Explo3 Corig

IUT d'Annecy dept.
R&T
Cours synthse EXPLO3
09/09/11
Alain Roussel
IUT d'Annecy dept. R&T
A.Programme :
Conception dun rseau local Rseau local commut (24%)
Wireless
(8%)
Scurit (8%) VLANs (22%) Etherchannel

(0%)
STP (8%) RSTP (4%) Routage Inter-VLAN

(10%)
VTP (16%)
QOS (0%)
09/09/11
Alain Roussel
1.La commutation dans les rseau e modle hirarchique en 3 couches LAN :
LAN1 LAN2 LAN3
Routage interVlan, filtrage Commutateurs, Hubs
Intrt du modle hirarchique en 3 couches

Concevoir son rseau en respectant ce modle apporte :
Evolutivit : extension aise du rseau Redondance : la redondance au niveau des couches de distribution et principale, garantit la disponibilit de chemin daccs Scurit : la scurit de port et les stratgies au niveau de la distribution renforcent la scurit Facilit de gestion : la cohrence entre les commutateurs chaque niveau simplifie la gestion et la maintenance. Roussel Alain 09/09/11 3
Priphriques Rseaux de la couche d'accs : Le commutateur ou Switch:

Principe de fonctionnement
Gestion de la table dadresses MAC Les commutateurs apprennent les adresses MAC des PC ou des stations de travail connects un de leurs ports de commutation en examinant ladresse source des trames reues sur ce port.
Ladministrateur peut aussi entrer manuellement une affectation mac - interface (permanente) Comm1(config)#mac-address-table static <adresse_MAC> vlan {1-4096, ALL} interface fa0/1 Pour ne pas surcharger la mmoire et optimiser le fonctionnement du commutateur, les adresses apprises seront supprimes de la table dadresses MAC au bout de 300 secondes dinactivit. Au lieu dattendre lexpiration dune entre dynamique, ladministrateur a la possibilit dutiliser la commande clear mac-address-table en mode privilgi Switch# clear mac-address-table Alain Roussel 09/09/11 4 Switch# show mac-address-table
Association des concentrateurs et des commutateurs :
09/09/11
Alain Roussel
Le domaine de collision :
Zone ou est propage une collision. Le Hub propage sur tous les postes la collision. Le switch ne propage pas la collision. Chaque port de switch dfinit un domaine Alain Roussel 09/09/11 de collision distinct.
mthode daccs au support : le CSMA/CD :
Une collision est dtect lorsque la tension excde un niveau de tension maximale (la collision double la tension bit)
09/09/11
Alain Roussel
Configuration des quipements : Configuration du mode de transmission : Mode Half duplex : CSMA/CD est activ (peu utilis de nos jours) Mode Full duplex : CSMA/CD est dsactiv (connexion point point uniquement) Mode Auto : auto ngociation par dfaut. En cas dchec le mode Half duplex est activ Pour viter des erreurs la configuration des 2 extrmits du lien doit tre identique (soit mme config manuelle, soit config auto des 2 cots). Configuration de linterface en fonction du cble utilis : Mode auto MDIX : le commutateur dtecte le type de cble requis pour les connexions Ethernet cuivre, puis configure les interfaces en consquence. En fonction de la latence du rseau et de lquipement lautre extrmit cela peut gnrer une instabilit.
09/09/11 Alain Roussel 8
Mthodes de transmission des messages par les switchs : Mode cut-through : Commence la transmission ds rception de ladresse MAC de destination. Mode le plus rapide, transmet les trames corrompues par une collision. Mode fragment-free : Commence la transmission aprs la rception des 64 premiers octets, vite la transmission des trames corrompues par une collision. Mode store and forward : Enregistre et vrifie le message avant de le transfrer au port de destination. Mode le plus lent, vite la transmission des trames corrompues. Permet la transmission des trames avec des dbits asymtriques. Mode de fonctionnement de tous les switchs Cisco actuels. Dans le cas ou les mmoires tampon partages et les mmoires tampon du port sont pleines, Le commutateur abandonnera le Alain Roussel 09/09/11 9 trafic.
Diamtre de rseau Lors de la conception dune topologie de rseau hirarchique, le premier lment dont il faut tenir compte est le diamtre du rseau. Le diamtre de rseau correspond au nombre de priphriques que doit traverser un paquet avant datteindre sa destination. Lorsque vous maintenez un faible diamtre de rseau, cela garantit une latence faible et prvisible entre les priphriques. Lors de la mise en place de protocoles tel STP, le diamtre de rseau ne doit pas dpasser 7 et des messages peuvent tre abandonns en raison de lexpiration des minuteurs utiliss par ces protocoles.
09/09/11
Alain Roussel
10
2.Critres de choix dun commutateur : La modularit, le nombre de ports
Configuration fixe
Configuration empilable Configuration modulaire
Le dbit de transferts 100 Mbits/s, Gigabit, 10 Gigabits La possibilit de ladministrer -par le port console -par une connexion telnet -par un accs web
09/09/11 Alain Roussel
11
La prise en charge des rseaux locaux virtuels: VLAN
Lagrgation de liaisons
09/09/11
Alain Roussel
12
La POE
La QOS La prise en charge de la couche 3
09/09/11
Alain Roussel
13
Chaque VLAN est un rseau local indpendant.
3.Les rseaux locaux virtuels : VLAN
Chaque VLAN est un domaine de broadcast indpendant. Un commutateur gre une table dadresses MAC pour chaque VLAN Les commutateurs de niveau 2 ne peuvent pas raliser de communication inter VLAN
Vlan de donnes (ex: lves)
Vlan gestion
Vlan par dfaut
09/09/11
Vlan natif
Vlan par
Vlan voix
dfaut
14
Vlan de Alain Roussel (ex: Prof) donnes
IUT d'Annecy dept. R&T Les VLANs sont bass sur le port : Chaque port du commutateur est affect un VLAN. Diffrents rles peuvent tre affects aux VLAN. Ces rles amnent la dfinition des VLAN suivant (appellations usuelles) VLAN par dfaut : Tous les ports du commutateur deviennent membres du VLAN par dfaut aprs le dmarrage initial du commutateur. Le VLAN par dfaut des commutateurs Cisco est le VLAN1. Le trafic de gestion des commutateur circule sur ce VLAN (CDP, STP) VLAN de donnes : Un VLAN de donnes est un rseau local virtuel qui est configur pour ne transporter que le trafic gnr par lutilisateur. VLAN natif : Un VLAN natif est affect un port dagrgation 802.1Q. Le VLAN natif par dfaut des commutateurs Cisco est le VLAN1. Le Vlan natif achemine le trafic sans le tagger. VLAN de gestion : Un VLAN de gestion est un rseau local virtuel que vous configurez pour accder aux fonctionnalits de gestion dun commutateur (par dfaut cest le VLAN1). VLAN voix : Le VLAN voix est utilis pour prendre en charge la voix sur IP, et affecter ce trafic une priorit suprieure celle des donnes. Alain Roussel 09/09/11 15
Configuration des VLANs sur le commutateur :

Chaque port du commutateur destin la connexion dun hte est affect un VLAN. On dit que le port est configur en mode access. Lhte connect sur ce port sera affect ce VLAN Les ports reliant les switchs entre eux peuvent tre configurs pour transporter tous les trafics des diffrents VLAN. On dit que le port est configur en mode trunk
Configuration des htes :

Lappartenance de lhte un VLAN est ralise par sa connexion au port du commutateur adquat. (Bien entendu ladresse IP des htes sur ce VLAN doivent toutes appartenir au mme plan dadressage IP qui t choisi pour ce VLAN)
Identification des VLANs

Les VLAN sont reprs par un numro : VLAN 1: VLAN par dfaut, tous les ports Ethernet LAN sont initialement affects ce VLAN. VLAN 2 1001 peux tre utilis pour crer un VLAN VLANs 1002 1005 rservs pour Token Ring et FDDI VLAN 1006 4094 rservs aux fournisseurs daccs (plage tendue) Un commutateur Catalyst 2960 peut grer jusqu 255 VLAN distincts.
Interconnexion dun mme VLAN prsent sur 2 switchs distincts : PCetu1 PCetu2
PCadmin VLAN99 IP:172.17.99.1/2 Fa0/1 4 Fa0/2 VLAN20 IP:172.17.16.1/2 VLAN 99 4 VLAN 20 Fa0/4 Fa0/2 3 Fa0/3 VLAN 10 VLAN 150 VLAN20 IP:172.17.16.2/2 4
IPphone1 VLAN150 IP: 172.17.17.1/24 PCprof1 VLAN10 IP:172.17.15.1/24
Les 2 commutateurs ont des ports affects aux 4 VLANs. Il faut donc un lien de connexion entre les 2 commutateurs pour chacun de ces VLANs. 4 ports sur chaque switchs seront affects respectivement chacun de ces VLANs.
PCprof2 VLAN10 IP:172.17.15.2/2 4
IPphone2 VLAN150 IP: 172.17.17.2/24 PCprof3 VLAN10 IP:172.17.15.3/2 4
Solution : Agrgation de VLAN (agrgation de lien ou Trunking) : PCetu1 PCetu2

PCadmin VLAN99 IP:172.17.99.1/2 Fa0/1 4 Fa0/2 VLAN20 IP:172.17.16.1/2 4 Fa0/4 VLAN20 IP:172.17.16.2/2 4
Fa0/2 3 Fa0/3 tiquetage des
Agrgation de VLAN trames
IPphone1 VLAN150 IP: 172.17.17.1/24 PCprof1 VLAN10 IP:172.17.15.1/24
Un seul lien servira
PCprof2 VLAN10 IP:172.17.15.2/2 au4 transport des
IPphone2 VLAN150 IP: 172.17.17.2/24 PCprof3 VLAN10 IP:172.17.15.3/2 4
trames des diffrents VLAN.
Pour les identifier et les transmettre correctement, ces trames seront tiquetes (tag). Elles seront donc encapsules dans un format de trame appel 802.1Q
18
Tag pour identifier le VLAN :
Un tag est ajout la trame par le commutateur avant son envoi sur un lien trunk. Ce tag est enlev quand il sort du (des) trunk(s) par le commutateur dextrmit.
09/09/11
Alain Roussel
19
Trame tague IEEE 802.1Q Trame Ethernet normale
TAG
4 recalcul
Tag protocol Priority ID 0x8100 0 -7
CFI for token VLAN ID ring 1 - 4096
09/09/11
Alain Roussel
20
Protocole DTP
Le protocole DTP (Dynamic Trunking Protocol) est un protocole propritaire dvelopp par Cisco. Il nest pas pris en charge par les commutateurs dautres fournisseurs. Le protocole DTP est automatiquement activ sur un port de commutateur lorsque certains modes dagrgation sont configurs sur ce dernier.
Extrmit 2 Extrmit 1
09/09/11
Alain Roussel
21
configuration du commutateur : Cration des VLAN :

Comm1(config)#vlan 10 Comm1(config-vlan)#name Prof Comm1(config-vlan)#vlan 20 Comm1(config-vlan)#name tudiants Comm1(config-vlan)#vlan 99 Comm1(config-vlan)#name gestion Comm1(config-vlan)#end
Dfinition du vlan de gestion et de ladresse de gestion du commutateur :

Comm1(config)#interface vlan 99 Comm1(config-if)#ip address 172.17.99.11 255.255.255.0 Comm1(config-if)#no shutdown
09/09/11
Alain Roussel
22
Affectation des ports de commutateur aux IUT d'Annecy dept. R&T VLANs :
Comm1(config)#interface fa0/1 Comm1(config-if)#switchport mode access Comm1(config-if)#switchport access vlan 99 Comm1(config-if)#end Comm1(config)#interface fa0/2 Comm1(config-if)#switchport mode access Comm1(config-if)#switchport access vlan 10
Configuration dun port en mode trunk :

Comm1(config)#interface fa0/23 Comm1(config-if)#switchport mode trunk
Dfinition du vlan natif

Comm1(config-if)#switchport trunk native vlan 99 ; le Vlan 99 ne sera pas tagg Comm1(config-if)# switchport trunk allowed vlan add 10, 20, 99 ; optionnel Comm1(config-if)#no shutdown Comm1(config-if)#end
Configuration dun port en mode DTP :

Comm1(config)#interface fa0/20 Comm1(config-if)#switchport mode dynamic auto|desirable
Dsactivation du mode DTP :

Comm1(config)#interface fa0/20 Comm1(config-if)#switchport nonegociate
Suppression des VLAN :

Comm1(config)#no vlan 10 Alain Roussel 09/09/11 23 Le dplacement de toutes les interfaces dans dautres VLANs supprimera aussi ce Vlan
Le protocole VTP (VLAN Trunking Protocol) a t cr par Cisco pour rsoudre des problmes oprationnels dans des rseaux commuts contenant des VLAN. Cest un protocole propritaire Cisco. Le rle de VTP est de maintenir la cohrence de la configuration VLAN sur un domaine dadministration rseau commun. VTP est un protocole de messagerie qui utilise les trames dagrgation de couche 2 pour grer lajout, la suppression et lattribution de nouveaux noms aux VLAN sur un domaine unique. VTP autorise les changements centraliss qui sont communiqus tous les autres commutateurs du rseau. Les messages VTP sont encapsuls dans des trames de protocole IEEE 802.1Q, puis transmis sur des liens multi-VLAN aux autres units. Un domaine VTP est compos dun ou de plusieurs quipements interconnects qui partagent le mme nom de domaine VTP. Un commutateur ne peut appartenir qu un seul domaine VTP. Pour une question de scurit un mot de passe peux tre configur pour protger ce trafic.
Alain Roussel
VTP
09/09/11
24
Les commutateurs VTP excutent lun des trois modes suivants:
Les serveurs VTP peuvent crer, modifier et supprimer un VLAN

et des paramtres de configuration VLAN pour lensemble du domaine. Les serveurs VTP enregistrent les informations de configuration VLAN dans la mmoire NVRAM du commutateur. Les serveurs VTP envoient des messages VTP par tous les ports multi-VLAN. Cest la configuration par dfaut.
Les clients VTP ne peuvent pas crer, modifier ou supprimer des

informations VLAN. Ce mode est utile pour les commutateurs qui manquent de mmoire pour stocker de grandes tables dinformations VLAN. Le seul rle des clients VTP est de traiter les modifications VLAN et denvoyer des messages VTP par tous les ports multi-VLAN. Il peut uniquement adopter les changements VLAN annoncs depuis un serveur VTP.
Les commutateurs en mode transparent VTP

transmettent des annonces VTP mais ignorent les informations contenues dans le message. Un commutateur transparent ne modifie pas sa base de donnes lors de la rception de mises jour et il nenvoie pas de mises jour indiquant une modification apporte son tat VLAN. Except pour la transmission dannonces VTP, le protocole VTP est dsactiv sur un commutateur transparent.
Un commutateur ne traite la IUT d'Annecy dept. R&Tsil appartient au mme mise jour que domaine VTP. Chaque fois quun commutateur reoit une mise jour avec un numro de rvision de configuration suprieur (donc plus rcente), il remplace les informations stockes dans sa base de donne VLAN par les nouvelles informations envoyes dans la mise jour VTP. Avec ce processus de remplacement, lorsque le VLAN nexiste pas dans la nouvelle base de donnes, il est supprim du commutateur. En outre, VTP met jour sa propre configuration dans la mmoire NVRAM. La commande erase startup-configuration efface les commandes de configuration en mmoire NVRAM, lexception du numro de rvision de la base de donnes VTP. Pour redfinir le numro de rvision de configuration sur zro, le commutateur doit tre redmarr.
09/09/11
Alain Roussel
26
Configuration de VTP
Les tches de base suivantes doivent tre effectues avant de configurer le protocole VTP et les VLAN sur le rseau. Indiquez si ce commutateur sera un membre dun domaine de gestion existant ou si un nouveau domaine doit tre cr. Si un domaine de gestion existe, dterminez son nom et son mot de passe. Choisissez un mode VTP pour le commutateur. Dfinition du numro de version de VTP Switch(config)#vtp version 2 ; changer le numro de version de VTP Deux versions diffrentes de VTP sont disponibles: la version 1 et la version 2. la version 1 est par dfaut. Les deux versions ne peuvent pas fonctionner ensemble. La version 2 de VTP peut tre mise en uvre si certaines des fonctions quelle offre ne sont pas proposes dans la version1. La fonction la plus couramment utilise est la prise en charge de VLAN Token Ring. Cration du domaine de gestion (1er commutateur install) Switch(config)#vtp domain cisco; Le nom du domaine peut comporter entre 1 et 32 caractres. Switch(config)#vtp password bonjour; Le mot de passe peut comporter entre 8 et 64 caractres. Vrification du numro de rvision de configuration VTP Switch#show vtp status; Les commutateurs dun domaine VTP utilisent toujours la configuration VLAN du commutateur qui porte le numro de rvision de configuration VTP le plus lev. Si un commutateur est ajout et sil porte un numro de rvision suprieur celui du domaine VTP, il peut effacer toutes les informations VLAN du serveur et du domaine VTP 09/09/11 Alain Roussel 27
IUT d'Annecy dept. R&T Dfinition du mode appropri pour le commutateur Choisissez un des trois modes VTP disponibles pour le commutateur. Sil sagit du premier commutateur du domaine de gestion et que dautres commutateurs vont tre ajouts, dfinissez le mode sur serveur. Les autres commutateurs seront en mesure dacqurir des informations VLAN de ce commutateur. Il doit y avoir au moins un serveur. ConfigurationVTP serveur: Switch(config)#vtp mode server ; activation des services vtp en mode serveur (actifs par defaut) Switch(config)#vtp domain group1 ; affectation dun nom de domaine (par defaut nom dhote) ConfigurationVTP client: Switch(config)#vtp mode client ; activation des services vtp en mode client Switch(config)#vtp domain group1 ; affectation dun nom de domaine (par defaut nom dhote) Les VLANs ne seront diffuss aux clients par le serveur quune fois ceux-ci crs sur le serveur et que le lien entre les commutateurs aient ts configurs et activs en agrgation 802.1q. Les Vlans ne seront activs quaprs affectation de ports. Switch#show vtp counters; Cette commande est utilise pour afficher des statistiques sur les annonces envoyes et reues sur le commutateur.
09/09/11
Alain Roussel
28
Elagage VTP
Llagage VTP vite linondation superflue dinformations de diffusion provenant dun rseau local virtuel sur toutes les agrgations dun domaine VTP. Cet lagage permet aux commutateurs de ngocier les rseaux locaux virtuels affects des ports lautre extrmit dune agrgation et, par consquent, dlaguer les rseaux locaux virtuels qui ne sont pas affects des ports sur le commutateur distant. Llagage est dsactiv par dfaut. Il peut tre activ laide de la commande de configuration globale : Switch(config)#vtp pruning. Vous devez activer llagage sur un seul commutateur serveur VTP du domaine.
09/09/11
Alain Roussel
29
7.Routage inter Vlan (Router on a stick)

Il faut, comme cela est ncessaire pour interconnecter 2 rseaux diffrents, un routeur pour passer dun VLAN a un autre VLAN. Ce routeur se chargera dautoriser ou non le trafic provenant ou en direction de tel ou tel VLAN.
09/09/11
Alain Roussel
30
La solution prcdente monopolise beaucoup de ports du commutateur et surtout dinterfaces sur le routeur. On va donc connecter directement le lien trunk sur le routeur. On dit que le routeur est on a stick. Sur le routeur on va crer des sous interfaces logiques sur une seule interface physique. (quivalent dun TRUNK au niveau IP). Cette solution est donc plus conomique et volutive que laffectation dune interface physique chaque VLAN, mais elle sera moins performante car la bande passante de linterface sera partage entre les VLANs
VLAN30
VLAN20 VLAN10 Chaque VLAN son propre rseau IP Alain Roussel 31
Un simple lien peut supporter plusieurs VLANs

09/09/11
CONFIG ROUTER
Pour le routage entre VLAN avec sous-interfaces, une sous-interface doit tre cre pour chaque VLAN
Router(config)#interface fastethernet 0/1.59 Router(config-subif)#description Administration vlan1 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 59 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config)#interface fastethernet 0/1.2 Router(config-subif)#description VENTE vlan10 ; cmde optionnelle Router(config-subif)# encapsulation dot1q 10 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config)#interface fastethernet 0/1.99 Router(config-subif)#description natif vlan 99 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 99 native Router(config-subif)#ip address 192.168.99.1 255.255.255.0 Router(config)#interface fastethernet 0/1 linterface physique Router(config)#no shutdown ; activation obligatoire de
09/09/11
Ladresse IP de ces sous interfaces correspond donc ladresse de passerelle par dfaut de chaque VLAN.
Alain Roussel
32
CONFIG ROUTER
Pour le routage entre VLAN avec sous-interfaces, une sous-interface doit tre cre pour chaque VLAN
Router(config)#interface fastethernet 0/1.59 Router(config-subif)#description Administration vlan1 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 59 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config)#interface fastethernet 0/1.2 Router(config-subif)#description VENTE vlan10 ; cmde optionnelle Router(config-subif)# encapsulation dot1q 10 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config)#interface fastethernet 0/1.99 Router(config-subif)#description natif vlan 99 ; cmde optionnelle Router(config-subif)#encapsulation dot1q 99 native Router(config-subif)#ip address 192.168.99.1 255.255.255.0 Router(config)#interface fastethernet 0/1 linterface physique Router(config)#no shutdown ; activation obligatoire de
09/09/11
Ladresse IP de ces sous interfaces correspond donc ladresse de passerelle par dfaut de chaque VLAN.
Alain Roussel
33
Il est aussi possible dutiliser un switch de niveau 3 (ou multilayer) Ce type de switch est en fait lassociation dans un mme botier dun switch traditionnel de niveau 2 et dun routeur ayant autant dinterface que de port. Ce type de routeur est donc plus performant au niveau du temps de traitement mais ne possde pas toutes les fonctionnalits dun routeur indpendant.
Cartes WAN
Non Non Non
09/09/11
Alain Roussel
34
4.La redondance et Spanning tree:
Nous voulons:
- Des liaisons redondantes. - Des switchs diffrents interconnects par des trunks - Si un lien ou un switch est dfaillant un autre 09/09/11 35 doit prendre le relais Alain Roussel automatiquement.
Les trames Ethernet nont pas de dure de vie(TTL) comme les paquetsIP qui traversent les routeurs. Par consquent, si elles ne sont pas arrtes correctement dans un rseau commut, elles continuent de circuler indfiniment dun commutateur un autre ou jusqu ce quune liaison soit interrompue et mette fin la boucle. Des trames de diffusion sont transmises par tous les ports, hormis le port dorigine. De cette manire, tous les priphriques du domaine de diffusion reoivent la trame. Si la trame peut emprunter plusieurs chemins, une boucle sans fin pourra tre cre. On appelle cela une tempte de Broadcast. Une boucle peut tre cre volontairement pour crer de la redondance mais parfois aussi involontairement sur la baie de brassage. Cest une erreur assez classique. Alain Roussel 09/09/11
36
4.Tempte de broadcast:
MAC
PC1 2 1
MAC POR T
POR T MAC POR T
ARP ARP PC1 3 1 2 ARP ARP ARP ARP ARP PC1 ARP
MAC
ARP ARP
ARP
PC1 2 1
ARPARP PC2
PC1 PC1 1 1 2
POR T
La redondance ncessite des boucles. IUT d'Annecy dept. R&T Les boucles sur un rseau commuts provoquent des temptes de broadcast, des transmissions multiples de la mme trame, des tables dadresses MAC incohrentes si tous les liens sont actifs simultanment. Il faut donc mettre en uvre un protocole qui permet dactiver automatiquement les liens redondants sans jamais avoir de boucle. Ce protocole sappelle STP (Spanning Tree Protocol). Quest ce que SPANNING TREE ? Cest une topologie en arbre (Tree). Un arbre na pas de boucle. Cest arbre couvre tous les quipements (Spanning). Tous les quipements ont une connexion active. Les liens redondants seront dsactivs en bloquant les ports. Plusieurs protocoles existent et ont t normaliss Spanning Tree Protocol : STP (IEEE 802.1d). Ce protocole est activ par dfaut sur les switchs CISCO. Rapid Spanning Tree Protocol : RSTP (IEEE 802.1w). STP peut grer des arbres de Alain Rousselmaximum (pb de diamtre 7 sauts 09/09/11 38 rseau).
Le commutateur utilise cet algorithme pour dcider quel port doit tre dsactiv. Pour cela : il dtermine un commutateur racine (appel pont racine), Il dtermine un port racine sur tous les autres commutateurs, Il dtermine un port dsign sur tous les autres liens, Il bloque tous les autres ports. Ils seront appels ports non dsigns
Algorithme Spanning Tree.
pont racine port dsign port dsign port racine port dsign port racine port dsign
port racine
port non dsign (tat de blocage) 39
Chaque commutateur diffuse une BPDU (Bridge Protocol Data Unit) contenant son BID toutes les 2 secondes, en se prtendant pont racine. Chaque pont qui reoit une BPDU avec un BID infrieur au sien reconnat ce pont comme pont racine. Il remplace alors dans ses BPDU, son propre BID par celui-ci (ce nest pas lui le pont racine). A la fin du processus, tous les BPDU contiennent le BID du pont de plus petit BID. Celui-ci est alors lu pont racine.
Le message BPDU est encapsul dans une trame Ethernet multicast et diffus vers ladresse MAC 0180-C200-0000 Bits : TCA 000000 TC (TC: BID pont racine Cot du chemin vers le pont BID pont metteur de la BPDU racine N du port dmission de la BPDU Temps coul depuis le dernier message du pont racine Dure de vie max de llection du pont racine (20s) Dlai entre 2 BPDU (dfaut 2s) Tempo de mise jour de la topologie (2x15s)
09/09/11 Alain Roussel 40 Topology change , TCA: TCAck)
Dtermination du pont racine

Chaque commutateur est identifi par un BID (Bridge Identifier). Ce BID Provient de lassociation dune priorit affect par ladministrateur du rseau la configuration du switch (par dfaut : 32768), de son adresse MAC et un ID systme tendu facultatif identifiant les VLAN . Cette dernire partie garantie lunicit du BID, mais il est dconseill de baser le choix du pont racine sur ce critre.
09/09/11
Alain Roussel
41
Dtermination des ports racines sur chaque commutateur

Le port racine existe sur les ponts non racine; il sagit du port de commutateur offrant le meilleur chemin vers le pont racine (cot le plus faible). Les ports racine acheminent le trafic vers le pont racine. Un seul port racine est autoris par pont. Le cot du chemin est dfini par dfaut en fonction du dbit du port. Il peut toutefois tre configur par ladministrateur. Cot 4
Cot racine A=4 Cot racine A-C=23
pont racine
Cot 4 port racine
port racine Cot 19 Cot 19

Alain Roussel
port racine
Cot racine A-B=23 Cot racine A-C-B=42
09/09/11
Cot racine A=4 Cot racine A-B=23

42
Que se passe t il si 2 chemins ont le mme cot ? Cot 4 port racine Cot racine A=4
Cot racine A-C=23
pont racine Cot 19
Cot 4 port racine
Cot racine A-B=23 Cot racine A-C=23 Cot racine A-C-B=42
port racine
Cot 19
2
Cot racine A=4 Cot racine A-B=23
On prends alors en compte la priorit du port (128 par dfaut) et son numro de port. La priorit du port est configurable. par dfaut FA0/0=128.0 FA0/1=128.1 FA0/2=128.2 . Alain Roussel 09/09/11 43
Dtermination des ports dsigns et non dsigns :

Tous les ports du pont racine sont des ports dsigns. Pour les ponts non racine, un port dsign est le port de commutateur qui retransmet les trames BPDU provenant du pont racine. On aura donc toujours un port dsign en regard dun port racine. Lorsquil ny a pas de port racine sur un lien, une extrmit de ce lien sera configur en port dsign afin de retransmettre les BPDU provenant du pont racine et lautre en port non dsign et bloqu. Dans cet tat ce port ne participe pas la transmission des trames et nenrichit pas la table dadresse MAC. Il peut toutefois recevoir et mettre les trames BPDU. La slection du port dsign se fait alors sur la base du cot vers la racine le plus faible et en cas dgalit sur le BID du pont le plus faible.
pont port dsign racine

Cot racine=4
port dsign
port racine
port racine
Cot 4 Cot 19 Cot 19
port dsign
port racine
Cot racine =23
09/09/11
Cot racine =19 Cot 19 port

Alain Roussel
dsign port non dsign

44
Dlai de convergence:
Entre 30 et 60 secondes dattente avant de retrouver un tat de transmission suite un lien rompu.
Blocage Dmarrage du commutateur Ecoute Forward delay = 15 sec Apprentissage (learning) Forward delay = 15 sec Acheminement
(forwarding)
En cas de changement de la topologie, une Ou trame BPDU TCN (Topology Change i Notification) est mise vers le pont racine Le pont racine diffuse lensemble du rseau cette modification. Cela pour len informer. acclre la prise en compte de cette modification.
Pas de BPDU pendant maxage (20s) Non
Configuration de STP
Dfinition du pont racine Switch(config)# spanning-tree vlan id_de_vlan root primary|secondary ; dfinit le switch comme pont racine (principal ou secondaire) Switch(config)# spanning-tree vlan id_de_vlan priority value ; dfinit la priorit du switch (par dfaut : 32768), Modification des couts pour les interfaces Switch(config)# interface fa0/1 Switch(config-if)# spanning-tree cost 25 ; dfinit un cout non standart linterface Modification de la priorit des ports (par dfaut 128.Nport) Switch(config)# interface fa0/1 spanning-tree port-priority valeur Suppression de linterface du processus de convergence STP. PortFast ne peut tre utilis que sur des ports daccs connects une station de travail ou un serveur. Switch(config)# interface fa0/1 Switch(config-if)# spanning-tree portfast
Vrification de STP
09/09/11
Alain Roussel
46
RSTP Rapid STP (802.1w) Fournit des amliorations significatives de la vitesse de convergence pour le rseau maill en permutant immdiatement les ports racines et dsigns ltat de transmission. Le protocole RSTP est en mesure de confirmer activement quun port peut basculer sans risque ltat dacheminement en saffranchissant compltement de tout minuteur. Le temps de convergence passe ainsi 2-6 secondes. RSTP permet aussi de grer des arbres comportant jusqu 18 sauts. RSTP utilise la mme structure de BPDU que STP. Il met un BPDU toute les 2 secondes. Le dlai max age est rduit 6 seconde (la perte de 3 BPDU entrane une reconfiguration de larbre). Il dfinit des rles de ports et des tats de ports diffrents de STP.
Port P dextrmitort de Portsecours alternatif X (discarding)

47
Un port dextrmit RSTP est un port de commutateur qui ne doit jamais tre connect un autre priphrique de commutateur. Il passe immdiatement ltat dacheminement lorsquil est activ. Cest ladministrateur qui configure ce mode de fonctionnement. un port dextrmit RSTP qui reoit une trame BPDU perd immdiatement son statut de port dextrmit et devient un port Spanning Tree normal. Un port de secours est un port supplmentaire offrant une liaison redondante pour un port dsign. Ce port est mis ltat discard (mise lcart). Un port alternatif est un port qui offre un autre chemin vers le pont racine. Ce port est mis ltat discard (mise lcart).
09/09/11
Alain Roussel
48
IUT d'Annecy dept. R&T Le protocole RSTP acclre considrablement le processus de recalcul aprs une modification de topologie, car il effectue la convergence en fonction de chaque liaison et il peut autoriser le changement dtat dun port sans attendre l'expiration du dlai d'un minuteur (pour STP 2x15s). Quand un nouveau chemin apparat, on coupe les ports amonts (les plus loigns de la racine) jusqu ce que les commutateurs suivants aient fait la mme opration. La modification de topologie se fait donc de proche en proche. Cela ncessite des BPDU changs dans les deux sens
Rsum sur le STP et le RSTP : Il ne peut y avoir seulement quun arbre dans un rseau. Si des VLANs sont dfinis, tous les VLANs partagerons le STP (RSTP). Cela signifie que tous les VLANs auront la mme topologie logique et auront traiter lensemble des BPDU. Le protocole MSTP (Multiple STP : norme IEEE 802.1Q-2003) permet la cration de plusieurs liens redondants pour un rseau segment en VLAN 802.1q. Le MSTP peut fournir un STP ddi pour chaque VLAN et ainsi fournir un partage de charge du trafic. Alain Roussel 09/09/11
49
6.La scurit:
-La scurit du rseau commence dj par : -La mise en place de mots de passe daccs lquipement. Laccs ces fonctions peut se faire par : - hyper terminal en mode console (CLI): ncessite une connexion srie avec lquipement. - telnet - SSH - navigateur Web pour les quipements rcents. -La mise en place de mots de passe daccs aux fonctions dadministration des quipements. Deux modes de fonctionnement sont prvus : -le mode utilisateur -le mode privilgi. - Lactivation du chiffrement des mots de passe. - Linstallation des quipements dans un local dont laccs est scuris. En effet laccs direct en mode console lquipement permet laccs au fonctions dadministration mme si on nen connat pas les mots de passe. Une procdure de rcupration de mot de passe existe pour quen cas doubli on puisse accder lquipement. -La dsactivation des ports inutiliss
6.La scurit:
-La scurit du rseau commence dj par : -La mise en place de mots de passe daccs lquipement. Laccs ces fonctions peut se faire par : - hyper terminal en mode console (CLI): ncessite une connexion srie avec lquipement. - telnet - SSH - navigateur Web pour les quipements rcents. -La mise en place de mots de passe daccs aux fonctions dadministration des quipements. Deux modes de fonctionnement sont prvus : -le mode utilisateur -le mode privilgi. - Lactivation du chiffrement des mots de passe. - Linstallation des quipements dans un local dont laccs est scuris. En effet laccs direct en mode console lquipement permet laccs au fonctions dadministration mme si on nen connat pas les mots de passe. Une procdure de rcupration de mot de passe existe pour quen cas doubli on puisse accder lquipement. -La dsactivation des ports inutiliss
Comm1>enable Comm1#configure terminal Comm1 (config)# Comm1(config)#line vty 0 15 Comm1(config-line)#password cisco Comm1(config-line)#login Comm1(config-line)#exit Comm1(config)#service password-encryption Comm1(config)#enable secret mot_de_passe ; activation de ssh Comm1 (config)#ip domain-name mondomaine.fr Comm1 (config)#crypto key generate rsa ; cre une paire de cls rsa Comm1 (config)#ip ssh version 1|2 Comm1(config)#line vty 0 15 Comm1(config-line)#transport input ssh|telnet|all ; interdit les connexion telnet Comm1 (config)# crypto key zeroize rsa ; permet de supprimer les cls rsa Alain Roussel 09/09/11 52
-Malheureusement, une protection et une scurit de base ne mettent pas les commutateurs labri dattaques malveillantes (exemple de pack logiciel dattaque : DSNIFF). Attaque par inondation dadressesMAC : Il faut savoir que la taille des tables dadressesMAC est limite. LinondationMAC profite de cette limite pour submerger le commutateur de fausses adressesMAC source jusqu ce que la table dadressesMAC de ce dernier soit sature. Le commutateur passe alors en mode failopen, commence agir en qualit de concentrateur et diffuse des paquets tous les ordinateurs du rseau. La personne malveillante peut alors voir toutes les trames transmises de lhte attaqu vers un autre hte. Si les communications ne sont pas cryptes il est trs facile de voir tous les mots de passe utilisateur par exemple. Protection : Mettre en uvre la scurit des ports
Dsactivation des ports inutiliss

Comm1(config)#interface range fastEthernet 0/12 - 23 Comm1(config-if-range)#shutdown
la scurit des ports La scurit des ports restreint le nombre dadressesMAC autorises sur un port. Lorsque vous affectez des adressesMAC scurises un port tout aussi scuris, ce dernier ne transmet aucun paquet avec adresse source en dehors du groupe des adresses dfinies. Si vous limitez le nombre des adressesMAC scurises une adresse et affectez une adresseMAC scurise unique sur ce port, la station de travail relie au port bnficie de la bande passante intgrale de ce dernier et seule cette station de travail dote de cette adresseMAC scurise en particulier peut se connecter avec succs ce port du commutateur. Si vous configurez le port comme un port scuris et atteignez le nombre maximal dadressesMAC scurises, une violation de scurit se produit lorsque ladresseMAC dune station de travail qui tente daccder au port est diffrente de toutes les adressesMAC scurises qui ont t identifies. Ladresse MAC associ au port peut tre ralis manuellement ou par apprentissage.
09/09/11
Alain Roussel
54
Il y a violation de la scurit lorsque lune des situations suivantes se prsente: Le nombre maximal dadressesMAC scurises a t ajout dans la table dadresses et une station dont ladresseMAC ne figure pas dans cette table tente daccder linterface. Une adresse assimile ou configure dans une interface scurise est visible sur une autre interface scurise dans le mme rseau local virtuel (2 adresses MAC identiques sur 2 ports diffrents).
Comm1(config)#interface fastEthernet 0/18 Comm1(config-if)#switchport mode access Comm1(config-if)#switchport port-security ; activation de la scurit des ports Comm1(config-if)#switchport port-security maximum 1 Affectation statique Comm1(config)#switchport port-security mac-address 0002.16E8.C285 Affectation par apprentissage Comm1(config-if)#switchport port-security mac-address sticky Comm1(config-if)#switchport port-security violation shutdown Alain Roussel 09/09/11
55
Attaques par mystification:

Un pirate active un serveur DHCP sur un segment de rseau. 2) Le client diffuse une requte concernant les informations de configuration DHCP. 3) Le serveur DHCP non autoris rpond avant le serveur DHCP lgitime en procurant des paramtres IP dfinis par le pirate qui le dsignent comme passerelle pardfaut . 4) Les paquets htes sont redirigs vers ladresse du pirate tandis que celle-ci mule une passerelle par dfaut pour ladresse DHCP errone fournie par le client. 5) Les clients transmettent alors les paquets au priphrique attaquant qui, son tour, les transmet vers la destination voulue. On parle alors dattaque de lintercepteur (man in the middle). Ce type dattaque peut passer compltement inaperu puisque le pirate intercepte le flux de donnes sur le rseau. Protection : Mettre en uvre la surveillanceDHCP Switch(config)# ip dhcp snooping ; activation du service de surveillance DHCP Switch(config)# interface gigabitethernet0/1 Switch(config-if)# ip dhcp snooping trust ; le port est autoris diffuser des messages DHCP (port de confiance) tous les messages DHCP arrivant sur un port non plac en trust seront dtruits par le switchs. Switch(config-if)# ip dhcp snooping vlan 10 ; Vlan sur lequel les offres DHCP seront mises Switch(config-if)# ip dhcp snooping limit rate 100 ; limitation du nombre de Alain Roussel 09/09/11 56 requtes DHCP par seconde.
Attaques Telnet : Un pirate attaque le mot de passe en force. Protection : Modifier frquemment les mots de passe et utiliser des mots de passe forts combinant au hasard des lettres en majuscules et minuscules et des chiffres. Mettre en place des ACL pour les accs Telnet (niveau IP couche 3). Sera vu plus tard.
09/09/11
Alain Roussel
57
5.Wireless: Les norme 802.11

802.11b : 1re norme utilise, bande des 2.4 GHz, porte de 30 100m voire 400m, dbit rel infrieur 4 Mbps (11Mbps tho), Abandon de la norme pour les adaptateurs Wi-Fi, routeurs ou point d'accs norme utilise par les assistants personnels (dbit suffisantpour accder l'internet) Utilisable en France en intrieur et lextrieur 802.11g : norme succdant au 802.11b, gnralise pour tous les usages, bande des 2.4 GHz, porte de 30 100m, dbit rel infrieur 30 Mbps (54Mbps tho), Compatible avec le 802.11b Utilisable en France en intrieur et lextrieur 802.11a : bande des 5 GHz, porte infrieure 30 m, dbit rel infrieur 30 Mbps (54Mbps tho), utilisable en France quen intrieur limitant ainsi son intrt, plus prsent aux USA.Incompatible avec le 802.11b et g Consommation dnergie beaucoup plus leve que le b/g (proportionnelle f) la rendant incompatible la mobilit. 802.11n : Technologie MIMO (Multiple In, Multiple Out), utilisation simultane des bandes 2.4 GHz et 5GHz , porte de 90m, dbit rel de 100 Mbps (540Mbps tho), Compatible avec le 802.11 a/b/g 802.11i : complments aux normes a/b/g/n Amlioration de la scurit en intgrant lAES, intgre tous les nouveaux quipements depuis 2004.
09/09/11 IUT d'Annecy dept. R&T 58
Pour la certification Explo3 Vous devez savoir quoi correspond le SSID, connaitre les diffrents types de scurisation du rseau (ouverte, WEP, WPA,), tre capable de configurer une connexion wifi sur un PC.
09/09/11
59
5. Les agrgations de bande passante: Appellation CISCO : ETHERCHANNEL Appellation HP : TRUNK
Un Etherchannel permet une agrgation de bande passante. Il permet dagrger jusqu 8 liens physiques FastEthernet ou GigabitEthernet et den faire un seul lien logique. Le trafic est redistribu ensuite entre les liens physiques selon diffrentes mthodes. Letherchannel permet aussi dobtenir une tolrance de panne en basculant automatiquement le trafic sur les liens disponibles. Ces boucles de switchs ne sont pas dsactives par STP. En effet pour celui-ci lensemble de ces liens correspond un lien unique.
Il existe 2 protocoles d'agrgation de liens Port Aggregation Protocol (PAgP), propritaire Cisco Link Aggregation Protocol (LACP), normalis IEEE (802.3ad) PAgP envoie toutes les 30 secondes des paquets multicast l'adresse MAC 01:00:0C:CC:CC:CC sur tous les ports de lagrgation afin de vrifier que tous les ports ont bien la mme configuration : Mme protocole, vitesse, duplex et VLAN Quand EtherChannel est identifi de part et d'autre, PAgP regroupe les liens entre-eux et ajoute ce port au spanning tree, comme un unique port LACP est une partie de la spcification 802.3ad Fonctionnement comme PAgP mais galement entre fabriquant diffrent car normalis
09/09/11
Alain Roussel
61
Configuration et choix du protocole :
Mode non-silent : utiliser quand lquipement supporte PAgP ou LACP Mode silent : utiliser pour une connexion qui ne supporte pas PAgP ou LACP (serveur, analyseur) Alain Roussel
09/09/11
62
Mthode de rpartition de charge (load balancing):

L'quilibrage de charge peut se faire en fonction de : - Ladresse MAC source et/ou de destination - Ladresse IP source et/ou de destination Le choix de la mthode dpends de la configuration du rseau : En effet si la mthode est : ladresse ladresse ladresse ladresse MAC source, (dfaut) cest le mme MAC destination, port de IP source, lEtherchannel qui IP destination, sera toujours affect ce trafic
Le router nayant quune seule adresse MAC et IP(NAT), si le mode adresse de destination est choisie seule un port de lagrgation sera utilis. Avec le mode adresse source le trafic sera rparti en fonction de lorigine des PC. Le routeur doit choisir un mode de fonctionnement inverse pour les mmes Alain Roussel 09/09/11 raisons.
63
Configuration des 2 ports GI0/1 et GI0/2 appartenant au VLAN 10 comme Etherchannel N5 matre PAGP (initie la ngociation PAGP) Switch(config)# interface range gigabitethernet0/1 -2 Switch(config-if-range)# switchport mode {access | trunk} Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# channel-group 5 mode {auto [non-silent] | desirable [non-silent] | on} | Configuration des 2 ports GI0/1 et GI0/2 (mode access) appartenant au VLAN 10 comme Etherchannel N5 matre LACP (initie la ngociation LACP) Switch(config)# interface range gigabitethernet0/1 -2 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# channel-group 5 mode {active | passive} Une interface logique nomme Port-Channel5 vient dtre associ au groupement de ports GI0/1 et GI0/2. Ce port doit tre configur comme nimporte quelle interface (trunk, access, vlan, vlan allowed, scurity ) Switch(config)#interface port-channel 5 Switch(config)# switchport mode access Configuration de la rpartition de charge (pour tous les etherchannel): Switch(config)#port-channel load-balance {dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac}
Qualit de service (QOS) -class of service (COS) La qualit de service (QOS) est la mesure de la qualit de transmission et de la disponibilit des services dun rseau. La QOS dpends de plusieurs facteur : la latence, la gigue, et les pertes. La gestion de la qualit de service repose sur les traitements suivants: -Classification et marquage des trames -Gestion des trafics -Classification des trafics par priorit -Reordonnancement des trames
Un champ de 3 bits de la trame 802.1Q est attribu la dfinition de priorits selon 7 classes de services :
Les switchs CISCO permettent la mise en uvre de la qualit de service trs simplement. Il suffit dactiver lauto-QoS sur tous les routeurs et switchs (cisco). Switch(config)# interface gigabitethernet0/1 Switch(config-if)# auto qos voip trust Switch(config-if)# mls qos trust cos Pour plus de dtail sur la QOS se rfrer aux documents suivants : http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps655 8/prod_presentation0900aecd80312b59.pdf http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/softwa re/release/12.1_20_ea2/configuration/guide/swqos.html

Explo3 Corig

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Explo3 Corig

Transféré par

Droits d'auteur :

Formats disponibles

IUT d'Annecy dept.

Cours synthse EXPLO3

IUT d'Annecy dept. R&T

Scurit (8%) VLANs (22%) Etherchannel

STP (8%) RSTP (4%) Routage Inter-VLAN

IUT d'Annecy dept. R&T

1.La commutation dans les rseau e modle hirarchique en 3 couches LAN :

LAN1 LAN2 LAN3

Routage interVlan, filtrage Commutateurs, Hubs

Intrt du modle hirarchique en 3 couches

Priphriques Rseaux de la couche d'accs : Le commutateur ou Switch:

IUT d'Annecy dept. R&T

Association des concentrateurs et des commutateurs :

IUT d'Annecy dept. R&T

IUT d'Annecy dept. R&T

IUT d'Annecy dept. R&T

mthode daccs au support : le CSMA/CD :

IUT d'Annecy dept. R&T

IUT d'Annecy dept. R&T

IUT d'Annecy dept. R&T

IUT d'Annecy dept. R&T

2.Critres de choix dun commutateur : La modularit, le nombre de ports

Configuration empilable Configuration modulaire

IUT d'Annecy dept. R&T

La prise en charge des rseaux locaux virtuels: VLAN

IUT d'Annecy dept. R&T

La QOS La prise en charge de la couche 3

Chaque VLAN est un rseau local indpendant.

3.Les rseaux locaux virtuels : VLAN

IUT d'Annecy dept. R&T

Vlan de donnes (ex: lves)

Vlan de Alain Roussel (ex: Prof) donnes

IUT d'Annecy dept. R&T

Configuration des VLANs sur le commutateur :

Configuration des htes :

Identification des VLANs

IUT d'Annecy dept. R&T

IPphone1 VLAN150 IP: 172.17.17.1/24 PCprof1 VLAN10 IP:172.17.15.1/24

PCprof2 VLAN10 IP:172.17.15.2/2 4

IPphone2 VLAN150 IP: 172.17.17.2/24 PCprof3 VLAN10 IP:172.17.15.3/2 4

IUT d'Annecy dept. R&T

Solution : Agrgation de VLAN (agrgation de lien ou Trunking) : PCetu1 PCetu2

Fa0/2 3 Fa0/3 tiquetage des

Agrgation de VLAN trames

IPphone1 VLAN150 IP: 172.17.17.1/24 PCprof1 VLAN10 IP:172.17.15.1/24

Un seul lien servira

PCprof2 VLAN10 IP:172.17.15.2/2 au4 transport des

IPphone2 VLAN150 IP: 172.17.17.2/24 PCprof3 VLAN10 IP:172.17.15.3/2 4

trames des diffrents VLAN.

IUT d'Annecy dept. R&T

Tag pour identifier le VLAN :

IUT d'Annecy dept. R&T

Trame tague IEEE 802.1Q Trame Ethernet normale

Tag protocol Priority ID 0x8100 0 -7

CFI for token VLAN ID ring 1 - 4096

IUT d'Annecy dept. R&T

IUT d'Annecy dept. R&T

configuration du commutateur : Cration des VLAN :

Dfinition du vlan de gestion et de ladresse de gestion du commutateur :

Configuration dun port en mode trunk :

Dfinition du vlan natif

Configuration dun port en mode DTP :

Dsactivation du mode DTP :