CCNA Doc 2 FR

Page 1
Revenez au chapitre 2, « Mise en réseau Ethernet et encapsulation de données », pour
passez en revue comment configurer un PC et lui permettre de se connecter à un port de console de routeur.
Vous pouvez également vous connecter à un routeur Cisco via un port auxiliaire , ce qui est vraiment la même chose
en tant que port de console, il s'ensuit que vous pouvez l'utiliser comme un seul. La principale différence avec un auxiliaire
est qu'il vous permet également de configurer les commandes du modem afin qu'un modem puisse être connecté
au routeur. C'est une fonctionnalité intéressante car elle vous permet de connecter un routeur distant et de vous connecter au
port auxiliaire si le routeur est en panne et que vous devez le configurer à distance, hors bande . Un des
les différences entre les routeurs et les commutateurs Cisco sont que les commutateurs n'ont pas de port auxiliaire.
La troisième façon de se connecter à un appareil Cisco est intrabande , via le programme Telnet ou Secure
Shell (SSH) . In-band signifie configurer l'appareil via le réseau, à l'opposé de l' out-of-band .
Nous avons couvert Telnet et SSH au chapitre 3, « Introduction à TCP/IP », et dans ce chapitre, je vais
vous montrer comment configurer l'accès à ces deux protocoles sur un périphérique Cisco.
La figure 6.1 montre une illustration d'un commutateur Cisco 2960. Concentrez-vous vraiment sur tous les types
d'interfaces et de connexions ! Sur le côté droit se trouve la liaison montante 10/100/1000. Vous pouvez utiliser soit
le port UTP ou le port fibre, mais pas les deux à la fois.
FIGURE 6.1 Un commutateur Cisco 2960
Le commutateur 3560 que j'utiliserai dans ce livre ressemble beaucoup au 2960, mais il peut effectuer la couche 3
commutation, contrairement au 2960, qui est limité aux seules fonctions de la couche 2.
Je veux aussi prendre un moment et vous parler du routeur de la série 2800 parce que c'est le routeur
série que je vais utiliser dans ce livre. Ce routeur est connu sous le nom de routeur à services intégrés (ISR) et
Cisco l'a mis à jour vers la série 2900, mais j'ai encore beaucoup de routeurs de la série 2800 dans mon
réseaux de production. La figure 6.2 montre un nouveau routeur de la série 1900. La nouvelle série de routeurs ISR
Sont gentils; ils sont ainsi nommés car de nombreux services, comme la sécurité, y sont intégrés. L'ISR
Le routeur de la série est un appareil modulaire, beaucoup plus rapide et beaucoup plus élégant que l'ancienne série 2600
routeurs, et il est élégamment conçu pour prendre en charge une large gamme d'options d'interface. Le nouveau
Le routeur de la série ISR peut offrir plusieurs interfaces série, qui peuvent être utilisées pour connecter un T1 à l'aide
une connexion WAN série V.35. Et plusieurs ports Fast Ethernet ou Gigabit Ethernet peuvent être utilisés
sur le routeur, selon le modèle. Ce routeur dispose également d'une console via un connecteur RJ45
et un autre via le port USB. Il y a aussi une connexion auxiliaire pour permettre une console
connexion via un modem distant.
FIGURE 6.2 Un nouveau routeur Cisco 1900
Vous devez garder à l'esprit que la plupart du temps, vous en avez pour votre argent avec
le 2800/2900, à moins que vous ne commenciez à y ajouter un tas d'interfaces. Vous avez à poney pour
chacune de ces petites beautés, donc cela peut vraiment commencer à s'additionner et rapidement !
Quelques autres séries de routeurs qui vous coûteront beaucoup moins que la série 2800 sont les
1800/1900, alors regardez ces routeurs si vous voulez une alternative moins chère au
Page 2
2800/2900 mais souhaitez toujours exécuter le même IOS.

Donc, même si je vais utiliser principalement des routeurs de la série 2800 et des commutateurs 2960/3560
tout au long de ce livre pour montrer des exemples de configurations IOS, je tiens à souligner que le
Le modèle de routeur particulier que vous utilisez pour vous entraîner à l'examen Cisco n'est pas vraiment important. L' interrupteur
types sont, cependant, vous avez certainement besoin de quelques commutateurs 2960 ainsi que d'un commutateur 3560 si vous
voulez être à la hauteur des objectifs de l'examen !
Vous pouvez trouver plus d'informations sur tous les routeurs Cisco sur
www.cisco.com/en/US/products/hw/routers/index.html .
Faire apparaître un interrupteur

Lorsque vous ouvrez un périphérique Cisco IOS pour la première fois, il exécute un auto-test à la mise sous tension, un POST. Sur
en passant cela, la machine recherchera puis chargera le Cisco IOS à partir de la mémoire flash si un IOS
fichier est présent, puis développez-le dans la RAM. Comme vous le savez probablement, la mémoire flash est électroniquement
mémoire morte programmable effaçable—une EEPROM. L'étape suivante consiste pour l'IOS à localiser
et chargez une configuration valide connue sous le nom de startup-config qui sera stockée dans la RAM non volatile
(NVRAM) .
Une fois l'IOS chargé et opérationnel, la configuration de démarrage sera copiée de la NVRAM dans
RAM et à partir de ce moment-là appelé le running-config.
Mais si une configuration de démarrage valide n'est pas trouvée dans la NVRAM, votre commutateur entrera en mode de configuration, vous donnant
une boîte de dialogue étape par étape pour aider à configurer certains paramètres de base dessus.
Vous pouvez également entrer en mode configuration à tout moment à partir de la ligne de commande en tapant la commande setup
du mode privilégié, auquel je reviendrai dans une minute. Le mode de configuration ne couvre que certains éléments de base
commandes et n'est généralement pas vraiment utile. Voici un exemple :
Voulez-vous entrer dans la boîte de dialogue de configuration initiale? [oui / non]: y
À tout moment, vous pouvez entrer un point d'interrogation '?' pour aider.
Utilisez ctrl-c pour abandonner la boîte de dialogue de configuration à n'importe quelle invite.
Les paramètres par défaut sont entre crochets '[]'.
La configuration de gestion de base ne configure que suffisamment de connectivité

pour la gestion du système, la configuration étendue vous demandera
pour configurer chaque interface sur le système
Souhaitez-vous accéder à la configuration de gestion de base ? [oui / non]: y

Configuration des paramètres globaux :
Saisissez le nom d'hôte [Switch] : Ctrl+C

Configuration abandonnée, aucune modification apportée.
Vous pouvez quitter le mode de configuration à tout moment en appuyant sur Ctrl+C.
Je recommande fortement de passer par le mode de configuration une fois, puis plus jamais parce que vous devriez
utilisez toujours la CLI à la place !
Interface de ligne de commande (CLI)

J'appelle parfois la CLI « interface de ligne de trésorerie » parce que la possibilité de créer des
les configurations sur les routeurs et les commutateurs Cisco utilisant la CLI vous rapporteront de l'argent décent !
Entrer dans la CLI
Page 3
Une fois que les messages d'état de l'interface apparaissent et que vous appuyez sur Entrée, l' invite Switch> apparaîtra.
C'est ce qu'on appelle le mode d'exécution utilisateur , ou mode utilisateur en abrégé, et bien qu'il soit principalement utilisé pour afficher
statistiques, c'est aussi un tremplin vers la connexion au mode d'exécution privilégié , appelé
mode privilégié pour faire court.
Vous pouvez afficher et modifier la configuration d'un routeur Cisco uniquement en mode privilégié, et
vous l'entrez via la commande enable comme ceci :
Commutateur> activer
Changer#
L' invite Switch# signale que vous êtes en mode privilégié où vous pouvez à la fois afficher et modifier le
configuration du commutateur. Vous pouvez revenir du mode privilégié au mode utilisateur en utilisant la désactivation
commander:
Commutateur # désactiver
Commutateur>
Vous pouvez saisir logout depuis l'un ou l'autre mode pour quitter la console :
Basculer> se déconnecter
Le commutateur con0 est maintenant disponible
Appuyez sur RETOUR pour commencer.
Ensuite, je vais montrer comment effectuer certaines configurations administratives de base.
Présentation des modes du routeur

Pour configurer à partir d'une CLI, vous pouvez apporter des modifications globales au routeur en tapant configure terminal
ou simplement config t . Cela vous amènera en mode de configuration globale où vous pourrez apporter des modifications à
la configuration en cours d'exécution. Les commandes exécutées à partir du mode de configuration globale sont référencées de manière prévisible
en tant que commandes globales, et elles ne sont généralement définies qu'une seule fois et affectent l'ensemble du routeur.
Tapez config à partir de l'invite du mode privilégié, puis appuyez sur Entrée pour opter pour la valeur par défaut de
terminal comme ceci :
# configuration du commutateur
Configuration à partir du terminal, de la mémoire ou du réseau [terminal] ? [ appuyez sur entrée ]
Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z.
Commutateur(config)#
À ce stade, vous apportez des modifications qui affectent le routeur dans son ensemble (globalement), d'où le terme global
mode de configuration . Par exemple, pour modifier la configuration courante, la configuration actuelle
fonctionnant dans la RAM dynamique (DRAM) - utilisez la commande configure terminal , comme je viens de le démontrer.
Invites CLI
Explorons les différentes invites que vous rencontrerez lors de la configuration d'un commutateur ou d'un routeur maintenant,
car bien les connaître vous aidera vraiment à vous orienter et à reconnaître exactement où vous
sont à tout moment en mode de configuration. Je vais démontrer certaines des invites
utilisé sur un commutateur Cisco et couvrent les différents termes utilisés en cours de route. Assurez-vous que vous êtes très
familiarisez-vous avec eux, et vérifiez toujours vos invites avant d'apporter des modifications à un routeur
configuration!
Nous n'allons pas nous aventurer dans chaque dernière invite de commande obscure que vous pourriez potentiellement venir
dans le monde du mode de configuration parce que cela nous plongerait profondément dans un territoire qui est
au-delà de la portée de ce livre. Au lieu de cela, je vais me concentrer sur les invites que vous devez absolument
savoir pour réussir l'examen ainsi que ceux très pratiques et vraiment vitaux dont vous aurez besoin et que vous utiliserez le plus
dans le réseautage réel, la crème de la crème.
Ne paniquez pas ! Il n'est pas important que vous compreniez exactement ce que chacun de ces
les invites de commande accomplissent pour l'instant parce que je vais vous renseigner complètement sur tout
eux très bientôt. Pour l'instant, détendez-vous et concentrez-vous sur le fait de vous familiariser avec les différents
Page 4
invites disponibles et tout ira bien!
Interfaces
Pour apporter des modifications à une interface, vous utilisez la commande interface de la configuration globale
mode:
Switch(config)# interface ?
Asynchrone Interface asynchrone
BVI Interface virtuelle de groupe de pont
CTunnel Interface CTunnel
Numéroteur Interface de numérotation
FastEthernet FastEthernet IEEE 802.3
Filtre Filtrer l'interface
Groupe de filtres Interface de groupe de filtres
GigabitEthernet GigabitEthernet IEEE 802.3z
Groupe-Async Interface de groupe asynchrone
Lex Interface lexique
Bouclage Interface de bouclage
Nul Interface nulle
Port-channel Ethernet Canal d'interfaces
Groupe de ports Interface de groupe de ports
Pos-canal POS Canal d'interfaces
Tunnel Interface de tunnel
Vif Interface hôte de multidiffusion PGM
Interface de modèle virtuel de modèle virtuel
Virtual-TokenRing Virtual TokenRing
Vlan Vlans catalyseurs
FCPA Fibre Channel
gamme commande de plage d'interface
Switch(config)# interface fastEthernet 0/1
Commutateur(config-if)#)
Avez-vous remarqué que l'invite est devenue Switch(config-if)# ? Cela vous indique que vous êtes dans
mode de configuration des interfaces . Et ne serait-il pas bien que l'invite vous donne également une indication
de quelle interface tu étais en train de configurer ? Eh bien, au moins pour l'instant, nous devrons vivre sans le
des informations rapides, car ce n'est pas le cas. Mais il devrait déjà être clair pour vous que vous avez vraiment besoin
faire attention lors de la configuration d'un périphérique IOS !
Commandes de ligne
Pour configurer les mots de passe en mode utilisateur, utilisez la commande line . L'invite devient alors
Switch(config-line)# :
Switch(config)# ligne ?
<0-16> Numéro de première ligne
console Ligne terminale primaire
vty Terminal virtuel
Switch(config)# ligne console 0
Commutateur (ligne de configuration)#
La commande line console 0 est une commande globale, et parfois vous entendrez également des personnes se référer à
commandes globales comme commandes principales. Dans cet exemple, toute commande tapée à partir de (config-
line) est connue comme une sous-commande.
Configurations de liste d'accès
Pour configurer une liste d'accès nommée standard, vous devez accéder à l'invite Switch(config-std-
ncl)# :
Switch# config t
Switch(config)# ip access-list standard Todd
Commutateur (config-std-nacl)#
Ce que vous voyez ici est une invite ACL standard de base typique. Il existe différentes manières de configurer
listes d'accès, et les invites ne sont que légèrement différentes de cet exemple particulier.
Configurations de protocole de routage
Je dois souligner que nous n'utilisons pas de protocoles de routage ou de routeur sur les commutateurs 2960, mais nous pouvons
Page 5
et je les utiliserai sur mes commutateurs 3560. Voici un exemple de configuration de routage sur une couche 3
changer:
Switch(config)# routeur rip

Routage IP non activé
Switch(config)# routage ip
Switch(config)# routeur rip
Commutateur (config-routeur)#
Avez-vous remarqué que l'invite est devenue Switch(config-router)# ? Pour vous assurer d'atteindre le
objectifs spécifiques à l'examen Cisco et à ce livre, je vais configurer le routage statique, RIPv2 et
RIPng. Et ne vous inquiétez pas, j'expliquerai tout cela en détail bientôt, au chapitre 9, « Routage IP » et
Chapitre 14, « Protocole Internet version 6 (IPv6) » !
Définition des termes du routeur
Le tableau 6.1 définit certains des termes que j'ai utilisés jusqu'à présent.
TABLEAU 6.1 Termes du routeur
Mode Définition
Mode d'exécution utilisateur Limité aux commandes de surveillance de base
Mode d'exécution privilégié Donne accès à toutes les autres commandes du routeur
Mode de configuration globale Commandes qui affectent l'ensemble du système
Modes de configuration spécifiques Commandes affectant uniquement les interfaces/processus
Mode de configuration Boîte de dialogue de configuration interactive
Fonctionnalités d'édition et d'aide

Les fonctionnalités d'édition avancées de Cisco peuvent également vous aider à configurer votre routeur. Si vous saisissez un
point d'interrogation ( ? ) à n'importe quelle invite, vous recevrez une liste de toutes les commandes disponibles à partir de cette
rapide:
Commutateur # ?
Exécuter les commandes :
access-enable Créer une entrée de liste d'accès temporaire
access-template Créer une entrée de liste d'accès temporaire
archiver gérer les fichiers d'archives
CD Changer le répertoire courant
dégager Fonctions de réinitialisation
l'horloge Gérer l'horloge système
cns Agents du SNC
configurer Entrer en mode configuration
relier Ouvrir une connexion terminale
copie Copier d'un fichier à un autre
déboguer Fonctions de débogage (voir aussi 'undebug')
effacer Supprimer un fichier
diagnostic Commandes de diagnostic
réal Lister les fichiers sur un système de fichiers
désactiver Désactiver les commandes privilégiées
déconnecter Déconnecter une connexion réseau existante
point1x Commandes d'exécution IEEE 802.1X
permettre Activer les commandes privilégiées
euh EAPoUDP
effacer Effacer un système de fichiers
sortir Sortie de l'EXEC
––Plus–– ?
Appuyez sur RETOUR pour une autre ligne, ESPACE pour une autre page, autre chose pour quitter
Et si ce n'est pas assez d'informations pour vous, vous pouvez appuyer sur la barre d'espace pour obtenir un autre entier
page d'informations, ou vous pouvez appuyer sur Entrée pour passer une commande à la fois. Vous pouvez également appuyer sur Q,
ou toute autre touche d'ailleurs, pour quitter et revenir à l'invite. Remarquez que j'ai tapé une question
marque (?) à l' invite plus et il m'a dit quelles étaient mes options à partir de cette invite.
Voici un raccourci : pour rechercher des commandes commençant par une certaine lettre, utilisez la lettre et le
point d'interrogation sans espace entre eux, comme ceci :
Page 6
Commutateur # c?
cd effacer l'horloge cns configurer
connecter la copie
Commutateur # c
D'accord, tu vois ça ? En tapant c? , j'ai reçu une réponse listant toutes les commandes commençant par c . Aussi
notez que l' invite Switch# c réapparaît après l'affichage de la liste des commandes. Cela peut être
vraiment utile lorsque vous travaillez avec de longues commandes mais que vous manquez de patience
et encore besoin du prochain possible. Il vieillirait vite si vous deviez réellement retaper l'intégralité
commande à chaque fois que vous utilisez un point d'interrogation !
Alors avec ça, trouvons la commande suivante dans une chaîne en tapant la première commande puis un
point d'interrogation:
Commutateur# horloge ?
régler Régler l'heure et la date
Switch# horloge réglée ?

hh:mm:ss Heure actuelle
Switch# horloge réglée 2:34 ?

% Commande non reconnue
Commutateur# horloge réglé 2:34:01 ?
<1-31> Jour du mois
MOIS Mois de l'année
Switch# clock set 2:34:01 21 juillet ?

<1993-2035> Année
Switch# horloge réglée 2:34:01 21 août 2013

Changer#
00:19:45 : %SYS-6-CLOCKUPDATE : l'horloge système a été mise à jour à partir de 00:19:45
UTC lun. 1 mars 1993 à 02:34:01 UTC mer. 21 août 2013, configuré à partir de la console
par console.
J'ai entré l' horloge ? commande et a obtenu une liste des prochains paramètres possibles ainsi que ce qu'ils font.
Notez que vous pouvez simplement continuer à taper une commande, un espace, puis une question
marquez jusqu'à ce que <cr> (retour chariot) soit votre seule option restante.
Et si vous tapez des commandes et recevez
Commutateur# horloge réglé 11:15:11

% Commande incomplète.
pas de soucis, cela vous dit seulement que la chaîne de commande n'est tout simplement pas encore complète. Tous
vous devez faire est d'appuyer sur la touche fléchée vers le haut pour réafficher la dernière commande entrée, puis
continuez avec la commande en utilisant votre point d'interrogation.
Mais si vous obtenez l'erreur
Switch(config)# access-list 100 permit host 1.1.1.1 host 2.2.2.2

^
% Entrée non valide détectée au marqueur '^'.
tout ne va pas bien car cela signifie que vous avez entré une commande de manière incorrecte. Voir ce petit
caret—le ^ ? C'est un outil très utile qui marque le point exact où vous l'avez fait sauter et fait un
désordre.
Voici un autre exemple de cas où vous verrez ce caret :
Switch# sh fastethernet 0/0

^
Cette commande semble correcte, mais soyez prudent ! Le problème est que la commande complète est show interface
Fastethernet 0/0 .
Maintenant, si vous recevez l'erreur
Commutateur# sh cl
% Commande ambiguë : "sh cl"
on vous dit qu'il y a plusieurs commandes qui commencent par la chaîne que vous avez entrée et c'est
Page 7
Pas unique. Utilisez le point d'interrogation pour trouver la commande exacte dont vous avez besoin :
Commutateur # sh cl?
cluster d'horloge de mappage de classe
Exemple : il y a trois commandes qui commencent par show cl .
Le Tableau 6.2 répertorie les commandes d'édition améliorées disponibles sur un routeur Cisco.
TABLEAU 6.2 Commandes d'édition améliorées
Commande Signification
Ctrl+A Déplace votre curseur au début de la ligne
Ctrl+E Déplace votre curseur à la fin de la ligne
Échap+B Recule d'un mot
Ctrl+B Recule d'un caractère
Ctrl+F Avance d'un caractère
Echap+F Avance d'un mot
Ctrl+D Supprime un seul caractère
Retour arrière Supprime un seul caractère
Ctrl+R Réaffiche une ligne
Ctrl+U Efface une ligne

Ctrl+W Efface un mot
Ctrl+Z Termine le mode de configuration et retourne à EXEC
Languette Termine de taper une commande pour vous
Une autre fonctionnalité d'édition vraiment intéressante que vous devez connaître est le défilement automatique de longs
lignes. Dans l'exemple suivant, la commande que j'ai tapée a atteint la marge de droite et automatiquement
déplacé de 11 cases vers la gauche. Comment puis-je savoir cela? Parce que le signe dollar [ $ ] me dit que le
la ligne a été défilée vers la gauche :
Switch# config t
Commutateur (config) # 100 $ autorisent l'hôte IP 192.168.10.1 192.168.10.0 0.0.0.255
Vous pouvez consulter l'historique des commandes du routeur avec les commandes indiquées dans le Tableau 6.3 .
TABLEAU 6.3 Historique des commandes IOS
Commander Sens
Ctrl+P ou flèche vers le haut Affiche la dernière commande entrée
Ctrl+N ou flèche vers le bas Affiche les commandes saisies précédemment
afficher l'historique Affiche les 20 dernières commandes entrées par défaut
afficher le terminal Affiche les configurations de terminal et la taille de la mémoire tampon d'historique
taille de l'historique du terminal Modifie la taille du tampon (max 256)
L'exemple suivant illustre la commande show history ainsi que la façon de modifier le
taille de l'histoire. Il montre également comment vérifier l'historique avec la commande show terminal . Première utilisation
la commande show history , qui vous permettra de voir les 20 dernières commandes entrées sur
le routeur (même si mon routeur particulier ne révèle que 10 commandes car c'est tout ce que j'ai
entré depuis son redémarrage). Vérifiez-le:
Switch# sh historique
sh fastethernet 0/0
sh ru
sh cl
Page 8
configuration t
sh histoire
sh flash
sh running-config
sh startup-config
sh ver
sh histoire
Bon, maintenant, nous allons utiliser la commande show terminal pour vérifier la taille de l'historique du terminal :
Commutateur # sh terminal
Ligne 0, Emplacement : "", Tapez : ""
Longueur : 24 lignes, Largeur : 80 colonnes
Le débit en bauds (TX/RX) est de 9600/9600, pas de parité, 2 bits d'arrêt, 8 bits de données
État : PSI activé, prêt, actif, Ctrl-c activé, Automore activé
0x40000
Capacités : aucune
État du modem : Prêt
[coupure de sortie]
Le type de modem est inconnu.
La limite de session n'est pas définie.
Temps depuis l'activation : 00:17:22
L'édition est activée.
L'historique est activé, la taille de l'historique est de 10.
La résolution DNS dans les commandes show est activée
L'aide complète à l'utilisateur est désactivée
Aucun transport d'entrée autorisé n'est autorisé.
Les transports de sortie autorisés sont telnet.
Le transport préféré est telnet.
Aucun caractère de sortie n'est rempli
Aucun caractère spécial de répartition des données
Quand dois-je utiliser les fonctionnalités d'édition Cisco ?
Vous vous retrouverez à utiliser quelques fonctionnalités d'édition assez souvent et d'autres moins, si à
tous. Comprenez que Cisco ne les a pas inventées ; ce ne sont que de vieilles commandes Unix ! Toutefois,
Ctrl+A est toujours un moyen très utile d'annuler une commande.
Par exemple, si vous deviez entrer une commande longue et décider ensuite que vous ne voulez pas utiliser
cette commande dans votre configuration après tout, ou si cela ne fonctionnait pas, vous pouvez simplement appuyer sur
votre flèche vers le haut pour afficher la dernière commande entrée, appuyez sur Ctrl+A, tapez non puis un
espace, appuyez sur Entrée et pouf ! La commande est annulée. Cela ne fonctionne pas sur tous
commande, mais cela fonctionne sur beaucoup d'entre eux et fait gagner un temps considérable !
Configurations administratives
Même si les sections suivantes ne sont pas critiques pour faire un routeur ou un commutateur travail sur un
réseau, ils sont toujours très importants. Je vais vous guider à travers la configuration spécifique
commandes particulièrement utiles lors de l'administration de votre réseau.
Vous pouvez configurer les fonctions administratives suivantes sur un routeur et un commutateur :
Noms d'hôtes
Bannières
Mots de passe
Description des interfaces
N'oubliez pas qu'aucun de ces éléments ne permettra à vos routeurs ou commutateurs de fonctionner mieux ou plus rapidement, mais croyez-moi,
votre vie sera bien meilleure si vous prenez juste le temps de régler ces configurations sur chacun des
vos périphériques réseau. En effet, cela facilite le dépannage et la maintenance de votre
réseauter beaucoup plus facilement—sérieusement ! Dans cette prochaine section, je vais démontrer des commandes sur un
Commutateur Cisco, mais comprenez que ces commandes sont utilisées exactement de la même manière sur un Cisco
Page 9
routeur.
Noms d'hôtes
Nous utilisons la commande hostname pour définir l'identité du routeur et du commutateur. C'est seulement localement
significatif, ce qui signifie qu'il n'affecte pas la façon dont le routeur ou le commutateur effectue les recherches de nom ou la façon dont le
l'appareil fonctionne réellement sur l'interréseau. Mais le nom d'hôte est toujours important dans les routes car
il est souvent utilisé pour l'authentification dans de nombreux réseaux étendus (WAN). Voici un exemple :
Switch# config t
Switch(config)# nom d'hôte Todd
Todd(config)# nom d'hôte Chicago
Chicago(config)# nom d'hôte Todd
Todd(config)#
Je sais qu'il est assez tentant de configurer le nom d'hôte après votre propre nom, mais c'est généralement un
bien meilleure idée de nommer l'appareil quelque chose qui se rapporte à son emplacement physique. Un nom qui
les cartes de l'endroit où se trouve l'appareil faciliteront grandement sa recherche, ce qui, entre autres,
confirme que vous configurez réellement le bon périphérique. Même s'il semble que je suis
abandonnant complètement mes propres conseils en nommant le mien Todd , je ne le suis pas, car cet appareil particulier
vit vraiment dans le bureau de « Todd ». Son nom correspond parfaitement à l'endroit où il se trouve, il ne sera donc pas confondu
avec ceux des autres réseaux avec lesquels je travaille !
Bannières
Une très bonne raison d'avoir une bannière est de donner à tous ceux qui osent essayer de telnet ou de se faufiler
dans votre interréseau un petit avis de sécurité. Et ils sont très cool parce que vous pouvez créer et
personnalisez-les afin qu'ils accueillent toute personne qui se présente sur le routeur avec exactement le
informations que vous voulez qu'ils aient !
Voici les trois types de bannières que vous devez connaître :
Bannière de création de processus d'exécution
Bannière de connexion
Message du jour bannière
Et vous pouvez les voir tous illustrés dans le code suivant :
Todd(config)# bannière ?
LIGNE c banner-text c, où 'c' est un caractère de délimitation
l'exécutif Définir la bannière de création de processus EXEC
entrant Définir la bannière de la ligne de terminal entrante
connexion Définir la bannière de connexion
mot Définir la bannière du message du jour
prompt-timeout Définir le message pour le délai d'expiration de l'authentification de connexion
slip-ppp Définir le message pour SLIP/PPP
Les bannières Message du jour (MOTD) sont les bannières les plus utilisées car elles donnent une
message à toute personne se connectant au routeur via Telnet ou un port auxiliaire ou même via un
port de console comme vu ici :
Todd(config)# banner motd ?

LIGNE c banner-text c, où 'c' est un caractère de délimitation
Todd(config)# banner motd #
Entrez le message TEXTE. Terminez par le caractère '#'.
$ Acme.com réseau, alors vous devez vous déconnecter immédiatement.
#
Todd(config)# ^Z (Appuyez sur la touche Ctrl + les touches z pour revenir en mode privilégié)
Todd# sortie
con0 est maintenant disponible
Appuyez sur RETOUR pour commencer.
Si vous n'êtes pas autorisé à faire partie du réseau Acme.com, vous
doit se déconnecter immédiatement.
Todd#
Cette bannière MOTD indique essentiellement à toute personne se connectant à l'appareil de se perdre si elle n'est pas allumée
Page 10
la liste des invités. La partie sur laquelle se concentrer ici est le caractère délimitant, qui est ce qui informe le
routeur, le message est terminé. De toute évidence, vous pouvez utiliser n'importe quel caractère pour cela, à l'exception du
caractère délimitant dans le message lui-même. Une fois le message terminé, appuyez sur Entrée, puis sur le
caractère de délimitation, puis appuyez à nouveau sur Entrée. Tout fonctionnera toujours si vous ne suivez pas cela
routine sauf si vous avez plus d'une bannière. Si tel est le cas, assurez-vous de le suivre ou
vos bannières seront toutes regroupées en un seul message et mises sur une seule ligne !
Vous pouvez définir une bannière sur une ligne comme ceci :
Todd(config)# banner motd x Accès non autorisé interdit ! X
Prenons une minute pour détailler les deux autres types de bannières que j'ai mentionnés :
Bannière d' exécution Vous pouvez configurer une bannière d'activation de ligne (exec) à afficher lors de l'exécution
des processus tels qu'une activation de ligne ou une connexion entrante à une ligne VTY ont été créés.
Le simple fait de lancer une session d'exécution utilisateur via un port de console activera la bannière d'exécution.
Bannière de connexion Vous pouvez configurer une bannière de connexion à afficher sur tous les terminaux connectés. Ce sera
apparaissent après la bannière MOTD mais avant les invites de connexion. Cette bannière de connexion ne peut pas être désactivée
sur une base par ligne, donc pour le désactiver globalement, vous devez le supprimer avec la connexion sans bannière
commander.
Voici à quoi ressemble une sortie de bannière de connexion :
!
connexion à la bannière ^C
—————————————————————————————————————————————————— —————————————————————————
Cisco Router and Security Device Manager (SDM) est installé sur cet appareil.
Cette fonctionnalité nécessite l'utilisation unique du nom d'utilisateur « cisco »
avec le mot de passe "cisco". Le nom d'utilisateur et le mot de passe par défaut
avoir un niveau de privilège de 15.
Veuillez modifier ces identifiants initiaux publiquement connus en utilisant
SDM ou l'interface de ligne de commande IOS.
Voici les commandes Cisco IOS.
nom d'utilisateur <monutilisateur> privilège 15 secret 0 <monmotdepasse>
pas de nom d'utilisateur cisco
Remplacez <myuser> et <mypassword> par le nom d'utilisateur et
mot de passe que vous souhaitez utiliser.
Pour plus d'informations sur SDM, veuillez suivre les instructions
dans le GUIDE DE DÉMARRAGE RAPIDE de votre routeur ou rendez-vous sur www.cisco.com/go/sdm
—————————————————————————————————————————————————— ——————————————————————————–
^C
!
La bannière de connexion précédente devrait sembler assez familière à quiconque s'est déjà connecté à un ISR
routeur car c'est la bannière que Cisco a dans la configuration par défaut de ses routeurs ISR.
N'oubliez pas que la bannière de connexion s'affiche avant les invites de connexion et après
la bannière MOTD.
Définition des mots de passe

Vous aurez besoin de cinq mots de passe pour sécuriser vos routeurs Cisco : console, auxiliaire, telnet/SSH
(VTY), activez le mot de passe et activez le secret. Le secret d'activation et le mot de passe d'activation sont ceux
utilisé pour définir le mot de passe pour sécuriser le mode privilégié. Une fois les commandes d' activation définies, les utilisateurs
sera invité à saisir un mot de passe. Les trois autres sont utilisés pour configurer un mot de passe lorsque l'utilisateur
Le mode est accessible via le port console, via le port auxiliaire ou via Telnet.
Jetons un coup d'œil à chacun d'eux maintenant.
Activer les mots de passe
Vous définissez les mots de passe d'activation à partir du mode de configuration global comme ceci :
Todd(config)# activer ?
Page 11
dernier recours Définir l'action d'activation si aucun serveur TACACS

répondre
mot de passe Attribuer le mot de passe de niveau privilégié
secret Attribuer le secret de niveau privilégié
use-tacacs Utilisez TACACS pour vérifier les mots de passe d'activation
La liste suivante décrit les paramètres d'activation du mot de passe :
dernier recours Cela

vous permet toujours d'entrer dans l'appareil si vous configurez l'authentification via un
serveur TACACS et il n'est pas disponible. Il ne sera pas utilisé si le serveur TACACS fonctionne.
mot de passe Cecidéfinit le mot de passe d'activation sur les systèmes antérieurs à 10.3 et n'est jamais utilisé si un
le secret est établi.
secret Le mot de passe crypté le plus récent qui remplace le mot de passe d'activation s'il a été défini.
use-tacacs Ceci
indique au routeur ou au commutateur de s'authentifier via un serveur TACACS. Il entre
vraiment pratique quand on a beaucoup de routeurs car changer le mot de passe sur une multitude de
ils peuvent être incroyablement fastidieux. Il est beaucoup plus facile de simplement passer par le serveur TACACS et
ne changez le mot de passe qu'une seule fois !
Voici un exemple qui montre comment définir les mots de passe d'activation :
Todd(config)# activer le secret todd

Todd(config)# activer le mot de passe todd
Le mot de passe d'activation que vous avez choisi est le même que votre
activer le secret. Ce n'est pas recommandé. Entrez à nouveau dans le
activer le mot de passe.
Si vous essayez de définir le secret d'activation et d'activer les mots de passe de la même manière, l'appareil vous donnera un poli
avertissement pour changer le deuxième mot de passe. Notez bien que s'il n'y a pas de vieux
routeurs hérités impliqués, vous ne prenez même pas la peine d'utiliser le mot de passe d'activation !
Les mots de passe en mode utilisateur sont attribués via la commande de ligne comme ceci :
Todd(config)# ligne ?
<0-16> Numéro de première ligne
console Ligne terminale primaire
vty Terminal virtuel
Et ces deux lignes sont particulièrement importantes pour les objectifs de l'examen :
console Définit un mot de passe pour le mode utilisateur de la console.
vty Définit un mot de passe Telnet sur le périphérique. Si ce mot de passe n'est pas défini, par défaut, Telnet ne peut pas
être utilisé.
Pour configurer les mots de passe en mode utilisateur, choisissez la ligne souhaitée et configurez-la à l'aide du login
commande pour que le commutateur invite à l'authentification. Concentrons-nous sur la configuration de
lignes individuelles maintenant.
Mot de passe de la console
Nous définissons le mot de passe de la console avec la commande line console 0 , mais regardez ce qui s'est passé lorsque j'ai
essayé de taper la ligne console ? à partir de l' invite (config-line)# : j'ai reçu une erreur ! Ici se trouve le
Exemple:
Todd(config-line)# ligne console ?

Todd(ligne de configuration)# sortie
Todd(config)# ligne console ?
<0-0> Numéro de la première ligne
Todd(config)# ligne console 0
Todd(config-line)# console de mot de passe
Todd(ligne de configuration)# connexion
Vous pouvez toujours taper la ligne console 0 et cela sera accepté, mais les écrans d'aide ne fonctionnent tout simplement pas
à partir de cette invite. Tapez exit pour revenir d'un niveau et vous constaterez que vos écrans d'aide s'affichent maintenant
travail. Il s'agit d'une « fonctionnalité ». Vraiment.
Parce qu'il n'y a qu'un seul port de console, je ne peux choisir que la ligne console 0. Vous pouvez définir toute votre ligne
Page 12
mots de passe au même mot de passe, mais ce n'est pas exactement une mesure de sécurité brillante !
Et il est également important de se rappeler d'appliquer la commande de connexion ou le port de console ne

demande d'authentification. La façon dont Cisco a configuré ce processus signifie que vous ne pouvez pas définir la connexion
commande avant qu'un mot de passe ne soit défini sur une ligne car si vous le définissez mais ne définissez pas de mot de passe,
cette ligne ne sera pas utilisable. Vous serez en fait invité à entrer un mot de passe qui n'existe pas, donc Cisco
la méthode n'est pas seulement une corvée ; c'est logique et c'est une caractéristique après tout !
N'oubliez pas que bien que Cisco dispose de cette « fonctionnalité de mot de passe » sur son
routeurs commençant par IOS 12.2 et versions ultérieures, il n'est pas inclus dans les anciens IOS.
D'accord, vous devez connaître quelques autres commandes importantes concernant le port de console.
D'une part, la commande exec-timeout 0 0 définit le délai d'expiration de la session EXEC de la console à zéro,
s'assurer qu'il n'expire jamais. Le délai d'attente par défaut est de 10 minutes.
Si vous vous sentez malicieux, essayez ceci sur les personnes au travail : définissez le délai d'expiration de l' exécution
commande à 0 1. Cela fera expirer la console en 1 seconde, et pour le réparer, vous devez
appuyez continuellement sur la touche fléchée vers le bas tout en modifiant le temps d'attente avec votre main libre !
La journalisation synchrone est

une commande tellement intéressante qu'elle devrait être une valeur par défaut, mais ce n'est pas le cas. C'est bien
parce que c'est l'antidote pour ces messages de console ennuyeux qui perturbent l'entrée que vous essayez
à taper. Les messages apparaîtront toujours, mais au moins vous reviendrez à l'invite de votre appareil
sans que votre saisie soit interrompue ! Cela rend vos messages d'entrée beaucoup plus faciles à
lire!
Voici un exemple de configuration des deux commandes :
Todd(config-line)# ligne con 0

Todd(config-line)# exec-timeout ?
<0-35791> Délai d'attente en minutes
Todd(config-line)# exec-timeout 0 ?
<0-2147483> Délai d'attente en secondes
<cr>
Todd(ligne de configuration)# exec-timeout 0 0
Todd(config-line)# journalisation synchrone
Vous pouvez configurer la console pour qu'elle passe de ne jamais expirer (0 0) à expirer en 35 791
minutes et 2 147 483 secondes. N'oubliez pas que la valeur par défaut est de 10 minutes.
Mot de passe Telnet
Pour définir le mot de passe en mode utilisateur pour l'accès Telnet au routeur ou au commutateur, utilisez la ligne vty
commander. Les commutateurs IOS ont généralement 16 lignes, mais les routeurs exécutant l'édition Enterprise ont
considérablement plus. La meilleure façon de savoir combien de lignes vous avez est d'utiliser cette
point d'interrogation comme ceci :
Todd(config-line)# ligne vty 0 ?

Todd(ligne de configuration)# sortie
Todd(config)# ligne vty 0 ?
<1-15> Numéro de la dernière ligne
<cr>
Todd(config)# ligne vty 0 15
Todd(ligne de configuration)# mot de passe telnet
Page 13
Cette sortie montre clairement que vous ne pouvez pas obtenir d'aide de votre invite (config-line)# . Vous devez aller
retour en mode de configuration globale afin d'utiliser le point d'interrogation ( ? ).
Alors, que se passera-t-il si vous essayez de vous connecter par telnet à un appareil qui n'a pas de mot de passe VTY défini ? Vous allez
recevoir une erreur indiquant que la connexion a été refusée car le mot de passe n'est pas défini. Alors, si vous
telnet dans un commutateur et recevez un message comme celui-ci que j'ai reçu du commutateur B
Todd# telnet SwitchB

Essayer SwitchB (10.0.0.1)…Ouvrir
Mot de passe requis, mais aucun défini

[Connexion à SwitchB fermée par un hôte étranger]
Todd#
cela signifie que le commutateur n'a pas défini de mot de passe VTY. Mais tu peux toujours contourner ça et dire
le commutateur pour autoriser les connexions Telnet sans mot de passe en utilisant la commande no login :
SwitchB(config-line)# ligne vty 0 15

SwitchB(config-line)# pas de connexion
Je ne recommande absolument pas d'utiliser la commande no login pour autoriser Telnet
connexions sans mot de passe, sauf si vous êtes dans un environnement de test ou de classe. Dans un
réseau de production, définissez toujours votre mot de passe VTY !
Une fois vos appareils IOS configurés avec une adresse IP, vous pouvez utiliser le programme Telnet pour
configurez et vérifiez vos routeurs au lieu d'avoir à utiliser un câble de console. Vous pouvez utiliser Telnet
programme en tapant telnet à partir de n'importe quelle invite de commande (DOS ou Cisco). Je couvrirai tout ce qui concerne Telnet
plus en détail au chapitre 7, « Gestion d'un interréseau Cisco ».
Mot de passe auxiliaire
Pour configurer le mot de passe auxiliaire sur un routeur, passez en mode de configuration globale et tapez line
aux ? .
Et au fait, vous ne trouverez pas ces ports sur un commutateur. Cette sortie montre que vous obtenez seulement
un choix de 0 à 0, car il n'y a qu'un seul port :
Todd# config t
Todd(config)# ligne aux ?
<0-0> Numéro de la première ligne
Todd(config)# ligne aux 0
% Connexion désactivée sur la ligne 1, jusqu'à ce que le « mot de passe » soit défini
Todd(config-line)# mot de passe aux
Configuration de Secure Shell (SSH)
Je recommande fortement d'utiliser Secure Shell (SSH) au lieu de Telnet car cela crée un plus
session sécurisée. L'application Telnet utilise un flux de données non crypté, mais SSH utilise
clés de cryptage pour envoyer des données afin que votre nom d'utilisateur et votre mot de passe ne soient pas envoyés en clair, vulnérable
à tous ceux qui rôdent !
Voici les étapes de configuration de SSH :
1. Définissez votre nom d'hôte :
Routeur(config)# nom d'hôte Todd
2. Définissez le nom de domaine—le nom d'hôte et le nom de domaine sont requis pour le cryptage
clés à générer :
Todd(config)# ip nom de domaine Lammle.com
3. Définissez le nom d'utilisateur pour autoriser l'accès client SSH :
Todd(config)# nom d'utilisateur Todd mot de passe Lammle
Page 14
4. Générez les clés de chiffrement pour sécuriser la session :
Todd(config)# clé de chiffrement génère rsa

Le nom des clés sera : Todd.Lammle.com
Choisissez la taille du module de clé dans la plage de 360 à
4096 pour vos clés à usage général. Choisir un module de clé
Plus de 512 peut prendre quelques minutes.
Combien de bits dans le module [512] : 1024

% Génération de clés RSA 1024 bits, les clés seront non exportables...
[OK] (le temps écoulé était de 6 secondes)
Todd(config)#
1d14h : %SSH-5-ENABLED : SSH 1.99 a été activé*24 juin
19:25:30.035 : %SSH-5-ENABLED : SSH 1.99 a été activé
5. Activez SSH version 2 sur l'appareil, non obligatoire, mais fortement suggéré :
Todd (config) # ip ssh version 2
6. Connectez-vous aux lignes VTY du commutateur ou du routeur :
Todd(config)# ligne vty 0 15
7. Dites aux lignes d'utiliser la base de données locale pour le mot de passe :
Todd(config-line)# connexion locale
8. Configurez vos protocoles d'accès :
Todd(config-line)# entrée de transport ?

tous Tous les protocoles
aucun Aucun protocole
ssh TCP/IP protocole SSH
telnet TCP/IP Protocole Telnet
Méfiez-vous de cette ligne suivante, et assurez-vous de ne jamais l'utiliser en production car c'est un
terrible risque de sécurité :
Todd(config-line)# transport input all
Je recommande d'utiliser la ligne suivante pour sécuriser vos lignes VTY avec SSH :
Todd(config-line)# transport input ssh ?

telnet TCP/IP Protocole Telnet
<cr>
En fait, j'utilise Telnet de temps en temps lorsqu'une situation l'exige spécifiquement. C'est juste
n'arrive pas très souvent. Mais si vous voulez utiliser Telnet, voici comment procéder :
Todd(config-line)# transport input ssh telnet
Sachez que si vous n'utilisez pas le mot-clé telnet à la fin de la chaîne de commande, alors seulement SSH
fonctionnera sur l'appareil. Vous pouvez choisir l'un ou l'autre, tant que vous comprenez que SSH est bien
plus sûr que Telnet.
Cryptage de vos mots de passe

Étant donné que seul le mot de passe secret d'activation est chiffré par défaut, vous devrez manuellement
configurer le mode utilisateur et activer les mots de passe pour le cryptage.
Notez que vous pouvez voir tous les mots de passe sauf le secret d'activation lors de l'exécution d'un spectacle
running-config sur un commutateur :
Todd# sh running-config
Configuration du bâtiment...
Configuration actuelle : 1020 octets

!
! Dernier changement de configuration à 00:03:11 UTC lun. 1 mars 1993
!
version 15.0
pas de tampon de service
les horodatages de service déboguent datetime msec
Page 15
horodatage du service journal datetime msec

pas de service de cryptage de mot de passe
!
nom d'hôte Todd
!
activer le secret 4 ykw.3/tgsOuy9.6qmgG/EeYOYgBvfX4v.S8UNA9Rddg
activer le mot de passe todd
!
[coupure de sortie]
!
ligne con 0
console de mot de passe
connexion
ligne vty 0 4
mot de passe telnet
connexion
ligne vty 5 15
mot de passe telnet
connexion
!
finir
Pour chiffrer manuellement vos mots de passe, utilisez la commande service password-encryption . Voici comment:
Todd# config t
Chiffrement du mot de passe du service Todd(config)#
Todd(config)# sortie
Todd# show run
!
!
activer le secret 4 ykw.3/tgsOuy9.6qmgG/EeYOYgBvfX4v.S8UNA9Rddg
activer le mot de passe 7 1506040800
!
[coupure de sortie]
!
!
ligne con 0
mot de passe 7 050809013243420C
connexion
ligne vty 0 4
mot de passe 7 06120A2D424B1D
connexion
ligne vty 5 15
mot de passe 7 06120A2D424B1D
connexion
!
finir
Todd# config t
Todd(config)# pas de service de cryptage de mot de passe
Todd(config)# ^Z
Todd#
Bien joué, les mots de passe seront désormais cryptés. Tout ce que vous avez à faire est de crypter les mots de passe,
effectuez un show run , puis désactivez la commande si vous le souhaitez. Cette sortie nous montre clairement que le
activer le mot de passe et les mots de passe de ligne sont tous cryptés.
Avant de découvrir comment définir des descriptions sur vos interfaces, je tiens à souligner certains
points sur le cryptage des mots de passe. Comme je l'ai dit, si vous définissez vos mots de passe, puis activez le
commande service password-encryption ,
vous devez effectuer un show running-config avant de tourner
désactiver le service de cryptage ou vos mots de passe ne seront pas cryptés. Vous n'avez pas besoin d'éteindre le
service de cryptage du tout - vous ne le feriez que si votre commutateur manque de processus. Et si
vous activez le service avant de définir vos mots de passe, vous n'avez même pas besoin de les afficher pour
les faire crypter.
Descriptifs
Définir des descriptions sur une interface est une autre chose utile sur le plan administratif, et comme le
hostname, il n'est également significatif que localement. Un cas où la commande de description entre en jeu
vraiment pratique, c'est quand vous voulez garder une trace des numéros de circuit sur un commutateur ou le numéro de série d'un routeur
port WAN.
Page 16
Voici un exemple sur mon switch :
Todd# config t
Todd(config)# int fa0/1
Todd(config-if)# description Sales VLAN Trunk Link
Todd(config-if)# ^Z
Todd#
Et sur un routeur série WAN :
Routeur# config t
Routeur(config)# int s0/0/0
Routeur(config-if)# description WAN vers Miami
Routeur(config-if)# ^Z
Vous pouvez afficher la description d'une interface avec la commande show running-config ou la commande show
interface — même avec la commande show interface description :
Todd#sh court

!
interface FastEthernet0/1
description Ventes VLAN Trunk Link
!
[coupure de sortie]
Todd# sh int f0/1
FastEthernet0/1 est actif, le protocole de ligne est actif (connecté)
Le matériel est Fast Ethernet, l'adresse est ecc8.8202.8282 (bia ecc8.8202.8282)
Description : lien de jonction VLAN de vente
MTU 1500 octets, BW 100000 Kbit/sec, DLY 100 usec,
[coupure de sortie]
Todd# sh int description

Interface Statut Description du protocole
Vl1 en haut en haut
Fa0/1 en haut up Sales VLAN Trunk Link
Fa0/2 en haut en haut
description: Une commande utile
Bob, un administrateur réseau senior chez Acme Corporation à San Francisco, possède plus de 50 liens WAN
à des succursales partout aux États-Unis et au Canada. Chaque fois qu'une interface tombe en panne,
Bob perd beaucoup de temps à essayer de comprendre le numéro de circuit et le numéro de téléphone du
fournisseur de sa liaison WAN défaillante.
Ce genre de scénario montre à quel point la commande de description d' interface peut être utile. Ce
permettrait à Bob d'économiser beaucoup de travail car il pourrait l'utiliser sur ses liaisons LAN de commutation les plus importantes
pour savoir exactement où chaque interface est connectée. La vie de Bob serait aussi beaucoup faite
plus facile en ajoutant des numéros de circuit à chaque interface WAN sur ses routeurs, ainsi que
avec le numéro de téléphone du fournisseur responsable.
Alors si Bob avait juste pris le temps d'ajouter préventivement cette information à son
interfaces, il se serait épargné un océan de stress et une tonne de temps précieux quand
ses liens WAN tombent inévitablement en panne !
Faire la commande do
Dans tous les exemples précédents jusqu'à présent, nous avons dû exécuter toutes les commandes show à partir du mode privilégié. Mais
J'ai de bonnes nouvelles : à partir de la version 12.3 d'IOS, Cisco a finalement ajouté une commande au
IOS qui permet de visualiser la configuration et les statistiques depuis le mode configuration !
En fait, avec n'importe quel IOS, vous obtiendrez l'erreur suivante si vous essayez d'afficher la configuration à partir de
configuration globale :
Page 17
Todd(config)# sh exécuter
^
Comparez cela à la sortie que j'obtiens en entrant cette même commande sur mon routeur en cours d'exécution
l'IOS 15.0 en utilisant la syntaxe "do":
Todd(config)# affiche l'exécution


!
version 15.0
pas de tampon de service
les horodatages de service déboguent datetime msec
horodatage du service journal datetime msec
!
nom d'hôte Todd
!
marqueur de démarrage
marqueur de fin de démarrage
!
[coupure de sortie]
Alors maintenant, vous pouvez à peu près exécuter n'importe quelle commande à partir de n'importe quelle invite de configuration.
En repensant à tous ces exemples de cryptage de nos mots de passe, vous pouvez voir que le do
commande aurait certainement commencé la fête plus tôt, faisant de cette innovation un
célébrer à coup sûr!
Interfaces de routeur et de commutateur

La configuration de l'interface est sans doute la configuration de routeur la plus importante car sans
interfaces, un routeur est un objet assez inutile. De plus, les configurations d'interface doivent être
totalement précis pour permettre la communication avec d'autres appareils. Adresses de couche réseau, médias
type, bande passante et autres commandes d'administrateur sont toutes utilisées pour configurer une interface.
Sur un commutateur de couche 2, les configurations d'interface impliquent généralement beaucoup moins de travail que le routeur
configuration des interfaces. Vérifiez la sortie de la puissante commande de vérification show ip
bref d'interface , qui révèle toutes les interfaces sur mon commutateur 3560 :
Présentation de l'interface de livraison Todd#
Interface Adresse IP OK ? État de la méthode Protocole
Vlan1 192.168.255.8 OUI DHCP activé en haut
FastEthernet0/1 non affecté OUI non configuré en haut
FastEthernet0/3 non affecté OUI non configuré vers le bas
GigabitEthernet0/1 non affecté OUI non configuré vers le bas
La sortie précédente affiche le port routé par défaut trouvé sur tous les commutateurs Cisco (VLAN 1), plus
neuf ports d'interface FastEthernet de commutateur, un port étant un port Ethernet Gigabit utilisé pour
liaisons montantes vers d'autres commutateurs.
Différents routeurs utilisent différentes méthodes pour choisir les interfaces utilisées sur eux. Par exemple, le
la commande suivante montre l'un de mes routeurs Cisco 2800 ISR avec deux interfaces FastEthernet
avec deux interfaces WAN série :
Routeur> bref d'expédition

FastEthernet0/0 192.168.255.11 OUI DHCP activé en haut
FastEthernet0/1 unassigned OUI unset administrativement down down
Serial0/0/0 unassigned OUI unset administrativement down down
Routeur>
Auparavant, nous utilisions toujours la séquence de numéros de type d'interface pour configurer une interface, mais le
Page 18
les routeurs plus récents sont livrés avec un emplacement physique réel et incluent un numéro de port sur le module
branché dessus. Ainsi, sur un routeur modulaire, la configuration serait le type d' interface slot/port , comme
démontré ici :
Todd# config t
Todd(config)# interface GigabitEthernet 0/1
Todd(config-if)#
Vous pouvez voir que nous sommes maintenant à l'invite Gigabit Ethernet slot 0, port 1, et à partir de là, nous pouvons
apporter des modifications de configuration à l'interface. Prenez note du fait que vous ne pouvez pas simplement taper int
gigabithernet 0 .
Pas de raccourcis sur le slot/port—vous devez taper les variables slot/port dans le
commande : tapez slot/port ou, par exemple, intgigabitethernet 0/1 (ou simplement int g0/1 ).
Une fois en mode de configuration de l'interface, nous pouvons configurer diverses options. Gardez à l'esprit que la vitesse
et duplex sont les deux facteurs à prendre en compte pour le LAN :
Todd# config t
Todd(config)# interface GigabitEthernet 0/1
Todd(config-if)# vitesse 1000
Todd(config-if)# duplex complet
Alors que s'est-il passé ici ? Eh bien, en gros, cela a désactivé le mécanisme de détection automatique sur le port,
l'obligeant à n'exécuter que des vitesses gigabit en duplex intégral. Pour le routeur de la série ISR, il s'agit essentiellement du
même chose, mais vous obtenez encore plus d'options ! Les interfaces LAN sont les mêmes, mais le reste du
les modules sont différents : ils utilisent trois nombres au lieu de deux. Les trois nombres utilisés ici peuvent
représentent slot/subslot/port , mais cela dépend de la carte utilisée dans le routeur ISR. Pour le
objectifs, vous devez juste vous rappeler ceci : le premier 0 est le routeur lui-même. Vous choisissez ensuite le
slot puis le port. Voici un exemple d'interface série sur mon 2811 :
Todd(config)# interface série ?

<0-2> Numéro d'interface série
Todd(config)# interface série 0/0/?
<0-1> Numéro d'interface série
Todd(config)# interface série 0/0/0
Todd(config-if)#
Cela peut vous sembler un peu risqué, mais je vous promets que ce n'est vraiment pas si difficile ! ça aide à se souvenir
que vous devriez toujours afficher la sortie de la commande show ip interface brief ou un show running-
config sortie
en premier afin que vous sachiez les interfaces exactes avec lesquelles vous devez traiter. Voici l'un de mes
La sortie du 2811 qui a encore plus d'interfaces série installées :
Todd(config-if)# affiche l'exécution

[coupure de sortie]
!
pas d'adresse ip
fermer
recto-verso automatique
vitesse automatique
!
pas d'adresse ip
fermer
vitesse automatique
!
interface Série0/0/0
pas d'adresse ip
fermer
pas de file d'attente
!
pas d'adresse ip
fermer
!
pas d'adresse ip
fermer
!
Page 19
pas d'adresse ip
fermer
fréquence d'horloge 2000000
!
[coupure de sortie]
Par souci de concision, je n'ai pas inclus ma configuration de fonctionnement complète, mais je vous ai tout affiché
vraiment besoin. Vous pouvez voir les deux interfaces FastEthernet intégrées, les deux interfaces série dans l'emplacement
0 (0/0/0 et 0/0/1), l'interface série dans l'emplacement 1 (0/1/0) et l'interface série dans l'emplacement 2
(0/2/0). Et une fois que vous voyez les interfaces comme celle-ci, il est beaucoup plus facile de comprendre comment le
modules sont insérés dans le routeur.
Comprenez simplement que si vous tapez interface e0 sur un ancien routeur de la série 2500, interface fastethernet
0/0 sur
un routeur modulaire (comme le routeur de la série 2800), ou interface série 0/1/0 sur un ISR
routeur, tout ce que vous faites est de choisir une interface à configurer. Essentiellement, ils sont tous
configuré de la même manière après cela.
Approfondissons notre discussion sur l'interface du routeur en explorant comment faire apparaître l'interface
et définissez ensuite une adresse IP.
Faire apparaître une interface
Vous pouvez désactiver une interface avec la commande d'interface shutdown et l'activer avec le no
commande d' arrêt . Juste pour vous rappeler, tous les ports de commutation sont activés par défaut et tous les ports de routeur
sont désactivés par défaut, nous allons donc parler davantage de ports de routeur que de ports de commutateur dans le
quelques sections suivantes.
Si une interface est fermée, elle s'affichera comme administrativement arrêtée lorsque vous utiliserez le show
commande interfaces ( sh int pour faire court):
Routeur# sh int f0/0
FastEthernet0/1 est en panne administrative, le protocole de ligne est en panne
[coupure de sortie]
Une autre façon de vérifier l'état d'une interface consiste à utiliser la commande show running-config . Tu peux apporter
jusqu'à l'interface du routeur avec la commande no shutdown ( no shutdown pour faire court) :
Routeur(config)# int f0/0

Routeur(config-if)# pas d'arrêt
*21 août 13:45:08.455 : %LINK-3-UPDOWN : Interface FastEthernet0/0,
changé d'état en haut
Le routeur (config-if) # affiche l'int f0/0
FastEthernet0/0 est actif, le protocole de ligne est actif
[coupure de sortie]
Configuration d'une adresse IP sur une interface
Même si vous n'êtes pas obligé d'utiliser l'IP sur vos routeurs, c'est généralement ce que tout le monde utilise. À
configurer les adresses IP sur une interface, utilisez la commande ip address de la configuration de l'interface
et rappelez-vous que vous ne définissez pas d'adresse IP sur un port de commutateur de couche 2 !
Todd(config)# int f0/1

Todd(config-if)# adresse IP 172.16.10.2 255.255.255.0
En outre, ne pas oublier de permettre à l'interface avec l' arrêt aucune commande. N'oubliez pas de regarder le
commande show interface int sortie pour voir si l'interface est administrativement arrêtée ou non.
Show ip int brief et show running-config vous donneront également ces informations.
La commande ip address address mask démarre le traitement IP sur le routeur
interface. Encore une fois, vous ne configurez pas d'adresse IP sur une interface de commutateur de couche 2 !
D'accord, maintenant si vous souhaitez ajouter une deuxième adresse de sous-réseau à une interface, vous devez utiliser le
paramètre secondaire . Si vous saisissez une autre adresse IP et appuyez sur Entrée, elle remplacera l'adresse IP existante.
Page 20
adresse IP principale et masque. C'est certainement l'une des fonctionnalités les plus intéressantes de Cisco IOS !
Essayons donc. Pour ajouter une adresse IP secondaire, utilisez simplement le paramètre secondaire :
Todd(config-if)# adresse IP 172.16.20.2 255.255.255.0 ?

secondaire Faire de cette adresse IP une adresse secondaire
<cr>
Todd(config-if)# adresse IP 172.16.20.2 255.255.255.0 secondaire
Todd(config-if)# est- ce qu'il s'exécute
[coupure de sortie]
adresse IP 172.16.20.2 255.255.255.0 secondaire
adresse IP 172.16.10.2 255.255.255.0
vitesse automatique
!
Mais je dois m'arrêter ici pour vous dire que je ne recommanderais vraiment pas d'avoir plusieurs IP
adresses sur une interface car c'est vraiment inefficace. Je t'ai montré comment de toute façon juste au cas où
vous vous retrouvez un jour face à un gestionnaire de SIG amoureux d'un très mauvais réseau
concevoir et vous fait administrer! Et qui sait? Peut-être que quelqu'un vous posera des questions à ce sujet
un jour et vous aurez l'air vraiment intelligent parce que vous le savez.
Utiliser le tuyau
Non, pas ce tuyau. Je veux dire le modificateur de sortie. Cependant, je dois dire que certains des routeurs
les configurations que j'ai pu voir dans ma carrière me font rêver ! Quoi qu'il en soit, ce tuyau ( | ) nous permet de patauger
à travers toutes les configurations ou autres sorties longues et accédez directement à nos marchandises rapidement. Voici un
Exemple:
Routeur# sh exécuter | ?
ajouter Ajouter la sortie redirigée à l'URL (URL prenant en charge l'ajout
fonctionnement uniquement)
commencer Commencer par la ligne qui correspond
exclure Exclure les lignes qui correspondent
inclure Inclure les lignes qui correspondent
rediriger Rediriger la sortie vers l'URL
section Filtrer une section de sortie
tee Copier la sortie vers l'URL
Routeur# sh exécuter | commencer l'interface

description VLAN de vente
adresse IP 10.10.10.1 255.255.255.248
vitesse automatique
!
adresse IP 172.16.20.2 255.255.255.0 secondaire
adresse IP 172.16.10.2 255.255.255.0
vitesse automatique
!
description Wan à SF numéro de circuit 6fdda 12345678
pas d'adresse ip
!
Donc, fondamentalement, le symbole du tuyau - le modificateur de sortie - est ce dont vous avez besoin pour vous aider à arriver là où vous
voulez aller des années-lumière plus vite que de fouiller dans toute la configuration d'un routeur. Je l'utilise beaucoup
lors de l'examen d'une grande table de routage pour savoir si une certaine route est dans la table de routage.
Voici un exemple :
Todd# itinéraire de navigation | inclure 192.168.3.32

R 192.168.3.32 [120/2] via 10.10.10.8, 00:00:25, FastEthernet0/0
Todd#
Tout d'abord, vous devez savoir que cette table de routage avait plus de 100 entrées, donc sans mon fidèle tuyau,
Je serais probablement encore en train de parcourir cette sortie ! C'est un outil puissant et efficace qui vous fait économiser
beaucoup de temps et d'efforts en trouvant rapidement une ligne dans une configuration - ou comme dans l'exemple précédent
Page 21
montre, une seule route dans une immense table de routage.
Donnez-vous un peu de temps pour jouer avec la commande pipe pour vous y habituer et vous serez
naturellement élevé sur votre nouvelle capacité à analyser rapidement la sortie du routeur !
Commandes d'interface série
Mais attendez! Avant de vous lancer et de configurer une interface série, vous avez besoin d'une clé
informations, comme savoir que l'interface sera généralement attachée à un périphérique de type CSU/DSU qui
fournit la synchronisation de la ligne au routeur. Consultez la figure 6.3 pour un exemple.
FIGURE 6.3 Une connexion WAN typique. La synchronisation est généralement fournie par un réseau DCE pour
routeurs. Dans les environnements hors production, un réseau DCE n'est pas toujours présent.
Ici vous pouvez voir que l'interface série est utilisée pour se connecter à un réseau DCE via un CSU/DSU
qui fournit la synchronisation à l'interface du routeur. Mais si vous avez une configuration dos à dos,
comme celui qui est utilisé dans un environnement de laboratoire comme celui de la Figure 6.4 , une extrémité—les données
l'extrémité du câble de l'équipement de communication (DCE) – doit fournir la synchronisation !
FIGURE 6.4 Fourniture d'un pointage sur un réseau hors production
Par défaut, les interfaces série des routeurs Cisco sont toutes des interfaces d'équipement de terminal de données (DTE), qui
signifie que vous devez configurer une interface pour fournir la synchronisation si vous en avez besoin pour agir comme un DCE
Page 22
dispositif. Encore une fois, vous ne fourniriez pas de pointage sur une connexion série WAN de production car
vous auriez un CSU/DSU connecté à votre interface série, comme le montre la figure 6.3 .
Vous configurez une interface série DCE avec la commande clock rate :
Routeur# config t
Fréquence d'horloge du routeur(config-if)# ?
Vitesse (bits par seconde)
1200
2400
4800
9600
14400
19200
28800
32000
38400
48000
56000
57600
64000
72000
115200
125000
128000
148000
192000
250000
256000
384000
500000
512000
768000
800000
1000000
2000000
4000000
5300000
8000000
< 300-8000000 > Choisissez la fréquence d'horloge dans la liste ci-dessus

Routeur(config-if)# fréquence d'horloge 1000000
La fréquence d'horloge de commande est définie en bits par seconde. En plus de regarder l'extrémité du câble pour vérifier un
étiquette de DCE ou DTE, vous pouvez voir si l'interface série d'un routeur a un câble DCE connecté au
commande show controllers int :
Routeur# sh contrôleurs s0/0/0

Interface Série0/0/0
Le matériel est GT96K
DTE V.35idb à 0x4342FCB0, structure de données de pilote à 0x434373D4
Voici un exemple de sortie représentant une connexion DCE :
Routeur# sh contrôleurs s0/2/0

DCE V.35, fréquence d'horloge 1000000
La prochaine commande que vous devez connaître est la commande de bande passante . Chaque Cisco
Le routeur est livré avec une bande passante de liaison série par défaut de T1 (1,544 Mbps). Mais cela n'a rien à voir
avec la façon dont les données sont transférées sur un lien. La bande passante d'une liaison série est utilisée par le routage
protocoles tels que EIGRP et OSPF pour calculer le meilleur chemin de coût vers un réseau distant. Donc si
vous utilisez le routage RIP, le paramètre de bande passante d'une liaison série n'a pas d'importance puisque le RIP n'utilise que
nombre de sauts pour le déterminer.
Vous êtes peut-être en train de relire cette partie et de penser : «
Métrique?" Mais ne paniquez pas ! Je vais revoir tout ça bientôt au chapitre 9.
Page 23
Voici un exemple d'utilisation de la commande de bande passante :
Routeur# config t
Routeur(config-if)# bande passante ?
<1-10000000> Bande passante en kilobits
hériter Spécifie que la bande passante est héritée
recevoir Spécifier la bande passante côté réception
Routeur(config-if)# bande passante 1000
Avez-vous remarqué que, contrairement à la commande de fréquence d'horloge , la commande de bande passante est configurée dans
kilobits par seconde ?
Après avoir parcouru tous ces exemples de configuration concernant la fréquence d'horloge
commande, comprenez que les nouveaux routeurs ISR détectent automatiquement les connexions DCE et
réglez la fréquence d'horloge sur 2000000. Mais sachez que vous devez toujours comprendre la fréquence d'horloge
commande pour les objectifs Cisco, même si les nouveaux routeurs le configurent automatiquement pour vous !
Affichage, enregistrement et effacement des configurations

Si vous passez en mode configuration, il vous sera demandé si vous souhaitez utiliser la configuration que vous venez de
créé. Si vous dites oui, la configuration s'exécutant dans la DRAM connue sous le nom de running-config sera
être copié dans la NVRAM et le fichier sera nommé startup-config . J'espère que vous serez intelligent et
utilisez toujours la CLI, pas le mode configuration !
Vous pouvez enregistrer manuellement le fichier de la DRAM, qui est généralement simplement appelée RAM, vers la NVRAM en
à l'aide de la commande copy running-config startup-config . Vous pouvez utiliser le raccourci de démarrage de la copie en tant que
bien:
Todd# copier running-config startup-config

Nom du fichier de destination [startup-config] ? [ appuyez sur entrée ]
[D'ACCORD]
Todd#
Lorsque vous voyez une question avec une réponse entre [] , cela signifie que si vous appuyez simplement sur Entrée, vous êtes
choisir la réponse par défaut.
De plus, lorsque la commande demande le nom du fichier de destination, la réponse par défaut est startup-config.
La raison pour laquelle il vous le demande est que vous pouvez copier la configuration à peu près n'importe où.
Jetez un oeil à la sortie de mon commutateur:
Todd# copy running-config ?
éclat: Copier dans la flash : système de fichiers

ftp : Copier vers ftp : système de fichiers
http: Copier vers http: système de fichiers
https : Copier vers https : système de fichiers
nul: Copier vers null : système de fichiers
nvram : Copier sur nvram : système de fichiers
rcp : Copier dans rcp : système de fichiers
running-config Mettre à jour (fusionner avec) la configuration actuelle du système
scp : Copier dans scp : système de fichiers
startup-config Copier dans la configuration de démarrage
syslog : Copier dans syslog : système de fichiers
système: Copier dans le système : système de fichiers
tftp : Copier sur tftp : système de fichiers
tmpsys : Copier dans tmsys : système de fichiers
vb : Copier vers vb : système de fichiers
Pour vous rassurer, nous verrons plus en détail comment et où copier des fichiers au chapitre 7.
Pour l'instant, vous pouvez afficher les fichiers en tapant show running-config ou show startup-config à partir de
Page 24
mode privilégié. La commande sh run , qui est un raccourci pour show running-config , nous dit que
nous visualisons la configuration actuelle :
Todd# sh courir

!
!
version 15.0
[coupure de sortie]
La commande sh start, l' un des raccourcis de la commande show startup-config , nous montre le
configuration qui sera utilisée lors du prochain rechargement du routeur. Il nous dit aussi combien
La NVRAM est utilisée pour stocker le fichier de configuration de démarrage. Voici un exemple :
Todd# sh commence
Utilisation de 855 sur 524288 octets
!
!
version 15.0
[coupure de sortie]
Mais attention, si vous essayez d'afficher la configuration et voyez
Todd# sh commence
startup-config n'est pas présent
vous n'avez pas enregistré votre configuration en cours dans la NVRAM ou vous avez supprimé la configuration de sauvegarde !
Laissez-moi vous expliquer comment vous feriez cela maintenant.
Suppression de la configuration et rechargement de l'appareil

Vous pouvez supprimer le fichier startup-config à l'aide de la commande delete startup-config :
Todd# effacer commencer

Tout d'abord, notez que vous ne pouvez plus utiliser les commandes de raccourci pour effacer la sauvegarde
configuration. Cela a commencé dans IOS 12.4 avec les routeurs ISR.
Todd# effacer la configuration de démarrage

Effacer le système de fichiers nvram supprimera tous les fichiers de configuration ! Continuer? [confirmer]
[D'ACCORD]
Effacement de nvram : terminé
Todd#
* 5 mars 01:59:45.206 : %SYS-7-NV_BLOCK_INIT : initialisation de la géométrie de nvram
Todd# recharger
Continuer le rechargement ? [confirmer]
Maintenant, si vous rechargez ou éteignez le routeur après avoir utilisé la commande d' effacement de démarrage-config , vous
se voir proposer le mode de configuration car aucune configuration n'est enregistrée dans la NVRAM. Vous pouvez appuyer sur Ctrl+C
pour quitter le mode configuration à tout moment, mais la commande reload ne peut être utilisée qu'à partir du mode privilégié.
À ce stade, vous ne devez pas utiliser le mode de configuration pour configurer votre routeur. Alors dites non à la configuration
mode, car il est là pour aider les personnes qui ne savent pas utiliser l'interface de ligne de commande
(CLI), et cela ne s'applique plus à vous. Soyez fort, vous pouvez le faire !
Vérification de votre configuration

De toute évidence, show running-config serait le meilleur moyen de vérifier votre configuration et de montrer
startup-config serait
le meilleur moyen de vérifier la configuration qui sera utilisée la prochaine fois que le
le routeur est rechargé, n'est-ce pas ?
Eh bien, une fois que vous avez jeté un œil à la configuration en cours, si tout semble bien, vous pouvez vérifier votre
configuration avec des utilitaires comme Ping et Telnet. Ping est un programme qui utilise les requêtes d'écho ICMP
et les réponses, dont nous avons parlé au chapitre 3. Pour examen, Ping envoie un paquet à un hôte distant, et
si cet hôte répond, vous savez qu'il est vivant. Mais vous ne savez pas si c'est vivant et aussi bien ; seulement
25
parce que vous pouvez pinger un serveur Microsoft ne signifie pas que vous pouvez vous connecter ! Même ainsi, Ping est un
point de départ génial pour dépanner un interréseau.
Saviez-vous que vous pouvez cingler avec différents protocoles ? Vous pouvez, et vous pouvez tester cela en
taper ping ? à l'invite du routeur en mode utilisateur ou en mode privilégié :
Todd# ping ?
WORD Ping adresse de destination ou nom d'hôte
écho clns CLNS
ip écho IP
écho IPv6 IPv6
tag Tag écho IP encapsulé
<cr>
Si vous voulez trouver l'adresse de couche réseau d'un voisin, vous allez directement au routeur ou
basculer lui-même ou vous pouvez taper show cdp entry * protocol pour obtenir les adresses de la couche réseau que vous
besoin de ping.
Vous pouvez également utiliser un ping étendu pour modifier les variables par défaut, comme indiqué ici :
Todd# ping
Protocole [ip] :
Adresse IP cible : 10.1.1.1
Répéter le décompte [5] :
% Un nombre décimal compris entre 1 et 2147483647.
Nombre de répétitions [5] : 5000
Taille du datagramme [100] :
% Un nombre décimal compris entre 36 et 18024.
Taille du datagramme [100] : 1500
Délai d'attente en secondes [2] :
Commandes étendues [n] : y
Adresse source ou interface : FastEthernet 0/1
Adresse source ou interface : Vlan 1
Type de prestation [0] :
Définir le bit DF dans l'en-tête IP ? [non]:
Valider les données de réponse ? [non]:
Modèle de données [0xABCD] :
Loose, Strict, Record, Timestamp, Verbose [aucun] :
Gamme de tailles de balayage [n] :
Tapez la séquence d'échappement pour abandonner.
Envoi de 5 000 échos ICMP de 1 500 octets à 10.1.1.1, le délai d'attente est de 2 secondes :
Paquet envoyé avec une adresse source de 10.10.10.1
Notez qu'en utilisant le point d'interrogation, j'ai pu déterminer que le ping étendu vous permet de
définissez le nombre de répétitions supérieur à la valeur par défaut de 5 et la taille du datagramme plus grande. Cela soulève le
MTU et permet un test plus précis du débit. L'interface source est une dernière
information importante que je retirerai de la sortie. Vous pouvez choisir l'interface
ping provient de, ce qui est vraiment utile dans certaines situations de diagnostic. Utiliser mon commutateur pour
afficher les capacités de ping étendues, je devais utiliser mon seul port routé, nommé VLAN 1,
par défaut.
Cependant, si vous souhaitez utiliser un autre port de diagnostic, vous pouvez créer une interface logique appelée
interface de bouclage ainsi :
Todd(config)# bouclage d'interface ?

<0-2147483647> Numéro d'interface de bouclage
Todd(config)# interface bouclage 0

*19 mai 03:06:42.697 : %LINEPROTO-5-UPDOWN : Prot de ligne
état changé en ups
Todd(config-if)# adresse IP 20.20.20.1 255.255.255.0
Maintenant, je peux utiliser ce port pour les diagnostics, et même comme port source de mon ping ou traceroute, comme
donc:
Todd# ping
Protocole [ip] :
Répéter le décompte [5] :
Taille du datagramme [100] :
Commandes étendues [n] : y
Page 26
Adresse source ou interface : 20.20.20.1

Type de prestation [0] :
Définir le bit DF dans l'en-tête IP ? [non]:
Valider les données de réponse ? [non]:
Modèle de données [0xABCD] :
Loose, Strict, Record, Timestamp, Verbose [aucun] :
Gamme de tailles de balayage [n] :
Envoi de 5 échos ICMP de 100 octets à 10.1.1.1, le délai d'attente est de 2 secondes :
Paquet envoyé avec une adresse source de 20.20.20.1
L'interface logique est idéale pour les diagnostics et pour les utiliser dans nos laboratoires à domicile où nous ne
avons de vraies interfaces avec lesquelles jouer, mais nous les utiliserons également dans nos configurations OSPF dans
ICND2.
Le protocole de découverte Cisco (CDP) est traité au chapitre 7.
Traceroute utilise ICMP avec des délais de durée de vie IP (TTL) pour suivre le chemin emprunté par un paquet donné
via un inter-réseau. Cela contraste avec Ping, qui trouve simplement l'hôte et répond.
Traceroute peut également être utilisé avec plusieurs protocoles. Découvrez cette sortie :
Todd# traceroute ?
WORD Trace la route vers l'adresse de destination ou le nom d'hôte
aaa Définir les options de trace pour les événements/actions/erreurs AAA
AppleTalk Trace
Clns ISO CLNS Trace
ip Trace IP
Trace IPv6 IPv6
ipx Suivi IPX
Mac Tracer le chemin Layer2 entre 2 points de terminaison
vieilles vignes Trace de vignes (Cisco)
Vignes Trace de Vignes (Banyan)
<cr>
Et comme avec ping, nous pouvons effectuer une traceroute étendue en utilisant des paramètres supplémentaires, généralement
utilisé pour changer l'interface source :
Todd# traceroute
Protocole [ip] :
Adresse source : 172.16.10.1
Affichage numérique [n] :
Nombre de sondes [3] :
Durée de vie minimale [1] : 255
Durée de vie maximale [30] :
Traçage de l'itinéraire vers 10.1.1.1
Telnet, FTP et HTTP sont vraiment les meilleurs outils car ils utilisent IP au niveau de la couche réseau et
TCP au niveau de la couche Transport pour créer une session avec un hôte distant. Si vous pouvez telnet, ftp ou http
dans un appareil, vous savez que votre connectivité IP doit simplement être solide !
Todd# telnet ?
WORD Adresse IP ou nom d'hôte d'un système distant
<cr>
Todd# telnet 10.1.1.1
Lorsque vous vous connectez par telnet à un appareil distant, vous ne verrez pas les messages de la console par défaut. Par exemple,
vous ne verrez pas la sortie de débogage. Pour autoriser l'envoi de messages de console à votre session Telnet,
utilisez la commande terminal monitor, comme indiqué sur le routeur SF.
Moniteur terminal SF#
À partir de l'invite du commutateur ou du routeur, il vous suffit de taper un nom d'hôte ou une adresse IP et cela supposera que vous
veulent-telnet vous n'avez pas besoin de taper la commande réelle, telnet .
À venir, je vais vous montrer comment vérifier les statistiques de l'interface.
27
Vérification avec la commande show interface
Une autre façon de vérifier votre configuration est de taper les commandes show interface , dont la première
est l' interface du spectacle ? commander. Cela révélera toutes les interfaces disponibles pour vérifier et
configurer.
La commande show interfaces , au pluriel, affiche les paramètres configurables et
statistiques de toutes les interfaces sur un routeur.

Cette commande est très pratique lorsque vous vérifiez et dépannez un routeur et
problèmes de réseau.
La sortie suivante provient de mon routeur 2811 fraîchement effacé et redémarré :
Routeur# sh int ?
CDMA-Ix Interface CDMA Ix
MFR Interface de faisceau de relais de trames multiliaison
Multilien Interface de groupe à liaisons multiples
Nul Interface nulle
Port-channel Ethernet Canal d'interfaces
En série En série
PPP virtuel Interface PPP virtuelle
comptabilité Afficher la comptabilité de l'interface
compteurs Afficher les compteurs d'interface
crb Afficher les informations de routage/de pontage de l'interface
amortissement Afficher les informations sur l'amortissement de l'interface
la description Afficher la description de l'interface
etherchannel Afficher les informations sur l'interface etherchannel
irb Afficher les informations de routage/de pontage de l'interface
mac-accounting Afficher les informations de comptabilité MAC de l'interface
exp-mpls Afficher les informations de comptabilité expérimentale MPLS de l'interface
priorité Afficher les informations de comptabilité de priorité de l'interface
taille Afficher les informations d'élagage VTP du tronc d'interface
taux-limite Afficher les informations sur la limite de débit de l'interface
statut Afficher l'état de la ligne d'interface
sommaire Afficher le résumé de l'interface
commutation Afficher la commutation d'interface
port de commutation Afficher les informations sur le port de commutation de l'interface
tronc Afficher les informations sur le tronc d'interface
| Modificateurs de sortie
<cr>
Les seules interfaces physiques « réelles » sont FastEthernet, Serial et Async, les autres sont toutes logiques
interfaces ou commandes que vous pouvez utiliser pour vérifier.
La commande suivante est show interface fastethernet 0/0 . Il révèle l'adresse matérielle, logique
adresse et méthode d'encapsulation ainsi que des statistiques sur les collisions, comme on le voit ici :
Routeur# sh int f0/0

Le matériel est MV96340 Ethernet, l'adresse est 001a.2f55.c9e8 (bia 001a.2f55.c9e8)
L'adresse Internet est 192.168.1.33/27
MTU 1500 octets, BW 100000 Kbit , DLY 100 usec,
fiabilité 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, bouclage non défini
Ensemble Keepalive (10 sec)
Duplex automatique, vitesse automatique, 100BaseTX/FX
Type d'ARP : ARPA, Délai d'expiration ARP 04:00:00
Dernière entrée jamais, sortie 00:02:07, sortie suspendue jamais
Dernier effacement des compteurs "show interface" jamais
File d'attente d'entrée : 0/75/0/0 (taille/max/gouttes/vidanges) ; Chutes de sortie totales : 0
Page 28
Stratégie de file d'attente : fifo

File d'attente de sortie : 0/40 (taille/max)
Taux d'entrée de 5 minutes 0 bits/sec, 0 paquets/sec
Taux de sortie de 5 minutes 0 bits/sec, 0 paquets/sec
0 entrée de paquets, 0 octet
Reçu 0 diffusions, 0 runts, 0 géants, 0 manettes
0 erreurs d'entrée, 0 CRC, 0 trame, 0 dépassement, 0 ignoré
0 chien de garde
0 paquets d'entrée avec condition de dribble détectée
16 paquets de sortie, 960 octets, 0 underruns
0 erreurs de sortie, 0 collisions , 0 réinitialisation d'interface
0 babillage, 0 collision tardive, 0 différé
0 porteuse perdue, 0 pas de porteuse
0 échecs de tampon de sortie, 0 tampons de sortie échangés
Routeur#
Vous avez probablement deviné que nous allons passer en revue les statistiques importantes de cette sortie, mais
tout d'abord, juste pour le plaisir, je dois vous demander de quel sous-réseau FastEthernet 0/0 est membre et de quoi
l'adresse de diffusion et la plage d'hôtes valide ?
Je suis sérieux, vous devez vraiment être capable de maîtriser ces choses rapidement en NASCAR ! Juste au cas où tu ne l'aurais pas fait,
l'adresse est 192.168.1.33/27. Et je dois être honnête - si tu ne sais pas ce qu'est un /27 à ça
point, vous aurez besoin d'un miracle pour réussir l'examen ! Cela ou vous devez réellement lire ce livre. (Comme un
rappel rapide, un /27 est 255.255.255.224.) Le quatrième octet est une taille de bloc de 32. Les sous-réseaux
sont 0, 32, 64, etc. ; l'interface FastEthernet se trouve dans le sous-réseau 32 ; l'adresse de diffusion est 63 ; et
les hôtes valides sont 33-62. Tout va bien maintenant ?
Si vous avez eu du mal avec tout cela, s'il vous plaît, sauvez-vous d'un certain malheur et obtenez
retournez au chapitre 4, « Easy Subnetting », maintenant ! Lisez-le et relisez-le jusqu'à ce que vous l'ayez
connecté !
D'accord, revenons à la sortie. L'interface précédente fonctionne et semble en bon état. Les
La commande show interfaces vous
montrera si vous recevez des erreurs sur l'interface, et elle sera également
vous montrer l'unité de transmission maximale (MTU). MTU est la taille de paquet maximale autorisée à
transmettre sur cette interface, la bande passante (BW) est à utiliser avec les protocoles de routage, et 255/255 signifie
cette fiabilité est parfaite ! La charge est de 1/255, ce qui signifie pas de charge.
En continuant à travers la sortie, pouvez-vous déterminer la bande passante de l'interface ? Eh bien, d'autres
que le cadeau facile de l'interface étant appelée une interface "FastEthernet", nous pouvons voir que
la bande passante est de 100 000 Kbit, soit 100 000 000. Kbit signifie ajouter trois zéros, ce qui est
100 Mbits par seconde, ou FastEthernet. Gigabit serait de 1000000 Kbits par seconde.
Assurez-vous de ne pas manquer les erreurs de sortie et les collisions, qui affichent 0 dans ma sortie. Si ces
les nombres augmentent, alors vous avez une sorte de problème de couche physique ou de liaison de données. Vérifier
votre duplex ! Si vous avez un côté en semi-duplex et un en duplex intégral, votre interface fonctionnera,
bien que très lent et ces chiffres augmenteront rapidement !
La statistique la plus importante de la commande show interface est la sortie de la ligne et de la liaison de données
état du protocole. Si la sortie révèle que FastEthernet 0/0 est actif et que le protocole de ligne est actif, alors
l'interface est opérationnelle :
Routeur# sh int fa0/0

Le premier paramètre fait référence à la couche physique, et elle est active lorsqu'elle reçoit la détection de porteuse. Les
le deuxième paramètre fait référence à la couche de liaison de données, et il recherche les keepalives de la connexion
finir. Keepalives sont importants car ils sont utilisés entre les appareils pour assurer la connectivité
n'a pas été abandonné.
Voici un exemple de l'endroit où votre problème se trouve souvent, sur les interfaces série :
Routeur# sh int s0/0/0

Serial0/0 est actif, le protocole de ligne est inactif
Page 29
Si vous voyez que la ligne est active mais que le protocole est en panne, comme indiqué ici, vous rencontrez un
problème de synchronisation (keepalive) ou de cadrage, peut-être une incompatibilité d'encapsulation. Vérifier la
keepalives aux deux extrémités pour s'assurer qu'ils correspondent. Assurez-vous que la fréquence d'horloge est réglée, si nécessaire,
et que le type d'encapsulation est égal aux deux extrémités. La sortie précédente nous dit qu'il y a un
Problème de couche de liaison de données.
Si vous découvrez que l'interface de ligne et le protocole sont en panne, il s'agit d'un câble ou d'une interface
problème. La sortie suivante indiquerait un problème de couche physique :

Serial0/0 est en panne, le protocole de ligne est en panne
Comme vous le verrez ensuite, si une extrémité est fermée administrativement, l'extrémité distante se présentera comme
en bas et en bas :

Serial0/0 est en panne administrative, le protocole de ligne est en panne
Pour activer l'interface, utilisez la commande no shutdown à partir du mode de configuration de l'interface.
La prochaine commande show interface serial 0/0/0 montre la ligne série et le maximum
unité de transmission (MTU) : 1 500 octets par défaut. Il affiche également la bande passante par défaut (BW) sur
toutes les liaisons série Cisco, soit 1,544 Kbps. Ceci est utilisé pour déterminer la bande passante de la ligne pour
protocoles de routage comme EIGRP et OSPF. Une autre configuration importante à noter est la
keepalive, qui est de 10 secondes par défaut. Chaque routeur envoie un message keepalive à son voisin
toutes les 10 secondes, et si les deux routeurs ne sont pas configurés pour la même durée de keepalive, il ne
travail! Découvrez cette sortie :

Serial0/0 est actif, le protocole de ligne est actif
Le matériel est HD64570
MTU 1500 octets, BW 1544 Kbit, DLY 20000 usec,
Encapsulation HDLC, bouclage non défini, keepalive défini
(10 secondes)
Dernière entrée jamais, sortie jamais, sortie suspendue jamais
Dernier effacement des compteurs "show interface" jamais
Stratégie de file d'attente : fifo
File d'attente de sortie 0/40, 0 gouttes ; file d'attente d'entrée 0/75, 0 gouttes
Taux d'entrée de 5 minutes 0 bits/sec, 0 paquets/sec
Taux de sortie de 5 minutes 0 bits/sec, 0 paquets/sec
0 entrée de paquets, 0 octet, 0 pas de tampon
Reçu 0 diffusions, 0 runts, 0 géants, 0 manettes
0 erreurs d'entrée, 0 CRC, 0 trame, 0 dépassement, 0 ignoré,
0 abandonner
0 sortie de paquets, 0 octet, 0 sous-exécution
0 erreurs de sortie, 0 collisions, 16 réinitialisations d'interface
0 transition de porteuse
DCD=bas DSR=bas DTR=bas RTS=bas CTS=bas
Vous pouvez effacer les compteurs sur l'interface en tapant la commande clear counters :
Routeur# effacer les compteurs ?

Groupe-Async Interface de groupe asynchrone
Ligne Ligne terminale
MFR Interface de faisceau de relais de trames multiliaison
Multilien Interface de groupe à liaisons multiples
Nul Interface nulle
En série En série
<cr>
Routeur# effacer les compteurs s0/0/0
Page 30
Effacer les compteurs "show interface" sur cette interface

[confirmer] [entrer]
Routeur#
00:17:35 : %CLEAR-5-COUNTERS : Effacer le compteur sur l'interface
Serial0/0/0 par console
Routeur#
Dépannage avec la commande show interfaces
Jetons un coup d' oeil à la sortie du show interfaces commande une fois de plus avant de passer.
Il y a quelques statistiques dans cette sortie qui sont importantes pour les objectifs de Cisco.
275496 paquets en entrée, 35226811 octets, 0 pas de tampon

69748 diffusions reçues (58822 multidiffusions)
0 avortons, 0 géants , 0 papillons
0 erreurs d'entrée, 0 CRC , 0 trame, 0 dépassement, 0 ignoré
0 chien de garde, 58822 multidiffusion, 0 entrée de pause
2392529 paquets de sortie , 337933522 octets, 0 sous-exécution
0 erreurs de sortie, 0 collisions , 1 réinitialisation d'interface
0 babillage, 0 collision tardive , 0 différé
0 porteuse perdue, 0 pas de porteuse, 0 sortie PAUSE
Trouver par où commencer lors du dépannage d'une interface peut être la partie difficile, mais certainement
nous chercherons immédiatement le nombre d'erreurs de saisie et de CRC. Typiquement, nous verrions ces statistiques
augmenter avec une erreur duplex, mais il pourrait s'agir d'un autre problème de couche physique tel que le câble pourrait
recevoir des interférences excessives ou les cartes d'interface réseau peuvent avoir une défaillance. Typiquement
vous pouvez dire s'il s'agit d'interférences lorsque le CRC et les erreurs d'entrée augmentent mais que la collision
les compteurs ne le font pas.
Jetons un coup d'œil à certaines des sorties :
Pas de tampon Ce n'est pas un nombre que vous voulez voir s'incrémenter. Cela signifie que vous n'avez aucun
espace tampon laissé pour les paquets entrants. Tous les paquets reçus une fois les tampons pleins sont
mis au rebut. Vous pouvez voir combien de paquets sont abandonnés avec la sortie ignorée.
Ignoré Si les tampons de paquets sont pleins, les paquets seront abandonnés. Vous voyez cet incrément le long
avec la sortie sans tampon. Généralement, si les sorties sans tampon et ignorées s'incrémentent, vous
avoir une sorte de tempête de diffusion sur votre réseau local. Cela peut être causé par une mauvaise carte réseau ou même une mauvaise
conception de réseau.
Je vais le répéter parce que c'est très important pour les objectifs de l'examen : généralement si le non
le tampon et les sorties ignorées s'incrémentent, vous avez une sorte de tempête de diffusion sur
votre réseau local. Cela peut être dû à une mauvaise carte réseau ou même à une mauvaise conception du réseau.
Runts Trames qui ne satisfont pas à l'exigence de taille de trame minimale de 64 octets. Typiquement
causés par des collisions.
Giants Frames reçues de plus de 1518 octets
Erreurs d'entrée Il s'agit du total de nombreux compteurs : runts, Giants, no buffer, CRC, frame, overrun,
et les comptes ignorés.
CRC À la fin de chaque trame se trouve un champ de séquence de contrôle de trame (FCS) qui contient la réponse à un
contrôle de redondance cyclique (CRC). Si la réponse de l'hôte destinataire au CRC ne correspond pas à la
envoyant la réponse de l'hôte, une erreur CRC se produira.
Frame Cette sortie s'incrémente lorsque les trames reçues sont d'un format illégal, ou incomplètes,
qui est généralement incrémenté lorsqu'une collision se produit.
Sortie de paquets Nombre total de paquets (trames) transmis à l'interface.
Erreurs de sortie Nombre total de paquets (trames) que le port de commutateur a essayé de transmettre mais pour
lequel un problème est survenu.
Page 31
Collisions Lors de la transmission d'une trame en semi-duplex, la carte réseau écoute sur la paire réceptrice du
câble pour un autre signal. Si un signal est transmis depuis un autre hôte, une collision s'est produite.
Cette sortie ne doit pas s'incrémenter si vous exécutez le duplex intégral.
Collisions tardives Si toutes les spécifications Ethernet sont respectées lors de l'installation du câble, toutes les collisions
devrait se produire par le 64e octet de la trame. Si une collision se produit après 64 octets, les collisions tardives
incréments du compteur. Ce compteur s'incrémentera sur une interface duplex incompatible, ou si le câble
la longueur dépasse les spécifications.
Une non-concordance de duplex provoque des erreurs de collision tardive à la fin de la connexion. À
éviter cette situation, définissez manuellement les paramètres duplex du commutateur pour qu'ils correspondent au
dispositif.
Une incompatibilité de duplex est une situation dans laquelle le commutateur fonctionne en duplex intégral et le
l'appareil fonctionne en semi-duplex, ou vice versa. Le résultat d'une non-concordance duplex est extrêmement lent
performances, connectivité intermittente et perte de connexion. Autres causes possibles de données-
les erreurs de liaison en duplex intégral sont des câbles défectueux, un port de commutateur défectueux ou des problèmes logiciels ou matériels de la carte réseau.
Utilisez la commande show interface pour vérifier les paramètres duplex.
Si la non-concordance se produit entre deux appareils Cisco avec Cisco Discovery Protocol activé, vous
verra les messages d'erreur Cisco Discovery Protocol sur la console ou dans le tampon de journalisation des deux
dispositifs.
%CDP-4-DUPLEX_MISMATCH : non-concordance duplex découverte sur FastEthernet0/2 (pas

demi-duplex)
Cisco Discovery Protocol est utile pour détecter les erreurs et pour rassembler le port et le système
statistiques sur les appareils Cisco à proximité. Le CDP est traité au chapitre 7.
Vérification avec la commande show ip interface
La commande show ip interface vous fournira des informations concernant la couche 3

configurations de l'interface d'un routeur, telles que l'adresse IP et le masque de sous-réseau, MTU, et si un
la liste d'accès est définie sur l'interface :
Interface d'expédition du routeur#

L'adresse de diffusion est 255.255.255.255
Adresse déterminée par la commande de configuration
MTU est de 1500 octets
L'adresse de l'assistant n'est pas définie
Le transfert de diffusion dirigé est désactivé
La liste d'accès sortante n'est pas définie
La liste d'accès entrants n'est pas définie
Proxy ARP est activé
Le niveau de sécurité est par défaut
L'horizon partagé est activé
[coupure de sortie]
L'état de l'interface, l'adresse IP et le masque, des informations indiquant si une liste d'accès est définie
sur l'interface, et les informations IP de base sont toutes incluses dans cette sortie.
Utilisation de la commande show ip interface brief
La commande show ip interface brief est probablement l'une des meilleures commandes que vous puissiez
utiliser sur un routeur ou un commutateur Cisco. Cette commande fournit un aperçu rapide des appareils
interfaces, y compris l'adresse logique et l'état :
Routeur# ship int brief

Interface Adresse IP OK ? Méthode Statut Protocole
FastEthernet0/0 non affecté OUI non configuré
FastEthernet0/1 non affecté OUI non configuré
Série0/0/0 non affecté OUI non configuré
Page 32
Série0/0/1 non affecté OUI non configuré administrativement inactif inactif

N'oubliez pas qu'administrativement down signifie que vous devez taper no shutdown afin d'activer le
interface. Notez que Serial0/0/0 est up/down, ce qui signifie que la couche physique est bonne et
la détection de porteuse est détectée mais aucune keepalives n'est reçue de l'extrémité distante. Dans un
réseau de non-production, comme celui avec lequel je travaille, cela nous indique que la fréquence d'horloge n'a pas été
ensemble.
Vérification avec la commande show protocols
La commande show protocols est également une commande très utile que vous utiliseriez pour rapidement
voir l'état des couches 1 et 2 de chaque interface ainsi que les adresses IP utilisées.
Voici un aperçu de l'un de mes routeurs de production :
Routeur# protocoles sh
Valeurs globales :
Le routage du protocole Internet est activé
Ethernet0/0 est en panne administrative, le protocole de ligne est en panne
Serial0/1 est en panne administrative, le protocole de ligne est en panne
Loopback0 est actif, le protocole de ligne est actif
Les commandes show ip interface brief et show protocols fournissent les statistiques des couches 1 et 2
d'une interface ainsi que les adresses IP. La commande suivante, show controllers , fournit uniquement
informations de la couche 1. Nous allons jeter un coup d'oeil.
Utilisation de la commande show controllers

La commande
vous donnershow controllers affiche des informations sur l'interface physique elle-même. ça va aussi
le type de câble série branché sur un port série. Habituellement, ce ne sera qu'un câble DTE
qui se branche sur un type d'unité de service de données (DSU).
Routeur# sh contrôleurs série 0/0

Unité HD 0, idb = 0x1229E4, structure du pilote à 0x127E70
taille de la mémoire tampon 1524 unité HD 0, câble V.35 DTE
Routeur# sh contrôleurs série 0/1

Unité HD 1, idb = 0x12C174, structure du pilote à 0x131600
taille de la mémoire tampon 1524 unité HD 1, câble V.35 DCE
Notez que série 0/0 a un câble DTE, alors que la connexion série 0/1 a un câble DCE. En série
0/1 devrait fournir la synchronisation avec la commande de fréquence d'horloge . Serial 0/0 obtiendrait son
pointage du DSU.
Regardons à nouveau cette commande. Dans la Figure 6.5 , voyez le câble DTE/DCE entre les deux routeurs ?
Sachez que vous ne verrez pas cela dans les réseaux de production !
Page 33
FIGURE 6.5 Où configurez-vous la synchronisation ? Utilisez la commande show controllers sur chaque
l'interface série du routeur pour le savoir.
Le routeur R1 dispose d'une connexion DTE, qui est généralement la valeur par défaut pour tous les routeurs Cisco. Routeurs R1
et R2 ne peut pas communiquer. Vérifiez la sortie de la commande show controllers s0/0 ici :
R1# sh contrôleurs série 0/0

taille de la mémoire tampon 1524 unité HD 0, câble V.35 DCE
La commande show controllers s0/0 révèle que l'interface est un câble V.35 DCE. Ça signifie
que R1 doit fournir la synchronisation de la ligne au routeur R2. Fondamentalement, l'interface a le mauvais
étiquette sur le câble de l'interface série du routeur R1. Mais si vous ajoutez la synchronisation sur le routeur R1
interface série, le réseau devrait se mettre en place.
Chèque Let sur un autre problème dans la figure 6.6 que vous pouvez résoudre en utilisant les montrent contrôleurs
commander. Encore une fois, les routeurs R1 et R2 ne peuvent pas communiquer.
FIGURE 6.6 En regardant R1, la commande show controllers révèle que R1 et R2 ne peuvent pas
communiquer.
Voici la sortie de la commande show controllers s0/0 de R1 et de l'interface show ip s0/0 :
R1# sh contrôleurs s0/0

taille de la mémoire tampon 1524 unité HD 0,
Horloges DTE V.35 arrêtées
cpb = 0xE2, eda = 0x4140, cda = 0x4000
R1# interface d'expédition s0/0

Serial0/0 est actif, le protocole de ligne est inactif
Si vous utilisez la commande show controllers et la commande show ip interface , vous verrez que
le routeur R1 ne reçoit pas la synchronisation de la ligne. Ce réseau est un réseau de non-production, donc non
Page 34
CSU/DSU est connecté pour fournir la synchronisation pour cela. Cela signifie que l'extrémité DCE du câble sera
fournissant la fréquence d'horloge - dans ce cas, le routeur R2. L' interface show ip indique que le
l'interface est active mais le protocole est en panne, ce qui signifie qu'aucun keepalives n'est reçu de
l'extrémité éloignée. Dans cet exemple, le coupable probable est le résultat d'un mauvais câble, ou simplement le manque de
pointage.
Sommaire
C'était un chapitre amusant ! Je vous ai montré beaucoup de choses sur Cisco IOS, et j'espère vraiment que vous avez beaucoup gagné
d'informations sur le monde des routeurs Cisco. J'ai commencé par expliquer l'interréseau Cisco
Système d'exploitation (IOS) et comment vous pouvez utiliser l'IOS pour exécuter et configurer les routeurs Cisco. Tu
appris comment mettre en place un routeur et ce que fait le mode de configuration. Oh, et au fait, puisque tu peux
configurez maintenant essentiellement les routeurs Cisco, vous ne devriez jamais utiliser le mode de configuration, n'est-ce pas ?
Après avoir expliqué comment se connecter à un routeur avec une console et une connexion LAN, j'ai couvert les
Fonctionnalités d'aide de Cisco et comment utiliser l'interface de ligne de commande pour rechercher des commandes et des paramètres de commande. Dans
De plus, j'ai discuté de quelques commandes show de base pour vous aider à vérifier vos configurations.
Les fonctions administratives d'un routeur vous aident à administrer votre réseau et à vérifier que vous êtes
configurer le bon appareil. La définition des mots de passe du routeur est l'un des plus importants
configurations que vous pouvez effectuer sur vos routeurs. Je vous ai montré les cinq mots de passe que vous devez définir,
De plus, je vous ai présenté le nom d'hôte, la description de l'interface et les bannières comme outils pour vous aider
administrer votre routeur.
Eh bien, cela conclut votre introduction à Cisco IOS. Et, comme d'habitude, c'est super important pour
vous devez avoir les bases que nous avons abordées dans ce chapitre avant de passer à
les chapitres suivants !
Essentiels de l'examen
Décrire les responsabilités de l'IOS. Le logiciel IOS du routeur Cisco est responsable de
protocoles réseau et fournissant des fonctions de support, connectant le trafic à haute vitesse entre
périphériques, en ajoutant la sécurité pour contrôler l'accès et empêcher l'utilisation non autorisée du réseau, en fournissant
évolutivité pour faciliter la croissance et la redondance du réseau, et fournir la fiabilité du réseau pour
connexion aux ressources du réseau.
Répertoriez les options disponibles pour se connecter à un périphérique Cisco à des fins de gestion.
Les trois options disponibles sont le port console, le port auxiliaire et la communication intrabande,
tels que Telnet, SSH et HTTP. N'oubliez pas qu'une connexion Telnet n'est pas possible tant qu'une IP
adresse a été configurée et un mot de passe Telnet a été configuré.
Comprendre la séquence de démarrage d'un routeur. Lorsque vous ouvrez un routeur Cisco pour la première fois, il
exécutez un autotest à la mise sous tension (POST), et si cela réussit, il recherchera et chargera le Cisco IOS à partir de
mémoire flash, si un fichier est présent. L'IOS procède ensuite au chargement et recherche un
configuration dans la NVRAM appelée startup-config. Si aucun fichier n'est présent dans la NVRAM, le routeur
passer en mode configuration.
Décrire l'utilisation du mode de configuration. Le mode de configuration est automatiquement lancé si un routeur démarre et
aucune configuration de démarrage n'est dans la NVRAM. Vous pouvez également afficher le mode de configuration en tapant setup à partir de
mode privilégié. Le programme d'installation fournit un minimum de configuration dans un format simple pour
quelqu'un qui ne comprend pas comment configurer un routeur Cisco à partir de la ligne de commande.
Différencier les modes de configuration utilisateur, privilégié et global, à la fois visuellement et

du point de vue des capacités de commandement. Mode utilisateur, indiqué par le nom du routeur>
prompt, fournit une interface de ligne de commande avec très peu de commandes disponibles par défaut. Utilisateur
mode ne permet pas de visualiser ou de modifier la configuration. Mode privilégié, indiqué par
l' invite routername# permet à un utilisateur d'afficher et de modifier la configuration d'un routeur. Tu
peut entrer en mode privilégié en tapant la commande enable et en entrant le mot de passe d'activation ou
activer le mot de passe secret, s'il est défini. Mode de configuration globale, indiqué par le routername(config)#
Page 35
invite, permet d'effectuer des modifications de configuration qui s'appliquent à l'ensemble du routeur (par opposition à un
changement de configuration pouvant affecter une seule interface, par exemple).
Reconnaître les invites supplémentaires disponibles dans d'autres modes et décrire leur utilisation.
Des modes supplémentaires sont atteints via l'invite de configuration globale, routername(config)# , et leur
les invites incluent l'interface, router(config-if)# , pour définir les paramètres de l'interface ; configuration de ligne
mode, router(config-line)# , utilisé pour définir des mots de passe et définir d'autres paramètres pour diverses connexions
méthodes; et modes de protocole de routage pour divers protocoles de routage ; router(config-router)# , utilisé
pour activer et configurer les protocoles de routage.
Accédez aux fonctions d'édition et d'aide et utilisez-les. Utilisez la saisie d'un point d'interrogation à la
fin des commandes pour obtenir de l'aide sur l'utilisation des commandes. De plus, comprenez comment filtrer
aide de commande avec le même point d'interrogation et les mêmes lettres. Utilisez l'historique des commandes pour récupérer
commandes précédemment utilisées sans retaper. Comprendre la signification du caret lorsqu'un
la commande incorrecte est rejetée. Enfin, identifiez les combinaisons de touches de raccourci utiles.
Identifiez les informations fournies par la commande show version . La version spectacle
La commande fournira une configuration de base pour le matériel du système ainsi que le logiciel
version, les noms et les sources des fichiers de configuration, le paramètre du registre de configuration et le
images de démarrage.
Définissez le nom d'hôte d'un routeur. La séquence de commandes pour définir le nom d'hôte d'un routeur est la
suit :
permettre
configuration t
nom d'hôte Todd
Différenciez le mot de passe d'activation et le mot de passe secret d'activation. Ces deux
les mots de passe sont utilisés pour accéder au mode privilégié. Cependant, le mot de passe secret d'activation est
plus récent et est toujours crypté par défaut. De plus, si vous définissez le mot de passe d'activation, puis définissez le
enable secret, seul le secret enable sera utilisé.
Décrire la configuration et l'utilisation des bannières. Les bannières fournissent des informations aux utilisateurs
accéder à l'appareil et peut être affiché à diverses invites de connexion. Ils sont configurés avec le
commande de bannière et un mot-clé décrivant le type spécifique de bannière.
Définissez le secret d'activation sur un routeur. Pour définir le secret d'activation, vous utilisez la configuration globale
commande activer secret . N'utilisez pas activer mot de passe secret mot de passe ou vous définirez votre mot de passe sur
mot de passe mot de passe . Voici un exemple:
permettre
configuration t
activer le secret todd
Définissez le mot de passe de la console sur un routeur. Pour définir le mot de passe de la console, utilisez ce qui suit
séquence:
permettre
configuration t
console de ligne 0
mot de passe à ajouter
connexion
Définissez le mot de passe Telnet sur un routeur. Pour définir le mot de passe Telnet, la séquence est la suivante
suit :
permettre
configuration t
ligne vty 0 4
connexion
Décrivez les avantages de l'utilisation de Secure Shell et énumérez ses exigences. Enveloppe de protection
(SSH) utilise des clés cryptées pour envoyer des données afin que les noms d'utilisateur et les mots de passe ne soient pas envoyés dans le
dégager. Cela nécessite qu'un nom d'hôte et un nom de domaine soient configurés et que les clés de chiffrement soient
généré.
Page 36
Décrire le processus de préparation d'une interface à utiliser. Pour utiliser une interface, vous devez
configurez-le avec une adresse IP et un masque de sous-réseau dans le même sous-réseau des hôtes qui seront
connexion au commutateur qui est connecté à cette interface. Il doit également être activé avec le no
commande d' arrêt . Une interface série qui est connectée dos à dos avec un autre routeur série
L'interface doit également être configurée avec une fréquence d'horloge à l'extrémité DCE du câble série.
Comprendre comment résoudre un problème de liaison série. Si vous tapez show interface serial
0/0 etde voir vers le bas, le protocole de ligne est en baisse , cela sera considéré comme un problème de couche physique. Si tu vois
il est actif, le protocole de ligne est en panne , alors vous avez un problème de couche de liaison de données.
Comprenez comment vérifier votre routeur avec la commande show interfaces . Si vous tapez afficher
interfaces ,
vous pouvez afficher les statistiques des interfaces sur le routeur, vérifier si le
les interfaces sont fermées et voient l'adresse IP de chaque interface.
Décrire comment afficher, modifier, supprimer et enregistrer une configuration. Le show running-config
La commande est utilisée pour afficher la configuration actuelle utilisée par le routeur. Le démarrage du spectacle-
La commande config affiche la dernière configuration qui a été enregistrée et c'est celle qui sera utilisée à
prochain démarrage. La commande copy running-config startup-config est utilisée pour enregistrer les modifications apportées au
configuration en cours dans la NVRAM. La commande d' effacement startup-config supprime le
configuration et entraînera l'invocation du menu de configuration au redémarrage du routeur
car il n'y aura pas de configuration présente.
Atelier écrit 6 : Compréhension d'IOS

Dans cette section, vous effectuerez l'atelier suivant pour vous assurer que vous disposez des informations et
concepts qu'ils contiennent pleinement intégrés :
Atelier 6.1 : Compréhension d'IOS
Vous pouvez trouver les réponses à ce laboratoire dans l'annexe A, « Réponses aux laboratoires écrits ».
Écrivez la ou les commandes pour les questions suivantes :
1. Quelle commande est utilisée pour définir une interface série pour fournir la synchronisation à un autre routeur à 1000
Ko ?
2. Si vous vous connectez par telnet à un commutateur et que la connexion de réponse est refusée, le mot de passe n'est pas défini , qu'est-ce que
commandes que vous exécutez sur le périphérique de destination pour arrêter de recevoir ce message et
ne pas être invité à saisir un mot de passe ?
3. Si vous tapez show int fastethernet 0/1 et notez le port est administrativement vers le bas, ce qui
commandes exécuteriez-vous pour activer l'interface ?
4. Si vous vouliez supprimer la configuration stockée dans la NVRAM, quelle(s) commande(s) voudriez-vous
taper?
5. Si vous vouliez définir le mot de passe du mode utilisateur sur todd pour le port de console, quelle(s) commande(s)
taperiez-vous ?
6. Si vous vouliez définir le mot de passe secret d'activation sur cisco , quelle(s) commande(s) saisiriez-vous ?
7. Si vous vouliez déterminer si l'interface série 0/2 de votre routeur doit fournir la synchronisation,
quelle commande utiliserais-tu ?
8. Quelle commande utiliseriez-vous pour voir la taille de l'historique du terminal ?
9. Vous souhaitez réinitialiser le commutateur et remplacer totalement la configuration courante par la configuration actuelle
startup-config. Quelle commande allez-vous utiliser ?
10. Comment définiriez-vous le nom d'un commutateur en Ventes ?
Laboratoires pratiques
Dans cette section, vous exécuterez des commandes sur un commutateur Cisco (ou vous pouvez utiliser un routeur) qui
Page 37
vous aider à comprendre ce que vous avez appris dans ce chapitre.
Vous aurez besoin d'au moins un appareil Cisco : deux seraient mieux, trois seraient exceptionnels. Les
les travaux pratiques de cette section sont inclus pour une utilisation avec de vrais routeurs Cisco, mais tous ces travaux pratiques
fonctionne avec la version LammleSim IOS (voir www.lammle.com/ccna ) ou utilise Cisco Packet Tracer
simulateur de routeur. Enfin, pour l'examen Cisco, peu importe le modèle de commutateur ou de routeur que vous
à utiliser avec ces laboratoires, tant que vous utilisez IOS 12.2 ou une version plus récente. Oui, je sais que les objectifs sont de 15
code, mais ce n'est important pour aucun de ces laboratoires.
On suppose que l'appareil que vous allez utiliser n'a pas de configuration actuelle. Si
si nécessaire, effacez toute configuration existante avec Hands-on Lab 6.1 ; sinon, passez à Mains-
sur Lab 6.2 :
Atelier 6.1 : effacement d'une configuration existante
Atelier 6.2 : Exploration des modes utilisateur, privilégié et de configuration
Atelier 6.3 : Utilisation des fonctions d'aide et d'édition
Atelier 6.4 : Enregistrer une configuration
Atelier 6.5 : Définir des mots de passe
Atelier 6.6 : Définir le nom d'hôte, les descriptions, l'adresse IP et la fréquence d'horloge
Travaux pratiques 6.1 : effacement d'une configuration existante

L'atelier suivant peut nécessiter la connaissance d'un nom d'utilisateur et d'un mot de passe pour accéder à des privilèges
mode. Si le routeur a une configuration avec un nom d'utilisateur et un mot de passe inconnus pour
mode, cette procédure ne sera pas possible. Il est possible d'effacer une configuration sans
mot de passe en mode privilégié, mais les étapes exactes dépendent du modèle et ne seront pas couvertes avant
Chapitre 7.
1. Démarrez le commutateur et lorsque vous y êtes invité, appuyez sur Entrée.
2. À l' invite Switch> , tapez enable .
3. Si vous y êtes invité, saisissez le nom d'utilisateur et appuyez sur Entrée. Saisissez ensuite le mot de passe correct et appuyez sur
Entrer.
4. À l' invite du mode privilégié , tapez effacer startup-config .
5. À l' invite du mode privilégié , tapez reload , et lorsque vous êtes invité à enregistrer la configuration, tapez
n pour non.
Atelier pratique 6.2 : Exploration des modes utilisateur, privilégié et de configuration

Dans l'atelier suivant, vous découvrirez les modes utilisateur, privilégié et de configuration :
1. Branchez l'interrupteur ou allumez le routeur. Si vous venez d'effacer la configuration comme dans Hands-on
Lab 6.1, lorsque vous êtes invité à continuer avec la boîte de dialogue de configuration, entrez n pour non et appuyez sur
Entrer. Lorsque vous y êtes invité, appuyez sur Entrée pour vous connecter à votre routeur. Cela vous mettra en utilisateur
mode.
2. À l' invite Switch> , tapez un point d'interrogation ( ? ).

3. Remarquez le –plus– en bas de l'écran.
4. Appuyez sur la touche Entrée pour afficher les commandes ligne par ligne. Appuyez sur la barre d'espace pour afficher le
commande un plein écran à la fois. Vous pouvez taper q à tout moment pour quitter.
5. Tapez enable ou en et appuyez sur Entrée. Cela vous mettra en mode privilégié où vous pourrez
modifier et afficher la configuration du routeur.
6. À l' invite Switch# , tapez un point d'interrogation ( ? ). Remarquez combien d'options s'offrent à vous
en mode privilégié.
7. Tapez q pour quitter.
Page 38
8. Tapez config et appuyez sur Entrée.
9. Lorsque vous êtes invité à choisir une méthode, appuyez sur Entrée pour configurer votre routeur à l'aide de votre terminal.
(qui est la valeur par défaut).
10. Au Switch (config) # invite, tapez un point d'interrogation ( ? ), Alors q de quitter, ou appuyez sur la barre d' espace pour
voir les commandes.
11. Tapez interface f0/1 ou int f0/1 (ou même int gig0/1 ) et appuyez sur Entrée. Cela vous permettra de
configurer l'interface FastEthernet 0/1 ou Gigabit 0/1.
12. À l' invite Switch(config-if)# , tapez un point d'interrogation ( ? ).
13. Si vous utilisez un routeur, tapez int s0/0 , interface s0/0 ou même interface s0/0/0 et appuyez sur Entrée. Cette
vous permettra de configurer l'interface série 0/0. Notez que vous pouvez passer de l'interface à
interface facilement.
14. Type d' encapsulation ? .
15. Tapez sortie . Remarquez comment cela vous ramène d'un niveau.
16. Appuyez sur Ctrl+Z. Remarquez comment cela vous fait sortir du mode de configuration et vous remet dans
mode privilégié.
17. Tapez désactiver . Cela vous mettra en mode utilisateur.
18. Tapez exit , ce qui vous déconnectera du routeur ou du commutateur.
Travaux pratiques 6.3 : Utilisation des fonctions d'aide et d'édition

Ce laboratoire fournira une expérience pratique avec les fonctionnalités d'aide et d'édition de Cisco.
1. Connectez-vous à votre appareil et passez en mode privilégié en tapant en ou en activant .
2. Tapez un point d'interrogation ( ? ).
3. Tapez cl? puis appuyez sur Entrée. Notez que vous pouvez voir toutes les commandes commençant par cl .
4. Tapez horloge ? et appuyez sur Entrée.
Remarquez la différence entre les étapes 3 et 4. À l'étape 3, vous devez taper des lettres avec
pas d'espace et un point d'interrogation, qui vous donnera toutes les commandes commençant par cl .
À l'étape 4, vous devez taper une commande, un espace et un point d'interrogation. En faisant cela, vous verrez le
prochain paramètre disponible.
5. Réglez l'horloge en tapant clock ? et, en suivant les écrans d'aide, régler l'heure et la date. Les
Les étapes suivantes vous guident tout au long du réglage de la date et de l'heure.
6. Tapez horloge ? .
7. Tapez horloge réglée ? .
8. Tapez le réglage de l'horloge 10:30:30 ? .
9. Tapez l' horloge réglée 10:30:30 14 mai ? .
10. Tapez l' horloge réglée 10:30:30 14 mai 2011 .
11. Appuyez sur Entrée.
12. Tapez show clock pour voir l'heure et la date.
13. En mode privilégié, tapez show access-list 10 . N'appuyez pas sur Entrée.
14. Appuyez sur Ctrl+A. Cela vous amène au début de la ligne.
15. Appuyez sur Ctrl+E. Cela devrait vous ramener à la fin de la ligne.
16. Ctrl+A ramène votre curseur au début de la ligne, puis Ctrl+F déplace votre
Page 39
curseur en avant d'un caractère.

17. Appuyez sur Ctrl+B, ce qui vous fera reculer d'un caractère.
18. Appuyez sur Entrée, puis sur Ctrl+P. Cela répétera la dernière commande.
19. Appuyez sur la flèche vers le haut de votre clavier. Cela répétera également la dernière commande.
20. Tapez sh historique . Cela vous montre les 10 dernières commandes entrées.
21. Tapez la taille de l'historique du terminal ? . Cela modifie la taille de l'entrée de l'historique. Le ? est le nombre de
lignes autorisées.
22. Tapez show terminal pour collecter les statistiques du terminal et la taille de l'historique.
23. Tapez terminal sans édition . Cela désactive l'édition avancée. Répétez les étapes 14 à 18 pour voir
que les touches d'édition de raccourci n'ont aucun effet jusqu'à ce que vous tapiez l'édition du terminal .
24. Tapez l' édition du terminal et appuyez sur Entrée pour réactiver l'édition avancée.
25. Tapez sh run , puis appuyez sur la touche Tab. Cela finira de taper la commande pour vous.
26. Tapez sh start , puis appuyez sur la touche Tab. Cela finira de taper la commande pour vous.
Travaux pratiques 6.4 : Enregistrement d'une configuration

Dans cet atelier, vous allez acquérir une expérience pratique de l'enregistrement d'une configuration :
1. Connectez-vous à votre appareil et passez en mode privilégié en tapant en ou enable , puis appuyez sur Entrée.
2. Pour voir la configuration stockée dans la NVRAM, tapez sh start et appuyez sur Tab et Entrée, ou tapez
affichez startup-config et
appuyez sur Entrée. Cependant, si aucune configuration n'a été enregistrée, vous obtiendrez
un message d'erreur.
3. Pour enregistrer une configuration dans la NVRAM, connue sous le nom de configuration de démarrage, vous pouvez effectuer l'une des
Suivant:
Tapez copy run start et appuyez sur Entrée.
Tapez copy running , appuyez sur Tab, tapez start , appuyez sur Tab et appuyez sur Entrée.
Tapez copy running-config startup-config et appuyez sur Entrée.
4. Tapez sh start , appuyez sur Tab, puis appuyez sur Entrée.
5. Tapez sh run , appuyez sur Tab, puis appuyez sur Entrée.
6. Tapez effacer startup-config , appuyez sur Tab, puis appuyez sur Entrée.
7. Tapez sh start , appuyez sur Tab, puis appuyez sur Entrée. Le routeur vous dira que la NVRAM n'est pas
présenter ou afficher un autre type de message, selon l'IOS et le matériel.
8. Tapez recharger , puis appuyez sur Entrée. Confirmez le rechargement en appuyant sur Entrée. Attendez que l'appareil
à recharger.
9. Dites non au mode de configuration ou appuyez simplement sur Ctrl+C.
Atelier pratique 6.5 : Définir des mots de passe

Ce laboratoire pratique vous permettra de définir vos mots de passe.
1. Connectez-vous au routeur et passez en mode privilégié en tapant en ou enable .
2. Tapez config t et appuyez sur Entrée.
3. Tapez activer ? .
4. Définissez votre mot de passe d'activation secret en tapant enable secretpassword (le troisième mot doit être
votre propre mot de passe personnalisé) et appuyez sur Entrée. Ne pas ajouter le mot de passe du paramètre après
le paramètre secret (cela ferait de votre mot de passe le mot password ). Un exemple serait
être activer le todd secret .
Page 40
5. Voyons maintenant ce qui se passe lorsque vous vous déconnectez complètement du routeur, puis que vous vous connectez.
en appuyant sur Ctrl+Z, puis tapez exit et appuyez sur Entrée. Passez en mode privilégié. Avant que tu sois
autorisé à entrer en mode privilégié, un mot de passe vous sera demandé. Si vous entrez avec succès
le mot de passe secret, vous pouvez continuer.
6. Supprimez le mot de passe secret. Accédez au mode privilégié, tapez config t et appuyez sur Entrée. Tapez non
activez le secret et
appuyez sur Entrée. Déconnectez-vous puis reconnectez-vous ; maintenant on ne devrait pas te demander
pour un mot de passe.
7. Un autre mot de passe utilisé pour entrer en mode privilégié s'appelle le mot de passe d'activation. C'est un ancien,
mot de passe moins sécurisé et n'est pas utilisé si un mot de passe secret d'activation est défini. Voici un exemple de
comment le régler :
configuration t
activer le mot de passe todd1
8. Notez que les mots de passe enable secret et enable sont différents. Ils ne doivent jamais être réglés
le même. En fait, vous ne devriez jamais utiliser le mot de passe d'activation, seulement activer le secret.
9. Tapez config t pour être au bon niveau pour définir votre console et les mots de passe auxiliaires, puis tapez
ligne ? .
10. Notez que les paramètres des commandes de ligne sont auxiliaires , vty et console . vous définirez
les trois si vous êtes sur un routeur ; si vous êtes sur un switch, seules les lignes console et VTY sont
disponible.
11. Pour définir le mot de passe Telnet ou VTY, saisissez la ligne vty 0 4 , puis appuyez sur Entrée. Le 0 4 est le
plage des cinq lignes virtuelles disponibles utilisées pour se connecter à Telnet. Si vous avez une entreprise
IOS, le nombre de lignes peut varier. Utilisez le point d'interrogation pour déterminer le dernier numéro de ligne
disponible sur votre routeur.
12. La commande suivante est utilisée pour activer ou désactiver l'authentification. Tapez login et appuyez sur Entrée pour
demander un mot de passe en mode utilisateur lors de la connexion telnet dans l'appareil. Vous ne pourrez pas
telnet dans un périphérique Cisco si le mot de passe n'est pas défini.
Vous pouvez utiliser la commande no login pour désactiver l'invite de mot de passe en mode utilisateur
lors de l'utilisation de Telnet. Ne faites pas cela en production !
13. Une autre commande que vous devez définir pour votre mot de passe VTY est password . Tapez mot de passemot de passe
pour définir le mot de passe. (le mot de passe est votre mot de passe.)
14. Voici un exemple de définition du mot de passe VTY :
configuration t
ligne vty 0 4
connexion
15. Définissez votre mot de passe auxiliaire en tapant d'abord line auxiliaire 0 ou line aux 0 (si vous utilisez un
routeur).
16. Tapez connexion .
17. Tapez mot de passemot de passe .
18. Définissez votre mot de passe de console en tapant d'abord line console 0 ou line con 0 .
19. Tapez connexion .
20. Tapez mot de passemot de passe . Voici un exemple des deux dernières séquences de commandes :
configuration t
ligne con 0
mot de passe todd1
connexion
ligne aux 0
Page 41

connexion
21. Vous pouvez ajouter la commande Exec-timeout 0 0 à la ligne 0 de la console . Cela arrêtera la console
de l'expiration et de la déconnexion. La séquence de commandes ressemblera maintenant à ceci :
configuration t
ligne con 0
mot de passe todd2
connexion
Exec-timeout 0 0
22. Configurez l'invite de la console pour ne pas écraser la commande que vous tapez avec les messages de la console
en utilisant la commande logging synchronous .
configuration t
ligne con 0
journalisation synchrone
Travaux pratiques 6.6 : Définition du nom d'hôte, des descriptions, de l'adresse IP et

Fréquence d'horloge
Cet atelier vous permettra de définir vos fonctions administratives sur chaque appareil.
1. Connectez-vous au commutateur ou au routeur et passez en mode privilégié en tapant en ou enable . Si nécessaire,

entrez un nom d'utilisateur et un mot de passe.
2. Définissez votre nom d'hôte à l'aide de la commande hostname . Remarquez que c'est un mot. Voici un
exemple de définition de votre nom d'hôte sur votre routeur, mais le commutateur utilise exactement le même
commander:
Routeur#config t
Routeur(config)#hostname RouterA
RouteurA(config)#
Notez que le nom d'hôte du routeur a changé dans l'invite dès que vous avez appuyé sur Entrée.
3. Définissez une bannière que les administrateurs réseau verront à l'aide de la commande banner , comme indiqué
dans les étapes suivantes.
4. Tapez config t , puis banner ? .
5. Notez que vous pouvez définir au moins quatre bannières différentes. Pour ce laboratoire, nous ne nous intéressons qu'à
les bannières de connexion et de message du jour (MOTD).
6. Définissez votre bannière MOTD, qui s'affichera lorsqu'une console, un auxiliaire ou Telnet
la connexion est établie au routeur, en tapant ceci :
configuration t
bannière motd #
Ceci est une bannière motd
#
7. L'exemple précédent utilisait un signe # comme caractère de délimitation. Ceci indique au routeur quand le
le message est fait. Vous ne pouvez pas utiliser le caractère de délimitation dans le message lui-même.
8. Vous pouvez supprimer la bannière MOTD en tapant la commande suivante :
configuration t
pas de bannière
9. Définissez la bannière de connexion en tapant ceci :

configuration t
# de connexion à la bannière
Ceci est une bannière de connexion
#
10. La bannière de connexion s'affichera immédiatement après le MOTD mais avant le mode utilisateur
invite de mot de passe. N'oubliez pas que vous définissez vos mots de passe en mode utilisateur en configurant la console,
mots de passe de ligne auxiliaire et VTY.
Page 42
11. Vous pouvez supprimer la bannière de connexion en tapant ceci :
configuration t
pas de connexion à la bannière
12. Vous pouvez ajouter une adresse IP à une interface avec la commande ip address si vous utilisez un
routeur. Vous devez d'abord passer en mode de configuration d'interface ; voici un exemple de la façon dont vous
fais ça :
configuration t
entier f0/1
adresse IP 1.1.1.1 255.255.0.0
Pas d'extinction
Notez que l'adresse IP ( 1.1.1.1 ) et le masque de sous-réseau ( 255.255.0.0 ) sont configurés sur une seule ligne.
L' arrêt du pas (ou pas d' arrêt pour faire court) commande est utilisée pour activer l'interface. Toutes les interfaces
sont arrêtés par défaut sur un routeur. Si vous êtes sur un switch de couche 2, vous pouvez définir une adresse IP
uniquement sur l'interface VLAN 1.
13. Vous pouvez ajouter une identification à une interface à l'aide de la commande description . Ceci est utile pour
ajouter des informations sur la connexion. Voici un exemple:
configuration t
entier f0/1
adresse IP 2.2.2.1 255.255.0.0
pas de fermeture
description lien LAN vers Finance
14. Vous pouvez ajouter la bande passante d'une liaison série ainsi que la fréquence d'horloge lors de la simulation d'un DCE
Liaison WAN sur un routeur. Voici un exemple:
configuration t
int s0/0
bande passante 1000
Questions de révision
Les questions suivantes sont conçues pour tester votre compréhension des
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez consulter
www.lammle.com/ccna .
Vous pouvez trouver les réponses à ces questions dans l'annexe B, « Réponses aux questions de révision ».
1. Vous tapez show interfaces fa0/1 et obtenez cette sortie :
275496 paquets en entrée, 35226811 octets, 0 pas de tampon

69748 diffusions reçues (58822 multidiffusions)
0 avortons, 0 géants, 0 manettes
111395 erreurs d'entrée, 511987 CRC, 0 trame, 0 dépassement, 0 ignoré
0 chien de garde, 58822 multidiffusion, 0 entrée de pause
2392529 paquets de sortie, 337933522 octets, 0 sous-exécution
0 erreurs de sortie, 0 collisions, 1 réinitialisation d'interface
0 babillage, 0 collision tardive, 0 différé
0 porteuse perdue, 0 pas de porteuse, 0 sortie PAUSE
Quel pourrait être le problème avec cette interface?
A. Inadéquation de vitesse sur les interfaces directement connectées
B. Collisions provoquant des erreurs CRC
C. Les trames reçues sont trop volumineuses
D. Interférence sur le câble Ethernet
Page 43
2. La sortie de la commande show running-config provient de _________.
A. NVRAM
B. Flash
C. RAM
D. Micrologiciel
3. Lesquelles des deux commandes suivantes sont requises lors de la configuration de SSH sur votre routeur ?
(Choisissez deux.)
A. activer le mot de passe secret
B. Exec-timeout 0 0
C. nom de domaine ip
D. nom d'utilisateur mot de passe mot de passe
E. ip ssh version 2
4. Quelle commande vous montrera si un câble DTE ou DCE est branché en série 0/0 sur
le port WAN de votre routeur ?
A. sh int s0/0
B. sh int serial0/0
C. afficher les contrôleurs s0/0
D. afficher les contrôleurs serial0/0
5. Dans la zone de travail, faites glisser le terme routeur vers sa définition sur la droite.
Mode Définition
mode d'exécution utilisateur Commandes qui affectent l'ensemble du système
mode d'exécution privilégié Commandes affectant uniquement les interfaces/processus
Mode de configuration globale Boîte de dialogue de configuration interactive
Modes de configuration spécifiques Donne accès à toutes les autres commandes du routeur
Mode de configuration Limité aux commandes de surveillance de base
6. En utilisant la sortie donnée, quel type d'interface est affiché ?
[coupure de sortie]
Le matériel est MV96340 Ethernet, l'adresse est 001a.2f55.c9e8 (bia 001a.2f55.c9e8)
MTU 1500 octets, BW 100000 Kbit, DLY 100 usec,
A. 10 Mo
B. 100 Mo
C. 1000 Mo
D. 1000 Mo
7. Laquelle des commandes suivantes configurera tous les ports VTY par défaut sur un commutateur ?
A. Commutateur # ligne vty 0 4
B. Switch(config)# ligne vty 0 4
C. Switch(config-if)# ligne console 0
D. Switch(config)# line vty all
8. Laquelle des commandes suivantes définit le mot de passe du mode privilégié sur Cisco et crypte
le mot de passe?
Page 44
A. activer le mot de passe secret Cisco
B. activer le cisco secret
C. activer le secret Cisco
D. activer le mot de passe Cisco
9. Si vous souhaitez que les administrateurs voient un message lorsqu'ils se connectent au commutateur, quelle commande
utiliseriez-vous ?
A. message bannière motd
B. bannière de message motd
C. bannière motd
D. message
10. Laquelle des invites suivantes indique que le commutateur est actuellement en mode privilégié ?
A. Commutateur (config) #
B. Commutateur>
C. Commutateur #
D. Commutateur (config-if)
11. Quelle commande tapez-vous pour enregistrer la configuration stockée dans la RAM dans la NVRAM ?
A. Switch(config)# copier le courant au démarrage
B. La copie du commutateur # commence à s'exécuter
C. Switch(config)# copy running-config startup-config
D. Début de l'exécution de la copie du commutateur#
12. Vous essayez de vous connecter à SF depuis le routeur Corp et recevez ce message :
Corp# telnet SF
Essayer SF (10.0.0.1)...Ouvrir

[Connexion à SF fermée par l'hôte étranger]
Numéro d'entreprise
Laquelle des séquences suivantes résoudra correctement ce problème ?
A. Corp(config)#line console 0
Corp(ligne de configuration)#password mot de passe
Corp(ligne de configuration)#login
B. SF config)#ligne console 0
SF(config-line)#enable mot de passe secret
SF(config-line)#login
C. Corp(config)#line vty 0 4
Corp(ligne de configuration)#password mot de passe
Corp(ligne de configuration)#login
D. SF(config)#ligne vty 0 4
SF(config-line)#password mot de passe
SF(config-line)#login
13. Quelle commande supprimera le contenu de la NVRAM sur un commutateur ?
A. supprimer la NVRAM
B. supprimer la configuration de démarrage
C. effacer le flash
D. effacer la configuration de démarrage
E. effacer le début
Page 45
14. Quel est le problème avec une interface si vous tapez show interface g0/1 et recevez ce qui suit
un message?
Gigabit 0/1 est en panne administrativement, le protocole de ligne est en panne
A. Les keepalives sont des temps différents.
B. L'administrateur fait fermer l'interface.
C. L'administrateur envoie un ping depuis l'interface.
D. Aucun câble n'est connecté.
15. Laquelle des commandes suivantes affiche les paramètres configurables et les statistiques de tous
interfaces sur un commutateur?
A. show running-config
B. afficher la configuration de démarrage
C. afficher les interfaces
D. afficher les versions
16. Si vous supprimez le contenu de la NVRAM et redémarrez le commutateur, dans quel mode serez-vous ?
A. Mode privilégié
B. Mode global
C. Mode configuration
D. Mode chargé NVRAM
17. Vous tapez la commande suivante dans le commutateur et recevez la sortie suivante :
Switch# show fastethernet 0/1

^
Pourquoi ce message d'erreur s'est-il affiché ?
A. Vous devez être en mode privilégié.
B. Vous ne pouvez pas avoir d'espace entre fastethernet et 0/1 .
C. Le commutateur n'a pas d'interface FastEthernet 0/1.
D. Une partie de la commande est manquante.
18. Vous tapez Switch#sh r et recevez une erreur de commande % ambiguë . Pourquoi as-tu reçu ça
un message?
A. La commande requiert des options ou des paramètres supplémentaires.

B. Il existe plusieurs commandes show commençant par la lettre r .
C. Il n'y a pas de commande show qui commence par r.
D. La commande est exécutée à partir du mauvais mode.
19. Laquelle des commandes suivantes affichera l'adressage IP actuel et les couches 1 et 2
statut d'une interface ? (Choisissez deux.)
A. afficher la version
B. afficher les interfaces
C. afficher les contrôleurs
D. afficher l'interface IP
E. show running-config
20. À quelle couche du modèle OSI supposeriez-vous que le problème est si vous tapez show interface
série 1 et recevez le message suivant ?
Page 46
Serial1 est en panne, le protocole de ligne est en panne
A. Couche physique
B. Couche de liaison de données
C. Couche réseau
D. Aucun ; c'est un problème de routeur.

47
Chapitre 7
Gestion d'un interréseau Cisco
Les sujets d'examen ICND1 suivants sont traités dans ce

chapitre:
2.0 Technologies de commutation LAN
2.6 Configurer et vérifier les protocoles de couche 2
2.6.a Protocole de découverte Cisco
2.6.bLLDP
4.0 Services d'infrastructure
4.1 Décrire l'opération de recherche DNS
4.2 Résoudre les problèmes de connectivité client impliquant DNS
4.3 Configurer et vérifier DHCP sur un routeur (hors réservations statiques)
4.3.a Serveur
4.3.b Relais
4.3.c Client
4.3.d Options TFTP, DNS et passerelle
4.4 Résoudre les problèmes de connectivité DHCP basés sur les clients et les routeurs
4.5 Configurer et vérifier le fonctionnement de NTP en mode client/serveur
5.0 Gestion des infrastructures
5.1 Configurer et vérifier la surveillance des appareils à l'aide de syslog
5.2 Configurer et vérifier la gestion des appareils
5.2.a Sauvegarder et restaurer la configuration de l'appareil
5.2.b Utilisation du protocole de découverte Cisco et de LLDP pour la découverte de périphériques
5.2.d Journalisation
5.2.e Fuseau horaire
5.2.f Bouclage
Ici, au chapitre 7, je vais vous montrer comment gérer

Routeurs et commutateurs Cisco sur un interréseau. Vous découvrirez les principaux composants de
48
un routeur, ainsi que la séquence de démarrage du routeur. Vous découvrirez également comment gérer les appareils Cisco en
en utilisant la commande copy avec un hôte TFTP et comment configurer DHCP et NTP, plus vous obtiendrez un
étude du Cisco Discovery Protocol (CDP). Je vais également vous montrer comment résoudre les noms d'hôtes.
Je vais conclure le chapitre en vous guidant à travers certains dépannages importants de Cisco IOS
techniques pour vous assurer que vous êtes bien équipé avec ces compétences clés.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter www.lammle.com/ccna
ou la page Web du livre à l' adresse www.sybex.com/go/ccna .
Les composants internes d'un routeur et d'un commutateur Cisco

À moins que vous ne connaissiez vraiment le fonctionnement intérieur et extérieur de toutes les pièces de votre voiture.
systèmes et ses machines et comment toute cette technologie fonctionne ensemble, vous l'apporterez à
quelqu'un qui ne sait comment garder maintenu, figure ce qui ne va pas quand il arrête
en cours d'exécution, et le remettre en marche. C'est la même chose avec les périphériques réseau Cisco : vous
besoin de tout savoir sur leurs principaux composants, pièces et pièces ainsi que sur ce qu'ils font tous et
pourquoi et comment ils travaillent tous ensemble pour faire fonctionner un réseau. Plus vos connaissances sont solides,
plus vous serez expert sur ces choses et mieux vous serez équipé pour configurer et
dépanner un interréseau Cisco. Pour atteindre cet objectif, étudiez le tableau 7.1 pour une introduction
description des principaux composants d'un routeur Cisco.
TABLEAU 7.1 Composants du routeur Cisco
Description du composant
Amorcer Stocké dans le microcode de la ROM, le bootstrap est utilisé pour faire monter un routeur
lors de l'initialisation. Il démarre le routeur, puis charge l'IOS.
POST (alimentation-Egalement stocké dans le microcode de la ROM, le POST permet de vérifier les bases
sur l'autotest) fonctionnalité du matériel du routeur et détermine quelles interfaces sont
présent.
Moniteur ROM Encore une fois, stocké dans le microcode de la ROM, le moniteur ROM est utilisé pour
la fabrication, les tests et le dépannage, ainsi que l'exécution d'un mini-IOS lorsque
l'IOS en flash ne se charge pas.
Mini-IOS Appelé le RXBOOT ou bootloader par Cisco, le mini-IOS est un petit IOS en ROM
qui peut être utilisé pour faire apparaître une interface et charger un Cisco IOS dans la mémoire flash.
Le mini-IOS peut également effectuer quelques autres opérations de maintenance.
RAM Utilisé pour contenir les tampons de paquets, le cache ARP, les tables de routage, ainsi que le logiciel
(Aléatoire et des structures de données qui permettent au routeur de fonctionner. Running-config est stocké dans
accès RAM, et la plupart des routeurs étendent l'IOS de la mémoire flash à la RAM au démarrage.
Mémoire)
ROM (lecture- Utilisé pour démarrer et entretenir le routeur. Contient le POST et le bootstrap
seul souvenir) programme ainsi que le mini-IOS.
Éclat Stocke le Cisco IOS par défaut. La mémoire flash n'est pas effacée lorsque le routeur est
Mémoire rechargé. Il s'agit d'une EEPROM (électroniquement effaçable programmable en lecture seule
mémoire) créé par Intel.
NVRAM Utilisé pour contenir la configuration du routeur et du commutateur. La NVRAM n'est pas effacée lorsque
(non volatile le routeur ou le commutateur est rechargé. Ne stocke pas d'IOS. La config
RAM) registre est stocké dans la NVRAM.
Configuration Utilisé pour contrôler le démarrage du routeur. Cette valeur peut être trouvée comme dernière ligne
49
S'inscrire de la sortie de la commande show version et est défini par défaut sur 0x2102, ce qui indique
le routeur pour charger l'IOS depuis la mémoire flash ainsi que pour charger la configuration
de la NVRAM.
La séquence de démarrage du routeur et du commutateur

Lorsqu'un périphérique Cisco démarre, il exécute une série d'étapes, appelées séquence de démarrage , pour tester le
matériel et chargez le logiciel nécessaire. La séquence de démarrage comprend les étapes suivantes, comme
illustré à la figure 7.1 :
1. Le périphérique IOS effectue un POST, qui teste le matériel pour vérifier que tous les composants de
l'appareil sont présents et opérationnels. La poste fait le point sur les différentes interfaces sur le
commutateur ou routeur, et il est stocké et exécuté à partir de la mémoire morte (ROM).
2. Le bootstrap dans la ROM localise et charge ensuite le logiciel Cisco IOS en exécutant des programmes
responsable de trouver l'emplacement de chaque programme IOS. Une fois qu'ils sont trouvés, il charge
les fichiers appropriés. Par défaut, le logiciel IOS est chargé à partir de la mémoire flash de tous les appareils Cisco.
FIGURE 7.1 Processus de démarrage du routeur
3. Le logiciel IOS recherche alors un fichier de configuration valide stocké dans la NVRAM. Ce fichier s'appelle
startup-config et ne sera présent que si un administrateur a copié le fichier running-config
en NVRAM.
4. Si un fichier de configuration de démarrage est trouvé dans la NVRAM, le routeur ou le commutateur le copiera, le placera dans la RAM,
et nommez le fichier running-config. L'appareil utilisera ce fichier pour s'exécuter, et le
le routeur/commutateur devrait maintenant être opérationnel. Si un fichier de configuration de démarrage n'est pas dans la NVRAM, le routeur
diffusera toute interface qui détecte la détection de porteuse (CD) pour un hôte TFTP à la recherche d'un
configuration, et quand cela échoue (généralement, cela échouera - la plupart des gens ne réaliseront même pas le
routeur a tenté ce processus), il lancera le processus de configuration du mode de configuration.
L'ordre par défaut du chargement d'un IOS à partir d'un périphérique Cisco commence par flash, puis
serveur TFTP et enfin ROM.
Sauvegarde et restauration de la configuration Cisco

Toutes les modifications que vous apportez à la configuration sont stockées dans le fichier running-config. Et si tu
50
n'entrez pas de commande copy run start après avoir modifié running-config, ce changement sera
disparaissent totalement si l'appareil redémarre ou s'éteint. Comme toujours, les sauvegardes sont bonnes, donc
vous voudrez faire une autre sauvegarde des informations de configuration juste au cas où le routeur ou
l'interrupteur meurt complètement sur vous. Même si votre machine est en bonne santé et heureuse, il est bon d'avoir un
sauvegarde pour des raisons de référence et de documentation !
Ensuite, je couvrirai comment copier la configuration d'un routeur sur un serveur TFTP ainsi que comment
restaurer cette configuration.
Sauvegarde de la configuration Cisco

Pour copier la configuration d'un périphérique IOS à un serveur TFTP, vous pouvez utiliser la copie
running-config tftp ou
la commande copy startup-config tftp . L'un ou l'autre sauvegardera le routeur
configuration qui s'exécute actuellement dans la DRAM ou celle qui est stockée dans la NVRAM.
Vérification de la configuration actuelle
Pour vérifier la configuration dans la DRAM, utilisez la commande show running-config ( sh run pour faire court) comme
cette:
Routeur# show running-config


!
version 15.0
Les informations de configuration actuelles indiquent que le routeur exécute la version 15.0 du
IOS.
Vérification de la configuration stockée
Ensuite, vous devez vérifier la configuration stockée dans la NVRAM. Pour voir cela, utilisez le show startup-
commande de configuration ( sh start pour faire court) comme ceci :
Routeur# sh start
Utilisation de 855 sur 524288 octets
!
! Dernier changement de configuration à 04:49:14 UTC vendredi 5 mars 1993
!
version 15.0
La première ligne vous indique l'espace occupé par votre configuration de sauvegarde. Ici, on peut
voyez que la NVRAM fait environ 524 Ko et que seuls 855 octets sont utilisés. Mais la mémoire est
plus facile à révéler via la commande show version lorsque vous utilisez un routeur ISR.
Si vous n'êtes pas sûr que les fichiers sont les mêmes et que le fichier running-config est ce que vous voulez utiliser
avec, puis utilisez la commande copy running-config startup-config . Cela vous aidera à vous assurer que les deux
les fichiers sont en fait les mêmes. Je vais vous guider à travers cela dans la section suivante.
Copie de la configuration actuelle dans la NVRAM
En copiant running-config sur NVRAM en tant que sauvegarde, comme indiqué dans la sortie suivante, vous vous assurez
que votre configuration en cours sera toujours rechargée si le routeur est redémarré. À partir du 12.0
IOS, vous serez invité à saisir le nom de fichier que vous souhaitez utiliser :
Router# copy running-config startup-config

Nom du fichier de destination [startup-config] ? [Entrer]
[D'ACCORD]
La raison pour laquelle l'invite de nom de fichier apparaît est qu'il y a maintenant tellement d'options que vous pouvez utiliser lorsque
en utilisant la commande copy —vérifiez-le :
Router# copy running-config ?

éclat: Copier dans la flash : système de fichiers
ftp : Copier vers ftp : système de fichiers
http: Copier vers http: système de fichiers
51
https : Copier vers https : système de fichiers

nul: Copier vers null : système de fichiers
nvram : Copier sur nvram : système de fichiers
rcp : Copier dans rcp : système de fichiers
running-config Mettre à jour (fusionner avec) la configuration actuelle du système
scp : Copier dans scp : système de fichiers
startup-config Copier dans la configuration de démarrage
syslog : Copier dans syslog : système de fichiers
système: Copier dans le système : système de fichiers
tftp : Copier sur tftp : système de fichiers
tmpsys : Copier dans tmsys : système de fichiers
Copie de la configuration sur un serveur TFTP
Une fois le fichier copié dans la NVRAM, vous pouvez effectuer une deuxième sauvegarde sur un serveur TFTP en utilisant le
copiez la commande running-config tftp ou copiez run tftp en abrégé. Je vais définir le nom d'hôte sur Todd
avant de lancer cette commande :
Todd# copier running-config tftp

Adresse ou nom de l'hôte distant [] ? 10.10.10.254
Nom du fichier de destination [todd-confg] ?
!!
776 octets copiés en 0,800 s (970 octets/s)
Si vous avez déjà configuré un nom d'hôte, la commande utilisera automatiquement le nom d'hôte
plus l'extension -confg comme nom de fichier.
Restauration de la configuration Cisco

Que faites-vous si vous avez modifié votre fichier running-config et souhaitez restaurer la configuration
à la version dans le fichier startup-config ? Le moyen le plus simple d'y parvenir est d'utiliser la copie de démarrage-
config running-config command,
ou copy start run pour faire court, mais cela ne fonctionnera que si vous avez copié
running-config dans la NVRAM avant d'apporter des modifications ! Bien entendu, un rechargement de l'appareil
travaille aussi !
Si vous avez copié la configuration sur un serveur TFTP en tant que seconde sauvegarde, vous pouvez restaurer le
configuration à l'aide de la commande copy tftp running-config ( copy tftp run pour faire court), ou la copie
Commande tftp startup-config ( copiez tftp start pour faire court), comme indiqué dans la sortie suivante. Juste ainsi
vous savez, l'ancienne commande que nous utilisions pour cela est config net :
Todd# copier tftp running-config

Nom du fichier source [] ? todd-confg
Nom du fichier de destination [running-config] ? [Entrer]
Accès à tftp://10.10.10.254/todd-confg...
Chargement de todd-confg depuis 10.10.10.254 (via FastEthernet0/0):
!!
[OK - 776 octets]
776 octets copiés en 9,212 secondes (84 octets/sec)
Todd#
* 7 mars 17:53:34.071 : %SYS-5-CONFIG_I : configuré à partir de
tftp://10.10.10.254/todd-confg par console
Bon, le fichier de configuration est un fichier texte ASCII. . . ce qui signifie qu'avant de copier le
configuration stockée sur un serveur TFTP vers un routeur, vous pouvez apporter des modifications au fichier avec
n'importe quel éditeur de texte.
N'oubliez pas que lorsque vous copiez ou fusionnez une configuration d'un serveur TFTP vers
la RAM d'un routeur fraîchement effacé et redémarré, les interfaces sont fermées par défaut et
vous devez activer manuellement chaque interface avec la commande no shutdown .
Effacement de la configuration
Pour supprimer le fichier startup-config sur un routeur ou un commutateur Cisco, utilisez la commande delete startup-
config , comme ceci :
Page 52
Todd# effacer la configuration de démarrage

Effacer le système de fichiers nvram supprimera tous les fichiers de configuration !
Continuer? [confirmer] [entrer]
[D'ACCORD]
* 7 mars 17:56:20.407 : %SYS-7-NV_BLOCK_INIT : initialisation de la géométrie de nvram
Todd# recharger
La configuration du système a été modifiée. Sauvegarder? [oui/non] : n
Continuer le rechargement ? [confirmer] [entrer]
* 7 mars 17:56:31.059 : %SYS-5-RELOAD : rechargement demandé par la console.
Raison du rechargement : commande de rechargement.
Cette commande supprime le contenu de la NVRAM sur le commutateur et le routeur. Si vous tapez recharger pendant
en mode privilégié et dites non à l'enregistrement des modifications, le commutateur ou le routeur se rechargera et s'activera
en mode configuration.
Configuration de DHCP
Nous avons examiné DHCP au chapitre 3, « Introduction à TCP/IP », où j'ai décrit son fonctionnement et
ce qui se passe quand il y a un conflit. À ce stade, vous êtes prêt à apprendre à configurer DHCP
sur l'IOS de Cisco ainsi que comment configurer un redirecteur DHCP lorsque vos hôtes ne vivent pas dessus
le même réseau local que le serveur DHCP. Vous souvenez-vous du processus en quatre étapes utilisé par les hôtes pour obtenir un
adresse d'un serveur? Sinon, ce serait le moment idéal pour retourner au chapitre 3 et
examinez-le attentivement avant de passer à autre chose !
Pour configurer un serveur DHCP pour vos hôtes, vous avez besoin au minimum des informations suivantes :
Réseau et masque pour chaque ID de réseau LAN , également appelé étendue. Toutes les adresses dans un
le sous-réseau peut être loué à des hôtes par défaut.
Adresses réservées/exclues Adresses réservées pour les imprimantes, serveurs, routeurs, etc.
Ces adresses ne seront pas transmises aux hôtes. Je réserve habituellement la première adresse de chaque
sous-réseau pour le routeur, mais vous n'êtes pas obligé de le faire.
Routeur par défaut Il s'agit de l'adresse du routeur pour chaque réseau local.
Adresse DNS Une liste d'adresses de serveur DNS fournie aux hôtes afin qu'ils puissent résoudre les noms.
Voici vos étapes de configuration :
1. Excluez les adresses que vous souhaitez réserver. La raison pour laquelle vous effectuez cette étape en premier est que, en tant que
dès que vous définissez un identifiant de réseau, le service DHCP commencera à répondre aux demandes des clients.
2. Créez votre pool pour chaque réseau local en utilisant un nom unique.
3. Choisissez l'ID de réseau et le masque de sous-réseau pour le pool DHCP que le serveur utilisera pour fournir
adresses aux hôtes.
4. Ajoutez l'adresse utilisée pour la passerelle par défaut du sous-réseau.
5. Fournissez la ou les adresses du serveur DNS.
6. Si vous ne souhaitez pas utiliser la durée de location par défaut de 24 heures, vous devez définir la durée de location dans
jours, heures et minutes.
Je vais configurer le commutateur de la figure 7.2 pour qu'il soit le serveur DHCP du réseau local sans fil des ventes.
53
FIGURE 7.2 Exemple de configuration DHCP sur un commutateur
Comprenez que cette configuration aurait pu être facilement placée sur le routeur de la Figure 7.2 .
Voici comment nous allons configurer DHCP à l'aide de l'ID réseau 192.168.10.0/24 :
Switch(config)# ip dhcp exclu-adresse 192.168.10.1 192.168.10.10

Switch(config)# ip dhcp pool Sales_Wireless
Switch (dhcp-config) # réseau 192.168.10.0 255.255.255.0
Commutateur (dhcp-config)# routeur par défaut 192.168.10.1
Commutateur (dhcp-config)# dns-server 4.4.4.4
Commutateur (dhcp-config) # bail 3 12 15
Commutateur (dhcp-config) # option 66 ascii tftp.lammle.com
Tout d'abord, vous pouvez voir que j'ai réservé 10 adresses dans la plage pour le routeur, les serveurs et les imprimantes,
etc. J'ai ensuite créé le pool nommé Sales_Wireless, ajouté la passerelle par défaut et le serveur DNS,
et fixez le bail à 3 jours, 12 heures et 15 minutes (ce qui n'est pas vraiment significatif car je viens de
définissez-le de cette façon à des fins de démonstration). Enfin, j'ai donné un exemple sur vous de la façon dont vous
définissez l'option 66, qui envoie une adresse de serveur TFTP à un client DHCP. Généralement utilisé pour la VoIP
les téléphones ou les installations automatiques, et doit être répertorié en tant que nom de domaine complet. Assez simple, non? Les
le commutateur répondra désormais aux requêtes des clients DHCP. Mais que se passe-t-il si nous devons fournir une IP
adresse d'un serveur DHCP à un hôte qui n'est pas dans notre domaine de diffusion, ou si nous voulons recevoir
une adresse DHCP pour un client depuis un serveur distant ?
Relais DHCP
Si vous devez fournir des adresses d'un serveur DHCP à des hôtes qui ne sont pas sur le même LAN que le
Serveur DHCP, vous pouvez configurer l'interface de votre routeur pour relayer ou transférer le client DHCP
demandes, comme le montre la figure 7.3 . Si nous ne fournissons pas ce service, notre routeur recevra le
Diffusion du client DHCP, supprimez-la rapidement et l'hôte distant ne recevra jamais d'adresse
54
—à moins que nous ayons ajouté un serveur DHCP sur chaque domaine de diffusion ! Voyons comment nous ferions
configurent généralement le service DHCP dans les réseaux actuels.
FIGURE 7.3 Configuration d'un relais DHCP
Nous savons donc que parce que les hôtes du routeur n'ont pas accès à un serveur DHCP, le routeur
supprimera simplement les messages de diffusion de demande de client par défaut. Pour résoudre ce problème, nous
peut configurer l'interface Fa0/0 du routeur pour accepter les demandes du client DHCP et transmettre
les au serveur DHCP comme ceci :
Routeur# config t
Routeur(config)# interface fa0/0
Routeur(config-if)# ip helper-address 10.10.10.254
Maintenant, je sais que c'était un exemple assez simple, et il y a certainement d'autres façons de configurer
le relais, mais soyez assuré que j'ai couvert les objectifs pour vous. Aussi, je veux que vous sachiez que
ip helper-address transmet
plus que de simples demandes de client DHCP, alors assurez-vous de rechercher ceci
commande avant de l'implémenter ! Maintenant que j'ai montré comment créer le service DHCP,
prenons une minute pour vérifier DHCP avant de passer à NTP.
Vérification du DHCP sur Cisco IOS

Il existe des commandes de vérification très utiles à utiliser sur un périphérique Cisco IOS pour la surveillance
et vérifier un service DHCP. Vous verrez le résultat de ces commandes lorsque je créerai le
réseau au chapitre 9, « Routage IP » et ajoutez DHCP aux deux réseaux locaux distants. je veux juste que tu
commencez à vous familiariser avec eux, voici donc une liste de quatre très importants et ce qu'ils font :
show ip dhcp binding Répertorie les informations d'état sur chaque adresse IP actuellement louée à un client.
show ip dhcp pool [poolname] Répertorie

la plage configurée d'adresses IP, ainsi que les statistiques pour le
nombre d'adresses actuellement louées et le high watermark pour les baux de chaque pool.
show ip dhcp server statistics Répertorie les statistiques du serveur DHCP, beaucoup d'entre elles !
show ip dhcp conflict Si

quelqu'un configure statiquement une adresse IP sur un LAN et le DHCP
serveur distribue cette même adresse, vous vous retrouverez avec une adresse en double. Ce n'est pas bon,
c'est pourquoi cette commande est si utile !
Page 55
Encore une fois, pas de soucis car nous couvrirons ces commandes vitales en détail au chapitre 9.
Syslog
La lecture des messages système à partir de la mémoire tampon interne d'un commutateur ou d'un routeur est la méthode la plus populaire et
méthode efficace pour voir ce qui se passe avec votre réseau à un moment donné. Mais le meilleur
moyen est de consigner les messages sur un serveur syslog , qui stocke les messages de votre part et peut même chronométrer
tamponnez-les et séquencez-les pour vous, et c'est facile à installer et à configurer !
Syslog vous permet d'afficher, de trier et même de rechercher des messages, ce qui en fait un très bon
outil de dépannage. La fonction de recherche est particulièrement puissante car vous pouvez utiliser des mots-clés
et même des niveaux de gravité. De plus, le serveur peut envoyer des e-mails aux administrateurs en fonction du niveau de gravité du
un message.
Les périphériques réseau peuvent être configurés pour générer un message syslog et le transmettre à divers
destinations. Ces quatre exemples sont des moyens populaires de collecter des messages à partir d'appareils Cisco :
Tampon de journalisation (activé par défaut)
Ligne console (activée par défaut)
Lignes de terminal (à l'aide de la commande terminal monitor )
Serveur Syslog
Comme vous le savez déjà, tous les messages système et les sorties de débogage générés par l'IOS ne sortent que du
port de console par défaut et sont également enregistrés dans les tampons de la RAM. Et vous savez aussi que Cisco
les routeurs n'hésitent pas à envoyer des messages ! Pour envoyer un message aux lignes VTY, utilisez le
commande de moniteur de terminal . Nous allons également ajouter une petite configuration nécessaire pour syslog, que je vais montrer
vous bientôt dans la section de configuration.
Donc, par défaut, nous verrions quelque chose comme ceci sur notre ligne de console :
*21 octobre 17:33:50.565:%LINK-5-CHANGED:Interface FastEthernet0/0, modifié

l'état à administrativement vers le bas
*21 octobre 17:33:51.565:%LINEPROTO-5-UPDOWN:Protocole de ligne sur l'interface FastEthernet0/0, état modifié
vers le bas
Et le routeur Cisco enverrait une version générale du message au serveur syslog qui
être formaté dans quelque chose comme ceci:
N° de séquence : horodatage : %facility-severity-MNEMONIC : description
Le format du message système peut être décomposé de la manière suivante :
seq no Ce tampon enregistre les messages avec un numéro de séquence, mais pas par défaut. Si tu veux ça
sortie, vous devez le configurer.
Horodatage Données et heure du message ou de l'événement, qui à nouveau ne s'afficheront que s'ils sont configurés.
Facilité Facilité à laquelle le message fait référence.
Gravité Un code à un chiffre de 0 à 7 qui indique la gravité du message.
MNEMONIC Chaîne de texte décrivant le message de manière unique.
Description Chaîne de texte contenant des informations détaillées sur l'événement signalé.
Les niveaux de gravité, de niveau le plus sévère à la moins sévère, sont expliqués dans le tableau 7.2 .
Informational est la valeur par défaut et entraînera l'envoi de tous les messages aux tampons et à la console.
TABLEAU 7.2 Niveaux de gravité
Degré de gravité Explication
Urgence (gravité 0) Le système est inutilisable.
Alerte (gravité 1) Une action immédiate est nécessaire.
Critique (gravité 2) Un état critique.
Page 56
Erreur (gravité 3) État d'erreur.
Avertissement (gravité 4) Condition d'avertissement.
Notification (gravité 5) Etat normal mais significatif.
Informationnel (gravité 6) Message d'information normal.
Débogage (gravité 7) Message de débogage.
Si vous étudiez pour votre examen Cisco, vous devez mémoriser le tableau 7.2 à l' aide de ce
acronyme : Chaque ingénieur Cisco génial aura besoin de glace quotidiennement.

Comprenez que seuls les messages de niveau d'urgence seront affichés si vous avez configuré la gravité
niveau 0. Mais si, par exemple, vous optez pour le niveau 4 à la place, les niveaux 0 à 4 seront affichés, donnant
vous recevez également des messages d'urgence, d'alerte, de critique, d'erreur et d'avertissement. Le niveau 7 est le plus haut niveau
option de sécurité et affiche tout, mais sachez que l'utiliser pourrait avoir un sérieux
impact sur les performances de votre appareil. Utilisez donc toujours les commandes de débogage avec précaution, avec un
surveillez les messages dont vous avez vraiment besoin pour répondre aux besoins spécifiques de votre entreprise !
Configuration et vérification de Syslog

Comme je l'ai dit, les appareils Cisco envoient tous les messages de journal du niveau de gravité que vous avez choisi à la console.
Ils iront également dans le tampon, et les deux se produisent par défaut. Pour cette raison, il est bon de savoir que
vous pouvez désactiver et activer ces fonctionnalités avec les commandes suivantes :
Router(config)# journalisation ?
Nom d'hôte ou adresse IP ABCD de l'hôte de journalisation
tamponné Définir les paramètres de journalisation en mémoire tampon
bogueinf Activer la journalisation buginf pour le débogage
événements-cns Définir le niveau de journalisation des événements CNS
console Définir les paramètres de journalisation de la console
compter Compter chaque message de journal et horodater la dernière occurrence
esm Définir les restrictions de filtre ESM
exception Limiter la taille de la sortie de vidage des exceptions
établissement Paramètre de facilité pour les messages syslog
filtre Spécifier le filtre de journalisation
l'histoire Configurer la table d'historique syslog
hôte Définir l'adresse IP et les paramètres du serveur syslog
surveiller Définir les paramètres de journalisation de la ligne terminale (moniteur)
au Activer la journalisation vers toutes les destinations activées
ID-origine Ajouter l'ID d'origine aux messages syslog
limite de file d'attente Définir la taille de la file d'attente des messages de l'enregistreur
taux-limite Définir la limite de messages par seconde
recharger Définir le niveau de journalisation de rechargement
serveur-arp Activez l'envoi de requêtes ARP pour les serveurs syslog lorsque
d'abord configuré
source-interface Spécifier l'interface pour l'adresse source dans la journalisation
transactions
piéger Définir le niveau de journalisation du serveur syslog
informations utilisateur Activer la journalisation des informations utilisateur sur l'activation du mode privilégié
Router(config)# console de journalisation

Router(config)# journalisation mise en mémoire tampon
Wow, comme vous pouvez le voir dans cette sortie, il existe de nombreuses options que vous pouvez utiliser avec la journalisation
commander! La configuration précédente permettait à la console et au buffer de recevoir tous les logs
messages de toutes les sévérités, et n'oubliez pas qu'il s'agit du paramètre par défaut pour tous les périphériques Cisco IOS.
Si vous souhaitez désactiver les valeurs par défaut, utilisez les commandes suivantes :
Routeur(config)# pas de console de journalisation

Router(config)# pas de journalisation en mémoire tampon
J'aime laisser les commandes console et buffer activées pour recevoir les informations de journalisation, mais c'est
à toi de voir. Vous pouvez voir les tampons avec la commande show logging ici :
57
Routeur# sh journalisation
Journalisation Syslog : activée (11 messages abandonnés, 1 message à débit limité,
0 flush, 0 dépassement, xml désactivé, filtrage désactivé)
Journalisation de la console : débogage de niveau, 29 messages enregistrés, xml désactivé,
filtrage désactivé
Monitor logging : débogage de niveau, 0 messages enregistrés, xml désactivé,
Buffer logging : débogage de niveau, 1 messages enregistrés, xml désactivé,
Taille de l'exception de journalisation (4096 octets)
Messages de journalisation du nombre et de l'horodatage : désactivé
Aucun module de filtrage actif.
Trap logging : niveau d'information , 33 lignes de message enregistrées
Tampon de journal (4096 octets) :

*21 juin 23:09:37.822 : %SYS-5-CONFIG_I : configuré depuis la console par la console
Routeur#
Le niveau d'interruption par défaut (message de l'appareil vers NMS) est le débogage , mais vous pouvez également le modifier.
Et maintenant que vous avez vu le format de message système sur un appareil Cisco, je veux vous montrer comment
vous pouvez également contrôler le format de vos messages via des numéros de séquence et des horodatages, qui
ne sont pas activés par défaut. Nous commencerons par un exemple simple et basique de la façon de configurer un appareil pour
envoyer des messages à un serveur syslog, illustré à la figure 7.4 .
FIGURE 7.4 Messages envoyés à un serveur syslog
Un serveur syslog enregistre des copies des messages de la console et peut les horodater pour les consulter ultérieurement
temps. C'est en fait assez facile à configurer, et voici à quoi cela ressemblerait sur le SF
routeur :
SF(config)# journalisation 172.16.10.1

SF(config)# journalisation à titre informatif
C'est génial - maintenant tous les messages de la console seront stockés dans un seul endroit pour être consultés à votre
commodité! J'utilise généralement la commande logging host ip_address , mais logging IP_address sans
le mot-clé host obtient le même résultat.
Nous pouvons limiter la quantité de messages envoyés au serveur syslog, en fonction de la gravité, avec le
commande suivante :
Piège de journalisation SF(config)# ?

<0-7> Niveau de gravité de la journalisation
alertes Action immédiate nécessaire (gravité=1)
critique Conditions critiques (gravité=2)
débogage Messages de débogage (gravité=7)
urgences Le système est inutilisable (gravité=0)
les erreurs Conditions d'erreur (gravité=3)
Messages d'information (gravité=6)
notifications Conditions normales mais significatives (gravité=5)
avertissements Conditions d'avertissement (gravité=4)
<cr>
SF(config)# logging trap informatif
Notez que nous pouvons utiliser soit le numéro, soit le nom du niveau de gravité réel, et ils sont dans
Page 58
ordre alphabétique, pas ordre de gravité, ce qui rend encore plus difficile la mémorisation de l'ordre !
(Merci Cisco !) Depuis que je suis passé au niveau de gravité 6 (Informationnel), je vais recevoir des messages pour
niveaux 0 à 6. Ceux-ci sont également appelés niveaux locaux, tels que, par exemple, local6 - non
différence.
Configurons maintenant le routeur pour utiliser les numéros de séquence :
SF(config)# pas d'horodatage de service

Numéros de séquence de service SF(config)#
SF(config)# ^Z
000038 : %SYS-5-CONFIG_I : Configuré depuis console par console
Lorsque vous quittez le mode de configuration, le routeur enverra un message comme celui affiché dans le
lignes de code précédentes. Sans les horodatages activés, nous ne verrons plus d'heure et de date, mais
nous verrons un numéro de séquence.
Nous avons donc maintenant les éléments suivants :
Numéro de séquence : 000038
Installation : %SYS
Niveau de gravité : 5
MNEMONIQUE : CONFIG_I
Description : Configuré depuis console par console
Je tiens à souligner que de tous ces éléments, le niveau de gravité est ce à quoi vous devez le plus faire attention
pour les examens Cisco ainsi que pour un moyen de contrôler la quantité de messages envoyés au syslog
serveur.
Protocole de temps réseau (NTP)

Network Time Protocol fournit à peu près ce qu'il décrit : du temps pour tout votre réseau
dispositifs. Pour être plus précis, NTP synchronise les horloges des systèmes informatiques sur les paquets
réseaux de données commutés à latence variable.
En règle générale, vous aurez un serveur NTP qui se connecte via Internet à une horloge atomique. Cette
l'heure peut ensuite être synchronisée via le réseau pour conserver tous les routeurs, commutateurs, serveurs, etc.
recevoir les informations en même temps.
L'heure correcte du réseau au sein du réseau est importante :
L'heure correcte permet le suivi des événements dans le réseau dans le bon ordre.
La synchronisation de l'horloge est essentielle pour l'interprétation correcte des événements dans le syslog
Les données.
La synchronisation de l'horloge est essentielle pour les certificats numériques.
S'assurer que tous vos appareils ont l'heure correcte est particulièrement utile pour vos routeurs et
commutateurs pour consulter les journaux concernant les problèmes de sécurité ou d'autres problèmes de maintenance. Routeurs et
les commutateurs émettent des messages de journal lorsque différents événements ont lieu, par exemple, lorsqu'une interface
descend puis remonte. Comme vous le savez déjà, tous les messages générés par l'IOS ne vont qu'à
le port de console par défaut. Cependant, comme le montre la Figure 7.4 , ces messages de console peuvent être
dirigé vers un serveur syslog.
Un serveur syslog enregistre des copies des messages de la console et peut les horodater afin que vous puissiez les visualiser
à un moment ultérieur. C'est en fait assez facile à faire. Voici votre configuration sur le SF
routeur :
SF(config)# service timestamps log datetime msec

Même si j'avais les messages horodatés avec la datetime du journal des horodatages du service de commande
msec , cela ne signifie pas que nous connaîtrons l'heure exacte si nous utilisons des sources d'horloge par défaut.
Pour nous assurer que tous les appareils sont synchronisés avec les mêmes informations horaires, nous allons configurer notre
Page 59
appareils pour recevoir les informations de temps précises d'un serveur centralisé, comme indiqué ici dans le
commande suivante et dans la Figure 7.5 :
Serveur SF(config) #ntp 172.16.10.1 version 4
FIGURE 7.5 Synchronisation des informations de temps
Utilisez simplement cette commande simple sur tous vos appareils et sur chaque appareil réseau de votre réseau
auront alors les mêmes informations d'heure et de date exactes. Vous pouvez alors être assuré que votre
les horodatages sont exacts. Vous pouvez également faire de votre routeur ou commutateur un serveur NTP avec le ntp
commande maître .
Pour vérifier que notre client NTP reçoit les informations de synchronisation, nous utilisons les commandes suivantes :
SF# sh ntp ?
associations associations PNLT
statut Statut du statut NTP Statut du domaine VTP
SF# sh ntp statut

L'horloge n'est pas synchronisée, strate 16, pas d'horloge de référence
la fréquence nominale est de 119,2092 Hz, la fréquence réelle est de 119,2092 Hz, la précision est de 2**18
l'heure de référence est 0000000000000000 (00:00:00.000 UTC lun 1 janvier 1900)
le décalage d'horloge est de 0,0000 ms, le retard de racine est de 0,00 ms
Associations S1# sh ntp
adresse ref horloge st quand interrogation atteindre délai décalage disp

~172.16.0.10.1 0.0.0.0 16 - 64 0 0,0 0,00 16000.
* maître (synchronisé), # maître (non synchronisé), + sélectionné, - candidat, ~ configuré
Vous pouvez voir dans l'exemple que le client NTP dans SF n'est pas synchronisé avec le serveur en utilisant
la commande show ntp status . La valeur de la strate est un nombre de 1 à 15, et une strate inférieure
la valeur indique une priorité NTP plus élevée ; 16 signifie qu'il n'y a pas de pointage reçu.
Il existe de nombreuses autres configurations d'un client NTP qui sont disponibles, telles que l'authentification
de NTP afin qu'un routeur ou un commutateur ne soit pas dupe en changeant l'heure d'une attaque, par exemple.
Explorer les appareils connectés à l'aide de CDP et LLDP

Cisco Discovery Protocol (CDP) est un protocole propriétaire de couche 2 conçu par Cisco pour aider
les administrateurs collectent des informations sur les périphériques Cisco connectés localement. Armé du CDP, vous
peut recueillir des informations sur le matériel et le protocole sur les périphériques voisins, ce qui est crucial
informations à avoir lors du dépannage et de la documentation du réseau. Une autre dynamique
le protocole de découverte est Link Layer Discovery Protocol (LLDP), mais au lieu d'être propriétaire
comme CDP, il est indépendant du fournisseur.
Commençons par explorer le minuteur CDP et les commandes CDP dont nous aurons besoin pour vérifier notre réseau.
Page 60
Obtention d'informations sur les temporisateurs CDP et le temps d'attente

La commande show cdp ( sh cdp en abrégé) vous donne des informations sur deux paramètres globaux CDP
qui peut être configuré sur les appareils Cisco :
Le temporisateur CDP délimite la fréquence à laquelle les paquets CDP sont transmis à toutes les interfaces actives.
CDP holdtime délimite la durée pendant laquelle l'appareil conservera les paquets reçus de
appareils voisins.
Les routeurs et les commutateurs Cisco utilisent les mêmes paramètres. Consultez la figure 7.6 pour voir comment CDP
fonctionne au sein d'un réseau commuté que j'ai configuré pour mes laboratoires de commutation dans ce livre.
FIGURE 7.6 Protocole de découverte Cisco
La sortie sur mon 3560 SW-3 ressemble à ceci :
SW-3# sh cdp
Informations globales sur le CDP :
Envoi de paquets CDP toutes les 60 secondes
Envoi d'une valeur de temps d'attente de 180 secondes
L'envoi de publicités CDPv2 est activé
Cette sortie nous indique que la valeur par défaut transmet toutes les 60 secondes et contiendra les paquets d'un
voisin dans la table CDP pendant 180 secondes. Je peux utiliser les commandes globales cdp holdtime et cdp
timer pour configurer le holdtime CDP et le timer sur un routeur si nécessaire comme ceci :
SW-3(config) #cdp ?
Advert-v2 CDP envoie des publicités version-2
holdtime Spécifiez le temps d'attente (en secondes) à envoyer en paquets
Cours Activer le CDP
minuteur Spécifiez la vitesse à laquelle les paquets CDP sont envoyés (en secondes)
tlv Activer l'échange d'informations tlv spécifiques
SW-3(config)# cdp holdtime ?

<10-255> Durée (en secondes) pendant laquelle le récepteur doit conserver ce paquet
SW-3(config)# minuteur cdp ?

<5-254> Débit auquel les paquets CDP sont envoyés (en secondes)
Vous pouvez désactiver complètement CDP avec la commande no cdp run du mode de configuration globale
d'un routeur et activez-le avec la commande cdp run :
SW-3(config)# pas d'exécution de cdp

SW-3(config)# cdp exécuté
Pour activer ou désactiver le CDP pour une interface, utilisez les commandes no cdp enable et cdp enable .
Collecte d'informations sur les voisins

La commande show cdp voisin ( sh cdp nei en abrégé) fournit des informations sur directement
Page 61
des appareils connectés. Il est important de se rappeler que les paquets CDP ne passent pas par un Cisco
commutateur et que vous ne voyez que ce qui est directement attaché. Cela signifie donc que si votre routeur est
connecté à un commutateur, vous ne verrez aucun des appareils Cisco connectés au-delà de ce commutateur !
La sortie suivante montre la commande show cdp voisin que j'ai utilisée sur mon SW-3 :
SW-3# sh voisins cdp

Codes de capacité : R - Routeur, T - Pont Trans, B - Pont de la route source
S - Commutateur, H - Hôte, I - IGMP, r - Répéteur, P - Téléphone,
D - Remote, C - CVTA, M - Identifiant de périphérique de relais Mac à deux ports Intrfce local
ID de port de la plate-forme de capacité Holdtme
SW-1 Fas 0/1 170 SI WS-C3560- Fas 0/15
SW-1 Fas 0/2 170 SI WS-C3560- Fas 0/16
SW-2 Fas 0/5 162 SI WS-C3560- Fas 0/5
SW-2 Fas 0/6 162 SI WS-C3560- Fas 0/6
D'accord, nous pouvons voir que je suis directement connecté avec un câble de console au commutateur SW-3 et également
que SW-3 est directement connecté à deux autres commutateurs. Cependant, avons-nous vraiment besoin du chiffre pour
développer notre réseau ? Nous ne le faisons pas ! CDP me permet de voir qui sont mes voisins directement connectés
et recueillir des informations à leur sujet. Depuis le commutateur SW-3, nous pouvons voir qu'il y a deux
connexions à SW-1 et deux connexions à SW-2. SW-3 se connecte à SW-1 avec les ports Fas 0/1
et Fas 0/2, et nous avons des connexions à SW-2 avec les interfaces locales Fas 0/5 et Fas 0/6. Les deux
les commutateurs SW-1 et SW-2 sont des commutateurs 3650, et SW-1 utilise les ports Fas 0/15 et Fas 0/16 à
connectez-vous à SW-3. SW-2 utilise les ports Fas 0/5 et Fas 0/6.
Pour résumer, l'ID de l'appareil affiche le nom d'hôte configuré de l'appareil connecté, que le
L'interface locale est notre interface, et l'ID de port est directement connecté aux périphériques distants
interface. N'oubliez pas que tout ce que vous voyez sont des appareils directement connectés !
Le tableau 7.3 résume les informations affichées par la commande show cdp voisin pour chaque
dispositif.
TABLEAU 7.3 Sortie de la commande show cdp neighbors
Champ La description
Le
Reference de l'appareil nom d'hôte de l'appareil directement connecté.
Local Le port ou l'interface sur laquelle vous recevez le paquet CDP.

Interface
Temps d'attente Le temps restant pendant lequel le routeur conservera les informations avant de les rejeter
il si plus aucun paquet CDP n'est reçu.
Capacité Capacité du voisin—le routeur, le commutateur ou le répéteur. Les codes de capacité

sont répertoriés en haut de la sortie de la commande.
Plate-forme Le type de périphérique Cisco directement connecté. Dans la sortie précédente, le SW-3 affiche
il est directement connecté à deux commutateurs 3560.
Identifiant de port Le port ou l'interface du périphérique voisin sur lequel les paquets CDP sont multidiffusés.
Il est impératif que vous puissiez regarder la sortie d'une commande show cdp voisins
et déchiffrer les informations obtenues sur la capacité du périphérique voisin, qu'il s'agisse d'un
routeur ou commutateur, le numéro de modèle (plate-forme), votre port de connexion à cet appareil (local
interface) et le port du voisin qui se connecte à vous (ID de port).
Une autre commande qui livrera les marchandises sur les informations du voisin est le show cdp voisins
commande detail ( show cdp nei de pour faire court). Cette commande peut être exécutée sur les deux routeurs et
commutateurs, et il affiche des informations détaillées sur chaque appareil connecté à l'appareil que vous êtes
en exécutant la commande. Vérifiez la sortie du routeur dans l'extrait 7.1.
Listing 7.1 : Affichage des voisins CDP
62
SW-3# sh cdp détail des voisins

-------------------------
Identifiant de l'appareil : SW-1
Adresse(s) d'entrée :
Adresse IP : 10.100.128.10
Plate-forme : Cisco WS-C3560-24TS, Capacités : Switch IGMP
Interface : FastEthernet0/1, ID de port (port sortant) : FastEthernet0/15
Temps de maintien : 137 sec
Version :
Logiciel Cisco IOS, logiciel C3560 (C3560-IPSERVICESK9-M), version 12.2(55)SE7, RELEASE LOGICIEL
(fc1)
Support technique : http://www.cisco.com/techsupport
Copyright (c) 1986-2013 par Cisco Systems, Inc.
Compilé lun 28-jan-13 10:10 par prod_rel_team
version de la publicité : 2
Protocole Hello : OUI=0x00000C, ID de protocole=0x0112 ; longueur de charge utile=27,
valeur=00000000FFFFFFFF010221FF000000000000001C575EC880Fc00f000
Domaine de gestion VTP : 'NULL'
VLAN natif : 1
Duplex : complet
Puissance disponible TLV :
Identifiant de demande d'alimentation : 0, Identifiant de gestion de l'alimentation : 1, Puissance disponible : 0, Niveau de gestion de l'alimentation : -1
Adresse(s) de gestion :
Adresse IP : 10.100.128.10
-------------------------
[coupure de sortie]
-------------------------
Identifiant de l'appareil : SW-2
Adresse(s) d'entrée :
Adresse IP : 10.100.128.9
Plate-forme : Cisco WS-C3560-8PC, Capacités : Switch IGMP
Interface : FastEthernet0/5, ID de port (port sortant) : FastEthernet0/5
Temps de maintien : 129 sec
Version :
Logiciel Cisco IOS, logiciel C3560 (C3560-IPBASE-M), version 12.2(35)SE5, RELEASE LOGICIEL (fc1)
Copyright (c) 1986-2007 par Cisco Systems, Inc.
Compilé jeu. 19-juil.-07 18:15 par nachen
version de la publicité : 2
Protocole Hello : OUI=0x00000C, ID de protocole=0x0112 ; longueur de charge utile=27,
valeur=00000000FFFFFFFF010221FF000000000000B41489D91880Fc00f000
Domaine de gestion VTP : 'NULL'
VLAN natif : 1
Duplex : complet
Puissance disponible TLV :
Identifiant de demande d'alimentation : 0, Identifiant de gestion de l'alimentation : 1, Puissance disponible : 0, Niveau de gestion de l'alimentation : -1
Adresse(s) de gestion :
Adresse IP : 10.100.128.9
[coupure de sortie]
Alors qu'est-ce qui est révélé ici? Tout d'abord, nous avons reçu le nom d'hôte et l'adresse IP de tous directement
des appareils connectés. Et en plus des mêmes informations affichées par les voisins show cdp
(voir le tableau 7.3 ), la commande show cdp neighbors detail nous renseigne sur la version IOS
et l'adresse IP de l'appareil voisin, c'est beaucoup !
La commande show cdp entry * affiche les mêmes informations que le détail des voisins show cdp
commander. Il n'y a aucune différence entre ces commandes.
Le CDP peut sauver des vies !
Karen vient d'être embauchée en tant que consultante réseau senior dans un grand hôpital de Dallas, au Texas,
on s'attend donc à ce qu'elle soit capable de s'occuper de tout problème qui se présente. Comme si ça
n'y avait pas assez de pression, elle doit aussi s'inquiéter de l'horrible possibilité que les gens ne
recevoir les bonnes solutions de soins de santé, même les bons médicaments, si le réseau
vers le bas. Parlez d'une situation potentielle de vie ou de mort !
Page 63
Mais Karen est confiante et commence son travail avec optimisme. Bien sûr, il ne faut pas longtemps avant que le
réseau révèle qu'il a quelques problèmes. Imperturbable, elle demande à l'un des juniors
administrateurs pour une carte du réseau afin qu'elle puisse dépanner le réseau. Cette personne lui dit
que l'ancienne administratrice principale, qu'elle a remplacée, les avait avec lui et que maintenant personne ne peut
les trouver. Le ciel commence à s'assombrir !
Les médecins appellent toutes les deux minutes parce qu'ils ne peuvent pas obtenir le nécessaire
informations dont ils ont besoin pour prendre soin de leurs patients. Que devrait-elle faire?
C'est le CDP à la rescousse ! Et c'est un cadeau que cet hôpital utilise des routeurs Cisco
et les commutateurs exclusivement, car CDP est activé par défaut sur tous les appareils Cisco. Karen est
aussi de la chance parce que l'ancien administrateur mécontent n'a désactivé le CDP sur aucun appareil
avant qu'il parte!
Donc tout ce que Karen a à faire maintenant est d'utiliser la commande show cdp voisin detail pour trouver tous les
informations dont elle a besoin sur chaque appareil pour aider à dessiner le réseau hospitalier, en lui apportant
se remettre à niveau afin que le personnel qui en dépend puisse se consacrer à l'important travail de
sauver des vies !
Le seul hic pour vous de clouer cela dans votre propre réseau est si vous ne connaissez pas les mots de passe de
tous ces appareils. Votre seul espoir est alors de découvrir d'une manière ou d'une autre les mots de passe d'accès ou de
effectuer la récupération de mot de passe sur eux.
Alors, utilisez CDP - vous ne savez jamais quand vous pourriez sauver la vie de quelqu'un.
D'ailleurs, c'est une histoire vraie !
Documentation d'une topologie de réseau à l'aide de CDP

Avec ce scénario réel émouvant à l'esprit, je vais maintenant vous montrer comment documenter un
exemple de réseau en utilisant CDP. Vous apprendrez à déterminer les types de routeurs appropriés, l'interface
types et adresses IP de diverses interfaces en utilisant uniquement les commandes CDP et le show running-
commande de configuration . Et vous pouvez uniquement vous connecter au routeur Lab_A pour documenter le réseau.
Vous devrez attribuer à tous les routeurs distants la prochaine adresse IP dans chaque plage. Nous utiliserons un autre
figure pour cet exemple — Figure 7.7 — pour nous aider à compléter la documentation nécessaire.
Page 64
FIGURE 7.7 Documentation d'une topologie de réseau à l'aide de CDP
Dans cette sortie, vous pouvez voir que vous avez un routeur avec quatre interfaces : deux Fast Ethernet et deux
en série. Tout d'abord, déterminez les adresses IP de chaque interface en utilisant le show running-config
commande comme ceci :
Lab_A# sh running-config

!
version 12.2
temps de débogage des horodatages de service
horodatage du service journalisation de la disponibilité
!
nom d'hôte Lab_A
!
ip sous-réseau-zéro
!
!
adresse IP 192.168.21.1 255.255.255.0
!
adresse IP 192.168.18.1 255.255.255.0
!
interface Série0/0
adresse IP 192.168.23.1 255.255.255.0
!
interface Série0/1
adresse IP 192.168.28.1 255.255.255.0
!
IP sans classe
!
ligne con 0
ligne aux 0
ligne vty 0 4
!
finir
Page 65
Une fois cette étape terminée, vous pouvez maintenant noter les adresses IP des quatre
interfaces. Ensuite, vous devez déterminer le type d'appareil à l'autre extrémité de chacun de ces
interfaces. C'est simple, il suffit d'utiliser la commande show cdp neighbors :
Lab_A# sh voisins cdp

S - Commutateur, H - Hôte, I - IGMP, r - Répéteur
ID de l'appareil ID de port de plate-forme de capacité d'intrfce local
Lab_B Fas 0/0 178 R 2501 E0
Lab_C Fas 0/1 137 R 2621 Fa0/0
Lab_D Ser 0/0 178 R 2514 S1
Lab_E Série 0/1 137 R 2620 S0/1
Wow, on dirait que nous sommes connectés à de vieux routeurs ! Mais ce n'est pas notre travail de juger. Notre mission est
pour tisser notre réseau, c'est donc bien que nous ayons de belles informations pour relever le défi
avec maintenant. En utilisant à la fois les commandes show running-config et show cdp neighbors , nous connaissons
toutes les adresses IP du routeur Lab_A, les types de routeurs connectés à chacun des Lab_A
les liens du routeur, et toutes les interfaces des routeurs distants.
Maintenant que nous sommes équipés de toutes les informations recueillies via show running-config et show cdp
voisins , nous pouvons créer avec précision la topologie de la figure 7.8 .
FIGURE 7.8 Topologie du réseau documentée
Si nous en avions besoin, nous aurions également pu utiliser la commande show cdp neighbors detail pour afficher le
les adresses IP du voisin. Mais comme nous connaissons les adresses IP de chaque lien sur le routeur Lab_A, nous
savez déjà quelle sera la prochaine adresse IP disponible.
Protocole de découverte de couche de liaison (LLDP)
Avant de passer de CDP, je veux vous parler d'un protocole de découverte non propriétaire qui
fournit à peu près les mêmes informations que CDP mais fonctionne dans les réseaux multi-fournisseurs.
L'IEEE a créé un nouveau protocole de découverte normalisé appelé 802.1AB pour Station and Media
Découverte de la connectivité du contrôle d'accès. Nous l'appellerons simplement Link Layer Discovery Protocol (LLDP) .
Page 66
LLDP définit les capacités de découverte de base, mais il a également été amélioré pour répondre spécifiquement aux
application vocale, et cette version s'appelle LLDP-MED (Media Endpoint Discovery). C'est bon de
rappelez-vous que LLDP et LLDP-MED ne sont pas compatibles.
LLDP a les directives de configuration et les limitations suivantes :
LLDP doit être activé sur l'appareil avant que vous puissiez l'activer ou le désactiver sur n'importe quelle interface.
LLDP est pris en charge uniquement sur les interfaces physiques.
LLDP peut découvrir jusqu'à un périphérique par port.
LLDP peut découvrir les serveurs Linux.
Vous pouvez désactiver complètement LLDP avec la commande no lldp run à partir du mode de configuration globale
d'un périphérique et activez-le avec la commande lldp run , qui l'active également sur toutes les interfaces :
SW-3(config)# pas d'exécution de lldp

SW-3(config)# lldp exécuté
Pour activer ou désactiver LLDP pour une interface, utilisez les commandes lldp transmit et lldp receive .
SW-3(config-if)# pas de transmission lldp

SW-3(config-if)# pas de réception de lldp
SW-3(config-if)# lldp transmettre

SW-3(config-if)# lldp recevoir
Utiliser Telnet
Faisant partie de la suite de protocoles TCP/IP, Telnet est un protocole de terminal virtuel qui vous permet de
établir des connexions à des appareils distants, collecter des informations et exécuter des programmes.
Une fois vos routeurs et commutateurs configurés, vous pouvez utiliser le programme Telnet pour reconfigurer
et/ou vérifiez-les sans utiliser de câble de console. Vous exécutez le programme Telnet en tapant
telnet à partir
de n'importe quelle invite de commande (Windows ou Cisco), mais vous devez définir des mots de passe VTY
sur les appareils IOS pour que cela fonctionne.
N'oubliez pas que vous ne pouvez pas utiliser CDP pour collecter des informations sur les routeurs et les commutateurs qui ne sont pas
directement connecté à votre appareil. Mais vous pouvez utiliser l'application Telnet pour vous connecter à votre
périphériques voisins, puis exécutez CDP sur ces périphériques distants pour obtenir des informations sur eux.
Vous pouvez émettre la commande telnet à partir de n'importe quel routeur ou commutateur. Dans le code suivant, je suis
essayer de telnet du commutateur 1 au commutateur 3:
SW-1# telnet 10.100.128.8

Essayer 10.100.128.8 ... Ouvrir
[Connexion à 10.100.128.8 fermée par l'hôte étranger]
Oups—clairement, je n'ai pas défini mes mots de passe—comme c'est embarrassant ! N'oubliez pas que les ports VTY sont
par défaut configuré comme login , ce qui signifie que nous devons soit définir les mots de passe VTY, soit utiliser le no
commande de connexion . Si vous devez revoir le processus de définition des mots de passe, revenez rapidement dans
Chapitre 6, « Système d'exploitation Internet de Cisco (IOS) ».
Si vous ne pouvez pas connecter un telnet à un appareil, il se peut que le mot de passe de la télécommande
l'appareil n'a pas été configuré. Il est également tout à fait possible qu'une liste de contrôle d'accès filtre le Telnet
session.
Sur un périphérique Cisco, vous n'avez pas besoin d'utiliser la commande telnet ; vous pouvez simplement taper une adresse IP
à partir d'une invite de commande et le routeur supposera que vous souhaitez établir une connexion telnet avec l'appareil. Voici
à quoi cela ressemble en utilisant uniquement l'adresse IP :
67
SW-1# 10.100.128.8
Essayer 10.100.128.8... Ouvrir

SW-1#
Ce serait maintenant le bon moment pour définir ces mots de passe VTY sur le SW-3 dans lequel je veux me connecter.
Voici ce que j'ai fait sur le switch nommé SW-3 :
SW-3(config)# ligne vty 0 15

SW-3(ligne de configuration)# connexion
SW-3(config-line)# mot de passe telnet
SW-3(ligne de configuration)# connexion
SW-3(ligne de configuration)# ^Z
Essayons maintenant à nouveau. Cette fois, je me connecte à SW-3 depuis la console SW-1 :
SW-1# 10.100.128.8
Essayer 10.100.128.8 ... Ouvrir
Vérification de l'accès utilisateur
Mot de passe:
SW-3>
N'oubliez pas que le mot de passe VTY est le mot de passe du mode utilisateur, pas le mot de passe du mode d'activation.
Regardez ce qui se passe lorsque j'essaie de passer en mode privilégié après avoir connecté le telnet au commutateur :
SW-3> fr
% Aucun mot de passe défini
SW-3>
Il me claque totalement la porte au nez, ce qui se trouve être un élément de sécurité vraiment sympa !
Après tout, vous ne voulez pas que n'importe qui se connecte à votre appareil et tape la commande enable
pour passer en mode privilégié maintenant, n'est-ce pas ? Vous devez définir votre mot de passe de mode d'activation ou activer
mot de passe secret pour utiliser Telnet pour configurer les périphériques distants.
Lorsque vous vous connectez à un appareil distant, vous ne verrez pas les messages de la console en
défaut. Par exemple, vous ne verrez pas la sortie de débogage. Pour permettre aux messages de la console d'être
envoyé à votre session Telnet, utilisez la commande terminal monitor .
En utilisant le groupe d'exemples suivant, je vais vous montrer comment connecter telnet à plusieurs appareils
simultanément ainsi que comment utiliser les noms d'hôtes au lieu des adresses IP.
Telnet sur plusieurs appareils simultanément

Si vous utilisez un telnet vers un routeur ou un commutateur, vous pouvez mettre fin à la connexion en tapant exit à tout moment. Mais
que faire si vous souhaitez conserver votre connexion à un appareil distant tout en revenant à
votre console de routeur d'origine? Pour ce faire, vous pouvez appuyer sur la combinaison de touches Ctrl+Maj+6,
relâchez-le, puis appuyez sur X.
Voici un exemple de connexion à plusieurs appareils depuis ma console SW-1 :
SW-1# 10.100.128.8
Essayer 10.100.128.8... Ouvrir
Mot de passe:
SW-3> Ctrl+Maj+6
SW-1#
Ici, vous pouvez voir que je me suis connecté à SW-1, puis j'ai tapé le mot de passe pour entrer en mode utilisateur. Prochain,
J'ai appuyé sur Ctrl+Maj+6, puis sur X, mais vous ne verrez rien de tout cela car cela ne s'affiche pas sur le
Page 68
sortie écran. Notez que mon invite de commande me ramène maintenant au commutateur SW-1.
Examinons maintenant quelques commandes de vérification.
Vérification des connexions Telnet

Si vous souhaitez afficher les connexions de votre routeur ou basculer vers un périphérique distant, utilisez simplement le
commande show sessions . Dans ce cas, je me suis connecté aux commutateurs SW-3 et SW-2 à partir de
SW1 :
SW-1# sessions sh
Conn Hôte Adresse Nom de connexion d'octet inactif
1 10.100.128.9 10.100.128.9 0 10.100.128.9
* 2 10.100.128.8 10.100.128.8 0 10.100.128.8
SW-1#
Vous voyez cet astérisque ( * ) à côté de la connexion 2 ? Cela signifie que la session 2 était la dernière session à laquelle je me suis connecté
à. Vous pouvez revenir à votre dernière session en appuyant deux fois sur Entrée. Vous pouvez également revenir à n'importe quelle session
en tapant le numéro de la connexion puis Enter.
Vérification des utilisateurs Telnet

Vous pouvez révéler toutes les consoles actives et les ports VTY utilisés sur votre routeur avec les utilisateurs du spectacle
commander:
SW-1# sh utilisateurs
Hôte(s) de l'utilisateur de ligne Lieu d'inactivité
* 0 contre 0 10.100.128.9 00:00:01
10.100.128.8 00:01:06
Dans la sortie de la commande, con représente la console locale, et nous pouvons voir que la console
session est connectée à deux adresses IP distantes, c'est-à-dire deux appareils.
Fermeture des sessions Telnet

Vous pouvez mettre fin aux sessions Telnet de différentes manières. Taper exit ou déconnecter sont probablement les deux
le plus rapide et le plus simple.
Pour mettre fin à une session à partir d'un appareil distant, utilisez la commande exit :
SW-3> sortie
SW-1#
Pour mettre fin à une session à partir d'un périphérique local, utilisez la commande de déconnexion :
SW-1# sh session
*2 10.100.128.9 10.100.128.9 0 10.100.128.9
SW-1# déconnecter ?
<2-2> Le numéro d'une connexion réseau active
qdm Déconnecter les clients Web QDM
ssh Déconnecter une connexion SSH active
SW-1# déconnecter 2
Fermeture de la connexion au 10.100.128.9 [confirmer] [enter]
Dans cet exemple, j'ai utilisé la session numéro 2 car c'était la connexion que je voulais conclure.
Comme démontré, vous pouvez utiliser la commande show sessions pour voir le numéro de connexion.
Résolution des noms d'hôte

Si vous souhaitez utiliser un nom d'hôte au lieu d'une adresse IP pour vous connecter à un périphérique distant, le périphérique
que vous utilisez pour établir la connexion doit être capable de traduire le nom d'hôte en une adresse IP.
Il existe deux manières de résoudre les noms d'hôtes en adresses IP. La première consiste à construire une table d'hôtes sur
chaque routeur, et la seconde consiste à créer un serveur DNS (Domain Name System). Cette dernière méthode
est similaire à la création d'une table d'hôtes dynamique, en supposant que vous avez affaire à un DNS dynamique.
69
Construire une table d'hôtes

Un facteur important à retenir est que bien qu'une table d'hôtes fournisse une résolution de nom, elle ne
cela uniquement sur le routeur spécifique sur lequel il a été construit. La commande que vous utilisez pour créer une table d'hôtes
sur un routeur ressemble à ceci :
ip host host_name [tcp_port_number] ip_address
La valeur par défaut est le numéro de port TCP 23, mais vous pouvez créer une session en utilisant Telnet avec un autre
Numéro de port TCP si vous le souhaitez. Vous pouvez également attribuer jusqu'à huit adresses IP à un nom d'hôte.
Voici comment j'ai configuré une table d'hôtes sur le commutateur SW-1 avec deux entrées pour résoudre les noms pour
les SW-2 et SW-3 :
SW-1# config t
SW-1(config)# hôte IP SW-2 ?
<0-65535> Numéro de port telnet par défaut
Adresse IP de l'hôte ABCD
Ajouter des adresses supplémentaires
SW-1(config)# hôte IP SW-2 10.100.128.9

SW-1(config)# hôte IP SW-3 10.100.128.8
Notez que je peux simplement continuer à ajouter des adresses IP pour référencer un hôte unique, l'une après l'autre. À
voir notre table d'hôtes nouvellement construite, je vais simplement utiliser la commande show hosts :
SW-1(config)# do sho hôtes

Le domaine par défaut n'est pas défini
La recherche de nom/d'adresse utilise le service de domaine
Les serveurs de noms sont 255.255.255.255
Codes : u - inconnu, e - expiré, * - OK, ? - revalider
t - temporaire, p - permanent
Hôte Port Flags Age Type Adresse(s)

SW-3 Aucun (permanent, OK) 0 IP 10.100.128.8
SW-2 Aucun (permanent, OK) 0 IP 10.100.128.9
Dans cette sortie, vous pouvez voir les deux noms d'hôte ainsi que leurs adresses IP associées. La permanente dans le
La colonne Indicateurs signifie
que l'entrée a été configurée manuellement. S'il lisait temp , ce serait un
entrée qui a été résolue par DNS.
La commande show hosts fournit des informations sur les entrées DNS temporaires et
mappages nom-adresse permanents créés à l'aide de la commande ip host .
Pour vérifier que la table d'hôtes résout les noms, essayez de saisir les noms d'hôtes à l'invite du routeur.
N'oubliez pas que si vous ne spécifiez pas la commande, le routeur supposera que vous souhaitez utiliser telnet.
Dans l'exemple suivant, j'utiliserai les noms d'hôte pour me connecter aux appareils distants et j'appuierai sur
Ctrl+Maj+6 puis X pour revenir à la console principale du routeur SW-1 :
SW-1# sw-3
Essayer SW-3 (10.100.128.8)... Ouvrir
Mot de passe:
SW-3> Ctrl+Maj+6
SW-1#
Cela a fonctionné - j'ai utilisé avec succès des entrées dans la table d'hôtes pour créer une session sur le périphérique SW-3 en
en utilisant le nom pour y accéder par telnet. Et juste pour que vous le sachiez, les noms dans la table d'hôtes ne sont pas en casse
sensible.
Notez que les entrées dans la sortie suivante de show sessions affichent maintenant les noms d'hôte et l'IP
adresses au lieu de simplement les adresses IP :
Page 70
SW-1# sessions sh
1 SW-3 10.100.128.8 0 1 SW-3
* 2 SW-2 10.100.128.9 0 1 SW-2
SW-1#
Si vous souhaitez supprimer un nom d'hôte de la table, il vous suffit d'utiliser l' hôte no ip
commande comme ceci :
SW-1(config)# pas d'hôte IP SW-3
L'inconvénient d'utiliser cette méthode de table d'hôtes est que vous devez créer une table d'hôtes sur chaque
routeur afin de pouvoir résoudre les noms. Donc clairement, si vous avez tout un tas de routeurs et
voulez résoudre des noms, l'utilisation de DNS est une bien meilleure option !
Utiliser DNS pour résoudre les noms

Si vous avez beaucoup d'appareils, vous ne voulez pas créer de table d'hôtes dans chacun d'eux à moins que
vous avez aussi beaucoup de temps à perdre. Comme la plupart d'entre nous ne le font pas, je recommande fortement d'utiliser un DNS
serveur pour résoudre les noms d'hôtes à la place !
Chaque fois qu'un périphérique Cisco reçoit une commande qu'il ne comprend pas, il essaiera de la résoudre via
DNS par défaut. Regardez ce qui se passe lorsque je tape la commande spéciale todd sur un routeur Cisco
rapide:
SW-1# todd
Traduction de "todd"... serveur de domaine (255.255.255.255)
% Commande ou nom d'ordinateur inconnu, ou impossible à trouver
adresse de l'ordinateur
SW-1#
Parce qu'il ne connaît pas mon nom ou la commande que j'essaie de taper, il essaie de résoudre ce problème
via DNS. C'est vraiment embêtant pour deux raisons : d'abord, parce qu'il ne connaît pas mon nom
<grin>, et deuxièmement, parce que je dois sortir et attendre que la recherche de nom expire. Tu
peut contourner ce problème et éviter une recherche DNS fastidieuse en utilisant la recherche de domaine sans ip
commande sur votre routeur à partir du mode de configuration globale.
Donc, si vous avez un serveur DNS sur votre réseau, vous devrez ajouter quelques commandes pour rendre DNS
la résolution de nom fonctionne bien pour vous :
La première commande est ip domain-lookup , qui est activée par défaut. Il faut le saisir
uniquement si vous l'avez précédemment désactivé avec la commande no ip domain-lookup . La commande peut
être utilisé sans le tiret avec la syntaxe ip domain lookup .
La deuxième commande est ip name-server . Cela définit l'adresse IP du serveur DNS. Vous pouvez
entrez les adresses IP d'un maximum de six serveurs.
La dernière commande est ip domain-name . Bien que cette commande soit facultative, vous devez vraiment définir
car il ajoute le nom de domaine au nom d'hôte que vous saisissez. Étant donné que DNS utilise un
système de nom de domaine qualifié (FQDN), vous devez avoir un nom DNS de second niveau, sous la forme
domaine.com .
Voici un exemple d'utilisation de ces trois commandes :

SW-1# config t
SW-1(config)# recherche de domaine ip
SW-1(config)# serveur de noms IP ?
Adresse IP du serveur de domaine ABCD (maximum de 6)
SW-1(config)# ip name-server 4.4.4.4
SW-1(config)# nom de domaine IP lammle.com
SW-1(config)# ^Z
Une fois les configurations DNS définies, vous pouvez tester le serveur DNS en utilisant un nom d'hôte pour
ping ou telnet dans un appareil comme celui-ci :
SW-1# ping SW-3

Traduction de "SW-3"...serveur de domaine (4.4.4.4) [OK]
Envoi de 5 échos ICMP de 100 octets à 10.100.128.8, le délai d'expiration est
Page 71
2 secondes:
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max
= 28/31/32 ms
Notez que le routeur utilise le serveur DNS pour résoudre le nom.
Une fois qu'un nom est résolu à l'aide de DNS, utilisez la commande show hosts pour vérifier que le périphérique a mis en cache
ces informations dans la table d'hôtes. Si je n'avais pas utilisé la commande ip domain-name lammle.com , j'aurais
ont dû taper ping sw-3.lammle.com , ce qui est un peu compliqué.
Devriez-vous utiliser une table d'hôte ou un serveur DNS ?
Karen a enfin fini de cartographier son réseau via CDP et le personnel de l'hôpital est maintenant bien
plus heureux. Mais Karen a encore de la difficulté à administrer le réseau parce qu'elle a
regarder le schéma du réseau pour trouver une adresse IP chaque fois qu'elle a besoin de se connecter à un telnet
routeur distant.
Karen pensait mettre des tables d'hôtes sur chaque routeur, mais avec littéralement des centaines de
routeurs, c'est une tâche ardue et pas la meilleure solution. Que devrait-elle faire?
La plupart des réseaux ont maintenant un serveur DNS de toute façon, donc en y ajoutant une centaine de noms d'hôtes
serait beaucoup plus facile, certainement mieux que d'ajouter ces noms d'hôtes à chaque
routeur ! Elle peut simplement ajouter les trois commandes sur chaque routeur et voilà, elle résout
noms!
L'utilisation d'un serveur DNS facilite également la mise à jour des anciennes entrées. Rappelez-vous, même pour un
peu de changement, son alternative serait d'aller sur chaque routeur pour mettre à jour manuellement son
table si elle utilise des tables hôtes statiques.
Gardez à l'esprit que cela n'a rien à voir avec la résolution de noms sur le réseau et rien à
faire avec ce qu'un hôte sur le réseau essaie d'accomplir. Vous n'utilisez cette méthode que lorsque
vous essayez de résoudre les noms à partir de la console du routeur.
Vérification de la connectivité réseau et dépannage

Vous pouvez utiliser les commandes ping et traceroute pour tester la connectivité aux périphériques distants, et les deux
ils peuvent être utilisés avec de nombreux protocoles, pas seulement IP. Mais n'oubliez pas que le show ip route
est une excellente commande de dépannage pour vérifier votre table de routage et le show
La commande interfaces vous révélera l'état de chaque interface.
Je ne vais pas entrer dans les commandes show interfaces ici parce que nous en avons déjà parlé
au chapitre 6. Mais je vais passer en revue à la fois la commande de débogage et la commande showprocess ,
les deux sont très utiles lorsque vous devez dépanner un routeur.
Utilisation de la commande ping

Jusqu'à présent, vous avez vu de nombreux exemples de périphériques ping pour tester la connectivité IP et le nom
résolution à l'aide du serveur DNS. Pour voir tous les différents protocoles que vous pouvez utiliser avec le Ping
programme, tapez ping ? :
SW-1# ping ?
WORD Ping adresse de destination ou nom d'hôte
écho clns CLNS
ip écho IP
écho IPv6 IPv6
tag Tag écho IP encapsulé
<cr>
La sortie ping affiche les temps minimum, moyen et maximum nécessaires à un paquet ping pour
trouver un système spécifié et revenir. Voici un exemple :
Page 72
SW-1# ping SW-3

Traduction de "SW-3"...serveur de domaine (4.4.4.4) [OK]
Envoi de 5 échos ICMP de 100 octets à 10.100.128.8, le délai d'expiration est
2 secondes:
!!!!!
= 28/31/32 ms
Cette sortie nous indique que le serveur DNS a été utilisé pour résoudre le nom et que l'appareil a été ping
dans un minimum de 28 ms (millisecondes), une moyenne de 31 ms et jusqu'à 32 ms. Ce réseau a
un peu de latence !
La commande ping peut être utilisée en mode utilisateur et privilégié mais pas
mode de configuration !
Utilisation de la commande traceroute

Traceroute — la commande traceroute , ou trace en abrégé — montre le chemin emprunté par un paquet pour se rendre à un
appareil distant. Il utilise la durée de vie (TTL), les délais d'attente et les messages d'erreur ICMP pour décrire le chemin
un paquet traverse un interréseau pour arriver à un hôte distant.
La commande trace , que vous pouvez déployer en mode utilisateur ou en mode privilégié, vous permet
pour déterminer quel routeur dans le chemin vers un hôte réseau inaccessible devrait être examiné plus
étroitement comme la cause probable de la défaillance de votre réseau.
Pour voir les protocoles que vous pouvez utiliser avec la commande traceroute , tapez traceroute ? :
SW-1# traceroute ?
WORD Trace la route vers l'adresse de destination ou le nom d'hôte
AppleTalk Trace
Clns ISO CLNS Trace
ip Trace IP
Trace IPv6 IPv6
ipx Suivi IPX
Mac Tracer le chemin Layer2 entre 2 points de terminaison
vieilles vignes Trace de vignes (Cisco)
Vignes Trace de Vignes (Banyan)
<cr>
La commande traceroute affiche le ou les sauts qu'un paquet traverse sur son chemin vers un
dispositif.
Ne vous trompez pas ! Vous ne pouvez pas utiliser la commande tracert ; c'est un Windows
commander. Pour un routeur, utilisez la commande traceroute !
Voici un exemple d'utilisation de tracert sur une invite Windows - notez que la commande est tracert ,
pas traceroute :
C:\> tracer www.whitehouse.gov
Traçage de l'itinéraire vers a1289.g.akamai.net [69.8.201.107]

sur un maximum de 30 sauts :
1* * * La demande a expiré.
2 53 ms 61 ms 53 ms hlrn-dsl-gw15-207.hlrn.qwest.net [207.225.112.207]
3 53 ms 55 ms 54 ms hlrn-agw1.inet.qwest.net [71.217.188.113]
4 54 ms 53 ms 54 ms hlr-core-01.inet.qwest.net [205.171.253.97]
5 54 ms 53 ms 54 ms apa-cntr-01.inet.qwest.net [205.171.253.26]
6 54 ms 53 ms 53 ms 63.150.160.34
7 54 ms 54 ms 53 ms www.whitehouse.gov [69.8.201.107]
Trace terminée.
73
Bon, passons maintenant et parlons de la façon de dépanner votre réseau à l'aide du débogage
commander.
Débogage
Debug est une commande de dépannage utile qui est disponible à partir du mode d'exécution privilégié de
Cisco IOS. Il est utilisé pour afficher des informations sur les différentes opérations du routeur et le trafic associé
générés ou reçus par le routeur, ainsi que les éventuels messages d'erreur.
Même s'il s'agit d'un outil utile et informatif, il y a quelques faits importants que vous devez
le savoir. Le débogage est considéré comme une tâche très lourde car il peut consommer un énorme
quantité de ressources et le routeur est obligé de changer de processus les paquets en cours de débogage. Donc
vous n'utilisez pas uniquement le débogage comme outil de surveillance, il est destiné à être utilisé pendant une courte période et
uniquement comme outil de dépannage. C'est très utile pour découvrir des faits vraiment significatifs sur
à la fois des composants logiciels et/ou matériels fonctionnels et défectueux, mais n'oubliez pas de limiter son utilisation car
l'outil de dépannage avantageux pour lequel il est conçu.
Parce que la sortie de débogage est prioritaire sur le reste du trafic réseau, et parce que le débogage tout
commande génère plus de sortie que toute autre commande de débogage , elle peut sérieusement diminuer le
les performances du routeur, voire le rendre inutilisable ! Pour cette raison, il est presque toujours préférable d'utiliser
commandes de débogage plus spécifiques .
Comme vous pouvez le voir sur la sortie suivante, vous ne pouvez pas activer le débogage à partir du mode utilisateur, uniquement
mode privilégié :
SW-1> déboguer ?
SW-1> fr
SW-1# déboguer ?
aaa Authentification, autorisation et comptabilité AAA
expression_accès expression d'accès booléenne
proximité proximité
objectif Gestionnaire d'informations sur les pièces jointes
tous Activer tout le débogage
archiver commandes d'archive de débogage
arp Transactions IP ARP et HP Probe
authentification Débogage du gestionnaire d'authentification
auto Automatisation du débogage
bip BIP de débogage
bgp Informations BGP
bing Débogage Bing(d)
appel-admission Contrôle d'admission des appels
cca Activité du CCA
cdp Informations sur le PCD
cef CEF s'adresse aux exploitations familiales indépendantes
cfgdiff déboguer les commandes cfgdiff
cisp Débogage CISP
clns Informations CLNS
grappe Informations sur le cluster
cmdhd Gestionnaire de commandes
cns Agents du SNC
état État
configuration Comportement de la configuration de débogage
[coupure de sortie]
Si vous avez la liberté de retirer à peu près un routeur ou un commutateur et que vous voulez vraiment avoir
un peu de plaisir avec le débogage, utilisez la commande debug all :
Sw-1# tout déboguer
Cela peut avoir un impact important sur les performances du réseau. Continuer? (oui/[non]): oui
Tous les débogages possibles ont été activés
À ce stade, mon commutateur a été surchargé et s'est écrasé et j'ai dû le redémarrer. Essayez ceci sur votre commutateur à
travailler et voir si vous obtenez les mêmes résultats. Je rigole!
Pour désactiver le débogage sur un routeur, utilisez simplement la commande no devant la commande debug :
SW-1# pas de débogage tout
J'utilise généralement simplement la commande undebug all car c'est si facile d'utiliser le raccourci :
Page 74
SW-1# un tout
N'oubliez pas qu'au lieu d'utiliser la commande debug all , c'est généralement une bien meilleure idée d'utiliser
commandes spécifiques et uniquement pour de courtes périodes. Voici un exemple :
S1 # déboguer l'ip icmp

Le débogage des paquets ICMP est activé
S1# ping 192.168.10.17

!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour min/moy/max = 1/1/1 ms
S1#
1w4d : ICMP : réponse d'écho envoyée, src 192.168.10.17, dst 192.168.10.17
1w4d : ICMP : écho de réponse rcvd, src 192.168.10.17, dst 192.168.10.17
SW-1# un tout
Je suis sûr que vous pouvez voir que la commande de débogage est une commande puissante. Et à cause de cela, je suis
Assurez-vous également que vous réalisez qu'avant d'utiliser l'une des commandes de débogage, vous devez vous assurer
vous vérifiez la capacité d'utilisation du processeur de votre routeur. Ceci est important car dans la plupart des cas,
vous ne voulez pas affecter négativement la capacité de l'appareil à traiter les paquets sur votre
interréseau. Vous pouvez déterminer les informations d'utilisation du processeur d'un routeur spécifique en utilisant le show
commande de processus .
N'oubliez pas que lorsque vous vous connectez à un appareil distant, vous ne verrez pas la console
messages par défaut ! Par exemple, vous ne verrez pas la sortie de débogage. Pour autoriser la console
messages à envoyer à votre session Telnet, utilisez la commande terminal monitor .
Utilisation de la commande showprocess

Comme je l'ai dit, vous devez vraiment faire attention lorsque vous utilisez la commande de débogage sur vos appareils. Si
l'utilisation du processeur de votre routeur est constamment à 50 % ou plus, ce n'est probablement pas une bonne idée
pour taper la commande debug all à moins que vous ne vouliez voir à quoi ressemble un routeur lorsqu'il plante !
Alors, quelles autres approches pouvez-vous utiliser ? Eh bien, les processus d'exposition (ou les processus d'exposition cpu ) sont un bon
outil pour déterminer l'utilisation du processeur d'un routeur donné. De plus, il vous donnera une liste des processus actifs
ainsi que leur ID de processus correspondant, priorité, test du planificateur (état), temps CPU utilisé,
nombre de fois invoqué, et ainsi de suite. Plein de bonnes choses ! De plus, cette commande est super pratique lorsque
vous souhaitez évaluer les performances de votre routeur et l'utilisation du processeur et êtes autrement tenté
pour atteindre la commande de débogage !
D'accord, que voyez-vous dans le résultat suivant ? La première ligne montre la sortie d'utilisation du processeur
pendant les 5 dernières secondes, 1 minute et 5 minutes. La sortie fournit 5%/0% devant le CPU
utilisation au cours des 5 dernières secondes : le premier nombre correspond à l'utilisation totale et le second
indique l'utilisation due aux routines d'interruption. Regarde:
SW-1# sh processus
Utilisation du processeur pendant cinq secondes : 5 %/0 % ; une minute : 7 % ; cinq minutes : 8%
PID QTy PC Runtime (ms) Invoqué uSecs Stacks TTY Processus
1 Cwe 29EBC58 0 22 0 5236/6000 0 Gestionnaire de blocs
2 Csp 1B9CF10 241 206881 1 2516/3000 0 Compteur de charge
3 Hwe 1F108D0 0 1 0 8768/9000 0 Gestionnaire de connexion
4 Lst 29FA5C4 9437909 454026 20787 5540/6000 0 Vérifier les tas
5 Cwe 2A02468 0 2 0 5476/6000 0 Gestionnaire de piscine
6 Mst 1E98F04 0 2 0 5488/6000 0 Minuteurs
7 Hwe 13EB1B4 3686 101399 36 5740/6000 0 Entrée nette
75
8 Mwe 13BCD84 0 1 0 23668/24000 0 Rédacteur de crash

9 Mwe 1C591B4 4346 53691 80 4896/6000 0 Entrée ARP
10 Lwe 1DA1504 0 1 0 5760/6000 0 API MIB CEF
11 Lwe 1E76ACC 0 1 0 5764/6000 0 AAA_SERVER_DEADT
12 Mwe 1E6F980 0 2 0 5476/6000 0 AAA haute capacité
13 Mwe 1F56F24 0 1 0 11732/12000 0 Policy Manager [coupure de sortie]
Donc , en gros, la sortie du spectacle traite commande révèle que notre routeur est heureusement en mesure
pour traiter les commandes de débogage sans être surchargé — sympa !
Sommaire
Dans ce chapitre, vous avez appris comment les routeurs Cisco sont configurés et comment les gérer.
configuration.
Nous avons couvert les composants internes d'un routeur, y compris la ROM, la RAM, la NVRAM et la mémoire flash.
Ensuite, vous avez découvert comment sauvegarder et restaurer la configuration d'un routeur et d'un commutateur Cisco.
Vous avez également appris à utiliser CDP et Telnet pour collecter des informations sur les périphériques distants. Finalement,
vous avez découvert comment résoudre les noms d'hôtes et utiliser les commandes ping et trace pour tester le réseau
la connectivité ainsi que l'utilisation des commandes de débogage et d' exposition des processus, bravo !
Définissez les composants du routeur Cisco. Décrire les fonctions du bootstrap, POST, ROM
moniteur, mini-IOS, RAM, ROM, mémoire flash, NVRAM et le registre de configuration.
Identifiez les étapes de la séquence de démarrage du routeur. Les étapes de la séquence de démarrage sont POST,
chargement de l'IOS et copie de la configuration de démarrage de la NVRAM vers la RAM.
Enregistrez la configuration d'un routeur ou d'un commutateur. Il y a plusieurs façons de le faire, mais
la méthode la plus courante, ainsi que la plus testée, est copy running-config startup-config .
Effacez la configuration d'un routeur ou d'un commutateur. Tapez la commande d' effacement en mode privilégié
startup-config et rechargez le routeur.
Comprendre les différents niveaux de syslog. C'est plutôt simple de configurer syslog ; cependant,
il y a un tas d'options dont vous devez vous souvenir pour l'examen. Pour configurer le syslog de base avec
débogage comme niveau par défaut, c'est juste cette commande :
SF(config)# journalisation 172.16.10.1
Cependant, vous devez vous souvenir des huit options :
Piège de journalisation SF(config)# ?

<0-7> Niveau de gravité de la journalisation
alertes Action immédiate nécessaire (gravité=1)
critique Conditions critiques (gravité=2)
débogage Messages de débogage (gravité=7)
urgences Le système est inutilisable (gravité=0)
les erreurs Conditions d'erreur (gravité=3)
Messages d'information (gravité=6)
notifications Conditions normales mais significatives (gravité=5)
avertissements Conditions d'avertissement (gravité=4)
<cr>
Comprendre comment configurer NTP. C'est assez simple de configurer NTP, comme avant
syslog, mais nous n'avons pas à nous souvenir d'un tas d'options ! C'est juste dire au syslog de marquer le
l'heure et la date et l'activation de NTP :
SF(config)# service timestamps log datetime msec

Serveur SF(config) #ntp 172.16.10.1 version 4
Décrivez la valeur du CDP et du LLDP. Cisco Discovery Protocol peut être utilisé pour vous aider
documenter ainsi que dépanner votre réseau ; aussi, LLDP est un protocole non propriétaire qui peut
fournir les mêmes informations que le CDP.
Page 76
Répertoriez les informations fournies par la sortie de la commande show cdp neighbors . Les
La commande show cdp neighbors fournit
les informations suivantes : ID de périphérique, interface locale,
temps d'attente, capacité, plate-forme et ID de port (interface distante).
Comprendre comment établir une session Telnet avec plusieurs routeurs

simultanément. Si vous vous connectez par telnet à un routeur ou à un commutateur, vous pouvez mettre fin à la connexion en tapant exit
à tout moment. Cependant, si vous souhaitez conserver votre connexion à un appareil distant tout en revenant
à la console de votre routeur d'origine, vous pouvez appuyer sur la combinaison de touches Ctrl+Maj+6, la relâcher et
puis appuyez sur X.
Identifiez les sessions Telnet en cours. La commande show sessions vous fournira
informations sur toutes les sessions actuellement actives que votre routeur a avec d'autres routeurs.
Créez une table d'hôtes statique sur un routeur. En utilisant la commande de configuration globale ip host
host_name ip_address ,
vous pouvez créer une table d'hôtes statique sur votre routeur. Vous pouvez appliquer plusieurs IP
adresses par rapport à la même entrée d'hôte.
Vérifiez la table d'hôtes sur un routeur. Vous pouvez vérifier la table d'hôtes avec les hôtes du spectacle
commander.
Décrivez la fonction de la commande ping . Packet Internet Groper ( ping ) utilise l'écho ICMP
les requêtes et les réponses d'écho ICMP pour vérifier une adresse IP active sur un réseau.
Ping un ID d'hôte valide à partir de l'invite correcte. Vous pouvez cingler une adresse IP à partir d'un routeur
mode utilisateur ou mode privilégié mais pas depuis le mode configuration, sauf si vous utilisez la commande do .
Vous devez envoyer un ping à une adresse valide, telle que 1.1.1.1.
Laboratoires écrits 7
Dans cette section, vous effectuerez les travaux pratiques suivants pour vous assurer que vous disposez des informations et
Atelier 7.1 : Gestion de l'IOS
Atelier 7.2 : Mémoire du routeur
Vous pouvez trouver les réponses à ces laboratoires dans l'annexe A, « Réponses aux laboratoires écrits ».
Travaux pratiques écrits 7.1 : gestion IOS

Écrivez les réponses aux questions suivantes :
1. Quelle est la commande pour copier le fichier startup-config dans la DRAM ?
2. Quelle commande pouvez-vous utiliser pour voir l'adresse IP du routeur voisin à partir de votre routeur
rapide?
3. Quelle commande pouvez-vous utiliser pour voir le nom d'hôte, l'interface locale, la plate-forme et le port distant
d'un routeur voisin ?
4. Quelles frappes pouvez-vous utiliser pour telnet dans plusieurs appareils simultanément ?
5. Quelle commande vous montrera vos connexions Telnet actives au voisin et à distance
dispositifs?
6. Quelle commande pouvez-vous utiliser pour fusionner une configuration de sauvegarde avec la configuration en RAM ?
7. Quel protocole peut être utilisé sur un réseau pour synchroniser les informations d'horloge et de date ?
8. Quelle commande est utilisée par un routeur pour transmettre une demande de client DHCP à un DHCP distant
serveur?
9. Quelle commande permet à votre commutateur ou routeur de recevoir des informations d'horloge et de date et
synchroniser avec le serveur NTP ?
10. Quelle commande de vérification NTP affichera le maître de référence pour le client ?
77
Travaux pratiques 7.2 : Mémoire du routeur

Identifiez l'emplacement dans un routeur où chacun des fichiers suivants est stocké par défaut.
1. Cisco IOS
2. Bootstrap
3. Configuration de démarrage
4. Routine POST
5. Configuration en cours
6. Cache ARP
7. Mini-IOS
8. Moniteur ROM
9. Tables de routage
10. Tampons de paquets

Pour terminer les travaux pratiques de cette section, vous avez besoin d'au moins un routeur ou un commutateur (trois serait mieux)
et au moins un PC fonctionnant en tant que serveur TFTP. Le logiciel serveur TFTP doit être installé et
fonctionnant sur le PC. Pour ce laboratoire, il est également supposé que votre PC et les périphériques Cisco sont
connecté avec un commutateur et que toutes les interfaces (PC NIC et interfaces de routeur) sont dans le
même sous-réseau. Vous pouvez alternativement connecter le PC directement au routeur ou connecter les routeurs
directement entre eux (utiliser un câble croisé dans ce cas). N'oubliez pas que les laboratoires répertoriés ici
ont été créés pour être utilisés avec de vrais routeurs mais peuvent facilement être utilisés avec la version LammleSim IOS
(voir www.lammle.com/ccna ) ou vous pouvez utiliser le simulateur de routeur Cisco Packet Tracer. Enfin, bien que
peu importe que vous utilisiez un commutateur ou un routeur dans ces laboratoires, je vais simplement utiliser mes routeurs,
mais n'hésitez pas à utiliser votre commutateur pour parcourir ces laboratoires !
Voici une liste des laboratoires de ce chapitre :
Atelier 7.1 : Sauvegarder la configuration du routeur
Atelier 7.2 : Utilisation du protocole de découverte Cisco (CDP)
Atelier 7.3 : Utiliser Telnet
Atelier 7.4 : Résoudre les noms d'hôte
Travaux pratiques 7.1 : Sauvegarder la configuration du routeur

Dans cet atelier, vous allez sauvegarder la configuration du routeur :
1. Connectez-vous à votre routeur et passez en mode privilégié en tapant en ou enable .
2. Envoyez un ping au serveur TFTP pour vous assurer que vous disposez d'une connectivité IP.
3. Depuis RouterB, tapez copy run tftp .
4. Lorsque vous y êtes invité, saisissez l'adresse IP du serveur TFTP (par exemple, 172.16.30.2) et
appuyez sur Entrée.
5. Par défaut, le routeur vous demandera un nom de fichier. Le nom d'hôte du routeur est suivi
par le suffixe -confg (oui, je l'ai correctement orthographié). Vous pouvez utiliser n'importe quel nom que vous voulez.
Nom du fichier de configuration à écrire [RouterB-confg] ?
Appuyez sur Entrée pour accepter le nom par défaut.
Écrire le fichier RouterB-confg sur l'hôte 172.16.30.2 ? [confirmer]
Appuyez sur Entrée pour confirmer.
Page 78
Travaux pratiques 7.2 : Utilisation du protocole de découverte Cisco (CDP)

Le CDP est un objectif important pour les examens Cisco. Veuillez parcourir ce laboratoire et utiliser CDP comme
autant que possible pendant vos études.
2. Depuis le routeur, tapez sh cdp et appuyez sur Entrée. Vous devriez voir que les paquets CDP sont envoyés
à toutes les interfaces actives toutes les 60 secondes et le temps d'attente est de 180 secondes (ce sont les
valeurs par défaut).
3. Pour changer la fréquence de mise à jour CDP à 90 secondes, tapez cdp timer 90 dans la configuration globale
mode.
Routeur# config t
Saisissez les commandes de configuration, une par ligne. Terminer par
CNTL/Z.
Routeur(config)# minuteur cdp ?
<5-900> Débit auquel les paquets CDP sont envoyés (en secondes)
Routeur (config) # minuteur cdp 90
4. Vérifiez que la fréquence de votre minuteur CDP a changé en utilisant la commande show cdp dans
mode privilégié.
Routeur# sh cdp
Informations globales sur le CDP :
Envoi de paquets CDP toutes les 90 secondes
Envoi d'une valeur de temps d'attente de 180 secondes
5. Utilisez maintenant CDP pour collecter des informations sur les routeurs voisins. Vous pouvez obtenir la liste des disponibles
commandes en tapant sh cdp ? .
Routeur# sh cdp ?
entrée Informations pour une entrée voisine spécifique
état et configuration de l'interface CDP
voisins entrées de voisins CDP
statistiques de trafic CDP
<cr>
6. Tapez sh cdp int pour voir les informations d'interface ainsi que l'encapsulation par défaut utilisée par le
interface. Il affiche également les informations de la minuterie CDP.
7. Tapez sh cdp entry * pour afficher les informations CDP complètes reçues de tous les appareils.
8. Tapez show cdp neighbors pour collecter des informations sur tous les voisins connectés. (Vous devriez
connaître les informations spécifiques sorties par cette commande.)
9. Tapez afficher les détails des voisins cdp . Notez qu'il produit la même sortie que show cdp entry * .
Atelier pratique 7.3 : Utilisation de Telnet
Secure Shell a été traité au chapitre 6, et c'est ce que vous devez utiliser pour accéder à distance à un
Appareil Cisco. Cependant, les objectifs de Cisco couvrent la configuration Telnet, alors faisons un laboratoire sur
Telnet !
2. Depuis RouterA, telnet dans votre routeur distant (RouterB) en tapant telnet ip_address à partir du
invite de commande. Tapez exit pour vous déconnecter.
3. Tapez maintenant l'adresse IP du routeur B à partir de l'invite de commande du routeur A. Notez que le routeur
essaie automatiquement de se connecter par telnet à l'adresse IP que vous avez spécifiée. Vous pouvez utiliser la commande telnet
ou tapez simplement l'adresse IP.
4. Depuis RouterB, appuyez sur Ctrl+Maj+6, puis sur X pour revenir à l'invite de commande de RouterA. Maintenant
telnet dans votre troisième routeur, RouterC. Appuyez sur Ctrl+Maj+6, puis sur X pour revenir à RouterA.
5. Depuis RouterA, saisissez show sessions . Remarquez vos deux séances. Vous pouvez appuyer sur le numéro
affiché à gauche de la session et appuyez deux fois sur Entrée pour revenir à cette session. L'astérisque
affiche la session par défaut. Vous pouvez appuyer deux fois sur Entrée pour revenir à cette session.
79
6. Accédez à la session de votre RouterB. Tapez afficher les utilisateurs . Cela montre la connexion de la console et
la connexion à distance. Vous pouvez utiliser la commande de déconnexion pour effacer la session ou simplement taper
quittez l'invite pour fermer votre session avec RouterB.
7. Accédez au port de console de RouterC en tapant show sessions sur le premier routeur et en utilisant le
numéro de connexion à retourner à RouterC. Tapez show user et notez la connexion à votre
premier routeur, RouterA.
8. Tapez clear line line_number pour déconnecter la session Telnet.
Atelier pratique 7.4 : Résoudre les noms d'hôte

Il est préférable d'utiliser un serveur DNS pour la résolution de noms, mais vous pouvez également créer une table d'hôtes locale pour
résoudre les noms. Nous allons jeter un coup d'oeil.
2. Depuis RouterA, tapez todd et appuyez sur Entrée à l'invite de commande. Remarquez l'erreur que vous
recevoir et le délai. Le routeur essaie de résoudre le nom d'hôte en une adresse IP en
à la recherche d'un serveur DNS. Vous pouvez désactiver cette fonctionnalité en utilisant la recherche de domaine sans ip
commande depuis le mode de configuration globale.
3. Pour créer une table d'hôtes, vous utilisez la commande ip host . Depuis RouterA, ajoutez une entrée de table d'hôtes pour
RouterB et RouterC en entrant les commandes suivantes :
ip host routerb ip_address

ip host routerc ip_address
Voici un exemple:
routeur hôte ipb 172.16.20.2

routeur hôte ip c 172.16.40.2
4. Testez votre table d'hôtes en tapant ping routerb à partir de l'invite du mode privilégié (pas le config
rapide).
RouteurA# ping routerb

Envoi de 5 échos ICMP de 100 octets à 172.16.20.2, délai d'attente
est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour
min/moy/max = 4/4/4 ms
5. Testez votre table d'hôtes en tapant ping routerc .
RouterA# ping routerc

est de 2 secondes :
!!!!!
Le taux de réussite est de 100 pour cent (5/5), aller-retour
min/moy/max = 4/6/8 ms
6. Telnet au routeur B et gardez votre session sur le routeur B ouverte au routeur A en appuyant sur
Ctrl+Maj+6, puis X.
7. Telnet à RouterC en tapant routerc à l'invite de commande.
8. Revenez à RouterA et gardez la session sur RouterC ouverte en appuyant sur Ctrl+Maj+6, puis sur X.
9. Affichez la table des hôtes en saisissant show hosts et en appuyant sur Entrée.
Le domaine par défaut n'est pas défini

La recherche de nom/d'adresse utilise le service de domaine
Les serveurs de noms sont 255.255.255.255
Hôte Indicateurs Âge Type Adresse(s)
routeurb (permanent, OK) 0 IP 172.16.20.2
routeurc (permanent, OK) 0 IP 172.16.40.2
Page 80
1. Lequel des protocoles suivants est un protocole basé sur des normes qui fournit un réseau dynamique ?
Découverte?
A. DHCP
B. LLDP
C. DDNS
D. SSTP
E. CDP
2. Quelle commande peut être utilisée pour déterminer l'utilisation du processeur d'un routeur ?
B. afficher les contrôleurs
C. afficher les processus cpu
D. montrer la mémoire
3. Vous résolvez un problème de connectivité dans votre réseau d'entreprise et souhaitez

isoler le problème. Vous pensez qu'un routeur sur la route vers un réseau inaccessible est à
la faute. Quelle commande d' exécution utilisateur IOS devez-vous émettre ?
A. Routeur>ping
B. Routeur>trace
C. Routeur> afficher la route IP
D. Routeur>afficher l'interface
E. Routeur>afficher les voisins cdp
4. Vous copiez une configuration d'un hôte réseau vers la RAM d'un routeur. La configuration semble
correct, mais cela ne fonctionne pas du tout. Quel pourrait être le problème?
A. Vous avez copié la mauvaise configuration dans la RAM.
B. Vous avez plutôt copié la configuration dans la mémoire flash.
C. La copie n'a pas remplacé la commande shutdown dans running-config.
D. L'IOS est devenu corrompu après que la commande de copie ait été lancée.
5. Dans la commande suivante, à quoi fait référence l'adresse IP 10.10.10.254 ?
Routeur# config t
Routeur(config)# interface fa0/0
Routeur(config-if)# ip helper-address 10.10.10.254
A. Adresse IP de l'interface d'entrée sur le routeur
B. Adresse IP de l'interface de sortie sur le routeur
C. Adresse IP du prochain saut sur le chemin vers le serveur DHCP
D. Adresse IP du serveur DHCP
6. Le siège social vous envoie un nouveau routeur pour vous connecter, mais lors de la connexion de la console
câble, vous voyez qu'il y a déjà une configuration sur le routeur. Que faut-il faire avant
Page 81
une nouvelle configuration est entrée dans le routeur ?
A. La RAM doit être effacée et le routeur redémarré.
B. Flash doit être effacé et le routeur redémarré.
C. La NVRAM doit être effacée et le routeur redémarré.
D. La nouvelle configuration doit être saisie et enregistrée.
7. Quelle commande pouvez-vous utiliser pour déterminer l'adresse IP d'un voisin directement connecté ?
A. montrer cdp
B. afficher les voisins cdp
C. afficher le détail des voisins cdp
D. afficher les détails du voisin
8. Selon la sortie, quelle interface SW-2 utilise-t-il pour se connecter à SW-3 ?

SW-3# sh voisins cdp
Codes de capacité : R - Routeur, T - Pont Trans, B - Route source BridgeS - Commutateur, H - Hôte, I -
IGMP, r - Répéteur, P - Téléphone, D - Télécommande, C - CVTA, M - ID de périphérique de relais Mac à deux ports
ID de port de la plate-forme de capacité de Holdtme local d'intrfce
SW-1 Fas 0/1 170 SI WS-C3560- Fas 0/15
SW-1 Fas 0/2 170 SI WS-C3560- Fas 0/16
SW-2 Fas 0/5 162 SI WS-C3560- Fas 0/2
A. Fas 0/1
B. Fas 0/16
C. Fas 0/2
D. Fas 0/5
9. Laquelle des commandes suivantes active syslog sur un périphérique Cisco avec le débogage comme niveau ?
A. syslog 172.16.10.1
B. journalisation 172.16.10.1
C. débogage syslog de la console distante 172.16.10.1
D. transmettre les messages de la console niveau 7 172.16.10.1
10. Vous enregistrez la configuration sur un routeur avec le démarrage-config copy running-config commande
et redémarrez le routeur. Le routeur, cependant, propose une configuration vierge. Ce qui peut
le problème est-il ?
A. Vous n'avez pas démarré le routeur avec la bonne commande.
B. La NVRAM est corrompue.
C. Le réglage du registre de configuration est incorrect.
D. L'IOS nouvellement mis à niveau n'est pas compatible avec le matériel du routeur.
E. La configuration que vous avez enregistrée n'est pas compatible avec le matériel.
11. Si vous souhaitez ouvrir plusieurs sessions Telnet en même temps, quelle frappe
combinaison utiliseriez-vous?
A. Tab + barre d'espace
B. Ctrl+X, puis 6
C. Ctrl+Maj+X, puis 6
D. Ctrl+Maj+6, puis X
12. Vous ne parvenez pas à vous connecter à un périphérique distant à partir de votre commutateur, mais vous pourriez
au routeur plus tôt. Cependant, vous pouvez toujours envoyer un ping à l'appareil distant. Quel pourrait être le problème
être? (Choisissez deux.)
Page 82
A. Les adresses IP sont incorrectes.
B. La liste de contrôle d'accès filtre Telnet.
C. Il y a un câble série défectueux.
D. Le mot de passe VTY est manquant.
13. Quelles informations sont affichées par la commande show hosts ? (Choisissez deux.)
A. Entrées DNS temporaires
B. Les noms des routeurs créés à l'aide de la commande hostname
C. Les adresses IP des postes de travail autorisés à accéder au routeur
D. Mappages permanents nom-adresse créés à l'aide de la commande ip host
E. La durée pendant laquelle un hôte a été connecté au routeur via Telnet
14. Quelles trois commandes peuvent être utilisées pour vérifier les problèmes de connectivité LAN sur une entreprise
changer? (Choisissez trois.)
A. afficher les interfaces
B. afficher l'itinéraire IP
C. tracer
D. ping
E. recherches DNS
15. Quel est le niveau d'installation syslog par défaut ?
A. local4
B. local5
C. local6
D. local7
16. Vous telnet dans un périphérique distant et tapez debug ip icmp , mais aucune sortie de la commande debug
est vu. Quel pourrait être le problème?
A. Vous devez d'abord taper la commande show ip icmp .
B. L'adressage IP sur le réseau est incorrect.

C. Vous devez utiliser la commande Terminal Monitor .
D. La sortie de débogage est envoyée uniquement à la console.
17. Quelles sont les trois affirmations concernant l'utilisation de syslog qui sont vraies ? (Choisissez trois.)
A. L'utilisation de syslog améliore les performances du réseau.
B. Le serveur syslog informe automatiquement l'administrateur réseau des problèmes de réseau.
C. Un serveur syslog fournit l'espace de stockage nécessaire pour stocker les fichiers journaux sans utiliser de routeur
espace disque.
D. Il y a plus de messages Syslog disponibles dans Cisco IOS qu'il n'y en a de comparables
Messages d'interruption SNMP.
E. L'activation de syslog sur un routeur active automatiquement NTP pour un horodatage précis.
F. Un serveur syslog aide à l'agrégation des journaux et des alertes.
18. Vous devez collecter l'adresse IP d'un commutateur distant situé à Hawaï. Qu'est-ce que tu peux
faire pour trouver l'adresse?
A. Envolez-vous vers Hawaï, consolez-vous dans le commutateur, puis détendez-vous et prenez un verre avec un parapluie dedans.
B. Émettez la commande show ip route sur le routeur connecté au commutateur.
Page 83
C. Émettez la commande show cdp neighbor sur le routeur connecté au commutateur.
D. Émettez la commande show ip arp sur le routeur connecté au commutateur.
E. Émettez la commande show cdp neighbors detail sur le routeur connecté au commutateur.
19. Vous devez configurer tous vos routeurs et commutateurs pour qu'ils synchronisent leurs horloges à partir de
source unique. Quelle commande taperez-vous pour chaque appareil ?
A. synchronisation d'horloge ip_address
B. ntp maître ip_address
C. sync ntp ip_address
D. ntp server ip_address numéro de version
20. Un administrateur réseau entre la commande suivante sur un routeur : logging trap 3 . Quels sont
trois types de messages qui seront envoyés au serveur syslog ? (Choisissez trois.)
A. Informationnel
B. Urgence
C. Avertissement
D. Critique
E. Débogage
F. Erreur
84
Chapitre 8
Gestion des appareils Cisco

chapitre:
x 5.0 Gestion des infrastructures
5.2 Configurer et vérifier la gestion des appareils
5.2.c Licence
5.5 Effectuer la maintenance de l'appareil
5.5.a Mises à niveau et récupération de Cisco IOS (vérification SCP, FTP, TFTP et MD5)
5.5.b Récupération du mot de passe et registre de configuration
5.5.c Gestion du système de fichiers
Ici, au chapitre 8, je vais vous montrer comment gérer

Routeurs Cisco sur un interréseau. Le système d'exploitation interréseau (IOS) et la configuration
les fichiers résident à différents endroits dans un périphérique Cisco, il est donc très important de comprendre à la fois
où se trouvent ces fichiers et comment ils fonctionnent.
Vous découvrirez le registre de configuration, y compris comment utiliser la configuration

s'inscrire pour récupérer le mot de passe.
Enfin, je couvrirai comment vérifier les licences sur les routeurs ISRG2 ainsi que comment installer un
licence permanente et configurer les fonctionnalités d'évaluation dans les dernières images universelles.
Gestion du registre de configuration

Tous les routeurs Cisco ont un registre logiciel 16 bits qui est écrit dans la NVRAM. Par défaut, le
le registre de configuration est défini pour charger le Cisco IOS à partir de la mémoire flash et pour rechercher et charger
le fichier startup-config de la NVRAM. Dans les sections suivantes, je vais discuter de la
paramètres de registre de configuration et comment utiliser ces paramètres pour permettre la récupération de mot de passe sur
vos routeurs.
Page 85
Comprendre les bits du registre de configuration

Les 16 bits (2 octets) du registre de configuration sont lus de 15 à 0, de gauche à droite. Les
le paramètre de configuration par défaut sur les routeurs Cisco est 0x2102. Cela signifie que les bits 13, 8 et 1 sont activés,
comme le montre le tableau 8.1 . Notez que chaque ensemble de 4 bits (appelé un quartet) est lu en binaire avec une valeur
de 8, 4, 2, 1.
TABLEAU 8.1 Les numéros de bits du registre de configuration
Registre de configuration 2 1 0 2
Numéro de bit 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0
Binaire 0010000100000010
Ajoutez le préfixe 0x à l'adresse du registre de configuration. Le 0x signifie que le
les chiffres qui suivent sont en hexadécimal.
Le Tableau 8.2 répertorie les significations des bits de configuration logicielle. Notez que le bit 6 peut être utilisé pour ignorer le
Contenu NVRAM. Ce bit est utilisé pour la récupération de mot de passe - quelque chose que je vais bientôt aborder avec vous
dans la section « Récupération des mots de passe », plus loin dans ce chapitre.
Rappelez-vous qu'en hexadécimal, le schéma est 0-9 et A-F (A = 10, B = 11, C = 12, D =
13, E = 14 et F = 15). Cela signifie qu'un paramètre 210F pour le registre de configuration est
en fait 210(15), ou 1111 en binaire.
TABLEAU 8.2 Significations de la configuration logicielle
Bit Hex La description
0–3 0x0000–0x000F Champ de démarrage (voir Tableau 8.3 ).
6 0x0040 Ignorer le contenu NVRAM.
7 0x0080 Bit OEM activé.
8 0x101 Pause désactivée.
dix 0x0400 Diffusion IP avec tous les zéros.
5, 11–12 0x0800–0x1000 Vitesse de ligne de la console.
13 0x2000 Démarrez le logiciel ROM par défaut si le démarrage du réseau échoue.
14 0x4000 Les diffusions IP n'ont pas de numéros nets.
15 0x8000 Activez les messages de diagnostic et ignorez le contenu NVRAM.
Le champ de démarrage, composé des bits 0 à 3 du registre de configuration (les 4 derniers bits), contrôle
la séquence de démarrage du routeur et localise Cisco IOS. Le tableau 8.3 décrit les bits du champ de démarrage.
TABLEAU 8.3 Le champ d'amorçage (bits 00–03 du registre de configuration)
Botte Signification Utilisation

Champ
00 ROM Pour démarrer en mode moniteur ROM, définissez le registre de configuration sur 2100. Vous
surveiller doit démarrer manuellement le routeur avec la commande b . Le routeur affichera le
mode rommon> invite.
01 Image de démarrage Pour démarrer l'image mini-IOS stockée dans la ROM, définissez le registre de configuration sur
86
à partir de la ROM 2101. Le routeur affichera l' invite Router(boot)> . Le mini-IOS n'est pas
disponible dans tous les routeurs et est également appelé RXBOOT.
02–F Spécifie un Toute valeur comprise entre 2102 et 210F indique au routeur d'utiliser le démarrage
défaut commandes spécifiées dans la NVRAM.
botte
nom de fichier
Vérification de la valeur actuelle du registre de configuration

Vous pouvez voir la valeur actuelle du registre de configuration en utilisant la commande show version ( sh
version ou show ver pour faire court), comme démontré ici :
Routeur> version sh
Logiciel Cisco IOS, logiciel 2800 (C2800NM-ADVSECURITYK9-M),
Version 15.1(4)M6, LIBÉRER LE LOGICIEL (FC2)
[coupure de sortie]
Le registre de configuration est 0x2102
La dernière information donnée par cette commande est la valeur du registre de configuration. Dans ce
exemple, la valeur est 0x2102—le paramètre par défaut. Le réglage du registre de configuration de 0x2102
indique au routeur de rechercher dans la NVRAM la séquence de démarrage.
Notez que la commande show version fournit également la version IOS, et dans le précédent
exemple, il affiche la version IOS comme 15.1(4)M6.
La commande show version affichera la configuration matérielle du système
informations, le numéro de série du système, la version du logiciel et les noms des images de démarrage
sur un routeur.
Pour modifier le registre de configuration, utilisez la commande config-register de la configuration globale

mode:
Routeur (config) #config-register 0x2142

Routeur (config) #do sh ver
[coupure de sortie]
Le registre de configuration est 0x2102 (sera 0x2142 au prochain rechargement)
Il est important que vous soyez prudent lorsque vous définissez le registre de configuration !
Si vous enregistrez votre configuration et rechargez le routeur et qu'il apparaît dans la configuration
mode, le paramètre du registre de configuration est probablement incorrect.
Commandes système de démarrage

Saviez-vous que vous pouvez configurer votre routeur pour démarrer un autre IOS si le flash est corrompu ?
Bien, vous pouvez. Vous pouvez démarrer tous vos routeurs à partir d'un serveur TFTP, mais c'est de la vieille école, et
les gens ne le font plus ; c'est juste pour la sauvegarde en cas d'échec.
Il existe des commandes de démarrage avec lesquelles vous pouvez jouer qui vous aideront à gérer la façon dont votre routeur
démarre le Cisco IOS, mais n'oubliez pas que nous parlons ici de l'IOS du routeur, pas du
configuration du routeur !
Routeur> fr
Routeur# config t
Routeur(config)# boot ?
bootstrap Fichier image de bootstrap
config Fichier de configuration
fichier de configuration spécifique au routeur hôte
87
réseau Fichier de configuration à l'échelle du réseau

système Fichier image système
La commande de démarrage vous offre vraiment une multitude d'options, mais d'abord, je vais vous montrer les paramètres typiques
que Cisco recommande. Alors commençons, la commande boot system vous permettra de dire au
routeur quel fichier IOS système pour démarrer à partir de la mémoire flash. N'oubliez pas que le routeur, par défaut,
démarre le premier fichier IOS système trouvé dans la mémoire flash. Vous pouvez changer cela avec les commandes suivantes,
comme indiqué dans la sortie :
Router(config)# système de démarrage ?

WORD TFTP nom de fichier ou URL
flash Démarrage à partir de la mémoire flash
ftp Boot à partir d'un serveur via ftp
mop Démarrez à partir d'un serveur Decnet MOP
rcp Démarrage à partir d'un serveur via rcp
rom Démarrez à partir de la rom
tftp Démarrage à partir d'un serveur tftp
Routeur(config)# boot système flash c2800nm-advsecurityk9-mz.151-4.M6.bin
Remarquez que je pourrais démarrer à partir de FLASH, FTP, ROM, TFTP ou d'autres options inutiles. La commande je
utilisé configure le routeur pour démarrer l'IOS qui y est répertorié. Il s'agit d'une commande utile lorsque vous
charger un nouvel IOS dans le flash et vouloir le tester, ou même quand vous voulez changer totalement quel IOS est
chargement par défaut.
La commande suivante est considérée comme une routine de secours, mais comme je l'ai dit, vous pouvez en faire une commande permanente
moyen de faire démarrer vos routeurs à partir d'un hôte TFTP. Personnellement, je ne recommanderais pas nécessairement
faire cela (point de défaillance unique) ; Je te montre juste que c'est possible :
Router(config)# boot system tftp ?

WORD Nom du fichier de l'image système
Routeur(config)# boot system tftp c2800nm-advsecurityk9-mz.151-4.M6.bin?
Nom d'hôte ou adresse ABCD à partir de laquelle télécharger le fichier
<cr>
Routeur(config)# boot system tftp c2800nm-advsecurityk9-mz.151-4.M6.bin 1.1.1.2
Routeur(config)#
Comme dernière option de secours recommandée - celle à laquelle aller si l'IOS en flash ne se charge pas et
l'hôte TFTP ne produit pas l'IOS — chargez le mini-IOS à partir de la ROM comme ceci :
Router(config)# rom système de démarrage

Router(config)# affiche l'exécution | inclure le système de démarrage
système de démarrage flash c2800nm-advsecurityk9-mz.151-4.M6.bin
système de démarrage tftp c2800nm-advsecurityk9-mz.151-4.M6.bin 1.1.1.2
rom système de démarrage
Routeur(config)#
Si la configuration précédente est définie, le routeur essaiera de démarrer à partir du serveur TFTP si flash
échoue, et si le démarrage TFTP échoue, le mini-IOS se chargera après six tentatives infructueuses d'essayer de
localisez le serveur TFTP.
Dans la section suivante, je vais vous montrer comment charger le routeur en mode moniteur ROM afin que vous puissiez
effectuer la récupération du mot de passe.
Récupération des mots de passe

Si vous êtes bloqué sur un routeur parce que vous avez oublié le mot de passe, vous pouvez modifier le
registre de configuration pour vous aider à vous remettre sur pied. Comme je l'ai dit plus tôt, le bit 6 dans le
Le registre de configuration est utilisé pour indiquer au routeur s'il doit utiliser le contenu de la NVRAM pour charger un
configuration du routeur.
La valeur par défaut du registre de configuration est 0x2102, ce qui signifie que le bit 6 est désactivé. Avec la valeur par défaut
paramètre, le routeur recherchera et chargera une configuration de routeur stockée dans la NVRAM (démarrage-
configuration). Pour récupérer un mot de passe, vous devez activer le bit 6. Cela indiquera au routeur d'ignorer
le contenu de la NVRAM. La valeur du registre de configuration pour activer le bit 6 est 0x2142.
Voici les principales étapes de la récupération du mot de passe :
1. Démarrez le routeur et interrompez la séquence de démarrage en effectuant une pause, ce qui prendra le
88
routeur en mode moniteur ROM.

2. Modifiez le registre de configuration pour activer le bit 6 (avec la valeur 0x2142).
3. Rechargez le routeur.
4. Dites « non » pour entrer en mode de configuration, puis entrez en mode privilégié.
5. Copiez le fichier startup-config dans running-config, et n'oubliez pas de vérifier que vos interfaces
sont réactivés.
6. Modifiez le mot de passe.
7. Réinitialisez le registre de configuration à la valeur par défaut.
8. Enregistrez la configuration du routeur.
9. Rechargez le routeur (facultatif).
Je vais couvrir ces étapes plus en détail dans les sections suivantes. Je vais aussi vous montrer le
commandes pour restaurer l'accès aux routeurs de la série ISR.
Vous pouvez entrer en mode moniteur ROM en appuyant sur Ctrl+Break ou Ctrl+Maj+6, puis b, pendant le routeur
démarrage. Mais si l'IOS est corrompu ou manquant, s'il n'y a pas de connectivité réseau disponible pour trouver un
Hôte TFTP, ou si le mini-IOS de la ROM ne se charge pas (ce qui signifie que le routeur de secours par défaut
échoué), le routeur entrera en mode moniteur ROM par défaut.
Interruption de la séquence d'amorçage du routeur
Votre première étape consiste à démarrer le routeur et à effectuer une pause. Cela se fait généralement en appuyant sur la
Combinaison de touches Ctrl+Break lors de l'utilisation d'HyperTerminal (personnellement, j'utilise SecureCRT ou
PuTTY) pendant le premier redémarrage du routeur.
Système d'amorçage, version 15.1(4)M6, RELEASE LOGICIEL (fc2)

Copyright (c) 1999 par Cisco Systems, Inc.
TAC:Home:SW:IOS:Spéciaux pour info
PC = 0xfff0a530, Vecteur = 0x500, SP = 0x680127b0
Plateforme C2800 avec 32768 Ko de mémoire principale
PC = 0xfff0a530, vecteur = 0x500, SP = 0x80004374
monitor : la commande « boot » a été abandonnée en raison d'une interruption de l'utilisateur
rommon 1 >
Remarquez le moniteur de ligne : la commande « boot » a été abandonnée en raison d'une interruption de l'utilisateur . À ce stade, vous serez à
l' invite rommon 1> , appelée mode moniteur ROM.
Modification du registre de configuration
Comme je l'ai expliqué précédemment, vous pouvez modifier le registre de configuration à partir de l'IOS en utilisant le
commande config-register . Pour activer le bit 6, utilisez la valeur du registre de configuration 0x2142.
N'oubliez pas que si vous modifiez le registre de configuration en 0x2142, le démarrage-
config sera contourné et le routeur se chargera en mode de configuration.
Pour modifier la valeur du bit sur un routeur de la série Cisco ISR, il vous suffit d'entrer la commande suivante à la
rommon 1> invite :
rommon 1 > confreg 0x2142
Vous devez réinitialiser ou éteindre et rallumer pour que la nouvelle configuration prenne effet
rommon 2 > réinitialiser
Rechargement du routeur et entrée en mode privilégié
À ce stade, vous devez réinitialiser le routeur comme ceci :
À partir du routeur de la série ISR, tapez I (pour initialiser) ou réinitialiser .
À partir d'un ancien routeur de série, tapez I .
89
Le routeur se rechargera et vous demandera si vous souhaitez utiliser le mode de configuration (car aucune configuration de démarrage n'est utilisée).
Répondez non à l'entrée en mode de configuration, appuyez sur Entrée pour passer en mode utilisateur, puis tapez enable pour y aller
en mode privilégié.
Affichage et modification de la configuration
Vous avez maintenant dépassé le point où vous auriez besoin d'entrer en mode utilisateur et en mode privilégié
mots de passe dans un routeur. Copiez le fichier startup-config dans le fichier running-config :
copier startup-config running-config
Ou utilisez le raccourci :
copier démarrer exécuter
La configuration s'exécute maintenant en mémoire vive (RAM) et vous êtes en mode privilégié
mode, ce qui signifie que vous pouvez maintenant afficher et modifier la configuration. Mais vous ne pouvez pas voir le
activez le paramètre secret pour le mot de passe puisqu'il est crypté. Pour changer le mot de passe, procédez comme suit :
configuration t
activer le secret todd
Réinitialisation du registre de configuration et rechargement du routeur
Une fois que vous avez terminé de changer les mots de passe, remettez le registre de configuration à la valeur par défaut
avec la commande config-register :
configuration t
config-registre 0x2102
Il est important de se rappeler d'activer vos interfaces après avoir copié la configuration depuis
NVRAM vers RAM.
Enfin, enregistrez la nouvelle configuration avec une copie running-config startup-config et utilisez reload pour
recharger le routeur.
Si vous enregistrez votre configuration et rechargez le routeur et qu'il apparaît dans la configuration
mode, le paramètre du registre de configuration est probablement incorrect.
Pour résumer, nous avons maintenant configuré la routine de sauvegarde IOS suggérée par Cisco sur notre routeur :
flash, hôte TFTP, ROM.
Sauvegarde et restauration de Cisco IOS

Avant de mettre à niveau ou de restaurer un Cisco IOS, vous devez vraiment copier le fichier existant sur un hôte TFTP
comme sauvegarde juste au cas où la nouvelle image se bloque et brûle.
Et vous pouvez utiliser n'importe quel hôte TFTP pour accomplir cela. Par défaut, la mémoire flash d'un routeur est
utilisé pour stocker le Cisco IOS. Dans les sections suivantes, je décrirai comment vérifier le montant de
mémoire flash, comment copier le Cisco IOS de la mémoire flash vers un hôte TFTP et comment copier
l'IOS d'un hôte TFTP vers la mémoire flash.
Mais avant de sauvegarder une image IOS sur un serveur réseau sur votre intranet, vous devez faire ces
trois choses:
Assurez-vous que vous pouvez accéder au serveur réseau.
Assurez-vous que le serveur réseau dispose de suffisamment d'espace pour l'image de code.
Vérifiez les exigences de nommage et de chemin de fichier.
Vous pouvez connecter le port Ethernet de votre ordinateur portable ou de votre poste de travail directement à l'Ethernet d'un routeur
interface, comme le montre la Figure 8.1 .
90
FIGURE 8.1 Copie d'un IOS d'un routeur vers un hôte TFTP
Vous devez vérifier les points suivants avant d'essayer de copier l'image vers ou depuis le routeur :
Le logiciel du serveur TFTP doit être exécuté sur l'ordinateur portable ou le poste de travail.
La connexion Ethernet entre le routeur et le poste de travail doit être effectuée avec un
câble croisé.
Le poste de travail doit se trouver sur le même sous-réseau que l'interface Ethernet du routeur.
L' adresse IP du poste de travail doit être fournie à la commande copy flash tftp si vous êtes
copie à partir du flash du routeur.
Et si vous copiez « dans » le flash, vous devez vérifier qu'il y a assez de place dans le flash
mémoire pour accueillir le fichier à copier.
Vérification de la mémoire flash
Avant d'essayer de mettre à niveau Cisco IOS sur votre routeur avec un nouveau fichier IOS, c'est une bonne idée
pour vérifier que votre mémoire flash dispose de suffisamment d'espace pour contenir la nouvelle image. Vous vérifiez le montant
de mémoire flash et le ou les fichiers stockés dans la mémoire flash en utilisant le show flash
commande ( sh flash pour faire court):
Routeur# sh flash
-#- --length-- -----date/heure------ chemin
1 45392400 14 avril 2013 05:31:44 +00:00 c2800nm-advsecurityk9-mz.151-4.M6.bin
18620416 octets disponibles (45395968 octets utilisés)
Il y a environ 45 Mo de flash utilisé, mais il reste encore environ 18 Mo disponibles. Si tu veux

copier un fichier dans la mémoire flash de plus de 18 Mo, le routeur vous demandera si vous souhaitez effacer
éclat. Soyez prudent ici!
La commande show flash affichera la quantité de mémoire consommée par le
image IOS actuelle et vous indique s'il y a assez de place disponible pour contenir les deux
et de nouvelles images. Vous devez savoir que s'il n'y a pas assez de place pour l'ancien et le nouveau
l'image que vous souhaitez charger, l'ancienne image sera effacée !
La quantité de RAM et de flash est en fait facile à calculer à l'aide de la commande show version sur les routeurs :
Routeur# afficher la version

[coupure de sortie]
Page 91
Le système est retourné à la ROM à la mise sous tension

Le fichier image système est " flash:c2800nm-advsecurityk9-mz.151-4.M6.bin "
[coupure de sortie]
Cisco 2811 (révision 1.0) avec 249856K/12288K octets de mémoire .
ID de la carte processeur FTX1049A1AB
2 interfaces FastEthernet
2 interfaces série (sync/async)
1 module de réseau privé virtuel (VPN)
La configuration DRAM a une largeur de 64 bits avec la parité activée.
239 Ko de mémoire de configuration non volatile.
62720K octets d'ATA CompactFlash (lecture/écriture)
La deuxième ligne en surbrillance nous montre que ce routeur dispose d'environ 256 Mo de RAM, et vous pouvez voir
que la quantité de flash apparaît sur la dernière ligne. En estimant, nous obtenons la quantité de flash à
64 Mo.
Notez dans la première ligne en surbrillance que le nom de fichier dans cet exemple est c2800nm-advsecurity k9-
mz.151-4.M6.bin .
La principale différence dans la sortie des commandes show flash et show version est
que la commande show flash affiche tous les fichiers dans la mémoire flash et la commande show version
affiche le nom réel du fichier utilisé pour exécuter le routeur et l'emplacement à partir duquel il a été
chargé, qui est la mémoire flash.
Sauvegarde de Cisco IOS

Pour sauvegarder le Cisco IOS sur un serveur TFTP, vous utilisez le flash tftp copie commande. C'est un
commande directe qui ne nécessite que le nom du fichier source et l'adresse IP du TFTP
serveur.
La clé du succès dans cette routine de sauvegarde est de s'assurer que vous disposez d'une bonne et solide connectivité à
le serveur TFTP. Vérifiez cela en pingant le périphérique TFTP à partir de l'invite de la console du routeur comme
cette:
Routeur# ping 1.1.1.2

est de 2 secondes :
!!!!!
= 4/4/8 ms
Après avoir envoyé un ping au serveur TFTP pour vous assurer que l'IP fonctionne, vous pouvez utiliser la copie flash tftp
commande pour copier l'IOS sur le serveur TFTP comme indiqué ensuite :
Routeur # copie flash tftp

Nom du fichier source [] ? c2800nm-advsecurityk9-mz.151-4.M6.bin
Nom du fichier de destination [c2800nm-advsecurityk9-mz.151-4.M6.bin] ? [Entrer]
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Routeur#
Copiez simplement le nom de fichier IOS à partir de la commande show flash ou show version , puis collez-le
lorsqu'on vous demande le nom du fichier source.
Dans l'exemple précédent, le contenu de la mémoire flash a été copié avec succès dans le TFTP
serveur. L'adresse de l'hôte distant est l'adresse IP de l'hôte TFTP et la source
nom de fichier est le fichier dans la mémoire flash.
De nombreux routeurs Cisco récents ont une mémoire amovible. Vous pouvez voir des noms pour cela
mémoire telle que flash0: , auquel cas la commande de l'exemple précédent serait copy
flash0 : tftp : . Alternativement, vous pouvez le voir comme usbflash0 : .
Restauration ou mise à niveau de l'IOS du routeur Cisco

Que se passe-t-il si vous devez restaurer Cisco IOS dans la mémoire flash pour remplacer un fichier d'origine qui
92
a été endommagé ou si vous souhaitez mettre à niveau l'IOS ? Vous pouvez télécharger le fichier à partir d'un TFTP
serveur vers la mémoire flash à l'aide de la commande copy tftp flash . Cette commande nécessite l'IP
l'adresse de l'hôte TFTP et le nom du fichier que vous souhaitez télécharger.
Cependant, étant donné que les IOS peuvent être très volumineux aujourd'hui, nous pouvons vouloir utiliser autre chose que tftp,
ce qui n'est pas fiable et ne peut transférer que des fichiers plus petits. Regarde ça:
Corp# copie ?
/effacer Effacer le système de fichiers de destination.
/Erreur Autoriser à copier le fichier d'erreur.
/noverify Ne vérifie pas la signature de l'image avant le rechargement.
/Vérifier Vérifiez la signature de l'image avant de recharger.
archiver: Copier depuis l'archive : système de fichiers
cns : Copier depuis cns : système de fichiers
éclat: Copier depuis flash : système de fichiers
ftp : Copier depuis ftp : système de fichiers
http: Copier depuis http: système de fichiers
https : Copier depuis https : système de fichiers
nul: Copier depuis null : système de fichiers
nvram : Copier depuis nvram : système de fichiers
rcp : Copier depuis rcp : système de fichiers
running-config Copie à partir de la configuration système actuelle
scp : Copier depuis scp : système de fichiers
startup-config Copie à partir de la configuration de démarrage
système: Copier depuis le système : système de fichiers
le goudron: Copier depuis tar : système de fichiers
tftp : Copier depuis tftp : système de fichiers
tmpsys : Copier depuis tmsys : système de fichiers
xmodem : Copier depuis xmodem : système de fichiers
ymodem : Copier depuis ymodem : système de fichiers
Vous pouvez voir à partir de la sortie ci-dessus que nous avons de nombreuses options, et pour les fichiers plus volumineux, nous utiliserons
ftp :
ou scp : pour copier notre IOS dans ou depuis des routeurs et des commutateurs, et vous pouvez même effectuer un MD5
vérification avec le / verify à la fin d'une commande.
Utilisons simplement tftp pour nos exemples dans le chapitre car c'est plus simple. Mais avant de commencer, faites
assurez-vous que le fichier que vous souhaitez placer dans la mémoire flash est dans le répertoire TFTP par défaut sur votre hôte.
Lorsque vous exécutez la commande, TFTP ne vous demandera pas où se trouve le fichier, donc si le fichier que vous souhaitez utiliser
n'est pas dans le répertoire par défaut de l'hôte TFTP, cela ne fonctionnera tout simplement pas.
Routeur # copie tftp flash

Nom du fichier source [] ? c2800nm-advsecurityk9-mz.151-4.M6.bin
Nom du fichier de destination [c2800nm-advsecurityk9-mz.151-4.M6.bin] ? [Entrer]
%Avertissement : Il existe déjà un fichier portant ce nom
Voulez-vous écraser ? [confirmer] [entrer]
Accès à tftp://1.1.1.2/c2800nm-advsecurityk9-mz.151-4.M6.bin...
Chargement de c2800nm-advsecurityk9-mz.151-4.M6.bin à partir de 1.1.1.2 (via
FastEthernet0/0 : !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!
[OK - 21710744 octets]

Routeur#
Dans l'exemple précédent, j'ai copié le même fichier dans la mémoire flash, il m'a donc demandé si je voulais
réécrit dessus. N'oubliez pas que nous «jouons» avec des fichiers en mémoire flash. Si j'avais juste corrompu
mon fichier en l'écrasant, je ne le saurai pas avant de redémarrer le routeur. Soyez prudent avec cela
commander! Si le fichier est corrompu, vous devrez effectuer une restauration IOS à partir du mode moniteur ROM.
Si vous chargez un nouveau fichier et que vous n'avez pas assez de place dans la mémoire flash pour stocker à la fois le
copies nouvelles et existantes, le routeur demandera d'effacer le contenu de la mémoire flash avant d'écrire
le nouveau fichier dans la mémoire flash, et si vous pouvez copier l'IOS sans effacer l'ancien
version, puis assurez-vous de ne pas oublier d'utiliser la commande boot system flash:ios-file .
Un routeur Cisco peut devenir un hôte de serveur TFTP pour une image système de routeur qui est
exécuter dans la mémoire flash. La commande de configuration globale est tftp-server flash: ios-file .
Page 93
C'est lundi matin et vous venez de mettre à jour votre IOS
Vous êtes arrivé tôt pour mettre à niveau l'IOS de votre routeur. Après la mise à niveau, vous rechargez
le routeur et le routeur affiche maintenant l' invite rommon> .
On dirait que tu vas passer une mauvaise journée ! C'est ce que j'appelle un RGE : un CV-
événement générateur ! Alors, maintenant, que faites-vous ? Gardez votre calme et continuez ! Suivez ces étapes
pour sauvegarder votre travail :
rommon 1 > tftpdnld
Adresse IP manquante ou illégale pour la variable IP_ADDRESS

Adresse IP illégale.
utilisation : tftpdnld [-hr]

Utilisez cette commande pour la récupération après sinistre uniquement pour récupérer une image via TFTP.
Les variables de surveillance sont utilisées pour configurer les paramètres du transfert.
(Syntaxe : "VARIABLE_NAME=value" et utilisez "set" pour afficher les variables actuelles.)
"ctrl-c" ou "break" arrête le transfert avant que l'effacement flash ne commence.
Les variables suivantes doivent être définies pour tftpdnld :

IP_ADDRESS : L'adresse IP de cet appareil
IP_SUBNET_MASK : Le masque de sous-réseau pour cet appareil
DEFAULT_GATEWAY : la passerelle par défaut pour cet appareil
TFTP_SERVER : l'adresse IP du serveur à récupérer
TFTP_FILE : le nom du fichier à récupérer
Les variables suivantes sont FACULTATIVES :

[coupure de sortie inutile]
rommon 2 > définir l'adresse IP : 1.1.1.1
rommon 3> définir IP_SUBNET_MASK:255.0.0.0
rommon 4> définir DEFAULT_GATEWAY:1.1.1.2
rommon 5> définir TFTP_SERVER:1.1.1.2
Rommon 6> définissez TFTP_FILE : flash : c2800nm-advipservicesk9-mz.124-12.bin
Rommon 7 > tftpdnld
De là, vous pouvez voir les variables que vous devez configurer à l'aide de la commande set ; etre sur
vous utilisez ALL_CAPS avec ces commandes ainsi que le trait de soulignement (_). De là, vous devez
définissez l'adresse IP, le masque et la passerelle par défaut de votre routeur, puis l'adresse IP du
Hôte TFTP, qui dans cet exemple est un routeur directement connecté dont j'ai fait un serveur TFTP
avec cette commande :
Routeur(config)# tftp-serveur flash : c2800nm-advipservicesk9-mz.124-12.bin

Et enfin, vous définissez le nom de fichier IOS du fichier sur votre serveur TFTP. Ouf! Travail enregistré.
Il existe une autre façon de restaurer l'IOS sur un routeur, mais cela prend un certain temps. Vous pouvez utiliser quoi
est appelé le protocole Xmodem pour télécharger un fichier IOS dans la mémoire flash via la console
Port. Vous utiliseriez le Xmodem via la procédure de port de console si vous n'aviez pas de connectivité réseau
au routeur ou au commutateur.
Utilisation du système de fichiers Cisco IOS (Cisco IFS)

Cisco a créé un système de fichiers appelé Cisco IFS qui vous permet de travailler avec des fichiers et des répertoires
comme vous le feriez à partir d'une invite Windows DOS. Les commandes que vous utilisez sont dir , copy , more , delete ,
effacer ou formater , cd et pwd , et mkdir et rmdir .
Travailler avec IFS vous donne la possibilité de visualiser tous les fichiers, même ceux sur des serveurs distants. Et tu
voulez absolument savoir si une image sur l'un de vos serveurs distants est valide avant de la copier,
droit? Vous devez également connaître sa taille, la taille compte ici ! C'est aussi une très bonne idée de prendre un
regardez la configuration du serveur distant et assurez-vous que tout va bien avant de charger ce fichier sur
votre routeur.
C'est très cool qu'IFS rende l'interface utilisateur du système de fichiers universelle - ce n'est pas spécifique à la plate-forme
plus. Vous pouvez maintenant utiliser la même syntaxe pour toutes vos commandes sur tous vos routeurs, non
94
importe la plateforme !
C'est trop beau pour être vrai? Eh bien, c'est en quelque sorte parce que vous découvrirez que le soutien pour tous
commandes sur chaque système de fichiers et plate-forme n'est tout simplement pas là. Mais ce n'est vraiment pas grave puisque
les différents systèmes de fichiers diffèrent dans les actions qu'ils effectuent ; les commandes qui ne sont pas pertinentes pour un
système de fichiers particulier sont ceux-là mêmes qui ne sont pas pris en charge sur ce système de fichiers. Soyez assuré que
n'importe quel système de fichiers ou plate-forme prendra entièrement en charge toutes les commandes dont vous avez besoin pour le gérer.
Une autre fonctionnalité intéressante de l'IFS est qu'elle réduit toutes ces invites obligatoires pour la plupart des
commandes. Si vous souhaitez saisir une commande, il vous suffit de saisir toutes les informations nécessaires
directement dans la ligne de commande - plus besoin de sauter à travers des cerceaux d'invites ! Alors, si vous voulez
copier un fichier sur un serveur FTP, il vous suffirait d'indiquer d'abord où se trouve le fichier source souhaité sur votre
routeur, localisez où le fichier de destination doit être sur le serveur FTP, déterminez le nom d'utilisateur
et le mot de passe que vous allez utiliser lorsque vous souhaitez vous connecter à ce serveur, et tapez le tout sur
une ligne — élégant ! Et pour ceux d'entre vous qui résistent au changement, vous pouvez toujours avoir l'invite du routeur
vous pour toutes les informations dont il a besoin et profitez d'une version plus élégamment minimisée du
commande qu'avant.
Mais même en dépit de tout cela, votre routeur peut toujours vous inviter, même si vous avez tout fait correctement
dans votre ligne de commande. Cela dépend de la façon dont vous avez configuré la commande d' invite de fichier et
quelle commande vous essayez d'utiliser. Mais ne vous inquiétez pas, si cela se produit, la valeur par défaut sera
entré juste là dans la commande, et tout ce que vous avez à faire est d'appuyer sur Entrée pour vérifier le bon
valeurs.
IFS vous permet également d'explorer divers répertoires et fichiers d'inventaire dans n'importe quel répertoire de votre choix. Plus,
vous pouvez créer des sous-répertoires dans la mémoire flash ou sur une carte, mais vous ne pouvez le faire que si vous êtes
travaillant sur l'une des plates-formes les plus récentes.
Et obtenez ceci : la nouvelle interface du système de fichiers utilise des URL pour déterminer où se trouve un fichier. Donc
tout comme elles localisent des endroits sur le Web, les URL indiquent maintenant où se trouvent les fichiers sur votre routeur Cisco,
ou même sur un serveur de fichiers distant ! Il vous suffit de taper des URL directement dans vos commandes pour identifier où
le fichier ou le répertoire est. C'est vraiment aussi simple que cela : pour copier un fichier d'un endroit à un autre, vous n'avez qu'à
entrez la commande copy source-url destination-url —super ! Les URL IFS sont un peu différentes de ce que
vous y êtes habitué, et il existe un éventail de formats à utiliser qui varient selon l'endroit,
exactement, le fichier est que vous recherchez.
Nous allons utiliser les commandes Cisco IFS à peu près de la même manière que nous avons utilisé la copie
commande dans la section IOS plus tôt :
Pour sauvegarder l'IOS
Pour mettre à niveau l'IOS
Pour visualiser des fichiers texte
D'accord, avec tout cela en bas, jetons un coup d'œil aux commandes IFS courantes à notre disposition pour
gestion de l'IOS. Je vais bientôt entrer dans les fichiers de configuration, mais pour l'instant je vais vous aider à démarrer
en passant en revue les bases utilisées pour gérer le nouveau Cisco IOS.
dir Identiqueà Windows, cette commande permet de visualiser les fichiers dans un répertoire. Tapez dir , appuyez sur Entrée,
et par défaut, vous obtenez le contenu de la sortie du répertoire flash:/ .
copy Ils'agit d'une commande populaire, souvent utilisée pour mettre à niveau, restaurer ou sauvegarder un IOS. Mais comme je
dit, lorsque vous l'utilisez, il est vraiment important de se concentrer sur les détails : ce que vous copiez, où il se trouve
d'où il va atterrir.
more Identique à Unix, cela prendra un fichier texte et vous permettra de le regarder sur une carte. Vous pouvez l'utiliser pour
consultez votre fichier de configuration ou votre fichier de configuration de sauvegarde. J'y reviendrai plus quand nous
entrer dans la configuration réelle.
show file Cette

commande vous donnera le skinny sur un fichier ou un système de fichiers spécifié, mais c'est en quelque sorte
obscur parce que les gens ne l'utilisent pas beaucoup.
delete Trois suppositions—oui, ça supprime des trucs. Mais avec certains types de routeurs, pas aussi bien que vous le feriez
95
pense. C'est parce que même s'il frappe le fichier, il ne libère pas toujours l'espace qu'il était
à l'aide de. Pour récupérer réellement l'espace, vous devez également utiliser ce qu'on appelle la commande squeeze .
effacer/formater Utilisez-les
avec précaution—assurez-vous que lorsque vous copiez des fichiers, vous dites non au
dialogue qui vous demande si vous voulez effacer le système de fichiers ! Le type de mémoire que vous utilisez
détermine si vous pouvez annuler le lecteur flash ou non.
cd/pwd Identique
à Unix et DOS, cd est la commande que vous utilisez pour changer de répertoire. Utiliser le mot de passe
commande pour imprimer (afficher) le répertoire de travail.
mkdir/rmdir Utilisez
ces commandes sur certains routeurs et commutateurs pour créer et supprimer des répertoires
—la commande mkdir pour la création et la commande rmdir pour la suppression. Utiliser le cd et le pwd
commandes pour accéder à ces répertoires.
Cisco IFS utilise le terme alternatif system:running-config ainsi que
nvram:startup-config lors
de la copie des configurations sur un routeur, bien que ce ne soit pas
obligatoire que vous utilisiez cette convention de nommage.
Utilisation de Cisco IFS pour mettre à niveau un IOS
Jetons un coup d'œil à certaines de ces commandes Cisco IFS sur mon routeur ISR (série 1841) avec un
nom d'hôte de R1.
Nous allons commencer par la commande pwd pour vérifier notre répertoire par défaut, puis utiliser la commande dir pour
vérifier son contenu ( flash:/ ):
R1# mot de passe

éclat:
R1# dir
Répertoire de flash :/
1 -rw- 13937472 20 déc. 2006 19:58:18 +00:00 c1841-ipbase-
mz.124-1c.bin
2 -rw- 1821 20 décembre 2006 20:11:24 +00:00 sdmconfig-18xx.cfg
3 -rw- 4734464 20 déc. 2006 20:12:00 +00:00 sdm.tar
4 -rw- 833024 20 déc. 2006 20:12:24 +00:00 es.tar
5 -rw- 1052160 20 déc. 2006 20:12:50 +00:00 common.tar
6 -rw- 1038 20 déc. 2006 20:13:10 +00:00 home.shtml
7 -rw- 102400 20 déc. 2006 20:13:30 +00:00 home.tar
8 -rw- 491213 20 déc. 2006 20:13:56 +00:00 128MB.sdf
9 -rw- 1684577 20 déc. 2006 20:14:34 +00:00 secureesktop-
ios-3.1.1.27-k9.pkg
10 -rw- 398305 20 déc. 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg
32071680 octets au total (8818688 octets libres)
Ce que nous pouvons voir ici, c'est que nous avons l'IOS IP de base ( c1841-ipbase-mz.124-1c.bin ). On dirait que nous
besoin de mettre à niveau notre 1841. Vous devez juste aimer la façon dont Cisco met le type IOS dans le nom de fichier
maintenant! Tout d'abord, vérifions la taille du fichier qui est en flash avec la commande show file ( show flash
fonctionnerait aussi):
R1 # afficher les informations du fichier flash : c1841-ipbase-mz.124-1c.bin

flash : c1841-ipbase-mz.124-1c.bin :
le type est une image (elfe) []
la taille du fichier est de 13937472 octets, la taille d'exécution est de 14103140 octets
Image exécutable, point d'entrée 0x8000F000, exécuté à partir de la RAM
Avec un fichier de cette taille, l'IOS existant devra être effacé avant de pouvoir ajouter notre nouveau fichier IOS
( c1841-advipservicesk9-mz.124-12.bin ), soit plus de 21 Mo. Nous utiliserons la commande delete , mais
rappelez-vous, nous pouvons jouer avec n'importe quel fichier dans la mémoire flash et rien de grave ne se produira jusqu'à ce que nous
redémarrer, c'est-à-dire si nous avons fait une erreur. Alors évidemment, et comme je l'ai souligné plus tôt, nous devons être
très prudent ici!
R1# supprimer le flash : c1841-ipbase-mz.124-1c.bin

Supprimer le nom de fichier [c1841-ipbase-mz.124-1c.bin] ? [Entrer]
Supprimer flash : c1841-ipbase-mz.124-1c.bin ? [confirmer] [entrer]
96
R1# sh flash
1 1821 20 décembre 2006 20:11:24 +00:00 sdmconfig-18xx.cfg
2 4734464 20 déc. 2006 20:12:00 +00:00 sdm.tar
3 833024 20 déc. 2006 20:12:24 +00:00 es.tar
4 1052160 20 déc. 2006 20:12:50 +00:00 common.tar
5 1038 20 déc. 2006 20:13:10 +00:00 home.shtml
6 102400 20 déc. 2006 20:13:30 +00:00 home.tar
7 491213 20 déc. 2006 20:13:56 +00:00 128MB.sdf
8 1684577 20 déc. 2006 20:14:34 +00:00 secureesktop-ios-3.1.1.27-k9.pkg
9 398305 20 déc. 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg
Flash d'informations sur le fichier R1# sh : c1841-ipbase-mz.124-1c.bin
% Erreur lors de l'ouverture du flash : c1841-ipbase-mz.124-1c.bin (Fichier introuvable)
R1#
Donc avec les commandes précédentes, nous avons supprimé le fichier existant puis vérifié la suppression par
en utilisant à la fois les commandes show flash et show file . Nous allons ajouter le nouveau fichier avec la commande copy ,
mais encore une fois, nous devons nous assurer d'être prudents car cette façon n'est pas plus sûre que la première
méthode que je vous ai montré plus tôt:
R1# copier tftp://1.1.1.2/c1841-advipservicesk9-mz.124-12.bin/ flash :/

c1841-advipservicesk9-mz.124-12.bin
Nom du fichier source [/c1841-advipservicesk9-mz.124-12.bin/] ? [Entrer]
Nom du fichier de destination [c1841-advipservicesk9-mz.124-12.bin] ? [Entrer]
Chargement de /c1841-advipservicesk9-mz.124-12.bin/ depuis 1.1.1.2 (via
FastEthernet0/0) : !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[coupure de sortie]
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!
[OK - 22103052 octets]
R1# sh flash
1 1821 20 décembre 2006 20:11:24 +00:00 sdmconfig-18xx.cfg
2 4734464 20 déc. 2006 20:12:00 +00:00 sdm.tar
3 833024 20 déc. 2006 20:12:24 +00:00 es.tar
4 1052160 20 déc. 2006 20:12:50 +00:00 common.tar
5 1038 20 déc. 2006 20:13:10 +00:00 home.shtml
6 102400 20 déc. 2006 20:13:30 +00:00 home.tar
7 491213 20 déc. 2006 20:13:56 +00:00 128MB.sdf
8 1684577 20 déc. 2006 20:14:34 +00:00 secureesktop-ios-3.1.1.27-k9.pkg
9 398305 20 déc. 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg
10 22103052 10 mars 2007 19:40:50 +00:00 c1841-advipservicesk9-mz.124-12.bin
R1#
Nous pouvons également vérifier les informations du fichier avec la commande show file :
Flash d'informations sur le fichier R1# sh : c1841-advipservicesk9-mz.124-12.bin

flash : c1841-advipservicesk9-mz.124-12.bin :
le type est une image (elfe) []
la taille du fichier est de 22103052 octets, la taille d'exécution est de 22268736 octets
Image exécutable, point d'entrée 0x8000F000, exécuté à partir de la RAM
N'oubliez pas que l'IOS est étendu en RAM lorsque le routeur démarre, de sorte que le nouvel IOS ne fonctionnera pas
jusqu'à ce que vous rechargez le routeur.
Je recommande vraiment d'expérimenter les commandes Cisco IFS sur un routeur juste pour obtenir une bonne
ressentir pour eux parce que, comme je l'ai dit, ils peuvent certainement vous donner du chagrin s'ils ne sont pas exécutés
correctement!
Je mentionne souvent les « méthodes plus sûres » dans ce chapitre. Clairement, je me suis causé quelques
douleur grave en ne faisant pas assez attention lorsque l'on travaille en mémoire flash ! je ne peux pas insister là-dessus
assez - faites attention lorsque vous vous amusez avec la mémoire flash !
L'une des caractéristiques brillantes des routeurs ISR est qu'ils utilisent les cartes flash physiques qui sont
accessible depuis l'avant ou l'arrière de n'importe quel routeur. Ceux-ci ont généralement un nom comme usbflash0 :, donc pour
afficher le contenu, si vous tapez dir usbflash0: , par exemple. Vous pouvez retirer ces cartes flash, mettre
97
dans un emplacement approprié de votre PC, et la carte apparaîtra comme un lecteur. Vous pouvez ensuite ajouter,
modifier et supprimer des fichiers. Remettez simplement la carte flash dans votre routeur et allumez-le instantanément
améliorer. Joli!
Licence
L'octroi de licences IOS est désormais effectué de manière assez différente de ce qu'il était avec les versions précédentes de l'IOS.
En fait, il n'y avait pas de licence avant le nouveau code IOS 15.0, juste votre parole et votre honneur, et nous
ne peut que deviner en fonction de la façon dont tous les produits sont téléchargés quotidiennement sur Internet dans quelle mesure cela a
travaillé pour Cisco!
À partir du code IOS 15.0, les choses sont très différentes, presque trop différentes. je peux imaginer
que Cisco reviendra vers le milieu sur ses problèmes de licences, afin que l'administration et
la gestion ne sera pas aussi détaillée qu'elle ne l'est avec la nouvelle licence de code 15.0 ; mais tu peux être le
jugez-en après avoir lu cette section.
Un nouveau routeur ISR est pré-installé avec les images logicielles et les licences que vous avez commandées, afin que
tant que vous avez commandé et payé tout ce dont vous avez besoin, vous êtes prêt ! Sinon, vous pouvez simplement installer
une autre licence, ce qui peut être un peu fastidieux au début, assez pour que l'installation d'une licence soit faite
un objectif à l'examen Cisco ! Bien sûr, cela peut être fait, mais cela demande certainement un certain effort.
Comme c'est généralement le cas avec Cisco, si vous dépensez suffisamment d'argent pour leurs produits, ils ont tendance à vous faciliter la tâche.
sur vous et votre administration, et la licence pour le dernier IOS ne fait pas exception, car vous
bientôt voir.
Sur une note positive, Cisco fournit des licences d'évaluation pour la plupart des progiciels et fonctionnalités
qui sont pris en charge sur le matériel que vous avez acheté, et c'est toujours agréable de pouvoir l'essayer
avant d'acheter. Une fois la licence temporaire expirée après 60 jours, vous devez acquérir un
licence permanente afin de continuer à utiliser les fonctionnalités étendues qui ne sont pas disponibles dans votre
version actuelle. Cette méthode de licence vous permet de permettre à un routeur d'utiliser différentes parties de
l'IOS. Alors, que se passe-t-il après 60 jours ? Eh bien, rien, revenons au système d'honneur pour le moment. Cette
est maintenant appelé licence Right-To-Use (RTU) , et il ne sera probablement pas toujours disponible via votre
l'honneur, mais pour l'instant c'est le cas.
Mais ce n'est pas la meilleure partie des nouvelles fonctionnalités de licence. Avant la sortie du code 15.0, il
Il y avait huit ensembles de fonctionnalités logicielles différentes pour chaque type de routeur matériel. Avec le code IOS 15.0,
l'emballage est désormais appelé image universelle , ce qui signifie que tous les ensembles de fonctionnalités sont disponibles dans un seul fichier
avec toutes les fonctionnalités soigneusement emballées à l'intérieur. Donc, au lieu des packages de fichiers IOS antérieurs à 15.0 d'une image
par ensemble de fonctionnalités, Cisco ne crée désormais qu'une seule image universelle qui les inclut toutes dans le fichier.
Même ainsi, nous avons toujours besoin d'une image universelle différente par modèle ou série de routeur, mais pas d'une autre
image pour chaque ensemble de fonctionnalités comme nous l'avons fait avec les versions précédentes d'IOS.
Pour utiliser les fonctionnalités du logiciel IOS, vous devez les déverrouiller à l'aide du logiciel d'activation
traiter. Étant donné que toutes les fonctionnalités disponibles se trouvent déjà dans l'image universelle, vous pouvez simplement déverrouiller
les fonctionnalités dont vous avez besoin comme vous en avez besoin, et bien sûr payer pour ces fonctionnalités lorsque vous
déterminer qu'ils répondent aux exigences de votre entreprise. Tous les routeurs sont livrés avec quelque chose appelé
la licence IP Base, qui est la condition préalable à l'installation de toutes les autres fonctionnalités.
Il existe trois packages technologiques différents disponibles à l'achat qui peuvent être installés en tant que
des packs de fonctionnalités supplémentaires en plus de la base IP prérequise (par défaut), qui fournit des
Fonctionnalité IOS. Ceux-ci sont les suivants :
Données : prise en charge MPLS, ATM et multiprotocole
Communications unifiées : VoIP et téléphonie IP
Sécurité : pare-feu Cisco IOS, IPS, IPsec, 3DES et VPN
Par exemple, si vous avez besoin de MPLS et d'IPsec, vous aurez besoin de la base IP, des données et de la sécurité par défaut
forfaits premium débloqués sur votre routeur.
Pour obtenir la licence, vous aurez besoin de l'identifiant unique de l'appareil (UDI), qui comporte deux éléments :
l'ID du produit (PID) et le numéro de série du routeur. La commande show license UDI
Page 98
fournit ces informations dans une sortie comme indiqué :
Routeur# sh licence udi

PID de l'appareil n° SN UDI
-------------------------------------------------- -----------------------
*0 CISCO2901/K9 FTX1641Y07J CISCO2901/K9:FTX1641Y07J
Une fois la période d'évaluation de 60 jours expirée, vous pouvez soit obtenir la licence
du Cisco License Manager (CLM), qui est un processus automatisé, ou utilisez le manuel
via le portail d'enregistrement de licence de produit Cisco. Généralement, seules les grandes entreprises
utilisera le CLM parce que vous auriez besoin d'installer un logiciel sur un serveur, qui garde ensuite une trace de tous
vos licences pour vous. Si vous n'avez que quelques licences que vous utilisez, vous pouvez opter pour le web manuel
processus de navigateur trouvé sur le portail d'enregistrement de licence de produit Cisco, puis ajoutez simplement un
quelques commandes CLI. Après cela, vous gardez simplement une trace de la mise en place de toutes les différentes licences
fonctionnalités ensemble pour chaque appareil que vous gérez. Bien que cela ressemble à beaucoup de travail, vous ne
devez effectuer ces étapes souvent. Mais clairement, aller avec le CLM a beaucoup de sens si vous
avoir des tas de licences à gérer car il rassemblera tous les petits morceaux de licence pour
chaque routeur en un seul processus simple.
Lorsque vous achetez le progiciel avec les fonctionnalités que vous souhaitez installer, vous devez
activer en permanence le progiciel à l'aide de votre UDI et de la clé d'autorisation du produit
(PAK) que vous avez reçu avec votre achat. Il s'agit essentiellement de votre reçu attestant que
vous avez acheté la licence. Vous devez ensuite connecter la licence à un routeur particulier en
combinant le PAK et l'UDI, que vous faites en ligne lors de l'enregistrement de la licence de produit Cisco
portail ( www.cisco.com/go/license ). Si vous n'avez pas déjà enregistré la licence sur un autre
routeur, et il est valide, Cisco vous enverra alors par e-mail votre licence permanente, ou vous pouvez la télécharger
de votre compte.
Mais attendez! Vous n'avez toujours pas terminé. Vous devez maintenant activer la licence sur le routeur. Ouf...
ça vaut peut-être la peine d'installer le CLM sur un serveur après tout ! Rester avec la méthode manuelle,
vous devez mettre le nouveau fichier de licence à la disposition du routeur soit via un port USB sur le routeur
ou via un serveur TFTP. Une fois qu'il est disponible pour le routeur, vous utiliserez la licence d'installation
commande à partir du mode privilégié.
En supposant que vous ayez copié le fichier dans la mémoire flash, la commande ressemblerait à quelque chose
comme ça:
Installation de la licence du routeur # ?

archive : Installer à partir de l'archive : système de fichiers
flash : installer à partir de flash : système de fichiers
ftp : Installer à partir de ftp : système de fichiers
http : installer à partir du système de fichiers http :
https : installer à partir de https : système de fichiers
null : installer à partir de null : système de fichiers
nvram : installer à partir de nvram : système de fichiers
rcp : Installer à partir de rcp : système de fichiers
scp : installer à partir de scp : système de fichiers
syslog : Installer à partir de syslog : système de fichiers
système : installer à partir du système : système de fichiers
tftp : Installer à partir de tftp : système de fichiers
tmsys : Installer à partir de tmsys : système de fichiers
xmodem : installer à partir de xmodem : système de fichiers
ymodem : installer à partir de ymodem : système de fichiers
Flash d'installation de la licence du routeur # : FTX1628838P_201302111432454180.lic
Installation des licences à partir de "flash::FTX1628838P_201302111432454180.lic"
Installation... Fonctionnalité : datak9... Réussi : Pris en charge
1/1 licences ont été installées avec succès
0/1 licences étaient des licences existantes
Échec de l'installation des licences 0/1
12 avril 2:31:19.786 : %LICENSE-6-INSTALL : la fonctionnalité datak9 1.0 était
installé dans cet appareil. UDI=CISCO2901/K9:FTX1628838P; StoreIndex=1 : stockage de la licence principale
12 avril 2:31:20.078 : %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL : Nom du module =c2800 Prochain redémarrage

niveau = datak9 et Licence = datak9
Vous devez redémarrer pour que la nouvelle licence prenne effet. Maintenant que vous avez installé votre licence
et en cours d'exécution, comment utilisez-vous les licences Right-To-Use pour découvrir les nouvelles fonctionnalités de votre routeur ?
Regardons cela maintenant.
99
Licences de droit d'utilisation (licences d'évaluation)

Initialement appelées licences d'évaluation, les licences Right-To-Use (RTU) sont ce dont vous avez besoin lorsque vous
voulez mettre à jour votre IOS pour charger une nouvelle fonctionnalité mais ne voulez pas attendre pour obtenir la licence ou
Je veux juste tester si cette fonctionnalité répondra vraiment aux besoins de votre entreprise. C'est logique
car si Cisco compliquait le chargement et la vérification d'une fonctionnalité, ils pourraient potentiellement manquer
en solde ! Bien sûr, si la fonctionnalité fonctionne pour vous, ils voudront que vous achetiez un
licence, mais encore une fois, c'est sur le système d'honneur au moment d'écrire ces lignes.
Le modèle de licence de Cisco vous permet d'installer la fonctionnalité que vous souhaitez sans PAK. Le droit d'usage
La licence fonctionne pendant 60 jours avant que vous n'ayez besoin d'installer votre licence permanente. Pour activer le
Licence Right-To-Use, vous utiliseriez la commande license boot module . Ce qui suit
illustre le démarrage de la licence Right-To-Use sur mon routeur de la série 2900, activant la sécurité
module nommé securityk9 :
Router(config)# license boot module c2900 technology-package securityk9

VEUILLEZ LIRE ATTENTIVEMENT LES CONDITIONS SUIVANTES. INSTALLER LA LICENCE OU LA CLÉ DE LICENCE FOURNIE POUR TOUT
CARACTÉRISTIQUE DU PRODUIT CISCO OU UTILISATION
UNE TELLE CARACTÉRISTIQUE DU PRODUIT CONSTITUE VOTRE PLEINE ACCEPTATION DU
CONDITIONS SUIVANTES. VOUS NE DEVEZ PAS ALLER PLUS LOIN SI VOUS NE VOULEZ PAS
ÊTRE LIÉ PAR TOUTES LES CONDITIONS ÉNONCÉES DANS LES PRÉSENTES.
[coupure de sortie]
L'activation de l'interface de ligne de commande du logiciel sera la preuve de
votre acceptation de cet accord.
J'ACCEPTE? [oui/non] : oui
% utilise la commande 'write' pour que la configuration de démarrage de la licence prenne effet au prochain démarrage
12 février 01:35:45.060 : %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL :
Nom du module =c2900 Niveau de redémarrage suivant = securityk9 et Licence = securityk9
12 février 01:35:45.524 : %LICENSE-6-EULA_ACCEPTED : CLUF pour la fonctionnalité

securityk9 1.0 a été accepté. UDI=CISCO2901/K9:FTX1628838P; StoreIndex=0:Licence intégrée
Espace de rangement
Une fois le routeur rechargé, vous pouvez utiliser l'ensemble de fonctions de sécurité. Et c'est vraiment bien que tu
n'avez pas besoin de recharger à nouveau le routeur si vous choisissez d'installer une licence permanente pour cette fonctionnalité.
La commande show license affiche les licences installées sur le routeur :
Routeur# show license

Indice 1 Fonctionnalité : ipbasek9
Période restante : Durée de vie
Type de licence : permanente
État de la licence : actif, en cours d'utilisation
Nombre de licences : non compté
Priorité de la licence : moyenne
Indice 2 Fonctionnalité : securityk9
Période restante : 8 semaines 2 jours
Période utilisée : 0 minute 0 seconde
Type de licence : EvalRightToUse
Priorité de la licence : aucune
Indice 3 Fonctionnalité : uck9
Période restante : Durée de vie
Type de licence : permanente
Priorité de la licence : moyenne
Indice 4 Fonctionnalité : datak9
Période restante : Non activé
Période utilisée : 0 minute 0 seconde
Type de licence : EvalRightToUse
État de la licence : non utilisé, CLUF non accepté
Priorité de la licence : aucune
Indice 5 Fonctionnalité : garde-porte
[coupure de sortie]
Vous pouvez voir dans la sortie précédente que l' ipbasek9 est permanent et que le securityk9 a une licence
type de EvalRightToUse . La commande show license feature fournit les mêmes informations que show
license , mais il est résumé en une seule ligne comme indiqué dans la sortie suivante :
100
Fonctionnalité de licence du routeur# sh

Nom de la fonctionnalité Enforcement Evaluation Abonnement activé RightToUse
ipbasek9 non non non Oui Non
sécuriték9 Oui Oui non non Oui
uck9 Oui Oui non Oui oui
datak9 Oui Oui non non Oui
portier Oui Oui non non Oui
SSL_VPN Oui Oui non non Oui
ios-ips-update oui Oui Oui non Oui
SNASw Oui Oui non non Oui
hseck9 Oui non non non non
cme-srst Oui Oui non Oui oui
WAAS_Express Oui Oui non non Oui
UCVidéo Oui Oui non non Oui
La commande show version affiche également les informations de licence à la fin de la sortie de la commande :
Routeur# afficher la version

[coupure de sortie]
Informations sur la licence :
Licence UDI :
-------------------------------------------------
PID de l'appareil n° SN
-------------------------------------------------
*0 CISCO2901/K9 FTX1641Y07J
Informations sur la licence du package technologique pour le module : 'c2900'
-------------------------------------------------- ---------------
Technologie Pack technologique Pack technologique
Type de courant Redémarrage suivant
-------------------------------------------------- ----------------
ipbase ipbasek9 permanent ipbasek9
sécurité Aucun Rien Rien
uc uck9 uck permanent9
Les données Rien Rien Rien
Le registre de configuration est 0x2102
La commande show version indique si la licence a été activée. N'oubliez pas, vous devrez recharger
le routeur pour que les fonctionnalités de licence prennent effet si l'évaluation de la licence n'est pas déjà active.
Sauvegarde et désinstallation de la licence

Il serait dommage de perdre votre licence si elle a été stockée en flash et que vos fichiers flash deviennent
corrompu. Alors sauvegardez toujours votre licence IOS !
Si votre licence a été enregistrée dans un emplacement autre que Flash, vous pouvez facilement la sauvegarder dans Flash
mémoire via la commande license save :
Router# license save flash:Todd_License.lic
La commande précédente enregistrera votre licence actuelle dans la mémoire flash. Vous pouvez restaurer votre licence avec
la commande d' installation de licence que j'ai démontrée plus tôt.
Il y a deux étapes pour désinstaller la licence sur un routeur. Tout d'abord, pour désinstaller la licence dont vous avez besoin
pour désactiver le package technologique, à l'aide de la commande no license boot module avec le mot-clé
désactiver à la fin de la ligne de commande :
Module de démarrage de licence du routeur # c2900 pack technologique securityk9 désactiver
La deuxième étape consiste à effacer la licence. Pour y parvenir depuis le routeur, utilisez la licence clear
puis supprimez la licence avec la commande no license boot module :
Routeur # licence effacer securityk9

Routeur# config t
Router(config)# no license boot module c2900 technology-pack securityk9 disable
Routeur(config)# exit
Routeur# recharger
Après avoir exécuté les commandes précédentes, la licence sera supprimée de votre routeur.
101
Voici un résumé des commandes de licence que j'ai utilisées dans ce chapitre. Ceux-ci sont importants
commandes à avoir vers le bas et vous devez vraiment les comprendre pour atteindre les objectifs de Cisco :
show license détermineles licences actives sur votre système. Il affiche également un groupe de
lignes pour chaque fonctionnalité de l'image IOS en cours d'exécution avec plusieurs variables d'état
liés à l'activation du logiciel et à l'octroi de licences, à la fois aux fonctionnalités sous licence et sans licence.
show license feature vous

permet d'afficher les licences de packages technologiques et les licences de fonctionnalités
qui sont pris en charge sur votre routeur ainsi que plusieurs variables d'état liées au logiciel
d'activation et de licence. Cela inclut à la fois les fonctionnalités sous licence et sans licence.
show license udi affiche

l'identifiant de périphérique unique (UDI) du routeur, qui comprend le
ID de produit (PID) et numéro de série du routeur.
show version affichediverses informations sur la version actuelle de l'IOS, y compris

les détails de la licence à la fin de la sortie de la commande.
license install url installe un fichier de clé de licence dans un routeur.
Le module de démarrage de licence installe une fonction de licence de droit d'utilisation sur un routeur.
Pour vous aider à organiser un grand nombre de licences, recherchez sur Cisco.com le Cisco
Gestionnaire de logiciels intelligent. Cette page Web vous permet de gérer toutes vos licences à partir d'un seul
site web centralisé. Avec Cisco Smart Software Manager, vous organisez et visualisez votre
licences dans des groupes appelés comptes virtuels , qui sont des collections de licences et
instances de produit.
Sommaire
Vous savez maintenant comment les routeurs Cisco sont configurés et comment gérer ces configurations.
Ce chapitre a couvert les composants internes d'un routeur, qui comprenaient la ROM, la RAM, la NVRAM,
et flash.
De plus, j'ai expliqué ce qui se passe lorsqu'un routeur démarre et quels fichiers sont chargés à ce moment-là.
Le registre de configuration indique au routeur comment démarrer et où trouver les fichiers. Tu as appris comment
pour modifier et vérifier les paramètres du registre de configuration à des fins de récupération de mot de passe. moi aussi
vous a montré comment gérer ces fichiers à l'aide de la CLI et de l'IFS.
Enfin, le chapitre couvrait les licences avec le nouveau code 15.0, y compris comment installer un
licence permanente et une licence Right-To-Use pour installer des fonctionnalités pendant 60 jours. je t'ai aussi montré
les commandes de vérification utilisées pour voir quelles licences sont installées et pour vérifier leur statut.
Définissez les composants du routeur Cisco. Décrire les fonctions du bootstrap, POST, ROM
moniteur, mini-IOS, RAM, ROM, mémoire flash, NVRAM et le registre de configuration.
Identifiez les étapes de la séquence de démarrage du routeur. Les étapes de la séquence de démarrage sont POST,
chargement de l'IOS et copie de la configuration de démarrage de la NVRAM vers la RAM.
Comprendre les commandes et les paramètres du registre de configuration. Le paramètre 0x2102 est le
par défaut sur tous les routeurs Cisco et indique au routeur de rechercher la séquence de démarrage dans la NVRAM. 0x2101
indique au routeur de démarrer à partir de la ROM et 0x2142 indique au routeur de ne pas charger la configuration de démarrage dans
NVRAM pour fournir la récupération de mot de passe.
Effectuez la récupération du mot de passe. Les étapes du processus de récupération du mot de passe interrompent le
séquence de démarrage du routeur, modifiez le registre de configuration, rechargez le routeur et entrez privilégié
mode, copiez le fichier startup-config dans running-config et vérifiez que vos interfaces sont re-
activé, modifier/définir le mot de passe, enregistrer la nouvelle configuration, réinitialiser le registre de configuration,
102
et rechargez le routeur.
Sauvegardez une image IOS. En utilisant la commande en mode privilégié copy flash tftp , vous pouvez sauvegarder
un fichier de la mémoire flash vers un serveur TFTP (réseau).
Restaurez ou mettez à niveau une image IOS. En utilisant la commande en mode privilégié copy tftp flash ,
vous pouvez restaurer ou mettre à niveau un fichier d'un serveur TFTP (réseau) vers la mémoire flash.
Décrire les meilleures pratiques pour préparer la sauvegarde d'une image IOS sur un serveur réseau.
Assurez-vous que vous pouvez accéder au serveur réseau, assurez-vous que le serveur réseau dispose
l'espace pour l'image de code et vérifiez l'exigence de nom de fichier et de chemin d'accès.
Comprendre et utiliser les commandes de gestion du système de fichiers Cisco IFS. Les commandes
à utiliser sont dir , copier , plus , supprimer , effacer ou formater , cd et pwd , et mkdir et rmdir , ainsi que
system:running-config et nvram:startup-config .
N'oubliez pas comment installer une licence permanente et de droit d'utilisation. Pour installer un
licence permanente sur un routeur, utilisez la commande install license url . Pour installer une évaluation
fonction, utilisez la commande license boot module .
N'oubliez pas les commandes de vérification utilisées pour les licences dans le nouvel ISR G2
routeurs. La commande show license détermine les licences actives sur votre système. Les
La commande show license feature vous
permet d'afficher les licences et la fonctionnalité du package technologique
licences prises en charge par votre routeur. La commande show license udi affiche l'unique
l'identifiant de l'appareil (UDI) du routeur, qui comprend l'ID du produit (PID) et le numéro de série de
le routeur, et la commande show version affiche des informations sur la version actuelle de l'IOS,
y compris les détails de la licence à la fin de la sortie de la commande.
Laboratoire écrit 8
Vous pouvez trouver les réponses à ces ateliers dans l'annexe A, « Réponses aux ateliers écrits ».
Atelier 8.1 : Gestion de l'IOS
Travaux pratiques écrits 8.1 : Gestion IOS

1. Quelle est la commande pour copier un Cisco IOS sur un serveur TFTP ?
2. Sur quoi définissez-vous le paramètre de registre de configuration afin de démarrer le mini-IOS en ROM ?
3. Quel est le paramètre du registre de configuration pour dire au routeur de rechercher dans la NVRAM le démarrage
séquence?
4. Sur quoi définissez-vous le paramètre de registre de configuration pour démarrer en mode moniteur ROM ?
5. Qu'est-ce qui est utilisé avec un PAK pour générer un fichier de licence ?
6. Quel est le paramètre du registre de configuration pour la récupération du mot de passe ?
7. Quelle commande peut changer l'emplacement à partir duquel le système charge l'IOS ?
8. Quelle est la première étape de la séquence de démarrage du routeur ?
9. Quelle commande pouvez-vous utiliser pour mettre à niveau un Cisco IOS ?
10. Quelle commande détermine les licences actives sur votre système ?
Pour effectuer les travaux pratiques de cette section, vous avez besoin d'au moins un routeur (trois serait le mieux) et à
au moins un PC fonctionnant en tant que serveur TFTP. Le logiciel du serveur TFTP doit être installé et exécuté sur
103
le PC. Pour ces travaux pratiques, il est également supposé que votre PC et le(s) routeur(s) sont connectés ensemble
avec un commutateur ou un concentrateur et que toutes les interfaces (interfaces NIC PC et routeur) se trouvent dans le même sous-réseau.
Vous pouvez alternativement connecter le PC directement au routeur ou connecter les routeurs directement à un
un autre (utilisez un câble croisé dans ce cas). N'oubliez pas que les laboratoires répertoriés ici ont été créés pour
utiliser avec de vrais routeurs mais peut facilement être utilisé avec la version LammleSim IOS (trouvée sur
www.lammle.com/ccna ) ou le programme Packet Tracer de Cisco.
Atelier 8.1 : Sauvegarder l'IOS de votre routeur
Atelier 8.2 : Mise à niveau ou restauration de l'IOS de votre routeur
Travaux pratiques 8.1 : Sauvegarder l'IOS de votre routeur

Dans ce laboratoire, nous allons sauvegarder l'IOS de la mémoire flash vers un hôte TFTP.
2. Assurez-vous que vous pouvez vous connecter au serveur TFTP qui est sur votre réseau en pingant l'IP
adresse de la console du routeur.
3. Tapez show flash pour voir le contenu de la mémoire flash.
4. Tapez show version à l'invite du mode privilégié du routeur pour obtenir le nom de l'IOS actuellement
fonctionnant sur le routeur. S'il n'y a qu'un seul fichier dans la mémoire flash, le show flash et la version show
les commandes affichent le même fichier. N'oubliez pas que la commande show version vous montre le fichier
qui est en cours d'exécution et la commande show flash vous montre tous les fichiers en flash
Mémoire.
5. Une fois que vous savez que vous avez une bonne connectivité Ethernet au serveur TFTP et que vous savez également
le nom de fichier IOS, sauvegardez votre IOS en tapant copy flash tftp . Cette commande indique au routeur
pour copier un fichier spécifié de la mémoire flash (c'est là que l'IOS est stocké par défaut) vers un
Serveur TFTP.
6. Saisissez l'adresse IP du serveur TFTP et le nom de fichier IOS source. Le fichier est maintenant copié
et stocké dans le répertoire par défaut du serveur TFTP.
Travaux pratiques 8.2 : Mise à niveau ou restauration de l'IOS de votre routeur

Dans cet atelier, nous allons copier un IOS d'un hôte TFTP vers la mémoire flash.
2. Assurez-vous que vous pouvez vous connecter au serveur TFTP en pingant l'adresse IP du serveur à partir de
la console du routeur.
3. Une fois que vous savez que vous avez une bonne connectivité Ethernet au serveur TFTP, tapez la copie tftp
commande flash .
4. Confirmez que le routeur ne fonctionnera pas pendant la restauration ou la mise à niveau en suivant les
invites fournies sur la console du routeur. Il est possible que cette invite ne se produise pas.
5. Saisissez l'adresse IP du serveur TFTP.
6. Entrez le nom du fichier IOS que vous souhaitez restaurer ou mettre à niveau.
7. Confirmez que vous comprenez que le contenu de la mémoire flash sera effacé s'il n'y a pas
suffisamment de place dans le flash pour stocker la nouvelle image.
8. Regardez avec étonnement votre IOS supprimé de la mémoire flash et votre nouvel IOS copié
à la mémoire flash.
Si le fichier qui était dans la mémoire flash est supprimé mais que la nouvelle version n'a pas été copiée dans la mémoire flash,
le routeur démarrera à partir du mode moniteur ROM. Vous devrez comprendre pourquoi l'opération de copie
n'a pas eu lieu.
104
1. Que fournit la commande confreg 0x2142 ?
A. Il est utilisé pour redémarrer le routeur.
B. Il est utilisé pour contourner la configuration dans la NVRAM.
C. Il est utilisé pour entrer en mode moniteur ROM.
D. Il est utilisé pour afficher le mot de passe perdu.
2. Quelle commande copiera l'IOS sur un hôte de sauvegarde sur votre réseau ?
A. transférer l'IOS vers 172.16.10.1
B. début de l'exécution de la copie
C. copier tftp flash
D. copier démarrer tftp
E. copie flash tftp
3. Quelle commande permet d'installer définitivement une licence sur un routeur ISR2 ?
A. installer la licence
B. installation de la licence
C. licence du système de démarrage
D. module de licence de démarrage
4. Vous tapez ce qui suit dans le routeur et rechargez. Que fera le routeur ?
Routeur(config)# boot système flash c2800nm-advsecurityk9-mz.151-4.M6.bin

Routeur(config)# config-register 0x2101
Router(config)# do sh ver
[coupure de sortie]
Le registre de configuration est 0x2102 (sera 0x2101 au prochain rechargement)
A. Le routeur étendra et exécutera l' IOS c2800nm-advsecurityk9-mz.151-4.M6.bin à partir du flash

Mémoire.
B. Le routeur passera en mode configuration.
C. Le routeur chargera le mini-IOS à partir de la ROM.
D. Le routeur entrera en mode moniteur ROM.
5. Un administrateur réseau souhaite mettre à niveau l'IOS d'un routeur sans supprimer l'image
actuellement installé. Quelle commande affichera la quantité de mémoire consommée par le
l'image IOS actuelle et indiquer s'il y a suffisamment d'espace disponible pour contenir à la fois le
images actuelles et nouvelles ?
B. montrer le flash
C. montrer la mémoire
D. afficher les tampons
105
E. show running-config
6. Le siège social vous envoie un nouveau routeur pour vous connecter, mais lors de la connexion de la console
câble, vous voyez qu'il y a déjà une configuration sur le routeur. Que faut-il faire avant
une nouvelle configuration est entrée dans le routeur ?
A. La RAM doit être effacée et le routeur redémarré.
B. Flash doit être effacé et le routeur redémarré.
C. La NVRAM doit être effacée et le routeur redémarré.
D. La nouvelle configuration doit être saisie et enregistrée.
7. Quelle commande charge une nouvelle version de Cisco IOS dans un routeur ?
A. copie flash ftp
B. copier nvram flash
C. copie flash tftp
D. copier tftp flash
8. Quelle commande vous montrera la version IOS en cours d'exécution sur votre routeur ?
A. sh IOS
B. sh flash
C. version sh
D. protocoles sh
9. Quelle doit être la valeur du registre de configuration une fois que vous avez terminé avec succès le mot de passe
procédure de récupération et remettre le routeur en fonctionnement normal ?
A. 0x2100
B. 0x2101
C. 0x2102
D. 0x2142
10. Vous enregistrez la configuration sur un routeur avec le démarrage-config copy running-config commande
et redémarrez le routeur. Le routeur, cependant, propose une configuration vierge. Ce qui peut
le problème est-il ?
A. Vous n'avez pas démarré le routeur avec la bonne commande.
B. La NVRAM est corrompue.
C. Le réglage du registre de configuration est incorrect.
D. L'IOS nouvellement mis à niveau n'est pas compatible avec le matériel du routeur.
E. La configuration que vous avez enregistrée n'est pas compatible avec le matériel.
11. Quelle commande installera une licence Right-To-Use afin que vous puissiez utiliser une version d'évaluation d'un
caractéristique?
A. installer la fonctionnalité de licence de droit d'utilisation
B. installer la fonctionnalité temporaire
C. fonction d'installation de licence
D. module de démarrage de licence
12. Quelle commande détermine les licences actives sur votre système ainsi que plusieurs
variables d'état ?
A. licence d'exposition
106
B. afficher la fonction de licence
C. montrer la licence udi
D. afficher la version
13. Quelle commande vous permet d'afficher les licences de packages technologiques et les licences de fonctionnalités qui
sont pris en charge sur votre routeur avec plusieurs variables d'état ?
14. Quelle commande affiche l'identifiant unique de l'appareil qui comprend l'ID du produit et
numéro de série du routeur ?
15. Quelle commande affiche diverses informations sur la version actuelle de l'IOS,
y compris les détails de la licence à la fin de la sortie de la commande ?
16. Quelle commande sauvegarde votre licence sur la mémoire flash ?
A. copier tftp flash
B. enregistrer la licence flash
C. licence enregistrer flash
D. copier la licence flash
17. Quelle commande affiche le paramètre du registre de configuration ?
A. afficher l'itinéraire IP
B. afficher la version de démarrage
C. afficher la version
D. montrer le flash
18. Quelles sont les deux étapes nécessaires pour supprimer une licence d'un routeur ? (Choisissez deux.)
A. Utilisez la commande d' effacement flash:license .
B. Rechargez le système.
C. Utilisez la commande license boot avec la variable disable à la fin de la ligne de commande.
D. Effacez la licence avec la commande license clear .
19. Votre ordinateur portable est directement connecté au port Ethernet d'un routeur. Lequel des suivants
font partie des conditions requises pour que la commande copy flash tftp réussisse ? (Choisir
Trois.)
A. Le logiciel du serveur TFTP doit être exécuté sur le routeur.
B. Le logiciel serveur TFTP doit être exécuté sur votre ordinateur portable.
107
C. Le câble Ethernet reliant l'ordinateur portable directement au port Ethernet du routeur doit être
un câble droit.
D. L'ordinateur portable doit se trouver sur le même sous-réseau que l'interface Ethernet du routeur.
E. La commande copy flash tftp doit être fournie avec l'adresse IP de l'ordinateur portable.
F. Il doit y avoir suffisamment d'espace dans la mémoire flash du routeur pour accueillir le fichier à
être copié.
20. Le paramètre de registre de configuration de 0x2102 fournit quelle fonction à un routeur ?
A. Indique au routeur de démarrer en mode moniteur ROM
B. Fournit la récupération de mot de passe
C. Indique au routeur de rechercher dans la NVRAM la séquence de démarrage
D. Démarre l'IOS à partir d'un serveur TFTP
E. Démarre une image IOS stockée dans la ROM

108
Chapitre 9
Routage IP

chapitre:
3.0 Technologies de routage
3.1 Décrire les concepts de routage
3.1.a Traitement des paquets le long du chemin à travers un réseau
3.1.b Décision de transfert basée sur la recherche de route
3.1.c Réécriture de trame
3.2 Interpréter les composants de la table de routage
3.2.a Préfixe
3.2.b Masque de réseau
3.2.c Saut suivant
3.2.d Code de protocole de routage
3.2.e Distance administrative
3.2.f Métrique
3.2.g Passerelle de dernier recours
3.3 Décrire comment une table de routage est remplie par différentes sources d'informations de routage
3.3.a Distance administrative
3.5 Comparer et contraster le routage statique et le routage dynamique
3.6 Configurer, vérifier et dépanner le routage statique IPv4 et IPv6
3.6.a Route par défaut
3.6.b Parcours réseau
3.6.c Route de l'hôte
3.6.d Flottant statique
3.7 Configurer, vérifier et dépanner RIPv2 pour IPv4 (hors authentification,

filtrage, récapitulation manuelle, redistribution)
Il est temps maintenant de nous concentrer sur le thème central de la

Page 109
processus de routage IP omniprésent. Il fait partie intégrante de la mise en réseau car il concerne tous les routeurs et
configurations qui l'utilisent, qui se taille facilement la part du lion. Le routage IP est essentiellement le processus de
déplacer des paquets d'un réseau à un autre réseau à l'aide de routeurs. Et par routeurs, je veux dire
Les routeurs Cisco, bien sûr ! Cependant, les termes routeur et périphérique de couche 3 sont interchangeables, et
tout au long de ce chapitre, lorsque j'utilise le terme routeur , je fais référence à n'importe quel périphérique de couche 3.
Avant d'entrer dans ce chapitre, je veux m'assurer que vous comprenez la différence entre un
protocole de routage et un protocole routé . Les routeurs utilisent des protocoles de routage pour trouver dynamiquement tous
réseaux au sein du plus grand interréseau et pour s'assurer que tous les routeurs ont le même routage
table. Les protocoles de routage sont également utilisés pour déterminer le meilleur chemin qu'un paquet doit emprunter
via un interréseau pour atteindre sa destination le plus efficacement possible. RIP, RIPv2, EIGRP et OSPF
sont d'excellents exemples des protocoles de routage les plus courants.
Une fois que tous les routeurs connaissent tous les réseaux, un protocole routé peut être utilisé pour envoyer des données utilisateur
(paquets) par l'intermédiaire de l'entreprise établie. Les protocoles routés sont affectés à une interface et
déterminer la méthode de livraison des paquets. IP et IPv6 sont des exemples de protocoles routés.
Je suis assez convaincu que je n'ai pas à souligner à quel point il est crucial pour vous d'avoir ce chapitre
matériel jusqu'à un niveau presque instinctif. Le routage IP est intrinsèquement ce que font les routeurs Cisco, et ils
le faire très bien, il est donc essentiel de bien comprendre les principes fondamentaux et les bases de ce sujet si vous
voulez exceller pendant l'examen et dans un environnement de réseautage réel également !
Dans ce chapitre, je vais vous montrer comment configurer et vérifier le routage IP avec les routeurs Cisco
et vous guide à travers ces cinq sujets clés :
Bases du routage
Le processus de routage IP
Routage statique
Routage par défaut
Routage dynamique
Je veux commencer par définir les bases de la façon dont les paquets se déplacent réellement à travers un interréseau,
Alors, commençons!
Notions de base sur le routage

Une fois que vous avez créé un interréseau en connectant vos WAN et LAN à un routeur, vous devez
configurer les adresses réseau logiques, comme les adresses IP, à tous les hôtes de cet interréseau pour eux
pour communiquer avec succès tout au long de celui-ci.
Le terme routage fait référence au fait de prendre un paquet d'un appareil et de l'envoyer via le réseau à
un autre appareil sur un autre réseau. Les routeurs ne se soucient pas vraiment des hôtes, ils ne se soucient que
sur les réseaux et le meilleur chemin vers chacun d'eux. L'adresse réseau logique du
L'hôte de destination est la clé pour obtenir des paquets via un réseau routé. C'est l'adresse matérielle de
l'hôte qui est utilisé pour livrer le paquet d'un routeur et s'assurer qu'il arrive au bon
hôte de destination.
Le routage n'est pas pertinent si votre réseau n'a pas de routeurs car leur travail consiste à acheminer le trafic vers tous les
réseaux dans votre interréseau, mais c'est rarement le cas ! Voici donc une liste importante des
facteurs minimaux qu'un routeur doit connaître pour pouvoir acheminer efficacement les paquets :
Adresse de destination
Routeurs voisins à partir desquels il peut se renseigner sur les réseaux distants
Page 110
Routes possibles vers tous les réseaux distants
Le meilleur itinéraire vers chaque réseau distant
Comment gérer et vérifier les informations de routage
Le routeur apprend les réseaux distants à partir des routeurs voisins ou d'un administrateur.
Le routeur construit ensuite une table de routage, qui est essentiellement une carte de l'interréseau, et il
décrit comment trouver des réseaux distants. Si un réseau est directement connecté, le routeur
sait déjà comment y accéder.
Mais si un réseau n'est pas directement connecté au routeur, le routeur doit utiliser l'une des deux manières suivantes pour
Découvrez comment accéder au réseau distant. La méthode de routage statique nécessite que quelqu'un
tapez tous les emplacements réseau dans la table de routage, ce qui peut être une tâche assez intimidante lorsqu'il est utilisé
sur tous les réseaux sauf le plus petit !
Inversement, lorsque le routage dynamique est utilisé, un protocole sur un routeur communique avec le
même protocole s'exécutant sur les routeurs voisins. Les routeurs se mettent ensuite à jour sur tous les
réseaux qu'ils connaissent et placent ces informations dans la table de routage. Si un changement survient dans
le réseau, les protocoles de routage dynamique informent automatiquement tous les routeurs de l'événement. Si
le routage statique est utilisé, l'administrateur est responsable de la mise à jour manuelle de toutes les modifications sur tous
routeurs. La plupart des gens utilisent généralement une combinaison de routage dynamique et statique pour administrer un
grand réseau.
Avant de nous lancer dans le processus de routage IP, examinons un exemple très simple qui
montre comment un routeur utilise la table de routage pour acheminer les paquets hors d'une interface. Bien être
bientôt une étude plus détaillée du processus, mais je veux vous montrer quelque chose qui s'appelle le
« règle de correspondance la plus longue » en premier. Avec lui, IP va scanner une table de routage pour trouver la correspondance la plus longue comme
par rapport à l'adresse de destination d'un paquet. Jetons un coup d'œil à la figure 9.1 pour obtenir une image de
ce processus.
Page 111
FIGURE 9.1 Un exemple de routage simple
La figure 9.1 montre un réseau simple. Lab_A a quatre interfaces. Pouvez-vous voir quelle interface sera
utilisé pour transmettre un datagramme IP à un hôte avec une adresse IP de destination de 10.10.10.30 ?
En utilisant la commande show ip route sur un routeur, on peut voir la table de routage (carte du
interréseau) que Lab_A a utilisé pour prendre ses décisions de transfert :
Lab_A# itinéraire de livraison
Codes : L - local, C - connecté, S - statique,
[coupure de sortie]
10.0.0.0/8 est en sous-réseaux variable, 6 sous-réseaux, 4 masques
C 10.0.0.0/8 est directement connecté, FastEthernet0/3
L 10.0.0.1/32 est directement connecté, FastEthernet0/3
S* 0.0.0.0/0 est directement connecté, FastEthernet0/0
Le C dans la sortie de la table de routage signifie que les réseaux répertoriés sont « directement connectés » et
jusqu'à ce que nous ajoutions un protocole de routage tel que RIPv2, OSPF, etc. aux routeurs de notre interréseau, ou que nous saisissions
routes statiques, seuls les réseaux directement connectés apparaîtront dans notre table de routage. Mais attendez, quoi
à propos de ce L dans la table de routage, c'est nouveau, n'est-ce pas ? Oui, car dans le nouveau Cisco IOS 15
code, Cisco définit une route différente, appelée route hôte locale. Chaque route locale a un préfixe /32,
définir un itinéraire uniquement pour une seule adresse. Ainsi, dans cet exemple, le routeur s'est appuyé sur ces
routes qui répertorient leurs propres adresses IP locales pour transférer plus efficacement les paquets vers le routeur
lui-même.
Revenons donc à la question initiale : En regardant la figure et la sortie du routage

tableau, pouvez-vous déterminer ce que l'IP fera avec un paquet reçu qui a une adresse IP de destination
112
du 10.10.10.30 ? La réponse est que le routeur va commuter le paquet vers l'interface

FastEthernet 0/1, qui encadrera le paquet puis l'enverra sur le segment de réseau. Cette
est appelée réécriture de trame. Sur la base de la règle de correspondance la plus longue, IP rechercherait
10.10.10.30, et si cela ne se trouve pas dans le tableau, alors IP recherchera 10.10.10.0, puis
10.10.0.0, et ainsi de suite jusqu'à ce qu'un itinéraire soit découvert.
Voici un autre exemple : sur la base de la sortie de la table de routage suivante, quelle interface sera
paquet avec une adresse de destination de 10.10.10.14 à partir de ?
Lab_A# itinéraire de livraison

[coupure de sortie]
La passerelle de dernier recours n'est pas définie
C 10.10.10.0/30 est directement connecté, série 0/0
L 10.10.10.1/32 est directement connecté, Serial0/0
Pour comprendre cela, examinez attentivement la sortie jusqu'à ce que vous voyiez que le réseau est en sous-réseau et que chaque
l'interface a un masque différent. Et je dois vous dire que vous ne pouvez tout simplement pas répondre à cette question si vous
ne peut pas créer de sous-réseau ! 10.10.10.14 serait un hôte dans le sous-réseau 10.10.10.8/29 qui est connecté au
Interface FastEthernet0/1. Ne paniquez pas si vous avez du mal et ne comprenez pas ça ! A la place, vas-y
Revenez en arrière et relisez le chapitre 4, « Easy Subnetting », jusqu'à ce que cela devienne clair pour vous.
Le processus de routage IP
Le processus de routage IP est assez simple et ne change pas, quelle que soit la taille de votre réseau.
Pour un bon exemple de ce fait, j'utiliserai la figure 9.2 pour décrire étape par étape ce qui se passe lorsque
L'hôte A souhaite communiquer avec l'hôte B sur un autre réseau.
FIGURE 9.2 Exemple de routage IP utilisant deux hôtes et un routeur
Dans la figure 9.2, un utilisateur sur Host_A a envoyé un ping à l'adresse IP de Host_B. Le routage n'est pas plus simple que
ceci, mais cela implique encore beaucoup d'étapes, alors passons en revue maintenant :
1. Internet Control Message Protocol (ICMP) crée une charge utile de demande d'écho, qui est simplement
l'alphabet dans le champ de données.
2. ICMP transmet cette charge utile au protocole Internet (IP), qui crée ensuite un paquet. À
minimum, ce paquet contient une adresse IP source, une adresse IP de destination et un
Champ de protocole avec 01h. N'oubliez pas que Cisco aime utiliser 0x devant les caractères hexadécimaux, donc
cela pourrait aussi ressembler à 0x01. Cela indique à l'hôte destinataire à qui il doit remettre le
charge utile lorsque la destination est atteinte, dans cet exemple, ICMP.
3. Une fois le paquet créé, IP détermine si l'adresse IP de destination est sur le

réseau ou distant.
4. Étant donné qu'IP a déterminé qu'il s'agit d'une demande distante, le paquet doit être envoyé à la valeur par défaut
passerelle afin qu'il puisse être acheminé vers le réseau distant. Le registre de Windows est analysé pour trouver
la passerelle par défaut configurée.
Page 113
5. La passerelle par défaut de Host_A est configurée sur 172.16.10.1. Pour que ce paquet soit envoyé au
passerelle par défaut, l'adresse matérielle de l'interface Ethernet 0 du routeur, qui est
configuré avec l'adresse IP 172.16.10.1, doit être connu. Pourquoi? Le paquet peut donc être
transmis à la couche de liaison de données, encadré et envoyé à l'interface du routeur qui est
connecté au réseau 172.16.10.0. Parce que les hôtes ne communiquent que via le matériel
adresses sur le réseau local, il est important de reconnaître que pour que Host_A communique avec
Host_B, il doit envoyer des paquets à l'adresse de contrôle d'accès au support (MAC) de la valeur par défaut
passerelle sur le réseau local.
Les adresses MAC sont toujours locales sur le LAN et ne traversent jamais un
routeur.
6. Ensuite, le cache ARP (Address Resolution Protocol) de l'hôte est vérifié pour voir si l'adresse IP
l'adresse de la passerelle par défaut a déjà été résolue en une adresse matérielle.
Si c'est le cas, le paquet est alors libre d'être transmis à la couche de liaison de données pour le tramage. Rappelles toi
que l'adresse de destination matérielle est également transmise avec ce paquet. Pour voir l'ARP
cache sur votre hôte, utilisez la commande suivante :
C:\> arp -a
Interface : 172.16.10.2 --- 0x3
Adresse Internet Type d'adresse physique
172.16.10.1 00-15-05-06-31-b0 dynamique
Si l'adresse matérielle n'est pas déjà dans le cache ARP de l'hôte, une diffusion ARP sera
envoyé sur le réseau local pour rechercher l'adresse matérielle 172.16.10.1. Le routeur
répond ensuite à la demande et fournit l'adresse matérielle d'Ethernet 0, et l'hôte
met en cache cette adresse.
7. Une fois que le paquet et l'adresse matérielle de destination sont transmis à la couche de liaison de données, le réseau local
pilote est utilisé pour fournir un accès multimédia via le type de réseau local utilisé, qui est Ethernet dans
ce cas. Une trame est ensuite générée, encapsulant le paquet avec des informations de contrôle.
Dans ce cadre se trouvent les adresses de destination et de source matérielles plus, dans ce cas, un
Champ Ether-Type, qui identifie le protocole de couche réseau spécifique qui a remis le paquet
à la couche de liaison de données. Dans ce cas, c'est IP. À la fin du cadre se trouve quelque chose appelé un
Champ Frame Check Sequence (FCS) qui abrite le résultat du contrôle de redondance cyclique
(CRC). Le cadre ressemblerait à ce que j'ai détaillé dans la figure 9.3 . Il contient l'hôte
L'adresse matérielle (MAC) de A et l'adresse matérielle de destination de la passerelle par défaut. Ce
n'inclut pas l'adresse MAC de l'hôte distant—n'oubliez pas cela !
FIGURE 9.3 Trame utilisée de l'hôte A au routeur Lab_A lorsque l'hôte B est ping
8. Une fois la trame terminée, elle est transmise à la couche physique pour être placée sur le physique
moyen (dans cet exemple, un fil à paire torsadée) un bit à la fois.
9. Chaque périphérique dans le domaine de collision reçoit ces bits et construit la trame. Ils exécutent chacun un
CRC et vérifiez la réponse dans le champ FCS. Si les réponses ne correspondent pas, la trame est supprimée.
Si le CRC correspond, l'adresse de destination matérielle est vérifiée pour voir si elle correspond
(qui, dans cet exemple, est l'interface Ethernet 0 du routeur).
S'il s'agit d'une correspondance, le champ Ether-Type est vérifié pour trouver le protocole utilisé au
Couche réseau.
10. Le paquet est extrait de la trame et ce qui reste de la trame est rejeté. Le paquet est
remis au protocole répertorié dans le champ Ether-Type - il est attribué à IP.
114
11. IP reçoit le paquet et vérifie l'adresse IP de destination. Depuis la destination du paquet

l'adresse ne correspond à aucune des adresses configurées sur le routeur de réception lui-même, le
Le routeur recherchera l'adresse du réseau IP de destination dans sa table de routage.
12. La table de routage doit avoir une entrée pour le réseau 172.16.20.0 ou le paquet sera
immédiatement et un message ICMP sera renvoyé à l'appareil d'origine avec un
message réseau de destination inaccessible.
13. Si le routeur trouve une entrée pour le réseau de destination dans sa table, le paquet est commuté
à l'interface de sortie — dans cet exemple, l'interface Ethernet 1. La sortie suivante affiche le
Table de routage du routeur Lab_A. Le C signifie « directement connecté ». Aucun protocole de routage n'est
nécessaire dans ce réseau puisque tous les réseaux (tous les deux) sont directement connectés.
Lab_A> itinéraire de navigation

C 172.16.10.0 est directement connecté, Ethernet0
L 172.16.10.1/32 est directement connecté, Ethernet0
C 172.16.20.0 est directement connecté, Ethernet1
L 172.16.20.1/32 est directement connecté, Ethernet1
14. Le routeur commute le paquet vers la mémoire tampon Ethernet 1.
15. Le tampon Ethernet 1 doit connaître l'adresse matérielle de l'hôte de destination et

vérifie le cache ARP.
Si l'adresse matérielle de Host_B a déjà été résolue et se trouve dans l'ARP du routeur
cache, le paquet et l'adresse matérielle seront transmis au Data Link
couche à encadrer. Regardons le cache ARP sur le routeur Lab_A en utilisant le
commande show ip arp :
Lab_A# arp expédition
Âge de l'adresse du protocole (min) Type d'adresse du matériel Interface
Internet 172.16.20.1 - 00d0.58ad.05f4 ARPA Ethernet1
Internet 172.16.20.2 3 0030.9492.a5dd ARPA Ethernet1
Internet 172.16.10.1 - 00d0.58ad.06aa ARPA Ethernet0
Internet 172.16.10.2 12 0030.9492.a4ac ARPA Ethernet0
Le tiret (-) signifie qu'il s'agit de l'interface physique sur le routeur. Cette sortie nous montre
que le routeur connaît le matériel 172.16.10.2 (Host_A) et 172.16.20.2 (Host_B)
adresses. Les routeurs Cisco conserveront une entrée dans la table ARP pendant 4 heures.
Maintenant, si l'adresse matérielle n'a pas déjà été résolue, le routeur enverra un ARP
demandez à E1 de rechercher l'adresse matérielle 172.16.20.2. Host_B répond avec son
l'adresse matérielle, et les adresses matérielles du paquet et de destination sont alors toutes deux envoyées
à la couche de liaison de données pour le cadrage.
16. La couche Data Link crée une trame avec les adresses matérielles de destination et source,
Champ Ether-Type et champ FCS à la fin. La trame est ensuite remise à la couche Physique pour
être envoyé sur le support physique un bit à la fois.
17. Host_B reçoit la trame et exécute immédiatement un CRC. Si le résultat correspond aux informations
dans le champ FCS, l'adresse de destination matérielle sera ensuite vérifiée. Si l'hôte trouve un
correspondent, le champ Ether-Type est ensuite vérifié pour déterminer le protocole que le paquet doit
être remis à la couche réseau - IP dans cet exemple.
18. Au niveau de la couche réseau, IP reçoit le paquet et exécute un CRC sur l'en-tête IP. Si ça passe,
IP vérifie ensuite l'adresse de destination. Puisqu'un match a finalement été fait, le Protocole
est vérifié pour savoir à qui la charge utile doit être donnée.
19. La charge utile est remise à ICMP, qui comprend qu'il s'agit d'une demande d'écho. ICMP
répond à cela en rejetant immédiatement le paquet et en générant une nouvelle charge utile en tant que
réponse en écho.
20. Un paquet est alors créé comprenant les adresses source et destination, le champ Protocole et
charge utile. Le périphérique de destination est maintenant Host_A.
21. IP vérifie ensuite si l'adresse IP de destination est un périphérique sur le LAN local ou sur un
réseau distant. Étant donné que le périphérique de destination se trouve sur un réseau distant, le paquet doit être
Page 115
envoyé à la passerelle par défaut.
22. L'adresse IP de la passerelle par défaut se trouve dans le Registre de l'appareil Windows et l'ARP
le cache est vérifié pour voir si l'adresse matérielle a déjà été résolue à partir d'une adresse IP.
23. Une fois l'adresse matérielle de la passerelle par défaut trouvée, le paquet et la destination
les adresses matérielles sont transmises à la couche de liaison de données pour le cadrage.
24. La couche de liaison de données encadre le paquet d'informations et inclut les éléments suivants dans le
entête:
Les adresses matérielles de destination et source
Le champ Ether-Type avec 0x0800 (IP) dedans
Le champ FCS avec le résultat CRC en remorque
25. La trame est maintenant transmise à la couche physique pour être envoyée sur le support réseau
un peu à la fois.
26. L'interface Ethernet 1 du routeur reçoit les bits et construit une trame. Le CRC est exécuté et le
Le champ FCS est vérifié pour s'assurer que les réponses correspondent.
27. Une fois que le CRC est correct, l'adresse de destination matérielle est vérifiée. Depuis le
l'interface du routeur correspond, le paquet est extrait de la trame et le champ Ether-Type est
vérifié pour déterminer à quel protocole le paquet doit être livré au niveau de la couche réseau.
28. Le protocole est déterminé comme étant IP, il obtient donc le paquet. IP exécute un contrôle CRC sur l'IP
d'abord, puis vérifie l'adresse IP de destination.
IP n'exécute pas un CRC complet comme le fait la couche de liaison de données - il vérifie seulement
l'en-tête pour les erreurs.
Étant donné que l'adresse IP de destination ne correspond à aucune des interfaces du routeur, la table de routage
est vérifié pour voir s'il a une route vers 172.16.10.0. S'il n'y a pas de route vers le
réseau de destination, le paquet sera immédiatement rejeté. Je veux prendre une minute pour
souligner que c'est exactement là que la source de confusion commence pour beaucoup d'administrateurs
car lorsqu'un ping échoue, la plupart des gens pensent que le paquet n'a jamais atteint l'hôte de destination.
Mais comme on le voit ici, ce n'est pas toujours le cas. Tout ce qu'il faut pour que cela se produise, c'est même juste
l'un des routeurs distants n'a pas de route de retour vers le réseau de l'hôte d'origine et— pouf ! -
le paquet est déposé sur le voyage de retour , pas sur son chemin vers l'hôte !
Juste un petit mot pour mentionner que quand (et si) le paquet est perdu en chemin
à l'hôte d'origine, vous verrez généralement un message d'expiration du délai de demande car il
est une erreur inconnue. Si l'erreur se produit en raison d'un problème connu, par exemple si une route est
pas dans la table de routage sur le chemin vers l'appareil de destination, vous verrez une destination
message inaccessible. Cela devrait vous aider à déterminer si le problème est survenu sur le
chemin vers la destination ou sur le chemin du retour.
29. Dans ce cas, le routeur sait comment accéder au réseau 172.16.10.0—l'interface de sortie
est Ethernet 0 : le paquet est donc commuté sur l'interface Ethernet 0.
30. Le routeur vérifie ensuite le cache ARP pour déterminer si l'adresse matérielle pour
172.16.10.2 a déjà été résolu.
31. Étant donné que l'adresse matérielle de 172.16.10.2 est déjà mise en cache depuis le voyage d'origine vers
Host_B, l'adresse matérielle et le paquet sont ensuite transmis à la couche de liaison de données.
32. La couche Data Link construit une trame avec l'adresse matérielle de destination et la source
116
adresse matérielle, puis place IP dans le champ Ether-Type. Un CRC est exécuté sur le châssis et le
résultat est placé dans le champ FCS.
33. La trame est ensuite transmise à la couche Physique pour être envoyée sur le réseau local un bit à
un temps.
34. L'hôte de destination reçoit la trame, exécute un CRC, vérifie le matériel de destination
adresse, puis regarde dans le champ Ether-Type pour savoir à qui remettre le paquet.
35. IP est le récepteur désigné, et une fois le paquet remis à IP au niveau de la couche réseau, il
vérifie le champ Protocole pour plus d'informations. IP trouve des instructions pour donner la charge utile à
ICMP, et ICMP détermine que le paquet est une réponse d'écho ICMP.
36. ICMP reconnaît avoir reçu la réponse en envoyant un point d'exclamation (!) au
interface utilisateur. ICMP tente ensuite d'envoyer quatre autres demandes d'écho à l'hôte de destination.
Vous venez de découvrir les 36 étapes faciles de Todd pour comprendre le routage IP. Le point clé ici est
que si vous aviez un réseau beaucoup plus vaste, le processus serait le même . C'est juste que plus le
interréseau, plus le paquet parcourt de sauts avant de trouver l'hôte de destination.
Il est très important de se rappeler que lorsque Host_A envoie un paquet à Host_B, la destination
l'adresse matérielle utilisée est l'interface Ethernet de la passerelle par défaut. Pourquoi? Parce que les cadres ne peuvent pas être
placés sur des réseaux distants, uniquement des réseaux locaux. Ainsi, les paquets destinés aux réseaux distants doivent
passer par la passerelle par défaut.
Jetons maintenant un coup d'œil au cache ARP de Host_A :
C:\ > arp -a

Interface : 172.16.10.2 --- 0x3
172.16.10.1 00-15-05-06-31-b0 dynamique
172.16.20.1 00-15-05-06-31-b0 dynamique
Avez-vous remarqué que l'adresse matérielle (MAC) que Host_A utilise pour accéder à Host_B est le Lab_A
Interface E0 ? Les adresses matérielles sont toujours locales et ne passent jamais par le routeur d'un routeur.
interface. Comprendre ce processus est aussi important que l'air pour vous, alors écrivez-le dans votre
Mémoire!
Le processus interne du routeur Cisco

Une dernière chose avant de tester votre compréhension de mes 36 étapes de routage IP. je pense
il est important d'expliquer comment un routeur transfère les paquets en interne. Pour IP pour rechercher une destination
adresse dans une table de routage sur un routeur, le traitement dans le routeur doit avoir lieu, et s'il y a
des dizaines de milliers de routes dans cette table, le temps CPU serait énorme. Il en résulte
dans une quantité potentiellement écrasante de frais généraux - pensez à un routeur chez votre FAI qui doit
calculez des millions de paquets par seconde et même des sous-réseaux pour trouver la bonne interface de sortie ! Même
avec le petit réseau que j'utilise dans ce livre, il faudrait faire beaucoup de traitement s'il y a
étaient des hôtes réels connectés et envoyant des données.
Cisco utilise trois types de techniques de transfert de paquets.
Changement de processus C'est en fait le nombre de personnes qui voient des routeurs à ce jour, car c'est vrai
que les routeurs ont effectivement effectué ce type de commutation de paquets à nu en 1990 lorsque
Cisco a sorti son tout premier routeur. Mais ces jours où les demandes de trafic étaient inimaginablement
la lumière ont disparu depuis longtemps—pas dans les réseaux d'aujourd'hui ! Ce processus est maintenant extrêmement complexe et
implique de rechercher chaque destination dans la table de routage et de trouver l'interface de sortie pour chaque
paquet. C'est à peu près comme ça que je viens d'expliquer le processus dans mes 36 étapes. Mais même si
ce que j'ai écrit était absolument vrai dans son concept, le processus interne nécessite bien plus que
technologie de commutation de paquets aujourd'hui en raison des millions de paquets par seconde qui doivent maintenant
en traitement. Cisco a donc proposé d'autres technologies pour aider avec le « grand processus
problème."
Commutation rapide Cette solution a été créée pour rendre les performances lentes de la commutation de processus
plus rapide et plus efficace. La commutation rapide utilise un cache pour stocker les destinations les plus récemment utilisées
Page 117
de sorte que les recherches ne sont pas nécessaires pour chaque paquet. En mettant en cache l'interface de sortie de la destination
périphérique, ainsi que l'en-tête de couche 2, les performances ont été considérablement améliorées, mais comme notre
les réseaux ont évolué avec le besoin d'encore plus de vitesse, Cisco a créé une autre technologie !
Cisco Express Forwarding (CEF) C'est la création la plus récente de Cisco, et c'est le paquet par défaut-
méthode de transfert utilisée sur tous les derniers routeurs Cisco. CEF crée de nombreuses tables de cache différentes pour
aider à améliorer les performances et est déclenché par le changement, pas par paquet. Traduit, cela signifie
que lorsque la topologie du réseau change, le cache change avec elle.
Pour voir quelle méthode de commutation de paquets votre interface de routeur utilise, utilisez le
commande show ip interface .
Tester votre compréhension du routage IP

Puisque comprendre le routage IP est super important, il est temps de faire ce petit test dont j'ai parlé
plus tôt sur la façon dont vous avez le processus de routage IP jusqu'à présent. Je vais le faire en ayant
vous regardez quelques chiffres et répondez à quelques questions de routage IP très basiques basées sur
eux.
La figure 9.4 montre un réseau local connecté au routeur A qui est connecté via une liaison WAN au routeur B.
RouterB a un LAN connecté avec un serveur HTTP connecté.
FIGURE 9.4 Exemple de routage IP 1
L'information critique que vous voulez obtenir en regardant cette figure est exactement comment le routage IP va
se produire dans cet exemple. Déterminons les caractéristiques d'une trame lorsqu'elle quitte HostA. D'accord-
on va tricher un peu. Je vais vous donner la réponse, mais alors vous devriez revenir sur la figure et voir si
vous pouvez répondre à l'exemple 2 sans regarder ma réponse en trois étapes !
1. L'adresse de destination d'une trame de HostA serait l'adresse MAC du routeur A

Interface Fa0/0.
Page 118
2. L'adresse de destination d'un paquet serait l'adresse IP du réseau du serveur HTTP

carte d'interface (NIC).
3. Le numéro de port de destination dans l'en-tête de segment serait 80.
C'était un scénario assez simple et direct. Une chose à retenir est que lorsque plusieurs
les hôtes communiquent avec un serveur via HTTP, ils doivent tous utiliser un port source différent
numéro. Les adresses IP source et de destination et les numéros de port permettent au serveur de conserver les
données séparées au niveau de la couche Transport.
Compliquons les choses en ajoutant un autre appareil au réseau, puis voyons si vous pouvez trouver
les réponses. La figure 9.5 montre un réseau avec un seul routeur mais deux commutateurs.
FIGURE 9.5 Exemple de routage IP 2
L'élément clé à comprendre sur le processus de routage IP dans ce scénario est ce qui se passe lorsque
HostA envoie des données au serveur HTTPS ? Voici votre réponse :
1. L'adresse de destination d'une trame de HostA serait l'adresse MAC du routeur A

Interface Fa0/0.
2. L'adresse de destination d'un paquet est l'adresse IP de l'interface réseau du serveur HTTPS
carte (NIC).
3. Le numéro de port de destination dans l'en-tête de segment aura une valeur de 443.
Avez-vous remarqué que les commutateurs n'étaient pas utilisés comme passerelle par défaut ou comme autre
destination? C'est parce que les commutateurs n'ont rien à voir avec le routage. Je me demande combien d'entre vous
a choisi le commutateur comme adresse MAC de passerelle par défaut (destination) pour HostA ? Si vous l'avez fait, ne
se sentir mal, il suffit de jeter un autre coup d'œil pour voir où vous vous êtes trompé et pourquoi. Il est très important de
rappelez-vous que l'adresse MAC de destination sera toujours l'interface du routeur, si vos paquets
sont destinés à l'extérieur du LAN, comme dans ces deux derniers exemples !
Page 119
Avant de passer à certains des aspects les plus avancés du routage IP, examinons un autre
problème. Jetez un œil à la sortie de la table de routage de ce routeur :
Route d'expédition de l'entreprise #

[coupure de sortie]
R 192.168.215.0 [120/2] via 192.168.20.2, 00:00:23, Série0/0
R 192.168.115.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
R 192.168.30.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
C 192.168.20.0 est directement connecté, Serial0/0
C 192.168.214.0 est directement connecté, FastEthernet0/0
Que voit-on ici ? Si je vous disais que le routeur d'entreprise a reçu un paquet IP avec un
une adresse IP source de 192.168.214.20 et une adresse de destination de 192.168.22.3, que faites-vous
pensez-vous que le routeur Corp fera avec ce paquet ?
Si vous avez dit : « Le paquet est arrivé sur l'interface FastEthernet 0/0, mais parce que la table de routage
n'affiche pas de route vers le réseau 192.168.22.0 (ou une route par défaut), le routeur rejettera le
paquet et renvoyer un message de destination ICMP inaccessible à l'interface FastEthernet
0/0 », tu es un génie ! La raison pour laquelle c'est la bonne réponse est parce que c'est le LAN source
d'où provient le paquet.
Voyons maintenant la figure suivante et parlons en détail des trames et des paquets. N'étaient pas
vraiment passer en revue quelque chose de nouveau ici; Je m'assure juste que vous totalement, complètement, complètement,
comprendre parfaitement le routage IP de base ! C'est le cœur de ce livre, et le sujet les objectifs de l'examen
sont orientés vers. Tout est une question de routage IP, ce qui signifie que vous devez être au courant de tout cela ! Bien
utilisez la figure 9.6 pour les quelques scénarios suivants.
FIGURE 9.6 Routage IP de base utilisant les adresses MAC et IP
En vous référant à la Figure 9.6 , voici une liste de toutes les réponses aux questions dont vous avez besoin inscrites dans votre
cerveau:
1. Afin de commencer à communiquer avec le serveur de vente, l'hôte 4 envoie une requête ARP.
Comment les appareils présentés dans la topologie répondront-ils à cette demande ?
2. L'hôte 4 a reçu une réponse ARP. L'hôte 4 va maintenant construire un paquet, puis place ce paquet dans le
Cadre. Quelles informations seront placées dans l'en-tête du paquet qui quitte l'hôte 4 si l'hôte
4 va communiquer avec le serveur Sales ?
3. Le routeur Lab_A a reçu le paquet et l'enverra Fa0/0 sur le LAN vers le
120
serveur. Qu'est-ce que la trame aura dans l'en-tête comme adresses source et destination ?
4. L'hôte 4 affiche deux documents Web du serveur de vente dans deux fenêtres de navigateur à la
en même temps. Comment les données se sont-elles retrouvées dans les bonnes fenêtres de navigateur ?
Ce qui suit devrait probablement être écrit dans une police minuscule et mis à l'envers dans une autre partie de
le livre, il serait donc très difficile pour vous de tricher et de jeter un coup d'œil, mais comme je ne suis pas si méchant et
vous avez vraiment besoin de noter cela, voici vos réponses dans le même ordre que les scénarios
viennent d'être présentés :
1. Afin de commencer à communiquer avec le serveur, l'hôte 4 envoie une requête ARP. Comment sera
les appareils présentés dans la topologie répondent à cette requête ? Étant donné que les adresses MAC doivent rester
sur le réseau local, le routeur Lab_B répondra avec l'adresse MAC du Fa0/0
l'interface et l'hôte 4 enverront toutes les trames à l'adresse MAC de l'interface Lab_B Fa0/0
lors de l'envoi de paquets au serveur de vente.
2. L'hôte 4 a reçu une réponse ARP. L'hôte 4 va maintenant construire un paquet, puis place ce paquet dans le
Cadre. Quelles informations seront placées dans l'en-tête du paquet qui quitte l'hôte 4 si l'hôte
4 va communiquer avec le serveur Sales ? Puisque nous parlons maintenant de paquets, non
trames, l'adresse source sera l'adresse IP de l'hôte 4 et l'adresse de destination sera
l'adresse IP du serveur de vente.
3. Enfin, le routeur Lab_A a reçu le paquet et l'enverra Fa0/0 sur le LAN

vers le serveur. Qu'est-ce que le cadre aura dans l'en-tête comme source et destination
adresses ? L'adresse MAC source sera l'interface Fa0/0 du routeur Lab_A, et le
l'adresse MAC de destination sera l'adresse MAC du serveur de vente car toutes les adresses MAC
doit être local sur le réseau local.
4. L'hôte 4 affiche deux documents Web du serveur de vente dans deux navigateurs différents
fenêtres en même temps. Comment les données se sont-elles retrouvées dans les bonnes fenêtres de navigateur ? TCP
les numéros de port sont utilisés pour diriger les données vers la fenêtre d'application appropriée.
Super! Mais nous n'avons pas encore tout à fait terminé. J'ai encore quelques questions à vous poser avant que vous n'obteniez
pour configurer le routage dans un réseau réel. Prêt? La figure 9.7 montre un réseau de base et l'hôte 4
doit recevoir un e-mail. Quelle adresse sera placée dans le champ d'adresse de destination du cadre
quand il quitte l'hôte 4 ?
FIGURE 9.7 Test des connaissances de base sur le routage
La réponse est que l'hôte 4 utilisera l'adresse MAC de destination de l'interface Fa0/0 sur le
Page 121
Routeur Lab_B, vous le saviez, n'est-ce pas ? Regardez à nouveau la figure 9.7 : et si l'hôte 4 doit
communiquer avec l'hôte 1—pas le serveur, mais avec l'hôte 1. Quelle adresse source OSI de couche 3
être trouvé dans l'en-tête du paquet lorsqu'il atteint l'hôte 1 ?
J'espère que vous avez ceci : à la couche 3, l'adresse IP source sera l'hôte 4 et la destination
l'adresse dans le paquet sera l'adresse IP de l'hôte 1. Bien sûr, l'adresse MAC de destination
de l'hôte 4 sera toujours l'adresse Fa0/0 du routeur Lab_B, n'est-ce pas ? Et puisque nous avons
plus d'un routeur, nous aurons besoin d'un protocole de routage qui communique entre les deux afin
que le trafic peut être transféré dans la bonne direction pour atteindre le réseau auquel l'hôte 1 est connecté
à.
D'accord, encore un scénario et vous êtes sur la bonne voie pour devenir une machine de routage IP ! Encore une fois, en utilisant
Figure 9.7 , l'hôte 4 transfère un fichier vers le serveur de messagerie connecté au routeur Lab_A. Quoi
serait l'adresse de destination de la couche 2 quittant l'hôte 4 ? Oui, j'ai posé cette question plus de
une fois que. Mais pas celle-ci : quelle sera l'adresse MAC source lorsque la trame sera reçue au
serveur de messagerie ?
J'espère que vous avez répondu que l'adresse de destination de la couche 2 quittant l'hôte 4 est l'adresse MAC
de l'interface Fa0/0 sur le routeur Lab_B et que l'adresse source de la couche 2 que l'email
serveur recevra est l'interface Fa0/0 du routeur Lab_A.
Si vous l'avez fait, vous êtes prêt à découvrir comment le routage IP est géré dans un environnement réseau plus vaste !
Configuration du routage IP
Il est temps de passer aux choses sérieuses et de configurer un vrai réseau. La figure 9.8 montre trois routeurs : Corp, SF,
et LA. N'oubliez pas que, par défaut, ces routeurs ne connaissent que les réseaux qui sont directement
connecté à eux. Je continuerai à utiliser ce chiffre et ce réseau dans le reste du
chapitres de ce livre. Au fur et à mesure que je progresse dans ce livre, j'ajouterai d'autres routeurs et commutateurs au fur et à mesure
nécessaire.
Page 122
FIGURE 9.8 Configuration du routage IP
Comme vous pouvez le deviner, j'ai une assez belle collection de routeurs avec lesquels nous pouvons jouer. Mais tu ne
besoin d'un placard rempli d'appareils pour exécuter la plupart, sinon la totalité, des commandes que nous utiliserons dans ce livre.
Vous pouvez vous en tirer avec à peu près n'importe quel routeur ou même avec un bon simulateur de routeur.
Pour reprendre les affaires, le routeur Corp dispose de deux interfaces série, qui fourniront un WAN
connexion au routeur SF et LA ainsi que deux interfaces Fast Ethernet. Les deux télécommandes
les routeurs ont deux interfaces série et deux interfaces Fast Ethernet.
La première étape de ce projet consiste à configurer correctement chaque routeur avec une adresse IP sur chaque
interface. La liste suivante montre le schéma d'adresse IP que je vais utiliser pour configurer le
réseau. Après avoir expliqué comment le réseau est configuré, j'expliquerai comment configurer le routage IP.
Faites attention aux masques de sous-réseau, ils sont importants ! Les réseaux locaux utilisent tous un masque /24, mais le
Les WAN utilisent un /30.
Société
Série 0/0 : 172.16.10.1/30
Série 0/1 : 172.16.10.5/30
Fa0/0 : 10.10.10.1/24
SF
S0/0/0 : 172.16.10.2/30
Fa0/0 : 192.168.10.1/24
123
LA
S0/0/0 : 172.16.10.6/30
Fa0/0 : 192.168.20.1/24
La configuration du routeur est vraiment un processus assez simple puisqu'il suffit d'ajouter l'IP
adresses à vos interfaces, puis effectuez un arrêt sans arrêt sur ces mêmes interfaces. ça devient un peu
plus complexe par la suite, mais pour l'instant, configurons les adresses IP dans le réseau.
Configuration de l'entreprise
Nous devons configurer trois interfaces pour configurer le routeur Corp. Et la configuration du
les noms d'hôte de chaque routeur faciliteront grandement l'identification. Pendant que nous y sommes, définissons le
les descriptions d'interface, la bannière et les mots de passe du routeur aussi, car c'est une très bonne idée de faire un
l'habitude de configurer ces commandes sur chaque routeur !
Pour commencer, j'ai effectué une effacement de configuration de démarrage sur le routeur et rechargé, nous allons donc commencer dans
Mode de configuration. J'ai choisi non lorsqu'on m'a demandé d'entrer en mode de configuration, ce qui nous amènera directement au
invite de nom d'utilisateur de la console. Je vais configurer tous mes routeurs de la même manière.
Voici à quoi ressemble ce que je viens de faire :

--- Boîte de dialogue de configuration du système ---
Voulez-vous entrer dans la boîte de dialogue de configuration initiale? [oui/non] : n
Appuyez sur RETOUR pour commencer !

Routeur> fr
Routeur# config t
Routeur(config)# nom d'hôte Corp
Corp(config)# activer le secret GlobalNet
Corp(config)# pas de recherche de domaine IP
Corp(config)# int f0/0
Corp(config-if)# desc Connexion au réseau LAN BackBone
Corp(config-if)# adresse IP 10.10.10.1 255.255.255.0
Corp(config-if)# non fermé
Corp(config-if)# int s0/0
Corp(config-if)# desc connexion WAN à SF
Corp(config-if)# desc connexion WAN à LA
Corp(config-if)# ligne con 0
Corp(config-line)# console de mot de passe
Corp(ligne de configuration)# journalisation
Corp(config-line)# synchronisation de la journalisation
Corp(ligne de configuration)# exit
Corp(config)# ligne vty 0 ?
<cr>
Corp(config)# ligne vty 0 181
Corp(config-line)# mot de passe telnet
Corp(ligne de configuration)# connexion
Corp(ligne de configuration)# exit
Corp(config)# banner motd # Ceci est mon routeur Corp #
Corp(config)# ^Z
Début de l'exécution de la copie Corp#
Nom du fichier de destination [startup-config] ?
[D'ACCORD]
Numéro de société [OK]
Parlons de la configuration du routeur Corp. Tout d'abord, j'ai défini le nom d'hôte et activé le secret,
mais qu'est-ce que c'est qu'aucune commande ip domain-lookup ? Cette commande empêche le routeur d'essayer de
résolvez les noms d'hôtes, ce qui est une fonctionnalité ennuyeuse à moins que vous n'ayez configuré une table d'hôtes ou un DNS.
Ensuite, j'ai configuré les trois interfaces avec des descriptions et des adresses IP et les ai activées avec
la commande no shutdown . Les mots de passe de la console et du VTY sont venus ensuite, mais qu'est-ce que cette journalisation
commande de synchronisation sous la ligne de console ? La commande logging synchronous arrête la console
124
messages d'écrire sur ce que vous tapez, ce qui signifie que c'est une commande d'économie d'esprit qui
tu finiras par aimer ! Enfin, j'ai mis ma bannière, puis j'ai enregistré mes configs.
Si vous avez du mal à comprendre ce processus de configuration, reportez-vous en arrière
au chapitre 6, « Système d'exploitation Internet de Cisco (IOS) ».
Pour afficher les tables de routage IP créées sur un routeur Cisco, utilisez la commande show ip route . Voici
le résultat de la commande :

Codes : L - local, C - connecté, S - statique, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP externe, O - OSPF, IA - interzone OSPF
N1 - OSPF NSSA externe type 1, N2 - OSPF NSSA externe type 2
E1 - OSPF externe type 1, E2 - OSPF externe type 2
i - IS-IS, su - IS-IS résumé, L1 - IS-IS niveau-1, L2 - IS-IS niveau-2
ia - IS-IS inter zone, * - candidat par défaut, U - route statique par utilisateur
o - ODR, P - route statique téléchargée périodique, H - NHRP, l - LISP
+ - route répliquée, % - remplacement du prochain saut
La passerelle de dernier recours n'est pas définie
10.0.0.0/24 est en sous-réseaux, 1 sous-réseaux

Il est important de se rappeler que seuls les réseaux configurés et connectés directement vont afficher
dans la table de routage. Alors pourquoi se fait-il que seule l'interface FastEthernet 0/0 s'affiche dans le
table? Pas de soucis, c'est juste parce que vous ne verrez pas les interfaces série apparaître avant l'autre
côté des liens sont opérationnels. Dès que nous configurons nos routeurs SF et LA, ces interfaces
devrait apparaître tout de suite !
Mais avez-vous remarqué le C sur le côté gauche de la sortie de la table de routage ? Quand tu vois ça
là, cela signifie que le réseau est directement connecté. Les codes pour chaque type de connexion sont
répertoriés en haut de la commande show ip route , avec leurs descriptions.
Par souci de concision, les codes en haut de la sortie seront coupés dans le reste de ce
chapitre.
Configuration SF
Nous sommes maintenant prêts à configurer le prochain routeur, SF. Pour que cela se produise correctement, gardez à l'esprit
que nous avons deux interfaces à gérer : Serial 0/0/0 et FastEthernet 0/0. Alors assurons-nous
nous n'oublions pas d'ajouter le nom d'hôte, les mots de passe, les descriptions d'interface et les bannières au routeur
configuration. Comme je l'ai fait avec le routeur Corp, j'ai effacé la configuration et rechargé depuis ce
routeur avait déjà été configuré auparavant.
Voici la configuration que j'ai utilisée :
R1# début d'effacement

R1 # effacer la configuration de démarrage
Effacer le système de fichiers nvram supprimera tous les fichiers de configuration !
Continuer? [confirmer] [entrer]
[D'ACCORD]
R1# recharger
Continuer le rechargement ? [confirmer] [entrer]
[coupure de sortie]
%Erreur d'ouverture de tftp://255.255.255.255/network-confg (expiration du délai)
%Erreur d'ouverture de tftp://255.255.255.255/cisconet.cfg (expiration du délai)
--- Boîte de dialogue de configuration du système ---
125
Voulez-vous entrer dans la boîte de dialogue de configuration initiale? [oui/non] : n
Avant de continuer, parlons une seconde de cette sortie. Tout d'abord, notez qu'en commençant par IOS
12.4, les routeurs ISR ne prendront plus la commande delete start . Le routeur n'a qu'une seule commande
après effacement qui commence par s , comme indiqué ici :
Routeur# effacer s?
configuration de démarrage
Je sais, on pourrait penser que l'IOS continuerait à accepter la commande, mais non, désolé ! Les
La deuxième chose que je veux souligner est que la sortie nous indique que le routeur recherche un hôte TFTP pour
voir s'il peut télécharger une configuration. En cas d'échec, il passe directement en mode configuration. Cela donne
vous avez une excellente image de la séquence de démarrage par défaut du routeur Cisco dont nous avons parlé au chapitre 7,
« Gestion d'un interréseau Cisco ».
Revenons à la configuration de notre routeur :
Appuyez sur RETOUR pour commencer !

Routeur# config t
Routeur(config)# nom d'hôte SF
SF(config)# activer le secret GlobalNet
SF(config)# pas de recherche de domaine IP
SF(config)# int s0/0/0
SF(config-if)# desc Connexion WAN à la société
SF(config-if)# adresse IP 172.16.10.2 255.255.255.252
SF(config-if)# non fermé
SF(config-if)# fréquence d'horloge 1000000
SF(config-if)# int f0/0
SF(config-if)# desc SF LAN
SF (config-if) # adresse ip 192.168.10.1 255.255.255.0
SF(config-if)# non fermé
SF(config-if)# ligne avec 0
SF(config-line)# console de mot de passe
SF(config-line)# connexion
SF(config-line)# synchronisation de la journalisation
SF(ligne de configuration)# sortie
SF(config)#ligne vty 0 ?
<cr>
SF(config)# ligne vty 0 1180
SF(config-line)# mot de passe telnet
SF(config-line)# connexion
SF(config-line)# banner motd #Ceci est le routeur de la branche SF#
SF(config)# sortie
Lancement de l' exécution de la copie SF#
[D'ACCORD]
Jetons un œil à notre configuration des interfaces avec les deux commandes suivantes :
SF # sh exécuter | commencer int

description SF LAN
adresse IP 192.168.10.1 255.255.255.0
vitesse automatique
!
pas d'adresse ip
fermer
vitesse automatique
!
description Connexion WAN à la société
adresse IP 172.16.10.2 255.255.255.252
!
SF# expédition brève
FastEthernet0/0 192.168.10.1 OUI manuel up en haut
Page 126
Série0/0/0 172.16.10.2 OUI manuel haut en haut

SF#
Maintenant que les deux extrémités de la liaison série sont configurées, la liaison est établie. Rappelez-vous, le haut/haut
l'état des interfaces sont des indicateurs d'état de la couche Physique/Liaison de données qui ne reflètent pas la couche
3 statuts ! Je demande aux élèves de mes cours : « Si le lien s'affiche, pouvez-vous envoyer un ping directement au
réseau connecté ?” Et ils disent : « Oui ! » La bonne réponse est « Je ne sais pas », parce que nous
ne peut pas voir l'état de la couche 3 avec cette commande. Nous ne voyons que les couches 1 et 2 et vérifions que l'IP
les adresses n'ont pas de faute de frappe. C'est vraiment important à comprendre !
La commande show ip route pour le routeur SF révèle ce qui suit :
SF # itinéraire de navigation
172.16.0.0/30 est divisé en sous-réseaux, 1 sous-réseaux
C 172.16.10.0 est directement connecté, Serial0/0/0
L 172.16.10.2/32 est directement connecté, Serial0/0/0
Notez que le routeur SF sait comment accéder aux réseaux 172.16.10.0/30 et 192.168.10.0/24 ; nous
peut maintenant envoyer un ping au routeur Corp depuis SF :
SF# ping 172.16.10.1

!!!!!
Revenons maintenant au routeur Corp et vérifions la table de routage :
Corp> itinéraire d'expédition

Sur l'interface série 0/0/0 du routeur SF se trouve une connexion DCE, ce qui signifie qu'une fréquence d'horloge doit
être défini sur l'interface. N'oubliez pas que vous n'avez pas besoin d'utiliser la commande clock rate dans
production. Bien que cela soit vrai, il est toujours impératif que vous sachiez comment/quand vous pouvez l'utiliser et que vous
comprenez-le très bien lorsque vous préparez votre examen CCNA !
Nous pouvons voir notre synchronisation avec la commande show controllers :
SF# sh contrôleurs s0/0/0

DCE V.35, fréquence d'horloge 1000000
Corp> sh contrôleurs s0/0

Interface Série0/0
Le matériel est PowerQUICC MPC860
Horloges DTE V.35 TX et RX détectées.
Étant donné que le routeur SF dispose d'une connexion par câble DCE, j'ai dû ajouter une fréquence d'horloge à cette interface
parce que le DTE reçoit l'horloge. Gardez à l'esprit que les nouveaux routeurs ISR détecteront automatiquement cela et définiront
la fréquence d'horloge à 2000000. Et vous devez toujours vous assurer que vous êtes en mesure de trouver une interface qui est
DCE et régler le pointage pour atteindre les objectifs.
Puisque les liaisons série apparaissent, nous pouvons maintenant voir les deux réseaux dans la table de routage Corp.
Et une fois que nous aurons configuré LA, nous verrons un réseau de plus dans la table de routage du routeur Corp.
Le routeur Corp ne peut pas voir le réseau 192.168.10.0 car nous n'avons aucun routage
configuré pour le moment : les routeurs ne voient que les réseaux directement connectés par défaut.
Configuration LA
Pour configurer LA, nous allons faire à peu près la même chose que nous avons fait avec les deux autres routeurs.
Page 127
Il y a deux interfaces à gérer, Serial 0/0/1 et FastEthernet 0/0, et encore une fois, nous serons sûrs
pour ajouter le nom d'hôte, les mots de passe, les descriptions d'interface et une bannière à la configuration du routeur :
Routeur(config)# nom d'hôte LA

LA(config)# activer le secret GlobalNet
LA(config)# pas de recherche de domaine IP
LA(config)# int s0/0/1
LA(config-if)# adresse IP 172.16.10.6 255.255.255.252
LA(config-if)# non fermé
LA(config-if)# fréquence d'horloge 1000000
LA(config-if)# description WAN vers entreprise
LA(config-if)# int f0/0
LA(config-if)# adresse IP 192.168.20.1 255.255.255.0
LA(config-if)# non fermé
LA(config-if)# description LA LAN
LA(config-if)# ligne con 0
LA(config-line)# console de mot de passe
LA(ligne de configuration)# connexion
LA (ligne de configuration) # synchronisation de la journalisation
LA(ligne de configuration)# sortie
LA(config)# ligne vty 0 ?
<cr>
LA(config)# ligne vty 0 1180
LA(ligne de configuration)# mot de passe telnet
LA(ligne de configuration)# connexion
LA(ligne de configuration)# sortie
LA(config)# banner motd #This is my LA Router#
LA(config)# sortie
LA# début de l'exécution de la copie
[D'ACCORD]
Bien, tout était assez simple. La sortie suivante, que j'ai obtenue via le show ip
commande route , affiche les réseaux directement connectés de 192.168.20.0 et 172.16.10.0 :
itinéraire de navire LA#
Alors maintenant que nous avons configuré les trois routeurs avec des adresses IP et des fonctions administratives, nous
peut passer à la gestion du routage. Mais je veux faire une autre chose sur les routeurs SF et LA—
puisqu'il s'agit d'un très petit réseau, construisons un serveur DHCP sur le routeur Corp pour chaque réseau local.
Configuration de DHCP sur notre routeur Corp
S'il est vrai que je pourrais aborder cette tâche en allant sur chaque routeur distant et en créant un pool,
pourquoi s'embêter avec tout ça quand je peux facilement créer deux pools sur le routeur Corp et avoir le
les routeurs distants transmettent les requêtes au routeur Corp ? Bien sûr, vous vous souvenez comment faire cela
du chapitre 7 !
Essayons :
Corp# config t
Corp(config)# ip dhcp exclu-adresse 192.168.10.1
Corp(config)# ip dhcp exclu-adresse 192.168.20.1
Corp(config)# ip dhcp pool SF_LAN
Corp(dhcp-config)# réseau 192.168.10.0 255.255.255.0
Corp(dhcp-config)# routeur par défaut 192.168.10.1
Corp(dhcp-config)# dns-server 4.4.4.4
Corp(dhcp-config)# sortie
Corp(config)# ip dhcp pool LA_LAN
Corp(dhcp-config)# réseau 192.168.20.0 255.255.255.0
Corp(dhcp-config)# routeur par défaut 192.168.20.1
Corp(dhcp-config)# dns-server 4.4.4.4
Corp(dhcp-config)# sortie
Corp(config)# sortie
Page 128

La création de pools DHCP sur un routeur est en fait un processus simple, et vous
configuration de la même manière sur n'importe quel routeur auquel vous souhaitez ajouter un pool DHCP. Pour désigner un routeur
en tant que serveur DHCP, vous créez simplement le nom du pool, ajoutez le réseau/sous-réseau et la valeur par défaut
passerelle, puis excluez toutes les adresses que vous ne souhaitez pas distribuer. Vous voulez absolument
assurez-vous que vous avez exclu l'adresse de passerelle par défaut et que vous ajoutez généralement un serveur DNS en tant que
bien. J'ajoute toujours les exclusions en premier et n'oubliez pas que vous pouvez facilement exclure une plage
d'adresses sur une seule ligne. Bientôt, je vais vous montrer les commandes de vérification que j'ai promis de
vous montrer au chapitre 7, mais d'abord, nous devons comprendre pourquoi le routeur Corp ne peut toujours pas accéder à
les réseaux distants par défaut !
Maintenant, je suis presque sûr d'avoir correctement configuré DHCP, mais j'ai juste ce sentiment persistant que j'ai oublié
quelque chose d'important. Qu'est-ce que cela pourrait être? Eh bien, les hôtes sont distants via un routeur, alors quoi
aurais-je besoin de faire cela leur permettrait d'obtenir une adresse d'un serveur DHCP ? Si tu
conclu que je dois configurer les interfaces SF et LA F0/0 pour transférer le client DHCP
requêtes au serveur, vous l'avez compris !
Voici comment nous procéderions :
LA# config t
LA(config)# int f0/0
LA(config-if)# ip helper-address 172.16.10.5
SF# config t
SF(config)# int f0/0
SF(config-if)# ip helper-address 172.16.10.1
Je suis presque sûr d'avoir fait cela correctement, mais nous ne le saurons pas avant d'avoir un certain type de routage
configuré et fonctionnel. Alors allons-y ensuite !
Configuration du routage IP dans notre réseau

Alors, notre réseau est-il vraiment prêt à partir ? Après tout, je l'ai configuré avec l'adressage IP,
fonctions administratives, et même la synchronisation qui se produira automatiquement avec les routeurs ISR.
Mais comment nos routeurs enverront-ils des paquets aux réseaux distants lorsqu'ils auront leur destination
informations en examinant leurs tableaux qui ne contiennent que des instructions sur les
réseaux ? Et vous savez que les routeurs rejettent rapidement les paquets qu'ils reçoivent avec des adresses pour
réseaux qui ne sont pas répertoriés dans leur table de routage !
Nous ne sommes donc pas vraiment prêts à basculer après tout. Mais nous le serons bientôt car il y a plusieurs façons de
configurer les tables de routage pour inclure tous les réseaux dans notre petit interréseau afin que les paquets
sera correctement transmis. Comme d'habitude, une taille unique convient rarement du tout, et ce qui est mieux pour un
réseau n'est pas nécessairement ce qu'il y a de mieux pour un autre. C'est pourquoi comprendre les différents types de
le routage sera vraiment utile pour choisir la meilleure solution pour votre environnement spécifique et
besoins de l'entreprise.
Voici les trois méthodes de routage que je vais aborder avec vous :
Routage statique
Routage par défaut
Routage dynamique
Nous allons commencer par la première méthode et implémenter le routage statique sur notre réseau, car si
vous pouvez implémenter le routage statique et le faire fonctionner, vous avez démontré que vous
avoir une solide compréhension de l'interréseau. Alors, commençons.
Routage statique
Le routage statique est le processus qui s'ensuit lorsque vous ajoutez manuellement des routes dans le routage de chaque routeur
Page 129
table. Comme on pouvait s'y attendre, il y a des avantages et des inconvénients au routage statique, mais c'est vrai pour tous les routages
approches.
Voici les avantages :
Il n'y a pas de surcharge sur le processeur du routeur, ce qui signifie que vous pourriez probablement vous contenter d'un
routeur moins cher que ce dont vous auriez besoin pour le routage dynamique.
Il n'y a pas d'utilisation de bande passante entre les routeurs, ce qui vous permet d'économiser de l'argent sur les liaisons WAN ainsi que sur
minimisant les frais généraux sur le routeur puisque vous n'utilisez pas de protocole de routage.
Cela ajoute de la sécurité car vous, l'administrateur, pouvez être très exclusif et choisir d'autoriser
routage de l'accès à certains réseaux uniquement.
Et voici les inconvénients :
Quel que soit l'administrateur, il doit avoir une connaissance approfondie de l'interréseau et de la façon dont
chaque routeur est connecté afin de configurer correctement les routes. Si vous n'avez pas de bon,
carte précise de votre interréseau, les choses vont vite devenir très compliquées !
Si vous ajoutez un réseau à l'interréseau, vous devez péniblement y ajouter une route sur tous les routeurs
à la main, ce qui devient de plus en plus insensé à mesure que le réseau se développe.
En raison de ce dernier point, il n'est tout simplement pas possible de l'utiliser dans la plupart des grands réseaux car le maintien
ce serait un travail à temps plein en soi.
Mais cette liste d'inconvénients ne signifie pas que vous ne devez pas tout apprendre à ce sujet principalement à cause de ce premier
inconvénient que j'ai énuméré - le fait que vous devez avoir une si solide compréhension d'un réseau pour
le configurer correctement et que vos connaissances administratives doivent pratiquement frôler le
surnaturel! Alors plongeons et développons ces compétences. Commençant par le début, voici le
syntaxe de commande que vous utilisez pour ajouter une route statique à une table de routage à partir de la configuration globale :
ip route [destination_network] [mask] [next-hop_address ou

interface de sortie] [distance_administrative] [permanent]
Cette liste décrit chaque commande de la chaîne :
ip route La commande utilisée pour créer la route statique.
destination_network Le réseau que vous placez dans la table de routage.
mask Le masque de sous-réseau utilisé sur le réseau.
next-hop_address Il
s'agit de l'adresse IP du routeur du prochain saut qui recevra les paquets et
les transmettre au réseau distant, ce qui doit signifier une interface de routeur qui est directement sur un
réseau connecté. Vous devez être en mesure d'envoyer un ping à l'interface du routeur avant de pouvoir
ajouter l'itinéraire. Remarque importante pour moi-même : si vous saisissez la mauvaise adresse de saut suivant ou le
l'interface vers le bon routeur est en panne, la route statique apparaîtra dans la configuration du routeur
mais pas dans la table de routage.
exitinterface Utilisé
à la place de l'adresse du saut suivant si vous le souhaitez, et s'affiche directement
itinéraire connecté.
administrative_distance Par
défaut, les routes statiques ont une distance administrative de 1 ou 0 si vous
utilisez une interface de sortie au lieu d'une adresse de saut suivant. Vous pouvez modifier la valeur par défaut en ajoutant
un poids administratif en fin de commande. J'en parlerai beaucoup plus tard dans le
chapitre lorsque nous arrivons à la section sur le routage dynamique.
permanente Si
l'interface est arrêté ou le routeur ne peut pas communiquer au routeur suivant-hop, la
route sera automatiquement supprimé de la table de routage par défaut. Choisir la permanente
L'option conserve l'entrée dans la table de routage quoi qu'il arrive.
Avant de vous guider dans la configuration des routes statiques, examinons un exemple de route statique vers
voir ce qu'on peut en savoir :
Routeur(config)# ip route 172.16.3.0 255.255.255.0 192.168.2.4
La commande ip route nous dit simplement qu'il s'agit d'une route statique.
Page 130
172.16.3.0 est le réseau distant auquel nous voulons envoyer des paquets.
255.255.255.0 est le masque du réseau distant.
192.168.2.4 est le prochain saut, ou routeur, auquel les paquets seront envoyés.
Mais que se passe-t-il si la route statique ressemble à ceci à la place ?
Router (config) # ip route 172.16.3.0 255.255.255.0 192.168.2.4 150
Ce 150 à la fin change la distance administrative (AD) par défaut de 1 à 150. Comme je l'ai dit, je vais
parler beaucoup plus d'AD lorsque nous entrons dans le routage dynamique, mais pour l'instant, n'oubliez pas que le
AD est la fiabilité d'un itinéraire, où 0 est le meilleur et 255 est le pire.
Un autre exemple, puis nous allons commencer la configuration :
Router (config) # ip route 172.16.3.0 255.255.255.0 s0 / 0/0
Au lieu d'utiliser une adresse de saut suivant, nous pouvons utiliser une interface de sortie qui fera apparaître la route
comme un réseau directement connecté. Fonctionnellement, l'interface de saut suivant et de sortie fonctionne exactement comme
même.
Pour vous aider à comprendre le fonctionnement des routes statiques, je vais vous montrer la configuration sur le
l'interréseau illustré précédemment à la figure 9.8 . Le voici à nouveau dans la figure 9.9 pour vous éviter la peine
d'avoir à faire des allers-retours pour voir la même figure.
FIGURE 9.9 Notre interréseau
Société
Page 131
Chaque table de routage inclut automatiquement les réseaux directement connectés. Pour être en mesure d'acheminer vers tous
réseaux indirectement connectés au sein de l'interréseau, la table de routage doit inclure
informations qui décrivent où se trouvent ces autres réseaux et comment y accéder.
Le routeur Corp est connecté à trois réseaux. Pour que le routeur Corp puisse router vers tous
réseaux, les réseaux suivants doivent être configurés dans sa table de routage :
192.168.10.0
192.168.20.0
La sortie de routeur suivante montre les routes statiques sur le routeur Corp et la table de routage après
la config. Pour que le routeur Corp trouve les réseaux distants, je devais placer une entrée dans
la table de routage décrivant le réseau distant, le masque distant, et où envoyer le
paquets. Je vais ajouter un 150 à la fin de chaque ligne pour augmenter la distance administrative. Vous allez
voir pourquoi bientôt lorsque nous arrivons au routage dynamique. Souvent, cela est également appelé flotteur
route statique car la route statique a une distance administrative plus élevée que n'importe quel routage
protocole et ne sera utilisé que si les routes trouvées avec les protocoles de routage tombent en panne. Ici se trouve le
sortir:
Corp# config t
Corp(config)# ip route 192.168.10.0 255.255.255.0 172.16.10.2 150
Corp(config)# ip route 192.168.20.0 255.255.255.0 s0/1 150
Corp(config)# affiche l'exécution | commencer la route ip
route IP 192.168.10.0 255.255.255.0 172.16.10.2 150
ip route 192.168.20.0 255.255.255.0 Serial0/1 150
J'avais besoin d'utiliser des chemins différents pour les réseaux 192.168.10.0 et 192.168.20.0, j'ai donc utilisé un saut suivant
adresse pour le routeur SF et une interface de sortie pour le routeur LA. Une fois que le routeur a été
configuré, vous pouvez simplement taper show ip route pour voir les routes statiques :
Corp(config)# affiche la route IP

S 192.168.10.0/24 [150/0] via 172.16.10.2
S 192.168.20.0/24 est directement connecté, Serial0/1
Le routeur Corp est configuré pour acheminer et connaître toutes les routes vers tous les réseaux. Mais pouvez-vous voir un
différence dans la table de routage pour les routes vers SF et LA ? C'est exact! Le prochain saut
la configuration s'est présentée comme via, et la route configurée avec une configuration d'interface de sortie
apparaît comme statique mais aussi comme directement connecté ! Cela montre comment ils sont fonctionnellement
le même mais s'affichera différemment dans la table de routage.
Comprenez que si les routes n'apparaissent pas dans la table de routage, c'est parce que le routeur ne peut pas
communiquer avec l'adresse de saut suivant que vous avez configurée. Mais vous pouvez toujours utiliser le permanent
paramètre pour conserver la route dans la table de routage même si le périphérique du saut suivant ne peut pas être contacté.
Le S dans la première entrée de la table de routage signifie que la route est une entrée statique. Le [150/0] signifie
la distance administrative et la métrique au réseau distant, respectivement.
D'accord, nous allons bien. Le routeur Corp dispose désormais de toutes les informations nécessaires pour communiquer avec le
d'autres réseaux distants. Cependant, gardez à l'esprit que si les routeurs SF et LA ne sont pas configurés avec tous
les mêmes informations, les paquets seront rejetés. Nous pouvons résoudre ce problème en configurant des routes statiques.
Ne vous souciez pas du tout des 150 à la fin de la configuration de la route statique,
parce que je promets d'y arriver très bientôt dans ce chapitre, pas un plus tard ! Vous n'avez vraiment pas
besoin de s'en soucier à ce stade.
132
SF
Le routeur SF est directement connecté aux réseaux 172.16.10.0/30 et 192.168.10.0/24, qui

signifie que je dois configurer les routes statiques suivantes sur le routeur SF :
10.10.10.0/24
192.168.20.0/24
172.16.10.4/30
La configuration du routeur SF est révélée dans la sortie suivante. N'oubliez pas que nous allons
ne jamais créer de route statique vers un réseau auquel nous sommes directement connectés ainsi que le fait que nous
doit utiliser le prochain saut de 172.16.10.1 car c'est notre seule connexion de routeur. Voyons le
commandes :
SF(config)# ip route 10.10.10.0 255.255.255.0 172.16.10.1 150

SF(config)# itinéraire IP 172.16.10.4 255.255.255.252 172.16.10.1 150
SF(config)# itinéraire IP 192.168.20.0 255.255.255.0 172.16.10.1 150
SF(config)# affiche l'exécution | commencer la route ip
route IP 10.10.10.0 255.255.255.0 172.16.10.1 150
route IP 172.16.10.4 255.255.255.252 172.16.10.1 150
route IP 192.168.20.0 255.255.255.0 172.16.10.1 150
En regardant la table de routage, vous pouvez voir que le routeur SF comprend maintenant comment trouver chaque
réseau:
SF(config)# affiche la route IP

S 172.16.10.4 [150/0] via 172.16.10.1
S 192.168.20.0/24 [150/0] via 172.16.10.1
S 10.10.10.0 [150/0] via 172.16.10.1
Et nous pouvons maintenant être assurés que le routeur SF dispose également d'une table de routage complète. Aussitôt que
le routeur LA a tous les réseaux dans sa table de routage, SF pourra communiquer avec tous
réseaux distants !
LA
Le routeur LA est directement connecté à 192.168.20.0/24 et 172.16.10.4/30, ce sont donc les

itinéraires qui doivent être ajoutés :
10.10.10.0/24
172.16.10.0/30
192.168.10.0/24
Et voici la configuration du routeur LA :
LA# config t
LA(config)# ip route 10.10.10.0 255.255.255.0 172.16.10.5 150
LA(config)# itinéraire IP 172.16.10.0 255.255.255.252 172.16.10.5 150
LA(config)# itinéraire IP 192.168.10.0 255.255.255.0 172.16.10.5 150
LA(config)# affiche l'exécution | commencer la route ip
ip route 10.10.10.0 255.255.255.0 172.16.10.5 150
route IP 172.16.10.0 255.255.255.252 172.16.10.5 150
route IP 192.168.10.0 255.255.255.0 172.16.10.5 150
Cette sortie affiche la table de routage sur le routeur LA :
LA(config)# faire la route IP

S 192.168.10.0/24 [150/0] via 172.16.10.5
S 172.16.10.0 [150/0] via 172.16.10.5
Page 133

S 10.10.10.0 [150/0] via 172.16.10.5
LA affiche désormais les cinq réseaux de l'interréseau, de sorte qu'il peut également communiquer avec tous
routeurs et réseaux. Mais avant de tester notre petit réseau, ainsi que notre serveur DHCP, allons
couvrir un autre sujet.
Routage par défaut

Les routeurs SF et LA que j'ai connectés au routeur Corp sont considérés comme des routeurs stub. Un talon
indique que les réseaux de cette conception n'ont qu'une seule issue pour atteindre tous les autres réseaux,
ce qui signifie qu'au lieu de créer plusieurs routes statiques, nous pouvons simplement utiliser une seule route par défaut.
Cette route par défaut est utilisée par IP pour transférer tout paquet avec une destination introuvable dans le routage
table, c'est pourquoi on l'appelle aussi passerelle de dernier recours. Voici la configuration que je pourrais avoir
fait sur le routeur LA au lieu de taper les routes statiques en raison de son statut de stub :
LA# config t
LA(config)# pas de route IP 10.10.10.0 255.255.255.0 172.16.10.5 150
LA(config)# itinéraire ip 0.0.0.0 0.0.0.0 172.16.10.5
LA(config)# faire la route IP
[coupure de sortie]
La passerelle de dernier recours est 172.16.10.5 vers le réseau 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.16.10.5
D'accord, j'ai supprimé toutes les routes statiques initiales que j'avais configurées, et l'ajout d'une route par défaut est un
beaucoup plus facile que de taper un tas de routes statiques ! Pouvez-vous voir l'itinéraire par défaut répertorié en dernier dans le
table de routage? Le S* le montre en tant que candidat pour la route par défaut. Et je veux vraiment que tu
notez que la passerelle de dernier recours est désormais également définie. Tout ce que le routeur reçoit avec un
destination non trouvée dans la table de routage sera transmise au 172.16.10.5. Vous devez être
attention où vous placez les routes par défaut car vous pouvez facilement créer une boucle de réseau !
Nous y sommes donc, nous avons configuré toutes nos tables de routage ! Tous les routeurs ont le bon routage
table, de sorte que tous les routeurs et hôtes devraient pouvoir communiquer sans accroc, pour le moment. Mais si tu
ajouter encore un réseau ou un autre routeur à l'interréseau, vous devrez mettre à jour chacun
et les tables de routage de chaque routeur à la main—pouah ! Pas vraiment un problème du tout si vous avez un petit
réseau comme nous le faisons, mais ce serait un monstre chronophage si vous avez affaire à un grand
interréseau !
Vérification de votre configuration
Mais nous n'avons pas encore terminé : une fois que toutes les tables de routage des routeurs sont configurées, elles doivent être vérifiées.
La meilleure façon de le faire, en plus d'utiliser la commande show ip route , est via Ping. je vais commencer par ping
du routeur Corp au routeur SF.
Voici le résultat que j'ai obtenu :
Corp# ping 192.168.10.1

!!!!!
Ici, vous pouvez voir que j'ai envoyé un ping du routeur Corp à l'interface distante du routeur SF.
Maintenant, pingons le réseau distant sur le routeur LA, et après cela, nous testerons notre serveur DHCP
et regarde si ça marche aussi !
Corp# ping 192.168.20.1

Page 134
!!!!!
Et pourquoi ne pas tester ma configuration du serveur DHCP sur le routeur Corp pendant qu'on y est ? je suis
va aller à chaque hôte sur les routeurs SF et LA et en faire des clients DHCP. D'ailleurs, je suis
utiliser un ancien routeur pour représenter les « hôtes », ce qui fonctionne très bien à des fins d'étude.
Voici comment j'ai fait ça :
SF_PC(config)# int e0
SF_PC(config-if)# adresse ip dhcp
SF_PC(config-if)# non fermé
Interface Ethernet0 attribuée adresse DHCP 192.168.10.8, masque 255.255.255.0
LA_PC(config)# int e0
LA_PC(config-if)# adresse ip dhcp
LA_PC(config-if)# pas de fermeture
Interface Ethernet0 affectée à l'adresse DHCP 192.168.20.4, masque 255.255.255.0
Joli! N'aimez-vous pas quand les choses fonctionnent juste la première fois ? Malheureusement, ce n'est tout simplement pas réaliste
attentes dans le monde des réseaux, nous devons donc être en mesure de dépanner et de vérifier nos
réseaux. Vérifions notre serveur DHCP avec quelques-unes des commandes que vous avez apprises au chapitre
7:
Liaison dhcp d'expédition de la société #

Liaisons de tous les pools non associés à VRF :
adresse IP Identité du client/ Échéance du bail Taper
Adresse matérielle/
Nom d'utilisateur
192.168.10.8 0063.6973.636f.2d30. 16 sept. 2013 10:34 AM Automatique
3035.302e.3062.6330.
2e30.3063.632d.4574.
30
192.168.20.4 0063.6973.636f.2d30. 16 sept. 2013 10:46 AM Automatique
3030.322e.3137.3632.
2e64.3032.372d.4574.
30
On voit plus haut que notre petit serveur DHCP fonctionne ! Essayons un autre couple de
commandes :
Corp# expédition pool dhcp SF_LAN

Piscine SF_LAN :
Note d'utilisation (haut/bas) : 100 / 0
Taille du sous-réseau (premier/suivant) : 0 / 0
Nombre total d'adresses : 254
Adresses louées :3
Événement en attente : rien
1 sous-réseau est actuellement dans le pool :
Indice actuel Plage d'adresses IP Adresses louées
192.168.10.9 192.168.10.1 - 192.168.10.254 3
Conflit dhcp d'expédition de la société #

adresse IP Méthode de détection Temps de détection DRV
La dernière commande nous dirait si nous avions deux hôtes avec la même adresse IP, donc c'est une bonne nouvelle
car il n'y a pas de conflits signalés ! Deux méthodes de détection sont utilisées pour le confirmer :
Un ping du serveur DHCP pour s'assurer qu'aucun autre hôte ne répond avant de distribuer un
adresse
Un ARP gratuit d'un hôte qui reçoit une adresse DHCP du serveur
Le client DHCP enverra une requête ARP avec sa nouvelle adresse IP cherchant à voir si quelqu'un
répond, et si c'est le cas, il signalera le conflit au serveur.
D'accord, puisque nous pouvons communiquer de bout en bout et avec chaque hôte sans problème pendant que
recevoir des adresses DHCP de notre serveur, je dirais nos configurations de routes statiques et par défaut
ont été un succès — bravo !
Routage dynamique
135
Le routage dynamique se produit lorsque des protocoles sont utilisés pour rechercher des réseaux et mettre à jour les tables de routage sur
routeurs. C'est beaucoup plus facile que d'utiliser le routage statique ou par défaut, mais cela vous coûtera en termes de
traitement CPU du routeur et bande passante sur les liaisons réseau. Un protocole de routage définit l'ensemble des
règles utilisées par un routeur lorsqu'il communique des informations de routage entre des routeurs voisins.
Le protocole de routage dont je vais parler dans ce chapitre est le protocole d'information de routage
(RIP) versions 1 et 2.
Deux types de protocoles de routage sont utilisés dans les interréseaux : les protocoles de passerelle intérieure (IGP) et
protocoles de passerelle extérieure (EGP) . Les IGP sont utilisés pour échanger des informations de routage avec les routeurs
dans le même système autonome (AS) . Un AS est soit un réseau unique, soit un ensemble de réseaux
sous un domaine administratif commun, ce qui signifie essentiellement que tous les routeurs partageant le même
Les informations de table de routage sont dans le même AS. Les EGP sont utilisés pour communiquer entre les AS. Un
un exemple d'EGP est le Border Gateway Protocol (BGP), dont nous n'allons pas nous occuper
car cela dépasse le cadre de ce livre.
Étant donné que les protocoles de routage sont si essentiels au routage dynamique, je vais vous donner les bases
informations que vous devez connaître à leur sujet ensuite. Plus loin dans ce chapitre, nous nous concentrerons sur
configuration.
Principes de base du protocole de routage

Il y a des choses importantes que vous devez savoir sur les protocoles de routage avant d'aller plus loin
dans le routage RIP. Connaître les distances administratives et les trois différents types de
protocoles de routage, par exemple. Nous allons jeter un coup d'oeil.
Distances administratives
La distance administrative (AD) est utilisée pour évaluer la fiabilité des informations de routage
reçu sur un routeur d'un routeur voisin. Une distance administrative est un nombre entier de 0 à
255, où 0 est le plus fiable et 255 signifie qu'aucun trafic ne sera transmis via cette route.
Si un routeur reçoit deux mises à jour répertoriant le même réseau distant, la première chose que le routeur vérifie
est l'AD. Si l'une des routes annoncées a un AD inférieur à l'autre, alors la route avec le
AD le plus bas sera choisi et placé dans la table de routage.
Si les deux routes annoncées vers le même réseau ont le même AD, alors les métriques du protocole de routage
comme le nombre de sauts et/ou la bande passante des lignes seront utilisés pour trouver le meilleur chemin vers la télécommande
réseau. La route annoncée avec la métrique la plus basse sera placée dans la table de routage, mais si
les deux routes annoncées ont le même AD ainsi que les mêmes métriques, puis le protocole de routage
équilibrera la charge sur le réseau distant, ce qui signifie que le protocole enverra des données sur chaque lien.
Le Tableau 9.1 montre les distances administratives par défaut qu'un routeur Cisco utilise pour décider
route à emprunter vers un réseau distant.
TABLEAU 9.1 Distances administratives par défaut
Source de l'itinéraire AD par défaut
Interface connectée 0
Route statique 1
BGP externe 20
EIGRP 90
OSPF 110
DÉCHIRURE 120
EIGRP externe 170
BGP interne 200
Inconnu 255 (Cet itinéraire ne sera jamais utilisé.)
Page 136
Si un réseau est directement connecté, le routeur utilisera toujours l'interface connectée au

réseau. Si vous configurez une route statique, le routeur croira alors cette route sur n'importe quel autre
ceux dont il apprend. Vous pouvez modifier la distance administrative des routes statiques, mais par défaut,
ils ont un AD de 1. Dans notre précédente configuration de route statique, l'AD de chaque route est défini à
150. Cet AD nous permet de configurer des protocoles de routage sans avoir à supprimer les routes statiques
car c'est bien de les avoir là pour la sauvegarde au cas où le protocole de routage en rencontrerait
genre d'échec.
Si vous avez une route statique, une route annoncée par RIP et une route annoncée par EIGRP répertoriant les
même réseau, avec quelle route le routeur ira-t-il ? C'est vrai, par défaut, le routeur
utilisez toujours la route statique à moins que vous ne changiez son AD, ce que nous avons fait !
Protocoles de routage
Il existe trois classes de protocoles de routage :
Vecteur de distance Les protocoles de vecteur de distance utilisés aujourd'hui trouvent le meilleur chemin vers un
réseau en jugeant la distance. Dans le routage RIP, chaque instance où un paquet passe par un routeur
est appelé un saut, et la route avec le moins de sauts vers le réseau sera choisie comme
meilleur. Le vecteur indique la direction vers le réseau distant. RIP est un vecteur de distance
protocole de routage et envoie périodiquement la totalité de la table de routage aux
voisins.
État de la liaison Dans les protocoles à état de liaison, également appelés protocoles SPF (shortest-path-first), les routeurs
chacun crée trois tables distinctes. L'une de ces tables garde la trace des voisins directement attachés,
l'un détermine la topologie de l'ensemble de l'interréseau et l'autre sert de table de routage.
Les routeurs à état de liens en savent plus sur l'interréseau que n'importe quel protocole de routage à vecteur de distance
jamais pu. OSPF est un protocole de routage IP entièrement à état de lien. Tables de routage à état de liens
ne sont pas échangés périodiquement. Au lieu de cela, des mises à jour déclenchées contenant uniquement un état de lien spécifique
les informations sont envoyées. Keepalives périodiques petites et efficaces, sous forme de bonjour
messages, sont échangés entre voisins directement connectés pour établir et maintenir
relations de voisinage.
Vecteur de distance avancé Les protocoles de vecteur de distance avancé utilisent des aspects à la fois de
protocoles vectoriels et à état de liens, et EIGRP est un excellent exemple. EIGRP peut agir comme un état de liaison
protocole de routage car il utilise un protocole Hello pour découvrir les voisins et former des voisins
relations et parce que seules des mises à jour partielles sont envoyées lorsqu'un changement se produit. Cependant, EIGRP
est toujours basé sur le principe clé du protocole de routage à vecteur de distance selon lequel les informations sur le
le reste du réseau est appris des voisins directement connectés.
Il n'y a pas d'ensemble de règles à suivre qui dictent exactement comment configurer largement les protocoles de routage
pour chaque situation. C'est une tâche qui doit vraiment être entreprise au cas par cas, avec un œil
sur les besoins spécifiques de chacun. Si vous comprenez comment les différents protocoles de routage
travail, vous pouvez prendre de bonnes décisions solides qui répondront solidement aux besoins individuels de tout
Entreprise!
Protocole d'informations de routage (RIP)

Le protocole d'information de routage (RIP) est un véritable protocole de routage à vecteur de distance. RIP envoie le
compléter la table de routage de toutes les interfaces actives toutes les 30 secondes. Il s'appuie sur le nombre de sauts pour
déterminer le meilleur chemin vers un réseau distant, mais il a un nombre de sauts maximum autorisé de 15 par
par défaut, donc une destination de 16 serait considérée comme inaccessible. RIP fonctionne bien en très petit
réseaux, mais c'est super inefficace sur les grands réseaux avec des liaisons WAN lentes ou sur les réseaux avec un
grand nombre de routeurs installés et totalement inutiles sur les réseaux qui ont des liens avec
bandes passantes variables !
RIP version 1 utilise uniquement le routage par classe , ce qui signifie que tous les périphériques du réseau doivent utiliser
le même masque de sous-réseau. C'est parce que RIP version 1 n'envoie pas de mises à jour avec le masque de sous-réseau
informations en remorque. RIP version 2 fournit quelque chose appelé routage de préfixe et envoie un sous-réseau
masquer les informations avec ses mises à jour d'itinéraire. C'est ce qu'on appelle le routage sans classe .
Page 137
Donc, avec cela, configurons notre réseau actuel avec RIPv2, avant de passer au suivant
chapitre.
Configuration du routage RIP

Pour configurer le routage RIP, activez simplement le protocole avec la commande router rip et dites au RIP
protocole de routage des réseaux à annoncer. N'oubliez pas qu'avec le routage statique, nous
des réseaux distants configurés et jamais tapé une route vers nos réseaux directement connectés ? Bien,
le routage dynamique s'effectue à l'inverse. Vous ne taperiez jamais une télécommande
réseau sous votre protocole de routage - n'entrez que vos réseaux directement connectés ! Faisons
configurer notre interréseau à trois routeurs, revisité à la figure 9.9 , avec le routage RIP.
Société
RIP a une distance administrative de 120. Les routes statiques ont une distance administrative de 1 par
par défaut, et puisque nous avons actuellement des routes statiques configurées, les tables de routage ne seront pas
renseigné par défaut avec les informations RIP. Nous sommes toujours bons parce que j'ai ajouté le 150 à
la fin de chaque route statique !
Vous pouvez ajouter le protocole de routage RIP à l'aide de la commande router rip et de la commande network .
La commande network indique au protocole de routage quel réseau classful annoncer. En faisant
ceci, vous activez le processus de routage RIP sur les interfaces dont l'adressage relève du
réseaux par classe spécifiés configurés avec la commande network sous le processus de routage RIP.
Regardez la configuration du routeur Corp pour voir à quel point c'est facile. Oh, attendez, d'abord, je veux vérifier mon
réseaux directement connectés donc je sais avec quoi configurer RIP :
Corp# expédition brève

Série0/0 172.16.10.1 OUI manuel haut en haut
Série0/1 172.16.10.5 OUI manuel haut en haut
Corp# config t
Corp(config)# routeur rip
Corp(config-router)# réseau 10.0.0.0
Corp(config-router)# réseau 172.16.0.0
Corp(config-router)# version 2
Corp(config-router)# pas de résumé automatique
C'est ça, vraiment ! Généralement, juste deux ou trois commandes et vous avez terminé, ce qui rend votre
travail beaucoup plus facile que de traiter des routes statiques, n'est-ce pas ? Assurez-vous de garder à l'esprit le routeur supplémentaire
Processus CPU et bande passante que vous consommez.
Quoi qu'il en soit, alors qu'est-ce que j'ai fait exactement ici? J'ai activé le protocole de routage RIP, ajouté mon directement
réseaux connectés, je me suis assuré que je n'exécutais que RIPv2, qui est un protocole de routage sans classe,
puis j'ai désactivé le résumé automatique. Nous ne voulons généralement pas que nos protocoles de routage résument
pour nous car il est préférable de le faire manuellement et à la fois RIP et EIGRP (avant le code 15.x) auto-
résumer par défaut. Donc, une règle générale est de désactiver le résumé automatique, ce qui leur permet
pour annoncer des sous-réseaux.
Remarquez que je n'ai pas tapé de sous-réseaux, seulement l'adresse réseau par classe, qui est trahie par le fait
que tous les bits de sous-réseau et les bits d'hôte sont désactivés ! C'est parce qu'avec le routage dynamique, ce n'est pas mon travail et
c'est au protocole de routage de trouver les sous-réseaux et de remplir les tables de routage. Et puisque nous
n'ayez aucun routeur associé exécutant RIP, nous ne verrons pas encore de routes RIP dans la table de routage.
N'oubliez pas que RIP utilise l'adresse par classe lors de la configuration du réseau
adresse. Pour clarifier cela, référez-vous à l'exemple dans notre réseau avec une adresse de
172.16.0.0/24 en utilisant les sous-réseaux 172.16.10.0 et 172.16.20.0. Vous ne saisiriez que le
l'adresse réseau classful de 172.16.0.0 et laissez RIP trouver les sous-réseaux et les placer dans le
table de routage. Cela ne signifie pas que vous exécutez un protocole de routage par classe ; c'est juste le
Page 138
façon dont RIP et EIGRP sont configurés.
SF
Configurons maintenant notre routeur SF, qui est connecté à deux réseaux. Nous devons configurer
les deux réseaux classful directement connectés, pas les sous-réseaux :
SF# expédition brève

Serial0/0/0 172.16.10.2 OUI manuel up en haut
SF#config
SF(config)# routeur rip
SF(config-router)# réseau 192.168.10.0
SF(config-router)# réseau 172.16.0.0
SF(config-routeur)# version 2
SF(config-router)# pas de résumé automatique
SF(config-router)# affiche la route IP
R 172.16.10.4 [120/1] via 172.16.10.1, 00:00:08, Série0/0/0
S 192.168.20.0/24 [150/0] via 172.16.10.1
R 10.10.10.0 [120/1] via 172.16.10.1, 00:00:08, Série0/0/0
C'était assez simple. Parlons de cette table de routage. Puisque nous avons un copain RIP
là-bas avec qui nous échangeons des tables de routage, nous pouvons voir les réseaux RIP en provenance de
le routeur Corp. Toutes les autres routes apparaissent toujours comme statiques et locales. RIP a également trouvé les deux
connexions via le routeur Corp aux réseaux 10.10.10.0 et 172.16.10.4. Mais nous ne sommes pas
déjà fait!
LA
Configurons notre routeur LA avec RIP, seulement je vais d'abord supprimer la route par défaut, même
même si je n'ai pas à le faire. Vous verrez pourquoi bientôt :
LA# config t
LA(config)# pas de route IP 0.0.0.0 0.0.0.0
LA(config)# routeur rip
LA(config-routeur)# réseau 192.168.20.0
LA(config-routeur)# réseau 172.16.0.0
LA(config-router)# pas d'auto
LA(config-routeur)# vers 2
LA(config-router)# affiche la route IP
R 192.168.10.0/24 [120/2] via 172.16.10.5, 00:00:10, Série0/0/1
R 172.16.10.0 [120/1] via 172.16.10.5, 00:00:10, Série0/0/1
R 10.10.10.0 [120/1] via 172.16.10.5, 00:00:10, Série0/0/1
La table de routage fait germer de nouveaux R au fur et à mesure que nous ajoutons des amis RIP ! Nous pouvons encore voir que tous les itinéraires sont en
la table de routage.
Cette sortie nous montre essentiellement la même table de routage et les mêmes entrées qu'elle avait lorsque nous
utilisaient des routes statiques, sauf pour les R s ». Un R indique que les réseaux ont été ajoutés
dynamiquement à l'aide du protocole de routage RIP. Le [120/1] est la distance administrative du
route (120) avec la métrique, qui pour RIP est le nombre de sauts vers ce réseau distant
(1). Depuis le routeur Corp, tous les réseaux sont à un saut.
Donc, bien que oui, il est vrai que RIP a fonctionné dans notre petit interréseau, ce n'est tout simplement pas une excellente solution
Page 139
pour la plupart des entreprises. Son nombre maximum de sauts de seulement 15 est un facteur très limitatif. Et cela
effectue des mises à jour complètes de la table de routage toutes les 30 secondes, ce qui apporterait un plus grand interréseau à
un crawl douloureux en un rien de temps !
Il y a encore une chose que je veux vous montrer sur les tables de routage RIP et les paramètres utilisés
pour annoncer les réseaux distants. Utiliser un routeur différent sur un réseau différent comme exemple pour un
Deuxièmement, examinez la sortie suivante. Pouvez-vous repérer où la table de routage suivante montre
[120/15] dans
la métrique de réseau 10.1.3.0 ? Cela signifie que la distance administrative est de 120, le
par défaut pour RIP, mais le nombre de sauts est de 15. N'oubliez pas qu'à chaque fois qu'un routeur envoie une mise à jour
à un routeur voisin, le nombre de sauts augmente d'un incrément pour chaque route ! Voici ça
sortie maintenant :
Routeur# itinéraire de livraison

L 10.1.10.1/32 est directement connecté, FastEthernet/0/0
R 10.1.9.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.8.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.12.0 [120/1] via 10.1.11.2, 00:00:00, FastEthernet0/1
R 10.1.3.0 [120/15] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.2.0 [120/1] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.1.0 [120/1] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.7.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.6.0 [120/2] via 10.1.5.1, 00:00:15, Série0/0/1
R 10.1.4.0 [120/1] via 10.1.5.1, 00:00:15, Série0/0/1
Donc ce [120/15] est vraiment mauvais. Nous sommes fondamentalement condamnés parce que le prochain routeur qui reçoit le
table de ce routeur supprimera simplement la route vers le réseau 10.1.3.0 car le nombre de sauts serait
monter à 16, ce qui est invalide !
Si un routeur reçoit une mise à jour de routage qui contient un chemin plus coûteux vers un
réseau qui est déjà dans sa table de routage, la mise à jour sera ignorée.
Maintien des propagations RIP

Vous ne voulez probablement pas que votre réseau RIP soit annoncé partout sur votre LAN et WAN.
Il y a déjà assez de stress dans le réseautage et il n'y a pas grand-chose à gagner en faisant de la publicité pour votre
RIP réseau à Internet !
Il existe différentes manières d'empêcher les mises à jour RIP indésirables de se propager sur votre
LAN et WAN, et le plus simple est via la commande passive-interface . Cette commande
empêche les diffusions de mise à jour RIP d'être envoyées à partir d'une interface spécifiée mais permet toujours que
même interface pour recevoir les mises à jour RIP.
Voici un exemple de configuration d'une interface passive sur l' interface Fa0/1 du routeur Corp,
que nous prétendrons être connecté à un réseau local sur lequel nous ne voulons pas RIP (et l'interface n'est pas
montré sur la figure) :
Corp# config t
Corp(config-router)# interface passive FastEthernet 0/1
Cette commande arrêtera la propagation des mises à jour RIP hors de l'interface FastEthernet 0/1,
mais il peut toujours recevoir des mises à jour RIP.
Doit-on vraiment utiliser RIP dans un interréseau ?
Page 140
Vous avez été embauché en tant que consultant pour installer quelques routeurs Cisco dans un
réseau. Ils ont quelques vieux routeurs Unix qu'ils veulent garder sur le réseau.
Ces routeurs ne prennent en charge aucun protocole de routage à l'exception de RIP. Je suppose que cela signifie que vous venez
doivent exécuter RIP sur l'ensemble du réseau. Si tu étais chauve avant, ta tête brille maintenant
comme le chrome.
Pas besoin d'abandonner le navire, vous pouvez exécuter RIP sur un routeur connectant cet ancien
réseau, mais vous n'avez certainement pas besoin d'exécuter RIP sur tout l'interréseau !
Vous pouvez faire ce qu'on appelle la redistribution , qui se traduit essentiellement par un type de
protocole de routage vers un autre. Cela signifie que vous pouvez prendre en charge ces anciens routeurs à l'aide de RIP
mais utilisez quelque chose de bien mieux comme Enhanced IGRP sur le reste de votre réseau.
Cela empêchera les routes RIP d'être envoyées sur tout l'interréseau engloutissant tout ce qui
bande passante précieuse !
Annoncer une route par défaut à l'aide de RIP
Maintenant, je vais vous expliquer comment annoncer un moyen de sortir de votre système autonome pour
autres routeurs, et vous verrez que cela se fait de la même manière avec OSPF. Imaginez que notre Corp
L'interface Fa0/0 du routeur est connectée à un certain type de Metro-Ethernet en tant que connexion au
L'Internet. Il s'agit d'une configuration assez courante aujourd'hui qui utilise une interface LAN pour se connecter à
le FAI au lieu d'une interface série.
Si nous ajoutons une connexion Internet à Corp, tous les routeurs de notre AS (SF et LA) doivent savoir où
envoyer des paquets destinés aux réseaux sur Internet ou ils vont simplement laisser tomber les paquets quand ils
obtenir une demande à distance. Une solution à ce petit problème serait de placer une route par défaut sur chaque
routeur et acheminer les informations vers Corp, qui à son tour aurait une route par défaut vers le FAI.
La plupart des gens font ce type de configuration dans des réseaux de petite à moyenne taille, car il
fonctionne plutôt bien !
Mais comme j'exécute RIPv2 sur tous les routeurs, je vais simplement ajouter une route par défaut sur le routeur Corp à notre
FAI, comme je le ferais normalement. Je vais ensuite ajouter une autre commande pour annoncer mon réseau à l'autre
routeurs dans l'AS comme route par défaut pour leur montrer où envoyer les paquets destinés au
L'Internet.
Voici ma nouvelle configuration Corp :
Corp(config)# ip route 0.0.0.0 0.0.0.0 fa0/0

Corp(config-router)# les informations par défaut proviennent
Voyons maintenant la dernière entrée trouvée dans la table de routage Corp :

Voyons si le routeur LA peut voir cette même entrée :
itinéraire de navire LA#

La passerelle de dernier recours est 172.16.10.5 vers le réseau 0.0.0.0
R 192.168.10.0/24 [120/2] via 172.16.10.5, 00:00:04, Série0/0/1

R 172.16.10.0 [120/1] via 172.16.10.5, 00:00:04, Série0/0/1
R 10.10.10.0 [120/1] via 172.16.10.5, 00:00:04, Série0/0/1
R 192.168.218.0/24 [120/3] via 172.16.10.5, 00:00:04, Série0/0/1
R 192.168.118.0/24 [120/2] via 172.16.10.5, 00:00:05, Série0/0/1
R* 0.0.0.0/0 [120/1] via 172.16.10.5, 00:00:05, Série0/0/1
Pouvez-vous voir cette dernière entrée? Il crie que c'est une route injectée RIP, mais c'est aussi une route par défaut,
donc notre commande d' origine des informations par défaut fonctionne ! Enfin, notez que la passerelle de last
La station balnéaire est désormais également définie.
Page 141
Si tout ce que vous avez appris est clair et compris, félicitations, vous êtes prêt à passer à autre chose
au chapitre suivant juste après avoir parcouru les laboratoires écrits et pratiques, et pendant que vous êtes à
ça, n'oubliez pas les questions de révision !
Sommaire
Ce chapitre a couvert le routage IP en détail. Encore une fois, il est extrêmement important de bien comprendre les
bases que nous avons abordées dans ce chapitre, car tout ce qui est fait sur un routeur Cisco sera généralement
avoir une sorte de routage IP configuré et en cours d'exécution.
Vous avez appris comment le routage IP utilise des trames pour transporter des paquets entre les routeurs et vers le
hôte de destination. À partir de là, nous avons configuré le routage statique sur nos routeurs et discuté de la
distance administrative utilisée par IP pour déterminer la meilleure route vers un réseau de destination. Tu
découvert que si vous avez un réseau stub, vous pouvez configurer le routage par défaut, qui définit le
passerelle de dernier recours sur un routeur.
Nous avons ensuite discuté du routage dynamique, en particulier de RIPv2 et de son fonctionnement sur un interréseau,
ce qui n'est pas très bien !
Décrire le processus de routage IP de base. Vous devez vous rappeler que le cadre change à
chaque saut, mais que le paquet n'est jamais modifié ou manipulé de quelque façon que ce soit jusqu'à ce qu'il atteigne le
périphérique de destination (le champ TTL dans l'en-tête IP est décrémenté pour chaque saut, mais c'est tout !).
Répertoriez les informations requises par un routeur pour acheminer les paquets avec succès. Pouvoir
pour acheminer des paquets, un routeur doit connaître, au minimum, l'adresse de destination, l'emplacement de
routeurs voisins par lesquels il peut atteindre les réseaux distants, routes possibles vers tous les
réseaux, la meilleure route vers chaque réseau distant, et comment maintenir et vérifier le routage
informations.
Décrivez comment les adresses MAC sont utilisées pendant le processus de routage. Un MAC (matériel)
l'adresse ne sera utilisée que sur un réseau local local. Il ne passera jamais l'interface d'un routeur. Une trame utilise MAC
(matérielle) adresses pour envoyer un paquet sur un réseau local. La trame amènera le paquet soit à un hôte
sur le LAN ou l'interface d'un routeur (si le paquet est destiné à un réseau distant). Sous forme de paquets
passer d'un routeur à un autre, les adresses MAC utilisées changeront, mais normalement les adresses d'origine
les adresses IP source et de destination dans le paquet ne le seront pas.
Afficher et interpréter la table de routage d'un routeur. Utilisez la commande show ip route pour afficher
la table de routage. Chaque route sera répertoriée avec la source des informations de routage. Un C à
la gauche de l'itinéraire indiquera les itinéraires directement connectés, et d'autres lettres à côté de l'itinéraire peuvent
indiquer également un protocole de routage particulier qui a fourni l'information, comme, par exemple, R
pour RIP.
Différencier les trois types de routage. Les trois types de routage sont statiques (dans lesquels
les routes sont configurées manuellement au niveau de la CLI), dynamiques (dans lesquelles les routeurs partagent le routage
via un protocole de routage) et le routage par défaut (dans lequel une route spéciale est configurée pour
tout le trafic sans un réseau de destination plus spécifique trouvé dans le tableau).
Comparez et contrastez le routage statique et dynamique. Le routage statique ne crée aucun routage
mettre à jour le trafic et crée moins de surcharge sur le routeur et les liens réseau, mais il doit être
configuré manuellement et n'a pas la capacité de réagir aux pannes de liaison. Routage dynamique
crée un trafic de mise à jour de routage et utilise plus de temps système sur le routeur et les liaisons réseau.
Configurez les routes statiques sur la CLI. La syntaxe de commande pour ajouter une route est ip route
[destination_network] [mask] [next-hop_address ou exitinterface] [administrative_distance]
[permanent] .
Créez un itinéraire par défaut. Pour ajouter une route par défaut, utilisez la syntaxe de commande ip route 0.0.0.0
0.0.0.0 adresse IP ou type et numéro d'interface de sortie .
Page 142
Comprendre la distance administrative et son rôle dans la sélection du meilleur itinéraire.

La distance administrative (AD) est utilisée pour évaluer la fiabilité des informations de routage reçues
sur un routeur depuis un routeur voisin. La distance administrative est un entier compris entre 0 et 255, où 0
est le plus fiable et 255 signifie qu'aucun trafic ne passera via cette route. Tous les protocoles de routage
se voient attribuer un AD par défaut, mais il peut être modifié dans l'interface de ligne de commande.
Différencier les protocoles de routage à vecteur de distance, à état de lien et hybride. Distance-
les protocoles de routage vectoriels prennent des décisions de routage en fonction du nombre de sauts (pensez à RIP), tandis que l'état des liens
les protocoles de routage sont capables de prendre en compte plusieurs facteurs tels que la bande passante disponible et la construction d'un
tableau de topologie. Les protocoles de routage hybride présentent des caractéristiques des deux types.
Configurez le routage RIPv2. Pour configurer le routage RIP, vous devez d'abord être en configuration globale
mode , puis vous tapez la commande router rip . Ensuite, vous ajoutez tous les réseaux directement connectés,
en veillant à utiliser l'adresse classful et la commande version 2 et à désactiver l'auto-
résumé avec la commande no auto-summary .
Atelier 9.1 : Routage IP
1. À l'invite de commande appropriée, créez une route statique vers le réseau 172.16.10.0/24 avec un
passerelle de saut suivant de 172.16.20.1 et une distance administrative de 150.
2. Lorsqu'un PC envoie un paquet à un autre PC dans un réseau distant, quelles adresses de destination seront
être dans la trame qu'il envoie à sa passerelle par défaut ?
3. À l'invite de commande appropriée, créez une route par défaut vers 172.16.40.1.
4. Sur quel type de réseau une route par défaut est-elle la plus avantageuse ?
5. À l'invite de commande appropriée, affichez la table de routage sur votre routeur.
6. Lors de la création d'une route statique ou par défaut, vous n'avez pas besoin d'utiliser l'adresse IP du saut suivant ; tu
peut utiliser le ______________.
7. Vrai/Faux : Pour atteindre un hôte distant, vous devez connaître l'adresse MAC de l'hôte distant.
8. Vrai/Faux : Pour atteindre un hôte distant, vous devez connaître l'adresse IP de l'hôte distant.
9. À la ou aux invites de commande appropriées, empêchez un routeur de propager les informations RIP
sortie série 1.
10. Vrai/Faux : RIPv2 est considéré comme sans classe.
Dans les ateliers pratiques suivants, vous allez configurer un réseau avec trois routeurs. Ces exercices
supposent toutes les mêmes exigences de configuration que les laboratoires trouvés dans les chapitres précédents. Vous pouvez utiliser du vrai
routeurs, la version LammleSim IOS disponible sur www.lammle.com/ccna ou Cisco Packet Tracer
programme pour exécuter ces laboratoires.
Ce chapitre comprend les laboratoires suivants :
Atelier 9.1 : Créer des routes statiques
Atelier 9.2 : Configuration du routage RIP
L'interréseau illustré dans le graphique suivant sera utilisé pour configurer tous les routeurs.
Page 143
Le tableau 9.2 montre nos adresses IP pour chaque routeur (chaque interface utilise un masque /24).
TABLEAU 9.2 Nos adresses IP
Adresse IP de l'interface du routeur
Lab_A Fa0/0 172.16.10.1
Lab_A S0/0 172.16.20.1
Lab_B S0/0 172.16.20.2
Lab_B S0/1 172.16.30.1
Lab_C S0/0 172.16.30.2
Lab_C Fa0/0 172.16.40.1
Ces travaux pratiques ont été écrits sans utiliser l'interface LAN sur le routeur Lab_B. Vous pouvez choisir de
ajoutez ce réseau local aux laboratoires si nécessaire. De plus, si vous avez suffisamment d'interfaces LAN, vous ne
besoin d'ajouter les interfaces série dans ce laboratoire. L'utilisation de toutes les interfaces LAN est très bien.
Atelier pratique 9.1 : Créer des routes statiques

Dans cet atelier, vous allez créer une route statique dans les trois routeurs afin que les routeurs voient tous les réseaux.
Vérifiez avec le programme Ping une fois terminé.
1. Le routeur Lab_A est connecté à deux réseaux, 172.16.10.0 et 172.16.20.0. Vous devez
ajouter des routes aux réseaux 172.16.30.0 et 172.16.40.0. Utilisez les commandes suivantes pour ajouter le
routes statiques :
Lab_A# config t
Lab_A(config)# ip route 172.16.30.0 255.255.255.0
172.16.20.2
Lab_A(config)# ip route 172.16.40.0 255.255.255.0
172.16.20.2
2. Enregistrez la configuration actuelle du routeur Lab_A en passant en mode privilégié, en tapant copy
lancez start et appuyez sur Entrée.
3. Sur le routeur Lab_B, vous disposez de connexions directes aux réseaux 172.16.20.0 et 172.16.30.0.
Vous devez ajouter des routes aux réseaux 172.16.10.0 et 172.16.40.0. Utilisez le suivant
commandes pour ajouter les routes statiques :
Lab_B# config t
Lab_B(config)# ip route 172.16.10.0 255.255.255.0
172.16.20.1
Lab_B(config)# ip route 172.16.40.0 255.255.255.0
172.16.30.2
4. Enregistrez la configuration actuelle du routeur Lab_B en passant en mode activé, en tapant copy
lancez start et appuyez sur Entrée.
Page 144
5. Sur le routeur Lab_C, créez une route statique vers les réseaux 172.16.10.0 et 172.16.20.0, qui sont
pas directement connecté. Créez des routes statiques pour que le routeur Lab_C puisse voir tous les réseaux, en utilisant
les commandes montrées ici :
Lab_C# config t
Lab_C(config)# ip route 172.16.10.0 255.255.255.0
172.16.30.1
Lab_C(config)# ip route 172.16.20.0 255.255.255.0
172.16.30.1
6. Enregistrez la configuration actuelle du routeur Lab_C en passant en mode d'activation, en tapant copy run
start et appuyez sur Entrée.
7. Vérifiez vos tables de routage pour vous assurer que les quatre réseaux s'affichent en exécutant la commande show ip
commande d' itinéraire .
8. Maintenant, envoyez un ping de chaque routeur à vos hôtes et de chaque routeur à chaque routeur. S'il est mis en place
correctement, cela fonctionnera.
Travaux pratiques 9.2 : Configuration du routage RIP

Dans ce laboratoire, nous utiliserons le protocole de routage dynamique RIP au lieu du routage statique.
1. Supprimez toutes les routes statiques ou routes par défaut configurées sur vos routeurs à l'aide de la commande no ip
commande d' itinéraire . Par exemple, voici comment supprimer les routes statiques sur le Lab_A
routeur :
Lab_A# config t
Lab_A(config)# pas de route IP 172.16.30.0 255.255.255.0
172.16.20.2
Lab_A(config)# pas de route IP 172.16.40.0 255.255.255.0
172.16.20.2
Faites la même chose pour les routeurs Lab_B et Lab_C. Vérifiez que seul votre directement connecté
les réseaux sont dans les tables de routage.
2. Une fois que vos routes statiques et par défaut sont claires, passez en mode de configuration sur le routeur Lab_A en
en tapant config t .
3. Dites à votre routeur d'utiliser le routage RIP en tapant router rip et en appuyant sur Entrée, comme indiqué ici :
configuration t
déchirure de routeur
4. Ajoutez le numéro de réseau des réseaux que vous souhaitez annoncer. Étant donné que le routeur Lab_A a deux
interfaces qui se trouvent dans deux réseaux différents, vous devez saisir une déclaration de réseau à l'aide de la
ID de réseau du réseau dans lequel réside chaque interface. Alternativement, vous pouvez utiliser un
résumé de ces réseaux et d'utiliser une seule déclaration, en minimisant la taille de la
table de routage. Étant donné que les deux réseaux sont 172.16.10.0/24 et 172.16.20.0/24, le réseau
le résumé 172.16.0.0 inclurait les deux sous-réseaux. Pour ce faire, tapez network 172.16.0.0
et en appuyant sur Entrée.
5. Appuyez sur Ctrl+Z pour sortir du mode de configuration.
6. Les interfaces sur Lab_B et Lab_C sont dans les réseaux 172.16.20.0/24 et 172.16.30.0/24 ;
par conséquent, la même déclaration de réseau résumée y fonctionnera également. Tapez le même
commandes, comme indiqué ici :
Config t
Déchirement de routeur
réseau 172.16.0.0
7. Vérifiez que RIP s'exécute sur chaque routeur en saisissant les commandes suivantes sur chaque routeur :
afficher les protocoles IP
(Doit vous indiquer que RIP est présent sur le routeur.)
afficher l'itinéraire ip
Page 145
(Les routes devraient être présentes avec un R à leur gauche.)
show running-config ou show run
(Doit indiquer que RIP est présent et que les réseaux sont annoncés.)
8. Enregistrez vos configurations en tapant copy run start ou copy running-config startup-config et
appuyant sur Entrée sur chaque routeur.
9. Vérifiez le réseau en effectuant une requête ping sur tous les réseaux et hôtes distants.
1. Quelle commande a été utilisée pour générer la sortie suivante ?
Codes : L - local, C - connecté, S - statique,

[coupure de sortie]
10.0.0.0/8 est en sous-réseaux variable, 6 sous-réseaux, 4 masques
2. Vous visualisez la table de routage et vous voyez une entrée 10.1.1.1/32. Quel code de légende
vous attendez-vous à voir à côté de cette route?
A.C
B. L
C. S
D.D
3. Lesquelles des affirmations suivantes sont vraies concernant la commande ip route 172.16.4.0
255.255.255.0 192.168.4.2 ? (Choisissez deux.)
A. La commande est utilisée pour établir une route statique.
B. La distance administrative par défaut est utilisée.
C. La commande est utilisée pour configurer la route par défaut.
D. Le masque de sous-réseau de l'adresse source est 255.255.255.0.
E. La commande est utilisée pour établir un réseau de tronçon.
4. Quelles adresses de destination seront utilisées par HostA pour envoyer des données au serveur HTTPS comme indiqué
dans le réseau suivant ? (Choisissez deux.)
A. L'adresse IP du commutateur
B. L'adresse MAC du commutateur distant
C. L'adresse IP du serveur HTTPS
D. L'adresse MAC du serveur HTTPS
E. L'adresse IP de l'interface Fa0/0 de RouterA

Page 146
F. L'adresse MAC de l'interface Fa0/0 du routeurA
5. À l'aide de la sortie affichée, quel protocole a été utilisé pour apprendre l'adresse MAC de 172.16.10.1 ?
Interface : 172.16.10.2 --- 0x3

172.16.10.1 00-15-05-06-31-b0 dynamique
A. ICMP
B. ARP
C. TCP
D. UDP
6. Lequel des protocoles suivants est appelé protocole de routage à vecteur de distance avancé ?
A. OSPF
B. EIGRP
C. BGP
GOUTTE
7. Lorsqu'un paquet est acheminé sur un réseau, le_________________ dans le paquet change
à chaque saut alors que le __________ ne le fait pas.
A. Adresse MAC, adresse IP
B. Adresse IP, adresse MAC
C. Numéro de port, adresse IP
D. Adresse IP, numéro de port
8. Quelles affirmations sont vraies concernant les protocoles de routage sans classe ? (Choisissez deux.)
Page 147
A. L'utilisation de réseaux non contigus n'est pas autorisée.
B. L'utilisation de masques de sous-réseau de longueur variable est autorisée.
C. RIPv1 est un protocole de routage sans classe.
D. IGRP prend en charge le routage sans classe au sein du même système autonome.
E. RIPv2 prend en charge le routage sans classe.
9. Parmi les affirmations suivantes, lesquelles sont vraies en ce qui concerne le routage à vecteur de distance et à état de lien ?
protocoles ? (Choisissez deux.)
A. L'état du lien envoie sa table de routage complète hors de toutes les interfaces actives à un moment périodique
intervalles.
B. Le vecteur de distance envoie sa table de routage complète hors de toutes les interfaces actives à des intervalles périodiques
intervalles de temps.
C. L'état du lien envoie des mises à jour contenant l'état de ses propres liens à tous les routeurs du
interréseau.
D. Le vecteur de distance envoie des mises à jour contenant l'état de ses propres liens à tous les routeurs du
interréseau.
10. Lorsqu'un routeur recherche la destination dans la table de routage pour chaque paquet, il est
appelé_____________.
A. commutation dynamique
B. commutation rapide
C. commutation de processus
D. Transfert express Cisco
11. Quel(s) type(s) d'itinéraire sont les suivants ? (Choisissez tout ce qui correspond.)
S* 0.0.0.0/0 [1/0] via 172.16.10.5
Un défaut
B. Sous-réseau
C. Statique
D. Locale
12. Un administrateur réseau affiche la sortie de la commande show ip route . Un réseau qui
annoncé par RIP et EIGRP apparaît dans la table de routage signalée comme une route EIGRP.
Pourquoi la route RIP vers ce réseau n'est-elle pas utilisée dans la table de routage ?
A. EIGRP a un temporisateur de mise à jour plus rapide.
B. EIGRP a une distance administrative inférieure.
C. RIP a une valeur métrique plus élevée pour cette route.
D. La route EIGRP a moins de sauts.
E. Le chemin RIP a une boucle de routage.
13. Lequel des éléments suivants n'est pas un avantage du routage statique ?
A. Moins de surcharge sur le CPU du routeur
B. Aucune utilisation de la bande passante entre les routeurs
C. Ajoute la sécurité
D. Récupère automatiquement des itinéraires perdus
14. Quelle métrique RIPv2 utilise-t-il pour trouver le meilleur chemin vers un réseau distant ?
Page 148
A. Nombre de houblon
B. MTU
C. Délai d'interface cumulé
D. Charge
E. Valeur de la bande passante du chemin
15. Le routeur d'entreprise reçoit un paquet IP avec une adresse IP source de 192.168.214.20 et un
adresse de destination 192.168.22.3. En regardant la sortie du routeur Corp, quel sera le
routeur faire avec ce paquet?

[coupure de sortie]
R 192.168.215.0 [120/2] via 192.168.20.2, 00:00:23, Série0/0
R 192.168.115.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
R 192.168.30.0 [120/1] via 192.168.20.2, 00:00:23, Serial0/0
A. Le paquet sera jeté.
B. Le paquet sera acheminé hors de l'interface S0/0.
C. Le routeur diffusera à la recherche de la destination.
D. Le paquet sera acheminé hors de l'interface Fa0/0.
16. Si votre table de routage a une route statique, RIP et EIGRP vers le même réseau, ce qui
route sera utilisé pour acheminer les paquets par défaut ?
A. Tout itinéraire disponible
B. Route RIP
C. Route statique
D. Route EIGRP
E. Ils vont tous équilibrer la charge.
17. Lequel des éléments suivants est un EGP ?

A. RIPv2
B. EIGRP
C. BGP
GOUTTE
18. Lequel des éléments suivants est un avantage du routage statique ?
A. Moins de surcharge sur le CPU du routeur
B. Aucune utilisation de la bande passante entre les routeurs
C. Ajoute la sécurité
D. Récupère automatiquement des itinéraires perdus
19. Quelle commande a produit la sortie suivante ?

Serial0/0/0 172.16.10.2 OUI manuel up en haut
A. afficher l'itinéraire IP
B. afficher les interfaces
C. afficher le bref de l'interface IP
Page 149
D. montrer ip arp
20. Que signifie le 150 à la fin de la commande suivante ?
Router (config) # ip route 172.16.3.0 255.255.255.0 192.168.2.4 150
A. Métrique
B. Distance administrative
C. Nombre de houblon
D. Coût
Page 150
Chapitre 10
Commutation de couche 2
LES SUJETS SUIVANTS DE L'EXAMEN ICND1 SONT COUVERTS DANS

CE CHAPITRE:
2.1 Décrire et vérifier les concepts de commutation
2.1.a Apprentissage et vieillissement du MAC
2.1.b Commutation de trame
2.1.c Inondation de trame
2.1.d Tableau d'adresses MAC
2.7 Configurer, vérifier et dépanner la sécurité des ports
2.7.a Statique
2.7.b Dynamique
2.7.c Collant
2.7.d Adresses MAC max.
2.7.e Actions en violation
2.7.f Err-disable recovery
Lorsque les employés de Cisco discutent de la commutation en ce qui concerne le

Objectifs de l'examen Cisco, ils parlent de commutation de couche 2, sauf indication contraire. Couche 2
la commutation est le processus d'utilisation de l'adresse matérielle des périphériques sur un réseau local pour segmenter un réseau.
Puisque vous avez l'idée de base de la façon dont cela fonctionne maintenant, nous allons approfondir
dans les détails de la commutation de couche 2 pour vous assurer que votre concept de son fonctionnement est solide et
Achevée.
Vous savez déjà que nous comptons sur la commutation pour diviser les grands domaines de collision en plus petits
et qu'un domaine de collision est un segment de réseau avec deux appareils ou plus partageant le même
bande passante. Un réseau concentrateur est un exemple typique de ce type de technologie. Mais puisque chaque port sur
un commutateur est en fait son propre domaine de collision, nous avons pu créer un bien meilleur réseau local Ethernet
réseau en remplaçant simplement nos hubs par des switchs !
Les commutateurs ont vraiment changé la façon dont les réseaux sont conçus et mis en œuvre. Si un pur commuté
la conception est correctement mise en œuvre, il en résultera absolument un produit propre, rentable et résilient
interréseau. Dans ce chapitre, nous étudierons et comparerons la façon dont les réseaux ont été conçus avant et
Page 151
après l'introduction des technologies de commutation.

J'utiliserai trois commutateurs pour commencer notre configuration d'un réseau commuté, et nous allons en fait
continuez avec leurs configurations au chapitre 11, « VLAN et routage inter-VLAN ».

Services de commutation
Contrairement aux anciens ponts, qui utilisaient un logiciel pour créer et gérer une mémoire adressable de contenu
table de filtrage (CAM), nos nouveaux commutateurs rapides utilisent des circuits intégrés spécifiques à l'application (ASIC) pour
construire et maintenir leurs tables de filtrage MAC. Mais il est toujours correct de considérer un commutateur de couche 2 comme un
pont multiport car leur raison d'être est la même : briser les domaines de collision.
Les commutateurs et les ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps à regarder
les informations d'en-tête de la couche réseau. Au lieu de cela, ils regardent les adresses matérielles du cadre
avant de décider de transférer, d'inonder ou de supprimer la trame.
Contrairement aux concentrateurs, les commutateurs créent des domaines de collision privés et dédiés et fournissent des
bande passante exclusive sur chaque port.
Voici une liste de quatre avantages importants que nous tirons de l'utilisation de la commutation de couche 2 :
Pontage basé sur le matériel (ASIC)
Vitesse du fil
Faible latence
À bas prix
L'une des principales raisons pour lesquelles la commutation de couche 2 est si efficace est qu'aucune modification du paquet de données n'a lieu.
L'appareil ne lit que la trame encapsulant le paquet, ce qui rend le processus de commutation
considérablement plus rapide et moins sujet aux erreurs que les processus de routage.
Et si vous utilisez la commutation de couche 2 pour la connectivité des groupes de travail et la segmentation du réseau
(brisant les domaines de collision), vous pouvez créer plus de segments de réseau qu'avec
réseaux routés traditionnels. De plus, la commutation de couche 2 augmente la bande passante pour chaque utilisateur car,
encore une fois, chaque connexion, ou interface dans le commutateur, est son propre domaine de collision autonome.
Trois fonctions de commutation à la couche 2

Il y a trois fonctions distinctes de la commutation de couche 2 dont vous devez vous souvenir :
aborder l'apprentissage , les décisions de transfert/filtre et l' évitement de boucle .
Apprentissage des adresses Les commutateurs de couche 2 mémorisent l'adresse matérielle source de chaque trame
reçu sur une interface et entrez ces informations dans une base de données MAC appelée transfert/filtre
table.
Décisions de transfert/filtrage Lorsqu'une trame est reçue sur une interface, le commutateur examine le
adresse matérielle de destination, puis choisit l'interface de sortie appropriée pour elle dans le MAC
base de données. De cette façon, la trame n'est transférée que depuis le port de destination correct.
Évitement de boucle Si plusieurs connexions entre les commutateurs sont créées pour la redondance
fins, des boucles de réseau peuvent se produire. Le protocole Spanning Tree (STP) est utilisé pour empêcher le
boucles tout en permettant la redondance.
Ensuite, je vais parler de l'apprentissage des adresses et des décisions de transfert/filtrage. L'évitement de boucle est
au-delà de la portée des objectifs couverts dans ce chapitre.
Page 152
Apprentissage d'adresse
Lorsqu'un commutateur est mis sous tension pour la première fois, la table de transfert/filtre MAC (CAM) est vide, comme indiqué dans
Graphique 10.1 .
FIGURE 10.1 Vider la table de transfert/filtre sur un interrupteur
Lorsqu'un appareil transmet et qu'une interface reçoit une trame, le commutateur place la source de la trame
adresse dans la table de transfert/filtre MAC, lui permettant de se référer à l'interface précise l'envoi
l'appareil se trouve sur. Le commutateur n'a alors d'autre choix que d'inonder le réseau avec cette trame sortante
de chaque port à l'exception du port source car il n'a aucune idée de l'emplacement du périphérique de destination
réellement situé.
Si un appareil répond à cette trame inondée et renvoie une trame, le commutateur prendra la
l'adresse source de cette trame et placez également cette adresse MAC dans sa base de données, en associant
cette adresse avec l'interface qui a reçu la trame. Parce que le commutateur a maintenant les deux
adresses MAC pertinentes dans sa table de filtrage, les deux appareils peuvent désormais faire un point à point
lien. Le commutateur n'a pas besoin d'inonder le cadre comme il l'a fait la première fois car maintenant le
les trames peuvent et ne seront transférées qu'entre ces deux appareils. C'est exactement pourquoi la couche 2
les commutateurs sont tellement supérieurs aux concentrateurs. Dans un réseau concentrateur, toutes les trames sont transférées vers tous les ports chaque
temps, quoi qu'il arrive. La figure 10.2 montre les processus impliqués dans la création d'une base de données MAC.
FIGURE 10.2 Comment les commutateurs apprennent les emplacements des hôtes
Dans cette figure, vous pouvez voir quatre hôtes connectés à un commutateur. Lorsque le commutateur est sous tension, il a
Page 153
rien dans sa table de transfert/filtre d'adresse MAC, comme dans la figure 10.1 . Mais quand les hôtes commencent
communiquant, le commutateur place l'adresse matérielle source de chaque trame dans la table le long
avec le port auquel correspond l'adresse source de la trame.
Permettez-moi de vous donner un exemple de la façon dont une table de transfert/filtre est remplie à l'aide de la figure 10.2 :
1. L'hôte A envoie une trame à l'hôte B. L'adresse MAC de l'hôte A est 0000.8c01.000A ; MAC de l'hôte B
l'adresse est 0000.8c01.000B.
2. Le commutateur reçoit la trame sur l'interface Fa0/0 et place l'adresse source dans le
Tableau d'adresses MAC.
3. Étant donné que l'adresse de destination n'est pas dans la base de données MAC, la trame est transmise à tous
interfaces à l'exception du port source.
4. L'hôte B reçoit la trame et répond à l'hôte A. Le commutateur reçoit cette trame sur l'interface
Fa0/1 et place l'adresse matérielle source dans la base de données MAC.
5. L'hôte A et l'hôte B peuvent désormais établir une connexion point à point et uniquement ces appareils spécifiques
recevra les cadres. Les hôtes C et D ne verront pas les trames, et leurs adresses MAC ne seront pas
trouvé dans la base de données car ils n'ont pas encore envoyé de trame au commutateur.
Si l'hôte A et l'hôte B ne communiquent plus avec le commutateur dans un certain délai, le

switch videra leurs entrées de la base de données pour la garder aussi à jour que possible.
Transférer/filtrer les décisions
Lorsqu'une trame arrive à une interface de commutateur, l'adresse matérielle de destination est comparée à la
transmettre/filtrer la base de données MAC. Si l'adresse matérielle de destination est connue et répertoriée dans le
base de données, la trame n'est envoyée que depuis l'interface de sortie appropriée. Le commutateur ne transmettra pas
la trame sur n'importe quelle interface à l'exception de l'interface de destination, qui préserve la bande passante sur
les autres segments du réseau. Ce processus est appelé filtrage de trame .
Mais si l'adresse matérielle de destination n'est pas répertoriée dans la base de données MAC, alors la trame sera
a inondé toutes les interfaces actives à l'exception de l'interface sur laquelle elle a été reçue. Si un appareil répond au
trame inondée, la base de données MAC est ensuite mise à jour avec l'emplacement de l'appareil - son correct
interface.
Si un hôte ou un serveur envoie une diffusion sur le réseau local, par défaut, le commutateur inondera la trame
tous les ports actifs à l'exception du port source. N'oubliez pas que le commutateur crée des domaines de collision plus petits,
mais c'est toujours toujours un grand domaine de diffusion par défaut.
Dans la Figure 10.3 , l'hôte A envoie une trame de données à l'hôte D. À votre avis, que fera le commutateur lorsqu'il
reçoit la trame de l'hôte A ?
FIGURE 10.3 Tableau de transfert/filtre
Page 154
Examinons la figure 10.4 pour trouver la réponse.
FIGURE 10.4 Réponse de la table de transfert/filtre
Étant donné que l'adresse MAC de l'hôte A n'est pas dans la table de transfert/filtre, le commutateur ajoutera la source
adresse et port à la table d'adresses MAC, puis transférez la trame à l'hôte D. C'est vraiment
important de se rappeler que le MAC source est toujours vérifié en premier pour s'assurer qu'il est dans le CAM
table. Après cela, si l'adresse MAC de l'hôte D n'a pas été trouvée dans la table de transfert/filtre, le commutateur
aurait inondé la trame sur tous les ports à l'exception du port Fa0/3 car c'est le port spécifique
la trame a été reçue le.
Examinons maintenant la sortie résultant de l'utilisation d'une commande show mac address-table :
Switch# sh mac table d'adresses

Type d'adresse Vlan Mac Ports
---- ----------- -------- -----
1 0005.dccb.d74b DYNAMIQUE Fa0/1
1 000a.f467.9e80 DYNAMIQUE Fa0/3
1 000a.f467.9e8b DYNAMIQUE Fa0/4
1 000a.f467.9e8c DYNAMIQUE Fa0/3
1 0010.7b7f.c2b0 DYNAMIQUE Fa0/3
1 0030.80dc.460b DYNAMIQUE Fa0/3
1 0030.9492.a5dd DYNAMIQUE Fa0/1
1 00d0.58ad.05f4 DYNAMIQUE Fa0/1
Mais disons que le commutateur précédent a reçu une trame avec les adresses MAC suivantes :
Source MAC : 0005.dccb.d74b
MAC de destination : 000a.f467.9e8c
Comment le commutateur gérera-t-il ce cadre? La bonne réponse est que l'adresse MAC de destination sera
se trouvent dans la table d'adresses MAC et la trame ne sera transmise que Fa0/3. N'oublie jamais
que si l'adresse MAC de destination n'est pas trouvée dans la table de transfert/filtre, la trame sera
a transféré tous les ports du commutateur, à l'exception de celui sur lequel il a été initialement reçu dans un
essayer de localiser le périphérique de destination. Maintenant que vous pouvez voir la table d'adresses MAC et comment
les commutateurs ajoutent des adresses d'hôte à la table de filtrage de transfert, comment pensons-nous pouvoir la sécuriser à partir de
utilisateurs non autorisés ?
Sécurité des ports

Ce n'est généralement pas une bonne chose d'avoir vos commutateurs disponibles pour que quiconque puisse simplement se brancher et jouer
autour avec. Je veux dire, nous nous soucions de la sécurité sans fil, alors pourquoi n'exigerions-nous pas un changement
Page 155
la sécurité tout autant, sinon plus ?
Mais comment pouvons-nous réellement empêcher quelqu'un de simplement brancher un hôte sur l'un de nos commutateurs
ports ou pire, en ajoutant un concentrateur, un commutateur ou un point d'accès à la prise Ethernet de leur bureau ? Par
par défaut, les adresses MAC apparaîtront dynamiquement dans votre base de données de transfert/filtre MAC et
vous pouvez les arrêter dans leur élan en utilisant la sécurité du port !
La figure 10.5 montre deux hôtes connectés au port de commutateur unique Fa0/3 via un concentrateur ou un accès
pointe (AP).
FIGURE 10.5 « Sécurité des ports » sur un port de commutateur restreint l'accès au port par adresse MAC.
Le port Fa0/3 est configuré pour observer et autoriser uniquement certaines adresses MAC à s'associer au
port spécifique, donc dans cet exemple, l'hôte A se voit refuser l'accès, mais l'hôte B est autorisé à s'associer avec
Le port.
En utilisant la sécurité des ports, vous pouvez limiter le nombre d'adresses MAC pouvant être attribuées
dynamiquement sur un port, définissez des adresses MAC statiques et, voici ma partie préférée, définissez des pénalités pour
utilisateurs qui abusent de votre politique ! Personnellement, j'aime que le port soit fermé lorsque la sécurité
la politique est violée. Faire en sorte que les agresseurs m'apportent un mémo de leur patron expliquant pourquoi ils ont violé
la politique sécuritaire s'accompagne d'une certaine justice poétique, ce qui est agréable. Et je vais aussi exiger
quelque chose comme ça avant d'activer à nouveau leur port. Des choses comme celle-ci semblent vraiment aider les gens
n'oubliez pas de vous comporter !
Tout cela est bien, mais vous devez toujours équilibrer vos besoins de sécurité particuliers avec le temps qui
leur mise en œuvre et leur gestion exigera de façon réaliste. Si vous avez des tonnes de temps sur votre
mains, alors allez-y et verrouillez sérieusement votre réseau à l'abri du coffre-fort ! Si vous êtes occupé comme le
le reste d'entre nous, je suis ici pour vous rassurer qu'il existe des moyens de bien sécuriser les choses sans être
totalement submergé par une quantité massive de frais administratifs. D'abord, et sans douleur,
n'oubliez jamais de fermer les ports inutilisés ou de les affecter à un VLAN inutilisé. Tous les ports sont
activé par défaut, vous devez donc vous assurer qu'il n'y a pas d'accès aux ports de commutateur inutilisés !
Voici vos options pour configurer la sécurité des ports :
Page 156
Switch# config t
Commutateur(config)# int f0/1
Switch(config-if)# accès en mode switchport
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security ?
vieillissement Commandes de vieillissement de la sécurité des ports
adresse mac Adresse mac sécurisée
maximum Adresses sécurisées max.
violation Mode violation de sécurité
<cr>
La plupart des commutateurs Cisco sont livrés avec leurs ports en mode souhaitable, ce qui signifie que ces ports seront
désir de jonction lorsqu'il détecte qu'un autre commutateur vient d'être connecté. Donc d'abord, nous devons
changez le port du mode souhaitable et faites-en un port d'accès à la place. Si nous ne le faisons pas,
nous ne pourrons pas du tout configurer la sécurité des ports dessus ! Une fois que c'est à l'écart, nous pouvons passer à autre chose
en utilisant nos commandes de sécurité des ports , sans jamais oublier que nous devons activer la sécurité des ports sur le
interface avec la commande de base switchport port-security . Notez que je l'ai fait après avoir fait le
port un port d'accès !
La sortie précédente illustre clairement que la commande switchport port-security peut être utilisée
avec quatre options. Vous pouvez utiliser la commande switchport port-security mac-address mac-address pour
attribuez des adresses MAC individuelles à chaque port de commutateur, mais soyez averti car si vous optez pour cela
option, vous feriez mieux d'avoir beaucoup de temps devant vous !
Vous pouvez configurer l'appareil pour qu'il entreprenne l'une des actions suivantes lorsqu'une violation de sécurité
se produit à l'aide de la commande switchport port-security :
Protéger :
le mode de protection contre les violations supprime les paquets avec des adresses source inconnues jusqu'à ce que vous
supprimez suffisamment d'adresses MAC sécurisées pour tomber en dessous de la valeur maximale.
: le mode de violation de restriction supprime également les paquets avec des adresses source inconnues jusqu'à ce que
Restreindre
vous supprimez suffisamment d'adresses MAC sécurisées pour tomber en dessous de la valeur maximale. Cependant, il
génère également un message de journal, provoque l'incrémentation du compteur de violations de sécurité et envoie un
trappe SNMP.
Arrêt :L'arrêt est le mode de violation par défaut. Le mode de violation d'arrêt met le
l'interface dans un état de désactivation d'erreur immédiatement. Tout le port est fermé. Aussi, dans ce
mode, le système génère un message de journal, envoie une interruption SNMP et incrémente la violation
contrer. Pour rendre l'interface utilisable, vous devez effectuer un arrêt/aucun arrêt sur l'interface.
Si vous souhaitez configurer un port de commutateur pour autoriser un seul hôte par port et assurez-vous que le port
arrêter si cette règle est violée, utilisez les commandes suivantes comme celle-ci :
Switch(config-if)# switchport port-security maximum 1

Switch(config-if)# switchport arrêt de violation de sécurité du port
Ces commandes sont probablement les plus populaires car elles empêchent les utilisateurs aléatoires de
se connecter à un commutateur ou à un point d'accès spécifique qui se trouve dans leur bureau. La valeur par défaut de la sécurité du port
qui est immédiatement défini sur un port lorsqu'il est activé est au maximum 1 et à l' arrêt de la violation . Cela sonne
d'accord, mais l'inconvénient est qu'il ne permet d'utiliser qu'une seule adresse MAC sur le port,
donc si quelqu'un, y compris vous, essaie d'ajouter un autre hôte sur ce segment, le port du commutateur
entrez immédiatement dans l'état de désactivation d'erreur et le port deviendra orange. Et quand cela arrive, vous
devez entrer manuellement dans le commutateur et réactiver le port en le cyclant avec un arrêt , puis un
pas de commande d' arrêt .
L'une de mes commandes préférées est probablement la commande collante , et pas seulement parce qu'elle a un
nom cool. Cela fait aussi des choses très cool! Vous pouvez trouver cette commande sous mac-
commande d' adresse :
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport arrêt de violation de sécurité du port
Fondamentalement, avec la commande sticky, vous pouvez fournir une sécurité d'adresse MAC statique sans avoir à
pour taper l'adresse MAC de tout le monde sur le réseau. J'aime les choses qui me font gagner du temps comme
Page 157
cette!
Dans l'exemple précédent, les deux premières adresses MAC entrant dans le port "s'y collent" comme statiques
adresses et sera placé dans la configuration en cours, mais lorsqu'une troisième adresse a essayé de se connecter, le
le port s'arrêterait immédiatement.
Je reprendrai les objectifs du CCENT de sécurité portuaire dans la configuration
exemples plus loin dans ce chapitre. Ils sont importants !
Laissez-moi vous montrer un autre exemple. La figure 10.6 montre un hôte dans le hall d'une entreprise qui doit
être sécurisé contre le câble Ethernet utilisé par toute personne autre qu'une seule personne autorisée.
FIGURE 10.6 Protéger un PC dans un hall
Que pouvez-vous faire pour vous assurer que seule l'adresse MAC du PC du lobby est autorisée par le port de commutation
Fa0/1?
La solution est assez simple car dans ce cas, les valeurs par défaut de la sécurité des ports seront
bien travailler. Il ne me reste plus qu'à ajouter une entrée MAC statique :
Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security violation restreindre
Switch(config-if)# switchport port-security mac-address aa.bb.cc.dd.ee.ff
Pour protéger le PC du lobby, nous définirions le maximum d'adresses MAC autorisées sur 1 et le
violation à restreindre afin que le port ne soit pas fermé à chaque fois que quelqu'un a essayé d'utiliser le
Câble Ethernet (qui serait constamment). En utilisant la restriction de violation , les trames non autorisées
serait simplement abandonné. Mais avez-vous remarqué que j'ai activé la sécurité des ports , puis défini un MAC statique
adresse? N'oubliez pas que dès que vous activez la sécurité des ports sur un port, elle passe par défaut à la violation
shutdown et
un maximum de 1. Donc tout ce que j'avais à faire était de changer le mode de violation et d'ajouter le
adresse MAC statique et notre exigence commerciale est solidement satisfaite !
Lobby PC toujours déconnecté devient un risque de sécurité
Dans une grande entreprise Fortune 50 à San Jose, Californie, il y avait un PC dans le hall qui tenait
l'annuaire de l'entreprise. En l'absence d'agent de sécurité dans le hall, le câble Ethernet
connecter le PC était un jeu gratuit pour tous les vendeurs, entrepreneurs et visiteurs qui attendaient dans le
lobby.
La sécurité portuaire à la rescousse ! Lorsque la sécurité des ports a été activée sur le port avec le switchport
commande port-security , le port du commutateur se connectant au PC a été automatiquement sécurisé avec
les valeurs par défaut d'autoriser une seule adresse MAC à s'associer au port et à la violation
fermer. Cependant, le port passait toujours en mode erreur d'arrêt chaque fois que quelqu'un
essayé d'utiliser le port Ethernet. Lorsque le mode de violation a été modifié pour restreindre et un statique
L'adresse MAC a été définie pour le port avec la commande switchport port-security mac-address ,
seul le Lobby PC a pu se connecter et communiquer sur le réseau ! Problème résolu!
Page 158
Évitement de boucle
Il est important de mettre en place des liens redondants entre les commutateurs car ils aident à empêcher
pannes de réseau désagréables dans le cas où un lien cesse de fonctionner.
Mais s'il est vrai que les liens redondants peuvent être extrêmement utiles, ils peuvent également causer plus de
problèmes qu'ils ne résolvent ! C'est parce que les trames peuvent être inondées par tous les liens redondants
simultanément, créant des boucles de réseau ainsi que d'autres maux. Voici une liste de quelques-uns des plus laids
problèmes qui peuvent survenir :
Si aucun schéma d'évitement de boucle n'est mis en place, les commutateurs inonderont les diffusions sans fin
tout au long de l'interréseau. C'est ce qu'on appelle parfois une tempête de diffusion . La plupart
temps, ils sont mentionnés de manières très non imprimables ! La figure 10.7 illustre comment une diffusion peut
se propager dans tout le réseau. Observez comment un cadre est continuellement inondé
via le support réseau physique de l'interréseau.
FIGURE 10.7 Tempête de diffusion
Un appareil peut recevoir plusieurs copies de la même trame car cette trame peut provenir de
différents segments en même temps. La figure 10.8 montre comment tout un tas de cadres
peuvent arriver de plusieurs segments simultanément. Le serveur de la figure envoie une monodiffusion
trame vers le routeur C. Puisqu'il s'agit d'une trame monodiffusion, le commutateur A transfère la trame et le commutateur B
fournit le même service : il transfère la monodiffusion. C'est mauvais car cela signifie que le routeur C
reçoit cette trame de monodiffusion deux fois, provoquant une surcharge supplémentaire sur le réseau.
Page 159
FIGURE 10.8 Copies de trames multiples
Vous avez peut-être pensé à celui-ci : La table de filtrage des adresses MAC pourrait être totalement confuse
sur l'emplacement de l'appareil source, car le commutateur peut recevoir la trame de plus de
un lien. Pire encore, le commutateur déconcerté pourrait être tellement pris dans la mise à jour constante du MAC
filtrer la table avec les emplacements d'adresses matérielles source qu'il ne réussira pas à transmettre une trame ! C'est
appelé battre la table MAC.
L'un des événements les plus vils est lorsque plusieurs boucles se propagent dans un réseau. Boucles
peut se produire dans d'autres boucles, et si une tempête de diffusion devait se produire simultanément, le
le réseau ne serait pas en mesure d'effectuer la commutation de trames, point final !
Tous ces problèmes sont synonymes de catastrophe ou de fermeture, et ce sont toutes des situations maléfiques qui doivent être évitées ou
fixé en quelque sorte. C'est là que le protocole Spanning Tree entre en jeu. C'était en fait
développé pour résoudre chacun des problèmes dont je viens de vous parler !
Maintenant que j'ai expliqué les problèmes qui peuvent survenir lorsque vous avez des liens redondants, ou lorsque vous avez
liens mal mis en œuvre, je suis sûr que vous comprenez à quel point il est vital de les empêcher.
Cependant, les meilleures solutions dépassent le cadre de ce chapitre et parmi le territoire
couverts dans les objectifs d'examen Cisco plus avancés. Pour l'instant, concentrons-nous sur la configuration de certains
commutation !
Configuration des commutateurs Catalyst

Les commutateurs Cisco Catalyst sont disponibles en plusieurs versions ; certains fonctionnent à 10 Mbps, tandis que d'autres peuvent accélérer tous les
jusqu'à 10 Gbit/s ou plus de ports commutés avec une combinaison de paires torsadées et de fibre. Ces
les nouveaux commutateurs, comme le 3850, ont également plus d'intelligence, de sorte qu'ils peuvent vous fournir des données rapidement - mixtes
les services médias aussi !
Dans cet esprit, il est temps de vous montrer comment démarrer et configurer un commutateur Cisco Catalyst
Page 160
à l'aide de l'interface de ligne de commande (CLI). Après avoir obtenu les commandes de base dans ce chapitre,
Je vais vous montrer comment configurer des réseaux locaux virtuels (VLAN) plus Inter-Switch Link (ISL) et 802.1q
goulotte dans la suivante.
Voici une liste des tâches de base que nous aborderons ensuite :
Fonctions administratives
Configuration de l'adresse IP et du masque de sous-réseau
Configuration de la passerelle IP par défaut
Paramétrage de la sécurité des ports
Tester et vérifier le réseau
Vous pouvez tout savoir sur la gamme Cisco de commutateurs Catalyst sur
www.cisco.com/en/US/products/hw/switches/index.html .
Configuration du commutateur catalytique

Mais avant d'entrer dans la configuration de l'un des commutateurs Catalyst, je dois vous renseigner
concernant le processus de démarrage de ces commutateurs, tout comme je l'ai fait avec les routeurs au chapitre 7,
« Gestion d'un interréseau Cisco ». La figure 10.9 montre un commutateur Cisco Catalyst typique, et j'ai besoin
pour vous parler des différentes interfaces et fonctionnalités de cet appareil.
FIGURE 10.9 Un commutateur Cisco Catalyst
La première chose que je veux souligner est que le port de console pour les commutateurs Catalyst est généralement
situé à l'arrière de l'interrupteur. Pourtant, sur un commutateur plus petit comme le 3560 illustré sur la figure, le
la console est juste à l'avant pour faciliter son utilisation. (Le 2960 à huit ports ressemble exactement au
même.) Si le POST se termine avec succès, le voyant système devient vert, mais si le POST échoue, il
deviendra ambré. Et voir cette lueur ambrée est une chose inquiétante, généralement fatale. Alors tu peux juste
voulez garder un interrupteur de rechange, surtout au cas où il s'agirait d'un interrupteur de production qui croasse !
Le bouton du bas est utilisé pour vous montrer quelles lumières fournissent Power over Ethernet (PoE).
Vous pouvez le voir en appuyant sur le bouton Mode. Le PoE est une fonctionnalité très intéressante de ces commutateurs. Ce
me permet d'alimenter mon point d'accès et mon téléphone en les connectant simplement au commutateur avec un
Câble Ethernet — doux.
Tout comme nous l'avons fait avec les routeurs que nous avons configurés au chapitre 9, « Routage IP », nous utiliserons un schéma et
configuration du commutateur dans ce chapitre ainsi que dans le chapitre 11. La figure 10.10 montre le réseau commuté
nous allons travailler dessus.
Page 161
FIGURE 10.10 Notre réseau commuté
Je vais utiliser trois commutateurs 3560, que j'ai également utilisés pour la démonstration au chapitre 6, « Cisco
Internetworking Operating System (IOS) », et le chapitre 7. Vous pouvez utiliser n'importe quel commutateur de couche 2 pour
ce chapitre pour suivre la configuration, mais lorsque nous arriverons au chapitre 11, vous aurez besoin d'au moins un
routeur ainsi qu'un commutateur de couche 3, comme mon 3560.
Maintenant, si nous connectons nos commutateurs les uns aux autres, comme le montre la Figure 10.10 , rappelez-vous que nous allons d'abord
besoin d'un câble croisé entre les commutateurs. Mes switchs 3560 détectent automatiquement le type de connexion,
J'ai donc pu utiliser des câbles droits. Mais tous les commutateurs ne détectent pas automatiquement le type de câble.
Différents commutateurs ont des besoins et des capacités différents, alors gardez cela à l'esprit lors de la connexion
vos différents interrupteurs ensemble. Notez que dans les objectifs de l'examen Cisco, les commutateurs ne
détection automatique!
Lorsque vous connectez pour la première fois les ports du commutateur les uns aux autres, les voyants de liaison sont orange, puis s'allument
vert, indiquant un fonctionnement normal. Ce que vous regardez en fait, c'est la convergence des arbres couvrants,
et ce processus prend environ 50 secondes sans extensions activées. Mais si vous vous connectez à un
le port du commutateur et le voyant du port du commutateur est vert et orange en alternance, cela signifie que le port est
éprouver des erreurs. Si cela se produit, vérifiez la carte réseau hôte ou le câblage, peut-être même le duplex
paramètres sur le port pour vous assurer qu'ils correspondent aux paramètres de l'hôte.
Avons-nous besoin de mettre une adresse IP sur un commutateur ?
Absolument pas! Les commutateurs ont tous les ports activés et prêts à basculer. Retirez l'interrupteur du
Box, branchez-le et le commutateur commence à apprendre les adresses MAC dans le CAM. Alors pourquoi aurais-je besoin d'un
Adresse IP puisque les commutateurs fournissent des services de couche 2 ? Parce que vous en avez toujours besoin pour l'in-band
à des fins de gestion ! Telnet, SSH, SNMP, etc. ont tous besoin d'une adresse IP pour communiquer
avec le commutateur via le réseau (in-band). N'oubliez pas, puisque tous les ports sont activés par défaut,
vous devez fermer les ports inutilisés ou les affecter à un VLAN inutilisé pour des raisons de sécurité.
Alors, où plaçons-nous cette adresse IP de gestion dont le commutateur a besoin à des fins de gestion ? Au
ce qu'on appelle de manière prévisible l'interface VLAN de gestion—une interface routée sur chaque Cisco
commutateur et appelé interface VLAN 1. Cette interface de gestion peut être modifiée, et Cisco
vous recommande de changer cela pour une interface de gestion différente pour des raisons de sécurité.
Pas de soucis, je vais vous montrer comment procéder au chapitre 11.
Configurons nos commutateurs maintenant pour que vous puissiez voir comment je configure les interfaces de gestion sur
chaque interrupteur.
S1
Page 162
Nous allons commencer notre configuration en nous connectant à chaque switch et en réglant le
fonctions administratives. Nous allons également attribuer une adresse IP à chaque commutateur, mais comme je l'ai dit, faire cela
n'est pas vraiment nécessaire pour faire fonctionner notre réseau. La seule raison pour laquelle nous allons le faire est si
nous pouvons le gérer/l'administrer à distance, via Telnet par exemple. Utilisons un schéma IP simple comme
192.168.10.16/28. Ce masque devrait vous être familier ! Découvrez la sortie suivante :
Commutateur> fr
Switch# config t
Switch(config)# nom d'hôte S1
S1(config)# activer le secret todd
S1(config)# int f0/15
S1(config-if)# description 1ère connexion à S3
S1(config-if)# int f0/16
S1(config-if)# description 2ème connexion à S3
S1(config-if)# desc Connexion à l'IVR
S1(config-if)# ligne con 0
S1(config-line)# console de mot de passe
S1(ligne de configuration)# connexion
S1(ligne de configuration)# ligne vty 0 15
S1(ligne de configuration)# mot de passe telnet
S1 (ligne de configuration) # int vlan 1
S1(config-if)# adresse IP 192.168.10.17 255.255.255.240
S1(config-if)# non fermé
S1(config-if)# sortie
S1(config)# banner motd #ceci est mon commutateur S1#
S1(config)# sortie
Début de l'exécution de la copie S1#
[D'ACCORD]
S1#
La première chose à noter à ce sujet est qu'il n'y a pas d'adresse IP configurée sur le commutateur
interfaces physiques. Étant donné que tous les ports d'un commutateur sont activés par défaut, il n'y a pas vraiment de
beaucoup à configurer ! L'adresse IP est configurée sous une interface logique, appelée gestion
domaine ou VLAN. Vous pouvez utiliser le VLAN 1 par défaut pour gérer un réseau commuté comme nous le faisons.
faire ici, ou vous pouvez choisir d'utiliser un autre VLAN pour la gestion.
Le reste de la configuration est fondamentalement le même que le processus que vous suivez pour le routeur
configuration. Alors n'oubliez pas… pas d'adresses IP sur les interfaces de commutateurs physiques, pas de routage
protocoles, etc. Nous effectuons la commutation de couche 2 à ce stade, pas le routage ! Faites aussi un
notez qu'il n'y a pas de port AUX sur les commutateurs Cisco.
S2
Voici la configuration S2 :
Switch# config t
S2(config-if)# desc 1ère connexion à S1
S2(config-if)# desc 2ème connexion à s2
S2(config-if)# desc 2e connexion à s3
Page 163

S2(ligne de configuration)# int vlan 1
S2(config)# sortie
[D'ACCORD]
S2#
Nous devrions maintenant pouvoir envoyer un ping de S2 à S1. Essayons:
S2# ping 192.168.10.17

.!!!!
S2#
D'accord, maintenant pourquoi n'ai-je eu que quatre pings au lieu de cinq ? La première période [.] est un temps mort,
mais le point d'exclamation [!] est un succès.
C'est une bonne question, et voici votre réponse : le premier ping n'a pas fonctionné à cause du temps que
ARP prend pour résoudre l'adresse IP à son adresse MAC matérielle correspondante.
S3
Vérifiez la configuration du commutateur S3 :
Commutateur> fr
Switch# config t
SW-3(config)# nom d'hôte S3
S3(config-if)# desc 2e connexion à S1
S3(config-if)# desc 2e connexion à S2
S3(config-if)# ligne avec 0
S3(config-if)# banner motd #Ceci est le commutateur S3#
S3(config)# sortie
[D'ACCORD]
S3#
Maintenant, pingons sur S1 et S2 à partir du commutateur S3 et voyons ce qui se passe :
S3# ping 192.168.10.17

.!!!!
S3# ping 192.168.10.18
.!!!!
S3# expédition arp
Adresse de protocole Âge (min) Type d'adresse matérielle Interface
Internet 192.168.10.17 0 001c.575e.c8c0 ARPA Vlan1
Page 164
Internet 192.168.10.18 0 b414.89d9.18c0 ARPA Vlan1

Internet 192.168.10.19 - ecc8.8202.82c0 ARPA Vlan1
S3#
Dans la sortie de la commande show ip arp , le tiret ( - ) dans la colonne des minutes signifie qu'il s'agit du
l'interface physique de l'appareil.
Maintenant, avant de passer à la vérification des configurations de commutateur, il y a une autre commande que vous
besoin de savoir, même si nous n'en avons pas vraiment besoin dans notre réseau actuel parce que nous n'avons pas
avoir un routeur impliqué. C'est la commande ip default-gateway . Si vous souhaitez gérer vos commutateurs
de l'extérieur de votre réseau local, vous devez définir une passerelle par défaut sur les commutateurs comme vous le feriez avec un
host, et vous le faites à partir de la configuration globale. Voici un exemple où nous introduisons notre routeur avec
une adresse IP utilisant la dernière adresse IP de notre plage de sous-réseaux :
S3 # config t
S3(config)# ip default-gateway 192.168.10.30
Maintenant que nous avons fondamentalement configuré les trois commutateurs, amusons-nous avec eux !
Sécurité des ports
Un port de commutateur sécurisé peut associer de 1 à 8 192 adresses MAC, mais le 3560s I
que j'utilise ne peut prendre en charge que 6 144, ce qui me semble bien plus que suffisant. Tu peux choisir
pour permettre au commutateur d'apprendre ces valeurs de manière dynamique, ou vous pouvez définir des adresses statiques pour chaque
port à l'aide de la commande switchport port-security mac-address mac-address .
Définissons
connecté donc
dans maintenant
notre la sécurité
laboratoire. des ports
En utilisant sur notre
la sécurité commutateur
des ports, S3. Lesassurés
nous sommes ports Fa0/3 et Fa0/4
qu'aucun autren'auront
appareilqu'un seul
ne peut sepériphérique
connecter une fois
nos hôtes dans les ports Fa0/3 et dans Fa0/4 sont connectés. Voici comment le faire facilement avec juste un
deux commandes :
S3 # config t
S3(config)# int range f0/3-4
S3(config-if-range)# accès en mode switchport
S3(config-if-range)# switchport port-security
S3(config-if-range)# affiche la sécurité du port int f0/3
Sécurité des ports : Activée
État des ports : Sécurisation
Mode d'infraction : Fermer
Temps de vieillissement : 0 min
Type de vieillissement : Absolu
Vieillissement d'adresse SecureStatic : désactivé
Adresses MAC maximales : 1
Nombre total d'adresses MAC :0
Adresses MAC configurées : 0
Adresses MAC collantes : 0
Dernière adresse source : Vlan : 0000.000.0000 : 0
Nombre de violations de sécurité : 0
La première commande définit le mode des ports pour « accéder » aux ports. Ces ports doivent être des accès ou
ports de jonction pour activer la sécurité des ports. En utilisant la commande switchport port-security sur le
interface, j'ai activé la sécurité des ports avec une adresse MAC maximale de 1 et une violation de
fermer. Ce sont les valeurs par défaut, et vous pouvez les voir dans la sortie en surbrillance du show port-
security int f0/3 dans le code précédent.
La sécurité du port est activée, comme indiqué sur la première ligne, mais la deuxième ligne affiche Secure-down
car je n'ai pas encore connecté mes hôtes aux ports. Une fois que je le fais, le statut affichera Secure-up
et deviendrait Secure-shutdown en cas de violation.
Je dois juste souligner une fois de plus ce fait si important : il est très important de
rappelez-vous que vous pouvez définir des paramètres pour la sécurité du port, mais cela ne fonctionnera pas tant que vous n'aurez pas activé le port
sécurité au niveau de l'interface. Notez la sortie pour le port F0/6 :
S3 # config t
S3(config)# int range f0/6
S3(config-if-range)# accès en mode switchport
S3(config-if-range)# switchport port-security violation restreindre
S3(config-if-range)# affiche la sécurité du port int f0/6
Page 165
Sécurité des ports : désactivé

État des ports : Sécurisation
Mode d'infraction : restreindre
[coupure de sortie]
Le port Fa0/6 a été configuré avec une violation de restriction, mais la première ligne indique que le port
la sécurité n'a pas encore été activée sur le port. N'oubliez pas que vous devez utiliser cette commande à
niveau d'interface pour activer la sécurité des ports sur un port :
S3(config-if-range)# switchport port-security
Il existe deux autres modes que vous pouvez utiliser au lieu de simplement fermer le port. La restriction et
les modes de protection signifient qu'un autre hôte peut se connecter jusqu'au maximum d'adresses MAC autorisées,
mais une fois le maximum atteint, toutes les trames seront simplement supprimées et le port ne sera pas fermé
vers le bas. De plus, les modes de violation de restriction et d'arrêt vous avertissent via SNMP qu'un
une violation s'est produite sur un port. Vous pouvez alors appeler l'agresseur et lui dire qu'il est tellement fichu...
vous pouvez les voir, vous savez ce qu'ils ont fait, et ils ont de sérieux ennuis !
Si vous avez configuré des ports avec la commande d' arrêt de violation , les ports ressembleront à ceci
lorsqu'une violation se produit :
S3# sh port-security int f0/3

État des ports : Arrêt sécurisé
Dernière adresse source : Vlan : 0013:0ca69:00bb3:00ba8:1
Ici, vous pouvez voir que le port est en mode d' arrêt sécurisé et que le voyant du port serait
ambre. Pour réactiver le port, procédez comme suit :
S3(config-if)# arrêt
S3(config-if)# pas d'arrêt
Vérifions nos configurations de commutateur avant de passer aux VLAN dans le chapitre suivant. Il faut se méfier
que même si certains commutateurs afficheront err-disabled au lieu de Secure-shutdown comme commutateur
montre, il n'y a pas de différence entre les deux.
Vérification des commutateurs Cisco Catalyst

La première chose que j'aime faire avec n'importe quel routeur ou commutateur est de parcourir les configurations avec un
commande show running-config .
Pourquoi? Parce que cela me donne un très bon aperçu de chaque
dispositif. Mais cela prend du temps, et vous montrer toutes les configurations en prendrait beaucoup trop
pages de ce livre. En outre, nous pouvons à la place exécuter d'autres commandes qui nous fourniront toujours
vraiment de bonnes informations.
Par exemple, pour vérifier l'adresse IP définie sur un commutateur, nous pouvons utiliser la commande show interface .
Voici la sortie :
S3# sh int vlan 1

Vlan1 est actif, le protocole de ligne est actif
Le matériel est EtherSVI, l'adresse est ecc8.8202.82c0 (bia ecc8.8202.82c0)
MTU 1500 octets, BW 1000000 Kbit/sec, DLY 10 usec,
Encapsulation ARPA, bouclage non défini
[coupure de sortie]
La sortie précédente montre que l'interface est en état up/up. N'oubliez pas de toujours vérifier cela
interface, soit avec cette commande, soit avec la commande show ip interface brief . Beaucoup de gens ont tendance
oublier que cette interface est fermée par défaut.
Page 166
N'oubliez jamais que les adresses IP ne sont pas nécessaires sur un commutateur pour qu'il fonctionne. Les
la seule raison pour laquelle nous définirions une adresse IP, un masque et une passerelle par défaut est pour la gestion
fins.
afficher la table d'adresses mac
Je suis sûr que vous vous souvenez avoir vu cette commande plus tôt dans le chapitre. Son utilisation affiche le
table de filtrage avant, également appelée table de mémoire adressable par le contenu (CAM). Voici la sortie
depuis le commutateur S1 :
S3# sh mac table d'adresses

Tableau d'adresses Mac
--------------------------------------------
---- ----------- -------- -----
Tout 0100.0ccc.cccc CPU STATIQUE
[coupure de sortie]
1 000e.83b2.e34b DYNAMIQUE Fa0/1
1 0011.1191.556f DYNAMIQUE Fa0/1
1 0011.3206.25cb DYNAMIQUE Fa0/1
1 001a.2f55.c9e8 DYNAMIQUE Fa0/1
1 001a.4d55.2f7e DYNAMIQUE Fa0/1
1 001c.575e.c891 DYNAMIQUE Fa0/1
1 b414.89d9.1886 DYNAMIQUE Fa0/5
Les commutateurs utilisent des éléments appelés adresses MAC de base, qui sont attribuées au processeur. Le premier
répertorié est l'adresse MAC de base du commutateur. De la sortie précédente, vous pouvez voir que nous avons
six adresses MAC attribuées dynamiquement à Fa0/1, ce qui signifie que le port Fa0/1 est connecté à
un autre interrupteur. Les ports Fa0/5 et Fa0/6 n'ont qu'une seule adresse MAC attribuée, et tous les ports sont
affecté au VLAN 1.
Jetons un coup d'œil à la CAM du commutateur S2 et voyons ce que nous pouvons découvrir.

--------------------------------------------
---- ----------- -------- -----
[coupure de sortie
1 0011.1191.556f DYNAMIQUE Fa0/5
1 581f.aaff.86b8 DYNAMIQUE Fa0/5
1 ecc8.8202.8286 DYNAMIQUE Fa0/5
1 ecc8.8202.82c0 DYNAMIQUE Fa0/5
Nombre total d'adresses Mac pour ce critère : 27
S2#
Cette sortie nous indique que nous avons sept adresses MAC attribuées à Fa0/5, qui est notre
connexion à S3. Mais où est le port 6 ? Étant donné que le port 6 est un lien redondant vers S3, STP a placé Fa0/6
en mode blocage.
Attribution d'adresses MAC statiques
Vous pouvez définir une adresse MAC statique dans la table d'adresses MAC, mais comme définir un port MAC statique
la sécurité sans la commande collante , c'est une tonne de travail. Juste au cas où vous voudriez le faire, voici comment
c'est fait:
S3(config)# table d'adresses mac ?

Aging-time Définir l'âge maximum de l'entrée de la table d'adresses MAC
apprentissage Activer la fonction d'apprentissage de la table MAC
mouvement Déplacer le mot clé
notification Activer/Désactiver la notification MAC sur le commutateur
statique mot-clé statique
Page 167
S3(config)# mac address-table statique aaaa.bbbb.cccc vlan 1 int fa0/7
S3(config)# affiche la table d'adresses mac
--------------------------------------------
---- ----------- -------- -----
[coupure de sortie]
1 0011.1191.556f DYNAMIQUE Fa0/1
1 001b.d40a.0538 DYNAMIQUE Fa0/1
1 aaaa.bbbb.0ccc STATIQUE Fa0/7
[coupure de sortie]
Nombre total d'adresses Mac pour ce critère : 59
Comme indiqué sur le côté gauche de la sortie, vous pouvez voir qu'une adresse MAC statique a maintenant été
affecté de manière permanente à l'interface Fa0/7 et qu'il a également été affecté au VLAN 1 uniquement.
Maintenant admettez-le, ce chapitre contenait beaucoup d'informations intéressantes, et vous avez vraiment beaucoup appris et, eh bien,
peut-être même eu un peu de plaisir en cours de route aussi! Vous avez maintenant configuré et vérifié tous les commutateurs
et définissez la sécurité du port. Cela signifie que vous êtes maintenant prêt à tout apprendre sur les réseaux locaux virtuels ! je vais
enregistrez toutes nos configurations de commutateur afin que nous puissions commencer à partir d'ici au chapitre 11.
Sommaire
Dans ce chapitre, j'ai parlé des différences entre les commutateurs et les ponts et de la façon dont ils
fonctionnent à la couche 2. Ils créent des tables de transfert/filtre d'adresses MAC afin de prendre des décisions sur
s'il faut transmettre ou inonder une trame.
Bien que tout dans ce chapitre soit important, j'ai écrit deux sections sur la sécurité des ports—une pour
fournir une base et un avec un exemple de configuration. Vous devez connaître ces deux sections
en détail.
J'ai également couvert certains problèmes qui peuvent survenir si vous avez plusieurs liens entre les ponts
(commutateurs).
Enfin, j'ai couvert la configuration détaillée des commutateurs Catalyst de Cisco, y compris la vérification de la
configuration.
Rappelez-vous les trois fonctions du commutateur. Aborder l'apprentissage, transférer/filtrer les décisions et
l'évitement de boucle sont les fonctions d'un commutateur.
N'oubliez pas la commande show mac address-table. La commande show mac adresse table volonté
vous montrer la table de transfert/filtre utilisée sur le commutateur LAN.
Comprendre la raison de la sécurité portuaire. La sécurité des ports restreint l'accès à un commutateur basé
sur les adresses MAC.
Connaître la commande pour activer la sécurité des ports. Pour activer la sécurité des ports sur un port, vous devez
assurez-vous d'abord que le port est un port d'accès avec un accès en mode switchport, puis utilisez le switchport
commande port-security au niveau de l'interface. Vous pouvez définir les paramètres de sécurité du port avant ou
après avoir activé la sécurité du port.
Connaître les commandes pour vérifier la sécurité des ports. Pour vérifier la sécurité du port, utilisez le show port-
security, show port-security interface interface et show running-config commandes.
Page 168
Atelier 10.1 : Commutation de couche 2
1. Quelle commande vous montrera la table de transfert/filtre ?
2. Si une adresse MAC de destination n'est pas dans la table de transfert/filtre, que fera le commutateur avec le
Cadre?
3. Quelles sont les trois fonctions de commutation de la couche 2 ?
4. Si une trame est reçue sur un port de commutateur et que l'adresse MAC source n'est pas dans le transfert/filtre
table, que fera le commutateur ?
5. Quels sont les modes par défaut pour un port de commutateur configuré avec la sécurité des ports ?
6. Quels sont les deux modes de violation qui envoient un trap SNMP ?
7. Quel mode de violation supprime les paquets avec des adresses source inconnues jusqu'à ce que vous supprimiez
suffisamment d'adresses MAC sécurisées pour tomber en dessous du maximum, mais génère également un message de journal,
provoque l'incrémentation du compteur de violations de sécurité et envoie une interruption SNMP mais ne
désactiver le port ?
8. Que fournit le mot-clé sticky dans la commande port-security ?
9. Quelles deux commandes pouvez-vous utiliser pour vérifier que la sécurité des ports a été configurée sur un port
FastEthernet 0/12 sur un switch ?
10. Vrai/Faux : le commutateur de couche 2 doit avoir une adresse IP définie et les PC se connectant au
switch doit utiliser cette adresse comme passerelle par défaut.
Dans cette section, vous utiliserez le réseau commuté suivant pour configurer vos laboratoires de commutation. Tu
peut utiliser n'importe quel commutateur Cisco pour faire ce laboratoire, ainsi que le simulateur de version LammleSim IOS trouvé à
www.lammle.com/ccna . Ils n'ont pas besoin d'être des commutateurs multicouches, juste des commutateurs de couche 2.
Le premier laboratoire (Lab 10.1) vous oblige à configurer trois commutateurs, puis vous les vérifierez dans
Laboratoire 10.2.
Les laboratoires de ce chapitre sont les suivants :
Travaux pratiques 10.1 : Configuration des commutateurs de couche 2
Page 169
Travaux pratiques 10.2 : Vérification des commutateurs de couche 2
Atelier pratique 10.3 : Configuration de la sécurité des ports
Atelier 10.1 : Configuration des commutateurs de couche 2

Dans ce laboratoire, vous configurerez les trois commutateurs du graphique :
1. Connectez-vous au commutateur S1 et configurez les éléments suivants, sans ordre particulier :
Nom d'hôte
Bannière
Description de l'interface
Mots de passe
Adresse IP, masque de sous-réseau, passerelle par défaut
Commutateur> fr
Switch# config t
S1(config-if)# desc Connexion à l'IVR
S1(config-if)# sortie
S1(config)# banner motd #ceci est mon commutateur S1#
S1(config)# sortie
2. Connectez-vous au commutateur S2 et configurez tous les paramètres que vous avez utilisés à l'étape 1. N'oubliez pas d'utiliser
une adresse IP différente sur le commutateur.
3. Connectez-vous au commutateur S3 et configurez tous les paramètres que vous avez utilisés aux étapes 1 et 2. N'oubliez pas
pour utiliser une adresse IP différente sur le commutateur.
Atelier 10.2 : Vérification des commutateurs de couche 2

Une fois que vous avez configuré un appareil, vous devez pouvoir le vérifier.
1. Connectez-vous à chaque commutateur et vérifiez l'interface de gestion.
S1# sh interface vlan 1
2. Connectez-vous à chaque commutateur et vérifiez le CAM.
3. Vérifiez vos configurations avec les commandes suivantes :
S1# sh running-config
Brève expédition S1#
170
Atelier 10.3 : Configuration de la sécurité des ports

La sécurité des ports est un objectif majeur de Cisco. Ne sautez pas ce labo !
1. Connectez-vous à votre commutateur S3.
2. Configurez le port Fa0/3 avec la sécurité du port.
S3 # config t
S(config)# int fa0/3
S3(config-if# accès en mode Switchport
S3(config-if# switchport port-security
3. Vérifiez votre paramètre par défaut pour la sécurité des ports.
S3# show port-security int f0/3
4. Modifiez les paramètres pour avoir un maximum de deux adresses MAC pouvant être associées à l'interface
Fa0/3.
S3 # config t
S3(config-if# switchport port-security maximum 2
5. Modifiez le mode de violation pour restreindre .
S3 # config t
S3(config-if# switchport port-security violation restreindre
6. Vérifiez votre configuration avec les commandes suivantes :
S3 # afficher la sécurité des ports

S3# show port-security int fa0/3
S3# afficher la configuration en cours
1. Laquelle des affirmations suivantes n'est pas vraie en ce qui concerne la commutation de couche 2 ?
A. Les commutateurs et ponts de couche 2 sont plus rapides que les routeurs car ils ne prennent pas de temps
en regardant les informations d'en-tête de la couche de liaison de données.
B. Les commutateurs et ponts de couche 2 examinent les adresses matérielles de la trame avant de décider de
soit avancer, inonder ou laisser tomber la trame.
C. Les commutateurs créent des domaines de collision privés et dédiés et fournissent une bande passante indépendante
sur chaque port.
D. Les commutateurs utilisent des circuits intégrés spécifiques à l'application (ASIC) pour construire et maintenir leur
Tableaux de filtrage MAC.
2. Répertoriez les deux commandes qui ont généré la dernière entrée dans la table d'adresses MAC affichée.

--------------------------------------------

---- ----------- -------- -----
[coupure de sortie]
Page 171

1 0011.1191.556f DYNAMIQUE Fa0/1
1 001b.d40a.0538 DYNAMIQUE Fa0/1
1 aaaa.bbbb.0ccc STATIQUE Fa0/7
3. Dans le schéma illustré, que fera le commutateur si une trame avec une adresse MAC de destination de
000a.f467.63b1 est reçu sur Fa0/4 ? (Choisissez tout ce qui correspond.)
A. Laissez tomber le cadre.
B. Envoyez la trame hors de Fa0/3.
C. Envoyez la trame hors de Fa0/4.
D. Envoyez la trame hors de Fa0/5.
E. Envoyez la trame hors de Fa0/6.
4. Écrivez la commande qui a généré la sortie suivante.

--------------------------------------------
---- ----------- -------- -----
[coupure de sortie]
1 0011.1191.556f DYNAMIQUE Fa0/1
1 001a.2f55.c9e8 DYNAMIQUE Fa0/1
5. Dans la zone de travail du graphique suivant, dessinez les fonctions d'un interrupteur de la liste sur le
de gauche à droite.
Page 172
6. Quelle(s) affirmation(s) est/sont vraie(s) concernant le résultat affiché ici ? (Choisissez tout ce qui correspond.)
S3# sh port-security int f0/3

État des ports : Arrêt sécurisé
Dernière adresse source : Vlan : 0013:0ca69:00bb3:00ba8:1
A. La lumière du port pour F0/3 sera de couleur ambre.
B. Le port F0/3 transfère des trames.
C. Ce problème se résoudra de lui-même en quelques minutes.
D. Ce port nécessite la commande shutdown pour fonctionner.
7. Écrivez la commande qui limiterait le nombre d'adresses MAC autorisées sur un port à 2.
N'écrivez que la commande et non l'invite.
8. Laquelle des commandes suivantes dans cette configuration est une condition préalable à l'autre
commandes pour fonctionner?
S3 # config t
S3(config-if# switchport port-security
S3(config-if# switchport port-security maximum 3
S3(config-if# switchport port-security violation restreindre
S3(config-if# Switchport mode-sécurité temps de vieillissement 10
A. temps de vieillissement de la sécurité en mode switchport 10
B. la sécurité du port switchport
C. port de commutation de sécurité au maximum 3
D. restriction de violation de sécurité du port switchport
9. Lequel si ce qui suit n'est pas un problème traité par STP ?
A. Orages de diffusion
B. Redondance de passerelle
C. Un appareil recevant plusieurs copies de la même trame
D. Mise à jour constante de la table des filtres MAC
10. Quel problème se pose lorsqu'une redondance existe entre les commutateurs est illustré dans la figure ?
Page 173
A. Orage de diffusion
B. Boucle de routage
C. Violation portuaire
D. Perte de la passerelle
11. Lequel des deux modes de violation de port de commutateur suivants vous alertera via SNMP qu'un
violation a eu lieu sur un port?
A. restreindre
B. protéger
C. l' arrêt
D. err-désactiver
12. ___________est le mécanisme d'évitement de boucle utilisé par les commutateurs.
13. Écrivez la commande qui doit être présente sur tout commutateur que vous devez gérer à partir d'un
sous-réseau différent.
14. Sur quelle interface par défaut avez-vous configuré une adresse IP pour un commutateur ?
A. int fa0/0
B. int vty 0 15
C. int vlan 1
D. int s/0/0
15. Quelle commande Cisco IOS est utilisée pour vérifier la configuration de sécurité des ports d'un port de commutateur ?
A. show interfaces port-sécurité
B. afficher l'interface de sécurité des ports
C. afficher l'interface IP
D. show interfaces switchport
16. Écrivez la commande qui enregistrera une adresse MAC apprise dynamiquement dans le
configuration d'un switch Cisco ?
17. Laquelle des méthodes suivantes garantira qu'un seul hôte spécifique peut se connecter au port
F0/3 sur un interrupteur ? (Choisissez deux réponses. Chaque bonne réponse est une solution distincte.)
Page 174
A. Configurez la sécurité des ports sur F0/3 pour accepter le trafic autre que celui de l'adresse MAC de
l'hôte.
B. Configurez l'adresse MAC de l'hôte en tant qu'entrée statique associée au port F0/3.
C. Configurez une liste de contrôle d'accès entrant sur le port F0/3 limitant le trafic à l'adresse IP de
l'hôte.
D. Configurez la sécurité des ports sur F0/3 pour accepter le trafic uniquement à partir de l'adresse MAC de l'hôte.
18. Quel sera l'effet de l'exécution de la commande suivante sur le port F0/1 ?
switch(config-if)# switchport port-security mac-address 00C0.35F0.8301
A. La commande configure une liste de contrôle d'accès entrante sur le port F0/1, limitant le trafic à
l'adresse IP de l'hôte.
B. La commande interdit expressément l'adresse MAC de 00c0.35F0.8301 comme une

hôte sur le port du commutateur.
C. La commande crypte tout le trafic sur le port à partir de l'adresse MAC de 00c0.35F0.8301.
D. La commande définit statiquement l'adresse MAC de 00c0.35F0.8301 en tant qu'hôte autorisé

sur le port du commutateur.
19. La salle de conférence dispose d'un port de commutation disponible pour être utilisé par le présentateur pendant les cours, et
chaque présentateur utilise le même PC connecté au port. Vous souhaitez empêcher d'autres PC
d'utiliser ce port. Vous avez complètement supprimé l'ancienne configuration pour commencer
un nouveau. Laquelle des étapes suivantes n'est pas nécessaire pour empêcher d'autres PC d'utiliser ce
Port?
A. Activez la sécurité des ports.
B. Attribuez l'adresse MAC du PC au port.
C. Faites du port un port d'accès.
D. Faites du port un port de jonction.
20. Écrivez la commande requise pour désactiver le port si une violation de sécurité se produit. N'écrivez que le
commande et non l'invite.
Page 175
Chapitre 11
VLAN et routage inter-VLAN

CE CHAPITRE:
2.4 Configurer, vérifier et dépanner les VLAN (plage normale) couvrant plusieurs
commutateurs
2.4.a Ports d'accès (données et voix)
2.4.b VLAN par défaut
2.5 Configurer, vérifier et dépanner la connectivité interswitch
2.5.a Ports de jonction
2.5.b 802.1Q
2.5.c VLAN natif
3.4 Configurer, vérifier et dépanner le routage inter-VLAN
3.4.a Routeur sur bâton
Je sais que je n'arrête pas de te le dire, mais pour que tu ne l'oublies jamais,
c'est parti, une dernière fois : par défaut, les commutateurs cassent les domaines de collision et les routeurs se cassent
domaines de diffusion. D'accord, je me sens mieux ! Maintenant, nous pouvons continuer.
Contrairement aux réseaux d'hier qui reposaient sur des dorsales effondrées, les réseaux d'aujourd'hui
la conception du réseau se caractérise par une architecture plus plate, grâce aux commutateurs. Et maintenant? Comment
décomposons-nous les domaines de diffusion dans un interréseau purement commuté ? En créant un local virtuel
réseaux locaux (VLAN). Un VLAN est un regroupement logique d'utilisateurs du réseau et de ressources connectées
aux ports définis administrativement sur un commutateur. Lorsque vous créez des VLAN, vous avez la possibilité de
créer des domaines de diffusion plus petits au sein d'un inter-réseau commuté de couche 2 en attribuant différents
ports sur le commutateur pour desservir différents sous-réseaux. Un VLAN est traité comme son propre sous-réseau ou
domaine de diffusion, ce qui signifie que les trames diffusées sur le réseau ne sont commutées qu'entre
les ports regroupés logiquement au sein du même VLAN.
Alors, cela signifie-t-il que nous n'avons plus besoin de routeurs ? Peut-être oui; peut-être que non. ça dépend vraiment de quoi
vos besoins et objectifs particuliers en matière de réseautage sont. Par défaut, les hôtes d'un VLAN spécifique ne peuvent pas
communiquer avec des hôtes membres d'un autre VLAN, donc si vous voulez inter-VLAN
communication, la réponse est que vous avez toujours besoin d'un routeur ou d'un routage inter-VLAN (IVR).
Page 176
Dans ce chapitre, vous allez apprendre en détail ce qu'est un VLAN et comment le VLAN
les adhésions sont utilisées dans un réseau commuté. Vous saurez également ce qu'est un lien de jonction
est et comment les configurer et les vérifier.
Je terminerai ce chapitre en démontrant comment vous pouvez faire en sorte que la communication inter-VLAN se produise
en introduisant un routeur dans un réseau commuté. Bien sûr, nous allons configurer notre commutateur habituel
la disposition du réseau que nous avons utilisée dans le dernier chapitre pour créer des VLAN et pour implémenter la jonction
et le routage inter-VLAN sur un commutateur de couche 3 en créant des interfaces virtuelles commutées (SVI).

Notions de base sur les VLAN
La figure 11.1 illustre l'architecture de réseau plate qui était si typique pour la couche 2 commutée
réseaux. Avec cette configuration, chaque paquet de diffusion transmis est vu par chaque appareil
sur le réseau, que l'appareil ait besoin ou non de recevoir ces données.
FIGURE 11.1 Structure du réseau plat
Par défaut, les routeurs autorisent les diffusions uniquement au sein du réseau d'origine, tandis que les commutateurs
transmettre les diffusions à tous les segments. Oh, et au fait, la raison pour laquelle ça s'appelle un réseau plat est
parce qu'il s'agit d'un domaine de diffusion , et non parce que la conception réelle est physiquement plate. Dans la figure 11.1
nous voyons l'hôte A envoyer une diffusion et tous les ports sur tous les commutateurs la transmettre, tous sauf le
port qui l'a initialement reçu.
Consultez maintenant la figure 11.2 . Il représente un réseau commuté et montre l'hôte A envoyant une trame
avec l'hôte D comme destination. De toute évidence, le facteur important ici est que le cadre n'est
transmis le port où se trouve l'hôte D.
Page 177
FIGURE 11.2 Les avantages d'un réseau commuté
Il s'agit d'une énorme amélioration par rapport aux anciens réseaux concentrateurs, à moins d'avoir un domaine de collision par
par défaut, c'est ce que vous voulez vraiment pour une raison quelconque !
D'accord, vous savez déjà que le plus grand avantage d'un réseau commuté de couche 2 est
qu'il crée des segments de domaine de collision individuels pour chaque périphérique connecté à chaque port du
changer. Ce scénario nous libère des anciennes contraintes de densité Ethernet et nous permet de
construire de plus grands réseaux. Mais trop souvent, chaque nouvelle avancée s'accompagne de nouveaux problèmes. Par exemple, le
plus d'utilisateurs et d'appareils peuplent et utilisent un réseau, plus il y a de diffusions et de paquets chacun
l'interrupteur doit gérer.
Et il y a un autre gros problème : la sécurité ! Celui-ci est un vrai problème car dans la couche typique 2
interréseau commuté, tous les utilisateurs peuvent voir tous les appareils par défaut. Et vous ne pouvez pas empêcher les appareils de
diffusion, et vous ne pouvez pas empêcher les utilisateurs d'essayer de répondre aux diffusions. Cela signifie que votre
les options de sécurité sont lamentablement limitées à placer des mots de passe sur vos serveurs et autres appareils.
Mais attendez, il y a de l'espoir si vous créez un réseau local virtuel (VLAN) ! Vous pouvez résoudre de nombreux problèmes
associé à la commutation de couche 2 avec les VLAN, comme vous le verrez bientôt.
Les VLAN fonctionnent comme ceci : La figure 11.3 montre tous les hôtes de cette très petite entreprise connectés à un
switch, ce qui signifie que tous les hôtes recevront toutes les trames, ce qui est le comportement par défaut de tous les switchs.
Page 178
FIGURE 11.3 Un commutateur, un LAN : avant les VLAN, il n'y avait pas de séparations entre les hôtes.
Si nous voulons séparer les données de l'hôte, nous pouvons soit acheter un autre commutateur, soit créer des réseaux locaux virtuels,
comme le montre la figure 11.4 .
FIGURE 11.4 Un commutateur, deux réseaux locaux virtuels ( séparation logique entre les hôtes) : toujours physiquement
un seul interrupteur, mais cet interrupteur agit comme plusieurs appareils séparés.
Dans la figure 11.4 , j'ai configuré le commutateur pour qu'il soit deux réseaux locaux distincts, deux sous-réseaux, deux diffusions
domaines, deux VLAN—ils signifient tous la même chose—sans acheter un autre commutateur. Nous pouvons faire
cela 1 000 fois sur la plupart des commutateurs Cisco, ce qui permet d'économiser des milliers de dollars et plus !
Notez que même si la séparation est virtuelle et que les hôtes sont toujours connectés au même
commutateur, les réseaux locaux ne peuvent pas s'envoyer de données par défaut. C'est parce qu'ils sont toujours séparés
réseaux, mais ne vous inquiétez pas, nous aborderons la communication inter-VLAN plus loin dans ce chapitre.
Page 179
Voici une courte liste de façons dont les VLAN simplifient la gestion du réseau :
Les ajouts, déplacements et modifications de réseau sont réalisés facilement en configurant simplement un port dans le
VLAN approprié.
Un groupe d'utilisateurs qui ont besoin d'un niveau de sécurité exceptionnellement élevé peut être placé dans son propre VLAN afin
que les utilisateurs en dehors de ce VLAN ne peuvent pas communiquer avec les utilisateurs du groupe.
En tant que regroupement logique d'utilisateurs par fonction, les VLAN peuvent être considérés comme indépendants de leur
emplacements physiques ou géographiques.
Les VLAN améliorent considérablement la sécurité du réseau s'ils sont implémentés correctement.
Les VLAN augmentent le nombre de domaines de diffusion tout en diminuant leur taille.
À venir, nous explorerons en profondeur le monde de la commutation, et vous apprendrez exactement comment et pourquoi
les commutateurs nous fournissent de bien meilleurs services réseau que les hubs de nos réseaux actuels.
Contrôle de diffusion
Les diffusions se produisent dans tous les protocoles, mais leur fréquence dépend de trois éléments :
Le type de protocole
La ou les applications s'exécutant sur l'interréseau
Comment ces services sont utilisés
Certaines applications plus anciennes ont été réécrites pour réduire leur consommation de bande passante, mais il y a
une nouvelle génération d'applications si gourmandes en bande passante qu'elles consomment tout ce qu'elles
peuvent trouver. Ces gloutons sont la légion d'applications multimédias qui utilisent à la fois des diffusions et
multicast de manière intensive. Comme s'il n'y avait pas assez de problèmes, des facteurs comme un équipement défectueux,
une segmentation inadéquate et des pare-feu mal conçus peuvent sérieusement aggraver les problèmes
déjà causé par ces applications à forte intensité de diffusion. Tout cela a ajouté une grande nouveauté
dimension à la conception du réseau et présente un tas de nouveaux défis pour un administrateur.
S'assurer positivement que votre réseau est correctement segmenté afin que vous puissiez rapidement isoler un seul
les problèmes de segment pour les empêcher de se propager dans tout votre interréseau est
désormais impératif. Et le moyen le plus efficace d'y parvenir est la commutation et le routage stratégiques !
Depuis que les commutateurs sont devenus plus abordables, presque tout le monde a remplacé son hub plat
réseaux avec des environnements de réseau commuté et VLAN purs. Tous les périphériques d'un VLAN sont
membres du même domaine de diffusion et recevoir toutes les diffusions qui s'y rapportent. Par défaut,
ces diffusions sont filtrées à partir de tous les ports d'un commutateur qui ne sont pas membres du même VLAN.
C'est génial parce que vous obtenez tous les avantages que vous auriez avec une conception commutée sans être touché
avec tous les problèmes que vous auriez si tous vos utilisateurs étaient dans le même domaine de diffusion, chouette !
Sécurité
Mais il y a toujours un hic, non ? Il est temps de revenir à ces problèmes de sécurité. Un interréseau plat
La sécurité était auparavant abordée en connectant des concentrateurs et des commutateurs avec des routeurs. Donc c'était ça
essentiellement le travail du routeur pour maintenir la sécurité. Cet arrangement était assez inefficace pour
plusieurs raisons. Premièrement, toute personne se connectant au réseau physique pourrait accéder au réseau
ressources situées sur ce LAN physique particulier. Deuxièmement, tout ce que quelqu'un avait à faire pour observer
et tout le trafic traversant ce réseau consistait simplement à brancher un analyseur de réseau au concentrateur. Et
similaire à ce dernier fait effrayant, les utilisateurs pourraient facilement rejoindre un groupe de travail en branchant simplement leur
postes de travail dans le hub existant. C'est à peu près aussi sûr qu'un baril de miel dans un ours
enceinte!
Mais c'est exactement ce qui rend les VLAN si cool. Si vous les construisez et créez plusieurs diffusions
groupes, vous pouvez toujours avoir un contrôle total sur chaque port et utilisateur ! Alors les jours où n'importe qui pouvait
il suffit de brancher leurs postes de travail sur n'importe quel port de commutateur et d'accéder aux ressources du réseau sont de l'histoire ancienne
car maintenant vous contrôlez chaque port et toutes les ressources auxquelles il peut accéder.
Et ce n'est même pas tout : les VLAN peuvent être créés en harmonie avec le besoin d'un utilisateur spécifique pour le
Page 180
ressources du réseau. De plus, les commutateurs peuvent être configurés pour informer une station de gestion de réseau
sur l'accès non autorisé à ces ressources réseau vitales. Et si vous avez besoin d'inter-VLAN
communication, vous pouvez implémenter des restrictions sur un routeur pour vous assurer que tout se passe
en toute sécurité. Vous pouvez également imposer des restrictions sur les adresses matérielles, les protocoles et les applications.
Maintenant, nous parlons de sécurité - notre baril de miel est maintenant scellé hermétiquement, fait de titane solide et
enveloppé dans du fil de rasoir !
Flexibilité et évolutivité
Si vous avez fait attention jusqu'à présent, vous savez que la couche 2 ne commute que les trames de lecture pour
filtrage car ils ne regardent pas le protocole de la couche réseau. Vous savez aussi que par défaut,
les commutateurs transmettent les diffusions à tous les ports. Mais si vous créez et implémentez des VLAN, vous
créant essentiellement des domaines de diffusion plus petits au niveau de la couche 2.
Par conséquent, les diffusions envoyées depuis un nœud dans un VLAN ne seront pas transmises aux ports configurés
appartenir à un autre VLAN. Mais si nous attribuons des ports de commutateur ou des utilisateurs à des groupes VLAN sur un commutateur
ou sur un groupe de commutateurs connectés, nous gagnons la flexibilité d'ajouter exclusivement uniquement les utilisateurs que nous
veulent laisser entrer dans ce domaine de diffusion quel que soit leur emplacement physique. Cette configuration peut également
travailler pour bloquer les tempêtes de diffusion causées par une carte d'interface réseau (NIC) défectueuse ainsi que
empêcher un périphérique intermédiaire de propager des tempêtes de diffusion dans l'ensemble
interréseau. Ces problèmes peuvent toujours se produire sur le VLAN d'où provient le problème, mais le
la maladie sera entièrement contenue dans ce VLAN malade !
Un autre avantage est que lorsqu'un VLAN devient trop grand, vous pouvez simplement créer plus de VLAN pour
les diffusions de consommer trop de bande passante. Moins il y a d'utilisateurs dans un VLAN, moins il y a d'utilisateurs
touchés par les émissions. Tout cela est bien, mais vous devez sérieusement garder à l'esprit les services réseau
et comprendre comment les utilisateurs se connectent à ces services lors de la création d'un VLAN. Une bonne stratégie
est d'essayer de garder tous les services, à l'exception du courrier électronique et de l'accès Internet dont tout le monde a besoin, en local
à tous les utilisateurs dans la mesure du possible.
Identification des VLAN

Les ports de commutation sont des interfaces de couche 2 uniquement associées à un port physique pouvant appartenir
à un seul VLAN s'il s'agit d'un port d'accès ou à tous les VLAN s'il s'agit d'un port de jonction.
Les commutateurs sont certainement des appareils assez occupés. Comme une myriade d'images sont commutées tout au long de la
réseau, les commutateurs doivent pouvoir les suivre tous et savoir quoi faire avec
en fonction de leurs adresses matérielles associées. Et n'oubliez pas que les images sont gérées
différemment selon le type de lien qu'ils traversent.
Il existe deux types de ports différents dans un environnement commuté. Jetons un coup d'oeil au premier
saisissez la figure 11.5 .
Page 181
FIGURE 11.5 Ports d'accès
Notez qu'il existe des ports d'accès pour chaque hôte et un port d'accès entre les commutateurs, un pour chaque
VLAN.
Ports d' accès Un port d'accès appartient et transporte le trafic d'un seul VLAN. Le trafic est à la fois
reçus et envoyés dans des formats natifs sans aucune information VLAN (marquage). N'importe quoi
arrivant sur un port d'accès est simplement supposé appartenir au VLAN attribué au port. Parce que
un port d'accès ne regarde pas l'adresse source, le trafic balisé—une trame avec un VLAN ajouté
informations—peuvent être correctement transférés et reçus uniquement sur les ports de jonction.
Avec un lien d'accès, cela peut être appelé le VLAN configuré du port. Tout appareil
attaché à un lien d'accès n'est pas au courant d'une appartenance à un VLAN - l'appareil suppose simplement qu'il fait partie de
un domaine de diffusion. Mais il n'a pas une vue d'ensemble, donc il ne comprend pas le physique
topologie du réseau du tout.
Une autre bonne information à savoir est que les commutateurs suppriment toute information VLAN de
la trame avant qu'elle ne soit transmise à un périphérique de liaison d'accès. N'oubliez pas que les appareils à liaison d'accès
ne peut pas communiquer avec des périphériques en dehors de leur VLAN à moins que le paquet ne soit routé. Aussi, vous pouvez
créez uniquement un port de commutateur pour être un port d'accès ou un port de jonction, pas les deux. Alors tu dois
choisissez l'un ou l'autre et sachez que si vous en faites un port d'accès, ce port peut être affecté à
un seul VLAN. Dans la Figure 11.5 , seuls les hôtes du VLAN de vente peuvent communiquer avec d'autres hôtes du
même VLAN. C'est la même chose avec le VLAN Admin, et ils peuvent tous deux communiquer avec les hôtes sur
l'autre commutateur en raison d'un lien d'accès pour chaque VLAN configuré entre les commutateurs.
Ports d'accès vocal Pour ne pas vous embrouiller, mais tout ce que je viens de dire sur le fait qu'un accès
le port ne peut être affecté qu'à un seul VLAN n'est vraiment qu'une sorte de vrai. De nos jours, la plupart des commutateurs
vous permettra d'ajouter un deuxième VLAN à un port d'accès sur un port switch pour votre trafic voix,
appelé le VLAN voix. Le VLAN voix s'appelait auparavant VLAN auxiliaire, ce qui permettait
il doit être superposé au VLAN de données, permettant aux deux types de trafic de voyager à travers le
même port. Même si cela est techniquement considéré comme un type de lien différent, c'est toujours juste
un port d'accès qui peut être configuré pour les VLAN de données et de voix. Cela vous permet de
Page 182
connectez à la fois un téléphone et un PC à un port de commutateur tout en gardant chaque appareil dans un
VLAN séparé.
Ports de jonction Croyez-le ou non, le terme port de jonction a été inspiré par les jonctions du système téléphonique,
qui transportent plusieurs conversations téléphoniques à la fois. Il s'ensuit donc que les ports de jonction peuvent
transporter de la même manière plusieurs VLAN à la fois.
Une liaison de jonction est une liaison point à point de 100, 1 000 ou 10 000 Mbps entre deux commutateurs, entre un
commutateur et routeur, ou même entre un commutateur et un serveur, et il transporte le trafic de plusieurs
VLAN : de 1 à 4 094 VLAN à la fois. Mais le montant n'est vraiment que jusqu'à 1001 à moins que
vous allez avec quelque chose appelé VLAN étendu.
Au lieu d'un lien d'accès pour chaque VLAN entre les commutateurs, nous allons créer un lien de jonction,
illustré à la figure 11.6 .
FIGURE 11.6 Les VLAN peuvent s'étendre sur plusieurs commutateurs en utilisant des liaisons de jonction, qui transportent le trafic
pour plusieurs VLAN.
Le trunking peut être un réel avantage car avec lui, vous pouvez faire en sorte qu'un seul port fasse partie d'un tout
un tas de VLAN différents en même temps. C'est une fonctionnalité intéressante car vous pouvez réellement définir
ports jusqu'à avoir un serveur dans deux domaines de diffusion distincts simultanément afin que vos utilisateurs ne
devez traverser un périphérique de couche 3 (routeur) pour vous connecter et y accéder. Un autre avantage de la goulotte vient
en jeu lorsque vous connectez des commutateurs. Les liaisons de jonction peuvent transporter les trames de divers VLAN
à travers eux, mais par défaut, si les liens entre vos commutateurs ne sont pas partagés, seules les informations
à partir de l'accès configuré, le VLAN sera commuté sur ce lien.
Il est également bon de savoir que tous les VLAN envoient des informations sur un lien à ressources partagées à moins que vous ne désactiviez chacun d'eux.
VLAN à la main, et pas de soucis, je vais vous montrer comment effacer des VLAN individuels d'un tronc dans un instant.
D'accord, il est enfin temps de vous parler du balisage des trames et des méthodes d'identification VLAN utilisées
dedans à travers nos liaisons interurbaines.
Balisage des cadres
Page 183
Comme vous le savez maintenant, vous pouvez configurer vos VLAN pour couvrir plusieurs commutateurs connectés. Vous pouvez
voyez cela sur la figure 11.6 , qui décrit les hôtes de deux VLAN répartis sur deux commutateurs.
Cette capacité flexible et puissante est probablement le principal avantage de la mise en œuvre de VLAN,
et nous pouvons le faire avec jusqu'à mille VLAN et des milliers et des milliers d'hôtes !
Tout cela peut devenir un peu compliqué, même pour un commutateur, il doit donc y avoir un moyen pour chacun
pour garder une trace de tous les utilisateurs et trames lorsqu'ils parcourent la matrice de commutation et les VLAN. Quand je dis,
« switch fabric », je fais simplement référence à un groupe de commutateurs qui partagent les mêmes informations VLAN.
Et c'est justement là que le marquage des images entre en scène. Cette identification de cadre
La méthode attribue de manière unique un ID de VLAN défini par l'utilisateur à chaque trame.
Voici comment cela fonctionne : une fois dans la matrice de commutation, chaque commutateur atteint par la trame doit d'abord
identifiez l'ID de VLAN à partir de la balise de trame. Il découvre alors quoi faire avec le cadre en regardant
aux informations contenues dans ce qu'on appelle la table de filtrage. Si le cadre atteint un commutateur qui a
autre liaison à ressources partagées, la trame sera transférée hors du port de liaison à ressources partagées.
Une fois que la trame atteint une sortie qui est déterminée par la table de transfert/filtre comme étant un lien d'accès
correspondant à l'ID de VLAN de la trame, le commutateur supprimera l'identifiant de VLAN. C'est ainsi le
l'appareil de destination peut recevoir les trames sans avoir à comprendre son VLAN
informations d'identification.
Un autre avantage des ports de jonction est qu'ils prendront en charge le trafic balisé et non balisé.
simultanément si vous utilisez la jonction 802.1q, dont nous parlerons ensuite. Le port de jonction est
attribué un ID de VLAN de port par défaut (PVID) pour un VLAN sur lequel tout le trafic non balisé passera.
Ce VLAN est également appelé VLAN natif et est toujours VLAN 1 par défaut, mais il peut être modifié
à n'importe quel numéro de VLAN.
De même, tout trafic non balisé ou balisé avec un ID de VLAN NULL (non attribué) est supposé
appartiennent au VLAN avec le PVID par défaut du port. Encore une fois, ce serait le VLAN 1 par défaut. Un paquet
avec un ID de VLAN égal au port sortant, le VLAN natif est envoyé sans balise et peut communiquer avec
uniquement des hôtes ou des périphériques dans ce même VLAN. Tout autre trafic VLAN doit être envoyé avec une balise VLAN
pour communiquer au sein d'un VLAN particulier qui correspond à cette balise.
Méthodes d'identification de VLAN

L'identification du VLAN est ce que les commutateurs utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent un
tissu de commutation. C'est ainsi que les commutateurs identifient quelles trames appartiennent à quels VLAN, et il y a plus
qu'une méthode de jonction.
Lien inter-commutateur (ISL)
Inter-Switch Link (ISL) est un moyen de marquer explicitement les informations VLAN sur une trame Ethernet.
Ces informations de marquage permettent aux VLAN d'être multiplexés sur une liaison de jonction via un réseau externe.
méthode d'encapsulation. Cela permet au commutateur d'identifier l'appartenance au VLAN d'une trame
reçu sur la liaison partagée.
En exécutant ISL, vous pouvez interconnecter plusieurs commutateurs tout en conservant les informations VLAN comme
le trafic circule entre les commutateurs sur les liaisons interurbaines. ISL fonctionne à la couche 2 en encapsulant une donnée
trame avec un nouvel en-tête et en effectuant un nouveau contrôle de redondance cyclique (CRC).
Il est à noter qu'ISL est la propriété des commutateurs Cisco et qu'il est également assez polyvalent. ISL peut être utilisé
sur un port de commutateur, des interfaces de routeur et des cartes d'interface de serveur pour relier un serveur.
Bien que certains commutateurs Cisco prennent toujours en charge le balisage des trames ISL, Cisco s'oriente vers l'utilisation uniquement
802.1q.
IEEE 802.1q
Créé par l'IEEE comme méthode standard de marquage de trame, IEEE 802.1q insère en fait un champ
dans la trame pour identifier le VLAN. Si vous effectuez une jonction entre une liaison commutée Cisco et un
marque différente de commutateur, vous devez utiliser 802.1q pour que le tronc fonctionne.
Contrairement à ISL, qui encapsule la trame avec les informations de contrôle, 802.1q insère un 802.1q
Page 184
ainsi que les informations de contrôle des balises, comme illustré à la Figure 11.7 .
FIGURE 11.7 Encapsulation IEEE 802.1q avec et sans balise 802.1q
Pour les objectifs de l'examen Cisco, seul l'ID de VLAN 12 bits compte. Ce champ identifie le
VLAN et peut être de 2 au 12, moins 2 pour le 0 et 4 095 VLAN réservés, ce qui signifie un
La trame balisée 802.1q peut transporter des informations pour 4 094 VLAN.
Cela fonctionne comme ceci: vous désignez d'abord chaque port qui va être un tronc avec 802.1q
encapsulation. Les autres ports doivent se voir attribuer un ID de VLAN spécifique pour qu'ils
communiquer. VLAN 1 est le VLAN natif par défaut, et lors de l'utilisation de 802.1q, tout le trafic pour un natif
Le VLAN n'est pas balisé. Les ports qui peuplent le même tronc créent un groupe avec ce VLAN natif
et chaque port est étiqueté avec un numéro d'identification reflétant cela. Encore une fois, la valeur par défaut est VLAN
1. Le VLAN natif permet aux jonctions d'accepter les informations reçues sans aucun VLAN
identification ou étiquette de cadre.
La plupart des commutateurs du modèle 2960 ne prennent en charge que le protocole de jonction IEEE 802.1q, mais le 3560
supportent à la fois les méthodes ISL et IEEE, que vous verrez plus loin dans ce chapitre.
L'objectif fondamental des méthodes de marquage de trame ISL et 802.1q est de fournir
basculer la communication VLAN. N'oubliez pas que tout balisage de trame ISL ou 802.1q est supprimé
si une trame est transférée vers un lien d'accès, le balisage est utilisé en interne et sur les liens de jonction
seul!
Routage entre les VLAN

Les hôtes d'un VLAN vivent dans leur propre domaine de diffusion et peuvent communiquer librement. Les VLAN créent
partitionnement du réseau et séparation du trafic à la couche 2 de l'OSI, et comme je l'ai dit quand je vous l'ai dit
pourquoi nous avons toujours besoin de routeurs, si vous voulez que des hôtes ou tout autre périphérique adressable par IP communiquent
entre les VLAN, vous devez disposer d'un périphérique de couche 3 pour assurer le routage.
Pour cela, vous pouvez utiliser un routeur qui a une interface pour chaque VLAN ou un routeur qui prend en charge ISL
ou routage 802.1q. Le routeur le moins cher qui prend en charge le routage ISL ou 802.1q est le 2600
routeur en série. Il faudrait l'acheter chez un revendeur de matériel d'occasion car ils sont en fin de
vie, ou EOL. Je recommanderais au moins un 2800 comme strict minimum, mais même cela ne prend en charge que
802.1q ; Cisco s'éloigne vraiment de l'ISL, vous ne devriez donc probablement utiliser que 802.1q
De toute façon. Certains 2800 peuvent prendre en charge à la fois ISL et 802.1q ; Je ne l'ai jamais vu pris en charge.
Quoi qu'il en soit, comme le montre la figure 11.8 , si vous aviez deux ou trois VLAN, vous pourriez vous en tirer avec un routeur
équipé de deux ou trois connexions FastEthernet. Et 10Base-T est correct pour l'étude à domicile
fins, et je veux dire seulement pour vos études, mais pour toute autre chose, je recommanderais fortement Gigabit
Page 185
des interfaces pour une vraie puissance sous le capot !

Ce que nous voyons sur la figure 11.8, c'est que chaque interface de routeur est branchée sur une liaison d'accès. Ça signifie
que chacune des adresses IP d'interface des routeurs deviendrait alors l'adresse de passerelle par défaut
pour chaque hôte dans chaque VLAN respectif.
FIGURE 11.8 Routeur connectant trois VLAN ensemble pour la communication inter-VLAN, un
interface de routeur pour chaque VLAN
Si vous disposez de plus de VLAN que d'interfaces de routeur, vous pouvez configurer l'agrégation sur un
Interface FastEthernet ou achetez un commutateur de couche 3, comme l'ancien et maintenant bon marché 3560 ou un haut de gamme
switch comme un 3850. Vous pouvez même opter pour un 6800 si vous avez de l'argent à dépenser !
Au lieu d'utiliser une interface de routeur pour chaque VLAN, vous pouvez utiliser une interface FastEthernet et
exécutez la jonction ISL ou 802.1q. La figure 11.9 montre à quoi ressemblera une interface FastEthernet sur un routeur
lorsqu'il est configuré avec la jonction ISL ou 802.1q. Cela permet à tous les VLAN de communiquer via
une interface. Cisco appelle cela un routeur sur une clé (ROAS).
Page 186
FIGURE 11.9 Routeur sur clé : interface de routeur unique connectant les trois VLAN ensemble pour
communication inter-VLAN
Je tiens vraiment à souligner que cela crée un goulot d'étranglement potentiel, ainsi qu'un seul point de
échec, de sorte que votre nombre d'hôtes/VLAN est limité. A combien ? Eh bien, cela dépend de votre trafic
niveau. Pour vraiment arranger les choses, vous feriez mieux d'utiliser un commutateur haut de gamme et un routage sur
le fond de panier. Mais si vous avez juste un routeur assis, la configuration de cette méthode est
gratuit, non ?
La figure 11.10 montre comment créer un routeur sur une clé en utilisant l'interface physique d'un routeur en
créer des interfaces logiques, une pour chaque VLAN.
FIGURE 11.10 Un routeur crée des interfaces logiques.
Ici, nous voyons une interface physique divisée en plusieurs sous-interfaces, avec un sous-réseau affecté
par VLAN, chaque sous-interface étant l'adresse de passerelle par défaut pour chaque VLAN/sous-réseau. Un
l'identifiant d'encapsulation doit être affecté à chaque sous-interface pour définir l'ID de VLAN de cette
sous-interface. Dans la section suivante où je vais configurer les VLAN et le routage inter-VLAN, je vais
configurer notre réseau commuté avec un routeur sur clé et démontrer cette configuration pour
tu.
Mais attendez, il y a encore une autre façon de faire le routage ! Au lieu d'utiliser un routeur externe
interface pour chaque VLAN, ou un routeur externe sur une clé, nous pouvons configurer des interfaces logiques sur
Page 187
le fond de panier du commutateur de couche 3 ; c'est ce qu'on appelle le routage inter-VLAN (IVR), et il est configuré
avec une interface virtuelle commutée (SVI). La figure 11.11 montre comment les hôtes voient ces interfaces virtuelles.
FIGURE 11.11 Avec l'IVR, le routage s'exécute sur le fond de panier du commutateur et il apparaît aux hôtes
qu'un routeur est présent.
Dans la Figure 11.11 , il semble qu'un routeur soit présent, mais aucun routeur physique n'est présent car
il y avait quand nous avons utilisé le routeur sur un bâton. Le processus IVR demande peu d'efforts et est facile à
mettre en œuvre, ce qui le rend très cool! De plus, il est beaucoup plus efficace pour le routage inter-VLAN que
un routeur externe est. Pour implémenter l'IVR sur un switch multicouche, il suffit de créer une logique
interfaces dans la configuration du commutateur pour chaque VLAN. Nous allons configurer cette méthode dans une minute,
mais prenons d'abord notre réseau commuté existant du chapitre 10, « Commutation de couche 2 », et ajoutons
certains VLAN, puis configurez les adhésions VLAN et les liaisons de jonction entre nos commutateurs.
Configuration des VLAN

Cela peut vous surprendre, mais la configuration des VLAN est en fait assez simple. C'est juste
que déterminer quels utilisateurs vous voulez dans chaque VLAN ne l'est pas, et cela peut consommer beaucoup de
ton temps! Mais une fois que vous avez décidé du nombre de VLAN que vous souhaitez créer et établir
quels utilisateurs vous voulez appartenir à chacun, il est temps de mettre votre premier VLAN au monde.
Pour configurer des VLAN sur un commutateur Cisco Catalyst, utilisez la commande global config vlan . Dans le
exemple suivant, je vais montrer comment configurer des VLAN sur le commutateur S1 en
créer trois VLAN pour trois départements différents — encore une fois, n'oubliez pas que le VLAN 1 est le
VLAN natif et de gestion par défaut :
S1(config)# vlan ?
MOT ID VLAN ISL 1-4094

access-map Créer vlan access-map ou entrer le mode de commande vlan access-map
paramètres point1q point1q
filter Appliquer une carte VLAN
groupe Créer un groupe vlan
VLAN interne interne
S1(config)# vlan 2
S1(config-vlan)# nom Ventes
S1(config-vlan)# vlan 3
S1(config-vlan)# nom Marketing
S1(config-vlan)# nom Comptabilité
Page 188
S1(config-vlan)# nom Voix
S1(config-vlan)# ^Z
S1#
Dans cette sortie, vous pouvez voir que vous pouvez créer des VLAN de 1 à 4094. Mais ce n'est que la plupart du temps
vrai. Comme je l'ai dit, les VLAN ne peuvent vraiment être créés que jusqu'à 1001, et vous ne pouvez pas utiliser, modifier, renommer,
ou supprimez
1005 les VLAN
sont appelés VLAN1étendus
ou 1002etàne
1005 car pas
seront ils sont réservés.
enregistrés Leslanuméros
dans base de de VLANà ci-dessus
données moins que votre commutateur ne soit défini sur
ce qu'on appelle le mode transparent VLAN Trunking Protocol (VTP). Vous ne verrez pas ces VLAN
chiffres trop souvent utilisés en production. Voici un exemple de moi essayant de régler mon commutateur S1 sur
VLAN 4000 lorsque mon commutateur est défini sur le mode serveur VTP (le mode VTP par défaut) :
S1# config t
S1(config)# vlan 4000
S1(config-vlan)# ^Z
% Échec de la création des VLAN 4000
VLAN étendu(s) non autorisé(s) dans le mode VTP actuel.
%Échec de la validation des modifications des VLAN étendus.
Après avoir créé les VLAN souhaités, vous pouvez utiliser la commande show vlan pour les vérifier
dehors. Mais notez que, par défaut, tous les ports du commutateur sont dans le VLAN 1. Pour changer le VLAN
associé à un port, vous devez vous rendre sur chaque interface et lui indiquer spécifiquement quel VLAN doit être un
partie de.
N'oubliez pas qu'un VLAN créé n'est pas utilisé jusqu'à ce qu'il soit affecté à un port de commutateur ou
ports et que tous les ports sont toujours attribués dans le VLAN 1, sauf indication contraire.
Une fois les VLAN créés, vérifiez votre configuration avec la commande show vlan ( sh vlan pour
court):
S1# sh vlan
Nom du VLAN État des ports
---- ------------------------- --------- ------------ -------------------
1 défaut actif Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Gi0/1
Gi0/2
2 Ventes actif
3 Commercialisation actif
4 Comptabilité actif
5 voix actif
[coupure de sortie]
Cela peut sembler répétitif, mais c'est important, et je veux que vous vous en souveniez : vous ne pouvez pas changer,
supprimez ou renommez le VLAN 1 car c'est le VLAN par défaut et vous ne pouvez tout simplement pas le changer, point final.
C'est également le VLAN natif de tous les commutateurs par défaut, et Cisco vous recommande de l'utiliser comme
VLAN de gestion. Si les problèmes de sécurité vous inquiètent, changez-le ! Fondamentalement, tous les ports
qui ne sont pas spécifiquement affectés à un autre VLAN seront envoyés au VLAN natif—VLAN
1.
Dans la sortie S1 précédente, vous pouvez voir que les ports Fa0/1 à Fa0/14, Fa0/19 à 23,
et les liaisons montantes Gi0/1 et Gi0/2 sont toutes dans le VLAN 1. Mais où sont les ports 15 à 18 ? D'abord,
comprenez que la commande show vlan n'affiche que les ports d'accès, alors maintenant que vous savez quoi
vous regardez avec la commande show vlan , où pensez-vous que les ports Fa15-18 sont ? C'est
droit! Ce sont des ports à ressources partagées. Les commutateurs Cisco exécutent un protocole propriétaire appelé Dynamic Trunk
Protocole (DTP) , et s'il y a un commutateur compatible connecté, ils commenceront la jonction
automatiquement, c'est précisément là que se trouvent mes quatre ports. Vous devez utiliser les interfaces de spectacle
commande trunk pour voir vos ports à ressources partagées comme ceci :
S1 # afficher le tronc d'interfaces
Page 189
Port Mode Statut d'encapsulation Vlan natif

Fa0/15 souhaitable n-isl goulotte 1
Port Vlans autorisés sur le tronc

Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
[coupure de sortie]
Cette sortie révèle que les VLAN de 1 à 4094 sont autorisés par défaut sur la jonction.
Une autre commande utile, qui fait également partie des objectifs de l'examen Cisco, est le show interfaces
commande d'interface switchport :
Interfaces S1# sh fastEthernet 0/15 switchport
Nom : Fa0/15
Port de commutation : activé
Mode administratif : dynamique souhaitable
Mode de fonctionnement : tronc
Encapsulation de jonction administrative : négocier
Encapsulation de jonction opérationnelle : isl
Négociation de Trunking : Activé
Mode d'accès VLAN : 1 (par défaut)
Trunking VLAN en mode natif : 1 (par défaut)
Balisage natif administratif du VLAN : activé
VLAN voix : aucun
[coupure de sortie]
La sortie en surbrillance nous montre le mode administratif de dynamique souhaitable , que le port est un
port de jonction, et que DTP a été utilisé pour négocier la méthode de marquage de trame d'ISL. Ça aussi
montre de manière prévisible que le VLAN natif est la valeur par défaut de 1.
Maintenant que nous pouvons voir les VLAN créés, nous pouvons attribuer des ports de commutation à des ports spécifiques. Chaque port
peut faire partie d'un seul VLAN, à l'exception des ports d'accès vocal. Grâce à la jonction, vous pouvez
rendre un port disponible pour le trafic de tous les VLAN. Je couvrirai cela ensuite.
Attribution de ports de commutateur aux VLAN

Vous configurez un port pour appartenir à un VLAN en attribuant un mode d'appartenance qui spécifie le
type de trafic transporté par le port plus le nombre de VLAN auxquels il peut appartenir. Vous pouvez également configurer
chaque port sur un commutateur doit être dans un VLAN spécifique (port d'accès) en utilisant l'interface switchport
commander. Vous pouvez même configurer plusieurs ports en même temps avec la gamme d'interfaces
commander.
Dans l'exemple suivant, je vais configurer l'interface Fa0/3 au VLAN 3. Il s'agit de la connexion du S3
basculer vers l'appareil hôte :
S3 # config t
S3(config)# int fa0/3
S3(config-if)# switchport ?
accès Définir les caractéristiques du mode d'accès de l'interface
autostate Inclure ou exclure ce port du calcul de liaison vlan
sauvegarde Définir une sauvegarde pour l'interface
bloquer Désactiver le transfert d'adresses uni/multicast inconnues
hôte Définir l'hôte du port
mode Définir le mode de jonction de l'interface
nonegotiate L'appareil ne s'engagera pas dans le protocole de négociation sur ce
interface
port-security Commande liée à la sécurité
priorité Définir la priorité 802.1p de l'appareil
private-vlan Définir la configuration du VLAN privé
protected Configurer une interface pour être un port protégé
tronc Définir les caractéristiques de jonction de l'interface
voix L'appareil vocal attribue la voix
Eh bien maintenant, qu'avons-nous ici? Il y a de nouvelles choses qui apparaissent dans notre sortie maintenant. Nous pouvons
voir diverses commandes - certaines que j'ai déjà couvertes, mais pas de soucis car je vais
couvrira très bientôt les commandes access , mode , nonegotiate et trunk . Commençons par définir un
Page 190
port d'accès sur S1, qui est probablement le type de port le plus utilisé que vous trouverez en production
Commutateurs qui ont des VLAN configurés :
S3(config-if)# mode switchport ?

accès Réglez le mode de jonction sur ACCESS sans condition
dot1q-tunnel définit le mode de jonction sur TUNNEL inconditionnellement
dynamique Définir le mode de jonction pour négocier dynamiquement l'accès ou le mode de jonction
vlan privé Définir le mode vlan privé
tronc Définir le mode de jonction sur TRUNK inconditionnellement
S3(config-if)# accès en mode switchport

S3(config-if)# switchport access vlan 3
S3(config-if)# switchport voix vlan 5
En commençant par la commande switchport mode access , vous indiquez au commutateur qu'il s'agit d'un
port de couche 2 sans agrégation. Vous pouvez ensuite affecter un VLAN au port avec l' accès switchport
commande, ainsi que de configurer le même port pour qu'il soit membre d'un type différent de VLAN, appelé
le VLAN voix . Cela vous permet de connecter un ordinateur portable à un téléphone et le téléphone à un seul
port de commutation. N'oubliez pas que vous pouvez choisir de nombreux ports à configurer simultanément avec le
commande de plage d'interface .
Jetons maintenant un œil à nos VLAN :
S3# afficher le vlan

---- ------------------------ --------- ------------- ------------------
Fa0/8, Fa0/9, Fa0/10, Fa0/11,
Fa0/12, Fa0/13, Fa0/14, Fa0/19,
Fa0/20, Fa0/21, Fa0/22, Fa0/23,
Gi0/1, Gi0/2
2 Ventes actif
3 Commercialisation actif Fa0/3
5 voix actif Fa0/3
Notez que le port Fa0/3 est désormais membre du VLAN 3 et du VLAN 5, deux types différents de VLAN.
Mais pouvez-vous me dire où sont les ports 1 et 2 ? Et pourquoi n'apparaissent-ils pas dans la sortie de
montrer le vlan ? C'est vrai, car ce sont des ports de jonction !
Nous pouvons également le voir avec la commande show interfaces interface switchport :
S3# sh int fa0/3 switchport

Nom : Fa0/3
Mode administratif : accès statique
Mode opérationnel : accès statique
Négociation de la jonction : désactivée
Mode d'accès VLAN : 3 (Marketing)
VLAN voix : 5 (voix)
La sortie en surbrillance montre que Fa0/3 est un port d'accès et un membre du VLAN 3 (Marketing),
ainsi qu'un membre du Voice VLAN 5.
C'est ça. Eh bien, en quelque sorte. Si vous avez branché des appareils sur chaque port VLAN, ils ne peuvent communiquer qu'avec d'autres
périphériques dans le même VLAN. Mais dès que vous en saurez un peu plus sur le trunking, nous allons
activer la communication inter-VLAN !
Configuration des ports de jonction
Le commutateur 2960 exécute uniquement la méthode d'encapsulation IEEE 802.1q. Pour configurer la jonction sur un
Port FastEthernet, utilisez la commande d'interface switchport mode trunk . C'est un peu différent sur le
3560 commutateur.
La sortie de commutateur suivante affiche la configuration de jonction sur les interfaces Fa0/15–18 définie sur
coffre :

S1(config-if-range)# encapsulation de jonction de port de commutation dot1q
Page 191
S1(config-if-range)# tronc de mode switchport
Si vous avez un commutateur qui exécute uniquement la méthode d'encapsulation 802.1q, vous n'utiliserez pas le
commande d' encapsulation comme je l'ai fait dans la sortie précédente. Voyons maintenant nos ports de jonction :
S1(config-if-range)# do sh int f0/15 swi
Nom : Fa0/15
Mode administratif : tronc
Encapsulation d'agrégation administrative : dot1q
Encapsulation d'agrégation opérationnelle : dot1q
VLAN voix : aucun
Notez que le port Fa0/15 est une jonction et exécute 802.1q. Jetons un autre regard :
S1(config-if-range)# do sh int trunk

Fa0/15 activé 802.1q goulotte 1
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
Prenez note du fait que les ports 15–18 sont maintenant en mode trunk activé et que l'encapsulation est
maintenant 802.1q au lieu de l'ISL négocié. Voici une description des différentes options disponibles
lors de la configuration d'une interface de commutateur :
accès en mode switchport J'en

ai parlé dans la section précédente, mais cela met l'interface (accès
port) en mode non agrégé permanent et négocie pour convertir le lien en un lien non agrégé.
L'interface devient une interface non réseau, que l'interface voisine soit ou non une
interface de tronc. Le port serait un port d'accès de couche 2 dédié.
switchport mode dynamic auto Ce

mode permet à l'interface de convertir le lien en trunk
relier. L'interface devient une interface de jonction si l'interface voisine est définie sur jonction ou
mode souhaitable. La valeur par défaut est l'auto dynamique sur de nombreux commutateurs Cisco, mais ce tronc par défaut
la méthode passe à dynamique souhaitable sur la plupart des nouveaux modèles.
mode switchport dynamique souhaitable Celui-ci

fait que l'interface tente activement de convertir le lien
à une liaison interurbaine. L'interface devient une interface trunk si l'interface voisine est définie sur trunk ,
souhaitable ,
ou mode automatique . J'avais l'habitude de voir ce mode par défaut sur certains commutateurs, mais pas sur n'importe quel
plus long. Il s'agit désormais du mode de port de commutation par défaut pour toutes les interfaces Ethernet sur tous les nouveaux Cisco
commutateurs.
trunk en mode switchport Met

l'interface en mode trunking permanent et négocie pour convertir
la liaison voisine en une liaison interurbaine. L'interface devient une interface de jonction même si le
l'interface voisine n'est pas une interface de jonction.
switchport nonegotiate Empêche

l'interface de générer des trames DTP. Vous pouvez utiliser ceci
commande uniquement lorsque le mode switchport de l'interface est access ou trunk. Vous devez manuellement
configurez l'interface voisine en tant qu'interface de jonction pour établir une liaison de jonction.
Dynamic Trunking Protocol (DTP) est utilisé pour négocier la jonction sur un lien
entre deux périphériques ainsi que la négociation du type d'encapsulation 802.1q ou ISL. je
utiliser la commande nonegotiate lorsque je veux des ports de jonction dédiés ; aucune question posée.
Pour désactiver la jonction sur une interface, utilisez la commande switchport mode access , qui définit le port
192
vers un port de commutateur d'accès de couche 2 dédié.
Définition des VLAN autorisés sur un tronc

Comme je l'ai mentionné, les ports de jonction envoient et reçoivent des informations de tous les VLAN par défaut, et si un
la trame n'est pas balisée, elle est envoyée au VLAN de gestion. Comprenez que cela s'applique à la
VLAN à portée étendue aussi.
Mais nous pouvons supprimer les VLAN de la liste autorisée pour empêcher le trafic de certains VLAN de
en traversant une liaison à ressources partagées. Je vais vous montrer comment vous feriez cela, mais d'abord permettez-moi de démontrer à nouveau que
tous les VLAN sont autorisés sur la liaison de jonction par défaut :
S1# sh int tronc

[coupure de sortie]
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
S1(config)# S1(config)#
S1(config-if)# S1(config-if)#
S1(config-if)# S1(config-if)#
[coupure de sortie]
Fa0/15 4,6,12,15
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
La commande précédente a affecté la liaison de jonction configurée sur le port S1 F0/15, l'amenant à
autoriser tout le trafic envoyé et reçu pour les VLAN 4, 6, 12 et 15. Vous pouvez essayer de supprimer le VLAN 1 sur
un lien de jonction, mais il enverra et recevra toujours une gestion comme CDP, DTP et VTP, alors quel est le
point?
Pour supprimer une plage de VLAN, utilisez simplement le tiret :
S1(config-if)# switchport trunk autorisé vlan remove 4-8
Si par hasard quelqu'un a supprimé certains VLAN d'une liaison de jonction et que vous souhaitez définir la jonction
retour à la valeur par défaut, utilisez simplement cette commande :
S1(config-if)# switchport trunk autorisé vlan all
Ensuite, je veux vous montrer comment configurer un VLAN natif pour un tronc avant de commencer le routage
entre les VLAN.
Changer ou modifier le VLAN natif de jonction

Vous pouvez changer le VLAN natif du port de jonction à partir du VLAN 1, ce que beaucoup de gens font pour la sécurité
les raisons. Pour modifier le VLAN natif, utilisez la commande suivante :

S1(config-if)# switchport trunk natif vlan ?
<1-4094> ID de VLAN du VLAN natif lorsque ce port est en mode de jonction
S1(config-if)# switchport trunk natif vlan 4

1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : discordance de VLAN natif découverte sur FastEthernet0/15 (4), avec S3
FastEthernet0/1 (1).
Nous avons donc changé notre VLAN natif sur notre lien de jonction en 4, et en utilisant le show running-config
commande, je peux voir la configuration sous le lien trunk :
S1# sh run int f0/15


!
description 1ère connexion à S3
encapsulation de jonction de port de commutation dot1q
switchport tronc natif vlan 4
Page 193
tronc de switchport autorisé vlan 4,6,12,15

ligne réseau en mode switchport
finir
S1# !
Oups, attendez une minute ! Vous ne pensiez pas que ce serait aussi facile et que vous commenceriez simplement à travailler,
vous? Bien sûr que non! Voici le hic : si tous les commutateurs n'ont pas le même VLAN natif configuré
sur les liens de jonction donnés, nous commencerons à recevoir cette erreur, qui s'est produite immédiatement après que j'ai
entré la commande :
1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : discordance de VLAN natif découverte

sur FastEthernet0/15 (4), avec S3 FastEthernet0/1 (1).
En fait, c'est une bonne erreur non cryptique, donc soit nous pouvons aller à l'autre extrémité de notre (nos) lien(s) de jonction.
et changeons le VLAN natif ou nous remettons le VLAN natif à la valeur par défaut pour le réparer. Voici comment
on ferait ça :
S1(config-if)# pas de vlan natif de jonction switchport

1w6d : %SPANTREE-2-UNBLOCK_CONSIST_PORT : déblocage de FastEthernet0/15
sur VLAN0004. Cohérence du port restaurée.
Maintenant, notre lien de jonction utilise le VLAN 1 par défaut comme VLAN natif. N'oubliez pas que tout
les commutateurs sur un tronc donné doivent utiliser le même VLAN natif ou vous aurez de sérieux
problèmes de gestion. Ces problèmes n'affecteront pas les données des utilisateurs, mais uniquement la gestion du trafic entre
commutateurs. Maintenant, mélangeons-le en connectant un routeur à notre réseau commuté et configurons
communication inter-VLAN.
Configuration du routage inter-VLAN
Par défaut, seuls les hôtes membres du même VLAN peuvent communiquer. Pour changer cela et
permettre la communication inter-VLAN, vous avez besoin d'un routeur ou d'un commutateur de couche 3. je vais commencer par
l'approche du routeur.
Pour prendre en charge le routage ISL ou 802.1q sur une interface FastEthernet, l'interface du routeur est divisée
en interfaces logiques, une pour chaque VLAN, comme illustré à la Figure 11.10 . Ceux-ci sont appelés
sous-interfaces . A partir d'une interface FastEthernet ou Gigabit, vous pouvez définir l'interface sur trunk avec
la commande d' encapsulation :
ISR# config t
ISR(config)# int f0/0.1
ISR(config-subif)# encapsulation ?
LAN virtuel dot1Q IEEE 802.1Q
ISR(config-subif)# encapsulation dot1Q ?
<1-4094> ID de VLAN IEEE 802.1Q
Notez que mon routeur 2811 (nommé ISR) ne prend en charge que 802.1q. Nous aurions besoin d'un routeur plus ancien
pour exécuter l'encapsulation ISL, mais pourquoi s'embêter ?
Le numéro de sous-interface n'est significatif que localement, donc peu importe quelle sous-interface
les numéros sont configurés sur le routeur. La plupart du temps, je vais configurer une sous-interface avec le
même numéro que le VLAN que je veux acheminer. Il est facile de s'en souvenir puisque la sous-interface
le numéro est utilisé uniquement à des fins administratives.
Il est vraiment important que vous compreniez que chaque VLAN est en fait un sous-réseau distinct. C'est vrai, je
savoir-ils ne doivent être. Mais c'est vraiment une bonne idée de configurer vos VLAN séparément
sous-réseaux, alors faites-le. Avant de continuer, je souhaite définir le routage en amont . C'est un terme
utilisé pour définir le routeur sur un bâton. Ce routeur fournira un routage inter-VLAN, mais il peut également
être utilisé pour transférer le trafic en amont du réseau commuté vers d'autres parties de l'entreprise
réseau ou Internet.
Maintenant, je dois m'assurer que vous êtes parfaitement prêt à configurer le routage inter-VLAN ainsi que
déterminer les adresses IP des hôtes connectés dans un environnement VLAN commuté. Et comme toujours,
c'est aussi une bonne idée d'être en mesure de résoudre les problèmes qui peuvent survenir. Pour vous préparer au succès, laissez
je vous donne quelques exemples.
Page 194
Tout d'abord, commencez par regarder la figure 11.12 et lisez la configuration du routeur et du commutateur qu'elle contient. Par
ce point du livre, vous devriez être en mesure de déterminer l'adresse IP, les masques et la valeur par défaut
passerelles de chacun des hôtes dans les VLAN.
FIGURE 11.12 Exemple de configuration inter-VLAN 1
L'étape suivante consiste à déterminer quels sous-réseaux sont utilisés. En regardant le routeur
configuration dans la figure, vous pouvez voir que nous utilisons 192.168.10.0/28 pour VLAN1,
192.168.1.64/26 avec le VLAN 2 et 192.168.1.128/27 pour le VLAN 10.
En regardant la configuration du commutateur, vous pouvez voir que les ports 2 et 3 sont dans le VLAN 2 et le port 4 est
dans le VLAN 10. Cela signifie que l'hôte A et l'hôte B sont dans le VLAN 2 et l'hôte C est dans le VLAN 10.
Mais attendez, que fait cette adresse IP sous l'interface physique ? Pouvons-nous même faire cela?
Bien sûr que nous pouvons! Si nous plaçons une adresse IP sous l'interface physique, le résultat est que les trames envoyées
de l'adresse IP ne serait pas balisée. Alors, de quel VLAN ces trames seraient-elles membres ? Par
par défaut, ils appartiendraient au VLAN 1, notre VLAN de gestion. Cela signifie l'adresse
192.168.10.1 /28 est mon adresse IP VLAN native pour ce commutateur.
Voici quelles devraient être les adresses IP des hôtes :
Hôte A : 192.168.1.66, 255.255.255.192, passerelle par défaut 192.168.1.65
Hôte B : 192.168.1.67, 255.255.255.192, passerelle par défaut 192.168.1.65
Hôte C : 192.168.1.130, 255.255.255.224, passerelle par défaut 192.168.1.129
Les hôtes peuvent être n'importe quelle adresse de la plage - je viens de choisir la première adresse IP disponible après le
adresse de passerelle par défaut. Ce n'était pas si difficile, n'est-ce pas ?
Maintenant, en utilisant à nouveau la Figure 11.12 , passons en revue les commandes nécessaires pour configurer le port du commutateur
1 afin d'établir un lien avec le routeur et de fournir une communication inter-VLAN en utilisant l'IEEE
version pour l'encapsulation. Gardez à l'esprit que les commandes peuvent varier légèrement en fonction de ce que
type de commutateur auquel vous avez affaire.
Pour un commutateur 2960, utilisez les éléments suivants :
2960# config t
2960(config)# interface fa0/1
2960(config-if)# tronc de mode switchport
C'est ça! Comme vous le savez déjà, le commutateur 2960 ne peut exécuter que l'encapsulation 802.1q, il y a donc
pas besoin de le préciser. Vous ne pouvez pas de toute façon. Pour un 3560, c'est fondamentalement la même chose, mais parce qu'il peut fonctionner
ISL et 802.1q, vous devez spécifier le protocole d'encapsulation de jonction que vous allez utiliser.
Page 195
N'oubliez pas que lorsque vous créez un lien agrégé, tous les VLAN sont autorisés à passer
données par défaut.
Regardons la figure 11.13 et voyons ce que nous pouvons déterminer. Cette figure montre trois VLAN,
avec deux hôtes dans chacun d'eux. Le routeur de la Figure 11.13 est connecté au port du commutateur Fa0/1,
et le VLAN 4 est configuré sur le port F0/6.
Lorsque vous regardez ce diagramme, gardez à l'esprit que ces trois facteurs sont ce que Cisco attend de vous.
savoir:
Le routeur est connecté au commutateur à l'aide de sous-interfaces.
Le port du commutateur se connectant au routeur est un port de jonction.
Les ports de commutation qui se connectent aux clients et au concentrateur sont des ports d'accès et non des ports de jonction.
FIGURE 11.13 Exemple 2 inter-VLAN
La configuration du commutateur ressemblerait à ceci :
2960# config t
2960(config)# entier f0/1
2960(config-if)# int f0/2
2960(config-if)# switchport access vlan 2
Page 196
Avant de configurer le routeur, nous devons concevoir notre réseau logique :

VLAN 1 : 192.168.10.0/28
VLAN 2 : 192.168.10.16/28
VLAN 3 : 192.168.10.32/28
VLAN 4 : 192.168.10.48/28
La configuration du routeur ressemblerait alors à ceci :
ISR# config t
ISR(config)# int fa0/0
ISR(config-if)# adresse IP 192.168.10.1 255.255.255.240
ISR(config-if)# pas d'arrêt
ISR(config-if)# int f0/0.2
ISR(config-subif)# encapsulation dot1q 2
ISR(config-subif)# adresse IP 192.168.10.17 255.255.255.240
ISR(config-subif)# int f0/0.3
Notez que je n'ai pas balisé le VLAN 1. Même si j'aurais pu créer une sous-interface et baliser le VLAN 1,
ce n'est pas nécessaire avec 802.1q car les trames non étiquetées sont membres du VLAN natif.
Les hôtes de chaque VLAN se verraient attribuer une adresse de leur plage de sous-réseau, et la valeur par défaut
La passerelle serait l'adresse IP attribuée à la sous-interface du routeur dans ce VLAN.
Maintenant, jetons un coup d'œil à une autre figure et voyons si vous pouvez déterminer le commutateur et le routeur
configurations sans regarder la réponse—pas de triche ! La figure 11.14 montre un routeur
connecté à un commutateur 2960 avec deux VLAN. Un hôte dans chaque VLAN se voit attribuer une adresse IP.
Quelles seraient vos configurations de routeur et de commutateur basées sur ces adresses IP ?
Page 197
FIGURE 11.14 Exemple 3 d'inter-VLAN
Étant donné que les hôtes ne répertorient pas de masque de sous-réseau, vous devez rechercher le nombre d'hôtes utilisés dans chaque
VLAN pour déterminer la taille du bloc. Le VLAN 2 a 85 hôtes et le VLAN 3 a 115 hôtes. Chacun de ces
s'adaptera à une taille de bloc de 128, qui est un masque /25, ou 255.255.255.128.
Vous devez savoir maintenant que les sous-réseaux sont 0 et 128 ; le sous-réseau 0 (VLAN 2) a une plage d'hôtes
de 1 à 126, et le sous-réseau 128 (VLAN 3) a une plage de 129 à 254. Vous pouvez presque être dupe puisque
L'hôte A a une adresse IP de 126, ce qui donne presque l' impression que l'hôte A et B sont dans le même
sous-réseau. Mais ils ne le sont pas, et vous êtes bien trop intelligent maintenant pour vous laisser berner par celui-ci !
Voici la configuration du commutateur :
2960# config t
2960(config)# entier f0/1
Voici la configuration du routeur :
ISR# config t
ISR(config) # int f0/0
Page 198
ISR(config-if)# adresse IP 192.168.10.1 255.255.255.0

ISR(config-if)# pas d'arrêt
ISR(config-if)# int f0/0.2
J'ai utilisé la première adresse de la plage d'hôtes pour le VLAN 2 et la dernière adresse de la plage pour le VLAN 3,
mais n'importe quelle adresse dans la plage fonctionnerait. Vous auriez juste à configurer la valeur par défaut de l'hôte
passerelle vers tout ce que vous faites de l'adresse du routeur. De plus, j'ai utilisé un sous-réseau différent pour mon
l'interface physique, qui est l'adresse de mon routeur VLAN de gestion.
Maintenant, avant de passer à l'exemple suivant, je dois m'assurer que vous savez comment définir l'IP
adresse sur le commutateur. Étant donné que le VLAN 1 est généralement le VLAN administratif, nous utiliserons une adresse IP
à partir de ce pool d'adresses. Voici comment définir l'adresse IP du commutateur (pas lancinante,
mais vous devriez vraiment déjà le savoir !):
2960# config t
2960(config)# int vlan 1
2960(config-if)# adresse IP 192.168.10.2 255.255.255.0
2960(config-if)# pas d'arrêt
2960(config-if)# sortie
2960(config)# ip par défaut-passerelle 192.168.10.1
Oui, vous devez exécuter un arrêt sur l'interface VLAN et définir la passerelle par défaut ip
adresse au routeur.
Un autre exemple, puis nous passerons à l'IVR à l'aide d'un commutateur multicouche - un autre
sujet à ne surtout pas manquer ! Dans la Figure 11.15, il y a deux VLAN, plus le
VLAN de gestion 1. En regardant la configuration du routeur, quelle est l'adresse IP, le masque de sous-réseau,
et la passerelle par défaut de l'hôte A ? Utilisez la dernière adresse IP de la plage pour l'adresse de l'hôte A.
Si vous regardez vraiment attentivement la configuration du routeur (le nom d'hôte dans cette configuration est juste
Routeur), il existe une réponse simple et rapide. Tous les sous-réseaux utilisent un /28, qui est un
255.255.255.240 masque. Il s'agit d'une taille de bloc de 16. L'adresse du routeur pour le VLAN 2 est dans le sous-réseau
128. Le sous-réseau suivant est 144, donc l'adresse de diffusion du VLAN 2 est 143 et la plage d'hôtes valide
est 129-142. L'adresse de l'hôte serait donc celle-ci :
Adresse IP : 192.168.10.142
Masque : 255.255.255.240
Passerelle par défaut : 192.168.10.129

Page 199
FIGURE 11.15 Exemple 4 inter-VLAN
Cette section était probablement la partie la plus difficile de tout ce livre, et j'ai honnêtement créé le
configuration la plus simple que vous puissiez utiliser pour vous aider à traverser cela !
Je vais utiliser la figure 11.16 pour démontrer la configuration du routage inter-VLAN (IVR) avec un multicouche
commutateur, qui est souvent appelé interface virtuelle commutée (SVI). je vais utiliser le même
réseau que j'ai utilisé pour discuter d'un commutateur multicouche à la figure 11.11 , et j'utiliserai cette adresse IP
schéma : 192.168. x .0/24, où x représente le sous-réseau VLAN. Dans mon exemple, ce sera le
identique au numéro de VLAN.
FIGURE 11.16 Routage inter-VLAN avec un commutateur multicouche
Les hôtes sont déjà configurés avec l'adresse IP, le masque de sous-réseau et l'adresse de passerelle par défaut
Page 200
en utilisant la première adresse de la plage. Il ne me reste plus qu'à configurer le routage sur le switch, ce qui
c'est assez simple en fait :
Routage IP S1(config)#
S1(config)# int vlan 10
S1(config-if)# int vlan 20
Et c'est tout! Activez le routage IP et créez une interface logique pour chaque VLAN à l'aide de l' interface
commande de numéro de vlan et voilà ! Vous avez maintenant réussi à faire fonctionner le routage inter-VLAN sur
le fond de panier du switch !
Sommaire
Dans ce chapitre, je vous ai présenté le monde des réseaux locaux virtuels et décrit comment les commutateurs Cisco
peut les utiliser. Nous avons parlé de la façon dont les VLAN divisent les domaines de diffusion dans un
interréseau - une chose très importante et nécessaire car les commutateurs de couche 2 ne font que briser les collisions
domaines, et par défaut, tous les commutateurs constituent un grand domaine de diffusion. j'ai aussi décrit
accéder aux liens vers vous, et nous avons expliqué comment les VLAN à ressources partagées fonctionnent sur un FastEthernet ou plus rapide
relier.
Le Trunking est une technologie cruciale à très bien comprendre lorsque vous traitez avec un réseau
peuplé de plusieurs commutateurs exécutant plusieurs VLAN.
On vous a également présenté quelques exemples de dépannage et de configuration clés pour l'accès
et les ports de jonction, la configuration des options de jonction et une énorme section sur l'IVR.
Comprenez le terme étiquetage de trame . Le balisage des trames fait référence à l'identification du VLAN ; c'est
quels commutateurs utilisent pour garder une trace de toutes ces trames lorsqu'elles traversent une matrice de commutation. Cela montre
les commutateurs identifient quelles trames appartiennent à quels VLAN.
Comprenez la méthode d'identification du VLAN 802.1q. Ceci est un IEEE non propriétaire
méthode de marquage de trame. Si vous effectuez une jonction entre une liaison commutée Cisco et une marque différente
du commutateur, vous devez utiliser 802.1q pour que le tronc fonctionne.
Rappelez-vous comment définir un port de jonction sur un commutateur 2960. Pour définir un port sur la jonction sur un
2960, utilisez la commande switchport mode trunk .
N'oubliez pas de vérifier l'affectation VLAN d'un port de commutateur lorsque vous branchez un nouveau
hôte. Si vous branchez un nouvel hôte dans un commutateur, vous devez alors vérifier l'appartenance au VLAN de ce
Port. Si l'adhésion est différente de ce qui est nécessaire pour cet hôte, l'hôte ne pourra pas
accéder aux services réseau nécessaires, tels qu'un serveur de groupe de travail ou une imprimante.
Rappelez-vous comment créer un routeur Cisco sur une clé pour fournir un inter-VLAN
la communication. Vous pouvez utiliser une interface Cisco FastEthernet ou Gigabit Ethernet pour fournir
routage inter-VLAN. Le port du commutateur connecté au routeur doit être un port de jonction ; alors vous
doit créer des interfaces virtuelles (sous-interfaces) sur le port du routeur pour chaque VLAN qui s'y connecte.
Les hôtes de chaque VLAN utiliseront cette adresse de sous-interface comme adresse de passerelle par défaut.
Rappelez-vous comment fournir un routage inter-VLAN avec un commutateur de couche 3. Vous pouvez utiliser un
commutateur de couche 3 (multicouche) pour fournir l'IVR comme avec un routeur sur une clé, mais en utilisant une couche 3
commutateur est plus efficace et plus rapide. Commencez par démarrer le processus de routage avec la commande ip
routage ,
puis créez une interface virtuelle pour chaque VLAN à l'aide de la commande interface vlan vlan , et
puis appliquez l'adresse IP pour ce VLAN sous cette interface logique.
Page 201
Atelier 11.1 : VLAN
1. Vrai/Faux : pour fournir un IVR avec un commutateur de couche 3, vous placez une adresse IP sur chaque interface
de l'interrupteur.
2. Quel protocole arrêtera les boucles dans un réseau commuté de couche 2 ?
3. Les VLAN divisent ___________ domaines dans un réseau commuté de couche 2.
4. Quels numéros de VLAN sont réservés par défaut ?
5. Si vous avez un commutateur qui fournit à la fois le balisage des trames ISL et 802.1q, quelle commande sous
l'interface de jonction fera-t-elle que la jonction utilisera 802.1q ?
6. Que fournit la goulotte ?
7. Combien de VLAN pouvez-vous créer sur un commutateur IOS par défaut ?

8. Vrai/Faux : l'encapsulation 802.1q est supprimée de la trame si la trame est transférée
un lien d'accès.
9. Quel type de lien sur un commutateur est membre d'un seul VLAN ?
10. Vous souhaitez passer de la valeur par défaut de VLAN 1 à VLAN 4 pour le trafic non balisé. Quoi
commande allez-vous utiliser ?
Dans ces ateliers, vous utiliserez trois commutateurs et un routeur. Pour effectuer le dernier laboratoire, vous aurez besoin d'une couche
3 interrupteur.
Atelier 11.1 : Configuration et vérification des VLAN
Atelier 11.2 : Configuration et vérification des liaisons de jonction
Atelier 11.3 : Configuration du routeur sur un routage de clé
Atelier 11.4 : Configuration de l'IVR avec un commutateur de couche 3
Dans ces ateliers, j'utiliserai la mise en page suivante :
Page 202
Travaux pratiques 11.1 : Configuration et vérification des VLAN

Ce laboratoire vous demandera de configurer les VLAN à partir du mode de configuration global, puis de vérifier le
VLAN.
1. Configurez deux VLAN sur chaque commutateur, VLAN 10 et VLAN 20.
S1(config)# vlan 10
S2(config)# vlan 10
S3(config)# vlan 10
2. Utilisez les commandes show vlan et show vlan brief pour vérifier vos VLAN. Remarquez que tout
les interfaces sont dans le VLAN 1 par défaut.
S1# sh vlan
S1# sh vlan bref
Travaux pratiques 11.2 : Configuration et vérification des liaisons de jonction

Ce laboratoire vous demandera de configurer les liaisons de jonction, puis de les vérifier.
1. Connectez-vous à chaque commutateur et configurez la jonction sur toutes les liaisons de commutateur. Si vous utilisez un interrupteur
qui prend en charge le balisage des trames 802.1q et ISL, puis utilisez la commande d'encapsulation ; si non,
puis ignorez cette commande.
S1# config t
S1(config)# interface fa0/15
Encapsulation de jonction S1(config-if)# switchport ?
L'interface dot1q utilise uniquement l'encapsulation de jonction 802.1q lors de la jonction
L'interface isl utilise uniquement l'encapsulation de jonction ISL lors de la jonction
négociez L'appareil négociera l'encapsulation de la jonction avec l'homologue sur l'interface
Encore une fois, si vous avez tapé le précédent et reçu une erreur, votre commutateur ne prend pas en charge
les deux méthodes d'encapsulation :
S1 (config-if)# encapsulation de jonction de port de commutation dot1q

Tronc en mode S1 (config-if)# switchport
S1 (config-if)# interface fa0/16
S1 (config-if)# interface fa0/17
S1 (config-f)# interface fa0/18
2. Configurez les liaisons de jonction sur vos autres commutateurs.
3. Sur chaque commutateur, vérifiez vos ports de jonction avec la commande show interface trunk :
S1# afficher le tronc d'interface
4. Vérifiez la configuration du port de commutation avec les éléments suivants :
S1# show interface interface switchport
La deuxième interface de la commande est une variable, telle que Fa0/15.
Travaux pratiques 11.3 : Configuration du routeur sur un routage par clé

Dans cet atelier, vous utiliserez le routeur connecté au port F0/8 du commutateur S1 pour configurer le ROAS.
1. Configurez le F0/0 du routeur avec deux sous-interfaces pour fournir un routage inter-VLAN en utilisant
Encapsulation 802.1q. Utilisez 172.16.10.0/24 pour votre VLAN de gestion, 10.10.10.0/24 pour
VLAN 10 et 20.20.20.0/24 pour VLAN 20.
Page 203
Routeur# config t
Routeur (config)# int f0/0
Routeur (config-if)# adresse IP 172.16.10.1 255.255.255.0
Routeur (config-if)# interface f0/0.10
Routeur (config-subif)# encapsulation dot1q 10
Routeur (config-subif)# adresse IP 10.10.10.1 255.255.255.0
Routeur (config-subif)# interface f0/0.20
Routeur (config-subif)# encapsulation dot1q 20
Routeur (config-subif)# adresse IP 20.20.20.1 255.255.255.0
2. Vérifiez la configuration avec la commande show running-config .
3. Configurez la jonction sur l'interface F0/8 du commutateur S1 se connectant à votre routeur.
4. Vérifiez que vos VLAN sont toujours configurés sur vos commutateurs avec la commande sh vlan .
5. Configurez vos hôtes pour qu'ils soient dans le VLAN 10 et le VLAN 20 avec le switchport access vlan x
commander.
6. Ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.
7. Ping de votre PC vers votre PC dans l'autre VLAN. Vous effectuez maintenant le routage via le routeur !
Travaux pratiques 11.4 : Configuration de l'IVR avec un commutateur de couche 3

Dans cet atelier, vous allez désactiver le routeur et utiliser le commutateur S1 pour fournir un routage inter-VLAN en
créer des SVI.
1. Connectez-vous au commutateur S1 et faites de l'interface F0/8 un port d'accès, ce qui fera du routeur
arrêter de fournir le routage inter-VLAN.
2. Activez le routage IP sur le commutateur S1.
3. Créez deux nouvelles interfaces sur le commutateur S1 pour fournir l'IVR.
S1(config)# interface vlan 10

S1(config-if)# interface vlan 20
4. Effacez le cache ARP sur le commutateur et les hôtes.
S1# clair arp
5. Ping depuis votre PC vers la sous-interface du routeur configurée pour votre VLAN.
6. Ping depuis votre PC vers votre PC dans l'autre VLAN. Vous effectuez maintenant le routage via le commutateur S1 !
Matériel. Pour plus d'informations sur la façon d'obtenir des questions supplémentaires, veuillez
voir www.lammle.com/ccna .
1. Laquelle des affirmations suivantes est vraie en ce qui concerne les VLAN ?
A. Les VLAN réduisent considérablement la sécurité du réseau.
B. Les VLAN augmentent le nombre de domaines de collision tout en diminuant leur taille.
C. Les VLAN diminuent le nombre de domaines de diffusion tout en diminuant leur taille.
D. Le réseau ajoute, déplace et modifie facilement en configurant simplement un port dans

Page 204
le VLAN approprié.
2. Écrivez la commande qui doit être présente pour que ce commutateur de couche 3 fournisse l'inter-VLAN
routage entre les deux VLAN créés avec ces commandes :

3. Dans le schéma suivant, comment le port à chaque extrémité de la ligne doit-il être configuré pour transporter
trafic entre les quatre hôtes?
A. Port d'accès
B. 10 Go
C. Tronc
D. Enjambement
4. Quel est le seul type de second VLAN dont un port d'accès peut être membre ?
A. Secondaire
B. Voix
C. Primaire
D. Tronc
5. Dans la configuration suivante, quelle commande manque à la création du VLAN

interface?
2960# config t
2960(config)# int vlan 1
2960(config-if)# adresse IP 192.168.10.2 255.255.255.0
2960(config-if)# sortie
2960(config)# ip par défaut-passerelle 192.168.10.1
Page 205
A. pas d'arrêt sous int vlan 1
B. encapsulation dot1q 1 sous int vlan 1
C. accès switchport vlan 1
D. interface passive
6. Laquelle des affirmations suivantes est vraie en ce qui concerne l'ISL et le 802.1q ?
A. 802.1q encapsule la trame avec les informations de contrôle ; ISL insère un champ ISL le long
avec les informations de contrôle des balises.
B. 802.1q est la propriété de Cisco.
C. ISL encapsule la trame avec les informations de contrôle ; 802.1q insère un champ 802.1q le long
avec les informations de contrôle des balises.
D. L'ISL est une norme.

7. Quel concept est représenté dans le diagramme ?
A. Routage multiprotocole
B. Interface passive
C. Redondance de passerelle
D. Routeur sur un bâton
8. Écrivez la commande qui place une interface dans le VLAN 2. Écrivez uniquement la commande et non
l'invite.
9. Écrivez la commande qui a généré la sortie suivante :

---- ------------------------- --------- ------------ ------------
Page 206

Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Gi0/1
Gi0/2
2 Ventes actif
[coupure de sortie]
10. Dans la configuration et le schéma affichés, quelle commande manque pour activer l'inter-VLAN
routage entre VLAN 2 et VLAN 3 ?
A. encapsulation dot1q 3 sous int f0/0.2
B. encapsulation dot1q 2 sous int f0/0.2

C. pas d'arrêt sous int f0/0.2
D. pas d'arrêt sous int f0/0.3
11. Sur la base de la configuration illustrée ici, quelle affirmation est vraie ?
A. Il s'agit d'un commutateur multicouche.
B. Les deux VLAN sont dans le même sous-réseau.
C. L'encapsulation doit être configurée.
D. Le VLAN 10 est le VLAN de gestion.
12. Qu'est-ce qui est vrai de la sortie montrée ici ?
S1# sh vlan
---- ---------------------- --------- --------------- ----------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Page 207
Fa0/13, Fa0/14, Fa0/19, Fa0/20,

Fa0/22, Fa0/23, Gi0/1, Gi0/2
2 Ventes actif
[coupure de sortie]
A. L'interface F0/15 est un port de jonction.
B. L'interface F0/17 est un port d'accès.
C. L'interface F0/21 est un port de jonction.
D. Le VLAN 1 a été rempli manuellement.
13. Les trames 802.1q non balisées sont membres du VLAN __________.
A. Auxiliaire
B. Voix
C. Autochtone
D. Privé
14. Écrivez la commande qui a généré la sortie suivante. N'écrivez que la commande et non
l'invite :
Nom : Fa0/15
VLAN voix : aucun
[coupure de sortie]
15. Dans la sortie de commutation de la question 12, combien de domaines de diffusion sont affichés ?
A. 1
B. 2
C.4
D. 1001
16. Dans le diagramme, quelle devrait être l'adresse de passerelle par défaut de l'hôte B ?
Page 208
A. 192.168.10.1
B. 192.168.1.65
C. 192.168.1.129
D. 192.168.1.2
17. À quoi sert le balisage des trames dans les configurations de réseau local virtuel (VLAN) ?
A. Routage inter-VLAN
B. Cryptage des paquets réseau
C. Identification de trame sur des liaisons interurbaines
D. Identification des trames sur les liens d'accès
18. Écrivez la commande pour créer le VLAN 2 sur un commutateur de couche 2. N'écrivez que la commande et non
l'invite.
19. Quelle affirmation est vraie concernant le balisage des trames 802.1q ?
A. 802.1q ajoute une fin de 26 octets et un en-tête de 4 octets.
B. 802.1q utilise un VLAN natif.
C. La trame Ethernet d'origine n'est pas modifiée.
D. 802.1q ne fonctionne qu'avec les commutateurs Cisco.
20. Écrivez la commande qui empêche une interface de générer des trames DTP. N'écrivez que le
commande et non l'invite.
Page 209
Chapitre 12
Sécurité

CE CHAPITRE:
4.6 Configurer, vérifier et dépanner la liste d'accès numérotée et nommée standard IPv4
pour les interfaces routées
Si vous êtes un administrateur système, je suppose que le blindage est sensible,

les données critiques, ainsi que les ressources de votre réseau, de tous les exploits malveillants possibles sont une priorité absolue
de la vôtre, n'est-ce pas ? C'est bon de savoir que vous êtes sur la bonne page car Cisco a des solutions vraiment efficaces
des solutions de sécurité pour vous équiper des outils dont vous aurez besoin pour que cela se produise de manière très concrète !
Le premier outil électrique que je vais vous remettre est connu sous le nom de liste de contrôle d'accès (ACL). Être capable de
exécuter une ACL avec compétence fait partie intégrante de la solution de sécurité de Cisco, je vais donc commencer
en vous montrant comment créer et implémenter des ACL simples. De là, je passerai à
démontrer des listes de contrôle d'accès plus avancées et décrire comment les mettre en œuvre stratégiquement pour
fournir une armure sérieuse pour un interréseau dans l'environnement difficile et à haut risque d'aujourd'hui.
Dans l'annexe C, « Désactivation et configuration des services réseau », je vais vous montrer comment atténuer la plupart des
menaces réseau axées sur la sécurité. Assurez-vous de ne pas sauter cette annexe car elle est calée
plein d'informations sur la sécurité, et les informations qu'il contient font partie de l'examen Cisco
objectifs aussi !
L'utilisation et la configuration correctes des listes d'accès sont une partie vitale de la configuration du routeur car
les listes d'accès sont de tels accessoires de mise en réseau polyvalents. Contribuant puissamment à l'efficacité et à la
fonctionnement de votre réseau, les listes d'accès donnent aux gestionnaires de réseau un énorme contrôle sur
circulation dans toute l'entreprise. Avec les listes d'accès, nous pouvons recueillir des statistiques de base sur les paquets
des politiques de flux et de sécurité peuvent être mises en œuvre. Ces outils dynamiques nous permettent également de protéger
appareils sensibles contre les dangers d'un accès non autorisé.
Dans ce chapitre, nous couvrirons les ACL pour TCP/IP et explorerons les moyens efficaces dont nous disposons pour
tester et surveiller le bon fonctionnement des listes d'accès appliquées. Nous allons commencer maintenant par
discuter des mesures de sécurité clés déployées à l'aide de périphériques matériels et de VLAN, puis je vais
vous présenter les ACL.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter
www.lammle.com/ccna ou la page Web du livre sur www.sybex.com/go/ccna .
Page 210
Périmètre, pare-feu et routeurs internes

Vous le voyez souvent, généralement dans les réseaux d'entreprise de moyenne à grande taille, les différentes stratégies de
la sécurité est basée sur une combinaison de routeurs internes et de périmètre ainsi que de pare-feu. Interne
Les routeurs offrent une sécurité supplémentaire en filtrant le trafic vers diverses parties du
réseau d'entreprise, et ils y parviennent en utilisant des listes d'accès. Vous pouvez voir où chacun de ces
les types d'appareils se trouvent à la figure 12.1 .
FIGURE 12.1 Un réseau sécurisé typique
J'utiliserai les termes réseau approuvé et réseau non approuvé tout au long de ce chapitre, il est donc
important que vous puissiez voir où ils se trouvent dans un réseau sécurisé typique. Les démilitarisés
zone (DMZ) peut être des adresses Internet globales (réelles) ou des adresses privées, selon la façon dont vous
configurez votre pare-feu, mais c'est généralement là que vous trouverez le HTTP, le DNS, l'e-mail et d'autres
Serveurs d'entreprise de type Internet.
Comme vous le savez maintenant, au lieu d'utiliser des routeurs, nous pouvons créer des VLAN avec des commutateurs à l'intérieur
réseau de confiance. Les commutateurs multicouches contenant leurs propres fonctions de sécurité peuvent parfois
remplacer les routeurs internes (LAN) pour fournir des performances plus élevées dans les architectures VLAN.
Examinons quelques façons de protéger l'interréseau à l'aide de listes d'accès.
Introduction aux listes d'accès

Une liste d'accès est essentiellement une liste de conditions qui catégorisent les paquets, et ils entrent vraiment dans
pratique lorsque vous devez exercer un contrôle sur le trafic réseau. Une ACL serait votre outil de
choix pour la prise de décision dans ces situations.
L'une des utilisations les plus courantes et les plus faciles à comprendre des listes d'accès est de filtrer les indésirables
Page 211
paquets lors de la mise en œuvre des politiques de sécurité. Par exemple, vous pouvez les configurer pour qu'ils soient très
des décisions spécifiques sur la régulation des modèles de trafic afin qu'ils n'autorisent que certains hôtes à
accéder aux ressources Web sur Internet tout en restreignant les autres. Avec la bonne combinaison de
listes d'accès, les gestionnaires de réseau se dotent du pouvoir d'appliquer presque n'importe quelle sécurité
politique qu'ils peuvent inventer.
La création de listes d'accès ressemble beaucoup à la programmation d'une série d'instructions if-then — si un
condition est remplie, alors une action donnée est entreprise. Si la condition spécifique n'est pas remplie, rien ne se passe
et l'instruction suivante est évaluée. Les instructions de liste d'accès sont essentiellement des filtres de paquets qui
les paquets sont comparés, classés par et traités en conséquence. Une fois les listes
construits, ils peuvent être appliqués au trafic entrant ou sortant sur n'importe quelle interface. L'application d'un
liste d'accès oblige le routeur à analyser chaque paquet traversant cette interface dans le
direction et prendre les mesures appropriées.
Il y a trois règles importantes qu'un paquet suit lorsqu'il est comparé à un accès
liste:
Le paquet est toujours comparé à chaque ligne de la liste d'accès dans l'ordre séquentiel — il sera
commencez toujours par la première ligne de la liste d'accès, passez à la ligne 2, puis à la ligne 3, et ainsi de suite.
Le paquet est comparé aux lignes de la liste d'accès uniquement jusqu'à ce qu'une correspondance soit établie. Une fois qu'il
correspond à la condition sur une ligne de la liste d'accès, le paquet est traité et pas plus
des comparaisons ont lieu.
Il y a un « refus » implicite à la fin de chaque liste d'accès — cela signifie que si un paquet ne
correspondent à la condition sur l'une des lignes de la liste d'accès, le paquet sera rejeté.
Chacune de ces règles a des implications puissantes lors du filtrage des paquets IP avec des listes d'accès, donc
gardez à l'esprit que la création de listes d'accès efficaces demande un peu de pratique.
Il existe deux principaux types de listes d'accès :
Listes d'accès standard Ces ACL utilisent uniquement l'adresse IP source dans un paquet IP comme
essai d'état. Toutes les décisions sont prises en fonction de l'adresse IP source. Cela signifie que la norme
les listes d'accès autorisent ou refusent essentiellement une suite entière de protocoles. Ils ne font pas de distinction entre
l'un des nombreux types de trafic IP tels que Web, Telnet, UDP, etc.
Listes d'accès étendues Les listes d'accès étendues peuvent évaluer de nombreux autres champs de la couche 3
et les en-têtes de couche 4 d'un paquet IP. Ils peuvent évaluer les adresses IP source et de destination, le
Le champ Protocole dans l'en-tête de la couche Réseau et le numéro de port dans l'en-tête de la couche Transport.
Cela donne aux listes d'accès étendu la possibilité de prendre des décisions beaucoup plus granulaires lorsque
contrôler le trafic.
Listes d'accès nommées Hé, attendez une minute, j'ai dit qu'il n'y avait que deux types de listes d'accès, mais
en liste trois ! Eh bien, techniquement, il n'y en a vraiment que deux puisque les listes d'accès nommées sont soit
standard ou étendu et pas réellement un type distinct. Je les distingue juste parce que
elles sont créées et référencées différemment des listes d'accès standard et étendues, mais
ils sont toujours fonctionnellement les mêmes.
Nous aborderons ces types de listes d'accès plus en détail plus loin dans ce chapitre.
Une fois que vous avez créé une liste d'accès, elle ne fera rien tant que vous ne l'aurez pas appliquée. Oui ils sont
là sur le routeur, mais ils sont inactifs jusqu'à ce que vous disiez à ce routeur quoi faire avec eux. Pour utiliser un
liste d'accès en tant que filtre de paquets, vous devez l'appliquer à une interface sur le routeur où vous voulez que le
trafic filtré. Et vous devez spécifier dans quel sens de circulation vous voulez la liste d'accès
appliqué à. Il y a une bonne raison à cela : vous souhaiterez peut-être mettre en place différents contrôles pour le trafic
laissant votre entreprise destinée à Internet que vous ne voudriez pour le trafic entrant dans votre
entreprise à partir d'Internet. Ainsi, en spécifiant le sens de circulation, vous pouvez et devez utiliser
différentes listes d'accès pour le trafic entrant et sortant sur une seule interface :
Page 212
Listes d'accès entrantes Lorsqu'une liste d'accès est appliquée aux paquets entrants sur une interface, ces
les paquets sont traités via la liste d'accès avant d'être acheminés vers l'interface sortante. Tout
les paquets refusés ne seront pas routés car ils sont rejetés avant que le processus de routage ne soit
invoqué.
Listes d'accès sortantes Lorsqu'une liste d'accès est appliquée aux paquets sortants sur une interface,
les paquets sont acheminés vers l'interface sortante puis traités via la liste d'accès avant
étant en file d'attente.
Il y a quelques directives générales de liste d'accès que vous devez garder à l'esprit lors de la création et
implémenter des listes d'accès sur un routeur :
Vous ne pouvez affecter qu'une seule liste d'accès par interface par protocole et par direction. Cela signifie que
lors de l'application des listes d'accès IP, vous ne pouvez avoir qu'une seule liste d'accès entrante et une seule sortante
liste d'accès par interface.
Lorsque vous considérez les implications du refus implicite à la fin de tout accès
list, il est logique que vous ne puissiez pas avoir plusieurs listes d'accès appliquées sur la même interface dans
même sens pour le même protocole. C'est parce que tous les paquets qui ne correspondent pas à certains
la condition dans la première liste d'accès serait refusée et il ne resterait plus de paquets
à comparer avec une seconde liste d'accès !
Organisez vos listes d'accès de manière à ce que les tests les plus spécifiques soient en haut.
Chaque fois qu'une nouvelle entrée est ajoutée à la liste d'accès, elle sera placée au bas de la liste, ce qui
C'est pourquoi je recommande fortement d'utiliser un éditeur de texte pour les listes d'accès.
Vous ne pouvez pas supprimer une ligne d'une liste d'accès. Si vous essayez de le faire, vous supprimerez l'intégralité de
liste. C'est pourquoi il est préférable de copier la liste d'accès dans un éditeur de texte avant d'essayer de modifier la liste.
La seule exception est lorsque vous utilisez des listes d'accès nommées.
Vous pouvez modifier, ajouter ou supprimer une seule ligne d'une liste d'accès nommée. je vais te montrer
combien de temps.
À moins que votre liste d'accès ne se termine par une commande d' autorisation , tous les paquets seront rejetés s'ils le font.
ne répond à aucun des tests de la liste. Cela signifie que chaque liste doit avoir au moins une déclaration de permis
ou il refusera tout le trafic.
Créez des listes d'accès, puis appliquez-les à une interface. Toute liste d'accès appliquée à une interface
sans les instructions de test de liste d'accès présentes ne filtrera pas le trafic.
Les listes d'accès sont conçues pour filtrer le trafic passant par le routeur. Ils ne filtreront pas le trafic
qui provient du routeur.
Placez les listes d'accès standard IP aussi près que possible de la destination. C'est la raison pour laquelle nous
ne veulent pas vraiment utiliser des listes d'accès standard dans nos réseaux. Vous ne pouvez pas mettre un accès standard
liste proche de l'hôte ou du réseau source car vous ne pouvez filtrer qu'en fonction de l'adresse source
et toutes les destinations en seraient affectées.
Placez les listes d'accès étendu IP aussi près que possible de la source. Étant donné que les listes d'accès étendues
pouvez filtrer sur des adresses et des protocoles très spécifiques, vous ne voulez pas que votre trafic traverse le
tout le réseau juste pour être refusé. En plaçant cette liste aussi près que possible de l'adresse source,
vous pouvez filtrer le trafic avant qu'il n'utilise la précieuse bande passante.
Avant de passer à la démonstration de la configuration des listes de contrôle d'accès de base et étendues, parlons de la façon dont
ils peuvent être utilisés pour atténuer les menaces de sécurité que j'ai mentionnées plus tôt.
Page 213
Atténuation des problèmes de sécurité avec les listes de contrôle d'accès

L'attaque la plus courante est une attaque par déni de service (DoS). Bien que les ACL puissent aider avec un DoS,
vous avez vraiment besoin d'un système de détection d'intrusion (IDS) et d'un système de prévention d'intrusion (IPS) pour
aider à prévenir ces attaques courantes. Cisco vend l'appliance de sécurité adaptative (ASA), qui
possède des modules IDS/IPS, mais de nombreuses autres sociétés vendent également des produits IDS/IPS.
Voici une liste des nombreuses menaces de sécurité que vous pouvez atténuer avec les listes de contrôle d'accès :
Usurpation d'adresse IP, entrante
Usurpation d'adresse IP, sortante

Attaques TCP SYN par déni de service (DoS), bloquant les attaques externes
Attaques DoS TCP SYN, utilisant l'interception TCP
Attaques de schtroumpfs DoS
Refuser/filtrer les messages ICMP, entrants
Refuser/filtrer les messages ICMP, sortants
Refuser/filtrer Traceroute
Il ne s'agit pas d'un livre « introduction à la sécurité », vous devrez peut-être faire des recherches
des termes précédents si vous ne les comprenez pas.
C'est généralement une mauvaise idée d'autoriser dans un réseau privé tous les paquets IP externes qui contiennent le
l'adresse source de tout hôte ou réseau interne, mais ne le faites pas !
Voici une liste de règles à respecter lors de la configuration des ACL depuis Internet vers votre production
réseau pour atténuer les problèmes de sécurité :
Refusez toutes les adresses sources de vos réseaux internes.
Refuser toute adresse hôte locale (127.0.0.0/8).
Refuser toute adresse privée réservée (RFC 1918).
Refuser toutes les adresses dans la plage d'adresses IP multicast (224.0.0.0/4).
Aucune de ces adresses sources ne devrait être autorisée à entrer dans votre interréseau. Maintenant
enfin, sachons-nous les mains et configurons des listes d'accès basiques et avancées !
Listes d'accès standard

Les listes d'accès IP standard filtrent le trafic réseau en examinant l'adresse IP source dans un paquet.
Vous créez une liste d'accès IP standard en utilisant les numéros de liste d'accès 1 à 99 ou les numéros dans le
plage étendue de 1300 à 1999 car le type d'ACL est généralement différencié à l'aide d'un
numéro. En fonction du numéro utilisé lors de la création de la liste d'accès, le routeur sait quel type
de syntaxe à attendre lors de la saisie de la liste. En utilisant les nombres 1-99 ou 1300-1999, vous dites au
routeur que vous souhaitez créer une liste d'accès IP standard, le routeur attendra donc la syntaxe
en spécifiant uniquement l'adresse IP source dans les lignes de test.
La sortie suivante affiche un bon exemple des nombreuses plages de numéros de liste d'accès que vous
peut utiliser pour filtrer le trafic sur votre réseau. La version IOS délimite les protocoles que vous pouvez spécifier
accès pour :
Corp(config)# liste d'accès ?
<1-99> Liste d'accès standard IP

<100-199> Liste d'accès étendu IP
<1000-1099> Liste d'accès IPX SAP
<1100-1199> Liste d'accès aux adresses MAC 48 bits étendue
<1200-1299> Liste d'accès aux adresses récapitulatives IPX
Page 214
<1300-1999> Liste d'accès standard IP (plage étendue)

<200-299> Liste d'accès au code de type de protocole
< 2000-2699 > Liste d'accès étendue IP (plage étendue)
< 2700-2799 > Liste d'accès MPLS
<300-399> Liste d'accès DECnet
<700-799> Liste d'accès aux adresses MAC 48 bits
<800-899> Liste d'accès standard IPX
<900-999> Liste d'accès étendue IPX
dynamic-extended Étendre le temporisateur absolu d'ACL dynamique
taux-limite Liste d'accès spécifique à limitation de débit simple
Wow, il y a certainement beaucoup d'anciens protocoles répertoriés dans cette sortie ! IPX et DECnet ne
plus être utilisé dans l'un des réseaux d'aujourd'hui. Jetons un coup d'œil à la syntaxe utilisée lors de la création d'un
liste d'accès IP standard :
Corp(config)# liste d'accès 10 ?

refuser Spécifier les paquets à rejeter
autoriser Spécifier les paquets à transférer
remarque Entrée de la liste d'accès commentaire
Comme je l'ai dit, en utilisant les numéros de liste d'accès 1-99 ou 1300-1999, vous dites au routeur que vous
souhaitez créer une liste d'accès IP standard, ce qui signifie que vous ne pouvez filtrer que sur l'adresse IP source.
Une fois que vous avez choisi le numéro de liste d'accès, vous devez décider si vous créez un permis
ou nier la déclaration. Je vais créer une instruction de refus maintenant :
Corp(config)# access-list 10 refuser ?

Nom d'hôte ou adresse ABCD correspondant
tout Tout hôte source
hôte Une seule adresse d'hôte
L'étape suivante est plus détaillée car elle contient trois options :
1. La première option est le paramètre any , qui est utilisé pour autoriser ou refuser tout hôte source ou
réseau.
2. Le deuxième choix consiste à utiliser une adresse IP pour spécifier un seul hôte ou une plage d'entre eux.
3. La dernière option consiste à utiliser la commande host pour spécifier un hôte spécifique uniquement.
La commande any est assez évidente - n'importe quelle adresse source correspond à l'instruction, donc chaque paquet
par rapport à cette ligne correspondra. La commande host est également relativement simple, comme vous pouvez le voir
ici:
Corp(config)# access-list 10 refuser l'hôte ?

Nom d'hôte ou adresse d'hôte ABCD
Corp(config)# access-list 10 refuser l'hôte 172.16.30.2
Cela indique à la liste de refuser tous les paquets de l'hôte 172.16.30.2. Le paramètre par défaut est host . Dans
en d'autres termes, si vous tapez access-list 10 deny 172.16.30.2 , le routeur suppose que vous voulez dire host
172.16.30.2 et c'est exactement comme cela qu'il apparaîtra dans votre fichier running-config.
Mais il existe une autre façon de spécifier soit un hôte particulier, soit une plage d'hôtes, et c'est ce qu'on appelle
masquage générique. En fait, pour spécifier une plage d'hôtes, vous devez utiliser le masquage générique dans le
liste d'accès.
Alors, qu'est-ce que le masquage générique ? A venir, je vais vous montrer en utilisant un accès standard
exemple de liste. Je vous expliquerai également comment contrôler l'accès à un terminal virtuel.
Masquage des caractères génériques

Les caractères génériques sont utilisés avec les listes d'accès pour spécifier un hôte individuel, un réseau ou une plage spécifique de
un réseau ou des réseaux. Les tailles de bloc que vous avez apprises précédemment utilisées pour spécifier une plage de
Les adresses sont essentielles pour comprendre les caractères génériques.
Permettez-moi de faire une pause ici pour un examen rapide des tailles de bloc avant d'aller plus loin. je suis sûr que tu
rappelez-vous que les différentes tailles de blocs disponibles sont 64, 32, 16, 8 et 4. Lorsque vous devez
spécifiez une plage d'adresses, vous choisissez la taille de bloc suivante la plus grande pour vos besoins. Alors si vous
devez spécifier 34 réseaux, vous avez besoin d'une taille de bloc de 64. Si vous voulez spécifier 18 hôtes, vous
besoin d'une taille de bloc de 32. Si vous ne spécifiez que 2 réseaux, optez pour une taille de bloc de 4.
Page 215
Les caractères génériques sont utilisés avec l'hôte ou l'adresse réseau pour indiquer au routeur une plage de
adresses à filtrer. Pour spécifier un hôte, l'adresse ressemblerait à ceci :
172.16.30.5 0.0.0.0
Les quatre zéros représentent chaque octet de l'adresse. Chaque fois qu'un zéro est présent, il indique que
l'octet de l'adresse doit correspondre exactement à l'octet de référence correspondant. Pour préciser qu'un
octet peut être n'importe quelle valeur, utilisez la valeur 255. Voici un exemple de la façon dont un sous-réseau /24 est spécifié avec
un masque générique :
172.16.30.0 0.0.0.255
Cela indique au routeur de faire correspondre exactement les trois premiers octets, mais le quatrième octet peut être n'importe quel
valeur.
D'accord, c'était la partie facile. Mais que se passe-t-il si vous souhaitez spécifier uniquement une petite plage de sous-réseaux ? Cette
est l'endroit où les tailles de bloc entrent en jeu. Vous devez spécifier la plage de valeurs dans une taille de bloc, vous ne pouvez donc pas
choisissez de spécifier 20 réseaux. Vous pouvez uniquement spécifier le montant exact que la valeur de la taille du bloc
permet. Cela signifie que la plage devrait être soit 16, soit 32, mais pas 20.
Disons que vous voulez bloquer l'accès à la partie du réseau qui va de 172.16.8.0
jusqu'à 172.16.15.0. Pour ce faire, vous utiliseriez une taille de bloc de 8, votre numéro de réseau
serait 172.16.8.0, et le caractère générique serait 0.0.7.255. Le 7.255 est égal à la valeur du routeur
utilisera pour déterminer la taille du bloc. Ainsi, ensemble, le numéro de réseau et le caractère générique indiquent au
routeur pour commencer à 172.16.8.0 et augmenter d'une taille de bloc de huit adresses jusqu'au réseau 172.16.15.0.
C'est vraiment plus facile qu'il n'y paraît ! Je pourrais certainement faire le calcul binaire pour vous, mais non
on a besoin de ce genre de douleur parce que tout ce que vous avez à faire est de vous rappeler que le joker est toujours
un nombre de moins que la taille du bloc. Ainsi, dans notre exemple, le joker serait 7 puisque notre bloc
la taille est de 8. Si vous utilisiez une taille de bloc de 16, le caractère générique serait de 15. Facile, n'est-ce pas ?
Juste pour vous faire comprendre, nous allons passer en revue quelques exemples qui vous aideront certainement à le comprendre
vers le bas. L'exemple suivant indique au routeur de faire correspondre exactement les trois premiers octets mais que le
le quatrième octet peut être n'importe quoi :
Corp(config)# access-list 10 refuser 172.16.10.0 0.0.0.255
L'exemple suivant indique au routeur de faire correspondre les deux premiers octets et que les deux derniers octets peuvent être
de n'importe quelle valeur:
Maintenant, essayez de comprendre cette ligne suivante :
Cette configuration indique au routeur de démarrer au réseau 172.16.16.0 et d'utiliser une taille de bloc de 4. Le
la plage serait alors de 172.16.16.0 à 172.16.19.255, et soit dit en passant, les objectifs de Cisco
semble vraiment aimer celui-ci !
Continuons à pratiquer. Et ce prochain ?
Cet exemple révèle une liste d'accès commençant à 172.16.16.0 et augmentant d'une taille de bloc de 8 à
172.16.23.255.
Continuons… Quelle est la gamme de celui-ci selon vous ?

Celui-ci commence au réseau 172.16.32.0 et monte d'une taille de bloc de 16 à 172.16.47.255.
Vous avez presque fini de vous entraîner ! Après quelques autres, nous allons configurer de vraies ACL.
Cet exemple commence au réseau 172.16.64.0 et augmente d'une taille de bloc de 64 à 172.16.127.255.
Page 216
Et ce dernier exemple ?
Celui-ci nous montre qu'il commence au réseau 192.168.160.0 et monte une taille de bloc de 32 à
192.168.191.255.
Voici deux autres choses à garder à l'esprit lorsque vous travaillez avec des tailles de bloc et des caractères génériques :
Chaque taille de bloc doit commencer à 0 ou à un multiple de la taille de bloc. Par exemple, vous ne pouvez pas dire que
vous voulez une taille de bloc de 8, puis commencez à 12. Vous devez utiliser 0-7, 8-15, 16-23, etc.
taille de bloc de 32, les plages sont de 0 à 31, 32 à 63, 64 à 95, etc.
La commande any revient à écrire le caractère générique 0.0.0.0 255.255.255.255.
Le masquage des caractères génériques est une compétence cruciale à maîtriser lors de la création de listes d'accès IP, et il est
utilisé de manière identique lors de la création de listes d'accès IP standard et étendues.
Exemple de liste d'accès standard

Dans cette section, vous apprendrez à utiliser une liste d'accès standard pour empêcher des utilisateurs spécifiques d'obtenir
accès au LAN du département Finance.
Dans la Figure 12.2 , un routeur dispose de trois connexions LAN et d'une connexion WAN à Internet.
Les utilisateurs du réseau local des ventes ne devraient pas avoir accès au réseau local des finances, mais ils devraient pouvoir
accéder à Internet et aux fichiers du service marketing. Le Marketing LAN doit accéder au
Finance LAN pour les services applicatifs.
Page 217
FIGURE 12.2 Exemple de liste d'accès IP avec trois réseaux locaux et une connexion WAN
Nous pouvons voir que la liste d'accès IP standard suivante est configurée sur le routeur :
Lab_A# config t
Lab_A(config)# access-list 10 refuser 172.16.40.0 0.0.0.255
Lab_A(config)# access-list 10 autorise tout
Il est très important de se rappeler que la commande any revient à dire ce qui suit
en utilisant le masquage générique :
Lab_A(config)# access-list 10 permit 0.0.0.0 255.255.255.255
Étant donné que le masque générique indique qu'aucun des octets ne doit être évalué, chaque adresse correspond
la condition de test, donc cela fait fonctionnellement la même chose que l'utilisation du mot-clé any .
À ce stade, la liste d'accès est configurée pour refuser les adresses source du réseau local de vente au
Financer LAN et autoriser tout le monde. Mais rappelez-vous, aucune mesure ne sera prise jusqu'à ce que l'accès
list est appliqué sur une interface dans une direction spécifique !
Mais où placer cette liste d'accès ? Si vous le placez en tant que liste d'accès entrant sur Fa0/0,
vous pouvez aussi bien fermer l'interface FastEthernet car tous les périphériques Sales LAN
se voir refuser l'accès à tous les réseaux connectés au routeur. Le meilleur endroit pour appliquer cette liste d'accès est
sur l'interface Fa0/1 en tant que liste sortante :
Lab_A(config)# int fa0/1

Lab_A(config-if)# ip access-group 10 out
Faire cela empêche complètement le trafic de 172.16.40.0 de sortir FastEthernet0/1. Il n'a pas
effet sur les hôtes du réseau local de vente accédant au réseau local de marketing et à Internet, car
Page 218
le trafic vers ces destinations ne passe pas par l'interface Fa0/1. Tout paquet essayant de sortir
Fa0/1 devra d'abord parcourir la liste d'accès. S'il y avait une liste entrante placée sur F0/0,
alors tout paquet essayant d'entrer dans l'interface F0/0 devrait passer par la liste d'accès avant
étant routé vers une interface de sortie.
Voyons maintenant un autre exemple de liste d'accès standard. La figure 12.3 montre un interréseau
de deux routeurs avec quatre LAN.
FIGURE 12.3 Exemple de liste d'accès standard IP 2
Nous allons maintenant empêcher les utilisateurs de la comptabilité d'accéder au serveur des ressources humaines
connecté au routeur Lab_B mais permet à tous les autres utilisateurs d'accéder à ce réseau local à l'aide d'une liste de contrôle d'accès standard.
Quel type de liste d'accès standard aurions-nous besoin de créer et où devrions-nous la placer pour y parvenir
nos buts?
La vraie réponse est que nous devrions utiliser une liste d'accès étendue et la placer au plus près de la source !
Mais cette question spécifie l'utilisation d'une liste d'accès standard et, en règle générale, les ACL standard sont placées
le plus proche de la destination. Dans cet exemple, Ethernet 0 est l'interface sortante sur le Lab_B
routeur et voici la liste d'accès qui doit être placée dessus :
Lab_B# config t
Lab_B(config)# access-list 10 refuser 192.168.10.128 0.0.0.31
Lab_B(config)# access-list 10 autorise tout
Lab_B(config)# interface Ethernet 0
Lab_B(config-if)# ip access-group 10 out
Gardez à l'esprit que pour pouvoir répondre correctement à cette question, vous devez vraiment comprendre
sous-réseau, masques génériques et comment configurer et implémenter les listes de contrôle d'accès. Le sous-réseau comptable est
le 192.168.10.128/27, qui est un 255.255.255.224, avec une taille de bloc de 32 dans le quatrième octet.
Avec tout cela à l'esprit et avant de passer à la restriction de l'accès Telnet sur un routeur, prenons un
regardez un autre exemple de liste d'accès standard. Celui-ci va nécessiter une certaine réflexion. Dans
Figure 12.4 , vous disposez d'un routeur avec quatre connexions LAN et une connexion WAN au
L'Internet.
Page 219
FIGURE 12.4 Exemple de liste d'accès standard IP 3
D'accord, vous devez écrire une liste d'accès qui arrêtera l'accès de chacun des quatre réseaux locaux indiqués dans
le diagramme sur Internet. Chacun des LAN révèle l'adresse IP d'un hôte unique, dont vous avez besoin
à utiliser pour déterminer le sous-réseau et les caractères génériques de chaque réseau local pour configurer la liste d'accès.
Voici un exemple de ce à quoi devrait ressembler votre réponse, en commençant par le réseau sur E0 et
jusqu'à l'E3 :
Router(config)# access-list 1 refuser 172.16.128.0 0.0.31.255

Router(config)#
Routeur(config)#access-list
interface 1série
autorise
0 tout
Routeur(config-if)# ip access-group 1 out
Bien sûr, vous auriez pu le faire avec une seule ligne :
Mais qu'est-ce que c'est que ça ?
Et rappelez-vous les raisons de la création de cette liste. Si vous avez réellement appliqué cette ACL sur le routeur,
vous fermeriez effectivement l'accès à Internet, alors pourquoi même avoir une connexion Internet ? je
Page 220
inclus cet exercice afin que vous puissiez vous entraîner à utiliser les tailles de bloc avec les listes d'accès, ce qui est vital
pour réussir lorsque vous passez l'examen Cisco !
Contrôle de l'accès VTY (Telnet/SSH)

Essayer d'empêcher les utilisateurs de se connecter à telnet ou d'essayer de se connecter à un routeur en SSH est vraiment difficile car tout
l'interface active sur un routeur est un jeu équitable pour l'accès VTY/SSH. Création d'une liste de contrôle d'accès IP étendue qui
limiter l'accès à chaque adresse IP sur le routeur peut sembler une solution, mais si vous le faites,
vous devriez l'appliquer en entrée sur chaque interface, ce qui ne serait vraiment pas bien adapté si vous arrivez
avoir des dizaines, voire des centaines d'interfaces, n'est-ce pas ? Et pense à toute la latence qui traîne
votre réseau à la suite de chaque routeur vérifiant chaque paquet juste au cas où le
paquet essayait d'accéder à vos lignes VTY—horrible !
N'abandonnez pas, il y a toujours une solution ! Et dans ce cas, une bien meilleure, qui emploie un
liste d'accès IP standard pour contrôler l'accès aux lignes VTY elles-mêmes.
Pourquoi ça marche si bien ? Parce que lorsque vous appliquez une liste d'accès aux lignes VTY, vous ne
besoin de préciser le protocole car l'accès au VTY implique déjà un accès au terminal via le
Protocoles Telnet ou SSH. Vous n'avez pas non plus besoin de spécifier une adresse de destination car elle
peu importe l'adresse d'interface utilisée par l'utilisateur comme cible pour la session Telnet. Tout vous
vraiment besoin de contrôler d'où vient l'utilisateur, qui est trahi par son IP source
adresse.
Vous devez faire ces deux choses pour que cela se produise :
1. Créez une liste d'accès IP standard qui autorise uniquement l'hôte ou les hôtes que vous souhaitez pouvoir
telnet dans les routeurs.
2. Appliquez la liste d'accès à la ligne VTY avec la classe d'accès dans la commande.
Ici, j'autorise uniquement l'hôte 172.16.10.3 à se connecter à un routeur :
Lab_A(config)# access-list 50 autorise l'hôte 172.16.10.3

Lab_A(config)# ligne vty 0 4
Lab_A(config-line)# access-class 50 dans
En raison du refus implicite à la fin de la liste, l'ACL empêche tout hôte de se connecter à telnet.
le routeur à l'exception de l'hôte 172.16.10.3, quelle que soit l'adresse IP individuelle sur le routeur
utilisé comme cible. C'est une bonne idée d'inclure une adresse de sous-réseau d'administrateur comme source au lieu de
un seul hôte, mais la raison pour laquelle j'ai démontré cela était de vous montrer comment créer la sécurité sur votre
lignes VTY sans ajouter de latence à votre routeur.
Faut-il sécuriser ses lignes VTY sur un routeur ?
Vous surveillez votre réseau et remarquez que quelqu'un s'est connecté à votre cœur
routeur à l'aide de la commande show users . Vous utilisez la commande de déconnexion et ils sont
déconnecté du routeur, mais vous remarquez qu'ils y sont de retour quelques minutes
plus tard. Vous envisagez de mettre une ACL sur les interfaces du routeur, mais vous ne voulez pas ajouter
latence sur chaque interface puisque votre routeur pousse déjà beaucoup de paquets. À ce point,
vous pensez mettre une liste d'accès sur les lignes VTY elles-mêmes, mais ne l'ayant pas fait
auparavant, vous n'êtes pas sûr que ce soit une alternative sûre à la mise d'une liste de contrôle d'accès sur chaque interface.
Placer une ACL sur les lignes VTY serait-il une bonne idée pour ce réseau ?
Oui absolument! Et la commande access-class couverte dans ce chapitre est le moyen de le faire.
Pourquoi? Parce qu'il n'utilise pas de liste d'accès qui se trouve juste sur une interface regardant chaque
paquet, ce qui entraîne une surcharge et une latence inutiles.
Lorsque vous mettez la classe d'accès en commande sur les lignes VTY, seuls les paquets essayant de se connecter à telnet
dans le routeur seront vérifiés et comparés, offrant une configuration facile à configurer mais solide
sécurité pour votre routeur !
Page 221
Juste un rappel : Cisco recommande d'utiliser Secure Shell (SSH) au lieu de Telnet sur
les lignes VTY d'un routeur, comme nous l'avons vu au chapitre 6, « Cisco's Internetworking Operating
System (IOS) », alors consultez ce chapitre si vous avez besoin d'un rappel sur SSH et comment le configurer
sur vos routeurs et commutateurs.
Listes d'accès étendu

Revenons à l'exemple de liste d'accès IP standard où vous deviez bloquer tous les accès depuis le
LAN des ventes au service financier et ajout d'une nouvelle exigence. Vous devez maintenant autoriser les ventes à
accéder à un certain serveur sur le réseau local Finance mais pas à d'autres services réseau pour la sécurité
les raisons. Quelle est la solution ? L'application d'une liste d'accès IP standard ne permettra pas aux utilisateurs d'en accéder à une
service réseau mais pas un autre car une ACL standard ne vous permettra pas de prendre des décisions
en fonction des adresses source et destination. Il prend des décisions basées uniquement sur la source
adresse, nous avons donc besoin d'un autre moyen d'atteindre notre nouvel objectif, mais quel est-il ?
L'utilisation d'une liste d'accès étendue sauvera la situation car les listes de contrôle d'accès étendues nous permettent de spécifier la source
et les adresses de destination ainsi que le protocole et le numéro de port qui identifient la couche supérieure
protocole ou application. Une liste de contrôle d'accès étendue est exactement ce dont nous avons besoin pour permettre aux utilisateurs d'accéder à
un réseau local physique tout en leur refusant l'accès à des hôtes spécifiques, voire à des services spécifiques sur ceux-ci.
hôtes!
Oui, je suis bien conscient qu'il n'y a pas d'objectifs ICND1 pour les listes d'accès étendues, mais
vous devez comprendre les listes de contrôle d'accès étendues pour le dépannage ICND2, donc je
fondation ajoutée ici.
Nous allons jeter un œil aux commandes que nous avons dans notre arsenal, mais d'abord, vous devez savoir
que vous devez utiliser la plage de liste d'accès étendue de 100 à 199. La plage 2000-2699 est également
disponible pour les listes d'accès IP étendues.
Après avoir choisi un numéro dans la plage étendue, vous devez décider du type d'entrée de liste à
Fabriquer. Pour cet exemple, je vais avec une entrée de liste de refus :
Corp(config)# liste d'accès 110 ?

dynamique Spécifiez une liste DYNAMIQUE de PERMIS ou DENY
remarque Entrée de la liste d'accès commentaire
Et une fois que vous avez défini le type d'ACL, vous devez ensuite sélectionner une entrée de champ de protocole :
Corp(config)# access-list 110 refuser ?

<0-255> Un numéro de protocole IP
Protocole d'en-tête d'authentification ahp
eigrp Protocole de routage EIGRP de Cisco
esp Encapsulation Security Payload
gre Tunneling GRE de Cisco
Protocole de message de contrôle Internet icmp
igmp Internet Gateway Message Protocol
ip N'importe quel protocole Internet
IP ipinip dans le tunneling IP
tunneling IP sur IP compatible NOS KA9Q
protocole de routage ospf OSPF
Protocole de compression de charge utile pcp
multidiffusion indépendante du protocole pim
Protocole de contrôle de transmission tcp
Protocole de datagramme utilisateur udp
Page 222
Si vous souhaitez filtrer par protocole de couche d'application, vous devez choisir le
protocole de transport de couche 4 approprié après la déclaration d' autorisation ou de refus . Par exemple, à
filtrez Telnet ou FTP, choisissez TCP puisque Telnet et FTP utilisent TCP au niveau de la couche Transport.
La sélection d'IP ne vous permettrait pas de spécifier un protocole d'application particulier ultérieurement et uniquement
filtre en fonction des adresses source et destination.
Alors maintenant, filtrons un protocole de couche Application qui utilise TCP en sélectionnant TCP comme protocole
et indiquant le port TCP de destination spécifique à la fin de la ligne. Ensuite, nous serons invités à
l'adresse IP source de l'hôte ou du réseau et nous choisirons la commande any pour autoriser tout
adresse source :
Corp(config)# access-list 110 refuser TCP ?

ABCD Adresse source
n'importe quel hôte source
hôte Un hôte source unique
Après avoir sélectionné l'adresse source, nous pouvons alors choisir l'adresse de destination spécifique :
Corp(config)# access-list 110 refuser tcp tout ?

ABCD Adresse de destination
n'importe quel hôte de destination
eq Faire correspondre uniquement les paquets sur un numéro de port donné
gt Faire correspondre uniquement les paquets avec un numéro de port supérieur
hôte Un hôte de destination unique
lt Faire correspondre uniquement les paquets avec un numéro de port inférieur
neq Faire correspondre uniquement les paquets qui ne sont pas sur un numéro de port donné
range Ne correspond qu'aux paquets dans la plage de numéros de port
Dans cette sortie, vous pouvez voir que toute adresse IP source qui a une adresse IP de destination de
172.16.30.2 a été refusé :
Corp(config)# access-list 110 deny tcp any host 172.16.30.2 ?

ack Correspondance sur le bit ACK
dscp Faire correspondre les paquets avec la valeur dscp donnée
éq Faire correspondre uniquement les paquets sur un numéro de port donné
établi Correspondre aux connexions établies
ailette Match sur le bit FIN
fragments Vérifier les fragments non initiaux
gt Faire correspondre uniquement les paquets avec un numéro de port supérieur
Journal Consigner les correspondances avec cette entrée
log-input Le journal correspond à cette entrée, y compris l'interface d'entrée
ll Faire correspondre uniquement les paquets avec un numéro de port inférieur
neq Faire correspondre uniquement les paquets qui ne sont pas sur un numéro de port donné
priorité Faire correspondre les paquets avec une valeur de priorité donnée
psh Correspondance sur le bit PSH
gamme Faire correspondre uniquement les paquets dans la plage de numéros de port
d'abord Correspondance sur le bit RST
syn Correspondance sur le bit SYN
plage de temps Spécifiez une plage de temps
tos Faire correspondre les paquets avec la valeur TOS donnée
presser Correspondance sur le bit URG
<cr>
Et une fois que nous avons les adresses d'hôte de destination en place, il nous suffit de spécifier le type de
service à refuser à l'aide de la commande equal to , entrée comme eq . L'écran d'aide suivant révèle le
options disponibles maintenant. Vous pouvez choisir un numéro de port ou utiliser le nom de l'application :
Corp(config)# access-list 110 deny tcp any host 172.16.30.2 eq ?

<0-65535> Numéro de port
bgp Protocole de passerelle frontalière (179)
chargé Générateur de caractères (19)
cmd Commandes à distance (rcmd, 514)
le jour le jour (13)
défausser Défausser (9)
domaine Service de nom de domaine (53)
goutte Protocole d'informations de routage dynamique (3949)
écho Écho (7)
l'exécutif Exécutif (rsh, 512)
doigt Doigt (79)
Page 223
ftp Protocole de transfert de fichiers (21)

Connexions de données FTP de données ftp (20)
Gopher Gopher (70)
nom d'hôte NIC serveur de nom d'hôte (101)
identifiant Protocole d'identification (113)
irc Chat de relais Internet (194)
klogin Connexion Kerberos (543)
kshell Kerberos shell (544)
connexion Connexion (rlogin, 513)
lpd Service d'impression (515)
nntp Protocole de transport de nouvelles de réseau (119)
pim-auto-rp PIM Auto-RP (496)
pop2 Protocole postal v2 (109)
pop3 Protocole postal v3 (110)
smtp Protocole de transport de courrier simple (25)
Appel de procédure à distance sunrpc Sun (111)
syslog Syslog (514)
Système de contrôle d'accès tacacs TAC (49)
parlez Parler (517)
telnet Telnet (23)
temps Temps (37)
uucp Programme de copie Unix vers Unix (540)
qui est Surnom (43)
www World Wide Web (HTTP, 80)
Maintenant, bloquons Telnet (port 23) pour héberger 172.16.30.2 uniquement. Si les utilisateurs veulent utiliser FTP, très bien—
c'est permis. La commande log est utilisée pour enregistrer les messages chaque fois que l'entrée de la liste d'accès est atteinte.
Cela peut être un moyen extrêmement cool de surveiller les tentatives d'accès inappropriées, mais soyez prudent
car dans un grand réseau, cette commande peut surcharger l'écran de votre console de messages !
Voici notre résultat :
Corp(config)# access-list 110 refuser tcp tout hôte 172.16.30.2 eq 23 log
Cette ligne dit de refuser tout hôte source essayant de se connecter par telnet à l'hôte de destination 172.16.30.2. Garder à
n'oubliez pas que la ligne suivante est un refus implicite par défaut. Si vous appliquez cette liste d'accès à une interface,
vous pourriez aussi bien fermer l'interface car par défaut, il y a un refus implicite tout à
la fin de chaque liste d'accès. Nous devons donc suivre la liste d'accès avec la commande suivante :
Corp(config)# access-list 110 permit ip any any
L'adresse IP de cette ligne est importante car elle autorisera la pile IP. Si TCP a été utilisé au lieu d'IP
dans cette ligne, alors UDP, etc. serait refusé. N'oubliez pas que le 0.0.0.0 255.255.255.255 est le même
command comme any , donc la commande pourrait aussi ressembler à ceci :
Corp(config)# access-list 110 permit ip 0.0.0.0 255.255.255.255

0.0.0.0 255.255.255.255
Mais si vous faisiez cela, lorsque vous regardiez la configuration en cours, les commandes seraient remplacées par
le tout tout . J'aime l'efficacité, je vais donc utiliser la commande any car elle nécessite moins de frappe.
Comme toujours, une fois notre liste d'accès créée, nous devons l'appliquer à une interface avec le même
commande utilisée pour la liste IP standard :
Corp(config-if)# ip access-group 110 dans
Ou ca:
Corp(config-if)# ip access-group 110 out
Ensuite, nous verrons quelques exemples d'utilisation d'une liste d'accès étendue.
Exemple de liste d'accès étendu 1

Pour notre premier scénario, nous utiliserons la figure 12.5 . Que devons-nous faire pour refuser l'accès à un hôte à
172.16.50.5 sur le réseau local du service financier pour les services Telnet et FTP ? Tous les autres services
sur celui-ci et sur tous les autres hôtes sont acceptables pour l'accès des départements des ventes et du marketing.
Page 224
FIGURE 12.5 Exemple de liste de contrôle d'accès étendue 1
Voici l'ACL que nous devons créer :
Lab_A# config t
Lab_A(config)# access-list 110 refuser tcp tout hôte 172.16.50.5 eq 21
Lab_A(config)# access-list 110 permit ip any any
La liste d'accès 110 indique au routeur que nous créons une liste de contrôle d'accès IP étendue. Le tcp est le protocole
dans l'en-tête de la couche réseau. Si la liste ne dit pas tcp ici, vous ne pouvez pas filtrer par port TCP
numéros 21 et 23 comme indiqué dans l'exemple. N'oubliez pas que ces valeurs indiquent FTP et
Telnet, qui utilisent tous deux TCP pour les services orientés connexion. La commande any est la source,
ce qui signifie n'importe quelle adresse IP source, et l' hôte est l'adresse IP de destination. Cette ACL dit que
tout le trafic IP sera autorisé à partir de n'importe quel hôte à l'exception de FTP et Telnet pour héberger 172.16.50.5 à partir de n'importe quel
la source.
N'oubliez pas qu'au lieu de la commande host 172.16.50.5 lorsque nous avons créé le
liste d'accès étendue, nous aurions pu entrer 172.16.50.5 0.0.0.0 . Il n'y aurait pas
la différence dans le résultat autre que le routeur changerait la commande pour héberger 172.16.50.5
dans le fichier running-config.
Une fois la liste créée, elle doit être appliquée à l'interface FastEthernet 0/1 sortante car nous
Page 225
voulez empêcher tout le trafic d'atteindre l'hôte 172.16.50.5 et d'effectuer FTP et Telnet. Si ce
list a été créée pour bloquer l'accès uniquement depuis le réseau local des ventes à l'hôte 172.16.50.5, alors nous aurions mis
cette liste plus près de la source, ou sur FastEthernet 0/0. Dans cette situation, nous appliquerions la liste à
trafic entrant. Cela met en évidence le fait que vous devez vraiment analyser chaque situation avec soin
avant de créer et d'appliquer des listes de contrôle d'accès !
Maintenant, allons de l'avant et appliquons la liste à l'interface Fa0/1 pour bloquer tous les FTP et Telnet extérieurs
accès à l'hôte 172.16.50.5 :


Nous allons à nouveau utiliser la figure 12.4 , qui comporte quatre réseaux locaux et une connexion série. Nous devons le faire
empêcher l'accès Telnet aux réseaux connectés aux interfaces E1 et E2.
La configuration sur le routeur ressemblerait à ceci, bien que la réponse puisse varier :
Router(config)# access-list 110 deny tcp any 172.16.48.0 0.0.15.255

éq 23
Router(config)# access-list 110 refuser tcp tout 172.16.192.0 0.0.63.255
éq 23
Router(config)# access-list 110 permit ip any any
Routeur(config)# interface Ethernet 1
Routeur(config-if)# interface Ethernet 2
Voici les facteurs clés à comprendre à partir de cette liste :
Tout d'abord, vous devez vérifier que la tranche de numéros est correcte pour le type de liste d'accès que vous utilisez.
créer. Dans cet exemple, il est étendu, la plage doit donc être comprise entre 100 et 199.
Deuxièmement, vous devez vérifier que le champ de protocole correspond au processus de couche supérieure ou
l'application, qui dans ce cas, est le port TCP 23 (Telnet).
Le paramètre de protocole doit être TCP puisque Telnet utilise TCP. Si c'était TFTP
à la place, le paramètre de protocole devrait être UDP car TFTP utilise UDP au
Couche de transport.
Troisièmement, vérifiez que le numéro de port de destination correspond à l'application que vous filtrez. Dans
dans ce cas, le port 23 correspond à Telnet, ce qui est correct, mais sachez que vous pouvez également taper telnet à
la fin de la ligne au lieu de 23.
Enfin, la déclaration de test permit ip any any est important d'avoir là à la fin de la liste
car cela signifie activer tous les paquets autres que les paquets Telnet destinés aux réseaux locaux
connecté à Ethernet 1 et Ethernet 2.

Je souhaite vous guider à travers un autre exemple d'ACL étendu avant de passer aux ACL nommées.
La figure 12.6 affiche le réseau que nous allons utiliser pour ce dernier scénario.
Page 226
FIGURE 12.6 Exemple 3 de liste de contrôle d'accès étendue
Dans cet exemple, nous allons autoriser l'accès HTTP au serveur Finance à partir de l'hôte source B
seul. Tout autre trafic sera autorisé. Nous devons pouvoir configurer cela en seulement trois tests
instructions, puis nous devrons ajouter la configuration de l'interface.
Prenons ce que nous avons appris et éliminons celui-ci :
Lab_A# config t
Lab_A(config)# access-list 110 permit tcp host 192.168.177.2 host 172.22.89.26 eq 80
Lab_A(config)# access-list 110 permit ip any any
C'est vraiment assez simple ! Nous devons d'abord autoriser l'accès HTTP de l'hôte B au serveur Finance.
Mais puisque tout autre trafic doit être autorisé, nous devons détailler qui ne peut pas HTTP au service des finances
serveur, donc la deuxième instruction de test est là pour empêcher quiconque d'utiliser HTTP sur le
Serveur financier. Enfin, maintenant que l'hôte B peut HTTP vers le serveur Finance et que tout le monde ne le peut pas,
nous autoriserons tout autre trafic avec notre troisième instruction de test.
Pas si mal, cela demande juste un peu de réflexion ! Mais attendez, nous n'avons pas encore fini car nous devons encore
appliquer ceci à une interface. Étant donné que les listes d'accès étendu sont généralement appliquées au plus près de la source,
nous devrions simplement placer cet entrant sur F0/0, n'est-ce pas ? Eh bien, c'est une fois que nous n'allons pas
suis les règles. Notre défi nous a obligés à autoriser uniquement le trafic HTTP vers le serveur Finance à partir de
Hôte B. Si nous appliquons l'ACL entrant sur Fa0/0, alors la succursale pourra accéder au
Serveur des finances et exécutez HTTP. Donc, dans cet exemple, nous devons placer l'ACL le plus proche du
destination:
Lab_A(config)# interface fastethernet 0/1

Parfait! Voyons maintenant comment créer des listes de contrôle d'accès à l'aide de noms.
ACL nommées
Comme je l'ai dit plus tôt, les listes d'accès nommées ne sont qu'un autre moyen de créer un accès standard et étendu
listes. Dans les moyennes et grandes entreprises, la gestion des ACL peut devenir un véritable casse-tête avec le temps ! UNE
Page 227
un moyen pratique de faciliter les choses est de copier la liste d'accès dans un éditeur de texte, de modifier la liste, puis de la coller
la nouvelle liste dans le routeur, ce qui fonctionne plutôt bien s'il n'y avait pas eu la mentalité de « rat de meute ».
Il est très courant de penser à des choses comme : « Et si je trouve un problème avec la nouvelle liste et que je dois
sortir du changement ? » Ceci et d'autres facteurs amènent les gens à accumuler des listes de contrôle d'accès non appliquées, et plus
temps, ils peuvent sérieusement s'accumuler sur un routeur, ce qui conduit à plus de questions, comme : « Quels étaient ces
ACL pour ? Sont-ils importants ? En ai-je besoin ? » Toutes les bonnes questions et les listes d'accès nommées sont
la réponse à ce problème !
Et bien sûr, ce genre de chose peut également s'appliquer aux listes d'accès qui sont opérationnelles. Disons
vous entrez dans un réseau existant et consultez des listes d'accès sur un routeur. Supposons que vous trouviez
une liste d'accès 177, qui se trouve être une liste d'accès étendue longue de 93 lignes.
Cela conduit à plus du même tas de questions et peut même conduire à des problèmes existentiels inutiles.
désespoir! Au lieu de cela, ne serait-il pas beaucoup plus facile d'identifier un accès avec un nom comme
« FinanceLAN » plutôt qu'un mystérieusement surnommé « 177 » ?
À notre grand soulagement collectif, les listes d'accès nommés nous permettent d'utiliser des noms pour créer et appliquer soit
listes d'accès standard ou étendues. Il n'y a vraiment rien de nouveau ou de différent à propos de ces ACL à part
d'être facilement identifiable d'une manière qui a du sens pour les humains, mais il y a quelques subtilités
modifications de la syntaxe. Recréons donc la liste d'accès standard que nous avons créée plus tôt pour notre test
réseau dans la Figure 12.2 en utilisant une liste d'accès nommée :
Lab_A# config t
Lab_A(config)# liste d'accès IP ?
Liste d'accès étendu étendue
log-update Contrôler les mises à jour des journaux de la liste d'accès
journalisation de la liste d'accès de contrôle
liste d'accès de reséquence
liste d'accès standard standard
Notez que j'ai commencé par taper ip access-list , pas access-list . Cela me permet d'entrer un
liste d'accès nommée. Ensuite, je devrai le spécifier en tant que liste d'accès standard :
Lab_A(config)# ip access-list standard ?

<1-99> Numéro de liste d'accès IP standard
<1300-1999> Numéro de liste d'accès IP standard (plage étendue)
MOT Nom de la liste d'accès
Lab_A(config)# ip access-list standard BlockSales

Lab_A(config-std-nacl)#
J'ai spécifié une liste d'accès standard, puis ajouté le nom BlockSales. J'aurais certainement pu utiliser un
numéro pour une liste d'accès standard, mais à la place, j'ai choisi d'utiliser un nom agréable, clair et descriptif. Et
Notez qu'après avoir entré le nom, j'ai appuyé sur Entrée et l'invite du routeur a changé. Cela confirme
que je suis maintenant en mode de configuration de la liste d'accès nommée et que je rentre dans la liste d'accès nommée :
Lab_A(config-std-nacl)# ?
Commandes de configuration de la liste d'accès standard :
default Définir une commande sur ses valeurs par défaut
exit Quitter le mode de configuration de la liste d'accès
non Annuler une commande ou définir ses valeurs par défaut
Lab_A(config-std-nacl)# refuser 172.16.40.0 0.0.0.255

Lab_A(config-std-nacl)# autorise tout
Lab_A(config-std-nacl)# sortie
Lab_A(config)# ^Z
Lab_A#
Je suis donc entré dans la liste d'accès, puis j'ai quitté le mode de configuration. Ensuite, je vais jeter un oeil à la
configuration en cours pour vérifier que la liste d'accès est bien dans le routeur :
Lab_A# sh running-config | commencer l'accès ip

ip access-list standard BlockSales
refuser 172.16.40.0 0.0.0.255
permettre à tout
!
Et voilà : la liste d'accès BlockSales a bien été créée et se trouve dans la running-config du
Page 228
routeur. Ensuite, je dois appliquer la liste d'accès à la bonne interface :
Lab_A# config t
Lab_A(config-if)# ip access-group BlockSales out
Ciel clair! À ce stade, nous avons recréé le travail effectué précédemment à l'aide d'une liste d'accès nommée. Mais
prenons notre exemple IP étendu, illustré à la Figure 12.6 , et refaites cette liste en utilisant une ACL nommée
à la place aussi.
Mêmes exigences commerciales : autorisez l'accès HTTP au serveur Finance à partir de l'hôte source B uniquement.
Tout autre trafic est autorisé.
Lab_A# config t
Lab_A(config)# ip access-list étendu 110
Lab_A(config-ext-nacl)# permit tcp host 192.168.177.2 host 172.22.89.26 eq 80
Lab_A(config-ext-nacl)# deny tcp any host 172.22.89.26 eq 80
Lab_A(config-ext-nacl)# permit ip any any
Lab_A(config-ext-nacl)# int fa0/1
D'accord, c'est vrai, j'ai nommé la liste étendue avec un numéro, mais parfois c'est bien de le faire ! je suis
Je suppose que les listes de contrôle d'accès nommées ne vous semblent pas si excitantes ou différentes, n'est-ce pas ? Peut-être pas dans
cette configuration, sauf que je n'ai pas besoin de commencer chaque ligne avec access-list 110 , ce qui est bien.
Mais là où les ACL nommées brillent vraiment, c'est qu'elles nous permettent d'insérer, de supprimer ou de modifier une seule ligne.
Ce n'est pas seulement agréable, c'est merveilleux ! Les listes de contrôle d'accès numérotées ne peuvent tout simplement pas être comparées à cela, et je vais
démontrez-le en une minute.
Remarques
Le mot- clé de remarque est vraiment important car il vous donne la possibilité d'inclure des commentaires
—remarques—concernant les entrées que vous avez faites dans vos listes de contrôle d'accès IP standard et étendues.
Les remarques sont très cool car elles augmentent efficacement votre capacité à examiner et à comprendre
vos ACL au niveau super-héros ! Sans eux, vous seriez pris dans un bourbier potentiellement
des nombres insignifiants sans rien pour vous aider à vous rappeler ce que signifient tous ces nombres.
Même si vous avez la possibilité de placer vos remarques avant ou après une autorisation ou de refuser
déclaration, je vous recommande totalement de choisir de les positionner de manière cohérente afin de ne pas obtenir
confus quant à la remarque pertinente pour une déclaration d' autorisation ou de refus spécifique .
Pour que cela fonctionne à la fois pour les listes de contrôle d'accès standard et étendues, utilisez simplement le numéro de liste d'accès à la liste d'accès
remarque remarque commande de configuration globale comme celle-ci :
R2# config t
R2(config)# access-list 110 remarque Autoriser Bob des ventes uniquement aux finances
R2(config)# access-list 110 permit IP host 172.16.40.1 172.16.50.0 0.0.0.255
R2(config)# access-list 110 refuser l'IP 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255
R2(config)# ip access-list étendu No_Telnet
R2(config-ext-nacl)# remarque Refuser toutes les ventes de Telnetting au marketing
R2(config-ext-nacl)# refuser TCP 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq 23
R2(config-ext-nacl)# permit ip any any
R2(config-ext-nacl)# affiche l'exécution
[coupure de sortie]
!
ip access-list étendu No_Telnet
remarque Arrêtez toutes les ventes de Telnetting au marketing
refuser TCP 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq telnet
permis ip tout tout
!
access-list 110 remarque Autoriser Bob de Sales Only To Finance
access-list 110 permit ip host 172.16.40.1 172.16.50.0 0.0.0.255
liste d'accès 110 refuser ip 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255
access-list 110 permit ip any any
!
Doux—J'ai pu ajouter une remarque à la fois à une liste étendue et à une liste d'accès nommée. Gardez à l'esprit
que vous ne pouvez pas voir ces remarques dans la sortie de la commande show access-list , que nous allons
cover ensuite, car ils n'apparaissent que dans le fichier running-config.
Page 229
En parlant d'ACL, je dois encore vous montrer comment les surveiller et les vérifier. C'est une importante
sujet, alors faites attention!
Surveillance des listes d'accès

Il est toujours bon de pouvoir vérifier la configuration d'un routeur. Le tableau 12.1 répertorie les commandes qui
nous pouvons utiliser pour y parvenir.
TABLEAU 12.1 Commandes utilisées pour vérifier la configuration de la liste d'accès
Effet de commande
afficher l'accès- Affiche toutes les listes d'accès et leurs paramètres configurés sur le routeur. Montre aussi
liste statistiques sur le nombre de fois que la ligne a autorisé ou refusé un paquet. Cette
La commande ne vous montre pas sur quelle interface la liste est appliquée.
afficher l'accès- Affiche uniquement les paramètres de la liste d'accès 110. Encore une fois, cette commande ne
liste 110 révéler l'interface spécifique sur laquelle la liste est définie.
afficher l'adresse IP Affiche uniquement les listes d'accès IP configurées sur le routeur.
liste d'accès
afficher l'adresse IP Affiche les interfaces sur lesquelles des listes d'accès sont définies.
interface
spectacle Affiche les listes d'accès et les interfaces spécifiques auxquelles des listes de contrôle d'accès sont appliquées.
fonctionnement-
configuration
Nous avons déjà utilisé la commande show running-config pour vérifier qu'une liste d'accès nommée était dans le
router, alors regardons maintenant la sortie de certaines des autres commandes.
La commande show access-list répertoriera toutes les listes de contrôle d'accès sur le routeur, qu'elles soient appliquées à un
interface ou pas :
Lab_A# afficher la liste d'accès

Liste d'accès IP standard 10
10 refuser 172.16.40.0, bits génériques 0.0.0.255
20 autoriser tout
Liste d'accès IP standard BlockSales
10 refuser 172.16.40.0, bits génériques 0.0.0.255
20 autoriser tout
Liste d'accès IP étendue 110
10 refuser tcp tout hôte 172.16.30.5 eq ftp
20 refuser tcp tout hôte 172.16.30.5 eq telnet
30 permis ip tout tout
40 autorisation hôte TCP 192.168.177.2 hôte 172.22.89.26 eq www
50 refuser tcp tout hôte 172.22.89.26 eq www
Lab_A#
Tout d'abord, notez que la liste d'accès 10 ainsi que nos deux listes d'accès nommées apparaissent sur cette liste—
rappelez-vous, mon ACL étendu nommé s'appelait 110 ! Deuxièmement, remarquez que même si je suis entré
nombres réels pour les ports TCP dans la liste d'accès 110, la commande show nous donne les noms de protocole
plutôt que des ports TCP pour plus de clarté.
Mais attendez! La meilleure partie est ces nombres sur le côté gauche : 10, 20, 30, etc. Ceux-ci s'appellent
numéros de séquence, et ils nous permettent de modifier notre ACL nommée. Voici un exemple où j'ai ajouté un
dans l'ACL 110 étendue nommée :
Lab_A (config)# ip access-list étendu 110

Lab_A (config-ext-nacl) # 21 deny udp tout hôte 172.16.30.5 eq 69
Lab_A# afficher la liste d'accès
[coupure de sortie]
Liste d'accès IP étendue 110
10 refuser tcp tout hôte 172.16.30.5 eq ftp
20 refuser tcp tout hôte 172.16.30.5 eq telnet
21 refuser udp tout hôte 172.16.30.5 eq tftp
30 permis ip tout tout
40 autorisation hôte TCP 192.168.177.2 hôte 172.22.89.26 eq www
50 refuser tcp tout hôte 172.22.89.26 eq www
230
Vous pouvez voir que j'ai ajouté la ligne 21. J'aurais pu supprimer une ligne ou modifier une ligne existante également—
très agréable!
Voici le résultat de la commande show ip interface :
Lab_A# afficher l'interface ip fa0/1

Adresse déterminée par la mémoire non volatile
MTU est de 1500 octets
L'adresse de l'assistant n'est pas définie
Le transfert de diffusion dirigé est désactivé
La liste d'accès sortant est 110
La liste d'accès entrants n'est pas définie
Proxy ARP est activé
Le niveau de sécurité est par défaut
L'horizon partagé est activé
[coupure de sortie]
Assurez-vous de remarquer la ligne en gras indiquant que la liste sortante sur cette interface est 110, mais le
la liste d'accès entrants n'est pas définie. Qu'est-il arrivé à BlockSales ? J'avais configuré cet sortant sur
Fa0/1 ! C'est vrai, je l'ai fait, mais j'ai configuré mon ACL 110 étendu nommé et je l'ai appliqué à Fa0/1 comme
bien. Vous ne pouvez pas avoir deux listes sur la même interface, dans le même sens, alors que s'est-il passé ici
est que ma dernière configuration a écrasé la configuration BlockSales.
Et comme je l'ai déjà mentionné, vous pouvez utiliser la commande show running-config pour voir tout
listes d'accès.
Sommaire
Dans ce chapitre, vous avez appris à configurer des listes d'accès standard pour filtrer correctement le trafic IP.
Vous avez découvert ce qu'est une liste d'accès standard et comment l'appliquer à un routeur Cisco pour renforcer la sécurité
à votre réseau. Vous avez également appris à configurer des listes d'accès étendues pour filtrer davantage l'IP
circulation. Nous avons également couvert les principales différences entre les listes d'accès standard et étendues ainsi que les
comment les appliquer aux routeurs Cisco.
Ensuite, vous avez découvert comment configurer des listes d'accès nommées et les appliquer aux interfaces sur
le routeur et appris que les listes d'accès nommées offrent l'énorme avantage d'être facilement
identifiables et donc beaucoup plus faciles à gérer que de mystérieuses listes d'accès
simplement désigné par des nombres obscurs.
L'annexe C, « Désactivation et configuration des services réseau », qui découle de ce chapitre,

contient une section amusante : désactiver les services par défaut. J'ai toujours trouvé cette performance
tâche d'administration amusante, et la commande auto secure peut nous aider à configurer de base, indispensable
sécurité sur nos routeurs.
Le chapitre s'est terminé en vous montrant comment surveiller et vérifier la liste d'accès sélectionnée
configurations sur un routeur.
N'oubliez pas les plages de numéros de liste d'accès IP standard et étendue. Le nombre
les plages que vous pouvez utiliser pour configurer une liste d'accès IP standard sont 1-99 et 1300-1999. Le nombre
les plages d'une liste d'accès IP étendue sont de 100 à 199 et de 2000 à 2699.
Comprenez le terme refus implicite . À la fin de chaque liste d'accès se trouve un refus implicite . Quoi
cela signifie que si un paquet ne correspond à aucune des lignes de la liste d'accès, il sera rejeté.
De plus, si vous n'avez que des instructions de refus dans votre liste, la liste n'autorisera aucun paquet.
Comprenez la commande de configuration de liste d'accès IP standard. Pour configurer un

liste d'accès IP standard, utilisez les numéros de liste d'accès 1-99 ou 1300-1999 dans la configuration globale
mode. Choisissez autoriser ou refuser , puis choisissez l'adresse IP source sur laquelle vous souhaitez filtrer à l'aide de l'une des
les trois techniques abordées dans ce chapitre.
Page 231
Comprenez la commande de configuration de la liste d'accès IP étendue. Pour configurer un

liste d'accès IP étendue, utilisez les numéros de liste d'accès 100 à 199 ou 2000 à 2699 dans
mode de configuration. Choisissez autoriser ou refuser , le champ Protocole de couche réseau, l'IP source
l'adresse sur laquelle vous souhaitez filtrer, l'adresse de destination sur laquelle vous souhaitez filtrer, et enfin, le
Numéro de port de la couche de transport si TCP ou UDP a été spécifié comme protocole.
Souvenez-vous de la commande pour vérifier une liste d'accès sur une interface de routeur. Voir
si une liste d'accès est définie sur une interface et dans quelle direction elle filtre, utilisez le show ip
commande d' interface . Cette commande ne vous montrera pas le contenu de la liste d'accès, simplement
quelles listes d'accès sont appliquées sur l'interface.
Souvenez-vous de la commande pour vérifier la configuration de la liste d'accès. Pour voir le

listes d'accès configurées sur votre routeur, utilisez la commande show access-list . Cette commande ne
vous montrer quelles interfaces ont une liste d'accès définie.
Atelier 12.1 : Sécurité
Les réponses à ce laboratoire se trouvent dans l'annexe A, « Réponses aux laboratoires écrits ».
Dans cette section, écrivez les réponses aux questions suivantes :
1. Quelle commande utiliseriez-vous pour configurer une liste d'accès IP standard pour empêcher toutes les machines
sur le réseau 172.16.0.0/16 d'accéder à votre réseau Ethernet ?
2. Quelle commande utiliseriez-vous pour appliquer la liste d'accès que vous avez créée à la question 1 à un
Interface Ethernet sortante ?
3. Quelle(s) commande(s) utiliseriez-vous pour créer une liste d'accès qui refuse l'accès à l'hôte 192.168.15.5
à un réseau Ethernet ?
4. Quelle commande vérifie que vous avez correctement saisi la liste d'accès ?
5. Quels sont les deux outils qui peuvent aider à notifier et à prévenir les attaques DoS ?
6. Quelle(s) commande(s) utiliseriez-vous pour créer une liste d'accès étendue qui arrête l'hôte 172.16.10.1
de telnetting à l'hôte 172.16.30.5 ?
7. Quelle commande utiliseriez-vous pour définir une liste d'accès sur une ligne VTY ?
8. Écrivez la même liste d'accès IP standard que vous avez écrite à la question 1, mais cette fois en tant qu'accès nommé
liste.
9. Écrivez la commande pour appliquer la liste d'accès nommée que vous avez créée à la question 8 à un réseau Ethernet
interface sortante.
10. Quelle commande vérifie le placement et la direction d'une liste d'accès ?
Dans cette section, vous effectuerez deux ateliers. Pour terminer ces ateliers, vous aurez besoin d'au moins trois
routeurs. Vous pouvez facilement effectuer ces travaux pratiques avec le programme Cisco Packet Tracer. Si vous êtes
étudier pour passer votre examen Cisco, vous devez vraiment faire ces travaux pratiques !
Atelier 12.1 : Listes d'accès IP standard
Atelier 12.2 : Listes d'accès IP étendues
Tous les travaux pratiques utiliseront le schéma suivant pour configurer les routeurs.
Page 232
Atelier pratique 12.1 : Listes d'accès IP standard

Dans ce laboratoire, vous autoriserez uniquement les paquets provenant d'un seul hôte sur le réseau local SF à entrer dans le réseau local LA.
1. Accédez au routeur LA et entrez en mode de configuration globale en tapant config t .
2. Depuis le mode de configuration globale, tapez access-list ? pour obtenir une liste de toutes les différentes listes d'accès
disponible.
3. Choisissez un numéro de liste d'accès qui vous permettra de créer une liste d'accès IP standard. C'est un
nombre entre 1 et 99 ou 1300 et 1399.
4. Choisissez d'autoriser l'hôte 192.168.10.2, qui est l'adresse de l'hôte :
LA(config)# access-list 10 autorise 192.168.20.2 ?

Bits génériques ABCD
<cr>
Pour spécifier uniquement l'hôte 192.168.20.2, utilisez les caractères génériques 0.0.0.0 :
LA(config)# access-list 10 autorise 192.168.20.2

0.0.0.0
5. Maintenant que la liste d'accès est créée, vous devez l'appliquer à une interface pour la faire fonctionner :
LA(config)# int f0/0

6. Vérifiez votre liste d'accès avec les commandes suivantes :
LA# sh liste d'accès

Liste d'accès IP standard 10
permis 192.168.20.2
LA# sh courir
[coupure de sortie]
adresse IP 192.168.20.1 255.255.255.0
groupe d'accès ip 10 sur
Page 233
7. Testez votre liste d'accès en cinglant de 192.168.10.2 à 192.168.20.2.
8. Si vous avez un autre hôte sur le LA LAN, envoyez un ping à cette adresse, ce qui devrait échouer si votre ACL est
travail.
Travaux pratiques 12.2 : Listes d'accès IP étendues

Dans cet atelier, vous utiliserez une liste d'accès IP étendue pour empêcher l'hôte 192.168.10.2 de créer un
Session Telnet au routeur LA (172.16.10.6). Cependant, l'hôte devrait toujours pouvoir envoyer un ping au LA
routeur. Les listes étendues IP doivent être placées près de la source, alors ajoutez la liste étendue sur le routeur
SF. Faites attention à la commande log utilisée à l'étape 6. C'est un objectif Cisco !
1. Supprimez toutes les listes d'accès sur SF et ajoutez une liste étendue à SF.
2. Choisissez un numéro pour créer une liste IP étendue. Les listes étendues IP utilisent 100–199 ou 2000–
2699.
3. Utilisez une instruction de refus . (Vous ajouterez une déclaration d' autorisation à l'étape 7 pour permettre à d'autres trafics de continuer
travail.)
SF(config)# access-list 110 refuser ?

<0-255> Un numéro de protocole IP
Protocole d'en-tête d'authentification ahp
eigrp Protocole de routage EIGRP de Cisco
esp Encapsulation Security Payload
gre Tunneling GRE de Cisco
Protocole de message de contrôle Internet icmp
igmp Internet Gateway Message Protocol
igrp Protocole de routage IGRP de Cisco
ip N'importe quel protocole Internet
IP ipinip dans le tunneling IP
tunneling IP sur IP compatible NOS KA9Q
protocole de routage ospf OSPF
Protocole de compression de charge utile pcp
Protocole de contrôle de transmission tcp
Protocole de datagramme utilisateur udp
4. Puisque vous allez refuser Telnet, vous devez choisir TCP comme protocole de couche de transport :
SF(config)# access-list 110 refuser TCP ?

ABCD Adresse source
n'importe quel hôte source
hôte Un hôte source unique
5. Ajoutez l'adresse IP source sur laquelle vous souhaitez filtrer, puis ajoutez l'adresse IP de l'hôte de destination. Utilisation
la commande hôte au lieu des bits génériques.
SF(config)# access-list 110 refuser l'hôte TCP

192.168.10.2 hôte 172.16.10.6 ?
ack Correspondance sur le bit ACK
éq Faire correspondre uniquement les paquets sur un port donné
numéro
établi Correspondre aux connexions établies
ailette Match sur le bit FIN
fragments Vérifier les fragments
gt Faire correspondre uniquement les paquets avec une plus grande
numéro de port
Journal Consigner les correspondances avec cette entrée
log-input Le journal correspond à cette entrée,
y compris l'interface d'entrée
ll Faire correspondre uniquement les paquets avec un port inférieur
numéro
neq Faire correspondre uniquement les paquets qui ne sont pas sur un
numéro de port
priorité Faire correspondre les paquets avec une priorité donnée
valeur
psh Correspondance sur le bit PSH
gamme Faire correspondre uniquement les paquets dans la plage de
numéros de port
d'abord Correspondance sur le bit RST
syn Correspondance sur le bit SYN
tos Faire correspondre les paquets avec la valeur TOS donnée
presser Correspondance sur le bit URG
<cr>
Page 234
6. À ce stade, vous pouvez ajouter la commande eq telnet pour filtrer l'hôte 192.168.10.2 de telnetting à
172.16.10.6. La commande log peut également être utilisée à la fin de la commande afin que chaque fois que
la ligne access-list est touchée, un journal sera généré sur la console.
SF(config)# access-list 110 refuser l'hôte TCP

192.168.10.2 hôte 172.16.10.6 eq journal telnet
7. Il est important d'ajouter cette ligne à côté pour créer une déclaration de permis . (Rappelez-vous que 0.0.0.0
255.255.255.255 est identique à la commande any .)
SF(config)# access-list 110 permit ip any 0.0.0.0

255.255.255.255
Vous devez créer une déclaration de permis ; si vous ajoutez simplement une déclaration de refus , rien ne sera autorisé
du tout. Veuillez consulter les sections plus haut dans ce chapitre pour des informations plus détaillées sur le refus
toute commande implicite à la fin de chaque ACL.
8. Appliquez la liste d'accès au FastEthernet0/0 sur SF pour arrêter le trafic Telnet dès qu'il atteint
la première interface de routeur.
SF(config)# int f0/0
SF(config-if)# ip access-group 110 dans
SF(config-if)# ^Z
9. Essayez le telnetting de l'hôte 192.168.10.2 vers LA en utilisant l'adresse IP de destination 172.16.10.6.

Cela devrait échouer, mais la commande ping devrait fonctionner.
10. Sur la console de SF, en raison de la commande log , la sortie doit apparaître comme suit :
01:11:48 : %SEC-6-IPACCESSLOGP : liste 110 refusé tcp
192.168.10.2 (1030) -> 172.16.10.6(23), 1 paquet
01:13:04 : %SEC-6-IPACCESSLOGP : liste 110 refusé tcp
192.168.10.2 (1030) -> 172.16.10.6(23), 3 paquets
1. Laquelle des affirmations suivantes est fausse lorsqu'un paquet est comparé à une liste d'accès ?
A. C'est toujours comparé à chaque ligne de la liste d'accès dans l'ordre séquentiel.
B. Une fois que le paquet correspond à la condition sur une ligne de la liste d'accès, le paquet est traité
et aucune autre comparaison n'a lieu.
C. Il y a un « refus » implicite à la fin de chaque liste d'accès.
D. Tant que toutes les lignes n'ont pas été analysées, la comparaison n'est pas terminée.
2. Vous devez créer une liste d'accès qui empêchera les hôtes dans la plage réseau de 192.168.160.0
à 192.168.191.0. Laquelle des listes suivantes utiliserez-vous ?
A. liste d'accès 10 refuser 192.168.160.0 255.255.224.0
B. liste d'accès 10 refuser 192.168.160.0 0.0.191.255
C. liste d'accès 10 refuser 192.168.160.0 0.0.31.255
D. liste d'accès 10 refuser 192.168.0.0 0.0.31.255
3. Vous avez créé une liste d'accès nommée appelée BlockSales. Lequel des énoncés suivants est valide
commande pour l'appliquer aux paquets essayant d'entrer dans l'interface Fa0/0 de votre routeur ?
Page 235
A. (config)#ip access-group 110 dans
B. (config-if)#ip access-group 110 dans
C. (config-if)#ip access-group Blocksales dans
D. (config-if)#BlockSales ip access-list dans
4. Quelle déclaration de liste d'accès autorisera toutes les sessions HTTP au réseau 192.168.144.0/24
contenant des serveurs Web ?
A. access-list 110 permit tcp 192.168.144.0 0.0.0.255 tout eq 80
B. access-list 110 permit tcp any 192.168.144.0 0.0.0.255 eq 80
C. access-list 110 permit tcp 192.168.144.0 0.0.0.255 192.168.144.0 0.0.0.255 tout eq 80
D. access-list 110 permit udp any 192.168.144.0 eq 80
5. Laquelle des listes d'accès suivantes autorisera uniquement le trafic HTTP vers le réseau 196.15.7.0 ?
A. access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq www
B. access-list 10 deny tcp any 196.15.7.0 eq www
C. access-list 100 permis 196.15.7.0 0.0.0.255 eq www
D. access-list 110 permit ip any 196.15.7.0 0.0.0.255
E. access-list 110 permis www 196.15.7.0 0.0.0.255
6. Quelle commande de routeur vous permet de déterminer si une liste d'accès IP est activée sur un
interface particulière ?
A. afficher le port ip
B. afficher les listes d'accès
C. afficher l'interface IP
D. show access-lists interface
7. Dans la zone de travail, connectez la commande show à sa fonction à droite.

spectacle Affiche uniquement les paramètres de la liste d'accès 110. Cette commande n'affiche pas
liste d'accès vous l'interface sur laquelle la liste est définie.
spectacle Affiche uniquement les listes d'accès IP configurées sur le routeur.

liste d'accès
110
afficher l'adresseAffiche
IP les interfaces pour lesquelles des listes d'accès sont définies.
liste d'accès
afficher l'adresseAffiche
IP toutes les listes d'accès et leurs paramètres configurés sur le routeur. Cette
interface La commande ne vous montre pas sur quelle interface la liste est définie.
8. Si vous vouliez refuser toutes les connexions Telnet au seul réseau 192.168.10.0, quelle commande
pourriez-vous utiliser?
A. liste d'accès 100 refuser TCP 192.168.10.0 255.255.255.0 eq telnet
B. liste d'accès 100 refuser TCP 192.168.10.0 0.255.255.255 eq telnet
C. liste d'accès 100 refuser TCP tout 192.168.10.0 0.0.0.255 eq 23
D. access-list 100 refuser 192.168.10.0 0.0.0.255 tout eq 23
9. Si vous vouliez refuser l'accès FTP du réseau 200.200.10.0 au réseau 200.199.11.0 mais
autoriser tout le reste, laquelle des chaînes de commande suivantes est valide ?
A. la liste d'accès 110 refuse 200.200.10.0 au réseau 200.199.11.0 eq ftp
B. access-list 111 permit ip any 0.0.0.0 255.255.255.255
Page 236
C. liste d'accès 1 refuser ftp 200.200.10.0 200.199.11.0 tout tout
D. liste d'accès 100 refuser TCP 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
E. liste d'accès 198 refuser TCP 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
access-list 198 permit ip any 0.0.0.0 255.255.255.255
10. Vous souhaitez créer une liste d'accès étendue qui refuse le sous-réseau de l'hôte suivant :
172.16.50.172/20. Par lequel des éléments suivants commenceriez-vous votre liste ?
A. la liste d'accès 110 refuse l'IP 172.16.48.0 255.255.240.0 tout
B. liste d'accès 110 udp refuser 172.16.0.0 0.0.255.255 ip tout
C. liste d'accès 110 refuser TCP 172.16.64.0 0.0.31.255 tout eq 80
D. liste d'accès 110 refuser ip 172.16.48.0 0.0.15.255 tout
11. Laquelle des propositions suivantes est la version générique (inverse) d'un masque /27 ?
A. 0.0.0.7
B. 0.0.0.31
C. 0.0.0.27
D. 0.0.31.255
12. Vous souhaitez créer une liste d'accès étendue qui refuse le sous-réseau de l'hôte suivant :
172.16.198.94/19. Par lequel des éléments suivants commenceriez-vous votre liste ?
A. liste d'accès 110 refuser ip 172.16.192.0 0.0.31.255 tout
B. liste d'accès 110 refuser ip 172.16.0.0 0.0.255.255 tout
C. liste d'accès 10 refuser ip 172.16.172.0 0.0.31.255 tout
D. liste d'accès 110 refuser ip 172.16.188.0 0.0.15.255 tout
13. La liste d'accès suivante a été appliquée à une interface sur un routeur :
liste d'accès 101 refuser tcp 199.111.16.32 0.0.0.31 hôte 199.168.5.60
Laquelle des adresses IP suivantes sera bloquée à cause de cette seule règle de la liste ?
(Choisissez tout ce qui correspond.)
A. 199.111.16.67
B. 199.111.16.38
C. 199.111.16.65
D. 199.11.16.54
14. Laquelle des commandes suivantes connecte la liste d'accès 110 entrante à l'interface Ethernet0 ?
A. Router(config)#ip access-group 110 dans
B. Router(config)#ip access-list 110 dans
C. Router(config-if)#ip access-group 110 dans
D. Router(config-if)#ip access-list 110 dans
15. Quel est l'effet de cette liste d'accès monoligne ?

liste d'accès 110 refuser l'ip 172.16.10.0 0.0.0.255 hôte 1.1.1.1
A. Refuse uniquement l'ordinateur au 172.16.10
B. Refuse tout trafic
C. Refuse le sous-réseau 172.16.10.0/26
D. Refuse le sous-réseau 172.16.10.0/25
16. Vous configurez la liste d'accès suivante. Quel sera le résultat de cette liste d'accès ?
Page 237
liste d'accès 110 refuser tcp 10.1.1.128 0.0.0.63 tout eq smtp
liste d'accès 110 deny tcp any any eq 23
int ethernet 0
ip access-group 110 out
R. Les e-mails et Telnet seront autorisés à sortir E0.
B. Les e-mails et Telnet seront autorisés dans E0.
C. Tout sauf le courrier électronique et Telnet sera autorisé à sortir E0.
D. Aucun trafic IP ne sera autorisé en sortie E0.
17. Laquelle des séries de commandes suivantes limitera l'accès Telnet au routeur ?
A. Lab_A(config)# access-list 10 autorise 172.16.1.1

Lab_A(config)# ligne con 0
Lab_A(config-line)# ip access-group 10 dans
B. Lab_A(config)# access-list 10 permis 172.16.1.1

Lab_A(config-line)# access-class 10 out
C. Lab_A(config)# access-list 10 permis 172.16.1.1

Lab_A(config-line)# access-class 10 dans
D. Lab_A(config)# access-list 10 permis 172.16.1.1

Lab_A(config-line)# ip access-group 10 dans
18. Laquelle des affirmations suivantes est vraie concernant les listes d'accès appliquées à une interface ?
A. Vous pouvez placer autant de listes d'accès que vous le souhaitez sur n'importe quelle interface jusqu'à ce que vous n'ayez plus de
Mémoire.
B. Vous ne pouvez appliquer qu'une seule liste d'accès sur n'importe quelle interface.
C. Une liste d'accès peut être configurée, par direction, pour chaque protocole de couche 3 configuré sur
une interface.
D. Vous pouvez appliquer deux listes d'accès à n'importe quelle interface.
19. Quelle est l'attaque la plus courante sur un réseau aujourd'hui ?
A. Crochetage
B. Naggle
C. DoS
D. sécurité automatique
20. Vous devez arrêter les attaques DoS en temps réel et avoir un journal de toute personne qui a tenté d'attaquer
votre réseau. Que faire de votre réseau ?
A. Ajoutez plus de routeurs.
B. Utilisez la commande de sécurité automatique .
C. Mettre en œuvre IDS/IPS.
D. Configurez Naggle.
Page 238
Chapitre 13
Traduction d'adresses réseau (NAT)

CE CHAPITRE:
4.7 Configurer, vérifier et dépanner à l'intérieur du NAT source
4.7.a Statique
4.7.b Piscine
4.7.c TAP
Dans ce chapitre, nous allons creuser dans l'adresse réseau

Traduction (NAT), Dynamic NAT et Port Address Translation (PAT), également connu sous le nom de NAT
Surcharge. Bien sûr, je vais vous montrer toutes les commandes NAT. J'ai également fourni de fantastiques
des laboratoires pratiques à configurer à la fin de ce chapitre, alors assurez-vous de ne pas les manquer !
Il est important de comprendre les objectifs de Cisco pour ce chapitre. Ils sont très simples :
vous avez des hôtes sur votre réseau d'entreprise interne utilisant des adresses RFC 1918 et vous devez
autorisez ces hôtes à accéder à Internet en configurant des traductions NAT. Avec cet objectif en
l'esprit, ce sera ma direction avec ce chapitre.
Étant donné que nous utiliserons des listes de contrôle d'accès dans nos configurations NAT, il est important que vous soyez vraiment
à l'aise avec les compétences que vous avez apprises dans le chapitre précédent avant de passer à celui-ci.
Quand utilisons-nous NAT ?

La traduction d'adresses réseau (NAT) est similaire au routage inter-domaines sans classe (CIDR) en ce sens
l'intention initiale de NAT était de ralentir l'épuisement de l'espace d'adressage IP disponible en permettant
plusieurs adresses IP privées à représenter par un nombre beaucoup plus petit d'adresses IP publiques
adresses.
Depuis lors, il a été découvert que NAT est également un outil utile pour les migrations de réseau et
les fusions, le partage de la charge des serveurs et la création de « serveurs virtuels ». Alors dans ce chapitre, je vais
Page 239
décrire les bases de la fonctionnalité NAT et la terminologie commune à NAT.
Parce que NAT réduit vraiment la quantité écrasante d'adresses IP publiques requises dans un
environnement de réseautage, cela s'avère très pratique lorsque deux entreprises qui ont des doublons
les schémas d'adressage internes fusionnent. NAT est également un excellent outil à utiliser lorsqu'une organisation change
son fournisseur de services Internet (FAI), mais le gestionnaire de réseau doit éviter les tracas de
changer le schéma d'adressage interne.
Voici une liste de situations dans lesquelles le NAT peut être particulièrement utile :
Lorsque vous devez vous connecter à Internet et que vos hôtes n'ont pas d'adresse IP unique au monde
adresses
Lorsque vous avez changé pour un nouveau FAI qui vous oblige à renuméroter votre réseau
Lorsque vous devez fusionner deux intranets avec des adresses en double
Vous utilisez généralement NAT sur un routeur frontière. Par exemple, dans la Figure 13.1 , NAT est utilisé sur le
Routeur d'entreprise connecté à Internet.
FIGURE 13.1 Où configurer NAT
Maintenant, vous pensez peut-être : « Le NAT est totalement cool et je dois juste l'avoir ! » Mais ne t'excite pas trop
pourtant, car il existe de sérieux problèmes liés à l'utilisation de NAT que vous devez d'abord comprendre.
Ne vous méprenez pas, cela peut parfois vous sauver la vie, mais le NAT a un côté sombre que vous
besoin de savoir aussi. Pour les avantages et les inconvénients liés à l'utilisation de NAT, consultez le tableau 13.1 .
TABLEAU 13.1 Avantages et inconvénients de la mise en œuvre du NAT
Avantages Désavantages
Conserve légalement enregistré La traduction entraîne des retards de chemin de commutation.

adresses.
Page 240
Les remèdes traitent les événements de chevauchement. Provoque une perte de la traçabilité IP de bout en bout
Augmente la flexibilité lorsque Certaines applications ne fonctionneront pas avec NAT activé
connexion à Internet.
Élimine la renumérotation des adresses complique les protocoles de tunneling tels que IPsec car
à mesure qu'un réseau évolue. NAT modifie les valeurs dans l'en-tête
L'avantage le plus évident associé au NAT est qu'il vous permet de
conserver votre schéma d'adresse légalement enregistré. Mais une version de celui-ci connue sous le nom de PAT est également
pourquoi nous venons tout juste de manquer d'adresses IPv4. Sans NAT/PAT, nous aurions couru
des adresses IPv4 il y a plus d'une décennie !
Types de traduction d'adresses réseau

Dans cette section, je vais passer en revue les trois types de NAT avec vous :
NAT statique (un à un) Ce type de NAT est conçu pour permettre le mappage un à un entre
adresses locales et mondiales. Gardez à l'esprit que la version statique vous oblige à avoir un vrai
Adresse IP Internet pour chaque hôte de votre réseau.
NAT dynamique (plusieurs-à-plusieurs) Cette version vous donne la possibilité de mapper une adresse IP non enregistrée
adresse à une adresse IP enregistrée à partir d'un pool d'adresses IP enregistrées. Vous n'avez pas
pour configurer statiquement votre routeur pour mapper chaque adresse interne à une adresse externe individuelle comme
vous utiliseriez un NAT statique, mais vous devez avoir suffisamment d'adresses IP réelles et de bonne foi pour
tous ceux qui vont envoyer et recevoir des paquets d'Internet en même temps
temps.
Surcharge (un-à-plusieurs) C'est le type de configuration NAT le plus répandu. Comprendre

cette surcharge est vraiment une forme de NAT dynamique qui mappe plusieurs adresses IP non enregistrées
à une seule adresse IP enregistrée (plusieurs-à-un) en utilisant différents ports source. Maintenant, pourquoi est-ce
tellement spécial? Eh bien, parce qu'il est également connu sous le nom de traduction d'adresse de port (PAT) , qui est également
communément appelée surcharge NAT. L'utilisation de PAT vous permet de permettre à des milliers d'utilisateurs de
connectez-vous à Internet à l'aide d'une seule véritable adresse IP globale, c'est plutôt simple, n'est-ce pas ? Sérieusement, NAT
La surcharge est la vraie raison pour laquelle nous n'avons pas manqué d'adresses IP valides sur Internet. Vraiment, je suis
je ne blague pas!
Je vais vous montrer comment configurer les trois types de NAT tout au long de ce chapitre et
à la fin de ce chapitre avec les travaux pratiques.
Noms NAT
Les noms que nous utilisons pour décrire les adresses utilisées avec NAT sont assez simples. Adresses
utilisé après que les traductions NAT soient appelées adresses globales . Ce sont généralement les adresses publiques
utilisé sur Internet, dont vous n'avez pas besoin si vous n'allez pas sur Internet.
Les adresses locales sont celles que nous utilisons avant la traduction NAT. Cela signifie que l'intérieur local
address est en fait l'adresse privée de l'hôte expéditeur qui tente d'accéder à Internet.
L'adresse locale externe serait généralement l'interface du routeur connectée à votre FAI et est
aussi généralement une adresse publique utilisée lorsque le paquet commence son voyage.
Après traduction, l'adresse locale interne est alors appelée adresse globale interne et l' adresse externe
l'adresse globale devient alors l'adresse de l'hôte de destination. Consultez le tableau 13.2 , qui
Page 241
répertorie toute cette terminologie et offre une image claire des différents noms utilisés avec NAT. Garder à
gardez à l'esprit que ces termes et leurs définitions peuvent varier quelque peu en fonction de la mise en œuvre. Les
Le tableau montre comment ils sont utilisés en fonction des objectifs de l'examen Cisco.
TABLEAU 13.2 Termes NAT
Signification des noms
À l'intérieur Adresse interne de l'hôte source avant la traduction, généralement une adresse RFC 1918.
local
À l'extérieurAdresse d'un hôte externe telle qu'elle apparaît sur le réseau interne. C'est généralement le
local l'adresse de l'interface du routeur connectée au FAI—l'adresse Internet réelle.
À l'intérieur Adresse hôte source utilisée après la traduction pour accéder à Internet. C'est aussi le
global adresse Internet réelle.
À l'extérieurAdresse de l'hôte de destination extérieur et, encore une fois, la véritable adresse Internet.
global
Comment fonctionne le NAT

D'accord, il est temps de regarder comment fonctionne tout ce truc de NAT. Je vais commencer par utiliser la figure 13.2
pour décrire la traduction NAT de base.
FIGURE 13.2 Traduction NAT de base
Dans cette figure, nous pouvons voir l'hôte 10.1.1.1 envoyer un paquet lié à Internet au routeur frontière
configuré avec NAT. Le routeur identifie l'adresse IP source comme une adresse IP locale interne
destiné à un réseau extérieur, traduit l'adresse IP source dans le paquet et documente
la traduction dans la table NAT.
Le paquet est envoyé à l'interface externe avec la nouvelle adresse source traduite. L'extérieur
l'hôte renvoie le paquet à l'hôte de destination et le routeur NAT traduit l'adresse IP globale interne
adressez-vous à l'adresse IP locale interne à l'aide de la table NAT. C'est aussi simple que possible !
Page 242
Jetons un coup d'œil à une configuration plus complexe utilisant la surcharge, également appelée PAT. je vais
utilisez la Figure 13.3 pour montrer comment PAT fonctionne en ayant un hôte interne HTTP vers un serveur sur le
L'Internet.
FIGURE 13.3 Exemple de surcharge NAT (PAT)
Avec PAT, tous les hôtes internes sont traduits en une seule adresse IP, d'où le terme surcharge .
Encore une fois, la raison pour laquelle nous venons de manquer d'adresses IP mondiales disponibles sur Internet est due à
surcharge (PAT).
Examinez à nouveau la table NAT de la figure 13.3 . En plus de l'adresse IP locale interne et
à l'intérieur de l'adresse IP globale, nous avons maintenant des numéros de port. Ces numéros de port aident le routeur à identifier
quel hôte doit recevoir le trafic de retour. Le routeur utilise le numéro de port source de chaque
hôte pour différencier le trafic de chacun d'eux. Comprenez que le paquet a une destination
numéro de port de 80 lorsqu'il quitte le routeur, et le serveur HTTP renvoie les données avec un
numéro de port de destination de 1026, dans cet exemple. Cela permet au routeur de traduction NAT de
différencier les hôtes dans la table NAT, puis traduire l'adresse IP de destination en retour
à l'adresse locale interne.
Les numéros de port sont utilisés au niveau de la couche Transport pour identifier l'hôte local dans cet exemple. Si nous avions
d'utiliser de vraies adresses IP globales pour identifier les hôtes sources, cela s'appelle NAT statique et nous
à court d'adresses. PAT nous permet d'utiliser la couche Transport pour identifier les hôtes, qui à leur tour
nous permet d'utiliser théoriquement jusqu'à environ 65 000 hôtes avec une seule véritable adresse IP !
Configuration NAT statique

Jetons un coup d'œil à un exemple simple d'une configuration NAT statique de base :
ip nat à l'intérieur de la source statique 10.1.1.1 170.46.2.2
!
interface Ethernet0
adresse IP 10.1.1.10 255.255.255.0
ip nat à l'intérieur
!
interface Série0
adresse IP 170.46.2.1 255.255.255.0
ip nat dehors
!
Page 243
Dans la sortie du routeur précédente, la commande ip nat inside source identifie les adresses IP
sera traduit. Dans cet exemple de configuration, la commande ip nat inside source configure un
traduction statique entre l'adresse IP locale interne 10.1.1.1 et l'adresse IP globale externe
170.46.2.2.
En descendant plus bas dans la configuration, nous trouvons une commande ip nat sous chaque interface. Les
La commande ip nat inside identifie
cette interface en tant qu'interface interne. L' ip nat à l'extérieur
La commande identifie cette interface comme l'interface externe. Quand tu regardes en arrière l' ip nat
à l'intérieur de la commande source ,
vous pouvez voir que la commande fait référence à l'interface interne en tant que
source ou point de départ de la traduction. Vous pouvez également utiliser la commande comme celle-ci : ip nat
source extérieure .
Cette option indique l'interface que vous avez désignée comme interface externe
doit devenir la source ou le point de départ de la traduction.
Configuration NAT dynamique

Fondamentalement, le NAT dynamique signifie vraiment que nous avons un pool d'adresses que nous utiliserons pour fournir une véritable IP
adresses à un groupe d'utilisateurs à l'intérieur. Comme nous n'utilisons pas de numéros de port, nous devons avoir
de vraies adresses IP pour chaque utilisateur qui essaie de sortir simultanément du réseau local.
Voici un exemple de sortie d'une configuration NAT dynamique :
ip nat pool todd 170.168.2.3 170.168.2.254

masque de réseau 255.255.255.0
ip nat dans la liste des sources 1 pool todd
!
interface Ethernet0
adresse IP 10.1.1.10 255.255.255.0
!
interface Série0
adresse IP 170.168.2.1 255.255.255.0
ip nat dehors
!
liste d'accès 1 permis 10.1.1.0 0.0.0.255
!
La commande ip nat inside source list 1 pool todd indique au routeur de traduire les adresses IP qui
faites correspondre la liste d'accès 1 à une adresse trouvée dans le pool IP NAT nommé todd . Ici l'ACL n'est pas là
filtrer le trafic pour des raisons de sécurité en autorisant ou en refusant le trafic. Dans ce cas, il est là pour
sélectionner ou désigner ce que nous appelons souvent un trafic intéressant. Lorsqu'un trafic intéressant a été
apparié avec la liste d'accès, il est tiré dans le processus NAT pour être traduit. Il s'agit en fait d'un
utilisation courante pour les listes d'accès, qui ne sont pas toujours simplement bloquées par le travail ennuyeux de simplement bloquer
trafic à une interface !
La commande ip nat pool todd 170.168.2.3 170.168.2.254 netmask 255.255.255.0 crée un pool de
adresses qui seront distribuées aux hôtes spécifiques qui nécessitent des adresses globales. Lorsque
Dépannage du NAT pour les objectifs Cisco, vérifiez toujours ce pool pour confirmer qu'il y a
suffisamment d'adresses pour fournir une traduction pour tous les hôtes internes. Enfin, vérifiez que le
les noms de pool correspondent exactement sur les deux lignes, sans oublier qu'ils sont sensibles à la casse ; s'ils ne le font pas,
la piscine ne fonctionnera pas !
Configuration PAT (surcharge)

Ce dernier exemple montre comment configurer la surcharge d'adresse globale à l'intérieur. C'est le typique
forme de NAT que nous utiliserions aujourd'hui. Il est en fait maintenant rare d'utiliser un NAT statique ou dynamique à moins que
c'est pour quelque chose comme le mappage statique d'un serveur, par exemple.
Voici un exemple de sortie d'une configuration PAT :

ip nat pool globalnet 170.168.2.1 170.168.2.1 masque de réseau 255.255.255.0
ip nat inside source list 1 pool globalnet surcharge
!
interface Ethernet0/0
adresse IP 10.1.1.10 255.255.255.0
!
interface Série0/0
Page 244
adresse IP 170.168.2.1 255.255.255.0

ip nat dehors
!
Ce qui est bien avec PAT, c'est qu'il ne s'agit que de quelques différences entre cette configuration et
la configuration NAT dynamique précédente :
Notre pool d'adresses s'est réduit à une seule adresse IP.
Nous avons inclus le mot-clé surcharge à la fin de notre commande ip nat inside source .
Un facteur vraiment clé à voir dans l'exemple est que la seule adresse IP qui se trouve dans le pool que nous pouvons utiliser
est l'adresse IP de l'interface externe. C'est parfait si vous configurez la surcharge NAT pour
vous-même à la maison ou pour un petit bureau qui n'a qu'une seule adresse IP de votre FAI. Vous pourriez,
cependant, utilisez une adresse supplémentaire telle que 170.168.2.2 si vous aviez cette adresse à votre disposition
ainsi, et cela pourrait s'avérer très utile dans une très grande implémentation où vous avez
une telle abondance d'utilisateurs internes actifs simultanément qu'il faut en avoir plus d'un
adresse IP surchargée à l'extérieur !
Vérification simple du NAT

Comme toujours, une fois que vous avez choisi et configuré le type de NAT que vous allez exécuter, c'est-à-dire
typiquement PAT, vous devez pouvoir vérifier votre configuration.
Pour afficher les informations de base sur la traduction d'adresses IP, utilisez la commande suivante :
Routeur# show ip nat translations
Lorsque vous regardez les traductions IP NAT, vous pouvez voir de nombreuses traductions du même hôte vers
l'hôte correspondant à la destination. Comprenez que c'est typique lorsqu'il y a beaucoup de
connexions au même serveur.
Vous pouvez également vérifier votre configuration NAT via la commande debug ip nat . Cette sortie affichera
l'adresse d'envoi, la traduction et l'adresse de destination sur chaque ligne de débogage :
Routeur # debug ip nat
Mais attendez, comment effacez-vous vos entrées NAT de la table de traduction ? Il suffit d'utiliser le clear ip nat
translation ,
et si vous souhaitez effacer toutes les entrées de la table NAT, utilisez simplement un astérisque
( * ) à la fin de la commande.
Test et dépannage du NAT

Le NAT de Cisco vous donne une puissance sérieuse, et il le fait sans trop d'effort, car le
les configurations sont vraiment assez simples. Mais nous savons tous que rien n'est parfait, donc au cas où quelque chose
se passe mal, vous pouvez découvrir certains des coupables les plus courants en parcourant cette liste de
causes potentielles :
Vérifiez les pools dynamiques. Sont-ils composés du bon périmètre d'adresses ?
Vérifiez si des pools dynamiques se chevauchent.
Vérifiez si les adresses utilisées pour le mappage statique et celles des pools dynamiques se chevauchent.
Assurez-vous que vos listes d'accès spécifient les adresses correctes pour la traduction.
Assurez-vous qu'il n'y a pas d'adresses oubliées qui doivent être là, et assurez-vous qu'aucune n'est
inclus qui ne devrait pas être.
Assurez-vous que les interfaces intérieure et extérieure sont correctement délimitées.

Un élément clé à garder à l'esprit est que l'un des problèmes les plus courants avec un nouveau NAT
la configuration n'est souvent pas du tout spécifique à NAT - elle implique généralement un blooper de routage. Alors parce que
vous modifiez une adresse source ou de destination dans un paquet, assurez-vous que votre routeur sait toujours
que faire de la nouvelle adresse après la traduction !
Page 245
La première commande que vous devez généralement utiliser est la commande show ip nat translations :
Routeur# show ip nat trans

Pro À l'intérieur mondial À l'intérieur local À l'extérieur local À l'extérieur mondial
--- 192.2.2.1 10.1.1.1 --- ---
--- 192.2.2.2 10.1.1.2 --- ---
Après avoir vérifié cette sortie, pouvez-vous me dire si la configuration sur le routeur est statique ou
NAT dynamique ? La réponse est oui, le NAT statique ou dynamique est configuré car il y a un
traduction un-à-un de l'intérieur local vers l'intérieur global. Fondamentalement, en regardant le
sortie, vous ne pouvez pas dire si c'est statique ou dynamique en soi, mais vous pouvez absolument dire que vous n'êtes pas
en utilisant PAT car il n'y a pas de numéros de port.
Jetons un œil à une autre sortie :
Routeur# expédition nat trans

TCP 170.168.2.1:11003 10.1.1.1:11003 172.40.2.2:23 172.40.2.2:23
TCP 170.168.2.1:1067 10.1.1.1:1067 172.40.2.3:23 172.40.2.3:23
D'accord, vous pouvez facilement voir que la sortie précédente utilise la surcharge NAT (PAT). Le protocole en
cette sortie est TCP et l'adresse globale interne est la même pour les deux entrées.
Soi-disant, le ciel est la limite concernant le nombre de mappages que la table NAT peut contenir. Mais
c'est la réalité, donc des choses comme la mémoire et le processeur, ou même les limites mises en place par la portée de
adresses ou ports disponibles, peut entraîner des limitations sur le nombre réel d'entrées. Considérez que
chaque mappage NAT dévore environ 160 octets de mémoire. Et parfois le nombre d'entrées
doit être limité pour des raisons de performances ou en raison de restrictions de politique, mais cela ne
arriver très souvent. Dans des situations comme celles - ci, allez à l' ip nat translation max-entrées commande
pour aider.
Une autre commande pratique pour le dépannage est show ip nat statistics . Déployer cela vous donne un
résumé de la configuration NAT, et il comptera également le nombre de types de traduction actifs.
Sont également comptés les coups sur un mappage existant ainsi que les échecs, ce dernier provoquant une tentative
pour créer une cartographie. Cette commande révélera également les traductions expirées. Si vous voulez vérifier
en pools dynamiques, leurs types, le nombre total d'adresses disponibles, combien d'adresses ont été
alloué et combien ont échoué, plus le nombre de traductions qui ont eu lieu, utilisez simplement
le mot-clé pool après les statistiques.
Voici un exemple de la commande de débogage NAT de base :
Routeur # debug ip nat

NAT : s=10.1.1.1->192.168.2.1, d=172.16.2.2 [0]
NAT : s=172.16.2.2, d=192.168.2.1->10.1.1.1 [0]
NAT : s=10.1.1.1->192.168.2.1, d=172.16.2.2 [1]
NAT : s=10.1.1.1->192.168.2.1, d=172.16.2.2 [2]
NAT : s=10.1.1.1->192.168.2.1, d=172.16.2.2 [3]
NAT* : s=172.16.2.2, d=192.168.2.1->10.1.1.1 [1]
Notez la dernière ligne de la sortie et comment le NAT au début de la ligne a un astérisque ( * ).

Cela signifie que le paquet a été traduit et commuté rapidement vers la destination. Qu'est-ce qui est commuté rapidement ?
En bref, la commutation rapide est passée par plusieurs alias tels que la commutation basée sur le cache et cela
nom bien descriptif, "route une fois, changez-en plusieurs". Le processus de commutation rapide est utilisé sur Cisco
routeurs pour créer un cache d'informations de routage de couche 3 à accéder à la couche 2 afin que les paquets puissent
être transmis rapidement via un routeur sans que la table de routage doive être analysée pour chaque
paquet. Comme les paquets sont commutés par paquets (recherchés dans la table de routage), ces informations sont stockées
dans le cache pour une utilisation ultérieure si nécessaire pour un traitement de routage plus rapide.
Revenons à la vérification du NAT. Saviez-vous que vous pouvez effacer manuellement les entrées NAT dynamiques
de la table NAT ? Vous le pouvez, et cela peut s'avérer très utile si vous devez vous débarrasser de
une entrée pourrie spécifique sans attendre l'expiration du délai d'attente ! Un manuel clair est
également très utile lorsque vous souhaitez effacer toute la table NAT pour reconfigurer un pool d'adresses.
Vous devez également savoir que le logiciel Cisco IOS ne vous permettra tout simplement pas de modifier ou de supprimer un
pool d'adresses si l'une des adresses de ce pool est mappée dans la table NAT. L' ip nat clair
La commande translations efface les entrées - vous pouvez indiquer une seule entrée via les commandes globale et locale
Page 246
adresse et via les traductions TCP et UDP, y compris les ports, ou vous pouvez simplement saisir un
astérisque ( * ) pour effacer toute la table. Mais sachez que si vous faites cela, seules les entrées dynamiques seront
effacé car cette commande ne supprimera pas les entrées statiques.
Oh, et il y a plus - l'adresse de destination des paquets de tout périphérique extérieur qui se trouve être
répondre à n'importe quel périphérique interne est connu sous le nom d'adresse globale interne (IG). Cela signifie que le
le mappage initial doit être conservé dans la table NAT afin que tous les paquets provenant d'un
la connexion est traduite de manière cohérente. La conservation des entrées dans la table NAT réduit également
des opérations de traduction répétées se produisant chaque fois que la même machine interne envoie des paquets à
régulièrement les mêmes destinations extérieures.
Permettez-moi de clarifier : lorsqu'une entrée est placée dans la table NAT pour la première fois, une minuterie commence à tourner
et sa durée est connue sous le nom de délai d'attente de traduction. Chaque fois qu'un paquet pour une entrée donnée
traduit via le routeur, la minuterie est réinitialisée. Si la minuterie expire, l'entrée sera
retirée sans ménagement de la table NAT et l'adresse attribuée dynamiquement sera alors
retourné à la piscine. Le délai de traduction par défaut de Cisco est de 86 400 secondes (24 heures), mais vous
peut changer cela avec la commande ip nat translation timeout .
Avant de passer à la section de configuration et d'utiliser réellement les commandes dont je viens de parler
à propos, passons en revue quelques exemples NAT et voyons si vous pouvez trouver le meilleur
configuration pour aller avec. Pour commencer, regardez la figure 13.4 et demandez-vous deux choses :
vous implémentez NAT dans cette conception ? Quel type de NAT configureriez-vous ?
FIGURE 13.4 Exemple de NAT
Dans la Figure 13.4 , la configuration NAT serait placée sur le routeur d'entreprise, tout comme je
démontré avec la figure 13.1 , et la configuration serait NAT dynamique avec surcharge
(TAPOTER). Dans cet exemple de NAT suivant, quel type de NAT est utilisé ?
ip nat pool todd-nat 170.168.10.10 170.168.10.20 masque de réseau 255.255.255.0

ip nat dans la liste des sources 1 pool todd-nat
Page 247
La commande précédente utilise le NAT dynamique sans PAT. Le pool dans la commande donne le
répondre comme dynamique, plus il y a plus d'une adresse dans le pool et il n'y a pas de surcharge
à la fin de notre commande ip nat inside source . Cela signifie que nous n'utilisons pas PAT !
Dans l'exemple NAT suivant, référez-vous à la figure 13.5 et voyez si vous pouvez proposer la configuration
nécessaire.
FIGURE 13.5 Un autre exemple de NAT
La figure 13.5 montre un routeur frontière qui doit être configuré avec NAT et permettre l'utilisation de six
adresses IP publiques aux locaux internes, 192.1.2.109 à 192.2.1.14. Cependant, à l'intérieur
réseau, vous avez 62 hôtes qui utilisent les adresses privées de 192.168.10.65 à
192.168.10.126. Quelle serait votre configuration NAT sur le routeur frontière ?
En fait, deux réponses différentes fonctionneraient toutes les deux ici, mais ce qui suit serait mon premier choix
en fonction des objectifs de l'examen :
ip nat pool Todd 192.1.2.109 192.1.2.109 masque de réseau 255.255.255.248

ip nat dans la liste des sources 1 pool Todd surcharge
La commande ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248 définit le nom du pool
comme Todd et crée un pool dynamique d'une seule adresse en utilisant l'adresse NAT 192.1.2.109. Au lieu
de la commande netmask , vous pouvez utiliser l' instruction prefix-length 29 . Juste au cas où tu es
je me demande, vous ne pouvez pas non plus le faire sur les interfaces de routeur !
La deuxième réponse vous donnerait exactement le même résultat d'avoir seulement 192.1.2.109 comme intérieur
global, mais vous pouvez taper ceci et cela fonctionnera également : ip nat pool Todd 192.1.2.109 192.1.2.14
masque de réseau 255.255.255.248 .
Mais cette option est vraiment un gaspillage parce que le deuxième au sixième
les adresses ne seraient utilisées qu'en cas de conflit avec un numéro de port TCP. vous utiliseriez
quelque chose comme ce que j'ai montré dans cet exemple si vous aviez littéralement environ dix mille hôtes avec
une seule connexion Internet ! Vous en auriez besoin pour résoudre le problème de réinitialisation TCP lorsque deux hôtes sont
essayer d'utiliser le même numéro de port source et obtenir un accusé de réception négatif (NAK). Mais dans notre
exemple, nous n'avons que 62 hôtes qui se connectent à Internet en même temps, donc avoir
plus d'un à l'intérieur du monde ne nous apporte rien !
Si vous êtes flou sur la deuxième ligne où la liste d'accès est définie dans la configuration NAT, faites un rapide
examen du chapitre 12, « Sécurité ». Mais ce n'est pas difficile à saisir car il est facile de voir dans ce
access-list qu'il ne s'agit que du numéro de réseau et du caractère générique utilisés avec cette commande. Je dis toujours,
Page 248
"Chaque question est une question de sous-réseau", et celle-ci ne fait pas exception. Les habitants de l'intérieur dans ce
par exemple 192.168.10.65–126, qui est un bloc de 64, ou un masque 255.255.255.192. Comme j'ai
dit dans à peu près tous les chapitres, vous devez vraiment pouvoir créer un sous-réseau rapidement !
La commande ip nat inside source list 1 pool Todd surcharge définit le pool dynamique pour utiliser PAT en
à l'aide de la commande de surcharge .
Et assurez-vous d'ajouter les instructions ip nat inside et ip nat outside sur les interfaces appropriées.
Si vous prévoyez de tester pour n'importe quel examen Cisco, configurez les travaux pratiques à l'adresse
la fin de ce chapitre jusqu'à ce que vous soyez vraiment à l'aise avec cela !
Un autre exemple, puis vous vous dirigez vers le laboratoire écrit, les laboratoires pratiques et les questions de révision.
Le réseau de la figure 13.6 est déjà configuré avec des adresses IP comme indiqué sur la figure, et
il n'y a qu'un seul hôte configuré. Cependant, vous devez ajouter 25 hôtes supplémentaires au réseau local. Maintenant tout
26 hôtes doivent pouvoir accéder à Internet en même temps.
FIGURE 13.6 Dernier exemple de NAT
En regardant le réseau configuré, utilisez uniquement les adresses internes suivantes pour configurer NAT
sur le routeur Corp pour permettre à tous les hôtes d'accéder à Internet :
Globales internes : 198.18.41.129 à 198.18.41.134
Locaux internes : 192.168.76.65 à 192.168.76.94
Celui-ci est un peu plus difficile car tout ce que nous avons pour nous aider à comprendre la configuration est
les globals intérieurs et les locaux intérieurs. Mais même pauvrement armé de ces miettes de
informations, plus les adresses IP des interfaces de routeur indiquées dans la figure, nous pouvons toujours
configurez-le correctement.
Pour ce faire, nous devons d'abord déterminer quelles sont nos tailles de blocs afin que nous puissions obtenir notre masque de sous-réseau pour
notre pool NAT. Cela nous équipera également pour configurer le joker pour la liste d'accès.
Vous devriez facilement pouvoir voir que la taille de bloc des globales internes est de 8 et la taille de bloc de
les habitants de l'intérieur ont 32 ans. Sachez qu'il est essentiel de ne pas trébucher sur ces informations fondamentales !
Nous pouvons donc configurer NAT maintenant que nous avons nos tailles de blocs :
ip nat pool Corp 198.18.41.129 198.18.41.134 masque de réseau 255.255.255.248

ip nat dans la liste des sources 1 pool Corp surcharge
Comme nous n'avions qu'un bloc de 8 pour notre pool, nous avons dû utiliser la commande de surcharge pour nous assurer que tous
26 hôtes peuvent accéder à Internet en même temps.
Il existe un autre moyen simple de configurer NAT, et j'utilise cette commande à mon bureau à domicile pour
me connecter à mon FAI. Une ligne de commande et c'est fait ! C'est ici:
ip nat dans la liste des sources 1 surcharge int s0/0/0
Je ne saurais trop dire à quel point j'aime l'efficacité et pouvoir réaliser quelque chose de cool en utilisant
Page 249
une ligne misérable me rend toujours heureux ! Ma petite ligne puissamment élégante dit essentiellement,
« Utilisez mon local extérieur comme mon global intérieur et surchargez-le. » Joli! Bien sûr, je devais encore créer
ACL 1 et ajoutez les commandes d'interface interne et externe à la configuration, mais c'est vraiment un
moyen agréable et rapide de configurer NAT si vous n'avez pas de pool d'adresses à utiliser.
Sommaire
Maintenant, c'était vraiment un chapitre amusant. Allez, admets-le ! Vous avez beaucoup appris sur l'adresse réseau
Traduction (NAT) et comment il est configuré comme statique et dynamique ainsi qu'avec l'adresse de port
Translation (PAT), également appelée surcharge NAT.
J'ai également décrit comment chaque type de NAT est utilisé dans un réseau ainsi que comment chaque type est
configuré.
Nous avons terminé en passant par quelques commandes de vérification et de dépannage. Maintenant ne
oubliez de pratiquer tous les laboratoires merveilleusement utiles jusqu'à ce que vous les ayez bien maîtrisés !
Comprenez le terme NAT . C'est peut-être une nouvelle pour vous, parce que je n'ai pas—d'accord, je n'ai pas—
mentionnez-le plus tôt, mais NAT a quelques surnoms. Dans l'industrie, on parle de réseau
masquage, masquage IP, et (pour ceux qui sont assiégés de TOC et obligés de
tout épeler) Traduction d'adresses réseau. Quoi que vous vouliez le surnommer, en gros, ils
tous font référence au processus de réécriture des adresses source/destination des paquets IP lorsqu'ils sont envoyés
via un routeur ou un pare-feu. Concentrez-vous simplement sur le processus en cours et sur votre compréhension de
elle (c'est-à-dire la partie importante) et vous y êtes à coup sûr !
Rappelez-vous les trois méthodes de NAT. Les trois méthodes sont statiques, dynamiques et
surcharge; ce dernier est également appelé PAT.
Comprenez le NAT statique. Ce type de NAT est conçu pour permettre un mappage un à un entre
adresses locales et mondiales.
Comprendre le NAT dynamique. Cette version vous donne la possibilité de cartographier une gamme de
Adresses IP à une adresse IP enregistrée à partir d'un pool d'adresses IP enregistrées.
Comprendre la surcharge. La surcharge est vraiment une forme de NAT dynamique qui mappe plusieurs
adresses IP non enregistrées à une seule adresse IP enregistrée (plusieurs à un) en utilisant différents
ports. Il est également connu sous le nom de PAT .
concepts qu'il contient pleinement intégrés :
Atelier 13.1 : NAT
Dans cette section, écrivez les réponses aux questions suivantes :
1. Quel type de traduction d'adresses peut utiliser une seule adresse pour permettre à des milliers d'hôtes d'être
traduit dans le monde ?
2. Quelle commande pouvez-vous utiliser pour afficher les traductions NAT telles qu'elles se produisent sur votre routeur ?
3. Quelle commande vous montrera la table de traduction ?
4. Quelle commande effacera toutes vos entrées NAT de la table de traduction ?
5. Un local interne est avant ou après la traduction ?
6. Un inside global est avant ou après traduction ?
250
7. Quelle commande peut être utilisée pour le dépannage et affiche un résumé du NAT
configuration ainsi que le nombre de types de traduction actifs et d'accès à un mappage existant ?
8. Quelles commandes doivent être utilisées sur les interfaces de votre routeur avant que le NAT ne traduise les adresses ?
9. Dans la sortie suivante, quel type de NAT est utilisé ?

ip nat pool todd-nat 170.168.10.10 170.168.10.20 masque de réseau 255.255.255.0
10. Au lieu de la commande netmask , vous pouvez utiliser l'instruction _____________.
Je vais utiliser des routeurs de base pour ces laboratoires, mais en réalité, presque tous les routeurs Cisco fonctionneront.
En outre, vous pouvez utiliser la version LammleSim IOS pour parcourir tous les laboratoires de ce (et tous)
chapitre de ce livre.
Atelier 13.1 : Préparer le NAT
Atelier 13.2 : Configuration du NAT dynamique
Atelier 13.3 : Configuration de PAT
Je vais utiliser le réseau illustré dans le schéma suivant pour nos laboratoires pratiques. je hautement
vous recommandons de connecter certains routeurs et de parcourir ces laboratoires. Vous allez configurer NAT sur
routeur Lab_A pour traduire l'adresse IP privée de 192.168.10.0 en une adresse publique de
171.16.10.0.
Le tableau 13.3 montre les commandes que nous utiliserons et le but de chaque commande.
TABLEAU 13.3 Récapitulatif des commandes pour les travaux pratiques NAT/PAT
Commander But
ip nat dans la liste des sources acl poolname Traduit les IP qui correspondent à l'ACL vers le pool
ip nat à l'intérieur de la source statique inside_addr Mappe statiquement une adresse locale interne à une adresse externe
adresse_extérieure adresse mondiale
nom du pool ip nat Crée un pool d'adresses
ip nat à l'intérieur Définit une interface comme interface interne
ip nat dehors Définit une interface comme interface externe
afficher les traductions ip nat Affiche les traductions NAT actuelles
Atelier 13.1 : Préparer le NAT

Dans cet atelier, vous allez configurer vos routeurs avec des adresses IP et un routage RIP.
1. Configurez les routeurs avec les adresses IP répertoriées dans le tableau suivant :
Adresse IP de l'interface du routeur
FAI S0 171.16.10.1/24
Lab_A S0/2 171.16.10.2/24
Lab_A S0/0 192.168.20.1/24
Lab_B S0 192.168.20.2/24
Lab_B E0 192.168.30.1/24
Page 251
Lab_C E0 192.168.30.2/24
Après avoir configuré les adresses IP sur les routeurs, vous devriez pouvoir envoyer un ping du routeur au
routeur, mais comme nous n'avons pas de protocole de routage en cours d'exécution jusqu'à l'étape suivante, vous pouvez vérifier
uniquement d'un routeur à un autre, mais pas via le réseau tant que RIP n'est pas configuré. Vous pouvez utiliser
tout protocole de routage que vous souhaitez ; J'utilise juste RIP par souci de simplicité pour obtenir cela et
fonctionnement.
2. Sur Lab_A, configurez le routage RIP, définissez une interface passive et configurez le réseau par défaut.
Lab_A# config t
Lab_A(config)#routeur rip
Lab_A(config-router)# réseau 192.168.20.0
Lab_A(config-router)# réseau 171.16.0.0
Lab_A(config-router)# interface passive s0/2
Lab_A(config-router)# sortie
Lab_A(config)# ip default-network 171.16.10.1
La commande passive-interface empêche les mises à jour RIP d'être envoyées au FAI et à l'adresse IP.
La commande default-network annonce un réseau par défaut aux autres routeurs afin qu'ils sachent comment
pour accéder à Internet.
3. Sur Lab_B, configurez le routage RIP :
Lab_B# config t
Lab_B(config)# routeur rip
Lab_B(config-router)# réseau 192.168.30.0
Lab_B(config-router)# réseau 192.168.20.0
4. Sur Lab_C, configurez le routage RIP :
Lab_C# config t
Lab_C(config)# routeur rip
Lab_C(config-router)# réseau 192.168.30.0
5. Sur le routeur ISP, configurez une route par défaut vers le réseau d'entreprise :
FAI# config t
ISP(config)# ip route 0.0.0.0 0.0.0.0 s0
6. Configurez le routeur du FAI afin que vous puissiez utiliser un telnet dans le routeur sans être invité à saisir un
le mot de passe:
FAI# config t
FAI(config)# ligne vty 0 4
ISP(config-line)# pas de connexion
7. Vérifiez que vous pouvez effectuer une requête ping du routeur ISP vers le routeur Lab_C et depuis le routeur Lab_C
au routeur du FAI. Si vous ne pouvez pas, dépannez votre réseau.
Atelier 13.2 : Configuration du NAT dynamique

Dans cet atelier, vous allez configurer le NAT dynamique sur le routeur Lab_A.
1. Créez un pool d'adresses appelé GlobalNet sur le routeur Lab_A. La piscine doit contenir un
plage d'adresses de 171.16.10.50 à 171.16.10.55.
Lab_A(config)# ip nat pool GlobalNet 171.16.10.50 171.16.10.55

net 255.255.255.0
2. Créer une liste d'accès 1. Cette liste autorise le trafic depuis le réseau 192.168.20.0 et 192.168.30.0
à traduire.

3. Mappez la liste d'accès au pool qui a été créé.
Lab_A(config)# ip nat dans la liste des sources 1 pool GlobalNet
Page 252
4. Configurez la série 0/0 en tant qu'interface NAT interne.
Lab_A(config)# int s0/0

Lab_A(config-if)# ip nat à l'intérieur
5. Configurez la série 0/2 en tant qu'interface NAT externe.
Lab_A(config-if)# int s0/2

Lab_A(config-if)# ip nat extérieur
6. Déplacez la connexion de la console vers le routeur Lab_C. Connectez-vous au routeur Lab_C. Telnet de
le routeur Lab_C au routeur ISP.
Lab_C# telnet 171.16.10.1
7. Déplacez la connexion de la console vers le routeur Lab_B. Connectez-vous au routeur Lab_B. Telnet de
le routeur Lab_B au routeur ISP.
Lab_B# telnet 171.16.10.1
8. Exécutez la commande show users à partir du routeur ISP. (Cela montre qui accède au VTY
lignes.)
ISP# afficher les utilisateurs
une. Qu'est-ce qu'il affiche comme adresse IP source ?________________
b. Quelle est votre véritable adresse IP source ?__________________
La sortie des utilisateurs du spectacle devrait ressembler à ceci :
FAI> utilisateurs sh
0 contre 0 inactif 00:03:32
2 vty 0 inactif 00:01:33 171.16.10.50
* 3 vty 1 inactif 00:00:09 171.16.10.51
Mode utilisateur de l'interface Adresse de pair inactif
FAI>
Notez qu'il existe une traduction un à un. Cela signifie que vous devez avoir un
adresse IP réelle pour chaque hôte qui souhaite accéder à Internet, ce qui n'est généralement pas
possible.
9. Laissez la session ouverte sur le routeur ISP et connectez-vous à Lab_A. (Utilisez Ctrl+Maj+6 , relâchez,
puis appuyez sur X .)
10. Connectez-vous à votre routeur Lab_A et affichez vos traductions actuelles en entrant le show ip nat
commande de traductions . Vous devriez voir quelque chose comme ceci :
Lab_A# expédition des traductions nationales
--- 171.16.10.50 192.168.30.2 --- ---
--- 171.16.10.51 192.168.20.2 --- ---
Lab_A#
11. Si vous activez debug ip nat sur le routeur Lab_A puis ping via le routeur, vous verrez
le processus NAT réel a lieu, qui ressemblera à ceci :
00:32:47 : NAT* : s=192.168.30.2->171.16.10.50, d=171.16.10.1 [5]
00:32:47 : NAT* : s=171.16.10.1, d=171.16.10.50->192.168.30.2
Atelier 13.3 : Configuration de PAT

Dans cet atelier, vous allez configurer PAT sur le routeur Lab_A. Nous utiliserons PAT parce que nous ne voulons pas d'un
traduction un-à-un, qui utilise une seule adresse IP pour chaque utilisateur sur le réseau.
1. Sur le routeur Lab_A, supprimez la table de traduction et supprimez le pool NAT dynamique.
Page 253
Lab_A# clear ip nat traductions *

Lab_A# config t
Lab_A(config)# no ip nat pool GlobalNet 171.16.10.50
171.16.10.55 masque de réseau 255.255.255.0
Lab_A(config)# no ip nat inside source list 1 pool GlobalNet
2. Sur le routeur Lab_A, créez un pool NAT avec une adresse appelée Lammle. La piscine doit
contenir une seule adresse, 171.16.10.100. Saisissez la commande suivante :
Lab_A# config t
Lab_A(config)# ip nat pool Lammle 171.16.10.100 171.16.10.100
net 255.255.255.0
3. Créer une liste d'accès 2. Elle doit permettre aux réseaux 192.168.20.0 et 192.168.30.0 d'être
traduit.

4. Mappez la liste d'accès 2 vers le nouveau pool, permettant à PAT de se produire à l'aide de la commande de surcharge .
Lab_A(config)# ip nat inside source list 2 pool Lammle surcharge
5. Connectez-vous au routeur Lab_C et telnet au routeur ISP ; également, connectez-vous au routeur Lab_B et
telnet au routeur du FAI.
6. À partir du routeur ISP, utilisez la commande show users . La sortie devrait ressembler à ceci :
FAI> utilisateurs sh
* 0 contre 0 inactif 00:00:00
2 vty 0 inactif 00:00:39 171.16.10.100
4 vty 2 inactif 00:00:37 171.16.10.100
Mode utilisateur de l'interface Adresse de pair inactif
FAI>
7. À partir du routeur Lab_A, utilisez la commande show ip nat translations .
Lab_A# expédition des traductions nationales

TCP 171.16.10.100:11001 192.168.20.2:11001 171.16.10.1:23
171.16.10.1:23
TCP 171.16.10.100:11002 192.168.30.2:11002 171.16.10.1:23
171.16.10.1:23
8. Assurez-vous également que la commande debug ip nat est activée pour le routeur Lab_A. Si vous ping depuis le
Routeur Lab_C vers le routeur ISP, la sortie ressemblera à ceci :
01:12:36 : NAT : s=192.168.30.2->171.16.10.100, d=171.16.10.1 [35]

01:12:36 : NAT* : s=171.16.10.1, d=171.16.10.100->192.168.30.2 [35]
01:12:36 : NAT* : s=192.168.30.2->171.16.10.100, d=171.16.10.1 [36]
01:12:36 : NAT* : s=171.16.10.1, d=171.16.10.100->192.168.30.2 [36]
01:12:36 : NAT* : s=192.168.30.2->171.16.10.100, d=171.16.10.1 [37]
01:12:36 : NAT* : s=171.16.10.1, d=171.16.10.100->192.168.30.2 [37]
01:12:36 : NAT* : s=192.168.30.2->171.16.10.100, d=171.16.10.1 [38]
01:12:36 : NAT* : s=171.16.10.1, d=171.16.10.100->192.168.30.2 [38]
01:12:37 : NAT* : s=192.168.30.2->171.16.10.100, d=171.16.10.1 [39]
01:12:37 : NAT* : s=171.16.10.1, d=171.16.10.100->192.168.30.2 [39]
Page 254
1. Parmi les éléments suivants, quels sont les inconvénients de l'utilisation du NAT ? (Choisissez trois.)
A. La traduction introduit des retards de chemin de commutation.

B. NAT conserve les adresses enregistrées légalement.
C. Le NAT entraîne la perte de la traçabilité IP de bout en bout.
D. NAT augmente la flexibilité lors de la connexion à Internet.
E. Certaines applications ne fonctionneront pas avec NAT activé.
F. NAT réduit l'occurrence de chevauchement d'adresses.
2. Parmi les avantages suivants, lesquels présentent l'utilisation du NAT ? (Choisissez trois.)
A. La traduction introduit des retards de chemin de commutation.
B. NAT conserve les adresses enregistrées légalement.
C. Le NAT entraîne la perte de la traçabilité IP de bout en bout.
D. NAT augmente la flexibilité lors de la connexion à Internet.
E. Certaines applications ne fonctionneront pas avec NAT activé.
F. Les remèdes NAT traitent l'occurrence de chevauchement.
3. Quelle commande vous permettra de voir les traductions en temps réel sur votre routeur ?
A. afficher les traductions ip nat
B. afficher les statistiques ip nat
C. déboguer ip nat
D. clear ip nat traductions *
4. Quelle commande vous montrera toutes les traductions actives sur votre routeur ?
C. déboguer ip nat
5. Quelle commande effacera toutes les traductions actives sur votre routeur ?
C. déboguer ip nat
6. Quelle commande vous montrera le résumé de la configuration NAT ?
C. déboguer ip nat
7. Quelle commande créera un pool dynamique nommé Todd qui vous fournira 30 global
adresses ?
A. ip nat pool Todd 171.16.10.65 171.16.10.94 net 255.255.255.240
B. ip nat pool Todd 171.16.10.65 171.16.10.94 net 255.255.255.224
C. ip nat pool todd 171.16.10.65 171.16.10.94 net 255.255.255.224
D. ip nat pool Todd 171.16.10.1 171.16.10.254 net 255.255.255.0
Page 255
8. Parmi les méthodes suivantes, lesquelles sont des méthodes de NAT ? (Choisissez trois.)
A. Statique
B. Pool NAT IP
C. Dynamique
D. NAT double traduction
E. Surcharge
9. Lors de la création d'un pool d'adresses globales, laquelle des adresses suivantes peut être utilisée à la place de
commande de masque de réseau ?
A. / (notation barre oblique)
B. longueur du préfixe
C. pas de masque
D. taille de bloc
10. Lequel des éléments suivants serait un bon point de départ pour le dépannage si votre routeur n'est pas
Traduction en cours?
A. Redémarrez.
B. Appelez Cisco.
C. Vérifiez vos interfaces pour la configuration correcte.

D. Exécutez la commande debug all .
11. Parmi les propositions suivantes, lesquelles seraient de bonnes raisons d'exécuter NAT ? (Choisissez trois.)
A. Vous devez vous connecter à Internet et vos hôtes n'ont pas d'IP unique au monde
adresses.
B. Vous changez pour un nouveau FAI qui vous oblige à renuméroter votre réseau.
C. Vous ne voulez pas qu'aucun hôte se connecte à Internet.
D. Vous avez besoin de deux intranets avec des adresses en double pour fusionner.
12. Laquelle des adresses suivantes est considérée comme l'adresse de l'hôte interne après traduction ?
A. À l'intérieur du local
B. En dehors des locaux
C. À l'intérieur du monde
D. En dehors du monde
13. Laquelle des adresses suivantes est considérée comme l'adresse de l'hôte interne avant la traduction ?
A. À l'intérieur du local
B. En dehors des locaux
C. À l'intérieur du monde
D. En dehors du monde
14. En examinant la sortie suivante, déterminez laquelle des commandes suivantes permettrait
traductions dynamiques ?
Routeur# show ip nat trans

--- 1.1.128.1 10.1.1.1 --- ---
--- 1.1.130.178 10.1.1.2 --- ---
--- 1.1.129.174 10.1.1.10 --- ---
--- 1.1.130.101 10.1.1.89 --- ---
--- 1.1.134.169 10.1.1.100 --- ---
--- 1.1.135.174 10.1.1.200 --- ---
Page 256
A. ip nat inside source pool todd 1.1.128.1 1.1.135.254 prefix-length 19
B. ip nat pool todd 1.1.128.1 1.1.135.254 préfixe-longueur 19
C. ip nat pool todd 1.1.128.1 1.1.135.254 préfixe-longueur 18
D. ip nat pool todd 1.1.128.1 1.1.135.254 préfixe-longueur 21
15. Vos locaux internes ne sont pas traduits vers les adresses globales internes. Lequel de
les commandes suivantes vous montreront si vos globals internes sont autorisés à utiliser le pool NAT ?
ip nat dans la liste des sources 100 int s0/0 surcharge Corp
A. déboguer ip nat
B. afficher la liste d'accès
C. afficher la traduction ip nat
D. afficher les statistiques ip nat
16. Quelle commande placeriez-vous sur l'interface d'un réseau privé ?
A. ip nat à l'intérieur
B. ip nat à l'extérieur
C. ip en dehors du monde
D. ip à l'intérieur du local
17. Quelle commande placeriez-vous sur une interface connectée à Internet ?
A. ip nat à l'intérieur
B. ip nat à l'extérieur
C. ip en dehors du monde
D. ip à l'intérieur du local
18. La traduction d'adresse de port s'appelle aussi quoi ?
A. NAT rapide
B. NAT statique
C. Surcharge NAT
D. Surcharge statique
19. Que représente l'astérisque (*) dans le résultat suivant ?
NAT* : s=172.16.2.2, d=192.168.2.1->10.1.1.1 [1]
A. Le paquet était destiné à une interface locale sur le routeur.
B. Le paquet a été traduit et commuté rapidement vers la destination.

C. Le paquet a tenté d'être traduit mais a échoué.
D. Le paquet a été traduit mais il n'y a eu aucune réponse de l'hôte distant.
20. Lequel des éléments suivants doit être ajouté à la configuration pour activer PAT ?

A. piscine ip nat à l'intérieur de la surcharge
B. ip nat inside source list 1 pool Corp surcharge
C. ip nat pool extérieur surcharge
D. ip nat pool Corp 198.41.129 net 255.255.255.0 surcharge
Page 257
Chapitre 14
Protocole Internet version 6 (IPv6)

CE CHAPITRE:
1.11 Identifier le schéma d'adressage IPv6 approprié pour satisfaire l'adressage
exigences dans un environnement LAN/WAN
1.12 Configurer, vérifier et dépanner l'adressage IPv6
1.13 Configurer et vérifier la configuration automatique de l'adresse sans état IPv6
1.14 Comparer et contraster les types d'adresses IPv6
1.14.a Monodiffusion mondiale
1.14.b Local unique
1.14.c Lien local
1.14.d Multidiffusion
1.14.e IUE modifiée 64
1.14.f Autoconfiguration
1.14.g Anycast
3.6 Configurer, vérifier et dépanner le routage statique IPv4 et IPv6
3.6.a Route par défaut
Nous avons couvert beaucoup de terrain dans ce livre, et bien que le

le voyage a parfois été difficile, ça en valait la peine! Mais notre expédition de réseautage n'est pas tout à fait
car nous avons encore la frontière extrêmement importante d'IPv6 à explorer. il y en a encore
vaste territoire à couvrir avec ce nouveau sujet d'envergure, alors préparez-vous et préparez-vous à découvrir
tout ce que vous devez savoir sur IPv6. Comprendre IPv6 est vital maintenant, donc vous serez bien meilleur
équipé et préparé pour relever les défis de mise en réseau du monde réel d'aujourd'hui ainsi que pour réussir le
examen. Ce dernier chapitre regorge de toutes les informations IPv6 dont vous aurez besoin pour
terminez votre parcours d'examen Cisco avec succès, alors soyez excité, nous sommes dans la dernière ligne droite !
Je n'ai probablement pas besoin de le dire, mais je le ferai quand même parce que je veux vraiment tenir la distance et
faire tout ce que je peux pour m'assurer que vous arrivez et réalisez. . . Vous devez absolument avoir une solide
tenez sur IPv4 pour le moment, mais si vous n'êtes toujours pas à l'aise avec lui, ou si vous pensez que vous pourriez utiliser une mise à jour,
il suffit de revenir aux chapitres sur TCP/IP et le sous-réseau. Et si vous n'êtes pas clair sur le
résoudre les problèmes inhérents à IPv4, vous devez vraiment revoir le chapitre 13, « Adresse réseau
Page 258
Translation (NAT)”, avant de décamper pour la poussée du sommet IPv6 de ce chapitre !
Les gens se réfèrent à IPv6 comme « le protocole Internet de nouvelle génération », et il a été créé à l'origine comme
la solution à l'inévitable et imminente crise d'épuisement des adresses d'IPv4. Bien que vous ayez
probablement déjà entendu une chose ou deux sur IPv6, il a été encore amélioré dans la quête
pour nous apporter la flexibilité, l'efficacité, la capacité et les fonctionnalités optimisées qui peuvent efficacement
satisfaire la soif apparemment insatiable de notre monde pour les technologies en constante évolution et l'augmentation
accès. La capacité de son prédécesseur, IPv4, est pâle et fantomatique en comparaison, c'est pourquoi
IPv4 est destiné à s'effacer complètement dans l'histoire, laissant la place à IPv6 et à l'avenir.
La structure d'en-tête et d'adresse IPv6 a été complètement remaniée, et de nombreux

les fonctionnalités qui étaient essentiellement des réflexions après coup et des addenda dans IPv4 sont maintenant incluses en tant que full-
normes soufflées dans IPv6. Il est puissant, bien équipé avec des fonctionnalités robustes et élégantes,
prêt et prêt à gérer les demandes époustouflantes de l'Internet à venir !
Après une introduction comme celle-là, je comprends si vous avez un peu d'appréhension, mais je vous promets—vraiment
— pour que ce chapitre et son sujet VIP soient assez indolores pour vous. En fait, vous pourriez même trouver
vous l'appréciez vraiment - je l'ai certainement fait ! Parce qu'IPv6 est si complexe, tout en étant si
élégant, innovant et puissant, il me fascine comme une étrange combinaison d'un nouveau style élégant
Aston Martin et un roman futuriste captivant. J'espère que vous vivrez ce chapitre comme un
super balade et j'ai autant de plaisir à le lire que j'en ai eu à l'écrire !
Pourquoi avons-nous besoin d'IPv6 ?

Eh bien, la réponse courte est parce que nous devons communiquer et que notre système actuel n'est pas vraiment
le couper plus. C'est un peu comme si le Pony Express essayait de rivaliser avec la poste aérienne ! Envisager
combien de temps et d'efforts nous investissons depuis des années pendant que nous nous grattons la tête pour
trouver avec ingéniosité de nouvelles façons astucieuses de conserver la bande passante et les adresses IP. Sûr,
les masques de sous-réseau de longueur variable (VLSM) sont merveilleux et cool, mais ils ne sont vraiment qu'un autre
invention pour nous aider à faire face alors que nous luttons désespérément pour surmonter l'aggravation de l'adresse
la sécheresse.
Je n'exagère pas du tout sur la gravité des choses, car c'est simplement la réalité. Les
le nombre de personnes et d'appareils qui se connectent aux réseaux augmente considérablement chaque fois
jour, ce qui n'est pas une mauvaise chose. Nous trouvons simplement de nouvelles façons passionnantes de communiquer avec plus
les gens, plus souvent, ce qui est une bonne chose. Et il est peu probable que cela disparaisse ou même diminue dans le
petit peu, parce que communiquer et établir des liens sont, en fait, des besoins humains fondamentaux—
ils sont dans notre nature même. Mais avec notre nombre augmentant avec la marée montante de personnes
rejoindre le groupe des communications augmente également, les prévisions pour notre système actuel ne sont pas
un ciel parfaitement dégagé et une navigation fluide. IPv4, sur lequel notre capacité à faire toute cette connexion et
la communication est actuellement dépendante, est rapidement à court d'adresses à utiliser.
IPv4 n'a qu'environ 4,3 milliards d'adresses disponibles—en théorie—et nous savons que nous ne
utiliser la plupart d'entre eux ! Bien sûr, l'utilisation du routage interdomaine sans classe (CIDR) et du réseau
La traduction d'adresses (NAT) a contribué à étendre la pénurie inévitable d'adresses, mais nous allons
toujours à court d'eux, et cela va se produire dans quelques années. La Chine est à peine en ligne, et nous
Je sais qu'il y a une énorme population de personnes et d'entreprises là-bas qui veulent sûrement être. Là
sont une myriade de rapports qui nous donnent toutes sortes de chiffres, mais tout ce à quoi vous devez vraiment penser pour
réaliser que je ne suis pas seulement un alarmiste c'est ça : il y a environ 7 milliards de personnes dans le monde
aujourd'hui, et on estime que seulement un peu plus de 10 % de cette population est actuellement connectée
à Internet, waouh !
Cette statistique nous crie la triste vérité selon laquelle, sur la base de la capacité d'IPv4, chaque
Page 259
personne ne peut même pas avoir d'ordinateur, encore moins tous les autres appareils IP que nous utilisons avec eux ! j'ai
plus d'un ordinateur, et il est fort probable que vous en fassiez aussi, et je n'inclus même pas
téléphones, ordinateurs portables, consoles de jeux, télécopieurs, routeurs, commutateurs et un filon mère d'autres
appareils que nous utilisons tous les jours dans le mix ! Donc je pense avoir dit assez clairement que nous devons faire
quelque chose avant de manquer d'adresses et de perdre la possibilité de nous connecter les uns aux autres lorsque nous
sachez le. Et ce « quelque chose » se trouve être la mise en œuvre d'IPv6.
Les avantages et les utilisations d'IPv6

Alors, qu'y a-t-il de si fabuleux à propos d'IPv6 ? Est-ce vraiment la réponse à notre dilemme à venir ? Est ce que c'est vraiment
vaut-il la peine de passer d'IPv4 ? Toutes les bonnes questions, vous pouvez même penser à quelques autres. De
bien sûr, il va y avoir ce groupe de personnes avec la « résistance au changement éprouvée par le temps
syndrome », mais ne les écoutez pas. Si nous avions fait ça il y a des années, nous attendrions encore des semaines,
même des mois pour que notre courrier arrive à cheval. Au lieu de cela, sachez simplement que la réponse est un
oui retentissant , c'est vraiment la réponse, et ça vaut le coup d'être amélioré ! Non seulement IPv6 nous donne
beaucoup d'adresses (3,4 × 10 3 8 = certainement assez), il y a des tonnes d'autres fonctionnalités intégrées dans ce
version qui valent bien le coût, le temps et les efforts nécessaires pour migrer vers elle.
Les réseaux d'aujourd'hui, ainsi qu'Internet, ont une tonne d'exigences imprévues qui
n'étaient même pas pris en compte lors de la création d'IPv4. Nous avons essayé de compenser avec une collection
de modules
étaient complémentaires
exigés par une norme. qui
Par peuvent en fait
défaut, IPv6 rendre
s'est leur mise
amélioré en œuvre
et a inclus bon plus difficile
nombre de cesqu'ils ne le seraient s'ils
fonctionnalités en standard et obligatoires. L'une de ces nouvelles normes intéressantes est IPsec, une fonctionnalité qui
offre une sécurité de bout en bout.
Mais ce sont les fonctionnalités d'efficacité qui vont vraiment faire vibrer la maison ! Pour commencer, les en-têtes de
un paquet IPv6 a la moitié des champs, et ils sont alignés sur 64 bits, ce qui nous en donne sérieusement
vitesse de traitement augmentée. Par rapport à IPv4, les recherches se font à la vitesse de la lumière ! La plupart
les informations qui étaient auparavant liées à l'en-tête IPv4 ont été supprimées et vous pouvez désormais choisir
pour le remettre, ou des parties de celui-ci, dans l'en-tête sous la forme d'en-têtes d'extension optionnels qui suivent
les champs d'en-tête de base.
Et bien sûr, il y a ce tout nouvel univers d'adresses—le 3,4 × 10 3 8 que je viens de mentionner—
mais où les avons-nous eus ? Est-ce qu'un génie est arrivé tout à coup et les a fait comme par magie
apparaître? Cette énorme prolifération d'adresses devait venir de quelque part ! Eh bien c'est juste ainsi
Il se trouve qu'IPv6 nous donne un espace d'adressage considérablement plus grand, ce qui signifie que l'adresse elle-même est un
beaucoup plus gros, quatre fois plus gros en fait ! Une adresse IPv6 est en fait 128 bits dans
longueur, et pas de soucis, je vais décomposer l'adresse morceau par morceau et vous montrer exactement
à quoi cela ressemble à venir dans la section « Adressage et expressions IPv6 ». Pour l'instant, laisse-moi
dites simplement que tout cet espace supplémentaire permet plus de niveaux de hiérarchie à l'intérieur de l'espace d'adressage
et une architecture d'adressage plus flexible. Cela rend également le routage beaucoup plus efficace et
évolutif car les adresses peuvent être agrégées beaucoup plus efficacement. Et IPv6 permet également
plusieurs adresses pour les hôtes et les réseaux. Ceci est particulièrement important pour les entreprises véritablement
bave pour un accès et une disponibilité améliorés. De plus, la nouvelle version d'IP inclut désormais un
utilisation étendue de la communication multidiffusion — un appareil envoyant à de nombreux hôtes ou à une sélection
groupe—qui se joint pour augmenter sérieusement l'efficacité sur les réseaux parce que les communications seront
plus spécifique.
IPv4 utilise les diffusions assez prolifiquement, causant un tas de problèmes, dont le pire est de
bien sûr la redoutable tempête de diffusion. C'est ce déluge incontrôlé de diffusion transmise
trafic qui peut mettre tout un réseau à genoux et dévorer la moindre bande passante !
Une autre chose désagréable à propos du trafic de diffusion est qu'il interrompt chaque appareil sur le
réseau. Lorsqu'une diffusion est envoyée, chaque machine doit arrêter ce qu'elle fait et répondre à
le trafic, que la diffusion le concerne ou non.
Mais souriez assurément, tout le monde. La diffusion en IPv6 n'existe pas car elle utilise
trafic de multidiffusion à la place. Et il existe également deux autres types de communications : la monodiffusion, qui
est le même que dans IPv4, et un nouveau type appelé anycast . La communication Anycast permet
Page 260
la même adresse doit être placée sur plus d'un appareil de sorte que lorsque le trafic est envoyé à l'appareil
service adressé de cette manière, il est acheminé vers l'hôte le plus proche qui partage la même adresse. Et
ce n'est que le début - nous aborderons les différents types de communication plus loin dans la section
appelé « Types d'adresses ».
Adressage et expressions IPv6

Tout comme il est essentiel de comprendre comment les adresses IP sont structurées et utilisées avec l'adressage IPv4,
c'est également vital lorsqu'il s'agit d'IPv6. Vous avez déjà lu qu'à 128 bits, un IPv6
est beaucoup plus grande qu'une adresse IPv4. Pour cette raison, ainsi que les nouvelles façons dont
peuvent être utilisées, vous avez probablement deviné qu'IPv6 sera plus compliqué à gérer.
Mais pas de soucis ! Comme je l'ai dit, je vais détailler les bases et vous montrer à quoi ressemble l'adresse et
comment vous pouvez l'écrire ainsi que bon nombre de ses utilisations courantes. Ça va être un peu bizarre au début, mais
avant de le savoir, vous l'aurez cloué!
Jetons donc un œil à la figure 14.1 , qui présente un exemple d'adresse IPv6 décomposée en sections.
FIGURE 14.1 Exemple d'adresse IPv6
Comme vous pouvez le voir clairement, l'adresse est certainement beaucoup plus grande. Mais quoi d'autre est différent? Bien,
tout d'abord, notez qu'il a huit groupes de nombres au lieu de quatre et aussi que ces groupes sont
séparés par des deux points au lieu de points. Et hé, attendez une seconde. . . il y a des lettres dedans
adresse! Oui, l'adresse est exprimée en hexadécimal tout comme une adresse MAC, vous pouvez donc
disons que cette adresse a huit blocs hexadécimaux de 16 bits délimités par deux points. C'est déjà pas mal
bouchée, et vous n'avez probablement même pas encore essayé de dire l'adresse à voix haute !
Il y a quatre caractères hexadécimaux (16 bits) dans chaque champ IPv6 (avec huit
champs total), séparés par des deux-points.

Expression raccourcie
La bonne nouvelle est qu'il existe quelques astuces pour nous aider à nous sauver lors de la rédaction de ces adresses de monstres.
D'une part, vous pouvez en fait omettre des parties de l'adresse pour l'abréger, mais pour vous échapper
ce faisant, vous devez suivre quelques règles. Tout d'abord, vous pouvez supprimer tous les zéros non significatifs dans chaque
des blocs individuels. Après cela, l'exemple d'adresse de plus tôt ressemblerait alors à
cette:
2001:db8:3c4d:12:0:0:1234:56ab
C'est une nette amélioration - au moins nous n'avons pas à écrire tous ces zéros supplémentaires ! Mais quoi
sur des blocs entiers qui ne contiennent rien d'autre que des zéros ? Eh bien, nous pouvons en quelque sorte perdre
ceux-là aussi, du moins certains d'entre eux. En se référant à nouveau à notre exemple d'adresse, nous pouvons supprimer les deux
blocs consécutifs de zéros en les remplaçant par un double deux-points, comme ceci :
2001:db8:3c4d:12::1234:56ab
Page 261
Cool—nous avons remplacé les blocs de tous les zéros par un double deux-points. La règle à suivre pour obtenir
loin de cela, c'est que vous ne pouvez remplacer qu'un seul bloc contigu de ces zéros dans une adresse. Donc si
mon adresse a quatre blocs de zéros et chacun d'eux a été séparé, je ne peux tout simplement pas remplacer
tous parce que je ne peux remplacer qu'un seul bloc contigu par un double deux-points. Regarde ça
Exemple:
2001:0000:0000:0012:0000:0000:1234:56ab
Et sache juste que tu ne peux pas faire ça :
2001::12::1234:56ab
Au lieu de cela, le mieux que vous puissiez faire est ceci :
2001::12:0:0:1234:56ab
La raison pour laquelle l'exemple précédent est notre meilleur coup est que si nous supprimons deux séries de zéros, le
appareil regardant l'adresse n'aura aucun moyen de savoir où les zéros retournent. Fondamentalement,
le routeur examinerait l'adresse incorrecte et dirait : « Eh bien, est-ce que je place deux blocs dans le premier ?
ensemble de deux-points doublés et deux dans le deuxième ensemble, ou dois-je placer trois blocs dans le premier ensemble et
un bloc dans le deuxième set ? » Et ainsi de suite, car les informations du routeur
besoins n'est tout simplement pas là.
Types d'adresses
Nous connaissons tous les adresses de monodiffusion, de diffusion et de multidiffusion d'IPv4 qui définissent essentiellement
à qui ou au moins à combien d'autres appareils nous parlons. Mais comme je l'ai mentionné, IPv6 modifie cela
trio et présente l'anycast. Les diffusions, telles que nous les connaissons, ont été supprimées en IPv6
à cause de leur inefficacité encombrante et de leur tendance fondamentale à nous rendre fous !
Voyons donc à quoi servent chacun de ces types d'adressage IPv6 et de méthodes de communication
nous:
Les paquets monodiffusion adressés à une adresse monodiffusion sont livrés à une seule interface. Pour charge
l'équilibrage, plusieurs interfaces sur plusieurs appareils peuvent utiliser la même adresse, mais nous l'appellerons
une adresse anycast. Il existe différents types d'adresses unicast, mais nous n'avons pas besoin d'obtenir
plus loin dans cela ici.
Adresses de monodiffusion globales (2000 : :/3) Ce sont vos adresses routables publiques typiques et
ce sont les mêmes que dans IPv4. Les adresses globales commencent à 2000::/3. La figure 14.2 montre comment une monodiffusion
l'adresse tombe en panne. Le FAI peut vous fournir un identifiant de réseau minimum /48, qui à son tour
vous fournit 16 bits pour créer une adresse d'interface de routeur 64 bits unique. Les derniers 64 bits sont les
ID d'hôte unique.
FIGURE 14.2 Adresses de monodiffusion globales IPv6
Adresses lien-local (FE80::/10) Ce sont comme l'adresse IP privée automatique (APIPA)

adresses que Microsoft utilise pour fournir automatiquement des adresses dans IPv4 dans la mesure où elles ne sont pas
destiné à être acheminé. Dans IPv6, ils commencent par FE80::/10, comme illustré à la Figure 14.3 . Pensez à ces
adresses comme des outils pratiques qui vous donnent la possibilité de créer un réseau local temporaire pour
réunions ou créer un petit réseau local qui ne sera pas routé mais qui doit toujours être partagé et accessible
Page 262
fichiers et services localement.
FIGURE 14.3 Liaison IPv6 locale FE80::/10 : Les 10 premiers bits définissent le type d'adresse.
Adresses locales uniques (FC00::/7) Ces adresses sont également destinées au non-routage
sur Internet, mais ils sont presque uniques au monde, il est donc peu probable que vous ayez jamais
l'un d'eux se chevauche. Les adresses locales uniques ont été conçues pour remplacer les adresses locales du site.
ils font pratiquement exactement ce que font les adresses privées IPv4 : autoriser la communication
sur un site tout en étant routable vers plusieurs réseaux locaux. Les adresses locales du site ont été
obsolète depuis septembre 2004.
Multicast (FF00::/8) Encore une fois, comme dans IPv4, les paquets adressés à une adresse multicast sont livrés
à toutes les interfaces réglées sur l'adresse de multidiffusion. Parfois, les gens les appellent "un-à-plusieurs"
adresses. Il est très facile de repérer une adresse multicast en IPv6 car elle commence toujours par FF .
Nous approfondirons le fonctionnement de la multidiffusion à venir, dans « Comment IPv6 fonctionne dans un interréseau ».
Anycast Comme les adresses multicast, une adresse anycast identifie plusieurs interfaces sur plusieurs
dispositifs. Mais il y a une grande différence : le paquet anycast est livré à un seul appareil—en fait,
au plus proche qu'il trouve défini en termes de distance de routage. Et encore, cette adresse est spéciale
car vous pouvez appliquer une seule adresse à plusieurs hôtes. Ceux-ci sont appelés « un-à-
adresses les plus proches. Les adresses Anycast ne sont généralement configurées que sur les routeurs, jamais sur les hôtes, et
une adresse source ne peut jamais être une adresse anycast. Il est à noter que l'IETF a réservé le top
128 adresses pour chaque /64 à utiliser avec les adresses anycast.
Vous vous demandez probablement s'il existe des adresses spéciales et réservées dans IPv6, car vous
savent qu'ils sont là dans IPv4. Eh bien, il y en a beaucoup ! Passons en revue ces maintenant.
Adresses spéciales
Je vais énumérer certaines des adresses et plages d'adresses (dans le tableau 14.1 ) que vous devriez
assurez-vous certainement de vous en souvenir car vous finirez par les utiliser. Ils sont tous spéciaux ou
réservé à un usage spécifique, mais contrairement à IPv4, IPv6 nous offre une galaxie d'adresses, réservant ainsi une
peu ici et là ne fait pas mal du tout !
TABLEAU 14.1 Adresses IPv6 spéciales
Adresse Sens
0:0:0:0:0:0:0:0 Équivaut à ::. C'est l'équivalent d'IPv4 0.0.0.0 et est généralement

l'adresse source d'un hôte avant que l'hôte ne reçoive une adresse IP
lorsque vous utilisez une configuration avec état pilotée par DHCP.
0:0:0:0:0:0:0:1 Égal à : :1. L'équivalent de 127.0.0.1 en IPv4.
0:0:0:0:0:0:192.168.100.1 Voici comment une adresse IPv4 serait écrite dans un

Environnement réseau IPv6/IPv4.
2000 ::/3 La plage d'adresses de monodiffusion globale.
FC00::/7 La gamme unique de monodiffusion locale.
FE80 ::/10 La plage de monodiffusion lien-local.
Page 263
FF00::/8 La gamme multidiffusion.

3FFF:FFFF ::/32 Réservé aux exemples et à la documentation.
2001:0DB8::/32 Également réservé aux exemples et à la documentation.
2002 : :/16 Utilisé avec le tunneling 6 à 4, qui est une transition IPv4 à IPv6
système. La structure permet aux paquets IPv6 d'être transmis sur
un réseau IPv4 sans avoir besoin de configurer des tunnels explicites.
Lorsque vous exécutez IPv4 et IPv6 sur un routeur, vous obtenez ce qu'on appelle « double pile ».
Laissez-moi vous montrer comment IPv6 fonctionne réellement dans un interréseau. Nous savons tous comment fonctionne IPv4, alors
voyons les nouveautés !
Comment IPv6 fonctionne dans un interréseau

Il est temps d'explorer les subtilités d'IPv6. Un bon point de départ est de vous montrer comment
adresse un hôte et ce qui lui donne la possibilité de trouver d'autres hôtes et ressources sur un réseau.
Je vais également démontrer la capacité d'un appareil à s'adresser automatiquement, ce qu'on appelle l'état sans état
autoconfiguration—plus un autre type d'autoconfiguration connu sous le nom d'état. Garde en tête que
la configuration automatique avec état utilise un serveur DHCP d'une manière très similaire à la façon dont il est utilisé dans un IPv4
configuration. Je vais également vous montrer comment Internet Control Message Protocol (ICMP) et
la multidiffusion fonctionne pour nous dans un environnement réseau IPv6.
Attribution d'adresse manuelle

Afin d'activer IPv6 sur un routeur, vous devez utiliser la configuration globale ipv6 unicast-routing
commander:
Corp(config)# ipv6 monodiffusion-routage
Par défaut, le transfert de trafic IPv6 est désactivé, donc l'utilisation de cette commande l'active. Aussi, comme vous l'avez
probablement deviné, IPv6 n'est activé par défaut sur aucune interface non plus, nous devons donc aller à chaque
interface individuellement et activez-la.
Il y a plusieurs façons de le faire, mais un moyen très simple consiste simplement à ajouter une adresse au
interface. Vous utilisez la commande de configuration d'interface ipv6 address <ipv6prefix>/<prefix-length>
[eui-64] pour y parvenir.
Voici un exemple :
Corp(config-if)# adresse ipv6 2001:db8:3c4d:1:0260:d6FF.FE73:1987/64
Vous pouvez spécifier l'intégralité de l'adresse IPv6 globale 128 bits comme je viens de le démontrer avec le précédent
commande, ou vous pouvez utiliser l'option EUI-64. N'oubliez pas que l'EUI-64 (extension unique
identifiant) permet à l'appareil d'utiliser son adresse MAC et de la remplir pour créer l'ID d'interface.
Vérifiez-le:
Corp(config-if)# adresse ipv6 2001:db8:3c4d:1::/64 eui-64
Au lieu de saisir une adresse IPv6 sur un routeur, vous pouvez activer l'interface à la place pour
permettre l'application d'une adresse lien-local automatique.
Pour configurer un routeur afin qu'il utilise uniquement des adresses lien-local, utilisez l' interface d' activation ipv6
commande de configuration :
Corp(config-if)# ipv6 activer
Page 264
N'oubliez pas que si vous n'avez qu'une adresse link-local, vous pourrez
communiquer uniquement sur ce sous-réseau local.
Configuration automatique sans état (eui-64)

La configuration automatique est une solution particulièrement utile car elle permet aux périphériques d'un réseau de
s'adressent avec une adresse unicast lien-local ainsi qu'avec une adresse unicast globale. Cette
processus se produit en apprenant d'abord les informations de préfixe du routeur, puis
en ajoutant la propre adresse d'interface de l'appareil comme ID d'interface. Mais d'où vient-il ça
identifiant d'interface ? Eh bien, vous savez que chaque appareil sur un réseau Ethernet a une adresse MAC physique,
qui est exactement ce qui est utilisé pour l'ID d'interface. Mais puisque l'ID d'interface dans une adresse IPv6 est
64 bits de long et une adresse MAC n'est que de 48 bits, d'où viennent les 16 bits supplémentaires ? Les
L'adresse MAC est remplie au milieu avec les bits supplémentaires - elle est remplie avec FFFE.
Par exemple, disons que j'ai un appareil avec une adresse MAC qui ressemble à ceci : 0060:d673:1987.
Après avoir été rembourré, cela ressemblerait à ceci : 0260:d6FF:FE73:1987. La figure 14.4 illustre ce
ressemble à une adresse EUI-64.
FIGURE 14.4 Affectation de l'ID de l'interface EUI-64

D'où vient ce 2 au début de l'adresse ? Encore une bonne question. Tu vois
cette partie du processus de remplissage, appelée format EUI-64 modifié, change un peu pour spécifier si le
l'adresse est unique localement ou globalement unique. Et le bit qui est modifié est le 7ème bit dans le
adresse.
La raison de la modification du bit U/L est que, lors de l'utilisation d'adresses attribuées manuellement sur un
interface, cela signifie que vous pouvez simplement attribuer l'adresse 2001:db8:1:9::1/64 au lieu de beaucoup
plus long 2001:db8:1:9:0200::1/64. De plus, si vous allez attribuer manuellement une adresse lien-local,
vous pouvez attribuer l'adresse courte fe80::1 au lieu de la longue fe80::0200:0:0:1 ou
fe80:0:0:0:0200::1. Ainsi, même si à première vue, il semble que l'IETF a rendu cela plus difficile pour vous de
comprendre simplement l'adressage IPv6 en retournant le 7ème bit, en réalité cela a rendu l'adressage beaucoup plus
plus simple. De plus, comme la plupart des gens ne remplacent généralement pas l'adresse gravée, le bit U/L est un
0, ce qui signifie que vous verrez cela inversé en 1 la plupart du temps. Mais parce que tu étudies
les objectifs de l'examen Cisco, vous devrez envisager de l'inverser dans les deux sens.
Voici quelques exemples:
Adresse MAC 0 0 90:2716:fd0f
Adresse IPv6 EUI-64 : 2001:0db8:0:1:0 2 90:27ff:fe16:fd0f
Page 265
Celui-là était facile ! Trop facile pour l'examen Cisco, alors faisons-en un autre :
Adresse MAC a a 12:bcbc:1234
Adresse IPv6 EUI-64 : 2001:0db8:0:1:a 8 12:bcff:febc:1234
101010 1 0 représente les 8 premiers bits de l'adresse MAC (aa), qui lors de l'inversion du 7ème bit
devient 101010 0 0. La réponse devient A8. Je ne peux pas vous dire à quel point c'est important pour vous de
comprenez, alors supportez-moi et travaillez-en encore quelques-uns !
Adresse MAC 0 c 0c:dede:1234
Adresse IPv6 EUI-64 : 2001:0db8:0:1:0 et 0c:deff:fede:1234
0c est 00001100 dans les 8 premiers bits de l'adresse MAC, qui devient alors 00001110 lorsque
renversant le 7ème bit. La réponse est alors 0e. Pratiquons-en un de plus :
Adresse MAC 0 b 34: BA12: 1234
Adresse IPv6 EUI-64 : 2001:0db8:0:1:0 9 34:baff:fe12:1234
0b en binaire est 000010 1 1, les 8 premiers bits de l'adresse MAC, qui devient alors
000010 0 1. La réponse est 09.
Portez une attention particulière à cette affectation d'adresse EUI-64 et soyez en mesure de
convertissez le 7ème bit basé sur les règles EUI-64 ! Le laboratoire écrit 14.2 vous aidera à vous entraîner.
Pour effectuer la configuration automatique, un hôte passe par un processus de base en deux étapes :
1. Tout d'abord, l'hôte a besoin des informations de préfixe, similaires à la partie réseau d'un IPv4
adresse, pour configurer son interface, afin qu'il envoie une requête de sollicitation de routeur (RS) pour elle. Cette RS
est ensuite envoyé en multidiffusion à tous les routeurs (FF02::2). L'information réelle envoyée est un
type de message ICMP, et comme tout dans le réseau, ce message ICMP a un numéro
qui l'identifie. Le message RS est de type ICMP 133.
2. Le routeur répond avec les informations de préfixe requises via une annonce de routeur
(RA). Un message RA se trouve également être un paquet de multidiffusion qui est envoyé à tous les nœuds
adresse multicast (FF02::1) et est de type ICMP 134. Les messages RA sont envoyés périodiquement,
mais l'hôte envoie le RS pour une réponse immédiate afin qu'il n'ait pas à attendre le prochain
RA programmée pour obtenir ce dont elle a besoin.
Ces deux étapes sont illustrées à la figure 14.5 .
FIGURE 14.5 Deux étapes pour la configuration automatique d'IPv6
Soit dit en passant, ce type d'autoconfiguration est également connu sous le nom d'autoconfiguration sans état car il
ne contacte ni ne se connecte à et ne reçoit aucune autre information de l'autre appareil. Bien
Page 266
passer à la configuration avec état lorsque nous parlerons ensuite de DHCPv6.
Mais avant cela, jetez d'abord un coup d'œil à la figure 14.6 . Dans cette figure, le routeur Branch doit
être configuré, mais je n'ai tout simplement pas envie de saisir une adresse IPv6 sur l'interface de connexion à
le routeur Corp. Je n'ai pas non plus envie de taper des commandes de routage, mais j'ai besoin de plus qu'un
l'adresse link-local sur cette interface, je vais donc devoir faire quelque chose ! Donc en gros, je veux
faire fonctionner le routeur de branche avec IPv6 sur l'interréseau avec le moins d'effort de
moi. Voyons si je peux m'en sortir.
FIGURE 14.6 Exemple de configuration automatique IPv6
Ah ha, il y a un moyen facile ! J'adore IPv6 car il me permet d'être relativement paresseux lorsque je traite
avec certaines parties de mon réseau, mais cela fonctionne toujours très bien. En utilisant la commande ipv6 address
autoconfig ,
l'interface écoutera les RA puis, via le format EUI-64, elle s'attribuera un
adresse mondiale, chouette !
Tout cela est vraiment génial, mais vous vous demandez, espérons-le, ce que fait ce défaut à la fin
de la commande. Si oui, bonne prise ! Il se trouve que c'est une partie merveilleuse et facultative de la commande
qui délivre en douceur une route par défaut reçue du routeur Corp, qui sera automatiquement
injecté dans ma table de routage et défini comme route par défaut, si facile !
DHCPv6 (avec état)

DHCPv6 fonctionne à peu près de la même manière que DHCP dans v4, avec la différence évidente qu'il
prend en charge le nouveau schéma d'adressage d'IPv6. Et cela peut surprendre, mais il y a quelques
d'autres options que DHCP nous fournit toujours que la configuration automatique ne fait pas. Et non, je ne suis pas
Je plaisante - dans la configuration automatique, il n'y a absolument aucune mention de serveurs DNS, de noms de domaine ou
bon nombre des autres options que DHCP nous a toujours généreusement fournies via IPv4. C'est un
grande raison pour laquelle les chances sont en faveur de l'utilisation continue de DHCP dans le futur dans IPv6 au moins partiellement—
peut-être même la plupart du temps !
Lors du démarrage en IPv4, un client envoie un message DHCP Discover à la recherche d'un serveur à
donnez-lui les informations dont il a besoin. Mais rappelez-vous, dans IPv6, le processus RS et RA se produit en premier, donc
s'il y a un serveur DHCPv6 sur le réseau, le RA qui revient au client lui dira si
DHCP est disponible pour utilisation. Si un routeur n'est pas trouvé, le client répondra en envoyant un DHCP
Message de sollicitation, qui est en fait un message multicast adressé avec une destination de ff02::1:2
qui appelle, "Tous les agents DHCP, les serveurs et les relais."
Il est bon de savoir qu'il existe une prise en charge de DHCPv6 dans Cisco IOS, même si elle est limitée.
Ce support plutôt avare est réservé aux serveurs DHCP sans état et nous dit qu'il n'offre pas
toute gestion d'adresses du pool ou les options disponibles pour configurer ce pool d'adresses
autres que le DNS, le nom de domaine, la passerelle par défaut et les serveurs SIP.
Cela signifie que vous aurez certainement besoin d'un autre serveur pour fournir et distribuer tous
les informations supplémentaires requises, peut-être même pour gérer l'attribution d'adresses, si nécessaire !
Page 267
N'oubliez pas pour les objectifs que la configuration automatique sans état et avec état peut
attribuer dynamiquement des adresses IPv6.
En-tête IPv6
Un en-tête IPv4 fait 20 octets de long, donc puisqu'une adresse IPv6 est quatre fois la taille d'IPv4 à 128
bits, son en-tête doit alors faire 80 octets, non ? Cela a du sens et est totalement intuitif, mais
c'est aussi complètement faux ! Lorsque les concepteurs d'IPv6 ont conçu l'en-tête, ils en ont créé moins,
des champs rationalisés qui se traduiraient également par un protocole routé plus rapide en même temps. Prenons un
regardez l'en-tête IPv6 simplifié à l'aide de la figure 14.7 .
FIGURE 14.7 En- tête IPv6
L'en-tête IPv6 de base contient huit champs, ce qui le rend seulement deux fois plus grand qu'un en-tête IP à 40
octets. Zoomons sur ces champs :
Version Ce champ de 4 bits contient le numéro 6, au lieu du numéro 4 comme dans IPv4.
Classe de trafic Ce champ de 8 bits est similaire au champ Type de service (ToS) dans IPv4.
Flow Label Ce nouveau champ, d'une longueur de 24 bits, est utilisé pour marquer les paquets et les flux de trafic. UNE
flux est une séquence de paquets d'une source unique à un hôte de destination unique, un anycast ou
adresse de multidiffusion. Le champ permet une classification efficace des flux IPv6.
Longueur de la charge utile IPv4 avait un champ de longueur totale délimitant la longueur du paquet. IPv6
la longueur de la charge utile décrit uniquement la longueur de la charge utile.
En-tête suivant Puisqu'il existe des en-têtes d'extension facultatifs avec IPv6, ce champ définit le prochain
Page 268
en-tête à lire. Cela contraste avec IPv4, qui exige des en-têtes statiques avec chaque paquet.
Hop Limit Ce champ spécifie le nombre maximum de sauts qu'un paquet IPv6 peut traverser.
Pour les objectifs, rappelez-vous que le champ Hop Limit est équivalent au champ TTL dans
L'en-tête d'IPv4 et l'en-tête d'extension (après l'adresse de destination et non affiché dans le
figure) est utilisé à la place du champ Fragmentation IPv4.
Adresse source Ce champ de 16 octets, ou 128 bits, identifie la source du paquet.
Adresse de destination Ce champ de 16 octets, ou 128 bits, identifie la destination du paquet.
Il y a aussi quelques en-têtes d'extension optionnels après ces huit champs, qui portent d'autres
Informations sur la couche réseau. Ces longueurs d'en-tête ne sont pas un nombre fixe - elles sont variables
Taille.
Alors, qu'est-ce qui diffère entre l'en-tête IPv6 et l'en-tête IPv4 ? Regardons ça :
Le champ Longueur de l'en-tête Internet a été supprimé car il n'est plus requis. Contrairement au
en-tête IPv4 de longueur variable, l'en-tête IPv6 est fixé à 40 octets.
La fragmentation est traitée différemment dans IPv6 et n'a pas besoin du champ Flags dans la base
En-tête IPv4. Dans IPv6, les routeurs ne traitent plus la fragmentation ; l'hôte est responsable de
fragmentation.
Le champ Header Checksum au niveau de la couche IP a été supprimé car la plupart des couches Data Link
les technologies effectuent déjà une somme de contrôle et un contrôle d'erreur, ce qui oblige
les sommes de contrôle de couche supérieure (UDP, par exemple) deviennent obligatoires.
Pour les objectifs, rappelez-vous que contrairement aux en-têtes IPv4, les en-têtes IPv6 ont un
longueur, utilisez un en-tête d'extension au lieu du champ Fragmentation IPv4 et éliminez le

Champ de somme de contrôle IPv4.
Il est temps de parler d'un autre visage familier d'IPv4 et de découvrir comment un certain
important, le protocole intégré a évolué dans IPv6.
ICMPv6
IPv4 a utilisé le cheval de bataille ICMP pour de nombreuses tâches, y compris les messages d'erreur comme la destination
fonctions inaccessibles et de dépannage comme Ping et Traceroute. ICMPv6 fait toujours ces
choses pour nous, mais contrairement à son prédécesseur, la version v6 n'est pas implémentée en tant que couche 3 séparée
protocole. Au lieu de cela, il fait partie intégrante d'IPv6 et est transporté après l'en-tête IPv6 de base
informations en tant qu'en-tête d'extension. Et ICMPv6 nous offre une autre fonctionnalité vraiment intéressante, en
par défaut, il empêche IPv6 d'effectuer toute fragmentation via un processus ICMPv6 appelé chemin
Découverte MTU. La figure 14.8 montre comment ICMPv6 a évolué pour faire partie du paquet IPv6
lui-même.
Page 269
FIGURE 14.8 ICMPv6
Le paquet ICMPv6 est identifié par la valeur 58 dans le champ Next Header, situé à l'intérieur du
Paquet ICMPv6. Le champ Type identifie le type particulier de message ICMP qui est
transporté, et le champ Code détaille plus en détail les spécificités du message. Le champ Données contient
la charge utile ICMPv6.
Le tableau 14.2 montre les codes de type ICMP.
TABLEAU 14.2 Types ICMPv6
Description du type ICMPv6
1 Destination inaccessible
128 Demande d'écho
129 Réponse d'écho
133 Sollicitation de routeur
134 Publicité de routeur
135 Sollicitation de voisins
136 Publicité de voisin
Et voici comment cela fonctionne : le nœud source d'une connexion envoie un paquet égal au MTU
taille de la MTU de sa liaison locale. Au fur et à mesure que ce paquet traverse le chemin vers sa destination, tout lien qui
a un MTU inférieur à la taille du paquet actuel forcera le routeur intermédiaire à envoyer
un message « paquet trop gros » à la machine source. Ce message indique au nœud source le
taille maximale autorisée par le lien restrictif et demande à la source d'envoyer une nouvelle version réduite
paquet qui peut passer. Ce processus se poursuivra jusqu'à ce que la destination soit enfin atteinte,
avec le nœud source arborant maintenant le MTU du nouveau chemin. Alors maintenant, quand le reste des paquets de données
sont transmises, elles seront protégées de la fragmentation.
Page 270
ICMPv6 est utilisé pour la sollicitation et la publicité du routeur, pour la sollicitation des voisins et
publicité (c'est-à-dire trouver les adresses de données MAC pour les voisins IPv6) et pour rediriger le
hôte vers le meilleur routeur (passerelle par défaut).
Découverte de voisins (NDP)
ICMPv6 prend également en charge la tâche de trouver l'adresse d'autres appareils sur le lien local. Les
Le protocole de résolution d'adresse est utilisé pour exécuter cette fonction pour IPv4, mais il a été renommé
découverte de voisins (ND) dans ICMPv6. Ce processus est maintenant réalisé via une adresse multicast appelée
l'adresse du nœud sollicité car tous les hôtes rejoignent ce groupe de multidiffusion lors de la connexion au
réseau.
La découverte de voisins active ces fonctions :
Détermination de l'adresse MAC des voisins
Sollicitation de routeur (RS) FF02::2 code de type 133
Annonces de routeur (RA) FF02::1 code de type 134
Sollicitation de voisins (NS) Code type 135
Annonce du voisin (NA) Code type 136
Détection d'adresses en double (DAD)
La partie de l'adresse IPv6 désignée par les 24 bits les plus à droite est ajoutée à la fin de
l'adresse de multidiffusion FF02:0:0:0:0:1:FF/104 préfixe et est appelée nœud sollicité
adresse . Lorsque cette adresse est interrogée, l'hôte correspondant renverra son adresse de couche 2.
Les appareils peuvent trouver et suivre d'autres appareils voisins sur le réseau dans à peu près le
de la même façon. Lorsque j'ai parlé des messages RA et RS plus tôt et que je vous ai dit qu'ils utilisaient la multidiffusion
trafic pour demander et envoyer des informations d'adresse, cela aussi est en fait une fonction d'ICMPv6—
en particulier, la découverte de voisins.
Dans IPv4, le protocole IGMP était utilisé pour permettre à un périphérique hôte de dire à son routeur local qu'il était
rejoindre un groupe de multidiffusion et aimeriez recevoir le trafic pour ce groupe. Cette fonction IGMP
a été remplacé par ICMPv6, et le processus a été renommé découverte d'écouteur multidiffusion.
Avec IPv4, nos hôtes ne pouvaient avoir qu'une seule passerelle par défaut configurée, et si ce routeur allait
vers le bas, nous devions soit réparer le routeur, soit changer la passerelle par défaut, soit exécuter un type de
passerelle par défaut avec d'autres protocoles créés comme solution à cette insuffisance en IPv4. Chiffre
14.9 montre comment les périphériques IPv6 trouvent leurs passerelles par défaut à l'aide de la découverte de voisins.
FIGURE 14.9 Sollicitation de routeur (RS) et annonce de routeur (RA)
Page 271
Les hôtes IPv6 envoient une sollicitation de routeur (RS) sur leur liaison de données demandant à tous les routeurs de répondre,
et ils utilisent l'adresse de multidiffusion FF02::2 pour y parvenir. Les routeurs sur le même lien répondent avec
une monodiffusion à l'hôte demandeur, ou avec une annonce de routeur (RA) en utilisant FF02::1.
Mais ce n'est pas tout! Les hôtes peuvent également envoyer des sollicitations et des publicités entre eux en utilisant
une sollicitation de voisin (NS) et une annonce de voisin (NA), comme le montre la figure 14.10 .
N'oubliez pas que RA et RS rassemblent ou fournissent des informations sur les routeurs, et que NS et NA rassemblent
informations sur les hôtes. N'oubliez pas qu'un « voisin » est un hôte sur la même liaison de données ou VLAN.
FIGURE 14.10 Sollicitation de voisin (NS) et publicité de voisin (NA)
Mappage de nœuds sollicités et de multidiffusion sur Ethernet
Si une adresse IPv6 est connue, alors l'adresse de multidiffusion du nœud sollicité IPv6 associée est connue,
et si une adresse de multidiffusion IPv6 est connue, alors l'adresse MAC Ethernet associée est connue.
Par exemple, l'adresse IPv6 2001:DB8:2002:F:2C0:10FF:FE18:FC0F aura une adresse connue

adresse de nœud sollicité de FF02::1:FF18:FC0F.
Nous allons maintenant former les adresses Ethernet multicast en ajoutant les 32 derniers bits du multicast IPv6
adresse à 33:33.
Par exemple, si l'adresse de multidiffusion du nœud sollicité IPv6 est FF02::1:FF18:FC0F, l'adresse associée
L'adresse MAC Ethernet est 33:33:FF:18:FC:0F et est une adresse virtuelle.
Détection d'adresses en double (DAD)
Alors, que pensez-vous des chances que deux hôtes s'attribuent le même IPv6 aléatoire
adresse? Personnellement, je pense que vous pourriez probablement gagner au loto tous les jours pendant un an et toujours pas
approchez-vous des chances contre deux hôtes sur la même liaison de données dupliquant une adresse IPv6 ! Toujours,
pour s'assurer que cela ne se produise jamais, la détection d'adresses en double (DAD) a été créée, ce qui
n'est pas un protocole réel, mais une fonction des messages NS/NA. La figure 14.11 montre comment un hôte
envoie un NS NDP lorsqu'il reçoit ou crée une adresse IPv6.
Page 272
FIGURE 14.11 Détection d'adresse en double (DAD)
Lorsque les hôtes créent ou reçoivent une adresse IPv6, ils envoient trois DAD via NDP NS demandant si
quelqu'un a cette même adresse. Il est peu probable que cela se produise un jour, mais ils demandent
De toute façon.
N'oubliez pas pour les objectifs que ICMPv6 utilise le type 134 pour l'annonce du routeur
messages, et le préfixe annoncé doit avoir une longueur de 64 bits.
Protocoles de routage IPv6

Tous les protocoles de routage dont nous avons déjà parlé ont été modifiés et mis à niveau pour être utilisés dans
réseaux IPv6, il est donc clair que bon nombre des fonctions et configurations que vous avez déjà
appris seront utilisés presque de la même manière qu'ils le sont maintenant. Sachant que les émissions ont été
éliminé dans IPv6, il est sûr de conclure que tous les protocoles reposant entièrement sur le trafic de diffusion
ira le chemin du dodo. Mais contrairement au dodo, ce sera vraiment sympa de dire au revoir à ces
petits gremlins accaparant la bande passante et annihilant les performances !
Les protocoles de routage que nous utiliserons encore dans IPv6 ont été rénovés et ont reçu de nouveaux noms. Même
bien que ce chapitre se concentre sur les objectifs de l'examen Cisco, qui ne couvrent que les éléments statiques et par défaut
routage, je veux discuter de quelques-uns des plus importants aussi.
Le premier sur la liste est l'IPv6 RIPng (prochaine génération). Ceux d'entre vous qui sont dans l'informatique depuis un certain temps
sachez que RIP a plutôt bien fonctionné pour nous sur des réseaux plus petits. Il se trouve que c'est le très
raison pour laquelle il n'a pas été frappé et sera toujours présent dans IPv6. Et nous avons toujours EIGRPv6 car
EIGRP avait déjà des modules dépendants du protocole et tout ce que nous avions à faire était d'en ajouter un nouveau pour
s'intègre parfaitement au protocole IPv6. L'OSPFv3 complète notre groupe de survivants du protocole—
ce n'est pas une faute de frappe, c'est vraiment la v3 ! OSPF pour IPv4 était en fait la v2, donc quand il a été mis à niveau vers IPv6,
il est devenu OSPFv3. Enfin, pour les nouveaux objectifs, nous listerons MP-BGP4 comme BGP-4 multiprotocole
protocole pour IPv6. S'il vous plaît comprendre pour les objectifs à ce stade du livre, nous avons seulement besoin de
comprendre le routage statique et par défaut.
Routage statique avec IPv6

D'accord, maintenant ne laissez pas le titre de cette section vous effrayer en cherchant sur Monster.com pour certains
un travail qui n'a rien à voir avec le réseautage ! Je sais que le routage statique a toujours fait froid dans le dos
nos épines collectives parce que c'est lourd, difficile et vraiment facile à bousiller. Et je ne le ferai pas
vous mentir — ce n'est certainement pas plus facile avec les adresses plus longues d'IPv6, mais vous pouvez le faire !
Nous savons que pour faire fonctionner le routage statique, que ce soit en IP ou en IPv6, vous avez besoin de ces trois outils :
Une carte réseau précise et à jour de l'ensemble de votre interréseau
Adresse du tronçon suivant et interface de sortie pour chaque connexion voisine
Page 273
Tous les ID de sous-réseau distant
Bien sûr, nous n'en avons pas besoin pour le routage dynamique, c'est pourquoi nous utilisons principalement
routage dynamique. C'est tellement génial que le protocole de routage fasse tout ce travail pour nous en
trouver tous les sous-réseaux distants et les placer automatiquement dans la table de routage !
La figure 14.12 montre un très bon exemple d'utilisation du routage statique avec IPv6. Ce n'est vraiment pas
doit être si difficile, mais tout comme avec IPv4, vous avez absolument besoin d'une carte de réseau précise pour
faire fonctionner le routage statique !
FIGURE 14.12 Routage IPv6 statique et par défaut
Voici donc ce que j'ai fait : d'abord, j'ai créé une route statique sur le routeur Corp vers le réseau distant
2001:1234:4321:1::/64 en utilisant l'adresse du prochain saut. J'aurais pu tout aussi facilement utiliser la Corp
l'interface de sortie du routeur. Ensuite, je viens de configurer une route par défaut pour le routeur Branch avec ::/0 et le
Interface de sortie de branche de Gi0/0 — pas si mal !
Configuration d'IPv6 sur notre interréseau

Nous allons continuer à travailler sur le même inter-réseau que nous avons configuré tout au long
ce livre, comme le montre la figure 14.13 . Ajoutons IPv6 aux routeurs Corp, SF et LA en utilisant un
schéma de sous-réseau simple de 11, 12, 13, 14 et 15. Après cela, nous ajouterons le protocole de routage OSPFv3.
Remarquez dans la Figure 14.13 comment les numéros de sous-réseau sont les mêmes à chaque extrémité des liaisons WAN. Garder
à l'esprit que nous terminerons ce chapitre en exécutant quelques commandes de vérification.
Comme d'habitude, je vais commencer par le routeur Corp :
Corp# config t
Corp(config)# ipv6 monodiffusion-routage
Corp(config)# int f0/0
Corp(config-if)# ^Z
[D'ACCORD]
Page 274
FIGURE 14.13 Notre interréseau
Assez simple! Dans la configuration précédente, je n'ai changé que l'adresse de sous-réseau pour chaque
légèrement l'interface. Jetons maintenant un œil à la table de routage :
Corp(config-if)# do sho ipv6 route

C 2001:DB8:3C4D:11::/64 [0/0]
via ::, FastEthernet0/0
L 2001:DB8:3C4D:11:20D:BDFF:FE3B:D80/128 [0/0]
C 2001:DB8:3C4D:12::/64 [0/0]
via ::, Série0/0
L 2001:DB8:3C4D:12:20D:BDFF:FE3B:D80/128 [0/0]
via ::, Série0/0
C 2001:DB8:3C4D:13::/64 [0/0]
via ::, Série0/1
L 2001:DB8:3C4D:13:20D:BDFF:FE3B:D80/128 [0/0]
via ::, Série0/1
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
Corp(config-if)#
D'accord, mais qu'en est-il de ces deux adresses pour chaque interface ? On montre C pour connecté,
on montre L. L'adresse connectée indique l'adresse IPv6 que j'ai configurée sur chaque interface
et le L est le lien local qui a été automatiquement attribué. Notez dans l'adresse lien-local que
le FF:FE est inséré dans l'adresse pour créer l'adresse EUI-64.
Configurons maintenant le routeur SF :
SF# config t
SF(config)# ipv6 monodiffusion-routage
SF(config-if)# adresse ipv6 2001:db8:3c4d:12::/64
% 2001:DB8:3C4D:12::/64 ne doit pas être configuré sur Serial0/0/0, un routeur de sous-réseau anycast
SF(config-if)# adresse ipv6 2001:db8:3c4d:12::/64 eui-64
SF(config-if)# int fa0/0
Page 275
SF(config-if)# ^Z
SF# afficher l'itinéraire ipv6
C 2001:DB8:3C4D:12::/64 [0/0]
via ::, Série0/0/0
L 2001:DB8:3C4D:12::/128 [0/0]
via ::, Série0/0/0
L 2001:DB8:3C4D:12:21A:2FFF:FEE7:4398/128 [0/0]
via ::, Série0/0/0
C 2001:DB8:3C4D:14::/64 [0/0]
L 2001:DB8:3C4D:14:21A:2FFF:FEE7:4398/128 [0/0]
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
Avez-vous remarqué que j'ai utilisé les adresses de sous-réseau IPv6 exactes de chaque côté de la liaison série ? Bon . .
. mais attendez—qu'est-ce que c'est que cette erreur anycast que j'ai reçue en essayant de configurer les interfaces sur
le routeur SF ? Je ne voulais pas créer cette erreur ; c'est arrivé parce que j'ai oublié d'ajouter l' eui-64
à la fin de l'adresse. Pourtant, qu'est-ce qui se cache derrière cette erreur? Une adresse anycast est une adresse hôte de
tous les 0, ce qui signifie que les 64 derniers bits sont tous désactivés, mais en tapant /64 sans eui-64 , je disais au
interface que l'identifiant unique ne serait que des zéros, et ce n'est pas permis !
Configurons maintenant le routeur LA, puis ajoutons OSPFv3 :
SF# config t
SF(config)# ipv6 monodiffusion-routage
SF(config-if)# int f0/0
SF(config-if)# affiche la route ipv6
C 2001:DB8:3C4D:13::/64 [0/0]
via ::, Série0/0/1
L 2001:DB8:3C4D:13:21A:6CFF:FEA1:1F48/128 [0/0]
via ::, Série0/0/1
C 2001:DB8:3C4D:15::/64 [0/0]
L 2001:DB8:3C4D:15:21A:6CFF:FEA1:1F48/128 [0/0]
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
Cela a l'air bien, mais je veux que vous remarquiez que j'ai utilisé exactement les mêmes adresses de sous-réseau IPv6 sur
de chaque côté des liaisons du routeur Corp au routeur SF ainsi que du Corp au LA
routeur.
Configurer le routage sur notre interréseau

Je vais commencer par le routeur Corp et ajouter des routes statiques simples. Vérifiez-le:
Corp(config)# ipv6 route 2001:db8:3c4d:14::/64 2001:DB8:3C4D:12:21A:2FFF:FEE7:4398 150

Corp(config)# ipv6 route 2001:DB8:3C4D:15::/64 s0/1 150
Corp(config)# do sho ipv6 route statique
[coupure de sortie]
S 2001:DB8:3C4D:14::/64 [150/0]
via 2001:DB8:3C4D:12:21A:2FFF:FEE7:4398
D'accord, je suis d'accord que la première ligne de route statique était assez longue parce que j'ai utilisé l'adresse du saut suivant, mais
remarquez que j'ai utilisé l'interface de sortie sur la deuxième entrée. Mais ce n'était toujours pas si difficile à
créer l'entrée de route statique la plus longue. Je viens d'aller sur le routeur SF, j'ai utilisé la commande show ipv6 int
brief ,
puis copiez et collez l'adresse d'interface utilisée pour le saut suivant. Tu t'habitueras
Adresses IPv6 (Vous vous habituerez à faire beaucoup de copier/coller !).
Maintenant que j'ai mis un AD de 150 sur les routes statiques, une fois que j'ai configuré un protocole de routage tel que
OSPF, ils seront remplacés par une route injectée OSPF. Passons aux routeurs SF et LA et mettons un
entrée unique dans chaque routeur pour accéder au sous-réseau distant 11.
Page 276
Route SF(config)# ipv6 2001:db8:3c4d:11::/64 s0/0/0 150
C'est ça! Je vais me rendre à LA et mettre une route par défaut sur ce routeur maintenant :
LA(config)# itinéraire ipv6 ::/0 s0/0/1
Jetons un coup d'œil à la table de routage du routeur Corp et voyons si nos routes statiques s'y trouvent.
Corp# sh route ipv6 statique

[coupure de sortie]
S 2001:DB8:3C4D:14::/64 [150/0]
via 2001:DB8:3C4D:12:21A:2FFF:FEE7:4398
S 2001:DB8:3C4D:15::/64 [150/0]
via ::, Série0/1
Voilà ! Je peux voir mes deux routes statiques dans la table de routage, donc IPv6 peut maintenant router vers celles-ci
réseaux. Mais nous n'avons pas fini car nous devons encore tester notre réseau ! Je vais d'abord aller à
le routeur SF et obtenez l'adresse IPv6 de l'interface Fa0/0 :
SF# sh ipv6 bref int

FastEthernet0/0 [haut Haut]
FE80::21A:2FFF:FEE7:4398
2001:DB8:3C4D:14:21A:2FFF:FEE7:4398
FastEthernet0/1 [administrativement bas/bas]
Série0/0/0 [haut Haut]
FE80::21A:2FFF:FEE7:4398
2001:DB8:3C4D:12:21A:2FFF:FEE7:4398
Ensuite, je vais revenir au routeur d'entreprise et envoyer un ping à cette interface distante en copiant et en
coller dans l'adresse. Cela n'a aucun sens de taper tout ça quand le copier/coller fonctionne très bien !
Corp# ping ipv6 2001:DB8:3C4D:14:21A:2FFF:FEE7:4398

Envoi de 5 échos ICMP de 100 octets à 2001:DB8:3C4D:14:21A:2FFF:FEE7:4398, le délai d'attente est de 2 secondes :
!!!!!
Nous pouvons voir que la route statique a fonctionné, donc ensuite, je vais chercher l'adresse IPv6 du routeur LA et
ping cette interface distante également :
LA# sh ipv6 int brève
FE80::21A:6CFF:FEA1:1F48
2001:DB8:3C4D:15:21A:6CFF:FEA1:1F48
Série0/0/1 [haut Haut]
FE80::21A:6CFF:FEA1:1F48
2001:DB8:3C4D:13:21A:6CFF:FEA1:1F48
Il est temps de se diriger vers Corp et d'envoyer un ping à LA :
Corp# ping ipv6 2001:DB8:3C4D:15:21A:6CFF:FEA1:1F48

Envoi de 5 échos ICMP de 100 octets à 2001:DB8:3C4D:15:21A:6CFF:FEA1:1F48, le délai d'attente est de 2 secondes :
!!!!!
Utilisons maintenant l'une de mes commandes préférées :
Corp# sh ipv6 int brief

FE80::20D:BDF:FE3B:D80
2001:DB8:3C4D:11:20D:BDFF:FE3B:D80
Série0/0 [haut Haut]
2001:DB8:3C4D:12:20D:BDFF:FE3B:D80
FastEthernet0/1 [administrativement bas/bas]
Non attribué
Série0/1 [haut Haut]
2001:DB8:3C4D:13:20D:BDFF:FE3B:D80
Bouclage0 [haut Haut]
Non attribué
Page 277
Quelle belle sortie ! Toutes nos interfaces sont up/up , et nous pouvons voir le lien local et global assigné
adresse.
Le routage statique n'est vraiment pas si mal avec IPv6 ! Je ne dis pas que j'aimerais faire ça dans un ginormous
réseau—pas question—je ne voudrais pas non plus opter pour cela avec IPv4 ! Mais vous pouvez le voir
peut être fait. Notez également à quel point il était facile de pinger une adresse IPv6. Copier/coller est vraiment votre
ami !
Avant de terminer le chapitre, ajoutons un autre routeur à notre réseau et connectons-le à la Corp
Fa0/0 LAN. Pour notre nouveau routeur, je n'ai vraiment pas envie de travailler, alors je vais simplement taper ceci :
Boulder# config t
Boulder(config)# int f0/0
Boulder(config-if)# ipv6 adresse autoconfig par défaut
Agréable et facile ! Cela configure la configuration automatique sans état sur l'interface, et la valeur par défaut
le mot-clé s'annoncera comme route par défaut pour le lien local !
J'espère que vous avez trouvé ce chapitre aussi enrichissant que moi. La meilleure chose à faire pour apprendre IPv6 est de
obtenez des routeurs et allez-y. N'abandonnez pas car cela vaut vraiment la peine de prendre votre temps !
Sommaire
Ce dernier chapitre vous a présenté certains éléments structurels très importants d'IPv6 ainsi que la façon de
faire fonctionner IPv6 au sein d'un interréseau Cisco. Vous savez maintenant que même en couvrant et en
configuration des bases d'IPv6, il reste encore beaucoup à comprendre et nous venons de gratter le
surface! Mais vous êtes toujours bien équipé avec tout ce dont vous avez besoin pour atteindre les objectifs de l'examen Cisco.
Vous avez appris les raisons vitales pour lesquelles nous avons besoin d'IPv6 et les avantages qui y sont associés.J'ai couvert
L'adressage IPv6 et l'importance d'utiliser les expressions abrégées. Comme j'ai couvert l'adressage
avec IPv6, je vous ai également montré les différents types d'adresses, ainsi que les adresses spéciales réservées dans
IPv6.
IPv6 sera principalement déployé automatiquement, ce qui signifie que les hôtes utiliseront la configuration automatique. je
a montré comment IPv6 utilise la configuration automatique et comment elle entre en jeu lors de la configuration d'un
routeur Cisco. Vous avez également appris qu'en IPv6, nous pouvons et devons toujours utiliser un serveur DHCP pour
routeur pour fournir des options aux hôtes comme nous le faisons depuis des années avec IPv4, pas nécessairement
Les adresses IPv6, mais d'autres options critiques comme la fourniture d'une adresse de serveur DNS.
À partir de là, j'ai discuté de l'évolution de certains protocoles plus intégrés et familiers comme ICMP
et OSPF. Ils ont été mis à niveau pour fonctionner dans l'environnement IPv6, mais ces
les chevaux de bataille sont toujours essentiels et pertinents pour les opérations, et j'ai expliqué comment ICMP fonctionne avec IPv6,
suivi de la façon de configurer OSPFv3. J'ai conclu ce chapitre crucial en démontrant les clés
méthodes à utiliser pour vérifier que tout fonctionne correctement sur votre réseau IPv6. Alors prends-en un
du temps et de travailler sur tout le matériel d'étude essentiel, en particulier les laboratoires écrits, pour s'assurer que
vous atteignez vos objectifs de réseautage !
Comprenez pourquoi nous avons besoin d'IPv6. Sans IPv6, le monde serait vide d'adresses IP.
Comprendre lien-local. Link-local est comme une adresse IP privée IPv4, mais elle ne peut pas être routée à
tous, même pas dans votre organisation.
Comprendre un local unique. Ceci, comme le lien local, est comme une adresse IP privée dans IPv4 et ne peut pas
être acheminé vers Internet. Cependant, la différence entre lien-local et unique local est que
local unique peut être acheminé au sein de votre organisation ou entreprise.
N'oubliez pas l'adressage IPv6. L'adressage IPv6 n'est pas comme l'adressage IPv4. Adressage IPv6
a beaucoup plus d'espace d'adressage, fait 128 bits et est représenté en hexadécimal, contrairement à IPv4,
qui ne fait que 32 bits et est représenté en décimal.
Page 278
Comprendre et être capable de lire une adresse EUI-64 avec le 7ème bit inversé. Hôtes
peut utiliser la configuration automatique pour obtenir une adresse IPv6, et l'une des façons de le faire est de
ce qu'on appelle EUI-64. Cela prend l'adresse MAC unique d'un hôte et insère FF:FE dans le
milieu de l'adresse pour changer une adresse MAC 48 bits en un ID d'interface 64 bits. En plus de
en insérant les 16 bits dans l'identifiant de l'interface, le 7ème bit du 1er octet est inversé, typiquement à partir d'un 0
à un 1. Entraînez-vous avec Written Lab 14.2.
Laboratoires écrits 14
Dans cette section, vous effectuerez les travaux pratiques suivants pour vous assurer que vous disposez des informations et
Atelier 14.1 : IPv6
Atelier 14.2 : Convertir les adresses EUI
Vous pouvez trouver les réponses à ces laboratoires dans l'annexe A, « Réponses aux laboratoires écrits ».
Laboratoire écrit 14.1

Dans cette section, écrivez les réponses aux questions IPv6 suivantes :
1. Quels sont les deux types ICMPv6 utilisés pour tester l'accessibilité IPv6 ?
2. Quelle est l'adresse Ethernet correspondante pour

FF02:0000:0000:0000:0000:001:FF17:FC0F?
3. Quel type d'adresse n'est pas destiné à être routé ?
4. De quel type d'adresse s'agit-il : FE80 ::/10 ?
5. Quel type d'adresse est destiné à être livré à plusieurs interfaces ?
6. Quel type d'adresse identifie plusieurs interfaces, mais les paquets ne sont livrés qu'au
première adresse qu'il trouve ?
7. Quel protocole de routage utilise l'adresse de multidiffusion FF02::5 ?
8. IPv4 avait une adresse de bouclage de 127.0.0.1. Quelle est l'adresse de bouclage IPv6 ?
9. Par quoi commence toujours une adresse link-local ?
10. Quelle adresse IPv6 correspond au groupe de multidiffusion tous routeurs ?
Laboratoire écrit 14.2

Dans cette section, vous vous entraînerez à inverser le 7e bit d'une adresse EUI-64. Utiliser le préfixe
2001:db8:1:1/64 pour chaque adresse.
1. Convertissez l'adresse MAC suivante en une adresse EUI-64 : 0b0c:abcd:1234.
2. Convertissez l'adresse MAC suivante en une adresse EUI-64 : 060c:32f1:a4d2.
3. Convertissez l'adresse MAC suivante en adresse EUI-64 : 10bc:abcd:1234.
4. Convertissez l'adresse MAC suivante en une adresse EUI-64 : 0d01:3a2f:1234.
5. Convertissez l'adresse MAC suivante en une adresse EUI-64 : 0a0c.abac.caba.
Vous aurez besoin d'au moins trois routeurs pour effectuer ces travaux pratiques ; cinq serait mieux, mais si vous utilisez
la version LammleSim IOS, alors ces dispositions de laboratoire sont préconfigurées pour vous. Cette section sera
avez-vous configuré les ateliers suivants :
1. Atelier 14.1 : Configuration automatique manuelle et avec état
2. Atelier 14.2 : Routage statique et par défaut
Page 279
Voici notre réseau :

Atelier pratique 14.1 : Configuration automatique manuelle et avec état
Dans cet atelier, vous allez configurer le routeur C avec des adresses IPv6 manuelles sur Fa0/0 et Fa0/1
interfaces puis configurer les autres routeurs pour s'attribuer automatiquement un IPv6
adresse.
1. Connectez-vous au routeur C et configurez les adresses IPv6 sur chaque interface en fonction des sous-réseaux (1
et 2) montré dans le graphique.
C(config)# ipv6 monodiffusion-routage

C(config)# int fa0/0
C(config-if)# adresse ipv6 2001:db8:3c4d:1::1/64
C(config-if)# int fa0/1
C(config-if)# adresse ipv6 2001:db8:3c4d:2::1/64
2. Vérifiez les interfaces avec les commandes show ipv6 route connected et sho ipv6 int brief .
C(config-if)# affiche la route ipv6 connectée

[coupure de sortie]
C 2001:DB8:3C4D:1::/64 [0/0]
C 2001:DB8:3C4D:2::/64 [0/0]
C(config-if)# sh ipv6 int bref
2001:DB8:3C4D:1::1
2001:DB8:3C4D:2::1
Bouclage0 [haut Haut]
Non attribué
3. Accédez à vos autres routeurs et configurez le Fa0/0 sur chaque routeur pour configurer automatiquement un IPv6
adresse.
A(config)# ipv6 monodiffusion-routage

A(config)# int f0/0
A(config-if)# ipv6 address autoconfig
A(config-if)# non fermé
B(config)# ipv6 monodiffusion-routage

B(config)# int fa0/0
B(config-if)# configuration automatique de l'adresse ipv6
B(config-if)# non fermé
D(config)# ipv6 monodiffusion-routage

D(config)# int fa0/0
D(config-if)# configuration automatique de l'adresse ipv6
D(config-if)# non fermé
E(config)# ipv6 monodiffusion-routage

E(config)# int fa0/0
E(config-if)# ipv6 adresse autoconfig
E(config-if)# non fermé
4. Vérifiez que vos routeurs ont reçu une adresse IPv6.
A# sh ipv6 int bref

Page 280
FE80::20D:BDF:FE3B:C20
2001:DB8:3C4D:1:20D:BDFF:FE3B:C20
Continuez à vérifier vos adresses sur tous vos autres routeurs.
Atelier pratique 14.2 : Routage statique et par défaut

Le routeur C est directement connecté aux deux sous-réseaux, donc aucun routage de quelque type que ce soit n'a besoin d'être configuré.
Cependant, tous les autres routeurs sont connectés à un seul sous-réseau, donc au moins une route doit être
configuré sur chaque routeur.
1. Sur le routeur A, configurez une route statique vers le sous-réseau 2001:db8:3c4d:2::/64.
A(config)# ipv6 route 2001:db8:3c4d:2::/64 fa0/0
2. Sur le routeur B, configurez une route par défaut.
B(config)# itinéraire ipv6 ::/0 fa0/0
3. Sur le routeur D, créez une route statique vers le sous-réseau distant.
D(config)# ipv6 route 2001:db8:3c4d:1::/64 fa0/0
4. Sur le routeur E, créez une route statique vers le sous-réseau distant.
E(config)# ipv6 route 2001:db8:3c4d:1::/64 fa0/0
5. Vérifiez vos configurations avec un show running-config et show ipv6 route .
6. Ping du routeur D au routeur A. Tout d'abord, vous devez obtenir l'adresse IPv6 du routeur A avec un show ipv6
commande brève int . Voici un exemple:
A# sh ipv6 int bref
FE80::20D:BDF:FE3B:C20
2001:DB8:3C4D:1:20D:BDFF:FE3B:C20
7. Allez maintenant sur le routeur D et envoyez un ping à l'adresse IPv6 du routeur A :
D#ping ipv6 2001:DB8:3C4D:1:20D:BDFF:FE3B:C20

Envoi de 5 échos ICMP de 100 octets à 2001:DB8:3C4D:1:20D:BDFF:FE3B:C20, le délai d'attente est de 2 secondes :
!!!!!
Les réponses à ces questions se trouvent à l'annexe B, « Réponses à la révision du chapitre

Des questions."
1. Comment un ID d'interface au format EUI-64 est-il créé à partir d'une adresse MAC de 48 bits ?
A. En ajoutant 0xFF à l'adresse MAC
B. En préfixant l'adresse MAC avec 0xFFEE
C. En préfixant l'adresse MAC avec 0xFF et en y ajoutant 0xFF
D. En insérant 0xFFFE entre les 3 octets supérieurs et les 3 octets inférieurs de l'adresse MAC
E. En préfixant l'adresse MAC avec 0xF et en insérant 0xF après chacun de ses trois premiers octets
2. Quelle option correspond à une adresse IPv6 valide ?
Page 281
A. 2001:0000:130F::099a::12a
B. 2002:7654:A1AD:61:81AF:CCC1
C. FEC0:ABCD:WXYZ:0067::2A4
D. 2004:1:25A4:886F::1
3. Quelles sont les trois déclarations concernant les préfixes IPv6 qui sont vraies ? (Choisissez trois.)
A. FF00:/8 est utilisé pour la multidiffusion IPv6.
B. FE80::/10 est utilisé pour la monodiffusion lien-local.
C. FC00::/7 est utilisé dans les réseaux privés.
D. 2001::1/127 est utilisé pour les adresses de bouclage.
E. FE80::/8 est utilisé pour la monodiffusion lien-local.
F. FEC0::/10 est utilisé pour la diffusion IPv6.
4. Quelles sont les trois approches utilisées lors de la migration d'un schéma d'adressage IPv4 vers
un schéma IPv6 ? (Choisissez trois.)
A. Activez le routage à double pile.
B. Configurez IPv6 directement.
C. Configurez les tunnels IPv4 entre les îles IPv6.
D. Utilisez le proxy et la traduction pour traduire les paquets IPv6 en paquets IPv4.
E. Mappez statiquement les adresses IPv4 aux adresses IPv6.
F. Utilisez DHCPv6 pour mapper les adresses IPv4 aux adresses IPv6.
5. Quelles sont les deux affirmations concernant les messages d'annonce du routeur IPv6 qui sont vraies ? (Choisissez deux.)
A. Ils utilisent ICMPv6 type 134.
B. La longueur de préfixe annoncée doit être de 64 bits.
C. La longueur de préfixe annoncée doit être de 48 bits.
D. Ils proviennent de l'adresse d'interface IPv6 configurée.
E. Leur destination est toujours l'adresse lien-local du nœud voisin.
6. Laquelle des affirmations suivantes est vraie lors de la description d'une adresse anycast IPv6 ?
A. Modèle de communication un-à-plusieurs
B. Modèle de communication un-à-plus proche
C. Modèle de communication any-to-many
D. Une adresse IPv6 unique pour chaque appareil du groupe
E. La même adresse pour plusieurs appareils du groupe
F. Remise des paquets à l'interface de groupe la plus proche de l'appareil émetteur
7. Vous souhaitez envoyer un ping à l'adresse de bouclage de votre hôte local IPv6. Que taperez-vous ?
A. ping 127.0.0.1
B. ping 0.0.0.0
C. ping ::1
D. trace 0.0.::1
8. Quelles sont les trois fonctionnalités du protocole IPv6 ? (Choisissez trois.)
A. IPsec en option
B. Autoconfiguration
Page 282
C. Pas de diffusion
D. En-tête compliqué
E. Plug-and-play
F. Sommes de contrôle
9. Quelles sont les deux déclarations décrivant les caractéristiques de l'adressage en monodiffusion IPv6 ? (Choisissez deux.)
A. Les adresses globales commencent par 2000 : :/3.
B. Les adresses lien-local commencent par FE00:/12.
C. Les adresses Link-local commencent par FF00::/10.
D. Il n'y a qu'une seule adresse de bouclage et c'est : :1.
E. Si une adresse globale est attribuée à une interface, alors c'est la seule adresse autorisée pour
L'interface.
10. Un hôte envoie une sollicitation de routeur (RS) sur la liaison de données. Quelle adresse de destination est envoyée avec
cette demande?
A. FF02::A
B. FF02::9
C. FF02::2
D. FF02::1
E. FF02::5
11. Quelles sont les deux raisons valables d'adopter IPv6 sur IPv4 ? (Choisissez deux.)
A. Pas de diffusion
B. Changement d'adresse source dans l'en-tête IPv6
C. Changement d'adresse de destination dans l'en-tête IPv6
D. Aucun mot de passe requis pour l'accès Telnet
E. Configuration automatique
F. NAT
12. Un hôte envoie un type de message NDP fournissant l'adresse MAC demandée. Lequel
type de NPD a été envoyé?
A. NA
B. RS
C. RA
D. N.-É.
13. Qu'est-ce qui est connu sous le nom d'adressage « un vers le plus proche » dans IPv6 ?
A. Monodiffusion mondiale
B. Anycast
C. Multidiffusion
D. Adresse non précisée
14. Parmi les affirmations suivantes concernant les adresses IPv6, lesquelles sont vraies ? (Choisissez deux.)
A. Les zéros non significatifs sont requis.
B. Deux deux-points (::) sont utilisés pour représenter des champs hexadécimaux successifs de zéros.
C. Deux deux-points (::) sont utilisés pour séparer les champs.
Page 283
D. Une seule interface aura plusieurs adresses IPv6 de différents types.
15. De quelles trois manières un en-tête IPv6 est-il plus simple qu'un en-tête IPv4 ? (Choisissez trois.)
A. Contrairement aux en-têtes IPv4, les en-têtes IPv6 ont une longueur fixe.
B. IPv6 utilise un en-tête d'extension au lieu du champ de fragmentation IPv4.
C. Les en-têtes IPv6 éliminent le champ Somme de contrôle IPv4.
D. Les en-têtes IPv6 utilisent le champ Fragment Offset à la place du champ IPv4 Fragmentation.
E. Les en-têtes IPv6 utilisent une taille de champ Option plus petite que les en-têtes IPv4.
F. Les en-têtes IPv6 utilisent un champ TTL de 4 bits et les en-têtes IPv4 utilisent un champ TTL de 8 bits.
16. Laquelle des descriptions suivantes concernant IPv6 est correcte ?
A. Les adresses ne sont pas hiérarchiques et sont attribuées au hasard.
B. Les diffusions ont été supprimées et remplacées par des multidiffusions.
C. Il y a 2,7 milliards d'adresses.
D. Une interface ne peut être configurée qu'avec une seule adresse IPv6.
17. Combien de bits y a-t-il dans un champ d'adresse IPv6 ?
A. 24
B.4
C. 3
D. 16
E. 32
F. 128
18. Lequel des énoncés suivants décrit correctement les caractéristiques de l'adressage en monodiffusion IPv6 ? (Choisir
deux.)
A. Les adresses globales commencent par 2000 : :/3.
B. Les adresses Link-local commencent par FF00::/10.
C. Les adresses lien-local commencent par FE00:/12.
D. Il n'y a qu'une seule adresse de bouclage et c'est : :1.
19. Lesquelles des affirmations suivantes sont vraies concernant la représentation des adresses IPv6 ? (Choisissez deux.)
A. Les 64 premiers bits représentent l'ID d'interface créé dynamiquement.
B. Une seule interface peut se voir attribuer plusieurs adresses IPv6 de tout type.
C. Chaque interface IPv6 contient au moins une adresse de bouclage.
D. Les zéros non significatifs dans un champ hexadécimal IPv6 de 16 bits sont obligatoires.
20. Quelle commande active le transfert IPv6 sur un routeur Cisco ?
A. IPv6 local
B. hôte IPv6
C. ipv6 monodiffusion-routage
D. voisin IPv6
Page 284
PARTIE II
ICND 2
Page 285
Chapitre 15
Technologies commutées améliorées

CE CHAPITRE:
1.1 Configurer, vérifier et dépanner les VLAN (plage normale/étendue) couvrant

plusieurs commutateurs
1.1.a Ports d'accès (données et voix)
1.1.b VLAN par défaut
1.2 Configurer, vérifier et dépanner la connectivité interswitch
1.2.a Ajouter et supprimer des VLAN sur une jonction
1.2.b PAO et VTP (v1&v2)
1.3 Configurer, vérifier et dépanner les protocoles STP
1.3.a Mode STP (PVST+ et RPVST+)
1.3.b Sélection du pont racine STP
1.4 Configurer, vérifier et dépanner les fonctionnalités facultatives liées à STP
1.4.a PortFast
1.4.b Garde BPDU
1.5 Configurer, vérifier et dépanner (Couche 2/Couche 3) EtherChannel
1.5.a Statique
1.5.b PAGP
1.5.c LACP
1.7 Décrire les techniques courantes d'atténuation des menaces de la couche d'accès
1.7.c VLAN natif non par défaut
2.1 Configurer, vérifier et dépanner le routage inter-VLAN
2.1.a Routeur sur bâton
2.1.b SVI
Page 286
Il y a longtemps, une société appelée Digital Equipment Corporation

(DEC) a créé la version originale du protocole Spanning Tree (STP) . L'IEEE a ensuite créé son
propre version de STP appelée 802.1d. Cisco a évolué vers une autre norme de l'industrie dans son
commutateurs plus récents appelés 802.1w. Nous allons explorer à la fois l'ancienne et la nouvelle version de STP dans ce chapitre,
mais d'abord, je vais définir quelques bases STP importantes.
Les protocoles de routage tels que RIP, EIGRP et OSPF ont des processus pour empêcher les boucles de
se produisant au niveau de la couche réseau, mais si vous avez des liens physiques redondants entre vos commutateurs,
ces protocoles ne feront rien pour empêcher les boucles de se produire au niveau de la couche de liaison de données. C'est
exactement pourquoi STP a été développé - pour mettre fin aux problèmes de boucle dans un réseau commuté de couche 2. C'est
aussi pourquoi nous explorerons en profondeur les principales caractéristiques de ce protocole vital ainsi que la façon dont il
fonctionne dans un réseau commuté dans ce chapitre.
Après avoir couvert STP en détail, nous allons passer à l'exploration d'EtherChannel.
Examen du VLAN
Comme vous vous en souvenez peut-être dans ICND1, la configuration des VLAN est en fait assez simple. C'est juste ça
déterminer quels utilisateurs vous voulez dans chaque VLAN ne l'est pas, et cela peut consommer une grande partie de votre
temps! Mais une fois que vous avez décidé du nombre de VLAN que vous souhaitez créer et établi qui
utilisateurs auxquels vous voulez appartenir à chacun, il est temps de mettre votre premier VLAN au monde.
Pour configurer des VLAN sur un commutateur Cisco Catalyst, utilisez la commande global config vlan . Dans le
exemple suivant, je vais montrer comment configurer des VLAN sur le commutateur S1 en
créer trois VLAN pour trois départements différents — encore une fois, n'oubliez pas que le VLAN 1 est le
VLAN natif et de gestion par défaut :
S1(config)# vlan ?
MOT ID VLAN ISL 1-4094
access-map Créer vlan access-map ou entrer le mode de commande vlan access-map
paramètres point1q point1q
filter Appliquer une carte VLAN
groupe Créer un groupe vlan
VLAN interne interne
S1(config)# vlan 2
S1(config-vlan)# nom Ventes
S1(config-vlan)# nom Marketing
S1(config-vlan)# nom Comptabilité
S1(config-vlan)# ^Z
S1#
Page 287
Dans cette sortie, vous pouvez voir que vous pouvez créer des VLAN de 1 à 4094. Mais ce n'est que la plupart du temps
vrai.
ou Comme je
supprimez lesl'ai dit, les1 VLAN
VLAN ou 1002neà 1005
peuvent
carvraiment être créésLeque
ils sont réservés. jusqu'à
VLAN 1001,
avec des et vous ne pouvez pas utiliser, modifier, renommer,
chiffres
au-dessus de 1005 sont appelés VLAN étendus et ne seront pas enregistrés dans la base de données à moins que votre commutateur ne soit
défini sur ce que l'on appelle le mode transparent VLAN Trunking Protocol (VTP). Vous ne verrez pas ces
Numéros de VLAN utilisés trop souvent en production. Voici un exemple de moi essayant de régler mon S1
passer au VLAN 4000 lorsque mon commutateur est réglé sur le mode serveur VTP (le mode VTP par défaut, qui
nous en reparlerons bientôt):
S1# config t
S1(config)# vlan 4000
S1(config-vlan)# ^Z
% Échec de la création des VLAN 4000
VLAN étendu(s) non autorisé(s) dans le mode VTP actuel.
%Échec de la validation des modifications des VLAN étendus.
Après avoir créé les VLAN souhaités, vous pouvez utiliser la commande show vlan pour les vérifier
dehors. Mais notez que, par défaut, tous les ports du commutateur sont dans le VLAN 1. Pour changer le VLAN
associé à un port, vous devez vous rendre sur chaque interface et lui indiquer spécifiquement quel VLAN doit être un
partie de.
N'oubliez pas qu'un VLAN créé n'est pas utilisé jusqu'à ce qu'il soit affecté à un port de commutateur ou
ports et que tous les ports sont toujours attribués dans le VLAN 1, sauf indication contraire.
Une fois les VLAN créés, vérifiez votre configuration avec la commande show vlan ( sh vlan pour
court):
S1# sh vlan

---- ------------------------- --------- ------------ -------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Gi0/1
Gi0/2
2 Ventes actif
[coupure de sortie]
Si vous voulez voir quels ports sont affectés à un VLAN particulier (par exemple, VLAN 200), vous
pouvez évidemment utiliser la commande show vlan comme indiqué ci-dessus, ou vous pouvez utiliser le show vlan id 200
commande pour obtenir les ports attribués uniquement au VLAN 200.
Cela peut sembler répétitif, mais c'est important, et je veux que vous vous en souveniez : vous ne pouvez pas changer,
supprimez ou renommez le VLAN 1 car c'est le VLAN par défaut et vous ne pouvez tout simplement pas le changer, point final.
C'est également le VLAN natif de tous les commutateurs par défaut, et Cisco vous recommande de l'utiliser comme
VLAN de gestion. Si les problèmes de sécurité vous inquiètent, changez le VLAN natif !
Fondamentalement, tous les ports qui ne sont pas spécifiquement affectés à un autre VLAN seront envoyés au
VLAN natif : VLAN 1.
Dans la sortie S1 précédente, vous pouvez voir que les ports Fa0/1 à Fa0/14, Fa0/19 à 23,
et les liaisons montantes Gi0/1 et Gi02 sont toutes dans le VLAN 1. Mais où sont les ports 15 à 18 ? D'abord,
comprenez que la commande show vlan n'affiche que les ports d'accès, alors maintenant que vous savez quoi
vous regardez avec la commande show vlan , où pensez-vous que les ports Fa15-18 sont ? C'est
droit! Ce sont des ports à ressources partagées. Les commutateurs Cisco exécutent un protocole propriétaire appelé Dynamic Trunk
Protocole (DTP) , et s'il y a un commutateur compatible connecté, ils commenceront la jonction
automatiquement, c'est précisément là que se trouvent mes quatre ports. Vous devez utiliser les interfaces de spectacle
commande trunk pour voir vos ports à ressources partagées comme ceci :
Page 288
S1 # afficher le tronc d'interfaces


Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
[coupure de sortie]
Cette sortie révèle que les VLAN de 1 à 4094 sont autorisés par défaut sur la jonction.
Une autre commande utile, qui fait également partie des objectifs de l'examen Cisco, est le show interfaces
commande d'interface switchport :
Interfaces S1# sh fastEthernet 0/15 switchport
Nom : Fa0/15
VLAN voix : aucun
[coupure de sortie]
La sortie en surbrillance nous montre le mode administratif de dynamique souhaitable , que le port est un
port de jonction, et que DTP a été utilisé pour négocier la méthode de marquage de trame d'ISL. Ça aussi
montre de manière prévisible que le VLAN natif est la valeur par défaut de 1.
Maintenant que nous pouvons voir les VLAN créés, nous pouvons attribuer des ports de commutation à des ports spécifiques. Chaque port
peut faire partie d'un seul VLAN, à l'exception des ports d'accès vocal. Grâce à la jonction, vous pouvez
rendre un port disponible pour le trafic de tous les VLAN. Je couvrirai cela ensuite.
Attribution de ports de commutateur aux VLAN

Vous configurez un port pour appartenir à un VLAN en attribuant un mode d'appartenance qui spécifie le
type de trafic transporté par le port plus le nombre de VLAN auxquels il peut appartenir. Vous pouvez également configurer
chaque port sur un commutateur doit être dans un VLAN spécifique (port d'accès) en utilisant l' interface switchport
commander. Vous pouvez même configurer plusieurs ports en même temps avec la gamme d'interfaces
commander.
Dans l'exemple suivant, je vais configurer l'interface Fa0/3 au VLAN 3. Il s'agit de la connexion du S3
basculer vers l'appareil hôte :
S3 # config t
S3(config-if)# switchport ?
accès Définir les caractéristiques du mode d'accès de l'interface
autostate Inclure ou exclure ce port du calcul de liaison vlan
sauvegarde Définir une sauvegarde pour l'interface
bloquer Désactiver le transfert d'adresses uni/multicast inconnues
hôte Définir l'hôte du port
mode Définir le mode de jonction de l'interface
nonegotiate L'appareil ne s'engagera pas dans le protocole de négociation sur ce
interface
port-security Commande liée à la sécurité
priorité Définir la priorité 802.1p de l'appareil
private-vlan Définir la configuration du VLAN privé
protected Configurer une interface pour être un port protégé
tronc Définir les caractéristiques de jonction de l'interface
voix L'appareil vocal attribue la voix
Eh bien maintenant, qu'avons-nous ici? Il y a de nouvelles choses qui apparaissent dans notre sortie maintenant. Nous pouvons
voir diverses commandes - certaines que j'ai déjà couvertes, mais pas de soucis car je vais
Page 289
couvrira très bientôt les commandes access , mode , nonegotiate et trunk . Commençons par définir un
port d'accès sur S1, qui est probablement le type de port le plus utilisé que vous trouverez en production
Commutateurs qui ont des VLAN configurés :
S3(config-if)# mode switchport ?

accès Réglez le mode de jonction sur ACCESS sans condition
dot1q-tunnel définit le mode de jonction sur TUNNEL inconditionnellement
dynamique Définir le mode de jonction pour négocier dynamiquement l'accès ou le mode de jonction
vlan privé Définir le mode vlan privé
tronc Définir le mode de jonction sur TRUNK inconditionnellement
S3(config-if)# accès en mode switchport

S3(config-if)# switchport access vlan 3
En commençant par la commande switchport mode access , vous indiquez au commutateur qu'il s'agit d'un
port de couche 2 sans agrégation. Vous pouvez ensuite affecter un VLAN au port avec l' accès switchport
commander. N'oubliez pas que vous pouvez choisir de nombreux ports à configurer simultanément avec l' interface
commande de portée .
Jetons maintenant un œil à nos VLAN :
S3# afficher le vlan

---- ------------------------ --------- ------------- ------------------
Fa0/8, Fa0/9, Fa0/10, Fa0/11,
Fa0/12, Fa0/13, Fa0/14, Fa0/19,
Fa0/20, Fa0/21, Fa0/22, Fa0/23,
Gi0/1, Gi0/2
2 Ventes actif
Notez que le port Fa0/3 est désormais membre du VLAN 3. Mais, pouvez-vous me dire où se trouvent les ports 1 et 2 ?
Et pourquoi n'apparaissent-ils pas dans la sortie de show vlan ? C'est vrai, parce qu'ils sont tronc
ports !
Nous pouvons également le voir avec la commande show interfaces interface switchport :
S3# sh int fa0/3 switchport

Nom : Fa0/3
Mode administratif : accès statique
Mode opérationnel : accès statique
Négociation de la jonction : désactivée
Mode d'accès VLAN : 3 (Marketing)
La sortie en surbrillance montre que Fa0/3 est un port d'accès et un membre du VLAN 3 (Marketing).
Avant de passer à la jonction et au VTP, ajoutons un VLAN voix sur notre commutateur. Lorsqu'un téléphone IP
est connecté à un port de commutateur, ce port doit être associé à un VLAN voix. En créant un
VLAN séparé pour le trafic vocal, ce que vous feriez bien sûr, que se passe-t-il lorsque vous avez un
PC ou ordinateur portable qui se connecte via Ethernet à un téléphone IP ? Le téléphone se connecte à Ethernet
port et dans un port sur le commutateur. Vous envoyez maintenant à la fois de la voix et des données au commutateur unique
Port.
Tout ce que vous avez à faire est d'ajouter un autre VLAN au même port de commutateur pour résoudre ce problème et
séparez les données du port du commutateur en deux VLAN :
S1(config)# vlan 10
S1(config-vlan)# nom Voix
S1(config-vlan)# int g0/1
S1(config-if)# switchport voix vlan 10
C'est ça. Eh bien, en quelque sorte. Si vous avez branché des appareils sur chaque port VLAN, ils ne peuvent communiquer qu'avec d'autres
périphériques dans le même VLAN. Mais dès que vous en saurez un peu plus sur le trunking, nous allons
activer la communication inter-VLAN !
Configuration des ports de jonction
Page 290
Le commutateur 2960 exécute uniquement la méthode d'encapsulation IEEE 802.1q. Pour configurer la jonction sur un
Port FastEthernet, utilisez la commande d'interface switchport mode trunk . C'est un peu différent sur le
3560 commutateur.
La sortie de commutateur suivante affiche la configuration de jonction sur les interfaces Fa0/15–18 définie sur
coffre :

Si vous avez un commutateur qui exécute uniquement la méthode d'encapsulation 802.1q, vous n'utiliserez pas le
commande d'encapsulation comme je l'ai fait dans la sortie précédente. Voyons maintenant nos ports de jonction :
S1(config-if-range)# do sh int f0/15 switchport

Nom : Fa0/15
Mode administratif : tronc
Encapsulation d'agrégation administrative : dot1q
Encapsulation d'agrégation opérationnelle : dot1q
VLAN voix : aucun
Notez que le port Fa0/15 est une jonction et exécute 802.1q. Jetons un autre regard :
S1(config-if-range)# do sh int trunk

Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
Prenez note du fait que les ports 15–18 sont maintenant en mode trunk activé et que l'encapsulation est
maintenant 802.1q au lieu de l'ISL négocié. Voici une description des différentes options disponibles
lors de la configuration d'une interface de commutateur :
accès en mode switchport J'en

ai parlé dans la section précédente, mais cela met l'interface (accès
port) en mode non agrégé permanent et négocie pour convertir le lien en un lien non agrégé.
L'interface devient une interface non réseau, que l'interface voisine soit ou non une
interface de tronc. Le port serait un port d'accès de couche 2 dédié.
switchport mode dynamic auto Ce

mode permet à l'interface de convertir le lien en trunk
relier. L'interface devient une interface de jonction si l'interface voisine est définie sur jonction ou
mode souhaitable. La valeur par défaut est l'auto dynamique sur de nombreux commutateurs Cisco, mais ce tronc par défaut
la méthode passe à dynamique souhaitable sur la plupart des nouveaux modèles.
mode switchport dynamique souhaitable Celui-ci

fait que l'interface tente activement de convertir le lien
à une liaison interurbaine. L'interface devient une interface trunk si l'interface voisine est définie sur trunk ,
souhaitable ,
ou mode automatique . Il s'agit désormais du mode de port de commutation par défaut pour toutes les interfaces Ethernet sur tous
nouveaux commutateurs Cisco.
trunk en mode switchport Met

l'interface en mode trunking permanent et négocie pour convertir
la liaison voisine en une liaison interurbaine. L'interface devient une interface de jonction même si le
l'interface voisine n'est pas une interface de jonction.
switchport nonegotiate Empêche

l'interface de générer des trames DTP. Vous pouvez utiliser ceci
commande uniquement lorsque le mode switchport de l'interface est access ou trunk. Vous devez manuellement
configurez l'interface voisine en tant qu'interface de jonction pour établir une liaison de jonction.
Page 291
Dynamic Trunking Protocol (DTP) est utilisé pour négocier la jonction sur un lien
entre deux périphériques ainsi que la négociation du type d'encapsulation 802.1q ou ISL. je
utiliser la commande nonegotiate lorsque je veux des ports de jonction dédiés ; aucune question posée.
Pour désactiver la jonction sur une interface, utilisez la commande switchport mode access , qui définit le port
vers un port de commutateur d'accès de couche 2 dédié.
Définition des VLAN autorisés sur un tronc
Comme je l'ai mentionné, les ports de jonction envoient et reçoivent des informations de tous les VLAN par défaut, et si un
la trame n'est pas balisée, elle est envoyée au VLAN de gestion. Comprenez que cela s'applique à la
VLAN à portée étendue aussi.
Mais nous pouvons supprimer les VLAN de la liste autorisée pour empêcher le trafic de certains VLAN de
en traversant une liaison à ressources partagées. Je vais vous montrer comment vous feriez cela, mais d'abord permettez-moi de démontrer à nouveau que
tous les VLAN sont autorisés sur la liaison de jonction par défaut :
S1# sh int tronc

[coupure de sortie]
Fa0/15 1-4094
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
S1(config-if)# switchport trunk autorisé vlan 4,6,12,15
S1(config-if)# affiche le tronc int
[coupure de sortie]
Fa0/15 4,6,12,15
Fa0/16 1-4094
Fa0/17 1-4094
Fa0/18 1-4094
La commande précédente a affecté la liaison de jonction configurée sur le port S1 Fa0/15, l'amenant à
autoriser tout le trafic envoyé et reçu pour les VLAN 4, 6, 12 et 15. Vous pouvez essayer de supprimer le VLAN 1 sur
un lien de jonction, mais il enverra et recevra toujours des données de gestion telles que CDP, DTP et VTP, alors qu'est-ce que
le point?
Pour supprimer une plage de VLAN, utilisez simplement le tiret :
S1(config-if)# switchport trunk autorisé vlan remove 4-8
Si par hasard quelqu'un a supprimé certains VLAN d'une liaison de jonction et que vous souhaitez définir la jonction
retour à la valeur par défaut, utilisez simplement cette commande :
S1(config-if)# switchport trunk autorisé vlan all
Ensuite, je veux vous montrer comment configurer un VLAN natif pour un tronc avant de commencer le routage
entre les VLAN.
Changer ou modifier le VLAN natif de jonction
Vous pouvez changer le VLAN natif du port de jonction à partir du VLAN 1, ce que beaucoup de gens font pour la sécurité
les raisons. Pour modifier le VLAN natif, utilisez la commande suivante :

S1(config-if)# switchport trunk natif vlan ?
<1-4094> ID de VLAN du VLAN natif lorsque ce port est en mode de jonction
S1(config-if)# switchport trunk natif vlan 4

1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : discordance de VLAN natif découverte sur FastEthernet0/15 (4), avec S3
FastEthernet0/1 (1).
Nous avons donc changé notre VLAN natif sur notre lien de jonction en 4, et en utilisant le show running-config
commande, je peux voir la configuration sous le lien trunk :
Page 292
S1# sh run int f0/15


!
description 1ère connexion à S3
encapsulation de jonction de port de commutation dot1q
switchport tronc natif vlan 4
tronc de switchport autorisé vlan 4,6,12,15
finir
S1# !
Oups, attendez une minute ! Vous ne pensiez pas que ce serait aussi facile et que vous commenceriez simplement à travailler,
vous? Bien sûr que non! Voici le hic : si tous les commutateurs n'ont pas le même VLAN natif configuré
sur les liens de jonction donnés, nous commencerons à recevoir cette erreur, qui s'est produite immédiatement après que j'ai
entré la commande :
1w6d : %CDP-4-NATIVE_VLAN_MISMATCH : discordance de VLAN natif découverte

sur FastEthernet0/15 (4), avec S3 FastEthernet0/1 (1).
En fait, c'est une bonne erreur non cryptique, donc soit nous pouvons aller à l'autre extrémité de notre (nos) lien(s) de jonction.
et changeons le VLAN natif ou nous remettons le VLAN natif à la valeur par défaut pour le réparer. Voici comment
on ferait ça :
S1(config-if)# pas de vlan natif de jonction switchport

1w6d : %SPANTREE-2-UNBLOCK_CONSIST_PORT : déblocage de FastEthernet0/15
sur VLAN0004. Cohérence du port restaurée.
Maintenant, notre lien de jonction utilise le VLAN 1 par défaut comme VLAN natif. N'oubliez pas que tout
les commutateurs sur un tronc donné doivent utiliser le même VLAN natif ou vous aurez de sérieux
problèmes de gestion. Ces problèmes n'affecteront pas les données des utilisateurs, mais uniquement la gestion du trafic entre
commutateurs. Maintenant, mélangeons-le en connectant un routeur à notre réseau commuté et configurons
communication inter-VLAN.
Protocole VLAN Trunking (VTP)

Cisco a également créé celui-ci. Les objectifs de base du VLAN Trunking Protocol (VTP) sont de gérer tous les
VLAN configurés sur un interréseau commuté et pour maintenir la cohérence tout au long de ce
réseau. VTP vous permet d'ajouter, de supprimer et de renommer des VLAN—informations qui sont ensuite
propagé à tous les autres commutateurs du domaine VTP.
Voici une liste de certaines des fonctionnalités intéressantes que VTP a à offrir :
Configuration VLAN cohérente sur tous les commutateurs du réseau
Agrégation VLAN sur des réseaux mixtes, tels que Ethernet vers ATM LANE ou même FDDI
Suivi et surveillance précis des VLAN
Rapport dynamique des VLAN ajoutés à tous les commutateurs du domaine VTP
Ajout de VLAN à l'aide de Plug and Play
Très bien, mais avant de pouvoir utiliser VTP pour gérer vos VLAN sur le réseau, vous devez
créer un serveur VTP (vraiment, vous n'avez même pas besoin de le faire puisque tous les commutateurs sont par défaut sur VTP
en mode serveur, mais assurez-vous simplement d'avoir un serveur). Tous les serveurs qui doivent partager le VLAN
les informations doivent utiliser le même nom de domaine et un commutateur ne peut appartenir qu'à un seul domaine à la fois.
Donc, fondamentalement, cela signifie qu'un commutateur peut partager des informations de domaine VTP avec d'autres commutateurs
uniquement s'ils sont configurés dans le même domaine VTP. Vous pouvez utiliser un domaine VTP si vous avez
plusieurs commutateurs connectés dans un réseau, mais si vous avez tous vos commutateurs dans un seul
VLAN, vous n'avez tout simplement pas besoin d'utiliser VTP. Gardez à l'esprit que les informations VTP sont envoyées entre
commutateurs uniquement via un port de jonction.
Les commutateurs annoncent les informations du domaine de gestion VTP ainsi qu'une révision de configuration
Page 293
numéro et tous les VLAN connus avec des paramètres spécifiques. Mais il y a aussi quelque chose qui s'appelle
Mode transparent VTP . Dans celui-ci, vous pouvez configurer des commutateurs pour transmettre les informations VTP via
ports de jonction, mais de ne pas accepter les mises à jour d'informations ou de mettre à jour leurs bases de données VLAN.
Si vous avez des utilisateurs sournois qui ajoutent des commutateurs à votre domaine VTP dans votre dos, vous pouvez
inclure des mots de passe, mais n'oubliez pas : chaque commutateur doit être configuré avec le même mot de passe. Et comme
vous vous en doutez, ce petit hic peut être une vraie galère administrativement !
Les commutateurs détectent tous les VLAN ajoutés dans une annonce VTP, puis se préparent à envoyer
informations sur leurs ports de jonction avec le VLAN nouvellement défini à la remorque. Les mises à jour sont envoyées comme
numéros de révision qui consistent en des publicités récapitulatives. Chaque fois qu'un commutateur voit une valeur supérieure
numéro de révision, il sait que les informations qu'il obtient sont plus à jour, il écrasera donc le
base de données VLAN existante avec les dernières informations.
Vous devez connaître ces quatre exigences pour que VTP communique les informations VLAN entre
commutateurs :
La version VTP doit être la même
Le nom de domaine de gestion VTP des deux commutateurs doit être défini de la même manière.
L'un des commutateurs doit être configuré en tant que serveur VTP.
Définissez un mot de passe VTP s'il est utilisé.
Aucun routeur n'est nécessaire et n'est pas une exigence. Maintenant que vous avez compris, nous allons
plongez plus profondément dans le monde du VTP avec les modes VTP et l'élagage VTP.
Modes de fonctionnement VTP

La figure 15.1 vous montre comment un serveur VTP mettra à jour la base de données VLAN du client VTP connecté
lorsqu'un changement se produit dans la base de données VLAN sur le serveur.
FIGURE 15.1 Modes VTP
Serveur Il s'agit du mode par défaut pour tous les commutateurs Catalyst. Vous avez besoin d'au moins un serveur dans votre
domaine VTP pour propager les informations VLAN dans ce domaine. Aussi important : le
le commutateur doit être en mode serveur pour pouvoir créer, ajouter et supprimer des VLAN dans un domaine VTP.
Les informations VLAN doivent être modifiées en mode serveur, et toute modification apportée aux VLAN sur un commutateur
en mode serveur sera annoncé à l'ensemble du domaine VTP. En mode serveur VTP, VLAN
les configurations sont enregistrées dans la NVRAM sur le commutateur.
Page 294
Client En mode client, les commutateurs reçoivent des informations des serveurs VTP, mais ils reçoivent également et
transmettre les mises à jour, donc de cette façon, ils se comportent comme des serveurs VTP. La différence est qu'ils ne peuvent pas
créer, modifier ou supprimer des VLAN. De plus, aucun des ports d'un commutateur client ne peut être ajouté à un nouveau
VLAN avant que le serveur VTP n'informe le commutateur client du nouveau VLAN et que le VLAN existe dans
la base de données VLAN du client. Il est également bon de savoir que les informations VLAN envoyées depuis un serveur VTP
n'est pas stocké dans la NVRAM, ce qui est important car cela signifie que si le commutateur est réinitialisé ou
rechargé, les informations VLAN seront supprimées. Voici un indice : si vous voulez qu'un interrupteur devienne un
serveur, faites-en d'abord un client afin qu'il reçoive toutes les informations VLAN correctes, puis changez-le en un
serveur, c'est tellement plus simple !
Donc, fondamentalement, un commutateur en mode client VTP transmettra les annonces récapitulatives VTP et traitera
eux. Ce commutateur apprendra mais n'enregistrera pas la configuration VTP en cours d'exécution
configuration, et il ne l'enregistrera pas dans la NVRAM. Les commutateurs qui sont en mode client VTP ne
connaître et transmettre les informations VTP, c'est tout !
Alors, quand dois-je envisager d'utiliser VTP ?
Voici un scénario pour vous. Bob, administrateur réseau senior chez Acme Corporation à San
Francisco, a environ 25 commutateurs tous connectés ensemble, et il veut configurer des VLAN
pour diviser les domaines de diffusion. Quand pensez-vous qu'il devrait commencer à envisager d'utiliser VTP ?
Si vous avez répondu qu'il aurait dû utiliser VTP au moment où il avait plus d'un commutateur et
plusieurs VLAN, vous avez raison. Si vous n'avez qu'un seul commutateur, alors VTP n'est pas pertinent. Ça aussi
n'est pas un joueur si vous ne configurez pas de VLAN dans votre réseau. Mais si vous avez plusieurs
commutateurs qui utilisent plusieurs VLAN, vous feriez mieux de configurer votre serveur VTP et vos clients, et
tu ferais mieux de le faire correctement!
Lorsque vous ouvrez votre réseau commuté pour la première fois, vérifiez que votre commutateur principal est un VTP
serveur et que tous les autres sont des clients VTP. Lorsque vous créez des VLAN sur le VTP principal
serveur, tous les commutateurs recevront la base de données VLAN.
Si vous avez un réseau commuté existant et que vous souhaitez ajouter un nouveau commutateur, assurez-vous de
configurez-le en tant que client VTP avant de l'installer. Si vous ne le faites pas, c'est possible—d'accord, très
probable—que votre nouvelle petite beauté enverra une nouvelle base de données VTP à tous vos autres
commutateurs, effaçant efficacement tous vos VLAN existants comme une explosion nucléaire. Personne n'a besoin
cette!
Transparent Les commutateurs en mode transparent ne participent pas au domaine VTP ou ne partagent pas
sa base de données VLAN, mais ils transmettront toujours les annonces VTP via n'importe quel
liaisons interurbaines. Ils peuvent créer, modifier et supprimer des VLAN car ils conservent leurs propres
base de données—une qu'ils gardent secrète des autres commutateurs. Bien qu'il soit conservé dans la NVRAM, le
La base de données VLAN en mode transparent n'est en fait significative que localement. Tout le but
du mode transparent est de permettre aux commutateurs distants de recevoir la base de données VLAN d'un VTP
Commutateur configuré par le serveur via un commutateur qui ne participe pas au même VLAN
affectations.
VTP n'apprend que les VLAN à plage normale, avec les ID de VLAN 1 à 1005 ; VLAN avec des identifiants supérieurs
plus de 1005 sont appelés VLAN à portée étendue et ils ne sont pas stockés dans la base de données VLAN. Les
le commutateur doit être en mode transparent VTP lorsque vous créez des ID de VLAN de 1006 à 4094, donc il
serait assez rare que vous utilisiez jamais ces VLAN. Autre chose : les ID de VLAN 1 et 1002 à
1005 sont automatiquement créés sur tous les commutateurs et ne peuvent pas être supprimés.
Élagage VTP
VTP vous offre un moyen de préserver la bande passante en la configurant pour réduire la quantité de
diffusions, multidiffusions et paquets de monodiffusion. C'est ce qu'on appelle l' élagage . Commutateurs activés pour VTP
l'élagage n'envoie des diffusions qu'aux liaisons interurbaines qui doivent réellement disposer des informations.
Page 295
Voici ce que cela signifie : Si le commutateur A n'a aucun port configuré pour le VLAN 5 et un
la diffusion est envoyée à travers le VLAN 5, cette diffusion ne traverserait pas le lien de jonction vers le commutateur
A. Par défaut, l'élagage VTP est désactivé sur tous les commutateurs. Il me semble que ce serait un bon défaut
paramètre. Lorsque vous activez l'élagage sur un serveur VTP, vous l'activez pour l'ensemble du domaine. Par
par défaut, les VLAN 2 à 1001 sont éligibles à l'élagage, mais le VLAN 1 ne peut jamais être élagué car il est
un VLAN administratif. L'élagage VTP est pris en charge avec les versions 1 et 2 de VTP.
En utilisant la commande show interface trunk , nous pouvons voir que tous les VLAN sont autorisés sur un
lien agrégé par défaut :
S1# sh int tronc

Fa0/1 automatique 802.1q goulotte 1
Fa0/2 automatique 802.1q goulotte 1

Fa0/1 1-4094
Fa0/2 1-4094
Port Vlans autorisés et actifs dans le domaine de gestion

Fa0/1 1
Fa0/2 1
Port Vlans dans l'état de transmission spanning tree et non élagués

Fa0/1 1
Fa0/2 aucun
S1#
En regardant la sortie précédente, vous pouvez voir que l'élagage VTP est désactivé par défaut. Je vais
pour aller de l'avant et permettre la taille. Il ne prend qu'une seule commande et il est activé sur l'ensemble de votre
réseau commuté pour les VLAN répertoriés. Voyons ce qui se passe:
S1# config t
Trunk S1(config-if)# switchport ?
autorise Définir les caractéristiques VLAN autorisées lorsque l'interface est
en mode agrégation
natif Définir les caractéristiques natives de la jonction lorsque l'interface
est en mode agrégation
élagage Définir les caractéristiques d'élagage du VLAN lorsque l'interface est
en mode agrégation
Élagage du tronc S1(config-if)# switchport ?
vlan Définir les VLAN activés pour l'élagage lorsque l'interface est en
mode de jonction
S1(config-if)# switchport élagage de jonction vlan 3-4
Les VLAN valides qui peuvent être élagués sont de 2 à 1001. VLAN à plage étendue (ID de VLAN 1006 à
4094) ne peuvent pas être élagués, et ces VLAN non éligibles à l'élagage peuvent recevoir un flot de trafic.
Configuration de VTP
Tous les commutateurs Cisco sont configurés pour être des serveurs VTP par défaut. Pour configurer VTP, vous devez d'abord
pour configurer le nom de domaine que vous souhaitez utiliser. Et bien sûr, une fois le VTP configuré
informations sur un commutateur, vous devez le vérifier.
Lorsque vous créez le domaine VTP, vous disposez de quelques options, notamment la définition de la version VTP,
nom de domaine, mot de passe, mode de fonctionnement et capacités d'élagage du commutateur. Utiliser le vtp
commande de mode de configuration globale pour définir toutes ces informations. Dans l'exemple suivant, je vais définir
le commutateur S1 vers le serveur vtp , le domaine VTP vers Lammle et le mot de passe VTP vers todd :
S1# config t
S1#(config)# serveur en mode vtp
Mode périphérique déjà VTP SERVER.
S1(config)# domaine vtp Lammle
Modification du nom de domaine VTP de null à Lammle
S1(config)# mot de passe vtp todd
Définition du mot de passe de la base de données VLAN de l'appareil sur todd
S1(config)# affiche le mot de passe vtp
Mot de passe VTP : todd
Page 296
S1(config)# affiche l'état vtp

Version VTP :2
Révision de la configuration :0
VLAN maximum pris en charge localement : 255
Nombre de VLAN existants :8
Mode de fonctionnement VTP : Serveur
Nom de domaine VTP : Lammle
Mode d'élagage VTP : Désactivée
Mode VTP V2 : Désactivée
Génération de traps VTP : Désactivée
Condensé MD5 : 0x15 0x54 0x88 0xF2 0x50 0xD9 0x03 0x07
Configuration modifiée pour la dernière fois par 192.168.24.6 au 3-14-93 15:47:32
L'ID du programme de mise à jour local est 192.168.24.6 sur l'interface Vl1 (l'interface VLAN numérotée la plus basse trouvée)
Assurez-vous de vous rappeler que tous les commutateurs sont réglés sur le mode serveur VTP par défaut, et si
vous souhaitez modifier et distribuer n'importe quelle information VLAN sur un switch, vous devez absolument être en
Mode serveur VTP. Après avoir configuré les informations VTP, vous pouvez les vérifier avec le show vtp
commande d' état comme indiqué dans la sortie précédente.
La sortie de commutateur précédente affiche la version VTP, la révision de la configuration, le nombre maximal de VLAN
pris en charge localement, nombre de VLAN existants, mode de fonctionnement VTP, domaine VTP, le VTP
domaine et le mot de passe VTP répertorié comme un résumé MD5. Vous pouvez utiliser show vtp password en privilégié
mode pour voir le mot de passe.
Dépannage de VTP
Vous connectez vos interrupteurs avec des câbles croisés, les voyants passent au vert aux deux extrémités, et vous êtes prêt
et courir ! Ouais, dans un monde parfait, non ? Ne souhaites-tu pas que ce soit aussi facile? Eh bien, en fait, il
à peu près, sans VLAN, bien sûr. Mais si vous utilisez des VLAN—et vous devriez certainement
be—alors vous devez utiliser VTP si vous avez plusieurs VLAN configurés dans votre réseau commuté.
Mais ici il y a des monstres : si VTP n'est pas configuré correctement, il (surprise !) ne fonctionnera pas, donc
vous devez absolument être capable de dépanner VTP. Jetons un coup d'œil à quelques
configurations et résoudre les problèmes. Étudiez la sortie des deux commutateurs suivants :
État de SwitchA# sh vtp

Version VTP :2
Nom de domaine VTP : Lammle
SwitchB# sh état vtp

Version VTP :2
Nom de domaine VTP : GlobalNet
Alors que se passe-t-il avec ces deux commutateurs ? Pourquoi ne partagent-ils pas les informations VLAN ? En premier
coup d'oeil, il semble que les deux serveurs soient en mode serveur VTP, mais ce n'est pas le problème. Serveurs dans
Le mode serveur VTP partagera les informations VLAN à l'aide de VTP. Le problème c'est qu'ils sont en deux
différents domaines VTP . SwitchA est dans le domaine VTP Lammle et SwitchB est dans le domaine VTP
GlobalNet. Ils ne partageront jamais les informations VTP car les noms de domaine VTP sont
configuré différemment.
Maintenant que vous savez comment rechercher les erreurs de configuration de domaine VTP courantes dans vos commutateurs,
examinons une autre configuration de commutateur :
SwitchC# sh état vtp

Version VTP :2
Page 297

Mode de fonctionnement VTP : Client
Nom de domaine VTP : Todd
Voici ce qui se passera lorsque vous aurez la configuration VTP précédente :
SwitchC(config)# vlan 50
La configuration VTP VLAN n'est pas autorisée lorsque l'appareil est en mode CLIENT.
Là, vous essayez simplement de créer un nouveau VLAN sur SwitchC et qu'obtenez-vous pour votre
difficulté? Une erreur abominable ! Pourquoi ne pouvez-vous pas créer un VLAN sur SwitchC ? Eh bien, le domaine VTP
le nom n'est pas la chose importante dans cet exemple. Ce qui est critique ici, c'est le mode VTP . Le VTP
le mode est client, et un client VTP ne peut pas créer, supprimer ou modifier des VLAN, vous vous souvenez ? Clients VTP
ne conservez que la base de données VTP dans la RAM, et celle-ci n'est pas enregistrée dans la NVRAM. Ainsi, pour créer un
VLAN sur ce commutateur, vous devez d'abord faire du commutateur un serveur VTP.
Donc, pour résoudre ce problème, voici ce que vous devez faire :
Serveur SwitchC(config)# en mode vtp

Réglage de l'appareil en mode VTP SERVER
SwitchC(config)# vlan 50
SwitchC(config-vlan)#
Attendez, nous n'avons pas fini. Maintenant, regardez la sortie de ces deux commutateurs et déterminez pourquoi
SwitchB ne reçoit pas d'informations VLAN de SwitchA :

Version VTP :2

Version VTP :2
Révision de la configuration : 14
Vous pourriez être tenté de dire que c'est parce qu'ils sont tous les deux des serveurs VTP, mais ce n'est pas le problème. Tous
vos commutateurs peuvent être des serveurs et ils peuvent toujours partager des informations VLAN. En réalité,
Cisco suggère en fait que tous les commutateurs restent des serveurs VTP et que vous vous assurez simplement que le commutateur
vous souhaitez annoncer que les informations VTP VLAN ont le numéro de révision le plus élevé. Si tous les commutateurs sont
serveurs VTP, alors tous les commutateurs enregistreront la base de données VLAN. Mais SwitchB ne reçoit pas
Informations VLAN de SwitchA car SwitchB a un numéro de révision plus élevé que SwitchA.
Il est très important que vous puissiez reconnaître ce problème.
Il existe plusieurs manières de résoudre ce problème. La première chose que vous pouvez faire est de changer
le nom de domaine VTP sur SwitchB en un autre nom, puis redéfinissez-le sur GlobalNet, ce qui
remettre le numéro de révision à zéro (0) sur SwitchB. La deuxième approche consisterait à créer ou
supprimez les VLAN sur SwitchA jusqu'à ce que le numéro de révision dépasse le numéro de révision sur SwitchB. je
n'a pas dit que la deuxième voie était meilleure ; Je viens de dire que c'est une autre façon de résoudre le problème !
Regardons-en un de plus. Pourquoi SwitchB ne reçoit-il pas les informations VLAN de SwitchA ?

Version VTP :1
Page 298


Version VTP :2
Nom de domaine VTP :
Je sais que votre premier réflexe est de remarquer que SwitchB n'a pas de nom de domaine défini et de considérer
que la question. Ce n'est pas le problème ! Lorsqu'un commutateur se déclenche, un serveur VTP avec un domaine
name set enverra des publicités VTP, et un nouveau commutateur prêt à l'emploi se configurera en utilisant
l'annonce avec le nom de domaine reçu et télécharger également la base de données VLAN.
Le problème avec les commutateurs ci-dessus est qu'ils sont définis sur différentes versions de VTP, mais cela reste
n'est pas le problème complet.
Par défaut, VTP fonctionne en version 1. Vous pouvez configurer VTP version 2 si vous souhaitez prendre en charge
ces fonctionnalités, qui ne sont pas supportées dans la version 1 :
Prise en charge de Token Ring—Hmmm… cela ne semble pas être une raison pour passer à la version 2 aujourd'hui.
Regardons quelques autres raisons.
Prise en charge non reconnue de type-longueur-valeur (TLV) : un serveur ou un client VTP se propage
les changements de configuration à ses autres troncs, même pour les TLV, il n'est pas capable d'analyser. Les
TLV non reconnu est enregistré dans la NVRAM lorsque le commutateur fonctionne en mode serveur VTP.
Mode transparent dépendant de la version : dans la version 1 de VTP, un commutateur transparent VTP inspecte
messages VTP pour le nom de domaine et la version et ne transmet un message que si la version
et la correspondance du nom de domaine. Étant donné que VTP version 2 ne prend en charge qu'un seul domaine, il transfère VTP
messages en mode transparent sans inspecter la version et le nom de domaine.
Contrôles de cohérence : dans VTP version 2, les contrôles de cohérence VLAN (tels que la vérification du
cohérence des noms et valeurs de VLAN) ne sont effectués que lorsque vous entrez de nouvelles informations
via la CLI ou SNMP. Les contrôles de cohérence ne sont pas effectués lorsque de nouvelles informations sont
obtenu à partir d'un message VTP ou lorsque des informations sont lues à partir de la NVRAM. Si le condensé MD5
sur un message VTP reçu est correcte, ses informations sont acceptées.
Attendre! Rien n'est si facile. Réglez simplement SwitchA sur la version 2 et nous sommes opérationnels ? Nan! Les
La chose intéressante à propos de VTP version 2 est que si vous définissez un commutateur dans votre réseau (domaine VTP)
à la version 2, tous les commutateurs définiraient leur version sur 2 automatiquement—très cool ! Alors qu'est-ce que
le problème? SwitchA ne prend pas en charge VTP version 2, qui est la réponse réelle à cette question.
Fou! Je pense que vous pouvez voir que VTP vous poussera à boire si vous ne faites pas attention !
D'accord, prenez un café, un expresso ou Mountain Dew et accrochez-vous à vos chapeaux, c'est le temps des arbres !
Protocole Spanning Tree (STP)

Le protocole Spanning Tree (STP) atteint son objectif principal d'empêcher les boucles de réseau sur
ponts ou commutateurs de réseau de couche 2 en surveillant le réseau pour suivre tous les liens et arrêter
les redondants. STP utilise l'algorithme spanning-tree (STA) pour créer d'abord une topologie
base de données, puis recherchez et désactivez les liens redondants. Avec STP en cours d'exécution, les trames seront
transmis uniquement sur des liens premium choisis par STP.
Le protocole Spanning Tree est un excellent protocole à utiliser dans des réseaux comme celui illustré à la figure
15.2 .
Page 299
FIGURE 15.2 Un réseau commuté avec des boucles de commutation
Il s'agit d'un réseau commuté avec une topologie redondante qui inclut des boucles de commutation. Sans
un certain type de mécanisme de couche 2 en place pour empêcher une boucle de réseau, ce réseau est vulnérable à
problèmes désagréables comme les tempêtes de diffusion, les copies de trames multiples et le thrashing de la table MAC ! Graphique 15.3
montre comment ce réseau fonctionnerait avec STP travaillant sur les commutateurs.
FIGURE 15.3 Un réseau commuté avec STP
Il existe quelques types de protocoles spanning-tree, mais je vais commencer par la version IEEE 802.1d, qui
se trouve être la valeur par défaut sur tous les commutateurs Cisco IOS.
Termes Spanning Tree

Maintenant, avant d'entrer dans la description des détails du fonctionnement de STP au sein d'un réseau, il serait bon
Page 300
pour que vous ayez d'abord ces idées et termes de base :
Pont racine Le pont racine est le pont avec l'ID de pont le plus bas et, par conséquent, le meilleur.
Les commutateurs au sein du réseau STP élisent un pont racine, qui devient le point focal dans le
réseau. Toutes les autres décisions du réseau, telles que les ports sur les ponts non racine qui doivent être
bloqués ou mis en mode transfert, se font du point de vue du pont racine, et une fois celui-ci
a été élu, tous les autres ponts doivent créer un chemin unique vers celui-ci. Le port avec le meilleur chemin pour
le pont racine est appelé le port racine.
Ponts non racine Il s'agit de tous les ponts qui ne sont pas le pont racine. Échange de ponts non racine
BPDU avec tous les autres ponts et mettez à jour la base de données de topologie STP sur tous les commutateurs. Cette
empêche les boucles et aide à se défendre contre les défaillances de liaison.
BPDU Tous les commutateurs échangent des informations à utiliser pour la configuration ultérieure du réseau.
Chaque commutateur compare les paramètres de la Bridge Protocol Data Unit (BPDU) qu'il envoie à un
voisin avec les paramètres de la BPDU qu'il reçoit des autres voisins. À l'intérieur de
BPDU est l'ID du pont.
ID de pont L' ID de pont est la façon dont STP assure le suivi de tous les commutateurs du réseau. Son
déterminé par une combinaison de la priorité de pont, qui est de 32 768 par défaut sur tous les
commutateurs et l'adresse MAC de base. Le pont avec l'ID de pont le plus bas devient la racine
pont dans le réseau. Une fois le pont racine établi, tous les autres commutateurs doivent effectuer un seul
chemin vers elle. La plupart des réseaux bénéficient en forçant un pont ou un commutateur spécifique à être sur le pont racine en
en définissant sa priorité de pont inférieure à la valeur par défaut.
Coût du port Le coût du port détermine le meilleur chemin lorsque plusieurs liens sont utilisés entre deux commutateurs.
Le coût d'un lien est déterminé par la bande passante d'un lien, et ce coût de chemin est la décision
facteur utilisé par chaque pont pour trouver le chemin le plus efficace vers le pont racine.
Coût du chemin Un commutateur peut rencontrer un ou plusieurs commutateurs sur son chemin vers le pont racine, et là
peut être plus d'un chemin possible. Tous les chemins uniques sont analysés individuellement et un coût de chemin est
calculé pour chaque chemin unique en ajoutant les coûts de port individuels rencontrés sur le chemin de
le pont racine.
Rôles des ports de pont
STP utilise des rôles pour déterminer comment un port sur un commutateur agira dans l'algorithme spanning-tree.
Port racine Le port racine est le lien avec le coût de chemin le plus bas vers le pont racine. Si plus d'un
lien se connecte au pont racine, puis un coût de port est trouvé en vérifiant la bande passante de chaque lien.
Le port le moins cher devient le port racine. Lorsque plusieurs liens se connectent au même appareil, le
Le port connecté au numéro de port le plus bas sur le commutateur en amont sera celui qui est utilisé. Les
le pont racine ne peut jamais avoir de désignation de port racine, alors que tous les autres commutateurs d'un réseau doivent
avoir un et un seul port racine.
Port désigné Un port désigné est celui qui a été déterminé pour avoir le meilleur coût (le plus bas)
pour accéder à un segment de réseau donné, par rapport aux autres ports de ce segment. Un désigné
port sera marqué comme un port de transfert, et vous ne pouvez avoir qu'un seul port de transfert par réseau
segment.
Port non désigné Un port non désigné est un port dont le coût est plus élevé que le port désigné.
Ce sont essentiellement ceux qui restent après que les ports racine et les ports désignés ont été
déterminé. Les ports non désignés sont mis en mode de blocage ou de rejet - ils ne sont pas
ports de transfert !
Port de transfert Un port de transfert transfère les trames et sera soit un port racine, soit un
port désigné.
Port bloqué Un port bloqué ne transmettra pas de trames afin d'éviter les boucles. Un port bloqué
écoutera toujours les trames BPDU des commutateurs voisins, mais il supprimera toutes les autres
trames reçues et ne transmettra jamais une trame.
Port alternatif Ceci correspond à l'état de blocage de 802.1d et est un terme utilisé avec le
Page 301
plus récent 802.1w (Rapid Spanning Tree Protocol). Un port alternatif est situé sur un commutateur
connecté à un segment LAN avec deux ou plusieurs commutateurs connectés, et l'un des autres commutateurs
détient le port désigné.
Port de sauvegarde Cela correspond à l'état de blocage de 802.1d et est un terme maintenant utilisé avec le
plus récent 802.1w. Un port de secours est connecté à un segment LAN où un autre port de ce commutateur est
agissant en tant que port désigné.
États du port Spanning Tree
D'accord, donc vous branchez votre hôte sur un port de commutateur et la lumière devient orange et votre hôte ne reçoit pas
une adresse DHCP du serveur. Vous attendez et attendez et finalement le feu passe au vert après presque un
minute complète, c'est une éternité dans les réseaux d'aujourd'hui ! Il s'agit de la transition STA à travers le
différents états de port vérifiant que vous n'avez pas simplement créé une boucle avec le périphérique que vous venez de brancher
in. STP préférerait expirer votre nouvel hôte plutôt que d'autoriser une boucle dans le réseau car cela
mettrait effectivement votre réseau à genoux. Parlons des états de transition ; puis plus tard
dans ce chapitre, nous verrons comment accélérer ce processus.
Les ports d'un pont ou d'un commutateur exécutant IEEE 802.1d STP peuvent passer par cinq
États:
Désactivé (techniquement, pas un état de transition) Un port dans l'état désactivé administrativement
ne participe pas au transfert de trame ou au STP. Un port à l'état désactivé est virtuellement
non opérationnelle.
Blocage Comme je l'ai mentionné, un port bloqué ne transmettra pas de trames ; il n'écoute que les BPDU. Les
Le but de l'état de blocage est d'empêcher l'utilisation de chemins en boucle. Tous les ports sont en état de blocage
par défaut à la mise sous tension du switch.
Écoute Ce port écoute les BPDU pour s'assurer qu'aucune boucle ne se produit sur le réseau avant
passer des trames de données. Un port en état d'écoute se prépare à transmettre des trames de données sans se remplir
la table d'adresses MAC.
Apprentissage Le port du commutateur écoute les BPDU et apprend tous les chemins du réseau commuté. UNE
le port en état d'apprentissage remplit la table d'adresses MAC mais ne transmet toujours pas les trames de données.
Le délai de transfert fait référence au temps nécessaire pour faire passer un port du mode d'écoute au mode d'apprentissage, ou
du mode d'apprentissage au mode de transfert, qui est défini sur 15 secondes par défaut et peut être vu dans le
afficher la sortie spanning-tree .
Transfert Ce port envoie et reçoit toutes les trames de données sur le port ponté. Si le port est toujours un
port désigné ou racine à la fin de l'état d'apprentissage, il entrera dans l'état de transfert.
Les commutateurs remplissent la table d'adresses MAC dans les modes d'apprentissage et de transfert uniquement.
Les ports de commutation sont le plus souvent en état de blocage ou de transfert. Un port de transfert est
généralement celui qui a été déterminé comme ayant le coût le plus bas (le meilleur) pour le pont racine. Mais
quand et si le réseau subit un changement de topologie en raison d'un lien défaillant ou parce que quelqu'un
a ajouté un nouveau commutateur, vous verrez les ports d'un commutateur passer par l'écoute et
états d'apprentissage.
Comme je l'ai dit plus tôt, le blocage des ports est une stratégie pour empêcher les boucles réseau. Une fois un interrupteur
détermine le meilleur chemin vers le pont racine pour son port racine et tous les ports désignés, tous les autres
les ports redondants seront en mode bloquant. Les ports bloqués peuvent toujours recevoir des BPDU - ils ne le font tout simplement pas
envoyer des cadres.
Si un commutateur détermine qu'un port bloqué doit devenir le port désigné ou racine en raison de
un changement de topologie, il passera en mode d'écoute et vérifiera tous les BPDU qu'il reçoit pour s'assurer qu'il
ne créera pas de boucle une fois que le port passe en mode de transfert.
Page 302
Convergence
La convergence se produit lorsque tous les ports sur les ponts et les commutateurs sont passés à
modes de renvoi ou de blocage. Aucune donnée ne sera transmise tant que la convergence n'est pas terminée. Oui-
vous avez bien lu : lorsque STP converge, toutes les données de l'hôte arrêtent de transmettre via le
commutateurs ! Alors si vous voulez rester en bons termes avec les utilisateurs de votre réseau, ou rester
employé pendant un certain temps, vous devez vous assurer que votre réseau commuté est physiquement
très bien conçu pour que STP puisse converger rapidement !
La convergence est vitale car elle garantit que tous les appareils disposent d'une base de données cohérente. Et faire
s'assurer que cela se passe efficacement nécessitera certainement votre temps et votre attention. Le STP d'origine
(802.1d) prend 50 secondes pour passer du mode blocage au mode de transfert par défaut et je ne
recommande de changer les minuteurs STP par défaut. Vous pouvez régler ces minuteurs pour un grand réseau,
mais la meilleure solution est simplement de ne plus utiliser 802.1d ! Nous allons arriver aux différents STP
versions en une minute.
Coûts de liaison
Maintenant que vous connaissez les différents rôles et états des ports, vous devez vraiment comprendre tout
sur le coût du chemin avant de mettre tout cela ensemble. Le coût du port est basé sur la vitesse de la liaison, et
Le tableau 15.1 détaille pour vous les coûts du chemin nécessaire. Le coût du port est le coût d'un seul lien,
tandis que le coût du chemin est la somme des différents coûts de port vers le pont racine.
Tableau 15.1 Coûts de liaison IEEE STP
La vitesse Coût
10 Mo/s 100
100 Mo/s 19
1000 Mo/s 4
10 000 Mo/s 2
Ces coûts seront utilisés dans les calculs STP pour choisir un seul port racine sur chaque pont. Tu
absolument besoin de mémoriser ce tableau, mais ne vous inquiétez pas, je vais vous guider à travers de nombreux exemples dans
ce chapitre pour vous aider à le faire assez facilement ! Maintenant il est temps de prendre tout ce que nous avons appris jusqu'à présent
et assembler le tout.
Opérations Spanning Tree

Commençons par résumer soigneusement ce que vous avez appris jusqu'à présent en utilisant le simple réseau à trois commutateurs
reliés ensemble comme le montre la figure 15.4 .
Page 303
FIGURE 15.4 Opérations STP
Fondamentalement, le travail de STP est de trouver tous les liens du réseau et de fermer tous les liens redondants,
empêchant ainsi les boucles de réseau de se produire. Il y parvient en élisant d'abord un pont racine
qui aura tous les ports de redirection et servira également de point de référence pour tous les autres appareils
dans le domaine STP. Dans la Figure 15.4 , S1 a été élu pont racine en fonction de l'ID de pont.
Étant donné que les priorités sont toutes égales à 32 768, nous comparerons les adresses MAC et constaterons que le MAC
l'adresse de S1 est inférieure à celle de S2 et S3, ce qui signifie que S1 a un meilleur ID de pont.
Une fois que tous les commutateurs sont d'accord sur le pont racine, ils doivent alors déterminer leur seul et unique port racine
: le chemin unique vers le pont racine. Il est vraiment important de se rappeler qu'un pont peut aller
à travers de nombreux autres ponts pour arriver à la racine, ce n'est donc pas toujours le chemin le plus court qui sera
choisi. Ce rôle sera attribué au port qui offre la bande passante la plus rapide et la plus élevée.
La figure 15.5 montre les ports racine pour les deux ponts non racine (le RP signifie un port racine et le F
signifie un port de transfert désigné).
En regardant le coût de chaque lien, il est clair pourquoi S2 et S3 utilisent leurs liens directement connectés,
car un lien gigabit a un coût de 4. Par exemple, si S3 a choisi le chemin via S2 comme racine
port, nous devrions additionner chaque coût de port en cours de route jusqu'à la racine, ce qui serait 4 + 4 pour un
Page 304
coût total de 8.
Chaque port sur le pont racine est un port désigné, ou de transfert, pour un segment, et après le
la poussière se dépose sur tous les autres ponts non racine, toute connexion de port entre les commutateurs qui n'est pas non plus un
le port racine ou un port désigné deviendra de manière prévisible un port non désigné. Ceux-ci seront à nouveau
mis dans l'état de blocage pour éviter les boucles de commutation.
D'accord, à ce stade, nous avons notre pont racine avec tous les ports en état de transfert et nous avons trouvé
nos ports racine pour chaque pont non racine. Maintenant, il ne reste plus qu'à choisir celui
port de transfert sur le segment entre S2 et S3. Les deux ponts ne peuvent pas être transférés sur un
segment parce que c'est exactement comme ça que nous nous retrouverions avec des boucles. Ainsi, en fonction de l'ID du pont, le
le port avec le meilleur et le plus bas deviendrait le seul transfert de pont sur ce segment, avec le
l'un ayant l'ID de pont le plus élevé et le pire mis en mode de blocage. La figure 15.6 montre le réseau
après que STP a convergé.
Étant donné que S3 avait un ID de pont inférieur (mieux), le port de S2 est passé en mode bloquant. Parlons de la racine
pont plus complètement le processus électoral maintenant.
Sélection du pont racine
L'ID de pont est utilisé pour élire le pont racine dans le domaine STP et pour déterminer le port racine
pour chacun des appareils restants lorsqu'il y a plus d'un port racine potentiel disponible
parce qu'ils ont des chemins à coût égal. Cet ID de pont de clé a une longueur de 8 octets et comprend à la fois le
priorité et l'adresse MAC de l'appareil, comme illustré à la Figure 15.7 . N'oubliez pas : la valeur par défaut
la priorité sur tous les appareils exécutant la version IEEE STP est de 32 768.
Page 305
Ainsi, pour déterminer le pont racine, vous combinez la priorité de chaque pont avec son adresse MAC.
Si deux commutateurs ou ponts ont la même valeur de priorité, l'adresse MAC devient la
bris d'égalité pour déterminer lequel a l'ID le plus bas et, par conséquent, le meilleur. Cela signifie que
étant donné que les deux commutateurs de la figure 15.7 utilisent tous les deux la priorité par défaut de 32 768, le MAC
l'adresse sera plutôt le facteur déterminant. Et parce que l'adresse MAC du commutateur A est
0000.0cab.3274 et l'adresse MAC du commutateur B est 0000.0cf6.9370, le commutateur A gagne et
devenir le pont racine. Un moyen très simple de déterminer l'adresse MAC la plus basse consiste à commencer
lecture de la gauche vers la droite jusqu'à ce que vous trouviez une valeur moindre. Pour le commutateur A, j'avais seulement besoin de
arriver à 0000.0ca avant de s'arrêter. Le commutateur A gagne puisque le commutateur B est 0000.0cf. N'oubliez jamais que le
une valeur inférieure est toujours la meilleure lorsqu'il s'agit d'élire un pont racine !
Je tiens à préciser qu'avant l'élection du pont racine, les BPDU sont envoyés toutes les 2 secondes
tous les ports actifs sur un pont/commutateur par défaut, et ils sont reçus et traités par tous
des ponts. Le pont racine est élu sur la base de ces informations. Vous pouvez modifier l'ID du pont en
en abaissant sa priorité pour qu'il devienne automatiquement un pont racine. Être capable de faire ça, c'est
important dans un grand réseau commuté, car il garantit que les meilleurs chemins seront réellement les
ceux choisis. L'efficacité est toujours impressionnante dans le réseautage!
Types de protocoles Spanning Tree

Il existe plusieurs variétés de protocoles spanning-tree utilisés aujourd'hui :
IEEE 802.1d La norme d'origine pour le pontage et le STP, qui est vraiment lente mais nécessite très
peu de ressources de pont. Il est également appelé Common Spanning Tree (CST).
PVST+ (version par défaut de Cisco) Per-VLAN Spanning Tree+ (PVST+) est la propriété de Cisco
amélioration pour STP qui fournit une instance de spanning-tree 802.1d distincte pour chaque VLAN.
Sachez que c'est aussi lent que le protocole CST, mais avec lui, nous arrivons à avoir plusieurs root
des ponts. Cela crée plus d'efficacité des liens dans le réseau, mais il utilise plus de pont
ressources que CST.
IEEE 802.1w Aussi appelé Rapid Spanning Tree Protocol (RSTP), cette itération a amélioré le
l'échange de BPDU et a ouvert la voie à une convergence de réseau beaucoup plus rapide, mais il ne permet toujours que
pour un pont racine par réseau comme CST. Les ressources de pont utilisées avec RSTP sont supérieures à
CST mais moins que PVST+.
802.1s (MSTP) Norme IEEE qui a commencé comme propriété de Cisco MISTP. Cartes multiples
VLAN dans la même instance de spanning-tree pour économiser le traitement sur le commutateur. C'est fondamentalement un
protocole spanning-tree qui chevauche un autre protocole spanning-tree.
Rapid PVST+ La version Cisco de RSTP qui utilise également PVST+ et fournit une instance distincte
de 802.1w par VLAN. Cela nous donne des temps de convergence très rapides et un flux de trafic optimal, mais
nécessite de manière prévisible le plus de CPU et de mémoire de tous.
Arbre couvrant commun

Si vous exécutez Common Spanning Tree (CST) dans votre réseau commuté avec des liens redondants,
il y aura une élection pour choisir ce que STP considère comme le meilleur pont racine pour votre
réseau. Ce commutateur deviendra également la racine de tous les VLAN de votre réseau et de tous les ponts dans
votre réseau créera un chemin unique vers celui-ci. Vous pouvez remplacer manuellement cette sélection et choisir
quel que soit le pont que vous voulez si cela a du sens pour votre réseau particulier.
La figure 15.8 montre à quoi ressemblerait un pont racine typique sur votre réseau commuté lors de l'exécution
CST.
Page 306
FIGURE 15.8 Exemple de STP commun
Notez que le commutateur A est le pont racine pour tous les VLAN même si ce n'est vraiment pas le meilleur chemin pour
certains VLAN car tous les commutateurs doivent y créer un seul chemin ! C'est là que Per-VLAN
Spanning Tree+ (PVST+) entre en jeu. Parce qu'il permet une instance distincte de STP pour
chaque VLAN, il libère la sélection individuelle du chemin le plus optimal.
Arbre couvrant par VLAN+

PVST+ est une extension propriétaire de Cisco à 801.2d STP qui fournit une extension 802.1 distincte-
instance d'arborescence pour chaque VLAN configuré sur vos commutateurs. Toutes les extensions propriétaires de Cisco
ont été créés pour améliorer les temps de convergence, qui sont de 50 secondes par défaut. Commutateurs Cisco IOS
exécutez 802.1d PVST+ par défaut, ce qui signifie que vous aurez une sélection de chemin optimale, mais le
le temps de convergence sera encore lent.
La création d'une instance STP par VLAN pour chaque VLAN vaut l'augmentation du processeur et de la mémoire
exigences, car il permet des ponts racine par VLAN. Cette fonctionnalité permet à l'arborescence STP de
être optimisé pour le trafic de chaque VLAN en vous permettant de configurer le pont racine dans le
centre de chacun d'eux. La figure 15.9 montre à quoi ressemblerait PVST+ dans un commutateur optimisé
réseau avec plusieurs liens redondants.
Ce placement de pont racine permet clairement une convergence plus rapide ainsi qu'un chemin optimal
détermination. La convergence de cette version est vraiment similaire à celle de 802.1 CST, qui a un
instance de STP, quel que soit le nombre de VLAN que vous avez configurés sur votre réseau. Les
la différence est qu'avec PVST+, la convergence se produit sur une base par VLAN, avec chaque VLAN
exécutant sa propre instance de STP. La figure 15.9 nous montre que nous avons maintenant une belle racine efficace
sélection de pont pour chaque VLAN.
Page 307
FIGURE 15.9 PVST+ permet une sélection efficace du pont racine.
Pour permettre au PVST+ de fonctionner, il y a un champ inséré dans le BPDU pour accueillir le
ID système étendu afin que PVST+ puisse avoir un pont racine configuré sur une instance par-STP,
illustré à la figure 15.10 . L'ID du pont devient en fait plus petit (seulement 4 bits), ce qui signifie que
nous configurerions la priorité du pont par blocs de 4 096 plutôt que par incréments de 1 comme nous l'avons fait
avec CST. L'ID système étendu (ID VLAN) est un champ de 12 bits, et nous pouvons même voir ce que ce champ
est transporté via la sortie de la commande show spanning-tree , que je vous montrerai bientôt.
FIGURE 15.10 ID de pont unique PVST+
Mais n'y a-t-il pas un moyen de faire mieux qu'un temps de convergence de 50 secondes ? C'est vraiment un
longtemps dans le monde d'aujourd'hui !
Protocole Rapid Spanning Tree 802.1w
Ne serait-il pas merveilleux d'avoir une solide configuration STP en cours d'exécution sur votre réseau commuté,
quel que soit le type de commutateur, et toutes les fonctionnalités dont nous venons de parler sont toujours intégrées et activées
chacun de vos interrupteurs aussi ? Le protocole Rapid Spanning Tree (RSTP) sert exactement cela
capacité incroyable jusqu'à notre table de réseautage !
Cisco a créé des extensions propriétaires pour « réparer » tous les gouffres et les passifs de l'IEEE 802.1d
standard nous a été lancé, le principal inconvénient étant qu'ils nécessitent une configuration supplémentaire
car ils sont la propriété de Cisco. Mais RSTP, la nouvelle norme 802.1w, nous apporte la plupart des
correctifs nécessaires dans une solution concise. Encore une fois, l'efficacité est d'or !
RSTP, ou IEEE 802.1w, est essentiellement une évolution de STP qui permet une
convergence. Mais même s'il résout tous les problèmes de convergence, il ne permet toujours qu'un
instance STP unique, donc cela n'aide pas à éliminer les problèmes de flux de trafic sous-optimaux. Et comme je
mentionné, pour prendre en charge cette convergence plus rapide, l'utilisation du processeur et les demandes de mémoire sont légèrement
supérieur à celui de CST. La bonne nouvelle est que Cisco IOS peut exécuter le protocole Rapid PVST+, un
amélioration de RSTP qui fournit une instance de spanning-tree 802.1w distincte pour chaque VLAN
configuré au sein du réseau. Mais toute cette puissance a besoin de carburant, et bien que cette version traite
problèmes de convergence et de flux de trafic, il exige également le plus de CPU et de mémoire de tous
solutions. Et c'est aussi une bonne nouvelle que les derniers commutateurs de Cisco n'ont pas de problème avec cela
protocole s'exécutant sur eux.
Gardez à l'esprit que la documentation Cisco peut indiquer STP 802.1d et RSTP 802.1w,
mais il fait référence à l'amélioration PVST+ de chaque version.
Comprenez que RSTP n'était pas censé être quelque chose de complètement nouveau et différent. Le protocole
est plus une évolution qu'une innovation de la norme 802.1d, qui offre des
convergence chaque fois qu'un changement de topologie se produit. La rétrocompatibilité était un must quand
802.1w a été créé.
Ainsi, RSTP aide à résoudre les problèmes de convergence qui étaient le fléau du STP traditionnel. PVST+ rapide est
Page 308
basé sur la norme 802.1w de la même manière que PVST+ est basé sur 802.1d. L'opération de
Rapid PVST+ est simplement une instance distincte de 802.1w pour chaque VLAN. Voici une liste pour clarifier comment
tout s'effondre :
RSTP accélère le recalcul du spanning tree lorsque la topologie du réseau de couche 2

changements.
Il s'agit d'une norme IEEE qui redéfinit les rôles, les états et les BPDU des ports STP.
RSTP est extrêmement proactif et très rapide, il n'a donc pas besoin des temporisateurs 802.1d.
RSTP (802.1w) remplace 802.1d tout en restant rétrocompatible.
Une grande partie de la terminologie 802.1d et la plupart des paramètres restent inchangés.
802.1w est capable de revenir à 802.1d pour interagir avec les commutateurs traditionnels sur un
base portuaire.
Et pour dissiper la confusion, il y a aussi cinq ajustements terminologiques entre les cinq
états des ports et 802.1w, comparés ici, respectivement :
État 802.1d État 802.1w
Désactivée = Jeter
Blocage = Jeter
Écoute = Jeter
Apprentissage = Apprentissage
Expéditeur = Renvoi
Prenez note du fait que RSTP va essentiellement de l'élimination à l'apprentissage à la transmission,

alors que 802.1d nécessite cinq états pour la transition.
La tâche de déterminer le pont racine, les ports racine et les ports désignés n'a pas changé depuis
802.1d à RSTP, et comprendre le coût de chaque lien est toujours essentiel pour prendre ces décisions
bien. Jetons un coup d'œil à un exemple de la façon de déterminer les ports en utilisant le coût IEEE révisé
spécifications de la figure 15.11 .
FIGURE 15.11 Exemple RSTP 1
Pouvez-vous déterminer quel est le pont racine ? Que diriez-vous de quel port est la racine et lesquels sont
Page 309
désigné ? Eh bien, parce que SC a l'adresse MAC la plus basse, il devient le pont racine, et depuis
tous les ports d'un pont racine transfèrent des ports désignés, eh bien, c'est facile, n'est-ce pas ? Ports Gi0/1
et Gi0/10 deviennent des ports de transfert désignés sur SC.
Mais lequel serait le port racine pour SA ? Pour comprendre cela, nous devons d'abord trouver le coût du port
pour le lien direct entre SA et SC. Même si le pont racine (SC) a un Gigabit Ethernet
port, il fonctionne à 100 Mbps car le port de SA est un port de 100 Mbps, ce qui lui donne un coût de 19. Si le
les chemins entre SA et SC étaient tous deux Gigabit Ethernet, leurs coûts ne seraient que de 4, mais parce que
ils utilisent à la place des liaisons de 100 Mbps, le coût grimpe à 19 !
Pouvez-vous trouver le port racine de SD ? Un rapide coup d'œil sur le lien entre SC et SD nous dit que c'est un Gigabit
Lien Ethernet avec un coût de 4, donc le port racine pour SD serait son port Gi0/9.
Le coût de la liaison entre SB et SD est également de 19 car c'est aussi une liaison Fast Ethernet, apportant
le coût total de SB à SD à la racine (SC) pour un coût total de 19 + 4 = 23. Si SB devait passer par
SA pour se rendre à SC, alors le coût serait de 19 + 19, ou 38, donc le port racine de SB devient le Fa0/3
Port.
Le port racine pour SA serait le port Fa0/0 car il s'agit d'un lien direct avec un coût de 19.
via SB à SD serait 19 + 19 + 4 = 42, nous allons donc l'utiliser comme lien de sauvegarde pour SA pour accéder au
root juste au cas où nous en aurions besoin.
Maintenant, tout ce dont nous avons besoin est un port de transfert sur le lien entre SA et SB. Parce que SA a le plus bas
ID de pont, Fa0/1 sur SA remporte ce rôle. De plus, le port Gi0/1 sur SD deviendrait un
port de transfert. En effet, le port SB Fa0/3 est un port racine conçu et vous devez disposer d'un
transfert de port sur un segment de réseau ! Cela nous laisse avec le port Fa0/2 sur SB. Comme ce n'est pas un
port racine ou port de transfert désigné, il sera placé en mode de blocage, ce qui empêchera
regarde dans notre réseau.
Jetons un coup d'œil à cet exemple de réseau lorsqu'il a convergé dans la Figure 15.12 .
FIGURE 15.12 Exemple RSTP 1 réponse
Si ce n'est pas clair et semble toujours déroutant, n'oubliez pas de toujours aborder ce processus en suivant
ces trois étapes :
1. Trouvez votre pont racine en consultant les ID de pont.
2. Déterminez vos ports racine en recherchant le coût de chemin le plus bas vers le pont racine.
3. Trouvez vos ports désignés en consultant les ID de pont.
Page 310
Comme d'habitude, la meilleure façon de comprendre cela est de s'entraîner, alors explorons un autre scénario, illustré
dans la figure 15.13 .
FIGURE 15.13 Exemple 2 RSTP
Alors, quel pont est notre pont racine ? La vérification des priorités nous indique d'abord que SC est le pont racine,
ce qui signifie que tous les ports sur SC sont des ports de transfert désignés. Maintenant, nous devons trouver nos ports racine.
Nous pouvons rapidement voir que SA a un port de 10 gigabits vers SC, ce qui correspondrait donc à un coût de port de 2, et il
serait notre port racine. SD a un port Ethernet Gigabit direct vers SC, ce serait donc le port racine
pour SD avec un coût de port de 4. Le meilleur chemin de SB serait également le port Ethernet Gigabit direct vers SC
avec un coût de port de 4.
Maintenant que nous avons déterminé notre pont racine et trouvé les trois ports racine dont nous avons besoin, nous devons
trouver nos ports désignés ensuite. Tout ce qui reste entre simplement dans le rôle de rejet. Faisons
jetez un œil à la figure 15.14 et voyez ce que nous avons.
Page 311
FIGURE 15.14 RSTP exemple 2, réponse 1
D'accord, il semble qu'il y ait deux liens entre lesquels choisir pour trouver un port désigné par
segment. Commençons par le lien entre SA et SD. Lequel a le meilleur ID de pont ? Ils sont
les deux exécutant la même priorité par défaut, donc en regardant l'adresse MAC, nous pouvons voir que SD a
le meilleur ID de pont (inférieur), de sorte que le port SA vers SD entrera dans un rôle de rejet, ou le fera-t-il ?
Le port SD passera en mode de suppression, car le lien de SA à la racine a le plus bas
coûts de chemin accumulés vers le pont racine, et qui est utilisé avant l'ID de pont dans ce
circonstance. Il est logique de laisser le pont avec le chemin le plus rapide vers le pont racine être un
port de transfert désigné. Parlons-en un peu plus en profondeur.
Comme vous le savez, une fois votre pont racine et vos ports racine choisis, il ne vous reste plus qu'à trouver
vos ports désignés. Tout ce qui reste entre dans un rôle de rejet. Mais comment sont désignés
ports choisis ? Est-ce juste un identifiant de pont ? Voici les règles :
1. Pour choisir le switch qui va transmettre sur le segment, on sélectionne le switch avec le plus bas
coût de chemin accumulé jusqu'au pont racine. Nous voulons le chemin rapide vers le pont racine.
2. S'il y a une égalité sur le coût de chemin accumulé des deux commutateurs au pont racine, alors nous allons
utiliser l'ID de pont, ce que nous avons utilisé dans notre exemple précédent (mais pas avec ce dernier RSTP
Exemple; pas avec une liaison Ethernet 10 Gigabits vers le pont racine disponible !).
3. Les priorités de port peuvent être définies manuellement si nous voulons qu'un port spécifique soit choisi. La priorité par défaut est
32, mais nous pouvons le réduire si nécessaire.
4. S'il y a deux liens entre les commutateurs et que l'ID de pont et la priorité sont liés, le port avec
le plus petit nombre sera choisi—par exemple, Fa0/1 serait choisi sur Fa0/2.
Jetons un coup d'œil à notre réponse maintenant, mais avant de le faire, pouvez-vous trouver le port de transfert
entre SA et SB ? Jetez un œil à la figure 15.15 pour la réponse.
Page 312
FIGURE 15.15 RSTP exemple 2, réponse 2
Encore une fois, pour obtenir la bonne réponse à cette question, nous allons laisser le commutateur sur le réseau
segment avec le coût de chemin cumulé le plus bas vers le pont racine vers l'avant sur ce segment. Cette
est définitivement SA, ce qui signifie que le port SB entre dans le rôle d'élimination, ce qui n'est pas si difficile du tout !
802.1s (MSTP)
Le protocole MSTP (Multiple Spanning Tree Protocol), également connu sous le nom d'IEEE 802.ls, nous offre la même rapidité
convergence comme RSTP mais réduit le nombre d'instances STP requises en nous permettant de mapper
plusieurs VLAN avec les mêmes exigences de flux de trafic dans la même instance de spanning-tree. Ce
nous permet essentiellement de créer des ensembles de VLAN et est essentiellement un protocole spanning-tree qui s'exécute sur
sommet d'un autre protocole spanning-tree.
Il est donc clair que vous choisiriez d'utiliser MSTP sur RSTP lorsque vous avez une configuration impliquant de nombreux
des VLAN, ce qui entraîne des besoins en CPU et en mémoire qui seraient autrement trop élevés. Mais
il n'y a pas de repas gratuit, bien que MSTP réduise les exigences de Rapid PVST+, vous devez
configurez-le correctement car MSTP ne fait rien tout seul !
Modification et vérification de l'ID du pont

Pour vérifier le spanning tree sur un commutateur Cisco, utilisez simplement la commande show spanning-tree . De son
sortie, nous pouvons déterminer notre pont racine, nos priorités, nos ports racine et nos
bloquer/supprimer des ports.
Utilisons le même réseau simple à trois commutateurs que nous avons utilisé plus tôt comme base pour jouer avec
la configuration de STP. La figure 15.16 montre le réseau avec lequel nous allons travailler dans cette section.
Page 313
FIGURE 15.16 Notre réseau simple à trois commutateurs
Commençons par jeter un œil à la sortie de S1 :
S1# sh spanning-tree vlan 1

VLAN0001
Protocole Spanning Tree activé ieee
Identifiant racine Priorité 32769
Adresse 0001.42A7.A603
Ce pont est la racine
Temps Hello 2 s Âge max. 20 s Délai avant 15 s
ID de pont priorité 32769 (priorité 32768 sys-id-ext 1 )

Adresse 0001.42A7.A603 lui
Temps de vieillissement 20
Interface Rôle Sts Coût Prio.Nbr Type

---------------- ---- --- --------- -------- ---------- ----------------------
Gi1/1 Desg FWD 4 128.25 P2p
Tout d'abord, nous pouvons voir que nous exécutons la version IEEE 802.1d STP par défaut, et n'oubliez pas que
c'est vraiment 802.1d PVST+ ! En regardant la sortie, nous pouvons voir que S1 est le pont racine pour
VLAN 1. Lorsque vous utilisez cette commande, les principales informations concernent le pont racine et le
La sortie d'ID de pont fait référence au pont que vous regardez. Dans cet exemple, ils sont un et le
même. Notez le sys-id-ext 1 (pour le VLAN 1) . Il s'agit du champ PVST+ 12 bits qui est placé dans le
BPDU afin qu'il puisse transporter des informations sur plusieurs VLAN. Vous ajoutez la priorité et sys-id-ext pour apparaître
avec la vraie priorité pour le VLAN. Nous pouvons également voir à partir de la sortie que les deux Gigabit Ethernet
les interfaces sont des ports de transfert désignés. Vous ne verrez pas de port bloqué/supprimé sur une racine
pont. Jetons maintenant un coup d'œil à la sortie de S3 :
S3# sh spanning-tree
VLAN0001
ID racine prioritaire 32769
Coût 4
Port 26 (GigabitEthernet1/2)
ID de pont Priorité 32769 (priorité 32768 sys-id-ext 1)

Adresse 000A.41D5.7937

---------------- ---- --- --------- -------- ---------- ----------------------
Gi1/2 Racine FWD 4 128.26 P2p
En regardant l'ID racine, il est facile de voir que S3 n'est pas le pont racine, mais la sortie nous dit que c'est un
coût de 4 pour accéder au pont racine et aussi qu'il est situé sur le port 26 du commutateur (Gi1/2). Cette
Page 314
nous dit que le pont racine est à un lien Gigabit Ethernet, que nous savons déjà être S1, mais
nous pouvons le confirmer avec la commande show cdp neighbors :
Commutateur# sh cdp nei

S - Commutateur, H - Hôte, I - IGMP, r - Répéteur, P - Téléphone
S3 Concert 1/1 135 S 2960 Concert 1/1
C'est comme ça qu'il est simple de trouver votre pont racine si vous n'avez pas la belle silhouette comme nous. Utilisez le
show spanning-tree ,
recherchez votre port racine, puis utilisez la commande show cdp neighbors .
Voyons ce que la sortie de S2 a à nous dire maintenant :
VLAN0001
Coût 4

Adresse 0030.F222.2794

---------------- ---- --- --------- -------- ---------- ----------------------
Gi1/1 Altn BLK 4 128.25 P2p
Nous ne cherchons certainement pas à un pont racine puisque nous voyons un port bloqué, qui est celui de S2.
connexion à S3 !
Amusons-nous en faisant de S2 le pont racine pour VLAN 2 et pour VLAN 3. Voici comment c'est facile
c'est faire :

VLAN0002
Coût 4

Adresse 0030.F222.2794

---------------- ---- --- --------- -------- ---------- ----------------------
Nous pouvons voir que le coût du pont racine est de 4, ce qui signifie que le pont racine se trouve à un lien gigabit.
Un autre facteur clé dont je veux parler avant de faire de S2 le pont racine pour les VLAN 2 et 3 est
le sys-id-ext , qui apparaît comme 2 dans cette sortie car cette sortie est pour le VLAN 2. Ce sys-id-
ext est
ajouté à la priorité du pont, qui dans ce cas est 32768 + 2, ce qui rend la priorité
32770. Maintenant que vous comprenez ce que cette sortie nous dit, faisons de S2 le pont racine :
S2(config)# spanning-tree vlan 2 ?

priorité Définir la priorité du pont pour le spanning tree
root Configurer le commutateur en tant que root
<cr>
Priorité S2(config)# spanning-tree vlan 2 ?
<0-61440> priorité de pont par incréments de 4096
S2(config)# spanning-tree vlan 2 priorité 16384
Vous pouvez définir la priorité sur n'importe quelle valeur de 0 à 61440 par incréments de 4096.
Page 315
zéro (0) signifie que le commutateur sera toujours une racine tant qu'il a une adresse MAC inférieure à
un autre commutateur dont l'ID de pont est également défini sur 0. Si vous souhaitez définir un commutateur comme pont racine
pour chaque VLAN de votre réseau, vous devez alors changer la priorité de chaque VLAN, avec 0
étant la priorité la plus basse que vous puissiez utiliser. Mais croyez-moi, ce n'est jamais une bonne idée de régler tous les commutateurs sur un
priorité de 0 !
De plus, vous n'avez pas réellement besoin de changer les priorités car il existe encore un autre moyen de
configurer le pont racine. Regarde:
S2(config)# spanning-tree vlan 3 racine ?

primaire Configurer ce commutateur en tant que racine principale pour ce spanning tree
secondaire Configurer le commutateur en tant que racine secondaire
S2(config)# spanning-tree vlan 3 racine principale
S3(config)# spanning-tree vlan 3 racine secondaire
Notez que vous pouvez définir un pont sur primaire ou secondaire, très cool ! Si à la fois le primaire
et les commutateurs secondaires tombent en panne, la prochaine priorité la plus élevée prendra le relais en tant que racine.
Vérifions maintenant si S2 est réellement le pont racine pour les VLAN 2 et 3 :

VLAN0002
Adresse 0030.F222.2794
ID de pont priorité 16386 (priorité 16384 sys-id-ext 2)

Adresse 0030.F222.2794

---------------- ---- --- --------- -------- ---------- ----------------------
Nice : S2 est le pont racine pour le VLAN 2, avec une priorité de 16386 (16384 + 2). Jetons un coup d'oeil à
voir le pont racine pour VLAN 3. J'utiliserai une commande différente pour cela cette fois. Vérifiez-le:
Résumé S2# sh spanning-tree

Le commutateur est en mode pvst
Pont racine pour : VLAN0002 VLAN0003
ID système étendu est autorisé
Portfast par défaut est désactivé
PortFast BPDU Guard par défaut est désactivé
Le filtre par défaut de Portfast BPDU est désactivé
Loopguard par défaut est désactivé
La protection contre les erreurs de configuration EtherChannel est désactivée
UplinkFast est désactivé
BackboneFast est désactivé
La méthode Pathcost configurée utilisée est courte
Nom Blocage Écoute Apprentissage Transfert STP Actif

---------------------- -------- --------- -------- --- ------- ----------
VLAN0001 1 0 0 1 2
VLAN0002 0 0 0 2 2
VLAN0003 0 0 0 2 2
---------------------- -------- --------- -------- --- ------- ----------

3 réseaux virtuels 1 0 0 5 6
La sortie précédente nous indique que S2 est la racine des deux VLAN, mais nous pouvons voir que nous avons un
port bloqué pour VLAN 1 sur S2, ce n'est donc pas le pont racine pour VLAN 1. C'est parce qu'il y a
un autre pont avec un meilleur ID de pont pour le VLAN 1 que celui de S2.
Une dernière question brûlante : comment activer RSTP sur un commutateur Cisco ? Eh bien, faire ça, c'est
en fait la partie la plus facile de ce chapitre ! Regarde:
S2(config)# mode spanning-tree rapid-pvst
Est-ce vraiment tout ce qu'il y a à faire ? Oui, car c'est une commande globale, pas par VLAN. vérifions
Page 316
nous exécutons RSTP maintenant :
VLAN0001
Protocole de Spanning Tree activé rstp
Coût 4
[coupure de sortie
Le commutateur est en mode pvst rapide
Pont racine pour : VLAN0002 VLAN0003
On dirait que nous sommes prêts ! Nous utilisons RSTP, S1 est notre pont racine pour le VLAN 1 et S2 est la racine
pont pour les VLAN 2 et 3. Je sais que cela ne semble pas difficile, et ce n'est vraiment pas le cas, mais vous devez quand même
pratiquez ce que nous avons couvert jusqu'à présent dans ce chapitre pour vraiment acquérir de solides compétences !
Conséquences de l'échec du spanning-tree

Clairement, il y aura des conséquences lorsqu'un protocole de routage échoue sur un seul routeur, mais surtout,
vous perdrez simplement la connectivité aux réseaux directement connectés à ce routeur, et c'est généralement le cas
n'affecte pas le reste de votre réseau. Cela facilite certainement le dépannage et la réparation du
problème!
Il existe deux types d'échec avec STP. L'un d'eux provoque le même type de problème que j'ai mentionné avec
un protocole de routage ; lorsque certains ports ont été placés dans un état bloquant, ils doivent être
transfert sur un segment de réseau à la place. Cette situation rend le segment de réseau inutilisable,
mais le reste du réseau fonctionnera toujours. Mais que se passe-t-il lorsque des ports bloqués sont placés
en état de transfert alors qu'ils devraient être bloquants ? Travaillons sur ce deuxième problème d'échec
maintenant, en utilisant la même mise en page que nous avons utilisée dans la dernière section. Commençons par la figure 15.17 , puis trouvons
savoir ce qui se passe lorsque STP échoue. Avis aux lecteurs sensibles, ce n'est pas joli !
En regardant la figure 15.17 , que pensez-vous qu'il se passera si SD transfère son port bloqué vers le
état de transfert ?
FIGURE 15.17 Boucles d'arrêt STP
Page 317
De toute évidence, les conséquences sur l'ensemble du réseau seront assez dévastatrices ! Des cadres qui déjà
avaient une adresse de destination enregistrée dans la table d'adresses MAC des commutateurs sont transmis au
le port auquel ils sont associés ; cependant, toute diffusion, multidiffusion et monodiffusion non dans le CAM sont
maintenant dans une boucle sans fin. La figure 15.18 nous montre le carnage - quand vous voyez toutes les lumières sur chaque
port clignotant ambre/vert ultra-rapide, cela signifie que de graves erreurs se produisent, et beaucoup d'entre elles !
FIGURE 15.18 Échec du STP
Au fur et à mesure que les trames commencent à s'accumuler sur le réseau, la bande passante commence à être saturée. Le processeur
le pourcentage augmente sur les commutateurs jusqu'à ce qu'ils abandonnent et cessent complètement de fonctionner,
et tout cela en quelques secondes !
Voici une liste des problèmes qui se produiront dans un réseau STP défaillant dont vous devez être conscient
et vous devez pouvoir les trouver dans votre réseau de production - et bien sûr, vous devez les connaître pour
atteindre les objectifs de l'examen :
La charge sur tous les liens commence à augmenter et de plus en plus de trames entrent dans la boucle. Rappelles toi,
cette boucle affecte tous les autres liens du réseau car ces trames sont toujours inondées
tous les ports. Ce scénario est un peu moins grave si la boucle se produit dans un seul VLAN. Dans ce cas,
l'accroc sera isolé sur les ports uniquement dans cet abonnement VLAN, ainsi que sur toutes les liaisons de jonction qui transportent
informations pour ce VLAN.
Si vous avez plus d'une boucle, le trafic augmentera sur les commutateurs car tous les cercles
les cadres sont en fait dupliqués. Les commutateurs reçoivent essentiellement une trame, en font une copie et envoient
il sort tous les ports. Et ils le font encore et encore avec le même cadre, ainsi que
pour les nouveaux !
La table d'adresses MAC est maintenant complètement instable. Il ne sait plus où n'importe quelle source
Les hôtes d'adresse MAC sont en fait localisés car la même adresse source arrive via
plusieurs ports sur le commutateur.
Avec la charge extrêmement élevée sur les liens et les processeurs, maintenant peut-être à 100 % ou presque
à cela, les appareils ne répondent plus, ce qui rend impossible le dépannage - c'est un terrible
chose!
Page 318
À ce stade, votre seule option est de supprimer systématiquement tout lien redondant entre les commutateurs
jusqu'à ce que vous puissiez trouver la source du problème. Et ne panique pas parce que, finalement, tu es ravagé
le réseau se calmera et reprendra vie après la convergence de STP. Vos interrupteurs frits seront
reprendre conscience, mais le réseau aura besoin d'une thérapie sérieuse, donc vous n'êtes pas hors de
bois encore!
C'est maintenant que vous commencez le dépannage pour découvrir ce qui a causé la catastrophe en premier lieu. UNE
une bonne stratégie consiste à replacer les liens redondants dans votre réseau un à la fois et à attendre de voir
lorsqu'un problème commence à se produire. Vous pourriez avoir un port de commutateur défaillant, ou même un commutateur mort.
Une fois que vous avez remplacé tous vos liens redondants, vous devez surveiller attentivement le réseau et
avoir un plan de secours pour isoler rapidement le problème s'il se reproduit. Tu ne veux pas passer
Encore ceci!
Vous vous demandez probablement comment empêcher ces problèmes STP d'assombrir votre
porte en premier lieu. Eh bien, attendez, car après la section suivante, je vous dirai tout sur
EtherChannel, qui peut empêcher les ports d'être placés dans l'état bloqué/supprimé sur
des liens redondants pour sauver la mise ! Mais avant d'ajouter plus de liens à nos commutateurs, puis de regrouper
eux, parlons de PortFast.
PortFast et BPDU Guard

Si vous avez un serveur ou d'autres appareils connectés à votre commutateur dont vous êtes certain qu'ils ne le seront pas
créer une boucle de commutation si STP est désactivé, vous pouvez utiliser une extension propriétaire Cisco pour le
Norme 802.1d appelée PortFast sur ces ports. Avec cet outil, le port ne dépensera pas les 50
secondes pour passer en mode de transfert pendant que STP converge, ce qui le rend si
frais.
Étant donné que les ports passeront immédiatement de l'état de blocage à l'état de transfert, PortFast peut empêcher
nos hôtes d'être potentiellement incapables de recevoir une adresse DHCP en raison de la lenteur de STP
convergence. Si la requête DHCP de l'hôte expire, ou si chaque fois que vous branchez un hôte, vous
fatigué de regarder le port du commutateur être orange pendant près d'une minute avant qu'il ne passe à
l'état de transfert et devient vert, PortFast peut vraiment vous aider !
La figure 15.19 illustre un réseau avec trois commutateurs, chacun avec une jonction vers chacun des autres et
un hôte et un serveur hors du commutateur S1.
FIGURE 15.19 PortFast
Nous pouvons utiliser PortFast sur les ports sur S1 pour les aider à passer à l'état de transfert STP
immédiatement après la connexion au commutateur.
Voici les commandes, d'abord à partir du mode de configuration globale, elles sont assez simples :
S1(config)# spanning-tree portfast ?

bpdufilter Activer le filtre bdpu portfast sur ce commutateur
bpduguard Activer portfast bpdu guard sur ce commutateur
default Activer portfast par défaut sur tous les ports d'accès
Page 319
Si vous deviez taper spanning-tree portfast default , vous activeriez tous les ports non groupés avec
PortFast. Depuis le mode interface, vous pouvez être plus précis, ce qui est la meilleure façon de procéder :
S1(config-if)# spanning-tree portfast ?

désactiver Désactiver le portfast pour cette interface
trunk Activer portfast sur l'interface même en mode trunk
<cr>
À partir du mode interface, vous pouvez en fait configurer PortFast sur un port de jonction, mais vous le feriez
uniquement si le port se connecte à un serveur ou à un routeur, pas à un autre commutateur, nous ne l'utiliserons donc pas ici.
Jetons donc un œil au message que je reçois lorsque j'active PortFast sur l'interface Gi0/1 :
S1# config t
S1#config)# int range gi0/1 - 2
S1(config-if)# spanning-tree portfast
%Avertissement : portfast ne doit être activé que sur les ports connectés à un seul
hôte. Connecter des hubs, des concentrateurs, des commutateurs, des ponts, etc... à ce
interface lorsque portfast est activé, peut provoquer des boucles de pontage temporaires.
Utiliser avec précaution
%Portfast a été configuré sur GigabitEthernet0/1 mais ne

ont effet lorsque l'interface est dans un mode sans agrégation.
PortFast est activé sur les ports Gi0/1 et Gi0/2, mais notez que vous obtenez un message assez long qui est
essentiellement vous dire d'être prudent. En effet, lorsque vous utilisez PortFast, vous ne
souhaitez créer une boucle réseau en branchant un autre commutateur ou concentrateur sur un port également configuré
avec PortFast ! Pourquoi? Parce que si vous laissez cela se produire, même si le réseau peut encore en quelque sorte
travail, les données passeront très lentement, et pire, cela pourrait vous prendre très longtemps pour trouver le
source du problème, vous rendant très impopulaire. Procédez donc avec prudence !
À ce stade, vous seriez heureux de savoir qu'il existe des commandes de sauvegarde à avoir
pratique lors de l'utilisation de PortFast juste au cas où quelqu'un provoquerait une boucle dans un port configuré avec
PortFast activé. Parlons maintenant d'une commande de sauvegarde vraiment clé.
Garde BPDU
Si vous activez PortFast pour un port de commutateur, c'est une très bonne idée d'activer également BPDU Guard. Dans
en fait, c'est une si bonne idée, je pense personnellement qu'il devrait être activé par défaut chaque fois qu'un port est
configuré avec PortFast !
En effet, si un port de commutateur sur lequel PortFast est activé reçoit un BPDU sur ce port, il
placer le port dans l'état d'erreur désactivé (arrêt), empêchant efficacement quiconque de
connecter accidentellement un autre port de commutateur ou de concentrateur à un port de commutateur configuré avec PortFast.
Fondamentalement, vous empêchez (protégez) votre réseau d'être gravement paralysé ou même
abattu. Configurons donc notre interface S1, qui est déjà configurée avec PortFast, avec
BPDU Guard maintenant, c'est facile !
Voici comment le définir globalement :
S1(config)# spanning-tree portfast bpduguard par défaut
Et plus précisément sur une interface :
S1(config-if)# spanning-tree bpduguard activer
Il est important de savoir que vous ne configureriez cette commande que sur votre couche d'accès
commutateurs : commutateurs auxquels les utilisateurs sont directement connectés.
Hedging My Bets a créé de mauvais ports de commutation pendant le Super Bowl
Un administrateur junior m'a appelé avec frénésie pour me dire que tous les ports de commutation venaient de mal tourner sur le cœur
commutateur, qui était situé au centre de données où j'étais consultant principal pour un centre de données
améliorer. Maintenant, ces choses arrivent, mais gardez à l'esprit que je viens d'être dans un Super
Page 320
Bowl party passer un bon moment à regarder mon équipe préférée jouer dans le "Big One" quand je
reçu cet appel ! J'ai donc pris une grande inspiration pour me recentrer. J'avais besoin de trouver une clé
informations pour déterminer à quel point la situation était vraiment grave, et mon client était dans une situation aussi
pressé que j'étais d'arriver à une solution!
J'ai d'abord demandé à l'administrateur junior ce qu'il faisait exactement. Bien sûr, il a dit: "Rien, je le jure!" je
J'ai pensé que c'était ce qu'il dirait, alors je l'ai pressé pour plus d'informations et j'ai finalement demandé des statistiques sur le
changer. L'administrateur m'a dit que tous les ports de la carte de ligne 10/100/1000 sont devenus orange à
en même temps, enfin des informations que je pourrais utiliser ! J'ai confirmé que, comme on le soupçonnait, ces
ports regroupés vers des commutateurs de distribution de liaison montante. Wow, ce n'était pas bon !
À ce stade, cependant, j'ai eu du mal à croire que les 24 ports allaient soudainement mal tourner, mais
c'est possible, alors j'ai demandé s'il avait une carte de rechange à essayer. Il m'a dit qu'il avait déjà mis le
nouvelle carte, mais la même chose se produisait toujours. Eh bien, ce n'est pas la carte ou les ports, mais
peut-être que quelque chose s'est passé avec les autres commutateurs. Je savais qu'il y avait beaucoup de commutateurs
impliqué, donc quelqu'un doit avoir foiré quelque chose pour que cette catastrophe se produise !
Ou, peut-être que le placard de distribution de fibre est tombé en panne d'une manière ou d'une autre ? Si c'est le cas, comment? Y a-t-il eu un incendie dans
le placard ou quoi ? Quelques manigances internes sérieuses seraient la seule réponse si cela
étaient la cause !
Donc, restant toujours patient (parce que, pour citer le Dr House, "Les patients mentent"), j'ai encore dû demander
l'administrateur exactement ce qu'il a fait, et bien sûr, il a finalement admis qu'il avait essayé de brancher son
ordinateur portable personnel dans le commutateur principal afin qu'il puisse regarder le Super Bowl, et il a rapidement
a ajouté : "... mais c'est tout, je n'ai rien fait d'autre !" Je vais sauter le fait que ce gars était
sur le point d'avoir le lundi le plus laid de tous les temps, mais quelque chose n'avait toujours pas de sens, et voici
Pourquoi.
Sachant que les ports de cette carte se connecteraient tous aux commutateurs de distribution, j'ai configuré
les ports avec PortFast afin qu'ils n'aient pas à passer par le processus STP. Et
parce que je voulais m'assurer que personne n'avait branché de commutateur sur l'un de ces ports, j'ai activé
BPDU Guard sur toute la carte de ligne.
Mais un hôte ne fermerait pas ces ports, alors je lui ai demandé s'il avait branché l'ordinateur portable
directement ou utilisé quelque chose entre les deux. Il a admis qu'il avait effectivement utilisé un autre interrupteur
parce qu'il s'est avéré qu'il y avait beaucoup de gens du bureau qui voulaient se brancher sur le
commutateur de base et regardez le match aussi. Se moquait-il de moi ? La politique de sécurité ne permettrait pas
se connecter depuis leurs bureaux, alors ne pensez-vous pas qu'ils considéreraient le noyau encore plus off-
limites? Certaines personnes!
Mais attendez… Cela n'explique pas que tous les ports deviennent orange, car seul celui sur lequel il s'est branché
devrait faire ça. Cela m'a pris une seconde, mais j'ai compris ce qu'il avait fait et je l'ai finalement eu
avouer. Lorsqu'il a branché l'interrupteur, le port est devenu orange, il a donc pensé que cela avait mal tourné.
Alors que pensez-vous qu'il a fait? Eh bien, si au début vous ne réussissez pas, essayez, réessayez, et c'est juste
ce qu'il a fait - il a en fait continué à essayer des ports - les 24 pour être exact ! Maintenant c'est ce que j'appelle
déterminé!
C'est triste à dire, je suis revenu à la fête juste pour voir mon équipe perdre au cours des dernières minutes !
Un jour sombre, en effet !
EtherChannel
Sachez que presque tous les réseaux Ethernet actuels auront généralement plusieurs liens entre les commutateurs
car ce type de conception offre redondance et résilience. Sur une conception physique qui
inclut plusieurs liens entre les commutateurs, STP fera son travail et mettra un ou plusieurs ports en blocage
mode. En plus de cela, les protocoles de routage comme OSPF et EIGRP pourraient voir tous ces
liens comme des liens individuels, selon la configuration, ce qui peut signifier une augmentation du routage
aérien.
Nous pouvons tirer parti des liens multiples entre les commutateurs en utilisant la canalisation des ports.
Page 321
EtherChannel est une technologie de canal de port qui a été développée à l'origine par Cisco comme un
technique de commutation permettant de regrouper plusieurs ports Fast Ethernet ou Gigabit Ethernet en un seul
canaliser.
Il est également important de noter qu'une fois que votre canal de port (EtherChannel) est opérationnel et opérationnel, la couche 2
Les protocoles de routage STP et de couche 3 traiteront ces liens groupés comme un seul, ce qui arrêtera
STP d'effectuer le blocage. Un autre résultat intéressant est que parce que les protocoles de routage
maintenant ne voyez cela que comme un seul lien, une seule contiguïté à travers le lien peut être formée - élégante !
La figure 15.20 montre à quoi ressemblerait un réseau si nous avions quatre connexions entre les commutateurs,
avant et après la configuration des canaux de port.
FIGURE 15.20 Avant et après les canaux de port
Maintenant, comme d'habitude, il y a la version Cisco et la version IEEE de la négociation de canal de port
protocoles parmi lesquels choisir, faites votre choix. La version de Cisco s'appelle Port Aggregation Protocol
(PAgP), et la norme IEEE 802.3ad est appelée Link Aggregation Control Protocol (LACP).
Les deux versions fonctionnent aussi bien, mais la façon dont vous configurez chacune est légèrement différente. Garder à
Gardez à l'esprit que PAgP et LACP sont des protocoles de négociation et qu'EtherChannel peut en fait être
configuré de manière statique sans PAgP ou LACP. Néanmoins, il est préférable d'utiliser l'un de ces protocoles pour aider
avec des problèmes de compatibilité ainsi que pour gérer les ajouts et les pannes de liens entre deux commutateurs.
Cisco EtherChannel nous permet de regrouper jusqu'à huit ports actifs entre les commutateurs. Les liens doivent
avoir la même vitesse, le même paramètre duplex et la même configuration VLAN, en d'autres termes, vous ne pouvez pas mélanger
types et configurations d'interface dans le même ensemble.
Il existe quelques différences dans la configuration de PAgP et LACP, mais d'abord, passons en revue certains termes afin
vous ne vous trompez pas :
Canalisation des ports Fait référence à la combinaison de deux à huit ports Fast Ethernet ou deux ports Gigabit Ethernet
ensemble entre deux commutateurs en un seul lien logique agrégé pour obtenir plus de bande passante et
élasticité.
EtherChannel Terme propriétaire de Cisco pour la canalisation des ports.
PAgP Il s'agit d'un protocole de négociation de canal de port propriétaire Cisco qui facilite la
création de liens EtherChannel. Tous les liens du bundle doivent correspondre aux mêmes paramètres (vitesse,
duplex, informations VLAN), et lorsque PAgP identifie les liens correspondants, il regroupe les liens dans un
EtherChannel. Celui-ci est ensuite ajouté à STP en tant que port de pont unique. À ce stade, le travail de PAgP est de
envoyer des paquets toutes les 30 secondes pour gérer le lien pour la cohérence, tout ajout de lien et
les échecs.
LACP (802.3ad) Cela a exactement le même objectif que PAgP, mais il n'est pas exclusif, il peut donc
travailler entre les réseaux multi-fournisseurs.
Page 322
channel-group Il
s'agit d'une commande sur les interfaces Ethernet utilisée pour ajouter l'interface spécifiée à un
EtherChannel unique. Le numéro qui suit cette commande est l'ID de canal de port.
interface port-channel Voici

une commande qui crée l'interface fournie. Des ports peuvent être ajoutés à
cette interface avec la commande channel-group . Gardez à l'esprit que le numéro d'interface doit
correspondre au numéro de groupe.
Voyons maintenant si vous pouvez donner un sens à tous ces termes en configurant réellement
quelque chose!
Configuration et vérification des canaux de port

Utilisons la Figure 15.21 pour notre exemple simple de configuration des canaux de port.
FIGURE 15.21 Exemple d'EtherChannel
Vous pouvez activer votre groupe de canaux pour chaque canal en définissant le mode de canal pour chaque
interface active ou passive si vous utilisez LACP. Lorsqu'un port est configuré en mode passif , il
répondra aux paquets LACP qu'il reçoit, mais il n'initiera pas de négociation LACP. Lorsqu'un
port est configuré pour le mode actif , le port initie des négociations avec d'autres ports en envoyant
Paquets LACP.
Laissez-moi vous montrer un exemple simple de configuration des canaux de port, puis de leur vérification. Je vais d'abord
passer en mode de configuration globale et créer une interface de canal de port, puis j'ajouterai ce port
canal vers les interfaces physiques.
N'oubliez pas que tous les paramètres et configurations des ports doivent être les mêmes, je vais donc commencer par
agrégation des interfaces avant de configurer EtherChannel, comme ceci :
S1(config)# int range g0/1 - 2

Tous les ports de vos bundles doivent être configurés de la même manière, je vais donc configurer les deux côtés avec le même
configuration de la jonction. Maintenant, je peux affecter ces ports à un bundle :
S1(config-if-range)# mode groupe de canaux 1 ?

actif Activer LACP inconditionnellement
auto Activer PAgP uniquement si un périphérique PAgP est détecté
souhaitable Activer PAgP inconditionnellement
au Activer Etherchannel uniquement
passif Activer LACP uniquement si un périphérique LACP est détecté
S1(config-if-range)# mode groupe de canaux 1 actif
S1(config-if-range)# sortie
Pour configurer le LACP non propriétaire IEEE, j'utiliserai la commande active ou passive ; si je voulais
pour utiliser le PAgP de Cisco, j'utiliserais la commande auto ou desire . Vous ne pouvez pas les mélanger et les assortir sur
l'une ou l'autre extrémité du paquet, et vraiment, peu importe celui que vous utilisez dans un Cisco pur
environnement, tant que vous les configurez de la même manière aux deux extrémités (définir le mode sur on
configurer statiquement votre bundle EtherChannel).
À ce stade de la configuration, je devrais définir le mode sur actif sur les interfaces S2 si je
voulait que le bundle propose LACP car, encore une fois, tous les paramètres doivent être les mêmes sur
les deux extrémités du lien. Configurons notre interface de canal de port, qui a été créée lorsque nous avons utilisé
la commande channel-group :
S1(config)# int canal de port 1

S1(config-if)# encapsulation de jonction de port de commutation dot1q
Tronc en mode S1(config-if)# switchport
S1(config-if)# switchport trunk autorisé vlan 1,2,3
Page 323
Notez que j'ai défini la même méthode de jonction sous l'interface de canal de port que j'ai fait le physique
interfaces, ainsi que des informations VLAN. Eh bien, toutes les commandes effectuées sous le port-
canal sont hérités au niveau de l'interface, vous pouvez donc simplement configurer facilement le canal de port avec
tous les paramètres.
Il est temps de configurer les interfaces, les groupes de canaux et l'interface de canal de port sur le commutateur S2 :
S2(config)# int plage g0/13 - 14

S2(config-if-range)# mode groupe de canaux 1 actif
S2(config-if-range)# sortie
S2(config)# int canal de port 1
S2(config-if)# encapsulation de jonction de port de commutation dot1q
Tronc en mode S2(config-if)# switchport
S2(config-if)# switchport trunk autorisé vlan 1,2,3
Sur chaque switch, j'ai configuré les ports que je voulais regrouper avec la même configuration, puis
créé le canal du port. Après cela, j'ai ajouté les ports dans le canal de port avec le groupe de canaux
commander.
N'oubliez pas que pour LACP, nous utiliserons soit actif/actif de chaque côté du paquet, soit actif/passif,
mais vous ne pouvez pas utiliser passif/passif. Idem pour PAgP ; vous pouvez utiliser souhaitable/souhaitable ou
auto/souhaitable mais pas auto/auto.
Vérifions notre EtherChannel avec quelques commandes. Nous allons commencer par le show etherchannel port-
commande channel pour afficher des informations sur une interface de canal de port spécifique :
S2# sh etherchannel port-channel
Liste des groupes de canaux :
----------------------
Groupe 1
----------
Port-canaux dans le groupe :
---------------------------
Port-canal : Po1 (Agrégateur principal)

------------
Âge du canal du Port = 00d:00h:46m:49s

Emplacement/port logique = 2/1 Nombre de ports = 2
CG = 0x00000000 port HotStandBy = nul
État du port = Port-canal
Protocole = LACP
Sécurité du port = désactivé
Ports dans le canal de port :
Charge d' index État du port CE Nombre de bits

------+------+------+-------------------+---------- -
0 00 Gig0/2 Actif 0
0 00 Gig0/1 Actif 0
Temps depuis le dernier port groupé : 00d:00h:46m:47s Gig0/1
S2#
Notez que nous avons un groupe et que nous exécutons la version IEEE LACP de la canalisation des ports.
Nous sommes en mode actif , et cette interface Port-channel: Po1 a deux interfaces physiques. Les
le titre Load n'est pas la charge sur les interfaces, c'est une valeur hexadécimale qui décide quelle
L'interface sera choisie pour spécifier le flux de trafic.
La commande show etherchannel summary affiche une ligne d'informations par canal de port :
Résumé de l'etherchannel S2# she

Drapeaux : D - bas P - dans le canal du port
I - autonome s - suspendu
H - Redondance d'UC (LACP uniquement)
R - Couche3 S - Couche2
U - en cours d'utilisation f - n'a pas réussi à allouer l'agrégateur
u - inadapté au groupage
w - en attente d'être agrégé
d - port par défaut
Page 324
Nombre de groupes de canaux utilisés : 1

Nombre d'agrégateurs : 1
Ports de protocole de canal de port de groupe

------+-------------+-----------+----------------- -----------------------------
1 Po1 (SU) LACP Gig0/1(P) Gig0/2(P)
Cette commande montre que nous avons un groupe, que nous exécutons LACP, et Gig0/1 et Gig0/2
ou (P), ce qui signifie que ces ports sont en mode canal de port . Cette commande n'est pas vraiment tout ça
utile à moins que vous n'ayez plusieurs groupes de canaux, mais cela nous indique que notre groupe fonctionne bien !
EtherChannel de couche 3
Un dernier élément à discuter avant de terminer ce chapitre et c'est la couche 3 EtherChannel. vous utiliseriez
couche 3 EtherChannel lors de la connexion d'un commutateur à plusieurs ports sur un routeur, par exemple. C'est
important de comprendre que vous ne mettriez pas d'adresses IP sous les interfaces physiques du
routeur, à la place, vous ajouteriez en fait l'adresse IP du paquet sous le canal de port logique
interface.
Voici un exemple sur la façon de créer le canal de port logique 1 et d'attribuer 20.2.2.2 comme son IP
adresse:
Routeur# config t
Routeur(config)# int canal de port 1
Routeur (config-if)# adresse IP 20.2.2.2 255.255.255.0
Nous devons maintenant ajouter les ports physiques dans le canal de port 1 :
Routeur(config-if)# int range g0/0-1

Routeur(config-if-range)# channel-group 1
GigabitEthernet0/0 ajouté en tant que membre-1 à port-channel1
GigabitEthernet0/1 ajouté en tant que membre-2 à port-channel1
Voyons maintenant le fichier running-config. Notez qu'il n'y a pas d'adresses IP sous le physique
interface du routeur :
!
interface Port-channel1
adresse IP 20.2.2.2 255.255.255.0
intervalle de charge 30
!
interface GigabitEthernet0/0
pas d'adresse ip
vitesse automatique
groupe de canaux 1
!
interface GigabitEthernet0/1
pas d'adresse ip
vitesse automatique
groupe de canaux 1
Sommaire
Ce chapitre était consacré aux technologies de commutation, avec un accent particulier sur le Spanning Tree
Protocol (STP) et son évolution vers des versions plus récentes comme RSTP puis PVST+ de Cisco.
Vous avez pris connaissance des problèmes qui peuvent survenir si vous avez plusieurs liens entre les ponts
(commutateurs) et les solutions obtenues avec STP.
J'ai également parlé et démontré des problèmes qui peuvent survenir si vous avez plusieurs liens entre
ponts (commutateurs), et comment résoudre ces problèmes en utilisant le protocole Spanning Tree (STP).
J'ai couvert une configuration détaillée des commutateurs Catalyst de Cisco, y compris la vérification du
configuration, définition des extensions Cisco STP et modification du pont racine en définissant un pont
Page 325
priorité.
Enfin, nous avons discuté, configuré et vérifié la technologie EtherChannel qui nous aide à regrouper
plusieurs liens entre les commutateurs.
Comprenez l'objectif principal du protocole Spanning Tree dans un réseau local commuté.
L'objectif principal de STP est d'empêcher les boucles de commutation dans un réseau avec des commutateurs redondants.
chemins.
Rappelez-vous les états de STP. Le but de l'état de blocage est d'empêcher l'utilisation de
chemins en boucle. Un port en état d'écoute se prépare à transmettre des trames de données sans remplir le
Tableau d'adresses MAC. Un port en état d'apprentissage remplit la table d'adresses MAC mais ne transfère pas
trames de données. Un port en état de transfert envoie et reçoit toutes les trames de données sur le port ponté.
De plus, un port à l'état désactivé est virtuellement non opérationnel.
N'oubliez pas la commande show spanning-tree . Vous devez être familier avec la commande show
spanning-tree et comment déterminer le pont racine de chaque VLAN. Vous pouvez également utiliser le spectacle
commande de résumé spanning-tree pour vous aider à avoir un aperçu rapide de votre réseau STP et de votre racine
des ponts.
Comprenez ce que PortFast et BPDU Guard fournissent. PortFast permet à un port de faire la transition
à l'état de transfert immédiatement après une connexion. Parce que vous ne voulez pas d'autres commutateurs
se connectant à ce port, BPDU Guard fermera un port PortFast s'il reçoit un BPDU.
Comprendre ce qu'est EtherChannel et comment le configurer. EtherChannel vous permet de

regrouper des liens pour obtenir plus de bande passante, au lieu de permettre à STP de fermer les ports redondants. Tu
peut configurer le PAgP de Cisco ou la version IEEE, LACP, en créant une interface de canal de port et
en attribuant le numéro de groupe de canaux de port aux interfaces que vous regroupez.
1. Lequel des éléments suivants est propriétaire de Cisco : LACP ou PAgP ?
2. Quelle commande vous montrera le pont racine STP pour un VLAN ?
3. Sur quelle norme RSTP PVST+ est-il basé ?
4. Quel protocole est utilisé dans un réseau de couche 2 pour maintenir un réseau sans boucle ?
5. Quelle extension propriétaire Cisco STP mettrait un port de commutateur en mode de désactivation d'erreur si un
BPDU est reçu sur ce port ?
6. Vous souhaitez configurer un port de commutateur pour ne pas passer par les états de port STP mais pour passer
immédiatement en mode de renvoi. Quelle commande utiliserez-vous par port ?
7. Quelle commande utiliserez-vous pour afficher des informations sur une interface de canal de port spécifique ?
8. Quelle commande pouvez-vous utiliser pour définir un commutateur afin qu'il soit le pont racine pour le VLAN 3 sur
un autre interrupteur ?
9. Vous devez trouver les VLAN pour lesquels votre commutateur est le pont racine. Quelles deux commandes
peux tu utiliser?
10. Quels sont les deux modes que vous pouvez définir avec LACP ?
Dans cette section, vous allez configurer et vérifier STP, ainsi que configurer PortFast et BPDU Guard,
Page 326
et enfin, regrouper des liens avec EtherChannel.
Notez que les travaux pratiques de ce chapitre ont été écrits pour être utilisés avec un équipement réel utilisant 2960
commutateurs. Cependant, vous pouvez utiliser le simulateur gratuit de version LammleSim IOS ou Cisco's Packet
Tracer pour parcourir ces laboratoires.
Les laboratoires de ce chapitre sont les suivants :
Atelier 15.1 : Vérification de STP et recherche de votre pont racine
Atelier 15.2 : Configuration et vérification de votre pont racine
Atelier 15.3 : Configuration de PortFast et de BPDU Guard
Atelier 15.4 : Configuration et vérification d'EtherChannel
Nous utiliserons l'illustration suivante pour les quatre ateliers :

Atelier pratique 15.1 : Vérification de STP et recherche de votre pont racine
Ce laboratoire supposera que vous avez ajouté les VLAN 2 et 3 à chacun de vos commutateurs et à tous vos
les liens sont partagés.
1. À partir de l'un de vos commutateurs, utilisez la commande show spanning-tree vlan 2 . Vérifiez la sortie.

VLAN0002
Adresse 0001.C9A5.8748
Coût 19
Port 1(FastEthernet0/1)

Adresse 0004.9A04.ED97

---------------- ---- --- --------- -------- ---------- ----------------------
Fa0/1 Racine FWD 19 128,1 P2p
Fa0/2 Desg FWD 19 128,2 P2p
Page 327
Notez que S3 n'est pas le pont racine, donc pour trouver votre pont racine, suivez simplement le port racine et
voir quel pont est connecté à ce port. Le port Fa0/1 est le port racine avec un coût de 19, ce qui
signifie que le commutateur qui est éteint le port Fa0/1 est le port racine se connectant au pont racine
car c'est un coût de 19, ce qui signifie une liaison Fast Ethernet à distance.
2. Trouvez le pont qui est hors de Fa0/1, qui sera notre racine.
S3# sh voisins cdp

S - Commutateur, H - Hôte, I - IGMP, r - Répéteur, P - Téléphone
S1 Fas 0/1 158 S 2960 Fas 0/1
S3#
Notez que S1 est connecté à l'interface locale Fa0/1, allons donc sur S1 et vérifions notre racine
pont.
3. Vérifiez le pont racine pour chacun des trois VLAN. À partir de S1, utilisez le résumé du show spanning-tree
commander.

Le commutateur est en mode pvst
Pont racine pour : par défaut VLAN0002 VLAN0003
ID système étendu est autorisé
Portfast par défaut est désactivé
PortFast BPDU Guard par défaut est désactivé
Le filtre par défaut de Portfast BPDU est désactivé
Loopguard par défaut est désactivé
La protection contre les erreurs de configuration EtherChannel est désactivée
UplinkFast est désactivé
BackboneFast est désactivé
La méthode Pathcost configurée utilisée est courte
Nom Blocage Écoute Apprentissage Transfert STP Actif

---------------------- -------- --------- -------- --- ------- ----------
VLAN0001 0 0 0 2 2
VLAN0002 0 0 0 2 2
VLAN0003 0 0 0 2 2
---------------------- -------- --------- -------- --- ------- ----------

3 réseaux virtuels 0 0 0 6 6
S1#
Notez que S1 est le pont racine pour les trois VLAN.
4. Notez tous vos ponts racine, pour les trois VLAN, si vous avez plus d'une racine
pont.
Atelier pratique 15.2 : Configuration et vérification de votre pont racine

Ce laboratoire supposera que vous avez effectué le laboratoire 1 et que vous savez maintenant qui est votre pont racine pour chaque
VLAN.
1. Accédez à l'un de vos ponts non racine et vérifiez l'ID du pont avec le show spanning-tree vlan
commander.

VLAN0001
Adresse 0001.C9A5.8748
Coût 19
Port 1(FastEthernet0/1)

Page 328

---------------- ---- --- --------- -------- ---------- ----------------------
Fa0/1 Racine FWD 19 128,1 P2p
Notez que ce pont n'est pas le pont racine pour le VLAN 1 et que le port racine est Fa0/1 avec un coût
de 19, ce qui signifie que le pont racine est directement connecté à une liaison Fast Ethernet.
2. Faites de l'un de vos ponts non racine le pont racine pour le VLAN 1. Utilisez la priorité 16 384, qui est
inférieur aux 32 768 de la racine actuelle.
Priorité S3(config)# spanning-tree vlan 1 ?

<0-61440> priorité de pont par incréments de 4096
S3(config)# spanning-tree vlan 1 priorité 16384
3. Vérifiez le pont racine pour le VLAN 1.

VLAN0001
ID de pont priorité 16385 (priorité 16384 sys-id-ext 1)


---------------- ---- --- --------- -------- ---------- ----------------------
Notez que ce pont est bien la racine et que tous les ports sont en mode Desg FWD.
Travaux pratiques 15.3 : Configuration de PortFast et de BPDU Guard

Ce laboratoire vous fera configurer des ports sur les commutateurs S3 et S2 pour permettre au PC et au serveur de
passe automatiquement en mode avant lorsqu'ils se connectent au port.
1. Connectez-vous à votre commutateur auquel un hôte est connecté et activez PortFast pour l'interface.
S3 # config t
S3(config-if)# spanning-tree portfast
%Avertissement : portfast ne doit être activé que sur les ports connectés à un seul
hôte. Connecter des hubs, des concentrateurs, des commutateurs, des ponts, etc... à ce
interface lorsque portfast est activé, peut provoquer des boucles de pontage temporaires.
Utiliser avec précaution
%Portfast a été configuré sur FastEthernet0/2 mais ne

ont effet lorsque l'interface est dans un mode sans agrégation.
2. Vérifiez que le port du commutateur sera fermé si un autre câble Ethernet du commutateur se branche sur ce
Port.
S3(config-if)# spanning-tree bpduguard activer
3. Vérifiez votre configuration avec la commande show running-config .
!
spanning-tree portfast
spanning-tree bpduguard activer
!
Page 329
Atelier pratique 15.4 : Configuration et vérification d'EtherChannel

Ce laboratoire vous fera configurer la version Cisco EtherChannel PAgP sur les commutateurs utilisés dans
ce laboratoire. Parce que j'ai préconfiguré les commutateurs, j'ai configuré les lignes réseau sur tous les inter-commutateurs
ports. Nous utiliserons les ports Gigabit Ethernet entre les commutateurs S3 et S2.
1. Configurez le commutateur S3 avec EtherChannel en créant une interface de canal de port.
S3 # config t
S3(config)# inter-port-canal 1
2. Configurez les ports pour qu'ils soient dans le bundle avec la commande channel-group .
S3(config-if)# int range g1/1 - 2

S3(config-if-range)# mode groupe de canaux 1 ?
actif Activer LACP inconditionnellement
auto Activer PAgP uniquement si un périphérique PAgP est détecté
souhaitable Activer PAgP inconditionnellement
au Activer Etherchannel uniquement
passif Activer LACP uniquement si un périphérique LACP est détecté
S3(config-if-range)# mode groupe de canaux 1 souhaitable
J'ai choisi le mode souhaitable PAgP pour le commutateur S3.
3. Configurez le commutateur S2 avec EtherChannel, en utilisant les mêmes paramètres que S3.
S2# config t
S2(config)# interface port-canal 1
S2(config-if)# int a sonné g1/1 - 2
S2(config-if-range)# mode groupe de canaux 1 souhaitable
%LINK-5-CHANGED : Interface Port-channel 1, état passé à up
%LINEPROTO-5-UPDOWN : protocole de ligne sur le canal de port d'interface 1, état passé à up
Assez simple, vraiment. Juste quelques commandes.
4. Vérifiez avec la commande show etherchannel port-channel .
S3# she etherchannel port-channel

Liste des groupes de canaux :
----------------------
Groupe 1
----------
Port-canaux dans le groupe :
---------------------------
Port-canal : Po1
------------
Âge du canal du Port = 00d:00h:06m:43s

Emplacement/port logique = 2/1 Nombre de ports = 2
CG = 0x00000000 port HotStandBy = nul
État du port = Port-canal
Protocole = PAGP
Sécurité du port = désactivé
Ports dans le canal de port :
État du port de chargement d'index EC Nombre de bits

------+------+------+-------------------+---------- -
0 00 Gig1/1 Souhaitable-Sl 0
0 00 Gig1/2 Souhaitable-Sl 0
Temps depuis le dernier port groupé : 00d:00h:01m:30s Gig1/2
5. Vérifiez avec la commande show etherchannel summary .
Résumé de l'etherchannel S3# she

Drapeaux : D - bas P - dans le canal du port
I - autonome s - suspendu
H - Redondance d'UC (LACP uniquement)
R - Couche3 S - Couche2
U - en cours d'utilisation f - n'a pas réussi à allouer l'agrégateur
u - inadapté au groupage
w - en attente d'être agrégé
d - port par défaut
Page 330
Nombre de groupes de canaux utilisés : 1

Nombre d'agrégateurs : 1
Ports de protocole de canal de port de groupe

------+-------------+------------+----------------- -----------------
1 Po1 (SU) PAgP Gig1/1(P) Gig1/2(P)

S3#
1. Vous recevez la sortie suivante d'un commutateur :
VLAN0001
Protocole de Spanning Tree activé rstp
Coût 4
[coupure de sortie]
Quelles sont les vérités concernant ce commutateur ? (Choisissez deux.)
A. Le commutateur est un pont racine.
B. Le commutateur est un pont non racine.
C. Le pont racine est à quatre commutateurs.
D. Le commutateur exécute 802.1w.
E. Le commutateur exécute STP PVST+.

2. Vous avez configuré vos commutateurs avec le spanning-tree vlan x root primary et spanning-tree
commandes secondaires vlan x root . Lequel des commutateurs tertiaires suivants prendra le relais si les deux
les commutateurs échouent ?
A. Un interrupteur avec priorité 4096
B. Un interrupteur avec priorité 8192
C. Un interrupteur avec priorité 12288
D. Un interrupteur avec priorité 20480
3. Lequel des éléments suivants utiliseriez-vous pour trouver les VLAN pour lesquels votre commutateur est la racine
pont? (Choisissez deux.)
A. show spanning-tree
B. tout afficher
C. show spanning-tree port racine VLAN
D. afficher le résumé du spanning-tree
4. Vous souhaitez exécuter le nouveau 802.1w sur vos commutateurs. Lequel des éléments suivants permettrait ce
protocole?
A. Switch(config)#spanning-tree mode rapid-pvst
Page 331
B. Switch#spanning-tree mode rapid-pvst
C. Switch(config)#spanning-tree mode 802.1w
D. Switch#spanning-tree mode 802.1w
5. Lequel des protocoles suivants est un protocole de couche 2 utilisé pour maintenir un réseau sans boucle ?
A. VTP
B. STP
C. RIP
D.CDP
6. Quel énoncé décrit un réseau spanning-tree qui a convergé ?
A. Tous les ports de commutateur et de pont sont à l'état de transfert.
B. Tous les ports de commutation et de pont sont affectés en tant que ports racine ou désignés.
C. Tous les ports de commutateur et de pont sont dans l'état de transfert ou de blocage.
D. Tous les ports de commutation et de pont sont soit bloquants, soit bouclés.
7. Lequel des modes suivants active LACP EtherChannel ? (Choisissez deux.)
A. Sur
B. Prévenir
C. Passif
D. Automatique
E. Actif
F. Souhaitable
8. Lesquelles des affirmations suivantes sont vraies concernant RSTP ? (Choisissez trois.)
A. RSTP accélère le recalcul du spanning tree lorsque la topologie du réseau de couche 2

changements.
B. RSTP est une norme IEEE qui redéfinit les rôles, les états et les BPDU des ports STP.
C. RSTP est extrêmement proactif et très rapide, il a donc absolument besoin du 802.1
temporisateurs de retard.
D. RSTP (802.1w) remplace 802.1d tout en restant propriétaire.
E. Toute la terminologie 802.1d et la plupart des paramètres ont été modifiés.
F. 802.1w est capable de revenir à 802.1d pour interagir avec les commutateurs traditionnels sur un
base portuaire.
9. Quelles sont les performances de BPDU Guard ?
A. S'assure que le port reçoit des BPDU du commutateur en amont correct.
B. S'assure que le port ne reçoit pas de BPDU du commutateur en amont, mais uniquement de la racine.
C. Si un BPDU est reçu sur un port BPDU Guard, PortFast est utilisé pour fermer le port.
D. Arrête un port si un BPDU est vu sur ce port.
10. Combien de bits compte le champ sys-id-ext dans une BPDU ?
A. 4
B. 8
C. 12
D. 16
Page 332
11. Il existe quatre connexions entre deux commutateurs exécutant RSTP PVST+ et vous souhaitez
comprendre comment obtenir une bande passante plus élevée sans sacrifier la résilience que RSTP
fournit. Que pouvez-vous configurer entre ces deux commutateurs pour obtenir une bande passante plus élevée
que la configuration par défaut fournit déjà ?
A. Définissez PortFast et BPDU Guard, ce qui permet une convergence plus rapide.
B. Configurez l'équilibrage de charge à coût inégal avec RSTP PVST+.
C. Placez les quatre liens dans le même bundle EtherChannel.
D. Configurez PPP et utilisez le multilink.
12. Dans quelles circonstances plusieurs copies de la même trame monodiffusion sont-elles susceptibles d'être transmises
dans un LAN commuté ?
A. Pendant les périodes de forte affluence
B. Une fois les liens rompus rétablis
C. Lorsque les protocoles de couche supérieure nécessitent une fiabilité élevée
D. Dans une topologie redondante mal implémentée
13. Vous souhaitez configurer LACP. Lesquels devez-vous vous assurer que sont configurés exactement les
même sur toutes les interfaces de commutateur que vous utilisez ? (Choisissez trois.)
A. Adresse MAC virtuelle
B. Vitesses des ports
C. Duplex
D. PortFast activé
E. Informations VLAN
14. Lequel des modes suivants active PAgP EtherChannel ? (Choisissez deux.)
A. Sur
B. Prévenir
C. Passif
D. Automatique
E. Actif
F. Souhaitable
15. Pour cette question, reportez-vous à l'illustration suivante. Le RP de SB vers le pont racine a échoué.
Page 333
Quel est le nouveau coût pour SB de créer un chemin unique vers le pont racine ?
A. 4
B. 8
C. 23
D. 12
16. Lequel des éléments suivants placerait les interfaces de commutateur dans le port EtherChannel numéro 1, en utilisant
LACP ? (Choisissez deux.)
A. Switch(config)#interface port-channel 1
B. Switch(config)#channel-group 1 mode actif
C. Switch#interface port-canal 1
D. Mode Switch(config-if)#channel-group 1 actif
17. Quelles sont les deux commandes qui garantiraient que votre commutateur soit le pont racine pour le VLAN 30 ?
(Choisissez deux.)
A. spanning-tree vlan 30 priorité 0
B. spanning-tree vlan 30 priorité 16384
C. garantie racine vlan 30 spanning-tree
D. spanning-tree vlan 30 racine primaire
18. Pourquoi Cisco utilise-t-il son extension propriétaire de PVST+ avec STP et RSTP ?
A. Le placement du pont racine permet une convergence plus rapide ainsi qu'une détermination optimale du chemin.
B. Le placement de pont sans racine permet clairement une convergence plus rapide ainsi qu'un chemin optimal
détermination.
C. PVST+ permet une suppression plus rapide des trames non IP.
D. PVST+ est en fait une norme IEEE appelée 802.1w.
19. Quels sont les états dans 802.1d ? (Choisissez tout ce qui correspond.)
Page 334
A. Blocage
B. Rejeter
C. Écouter
D. Apprentissage
E. Transfert
F. Suppléant
20. Parmi les fonctions suivantes, lesquelles sont des rôles dans STP ? (Choisissez tout ce qui correspond.)
A. Blocage
B. Rejeter
C. Racine
D. Non désigné
E. Transfert
F. Désigné
Page 335
Chapitre 16
Gestion et sécurité des périphériques réseau

CE CHAPITRE:
1.7 Décrire les techniques courantes d'atténuation des menaces de la couche d'accès
1.7.a 802.1x
1.7.b Surveillance DHCP
4.1 Configurer, vérifier et dépanner le HSRP de base
4.1.a Priorité
4.1.b Préemption
Version 4.1.c
5.0 Entretien des infrastructures
5.1 Configurer et vérifier les protocoles de surveillance des appareils
5.1.a SNMPv2
5.1.b SNMPv3
5.4 Décrire la gestion des appareils à l'aide d'AAA avec TACACS+ et RADIUS
Nous allons commencer ce chapitre en expliquant comment

atténuer les menaces au niveau de la couche d'accès en utilisant diverses techniques de sécurité. Maintenir notre discussion sur
sécurité, nous allons ensuite nous intéresser à l'authentification externe avec authentification,
autorisation et comptabilité (AAA) de nos périphériques réseau utilisant RADIUS et TACACS+.
Ensuite, nous allons examiner le protocole SNMP (Simple Network Management Protocol) et le type de
alertes envoyées à la station de gestion de réseau (NMS).
Enfin, je vais vous montrer comment intégrer des fonctionnalités de redondance et d'équilibrage de charge dans votre
réseautez élégamment avec les routeurs que vous possédez probablement déjà. Acquérir une charge hors de prix-
dispositif d'équilibrage n'est tout simplement pas toujours nécessaire car savoir comment configurer et utiliser correctement
Le protocole HSRP (Hot Standby Router Protocol) peut souvent répondre à vos besoins.
Pour trouver les dernières mises à jour de ce chapitre, veuillez consulter
Page 336
www.lammle.com/ccna ou la page Web du livre sur www.sybex.com/go/ccna .
Atténuation des menaces au niveau de la couche d'accès

Le modèle hiérarchique Cisco peut vous aider à concevoir, mettre en œuvre et maintenir un système évolutif, fiable,
interréseaux hiérarchiques rentables.
La couche d'accès contrôle l'accès des utilisateurs et des groupes de travail aux ressources de l'interréseau et est également
parfois appelée couche de bureau. Les ressources réseau dont la plupart des utilisateurs ont besoin à cette couche
sera disponible localement car la couche de distribution gère tout trafic pour les services distants.
Voici quelques-unes des fonctions à inclure au niveau de la couche d'accès :
Utilisation continue (depuis la couche de distribution) du contrôle d'accès et des politiques
Création de domaines de collision séparés (microsegmentation/commutateurs)
Connectivité du groupe de travail dans la couche de distribution
Connectivité de l'appareil
Services de résilience et de sécurité
Capacités technologiques avancées (voix/vidéo, PoE, sécurité des ports, etc.)
Des interfaces comme la commutation Gigabit ou FastEthernet fréquemment observées dans la couche d'accès
Étant donné que la couche d'accès est à la fois le point auquel les appareils utilisateurs se connectent au réseau et le
point de connexion entre le réseau et l'appareil client, sa protection joue un rôle important dans
protéger les autres utilisateurs, les applications et le réseau lui-même contre les attaques.
Voici quelques-unes des façons de protéger la couche d'accès (également illustrée à la figure 16.1 ) :
Figure 16.1 Atténuation des menaces au niveau de la couche d'accès
Sécurité des ports Vous êtes déjà très familier avec la sécurité des ports (ou vous devriez l'être !), mais
restreindre un port à un ensemble spécifique d'adresses MAC est le moyen le plus courant de défendre l'accès
couche.
Surveillance DHCP La surveillance DHCP est une fonction de sécurité de couche 2 qui valide les messages DHCP en
agissant comme un pare-feu entre les hôtes non fiables et les serveurs DHCP de confiance.
Afin d'arrêter les serveurs DHCP non autorisés sur le réseau, les interfaces de commutation sont configurées comme approuvées.
ou non approuvées, où les interfaces approuvées autorisent tous les types de messages DHCP et les interfaces non approuvées
autoriser uniquement les demandes. Les interfaces de confiance sont des interfaces qui se connectent à un serveur DHCP ou sont un
liaison montante vers le serveur DHCP, comme illustré à la Figure 16.2 .
Page 337
Figure 16.2 Surveillance DHCP et DAI
Lorsque la surveillance DHCP est activée, un commutateur crée également une base de données de liaison de surveillance DHCP, où
chaque entrée comprend l'adresse MAC et IP de l'hôte ainsi que la durée de bail DHCP, la liaison
type, VLAN et interface. L'inspection ARP dynamique utilise également cette liaison de surveillance DHCP
base de données.
Inspection ARP dynamique (DAI) DAI, utilisée avec la surveillance DHCP, suit les liaisons IP-à-MAC
des transactions DHCP pour se protéger contre l'empoisonnement ARP (qui est un attaquant essayant d'avoir
votre trafic lui soit envoyé au lieu de votre destination valide). La surveillance DHCP est requise dans
afin de créer les liaisons MAC vers IP pour la validation DAI.
La mise en réseau basée sur l' identité La mise en réseau basée sur l' identité est un concept qui relie plusieurs
composants d'authentification, de contrôle d'accès et de politique utilisateur afin de fournir aux utilisateurs les
services réseau que vous voulez qu'ils aient.
Auparavant, pour qu'un utilisateur se connecte aux services Finance, par exemple, un utilisateur devait être branché
dans le LAN ou le VLAN Finance. Cependant, la mobilité des utilisateurs étant l'une des principales exigences de
réseaux modernes, ce n'est plus pratique et cela n'offre pas une sécurité suffisante.
La mise en réseau basée sur l'identité vous permet de vérifier les utilisateurs lorsqu'ils se connectent à un port de commutateur en
en les authentifiant et en les plaçant dans le bon VLAN en fonction de leur identité. Si des utilisateurs
ne réussissent pas le processus d'authentification, leur accès peut être rejeté, ou ils peuvent simplement être mis
dans un VLAN invité. La figure 16.3 montre ce processus.
Figure 16.3 Mise en réseau basée sur l'identité
La norme IEEE 802.1x vous permet de mettre en œuvre une mise en réseau basée sur l'identité sur des
hôtes sans fil en utilisant le contrôle d'accès client/serveur. Il y a trois rôles :
Client Également appelé supplicant, ce logiciel s'exécute sur un client 802.1x

conforme.
Page 338
Authentificateur Généralement un commutateur, il contrôle l'accès physique au réseau et est un

proxy entre le client et le serveur d'authentification.
Serveur d'authentification (RADIUS) Il s'agit d'un serveur qui authentifie chaque client avant
mettre à disposition tous les services.
Options d'authentification externe

Bien sûr, nous voulons que seuls les informaticiens autorisés aient un accès administratif à nos périphériques réseau.
tels que les routeurs et les commutateurs, et dans un réseau de petite à moyenne taille, en utilisant simplement
l'authentification est suffisante.
Cependant, si vous avez des centaines d'appareils, la gestion de la connectivité administrative serait
presque impossible car il faudrait configurer l'authentification locale sur chaque appareil à la main, et
si vous n'avez modifié qu'un seul mot de passe, la mise à jour de votre réseau peut prendre des heures.
Étant donné que le maintien de la base de données locale pour chaque périphérique réseau pour la taille du réseau est
généralement pas faisable, vous pouvez utiliser un serveur AAA externe qui gérera tous les utilisateurs et
besoins d'accès administratif pour un réseau entier.
Les deux options les plus populaires pour les AAA externes sont RADIUS et TACACS+, toutes deux couvertes ensuite.
RAYON
Remote Authentication Dial-In User Service, ou RADIUS , a été développé par Internet
Engineering Task Force—l'IETF—et est essentiellement un système de sécurité qui fonctionne pour protéger le
réseau contre les accès non autorisés. RADIUS, qui utilise uniquement UDP, est un standard ouvert
implémenté par la plupart des principaux fournisseurs, et c'est l'un des types de serveurs de sécurité les plus populaires
autour car il combine les services d'authentification et d'autorisation en un seul processus. Donc
une fois les utilisateurs authentifiés, ils sont alors autorisés à accéder aux services réseau.
RADIUS implémente une architecture client/serveur, où le client type est un routeur, un commutateur ou
AP et le serveur typique est un périphérique Windows ou Unix qui exécute le logiciel RADIUS.
Le processus d'authentification comporte trois étapes distinctes :
1. L'utilisateur est invité à saisir un nom d'utilisateur et un mot de passe.
2. Le nom d'utilisateur et le mot de passe crypté sont envoyés via le réseau au serveur RADIUS.
3. Le serveur RADIUS répond avec l'un des éléments suivants :

Réponse Sens
J'accepte L'utilisateur a été authentifié avec succès.
Rejeter Le nom d'utilisateur et le mot de passe ne sont pas valides.
Défi Le serveur RADIUS demande des informations supplémentaires.
Changer le mot de passe L'utilisateur doit sélectionner un nouveau mot de passe.
Il est important de se rappeler que RADIUS crypte uniquement le mot de passe dans la demande d'accès
paquet du client au serveur. Le reste du paquet n'est pas crypté.
Configuration de RADIUS
Pour configurer un serveur RADIUS pour l'accès console et VTY, vous devez d'abord activer AAA
services afin de configurer toutes les commandes AAA. Configurez la commande aaa new-model dans
le mode de configuration globale.
Routeur(config)# aaa nouveau modèle
La commande aaa new-model applique immédiatement l'authentification locale à toutes les lignes et interfaces
(sauf ligne con 0 ). Ainsi, pour éviter d'être bloqué hors du routeur ou du commutateur, vous devez définir un
nom d'utilisateur et mot de passe locaux avant de commencer la configuration AAA.
Page 339
Maintenant, configurez un utilisateur local :
Router(config)# nom d'utilisateur Todd mot de passe Lammle
La création de cet utilisateur est très importante car vous pouvez ensuite utiliser ce même utilisateur créé localement si
le serveur d'authentification externe échoue ! Si vous ne créez pas ceci et que vous ne pouvez pas accéder au serveur,
vous allez finir par faire une récupération de mot de passe.
Ensuite, configurez un serveur RADIUS en utilisant n'importe quel nom et la clé RADIUS configurée sur le
serveur.
Routeur(config)# radius server SecureLogin

Routeur (config-radius-server) # adresse ipv4 10.10.10.254
Routeur(config-radius-server)# clé MyRadiusPassword
Maintenant, ajoutez votre serveur RADIUS nouvellement créé à un groupe AAA de n'importe quel nom.
Router(config)# aaa group server radius MyRadiusGroup

Routeur(config-sg-radius)# nom du serveur SecureLogin
Enfin, configurez ce groupe nouvellement créé à utiliser pour l'authentification de connexion AAA. Si le RAYON
serveur échoue, le retour à l'authentification locale doit être défini.
Router(config)# aaa authentification login groupe par défaut MyRadiusGroup local
TACACS+
Le système de contrôle d'accès du contrôleur d'accès au terminal (TACACS +) est également un serveur de sécurité qui est
Propriété de Cisco et utilise TCP. C'est vraiment similaire à bien des égards à RADIUS ; cependant, il fait tout
que RADIUS fait et plus, y compris la prise en charge multiprotocole.
TACACS+ a été développé par Cisco Systems, il est donc spécialement conçu pour interagir avec les
Services AAA. Si vous utilisez TACACS+, vous disposez du menu complet des fonctionnalités AAA pour
vous—et il gère chaque aspect de sécurité séparément, contrairement à RADIUS :
L'authentification inclut la prise en charge de la messagerie en plus des fonctions de connexion et de mot de passe.
L'autorisation permet un contrôle explicite des capacités de l'utilisateur.
La comptabilité fournit des informations détaillées sur les activités des utilisateurs.
Configuration de TACACS+
C'est à peu près identique à la configuration RADIUS.
Pour configurer un serveur TACACS+ pour l'accès console et VTY, vous devez d'abord activer AAA
services afin de configurer toutes les commandes AAA. Configurez la commande aaa new-model dans
le mode de configuration globale (s'il n'est pas déjà activé).
Routeur(config)# aaa nouveau modèle
Maintenant, configurez un utilisateur local si vous ne l'avez pas déjà fait.
Router(config)# nom d'utilisateur Todd mot de passe Lammle
Ensuite, configurez un serveur TACACS+ en utilisant n'importe quel nom et la clé configurée sur le serveur.
Routeur(config)# radius server SecureLoginTACACS+

Routeur (config-radius-server) # adresse ipv4 10.10.10.254
Routeur(config-radius-server)# clé MyTACACS+Mot de passe
Maintenant, ajoutez votre serveur TACACS+ nouvellement créé à un groupe AAA de n'importe quel nom.
Router(config)# aaa group server radius MyTACACS+Group
Routeur(config-sg-radius)# nom du serveur SecureLoginTACACS+
Configurez pour la dernière fois ce groupe nouvellement créé à utiliser pour l'authentification de connexion AAA. Si le TACACS+
serveur échoue, le retour à l'authentification locale doit être défini.
Router(config)# aaa authentication login default group MyTACACS+Group local
Page 340
SNMP
Bien que le protocole SNMP (Simple Network Management Protocol) ne soit certainement pas le protocole le plus ancien
jamais, il est encore assez vieux, étant donné qu'il a été créé en 1988 (RFC 1065) !
SNMP est un protocole de couche application qui fournit un format de message pour les agents sur une variété de
périphériques pour communiquer avec les stations de gestion de réseau (NMS)—par exemple, Cisco Prime
ou HP Openview. Ces agents envoient des messages à la station NMS, qui lit ou
écrit des informations dans la base de données qui est stockée sur le NMS et appelée gestion
base d'informations (MIB).
Le NMS interroge ou interroge périodiquement l'agent SNMP sur un périphérique pour collecter et analyser
statistiques via les messages GET. Les terminaux exécutant des agents SNMP enverraient une interruption SNMP au
NMS en cas de problème. C'est ce que montre la figure 16.4 .
Figure 16.4 Messages SNMP GET et TRAP
Les administrateurs peuvent également utiliser SNMP pour fournir certaines configurations aux agents, appelées SET
messages. En plus de l'interrogation pour obtenir des statistiques, SNMP peut être utilisé pour analyser les informations
et compiler les résultats dans un rapport ou même un graphique. Les seuils peuvent être utilisés pour déclencher un
processus de notification en cas de dépassement. Des outils graphiques sont utilisés pour surveiller les statistiques du processeur de
Les appareils Cisco comme un routeur principal. Le CPU doit être surveillé en permanence et le NMS peut
représenter graphiquement les statistiques. Une notification sera envoyée lorsqu'un seuil que vous avez défini a été dépassé.
SNMP a trois versions, la version 1 étant rarement, voire jamais, mise en œuvre aujourd'hui. Voici un
résumé de ces trois versions :
SNMPv1 Prend en charge l'authentification en texte clair avec des chaînes de communauté et utilise uniquement UDP.
SNMPv2c Prend en charge l'authentification en texte clair avec des chaînes de communauté sans cryptage mais
fournit GET BULK, qui est un moyen de rassembler plusieurs types d'informations à la fois et de minimiser
le nombre de requêtes GET. Il offre une méthode de rapport de message d'erreur plus détaillée appelée
INFORMER, mais ce n'est pas plus sécurisé que la v1. Il utilise UDP même s'il peut être configuré pour utiliser
TCP.
SNMPv3 Prend en charge l'authentification forte avec MD5 ou SHA, assurant la confidentialité
(cryptage) et l'intégrité des données des messages via le cryptage DES ou DES-256 entre les agents et
gestionnaires. GET BULK est une fonctionnalité prise en charge par SNMPv3, et cette version utilise également TCP.
Base d'informations de gestion (MIB)

Avec autant de types d'appareils et autant de données accessibles, il fallait un
moyen standard d'organiser cette pléthore de données, alors MIB à la rescousse ! Une information de gestion
base (MIB) est une collection d'informations qui est organisée hiérarchiquement et peut être consultée par
protocoles comme SNMP. Les RFC définissent certaines variables publiques communes, mais la plupart des organisations définissent
leurs propres branches privées ainsi que les normes SNMP de base. Les identifiants organisationnels (OID) sont déposés
sous forme d'arborescence avec différents niveaux attribués par différentes organisations, avec des OID MIB de niveau supérieur
appartenant à divers organismes de normalisation.
Page 341
Les fournisseurs attribuent des succursales privées dans leurs propres produits. Jetons un coup d'œil aux OID de Cisco, qui
sont décrits en mots ou en nombres pour localiser une variable particulière dans l'arbre, comme le montre la figure
16.5 .
Figure 16.5 OID MIB de Cisco
Heureusement, vous n'avez pas besoin de mémoriser les OID de la Figure 16.5 pour les examens Cisco !
Pour obtenir des informations de la MIB sur l'agent SNMP, vous pouvez utiliser plusieurs
opérations :
GET : Cette opération est utilisée pour obtenir des informations de la MIB vers un agent SNMP.
SET : Cette opération est utilisée pour obtenir des informations vers la MIB à partir d'un gestionnaire SNMP.
WALK : Cette opération est utilisée pour lister les informations des objets MIB successifs dans un
MIB spécifié.
TRAP : Cette opération est utilisée par l'agent SNMP pour envoyer une information déclenchée à
le gestionnaire SNMP.
INFORM : Cette opération est la même qu'un piège, mais elle ajoute une reconnaissance qu'un piège fait
Ne pas fournir.
Configuration de SNMP
La configuration de SNMP est un processus assez simple pour lequel vous n'avez besoin que de quelques commandes.
Ces cinq étapes sont tout ce que vous devez exécuter pour configurer un périphérique Cisco pour l'accès SNMP :
1. Configurez où les traps doivent être envoyés.
2. Activez l'accès SNMP en lecture-écriture au routeur.
3. Configurez les informations de contact SNMP.
4. Configurez l'emplacement SNMP.
5. Configurez une liste de contrôle d'accès pour restreindre l'accès SNMP aux hôtes NMS.
La seule configuration requise est l'adresse IP de la station NMS et la chaîne de communauté

(qui fait office de mot de passe ou de chaîne d'authentification) car les trois autres sont facultatifs. Voici
un exemple de configuration de routeur SNMP typique :
Router(config)# snmp-server host 1.2.3.4

Router(config)# communauté snmp-serveur ?
Chaîne de communauté SNMP WORD
Page 342
Router(config)# snmp-server community Todd ?

<1-99> Liste d'accès IP standard permettant l'accès avec cette chaîne de communauté
<1300-1999> Liste d'accès IP étendue permettant l'accès avec cette chaîne de communauté
MOT Nom de la liste d'accès
ipv6 Spécifiez la liste d'accès nommée IPv6
ro Accès en lecture seule avec cette chaîne de communauté
rw Accès en lecture-écriture avec cette chaîne de communauté
vue Restreindre cette communauté à une vue MIB nommée
<cr>
Router(config)# snmp-server community Todd rw

Router(config)# emplacement du serveur snmp Boulder
Routeur (config) # snmp-server contact Todd Lammle
Router(config)# ip access-list standard Protect_NMS_Station
Routeur(config-std-nacl)# permit host 192.168.10.254
La saisie de la commande snmp-server active SNMPv1 sur le périphérique Cisco.
Vous pouvez entrer l'ACL directement dans la configuration SNMP pour assurer la sécurité, en utilisant soit un
un numéro ou un nom. Voici un exemple:
Router(config)# snmp-server community Todd Protect_NMS_Station rw
Notez que même s'il existe une multitude d'options de configuration sous SNMP, vous ne
besoin de travailler avec quelques-uns d'entre eux pour configurer une configuration de base de trap SNMP sur un routeur. Tout d'abord, j'ai mis le
Adresse IP de la station NMS où le routeur enverra les traps ; alors j'ai choisi la communauté
nom de Todd avec accès RW (lecture-écriture), ce qui signifie que le NMS pourra récupérer et
modifier les objets MIB du routeur. L'emplacement et les coordonnées sont très utiles pour
dépannage de la configuration. Assurez-vous de comprendre que l'ACL protège le NMS
de l'accès, pas des appareils avec les agents !
Définissons les options de lecture et d'écriture SNMP.

Lecture seule Donne aux stations de gestion autorisées un accès en lecture à tous les objets de la MIB, à l'exception
les chaînes de la communauté et ne permet pas l'accès en écriture
Lecture-écriture Donne aux stations de gestion autorisées un accès en lecture et en écriture à tous les objets du
MIB mais ne permet pas l'accès aux chaînes de la communauté
Ensuite, nous explorerons une méthode propriétaire Cisco de configuration de passerelles par défaut redondantes pour
hôtes.
Problèmes de redondance des clients

Si vous vous demandez comment configurer un client pour qu'il envoie des données à partir de son lien local lorsque son
routeur de passerelle par défaut est tombé en panne, vous avez ciblé un problème clé parce que la réponse est que,
habituellement, vous ne pouvez pas ! La plupart des systèmes d'exploitation hôtes ne vous permettent tout simplement pas de modifier le routage des données. Sûr,
si le routeur de passerelle par défaut d'un hôte tombe en panne, le reste du réseau convergera toujours, mais il
ne partagera pas cette information avec les hôtes. Jetez un œil à la figure 16.6 pour voir de quoi je parle
À propos. Il y a en fait deux routeurs disponibles pour transférer les données du sous-réseau local, mais les hôtes
connaître un seul d'entre eux. Ils découvrent ce routeur lorsque vous leur fournissez le
passerelle par défaut de manière statique ou via DHCP.
Page 343
Figure 16.6 Passerelle par défaut
Cela soulève la question : existe-t-il un autre moyen d'utiliser le deuxième routeur actif ? La réponse est un peu
compliqué, mais supportez-moi. Il y a une fonctionnalité qui est activée par défaut sur les routeurs Cisco
appelé Proxy Address Resolution Protocol (Proxy ARP). Proxy ARP permet aux hôtes, qui ont
aucune connaissance des options de routage, pour obtenir l'adresse MAC d'un routeur passerelle qui peut transmettre
paquets pour eux.
Vous pouvez voir comment cela se produit dans la Figure 16.7 . Si un routeur proxy ARP reçoit un ARP
demande une adresse IP dont il sait qu'elle n'est pas sur le même sous-réseau que l'hôte demandeur, il
répondre avec un paquet de réponse ARP à l'hôte. Le routeur donnera sa propre adresse MAC locale—
l'adresse MAC de son interface sur le sous-réseau de l'hôte, en tant qu'adresse MAC de destination pour l'IP
adresse que l'hôte cherche à résoudre. Après avoir reçu l'adresse MAC de destination, le
L'hôte enverra alors tous les paquets au routeur, ne sachant pas que ce qu'il considère comme la destination
l'hôte est vraiment un routeur. Le routeur transmettra ensuite les paquets à l'hôte prévu.
Page 344
Figure 16.7 Proxy ARP
Ainsi, avec Proxy ARP, le périphérique hôte envoie le trafic comme si le périphérique de destination se trouvait sur son
propre segment de réseau. Si le routeur qui a répondu à la requête ARP échoue, l'hôte source
continue d'envoyer des paquets pour cette destination à la même adresse MAC. Mais parce qu'ils sont
étant envoyés à un routeur défaillant, les paquets seront envoyés à l'autre routeur du réseau qui est
répondant également aux requêtes ARP pour les hôtes distants.
Après le délai d'expiration sur l'hôte, l'adresse MAC ARP du proxy sort du cache ARP.
L'hébergeur peut alors faire une nouvelle requête ARP pour la destination et obtenir l'adresse d'un autre
routeur proxy ARP. Cependant, gardez à l'esprit que l'hôte ne peut pas envoyer de paquets à partir de son sous-réseau pendant
le temps de basculement. Ce n'est pas exactement une situation parfaite, donc il doit y avoir un meilleur moyen, non ?
Eh bien, il y en a, et c'est précisément là que les protocoles de redondance viennent à la rescousse !
Présentation des protocoles de redondance de premier saut (FHRP)

Les protocoles de redondance du premier saut (FHRP) fonctionnent en vous permettant de configurer plusieurs
routeur physique pour apparaître comme s'ils n'étaient qu'un seul et même routeur logique. Cela rend la configuration du client
et la communication plus faciles car vous pouvez simplement configurer une seule passerelle par défaut et le
la machine hôte peut utiliser ses protocoles standard pour communiquer. Le premier saut est une référence au
le routeur par défaut étant le premier routeur, ou premier tronçon de routeur, par lequel un paquet doit passer.
Alors, comment un protocole de redondance accomplit-il cela ? Les protocoles que je vais vous décrire
faites-le essentiellement en présentant un routeur virtuel à tous les clients. Le routeur virtuel a son propre
Adresses IP et MAC. L'adresse IP virtuelle est l'adresse configurée sur chacun des hôtes
machines comme passerelle par défaut. L'adresse MAC virtuelle est l'adresse qui sera renvoyée
lorsqu'une requête ARP est envoyée par un hôte. Les hôtes ne savent pas ou ne se soucient pas du routeur physique
transférer réellement le trafic, comme vous pouvez le voir sur la Figure 16.8 .
Page 345
Figure 16.8 Les FHRP utilisent un routeur virtuel avec une adresse IP virtuelle et une adresse MAC virtuelle.
Il est de la responsabilité du protocole de redondance de décider quel routeur physique sera activement
transférer le trafic et lequel sera mis en veille en cas de panne du routeur actif. Même si le
routeur actif échoue, la transition vers le routeur de secours sera transparente pour les hôtes car
le routeur virtuel, qui est identifié par les adresses IP et MAC virtuelles, est maintenant utilisé par le
routeur de secours. Les hôtes ne modifient jamais les informations de passerelle par défaut, le trafic continue donc de circuler.
Les solutions tolérantes aux pannes assurent un fonctionnement continu en cas de
une panne de périphérique, et les solutions d'équilibrage de charge répartissent la charge de travail sur
plusieurs appareils.
Il existe trois protocoles de redondance importants, mais seul HSRP est couvert sur le CCNA
objectifs maintenant :
Hot Standby Router Protocol (HSRP) HSRP est de loin le protocole préféré de Cisco ! Ne pas
n'achetez qu'un seul routeur ; acheter jusqu'à huit routeurs pour fournir le même service et en garder sept
sauvegarde en cas de panne ! HSRP est un protocole propriétaire de Cisco qui fournit un
passerelle pour les hôtes sur un sous-réseau local, mais ce n'est pas une solution à charge équilibrée. HSRP vous permet de
configurer deux routeurs ou plus dans un groupe de secours qui partage une adresse IP et une adresse MAC
et fournit une passerelle par défaut. Lorsque les adresses IP et MAC sont indépendantes du
adresses physiques des routeurs (sur une interface virtuelle, non liée à une interface spécifique), HSRP peut
échanger le contrôle d'une adresse si le transfert actuel et le routeur actif échouent. Mais il y a en fait un
manière dont vous pouvez en quelque sorte réaliser l'équilibrage de charge avec HSRP, en utilisant plusieurs VLAN et en désignant
un routeur spécifique actif pour un VLAN, puis un autre routeur actif pour l'autre VLAN via
goulotte. Ce n'est toujours pas une véritable solution d'équilibrage de charge et ce n'est pas aussi solide que ce que vous pouvez
réaliser avec GLBP !
Virtual Router Redundancy Protocol (VRRP) Fournit également un protocole redondant, mais encore une fois, pas
à charge équilibrée : passerelle pour les hôtes sur un sous-réseau local. C'est un protocole standard ouvert qui fonctionne
presque identique à HSRP.
Page 346
Gateway Load Balancing Protocol (GLBP) Pour la vie de moi, je ne peux pas comprendre comment GLBP
n'est plus un objectif du CCNA ! GLBP ne se contente pas de nous fournir un
passerelle; c'est une véritable solution d'équilibrage de charge pour les routeurs. GLBP autorise un maximum de quatre routeurs
dans chaque groupe de renvoi. Par défaut, le routeur actif dirige le trafic des hôtes vers chaque
routeur successif dans le groupe à l'aide d'un algorithme à répétition. Les hôtes sont invités à envoyer
leur trafic vers un routeur spécifique en recevant l'adresse MAC du prochain routeur en ligne pour
être utilisé.
Protocole de routeur à redondance d'UC (HSRP)

Encore une fois, HSRP est un protocole propriétaire de Cisco qui peut être exécuté sur la plupart des routeurs Cisco, mais pas tous.
et les modèles de commutateurs multicouches. Il définit un groupe de veille, et chaque groupe de veille que vous définissez
comprend les routeurs suivants :
Routeur actif
Routeur de secours
Routeur virtuel
Tout autre routeur éventuellement connecté au sous-réseau
Le problème avec HSRP est qu'avec lui, un seul routeur est actif et deux ou plusieurs routeurs sont simplement assis
là en mode veille et ne sera pas utilisé à moins qu'une panne ne se produise - pas très rentable ou
efficace! La figure 16.9 montre comment un seul routeur est utilisé à la fois dans un groupe HSRP.
Le groupe de secours aura toujours au moins deux routeurs qui y participent. Les principaux acteurs de
le groupe est un routeur actif et un routeur de secours qui communiquent entre eux à l'aide
Messages Hello en multidiffusion. Les messages Hello fournissent toutes les communications requises pour le
routeurs. Les Hellos contiennent les informations nécessaires pour accomplir l'élection qui détermine
les positions du routeur actif et en veille. Ils détiennent également la clé du processus de basculement. Si la
le routeur de secours cesse de recevoir les paquets Hello du routeur actif, il prend alors le relais du routeur actif.
le rôle du routeur, comme illustré à la Figure 16.9 et à la Figure 16.10 .
Page 347
Figure 16.9 Routeurs actifs et de secours HSRP
Figure 16.10 Exemple d'interfaces d'échange de routeurs actifs et de secours HSRP
Dès que le routeur actif cesse de répondre aux Hellos, le routeur en veille
devient le routeur actif et commence à répondre aux demandes des hôtes.
Adresse MAC virtuelle

Un routeur virtuel dans un groupe HSRP a une adresse IP virtuelle et une adresse MAC virtuelle. Alors, où
est-ce que ce MAC virtuel vient? L'adresse IP virtuelle n'est pas si difficile à comprendre ; il a juste
être une adresse IP unique sur le même sous-réseau que les hôtes définis dans la configuration. Mais MAC
les adresses sont un peu différentes, non ? Ou sont-ils? La réponse est oui, en quelque sorte. Avec HSRP, vous
créer une adresse MAC totalement nouvelle et inventée en plus de l'adresse IP.
L'adresse MAC HSRP ne contient qu'une seule variable. Les 24 premiers bits identifient toujours le
fournisseur qui a fabriqué l'appareil (l'identifiant organisationnel unique, ou OUI). Le suivant
16 bits dans l'adresse nous indiquent que l'adresse MAC est une adresse MAC HSRP bien connue. Finalement,
les 8 derniers bits de l'adresse sont la représentation hexadécimale du numéro de groupe HSRP.
Permettez-moi de clarifier tout cela avec un exemple de ce à quoi ressemblerait une adresse MAC HSRP :
0000.0c07.ac0a
Les 24 premiers bits (0000.0c) sont l'ID du fournisseur de l'adresse ; dans le cas où HSRP est un
Protocole Cisco, l'ID est attribué à Cisco.
Les 16 bits suivants (07.ac) sont l'ID HSRP bien connu. Cette partie de l'adresse a été attribuée
par Cisco dans le protocole, il est donc toujours facile de reconnaître que cette adresse est à utiliser avec
HSRP.
Les 8 derniers bits (0a) sont les seuls bits variables et représentent le numéro de groupe HSRP que vous
attribuer. Dans ce cas, le numéro de groupe est 10 et converti en hexadécimal lorsqu'il est placé dans le
Adresse MAC, où elle devient le 0a que vous voyez.
Page 348
Vous pouvez voir cela affiché avec chaque adresse MAC ajoutée au cache ARP de chaque routeur dans
le groupe HSRP. Il y aura la traduction de l'adresse IP vers l'adresse MAC, ainsi que
l'interface sur laquelle il se trouve.
Minuteurs HSRP
Avant d'approfondir les rôles que chacun des routeurs peut avoir dans un groupe HSRP, je veux
définir les temporisateurs HSRP pour que HSRP fonctionne car ils assurent la communication entre les
routeurs, et si quelque chose ne va pas, ils permettent au routeur de secours de prendre le relais. Le HSRP
les minuteries incluent hello , hold , active et standby .
Hello timer Le hello timer est l'intervalle défini pendant lequel chacun des routeurs envoie
Bonjour messages. Leur intervalle par défaut est de 3 secondes et ils identifient l'état dans lequel chaque routeur est
Ceci est important car l'état particulier détermine le rôle spécifique de chaque routeur et,
en conséquence, les actions que chacun entreprendra au sein du groupe. La figure 16.11 montre les messages Hello
envoyé et le routeur utilisant la minuterie hello pour maintenir le flux du réseau en cas de panne.
Cette minuterie peut être modifiée, et les gens évitaient de le faire parce qu'on pensait que
abaisser la valeur hello placerait une charge inutile sur les routeurs. Ce n'est pas vrai avec
la plupart des routeurs aujourd'hui ; en fait, vous pouvez configurer les temporisateurs en millisecondes, ce qui signifie que le
le temps de basculement peut être en millisecondes ! Cependant, gardez à l'esprit que l'augmentation de la valeur rendra le
le routeur de secours attend plus longtemps avant de prendre le relais du routeur actif lorsqu'il tombe en panne ou ne peut pas
communiquer.
Figure 16.11 Hello HSRP
Temporisateur d'attente Le temporisateur d' attente spécifie l'intervalle que le routeur de secours utilise pour déterminer si
le routeur actif est hors ligne ou hors communication. Par défaut, le temporisateur d'attente est de 10 secondes,
environ trois fois la valeur par défaut pour la minuterie hello. Si une minuterie est modifiée pour une raison quelconque, je
recommande d'utiliser ce multiplicateur pour ajuster également les autres minuteries. En réglant la minuterie de maintien à trois
fois le bonjour timer, vous vous assurez que le routeur de secours ne prend pas le rôle actif chaque
temps il y a une courte pause dans la communication.
Page 349
Minuterie active La minuterie active surveille l'état du routeur actif. La minuterie se réinitialise chaque
moment où un routeur du groupe de veille reçoit un paquet Hello du routeur actif. Cette minuterie
expire en fonction de la valeur du temps d'attente définie dans le champ correspondant du HSRP Hello
un message.
Minuterie de veille La minuterie de veille est utilisée pour surveiller l'état du routeur de veille. La minuterie
se réinitialise à chaque fois qu'un routeur du groupe de veille reçoit un paquet Hello du routeur de veille et
expire en fonction de la valeur du temps d'attente définie dans le paquet Hello respectif.
Pannes de réseau de grande entreprise avec FHRP

Il y a des années, lorsque le HSRP était à la mode, et avant le VRRP et le GLBP, les entreprises utilisaient
des centaines de groupes HSRP. Avec la minuterie hello réglée sur 3 secondes et un temps d'attente de 10
secondes, ces minuteries fonctionnaient très bien et nous avions une grande redondance avec nos routeurs principaux.
Cependant, comme nous l'avons vu au cours des dernières années et le verrons certainement à l'avenir, 10 secondes
est maintenant une vie! Certains de mes clients se sont plaints du temps de basculement et
perte de connectivité à leur batterie de serveurs virtuels.
Dernièrement, j'ai changé les minuteries bien en deçà des valeurs par défaut. Cisco avait changé le
minuteries afin que vous puissiez utiliser des temps inférieurs à la seconde pour le basculement. Étant donné qu'il s'agit de paquets multicast,
le surcoût qui est vu sur un réseau à grande vitesse actuel est presque rien.
La minuterie hello est généralement réglée sur 200 ms et le temps de maintien est de 700 ms. La commande est
comme suit:
(config-if)#Standby 1 minuteries msec 200 msec 700
Cela garantit presque que même pas un seul paquet n'est perdu en cas de panne.
Rôles de groupe
Chacun des routeurs du groupe de secours a une fonction et un rôle spécifiques à remplir. Les trois principaux
les rôles sont en tant que routeur virtuel, routeur actif et routeur de secours. Des routeurs supplémentaires peuvent également être
inclus dans le groupe.
Routeur virtuel Comme son nom l'indique, le routeur virtuel n'est pas une entité physique. C'est vraiment juste
définit le rôle détenu par l'un des routeurs physiques. Le routeur physique qui communique
car le routeur virtuel est le routeur actif actuel. Le routeur virtuel n'est rien de plus qu'un
une adresse IP et une adresse MAC distinctes auxquelles les paquets sont envoyés.
Routeur actif Le routeur actif est le routeur physique qui reçoit les données envoyées au
l'adresse du routeur et l'achemine vers ses différentes destinations. Comme je l'ai mentionné, ce routeur
accepte toutes les données envoyées à l'adresse MAC du routeur virtuel en plus des données qui sont
envoyé à sa propre adresse MAC physique. Le routeur actif traite les données en cours
transmis et répondra également à toutes les requêtes ARP destinées à l'adresse IP du routeur virtuel.
Routeur de secours Le routeur de secours est la sauvegarde du routeur actif. Son travail consiste à surveiller la
statut du groupe HSRP et prendre rapidement en charge les responsabilités de transfert de paquets si le groupe actif
le routeur tombe en panne ou perd la communication. Les routeurs actif et en veille transmettent tous les deux Hello
messages pour informer tous les autres routeurs du groupe de leur rôle et de leur état.
Autres routeurs Un groupe HSRP peut inclure des routeurs supplémentaires, qui sont membres du groupe
mais ne prenez pas les rôles principaux d'états actif ou de veille. Ces routeurs surveillent le
Messages Hello envoyés par les routeurs actif et en veille pour s'assurer qu'un
routeur existe pour le groupe HSRP auquel ils appartiennent. Ils transmettront des données spécifiquement
adressés à leurs propres adresses IP, mais ils ne transmettront jamais les données adressées au

CCNA Doc 2 FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNA Doc 2 FR

Transféré par

Droits d'auteur :

Formats disponibles

Page 1

Revenez au chapitre 2, « Mise en réseau Ethernet et encapsulation de données », pour

FIGURE 6.1 Un commutateur Cisco 2960

FIGURE 6.2 Un nouveau routeur Cisco 1900

2800/2900 mais souhaitez toujours exécuter le même IOS.

Faire apparaître un interrupteur

Voulez-vous entrer dans la boîte de dialogue de configuration initiale? [oui / non]: y

La configuration de gestion de base ne configure que suffisamment de connectivité

Souhaitez-vous accéder à la configuration de gestion de base ? [oui / non]: y

Saisissez le nom d'hôte [Switch] : Ctrl+C

Interface de ligne de commande (CLI)

Entrer dans la CLI

Ensuite, je vais montrer comment effectuer certaines configurations administratives de base.

Présentation des modes du routeur

invites disponibles et tout ira bien!

Configurations de liste d'accès

Configurations de protocole de routage

Switch(config)# routeur rip

Définition des termes du routeur

TABLEAU 6.1 Termes du routeur

Mode d'exécution utilisateur Limité aux commandes de surveillance de base

Mode de configuration globale Commandes qui affectent l'ensemble du système

Modes de configuration spécifiques Commandes affectant uniquement les interfaces/processus

Mode de configuration Boîte de dialogue de configuration interactive

Fonctionnalités d'édition et d'aide

Switch# horloge réglée ?

Switch# horloge réglée 2:34 ?

Switch# clock set 2:34:01 21 juillet ?

Switch# horloge réglée 2:34:01 21 août 2013

Et si vous tapez des commandes et recevez

Commutateur# horloge réglé 11:15:11

Mais si vous obtenez l'erreur

Switch(config)# access-list 100 permit host 1.1.1.1 host 2.2.2.2

Voici un autre exemple de cas où vous verrez ce caret :

Switch# sh fastethernet 0/0

Maintenant, si vous recevez l'erreur

Exemple : il y a trois commandes qui commencent par show cl .

TABLEAU 6.2 Commandes d'édition améliorées

Ctrl+A Déplace votre curseur au début de la ligne

Ctrl+E Déplace votre curseur à la fin de la ligne

Échap+B Recule d'un mot

Ctrl+B Recule d'un caractère

Ctrl+F Avance d'un caractère

Echap+F Avance d'un mot

Ctrl+D Supprime un seul caractère

Retour arrière Supprime un seul caractère

Ctrl+R Réaffiche une ligne

Ctrl+U Efface une ligne

Languette Termine de taper une commande pour vous

TABLEAU 6.3 Historique des commandes IOS

Ctrl+P ou flèche vers le haut Affiche la dernière commande entrée

Ctrl+N ou flèche vers le bas Affiche les commandes saisies précédemment

afficher l'historique Affiche les 20 dernières commandes entrées par défaut

taille de l'historique du terminal Modifie la taille du tampon (max 256)

Quand dois-je utiliser les fonctionnalités d'édition Cisco ?

Description des interfaces

Voici les trois types de bannières que vous devez connaître :

Bannière de création de processus d'exécution

Message du jour bannière

Et vous pouvez les voir tous illustrés dans le code suivant :

Todd(config)# banner motd ?

Todd(config)# banner motd x Accès non autorisé interdit ! X

Voici à quoi ressemble une sortie de bannière de connexion :