CCNA2R&S Partie1

Plan
 Initiation aux réseaux commutés

 Concepts et configuration de base du commutateur
 Réseaux locaux virtuels (VLAN)
 Concepts de routage
 Routage inter- vlan
 Routage statique
 Routage dynamique
 OSPF à zone unique
 Listes de contrôle d’accès
 DHCP
 Traduction d’adresse réseau pour IPv4
H. Tounsi © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco 1
Chapitre 1 : Initiation
aux réseaux commutés
Routage et commutation
Chapitre 1
1.0 Introduction
1.1 Conception LAN
1.2 L'environnement commuté
1.3 Résumé
Chapitre 1 : objectifs
 Décrire la convergence des données, de la voix, et la vidéo dans le
contexte des réseaux commutés
 Décrire un réseau commuté de PME
 Expliquer le processus de transfert de trames dans un réseau
commuté
 Comparer un domaine de collision à un domaine de diffusion
Réseaux convergents
Complexité croissante des réseaux
 Le monde numérique change
(données, voix, vidéo)
 Les utilisateurs exigent
désormais l'accès aux
ressources de l'entreprise en
tout lieu et à tout moment
 Les informations doivent être
accessibles où que l'on se
trouve dans le monde
 Les réseaux doivent être
sécurisés, fiables et
extrêmement disponibles
Éléments d'un réseau convergent
 La collaboration est une exigence
 Pour prendre en charge la
collaboration, les réseaux utilisent
les solutions convergentes
 Services de données tels que les
systèmes vocaux, les
téléphones IP, les passerelles
voix, la prise en charge de la vidéo
et les vidéoconférences
 Le contrôle des appels, la
messagerie vocale, la mobilité et le
standard automatisé sont d'autres
fonctions courantes
Éléments d'un réseau convergent
 Avantages des réseaux
convergents :
• Plusieurs types de trafic, un seul
réseau à gérer
• Des économies considérables sur
l'installation et la gestion des
différents réseaux (voix, vidéo,
données)
• Gestion informatique intégrée
Réseaux commutés sans frontières
 un réseau doit être développé au moyen d'une approche
architecturale qui inclut de l'intelligence, simplifie les
opérations et reste évolutive pour répondre aux besoins
ultérieurs
 Le réseau sans frontières de Cisco est une architecture
réseau qui permet aux entreprises de connecter n'importe
qui, n'importe où, à tout moment et sur n'importe quel appareil
d'une manière à la fois sûre, fiable et transparente
 Le réseau sans frontières de Cisco est fondé sur une
infrastructure matérielle et logicielle évolutive et fiable
Hiérarchie dans le réseau commuté sans
frontières
 Les réseaux commutés
sans frontières reposent sur
les principes suivants :
• Hiérarchie : faciliter la
compréhension, faciliter la
gestion et la maintenance et
réduire les domaines défaillants
• Modularité: extension
transparente et services à la
demande
• Résilience: assurer un service
toujours actif
• Flexibilité: utiliser toutes les
ressources et répartir le trafic
avec intelligence
frontières
frontières
 Couche d’accès: sert d’interface avec les équipements finaux, et permet
l’accès au reste du réseau (ordinateurs, imprimantes, téléphones,
commutateurs, routeurs, …). Les commutateurs de nouvelle génération
offrent aux applications plus de sécurité et plus d’efficacité.
Couche de distribution : entre le couche d’accès et la couche cœur de

réseau. Elle délimite les domaines de diffusion à travers les VLANS. Elle
offre une grande fiabilité (redondance, performance). Elle définit les
règles d’accès au réseau.
Couche cœur de réseau: assure l’inter-connectivité des équipements de

la couche distribution, et permet de se connecter à Internet, assure
l'isolation des défaillances et la connectivité haut débit du réseau
fédérateur.
Remarque: La couche de distribution et la couche cœur de réseau

peuvent être groupées dans une même couche
Cœur, distribution, accès
Rôle des réseaux commutés
 Le rôle des réseaux commutés a évolué

 Un réseau local (LAN) commuté accroît la flexibilité et
permet la gestion du trafic
 Il prend également en charge des fonctionnalités telles
que la qualité de service, la sécurité renforcée, la prise
en charge de la technologie sans fil et de la
téléphonie IP, et les services de mobilité
Choix d’un commutateur
 Coût : le coût d'un commutateur dépend du nombre et de
la rapidité des interfaces, des fonctionnalités prises en
charge et de sa capacité d'extension.
 Densité : les commutateurs réseau doivent prendre en
charge le nombre souhaité de périphériques sur le
réseau.
 Alimentation : il est désormais usuel d'alimenter les
points d'accès, les téléphones IP et même des
commutateurs compacts au moyen de la technologie
PoE (Power over Ethernet).
Choix d’un commutateur
 Fiabilité : le commutateur doit fournir un accès
permanent au réseau.
 Vitesse des ports : la rapidité de la connexion réseau
est d'une importance primordiale pour les utilisateurs
finaux.
 Tampons de trames : il est important qu'un
commutateur enregistre les trames, dans les réseaux
susceptibles d'encombrement des ports vers des
serveurs ou d'autres parties du réseau.
 Évolutivité : le nombre d'utilisateurs d'un réseau évolue
généralement au fil du temps ; le commutateur doit
donc comporter des possibilités de croissance.
Réseaux commutés
Facteur de forme
 Fixe
Réseaux commutés
Facteur de forme
 Modulaire
Réseaux commutés
Facteur de forme
 Empilable
Transfert de trame
La commutation comme concept général
 Un commutateur prend une décision en fonction du port
d'entrée et de destination
 Un commutateur LAN gère une table qu'il utilise pour
déterminer comment acheminer le trafic
 Les commutateurs LAN Cisco transmettent des trames
Ethernet basées sur l'adresse MAC de destination des
trames.
Transfert de trame
Remplissage dynamique de la table d'adresses MAC
d'un commutateur
 Un commutateur doit d'abord savoir quels équipements figurent sur
chaque port avant de pouvoir transmettre une trame
 Il crée une table appelée table d'adresses MAC, ou table de
mémoire associative (CAM, Content Addressable Memory)
 Le mappage port <-> adresse physique de périphérique connecté
au port est stocké dans la table CAM
 La CAM est un type particulier de mémoire utilisée dans des
applications de recherche haut débit.
 Les informations de la table d'adresses MAC sont utilisées pour
transmettre les trames
 Lorsqu'un commutateur reçoit une trame entrante dont l'adresse
MAC ne figure pas dans la table CAM, il l'envoie à tous les ports,
sauf à celui à partir duquel il l'a reçue.
Remplissage dynamique de la table
d'adresses MAC d'un commutateur
Transfert de trame
Méthodes de transfert par commutateur
Transfert de trame
Commutation par stockage et
retransmission (« Store-and-Forward »)
 Cette méthode permet au commutateur :
• Rechercher les erreurs (via le contrôle FCS)
• Effectuer la mise en mémoire
tampon automatique
 Transmettre plus lentement
• S’adapte à une commutation
asymétrique
Transfert de trame
Commutation à la volée (« Cut-Through »)
 Cette méthode permet au commutateur de lancer le transfert en
10 microsecondes environ
 Pas de contrôle FCS
 Pas de mise en mémoire
tampon automatique
 Ne s’adapte pas à une
Commutation asymétrique
Domaines de commutation
Domaines de collision
 Le domaine de collision est le segment sur lequel les
périphériques sont en concurrence les uns avec les
autres pour communiquer
 Tous les ports d'un concentrateur appartiennent au
même domaine de collision
 Chaque port d'un commutateur constitue un domaine de
collision
 Le commutateur décompose le segment en domaines
de collision plus petits, ce qui permet d’augmenter la
bande passante
Domaines de diffusion
 Le domaine de diffusion représente l'étendue du réseau dans
laquelle une trame de diffusion peut être transmise.
 Les commutateurs envoient les trames de diffusion à tous les
ports. C'est pourquoi ils ne segmentent pas les domaines de
diffusion.
 Tous les ports d'un commutateur (avec la configuration par
défaut) appartiennent au même domaine de diffusion
 Si deux commutateurs ou plus sont connectés, les diffusions
sont envoyées vers tous les ports de tous les commutateurs
(à l'exception de celui qui les a initialement émis)
Réduction de l'encombrement du réseau
Les commutateurs contribuent à réduire l'encombrement du
réseau :
 Ils facilitent la segmentation d'un LAN en domaines de collision
séparés
 Ils assurent une communication bidirectionnelle simultanée
entre les périphériques
 Ils tirent profit de leur densité de ports « plus élevée »
 Ils mettent les trames volumineuses dans la mémoire tampon
 Ils utilisent les ports haut débit
 Ils exploitent leur méthode rapide de commutation interne
 Ils représentent un faible coût par port
Chapitre 1 : résumé
 Dans ce chapitre, vous avez vu que la tendance est à la convergence des
réseaux : un seul ensemble de câbles et d'équipements pour gérer la
transmission de la voix, de la vidéo et des données.
 En outre, la façon dont les entreprises fonctionnent a significativement

changé.
 Pas de bureaux physiques ni de contraintes géographiques. Les ressources

doivent maintenant être parfaitement disponibles à tout moment et en tout
lieu.
 L'architecture du réseau sans frontières de Cisco permet à différents

éléments, des commutateurs d'accès aux points d'accès sans fil, pour
fonctionner ensemble et permettre aux utilisateurs d'accéder aux ressources
à tout moment et en tout lieu.
 Le modèle de conception hiérarchique traditionnel à trois couches
divise le réseau ainsi : cœur, distribution et accès. Chaque partie du
réseau peut être optimisée pour sa fonction spécifique.
 Cela procure modularité, résilience et souplesse, ce qui constitue
une base qui permet aux concepteurs de réseaux de fournir une
sécurité, une mobilité et des fonctionnalités de communications
unifiées.
 Les commutateurs utilisent la commutation « store-and-forward » ou
« cut-through ».
 Chaque port d'un commutateur crée un domaine de collision distinct
permettant une communication bidirectionnelle simultanée très haut
débit.
 Les ports des commutateurs ne bloquent pas les diffusions. Dans le
cas d’association de plusieurs commutateurs, il y a risque de
dégradation des performances
Chapitre 2 : Concepts
et configuration de
base de la
commutation
Chapitre 2
2.0 Introduction
2.1 Configuration de commutateur de base
2.2 Sécurité du commutateur : gestion et implémentation
 Configurer les paramètres d'origine sur un commutateur Cisco
 Configurer les ports de commutateur pour répondre à la
configuration réseau requise
 Configurer l'interface virtuelle de gestion du commutateur
 Décrire les attaques de sécurité de base dans un environnement
commuté
 Décrire les meilleures pratiques en matière de sécurité dans un
environnement commuté
 Configurer la fonction de sécurité des ports pour restreindre l'accès
au réseau
Configuration de commutateur de base
Séquence d'amorçage de commutateur
1. POST (Power On Self Test)
2. Exécution du bootloader (chargeur de démarrage) se
trouvant en ROM.
3. Ce programme se charge de l'initialisation de bas
niveau du processeur.
4. Il initialise le système de fichiers de la mémoire flash.
5. Il localise et charge dans la mémoire une image
logicielle du système d'exploitation IOS par défaut et
transfère le contrôle du commutateur à l'IOS.
Séquence d'amorçage de commutateur
Pour trouver une image IOS appropriée, le commutateur suit
cette procédure :
1. Il tente de démarrer automatiquement en utilisant les
informations de la variable d'environnement BOOT.
2. Si cette variable n'est pas définie, il cherche dans le
système de fichiers flash en le parcourant de haut en bas.
Il chargera et exécutera le premier fichier exécutable s'il le
peut.
3. Le système d'exploitation IOS initialise ensuite les
interfaces à l'aide des commandes Cisco IOS disponibles
dans le fichier de configuration qui est stocké dans la
mémoire vive non volatile.
Remarque : la commande boot system peut être utilisée
pour définir la variable d'environnement BOOT.
Récupération après une panne système
 Le programme d'amorçage peut également être utilisé
pour la gestion du commutateur si l'IOS ne peut pas être
chargé.
 Il est accessible via une connexion console. Pour cela :
1. Connectez un PC par le câble de console au port de console du
commutateur. Débranchez le cordon d'alimentation du
commutateur.
2. Rebranchez le cordon d'alimentation sur le commutateur et
maintenez le bouton Mode enfoncé.
3. La LED système devient brièvement orange, puis verte.
Relâchez le bouton Mode.
 L'invite switch:prompt du programme d'amorçage

s'affiche dans le logiciel d'émulation de terminal sur le PC.
Voyants LED de commutateur
 Sur les commutateurs Cisco Catalyst, chaque port
possède des indicateurs d'état.
 Par défaut, ces LED indiquent l'activité du port, mais elles
peuvent également fournir d'autres informations sur le
commutateur via le bouton Mode.
 Les modes suivants sont disponibles sur les commutateurs
Cisco Catalyst 2960 :
LED système
LED système d'alimentation redondante (RPS)
LED statut port
LED bidirectionnel port
LED vitesse port
LED du mode PoE (Power over Ethernet)
Voyants LED de commutateur
 Modes du commutateur Cisco Catalyst 2960
Préparation à la gestion de commutateur de base
 La gestion à distance du commutateur Cisco implique que
celui-ci a été configuré pour accéder au réseau.
 Une adresse IP et un masque de sous-réseau doivent être
configurés.
 Si la gestion du commutateur s'effectue à partir d'un réseau
distant, il faut également configurer une passerelle par
défaut.
 Les informations IP (adresse, masque de sous-réseau,
passerelle) doivent être attribuées à une interface virtuelle
(SVI) du commutateur.
 Bien que ces paramètres IP permettent l'accès à distance au
commutateur et sa gestion, celui-ci ne pourra pour autant
acheminer les paquets de couche 3.
Préparation à la gestion de commutateur de base
Configuration des ports de commutateur
Communication bidirectionnelle
Configuration des ports de commutateur au
niveau de la couche physique
Fonction auto-MDIX
 Certains types de câble (droit ou croisé) étaient
nécessaires pour la connexion des périphériques.
 La fonction auto-MDIX (Automatic Medium-Dependent
Interface Crossover) élimine ce problème.
 Lorsque la fonction auto-MDIX est activée, l'interface
détecte automatiquement la connexion et la configure
de manière appropriée.
 Lorsque la fonction auto-MDIX est utilisée sur une
interface, la vitesse et le mode bidirectionnel de celle-ci
doivent être réglés sur auto.
Fonction auto-MDIX
Fonction auto-MDIX
Vérification de la configuration du port de
commutateur
Problèmes de couche d'accès au réseau
 Résolution des problèmes liés au support de
transmission du commutateur (connexion)
 Résolution des problèmes liés à l'interface
Accès à distance sécurisé
Fonctionnement de SSH
 Secure Shell (SSH) est un protocole qui permet de se connecter
de manière sécurisée (connexion chiffrée) à un périphérique
distant via une ligne de commande.
 SSH est généralement utilisé dans les systèmes basés sur UNIX.
 Cisco IOS prend également en charge SSH.
 Il faut disposer d'une version du logiciel IOS comprenant des
fonctions et des fonctionnalités chiffrées pour pouvoir utiliser SSH
sur les commutateurs Catalyst 2960.
 En raison de la fiabilité de ses fonctions de chiffrement, SSH
devrait remplacer Telnet pour les connexions servant à la gestion.
 SSH utilise le port TCP 22 par défaut et Telnet utilise le port TCP
23.
Fonctionnement de SSH
Configuration de SSH
Vérification de SSH
Problèmes de sécurité dans les LAN
Inondation d'adresses MAC
 Les commutateurs remplissent automatiquement leurs
tables CAM en observant le trafic arrivant sur leurs ports.
 Ils renvoient ensuite ce trafic sur tous les ports s'ils ne
trouvent pas l'adresse MAC de destination dans leur
table CAM.
 Dans ce cas, le commutateur fait office de concentrateur.
Le trafic de monodiffusion est visible par tous les
périphériques connectés au commutateur.
 Un pirate peut en profiter pour accéder au trafic
normalement contrôlé par le commutateur en utilisant un
PC pour envoyer un flot d'adresses MAC.
 Il peut s'agir d'un programme conçu pour générer et
envoyer sur le port du commutateur des trames avec
des adresses MAC source fictives.
 Lorsque ces trames parviennent au commutateur, celui-
ci ajoute les adresses MAC fictives dans sa table CAM
en spécifiant le port sur lequel elles sont arrivées.
 La table CAM finit par être totalement surchargée.
 Celle-ci n'a donc plus de place pour les périphériques
légitimes du réseau. Il devient alors impossible de
trouver leurs adresses MAC dans cette table.
 Toutes les trames sont désormais envoyées à tous les
ports, ce qui permet au pirate d'accéder au trafic
destiné aux autres hôtes.
 Un pirate inonde la table CAM d'entrées fictives
 Le commutateur fait maintenant office de concentrateur
Usurpation DHCP
 DHCP est un protocole réseau utilisé pour attribuer
automatiquement les informations IP.
 Il existe deux types d'attaques ciblant DHCP :
• Usurpation DHCP (ou spoofing)
• Insuffisance de ressources DHCP
 Dans une usurpation DHCP, un faux serveur DHCP est
placé dans le réseau pour envoyer des adresses DHCP aux
clients.
 L'attaque qui consiste à saturer un serveur DHCP par
épuisement des ressources (« starvation » en anglais) est
souvent utilisée avant l'usurpation pour empêcher le serveur
DHCP légitime d'accéder au service.
Usurpation DHCP
 Attaque par usurpation DHCP
Utilisation du protocole CDP
 CDP est un protocole propriétaire de couche 2
développé par Cisco. Il sert à détecter les autres
périphériques Cisco qui sont connectés directement.
 Il est conçu pour permettre aux équipements de
configurer automatiquement leurs connexions.
 Si un pirate écoute les messages CDP, il peut
apprendre des informations importantes telles que le
modèle de périphérique et la version du logiciel
exécuté.
 Cisco recommande de désactiver le protocole CDP
quand il n'est pas utilisé.
Utilisation de Telnet
 Comme nous l'avons mentionné, le protocole Telnet
n'est pas fiable et devrait être remplacé par SSH.
 Cependant, un pirate peut utiliser Telnet dans d'autres
attaques,
 par exemple la récupération en force des mots de
passe et l'attaque DoS Telnet.
 S'ils ne parviennent pas à se procurer les mots de
passe, les pirates tentent autant de combinaisons de
caractères que possible. C'est ce qu'on appelle la
récupération en force des mots de passe.
 Telnet peut être utilisé pour tester sur le système le mot
de passe deviné.
Utilisation de Telnet
 Dans une attaque DoS Telnet, le pirate exploite une faille
d'un logiciel serveur Telnet exécuté sur le commutateur qui
rend le service Telnet indisponible.
 Ce type d'attaque empêche l'administrateur d'accéder à
distance aux fonctions de gestion du commutateur.
 Ce type d'attaque peut être combiné avec d'autres attaques
directes sur le réseau dans le cadre d'une tentative
coordonnée pour empêcher l'administrateur réseau
d'accéder à des périphériques principaux pendant une faille
de sécurité.
 Les vulnérabilités du service Telnet qui autorisent les
attaques DoS sont généralement traitées au moyen de
correctifs de sécurité inclus dans les nouvelles versions
révisées du logiciel Cisco IOS.
Meilleures pratiques pour la sécurité
Les 10 meilleures pratiques
 Rédigez une stratégie de sécurité pour l'organisation.
 Arrêtez les services et les ports qui ne sont pas utilisés.
 Utilisez des mots de passe forts et modifiez-les souvent.
 Contrôlez l'accès physique aux périphériques.
 Utilisez HTTPS plutôt que HTTP.
 Effectuez régulièrement des sauvegardes.
 Informez les employés sur les attaques par manipulation
psychologique.
 Chiffrez les données sensibles et protégez-les avec un mot de
passe.
 Mettez des pare-feu en place.
 Faites en sorte que les logiciels soient toujours à jour.
Outils de sécurité réseau : options
 Les outils de sécurité réseau sont très importants pour
les administrateurs réseau.
 Ils leur permettent de tester l'efficacité des mesures de
sécurité mises en œuvre.
 Ils peuvent par exemple lancer une attaque contre le
réseau et analyser les résultats.
 Cela leur permet également de déterminer comment
rectifier les stratégies de sécurité pour limiter ces types
d'attaques.
 Les audits de sécurité et les tests d'intrusion constituent
deux fonctions essentielles des outils de sécurité
réseau.
Outils de sécurité réseau : audits
 Les outils de sécurité réseau peuvent être utilisés pour
réaliser un audit du réseau.
 En surveillant le réseau, l'administrateur peut
déterminer quel type d'informations un pirate peut
récupérer.
 Il peut par exemple inonder la table CAM d'un
commutateur pour savoir quels ports précisément sont
vulnérables à ce type d'attaque et agir en
conséquence.
 Les outils de sécurité réseau peuvent également être
utilisés comme outils de test d'intrusion.
Outils de sécurité réseau : audits
 Le test d'intrusion est une attaque simulée.
 Il permet d'évaluer le degré de vulnérabilité du réseau
en cas d'attaque réelle.
 Les faiblesses de configuration des périphériques
réseau peuvent être identifiées en fonction des
résultats de ces tests.
 Des modifications peuvent être effectuées pour rendre
ces périphériques plus résistants.
 Ces tests risquent d'endommager le réseau et
nécessitent une excellente maîtrise de la situation.
 Un réseau de banc d'essai hors ligne qui simule le
véritable réseau de production est idéal.
Sécurité des ports de commutateur
Sécurisation des ports inutilisés
 La désactivation des ports non utilisés est une mesure de sécurité
simple mais efficace.
Surveillance DHCP
 La surveillance DHCP indique quels ports de commutateur sont
en mesure de répondre aux requêtes DHCP.
Sécurité des ports : fonctionnement
 La sécurité des ports restreint le nombre
d'adresses MAC valides autorisées sur un port.
 Les adresses MAC des périphériques légitimes
peuvent y accéder, mais les autres sont refusées.
 Toute tentative supplémentaire pour se connecter avec
des adresses MAC inconnues constitue une violation
des règles de sécurité.
 Les adresses MAC fiables peuvent être configurées de
différentes manières :
• Adresses MAC sécurisées statiques
• Adresses MAC sécurisées dynamiques
• Adresses MAC sécurisées rémanentes
Sécurité des ports : modes de violation
 IOS détecte une violation des règles de sécurité dans les deux cas
suivants :
• Le nombre maximal d'adresses MAC sécurisées a été ajouté
dans la table CAM et un appareil dont l'adresse MAC ne figure
pas dans cette table tente d'accéder à l'interface.
• Une adresse assimilée ou configurée dans une interface
sécurisée est visible sur une autre interface sécurisée dans le
même réseau local virtuel.
 Il existe trois actions possibles à entreprendre en cas de violation :
• Protect
• Restrict
• Shutdown
Sécurité des ports : configuration
 Failles dans la sécurité dynamique des ports
 Configuration de la sécurité des ports dynamiques
 Configuration de la sécurité des ports rémanents
Sécurité des ports : vérification
 Vérification de la sécurité des ports rémanents
 Vérification de la sécurité des ports rémanents –
configuration en cours
 Vérification des adresses MAC sécurisées dans la
sécurité des ports
Ports en état Error Disabled
 Une violation des règles de sécurité des ports peut
provoquer une erreur du commutateur et engendrer l'état
« désactivé ».
 Un port dans cet état est effectivement arrêté.
 Le commutateur communiquera ces événements via les
messages de console
 La commande show interface permet également de
détecter un port de commutateur désactivé.
 Il faut utiliser la commande d'interface shutdown/no
shutdown pour réactiver le port.
Protocole NTP
 NTP est un protocole utilisé pour synchroniser les horloges
des réseaux de données des systèmes informatiques.
 Il peut récupérer l'heure exacte à partir d'une source interne
ou externe.
 Il peut s'agir des éléments suivants :
• Horloge maître locale
• Horloge maître sur Internet
• GPS ou horloge atomique
 Un périphérique réseau peut être configuré en tant que
serveur NTP ou client NTP.
Protocole NTP
 Configuration NTP
Protocole NTP
 Vérification de NTP
 Thèmes abordés dans ce chapitre :
 Séquence d'amorçage des commutateurs LAN Cisco
 Modes des LED des commutateurs LAN Cisco
 Comment accéder à distance à un commutateur LAN
Cisco et le gérer via une connexion sécurisée
 Modes bidirectionnels des ports des commutateurs LAN
Cisco
 Sécurité des ports, modes de violation et actions pour
les commutateurs LAN Cisco
 Meilleures pratiques pour les réseaux commutés
Chapitre 3 : VLAN
Chapitre 3
3.1 Segmentation VLAN
3.2 Mise en œuvre d'un VLAN
3.3 Sécurité et conception d'un VLAN
3.4 Résumé
 Expliquer la fonction des VLAN dans un réseau commuté
 Analyser comment un commutateur transfère les trames en fonction
de la configuration VLAN dans un environnement à commutateurs
multiples
 Configurer un port de commutateur à attribuer à un VLAN en
fonction des conditions requises
 Configurer un port trunk sur un commutateur LAN
 Configurer le protocole DTP
 Dépanner des configurations de VLAN et de trunk dans un réseau
commuté
 Configurer les fonctions de sécurité pour limiter les attaques dans un
environnement segmenté VLAN
 Expliquer les meilleures pratiques de sécurité pour un
environnement segmenté VLAN
Présentation des VLAN
Définitions des VLAN
 Un VLAN (réseau local virtuel) est une partition logique d'un
réseau de couche 2.
 Plusieurs partitions peuvent être créées, de sorte qu'il est
possible de faire coexister plusieurs VLAN.
 Chaque VLAN constitue un domaine de diffusion,
généralement avec son propre réseau IP.
 Les VLAN sont isolés les uns des autres et les paquets ne
peuvent circuler entre eux qu'en passant par un routeur.
 La segmentation du réseau de couche 2 a lieu à l'intérieur d'un
périphérique de couche 2, généralement un commutateur.
 Les hôtes regroupés dans un VLAN ignorent l'existence de
celui-ci.
Définitions des VLAN
Avantages des VLAN
 Sécurité
 Réduction des coûts
 Meilleures performances
 Diminution des domaines de diffusion
 Efficacité accrue des équipes informatiques
 Simplification de la gestion des projets et des applications
Types de VLAN
• VLAN de données: configuré pour transporter le trafic des
utilisateurs
• VLAN par défaut:
• tous les ports appartiennent initialement au vlan par défaut
(VLAN 1).
• Ce vlan ne peut être supprimé ou renommé
• Le trafic de contrôle de niveau 2 (STP, CDP) est associé au
vlan1
• VLAN natif: est affecté aux ports d’agrégation (802.1Q)
• VLAN de gestion: il est configuré pour accéder aux fonctionnalités
de gestion d’un commutateur
• VLAN voix: vlan dédié pour assurer la QoS pour la voix
Types de VLAN
VLAN voix
 Le trafic VoIP est sensible au délai. Cela nécessite :
• bande passante consolidée pour garantir la qualité de la voix ;
• priorité de transmission par rapport aux autres types de trafic
réseau ;
• possibilité de routage autour des zones encombrées du réseau ;
• Délai inférieur à 150 ms sur tout le réseau.
 La fonction VLAN voix permet aux ports du commutateur
d'acheminer le trafic VoIP (voix sur IP) provenant d'un
téléphone IP.
 Le commutateur peut être connecté à un téléphone IP Cisco 7960
pour transmettre le trafic VoIP.
 Puisque la qualité audio de la téléphonie IP peut se détériorer si la
transmission des données est inégale, le commutateur prend en
charge la qualité de service (QS).
VLAN voix
 Le téléphone IP Cisco 7960 comporte un commutateur
10/100 intégré à 3 ports :
• Le port 1 est relié au commutateur.
• Le port 2 est une interface 10/100 interne chargée de la transmission
du trafic de la téléphonie IP.
• Le port 3 (port d'accès) est connecté à un ordinateur ou autre
périphérique.
VLAN dans un environnement à commutateurs multiples
Trunks de VLAN
 Un trunk de VLAN achemine le trafic de plusieurs VLAN.
 Il est généralement établi entre des commutateurs pour
permettre aux périphériques du même VLAN de
communiquer même s'ils sont physiquement connectés à
des commutateurs différents.
 Un trunk de VLAN n'est associé à aucun VLAN, non plus les
ports trunk qui n’appartiennent à aucun vlan
 Cisco IOS prend en charge la norme IEEE802.1q, un
protocole de trunk de VLAN très répandu.
Trunks de VLAN
Contrôle des domaines de diffusion à l'aide des VLAN
 Les VLAN peuvent être utilisés pour limiter la portée
des trames de diffusion.
 Un VLAN est un domaine de diffusion à part entière.
 Par conséquent, une trame de diffusion envoyée par un
périphérique d'un VLAN donné est transmise au sein
de ce VLAN uniquement.
 Cela permet de contrôler la portée des trames de
diffusion et leur impact sur le réseau.
 Les trames de monodiffusion et de multidiffusion sont
également transmises dans le VLAN d'où elles ont été
émises.
Étiquetage des trames Ethernet pour l'identification
des VLAN
 L'étiquetage des trames est utilisé pour transmettre correctement
plusieurs trames VLAN via une liaison trunk.
 Les commutateurs étiquettent les trames pour identifier le VLAN auquel

elles appartiennent. Il existe différents protocoles d'étiquetage, IEEE
802.1q étant le plus répandu.
 Le protocole définit la structure de l'en-tête d'étiquetage ajouté à la trame.
 Les commutateurs ajouteront des étiquettes VLAN aux trames avant de

les placer dans les liaisons trunk. Ils les enlèveront avant de transmettre
les trames via les autres ports (non trunk).
 Une fois qu'elles sont correctement étiquetées, les trames peuvent

traverser n'importe quel nombre de commutateurs via les liaisons trunk.
Elles resteront dans le VLAN approprié pour atteindre leur destination.
Étiquetage des trames Ethernet pour l'identification
des VLAN
VLAN natifs et étiquetage 802.1q
 Une trame qui appartient au VLAN d'origine n'est pas
étiquetée.
 Une trame reçue sans étiquette reste sans étiquetage
et est placée dans le VLAN natif lors de la
transmission.
 S'il n'y a pas de ports associés au VLAN natif et en
l'absence de liaison trunk, une trame non étiquetée est
ignorée.
 Dans les commutateurs Cisco, le VLAN natif est le
VLAN 1 par défaut mais il peut être modifié.
Étiquetage VLAN voix
Attribution VLAN
Plages VLAN sur les commutateurs Catalyst
 Les commutateurs Catalyst 2960 et 3560 prennent en charge plus de
4 000 VLAN.
 Ces VLAN se répartissent dans 2 catégories :
 VLAN de la plage normale

• Ce sont les VLAN du numéro 1 au numéro 1 005.
• Les configurations sont stockées dans le fichier vlan.dat (dans la mémoire flash).
• VTP peut uniquement « apprendre » et stocker les VLAN de la plage normale.
 Les VLAN de la plage étendue

• Ce sont les VLAN du numéro 1 006 au numéro 4 096.
• Les configurations sont stockées dans la configuration en cours (dans la mémoire
NVRAM).
• Le protocole VTP ne prend pas en compte les VLAN appartenant à la plage
étendue.
Attribution VLAN
Création d'un VLAN
Attribution VLAN
Attribution de ports aux VLAN
Attribution VLAN
Attribution de ports aux VLAN
Attribution VLAN
Modification de l'appartenance des ports aux VLAN
Attribution VLAN
Modification de l'appartenance des ports aux VLAN
Attribution VLAN
Suppression de VLAN
Attribution VLAN
Vérification des informations VLAN
Attribution VLAN
Vérification des informations VLAN
Attribution VLAN
Configuration des liaisons trunk IEEE 802.1q
Attribution VLAN
Réinitialisation du trunk à l'état par défaut
Attribution VLAN
Réinitialisation du trunk à l'état par défaut
Attribution VLAN
Vérification de la configuration du trunk
Protocole DTP
Introduction au protocole DTP
 Les ports de commutateur peuvent être configurés manuellement pour
créer les trunks.
 Ils peuvent également être configurés pour négocier et établir une liaison
trunk avec un homologue connecté.
 DTP (Dynamic Trunking Protocol) est un protocole qui gère la négociation

de trunk.
 C'est un protocole propriétaire de Cisco et il est activé par défaut sur les
commutateurs Cisco Catalyst 2960 et 3560.
 Si le port du commutateur voisin est configuré dans un mode trunk qui

prend en charge le protocole DTP, il gère la négociation.
 La configuration DTP s'effectue en mode dynamique automatique par

défaut sur les commutateurs Cisco Catalyst 2960 et 3560.
Protocole DTP
Modes d'interface négociés
 Les commutateurs Cisco Catalyst 2960 et 3560
prennent en charge les modes trunk suivants :
• switchport mode dynamic auto (par défaut)
• switchport mode dynamic desirable
• switchport mode trunk
• switchport nonegotiate
Dépannage des VLAN et des trunks
Résolution des problèmes liés aux VLAN
 Il est très fréquent d'associer un VLAN à un réseau IP.
 Comme les différents réseaux IP communiquent uniquement
via un routeur, tous les périphériques d'un VLAN doivent
appartenir au même réseau IP pour communiquer.
 Dans l'illustration ci-dessous, le PC1 ne peut pas communiquer
avec le serveur parce que son adresse IP est incorrecte.
VLAN manquants
 Si tous les problèmes de concordance des adresses IP ont
été résolus et que le périphérique ne peut toujours pas se
connecter, vérifiez que le VLAN existe dans le commutateur.
Introduction au dépannage des trunks
Problèmes courants avec les trunks
 Les problèmes de trunking sont généralement associés
à des configurations incorrectes.
 Le plus souvent, les erreurs de configuration des trunks
sont les suivantes :
1. Non-concordance du VLAN natif
2. Non-concordance du mode trunk
3. VLAN autorisés sur les trunks
 En cas de problème sur un trunk, il est recommandé

de faire les vérifications dans l'ordre ci-dessus.
Non-concordance du mode trunk
 Lorsqu'un port sur une liaison trunk est configuré avec un mode
trunk qui n'est pas compatible avec le port trunk voisin, la liaison
en question ne peut pas être établie entre les deux commutateurs.
 Vérifiez l'état des ports trunk sur les commutateurs à l'aide de la
commande show interfaces trunk.
 Pour résoudre ce problème, configurez les interfaces avec les
modes trunk appropriés.
Liste de VLAN incorrecte
 Les VLAN doivent être autorisés dans le trunk avant
que leurs trames puissent être transmises sur la liaison.
 Utilisez la commande switchport trunk allowed vlan
pour indiquer quels VLAN sont admis dans une liaison
trunk.
 Pour garantir que les VLAN appropriés sont autorisés
dans un trunk, utilisez la commande show interfaces
trunk.
Attaques sur les VLAN
Attaque par usurpation de commutateur
 Il existe différents types d'attaque VLAN dans les
réseaux commutés modernes. L'attaque « VLAN
hopping » en est une.
 Par défaut, le port du commutateur est configuré en
mode dynamique automatique.
 En configurant un hôte pour qu'il fasse office de
commutateur et forme un trunk, le pirate peut accéder à
n'importe quel VLAN du réseau.
 Il peut ensuite accéder aux autres VLAN.
 Pour éviter une attaque de base, désactivez le trunking
sur tous les ports, sauf sur ceux qui l'utilisent.
Attaque Double-Tagging
 L'attaque « Double-Tagging » tire parti de la façon dont les
composants matériels de la plupart des commutateurs
désencapsulent les étiquettes 802.1Q.
 Le plus souvent, les commutateurs effectuent un seul niveau
de désencapsulation 802.1Q, ce qui permet au pirate
d'incorporer un deuxième en-tête, non autorisé celui-là, dans
la trame.
 Après avoir supprimé le premier en-tête 802.1Q légitime, le
commutateur transmet la trame au VLAN spécifié dans le
faux en-tête 802.1Q.
 La meilleure façon de parer ces attaques consiste à vérifier
que le VLAN natif des ports trunk est différent de celui de
tous les autres ports.
Attaque Double-Tagging
Périphérie PVLAN
 La fonction PVLAN (VLAN privé),
ou « ports protégés », garantit qu'il
n'y a aucun échange de trafic de
monodiffusion, de diffusion ou de
multidiffusion entre les ports
protégés du commutateur.
 Cette protection n'est pertinente
qu'en local.
 Un port protégé échange du trafic
uniquement avec les ports non
protégés.
 Un port protégé n'échange pas de
trafic avec un autre port protégé.
Meilleures pratiques de conception pour les VLAN
Conseils pour la conception d'un VLAN
 Déplacez tous les ports du VLAN1 et attribuez-les à un VLAN qui
n'est pas utilisé.
 Arrêtez tous les ports non utilisés du commutateur.
 Séparez le trafic de gestion et le trafic des données des
utilisateurs.
 Remplacez le VLAN de gestion par un VLAN autre que VLAN1.
Faites de même pour le VLAN natif.
 Assurez-vous que seuls les périphériques du VLAN de gestion
peuvent se connecter aux commutateurs.
 Le commutateur doit accepter uniquement les connexions SSH.
 Désactivez l'autonégociation sur les ports trunk.
 N'utilisez pas les modes « auto » ni « desirable » pour les ports
des commutateurs.
 Dans ce chapitre, vous avez découvert les différents types de
VLAN, ainsi que la connexion entre les VLAN et le domaine
de diffusion.
 Vous connaissez maintenant les détails de l'étiquetage IEEE
802.1Q et comment cette méthode permet de différencier les
trames Ethernet associées aux différents VLAN lorsqu'elles
parcourent les liaisons trunk courantes.
 Vous avez également observé la configuration, la vérification
et le dépannage des VLAN et des trunks en utilisant la ligne
de commande de Cisco IOS et exploré les notions de base de
la sécurité et de la conception dans le contexte des VLAN.

CCNA2R&S Partie1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNA2R&S Partie1

Transféré par

Droits d'auteur :

Formats disponibles

Plan

 Initiation aux réseaux commutés

Couche de distribution : entre le couche d’accès et la couche cœur de

Couche cœur de réseau: assure l’inter-connectivité des équipements de

Remarque: La couche de distribution et la couche cœur de réseau

 Le rôle des réseaux commutés a évolué

 En outre, la façon dont les entreprises fonctionnent a significativement

 Pas de bureaux physiques ni de contraintes géographiques. Les ressources

 L'architecture du réseau sans frontières de Cisco permet à différents

 L'invite switch:prompt du programme d'amorçage

 Les commutateurs étiquettent les trames pour identifier le VLAN auquel

 Le protocole définit la structure de l'en-tête d'étiquetage ajouté à la trame.

 Les commutateurs ajouteront des étiquettes VLAN aux trames avant de

 Une fois qu'elles sont correctement étiquetées, les trames peuvent

 Ces VLAN se répartissent dans 2 catégories :

 VLAN de la plage normale

 Les VLAN de la plage étendue

 DTP (Dynamic Trunking Protocol) est un protocole qui gère la négociation

 Si le port du commutateur voisin est configuré dans un mode trunk qui

 La configuration DTP s'effectue en mode dynamique automatique par

 En cas de problème sur un trunk, il est recommandé

Vous aimerez peut-être aussi