN sous cette interface logique.
Laboratoire écrit 11
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
Page 201
Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».
1. Vrai/Faux : pour fournir un IVR avec un commutateur de couche 3, vous placez une adresse IP sur chaque interface
de l'interrupteur.
5. Si vous avez un commutateur qui fournit à la fois le balisage des trames ISL et 802.1q, quelle commande sous
l'interface de jonction fera-t-elle que la jonction utilisera 802.1q ?
9. Quel type de lien sur un commutateur est membre d'un seul VLAN ?
10. Vous souhaitez passer de la valeur par défaut de VLAN 1 à VLAN 4 pour le trafic non balisé. Quoi
commande allez-vous utiliser ?
Laboratoires pratiques
Dans ces ateliers, vous utiliserez trois commutateurs et un routeur. Pour effectuer le dernier laboratoire, vous aurez besoin d'une couche
3 interrupteur.
Page 202
S1(config)# vlan 10
S1(config-vlan)# vlan 20
S2(config)# vlan 10
S2(config-vlan)# vlan 20
S3(config)# vlan 10
S3(config-vlan)# vlan 20
2. Utilisez les commandes show vlan et show vlan brief pour vérifier vos VLAN. Remarquez que tout
les interfaces sont dans le VLAN 1 par défaut.
S1# sh vlan
S1# sh vlan bref
1. Connectez-vous à chaque commutateur et configurez la jonction sur toutes les liaisons de commutateur. Si vous utilisez un interrupteur
qui prend en charge le balisage des trames 802.1q et ISL, puis utilisez la commande d'encapsulation ; si non,
puis ignorez cette commande.
S1# config t
S1(config)# interface fa0/15
Encapsulation de jonction S1(config-if)# switchport ?
L'interface dot1q utilise uniquement l'encapsulation de jonction 802.1q lors de la jonction
L'interface isl utilise uniquement l'encapsulation de jonction ISL lors de la jonction
négociez L'appareil négociera l'encapsulation de la jonction avec l'homologue sur l'interface
Encore une fois, si vous avez tapé le précédent et reçu une erreur, votre commutateur ne prend pas en charge
les deux méthodes d'encapsulation :
3. Sur chaque commutateur, vérifiez vos ports de jonction avec la commande show interface trunk :
1. Configurez le F0/0 du routeur avec deux sous-interfaces pour fournir un routage inter-VLAN en utilisant
Encapsulation 802.1q. Utilisez 172.16.10.0/24 pour votre VLAN de gestion, 10.10.10.0/24 pour
VLAN 10 et 20.20.20.0/24 pour VLAN 20.
Page 203
Routeur# config t
Routeur (config)# int f0/0
Routeur (config-if)# adresse IP 172.16.10.1 255.255.255.0
Routeur (config-if)# interface f0/0.10
Routeur (config-subif)# encapsulation dot1q 10
Routeur (config-subif)# adresse IP 10.10.10.1 255.255.255.0
Routeur (config-subif)# interface f0/0.20
Routeur (config-subif)# encapsulation dot1q 20
Routeur (config-subif)# adresse IP 20.20.20.1 255.255.255.0
4. Vérifiez que vos VLAN sont toujours configurés sur vos commutateurs avec la commande sh vlan .
5. Configurez vos hôtes pour qu'ils soient dans le VLAN 10 et le VLAN 20 avec le switchport access vlan x
commander.
6. Ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.
7. Ping de votre PC vers votre PC dans l'autre VLAN. Vous effectuez maintenant le routage via le routeur !
1. Connectez-vous au commutateur S1 et faites de l'interface F0/8 un port d'accès, ce qui fera du routeur
arrêter de fournir le routage inter-VLAN.
Routage IP S1(config)#
5. Ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.
6. Ping depuis votre PC vers votre PC dans l'autre VLAN. Vous effectuez maintenant le routage via le commutateur S1 !
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez
voir www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
1. Laquelle des affirmations suivantes est vraie en ce qui concerne les VLAN ?
B. Les VLAN augmentent le nombre de domaines de collision tout en diminuant leur taille.
C. Les VLAN diminuent le nombre de domaines de diffusion tout en diminuant leur taille.
le VLAN approprié.
2. Écrivez la commande qui doit être présente pour que ce commutateur de couche 3 fournisse l'inter-VLAN
routage entre les deux VLAN créés avec ces commandes :
3. Dans le schéma suivant, comment le port à chaque extrémité de la ligne doit-il être configuré pour transporter
trafic entre les quatre hôtes?
A. Port d'accès
B. 10 Go
C. Tronc
D. Enjambement
4. Quel est le seul type de second VLAN dont un port d'accès peut être membre ?
A. Secondaire
B. Voix
C. Primaire
D. Tronc
2960# config t
2960(config)# int vlan 1
2960(config-if)# adresse IP 192.168.10.2 255.255.255.0
2960(config-if)# sortie
2960(config)# ip par défaut-passerelle 192.168.10.1
Page 205
D. interface passive
6. Laquelle des affirmations suivantes est vraie en ce qui concerne l'ISL et le 802.1q ?
A. 802.1q encapsule la trame avec les informations de contrôle ; ISL insère un champ ISL le long
avec les informations de contrôle des balises.
C. ISL encapsule la trame avec les informations de contrôle ; 802.1q insère un champ 802.1q le long
avec les informations de contrôle des balises.
A. Routage multiprotocole
B. Interface passive
C. Redondance de passerelle
8. Écrivez la commande qui place une interface dans le VLAN 2. Écrivez uniquement la commande et non
l'invite.
Page 206
10. Dans la configuration et le schéma affichés, quelle commande manque pour activer l'inter-VLAN
routage entre VLAN 2 et VLAN 3 ?
11. Sur la base de la configuration illustrée ici, quelle affirmation est vraie ?
Routage IP S1(config)#
S1(config)# int vlan 10
S1(config-if)# adresse IP 192.168.10.1 255.255.255.0
S1(config-if)# int vlan 20
S1(config-if)# adresse IP 192.168.20.1 255.255.255.0
S1# sh vlan
Nom du VLAN État des ports
---- ---------------------- --------- --------------- ----------------
1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Page 207
13. Les trames 802.1q non balisées sont membres du VLAN __________.
A. Auxiliaire
B. Voix
C. Autochtone
D. Privé
14. Écrivez la commande qui a généré la sortie suivante. N'écrivez que la commande et non
l'invite :
Nom : Fa0/15
Port de commutation : activé
Mode administratif : dynamique souhaitable
Mode de fonctionnement : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun
[coupure de sortie]
15. Dans la sortie de commutation de la question 12, combien de domaines de diffusion sont affichés ?
A. 1
B. 2
C.4
D. 1001
16. Dans le diagramme, quelle devrait être l'adresse de passerelle par défaut de l'hôte B ?
Page 208
A. 192.168.10.1
B. 192.168.1.65
C. 192.168.1.129
D. 192.168.1.2
17. À quoi sert le balisage des trames dans les configurations de réseau local virtuel (VLAN) ?
A. Routage inter-VLAN
18. Écrivez la commande pour créer le VLAN 2 sur un commutateur de couche 2. N'écrivez que la commande et non
l'invite.
19. Quelle affirmation est vraie concernant le balisage des trames 802.1q ?
20. Écrivez la commande qui empêche une interface de générer des trames DTP. N'écrivez que le
commande et non l'invite.
Page 209
Chapitre 12
Sécurité
4.6 Configurer, vérifier et dépanner la liste d'accès numérotée et nommée standard IPv4
pour les interfaces routées
Le premier outil électrique que je vais vous remettre est connu sous le nom de liste de contrôle d'accès (ACL). Être capable de
exécuter une ACL avec compétence fait partie intégrante de la solution de sécurité de Cisco, je vais donc commencer
en vous montrant comment créer et implémenter des ACL simples. De là, je passerai à
démontrer des listes de contrôle d'accès plus avancées et décrire comment les mettre en œuvre stratégiquement pour
fournir une armure sérieuse pour un interréseau dans l'environnement difficile et à haut risque d'aujourd'hui.
Dans l'annexe C, « Désactivation et configuration des services réseau », je vais vous montrer comment atténuer la plupart des
menaces réseau axées sur la sécurité. Assurez-vous de ne pas sauter cette annexe car elle est calée
plein d'informations sur la sécurité, et les informations qu'il contient font partie de l'examen Cisco
objectifs aussi !
L'utilisation et la configuration correctes des listes d'accès sont une partie vitale de la configuration du routeur car
les listes d'accès sont de tels accessoires de mise en réseau polyvalents. Contribuant puissamment à l'efficacité et à la
fonctionnement de votre réseau, les listes d'accès donnent aux gestionnaires de réseau un énorme contrôle sur
circulation dans toute l'entreprise. Avec les listes d'accès, nous pouvons recueillir des statistiques de base sur les paquets
des politiques de flux et de sécurité peuvent être mises en œuvre. Ces outils dynamiques nous permettent également de protéger
appareils sensibles contre les dangers d'un accès non autorisé.
Dans ce chapitre, nous couvrirons les ACL pour TCP/IP et explorerons les moyens efficaces dont nous disposons pour
tester et surveiller le bon fonctionnement des listes d'accès appliquées. Nous allons commencer maintenant par
discuter des mesures de sécurité clés déployées à l'aide de périphériques matériels et de VLAN, puis je vais
vous présenter les ACL.
Page 210
J'utiliserai les termes réseau approuvé et réseau non approuvé tout au long de ce chapitre, il est donc
important que vous puissiez voir où ils se trouvent dans un réseau sécurisé typique. Les démilitarisés
zone (DMZ) peut être des adresses Internet globales (réelles) ou des adresses privées, selon la façon dont vous
configurez votre pare-feu, mais c'est généralement là que vous trouverez le HTTP, le DNS, l'e-mail et d'autres
Serveurs d'entreprise de type Internet.
Comme vous le savez maintenant, au lieu d'utiliser des routeurs, nous pouvons créer des VLAN avec des commutateurs à l'intérieur
réseau de confiance. Les commutateurs multicouches contenant leurs propres fonctions de sécurité peuvent parfois
remplacer les routeurs internes (LAN) pour fournir des performances plus élevées dans les architectures VLAN.
L'une des utilisations les plus courantes et les plus faciles à comprendre des listes d'accès est de filtrer les indésirables
Page 211
paquets lors de la mise en œuvre des politiques de sécurité. Par exemple, vous pouvez les configurer pour qu'ils soient très
des décisions spécifiques sur la régulation des modèles de trafic afin qu'ils n'autorisent que certains hôtes à
accéder aux ressources Web sur Internet tout en restreignant les autres. Avec la bonne combinaison de
listes d'accès, les gestionnaires de réseau se dotent du pouvoir d'appliquer presque n'importe quelle sécurité
politique qu'ils peuvent inventer.
La création de listes d'accès ressemble beaucoup à la programmation d'une série d'instructions if-then — si un
condition est remplie, alors une action donnée est entreprise. Si la condition spécifique n'est pas remplie, rien ne se passe
et l'instruction suivante est évaluée. Les instructions de liste d'accès sont essentiellement des filtres de paquets qui
les paquets sont comparés, classés par et traités en conséquence. Une fois les listes
construits, ils peuvent être appliqués au trafic entrant ou sortant sur n'importe quelle interface. L'application d'un
liste d'accès oblige le routeur à analyser chaque paquet traversant cette interface dans le
direction et prendre les mesures appropriées.
Il y a trois règles importantes qu'un paquet suit lorsqu'il est comparé à un accès
liste:
Le paquet est toujours comparé à chaque ligne de la liste d'accès dans l'ordre séquentiel — il sera
commencez toujours par la première ligne de la liste d'accès, passez à la ligne 2, puis à la ligne 3, et ainsi de suite.
Le paquet est comparé aux lignes de la liste d'accès uniquement jusqu'à ce qu'une correspondance soit établie. Une fois qu'il
correspond à la condition sur une ligne de la liste d'accès, le paquet est traité et pas plus
des comparaisons ont lieu.
Il y a un « refus » implicite à la fin de chaque liste d'accès — cela signifie que si un paquet ne
correspondent à la condition sur l'une des lignes de la liste d'accès, le paquet sera rejeté.
Chacune de ces règles a des implications puissantes lors du filtrage des paquets IP avec des listes d'accès, donc
gardez à l'esprit que la création de listes d'accès efficaces demande un peu de pratique.
Listes d'accès standard Ces ACL utilisent uniquement l'adresse IP source dans un paquet IP comme
essai d'état. Toutes les décisions sont prises en fonction de l'adresse IP source. Cela signifie que la norme
les listes d'accès autorisent ou refusent essentiellement une suite entière de protocoles. Ils ne font pas de distinction entre
l'un des nombreux types de trafic IP tels que Web, Telnet, UDP, etc.
Listes d'accès étendues Les listes d'accès étendues peuvent évaluer de nombreux autres champs de la couche 3
et les en-têtes de couche 4 d'un paquet IP. Ils peuvent évaluer les adresses IP source et de destination, le
Le champ Protocole dans l'en-tête de la couche Réseau et le numéro de port dans l'en-tête de la couche Transport.
Cela donne aux listes d'accès étendu la possibilité de prendre des décisions beaucoup plus granulaires lorsque
contrôler le trafic.
Listes d'accès nommées Hé, attendez une minute, j'ai dit qu'il n'y avait que deux types de listes d'accès, mais
en liste trois ! Eh bien, techniquement, il n'y en a vraiment que deux puisque les listes d'accès nommées sont soit
standard ou étendu et pas réellement un type distinct. Je les distingue juste parce que
elles sont créées et référencées différemment des listes d'accès standard et étendues, mais
ils sont toujours fonctionnellement les mêmes.
Nous aborderons ces types de listes d'accès plus en détail plus loin dans ce chapitre.
Une fois que vous avez créé une liste d'accès, elle ne fera rien tant que vous ne l'aurez pas appliquée. Oui ils sont
là sur le routeur, mais ils sont inactifs jusqu'à ce que vous disiez à ce routeur quoi faire avec eux. Pour utiliser un
liste d'accès en tant que filtre de paquets, vous devez l'appliquer à une interface sur le routeur où vous voulez que le
trafic filtré. Et vous devez spécifier dans quel sens de circulation vous voulez la liste d'accès
appliqué à. Il y a une bonne raison à cela : vous souhaiterez peut-être mettre en place différents contrôles pour le trafic
laissant votre entreprise destinée à Internet que vous ne voudriez pour le trafic entrant dans votre
entreprise à partir d'Internet. Ainsi, en spécifiant le sens de circulation, vous pouvez et devez utiliser
différentes listes d'accès pour le trafic entrant et sortant sur une seule interface :
Page 212
Listes d'accès entrantes Lorsqu'une liste d'accès est appliquée aux paquets entrants sur une interface, ces
les paquets sont traités via la liste d'accès avant d'être acheminés vers l'interface sortante. Tout
les paquets refusés ne seront pas routés car ils sont rejetés avant que le processus de routage ne soit
invoqué.
Listes d'accès sortantes Lorsqu'une liste d'accès est appliquée aux paquets sortants sur une interface,
les paquets sont acheminés vers l'interface sortante puis traités via la liste d'accès avant
étant en file d'attente.
Il y a quelques directives générales de liste d'accès que vous devez garder à l'esprit lors de la création et
implémenter des listes d'accès sur un routeur :
Vous ne pouvez affecter qu'une seule liste d'accès par interface par protocole et par direction. Cela signifie que
lors de l'application des listes d'accès IP, vous ne pouvez avoir qu'une seule liste d'accès entrante et une seule sortante
liste d'accès par interface.
Lorsque vous considérez les implications du refus implicite à la fin de tout accès
list, il est logique que vous ne puissiez pas avoir plusieurs listes d'accès appliquées sur la même interface dans
même sens pour le même protocole. C'est parce que tous les paquets qui ne correspondent pas à certains
la condition dans la première liste d'accès serait refusée et il ne resterait plus de paquets
à comparer avec une seconde liste d'accès !
Organisez vos listes d'accès de manière à ce que les tests les plus spécifiques soient en haut.
Chaque fois qu'une nouvelle entrée est ajoutée à la liste d'accès, elle sera placée au bas de la liste, ce qui
C'est pourquoi je recommande fortement d'utiliser un éditeur de texte pour les listes d'accès.
Vous ne pouvez pas supprimer une ligne d'une liste d'accès. Si vous essayez de le faire, vous supprimerez l'intégralité de
liste. C'est pourquoi il est préférable de copier la liste d'accès dans un éditeur de texte avant d'essayer de modifier la liste.
La seule exception est lorsque vous utilisez des listes d'accès nommées.
Vous pouvez modifier, ajouter ou supprimer une seule ligne d'une liste d'accès nommée. je vais te montrer
combien de temps.
À moins que votre liste d'accès ne se termine par une commande d' autorisation , tous les paquets seront rejetés s'ils le font.
ne répond à aucun des tests de la liste. Cela signifie que chaque liste doit avoir au moins une déclaration de permis
ou il refusera tout le trafic.
Créez des listes d'accès, puis appliquez-les à une interface. Toute liste d'accès appliquée à une interface
sans les instructions de test de liste d'accès présentes ne filtrera pas le trafic.
Les listes d'accès sont conçues pour filtrer le trafic passant par le routeur. Ils ne filtreront pas le trafic
qui provient du routeur.
Placez les listes d'accès standard IP aussi près que possible de la destination. C'est la raison pour laquelle nous
ne veulent pas vraiment utiliser des listes d'accès standard dans nos réseaux. Vous ne pouvez pas mettre un accès standard
liste proche de l'hôte ou du réseau source car vous ne pouvez filtrer qu'en fonction de l'adresse source
et toutes les destinations en seraient affectées.
Placez les listes d'accès étendu IP aussi près que possible de la source. Étant donné que les listes d'accès étendues
pouvez filtrer sur des adresses et des protocoles très spécifiques, vous ne voulez pas que votre trafic traverse le
tout le réseau juste pour être refusé. En plaçant cette liste aussi près que possible de l'adresse source,
vous pouvez filtrer le trafic avant qu'il n'utilise la précieuse bande passante.
Avant de passer à la démonstration de la configuration des listes de contrôle d'accès de base et étendues, parlons de la façon dont
ils peuvent être utilisés pour atténuer les menaces de sécurité que j'ai mentionnées plus tôt.
Page 213
Voici une liste des nombreuses menaces de sécurité que vous pouvez atténuer avec les listes de contrôle d'accès :
Refuser/filtrer Traceroute
Il ne s'agit pas d'un livre « introduction à la sécurité », vous devrez peut-être faire des recherches
C'est généralement une mauvaise idée d'autoriser dans un réseau privé tous les paquets IP externes qui contiennent le
l'adresse source de tout hôte ou réseau interne, mais ne le faites pas !
Voici une liste de règles à respecter lors de la configuration des ACL depuis Internet vers votre production
réseau pour atténuer les problèmes de sécurité :
Aucune de ces adresses sources ne devrait être autorisée à entrer dans votre interréseau. Maintenant
enfin, sachons-nous les mains et configurons des listes d'accès basiques et avancées !
La sortie suivante affiche un bon exemple des nombreuses plages de numéros de liste d'accès que vous
peut utiliser pour filtrer le trafic sur votre réseau. La version IOS délimite les protocoles que vous pouvez spécifier
accès pour :
Page 214
Wow, il y a certainement beaucoup d'anciens protocoles répertoriés dans cette sortie ! IPX et DECnet ne
plus être utilisé dans l'un des réseaux d'aujourd'hui. Jetons un coup d'œil à la syntaxe utilisée lors de la création d'un
liste d'accès IP standard :
Comme je l'ai dit, en utilisant les numéros de liste d'accès 1-99 ou 1300-1999, vous dites au routeur que vous
souhaitez créer une liste d'accès IP standard, ce qui signifie que vous ne pouvez filtrer que sur l'adresse IP source.
Une fois que vous avez choisi le numéro de liste d'accès, vous devez décider si vous créez un permis
ou nier la déclaration. Je vais créer une instruction de refus maintenant :
L'étape suivante est plus détaillée car elle contient trois options :
1. La première option est le paramètre any , qui est utilisé pour autoriser ou refuser tout hôte source ou
réseau.
2. Le deuxième choix consiste à utiliser une adresse IP pour spécifier un seul hôte ou une plage d'entre eux.
3. La dernière option consiste à utiliser la commande host pour spécifier un hôte spécifique uniquement.
La commande any est assez évidente - n'importe quelle adresse source correspond à l'instruction, donc chaque paquet
par rapport à cette ligne correspondra. La commande host est également relativement simple, comme vous pouvez le voir
ici:
Cela indique à la liste de refuser tous les paquets de l'hôte 172.16.30.2. Le paramètre par défaut est host . Dans
en d'autres termes, si vous tapez access-list 10 deny 172.16.30.2 , le routeur suppose que vous voulez dire host
172.16.30.2 et c'est exactement comme cela qu'il apparaîtra dans votre fichier running-config.
Mais il existe une autre façon de spécifier soit un hôte particulier, soit une plage d'hôtes, et c'est ce qu'on appelle
masquage générique. En fait, pour spécifier une plage d'hôtes, vous devez utiliser le masquage générique dans le
liste d'accès.
Alors, qu'est-ce que le masquage générique ? A venir, je vais vous montrer en utilisant un accès standard
exemple de liste. Je vous expliquerai également comment contrôler l'accès à un terminal virtuel.
Permettez-moi de faire une pause ici pour un examen rapide des tailles de bloc avant d'aller plus loin. je suis sûr que tu
rappelez-vous que les différentes tailles de blocs disponibles sont 64, 32, 16, 8 et 4. Lorsque vous devez
spécifiez une plage d'adresses, vous choisissez la taille de bloc suivante la plus grande pour vos besoins. Alors si vous
devez spécifier 34 réseaux, vous avez besoin d'une taille de bloc de 64. Si vous voulez spécifier 18 hôtes, vous
besoin d'une taille de bloc de 32. Si vous ne spécifiez que 2 réseaux, optez pour une taille de bloc de 4.
Page 215
Les caractères génériques sont utilisés avec l'hôte ou l'adresse réseau pour indiquer au routeur une plage de
adresses à filtrer. Pour spécifier un hôte, l'adresse ressemblerait à ceci :
172.16.30.5 0.0.0.0
Les quatre zéros représentent chaque octet de l'adresse. Chaque fois qu'un zéro est présent, il indique que
l'octet de l'adresse doit correspondre exactement à l'octet de référence correspondant. Pour préciser qu'un
octet peut être n'importe quelle valeur, utilisez la valeur 255. Voici un exemple de la façon dont un sous-réseau /24 est spécifié avec
un masque générique :
172.16.30.0 0.0.0.255
Cela indique au routeur de faire correspondre exactement les trois premiers octets, mais le quatrième octet peut être n'importe quel
valeur.
D'accord, c'était la partie facile. Mais que se passe-t-il si vous souhaitez spécifier uniquement une petite plage de sous-réseaux ? Cette
est l'endroit où les tailles de bloc entrent en jeu. Vous devez spécifier la plage de valeurs dans une taille de bloc, vous ne pouvez donc pas
choisissez de spécifier 20 réseaux. Vous pouvez uniquement spécifier le montant exact que la valeur de la taille du bloc
permet. Cela signifie que la plage devrait être soit 16, soit 32, mais pas 20.
Disons que vous voulez bloquer l'accès à la partie du réseau qui va de 172.16.8.0
jusqu'à 172.16.15.0. Pour ce faire, vous utiliseriez une taille de bloc de 8, votre numéro de réseau
serait 172.16.8.0, et le caractère générique serait 0.0.7.255. Le 7.255 est égal à la valeur du routeur
utilisera pour déterminer la taille du bloc. Ainsi, ensemble, le numéro de réseau et le caractère générique indiquent au
routeur pour commencer à 172.16.8.0 et augmenter d'une taille de bloc de huit adresses jusqu'au réseau 172.16.15.0.
C'est vraiment plus facile qu'il n'y paraît ! Je pourrais certainement faire le calcul binaire pour vous, mais non
on a besoin de ce genre de douleur parce que tout ce que vous avez à faire est de vous rappeler que le joker est toujours
un nombre de moins que la taille du bloc. Ainsi, dans notre exemple, le joker serait 7 puisque notre bloc
la taille est de 8. Si vous utilisiez une taille de bloc de 16, le caractère générique serait de 15. Facile, n'est-ce pas ?
Juste pour vous faire comprendre, nous allons passer en revue quelques exemples qui vous aideront certainement à le comprendre
vers le bas. L'exemple suivant indique au routeur de faire correspondre exactement les trois premiers octets mais que le
le quatrième octet peut être n'importe quoi :
L'exemple suivant indique au routeur de faire correspondre les deux premiers octets et que les deux derniers octets peuvent être
de n'importe quelle valeur:
Cette configuration indique au routeur de démarrer au réseau 172.16.16.0 et d'utiliser une taille de bloc de 4. Le
la plage serait alors de 172.16.16.0 à 172.16.19.255, et soit dit en passant, les objectifs de Cisco
semble vraiment aimer celui-ci !
Cet exemple révèle une liste d'accès commençant à 172.16.16.0 et augmentant d'une taille de bloc de 8 à
172.16.23.255.
Vous avez presque fini de vous entraîner ! Après quelques autres, nous allons configurer de vraies ACL.
Cet exemple commence au réseau 172.16.64.0 et augmente d'une taille de bloc de 64 à 172.16.127.255.
Page 216
Et ce dernier exemple ?
Celui-ci nous montre qu'il commence au réseau 192.168.160.0 et monte une taille de bloc de 32 à
192.168.191.255.
Voici deux autres choses à garder à l'esprit lorsque vous travaillez avec des tailles de bloc et des caractères génériques :
Chaque taille de bloc doit commencer à 0 ou à un multiple de la taille de bloc. Par exemple, vous ne pouvez pas dire que
vous voulez une taille de bloc de 8, puis commencez à 12. Vous devez utiliser 0-7, 8-15, 16-23, etc.
taille de bloc de 32, les plages sont de 0 à 31, 32 à 63, 64 à 95, etc.
Le masquage des caractères génériques est une compétence cruciale à maîtriser lors de la création de listes d'accès IP, et il est
Dans la Figure 12.2 , un routeur dispose de trois connexions LAN et d'une connexion WAN à Internet.
Les utilisateurs du réseau local des ventes ne devraient pas avoir accès au réseau local des finances, mais ils devraient pouvoir
accéder à Internet et aux fichiers du service marketing. Le Marketing LAN doit accéder au
Finance LAN pour les services applicatifs.
Page 217
FIGURE 12.2 Exemple de liste d'accès IP avec trois réseaux locaux et une connexion WAN
Nous pouvons voir que la liste d'accès IP standard suivante est configurée sur le routeur :
Lab_A# config t
Lab_A(config)# access-list 10 refuser 172.16.40.0 0.0.0.255
Lab_A(config)# access-list 10 autorise tout
Il est très important de se rappeler que la commande any revient à dire ce qui suit
en utilisant le masquage générique :
Étant donné que le masque générique indique qu'aucun des octets ne doit être évalué, chaque adresse correspond
la condition de test, donc cela fait fonctionnellement la même chose que l'utilisation du mot-clé any .
À ce stade, la liste d'accès est configurée pour refuser les adresses source du réseau local de vente au
Financer LAN et autoriser tout le monde. Mais rappelez-vous, aucune mesure ne sera prise jusqu'à ce que l'accès
list est appliqué sur une interface dans une direction spécifique !
Mais où placer cette liste d'accès ? Si vous le placez en tant que liste d'accès entrant sur Fa0/0,
vous pouvez aussi bien fermer l'interface FastEthernet car tous les périphériques Sales LAN
se voir refuser l'accès à tous les réseaux connectés au routeur. Le meilleur endroit pour appliquer cette liste d'accès est
sur l'interface Fa0/1 en tant que liste sortante :
Faire cela empêche complètement le trafic de 172.16.40.0 de sortir FastEthernet0/1. Il n'a pas
effet sur les hôtes du réseau local de vente accédant au réseau local de marketing et à Internet, car
Page 218
le trafic vers ces destinations ne passe pas par l'interface Fa0/1. Tout paquet essayant de sortir
Fa0/1 devra d'abord parcourir la liste d'accès. S'il y avait une liste entrante placée sur F0/0,
alors tout paquet essayant d'entrer dans l'interface F0/0 devrait passer par la liste d'accès avant
étant routé vers une interface de sortie.
Voyons maintenant un autre exemple de liste d'accès standard. La figure 12.3 montre un interréseau
de deux routeurs avec quatre LAN.
FIGURE 12.3 Exemple de liste d'accès standard IP 2
Nous allons maintenant empêcher les utilisateurs de la comptabilité d'accéder au serveur des ressources humaines
connecté au routeur Lab_B mais permet à tous les autres utilisateurs d'accéder à ce réseau local à l'aide d'une liste de contrôle d'accès standard.
Quel type de liste d'accès standard aurions-nous besoin de créer et où devrions-nous la placer pour y parvenir
nos buts?
La vraie réponse est que nous devrions utiliser une liste d'accès étendue et la placer au plus près de la source !
Mais cette question spécifie l'utilisation d'une liste d'accès standard et, en règle générale, les ACL standard sont placées
le plus proche de la destination. Dans cet exemple, Ethernet 0 est l'interface sortante sur le Lab_B
routeur et voici la liste d'accès qui doit être placée dessus :
Lab_B# config t
Lab_B(config)# access-list 10 refuser 192.168.10.128 0.0.0.31
Lab_B(config)# access-list 10 autorise tout
Lab_B(config)# interface Ethernet 0
Lab_B(config-if)# ip access-group 10 out
Gardez à l'esprit que pour pouvoir répondre correctement à cette question, vous devez vraiment comprendre
sous-réseau, masques génériques et comment configurer et implémenter les listes de contrôle d'accès. Le sous-réseau comptable est
le 192.168.10.128/27, qui est un 255.255.255.224, avec une taille de bloc de 32 dans le quatrième octet.
Avec tout cela à l'esprit et avant de passer à la restriction de l'accès Telnet sur un routeur, prenons un
regardez un autre exemple de liste d'accès standard. Celui-ci va nécessiter une certaine réflexion. Dans
Figure 12.4 , vous disposez d'un routeur avec quatre connexions LAN et une connexion WAN au
L'Internet.
Page 219
D'accord, vous devez écrire une liste d'accès qui arrêtera l'accès de chacun des quatre réseaux locaux indiqués dans
le diagramme sur Internet. Chacun des LAN révèle l'adresse IP d'un hôte unique, dont vous avez besoin
à utiliser pour déterminer le sous-réseau et les caractères génériques de chaque réseau local pour configurer la liste d'accès.
Voici un exemple de ce à quoi devrait ressembler votre réponse, en commençant par le réseau sur E0 et
jusqu'à l'E3 :
Et rappelez-vous les raisons de la création de cette liste. Si vous avez réellement appliqué cette ACL sur le routeur,
vous fermeriez effectivement l'accès à Internet, alors pourquoi même avoir une connexion Internet ? je
Page 220
inclus cet exercice afin que vous puissiez vous entraîner à utiliser les tailles de bloc avec les listes d'accès, ce qui est vital
pour réussir lorsque vous passez l'examen Cisco !
N'abandonnez pas, il y a toujours une solution ! Et dans ce cas, une bien meilleure, qui emploie un
liste d'accès IP standard pour contrôler l'accès aux lignes VTY elles-mêmes.
Pourquoi ça marche si bien ? Parce que lorsque vous appliquez une liste d'accès aux lignes VTY, vous ne
besoin de préciser le protocole car l'accès au VTY implique déjà un accès au terminal via le
Protocoles Telnet ou SSH. Vous n'avez pas non plus besoin de spécifier une adresse de destination car elle
peu importe l'adresse d'interface utilisée par l'utilisateur comme cible pour la session Telnet. Tout vous
vraiment besoin de contrôler d'où vient l'utilisateur, qui est trahi par son IP source
adresse.
Vous devez faire ces deux choses pour que cela se produise :
1. Créez une liste d'accès IP standard qui autorise uniquement l'hôte ou les hôtes que vous souhaitez pouvoir
telnet dans les routeurs.
2. Appliquez la liste d'accès à la ligne VTY avec la classe d'accès dans la commande.
En raison du refus implicite à la fin de la liste, l'ACL empêche tout hôte de se connecter à telnet.
le routeur à l'exception de l'hôte 172.16.10.3, quelle que soit l'adresse IP individuelle sur le routeur
utilisé comme cible. C'est une bonne idée d'inclure une adresse de sous-réseau d'administrateur comme source au lieu de
un seul hôte, mais la raison pour laquelle j'ai démontré cela était de vous montrer comment créer la sécurité sur votre
lignes VTY sans ajouter de latence à votre routeur.
Vous surveillez votre réseau et remarquez que quelqu'un s'est connecté à votre cœur
routeur à l'aide de la commande show users . Vous utilisez la commande de déconnexion et ils sont
déconnecté du routeur, mais vous remarquez qu'ils y sont de retour quelques minutes
plus tard. Vous envisagez de mettre une ACL sur les interfaces du routeur, mais vous ne voulez pas ajouter
latence sur chaque interface puisque votre routeur pousse déjà beaucoup de paquets. À ce point,
vous pensez mettre une liste d'accès sur les lignes VTY elles-mêmes, mais ne l'ayant pas fait
auparavant, vous n'êtes pas sûr que ce soit une alternative sûre à la mise d'une liste de contrôle d'accès sur chaque interface.
Placer une ACL sur les lignes VTY serait-il une bonne idée pour ce réseau ?
Oui absolument! Et la commande access-class couverte dans ce chapitre est le moyen de le faire.
Pourquoi? Parce qu'il n'utilise pas de liste d'accès qui se trouve juste sur une interface regardant chaque
paquet, ce qui entraîne une surcharge et une latence inutiles.
Lorsque vous mettez la classe d'accès en commande sur les lignes VTY, seuls les paquets essayant de se connecter à telnet
dans le routeur seront vérifiés et comparés, offrant une configuration facile à configurer mais solide
sécurité pour votre routeur !
Page 221
Juste un rappel : Cisco recommande d'utiliser Secure Shell (SSH) au lieu de Telnet sur
les lignes VTY d'un routeur, comme nous l'avons vu au chapitre 6, « Cisco's Internetworking Operating
System (IOS) », alors consultez ce chapitre si vous avez besoin d'un rappel sur SSH et comment le configurer
sur vos routeurs et commutateurs.
L'utilisation d'une liste d'accès étendue sauvera la situation car les listes de contrôle d'accès étendues nous permettent de spécifier la source
et les adresses de destination ainsi que le protocole et le numéro de port qui identifient la couche supérieure
protocole ou application. Une liste de contrôle d'accès étendue est exactement ce dont nous avons besoin pour permettre aux utilisateurs d'accéder à
un réseau local physique tout en leur refusant l'accès à des hôtes spécifiques, voire à des services spécifiques sur ceux-ci.
hôtes!
Oui, je suis bien conscient qu'il n'y a pas d'objectifs ICND1 pour les listes d'accès étendues, mais
vous devez comprendre les listes de contrôle d'accès étendues pour le dépannage ICND2, donc je
fondation ajoutée ici.
Nous allons jeter un œil aux commandes que nous avons dans notre arsenal, mais d'abord, vous devez savoir
que vous devez utiliser la plage de liste d'accès étendue de 100 à 199. La plage 2000-2699 est également
disponible pour les listes d'accès IP étendues.
Après avoir choisi un numéro dans la plage étendue, vous devez décider du type d'entrée de liste à
Fabriquer. Pour cet exemple, je vais avec une entrée de liste de refus :
Et une fois que vous avez défini le type d'ACL, vous devez ensuite sélectionner une entrée de champ de protocole :
Page 222
Si vous souhaitez filtrer par protocole de couche d'application, vous devez choisir le
protocole de transport de couche 4 approprié après la déclaration d' autorisation ou de refus . Par exemple, à
filtrez Telnet ou FTP, choisissez TCP puisque Telnet et FTP utilisent TCP au niveau de la couche Transport.
La sélection d'IP ne vous permettrait pas de spécifier un protocole d'application particulier ultérieurement et uniquement
filtre en fonction des adresses source et destination.
Alors maintenant, filtrons un protocole de couche Application qui utilise TCP en sélectionnant TCP comme protocole
et indiquant le port TCP de destination spécifique à la fin de la ligne. Ensuite, nous serons invités à
l'adresse IP source de l'hôte ou du réseau et nous choisirons la commande any pour autoriser tout
adresse source :
Après avoir sélectionné l'adresse source, nous pouvons alors choisir l'adresse de destination spécifique :
Dans cette sortie, vous pouvez voir que toute adresse IP source qui a une adresse IP de destination de
172.16.30.2 a été refusé :
Et une fois que nous avons les adresses d'hôte de destination en place, il nous suffit de spécifier le type de
service à refuser à l'aide de la commande equal to , entrée comme eq . L'écran d'aide suivant révèle le
options disponibles maintenant. Vous pouvez choisir un numéro de port ou utiliser le nom de l'application :
Page 223
Maintenant, bloquons Telnet (port 23) pour héberger 172.16.30.2 uniquement. Si les utilisateurs veulent utiliser FTP, très bien—
c'est permis. La commande log est utilisée pour enregistrer les messages chaque fois que l'entrée de la liste d'accès est atteinte.
Cela peut être un moyen extrêmement cool de surveiller les tentatives d'accès inappropriées, mais soyez prudent
car dans un grand réseau, cette commande peut surcharger l'écran de votre console de messages !
Cette ligne dit de refuser tout hôte source essayant de se connecter par telnet à l'hôte de destination 172.16.30.2. Garder à
n'oubliez pas que la ligne suivante est un refus implicite par défaut. Si vous appliquez cette liste d'accès à une interface,
vous pourriez aussi bien fermer l'interface car par défaut, il y a un refus implicite tout à
la fin de chaque liste d'accès. Nous devons donc suivre la liste d'accès avec la commande suivante :
L'adresse IP de cette ligne est importante car elle autorisera la pile IP. Si TCP a été utilisé au lieu d'IP
dans cette ligne, alors UDP, etc. serait refusé. N'oubliez pas que le 0.0.0.0 255.255.255.255 est le même
command comme any , donc la commande pourrait aussi ressembler à ceci :
Mais si vous faisiez cela, lorsque vous regardiez la configuration en cours, les commandes seraient remplacées par
le tout tout . J'aime l'efficacité, je vais donc utiliser la commande any car elle nécessite moins de frappe.
Comme toujours, une fois notre liste d'accès créée, nous devons l'appliquer à une interface avec le même
commande utilisée pour la liste IP standard :
Ou ca:
Corp(config-if)# ip access-group 110 out
Ensuite, nous verrons quelques exemples d'utilisation d'une liste d'accès étendue.
Page 224
Lab_A# config t
Lab_A(config)# access-list 110 refuser tcp tout hôte 172.16.50.5 eq 21
Lab_A(config)# access-list 110 refuser tcp tout hôte 172.16.50.5 eq 23
Lab_A(config)# access-list 110 permit ip any any
La liste d'accès 110 indique au routeur que nous créons une liste de contrôle d'accès IP étendue. Le tcp est le protocole
dans l'en-tête de la couche réseau. Si la liste ne dit pas tcp ici, vous ne pouvez pas filtrer par port TCP
numéros 21 et 23 comme indiqué dans l'exemple. N'oubliez pas que ces valeurs indiquent FTP et
Telnet, qui utilisent tous deux TCP pour les services orientés connexion. La commande any est la source,
ce qui signifie n'importe quelle adresse IP source, et l' hôte est l'adresse IP de destination. Cette ACL dit que
tout le trafic IP sera autorisé à partir de n'importe quel hôte à l'exception de FTP et Telnet pour héberger 172.16.50.5 à partir de n'importe quel
la source.
N'oubliez pas qu'au lieu de la commande host 172.16.50.5 lorsque nous avons créé le
liste d'accès étendue, nous aurions pu entrer 172.16.50.5 0.0.0.0 . Il n'y aurait pas
la différence dans le résultat autre que le routeur changerait la commande pour héberger 172.16.50.5
dans le fichier running-config.
Une fois la liste créée, elle doit être appliquée à l'interface FastEthernet 0/1 sortante car nous
Page 225
voulez empêcher tout le trafic d'atteindre l'hôte 172.16.50.5 et d'effectuer FTP et Telnet. Si ce
list a été créée pour bloquer l'accès uniquement depuis le réseau local des ventes à l'hôte 172.16.50.5, alors nous aurions mis
cette liste plus près de la source, ou sur FastEthernet 0/0. Dans cette situation, nous appliquerions la liste à
trafic entrant. Cela met en évidence le fait que vous devez vraiment analyser chaque situation avec soin
avant de créer et d'appliquer des listes de contrôle d'accès !
Maintenant, allons de l'avant et appliquons la liste à l'interface Fa0/1 pour bloquer tous les FTP et Telnet extérieurs
accès à l'hôte 172.16.50.5 :
La configuration sur le routeur ressemblerait à ceci, bien que la réponse puisse varier :
Tout d'abord, vous devez vérifier que la tranche de numéros est correcte pour le type de liste d'accès que vous utilisez.
créer. Dans cet exemple, il est étendu, la plage doit donc être comprise entre 100 et 199.
Deuxièmement, vous devez vérifier que le champ de protocole correspond au processus de couche supérieure ou
l'application, qui dans ce cas, est le port TCP 23 (Telnet).
Le paramètre de protocole doit être TCP puisque Telnet utilise TCP. Si c'était TFTP
à la place, le paramètre de protocole devrait être UDP car TFTP utilise UDP au
Couche de transport.
Troisièmement, vérifiez que le numéro de port de destination correspond à l'application que vous filtrez. Dans
dans ce cas, le port 23 correspond à Telnet, ce qui est correct, mais sachez que vous pouvez également taper telnet à
la fin de la ligne au lieu de 23.
Enfin, la déclaration de test permit ip any any est important d'avoir là à la fin de la liste
car cela signifie activer tous les paquets autres que les paquets Telnet destinés aux réseaux locaux
connecté à Ethernet 1 et Ethernet 2.
Page 226
FIGURE 12.6 Exemple 3 de liste de contrôle d'accès étendue
Dans cet exemple, nous allons autoriser l'accès HTTP au serveur Finance à partir de l'hôte source B
seul. Tout autre trafic sera autorisé. Nous devons pouvoir configurer cela en seulement trois tests
instructions, puis nous devrons ajouter la configuration de l'interface.
Lab_A# config t
Lab_A(config)# access-list 110 permit tcp host 192.168.177.2 host 172.22.89.26 eq 80
Lab_A(config)# access-list 110 refuser tcp tout hôte 172.22.89.26 eq 80
Lab_A(config)# access-list 110 permit ip any any
C'est vraiment assez simple ! Nous devons d'abord autoriser l'accès HTTP de l'hôte B au serveur Finance.
Mais puisque tout autre trafic doit être autorisé, nous devons détailler qui ne peut pas HTTP au service des finances
serveur, donc la deuxième instruction de test est là pour empêcher quiconque d'utiliser HTTP sur le
Serveur financier. Enfin, maintenant que l'hôte B peut HTTP vers le serveur Finance et que tout le monde ne le peut pas,
nous autoriserons tout autre trafic avec notre troisième instruction de test.
Pas si mal, cela demande juste un peu de réflexion ! Mais attendez, nous n'avons pas encore fini car nous devons encore
appliquer ceci à une interface. Étant donné que les listes d'accès étendu sont généralement appliquées au plus près de la source,
nous devrions simplement placer cet entrant sur F0/0, n'est-ce pas ? Eh bien, c'est une fois que nous n'allons pas
suis les règles. Notre défi nous a obligés à autoriser uniquement le trafic HTTP vers le serveur Finance à partir de
Hôte B. Si nous appliquons l'ACL entrant sur Fa0/0, alors la succursale pourra accéder au
Serveur des finances et exécutez HTTP. Donc, dans cet exemple, nous devons placer l'ACL le plus proche du
destination:
Parfait! Voyons maintenant comment créer des listes de contrôle d'accès à l'aide de noms.
ACL nommées
Comme je l'ai dit plus tôt, les listes d'accès nommées ne sont qu'un autre moyen de créer un accès standard et étendu
listes. Dans les moyennes et grandes entreprises, la gestion des ACL peut devenir un véritable casse-tête avec le temps ! UNE
Page 227
un moyen pratique de faciliter les choses est de copier la liste d'accès dans un éditeur de texte, de modifier la liste, puis de la coller
la nouvelle liste dans le routeur, ce qui fonctionne plutôt bien s'il n'y avait pas eu la mentalité de « rat de meute ».
Il est très courant de penser à des choses comme : « Et si je trouve un problème avec la nouvelle liste et que je dois
sortir du changement ? » Ceci et d'autres facteurs amènent les gens à accumuler des listes de contrôle d'accès non appliquées, et plus
temps, ils peuvent sérieusement s'accumuler sur un routeur, ce qui conduit à plus de questions, comme : « Quels étaient ces
ACL pour ? Sont-ils importants ? En ai-je besoin ? » Toutes les bonnes questions et les listes d'accès nommées sont
la réponse à ce problème !
Et bien sûr, ce genre de chose peut également s'appliquer aux listes d'accès qui sont opérationnelles. Disons
vous entrez dans un réseau existant et consultez des listes d'accès sur un routeur. Supposons que vous trouviez
une liste d'accès 177, qui se trouve être une liste d'accès étendue longue de 93 lignes.
Cela conduit à plus du même tas de questions et peut même conduire à des problèmes existentiels inutiles.
désespoir! Au lieu de cela, ne serait-il pas beaucoup plus facile d'identifier un accès avec un nom comme
« FinanceLAN » plutôt qu'un mystérieusement surnommé « 177 » ?
À notre grand soulagement collectif, les listes d'accès nommés nous permettent d'utiliser des noms pour créer et appliquer soit
listes d'accès standard ou étendues. Il n'y a vraiment rien de nouveau ou de différent à propos de ces ACL à part
d'être facilement identifiable d'une manière qui a du sens pour les humains, mais il y a quelques subtilités
modifications de la syntaxe. Recréons donc la liste d'accès standard que nous avons créée plus tôt pour notre test
réseau dans la Figure 12.2 en utilisant une liste d'accès nommée :
Lab_A# config t
Lab_A(config)# liste d'accès IP ?
Liste d'accès étendu étendue
log-update Contrôler les mises à jour des journaux de la liste d'accès
journalisation de la liste d'accès de contrôle
liste d'accès de reséquence
liste d'accès standard standard
Notez que j'ai commencé par taper ip access-list , pas access-list . Cela me permet d'entrer un
liste d'accès nommée. Ensuite, je devrai le spécifier en tant que liste d'accès standard :
J'ai spécifié une liste d'accès standard, puis ajouté le nom BlockSales. J'aurais certainement pu utiliser un
numéro pour une liste d'accès standard, mais à la place, j'ai choisi d'utiliser un nom agréable, clair et descriptif. Et
Notez qu'après avoir entré le nom, j'ai appuyé sur Entrée et l'invite du routeur a changé. Cela confirme
que je suis maintenant en mode de configuration de la liste d'accès nommée et que je rentre dans la liste d'accès nommée :
Lab_A(config-std-nacl)# ?
Commandes de configuration de la liste d'accès standard :
default Définir une commande sur ses valeurs par défaut
refuser Spécifier les paquets à rejeter
exit Quitter le mode de configuration de la liste d'accès
non Annuler une commande ou définir ses valeurs par défaut
autoriser Spécifier les paquets à transférer
Je suis donc entré dans la liste d'accès, puis j'ai quitté le mode de configuration. Ensuite, je vais jeter un oeil à la
configuration en cours pour vérifier que la liste d'accès est bien dans le routeur :
Et voilà : la liste d'accès BlockSales a bien été créée et se trouve dans la running-config du
Page 228
Lab_A# config t
Lab_A(config)# int fa0/1
Lab_A(config-if)# ip access-group BlockSales out
Ciel clair! À ce stade, nous avons recréé le travail effectué précédemment à l'aide d'une liste d'accès nommée. Mais
prenons notre exemple IP étendu, illustré à la Figure 12.6 , et refaites cette liste en utilisant une ACL nommée
à la place aussi.
Mêmes exigences commerciales : autorisez l'accès HTTP au serveur Finance à partir de l'hôte source B uniquement.
Tout autre trafic est autorisé.
Lab_A# config t
Lab_A(config)# ip access-list étendu 110
Lab_A(config-ext-nacl)# permit tcp host 192.168.177.2 host 172.22.89.26 eq 80
Lab_A(config-ext-nacl)# deny tcp any host 172.22.89.26 eq 80
Lab_A(config-ext-nacl)# permit ip any any
Lab_A(config-ext-nacl)# int fa0/1
Lab_A(config-if)# ip access-group 110 out
D'accord, c'est vrai, j'ai nommé la liste étendue avec un numéro, mais parfois c'est bien de le faire ! je suis
Je suppose que les listes de contrôle d'accès nommées ne vous semblent pas si excitantes ou différentes, n'est-ce pas ? Peut-être pas dans
cette configuration, sauf que je n'ai pas besoin de commencer chaque ligne avec access-list 110 , ce qui est bien.
Mais là où les ACL nommées brillent vraiment, c'est qu'elles nous permettent d'insérer, de supprimer ou de modifier une seule ligne.
Ce n'est pas seulement agréable, c'est merveilleux ! Les listes de contrôle d'accès numérotées ne peuvent tout simplement pas être comparées à cela, et je vais
démontrez-le en une minute.
Remarques
Le mot- clé de remarque est vraiment important car il vous donne la possibilité d'inclure des commentaires
—remarques—concernant les entrées que vous avez faites dans vos listes de contrôle d'accès IP standard et étendues.
Les remarques sont très cool car elles augmentent efficacement votre capacité à examiner et à comprendre
vos ACL au niveau super-héros ! Sans eux, vous seriez pris dans un bourbier potentiellement
des nombres insignifiants sans rien pour vous aider à vous rappeler ce que signifient tous ces nombres.
Même si vous avez la possibilité de placer vos remarques avant ou après une autorisation ou de refuser
déclaration, je vous recommande totalement de choisir de les positionner de manière cohérente afin de ne pas obtenir
confus quant à la remarque pertinente pour une déclaration d' autorisation ou de refus spécifique .
Pour que cela fonctionne à la fois pour les listes de contrôle d'accès standard et étendues, utilisez simplement le numéro de liste d'accès à la liste d'accès
remarque remarque commande de configuration globale comme celle-ci :
R2# config t
R2(config)# access-list 110 remarque Autoriser Bob des ventes uniquement aux finances
R2(config)# access-list 110 permit IP host 172.16.40.1 172.16.50.0 0.0.0.255
R2(config)# access-list 110 refuser l'IP 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255
R2(config)# ip access-list étendu No_Telnet
R2(config-ext-nacl)# remarque Refuser toutes les ventes de Telnetting au marketing
R2(config-ext-nacl)# refuser TCP 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq 23
R2(config-ext-nacl)# permit ip any any
R2(config-ext-nacl)# affiche l'exécution
[coupure de sortie]
!
ip access-list étendu No_Telnet
remarque Arrêtez toutes les ventes de Telnetting au marketing
refuser TCP 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq telnet
permis ip tout tout
!
access-list 110 remarque Autoriser Bob de Sales Only To Finance
access-list 110 permit ip host 172.16.40.1 172.16.50.0 0.0.0.255
liste d'accès 110 refuser ip 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255
access-list 110 permit ip any any
!
Doux—J'ai pu ajouter une remarque à la fois à une liste étendue et à une liste d'accès nommée. Gardez à l'esprit
que vous ne pouvez pas voir ces remarques dans la sortie de la commande show access-list , que nous allons
cover ensuite, car ils n'apparaissent que dans le fichier running-config.
Page 229
En parlant d'ACL, je dois encore vous montrer comment les surveiller et les vérifier. C'est une importante
sujet, alors faites attention!
Effet de commande
afficher l'accès- Affiche toutes les listes d'accès et leurs paramètres configurés sur le routeur. Montre aussi
liste statistiques sur le nombre de fois que la ligne a autorisé ou refusé un paquet. Cette
La commande ne vous montre pas sur quelle interface la liste est appliquée.
afficher l'accès- Affiche uniquement les paramètres de la liste d'accès 110. Encore une fois, cette commande ne
liste 110 révéler l'interface spécifique sur laquelle la liste est définie.
afficher l'adresse IP Affiche uniquement les listes d'accès IP configurées sur le routeur.
liste d'accès
afficher l'adresse IP Affiche les interfaces sur lesquelles des listes d'accès sont définies.
interface
spectacle Affiche les listes d'accès et les interfaces spécifiques auxquelles des listes de contrôle d'accès sont appliquées.
fonctionnement-
configuration
Nous avons déjà utilisé la commande show running-config pour vérifier qu'une liste d'accès nommée était dans le
router, alors regardons maintenant la sortie de certaines des autres commandes.
La commande show access-list répertoriera toutes les listes de contrôle d'accès sur le routeur, qu'elles soient appliquées à un
interface ou pas :
Tout d'abord, notez que la liste d'accès 10 ainsi que nos deux listes d'accès nommées apparaissent sur cette liste—
rappelez-vous, mon ACL étendu nommé s'appelait 110 ! Deuxièmement, remarquez que même si je suis entré
nombres réels pour les ports TCP dans la liste d'accès 110, la commande show nous donne les noms de protocole
plutôt que des ports TCP pour plus de clarté.
Mais attendez! La meilleure partie est ces nombres sur le côté gauche : 10, 20, 30, etc. Ceux-ci s'appellent
numéros de séquence, et ils nous permettent de modifier notre ACL nommée. Voici un exemple où j'ai ajouté un
dans l'ACL 110 étendue nommée :
230
Vous pouvez voir que j'ai ajouté la ligne 21. J'aurais pu supprimer une ligne ou modifier une ligne existante également—
très agréable!
Assurez-vous de remarquer la ligne en gras indiquant que la liste sortante sur cette interface est 110, mais le
la liste d'accès entrants n'est pas définie. Qu'est-il arrivé à BlockSales ? J'avais configuré cet sortant sur
Fa0/1 ! C'est vrai, je l'ai fait, mais j'ai configuré mon ACL 110 étendu nommé et je l'ai appliqué à Fa0/1 comme
bien. Vous ne pouvez pas avoir deux listes sur la même interface, dans le même sens, alors que s'est-il passé ici
est que ma dernière configuration a écrasé la configuration BlockSales.
Et comme je l'ai déjà mentionné, vous pouvez utiliser la commande show running-config pour voir tout
listes d'accès.
Sommaire
Dans ce chapitre, vous avez appris à configurer des listes d'accès standard pour filtrer correctement le trafic IP.
Vous avez découvert ce qu'est une liste d'accès standard et comment l'appliquer à un routeur Cisco pour renforcer la sécurité
à votre réseau. Vous avez également appris à configurer des listes d'accès étendues pour filtrer davantage l'IP
circulation. Nous avons également couvert les principales différences entre les listes d'accès standard et étendues ainsi que les
comment les appliquer aux routeurs Cisco.
Ensuite, vous avez découvert comment configurer des listes d'accès nommées et les appliquer aux interfaces sur
le routeur et appris que les listes d'accès nommées offrent l'énorme avantage d'être facilement
identifiables et donc beaucoup plus faciles à gérer que de mystérieuses listes d'accès
simplement désigné par des nombres obscurs.
Le chapitre s'est terminé en vous montrant comment surveiller et vérifier la liste d'accès sélectionnée
configurations sur un routeur.
Essentiels de l'examen
N'oubliez pas les plages de numéros de liste d'accès IP standard et étendue. Le nombre
les plages que vous pouvez utiliser pour configurer une liste d'accès IP standard sont 1-99 et 1300-1999. Le nombre
les plages d'une liste d'accès IP étendue sont de 100 à 199 et de 2000 à 2699.
Comprenez le terme refus implicite . À la fin de chaque liste d'accès se trouve un refus implicite . Quoi
cela signifie que si un paquet ne correspond à aucune des lignes de la liste d'accès, il sera rejeté.
De plus, si vous n'avez que des instructions de refus dans votre liste, la liste n'autorisera aucun paquet.
Page 231
Souvenez-vous de la commande pour vérifier une liste d'accès sur une interface de routeur. Voir
si une liste d'accès est définie sur une interface et dans quelle direction elle filtre, utilisez le show ip
commande d' interface . Cette commande ne vous montrera pas le contenu de la liste d'accès, simplement
quelles listes d'accès sont appliquées sur l'interface.
Laboratoire écrit 12
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
Les réponses à ce laboratoire se trouvent dans l'annexe A, « Réponses aux laboratoires écrits ».
1. Quelle commande utiliseriez-vous pour configurer une liste d'accès IP standard pour empêcher toutes les machines
sur le réseau 172.16.0.0/16 d'accéder à votre réseau Ethernet ?
2. Quelle commande utiliseriez-vous pour appliquer la liste d'accès que vous avez créée à la question 1 à un
Interface Ethernet sortante ?
3. Quelle(s) commande(s) utiliseriez-vous pour créer une liste d'accès qui refuse l'accès à l'hôte 192.168.15.5
à un réseau Ethernet ?
4. Quelle commande vérifie que vous avez correctement saisi la liste d'accès ?
5. Quels sont les deux outils qui peuvent aider à notifier et à prévenir les attaques DoS ?
6. Quelle(s) commande(s) utiliseriez-vous pour créer une liste d'accès étendue qui arrête l'hôte 172.16.10.1
de telnetting à l'hôte 172.16.30.5 ?
7. Quelle commande utiliseriez-vous pour définir une liste d'accès sur une ligne VTY ?
8. Écrivez la même liste d'accès IP standard que vous avez écrite à la question 1, mais cette fois en tant qu'accès nommé
liste.
9. Écrivez la commande pour appliquer la liste d'accès nommée que vous avez créée à la question 8 à un réseau Ethernet
interface sortante.
Laboratoires pratiques
Dans cette section, vous effectuerez deux ateliers. Pour terminer ces ateliers, vous aurez besoin d'au moins trois
routeurs. Vous pouvez facilement effectuer ces travaux pratiques avec le programme Cisco Packet Tracer. Si vous êtes
étudier pour passer votre examen Cisco, vous devez vraiment faire ces travaux pratiques !
Tous les travaux pratiques utiliseront le schéma suivant pour configurer les routeurs.
Page 232
2. Depuis le mode de configuration globale, tapez access-list ? pour obtenir une liste de toutes les différentes listes d'accès
disponible.
3. Choisissez un numéro de liste d'accès qui vous permettra de créer une liste d'accès IP standard. C'est un
nombre entre 1 et 99 ou 1300 et 1399.
Pour spécifier uniquement l'hôte 192.168.20.2, utilisez les caractères génériques 0.0.0.0 :
5. Maintenant que la liste d'accès est créée, vous devez l'appliquer à une interface pour la faire fonctionner :
8. Si vous avez un autre hôte sur le LA LAN, envoyez un ping à cette adresse, ce qui devrait échouer si votre ACL est
travail.
1. Supprimez toutes les listes d'accès sur SF et ajoutez une liste étendue à SF.
2. Choisissez un numéro pour créer une liste IP étendue. Les listes étendues IP utilisent 100–199 ou 2000–
2699.
3. Utilisez une instruction de refus . (Vous ajouterez une déclaration d' autorisation à l'étape 7 pour permettre à d'autres trafics de continuer
travail.)
4. Puisque vous allez refuser Telnet, vous devez choisir TCP comme protocole de couche de transport :
5. Ajoutez l'adresse IP source sur laquelle vous souhaitez filtrer, puis ajoutez l'adresse IP de l'hôte de destination. Utilisation
la commande hôte au lieu des bits génériques.
Page 234
6. À ce stade, vous pouvez ajouter la commande eq telnet pour filtrer l'hôte 192.168.10.2 de telnetting à
172.16.10.6. La commande log peut également être utilisée à la fin de la commande afin que chaque fois que
la ligne access-list est touchée, un journal sera généré sur la console.
7. Il est important d'ajouter cette ligne à côté pour créer une déclaration de permis . (Rappelez-vous que 0.0.0.0
255.255.255.255 est identique à la commande any .)
Vous devez créer une déclaration de permis ; si vous ajoutez simplement une déclaration de refus , rien ne sera autorisé
du tout. Veuillez consulter les sections plus haut dans ce chapitre pour des informations plus détaillées sur le refus
toute commande implicite à la fin de chaque ACL.
8. Appliquez la liste d'accès au FastEthernet0/0 sur SF pour arrêter le trafic Telnet dès qu'il atteint
la première interface de routeur.
SF(config)# int f0/0
SF(config-if)# ip access-group 110 dans
SF(config-if)# ^Z
10. Sur la console de SF, en raison de la commande log , la sortie doit apparaître comme suit :
01:11:48 : %SEC-6-IPACCESSLOGP : liste 110 refusé tcp
192.168.10.2 (1030) -> 172.16.10.6(23), 1 paquet
01:13:04 : %SEC-6-IPACCESSLOGP : liste 110 refusé tcp
192.168.10.2 (1030) -> 172.16.10.6(23), 3 paquets
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
1. Laquelle des affirmations suivantes est fausse lorsqu'un paquet est comparé à une liste d'accès ?
A. C'est toujours comparé à chaque ligne de la liste d'accès dans l'ordre séquentiel.
B. Une fois que le paquet correspond à la condition sur une ligne de la liste d'accès, le paquet est traité
et aucune autre comparaison n'a lieu.
D. Tant que toutes les lignes n'ont pas été analysées, la comparaison n'est pas terminée.
2. Vous devez créer une liste d'accès qui empêchera les hôtes dans la plage réseau de 192.168.160.0
à 192.168.191.0. Laquelle des listes suivantes utiliserez-vous ?
3. Vous avez créé une liste d'accès nommée appelée BlockSales. Lequel des énoncés suivants est valide
commande pour l'appliquer aux paquets essayant d'entrer dans l'interface Fa0/0 de votre routeur ?
Page 235
4. Quelle déclaration de liste d'accès autorisera toutes les sessions HTTP au réseau 192.168.144.0/24
contenant des serveurs Web ?
5. Laquelle des listes d'accès suivantes autorisera uniquement le trafic HTTP vers le réseau 196.15.7.0 ?
6. Quelle commande de routeur vous permet de déterminer si une liste d'accès IP est activée sur un
interface particulière ?
A. afficher le port ip
C. afficher l'interface IP
afficher l'adresseAffiche
IP toutes les listes d'accès et leurs paramètres configurés sur le routeur. Cette
interface La commande ne vous montre pas sur quelle interface la liste est définie.
8. Si vous vouliez refuser toutes les connexions Telnet au seul réseau 192.168.10.0, quelle commande
pourriez-vous utiliser?
9. Si vous vouliez refuser l'accès FTP du réseau 200.200.10.0 au réseau 200.199.11.0 mais
autoriser tout le reste, laquelle des chaînes de commande suivantes est valide ?
Page 236
D. liste d'accès 100 refuser TCP 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
E. liste d'accès 198 refuser TCP 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
access-list 198 permit ip any 0.0.0.0 255.255.255.255
10. Vous souhaitez créer une liste d'accès étendue qui refuse le sous-réseau de l'hôte suivant :
172.16.50.172/20. Par lequel des éléments suivants commenceriez-vous votre liste ?
11. Laquelle des propositions suivantes est la version générique (inverse) d'un masque /27 ?
A. 0.0.0.7
B. 0.0.0.31
C. 0.0.0.27
D. 0.0.31.255
12. Vous souhaitez créer une liste d'accès étendue qui refuse le sous-réseau de l'hôte suivant :
172.16.198.94/19. Par lequel des éléments suivants commenceriez-vous votre liste ?
13. La liste d'accès suivante a été appliquée à une interface sur un routeur :
liste d'accès 101 refuser tcp 199.111.16.32 0.0.0.31 hôte 199.168.5.60
Laquelle des adresses IP suivantes sera bloquée à cause de cette seule règle de la liste ?
(Choisissez tout ce qui correspond.)
A. 199.111.16.67
B. 199.111.16.38
C. 199.111.16.65
D. 199.11.16.54
14. Laquelle des commandes suivantes connecte la liste d'accès 110 entrante à l'interface Ethernet0 ?
16. Vous configurez la liste d'accès suivante. Quel sera le résultat de cette liste d'accès ?
Page 237
int ethernet 0
17. Laquelle des séries de commandes suivantes limitera l'accès Telnet au routeur ?
18. Laquelle des affirmations suivantes est vraie concernant les listes d'accès appliquées à une interface ?
A. Vous pouvez placer autant de listes d'accès que vous le souhaitez sur n'importe quelle interface jusqu'à ce que vous n'ayez plus de
Mémoire.
B. Vous ne pouvez appliquer qu'une seule liste d'accès sur n'importe quelle interface.
C. Une liste d'accès peut être configurée, par direction, pour chaque protocole de couche 3 configuré sur
une interface.
A. Crochetage
B. Naggle
C. DoS
D. sécurité automatique
20. Vous devez arrêter les attaques DoS en temps réel et avoir un journal de toute personne qui a tenté d'attaquer
votre réseau. Que faire de votre réseau ?
D. Configurez Naggle.
Page 238
Chapitre 13
Traduction d'adresses réseau (NAT)
4.7.a Statique
4.7.b Piscine
4.7.c TAP
Il est important de comprendre les objectifs de Cisco pour ce chapitre. Ils sont très simples :
vous avez des hôtes sur votre réseau d'entreprise interne utilisant des adresses RFC 1918 et vous devez
autorisez ces hôtes à accéder à Internet en configurant des traductions NAT. Avec cet objectif en
l'esprit, ce sera ma direction avec ce chapitre.
Étant donné que nous utiliserons des listes de contrôle d'accès dans nos configurations NAT, il est important que vous soyez vraiment
à l'aise avec les compétences que vous avez apprises dans le chapitre précédent avant de passer à celui-ci.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Depuis lors, il a été découvert que NAT est également un outil utile pour les migrations de réseau et
les fusions, le partage de la charge des serveurs et la création de « serveurs virtuels ». Alors dans ce chapitre, je vais
Page 239
Parce que NAT réduit vraiment la quantité écrasante d'adresses IP publiques requises dans un
environnement de réseautage, cela s'avère très pratique lorsque deux entreprises qui ont des doublons
les schémas d'adressage internes fusionnent. NAT est également un excellent outil à utiliser lorsqu'une organisation change
son fournisseur de services Internet (FAI), mais le gestionnaire de réseau doit éviter les tracas de
changer le schéma d'adressage interne.
Voici une liste de situations dans lesquelles le NAT peut être particulièrement utile :
Lorsque vous devez vous connecter à Internet et que vos hôtes n'ont pas d'adresse IP unique au monde
adresses
Lorsque vous avez changé pour un nouveau FAI qui vous oblige à renuméroter votre réseau
Lorsque vous devez fusionner deux intranets avec des adresses en double
Vous utilisez généralement NAT sur un routeur frontière. Par exemple, dans la Figure 13.1 , NAT est utilisé sur le
Routeur d'entreprise connecté à Internet.
FIGURE 13.1 Où configurer NAT
Maintenant, vous pensez peut-être : « Le NAT est totalement cool et je dois juste l'avoir ! » Mais ne t'excite pas trop
pourtant, car il existe de sérieux problèmes liés à l'utilisation de NAT que vous devez d'abord comprendre.
Ne vous méprenez pas, cela peut parfois vous sauver la vie, mais le NAT a un côté sombre que vous
besoin de savoir aussi. Pour les avantages et les inconvénients liés à l'utilisation de NAT, consultez le tableau 13.1 .
Avantages Désavantages
Page 240
Les remèdes traitent les événements de chevauchement. Provoque une perte de la traçabilité IP de bout en bout
Augmente la flexibilité lorsque Certaines applications ne fonctionneront pas avec NAT activé
connexion à Internet.
Élimine la renumérotation des adresses complique les protocoles de tunneling tels que IPsec car
à mesure qu'un réseau évolue. NAT modifie les valeurs dans l'en-tête
conserver votre schéma d'adresse légalement enregistré. Mais une version de celui-ci connue sous le nom de PAT est également
pourquoi nous venons tout juste de manquer d'adresses IPv4. Sans NAT/PAT, nous aurions couru
des adresses IPv4 il y a plus d'une décennie !
NAT statique (un à un) Ce type de NAT est conçu pour permettre le mappage un à un entre
adresses locales et mondiales. Gardez à l'esprit que la version statique vous oblige à avoir un vrai
Adresse IP Internet pour chaque hôte de votre réseau.
NAT dynamique (plusieurs-à-plusieurs) Cette version vous donne la possibilité de mapper une adresse IP non enregistrée
adresse à une adresse IP enregistrée à partir d'un pool d'adresses IP enregistrées. Vous n'avez pas
pour configurer statiquement votre routeur pour mapper chaque adresse interne à une adresse externe individuelle comme
vous utiliseriez un NAT statique, mais vous devez avoir suffisamment d'adresses IP réelles et de bonne foi pour
tous ceux qui vont envoyer et recevoir des paquets d'Internet en même temps
temps.
Je vais vous montrer comment configurer les trois types de NAT tout au long de ce chapitre et
Noms NAT
Les noms que nous utilisons pour décrire les adresses utilisées avec NAT sont assez simples. Adresses
utilisé après que les traductions NAT soient appelées adresses globales . Ce sont généralement les adresses publiques
utilisé sur Internet, dont vous n'avez pas besoin si vous n'allez pas sur Internet.
Les adresses locales sont celles que nous utilisons avant la traduction NAT. Cela signifie que l'intérieur local
address est en fait l'adresse privée de l'hôte expéditeur qui tente d'accéder à Internet.
L'adresse locale externe serait généralement l'interface du routeur connectée à votre FAI et est
aussi généralement une adresse publique utilisée lorsque le paquet commence son voyage.
Après traduction, l'adresse locale interne est alors appelée adresse globale interne et l' adresse externe
l'adresse globale devient alors l'adresse de l'hôte de destination. Consultez le tableau 13.2 , qui
Page 241
répertorie toute cette terminologie et offre une image claire des différents noms utilisés avec NAT. Garder à
gardez à l'esprit que ces termes et leurs définitions peuvent varier quelque peu en fonction de la mise en œuvre. Les
Le tableau montre comment ils sont utilisés en fonction des objectifs de l'examen Cisco.
À l'intérieur Adresse interne de l'hôte source avant la traduction, généralement une adresse RFC 1918.
local
À l'extérieurAdresse d'un hôte externe telle qu'elle apparaît sur le réseau interne. C'est généralement le
local l'adresse de l'interface du routeur connectée au FAI—l'adresse Internet réelle.
À l'intérieur Adresse hôte source utilisée après la traduction pour accéder à Internet. C'est aussi le
global adresse Internet réelle.
À l'extérieurAdresse de l'hôte de destination extérieur et, encore une fois, la véritable adresse Internet.
global
Dans cette figure, nous pouvons voir l'hôte 10.1.1.1 envoyer un paquet lié à Internet au routeur frontière
configuré avec NAT. Le routeur identifie l'adresse IP source comme une adresse IP locale interne
destiné à un réseau extérieur, traduit l'adresse IP source dans le paquet et documente
la traduction dans la table NAT.
Le paquet est envoyé à l'interface externe avec la nouvelle adresse source traduite. L'extérieur
l'hôte renvoie le paquet à l'hôte de destination et le routeur NAT traduit l'adresse IP globale interne
adressez-vous à l'adresse IP locale interne à l'aide de la table NAT. C'est aussi simple que possible !
Page 242
Jetons un coup d'œil à une configuration plus complexe utilisant la surcharge, également appelée PAT. je vais
utilisez la Figure 13.3 pour montrer comment PAT fonctionne en ayant un hôte interne HTTP vers un serveur sur le
L'Internet.
FIGURE 13.3 Exemple de surcharge NAT (PAT)
Avec PAT, tous les hôtes internes sont traduits en une seule adresse IP, d'où le terme surcharge .
Encore une fois, la raison pour laquelle nous venons de manquer d'adresses IP mondiales disponibles sur Internet est due à
surcharge (PAT).
Examinez à nouveau la table NAT de la figure 13.3 . En plus de l'adresse IP locale interne et
à l'intérieur de l'adresse IP globale, nous avons maintenant des numéros de port. Ces numéros de port aident le routeur à identifier
quel hôte doit recevoir le trafic de retour. Le routeur utilise le numéro de port source de chaque
hôte pour différencier le trafic de chacun d'eux. Comprenez que le paquet a une destination
numéro de port de 80 lorsqu'il quitte le routeur, et le serveur HTTP renvoie les données avec un
numéro de port de destination de 1026, dans cet exemple. Cela permet au routeur de traduction NAT de
différencier les hôtes dans la table NAT, puis traduire l'adresse IP de destination en retour
à l'adresse locale interne.
Les numéros de port sont utilisés au niveau de la couche Transport pour identifier l'hôte local dans cet exemple. Si nous avions
d'utiliser de vraies adresses IP globales pour identifier les hôtes sources, cela s'appelle NAT statique et nous
à court d'adresses. PAT nous permet d'utiliser la couche Transport pour identifier les hôtes, qui à leur tour
nous permet d'utiliser théoriquement jusqu'à environ 65 000 hôtes avec une seule véritable adresse IP !
Page 243
Dans la sortie du routeur précédente, la commande ip nat inside source identifie les adresses IP
sera traduit. Dans cet exemple de configuration, la commande ip nat inside source configure un
traduction statique entre l'adresse IP locale interne 10.1.1.1 et l'adresse IP globale externe
170.46.2.2.
En descendant plus bas dans la configuration, nous trouvons une commande ip nat sous chaque interface. Les
La commande ip nat inside identifie
cette interface en tant qu'interface interne. L' ip nat à l'extérieur
La commande identifie cette interface comme l'interface externe. Quand tu regardes en arrière l' ip nat
à l'intérieur de la commande source ,
vous pouvez voir que la commande fait référence à l'interface interne en tant que
source ou point de départ de la traduction. Vous pouvez également utiliser la commande comme celle-ci : ip nat
source extérieure .
Cette option indique l'interface que vous avez désignée comme interface externe
doit devenir la source ou le point de départ de la traduction.
La commande ip nat inside source list 1 pool todd indique au routeur de traduire les adresses IP qui
faites correspondre la liste d'accès 1 à une adresse trouvée dans le pool IP NAT nommé todd . Ici l'ACL n'est pas là
filtrer le trafic pour des raisons de sécurité en autorisant ou en refusant le trafic. Dans ce cas, il est là pour
sélectionner ou désigner ce que nous appelons souvent un trafic intéressant. Lorsqu'un trafic intéressant a été
apparié avec la liste d'accès, il est tiré dans le processus NAT pour être traduit. Il s'agit en fait d'un
utilisation courante pour les listes d'accès, qui ne sont pas toujours simplement bloquées par le travail ennuyeux de simplement bloquer
trafic à une interface !
La commande ip nat pool todd 170.168.2.3 170.168.2.254 netmask 255.255.255.0 crée un pool de
adresses qui seront distribuées aux hôtes spécifiques qui nécessitent des adresses globales. Lorsque
Dépannage du NAT pour les objectifs Cisco, vérifiez toujours ce pool pour confirmer qu'il y a
suffisamment d'adresses pour fournir une traduction pour tous les hôtes internes. Enfin, vérifiez que le
les noms de pool correspondent exactement sur les deux lignes, sans oublier qu'ils sont sensibles à la casse ; s'ils ne le font pas,
la piscine ne fonctionnera pas !
Page 244
Ce qui est bien avec PAT, c'est qu'il ne s'agit que de quelques différences entre cette configuration et
la configuration NAT dynamique précédente :
Nous avons inclus le mot-clé surcharge à la fin de notre commande ip nat inside source .
Un facteur vraiment clé à voir dans l'exemple est que la seule adresse IP qui se trouve dans le pool que nous pouvons utiliser
est l'adresse IP de l'interface externe. C'est parfait si vous configurez la surcharge NAT pour
vous-même à la maison ou pour un petit bureau qui n'a qu'une seule adresse IP de votre FAI. Vous pourriez,
cependant, utilisez une adresse supplémentaire telle que 170.168.2.2 si vous aviez cette adresse à votre disposition
ainsi, et cela pourrait s'avérer très utile dans une très grande implémentation où vous avez
une telle abondance d'utilisateurs internes actifs simultanément qu'il faut en avoir plus d'un
adresse IP surchargée à l'extérieur !
Pour afficher les informations de base sur la traduction d'adresses IP, utilisez la commande suivante :
Lorsque vous regardez les traductions IP NAT, vous pouvez voir de nombreuses traductions du même hôte vers
l'hôte correspondant à la destination. Comprenez que c'est typique lorsqu'il y a beaucoup de
connexions au même serveur.
Vous pouvez également vérifier votre configuration NAT via la commande debug ip nat . Cette sortie affichera
l'adresse d'envoi, la traduction et l'adresse de destination sur chaque ligne de débogage :
Mais attendez, comment effacez-vous vos entrées NAT de la table de traduction ? Il suffit d'utiliser le clear ip nat
translation ,
et si vous souhaitez effacer toutes les entrées de la table NAT, utilisez simplement un astérisque
( * ) à la fin de la commande.
Vérifiez si les adresses utilisées pour le mappage statique et celles des pools dynamiques se chevauchent.
Assurez-vous que vos listes d'accès spécifient les adresses correctes pour la traduction.
Assurez-vous qu'il n'y a pas d'adresses oubliées qui doivent être là, et assurez-vous qu'aucune n'est
inclus qui ne devrait pas être.
Page 245
La première commande que vous devez généralement utiliser est la commande show ip nat translations :
Après avoir vérifié cette sortie, pouvez-vous me dire si la configuration sur le routeur est statique ou
NAT dynamique ? La réponse est oui, le NAT statique ou dynamique est configuré car il y a un
traduction un-à-un de l'intérieur local vers l'intérieur global. Fondamentalement, en regardant le
sortie, vous ne pouvez pas dire si c'est statique ou dynamique en soi, mais vous pouvez absolument dire que vous n'êtes pas
en utilisant PAT car il n'y a pas de numéros de port.
D'accord, vous pouvez facilement voir que la sortie précédente utilise la surcharge NAT (PAT). Le protocole en
cette sortie est TCP et l'adresse globale interne est la même pour les deux entrées.
Soi-disant, le ciel est la limite concernant le nombre de mappages que la table NAT peut contenir. Mais
c'est la réalité, donc des choses comme la mémoire et le processeur, ou même les limites mises en place par la portée de
adresses ou ports disponibles, peut entraîner des limitations sur le nombre réel d'entrées. Considérez que
chaque mappage NAT dévore environ 160 octets de mémoire. Et parfois le nombre d'entrées
doit être limité pour des raisons de performances ou en raison de restrictions de politique, mais cela ne
arriver très souvent. Dans des situations comme celles - ci, allez à l' ip nat translation max-entrées commande
pour aider.
Une autre commande pratique pour le dépannage est show ip nat statistics . Déployer cela vous donne un
résumé de la configuration NAT, et il comptera également le nombre de types de traduction actifs.
Sont également comptés les coups sur un mappage existant ainsi que les échecs, ce dernier provoquant une tentative
pour créer une cartographie. Cette commande révélera également les traductions expirées. Si vous voulez vérifier
en pools dynamiques, leurs types, le nombre total d'adresses disponibles, combien d'adresses ont été
alloué et combien ont échoué, plus le nombre de traductions qui ont eu lieu, utilisez simplement
le mot-clé pool après les statistiques.
Revenons à la vérification du NAT. Saviez-vous que vous pouvez effacer manuellement les entrées NAT dynamiques
de la table NAT ? Vous le pouvez, et cela peut s'avérer très utile si vous devez vous débarrasser de
une entrée pourrie spécifique sans attendre l'expiration du délai d'attente ! Un manuel clair est
également très utile lorsque vous souhaitez effacer toute la table NAT pour reconfigurer un pool d'adresses.
Vous devez également savoir que le logiciel Cisco IOS ne vous permettra tout simplement pas de modifier ou de supprimer un
pool d'adresses si l'une des adresses de ce pool est mappée dans la table NAT. L' ip nat clair
La commande translations efface les entrées - vous pouvez indiquer une seule entrée via les commandes globale et locale
Page 246
adresse et via les traductions TCP et UDP, y compris les ports, ou vous pouvez simplement saisir un
astérisque ( * ) pour effacer toute la table. Mais sachez que si vous faites cela, seules les entrées dynamiques seront
effacé car cette commande ne supprimera pas les entrées statiques.
Oh, et il y a plus - l'adresse de destination des paquets de tout périphérique extérieur qui se trouve être
répondre à n'importe quel périphérique interne est connu sous le nom d'adresse globale interne (IG). Cela signifie que le
le mappage initial doit être conservé dans la table NAT afin que tous les paquets provenant d'un
la connexion est traduite de manière cohérente. La conservation des entrées dans la table NAT réduit également
des opérations de traduction répétées se produisant chaque fois que la même machine interne envoie des paquets à
régulièrement les mêmes destinations extérieures.
Permettez-moi de clarifier : lorsqu'une entrée est placée dans la table NAT pour la première fois, une minuterie commence à tourner
et sa durée est connue sous le nom de délai d'attente de traduction. Chaque fois qu'un paquet pour une entrée donnée
traduit via le routeur, la minuterie est réinitialisée. Si la minuterie expire, l'entrée sera
retirée sans ménagement de la table NAT et l'adresse attribuée dynamiquement sera alors
retourné à la piscine. Le délai de traduction par défaut de Cisco est de 86 400 secondes (24 heures), mais vous
peut changer cela avec la commande ip nat translation timeout .
Avant de passer à la section de configuration et d'utiliser réellement les commandes dont je viens de parler
à propos, passons en revue quelques exemples NAT et voyons si vous pouvez trouver le meilleur
configuration pour aller avec. Pour commencer, regardez la figure 13.4 et demandez-vous deux choses :
vous implémentez NAT dans cette conception ? Quel type de NAT configureriez-vous ?
Dans la Figure 13.4 , la configuration NAT serait placée sur le routeur d'entreprise, tout comme je
démontré avec la figure 13.1 , et la configuration serait NAT dynamique avec surcharge
(TAPOTER). Dans cet exemple de NAT suivant, quel type de NAT est utilisé ?
Page 247
La commande précédente utilise le NAT dynamique sans PAT. Le pool dans la commande donne le
répondre comme dynamique, plus il y a plus d'une adresse dans le pool et il n'y a pas de surcharge
à la fin de notre commande ip nat inside source . Cela signifie que nous n'utilisons pas PAT !
Dans l'exemple NAT suivant, référez-vous à la figure 13.5 et voyez si vous pouvez proposer la configuration
nécessaire.
FIGURE 13.5 Un autre exemple de NAT
La figure 13.5 montre un routeur frontière qui doit être configuré avec NAT et permettre l'utilisation de six
adresses IP publiques aux locaux internes, 192.1.2.109 à 192.2.1.14. Cependant, à l'intérieur
réseau, vous avez 62 hôtes qui utilisent les adresses privées de 192.168.10.65 à
192.168.10.126. Quelle serait votre configuration NAT sur le routeur frontière ?
En fait, deux réponses différentes fonctionneraient toutes les deux ici, mais ce qui suit serait mon premier choix
en fonction des objectifs de l'examen :
La commande ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248 définit le nom du pool
comme Todd et crée un pool dynamique d'une seule adresse en utilisant l'adresse NAT 192.1.2.109. Au lieu
de la commande netmask , vous pouvez utiliser l' instruction prefix-length 29 . Juste au cas où tu es
je me demande, vous ne pouvez pas non plus le faire sur les interfaces de routeur !
La deuxième réponse vous donnerait exactement le même résultat d'avoir seulement 192.1.2.109 comme intérieur
global, mais vous pouvez taper ceci et cela fonctionnera également : ip nat pool Todd 192.1.2.109 192.1.2.14
masque de réseau 255.255.255.248 .
Mais cette option est vraiment un gaspillage parce que le deuxième au sixième
les adresses ne seraient utilisées qu'en cas de conflit avec un numéro de port TCP. vous utiliseriez
quelque chose comme ce que j'ai montré dans cet exemple si vous aviez littéralement environ dix mille hôtes avec
une seule connexion Internet ! Vous en auriez besoin pour résoudre le problème de réinitialisation TCP lorsque deux hôtes sont
essayer d'utiliser le même numéro de port source et obtenir un accusé de réception négatif (NAK). Mais dans notre
exemple, nous n'avons que 62 hôtes qui se connectent à Internet en même temps, donc avoir
plus d'un à l'intérieur du monde ne nous apporte rien !
Si vous êtes flou sur la deuxième ligne où la liste d'accès est définie dans la configuration NAT, faites un rapide
examen du chapitre 12, « Sécurité ». Mais ce n'est pas difficile à saisir car il est facile de voir dans ce
access-list qu'il ne s'agit que du numéro de réseau et du caractère générique utilisés avec cette commande. Je dis toujours,
Page 248
"Chaque question est une question de sous-réseau", et celle-ci ne fait pas exception. Les habitants de l'intérieur dans ce
par exemple 192.168.10.65–126, qui est un bloc de 64, ou un masque 255.255.255.192. Comme j'ai
dit dans à peu près tous les chapitres, vous devez vraiment pouvoir créer un sous-réseau rapidement !
La commande ip nat inside source list 1 pool Todd surcharge définit le pool dynamique pour utiliser PAT en
à l'aide de la commande de surcharge .
Et assurez-vous d'ajouter les instructions ip nat inside et ip nat outside sur les interfaces appropriées.
Si vous prévoyez de tester pour n'importe quel examen Cisco, configurez les travaux pratiques à l'adresse
la fin de ce chapitre jusqu'à ce que vous soyez vraiment à l'aise avec cela !
Un autre exemple, puis vous vous dirigez vers le laboratoire écrit, les laboratoires pratiques et les questions de révision.
Le réseau de la figure 13.6 est déjà configuré avec des adresses IP comme indiqué sur la figure, et
il n'y a qu'un seul hôte configuré. Cependant, vous devez ajouter 25 hôtes supplémentaires au réseau local. Maintenant tout
26 hôtes doivent pouvoir accéder à Internet en même temps.
En regardant le réseau configuré, utilisez uniquement les adresses internes suivantes pour configurer NAT
sur le routeur Corp pour permettre à tous les hôtes d'accéder à Internet :
Celui-ci est un peu plus difficile car tout ce que nous avons pour nous aider à comprendre la configuration est
les globals intérieurs et les locaux intérieurs. Mais même pauvrement armé de ces miettes de
informations, plus les adresses IP des interfaces de routeur indiquées dans la figure, nous pouvons toujours
configurez-le correctement.
Pour ce faire, nous devons d'abord déterminer quelles sont nos tailles de blocs afin que nous puissions obtenir notre masque de sous-réseau pour
notre pool NAT. Cela nous équipera également pour configurer le joker pour la liste d'accès.
Vous devriez facilement pouvoir voir que la taille de bloc des globales internes est de 8 et la taille de bloc de
les habitants de l'intérieur ont 32 ans. Sachez qu'il est essentiel de ne pas trébucher sur ces informations fondamentales !
Nous pouvons donc configurer NAT maintenant que nous avons nos tailles de blocs :
Il existe un autre moyen simple de configurer NAT, et j'utilise cette commande à mon bureau à domicile pour
me connecter à mon FAI. Une ligne de commande et c'est fait ! C'est ici:
Je ne saurais trop dire à quel point j'aime l'efficacité et pouvoir réaliser quelque chose de cool en utilisant
Page 249
une ligne misérable me rend toujours heureux ! Ma petite ligne puissamment élégante dit essentiellement,
« Utilisez mon local extérieur comme mon global intérieur et surchargez-le. » Joli! Bien sûr, je devais encore créer
ACL 1 et ajoutez les commandes d'interface interne et externe à la configuration, mais c'est vraiment un
moyen agréable et rapide de configurer NAT si vous n'avez pas de pool d'adresses à utiliser.
Sommaire
Maintenant, c'était vraiment un chapitre amusant. Allez, admets-le ! Vous avez beaucoup appris sur l'adresse réseau
Traduction (NAT) et comment il est configuré comme statique et dynamique ainsi qu'avec l'adresse de port
Translation (PAT), également appelée surcharge NAT.
J'ai également décrit comment chaque type de NAT est utilisé dans un réseau ainsi que comment chaque type est
configuré.
Nous avons terminé en passant par quelques commandes de vérification et de dépannage. Maintenant ne
oubliez de pratiquer tous les laboratoires merveilleusement utiles jusqu'à ce que vous les ayez bien maîtrisés !
Essentiels de l'examen
Comprenez le terme NAT . C'est peut-être une nouvelle pour vous, parce que je n'ai pas—d'accord, je n'ai pas—
mentionnez-le plus tôt, mais NAT a quelques surnoms. Dans l'industrie, on parle de réseau
masquage, masquage IP, et (pour ceux qui sont assiégés de TOC et obligés de
tout épeler) Traduction d'adresses réseau. Quoi que vous vouliez le surnommer, en gros, ils
tous font référence au processus de réécriture des adresses source/destination des paquets IP lorsqu'ils sont envoyés
via un routeur ou un pare-feu. Concentrez-vous simplement sur le processus en cours et sur votre compréhension de
elle (c'est-à-dire la partie importante) et vous y êtes à coup sûr !
Rappelez-vous les trois méthodes de NAT. Les trois méthodes sont statiques, dynamiques et
surcharge; ce dernier est également appelé PAT.
Comprenez le NAT statique. Ce type de NAT est conçu pour permettre un mappage un à un entre
adresses locales et mondiales.
Comprendre le NAT dynamique. Cette version vous donne la possibilité de cartographier une gamme de
Adresses IP à une adresse IP enregistrée à partir d'un pool d'adresses IP enregistrées.
Comprendre la surcharge. La surcharge est vraiment une forme de NAT dynamique qui mappe plusieurs
adresses IP non enregistrées à une seule adresse IP enregistrée (plusieurs à un) en utilisant différents
ports. Il est également connu sous le nom de PAT .
Laboratoire écrit 13
Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'il contient pleinement intégrés :
Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».
1. Quel type de traduction d'adresses peut utiliser une seule adresse pour permettre à des milliers d'hôtes d'être
traduit dans le monde ?
2. Quelle commande pouvez-vous utiliser pour afficher les traductions NAT telles qu'elles se produisent sur votre routeur ?
250
7. Quelle commande peut être utilisée pour le dépannage et affiche un résumé du NAT
configuration ainsi que le nombre de types de traduction actifs et d'accès à un mappage existant ?
8. Quelles commandes doivent être utilisées sur les interfaces de votre routeur avant que le NAT ne traduise les adresses ?
Laboratoires pratiques
Je vais utiliser des routeurs de base pour ces laboratoires, mais en réalité, presque tous les routeurs Cisco fonctionneront.
En outre, vous pouvez utiliser la version LammleSim IOS pour parcourir tous les laboratoires de ce (et tous)
chapitre de ce livre.
Je vais utiliser le réseau illustré dans le schéma suivant pour nos laboratoires pratiques. je hautement
vous recommandons de connecter certains routeurs et de parcourir ces laboratoires. Vous allez configurer NAT sur
routeur Lab_A pour traduire l'adresse IP privée de 192.168.10.0 en une adresse publique de
171.16.10.0.
Le tableau 13.3 montre les commandes que nous utiliserons et le but de chaque commande.
TABLEAU 13.3 Récapitulatif des commandes pour les travaux pratiques NAT/PAT
Commander But
ip nat dans la liste des sources acl poolname Traduit les IP qui correspondent à l'ACL vers le pool
ip nat à l'intérieur de la source statique inside_addr Mappe statiquement une adresse locale interne à une adresse externe
adresse_extérieure adresse mondiale
1. Configurez les routeurs avec les adresses IP répertoriées dans le tableau suivant :
Adresse IP de l'interface du routeur
FAI S0 171.16.10.1/24
Lab_B S0 192.168.20.2/24
Lab_B E0 192.168.30.1/24
Page 251
Lab_C E0 192.168.30.2/24
Après avoir configuré les adresses IP sur les routeurs, vous devriez pouvoir envoyer un ping du routeur au
routeur, mais comme nous n'avons pas de protocole de routage en cours d'exécution jusqu'à l'étape suivante, vous pouvez vérifier
uniquement d'un routeur à un autre, mais pas via le réseau tant que RIP n'est pas configuré. Vous pouvez utiliser
tout protocole de routage que vous souhaitez ; J'utilise juste RIP par souci de simplicité pour obtenir cela et
fonctionnement.
2. Sur Lab_A, configurez le routage RIP, définissez une interface passive et configurez le réseau par défaut.
Lab_A# config t
Lab_A(config)#routeur rip
Lab_A(config-router)# réseau 192.168.20.0
Lab_A(config-router)# réseau 171.16.0.0
Lab_A(config-router)# interface passive s0/2
Lab_A(config-router)# sortie
Lab_A(config)# ip default-network 171.16.10.1
La commande passive-interface empêche les mises à jour RIP d'être envoyées au FAI et à l'adresse IP.
La commande default-network annonce un réseau par défaut aux autres routeurs afin qu'ils sachent comment
pour accéder à Internet.
Lab_B# config t
Lab_B(config)# routeur rip
Lab_B(config-router)# réseau 192.168.30.0
Lab_B(config-router)# réseau 192.168.20.0
Lab_C# config t
Lab_C(config)# routeur rip
Lab_C(config-router)# réseau 192.168.30.0
5. Sur le routeur ISP, configurez une route par défaut vers le réseau d'entreprise :
FAI# config t
ISP(config)# ip route 0.0.0.0 0.0.0.0 s0
6. Configurez le routeur du FAI afin que vous puissiez utiliser un telnet dans le routeur sans être invité à saisir un
le mot de passe:
FAI# config t
FAI(config)# ligne vty 0 4
ISP(config-line)# pas de connexion
7. Vérifiez que vous pouvez effectuer une requête ping du routeur ISP vers le routeur Lab_C et depuis le routeur Lab_C
au routeur du FAI. Si vous ne pouvez pas, dépannez votre réseau.
1. Créez un pool d'adresses appelé GlobalNet sur le routeur Lab_A. La piscine doit contenir un
plage d'adresses de 171.16.10.50 à 171.16.10.55.
2. Créer une liste d'accès 1. Cette liste autorise le trafic depuis le réseau 192.168.20.0 et 192.168.30.0
à traduire.
Page 252
6. Déplacez la connexion de la console vers le routeur Lab_C. Connectez-vous au routeur Lab_C. Telnet de
le routeur Lab_C au routeur ISP.
7. Déplacez la connexion de la console vers le routeur Lab_B. Connectez-vous au routeur Lab_B. Telnet de
le routeur Lab_B au routeur ISP.
8. Exécutez la commande show users à partir du routeur ISP. (Cela montre qui accède au VTY
lignes.)
FAI> utilisateurs sh
Hôte(s) de l'utilisateur de ligne Lieu d'inactivité
0 contre 0 inactif 00:03:32
2 vty 0 inactif 00:01:33 171.16.10.50
* 3 vty 1 inactif 00:00:09 171.16.10.51
Mode utilisateur de l'interface Adresse de pair inactif
FAI>
Notez qu'il existe une traduction un à un. Cela signifie que vous devez avoir un
adresse IP réelle pour chaque hôte qui souhaite accéder à Internet, ce qui n'est généralement pas
possible.
9. Laissez la session ouverte sur le routeur ISP et connectez-vous à Lab_A. (Utilisez Ctrl+Maj+6 , relâchez,
puis appuyez sur X .)
10. Connectez-vous à votre routeur Lab_A et affichez vos traductions actuelles en entrant le show ip nat
commande de traductions . Vous devriez voir quelque chose comme ceci :
Lab_A# expédition des traductions nationales
Pro À l'intérieur mondial À l'intérieur local À l'extérieur local À l'extérieur mondial
--- 171.16.10.50 192.168.30.2 --- ---
--- 171.16.10.51 192.168.20.2 --- ---
Lab_A#
11. Si vous activez debug ip nat sur le routeur Lab_A puis ping via le routeur, vous verrez
le processus NAT réel a lieu, qui ressemblera à ceci :
00:32:47 : NAT* : s=192.168.30.2->171.16.10.50, d=171.16.10.1 [5]
00:32:47 : NAT* : s=171.16.10.1, d=171.16.10.50->192.168.30.2
1. Sur le routeur Lab_A, supprimez la table de traduction et supprimez le pool NAT dynamique.
Page 253
2. Sur le routeur Lab_A, créez un pool NAT avec une adresse appelée Lammle. La piscine doit
contenir une seule adresse, 171.16.10.100. Saisissez la commande suivante :
Lab_A# config t
Lab_A(config)# ip nat pool Lammle 171.16.10.100 171.16.10.100
net 255.255.255.0
3. Créer une liste d'accès 2. Elle doit permettre aux réseaux 192.168.20.0 et 192.168.30.0 d'être
traduit.
4. Mappez la liste d'accès 2 vers le nouveau pool, permettant à PAT de se produire à l'aide de la commande de surcharge .
5. Connectez-vous au routeur Lab_C et telnet au routeur ISP ; également, connectez-vous au routeur Lab_B et
telnet au routeur du FAI.
6. À partir du routeur ISP, utilisez la commande show users . La sortie devrait ressembler à ceci :
FAI> utilisateurs sh
Hôte(s) de l'utilisateur de ligne Lieu d'inactivité
* 0 contre 0 inactif 00:00:00
2 vty 0 inactif 00:00:39 171.16.10.100
4 vty 2 inactif 00:00:37 171.16.10.100
FAI>
8. Assurez-vous également que la commande debug ip nat est activée pour le routeur Lab_A. Si vous ping depuis le
Routeur Lab_C vers le routeur ISP, la sortie ressemblera à ceci :
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
Page 254
1. Parmi les éléments suivants, quels sont les inconvénients de l'utilisation du NAT ? (Choisissez trois.)
2. Parmi les avantages suivants, lesquels présentent l'utilisation du NAT ? (Choisissez trois.)
3. Quelle commande vous permettra de voir les traductions en temps réel sur votre routeur ?
C. déboguer ip nat
4. Quelle commande vous montrera toutes les traductions actives sur votre routeur ?
C. déboguer ip nat
5. Quelle commande effacera toutes les traductions actives sur votre routeur ?
C. déboguer ip nat
C. déboguer ip nat
7. Quelle commande créera un pool dynamique nommé Todd qui vous fournira 30 global
adresses ?
Page 255
8. Parmi les méthodes suivantes, lesquelles sont des méthodes de NAT ? (Choisissez trois.)
A. Statique
B. Pool NAT IP
C. Dynamique
E. Surcharge
9. Lors de la création d'un pool d'adresses globales, laquelle des adresses suivantes peut être utilisée à la place de
commande de masque de réseau ?
A. / (notation barre oblique)
B. longueur du préfixe
C. pas de masque
D. taille de bloc
10. Lequel des éléments suivants serait un bon point de départ pour le dépannage si votre routeur n'est pas
Traduction en cours?
A. Redémarrez.
B. Appelez Cisco.
11. Parmi les propositions suivantes, lesquelles seraient de bonnes raisons d'exécuter NAT ? (Choisissez trois.)
A. Vous devez vous connecter à Internet et vos hôtes n'ont pas d'IP unique au monde
adresses.
B. Vous changez pour un nouveau FAI qui vous oblige à renuméroter votre réseau.
D. Vous avez besoin de deux intranets avec des adresses en double pour fusionner.
12. Laquelle des adresses suivantes est considérée comme l'adresse de l'hôte interne après traduction ?
A. À l'intérieur du local
C. À l'intérieur du monde
D. En dehors du monde
13. Laquelle des adresses suivantes est considérée comme l'adresse de l'hôte interne avant la traduction ?
A. À l'intérieur du local
C. À l'intérieur du monde
D. En dehors du monde
14. En examinant la sortie suivante, déterminez laquelle des commandes suivantes permettrait
traductions dynamiques ?
Page 256
15. Vos locaux internes ne sont pas traduits vers les adresses globales internes. Lequel de
les commandes suivantes vous montreront si vos globals internes sont autorisés à utiliser le pool NAT ?
ip nat pool Corp 198.18.41.129 198.18.41.134 masque de réseau 255.255.255.248
ip nat dans la liste des sources 100 int s0/0 surcharge Corp
A. déboguer ip nat
A. ip nat à l'intérieur
B. ip nat à l'extérieur
C. ip en dehors du monde
D. ip à l'intérieur du local
A. ip nat à l'intérieur
B. ip nat à l'extérieur
C. ip en dehors du monde
D. ip à l'intérieur du local
A. NAT rapide
B. NAT statique
C. Surcharge NAT
D. Surcharge statique
20. Lequel des éléments suivants doit être ajouté à la configuration pour activer PAT ?
Page 257
Chapitre 14
Protocole Internet version 6 (IPv6)
1.14.d Multidiffusion
1.14.f Autoconfiguration
1.14.g Anycast
Je n'ai probablement pas besoin de le dire, mais je le ferai quand même parce que je veux vraiment tenir la distance et
faire tout ce que je peux pour m'assurer que vous arrivez et réalisez. . . Vous devez absolument avoir une solide
tenez sur IPv4 pour le moment, mais si vous n'êtes toujours pas à l'aise avec lui, ou si vous pensez que vous pourriez utiliser une mise à jour,
il suffit de revenir aux chapitres sur TCP/IP et le sous-réseau. Et si vous n'êtes pas clair sur le
résoudre les problèmes inhérents à IPv4, vous devez vraiment revoir le chapitre 13, « Adresse réseau
Page 258
Translation (NAT)”, avant de décamper pour la poussée du sommet IPv6 de ce chapitre !
Les gens se réfèrent à IPv6 comme « le protocole Internet de nouvelle génération », et il a été créé à l'origine comme
la solution à l'inévitable et imminente crise d'épuisement des adresses d'IPv4. Bien que vous ayez
probablement déjà entendu une chose ou deux sur IPv6, il a été encore amélioré dans la quête
pour nous apporter la flexibilité, l'efficacité, la capacité et les fonctionnalités optimisées qui peuvent efficacement
satisfaire la soif apparemment insatiable de notre monde pour les technologies en constante évolution et l'augmentation
accès. La capacité de son prédécesseur, IPv4, est pâle et fantomatique en comparaison, c'est pourquoi
IPv4 est destiné à s'effacer complètement dans l'histoire, laissant la place à IPv6 et à l'avenir.
Après une introduction comme celle-là, je comprends si vous avez un peu d'appréhension, mais je vous promets—vraiment
— pour que ce chapitre et son sujet VIP soient assez indolores pour vous. En fait, vous pourriez même trouver
vous l'appréciez vraiment - je l'ai certainement fait ! Parce qu'IPv6 est si complexe, tout en étant si
élégant, innovant et puissant, il me fascine comme une étrange combinaison d'un nouveau style élégant
Aston Martin et un roman futuriste captivant. J'espère que vous vivrez ce chapitre comme un
super balade et j'ai autant de plaisir à le lire que j'en ai eu à l'écrire !
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Je n'exagère pas du tout sur la gravité des choses, car c'est simplement la réalité. Les
le nombre de personnes et d'appareils qui se connectent aux réseaux augmente considérablement chaque fois
jour, ce qui n'est pas une mauvaise chose. Nous trouvons simplement de nouvelles façons passionnantes de communiquer avec plus
les gens, plus souvent, ce qui est une bonne chose. Et il est peu probable que cela disparaisse ou même diminue dans le
petit peu, parce que communiquer et établir des liens sont, en fait, des besoins humains fondamentaux—
ils sont dans notre nature même. Mais avec notre nombre augmentant avec la marée montante de personnes
rejoindre le groupe des communications augmente également, les prévisions pour notre système actuel ne sont pas
un ciel parfaitement dégagé et une navigation fluide. IPv4, sur lequel notre capacité à faire toute cette connexion et
la communication est actuellement dépendante, est rapidement à court d'adresses à utiliser.
IPv4 n'a qu'environ 4,3 milliards d'adresses disponibles—en théorie—et nous savons que nous ne
utiliser la plupart d'entre eux ! Bien sûr, l'utilisation du routage interdomaine sans classe (CIDR) et du réseau
La traduction d'adresses (NAT) a contribué à étendre la pénurie inévitable d'adresses, mais nous allons
toujours à court d'eux, et cela va se produire dans quelques années. La Chine est à peine en ligne, et nous
Je sais qu'il y a une énorme population de personnes et d'entreprises là-bas qui veulent sûrement être. Là
sont une myriade de rapports qui nous donnent toutes sortes de chiffres, mais tout ce à quoi vous devez vraiment penser pour
réaliser que je ne suis pas seulement un alarmiste c'est ça : il y a environ 7 milliards de personnes dans le monde
aujourd'hui, et on estime que seulement un peu plus de 10 % de cette population est actuellement connectée
à Internet, waouh !
Cette statistique nous crie la triste vérité selon laquelle, sur la base de la capacité d'IPv4, chaque
Page 259
personne ne peut même pas avoir d'ordinateur, encore moins tous les autres appareils IP que nous utilisons avec eux ! j'ai
plus d'un ordinateur, et il est fort probable que vous en fassiez aussi, et je n'inclus même pas
téléphones, ordinateurs portables, consoles de jeux, télécopieurs, routeurs, commutateurs et un filon mère d'autres
appareils que nous utilisons tous les jours dans le mix ! Donc je pense avoir dit assez clairement que nous devons faire
quelque chose avant de manquer d'adresses et de perdre la possibilité de nous connecter les uns aux autres lorsque nous
sachez le. Et ce « quelque chose » se trouve être la mise en œuvre d'IPv6.
Les réseaux d'aujourd'hui, ainsi qu'Internet, ont une tonne d'exigences imprévues qui
n'étaient même pas pris en compte lors de la création d'IPv4. Nous avons essayé de compenser avec une collection
de modules
étaient complémentaires
exigés par une norme. qui
Par peuvent en fait
défaut, IPv6 rendre
s'est leur mise
amélioré en œuvre
et a inclus bon plus difficile
nombre de cesqu'ils ne le seraient s'ils
fonctionnalités en standard et obligatoires. L'une de ces nouvelles normes intéressantes est IPsec, une fonctionnalité qui
offre une sécurité de bout en bout.
Mais ce sont les fonctionnalités d'efficacité qui vont vraiment faire vibrer la maison ! Pour commencer, les en-têtes de
un paquet IPv6 a la moitié des champs, et ils sont alignés sur 64 bits, ce qui nous en donne sérieusement
vitesse de traitement augmentée. Par rapport à IPv4, les recherches se font à la vitesse de la lumière ! La plupart
les informations qui étaient auparavant liées à l'en-tête IPv4 ont été supprimées et vous pouvez désormais choisir
pour le remettre, ou des parties de celui-ci, dans l'en-tête sous la forme d'en-têtes d'extension optionnels qui suivent
les champs d'en-tête de base.
Et bien sûr, il y a ce tout nouvel univers d'adresses—le 3,4 × 10 3 8 que je viens de mentionner—
mais où les avons-nous eus ? Est-ce qu'un génie est arrivé tout à coup et les a fait comme par magie
apparaître? Cette énorme prolifération d'adresses devait venir de quelque part ! Eh bien c'est juste ainsi
Il se trouve qu'IPv6 nous donne un espace d'adressage considérablement plus grand, ce qui signifie que l'adresse elle-même est un
beaucoup plus gros, quatre fois plus gros en fait ! Une adresse IPv6 est en fait 128 bits dans
longueur, et pas de soucis, je vais décomposer l'adresse morceau par morceau et vous montrer exactement
à quoi cela ressemble à venir dans la section « Adressage et expressions IPv6 ». Pour l'instant, laisse-moi
dites simplement que tout cet espace supplémentaire permet plus de niveaux de hiérarchie à l'intérieur de l'espace d'adressage
et une architecture d'adressage plus flexible. Cela rend également le routage beaucoup plus efficace et
évolutif car les adresses peuvent être agrégées beaucoup plus efficacement. Et IPv6 permet également
plusieurs adresses pour les hôtes et les réseaux. Ceci est particulièrement important pour les entreprises véritablement
bave pour un accès et une disponibilité améliorés. De plus, la nouvelle version d'IP inclut désormais un
utilisation étendue de la communication multidiffusion — un appareil envoyant à de nombreux hôtes ou à une sélection
groupe—qui se joint pour augmenter sérieusement l'efficacité sur les réseaux parce que les communications seront
plus spécifique.
IPv4 utilise les diffusions assez prolifiquement, causant un tas de problèmes, dont le pire est de
bien sûr la redoutable tempête de diffusion. C'est ce déluge incontrôlé de diffusion transmise
trafic qui peut mettre tout un réseau à genoux et dévorer la moindre bande passante !
Une autre chose désagréable à propos du trafic de diffusion est qu'il interrompt chaque appareil sur le
réseau. Lorsqu'une diffusion est envoyée, chaque machine doit arrêter ce qu'elle fait et répondre à
le trafic, que la diffusion le concerne ou non.
Mais souriez assurément, tout le monde. La diffusion en IPv6 n'existe pas car elle utilise
trafic de multidiffusion à la place. Et il existe également deux autres types de communications : la monodiffusion, qui
est le même que dans IPv4, et un nouveau type appelé anycast . La communication Anycast permet
Page 260
la même adresse doit être placée sur plus d'un appareil de sorte que lorsque le trafic est envoyé à l'appareil
service adressé de cette manière, il est acheminé vers l'hôte le plus proche qui partage la même adresse. Et
ce n'est que le début - nous aborderons les différents types de communication plus loin dans la section
appelé « Types d'adresses ».
Jetons donc un œil à la figure 14.1 , qui présente un exemple d'adresse IPv6 décomposée en sections.
Comme vous pouvez le voir clairement, l'adresse est certainement beaucoup plus grande. Mais quoi d'autre est différent? Bien,
tout d'abord, notez qu'il a huit groupes de nombres au lieu de quatre et aussi que ces groupes sont
séparés par des deux points au lieu de points. Et hé, attendez une seconde. . . il y a des lettres dedans
adresse! Oui, l'adresse est exprimée en hexadécimal tout comme une adresse MAC, vous pouvez donc
disons que cette adresse a huit blocs hexadécimaux de 16 bits délimités par deux points. C'est déjà pas mal
bouchée, et vous n'avez probablement même pas encore essayé de dire l'adresse à voix haute !
Il y a quatre caractères hexadécimaux (16 bits) dans chaque champ IPv6 (avec huit
C'est une nette amélioration - au moins nous n'avons pas à écrire tous ces zéros supplémentaires ! Mais quoi
sur des blocs entiers qui ne contiennent rien d'autre que des zéros ? Eh bien, nous pouvons en quelque sorte perdre
ceux-là aussi, du moins certains d'entre eux. En se référant à nouveau à notre exemple d'adresse, nous pouvons supprimer les deux
blocs consécutifs de zéros en les remplaçant par un double deux-points, comme ceci :
2001:db8:3c4d:12::1234:56ab
Page 261
Cool—nous avons remplacé les blocs de tous les zéros par un double deux-points. La règle à suivre pour obtenir
loin de cela, c'est que vous ne pouvez remplacer qu'un seul bloc contigu de ces zéros dans une adresse. Donc si
mon adresse a quatre blocs de zéros et chacun d'eux a été séparé, je ne peux tout simplement pas remplacer
tous parce que je ne peux remplacer qu'un seul bloc contigu par un double deux-points. Regarde ça
Exemple:
2001:0000:0000:0012:0000:0000:1234:56ab
2001::12::1234:56ab
2001::12:0:0:1234:56ab
La raison pour laquelle l'exemple précédent est notre meilleur coup est que si nous supprimons deux séries de zéros, le
appareil regardant l'adresse n'aura aucun moyen de savoir où les zéros retournent. Fondamentalement,
le routeur examinerait l'adresse incorrecte et dirait : « Eh bien, est-ce que je place deux blocs dans le premier ?
ensemble de deux-points doublés et deux dans le deuxième ensemble, ou dois-je placer trois blocs dans le premier ensemble et
un bloc dans le deuxième set ? » Et ainsi de suite, car les informations du routeur
besoins n'est tout simplement pas là.
Types d'adresses
Nous connaissons tous les adresses de monodiffusion, de diffusion et de multidiffusion d'IPv4 qui définissent essentiellement
à qui ou au moins à combien d'autres appareils nous parlons. Mais comme je l'ai mentionné, IPv6 modifie cela
trio et présente l'anycast. Les diffusions, telles que nous les connaissons, ont été supprimées en IPv6
à cause de leur inefficacité encombrante et de leur tendance fondamentale à nous rendre fous !
Voyons donc à quoi servent chacun de ces types d'adressage IPv6 et de méthodes de communication
nous:
Les paquets monodiffusion adressés à une adresse monodiffusion sont livrés à une seule interface. Pour charge
l'équilibrage, plusieurs interfaces sur plusieurs appareils peuvent utiliser la même adresse, mais nous l'appellerons
une adresse anycast. Il existe différents types d'adresses unicast, mais nous n'avons pas besoin d'obtenir
plus loin dans cela ici.
Adresses de monodiffusion globales (2000 : :/3) Ce sont vos adresses routables publiques typiques et
ce sont les mêmes que dans IPv4. Les adresses globales commencent à 2000::/3. La figure 14.2 montre comment une monodiffusion
l'adresse tombe en panne. Le FAI peut vous fournir un identifiant de réseau minimum /48, qui à son tour
vous fournit 16 bits pour créer une adresse d'interface de routeur 64 bits unique. Les derniers 64 bits sont les
ID d'hôte unique.
FIGURE 14.3 Liaison IPv6 locale FE80::/10 : Les 10 premiers bits définissent le type d'adresse.
Adresses locales uniques (FC00::/7) Ces adresses sont également destinées au non-routage
sur Internet, mais ils sont presque uniques au monde, il est donc peu probable que vous ayez jamais
l'un d'eux se chevauche. Les adresses locales uniques ont été conçues pour remplacer les adresses locales du site.
ils font pratiquement exactement ce que font les adresses privées IPv4 : autoriser la communication
sur un site tout en étant routable vers plusieurs réseaux locaux. Les adresses locales du site ont été
obsolète depuis septembre 2004.
Multicast (FF00::/8) Encore une fois, comme dans IPv4, les paquets adressés à une adresse multicast sont livrés
à toutes les interfaces réglées sur l'adresse de multidiffusion. Parfois, les gens les appellent "un-à-plusieurs"
adresses. Il est très facile de repérer une adresse multicast en IPv6 car elle commence toujours par FF .
Nous approfondirons le fonctionnement de la multidiffusion à venir, dans « Comment IPv6 fonctionne dans un interréseau ».
Anycast Comme les adresses multicast, une adresse anycast identifie plusieurs interfaces sur plusieurs
dispositifs. Mais il y a une grande différence : le paquet anycast est livré à un seul appareil—en fait,
au plus proche qu'il trouve défini en termes de distance de routage. Et encore, cette adresse est spéciale
car vous pouvez appliquer une seule adresse à plusieurs hôtes. Ceux-ci sont appelés « un-à-
adresses les plus proches. Les adresses Anycast ne sont généralement configurées que sur les routeurs, jamais sur les hôtes, et
une adresse source ne peut jamais être une adresse anycast. Il est à noter que l'IETF a réservé le top
128 adresses pour chaque /64 à utiliser avec les adresses anycast.
Vous vous demandez probablement s'il existe des adresses spéciales et réservées dans IPv6, car vous
savent qu'ils sont là dans IPv4. Eh bien, il y en a beaucoup ! Passons en revue ces maintenant.
Adresses spéciales
Je vais énumérer certaines des adresses et plages d'adresses (dans le tableau 14.1 ) que vous devriez
assurez-vous certainement de vous en souvenir car vous finirez par les utiliser. Ils sont tous spéciaux ou
réservé à un usage spécifique, mais contrairement à IPv4, IPv6 nous offre une galaxie d'adresses, réservant ainsi une
peu ici et là ne fait pas mal du tout !
Adresse Sens
Page 263
2002 : :/16 Utilisé avec le tunneling 6 à 4, qui est une transition IPv4 à IPv6
système. La structure permet aux paquets IPv6 d'être transmis sur
un réseau IPv4 sans avoir besoin de configurer des tunnels explicites.
Lorsque vous exécutez IPv4 et IPv6 sur un routeur, vous obtenez ce qu'on appelle « double pile ».
Laissez-moi vous montrer comment IPv6 fonctionne réellement dans un interréseau. Nous savons tous comment fonctionne IPv4, alors
voyons les nouveautés !
Je vais également démontrer la capacité d'un appareil à s'adresser automatiquement, ce qu'on appelle l'état sans état
autoconfiguration—plus un autre type d'autoconfiguration connu sous le nom d'état. Garde en tête que
la configuration automatique avec état utilise un serveur DHCP d'une manière très similaire à la façon dont il est utilisé dans un IPv4
configuration. Je vais également vous montrer comment Internet Control Message Protocol (ICMP) et
la multidiffusion fonctionne pour nous dans un environnement réseau IPv6.
Par défaut, le transfert de trafic IPv6 est désactivé, donc l'utilisation de cette commande l'active. Aussi, comme vous l'avez
probablement deviné, IPv6 n'est activé par défaut sur aucune interface non plus, nous devons donc aller à chaque
interface individuellement et activez-la.
Il y a plusieurs façons de le faire, mais un moyen très simple consiste simplement à ajouter une adresse au
interface. Vous utilisez la commande de configuration d'interface ipv6 address <ipv6prefix>/<prefix-length>
[eui-64] pour y parvenir.
Voici un exemple :
Vous pouvez spécifier l'intégralité de l'adresse IPv6 globale 128 bits comme je viens de le démontrer avec le précédent
commande, ou vous pouvez utiliser l'option EUI-64. N'oubliez pas que l'EUI-64 (extension unique
identifiant) permet à l'appareil d'utiliser son adresse MAC et de la remplir pour créer l'ID d'interface.
Vérifiez-le:
Au lieu de saisir une adresse IPv6 sur un routeur, vous pouvez activer l'interface à la place pour
permettre l'application d'une adresse lien-local automatique.
Pour configurer un routeur afin qu'il utilise uniquement des adresses lien-local, utilisez l' interface d' activation ipv6
commande de configuration :
Page 264
N'oubliez pas que si vous n'avez qu'une adresse link-local, vous pourrez
Par exemple, disons que j'ai un appareil avec une adresse MAC qui ressemble à ceci : 0060:d673:1987.
Après avoir été rembourré, cela ressemblerait à ceci : 0260:d6FF:FE73:1987. La figure 14.4 illustre ce
ressemble à une adresse EUI-64.
La raison de la modification du bit U/L est que, lors de l'utilisation d'adresses attribuées manuellement sur un
interface, cela signifie que vous pouvez simplement attribuer l'adresse 2001:db8:1:9::1/64 au lieu de beaucoup
plus long 2001:db8:1:9:0200::1/64. De plus, si vous allez attribuer manuellement une adresse lien-local,
vous pouvez attribuer l'adresse courte fe80::1 au lieu de la longue fe80::0200:0:0:1 ou
fe80:0:0:0:0200::1. Ainsi, même si à première vue, il semble que l'IETF a rendu cela plus difficile pour vous de
comprendre simplement l'adressage IPv6 en retournant le 7ème bit, en réalité cela a rendu l'adressage beaucoup plus
plus simple. De plus, comme la plupart des gens ne remplacent généralement pas l'adresse gravée, le bit U/L est un
0, ce qui signifie que vous verrez cela inversé en 1 la plupart du temps. Mais parce que tu étudies
les objectifs de l'examen Cisco, vous devrez envisager de l'inverser dans les deux sens.
Page 265
Celui-là était facile ! Trop facile pour l'examen Cisco, alors faisons-en un autre :
101010 1 0 représente les 8 premiers bits de l'adresse MAC (aa), qui lors de l'inversion du 7ème bit
devient 101010 0 0. La réponse devient A8. Je ne peux pas vous dire à quel point c'est important pour vous de
comprenez, alors supportez-moi et travaillez-en encore quelques-uns !
0c est 00001100 dans les 8 premiers bits de l'adresse MAC, qui devient alors 00001110 lorsque
renversant le 7ème bit. La réponse est alors 0e. Pratiquons-en un de plus :
0b en binaire est 000010 1 1, les 8 premiers bits de l'adresse MAC, qui devient alors
000010 0 1. La réponse est 09.
Portez une attention particulière à cette affectation d'adresse EUI-64 et soyez en mesure de
convertissez le 7ème bit basé sur les règles EUI-64 ! Le laboratoire écrit 14.2 vous aidera à vous entraîner.
Pour effectuer la configuration automatique, un hôte passe par un processus de base en deux étapes :
1. Tout d'abord, l'hôte a besoin des informations de préfixe, similaires à la partie réseau d'un IPv4
adresse, pour configurer son interface, afin qu'il envoie une requête de sollicitation de routeur (RS) pour elle. Cette RS
est ensuite envoyé en multidiffusion à tous les routeurs (FF02::2). L'information réelle envoyée est un
type de message ICMP, et comme tout dans le réseau, ce message ICMP a un numéro
qui l'identifie. Le message RS est de type ICMP 133.
2. Le routeur répond avec les informations de préfixe requises via une annonce de routeur
(RA). Un message RA se trouve également être un paquet de multidiffusion qui est envoyé à tous les nœuds
adresse multicast (FF02::1) et est de type ICMP 134. Les messages RA sont envoyés périodiquement,
mais l'hôte envoie le RS pour une réponse immédiate afin qu'il n'ait pas à attendre le prochain
RA programmée pour obtenir ce dont elle a besoin.
Soit dit en passant, ce type d'autoconfiguration est également connu sous le nom d'autoconfiguration sans état car il
ne contacte ni ne se connecte à et ne reçoit aucune autre information de l'autre appareil. Bien
Page 266
Mais avant cela, jetez d'abord un coup d'œil à la figure 14.6 . Dans cette figure, le routeur Branch doit
être configuré, mais je n'ai tout simplement pas envie de saisir une adresse IPv6 sur l'interface de connexion à
le routeur Corp. Je n'ai pas non plus envie de taper des commandes de routage, mais j'ai besoin de plus qu'un
l'adresse link-local sur cette interface, je vais donc devoir faire quelque chose ! Donc en gros, je veux
faire fonctionner le routeur de branche avec IPv6 sur l'interréseau avec le moins d'effort de
moi. Voyons si je peux m'en sortir.
Ah ha, il y a un moyen facile ! J'adore IPv6 car il me permet d'être relativement paresseux lorsque je traite
avec certaines parties de mon réseau, mais cela fonctionne toujours très bien. En utilisant la commande ipv6 address
autoconfig ,
l'interface écoutera les RA puis, via le format EUI-64, elle s'attribuera un
adresse mondiale, chouette !
Tout cela est vraiment génial, mais vous vous demandez, espérons-le, ce que fait ce défaut à la fin
de la commande. Si oui, bonne prise ! Il se trouve que c'est une partie merveilleuse et facultative de la commande
qui délivre en douceur une route par défaut reçue du routeur Corp, qui sera automatiquement
injecté dans ma table de routage et défini comme route par défaut, si facile !
Lors du démarrage en IPv4, un client envoie un message DHCP Discover à la recherche d'un serveur à
donnez-lui les informations dont il a besoin. Mais rappelez-vous, dans IPv6, le processus RS et RA se produit en premier, donc
s'il y a un serveur DHCPv6 sur le réseau, le RA qui revient au client lui dira si
DHCP est disponible pour utilisation. Si un routeur n'est pas trouvé, le client répondra en envoyant un DHCP
Message de sollicitation, qui est en fait un message multicast adressé avec une destination de ff02::1:2
qui appelle, "Tous les agents DHCP, les serveurs et les relais."
Il est bon de savoir qu'il existe une prise en charge de DHCPv6 dans Cisco IOS, même si elle est limitée.
Ce support plutôt avare est réservé aux serveurs DHCP sans état et nous dit qu'il n'offre pas
toute gestion d'adresses du pool ou les options disponibles pour configurer ce pool d'adresses
autres que le DNS, le nom de domaine, la passerelle par défaut et les serveurs SIP.
Cela signifie que vous aurez certainement besoin d'un autre serveur pour fournir et distribuer tous
les informations supplémentaires requises, peut-être même pour gérer l'attribution d'adresses, si nécessaire !
Page 267
N'oubliez pas pour les objectifs que la configuration automatique sans état et avec état peut
En-tête IPv6
Un en-tête IPv4 fait 20 octets de long, donc puisqu'une adresse IPv6 est quatre fois la taille d'IPv4 à 128
bits, son en-tête doit alors faire 80 octets, non ? Cela a du sens et est totalement intuitif, mais
c'est aussi complètement faux ! Lorsque les concepteurs d'IPv6 ont conçu l'en-tête, ils en ont créé moins,
des champs rationalisés qui se traduiraient également par un protocole routé plus rapide en même temps. Prenons un
regardez l'en-tête IPv6 simplifié à l'aide de la figure 14.7 .
FIGURE 14.7 En- tête IPv6
L'en-tête IPv6 de base contient huit champs, ce qui le rend seulement deux fois plus grand qu'un en-tête IP à 40
octets. Zoomons sur ces champs :
Version Ce champ de 4 bits contient le numéro 6, au lieu du numéro 4 comme dans IPv4.
Classe de trafic Ce champ de 8 bits est similaire au champ Type de service (ToS) dans IPv4.
Flow Label Ce nouveau champ, d'une longueur de 24 bits, est utilisé pour marquer les paquets et les flux de trafic. UNE
flux est une séquence de paquets d'une source unique à un hôte de destination unique, un anycast ou
adresse de multidiffusion. Le champ permet une classification efficace des flux IPv6.
Longueur de la charge utile IPv4 avait un champ de longueur totale délimitant la longueur du paquet. IPv6
la longueur de la charge utile décrit uniquement la longueur de la charge utile.
En-tête suivant Puisqu'il existe des en-têtes d'extension facultatifs avec IPv6, ce champ définit le prochain
Page 268
en-tête à lire. Cela contraste avec IPv4, qui exige des en-têtes statiques avec chaque paquet.
Hop Limit Ce champ spécifie le nombre maximum de sauts qu'un paquet IPv6 peut traverser.
Pour les objectifs, rappelez-vous que le champ Hop Limit est équivalent au champ TTL dans
L'en-tête d'IPv4 et l'en-tête d'extension (après l'adresse de destination et non affiché dans le
figure) est utilisé à la place du champ Fragmentation IPv4.
Il y a aussi quelques en-têtes d'extension optionnels après ces huit champs, qui portent d'autres
Informations sur la couche réseau. Ces longueurs d'en-tête ne sont pas un nombre fixe - elles sont variables
Taille.
Alors, qu'est-ce qui diffère entre l'en-tête IPv6 et l'en-tête IPv4 ? Regardons ça :
Le champ Longueur de l'en-tête Internet a été supprimé car il n'est plus requis. Contrairement au
en-tête IPv4 de longueur variable, l'en-tête IPv6 est fixé à 40 octets.
La fragmentation est traitée différemment dans IPv6 et n'a pas besoin du champ Flags dans la base
En-tête IPv4. Dans IPv6, les routeurs ne traitent plus la fragmentation ; l'hôte est responsable de
fragmentation.
Le champ Header Checksum au niveau de la couche IP a été supprimé car la plupart des couches Data Link
les technologies effectuent déjà une somme de contrôle et un contrôle d'erreur, ce qui oblige
les sommes de contrôle de couche supérieure (UDP, par exemple) deviennent obligatoires.
Pour les objectifs, rappelez-vous que contrairement aux en-têtes IPv4, les en-têtes IPv6 ont un
Il est temps de parler d'un autre visage familier d'IPv4 et de découvrir comment un certain
important, le protocole intégré a évolué dans IPv6.
ICMPv6
IPv4 a utilisé le cheval de bataille ICMP pour de nombreuses tâches, y compris les messages d'erreur comme la destination
fonctions inaccessibles et de dépannage comme Ping et Traceroute. ICMPv6 fait toujours ces
choses pour nous, mais contrairement à son prédécesseur, la version v6 n'est pas implémentée en tant que couche 3 séparée
protocole. Au lieu de cela, il fait partie intégrante d'IPv6 et est transporté après l'en-tête IPv6 de base
informations en tant qu'en-tête d'extension. Et ICMPv6 nous offre une autre fonctionnalité vraiment intéressante, en
par défaut, il empêche IPv6 d'effectuer toute fragmentation via un processus ICMPv6 appelé chemin
Découverte MTU. La figure 14.8 montre comment ICMPv6 a évolué pour faire partie du paquet IPv6
lui-même.
Page 269
Le paquet ICMPv6 est identifié par la valeur 58 dans le champ Next Header, situé à l'intérieur du
Paquet ICMPv6. Le champ Type identifie le type particulier de message ICMP qui est
transporté, et le champ Code détaille plus en détail les spécificités du message. Le champ Données contient
la charge utile ICMPv6.
1 Destination inaccessible
Et voici comment cela fonctionne : le nœud source d'une connexion envoie un paquet égal au MTU
taille de la MTU de sa liaison locale. Au fur et à mesure que ce paquet traverse le chemin vers sa destination, tout lien qui
a un MTU inférieur à la taille du paquet actuel forcera le routeur intermédiaire à envoyer
un message « paquet trop gros » à la machine source. Ce message indique au nœud source le
taille maximale autorisée par le lien restrictif et demande à la source d'envoyer une nouvelle version réduite
paquet qui peut passer. Ce processus se poursuivra jusqu'à ce que la destination soit enfin atteinte,
avec le nœud source arborant maintenant le MTU du nouveau chemin. Alors maintenant, quand le reste des paquets de données
sont transmises, elles seront protégées de la fragmentation.
Page 270
ICMPv6 est utilisé pour la sollicitation et la publicité du routeur, pour la sollicitation des voisins et
publicité (c'est-à-dire trouver les adresses de données MAC pour les voisins IPv6) et pour rediriger le
hôte vers le meilleur routeur (passerelle par défaut).
ICMPv6 prend également en charge la tâche de trouver l'adresse d'autres appareils sur le lien local. Les
Le protocole de résolution d'adresse est utilisé pour exécuter cette fonction pour IPv4, mais il a été renommé
découverte de voisins (ND) dans ICMPv6. Ce processus est maintenant réalisé via une adresse multicast appelée
l'adresse du nœud sollicité car tous les hôtes rejoignent ce groupe de multidiffusion lors de la connexion au
réseau.
La partie de l'adresse IPv6 désignée par les 24 bits les plus à droite est ajoutée à la fin de
l'adresse de multidiffusion FF02:0:0:0:0:1:FF/104 préfixe et est appelée nœud sollicité
adresse . Lorsque cette adresse est interrogée, l'hôte correspondant renverra son adresse de couche 2.
Les appareils peuvent trouver et suivre d'autres appareils voisins sur le réseau dans à peu près le
de la même façon. Lorsque j'ai parlé des messages RA et RS plus tôt et que je vous ai dit qu'ils utilisaient la multidiffusion
trafic pour demander et envoyer des informations d'adresse, cela aussi est en fait une fonction d'ICMPv6—
en particulier, la découverte de voisins.
Dans IPv4, le protocole IGMP était utilisé pour permettre à un périphérique hôte de dire à son routeur local qu'il était
rejoindre un groupe de multidiffusion et aimeriez recevoir le trafic pour ce groupe. Cette fonction IGMP
a été remplacé par ICMPv6, et le processus a été renommé découverte d'écouteur multidiffusion.
Avec IPv4, nos hôtes ne pouvaient avoir qu'une seule passerelle par défaut configurée, et si ce routeur allait
vers le bas, nous devions soit réparer le routeur, soit changer la passerelle par défaut, soit exécuter un type de
passerelle par défaut avec d'autres protocoles créés comme solution à cette insuffisance en IPv4. Chiffre
14.9 montre comment les périphériques IPv6 trouvent leurs passerelles par défaut à l'aide de la découverte de voisins.
Page 271
Les hôtes IPv6 envoient une sollicitation de routeur (RS) sur leur liaison de données demandant à tous les routeurs de répondre,
et ils utilisent l'adresse de multidiffusion FF02::2 pour y parvenir. Les routeurs sur le même lien répondent avec
une monodiffusion à l'hôte demandeur, ou avec une annonce de routeur (RA) en utilisant FF02::1.
Mais ce n'est pas tout! Les hôtes peuvent également envoyer des sollicitations et des publicités entre eux en utilisant
une sollicitation de voisin (NS) et une annonce de voisin (NA), comme le montre la figure 14.10 .
N'oubliez pas que RA et RS rassemblent ou fournissent des informations sur les routeurs, et que NS et NA rassemblent
informations sur les hôtes. N'oubliez pas qu'un « voisin » est un hôte sur la même liaison de données ou VLAN.
FIGURE 14.10 Sollicitation de voisin (NS) et publicité de voisin (NA)
Si une adresse IPv6 est connue, alors l'adresse de multidiffusion du nœud sollicité IPv6 associée est connue,
et si une adresse de multidiffusion IPv6 est connue, alors l'adresse MAC Ethernet associée est connue.
Nous allons maintenant former les adresses Ethernet multicast en ajoutant les 32 derniers bits du multicast IPv6
adresse à 33:33.
Par exemple, si l'adresse de multidiffusion du nœud sollicité IPv6 est FF02::1:FF18:FC0F, l'adresse associée
L'adresse MAC Ethernet est 33:33:FF:18:FC:0F et est une adresse virtuelle.
Alors, que pensez-vous des chances que deux hôtes s'attribuent le même IPv6 aléatoire
adresse? Personnellement, je pense que vous pourriez probablement gagner au loto tous les jours pendant un an et toujours pas
approchez-vous des chances contre deux hôtes sur la même liaison de données dupliquant une adresse IPv6 ! Toujours,
pour s'assurer que cela ne se produise jamais, la détection d'adresses en double (DAD) a été créée, ce qui
n'est pas un protocole réel, mais une fonction des messages NS/NA. La figure 14.11 montre comment un hôte
envoie un NS NDP lorsqu'il reçoit ou crée une adresse IPv6.
Page 272
Lorsque les hôtes créent ou reçoivent une adresse IPv6, ils envoient trois DAD via NDP NS demandant si
quelqu'un a cette même adresse. Il est peu probable que cela se produise un jour, mais ils demandent
De toute façon.
N'oubliez pas pour les objectifs que ICMPv6 utilise le type 134 pour l'annonce du routeur
Le premier sur la liste est l'IPv6 RIPng (prochaine génération). Ceux d'entre vous qui sont dans l'informatique depuis un certain temps
sachez que RIP a plutôt bien fonctionné pour nous sur des réseaux plus petits. Il se trouve que c'est le très
raison pour laquelle il n'a pas été frappé et sera toujours présent dans IPv6. Et nous avons toujours EIGRPv6 car
EIGRP avait déjà des modules dépendants du protocole et tout ce que nous avions à faire était d'en ajouter un nouveau pour
s'intègre parfaitement au protocole IPv6. L'OSPFv3 complète notre groupe de survivants du protocole—
ce n'est pas une faute de frappe, c'est vraiment la v3 ! OSPF pour IPv4 était en fait la v2, donc quand il a été mis à niveau vers IPv6,
il est devenu OSPFv3. Enfin, pour les nouveaux objectifs, nous listerons MP-BGP4 comme BGP-4 multiprotocole
protocole pour IPv6. S'il vous plaît comprendre pour les objectifs à ce stade du livre, nous avons seulement besoin de
comprendre le routage statique et par défaut.
Nous savons que pour faire fonctionner le routage statique, que ce soit en IP ou en IPv6, vous avez besoin de ces trois outils :
Page 273
Bien sûr, nous n'en avons pas besoin pour le routage dynamique, c'est pourquoi nous utilisons principalement
routage dynamique. C'est tellement génial que le protocole de routage fasse tout ce travail pour nous en
trouver tous les sous-réseaux distants et les placer automatiquement dans la table de routage !
La figure 14.12 montre un très bon exemple d'utilisation du routage statique avec IPv6. Ce n'est vraiment pas
doit être si difficile, mais tout comme avec IPv4, vous avez absolument besoin d'une carte de réseau précise pour
faire fonctionner le routage statique !
Voici donc ce que j'ai fait : d'abord, j'ai créé une route statique sur le routeur Corp vers le réseau distant
2001:1234:4321:1::/64 en utilisant l'adresse du prochain saut. J'aurais pu tout aussi facilement utiliser la Corp
l'interface de sortie du routeur. Ensuite, je viens de configurer une route par défaut pour le routeur Branch avec ::/0 et le
Interface de sortie de branche de Gi0/0 — pas si mal !
Corp# config t
Corp(config)# ipv6 monodiffusion-routage
Corp(config)# int f0/0
Corp(config-if)# adresse ipv6 2001:db8:3c4d:11::/64 eui-64
Corp(config-if)# int s0/0
Corp(config-if)# adresse ipv6 2001:db8:3c4d:12::/64 eui-64
Corp(config-if)# int s0/1
Corp(config-if)# adresse ipv6 2001:db8:3c4d:13::/64 eui-64
Corp(config-if)# ^Z
Début de l'exécution de la copie Corp#
Nom du fichier de destination [startup-config] ? [Entrer]
Configuration du bâtiment...
[D'ACCORD]
Page 274
Assez simple! Dans la configuration précédente, je n'ai changé que l'adresse de sous-réseau pour chaque
légèrement l'interface. Jetons maintenant un œil à la table de routage :
D'accord, mais qu'en est-il de ces deux adresses pour chaque interface ? On montre C pour connecté,
on montre L. L'adresse connectée indique l'adresse IPv6 que j'ai configurée sur chaque interface
et le L est le lien local qui a été automatiquement attribué. Notez dans l'adresse lien-local que
le FF:FE est inséré dans l'adresse pour créer l'adresse EUI-64.
SF# config t
SF(config)# ipv6 monodiffusion-routage
SF(config)# int s0/0/0
SF(config-if)# adresse ipv6 2001:db8:3c4d:12::/64
% 2001:DB8:3C4D:12::/64 ne doit pas être configuré sur Serial0/0/0, un routeur de sous-réseau anycast
SF(config-if)# adresse ipv6 2001:db8:3c4d:12::/64 eui-64
SF(config-if)# int fa0/0
SF(config-if)# adresse ipv6 2001:db8:3c4d:14::/64 eui-64
Page 275
SF(config-if)# ^Z
SF# afficher l'itinéraire ipv6
C 2001:DB8:3C4D:12::/64 [0/0]
via ::, Série0/0/0
L 2001:DB8:3C4D:12::/128 [0/0]
via ::, Série0/0/0
L 2001:DB8:3C4D:12:21A:2FFF:FEE7:4398/128 [0/0]
via ::, Série0/0/0
C 2001:DB8:3C4D:14::/64 [0/0]
via ::, FastEthernet0/0
L 2001:DB8:3C4D:14:21A:2FFF:FEE7:4398/128 [0/0]
via ::, FastEthernet0/0
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
Avez-vous remarqué que j'ai utilisé les adresses de sous-réseau IPv6 exactes de chaque côté de la liaison série ? Bon . .
. mais attendez—qu'est-ce que c'est que cette erreur anycast que j'ai reçue en essayant de configurer les interfaces sur
le routeur SF ? Je ne voulais pas créer cette erreur ; c'est arrivé parce que j'ai oublié d'ajouter l' eui-64
à la fin de l'adresse. Pourtant, qu'est-ce qui se cache derrière cette erreur? Une adresse anycast est une adresse hôte de
tous les 0, ce qui signifie que les 64 derniers bits sont tous désactivés, mais en tapant /64 sans eui-64 , je disais au
interface que l'identifiant unique ne serait que des zéros, et ce n'est pas permis !
SF# config t
SF(config)# ipv6 monodiffusion-routage
SF(config)# int s0/0/1
SF(config-if)# adresse ipv6 2001:db8:3c4d:13::/64 eui-64
SF(config-if)# int f0/0
SF(config-if)# adresse ipv6 2001:db8:3c4d:15::/64 eui-64
SF(config-if)# affiche la route ipv6
C 2001:DB8:3C4D:13::/64 [0/0]
via ::, Série0/0/1
L 2001:DB8:3C4D:13:21A:6CFF:FEA1:1F48/128 [0/0]
via ::, Série0/0/1
C 2001:DB8:3C4D:15::/64 [0/0]
via ::, FastEthernet0/0
L 2001:DB8:3C4D:15:21A:6CFF:FEA1:1F48/128 [0/0]
via ::, FastEthernet0/0
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
Cela a l'air bien, mais je veux que vous remarquiez que j'ai utilisé exactement les mêmes adresses de sous-réseau IPv6 sur
de chaque côté des liaisons du routeur Corp au routeur SF ainsi que du Corp au LA
routeur.
D'accord, je suis d'accord que la première ligne de route statique était assez longue parce que j'ai utilisé l'adresse du saut suivant, mais
remarquez que j'ai utilisé l'interface de sortie sur la deuxième entrée. Mais ce n'était toujours pas si difficile à
créer l'entrée de route statique la plus longue. Je viens d'aller sur le routeur SF, j'ai utilisé la commande show ipv6 int
brief ,
puis copiez et collez l'adresse d'interface utilisée pour le saut suivant. Tu t'habitueras
Adresses IPv6 (Vous vous habituerez à faire beaucoup de copier/coller !).
Maintenant que j'ai mis un AD de 150 sur les routes statiques, une fois que j'ai configuré un protocole de routage tel que
OSPF, ils seront remplacés par une route injectée OSPF. Passons aux routeurs SF et LA et mettons un
entrée unique dans chaque routeur pour accéder au sous-réseau distant 11.
Page 276
C'est ça! Je vais me rendre à LA et mettre une route par défaut sur ce routeur maintenant :
Jetons un coup d'œil à la table de routage du routeur Corp et voyons si nos routes statiques s'y trouvent.
Voilà ! Je peux voir mes deux routes statiques dans la table de routage, donc IPv6 peut maintenant router vers celles-ci
réseaux. Mais nous n'avons pas fini car nous devons encore tester notre réseau ! Je vais d'abord aller à
le routeur SF et obtenez l'adresse IPv6 de l'interface Fa0/0 :
Ensuite, je vais revenir au routeur d'entreprise et envoyer un ping à cette interface distante en copiant et en
coller dans l'adresse. Cela n'a aucun sens de taper tout ça quand le copier/coller fonctionne très bien !
Nous pouvons voir que la route statique a fonctionné, donc ensuite, je vais chercher l'adresse IPv6 du routeur LA et
ping cette interface distante également :
LA# sh ipv6 int brève
FastEthernet0/0 [haut Haut]
FE80::21A:6CFF:FEA1:1F48
2001:DB8:3C4D:15:21A:6CFF:FEA1:1F48
Série0/0/1 [haut Haut]
FE80::21A:6CFF:FEA1:1F48
2001:DB8:3C4D:13:21A:6CFF:FEA1:1F48
Page 277
Quelle belle sortie ! Toutes nos interfaces sont up/up , et nous pouvons voir le lien local et global assigné
adresse.
Le routage statique n'est vraiment pas si mal avec IPv6 ! Je ne dis pas que j'aimerais faire ça dans un ginormous
réseau—pas question—je ne voudrais pas non plus opter pour cela avec IPv4 ! Mais vous pouvez le voir
peut être fait. Notez également à quel point il était facile de pinger une adresse IPv6. Copier/coller est vraiment votre
ami !
Avant de terminer le chapitre, ajoutons un autre routeur à notre réseau et connectons-le à la Corp
Fa0/0 LAN. Pour notre nouveau routeur, je n'ai vraiment pas envie de travailler, alors je vais simplement taper ceci :
Boulder# config t
Boulder(config)# int f0/0
Boulder(config-if)# ipv6 adresse autoconfig par défaut
Agréable et facile ! Cela configure la configuration automatique sans état sur l'interface, et la valeur par défaut
le mot-clé s'annoncera comme route par défaut pour le lien local !
J'espère que vous avez trouvé ce chapitre aussi enrichissant que moi. La meilleure chose à faire pour apprendre IPv6 est de
obtenez des routeurs et allez-y. N'abandonnez pas car cela vaut vraiment la peine de prendre votre temps !
Sommaire
Ce dernier chapitre vous a présenté certains éléments structurels très importants d'IPv6 ainsi que la façon de
faire fonctionner IPv6 au sein d'un interréseau Cisco. Vous savez maintenant que même en couvrant et en
configuration des bases d'IPv6, il reste encore beaucoup à comprendre et nous venons de gratter le
surface! Mais vous êtes toujours bien équipé avec tout ce dont vous avez besoin pour atteindre les objectifs de l'examen Cisco.
Vous avez appris les raisons vitales pour lesquelles nous avons besoin d'IPv6 et les avantages qui y sont associés.J'ai couvert
L'adressage IPv6 et l'importance d'utiliser les expressions abrégées. Comme j'ai couvert l'adressage
avec IPv6, je vous ai également montré les différents types d'adresses, ainsi que les adresses spéciales réservées dans
IPv6.
IPv6 sera principalement déployé automatiquement, ce qui signifie que les hôtes utiliseront la configuration automatique. je
a montré comment IPv6 utilise la configuration automatique et comment elle entre en jeu lors de la configuration d'un
routeur Cisco. Vous avez également appris qu'en IPv6, nous pouvons et devons toujours utiliser un serveur DHCP pour
routeur pour fournir des options aux hôtes comme nous le faisons depuis des années avec IPv4, pas nécessairement
Les adresses IPv6, mais d'autres options critiques comme la fourniture d'une adresse de serveur DNS.
À partir de là, j'ai discuté de l'évolution de certains protocoles plus intégrés et familiers comme ICMP
et OSPF. Ils ont été mis à niveau pour fonctionner dans l'environnement IPv6, mais ces
les chevaux de bataille sont toujours essentiels et pertinents pour les opérations, et j'ai expliqué comment ICMP fonctionne avec IPv6,
suivi de la façon de configurer OSPFv3. J'ai conclu ce chapitre crucial en démontrant les clés
méthodes à utiliser pour vérifier que tout fonctionne correctement sur votre réseau IPv6. Alors prends-en un
du temps et de travailler sur tout le matériel d'étude essentiel, en particulier les laboratoires écrits, pour s'assurer que
vous atteignez vos objectifs de réseautage !
Essentiels de l'examen
Comprenez pourquoi nous avons besoin d'IPv6. Sans IPv6, le monde serait vide d'adresses IP.
Comprendre lien-local. Link-local est comme une adresse IP privée IPv4, mais elle ne peut pas être routée à
tous, même pas dans votre organisation.
Comprendre un local unique. Ceci, comme le lien local, est comme une adresse IP privée dans IPv4 et ne peut pas
être acheminé vers Internet. Cependant, la différence entre lien-local et unique local est que
local unique peut être acheminé au sein de votre organisation ou entreprise.
N'oubliez pas l'adressage IPv6. L'adressage IPv6 n'est pas comme l'adressage IPv4. Adressage IPv6
a beaucoup plus d'espace d'adressage, fait 128 bits et est représenté en hexadécimal, contrairement à IPv4,
qui ne fait que 32 bits et est représenté en décimal.
Page 278
Comprendre et être capable de lire une adresse EUI-64 avec le 7ème bit inversé. Hôtes
peut utiliser la configuration automatique pour obtenir une adresse IPv6, et l'une des façons de le faire est de
ce qu'on appelle EUI-64. Cela prend l'adresse MAC unique d'un hôte et insère FF:FE dans le
milieu de l'adresse pour changer une adresse MAC 48 bits en un ID d'interface 64 bits. En plus de
en insérant les 16 bits dans l'identifiant de l'interface, le 7ème bit du 1er octet est inversé, typiquement à partir d'un 0
à un 1. Entraînez-vous avec Written Lab 14.2.
Laboratoires écrits 14
Dans cette section, vous effectuerez les travaux pratiques suivants pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
Vous pouvez trouver les réponses à ces laboratoires dans l'annexe A, « Réponses aux laboratoires écrits ».
1. Quels sont les deux types ICMPv6 utilisés pour tester l'accessibilité IPv6 ?
6. Quel type d'adresse identifie plusieurs interfaces, mais les paquets ne sont livrés qu'au
première adresse qu'il trouve ?
8. IPv4 avait une adresse de bouclage de 127.0.0.1. Quelle est l'adresse de bouclage IPv6 ?
Laboratoires pratiques
Vous aurez besoin d'au moins trois routeurs pour effectuer ces travaux pratiques ; cinq serait mieux, mais si vous utilisez
la version LammleSim IOS, alors ces dispositions de laboratoire sont préconfigurées pour vous. Cette section sera
avez-vous configuré les ateliers suivants :
Page 279
1. Connectez-vous au routeur C et configurez les adresses IPv6 sur chaque interface en fonction des sous-réseaux (1
et 2) montré dans le graphique.
2. Vérifiez les interfaces avec les commandes show ipv6 route connected et sho ipv6 int brief .
3. Accédez à vos autres routeurs et configurez le Fa0/0 sur chaque routeur pour configurer automatiquement un IPv6
adresse.
Page 280
FE80::20D:BDF:FE3B:C20
2001:DB8:3C4D:1:20D:BDFF:FE3B:C20
6. Ping du routeur D au routeur A. Tout d'abord, vous devez obtenir l'adresse IPv6 du routeur A avec un show ipv6
commande brève int . Voici un exemple:
A# sh ipv6 int bref
FastEthernet0/0 [haut Haut]
FE80::20D:BDF:FE3B:C20
2001:DB8:3C4D:1:20D:BDFF:FE3B:C20
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
1. Comment un ID d'interface au format EUI-64 est-il créé à partir d'une adresse MAC de 48 bits ?
D. En insérant 0xFFFE entre les 3 octets supérieurs et les 3 octets inférieurs de l'adresse MAC
E. En préfixant l'adresse MAC avec 0xF et en insérant 0xF après chacun de ses trois premiers octets
Page 281
A. 2001:0000:130F::099a::12a
B. 2002:7654:A1AD:61:81AF:CCC1
C. FEC0:ABCD:WXYZ:0067::2A4
D. 2004:1:25A4:886F::1
3. Quelles sont les trois déclarations concernant les préfixes IPv6 qui sont vraies ? (Choisissez trois.)
4. Quelles sont les trois approches utilisées lors de la migration d'un schéma d'adressage IPv4 vers
un schéma IPv6 ? (Choisissez trois.)
D. Utilisez le proxy et la traduction pour traduire les paquets IPv6 en paquets IPv4.
F. Utilisez DHCPv6 pour mapper les adresses IPv4 aux adresses IPv6.
5. Quelles sont les deux affirmations concernant les messages d'annonce du routeur IPv6 qui sont vraies ? (Choisissez deux.)
6. Laquelle des affirmations suivantes est vraie lors de la description d'une adresse anycast IPv6 ?
7. Vous souhaitez envoyer un ping à l'adresse de bouclage de votre hôte local IPv6. Que taperez-vous ?
A. ping 127.0.0.1
B. ping 0.0.0.0
C. ping ::1
D. trace 0.0.::1
A. IPsec en option
B. Autoconfiguration
Page 282
C. Pas de diffusion
D. En-tête compliqué
E. Plug-and-play
F. Sommes de contrôle
9. Quelles sont les deux déclarations décrivant les caractéristiques de l'adressage en monodiffusion IPv6 ? (Choisissez deux.)
E. Si une adresse globale est attribuée à une interface, alors c'est la seule adresse autorisée pour
L'interface.
10. Un hôte envoie une sollicitation de routeur (RS) sur la liaison de données. Quelle adresse de destination est envoyée avec
cette demande?
A. FF02::A
B. FF02::9
C. FF02::2
D. FF02::1
E. FF02::5
11. Quelles sont les deux raisons valables d'adopter IPv6 sur IPv4 ? (Choisissez deux.)
A. Pas de diffusion
E. Configuration automatique
F. NAT
12. Un hôte envoie un type de message NDP fournissant l'adresse MAC demandée. Lequel
type de NPD a été envoyé?
A. NA
B. RS
C. RA
D. N.-É.
13. Qu'est-ce qui est connu sous le nom d'adressage « un vers le plus proche » dans IPv6 ?
A. Monodiffusion mondiale
B. Anycast
C. Multidiffusion
14. Parmi les affirmations suivantes concernant les adresses IPv6, lesquelles sont vraies ? (Choisissez deux.)
B. Deux deux-points (::) sont utilisés pour représenter des champs hexadécimaux successifs de zéros.
Page 283
15. De quelles trois manières un en-tête IPv6 est-il plus simple qu'un en-tête IPv4 ? (Choisissez trois.)
A. Contrairement aux en-têtes IPv4, les en-têtes IPv6 ont une longueur fixe.
B. IPv6 utilise un en-tête d'extension au lieu du champ de fragmentation IPv4.
C. Les en-têtes IPv6 éliminent le champ Somme de contrôle IPv4.
D. Les en-têtes IPv6 utilisent le champ Fragment Offset à la place du champ IPv4 Fragmentation.
E. Les en-têtes IPv6 utilisent une taille de champ Option plus petite que les en-têtes IPv4.
F. Les en-têtes IPv6 utilisent un champ TTL de 4 bits et les en-têtes IPv4 utilisent un champ TTL de 8 bits.
D. Une interface ne peut être configurée qu'avec une seule adresse IPv6.
A. 24
B.4
C. 3
D. 16
E. 32
F. 128
18. Lequel des énoncés suivants décrit correctement les caractéristiques de l'adressage en monodiffusion IPv6 ? (Choisir
deux.)
19. Lesquelles des affirmations suivantes sont vraies concernant la représentation des adresses IPv6 ? (Choisissez deux.)
B. Une seule interface peut se voir attribuer plusieurs adresses IPv6 de tout type.
D. Les zéros non significatifs dans un champ hexadécimal IPv6 de 16 bits sont obligatoires.
A. IPv6 local
B. hôte IPv6
C. ipv6 monodiffusion-routage
D. voisin IPv6
Page 284
PARTIE II
ICND 2
Page 285
Chapitre 15
Technologies commutées améliorées
1.4.a PortFast
1.5.a Statique
1.5.b PAGP
1.5.c LACP
1.7 Décrire les techniques courantes d'atténuation des menaces de la couche d'accès
2.1.b SVI
Page 286
Les protocoles de routage tels que RIP, EIGRP et OSPF ont des processus pour empêcher les boucles de
se produisant au niveau de la couche réseau, mais si vous avez des liens physiques redondants entre vos commutateurs,
ces protocoles ne feront rien pour empêcher les boucles de se produire au niveau de la couche de liaison de données. C'est
exactement pourquoi STP a été développé - pour mettre fin aux problèmes de boucle dans un réseau commuté de couche 2. C'est
aussi pourquoi nous explorerons en profondeur les principales caractéristiques de ce protocole vital ainsi que la façon dont il
fonctionne dans un réseau commuté dans ce chapitre.
Après avoir couvert STP en détail, nous allons passer à l'exploration d'EtherChannel.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
Examen du VLAN
Comme vous vous en souvenez peut-être dans ICND1, la configuration des VLAN est en fait assez simple. C'est juste ça
déterminer quels utilisateurs vous voulez dans chaque VLAN ne l'est pas, et cela peut consommer une grande partie de votre
temps! Mais une fois que vous avez décidé du nombre de VLAN que vous souhaitez créer et établi qui
utilisateurs auxquels vous voulez appartenir à chacun, il est temps de mettre votre premier VLAN au monde.
Pour configurer des VLAN sur un commutateur Cisco Catalyst, utilisez la commande global config vlan . Dans le
exemple suivant, je vais montrer comment configurer des VLAN sur le commutateur S1 en
créer trois VLAN pour trois départements différents — encore une fois, n'oubliez pas que le VLAN 1 est le
VLAN natif et de gestion par défaut :
S1(config)# vlan ?
MOT ID VLAN ISL 1-4094
access-map Créer vlan access-map ou entrer le mode de commande vlan access-map
paramètres point1q point1q
filter Appliquer une carte VLAN
groupe Créer un groupe vlan
VLAN interne interne
S1(config)# vlan 2
S1(config-vlan)# nom Ventes
S1(config-vlan)# vlan 3
S1(config-vlan)# nom Marketing
S1(config-vlan)# vlan 4
S1(config-vlan)# nom Comptabilité
S1(config-vlan)# ^Z
S1#
Page 287
Dans cette sortie, vous pouvez voir que vous pouvez créer des VLAN de 1 à 4094. Mais ce n'est que la plupart du temps
vrai.
ou Comme je
supprimez lesl'ai dit, les1 VLAN
VLAN ou 1002neà 1005
peuvent
carvraiment être créésLeque
ils sont réservés. jusqu'à
VLAN 1001,
avec des et vous ne pouvez pas utiliser, modifier, renommer,
chiffres
au-dessus de 1005 sont appelés VLAN étendus et ne seront pas enregistrés dans la base de données à moins que votre commutateur ne soit
défini sur ce que l'on appelle le mode transparent VLAN Trunking Protocol (VTP). Vous ne verrez pas ces
Numéros de VLAN utilisés trop souvent en production. Voici un exemple de moi essayant de régler mon S1
passer au VLAN 4000 lorsque mon commutateur est réglé sur le mode serveur VTP (le mode VTP par défaut, qui
nous en reparlerons bientôt):
S1# config t
S1(config)# vlan 4000
S1(config-vlan)# ^Z
% Échec de la création des VLAN 4000
VLAN étendu(s) non autorisé(s) dans le mode VTP actuel.
%Échec de la validation des modifications des VLAN étendus.
Après avoir créé les VLAN souhaités, vous pouvez utiliser la commande show vlan pour les vérifier
dehors. Mais notez que, par défaut, tous les ports du commutateur sont dans le VLAN 1. Pour changer le VLAN
associé à un port, vous devez vous rendre sur chaque interface et lui indiquer spécifiquement quel VLAN doit être un
partie de.
N'oubliez pas qu'un VLAN créé n'est pas utilisé jusqu'à ce qu'il soit affecté à un port de commutateur ou
ports et que tous les ports sont toujours attribués dans le VLAN 1, sauf indication contraire.
Une fois les VLAN créés, vérifiez votre configuration avec la commande show vlan ( sh vlan pour
court):
S1# sh vlan
Si vous voulez voir quels ports sont affectés à un VLAN particulier (par exemple, VLAN 200), vous
pouvez évidemment utiliser la commande show vlan comme indiqué ci-dessus, ou vous pouvez utiliser le show vlan id 200
commande pour obtenir les ports attribués uniquement au VLAN 200.
Cela peut sembler répétitif, mais c'est important, et je veux que vous vous en souveniez : vous ne pouvez pas changer,
supprimez ou renommez le VLAN 1 car c'est le VLAN par défaut et vous ne pouvez tout simplement pas le changer, point final.
C'est également le VLAN natif de tous les commutateurs par défaut, et Cisco vous recommande de l'utiliser comme
VLAN de gestion. Si les problèmes de sécurité vous inquiètent, changez le VLAN natif !
Fondamentalement, tous les ports qui ne sont pas spécifiquement affectés à un autre VLAN seront envoyés au
VLAN natif : VLAN 1.
Dans la sortie S1 précédente, vous pouvez voir que les ports Fa0/1 à Fa0/14, Fa0/19 à 23,
et les liaisons montantes Gi0/1 et Gi02 sont toutes dans le VLAN 1. Mais où sont les ports 15 à 18 ? D'abord,
comprenez que la commande show vlan n'affiche que les ports d'accès, alors maintenant que vous savez quoi
vous regardez avec la commande show vlan , où pensez-vous que les ports Fa15-18 sont ? C'est
droit! Ce sont des ports à ressources partagées. Les commutateurs Cisco exécutent un protocole propriétaire appelé Dynamic Trunk
Protocole (DTP) , et s'il y a un commutateur compatible connecté, ils commenceront la jonction
automatiquement, c'est précisément là que se trouvent mes quatre ports. Vous devez utiliser les interfaces de spectacle
commande trunk pour voir vos ports à ressources partagées comme ceci :
Page 288
[coupure de sortie]
Cette sortie révèle que les VLAN de 1 à 4094 sont autorisés par défaut sur la jonction.
Une autre commande utile, qui fait également partie des objectifs de l'examen Cisco, est le show interfaces
commande d'interface switchport :
Interfaces S1# sh fastEthernet 0/15 switchport
Nom : Fa0/15
Port de commutation : activé
Mode administratif : dynamique souhaitable
Mode de fonctionnement : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun
[coupure de sortie]
La sortie en surbrillance nous montre le mode administratif de dynamique souhaitable , que le port est un
port de jonction, et que DTP a été utilisé pour négocier la méthode de marquage de trame d'ISL. Ça aussi
montre de manière prévisible que le VLAN natif est la valeur par défaut de 1.
Maintenant que nous pouvons voir les VLAN créés, nous pouvons attribuer des ports de commutation à des ports spécifiques. Chaque port
peut faire partie d'un seul VLAN, à l'exception des ports d'accès vocal. Grâce à la jonction, vous pouvez
rendre un port disponible pour le trafic de tous les VLAN. Je couvrirai cela ensuite.
Dans l'exemple suivant, je vais configurer l'interface Fa0/3 au VLAN 3. Il s'agit de la connexion du S3
basculer vers l'appareil hôte :
S3 # config t
S3(config)# int fa0/3
S3(config-if)# switchport ?
accès Définir les caractéristiques du mode d'accès de l'interface
autostate Inclure ou exclure ce port du calcul de liaison vlan
sauvegarde Définir une sauvegarde pour l'interface
bloquer Désactiver le transfert d'adresses uni/multicast inconnues
hôte Définir l'hôte du port
mode Définir le mode de jonction de l'interface
nonegotiate L'appareil ne s'engagera pas dans le protocole de négociation sur ce
interface
port-security Commande liée à la sécurité
priorité Définir la priorité 802.1p de l'appareil
private-vlan Définir la configuration du VLAN privé
protected Configurer une interface pour être un port protégé
tronc Définir les caractéristiques de jonction de l'interface
voix L'appareil vocal attribue la voix
Eh bien maintenant, qu'avons-nous ici? Il y a de nouvelles choses qui apparaissent dans notre sortie maintenant. Nous pouvons
voir diverses commandes - certaines que j'ai déjà couvertes, mais pas de soucis car je vais
Page 289
couvrira très bientôt les commandes access , mode , nonegotiate et trunk . Commençons par définir un
port d'accès sur S1, qui est probablement le type de port le plus utilisé que vous trouverez en production
Commutateurs qui ont des VLAN configurés :
En commençant par la commande switchport mode access , vous indiquez au commutateur qu'il s'agit d'un
port de couche 2 sans agrégation. Vous pouvez ensuite affecter un VLAN au port avec l' accès switchport
commander. N'oubliez pas que vous pouvez choisir de nombreux ports à configurer simultanément avec l' interface
commande de portée .
Jetons maintenant un œil à nos VLAN :
2 Ventes actif
3 Commercialisation actif Fa0/3
Notez que le port Fa0/3 est désormais membre du VLAN 3. Mais, pouvez-vous me dire où se trouvent les ports 1 et 2 ?
Et pourquoi n'apparaissent-ils pas dans la sortie de show vlan ? C'est vrai, parce qu'ils sont tronc
ports !
Nous pouvons également le voir avec la commande show interfaces interface switchport :
La sortie en surbrillance montre que Fa0/3 est un port d'accès et un membre du VLAN 3 (Marketing).
Avant de passer à la jonction et au VTP, ajoutons un VLAN voix sur notre commutateur. Lorsqu'un téléphone IP
est connecté à un port de commutateur, ce port doit être associé à un VLAN voix. En créant un
VLAN séparé pour le trafic vocal, ce que vous feriez bien sûr, que se passe-t-il lorsque vous avez un
PC ou ordinateur portable qui se connecte via Ethernet à un téléphone IP ? Le téléphone se connecte à Ethernet
port et dans un port sur le commutateur. Vous envoyez maintenant à la fois de la voix et des données au commutateur unique
Port.
Tout ce que vous avez à faire est d'ajouter un autre VLAN au même port de commutateur pour résoudre ce problème et
séparez les données du port du commutateur en deux VLAN :
S1(config)# vlan 10
S1(config-vlan)# nom Voix
S1(config-vlan)# int g0/1
S1(config-if)# switchport voix vlan 10
C'est ça. Eh bien, en quelque sorte. Si vous avez branché des appareils sur chaque port VLAN, ils ne peuvent communiquer qu'avec d'autres
périphériques dans le même VLAN. Mais dès que vous en saurez un peu plus sur le trunking, nous allons
activer la communication inter-VLAN !
Page 290
Le commutateur 2960 exécute uniquement la méthode d'encapsulation IEEE 802.1q. Pour configurer la jonction sur un
Port FastEthernet, utilisez la commande d'interface switchport mode trunk . C'est un peu différent sur le
3560 commutateur.
La sortie de commutateur suivante affiche la configuration de jonction sur les interfaces Fa0/15–18 définie sur
coffre :
Si vous avez un commutateur qui exécute uniquement la méthode d'encapsulation 802.1q, vous n'utiliserez pas le
commande d'encapsulation comme je l'ai fait dans la sortie précédente. Voyons maintenant nos ports de jonction :
Notez que le port Fa0/15 est une jonction et exécute 802.1q. Jetons un autre regard :
Prenez note du fait que les ports 15–18 sont maintenant en mode trunk activé et que l'encapsulation est
maintenant 802.1q au lieu de l'ISL négocié. Voici une description des différentes options disponibles
lors de la configuration d'une interface de commutateur :
Page 291
Dynamic Trunking Protocol (DTP) est utilisé pour négocier la jonction sur un lien
entre deux périphériques ainsi que la négociation du type d'encapsulation 802.1q ou ISL. je
utiliser la commande nonegotiate lorsque je veux des ports de jonction dédiés ; aucune question posée.
Pour désactiver la jonction sur une interface, utilisez la commande switchport mode access , qui définit le port
vers un port de commutateur d'accès de couche 2 dédié.
Comme je l'ai mentionné, les ports de jonction envoient et reçoivent des informations de tous les VLAN par défaut, et si un
la trame n'est pas balisée, elle est envoyée au VLAN de gestion. Comprenez que cela s'applique à la
VLAN à portée étendue aussi.
Mais nous pouvons supprimer les VLAN de la liste autorisée pour empêcher le trafic de certains VLAN de
en traversant une liaison à ressources partagées. Je vais vous montrer comment vous feriez cela, mais d'abord permettez-moi de démontrer à nouveau que
tous les VLAN sont autorisés sur la liaison de jonction par défaut :
La commande précédente a affecté la liaison de jonction configurée sur le port S1 Fa0/15, l'amenant à
autoriser tout le trafic envoyé et reçu pour les VLAN 4, 6, 12 et 15. Vous pouvez essayer de supprimer le VLAN 1 sur
un lien de jonction, mais il enverra et recevra toujours des données de gestion telles que CDP, DTP et VTP, alors qu'est-ce que
le point?
Si par hasard quelqu'un a supprimé certains VLAN d'une liaison de jonction et que vous souhaitez définir la jonction
retour à la valeur par défaut, utilisez simplement cette commande :
Ensuite, je veux vous montrer comment configurer un VLAN natif pour un tronc avant de commencer le routage
entre les VLAN.
Vous pouvez changer le VLAN natif du port de jonction à partir du VLAN 1, ce que beaucoup de gens font pour la sécurité
les raisons. Pour modifier le VLAN natif, utilisez la commande suivante :
Nous avons donc changé notre VLAN natif sur notre lien de jonction en 4, et en utilisant le show running-config
commande, je peux voir la configuration sous le lien trunk :
Page 292
S1# !
Oups, attendez une minute ! Vous ne pensiez pas que ce serait aussi facile et que vous commenceriez simplement à travailler,
vous? Bien sûr que non! Voici le hic : si tous les commutateurs n'ont pas le même VLAN natif configuré
sur les liens de jonction donnés, nous commencerons à recevoir cette erreur, qui s'est produite immédiatement après que j'ai
entré la commande :
En fait, c'est une bonne erreur non cryptique, donc soit nous pouvons aller à l'autre extrémité de notre (nos) lien(s) de jonction.
et changeons le VLAN natif ou nous remettons le VLAN natif à la valeur par défaut pour le réparer. Voici comment
on ferait ça :
Maintenant, notre lien de jonction utilise le VLAN 1 par défaut comme VLAN natif. N'oubliez pas que tout
les commutateurs sur un tronc donné doivent utiliser le même VLAN natif ou vous aurez de sérieux
problèmes de gestion. Ces problèmes n'affecteront pas les données des utilisateurs, mais uniquement la gestion du trafic entre
commutateurs. Maintenant, mélangeons-le en connectant un routeur à notre réseau commuté et configurons
communication inter-VLAN.
Voici une liste de certaines des fonctionnalités intéressantes que VTP a à offrir :
Agrégation VLAN sur des réseaux mixtes, tels que Ethernet vers ATM LANE ou même FDDI
Rapport dynamique des VLAN ajoutés à tous les commutateurs du domaine VTP
Très bien, mais avant de pouvoir utiliser VTP pour gérer vos VLAN sur le réseau, vous devez
créer un serveur VTP (vraiment, vous n'avez même pas besoin de le faire puisque tous les commutateurs sont par défaut sur VTP
en mode serveur, mais assurez-vous simplement d'avoir un serveur). Tous les serveurs qui doivent partager le VLAN
les informations doivent utiliser le même nom de domaine et un commutateur ne peut appartenir qu'à un seul domaine à la fois.
Donc, fondamentalement, cela signifie qu'un commutateur peut partager des informations de domaine VTP avec d'autres commutateurs
uniquement s'ils sont configurés dans le même domaine VTP. Vous pouvez utiliser un domaine VTP si vous avez
plusieurs commutateurs connectés dans un réseau, mais si vous avez tous vos commutateurs dans un seul
VLAN, vous n'avez tout simplement pas besoin d'utiliser VTP. Gardez à l'esprit que les informations VTP sont envoyées entre
commutateurs uniquement via un port de jonction.
Les commutateurs annoncent les informations du domaine de gestion VTP ainsi qu'une révision de configuration
Page 293
numéro et tous les VLAN connus avec des paramètres spécifiques. Mais il y a aussi quelque chose qui s'appelle
Mode transparent VTP . Dans celui-ci, vous pouvez configurer des commutateurs pour transmettre les informations VTP via
ports de jonction, mais de ne pas accepter les mises à jour d'informations ou de mettre à jour leurs bases de données VLAN.
Si vous avez des utilisateurs sournois qui ajoutent des commutateurs à votre domaine VTP dans votre dos, vous pouvez
inclure des mots de passe, mais n'oubliez pas : chaque commutateur doit être configuré avec le même mot de passe. Et comme
vous vous en doutez, ce petit hic peut être une vraie galère administrativement !
Les commutateurs détectent tous les VLAN ajoutés dans une annonce VTP, puis se préparent à envoyer
informations sur leurs ports de jonction avec le VLAN nouvellement défini à la remorque. Les mises à jour sont envoyées comme
numéros de révision qui consistent en des publicités récapitulatives. Chaque fois qu'un commutateur voit une valeur supérieure
numéro de révision, il sait que les informations qu'il obtient sont plus à jour, il écrasera donc le
base de données VLAN existante avec les dernières informations.
Vous devez connaître ces quatre exigences pour que VTP communique les informations VLAN entre
commutateurs :
Le nom de domaine de gestion VTP des deux commutateurs doit être défini de la même manière.
L'un des commutateurs doit être configuré en tant que serveur VTP.
Aucun routeur n'est nécessaire et n'est pas une exigence. Maintenant que vous avez compris, nous allons
plongez plus profondément dans le monde du VTP avec les modes VTP et l'élagage VTP.
Serveur Il s'agit du mode par défaut pour tous les commutateurs Catalyst. Vous avez besoin d'au moins un serveur dans votre
domaine VTP pour propager les informations VLAN dans ce domaine. Aussi important : le
le commutateur doit être en mode serveur pour pouvoir créer, ajouter et supprimer des VLAN dans un domaine VTP.
Les informations VLAN doivent être modifiées en mode serveur, et toute modification apportée aux VLAN sur un commutateur
en mode serveur sera annoncé à l'ensemble du domaine VTP. En mode serveur VTP, VLAN
les configurations sont enregistrées dans la NVRAM sur le commutateur.
Page 294
Client En mode client, les commutateurs reçoivent des informations des serveurs VTP, mais ils reçoivent également et
transmettre les mises à jour, donc de cette façon, ils se comportent comme des serveurs VTP. La différence est qu'ils ne peuvent pas
créer, modifier ou supprimer des VLAN. De plus, aucun des ports d'un commutateur client ne peut être ajouté à un nouveau
VLAN avant que le serveur VTP n'informe le commutateur client du nouveau VLAN et que le VLAN existe dans
la base de données VLAN du client. Il est également bon de savoir que les informations VLAN envoyées depuis un serveur VTP
n'est pas stocké dans la NVRAM, ce qui est important car cela signifie que si le commutateur est réinitialisé ou
rechargé, les informations VLAN seront supprimées. Voici un indice : si vous voulez qu'un interrupteur devienne un
serveur, faites-en d'abord un client afin qu'il reçoive toutes les informations VLAN correctes, puis changez-le en un
serveur, c'est tellement plus simple !
Donc, fondamentalement, un commutateur en mode client VTP transmettra les annonces récapitulatives VTP et traitera
eux. Ce commutateur apprendra mais n'enregistrera pas la configuration VTP en cours d'exécution
configuration, et il ne l'enregistrera pas dans la NVRAM. Les commutateurs qui sont en mode client VTP ne
connaître et transmettre les informations VTP, c'est tout !
Voici un scénario pour vous. Bob, administrateur réseau senior chez Acme Corporation à San
Francisco, a environ 25 commutateurs tous connectés ensemble, et il veut configurer des VLAN
pour diviser les domaines de diffusion. Quand pensez-vous qu'il devrait commencer à envisager d'utiliser VTP ?
Si vous avez répondu qu'il aurait dû utiliser VTP au moment où il avait plus d'un commutateur et
plusieurs VLAN, vous avez raison. Si vous n'avez qu'un seul commutateur, alors VTP n'est pas pertinent. Ça aussi
n'est pas un joueur si vous ne configurez pas de VLAN dans votre réseau. Mais si vous avez plusieurs
commutateurs qui utilisent plusieurs VLAN, vous feriez mieux de configurer votre serveur VTP et vos clients, et
tu ferais mieux de le faire correctement!
Lorsque vous ouvrez votre réseau commuté pour la première fois, vérifiez que votre commutateur principal est un VTP
serveur et que tous les autres sont des clients VTP. Lorsque vous créez des VLAN sur le VTP principal
serveur, tous les commutateurs recevront la base de données VLAN.
Si vous avez un réseau commuté existant et que vous souhaitez ajouter un nouveau commutateur, assurez-vous de
configurez-le en tant que client VTP avant de l'installer. Si vous ne le faites pas, c'est possible—d'accord, très
probable—que votre nouvelle petite beauté enverra une nouvelle base de données VTP à tous vos autres
commutateurs, effaçant efficacement tous vos VLAN existants comme une explosion nucléaire. Personne n'a besoin
cette!
Transparent Les commutateurs en mode transparent ne participent pas au domaine VTP ou ne partagent pas
sa base de données VLAN, mais ils transmettront toujours les annonces VTP via n'importe quel
liaisons interurbaines. Ils peuvent créer, modifier et supprimer des VLAN car ils conservent leurs propres
base de données—une qu'ils gardent secrète des autres commutateurs. Bien qu'il soit conservé dans la NVRAM, le
La base de données VLAN en mode transparent n'est en fait significative que localement. Tout le but
du mode transparent est de permettre aux commutateurs distants de recevoir la base de données VLAN d'un VTP
Commutateur configuré par le serveur via un commutateur qui ne participe pas au même VLAN
affectations.
VTP n'apprend que les VLAN à plage normale, avec les ID de VLAN 1 à 1005 ; VLAN avec des identifiants supérieurs
plus de 1005 sont appelés VLAN à portée étendue et ils ne sont pas stockés dans la base de données VLAN. Les
le commutateur doit être en mode transparent VTP lorsque vous créez des ID de VLAN de 1006 à 4094, donc il
serait assez rare que vous utilisiez jamais ces VLAN. Autre chose : les ID de VLAN 1 et 1002 à
1005 sont automatiquement créés sur tous les commutateurs et ne peuvent pas être supprimés.
Élagage VTP
VTP vous offre un moyen de préserver la bande passante en la configurant pour réduire la quantité de
diffusions, multidiffusions et paquets de monodiffusion. C'est ce qu'on appelle l' élagage . Commutateurs activés pour VTP
l'élagage n'envoie des diffusions qu'aux liaisons interurbaines qui doivent réellement disposer des informations.
Page 295
Voici ce que cela signifie : Si le commutateur A n'a aucun port configuré pour le VLAN 5 et un
la diffusion est envoyée à travers le VLAN 5, cette diffusion ne traverserait pas le lien de jonction vers le commutateur
A. Par défaut, l'élagage VTP est désactivé sur tous les commutateurs. Il me semble que ce serait un bon défaut
paramètre. Lorsque vous activez l'élagage sur un serveur VTP, vous l'activez pour l'ensemble du domaine. Par
par défaut, les VLAN 2 à 1001 sont éligibles à l'élagage, mais le VLAN 1 ne peut jamais être élagué car il est
un VLAN administratif. L'élagage VTP est pris en charge avec les versions 1 et 2 de VTP.
En utilisant la commande show interface trunk , nous pouvons voir que tous les VLAN sont autorisés sur un
lien agrégé par défaut :
En regardant la sortie précédente, vous pouvez voir que l'élagage VTP est désactivé par défaut. Je vais
pour aller de l'avant et permettre la taille. Il ne prend qu'une seule commande et il est activé sur l'ensemble de votre
réseau commuté pour les VLAN répertoriés. Voyons ce qui se passe:
S1# config t
S1(config)# int f0/1
Trunk S1(config-if)# switchport ?
autorise Définir les caractéristiques VLAN autorisées lorsque l'interface est
en mode agrégation
natif Définir les caractéristiques natives de la jonction lorsque l'interface
est en mode agrégation
élagage Définir les caractéristiques d'élagage du VLAN lorsque l'interface est
en mode agrégation
Élagage du tronc S1(config-if)# switchport ?
vlan Définir les VLAN activés pour l'élagage lorsque l'interface est en
mode de jonction
S1(config-if)# switchport élagage de jonction vlan 3-4
Les VLAN valides qui peuvent être élagués sont de 2 à 1001. VLAN à plage étendue (ID de VLAN 1006 à
4094) ne peuvent pas être élagués, et ces VLAN non éligibles à l'élagage peuvent recevoir un flot de trafic.
Configuration de VTP
Tous les commutateurs Cisco sont configurés pour être des serveurs VTP par défaut. Pour configurer VTP, vous devez d'abord
pour configurer le nom de domaine que vous souhaitez utiliser. Et bien sûr, une fois le VTP configuré
informations sur un commutateur, vous devez le vérifier.
Lorsque vous créez le domaine VTP, vous disposez de quelques options, notamment la définition de la version VTP,
nom de domaine, mot de passe, mode de fonctionnement et capacités d'élagage du commutateur. Utiliser le vtp
commande de mode de configuration globale pour définir toutes ces informations. Dans l'exemple suivant, je vais définir
le commutateur S1 vers le serveur vtp , le domaine VTP vers Lammle et le mot de passe VTP vers todd :
S1# config t
S1#(config)# serveur en mode vtp
Mode périphérique déjà VTP SERVER.
S1(config)# domaine vtp Lammle
Modification du nom de domaine VTP de null à Lammle
S1(config)# mot de passe vtp todd
Définition du mot de passe de la base de données VLAN de l'appareil sur todd
S1(config)# affiche le mot de passe vtp
Mot de passe VTP : todd
Page 296
Assurez-vous de vous rappeler que tous les commutateurs sont réglés sur le mode serveur VTP par défaut, et si
vous souhaitez modifier et distribuer n'importe quelle information VLAN sur un switch, vous devez absolument être en
Mode serveur VTP. Après avoir configuré les informations VTP, vous pouvez les vérifier avec le show vtp
commande d' état comme indiqué dans la sortie précédente.
La sortie de commutateur précédente affiche la version VTP, la révision de la configuration, le nombre maximal de VLAN
pris en charge localement, nombre de VLAN existants, mode de fonctionnement VTP, domaine VTP, le VTP
domaine et le mot de passe VTP répertorié comme un résumé MD5. Vous pouvez utiliser show vtp password en privilégié
mode pour voir le mot de passe.
Dépannage de VTP
Vous connectez vos interrupteurs avec des câbles croisés, les voyants passent au vert aux deux extrémités, et vous êtes prêt
et courir ! Ouais, dans un monde parfait, non ? Ne souhaites-tu pas que ce soit aussi facile? Eh bien, en fait, il
à peu près, sans VLAN, bien sûr. Mais si vous utilisez des VLAN—et vous devriez certainement
be—alors vous devez utiliser VTP si vous avez plusieurs VLAN configurés dans votre réseau commuté.
Mais ici il y a des monstres : si VTP n'est pas configuré correctement, il (surprise !) ne fonctionnera pas, donc
vous devez absolument être capable de dépanner VTP. Jetons un coup d'œil à quelques
configurations et résoudre les problèmes. Étudiez la sortie des deux commutateurs suivants :
Alors que se passe-t-il avec ces deux commutateurs ? Pourquoi ne partagent-ils pas les informations VLAN ? En premier
coup d'oeil, il semble que les deux serveurs soient en mode serveur VTP, mais ce n'est pas le problème. Serveurs dans
Le mode serveur VTP partagera les informations VLAN à l'aide de VTP. Le problème c'est qu'ils sont en deux
différents domaines VTP . SwitchA est dans le domaine VTP Lammle et SwitchB est dans le domaine VTP
GlobalNet. Ils ne partageront jamais les informations VTP car les noms de domaine VTP sont
configuré différemment.
Maintenant que vous savez comment rechercher les erreurs de configuration de domaine VTP courantes dans vos commutateurs,
examinons une autre configuration de commutateur :
Page 297
SwitchC(config)# vlan 50
La configuration VTP VLAN n'est pas autorisée lorsque l'appareil est en mode CLIENT.
Là, vous essayez simplement de créer un nouveau VLAN sur SwitchC et qu'obtenez-vous pour votre
difficulté? Une erreur abominable ! Pourquoi ne pouvez-vous pas créer un VLAN sur SwitchC ? Eh bien, le domaine VTP
le nom n'est pas la chose importante dans cet exemple. Ce qui est critique ici, c'est le mode VTP . Le VTP
le mode est client, et un client VTP ne peut pas créer, supprimer ou modifier des VLAN, vous vous souvenez ? Clients VTP
ne conservez que la base de données VTP dans la RAM, et celle-ci n'est pas enregistrée dans la NVRAM. Ainsi, pour créer un
VLAN sur ce commutateur, vous devez d'abord faire du commutateur un serveur VTP.
Attendez, nous n'avons pas fini. Maintenant, regardez la sortie de ces deux commutateurs et déterminez pourquoi
SwitchB ne reçoit pas d'informations VLAN de SwitchA :
Vous pourriez être tenté de dire que c'est parce qu'ils sont tous les deux des serveurs VTP, mais ce n'est pas le problème. Tous
vos commutateurs peuvent être des serveurs et ils peuvent toujours partager des informations VLAN. En réalité,
Cisco suggère en fait que tous les commutateurs restent des serveurs VTP et que vous vous assurez simplement que le commutateur
vous souhaitez annoncer que les informations VTP VLAN ont le numéro de révision le plus élevé. Si tous les commutateurs sont
serveurs VTP, alors tous les commutateurs enregistreront la base de données VLAN. Mais SwitchB ne reçoit pas
Informations VLAN de SwitchA car SwitchB a un numéro de révision plus élevé que SwitchA.
Il est très important que vous puissiez reconnaître ce problème.
Il existe plusieurs manières de résoudre ce problème. La première chose que vous pouvez faire est de changer
le nom de domaine VTP sur SwitchB en un autre nom, puis redéfinissez-le sur GlobalNet, ce qui
remettre le numéro de révision à zéro (0) sur SwitchB. La deuxième approche consisterait à créer ou
supprimez les VLAN sur SwitchA jusqu'à ce que le numéro de révision dépasse le numéro de révision sur SwitchB. je
n'a pas dit que la deuxième voie était meilleure ; Je viens de dire que c'est une autre façon de résoudre le problème !
Regardons-en un de plus. Pourquoi SwitchB ne reçoit-il pas les informations VLAN de SwitchA ?
Page 298
Je sais que votre premier réflexe est de remarquer que SwitchB n'a pas de nom de domaine défini et de considérer
que la question. Ce n'est pas le problème ! Lorsqu'un commutateur se déclenche, un serveur VTP avec un domaine
name set enverra des publicités VTP, et un nouveau commutateur prêt à l'emploi se configurera en utilisant
l'annonce avec le nom de domaine reçu et télécharger également la base de données VLAN.
Le problème avec les commutateurs ci-dessus est qu'ils sont définis sur différentes versions de VTP, mais cela reste
n'est pas le problème complet.
Par défaut, VTP fonctionne en version 1. Vous pouvez configurer VTP version 2 si vous souhaitez prendre en charge
ces fonctionnalités, qui ne sont pas supportées dans la version 1 :
Prise en charge de Token Ring—Hmmm… cela ne semble pas être une raison pour passer à la version 2 aujourd'hui.
Regardons quelques autres raisons.
Prise en charge non reconnue de type-longueur-valeur (TLV) : un serveur ou un client VTP se propage
les changements de configuration à ses autres troncs, même pour les TLV, il n'est pas capable d'analyser. Les
TLV non reconnu est enregistré dans la NVRAM lorsque le commutateur fonctionne en mode serveur VTP.
Mode transparent dépendant de la version : dans la version 1 de VTP, un commutateur transparent VTP inspecte
messages VTP pour le nom de domaine et la version et ne transmet un message que si la version
et la correspondance du nom de domaine. Étant donné que VTP version 2 ne prend en charge qu'un seul domaine, il transfère VTP
messages en mode transparent sans inspecter la version et le nom de domaine.
Contrôles de cohérence : dans VTP version 2, les contrôles de cohérence VLAN (tels que la vérification du
cohérence des noms et valeurs de VLAN) ne sont effectués que lorsque vous entrez de nouvelles informations
via la CLI ou SNMP. Les contrôles de cohérence ne sont pas effectués lorsque de nouvelles informations sont
obtenu à partir d'un message VTP ou lorsque des informations sont lues à partir de la NVRAM. Si le condensé MD5
sur un message VTP reçu est correcte, ses informations sont acceptées.
Attendre! Rien n'est si facile. Réglez simplement SwitchA sur la version 2 et nous sommes opérationnels ? Nan! Les
La chose intéressante à propos de VTP version 2 est que si vous définissez un commutateur dans votre réseau (domaine VTP)
à la version 2, tous les commutateurs définiraient leur version sur 2 automatiquement—très cool ! Alors qu'est-ce que
le problème? SwitchA ne prend pas en charge VTP version 2, qui est la réponse réelle à cette question.
Fou! Je pense que vous pouvez voir que VTP vous poussera à boire si vous ne faites pas attention !
D'accord, prenez un café, un expresso ou Mountain Dew et accrochez-vous à vos chapeaux, c'est le temps des arbres !
Le protocole Spanning Tree est un excellent protocole à utiliser dans des réseaux comme celui illustré à la figure
15.2 .
Page 299
Il s'agit d'un réseau commuté avec une topologie redondante qui inclut des boucles de commutation. Sans
un certain type de mécanisme de couche 2 en place pour empêcher une boucle de réseau, ce réseau est vulnérable à
problèmes désagréables comme les tempêtes de diffusion, les copies de trames multiples et le thrashing de la table MAC ! Graphique 15.3
montre comment ce réseau fonctionnerait avec STP travaillant sur les commutateurs.
Il existe quelques types de protocoles spanning-tree, mais je vais commencer par la version IEEE 802.1d, qui
se trouve être la valeur par défaut sur tous les commutateurs Cisco IOS.
Page 300
Pont racine Le pont racine est le pont avec l'ID de pont le plus bas et, par conséquent, le meilleur.
Les commutateurs au sein du réseau STP élisent un pont racine, qui devient le point focal dans le
réseau. Toutes les autres décisions du réseau, telles que les ports sur les ponts non racine qui doivent être
bloqués ou mis en mode transfert, se font du point de vue du pont racine, et une fois celui-ci
a été élu, tous les autres ponts doivent créer un chemin unique vers celui-ci. Le port avec le meilleur chemin pour
le pont racine est appelé le port racine.
Ponts non racine Il s'agit de tous les ponts qui ne sont pas le pont racine. Échange de ponts non racine
BPDU avec tous les autres ponts et mettez à jour la base de données de topologie STP sur tous les commutateurs. Cette
empêche les boucles et aide à se défendre contre les défaillances de liaison.
BPDU Tous les commutateurs échangent des informations à utiliser pour la configuration ultérieure du réseau.
Chaque commutateur compare les paramètres de la Bridge Protocol Data Unit (BPDU) qu'il envoie à un
voisin avec les paramètres de la BPDU qu'il reçoit des autres voisins. À l'intérieur de
BPDU est l'ID du pont.
ID de pont L' ID de pont est la façon dont STP assure le suivi de tous les commutateurs du réseau. Son
déterminé par une combinaison de la priorité de pont, qui est de 32 768 par défaut sur tous les
commutateurs et l'adresse MAC de base. Le pont avec l'ID de pont le plus bas devient la racine
pont dans le réseau. Une fois le pont racine établi, tous les autres commutateurs doivent effectuer un seul
chemin vers elle. La plupart des réseaux bénéficient en forçant un pont ou un commutateur spécifique à être sur le pont racine en
en définissant sa priorité de pont inférieure à la valeur par défaut.
Coût du port Le coût du port détermine le meilleur chemin lorsque plusieurs liens sont utilisés entre deux commutateurs.
Le coût d'un lien est déterminé par la bande passante d'un lien, et ce coût de chemin est la décision
facteur utilisé par chaque pont pour trouver le chemin le plus efficace vers le pont racine.
Coût du chemin Un commutateur peut rencontrer un ou plusieurs commutateurs sur son chemin vers le pont racine, et là
peut être plus d'un chemin possible. Tous les chemins uniques sont analysés individuellement et un coût de chemin est
calculé pour chaque chemin unique en ajoutant les coûts de port individuels rencontrés sur le chemin de
le pont racine.
STP utilise des rôles pour déterminer comment un port sur un commutateur agira dans l'algorithme spanning-tree.
Port racine Le port racine est le lien avec le coût de chemin le plus bas vers le pont racine. Si plus d'un
lien se connecte au pont racine, puis un coût de port est trouvé en vérifiant la bande passante de chaque lien.
Le port le moins cher devient le port racine. Lorsque plusieurs liens se connectent au même appareil, le
Le port connecté au numéro de port le plus bas sur le commutateur en amont sera celui qui est utilisé. Les
le pont racine ne peut jamais avoir de désignation de port racine, alors que tous les autres commutateurs d'un réseau doivent
avoir un et un seul port racine.
Port désigné Un port désigné est celui qui a été déterminé pour avoir le meilleur coût (le plus bas)
pour accéder à un segment de réseau donné, par rapport aux autres ports de ce segment. Un désigné
port sera marqué comme un port de transfert, et vous ne pouvez avoir qu'un seul port de transfert par réseau
segment.
Port non désigné Un port non désigné est un port dont le coût est plus élevé que le port désigné.
Ce sont essentiellement ceux qui restent après que les ports racine et les ports désignés ont été
déterminé. Les ports non désignés sont mis en mode de blocage ou de rejet - ils ne sont pas
ports de transfert !
Port de transfert Un port de transfert transfère les trames et sera soit un port racine, soit un
port désigné.
Port bloqué Un port bloqué ne transmettra pas de trames afin d'éviter les boucles. Un port bloqué
écoutera toujours les trames BPDU des commutateurs voisins, mais il supprimera toutes les autres
trames reçues et ne transmettra jamais une trame.
Port alternatif Ceci correspond à l'état de blocage de 802.1d et est un terme utilisé avec le
Page 301
plus récent 802.1w (Rapid Spanning Tree Protocol). Un port alternatif est situé sur un commutateur
connecté à un segment LAN avec deux ou plusieurs commutateurs connectés, et l'un des autres commutateurs
détient le port désigné.
Port de sauvegarde Cela correspond à l'état de blocage de 802.1d et est un terme maintenant utilisé avec le
plus récent 802.1w. Un port de secours est connecté à un segment LAN où un autre port de ce commutateur est
agissant en tant que port désigné.
D'accord, donc vous branchez votre hôte sur un port de commutateur et la lumière devient orange et votre hôte ne reçoit pas
une adresse DHCP du serveur. Vous attendez et attendez et finalement le feu passe au vert après presque un
minute complète, c'est une éternité dans les réseaux d'aujourd'hui ! Il s'agit de la transition STA à travers le
différents états de port vérifiant que vous n'avez pas simplement créé une boucle avec le périphérique que vous venez de brancher
in. STP préférerait expirer votre nouvel hôte plutôt que d'autoriser une boucle dans le réseau car cela
mettrait effectivement votre réseau à genoux. Parlons des états de transition ; puis plus tard
dans ce chapitre, nous verrons comment accélérer ce processus.
Les ports d'un pont ou d'un commutateur exécutant IEEE 802.1d STP peuvent passer par cinq
États:
Désactivé (techniquement, pas un état de transition) Un port dans l'état désactivé administrativement
ne participe pas au transfert de trame ou au STP. Un port à l'état désactivé est virtuellement
non opérationnelle.
Blocage Comme je l'ai mentionné, un port bloqué ne transmettra pas de trames ; il n'écoute que les BPDU. Les
Le but de l'état de blocage est d'empêcher l'utilisation de chemins en boucle. Tous les ports sont en état de blocage
par défaut à la mise sous tension du switch.
Écoute Ce port écoute les BPDU pour s'assurer qu'aucune boucle ne se produit sur le réseau avant
passer des trames de données. Un port en état d'écoute se prépare à transmettre des trames de données sans se remplir
la table d'adresses MAC.
Apprentissage Le port du commutateur écoute les BPDU et apprend tous les chemins du réseau commuté. UNE
le port en état d'apprentissage remplit la table d'adresses MAC mais ne transmet toujours pas les trames de données.
Le délai de transfert fait référence au temps nécessaire pour faire passer un port du mode d'écoute au mode d'apprentissage, ou
du mode d'apprentissage au mode de transfert, qui est défini sur 15 secondes par défaut et peut être vu dans le
afficher la sortie spanning-tree .
Transfert Ce port envoie et reçoit toutes les trames de données sur le port ponté. Si le port est toujours un
port désigné ou racine à la fin de l'état d'apprentissage, il entrera dans l'état de transfert.
Les commutateurs remplissent la table d'adresses MAC dans les modes d'apprentissage et de transfert uniquement.
Les ports de commutation sont le plus souvent en état de blocage ou de transfert. Un port de transfert est
généralement celui qui a été déterminé comme ayant le coût le plus bas (le meilleur) pour le pont racine. Mais
quand et si le réseau subit un changement de topologie en raison d'un lien défaillant ou parce que quelqu'un
a ajouté un nouveau commutateur, vous verrez les ports d'un commutateur passer par l'écoute et
états d'apprentissage.
Comme je l'ai dit plus tôt, le blocage des ports est une stratégie pour empêcher les boucles réseau. Une fois un interrupteur
détermine le meilleur chemin vers le pont racine pour son port racine et tous les ports désignés, tous les autres
les ports redondants seront en mode bloquant. Les ports bloqués peuvent toujours recevoir des BPDU - ils ne le font tout simplement pas
envoyer des cadres.
Si un commutateur détermine qu'un port bloqué doit devenir le port désigné ou racine en raison de
un changement de topologie, il passera en mode d'écoute et vérifiera tous les BPDU qu'il reçoit pour s'assurer qu'il
ne créera pas de boucle une fois que le port passe en mode de transfert.
Page 302
Convergence
La convergence se produit lorsque tous les ports sur les ponts et les commutateurs sont passés à
modes de renvoi ou de blocage. Aucune donnée ne sera transmise tant que la convergence n'est pas terminée. Oui-
vous avez bien lu : lorsque STP converge, toutes les données de l'hôte arrêtent de transmettre via le
commutateurs ! Alors si vous voulez rester en bons termes avec les utilisateurs de votre réseau, ou rester
employé pendant un certain temps, vous devez vous assurer que votre réseau commuté est physiquement
très bien conçu pour que STP puisse converger rapidement !
La convergence est vitale car elle garantit que tous les appareils disposent d'une base de données cohérente. Et faire
s'assurer que cela se passe efficacement nécessitera certainement votre temps et votre attention. Le STP d'origine
(802.1d) prend 50 secondes pour passer du mode blocage au mode de transfert par défaut et je ne
recommande de changer les minuteurs STP par défaut. Vous pouvez régler ces minuteurs pour un grand réseau,
mais la meilleure solution est simplement de ne plus utiliser 802.1d ! Nous allons arriver aux différents STP
versions en une minute.
Coûts de liaison
Maintenant que vous connaissez les différents rôles et états des ports, vous devez vraiment comprendre tout
sur le coût du chemin avant de mettre tout cela ensemble. Le coût du port est basé sur la vitesse de la liaison, et
Le tableau 15.1 détaille pour vous les coûts du chemin nécessaire. Le coût du port est le coût d'un seul lien,
tandis que le coût du chemin est la somme des différents coûts de port vers le pont racine.
La vitesse Coût
10 Mo/s 100
100 Mo/s 19
1000 Mo/s 4
10 000 Mo/s 2
Ces coûts seront utilisés dans les calculs STP pour choisir un seul port racine sur chaque pont. Tu
absolument besoin de mémoriser ce tableau, mais ne vous inquiétez pas, je vais vous guider à travers de nombreux exemples dans
ce chapitre pour vous aider à le faire assez facilement ! Maintenant il est temps de prendre tout ce que nous avons appris jusqu'à présent
et assembler le tout.
Fondamentalement, le travail de STP est de trouver tous les liens du réseau et de fermer tous les liens redondants,
empêchant ainsi les boucles de réseau de se produire. Il y parvient en élisant d'abord un pont racine
qui aura tous les ports de redirection et servira également de point de référence pour tous les autres appareils
dans le domaine STP. Dans la Figure 15.4 , S1 a été élu pont racine en fonction de l'ID de pont.
Étant donné que les priorités sont toutes égales à 32 768, nous comparerons les adresses MAC et constaterons que le MAC
l'adresse de S1 est inférieure à celle de S2 et S3, ce qui signifie que S1 a un meilleur ID de pont.
Une fois que tous les commutateurs sont d'accord sur le pont racine, ils doivent alors déterminer leur seul et unique port racine
: le chemin unique vers le pont racine. Il est vraiment important de se rappeler qu'un pont peut aller
à travers de nombreux autres ponts pour arriver à la racine, ce n'est donc pas toujours le chemin le plus court qui sera
choisi. Ce rôle sera attribué au port qui offre la bande passante la plus rapide et la plus élevée.
La figure 15.5 montre les ports racine pour les deux ponts non racine (le RP signifie un port racine et le F
signifie un port de transfert désigné).
En regardant le coût de chaque lien, il est clair pourquoi S2 et S3 utilisent leurs liens directement connectés,
car un lien gigabit a un coût de 4. Par exemple, si S3 a choisi le chemin via S2 comme racine
port, nous devrions additionner chaque coût de port en cours de route jusqu'à la racine, ce qui serait 4 + 4 pour un
Page 304
coût total de 8.
Chaque port sur le pont racine est un port désigné, ou de transfert, pour un segment, et après le
la poussière se dépose sur tous les autres ponts non racine, toute connexion de port entre les commutateurs qui n'est pas non plus un
le port racine ou un port désigné deviendra de manière prévisible un port non désigné. Ceux-ci seront à nouveau
mis dans l'état de blocage pour éviter les boucles de commutation.
D'accord, à ce stade, nous avons notre pont racine avec tous les ports en état de transfert et nous avons trouvé
nos ports racine pour chaque pont non racine. Maintenant, il ne reste plus qu'à choisir celui
port de transfert sur le segment entre S2 et S3. Les deux ponts ne peuvent pas être transférés sur un
segment parce que c'est exactement comme ça que nous nous retrouverions avec des boucles. Ainsi, en fonction de l'ID du pont, le
le port avec le meilleur et le plus bas deviendrait le seul transfert de pont sur ce segment, avec le
l'un ayant l'ID de pont le plus élevé et le pire mis en mode de blocage. La figure 15.6 montre le réseau
après que STP a convergé.
Étant donné que S3 avait un ID de pont inférieur (mieux), le port de S2 est passé en mode bloquant. Parlons de la racine
pont plus complètement le processus électoral maintenant.
L'ID de pont est utilisé pour élire le pont racine dans le domaine STP et pour déterminer le port racine
pour chacun des appareils restants lorsqu'il y a plus d'un port racine potentiel disponible
parce qu'ils ont des chemins à coût égal. Cet ID de pont de clé a une longueur de 8 octets et comprend à la fois le
priorité et l'adresse MAC de l'appareil, comme illustré à la Figure 15.7 . N'oubliez pas : la valeur par défaut
la priorité sur tous les appareils exécutant la version IEEE STP est de 32 768.
Page 305
Ainsi, pour déterminer le pont racine, vous combinez la priorité de chaque pont avec son adresse MAC.
Si deux commutateurs ou ponts ont la même valeur de priorité, l'adresse MAC devient la
bris d'égalité pour déterminer lequel a l'ID le plus bas et, par conséquent, le meilleur. Cela signifie que
étant donné que les deux commutateurs de la figure 15.7 utilisent tous les deux la priorité par défaut de 32 768, le MAC
l'adresse sera plutôt le facteur déterminant. Et parce que l'adresse MAC du commutateur A est
0000.0cab.3274 et l'adresse MAC du commutateur B est 0000.0cf6.9370, le commutateur A gagne et
devenir le pont racine. Un moyen très simple de déterminer l'adresse MAC la plus basse consiste à commencer
lecture de la gauche vers la droite jusqu'à ce que vous trouviez une valeur moindre. Pour le commutateur A, j'avais seulement besoin de
arriver à 0000.0ca avant de s'arrêter. Le commutateur A gagne puisque le commutateur B est 0000.0cf. N'oubliez jamais que le
une valeur inférieure est toujours la meilleure lorsqu'il s'agit d'élire un pont racine !
Je tiens à préciser qu'avant l'élection du pont racine, les BPDU sont envoyés toutes les 2 secondes
tous les ports actifs sur un pont/commutateur par défaut, et ils sont reçus et traités par tous
des ponts. Le pont racine est élu sur la base de ces informations. Vous pouvez modifier l'ID du pont en
en abaissant sa priorité pour qu'il devienne automatiquement un pont racine. Être capable de faire ça, c'est
important dans un grand réseau commuté, car il garantit que les meilleurs chemins seront réellement les
ceux choisis. L'efficacité est toujours impressionnante dans le réseautage!
IEEE 802.1d La norme d'origine pour le pontage et le STP, qui est vraiment lente mais nécessite très
peu de ressources de pont. Il est également appelé Common Spanning Tree (CST).
PVST+ (version par défaut de Cisco) Per-VLAN Spanning Tree+ (PVST+) est la propriété de Cisco
amélioration pour STP qui fournit une instance de spanning-tree 802.1d distincte pour chaque VLAN.
Sachez que c'est aussi lent que le protocole CST, mais avec lui, nous arrivons à avoir plusieurs root
des ponts. Cela crée plus d'efficacité des liens dans le réseau, mais il utilise plus de pont
ressources que CST.
IEEE 802.1w Aussi appelé Rapid Spanning Tree Protocol (RSTP), cette itération a amélioré le
l'échange de BPDU et a ouvert la voie à une convergence de réseau beaucoup plus rapide, mais il ne permet toujours que
pour un pont racine par réseau comme CST. Les ressources de pont utilisées avec RSTP sont supérieures à
CST mais moins que PVST+.
802.1s (MSTP) Norme IEEE qui a commencé comme propriété de Cisco MISTP. Cartes multiples
VLAN dans la même instance de spanning-tree pour économiser le traitement sur le commutateur. C'est fondamentalement un
protocole spanning-tree qui chevauche un autre protocole spanning-tree.
Rapid PVST+ La version Cisco de RSTP qui utilise également PVST+ et fournit une instance distincte
de 802.1w par VLAN. Cela nous donne des temps de convergence très rapides et un flux de trafic optimal, mais
nécessite de manière prévisible le plus de CPU et de mémoire de tous.
La figure 15.8 montre à quoi ressemblerait un pont racine typique sur votre réseau commuté lors de l'exécution
CST.
Page 306
Notez que le commutateur A est le pont racine pour tous les VLAN même si ce n'est vraiment pas le meilleur chemin pour
certains VLAN car tous les commutateurs doivent y créer un seul chemin ! C'est là que Per-VLAN
Spanning Tree+ (PVST+) entre en jeu. Parce qu'il permet une instance distincte de STP pour
chaque VLAN, il libère la sélection individuelle du chemin le plus optimal.
La création d'une instance STP par VLAN pour chaque VLAN vaut l'augmentation du processeur et de la mémoire
exigences, car il permet des ponts racine par VLAN. Cette fonctionnalité permet à l'arborescence STP de
être optimisé pour le trafic de chaque VLAN en vous permettant de configurer le pont racine dans le
centre de chacun d'eux. La figure 15.9 montre à quoi ressemblerait PVST+ dans un commutateur optimisé
réseau avec plusieurs liens redondants.
Ce placement de pont racine permet clairement une convergence plus rapide ainsi qu'un chemin optimal
détermination. La convergence de cette version est vraiment similaire à celle de 802.1 CST, qui a un
instance de STP, quel que soit le nombre de VLAN que vous avez configurés sur votre réseau. Les
la différence est qu'avec PVST+, la convergence se produit sur une base par VLAN, avec chaque VLAN
exécutant sa propre instance de STP. La figure 15.9 nous montre que nous avons maintenant une belle racine efficace
sélection de pont pour chaque VLAN.
Page 307
Pour permettre au PVST+ de fonctionner, il y a un champ inséré dans le BPDU pour accueillir le
ID système étendu afin que PVST+ puisse avoir un pont racine configuré sur une instance par-STP,
illustré à la figure 15.10 . L'ID du pont devient en fait plus petit (seulement 4 bits), ce qui signifie que
nous configurerions la priorité du pont par blocs de 4 096 plutôt que par incréments de 1 comme nous l'avons fait
avec CST. L'ID système étendu (ID VLAN) est un champ de 12 bits, et nous pouvons même voir ce que ce champ
est transporté via la sortie de la commande show spanning-tree , que je vous montrerai bientôt.
Mais n'y a-t-il pas un moyen de faire mieux qu'un temps de convergence de 50 secondes ? C'est vraiment un
longtemps dans le monde d'aujourd'hui !
Ne serait-il pas merveilleux d'avoir une solide configuration STP en cours d'exécution sur votre réseau commuté,
quel que soit le type de commutateur, et toutes les fonctionnalités dont nous venons de parler sont toujours intégrées et activées
chacun de vos interrupteurs aussi ? Le protocole Rapid Spanning Tree (RSTP) sert exactement cela
capacité incroyable jusqu'à notre table de réseautage !
Cisco a créé des extensions propriétaires pour « réparer » tous les gouffres et les passifs de l'IEEE 802.1d
standard nous a été lancé, le principal inconvénient étant qu'ils nécessitent une configuration supplémentaire
car ils sont la propriété de Cisco. Mais RSTP, la nouvelle norme 802.1w, nous apporte la plupart des
correctifs nécessaires dans une solution concise. Encore une fois, l'efficacité est d'or !
RSTP, ou IEEE 802.1w, est essentiellement une évolution de STP qui permet une
convergence. Mais même s'il résout tous les problèmes de convergence, il ne permet toujours qu'un
instance STP unique, donc cela n'aide pas à éliminer les problèmes de flux de trafic sous-optimaux. Et comme je
mentionné, pour prendre en charge cette convergence plus rapide, l'utilisation du processeur et les demandes de mémoire sont légèrement
supérieur à celui de CST. La bonne nouvelle est que Cisco IOS peut exécuter le protocole Rapid PVST+, un
amélioration de RSTP qui fournit une instance de spanning-tree 802.1w distincte pour chaque VLAN
configuré au sein du réseau. Mais toute cette puissance a besoin de carburant, et bien que cette version traite
problèmes de convergence et de flux de trafic, il exige également le plus de CPU et de mémoire de tous
solutions. Et c'est aussi une bonne nouvelle que les derniers commutateurs de Cisco n'ont pas de problème avec cela
protocole s'exécutant sur eux.
Gardez à l'esprit que la documentation Cisco peut indiquer STP 802.1d et RSTP 802.1w,
Comprenez que RSTP n'était pas censé être quelque chose de complètement nouveau et différent. Le protocole
est plus une évolution qu'une innovation de la norme 802.1d, qui offre des
convergence chaque fois qu'un changement de topologie se produit. La rétrocompatibilité était un must quand
802.1w a été créé.
Ainsi, RSTP aide à résoudre les problèmes de convergence qui étaient le fléau du STP traditionnel. PVST+ rapide est
Page 308
basé sur la norme 802.1w de la même manière que PVST+ est basé sur 802.1d. L'opération de
Rapid PVST+ est simplement une instance distincte de 802.1w pour chaque VLAN. Voici une liste pour clarifier comment
tout s'effondre :
Il s'agit d'une norme IEEE qui redéfinit les rôles, les états et les BPDU des ports STP.
RSTP est extrêmement proactif et très rapide, il n'a donc pas besoin des temporisateurs 802.1d.
RSTP (802.1w) remplace 802.1d tout en restant rétrocompatible.
Une grande partie de la terminologie 802.1d et la plupart des paramètres restent inchangés.
802.1w est capable de revenir à 802.1d pour interagir avec les commutateurs traditionnels sur un
base portuaire.
Et pour dissiper la confusion, il y a aussi cinq ajustements terminologiques entre les cinq
états des ports et 802.1w, comparés ici, respectivement :
Désactivée = Jeter
Blocage = Jeter
Écoute = Jeter
Apprentissage = Apprentissage
Expéditeur = Renvoi
La tâche de déterminer le pont racine, les ports racine et les ports désignés n'a pas changé depuis
802.1d à RSTP, et comprendre le coût de chaque lien est toujours essentiel pour prendre ces décisions
bien. Jetons un coup d'œil à un exemple de la façon de déterminer les ports en utilisant le coût IEEE révisé
spécifications de la figure 15.11 .
Pouvez-vous déterminer quel est le pont racine ? Que diriez-vous de quel port est la racine et lesquels sont
Page 309
désigné ? Eh bien, parce que SC a l'adresse MAC la plus basse, il devient le pont racine, et depuis
tous les ports d'un pont racine transfèrent des ports désignés, eh bien, c'est facile, n'est-ce pas ? Ports Gi0/1
et Gi0/10 deviennent des ports de transfert désignés sur SC.
Mais lequel serait le port racine pour SA ? Pour comprendre cela, nous devons d'abord trouver le coût du port
pour le lien direct entre SA et SC. Même si le pont racine (SC) a un Gigabit Ethernet
port, il fonctionne à 100 Mbps car le port de SA est un port de 100 Mbps, ce qui lui donne un coût de 19. Si le
les chemins entre SA et SC étaient tous deux Gigabit Ethernet, leurs coûts ne seraient que de 4, mais parce que
ils utilisent à la place des liaisons de 100 Mbps, le coût grimpe à 19 !
Pouvez-vous trouver le port racine de SD ? Un rapide coup d'œil sur le lien entre SC et SD nous dit que c'est un Gigabit
Lien Ethernet avec un coût de 4, donc le port racine pour SD serait son port Gi0/9.
Le coût de la liaison entre SB et SD est également de 19 car c'est aussi une liaison Fast Ethernet, apportant
le coût total de SB à SD à la racine (SC) pour un coût total de 19 + 4 = 23. Si SB devait passer par
SA pour se rendre à SC, alors le coût serait de 19 + 19, ou 38, donc le port racine de SB devient le Fa0/3
Port.
Le port racine pour SA serait le port Fa0/0 car il s'agit d'un lien direct avec un coût de 19.
via SB à SD serait 19 + 19 + 4 = 42, nous allons donc l'utiliser comme lien de sauvegarde pour SA pour accéder au
root juste au cas où nous en aurions besoin.
Maintenant, tout ce dont nous avons besoin est un port de transfert sur le lien entre SA et SB. Parce que SA a le plus bas
ID de pont, Fa0/1 sur SA remporte ce rôle. De plus, le port Gi0/1 sur SD deviendrait un
port de transfert. En effet, le port SB Fa0/3 est un port racine conçu et vous devez disposer d'un
transfert de port sur un segment de réseau ! Cela nous laisse avec le port Fa0/2 sur SB. Comme ce n'est pas un
port racine ou port de transfert désigné, il sera placé en mode de blocage, ce qui empêchera
regarde dans notre réseau.
Jetons un coup d'œil à cet exemple de réseau lorsqu'il a convergé dans la Figure 15.12 .
FIGURE 15.12 Exemple RSTP 1 réponse
Si ce n'est pas clair et semble toujours déroutant, n'oubliez pas de toujours aborder ce processus en suivant
ces trois étapes :
2. Déterminez vos ports racine en recherchant le coût de chemin le plus bas vers le pont racine.
Page 310
Comme d'habitude, la meilleure façon de comprendre cela est de s'entraîner, alors explorons un autre scénario, illustré
dans la figure 15.13 .
Alors, quel pont est notre pont racine ? La vérification des priorités nous indique d'abord que SC est le pont racine,
ce qui signifie que tous les ports sur SC sont des ports de transfert désignés. Maintenant, nous devons trouver nos ports racine.
Nous pouvons rapidement voir que SA a un port de 10 gigabits vers SC, ce qui correspondrait donc à un coût de port de 2, et il
serait notre port racine. SD a un port Ethernet Gigabit direct vers SC, ce serait donc le port racine
pour SD avec un coût de port de 4. Le meilleur chemin de SB serait également le port Ethernet Gigabit direct vers SC
avec un coût de port de 4.
Maintenant que nous avons déterminé notre pont racine et trouvé les trois ports racine dont nous avons besoin, nous devons
trouver nos ports désignés ensuite. Tout ce qui reste entre simplement dans le rôle de rejet. Faisons
jetez un œil à la figure 15.14 et voyez ce que nous avons.
Page 311
D'accord, il semble qu'il y ait deux liens entre lesquels choisir pour trouver un port désigné par
segment. Commençons par le lien entre SA et SD. Lequel a le meilleur ID de pont ? Ils sont
les deux exécutant la même priorité par défaut, donc en regardant l'adresse MAC, nous pouvons voir que SD a
le meilleur ID de pont (inférieur), de sorte que le port SA vers SD entrera dans un rôle de rejet, ou le fera-t-il ?
Le port SD passera en mode de suppression, car le lien de SA à la racine a le plus bas
coûts de chemin accumulés vers le pont racine, et qui est utilisé avant l'ID de pont dans ce
circonstance. Il est logique de laisser le pont avec le chemin le plus rapide vers le pont racine être un
port de transfert désigné. Parlons-en un peu plus en profondeur.
Comme vous le savez, une fois votre pont racine et vos ports racine choisis, il ne vous reste plus qu'à trouver
vos ports désignés. Tout ce qui reste entre dans un rôle de rejet. Mais comment sont désignés
ports choisis ? Est-ce juste un identifiant de pont ? Voici les règles :
1. Pour choisir le switch qui va transmettre sur le segment, on sélectionne le switch avec le plus bas
coût de chemin accumulé jusqu'au pont racine. Nous voulons le chemin rapide vers le pont racine.
2. S'il y a une égalité sur le coût de chemin accumulé des deux commutateurs au pont racine, alors nous allons
utiliser l'ID de pont, ce que nous avons utilisé dans notre exemple précédent (mais pas avec ce dernier RSTP
Exemple; pas avec une liaison Ethernet 10 Gigabits vers le pont racine disponible !).
3. Les priorités de port peuvent être définies manuellement si nous voulons qu'un port spécifique soit choisi. La priorité par défaut est
32, mais nous pouvons le réduire si nécessaire.
4. S'il y a deux liens entre les commutateurs et que l'ID de pont et la priorité sont liés, le port avec
le plus petit nombre sera choisi—par exemple, Fa0/1 serait choisi sur Fa0/2.
Jetons un coup d'œil à notre réponse maintenant, mais avant de le faire, pouvez-vous trouver le port de transfert
entre SA et SB ? Jetez un œil à la figure 15.15 pour la réponse.
Page 312
FIGURE 15.15 RSTP exemple 2, réponse 2
Encore une fois, pour obtenir la bonne réponse à cette question, nous allons laisser le commutateur sur le réseau
segment avec le coût de chemin cumulé le plus bas vers le pont racine vers l'avant sur ce segment. Cette
est définitivement SA, ce qui signifie que le port SB entre dans le rôle d'élimination, ce qui n'est pas si difficile du tout !
802.1s (MSTP)
Le protocole MSTP (Multiple Spanning Tree Protocol), également connu sous le nom d'IEEE 802.ls, nous offre la même rapidité
convergence comme RSTP mais réduit le nombre d'instances STP requises en nous permettant de mapper
plusieurs VLAN avec les mêmes exigences de flux de trafic dans la même instance de spanning-tree. Ce
nous permet essentiellement de créer des ensembles de VLAN et est essentiellement un protocole spanning-tree qui s'exécute sur
sommet d'un autre protocole spanning-tree.
Il est donc clair que vous choisiriez d'utiliser MSTP sur RSTP lorsque vous avez une configuration impliquant de nombreux
des VLAN, ce qui entraîne des besoins en CPU et en mémoire qui seraient autrement trop élevés. Mais
il n'y a pas de repas gratuit, bien que MSTP réduise les exigences de Rapid PVST+, vous devez
configurez-le correctement car MSTP ne fait rien tout seul !
Utilisons le même réseau simple à trois commutateurs que nous avons utilisé plus tôt comme base pour jouer avec
la configuration de STP. La figure 15.16 montre le réseau avec lequel nous allons travailler dans cette section.
Page 313
Tout d'abord, nous pouvons voir que nous exécutons la version IEEE 802.1d STP par défaut, et n'oubliez pas que
c'est vraiment 802.1d PVST+ ! En regardant la sortie, nous pouvons voir que S1 est le pont racine pour
VLAN 1. Lorsque vous utilisez cette commande, les principales informations concernent le pont racine et le
La sortie d'ID de pont fait référence au pont que vous regardez. Dans cet exemple, ils sont un et le
même. Notez le sys-id-ext 1 (pour le VLAN 1) . Il s'agit du champ PVST+ 12 bits qui est placé dans le
BPDU afin qu'il puisse transporter des informations sur plusieurs VLAN. Vous ajoutez la priorité et sys-id-ext pour apparaître
avec la vraie priorité pour le VLAN. Nous pouvons également voir à partir de la sortie que les deux Gigabit Ethernet
les interfaces sont des ports de transfert désignés. Vous ne verrez pas de port bloqué/supprimé sur une racine
pont. Jetons maintenant un coup d'œil à la sortie de S3 :
S3# sh spanning-tree
VLAN0001
Protocole Spanning Tree activé ieee
ID racine prioritaire 32769
Adresse 0001.42A7.A603
Coût 4
Port 26 (GigabitEthernet1/2)
Temps Hello 2 s Âge max. 20 s Délai avant 15 s
En regardant l'ID racine, il est facile de voir que S3 n'est pas le pont racine, mais la sortie nous dit que c'est un
coût de 4 pour accéder au pont racine et aussi qu'il est situé sur le port 26 du commutateur (Gi1/2). Cette
Page 314
nous dit que le pont racine est à un lien Gigabit Ethernet, que nous savons déjà être S1, mais
nous pouvons le confirmer avec la commande show cdp neighbors :
C'est comme ça qu'il est simple de trouver votre pont racine si vous n'avez pas la belle silhouette comme nous. Utilisez le
show spanning-tree ,
recherchez votre port racine, puis utilisez la commande show cdp neighbors .
Voyons ce que la sortie de S2 a à nous dire maintenant :
S2# sh spanning-tree
VLAN0001
Protocole Spanning Tree activé ieee
ID racine prioritaire 32769
Adresse 0001.42A7.A603
Coût 4
Port 26 (GigabitEthernet1/2)
Temps Hello 2 s Âge max. 20 s Délai avant 15 s
Nous ne cherchons certainement pas à un pont racine puisque nous voyons un port bloqué, qui est celui de S2.
connexion à S3 !
Amusons-nous en faisant de S2 le pont racine pour VLAN 2 et pour VLAN 3. Voici comment c'est facile
c'est faire :
Nous pouvons voir que le coût du pont racine est de 4, ce qui signifie que le pont racine se trouve à un lien gigabit.
Un autre facteur clé dont je veux parler avant de faire de S2 le pont racine pour les VLAN 2 et 3 est
le sys-id-ext , qui apparaît comme 2 dans cette sortie car cette sortie est pour le VLAN 2. Ce sys-id-
ext est
ajouté à la priorité du pont, qui dans ce cas est 32768 + 2, ce qui rend la priorité
32770. Maintenant que vous comprenez ce que cette sortie nous dit, faisons de S2 le pont racine :
Vous pouvez définir la priorité sur n'importe quelle valeur de 0 à 61440 par incréments de 4096.
Page 315
zéro (0) signifie que le commutateur sera toujours une racine tant qu'il a une adresse MAC inférieure à
un autre commutateur dont l'ID de pont est également défini sur 0. Si vous souhaitez définir un commutateur comme pont racine
pour chaque VLAN de votre réseau, vous devez alors changer la priorité de chaque VLAN, avec 0
étant la priorité la plus basse que vous puissiez utiliser. Mais croyez-moi, ce n'est jamais une bonne idée de régler tous les commutateurs sur un
priorité de 0 !
De plus, vous n'avez pas réellement besoin de changer les priorités car il existe encore un autre moyen de
configurer le pont racine. Regarde:
Notez que vous pouvez définir un pont sur primaire ou secondaire, très cool ! Si à la fois le primaire
et les commutateurs secondaires tombent en panne, la prochaine priorité la plus élevée prendra le relais en tant que racine.
Nice : S2 est le pont racine pour le VLAN 2, avec une priorité de 16386 (16384 + 2). Jetons un coup d'oeil à
voir le pont racine pour VLAN 3. J'utiliserai une commande différente pour cela cette fois. Vérifiez-le:
La sortie précédente nous indique que S2 est la racine des deux VLAN, mais nous pouvons voir que nous avons un
port bloqué pour VLAN 1 sur S2, ce n'est donc pas le pont racine pour VLAN 1. C'est parce qu'il y a
un autre pont avec un meilleur ID de pont pour le VLAN 1 que celui de S2.
Une dernière question brûlante : comment activer RSTP sur un commutateur Cisco ? Eh bien, faire ça, c'est
en fait la partie la plus facile de ce chapitre ! Regarde:
Est-ce vraiment tout ce qu'il y a à faire ? Oui, car c'est une commande globale, pas par VLAN. vérifions
Page 316
S2# sh spanning-tree
VLAN0001
Protocole de Spanning Tree activé rstp
ID racine prioritaire 32769
Adresse 0001.42A7.A603
Coût 4
Port 26 (GigabitEthernet1/2)
Temps Hello 2 s Âge max. 20 s Délai avant 15 s
[coupure de sortie
Résumé S2# sh spanning-tree
Le commutateur est en mode pvst rapide
Pont racine pour : VLAN0002 VLAN0003
On dirait que nous sommes prêts ! Nous utilisons RSTP, S1 est notre pont racine pour le VLAN 1 et S2 est la racine
pont pour les VLAN 2 et 3. Je sais que cela ne semble pas difficile, et ce n'est vraiment pas le cas, mais vous devez quand même
pratiquez ce que nous avons couvert jusqu'à présent dans ce chapitre pour vraiment acquérir de solides compétences !
Il existe deux types d'échec avec STP. L'un d'eux provoque le même type de problème que j'ai mentionné avec
un protocole de routage ; lorsque certains ports ont été placés dans un état bloquant, ils doivent être
transfert sur un segment de réseau à la place. Cette situation rend le segment de réseau inutilisable,
mais le reste du réseau fonctionnera toujours. Mais que se passe-t-il lorsque des ports bloqués sont placés
en état de transfert alors qu'ils devraient être bloquants ? Travaillons sur ce deuxième problème d'échec
maintenant, en utilisant la même mise en page que nous avons utilisée dans la dernière section. Commençons par la figure 15.17 , puis trouvons
savoir ce qui se passe lorsque STP échoue. Avis aux lecteurs sensibles, ce n'est pas joli !
En regardant la figure 15.17 , que pensez-vous qu'il se passera si SD transfère son port bloqué vers le
état de transfert ?
Page 317
De toute évidence, les conséquences sur l'ensemble du réseau seront assez dévastatrices ! Des cadres qui déjà
avaient une adresse de destination enregistrée dans la table d'adresses MAC des commutateurs sont transmis au
le port auquel ils sont associés ; cependant, toute diffusion, multidiffusion et monodiffusion non dans le CAM sont
maintenant dans une boucle sans fin. La figure 15.18 nous montre le carnage - quand vous voyez toutes les lumières sur chaque
port clignotant ambre/vert ultra-rapide, cela signifie que de graves erreurs se produisent, et beaucoup d'entre elles !
FIGURE 15.18 Échec du STP
Au fur et à mesure que les trames commencent à s'accumuler sur le réseau, la bande passante commence à être saturée. Le processeur
le pourcentage augmente sur les commutateurs jusqu'à ce qu'ils abandonnent et cessent complètement de fonctionner,
et tout cela en quelques secondes !
Voici une liste des problèmes qui se produiront dans un réseau STP défaillant dont vous devez être conscient
et vous devez pouvoir les trouver dans votre réseau de production - et bien sûr, vous devez les connaître pour
atteindre les objectifs de l'examen :
La charge sur tous les liens commence à augmenter et de plus en plus de trames entrent dans la boucle. Rappelles toi,
cette boucle affecte tous les autres liens du réseau car ces trames sont toujours inondées
tous les ports. Ce scénario est un peu moins grave si la boucle se produit dans un seul VLAN. Dans ce cas,
l'accroc sera isolé sur les ports uniquement dans cet abonnement VLAN, ainsi que sur toutes les liaisons de jonction qui transportent
informations pour ce VLAN.
Si vous avez plus d'une boucle, le trafic augmentera sur les commutateurs car tous les cercles
les cadres sont en fait dupliqués. Les commutateurs reçoivent essentiellement une trame, en font une copie et envoient
il sort tous les ports. Et ils le font encore et encore avec le même cadre, ainsi que
pour les nouveaux !
La table d'adresses MAC est maintenant complètement instable. Il ne sait plus où n'importe quelle source
Les hôtes d'adresse MAC sont en fait localisés car la même adresse source arrive via
plusieurs ports sur le commutateur.
Avec la charge extrêmement élevée sur les liens et les processeurs, maintenant peut-être à 100 % ou presque
à cela, les appareils ne répondent plus, ce qui rend impossible le dépannage - c'est un terrible
chose!
Page 318
À ce stade, votre seule option est de supprimer systématiquement tout lien redondant entre les commutateurs
jusqu'à ce que vous puissiez trouver la source du problème. Et ne panique pas parce que, finalement, tu es ravagé
le réseau se calmera et reprendra vie après la convergence de STP. Vos interrupteurs frits seront
reprendre conscience, mais le réseau aura besoin d'une thérapie sérieuse, donc vous n'êtes pas hors de
bois encore!
C'est maintenant que vous commencez le dépannage pour découvrir ce qui a causé la catastrophe en premier lieu. UNE
une bonne stratégie consiste à replacer les liens redondants dans votre réseau un à la fois et à attendre de voir
lorsqu'un problème commence à se produire. Vous pourriez avoir un port de commutateur défaillant, ou même un commutateur mort.
Une fois que vous avez remplacé tous vos liens redondants, vous devez surveiller attentivement le réseau et
avoir un plan de secours pour isoler rapidement le problème s'il se reproduit. Tu ne veux pas passer
Encore ceci!
Vous vous demandez probablement comment empêcher ces problèmes STP d'assombrir votre
porte en premier lieu. Eh bien, attendez, car après la section suivante, je vous dirai tout sur
EtherChannel, qui peut empêcher les ports d'être placés dans l'état bloqué/supprimé sur
des liens redondants pour sauver la mise ! Mais avant d'ajouter plus de liens à nos commutateurs, puis de regrouper
eux, parlons de PortFast.
Étant donné que les ports passeront immédiatement de l'état de blocage à l'état de transfert, PortFast peut empêcher
nos hôtes d'être potentiellement incapables de recevoir une adresse DHCP en raison de la lenteur de STP
convergence. Si la requête DHCP de l'hôte expire, ou si chaque fois que vous branchez un hôte, vous
fatigué de regarder le port du commutateur être orange pendant près d'une minute avant qu'il ne passe à
l'état de transfert et devient vert, PortFast peut vraiment vous aider !
La figure 15.19 illustre un réseau avec trois commutateurs, chacun avec une jonction vers chacun des autres et
un hôte et un serveur hors du commutateur S1.
FIGURE 15.19 PortFast
Nous pouvons utiliser PortFast sur les ports sur S1 pour les aider à passer à l'état de transfert STP
immédiatement après la connexion au commutateur.
Voici les commandes, d'abord à partir du mode de configuration globale, elles sont assez simples :
Page 319
Si vous deviez taper spanning-tree portfast default , vous activeriez tous les ports non groupés avec
PortFast. Depuis le mode interface, vous pouvez être plus précis, ce qui est la meilleure façon de procéder :
À partir du mode interface, vous pouvez en fait configurer PortFast sur un port de jonction, mais vous le feriez
uniquement si le port se connecte à un serveur ou à un routeur, pas à un autre commutateur, nous ne l'utiliserons donc pas ici.
Jetons donc un œil au message que je reçois lorsque j'active PortFast sur l'interface Gi0/1 :
S1# config t
S1#config)# int range gi0/1 - 2
S1(config-if)# spanning-tree portfast
%Avertissement : portfast ne doit être activé que sur les ports connectés à un seul
hôte. Connecter des hubs, des concentrateurs, des commutateurs, des ponts, etc... à ce
interface lorsque portfast est activé, peut provoquer des boucles de pontage temporaires.
Utiliser avec précaution
PortFast est activé sur les ports Gi0/1 et Gi0/2, mais notez que vous obtenez un message assez long qui est
essentiellement vous dire d'être prudent. En effet, lorsque vous utilisez PortFast, vous ne
souhaitez créer une boucle réseau en branchant un autre commutateur ou concentrateur sur un port également configuré
avec PortFast ! Pourquoi? Parce que si vous laissez cela se produire, même si le réseau peut encore en quelque sorte
travail, les données passeront très lentement, et pire, cela pourrait vous prendre très longtemps pour trouver le
source du problème, vous rendant très impopulaire. Procédez donc avec prudence !
À ce stade, vous seriez heureux de savoir qu'il existe des commandes de sauvegarde à avoir
pratique lors de l'utilisation de PortFast juste au cas où quelqu'un provoquerait une boucle dans un port configuré avec
PortFast activé. Parlons maintenant d'une commande de sauvegarde vraiment clé.
Garde BPDU
Si vous activez PortFast pour un port de commutateur, c'est une très bonne idée d'activer également BPDU Guard. Dans
en fait, c'est une si bonne idée, je pense personnellement qu'il devrait être activé par défaut chaque fois qu'un port est
configuré avec PortFast !
En effet, si un port de commutateur sur lequel PortFast est activé reçoit un BPDU sur ce port, il
placer le port dans l'état d'erreur désactivé (arrêt), empêchant efficacement quiconque de
connecter accidentellement un autre port de commutateur ou de concentrateur à un port de commutateur configuré avec PortFast.
Fondamentalement, vous empêchez (protégez) votre réseau d'être gravement paralysé ou même
abattu. Configurons donc notre interface S1, qui est déjà configurée avec PortFast, avec
BPDU Guard maintenant, c'est facile !
Il est important de savoir que vous ne configureriez cette commande que sur votre couche d'accès
commutateurs : commutateurs auxquels les utilisateurs sont directement connectés.
Un administrateur junior m'a appelé avec frénésie pour me dire que tous les ports de commutation venaient de mal tourner sur le cœur
commutateur, qui était situé au centre de données où j'étais consultant principal pour un centre de données
améliorer. Maintenant, ces choses arrivent, mais gardez à l'esprit que je viens d'être dans un Super
Page 320
Bowl party passer un bon moment à regarder mon équipe préférée jouer dans le "Big One" quand je
reçu cet appel ! J'ai donc pris une grande inspiration pour me recentrer. J'avais besoin de trouver une clé
informations pour déterminer à quel point la situation était vraiment grave, et mon client était dans une situation aussi
pressé que j'étais d'arriver à une solution!
J'ai d'abord demandé à l'administrateur junior ce qu'il faisait exactement. Bien sûr, il a dit: "Rien, je le jure!" je
J'ai pensé que c'était ce qu'il dirait, alors je l'ai pressé pour plus d'informations et j'ai finalement demandé des statistiques sur le
changer. L'administrateur m'a dit que tous les ports de la carte de ligne 10/100/1000 sont devenus orange à
en même temps, enfin des informations que je pourrais utiliser ! J'ai confirmé que, comme on le soupçonnait, ces
ports regroupés vers des commutateurs de distribution de liaison montante. Wow, ce n'était pas bon !
À ce stade, cependant, j'ai eu du mal à croire que les 24 ports allaient soudainement mal tourner, mais
c'est possible, alors j'ai demandé s'il avait une carte de rechange à essayer. Il m'a dit qu'il avait déjà mis le
nouvelle carte, mais la même chose se produisait toujours. Eh bien, ce n'est pas la carte ou les ports, mais
peut-être que quelque chose s'est passé avec les autres commutateurs. Je savais qu'il y avait beaucoup de commutateurs
impliqué, donc quelqu'un doit avoir foiré quelque chose pour que cette catastrophe se produise !
Ou, peut-être que le placard de distribution de fibre est tombé en panne d'une manière ou d'une autre ? Si c'est le cas, comment? Y a-t-il eu un incendie dans
le placard ou quoi ? Quelques manigances internes sérieuses seraient la seule réponse si cela
étaient la cause !
Donc, restant toujours patient (parce que, pour citer le Dr House, "Les patients mentent"), j'ai encore dû demander
l'administrateur exactement ce qu'il a fait, et bien sûr, il a finalement admis qu'il avait essayé de brancher son
ordinateur portable personnel dans le commutateur principal afin qu'il puisse regarder le Super Bowl, et il a rapidement
a ajouté : "... mais c'est tout, je n'ai rien fait d'autre !" Je vais sauter le fait que ce gars était
sur le point d'avoir le lundi le plus laid de tous les temps, mais quelque chose n'avait toujours pas de sens, et voici
Pourquoi.
Sachant que les ports de cette carte se connecteraient tous aux commutateurs de distribution, j'ai configuré
les ports avec PortFast afin qu'ils n'aient pas à passer par le processus STP. Et
parce que je voulais m'assurer que personne n'avait branché de commutateur sur l'un de ces ports, j'ai activé
BPDU Guard sur toute la carte de ligne.
Mais un hôte ne fermerait pas ces ports, alors je lui ai demandé s'il avait branché l'ordinateur portable
directement ou utilisé quelque chose entre les deux. Il a admis qu'il avait effectivement utilisé un autre interrupteur
parce qu'il s'est avéré qu'il y avait beaucoup de gens du bureau qui voulaient se brancher sur le
commutateur de base et regardez le match aussi. Se moquait-il de moi ? La politique de sécurité ne permettrait pas
se connecter depuis leurs bureaux, alors ne pensez-vous pas qu'ils considéreraient le noyau encore plus off-
limites? Certaines personnes!
Mais attendez… Cela n'explique pas que tous les ports deviennent orange, car seul celui sur lequel il s'est branché
devrait faire ça. Cela m'a pris une seconde, mais j'ai compris ce qu'il avait fait et je l'ai finalement eu
avouer. Lorsqu'il a branché l'interrupteur, le port est devenu orange, il a donc pensé que cela avait mal tourné.
Alors que pensez-vous qu'il a fait? Eh bien, si au début vous ne réussissez pas, essayez, réessayez, et c'est juste
ce qu'il a fait - il a en fait continué à essayer des ports - les 24 pour être exact ! Maintenant c'est ce que j'appelle
déterminé!
C'est triste à dire, je suis revenu à la fête juste pour voir mon équipe perdre au cours des dernières minutes !
Un jour sombre, en effet !
EtherChannel
Sachez que presque tous les réseaux Ethernet actuels auront généralement plusieurs liens entre les commutateurs
car ce type de conception offre redondance et résilience. Sur une conception physique qui
inclut plusieurs liens entre les commutateurs, STP fera son travail et mettra un ou plusieurs ports en blocage
mode. En plus de cela, les protocoles de routage comme OSPF et EIGRP pourraient voir tous ces
liens comme des liens individuels, selon la configuration, ce qui peut signifier une augmentation du routage
aérien.
Nous pouvons tirer parti des liens multiples entre les commutateurs en utilisant la canalisation des ports.
Page 321
EtherChannel est une technologie de canal de port qui a été développée à l'origine par Cisco comme un
technique de commutation permettant de regrouper plusieurs ports Fast Ethernet ou Gigabit Ethernet en un seul
canaliser.
Il est également important de noter qu'une fois que votre canal de port (EtherChannel) est opérationnel et opérationnel, la couche 2
Les protocoles de routage STP et de couche 3 traiteront ces liens groupés comme un seul, ce qui arrêtera
STP d'effectuer le blocage. Un autre résultat intéressant est que parce que les protocoles de routage
maintenant ne voyez cela que comme un seul lien, une seule contiguïté à travers le lien peut être formée - élégante !
La figure 15.20 montre à quoi ressemblerait un réseau si nous avions quatre connexions entre les commutateurs,
avant et après la configuration des canaux de port.
FIGURE 15.20 Avant et après les canaux de port
Maintenant, comme d'habitude, il y a la version Cisco et la version IEEE de la négociation de canal de port
protocoles parmi lesquels choisir, faites votre choix. La version de Cisco s'appelle Port Aggregation Protocol
(PAgP), et la norme IEEE 802.3ad est appelée Link Aggregation Control Protocol (LACP).
Les deux versions fonctionnent aussi bien, mais la façon dont vous configurez chacune est légèrement différente. Garder à
Gardez à l'esprit que PAgP et LACP sont des protocoles de négociation et qu'EtherChannel peut en fait être
configuré de manière statique sans PAgP ou LACP. Néanmoins, il est préférable d'utiliser l'un de ces protocoles pour aider
avec des problèmes de compatibilité ainsi que pour gérer les ajouts et les pannes de liens entre deux commutateurs.
Cisco EtherChannel nous permet de regrouper jusqu'à huit ports actifs entre les commutateurs. Les liens doivent
avoir la même vitesse, le même paramètre duplex et la même configuration VLAN, en d'autres termes, vous ne pouvez pas mélanger
types et configurations d'interface dans le même ensemble.
Il existe quelques différences dans la configuration de PAgP et LACP, mais d'abord, passons en revue certains termes afin
vous ne vous trompez pas :
Canalisation des ports Fait référence à la combinaison de deux à huit ports Fast Ethernet ou deux ports Gigabit Ethernet
ensemble entre deux commutateurs en un seul lien logique agrégé pour obtenir plus de bande passante et
élasticité.
PAgP Il s'agit d'un protocole de négociation de canal de port propriétaire Cisco qui facilite la
création de liens EtherChannel. Tous les liens du bundle doivent correspondre aux mêmes paramètres (vitesse,
duplex, informations VLAN), et lorsque PAgP identifie les liens correspondants, il regroupe les liens dans un
EtherChannel. Celui-ci est ensuite ajouté à STP en tant que port de pont unique. À ce stade, le travail de PAgP est de
envoyer des paquets toutes les 30 secondes pour gérer le lien pour la cohérence, tout ajout de lien et
les échecs.
LACP (802.3ad) Cela a exactement le même objectif que PAgP, mais il n'est pas exclusif, il peut donc
travailler entre les réseaux multi-fournisseurs.
Page 322
channel-group Il
s'agit d'une commande sur les interfaces Ethernet utilisée pour ajouter l'interface spécifiée à un
EtherChannel unique. Le numéro qui suit cette commande est l'ID de canal de port.
Voyons maintenant si vous pouvez donner un sens à tous ces termes en configurant réellement
quelque chose!
Vous pouvez activer votre groupe de canaux pour chaque canal en définissant le mode de canal pour chaque
interface active ou passive si vous utilisez LACP. Lorsqu'un port est configuré en mode passif , il
répondra aux paquets LACP qu'il reçoit, mais il n'initiera pas de négociation LACP. Lorsqu'un
port est configuré pour le mode actif , le port initie des négociations avec d'autres ports en envoyant
Paquets LACP.
Laissez-moi vous montrer un exemple simple de configuration des canaux de port, puis de leur vérification. Je vais d'abord
passer en mode de configuration globale et créer une interface de canal de port, puis j'ajouterai ce port
canal vers les interfaces physiques.
N'oubliez pas que tous les paramètres et configurations des ports doivent être les mêmes, je vais donc commencer par
agrégation des interfaces avant de configurer EtherChannel, comme ceci :
Tous les ports de vos bundles doivent être configurés de la même manière, je vais donc configurer les deux côtés avec le même
configuration de la jonction. Maintenant, je peux affecter ces ports à un bundle :
Pour configurer le LACP non propriétaire IEEE, j'utiliserai la commande active ou passive ; si je voulais
pour utiliser le PAgP de Cisco, j'utiliserais la commande auto ou desire . Vous ne pouvez pas les mélanger et les assortir sur
l'une ou l'autre extrémité du paquet, et vraiment, peu importe celui que vous utilisez dans un Cisco pur
environnement, tant que vous les configurez de la même manière aux deux extrémités (définir le mode sur on
configurer statiquement votre bundle EtherChannel).
À ce stade de la configuration, je devrais définir le mode sur actif sur les interfaces S2 si je
voulait que le bundle propose LACP car, encore une fois, tous les paramètres doivent être les mêmes sur
les deux extrémités du lien. Configurons notre interface de canal de port, qui a été créée lorsque nous avons utilisé
la commande channel-group :
Page 323
Notez que j'ai défini la même méthode de jonction sous l'interface de canal de port que j'ai fait le physique
interfaces, ainsi que des informations VLAN. Eh bien, toutes les commandes effectuées sous le port-
canal sont hérités au niveau de l'interface, vous pouvez donc simplement configurer facilement le canal de port avec
tous les paramètres.
Il est temps de configurer les interfaces, les groupes de canaux et l'interface de canal de port sur le commutateur S2 :
Sur chaque switch, j'ai configuré les ports que je voulais regrouper avec la même configuration, puis
créé le canal du port. Après cela, j'ai ajouté les ports dans le canal de port avec le groupe de canaux
commander.
N'oubliez pas que pour LACP, nous utiliserons soit actif/actif de chaque côté du paquet, soit actif/passif,
mais vous ne pouvez pas utiliser passif/passif. Idem pour PAgP ; vous pouvez utiliser souhaitable/souhaitable ou
auto/souhaitable mais pas auto/auto.
Vérifions notre EtherChannel avec quelques commandes. Nous allons commencer par le show etherchannel port-
commande channel pour afficher des informations sur une interface de canal de port spécifique :
S2# sh etherchannel port-channel
Liste des groupes de canaux :
----------------------
Groupe 1
----------
Port-canaux dans le groupe :
---------------------------
Notez que nous avons un groupe et que nous exécutons la version IEEE LACP de la canalisation des ports.
Nous sommes en mode actif , et cette interface Port-channel: Po1 a deux interfaces physiques. Les
le titre Load n'est pas la charge sur les interfaces, c'est une valeur hexadécimale qui décide quelle
L'interface sera choisie pour spécifier le flux de trafic.
La commande show etherchannel summary affiche une ligne d'informations par canal de port :
Cette commande montre que nous avons un groupe, que nous exécutons LACP, et Gig0/1 et Gig0/2
ou (P), ce qui signifie que ces ports sont en mode canal de port . Cette commande n'est pas vraiment tout ça
utile à moins que vous n'ayez plusieurs groupes de canaux, mais cela nous indique que notre groupe fonctionne bien !
EtherChannel de couche 3
Un dernier élément à discuter avant de terminer ce chapitre et c'est la couche 3 EtherChannel. vous utiliseriez
couche 3 EtherChannel lors de la connexion d'un commutateur à plusieurs ports sur un routeur, par exemple. C'est
important de comprendre que vous ne mettriez pas d'adresses IP sous les interfaces physiques du
routeur, à la place, vous ajouteriez en fait l'adresse IP du paquet sous le canal de port logique
interface.
Voici un exemple sur la façon de créer le canal de port logique 1 et d'attribuer 20.2.2.2 comme son IP
adresse:
Routeur# config t
Routeur(config)# int canal de port 1
Routeur (config-if)# adresse IP 20.2.2.2 255.255.255.0
Nous devons maintenant ajouter les ports physiques dans le canal de port 1 :
Voyons maintenant le fichier running-config. Notez qu'il n'y a pas d'adresses IP sous le physique
interface du routeur :
!
interface Port-channel1
adresse IP 20.2.2.2 255.255.255.0
intervalle de charge 30
!
interface GigabitEthernet0/0
pas d'adresse ip
intervalle de charge 30
recto-verso automatique
vitesse automatique
groupe de canaux 1
!
interface GigabitEthernet0/1
pas d'adresse ip
intervalle de charge 30
recto-verso automatique
vitesse automatique
groupe de canaux 1
Sommaire
Ce chapitre était consacré aux technologies de commutation, avec un accent particulier sur le Spanning Tree
Protocol (STP) et son évolution vers des versions plus récentes comme RSTP puis PVST+ de Cisco.
Vous avez pris connaissance des problèmes qui peuvent survenir si vous avez plusieurs liens entre les ponts
(commutateurs) et les solutions obtenues avec STP.
J'ai également parlé et démontré des problèmes qui peuvent survenir si vous avez plusieurs liens entre
ponts (commutateurs), et comment résoudre ces problèmes en utilisant le protocole Spanning Tree (STP).
J'ai couvert une configuration détaillée des commutateurs Catalyst de Cisco, y compris la vérification du
configuration, définition des extensions Cisco STP et modification du pont racine en définissant un pont
Page 325
priorité.
Enfin, nous avons discuté, configuré et vérifié la technologie EtherChannel qui nous aide à regrouper
plusieurs liens entre les commutateurs.
Essentiels de l'examen
Comprenez l'objectif principal du protocole Spanning Tree dans un réseau local commuté.
L'objectif principal de STP est d'empêcher les boucles de commutation dans un réseau avec des commutateurs redondants.
chemins.
Rappelez-vous les états de STP. Le but de l'état de blocage est d'empêcher l'utilisation de
chemins en boucle. Un port en état d'écoute se prépare à transmettre des trames de données sans remplir le
Tableau d'adresses MAC. Un port en état d'apprentissage remplit la table d'adresses MAC mais ne transfère pas
trames de données. Un port en état de transfert envoie et reçoit toutes les trames de données sur le port ponté.
De plus, un port à l'état désactivé est virtuellement non opérationnel.
N'oubliez pas la commande show spanning-tree . Vous devez être familier avec la commande show
spanning-tree et comment déterminer le pont racine de chaque VLAN. Vous pouvez également utiliser le spectacle
commande de résumé spanning-tree pour vous aider à avoir un aperçu rapide de votre réseau STP et de votre racine
des ponts.
Comprenez ce que PortFast et BPDU Guard fournissent. PortFast permet à un port de faire la transition
à l'état de transfert immédiatement après une connexion. Parce que vous ne voulez pas d'autres commutateurs
se connectant à ce port, BPDU Guard fermera un port PortFast s'il reçoit un BPDU.
Laboratoire écrit 15
Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».
4. Quel protocole est utilisé dans un réseau de couche 2 pour maintenir un réseau sans boucle ?
5. Quelle extension propriétaire Cisco STP mettrait un port de commutateur en mode de désactivation d'erreur si un
BPDU est reçu sur ce port ?
6. Vous souhaitez configurer un port de commutateur pour ne pas passer par les états de port STP mais pour passer
immédiatement en mode de renvoi. Quelle commande utiliserez-vous par port ?
7. Quelle commande utiliserez-vous pour afficher des informations sur une interface de canal de port spécifique ?
8. Quelle commande pouvez-vous utiliser pour définir un commutateur afin qu'il soit le pont racine pour le VLAN 3 sur
un autre interrupteur ?
9. Vous devez trouver les VLAN pour lesquels votre commutateur est le pont racine. Quelles deux commandes
peux tu utiliser?
10. Quels sont les deux modes que vous pouvez définir avec LACP ?
Laboratoires pratiques
Dans cette section, vous allez configurer et vérifier STP, ainsi que configurer PortFast et BPDU Guard,
Page 326
Notez que les travaux pratiques de ce chapitre ont été écrits pour être utilisés avec un équipement réel utilisant 2960
commutateurs. Cependant, vous pouvez utiliser le simulateur gratuit de version LammleSim IOS ou Cisco's Packet
Tracer pour parcourir ces laboratoires.
1. À partir de l'un de vos commutateurs, utilisez la commande show spanning-tree vlan 2 . Vérifiez la sortie.
Page 327
Notez que S3 n'est pas le pont racine, donc pour trouver votre pont racine, suivez simplement le port racine et
voir quel pont est connecté à ce port. Le port Fa0/1 est le port racine avec un coût de 19, ce qui
signifie que le commutateur qui est éteint le port Fa0/1 est le port racine se connectant au pont racine
car c'est un coût de 19, ce qui signifie une liaison Fast Ethernet à distance.
2. Trouvez le pont qui est hors de Fa0/1, qui sera notre racine.
Notez que S1 est connecté à l'interface locale Fa0/1, allons donc sur S1 et vérifions notre racine
pont.
3. Vérifiez le pont racine pour chacun des trois VLAN. À partir de S1, utilisez le résumé du show spanning-tree
commander.
S1#
4. Notez tous vos ponts racine, pour les trois VLAN, si vous avez plus d'une racine
pont.
1. Accédez à l'un de vos ponts non racine et vérifiez l'ID du pont avec le show spanning-tree vlan
commander.
Notez que ce pont n'est pas le pont racine pour le VLAN 1 et que le port racine est Fa0/1 avec un coût
de 19, ce qui signifie que le pont racine est directement connecté à une liaison Fast Ethernet.
2. Faites de l'un de vos ponts non racine le pont racine pour le VLAN 1. Utilisez la priorité 16 384, qui est
inférieur aux 32 768 de la racine actuelle.
Notez que ce pont est bien la racine et que tous les ports sont en mode Desg FWD.
1. Connectez-vous à votre commutateur auquel un hôte est connecté et activez PortFast pour l'interface.
S3 # config t
S3(config)# int fa0/2
S3(config-if)# spanning-tree portfast
%Avertissement : portfast ne doit être activé que sur les ports connectés à un seul
hôte. Connecter des hubs, des concentrateurs, des commutateurs, des ponts, etc... à ce
interface lorsque portfast est activé, peut provoquer des boucles de pontage temporaires.
Utiliser avec précaution
2. Vérifiez que le port du commutateur sera fermé si un autre câble Ethernet du commutateur se branche sur ce
Port.
!
interface FastEthernet0/2
ligne réseau en mode switchport
spanning-tree portfast
spanning-tree bpduguard activer
!
Page 329
S3 # config t
S3(config)# inter-port-canal 1
2. Configurez les ports pour qu'ils soient dans le bundle avec la commande channel-group .
3. Configurez le commutateur S2 avec EtherChannel, en utilisant les mêmes paramètres que S3.
S2# config t
S2(config)# interface port-canal 1
S2(config-if)# int a sonné g1/1 - 2
S2(config-if-range)# mode groupe de canaux 1 souhaitable
%LINK-5-CHANGED : Interface Port-channel 1, état passé à up
Groupe 1
----------
Port-canaux dans le groupe :
---------------------------
Port-canal : Po1
------------
Page 330
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
S2# sh spanning-tree
VLAN0001
Protocole de Spanning Tree activé rstp
ID racine prioritaire 32769
Adresse 0001.42A7.A603
Coût 4
Port 26 (GigabitEthernet1/2)
Temps Hello 2 s Âge max. 20 s Délai avant 15 s
[coupure de sortie]
3. Lequel des éléments suivants utiliseriez-vous pour trouver les VLAN pour lesquels votre commutateur est la racine
pont? (Choisissez deux.)
A. show spanning-tree
B. tout afficher
4. Vous souhaitez exécuter le nouveau 802.1w sur vos commutateurs. Lequel des éléments suivants permettrait ce
protocole?
Page 331
5. Lequel des protocoles suivants est un protocole de couche 2 utilisé pour maintenir un réseau sans boucle ?
A. VTP
B. STP
C. RIP
D.CDP
B. Tous les ports de commutation et de pont sont affectés en tant que ports racine ou désignés.
C. Tous les ports de commutateur et de pont sont dans l'état de transfert ou de blocage.
D. Tous les ports de commutation et de pont sont soit bloquants, soit bouclés.
A. Sur
B. Prévenir
C. Passif
D. Automatique
E. Actif
F. Souhaitable
8. Lesquelles des affirmations suivantes sont vraies concernant RSTP ? (Choisissez trois.)
B. RSTP est une norme IEEE qui redéfinit les rôles, les états et les BPDU des ports STP.
C. RSTP est extrêmement proactif et très rapide, il a donc absolument besoin du 802.1
temporisateurs de retard.
F. 802.1w est capable de revenir à 802.1d pour interagir avec les commutateurs traditionnels sur un
base portuaire.
B. S'assure que le port ne reçoit pas de BPDU du commutateur en amont, mais uniquement de la racine.
C. Si un BPDU est reçu sur un port BPDU Guard, PortFast est utilisé pour fermer le port.
A. 4
B. 8
C. 12
D. 16
Page 332
11. Il existe quatre connexions entre deux commutateurs exécutant RSTP PVST+ et vous souhaitez
comprendre comment obtenir une bande passante plus élevée sans sacrifier la résilience que RSTP
fournit. Que pouvez-vous configurer entre ces deux commutateurs pour obtenir une bande passante plus élevée
que la configuration par défaut fournit déjà ?
A. Définissez PortFast et BPDU Guard, ce qui permet une convergence plus rapide.
12. Dans quelles circonstances plusieurs copies de la même trame monodiffusion sont-elles susceptibles d'être transmises
dans un LAN commuté ?
13. Vous souhaitez configurer LACP. Lesquels devez-vous vous assurer que sont configurés exactement les
même sur toutes les interfaces de commutateur que vous utilisez ? (Choisissez trois.)
C. Duplex
D. PortFast activé
E. Informations VLAN
14. Lequel des modes suivants active PAgP EtherChannel ? (Choisissez deux.)
A. Sur
B. Prévenir
C. Passif
D. Automatique
E. Actif
F. Souhaitable
15. Pour cette question, reportez-vous à l'illustration suivante. Le RP de SB vers le pont racine a échoué.
Page 333
Quel est le nouveau coût pour SB de créer un chemin unique vers le pont racine ?
A. 4
B. 8
C. 23
D. 12
16. Lequel des éléments suivants placerait les interfaces de commutateur dans le port EtherChannel numéro 1, en utilisant
LACP ? (Choisissez deux.)
A. Switch(config)#interface port-channel 1
C. Switch#interface port-canal 1
17. Quelles sont les deux commandes qui garantiraient que votre commutateur soit le pont racine pour le VLAN 30 ?
(Choisissez deux.)
18. Pourquoi Cisco utilise-t-il son extension propriétaire de PVST+ avec STP et RSTP ?
A. Le placement du pont racine permet une convergence plus rapide ainsi qu'une détermination optimale du chemin.
B. Le placement de pont sans racine permet clairement une convergence plus rapide ainsi qu'un chemin optimal
détermination.
C. PVST+ permet une suppression plus rapide des trames non IP.
19. Quels sont les états dans 802.1d ? (Choisissez tout ce qui correspond.)
Page 334
A. Blocage
B. Rejeter
C. Écouter
D. Apprentissage
E. Transfert
F. Suppléant
20. Parmi les fonctions suivantes, lesquelles sont des rôles dans STP ? (Choisissez tout ce qui correspond.)
A. Blocage
B. Rejeter
C. Racine
D. Non désigné
E. Transfert
F. Désigné
Page 335
Chapitre 16
Gestion et sécurité des périphériques réseau
1.7.a 802.1x
4.1.a Priorité
4.1.b Préemption
Version 4.1.c
5.1.a SNMPv2
5.1.b SNMPv3
5.4 Décrire la gestion des appareils à l'aide d'AAA avec TACACS+ et RADIUS
Ensuite, nous allons examiner le protocole SNMP (Simple Network Management Protocol) et le type de
alertes envoyées à la station de gestion de réseau (NMS).
Enfin, je vais vous montrer comment intégrer des fonctionnalités de redondance et d'équilibrage de charge dans votre
réseautez élégamment avec les routeurs que vous possédez probablement déjà. Acquérir une charge hors de prix-
dispositif d'équilibrage n'est tout simplement pas toujours nécessaire car savoir comment configurer et utiliser correctement
Le protocole HSRP (Hot Standby Router Protocol) peut souvent répondre à vos besoins.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter
Page 336
La couche d'accès contrôle l'accès des utilisateurs et des groupes de travail aux ressources de l'interréseau et est également
parfois appelée couche de bureau. Les ressources réseau dont la plupart des utilisateurs ont besoin à cette couche
sera disponible localement car la couche de distribution gère tout trafic pour les services distants.
Connectivité de l'appareil
Des interfaces comme la commutation Gigabit ou FastEthernet fréquemment observées dans la couche d'accès
Étant donné que la couche d'accès est à la fois le point auquel les appareils utilisateurs se connectent au réseau et le
point de connexion entre le réseau et l'appareil client, sa protection joue un rôle important dans
protéger les autres utilisateurs, les applications et le réseau lui-même contre les attaques.
Voici quelques-unes des façons de protéger la couche d'accès (également illustrée à la figure 16.1 ) :
Sécurité des ports Vous êtes déjà très familier avec la sécurité des ports (ou vous devriez l'être !), mais
restreindre un port à un ensemble spécifique d'adresses MAC est le moyen le plus courant de défendre l'accès
couche.
Surveillance DHCP La surveillance DHCP est une fonction de sécurité de couche 2 qui valide les messages DHCP en
agissant comme un pare-feu entre les hôtes non fiables et les serveurs DHCP de confiance.
Afin d'arrêter les serveurs DHCP non autorisés sur le réseau, les interfaces de commutation sont configurées comme approuvées.
ou non approuvées, où les interfaces approuvées autorisent tous les types de messages DHCP et les interfaces non approuvées
autoriser uniquement les demandes. Les interfaces de confiance sont des interfaces qui se connectent à un serveur DHCP ou sont un
liaison montante vers le serveur DHCP, comme illustré à la Figure 16.2 .
Page 337
Figure 16.2 Surveillance DHCP et DAI
Lorsque la surveillance DHCP est activée, un commutateur crée également une base de données de liaison de surveillance DHCP, où
chaque entrée comprend l'adresse MAC et IP de l'hôte ainsi que la durée de bail DHCP, la liaison
type, VLAN et interface. L'inspection ARP dynamique utilise également cette liaison de surveillance DHCP
base de données.
Inspection ARP dynamique (DAI) DAI, utilisée avec la surveillance DHCP, suit les liaisons IP-à-MAC
des transactions DHCP pour se protéger contre l'empoisonnement ARP (qui est un attaquant essayant d'avoir
votre trafic lui soit envoyé au lieu de votre destination valide). La surveillance DHCP est requise dans
afin de créer les liaisons MAC vers IP pour la validation DAI.
La mise en réseau basée sur l' identité La mise en réseau basée sur l' identité est un concept qui relie plusieurs
composants d'authentification, de contrôle d'accès et de politique utilisateur afin de fournir aux utilisateurs les
services réseau que vous voulez qu'ils aient.
Auparavant, pour qu'un utilisateur se connecte aux services Finance, par exemple, un utilisateur devait être branché
dans le LAN ou le VLAN Finance. Cependant, la mobilité des utilisateurs étant l'une des principales exigences de
réseaux modernes, ce n'est plus pratique et cela n'offre pas une sécurité suffisante.
La mise en réseau basée sur l'identité vous permet de vérifier les utilisateurs lorsqu'ils se connectent à un port de commutateur en
en les authentifiant et en les plaçant dans le bon VLAN en fonction de leur identité. Si des utilisateurs
ne réussissent pas le processus d'authentification, leur accès peut être rejeté, ou ils peuvent simplement être mis
dans un VLAN invité. La figure 16.3 montre ce processus.
La norme IEEE 802.1x vous permet de mettre en œuvre une mise en réseau basée sur l'identité sur des
hôtes sans fil en utilisant le contrôle d'accès client/serveur. Il y a trois rôles :
Page 338
Serveur d'authentification (RADIUS) Il s'agit d'un serveur qui authentifie chaque client avant
mettre à disposition tous les services.
Cependant, si vous avez des centaines d'appareils, la gestion de la connectivité administrative serait
presque impossible car il faudrait configurer l'authentification locale sur chaque appareil à la main, et
si vous n'avez modifié qu'un seul mot de passe, la mise à jour de votre réseau peut prendre des heures.
Étant donné que le maintien de la base de données locale pour chaque périphérique réseau pour la taille du réseau est
généralement pas faisable, vous pouvez utiliser un serveur AAA externe qui gérera tous les utilisateurs et
besoins d'accès administratif pour un réseau entier.
Les deux options les plus populaires pour les AAA externes sont RADIUS et TACACS+, toutes deux couvertes ensuite.
RAYON
Remote Authentication Dial-In User Service, ou RADIUS , a été développé par Internet
Engineering Task Force—l'IETF—et est essentiellement un système de sécurité qui fonctionne pour protéger le
réseau contre les accès non autorisés. RADIUS, qui utilise uniquement UDP, est un standard ouvert
implémenté par la plupart des principaux fournisseurs, et c'est l'un des types de serveurs de sécurité les plus populaires
autour car il combine les services d'authentification et d'autorisation en un seul processus. Donc
une fois les utilisateurs authentifiés, ils sont alors autorisés à accéder aux services réseau.
RADIUS implémente une architecture client/serveur, où le client type est un routeur, un commutateur ou
AP et le serveur typique est un périphérique Windows ou Unix qui exécute le logiciel RADIUS.
Le processus d'authentification comporte trois étapes distinctes :
2. Le nom d'utilisateur et le mot de passe crypté sont envoyés via le réseau au serveur RADIUS.
Il est important de se rappeler que RADIUS crypte uniquement le mot de passe dans la demande d'accès
paquet du client au serveur. Le reste du paquet n'est pas crypté.
Configuration de RADIUS
Pour configurer un serveur RADIUS pour l'accès console et VTY, vous devez d'abord activer AAA
services afin de configurer toutes les commandes AAA. Configurez la commande aaa new-model dans
le mode de configuration globale.
La commande aaa new-model applique immédiatement l'authentification locale à toutes les lignes et interfaces
(sauf ligne con 0 ). Ainsi, pour éviter d'être bloqué hors du routeur ou du commutateur, vous devez définir un
nom d'utilisateur et mot de passe locaux avant de commencer la configuration AAA.
Page 339
La création de cet utilisateur est très importante car vous pouvez ensuite utiliser ce même utilisateur créé localement si
le serveur d'authentification externe échoue ! Si vous ne créez pas ceci et que vous ne pouvez pas accéder au serveur,
vous allez finir par faire une récupération de mot de passe.
Ensuite, configurez un serveur RADIUS en utilisant n'importe quel nom et la clé RADIUS configurée sur le
serveur.
Maintenant, ajoutez votre serveur RADIUS nouvellement créé à un groupe AAA de n'importe quel nom.
Enfin, configurez ce groupe nouvellement créé à utiliser pour l'authentification de connexion AAA. Si le RAYON
serveur échoue, le retour à l'authentification locale doit être défini.
TACACS+
Le système de contrôle d'accès du contrôleur d'accès au terminal (TACACS +) est également un serveur de sécurité qui est
Propriété de Cisco et utilise TCP. C'est vraiment similaire à bien des égards à RADIUS ; cependant, il fait tout
que RADIUS fait et plus, y compris la prise en charge multiprotocole.
TACACS+ a été développé par Cisco Systems, il est donc spécialement conçu pour interagir avec les
Services AAA. Si vous utilisez TACACS+, vous disposez du menu complet des fonctionnalités AAA pour
vous—et il gère chaque aspect de sécurité séparément, contrairement à RADIUS :
L'authentification inclut la prise en charge de la messagerie en plus des fonctions de connexion et de mot de passe.
La comptabilité fournit des informations détaillées sur les activités des utilisateurs.
Configuration de TACACS+
Pour configurer un serveur TACACS+ pour l'accès console et VTY, vous devez d'abord activer AAA
services afin de configurer toutes les commandes AAA. Configurez la commande aaa new-model dans
le mode de configuration globale (s'il n'est pas déjà activé).
Ensuite, configurez un serveur TACACS+ en utilisant n'importe quel nom et la clé configurée sur le serveur.
Maintenant, ajoutez votre serveur TACACS+ nouvellement créé à un groupe AAA de n'importe quel nom.
Router(config)# aaa group server radius MyTACACS+Group
Routeur(config-sg-radius)# nom du serveur SecureLoginTACACS+
Configurez pour la dernière fois ce groupe nouvellement créé à utiliser pour l'authentification de connexion AAA. Si le TACACS+
serveur échoue, le retour à l'authentification locale doit être défini.
Page 340
SNMP
Bien que le protocole SNMP (Simple Network Management Protocol) ne soit certainement pas le protocole le plus ancien
jamais, il est encore assez vieux, étant donné qu'il a été créé en 1988 (RFC 1065) !
SNMP est un protocole de couche application qui fournit un format de message pour les agents sur une variété de
périphériques pour communiquer avec les stations de gestion de réseau (NMS)—par exemple, Cisco Prime
ou HP Openview. Ces agents envoient des messages à la station NMS, qui lit ou
écrit des informations dans la base de données qui est stockée sur le NMS et appelée gestion
base d'informations (MIB).
Le NMS interroge ou interroge périodiquement l'agent SNMP sur un périphérique pour collecter et analyser
statistiques via les messages GET. Les terminaux exécutant des agents SNMP enverraient une interruption SNMP au
NMS en cas de problème. C'est ce que montre la figure 16.4 .
Les administrateurs peuvent également utiliser SNMP pour fournir certaines configurations aux agents, appelées SET
messages. En plus de l'interrogation pour obtenir des statistiques, SNMP peut être utilisé pour analyser les informations
et compiler les résultats dans un rapport ou même un graphique. Les seuils peuvent être utilisés pour déclencher un
processus de notification en cas de dépassement. Des outils graphiques sont utilisés pour surveiller les statistiques du processeur de
Les appareils Cisco comme un routeur principal. Le CPU doit être surveillé en permanence et le NMS peut
représenter graphiquement les statistiques. Une notification sera envoyée lorsqu'un seuil que vous avez défini a été dépassé.
SNMP a trois versions, la version 1 étant rarement, voire jamais, mise en œuvre aujourd'hui. Voici un
résumé de ces trois versions :
SNMPv1 Prend en charge l'authentification en texte clair avec des chaînes de communauté et utilise uniquement UDP.
SNMPv2c Prend en charge l'authentification en texte clair avec des chaînes de communauté sans cryptage mais
fournit GET BULK, qui est un moyen de rassembler plusieurs types d'informations à la fois et de minimiser
le nombre de requêtes GET. Il offre une méthode de rapport de message d'erreur plus détaillée appelée
INFORMER, mais ce n'est pas plus sécurisé que la v1. Il utilise UDP même s'il peut être configuré pour utiliser
TCP.
SNMPv3 Prend en charge l'authentification forte avec MD5 ou SHA, assurant la confidentialité
(cryptage) et l'intégrité des données des messages via le cryptage DES ou DES-256 entre les agents et
gestionnaires. GET BULK est une fonctionnalité prise en charge par SNMPv3, et cette version utilise également TCP.
Page 341
Les fournisseurs attribuent des succursales privées dans leurs propres produits. Jetons un coup d'œil aux OID de Cisco, qui
sont décrits en mots ou en nombres pour localiser une variable particulière dans l'arbre, comme le montre la figure
16.5 .
Figure 16.5 OID MIB de Cisco
Heureusement, vous n'avez pas besoin de mémoriser les OID de la Figure 16.5 pour les examens Cisco !
Pour obtenir des informations de la MIB sur l'agent SNMP, vous pouvez utiliser plusieurs
opérations :
GET : Cette opération est utilisée pour obtenir des informations de la MIB vers un agent SNMP.
SET : Cette opération est utilisée pour obtenir des informations vers la MIB à partir d'un gestionnaire SNMP.
WALK : Cette opération est utilisée pour lister les informations des objets MIB successifs dans un
MIB spécifié.
TRAP : Cette opération est utilisée par l'agent SNMP pour envoyer une information déclenchée à
le gestionnaire SNMP.
INFORM : Cette opération est la même qu'un piège, mais elle ajoute une reconnaissance qu'un piège fait
Ne pas fournir.
Configuration de SNMP
La configuration de SNMP est un processus assez simple pour lequel vous n'avez besoin que de quelques commandes.
Ces cinq étapes sont tout ce que vous devez exécuter pour configurer un périphérique Cisco pour l'accès SNMP :
5. Configurez une liste de contrôle d'accès pour restreindre l'accès SNMP aux hôtes NMS.
Page 342
Vous pouvez entrer l'ACL directement dans la configuration SNMP pour assurer la sécurité, en utilisant soit un
un numéro ou un nom. Voici un exemple:
Notez que même s'il existe une multitude d'options de configuration sous SNMP, vous ne
besoin de travailler avec quelques-uns d'entre eux pour configurer une configuration de base de trap SNMP sur un routeur. Tout d'abord, j'ai mis le
Adresse IP de la station NMS où le routeur enverra les traps ; alors j'ai choisi la communauté
nom de Todd avec accès RW (lecture-écriture), ce qui signifie que le NMS pourra récupérer et
modifier les objets MIB du routeur. L'emplacement et les coordonnées sont très utiles pour
dépannage de la configuration. Assurez-vous de comprendre que l'ACL protège le NMS
de l'accès, pas des appareils avec les agents !
Lecture-écriture Donne aux stations de gestion autorisées un accès en lecture et en écriture à tous les objets du
MIB mais ne permet pas l'accès aux chaînes de la communauté
Ensuite, nous explorerons une méthode propriétaire Cisco de configuration de passerelles par défaut redondantes pour
hôtes.
Page 343
Cela soulève la question : existe-t-il un autre moyen d'utiliser le deuxième routeur actif ? La réponse est un peu
compliqué, mais supportez-moi. Il y a une fonctionnalité qui est activée par défaut sur les routeurs Cisco
appelé Proxy Address Resolution Protocol (Proxy ARP). Proxy ARP permet aux hôtes, qui ont
aucune connaissance des options de routage, pour obtenir l'adresse MAC d'un routeur passerelle qui peut transmettre
paquets pour eux.
Vous pouvez voir comment cela se produit dans la Figure 16.7 . Si un routeur proxy ARP reçoit un ARP
demande une adresse IP dont il sait qu'elle n'est pas sur le même sous-réseau que l'hôte demandeur, il
répondre avec un paquet de réponse ARP à l'hôte. Le routeur donnera sa propre adresse MAC locale—
l'adresse MAC de son interface sur le sous-réseau de l'hôte, en tant qu'adresse MAC de destination pour l'IP
adresse que l'hôte cherche à résoudre. Après avoir reçu l'adresse MAC de destination, le
L'hôte enverra alors tous les paquets au routeur, ne sachant pas que ce qu'il considère comme la destination
l'hôte est vraiment un routeur. Le routeur transmettra ensuite les paquets à l'hôte prévu.
Page 344
Ainsi, avec Proxy ARP, le périphérique hôte envoie le trafic comme si le périphérique de destination se trouvait sur son
propre segment de réseau. Si le routeur qui a répondu à la requête ARP échoue, l'hôte source
continue d'envoyer des paquets pour cette destination à la même adresse MAC. Mais parce qu'ils sont
étant envoyés à un routeur défaillant, les paquets seront envoyés à l'autre routeur du réseau qui est
répondant également aux requêtes ARP pour les hôtes distants.
Après le délai d'expiration sur l'hôte, l'adresse MAC ARP du proxy sort du cache ARP.
L'hébergeur peut alors faire une nouvelle requête ARP pour la destination et obtenir l'adresse d'un autre
routeur proxy ARP. Cependant, gardez à l'esprit que l'hôte ne peut pas envoyer de paquets à partir de son sous-réseau pendant
le temps de basculement. Ce n'est pas exactement une situation parfaite, donc il doit y avoir un meilleur moyen, non ?
Eh bien, il y en a, et c'est précisément là que les protocoles de redondance viennent à la rescousse !
Alors, comment un protocole de redondance accomplit-il cela ? Les protocoles que je vais vous décrire
faites-le essentiellement en présentant un routeur virtuel à tous les clients. Le routeur virtuel a son propre
Adresses IP et MAC. L'adresse IP virtuelle est l'adresse configurée sur chacun des hôtes
machines comme passerelle par défaut. L'adresse MAC virtuelle est l'adresse qui sera renvoyée
lorsqu'une requête ARP est envoyée par un hôte. Les hôtes ne savent pas ou ne se soucient pas du routeur physique
transférer réellement le trafic, comme vous pouvez le voir sur la Figure 16.8 .
Page 345
Figure 16.8 Les FHRP utilisent un routeur virtuel avec une adresse IP virtuelle et une adresse MAC virtuelle.
Il est de la responsabilité du protocole de redondance de décider quel routeur physique sera activement
transférer le trafic et lequel sera mis en veille en cas de panne du routeur actif. Même si le
routeur actif échoue, la transition vers le routeur de secours sera transparente pour les hôtes car
le routeur virtuel, qui est identifié par les adresses IP et MAC virtuelles, est maintenant utilisé par le
routeur de secours. Les hôtes ne modifient jamais les informations de passerelle par défaut, le trafic continue donc de circuler.
une panne de périphérique, et les solutions d'équilibrage de charge répartissent la charge de travail sur
plusieurs appareils.
Il existe trois protocoles de redondance importants, mais seul HSRP est couvert sur le CCNA
objectifs maintenant :
Hot Standby Router Protocol (HSRP) HSRP est de loin le protocole préféré de Cisco ! Ne pas
n'achetez qu'un seul routeur ; acheter jusqu'à huit routeurs pour fournir le même service et en garder sept
sauvegarde en cas de panne ! HSRP est un protocole propriétaire de Cisco qui fournit un
passerelle pour les hôtes sur un sous-réseau local, mais ce n'est pas une solution à charge équilibrée. HSRP vous permet de
configurer deux routeurs ou plus dans un groupe de secours qui partage une adresse IP et une adresse MAC
et fournit une passerelle par défaut. Lorsque les adresses IP et MAC sont indépendantes du
adresses physiques des routeurs (sur une interface virtuelle, non liée à une interface spécifique), HSRP peut
échanger le contrôle d'une adresse si le transfert actuel et le routeur actif échouent. Mais il y a en fait un
manière dont vous pouvez en quelque sorte réaliser l'équilibrage de charge avec HSRP, en utilisant plusieurs VLAN et en désignant
un routeur spécifique actif pour un VLAN, puis un autre routeur actif pour l'autre VLAN via
goulotte. Ce n'est toujours pas une véritable solution d'équilibrage de charge et ce n'est pas aussi solide que ce que vous pouvez
réaliser avec GLBP !
Virtual Router Redundancy Protocol (VRRP) Fournit également un protocole redondant, mais encore une fois, pas
à charge équilibrée : passerelle pour les hôtes sur un sous-réseau local. C'est un protocole standard ouvert qui fonctionne
presque identique à HSRP.
Page 346
Gateway Load Balancing Protocol (GLBP) Pour la vie de moi, je ne peux pas comprendre comment GLBP
n'est plus un objectif du CCNA ! GLBP ne se contente pas de nous fournir un
passerelle; c'est une véritable solution d'équilibrage de charge pour les routeurs. GLBP autorise un maximum de quatre routeurs
dans chaque groupe de renvoi. Par défaut, le routeur actif dirige le trafic des hôtes vers chaque
routeur successif dans le groupe à l'aide d'un algorithme à répétition. Les hôtes sont invités à envoyer
leur trafic vers un routeur spécifique en recevant l'adresse MAC du prochain routeur en ligne pour
être utilisé.
Routeur actif
Routeur de secours
Routeur virtuel
Le problème avec HSRP est qu'avec lui, un seul routeur est actif et deux ou plusieurs routeurs sont simplement assis
là en mode veille et ne sera pas utilisé à moins qu'une panne ne se produise - pas très rentable ou
efficace! La figure 16.9 montre comment un seul routeur est utilisé à la fois dans un groupe HSRP.
Le groupe de secours aura toujours au moins deux routeurs qui y participent. Les principaux acteurs de
le groupe est un routeur actif et un routeur de secours qui communiquent entre eux à l'aide
Messages Hello en multidiffusion. Les messages Hello fournissent toutes les communications requises pour le
routeurs. Les Hellos contiennent les informations nécessaires pour accomplir l'élection qui détermine
les positions du routeur actif et en veille. Ils détiennent également la clé du processus de basculement. Si la
le routeur de secours cesse de recevoir les paquets Hello du routeur actif, il prend alors le relais du routeur actif.
le rôle du routeur, comme illustré à la Figure 16.9 et à la Figure 16.10 .
Page 347
Dès que le routeur actif cesse de répondre aux Hellos, le routeur en veille
devient le routeur actif et commence à répondre aux demandes des hôtes.
L'adresse MAC HSRP ne contient qu'une seule variable. Les 24 premiers bits identifient toujours le
fournisseur qui a fabriqué l'appareil (l'identifiant organisationnel unique, ou OUI). Le suivant
16 bits dans l'adresse nous indiquent que l'adresse MAC est une adresse MAC HSRP bien connue. Finalement,
les 8 derniers bits de l'adresse sont la représentation hexadécimale du numéro de groupe HSRP.
Permettez-moi de clarifier tout cela avec un exemple de ce à quoi ressemblerait une adresse MAC HSRP :
0000.0c07.ac0a
Les 24 premiers bits (0000.0c) sont l'ID du fournisseur de l'adresse ; dans le cas où HSRP est un
Protocole Cisco, l'ID est attribué à Cisco.
Les 16 bits suivants (07.ac) sont l'ID HSRP bien connu. Cette partie de l'adresse a été attribuée
par Cisco dans le protocole, il est donc toujours facile de reconnaître que cette adresse est à utiliser avec
HSRP.
Les 8 derniers bits (0a) sont les seuls bits variables et représentent le numéro de groupe HSRP que vous
attribuer. Dans ce cas, le numéro de groupe est 10 et converti en hexadécimal lorsqu'il est placé dans le
Adresse MAC, où elle devient le 0a que vous voyez.
Page 348
Vous pouvez voir cela affiché avec chaque adresse MAC ajoutée au cache ARP de chaque routeur dans
le groupe HSRP. Il y aura la traduction de l'adresse IP vers l'adresse MAC, ainsi que
l'interface sur laquelle il se trouve.
Minuteurs HSRP
Avant d'approfondir les rôles que chacun des routeurs peut avoir dans un groupe HSRP, je veux
définir les temporisateurs HSRP pour que HSRP fonctionne car ils assurent la communication entre les
routeurs, et si quelque chose ne va pas, ils permettent au routeur de secours de prendre le relais. Le HSRP
les minuteries incluent hello , hold , active et standby .
Hello timer Le hello timer est l'intervalle défini pendant lequel chacun des routeurs envoie
Bonjour messages. Leur intervalle par défaut est de 3 secondes et ils identifient l'état dans lequel chaque routeur est
Ceci est important car l'état particulier détermine le rôle spécifique de chaque routeur et,
en conséquence, les actions que chacun entreprendra au sein du groupe. La figure 16.11 montre les messages Hello
envoyé et le routeur utilisant la minuterie hello pour maintenir le flux du réseau en cas de panne.
Cette minuterie peut être modifiée, et les gens évitaient de le faire parce qu'on pensait que
abaisser la valeur hello placerait une charge inutile sur les routeurs. Ce n'est pas vrai avec
la plupart des routeurs aujourd'hui ; en fait, vous pouvez configurer les temporisateurs en millisecondes, ce qui signifie que le
le temps de basculement peut être en millisecondes ! Cependant, gardez à l'esprit que l'augmentation de la valeur rendra le
le routeur de secours attend plus longtemps avant de prendre le relais du routeur actif lorsqu'il tombe en panne ou ne peut pas
communiquer.
Temporisateur d'attente Le temporisateur d' attente spécifie l'intervalle que le routeur de secours utilise pour déterminer si
le routeur actif est hors ligne ou hors communication. Par défaut, le temporisateur d'attente est de 10 secondes,
environ trois fois la valeur par défaut pour la minuterie hello. Si une minuterie est modifiée pour une raison quelconque, je
recommande d'utiliser ce multiplicateur pour ajuster également les autres minuteries. En réglant la minuterie de maintien à trois
fois le bonjour timer, vous vous assurez que le routeur de secours ne prend pas le rôle actif chaque
temps il y a une courte pause dans la communication.
Page 349
Minuterie active La minuterie active surveille l'état du routeur actif. La minuterie se réinitialise chaque
moment où un routeur du groupe de veille reçoit un paquet Hello du routeur actif. Cette minuterie
expire en fonction de la valeur du temps d'attente définie dans le champ correspondant du HSRP Hello
un message.
Minuterie de veille La minuterie de veille est utilisée pour surveiller l'état du routeur de veille. La minuterie
se réinitialise à chaque fois qu'un routeur du groupe de veille reçoit un paquet Hello du routeur de veille et
expire en fonction de la valeur du temps d'attente définie dans le paquet Hello respectif.
Cependant, comme nous l'avons vu au cours des dernières années et le verrons certainement à l'avenir, 10 secondes
est maintenant une vie! Certains de mes clients se sont plaints du temps de basculement et
perte de connectivité à leur batterie de serveurs virtuels.
Dernièrement, j'ai changé les minuteries bien en deçà des valeurs par défaut. Cisco avait changé le
minuteries afin que vous puissiez utiliser des temps inférieurs à la seconde pour le basculement. Étant donné qu'il s'agit de paquets multicast,
le surcoût qui est vu sur un réseau à grande vitesse actuel est presque rien.
La minuterie hello est généralement réglée sur 200 ms et le temps de maintien est de 700 ms. La commande est
comme suit:
Cela garantit presque que même pas un seul paquet n'est perdu en cas de panne.
Rôles de groupe
Chacun des routeurs du groupe de secours a une fonction et un rôle spécifiques à remplir. Les trois principaux
les rôles sont en tant que routeur virtuel, routeur actif et routeur de secours. Des routeurs supplémentaires peuvent également être
inclus dans le groupe.
Routeur virtuel Comme son nom l'indique, le routeur virtuel n'est pas une entité physique. C'est vraiment juste
définit le rôle détenu par l'un des routeurs physiques. Le routeur physique qui communique
car le routeur virtuel est le routeur actif actuel. Le routeur virtuel n'est rien de plus qu'un
une adresse IP et une adresse MAC distinctes auxquelles les paquets sont envoyés.
Routeur actif Le routeur actif est le routeur physique qui reçoit les données envoyées au
l'adresse du routeur et l'achemine vers ses différentes destinations. Comme je l'ai mentionné, ce routeur
accepte toutes les données envoyées à l'adresse MAC du routeur virtuel en plus des données qui sont
envoyé à sa propre adresse MAC physique. Le routeur actif traite les données en cours
transmis et répondra également à toutes les requêtes ARP destinées à l'adresse IP du routeur virtuel.
Routeur de secours Le routeur de secours est la sauvegarde du routeur actif. Son travail consiste à surveiller la
statut du groupe HSRP et prendre rapidement en charge les responsabilités de transfert de paquets si le groupe actif
le routeur tombe en panne ou perd la communication. Les routeurs actif et en veille transmettent tous les deux Hello
messages pour informer tous les autres routeurs du groupe de leur rôle et de leur état.
Autres routeurs Un groupe HSRP peut inclure des routeurs supplémentaires, qui sont membres du groupe
mais ne prenez pas les rôles principaux d'états actif ou de veille. Ces routeurs surveillent le
Messages Hello envoyés par les routeurs actif et en veille pour s'assurer qu'un
routeur existe pour le groupe HSRP auquel ils appartiennent. Ils transmettront des données spécifiquement
adressés à leurs propres adresses IP, mais ils ne transmettront jamais les données adressées au