Ebook Complet CCNA 200-301

RÉSEAU INFORMATIQUE
COMPOSANTS RÉSEAU
Pour commencer le cours, nous allons voir un peu, | ce qu’est un réseau in-
formatique.
Juste le mot |« réseau » est un mot assez familier qui peut se retrouver
dans diffèrent contexte.
Par exemple, on a :
• des |réseaux téléphoniques
• des |réseaux de télévision
• ou bien encore plus fréquents, des| réseaux sociaux, que tout le

monde connait de nos jours.
En gros, un « Réseau », c’est un moyen de connecter plusieurs composants
ensemble.
Et bien, en informatique, ça permet de connecter :
• |des PC’s,
Déclaration d'activité enregistré auprès du préfet de région

Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP– 38 rue pasteur 39110 Salins-les-Bains Siret : 519 157 861 00047
• |des imprimantes,
• |des serveurs,
• |des téléphones,
• |et plein d’autres types d’équipements que nous verrons tout au long
de la formation.
Parmi les composants les plus utilisés dans une entreprise, on y trouve :
• |des Périphériques de terminaison :

|Ce sont tous les éléments qui se trouvent en bout de chaine.
• |Il y’a des Interconnexions :

|C’est ce qui permet de connecter les équipements sur le réseau.
Par exemple, un câble RJ45, une fibre optique, ou

même le wifi sont des interconnexions…
• |Il y’a des Switchs :

Tout ce qui se trouve en bout de chaine se connecte principalement sur
des switchs.
|Un switch peut aussi être surnommé « commutateur ».
Le mot « switch » est le mot anglais, et « Commuta-

teur » c’est simplement sa traduction.
|Avant les switchs, il y’avait, ce qu’on appelait des | Hubs. Aujourd’hui les
prix des switchs sont devenus tellement accessibles que les hubs ne sont
plus trop utilisés.
Un hub fonctionne comme un switch, | sauf qu’il a une vitesse plus faible
et de mauvaises performances.
Pour revenir sur les composants du réseau, on y trouve :
• |des Routeurs :

Le routeur permet de connecter différents réseaux ensemble, tout en
choisissant intelligemment le meilleur chemin. Sa principale fonction est
d'acheminer le trafic d'un réseau vers l'autre.
|Par exemple, on a besoin d'un routeur pour connecter le réseau de chez
nous à |Internet.
Les box Free, SFR ou Bouygues sont des routeurs.
• |Nous avons des réseaux wifi :

Le wifi permet de connecter sur le réseau, des équipements sans fil
comme des téléphones, imprimantes ou tablettes, à l’aide d’un | Points
d’accès Wifi.
• |Et on y trouve des Firewalls qui se traduisent en français par le mot :
| « Parefeu »:
Ce sont des systèmes de sécurité qui surveillent et contrôlent tout le trafic
qui rentre et qui sort, en fonction des règles que l’administrateur réseau
aura configurées.
Il permet d’établir une barrière entre son propre réseau interne et un ré-
seau externe, par exemple Internet.
|D’ailleurs, la box internet que la plupart des gens ont chez eux regroupe 3
composants dans le même boitier :
1. |Elle fonctionne comme un switch, car on peut connecter des pc’s

sur ses ports réseau qui sont situés à l’arrière
2. |Elle agit aussi comme un point d’accès wifi, car on peut y connecter
nos téléphones et tablettes.
3. |Et enfin elle se comporte comme un routeur en connectant tout le
réseau local, à Internet.
CARACTÉRISTIQUES D’UN RÉSEAU

Nous allons maintenant parler, |des caractéristiques d’un réseau :
Lorsque l’on achète un PC, l'une des choses que l’on regarde en premier
c’est la fiche technique.
Et bien, comme pour les PC, les composants techniques d'un réseau per-
mettent de décrire ses performances et sa structure.
Connaitre chacune des caractéristiques d'un réseau permet de mieux
comprendre comment le réseau est conçu et quel type de performance
on en attend.
Parmi ces composants à analyser il y’a :
• |La Topologie:
Il existe des topologies physiques et logiques.
La topologie physique c’est l'agencement des câbles, les équipements ré-
seau et les éléments en bout de chaine.
Et la topologie logique c’est le chemin sur lequel les données sont transfé-
rées dans le réseau.
• |Comme autre composant, il y’a La Vitesse:

C’est la mesure du débit, qui est en bits par seconde, pour les liens sur le
réseau.
Ça peut être 100 mégas, 1 giga, ou 10 gigas bits Ethernet .
• |Nous avons le Cout :
C’est ce qui indique la dépense générale, pour :
o l'achat des composants
o l'installation
o et la maintenance du réseau.
• | On à la Sécurité:
Qui indique la façon dont le réseau est protégé.
Alors, aujourd’hui, la sécurité est très très importante, car les techniques et
les pratiques évoluent constamment et très rapidement.
Un administrateur doit revoir la sécurité à chaque

fois qu’il modifie la topologie du réseau.
• |On à la Disponibilité:
Pour les réseaux qui tournent 24h sur 24 et 7 jours sur 7 toute l’année, la
disponibilité est calculée en divisant le temps qu'il est disponible, par le

temps total d'une année, puis en multipliant par 100 pour obtenir un pour-
centage.
Par exemple, |525 600 correspond au nombre de minutes total d’une an-
née. Si le réseau est indisponible pendant |15 minutes sur une année, alors
sa disponibilité sera de |99,9971%.
• |Il y’a L’Évolutivité:

Un réseau doit être conçu de façons, qu’ils puissent être évolué très facile-
ment. Car sinon, ça coutera beaucoup plus cher de rajouter, quelques utili-
sateurs.
• |Et pour finir, il y’a la Fiabilité:

Les composants du réseau doivent être fiables pour réduire le risque de
panne.
L’ensemble de ces caractéristiques, que nous ve-

nons de voir, permettent de comparer différentes
solutions de réseau.
QUIZ
QUESTION 1

La topologie logique c’est ?
L’agencement des câbles, les équipements réseau et les éléments en
bout de chaine.
Le chemin sur lequel les données sont transférées dans le réseau.
QUESTION 2

Parmi les composants les plus utilisés dans une entreprise, il y’a des Inter-
connexions. Trouver la bonne définition :
Ce sont tous les éléments qui se trouvent en bout de chaine.
C’est ce qui permet de connecter les équipements sur le réseau.
QUESTION 3
Tout ce qui se trouve en bout de chaine se connecte principalement sur ?

Des PC’s
Des imprimantes
Des switchs
Des serveurs
QUESTION 4

La topologie physique, c’est ?
L’agencement des câbles, les équipements réseau et les éléments en
bout de chaine.
Le chemin sur lequel les données sont transférées dans le réseau.
QUESTION 5
Parmi les composants les plus utilisés dans une entreprise, on y trouve des
Périphériques de terminaison. Trouver la bonne définition :
Ce sont tous les éléments qui se trouvent en bout de chaine.
C’est ce qui permet de connecter les équipements sur le réseau.
TOPOLOGIES RESEAUX

TOPOLOGIES RESEAUX
Pour bien comprendre, pourquoi certaines topologies existent, on va voir
en détail deux types de réseaux.
• | LE LAN
• et le| WAN.
|Le LAN est un réseau qui se limite à un espace géographique. Par

exemple, un bâtiment.
Chez nous, l’ensemble des périphériques qui sont

connectés à notre box internet forme un LAN.

-|Et le WAN, qui se traduire en français par : Réseau étendu est en quelque
sorte un regroupement de LAN.
C’est grâce au WAN qu’on peut communiquer avec des personnes qui se
trouvent à l’autre bout du monde.
Notre box internet qui forme un LAN interne nous

permet de communiquer avec le monde extérieur
en passant par le WAN.
Passons maintenant aux topologies.
Il existe deux types de topologies :
• |Physique et Logique.
La topologie physique c'est l'arrangement physique des périphériques
dans le réseau, c’est-à-dire la manière dont ils sont placés.

Et la topologie logique désigne la manière dont les données transitent
dans une communication.
Parmi les principales catégories de topologies physiques, nous avons :
• |La Topology par bus :
Ici chaque poste de travail, représenté par un point bleu, est connecté à un
câble principal, qui est représenté en rouge.
Ils sont donc directement connectés à tous les autres postes du réseau.
• |On à la Topologie en anneau :
Ici, les machines du réseau sont câblées en formant un cercle.

Ils ont donc deux voisins chacun.
• |Nous avons les Topologies en étoile:

C’est la plus fréquente des topologies. Un dispositif central relie les ordina-
teurs et les autres périphériques du réseau. En général C’est très souvent
un switch.
• |Et on y trouve des topologies maillées:
Ou chaque périphérique réseau est câblé avec plein d'autres. Ce qui per-
met d’avoir une redondance et une meilleure fiabilité.
|L'une des tâches les plus importantes qu’un admi-

nistrateur réseau doit accomplir, lorsqu’il com-
mence la conception d'un réseau, c’est de se créer
une carte détaillée.

Ici on à un schéma réseau avec les icônes Cisco les plus couramment utili-
sées.
Il est important d’identifier les interfaces de nos périphériques !
➢ |Un « S » pour une interface série.

➢ | « Fa » pour une interface Fast Ethernet,
➢ |et « Gi » pour du Gigabit Ethernet.
Sur un schéma réseau, on représente aussi les adresses IP !
Par exemple, |L’adresse : 192.168.1.0 est l’adresse réseau

|Le /24 correspond au masque de sous-réseau.
|Les chiffres .1 et .2 aux extrémités du périphérique indiquent les adresses
IP des interfaces.

Par exemple la .1 correspond à l’adresse : 192.168.1.1.
|Nous allons maintenant parler de l’impact des applications sur le réseau.
Les applications peuvent affecter les performances

du réseau et inversement, les performances du ré-
seau peuvent affecter les applications.
Il existe 3 types d’applications :
• |Il y’a les applications par lot :
En informatique, un traitement par lots est un enchaînement automatique

d'une suite de commandes sur un ordinateur sans aucune intervention hu-
maine.
|Les protocoles FTP et TFTP sont considérés comme des applications par
lots.
• |On a des applications interactives :
Ce sont des applications dans lesquelles l'utilisateur attend une réponse.
• |et il y’a des applications en temps réel :

Il s’agit de tout ce qui touche aux communications vocales et vidéos.
Elles aussi nécessitent une interaction humaine, et comme c’est en temps
réel, la bande passante est donc très critique, car un seul petit retard sur le
réseau peut causer plusieurs problèmes.
C’est pourquoi pour ce type d’application, on utilise une | « Qualité de ser-
vice », plus connu sous le nom de QOS.
La QOS permet de donner une priorité à certains types de données, par
exemple, pour la voix sur IP.
QUIZ
QUESTION 1
Chez nous, l’ensemble des périphériques qui sont connectés à notre box
internet forme un ?
LAN
WAN
QUESTION 2

Dans un schéma réseau, il est important d’identifier les interfaces de nos
périphériques. Le symbole « Fa » correspond à ?
Une interface série

Une interface Fast Ethernet
Une interface Gigabit Ethernet
QUESTION 3
Quel type de Topologie réseau est câblée en formant un cercle ?

(Ils ont donc deux voisins chacun)
Topologie maillée
Topologie par bus
Topologie en étoile
Topologie en anneau
QUESTION 4
C’est grâce à quel type de réseau, qu’on peut communiquer avec des per-
sonnes qui se trouvent à l’autre bout du monde.
Au LAN
Au WAN
QUESTION 5
Quelle est la plus fréquente des topologies ? (Un dispositif central relie les
ordinateurs et les autres périphériques du réseau. En général C’est très
souvent un switch)
Topologie maillée
Topologie par bus

Topologie en étoile
Topologie en anneau
COUCHE OSI ET PROTOCOLE TCP IP
MODÈLE DE RÉFÉRENCE OSI
Dans ce cours, on va parler du modèle de référence OSI !
| Les trois lettres OSI se traduisent en français par Interconnexion de sys-

tèmes ouverts.

Ce modèle a été mis en place par| l'ISO pour créer un standard de commu-
nications.
Comme ça, différents constructeurs peuvent

mettre au point des produits compatibles entre
eux.
|Il existe sept couches numérotées, qui illustrent une fonction réseau bien
particulière.
• La 1re couche est| La couche physique.

C’est elle qui définit la façon dont les données sont physiquement
converties en signaux numériques sur le média de communication.
Par exemple, ça peut être des impulsions électriques sur des câbles
réseau en RJ45 ou bien de la modulation de lumière pour de la fibre
optique.
• La couche 2 est| La couche liaison de données.

C’est elle qui gère les communications entre 2 machines directe-
ment connectées entre elles, ou connectées par un commutateur.
• La 3 est| La couche réseau,

qui gère l'adressage et le routage des données, c'est-à-dire leur
acheminement via le réseau.
• La 4 est| La couche de transport,

qui est chargée du transport des données, c’est-à-dire de leur dé-
coupage en paquets. Elle gère aussi les erreurs de transmission.
• La 5 est| La couche de session.

C’est elle qui définit l'ouverture et la fermeture des sessions de com-
munication entre les machines du réseau.
• La 6 est| La couche présentation,

elle est chargée du codage des données applicatives.
• Et la couche 7 est| La couche d'application,

c’est elle qui assure l'interface avec les applications. Il s'agit du ni-
veau le plus proche des utilisateurs.

Il est important de connaitre par cœur l’ordre des
couches, surtout pour comprendre le principe d’en-
capsulation et de décapsulations, que nous verrons
après.
Alors pour vous aider à les apprendre, il existe plusieurs moyens mnémo-
techniques pour se rappeler de l’ordre des couches du modèle OSI.
Par exemple de bas en haut on à la phrase : |Pour

Le Réseau Tout Se Passe Automatiquement.
Et de haut en bas, on à la phrase : |Après Plusieurs

Semaines, Tout respire la paix
Sur Google, on peut trouver d’autres phrases mnémotechniques, même
des plus délirantes, pour s’en rappeler facilement. Chacun y trouvera son
goût !
PROTOCOLE TCP / IP
|Passons maintenant au protocole TCP / IP, qui est en faite 2 protocoles

différents, mais comme ils sont souvent utilisés ensemble on à tendance à
penser qu’il s’agit que d’un protocole unique.

Il y’a |TCP, qui signifie « Protocole de contrôle de transmission » et| IP,
pour « Protocole Internet »
Il est très similaire au |Modèle OSI.
Lui aussi sépare également la communication en plusieurs couches, | sauf
qu’il n’en comprend que 4.
• |Il y’a la couche 1 qui se nomme « Link »

Elle est aussi appelée couche d'accès au réseau.
C’est l'équivalent| des couches physiques et données du modèle
OSI.
• |La couche 2 est La couche Internet,

elle correspond à la |couche 3 du modèle OSI.
Elle permet d'acheminer les données de la source vers la destina-
tion.
C'est la couche où le protocole IP fonctionne.
• |La couche 3 est La couche Transport,

qui correspond à la |couche 4 du modèle OSI
• |Et la couche 4 est La couche Application

elle correspond aux |couches 5, 6 et 7 du modèle OSI
Dans la suite du programme, nous parlerons des

communications entre deux PC et des processus
d’encapsulation et de décapsulation des paquets
IP.
QUIZ
QUESTION 1
Il est important de connaitre par cœur l’ordre des couches, surtout pour
comprendre le principe d’encapsulation et de décapsulations.

Il existe plusieurs moyens mnémotechniques pour se rappeler de l’ordre
des couches du modèle OSI.
En se basant sur la phrase, de bas en haut : « Pour Le Réseau Tout Se Passe
Automatiquement ».
Quelle couche du modèle OSI, se situe tout en bas ?
Session
Transport
Application
Physique
Réseau (Network)
Présentation
Liaison de données (Data Link)
QUESTION 2
Quelle couche, du modèle OSI, gère les communications entre 2 machines
directement connectées entre elles, ou connectées par un commutateur ?
Session
Transport
Application
Physique
Réseau (Network)
Présentation
QUESTION 3
TCP, signifie « Protocole de contrôle de transmission » et| IP, pour « Proto-

cole Internet ».
Il est très similaire au |Modèle OSI.
Il sépare la communication en combien de couches ?

7 couches
4 couches
QUESTION 4
Quelle couche, du modèle OSI, gère l'adressage et le routage des données,

c'est-à-dire leur acheminement via le réseau ?
Session
Transport
Application
Physique
Réseau (Network)
Présentation
QUESTION 5
Quelle couche du modèle TCP/IP, correspond à la |couche 3 du modèle

OSI, et permets d'acheminer les données de la source vers la destination ?
(C'est la couche où le protocole IP fonctionne)
La couche 1 « Link »
La couche 2 « Internet »
La couche 3 « Transport »
La couche 4 « Application »
COMMUNICATION PEER-TO-PEER
COMMUNICATION PEER-TO-PEER

Dans l’expression communication peer to peer, le mot « Peer » se traduit
en français par « Pairs ». Ce terme signifie l'égal d'une personne. Et dans le
domaine de l’informatique, ça se traduit par l’égal d’un objet !
En d'autres termes, chaque couche doit pouvoir

communiquer avec son égal de l'autre côté.
Pendant le processus de communication entre 2 périphériques, les proto-
coles de chaque couche s’échangent des paquets. Ces paquets d'informa-
tions s'appellent| PDU,
À chaque étape du processus, une PDU porte un nom différent d’une
couche à une autre.
Nous allons voir ensemble les différents termes qui sont utilisés dans le ré-
seau. Ces termes sont à connaitre par cœur, car on va les utiliser tout au
long de la formation.
A. |Le terme Data est utilisé dans la couche d'application
B. |Le terme Segment est pour La PDU de la couche transport
C. |Paquet: pour La PDU de la couche Internet
D. |Et Frame pour La PDU de la couche : liaison

Pour examiner les différentes PDU d'une communication peer to peer, on
peut utiliser un programme d'analyse de paquets, comme le fameux logi-
ciel| Wireshark, qui est gratuit et open source. Il est beaucoup utilisé, car
très utile, pour le dépannage du réseau.
ENCAPSULATION ET DÉCAPSULATION
|Maintenant, on va parler d’encapsulation et de décapsulation.
|Les informations transmises sur un réseau sont encapsulées à l’envoi et

décapsulées à la réception. On peut comparer cela aux poupées russes.
Pour donner une image, c’est comme ci on ouvrait

un| très grand cadeau dans lequel il y’a une boite.
Et à l’intérieur de cette boite, il y’a encore une plus
petite boite, et ce, jusqu'à ce qu’on n’arrive à son
cadeau.
ENCAPSULATION

|L’encapsulation fonctionne de manière similaire dans les modèles OSI et
TCP/IP .
|Les données utilisateur sont envoyées d’une application à la couche d’ap-
plication.
|La couche transport ajoute son entête de couche 4 aux données et la
transmet |à la couche Internet.
Cette dernière, ajoute sa propre entête de couche 3 et transmet les don-
nées à la couche en dessous, qui est la couche link, |qui se traduit en fran-
çais par liaison de données.
|Et la couche link ajoute à son tour, son entête de couche 2, et finalise le
tout avec un champ qui se nomme |FCS pour détecter si les données sont
erronées.
DÉCAPSULATION

|Et la décapsulation c’est l’effet inverse ! Lors de la réception du message,
le protocole travaille de bas en haut.
Le processus d'encapsulation est donc inversé à l'hôte qui reçoit les don-
nées.
|La couche Link vérifie le champ FCS pour voir s’il n’y a pas d’erreurs dans
les données.
Si les données ne sont pas bonnes, elle demandera une retransmission. Et
si les données sont bonnes, l’entête sera analysé par la couche 2 et les
données restantes seront |transmises à la couche Internet.
|Ensuite le processus de décapsulations reste iden-

tique aux couches suivantes.
QUIZ
QUESTION 1

tions s'appellent|PDU.

Quelle PDU est utilisée dans la couche d’application ?
Data
Segment
Paquet
Frame
QUESTION 2
Pour examiner les différentes PDU d'une communication peer to peer, on

peut utiliser un programme d'analyse de paquets, qui est gratuit et open
source.
Il est beaucoup utilisé, car très utile, pour le dépannage du réseau.
De quel logiciel s’agit-il ?
Packet Tracer
Wireshark
QUESTION 3

Quelle PDU porte le nom de Segment ?
La PDU de la couche d'application
La PDU de la couche transport
La PDU de la couche Internet

La PDU de la couche : liaison
QUESTION 4

Quel nom porte la PDU de la couche « Liaison »
Data
Segment
Paquet
Frame
QUESTION 5

Quelle PDU porte le nom de Paquet ?
La PDU de la couche d'application
La PDU de la couche transport
La PDU de la couche Internet
La PDU de la couche : liaison

RÉSUMONS LES BASES DU RÉSEAU
Dans ce cours, nous allons commencer par un rappel sur les bases réseau !
Un réseau est une collection de dispositifs et de systèmes, connectés les
uns aux autres et capables de communiquer les uns avec les autres.
Ça peut être :
• des ordinateurs,
• des serveurs,
• des smartphones,
• des routeurs, etc.
Un réseau peut très bien être grand comme Inter-

net ou bien petit, comme juste deux PC qui parta-
gent une même imprimante.
Parmi les composants qu’on peut y trouver :
• | Il y’a des PC : il s'agit d’un équipement de terminaison, qu’on trouve

aux extrémités d’un réseau. Il est capable d’envoyer et de recevoir
des données.

• |Il y’a Des Interconnexions : ce sont les composants qui garantissent
que les données peuvent voyager d'un appareil à un autre. Parmi ces
interconnexions, on y trouve :
➢ |Des cartes réseau : C’est elles qui traduisent les données de
votre ordinateur dans un format lisible pour le réseau.
➢ |Des Médias : Ce sont des câbles réseau, ou bien des appareils
sans fil comme le Wifi.
➢ |Et des Connecteurs : Il s’agit de la fiche qui se branche sur la
carte réseau.
Pour revenir aux composants:
• |Il y’a des commutateurs : ce sont des périphériques qui fournissent

une connexion réseau aux équipements de terminaisons comme les
PC.
• |Et il y’a des Routeurs : c’est eux qui ont le rôle d’interconnecter les
réseaux et de choisir le meilleur chemin pour chaque réseau de des-
tination.
|Sur ce schéma réseau, nous voyons un ordinateur connecté à un commu-

tateur, qu’on peut aussi appeler « Switch ». Du côté de ce dernier, vous
voyez la notation| «Fa0/1 », ce qui signifie que l'ordinateur est connecté à
l'interface Fast Ethernet 0/1 du côté du commutateur. Le « 0 » est le nu-
méro du contrôleur et le « 1 » est le numéro de port. | Notre commutateur
est connecté à un routeur à l'aide de son interface| Fast Ethernet 0/24. Et

Le routeur du bas a une connexion à Internet en utilisant une |interface sé-
rie.
Nous utilisons les réseaux au quotidien, par exemple pour :
• | Les applications : Comme l’envoi de données entre ordinateurs ou

bien le partage de fichiers.
• |Pour des ressources : Comme des imprimantes réseau ou bien des

caméras réseau.
• |Pour du stockage : Par exemple, avec l'utilisation d'un NAS, qui est
un serveur de stockage en réseau, qui permet de rendre disponible
un disque dur sur son réseau ou bien à travers internet. Aujourd’hui,
beaucoup de gens, en utilisent à la maison pour partager des fi-
chiers, des vidéos et des images entre ordinateurs.
• |Pour de la sauvegarde : En utilisant un serveur central de sauve-

garde sur lequel tous les ordinateurs envoient leurs données impor-
tantes à sauvegarder
• |Et pour de la VoIP : Qui signifie « voix sur IP ». La VOIP est utilisée de
plus en plus dans le réseau, c’est ce qui remplacera à terme, la télé-
phonie analogique.
Nous utilisons tous des applications au quotidien, que nous pouvons ré-
partir en |3 catégories :
• Il y’a les applications par lots (Batch applications)

➢ |Cela peut être du transfert de fichiers avec FTP ou TFTP. Ça
peut être aussi un téléchargement HTTP, ou bien une sau-
vegarde la nuit.
➢ |Il n’y a aucune interaction humaine.
➢ |Et une bande passante élevée est importante, mais pas cri-
tique.
Une application par lots est quelque chose que vous laissez tourner et qui
s’oublie très facilement puisque personne n'attend de réponses. Comme
une sauvegarde de nuit.
Que cela prenne 1 heure ou plusieurs heures, cela n’a pas d’importance.
Le TFTP, qui signifie « protocole simplifié de transfert de fichiers », est
comme une version "dépouillée" de FTP et est parfois utilisé pour copier
des fichiers entre routeur ou commutateur Cisco.

|La seconde catégorie est pour :
• Les applications interactives

➢ |Il s’agit d’application ayant une interaction d’homme à
homme
➢ |Ici quelqu'un attend une réponse. Le temps de réponse, le
délai, est donc important.
Comme exemple pour les applications interactives, on peut prendre deux
utilisateurs utilisant une application de chat. Si les utilisateurs doivent at-
tendre 1 minute entre chaque message, cela peut être assez pénible… C’est
pourquoi le délai est important !
|Et la troisième catégorie est :
• Les applications en temps réel

➢ |Il s’agit aussi d’une application ayant une interaction
d’homme à homme
➢ |Par exemple de la VoIP ou bien de la vidéoconférence en
direct.
➢ |Ici, le temps de réponse de bout en bout est encore plus
important !
Imaginez que vous parlez à quelqu'un au téléphone en utilisant de la Voix
sur IP, et que vous devez attendre 2 secondes avant d'entendre la réponse
de votre correspondant ... Cela peut vite devenir très ennuyeux de conti-
nuer la communication.
Tout ce qui est au-dessus de 300ms de retard, environs 1/3 de secondes,
ressemble plus à une conversation de « Talkie-Walkie » qu’autre chose !
La latence est donc très critique lors de l'utilisation

de la Voix sur IP ou de la vidéoconférence en direct.
Un retard supérieur à 150ms est perceptible. Ce qui correspond à 1/8 de
seconde.
LES DIFFÉRENTES TOPOLOGIES RÉSEAU

Dans les réseaux, nous avons différents types de «topologies» que l’on
peut classer en 2 catégories :
• |Les topologies physiques
• |Et les topologies logiques

Il y a une grande différence entre les deux.
La topologie physique est à quoi ressemble le réseau et aussi, comment
tous les câbles et périphériques y sont connectés.
Et la topologie logique est le chemin que prennent les signaux de données
à travers la topologie physique.
Parmi les topologies physiques:
• |On y trouve la Topologie en bus: les premiers réseaux étaient basés

sur des câbles coaxiaux. Il s’agissait d’un seul long câble et chaque
appareil y était connecté. À la fin du câble, vous deviez placer un ter-
minateur. Si le câble se brisait, le réseau était en panne.

• |Il y’a la Topologie en anneau (Ring) : Ici, tous les ordinateurs et péri-
phériques réseau sont connectés sur un même câble et les deux
derniers périphériques sont connectés les uns aux autres pour for-
mer un "anneau". Si le câble se brise, alors le réseau entier sera en
panne. Il existe aussi une configuration à double anneau, utilisé pour
de la redondance. C’est-à-dire que si le câble est détérioré alors le
réseau ne tombera pas, car il utilisera le second câble de secours.
• |Et on à la Topologie en étoile (Star) : Ici, tous les terminaux sont

connectés à un appareil central, ce qui créer une forme d’étoile.
C'est ce que nous utilisons le plus, dans les réseaux LAN. C’est-à-dire
que les ordinateurs sont tous raccordés à un commutateur.

Les connexions physiques utilisées sont des câbles UTP, plus connus
sous le nom de RJ45.
Dans cette topologie, si le commutateur au milieu tombe en panne,
alors, il n’y aura plus de connectivité entre les équipements qui lui sont
raccordés.
|Maintenant, voyons un autre exemple de topologie ou nous avons une

entreprise avec plusieurs sites dans différentes villes de France.

Dans cet exemple, chaque routeur est connecté à tous les autres rou-
teurs. Ce qui est une topologie très résistante en cas de panne, car si un
site tombe, cela n’aura pas d’influence sur les autres sites.
Le seul inconvénient à cette configuration, c’est que ça revient très
cher à mettre en place, car on a besoin de plusieurs liens entre les sites
et donc de plusieurs interfaces physiques sur chaque routeur.
C'est ce que nous appelons une topologie Full-

Mesh.
Une autre option consiste à s'assurer que les sites importants ont des
connexions avec tous les autres sites, | comme dans cet exemple :
Ici vous pouvez voir que le routeur de Paris a une connexion directe
avec les autres routeurs. Lille est seulement connecté à Paris et Lyon a
une connexion sur Paris et Marseille.
Cette topologie est un compromis entre la tolé-

rance de pannes et le coût.
MODÈLE OSI

Au début, le développement des réseaux était chaotique. Chaque fournis-
seur avait sa propre solution propriétaire. Le souci avec ça, c’était que la
solution d'un fournisseur n'était pas compatible avec celle d'un autre four-
nisseur !
C'est là que l'idée du modèle OSI est née, composé en plusieurs couches,
un fournisseur de matériel peut concevoir la couche réseau et d’autres
fournisseurs peuvent développer, à partir de celle-ci, la couche applica-
tive.
L'utilisation d'un modèle ouvert permet de construire des réseaux compa-
tibles les uns avec les autres.
L'Organisation internationale de normalisation, qui se nomme ISO, a fait
des recherches sur différents modèles de réseau et à publié en 1984 le mo-
dèle OSI.
De nos jours, la plupart des fournisseurs construisent des réseaux basés
sur le modèle OSI et comme cela, leurs matériels sont compatibles entre
eux!
Mais, le modèle OSI n'est pas simplement un modèle pour rendre les ré-
seaux compatibles… C'est aussi l'un des meilleurs moyens d'enseigner aux
gens le fonctionnement du réseau.

Il est composé de sept couches. Nous allons les voir en détail en commen-
çant du bas vers le haut.
• |La Couche physique : C’est elle qui contient des éléments

comme les niveaux de tension, la synchronisation, les débits,
connecteurs physiques, etc. Il s’agit de tout ce que vous pouvez
"toucher" puisque c'est physique.
• |La couche Liaison de données : s'assure que les données sont

correctement formatées. Elle prend en charge la détection des
erreurs et s'assure que les données sont bien fournies. C'est à ce
niveau qu’ "Ethernet" vit. Les adresses MAC et les trames Ethernet
se trouvent sur la couche Liaison de données.
• |La couche Réseau : prends en charge la connectivité et la sélec-

tion du chemin, c’est-à-dire le routage. C'est là ou vivent IPv4 et
IPv6. Chaque périphérique réseau a besoin d'une adresse unique
sur le réseau.
• |La couche Transport : prends en charge le transport.

Par exemple quand vous téléchargez n’importe quel type de fi-
chier sur internet, que ce soit un PDF ou une vidéo, le fichier sera
envoyé par segments et transporté vers votre ordinateur. C’est ici
que vivent les protocoles TCP et UDP. Pour rappel, TCP est un
protocole de transport de données fiable, tandis que UDP ne l’est
pas.
|Ces 4 couches que nous venons de voir sont im-

portantes pour la mise en réseau, | et les trois
couches supérieures, que nous allons voir, concer-
nent les applications.
• |La couche Session: prends en charge l'établissement, la ges-

tion et la terminaison des sessions entre deux hôtes. Lorsque
vous naviguez sur un site Web, vous n'êtes pas le seul utilisa-
teur du serveur Web qui héberge ce site. Il doit pouvoir tracer
toutes les différentes "sessions".
• |La couche Présentation: veille à ce que les informations soient

lisibles pour la couche application en formatant et en structu-
rant les données.

• |Et la couche Application: concerne les applications que vous
utilisez, par exemple l’Email, le navigateur web, FTP, et beau-
coup d’autres…
Il existe de nombreuses phrases mnémotechniques pour se rappeler de
l’ordre des couches OSI.
Par exemple de| bas en haut : Pour Le Réseau Tout

Se Passe Automatiquement.
Ou bien de| haut en bas : Après Plusieurs Semaines,

Tout Respire La Paix.
En faisant quelques recherches sur internet, vous pouvez trouver d’autres
phrases mnémotechniques assez drôles !
N'oubliez pas qu’il est impossible de passer directe-

ment de la couche Application à la couche Réseau.
Vous devez toujours parcourir toutes les couches
pour envoyer des données sur le réseau.
Prenons maintenant un exemple réel sur la transmission de données.
|À la couche 7, vous êtes assis derrière votre ordinateur et vous souhaitez
télécharger des fichiers d'un serveur Web.
Vous démarrez votre navigateur et tapez l'URL de votre site préféré.
Votre ordinateur enverra un message au serveur Web demandant la page
que vous souhaitez.
Vous utilisez donc le protocole HTTP qui réside sur la couche d'application.
|La couche de présentation va structurer cette information dans un certain
format.
|La couche session va s’assurer de bien séparer toutes les différentes ses-
sions.
|En fonction de l'application, soit ce sera TCP pour un transport fiable ou
UDP, pour un transport non fiable, qui sera utilisé. Dans ce cas, comme
vous voulez être sûr que la page web arrive bien sur votre ordinateur, ce
sera TCP.

|À la couche 3, votre ordinateur va construire un paquet IP, qui contiendra
toutes les données des couches : application, présentation et session.
Il va spécifier le protocole de transport à utiliser !
Dans ce cas, il s’agit de TCP !
Il va aussi renseigner l'adresse IP source et de destination. L’adresse IP
Source sera celle de votre ordinateur, et l’adresse IP de destination sera
celle du serveur Web.
| À la couche 2, le paquet IP sera placé dans une trame Ethernet, dans la-
quelle figureront l’adresse MAC source de votre ordinateur et l’adresse
MAC de destination du serveur WEB.
| Et enfin, à la couche1, tout est converti en bits et envoyé sur le câble en
utilisant des signaux électriques.
Il faut bien connaître l’utilité de l’ensemble des

couches du modèle OSI.
Prenons un autre exemple, celui d’un service postal :
• |D'abord vous écrivez une lettre.
• |Vous mettez la lettre dans une enveloppe.
• |Vous écrivez votre nom et le nom du destinataire sur l'enveloppe.
• |Vous mettez ensuite l'enveloppe dans la boîte aux lettres.
• |Le contenu de la boîte aux lettres sera envoyé au bureau de poste.
• |Ensuite, votre enveloppe sera livrée au destinataire.
• |Et pour finir, l’enveloppe sera ouverte par le destinataire qui lira son
contenu.
Si vous mettez votre lettre directement dans la

boîte aux lettres, sans avoir écrit le destinataire, elle
ne sera pas livrée. En réseau, ça fonctionne de la
même manière.
Passer de la couche application à la couche physique est ce que nous ap-
pelons : | l’encapsulation. Et le passage de la couche physique à la couche
application est appelé| : la desencapsulation.

Au cours d’une communication peer-to-peer, qu’on peut traduire en fran-
çais par communication d'égal à égal, chaque couche encapsule les don-
nées dans des paquets d'informations.
Nous appelons cela une| PDU, qui signifie unité de données de protocole.
Chaque PDU a un nom différent sur les différentes couches:
• |À la couche de transport, les PDU se nomment « segments ». Dans

ce cas, nous parlerons de Segments TCP.
• |À la couche réseau, les PDU se nomment « paquets ». Nous parle-

rons donc de paquets IP.
• |Et a la couche liaison de données, les PDU sont appelés « Trames »

ou Frames en Anglais. Nous parlerons donc de Trames Ethernet.
|En dehors du modèle OSI, une autre organisation a créé un modèle simi-
laire qui n'a jamais été aussi populaire.
Mais pour votre CCNA, vous aurez besoin de savoir à quoi il ressemble.
C'est ce qu'on appelle la| pile |TCP / IP, qui est très similaire, sauf que cer-
taines couches sont combinées et ont des noms différents.

Comme vous pouvez le voir, | les trois couches supérieures sont mainte-
nant combinées à la "couche d'application". |La couche réseau est appelée
couche "Internet" et les deux |couches inférieures sont combinées dans la
couche "Accès réseau".
QUIZ
QUESTION 1
Des Interconnexions, ce sont les composants qui garantissent que les don-
nées peuvent voyager d'un appareil à un autre.
Parmi ces interconnexions, quelle est celle qui permet de traduire les don-
nées de votre ordinateur dans un format lisible pour le réseau ?
Cartes réseau
Médias
Connecteurs

QUESTION 2
Quel composant est un périphérique qui fournit une connexion réseau aux
équipements de terminaisons comme les PC ?
Commutateurs
Routeurs
QUESTION 3
Quel type de topologie est le chemin que prennent les signaux de don-
nées à travers la topologie physique ?
La topologie physique
La topologie logique
QUESTION 4
Topologie en bus, Topologie en anneau (Ring), Topologie en étoile (Star) et

Topologie Full-Mesh, sont des topologies de type ?
Physique
Logique
QUESTION 5
Quelle couche, du modèle OSI, veille à ce que les informations soient li-
sibles pour la couche application, en formatant et en structurant les don-
nées ?
Présentation
Session
Application

LAN
Un LAN c’est un réseau d'ordinateurs et d'autres composants qui sont si-
tués relativement proche les uns des autres.
| Le LAN peut très bien comprendre deux ordinateurs dans un bureau, que
ce soit à domicile ou bien dans une petite entreprise, | comme il peut être
composé de centaines d'ordinateurs situés dans plusieurs bâtiments.
Contrairement aux WAN ,Le LAN, à un taux de transfert de données qui
est plus élevé, pour une zone géographique plus petite .
Aujourd'hui, un petit bureau comprend au minimum :
• |un routeur pour la connectivité Internet
• |des bornes wifi
• |des imprimantes
• |des Serveurs
• |des PC
• |des portables
• |Et des switchs

Pour son bon fonctionnement, dans un LAN on y trouve :
• |des Hôtes:
Cela inclut tout équipement qui peut envoyer ou recevoir des données sur
le réseau local.
Par exemple des PC’s ou des serveurs
• On y trouve| Des Interconnexions:

Cela permet aux données de se déplacer d'un point à l'autre dans le
réseau. Alors, parmi les interconnexions il ‘ya 2 types de composants
:
o |Il y’a, ce qu’on appel la NIC qui se traduit en français par
« carte réseau ».
Elle permet de traduire les données produites par l'ordinateur
dans un format qui peut être transmis sur le réseau local.
o |Et il y’a les Médias réseau qui peuvent être des câbles en
cuivre ou de la fibre optique.
|De plus en plus, on y trouve aussi de la connectivité sans fil, comme le
WIFI.
• Dans un LAN, on à |des périphériques réseau:

comme des switchs ou des routeurs.
C’est eux qui sont responsables de la livraison des données entre les hôtes.
• |Et on y trouve des Protocoles:

Ce sont des processus qui permettent d’établir une bonne commu-
nication entre plusieurs ordinateurs ou des périphériques reliés en
réseau.
Parmi les protocoles LAN les plus couramment utilisés il y’a :
• |Le Protocole Ethernet.

Il sert pour la commutation de paquets
• |Il y’a le protocole IP qui sert à utiliser internet
• |Le protocole TCP, qui contrôle la transmission de données. Ce qui

permet d’établir une communication plus sure.
• |On a le protocole UDP qui permet aussi la transmission de données

entre deux périphériques comme TCP, sauf qu’il n’en garantit pas la

bonne livraison. Et il ne s’occupe pas non plus de savoir s’ils sont ar-
rivés dans le bon ordre.
UDP est principalement utilisé pour la téléphonie sur IP et les jeux en
ligne.
• |On a le protocole ARP qui permet de connaitre l’adresse physique

d’une carte réseau à partir de son adresse IP.
• Le protocole RARP qui est beaucoup moins utilisé produit l’effet in-
verse, c’est-à-dire que c’est une sorte d’annuaire inversé des
adresses logiques et physiques.
|Une adresse logique correspond à l’adresse IP et|

l’adresse physique correspond à l’adresse MAC
Pour revenir à nos protocoles,
• |on a CIFS qui est un protocole de serveur de fichiers. Il permet

d’établir des liaisons permanentes entre un client et un serveur. Il est
utilisé que sur Windows.
Sur Unix, on parle du protocole NFS.

• |Et il y’a le protocole DHCP qui sert principalement à distribuer des
adresses IP sur un réseau.
QUIZ
QUESTION 1
C’est un réseau d'ordinateurs et d'autres composants qui sont situés relati-

vement proche les uns des autres. Qui suis-je ?
LAN
WAN
QUESTION 2

Qu’est-ce qui permet de traduire les données produites par l'ordinateur
dans un format qui peut être transmis sur le réseau local ?
La NIC
Les médias réseau
QUESTION 3
Qui est responsable de la livraison des données entre les hôtes ?

Les Périphériques réseau
Les Protocoles
QUESTION 4
Qui à un taux de transfert de données plus élevé, pour une zone géogra-
phique plus petite ?
Le WAN
Le LAN
QUESTION 5
Quel protocole permet de connaitre l’adresse physique d’une carte réseau

à partir de son adresse IP ?
Le protocole IP
Le protocole TCP
Le protocole UDP
Le protocole ARP
Le protocole RARP
MÉDIAS DE CONNEXION LAN ETHERNET

Pour connecter un switch à un réseau local, il faut utiliser, ce qu’on appelle
un média.
Le média LAN le plus courant est Ethernet.
Ethernet n'est pas seulement un type de câble ou de protocole.
| C'est un standard réseau que l'I3E a publié.
Il est donc très fréquent d’entendre plusieurs termes comme :
• protocoles Ethernet,
• câbles Ethernet,
• ports Ethernet
• et aussi switch Ethernet.

Les normes Ethernet recommandent différents types de câbles tout en
spécifiant des longueurs maximales à ne pas dépasser pour chaque type.

La 1re colonne du tableau correspond au nom de ces normes.
Par exemple, dans le nom| standard 10BASE-T , | le "10" spécifie une vi-
tesse de transmission de 10 Mégas, | le mot "base" se réfère à la signalisa-
tion, c’est-à-dire que seuls les signaux Ethernet sont portés sur ce support,
|et la lettre " T "représente le câblage à paire torsadée.
D’ailleurs le faite, que les pairs soient torsadés dans

le câble,cela permet d’éviter les interférences.
En Ethernet, il existe différents types de support physique :

• |on a le Coaxial
• |La Paire de cuivres torsadée
• |la fibre optique
• |et le sans-fil
La plupart des réseaux Ethernet utilisent le câblage en cuivre torsadé pour

les petites distances, car ils reviennent moins cher, qu’une fibre optique ou
un câble coaxial.
Il existe plusieurs types de câbles à pairs torsadés :
• |Le type UTP correspond à un câble sans aucun blindage qui l’en-
toure.
• |Dans un câble FTP, l’ensemble des 4 pairs sont entourés par un

feuillage en aluminium.
• |Et en STP, le blindage se fait sur chaque pair du câble et l’ensemble

est aussi entouré d’une protection.
Les câbles cuivrés sont répartis en plusieurs catégories.
• |La Catégorie 1 est utilisée pour les communications téléphoniques,

elle n’est pas adaptée à la transmission de données
• |La 2 est capable de transmettre des données, à des vitesses pou-

vant aller jusqu'à 4 Mégas
• |La 3 peut aller jusqu'à 10 Mégas
• |La 4 , jusqu'à 16
• |La 5 va jusqu'à 100 mégas
• |La 5e: jusqu'à 1 Giga
• |Et les Catégories 6, 6a et 7: peuvent transmettre des données à des

vitesses pouvant aller jusqu'à 10 Gigas
CONNECTEUR RJ-45

|Les câbles réseau sont utilisés avec des connecteurs RJ-45.
La prise mâle, qui est celle de gauche, est utilisée pour le jarretiérage, ou
pour connecter un pc à la prise du bureau.
Et la prise femelle celle de droite, se câble pour équiper les bureaux ou les
répartiteurs.
Il existe deux types de câbles réseau. | LE câble

droit et| le câble croisé.
Les câbles droits sont principalement utilisés pour connecter des périphé-
riques différents, tandis que des câbles croisés sont utilisés pour connec-
ter des périphériques similaires. Pour distinguer les deux types de câblage,
il faut maintenir les extrémités du câble l'un à côté de l'autre.
Si les couleurs correspondent de gauche à droite,

alors c’est un câble droit, et à l’inverse si les cou-
leurs ne correspondent pas, alors c’est un câble
croisé.
Un câble droit s’utilise pour connecter des dispositifs différents, c’est-à-

dire des équipements qui fonctionnent à des couches réseau différentes,
|par exemple :

• entre 1 switch et un routeur,
• entre switch et PC,
• Switch et serveur,
• Hub et PC
• ou bien hub et serveur

Et un câble croisé s’utilise pour connecter des dispositifs similaires qui tra-
vaillent à la même couche réseau, |comme :
• 2 switchs,
• 2 hubs,
• 2 routeurs,
• 2 PC,
• un switch et un hub,
car ce sont des dispositifs de couche 2,
• et aussi entre un routeur et un PC,

car ils travaillent tous les deux sur la même couche. La couche 3 !
FIBRE OPTIQUE
|Passons maintenant à la fibre optique.

Une fibre optique est flexible et transparente.
Elle est faite de verre qui se nomme silice, et n'est pas beaucoup plus
grand qu’un cheveu humain.
Elle est principalement utilisée dans la communication, car elles permet-
tent une transmission sur des distances beaucoup plus longues et aussi
des vitesses beaucoup plus élevées que les autres médias.
De plus les fibres sont immunisées contre toute sorte de parasites, ce qui
évite les pertes.
Les deux composants de la fibre, qui permettent de faire circuler de la lu-
mière, sont le noyau et la gaine.
La majeure partie de la lumière se déplace du début à la fin à l'intérieur du
noyau.
Sur l’image on peut voir un noyau avec un diamètre de 9 micromètres.
Pour comparer, le diamètre des cheveux humains

est d'environ 50 micromètres.
Le diamètre extérieur de la gaine a une taille standard de 125 micromètres.
Comme ça, les fabricants de composants peuvent créer des connecteurs
pour tous type de câbles.
Le troisième élément que l’on voit sur cette image est le buffer.
C’est une sorte de revêtement, qui n'a rien à voir avec le confinement de la
lumière dans la fibre.
Son seul but est de protéger le verre des rayures et de l'humidité.

Car une fibre se casse ou se raye très facilement. Et
en plus l’eau et l’humidité lui sont très néfastes.
|Voyons maintenant les 2 Types de fibres : le Single mode et le multi
mode.
La différence entre les deux, c’est la capacité de la fibre à envoyer de la lu-

mière sur une longue distance à des débits élevés.
En général, le multimode est utilisé pour des distances plus courtes avec
un débit bien inférieur au single mode.
Pour les communications plus longues, on verra plutôt du single mode.
Sur l’image qui représente les 2 modes, on voit que la principale différence
est la taille du noyau.
Le single mode coute plus chers que le multi mode.

| Et la dernière chose à voir sur les fibres est les connecteurs.
Divers connecteurs à fibre optique sont disponibles.

Les principales différences sont les dimensions et la manière de les bran-
cher.
Il existe actuellement environ + de 70 types de connecteurs.

Parmi les connecteurs les plus communs, nous avons:
• |Les connecteurs « ST », qui sont utilisés pour les panneaux de rac-

cordement. C’est un connecteur très solide.
• |Les connecteurs « FC » sont pour les panneaux de connexion, et

sont utilisés par les fournisseurs de services
• |Les connecteurs « SC » sont pour l'équipement de l'entreprise
• | Et les connecteurs « LC » sont eux aussi destinés aux entreprises,

mais sont plutôt utilisés sur| les modules SPF, C’est un module qui
permet de relier par exemple deux switches avec une jarretière de
fibre optique.
QUIZ
QUESTION 1
Dans le nom| standard « 10BASE-T » , | le "10" spécifie ?
La signalisation

Le câblage à paire torsadée
La vitesse de transmission
QUESTION 2
Le faite, que les pairs soient torsadés dans un câble Ethernet, permet ?
D’ajouter des interférences
D’éviter les interférences
QUESTION 3
Quel type de câble à pairs torsadé contient un ensemble de 4 pairs entou-

rés par un feuillage en aluminium ?
Le type UTP
Le type FTP
Le type STP
QUESTION 4
Les câbles cuivrés sont répartis en plusieurs catégories.

Quelle catégorie est capable de transmettre des données, à des vitesses
pouvant aller jusqu’à 1 Giga ?
La Catégorie 1
La Catégorie 2
La Catégorie 3
La Catégorie 4
La Catégorie 5
La Catégorie 5 e
La Catégorie 6
La Catégorie 6 a
La Catégorie 7

QUESTION 5
Quel type de câble s’utilise pour connecter des dispositifs différents, c’est-
à-dire des équipements qui fonctionnent à des couches réseau diffé-
rentes ?
Câble droit
Câble croisé
TRAME ETHERNET
STRUCTURE D’UNE FRAME ETHERNET
Voici à quoi ressemble une trame Ethernet.
Les données sont transmises sur un réseau local Ethernet à travers ce

qu’on appelle une Frame.

| En français cela se traduit soit par le mot Trame ou
aussi par le mot Cadre .
Une trame est un conteneur dans lequel les données sont placées pour la
transmission. Elle contient de nombreuses informations.
Parmi les champs les plus importants, on trouve:
• |Le champ Préamble : qui se compose de 8 octets et permet de syn-

chroniser les signaux entre deux ordinateurs.
• |Il y’a l’adresse de destination c’est-à-dire là ou le paquet sera en-

voyé.
• |L’adresse source est l’adresse de la machine qui a émis le paquet.
• |Le champ Type: contiens un code qui identifie le protocole de

couche réseau.
• |Le champ Data: contiens les données de la couche réseau, de l’ordi-

nateur qui émet.
• |Et le champ FCS: permet de contrôler que le paquet à bien été

transmis sans erreur.
ADRESSES MAC
|On va maintenant parler des adresses MAC !
Tous les périphériques réseau doivent avoir une

adresse MAC unique.
L'adresse MAC est une adresse qui est gravée dans la carte réseau .
On l’appelle aussi| adresse physique ou BIA.
Elle est exprimée en groupes de chiffres hexadécimaux |qui sont organisés
par 2 ou par 4.
|L’hexadécimal est un système de numérotation avec une base de 16. Cela
signifie qu'il utilise 16 symboles composés de chiffres et de lettres. Les
symboles en hexa vont de 0 a 9 et de A à F, ce qui donne un total de 16
symboles. Chaque chiffre en hexa a une longueur de 4 bits.

| Comme une adresse MAC comprend 12 chiffres hexadécimaux, elle fait
donc 48 bits.
L’adresse MAC est composée de deux partis :
• |Une partit de 24 bits qu’on appelle la OUI : qui permet d’identifier le

fabricant de la carte.

• |Et une autre partit, elle aussi de 24 bits qui sont attribués par le
fournisseur. De cette manière, cela permet d’identifier de manière
unique la carte réseau.
Contrairement aux adresses IP, l'adresse MAC ne

doit pas être modifiée , à moins qu'il y ait un besoin
très spécifique de le faire.
|Passons maintenant, au type de communication réseau.
Les 3 types les plus communs sont :
• le Unicast ,
• le broadcast
• et le multicast.
| Dans une communication Unicast: La trame est envoyée depuis un hôte

et est adressée à une destination spécifique. Il n'y a qu'un seul émetteur et
un seul récepteur.
Par exemple, quand on fait un Ping, on s’adresse qu’a une seule et unique
machine.
C’est le type de communication que l’on voit le plus souvent dans les ré-
seaux locaux et internet.

|Dans une communication Broadcast:, la trame est envoyée d'une adresse
à toutes les autres adresses. Dans ce cas, il n'y a qu'un seul expéditeur,
mais les informations sont envoyées à toutes les machines connectées.
|Et dans une communication Multicast : les informations sont envoyées à
un groupe spécifique de périphériques ou de clients. Contrairement au
broadcast, ici, |les clients doivent être membres du même groupe de dif-
fusion pour recevoir les informations.
|Voyons maintenant le chemin d’une trame Ethernet.
Le switch construit et maintient une table qu’on appelle la table MAC :

c’est une table de correspondance qui contient les mac adresse rattachée
au port du switch.
La table MAC est stockée dans| la CAM.
C’est une mémoire qui permet de faire des recherches très rapides.
Pour chaque Trame qui arrive dans un switch, le champ de l’entête qui
correspond à l’adresse MAC de destination est comparé à la liste des
adresses de la table Mac du switch. Ensuite la trame sera envoyée sur le
port appartenant à la même mac adresse.
Le switch maintient à jour sa table Mac, en analysant les Trames, qui vien-
nent des autres périphériques.

Quand une trame arrive, il note la mac adresse source avec le numéro de
port d’où il vient.
Pour mieux comprendre, nous allons voir le processus complet d’une
trame.
Prenons comme exemple que le PC A souhaite communiquer avec le PC B

et que le switch vient d’être démarré, ce qui signifie que sa table de mac-
adresse est vide.
|Dans le champ « adresse source » de la trame sera inscrit l’adresse Mac du
PCA et dans la destination, ce sera l’adresse Mac du PC B
|En 1er le switch reçoit donc une Trame du PC A sur son port Fast Ethernet
0/1.
|Comme la table de Mac-adresse du switch est vide, il en profite pour y
mettre l’adresse source de la trame avec le port ou il la reçut.
Ensuite le switch vérifie sa table pour trouver une correspondance avec
l'adresse MAC de destination de la Trame qu’il reçoit.
Comme L’adresse de destination du PC B n'est pas connue de sa table|, il
envoie donc la Trame à tous ces ports, à l'exception du port sur lequel il l’a
reçu.
Dans ce cas, on dit qu’il inonde le réseau ou bien qu’il flood le réseau, pour
savoir à qui est destiné la Trame

|Le périphérique qui possède l'adresse MAC correspondante répond au
switch avec une Trame unicast adressée directement au PC A.
| comme cette trame traverse le switch, il en profite aussi pour inscrire
l’adresse mac source de cette trame dans sa table mac avec le numéro de
port qui correspond.
L'adresse de destination de la trame et son port as-

socié se trouve désormais dans la table MAC.
Maintenant, le switch sait que pour joindre l’adresse mac du PC A, il faudra
passé par le port 0/1 et que pour joindre le PC B ça sera par le port 0/3.
Il pourra donc transférer des trames entre ces 2 pé-

riphériques sans inonder ou flooder le réseau.
QUIZ
QUESTION 1

Dans une Frame Ethernet, qu’est ce qui permet de contrôler que le paquet
à bien été transmis sans erreur ?
Le champ Préamble
Le champ Data
Le champ FCS
QUESTION 2
Adresse, gravée dans la carte réseau.

Qu’on appelle aussi : adresse physique ou BIA.
Et qui est exprimée en groupes de chiffres hexadécimaux, organisés par 2
ou par 4.
Qui suis-je ?
Adresse MAC
Adresse IP
QUESTION 3
Une adresse MAC comprend 12 chiffres hexadécimaux.
Elle fait donc ?
32 bits
48 bits
128 bits
QUESTION 4
L’adresse MAC est composée de deux partis.

Quelle partie de 24 bits permet d’identifier le fabricant de la carte ?
OUI
Vendor Assigned
QUESTION 5

Les 3 types de communications les plus communs sont :
• le Unicast
• le broadcast
• et le multicast.
Dans quel type de communication, la trame est envoyée d'une adresse à
toutes les autres adresses ?
(Il n'y a qu'un seul expéditeur, mais les informations sont envoyées à
toutes les machines connectées)
Unicast
Broadcast
Multicast
POUR RÉSUMER : MÉDIA ETHERNET
Un réseau qui se situe dans un seul bâtiment est ce que nous appelons un |
réseau local ou un LAN.
Et si vous utilisez une connexion avec un fournisseur de services Internet
pour connecter votre réseau à un autre bâtiment, alors nous parlons ici
d'un |réseau étendu, plus connu sous le nom de réseau WAN.

Le réseau local n'a rien à voir avec la taille, donc un
réseau avec 2 PC est un LAN aussi performant que
5 000 PC dans un même bâtiment.
Ethernet est le protocole que nous utilisons sur notre réseau local.
On le trouve principalement |sur la couche « liaison de données » du mo-
dèle OSI, mais il est divisé en deux sous-couches :
• |Il y’a la sous-couche LLC, c’est lui qui s'occupe de la structure de la trame.
• |Et la sous-couche MAC, qui définit le protocole d'accès au support.
La sous-couche MAC est la partie la plus intéressante pour nous.

Chaque périphérique sur notre LAN a un identifiant unique sur la couche :
liaison de données, il s’agit de notre "adresse MAC".
|Une adresse IP est un identifiant unique sur la

couche réseau (la couche 3), |et l'adresse MAC est
aussi un identifiant unique, mais sur la couche liai-
son de données (la couche 2).
Il y’a bien longtemps, tous les ordinateurs d’un même réseau étaient con-
nectés à un seul long câble |coaxial noir,
C’était notre support physique. La topologie utilisée à cette époque avec
ce type de câble était une| topologie en bus.
Un réseau comme celui-ci était semi-duplex, ce qui signifie qu'un seul or-
dinateur pouvait envoyer du trafic et que les autres devaient attendre. De
nos jours, nous avons du full-duplex, c’est-à-dire que tous les appareils
peuvent envoyer et recevoir en même temps !

Dans cet exemple, si deux ordinateurs envoient des données au même
moment, il se produit une collision… Les signaux électriques rebondissent
les uns sur les autres et la transmission est perdue.
On pouvait également voir des topologies| en étoile qui utilisait un HUB.
Le problème avec le hub, c’est que ce n'est rien d'autre qu'un répéteur
électrique. Si vous utilisez un hub pour votre réseau, non seulement, il
fonctionnera en half-duplex, mais en + vous aurez certainement des colli-
sions !
Un Hub ou concentrateur n'est pas la même chose

qu'un commutateur.
Pour revenir à notre sous-couche MAC, si vous utilisez un réseau en half-
duplex, nous devons nous assurer qu’une solution pour éviter les collisions
est mise en place. Cette solution s'appelle |CSMA / CD.
Cette méthode permet de définir comment une

machine va utiliser le média sur laquelle elle est
connectée.
Le mode de fonctionnement du half-duplex est comparable à celui des
talkies-walkies. Si on veut communiquer, on appuie sur le bouton et on
parle. Et pendant ce temps, les autres nous écoutent et ne parlent pas,
c’est-à-dire que vous êtes le seul à utiliser le canal, ou le “média” de com-
munication. Et bien c’est pareil avec la méthode CSMA/CD, quand une
carte réseau envoi des données, les autres cartes écoutent seulement et
ne parle pas!
|Passons maintenant à la Trame Ethernet.

Ici, les champs les plus importants sont| l’adresse de destination et
l’adresse source. C'est là que les adresses MAC s'intègrent.
|Dans les 2 premiers champs y figure une chaîne de 0 et de 1 alternatif

pour indiquer au récepteur qu'une trame Ethernet est entrante.
|le champ « Longueur » correspond à la taille de notre trame Ethernet,
|Le champ entête et data est là où les données s’intègrent
| Et à la fin, on trouve le champ FCS, qui permet de voir si la frame est OK
ou corrompu.
|Une adresse MAC est composée de 48 bits :
|Le champ « BC » est synonyme de broadcast; si votre trame Ethernet est

un broadcast, alors ce bit sera à « 1 »
|Le champ « local » doit être défini lorsque vous souhaitez modifier votre
adresse MAC. Une Mac adresse est unique dans le monde. Si vous faites
une modification dans ce champ, l’impact ne sera que local, c’est-à-dire
uniquement sur votre réseau.

|Le champ « OUI » permet d’identifier le constructeur parmi ses concur-
rents.
|Et les 24 derniers bits sont une valeur définie par le constructeur pour
rendre unique cette adresse MAC parmi toutes ses cartes réseau.
L’ adresse MAC s’écrit en hexadécimal. |Voici un exemple d’une Mac
Adresse :
Passons maintenant aux différents types de câbles qui existent…

Vous avez probablement déjà vu des |câbles UTP. Il en existe deux types :
• |Des câbles droits
• |Et des câbles croisés

|Voici un connecteur RJ45 d’un câble droit :
|Et le voici d’un câble croisé :

La différence est la façon dont les fils sont connectés dans la prise RJ-45.
Un câble droit a la même disposition des fils, des deux côtés.
Et un câble croisé contient 2 inversions de fils, que d’un seul coté !
Le fils 1 est inversé avec le 3. Et le fils 2 avec le 6.

|Un câble droit sert à connecter deux terminaux différents, par exemple,
un PC à un switch ou bien un Switch à un routeur.
|Et un câble croisé permet de connecter deux terminaux de même nature,

par exemple un PC avec un PC, de switch à switch ou de routeur à routeur.
La dernière chose qu’on pourrait voir sur les types de câbles est le| câble
rollover :
Il s’agit du câble qui permet de configurer un commutateur ou un routeur,

depuis son PC.
QUIZ
QUESTION 1

Ethernet est le protocole que nous utilisons sur notre réseau local.
On le trouve principalement |sur la couche « liaison de données » du mo-
dèle OSI, et il est divisé en deux sous-couches.
Quelle sous-couche définit le protocole d’accès au support ?
La sous-couche LLC
La sous-couche MAC
QUESTION 2
Quel type d’adresse est un identifiant unique sur la couche réseau (la
couche 3) ?
Adresse IP
Adresse MAC
QUESTION 3
Quel type de réseau permet à tous les appareils d’envoyer et recevoir en

même temps ?
Semi-duplex
Full-duplex
QUESTION 4
La différence entre un câble droit et croisé est la façon dont les fils sont
connectés dans la prise RJ-45.
Quel type de câble contient 2 inversions de fils, que d’un seul coté ?
Câble droit
Câble croisé
(Le fils 1 est inversé avec le 3. Et le fils 2 avec le 6)

QUESTION 5
Quel type de câble permet de configurer un commutateur ou un routeur,

depuis son PC ?
Câble droit
Câble croisé
Câble rollover
TCP ET UDP
LA COUCHE DE TRANSPORT AVEC TCP ET

UDP
La couche Transport est utilisée pour configurer une connexion afin de

pouvoir échanger des données entre périphériques réseau.
Les 2 protocoles de transport qui sont le plus fréquemment utilisés sont :
• | TCP
• |Et UDP
La différence entre les deux est que :

• |TCP est un protocole fiable.
• |UDP est un protocole non fiable.
Alors pourquoi UDP serait-il aussi important, alors

que TCP est + fiable ?
Admettons que vous souhaitez télécharger sur internet un film en full HD
qui fait 20 GO.
Imaginez qu’au bout de 10GO, quelques paquets ne parviennent pas sur
votre PC. Et bien une fois téléchargé, votre fichier serait corrompu et cer-
tainement impossible à ouvrir.
C’est pourquoi dans ce cas, on utilisera plutôt le protocole TCP,
afin de s’assurer que le transport de votre téléchar-

gement sur votre PC soit fiable.
Prenons maintenant un autre exemple : vous êtes ingénieur réseau, et

vous vient à l’idée d’utiliser une solution de téléphonie sur IP pour rempla-
cer vos bons vieux téléphones analogiques.
On aurait tendance à penser qu’il faudrait utiliser un transport fiable
comme TCP, pour nos communications téléphoniques.
Et bien se serait une mauvaise idée… car comme TCP corrige les erreurs,
cela signifie que les données qui ne sont pas parvenues entre deux télé-
phones seraient retransmises…
Si dans une communication, vous entendez

quelque chose de votre correspondant, qu’il l’aurait
dit, quelques secondes auparavant, la communica-
tion risque d’être très étrange…
Comme il s’agit d’une communication en temps réel, nous ne vou-

lons pas de retransmission.
Il vaut mieux perdre quelques paquets VOIP, que

de les recevoir en retard.
C’est pourquoi dans cet exemple le protocole UDP est le plus approprié.

|TCP est un protocole de transport orienté connexion, ce qui signifie qu'il
va établir une connexion, avant de transférer des données.
UDP est un protocole « sans connexion », il envoie donc directement les
données sans ce soucier s’il arrive ou non.
Le séquençage signifie que nous utilisons un numéro de séquence, c’est-
à-dire que les paquets sont numérotés pour s’assurer de les retrouver dans
le bon ordre à l’arrivée.
Le protocole UDP n'a pas cette fonctionnalité.
|Voici à quoi ressemble une en-tête UDP:
C’est grâce au numéro de port source et destination qu’on sait pour quel
type d’application le paquet est destiné.
Le champ « Checksum » qui se traduit littéralement par : « Somme de con-
trôle » ou qui est aussi appelé « Emprunte », est un nombre, ajouté au pa-
quet à transmettre, pour permettre au récepteur de vérifier que le mes-
sage reçu est bien celui qui a été envoyé.
|Pour résumé, le protocole UDP :
• |Fonctionne sur la couche de transport du modèle OSI.
• |C’est un protocole sans connexion, c’est-à-dire qu’il envoie juste des

données.
• |Les erreurs sont tout de même limitées grâce au champ « Check-

sum » de son en-tête.

• |C’est un protocole qui fournit son meilleur effort sans pour autant
être fiable.
• |Et il n’y a aucune fonctionnalité permettant de récupérer des don-

nées qui auraient été perdues.
|Voyons maintenant les détails du protocole de transport TCP. Comme il
est fiable, il va "configurer" une connexion avant de commencer à envoyer
des données.
|Cette connexion se fait en trois étapes.
Prenons l’exemple du PC A qui veut envoyer des données au PC B de ma-

nière fiable. Nous allons donc utiliser TCP.
|En premier le PC A, enverra un message TCP « SYN », pour indiquer au PC

B qu'il veut établir une connexion.
Dans l’exemple le numéro de séquence est le « 1 ».

|Ensuite, Le PC B répondra au PC A, en envoyant un message « SYN, ACK ».
Le numéro de séquence est 100. Il s’agit d’un nombre aléatoire.
Et le ACK est égal à 2, ce qui signifie qu'il reconnaît bien avoir reçu le 1er
message du PC A,qui portait le numéro 1, et qu'il est prêt pour le message
suivant.
|Et dans la dernière étape, le PC A enverra un accusé de réception vers le

PC B. Dans l’exemple, il envoie un « ACK=101 », ce qui signifie qu'il recon-
naît bien le numéro de séquence « 100 » du PC B.
Alors pour résumer et simplifier un peu les choses :
• |Le PC A envoie un TCP SYN. Pour dire au PC B qu’il veut lui parler.
• |Ensuite le PC B envoie un TCP SYN, ACK, pour informer le PC A qu’il

accepte de l’écouter et en même temps, lui dit qu’il veut aussi lui
parler.
• |Et pour finir, Le PC A envoie un accusé de réception TCP. C’est-à-

dire qu’il accepte à son tour d’écouter le PC B.
Maintenant que la connexion est établie, les don-

nées peuvent être envoyées.
Nous allons désormais parler d’une fonctionnalité que dispose le protocole

TCP.
C’est le « contrôle de flux » plus connu sous le nom de « Flow Control »
cela permet d’éviter d’envoyer trop de données que le récepteur ne pour-
rait gérer…
Dans chaque segment TCP, le récepteur peut spécifier combien de don-
nées en octets il veut recevoir, pour ne pas être débordé ou surchargé...
Continuions notre exemple :

|Le PC A à bien établit une connexion en 3 étapes avec le PC B.
Il envoie 15 octets de données. Ici le numéro de séquence est « 10 ».
|Le PC B va répondre en envoyant un "ACK = 11" qu’on pourrait traduire

par :
"merci j'ai reçu vos 15 octets, maintenant envoyez-

moi le reste".
TCP est un protocole fiable, c'est pourquoi l’ensemble des paquets
échangé est tracé.
Plus la taille des données est grande, et plus votre

débit sera élevé. Ce qui est logique, car on envoie
moins d'ACK que de données.
|TCP est un protocole assez complexe, par exemple, |rien que son en-tête
comporte beaucoup plus de champs que celle de UDP.

Comme pour UDP, il y’a un champ pour les ports sources et de destina-
tions. Toujours utilisé pour déterminer le type d’application.
On voit que 32 bits sont utilisés pour les numéros de séquence, et juste en
dessous, il y a aussi 32 bits pour l'accusé de réception.
Le champ "Flags" est l'endroit où TCP définit les différents types de mes-
sages comme le "SYN" ou le "ACK".
Le champ « window size » est la taille de la fenêtre, c’est là, où est spécifié
le nombre d'octets de données qui sera envoyé avant de recevoir l’accusé
de réception à l’autre bout.
Et pour finir, il y a le champ checksum, qui permet de contrôler que les
données n’ont pas étées perdu…
|Pour résumer, TCP :
• |est un protocole fiable.
• |Avant d'envoyer des données, il établit une connexion en 3 étapes.

• |Après avoir envoyé une certaine quantité de données, un accusé de
réception (ACK), validera la bonne réception à l’autre bout.
• |Pour éviter la surcharge, un nombre limité d’octets est envoyé.
• |Et il peut effectuer des retransmissions en cas d’erreurs.
QUIZ
QUESTION 1
Quelle couche est utilisée pour configurer une connexion afin de pouvoir
échanger des données entre périphériques réseau ?
La couche application
La couche physique
La couche de transport
La couche Liaison de donnée
QUESTION 2
Les 2 protocoles de transport qui sont le plus fréquemment utilisés sont :
TCP et UDP.
Quel protocole de transport est un protocole fiable ?
TCP
UDP
QUESTION 3
Pour une communication en temps réel, comme les paquets VOIP, quel
protocole est le plus approprié ?
TCP
UDP
Il vaut mieux perdre quelques paquets VOIP, que

de les recevoir en retard.

QUESTION 4
Quel champ d’une en-tête TCP, correspond à la taille de la fenêtre, où est

spécifié le nombre d'octets de données qui sera envoyé avant de recevoir
l’accusé de réception à l’autre bout ?
Flags
Windows Size
Checksum
Le champ checksum, permet de contrôler que les

données n’ont pas étés perdus.
QUESTION 5
Le protocole de transport TCP, configure une connexion avant de com-
mencer à envoyer des données.
|Cette connexion se fait en trois étapes.

Quelle est la première étape ?
Syn, ACK
Syn
ACK
COUCHE RÉSEAU
LA COUCHE RÉSEAU : PROTOCOLE IP

Le protocole internet, plus connu sous le nom d’IP, transporte des infor-
mations permettant de déterminer où envoyer le paquet.
Très utiliser par les protocoles de routage.
Le protocole IP :
• | Fonctionne sur la couche réseau du modèle OSI.
• |Il s’agit d’un protocole sans connexion : c’est-à-dire qu’il n’établit

pas de connexion pour transporter les données. Pour cela il utili-
sera plutôt les protocoles TCP ou UDP à la couche Transport.
• |Chaque paquet est traité indépendamment, c’est-à-dire que les

paquets n’ont pas d’ordre d’arriver à leurs destinations.
• |Et les adresses IP ont une hiérarchie, car on associe les adresses
IP avec des masques de sous-réseau, pour créer plusieurs sous-
réseaux.
Nous avons besoin d'une adresse IP pour identifier de manière unique
chaque périphérique réseau.
Une adresse IP est comme un numéro de télé-

phone fixe. Par exemple, dans une ville, toute per-
sonne qui à un numéro peut être jointe.
Une adresse IP comporte| 32 bits et se compose de 2 parties :

• |-la partie réseau
• |-et la partie hôte
Une adresse IP de 32 bits s’écrit en 4 blocs de 8 bits. 8 bits représentent un

"octet". Donc, une adresse IP |ressemblera à ceci:
• La partie réseau nous indique à quel "réseau" l'adresse IP appartient,

on peut la comparer à une ville, ou bien à l'indicatif régional d'un nu-
méro de téléphone.
• La partie "hôte" identifie de manière unique le périphérique réseau,

on peut le voir comme les derniers chiffres de son numéro de télé-
phone.
Prenons comme exemple une adresse IP que l’on retrouve fréquemment
sur des réseaux locaux, l’adresse |192.168.1.1
Pour cette adresse IP, les 3 premiers octets sont l'adresse "réseau" et le
dernier octet est la partie hôte.
On pourrait se demander, qu’est-ce qui détermine-

la partit réseau de la partit d’Hôtes ?
Et bien c’est là qu’intervient le masque de sous-réseau. Ce découpage est
possible grâce aux |masques de sous-réseau 255.255.255.0. Que l’on peut
aussi représenter avec un /24.
Le masque de sous-réseau indique à votre ordinateur quelle partie est la
partie "réseau" et quelle partie est la partie "hôte". Malgré le nom qu’il
porte, il ne « masque » rien !

C’est grâce à un calcul binaire qu’il est possible de créer des sous-réseaux
en fonction du masque.
Il faut garder à l'esprit que le masque de sous-ré-

seau indique quelle partie de l'adresse IP est la par-
tie "réseau" et quelle partie sont les "hôtes".
Voyons à quoi ressemble un |paquet IP :
• Dans le champ « Protocol » : On y trouve le protocole utilisé sur IP.

On peut très bien y trouver un protocole de transport comme TCP
ou UDP, ou bien tout autre protocole.
• Dans le champ « Source Address » : vous y trouverez l'adresse IP du

périphérique qui a créé ce paquet IP.
• Dans le champ « Destination Address » : il s’agira de l'adresse IP du

périphérique qui doit recevoir le paquet IP.
• Et dans le champ « Data » : C’est ici que sont placées les données à
envoyer.

À ce stade, vous n’avez pas à vous inquiéter des
autres champs pour votre CCNA.
|Maintenant, revenons à notre adresse IP : 192.168.1.1
Une adresse IPv4 porte une valeur de 32 bits, |ce qui nous donne ceci en
binaire :
Comme pour nous les humains, ce langage machine n’est pas simple à
comprendre, pour nous faciliter la vie, nous allons mettre cette série de
chiffres en| « bloc » de 8 bits.
8 bits correspondent à un octet.

Avec cette séparation en bloc de 8 bits, nous pouvons convertir chaque
octet en décimale. On va commencer par convertir du binaire en décimal,
le premier bloc, | en utilisant ce tableau:

Pour le premier bloc, | nous avons 128+64, ce qui nous donne 192.
|Pour le second bloc de 8 bits, nous avons 128 +32 +8, ce qui nous donne
168
|Pour le troisième bloc, on a juste le dernier bit, donc ça nous donne 1
|Et pour le dernier bloc, ce sera identique au troisième, le chiffre décimal
est 1.
|Ce qui nous donne bien l’adresse IP : 192.168.1.1
QUIZ
QUESTION 1
Quel protocole transporte des informations permettant de déterminer où

envoyer le paquet ?
Le protocole TCP
Le protocole Internet
Le protocole UDP
Le protocole internet, plus connu sous le nom d’IP,

transporte des informations permettant de déter-
miner où envoyer le paquet.

QUESTION 2
Très utilisé par les protocoles de routage, le protocole IP est un protocole ?
Avec connexion
Sans connexion
Il fonctionne sur la couche réseau du modèle OSI,

et il s’agit d’un protocole sans connexion : c’est-à-
dire qu’il n’établit pas de connexion pour transpor-
ter les données. Pour cela il utilisera plutôt les pro-
tocoles TCP ou UDP à la couche Transport.
QUESTION 3
Une adresse IPv4 comporte ?
32 bits
64 bits
16 bits
128 bits
Une adresse IP comporte| 32 bits et se compose de

2 parties : la partie réseau et la partie hôte
QUESTION 4
Qu’est-ce qui indique quelle partie de l'adresse IP est la partie "réseau" et

quelle partie est les "hôtes" ?
L’adresse réseau
Le masque de sous-réseau
L’adresse de broadcast
Il faut garder à l'esprit que le masque de sous-ré-

seau indique quelle partie de l'adresse IP est la par-
tie "réseau" et quelle partie est les "hôtes".

QUESTION 5
Une adresse IP comporte| 32 bits et se compose de 2 parties : la partie ré-

seau et la partie hôte
Quelle partie nous indique à quel "réseau" l'adresse IP appartient ?
La partie « réseau »
La partie « hôte »
La partie réseau nous indique à quel "réseau"

l'adresse IP appartient, on peut la comparer à une
ville, ou bien à l'indicatif régional d'un numéro de
téléphone.
La partie "hôte" identifie de manière unique le péri-

phérique réseau, on peut le voir comme les der-
niers chiffres de son numéro de téléphone.
ARP (ADDRESS RESOLUTION PROTOCOL)

Dans ce cours, nous allons voir le fonctionnement du protocole ARP.
On va prendre comme exemple, deux PC : A et B.
Le PC A porte l’ip 192.168.1.1 avec une mac adresse qu’avec des A.

Et le PC B à l’ip 192.168.1.2 avec une adresse MAC qu’avec des B, pour faire
simple.
On va lancer un ping du PCA| vers le PCB

La commande Ping utilise le protocole ICMP et le paquet IP utilise la
couche réseau, la couche 3.
Notre paquet IP aura donc une adresse IP source en 192.168.1.1 et une
adresse IP de destination en 192.168.1.2.
La prochaine étape consiste à placer notre paquet IP dans une trame
Ethernet, dans laquelle sera définis notre Mac Adresse source avec des A
et notre MAC adresse de destination qu’avec des B.
Mais comment le PC A peut-il connaitre la MAC

adresse du PC B ?
Et bien c’est là qu’intervient le protocole ARP !
|Voyons comment il fonctionne :
Si on lance, la commande « arp -a » sur le PC A pour afficher sa table ARP,

on peut voir qu’il n’y a qu’une seule entrée.
Le PC A a appris que l'adresse IP 192.168.1.2 a été mappée à l'adresse MAC
qui contient que des B !
Regardons de plus près, comment le protocole ARP fonctionne :
Si le PC A vient tout juste de démarrer, sa table ARP est vide. Ce qui veut
dire qu’il n’a aucune connaissance de la mac-adresse du PC B.

Le PC A va donc envoyer une| « requête ARP ».
Il s’agit d’un message demandant qui à l’adresse IP 192.168.1.2 et quelle est

son adresse MAC.
Et comme on ne connait pas encore cette fameuse adresse mac du PC B,

le PC A utilisera un message de| type broadcast, ou le champ de la mac
adresse de destination sera rempli qu’avec des F.
Ce type de message atteindra l’ensemble des PC du même réseau, pour
trouver le PC B.
Ensuite le PC B, répondra avec un message| « ARP Reply » qui dira que

c’est bien lui qui porte l’ip 192.168.1.2 et en profitera pour communiquer
son adresse MAC.
Et comme ça, le PC A pourra ajouter l'adresse MAC

du PC B à sa| table ARP et ainsi commencer la com-
munication.
QUIZ
QUESTION 1

Quel protocole est un protocole utilisé pour traduire une adresse de pro-
tocole de couche réseau (typiquement une adresse IPv4) en une adresse
de protocole de couche de liaison (typiquement une adresse MAC) ?
Le protocole ARP
Le protocole RARP
Le protocole IP
QUESTION 2
La commande arp permet la consultation et parfois la modification de la
table ARP dans certains systèmes d’exploitation.
Quelle commande permet d’ afficher toutes les entrées dans le cache
ARP ?
arp -a
arp -a @ip
arp -s @ip @mac
La commande « arp -s @ip @mac » ajoute manuel-

lement une entrée statique permanente dans le
cache ARP
QUESTION 3
Quel type de communication part d'un émetteur unique vers l’ensemble
des récepteurs ?
Communication Broadcast
Communication Unicast
QUESTION 4
Dans quelle couche est encapsulé le protocole ARP ?
Couche 1
Couche 2
Couche 3
Couche 4

QUESTION 5
La requête ARP émane en Broadcast et la réponse est envoyée ?
aussi en broadcast
en anycast
en unicast
COUCHE DE TRANSPORT TCP-IP
La couche de transport est fondamentale pour le

bon fonctionnement de l'architecture réseau des
différentes couches TCP / IP.
Par exemple, la couche Internet ne peut pas garantir, la livraison des informations
vers sa destination.
C’est la couche de transport qui portera ce rôle.
Les deux protocoles de cette couche, les plus courants sont |« TCP et UDP ».
Le principal service qu’offre, la couche de transport, c’est le suivi de la communi-
cation entre les applications des hôtes sources et destination.

C’est ce qu’on appelle : | « le multiplexage de session »
Il est aussi bien exécuté par UDP que par TCP.
La plus grande différence entre ces 2 protocoles,

c’est que TCP garantit la bonne livraison des don-
nées, alors que UDP ne le fait pas.
Des communications multiples, c’est-à-dire du multiplexage de session, arrivent
très fréquemment.
Par exemple, le simple fait, de faire des recherches sur le Web, tout en utilisant
FTP pour transférer des fichiers, sont des communications multiples !
C’ est un processus sur lequel un hôte IP peut sup-

porter simultanément plusieurs sessions et gérer
les flux sur un même lien.
Une session est créée lorsqu'une machine source doit envoyer des données à une
machine de destination.
Pour transmettre, les données aux applications, la couche de transport doit| identifier
l'application cible.
Pour ça, TCP / IP utilisent des numéros de port.
|Chaque processus, qui doit accéder au réseau, reçoit un numéro de port unique
pour cet hôte. Ce numéro est utilisé dans l'entête de la couche « transport » pour
savoir de quelle application est associée les données.
Par exemple le port 80 est réservé pour « HTTP » et le 53 pour le « DNS »

|Le protocole TCP sépare des blocs de données de taille différente, à partir de la
couche d'application, et les prépare pour les transporter sur le réseau.
Chaque fragment est divisé en segments plus petits, qui correspond à la taille de
la| MTU
« La MTU, c’est ce qui permet de définir la taille

maximale en octet, d’un paquet, avant d’être trans-
mis sur le réseau».
Par défaut, la MTU du protocole IP est de 1500 octets.
Contrairement à TCP, UDP ne fournit pas de services de segmentation. Il préfère
laisser cette tache aux applications.
Si un expéditeur transmet des paquets plus rapidement que le récepteur, c’est-à-dire
qu’il n’arrive pas à les traiter aussi vite qu’ils arrivent, alors ce dernier l’ obligera à les
retransmettre.
C’est le protocole TCP qui est responsable de détecter les paquets qui sont aban-
donnés et de les retransmettre.
Plus il y’a de retransmissions, et plus il y’aura de latence dans la communication.
Pour éviter ça, un| contrôle des flux est nécessaire pour augmenter le taux de
transfert et diminuer les retransmissions.
Le « flow control », repose sur les retours générés par le récepteur.
Pour chaque paquet de données qui est envoyé, l'émetteur attend une réponse du
récepteur avant d'envoyer la suite.
Par contre |si le RTT est dépassée, il y’aura un fort ralentissement.

Le RTT, c’est un paramètre, qui permet de limiter le
temps, que met un signal, pour parcourir l’en-
semble d’un circuit fermé !
Pour améliorer l'efficacité du réseau, un mécanisme appelé | « windowing » est
combiné avec le contrôle de flux.
Ça permet, à un ordinateur qui reçoit les données, d’indiquer à l’envoyeur, la quantité
qu’il peut recevoir !
Ce qui permet d'éviter la congestion dans le réseau.
|Dans la couche de transport, un protocole de type « connexion orientée » per-
met d’établir une connexion de session entre deux hôtes IP, et de la maintenir pen-
dant toute la transmission.
Le protocole TCP fournit un transport |fiable orienté connexion, pour les données
d'application.
TCP est très fiable, car :
• Il permet de détecter et retransmettre les paquets qui auraient été abandonnés

• Il peut aussi savoir, si des données sont en double ou perdues
• Et il permet d’éviter la congestion dans le réseau
|Les termes « Fiables » et « Non fiables » décrivent deux types de connexions.

TCP c’est un protocole orienté connexion qui est conçue pour assurer :

• un transport fiable
• un flux contrôlé
• et une garantie sur la livraison des paquets IP’s.
C’est pour cette raison qu’on le qualifie de protocole "fiable".
Quant à UDP c’est un protocole sans connexion qui compte, sur les applications
pour faire le séquençage et détecter les paquets abandonnés.
On le considère donc, comme « non fiable ».
|Certains types d'applications ont besoin d’une garantie que les paquets arriveront en
toute sécurité et aussi dans le bon ordre.
Car chaque paquet qui manquerait pourrait cor-

rompre toute la chaine de données.
|TCP utilise 3 actions pour établir une connexion. On peut comparer ça, à un appel
téléphonique.
Le téléphone sonne, la personne qui décroche dit "bonjour", et l'appelant répond

aussi "bonjour". On va voir ces 3 étapes en réelles:
1. |En premier, le PC A envois un paquet de Synchronisation, au PC B, pour lui

demander d’établir une session. Pour l’exemple, | le numéro de séquence com-
mence par un 0. Car, en général c’est plutôt un numéro aléatoire.
2. |Ensuite, Le PC B répond au SYN avec un « SYN-ACK ». | Le numéro « ACK »
est égal au numéro de séquence du paquet précédent, incrémenté d’un. Tandis
que le numéro de séquence du paquet SYN-ACK est aussi un nombre aléatoire.
De nouveau, pour l’exemple on prend le « 0 » !
3. |Et pour finir, si la source accepte le SYN-ACK, elle envoie un paquet « ACK »
pour établir la connexion. On peut le voir comme un accusé de réception !
| Le numéro du ACK est égal au numéro de sé-

quence du paquet précédent incrémenté d’un.
|Une communication full-duplex est maintenant établie entre les deux PC.

Cet échange en plusieurs actions, avec des numé-
ros de séquence et d'accusé de réception, permet
au protocole de savoir si des données ont été per-
dues, ou bien s’ils sont en double.
Les principales applications qui utilisent TCP sont les navigateurs Web, l’email, le
FTP (comme le logiciel Filezilla), les imprimantes en réseau, et les transactions de
base de données.
|La fiabilité n'est pas toujours nécessaire. Par exemple, si un ou deux segments
d'un flux vidéo en streaming sont perdus, ça créerait juste une petite perturbation
dans le flux.
Par exemple une petite saccade sur la vidéo ! Et qu’on peut même ne pas remar-
quer !
Les principales applications qui utilisent UDP sont le DNS, la vidéo en streaming, la
voix sur IP, ou bien le TFTP
Et contrairement à TCP, UDP n'a pas besoin d'établir de connexion avec le récep-
teur.
C’est un protocole sans connexion.
QUIZ
QUESTION 1
La couche Internet ne peut pas garantir, la livraison des informations vers sa desti-
nation.
Quelle couche portera ce rôle ?
Couche application
Couche de transport
Couche réseau
Couche liaison
QUESTION 2
Les deux protocoles, les plus courants, de la couche de transport sont ?
TCP et UDP
ARP et DHCP

HTTP et DNS
QUESTION 3
Quel port est réservé pour le protocole HTTP ?
port 80
port 53
Le port 80 est réservé pour « HTTP » et le 53 pour le

« DNS »
QUESTION 4
Quel paramètre permet de limiter le temps, que met un signal, pour parcourir l’en-
semble d’un circuit fermé ?
RTT
Windowing
Contrôle de flux
Pour améliorer l'efficacité du réseau, un méca-

nisme appelé | « windowing » est combiné avec le
contrôle de flux.
QUESTION 5
Chaque fragment est divisé en segments plus petits, qui correspond à la taille de
la| MTU
La MTU, c’est ce qui permet de définir la taille maximale en octet, d’un pa-
quet, avant d’être transmis sur le réseau.
Par défaut, la MTU du protocole IP est de ?
1412 octets
1500 octets
2500 octets

TCP VERSUS UDP
Pour comprendre les différences, entre les proto-

coles TCP et UDP, nous allons prendre l’illustration
d’un service postal.
| Prenons l’exemple d’un envoi en recommandé de plusieurs documents.
Chaque document est envoyé dans sa propre enveloppe.
Le numéro de suivi de la poste correspond au numéro de séquence du pa-
quet IP.
Le service postal utilisera n’importe quel camion et n'importe quel chemin,
pour faire parvenir les courriers au destinataire.
Comme c’est un envoi en recommandé, le transporteur demandera| une
signature au destinataire, pour confirmer à l‘expéditeur qu’il est bien ar-
rivé.
Si une enveloppe est perdue, l’expéditeur ne reçoit pas l’accusé de récep-
tion et grâce au numéro du recommandé, il sait quel document il faut re-
transmettre.
|Tandis que les services UDP peuvent être comparés à l'envoi d’une simple
lettre.

La poste fera ses meilleurs efforts pour livrer le
courrier, mais ça s’arrête là. Il n’y à aucune garantie
sur la livraison ! Et la poste ne sera pas responsable,
si la lettre est perdue !
Les applications qui utilisent TCP ont besoin de fiabiliser les données
entre les hôtes.
TCP
|TCP fonctionne à la couche de transport de la pile TCP / IP, qui corres-
pond, à la couche 4 du modèle OSI !
|Il fournit un accès à la couche réseau, c’est-à-dire, la couche 3 du modèle

OSI !
|C’est un protocole de type connecté. Il demande une connexion pour
pouvoir échanger des données.
| Il peut vérifier les erreurs, grâce au contrôle, fait dans le champ « Check-
sum » du paquet IP.
Il s’agit d’une une somme de contrôle, qu’ont appel

aussi, l’empreinte du paquet IP. Ça permet au ré-
cepteur de vérifier, si le message est bien arrivé en
entier, où qu’il n’ait pas été modifié entre temps !.
|TCP fonctionne en mode full-duplex.
|Ces segments sont numérotés et séquencés pour que la destination
puisse les remettre dans l’ordre et voir si certaines données sont man-
quantes !

|À chaque réception d’un segment TCP, le destinataire envoie un accusé
de réception, à l'expéditeur, pour confirmer qu'il la bien.
C’est pour ça, qu’on dit que TCP est fiable !

|Il peut demander la retransmission d’un segment pour récupérer les don-
nées qui viennent à manquer !
|Et il fournit des mécanismes qui permettent de contrôler le flux.
|L'entête TCP fournit pas mal d’informations.
Chaque champ a une fonction bien spécifique.
• |Le champ du port Source correspond au Numéro du port qui émet
• |Le champ port Destination est le Numéro du port qui reçoit
• |Ensuite ces 2 champs sont utilisés pour la fiabilité et éviter la con-

gestion
• |Le champ de la longueur de l’en-tête correspond à sa taille.
• |Le champ Réservé concerne des utilisations futures
• |Le champ Flags contient plusieurs indicateurs, comme les échanges

de synchronisation et d’accusé de réception !
• |Le champ de la taille de fenêtre est le nombre d'octets que le récep-

teur souhaite recevoir sans accusé de réception !
• |Et le champ Checksum: est une somme de contrôle, qui permet de

vérifier, s’il y’a des erreurs
UDP
Passons maintenant aux caractéristiques de UDP !

Il comprend plusieurs fonctionnalités qui permettent une transmission de
données à faible latence.
C’est un protocole simple qui fournit des fonctions de base:
|Comme TCP, il fonctionne à la couche de transport de la pile TCP / IP
|Il fournit aux applications, un accès à la couche réseau, sans la surcharge
des mécanismes de fiabilité.
|C’est un protocole sans connexion, c’est-à-dire que les segments seront
envoyés vers la destination sans aucune notification
|Il effectue simplement une petite vérification d'er-

reur.
|Il fournit un service de meilleure qualité, mais ne garantit pas la livraison
des données.
Les paquets peuvent donc être, mal acheminés,

dupliqués ou perdus.
|Il ne récupère pas non plus les paquets perdus. Il s'appuie sur les applica-
tions pour faire cette récupération !
|Et avec sa faible surcharge, UDP est idéal pour des applications comme
le| DNS ou |NTP.
|et voici à quoi ressemble une entête UDP.
Les applications qui utilisent principalement UDP sont :
• le DNS,

• SNMP (pour les mails),
• DHCP,
• le protocole de routage RIP ,
• TFTP,
• et aussi les jeux en ligne et vidéo en streaming.
|UDP et TCP utilisent des ports logiciels internes pour permettre plusieurs
connexions entre différents périphériques réseau.
Pour différencier les données de chaque application, ils ont tous deux, des
champs dans leurs entêtes, |pour identifier les applications avec des nu-
méros de ports !
|Le FTP utilise par défaut le port 21. C’est un service, pour transférer des fi-
chiers entre systèmes.
|On à SSH sur le port 22, qui permet d'accéder à distance à d'autres péri-
phériques réseau. Les messages SSH sont cryptés.
|Contrairement à Telnet qui lui, utilise le port 23. C’est le prédécesseur de
SSH. Les messages qui circulent sont non chiffrés.
|Le HTTP utilise le port 80. Il est principalement utilisé par les navigateurs
web.

|Le HTTPS est sur le port 443. Il combine à la fois, HTTP, avec un protocole
de sécurité |du type SSL / TLS.
|Le DNS utilise le port 53. Il est utilisé pour résoudre, les noms Internet en
adresses IP.
|Le TFTP, qui est un service sans connexion, est sur le port 69. Les routeurs
l’utilisent pour transférer les fichiers de configuration et les images IOS.
|Et le petit dernier est le SNMP sur le port 161. C’ est un protocole qui tra-
vaille à la couche « Application ». Il permet aux admin réseau de pouvoir
gérer :
• Les performances du réseau
• Et de résoudre les problèmes

Le cœur de| Nagios, qui est utilisé pour la supervision réseau, se base sur le
protocole SNMP.
QUIZ
QUESTION 1
Quel protocole utilisera des applications qui ont besoin de fiabiliser les
données entre les hôtes ?
TCP
UDP
QUESTION 2
TCP est un protocole de type ?

connecté
non-connecté
Il demande une connexion pour pouvoir échanger

des données.
QUESTION 3
TCP fonctionne en mode ?
Duplex
Half duplex
Full-duplex
QUESTION 4
Le HTTPS est sur le port ?
53
80
443
|Le HTTPS est sur le port 443. Il combine à la fois,

HTTP, avec un protocole de sécurité |du
type SSL / TLS.
QUESTION 5
Le FTP utilise par défaut le port ?

(C’est un service, pour transférer des fichiers entre systèmes. )
21
22
23
SSH sur le port 22 et Telnet qui lui, utilise le port 23

LES BASES DE L’IOS CISCO
Dans ce cours, nous allons voir comment fonctionne l’IOS de Cisco ainsi
que les commandes de bases.
Tout comme un PC, un commutateur ou un routeur, nécessite un système
d'exploitation pour prendre en charge le matériel. L’IOS Cisco est le
système d'exploitation que vous trouverez sur les équipements Cisco.
Lorsque vous travaillez avec des routeurs et des commutateurs Cisco,
vous effectuez la plus grande partie de la configuration à l'aide d’une
interface en ligne de commande qui se nomme| la CLI.
Ce type de configuration peut s’avérer assez

difficile au début, mais une fois qu’on s’habitue,
vous verrez que c’est la méthode la plus rapide et la
plus pratique pour configurer les routeurs.

La CLI peut être accessible en utilisant| un câble console ou à distance en
utilisant le protocole Telnet ou SSH.
Cisco propose également une interface graphique, pour cela il existe :
• |CNA, qui est une interface graphique pour les commutateurs.
• |Et SDM ou CCP pour les routeurs.
SDM était la première version de l'interface graphique, mais maintenant il

a été remplacé par CCP.
Depuis la mise à jour Cisco de l’examen CCNA en 2013, les interfaces
graphiques ont été complètement supprimées du programme CCNA.
C’est pourquoi on ne verra que la configuration en

CLI.
L'avantage d'une interface graphique est qu’il est très facile de configurer
des choses assez complexes.

Et L'inconvénient est qu’en cas de dépannage, il sera plus simple de
résoudre les problèmes à l’aide de la CLI.
Nous allons maintenant commencer, avec la configuration de base d'un
appareil Cisco.
Pour cela, nous allons utiliser |cette topologie :
Ici, on à un PC qui est connecté au switch avec un |câble console.

Et si le PC n’a pas de port DB9 alors on utilisera un| adaptateur USB .
Ensuite, pour se connecter en ligne de commande sur le switch, on

utilisera l’application gratuite | « Putty » qui est très bien pour
commencer.

Vous pourrez le télécharger en faisant une
recherche sur Google.
Dans le logiciel Putty, il faut juste s’assurer d’utiliser le| bon port COM et de
régler la vitesse sur 9600.
Si vous ne connaissez pas le numéro de port COM, vous pouvez le

rechercher dans le gestionnaire de périphériques Windows.

Lorsque vous démarrez un commutateur pour la première fois, sa
configuration initiale est suffisante pour le faire fonctionner et même
fournir une connectivité entre les PC’s qui y sont connectés.
|Dès que le switch démarre, il va :
1. | Faire un check de son matériel physique.
2. | Ensuite il va chercher à localiser l'image IOS Cisco.
3. | Et pour finir, il va charger, la configuration initiale.

LOGICIEL IOS ET FONCTION CLI CISCO
Comme un ordinateur, un switch et un routeur ont aussi besoin d'un

système d'exploitation pour fonctionner.
C’est le logiciel IOS qui gère la façon dont les différents composants du
réseau fonctionnent ensemble.
Et C’est l’administrateur Réseau qu’ a en charge son paramétrage.
De nombreux équipements Cisco l’utilisent comme système
d'exploitation, quels que soient la taille et le type de l'appareil.
La configuration de ces équipements se fait en ligne de commande.
C’est ce qu’on appelle| la CLI.
Il s’agit d’une interface textuelle très similaire à MS-

DOS sur Windows.
On peut y accéder soit par| une connexion directe avec câble branché sur
l’équipement, ou bien à distance en utilisant une session Telnet ou SSH .
Dans la CLI, il y’a plusieurs modes de configuration.

• |On a le Mode Utilisateur,
Qui permet d'accéder à un nombre limité de commandes.
On va dire que c’est pour de la surveillance de base.
Il est| représenté par le signe « plus grand que»
• |On a le Mode Privilège,

Qui permet d'accéder à toutes les commandes de configuration de
l'appareil. Ce niveau peut être protégé par mot de passe pour autoriser
uniquement certains utilisateurs à accéder à ce mode.
il est| représenté par le signe « Dièze »
Alors dans la CLI, dès qu’une commande est entrée,

elle est exécutée immédiatement.
Si on rentre une mauvaise commande dans un routeur en pleine
production, cela pourrait poser beaucoup de problèmes sur le réseau.
C’est pourquoi faut faire très attention à ce qu’on tape !
|C’est à partir du mode privilège qu’on peut accéder à tous les autres
modes de configuration.
Chaque mode est utilisé pour accomplir des tâches bien particulières et
possède un ensemble spécifique de commandes disponibles uniquement
dans ce mode.
|Par exemple, pour configurer une interface de switch, il faut être en mode
de configuration d'interface et ainsi, toutes les commandes qui seront
exécutées dans ce mode s'appliqueront uniquement à l’interface qu’on
aura désignée.
|Admettons que nous souhaitons désactiver une interface, pour cela :
• -dans le mode utilisateur, on tape la commande « Enable » pour

accéder au mode privilège.
• -Ensuite on fait un « configure terminal » pour rentrer dans le mode

de configuration global.

• Et dans ce mode on lance la commande « interface Fast Ethernet
0/1 » pour rentrer seulement dans la configuration de l’interface 0/1 !
• -Et il reste plus qu’à saisir la commande « shutdown » pour couper

que l’interface Fast Ethernet 0/1.

COMMANDE IOS CISCO DE BASE
On va maintenant voir le démarrage directement sur le switch :
Ici on voit qu'il vérifie le lecteur flash du commutateur.

| La prochaine étape consistera à charger l'image IOS trouvée sur le lecteur
flash:
Les images IOS sont stockées et compressées dans la mémoire flash.

Le processus de chargement de l’IOS, consiste à décompresser l’image et
la copié dans la mémoire RAM du commutateur.
Maintenant que l’IOS est chargé, | vous verrez quelque chose qui
ressemble à ceci :

Ici, on voit la version du commutateur, un Cisco 3560 et la bannière Cisco
de prévention.
|La prochaine étape consiste à vérifier de nouveau le lecteur flash:
Et une fois que c'est fait, | il lancera tout un ensemble de tests. Ce procédé
est plus connu sous le nom de POST:
|Et pour finir, on voit des infos matérielles que contient ce commutateur :

Une fois que le chargement est terminé, | vous pourrez voir ce type de
message:

Et si le commutateur n'a pas de configuration, |alors vous verrez cela:
Si vous tapez « YES » , vous aurez le droit à un assistant qui vous guidera
pour effectuer une configuration de base.
Même sans configuration, le commutateur fonctionnera correctement et
fera son boulot de switching si il y’a des PC de branchés dessus.
Généralement on saute l’assistant et on passe directement à sa
configuration en ligne de commande.
Après avoir tapé un « no » ou la touche « entrée », | nous avons ce type de
sorti :
|Nous arrivons dans le mode Utilisateur.

Le symbole « plus grand que », nous indique que nous sommes en mode
Utilisateur. Dans ce mode, nous n’avons pas accès à toute la configuration
de l’équipement.
En tapant la commande | « enable », nous rentrons en mode privilégié,
qu’on peut aussi appeler le mode « enable ». On le reconnait avec le
|symbole « # »

Et si vous souhaitez revenir en mode utilisateur, alors vous devrez| taper la
commande « disable »
Nous voici dans le monde merveilleux de la CLI !

Nous allons commencer par configurer l’heure sur le commutateur.
|Chaque fois que vous tapez le début d’une commande, vous pouvez
utiliser le « ? » pour afficher l’ensemble des commandes qui commence
par celle-ci et que vous pouvez utiliser.
Dans cet exemple, quand je tape « CL », la CLI me propose deux

commandes : « Clear » et « Clock ».
Comme nous voulons configurer l’horloge, on va plutôt utiliser la
commande « Clock »
|En tapant juste la commande « Clock », la CLI nous retourne comme
message, qu’elle attend plus d’information. La commande est donc
incomplète.
|Si on refait un « ? » après la commande « clock » on voit bien que la

commande est incomplète…
On va donc taper la commande « clock set »

|La commande est toujours incomplète. Allons voir pourquoi :
|La CLI nous demande de lui spécifier les heures, minutes et secondes.
Ne fâchons pas la CLI, et faisons ce qu’elle nous

demande :
| Bon la CLI est très capricieuses… Allons voir ce

qu’elle attend de plus !
|Elle veut un jour et un mois, on va donc lui donner ça :
|Ici, on voit que quelque chose ne va pas non plus…

Le symbole du petit chapeau nous indique l’endroit qui est invalide… Il
faudrait donc changer le format et mettre plutôt le mois en entier, c’est-à-
dire « Février » plutôt que le chiffre « 2 » :

|Cette fois-ci, la commande est acceptée.
Si vous voyez un retour à la ligne sans message, c’est que la commande
est bonne et qu’elle a été envoyée.
Seule une nouvelle ligne vide nous prouve bien que

la commande a été acceptée.
Ce qui est pratique avec la ligne de commande, c'est que l’on n’a pas à
taper complètement les commandes. |Prenons un exemple :
Si on tape uniquement les lettres "clo", cela suffit à l’IOS pour comprendre
que l’on souhaite taper la commande « clock » pour horloge.
Car il n’existe que cette commande qui commence

par « clo »
|Et comme après la commande « clock », seul le mot « set » existe, si on

tape seulement un « S » cela sera suffisant pour que l’IOS comprenne que
l’on souhaite faire appel au mot « set ».
Et si l’IOS estime qu’il n’y a pas assez de lettres dans le mot pour qu’il soit
unique, |alors on aura ce type de message d’erreurs :

Comme le commutateur ne sait pas ce que l’on veut dire par « cl », alors il
nous dira que c’est une commande ambiguë…
|Et si on fait un « cl » et « ? » :
On voit que le mot "Clear" et "clock" commence tous les deux par "cl",
donc l’IOS ne saura pas, laquelle des deux commandes on souhaite utiliser.
C’est pour ça que dans ce cas, l’abréviation ne fonctionnera pas.
La CLI propose quelques raccourcis très utiles à utiliser:
1. |La touche Tabulation permet de compléter automatiquement une
commande ou un mot-clé. Ce qui est très utile. Par exemple, si vous tapez
"clo", puis la touche « TAB », l’IOS complétera automatiquement les 3
lettres par le mot « clock » .
2. |Le CTRL-A , amène votre curseur au début de la ligne. C'est plus rapide
que de presser la flèche gauche plusieurs fois.
3. | Le CTRL-E amène vos curseurs à la fin de la ligne.
4. | Un CTRL-SHIFT + 6 stoppe les processus, par exemple celui d’un ping.
5. |Un CTRL-C annule la commande en cours que vous étiez en train de
taper et quitte le mode de configuration.
6. |Et un CTRL-Z met fin au mode de configuration.
L’IOS Cisco conserve un historique de toutes les commandes que vous
avez précédemment saisies, grâce à la |commande « show history »
Par défaut, il ne sauvegarde que les 10 dernières commandes tapées, mais
il est possible de lever cette limite avec la |commande : « terminal history
size »

Dans l’exemple je demande à faire afficher les 50
dernières commandes dans l’historique de l’IOS.

CONFIGURATION IOS
COMMANDE SHOW ET DE CONFIGURATION

IOS
La commande «show version» permet d’afficher des infos sur l’équipement réseau
comme le modèle, les interfaces et bien plus...

|Pour afficher en détail les interfaces et statuts d’un commutateur, on
utilisera la commande « show ip interface brief »
La colonne « Status » nous indique l’état de l’interface.
Si elle est up ou down.

Il s’agit de l’état physique, c’est-à-dire que s’il y’a bien un câble sur
l’interface.

Et la colonne « protocole » nous indique si l'interface est opérationnelle ou
non.
Il est tout à fait possible que le statut soit « UP » et

le protocole « Down » car le port s’est
volontairement désactivé par sécurité.
|La commande « show interfaces » nous affiche des informations sur :
• le statut,
• la vitesse,
• les paramètres duplex,
• etc.
On peut même voir le nombre de paquets entrants

et sortants.
|Nous venons de voir le mode utilisateur, représenté par le sigle « plus

grand que » et le mode « enable » ou « privilégié » représenter par le
symbole « # »

La plupart des configurations d’un switch ou d’un
routeur sont à faire dans le mode de configuration
global.
Pour cela il faut faire la commande « configure terminal »
Vous pouvez reconnaître le mode de configuration, par le |symbole

(config) #.
|Dans ce mode, si vous essayez de saisir une commande « show », qui
s’utilise normalement dans le mode précédent, alors, vous obtiendrez une
erreur:
|Afin d’éviter de sortir de ce mode et de pouvoir exécuter des commandes

« show », il suffit de rajouter un « do » devant la commande.
|La commande « Hostname » permet de modifier le nom d’hôte de

l’équipement :
|Si vous voulez changer la configuration d'une interface, alors il faudra

d’abord rentrer dans son mode de configuration.

Par exemple la commande « interface fastethernet 0/2 » permet de
rentrer dans le mode de configuration de l’interface fast ethernet 0/2.
On voit que le sigle à changé et est représenté

maintenant en| « config-if »
|Les commandes « Duplex » et « Speed » permettent de changer le mode
duplex et la vitesse de l’interface .
Dans cet exemple, le duplex a été modifié en « Full » et la vitesse à

« 100Mbit »
|Si vous avez plusieurs interfaces, il peut être utile de configurer une
description afin de savoir quelle interface se connecte à quel périphérique.
|Si vous voulez configurer plusieurs interfaces en même temps, au lieu de

s'y connecter sur chacune et de rentrer les mêmes commandes, vous
pouvez utiliser la commande « interface range »

Dans cet exemple, chaque commande que je taperais dans ce mode
impactera les interfaces 0/5,6,7,8,9 et 10.
|Un simple Exit permet de revenir au mode de configuration précédent.
Pour éviter que tout le monde puisse se connecter sur le switch, on va le

protéger en lui définissant des mots de passe.
|On va commencer par sécuriser le port console :
La commande « line console 0 » permet de rentrer dans le mode de

configuration du port console.
Ensuite on lui configure le mot de passe « Negan » avec la commande
« password », et pour terminer, la commande « login » permet de l’activer.
Maintenant, chaque fois qu’une personne se

connectera sur le port console de l’équipement,
|l’IOS demandera le mot de passe.
Actuellement sur notre switch, | si nous tapons « enable », nous avons

accès au mode privilégié.

Il est possible de configurer un mot de passe pour
|cet accès :
La commande « enable password » en mode de configuration globale

permet d’activer un mot de passe sur l’accès « enable »
Maintenant que nous avons configuré des mots de passe pour le port
console et l’accès « enable », il serait judicieux d’activer une bannière
d’avertissement pour ceux qui se connectent aux équipements réseau.
|La commande « banner » permet de configurer une bannière.
Par contre il faut utiliser un symbole pour que l’IOS

reconnaisse où le message commence et où il se
termine…
Dans cet exemple, nous avons utilisé le symbole « % », mais vous pouvez
utiliser n'importe quel autre symbole.
|Maintenant, chaque fois que quelqu'un se connectera sur le
commutateur, il verra le message d’affiche.

HUBS_PONTS ET COMMUTATEURS
Au tout début des réseaux, on utilisait des Hubs pour connecter nos bons
vieux ordinateurs.
Un Hub ou un concentrateur n'est rien de plus qu'un répéteur physique :
quand il reçoit un signal électrique sur une de ces

interfaces, il le répètera en l'envoyant à toutes ses
interfaces sauf celle qui a reçu ce signal.
Il n'y a pas d'intelligence dans un hub, et il ne fonctionne que sur la couche
physique du modèle OSI (la couche 1).
Comme les interfaces partagent le même support physique, les
ordinateurs fonctionnent en semi-duplex et il peut y avoir des collisions.
Pour éviter ces collisions, il est possible d’utiliser le

protocole CSMA / CD.
Plus il y’a d'ordinateurs dans ce type de réseau, et plus il y’a de chances
d'obtenir des collisions.

Et de nombreuses collisions provoquent une baisse
de débit.
Sur cette topologie, nous avons 4 PC et un Hub au milieu.
Si un de nos ordinateurs envoie des données, le hub répétera simplement

le signal électrique sur tous les autres ports, ce qui signifie que tout le
monde recevra ces données, qu'elles en aient besoin ou non.
Le réseau fonctionne en semi-duplex, ce qui signifie que nous pouvons
avoir des collisions.

Comme les collisions peuvent se propager partout sur les PC’s du même
Hub, nous appelons cela un seul |"domaine de collision".
Plus les réseaux grandissaient et plus les collisions

étaient plus nombreuses… ce qui avait comme
impact de réduire le rendement des entreprises…
|Prenons un autre exemple, si vous regardez cette topologie :
Où pensez-vous que nous allons rencontrer des collisions ?
Comme il n’ya que des Hubs, des colisions peuvent se produire de

partout !
|Il s’agit donc d’un gros domaine de collision.

Ces nombreuses collisions provoquaient à l’époque, d’énorme baisse de la
bande passante. Il fallais donc trouver un dispositif plus intelligent que le
HUB. Et c’est comme ça qu’est né| le pont, ou plus connu sous le nom de
« Bridge ».
Le bridge est doté d’une intelligence et il fonctionne à la couche 2 du
modèle OSI (la couche liaison de donnée ou data link)
Le Bridge est capable de :
• |Décidez où envoyer les trames Ethernet, en regardant les

adresses MAC.
• |De transférer les trames Ethernet sur des ports spécifiques.
• |De filtrer les trames Ethernet, c’est-à-dire de supprimer celles

qui sont inutiles…
• |D’inonder les trames Ethernet, c’est-à-dire de les envoyer

partout, comme un broadcast.
• |Par contre un Bridge n’a que quelques ports seulement.
• |Et ils sont très lents !
|Gardons l’image précédente et on ajoute une topologie identique, |sauf

qu’on remplace le Hub du milieu par un pont.

Comme le pont dispose d’une intelligence, il transmet les trames Ethernet
que si elles sont nécessaires. Nous avons donc sur |cette topologie 2
domaines de collision.
Si le PC en haut à gauche envoie une trame Ethernet au PC en bas à
gauche, le pont recevra cette trame Ethernet sur son interface de gauche,
mais ne la transmettra pas aux autres pc’s qui sont à droite !
Revenons plutôt à notre époque, car les Hub et pont sont de l’histoire
ancienne.
De nos jours on ne les utilise pratiquement plus…

|Car le switch, ou commutateur est arrivé !

Le switch :
• |Dispose de plusieurs ports.
• |Ils peuvent avoir des vitesses différentes par port, comme des ports
Fast Ethernet ou Gigabit-Ethernet.
• |Ils disposent d’une grande mémoire tampon ou buffer.
• |Et ils ont 3 différents modes de commutation :

Il existe plusieurs types de switchs, qui utilisent différentes méthodes pour
transmettre les trames.
Le modèle standard commute les paquets en mode « différé », c’est ce
qu’on appelle| mode « store and forward » : il met les trames en tampon
et les analyse afin de détecter d’éventuelles erreurs avant de les envoyer.
Les commutateurs utilisent aussi un mode| plus « direct ».
Dans ce mode, le switch se contente de lire l’adresse de destination et de
transmettre les informations sans les analyser.

|Et le 3e mode représente un compromis entre les deux méthodes
précédentes. C’est-à-dire qu’ils ajoutent un traitement d’erreur simplifié
sur la trame à commuter.
De nos jours, la plupart des switchs utilisent le mode « store and forward ».
|Voyons maintenant comment le commutateur travaille :
Sur cette topologie, nous avons 3 PC avec un commutateur au milieu.
Le commutateur gère une table d'adresses MAC, au fur et à mesure qu’il

les apprend.
À votre avis sur cette topologie, combien y’a-t-il de

domaines de collision ?
Et bien comme nous fonctionnons en full-duplex, nous ne pouvons pas
avoir de collisions dans un réseau commuté comme celui-ci.
Chaque interface sur un commutateur est vue comme un domaine de
collision distinct !
|Ce qui signifie que sur cette topologie il y’a 3 domaines de collisions.

On peut alors se demander, pourquoi y’a-t-il des
domaines de collisions, alors qu’il est censé ne pas
avoir de collision…
Et bien, c’est parce qu’il est tout à fait possible de brancher un
concentrateur sur un des ports du switch, et dans ce cas il y’aura des
collisions…
Pour revenir au fonctionnement du switch, puisque nous fonctionnons en
full-duplex et que nous ne pouvons plus avoir de collisions, |le protocole
CSMA / CD dont nous avons déjà parlé est désactivé.
|Le PC A va envoyer des données à destinées du PC B. Il va donc créer une
trame Ethernet qui contiendra l’adresse MAC du PCA dans le champ
Source et l’adresse mac du PC B dans le champ destination.
|Le commutateur construit et gère une table d'adresses MAC, qu’il
apprend seulement en fonction des adresses MAC Source.
Chaque trame Ethernet qu’il reçoit, il apprendra la mac adresse du champ
« source » de la trame et il effectuera une relation avec le numéro de port
ou il est joignable.
Dans l’exemple, le Switch vient d’apprendre que l’adresse MAC du PC A
est liée à l’interface Fast Ethernet 0/1. |Il va donc ajouter cette information
dans sa table d'adresses MAC.
Comme vous pouvez le voir, notre commutateur n'a actuellement aucune

information sur l'emplacement du PC B.
Pour trouver sur quel port se situe le PCB, il va flooder une trame Ethernet,

|c’est-à-dire qu’il envoyer une trame sur tous ces
ports sauf celui d’où vient la demande.
Le PC B et le PC C, recevront donc cette trame Ethernet.
À la réception de cette trame, le PC B voit dans le champ destination sa
propre adresse MAC.
Il en déduit donc que cette trame lui est destinée.
Quant au PC C, comme il n’est pas concerné, il supprimera cette trame. |
Le PC B va donc répondre au PCA, en construisant une nouvelle trame
Ethernet et l’envoyer vers le switch.
|C’est à la réception de celle-ci que le switch va apprendre l’adresse MAC
du PC B.
La prochaine fois que le PC A voudra parler au PC B, le switch commutera
le paquet directement au lieu de flooder la trame sur tous ces ports à la
recherche de la mac adresse de destination. Et comme ça, le PC C ne
recevra plus de trames qui ne lui sont pas destinées.
Voyons à quoi ressemble la table de mac adresse d’un switch en vrai :
Si on se connecte sur le switch et qu’on lance |la commande « show mac

address-table dynamic » on verra toutes les adresses MAC que le
commutateur aura apprises. Ici on voit qu’il a apprises les mac adresse du
PC A, B et C.

Par défaut, il n'y a pas de limite au nombre
d'adresses MAC qu'un commutateur peut
apprendre sur une interface.
Et toutes les adresses MAC sont donc autorisées.
Pour plus de sécurité, il est possible de changer ce comportement avec la
fonction de | « Port Sécurity »

SWITCH - COMMUTATEUR
Lorsque l’on connecte plusieurs périphériques ensemble, on a besoin d'un

commutateur (plus connu sous le nom de switch) pour permettre
simplement la communication entre ces hôtes.
Historiquement, lorsque les périphériques réseau utilisaient le même
segment |, à l’aide d’un hub, ils devaient se partager la même bande
passante, et, seule, une machine pouvait transmettre des données à la
fois.
Les segments de réseau qui partagent la même bande passante sont
appelés domaines de collision, car lorsque deux ou plusieurs machines de
ce segment tentent de communiquer en même temps, des collisions
peuvent se produire.
|Aujourd'hui, il est indispensable d'utiliser des switches en tant que
périphériques réseau.

Le switch fonctionne à la couche liaison de
données de TCP / IP. C’est la couche 2 .
Il permet de diviser un réseau en segments et ainsi de réduire le nombre
de périphériques qui utiliseront la même bande passante. Chaque
nouveau segment entraine alors un nouveau domaine de collision.
Comme indiqué sur la figure avec le switch, chaque port du switch se

connecte à un seul PC ou serveur et représente un domaine de collision
unique.
Quant au domaine de broadcast, il s’agit d’un autre concept.
C’est une aire logique du réseau ou n’importe quel

pc connecté à ce même réseau peut directement
communiquer avec tous les autres pc du même
domaine, sans devoir passer par un routeur.

TRAME (ENG:FRAME) UNICAST
|On va maintenant parler des trames unicast. On peut aussi dire des Frame
Unicast. Le mot Frame correspond à l’anglais et le mot trame est
simplement sa traduction.
Alors, sur ce schéma, |quand les 2 PC’s communiquent, ils s’échangent des
Trames unicast.

Le terme unicast définit une connexion réseau point à point. D'un hôte
vers un autre.
Par exemple, si on fait un ping sur un PC du même réseau, on fait de
l’unicast, car on envoie un paquet ping que sur 1 PC.
Cela revient à envoyer une lettre à la poste à l’un de

ses amis. Il n’y aura que cet ami qui recevra cette
lettre.
Voyons maintenant, le Traitement de ces trames unicast sur un switch:
|Lorsqu'une trame unicast est reçue sur un port, le commutateur compare
l'adresse MAC de destination aux adresses MAC qu'elle a listées dans sa
table.
|Si le switch trouve l'adresse MAC et qu’elle fait partit du même réseau
que la source, alors elle transmettra la trame sur le port qui est rattaché à
la mac adresse. Dans ce cas, on dit qu’il switch la trame.
|Si l'adresse MAC n'est pas dans le même réseau que la source, alors il la
transmettra à la passerelle par défaut. Connu aussi sous le nom de
gateway.
|Et si le switch n'a aucune entrée dans sa table, alors, il la transmet sur
tous ces ports sauf le port sur lequel il a reçu les données. On dit que la
trame est flooder !
|Les switchs sont devenues indispensables pour la plupart des réseaux.

Ils permettent la segmentation d'un LAN en plusieurs domaines de
collision.
Chaque port du commutateur représente un

domaine de collision distinct.
Il il y’a deux modes de communication bien différents qui sont |le :
• half-duplex
• et| le full-duplex.
|Une communication Half duplex est comparable à une communication
avec des talkiewalkies : Celui qui veut parler doit attendre que l’autre ait
fini! Il n’y a aucune possibilité de parler en même temps.

|Et le mode Full-duplex, quant à lui, permet de transmettre et de recevoir
des signaux en même temps. C’ est comparable à une communication
téléphonique : chacun peut parler en même temps.
Avec un switch, chaque station connectée sur un

de ces ports, à une bande passante qui lui est
proprement dédiée et fonctionne en full duplex

DÉMARRAGE D'UN SWITCH
DÉMARRAGE D'UN SWITCH

Voici à quoi ressemble un switch Ethernet, ou un commutateur, tout
dépend de comment on veut l’appeler.
Ici, sur la façade avant du switch,| nous avons 48 ports en Fast Ethernet,
qui sert à connecter des équipements, par exemple des PC.
|Et on à 2 ports en gigabit Ethernet, pour pouvoir l’interconnecté à un
routeur ou à un autre switch.

|Derrière le commutateur, en général, on retrouve le |port console pour
pouvoir l’administrer, |et la fiche électrique, qui permet de l’alimenter.
La majorité des switches, démarre

automatiquement dès qu’on lui connecte l’alim.
Si c’est un premier démarrage, il faut s’assurer que le câble de la console

soit connecté et que le programme du terminal soit lancé, avant de le
brancher électriquement.
Cela permet de surveiller le processus de démarrage.
Car quand il démarre, l’ensemble des LED’s se mettent à clignoter et une
série de tests se fait pour assurer son bon fonctionnement.
On dit que le switch rentre| en état de POST.
Le POST est la première étape de déploiement

d'un commutateur.
Quand le switche fonctionne normalement, les LED clignotent en vert, et
en cas de dysfonctionnement, elles clignotent en orange.
|À gauche du switch, on peut voir 6 LED et un bouton mode !

• |La première LED informe l'état général du système.
Si elle est éteinte, le switch n'est pas sous tension.
Si elle est verte, il est sous tension et fonctionne correctement. Ce
qui signifie que L’IOS a bien été chargé.
Et si elle est orange, ça veut dire que l’ensemble des tests du
processus POST n’ont pas été validés, et donc, l’IOS n’a pas été
chargé.
• |La deuxième LED informe l’état de la seconde alimentation, s’il y’en

a une, qui sert pour la redondance du switch.
• |La LED Stat informe l’état général du port
• |Celle d’après correspond au mode duplex. Si allumé, il est en full-

duplex et si éteint, il est en half-duplex.
• |Ensuite, nous avons la vitesse du port. Si éteint c’est du 10 mégas, si

vert fixe, c’est du 100méga et si verts clignotants c’est du 1 giga bits
par seconde
• |Et la dernière LED informe l’état PoE du système. Certains switchs

ont des ports autoalimentés, très utiles par exemple pour alimenter
des téléphones IP.
|Le bouton mode permet d’obtenir des informations sur l’état du
switch, | notamment en combinaison avec les LED’s :STAT, DUPLX,
et SPEED.

Mais la plupart des admin l’utilisent plutôt pour
faire |une récupération de mots de passe en le
maintenant appuyé pendant 10 secondes.
Alors, parmi toutes ces LED, celle qui faut regarder en priorité, |c’est la
LED System !
Contrairement à un ordinateur, les switchs Cisco ne disposent pas de
clavier, souris et moniteur pour le configurer.
Lors de son premier démarrage, il faut le configurer à partir d'un PC qui
sera connecté directement sur son port console.
Pour ce faire, il faut :
• |Un câble console. C’est simplement un adaptateur RJ-45- en-DB-9.
• |Et il faut un logiciel de communication, comme HyperTerminal,

configuré avec les mêmes paramètres que sur l’image.

Alors, si on n’a pas de port DB9 sur son PC, |il faudra utiliser un adaptateur
USB en port série .
Sur les nouveaux |équipements Cisco, une connexion directement en USB

est même disponible.

COMMANDE « SHOW » DE BASE DE L’IOS
|Lorsqu'une connexion à la console est établie, on accède par défaut au

mode utilisateur. Pour commencer la configuration, il faut rentrer en mode
privilégié en utilisant la commande ‘enable’ .
Une fois connecté, il est possible de vérifier l'état du logiciel et du matériel
en utilisant plusieurs commandes de type « Show » à exécuter en mode
privilège.

|La commande show interfaces affiche des informations sur les interfaces
réseau du switch.
Généralement, on utilise cette commande suivie de l’interface qu’on
souhaite afficher.
Comme dans l’exemple : show interfaces Fast Ethernet 0/1
Cette commande sort de nombreuses informations sur le port.
• | Ici on voit que l’interface fastethernet0/1 est up ainsi que le

protocole, ce qui signifie que le port fonctionne correctement.
• |On peut voir aussi son adresse mac, |et qu’il est configuré en full-
duplex avec un débit de 100 Megas.
|La commande « show version » permet de vérifier plusieurs points

intéressants comme :

• Notamment| la version de l’ios. Dans cet exemple il s’agit de ios
release 15.0 SE3. Très utiles, si on doit faire appel au support.
• On y voit aussi le| « switch Uptime », qui indique le temps de

fonctionnement depuis son dernier démarrage. Pratique pour savoir
si le switch a été redémarré.
• |Ici , on voit qu’il a été redémarrer il y’a 15 heures et 30 minutes.
• |La ligne système image indique la révision de l’IOS qui a été chargé
au démarrage

|La commande « show running-config » affiche le fichier de configuration
complet du switch.
On peut y trouver beaucoup d’information comme

|l’adresse IP, | le masque de sous réseau et |la
passerelle par défaut.

FULL-DUPLEX HALF-DUPLEX
FULL-DUPLEX HALF-DUPLEX
Dans ce cours, on va voir un peu + en détail les différentes
communications duplex.
Le terme duplex est utilisé pour décrire un canal de communication qui

peut transporter des signaux dans les deux sens,| contrairement à un canal
simplex, qui porte un signal que dans une seule direction.
Il existe deux types de duplex qui sont utilisés pour les communications
sur un réseau Ethernet.
Le half duplex et le full duplex.

• |La communication half-duplex est un flux de données
unidirectionnel, ce qui signifie que les données ne peuvent
fonctionner que dans une seule direction à la fois.
L'envoi et la réception de données ne se font pas

en même temps.
C’est similaire à une communication avec des talkiewalkies, ou seule une
personne peut parler à la fois.
Étant donné que les données peuvent circuler que dans un seul sens,
chaque périphérique dans un système half-duplex doit constamment
attendre son tour pour transmettre des données. Ce qui provoque des
problèmes de performance.
|Ce sont plutôt les anciens matériels comme les

hubs qui fonctionnent en half-duplex.
Dans ce mode, si un périphérique transmet en

même temps qu’un autre, alors une collision se
produit.
Pour pallier à ce problème, il existe une fonctionnalité qui s’appelle :
|CSMA / CD. En français ça se traduit par : circuit de détection de collision.
Ça permet de réduire les risques de collisions, car il va bloquer les PC’s qui
posent problème pendant une période aléatoire avant qu’ils puissent
retransmettre.

• |Et le Full-Duplex
C’est comme une communication téléphonique, car chaque personne
peut parler et entendre ce que l'autre personne dit simultanément.
Le flux de données est donc bidirectionnel.
Les données peuvent être envoyées et reçues en même temps. La plupart
des cartes réseau qui sont vendues aujourd'hui sont en full-duplex.
Si deux périphériques à chaque extrémité sont en full duplex, |alors , la
méthode qui permettait de limiter les collisions, le CSMA/CD, sera
désactivée.
|Voyons maintenant sa configuration.

La commande « duplex » permet de configurer soit en half duplex / en full
duplex ou en Auto.
L’option Auto définit une autonégociation entre les

deux extrémités.
L’image montre l’ exemple d’une configuration duplex et de vitesse, sur les
interfaces Fast Ethernet des deux switchs.
Pour éviter les problèmes d’incompatibilité, chaque extrémité doit être
configurée à l’identique.
|Dans cet exemple, les ports Fast Ethernet 0/5 et 0/3, ceux qui sont
connectés directement à un PC, sont configurés en full duplex avec une
vitesse de 100 mégas.
|Et les ports entre les 2 switchs sont en mode auto, pour le duplex et la
vitesse, de cette manière les switchs négocieront automatiquement ces
deux paramètres.
|Et pour finir, la commande show interfaces, en mode privilège, permet de

vérifier les paramètres de duplex sur chaque switch.
Cette commande affiche des stats et des états sur les interfaces du
switch.

DÉPANNER UN SWITCH
OUTILS PING / TRACEROUTE / TELNET

Dans cette partie, on va parler de dépannage.
Quand on tombe sur un problème réseau et qu’on commence à dépanner,
il est fortement conseillé de documenter toutes les étapes que l’on suit
jusqu’à ce qu’on résolve le problème. Cela permet de réagir plus vite si le
même problème revient de nouveau.
On va maintenant voir les principales commandes qui servent pour

dépanner un réseau
| La commande « ping » permet de tester l'accessibilité d'une autre

machine à travers un réseau IP. Elle mesure également le temps qu’elle a

mis pour recevoir la réponse. C’est ce qu’on appelle , | le RTT qui signifie en
français le temps aller-retour.
|La commande Traceroute s’appuie sur-le-champ TTL des paquets IP.
|Chaque paquet IP possède un champ TTL qui se

décrémente à chaque passage d’un routeur. On
peut voir ça, comme la durée de vie maximum d’un
paquet IP.
Lorsque ce champ arrive à zéro, le routeur, considère que le paquet tourne

en boucle, et donc, il le détruira.
Cette commande permet de suivre le chemin qu'un paquet IP va prendre
pour aller d’un point à l’autre.

|Et la commande Telnet est un protocole qui permet de se connecter sur
un serveur distant.
Lorsqu’on l’utilise, |le numéro de port par défaut qui

est utilisé est le port 23.
PROBLÈME COMMUN LIÉ AU DUPLEX

|Nous avons vu qu’il était possible de configurer un port avec 3 modes
duplex différents :
• Half,
• auto
• et full.
Et qu’on pouvait aussi configurer la vitesse sur chacun des ports..
|Si l’un de ces paramètres est différent entre deux

équipements, cela pourrait causer pas mal de
problèmes de communication.
Que ce soit entre :
• 2 switches,
• un switch et un routeur,
• ou bien un poste de travail et un switch.

En général ça se produit quand on configure soit
même la vitesse et le mode duplex
|Par exemple si une extrémité est définie en full-duplex, et l'autre en half-
duplex, alors il y aura pas mal de problèmes.
|Et même si d’un côté on a du Full-Duplex, et de l'autre c’est configuré en
auto, il suffit que l’autonegociation échoue, et fasse passer le port en Half
duplex pour qu’ il y ait une incompatibilité.
Ce qui peut causer, de grosses lenteurs sur le

réseau et de nombreuses pertes de connexion…
|La commande « show interface », suivie du numéro de l’interface,
|permets de vérifier les paramètres duplex et de vitesse.
Si le protocole CDP est activé, et qu’il y’a des problèmes de Duplex, |alors
il est possible de voir des messages d’erreur s’afficher directement sur la
console.
CDP est un protocole de découverte de réseau qui

travaille à la couche 2.
Il permet de trouver d'autres périphériques voisins qui sont directement
connectés.
On a vu que sur la console, des messages d’erreurs de type duplex
pouvaient s’afficher automatiquement. Et bien c’est aussi le cas quand une

interface tombe. C’est-à-dire, quand elle passe d’un état « UP » en
« Down »
|voici le type de message qu’il est possible de trouver sur sa console.
|Et pour finir, si on veut configurer les différents modes duplex, il faudra
simplement utiliser la commande « Duplex » |directement dans l’interface !

COMPOSANTS D’UN ROUTEUR
LE RÔLE ET LES COMPOSANTS D’UN

ROUTEUR
Un routeur est un périphérique réseau qui transmet

des paquets entre différents réseaux ou LAN.
Les routeurs sont nécessaires pour atteindre les hôtes et périphériques qui
ne font pas partit d’un même réseau.
| Ils utilisent une table de routage pour parcourir les

réseaux.

À gauche nous avons le réseau| 192.168.1.0 avec un masque en /24.
Les adresses vont donc de 192.168.1.0 à 1.255.
À droite, nous avons le réseau |192.168.2.0.
Comme c’est le même masque, les adresses vont de 192.168.2.0 à 2.255.
Ne s’agissant pas du même réseau, si les machines

de gauche veulent communiquer avec celle de
droite, il faut mettre un |routeur afin d’aiguiller les
paquets.
|Les switchs permettent de communiquer dans un seul et même réseau.
Et les routeurs permettent la communication entre ces réseaux grâce à
|leurs interfaces connectées en direct sur chacun d’eux.
Ils utilisent des tables de routage pour acheminer le trafic entre différents
réseaux.
|Sur cette nouvelle topologie, qui vient de s’afficher, le switch du LAN A

commute ses données entre les liaisons du PC 10,11 et 12.
|Le switch de gauche communique que sur le réseau 192.168.1.0.

|Celui du LAN B, communique qu’avec les PC’s 20,21 et 22 qui
appartiennent au réseau 192.168.2.0.
Un PC qui fait partit du LAN A ne peut pas

communiquer avec un PC du LAN B, sans l’aide
|d’un routeur !
C’est eux qui permettent les communications entre les hôtes qui ne se
trouvent pas dans le même réseau.
Un routeur peut avoir |différentes interfaces connectées à différents
réseaux.
Et c’est comme ça qu’il peut d’acheminer le trafic d’un réseau à un autre.
|Cisco offre de nombreux routeurs différents, qui présentent de

nombreuses formes et tailles différentes. Ici nous avons de représenté un
routeur cisco ASR 1001 !
Même s’il existe différent modèle avec différentes fonctionnalités, la
principale fonction d'un routeur est de router les paquets.
Parmi les composants d’un routeur, on à :
• |La Carte mère: c’ est la carte centrale, qui contient les composants
critiques du système. Elle fournit des connexions à d'autres
périphériques et interfaces.
• |On a le Processeur. C’est la puce qui est installée sur la carte mère
et qui exécute les instructions.
• |Et on à des mémoires.

o il y’a 4 types de mémoires principales:

▪ |On à la RAM: qui stocke les données pendant que le
processeur travaille. C'est un type de mémoire volatile,
c’est-à-dire que son information est perdue lorsque
l'alimentation est coupée. |C’est là, où est stocké la
running-config.
▪ |On à La NVRAM, qui elle , conserve son contenu quand
le routeur est éteint. |C’est là où est stockée la startup-
config. Elle contient également le registre de
configuration du logiciel, qui sert à déterminer l'image à
utiliser lors du démarrage du routeur.
▪ |On à la ROM: qui est une mémoire morte de la carte
mère. Son contenu n'est pas perdu lorsque l'alimentation
est coupée. Les données stockées dans la ROM ne
peuvent pas être modifiées. Elle peut fournir une
interface utilisateur lorsque le routeur ne trouve pas le
fichier de la startup-config. |Et elle contient un logiciel
de démarrage qui aide le routeur à se lancer lorsqu'il ne
peut pas trouver d’ image IOS valide.
▪ |Et on a la mémoire Flash: qui est un stockage non
volatile et qui peut être effacé et reprogrammé. |C’est là
où est stockée l'image du logiciel Cisco IOS.
Sur cette représentation du routeur Cisco ASR 1001, on peut y voir

différents types de ports, ont à :
• |Des Ports de gestion: qui sont destinés pour y connecter un

terminal à fin de pouvoir administrer le routeur.
Par exemple, |le port console peut être utilisé pour y connecter un
PC et rentré dans l’IOS Cisco.
Les routeurs haut de gamme peuvent aussi avoir
• |un port Ethernet dédié qui ne peut être utilisé que pour
l’administration à distance pour pouvoir s’y connecter à partir d’un
autre sous-réseau. Pour être utilisé, ce port devra avoir une adresse
IP de configurée !

• |Quant à l' interface AUXilliaire du routeur, elle est utilisée pour la
gestion à distance, en y connectant par exemple, un modem.
• |Et on a les Ports réseau: le routeur possède de nombreux ports

réseau, comme des ports LAN ou WAN, qui peuvent accueillir soit
des câbles en cuivre ou bien de la fibre optique !
Une adresse IP doit être affectée sur chacun de ces

ports en service !

DIFFÉRENCE SWITCH ET ROUTEUR
DIFFÉRENCE SWITCH ET ROUTEUR

Dans ce cours, nous allons parler des différences entre les routeurs et les
commutateurs.
Alors… qu'est-ce qu'un routeur ou qu'est-ce que le

routage exactement?
On sait qu’un commutateur ‘Switch’ et un routeur ‘route’ ! C’est la base !
Mais qu'est-ce que ça signifie exactement ?

Dans les cours précédents, nous avons vu que les commutateurs, switch
les données en fonction des adresses MAC.
Sa seule préoccupation est de savoir sur quelle interface envoyer la trame
Ethernet en analysant l’adresse MAC de destination.

Le commutateur travaille à la couche 2, la couche
liaison de données !
Concernant, les routeurs, ils ont une tâche similaire, sauf qu’ils vont
examiner les paquets IP !
Ils examinent l'adresse IP de destination du paquet IP et envoient sur la
bonne interface.
Le routeur travaille donc à la couche 3, la couche

réseau !
Du coup , on pourrait avoir tendance à ce

demander, pourquoi ne pas utiliser que des
adresses MAC, comme ils sont aussi uniques sur le
réseau?
Ou bien pourquoi ne pas utilisé que des switchs?
Et bien, on va essayer de voir la réelle différence entre un commutateur et
un routeur !

=>| Ici sur le 1er schéma, nous avons deux commutateurs, qui contiennent
chacun 250 PC connectés !
=>| Maintenant, si l’ensemble des PC veulent communiquer ensemble, les
commutateurs doivent apprendre les 500 adresses MAC !!
Ils devront apprendre aussi bien les PC’s de gauche

que ceux de droite !
Maintenant, imaginez un plus grand réseau, ou il y’aurait des millions
d’appareils, par exemple Internet !
À votre avis, serait-il possible de stocker des

millions d'entrées dans la table MAC d’un même
commutateur?
Bien évidemment que non !
|Maintenant, prenons le même exemple, sauf que nous utilisons des
routeurs !
=>| Sur ce schéma, nous avons 250 PC connectés au routeur A, |qui font
partit du réseau 192.168.1.0, avec un /24 qui correspond à un masque de
sous réseau de 3 fois 255 .0.
=>| Le routeur B, a lui aussi 250 PC |et utilise le réseau 192.168.2.0, avec le
même masque.

Les routeurs «routent» en fonction des informations IP.
Dans notre exemple, le routeur A doit juste savoir que le réseau 192.168.2.0
est derrière le routeur B. Et inversement, le routeur B doit juste savoir que
le réseau 1.0 est derrière le routeur A.
|=>| Au lieu d'avoir une table d'adresses MAC avec

500 adresses, nous n'avons plus besoin que |d'une
seule entrée sur chaque routeur pour les autres
réseaux.
La principale différence est que les commutateurs utilisent des tables
d'adresses Mac pour transférer les trames Ethernet et les routeurs utilisent
une table de routage pour savoir où transférer les paquets IP.
Quand on sort un nouveau routeur de la boîte et qu’on le connecte pour la
1re fois, il va construire une table de routage, mais les seules informations
qu’il va enregistrer, ce sont uniquement les interfaces qui lui sont
directement connectées.
Tandis qu’un commutateur, lui il va inscrire dans sa table MAC, toutes les
infos qui viennent de partout !
Voilà pourquoi c’est beaucoup plus propre d’utiliser

un routeur !

FONCTIONNEMENT DU ROUTEUR
FONCTION DE ROUTEUR
Les routeurs ont deux fonctions importantes :
• |Tout d’abord, ils doivent déterminer le chemin ou transférer les

paquets, grâce à leur table de routage.
Chaque routeur conserve |sa propre table de routage en local. Cette table
contient la liste de toutes les destinations qu’il connait, ainsi que la façon
de les joindre.
Lorsqu'un routeur reçoit un paquet, il vérifie l'adresse IP de destination et
recherche la meilleure correspondance dans cette table.
Cela peut être une route qui lui est directement connectée, ou bien l’IP de
l’interface d’un autre routeur pour joindre la destination.

Si aucune entrée n’existe, pour le réseau de
destination alors il sera routé vers la route par
défaut !
Et si aucune route par défaut n’est configurée sur le routeur, alors le
paquet sera dropé. C’est-à-dire supprimé !
• La deuxième fonction importante du routeur est| le routage des

paquets:
Après avoir trouvé une correspondance vers le réseau de destination, le
paquet sera transmis vers une interface réseau.
Comme le montre cette topologie, chaque ligne de la table de routage

répertorie un réseau de destination et l’interface qui permet de joindre ce
réseau.

Si le réseau de destination est identique à l’une de ces interfaces, alors il
sera considéré comme « directement connecté ».
Par exemple, si le routeur 1 reçoit un paquet sur| son interface série 0/0/0,
à destination du réseau| 10.4.0.0, alors le paquet sera routé directement
vers l’interface |Fast Ethernet 0/1 !
Quand le paquet traverse un routeur, on dit qu’il fait un |saut.
Par exemple, si le routeur 1 reçoit un paquet sur son interface Fast
Ethernet 0/1, à destination du| réseau 10.3.0.0. Alors, dans ce cas, il doit
transférer le paquet vers l'interface du| routeur 2 qui porte l’IP 10.1.0.1.
Ensuite le routeur 2 se chargera lui-même de livrer le paquet.
Ce qui sera très facile pour lui, puisque |le réseau de

destination lui est directement connecté !
|Les routeurs prennent en charge trois mécanismes pour la transmission
de paquets:
• |On a le Process Switching: qui est le mécanisme d'acheminement

de paquet le plus ancien.
Chaque paquet nécessite une recherche dans la table de routage, ce
qui provoque d’énormes latences.
Aujourd’hui, il n'est plus trop utilisé.
Du moins dans les réseaux récents.

• |On a le Fast Switching : qui permet d’améliorer les latences du
mécanisme précédent.
Ici, les routeurs utilisent un cache pour stocker les destinations les
plus récentes.
Le premier paquet dont la destination n'est pas trouvée dans le
cache, il sera commuté par l’ancien mécanisme, et une entrée sera
créée dans le cache.
Les paquets suivants auront une commutation plus rapide, car leurs
destinations seront enregistrées dans le cache et le processeur
n’aura pas besoin de travailler pour trouver le chemin.
• |Et le dernier mécanisme est le Cisco Express Forwarding: qui est le

mode, le plus récent et le plus répandu.
Il intègre à lui-même, le meilleur, des mécanismes

précédents.
Ici, chaque modification apportée au réseau déclenche une mise à jour des
entrées du cache. C’est-à-dire, que lorsque quelque chose change dans la
topologie du réseau, la modification se reflète immédiatement dans le
cache.
Tous les paquets sont commutés à l'aide du cache, et même le 1er paquet !
C’est donc le mécanisme de transfert le plus rapide !
TABLE DE ROUTAGE
|Une table de routage contient la liste de tous les

réseaux connus du routeur ainsi que la façon de les
joindre.
Chaque ligne de la table de routage répertorie un réseau de destination
ainsi que l'interface ou l'adresse IP qui permet de l’atteindre !
Dans une table de routage on peut trouver différents types d'entrées :
• |on à celle qui sont directement connectés au réseau : tous les

réseaux appartenant au routeur sont automatiquement ajoutés à la

table de routage. Il s’agit d’un réseau, dont l'une des interfaces du
routeur fait partit.
• |On a des routes Static : ce sont des entrées configurées

manuellement sur le routeur. Ça peut être efficace pour de petits
réseaux, ou il n’ya pas d’énorme modification.
Par contre, si la topologie du réseau change régulièrement, ça risque
d’être très contraignant à l’administrateur réseau, car il devra
modifier manuellement l’ensemble des routes statiques sur chaque
routeur !
• |Nous avons des routes par défaut : si aucune entrée de la table de

routage ne correspond au réseau de destination du paquet, alors il
sera redirigé automatiquement vers la route par défaut ! Ça évite
que le paquet tourne en rond, le temps qu’il soit détruit
automatiquement par son| TTL.
Le TTL est une donnée placée au niveau de l'en-tête du
paquet IP qui indique le nombre maximal de routeurs de
transit.Si ce chiffre arrive à zéro, alors le paquet sera
détruit.
• |Et on a des routes Dynamic : le routeur peut apprendre les routes
automatiquement, lorsqu'un protocole de routage est configuré et
qu’une relation de voisinage avec d'autres routeurs est établie. Très
utile sur les grands réseaux, ou il y’a de nombreuses modifications.
|Et voici à quoi ressemble une table de routage d’un routeur !

La commande| « show IP route » permet de l’afficher !
|La première partie de cette sortie explique les codes associés aux entrées
de la table de routage.
• |La lettre C: est réservée aux réseaux directement connectés
• |La lettre L: est réservée aux itinéraires locaux et indique les

interfaces locales dans les réseaux qui lui sont directement
connectés
• |La lettre S est pour les routes statiques;
• |Le petit astérisque indique une route par défaut. Dans cet exemple,
la route par défaut est une route statique.

• |La lettre R: est réservée au protocole de routage RIP
• |La lettre O: pour OSPF
• |Et la lettre D: pour le protocole de routage EIGRP

PROTOCOLE DE ROUTAGE DYNAMIQUE
PROTOCOLE DE ROUTAGE DYNAMIQUE

Un protocole de routage est un ensemble de processus, d'algorithmes et
de messages que les routeurs se partagent dynamiquement.
|OSPF , EIGRP , RIPv2 et IS-IS sont des protocoles de

routages dynamiques.
Il existe deux types de protocoles de routage dynamique :
• |il y’a ceux à vecteur de distance
• et ceux à |état de lien.

Les protocoles de routage à vecteur de distances| construisent eux-
mêmes les tables de routages.
Par contre, aucun routeur ne possède la vision globale du réseau, car la
diffusion des routes se fait uniquement de proche en proche.

Dans le terme « vecteur de distances », on peut associer le mot
« Vecteur », comme un tableau qui comprend les autres nœuds du réseau.
Et le mot « distance » correspond au nombre de sauts qui permet
d'atteindre les routeurs voisins.
|Et dans un protocole de routage à état de liens, ici, chaque routeur
connait entièrement la topologie du réseau, c’est-à-dire que les routeurs
ne se fient pas qu’à leurs voisins !
Les routeurs qui exécutent des protocoles de routage échangent des
messages afin de conserver leurs tables de routage à jour.
Lorsqu'un routeur se rend compte qu’il y’a eu une modification dans le
réseau, ou bien un nouvel itinéraire, alors, il en informera ses voisins qui
font partit du même protocole de routage.
De cette manière, tous les routeurs maintiennent

dynamiquement leurs tables de routage à jour.
Les routeurs choisissent le meilleur chemin vers les réseaux de destination
en fonction de plusieurs critères :
• |On à la Bande passante: c’est le débit du lien entre routeurs
• |Il y’a le Délai: c’est la durée que met le paquet IP à se déplacer d’un
point à un autre
• |On a le Cout: qui est une valeur prédéfinie, et qu’un admin réseau
peut modifier manuellement s’il le souhaite.
• |Et on a le Nombre de sauts : qui est le nombre de routeurs qu’un

paquet IP doit parcourir avant d'arriver à sa destination.
Pour déterminer le meilleur chemin vers une

destination, les protocoles de routage utilisent une
métrique.
Chaque protocole de routage dispose de sa propre métrique,et de sa
propre façon de calculer le chemin le plus court, à l’aide de son
algorithme.

Les métriques peuvent être basées soit sur un seul critère, comme celui du
nombre de sauts pour le protocole RIP, ou bien sur plusieurs critères,
comme c’est le cas pour eigrp.
En générale, plus la valeur métrique est basse, et

meilleure est la trajectoire.
Les tables de routage peuvent être remplies| à partir de trois types de

sources:
• |les réseaux directement connectés,
• | les routes statiques
• et |les protocoles de routage .

Le routeur doit pouvoir évaluer les informations de routage de toutes les
sources et sélectionner la meilleure route pour remplir sa propre table de
routage.
Pour ça, ils utilisent une fonction qui s’appelle

la| distance administrative.
Dans le cas, où il y’a plusieurs routes disponibles vers une même
destination, la distance administrative permettra de sélectionner le
meilleur chemin !
|C’est elle, qui définit la fiabilité de la route.
Plus la distance administrative est petite, et plus la

source de l’itinéraire est de confiance.
Chaque type de source possède une distance administrative par défaut.
Par exemple, |les réseaux directement connectés ont une distance
administrative de 0, ce qui empêche, toute autre entrée dans la table de
routage pour les réseaux qui sont déclarés sur le routeur !
|Les routes statiques ont une distance administrative par défaut de 1;

ça signifie que si vous configurez une route statique, elle sera prioritaire
par rapport à l’ensemble des protocoles de routages.
À part, si le réseau de destination est directement connecté au routeur !
|Et chaque protocole de routage possède sa propre distance
administrative par défaut.
Par exemple la distance administrative du protocole de routage « RIP » est
120.
|On va prendre un exemple, ici le routeur, reçoit deux mises à jour de

routage:
• |un message à partir d' OSPF
• et un autre |à partir d' EIGRP .

La métrique utilisée par EIGRP a déterminé que le meilleur chemin vers le
réseau 192.168.0.0 est en passant par l’IP 10.0.0.5.
Mais la métrique utilisée par OSPF pour le même sous-réseau est par l’IP
172.18.7.0.
Dans ce cas, le routeur va devoir utiliser la distance administrative pour
déterminer le chemin qui sera installé dans sa table de routage.
|Alors à votre avis, quel protocole de routage va

choisir le routeur ?
Et bien dans ce cas, vu que la distance administrative pour OSPF est de 110
et 90 pour EIGRP, |il choisira la route EIGRP et l'ajoutera dans sa table de
routage.
Le protocole de routage avec la distance

administrative la plus faible gagne toujours lorsqu’il
y’a plusieurs chemins dans la table de routage.
Avec les sous-réseaux, une adresse de destination peut correspondre à
plusieurs entrées dans la table de routage.
Dans ce cas, ce sera le réseau le plus précis qui sera

prioritaire. Un réseau plus précis est le réseau le
plus petit.
|Par exemple, dans cette table de routage il y’a 2 IP identiques avec un
masque différent.
• Un /16
• et un /24.

| Ce sera le réseau avec le /24 qui sera sélectionné, car il a le masque le
plus élevé et donc le réseau plus petit.

CONFIGURATION DE BASE DU ROUTEUR
CONFIGURATION DE BASE DU ROUTEUR

Lors du premier démarrage d’un routeur, et c’est pareilles pour un switch,
il faut s’assurer d’avoir connecté un PC sur le port console, pour visualiser
le démarrage de l’IOS et commencer la première configuration du routeur.
|Lorsqu'un routeur démarre, il effectue tout une série de tests, connu sous
le nom de POST.

Ça permet de vérifier le bon fonctionnement du processeur, de la
mémoire et de ses interfaces.
Si tout est « OK », |le routeur chargera l’image IOS.

Et une fois que l’image est montée, |il va rechercher le fichier de
configuration de démarrage dans sa NVRAM.
|Si le routeur ne le trouve pas, il lancera un petit outil, qui permettra
d’apporter une configuration minimale.

Pour ignorer cette boite de dialogue et configurer manuellement le
routeur, il suffit de répondre « no » à la première question et de valider.
Et après avoir rentré « no », ou bien si le routeur trouve directement sa
startup-config, alors| l'invite de commande en mode utilisateur apparaitra.
|La commande « show version » permet de vérifier le statut du routeur
|Pour vérifier la configuration en cours d'exécution du routeur, c’est-à-dire

la running-config, il faut utiliser la commande « show running-config »

|L'une des principales fonctions d'un routeur est de
transférer des paquets d'un périphérique réseau à
un autre.
Pour qu’il puisse effectue cette tâche, il faut lui configurer ces interfaces
sur lesquelles il recevra et enverra les paquets.
Il existe deux types d'interfaces physiques pour les routeurs Cisco:
• il y’a |les interfaces Ethernet
• et |les interfaces série .

Une interface Ethernet de 10 Mégas se configure avec la commande
« interface Ethernet ». Dans l’exemple on souhaite rentrer dans le mode
configuration de l’interface 0/1.

Si c’est du 100 mégas, la commande sera : « interface fastethernet »
Et les interfaces série, qui permettent de supporter des liaisons point à

point, se configurent avec la commande :
« interface serial » suivie du numéro d’interface.
Dans l’exemple il s’agit de l’interface série 0/0/0
Il y’a aussi un autre type d’interface, qui est l’interface de |bouclage !

Plus connu sous le nom de « loopback » .
Il s’agit d’une interface virtuelle, c’est-à-dire qu’elle

n’est connectée à aucun périphérique !
Elles sont très utiles, car elles ne peuvent jamais tomber en panne, à
moins que le routeur soit complètement éteint.
Pour la configurer, il faut utiliser la commande « interface loopback ».
Dans l’exemple, on lui donne l’identifiant « 0 » et on lui attribue l’IP en 4fois

1!
Un masque en 4 fois 255, c’est-à-dire, que tous les bits du masque sont à 1,
indique qu'une seule adresse IP est utilisée dans le sous-réseau.

La plage IP comprend donc qu’une seul IP, celle en
4 fois 1 !
Par défaut, et contrairement à un switch, quand un routeur est démarré
pour la première fois, l’ensemble de ces interfaces sont désactivées !
Pour activer une interface, il faut utiliser| la commande : « no shutdown »
Et pour désactiver une interface, par exemple si on a besoin de configurer

certaines choses sur un segment du réseau, il faudra utiliser| la
commande : « shutdown » directement dans le mode de conf de
l’interface !
Si vous avez besoin de redémarrer une interface, alors il suffit simplement

|de combiner les deux commandes en faisant un : « shut/no shut » sur
l’interface en question !
ADRESSES IP SUR LES INTERFACES DU

ROUTEUR

|Une adresse postale identifie les emplacements de maisons et
d'entreprises afin que le courrier puisse arriver correctement.
Et bien c’est pareil chez les routeurs !

Chaque interface doit avoir sa propre adresse IP, pour être identifiée sur le
réseau et faire transiter des paquets IP.
Si aucune adresse IP n'est configurée, même si l'interface est activée, le

routeur ne pourra pas envoyer de paquets IP dessus.
|Configurer une adresse IP sur une interface est relativement simple.
Il suffit d’utiliser la commande :
| IP address + son IP et le masque de sous-réseau qui va avec.
Comme dans cet exemple, pour la configuration

d’une interface série.

LIVRAISON D’UN PAQUET IP
LIVRAISON D’UN PAQUET IP

La livraison de paquets d’hôtes à hôte comporte une série de processus.
Nous allons les voir en détail, lorsque le PC communique avec le serveur
qui se trouve sur un autre sous-réseau.
Le PC, souhaite envoyer| ces données, au serveur. L’application qui gère

ses données n’a pas besoin d’une connexion fiable.
Elle va donc utiliser le protocole UDP.

|UDP prépare donc son entête et passe la PDU au |protocole IP, en lui
disant qu’il souhaite envoyer ces données au serveur !

Lorsque le PC analyse l'adresse de destination, il s’aperçoit qu’elle ne fait
pas partit de son sous-réseau !
Il va donc l’envoyer |à sa passerelle par défaut, qui est l’IP du routeur local.
La 192.168.1.254.
Le protocole IP encapsule la PDU dans un paquet de couches 3 et la
transmet à la couche 2 avec comme instructions de la donner à la
Le souci c’est que le PC n’a pas la Mac-adresse de

sa gateway.
Pour distribuer le paquet, le PC a besoin de l’adresse Mac de la passerelle
par défaut.
Et la table ARP du PC n'a aucune entrée.
Le PC doit donc d’abord résoudre ce problème avant de continuer.
Le paquet est pour l’instant |mis en attente, jusqu’à ce que le PC obtienne
cette Mac-adresse !
|Le PC va utiliser le protocole ARP pour demander au routeur la mac
adresse de sa gateway.
Quand le routeur reçoit cette requête, il voit qu’à l’intérieur du paquet

ARP, qui vient de son port Fa0/0, il y’a la mac adresse source du PC.
|Il en profite donc pour remplir sa propre table ARP.

Désormais, le routeur sait que l’IP 192.168.1.10 correspond à la mac adresse
qu’avec des A !
|Le routeur traite ensuite la requête ARP en répondant au PC qu’il est bien
le 192.168.1.254 avec une mac-adresse qu’avec des « C » .

|Le PC reçoit bien la réponse ARP à sa propre
demande et les ajoute à sa table ARP.
|La frame qui était en attente est envoyé avec l'adresse IP et la mac
adresse source du PC.
L'adresse IP de destination est bien celle du serveur de l’autre sous-
réseau, mais par contre, et c’est là où il faut faire attention, l'adresse MAC
de destination est celle de la passerelle par défaut.
Ce n’est pas celle du serveur !

|L'adresse MAC de destination est celle de la passerelle par défaut.
Lorsque le routeur reçoit cette frame, il reconnait bien son adresse MAC et
traite le paquet.
Comme l’adresse IP de destination lui est inconnue, il passe le paquet |à
son processus de routage, qui va tenter de trouver une correspondance
dans sa table de routage.
Dans cet exemple, le réseau de |destination lui est directement connecté.
C’est pourquoi le paquet sera routé directement par |l’interface Fast
Ethernet 0/1 !
Ensuite le processus reste identique qu’au début, c’est-à-dire que le
routeur va envoyer une requête ARP pour trouver la Mac adresse qui
correspond à l’IP de destination. Celle du serveur.
|L’entête sera donc modifié, et cette fois-ci le paquet parviendra sans
problème au serveur !
Vous pouvez remarquer que le routeur modifie les

adresses MAC source et de destination, tandis que
les adresses IP source et de destination restent les
mêmes.
Quant aux switchs, lui, il ne modifie en rien le paquet.
Lorsqu’il le reçoit, il doit le renvoyer sur le bon port

selon sa table de MAC Adresse !

DÉPANNAGE DES PROBLÈMES
COURANTS
DÉPANNAGE DES PROBLÈMES COURANTS

AVEC LES COMMANDES IMPORTANTES
Dans ce cours, nous allons voir en détail, les différents process pour
dépanner un réseau.
Sur cette topologie, le PC ne peut pas communiquer avec le serveur qui se

trouve sur un réseau distant.
On va voir quatre étapes de dépannage, qui sont recommandées de faire à
partir du PC.

1. |Tout d’abord, on commence par essayer de pinguer l’adresse de
loopback. Pour ça, il faut ouvrir une fenêtre « d’invite de
commande » et faire un ping de l’IP 127.0.0.1.
Cette IP est l'adresse de loopback.

Elle permet de tester le protocole TCP de sa propre machine.
Si le ping réussi, c’est que la pile TCP/IP fonctionne.
Et en cas d’échec, c’est qu’il y’a une défaillance TCP/IP, et dans ce
dernier cas, faudrait voir à réinstaller ou réinitialiser la carte réseau
du PC.
2. |Ensuite on peut essayer de pinguer l’hôte local. C’est-à-dire, sa
propre IP.
Dans l’exemple il s’agit de l’IP du PC qui est la 192.168.1.1.

Si le ping réussi, c’est que la carte réseau du PC fonctionne
parfaitement.
La pile TCP/IP peut communiquer avec la carte réseau à
travers son pilote.

Si le ping échoue, faudrait probablement revoir en détail les
paramètres TCP/IP du PC.
3. |Si le problème n’a toujours pas été ciblé, on peut tester un ping vers
la passerelle par défaut, c’est-à-dire la Gateway !
En principe, il s’agit de l’IP de l’interface du routeur. Sur cette topo,

c’est l’IP 192.168.1.254.
Si le ping fonctionne, c’est que la carte réseau est bien connectée au

switch et qu’elle peut communiquer correctement avec son propre
réseau local.
Et si le ping échoue, c’est qu’il y’a un problème en local qui pourrait

être n'importe où, entre le pc et le routeur.
4. |Si les 3 premières étapes réussissent, alors qu’il ya toujours un
problème de communication entre le PC et le serveur, on peut
tester directement un ping de celui-ci ! C’est-à-dire, qu’à partir du
PC on lance un « ping 192.168.2.1 ».

Dans l’exemple, on voit que le ping fonctionne parfaitement. Cela
veut dire que la communication IP entre le PC et le serveur distant
est bonne.
Le réseau physique distant fonctionne.
Si toutes ces étapes sont correctes et qu’il y’a

toujours un problème de communication avec le
serveur, c’est qu’il y’a probablement un problème
de| résolution de nom, dans ce cas, il faudrait
penser à vérifier les paramètres DNS !
|Le principal objectif d’un admin réseau est de s’assurer que les
équipements réseau fonctionnent convenablement.
On va voir les principales commandes qu’il faut

connaitre pour dépanner au mieux le réseau .
|La commande « ping » permet de tester l'accessibilité d'une autre
machine à travers un réseau IP.
Elle mesure également le temps qu’elle a mis pour recevoir la réponse,
c’est ce qu’on appelle le| RTT qui se traduit en français par le temps aller-
retour.
Cette commande utilise |une requête ICMP Request et attend une
réponse ICMP Reply.
Un envoi répété permet d’obtenir des statistiques, pour déterminer le taux
de paquets perdus et le délai moyen de réponse.

|La commande Traceroute, ou tracert sous Windows, est une commande
qui permet de suivre les chemins qu'un paquet IP va prendre pour aller
d’un point à un autre.
Les paquets IP sont acheminés vers la destination en passant d'un routeur
à un autre.
Chaque routeur examine sa table de routage pour

déterminer le routeur suivant.
La commande Traceroute va permettre d'identifier les routeurs qui ont été
traversés, et d’ indiquer le délai entre chacun des routeurs, ainsi que, les
éventuelles pertes de paquets.
Ces informations sont très utiles pour diagnostiquer des problèmes de
routage, comme des boucles. C’est-à-dire des paquets IP qui tournent en
rond !
|La commande Arp -a permet d’afficher la correspondance entre les
adresses IP et les mac adresse sur un PC.
|La commande Show IP arp est identique à un arp -a, sauf qu’elle s’exécute
sur un routeur Cisco, et permet d’afficher aussi la table ARP.
| Ipconfig ou ipconfig /all est un utilitaire de ligne de commande
disponible sur toutes les versions de Windows. Il permet d'obtenir les
paramètres IP d'un PC. L' option « / all » à la fin de la commande
« ipconfig » permet d’afficher l'adresse IP, le masque réseau et la
passerelle par défaut, pour toutes les cartes réseau physiques et virtuelles.
Elle affiche même les paramètres DNS.
|La commande Telnet est une application qui permet de se connecter sur
des périphériques distants. Telnet, et même SSH, sont des protocoles de
terminaux virtuels qui font partie de la suite TCP / IP.
Ils permettent d’établir des connexions d'un périphérique réseau à un ou
plusieurs périphériques distants. Pour se connecter à un hôte qui prend en
charge Telnet, il faut utilisez la commande Telnet + l’IP de l’hôte à
connecter :
|Et SSH est le remplaçant de Telnet, qui lui, est beaucoup plus sécurisé, car
la communication entre le client et le serveur est cryptée.

Il existe deux versions de SSH. |SSHv1 et SSv2.
Le mieux est d’utiliser SSHv2, car il utilise un algorithme de cryptage
beaucoup plus amélioré.
Pour démarrer une session cryptée avec un périphérique réseau
à distance, il faut utiliser la commande ssh + de l’hôte à connecter.

VECTEUR DE DISTANCE ET ÉTAT DE LIEN
PROTOCOLES DE ROUTAGE À VECTEUR

DE DISTANCE ET À ÉTAT DE LIEN
Les routeurs permettent de choisir le chemin que les données vont
emprunter pour arriver jusqu’à la destination.
Ce sont des équipements qui ont plusieurs cartes

réseau, dont chacune est reliée à un réseau
différent.
Un protocole de routage est un ensemble de processus, d'algorithmes et
de messages qui permet d'échanger des informations sur les différents
itinéraires !
Et toutes ces infos sont stockées, dans ce qu’on

appelle : |une table de routage !

C’est dans cette table que les routeurs apprennent les meilleurs itinéraires
pour aller vers une destination !
Ces informations sur les différentes routes sont partagées
dynamiquement entre routeurs.
C’est-à-dire que, lorsqu'un routeur reçoit des infos sur une nouvelle route,
ou bien, simplement un changement d’itinéraire, alors, il mettra à jour sa
propre table de routage, et il partagera ces infos aux autres routeurs.
De cette façon, tous les routeurs ont des tables de

routage très précises qui sont mises à jour
dynamiquement !
Tous les protocoles de routage ont le même but ! C’est d’ apprendre les
réseaux distants et de s'adapter rapidement, dès qu'il y a un changement
dans la topologie.
Et pour y arriver, et bien, tout dépend de l’algorithme du protocole de
routage, et de ces caractéristiques !
Tout ce travail, pour calculer les itinéraires, utilise la mémoire et le
processeur du routeur !
Et de plus, quand les routeurs partagent leurs informations sur les
différentes routes, et bien ça consomme de la bande passante !
Ce qui peut causer des problèmes sur des liens qui n’ont pas un gros
débit !
Par exemple les protocoles de routages EIGRP et OSPF sont très très
bavards et travaillent énormément pour avoir la meilleure table de
routage. C’est-à-dire la table, la plus à jour possible.

|Parmi les protocoles de routages dynamiques, nous avons |2 grandes
familles qui sont :
• IGP
• et EGP !
On va plutôt se focaliser sur les protocoles de routage intérieur !
Parmi eux, il y’a deux types différents :
• |Ceux à vecteur de distance
• et ceux à état de lien.
|Les protocoles de routage à vecteur de distances permettent de

construire des tables de routages sans aucune vision globale du réseau.
Le terme | « vecteur » vient du faite, que le protocole manipule des
tableaux vers les autres nœuds du réseau.
Et le mot | « distance » est le nombre de sauts qui lui permet d’atteindre
les autres routeurs !
IGRP et RIP sont des protocoles de routage à vecteur de distance.
|Et on à ceux à état de lien: qui utilise un algorithme beaucoup plus

efficace. Ici, les routeurs construisent leurs tables de routage, en fonction
du coût des différentes liaisons !
OSPF et ISIS sont des protocoles de routage à état de lien. Ils ont
l’avantage d’avoir une convergence très rapide.
|Alors petite exception pour le protocole propriétaire Cisco, qui est EIGRP.
Ce dernier est plutôt classé comme un protocole

de routage à vecteur de distance avancé !
On peut aussi l’appeler « hybride », car il reprend les concepts de
fonctionnement de ceux à état de liens !

VECTEUR DE DISTANCE VS ÉTAT DE LIEN
PROTOCOLE DE ROUTAGE À VECTEUR DE

DISTANCE ET À ÉTAT DE LIEN
Un protocole de routage permet d’échanger des informations sur les
différents réseaux !
Ils permettent de choisir le meilleur chemin pour

chaque réseau.
Et toutes ces infos sont stockées dans la table de routage de chaque
routeur !
Les protocoles de routage permettent de mettre en oeuvre un routage
dynamique, c’est-à-dire un routage automatisé, contrairement au routage
statique qui demande la configuration manuelle des différentes routes.
|On distingue deux environnements différents de protocoles de routage.
• Ceux qui sont internes à un système autonome
• et ceux qui y sont externes.

Un système autonome est un ensemble de réseaux
faisant partie d’un même groupe.
|Les protocoles OSPF, RIP, IS-IS et EIGRP sont des IGP: c’est-à-dire qu’ils
sont utilisés entre équipements d’un même domaine d’administration,
donc dans un même AS.
|Et le protocole BGP est le seul protocole qui permet d’échanger des
informations de routage entre des systèmes autonomes différents.
Par exemple la liaison entre notre réseau à la

maison et celui de notre fournisseur d’accès à
internet, se fait en BGP
Le principal objectif d’un protocole de routage est de maintenir à jour sa
table de routage pour éviter les boucles réseau !
|Alors Il existe deux familles de protocole de routages :
• ceux à vecteur de distance
• et ceux à état de liens.

Vecteur de distance signifie que les routes sont échangées entre routeurs
en indiquant la direction et la distance.
|La distance correspond à ce que l’on appelle la métrique :

par exemple pour le protocole RIP, il s’agit du nombre de routeurs à
traverser avant d’atteindre la destination.
|Et le mot « vecteur » qui se traduit par Direction correspond à l’endroit ou
envoyer le paquet.
C’est-à-dire quelles interface ou vers quel routeur.

Les protocoles RIP et EIGRP font partie de la famille des protocoles de
routages à vecteur de distance.
|OSPF est un protocole à état de liens.
Ici, l’approche est complètement différente et se déroule en deux étapes:
• D’abord chaque routeur va établir une cartographie du réseau en

échangeant entre eux des informations sur les différents liens.
• Et ensuite, ils définiront quels chemins prendre pour aller vers

chaque destination!

RÉSUMER : ROUTEUR ET ROUTAGE
CONFIGURATION BASIC D'UN ROUTEUR

Dans ce cours, nous allons configurer une connectivité entre deux PC qui
passe par un routeur !
|Pour commencer, on se connecte sur le routeur, et on lui configure

l’adresse IP 192.168.1.254 |avec un masque de 3 fois 255.0 sur son interface
Fast Ethernet 0/0 et l’IP| 2.254 pour l’interface 0/1.

On s’assure de bien monter les interfaces avec la
commande « no shutdown »
Nous avons donc le réseau| 192.168.1.0/24 à gauche et le réseau
|192.168.2.0/24 à droite
Si on lance la commande| « ipconfig » sur le PCA, |on voit qu’il porte l’IP 1.1
et que la passerelle par défaut est bien l’IP de l’interface 0/0 du routeur.
|Du côté du PCB, il s’agit de l’IP| 2.2 , avec comme passerelle par défaut
l’interface 0/1 du même routeur!

Maintenant si on lance la commande| « show IP route » sur le routeur , on
voit bien nos deux réseaux, la 1.0 et la 2.0, qui lui sont directement
connectés !
Admettons que le PC A souhaite communiquer avec le PCB !
|Tout d’abord, il va préparer un paquet IP à destination de la 192.168.2.2 !

Comme le PC A se rend compte que cette IP ne fait pas partit de son
propre réseau, | alors il l’envoie directement à sa passerelle par défaut !
C’est-à-dire, l’adresse| 192.168.1.254, qui correspond à l’interface |0/0 du
routeur
Quand le routeur reçoit le paquet, il vérifie l’adresse IP de destination, et
analyse sa table de routage.
Comme l’adresse IP 192.168.2.2 correspond bien au réseau |192.168.2.0/24,
le routeur transmet le paquet |directement sur son interface 0/1 !
|Et le PCB reçoit bien le paquet IP qui lui était destiné !

ROUTER-ON-A-STICK
Maintenant que nous avons vu comment fonctionnait un routeur, on va se
pencher sur sa configuration.
Et principalement sur la méthode « Router On A Stick », c’est-à-dire avec
des sous-interfaces !
Sur ce schéma, nous avons un commutateur, sur lequel est connecté 2

PC’s qui font partit de deux vlan différents, le Vlan 10 et le 20 !
Et à droite un routeur qui est raccordé sur notre switch avec un seul
câble !
Le routeur doit avoir accès aux deux réseaux VLAN pour qu’il puisse faire
son travail de routage !
Autrement dit, il doit avoir 1 interface faisant partit du réseau 192.168.10.0,
qui est le vlan 10 et 1 seconde interface dans le réseau 192.168.20.0, du vlan
20 !

Afin d’éviter d’acheter une seconde interface, | on
va plutôt créer des sous-interfaces sur le routeur.
Ce sont des |interfaces virtuelles dans lesquels nous pouvons configurer
une adresse IP pour chaque sous-interface !
Pour les nommer, on peut choisir| n’importe quel numéro, mais il est tout
de même préférable d’utiliser les |numéros de VLAN, pour mieux s’y
retrouvé en cas de dépannage.
Une sous interface 0.10 pour le Vlan 10, et 0.20 pour le Vlan 20 !
Voyons maintenant comme les configurés !
|On va commencer, par monter l’interface physique 0/0, du routeur, en

faisant un « no shut »
|Ensuite on va rentrer dans le mode de configuration de la sous interface

0.10.
La commande « encapsulation dot1Q » (+ le numéro du vlan) est très
importante, car elle permet de montrer au routeur à quel vlan appartient
cette interface.
Et la commande « ip address » permet d’affecte une IP faisant partit du
même réseau que le Vlan10, sur l’interface virtuelle.
Ici on choisit la dernière utilisable, la .254.
Cette IP sera donc notre passerelle par défaut pour

l’ensemble des PC’s du Vlan 10
|Et on fait pareil pour la sous interface 0.20 !

La 0.10 appartient au vlan 10 et la 0.20, au vlan 20 !
Et pour finir, on va aller voir ce qui se passe dans la table de routage |avec
la commande « show ip route »
On y voit bien nos deux sous interfaces faisant partie des 2 sous-réseaux.
Cela permet au routeur de pouvoir router entre les deux VLAN.
C’est-à-dire que les PC du vlan 10 peuvent communiquer avec ceux du
vlan 20, en passant par le routeur.
À condition, bien sûr, que leurs gateway soient correctement configurés !
ROUTAGE STATIQUE
Dans ce cours nous allons parler du routage statique !
Ici, nous avons 2 routeurs !
Le routeur A, à deux interfaces Fast Ethernet. La 0/0 et la 0/1.

Le réseau 1.1.1.0 a été configuré sur la patte 0/0 et le réseau 5.5.5.0 est du
côté de l’interface 0/1.

Le routeur B a lui aussi deux interfaces Fast Ethernet.
Le réseau 2.2.2.0 est du côté de la patte 0/0, et on retrouve le même
réseau que le routeur A, le 5.5.5.0, sur son interface 0/1 !
La | « .1 » du côté du routeur A, signifie que la pâte Ethernet 0/1 porte l’IP
5.5.5.1.
Et le| « .2 » du côté du routeur B correspond à l’IP 5.5.5.2
Contrairement à un commutateur, sur un routeur,

on configure une adresse IP unique sur chaque
interface.
Et chaque interface d’un même routeur doit appartenir à des réseaux
différents !
Par contre, à l’autre bout de chaque interface, il doit y avoir le même
réseau !
Ici, chaque routeur, contient dans sa table de routage, 2 entrée.
Ce sont les réseaux qui lui sont directement connectés !
Si vous regarder bien la table de routage, le routeur A, n’a aucune
connaissance du réseau 2.2.2.0 qui se situe derrière le routeur B.
Et inversement , le routeur B ne connait le réseau qui se situe à l’autre
bout : le 1.1.1.0 !
Alors, comment faire, pour que les 2 routeurs prennent connaissance de
ces 2 deux réseaux ?
Et bien, il y’a deux façons pour leur faire apprendre !
• |Soit par le routage statique
• ou bien |par le routage dynamique !

Si vous utilisez un routage statique, vous devrez tout faire par vous-
même.
C’est-à-dire, que c’est à VOUS de dire au routeur où envoyer des paquets
IP pour tel ou tel réseau !

Alors ça peut être amusant au début, mais ça demande tout de même
beaucoup de travail !
Et un bon informaticien est un informaticien fenian,

c’est-à-dire qu’il préfère automatiser ses tâches !
Et le routage dynamique signifie que nous utilisons un protocole de
routage qui échangera les informations des réseaux entre les routeurs.
On va commencer par voir la configuration de route statique !
Sans routage, le Routeur A ne peut pas joindre le réseau 2.2.2.0 qui est à
l’autre bout !
Admettons que nos routeurs sont sortis d’usine, on

va les configurer entièrement.
|Tout d’abord, on se connecte sur le routeur A et on accède en mode de
configuration globale !
|Ensuite, je configure l’adresse IP 5.5.5.1 sur l’interface 0/1 et l’adresse

1.1.1.254 sur la pâte 0/0 !
N’oubliez pas de faire un « no shut » pour monter les interfaces !
|Et je configure aussi les IP’s du côté du routeur B !

Avant de configurer notre route statique, on va aller regarder les tables de
routage des 2 routeurs, en faisant un | « show IP route »
Par défaut, un routeur ne connaît que ses réseaux qui lui sont directement
connectés.
C’est pour ça que le routeur A, ne voit que les réseaux 5.5.5.0 et 1.1.1.0.
Le routeur B, lui, voit aussi le 5.5.5.0 et voit le réseau 2.2.2.0 !

Pour le moment, le routeur A, n’a aucune idée pour joindre le réseau
2.2.2.0/24, car il n'y a pas d'entrée dans sa table de routage.
|C’est pourquoi nous allons créer une route statique pour indiquer au
routeur A comment joindre le réseau derrière le routeur B !
La commande | « IP ROUTE » permet de créer une route statique.

|Le réseau 2.2.2.0 est le réseau que nous voulons atteindre à partir du
routeur A.

|L’adresse 3 fois 255.0 est le masque de sous-réseau du réseau qu’on veut
atteindre.
|Et l’adresse 5.5.5.2 est ce qu’on appel l'adresse IP du saut suivant, ou le
next hop en anglais !
Il s’agit de l'adresse où nous voulons envoyer le trafic.
Donc en gros, je dis au routeur A, que dès qu’il

reçoit des trames à destination du réseau 2.2.2.0,
alors je les transfère vers la pâte 0/1 du routeur B.
Et comme ce réseau lui est directement rattaché, il n’y aura pas de
problème !
Pour finir, on va retourner voir notre table de routage du routeur A !
|Ici, La commande « show IP route » nous affiche bien, cette fois-ci, une
entrée pour| le réseau 2.2.2.0/24.
Et si on souhaite construire le chemin retour, c’est-à-dire que le routeur B
puisse joindre le réseau derrière le routeur A, il faudrait lancer la
commande sur le| routeur B : IP ROUTE 1.1.1.0 3 fois 255.0 5.5.5.1 !
|Et comme ça les PC de gauche peuvent

communiquer sans problèmes avec ceux de droite !
Chaque fois qu'un paquet IP arrive sur un routeur, il vérifie sa table de
routage pour voir s'il connaît le réseau de destination. Si oui, il transmettra
le paquet IP et s’il n’en a aucune idée alors le paquet sera supprimé.
On peut aussi dire que le paquet sera dropé !

ROUTAGE DYNAMIQUE
Comme vous l’avez vu, le routage statique est très simple à mettre en
place !
Mais il comporte de nombreux inconvénients…
Par exemple sur cette topologie, il y’a beaucoup de routeurs et donc aussi
beaucoup de réseaux !
Si je veux que l’ensemble de ces routeurs puissent communiquer entre
eux, je vais devoir configurer beaucoup de routes statiques !
Et si un des liens tombe, je devrais modifier mes routes manuellement
pour que mon trafic puisse emprunter un nouveau chemin !
C’est pourquoi cette topologie serait + appropriée

pour du routage dynamique !
Avec un protocole de routage dynamique, les infos de l’ensemble des
réseaux circulent en permanence entre les routeurs !
L’avantage c’est que si un lien tombe entre deux routeurs, alors il se
mettra à jour automatiquement, pour trouver un nouveau chemin !

|Il existe différents types de protocoles de routage :
Sur cette topologie composée que de routeur, nous avons des| systèmes
autonomes ! C’est ce qui est représenté dans le nuage. Ici nous avons l’AS
10 à gauche et l’AS 20 à droite.
Un système autonome est un ensemble de

routeurs qui appartiennent à un seul domaine
administratif.
Par exemple votre réseau d'entreprise pourrait être un système autonome.
Votre fournisseur de services Internet dispose de son propre réseau, qui
est lui aussi un autre système autonome.
|À l’intérieur d’un système autonome, les protocoles de routage qui
circulent sont de type |IGP !
Les protocoles de routage OSPF et EIGRP sont des protocoles de routage
interne !
|Entre les systèmes autonomes, on y trouve des| protocoles de routage
|externe,qui se prénomme EGP.

Dans un type EGP, on utilise qu’un seul protocole de routage sur Internet.
Il s’appelle BGP.
Pour l’instant on va rester sur le type interne, car les

protocoles de routage externe ne font pas partit du
CCNA.
|Voici une nouvelle topologie, avec un système autonome, dans lesquels y

figurent plusieurs routeurs.
Le PC de gauche, fait partit du réseau 192.168.10.0 avec un masque en /24,
et le serveur de droite est dans le réseau 192.168.20.0.
Le PC de gauche voudrait atteindre le serveur de

droite, et la question qu’on pourrait se poser c’est ,
quel chemin va-t-il emprunter avec tous ses
routeurs au milieu ! ?
Et bien tout dépend du protocole de routage que l’on va utiliser !

|Que ce soit OSPF ou EIGRP, ils ont tous les deux une vision différente
pour déterminer le chemin le plus court pour aller de la source à la
destination !
Les 2 protocoles déterminent le meilleur chemin en utilisant, ce qu’on
appelle, |des Métriques !
Par exemple OSPF utilise le coût comme métrique !, c’est-à-dire qu’il va

examiner la bande passante de l’interface, pour choisir le chemin le plus
rapide.
Il préfèrera utiliser un lien 100Méga qu’un lien de 10

mégas.
Et EIGRP, qui est propriétaire Cisco, lui utilise plusieurs métriques ! Il va
examiner la bande passante ainsi que le délai de l’interface.
Et si on veut, on peut même rajouter la charge et la

fiabilité de l’interface comme métrique !
On verra ça plus en détail dans les cours consacré à OSPF et EIGRP, il faut
juste garder à l’esprit :
Qu’une métrique permet au protocole de routage

de déterminer le chemin le plus court vers la
destination !
Alors à votre avis, est-ce qu’on peut utiliser plusieurs protocoles de
routage en même temps sur un routeur?
La réponse est OUI !
Et ça arrive même très souvent, surtout quand une

entreprise fusionne leurs réseaux avec une autre !
Pour revenir à notre topologie, le système autonome utilise| 2 protocoles

de routage. EIGRP et OSPF !

|Le protocole EIGRP indique que le routeur doit envoyer les paquets IP en
utilisant le chemin situé en haut.
|Et OSPF nous dit que le routeur doit envoyer les paquets en utilisant le
chemin du bas !
Tout ça, c’est bien, mais nos paquets IP vont-ils passer en haut ou bas ? Ou
alors sur les deux chemins ?
Lorsque deux protocoles de routage fournissent des informations sur le

même réseau de destination, le routeur doit faire un choix…
On ne peut pas utiliser un coup EIGRP et la fois d’après OSPF !
Le routeur prendra ça décision grâce à la |distance administrative !
Plus la distance administrative est faible, et mieux c'est.

Comme vous pouvez le voir, une route directement connectée, à une
distance administrative de 0. Ce qui est normal puisqu’elle est
directement connectée au routeur ! donc c’est ce qui y’a de plus fiable.
Une route statique a une distance administrative de 1 !
Comme c’est quelque chose que nous configurer manuellement, le
routeur préfèrera utiliser une route statique que n’importe quel protocole
de routage dynamique !
Le protocole EIGRP a une distance administrative de 90, et OSPF : 110.
Ce qui signifie dans notre exemple que les paquets

passeront par le haut !

Après si EIGRP est plus fiable que OSPF, c’est surtout parce qu’il est
propriétaire Cisco…
|Il nous reste plus qu’à voir, les trois classes d’un protocole de routage
interne !
Dans les prochains cours, on rentrera + en détail sur les différentes
classes !
À ce stade, il faut juste savoir à quelle classe appartiennent ces 3
protocoles !
• RIP est un protocole de routage à vecteur de distance
• EIGRP, aussi, sauf que c’est une version améliorer !
• Et OSPF est un protocole de routage à état de liens !

COMMANDES DE TYPES SHOW
LES COMMANDES DE TYPE SHOW POUR

LES INTERFACES
Lorsqu’on termine la configuration des interfaces d’un routeur, c’est-à-dire

après lui avoir affecté une ou des IP, il est possible de faire des
vérifications en utilisant différentes commandes « show ».
|La commande Show IP interface brief, permet d’afficher la liste des

interfaces du routeur et leurs états !

• |La colonne « Interface » : indique le type d’interface et son
emplacement
• |La colonne « IP Address » : indique son IP, si elle est configurée.
• |Dans la colonne OK ? : s’il y’a un « YES » c’est que l’IP est valide, et si
c’est un « NO » c’est que l’IP n’est pas bonne.
• |La colonne Method : Indique comment l’adresse IP a été configurée.
• |La colonne Status affiche le statut de l’interface. Si c’est « UP », c’est

qu’elle est active, si « Down » c’est qu’elle est hors service, et si c’est
écrit « administratively down » c’est qu’elle a été désactivée
manuellement par un admin réseau avec la commande « shutdown »
• |Et la colonne Protocol : Montre le statut du protocole de routage.

Soit c’est « up » ou soit c’est « down »

|Passons maintenant à la commande Show interfaces. :
Cette commande permet de voir les détails de chaque interface, |ou d’une
seul en particulière, si vous ajouter le nom de l’interface juste après la
commande !
• |Ici, on peut voir le statut de l’interface matérielle, si elle est up,

Down ou bien si un administrateur réseau l’a volontaire désactiver.
• |Line protocole indique si le protocole considère que l'interface est

vivante.
• |La ligne « Hardware » affiche le type de l’interface et sa Mac adresse.
• |Le mot Description : affiche ce que l’admin réseau a configuré

comme description sur l’interface.
• |Internet address : affiche l’adresse IP de l’interface ainsi que son

masque de sous réseau.
• |Le champ MTU affiche la taille maximum qu’un paquet peut

traverser l’interface.
• |le champ « BW » : affiche la bande passante de l’interface en kilobits

par seconde
• |Le mot « DLY » indique le délai de l’interface en microsecondes. Il

s’agit du temps que met l’interface pour recevoir une réponse après
avoir envoyé une donnée !
• |Le mot Reliability signifie Fiabilité : Plus le taux est élevé et plus la
ligne est fiable. Par exemple 255/255 est égal à 100% de fiabilité. Il
s’agit d’une moyenne calculée sur 5 min.
• |Le Load : indique la charge du lien. Alors, contrairement à la fiabilité,

ici 255/255 signifie que la liaison est complètement saturée. Elle est
aussi calculée sur une moyenne de 5 min.
• |L’ encapsulation : Indique la méthode d’encapsulation qui a été

configurée pour cette interface. Elle doit être identique des 2 côtés
pour que le lien fonctionne correctement !

• |Et les lignes d’entrée/sortit, affiche le nombre de bits et de paquets
par second qui ont étés transmis sur l’interface durant les 5
dernières minutes.
Pour revenir à la commande « show interfaces gigabitethernet 0/0 », et
c’est d’ailleurs valable pour toutes les commandes Cisco, il est possible de
les tronquer légèrement, pour les écrire plus rapidement.
Par exemple au lieu de tapez : show interfaces gigabitEthernet 0/0 , |on
peut très bien faire un « sh » « int » « fa0/0 »
|La première ligne du résultat de la commande

« show interfaces » renseigne énormément sur
l’état de l’interface.
|Pour que l’interface fonctionne parfaitement,

l’interface physique et le lien doivent être tous les
deux en « UP ».
• |L’interface physique indique si la couche 1 fonctionne. C’est-à-dire,
si le câble est bien branché et si le type de câble est correct.
Ou bien simplement, si le périphérique qui est connecté sur ce port est
bien allumé.
• |Et le lien indique si le protocole de la couche « liaison de données »

fonctionne convenablement. Il sera toujours dans un état | « Down »
si l’interface physique est Down.
|S’il est Down alors que l’autre est up, c’est qu’il y’a certainement un
problème de liaison sur le lien.

|Si l’interface est administrativement Down, et le protocole aussi, c’est que
l’interface a été désactivée volontairement par un admin réseau avec la
commande : « Shutdown ».
|Et si tout est UP, c’est que tout fonctionne parfaitement.
Ces quatre combinaisons possibles sont très utiles dans le dépannage d'un
réseau.

ARP ET GATEWAY
ARP « ADDRESS RESOLUTION

PROTOCOL »
Une frame contient toujours une adresse MAC.
Il est donc possible de trouver l’adresse IP associée

à l’ adresse MAC.
Par exemple, quand on fait un ping, l’adresse MAC qui est associée à
l’adresse IP du ping, est incluse dans le champ de la MAC adresse de
destination de la frame.
Pour trouver une adresse MAC, à partir d’une IP, on utilise un protocole de
couche 2, qui se nomme ARP
ARP fournit deux services:
• |Il permet d’effectuer une Résolution de l'adresse: c’est-à-dire qu’il

mappe les adresses IP qui correspondent aux adresses MAC

• |et il stocke en local les adresses MAC qui sont apprises par ce
protocole.
Pour trouver une mac adresse, ARP envoie un message en broadcast, à
tous les périphériques du même réseau.
Ce message comprend sa propre adresse IP et l'adresse IP de destination.
Le périphérique qui se reconnait répond alors avec sa propre adresse
MAC !
Et à la réception de cette réponse, l'expéditeur met à jour sa table de
correspondance.
ARP est un protocole de couche 2, ce qui signifie que sa portée est limitée
au LAN local.
Nous allons, maintenant voir son fonctionnement, pour résoudre une
adresse MAC d’une adresse IP appartenant au même réseau !
Sur cette topologie, nous avons deux sous-réseaux :
• |Le sous-réseau de gauche est le 192.168.1.0, avec un masque en /24.

3fois 255.0.
• |Et à droite nous avons le 192.168.2.0, avec le même masque.
Admettons que le PC, qui vient juste d’être démarré, et donc sa table ARP

est vide, souhaite connaitre |la mac adresse de l’IP de l’imprimante, pour
commencer une communication.
Comme il ne la connait pas, |il va diffuser un broadcast sur tous les

périphériques du même sous-réseau, pour demander à qui appartient l’IP
192.168.1.20 !
|L’imprimante, qui se reconnait, va lui répondre avec |une frame Unicast,
en lui indiquant sa mac adresse !
Maintenant que se passe-t-il si le PC souhaite

communiquer avec un périphérique ne faisant pas
partit du même sous-réseau ?
Par exemple avec le serveur !
Et bien, grâce au masque de sous réseau, il va tout de suite voir, que le
serveur ne fait pas partit de son propre réseau.
Il enverra donc les données directement à la passerelle par défaut. C’est à
la dire la pâte du routeur qui porte |l’IP en .254 !
La passerelle par défaut, qu’on appelle aussi

Gateway, se configure directement sur le PC.
Comme le PC vient d’être démarré, |il ne connait pas non plus l’adresse
Mac de sa gateway !
|Il va donc envoyer de nouveau, un broadcast pour là trouver !
|Et le routeur va lui répondre directement avec une frame unicast.
C’est donc le routeur, qui se chargera d’effectuer la

communication entre les deux sous-réseaux !
|Si le PC souhaite communiquer avec le serveur, son en-tête IP
contiendra :
• l’adresse IP du serveur dans le champ de l’IP de destination

• et l’adresse MAC du routeur dans le champ de la MAC adresse de
destination !
COMPRENDRE LE CACHE ARP
|Chaque périphérique IP maintient une table en mémoire – c’est la table

ARP.
Le but de cette table est de mettre en cache les

adresses IP et les Mac Adresses.
La commande |arp -a permet d’afficher la table ARP. Dans l’exemple, on le
fait sur le PC.

Lorsqu'un hôte souhaite transmettre des données à
un autre, sur le même réseau, il recherche la table
ARP pour voir s'il y a une correspondance.
• S’il existe une entrée, elle sera utilisée.
• S'il n'y a pas d'entrée, l'hôte IP enverra une demande de résolution

ARP en broadcast.
Le faite, de mettre en cache cette correspondance

IP/MAC, permet de diminuer les requêtes ARP en
broadcast !
Car sans le cache ARP, chaque hôte devrait envoyer un broadcast à
chaque fois qu'il souhaite communiquer avec un autre.
Dans la sortit de la commande arp-a, on voit qu’il est très facile de localiser
la correspondance entre l’adresse IP et l’adresse MAC.
Cette table est maintenue de manière dynamique sur chaque
périphérique du réseau.
Ces entrées expirent après 300 secondes, c’est la valeur par défaut.
Ce délai très court permet d’avoir une table avec très peu d’information
obsolète !
Si aucun appareil ne répond à une requête ARP, alors le paquet sera
supprimé.

Car une entrée dans la table ne peut pas être créée
sans l'adresse MAC de destination.
|Et pour afficher la table ARP sur un routeur, il faut utiliser la commande
« show IP arp »
|Il est même possible de limiter la sortit avec des

options comme l’IP adresse, l’hostname, la mac
adresse ou le type d’interface.
PASSERELLES PAR DÉFAUT « GATEWAY »

|Le pc est capable de communiquer directement avec l’imprimante, car ils
sont sur le même réseau !
Par contre, |si le PC souhaite communiquer avec le serveur, |qui ne fait pas
partit du même réseau, |alors il devra envoyer les données directement à
sa passerelle par défaut.
La Gateway ! Et c’est elle qui se chargera de

transférer les données vers le serveur.
La passerelle par défaut est nécessaire pour envoyer un paquet hors du
réseau local.
Comme la partie réseau, de l'adresse du serveur, est différente, du réseau
du PC, alors le paquet doit être acheminé en dehors du réseau d'origine.
Il doit être envoyé à la passerelle par défaut.
La Gateway |c’est une interface de routeur

connectée au réseau local. Et cette interface porte
|une IP qui correspond au sous-réseau auquel elle
appartient.

VLAN (VIRTUAL LAN)
VLAN (VIRTUAL LAN)

Pour comprendre les VLAN , il est important d’avoir une bonne
compréhension des |réseaux LAN.
Un LAN c’est un groupe de périphériques qui partagent un domaine de
broadcast qui leur est commun.
Lorsqu'un périphérique sur le LAN envoie des broadcast, tous ceux du
même réseau local les reçoivent.
On peut dire qu’un LAN est un domaine de

broadcast, c’est pareil.
Sans VLAN, un switch considère que toutes ses interfaces sont dans le
même domaine de broadcast.
Ce qui revient à dire que tous les périphériques connectés se trouvent
dans le même LAN.

Avec les VLAN, un commutateur peut mettre certaines de ses interfaces
dans un domaine de broadcast et d'autres dans un autre.
Chaque domaine de broadcast créée par le switch

est appelé un VLAN.
Alors, pour résumer :
• |Un VLAN est un LAN virtuel.
• |C’est un domaine de broadcast
• |Et c’est aussi un réseau logique

|Les VLAN's répondent à 3 besoins:
• |Segmentation
• Sécurité
• et Flexibilité du réseau
Ils permettent d’améliorer les performances du réseau, en séparant les
grands domaines de broadcast en segments plus petits.
Ce qui donne la possibilité, à l’administrateur réseau, de créer de petits
groupes logiques de périphériques.
Même si, ces groupes, partagent la même infrastructure, ou le même
switch, ils agissent comme un réseau indépendant !
Avec un Vlan, on peut très bien par exemple, créer des groupes de PC’s
par fonctions, ou bien par équipes, et cela, sans se soucier de
l’emplacement physique des utilisateurs.
De plus il est possible d’attribuer certaines restrictions, uniquement à des
groupes d’utilisateurs ! Ce qui ajoute donc de la sécurité en + !
Les ports du switch, qui sont dans le même VLAN, partagent les mêmes
broadcasts.
On ne peut pas recevoir des broadcaste qui

viennent d’autres vlans !

Le faite, de pouvoir contenir les broadcasts dans un même VLAN, permet
d’améliorer les performances du réseau.
Un VLAN peut très bien exister sur un ou plusieurs switches, et les PC’s
peuvent très bien être dans un ou plusieurs bâtiments !
Et peuvent aussi, se connecter à travers| les WAN !
Le processus qui permet de transférer du trafic

réseau d'un VLAN à un autre à l'aide d'un routeur
est appelé le| routage inter-VLAN.
Chaque VLAN est associés à un| sous-réseau. Ça permet de faciliter le
routage quand il y’a plusieurs VLAN’s
Pour ça, il faut connecter chaque VLAN à une interface du routeur.
Et comme ça, les vlan’s pourront communiquer entre eux en passant par le
routeur, et sans être pollué par les broadcasts des autres VLAN !
|En général, les sous-réseaux sont choisis en

fonction des VLAN auxquels ils sont associés.

Par exemple ici, le vlan 2 correspond au sous-réseau 10.0.2.0. Le vlan 3 au
réseau 10.0.3.0 ! et ainsi de suite !
Ici, on voit bien, le troisième octet du réseau, qui

identifie le VLAN auquel il appartient.
|On va maintenant voir, comment créer un vlan !

|La commande « VLAN » en mode de configuration global, permet de créer
un VLAN et de rentrer dans son mode de configuration.
Dans l’exemple on créer le VLAN 2, que l’on nomme DRH !
|Si on veut supprimer un VLAN, il suffit de faire un « no » devant le vlan et
son numéro !
|Le VLAN 1 est le VLAN par défaut.

Les VLAN sont identifiés avec un numéro compris entre 1 et 1001, il s’agit
du range normal.
Seul Les VLAN de 1002 à 1005 sont réservés pour les protocoles Token
Ring et FDDI.
• |Le token ring, qu’on peut aussi appelé, l'anneau à jeton est une
technologie basée sur le principe de la communication au tour à
tour, c'est-à-dire que chaque PC doit attendre son tour, pour
pouvoir parler !
Le jeton Token Ring circule en boucle d’un PC à un autre, pour
déterminer qui a le droit d’émettre des données ! Quand le PC reçoit
le jeton, il peut commencer à envoyer des informations pendant un
laps de temps, avant de remettre le jeton au PC suivant !
• |Et le FDDI est aussi un anneau à jeton, utiliser sur de la fibre

optique, qui permet de détecter et corriger des erreurs !
Pour revenir au VLAN, le vlan par défaut et les vlan réservé sont
automatiquement créés et il est impossible de les supprimer.
La configuration des vlans est écrite dans un fichier sur le switch qui
s’appelle | « vlan.dat » .
Il s’agit de la base de données des VLAN qui est

stockée dans la mémoire Flash !
Pour afficher les VLANs de ce fichier, il faut faire un : | « show vlan » dans le
mode privilégié de l’IOS.

|Lorsqu’on connecte un PC sur le port d’un switch, il faut l'associer à un
VLAN. Pour cela, il faut affecter le vlan au port du switch. Un port qui est
associé à un VLAN devient un port d’accès.
|La commande configure terminal permet d’entré dans le mode de
configuration global.
Interface FastEthernet 0/5 entre dans la configuration de cette interface.

La commande Switchport mode access permet de configurer le port en
mode accès.
Et le switchport access vlan 2 met le port 0/5 dans le vlan 2.
Quand on créer un VLAN, il faut affecter soit même les ports qu’on
souhaite mettre dans ce vlan !
Un port peut appartenir à un seul VLAN à la fois.

Par défaut, tous les ports sont membres du vlan1
|La commande show vlan brief permet d’afficher les affectations des vlan
au port du switch.
Par exemple ici, on voit bien que le port Fa0/5 du switch fait partit du vlan
2, celui qui s’appelle DRH !

TRUNK 802.1Q
TRUNKING (802.1Q)
En théorie, pour faire passer les vlan’s d’un switch à un autre, |il faudrait un
câble pour chaque vlan créé entre les 2 switchs.

Plus il y’a de vlan et plus il y’aura de câbles
physiques entre les deux switchs.
Dans ce cas de figure, les ports utilisés pour faire la liaison entre les
switchs ne peuvent pas être utilisés pour des utilisateurs !
Ici nous avons 3 vlan's, et donc 6 ports entre les switchs, qui sont utilisé
juste pour faire passer les vlan’s d’un switch à un autre !
Pour éviter de gâcher des ressources inutilement sur le switch, | on va
utiliser un lien Trunk, pour faire passer plusieurs VLAN sur un seul et même
lien !

Le trunk permet de transporter des trames de
différents VLAN.
Chaque trame qui passe sur ce lien est taguée par un numéro, qui
correspond simplement à son numéro de VLAN, c’est comme une
étiquette qu’on colle au paquet pour savoir à quel groupe il appartient.
Sur des réseaux où il y’a plusieurs VLAN et qui ont plusieurs switches
d’interconnectées, il faut toujours utiliser un lien Trunk entre les switchs.
Le trunk marque le VLAN sur l’entête du paquet, avant de l’envoyer sur
l’autre switch.
Il permet aux switchs de faire circuler des trames de plusieurs VLAN sur un
seul lien physique.
Par exemple, sur le schéma avec le lien trunk, | si le switch de gauche
reçoit un broadcast qui vient du |port Fast Ethernet 0/1, faisant partit du
vlan « vert », et que le |switch de droite contient aussi du |vlan vert, alors il
devra |taguer la trame et l’envoyer sur le trunk pour la transmettre à tous
les ports |faisant partit aussi du vlan vert !
|Voici une trame Ethernet normale.

|Et voici une trame Ethernet modifiée qu’on appelle aussi une trame
802.1Q !
Le Trunk, insère à l’entête de la trame d’origine, un champ « Tag » qui

permet de placer |l’id du vlan.
La nouvelle entête contient toujours les adresses

MAC source et destination d’origine.
Comme l'entête d'origine a été modifié, l'encapsulation 802.1Q oblige à
recalculer le |champ FCS d’origine dans la trame Ethernet, car son
contenue est basée sur la trame entière.
Le champ FCS permet de détecter si des erreurs se

sont glissées dans la trame, durant son parcours !
On va maintenant voir la configuration d’un trunk !

Afin de faire circuler des vlan’s sur un même lien, il faut configurer un
trunk entre les 2 switchs.
|La configuration doit être identique entre les deux

switches !
|La commande « configure terminal » permet de rentrer dans le mode de

|La commande « interface » permet de rentrer dans la conf de l’interface
qu’on souhaite paramétrer ! Ici il s’agit du port 48, aussi bien sur le switch 1
que le 2 !

|Et il reste plus qu’à faire un « switchport mode trunk » des 2 côtés du lien !
C’est tout ce qu’il y’a à faire.
|La commande que l’on voit juste en dessous est

facultative !
Elle permet de définir le vlan native sur 99, car par défaut sur l’ensemble
des switchs le vlan natives est le 1.
Certaines trames qui circulent sur un trunk ne sont pas taguées. Il faut
donc les placer quelque part. C’est là qu’intervient le vlan natif.
C’ est le vlan dans lequel sont véhiculées les trames non taguées. Donc si
un switch reçoit sur une interface trunk une trame Ethernet standard, qui
n’est pas modifiée, il la placera dans ce vlan natif.
C’est en quelque sorte, comme un vlan par défaut.
Sur des équipements Cisco, certains protocoles |comme CDP ou DTP, sont
véhiculés dans des trames non taguées et donc dans le vlan natif.
CDP permet de découvrir ces voisins , et DTP gère

la négociation automatique du trunk. Il est activé
par défaut !
Pour revenir à la configuration du trunk, il faut bien s’assurer que de l’autre
côté la configuration soit identique.
|Et les commandes : « show interfaces switchport » et « show interfaces

trunk » permettent d’affiché des paramètres détaillés du trunk et des
informations sur les vlan’s.

ROUTAGE INTER-VLAN
ROUTAGE INTER-VLAN
Chaque VLAN est un domaine de broadcast unique.
Les ordinateurs sur des VLAN séparés sont, par défaut,| incapables de
communiquer.
Pour autoriser une communication entre vlan, il faut faire du routage
|inter-VLAN.

Cela est faisable uniquement avec un périphérique de couche 3, comme
un routeur, car ces interfaces peuvent être connectées à des VLAN
séparés.
Pour rappel, le switch est un périphérique de

couche 2.
Il y’a 3 manières différentes pour faire du routage inter-vlan.
|Par exemple, on peut le faire, avec un Routeur qui dispose d’une interface
séparée dans chaque VLAN. C’est ce qu’on appel du routage inter-vlan
traditionnel.
Les VLAN sont associés à des sous-réseaux IP. Cette configuration facilite
le routage dans un réseau de plusieurs vlan !
Sur cette topologie, |les pc’s du vlan 10, doivent passer par le routeur pour
pouvoir communiquer avec ceux du vlan 20 !
Le problème avec cette solution, c’est qu’il faut

utiliser une interface du routeur pour chaque vlan.
Plus il y’a de vlan, et plus il faut bloquer des
interfaces sur le routeur. Cette solution n’est donc
pas vraiment évolutive.

|Une autre solution consiste à utiliser un Switch de couche 3
Certains switchs sont capables d’effectuer des fonctions de couche 3, ce
qui permet de remplacer le routeur, car un périphérique de couche 3 est
capable d'effectuer le routage inter-VLAN.
Traditionnellement, un switch est un périphérique de couche 2, c’est-à-
dire qu’il examine l’entête de la couche 2, là où il y’a les adresses MAC,
pour acheminer les paquets.
Et le routeur examine la couche 3, la ou il y’a les adresses IP, pour
effectuer le routage !
Un switch de couche 3 combine la fonctionnalité d'un switch et d'un
routeur dans un seul et même appareil.
Il switch le trafic, lorsque la source et la destination sont dans le même
VLAN, et route le trafic lorsqu’ils sont dans des VLAN différents, c'est-à-
dire sur différents sous-réseaux IP.
Pour activer cette fonction sur un switch de couche 3, |il faut lui configurer
des interfaces VLAN, en utilisant les IP de chaque sous-réseau.

Cette option est plus évolutive que la première
option. Celle du routeur avec une interface séparée
pour chaque vlan !
De plus, un routeur transmet le trafic à travers le trunk qui est configuré
avec le switch. Et le faite, d’utiliser un switch de couche 3 permet d’éviter
ce goulot d’étranglement.
Un switch de couche 3 est principalement un

périphérique de couche 2 qui a été mis à niveau
pour avoir des capacités de routage.
Et un routeur est un périphérique de couche 3 qui

peut effectuer certaines fonctions de switching.
|La dernière option est connue sous le nom de Router-on-a-Stick

L’avantage de cette solution, c’est qu’ici la configuration du routage inter-
VLAN ne demande pas de bloquer une interface physique par vlan !
Il est possible de créez des sous-interfaces qui appartiennent chacune aux
sous-réseaux IP des différents vlan.

Ce qui signifie qu’une seule interface physique permet de relier le trafic
entre plusieurs vlan !
Le routeur effectue le routage inter-VLAN à l'aide de ses sous-interfaces.
Ce sont des multiples interfaces virtuelles qui sont

associées à une seule interface physique.
Chaque vlan, dois avoir sa propre interface virtuelle, c’est-à-dire, qu’elles
doivent être configurées indépendamment, avec une adresse IP.
En général, on configure les sous-interfaces avec des sous-réseaux qui
correspondent au nom des vlan !
Par exemple, dans cette topologie, la sous-interface 0.10 correspond au
vlan 10 et 0.20 au vlan 20 !
Ce qui facilite grandement la compréhension du réseau, surtout pendant
le dépannage !

INTRODUCTION VLAN
VLAN-INTRODUCTION
Dans cette topologie réseau, nous avons plusieurs services, DRH,

Marketing, commercial, et développement, qui ont chacun leurs propres
switchs.
Déclaration d'activité enregistrée auprès du préfet de région
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
Et pourtant, ce que vous voyez ici, est une
mauvaise conception du réseau.
Si l'un des PC envoie un broadcast, alors, l’ensemble des switchs le
propageront sur tout le réseau…
Si le switch du service DRH tombe… Alors les autres services se
retrouveront isolés et n’auront plus accès à internet…
Car ici, les PC doivent passer obligatoirement par le

switch de la DRH pour pouvoir sortir sur internet.
Ce qui signifie en plus que tout le |monde partage la même bande
passante… Ce qui n’est pas terrible en termes de performances.
À votre avis, combien de domaines de collision sont

représentés sur cette topologie réseau ?
Comme chaque port d’un switch est un domaine de collision, alors nous
en avons beaucoup :
• |4 du côté DRH.
• |4 vers le Marketing
• |4 en développement
• |4 côtés des commerciaux
• |1 entre le switch DRH et commercial
• |1 entre celui du marketing et du développement
• |1 entre DRH et Marketing
• |1 entre le switch DRH et le switch du haut
• |Et un dernier entre le switch du haut et le routeur !
|Ce qui nous fait un total de 21 domaines de

collisions !
Et quand est-il des domaines de broadcast ?
Si un des PC du switch marketing envoie un broadcast, nous savons que
tous les autres switchs vont le propager…
Par contre les broadcasts n’arriveront pas sur le routeur.
Siret : 519 157 861 00047
Le nuage Internet est considéré comme un domaine de broadcast, donc
sur cette topologie, nous avons 2 domaines de broadcast.
|1 domaine à gauche du routeur et |un domaine à

droite du routeur
Nous avons vu que cette topologie n’est pas une bonne conception.
C’est là, qu’interviennent les VLAN’s !

Siret : 519 157 861 00047
|Sur cette nouvelle topologie, nous avons 4 commutateurs physiques et 3
réseaux virtuels, plus connus sous le nom de VLAN, qui se nomment
Commercial, Marketing et DRH.
Un VLAN est un LAN virtuel.

C'est comme si, vous aviez un "switch à l'intérieur d'un switch".
|Voyons maintenant 3 avantages que l’on peut avoir en utilisant des VLAN :
• |Un VLAN est un domaine de broadcast unique, ce qui signifie que si

un utilisateur dans le VLAN du service marketing, envoie un
broadcast, alors seuls les utilisateurs de ce même VLAN le recevront.
• |Le second avantage est que les utilisateurs ne peuvent

communiquer qu’avec ceux du même VLAN.
• |Et le dernier point avantageux est que les utilisateurs ne doivent pas
nécessairement être regroupés physiquement sur le même
commutateur.
Comme vous pouvez le voir sur cette topologie, nous avons des
utilisateurs dans le VLAN commercial qui se trouvent aux 1er, 2e et 3e
étages.

Siret : 519 157 861 00047
Dans cet exemple, les utilisateurs d’un même service sont regroupés par
Vlan.
Mais nous aurions pu très bien utiliser les VLAN pour séparer différents
types de trafic. Par exemple :
• un vlan pour toutes les imprimantes,
• un vlan pour tous les serveurs
• et même un vlan pour tous les utilisateurs…
Dans la voix sur IP, les téléphones sont dans un vlan

séparés de la data du PC.
Sur un téléphone IP, il y’a deux interfaces :
• |1 pour connecter le téléphone IP au commutateur
• et 1 pour le connecter au PC.
Cela permet d'économiser un port sur le switch et

évite aussi d’avoir une prise réseau en + sur le
bureau.

Siret : 519 157 861 00047
|Le téléphone IP sera donc dans le VLAN voix et le PC dans le VLAN data.
Ainsi, le trafic sera bien séparé, grâce au vlan, et ce, même si il n’ya qu’un
seul câble entre le téléphone et le switch.
Séparer le Traffic grâce au VLAN, permet aussi de mettre en place une
|qualité de service, plus connu sous le nom de QOS.
Cela permet de définir des priorités pour certains

types de trafic.
La VoIP est très sensible au délai et à la gigue, c’est pourquoi il faut
s’assurer que son trafic sera toujours prioritaire en cas de surcharge sur le
réseau.
|Maintenant, que nous avons vu les avantages que le VLAN pouvait
proposer.
Nous allons analyser comment le commutateur arrive à différencier a quel
Vlan, les trames appartiennent.
Ici, nous avons deux switchs avec un VLAN voix et un VLAN data.
Que se passe-t-il lorsque le téléphone A veut

appeler le téléphone B, ou bien que le PC A veut
envoyer quelque chose au PC B?

Siret : 519 157 861 00047
Les 2 commutateurs transmettront le trafic, mais comment vont-ils faire
pour différencier les vlan?
Pour comprendre, voici une |trame Ethernet:
Parmi tous les champs d’une trame Ethernet, il n’y a aucun emplacement
ou on pourrait spécifier le numéro de VLAN… C'est pourquoi nous avons
besoin d'un autre protocole pour nous aider.
Pour faire passer plusieurs Vlan entre

commutateurs, |il va falloir créer un Trunk !
Sur l’image qui vient de s’afficher, nous avons des PC des deux côtés et qui
se trouvent dans différents VLAN.
Comme une trame Ethernet ne contient pas de champs pour spécifier le
numéro de VLAN, c’est le protocole Trunk qui s’en chargera.
|Il existe 2 types de trunk :
• |Le 802.1Q: qui est le protocole Trunk le plus couramment utilisé. Car
il est standard et est supporté par de nombreux fournisseurs.

Siret : 519 157 861 00047
• |Et il y’a le protocole ISL: qui lui, est propriétaire Cisco. Certains
switchs ne le supportent pas.
C’est pourquoi nous allons plutôt voir le protocole 802.1Q en détail…
|Voici un exemple de trame Ethernet 802.1Q.

Comme vous pouvez le voir, c'est la même chose qu'une trame Ethernet
normale sauf qu’au milieu il y’a le champ « TAG ».
|C’est dans ce champ « Tag » qu’on trouvera l’identifiant du VLAN, c’est-à-
dire le numéro de vlan auquel la trame Ethernet appartient.
Le champ « Priority » permet de donner une priorité aux différents types
de trafic.
Chaque VLAN qui traverse le trunk sera tagué, de son numéro de vlan, par
le protocole 802.1Q.
La seule exception est le VLAN natif qui ne sera jamais étiqueté.
Par défaut, il s’agit du vlan 1 !

Siret : 519 157 861 00047
MODE ACCESS ET TRUNK
VLAN-MODE ACCESS ET TRUNK

Dans cette topologie, nous avons 2 PC qui sont simplement connectés à
un commutateur.
Nous allons commencer par analyser la configuration des VLAN, en faisant

un « show vlan » |sur le switch A

Siret : 519 157 861 00047
Le VLAN 1 est le VLAN par défaut et on voit toutes les interfaces actives
affectées à celui-ci.
Les informations que vous voyez ici ne sont pas enregistrées dans le
fichier de la running-config, ni celui de la startup-config, |mais dans un
fichier appelé vlan.dat, qui se situe dans la mémoire flash du
commutateur.
Si vous souhaitez supprimer les données des VLAN, |vous devrez exécuter
la commande « delete flash: vlan.dat ».
Les deux PC font partie du même sous-réseau et arrivent à communiquer
correctement avec la configuration par défaut du switch.
Nous allons maintenant créer un vlan qui portera l’id N° 10.
|La commande « Vlan 10 », permet de rentré en mode de configuration du

vlan 10. S’il n’existe pas, alors la création se fait automatiquement. Nous lui
donnons ensuite le nom de « PC » avec la commande « name ». Donner un
nom à un vlan n’est pas obligatoire.
Maintenant si on relance la commande| « show vlan », on peut voir que le
vlan 10, figure bien dans le fichier vlan.dat

Siret : 519 157 861 00047
Par contre aucun port ne lui est affecté.
On va donc ajouter les ports fast ethernet |0/1 et 0/2 :
Pour cela, il faut se connecter sur chacune des interfaces, ensuite

configurer le mode accès avec la commande « switchport mode access »
et placer l’interface dans le vlan que l’on souhaite avec la commande
« switchport access vlan »
Les deux PC font maintenant partie du Vlan 10 et

peuvent communiquer de nouveau.
| La commande « show interfaces ‘+le N° de l’interface’ suivi de

switchport » permet d’afficher de nombreuses informations comme le
type d’interface et son numéro de vlan auquel il appartient.
Nous allons maintenant ajouter un switch, qu’on appellera « SwitchB », sur
lequel on va déplacer le PC B.
Siret : 519 157 861 00047
|Voilà maintenant à quoi ressemble notre topologie.
Comme pour le switch A|, il faut lui créer le vlan 10 qui portera aussi le
nom de « PC » et lui assigner le port ou est raccordé le PC B.
La prochaine étape à faire , pour que les PC’ A et B puissent communiquer

ensemble sur le même vlan, est de créer un lien « Trunk » entre les deux
switchs, afin de faire circuler les trames taguées du vlan 10 d’un switch à
l’autre.
|Ici, dans cet exemple, nous voyons que la commande « switchport mode
trunk » est rejetée sur les deux switchs.
Si nous voulons changer l’interface en mode

« trunk », il faudra d’abord modifier le type
d’encapsulation sur les 2 switchs.
|Pour voir les différentes options qui nous sont proposées, on va exécuter
la commande « switchport trunk encapsulation » suivie d’un « ? ».
On voit qu’il est possible de choisir entre « dot1q »

et « ISL ».
Siret : 519 157 861 00047
Le type d’encapsulation « negotiate » est le mode par défaut sur les
switchs de cet exemple, mais ce n’est pas le cas pour tous les switchs.
Le type ISL est un protocole Cisco qui n’est pas interopérable avec d’autres
constructeurs, | c’est pourquoi on va plutôt utiliser le type 802.1Q, qui est
compatible avec la plupart des switchs !
|Et maintenant nous pouvons relancer la commande « switchport mode
trunk » sur les interfaces entre les deux switchs.
|On peut confirmer que nous avons bien un trunk

entre les 2 switchs, en faisant un « show interfaces
fa0/48 switchport » sur les 2 switchs.
On voit clairement que le mode opérationnel est « DOT1Q »
|Et un ping du PC A vers le B, fonctionne

parfaitement. Les PC A et B communiquent
correctement à travers le lien trunk.

Siret : 519 157 861 00047
|Si maintenant on fait un « show vlan » sur le switch B, on remarque que
l’on ne voit pas le port Fa0/48…
Et bien cela, est complètement normal parce que

cette commande n’affiche que les interfaces en
mode « Access ».
| Pour afficher celles qui sont en mode trunk, il faut utiliser la commande
« show interfaces trunk ».
Cette commande très utile, permets d’afficher :
• les interfaces qui sont en mode trunk,
• le type d’encapsulation qu’elles utilisent (802.1Q ou ISL),
• ainsi que le vlan native.

Sur cet exemple on voit que les vlans de 1 à 4094 sont autorisés à traverser
le lien trunk.

Siret : 519 157 861 00047
Pour des raisons de sécurité, nous allons limiter le nombre de vlan qui
traverse ce lien.
|La 1re commande supprime les vlan de 1 à 4094, et la seconde, ajoutent les
vlans de 1 à 50 !
|Et si on relance la commande « show interface trunk de l’interface 0/48,
seuls les vlans de 1 à 50 sont désormais autorisés a transité sur le lien.
|Si on fait un « show interface fa0/2 switchport » on voit que le port 0/2
du switch B est bien en mode « Access »

Siret : 519 157 861 00047
ROUTER ON A STICK ET DTP
VLAN-CONFIGURATION TRUNK ET DTP
Nous connaissons maintenant 2 modes différents :

le mode « Trunk » et le mode « Access »
|si on lance la commande « switchport mode » suivi d’un « ? », on

s’aperçoit qu’il existe un autre mode, qui se nomme « dynamique »

Siret : 519 157 861 00047
|et pour aller plus loin que dynamique, on voit qu’on a le choix entre
« auto » ou « desirable »
La configuration d’un trunk, peut devenir très fatiguant, si on à plusieurs

liens interswitch dans son entreprise.
C’est pourquoi Cisco a créé un protocole qui permet de monter
automatiquement un trunk entre 2 switchs. |Il s’agit du protocole DTP
comme il s’agit d’un protocole propriétaire Cisco, cela veut dire qu’il ne
fonctionne qu’entre switchs Cisco!
Le principe est assez simple, lorsqu’un port monte, des annonces DTP sont
envoyées :
• -si le port est connecté à un autre switch, alors ce dernier recevra

l’annonce DTP et y répondra. L’activation du Trunk s’effectuera des
deux côtés !
• -Et si le port est connecté à un pc, et bien, comme le PC ne

comprend pas le protocole, il n’y répondra pas. Le trunk ne sera
donc pas activé et le port restera en mode « accès » .
Un port physique d’un switch peut avoir plusieurs

états, ou modes, concernant le DTP.
|ces états sont très importants à connaitre, car malheureusement, selon le
modèle du switch, l’état par défaut n’est pas le même …

Siret : 519 157 861 00047
• |en mode Dynamic désirable, le switch annonce sa volonté de
monter en trunk, on dit qu’il est prêt à négocier.
• |en mode Dynamic Auto, le switch attend une sollicitation du voisin

à l’autre bout. C’est-à-dire qu’il n’envoie pas de requêtes, mais
répond à ceux d’en face !
• |en mode Trunk, le switch monte automatiquement en trunk et en

informe le voisin d’en face.
• |dans le mode « nonegociate » il monte aussi en trunk mais

n’informe pas son voisin.
• |et le mode « accès » désactive le trunk et prévient le voisin.

En fonction du mode choisi, soit :
• -le port souhaite monter en trunk
• -ou bien, le port s’impose pour monter en trunk
• -ou bien il interdit de monter en trunk !
Il est donc possible de retrouver différentes

combinaisons entre 2 switchs !
|Voici un tableau, qui montre dans quel mode le port monte, en fonction
de la configuration des deux bouts.
Les cases surnommées limitées correspondent à une configuration

incohérente, car d’un côté on configure en trunk et de l’autre on force en
accès !
L’ensemble de ces combinaisons est à connaitre

pour le CCNA.

Siret : 519 157 861 00047
Pour des raisons de sécurité, il est préférable de configurer soit même les
ports du switch, et de ne pas utiliser le mode dynamique, car sinon,
n’importe qui peut venir se brancher avec un pc portable, et lancer le
simulateur GNS3 pour former un trunk, et ainsi avoir accès à l’ensemble
des VLAN’s !
|c’est pourquoi, si on souhaite qu’un port soit utilisé qu’en mode accès, il
est préférable de lui faire un « switchport mode acces » suivi d’un
« switchport nonegotiate »
|et si on veut qu’un port monte en trunk, ce sera un « switchport mode

trunk » suivi d’un « switchport nonegotiate »
Pour des raisons de sécurité, il est conseillé de

désactiver la négociation sur les switchs, et de
configurer soit même le mode du port !
Une dernière chose à voir côté sécurité, concerne-le vlan natif. Il est aussi
conseillé de le modifier.
| par exemple, si on souhaite que le vlan natif des switches A et B, soit le

vlan 50 au lieu du 1 par défaut, il faudra exécuter la commande
« switchport trunk native vlan 50 » sur les interfaces du lien trunk

Siret : 519 157 861 00047
|Pour que 2 PC’s qui appartiennent à des VLAN’s différentes puissent
communiquer entre eux, il faudra ajouter un routeur à la topologie.
Dans l'exemple, nous avons le PC A et B qui sont dans des VLAN’s
différents, et chacun des vlan appartiennent à un sous-réseau différent.
Si le PC A, qui est dans le vlan 10, veut communiquer avec le PC B du VLAN
20, alors il faudra router les deux réseaux.
C’est-à-dire, que le trafic ira du PC A vers le routeur

et du routeur vers le PC B.
|Ce procédé s’appelle : « router on a stick »
Aujourd’hui ils vendent des switchs de couche 3, c’est-à-dire qu’en plus de
switcher les paquets, il peuvent aussi les router.
De cette façon, il est possible de se passer d’un

routeur.

Siret : 519 157 861 00047
INTRODUCTION VTP
VTP (VLAN TRUNKING PROTOCOL)

INTRODUCTION
Le protocole VTP permet de synchroniser les Vlan’s entre les switches.
Ce qui aide grandement un administrateur réseau.

Siret : 519 157 861 00047
Admettons que vous ayez un réseau avec une vingtaine de switchs, et une
trentaine de vlan.
Sans le VTP, il faudrait créer l’ensemble des vlans sur tous les switchs
indépendamment ! Ou bien même, si on souhaite supprimer ne serait-ce
qu’un VLAN, il faudrait se connecter sur tous les switches.
C’est une tâche qui prend énormément de temps,

c’est pourquoi il est préférable d’utiliser le
protocole VTP.
Le principe est assez simple, on à un switch en mode serveur, ou l’on
effectue toutes les modification, suppression, ou création de vlan, et il se
charge d’envoyer ces infos sur tous les switches client, qui font partie du
même domaine VTP.
Le fonctionnement, s’appuie sur un numéro de révision qui augmente à
chaque fois qu’ une modification est faite sur le switch en mode VTP
serveur, et ensuite ceux en mode VTP client viennent se synchroniser avec
le bon numéro de révision.
Il est possible d’avoir plusieurs switches en mode VTP serveur, afin
d’effectuer des modifications à différent endroit du réseau !

Siret : 519 157 861 00047
Pour que le VTP fonctionne, il faut lui configurer un nom de domaine VTP,
qui devra être identique sur tous ces switches.
Pour résumer :
• |1°) Lorsque l’on ajoute, modifie, ou supprime un Vlan sur le switch

en mode VTP
• |2°) Cela à pour effet d’augmenter le numéro de révision
• |3°) ça déclenche ensuite un paquet d’avertissements qui est envoyé

sur tous les switches clients, du même domaine VTP.
• |4°) Et pour finir, ils viennent ensuite se synchroniser pour avoir le

dernier numéro de révision
| Il existe un autre mode de VTP, il s’agit du VTP

Transparent.
Un switch en mode VTP Transparent transmettra les messages

d’avertissement de la modification du numéro de révision, mais ne se
synchronisera pas avec le switch en mode VTP Serveur !
Le protocole VTP permet donc de gagner

grandement du temps.
Mais il faut tout de même faire très attention avec ce protocole, car il
présente tout de même un gros risque pour la sécurité…
Le problème avec VTP, c’est qu’un switch en mode

Serveur est également un client VTP…
Et tout client VTP se synchronise avec le switch ayant le numéro de
révision le plus élevé !
Par exemple, si on prend un switch en prod et qu’on le sort du réseau pour
faire des tests dessus, comme l’ajout de plusieurs VLAN, et qu’avant de le
remettre en prod, on supprime tous les vlan, pensant qu’il reprendra une
configuration propre…
Et bien c’est louper…

Siret : 519 157 861 00047
L’ensemble des vlan’s des switches en prod seront supprimées, car ils
s’aligneront aux switches ayant le numéro de révision le plus élevé….
Un client VTP peut remplacer un serveur VTP, si le numéro de révision est
supérieur… car un serveur VTP est également un client VTP.
C’est un peu mal foutu, mais ça fonctionne comme

ça…

Siret : 519 157 861 00047
DTP ET VTP
DTP DYNAMIC TRUNKING PROTOCOL

Le protocole DTP est un protocole propriétaire Cisco.
C’est-à-dire qu’il ne fonctionne qu’entre switchs Cisco!
Le tableau que vous voyez reprend toutes les possibilités qu’il est possible de faire,
avec la configuration du DTP entre 2 switchs.
Ces états sont très importants à connaitre, car selon le

modèle du switch, l’état par défaut n’est pas le même.
À chaque fois qu’un port monte, des annonces DTP sont envoyées.

Siret : 519 157 861 00047
| Si le port est connecté à un switch voisin, alors ils s’échangeront et répondront aux
annonces DTP.
Des deux côtés, l’activation du Trunk s’effectuera automatiquement !
| Par contre, si le port est connecté à un pc, alors ce dernier ne répondra pas aux
annonces DTP.
Car le PC ne comprend pas le protocole.

Du côté du switch, le trunk ne sera donc pas activé ! Et le port restera en mode Access
Un switch envoie donc des requêtes DTP régulièrement sur le réseau. Pour annuler
ces envois, il faut utiliser | la commande « switchport nonegociate » directement sur
l’interface.
Une interface peut être configurée de 4 façons différentes :
• | -La commande « switchport mode access » force le port en mode « accès », et

désactive l’envoi de requête DTP sur le réseau.
• | -La commande « switchport mode trunk » force le port à être un port trunk, et
envoie des requêtes DTP au switch d’en face.
Siret : 519 157 861 00047
• | -La commande « switchport mode dynamic auto », est en quelque sorte un
mode passif.
C’est-à-dire qu’il attend patiemment un message, du switch en face, pour

s’autoconfigurer.
Si le port en face est en mode « Trunk » ou en mode « desirable », alors il montera en
« trunk ».
Sinon il restera en mode « acces » !
Dans ce mode des requêtes DTP sont envoyées régulièrement sur le réseau.
• | Et la commande « switchport mode dynamic desirable » est un mode Actif !
C’est-à-dire qu’il envoie des requêtes DTP au switch d’en face pour lui faire une
proposition de trunk.
VLAN TRUNKING PROTOCOL

| Pour réduire les erreurs de configuration de VLAN dans son réseau, il faut utilisez le
protocole VTP
C’est un protocole de couche 2 qui facilite la gestion de VLAN à travers plusieurs
switches dans un réseau.
En l’utilisant, vous n'avez pas besoin de vous connecter à chaque switch pour créer et
nommer chaque VLAN manuellement.
VTP le fait automatiquement.

Si on a que quelques switchs, on peut gérer ses vlan’s manuellement.
Mais sur de grands réseaux, VTP est beaucoup plus avantageux.
Un switch ne peut appartenir qu’à un seul domaine VTP.

Les configurations que l’on apporte sur un équipement qui est en mode VTP serveur
se propageront sur l’ensemble des autres équipements qui sont en mode Client.
Les messages VTP que s’échange les switches sont envoyés toutes les 5 minutes ou
bien, à chaque fois qu'il y a une modification sur les VLAN.
Siret : 519 157 861 00047
Ces échangent se font uniquement dans un même domaine
VTP
Il existe trois versions VTP différentes.
La version 1 est la version par défaut.
Les différentes versions ne sont pas compatibles entre eux, il

faut obligatoirement la même version dans le même
domaine VTP.
Il existe trois modes VTP différents:
• | Le mode Server: est le mode VTP par défaut.

Ici, les VLAN sont propagés sur le réseau d’un même domaine VTP.
Lorsque l’on modifie la configuration VLAN sur un serveur VTP, que ce soit un
ajout, une suppression ou bien une simple modification, elle est propagée sur
tous les switchs du domaine VTP.
| La commande « vtp mode server » permet de configurer le switch en mode
VTP serveur.
• |Dans le mode Client: il n’est pas possible de modifier la configuration des

VLAN. La synchronisation se fait avec d’autres switchs qui sont soit en mode
Client ou bien en mode Serveur !
| La commande « vtp mode client » permet de configurer le switch en mode VTP
Client.
• |Et en mode transparent, quand on modifie la configuration des VLAN’s, cela

n’affecte que le switch local et il il n’ya aucune propagation dans le domaine
VTP.
Les messages VTP peuvent circuler librement, mais aucune synchronisation ne
sera faite avec un autre switch !
|La commande « vtp mode transparent » permet de configurer le switch en mode
transparent.

Siret : 519 157 861 00047
| On va maintenant passer à sa configuration.
La commande « vtp », en mode de configuration globale, permet de configurer le
mode, soit en client, soit en serveur, ou bien en mode transparent .
|Un nom de domaine VTP peut être renseigné manuellement ou bien appris
automatiquement.
Dans l’exemple, on lui donne comme nom de domaine, FORMIP, avec la commande
« vtp domain »
Par défaut, aucun domaine n'est défini.

Il est même possible de lui mettre un mot de passe avec la commande « vtp
password ».

Siret : 519 157 861 00047
Alors il faut faire attention avec les mots de passe, car si vous
n'attribuez pas le même mot de passe pour les switchs du
même domaine, alors le protocole VTP ne fonctionnera pas
correctement.
| La commande « vtp pruning » permet de faire des économies de bande passante.

Par exemple s’il y’a plusieurs VLAN, et que le switch n’a aucun de ses ports sur l’un de
ces VLAN’s, alors il est inutile qu’ils reçoivent des trames VTP de ce VLAN.
La fonction « VTP pruning » permet d’avertir le switch voisin

de ne pas lui envoyer de trafic pour un VLAN dont il n’a aucun
port d’affecter.
| La commande « show vtp status » permet d’afficher la configuration VTP du switch.
| Et la commande « show vlan » affiche la configuration des VLAN

Siret : 519 157 861 00047
VTP DANGER
VLAN-VTP DANGER
Dans ce cours, nous allons voir en détail, le danger que peut représenter
le protocole VTP en pleine prod, car un switch en mode vtp client peut
prendre le dessus sur un switch en mode VTP serveur, s’il a uniquement un
numéro de révision supérieur !
Pour voir ça en détail, nous allons utiliser la même topologie, mais cette
fois-ci, seul le switch A sera en mode VTP serveur. Le B et C sont en mode
client. Le domaine VTP s’appelle « FORMATION »
Siret : 519 157 861 00047
|On créer 3 vlan sur le switch A
|Et on ajoute un port du switch A, dans le vlan imprimante
|Si on exécute un « show vtp status » sur l’ensemble des switches, on note
qu’ils ont tous un numéro de révision en « 4 »
|un « show vlan » nous montre que tous les switchs se sont bien
synchronisés avec le switch A.

Siret : 519 157 861 00047
On voit aussi que le port fa0/1 du switch A, fait bien
parti du vlan 10.
|On va couper les 2 interfaces du switch C, pour le sortir de la prod et faire

des tests temporaires dessus !

Siret : 519 157 861 00047
|On va le mettre en mode « serveur »,
ajouter des vlan’s pour faire des tests
et une fois qu’on à bien jouer avec, on va supprimer l’ensemble de ces

vlan’s
Ensuite on le remet en prod, en mode « client », pensant qu’il récupérera

ses vlan’s du switch A qui est en mode « serveur » !
On remarque qu’avec les manips qu’on a faites, | le numéro de révision est

maintenant passé à « 11 »

Siret : 519 157 861 00047
| Il nous reste plus qu’à remonter les interfaces pour remettre le switch C,
en prod !
|Et là, c’est un peu le drame, on s’aperçoit que les

switches A et B ont le même numéro de révision
que le switch C, car ils se sont synchronisés avec
lui !!!
|Un « show vlan » nous montre que tous nos vlan’s ont disparu….
|Et notre interface qui était dans le vlan imprimante ne fait plus partit
d’aucun VLAN !
Car il a été supprimé !

Il ne fait même pas partie du vlan par défaut !

Siret : 519 157 861 00047
C’est pourquoi, avant de mettre n’importe quel switch en prod, il faut bien
vérifier le numéro de révision, pour ne pas causer de gros problème avec
la prod !!!
|Pour réinitialiser le numéro de révision, il y’a deux possibilités :
• -soit, changer le nom du domaine VTP
• -ou bien supprimer le fichier « vlan.dat » de la mémoire flash.
L’une de ces deux modifications a pour effet de

reset le numéro de révision.
Pour éviter ce genre d’incident, il est conseillé de plutôt utiliser le mode

VTP Transparent et de créer les vlan’s en local !

Siret : 519 157 861 00047
VTP CONFIGURATION
VLAN-VTP CONFIGURATION
Dans ce cours, nous allons voir la configuration du protocole VTP !

Siret : 519 157 861 00047
Sur cette topologie, les 3 switches ont été réinitialisées et le fichier de la
base des vlan à été supprimé !
Une fois que les switches ont bien démarré, sur chacun deux,| on lance la
commande « show vtp status »
Dans la sortie de cette commande, on peut voir:

Siret : 519 157 861 00047
• |-Le numéro de révision. Chaque fois qu’on ajoute ou supprime un
vlan c’est ce numéro qui est incrémenté ! Ici il est à « 0 » sur les 3
switches, car aucune modification de vlan à eu lieu.
• |-On y voit le mode opératoire du VTP : ici, ils sont tous en mode
Serveur, car il s’agit du mode par défaut.
• |-Et la ligne VTP prunning, permet de supprimer le trafic inutile sur

les liens trunks.
Par exemple, si un switch reçoit des paquets à destination de vlans, dont
aucune de ses interfaces n’en fait partit, alors les paquets seront
supprimés.
Cette fonction permet donc d’éviter que le switch

voisin n’envoie des paquets qui seront, de toute
façon, supprimés !
Très utilisé pour faire des économies de bande passante.
|Nous allons maintenant créer un vlan sur le switch A, le vlan 10, et
l’appelé imprimante.
|On va maintenant faire un « show vtp status » sur l’ensemble des

switches.
On remarque que le numéro de révision a été incrémenté de « 1 » sur le

switch A, et aucun changement sur le B et C.
C’est parce que nous n’avons pas configuré de

domaine VTP.
Siret : 519 157 861 00047
|Pour ça, on va exécuter la commande sur le switch A : « vtp domain » suivi
du nom de domaine qu’on souhaite lui affecter, ici ce sera « FORMATION ».
Comme le switch B et C n’avait pas non plus de domaine de configurer, ils

prendront automatiquement le domaine FORMATION
La synchro sur le domaine n’aurait pas eu lieu s’ils

avaient déjà un domaine de configuré. C’est-à-dire,
|si leurs domaines n’étaient pas VIDES
|Si on refait un « show vtp status » sur les switches B et C, cette fois-ci, on
voit bien que le numéro de revision est passé à « 1 », car ils ont synchronisé
leurs listes de vlan avec le switch A.
|Et si on lui fait un « show vlan », ont voit bien que le vlan 10 a été crée, et
porte le nom de « imprimante ».
Le Vlan 10 à bien été appris par le protocole VTP !

Tant que l’ensemble des switches sont en mode VTP « serveur », je peux
créer des vlans sur n’importe lequel d’entre eux, ils seront
automatiquement propagés sur les autres !
|C’est ce que nous allons faire maintenant :
Siret : 519 157 861 00047
|Sur le switchB on créer le Vlan 20 qui portera le nom de « DRH » et sur le
switche C, on créer le vlan 30, avec le nom « Direction »
|Pour vérifier, on exécute la commande « show vlan » sur l’ensemble des

switches, et on voit bien que la synchronisation s’est bien effectuée.
|On va maintenant jeter un coup d’œil, sur le numéro de révision, avec la

commande « show vtp status »

Siret : 519 157 861 00047
À chaque fois, qu’une modification a lieu le numéro
de révision s’incrémente de 1. C’est pourquoi
actuellement il est à 3.
Il est passé de 0 à 1, avec la création du vlan 10. De 1 à 2, avec celle du vlan
20, et de 2 à 3 avec le vlan 30.
=>|Maintenant nous allons modifier les switchs B et C en mode client en
lançant la commande « vtp mode client ».
| Pour vérifier, on fait un « show vtp status » et on voit bien que le mode
opératoire est « client »
=> Nous avons donc le Switch A en mode serveur et les switchs B et C

exécutent le mode client.

Siret : 519 157 861 00047
Pour pimenter un peu la topologie, | je déconnecte le câble entre le switch
A et le C.
Il n’ya donc aucune connexion directe entre eux !

Le switch A passera par le B, s’il veut communiquer avec le C !
Nous allons créer un autre vlan sur le switch A et voir les effets sur les
switches B et C.
|Pour cela, on fait un « vlan 40 », que l’on nomme Marketing
| Et on check le comportement sur les switches B et C

Siret : 519 157 861 00047
Le switch B à bien appris le vlan 40 par le switch A, et le C l’a appris par le
switch B.
En mode client, le switch se synchronise lui-même,

et transfert les informations VTP aux autres.
Par contre, il est impossible de créer un vlan en mode client.

Par |exemple si on essaie de créer le vlan 50 sur le switch B, on reçoit un
message d’erreur de la CLI !
Il nous reste plus qu’à tester le mode « transparent » !
|Pour cela, on va changer le mode VTP du switch B en « transparent » |en

lançant la commande « vtp mode transparent »
|On recréer un autre vlan sur le switch A, qu’on va appelé cette fois-ci
Support.

Siret : 519 157 861 00047
|En vérifiant, avec un « show vlan » sur le switch A, on voit bien qu’il à prise
en compte la création
|Mais pas sur le switch B !
Parce qu’il est en mode transparent et qu’il ne se

synchronise pas lui-même !
|Par contre, il laisse bien passer les messages VTP, c’est pourquoi le switch
C a bien reçu l’info par le switch B.
À noter qu’il n’a pu recevoir l’info que du switch B,

car nous avons déconnecté le lien avec le switch A.
Si on créer un vlan sur le switch B qui est en mode transparent, cela n’aura
aucun impact sur les autres !

Siret : 519 157 861 00047
il n’annoncera pas ses vlan’s, il les garde en local,
juste pour lui !
|Si on fait un “show running config” sur le switch B, on voit bien la liste des
vlan’s en local.
Par contre en mode VTP client ou serveur, |elles sont stockées dans le
fichier « vlan.dat » de la mémoire flash

Siret : 519 157 861 00047
LA SOLUTION STP
LA SOLUTION STP
Les VLAN’s permettent de créer des limites afin d’isoler le trafic.
Lors de la conception du réseau, les vlan’s doivent être vue avec attention.
La couche d'accès des switches cisco prend en charge jusqu'à 64, 256 ou
1024 VLAN.
Ce nombre maximum de VLAN dépend du switch.
Dans les switchs Cisco, par défaut, il y’a des VLAN qui sont déjà
préconfigurés.
Le VLAN par défaut des switchs est le VLAN 1.

D’ailleurs le protocole CDP l’ utilise pour découvrir ses voisins !

Une bonne pratique de sécurité est de séparer la gestion du switch, des
utilisateurs !
Ç’a permet d’empêcher, les utilisateurs de tenter d’établir une connexion
Telnet sur les switchs !
Pour pouvoir administrer un switch à distance, il faut lui configurer une
adresse IP.
Cette IP doit se trouver dans le VLAN de gestion, qui est le VLAN 1 par
défaut.
Il est aussi très conseillé, de modifier le VLAN natif par défaut, par un autre
vlan. Par exemple le 99.
Quand on configure un Trunk, il faut s’assurer que le VLAN natif est bien le
même d’un switch à un autre. Car si les extrémités sont différentes, alors,
des boucles de spanning tree peuvent se produiront. Dans ce cas, l’IOS
remontera des erreurs sur la console.
|Le protocole DTP, aide à négocier automatiquement le port en mode

accès ou en mode trunk.

Pour ça il existe, 2 types de mode :
• |Il y’a le mode Dynamic auto : qui négociera le mode

automatiquement, avec une préférence pour le port d'accès.
• |Et le mode Dynamic desirable : qui est la même chose que le

dynamique auto, sauf qu’il a une préférence pour le port trunk.
|La commande « switchport nonegotiate » | désactive l’auto négociation
du switch.
|Plus on ajoute des switchs, et plus il est possible

d’établir une redondance.
La connexion de deux switchs aux mêmes segments de réseau assure
continuité de service s’il y a des problèmes avec l'un des segments.
La redondance permet d’assurer et d’améliorer la disponibilité du réseau.
Mais le problème, c’est qu’avec une mauvaise

conception, des boucles réseau peuvent se
produire !
Dans un réseau commuté, c’est-à-dire ou il y’a plusieurs switches, les
trames Ethernet doivent n’avoir qu’un seul chemin entre deux-points !
C’est ce qu’on appelle une topologie sans boucle.
Par exemple sur cette topologie, |une trame qui part du PC A, pour aller
vers le PC B, pourra| soit passer par le segment 1 ou bien par le 2 !
Nous avons donc une boucle réseau !

Le problème c’est que ça génère des tempêtes de
broadcast, et ça peut faire tomber le réseau!
Quand une tempête de broadcast se produit, tous les liens saturent, car
les broadcast tournent en rond sur les boucles, et les tables MAC des
switchs deviennent complètement folles !
Pour éviter cette boucle, on pourrait très bien| déconnecter physiquement
le câble du segment 4 !
Comme ça, il y’aurait bien qu’un seul chemin entre le PCA et le PCB.
Les paquets passeront obligatoirement par le segment 1.
Mais un bon réseau doit offrir de la redondance

pour proposer un chemin alternatif en cas de
panne d'une des liaisons ou bien d'un switch.
La solution aux boucles est le protocole| Spanning tree !!!
C’est un protocole réseau de couche 2, qui permet d’avoir une topologie
sans boucle, et ce, même avec de la redondance !
|Le spanning tree oblige certains ports à être dans

un état bloqué pour ne pas faire de boucle !.
Et si y a un problème avec l'un des segments du réseau, le spanning tree,
rétablira le chemin bloqué.
Par exemple si le |segment 1 tombe, alors le spanning tree ouvrira

automatiquement le |segment 4 pour faire passer les trames !

L'algorithme du spanning tree, permet de garantir 1 seul chemin entre
deux-points réseau !
Pour cela, il bloque administrativement certains ports des switchs.
Sur les switchs cisco, le spanning tree est activé par défaut

INTRODUCTION AU SPANNING-TREE
SPANNING-TREE-INTRODUCTION
Dans les cours précédents, nous avons vu en détail, la différence entre les
hubs, les ponts, et les commutateurs, qui se font appeler également
« switch ».
Nous avons aussi vu ce qu’était un VLAN et des

liens Trunks !
La dernière partit à voir sur les switches, est le protocole Spanning-tree.
En réseau, la redondance est très importante, pour

ne pas avoir qu’un seul point de défaillance.
L'inconvénient de la redondance dans un réseau commuté est que cela
fait introduire des boucles réseau !
C’est pourquoi le protocole Spanning Tree a été

conçu, afin de résoudre ce problème de boucle !
Les boucles réseau s’introduisent uniquement quand on veut avoir de la
redondance !

Siret : 519 157 861 00047
Sur ce schéma, si la liaison entre les deux switches tombe, alors les
utilisateurs du switch A ne pourront plus joindre ceux du switch B !
|C’est pourquoi il est préférable d’ajouter une autre

liaison entre les deux switches, pour avoir de la
redondance.

Siret : 519 157 861 00047
Mais comme toute redondance amène des boucles
réseau, |Maintenant nous en avons une !
Nous allons voir pourquoi une boucle réseau peut engendrer beaucoup de
problèmes.
1. |Imaginer que le PCA envoie une requête ARP, parce que’il
cherche à joindre le PCB sans connaitre son adresse MAC.
Et une requête ARP est un broadcast.
2. |Le switch A transmettra donc ce broadcast sur tous ses ports,
sauf celui d’où il est arrivé.
C’est-à-dire , à l’exception du port sur lequel est branché le
PCA.
3. |Le switchB recevra donc 2 trames broadcast, comme il y’a
deux liens entre les switches.
4. Comme il s’agit d’une trame broadcast, lui aussi l’enverra à
tous ces ports sauf celui d’où il provient.
Siret : 519 157 861 00047
5. |Cela signifie que la trame reçue sur le port 48 sera transmise
sur la 47et vers le PC B
6. |Et la même demande ARP reçue sur le port 47 sera transmise
aussi sur le port 48 et le PCB !!!!
Ce qui nous amène à une boucle réseau !

Comme les trames Ethernet n’ont pas de |champ TTL, alors les trames
tourneront en boucle indéfiniment , jusqu’à ce que les switches plantent
parce que’ils sont surchargés de trafic, ou bien jusqu’à ce qu’on
déconnecte l’un des câbles réseau entre les deux switches.
C’est la qu’intervient le protocole spanning tree !!!

Grâce à lui, il va nous permettre d’obtenir une topologie sans boucle, |En
bloquant certains ports.
FONCTIONNEMENT DU SPANNING-TREE
SPANNING-TREE-FONCTIONNEMENT
Dans ce cours, nous allons voir comment le spanning-tree travaille !
Siret : 519 157 861 00047
Dans cet exemple, nous avons trois commutateurs,
représenter avec Mac-adresse, qui forment une
boucle.
|Comme le spanning tree est activé, l’ensemble des switches vont
s’envoyer des frames spécial qu’on appel des |BPDU.
Et voici de quoi est composé une frame BPDU.
Il y a beaucoup de champs, mais seul deux est important pour le moment.
• Le champ de l’adresse MAC
• et celui du Bridge priority !
Ces deux champs identifient |le Bridge ID

Siret : 519 157 861 00047
C'est l'information que le spanning three à besoin pour effectuer son
calcul !
Pour commencer, le spanning tree va élire| un pont racine, plus connu
sous le nom de « root bridge » . Cette élection se fait par celui qui à le plus
petit | « Bridge ID »
Plus l'identifiant du pont est bas, mieux c'est.

Par défaut, la priorité est réglée sur une valeur de 32768, il est possible de
le modifier, soit même, si on le souhaite.
Alors à votre avis, sur cette topologie, quel sera le

|Root Bridge ?
Et bien comme la priorité est identique sur tous les switchs, la sélection va
se faire sur la plus petite mac adresse.
|Et ici il s’agit du switch A. Ce sera lui le Root

Bridge !
|Les ports sur un root bridge sont toujours tagués en « désigné », ce qui
signifie qu'ils sont dans un état de « forwarding ».
Nous reviendrons plus tard sur les différents états

de ports.
Ici, nous marquons de la lettre « D » les ports désignés du switch qui a été
élu Root Bridge.

Siret : 519 157 861 00047
Maintenant, que nous avons trouvé le pont Racine, la prochaine étape de
calcul du spanning tree, consiste à trouver le chemin| Le plus court vers ce
pont racine.
Ce chemin est appelé « port racine » ou « root

port »
|Voici les ports qui seront marqués « Root port », c’est bien eux qui ont le
chemin le plus rapide pour accéder au Root Bridge !
Le spanning tree regarde la vitesse réelle de l’interface pour sélection le
chemin le plus rapide.
Par exemple, Il préféra passer par 3 liens de 1 gigabit que plutôt passer 1
lien de 10 mégabits !
Chaque interface est représentée par un coût selon sa vitesse !

Siret : 519 157 861 00047
Pour déterminer le chemin le plus court vers la
racine, nous devons regarder le coût de l'interface.
|Voici un tableau qui représente les coûts des interfaces par rapport à leurs
vitesses.
Comme vous pouvez le voir, plus l'interface est rapide, et plus le coût est
bas.
| Il est donc préférable de traverser 4 liaisons Gigabit plutôt que de
traverser un seul lien de 100 Mbit.
Car le cout sera de 16 pour 4 liaisons de 1 gigabit et de 19 pour une liaison
de 100 mégabits.
Ici aussi, il est possible de modifier les différents

couts des liaisons, soit mêmes !
À partir de cet instant, le spanning tree à déterminé le root bridge avec ses
ports marqués en « désigné » et à marqué les root port des autres
switches, qui correspond donc au chemin le plus court !
Mais nous avons toujours une boucle !
Il faut donc fermer l’un des ports entre le switch B et le switch C pour
casser cette boucle.
Quel port, le spanning tree choisira-t-il de couper ?
Celui du switch B ou celui du switch C ?

Siret : 519 157 861 00047
Pour faire cette élection, le spanning tree se basera une nouvelle fois sur le
bridge ID.
Pour rappel, plus la valeur est basse et mieux c’est !
|Ici, comme la priorité est identique, l’élection se base sur l’adresse MAC,
et c’est le switch B qui à la plus petite adresse MAC, c’est lui qui sort
vainqueur de cette bataille.
|Le switch C bloquera son port !
Ce qui aura pour effet de casser la boucle .
L’interface bloquée |portera les initiales de « ND » qu’on peut traduire par

« Non désigné ».
Et un port non désigné est un port dans un état

bloquer.
En fermant cette interface, le spanning tree à régler le problème de

boucle !

Siret : 519 157 861 00047
Et le port en face du port bloqué sera marqué « désigné »
Nous venons de voir les bases du spanning Tree !
Si vous avez déjà joué avec des commutateurs Cisco, vous avez dû
remarquer qu’à chaque fois qu’on branche un câble, une LED au-dessus du
port, clignote en orange avant de passer au vert.
Quand la LED clignote orange, c’est que le

spanning tree est en train de déterminé l’état de
l’interface !
• |Le port est en mode "écoute" pendant 15 secondes.

Dans cette phase, il recevra et enverra des BPDU uniquement.
Aucune adresse MAC ne sera associée au port et aucune
transmission de donnée n’est possible.
• |Ensuite le port passe en mode 'apprentissage' pendant 15 secondes
aussi.
Dans ce mode, il continue d'envoyer et de recevoir des BPDU, mais
cette fois-ci, le switch est capable d’apprendre les adresses MAC.
Les transmissions de données ne sont toujours pas possibles.
• À la fin de ces 15s, |Le switch rentre en état de « transfert », c’est
dans ce mode qu’il est capable de transférer des données, c’est-à-
dire de faire son boulot de commutation !
|L’ensemble de ces étapes ont donc pris 30 secondes pour passer du

mode écoute au mode de transfert, ce qui est TRÈS TRÈS lent pour les
réseaux de nos jours.
Nous venons de voir le mécanisme du spanning tree, mais il n’existe pas

qu’un seul type de spanning tree…
➢ |Nous avons le spanning tree classique.

➢ |Le spanning tree par Vlan
➢ |Le spanning tree rapide
➢ |Le spanning tree par Vlan Rapide
➢ |Et le spanning tree multiple

Siret : 519 157 861 00047
Heureusement, il n’est pas obligatoire de connaitre
l’ensemble des différents types de spanning tree
pour le CCNA, mais nous verrons dans le prochain
cours, ceux qu’il faut connaitre.

Siret : 519 157 861 00047
SPANNING-TREE PAR VLAN
TYPE DE SPANNING-TREE
Dans ce cours, nous allons voir le principe du spanning tree par vlan.
Sur ce schéma, on peut voir que l’ensemble des switchs le A, B et C, font

partit du Vlan 10.
Et le vlan 20 est seulement configuré sur les switches A et B!

Siret : 519 157 861 00047
A votre avis, y’a-t-il une boucle dans le vlan 10, et
une autre dans le vlan 20 ?
La réponse est « non » pour le vlan 20, car il n’y a qu’un seul lien entre le
switch A et le B.
Il n’y a donc pas de boucle.

Par contre, il y’en à bien une pour le vlan 10, car les 3 switches figurent
dans ce vlan.
On va voir, comment le spanning tree vas gérer cette topologie composée
de plusieurs vlan
Et quels seront les ports qu’il décidera de bloquer,

et pourquoi ?
Le switch utilisera un spanning tree par vlan
|Pour chaque VLAN, on pourra avoir un Root Bridge différent si on le
souhaite, comme le montre le schéma qui vient de s’afficher.
Sur cette topologie, nous avons 2 vlan, le VLAN 10 et le VLAN 20, et
chacun d’entre eux à élu son propre switch pour le root bridge.
• Le vlan 10 à prit le switch A
• et le vlan 20 à choisi le switch B.

Siret : 519 157 861 00047
comme vous pouvez le voir, chacun des vlans a
également son propre port bloqué pour éviter les
boucles.
Cette configuration est idéale pour de la redondance, car si on aurait qu’un
seul root bridge pour les 2 vlan’s, cela signifierait qu’il n’y aurait qu’un seul
port de bloquer, et donc un lien qui ne sera jamais utilisé !
Nous venons de voir le |spanning tree par vlan.
Dans le chapitre précédent, nous avons vu |le spanning tree classique, il

existe aussi |un spanning tree bien plus rapide pour chacun d’eux :
• Le spanning tree rapide
• et le spanning tree rapide par vlan.

Le calcul du spanning tree, étant trop lent de nos jours, c’est pourquoi il
existe une version plus rapide, afin d’améliorer la vitesse de convergence.
On ne va pas rentrer dans les détails pour l’instant,

car ne n’est pas au programme du CCNA. Cela fait
plutôt partit du programme CCNP Switch.
Il faut juste savoir que la différence porte uniquement sur la rapidité.
Le dernier type de spanning tree à voir est| Le multiple spanning tree !
Nous avons vu qu’il était possible de calculer un spanning tree par vlan.
Et notre exemple comportait 2 vlan.
Mais qu’en est-il|, si nous avons + de 500 vlan comme le montre le schéma
qui vient de s’afficher. !

Siret : 519 157 861 00047
Ici, Les VLAN de 1 à 250 ont étés configurés sur tous les switches, et les
VLAN de 251 à 500 sont configurés que sur les switches A et B.
Est-ce vraiment utile de faire un calcul Spanning

Tree pour chaque VLAN?
Cela représenterait 500 calculs Spanning Tree!
De quoi surcharger le switch inutilement.

C’est là qu’intervient le spanning tree multiple.
Grâce à lui il est possible d’assigner des numéros de vlan sur une instance
de spanning tree.
Si nous l’utilisons sur cette topologie, nous aurions donc :
• un calcul pour les vlan’s de 1 à 250,
• et un autres calculs pour les vlan’s de 251 à 500 !
Ce qui représente seulement 2 calculs ! ce qui est

beaucoup mieux que 500 !
Une fois de plus, nul besoin de rentrer en détail sur ce type de spanning
tree, car ce n’est pas non plus au programme du CCNA. Vous le verrez
uniquement si vous continuez vers le CCNP Switch.

Siret : 519 157 861 00047
ÉLECTION STP
RÉSOLUTION DE BOUCLE AVEC STP (SPANNING

TREE PROTOCOL)
Le Spanning Tree permet d’éviter les boucles réseau, | en plaçant certains ports dans
un état de blocage, pour n’avoir qu’un seul chemin d’un point à un autre.
Ce qui rend possible la mise en place de redondance.

Car si un problème arrive sur l’un des segments du réseau, alors le protocole STP
réactivera le port bloqué, pour que les paquets puissent passer par un nouveau
chemin.
| Le Spanning tree, utilise des BPDU’s pour la communication entre les switchs.

Siret : 519 157 861 00047
Les BPDU’s sont des trames qui sont échangées régulièrement, à peu près environ
toutes les 2 secondes, et permettent aux switches de garder une trace des
changements sur le réseau afin d’activer ou de désactiver les ports des équipements.
|L’algorithme du spanning-tree procède en plusieurs étapes :
• | Tout d’abord il va procéder à l’Élection du commutateur racine :
Une topologie sans boucle ressemble à un|arbre et à la base de chaque arbre, on

trouve ses racines, qu’on peut appelé « root ».
Et bien dans un réseau commuté, le root bridge, |qui signifie commutateur racine, est
l’élu.
Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut
paramétrer.
|Ces deux nombres forme l'identifiant du pont, plus connu

sous le nom de « B » « I » « D ».

Siret : 519 157 861 00047
|Le commutateur avec la priorité la plus basse devient le pont racine, et en cas
d'égalité, c'est l'adresse MAC la plus basse qui l'emporte.
En règle général, l'administrateur réseau fait en sorte que le commutateur racine soit
le plus proche possible du cœur réseau, | en modifiant la valeur du Bridge ID.
• Après avoir élu le commutateur racine, le spanning tree | va déterminer les ports
racines :
Cette élection porte sur la distance la plus courte vers le commutateur racine.
| Pour ça, il se base sur le « cout » de chaque lien traversé. Et la valeur du cout dépend
de la bande passante du lien, comme le montre le tableau.
| Le « port racine » qui est aussi connu sous le nom de root port ou bien simplement
avec les initiales RP, sera celui qui mène le plus directement au commutateur racine.
Il ne peut y avoir qu’un seul root port par commutateur.
| En cas d'égalité, c’est-à-dire que 2 switchs ont le même coût vers le Bridge ID, alors
ce sera le port ayant le port ID le plus faible qui sera élu.
• Après avoir déterminé les ports racine, le spanning tree |va sélectionner les
ports désignés :
Pour chaque segment réseau qui relie des commutateurs, |un « port désigné » qu’on
peut écrire aussi avec les initiales « DP » , est sélectionné par le spanning tree.
|Il s’agit du port relié au segment, qui mène le plus

directement à la racine !
C’est d’ailleurs pour ça qu’un switch élue root bridge, aura systématiquement des
ports désignés !

Siret : 519 157 861 00047
Ensuite en cas d’égalité sur un segment, et bien la sélection, se fera aussi sur la
priorité et la mac-adresse la plus basse.
• Et la dernière étape du spanning tree, | consiste à bloquer les autres ports pour
ne pas créer de boucles :
Les ports qui ne sont ni racine, ni désignés | sont bloqués.
Un port bloqué peut recevoir des paquets BPDU mais ne peut pas en émettre.
Si la topologie change, par exemple un commutateur tombe en panne, et bien
,l'algorithme du spanning tree est de nouveau relancé et un nouvel arbre est mis en
place.
On a vu que l'algorithme du spanning tree procède en plusieurs phases.
• D’abord il va élire le commutateur racine
• Ensuite il va déterminer les ports racines de chaque commutateur.
• Après, il va sélectionner les ports désignés sur chaque segment.
• Et pour finir, il va bloquer les autres ports, pour éviter les boucles.
Tout ce processus se fait à l’aide des messages BPDU que

s’échangent les commutateurs.
Les BPDU vont permettre de découvrir la topologie, et d’élire le Root Bridge.
C’est en quelque sorte le chef de la topologie Spanning Tree.

Siret : 519 157 861 00047
Une fois qu’il est élu, les switches vont rechercher le meilleur chemin vers celui-ci, et
les itinéraires bis seront désactivés !
EXEMPLE SPANNING-TREE
| Nous allons voir en détail les différents process de l’algorithme du spanning-tree sur
cette nouvelle topologie comme exemple.
La première étape est donc l'élection d'un commutateur racine en désignant le Bridge
ID le plus bas.
| Le bridge ID est la composition de la priorité du switch et de sa Mac-adresse.

Siret : 519 157 861 00047
Alors initialement, tous les switches pensent qu'ils sont le
pont racine !
Ils prétendent tous être la racine de l’arbre.
C’est grâce aux échanges BPDU, qu’ils arrivent à élire le pont racine.
Cette élection se fait par la priorité la plus faible, et en cas

d’égalité, c’est celui qui à la mac-adresse la plus basse qui
l’emporte !
Sur la topologie, | c’est le switch B qui devient le pont racine, car il possède le Bridge
ID le plus bas.

Siret : 519 157 861 00047
| Comme les switches A et B on la même priorité, ce sera le switch qui | à la Mac
adresse la plus basse qui l’emporte.
Il s’agit bien du commutateur B, | car l’hexadécimal

commence de 0 à 9 et de A à F.
La deuxième Étape consiste à élire les ports racines.

Siret : 519 157 861 00047
Lorsqu'un switch reconnait qu'il n’est pas le ROOT, il marque le port sur lequel il reçoit
ces BPDU comme son port racine. Et s’il y’a plusieurs chemins, alors il choisira, | celui
qui est le moins couteux. C’est-à-dire le plus rapide !
Par défaut, le cout associé à chaque port est lié à sa vitesse

(plus la bande passante de l'interface est élevée, moins est le
cout).
|Par exemple une liaison de 1 gigabit est égale à un cout de 4.
Et si malgré tout, plusieurs chemins ont le même coût, alors le switch choisira le
Bridge ID le plus bas, comme pour l’élection du switch Racine.
| En général, les switchs qui sont connectées directement sur le ROOT Bridge seront
designer Root Port.

Siret : 519 157 861 00047
La troisième Étape consiste à élire un port désigné pour
chaque segment.
Après avoir choisi, le ROOT bridge et les root port, les commutateurs déterminent
quel port sera désigné pour chaque lien Ethernet.
Le process est similaire à l’élection du ROOT BRIDGE et des ROOT PORT.
C’est-à-dire que chaque switch envoie des BPDU pour désigner un port sur chaque
lien entre les switchs.
|Dans l’exemple, tous les ports du switch B sont désignés. Car il s’agit du ROOT.
Pour le lien entre le switch A et D, comme le switch A, | à la priorité la plus basse, le
port désigné sera de son côté.
| Et c’est pareil, entre le switch A et le C !

Siret : 519 157 861 00047
Il ne peut y avoir qu’un seul port désigné sur un même lien.
Si la priorité avait été identique alors, la comparaison aurait eu lieu sur l’adresse Mac la
plus basse. Comme pour l’élection du root bridge.
Et pour finir, la dernière étape consiste à mettre les ports qui restent, | dans un état de
blocage.
Pour éviter les boucles réseaux, le protocole spanning tree bloquera les ports qui ne
sont ni ROOT PORT et qui ne sont ni des ports désignés.
TYPES DE PROTOCOLES SPANNING-TREE

|Le spanning tree est un protocole réseau qui assure une topologie sans boucles. Il en
existe plusieurs variétés.

Siret : 519 157 861 00047
• |La forme la plus basique du spanning tree est le STP, qui permet simplement
une redondance sans boucle.
• |On a le RSTP, qui est l’évolution du STP, car il offre une convergence plus
rapide.
• |Le PVST et le PVST +, permettent de mettre en place un spanning tree différent

par vlan. C’est-à-dire qu’il y’a un root bridge par VLAN. L’avantage ici, c’est que
la charge est mieux répartie, car tous les liens seront utilisés, mais pas, par les
mêmes VLAN.
• |Il y’a le Rapid-PVST+, qui est simplement une amélioration du spanning tree par
vlan.
• |Et le multiple STP, est une extension du Rapid spanning tree.
PVST+ : PER VLAN SPANNING TREE +
|Par défaut sur les switchs Cisco, C’est le spanning tree par
vlan + qui est activé sur tous les ports.

Siret : 519 157 861 00047
Alors même s’il a une convergence beaucoup plus lente, que le rapid PVST+, il
demande moins de CPU et de ressources mémoires pour calculer le chemin le plus
court.
|Il permet d’avoir une instance de spanning tree par VLAN.

Ce qui permet un partage de charges plus optimal.
Un ROOT Bridge sera alors élu pour chaque VLAN.

| Et des ports différents par Vlan seront bloqué.
De cette façon, le réseau est encore plus redondant que dans du spanning tree
classique.

Siret : 519 157 861 00047
ANALYSE DU SPANNING-TREE
SPANNING-TREE-ANALYSE
Maintenant vous avez une idée de ce qu'est le Spanning Tree, nous allons
analyser son fonctionnement directement sur les switches.

Siret : 519 157 861 00047
Sur cette topologie que nous allons utilisé, le Spanning tree est activé par
défaut.
|La commande « show spanning-tree » est la commande la plus
importante à retenir !
Il y a beaucoup d’information très utile !

Le spanning tree se décline en plusieurs versions, et la version par défaut
sur les switches est le spanning tree par vlan.

Siret : 519 157 861 00047
Ici nous voyons les détails pour le Vlan 1 !
|Ici, nous voyons les informations du switch root bridge.
Ça priorité est paramétré à 32769, et son adresse MAC est composé que
de « 1 ».
À partir du switch A, le cout pour atteindre le switch élu root bridge est de
19.
Et le port qui mène vers celui-ci, qui s’appelle d’ailleurs le port racine, ou
bien root port, est l’interface Fast Ethernet 0/47.
|Ensuite la partie d’en dessous correspond aux informations du switch
local. Dans notre exemple, il s’agit du switch A.
On y voit sa priorité régler aussi à 32769.
Et le sys-id-ext 1, qui correspond au numéro de vlan.
La priorité est 32768, mais le spanning tree va ajouter le numéro de VLAN
pour nous donner une priorité à 32769.
Et nous voyons l’adresse MAC du switch A

composé que de « 2 ».
|Cette ligne donne quelques informations sur l’utilisation du Spanning
Tree:

Siret : 519 157 861 00047
• Le champ « Hello time » réglé sur 2 secondes signifie que toutes les
deux secondes une BPDU est envoyée.
• Le champ « Max Age », qui est réglé sur 20 secondes, indique que si
nous ne recevons pas de BPDU pendant 20 secondes, alors nous
savons que quelque chose a changé dans le réseau et qu’il va falloir
vérifier de nouveau la topologie.
• Et le « Forward Delay » indique dans l’exemple qu’il faut 15 secondes

pour passer à l'état de « forwarding ».
|Et La dernière partie de la commande « show spanning-tree » nous
montre les interfaces ainsi que leur statut.
Le SwitchA a deux interfaces:
• Le port 46 est un port désigné qui est dans le mode « forwarding »
• Et le port 47 est un port racine, ou un port « root port » qui est en

mode de transfert, c’est-à-dire en mode forwarding.
La colonne « prio.nbr », est la priorité de port.
Étant donné que seules les switchs « non root » ont un port qui mènent
vers le root Bridge, on peut en conclure que le SwitchA n’est pas l’élu !
C’est-à-dire que ce n’est pas le root bridge ! Parce que le port 47 mène
vers le root bridge.

Siret : 519 157 861 00047
|Pour avoir une bonne vue d'ensemble, je marque le port Fa0/46 en port
désigné et le port Fa0/47 en Root port.
|Jetons un coup d'oeil maintenant sur le SwitchB ...
|Ici, nous voyons des informations sur le pont racine, le root Bridge.
|On voit que les données sont similaires au switch A !
|Le port racine du switch B est le port 44.

Siret : 519 157 861 00047
|Ici, ce sont les données du SwitchB : La priorité est la même que sur le
SwitchA, seule l'adresse MAC est différente, ici le switch B porte l’adresse
mac qu’avec des « 3 ».
|Et pour finir, dans cette partie, nous voyons deux choses intéressantes :
• Le port 45 est un port qui porte le rôle d’alternatif et est en mode de

blocage (BLK).
• Et le port 44 est un port racine, en mode forwarding.

Rappelé vous, je vous avais dit qu’un port bloqué était un port ayant le rôle
de « non désigné ».
Ici dans le spanning tree par vlan, un port bloqué

porte le rôle de « Alternatif »
|avec les informations que nous venons de trouver sur SwitchB, nous
pouvons ajouter d’autre information sur notre topologie
|Il nous reste plus qu’à aller voir du côté du switch C !

Siret : 519 157 861 00047
|Le SwitchC est le pont racine de ce réseau.
Nous le savions déjà, puisque le Switch A et B sont

tous les deux non-root mais c'est toujours bon
d’aller le vérifier.
|Comme il s’agit du pont racine, l’adresse MAC du root ID est identique à
celle du Bridge ID
|Et les deux interfaces du switch C, sont des ports désignés en mode
forwarding.
|Notre Topologie est désormais complète !
Uniquement avec la commande « show spanning

tree » nous avons pu voir comment fonctionnait le
spanning tree sur les 3 switches.
|Et si on regarde bien les différentes adresses MAC des 3 switches, on sait
pourquoi le switch C a été élu le root bridge !

Siret : 519 157 861 00047
Comme ils ont une priorité identique, alors l’élection se fait par la plus
petite mac adresse !
Et c’est le switch C avec son adresse MAC

composée que de « 1 » qui gagne !
|Et on peut même savoir pourquoi est-ce que c’est l’interface fa0/45 du
SwitchB qui a été bloquée et non pas l’interface d’en face, qui est la 0/46
du switch A.
C’est tout simplement que comme les deux switchs on la même priorité,
alors une fois de plus le choix va se faire sur la plus petite mac adresse.
Et ici c’est le switch A qui à une adresse Mac plus

petite que le siwtch B !
Il gagne donc cette bataille, et le switch B, qui est le switch perdant, se
doit de fermer son port 45 !

Siret : 519 157 861 00047
COUT ET PRIORITÉ DU PORT
SPANNING-TREE-CONFIGURATION
Dans le cours précédent, nous avons vu que le Switch C était désigné
comme le root Bridge et que le switch B à du désactiver son port 45, car il
à perdu la bataille avec le switch A.
Nous allons maintenant, voir comment choisir soit même le root bridge.
Par exemple, on souhaiterait que le switch A, devienne l’élue !

Siret : 519 157 861 00047
|Pour cela on va utiliser la commande « Spanning-tree vlan root primary »
Dans l’exemple on spécifie le vlan 1 et on exécute cette commande sur le

switch A.
Cette commande est une sorte de macro qui va

faire baisser la priorité du switch directement dans
le fichier de la running-config.
Et comme ici, on utilise le spanning tree par vlan, il est possible de
modifier la priorité pour chaque vlan.
|Si maintenant, on regarde le fichier de la running config, on s’aperçoit

bien que la priorité du switch A est passée de 32769, qui était sa priorité
par défaut, à 24576.
Alors , il existe une seconde méthode pour modifier la priorité d’un switch,
c’est avec la commande | « spanning-tree vlan priority ».
Cette commande permet de modifier la priorité avec la valeur que l’on

souhaite.
Ici dans cet exemple, on lui spécifie la priorité 4096 !
Les switches B et C ayant une priorité par défaut de

32769, le switch A devient le| root bridge !

Siret : 519 157 861 00047
Comme la topologie du spanning tree a été modifié, l’état du port 45 du
switch B, qui était dans un état de blocking dans l’exemple précédant, à
certainement du être aussi modifié !
C’est ce que nous allons analyser.
|Si on fait un « show spanning-tree » sur le switch A, l’ensemble de| ses

ports sont marqués en « Désigné », car c’est le Root Bridge !
La colonne | « Prio.Nbr » indique la valeur que le switch inscrira dans le
BPDU quand il l’émettra par cette interface.

Siret : 519 157 861 00047
Si on regarde maintenant sur le| switch B, le port Fast Ethernet 45 mène
bien vers le root bridge, il sera donc marqué comme root port, | et le port
44 est vu comme non désigné et se retrouve dans un état bloqué !
|Il nous reste plus qu’à aller voir sur le switch C.
| Le port 48 est marqué root port et le 43 est un port désigné
Maintenant que nous savons l’ensemble des états

de cette topologie, on va jouer un peu avec le
spanning tree !
|Ici le switch B passe par le port 45 pour joindre le Root Bridge qui est le
switch A.
comment faire si je veux qu’il passe| par le switch C

pour joindre |le switch A ?

Siret : 519 157 861 00047
C’est en jouant avec le cout des interfaces que l’on va pouvoir changer
notre topologie.
Ici, l’ensemble de nos interfaces ont un |cout de « 19 »
Si on se place du côté du switch B, il peut atteindre le pont racine par son

|interface 45 pour un coût de 19 et par son interface 44, pour un cout de 38.
On va donc modifier le coût et voir ce qui se passe.
|La commande « spanning-tree cost » permet de modifier le coût d’une

interface.
Ici, on se connecte sur le port 45 et on lui spécifie un coût de 50.
|Si on rappel notre commande « show spanning-tree », on peut voir que

l’interface 45 est maintenant bloquée, car il à un coût plus élevé que son
autre interface, la 44, qui est maintenant notée le « root port » !

Siret : 519 157 861 00047
|Avec un « show spanning-tree », sans le pipe, on voit que le root ID porte
la mac-adresse représenté qu’avec des « 2 »,
c’est donc le switch A, et que pour le joindre le coût est de 38.
|Avant de continuer, on va revenir à l’état initial en supprimant notre
dernière commande !
Nous venons de voir qu’il était possible de modifier le chemin d’origine en

jouant avec le coût des ports.
|Nous allons maintenant voir qu’on peut aussi influencer le spanning-tree
en modifiant la priorité du port.
|Pour voir ça en détail, on va rajouter un lien supplémentaire entre le
switch A et le B !

Siret : 519 157 861 00047
|Si on fait un « show spanning-tree» sur le switch B,
On voit que sur ce nouveau lien, le port 41 a le rôle de root et la 45 est dans
un état bloqué.
Alors, pourquoi le switch, à t-il décidé de bloquer le

port 45 et pas le 41 ? Alors que ces deux interfaces
|ont le même cout !
Et bien, dans ce cas, le choix se fait avec la| priorité du port.

Siret : 519 157 861 00047
Alors attention, ici les valeurs que l’on voit sur le
switch B, seront utiliser dans les BPDU que le
switch B émettra !
Si le switch B préfère bloquer son port 45, au lieu du 41, | c’est parce que
dans la BPDU reçue du switch A, par le port 42, porte une priorité |plus
faible !
Le switch choisira l’interface par laquelle il reçoit le

Port-ID le plus faible …
On va maintenant changer la priorité des BPDU que le switch B reçoit. Il va
donc falloir modifier le switch A.
|La commande « spanning-tree port-priority » permet de modifier la valeur

de la priorité du port.
Ici, à la place de 128, qui est la priorité par défaut, on lui met : 112 !
|Et si maintenant, on retourne faire un « show spanning tree » sur le switch

B, cette fois-ci on voit que le port bloqué est le 41 !
J’espère ne pas vous avoir perdu !

Si vous avez du mal à comprendre, la méthodologie du spanning tree, je
vous recommande de construire la même topologie que j'utilise et
d'examiner votre propre topologie Spanning Tree.

Siret : 519 157 861 00047
Jouez avec :
• la priorité du switch,
• le coût
• et la priorité du port
pour voir en direct les différents changements des états des ports.

Siret : 519 157 861 00047
VLAN MULTIPLE
SPANNING-TREE-CONFIGURATION
MULTIPLE VLAN
Dans cette leçon, on va voir comment le spanning tree gère plusieurs
VLAN.

Siret : 519 157 861 00047
Ici, nous avons 3 switchs qui ont été réinitialisées avec leurs configurations
d’usine.
|On va créer les VLAN’s 10, 20 et 30, sur chacun des switchs.
|Comme par défaut, l’ensemble des ports d’un switch sont en mode accès,
on va créer les trunks entre les switchs.

Siret : 519 157 861 00047
On choisit l’encapsulation Dot1Q et on passe le port en mode trunk sur
toutes les interfaces qui relie un switch.

Siret : 519 157 861 00047
|La commande : « show spanning-tree summary » permet d’obtenir un
aperçu rapide des topologies Spanning Tree.
Ici on constate que sur le switch B, l’ensemble des vlan’s sont dans un état
bloqués.

Siret : 519 157 861 00047
|Et si on utilise la commande « show spanning tree » sur le switch C, on
voit qu’il est élu le root bridge pour l’ensemble des vlan’s.
Or ce n’est pas ce que nous voulons !

|Comme le schéma l’indique, on veut que chaque switch soit root d’un seul
vlan !

Siret : 519 157 861 00047
Actuellement le switch C est le pont racine pour les
vlan’s 10,20 et 30 !
Pour ce faire, on va baisser la priorité des switchs A et B pour les vlan’s 10
et 20.
On ne touche pas au switch C ni au vlan 30,

puisqu’il est bien élu le pont racine pour son vlan.
|Sur le switch A, on lance la commande « spanning-tree vlan 10 priority
4096 ».
|En faisant un show spanning-tree vlan 10, cette fois-ci, on voit bien qu’il
est élu le pont racine.
|Et on fait de même, sur le switch B, mais cette fois-ci, sur le vlan 20 !

Siret : 519 157 861 00047
|Avant, nous avions que les interfaces du switch C qui était bloqué.
Maintenant nous aurons différentes interfaces

bloquées, car nous avons un pont racine différent
pour chaque VLAN.
|La commande « show spanning-tree » est très utile, car elle fournit toutes
les informations que l’on a besoin pour analyser le fonctionnement du
spanning-tree.
PORTFAST
|Pour finir, on va parler des différents états que le port peut avoir.
Chaque fois que vous connectez un câble à une interface :

Siret : 519 157 861 00047
• |il reste 15 secondes en écoute
• et 15 secondes |en apprentissage,

avant de pouvoir se retrouver en mode « Transfert », pour fonctionner
correctement.
Au total il aura passé 30 secondes avant d’être

complètement fonctionnel.
Ce fonctionnement est indispensable quand on branche plusieurs switchs
sur ces ports, afin d’éviter les boucles.
Mais qu’en est-il si on branche un simple PC, ou bien tout autre
équipement de terminaison.
Comme c’est un équipement en bout de chaine, il

ne peut pas y avoir de boucle.
Dans ce cas, il n’est pas utile d’écouter les BPDU, car sinon le PC mettrait
30 secondes avant de pouvoir être utilisé.
Pour contourner ça, il existe une solution propriétaire Cisco, |qui s’appelle
« Portfast »
Les interfaces avec le mode « portfast » d’activées passeront
immédiatement en mode de transfert, c’est-à-dire en mode forwarding !
Il sautera donc l'état d'écoute et d'apprentissage.

Il est important d’activer ce mode sur toutes les interfaces qui seront
connectées à des hôtes !
|La commande « spanning-tree portfast » permet d’activer ce mode.
Cette commande est à passer directement sur la

conf de l’interface !
Il est possible aussi d’activer cette fonction par défaut sur tous les ports du
switch !

Siret : 519 157 861 00047
Pour ça, il faut exécuter| la commande « spanning-tree portfast default »
en mode de configuration global !
Et la dernière chose à voir sur le spanning tree est l’implémentation du

rapid spanning tree.
À ce stade, il n’est pas forcément important de voir

en détail comment il fonctionne, mais juste
comment l’activer.
|La commande « spanning-tree mode rapid-pvst » permet simplement de
l’activer.
La convergence sera alors beaucoup plus rapide.

Siret : 519 157 861 00047
PORTFAST ET BPDU GUARD
PORTFAST ET BPDU GUARD

Le spanning tree permet d’avoir une topologie réseau sans boucles.
Il est important de prendre des précautions, à chaque fois

que l’on active un port de switch.
Si le port qu’on active est connecté à un autre switch, alors des BPDU seront
échangées pour s'assurer qu'il n’y a aucune boucle dans le réseau.

Siret : 519 157 861 00047
Pendant ce temps de convergence, le port passe dans différents états.
• |D’abord il se met dans un état de Blocking, pendant 20 secondes au maximum.
• |Ensuite il passe en état de Listening, pendant 15 secondes.

C’est-à-dire que le port écoute les BPDU qu'il reçoit pour savoir s’il doit repasser
en état de blocage ou s’il peut continuer son processus.
• |Si tout se passe bien, le port passe dans un état de Learning, pendant 15
secondes au maximum.
• |Et pour finir, il passe dans l’état de Forwarding, une fois que le port du switch
est certain qu’il n’y aura aucune boucle réseau, s’il envoie des données.
Le port restera en surveillance, et se désactivera automatiquement à la moindre
modification de la topologie, pour éviter qu’une boucle se produise…

Siret : 519 157 861 00047
Pour résumé, si le port du switch se connecte à un autre
switch, alors le cycle d'initialisation du spanning tree
s’effectuera pour assurer une topologie sans boucle.
|Par contre, pour les périphériques du type « accès », comme des ordinateurs ou des
serveurs, les retards causés par le protocole STP peuvent causer pas mal de
problèmes.
Surtout au niveau des délais de réponses.

Le spanning tree est conçues pour empêcher les boucles, mais sur équipements en
bout de chaine, en théorie, il ne peut pas y avoir de boucle.
C’est pourquoi Cisco a conçu les fonctionnalités| :
• « PortFast »
• et « BPDU Guard »
pour réduire le temps que met un port pour atteindre l’état de forwarding.
|PortFast permet à un switch de commencer la communication beaucoup plus

rapidement.
|C’est-à-dire qu’il va contourner les différents états du

spanning tree, pour arriver directement à l’état de
forwarding.
Il se configure uniquement sur les |ports du switch qui sont déjà en mode « accèss ».
Généralement on combine le porfast avec la fonction| « BPDUGUARD » qui permet de
désactiver le port immédiatement, dès qu’il reçoit des BPDU’s.
Dans une configuration PortFast, c’est-à-dire sans spanning tree, les BPDU ne doivent
pas exister, car des périphériques d’accès ou finaux n’en génère pas.

Siret : 519 157 861 00047
Si le port reçoit tout de même des BPDU, c’est qu’un utilisateur a connecté un switch
à la place de son PC, ce qui pourrait provoquer une boucle.
C’est là qu’intervient « BPDU GUARD ».

Si des BPDU sont reçus sur un port configuré en port fast, alors il désactivera
immédiatement le port et fera apparait un| message de ce type sur la console.
Les fonctions PortFast et BPDUGUARD peuvent être configurées par port ou

globalement sur tous les ports d'un switch.
|La commande « spanning-tree portfast » configure PortFast seulement sur une
interface.
Et la commande « spanning-tree bpduguard enable » active la protection BPDU sur

l’interface.
Si on souhaite configurer ces 2 fonctions sur toutes les interfaces du switch, | il faudra
utiliser les commandes :
• « spanning-tree portfast bpduguard default »
• et « spanning-tree portfast default »,

en mode de configuration global !
| Pour vérifier si ces deux fonctions sont bien actives, on peut le voir dans le fichier de
la running-config,

Siret : 519 157 861 00047
Ou bien en faisant un « show spanning-tree summary ».
Cette dernière commande permet de voir si c’est activé en

globalité sur l’équipement !

Siret : 519 157 861 00047
CONFIGURATION ETHERCHANNEL
ETHERCHANNEL CONFIGURATION
Dans ce cours nous allons voir la configuration de PAgP et de ces

différentes options !
Sur ce schéma réseau, nous avons 2 switches :
• LE switch A
• et B,
qui sont connectés ensemble par deux liens !
Nous allons regrouper les deux interfaces de chaque switch, c’est-à-dire
les interfaces physiques Fa0/1 et Fa0/2, pour ne forcer qu’un seul lien
logique.

Siret : 519 157 861 00047
|Pour commencer, nous allons rentrer dans la configuration de l’interface,
avec la commande « interface Fa0/1 » pour y créer un channel-group.
Nous choisirons le groupe de canaux N°1.
Si on fait un « channel-group 1 mode » suivi d’un « ? », nous pouvons voir
les différents modes possibles des protocoles PAgp et LACP.
|Pour l’exemple, nous allons prendre le mode « Desirable » du protocole

PAgP, et nous allons aussi le faire sur le port Fa0/2
Le switch A est donc configuré en mode

« Desirable » du protocole PAgP.
C’est-à-dire, qu’il négociera avec le switchB pour monter un etherchannel.
|Et sur le switch B, on choisie le mode « Auto » pour qu’ils répondent bien
à la demande du switch A de devenir un Etherchannel.
|Un message de log sur la CLI, nous confirme la création de l’interface

portchannel 1.
|Maintenant que le port channel 1 est créé, nous pouvons rentrer dans la
configuration de l’interface, avec la commande « interface port-channel».
Siret : 519 157 861 00047
Toute modification faite sur l’interface logique port
channel 1, seront reporté sur les interfaces
physiques Fa0/1 et Fa0/2.
Nous allons choisir l’encapsulation 802.1Q avec la commande « switchport
trunk encapsulation dot1Q » et monter l’interface en trunk avec la
commande « switchport mode trunk »
La commande "switchport trunk encapsulation

dot1q ", qui permet d'utiliser 802.1Q à la place de
l'ancien protocole ISL, n'existe que sur les switchs
Cisco d'ancienne génération.
Aujourd’hui le protocole 802.1Q est activé par
défaut, et cette commande n’existe plus sur la
plupart des matériels.
C’est pourquoi si vous configurez un etherchannel,
sur packet Tracer, vous ne la verrez certainement
pas…
|La commande « show etherchannel port-channel » permet de vérifier si le

port channel est actif ou non.

Siret : 519 157 861 00047
On peut également voir le protocole utilisé, ici c’est
PAgP, ainsi que les interfaces utilisé sur le port
channel.
Ici ce sont les interfaces Fa0/1 et 0/2.
|La commande « show ethernetchannels summary », est très utile quand
on à plusieurs interfaces ethernchannels.
Elle nous donne un aperçu rapide de tous les etherchannels créer ainsi que
les interfaces utilisées.
|La troisième méthode pour vérifier la configuration etherchannel est la
commande « show interface etherchannel ».

Siret : 519 157 861 00047
Cette commande permet d’afficher des informations sur le switch local,
mais aussi sur le switch d’en face !
Ici, à partir du switch A, on peut voir l’interface 0/2

du switchB.
|La configuration de LACP est similaire à PAgP. Il suffit juste d’indiquer les
modes LACP que l’on souhaite configurer sur les ports.
Pour rappel :
• |Le mode par défaut « auto » de PAgP correspond au mode passif de

LACP, qui est aussi son mode par défaut.
• |Le mode Desirable correspond au mode Active
• |Et le mode « On », reste le mode « On »
Il faut juste garder à l'esprit que PAgP peut

uniquement être utilisé entre des périphériques
Cisco alors que LACP est un standard I3E, ce qui
signifie que l’on peut l'utiliser pour créer des ports
channels avec des périphériques d'autres
fournisseurs.
LOAD BALANCING
|La dernière chose à voir sur l’agrégation de liens, est l’équilibrage de
charge, plus connu sous le nom de load balancing
La commande « show etherchannel load-balance » permet de voir la
configuration par défaut.

Siret : 519 157 861 00047
Ici, l’équilibrage de charge se fait par la mac-adresse source.
|Si on utilise la commande « port-channel load-balance » suivie d’un « ? »,

cela nous permet de voir les différentes possibilités de configuration du
load-balancing.
La sélection peut se faire par l’adresse IP source ou

destination, la Mac adresse source ou destination,
ou bien une combinaison de source et de
destination !

Siret : 519 157 861 00047
|Sur le schéma, nous avons 4 PC, 2 switches et 1 routeur.
Nous avons vu que l’équilibrage de charge par

défaut est basé sur la Mac Adresse.
Ce qui signifie que tout le trafic d'une adresse MAC sera envoyé vers une
seule et même interface physique.
Par exemple:
• |L'adresse MAC en 3A sera envoyée sur l'interface fa0/1 du SwitchA.
• |L'adresse MAC en 3B sera envoyée sur la 0/2.
• |La 3C vers la 0/1 du même switch
• |Et L'adresse MAC en 3D sera envoyée vers l'interface O/2 du

SwitchA.

Siret : 519 157 861 00047
Comme il y’a plusieurs PC, cette configuration est
très bien, car les deux liens physiques entre les 2
switches sont utilisés.
Par contre, du côté du switchB, c’est une autre histoire…
Car comme la sélection se fait sur l’adresse mac source et qu’il n’ya qu’un
seul lien entre le routeur et le switch B, le chemin retour, ou tout autre
paquet qui souhaite joindre les PC’s, ne se feront que sur un seul lien, |
comme il n’ya qu’une seul mac adresse source.
La Mac adresse en 3 E !
| Il choisira soit la FA0/1 ou la Fa0/2. Et l’autre ne sera pas du tout utilisé.
|C’est pourquoi il serait préférable de changer ce

mécanisme par la mac adresse de destination, au
lieu de la source.
De cette manière la charge sera bien répartie sur les différents liens, car
les PC’s ont tous une mac adresse différente.

Siret : 519 157 861 00047
LES BASES DE L’ÉTHER CHANNEL
PRÉSENTATION D'ETHERCHANNEL
L’arrivée d'applications qui utilise la vidéo demande une plus grande bande passante.
Alors, on peut très bien augmenter la vitesse du réseau en utilisant des liens plus
rapides, mais cette solution est très coûteuse.
Il est aussi possible d’augmenter la vitesse en utilisant |plusieurs liens physiques entre
les switchs.
Mais le protocole spanning tree |bloquera l’un des liens pour éviter les boucles...
Siret : 519 157 861 00047
La solution qui a été trouvée et développée par Cisco |est la technologie de l’Ether
Channel.
Ce protocole permet d’augmenter la vitesse entre les

switchs en |regroupant plusieurs ports
FastEthernet ou Gigabit Ethernet dans un seul lien logique ;
qui portera le nom de EtherChannel.
Sur la topologie de droite, les deux liens physiques sont regroupés dans un seul
EtherChannel, ce qui résout donc, le problème du spanning tree, car il ne voit plus
qu’un seul lien EtherChannel, il n'a donc plus besoin de bloquer des liens physiques
pour éviter une boucle.
Et vu que tous les liens physiques dans un EtherChannel sont

actifs, cela augmente donc la bande passante.
Il est possible de regrouper de deux à huit ports physiques dans un seul et même lien
logique EtherChannel.
La seule condition est que les types de ports doivent être

identiques sur ce même lien.
C’est-à-dire, par exemple, qu’on peut regrouper quatre ports Fast Ethernet dans une
seule liaison Ethernet, mais par contre, il n’est pas possible de regrouper deux ports
FastEthernet et deux ports Gigabit Ethernet dans un EtherChannel.
|Il est également possible de configurer |plusieurs liens EtherChannel entre deux
périphériques.
Et dans ce cas,le spanning tree |bloquera l'un des liens EtherChannels pour éviter les
boucles et ainsi il permettra d’avoir de la redondance.

Siret : 519 157 861 00047
Lorsque le spanning tree effectue le blocage, c’est |l’EtherChannel entier qui est
impacté, c’est-à-dire qu’il bloque tous les ports appartenant à ce lien EtherChannel.
Un autre avantage que possède l’EtherChannel, c’est dans sa

configuration.
Comme il permet de regrouper plusieurs liens physiques, et bien si on fait des modifs
sur la conf du port EtherChannel, et bien ce sera tous les ports qui appartiennent à ce
lien, qui seront configurés automatiquement !
En plus de fournir une redondance, l’EtherChannel peut aussi

faire de l’équilibrage de charge.
|L’objectif d’une agrégation de lien est d’augmenter la bande passante en fusionnant

plusieurs liens physiques par un seul lien logique.
Par exemple si on utilise 3 liens de 100Mégas et que j’en fais un seul lien logique, et
bien le débit sera de 300Mégas.
Une agrégation peut compter au maximum 8 interfaces

physiques.
Nous allons voir 2 types de protocoles d’agrégation de lien :
• |PAgP
• et |LACP.

Siret : 519 157 861 00047
|PAgP est un protocole propriétaire Cisco, qui utilise |3 statuts dans sa configuration :
• Le statut On, sert à déclarer une agrégation active
• Dans le mode Désirable : il fait la demande avec le switch d’en face pour créer
l’agrégation
• Et le statut Auto, va attendre la négociation pour devenir une agrégation.

Le tableau nous montre la compatibilité avec les différents modes PAgP
|Et le protocole LACP est un protocole standard qui peut communiquer avec
différents constructeurs.
Siret : 519 157 861 00047
|Lui aussi utilise 3 statuts dans sa configuration :
• Le statut On : est pour déclarer une agrégation active
• Le mode Active : est identique au mode désirable de PAgP.
• Et le mode Passive : corresponds au mode Auto de PAgP.

C’est-à-dire que là aussi, il va attendre la négociation pour devenir une agrégation.
Les compatibilités des différents modes sont identiques au protocole PAgP.
Il faut juste retenir que le mode Active de LACP correspond

au mode désirable de PAgP, et passive correspond au mode
Auto.

Siret : 519 157 861 00047
INTRODUCTION ETHERCHANNEL
AGRÉGATION DE LIENS_ETHERCHANNEL
Dans ce cours, nous allons parler de l’ etherchannel, qui est aussi connu
sous l’appellation d’agrégation de liens.
L’Etherchannel est une technologie qui permet de

regrouper plusieurs liens physiques en un seul lien
logique.
Nous allons voir son fonctionnement ainsi que ses avantages.
Sur cette topologie, nous avons 2 PC d’un bout à l’autre, sur lesquels sont
connectées deux switches.
Les PC sont connectés avec des interfaces de 1 gigabit et le lien entre les
switches est de 100Megas !
Siret : 519 157 861 00047
Dans cet état, si l’un des PC’s envoie du trafic dépassant les 100 mégas,
alors nous aurions une congestion réseau et le trafic serait interrompu.
Pour pallier à ce problème, il existe 2 solutions.
• -Soit remplacer le lien entre les switches, par un lien bien plus
rapide, comme 1 giga ou même 10 gigabits.
• |-Ou alors, ajouter plusieurs liens et les regrouper dans un

|Etherchannel !
Si on ne les regroupe pas dans un Ethernet Chanel,

le protocole Spanning-tree bloquerais
automatiquement 3 liens sur 4, afin d’éviter des
boucles réseaux !
Grâce au protocole Etherchannel, les 4 liens physiques seront regroupés
en 1 lien logique, tout en combinant la bande passante !
Les 4 liens de 100 mégabits nous donnent donc 400

mégabits !
Non seulement l’Etherchannel va faire l'équilibrage de charge sur les
différents liens, mais en plus, il va gérer la redondance.
C’est-à-dire que si un des liens tombe, le trafic

passera sur les 3 autres liens en toute
transparence !
En etherchannel, il est possible de regrouper jusqu’à 8 interfaces
physiques !

Siret : 519 157 861 00047
|Pour configurer de l’etherchannel, nous avons le choix entre deux
protocoles.
• |PAgP qui est propriété Cisco
• |Et LACP, une norme I3E

Ces deux protocoles peuvent configurer dynamiquement un
etherchannel. Il est aussi possible de configurer soit même la négociation
en statique, sans que ce soit l’un des deux protocoles dynamiques qui le
fasse.
|Si on veut créer un etherchannel, il faut s’assurer que tous les ports ont
bien la même configuration:
C’est-à-dire :
• |même mode duplex,
• |même vitesse,
• |même vlan natif
• et vlan autorisé à circuler
• | ainsi que le même mode switchport,
c’est-à-dire trunk ou accès !

Les deux protocoles vérifient, de toute façon, si la configuration des ports
aux extrémités est bien identique !
|Le protocole PAgP, utilise 3 statuts dans sa configuration :
• |Le statut Auto est le mode par défaut, le port attend la négociation
pour devenir une agrégation.
• |Dans le statut Désirable, le port négocie avec le port voisin.

Siret : 519 157 861 00047
• |Et Le statut On, sert à déclarer une agrégation active, sans aucune
négociation. Dans ce cas, nul besoin d’utiliser PAgP ou LACP.
|LACP utilise aussi 3 statuts identiques à PAgP, sauf que l’appellation est
différente :
• |Passive est le mode par défaut, le port attend les paquets LACP
d’en face pour y répondre, mais n’en envoie pas tout seul
• |En Active , Le port négocie avec son voisin
• |Et dans le statut On,il n’ya aucune négociation.

|Et voici un tableau représentant les modes de compatibilité avec les
statuts PAgP et LACP
|Pour configurer une agrégation, il faut:
• |Choisir ses ports physiques que l’on veut connecter au voisin.
• |Activer le protocole PAgP ou LACP sur ces ports physiques.
• |Et définir une interface logique.
Si on modifie la configuration sur un port physique,

cela modifie le comportement uniquement sur ce
port physique.
Et si on modifie la configuration sur le port logique,

cela modifie le comportement de tous les ports
physiques appartenant à ce port logique.

Siret : 519 157 861 00047
Pour le CCNA, il faut bien connaître les différents modes de PAgP et de
LACP, afin de ne pas les mélanger…
Vous aurez forcément une question dessus !

Siret : 519 157 861 00047
ADRESSE ET EN-TÊTE IPV4
CARACTÉRISTIQUES IP
Le protocole IP fait partie de la couche| Internet de TCP/IP.
C'est un des protocoles les plus importants

d'Internet, car il s’occupe du transport des
datagrammes IP, c’est ce qu’on appelle les paquets
de données.
Par contre, il ne s’occupe pas du tout d’en assurer la livraison.
|Un paquet IP permet de transmettre un message d’une machine à une
autre sur un réseau.
Celui-ci est découpé en plusieurs morceaux et transmis séparément.
| Ce paquet est inclus dans une en-tête, qu’on retrouve souvent sous le
nom de « Header ».

| Cet en-tête du paquet comprend les informations nécessaires pour
acheminer et reconstituer le message
|Chaque hôte doit avoir une adresse unique pour pouvoir communiquer
sur un réseau IP.
Nous avons vu qu’un hôte IP est un périphérique en

bout de chaine.
L’adresse IP se compose de deux parties:
• |Il y’a l’ ID réseau qui identifie le réseau dont l’hôte fait partie.
Très utilisé par les routeurs pour savoir ou acheminer les paquets.
• |Et il y’a l’ID de l'Host: qui identifie le périphérique final.
|En gros, l'ID réseau c’est l'équivalent d'une rue et|

l'ID hôte est l'équivalent d'une maison sur cette rue.
Si on commande un produit en ligne, on donne sa propre adresse pour

que la poste sache ou livrer le produit.
Et bien c’est pareil en réseau.
Les adresses IP sont utilisées pour identifier

l'emplacement d’un hôte sur le réseau.
Il existe 2 types d’adresse IP :
• |Il y’a l’IPv4 qui est le type d'adresse le plus utilisé sur Internet.
• |Et il y’a les adresses IPv6 qui ont été conçues pour résoudre le
problème d’épuisement des adresses IPv4.
Revenons à notre en-tête IPv4.

Avant de pouvoir envoyer un paquet IP, il faut lui ajouter une en tête qui
contiendra l’ensemble des informations nécessaires pour qu’il puisse
arriver à destination.
Certains champs sont statiques, | comme le champ Version, et d'autres,
sont modifiés tout au long du chemin comme| le champ TTL.
Nous allons maintenant voir l’ensemble des champs d’une en-tête :
• |Le champ Version indique simplement la version du protocole.

C’est-à-dire soit IPv4 ou soit IPv6.
• |Le champ IHL, correspond à la longueur de l’en-tête.
• |Le champ ToS, permet de marquer un paquet comme étant plus

important qu’un autre.
• |Le champ TPL décrit la longueur du paquet. Ça comprend l’en-tête

et les données, qui sont représentées ici par le champ DATA.
• |Le Fragment ID permet d’identifier si le paquet a été fragmenté.
• |Le champ « Flag » définit divers indicateurs de contrôle qui

concerne la fragmentation.
• |Le champ « Fragment Offset » est lui aussi lié à la fragmentation. Il

indique l'endroit où le fragment a été fait.

• |Le champ TTL, comprend le nombre de routeurs que le paquet peut
encore traverser avant d’être détruit. Ça permet d’éviter qu’un
paquet ne tourne indéfiniment dans un réseau, par exemple à cause
d’un problème de routage. On peut le comparer comme à une date
de péremption.
• |Le champ Protocole indique le protocole qui est utilisé pour les
données du paquet ! C’est-à-dire ce qui se trouve dans le champ
« data ».
• |Le champ Checksum, permet de contrôler l’intégrité de l’entête ! S’il

estime que le paquet a été modifié sur sa route, alors il sera détruit !
• |L’Adresse source : est l’Adresse IP de la machine qui a émis le

paquet.
• |L’Adresse de destination : est celle de la machine à qui est destinée

le paquet.
• |Le champ Option comprend divers paramètres facultatifs, qui sont

très rarement utilisés.
• |Et le champ « Data » correspond aux données du paquet.

SYSTÈME DÉCIMAL ET BINAIRE
SYSTÈME DÉCIMAL ET BINAIRE

Le système décimal est le système de numérotation utilisé dans les
mathématiques du quotidien, et le système binaire est utilisé dans le
monde informatique.
Les périphériques réseau utilisent le système binaire pour définir leur
emplacement sur le réseau.
Une bonne compréhension des bases du système

binaire vous aidera grandement à comprendre le
réseau.
| Dans le système décimal, celui qu’on utilise très fréquemment, les
chiffres vont de 0 à 9. En suite on passe à 10 jusqu’à 99, puis on
recommence avec le chiffre « 100 », tout en augmentant de « +1 » à
chaque fois, et ainsi de suite !

|Dans le système binaire, on utilise uniquement les chiffres 0 et 1. Le
premier chiffre est 0, suivi de 1, puis le chiffre 10, 11, 100,101 et ainsi de
suite….
Ici, vous voyez la conversion binaire des chiffres décimaux de 0 à 19 !
Pour convertir les nombres décimaux en binaires, il faut utiliser un

processus bien spécifique : |Celui des puissances de 2 !

Dans la 1re ligne du tableau, vous avez les puissances de 2. Et juste en
dessous la valeur décimale de ces puissances !
|Comme exemple, on va convertir le chiffre 35 en binaire.
En regardant le tableau, de gauche à droite, il faut se demander quelle est

la plus grande puissance de 2 qui est inférieure ou égale à 35.
• |128 est supérieur à 35, alors on met un 0.
• |64 est également supérieur à 35, ce sera donc aussi un zéro en

dessous.
• |Par contre, 32 est inférieur à 35. Comme il est inférieur ou égal à 35,
on lui met un « 1 » en dessous.
• |Ensuite il faut calculer la quantité qui reste en soustrayant 32 de 35.

Il nous reste donc 3.
• On continue la même logique, toujours de gauche à droite, mais
cette fois-ci avec le chiffre 3
• |16 est supérieur au chiffre « 3 », on lui mettra donc un 0
• |8 est toujours supérieur à 3, ce sera donc un 0

• |Idem pour 4, on lui met aussi un 0
• Quant au chiffre d’a coter, le 2. |Il est bien inférieur ou égal à 3, cette
fois -ci on met un « 1 »
• |On soustrait 2 du chiffre 3, et il nous reste plus qu’à trouver le chiffre

«1»!
La valeur décimale du dernier |bit est 1, ce qui correspond au nombre
restant. On mettra donc un 1 en dessous.
L'équivalent binaire du nombre |décimal 35 est

00100011.
|Une adresse IP se présente sous la forme de quatre ensembles de

nombres décimaux séparés |par des points.
Le nombre décimal dans chaque ensemble est compris entre 0 et 255. |
Chaque parti fait 1 octet.
Il y a donc |quatre octets dans une adresse IP.
Tous les systèmes informatiques comprennent les

adresses IP uniquement sous forme binaire.
On va maintenant traduire cette adresse IP en binaire !
Le plus simple pour traduire d’une forme décimale en binaire, est de

commencer par| écrire les puissances de 2, pour chaque parti de notre
adresse IP !

Maintenant, il nous reste plus qu’à appliquer la
méthode qu’on a utilisée pour le chiffre 35 !
• |La valeur du premier ensemble est 192. Il s’agit de l’addition de 128
et 64 !
• |Ensuite nous avons 168, qui est l’adition de 128 + 32 + 8 !
• |Le 1 correspond uniquement à la puissance la plus à droite !
• |Et le 6 est la somme de 4 + 2 !
N’hésitez pas à vous entrainer chez vous à la

conversion binaire et vérifier le résultat sur Google
à l’aide de n’importe quel convertisseur que vous
pouvez trouver. Il est très important de savoir
convertir soit même sur papier n’importe quelle
adresse IP. Surtout pour le CCNA !

BIT BYTE OCTECT
BIT BYTE OCTET ?

Dans ce cours, on va commencer par voir la différence qu’il y’a entre :
• un | Bit ,
• un| Byte
• et 1 |octet !
|Un bit est l’élément de base avec lequel travaille l’ordinateur.

|Sa valeur est soit :
• 1
• ou bien 0.
|On peut traduire ça par :
• On/Off,

• ou bien : Vrai/Faux,
• ou encore : Marche/Arrêt !
|Le mot Bit et la contraction du mot BinaryDigit en anglais.

|Un octet est un ensemble de 8bits. (comme ceux qu’on vient de voir juste
au-dessus)
|Et 1 Byte est égal à 1 octet qui est égal à 8 bits ! Ça revient à dire aussi que
1 byte est égal à 8 bits !
ADRESSE RÉSEAU
|Parlons maintenant de l’adresse réseau !

L'adresse réseau est une identification unique du réseau.
Chaque périphérique du même sous-réseau

partage cette adresse réseau dans son adresse IP.

|Par exemple dans les adresses 192.168.100.1 à .3, la partie| « 192.168.100 »
correspond à l’adresse réseau et les | « .1 » « .2 » « .3 » sont les hôtes.
L'adresse IP nous indique dans quel sous-réseau ils se trouvent.

L'adresse réseau doit être la même pour tous les hôtes et la partie hôte
doit être unique.
Chaque sous-réseau a obligatoirement une adresse

réseau!
Lorsque l'Internet a été inventé, | ils ont créé différentes «classes» de
réseaux ayant chacune une taille différente.

• |La classe A va du réseau 0 à 127.
• |La classe B, du réseau 128 à 191.
• |La classe C, de 192 à 223 !
• |La classe D, qui est pour le trafic multicast, va de 224 à 239
• |Et la classe E est une classe réservée, qui va de 240 à 255 !
Ces classes réseau sont à apprendre par cœur, car

l’examen comporte beaucoup de questions dessus !
CLASSE RÉSEAU
|Voyons + en détail les différentes classes !

Un réseau de classe A à| 1 octet réservé à l'adresse réseau, et les| 3 autres
octets sont laissés aux hôtes.
Cela signifie que nous avons seulement quelques

réseaux et que chaque réseau peut avoir beaucoup
d’hôtes.
Si nous regardons l'adresse IP 10.20.1.2 : |Le «10» est l'adresse réseau et |

«20.1.2 » est l'adresse de l’hôte. Toutes les machines de ce même sous-
réseau auront l'adresse réseau «10».
Un réseau de classe B a |2 octets réservés pour l'adresse réseau, et les| 2

autres octets sont réservés aux hôtes.
Ça signifie que nous avons plus de réseaux, mais

moins d’hôtes par réseau que la classe A.

Par exemple, dans l’adresse 172.16.1.2, l'adresse réseau est |172.16. et
l'adresse de |l'hôte est 1.2 !
Et un réseau de classe C a |3 octets réservés pour l'adresse réseau, |et 1

octet est laissé pour la partie hôtes.
Ici, nous avons beaucoup de réseaux, mais

seulement quelques hôtes par réseau.
Dans l’adresse : 192.168.1.2, l'adresse réseau est |192.168.1. et l'hôte sera

connu |avec la .2

CLASSES D’ADRESSES IP
CLASSES D'ADRESSES IP
Pour accueillir des réseaux de différentes tailles, les adresses IP sont
divisées en catégories que l’on appelle classes .
Au début d’internet,| c’est l’IANA qui a déterminé les classes.
|Chaque adresse IP est composée d’une |partit réseau qui se nomme
Network et d’une partit| hôte qui se traduit par Host en anglais.
|Les hôtes IP utilisent les adresses IP de classe A, B

et C pour les communications unicast, c’est-à-dire
d’hôte à hôte !

|La Classe A est un bloc d'adresse qui est conçu pour supporter des
réseaux extrêmement importants avec plus de 16 millions d'adresses
d'hôte par réseau !
Elle utilise uniquement| le premier octet pour indiquer l'adresse réseau.
|Les 3 octets restants sont utilisés pour les adresses d'hôte.
|Le premier bit d'une adresse de classe A commence toujours par un 0.
|Ce qui nous donne une plage IP de 0 à 127 !
|Petite exception ici, la plage 127 ne peut pas être utilisée, car elle est
réservée aux adresses de loopback et pour faire des diagnostics.
Une interface loopback est une interface virtuelle,

c’est-à-dire qu’elle n’existe pas. On l’utilise
principalement sur les routeurs pour jouer le rôle
de la corbeille du réseau.
Les paquets qui comportent des erreurs seront envoyés directement sur
cette adresse de loopback qui sera supprimé automatiquement quand le
paquet aura atteint sa durée de vie !
|La Classe B est conçue pour répondre aux besoins des réseaux de plus de
65 000 hôtes.
|Elle utilise deux des quatre octets pour indiquer l'adresse réseau.
|Les deux octets restants sont réservés pour les hôtes.
|Les 2 premiers bits du premier octet commencent toujours par 10 en
binaires. | Ce qui nous donne une plage IP de 128 à 191 !
|Et la Classe C est la classe d'adresse la plus utilisée, car elle est destinée
pour les petits réseaux avec un maximum de 254 hôtes par réseau !

|Ici, les trois premiers octets de l'adresse IP identifient la partie réseau, |et
l'octet qui reste est réservé à la partie hôte.
Une adresse de Classe C |commence systématiquement par un binaire de
110. |Nous avons des réseaux allant de 192 à 223 !
Alors, il existe aussi |deux autres classes qui ne sont pas destinées pour
des hôtes IP !
La Classe D est dédiée aux applications multicast, par exemple pour du

streaming !
|Elle commence obligatoirement par le binaire 1110. |Et va donc de 224 à
239 !
Et la Classe E est réservée par l'IANA comme un bloc d'adresses
expérimentales. |Elle commence par 1111 et va de 240 à 255 !
Les adresses IP de classe D et E sont des cas

particuliers. Elles ne sont jamais assignées aux
hôtes.

LES ADRESSES IPV4 RESERVEES
ADRESSES IPV4 RÉSERVÉES

Nous allons voir dans ce cours, les adresses IP réservées qui ne peuvent
pas être affectées à des périphériques individuels sur un réseau.
C’est-à-dire n’importe quels périphériques finaux.

Parmi les adresses IP réservées on à l’adresse de| broadcast locale !.
Si un périphérique IP veut communiquer avec tous les autres du même
réseau local, alors il enverra| un paquet à destination de l’adresse 4 fois
255, |et ce paquet sera diffusé sur l’ensemble du réseau !
Par contre, comme il s’agit d’une diffusion locale, |il

ne pourra pas passer un routeur !
C’est-à-dire que le routeur supprimera le paquet !
C’est un peu le rôle du routeur !

Cette adresse en 4fois 255 on peut l’appelé aussi un broadcast IP
universel !
Nous avons ensuite |l'adresse de broadcast d'un réseau.
Par exemple, admettons que sur cette topologie, nous avons |le réseau
192.168.1.0 avec un masque en /24 ! C’est-à-dire en 3 fois 255.0.
Avec ce masque, cela signifie que la plage IP va de 192.168.1.0 à .255
|Une adresse de broadcast est une adresse spéciale qui permet de
communiquer |avec tous les hôtes de ce même réseau.
Ce paquet ne sera propagé que sur les machines du

même sous-réseau.
L’adresse de broadcast correspond à l'adresse la plus élevée de la plage IP
du réseau. C’est-à-dire celle où les bits de la partie hôte sont tous à « 1 ».
Pour le réseau 192.168.1.0, l’adresse de broadcast est |192.168.1.255 !
Dans l’exemple, notre adresse fait partie d’une classe C, le masque par
défaut est donc 3 fois 255. 0.

Un broadcast peut donc se propager au maximum
sur 254 hôtes !
Maintenant, imaginer qu’on utiliserait un réseau |d’une classe A, par
exemple le 10.0.0.0 avec un masque par défaut en /8 !
L’adresse de broadcast serait donc la 10.3 fois 255 !

Si l’ensemble des adresses de cette classe sont utilisées, cela signifierait
qu’ un |ping de l’adresse de broadcast recevrait une réponse de plus de 16
millions d’hôtes !
L'adresse de broadcast peut être acheminée via

l'intranet de son entreprise et aussi sur Internet.
Dans les années 90, |une populaire attaque DoS, utilisait les broadcast
pour envoyer plein de trafic à des victimes, et de ce fait, les victimes ne
pouvaient plus recevoir ou émettre de trafic légitime…
C’est pour ça que l’IOS Cisco ne supporte plus les broadcast. C’est une
option qui est désactivée par défaut, et qui peut être réactivée avec la
commande| « ip directed-brodcast » ,à faire dans le mode de
configuration globale !
Il est conseillé de laisser cette option désactivée, sauf si vous avez un cas
d'utilisation spécifique.
Les routeurs ont désactivé cette option par défaut à partir de la version 12
de L’IOS Cisco. Dans le fichier de configuration IOS, il est écrit par défaut la
commande | «no ip directed-brodcast »

Pour revenir aux adresses IP réservées, on à l’adresse |de loopback local !
Elle est utilisée pour permettre au système de pouvoir tester sa propre
carte réseau.
|L’adresse réseau fait partie des adresses réservées et non utilisables pour
un hôte !
Par exemple l’adresse |192.168.1.0 ne peut pas être affectée, car il s’agit de
l’adresse réseau de la classe C !
Une adresse réseau permet au routeur de

transmettre un paquet IP sur le réseau approprié en
fonction de sa table de routage.
|Et L’adresse 4 fois 0 est une adresse non-routable utilisée pour désigner
une destination invalide, inconnue ou non atteignable.
En routage, elle désigne généralement la route par défaut.
On peut la voir comme une route qui mène au

"reste d'internet".
C’est-à-dire que tout IP ne faisant pas partit de son propre réseau, sera
envoyé vers internet .

MASQUE DE SOUS-RESEAU
MASQUE DE SOUS-RESEAU
Dans ce cours, nous allons maintenant parler des masques de sous-
réseaux !
|On va jouer avec une adresse IP de classe C !
|L’adresse 192.168.1.0

Comme c’est une adresse IP de classe C, nous avons donc| 3 octets pour la
partie Réseau et| 1 octet pour la partie Hôtes.
Alors maintenant, on pourrait se poser la question,

comment un périphérique réseau, sait quelle partie
est la partie réseau et de quel côté se trouve la
partie hôte.
Et bien c’est là qu’intervient le masque de sous-réseau!

Pour un réseau de classe C, le masque de sous-réseau est |3 fois 255.0 !
Pour comprendre comment le masque de sous réseau fonctionne, il faut

passer en binaire !
|Alors ça tombe, parce que maintenant je sais que

vous êtes complètement à l’aise avec le binaire !!!!

Le masque de sous-réseau spécifie quelle partie de l'adresse IP
correspond à la partie réseau et quelle est la partie hôte. |Le « 1 » signifie
que c'est la partie réseau, et le | « 0 » est la partie hôte.
|On peut aussi dire que les 24 premiers bits sont réservés à l'adresse
réseau et que les 8 bits restants sont utilisables pour équiper des hôtes.
À votre avis, quelle est la valeur maximale que vous

pouvez créer avec 8 bits?
Pour savoir, |on va prendre notre base pour les calculs binaires, |et mettre
que des « 1 » pour les 8 derniers bits. Si on additionne l’ensemble des
chiffres qui matchent avec « 1 », |cela nous donne « 255 ».
Maintenant, nous savons qu’avec 8 bits, on peut avoir 256 IP, en comptant
le 0.
Alors est-ce que cela veut dire que l’on peut

distribuer l’ensemble des 256 IP à des hôtes !
Eh bien non, car pour chaque réseau, il y a 2 adresses que nous ne
pouvons pas utiliser:
• |Il y’a l’Adresse réseau: c'est l'adresse où tous les bits d'hôte sont
définis sur 0.
• |Et il y’a l’adresse de Broadcast : c'est l'adresse où tous les bits d'hôte
sont mis à 1.
|Maintenant, si on fait 256 – 2, cela nous 254 IP que nous pouvons

réellement attribuer à des hôtes !

Alors attention, c’est bien 256 et pas 255, car dans
le réseau, il faut toujours compter à partir de
« 0 » et non pas à partir de 1, comme nous avons
l’habitude de le faire !
Nous pouvons conclure qu’avec un réseau de classe C, il est possible
d’attribuer jusqu’à 254 IP à des machines !

IP PRIVÉES ET PUBLIQUES-DNS
ADRESSES IP PRIVÉES / PUBLIQUES

Internet a commencé à se développer grandement à partir des années 90.
Avec une telle croissance, depuis bien longtemps, on manque d’adresse
IPv4 !
La solution pour combler à ce manque est l’IPv6.
Mais en attendant la mise en place et le développement de l’IPv6,
plusieurs autres solutions ont été développées, comme :
• le| NAT , |
• CIDR ,
• le |VLSM
• et |l’adressage IP privé.
Les hôtes qui souhaitent être accessibles depuis Internet doivent avoir des
adresses IP publiques. La stabilité d'Internet dépend de ces adresses
publiques qui doivent être uniques.

Pour s'assurer que les adresses sont, bien uniques, leurs attributions est
gérée par |l' IANA
À quelques exceptions près, les entreprises et les utilisateurs d'Internet à
domicile reçoivent leur adresse IP de leur| Fournisseur d’Accès à Internet.
Par exemple, free, Bouygues, ou orange business

service pour les entreprises !
Pour faire face à l’épuisement accéléré des adresses IP routables , | L’IETF

a publié une norme en réservant |3 blocs d’adresses IP privées pour une
utilisation strictement réservée en interne.
Cela signifie que ces adresses IP privées ne sont pas routable sur internet !
Les hôtes qui se baladent sur Internet nécessitent une adresse IP unique,
mais les hôtes privés qui ne sont pas connectés à Internet peuvent utiliser
n'importe quelles adresses privées valides, du moment qu’elle est unique
dans le réseau interne.

Si vous regardez bien, il manque 2 réseaux dans la
classe A !
Le réseau| en 4 fois 0 est réservé pour définir une route par défaut sur les
routeurs, et le réseau| en 127, réserver pour les tests de boucles locales !
Les adresses IP privées ne sont pas acheminées sur le backbone Internet.
Tous les routeurs Internet sont configurés pour éliminer le routage sur ces
adresses privées.

Lorsqu'un hôte qui utilise une adresse privée souhaite sortir sur internet,
alors il sera nécessaire de traduire cette adresse privée en public !
Ce processus de traduction s'appelle le| NAT.
En général c’est le routeur ou le firewall qui

s’occupe du NAT !
DNS (DOMAIN NAME SYSTEM)

|On va maintenant parler du DNS !
Le DNS permet de convertir les noms des systèmes

réseau en adresses IP, pour être lu par les machines
qui effectuent le routage.
S'il n'y avait pas de DNS, il faudrait se souvenir de l'adresse IP de chaque
hôte que l’on souhaite atteindre.

| Par exemple, pour aller sur Google, il suffit simplement de taper
google.fr. Mais s’il n’y avait pas eu de DNS, il aurait fallu se rappeler de :
|74.125.206.94 !
Pour résoudre les noms qui sont associés à leurs adresses IP, le protocole
DNS utilise |une base de données qui est hébergée sur plusieurs serveurs
situés à travers le monde.
Un moyen simple d'observer le DNS en action est d’effectuer dans une

fenêtre de commande MS DOS, la commande |nslookup suivie du site que
l’on souhaite obtenir l’IP !
Le résultat de cette commande donnera l’adresse IP du site, qui permet
aussi d’y accéder !

|Vous pouvez vérifier vos paramètres TCP/IP en cliquant sur |propriété de
votre protocole internet IPv4 pour un PC sous Windows !
IPCONFIG
Pour terminer le cours, on va parler de la commande | « IPCONFIG » qui
permet d’afficher toutes les valeurs de configuration TCP/IP du réseau !
Cette commande est à lancer dans une fenêtre MS-dos si vous êtes sur
Windows !

|En utilisant différentes options de commande, il est possible d’afficher
différents paramètres.
Utilisée sans options, la commande affiche uniquement :
• | l'adresse IP,
• |le masque de sous-réseau
• et la |passerelle par défaut.

Parmi les options on a :
• |Le « / All » qui permet d’afficher la configuration TCP / IP complète

de toutes les cartes réseau, y compris la configuration DHCP et DNS.
• |Le / renew permet de renouveler la configuration DHCP de la carte

réseau.
Cette option est utilisable, uniquement si la carte est configurée
avec une attribution de l’adresse IP en automatique.
• |Le / release permet d’obtenir une nouvelle adresse IP du serveur

DHCP en envoyant un message du type « DHCPrelease » au serveur.
Ce paramètre désactive la carte TCP / IP, le temps d’obtenir la
nouvelle adresse IP.

• Les options « Renew » et « Release » sont très similaires.
Le Renew va plus loin et c’est la commande la plus utilisée.
• |Le / Displaydns affiche le contenu du cache DNS de l’hôte.

Lorsqu'une requête DNS pour un nom d'hôte est exécutée, le
résultat est mis en cache pour éviter les requêtes inutiles.
• |Le / Flushdns , supprime le cache DNS de l’ hôte.

C’est une option très utile, surtout, si le nom d’hôte a changé.
• |Et le /?, affiche une aide sur l’utilisation de la commande.

|Sur un système d'exploitation Linux, la commande similaire au IPCONFIG
de Windows est « IFCONFIG »
La commande « man ifconfig » permet d’afficher l’ensemble des
paramètres associé !
C’est l’équivalent du IPCONFIG / ?

SUBNETTING BINAIRE
SUBNETTING
Nous avons vu qu’avec une adresse de classe C, nous pouvons avoir des
réseaux de 254 hôtes !
Dans ce cours, on va voir qu’il est possible de

diviser un réseau, c’est-à-dire de le couper en 2 !
Ce procédé est connu sous le nom de Subnetting en anglais, ou bien de
sous réseau dans sa traduction.
Comme exemple, on va prendre une adresse de Classe C et on va voir
comment ça se passe en binaire !

|Pour commencer, nous devons trouver le nouveau masque de sous
réseau !
On ne va pas toucher |aux 3 premiers octets, et on va emprunter| 1 bit dans
la partie des hôtes !
|Si on fait maintenant la conversion de notre binaire en décimale, cela

nous donne| 128.
Notre nouveau masque de sous-réseau est donc 3 fois 255 . 128.
|Dans le dernier octet, il nous reste 7 bits pour nos hôtes ! |Si on calcule
l’ensemble de ses bits, cela nous donne en tout 127, |+ le « 0 » qu’il ne faut
pas oublier soit au total 128 IP !
Et voilà notre réseau de classe C, a été diviser en 2 sous-réseaux d’une
taille de 128 IP chacun !
Mais ce n’est pas fini !

Il nous reste maintenant à déterminer les adresses réseau et broadcast de
nos 2 sous-réseaux !
|Pour cela on va jouer de nouveau avec les 7 derniers bits !
|Pour trouver l’adresse réseau, il faut passer tous les bits à « 0 » |après la
séparation, c’est-à-dire après le 25e octet !

|L’adresse réseau du 1er sous-réseau est donc 192.168.1.0 !
|Pour trouver l’adresse de broadcast, il faut passer tous les bits à « 1 »,
toujours après la séparation.
|L’adresse de broadcast est donc 192.168.1.127
|Dans ce sous-réseau de 128 IP, si on enlève l’adresse réseau et de

broadcast qu’on ne peut pas utiliser, il nous reste 126 IP que l’on peut
attribuer à des hôtes ! Ce sont les IP’s de 192.168.1.1 à .126 !
|Passons maintenant au deuxième sous-réseau !
Comme le premier sous-réseau s'est terminé à 127, |nous allons continuer

avec l’IP suivante : La 128 !
Si on passe tous les bits à « 0 » après la séparation, cela nous donne
comme adresse réseau la| 192.168.1.128 !
|Et si on passe tous les bits à « 1 », on trouve comme adresse de broadcast
la| 192.168.1.255
|On pourra donc utiliser les adresses IP de129 à 254 qui provienne du
réseau « 192.168.1.128 »
En conclusion, en empruntant |1 bit d’hôtes, il est possible de créer 2 sous-
réseaux !
Pour chaque bit que nous empruntons, il est possible de doubler le
nombre de sous-réseau.
C’est-à-dire que si nous empruntons| 2 bits d’hôtes, alors on pourra, crée 4
sous-réseaux !
Si on en |emprunte 3, alors ce sera 8 sous-réseaux et ainsi de suite !

Si vous êtes un peu allergique aux binaires, alors j’ai
une bonne nouvelle !
Dans la suite du cours, nous verrons comment faire
simplement des sous-réseaux en travaillant qu’en
décimale !

RAPPEL ADRESSAGE IP
CLASSES IP
L’adresse IP que nous avons utilisée dans le cours précédent fait partie de
la classe C.
Il existe 3 types de classes pour les adresses IP :
• |- La Classe A
• |- La Classe B
• |- Et la Classe C
Leurs différences sont le nombre d’hôtes qu’il est

possible d’avoir pour son réseau.
|Prenons un Exemple :

Les 3 premiers octets sont la partie "réseau" et le dernier est la partie
"hôtes".
Nous pouvons donc utiliser le dernier octet pour que nos hôtes puissent
avoir une adresse IP unique.
Les ordinateurs d’un même réseau, peuvent donc très bien avoir |comme
IP, la .2, la .3 et |ainsi de suite…
Comme vous pouvez le voir, | la partie "réseau" est la même.
Par contre, un ordinateur qui porte |l’adresse IP 192.168.2.1 ne sera pas dans
le même réseau puisque sa partie « Réseau » est différente.
Admettons qu’un ordinateur veuille envoyer un

paquet à destination d’un autre réseau ? Que se
passera-t-il ?

Pour savoir, c’est très simple, si vous utilisez Windows, il suffit d’ouvrir
l’invite de commande en tapant « CMD » du menu « démarrer » et d’utiliser
|la commande « IPCONFIG » pour afficher les informations IP du PC.
Dans l’exemple, on voit que mon PC est dans |le réseau « 192.168.1 ». S’il
veut envoyer quelque chose à un autre réseau, alors il utilisera sa
Ici, il s’agit de l’adresse | « 192.168.1.254 », qui correspond à mon routeur
Freebox.
Revenons aux détails des différentes Classes.
Si vous utilisez un réseau de |classe A, alors vous pourrez avoir BEAUCOUP

d'hôtes dans chaque réseau que vous créez.

Si vous utilisez une |classe B, vous pourrez créer plus de réseaux, mais
moins d'hôtes par réseau.
Et avec la |classe C, vous pourrez construire BEAUCOUP de réseaux, mais

avec seulement quelques hôtes dans chaque réseau.
Juste avant, je vous disais que l’adresse 192.168.1.1 faisait partit d’une classe
C. Mais comment le savoir ?
Et bien dans une adresse de :
• |Classe A, le premier bit doit toujours être 0.
• |En classe B, les 2 premiers bits doivent toujours être 10.
• |Et en Classe C, les 3 premiers bits doivent toujours être 110.
Donc, si vous calculez ceci du binaire en décimal, cela signifie que la plage
d’adresse de la :
• |classe A commence par 4 fois 0.
• |En classe B elle commence par 128.3 fois 0.
• |Et en classe C, elle commence par 192.3fois0.

Et donc la plage exacte pour la :
• |classe A, va jusqu’à 126.3fois 255.
• |191.3fois255, pour la classe B
• |Et 223.3fois255, pour la classe C

Si on regarde bien les différentes plages d’adresses des classes IP, on
s’aperçoit qu’il manque le sous-réseau |127.0.0.0.
Il n’est pas dans la classe A…
Si sur votre PC, vous faite un ping de cette adresse-là, vous obtenez
logiquement une réponse.
Ce réseau est utilisé comme une adresse de

Loopback.
Il s’agit d’une adresse de bouclage, permettant de vérifier si la pile TCP/IP
de l’équipement fonctionne correctement.
Pour revenir aux plages IP, on s’aperçoit que la classe C s’arrête à |223.3fois
255…
Et bien, c’est parce qu’en réalité il existe une classe D…
Les adresses IP de la classe D ne sont pas utilisées pour les attribuer à des
ordinateurs… Elles sont utilisées pour faire du multicast.
Elles vont de| 224.3fois0 à 239.3fois255.
IP "PRIVEES" ET "PUBLIQUES".
Maintenant, on va voir la différence entre les adresses IP "privées" et
"publiques".
• |Les adresses IP publiques sont utilisées sur Internet.
• |Et les adresses IP privées sont utilisées sur votre réseau local et ne
peuvent pas être utilisées sur Internet, car elles ne sont pas
routables !

Les plages d'adresses IP privées vont de :
• |10.3fois0 à 10.3fois 255 pour la Classe A.
• |De 172.16.2 fois0 à 172.31.2 fois 255 pour la Classe B.
• |Et de 192.168.2 fois 0 à 192.168.2 fois 255 pour la Classe C.
L’adresse IP 192.168.1.1, qu’on se sert d’exemple depuis le début de la leçon,

|tombe dans la classe C et il s’agit d’une adresse IP privée.
|Elle n’est pas routable sur Internet.

Il reste une dernière chose à voir sur les adresses IP.
Dans le réseau, il y a 2 adresses IP que nous ne pouvons pas utiliser.
• |- Il y’a l’adresse réseau.
• |- Et l’adresse de broadcast.
L'adresse réseau ne peut pas être utilisée sur un ordinateur en tant

qu'adresse IP, car elle est utilisée pour "définir" le réseau.
Et l'adresse de broadcast ne peut pas non plus être attribuée à un

ordinateur, car un broadcast est un paquet IP qui sera reçu par tous les
appareils de votre réseau.

Nous allons voir maintenant, comment reconnaître
ces deux adresses IP que nous ne pouvons pas
utiliser ?
On va prendre comme exemple notre adresse IP de| classe C
Nous devons regarder le dernier octet qui est utilisé pour les hôtes. Si
nous mettons |tous les bits à « 0 » dans notre partie "hôte", nous avons |
cette adresse réseau:
La 192.168.1.0 est l'adresse réseau, et il est donc

impossible de l’attribuer pour un PC.
Et si nous mettons| tous les bits à 1, cela nous donne |l’adresse de
broadcast.
La 192.168.1.255 n’est pas non plus utilisable pour

un PC.
Pour résumer :
• Mettre tous les bits de l'hôte à 0 vous donne l'adresse réseau.
• Et passer tous les bits de l'hôte à 1 vous donne l'adresse de

broadcast.
• Et ces 2 adresses IP ne sont pas utilisables pour les ordinateurs.
SYSTÈME BINAIRE

Avant de commencer le routage, il est important de comprendre
l’adressage IP.
On va commencer par voir les bases du calcul binaire !
Dans le système binaire, nous travaillons uniquement avec des 0 et des 1.
• 0 se traduit par « Off »
• Et 1 par « on »
|Le bit à l'extrême gauche est appelé le bit le plus significatif, car il a la
valeur la plus élevée.
Et |le bit à l'extrême droite est appelé le moins significatif, car il a la valeur
la plus faible.
On va voir comment convertir des nombres décimaux en binaire !
Par exemple, si on veut convertir le chiffre décimal « 0 » en binaire,cela
signifie que nous laissons tous les bits sur «off», donc à « 0 »

|Maintenant, prenons le chiffre 192.
En partant de la gauche, on va voir les bits qui correspondent à ce nombre.

128 est plus petit que 192, |on va donc le prendre et lui mettre un « 1 ».
On enlève donc 128 à 192, et il nous reste à trouver 64. |C’est le chiffre
juste d’après, on le passe aussi à « 1 » !
|La conversion du chiffre 192 en binaire est donc 2 « 1 » suivi de 6 « 0 »
|128 + 64 est bien égale à 192 !
|Prenons maintenant comme exemple, le chiffre 168.
En partant toujours de la gauche, |on tag le bit 128.

Il nous reste donc 40.
|Comme 64 est plus grand que 40, on ne le prend pas.
|Par contre on va prendre le bit d’à côté, le 32.
|Il nous reste plus qu’a passé le bit numéro « 8 » à 1 |et nous avons notre
conversion !
|128+32+8 est égale à 168
|Si nous voulons convertir le chiffre 1 en binaire, et bien rien de plus simple,
|car le « 1 » match qu’avec le bit le plus à droite !
|Une adresse IP que l’on retrouve très régulièrement en réseau est la
192.168.0.1
Et bien nous pouvons la convertir désormais très facilement en binaire !

|Un petit dernier pour la route ! Le chiffre 255.
|Ici on prend tous les bits, ce qui donne 255 !
Le chiffre 255 est le chiffre le plus grand qu’on peut avoir avec 8 bits !
|Comme vous pouvez le voir, chaque fois que l’on

ajoute un bit, la valeur décimale double.
C'est ce qu'on appelle des «puissances de 2».
On va maintenant parler des adresses IP :
|Une adresse IP c’est une valeur numérique que l’on configure sur chaque
périphérique d'un réseau.
Par exemple :
• un ordinateur,
• un serveur,
• mais aussi des routeurs,
• des firewalls,
• et des switchs !
Il permet d’ identifier chaque appareil avec un numéro «unique».

Les périphériques du même sous-réseau IP
peuvent communiquer sans utiliser de routeur.
|L’ adresse IP est composée de 32 bits, |divisés en 4 «blocs» de 8 bits. Ce

qui donne bien 32 bits au total !
SUBNETTING DÉCIMAL
Nous avons vu qu’en empruntant un bit, cela nous

permettait de doubler la valeur décimale ! Il s’agit
de la règle des «puissances de 2».
On va maintenant voir une méthode, qui permet de calculer des sous-
réseaux sans forcément passer par le binaire.
Cette méthode est basée sur un chiffre que l’on obtient avec l’addition des
8 bits.
Ce qui nous donne 255 !
Mais comme il faut aussi compter le « zéro » alors notre chiffre de base
sera |256 !
C’est ce chiffre qui va nous permettre de calculer facilement n’importe

quel sous-réseau.
On va reprendre comme exemple|, le réseau 192.168.1.0 avec un masque
en |3 fois 255 .0 qu’on veut diviser en deux.
On prend donc le bloc de |256 et on le divise simplement en 2.

Nous avons maintenant 2 sous-réseaux pour notre
adresse IP de classe C !
Alors tout ça est bien beau, mais maintenant, on voudrait connaitre :
• |-L’adresse réseau
• |-L’adresse de broadcast
• |-le nouveau masque de sous réseau
• |-les adresses IP qu’on peut utiliser

|Et tout ça, pour les deux sous-réseaux !
Pour l’adresse réseau, on va s’appuyer sur nos 2 blocs de 128 !
On commence par |la première IP, la 192.168.1.0 sera notre adresse réseau
pour notre 1er sous-réseau, et la |.128 pour notre deuxième sous-réseau !
Pour l’adresse de broadcast, nous savons que c’est la dernière adresse

d’un sous-réseau.
Pour le 1er sous-réseau, ce sera donc la| 192.168.1.127, et la |.255 pour le
second sous-réseau !

Ensuite pour connaitre le masque de sous-réseau on va soustraire 256, qui
est la base de notre méthode, par 128 !
Ce qui donne |un masque de 3 fois 255.128
Et pour finir, on peut en déduire les adresses IP utilisables !
La première adresse IP qu’on peut attribuer à un

hôte est celle qui vient après| l’adresse réseau !
Et la dernière IP est simplement| l’avant-dernière,

c’est-à-dire juste avant l’adresse de broadcast !
C’est tout de même plus rapide qu’en décimale ! Alors maintenant vous
êtes plutôt Binaire ou Décimal ?

CALCUL BINAIRE ET MÉTHODE MAGIQUE
SOUS-RESEAUX (SUBNETS)
Les administrateurs réseau ont souvent besoin de diviser les réseaux, en
sous-réseaux pour fournir une évolutivité.
Par exemple, une entreprise qui occupe un bâtiment de trois étages
pourrait très bien diviser son réseau en fonction du nombre d’étages.
Cela permet aussi de limiter la propagation des

broadcasts, car les broadcast restent sur le réseau
local.
Un sous-réseau, c’est simplement le faite de diviser

un gros réseau, en réseau plus petit !
C’est grâce au masque de sous-réseau qu’il est possible d’effectuer cette
division.

Pour un routeur, le masque permet de distinguer la partie de l'adresse
utilisée pour le routage et celles utilisables pour numéroter des interfaces.
C’est comme ça que les routeurs peuvent établir la communication entre
des équipements, qui appartiennent à des sous-réseaux différents.
|Comme exemple, nous allons prendre une adresse IP de classe B, la

172.16.50.25, avec son masque de sous réseau par défaut qui est| la
255.255.0.0 !
|Un masque de sous-réseau est une combinaison de 32 bits qui est utilisée
pour acheminer le trafic dans un sous-réseau.
Il permet de définir dans l’adresse IP, quel partit

correspond au sous-réseau, et quel partit
correspond à l’hôte !
|Une adresse IP comporte deux composants :
• |la partie réseau
• et la |partie hôte.

Le masque de sous-réseau permet de diviser la partie hôte.
La première partie identifiera le sous-réseau auquel appartiennent les
périphériques et l'autre partie identifiera les hôtes.
Dans cet exemple, admettons que nous souhaitons diviser notre réseau de
classe B !
Le masque par défaut d’une classe B est un /16.
C’est-à-dire que les |16 premiers bits sont réservés à la partie réseau et les
|16 derniers sont pour la partit Hôte !
|Notre réseau comprend donc les adresses de 172.16.0.0 à 255.255 !
Pour diviser ce gros réseau |on va utiliser un masque en /20. C’est-à-dire 2

fois 255.240.0 !
Avec ce nouveau masque, ça signifie |que les 20 premiers bits sont
destinés à la partie réseau, |et les 12 bits restants pour la partie hôte.

Le masque de sous-réseau est créé en plaçant un 1 binaire dans chaque
position de bit qui représente la partie réseau de l’adresse et un 0 binaire
dans chaque position qui représente la partie hôte.
C’est pourquoi avec un masque en /20, |nous avons que des « 1 » dans les
20 premiers bits du masque, et le reste |contient que des « 0 ». Si on
traduit ça en décimal cela nous bien |2 fois 255.240.0 !
Avec ce nouveau masque de sous-réseau notre adresse IP |172.16.50.25/20

fait partie du réseau qui va de 172.16.48.0 à 63.255 !
Le fait d'avoir un préfixe différent change la plage

d'hôte pour chaque réseau.
|Nous allons maintenant voir un autre exemple, avec l’IP : 10.1.20.70
Associer à un masque de sous réseau en /26, c’est-à-dire :3fois 255.192.
Nous souhaiterions connaitre |l’adresse réseau et broadcast de cet IP :

Pour ça, il faut écrire l’adresse IP et son masque, |en binaire
Dans le masque de sous réseau, les « 1 » représentent la partit réseau et les
« 0 » représentent la partit hôte.

|Quand on parle de séparation, il s’agit de la
séparation entre la partit réseau et la partit hôte.
C’est-à-dire entre les « 1 » et les « 0 ».
Pour trouver l’adresse réseau, |il faut passer les bits à « 0 » à droite de la
séparation de l’adresse IP.
Ce qui nous donne pour l’adresse réseau en décimale : 10.1.20.64.

Pour l’adresse de broadcast, |c’est la même chose sauf qu’il faut passer les
bits à « 1 » après la séparation
Ce qui nous donne en décimale : 10.1.20.127
|La plage d’IP utilisable va donc de 10.1.20.65 à .126
L’adresse réseau et l’adresse de broadcast ne sont

pas utilisables pour des équipements.
Et voilà comment on calcul l’adresse réseau et de broadcast à l’aide du
masque de sous-réseau !
NOMBRE MAGIQUE = 256
Si vous êtes un peu allergique au binaire, j’ai une

très bonne nouvelle pour vous !

Il existe une méthode qui permet de connaitre l’adresse réseau et
broadcast à partir d’une IP et d’un masque, sans passer par la conversion
binaire.
Cette méthode est très utile pour l’examen Cisco, car elle permet de
gagner énormément de temps sur les questions de conversion IP !
|Cette méthode se base sur un nombre magique !

Il s’agit simplement d’un calcul fait à partir de l'octet significatif du
masque.
Comme exemple, | on va prendre la même IP, qu’on a converti
précédemment en binaire. La 10.1.20.70.
|Avec le même masque de sous-réseau, La 3 fois 255.192 !
|Ici, on voit que l'octet significatif (celui où la séparation a lieu) est 192. Qui
correspond au 4e octet.
|On va soustraire l’octet significatif au nombre

magique.
Ce chiffre,256, reste identique à toutes les conversions. Ce qui nous donne

256 – 192 est égal à 64.

Maintenant, on va écrire tous les multiples de ce résultat, jusqu’à 256 !
|Les multiples de 64 sont : 0, 64, 128, 192 et 256

|L’adresse réseau correspond au multiple inférieur ou égal à notre 4e octet
de notre adresse IP. C’est-à-dire inférieur ou égal à 70 !
Dans notre masque de sous-réseau, l'octet significatif est le quatrième, le

.192
C’est pourquoi on se base sur le quatrième octet de notre adresse IP !
Le 1er multiple inférieur ou égal à 70 est 64 !
|Notre adresse réseau est donc la 10.1.20.64
|L’adresse de broadcast, qui correspond à la dernière adresse IP d’un

réseau, sera le multiple suivant, moins 1.
Le multiple qui suit 64 est 128. Auquel on enlève 1 pour trouver 127.
|L’adresse de broadcast est donc la 10.1.20.127
Si l’octet significatif avait été le troisième, on aurait ajouté un « 0 » pour
l’adresse réseau et « 255 » pour l’adresse de broadcast.
Ça revient en binaire, à passer tous les bits à « 0 »

pour l’adresse réseau et tous les bits à « 1 » pour
l’adresse de broadcast.

Vous l’avez vu, aucune conversion binaire n’a été nécessaire.
|On va prendre un dernier exemple. La même IP, mais cette fois-ci avec le
masque 255.224.0.0
|On voit ici que l'octet significatif (celui où la séparation a lieu) est 224. Qui
correspond au 2e octet.
|On soustrait 224 à notre nombre magique. Ce qui nous donne 32 !
|Les multiples de 32 sont : 0, 32, 64, 96, 128, 160, 192, 224 et 256.
Dans notre masque, la séparation a eu lieu sur le 2e

octet.
L’adresse réseau est donc le 1er multiple de 32, inférieur ou égal à 1.

il s’agit du multiple 0 !

|L’adresse réseau est donc 10.0.0.0
L’adresse de broadcast est le multiple suivant, moins 1.
Le multiple suivant est 32. Auquel on enlève 1 pour trouver 31.

|L’adresse de broadcast est bien la 10.31.255.255
Vous pouvez constater que l’on a ajouté des 0 pour l’adresse réseau et des
255 pour l’adresse de broadcast.
Ça revient en binaire, à passer tous les bits à « 0 »

pour l’adresse réseau et tous les bits à « 1 » pour
l’adresse de broadcast.

BITS DE SOUS-RESEAU
BITS DE SOUS-RESEAU AVEC UNE

ADRESSE EN CLASSE C
Revenons au binaire, pour consolider cette nouvelle passion que vous
avez ! Y’en à c’est le foot, mais vous maintenant c’est le binaire !
Pour créer un sous-réseau, il faut emprunter des bits d'hôte et les utiliser
comme bits de sous-réseau, comme le montre cette figure.

Ils doivent être empruntés consécutivement, en commençant par le
premier sur la gauche.
Ici, nous avons une adresse réseau de classe C standard qui n'est pas
divisée.
Pour rappel, le masque par défaut d’une classe C

est /24. C’est-à-dire 3 fois 255.0.
Nous allons travailler avec le réseau 192.168.30.0 avec un /24. Ce qui
signifie qu’il y’a 24 bits à « 1 », ce qui donne bien en décimale : 3 fois 255.0
| Le réseau s’étend donc de 192.168.30.0 à .255.

Comme la 1re adresse est celle du réseau et la dernière, la broadcast, il est
possible d’utiliser 254 IP pour des hôtes.
Parce que 256-2 nous donne 254.
|Maintenant, admettons que nous souhaitons créer un sous-réseau en

empruntant un bit à la partie hôte.
Sur le 4e octet, nous avons désormais un « 1 » suivi de 7 « 0 ». Ce qui donne
en décimale, le chiffre 128. Le masque sera donc 3 fois 255 .128.
Comme au total, il y’a 25 bits à 1, le réseau s’écrira |192.168.30.0/25. Si on

passe tous les bits à 1, la où, la séparation a eu lieu sur l’adresse réseau, on
trouve comme adresse de broadcast : | 192.168.30.127.
Il sera donc possible d’utiliser |126 IP pour la partie hôtes. 128-2 est bien
égal à 126.

Chaque fois qu'un bit est emprunté, le nombre
d'adresses de sous-réseau augmente et le nombre
d'adresses d'hôte disponibles, par sous-réseau,
diminue.
| L'algorithme qui est utilisé pour calculer le nombre de sous-réseaux et
d'hôtes est celui des puissances de deux.
Emprunter un bit d’hôte, revient à faire 2 puissances 1, ce qui permet de

créer 2 sous-réseaux.
En empruntant 2 bits, cela donne 2 puissances 2, et donc permet de créer
4 sous-réseaux, et ainsi de suite !

ADRESSE EN CLASSE B
|Maintenant on va prendre le même exemple, mais cette fois, avec une
adresse de classe B !
La 172.16.0.0, avec son masque par défaut en /16. 2fois 255. 2fois 0 !

Ici nous avons a faire, avec de grands réseaux de +
de 65000 IP’s !
Le masque en /16 permet d’avoir exactement 65534 IP utilisables pour des
hôtes !
C’est-à-dire après avoir retiré l’adresse réseau et broadcast qu’on ne peut
pas utiliser pour des hôtes.
Si on souhaite couper ce réseau en 2, il va falloir aussi lui emprunter| un bit
d’hôtes !
Comme pour une adresse de Classe A, chaque bit

emprunté permet de doublé le nombre de sous-
réseau !
La longueur du préfixe est passée de /16 a /17. Nous avons maintenant 2

sous-réseaux qui peuvent contenir chacun, | 32766 IP’s utilisables.
Vous pouvez voir que si on emprunte |6 bits, à une adresse de classe B,
cela permet d’avoir 64 sous-réseaux de 1022 IP’s utilisables pour des
équipements !

ADRESSE EN CLASSE A
|Et voici un dernier exemple avec cette fois-ci un réseau de classe A, qui se
compose d’un masque par défaut en /8.

Ce qui représente de très gros réseaux de plus de
16 millions d’IP !
Le principe reste identique : chaque fois qu'un bit est emprunté, le
nombre d'adresses de sous-réseau augmente et le nombre d'adresses
d'hôte disponibles, par sous-réseau, diminue.
Admettons que nous souhaitons emprunter| 2 bits pour pouvoir créer| 4
sous-réseaux !
Si une adresse réseau est divisée, alors le premier sous-réseau qui est
obtenu est appelé le subnet zéro.
|Ici il s’agit du réseau 10.0.0.0 !

Pour déterminer chaque adresse de sous réseau subneté, | il faut
augmenter l'adresse réseau par la valeur du dernier bit que l’on a
emprunté.
Dans cet exemple, 2 bits sont empruntés pour le sous-réseau de la même
adresse réseau, 10.0.0.0.
La première adresse de sous-réseau est donc 10.3fois 0 !
Il s’agit du subnet zéro.
|Le dernier bit emprunté est celui qui porte la valeur 64.
Donc la prochaine adresse de sous-réseau sera :
• |10.64.0.0,
• ensuite |10.128.0.0,
• et la dernière sera| 10.192.0.0.
Maintenant que nous avons nos adresses réseau,

on peut en déduire |simplement les adresses de
broadcast !
Il s’agit de l’adresse IP qui précède le réseau suivant.
|Et pour finir, on peut noter les plages d’adresse IP utilisable pour un hôte
pour chacun des sous-réseaux !
N’hésitez pas à vous entrainer pour bien

comprendre le rôle que joue le masque de sous
réseau.

VLSM
VLSM LES MASQUES DE SOUS-RESEAUX À

TAILLE VARIABLE
Le concept VLSM est né avec la volonté d’économiser les adresses IP de
l’entreprise.
Si une entreprise décide d’utiliser des masques de sous-réseau en /24
pour tous ses réseaux, ça signifie que chaque sous-réseau peut héberger
jusqu’à 254 systèmes IP différents.
24 bits à 1 donnent en décimal : 3 fois 255 .0.

Si tous les sous-réseaux de l’entreprise hébergent bien 254 machines
physiques, alors le concept de VLSM n’est pas nécessaire.
Mais, comment faire pour optimiser l’allocation des

adresses IP si certains réseaux n’ont que peu de
machines?

Et comment optimiser cette distribution dans le
cas de liens points à point entre routeurs ? C’est-à-
dire des liens qui nécessitent que 2 adresses IP?
La réponse repose sur la mise en oeuvre du concept de masques à taille
variable, le fameux VLSM.
Il permet à une entreprise de diviser ses sous-réseaux en des tailles
inégales, pour être au plus proche de ces besoins.
Par exemple, sur cette image, le réseau de| classe B 172.16.0.0, a été
diviser en plusieurs sous-réseaux en lui appliquant un masque en /24.
C’est-à-dire en 3fois255.0.
Donc ici, chaque sous-réseau dispose de 254 IP

utilisables pour des hôtes.

Dans ce contexte, de nombreuses adresses d’hôtes sont perdues.
Que ce soit sur |les réseaux utilisateur , ou il n’y a que très peu de PC. Ou
bien, sur les| liens WAN, qui sont des liaisons point à point,qui n’ont besoin
réellement que de 2 IP ! Pour ce dernier cas, ça fait comme même 252 IP
perdus sur chaque lien WAN !
VLSM est donc la solution pour pallier à ce

problème.
IL permet d'inclure + de masque de sous-réseau différent dans un même

réseau afin d’obtenir une utilisation plus efficace des adresses IP.
Au lieu d'utiliser le même masque de sous-réseau pour l’ensemble des
sous-réseaux, il est possible d’utiliser le masque le plus efficace pour
chaque sous-réseau.
Un masque efficace est celui qui fournira un nombre approprié d'adresses
d'hôte pour chaque sous-réseau individuellement.
Par exemple, le sous-réseau| 172.16.1.0 n'a que 21 PC’s, il n'a pas besoin des
254 IP’s que le masque en 24 bits lui donne.
Un masque de 27 bits fournirait 30 adresses d'hôte, ce qui est beaucoup
plus approprié pour ce sous-réseau.
|Et voici notre topologie beaucoup mieux optimisée !

|Les sous- réseau qui comporte moins de 30 hosts ont été subneté en /27
et les |liaisons point à point comporte désormais un masque en /30.
En plus de fournir une solution au problème des

adresses IP gaspillées, le VLSM a un autre avantage
tout aussi important : il s’agit de l’agrégation des
routes.
Ça permet de réduire les entrées dans les tables de routage en
représentant qu’une seule adresse pour tous les sous-réseaux.
Avec l’agrégation des routes, les tables de routage sont plus petites, et
donc , demandent moins de temps au CPU pour faire ces recherches.
Par exemple, le sous-réseau| 172.16.10.0/24 est l’agrégation de route qui
comprend| l’ensemble des sous-réseaux de la topologie.

Le VLSM est une technologie très importante pour
les grands réseaux. Il ne peut être utilisé que dans
des réseaux qui ont des protocoles de routage qui
le prennent en charge. Les protocoles de routage
RIPv2 , OSPF et EIGRP sont entièrement
compatibles !
EXEMPLE DE MISE EN ŒUVRE DU VLSM
|Voici un tableau très représentatif, car il montre bien les différentes

possibilités que l’on faire avec différent masque de sous-réseau.

|Le /24 que l’on voit le plus fréquemment, permet d’avoir des réseaux de
254 hôtes.
256 moins les 2 IP’s non utilisable.
C’est-à-dire : L’adresse réseau et l’adresse de broadcast.
|Prenons un autre exemple.
Le réseau de départ est le |172.16.0.0/20

Il porte un masque en| 20 bits. Ce qui donne en décimale 2 fois 255.240.0
|Vous pouvez voir l’ensemble des réseaux qu’il est possible de choisir pour
notre topologie.
On décide de travailler avec le sous réseau| 172.16.32.0/20
Les adresses utilisables vont de| 172.16.32.0 à .47.255
Avec cette adresse et ce masque, on voudrait créer

des LAN qui pourraient contenir |50 hôtes.

Pour cela on va se servir de VLSM pour créer des sous-réseaux d’au moins
50 IP’s.
En regardant le tableau, pour le besoin d’au moins 50 hôtes, on va partir
sur un masque en| /26 qui permet d’obtenir 62 hôtes par réseau (64-2).
|Nous allons donc empruntez 6 bits dans la partit hôtes.
Et 6 puissances 2, nous 64 IP -2, ce qui fait 62 IP utilisables pour nos sous-
réseaux de 50 hosts !
Ce qui est beaucoup mieux structuré que notre

masque de départ en /20, qui nous permettait de
faire des réseaux de plus de 4000IP !
|Voici le découpage possible de notre sous-réseau de 64 IP ! je rappelle, 62

utilisable.

|On peut maintenant distribuer les sous-réseaux à nos équipements de 50
hôtes.
|Pour les liens WAN, il serait dommage d’appliquer le même masque, car
comme il s’agit d’un réseau point à point, seul 2 adresses sont
nécessaires… Ce serait donc encore du gâchis d’adresse.
En regardant le tableau des masques de sous-réseau on peut voir qu’un|
/30 correspondrait parfaitement pour des réseaux point à point, car |2 IP
sont entièrement disponibles.
Au total, il y’en a 4, mais comme on ne peut pas utiliser l’adresse réseau et
de broadcast, il nous en reste donc 2 ! Pile-poil ce qu’il nous faut.

|Et voilà notre topologie, qui comporte beaucoup moins d’adresses
gaspiller qu’avec un /24 ! Nous avons du /26 pour les réseaux de moins de
62 équipements et du /30 pour nos réseaux point à point !
Quand on fait du VLSM, il faut toujours commencer

par les sous réseau les plus grands pour le
découpage. À l’identique de ce que nous venons de
faire .

RÉSUMER : OSPF
OSPF (OPEN SHORTEST PATH FIRST)

Le protocole de routage OSPF fait partit des protocoles à état de liaison.
C’est un standard ouvert, ce qui signifie qu’il peut

aussi tourner sur des équipements autres que
Cisco.
Contrairement au protocole EIGRP qui lui, est propriétaire Cisco, donc il ne
fonctionne que sur des routeurs Cisco.
Sur cette topologie réseau, le routeur R1 n’est pas configuré en OSPF.

|Nous allons donc le configurer :
Siret : 519 157 861 00047
La commande « router ospf » permet d’activer le protocole.
Le numéro « 1 » est le numéro du processus OSPF.
Il n’a pas forcément d’importance, on peut mettre

ce que l’on veut ! Ici j’ai choisi le chiffre « 1 »
Avant de lui indiquer les réseaux, on va lui donner une identité avec la
commande « router-id ».
Ici on l’appellera 1.1.1.1.
On n’est pas obligé de le configurer, car |par défaut,

le routeur prendra l’adresse IP la plus élevée de ces
interfaces de loopback.
Et s’il n’y en a pas, il prendra alors l’adresse IP la plus élevée de ces
interfaces !
Et ensuite il nous reste plus qu’à lui déclarer les réseaux qui lui sont
directement connectés avec la commande | « Network ».
Avec le protocole OSPF, on utilise |des masques inversés ! il s’agit de
l’inverse du masque de sous réseau :
|Par exemple si on soustrait 4 fois 255, par |le masque de sous réseau,
cela nous donne, le |masque inversé !

Siret : 519 157 861 00047
|La formule est donc 4 fois 255 moins le masque de sous réseau, et cela
nous donnent le masque inversé !
OSPF est très gourmand en CPU, c’est pourquoi il utilise le masque

inversé, |car dans notre exemple il va se concentrer uniquement sur les 3
premiers octets|, il va donc ignorer le dernier octet
|Le masque inversé s’utilise dans OSPF, EIGRP et les

access-list !
On va maintenant |revenir sur notre topologie !
Dans la suite de la commande, nous avons |Area 0
OSPF utilise des airs afin de découper un groupe de routeur en plusieurs

petits groupes de travail.
Ça permet de réduire la charge CPU des routeurs,

car l’algorithme, qui calcule les routes lors d’un
changement, s’exécutera que dans la même air
OSPF.
Un routeur qui a des interfaces dans plus d’une zone, par exemple notre
routeur 4 au milieu, se fait appeler |ABR.
Et un routeur qui connecte un réseau OSPF à d’autres domaines de
routage, comme notre routeur 7, s’appelle ASBR.
Les autres routeurs sont simplement des routeurs internes à une seul air
ospf.
C’est-à-dire que l’ensemble de leur interface

appartient à la même air OSPF.
Siret : 519 157 861 00047
En gros, il faut toujours commencer par l’air 0 en premiers, et ne pas faire
des airs ospf de plus de 15 routeurs !
Nous venons donc de déclarer l’ensemble des réseaux qui sont
directement connectés à notre routeur 1.
Il peut maintenant découvrir les routeurs faisant partie de l’air 0.
Par contre, on voit que le réseau 192.168.1.0 n’est pas un réseau de routeur,
mais un réseau d’utilisateur.
Pour éviter que le routeur1 cherche d’autres routeurs sur un réseau
d’utilisateur, |on va exécuter la commande « passive-interface » sur son
interface Fast Ethernet 0/3 !
Maintenant que notre routeur 1 est bien configuré en OSPF, on va voir ce

qui se passe avec des commandes | « show » !
La commande « show ip ospf neighbor » permet d’afficher les voisins

OSPF.
Siret : 519 157 861 00047
Si 2 routeurs appartiennent au même réseau et qu’ils sont dans la même
air OSPF, alors ils vont s’envoyer des paquets de types | « Hello » pour se
présenter.
Un paquet « Hello » permet :
• -de découvrir le réseau
• -de se construire de nouvelles relations de voisinage
• -et de s’assurer de leurs disponibilités.

Maintenant que notre routeur R1 à découvert ses voisins , il doit les stocké
quelque part.
Et bien c’est dans la| LSDB qu’il stocke toutes les

infos de ses voisins !
Et les infos qu’il reçoit de ses voisins s’appellent des| LSA !
Pour montrer une image, c’est comme si les |LSA's étaient des livres
et la |LSDB une bibliothèque !

Siret : 519 157 861 00047
OSPF met toutes les informations qu’il reçoit dans
une Bibliothèque, et les informations reçues
s’appellent des LSA.
|Et la commande « show ip ospf database » permet d’afficher le contenu

de la bibliothèque et la couverture de nos livres !
|La dernière commande « show » que l’on va voir est | « show IP route » !

Siret : 519 157 861 00047
Ici, on peut voir dans la table de routage que le routeur 1 a découvert 3
réseaux :
• |Le réseau 2.2.2.0
• |le 5.5.5.0
• |Et le 6 6 6 0 !
|La lettre O nous informe que ces réseaux ont été

appris via le protocole OSPF.
|Et la dernière chose qui nous reste à voir sur OSPF est le calcul des couts
de liaison !
Maintenant que notre routeur est bien configuré en OSPF, Il va utiliser les
informations présentes dans sa bibliothèque, la LSDB afin de trouver le
meilleur chemin vers ses destinataires en utilisant |son algorithme.
Siret : 519 157 861 00047
Pour cela il va définir une métrique pour chacune de ses liaisons avec la
formule |100 / Débit !
Le chiffre 100 est la bande passante de référence.

Plus le résultat de cette métrique sera faible et plus le chemin sera
privilégié !
|Ce qui donne pour une liaison Fast Ethernet de

100méga, un coût de 1.
Et pour une interface Ethernet, un coût de 10.

|Voici , les différents coûts reportés sur les interfaces !
Les liaisons les plus lentes sont celles en Ethernet entre le routeur 1et 4, et
celle entre le 4 et 7 !
Alors à votre avis, si le |routeur 1 souhaite joindre le

réseau 192.168.2.0, par où va-t-il passer ?
|Par le routeur 2, 4 ou 5 ?
Et bien dans cet exemple, les flux passeront aussi bien par le routeur 2 que
par le routeur 5, car ils ont des coûts égaux.
Le routeur fera donc du load-balancing.

Pour joindre le réseau à l’autre bout, le coût sera de 4 par R2 et R5, et de 21
en passant par le routeur 4.

Siret : 519 157 861 00047
Là est la différence avec le protocole de routage RIP, où lui, il serait passé
par les deux routeurs du milieu, car le chemin est plus court, mais pas le
plus rapide !
Il est possible de modifier le coût d’une interface, soit même, | avec la
commande « ip ospf cost »
Avec les nouvelles liaisons plus rapides qui sont apparues, comme le
gigabit ou bien le 10 gigabits, |il est indispensable de modifier la bande
passante de référence avec la commande : « auto-cost »

Siret : 519 157 861 00047
LES ROUTES STATIQUES
OPÉRATION DE ROUTAGE
Le routage, consiste à déterminer où envoyer des paquets de données, qui
sont destinés à des adresses, hors du réseau local.
Ce sont les routeurs, qui permettent leurs transferts, grâce aux
informations que contiennent leurs tables de routage !
Il est possible de configurer manuellement une entrée dans la table de
routage, dans ce cas on parle de route statique.
Ou bien le routeur peut utiliser un protocole de routage pour créer et
maintenir sa table de manière dynamique.
Pour pouvoir acheminer des données, un routeur doit effectuer plusieurs
opérations :
• |Il doit trouver,ou le paquet doit être routé.

• |Le routeur doit aussi, être en mesure de pouvoir déterminer, à partir
de quelles sources, il peut apprendre les chemins vers les
destinations.
• |Avec ça, il peut en déterminer les itinéraires ou les différents

chemins possibles
• |Parmi toutes ces infos, il doit trouver le meilleur chemin vers la

destination.
• |Et il doit être capable de déterminer si les routes de sa table de

routage vers les destinations sont récentes et bien praticables !
Les informations de routage qu’un routeur obtient

à partir d'autres routeurs sont placées dans sa table
de routage.
Il s'appuie sur cette table pour savoir par quelle interface transmettre les
paquets.
|La topologie qui est représentée ici montre que| le routeur à gauche,
utilise l'interface Série0/0/0 pour accéder au sous-réseau 192.168.2.0.
|Si le réseau de destination lui est directement connecté, c'est-à-dire s'il
existe une interface sur le routeur qui appartient à ce réseau, alors le
routeur saura déjà, vers quelle interface, envoyer les paquets.

Et si les réseaux de destination ne lui sont pas directement rattachés, alors
il devra utiliser du routage statique ou un protocole de routage
dynamique !
|Il existe deux manières pour un routeur d’apprendre à transférer des

paquets vers des réseaux qui ne lui sont pas directement connectés :
• |On a le Routage statique.

Ici, le routeur apprend les routes, lorsqu'un administrateur configure
manuellement la route statique.
Le souci avec ça, c’est que l’admin réseau doit

régulièrement mettre à jour manuellement les
routes statiques, à chaque fois qu'il y’a un
changement dans le réseau.
Les routes statiques sont des itinéraires définis par l'utilisateur qui
spécifient le chemin que les paquets prennent lorsqu'ils se déplacent
entre une source et une destination.
Ces routes, qu’on rentre manuellement, permettent un contrôle très précis
du comportement de routage dans son propre réseau.
• |Et on a le Routage dynamique :

Le routeur apprend les routes, dynamiquement, après qu'un admin réseau
ait configuré un protocole de routage.
Contrairement aux routes statiques, le routage dynamique se met

automatiquement à jour dès que des changements interviennent sur le
réseau.
Le routeur apprend et entretient ses itinéraires vers

les destinations en échangeant ses informations de
routage avec d'autres routeurs.
|Les routes statiques conviennent mieux aux petits réseaux, c’est-à-dire, là
ou il y’a très peu de modifications.
Si une route devient impraticable, alors il faut obligatoirement se
connecter sur les routeurs concernés et définir manuellement la nouvelle
route à prendre .
|On peut utiliser des routes statiques dans différentes situations:
• |par exemple dans un petit réseau qui demande du routage simple
• |ou bien dans une topologie de réseau en étoile
• |ou alors, lorsque l’on souhaite créer des routes rapidement

|Par contre il n’est pas conseillé d’utiliser des routes statiques :
• |sur un grand réseau,
• |ou alors, lorsque l'on sait que le réseau est amené à évoluer
|Voyons maintenant les avantages qu’on a d’utiliser du routage statique !
• |D’abord, il consomme très peu de bande passante réseau et de

ressources CPU pour le routeur.
Contrairement au routage dynamique, où les protocoles utilisent les
ressources du routeur pour s’échanger et maintenir à jour leurs
tables de routage.
• |Ensuite, les routes statiques sont couramment utilisées dans les

petits réseaux qui ont peu de routeurs.
• |Et le dernier avantage, c’est que les routes statiques permettent de

contrôler les chemins que les données empruntent.

Ce qui est très utile dans des environnements, ou la sécurité est
importante !
|Passons aux inconvénients:
• |Pour commencer, le routage dynamique sera plus approprié si le

réseau évolue constamment.
Car configurer soi-même plusieurs routes statiques peut apporter
de nombreuses erreurs…
• |Ensuite, si votre réseau change et que vous ne mettez pas à jour les
routes statiques, le routeur n'en saura rien !
Ce qui entrainera, soit des pertes de données, ou bien beaucoup de
retard sur les communications.
• |Et le dernier inconvénient est que, lorsque le nombre de routeurs

augmente, le nombre de routes statiques augmente également.
Sur de grands réseaux, ajouter un routeur avec un nouveau réseau
signifie qu’il faut manuellement lui paramétrer toutes les routes
statiques des autres réseaux , mais aussi, paramétrer le nouveau
réseau sur l’ensemble des autres routeurs.
C’est pourquoi il est préférable d’utiliser le routage

statique, que sur de petits réseaux qui n’évolue pas
constamment !

CLASSFUL ET CLASSLESS
PROTOCOLE DE ROUTAGE CLASSFULL ET

CLASSLESS
Il existe deux familles de protocole de routage :
• |Classful, qui se traduit avec classe
• et |Classless pour sans classe !

|Les protocoles de routage classful n’envoient pas le masque de sous-
réseau avec leurs mises à jour.
C’est-à-dire qu’ils tiennent compte des masques

par défaut disponible dans les différentes classes
IP !
|Et les protocoles de routage classless, envoie le masque de sous-réseau
avec leurs mises à jour !

Il ne se basera plus sur les masques par défaut !
On va tout de suite voir un exemple pour bien comprendre !
Sur ce schéma, nous avons trois routeurs avec plusieurs réseaux. Nous
avons le réseau :
• -172.16.1.0 complètement à gauche,
• le 2.0 à droite.
• Le 192.168.10.0 est le réseau entre le routeur 1 et 2.
• Et le20.0 entre le routeur 2 et 3 !
|Rappelez-vous, les adresses IP font partie de

différentes classes.
Les IP’s en 172.16 sont des adresses de classe B !

Et celle en 192.168 sont des adresses de classe C.
La classe B à un masque par défaut de 2 fois 255.0.0
Et la classe C, son masque est de 3 fois 255.0 !
Un protocole de routage par classe ne transmet pas le masque de sous-
réseau dans ses mises à jour de routage.

C’est-à-dire que les routeurs 1 et 3 |n’enverront comme info que le réseau
172.16.0.0 au routeur 2.
Du coup le routeur 2 est un peu perdu, car pour lui il peut joindre le réseau
172.16.0.0, aussi bien par son interface de gauche, que par la droite !
Ce qui cause bien sûr des problèmes…
Tandis que les protocoles de routage sans classe annoncent le masque de
sous-réseau avec leurs mises à jour:
|C’est-à-dire que le routeur 2, s’aura que d’un côté il y’a le réseau 172.16.1.0
et de l’autre la 2.0, car ici le masque de sous réseau est envoyé avec
l’adresse réseau, ce qui permet de déterminé la plage IP correspondante ! !

CONFIGURATION ROUTE STATIQUE
CONFIGURATION D’UNE ROUTE STATIQUE

Les routes statiques sont très utilisées pour de petits réseaux qui
comprennent en général, qu’un seul lien !
Ce qui signifie qu’il y’aurait qu’une seule route

statique à configurer, celle qui mène vers la

Sur cette topologie, nous avons le réseau 192.168.1.0, qui est représenté à
droite.
Et un ensemble de réseau, représenter sur la gauche.
Si on veut que tous les petits routeurs de gauche puissent communiquer
avec le réseau de droite, il va falloir configurer| une route statique sur le
routeur 1.
La commande « IP ROUTE » permet de configurer une route statique.
|192.168.1.0 est le réseau de droite.

3 fois 255.0 est son masque de sous-réseau.
|Et 172.16.1.2 est l’adresse IP de l’interface série 0/1/1 du routeur 2.
En gros, on dit à notre routeur1 que tout ce qui est

destiné au réseau 192.168.1.0/24, et bien on l’envoie
au routeur 2.
Car lui, il sait comment le joindre, puisqu’il lui est directement rattaché !

L’IP 172.16.1.2 de notre commande est en quelque sorte une porte de
sortie !
Alors, au lieu d’une IP, il est possible de mettre |une interface de sortie !
Dans ce cas, il s’agit de l’interface rattachée au routeur ou est placé notre

commande !
Une route statique est configurée pour la connectivité à des réseaux
distants qui ne sont pas directement connectés sur le routeur.
Pour que la communication fonctionne de bout en bout, il faut configurer
la route statique dans les deux sens.
Par exemple sur le routeur 2, |il faut configurer une route statique ou bien
une route par défaut, qui permettrait d’atteindre les réseaux derrière le
routeur1, à travers l’IP de l’interface série à l’autre bout, |ou bien par sa
propre interface série 0/1/1 !
Dans cet exemple, nous avons utilisé une route par défaut, plutôt qu’une
route statique.
Cela est très utile lorsque l'itinéraire d'une source

vers une destination n'est pas connu, ou alors, pour
ne pas maintenir de nombreuse route dans la table
de routage du routeur.
Ce qui est beaucoup plus simple que de rentrée 1 par 1 |tous les réseaux
routeurs qui se situent derrière le routeur 1 !
Une route statique par défaut est une route qui| corresponds à tous les
paquets.
Ils sont utilisés :

• |lorsqu'aucun autre itinéraire dans la table de routage ne correspond
à l'adresse IP de destination du paquet.
• |Et lorsqu'un routeur n'a qu'un seul autre routeur de connecté sur le
réseau.
Dans ce cas, on appelle ça un stub network. On peut le traduire par
réseau de bout en bout !
|La syntaxe d'une route par défaut est identique à

celle d’une route statique, sauf que l' adresse
réseau est 4 fois 0 et le masque de sous-réseau est
aussi 4 fois 0.
Maintenant que nous avons vu, la configuration d’une route statique et
d’une route par défaut, |on va passer aux commandes de type « show » !
La plupart des tables de routage contiennent une combinaison de routes
statiques et de routes dynamiques.
Par contre elle doit d'abord contenir les réseaux qui lui sont directement
connectés avant que n'importe quel routage statique ou dynamique
puisse être utilisé.
La commande | « show IP route » permet de vérifier les routes statiques
dans la table de routage :
Une route statique comprend :
• l' adresse réseau,
• son masque,
• ainsi que l'adresse IP ou l'interface de sortie, du prochain saut.

Les routes statiques sont indiquées avec le code "S" dans la table de
routage
|Le petit astérisque qui suit la lettre « S » est la passerelle par défaut.
Il s’agit du résultat |de la commande 4fois0 plus 4 fois 0 et 172.16.1.1

ROUTE STATIQUE PAR DÉFAUT
ROUTE STATIQUE PAR DÉFAUT

Dans ce cours, on va voir un autre exemple de configuration d’une route
statique !
Sur cette illustration, notre routeur A est connecté directement à un

|fournisseur d’accès à Internet !

Qu’on appel aussi un FAI, ou bien qu’on retrouve
régulièrement sous les initiales de ISP !
Comme sur internet il y’a des millions de réseaux, il est impossible de tous
les rentrés dans la table de routage du routeur ! C’est pourquoi nous allons
utiliser une route par défaut, qu’on peut aussi appeler gateway !
|Pour commencer, on va assigner l’ip 10.1.1.2 sur notre routeur A. Le routeur

du fournisseur d’accès est généralement déjà configuré.
En faisant un |show ip route sur le routeur A, on voit qu’il ne connaît que le

réseau 10.1.1.0, celui qui lui est directement connecté.
Ça veut dire que dans l’état actuel, s’il reçoit un

paquet destiné pour un autre réseau, il va le
supprimer !
En gros, le routeur ne pourra pas accéder à internet !
|C’est pour ça qu’on va lui configurer une route

statique par défaut !
• |La commande « IP ROUTE » permet la configuration d’une route

statique.

• |La première adresse qui suit la commande est l’adresse réseau. Si
elle est représentée par 4 zéros, cela signifie que c’est pour tous les
réseaux !
• |La deuxième adresse est le masque de sous-réseau. Ici aussi, cela

veut dire tous les masques de sous-réseaux !
• |Et la dernière IP est le saut suivant. Dans cet exemple, ce sera

l’adresse du routeur internet !
En d'autres termes, cette route statique

correspondra à tous les réseaux et c'est pourquoi
nous l'appelons une route par défaut.
Lorsque le routeur A ne saura pas où envoyer les paquets IP, il les enverra
vers le fournisseur internet et ce sera à lui de les livrer.
Il nous reste un dernier point à voir sur les routes statiques.
Il faut savoir qu’en cas de plusieurs chemins, le

routeur utilisera la route la plus précise !
|Prenons comme exemple un autre routeur qui n’a rien à voir avec cette
topologie.
|Si on fait un « show ip route » sur ce routeur d’exemple, on voit qu’il y’a 3
routes statiques de configurer !
Maintenant, imaginer que ce routeur reçoit un |paquet IP avec comme
adresse de destination, l’ip |192.168.1.132 ?

Alors comme cette adresse match avec les 3 routes statiques du routeur,
le paquet IP sera-t-il envoyé vers :
• la| 10.1.1.1 ?
• la| 10.2.2.2 ?
• ou bien alors la |10.3.3.3?

Et bien dans ce cas, le routeur choisira la route la plus précise, c’est-à-dire
celle où il y’a le moins de monde.
• Un masque en /24 peut contenir 254 machines,
• un /25 126
• et un /16 + de 65000 !
|Les paquets IP seront donc transmis vers la 10.2.2.2 !

INTRODUCTION OSPF
PROTOCOLE DE ROUTAGE À ÉTAT DE LIEN

Les deux types de protocoles de routage sont :
• ceux à vecteur de distance
• et ceux à état de lien.

Lorsqu'un problème sur un itinéraire arrive dans un réseau, les protocoles de routage
doivent le détecter le plus vite possible et trouver rapidement un autre chemin.
Seuls les protocoles à état de lien permettent une

convergence rapide.
On va détailler| les avantages qu’ils ont par rapport à des protocoles à vecteur de
distance.
|Tout d’abord ils sont plus évolutifs, car ils peuvent être étendus sur de plus gros
réseaux.
|Ensuite, chaque routeur a une image complète de la topologie :

Siret : 519 157 861 00047
ce qui leur permet d’avoir toutes les infos sur l’ensemble des
routeurs et des liens dans le réseau.
Ils sont capables de choisir le meilleur chemin vers tous les routeurs du réseau.
|Les protocoles à état de lien envoient des mises à jour quand un changement de
topologie se produit.
Et sinon c’est envoyé régulièrement toutes les 30 secondes.

|Ils répondent aussi très rapidement aux différents changements de topologie:
car ils établissent des relations de voisinage avec les routeurs

adjacents.
C’est-à-dire, que lorsqu’un routeur tombe, ses voisins le détectent très rapidement et
donne l’info immédiatement à tous les autres routeurs du réseau.
Ce qui permet une convergence très rapide.

|Et le dernier avantage de ce type de protocole, c’est que les routeurs ont une vue
commune sur l’ensemble réseau.
Chaque routeur dispose d'informations complètes sur les

autres routeurs et les différents liens du réseau, et cela
comprend aussi la métrique sur chaque lien.
|Un routeur qui exécute un protocole de routage à état de lien doit d'abord
reconnaitre les autres routeurs et établir une relation avec ses propres voisins, en
s’échangeant des paquets de |types HELLO pour remplir leurs bases de données.

Siret : 519 157 861 00047
Dans l'exemple, |le routeur 1 reconnait les routeurs 2 et 4 comme voisins.
Ensuite les routeurs s’échangent des| messages de type LSA pour leur permettre de
construire |leurs bases de données.
Un LSA décrit un routeur et les réseaux qui sont connectés à

ce routeur.
Et toutes ces données sont stockées dans la |LSDB, qui est la table de topologie du
routeur.
De cette façon, ça permet aux routeurs d’apprendre la topologie complète du réseau.
Chaque routeur aura la même base de données de la

topologie d’une même zone.
On peut voir les |LSA’s comme des livres,
et la LSDB |comme une bibliothèque qui contient toutes les LSA’s.
Une fois que cette base de données est complète, chaque routeur |exécute
l' algorithme SPF, pour calculer le chemin le plus court vers chaque destination.
Et ces données sont ensuite placées dans la |table de routage de chaque routeur.

Siret : 519 157 861 00047
Ici, on voit bien |que pour joindre le réseau A, le routeur 1 passera par le routeur 4.
Chaque fois qu'il y a un changement dans une topologie, de nouveaux messages de

type LSA sont créés et envoyés dans tout le réseau pour que l’ensemble des routeurs
modifie leurs bases LSDB.
Et ensuite l'algorithme SPF s’exécute de nouveau dans la LSDB pour vérifier s’il y’a de
nouveaux chemins vers les destinations.
PRESENTATION DE OSPF : OPEN SHORTEST PATH FIRST

|OSPF est donc un protocole de routage à état de lien.
Quand on dit « état de lien », il faut plutôt penser à l’état de l’interface d’un routeur,
qui comprend, par exemple :
• l’adresse IP
• le masque, le réseau
• et ainsi de suite.
La collecte de tous ces états forme la |base LSDB.

Siret : 519 157 861 00047
Contrairement à EIGRP qui est propriétaire Cisco, OSPF peut être pris en charge par
plusieurs fabricants de routeurs.
Ce qui le rend, très largement utilisé |dans les réseaux étendus, est c’est même aussi,
certainement le plus utilisé au monde| sur les réseaux LAN.
Il a été développé pour remplacer le protocole à vecteur de

distance RIP.
Ces principaux avantages par rapport à ce dernier, c’est sa convergence rapide et sa
capacité à s’étendre sur de plus grands réseaux.
OSPF utilise une hiérarchie de réseau à deux couches qui comporte deux éléments
principaux:
• |Il y’a L’AS
• et |l’Area
Un AS est une |collection de réseaux sous la même administration, qui partage donc,
la même stratégie de routage.

Siret : 519 157 861 00047
On peut voir ça comme un domaine.
|Et une zone est un regroupement de réseaux.
On peut les voir, comme des sous-divisions de l’AS.

Dans chaque AS, une zone doit être définie.
|Toutes les zones doivent être connectées physiquement |à la zone 0.
C’est ce qu’on appelle la |Backbone Area.

Cette zone est constituée de |plusieurs routeurs interconnectés.
Elle est chargée de diffuser les informations de routage qu'elle reçoit d'une zone aux
autres zones.
Tout routage basé sur OSPF doit |posséder une zone 0.

Cette conception en multizone est plus efficace, car le réseau est segmenté, pour
limiter la propagation des messages LSA dans une zone.
Ce qui est très utile sur les grands réseaux.
TYPES DE PAQUETS OSPF

|Le protocole OSPF utilise des paquets LSP, pour établir et maintenir une relation de
voisinage, et aussi pour s’échanger des mises à jour de routage.

Siret : 519 157 861 00047
|Dans ce tableau on y voit les cinq types de paquets LSP, qui sont utilisés par le
protocole OSPF.
|Le Type 1 sont les paquets « Hello ».
C’est ce qui permet d'établir et de maintenir la relation avec

d'autres routeurs OSPF.
|Le Type 2 contient une liste abrégée de la LSDB du routeur expéditeur et est utilisé
par les routeurs destinataires pour comparer leur LSDB locale.
Pour rappel, la LSDB doit être identique sur tous les routeurs
à état de liens au sein d'une même zone OSPF.
|Le Type 3 sont les paquets LSR – qui permette au routeur destinataire de demander
plus d’information sur la base de données.

Siret : 519 157 861 00047
|Le Type 4 est utilisé pour répondre aux paquets LSR et pour annoncer de nouvelles
informations.
|Et le Type 5, sont les paquets LSAck.
Lorsqu'un paquet LSU est reçu, le routeur envoie un paquet LSAck pour confirmer la
réception du paquet LSU.
On peut le voir comme un accusé de réception.

Siret : 519 157 861 00047
PAQUET HELLO OSPF
HELLO : ÉTABLISSEMENT DES VOISINS

ADJACENTS EN OSPF
Les routeurs qui ont comme routage, OSPF, doivent reconnaitre leurs
voisins avant de pouvoir partager des infos de routage, car ces infos
dépendent de l’état du lien entre deux routeurs.
|C’est le protocole « Hello » qui permet de découvrir les voisins.
Les paquets « hello » sont envoyés sur toutes les interfaces activées par
OSPF, pour savoir s'il y a des voisins sur ces liens.
Ça permet d’établir et de maintenir les relations de

voisinage, en s’assurant d’une bonne
communication dans les deux.
Cette relation de voisinage OSPF, est formée entre deux routeurs s'ils
acceptent tous deux :
• -l'ID de la zone
• -Les paquets de types Hello

Siret : 519 157 861 00047
• -Et l'authentification.
Bien évidemment, les routeurs doivent être sur le

même sous-réseau IP.
Chaque interface qui participe à L’OSPF, utilise |l'adresse multicast
224.0.0.5 pour envoyer périodiquement des paquets hello.
|Ce paquet contient plusieurs informations:
• |On à le Router ID, qui est l'identifiant unique du routeur.
Par défaut, il |s’agit de l'adresse IP de loopback la

plus élevée.
Et si aucune adresse le loopback n’est configuré, et bien, ce sera l’adresse
IP la plus élevée des interfaces du routeur.
|Cette valeur est modifiable avec la commande « router-id » .
• |On à les intervalles hello et dead.

L'intervalle hello indique la fréquence en secondes que le paquet sera
envoyé.
Par défaut il est de 10 secondes.

Et l'intervalle dead est le temps en secondes qu'un routeur va attendre
avant de déclarer son voisin, hors service, si il ne reçoit pas les paquets
« hello ».
Par défaut, cet intervalle est quatre fois supérieur à

l'intervalle hello.

Siret : 519 157 861 00047
• |Le champ Neighbors:
Répertorie les routeurs voisins ou la communication est bonne dans les
deux sens.
C’est-à-dire lorsque le routeur se reconnait dans les

paquets hello de ces propres voisins.
• |LID de zone, sert à cloisonner les échanges ospf.
Pour communiquer, deux routeurs doivent partager le même domaine
réseau et leurs interfaces doivent appartenir à la même zone OSPF.
Les voisins doivent aussi partager le même sous-

réseau et le même masque de sous-réseau.
• |On à la priorité du routeur :
• OSPF l’utilise pour élire un DR et un BDR .

|Le DR est le routeur principal, on peut le voir comme un porte-parole.
Et le BDR est le backup du porte-parole.
• |Ensuite, on a les adresses DR et BDR:

Ce sont les adresses IP des routeurs, qui ont été désignés comme porte-
parole et comme backup.
• |On a les données d’authentification.
C’est une option qui n’est pas activée par défaut.

Mais si elle l’ai, alors les routeurs devront avoir les mêmes données
d’authentification pour pouvoir communiquer.
• |Et on à le champ « Stub area flag » :

C’est une zone assez spéciale, qui utilise une technique pour réduire les
mises à jour de routage, en les remplaçant par une route par défaut.

Siret : 519 157 861 00047
ÉTATS VOISINS OSPF
|Les interfaces voisines OSPF, peuvent rencontrer sept états différents.
Ces 7 états correspondent à deux moments
• |D'une part, on à la découverte des voisins
• |Et de l’autre,la découverte des routes.

|Les trois premières étapes visent à découvrir le voisin.
• |Dans l’état Down State,

il n'y a pas d'échange d'informations entre les voisins. OSPF attend
uniquement le prochain état qui est l'Init State.
• |Dans ce dernier, en Init,

les routeurs OSPF envoient des paquets Hello à intervalles réguliers, pour
établir une relation avec les routeurs voisins.
Dès qu’une interface reçoit le premier paquet Hello, le routeur entre alors,
dans l’état « Init State », c’est-à-dire qu’il sait, qu'il y a un voisin en face et
qu’il attend d'entrer en relation avec lui.
Ce qui se fera dans la prochaine et dernière étape.

Siret : 519 157 861 00047
• |C’est l’état Two-Way State.
Ici chaque routeur OSPF tente d’établir une communication
bidirectionnelle avec chaque voisin du même réseau IP, en utilisant les
paquets de types 1 qui sont des paquets Hello.
|En d'autres termes, les paquets Hello embarquent

la liste des voisins OSPF connus de l'envoyeur.
Un routeur entre dans cet état, quand il se voit dans le « Hello » d'un
voisin.
|Passons maintenant aux états de la découverte des routes.
• |La première étape est le ExStart State.

C’est le début de l’échange LSDB entre les deux routeurs.
C’est-à-dire qu’ils commencent à s’échanger des

informations sur l’état des liens.
• |Ensuite on à l'état Exchange.
Dans cet état, |les paquets DBD qui contiennent les en-têtes |LSA sont
échangés.
• |On passe après, à l’état Loading.

Siret : 519 157 861 00047
|Le voisin envoie des LSR pour chaque réseau qu’il ne connaît pas.
|Et l’autre voisin lui répond avec des LSU, qui contiennent les informations
sur les réseaux demandés.
• |Et pour finir, on à l’état Full.

Ici, les deux routeurs ont une base de données synchronisée et sont
complètement adjacents l’un à l’autre.
Chaque routeur gardera une liste de ses propres voisins.

Siret : 519 157 861 00047
METRIQUE ET EN-TETE OSPF
METRIQUE OSPF / ALGORITHME SPF ÉCRIT PAR

DIJKSTRA
Un protocole de routage utilise une métrique pour déterminer le meilleur chemin.
Le protocole OSPF utilise le cout comme métrique.

Plus le coût sera faible et plus l’itinéraire sera privilégié.
C’est-à-dire qu’un coût plus faible indique un meilleur chemin, qu’un coût plus élève.
Le cout d'une interface est inversement proportionnel à la bande passante de
l'interface.
Ce qui signifie qu’une bande passante plus élevée indiquera

un cout plus faible.
Un lien Ethernet de 10 Mégas aura donc un cout plus élevé qu'une liaison FastEthernet
de 100 Mégas.
La formule utilisée pour calculer le cout OSPF| est la bande passante de référence
divisée par la bande passante de l’interface.
Siret : 519 157 861 00047
Cout = bande passante de référence / bande passante de
l'interface
La bande passante de référence par défaut est égale à 100 millions.
La formule par défaut est|donc :
100 millions divisé par la bande passante de l’interface en bits/s
Coût = 100 000 000 bits/s /bande passante de l'interface en

bits/s
Sur le tableau| on voit que les interfaces Fast Ethernet, Gigabit et 10 Gigas, partagent
le même cout, car le résultat de cette formule ne peut être qu’un nombre entier.
Étant donné que la bande passante de référence par défaut est définie sur
100 Mégabits, ce qui correspond à 100 millions de bits, tous les liens supérieurs à 100
mégas auront un coût de « 1 ».
En fait, c’est parce que, cette règle a été faite à l’époque, ou les liens supérieurs à 10
mégas n’existait pas, et était considérer, comme exploitable, que dans un futur
lointain.
Mais aujourd’hui, les liens de 100 mégas sont très courants, et même que très
prochainement, ce seront les liaisons à 100 gigas, qui seront le plus répandu !
Heureusement, il est possible de modifier la bande passante de référence par défaut,
avec la |commande : « auto-cost »

Siret : 519 157 861 00047
Par exemple, si notre réseau contient des liens en |Gigabit Ethernet, et bien il faudrait
configurer la bande passante de référence sur 1000.
De cette façon, | les liens 1 giga seront bien dissocier des liens 100 mégas.
Et si, nous avons des liens en| 10 gigas, et bien il faudrait configurer cette bande
passante de référence sur 10 000, | pour que les liens en 10 gigas ait bien un coût
différent que les liens en 1 giga
|Nous allons voir tout de suite une mise en situation avec cette topologie.

Siret : 519 157 861 00047
Ici nous avons 3 routeurs interconnecter avec |des liaisons séries de différents débits.
Le cout d'une route OSPF, est la valeur cumulée depuis un routeur jusqu'au réseau de
destination.
Par exemple, ici, nous allons calculer le coût qu’il faudrait pour joindre le réseau
192.168.2.0, |à partir du routeur 1.
On va commencer par calculer le coût du lien entre le routeur 1 et 2.
Comme il s’agit d’un lien à 1544 kilobits et que la| bande passante de référence par
défaut est réglé 100,
|Le calcul serait 100 000 000 / 1 544 000.

Ce qui nous donne |un coût de 64 pour le lien entre les 2 routeurs.
Maintenant on va calculer le coût du lien entre le routeur 2 et le réseau 192.168.2.0.
C’est un lien en gigabitEthernet,
|le calcul sera donc : 100 000 000 / 1 000 000 000, |ce qui
fait « 1 ».
Le coût à partir du routeur 1 vers le réseau qui se trouve derrière le routeur2, sera de
64+1, |ce qui donne un total de 65 .
On peut même aller vérifier directement dans la table de routage du routeur 1 |en lui
faisant un « show ip route »
On y voit clairement, la ligne |OSPF, avec une distance administrative à 110, qui dit que
pour joindre le |réseau qui se trouve derrière le routeur 2, il faut passer soit par l’ip
172.16.5.2, ou bien par |l’interface série 0/0/0 du routeur2.
Et que le coût total pour joindre ce réseau |est de 65.

On aurait aussi pu lancer| la commande show ip route 192.168.2.0, pour faire afficher le
coût vers ce réseau.

Siret : 519 157 861 00047
On à vu que OSPF utilise une bande passante de |référence
de 100 Mégas.
Mais si on à des liens supérieurs à 100 mégas, |et bien il est fortement recommandé
de modifier cette valeur.
DÉTAIL DE L’ENTÊTE IP OSPF

|Avant de terminer ce cours, nous allons voir rapidement, ce que contient une en-tête
d’un paquet OSPF.
Dans le champ |de l'entête IP, la valeur |89 sera définie pour indiquer qu’il| s’agit d’un
type de paquet OSPF.
Chacun des cinq types de paquets OSPF commence par le

même format d'entête.
|Il y’a le numéro de version : c’est-à-dire 2 pour OSPF en IPv4 et 3 pour l’IPv6.
|On a le champ Type, qui différencie| les cinq types de paquets OSPF
|Le champ suivant : est la longueur du paquet OSPF en octets
|Le Router ID : définis quel routeur est la source du paquet
|Après on à l’area ID qui définis la zone d'origine du paquet
Siret : 519 157 861 00047
|Le champ Checksum: est utilisé pour la détection d'erreur.
C’est pour s'assurer que le paquet OSPF n'a pas été

endommagé pendant la transmission.
|Les 2 champs qui suivent [champs Authentication type et Authentication] : est une
option de l’OSPF qui permet d’ajouter une authentification du routeur.
|Et le champ Data : contiens les données |d’un des 5 types de paquets :

Siret : 519 157 861 00047
ZONE OSPF
STRUCTURE DE ZONE OSPF

Un grand réseau OSPF est souvent divisé en plusieurs zones.
Car s’il y’a beaucoup de routeurs qui font partit d’une même
zone OSPF, alors il pourrait y avoir plusieurs types de
problèmes.
Comme par exemple une :
• |Plus grosse table de routage : Ce qui provoquerait de fortes latences sur le

routeur.
• |On peut aussi avoir des problèmes sur la LSDB

Car chaque routeur doit conserver une entrée pour chaque réseau d’une même zone,
et même si elle ne figure pas dans la table de routage.
• |Et on peut avoir une forte consommation des ressources CPU :
Car dans un réseau de grande taille, il y’a de nombreux

changements de topologie.
Siret : 519 157 861 00047
Et à chaque changement, les routeurs doivent relancer leurs algorithmes SPF pour
mettre à jour leurs tables de routage.
C’est pour ça que le protocole OSPF |permets de répartir le routage en plusieurs
zones.
La zone principale est appelée| zone fédératrice, il s’agit de la zone 0, et toutes les
autres zones doivent y être reliées.
Le multizone présente donc plusieurs avantages :
• |Tout d’abord, la taille des tables de routage est réduite, car les adresses réseau
sont abrégées entre les zones.
Par exemple, sur la topologie, le routeur R1 abrège les routes de la zone 1 vers la
zone 0, et le routeur 2 s’occupe des routes de la zone 2 vers la zone 0.
Les deux routeurs propagent aussi leurs propres routes

statiques par défaut.
• |Ensuite les mises à jour d’état de liens sont moins surchargées:
car il y’a beaucoup moins de routeurs qui s’échangent |des

messages LSA.
• Et le dernier avantage, c’ est la |Réduction des calculs SPF,
car les changements de topologie ou n’importe quel incident

réseau se propageront uniquement dans la zone.
Par exemple, admettons qu’un lien |tombe entre l’un des routeurs de la zone 2.
Et bien |seuls les routeurs de cette zone, s’échangeront des LSA et renverront
l’algorithme SPF pour ce changement de topologie.

Siret : 519 157 861 00047
Le routeur 1 ne recevra pas les LSA qui viennent de la zone 2
et ne recalculera pas son algorithme.
Le routage OSPF à zones multiples fonctionne selon une hiérarchie de zones à deux
couches :
• |On à la Zone de backbone qu’on peut aussi appelé la zone 0 ou bien la zone
fédératrice.
Elle est définie comme étant le centre auquel toutes les

autres zones sont connectées directement.
• |Et on a les Zones, normales , qui ne sont pas backbone :
Ici, leurs rôles est de mettre en relation les utilisateurs et les

ressources.
Cisco recommande certaines consignes sur le nombre optimal de routeurs :
• |Une zone ne doit pas contenir plus de 50 routeurs.
• |Un routeur ne doit pas être inclus dans plus de trois zones.
• |Et il ne doit pas avoir non plus, + de 60 voisins.

La dernière chose à voir sur les zones OSPF, c’est qu’il en existe 4 types différents :
• |On a les Routeurs internes :

ce sont les routeurs dont toutes les interfaces se situent dans la même zone.
• |On a les Routeurs Backbone, qu’on appel aussi fédérateur ou Area0 :

Ce sont les routeurs qui sont généralement la zone 0
• |Il y’a les Routeurs ABR :

Ce sont des routeurs qui possèdent des interfaces dans différentes zones.
• |Et on a le type de Routeur ASBR pour Autonomous System Boundary Router :

C’est un routeur qui possède au moins une interface associée à un réseau
externe.
C’est-à-dire à un autre système autonome. Par exemple un

réseau non OSPF.

Siret : 519 157 861 00047
DÉPANNAGE OSPFV2 ET OSPFV3
DÉPANNAGE OSPF
La configuration du protocole OSPF sur un routeur Cisco se fait en deux étapes :
• |Tout d’abord, en mode de configuration global, il faut activer le protocole avec

la commande « router OSPF » suivie du numéro de processus.
Ici, sur notre topologie, on prend le numéro 1.
Alors ce processus est entièrement local au routeur.
• |Ensuite, il reste plus qu’à indiquer les réseaux des interfaces du routeur.
Il ne faut surtout pas oublier |que le protocole utilise des masques inversés.

Siret : 519 157 861 00047
Le dépannage de l' OSPF demande une bonne
compréhension du protocole et de son fonctionnement.
Comme pour tout type de dépannage, il faut procéder étape par étape.
|Il faut toujours commencer par vérifier que le routeur a bien établi une adjacence
avec son voisin en utilisant la |commande « show ip ospf neighbors » .
Si il n’ya aucune adjacence entre deux routeurs, alors ils ne

pourront pas s’échanger de routes.
Dans ce cas, il faut vérifier que les interfaces sont opérationnelles et activées pour
OSPF.
Et si elles le sont, et bien il faudrait voir si elles sont configurées dans la même zone
OSPF et qu’elles ne sont pas configurées non plus, comme des interfaces passives.
|Le deuxième composant de dépannage est « la Table de routage ».
Si l’adjacence entre deux routeurs est bonne, mais qu’en faisant |un « show ip route »,
on ne voit aucune route OSPF dans la table de routage, alors il faudrait vérifier qu’il
n’existe pas un autre protocole de routage avec une distance administrative plus
basse et donc prioritaire, qui tournerait sur le réseau.
Car si c’est le cas, les routes OSPF, n’étant pas prioritaires, ne seront pas placées dans
la table de routage.
S’il n’y a que ospf qui tourne, alors il faudrait checker l’ensemble des réseaux qu’il doit
annoncer.
S’il s’agit d’une topologie à zone multiple, il faudrait voir, si les

zones sont bien connectées à la zone de backbone, la zone
0.

Siret : 519 157 861 00047
Car si ce n’est pas le cas, alors, les routeurs dans cette zone ne pourront pas envoyer
et recevoir de mises à jour vers d'autres zones.
|Et la dernière étape d’un dépannage OSPF, est de vérifier les itinéraires qu’il
emprunte.
Si la table de routage comprend bien l’ensemble des réseaux, mais qu’il y’a toujours
un problème, alors il faudrait vérifier le coût OSPF sur les interfaces du chemin qui
pose problème.
Il ne faut pas oublier, que si, il y’a des interfaces supérieures à

100 Mégas, et bien dans ce cas, toutes les interfaces au-
dessus de cette bande passante auront le même cout OSPF
par défaut.
|La commande « show ip ospf interface » permet d’afficher le cout de chaque
interface du routeur.
|On va maintenant voir en détail, la 1re étape de dépannage.
Sur cette topologie, |nous avons un problème de voisinage entre les routeurs 1 et 2.
|La commande « show ip interface brief » permet de vérifier que le statut et le

protocole sont bien "up" pour l'interface Série 0/0/0. Celle qui est connectée au
routeur2.
|Ici, on voit bien que le lien est donc, opérationnel sur la

couche 2.

Siret : 519 157 861 00047
|On va maintenant vérifier la connectivité de la couche 3 entre les routeurs 1 et 2, |en
faisant un ping.
Dans l’exemple, on voit bien que| la connectivité IP entre les 2 périphériques est
bonne.
Si le ping n’avait pas fonctionné, alors il aurait fallu aller voir du côté du câblage
physique des interfaces. Et vérifier aussi qu’il se trouve bien sûr le même sous réseau
IP, avec le bon masque.
Si jusque-là tous est corrects, |on peut aller vérifier les paramètres IP et l’état des
interfaces avec la commande « show ip ospf interface » , à faire sur les deux routeurs.
Avec cette |commande on peut voir que le router id de R1 est 4 fois 1 |et celui du
routeur 2 est 4 fois 2.
Pour continuer notre dépannage sur la bonne relation du voisinage OSPF, |on va
vérifier quelles sont les interfaces qui participent à ses échéances |avec la commande
« show ip protocols », qu’on fait sur les 2 routeurs.

Siret : 519 157 861 00047
Cette commande permet de nous montrer les adresses IP ou les réseaux qui ont été
activés |à l'aide de la commande « network » .
Sur la topologie, |on voit que le protocole OSPF est bien

activé sur les interfaces série des deux routeurs.
Si les paramètres ne sont pas identiques aux 2 bouts, alors l’adjacence ne pourra se
faire.
Cette commande nous affiche aussi, |la liste des interfaces

passives.
Ici on voit que le routeur 1 a son interface série 0/0/0, celle qui pointe vers le routeur
2 , de défini comme passif.
Ce qui explique pourquoi les routeurs ne peuvent pas former leurs relations de
voisinage, car une interface passive bloque les mises à jour de routage.
C’est-à-dire la réception des paquets « HELLO ».

C’est pour ça que les routeurs ne peuvent pas être voisins.
Normalement, il faut plutôt configurer une interface en tant que passif, si elles
pointent vers internet, ou bien si elle est du côté des utilisateurs directs.
Dans ces 2 cas, il n’est pas utile d’envoyer ce type de paquets.
De +, cela peut représenter un risque pour la sécurité !

Maintenant que nous avons ciblé le problème, il reste plus qu’à faire |un « no passive-
interface » sur l’interface série 0/0/0 du routeur 1, pour que le voisinage puisse se
faire correctement, |et que les 2 routeurs puissent s’échanger des messages LSA.

Siret : 519 157 861 00047
VÉRIFIER LA TABLE DE ROUTAGE OSPF
|La prochaine étape de dépannage consiste à vérifier| les tables de routage.
Dans l'exemple, | le routeur 1 ne peut pas atteindre les réseaux que le routeur 2 publie.
Leur relation de voisinage est correcte, mais un ping vers le réseau 192.168.1.0 à partir
du routeur 1 ne fonctionne pas.
|Ce qui laisserait penser qu’il lui manque, peut-être, un

itinéraire dans sa table de routage.
Si plusieurs protocoles de routage sont configurés sur les routeurs, alors c’est la
distance administrative qui décidera de quel protocole, le routeur utilisera.
La distance administrative influence les routes qui seront

installées dans la table de routage.

Siret : 519 157 861 00047
|Si on fait un « show ip protocols », on s’aperçoit qu’il y’a deux protocoles de routage
de configurés sur le routeur 1. Eigrp et OSPF.
|Et si on lance un « show ip route » du réseau qui se trouve derrière le routeur 2,
On voit que cette route a été apprise, via le protocole EIGRP, car il à une distance
administrative de 90, alors que OSPF, sa distance est de 110.
Ce qui explique, pour quoi le routeur 1 installera plutôt la

route EIGRP dans sa table de routage.
Pour rappel, plus la distance administrative est faible, et plus l’itinéraire est de
confiance.
Et pour corriger ce problème, il faudrait supprimer sur le routeur 1, l’utilisation du
protocole EIGRP pour le réseau qui se trouve derrière le routeur 2
DÉPANNAGE DE LA SÉLECTION DU CHEMIN OSPF

|Maintenant, on va voir la dernière étape du dépannage OSPF.
|C’est-à-dire la sélection du chemin.

Siret : 519 157 861 00047
Un mauvais chemin n'entraine pas forcément une perte de connectivité.
Mais dans certains cas, on souhaiterait que les données utilisent un chemin bien
défini.
Par exemple un lien WAN de secours, celui qui est représenté avec les interfaces
série, peut être facturé par la quantité de données qui y est transférée.
Et cela peut être un peu couteux, si les données passent régulièrement sur ce lien.
Lorsque l’on a des chemins redondants dans un réseau, il faut vérifier que le trafic
prend le chemin que l’on souhaite à travers le réseau.
Par exemple, sur cette topologie, il y’a 2 liens entre les deux routeurs.
Un à grande vitesse pour la prod et un à faible vitesse pour secourir le 1er en cas de
problème.
Il faudrait donc s’assurer que la liaison de secours est

empruntée qu’en cas de crash du lien principal.
Cela va se jouer, sur les couts ospf du routeur.
|Si on fait un « show ip route ospf » on s’aperçoit que le trafic traverse les deux liens,
car les interfaces |ont le même cout ospf.
Ce cout on le voit juste après la valeur administrative.

Ici il est de 2 pour les deux liens. Et la valeur administrative est à 110 pour OSPF.
Le réseau derrière le routeur 2, est donc accessible depuis le routeur 1, via l'interface
GigabitEthernet0 / 1 et l'interface Série0/0/0.

Siret : 519 157 861 00047
Parce que les deux interfaces ont le même cout OSPF,
l'équilibrage de charge sera donc utilisé sur les deux liens.
Comme les liens ne sont pas de la même vitesse, la raison qui expliquerait un cout
OSPF identique sur les deux interfaces serait soi :
• Qui l’a été modifié par un admin réseau
• Ou alors que la bande passante de référence est incorrecte.
Pour rappel, le cout OSPF se calcule en divisant la bande

passante de référence, qui est de 100 mégas, par celle de
l’interface.
Par exemple, avec les deux interfaces qu’on a, une de 1000 Mégabits et une de 100
Mégabits, les deux auront le même cout OSPF à 1 si la valeur de référence est réglée à
100.
|La commande « show ip ospf interface » permet vérifié le cout OSPF sur les
interfaces:
Ici le cout est à 1 sur les deux interfaces.
On remarque que sur la commande précédente le cout était

à 2.
Et bien c’est parce qu’il compte le cout jusqu’au réseau derrière le routeur.
Tant dit que là, il s’agit seulement du cout du lien.
Si on souhaite emprunter un chemin plutôt qu’un autre, il faudra modifier ce coût,
|avec la commande « ip ospf cost », à faire en mode de configuration directement sur
les interfaces des deux extrémités.

Siret : 519 157 861 00047
|Si maintenant on refait un « show ip route ospf », on se rend compte que seul |le lien
en gigabitethernet est inscrit dans la table de routage, car le lien série à un cout plus
élevé. Son cout est de 10+1, ce qui donne 11.
DÉPANNAGE DES PROBLÈMES OSPF EN IPV6

|Pour terminer le cours, on va parler de l’OSPF en IPv6.
OSPFv2 est pour l’IPv4 et OSPFv3 est le nom que porte l’OSPF en IPv6.
Sa configuration est très similaire à l’ IPv4 .

La principale différence c’est que l’OSPFv3 est activé directement sur l'interface IPv6
avec la commande « ipv6 ospf » .
Ce qui rend, son dépannage, très similaire à l’OSPFv2.

|La commande « show ipv6 protocols » permet de vérifier les protocoles de routage
IPv6 sur le routeur.
|La commande « show ipv6 ospf neighbors » affiche les voisins que l’OSPF en version 3
découvre.
|La commande « show ipv6 ospf interfaces » permet d’afficher les interfaces actives,
ainsi que leurs coûts.
|Et la commande « show ipv6 route » affiche le contenu de la table de routage IPv6,
qui comprend les itinéraires spécifiques à l’OSPF.
|Voici un tableau, qui représente les petites différences, entre les 2 versions de l’OSPF.

Siret : 519 157 861 00047
Les 2 peuvent coexister sur le même routeur, mais ils seront juste indépendants.
C’est-à-dire, qu’il tourneront dans des processus différents.

|L’OSPFv2 annonce les routes IPv4, tandis que l’OSPFv3 annonce les routes pour IPv6.
|Les messages OSPFv2 proviennent de l'adresse IPv4 de l'interface de sortie.
Dans la V3, ces messages viennent de l'adresse link-local de l'interface de sortie.
|Pour les adresses multicast, la V2 utilise l’ip 224.0.0.5 ; et la V3 utilise FF02::5.
Sur les routeurs qui sont élus en DR ou BDR, l’adresse

multicast en V2 est 224.0.0.6 ; et la V3 utilise FF02::6.
|L’OSPFv2 annonce les réseaux après avoir utilisé la commande « network », tandis
qu’en OSPFv3 la commande est « ipv6 ospf »
|En ipv6, il faut activer le routage obligatoirement avec la commande « ipv6 unicast-
routing » à faire en mode de configuration globale.
|Et pour finir, la V2 utilise l'authentification en clair ou celle en MD5. Alors que la V3
utilise sa propre authentification.

Siret : 519 157 861 00047
DIFFÉRENCE IPV4 ET IPV6
INTRODUCTION À L'IPV6
Dans ce cours, nous allons voir pourquoi avons-nous besoin de l’ipv6 et
quelles sont les différences avec l’IPv4 !
Depuis la naissance d’internet, le protocole IPv4 a toujours été utilisé pour
l’adressage IP !
Le souci, c’est qu’aujourd’hui, nous sommes à court

d’adresse IPv4 !
|Une adresse IPv4 est codée sur 32 bits, ce qui nous donne 4 milliards
d’adresses IP’s !
|Rappelez-vous de nos différentes classes en IPv4.

• Une classe C nous donne des réseaux de 256 IP.
• Une Classe B, fournit plus de 65 000 IP par réseau
• et une classe A, donne plus de 65 mille adresses IP,

à cause du masque de sous réseau par défaut en /8 !

Siret : 519 157 861 00047
Imaginez maintenant qu’une grande entreprise, comme Microsoft ou
Apple, ont un ou plusieurs réseaux de classe A !
Pourraient-elles tous les utiliser ?

Bien sûr que non.
Dans ce cas, on appelle ça, du |gaspillage d’adresse IP !
Pour pallier à cette pénurie, il y’a la technique du |VLSM, qui a pour but
comme sa traduction l’indique, de créer des sous-réseaux de taille
variable.
Ce qui permet d’optimiser l’efficacité de la

distribution des adresses.
|Nous avons également le NAT et le PAT qui permet d’avoir plusieurs
adresses IP privées derrière une seule adresse IP publique.
Malgré ces 2 techniques, cela n’est toujours pas suffisant pour pallier à ce
manque d’adresses IPv4 !
Avec la croissance qu’Internet a connue, il y’a plus de 20 ans, nous avions
besoin de plus d'adresses IP.
Et c’est comme ça que |l’IPv6 est né !

Comparé au 32 bits de l’IPv4, L’IPv6 à des adresses de |128 bits.
Quand on sait que chaque bit supplémentaire double le nombre
d’adresses IP, cela nous donne un |nombre d’adresses IPv6 illimité,
puisque pour saturer le système, il faudrait placer plus de 667 millions de
milliards d'appareils connectés à internet sur chaque millimètre carré de la
surface terrestre !
En gros, avec l’IPv6, il est possible de connecter :
• |la terre,
Siret : 519 157 861 00047
• la lune,
• mars,
• et même le reste de l’univers !

|Les adresses IPv6 sont écrites en hexadécimal.
IPv4 et IPv6 ne sont pas compatibles.

C’est-à-dire que de nombreux protocoles ont dû être mis à jour ou
remplacés, pour pouvoir fonctionner avec L’IPv6 !
|Par exemple, :
• OSPF est passé de la v2 à la v3.
• ICMP, s’appelle maintenant ICMP version 6.
• Et ARP a été remplacé par NDP !
|Rappelez-vous de notre en-tête IPv4.

Siret : 519 157 861 00047
Et bien en IPv6, |elle est beaucoup + simple et
épurée !
• |En bleu, nous avons ce qui a été modifié
• |en rouge, ce qui a été supprimé
• |en vert, ce qui n’a pas changé
• |Et en violet, ce qui est nouveau !

Le principal avantage d’avoir une en-tête beaucoup plus simple, c’est
pour les routeurs ! car ils auront beaucoup moins de travail à faire.
Alors, justement parlons du routage !
|Le protocole RIP s’appelle désormais RIPng.
Le ng signifie next génération !

Siret : 519 157 861 00047
|OSPF passe à la version 3. La version 2 est pour l’IPv4.
|Le protocole BGP, qui est le seul à faire partit des protocoles de routage
externe, devient MP-BGP.
Le mot MP signifie Multi Protocol.

|Et Eigrp devient Eigrpv6 !
FORMAT D’UNE ADRESSE IPV6

|On va maintenant voir le format qu’a d’une adresse IPv6 !
Il y a 8 partis composés de 4 chiffres hexadécimaux chacun !

La saisie d'une adresse IPv6 demande beaucoup de travail.
Imaginez-vous appeler un ami et lui demander s'il peut faire un ping à|
l'adresse IPv6 qui est affichée dans l’exemple !
il faut avouer que vous passerez plus de temps à

épeler l’adresse qu’a lui demander de faire le ping !
Heureusement il est possible de raccourcir les adresses IPv6.
|Par exemple, s’il y’a plusieurs partit composé de zéros, qui ce suivent, on
peut les supprimer et les remplacé par 2 « :: » !
Attention, ce raccourci ne peut être fait qu’une

seule fois par adresse !
Il est encore possible de raccourcir plus, notre adresse !

|Si on à un bloc de 4 zéros, on peut les supprimer et n’en laisser que 1 seul !

Siret : 519 157 861 00047
Et il reste une dernière astuce pour raccourcir notre adresse.
|On peut supprimer tous les zéros au début de chaque partie !
Et voilà à quoi ressemble notre adresse IPv6

raccourcis !

Siret : 519 157 861 00047
TYPES D’ADRESSE ET PRÉFIXE IPV6
LES SOLUTIONS DE CONTOURNEMENT DE

L'ADRESSE IPV4
L’IPv4 permet de fournir environ 4 milliards d'adresses IP.
Alors même si ça peut paraitre énorme, ce n’est pas

suffisant pour suivre la croissance d’internet.
Pour prolonger sa durée de vie, avant de migrer vers l’IPv6, plusieurs
mécanismes ont été créés:
• |On a le CIDR, qui permet d’économiser les adresses IP, grâce à une
meilleure distribution. En + il facilite grandement le routage
• |ensuite, on a le VLSM, qui est une technique pour mieux gérer les
adresses IP, tout comme le CIDR.
En fait, le VLSM, on peut le voir, comme une

extension du CIDR.

Siret : 519 157 861 00047
La différence c’est que le CIDR est plus utilisé au niveau d’internet et le
VLSM est plutôt utilisé à l’intérieur d’un réseau, c’est-à-dire un réseau
local.
En général, il trouve sa place, sur les petits segments réseau, comme les
liaisons point à point !
• |Et on le NAT, qui permet à tout équipement d’un réseau privé,donc

non routable, d’accéder à internet en utilisant une seule adresse IP
publique.
Et comme ça, des milliers de systèmes peuvent se

cacher derrière quelques IP’s publics.
|Ses 3 solutions ne font que retarder l’épuisement des adresses IPv4.
Mais ça n’empêchera pas que l’IPv6 remplacera un

jour complètement l’IPv4 !
D’ailleurs, de nombreuses entreprises ont déjà commencé cette migration.
Par exemple les fournisseurs d’accès à internet.
Si vous regardez sur votre box , à la maison, vous devriez avoir une option
pour activer l’IPV6, si elle n’est pas activée par défaut !
CARACTÉRISTIQUES IPV6
|Une adresse IPv4 est codée sur 32 bits, ce qui correspond |à un peu plus
de 4 milliards d’adresses IP.
|Et une adresse IPv6 est sur 128 bits.
C’est tellement énorme, |que ça équivaut à un nombre illimité puisque
pour saturer le système, il faudrait placer plus de 667 millions de milliards
d'appareils connectés à internet, sur chaque millimètre carré de la terre…
Cette fois-ci, l’ipv6 aura du mal à être épuisé… À

moins de coloniser une nouvelle planète ! par
exemple Mars 😊
AVANTAGES IPV6
L’IPv6 à plusieurs fonctionnalités qui le rendent très intéressant :
Siret : 519 157 861 00047
Parmi ces nombreux avantages on à :
• |Bien évidemment, et c’est pour ça qu’il a été créé, un espace

d' adressage beaucoup plus grand:
Rien que ça, ça améliore pas mal de choses. : |Comme une meilleure
accessibilité et flexibilité.
• |Une meilleure agrégation des préfixes IP, qui sont annoncés dans
les tables de routage. Ce qui permet de limiter leurs nombres.
Les routeurs seront donc plus efficaces et + évolutifs !
• |Ça permet de faire du Multihoming, qui donne la possibilité d’être

connectés à plusieurs fournisseurs d'accès à Internet, dans le but
d'améliorer la connexion.
• |Elle offre la possibilité de faire de l’autoconfiguration.
• |L’Option "plug-and-play" est plus étendue
• |Et elle dispose de mécanismes simplifiés, qui permettent d’abréger

les adresses IPv6.
Car on ne va pas se le cacher, elles sont comme

très longue ces adresses !
• |Comme autres avantages, en IPv6, c’est que les entêtes
sont simplifiés : ce qui rend le traitement des paquets IP plus rapide
et plus efficace pour les routeurs.
• |On y gagne aussi, en sécurité et en mobilité, ce qu’on n’avait pas en

IPv4…
Par exemple l’ IPsec est obligatoire dans l’IPv6, ce qui rend internet
beaucoup plus sécurisé.
L’IPsec permet d’assurer des communications

privées et protégées sur des réseaux IP. Pour ça, il
utilise des algorithmes qui permettent de
transporter les données en toute sécurité !
• |Le dernier avantage, qu’on pourrait lui trouver, c’est sa souplesse de
Transition de l’IPv4 vers IPv6.
C’est-à-dire la facilité de migrer de l’ipv4 en IPv6,

tout en douceur.
Siret : 519 157 861 00047
Pour ça, il existe plusieurs protocoles, et aussi une solution qui s’appelle le
|dual-stack qui permet une migration vers l’ipv6, très facilement, tout en
étant compatible à 100% avec l’ipv4.
ADRESSES IPV6
|Les adresses IPv6 sont représentées sous la forme d'une série de
huit champs hexadécimaux de 16 bits séparés par deux petits points,
comme vous pouvez le voir ici.
Ce qui est beaucoup plus long qu’en IPv4

Heureusement il y’a plusieurs mécanismes qui permettent de raccourcir
ces adresses…
|Par exemple, les premiers zéros d’un champ sont facultatifs.
« 010F » peut être s’écrire « 10F », et un champ qui contient quatre 0, peut
être écrit qu’avec un seul « 0 » !
|Voici l’adresse simplifiée avec ce mécanisme !
|Et ce n’est pas fini, il est aussi possible, de regrouper une série de « 0 »
par deux petits points.
Alors ce procéder ne peut être fait qu’une seule fois

dans l’adresse !
|Et voici, notre adresse IPv6, raccourcis !
C’est tout de même beaucoup mieux lisible ?
TYPES D’ADRESSES IPV6

L’IPv6 prend en charge trois types d'adresses, en fonction de son
utilisation.
Siret : 519 157 861 00047
• |On a les adresses Unicast, |qui sont utilisées pour les connexions
point à point.
• |On a le Multicast: qui identifie un groupe d'interfaces. |Le trafic

d’une adresse multicast est destiné à plusieurs destinations en
même temps.
• |Et on a le type Anycast, qui sont des |adresses virtuelles qui pointent
vers une ou plusieurs adresses physiques
|Contrairement à l’IPv4, les broadcast, qui envoie du trafic |à tous les

périphériques du même réseau, |n’existent plus en IPv6 ! elle a été
remplacée par une adresse multicast, spécifique à une application !
IPV6 : PARAMÈTRES ET PRÉFIXES

|On a vu qu’une adresse IPv6 est longue de |128 bits, et se compose de huit
champs de |16 bits, chacun, qui sont délimités par deux-points (:).
Chaque champ contient un nombre au format

hexadécimal.

Siret : 519 157 861 00047
Dans cet exemple, pour cette adresse, |les trois premiers champs
contiennent le préfixe du site. C’est-à-dire le réseau qui est donné pour
l’entreprise par le fournisseur !
|Le champ suivant est l'ID de sous-réseau, c’est ce qui est défini par
l’admin réseau. Il s’agit de la topologie privée, c’est ce qui est interne au
site.
|Et les quatre champs les plus à droite,est l'ID d'interface qui est :
• soit configuré automatiquement à partir de l'adresse MAC de

l'interface,
• ou soit configurée manuellement |au format EUI-64

que nous détaillerons plus en détail dans la suite du cours.
Pour + de clarté, |on peut abréger notre adresse!
|0cd7, devient cd7. On lui a enlevé le 1er zéro.

|0018 devient 18.

Siret : 519 157 861 00047
Et la série de 0 |dans les deux champs ont été remplacée par deux petits
points.
Le préfixe de notre adresse, c’est-à-dire les 3

premiers champs, est utilisé pour le routage de
paquets. Il s’agit de l’adresse réseau !
|Un préfixe IPv6 s’écrit de cette façon :
Comme en IPv4, |la notation CIDR est utilisée.
C’est-à-dire avec un slash à la fin de l'adresse, suivi

de la longueur du préfixe en bits.
Le préfixe de site de notre adresse fait |48 bits, il s’agit des 3 premiers
champs.
Ceux qui sont situés, les plus à gauche.

|L’adresse réseau en IPv6 peut donc s’écrire de cette façon, avec la
notation CIDR.
Et pour une meilleure visibilité, |on peut compresser les zéros pour les
remplacer par deux petits points !
Maintenant si on veut inclure, en plus, | le sous-réseau interne qui fait 16

bits, et bien le préfixe de |sous-réseau s’écrirait de cette façon :
Les 64 bits du préfixe de sous-réseau se décomposent| :

Siret : 519 157 861 00047
• de 48 bits pour le préfixe de site
• et de 16 bits pour l'ID de sous réseau.

Siret : 519 157 861 00047
TYPE D’ADRESSE IPV6 ET EUI-64
MASQUE DE SOUS RÉSEAU IPV6
Les adresses IPv6 ont aussi un masque de sous-réseau, mais au lieu de

taper quelque chose comme 3 fois 255.0, on utilise une longueur de
préfixe.
C'est à peu près la même chose qu’en IPv4.

Le nombre derrière le / correspond au nombre de bits que nous utiliserons
pour le préfixe.
Dans notre exemple, cela signifie que les |64 premiers bits sont sont la
partie réseau, et tout ce qui ce qui se |trouve derrière peut être utilisé pour
des hôtes.

Siret : 519 157 861 00047
Cette adresse peut-être |raccourcie comme ceci :
Bon alors tout ça, c’est bien et facile, mais comment ça se passe, |si on à
cette adresse :
Avec un masque en |/57 …

Tout d’abord, il faut déterminer dans quel parti est notre 57e bit !
En partant de la gauche et en comptant, |La partie en rouge contient les
bits de 49 à 64 !
Maintenant pour savoir où exactement, il faut |convertir l’hexa 2121 en

binaire !
Notre 57e bit marque |la séparation entre la partit réseau et la partit Hôte.
Comme pour l’IPv4, il faut passer |tous les bits, à droite de la séparation, à
«0»

Siret : 519 157 861 00047
|Et ensuite, recalculer en hexa
Il nous reste plus, qu’a remplacé cette partie sur notre adresse IPv6 et
passé le reste des bits de droite à « 0 » |pour trouver notre adresse réseau
Cette adresse réseau étant un peu longue, on peut la| raccourcir comme
ceci :
Vous l’aurez remarqué, en IPv6, il faut un peu plus se salir les mains dans le
binaire !
Il nous faudra un certain temps pour s'habituer à

l'adressage IPv6 et à la recherche des préfixes, mais
plus on le fera, et plus ça deviendra facile.
TYPES D’ADRESSES IPV6

|Pour résumer, une adresse IPv4 fait 32 bits, et comporte des masques de
sous réseau allant de 0 à 32.
Pour de l’IPv6, on est sur du 128 bits, et les masques de sous-réseaux vont
de 0 à 128.
Comme pour l’IPv4 , |il y a, une partie pour l’adresse réseau qu’on
surnomme le Prefixe, et |une partie pour les hôtes, qu’on appelle la parti
Host !
|Et voici quelques exemples d’adresse IPv6 avec différent masque
|Une adresse IPv6 prend en charge 3 types d’adresses :
• Unicast
• Multicast
• et Anycast.

Siret : 519 157 861 00047
Il n’ya plus de notions de broadcast, car elle a été
remplacée par une multicast spécifique !
Côté multicast, nous avons |les multicast assignés qui commencent tous
par FF00 et |les autres mutlicast sont utilisées dans la découverte de
voisinage !
En Unicast, nous avons :
• |Les routes non spécifiées,
• |On a la route par défaut
• |L’adresse de bouclage
• |L’adresse locale, qui est l’adresse obligatoire et indispensable au

bon fonctionnement du protocole !
• |La globale Unicast. Qui correspond à l’adresse publique.
• |Et l’adresse locale unique.
Qui est l’adresse privée, générer aléatoirement !

C’est ce qu’on va voir tout de suite !
EUI-64 ( EXTENDED UNIQUE IDENTIFIER )

|Une adresse IPv6 attribuée à une interface est constituée :
• d'un |préfixe de 64 bits
• et d'un |identifiant d'interface de 64 bits aussi.

|Cet identifiant peut être créé de différentes manières :

Siret : 519 157 861 00047
• |Soit statiquement, c’est-à-dire qu’on lui affecte manuellement une
adresse.
• |Soit par autoconfiguration, en utilisant la méthode par défaut EUI-

64 qui est basé sur la mac adresse de la carte réseau !
• |Ou bien dynamiquement, à l’aide du protocole DHCP en version 6

pour l’IPv6 !
On va voir comment est générée automatiquement une adresse IPv6
d’interface avec la méthode EUI-64 !
|Pour exemple, on va prendre un PC, et on va calculer son adresse EUI64,

en fonction de sa mac adresse
En IPv6, n’importe quel équipement possède deux adresses :
• |Une adresse locale pour la partie LAN
• et une |adresse globale pour surfer sur le Net !

|Pour commencer, on va couper notre adresse MAC en 2
|Ensuite on va ajouter FF :FE au milieu de notre MAC adresse !
Pour rappel, |en vert est représentée la « OUI » qui correspond à

Siret : 519 157 861 00047
l’identifiant unique du fournisseur de la carte réseau
|Et en bleu, on la « NIC » qui correspond à l’adresse de la carte réseau.
Pour continuer notre conversion, |on va prendre la partit de l’adresse qui
contiens le 7e bit de notre ID d’interface !
|On va le convertir en binaire pour bien cibler ce 7e bit.
|Et on va l’inverser !
Si c’est « 0 », on le passe à « 1 »
et si c’est « 1 » on le passe à « 0 »
|Ensuite on repasse en hexal !
|Ce qui nous donne, la partie de notre ID d’interface générer par la

méthode EUI-64 !
Siret : 519 157 861 00047
Côté configuration, admettons que notre PC est raccordé à un routeur.
|Le faite d’activer le protocole IPv6 sur l’interface du routeur avec la
commande « ipv6 enable », va automatiquement |générer notre adresse
IPv6 local avec EUI-64.
|Et coté de notre adresse globale, toujours sur l’interface, on va lui indiquer
simplement le réseau auquel il doit appartenir avec la commande « ipv6
adress » suivie de la méthode EUI-64 pour lui laisser choisir l’adresse en
fonction de la mac adresse de l’interface du PC.
|Et on aura notre adresse globale !
Et le dernier dernier point important à voir est que lorsque l’on configure
IPv6 sur un routeur, par défaut, le routeur ne transmet aucun paquet IPv6
et donc ne créez pas non plus de table de routage.
|Pour l’activer, il faut lancer la commande « ipv6 unicast-routing » en
mode de configuration global !

Siret : 519 157 861 00047
MÉTHODE EUI64
TYPE D’ADRESSE IPV6
Les adresses Unicast sont associées à des interfaces réseau, tout comme
en IPv4 !
La nouveauté, c’est que plusieurs interfaces peuvent avoir la même
adresse unicast, pour faire du partage de charge.
Généralement, |une adresse Unicast se compose de |64 bits pour l'ID

réseau et |64 bits pour l'ID de l’hôte.
L'ID réseau, est en quelque sorte déjà affecté.

Siret : 519 157 861 00047
Par contre, l'ID de l'hôte peut être configuré manuellement ou en
autoconfiguration.
Parmi les adresses Unicast, nous avons :
• |Les adresses globales, qui ont la même fonction que les adresses
publiques en IPv4. Elles sont routables sur internet.
• |On a les Adresses locales uniques qui peuvent être routées

seulement dans un LAN.
Elles ont la même fonction que les adresses IP

privées de l’IPv4.
• |Il y’a les adresses de lien local, qui elles, ne sont pas routables.
Elles permettent à des équipements de communiquer entre eux,
sans avoir besoin d’aller vers l’extérieur.
L’avantage de ces adresses, c’ est qu’elles se configurent
automatiquement.
Par exemple, si l’on a deux routeurs connectés ensemble, et bien, pour

qu’ils puissent communiquer entre eux, il suffit simplement de taper |la
commande « ipv6 enable » directement sur les interfaces du lien entre les
routeurs
• |Et on à aussi, les adresses de loopback, les routes par défaut et une
plage d’adresse non spécifiée!
• |Comme en IPv4, les adresses multicast de l’IPv6 permettent de

joindre un groupe d’hôtes.
• |Et on termine avec les adresses de type Anycast, qui sont une petite
nouveauté de l’IPv6 !

Siret : 519 157 861 00047
Ce sont des adresses, qui pointent vers un groupe
d’hôte, comme pour les multicast, sauf que seul le
premier hôte joignable recevra les données.
MODE D’AFFECTATION D’ADRESSES IPV6

|En IPv4, à part la méthode statique, l’affectation automatique d’adresse IP
se fait par le protocole DHCP.
En IPv6 il y’a plusieurs manières :
• |soit en Configuration statique.
• |Soit en DHCP « avec état », qui est exactement le même principe

que le DHCP en IPv4
• |soit en DHCP « sans état »: ou il se limite à fournir seulement les

options. Comme l’adresse du DNS.
Ici, l’adresse Ipv6, et sa passerelle par défaut devront être annoncées
par le routeur.
• |Et on a le mode d’autoconfiguration: ou il n’y a plus de serveur

DHCP, c’est le routeur qui donne toutes les infos, hors mis les
options !
|Dans les deux dernières méthodes, Le PC, ou n’importe quel hôte qui aura
besoin d’une IP recevra au maximum les 64 premiers bits de l’adresse.
C’est-à-dire la partit réseau !

Il devra trouver le reste de 2 différentes façons :
• |Soit, il génère aléatoirement, les 64 derniers bits de son adresse.
• |Ou bien, la Génération de l’adresse se fait sous le format EUI-64, en

fonction de sa propre Mac-adresse.
Ce qui lui permet de s’assurer d’être le seul à avoir

cette adresse !
EUI-64 = EXTENDED UNIQUE IDENTIFIER –

64 BITS

Siret : 519 157 861 00047
|Le format EUI-64 est une façon de former des adresses IPv6 de type
unicast.
C’est une méthode unique, car pour se former, elle se base, sur l'adresse
MAC de la carte réseau qui est utilisée !
Alors, pour rappel, les adresses MAC sont des

identifiants qui sont uniques pour chaque carte
réseau.
Ça permet à un PC de pouvoir s'attribuer à lui-même une adresse IPv6
unique.
Ce qui est un bel avantage, par rapport à l’IPV4, ou le PC, devait aller
chercher un serveur DHCP, pour qu’ils puissent en obtenir une !
On va voir le processus complet de la formule EUI64.
|À gauche, nous avons notre préfixe réseau.

Et |à droite, un PC, qui souhaite obtenir une adresse automatiquement
avec la méthode EUI64.
Pour commencer, il faut |combiner le préfixe réseau avec |l’adresse MAC,
mais en ajoutant | « FFFE » au milieu de l’adresse MAC !
On ajoute ses 4 lettres, |car une adresse MAC fait 48 bits, |et on a besoin de
64 bits pour compléter notre adresse réseau !
Ensuite, il va falloir inverser le 7e bit, du 1er octet de

notre ID d’interface !

Siret : 519 157 861 00047
• |Le 1er octet est 00,
• |on le bascule en binaire,
• |et on inverse le 7e bit.
Dans l’exemple c’est 0, donc il passe à « 1 ».

• |Pour finir, on revient en décimale |et nous avons notre adresse IPv6
de notre PC !
C’est une adresse qu’on repère d’ailleurs très facilement avec le champ
« FF-FE » sur le 4e et 5e octet de l’ID d’interface !
|Et pour terminer le cours, on va raccourcir l’adresse IPv6 du PC, en
enlevant les « 0 » !

Siret : 519 157 861 00047
EN-TÊTE IPV6, ICMPV6 ET NDP
COMPARAISON DES EN-TÊTES IPV4 ET

IPV6
Une en-tête IPv6 est plus grosse en taille qu’en IPv4, car les adresses de la
version 6 sont bien plus longues !
Par contre, elle a bien été épurée, car elle contient

beaucoup moins de champs !
|Voici une en-tête IPv4.

Siret : 519 157 861 00047
Elle contient, en tout, 14 champs.
Le champ « Options » tout en bas est facultatif, et le champ padding, juste
à côté, permet de combler le champ option, pour que l’en-tête fasse bien
32 bits en tout.
Comme vous pouvez le voir, |l’en-tête IPv4 fait 20

octets.
Les 7 champs qui sont représentés en rouge n’existent plus en IPv6.
|Le champ qui correspond à la Longueur de l'en-tête a été supprimé, car
l'entête IPv4 à une longueur variable, tandis qu’en IPv6, elle est fixée 40
octets, et n’est pas variable.
|Les champs qui servent à la Framentation n’existent plus non plus, car en
ipv6 ,les routeurs ne traitent plus la fragmentation.
Ce sont les hôtes qui ont cette responsabilité !
C’est eux qui se chargent de la fragmentation, si la

taille maximum du paquet a été dépassée !
|Le champ «Checksum » qui permet de détecter les erreurs de transfert est
supprimé, car en IPv6, c’est la couche « liaison de données » qui effectue
cette vérification.
|Et les champs « Options » et « padding » ne servent plus en IPv6 !
Quant aux autres champs, ils sont quasiment

inchangés en IPv6.
Siret : 519 157 861 00047
|Et voici la représentation d’une en-tête IPv6 !
|Ici, on voit qu’elle tient sur 40 octets, au lieu de 20 pour l’IPv4 !
Alors on pourrait se demander, comment ça se fait

qu’il y’a moins de champs ,et qu’elle est 2x fois plus
grande ?
Et bien c’est à cause des adresses IPv6 dans les champs source et
destination, qui sont 4 x plus grands qu’en ipv4, car ils sont écrits en 128
bits au lieu de 32.
L’en-tête IPv6 contient huit champs :
• |Le champ Version: est simplement la version du protocole. 6 pour

l’IPv6, et 4 pour l’IPv4.
• |Le champ Traffic Class: est similaire |au champ ToS de l’IPv4. Il
permet de marquer une priorité sur les paquets sortants.
• |Le nouveau champ Flow Label: est utilisé pour marquer les flux
avec des valeurs différentes, afin de pouvoir les différencier sur le
Siret : 519 157 861 00047
réseau !
Très utile pour les routeurs, quand ils |doivent traiter de la QOS !
• |Le champ Payload : corresponds au |champ «Total Length » de

l’IPv4.
• |Le Next Header: permets d’identifier l’en-tête suivante.
• |Le Hop Limit: indique le nombre maximum de sauts, qu'un paquet

IP puisse faire.
Ça commence à 255 et à chaque fois que le paquet traverse un routeur, et
bien ce chiffre est décrémenté.
Ce qui veut dire qu’un paquet IPv6 peut faire un maximum de 254 sauts
avant qu'il ne soit supprimé.
Ça permet d’éviter que les paquets circulent indéfiniment, s’il y a une
erreur de routage.
• |Et le champ « Source Adresse »: identifie la source du paquet.
• |Et « Destination Adresse »: pour la destination du paquet.
ICMPV6
|Voyons maintenant en détail la composition d’un paquet ICMPv6 !

Siret : 519 157 861 00047
Il fait la même chose qu’en IPv4, c’est-à-dire qu’il permet aussi de faire des
tests de diagnostic et de signaler des problèmes, mais avec des
fonctionnalités en + !
• |Le champ « Type » identifie le type de message ICMP .
• |Le champ « Code » donne des détails sur le type de message.
• |Le champ « checksum » représente la validité du paquet à la couche

3
• |Et le champ « Data » contient les infos de diagnostics, qui sont

envoyées au récepteur.
Pour informer au récepteur qu’il s’agit d’un paquet

ICMPv6, | le champ next header de l’en-tête, aura
une valeur réglée sur « 56 »
NCP = NEIGHBOR DISCOVERY PROTOCOL

On va maintenant parler du protocole NDP !
C’est un protocole utilisé en IPv6, qui travaille à la couche 3 et qui permet
de découvrir ces voisins de proximité. C’est-à-dire du même lien !
Le NDP de l’IPv6 fournit des services très similaires à ARP en IPv4, avec en
+, quelques améliorations, comme la possibilité de détecter des systèmes
inaccessibles.
|Il fonctionne avec cinq types de paquets ICMPv6 :
1. |Le message de sollicitation permet à un hôte de demander à tous
les routeurs présents de lui envoyer une annonce, afin qu'il
l'enregistre dans sa liste de voisins.
2. |Le message d’annonce, permets au routeur d'avertir sa présence, à
tous les nœuds qui sont connectés à lui. C’est un paquet qui répond
périodiquement au message de sollicitation.
3. |Le message de sollicitation du voisin, à 3 fonctions.
a. -Il permet tout d'abord à un nœud de déterminer l’IP de son
destinataire. Cette fonction est identique au protocole ARP de
l’IPv4.
b. -Il permet aussi de vérifier si l'équipement est bien accessible.

Siret : 519 157 861 00047
c. Et enfin, pendant l'autoconfiguration de l'adresse IP, il va
pouvoir aller vérifier si elle n’est utilisée par ses voisins !
4. |Le message d’annonce du voisin est utilisé pour répondre au
message précédent. Les sollicitations du voisin.
5. |Et le message du type 137 permet aux routeurs de signaler aux
hôtes qu'un meilleur chemin existe pour une destination.
AUTOCONFIGURATION SANS ÉTAT

« STATELESS » (SLAAC)
Pour terminer ce cours, on va parler de l'autoconfiguration sans état, qui
est l’une des grandes nouveautés de l'IPv6.
Elle permet à chaque équipement présent sur le réseau de s’attribuer
automatiquement une adresse IPv6, à partir des informations que donne
le routeur |dans ces messages d’annonce !
Pour ça, il va récupérer le préfixe de l’adresse IPv6, obtenu ces, pour la
combiner avec l’adresse MAC de sa propre interface, avec la |méthode
EUI-64.
C’est-à-dire qu’il va ajouter « FF:FE » au milieu de sa

Mac adresse.
|La commande « ipv6 address autoconfig » permet une autoconfiguration
sans état sur les interfaces de routeurs.

Siret : 519 157 861 00047
Et si on ajoute l’option | [default] , le routeur se désignera comme la
passerelle par défaut pour ce lien !

Siret : 519 157 861 00047
NDP SLAAC ET DHCPV6
IPV6
L’IPv6 et L’IPv4 sont très similaires, car nous avons toujours besoin :
• -d’une adresse unique par hôte
• -d’une passerelle par défaut
• -et d’un serveur DNS.

La configuration automatique, qu’on peut voir comme un serveur «mini-
DHCP», est quelque chose de nouveau en IPv6 et certains protocoles ont
été supprimés ou modifier.
Grâce à l’IPv6, nos équipements réseau ont

beaucoup plus de pouvoir qu’en IPv4.
L’IPv6 a été penser de manière à ce que tout se fasse automatiquement
sans l’aide d’un administrateur !
|L’IPv4 part à la découverte des équipements présents sur son réseau
grâce au protocole ARP et au Broadcast.
|Et l’IPv6 utilise les protocoles :
• NDP,

Siret : 519 157 861 00047
• ICMPv6
• et le Multicast
pour découvrir le réseau.
|Le protocole NDP possède 4 fonctions :
• |Il y’a la sollicitation du routeur. :

Dès qu’un équipement se connecte au réseau, il va dans un premier temps
essayer de trouver un routeur, une Gateway, ou une sortie pour joindre le
monde extérieur.
C’est un paquet en multicast, qui est envoyé à tous

les routeurs !
• |À la suite de ça, on à l’annonce du routeur :

Notre routeur va répondre à cette demande| en envoyant son adresse
locale !
Et on a les mêmes fonctions |pour les voisins !

Siret : 519 157 861 00047
Ça fonctionne de manière similaire à la requête ARP.
|Le PC va envoyer une requête, demandant l’adresse MAC de tel IP !

|Et l’équipement qui se reconnait lui répondra en envoyant sa MAC-
adresse !
Le protocole NDP est donc utilisé pour un certain nombre de tâches:

Siret : 519 157 861 00047
• |Il permet de connaître tous les routeurs IPv6 disponibles dans le
sous-réseau.
• |Il découvre les adresses MAC des hôtes avec lesquels il souhaite
communiquer.
• |Il permet d’éviter les doublons d’adresse IP, en attendant un laps de

temps, pour être sûr qu'aucun autre appareil n'utilise la même
adresse. Ce processus s'appelle DAD.
• |Et il permet de connaitre l’adresse IPv6 ainsi que la plage du réseau,

que l’hôte devra utiliser !
Nous allons maintenant parler du DHCP en IPv6.
Alors pour rappel, chaque Poste client et chaque interface de nos
équipements actifs vont avoir 2 types d’adresse IPv6 :
• |-Une adresse Global Unicast, qui est routable
• |-Et une adresse unique locale, qui elle, est non routable.
Les routeurs Cisco utilisent la méthode |EUI-64

pour créer l'ID d'interface.
Mais certains systèmes d'exploitation utiliseront une valeur aléatoire.
|Grâce à la fonction SLAAC du protocole NDP, l'hôte aura une adresse IPv6
et une passerelle par défaut, mais il manque un ingrédient…
Il s’agit du serveur DNS.

Cette fonction ne peut pas nous aider à trouver un serveur DNS.
C’est pour ça que nous avons toujours besoin du DHCP !
|Le DHCPv6 pour l’IPv6 se présente sous |deux formes:
• Stateful
• et Stateless
Siret : 519 157 861 00047
La forme Stateless permet de donner la seule information qui manque à la
fonction SLAAC du protocole NDP.
C’est-à-dire les adresses IP des serveurs DNS !

Dans un réseau LAN, le plus simple, reste donc de mettre en place
|l’autoconfiguration avec :
• -un serveur DHCP Stateless.
• -le protocole NDP
• -et la fonction SLAAC !
|Le DHCPv6 statefull, fonctionne de manière similaire à la version 4.

Nous l'utilisons toujours pour donner des adresses, des passerelles par
défaut, des serveurs DNS et quelques autres options aux clients.
Mais l'une des principales différences réside dans

les messages qui sont utilisés.
|En IPv4, le DHCP utilise les messages : Discover, Offer, Request et ACK.
|Et en IPv6 il utilise des messages : Solicit, Advertise, Request et Reply

Siret : 519 157 861 00047
|Le message « solicit » est similaire au message « discover ».
L’hôte utilisera ce type de message lorsqu'il recherchera l'adresse IP du
serveur DHCPv6.
|Le message « advertise » est utilisé pour donner à l'hôte :
• Une adresse IPv6.
• Une passerelle par défaut
• Et un serveur DNS.
|Le message « request » permet à l'hôte de demander s'il est autorisé à
utiliser ces informations !
|Et une réponse est envoyée par le serveur pour donner sa confirmation !

Siret : 519 157 861 00047
ROUTAGE STATIQUE IPV6
IPV6 : ROUTAGE
Pour prendre en charge l’IPv6, tous les protocoles de routage de l’IPv4 ont
dû faire quelques changements.
Par exemple, ils doivent supporter des adresses et

préfixe plus long...
Ils conservent tout de même pas mal de fonctionnalité qu’avant.
Par exemple, le protocole de routage RIP en IPv6 est toujours un
protocole à vecteur de distance, qui utilise le nombre de sauts comme
métrique, pour un maximum de 15 sauts.
OSPF de l’IPv6 est encore un protocole d'état de lien, qui utilise l’état de la
bande passante pour calculer la métrique.
Comme en IPv4, il est possible d’utiliser et

configurer du routage statique en IPv6.
C’est presque identique à celle de l'IPv4. En tout cas, le principe est le
même !
En IPv4, le prochain saut peut être soit :
Siret : 519 157 861 00047
• une adresse IP
• ou soit l’interface de sortie.

Et bien en IPv6, c’est pareil, sauf qu’il y’a une nouvelle façon de désigner le
prochain saut !
|Cet exemple montre comment configurer une route statique IPv6 de 3
façons différentes:
• |La première route statique montre que l'itinéraire est configuré par
une interface de sortit. L’interface Fast Ethernet 0/1
• |La seconde rajoute en option l'adresse du lien local pour le prochain

saut, dans l’exemple, il s’agit du préfixe fe80. C’est celle-ci la petite
nouveauté.
• |Et la troisième pointe directement vers une IPv6 globale.
|On va maintenant voir la configuration du routage statique sur les deux

routeurs !
Sur cette topologie, nous avons le réseau 2001 :DB7 :A21, sur la gauche, et
à droite, le réseau 2001 :DB7 :AC20, dans lequel il y’a un serveur !
|Pour le routeur2, il y’a une route statique, qui dit que pour joindre le
réseau complètement à gauche, il faut envoyé les données, vers l’IP de
l’interface Gi0/0 du routeur 1 !

Siret : 519 157 861 00047
|Sur le routeur1, c’est un peu différent, car c’est une route par défaut qui
est configurée.
|La commande «ipv6 route » permet de configurer une route statique ipv6.
|Le ::/0, signifie tous les réseaux.
Ça correspond aux 4 fois « 0 » de l’ipv4

|Et ensuite, on lui dit, d’envoyer tous les paquets vers l’IP de l’interface
Gi0/1 du routeur 2.
Passons maintenant à la vérification des routes statiques.
|La commande « show ipv6 route » permet d’afficher les routes IPv6 qui
sont configurées sur le routeur !
Ici, on voit que le réseau 2001 :DB7 :A21 ::/48 est joignable par l’interface
Gi0/0 du routeur 1 qui porte l’IP 2001 :DB8 :D1B2 :C800 ::1
|Et sur le routeur 1, on peut voir la configuration de la route statique, qui

est représenté par : « ::/0 ».
Et elle pointe, vers l’interface Gi0/1 du routeur2 qui porte l’IP
2001 :DB8 :D1B2 :C800 ::2.

Siret : 519 157 861 00047
|Si on fait un ping, à partir du routeur1 vers le serveur à l’autre bout, on voit
que la route par défaut fonctionne bien.

Siret : 519 157 861 00047
ROUTE STATIQUE OSPFV3 ET EIGRPV6
IPV6_ROUTE STATIQUE OSPFV3 ET

EIGRPV6
Dans ce cours, nous allons voir comment utiliser des routes statiques, du
routage OSPF et EIGRP pour remplir nos tables de routage, et tout ça en
IPv6 !
Comme L’IPv4, un routeur configuré en IPv6 va créer une table de routage
et y ajouter les réseaux. Voyons sa configuration :
|Notre routeur 1 a deux interfaces avec une adresse unicast globale.
Par défaut, il ne prend pas en compte le protocole

IPv6.
C’est pourquoi il faut l’activer avec la commande | « ipv6 unicast-routing »
Siret : 519 157 861 00047
Et on leur attribue des adresses IPv6 sur leurs interfaces, avec la
commande « ipv6 address »
|Pour configurer une route statique, c’est la même méthodologie qu’en

IPv4.
Sur le routeur1, on lui dit que pour joindre le réseau jaune il faut passer par
l’IP en .2 du réseau vert
Et sur le routeur 2, le réseau bleu est joignable par la .1 du réseau jaune !
|La route par défaut en IPv4 est 4 fois 0.

Et bien en IPv6 c’est 2 fois « : » / 0
Comme vous pouvez le voir, le routage statique est

assez rapide à mettre en place !
Mais comme en IPv4, dès qu’on à un réseau plus volumineux, mieux vaut
utiliser un protocole de routage dynamique !
C’est ce qu’on va voir avec |OSPF !

La version d'OSPF que l’on a vue pour L’IPv4 s'appelle officiellement
|OSPFv2, et pour prendre en charge L’IPv6, la nouvelle version est la V3.
Siret : 519 157 861 00047
Cette nouvelle version ne prend en charge que
l’IPv6.
C’est-à-dire qu’il est impossible de faire tourner l’IPv4 et l’IPv6 en même
temps
Pour cela, il faudrait configurer la V2 et la V3 !
OSPFv3 n'a pas beaucoup changé, c'est toujours un protocole de routage
à état de liens qui construit| sa base « LSDB » à l'aide de LSA.
La plus grande différence entre les deux est la configuration, qui est
devenue plus facile, car il n'y a plus de commandes « network » à taper
|On va maintenant voir comment configurer OSPFv3 sur la même
topologie que pour les routes statiques, et cette fois-ci avec les IP’s déjà
configurer et l’IPv6 unicast routing d’activé !
La commande « ipv6 router ospf » permet d’activer OSPFv3 en globalité.

Ici on choisit comme ID de processus le Numéro 1.
Ce qui est amusant ici, c’est que nous devons

configurer nous-mêmes un Identifiant routeur, et
que cet identifiant est au format «IPv4»
Et si on ne le configure pas, et bien OSPF ne fonctionnera pas !
Cela est peut-être dû à la nostalgie de l’IPv4…
|Et pour finir, il reste plus qu’à dire aux interfaces d’activer OSPFv3 avec la
commande « ipv6 ospf » !
Comme vous le voyez, nul besoin, de rentrer les

réseaux !
Passons maintenant au protocole| EIGRP pour l’IPv6
Ici, l’avantage, c’est qu’à 99%, c’est pareil qu’en

IPv4 !
Siret : 519 157 861 00047
|Toutes les commandes sont les mêmes, sauf qu’il faut remplacer
simplement « IPv4 » par « IPv6 »et c'est tout.
La commande « ipv6 router eigrp 1 » active le protocole eigrp en globalité

sur |l’AS 1
Alors par défaut, le protocole est éteint, c’est pour ça qu’il faut le monter
avec un « no shut »
Et ensuite il reste plus qu’à faire un « ipv6 eigrp 1 » sur les interfaces, pour
qu’il commence à chercher ses voisins et qu’il puisse diffuser son réseau !

Siret : 519 157 861 00047
COMPARAISON DES RÉSEAUX CÂBLÉS ET
SANS FIL.
TOPOLOGIES RÉSEAU CÂBLE

Dans un réseau câblé, deux appareils qui veulent communiquer l'un avec
l'autre doivent être connectés par un câble. Ce qui est évident…
| Ce câble peut contenir des brins de métal ou bien de la fibre optique.
Les données qui transitent sont délimitées par les propriétés physiques de
ce câble.
C’est ce qu’on appelle | la norme IEEE 802.3, plus connue

sous le nom d’Ethernet.
Les connexions filaires sont très efficaces, ce qui permet d’avoir une
bonne communication.
| Pour assurer cette fiabilité, il faut bien sûr respecter la norme.
C’est-à-dire :
• la taille des brins de fil,
• le nombre de torsions,
• ainsi que la longueur maximum à ne pas dépasser

| selon la norme 802.3.
Les données circulent entre les deux têtes du câble.
Que ce soit de la fibre optique ou des brins de

métal.
Ces signaux électriques, qui sont utilisés pour transporter les données,
circulent donc d’un bout à l’autre.
| Dans ce type de configuration, les 2 appareils qui sont connectés sur le
même câble réseau ont un chemin direct de communication.
Ils peuvent s’échanger des données, et même en transmettre
simultanément.
Alors même si les réseaux câblés sont très fiables, il y’a quelques lacunes…
Par exemple, lorsqu'un appareil est connecté par un câble, il lui est difficile
de se déplacer… C’est-à-dire qu’il ne peut pas aller très loin…
De plus, pour qu’un appareil puisse se connecter à un réseau câblé, il devra
être obligatoirement équipé d’un connecteur compatible avec l’extrémité
du câble. | Par exemple du RJ45 ou un | connecteur fibre optique.
Et comme les appareils deviennent de plus en plus petits et plus mobiles,
il n'est souvent pas pratique de les connecter à un fil.
| C’est là qu’intervient le réseau sans fil !!!
Comme son nom l'indique, un réseau sans fil supprime le besoin d'être
attaché à un fil ou un câble.
De nos jours, la mobilité devient de plus en plus importante. Les
utilisateurs doivent pouvoir se déplacer à volonté tout en restant connecté
au réseau.
De plus, grâce à cette technologie, un seul et même utilisateur peut se
connecter au réseau avec plusieurs appareils sans fil différents.
Les données circulent dans un espace libre, sans les contraintes et
protections d’un câble.
Comme les données circulent librement dans les airs, de nombreuses
variables peuvent affecter ces données et leur livraison…
Pour minimiser ces variables, les admin réseau doivent se concentrer sur
deux choses importantes : |
• Les périphériques sans fil doivent respecter la norme IEEE 802.11.
• Et la couverture sans fil, dois être disponible uniquement là, où les

utilisateurs devraient l'utiliser.
Alors, pour le CCNA, gardez à l'esprit que l'examen

porte plutôt sur une vision fonctionnelle de la
technologie sans fil.
Pour tout ce qui est plus poussé, comme les
caractéristiques RF, ou bien les performances des
antennes, c’est plutôt réservé aux examens CCNP.
TOPOLOGIES LAN SANS FIL

| Nous allons maintenant parler des différentes Topologies.
La communication sans fil a lieu dans un espace libre grâce à l'utilisation
de signaux radiofréquences, | qu’on retrouve avec les symboles « RF ».
La théorie de ces signaux RF peut sembler complexe et on le verra plus
tard dans le cours.
| Pour l'instant, on va partir sur un exemple simple, celui de 2 PC portables.
Sur ce schéma, supposons simplement que le PC A émet des signaux RF

au PC B.
Comme on peut le voir, l'émetteur peut contacter le récepteur à tout
moment, tant que les deux appareils sont réglés sur la même fréquence,
ou le même canal, et qu’ils utilisent le même procéder pour transporter les
données entre eux.
Ici on à une communication unidirectionnelle… ce qui n’est pas forcément
pratique…
Pour tirer pleinement parti de la communication sans fil, les données

doivent voyager | dans les deux sens, comme le montre ce schéma.
Avec une communication bidirectionnelle, les 2 PC peuvent communiquer

simultanément.
Mais pour éviter les interférences, comme les deux PC utilisent le même
canal, les PC’s devront gérer une certaine latence entre eux.
| Plus le nombre d’appareils augmente et + il y’aura

d’interférence…
Par exemple, ce schéma nous montre 3 appareils réglés sur le même canal
et ce qui pourrait se produire si un ou tous les PC, transmettaient en
même temps.
Ce type de problème peut vous rappeler un réseau

local traditionnel, c’est-à-dire non commuté).
Là où plusieurs hôtes se partageaient la même
bande passante…
Pour utiliser efficacement le wifi, tous les hôtes doivent fonctionner en

mode half-duplex, afin d'éviter de heurter d'autres transmissions déjà en
cours.
Comme pour l’Ethernet, en half-duplex, cela signifie qu'aucun hôte ne
pourra transmettre et recevoir en même temps.
Et bien, Un LAN sans fil est très similaire.

Étant donné que plusieurs hôtes peuvent partager le même canal, ils
partagent également la même zone d’air, ou le même canal.
Par conséquent, pour que tout reste propre, un seul appareil doit
transmettre.
Pour respecter cette condition, les appareils se basent sur la | Norme
802.11, qui permet de déterminer si le canal est libre et disponible avant de
transmettre n’importe quelle donnée.
Ce qui veut dire que tous les WLAN en IEEE 802.11 sont toujours en semi-
duplex !
Car les transmissions entre stations utilisent la

même fréquence ou le même canal.
Une seule station peut émettre à la fois… sinon, des collisions se
produisent.
Pour avoir du full-duplex en wifi, la transmission d’une station devra se
faire sur une fréquence, pendant qu’elle reçoit sur une fréquence
différente.
A l’identique des réseaux Ethernet en full-duplex.

Alors même si c’est certainement possible de faire du full-duplex en wifi,
la norme 802.11 ne permet pas ce type de fonctionnement.
Il existe tout de même, certaines méthodes qui permettes à plusieurs
appareils de transmettre sur le même canal et en même temps, mais ce
n’est pas au programme du CCNA.
LES DIFFÉRENTES TOPOLOGIES LAN
SANS-FIL
BSS : BASIC SERVICE SET
Pour fonctionner correctement en half-duplex, la solution est d’avoir une

zone fermée, dans laquelle | nous aurons plusieurs appareils mobiles qui se
forment autour | d’un appareil fixe !
Sur ce schéma, quand un des PC portables souhaite participer à la
communication, il devra s’annoncer, ou se présenter, et attendre d’y être
autorisé.
La norme 802.11 appelle ce procédé : | Basic Service Set.
Plus connus sous les initiales de B.S.S
Au cœur de chaque BSS se trouve un | point d'accès sans fil, qu’on appelle
aussi un Access Point en anglais, et qui porte les initiales d’A.P.
L'AP fonctionne en mode « infrastructure », ce qui permet de former
l'infrastructure d'un réseau sans fil.
L'AP et les membres du BSS doivent tous utiliser le même canal pour
pouvoir communiquer ensemble.
Comme le BSS dépend de l'AP, il est délimité par la zone où le signal de
l'AP est utilisable.
| Cette zone porte les initiales de « BSA » pour Basic Service Area. On peut
le voir comme une cellule ou une zone.
Sur le schéma, le BSA, ou bien la cellule sont représentés par la zone
circulaire grise, qui se centre autour du point d’accès, c’est-à-dire de l’AP.
L'AP sert de point de contact unique pour chaque appareil qui souhaite
utiliser le BSS. Il annonce l'existence du BSS afin que les appareils puissent
le trouver et essayer de se joindre.
| Pour ça, il utilise un identifiant BSS unique basé sur la propre adresse
MAC de l'AP. C’est ce qu’on appelle « BSSID »
L'AP annonce aussi le réseau sans fil avec un identifiant. | C’est ce qu’on
appelle le SSID.
C’est une chaine de texte qui contient le nom du

WIFI.
On peut voir le « BSSID » comme une étiquette de nom lisible par une
machine, afin d’identifier le point d’accès.
Et le « SSID » comme une étiquette de nom lisible par l'homme qui lui,
identifie le service sans fil.
Quand un périphérique s’associe au BSS, cette adhésion s'appelle une
association.
| Le périphérique sans fil doit envoyer une demande d'association à l'AP et
l'AP doit :
• | soit accepter
• ou soit refuser | la demande.

Une fois associé, l’appareil devient un client, ou une station du BSS.
Tant que le client sans fil reste associé au BSS, les communications à
destination et en provenance du | client doivent systématiquement
passer par l'AP.
C’est en utilisant le BSSID, comme adresse source ou de destination, que
les trames de données peuvent être relayées depuis l'AP, ou vers l’AP.
Alors, on pourrait se demander, pourquoi tout le trafic client doit
obligatoirement traverser l'AP ?
| Ou bien, pourquoi deux clients ne peuvent-ils tout simplement pas
communiquer directement ensemble sans passer par l’AP ?
Et bien, c’est parce que si les clients sont autorisés à communiquer

directement, alors il n’y aurait plus besoin de BSS…
Le faite que les données transitent par l’AP, permet de garder le BSS sous
contrôle et stable.
Il faut garder à l’esprit que même si les données sont censées passer par
un point d’accès, et bien d’autres appareils, faisant partie de la même
zone, peuvent écouter le même canal et donc entendre les transmissions.
Contrairement aux données qui circulent dans un câble Ethernet, ici les
données sont accessibles par voies aériennes, à toutes les personnes, qui
se trouvent à porter. |
Si les trames ne sont pas cryptées, n'importe qui

peut inspecter leur contenu.
SYSTÈME DE DISTRIBUTION
L'AP et ses clients associés constituent un réseau autonome.
Mais le rôle de l'AP, au centre du BSS, ne se limite pas seulement à la

gestion du BSS.
Car tôt ou tard, les clients sans fil devront communiquer avec d'autres
appareils qui ne sont pas membres du BSS.
| Ayant des capacités sans fil et câblées, le point d'accès peut établir une
liaison montante | vers un réseau Ethernet.
La norme 802.11 appellera ce réseau Ethernet câblé, | un « système de
distribution » pour le BSS sans fil, comme on peut le voir sur le schéma.
Vous pouvez considérer un AP comme un traducteur, qui permet de
traduire les trames de deux médias différents, sans fil et câblées, avant de
remonter vers la couche 2.
En d’autres termes, l'AP est en charge de la cartographie d'un réseau local
virtuel, un VLAN, à un SSID.
Sur le schéma, | l'AP mappe le VLAN 10 au LAN sans fil, à l'aide du SSID «
Mon réseau Wifi».
Avec cette représentation, on peut penser que les clients associés au SSID
de «Mon réseau Wifi» sont connectés au VLAN 10.
| Ce concept peut être étendu, afin que plusieurs VLAN soient mappés à
plusieurs SSID. Comme le montre ce schéma.
Pour ce faire, l'AP doit être connecté au commutateur par | une liaison
trunk qui permet de transporter les VLAN.
Sur le schéma,les VLAN 10, 20 et 30 sont reliés à l'AP par le DS, qui est le
système de distribution.
Les AP’s utilisent le tag « 802.1Q » pour mapper les numéros de VLAN à
leurs SSID.
| Par exemple :
• le VLAN 10 est mappé au SSID «Mon réseau Wifi».
• Le VLAN 20 est mappé au SSID «Voisin».
• Et le VLAN 30 au SSID «Invité».

Le schéma que vous voyez, représente en fait, un seul AP qui utilise
plusieurs SSID.
Les clients doivent utiliser le SSID approprié, qui a été mappé au VLAN
respectif, lors de la configuration de l'AP.
Donc ici, l'AP apparaît comme plusieurs AP logiques - un par BSS - avec un
BSSID unique pour chacun.
Sur les points d'accès Cisco, cette différenciation s'effectue généralement
en incrémentant le dernier chiffre de l'adresse MAC radio pour chaque
SSID.
| C’est pour ça qu’on voit une suite de chiffre à la

fin des BSSID.
Alors, même si un point d'accès peut annoncer et prendre en charge
plusieurs réseaux sans fil logiques, chacun des SSID couvre la même zone
géographique.
Parce que l'AP utilise :
• le même émetteur
• Le même récepteur
• Les mêmes antennes
• et canaux
pour chaque SSID qu'il prend en charge.
ESS « EXTENDED SERVICE SET »

| Nous allons maintenant parler de ESS.
Qui se traduit par : Ensemble de service étendu.
Un point d'accès ne peut pas couvrir toute la zone d’un grand bâtiment.
Pour augmenter la couverture limitée par le point d’accès, il suffit de
rajouter d’autre AP et de les répartir géographiquement.
Lorsque les points d'accès sont placés à différents emplacements
géographiques, ils peuvent tous être interconnectés | par une
infrastructure commutée.
La norme 802.11 appelle ce procédé : | Un ensemble de services étendus.
Qu’on retrouve sous les initiales de « ESS ».
L'idée est d’associer plusieurs points d'accès, pour que le réseau sans fil
soit complètement transparent pour l’utilisateur.
Idéalement, | le SSID, qui est défini sur les différents AP, devrait être
identique. Car sinon, le client devra reconfigurer le wifi, à chaque fois qui
se déplace d’une zone à une autre.
Sur le schéma | on voit que chaque zone à un BSSID unique, mais
partagent un même SSID.
Par exemple, dans cette config, un client qui est dans la zone « BSS-1 »
pourra se connecter à « l’AP-1 ». Et s’il se déplace vers la zone « BSS-2 »,
alors il accrochera automatiquement « l’AP-2 ».
C’est ce qu’on appelle : l’itinérance.
Il faut gardez à l'esprit que chaque AP offre son propre BSS sur son propre
canal, afin d’éviter les interférences entre les AP.
Lorsqu’un appareil se déplace d'un point d'accès à un autre, il balaye les
canaux disponibles pour trouver un nouveau point d'accès, et donc un
nouveau BSS.
L’appareil est en itinérance de BSS à BSS et de

canal à canal.
IBSS : INDÉPENDANT BASIC SERVICE SET

(AD HOC)
Généralement, un réseau sans fil utilise des points d'accès pour un

meilleur contrôle, une meilleure organisation de son architecture et pour
des raisons d’évolutivité.
Mais parfois, ce n'est pas forcément possible ou pratique selon plusieurs
situations.
Par exemple, deux personnes souhaitent échanger des documents
pendant une réunion, sans avoir besoin de demander des accès réseau.
Ou bien même, un utilisateur souhaiterait imprimer des documents sur
son imprimante perso, sans forcément dépendre d’un point d’accès.
La norme 802.11 permet à deux clients sans fil ou plus de communiquer
directement entre eux, sans aucune connectivité réseau.
| C’est ce qu’on appelle un réseau sans fil « ad

hoc ».
Ça porte aussi le nom en français de « ensemble de services de base
indépendant », qu’on retrouve sous les initiales de « IBSS ».
Pour que ça fonctionne, l'un des appareils doit prendre les devants et
commencer à publier un nom de réseau avec des paramètres radio.
Un peu comme le ferait un point d’accès.
Tout autre appareil pourra ensuite se joindre au réseau.
Les IBSS sont tout de même assez limités, et

peuvent devenir instables, au-delà de huit à dix
appareils connectés…
LES AUTRES TOPOLOGIES SANS FIL
Dans ce cours, nous allons voir d’autres topologies sans fil, ainsi que
différents modes de fonctionnement.
RÉPÉTEUR (REPEATER)
| En général, chaque point d’accès d’un réseau sans fil est câblé à un
système de distribution (DS) ou bien à une infrastructure commutée,
comme par exemple un switch.
Pour étendre la couverture sans fil au-delà de la zone du point d’accès, il
faut rajouter d’autres points d’accès, avec le câblage nécessaire. Ce qui
peut poser certains problèmes, si la distance est trop grande pour gérer la
communication Ethernet…
C’est pourquoi il est possible, dans ce cas, d’ajouter des points d’accès
supplémentaires qui seront configurés en | mode « répéteur ».
Ce mode permet simplement de prendre le signal
qu’il reçoit et de le retransmettre dans une nouvelle
zone autour de ce nouvel équipement.
L'idée est de positionner le répéteur à porter du point d’accès, comme le
montre le schéma.
Si le répéteur a un seul émetteur et récepteur, il devra obligatoirement

fonctionner sur le même canal que l'AP qu’il utilise.
| Le problème, c’est que dans cette config, il est possible que le signal de
l'AP soit reçu et retransmis par le répéteur, pour ensuite être reçu à
nouveau par l'AP…
Ce qui réduit de moitié le débit, car le canal sera occupé deux fois plus.
Pour éviter ce problème, il faut utiliser un répéteur qui puisse utiliser deux
émetteurs et deux récepteurs, afin d’isoler sur 2 canaux différents, les
signaux de l’AP et ceux du répéteur.
Dans ce cas, une paire émetteur-récepteur est
dédiée aux signaux dans la zone du point d'accès,
et l'autre paire pour les signaux de la zone du
répéteur.
WORGROUP BRIDGE (WGB)

| Nous allons maintenant voir un appareil, qu’on appelle un pont Wifi.
On le retrouve, dans sa définition en anglais, avec les initiales de WGP.
| Ce module est destiné à tous les équipements de terminaison, qui

dispose d’une liaison Ethernet filaire, mais qui n’est pas capable d'avoir
une connexion sans fil.
On retrouve souvent ce type d’équipement dans les

milieux hospitaliers.
C’est pourquoi on utilise un pont, qui permet de connecter la carte réseau
filaire de l'appareil à un réseau sans fil.
Ce module agit plutôt comme un adaptateur réseau sans fil, mais qui ne
fournit pas de BSS (Basic Service Set).
| Sur le schéma, on voit que l’AP fournit un BSS.
Le PC portable à gauche est un client sans fil, et l’équipement de droite est
associé à l’AP | par le pont wifi.
Parmi les WGB, il en existe 2 sortes : |
• On a le Pont universel, qu’on retrouve avec les initiales de « uWGB »,

ou un seul appareil filaire peut être ponté vers un réseau sans fil.
• Et on a le « WGB » qui est un système propriétaire de Cisco, qui

permet de connecter plusieurs périphériques câblés à un réseau
sans fil.
PONT EXTÉRIEUR
| Nous allons maintenant voir les ponts extérieurs.
Un point d’accès peut être configuré, comme un pont pour former une
seule liaison sans fil d'un LAN à un autre sur une longue distance.
Ce type de liaisons, pontées à l’extérieure, est souvent utilisé pour la
connectivité entre les bâtiments ou même, entre les villes.
Un point d'accès, configuré en mode pont, est nécessaire à chaque
extrémité de la liaison sans fil, | et des antennes spéciales sont déployées
afin de concentrer les signaux | dans une même direction.
Ce qui maximise la distance comme le montre le

schéma.
Il existe aussi un autre type de pont, qui est le | pont multipoint.
Parfois, les réseaux LAN de plusieurs sites doivent être reliés entre eux.
Un pont multipoint permet de ponter un site central vers plusieurs autres
sites secondaires.
Le site central, celui qui est représenté par l’immeuble au milieu, est
connecté à une antenne omnidirectionnelle.
C’est-à-dire que son signal est transmis de manière égale dans toutes les
directions, afin qu’il puisse atteindre les autres sites en même temps.
Et les sites secondaires disposent d’une antenne directionnelle pointée
vers le site central, comme le montre le schéma.
RÉSEAU MAILLE (MESH)
Le dernier type de topologies que nous allons voir est le | réseau maillé.
Pour fournir une couverture sans fil sur une très grande zone, il n'est pas
toujours pratique de câbler en Ethernet, tous les points d’accès.
C’est là qu’intervient le mode maillé.
Dans ce type, plusieurs AP seront configurés en mode Mesh, qu’on peut
traduire en français par « Maillé ».
Ici, le trafic sans fil sera alors ponté d’AP en AP, comme une guirlande, en
utilisant même des canaux différents.
En général, chaque point d'accès maillé aura un BSS sur un canal, sur
lequel, les clients sans fil pourront s'associer.
À la périphérie du réseau maillé, la liaison du trafic est pontée vers
l'infrastructure filaire du LAN comme le montre le schéma.
Avec les AP’s de Cisco, vous pouvez créer un réseau maillé à l'intérieur ou
à l'extérieur, qui exécutera son propre protocole de routage dynamique
pour déterminer le meilleur chemin vers les points d'accès maillés.
RADIO FRÉQUENCE
Pour envoyer des données sur une liaison filaire, on utilise un signal
électrique qui est transporté d’un bout à l’autre.
Le support utilisé est un fil qui est continu et conducteur, pour que le
signal puisse se propager assez facilement.
Dans les liaisons sans fil, il n’y a aucun support physique pour transporter
le signal.
Alors comment, un signal électrique peut-il être envoyé sans support
physique, en utilisant un espace libre comme l’air ?
| Pour comprendre, on va prendre l’exemple de 2 personnes assez éloigné
l’une de l’autre qui souhaite communiquer.
Ils sont, tout les deux reliés par une longue corde, qui représente l’espace
libre.
| L'émetteur décide de soulever l’extrémité de la corde et de la maintenir

en haut, pour prévenir le destinataire, en pensant qu’à l’autre bout, la
corde se lèvera à son tour,
Comme on peut le voir sur l’image, la corde retombe après une petite
distance et le récepteur ne remarque aucun changement.
| L’émetteur va alors tenter une stratégie différente.
Ne pouvant pas pousser la corde, il va l’agiter de haut en bas dans un

mouvement régulier, et cela va provoquer une onde continue sur toute la
longueur de la corde, comme on peut le voir sur l’image.
Les ondes, représentées chacune par le mouvement de haut en bas du
bras de l'expéditeur, se déplacent d’un bout à l’autre.
| Et bien dans un espace libre, le principe est identique.
L'émetteur peut envoyer un courant alternatif créant des champs
électriques et magnétiques en mouvement, qui se propagent sous forme
d'ondes.
Les champs électriques, représentés en bleu sur l’image, et les champs
magnétiques, représentés en rouge, voyagent ensemble | et sont toujours
à angle droit l'un par rapport à l'autre.
| Le signal doit continuellement être alterné, en faisant des cycles de haut

en bas, afin garder les champs électriques et magnétiques en mouvement.
C’est-à-dire que les ondes se poussent

mutuellement vers l’extérieur !
Les ondes électromagnétiques ne se déplacent jamais en ligne droite.
Ils se déplacent en s'étendant dans toutes les directions loin de l'antenne.
| C’est comme si, vous jetiez un caillou dans un étang, alors que la surface
est immobile.
Au centre de là où il tombe, se créer un mouvement cyclique.
Les premières vagues commencent petites et s'étendent de plus en plus
vers l'extérieur, pour être remplacées par de nouvelles vagues.
| Et bien dans un espace libre comme l’air, les ondes électromagnétiques
s'étendent vers l'extérieur dans les trois dimensions.
Sur cette figure, qui montre une antenne émettrice, on peut voir que les
vagues produites se développent vers l'extérieur dans une forme
sphérique.
Les ondes, qui sont envoyées dans toutes les directions, finiront par
atteindre le récepteur.
| Ces ondes électromagnétiques faisant partie d’une liaison sans fil
peuvent être mesurées et décrites de plusieurs manières.
La plus élémentaire est la fréquence de l'onde.

Il s’agit du nombre de fois que le signal effectue un cycle complet de
montée et de descente, en 1 seconde.
Sur ce schéma, on voit comment le cycle d'une onde peut être identifié.
| Il peut commencer lorsque le signal monte au-dessus de la ligne
médiane, tombe en dessous, puis remonte jusqu’à la médiane.
| Un cycle peut aussi être mesuré sur les pics des ondes.
Peu importe où vous commencez à mesurer un cycle, le signal doit
retourner une séquence complète. C’est-à-dire revenir à sa position de
départ.
Sur le schéma, on voit que sur 1 seconde, le signal a progressé sur quatre
cycles complets.
Ça signifie que sa fréquence est de 4 cycles / seconde, ou bien alors 4
hertz.
| Le hertz (Hz) c’est l'unité de fréquence la plus utilisée et ce n’est rien
d'autre qu'un cycle par seconde.
C’est pour ça que 4 Hertz = à 4 cycles et qui égale à 1 seconde. Soit 4 cycles
par secondes.
Unité Abréviation Description

Hertz Hz Cycles par seconde
Kilohertz kHz 1000 Hz
Mégahertz MHz 1 000 000 Hz
Gigahertz GHz 1 000 000 000 Hz
| La fréquence peut varier sur une très large plage.

À mesure que la fréquence augmente, les nombres peuvent devenir assez
importants, comme le montre le tableau des unités de Hertz.
Cette image montre une représentation simple de la fréquence continue

qui va de 10 puissances 3 à 10 puissances 12.
Tout ce qui est en dessous de 10 puissances 3, sont des fréquences trop
basses pour être entendues par l'oreille humaine.
Les fréquences les plus élevées contiennent de la lumière, suivie de rayons
X, et de gamma.
La plage de fréquences qui va de 3 kHz à 300 GHz est appelée
radiofréquence, qu’on retrouve sous les initiales de « RF ».
Ça comprend de nombreux types de communication radio : |
• Comme la radio FM et TV
• Les micro-ondes
• Et radio infrarouge
À noter que les micro-ondes contiennent également les deux gammes de
fréquences principales utilisées pour la communication LAN sans fil:
• Le2,4GHz
• Et le 5 GHz.
BANDES ET CANAUX SANS FIL
Étant donné qu'une plage de fréquences peut être utilisée dans le même
but, il est habituel de désigner cette plage comme une bande de
fréquences.
Par exemple, les fréquences qui vont de 530 kHz jusqu’à environ 1710 kHz
sont utilisées par les stations de radio AM.
C’est pourquoi on peut appeler ça, la bande AM, ou même la bande de
diffusion AM.
| La bande de fréquences principalement utilisées pour la communication
LAN sans fil se situe entre 2,400 et 2,4835 GHz.
C’est ce qu’on appelle généralement la bande 2,4 GHz.
C’est tout de même plus pratique d’appeler la bande 2,4GHz que
d’annoncer la plage entière.
| La bande 5 GHz est aussi une plage LAN sans fil qui se situe entre 5,150 et
5,825 GHz.
Le terme « bande » est simplement un diminutif utilisé pour plus de
commodité.
Alors, ne vous inquiétez pas, vous n’aurez pas besoin d’apprendre toutes
les gammes de fréquences…
Il faut juste retenir que pour le wifi des réseaux LAN, | seules les bandes
2.4 et 5 GHz sont utilisées.
| Voici la représentation des différents canaux de la bande 2.4 GHz.
Pour des raisons de compatibilité et de gestion, les bandes sont

généralement divisées en un certain nombre de canaux distincts.
Chaque canal porte un numéro et est affecté à une fréquence spécifique.
Du moins pour le 2.4GHz. Un Canal correspond donc à une seule
fréquence unique.
| Et voici la représentation des canaux pour du 5GHz
Nous allons maintenant analyser la différence entre les bandes 2.4 et 5

GHz.
Dans la bande des 5 GHz, chaque canal se voit attribuer une plage de
fréquences qui n'empiète pas sur les autres fréquences.
En d'autres termes, la bande des 5 GHz est constituée de canaux sans
chevauchement.
Ce qui n’est pas le cas pour la bande 2,4 GHz.

Sur celle-ci, chacun de ses canaux est tellement large, qu’il ne peut pas
éviter le chevauchement…
Si vous regardez bien, chaque canal couvre une plage de fréquences qui
est attribuée à 4 voisins consécutifs…
Sur la représentation, on voit bien l’espacement des canaux, par rapport à
la largeur de ces signaux…
La seule façon d'éviter tout chevauchement entre les canaux serait de
configurer les AP, | pour qu’ils n’utilisent que les canaux 1, 6 et 11.
Et ce, même s'il y a en tout, 14 canaux.
Il est préférable de choisir des canaux qui ne se

chevauchent pas dans votre réseau.
NORMES DES POINTS D'ACCÈS ET DU WIFI
| Nous allons maintenant aborder les normes du wifi et des points d’accès,
les « AP’s ».
Un téléphone sans fil 5 GHz ne peut communiquer qu'avec un point
d'accès wifi, compatible sur des canaux de la même bande.
C’est-à-dire aussi du 5GHZ.
Pour qu’un appareil puisse fonctionner avec un point d’accès, ils doivent
aussi partager la même compatibilité avec la norme officielle 802.11.
| Voici un tableau qui montre les différentes évolutions de la norme
IEEE802.11.
Amendement 2,4GHz 5 GHz Débit Max Info

802.11-1997 Oui Non 2 Mb/s Norme d’origine de 1997
802.11b Oui Non 11 Mb/s Introduit en 1999
802.11g Oui Non 54 Mb/s Introduit en 2003
802.11a Non Oui 54 Mb/s Introduit en 1999
802.11n Oui Oui 600 Mb/s Haut débit introduit en
2009
802.1 1ac Non Oui 6.93 Gb/s Très haut débit introduit
en 2013
802.11 1ax Oui Oui 4 x 802.1 1ac ! Haute efficacité (Wi-Fi6)
introduite en 2019
À chaque fois, que cette norme évolue et se développe, de nouveaux

amendements avec de nouvelles fonctionnalités sont ajoutés.
Ces modifications sont représentées sur le tableau, par un suffixe d’une ou
plusieurs lettres.
Pour l'examen du CCNA, il faut connaitre par cœur les différents débits de
l’ensemble des normes du wifi. C’est-à-dire des différents amendements.
Le CCNP va encore plus loin dans les débits et les différents schémas de
codage.
Les appareils wifi et les points d'accès peuvent être compatibles avec les
différentes versions de la norme 802.11, à condition que les périphériques
acceptent d’utiliser le même amendement.
Alors pour un appareil qui peut fonctionner sur les deux bandes, on
pourrait se demander, comment décide-t-il quelle bande utiliser ?
Et bien généralement, les points d'accès peuvent fonctionner sur deux
bandes simultanément pour prendre en charge tous les clients qui
seraient présents sur chaque bande.
La bande utilisée pour se connecter à un AP est choisie en fonction du
système d'exploitation, du pilote de l'adaptateur wifi et de plein d'autres
configurations en interne.
Il faut juste retenir qu’un client wifi peut s’associer

avec un point d'accès sur une bande, et dès qu’il
trouvera de meilleures conditions, il basculera sur
l’autre bande.
Les points d'accès Cisco disposent de deux radios pour prendre en charge,
à la fois, les BSS sur un canal 2,4 GHz et d'autres BSS sur un canal 5 GHz
simultanément.
Les radios sont un ensemble d'émetteurs et de récepteurs.
Certains modèles disposent même de deux radios en « 5 GHz » qui
peuvent être configurées pour faire fonctionner les BSS de deux canaux
différents en même temps.
Ce qui permet d’offrir une couverture sans fil avec un plus grand nombre
d'utilisateurs qui se situe dans le même voisinage.
Sur les architectures Wifi de Cisco, l’attribution du bon canal sur les points
d’accès se fait de manière automatique et dynamique. Ce qui rend la
tâche + facile.
L'architecture wifi fait partie du prochain chapitre du cours.
Par contre les attributions dynamiques sont traitées dans les cours du
CCNP.
Sur nos bon vieux routeur internet à la maison, que ce soit Free, Bouygue
ou orange, vous remarquerez que les bandes 2.4 et 5 GHz sont disponibles.
Il faut savoir que dans un espace complètement ouvert, les signaux de
radiofréquence se propageront plus loin avec la bande 2.4 que sur une
bande en 5GHz.
Et dans un espace cloisonné de murs ou avec la présence d’objet, et bien,
la bande en 2.4 GHz pénétra plus facilement les murs que du 5GHz.
Par contre, comme on la vue précédemment, du à son chevauchement, la
bande 2,4 GHz risque d’être plus encombrée.
Et oui, n'oubliez pas que seuls trois canaux, sans chevauchement, sont
disponibles en 2.4GHz. Les canaux 1,6 et 11…
Ce qui signifie que cela augmente les probabilités,

que votre voisin utilise les mêmes canaux que vous.
Par contre, avec la bande des 5 GHz, qui comprend beaucoup plus de
canaux disponibles, ce qui les rend moins encombrés et de ce fait, subit
moins d'interférences.
| Pour clôturer le cours, voici les termes et abréviations à connaitre :
• access point (AP)
• basic service set (BSS)
• Basic Service Set Identifier (BSSID)
• distribution system (DS)
• extended service set (ESS)
• independent basic service set (IBSS)
• Service Set Identifier (SSID)
• station (STA)
• workgroup bridge (WGB)

AP AUTONOME ET CLOUD
ARCHITECTURE D’AP AUTONOME
La principale fonction, d'un point d'accès, c’est de relier les données sans
fil du wifi à un réseau câblé en Ethernet.
C’est l’AP qui accepte les connexions des clients sans fil, afin que ces
derniers puissent devenir membre du LAN, comme s’ils utilisaient une
connexion câblée.
Le point d’accès est équipé de matériel câblé et sans fil, pour permettre
d’associer les clients sans fil, avec le réseau câblé.
Les AP’s offrent un ou plusieurs ensembles de services de base, c’est ce
qu’on retrouve sous les initiales de « BSS » ( BSS "Basic Service Set" )
On peut aussi voir les AP’s, comme une extension d'un réseau commuté,
qui permet de connecter les « SSID » (SSID: "Service Set IDentifier"), à des
VLAN (Virtual LAN), au niveau de la couche d'accès.
| Sur le schéma, on peut voir une architecture réseau comprenant des
points d’accès.
Alors même, s’il n’ya que 4 points d’accès, une entreprise peut en avoir des
centaines, voire même, des milliers.
Dans l’exemple, on peut voir que les AP’s contiennent deux SSID | :
• Le WLAN 100
• Et le WLAN 200
Ils ont été nommés de cette manière, pour | correspondre au numéro de
vlan, des couches en Ethernet.
Sur le schéma, on voit bien des liaisons trunk, | entre les différentes
couches, pour bien faire circuler les VLAN’s d’une couche à l’autre.
Sur cette architecture, les AP’s autonomes permettent d’offrir un chemin
rapide, pour que les données puissent voyager entre les réseaux sans fil et
câblés.
Deux utilisateurs sans fil, qui sont associés au même point d'accès
autonome, peuvent cette fois-ci, communiquer directement, sans avoir à
passer par le réseau câblé.
C’est de là que vient le terme de « Autonome »

comme on peut le voir sur le schéma, un point d’accès, doit être configuré
avec une | IP de management, qui permet de gérer le boitier à distance.
Ça permet de pouvoir configurer, les SSID, les VLAN, ainsi que les
paramètres de radio fréquences, comme le canal, et le débit.
Comme pour les swiths, ces adresses de gestion ne doivent pas faire
partie des vlan qui font circuler des données.
C’est pour ça que sur le schéma, on utilise un vlan de gestion dédiée qui
est le vlan 10.
L’ensemble des points d'accès doivent être configurés et entretenus
individuellement.
À moins d’utiliser une plate-forme de gestion, comme par exemple | :
• Cisco Prime
• Ou bien, | Cisco DNA

Ce qui est beaucoup plus évolutif…
Car sans ce type d’infrastructure, la configuration et l’efficacité du réseau
peuvent devenir problématiques, en cas d’évolution…
C’est-à-dire qu’ à mesure que le réseau sans fil se développe,
l'infrastructure devient plus difficile à configurer et aussi moins efficace…
ARCHITECTURE D’AP BASÉE SUR LE

CLOUD
| Nous allons maintenant voir une architecture wifi basée sur le cloud.
On a vu qu’une AP autonome avait besoin d'un minimum de configuration

et de gestion. Et que pour les gérer, on pouvait utiliser une infrastructure
centralisée en interne comme | Cisco Prime.
Il existe une approche encore plus simple, qui est une architecture d’AP
basée sur le cloud.
Dans cette configuration, la gestion d’AP se passe en dehors de
l’entreprise. C’est-à-dire, | dans le cloud internet.
C’est le cas pour | « Cisco Meraki » qui offre une gestion centralisée des
réseaux sans fil, commutés et même de sécurité.
Cisco Meraki est une solution complète pour gérer le réseau dans le Cloud.
Ce qui apporte beaucoup de simplicité aux réseaux d’entreprises, car ça
permet aux admin réseau d’avoir une meilleure visibilité, ainsi qu’un
meilleur contrôle, et cela, sans la complexité des architectures
traditionnelles.
Par exemple, via le service de | mise en réseau cloud, vous pouvez :
• Configurer et gérer les points d'accès
• Surveiller les performances et l'activité sans fil
• Générer des rapports
• Et plein d’autres possibilités

Les points d'accès « Cisco Meraki » peuvent être déployés
automatiquement, | dès lors que vous vous êtes inscrit auprès du cloud
Meraki.
Chaque AP’s contactera le cloud, dès sa mise sous tension et se
configurera automatiquement.
| Et il est bien sûr possible de gérer directement l'AP, par le tableau de
bord du cloud Meraki.
| Sur le schéma qui illustre une architecture basée sur le cloud, on voit que
le réseau est organisé à l’identique que celui avec les AP’s autonome. C’est
parce que même avec une gestion dans le cloud, les points d’accès sont
également autonomes.
La différence la plus visible, c’est celle qui est représentée par les petits
traits, indiquant que tous les points d'accès sont gérés, contrôlés et
surveillés de manière centralisée à partir du cloud.
Le cloud Cisco Meraki ajoute également de l'intelligence, car il est capable
d’indiquer automatiquement à chaque point d'accès quel canal et quel
débit utiliser.
Les données qui sont à destination et en provenance des clients sans fil
n'ont pas non plus besoin de remonter et de revenir dans le cloud, car il
intègre un plan de données.
C’est-à-dire que l’architecture que l’on voit sur le schéma se compose de |
deux chemins distincts :
• L’un pour le trafic de données
• Et l'autre pour le trafic de gestion, qui se compose de 2 fonctions :

o On à un plan de contrôle:
C’est le trafic utilisé pour contrôler, configurer, gérer et
surveiller l'AP lui-même
o Et un plan de données:
Qui est le trafic de l'utilisateur final passant par l'AP
Cette distinction ou division devient très

importante, à mesure que le réseau évolue.
AP AUTONOME VERSUS AP LÉGER
On pourrait définir un point d’accès autonome, comme un appareille qui
fonctionne indépendamment.
C’est-à-dire, de manière isoler.

Ce qui peut rendre la gestion et le fonctionnement de la radio fréquence,
très difficile, quand il y’en a plusieurs…
| En tant qu'admin réseau, c’est à vous de sélectionner et de configurer le
canal utilisé, par chaque point d'accès et même d’être en mesure de
pouvoir détecter les AP’s qui pourraient interférer.
| Il vous faudra aussi gérer les niveaux de puissance d’émission, afin de
vous assurer :
• | Que la couverture sans fil est suffisante,
• | Qu'elle ne se chevauche pas trop sur les autres
• | Et qu'il n'y a pas de trous de couverture, et ce, même lorsqu’un

point d’accès tombe en panne.
Une autre difficulté que représente un AP autonome est la gestion de la
sécurité des réseaux sans fil.
Car chaque point d'accès autonome gère ses propres politiques de
sécurité. Ce qui rend difficile de surveiller le trafic sur d’éventuelles
intrusions..
| Alors pour surmonter ces limites, il faut déplacer les fonctions des AP’s
vers un équipement central.
Par exemple, sur le schéma, on voit que les fonctions du point d’accès
autonome sont divisées en deux groupes :
• | Les fonctions de gestion, que l’on voit à droite.

Il s’agit de tout ce qui peut être administré de manière centralisée.
Ces fonctions peuvent donc être déplacées vers

une plate-forme située au centre de l’AP.
• | Et les processus en temps réel, à gauche.
C’est tout ce qui implique l’envoi et la réception de trame 802.11.
Le chiffrement des données est aussi géré en temps réel.
Dans ce processus, l’AP interagit avec les clients sans fil à bas niveau,
c’est-à-dire au niveau de la couche MAC.
Ces fonctions doivent rester le plus proches des

clients, c’est-à-dire sur le point d’accès.
Lorsque les fonctionnalités d'un point d’accès autonome sont divisées, l’AP
est vue comme un | matériel Legé qui ne s’occupe que des trames en
temps réel 802.11.
Les fonctions de gestion sont généralement effectuées par un contrôleur
LAN sans fil, qu’on retrouve avec les initiales de | « WLC ».
Le point d’accès devient alors | totalement dépendant du WLC, sur :
• | L'authentification des utilisateurs
• | La gestion des politiques de sécurité
• | Et même la sélection des canaux RF et les débits de sortie.
Ce qui signifie qu’un point d’accès léger ne peut

donc pas fonctionner seul. Il est forcément
dépendant, quelque part dans le réseau, d'un WLC.
| Alors la seule exception concerne une architecture « FlexConnect », qu’on
verra dans la suite du cours.
Le faite de diviser les fonctionnalités d’un AP autonome porte le nom |
d'architecture MAC divisée.
Les AP’s légères doivent démarrer et se lier à un WLC pour prendre en
charge les clients sans fil.
On peut voir le WLC comme un hub central qui prend en charge un certain
nombre de points d'accès dispersés un peu partout dans le réseau.
Alors comment cette AP légère, se lie-t-elle avec un WLC, pour former un
point d'accès complet ?
Et bien, les deux appareils doivent utiliser un | protocole de tunneling
entre eux, pour transporter des messages liés à la norme 802.11, mais aussi
des données client.
Ces deux appareils, l’AP et le WLC, peuvent être situés, aussi bien, sur le
même sous-réseau VLAN ou IP, que dans deux sous-réseaux différents.
Le protocole de tunneling, représenté par les initiales de | « CAPWAP », va
contrôler et approvisionner les points d'accès sans fil, grâce à
l’encapsulation des données entre | le LAP, qui est l’AP léger, et | le WLC,
dans de nouveaux paquets IP.
Ces données, qui sont, tunnelisées, peuvent donc être commutées ou
acheminées, au travers du le réseau.
Comme on peut le voir sur le schéma, le CAPWAP se compose en fait de
deux tunnels bien distincts :
• | On a les Messages de contrôle, qui transporte les échanges, utilisés

pour configurer l'AP et gérer son fonctionnement.
Ces messages sont authentifiés et chiffrés, ce qui permet un
transport sécurisé dans le Tunnel.
• | Et on a les Données, qui circulent entre les clients sans fil et leurs
points d’accès, auquel ils sont associés.
Les paquets sont transportés sur le tunnel de données, mais ne sont
pas chiffrés par défaut. Lorsque le cryptage des données est activé
pour un point d'accès, les paquets sont protégés par le | protocole
DTLS (Datagram Transport Layer Security) qui est simplement basé
sur le protocole TLS, car il fournit des garanties de sécurité très
similaires.
Chaque AP et WLC doivent s'authentifier mutuellement, avant de faire
partie du réseau sans fil, avec des certificats numériques du type X.509,
qui sont préinstallés de base, sur chaque appareil.
Ce processus permet de garantir que personne ne peut ajouter un point
d'accès sans autorisation, au réseau.
Le tunneling CAPWAP permet donc à l'AP et au

WLC d'être séparés géographiquement.
Ce qui est intéressant dans ce type d’architecture, c’est que la connectivité
de couche 2 est brisée entre l’AP et le WLC.
Si on regarde, le schéma, | on peut voir que le vlan 100 existe dans le WLC
et aussi dans les airs, avec le « SSID 100 », | mais pas entre l'AP et le WLC.
C’est parce que le Traffic associé au SSID 100 est transporté à travers
l'infrastructure réseau, par le tunnel CAPWAP qui a encapsulé les données.
Ce tunnel, qui se situe entre l’adresse IP du WLC et l’IP du point d’accès,
permet à tous les paquets tunnelisé, d’être routés à la couche 3
Il n’y’a donc aucun lien, entre l’AP et le WLC, car le ou les VLAN’s
encapsulées sont renfermé dans le tunnel, en tant que paquets IP de
couches 3, plutôt que des VLAN individuels de couche 2.
| Et là ou s’est intéressant, contrairement à une architecture qu’avec des
points d’accès complet, c’est qu’à mesure que le réseau sans fil se
développe et évolue, et bien le WLC construira simplement | + de tunnels
CAPWAP, pour atteindre les nouvelles AP !
Comme on peut le voir | sur le schéma qui illustre un réseau composé de
3 points LAP.
Ici, Chaque AP a son propre tunnel vers le WLC, qui lui est centralisé.
Le SSID 100 peut exister sur chaque AP et le VLAN

100 peut atteindre chaque AP par le tunnel.
Nous allons maintenant détailler tous les | Avantages, comparer à un

point d’accès autonome traditionnelle, que peut offrir une architecture,
contenant des tunnels CAPWAP. C’est-à-dire, construit à partir d’un WLC
vers un ou plusieurs points LAP.
• | On a une attribution dynamique des canaux:

Le WLC peut automatiquement choisir et configurer le canal RF
utilisé par chaque AP, et ce, en se basant sur les autres points
d'accès actifs de la zone.
• | On a une optimisation de la puissance d’émission :

le WLC peut définir automatiquement la puissance d'émission de
chaque point d'accès en fonction de la zone de couverture.
• | On a une couverture sans fil autoréparatrice :

C’est-à-dire que si un point d’accès, où son antenne radio meurent,
c’est-à-dire qu’il tombe en panne, et bien le trou de couverture
causé par cette perte, sera « guéri », c’est-à-dire rétabli, par
l’augmentation automatique de la puissance de transmission des
points d'accès aux alentours.
• | On a aussi une itinérance client très flexible:

Les clients peuvent se déplacer entre les points d'accès avec des
temps d'itinérance très rapides.
• | On a ensuite, de l’équilibrage de charge client dynamique:

C’est-à-dire, que si deux ou plusieurs points d'accès sont
positionnés pour couvrir la même zone géographique, et bien, le
WLC pourra associer des clients, au point d'accès le moins utilisé. Ce
qui donne l’avantage de répartir la charge client sur les points
d'accès.
• | On a de la Surveillance RF:
Le rôle du WLC est de gérer chaque point d'accès.
Pour ça, il va balayer les canaux, pour surveiller l'utilisation des
radios fréquences.
Il pourra donc recueillir à distance des informations :
o Sur les interférences RF.
o Le bruit.
o Les signaux des points d'accès voisins
o Et les signaux des points d'accès qui ne sont pas autorisés ou
bien des clients ad hoc.
• | Pour continuer, on à une Gestion de la sécurité:

C’est-à-dire que le WLC peut authentifier les clients de manière
centraliser, et peut même exiger que les clients sans fil, obtiennent
d’abord une IP, d’un serveur DHCP de confiance, avant de leur
donner la permission de s'associer et d'accéder au WLAN.
• | Et pour finir, on a un système de protection contre les intrusions

sans fil:
Le WLC à l’avantage d’avoir un emplacement central, ce qui lui
permet de centraliser les données des clients, dans le but de
détecter et d’empêcher les activités malveillantes.
CONTRÔLEUR WAN ET MODE AP
COMPARAISON DE CONTRÔLEUR WLAN
Dans ce cours nous allons comparer plusieurs architectures différentes de

contrôleur WLAN. C’est-à-dire le boitier WLC.
Imaginez que vous souhaitez déployer un WLC pour prendre en charge
plusieurs points d'accès LAP dans votre réseau.
Où devriez-vous mettre le contrôleur Wifi?
| Ce concept, qui s’appelle le concept split-MAC, peut être appliqué à
plusieurs architectures de réseau différentes.
Sur le schéma, on voit | 4 points d’accès.
Alors votre réseau peut en avoir beaucoup plus. C’est-à-dire des milliers
d’AP.
L'évolutivité devient alors un facteur très important
dans la conception réseau, surtout quand c’est
centralisé.
| Le contrôleur WLAN peut être situé à plusieurs endroits différents.
➢ Il peut par exemple, | se placer dans un déploiement unifié.
Un contrôleur WLAN unifié peut typiquement prendre en charge un
maximum de | 6000 AP.
Si vous avez besoin de + d’AP’s et bien il faudra en mettre
simplement un deuxième.
➢ Un Contrôleur WLAN peut également | se situer dans un DataCenter.
+ connu comme un déploiement WLC basé sur le cloud.
Dans ce cas, l’équipement existe en tant que machine virtuelle.
Si l’architecture réseau contient déjà une plate-forme de cloud
computing, alors son déploiement en sera simplifié.
Un Contrôleur WLAN peut généralement prendre en charge jusqu'à
| 3000 points d'accès. Et comme pour un déploiement unifié, si le
réseau évolue au-delà, et bien il suffit juste de rajouter de nouvelles
machines virtuelles.
➢ Pour les petites entreprises, le contrôleur peut être intégré | dans
une pile de commutateurs.
Ce procédé porte comme nom de Contrôleur WLAN intégré.
Car le contrôleur est intégré dans l’appareil qui commute les
paquets. Ici le maximum d’AP est de | 200. Il est possible
d’augmenter cette limite en incorporant de nouveaux contrôleurs
sur une autre pile de commutateurs de l’entreprise.
➢ Et le dernier emplacement d’un contrôleur WLAN est | dans un
déploiement Express Mobile, qui est plutôt réservé pour les petites
structures…
Au lieu d’investir dans un contrôleur WLAN dédié, il est possible que
cette fonction soit localisée directement sur le point d’accès.
Ce type de configuration peut prendre en charge jusqu'à | 100
points d'accès.
Mode de Localisation Nb d’AP Nb de Utilité

déploiement supportés Clients
supportés
Unified Core 6000 64000 Grande
entreprise
Cloud Distribution 3000 32000 Cloud privé
Embedded Accès 200 4000 Petite
entreprise
Mobility Autre 100 2000 Petit Site
Express
AP CISCO : LES DIFFÉRENTS MODES
| Nous allons maintenant voir les différents modes que disposent les
points d’accès Cisco.
Les AP’s peuvent fonctionner en mode autonome ou en light, selon
l'image qui est chargée et lancée dans le boitier.
Nous allons détailler, à partir d’un contrôleur WLAN, les différents modes
de fonctionnement d’un point d’accès léger, c’est-à-dire light.
• | Il y’a le mode « Local »: qui est le mode « light » par défaut.

Il permet à un ou plusieurs BSS de fonctionner sur un canal
spécifique.
Pendant les périodes où il ne transmet pas, le point d'accès
analysera les autres canaux pour mesurer :
o Le niveau de bruit
o Les interférences
o Ou bien, pour découvrir des dispositifs malveillants.
• | On a le mode « Monitor »:
Ici, l'AP ne transmet pas du tout… Juste son récepteur est activé,
et fonctionne comme un capteur, afin de détecter les AP’s non
autorisés.
Il peut même aussi les localiser.
• | Le mode FlexConnect: permet à un point d’accès de commuter

localement le trafic entre un SSID et un VLAN, si son tunnel
CAPWAP vers le contrôleur WLAN est en panne…
• | On a le mode « Sniffer »: ici, le point d’accès réceptionnera du

trafic 802.11, provenant d’autres sources…
Un peu comme le ferait un switch avec une configuration de port
miroir.
Le trafic capturé en mode « sniffer » sera ensuite transmis sur un
PC, sur lequel est installé un | outil d’analyseur de paquets
comme « WireShark ».
• | Il y’a le mode « Rogue detector », qui consacre un point d’accès
à la détection de doublon des adresses MAC. C’est-à-dire qu’il va
relever les adresses MAC qui apparaissent sur deux réseaux.
• | Le mode « Bridge »: transforme le point d’accès en pont dédié

entre deux réseaux.
Très utilisés pour relier deux emplacements séparés par une
certaine distance.
Plusieurs points d’accès en mode Bridge peuvent former une
topologie maillée.
• | Ensuite on a le mode « Flex + Bridge »: qui est un mix entre les

deux modes qu’on a vu juste avant. Le mode « FlexConnect »
fonctionne sur un point d'accès maillé.
• | Et le dernier mode est le mode « SE-Connect »: ici le point

d’accès utilise ses radios fréquence sur tous les canaux sans fil,
pour rechercher des interférences.
Et c’est fini pour les différents modes de point d’accès Cisco.
Dernière petite remarque, c’est qu'un point d’accès light est configuré |
par défaut en mode « local ». C’est-à-dire qu’il fournit des BSS et
permet aux périphériques clients de s’associer à des LAN sans fil. Et
dès que l’AP bascule dans un autre mode, et bien le mode local ainsi
que les BSS seront désactivés.
SÉCURISATION DES RÉSEAUX SANS FIL
Comme vous avez pu vous en rendre compte, les réseaux sans fil sont
assez complexes.
De nombreux protocoles fonctionnent ensemble pour offrir aux
utilisateurs sans fil, une connexion stable et mobile à une infrastructure de
réseau câblé.
| Alors du point de vue de l'utilisateur final, une connexion sans fil ne
devrait pas être différente d'une connexion filaire.
Même si, la connexion filaire procure un meilleur sentiment de sécurité,
parce que dans le sans-fil, les données voyagent dans les airs, et peuvent
être entendue par toute personne se trouvant à portée…
C’est pourquoi la sécurité dans un réseau sans fil

devient très importante.
| Elle se concentre sur plusieurs points, qu’il faut analyser avec précaution.
Il faut :
• | Identifier les points de terminaison d'une connexion sans fil.
• | Identifier l'utilisateur final.
• | Il faut aussi protéger les données sans fil contre les écoutes et
contre la falsification. C’est-à-dire la modification des données.
Le point de l’identification sans fil se fait par diverses authentifications.
Et celui de la protection des données sans fil se sécurise avec du cryptage
au niveau de la trame Ethernet.
Nous allons donc voir, plusieurs méthodes, qui permet de sécuriser un
réseau sans fil.
La difficulté dans le chapitre du Wifi, c’est que c’est rempli | d’acronymes :
(WEP, PSK, TKIP, MIC, AES, EAP, EAP-FAST, EAP-TLS, LEAP, PEAP, WPA,
WPA2, WPA3, CCMP, GCMP)
Alors pas de panique, à la fin du chapitre sur la sécurité du wifi, vous aurez
une vision plus claire, sur la signification de ces différents termes…
Et vous serrez même prêt à configurer un LAN sans fil avec une sécurité
efficace.
QU’EST-CE QU’UNE CONNEXION
SÉCURISÉE ?
| Dans les cours précédents, nous avons vu, comment les clients sans fil
formaient des associations avec des points d'accès sans fil.
Et aussi comment les données se transmettaient dans les deux sens.
Tant que tous les clients et points d'accès sont conformes à la norme
802.11, ils peuvent tous communiquer.
Le problème c’est que tous les appareils 802.11 ne

sont pas tous fiables…
Il peut arriver que les trames transmises n’aillent pas directement de
l'émetteur au récepteur, comme c’est le cas, dans une connexion filaire ou
commutée.
| Avec le sans-fil, les données se déplacent dans toutes les directions, à
partir de l’antenne de l’émetteur, jusqu’à ce qu’un récepteur à porter
intercepte les données.
Sur l’image, on voit que le client sans fil ouvre une session avec le serveur
de fichier qui se trouve dans le cloud, et par ce faite, partage son mot de
passe confidentiel.
| Comme les données circulent dans l’air, il se peut que des utilisateurs
malintentionnés, qui se trouvent également à portée du signal du client,
capturent les trames pour récupérer le mot de passe…
Alors, comment sécuriser les données qui circulent dans un espace
ouvert ?
| C’est la norme 802.11 qui va permettre d’ajouter une couche de sécurité

aux données sans fil, en ajoutant :
• | De la confiance
• | De la confidentialité
• | Et de l'intégrité
C’est ce qu’on va détailler tout de suite.
AUTHENTIFICATION
| Pour utiliser un réseau sans fil, les clients doivent d'abord découvrir, ce
qu’on appelle, un ensemble de services de base, le BSS (BSS "Basic Service
Set"), afin de demander l'autorisation de s'y associer.
| Les clients devront alors être obligatoirement « authentifiés » par le point

d’accès, pour accéder au LAN sans fil.
L’image montre le processus d'authentification de

base, d’un client.
Cette authentification peut prendre plusieurs formes, mais généralement
il s’agit d’une chaine de texte statique qui est stockée sur le périphérique
du client et qui est présentée au point d’accès en cas de besoin...
Le souci avec cette seule protection, c’est que si l’équipement de
l’utilisateur est perdu ou volé, et bien n’importe qui ,pourra toujours se
connecter au LAN, à l’aide du PC.
Il existe aussi un autre danger sur ce type d’authentification.
Par exemple, admettons que vous êtes sur votre lieu de travail, ou à
domicile, ou bien même, dans un aéroport, et que vous rejoignez le point
d’accès, le plus proche avec toute confiance.
| Alors même si le SSID (SSID "Service Set IDentifier») vous est familier,
comment être sur de la fiabilité du point d’accès ?
De plus, si le PC a déjà accroché le point d’accès, et bien il se connectera
automatiquement, dès qu’il verra le SSID de diffusé.
Dans ces deux cas, vous pourriez très bien vous connecter à un imposteur,
sans avoir de doute…
Il existe de nombreuses faille et attaques, dans lequel, un utilisateur
malveillant, se fait passer pour un point d’accès !
Et lorsque le client rejoint le faux- point d’accès, et bien l’attaquant peut
facilement intercepter toutes les communications à destination et en
provenance du client depuis sa position.
| Pour empêcher ce type d'attaque, le client doit authentifier l'AP avant

que le client lui-même ne soit authentifié, comme le montre cette image.
Avec ce type de scénario, toutes les trames reçues par un client doivent
également être authentifiées, pour prouver qu'elles ont été envoyées par
un vrai point d’accès. C’est à dire reconnu et fiable.
CONFIDENTIALITÉ DES MESSAGES

| Nous allons maintenant parler de la confidentialité des messages qui
circule dans les airs.
| Nous avons vu que le client doit s’identifier au point d’accès avant de
rejoindre le réseau sans fil, et qu’il peut aussi en vérifier sa fiabilité.
Ce qui procure une relation de confiance entre les

deux équipements.
Le problème, c’est que même, s’il y’a une relation de confiance, entre le
client et son point d’accès, et bien, les données qui circulent vers et depuis
le client sur le canal sont toujours interceptable par n’importe qui, présent
bien sûr, dans la même zone.
Pour protéger ces données qui voyagent sur un réseau sans fil, ils doivent
être cryptés.
C’est-à-dire que les données seront chiffrées avant de quitter l’émetteur,
et seront déchiffrées à la réception par celui qui les reçoit.
Cette une méthode de cryptage que l'émetteur et le récepteur partagent
ensemble, afin que les données puissent être confidentiel pendant leurs
cheminements dans les airs.
Dans les réseaux sans fil, chaque WLAN peut prendre en charge une seule
méthode d'authentification et de cryptage. C’est-à-dire que tous les
clients doivent utiliser le même procédé de cryptage lorsqu'ils s'associent.
Alors vue comme ça… On pourrait penser que le fait d'avoir une méthode
de chiffrement en commun permettrait à chaque client d'écouter tous les
autres clients.
Et bien ce n'est pas vraiment le cas, car le point d’accès négocie une clé de
chiffrement unique, pour chaque client associé.
C’est-à-dire que chaque client aura sa propre clé de

décryptage…
L’AP et le client seront les deux seuls appareils à avoir en commun les clés
de chiffrement, afin qu'ils puissent se comprendre.
Aucun autre appareil ne peut connaître ou utiliser les mêmes clés pour
écouter et décrypter les données.
| Sur l’image, on voit que le mot de passe du client a été chiffré, avant
d’être envoyé.
Seul le point d’accès pourra le décrypter avant de le transférer sur le
réseau câblé.
On a donc vu que le point d’accès conserve une clé unique pour chaque
client avec qui il échange des données.
Alors le point d’accès a aussi une « clé de groupe » qu’il utilise, quand il
veut envoyer des données chiffrées à tous les clients de sa zone, en même
temps.
Et chacun des clients utilisera dans ce cas précis, la même clé de groupe
pour déchiffrer les données.
CONTRÔLE D'INTÉGRITÉ DES MESSAGES

| On a vu que le destinataire d’un message crypter est capable de le
déchiffrer pour récupérer son contenu, mais que se passe-t-il si quelqu'un
parvient à modifier ce contenu en cours de route ?
Parce que si ça arrive, le destinataire aurait beaucoup mal à savoir que les
données d’origine ont été modifiées…
| C’est là, qu’intervient : « le contrôle d'intégrité des messages », qu’on
retrouve sous les initiales de « MIC ».
Il s’agit d’un outil de sécurité qui permet de se peut protéger contre la
falsification des données.
On peut voir ça, comme une | « marque » qu’ajoute l’expéditeur à l’intérieur
de ses données cryptées. Ce marquage est basé sur la quantité de bits de
données à transmettre.
Et une fois que le destinataire a déchiffré les données, il va comparer son
marquage avec celui de l’expéditeur et s’ils sont identiques, alors le
destinataire supposera en toute sécurité que les données n'ont pas été
modifiées sur la route.
| L’image nous montre bien le processus de vérification du MIC.
MÉTHODES D'AUTHENTIFICATION
Il existe de nombreuses méthodes différentes, pour authentifier les clients

sans fil lorsqu'ils essaient de se connecter au réseau.
Ces méthodes ont évolué au fil du temps, pour corriger certaines
faiblesses de sécurité.
Dans ce cours, nous allons voir les méthodes d'authentification les plus
courantes que vous pourriez rencontrer.
OPEN AUTHENTICATION
| Au tout début de la norme 802.11, il n’y avait que 2 méthodes
d’authentification :
• | L’Open Authentication
• | Et le WEP ( Wired Equivalent Privacy )

L’open Authentication, qui se traduit simplement par, | l'authentification
ouverte est fidèle à son nom.
C’est-à-dire que c’est un accès ouvert au LAN sans fil ! La seule exigence
est que le client doit utiliser | la norme 802.11 pour pouvoir s’associer au
point d’accès, et c’est tout.
Il n’y a | ni mot de passe | ni contrôle de l’identité.
Alors vue comme ça, c’est vrai que ça ne semble pas très sûr…
Mais en faite cette méthode à surtout pour but, de valider que le client
possède bien un équipement compatible avec la norme 802.11.
Quant à l’identité du client, et bien, il sera vérifié par d’autres moyens.
Par exemple dans les | lieux publics, comme à l’aéroport ou même dans les
hôtels, vous pouvez librement accrocher la borne Wifi. Et dès que vous
ouvrez votre navigateur, et bien c’est là qu’on vous demande d’accepter
les conditions d’utilisation du Wifi et de vous authentifier, avant de
pouvoir accéder au réseau.
WEP ( WIRED EQUIVALENT PRIVACY )
Comme vous pouvez vous en douter, l'authentification ouverte n'offre

aucune sécurité sur le chiffrement des données entre le client et le point
d’accès.
C’est pourquoi la | norme 802.11 a défini le WEP, comme une méthode
pour rendre une liaison sans fil proche d’une connexion filaire.
Le WEP utilise l'algorithme | de chiffrement « RC4 », dans le but de cacher
les données qui circulent dans les airs, pour qu’ils ne se fassent pas
écouter.
C’est ce qu’on appelle la clé WEP.

Le WEP est connu comme une | méthode de sécurité à clé partagée.
C’est-à-dire que chaque client et point d’accès doivent partager la même
clé, pour que le client puisse s’associer au point d’accès.
La clé WEP peut aussi être utilisée comme une méthode d'authentification
et comme un outil de chiffrement.
Dans ce cas, le point d’accès va tester le client de la clé WEP, en lui
envoyant une | phrase aléatoire pour le tester.
Le client va crypter cette phrase avec sa clé WEP et renverra le résultat au
point d’accès, qui pourra comparer le chiffrement du client avec le sien
pour voir si les deux clés WEP donnent les mêmes résultats.
Les clés WEP peuvent avoir une longueur de | 40 ou 104 bits, ce qui
représente une chaine de 10 ou 26 caractères hexadécimaux.
En règle générale, plus les clés sont longues et plus le cryptage est
robuste…
Mais ce n’est pas le cas pour le WEP…

Le WEP est rentré dans la norme 802.11 en 1999.
Et c’est peu de temps après, en 2001, qu’un certain nombre de faiblesses
ont été découvertes sur le WEP…
Il fallait donc trouver de nouvelle méthode +

efficace pour sécuriser les réseaux sans fil.
Et ce n’est qu’en 2004, que l'amendement 802.11i est sorti et que le WEP a
perdu officiellement de la popularité…
C’est pourquoi aujourd’hui le cryptage WEP est considéré | comme une
faible méthode pour sécuriser un LAN sans fil.
802.1X / EAP
| Avec uniquement de l'authentification ouverte et du WEP, disponibles
dans la norme 802.11 d'origine, il fallait trouver une | méthode
d'authentification plus sécurisée.
Alors plutôt que de rajouter de nouvelles méthodes d'authentification
dans la norme 802.11, une nouvelle structure plus flexible et plus évolutive
a été créée.
| Il s’agit de la norme 802.1x qui repose sur le protocole EAP (Extensible

Authentication Protocol).
Le standard 802.1x est une solution de sécurisation, mise au point en juin
2001 par l’IEEE, permettant d'authentifier un utilisateur souhaitant accéder
à un réseau, qu’il soit filaire ou non, | grâce à un serveur d'authentification.
| Le 802.1x repose sur le protocole EAP (Extensible Authentication
Protocol), défini par l'IETF (L’Internet Engineering Task Force), dont le rôle
est de transporter les informations d'identification des utilisateurs.
Le fonctionnement du protocole EAP est basé sur l'utilisation d'un
contrôleur d'accès (Authenticator), chargé d'établir ou non l'accès au
réseau pour un utilisateur (Supplicant).
Faut voir, le contrôleur d'accès, comme | un simple « garde-barrière » qui
sert d'intermédiaire entre l'utilisateur et un serveur d'authentification
(Authentication Server).
Dans le cas d'un réseau sans fil, c'est le point d'accès qui joue le rôle de
contrôleur d'accès.
Le serveur d'authentification permet de valider l'identité de l'utilisateur,
que le contrôleur réseau lui aura transmis.
Et il lui renverra ces propres droits.
| En règle générale, on utilise un serveur RADIUS (Remote Authentication
Dial In User Service), comme serveur d'authentification.
| Nous allons maintenant voir les différentes méthodes d’authentification
du protocole EAP.
LEAP
Pour tenter de remédier aux faiblesses du WEP, Cisco a développé une
méthode d'authentification sans fil qu’on retrouve | avec les initiales de
LEAP ( Lightweight EAP )
| Pour s'authentifier, le client doit fournir un nom d'utilisateur et son mot
de passe.
Le serveur d'authentification et le client | s’échangent des messages
cryptés de type « Challenge ».
Ce sont des phrases cryptées et envoyées, pour valider l’authentification
mutuelle.
Tant que ces messages de « test » peuvent être décryptés avec succès, le
client et le point d’accès resteront authentifiés.
Le problème, c’est que cette méthode a été déployée à l’époque ou le
WEP était encore très largement utilisé… Et le LEAP a tenté de surmonter
les faiblesses du WEP en utilisant | des clés WEP dynamiques qui
changeaient très fréquemment.
De plus, et c’est le plus gros souci, c’est que la méthode utilisée pour
crypter | les messages de « challenge » se sont retrouvés très vulnérables, |
C’est pourquoi le LEAP est fortement déconseillé.
Alors même si les clients et contrôleurs sans fil donnent toujours la
possibilité d’utiliser cette méthode, et bien il est préférable d’en prendre
une autre…
EAP-FAST
| Par la suite, pour pallier aux faiblesses du LEAP, Cisco a développé une
méthode encore | plus sécurisée qui est le EAP-FAST (EAP Flexible
Authentication by Secure Tunneling) !
Ici, les informations d'authentification sont protégées en transmettant |
une protection d’accès, qu’on retrouve sous les initiales de PAC (
Protected Access Credential ) entre l'AS et le demandeur.
Le PAC est une forme de « secret partagé » qui est généré par le point
d’accès et utilisé pour une authentification mutuelle.
Cette méthode est une séquence qui se déroule en trois phases:
1. | Pour commencer, le PAC est généré et installé sur le client.
2. | Ensuite, une fois que le client (Supplicant) et le serveur
d’authentification se sont identifiés, ils vont négocier un tunnel TLS
(Transport Layer Security).
3. | Et pour terminer, l'utilisateur final pourra ensuite être authentifié à
travers ce tunnel TLS pour plus de sécurité.
Comme pour les autres méthodes basées sur « EAP », cela | demande un
serveur RADIUS, qui devra obligatoirement fonctionner comme un serveur
EAP-FAST, pour pouvoir générer des « PAC » par utilisateur.
PEAP
| Passons maintenant à la méthode suivante.
Comme pour la précédente, le PEAP (Protected EAP) utilise une |
authentification interne et externe, sauf que le serveur d’authentification
présentera un | certificat numérique pour s'identifier auprès du client.
Et si le client est satisfait de cette identité qu’a fournie le serveur
d’authentification, et bien, les deux construiront | alors un tunnel TLS qui
servira à l’identification du client et à l'échange de clés de chiffrement.
Alors à noter que seul le serveur d’authentification possède un certificat
pour la méthode « PEAP ».
Ça signifie que le client peut facilement authentifier l'AS.
Le client, lui, ne possède pas ou n'utilise pas son propre certificat, il doit
être authentifié dans le tunnel TLS | à l'aide de l'une de ces deux méthodes
:
• |Une méthode PEAP en version Microsoft : MSCHAPv2: (Microsoft

Challenge Handshake Authentication Protocol version 2)
• | Et la méthode GTC: (Generic Token Card ), qui est simplement une

version de Cisco.
EAP-TLS
| Et la dernière méthode EAP est celle qui utilise la | couche transport de
sécurité, le TLS.
Il offre une bonne sécurité, car il utilise | deux certificats pour la création
d'un tunnel sécurisé qui permet ensuite l'identification :
• |Un certificat côté serveur
• |et un autre côté client.
Ce qui signifie que même si le mot de passe est

découvert, il ne sera d'aucune utilité sans le
certificat client.
Alors même s’il procure une énorme sécurité, le problème c’est qu’il faut
obligatoirement que tous les clients disposent d’un certificat… |Ce qui peut
être difficile et couteux, de gérer 1 certificat par machines, pour les
entreprises qui ont énormément de machines…
MÉTHODES SANS FIL DE CRYPTAGE
À l’origine, la norme 802.11 ne supportait qu'une seule méthode pour

sécuriser les données sans fil : c’était le WEP.
On a vu précédemment que le WEP n’est plus adapté pour la sécurité
d’aujourd’hui et qu’il dispose de nombreuses faiblesses.
On va donc voir, d’autres options permettant de crypter les données et de
les protéger, quand ils circulent librement dans les airs.
TKIP
| Le protocole TKIP (Temporal Key Integrity Protocol), a été développé
pour | remplacer le WEP, qui était devenu très vulnérable…
Ce protocole ajoute | plusieurs fonctionnalités de sécurité que nous allons
détailler tout de suite :
• | Le « MIC » (Message Integrity Check), est un algorithme très

efficace, qui permet de hacher chaque trame, tout en vérifiant
l’intégralité du message. Ce qui empêche la falsification des
données.
• | Le « time stamp », est un horodatage, ajouté dans le MIC, pour

empêcher des attaques qui tenterais de relire ou réutiliser les
Trames Ethernet.
• | L’Adresse MAC de l'expéditeur: est inclut dans le MIC, ce qui donne
une preuve, permettant de justifier la source de la trame.
• | Le Compteur de séquence TKIP (TKIP sequence counter) : est une

fonction qui permet de fournir un enregistrement, des trames
envoyées par une adresse MAC unique, ce qui empêche de nouveau,
les attaques de relecture des trames.
• | Il dispose aussi d’un Algorithme de mélange de clés (Key mixing

algorithm) : qui va calculer une clé WEP de 128 bits, unique pour
chaque trame.
• | [Longer initialization vectore (IV)] : et il dispose d’une fonctionnalité

d’initialisation de vecteur, qui lui permet de doubler sa valeur par
rapport au WEP, ce qui veut dire que ça passe de 24 à 48 bits.
Ce qui rend pratiquement impossible d'épuiser toutes les clés WEP.
Pour résumer rapidement, par rapport au WEP, le TKIP dispose de | quatre

algorithmes supplémentaires :
1. | un code d'intégrité de message, souvent dénommé « Michael », le

MIC (Message Integrity Code) assure que le message n'a pas été
modifié ;
2. | un compteur pour les vecteurs d'initialisation, qui ressemble
fortement au numéro de séquence des paquets dans TCP
3. | une génération périodique d'une nouvelle clé temporaire, qui est
elle-même dérivée de la clé principale
4. | Et une génération de sous-clé, pour chiffrer un paquet (key mixing)
à partir de la clé temporaire et d'un vecteur d'initialisation.
Le protocole TKIP est devenu une méthode de sécurité relativement sûre,

permettant de gagner du temps jusqu'à ce que la norme 802.11i puisse
être révisée.
Car il existe aussi des attaques contre ce protocole.
C’est pourquoi il est conseillé de l’éviter si une

méthode plus sécurisée est disponible.
| En fait, Le TKIP a même été déconseillé dans la norme 802.11, avec
l’amendement de 2012.
CCMP
| On va maintenant passer sur le protocole CCMP ( The Counter/CBC-MAC
Protocol) qui est considéré comme | plus sûr que le TKIP.
Le CCMP se compose de | deux algorithmes:
1. | Un compteur de chiffrement AES (The Advanced Encryption
Standard)
2. | Et d’un Code d'authentification des messages (Cipher Block
Chaining Message Authentication Code [CBC-MAC]), | utilisé pour en
vérifier l'intégrité. ( Message Integrity Check [MIC])
La norme de chiffrement AES (The Advanced Encryption Standard) est
l'algorithme qui est | utilisé par l’institut national des standard et
technologie des États-Unis (U.S. National Institute of Standards and
Technology [NIST]) , et même aussi par le gouvernement américain.
| C’est une norme qui est également très utilisée dans le monde entier !
| Aujourd’hui, il s’agit de la méthode de cryptage la plus sécurisée.
Le mécanisme CCMP ( The Counter/CBC-MAC Protocol), sur lequel
s’appuie le protocole AES (The Advanced Encryption Standard), | est
imposé sur la norme WPA2, que nous détaillerons juste après le protocole
GCMP.
GCMP
| Le protocole GCMP (Galois/Counter Mode Protocol) est une suite de

chiffrement très robuste qui est même, | plus sécurisé et plus efficace que
le CCMP. il se compose de | deux algorithmes:
• | Le Chiffrement très rependu AES (The Advanced Encryption

Standard)
• | Et d’un code d'authentification de message (Galois Message

Authentication Code [GMAC]) qui permet de vérifier son intégralité
(Message Integrity Code [MIC])
| Le GCMP est utilisé sur la norme WPA3, que l’on va décrire tout de suite,
dans la section suivante.
WPA, WPA2 ET WPA3
Prise en charge de l’Authentification et du Cryptage WPA WPA2 WPA3

Authentification avec des clés prépartagées ? OUI OUI OUI
Authentification avec 802.1x? OUI OUI OUI
Cryptage et MIC avec TKIP ? OUI NON NON
Cryptage et MIC avec AES et CCMP ? OUI OUI NON
Cryptage et MIC avec AES et GCMP ? NON NON OUI
| Nous allons maintenant voir différents mécanismes permettant de

sécuriser le Wifi.
Lorsque l’on configure une borne wifi, on souhaiterait, dans la mesure du
possible, utiliser la meilleure sécurité.
Mais avec toutes les méthodes d’authentification que l’on vient de voir,
combiné à tous les algorithmes de chiffrement, nous avons tendance à
être perdus…
| C’est là qu’intervient la « Wi-Fi Alliance », que vous pouvez retrouver sur
le site : [http://wi-fi.org].
Il s’agit d’une association à but non lucratif, de l'industrie du sans-fil, qui a
trouvé des moyens simples d’y voir + clair, | grâce à ses certifications WPA
(Wi-Fi Protected Access).
À ce jour, il existe trois versions différentes:
• | Le WPA
• | Le WPA2
• | Et le WPA3
Le WPA a été prévu comme une solution | intermédiaire pour remplacer le

WEP en attendant que la norme 802.11i soit terminée.
Quant à son successeur, le WPA2, il comprend tous les éléments
obligatoires de la norme « 802.11i », | qui certifiée par l'"Alliance Wi-Fi".
La norme WPA2 impose de prendre en charge le mécanisme CCMP ( The
Counter/CBC-MAC Protocol) , sur lequel s'appuie le chiffrement très
répandu AES (The Advanced Encryption Standard)
Le WPA2 a été donc conçu pour remplacer le WPA.
Et c’est en 2018 que la « Wifi Alliance » a introduit la version 3. Le WPA3.
Qui est le remplaçant du 2, car il ajoute de | meilleurs mécanismes de
sécurité.
| Le WPA3 propose un cryptage renforcé en s’appuyant sur le chiffrement
AES (The Advanced Encryption Standard) couplé avec le protocole GCMP
(Galois/Counter Mode Protocol).
| Il utilise également le protocole PMF (Protected Management Frames)
qui permet de sécuriser les trames, entre les points d'accès et les clients,
afin d'empêcher toute activité malveillante qui pourrait usurper ou falsifier
| le fonctionnement d'un BSS (Basic Service Set) .
| Dans le tableau, vous pouvez voir les principales différences entre les 3
versions du WPA.
Chaque version au-dessus, vient remplacer la précédente.
Ce qui veut dire, qu’il est préférable d’utiliser la version la plus élevée,
quand c’est possible.
On va terminer, en regardant le tableau des comparaisons des 3 versions
du WPA.
On remarque qu’il prend en charge | 2 modes d'authentification client:
• La clé prépartagée (Pre-Shared Key [PSK])
• Ou bien la norme 802.1x.

La différence entre les deux porte principalement sur une échelle de
déploiement.
On retrouve ces 2 modes sous 2 appellations différentes :
• | Le mode personnel pour la clé partagée.
• | Et le mode Entreprise pour le 802.1x.

La clé partagée (Pre-Shared Keys) est conçue pour les réseaux personnels
ou de petites entreprises, car il n'y a pas besoin d'utiliser un serveur
d'authentification.
C’est-à-dire que chaque équipement du réseau sans fil s'authentifie
auprès du point d'accès en utilisant la même clé codée sur 256 bits.
Et la norme 802.1x est conçu pour les réseaux d'entreprise, car ça
demande que l'on installe un serveur d'authentification RADIUS.
Ce qui est plus compliqué à mettre en place, mais

par contre, ça offre une meilleure sécurité.
CONFIGURER UN LAN SANS FIL
Un contrôleur LAN sans fil et un point d'accès fonctionnent ensemble pour

fournir une connectivité réseau aux clients sans fil.
Du côté « sans fil », le point d’accès annonce un SSID au client qui souhaite
rejoindre le réseau.
Et du côté « câblé », le contrôleur se connecte à un VLAN, à l’aide de l’une
de ses interfaces dynamiques.
| Pour établir une liaison entre le SSID et le VLAN, il faut définir un WLAN
sur le contrôleur.
L’objectif principal du CCNA, sur la partit Wifi, demande la configuration
d'un WLAN avec une connectivité client sécurisé en WPA2.
Et ce, en utilisant uniquement l’interface graphique du contrôleur.
C’est ce que nous allons détailler tout de suite, en

nous basant sur le schéma.
Le contrôleur va lier le WLAN à l'une de ses interfaces, puis enverra la
configuration du WLAN vers tous ses points d'accès.
Et c’est comme ça que les clients sans fil pourront rejoindre le BSS.
Comme pour les VLAN, il est possible d’utiliser des WLAN, pour séparer les
utilisateurs sans fil.
Et comme ça, les utilisateurs associés à un WLAN en particulier, ne
pourront pas circuler sur un autre WLAN, à moins que le trafic soit
acheminé d’un vlan à un autre, par l’infrastructure du réseau câblé.
En règle générale, il vaut mieux limiter le nombre de WLAN à un maximum
de 5.
Voire même 3, car ils sont très bavards…

Parce que, comme chaque WLAN est lié à un BSS, et bien il devra annoncé
ses propres balises.
Et ces balises sont normalement envoyées plusieurs fois par seconde. Ce
qui veut dire, que plus on créé de WLAN, et plus, on aura besoin de balises
pour les annoncer.
Le réel problème, c’est que les clients auront du mal à transmettre leurs
propres données, car le canal sera occupé avec les transmissions de
balises qui proviennent du point d’accès.
Par défaut, un contrôleur a une configuration de base très limitée, ce qui
signifie qu’aucun WLAN n'est défini.
| Avant de créer un nouveau WLAN, il faut penser à 3 paramètres :
• | Le SSID
• | L’interface du contrôleur et le numéro de VLAN
• | Et le type de sécurité, du sans-fil

Les étapes qui vont suivre ont été effectuées en utilisant une session de
navigateur Web qui est connectée à l'adresse IP qui gère le contrôleur.
ÉTAPE 1. CONFIGURER UN SERVEUR

RADIUS.
| Pour commencer, on va configurer un serveur d’authentification Radius,

pour notre contrôleur, afin d’ajouter une couche de sécurité.
Pour déclarer le serveur Radius sur le contrôleur, | il faut aller dans
« Security » puis sélectionner | « Authentication » sur l’onglet de gauche.
Si vous avez plusieurs serveurs d’authentification

de définis, alors le contrôleur, tentera de les joindre
dans un ordre séquentiel, c’est-à-dire de haut en
bas.
Pour ajouter un nouveau Serveur, | il faut cliquer sur le bouton « New » en
haut à droite.
| Et voici la configuration du serveur Radius, qui existe déjà sur la
topologie :
On va donc reporter :
• | L’adresse IP du serveur
• | La clé secrète
• | Et le numéro de port
Comme on peut le voir sur l’image :
| Il faut s’assurer que l’état du serveur est bien activé.
| Et on peut aussi cocher les cases « Network User » et « Management »
pour authentifier les clients ou les administrateurs à accéder aux
fonctionnalités de gestion du contrôleur.
Pour l’exemple, j’utilise le simulateur Packet Tracer, qui ne prend pas en
charge toutes les configurations possibles du contrôleur…
C’est pour ça que vous voyez des zones grisées.
ÉTAPE 2. CRÉEZ UNE INTERFACE

DYNAMIQUE.
| Passons maintenant à la deuxième étape, qui est la création d’une

interface dynamique.
Nous avons déjà abordé les différents types

d'interfaces de contrôleur.
Une interface dynamique est utilisée pour connecter le contrôleur à un
VLAN sur le réseau câblé.
Lorsque vous créez un WLAN, il vous faut lier l'interface dynamique, et
donc le VLAN, à un réseau sans fil.
Pour créer cette nouvelle interface, | il faut aller dans « Contrôleur » puis
dans | « interfaces ».
Ce qui nous affiche la liste de toutes les interfaces du contrôleur qui sont
actuellement configurées.
On voit d’ailleurs qu’il y’a deux interfaces de déclarer :
• | 1 interface de « gestion »
• | Et 1 interface «virtuelle»
Pour définir une nouvelle interface, | il faut cliquer sur le bouton « new ».
Ensuite il suffit juste d’indiquer :
• | Un nom pour l’interface
• | Et un numéro de VLAN
Dans l’exemple, l’interface s’appellera « Marketing » et sera mappée sur le
VLAN 99.
Pour arriver ensuite sur la configuration réseau de l’interface, il faut valider
la création en appliquant les modifs.
| Juste après, une nouvelle fenêtre s’affiche, et c’est sur celle-ci, qu’il
faudra entrer :
• | l'adresse IP
• | le masque de sous-réseau
• | et l'adresse de passerelle pour l'interface.

| Il faut aussi définir les adresses de serveur DHCP principal et secondaire,
que le contrôleur utilisera lorsqu'il relaiera les demandes DHCP des clients
liés à l'interface.
Dans l’exemple, on voit que l’interface | nommée « Marketing » a été
configurée avec :
• | l'adresse IP 192.168.100.10
• | le masque de sous-réseau 255.255.255.0
• | la passerelle 192.168.100.1
• | et le serveur DHCP principal en 192.168.1.20

Je n’ai pas pu configurer de DHCP secondaire, car
le simulateur Packet Tracer ne le prend pas en
charge.
| Pour finir, il reste plus qu’à appliquer la configuration.
ÉTAPE 3. CRÉEZ UN NOUVEAU WLAN.
| On va maintenant créer un nouveau WLAN.

Pour ça, il faut juste | cliquer sur « WLANs ».
On voit que le contrôleur n’en a pas de définie.

Pour créer un nouveau WLAN, il faut sélectionner | « Create New », puis
cliquer sur le bouton | « GO ».
Il faut ensuite définir un nom de profil et le nom que va porter le SSID.
| Dans l’exemple, j’ai saisi le nom « Marketing » sur les deux champs, pour
simplifier les choses..
L’ID qu’on voit juste en dessous du SSID est juste un repère pour le
contrôleur.
| Il reste plus qu’à appliquer la configuration, pour faire afficher une
nouvelle page qui permettra de modifier d’autres paramètres .
Généralement, c’est sur cette page qu’il faut | activer le WLAN, en cochant
la case « enable » du statut.
Ensuite, il faudra lier l’interface du contrôleur au

WLAN.
Alors par défaut, il s’agit de l’interface de gestion qui est liée au WLAN.
| On va modifier ça, et mettre l’interface « Marketing »
CONFIGURATION DE LA SÉCURITÉ WLAN
Option Détail
None Authentication Ouverte
WPA+WPA2 Wifi protégé par WPA ou WPA2
802.1x Authentification EAP avec du Wep
Dynamique
Static WEP Clé de sécurité WEP
Static WEP + 802.1x Authentification EAP ou WEP
Statique
CKIP Cisco Key Integrity Protocol
None + EAP Passthrough Authentification ouverte avec
accès à l’authentification EAP
| On va maintenant voir le paramétrage de la sécurité.

| Dans l’onglet « Security » et « Layer 2 », on peut choisir le type de sécurité
qu’on souhaite mettre en place.
| Dans le tableau, vous pouvez voir la description des différents choix
possibles.
Pour l’exemple, | on va partir sûr du WPA+WPA2, et cocher la case
« WPA2 » pour ensuite sélectionner le cryptage en « AES ».
Le « WPA » normal et le | cryptage « TKIP » sont plutôt à éviter, car ce sont
des méthodes dépassées…
| On active aussi « PSK », ce qui signifie que dans l’exemple, le WLAN
n'autorisera que du WPA2 personnel avec une authentification par clé
prépartagée.
| Et pour utiliser du WPA2 d’Entreprise, alors il faudrait cocher l’option

« 802.1X ».
| Dans ce cas, 802.1x et EAP seraient utilisés pour authentifier les clients
sans fil sur un ou plusieurs serveurs RADIUS.
| Sur l’image, on voit le serveur d’authentification Radius, que l’on avait

configuré juste avant.
Le 10.10.10.4, sur le port 1645.
CONFIGURATION DE LA QOS WLAN

| On va maintenant passer à l’onglet « QOS » qui permet de configurer la
qualité de service pour le WLAN.
Par défaut, le contrôleur va traiter toutes les trames du WLAN en « Best-
Effort » , c’est-à-dire le mode Silver.
| Il est possible de changer la qualité de service, par différent mode :
• | On a le mode « Platinum » pour la voix
• | Le mode « Gold », pour la vidéo
• | Le mode par défaut « Silver » qui traitera les trames de la meilleure

façon possible
• | Et le mode « Bronze »
PARAMÈTRES WLAN AVANCÉS

| Et pour terminer les onglets, de la partie WLAN, nous avons les
paramètres avancés.
| Par défaut, les sessions client avec le WLAN sont limitées à 1800
secondes, ce qui fait 30 minutes.
Une fois le délai dépassé, le client devra se réauthentifier.
| Cette option se configure avec la case « Enable Session Timeout » et le
champ du délai d’expiration.
FINALISATION DE LA CONFIGURATION
WLAN
| Une fois, qu’on a bien saisie l’ensemble des paramètres du WLAN, il reste
plus qu’à les appliquer.
| Le WLAN sera créé et ajouté à la configuration du contrôleur.
| Sur l’image, on voit bien que le WLAN Marketing a été ajouté avec l’ID
« 1 » et est bien activé pour l'utiliser.
CONSTRUIRE UN LAN SANS FIL
CONNEXION D'UN AP CISCO
On a vu, qu’un réseau sans fil peut être composé d'AP autonome ou d'AP
light, couplés à un ou plusieurs contrôleurs WLAN.
| Un AP autonome est un appareil qui peut fonctionner tout seul. C’est-à-
dire qu’il n’a besoin de rien d’autre, pour transférer des trames Ethernet
d'un VLAN filaires vers un LAN sans fil, et c’est la même chose dans l’autre
sens.
Dans ce type de config, le point d’accès autonome mappe chaque VLAN à
un WLAN et un BSS (BSS "Basic Service Set").
| Comme on le voit sur le schéma, l’AP autonome possède une seule
interface Ethernet filaire, ce qui signifie que l’ensemble des | VLAN’s
doivent lui être acheminés par une liaison trunk.
| Un point d’accès Light, possède aussi qu’une seule interface filaire
Ethernet, et par contre, il doit être associé à un | contrôleur LAN (WLC :
Wireless LAN Controller), pour qu’il fonctionne complètement.
Dans ce type de config, Les VLAN se terminent au niveau du contrôleur et
n’ont pas besoin de descendre jusqu’en bas, car ils sont transportés par le |
tunnel CAPWAP entre le contrôleur et le point d’accès léger.
Ce qui signifie que l’AP n’a besoin | que d’un lien « accès » pour se
connecter à l’infrastructure réseau.
Pour configurer et gérer les points d'accès de chez Cisco, vous pouvez y
connecter votre PC avec un câble console, c’est-à-dire un câble série, qui
sera connectée sur le point d’accès.
Si l’AP est déjà opérationnel et qu’il possède une adresse IP, alors vous
pouvez même | vous y connecter en Telnet ou SSH, pour avoir accès à la
CLI.
Les points d’accès autonome prennent même en charge | des sessions par
un navigateur, via HTTP et HTTPS.
Les points d’accès light sont aussi compatibles pour une configuration par
le navigateur, sauf que la session doit être établie sur le contrôleur.
ACCÈS AU CONTRÔLEUR CISCO (WLC)
| Pour vous connecter et configurer un contrôleur WLAN, vous devrez

ouvrir un navigateur Web à l'adresse IP du contrôleur, avec HTTP ou bien
HTTPS.
Il faut bien sûr que le contrôleur ait déjà son adresse IP de gestion
assignée à son interface.
| L'interface Web donne un moyen efficace de :
• | Surveiller
• | Configurer
• | Et de dépanner un réseau sans fil.

Il est bien sûr possible, si vous préférez les lignes de commandes, de vous
y | connecter par une session Telnet ou SSH.
Que ce soit par l’interface Web ou l’interface CLI, les admin devront avoir
un compte utilisateur de gestion.
Ce compte, peut être géré soit en local, ou bien avec un serveur
d'authentification, comme un serveur TACACS ou RADIUS, qu’on appel
aussi un serveur AAA.
Alors, pour le CCNA, l’objectif est de se concentrer sur l’interface
graphique du contrôleur, pour configurer un WLAN.
Dans les exemples qui vont suivre, l’architecture WLAN a déjà été
configurée.
C’est-à-dire que le contrôleur possède déjà une IP pour pouvoir s’y
connecter.
Dans la suite du cours, nous verrons comment configurer une topologie
WLAN en partant de zéro, à l’aide du simulateur Packet Tracer !
| Pour revenir à l’interface graphique, lorsque vous y êtes connecté, le
contrôleur affichera le tableau de bord, qui ressemblera à cette
illustration.
CONNEXION AU CONTRÔLEUR CISCO
(WLC)
La connexion d'un contrôleur LAN sans fil, au réseau, n'est pas aussi
simple, car il existe plusieurs types de connexions différents.
Quand on travaille sur des routeurs ou des switches, les termes
« interfaces » et « port », sont identiques.
Par exemple, chez les commutateurs, on peut les appeler modèles 48
ports, et on dira qu’on fait des modifs sur des interfaces.
Chez les contrôleurs sans fil, c’est un petit peu plus différent.
Les ports et les interfaces font référence à différents concepts.
| Les ports du contrôleur sont des connexions physiques à relier vers un
réseau câblé ou commuté.
| Tandis que les interfaces sont des connexions logiques qui s’établissent
en interne au sein même du contrôleur.
On va donc détailler chaque type de connexion
UTILISATION DES PORTS WLC

| Il est possible de connecter plusieurs types différents de ports, du
contrôleur au réseau.
Sur le schéma, on peut voir :
• | 1 Port de service (Service Port):

qui est utilisé pour la gestion du système. C’est-à-dire pour
récupérer le système, ou pour gérer les fonctions de démarrage. Ce
port se connecte toujours à un port du switch en mode « Accès »
• | On a les ports de distribution du système (Distribution system

port).
Ils sont utilisés pour le trafic des points d’accès et aussi pour de la
simple gestion.
Ce type de port se connecte généralement à un port du switch en
mode « Trunk »
| Le symbole « LAG » représente les liens agrégés, qui permettent de
regrouper plusieurs ports réseau.
• | Il y’a le Port console:

pour se connecter à l’aide d’un terminal, configurer avec les mêmes
paramètres que pour la CLI sur les switchs et routeurs.
| C’est-à-dire :
o Une vitesse de 9600 bauds
o 8 bits de données,
o Et 1 bit d'arrêt
• | Et on à 1 Port de redondance :
qui est utile pour connecter un autre contrôleur, afin de garantir un
fonctionnement en haute dispo.
Pour revenir au port de service, habituellement, on les attribue à un VLAN
de gestion, pour pouvoir y accéder avec une connexion SSH, ou bien à
l’aide d’un navigateur Web. Ce qui est très utile pour de la maintenance.
Alors chaque port de service, ne peut prendre en

charge qu’un seul vlan.
Et le port, sur lequel il sera raccordé au switch, devra être déclaré en mode
« accès »
Les ports de distributions transportent la plupart des données, à
destination et en provenance du contrôleur.
Par exemple, | les tunnels CAPWAP transitent par les ports de distribution.
Les clients passent également des LAN sans fil aux VLAN câblé sur ces
ports.
Pour tirer le meilleur parti de chaque port du système de distribution, on
peut tous les configurer pour qu'ils fonctionnent comme un groupe
logique, un peu comme un EtherChannel ou un port-channel sur un
commutateur.
Sur un contrôleur on appelle ça un | groupe d’agrégation de liens, qu’on
voit sous les initiales de « LAG ».
Sur le schéma, on voit bien que les | quatre ports du système de
distribution sont configurés en agrégation.
Avec ce type de configuration, le trafic peut être équilibré sur les
différents ports que compose le LAG.
L’avantage, c’est que si un port tombe en panne, et bien le trafic sera
redirigé vers les autres ports en service.
UTILISATION DES INTERFACES WLC
| On a vu qu’à l’aide de ses ports système de distribution, un contrôleur

pouvait se connecter à plusieurs VLAN sur le réseau commuté.
Alors en interne, le contrôleur doit en quelque sorte mapper ces VLAN
câblés, à des réseaux sans fil logiques équivalents.
Par exemple, supposons que le VLAN 10 soit réservé aux utilisateurs sans
fil dans le service marketing d’une entreprise.
Ce VLAN devra être connecté à un LAN sans fil, qui existe sur un
contrôleur et sur ses points d'accès qui lui sont associés.
Et le réseau sans fil doit ensuite être étendu à chaque client qui vient
s’associer au SSID du service marketing.
| Les contrôleurs sans fil fournissent donc la connectivité par des
interfaces logiques en interne, qui doivent être configurés avec :
• | une adresse IP
• | un masque de sous-réseau
• | une passerelle par défaut

• | et un serveur DHCP (Dynamic Host Configuration Protocol).
Chaque interface logique est ensuite affectée à un port physique et à un
ID VLAN.
On peut considérer une interface comme une

terminaison de couche 3 sur un VLAN.
| Comme pour les ports du contrôleur, on va maintenant détailler ces
interfaces.
• | On à l’interface de gestion: qui est utilisée pour le trafic de gestion de

base, c’est-à-dire pour :
o | L'authentification des utilisateurs RADIUS
o | La communication de contrôleur à contrôleur
o | Les sessions Web et SSH
o | SNMP, le protocole NTP (Network Time Protocol), syslog, etc.
• | On à l’interface qui gère la redondance.

Ici, l'adresse IP qui gère la redondance fera partie d’un ensemble de
contrôleurs à haute dispo.
Le contrôleur actif utilisera l’adresse de l’interface de gestion et les
contrôleurs de secours utiliseront l’adresse qui gère la redondance.
• | Ensuite on à l’interface virtuelle:

Le contrôleur a une interface virtuelle qu'il utilise pour la gestion de la
mobilité.
Ce qui inclut :
o | le relais DHCP
o | L’authentification Web
o | la terminaison VPN
o et d’ autres fonctionnalités.
Cette adresse IP est utilisée uniquement dans la communication
entre le contrôleur et les clients sans fil.
Par exemple, lorsqu'un client sans fil fait une demande pour obtenir
une adresse IP, alors le contrôleur pourra relayer cette demande sur
un serveur DHCP, qui pourra lui fournir une adresse IP.
L’adresse de l’interface virtuelle ne doit pas être utilisée sur Internet
ou bien même, sur le réseau local.
• | Pour continuer on à l’Interface du port de service:

Elle est utilisée pour communiquer avec le port de service.
• | Et pour finir, on a l’Interface dynamique:
qui est utilisée pour connecter un VLAN à un WLAN. Ce qui permet
d’établir des connexions logiques entre les réseaux sans fil et câblés.
ADRESSES PUBLIQUES ET PRIVÉES
ADRESSE PUBLIQUE/PRIVEE ET NAT

Les Adresses publiques sont utilisées pour se connecter à Internet.
Tant dit que les adresses privées sont eux, utilisées en interne pour
l’entreprise.
|Dans les adresses IP privées, chaque hôte a besoin d’une IP unique.
Les hôtes privés, qui ne se connectent pas à Internet peuvent très bien
utiliser n'importe quelle adresse, du moment qu’elle n’est pas affectée à
une autre machine.
Il y’a en tout, 3 plages d’IP, qui sont désignés pour une utilisation
strictement en interne et donc privée.

L’ensemble de ces adresses ne sont pas acheminées dans ce qu’on appelle
le « backbone Internet ».
Les routeurs Internet sont tous configurés pour éliminer toutes les
adresses privées.
|C’est-à-dire, qu’elles ne sont pas routables sur

internet.
Dans un intranet privé, ces adresses peuvent très bien être utilisées,et
c’est même plutôt conseillé, à la place d'adresses publique.
Et lorsqu'un réseau qui utilise des adresses privées veut se connecter à
Internet, il faudra, alors faire, une translation des adresses privées en
adresses publiques.
Ce processus, qui transforme les adresses privées en public, pour pouvoir
aller sur internet, s'appelle le |NAT .
Et le périphérique réseau qui s’occupe du NAT,

c’est le routeur !
|Les adresses IP publiques sont utilisées sur des hôtes, qui doivent être
accessibles au public depuis Internet.
D’ailleurs, la stabilité d'Internet dépend du faite,

que chaque adresse publique soit unique.

Il existe un organisme, qui veille à cette stabilité, c’est| l’InterNIC !
Aujourd’hui, ce nom a changé, pour laisser place à| l’IANA !
C’est elle qui gère soigneusement l’ensemble des IP publics, pour s’assurer
qu’il n’y a aucun doublon.
Car une adresse publique en double entrainerait

une énorme instabilité sur Internet.
Pour obtenir une IP publique ou un bloc d'adresses, il faut se rapprocher
de son |fournisseur d’accès à internet.
Ou sinon il faut prendre contact avec le| LIR, car c’est eux qui peuvent
obtenir des pools d’IP du |registre internet de sa région.
Vous devez le savoir, avec la croissance rapide d'Internet, les adresses IP
publiques viennent à manquer…
C’est pourquoi de nouveaux mécanismes ont vu le jour comme :
• le NAT, |
• ou bien le CIDR,
• ou alors le| VLSM
• et aussi |l’IPv6.
L’ensemble de ces mécanismes ont été développés

pour pallier au problème du manque d’adresse
IPv4 !
|Les petits réseaux utilisent en général des adresses privées. Car elle offre
aux entreprises une grande flexibilité pour la conception de leurs réseaux.
Cet adressage permet une administration plus pratique et une croissance
plus facile.
Mais par contre, avec des adresses privées, il n’est

pas possible de surfer sur Internet.

Et comme il n'y a pas assez d'adresses publiques pour équiper le réseau
privé de toutes les entreprises, la seule solution, c’est d’utiliser un
mécanisme qui permet de traduire les adresses privées en adresses
publiques .
|Et c’est le NAT qui permet de faire cette translation

d’IP.
Depuis la création du NAT, les entreprises peuvent fournir à certains ou à
tous leurs employés, des adresses privées avec une possibilité d’aller sur
internet.
Le NAT permet donc aux utilisateurs privés d'accéder à Internet en
partageant une ou plusieurs adresses IP publiques.
Pour comprendre le mécanisme du NAT, on pourrait le voir comme le
réceptionniste d’une entreprise, qui gère le numéro principal du standard.
Si on appelle nous-mêmes, depuis notre bureau, un client, et qu’on tombe
sur son répondeur, on va alors lui laisser notre nom et lui demander de
nous rappeler sur le numéro principal, celui du standard.
On peut comparer ce numéro à l’adresse publique !

Et lorsqu’il rappellera le standard, il dira au réceptionniste qu’il souhaite
nous joindre en communiquant notre nom.
Le réceptionniste vérifiera son annuaire de numéro, et fera la liaison entre
le nom et le numéro de poste !
Alors, le NAT n’est pas seulement fait, pour surfer sur internet.
Supposons qu’on souhaite communiquer avec un autre réseau LAN et que
ce réseau utilise le même plan d’adressage privé que le nôtre !
Ce qui arrive souvent lorsque 2 sociétés fusionnent.
Et bien pour éviter des conflits il faudra obligatoirement passer par le NAT.
Il y’a 2 types d’adresses importantes dans le nat :
• |On à l’ Inside local: qui est l’ Adresse d’un l'hôte sur le réseau
intérieur

• |Et on à la Inside globale: Qui est l’ Adresse traduite à l'intérieur de
l'adresse locale
Dans le fonctionnement du NAT , le réseau intérieur est l'ensemble des
réseaux soumis à la traduction. Et le réseau extérieur sont toutes les autres
adresses.
Qui sont habituellement, des adresses valides situées sur Internet.
Pour le NAT, Cisco a défini plusieurs termes qu’il faut connaître:
• |L’Adresse inside local: Ce sont les IP attribués aux Hosts, qui sont
des adresses IP privées. Le terme Inside, signifie le réseau interne à
l’entreprise !
• |L’Adresse Inside Global : est la nouvelle adresse IP nattée de l’host,

pour pouvoir aller sur le NET. Le routeur change l’adresse « inside
local » par cette adresse inside globale. C’est généralement une
adresse IP publique. Il pourrait s'agir, par exemple, d'un serveur
Web.
• |L’Adresse Outside global : est l'adresse IP qui réside dans la partie

extérieure du réseau. Elle représente donc l’adresse IP de
destination que l’hôte interne souhaite joindre.
• |Et L’Adresse Outside Local : est L' IP externe de l’hôte de

destination. En principe, elle est identique à l’adresse Outside
globale !
Alors pas de panique, si vous n’assimilez pas encore

ces termes, car dans la suite du cours, nous les
retrouverons sur la configuration des différents
types de NAT !
.
|Le NAT est divisé en trois catégories, pour des utilisations différentes :
• |On a le NAT statique:

ici, 1 adresse IP locale correspond à une seule adresse IP publique.
Ce type de NAT statique est particulièrement utile lorsqu'un

périphérique doit être accessible depuis l'extérieur. Comme un
serveur Web par exemple!
• |Il y’a le NAT dynamique:

ou plusieurs adresses IP locales correspondent à plusieurs adresses
IP publiques.
Ce type de NAT est utilisé, par exemple, lorsque deux entreprises,
qui utilisent le même plan d'adressage privé, fusionnent.
• |Et on a le PAT :
qui mappe plusieurs adresses privées vers une seule et même
adresse publique en utilisant différents ports pour permettre de
suivre la connexion.
Le PAT est également connu sous le nom de |NAT

OVERLOAD. C'est une forme de NAT dynamique. Il
s’agit de l'utilisation la plus courante du NAT.
On peut le voir partout, que ce soit en entreprise ou bien même, à la
maison.
C’est ce qui est d’ailleurs, utilisé sur les box internet, c’est pour ça qu’on
peut y connecter plusieurs pc,des tablettes, des téléphones, et tout ça,
avec qu’une seul IP public.

LES 3 TYPES DE NAT
NAT (NETWORK ADDRESS TRANSLATION)

STATIQUE

Siret : 519 157 861 00047
Sur cette topologie, nous allons voir comment le routeur va traduire une
adresse source privée en adresse publique, avec du nat statique !
|Le PCA qui porte l’IP 192.168.0.1 veut communiquer avec le serveur web
qui se trouve derrière internet et qui porte l’IP public 221.107.50.10.
|Le paquet va arriver sur le routeur, et celui-ci va vérifier sa table NAT !
Comme le routeur trouve bien une correspondance dans celle-ci, |il va
remplacer l'adresse source locale interne du pc, c’est-à-dire la 192.168.0.1
par l'adresse globale traduite en 218.115.20.2.
Cette adresse est l’IP public de notre routeur, qui

permet de surfer sur le NET. Une fois la translation
faite, le paquet sera envoyé !
Ensuite, le serveur Web va bien recevoir le paquet du PC A, |et lui répondra
en utilisant l’IP public de notre routeur en adresse de destination.
Il s’agit donc de l’adresse globale interne.
Et lorsque le routeur recevra ce retour du serveur Web sur son interface
externe, à destination de la inside global, il consultera de nouveau sa table
NAT et| traduira la inside global en inside local, avant de transmettre le
paquet.
La communication entre le PC A et le serveur web

fonctionne correctement à travers internet , en
utilisant du nat statique !
Le NAT statique c’est un mappage un à un entre

une adresse interne et une adresse externe.
On peut comparer l’adresse interne à celle de notre PC à la maison, et
l’adresse externe c’est l’IP public de la box internet.
Celle qui vous permet de surfer sur internet.
Le NAT statique fonctionne aussi en sens inverse, par exemple, on peut
mapper une adresse globale interne à une adresse locale. Très utile pour
un serveur Web.
Passons maintenant à sa configuration qui est relativement simple.

Siret : 519 157 861 00047
|Pour commencer, sur le routeur, on va configurer l’IP public sur son
interface cotée internet, et on va taguer l’interface avec la commande | « ip
nat outside » pour lui dire qu’elle est bien connectée vers l’extérieur, du
côté WAN !.
|Ensuite, on configure une IP, sur l’interface connectée au LAN Local.
On prend la 192.168.0.254, qui sera donc la passerelle par défaut de nos
PC ! |Et on n’oublie pas de taguer cette interface en « Inside », car elle est
du côté LAN.
Et pour finir, en mode de configuration global, |il reste plus qu’a utilisé la
commande « ip nat inside source static » pour lui dire de translater l’IP
interne, la 192.168.0.1, en IP externe, la 218.115.20.2.
|Pour vérifier les configurations NAT du routeur, il faut utiliser la

commande « show IP nat translation ».
Avec cette commande, vous retrouvez les termes Cisco, que nous avons
vus dans le cours précédent. Ce qui est en bleu sont les numéros de port !

Siret : 519 157 861 00047
La port 23 est le port par défaut du protocole TCP, et le chiffre 1021, est un
numéro de port aléatoire qui permet de marquer le paquet.
Le NAT statique permet un mappage permanent

entre une adresse interne et une adresse publique.
C’est de la translation de 1 à 1 !
|Et le NAT dynamique permet de traduire des IP privés, vers des adresses
publiques qui proviennent d’un pool d’IP !
Sa configuration diffère un peu du NAT statique, mais il y’a tout de même
beaucoup de similitudes.
|Comme pour le NAT statique, il faut identifier chaque interface comme
une interface intérieure, |dît « Inside » ou extérieure , |dît « Outside ».
Et ensuite, plutôt que de créer une carte statique d’une seule adresse IP, la
translation se fera sur un groupe d’adresse interne globale !
Pour voir comment le nat dynamique travail, on va se baser sur la même
topologie, et analyser les différentes étapes !
|Ici, les 2 PC’s de gauches, qui porte une IP privé, souhaite communiquer
avec le serveur web à droite, qui à une IP public.
Si il n’ya pas de nat statique de configuré, | alors le routeur traduira
dynamiquement, les adresses des 2 PC’s.
Car si les deux sont configurés, le nat statique sera toujours prioritaire au
nat dynamique.
Ici, le routeur sélectionne donc une adresse globale à partir d’un groupe
d’IP qui aura été créé, et il fera la traduction.
Il choisit l’ IP 218.115.20.1 pour le PC A, et la « .2 » pour le PCB.
|Le masque de notre réseau public est un /27. On peut donc utiliser la
plage IP de .1 à .30.
Le .0 est l’adresse réseau, et la .31 est l’adresse de broadcast.
Ce sont deux adresses que nous ne pouvons pas

attribuer à des hôtes !
|Le routeur remplace donc l'adresse source locale interne des 2 PC’s par
une des adresses globales translatées et envoie le paquet !

Siret : 519 157 861 00047
Ainsi le serveur web peut recevoir les données sans problème ! Et s’ils
souhaitent leur répondre, |alors il utilisera leurs propres adresses de
destination interne globale !
Et lorsque le routeur reçoit les paquets avec les IP’s globales internes, il
recherchera la traduction dans sa table nat, | et translatera de nouveau les
IP’s, avant de les transférer vers les PC’s. La communication entre le
serveur web et les PC’s fonctionne correctement.

DYNAMIQUE
Voyons maintenant la configuration du nat dynamique.
|Tout d’abord, il faut commencer à créer une « access-list » pour désigner

le réseau qu’on souhaite translater. Ici ce sera le réseau 192.168.0.0/24.
|Ensuite, il faut définir le groupe d’adresse IP, avec la commande « ip nat
pool ». À la place du nom-du-pool, en bleu, il faut choisir le nom qu’on
souhaite lui donner ! Dans l’exemple, on utilisera toute la plage IP
publique ! Au total 30 IP !

Siret : 519 157 861 00047
|Ces 2 commandes sont à faire dans le mode de configuration global.
L’ACL, ne doit comporter que des permissions pour

le NAT ! Car si à la fin de l’ACL vous faites un |
« permit any » qui autorise tous les paquets, alors
le protocole nat provoquera une forte
consommation des ressources du routeur, ce qui
causera beaucoup de problèmes sur le réseau.
Pour rappel, à la fin de chaque ACL il y’a
implicitement une ligne qu’on ne voit pas, qui est
un | « deny any »
Comme pour le nat statique, il ne faut pas oublier de |taguer nos

interfaces en entrée/sortit !
Pour rappel, la commande « ip nat inside » marque l'interface comme
étant connectée au réseau intérieur
Et le « Ip nat outside »marque l'interface connectée au réseau extérieur

Siret : 519 157 861 00047
|Et pour finir, toujours en mode de configuration global, il faut établir la
translation dynamique des IP’s source en spécifiant l’ACL et le pool
d’adresses avec la commande « Ip nat inside »
|Et comme pour le nat statique, la commande show IP nat translations

permet d’afficher les NAT’s actifs !
PAT (PORT ADDRESS TRANSLATION)

OVERLOAD
|L' une des principales formes du NAT est le PAT , qui se fait aussi
appeler « overload ».
Ici, plusieurs adresses locales internes peuvent être traduites en utilisant le
NAT dans une ou plusieurs adresses globales internes. La plupart des box
Siret : 519 157 861 00047
internet à domicile fonctionnent en PAT. Le fournisseur d’accès à internet
attribue une adresse à la box, qui fonctionne comme un routeur, et
plusieurs personnes peuvent surfer sur Internet à partir d’une seul et
même adresse.
|Avec le PAT plusieurs adresses peuvent être traduites en une ou plusieurs

adresses grâce à un numéro de port |TCP ou UDP qui seront attribués
automatiquement et aléatoirement sur chaque adresse privée.
Sur cette topologie, les deux PC’s utilisent la même adresse publique, pour
communiquer avec le serveur WEB !
Ce sont les numéros de port TCP, qui permet de différencier les paquets
du PC A de celui du PC B !
Avec ce système, de nombreux hôtes internes peuvent partager la même
adresse globale interne en utilisant de nombreux numéros de port.
Pour la configuration du PAT, et comme toute sorte de nat, il faut |taguer
nos interfaces en entrée et sortie !
Ensuite, comme pour le nat dynamique, |il faut créer une aceess-list pour
définir les adresses locales qui pourront être translatées.

Siret : 519 157 861 00047
|Et pour finir, il faut indiquer au routeur de translater notre access-list, à
travers notre interface sortie, la Fast Ethernet 0/1, avec la commande « ip
nat inside ».
Ne pas oublier le petit mot « overload » à la fin de la

commande.
|Et comme pour tous les types de NAT, la commande de vérification est
identique : C’est show IP nat translations

Siret : 519 157 861 00047
DÉPANNAGE NAT
DEPANNAGE NAT
Lorsqu’il y’a des problèmes de connectivité dans un environnement NAT ,
il est souvent très difficile de déterminer la cause du problème.
Voici des étapes pour vérifier si le nat fonctionne :
• |Tout d’abord il faudrait commencer par vérifier, si les translations se

déroulent sans problème:

o |La commande « show IP nat translations » affiche la table nat
du routeur.
o | « debug IP nat » permet de vérifier les translations en direct.
o | « show access-list » vérifie que l' ACL associée à la commande
NAT comprend bien l’ensemble des réseaux qui doivent être
nattés !
o |Et la commande « show IP nat statistics » permet de vérifier

que les interfaces du routeur sont correctement définies en
inside et outside. Elle affiche aussi des informations :
▪ -sur le nombre total de translations actives.
▪ -des paramètres de configuration NAT
▪ -du nombre d'adresses dans le pool
▪ - et de combien, il y’en a, d’attribuer.
Si certains périphériques ont une connectivité

internet et d’autres non, il s’agirait peut-être du
pool de NAT qui ne comprend pas toutes les
adresses !
• |Ensuite si des translations se produisent, et qu’il n’y a toujours
aucune connectivité, il faudrait vérifier les itinéraires de retour avec
la commande : |show IP route

La commande |clear IP nat translation, avec une * permet d’effacer toutes
les entrées des adresses translatées dynamiquement. Par défaut, elle
s’efface après 24 heures.
Les commandes du type « show » sont très utiles sur de petits réseaux.
Mais dans des environnements plus complexes, il est nécessaire d’utiliser
des commandes « debug » sur le routeur pour afficher le comportement
des translations directement !
Par contre, ce type de commande est à utiliser avec

prudence, car elle consomme pas mal de ressource
CPU de l’équipement. Il faut donc faire très
attention, surtout sur des machines en prod !
|Après avoir dépanné, il faut toujours veiller à désactiver toutes les
commandes debug en faisant un no debug all.
|La commande « debug IP nat » affiche des informations sur chaque

paquet que le routeur traduit, ce qui est super pour vérifier le bon
fonctionnement du NAT.
Dans cette sortie :
• |L’ astérisque à côté du mot "NAT" indique que la traduction s’est

produite par le cache.
Le premier paquet d’une translation est toujours switché par le

process, ce qui est plus lent.
Et après que l’équipement ait mis le chemin en caches, les paquets
traverseront le routeur beaucoup plus rapidement, car ils feront
appel au cache pour trouver leurs chemins..
• |Le S correspond à l'adresse IP source.
• |Suivi de l'adresse traduite.
• |Le D = corresponds à l'adresse IP de destination.
• |Et le chiffre [21] entre parenthèses est le numéro d'identification

IP. Cette information peut être utile pour le débogage, car elle
permet une corrélation avec d’autres paquets IP , notamment quand
on utilise un outil qui analyse les trames comme |wireshark.
Pendant une recherche de panne, il faut bien s’assurer aussi que l’ACL
correspond bien à tous les réseaux qui doivent être nattés.
De ne pas oublier aussi que les ACL utilisent des

|masques inversés et non des masques de sous-
réseau.
Par exemple à l’examen, il y’a une question sous forme de TP, ou il faut
découvrir la panne sur le nat, et la réponse, est qu’il ont paramétré un
masque de sous réseau au lieu d’un masque inversé !
|Pour revenir au dépannage, si, malgré toutes ses vérifications, les
translations ne se produisent toujours pas, il faudrait alors vérifier que le
routeur distant possède bien vers l'adresse qui est traduite !

RÉSUMÉ NAT

ET PAT (PORT ADDRESS TRANSLATION)
Si on ne fait aucune traduction d’adresse réseau ou de port, on ne serait
pas capable d’accéder à internet depuis le PC de chez nous. Ou alors,
seule 1 personne par box internet pourrait y accéder !
Dans les années 80, il y’a eu ce qu’on appelle le Boom internet !
Avec seulement 4,3 milliards d’adresses IPv4, il a fallu trouver une solution
pour pallier à cette pénurie !
C’est comme ça que sont nés le Nat et le PAT, en attendant la migration
vers l’IPv6.
Le NAT est un protocole qui permet de changer

l’adresse IP source d’un paquet par une autre
adresse IP.

Alors, même si actuellement l’IPv6 est en cours de déploiement,
l’adressage IPv4 reste toujours la plus utilisé dans le monde.
Toutes les entreprises, et même nos box internet, utilisent le NAT !
Rappelez-vous de nos classes IP publiques. Elles sont gérées par l’IANA et
vont :
• De 0 à 127 pour la classe A,
• de 128 à 191, pour la classe B,
• et de 192 à 223 pour la classe C.

La classe E est réservée et la classe D est pour le multicast.
|Et bien la solution, a été d’extraire une partie de

ces adresses publiques, pour les réserves en
adresse privée
|Le NAT permet à plusieurs équipements qui sont dans un même réseau
privé d’utiliser une seule et même adresse IP publique.
|Voyons un exemple pour comprendre rapidement son fonctionnement.

À gauche, nous avons un PC qui porte l’IP 192.168.0.1.
Ce pc est raccordé à une box internet, |et il va tenter de joindre le DNS de
Google , en faisant une requête ICMP, c’est-à-dire un ping !
|Le PC envoie donc le paquet au routeur avec comme destination le DNS
de Google et en source, sa propre adresse IP .

Comme l’IP du PC fait partit d’une adresse privée, donc non routable sur
internet, | la box va modifier celle-ci et y mettre sa propre adresse
publique. Elle va donc faire, ce qu’on appelle une translation d’IP.
De cette façon, le paquet arrivera bien à sa destination.
|Et pour le chemin retour, |le routeur remettra l’IP du PC, pour qu’il puisse
recevoir la réponse du DNS de Google !
|L’adresse IP du PC ne sera jamais vue du monde

extérieur.
|Il existe 3 types NAT :
• Le NAT Statique
• Le NAT Dynamique
• Et le NAT Overlay, qu’on surnomme PAT

Nous allons maintenant voir la configuration de ces 3 types de NAT.
Tout d’abord la première chose à faire lorsque l’on configure du NAT, quel
qu’en soit le type, c’est d’indiquer au routeur où se situe le réseau privé et
où se situe le réseau public.

Dans notre exemple |on va taguer l’interface 0/0 comme étant à l’intérieur
de notre réseau,c’est-à-dire « privé » avec la commande « IP nat inside ».
Et| l’interface 0/1 comme étant le réseau à l’extérieur,c’est-à-dire
« publique », avec la commande « IP nat outside »
|Le NAT Statique permet de traduire une adresse IP

privée en 1 adresse IP publique. En statique c’est du
1 pour 1 !
|Voici un exemple de configuration.

Ici chaque adresse IP privée, à sa propre adresse publique qui lui est
réservée pour sortir vers le WAN, ou bien pour surfer sur internet.
On utilise la commande « ip nat inside source static » suivie de l’IP privé et
de l’IP public.
|Dans du nat dynamique , il faut d’abord lui créer une access-list des PC ou
du réseau, autorisé à être translaté !
|Ensuite on va déclarer la plage d’adresse IP publique qui pourra être

utilisée aléatoirement avec la commande « IP nat pool »
Et pour finir, il reste plus qu’à associer notre access-list, qui contient les
IP’s privés, avec le pool d’adresse publique.
|Chaque PC qui souhaite sortir vers internet

empruntera une adresse publique du pool qui aura
été configuré !
|Passons maintenant au PAT !

Le PAT permet de faire correspondre plusieurs
adresses IP privées à une seule adresse publique.
|Pour ça, le routeur va utiliser des numéros de ports.
|Dans sa configuration, il faut assigner le réseau privé à une access-list.

|Et lui dire de translater ce réseau avec l’IP de son interface côté WAN,
sans oublier, le mot « overload » à la fin de la commande !
|Toutes les BOX Internet fonctionnent en PAT.
Les Pc’s, tablette et smartphone que l’on a dans notre réseau domestique,
utilisent donc la même adresse IP publique de la BOX.

FONCTIONNEMENT ACL
LES ACCESS LISTS
Dans un monde parfait où nous pourrions avoir

confiance en n'importe qui et/ou personne ne se
tromperait, et bien nous n'aurions pas besoin de
sécurité.
Mais dans la vraie vie , de mauvaises choses peuvent arriver à notre

réseau, c’est pour ça que nous devons le protéger.
Par défaut, tous les paquets IP sur un routeur sont routés, il n'y a pas de
restrictions.
Grâce aux access lists, il sera possible d’empêcher certains paquets IP
d’entrer ou de quitter nos routeurs !

Les listes d'accès fonctionnent sur la couche réseau, la couche3, et la
couche transport, la couche 4.
Une ACL est une liste de règles qui permet de filtrer ou d’autoriser du
trafic sur un réseau en fonction de plusieurs critères, par exemple de
l’adresse IP, du port, ou même en fonction du protocole !
Elle permet de soit autoriser le trafic, dans ce cas l’ACL commencera par le
mot « Permit », ou bien de le bloquer, avec le mot « deny ».
Il est possible d’appliquer au maximum une ACL par interface et par sens,
c’est-à-dire soit en entrant ou soit en sortant, avec les mots input et
output !
L’ACL est analysée par l’IOS de haut en bas.

Dès qu’une règle matche avec le paquet, il est soit autorisé ou soit
supprimé !
Et le reste de l’ACL ne sera pas analysé.
Toute ACL dispose d’une dernière ligne par défaut qui bloque tout le trafic
qui n’aurait pas matché avec l’une des ACL’s. !

Par exemple sur ce routeur,| un paquet IP arrive sur l’interface Fa 0/0.
• |Le paquet sera analysé par l’ACL entrante.
• |Si le paquet matche avec une règle Deny, alors il sera supprimé.
• |S’il matche avec une règle permit, alors il pourra passer et le routeur
le prendra en charge !
• |Le routeur décide de router ce paquet vers l’interface Fa0/1.
• |Là aussi il y’a une ACL, mais cette fois-ci, elle est placée en sortie !
• |Si le paquet est autorisé alors il continuera son chemin.
• |Sinon il sera supprimé !

Il existe deux types d’ACL :
• |L’ACL Standard qui permet d’analyser le trafic qu’en fonction de

l’adresse IP source

• |Et l’ACL étendu qui lui, permet d’analyser le trafic en fonction de
plusieurs critères !
|Les ACLs standard sont à appliquer le plus proche

possible de la destination, en raison de leur faible
précision.
|Et Les ACLs étendues sont à appliquer le plus

proche possible de la source.
|Dans la configuration d’une ACL, il est possible de l’identifier par un
nombre ou bien par un nom sous la forme d’une chaine de caractères
alphanumériques.
Si on souhaite lui attribuer un numéro, alors la commande sera « access-
list », et si on souhaite la nommer, alors ce sera « ip access-list » !
Lorsqu’une ACL contient plusieurs règles, il faut placer les règles les plus
précises en début de liste, et les plus génériques en fin de liste.
Le plus simple est de créer son ACL dans un éditeur de texte et de la
configurer par un copié/coller pour éviter les erreurs...
Et il est conseillé de toujours désactiver une ACL

sur une interface avant de la modifier

WILDCARD MASK
ACL ET MASQUE INVERSE (WILDCARD

MASK)
Une ACL, est une fonctionnalité de l’IOS Cisco qui est utilisée pour
identifier le trafic.
Elle permet à un admin réseau, de créer un ensemble de règles qui vont
soit autoriser ou soit interdire, n’importe quel type de trafic en fonction
des informations que contiennes le paquet IP.
Elles peuvent être utilisées sur des routeurs ou des switchs.
|L’ACL fonctionne dans un ordre séquentiel.

L’en-tête du paquet est analysé par les ACL, l’une à la suite de l’autre, de
haut en bas.

Si une ACL correspond au paquet, alors le reste des ACL seront ignorés.
Le paquet est alors soit autorisé ou soit refusé.
Si l’en-tête du paquet ne correspond pas à la première ligne ACL, alors le
paquet est testé à la seconde ligne et ainsi de suite.
Ce processus se poursuit jusqu'à la dernière ACL.
|Et la dernière ACL de la liste, est-ce qu’on appelle une acl implicite de
deny, qui refuse systématiquement le paquet.
Si aucune des ACL ne matche avec l’entête IP, alors

par sécurité, le paquet sera supprimé !
|Pour utiliser certains protocoles ou bien certaines fonctionnalités du
routeur, on fait parfois appel aux « wildcard masks », qui se traduit
par « masques inverses ».
Cela permet d’identifier un sous-réseau ou une plage d’adresses IP.

|Le protocole de routage OSPF et aussi le NAT,
utilisent des masques inversés.
Les masques inversés servent à identifier les adresses qui correspondent
ou non à certains critères, c’est-à-dire en fonction d’un range d’IP.
Quand on doit appliquer un masque inversé, il faut garder à l’esprit que:
• |un bit avec une valeur de « 0 » vérifie la correspondance de

l’adresse.
• |Et un bit avec une valeur de « 1 » ignore la valeur correspondante de

l’adresse.
Pour bien comprendre, on va prendre un exemple :
|Nous avons le réseau 192.168.1.0 |avec un masque inversé en 3 fois

« 0 ».63,ce qui correspond à un /26.
Pour chaque adresse, je vous ai mis la forme

décimale, et la forme binaire.
|Chaque bit de l’adresse qui correspond à un bit à 0 dans le masque devra
être identique pour correspondre au réseau.

Dans cet exemple, seuls les 6 derniers bits de l’adresse peuvent varier. Toutes les adresses qui commenceront
par les binaires représenté en vert, feront donc partie de la plage IP.
C’est-à-dire de 0 à 63 !
Alors même si je sais que maintenant vous êtes

incollable en binaire, je vais comme même vous
montrer une technique pour calculer plus
rapidement les masques inversés !
Généralement on utilise des masques inversés qui correspondent à des
sous-réseaux:
• |Par exemple un masque inversé en 4 fois « 0 » correspond à un

masque normal de 4 fois « 255 », un /32. Dans ce cas, le masque ne
matche qu’une seule adresse !
• |Un masque inversé en 3 fois « 0 » .63, correspond à un masque

normal de 3 fois 255.192. C’est-à-dire un /26.
• |3 fois « 0 ».255, correspond à un masque en /24. 3 fois 255.0.
• |2 fois « 0 ». 2 fois « 255 » revient à un masque en /16 : 2 fois « 255. 2

fois « 0 ».
Et ainsi de suite.
|Pour calculer rapidement le masque inversé, le

plus simple est de faire une simple soustraction de
4 fois « 255 » par le masque normal qu’on souhaite
convertir en inversé !
• | « 255 » moins 255 nous donne 0.

• | « 255 » moins 192 faits 63.
• |Et « 255 » moins 0 donne 255.

Pour terminer ce cours d’introduction au ACL’s, nous allons voir les 2 types
d’ACL qu’il existe :
|On a des ACL standards qui permettent de vérifier les adresses sources
des paquets pouvant être acheminés.
Elles sont numérotées de 1 à 99 et de 1300 à 1999.
|En général on les appliquera principalement le plus

proche possible de la destination en raison de leurs
faibles précisions.
|Et on a, les ACL de type étendu qui permettent de vérifier les adresses
des paquets source et de destination.
Elles peuvent également cibler des protocoles spécifiques, des numéros
de port et d'autres paramètres.
Ce qui donne aux admin plus de flexibilité et de contrôle.
Elles sont numérotées de 100 à 199 et de 2000 à 2699.
|Les ACL’s étendues sont plutôt à appliquer le plus

proche possible de la source.

CONFIGURATION ACL STANDARD
ACL STANDARD : CONFIGURATION

Les ACL standards se configurent sur un routeur, en mode de
configuration globale.
La commande « access-list » permet de créer une entrée ACL.
Ici, dans l’exemple, le réseau 172.16. 2fois « 0 » combiné à un masque

inversé en 2 fois 0. 2 fois « 255 » indiquent n’importe quelle adresse source
qui commence par 172.16 !
Nous avons vu, qu’une ACL standard est numérotée

de 1 à 99, ou de 1300 à 1999.
Dans l’exemple nous avons choisi de la nommer en 1.
|La sortie de la commande show access-list affiche les ACL qui sont
actuellement configurées sur le routeur.

|Pour supprimer une ACL, il faut faire un : no access-list + son numéro d’
ACL en mode de configuration globale.
|Et si on refait un « show access-list », cela nous confirme bien que l’ACL
est supprimée.
Une ACL peut contenir plusieurs lignes. Par contre,

il n’est pas possible de supprimer une ligne
individuellement… Du moins, pour les ACL
numérotées !
Le « no access-list » + le Numéro de l’acl, supprime tout le contenu de
l’ACL .
La seule manière d'enlever ou de modifier une ACL serait de copier toutes
les lignes de l'ACL dans un éditeur de texte pour la modifier.
Ensuite de supprimer l’ACL sur le routeur, et de copier / coller la nouvelle
ACL qu’on aura modifiée dans l'éditeur de texte.
Sur les nouvelles versions de l’IOS, l’édition d’une ACL est simplifiée, car
désormais, elles utilisent une numérotation séquentielle !
Grâce à l’ACL, il est donc possible de filtrer le trafic réseau pour limiter ou
restreindre l'accès à une ressource réseau.
L’ACL permet de contrôler l' accès en fonction des informations de couche
3, qui sont contenues dans l’en-tête du paquet IP !

Avec une ACL standard, il est possible d’empêcher des paquets IP, soit
d'entrer ou soit de sortir du routeur.
|Voici un petit schéma, qui explique bien la différence entre, le faite, de
placé l’ACL en entrée ou en sortit d’interface !
|Dans une ACL sortante : les paquets qui rentrent sur le routeur sont
traités, avant tout par la table de routage. Si le réseau de destination du
paquet ne fait pas partie des réseaux qui figurent dans la table de routage,
alors il sera supprimé ! Et si une correspondance existe, il sera envoyé vers
l’ACL. Et idem pour l’ACL, si le paquet est autorisé alors il partira vers
l’interface de sortit, sinon il sera supprimé !
|Et pour une ACL entrante : ici les paquets sont d’abord traités par l'ACL
avant d'être envoyés au routeur !
Après avoir configuré une ACL , il faut l’appliquer à une interface à l'aide de
la commande| « IP access-group » .

La commande « IP access-group 1 out » , applique L’ACL N°1 sur l'interface
en sortie:
Et la commande « IP access-group 2 in » applique L’ACL N°2 sur l'interface
en entrée
Il ne peut y avoir qu’une seule ACL par protocole,

par direction et par interface.
|On va prendre un exemple.
Sur cette topologie, nous souhaitons couper l’accès internet au PC qui

porte l’IP 192.168.1.1, tout en autorisant les autres PC de ce même LAN !
Pour cela, il est possible d’appliquer un filtrage du trafic sur le routeur ,
|soit en entrer, c’est-à-dire sur l’interface qui est connectée au réseau local
ou |soit en sortie,sur l’interface connectée coté Internet.
Comme la lecture d’une ACL se fait de haut en bas, |nous allons créer :
• la première entrée en refusant le PC
• |et la seconde en autorisant tout le LAN 192.168.1.0/24.

|Ensuite, il nous reste + qu’à appliquer cette ACL en sortie, sur l’interface
Fast Ethernet 0/1 !
Vous remarquerez que l’ACL a été placé en sortie

du routeur.
On aurait très bien pu, la positionner directement sur l’entrée FastEthernet
0/0.
Ce qui empêcherait toujours le PC en .1 d’accéder à Internet, mais le
problème, c’est que ça l’aurait aussi empêché de communiquer avec le
routeur !
Pour ceux qui se demandent, |notre seconde ligne

de l’acl, est indispensable, car implicitement pour
des raisons de sécurité, la dernière entrée refuse
tout passage. En gros si aucune entrée n’est
matchée, le paquet est supprimé.
C’est pourquoi dans notre exemple, il était important d’ajouter une ligne
qui autorise tout le reste du réseau.
Au lieu de déclarer notre ACL standard par un numéro compris entre 1 à 99
et 1300 à 1999, il est possible de lui affecter un nom.
C’est ce qu’on appelle |une ACL nommée !
Cela permet d’avoir une description sur la fonction de l’ACL. Ce qui peut
être très utile quand on en a plusieurs.

|La commande, pour créer une access liste nommée est « IP access-list
standard + le nom qu’on souhaite lui donner ! dans l’exemple on lui donne
le nom de : Internet_Interdit_PC1.
On peut pas être plus clair que ça

Le nom qu’on attribue à l’ACL doit être unique.
Vous remarquerez |que le sigle a changé. On est maintenant dans le mode
de configuration de notre ACL !
|On peut désormais écrire nos lignes ACL une par une !
Le principal avantage d’une ACL nommée, c’est que chaque ligne qu’on
rentre est numérotée à partir 10 et incrémentés de 10 pour les suivantes.
Notre ligne « deny » portera le 10 et la ligne en dessous sera «numéroté
« 20 »
Grâce à ça, il est possible de supprimer ou modifier

une ligne sans devoir supprimer l’ACL en entière.
|Et il nous reste plus qu’à rattacher notre ACL nommée sur l’ interface.
Il s’agit de la même commande sauf qu’à la place du numéro on met le

nom.

|Si on fait un « show access-lits », on voit bien que nos deux lignes ACL
portent chacune un numéro de séquence.
Le gros avantage, c’est que si on souhaite interdire internet, pour un autre
PC qui porterait l’IP 192.168.1.2, |on aura juste à placer notre ligne ACL juste
avant le permit, en la numérotant avec un chiffre inférieur à 20.
Dans l’exemple, on a pris le numéro de séquence 5.

De cette façon, |si on refait un « show access-lists », notre dernière ACL ,
c’est placé au-dessus de la première !
On peut aussi très facilement supprimer une seule ligne de l’ACL, sans
devoir la supprimer complètement, |en faisant simplement un « no » + le
numéro de séquence à supprimer.
À faire bien évidemment, | dans le mode de

configuration de l’ACL !

Et on va terminer avec la commande| « access-list resequence » qui
permet la mise à jour de ces numéros séquences sans faire de
redémarrage !

CONFIGURATION ACL ÉTENDUE
CONFIGURATION D'UNE LISTE D'ACCES

Nous allons voir les différentes commandes pour configurer des ACL’s
Standard et des ACL’s étendues.
Aussi bien au format numérique qu’au format

nommé !
|Pour une ACL standard au format numérique, on utilisera la commande
« access-list » pour entrée nos ACL une par une !
Dans l’exemple on choisit l’access list 1 et on lui déclare 3 lignes :
• La première autorise tout le réseau 192.168.1.0 avec un masque en

/24 c’est-à-dire de la 1.0 à la 1.255.
• La seconde refuse tout le réseau de la 1.0 à la 3.255 !
• Et la dernière autorise tout le reste !

Siret : 519 157 861 00047
En gros, cela signifie que tout le réseau
|192.168.0.0/22 est bloqué à l’exception du réseau|
192.168.1.0/24.
S’il n’avait pas eu la| troisième ACL , alors le reste du trafic aurait été
|bloquer par la règle par défaut « deny any any »
|Pour une ACL nommée, le principe est le même, sauf qu’on nomme l’ACL
avec la commande « ip access-list standard » ici elle s’appellera « Mon
ACL ».
Vous remarquerez qu’on est plus en mode

« config » mais dans celui de notre ACL.
Ensuite, il reste plus qu’à insérer nos ACL dedans !
|La commande « show access-lists » permet de vérifier nos ACL.
On voit bien notre ACL numérique en numéro « 1 » et celle qui porte le

nom de « MonACL ».

Siret : 519 157 861 00047
Chaque ACL porte un identifiant qui s’incrémente
en 10.
C’est tout simplement pour pouvoir ajouter d’autre ACL entre-deux.
Car une Access list est lue de haut en bas.

Passons maintenant au ACL étendu.
|Une ACL étendue, à un format un peux plus complexe qu’une ACL
standard.
Dans le champ | « Action » il ne peut y avoir que « permit » ou « deny »,

|Le champ protocole, permet de spécifier un protocole qu’on voudrait
autorisé ou interdire.
Et les champs de |l’IP source ou destinations comporte soit l’adresse + le
masque, ou bien l’host, suivi de son IP.
Dans ce dernier, ce sera qu’une seule IP qui sera

ciblée.
Ou bien avec le mot « Any » qui signifie : n’importe quelle source ou
destination !
|Voici maintenant un exemple de configuration d’une ACL étendue,
numérique et nommée !

Siret : 519 157 861 00047
Le principe reste le même.
Dans cet exemple, notre première ACL, autorise le trafic TCP sur le port
80, de toutes les sources vers l’hôte 192.168.1.2, qui est probablement un
serveur Web !
Et la seconde ACL autorise le réseau qui va de 192.168.0.0 à .255, à envoyer
des requêtes ICMP vers l’hôte 192.168.1.2 !
Par exemple pour faire du ping

|Tout le reste sera refusé avec la règle deny any any par défaut !
|Pour vérifier les ACL étendus, la commande est la même que pour une
ACL standard. « show access-lists »
|Maintenant qu’on a créé nos ACL, il faut l’appliquer à une interface.
• Soit en sorti
• ou soit en entrée.

Siret : 519 157 861 00047
|Les ACLs standard sont à appliquer le plus proche possible de la
destination, en raison de leur faible précision.
|Et Les ACLs étendues sont à appliquer le plus proche possible de la
source. Pour éviter que le routeur route des données inutiles, qui seront de
toute façon supprimées.
|La commande « ip access-group » permet d’appliquer une ACL sur une

interface.
Ici on choisi d’appliquer l’ACL N°1 sur l’interface 0/0 en entrée et l’ACL
étendue numéro 100 sur l’interface 0/1 en sortie !
|Si on lance un « show ip interface » sur la 0/0, on peut voir que l’ACL 1 est
appliqué en entrée, et la 100 est appliquée en sortie.
|Si on souhaite désactiver une ACL sur une interface, il suffit de la
supprimé avec un « no » devant la commande

Siret : 519 157 861 00047
|Il est aussi possible d’appliquer une ACL directement sur des lignes
virtuelles, avec la commande « access-class » pour autoriser un
administrateur à se connecter sur un routeur.
Dans ce cas l’ACL sera à appliquer en entrée

Voyons maintenant comment modifier une ACL.
|Nous avons notre ACL 1, qui autorise le réseau 192.168.1.0.

On souhaiterait que ce soit plutôt le réseau en 2.0.
|Dans ce cas, on supprime d’abord l’ACL qui porte le numéro de séquence

« 10 » et on ajoute notre règle avec le numéro de séquence «15 » !
|Si on refait un « show access-lists », on peut voir que la modification a
bien été prise en compte !

Siret : 519 157 861 00047
|Et pour finir, si on souhaite supprimer une acl nommée, on utilisera la
commande « no access-list » avec le type d’acl et le nom qu’il porte.
Et pour une ACL numérotée, ce sera « no access-list » + le numéro de

l’Access List !

Siret : 519 157 861 00047
COMPOSTANT INTERNES DU ROUTEUR
LES COMPOSANTS INTERNES DU

ROUTEUR
Un routeur est très similaire à un PC. Il y’a plusieurs composants, matériels
et logiciels, que l’ont retrouve aussi bien sur des ordinateurs.
Parmi les principaux composants internes d’un routeur, nous avons :
|Le CPU: C’est lui qui traite les demandes du système d'exploitation.
Par exemple, l'initialisation du système, les fonctions de routage et celle
de la commutation.
|On à la mémoire RAM: C’est la zone de travail du routeur.
Elle contient les tables de routage, les différents caches pour les processus
et protocoles, ainsi que des buffers, pour l’envoi et réception des paquets.
C’est dans la RAM qu’on y trouve le fichier de la

|running-config.

C’est le fichier de configuration en cours du routeur !
Si on ne sauvegarde pas sa conf, dans la startup-

config, et qu’on redémarre le routeur, alors les
modifications seront perdues !
|Ensuite, nous avons la ROM: qui est une mémoire de stockage
permanente.
Elle contient des fonctions de base qui permettent de démarrer le
routeur.
C’est grâce à cette mémoire que l’on peut |récupérer un mot de passe
perdu !
Contrairement à la RAM, la mémoire ROM est une mémoire non volatile,
c’est-à-dire que si l’alimentation est coupée ou

alors que l’équipement redémarre, elle n’est pas
effacée !
|Passons maintenant à la flash ! c’est une mémoire de type EPROM qui
contient le ou |les images IOS.
Si on veut, on peut y mettre plusieurs versions IOS, et booter sur celle
qu’on souhaite !
C’est une mémoire qui ne s’efface pas non plus,

lorsque le routeur redémarre.
|Le dernier type de mémoire est la NVRAM : qui contient 2 choses :
• -on a le |fichier de configuration du démarrage. C’est-à-dire la

startup-config !
• -|Et la valeur du registre de démarrage.

Pour finir sur les composants, du routeur, on a |les Interfaces:
ce sont les connexions physiques qui permettent d’interconnecter le
routeur avec le monde extérieur.
Ça peut être :
• des interfaces Ethernet,

• FastEthernet,
• gigabit Ethernet,
• ou bien des interfaces série,
• port USB
• ou port console.
Alors même s’il existe plusieurs type et modèle de routeur, ils possèdent
tous les mêmes composants matériels.
La seule différence, qu’il pourrait y avoir, c’est avec

leurs dispositions à l’intérieur !
Pour résumer, | l’espace de travail est la RAM.
Les autres mémoires servent uniquement pour de la sauvegarde !
• |La NVRAM pour la startup-config.
• |La Flash pour l’ios
• |Et la ROM pour un mini système.

|C’est ce que l’on va détailler tout de suite !
FONCTION DE LA MÉMOIRE ROM

La mémoire ROM, permets de faire repartir le router même si le logiciel en
Flash n’a pas été trouvé ou a été perdu.
Car elle contient un petit soft qu’on peut comparer

|au mode sans échec de Windows !
C’est une mémoire qu’on ne peut pas effacer !
La ROM est composée de 3 parties :

• |Il y’a le Bootstrap code: qui lit le registre de configuration pour
savoir comment il doit démarrer ! C’est lui qui décide s’il doit charger
ou non l’IOS !
• |On a le POST: qui permet de tester les fonctionnalités de base du

routeur. Il lance tout un tas de tests, pour savoir si tous les
composants qui servent au démarrage sont bien disponibles !
• |Et on a la ROM monitor: qui est plus connu sous le nom de

Rommon.
Cette partie comprend un mini système d'exploitation qui est
normalement utilisé pour des tests, du dépannage ou alors, pour
récupérer un mot de passe perdu.
Dans ce mode, le routeur n'a ni routage, et ni fonctionnalités IP.
C’est pourquoi on peut le comparer au mode sans

échec de Windows !

IMAGE IOS ET FICHIER DE
CONFIGURATION
DÉMARRAGE D’UN ROUTEUR

Lorsqu'un routeur démarre, il lance une série d'étapes avant de charger
l’IOS et sa propre configuration.
Bien comprendre le processus de démarrage peut

aider grandement, à résoudre des problèmes.
Le démarrage est composé de trois phases principales :

Siret : 519 157 861 00047
|Tout d’abord, il va commencer par exécuter le POST et charger le
Bootstrap.
|Le POST est utilisé pour tester le matériel du routeur.
Il va tester :
• le processeur,
• la mémoire vive
• et la NVRAM, qui est la mémoire vive non volatile.

Lorsque tout est OK, le code Bootstrap est copié de la ROM, qu’on peut
aussi appeler la mémoire morte, vers la mémoire vive.
C’est lui qui va permettre de localiser et charger,

l’IOS.
Siret : 519 157 861 00047
|L'IOS est généralement stocké dans la mémoire Flash et est copié dans la
mémoire vive par le processeur pour pouvoir être exécuté.
Si pendant le démarrage, vous êtes connecté sur le port console, vous
pourrez voir une série de « dièze » qui indique que l’ IOS est en train de se
décompresser !
Si l'IOS n’est pas dans la mémoire Flash, le routeur peut tenter d’aller la
rechercher sur un serveur TFTP.
Et si malgré tout, il lui est impossible de localiser l’image, alors c’est là
qu’un mini système de démarrage sera copié de la mémoire morte vers la
mémoire vive.
Ce mini IOS, permet de pouvoir diagnostiquer un minimum, les éventuels
problèmes.
Rappelez-vous, c’est notre fameux mode sans

échec de Windows !
|Une fois que l’IOS est bien chargé, le bootstrap va rechercher le fichier de
conf de démarrage dans la |NVRAM.
Il s’agit de la startup-config.
C’est ce fichier qui contient les commandes et paramètres du routeur.
Si le Bootstrap arrive à trouver ce fichier, il sera alors copié dans la
mémoire vive en tant que fichier de configuration en cours.
C’est-à-dire la running-config !
Et si le fichier de la startup-config n'existe pas alors le routeur tentera de
le rechercher sur |un serveur TFTP.
Et si ce fichier est toujours introuvable, alors il lancera automatiquement
une série de questions pour pouvoir rentrer une configuration de base !
Siret : 519 157 861 00047
|Pour résumer, la séquence de boot d’un routeur :
• |On à la Vérification du matériel.
• |Le Lancement du code de bootstrap.

Il s’agit du registre de configuration.
• |On a le Chargement de l’ios.
• |et l’Exécution de la conf.
REGISTRE DE CONFIGURATION
|La valeur du registre de configuration permet de déterminer certains
paramètres au démarrage du switch ou du routeur.
Cette valeur est stockée dans la NVRAM.

On peut la modifier avec |la commande « confreg » en mode ROMMON, et
|la commande « config-register » directement dans l’IOS !
|On peut l'utiliser pour configurer différentes tâches..
En général, |on l’utilise plutôt pour récupérer un

mot de passe perdu !
On va maintenant voir, comment on peut modifier ce registre de
configuration !

Siret : 519 157 861 00047
|La commande « show version » permet de connaitre la valeur du registre
qui est actuellement en cours sur l’équipement.
Ici c’est 0x2102.

Ce type de registre est utilisé lors d’un démarrage normal du routeur.
C’est-à-dire que la startup-config sera chargée dans la RAM.
Maintenant, admettons que nous souhaitons modifier ce registre pour le
passer en 0x2142.
C’est le code qui permet de ne pas charger le

fichier de la startup config.
Très souvent utilisé pour récupérer un mot de passe perdu, que nous
verrons un peu plus tard dans le cours.
|La commande « config-register », en mode de configuration global,

permet de modifier le registre.
On termine par un exit, pour revenir au mode précédent, et on enregistre
la running-config sur la startup-config !
|Si on refait un « show version », on peut voir qu’au prochain démarrage, il

lancera le registre 0x2142.
|La startup-config sera donc ignorée et le routeur

lancera son petit utilitaire pour avoir une
configuration minimum.
Siret : 519 157 861 00047
CHARGEMENT DE L’IMAGE IOS
|On va maintenant voir en détail, le chargement de l’IOS
Lorsque le routeur trouve une l’image IOS dans la mémoire flash, elle est
ensuite chargée dans la RAM pour s'exécuter.
Mais avant d’être chargée, elle doit être

décompressée.
|C’est pour ça qu’on voit une série de « dièze » s’afficher sur la console !
C’est que la décompression est en cours !
COMMANDE « SHOW VERSION »

|La commande « show version » permet d’afficher plusieurs informations
très utiles !

Siret : 519 157 861 00047
• |Comme la version de l’ios
• |La version du programme bootstrap :
• |La localisation de l’ IOS :
• |Ou bien même, les interfaces physiques de l’équipement :

Ici on voit qu’il a 2 interfaces Gigabit et 2 interfaces série !
• |On peut voir aussi, la taille de la mémoire NVRAM :
• |la taille de la mémoire Flash :
• |et la configuration du registre :
Cette valeur en |0x2102, indique que le routeur tentera de charger l’ IOS à

partir de la mémoire flash et chargera le fichier de conf de démarrage, de
la NVRAM.
CHARGEMENT DES FICHIERS DE

CONFIGURATION
|On va maintenant voir + en détail, le chargement des fichiers de
configuration !

Siret : 519 157 861 00047
|Une fois que l'image IOS est bien chargée et démarrée, le routeur doit
être configuré pour qu’on puisse l’utiliser !
|Si il y’a un fichier de configuration qui existe dans la NVRAM, |alors il sera
chargé !
Sinon, |il essaiera d’en trouver un sur un serveur TFTP !
Et s’il n’arrive toujours pas à trouver de fichier pour démarrer sa conf, | et
bien il ouvrira une petite boite de dialogue, ou il sera possible de lui
configurer le strict minimum !
Maintenant, notre routeur est bien démarré !

|La commande « show running-config » permet d’afficher la configuration
qui est actuellement en cours sur le routeur !
|Et la commande « show startup-config » affiche la configuration qui est

chargée lors du démarrage du routeur !

Siret : 519 157 861 00047
|Ces 2 commandes font partit des commandes IOS,
qui sont les plus couramment utilisés, |car elles
permettent de comparer les deux configurations.
Entre celle |chargée à partir de la RAM, et celle |chargée à partir de la
NVRAM !
|La commande IOS « copy » permet de copier une configuration sur
l’autre !
Ici dans l’exemple, |on copy la running-config sur la startup config !
Cette commande est à faire, après avoir configuré

le routeur.
Car sinon, au prochain redémarrage, vos modifications seront perdues !
Car il chargera la startup-config.

Siret : 519 157 861 00047
IFS GESTION DES IOS
IFS « INTEGRATED FILE SYSTEM »
La disponibilité du réseau est ce qu’il y’a de plus

important pour une entreprise !
Cette disponibilité peut être compromise, s’il y’a des erreurs dans le fichier
de conf du routeur.
Des personnes malintentionnées, qui auraient accès au périphérique
réseau, peuvent très bien modifier ou supprimer les fichiers de
configuration, ou même toucher directement à l’IOS.
C’est-à-dire le système d’exploitation !

Pour protéger le réseau de ces attaques, il faut penser à sauvegarder les
fichiers de configuration ainsi que les images IOS, afin de pouvoir les
restaurer le plus vite, en cas de problème.
Pour ça, les périphériques Cisco ont une

fonctionnalité qui s’appelle IFS.
Ça permet de regrouper l’ensemble des fichiers de l’équipement.
Siret : 519 157 861 00047
|On peut voir les fichiers de la mémoire Flash
|Ceux qui sont hébergés sur un serveur distant.
|Ou bien tous ceux qu’on peut lire et écrire, comme la NVRAM, la running-
config, ou bien la ROM !
Avec IFS, on peut afficher et classer tous les fichiers, même ceux, qui sont
sur des serveurs distants !
Par exemple, on peut très bien lire un fichier de configuration qui sert au
démarrage, pour voir si tout est bon, avant de le charger sur le routeur.
L’admin réseau peut aussi créer des sous-répertoires dans la mémoire
Flash pour y voir + clair.
|Si on fait un « show file systems » , on peut voir, tous les fichiers
disponibles du routeur.
Cette commande donne pas mal d’informations utiles, |comme :
• la quantité de mémoires disponible,
• |le type du système de fichiers et même leurs autorisations.

Que ce soit en| lecture seule ou en | « lecture et écriture »
La sortie de cette commande, montre habituellement plus de ligne, mais
les plus intéressantes, sont la mémoire flash et la NVRAM !

Siret : 519 157 861 00047
|La petite astérisque, qu’on voit, sur la ligne de la mémoire flash, indique
que c’est le système de fichier par défaut qui est utilisé.
L’IOS de ce routeur se charge à partir de la mémoire flash, et non d’un
serveur TFTP.
|Et le « dièze », à la fin de la ligne, signifie que c’est un disque amorçable.
C’est-à-dire, utilisé pour démarrer !

|La commande « dir » permet de montrer le contenu du système de
fichiers par défaut.
|Dans l’exemple, il s’agit de la mémoire flash, comme l’affirme la petite

astérisque de la commande précédente !
Ici la ligne la plus importante, |est celle qui affiche

le nom de l’image IOS qui est en cours d’utilisation
dans la mémoire vive !
Maintenant, si on veut afficher le contenu de la NVRAM, |alors il faut
changer de répertoire.
Car par défaut, on était sur la mémoire flash.

La commande « cd nvram : » permet de rentrer dans le répertoire de la
NVRAM.

Siret : 519 157 861 00047
Si après on fait un | « PWD », qui permet d’afficher le répertoire où on est,
on voit bien qu’on est maintenant dans celui de la nvram.
Et la commande « dir » permet d’en afficher son

contenu !
|Ici, le fichier le plus important est celui de la startup-config, qui est le
fichier de configuration de démarrage !
|Plus le réseau augmente, et plus il est préférable de conserver les images
IOS et les fichiers de configuration des équipements, sur un serveur
distant.
Ça permet d’avoir un meilleur contrôle et une visu directs sur les
différentes versions de revision !
En plus, ça permet aussi d’avoir une sauvegarde,

dans le cas ou l’ios, que le routeur a chargé, est soit
corrompu ou alors a été supprimé
accidentellement !
Un serveur TFTP permet de sauvegarder les IOS des différents routeurs qui
distribuent le réseau.
Cette sauvegarde peut aussi se faire sur un autre routeur, ou bien même
un simple poste de travail, réservé juste pour stocker les images!
GESTION DES IMAGES CISCO IOS

|On va maintenant voir en détail, le format de nom d’une image IOS !

Siret : 519 157 861 00047
Avant de mettre à jour l’IOS sur un routeur, il est important de vérifier la
version du fichier qui sera utilisé.
Le format du nom contient plusieurs partit, qu’il est

important de comprendre, pour trouver l’ios qui
correspondra au mieux lors de la mise à jour !
|La première partie identifie la plateforme sur laquelle l'image peut se

charger !
Dans l’exemple, il s’agit d’un routeur de la série

1900 !
|La seconde partie donne les caractéristiques de l’image.
| Le type «universel» comprend la base IP, la sécurité, et la data.

Siret : 519 157 861 00047
Chaque routeur est activé par défaut, |avec la
fonction « Base IP ».
Le reste des fonctionnalités s’active avec une clé de licence !
|La troisième partie indique où l'IOS s'exécute et si le fichier est
compressé.
Dans l’exemple le « m » indique que le fichier

s'exécute à partir de la RAM et la lettre « z » signifie
qu’il est compressé.
|La quatrième partie est la signature numérique de l’image.
Le mot « SPA » signifie que l’image a été créée par

Cisco et que c’est une version généralisée.
• Le « s » indique que c’est logiciel signé numériquement.
• Le « P » pour production.
• Et le « a » est la version de la clé.

|La cinquième partie est le numéro de version de l’IOS.
|Et la dernière est l'extension du fichier.
Le « .bin » indique que c’ est un fichier binaire

exécutable.

Siret : 519 157 861 00047
SAUVEGARDE ET UPGRADE IOS
SAUVEGARDE IMAGE IOS
Pour avoir un réseau avec de la haute disponibilité, c’est-à-dire un temps

d'arrêt minimum, il est nécessaire d'avoir des procédures pour la
sauvegarde des IOS.
Comme ça, en cas de problème, ce sera très rapide

de restaurer une image vers un routeur.
Nous allons voir en détail, comment faire cette sauvegarde!
Tout d’abord, avant de commencer, il faut vérifier la bonne connectivité de

notre serveur TFTP.
Celui qui accueillera notre sauvegarde !

Siret : 519 157 861 00047
|Pour ça, il suffit juste de lancer un ping du routeur vers le serveur TFTP !
Ici, tout est OK !

|La commande « show flash », fait sur le routeur, permet de vérifier la taille
de l’IOS qui sera envoyé vers le serveur TFTP !
Ici, la taille est exprimée en octet. Ce qui donne a peut prêt 33 mégas pour
l’image en .bin.
Maintenant, on est prêt à sauvegarder notre image, |en utilisant la

commande « copy »

Siret : 519 157 861 00047
Dans l’exemple, on lui dit |de copier de la mémoire flash vers un serveur
TFTP.
Ensuite, il faut lui indiquer :
• |quel fichier copier.
• |L’adresse du serveur TFTP.
• |Et le nom qu’on souhaite lui donner pour la sauvegarde du fichier.
Les points d’exclamation indiquent que le transfert

est en cours !
Les dernières lignes montrent bien que le transfert a réussi
IOS : MISE À JOUR
|Cisco publie régulièrement de nouvelles versions

de ces IOS pour corriger certains bugs, ou bien
pour ajouter de nouvelles fonctionnalités.
On va voir les étapes, pour mettre à jour son IOS sur le routeur.

Siret : 519 157 861 00047
|Tout d’abord : il faut télécharger le nouvel IOS à partir du site de cisco et
le transférer sur son serveur TFTP.
|Ensuite, mieux vaut être prudent, on teste de nouveau la connectivité
entre le routeur et le serveur TFTP.
|Après on lance un « show flash » pour regarder qu’il y’a suffisamment

d’espace pour télécharger la nouvelle version de l’ios.
Ici on voit qu’il ya à peut prêt 221 mégas de dispo.
Ça ne devrait pas poser de problème.

|On peut maintenant copier le nouvel IOS du serveur TFTP vers le routeur,
avec la commande « copy » !

Siret : 519 157 861 00047
|Notre nouvel IOS est maintenant bien présent sur
le routeur.
|Il reste plus qu’à lui indiquer de booter sur la nouvelle version de l’IOS,
avec la commande « boot system » en mode configuration global !
|Ne pas oublier de sauvegarder la running-config

sur la startup-config, |et de redémarrer le routeur
avec la commande « reload » !
|Une fois que le routeur a bien redémarré, on peut vérifier si la nouvelle
image a bien été chargée avec la commande « show version »

Siret : 519 157 861 00047
RUNNING-CONFIG ET STARTUP-CONFIG
RUNNING-CONFIG ET STARTUP-CONFIG
L’orsqu’un routeur va démarrer, il va aller chercher sa configuration, soit
sur un serveur TFTP, ou soit à partir de la NVRAM.
|Le fichier de configuration en cours d’exécution, qui est plus connue sous
le nom de la running-config, |est stocké dans la RAM.

Siret : 519 157 861 00047
|Et le fichier de configuration de démarrage, qu’on appelle la startup-
config, |est stocké dans la NVRAM
Il est possible de copier ces fichiers de conf |vers un serveur TFTP,très utile
juste avant d’effectuer une modification, afin de pouvoir le restaurer en
cas de problème.
|Quand on configure un routeur ou un switch, on

travaille sur le fichier de la |running-config !
Pour éviter de perdre toute modification au prochain redémarrage de
l’équipement, il est important de ne pas oublier de |sauvegarder la conf
vers le fichier de la startup-config avec la commande « copy ».
Soit on fait :
• un copy running-config startup-config,
• ou bien, un copy system running-config vers nvram startup-config !
|Si on veut copier le fichier en cours d’exécution sur le routeur vers le

serveur TFTP, |il faut faire un copy running-config TFTP !
|Dans l’autre sens, ça donne copy tftp : running-config
|Ça marche aussi pour le fichier de la startup-

config.
|Et la commande copy startup-config running-config, permet de copier la
conf de démarrage du routeur vers la conf qui est actuellement en prod !
Quand on se connecte sur un équipement, et qu’on rentre en mode de
configuration globale, c’est-à-dire après avoir tapé |la commande
« configure terminal », nous travaillons sur le fichier de conf en cours
d’exécution, la running-config, celle qui est stockée dans la RAM.
Si on ne copie pas les modifications qu’on a faites,

vers le fichier de la startup-config, elles seront
perdues lors d’un redémarrage.
Siret : 519 157 861 00047
| La commande « erase startup-config » efface le fichier de conf de
démarrage stocké dans la NVRAM.
|Et la commande « erase running-config » supprime la conf en cours !
On va maintenant regarder de plus près le comportement de la
commande « copy »
Admettons que sur la |running-config, nous avons 2 interfaces de
configurer avec une IP.
L’interface Gigabitethernet 0/0 qui porte l’IP 172.16.1.1. Et la 0/1 avec l’IP
192.168.1.1
|Et que du côté TFTP, l’interface GigabitEthernet 0/1 porte l’IP 10.2.2.1. mais
aucune conf n’est présent dans le fichier pour l’interface 0/0.
|Si on passe la commande : « copy tftp running-config »,

Siret : 519 157 861 00047
|et bien l’IP de l’interface Gi0/1 sera modifié par la 10.2.2.1, mais par contre
la Gi0/0 reste inchangé, car elle n’était pas configurée sur le serveur TFTP.
Lorsqu'une configuration est copiée dans la RAM à

partir de n'importe quelle source, la configuration
fusionne plutôt que de l'écraser.
Les nouveaux paramètres sont ajoutés et les modifications remplacent les
anciens paramètres.
Les commandes qui n’existaient pas dans le TFTP et qui figuraient dans la
running-config restent inchangées.
Il faut voir cette copy comme une fusion des configurations ou bien tout
simplement c’est comme si on tapait les commandes une par une.

Siret : 519 157 861 00047
MÉMOIRE ET PASSWORD RECOVERY
RAM NVRAM FLASH ROM

Dans ce cours, nous allons parler des composants d’un routeur.
C’est-à-dire comment sauvegarder notre

configuration et comment traiter différentes
images IOS !
Nous allons même voir comment récupérer un mot de passe oublier avec
la méthode de password recovery !
Au tout début de la formation, nous avons vu que :
• |-La running-config se situe dans la RAM.
• |-La startup-config est dans la NVRAM
• |-L’image IOS est stockée dans la mémoire Flash
• |-Et l’IOS se charge dans la RAM

Hormis ces mémoires, un routeur ou un switch, dispose également d’une
|mémoire ROM, dans laquelle plusieurs éléments sont stockés:
• |-On a le code Bootstrap qui permet d’initialiser le processeur et de

charger l’IOS !

Siret : 519 157 861 00047
• |-On a le POST, qui teste tous les éléments principaux, comme le
CPU, les mémoires ou les interfaces…
• |-Et on à le ROMMON, qui est un système d’exploitation très simple,

utiliser pour le dépannage et récupérer un mot de passe perdu !
Par exemple, si le code Bootstrap n’arrive pas à localiser l’IOS, le
switch ou le routeur basculera dans le mode ROMMON !
On peut le comparer au mode sans échec de

Windows !
|Nous allons maintenant examiner en détail ce qui se passe lorsque l’on
allume un routeur ou un switch !
|1°)tout d’abord, Le POST s'exécute à partir de la ROM et vérifie si le
matériel est correct et quelles interfaces ou modules sont présents sur
l’appareil.
|2°) Ensuite, le Bootstrap se lance, pour localiser et charger le logiciel IOS
de Cisco.
|3°) Il en détermine ou est l'emplacement de l’IOS qui doit être exécuté !
Normalement, l’image IOS se trouve dans la

mémoire Flash, mais il est possible de lui dire d’aller
chercher l’IOS sur un serveur TFTP.
Et si le bootstrap ne trouve pas l’IOS, alors le mode ROMMON se lancera !
|4°) L’IOS sera donc chargée et copiée de notre mémoire Flash ou d’un
serveur TFTP vers la RAM !
|5°) Une fois que L’IOS aura été chargé, le code bootstrap recherchera le
fichier de configuration dans la NVRAM.
|6°)Il copiera ensuite, la startup-config de la NVRAM dans la running-
config de la RAM.
Si il ne trouve aucun fichier de conf, alors l’assistant

de configuration automatique sera lancé ou bien il
essaiera de trouver la conf sur un serveur TFTP !
|7°) Et pour finir, l’IOS Cisco sera bien chargé et prêt à recevoir des
commandes CLI !
|Quand le code « BootStrap » recherche l’ IOS, il le fait en plusieurs
étapes :
• |-Il commence par vérifier le registre de configuration.

Siret : 519 157 861 00047
• |-En fonction du registre, il démarre le système !
• |-Par défaut, il lance l’IOS présent dans la mémoire FLASH !
|S’il n'arrive pas à trouver l'image, alors| il va aller

voir du côté du serveur TFTP !
|-Si une image est présente sur le serveur, alors elle sera lancée .
|Et si aucune image n’est trouvée, alors le code

ROMMON se lancera !
PASSWORD RECOVERY (RÉCUPÉRATION

DE MOT DE PASSE)
Le registre de configuration peut être utilisé pour dire au routeur ou au
switch d’ignorer la startup-config, afin de pouvoir récupérer un mot de
passe égarer !
| Par défaut, le registre de configuration est défini sur « 0x2102 », ce qui
signifie que l’IOS sera chargé à partir de la mémoire Flash, et que ce sera le
fichier de conf disponible dans la NVRAM qui sera exécutée !
C’est-à-dire la startup-config !
Maintenant, admettons que vous rentrez de vacances et que vous| avez
|oublié le mot de passe pour pouvoir vous connecter sur votre switch ou
routeur !
Vous pouvez bien sûr, demander à votre binôme,

mais manque de bol, il vient de partir à son tour en
vacance et il a coupé son téléphone !
La seule solution c’est la méthode du |password recovery , qui consiste à
modifier le registre de configuration pour lui dire de démarrer, en ignorant
le fichier de configuration de démarrage, la startup-config.
De cette façon, on pourra lancer un « enable » sans mot de passe, copier la
startup-config sur notre running-config et modifier le mot de passe !
Voyons tout de suite comment faire :
|-Pour commencer, on va redémarrer notre routeur ou Switch

Siret : 519 157 861 00047
|-Pendant le redémarrage, il faudra appuyer sur « Contrôle » et la touche
« Pause » en même temps. Si c’est un clavier QWERTY, ce sera « Contrôle »
+ la touche « Break »
|-ensuite on devrait arriver dans le mode « ROMMON »
|Nous pouvons à présent changer le registre de configuration avec la
commande «confreg » !
À la place de 0x2102, on le passe à 0x2142 ! cela

aura pour effet d’esquiver la startup-config !
| On peut maintenant, redémarrer notre équipement !
Au redémarrage, il va ignorer la startup-config présente dans la NVRAM et
démarrer la configuration automatique.
Faudra juste lui dire qu’on ne souhaite pas lancer le setup en tapant « no »
et |on devrait se retrouver avec l’invite de commande !
Sans startup-config, il n’y a pas de mot de

passe « Enable »
Nous sommes désormais en mode privilégié !
|On va donc pouvoir copier la startup-config dans la

running-config !
Alors attention, à ne pas faire l’inverse !
C’est-à-dire copier la running-config sur la startup-config !
Car sinon vous pouvez dire adieu à toute votre

conf et reprendre des congés !
Nous avons maintenant récupéré toute notre conf d’origine !
| Comme nous sommes toujours dans le mode privilégié, on va pouvoir
changer le mot de passe !
|Et pour finir, il reste plus qu’à remettre par défaut le registre de
configuration avec la commande « Config-register » en mode de
configuration global !
Car sinon il continuera à zapper la startup-config et

démarrer sur une configuration vierge !
Siret : 519 157 861 00047
PASSWORD RECOVERY
RÉCUPÉRATION DE MOT DE PASSE

Si on oublie le mot de passe d’un équipement Cisco, l'accès au mode
privilégié du routeur n'est plus possible.
Dans ce cas, il faut faire une procédure de

récupération de mot de passe, qu’on appelle aussi
un password Recovery
alors il peut y avoir différentes façons pour récupérer le mot de passe,
selon l’équipement.
Dans le fond la procédure reste similaire.
Un petit tour sur Google ou le site de cisco permet

de trouver la procédure qui correspond à chaque
équipement.
Nous allons voir en détail comment récupérer le mot de passe sur un
routeur Cisco.

Siret : 519 157 861 00047
|Pour commencer, il faut éteindre le routeur et bien connecter un pc sur le
port console.
|Ensuite, au moment où on rallume le routeur, il faut appuyer plusieurs fois
sur la touche « Break » , jusqu’à avoir le prompt Rommon.
Pour info, la touche « break » correspond à la

touche « pause » de nos claviers français
|Dans le mode Rommon, la commande « confreg » permet de vérifier le
registre qui est actuellement,en cours.
Normalement ça devrait être 0x2102

|ensuite il faut réglez le registre de configuration sur 0x2142, pour indiquer
au routeur d’ignorer la startup-config, au prochain reboot
|On peut ensuite redémarrer le routeur qui va ignorer la startup-config.
|Comme il n’a chargé aucune configuration, il sera alors possible de taper

« enable » et de rentrer dans la conf sans mots de passe.
Nous avons donc un routeur avec une running-

config totalement vierge.
|Une fois connecter sans le mot de passe, il faut récupérer la conf d’origine
et la copier dans la running-config en faisant un : « copy startup-config
running-config »
|Comme le routeur avait démarré sans charger de conf, l’ensemble de ces

interfaces sont down.
Siret : 519 157 861 00047
Il faut les remonter avec la commande « no
shutdown »
|Ensuite on peut reconfigurer un nouveau mot de passe avec la

commande « enable secret »
|Et il reste plus qu’à remettre le registre comme il était et a sauvegardé la

running-config sur la startup-config

Siret : 519 157 861 00047
LICENCES IOS CISCO
LICENCES IOS CISCO

Dans ce cours, nous allons parler des licences Cisco de l’IOS !
Aujourd’hui, quand on achète un appareil Cisco, |il est livré avec une image
IOS de base, qui comprend en plus, |tous les jeux de fonctionnalités.
Mais il faudra les déverrouiller avec une clé de

licence !
• |La « base IP » contient les commandes IOS par défaut !
• |Le module « Voice » dispose de fonctionnalité de voix sur IP
• |Le module « Data » prend en charge plusieurs fonctionnalités

comme le MPLS.
• |Et la sécurité donne accès au firewall, au VPN, et à d’autres

systèmes de sécurité !
Siret : 519 157 861 00047
|La commande « show version » nous donne des infos sur les licences
installées de l’équipement !
|Et si on fait un « show license », on a le droit à plus de détail sur chaque

fonctionnalité !

Siret : 519 157 861 00047
Maintenant, admettons que nous voulons mettre en place un VPN avec un
tunnel IPSEC entre deux routeurs.
Avec un IOS de base, on peut très bien monté un « tunnel VPN », mais dès
qu’on souhaite appliquer une cryptologie, alors il nous faudra l’extension
« sécurité »

Siret : 519 157 861 00047
Pour acheter ce package, |on devra prendre contact avec un revendeur
Cisco, et ce dernier nous fournira un |numéro PKT !
En plus de ça, nous avons besoin du| numéro UDI, qu’on peut obtenir en
faisant un « show license udi » |sur notre équipement !
Avec ses deux numéros, Cisco va pouvoir nous générer une licence et
nous l’envoyer !
On recevra un fichier en | « .LIC »

On aura plus qu’à l’installer avec| la commande « license install » et
terminer par un redémarrage !
|Quand le routeur aura redémarré, on pourra vérifier que le module a bien

été installé en relançant |la commande « show license »
Pour les entreprises qui disposent de nombreux équipements Cisco, ils

utilisent plutôt une application qui permet de gérer l’ensemble des
licences de leurs parcs réseau !
|Cette Application s’appelle CLM, elle fonctionne

aussi bien sur Windows que Linux et est
entièrement gratuite.

Siret : 519 157 861 00047
LICENCE IOS
LICENCE IOS
Lorsqu’on achète un nouveau routeur, il est préinstallé de base, avec l’IOS,
ainsi que certaines fonctionnalités que l’on peut activer avec des License .
|La commande « show license » permet d’afficher de nombreuses infos sur

les licences qui sont activées ou non, par le système.

Siret : 519 157 861 00047
|Par exemple, un « show license feature », nous montre que seul le
package IPbase est activé sur ce routeur.
Quand on reçoit un routeur, il est généralement,

livré avec une licence d'évaluation pour la plupart
des packages et des fonctionnalités.
Comme ça, si on souhaite essayer une nouvelle fonctionnalité, et bien il
suffit simplement d’activer la licence d'évaluation.
Et si par la suite, on veut activer en permanence cette licence temporaire,
alors il faudra en faire la demande chez Cisco ou chez un de leur
prestataire, qui nous fournira un certificat pour obtenir notre licence.
|Ce certificat porte l’extension PAK, qui est en faite, une clé de licences
produit.
On peut le voir comme un contrat qu’on a avec

Cisco !
Activez un package sur un routeur, en demandant une licence

permanente, se fait en plusieurs étapes :

Siret : 519 157 861 00047
|tout d’abord il faut achetez la fonctionnalité que l’on souhaite débloquer,
directement chez Cisco ou chez un revendeur.
|Après l’achat, on reçoit une clé produit, qui est plus connue sous le nom
de PAK.
En général, cette clé est reçue par email.

|Ensuite, il faut récupérer sur l’équipement, où l’on souhaite installer la
licence, son identifiant unique, avec la commande « show license udi ».
|Ce numéro UDI comprend l’identifiant du produit, |qu’on appelle le PID.
|Une fois qu’on a en possession le PAK et L’UDI, |il faut générer le fichier de
licence.
On peut voir ça, comme une fusion du PAK et de

l’UDI, pour donner un fichier en .XML !
Pour faire cet assemblage, il y’a 2 options :
• |soit avec l’application Cisco License Manager, qui est un logiciel

libre.
• |Ou soit, directement sur le portail des licences Cisco.

|Et pour finir, il reste plus qu’à uploader le fichier sur la mémoire flash de
l’équipement, et de l’installer avec la commande « license install ».
Dans l’exemple, on lui dit d’aller cherche ce fichier dans la mémoire flash,
et on redémarre le routeur, pour que la licence soit bien activée !
|Si on refait un « show lisence feature », on pourra voir que notre licence
Uck9, qui correspond aux communications unifiées, est bien activée !

Siret : 519 157 861 00047
|Cette commande permet d’afficher les licences qui
sont supportées par l’équipement.
Chaque équipement est livré avec |la fonctionnalité de base qui s’appelle
« Base IP » et qu’on retrouve sous le nom de « ipbasek9 » dans les
équipements Cisco !
Les autres fonctionnalités doivent être activées par licence.
Ce sont des fonctions premium

Il existe en tout 3 catégories de fonctionnalité :
• |On a les données,
• |la sécurité
• et |les communications unifiées. C’est-à-dire la VOIP.
Une licence permanente, c’est-à-dire une licence

qu’on a achetée, n’a aucune limite de temps sur la
période d’utilisation !
Avant d’acheter une licence, il est possible de tester la fonctionnalité, avec
|une licence d’évaluation .
Par exemple, sur notre routeur, nous avons les fonctionnalités de base, + le
package des communications unifié que nous venons d’installer.
Si on veut tester celui de la sécurité, |il faudra utiliser la commande :
« license boot module » suivit du modèle de l’appareil et du nom du
package !
Les licences d'évaluation sont temporaires et

limitées à une période d'utilisation, en général, de
60 jours !
Siret : 519 157 861 00047
|Pour sauvegarder l’ensemble des licences de l’IOS sur la mémoire flash, |il
faut utiliser la commande : « license save».
Dans l’exemple, la sauvegarde porte le nom de « toute_lisence .lic »

|Et pour effacer une licence, il faut d’abord |la désactiver puis l’effacer.
Chacune des 2 étapes |demande un redémarrage.
|On va terminer ce cours, par le logiciel de cisco qui permet de gérer

toutes ses licences à partir de leur site Web.
Avec cette application, il est possible d’organiser et de visualiser ses
licences dans des groupes séparés !
Ces groupes sont appelés des comptes virtuels !

Ce sont des collections de licences et des instances de produits.
Grâce à ces groupes, il est possible de les classer par unité commerciale,
type de produit, ou tout autre service de son entreprise.
En gros, ça permet de manager facilement ses

licences, en les regroupant au même endroit.

Siret : 519 157 861 00047
GUIDE DE DÉPANNAGE
GUIDE DE DÉPANNAGE
Il est impossible d'écrire un guide de dépannage qui résoudrait tout problème de
connectivité IP.
Car chaque problème dépend de nombreux facteurs.

Nous allons voir dans ce cours, les différentes étapes d’analyses afin de résoudre au
mieux un problème réseau.
|La première chose à faire est de commencer par vérifier la connectivité physique.
Il y’a trois catégories principales de problèmes |qui pourrait être à l'origine d'une
panne sur le réseau :
• |On a les pannes matérielles
• |Les pannes de logiciels (bugs)
• |Et les erreurs de configuration.

Après avoir tenté de lancer |des ping et traceroute, il faut réellement commencer ses
recherches par la couche physique, avant d’aller plus loin.

Siret : 519 157 861 00047
Il serait dommage de passer des heures à dépanner, alors que le problème venait d’un
simple câble réseau mal connecté ou défectueux…
|Si on a accès à la salle info, on peut aller checker l’état des leds, des différents
équipements.
Par exemple, s’il n’y a pas de lumière sur un lien, et bien, il

faut aller vérifier aux deux extrémités du câble s’ils sont bien
branchés.
Les interfaces ou les données circulent, est l’élément qui vaut toujours la peine d’être
vérifié, en cas de problème matériel.
|La commande « show interfaces » permet d’affiche des statistiques importantes à

vérifier.
|On peut voir si l’interface est UP ou Down.

|On à aussi des infos sur la file d’attente des paquets. Ça permet de voir si le routeur
reçoit trop de données qu’il ne pourrait en traiter.
Alors ça n’indique pas forcément un problème, car c’est tout à fait normal pendant un
pic de trafic.
Siret : 519 157 861 00047
Mais si ces données sont constamment élevées, alors il faudrait se pencher un peu
plus sur la cause...
|Sur la même ligne, on peut voir le nombre de paquets qui ont été dropés suite à une
congestion de l’interface.
|Le champ Input errors : enregistre les erreurs des trames reçues, comme
les erreurs |CRC.
Un nombre élevé de ses erreurs pourrait indiquer :
• des problèmes de câblage,
• de matériel
• ou bien même, des erreurs duplex.

|Et le champ « Output errors » indique des erreurs de collisions.
Ce qui est souvent lié aussi, à une différence de configuration duplex entre les 2
extrémités.
Aujourd’hui, la plupart des liaisons Ethernet| fonctionnent en

full-duplex.
|Après avoir vérifié la couche physique, on peut passer à un dépannage plus
approfondi, comme des problèmes de routage et de swithing.
|La commande « show IP route » permet d’afficher la table de routage sur un

équipement de couche 3 comme un routeur.

Siret : 519 157 861 00047
Lorsque l’on analyse la sortit de cette commande, il faut se demander, quelles sont les
informations que le PC1 aurait besoin d’avoir pour pouvoir communiquer avec le
serveur à l’autre bout.
C’est à dire quelles seraient les actions à prendre pour qu’il

puisse transmettre le paquet au prochain routeur.
|Le sigle « C » signifie directement connecter.
C’est-à-dire que l’interface du routeur est directement liée au segment de ce réseau.
La distance administrative pour ce code est de 0, ce qui la rend prioritaire sur toutes
les autres entrées de la table de routage.
Pour rappel, plus la distance administrative est basse et plus

les sources sont fiables.
|Le « L » signifie « Local »
L’IP qui est affiché correspond à l’IP de l’interface du routeur.
|C’est pour ça que le masque est en /32.
|Le « S » sont pour les routes statiques : La distance administrative par défaut pour
une route statique est de 1.
Ce qui signifie que les itinéraires statiques sont prioritaires dans la table de routage, à
moins qu'il y ait une connexion directe à ce réseau.
Le routage statique est une méthode très efficace pour les

petits réseaux, qui ne changent pas fréquemment.
Sur des réseaux plus grands qui bougent constamment, mieux vaut utiliser du
routage dynamique.
Tout comme le protocole RIP représenté par un| « R ».
OSPF par un « O » ou bien EIGRP par « D ».
Pour ce dernier, le « D » correspond à l’algorithme « Dual »

qu’utilise EIGRP pour calculer ses itinéraires.
Dans la table de routage, on peut aussi y voir la| gateway, qui est la route par défaut.
Il s’agit du chemin que va emprunter le paquet, si la

destination n’est pas trouvée dans la table de routage.

Siret : 519 157 861 00047
On peut la configurer manuellement, ou alors elle peut être apprise par un protocole
de routage dynamique.
|La gateway, fait partit de la suite du dépannage.
S’il n’y a pas d’itinéraire sur le routeur, ou bien une passerelle par défaut de configurer
sur le PC, la communication entre les deux points ne fonctionnera pas.
Pour que le PC puisse communiquer avec le serveur, il doit avoir de configurer, une
passerelle par défaut, et le routeur, doit avoir une route de définie vers le réseau du
serveur !
La sortie de la commande « show IP route » nous montre bien| qu’une passerelle par
défaut y est configurée.
Cette route statique dit que pour joindre tous les autres réseaux, qui ne seraient pas
répertoriés dans la table, et bien faudra passer par l’interface qui porte l’IP 10.1.10.2.
Pour vérifier la configuration de la passerelle par défaut du PC, on peut faire| un
« ipconfig » sur celui-ci.
Dans l’exemple, on voit qu’elle est bien configurée, puisque

l’IP correspond à l’interface gi0/1 du routeur 1.
|La prochaine étape du dépannage consiste à voir s'il existe un problème de résolution
de nom sur le réseau.
|Le DNS c’est le mappage des adresses IP vers des noms.

Il est beaucoup plus simple d’utiliser des noms que des adresses IP pour accéder à
certaines ressources du réseau.
Et ce sera encore plus évident avec l’IPv6 !

Ce mappage peut se faire de deux façons:

Siret : 519 157 861 00047
• |Soit en Statique:
C’est-à-dire que l' administrateur système crée un fichier texte, dans lequel
figure chaque nom d'ordinateur avec leurs adresses IP.
Et lorsqu'un utilisateur demande une connexion à un autre ordinateur, le
système utilisera ce fichier pour résoudre le nom à l'adresse IP.
Ce système fonctionne bien que sur les petits réseaux.
• L’autre façon de faire ce mappage est en| Dynamique:

ici, le protocole DNS contrôle une base de données qui comprend le mappage
des noms d'hôte en adresses IP.
Il est possible que le réseau fonctionne correctement, mais que la résolution des
noms échoue.
Si on ne parvient pas à accéder à un site Web par son nom, et que par l’adresse IP, ça
fonctionne, alors c’est que ça vient probablement du DNS...
Pour tester on peut aussi, tenter de faire un ping de l’IP puis par son nom.
Après avoir testé la connectivité physique, le routage, vérifier la gateway et le DNS, s’il
y’a toujours un problème, il serait intéressant d’aller voir du côté des| accès-liste.
Les routeurs peuvent très bien avoir des ACL de configurées,

qui interdisent un protocole de passer l'interface dans un
sens ou dans l’autre.
Par exemple sur notre topologie, le PC est incapable d’utiliser Telnet pour se
connecter au serveur.
Pour commencer, on va faire |un « show ip access lists » afin d’afficher le contenu de
toutes les ACL configurées sur le routeur.
Ici on voit qu’il existe une ACL qui se nomme "sortie" et qui n’accepte que le trafic
ICMP.

Siret : 519 157 861 00047
Le trafic Telnet sera donc bloqué par la dernière ligne| implicite « deny any any », qu’il
y’a dans toutes les ACL’s.
Maintenant il nous reste à voir si cette ACL est appliquée sur

une des interfaces du routeur.
Pour ça on va utiliser la |commande « show IP interface »
Ici on voit que l'ACL qui s'appelle "Sortie" a été configurée sur l'interface
GigabitEthernet0/0 comme ACL sortante du routeur 1.
|Pour que le protocole Telnet soit autorisé, il faut ajouter une entrée ACL qui autorise
le protocole Telnet et son port 23.

Siret : 519 157 861 00047
SPAN SNIFFER DE TRAFIC
SPAN SNIFFER DE TRAFIC (PORT MIRRORING)

La fonction SPAN, qui est plus connue sous le nom de «Port mirroring », permet de
connecter un analyseur de paquets à un commutateur.
Un très bon outil qui analyse les paquets est le |logiciel

Wireshark.

Siret : 519 157 861 00047
Sans SPAN, le sniffer de paquet, ne pourra capter que les messages de broadcast et
les multicast, car un commutateur switch les paquets qui sont destinés à une adresse
mac précise sur un port spécifique, en utilisant sa table MAC.
Contrairement au HUB, qui lui, quand il reçoit n’importe quel paquet, il le transfèrent à
tous ces ports, sauf celui qui là émis !
C’est pour ça que le port mirroring a été créé !
Pour pouvoir surveiller le Traffic sur un switch, comme si

nous étions sur un Hub !
Avec le SPAN, tout le trafic qui passe par un port est copié et envoyé vers le port du
sniffeur.
Là ou est connecter le PC avec le logiciel Wireshark d’installé
Ce processus est en quelque sorte un port miroir qui va

refléter les données.
Le SPAN est capable de surveiller un ou plusieurs ports.
On va maintenant passer à sa configuration.
Sur notre topologie, on voudrait analyser le trafic |qui transite du PC1 vers le PC2 !

Siret : 519 157 861 00047
Pour ça, on va devoir copier les données qui circule du| port Fast Ethernet 0/1 vers le
|port 0/2, pour les envoyer vers le| port ou est connecté le sniffer !
Sur le switch, en |mode de configuration global, on va commencer par indiquer le port
source, avec la commande « monitor session ».
Ici on lui donne l’identifiant « 1 » on lui spécifie l’interface 0/1 suivie de « tx » pour le
Traffic entrant.
On fait la même chose pour le port 0/2,
et il reste plus qu’à copier les données vers l’interface 0/3.
Tout le trafic qui passera du PC1 vers le 2, sera copié et

envoyé sur le port 0/3.
|Pour cet exemple, on a spécifié dans la commande, les mots clés TX pour le Traffic
émis et RX pour le Traffic reçu.
Par défaut, si on ne spécifie aucun mot-clé, et bien ce sera les

deux sens qui seront copiés et transmis.
|La commande « show monitor » permet de vérifier la configuration du SPAN.
Ce que nous venons de voir peut être très utile dans le dépannage réseau, pour
connaitre le trafic qui circule sur certains ports de switch.

Siret : 519 157 861 00047
SYSLOG
SYSLOG
Dans ce cours, nous allons parler de Syslog, qui est une fonction
incorporer de base dans les IOS cisco.
C’est en quelque sorte une supervision de son

réseau !
Vous avez certainement déjà vu ce |genre de message s’afficher lorsque
vous êtes connecté sur un switch ou un routeur Cisco !
Ces types de messages sont très utiles, car ils sont affichés par défaut sur
la console, lorsqu’on est connecté dessus !
Et pour ne manquer aucun message, il est même possible de les exporter
vers un serveur Syslog !
Vous remarquerez que ces messages possèdent un

|horodatage !
C’est pourquoi il faut bien s’assurer que l’ensemble de nos équipements
soient bien à l’heure !

Siret : 519 157 861 00047
On sait configurer la date avec |la commande IOS « Clock set »,
mais il est préférable d’utiliser un |serveur NTP pour être sûr que
l’ensemble de nos périphériques soit à la même heure !
La commande « ntp server » permet de configurer un serveur NTP. Ici on

utilise celui de ntp.org !
Au lieu d’un horodatage, on peut utiliser des numéros de séquence, |pour
cela , il faut désactiver l’horodatage et activer le service des numéros de
séquences !
|Voilà le même message d’erreur de l’interface 0/1, mais cette fois avec un
numéro de séquences !
|Dans les logs, Il existe différents niveaux de

gravité.
Ça va du niveau 0 à 7, du plus au moins critique

Siret : 519 157 861 00047
Par défaut, dans la CLI, on voit l’ensemble de ces messages.
Si par exemple, on veut que seuls les logs à partir d’état « Erreurs »
s’affichent alors on utilisera la commande | « logging console errors ».
Et la console affichera uniquement le niveau de

gravité « 3 » et inférieur.
C’est-à-dire qu’elle affichera aussi |les logs critiques ; Alertes et Urgence !
Siret : 519 157 861 00047
La commande | « show logging history » permet de voir l’historique des
logs d’un équipement !
Par contre il ne stocke pas toutes les logs, car ils sont enregistrés dans la
mémoire vive de l’appareil.
Et de plus, si on le redémarre, et bien on perd toute

l’historique du journal !
C’est pourquoi le mieux est comme même d’utiliser un serveur externe
pour stocker ces logs !
Pour ça, rien de plus simple, il suffit de lancer la commande | « logging » +
l’IP du serveur qui stockera les logs !
Par défaut, la commande « logging » n’inclut pas les logs de débogage. Si

on veut les récupérer sur le serveur externe, alors il faudra faire un |
« logging trap 7 »
SYSLOG

Siret : 519 157 861 00047
SYSLOG
Le protocole Syslog, permet de centraliser les logs de plusieurs
équipements réseau.
Par défaut, les logs sont stockés directement sur l’équipement. Que ce
soit un switch ou un routeur ! Et ces logs sont consultables dans l’IOS.
|La commande « debug » permet d’afficher en direct les logs sur la
console !
Le faites de centralisé toutes les logs de l’ensemble

de ces équipements, permet de mieux surveiller et
dépanner son propre réseau !
|Voici le format général des messages de log que l’IOS génère par défaut:
Chaque élément est séparé par deux petits points.
• |Le 1er champ, indique un numéro de séquence, seulement si la

commande | « service sequence-numbers » a été entrée sur l’ios, car
par défaut, elle n’est pas active !
Siret : 519 157 861 00047
• |Le champ « Time stamp » : permets de connaître la date et l’heure
de l’évènement.
Alors il n’est pas non plus activé par défaut ! Pour ça| il faut utiliser la
commande « service time stamps log »!
• |Le champ suivant est divisé en trois partit :

|-facility : Indique le titre général de l’évènement, par exemple
son protocole ou le type de système.
|-le mot severity : est un numéro compris entre 0 et 7, pour
mesurer le degré de sévérité du message.
|-Et MNEMONIC : est une courte description de l’évènement
• |Il reste le champ Description : qui détaille l’évènement

|Et voici, un exemple de logs, qu’on peut avoir dans la CLI !
|On va revenir, sur le champ « Severity » et détailler les différents degrés

de sévérité !

Siret : 519 157 861 00047
• |Le niveau « 0 » est la sévérité la plus grave ! Ici le système est
complètement HS !
• |Le niveau 1 sont les alertes, ou une action est requise !
• |Le 2 est critique !
• |Le 3 sont pour les erreurs.
• |Le 4 , les avertissements
• |Le 5, les notifs
• |Le niveau 6, sont juste pour informer
• |Et le 7 est le mode de debugging.

C’est-à-dire que tout type de messages est affiché !
Si le niveau de sévérité est configuré sur 0, ça

signifie que seuls les messages de type
« Emergency » seront affichés dans la CLI.
Si c’est configuré avec un niveau 4, et bien tous les messages avec
des niveaux de sévérité inférieur ou égal à 4 seront affichés.
C’est-à-dire, Emergency, Alert, Critique, erreur et Warning !
Le niveau qui donne le plus d’information est donc

le niveau 7, qui est le mode de débogage.
S’il est activé, alors beaucoup d'informations seront affichées dans le
journal et sur la console.
C’est donc à utiliser avec prudence, car ça diminue

fortement, les performances du réseau.
|Par exemple la commande « debug all » peut faire complètement tomber
un switch.
CONFIGURATION
|On va maintenant passer à sa configuration !

Siret : 519 157 861 00047
|Pour mettre en service un serveur syslog , il faut indiquer l’IP du serveur
syslog et le degré de gravités des logs, à tous les équipements à qui on
souhaite récupérer ces logs,
|La commande « logging » permet d’indiquer l’IP du serveur Syslog.

Ici ce sera la 192.168.1.50.
|Et la commande « logging trap » permet de définir le degré de sévérité.
Dans l’exemple, l’option « warning » correspond à la sévérité 4.
|On aurait très bien pu, faire un « logging trap 4 ». Ça marche aussi.

Siret : 519 157 861 00047
IP SLA PING TRACEROUTE TELNET
OUTIL DE DÉPANNAGE IP SLA / PING /

TRACEROUTE / TELNET
Le terme « |IPSLA », est un procédé inventé par Cisco qui permet de
générer du trafic entre différents équipements du réseau.
L’intérêt de ce système est de pouvoir surveiller les

performances du réseau entre commutateur et
routeur, ou bien vers un hôte IP.
|Dans un réseau, la qualité d'un bout à l'autre se mesure par plusieurs
indicateurs.
• |On a le temps de latence
• |La gigue
• |Le pourcentage de paquets perdus
• |Et le temps réponse

Pour que la fonction « IPSLA » fonctionne correctement, Il faut au moins
un équipement Cisco qui porte le rôle de master, et un autre équipement
qui aura le rôle de l’esclave.
Le maitre va générer du trafic entre lui et les

différents esclaves.
|Il est possible de tester :
• |La disponibilité d'un service
• |D'une ressource
• |Du réseau
• |Ou bien de la qualité des échanges VOIP

|Comme exemple, on va partir sur cette topologie.
|Si on fait un ping du PC1 vers le serveur à l’autre bout, on remarque très
souvent que le| 1er ping ne passe pas…
Et bien c’est parce que le cache ARP n’a pas été construit.
|Si on régénérer un ping, juste après, on devrait avoir , cette fois-ci, un
taux de réussite de 5 sur 5 !
La réussite d’un ping se |caractérise par un point d’exclamation, et |l’échec

par un point.
C’est pour ça, que sur le 1er ping qui a réussi 4 fois
sur 5, on à un point, suivi de 4 points d’exclamation.
Maintenant, si le PC1 tente un ping sur un réseau qui n’est pas inscrit dans
la table de routage du routeur 1, |alors on aura ce type de message
d’erreur, qui nous dit que l’hôte est injoignable.
Ce type d’erreur se caractérise par la lettre « U »
|Pour aller plus loin que la commande Ping, on va configurer un IP SLA sur
le routeur 1 pour tester le serveur 1.
La commande « ip sla » permet de rentrer dans sa configuration.

La commande « icmp-echo » permet de spécifier l’IP que l’on souhaite
tester. Ici ce sera donc l’IP du serveur.
En dessous on lui indique de faire des tests toutes les 10 secondes. Par
défaut c’est configuré sur 60 secondes et on peut aller jusqu’à + de 10 000
heures.
Ensuite, on sort avec un « exit »
|Et il nous reste plus qu’à lancer le test immédiatement avec une
programmation en continu avec la| commande « IP SLA shedule »
|Le mot « life forever » : signifie que le test ne s’arrêtera jamais et| le
« start-time now » est pour le démarrer immédiatement
|La commande « show ip sla configuration », permet de vérifier la

configuration des différentes SLA qu’il pourrait y avoir de configurer sur le
routeur.
|La commande « show ip sla statistics », affiche les résultats du test des
différentes SLA de configurer sur le routeur.
On va maintenant parler de la commande| « Traceroute »
C’est une commande qui permet d’afficher la liste

des routeurs que le paquet traverse avant d’arriver
à sa destination.
Ici, dans l’exemple, du PC1 vers le serveur 1, le paquet| traverse le routeur1,

|puis le 2, avant |d’arriver sur le serveur 1 !
Comme autres outils de dépannage, il y’a |la commande Telnet qui permet
de se connecter sur un autre équipement du réseau.
Ici le PC1 arrive bien à se connecter au serveur après avoir rentré son mot
de passe.
On va terminer cette leçon, par| la commande « show arp » qui permet
d’afficher la table arp d’un équipement réseau.
|Ici, on voit l’adresse Mac de l’interface 0/0 du switch, qui est |rattaché à
l’ip 10.10.1.1.
Il s’agit de la passerelle par défaut, qui correspond à
l’ip de| l’interface du prochain routeur. Celui de R1
DHCP
DHCP DYNAMIC HOST CONFIGURATION

PROTOCOLE
Le service DHCP, permet aux périphériques d’un réseau d'obtenir
automatiquement des adresses IP et d'autres informations à partir d'un
serveur DHCP.
Ça permet d’automatiser l'affectation des adresses

IP, des masques de sous-réseau , des passerelles
par défaut et d'autres paramètres de réseau IP.
Un fournisseur de services internet peut, soit :
• fournir une adresse statique à configurer sur l’interface connectée à

Internet de son propre routeur,
• ou bien une adresse dynamique qui sera distribuée

automatiquement pas DHCP !

Sur de grands réseaux ou il y’a beaucoup
d’utilisateurs, le DHCP est conseillé.
Grâce à lui, si de nouveaux utilisateurs arrivent, ou bien s’il y’a une
migration de PC, l’admin réseau n’aura pas à configurer manuellement les
paramètres IP des postes informatiques !
Elles seront attribuées automatiquement par le DHCP !
Si le fournisseur d’accès à internet utilise son propre DHCP pour fournir
une IP à l'interface côté internet du routeur de son propre LAN, alors,
aucune configuration manuelle n’est à faire.
L’interface cotée du FAI sera configurée pour fonctionner comme un client
DHCP.
C’est-à-dire que le routeur demandera lui-même une adresse IP au
Fournisseur d’accès à internet.
|Et parfois, les adresses sont attribuées par le

fournisseur en statique, c’est-à-dire sans DHCP.
Dans ce cas, si le fournisseur fournit une adresse IP statique sans DHCP, il
faudra la configurer soit même sur le routeur !
Admettons que le FAI nous attribue l’IP statique : | 221.118.50.225 avec un

masque en /27. Dans ce cas, il y’aura 2 choses à faire.

• |La première est de configurer l'adresse IP statique sur l'interface du
routeur qui est du côté du FAI.Ici c’est la gi0/0.
• |Et la deuxième chose à faire est de configurer une route par défaut
qui transmettra tout le trafic destiné à Internet vers l'interface qui
est à l’autre bout du routeur.
C’est-à-dire chez le fournisseur d’accès à internet !
La gestion d'un réseau peut prendre beaucoup de

temps. Les utilisateurs du réseau se déplacent
régulièrement, de nouvelles personnes arrivent et
d’autres partent.
À chaque changement ou déplacement d’utilisateurs, cela demande du
travail, à la personne qui s’occupe de l’informatique.
Selon le nombre d’utilisateurs, leurs configurations manuelles des
adresses IP sur le réseau sont pratiquement impossibles.
Le service DHCP permet de diminuer considérablement cette charge de
travail, car il attribue automatiquement une adresse IP à partir d'un pool d'
IP qu’on lui aura défini..
Mais il ne fait pas que ça, en plus, il automatise aussi le paramétrage :
• des masques de sous-réseau,

• des passerelles par défaut
• et aussi d'autres paramètres réseau.

Le DHCP repose sur un modèle client / serveur. Le serveur attribue les
adresses IP et paramètres, de façon dynamique aux clients.
Quand on dit client, ça peut être :
• un PC,
• un Téléphone IP,
• une imprimante,
En gros, tout périphérique de terminaison qui demande ses propres
paramètres au serveur DHCP !
Tout appareil, où il est possible de lui mettre une IP,

à la possibilité d'utiliser le DHCP pour obtenir sa
propre configuration IP.
En DHCP, il y’a trois mécanismes d'allocation d'adresse de base:

|On à l' affectation dynamique des adresses IP.
C’est le type d'attribution d'IP la plus courante.

On va prendre comme exemple, |le réseau de chez nous, avec 1 PC
raccorder à un routeur freebox qui fait lui-même DHCP.
Dès que le PC démarre, le service client DHCP déclenche un Broadcast du
type | « DHCP Discover » qui inclut l' adresse MAC du client.
Si un serveur DHCP est en écoute sur le même sous-réseau, il répondra

avec un message du type | « DHCP Offer ».
Et comme son nom l'indique, ce message offrira une adresse IP, non
utilisée, à partir d’un pool d'adresses qui se trouve sur le serveur DHCP.

Pour accepter l'adresse que le serveur lui aura proposée, le client répondra
avec une trame | « DHCP request ».
Le serveur marquera alors l'adresse IP comme étant utilisé, dans sa base

de données, et enverra un message de| type ACK au client, pour confirmer
cette attribution.
Ensuite le serveur démarre son| compte à rebours.

C’est une minuterie d’allocation de l’adresse.
Lorsque ce temps d’allocation est terminé, le serveur DHCP peut récupérer
l'adresse et la renvoyer à son |pool d'IP pour la distribuer, plus tard, à un
autre hôte.
|Le second mécanisme est l' affectation automatique d'adresses IP.
Il est très similaire à |l’affectation dynamique, sauf que le temps de
location : Le « Lease Timer ». Est défini pour |ne jamais expirer.
Ça permet au client DHCP d'être toujours associé à

la même adresse IP.
|Et nous avons l'affectation statique !
Qui permet à un hôte de rester joignable à une IP, qu’on aura au préalable
choisie et configurer statiquement dans la base de données du DHCP.
Cette affectation est très utilisée sur les imprimante et serveur, ou tout
appareil qui doivent rester joignables, à une seule et même adresse.
|Une entrée statique est créée dans la base de données DHCP, |qui mappe
l'adresse IP avec la mac adresse.
Cette IP sera ensuite retirée du pool DHCP.

Nous avons vu qu’un fournisseur de service à internet pouvait donner une
IP statique à configurer, soit même, sur l’interface de notre routeur, coté
internet !
|Dans d'autres cas, une IP peut être fournie par le DHCP!
Si le fournisseur d’accès utilise un DHCP pour distribuer une IP à notre
interface |GI0/0, alors, aucune adresse ne pourra être configurée
manuellement.
L'interface connectée à internet sera configurée pour fonctionner comme

un client DHCP.
La commande |IP address dhcp, faite sur l’interface de sortie, lui permet
d’effectuer sa propre demande d’IP, au fournisseur !

DHCP ET DNS
DHCP (DYNAMIC HOST CONFIGURATION

PROTOCOL)
Il est tout à fait possible d’assigner soit même des adresses IP à des hôtes
réseau sur de petits réseaux.
Mais sur de grands réseaux, ça peut être un

véritable fardeau pour le support informatique !
Un serveur DHCP permet de simplifier l'affectation des adresses IP.
Et même sur de petits réseaux, où il y’a beaucoup de déplacement, il sera
toujours + agréable d’utiliser un serveur DHCP !
De plus, contrairement à nous les humains, le DHCP ne fera pas du tout,
ou alors, que très peu d’erreurs.

Il permet de fournir une administration très simplifiée, lorsque les LAN
sont divisés par des VLAN’s, car il attribue automatiquement des adresses
IP aux hôtes, en fonction de leurs affectations VLAN !
La distribution des IP est basée sur un mode client-serveur !
Sur cette topologie, nous allons voir la façon dont le PC, qui porte le rôle
de client, va obtenir son adresse IP à partir du serveur DHCP !
|Tout d’abord, le PC envoie un broadcast avec sa propre adresse MAC pour
voir, s’il y’a des serveurs DHCP dans le coin.
|Ensuite, lorsqu'un serveur DHCP reçoit ce type de message d'un client, il

lui réserve automatiquement une IP et lui répond avec un message du
type « DHCP offer » . Dans ce message il y’a l'adresse MAC du client,
l'adresse IP que le serveur lui offre, le masque de sous-réseau, la durée de
la location et l' IP du serveur DHCP qui lui fait cette offre irrésistible !

|Lorsque le PC là reçoit, il répond avec un message du type « DHCP
request » pour indiquer au serveur qu’il compte bien accepter les
paramètres de cette offre incroyable !
Le DHCP Request, sera toujours diffusé en

broadcast, car le pc n'a toujours pas appliqué les
paramètres.
|Et pour finir, le serveur DHCP enverra un accusé de réception en unicast

au PC, pour confirmer l’ensemble des paramètres proposé !
|Dans la capture de paquets sur les requêtes DHCP, nous voyons bien
l’ensemble des étapes, sur l’attribution d’une adresse IP par le serveur
DHCP.
|Nous allons maintenant passer à la configuration d’un routeur
DHCP Cisco!
Nous souhaitons que les utilisateurs du LAN reçoivent une adresse IP à
partir du pool en 192.168.1.0/24. Avec une durée de location de 12 heures
max.
Les adresses de .1 à .100 devront être exclues de ce pool DHCP
On en profitera en même temps, pour ajouter les paramètres DNS, le nom
de domaine et la passerelle par défaut !
|La 1re commande en mode de configuration global permet de spécifier
une plage d’IP que l’on souhaite exclure du DHCP !
IP DHCP pool permet de définir le nom du pool DHCP, |tout en entrant

dans son mode de configuration.

Nous voyons bien ici que le sigle est devenu : DHCP-config
La commande Network permet de définir le réseau complet du pool. Ici
c’est le réseau 192.168.1.0/24. C’est-à-dire les adresses de .1 à .254, hors mis
ceux qu’on a exclus !
la « .0 » est l’adresse réseau et la .255 est l’adresse

de broadcast.
Le DHCP sait très bien qu’il ne peut pas toucher à
ces deux adresses !
La commande Default-router permet de spécifier la passerelle par défaut
des PC’s. Ici ce sera tout simplement notre routeur.
Dns-server est pour spécifier l’adresse du serveur DNS
Domain-name pour le nom de domaine du serveur DHCP
Et la commande « Lease » spécifie la durée de location de l’adresse. « 0

12 » signifie 0 jour et 12 heures.
Le faite de terminer par un |exit, permet de revenir en mode de

configuration globale.
Elle ne valide pas les commandes. La configuration

est validée systématiquement à chaque
commande entrée.

DNS
Le DNS permet de convertir les noms lisibles par l'homme, en adresse IP
que les machines utilisent pour le routage !
|Quand on surfe sur la toile, il est difficile pour nous de se rappeler des IP’s
de l’ensemble des sites que l’on souhaite consulter !
C’est pour ça que les noms de domaine ont été

créés pour convertir l'adresse numérique en nom.
Ce qui est beaucoup plus simple à retenir !
Le protocole DNS utilise un ensemble de serveurs pour traduire les noms
en adresses IP.
DHCP SUR ROUTEUR CISCO

DHCP SUR ROUTEUR CISCO
Dans ce cours, nous allons voir comment configurer un routeur Cisco en
tant que serveur DHCP.
Ici, le routeur de gauche sera le client et celui de droite notre serveur

DHCP.
|Pour commencer, on va affecter l’IP 192.168.10.254 avec un masque en 3

fois 255.0 sur l’interface 0/0 du routeur DHCP

|Ensuite on va créer un pool DHCP, qu’on va nommer « pool1 » avec la
commande « IP dhcp pool »
La commande « network » indique au routeur pour quel réseau nous

voulons distribuer les adresses IP.
On peut lui rajouter une passerelle par défaut pour les clients, avec la
commande « Default-router » . Et aussi un serveur DNS avec la commande
« dns-server » .
Dans cet exemple, les clients recevront en + de leur IP, la gateway qui
correspond à la patte 0/0 du DHCP, et la config DNS de Google !
|On peut aussi exclure des adresses qu’on ne souhaiterait pas distribuer au
client. Dans cet exemple, on exclut les IP de .100 à .200 !
|Alors attention cette commande est à rentré en

mode de configuration globale, et non dans notre
pool DHCP !
|Et maintenant, il nous reste + qu’à indiqué à notre routeur client, de se
faire attribuer une IP par DHCP, avec la commande « IP address dhcp » !

|Immédiatement, on peut voir dans la console que le DHCP lui a affecté
l’adresse 192.168.10.1 !
Et pour finir, il est possible de voir la liste de tous les baux DHCP |avec la
commande « Show IP dhcp binding »

FHRP HSRP REDONDANCE GATEWAY
REDONDANCE DE PASSERELLE PAR DÉFAUT

Quand un PC veut communiquer |avec un autre PC, mais qui ne fait pas partit de son
propre réseau, alors il enverra les paquets à |sa passerelle par défaut.
Sur une topologie redondante, c’est-à-dire avec |deux routeurs, et bien, ça ne garantit
pas forcément la disponibilité.

Siret : 519 157 861 00047
Dans cet exemple, les routeurs 1 et 2 sont responsables du routage pour joindre le PC
du haut.
Si le routeur de gauche tombe en panne, et bien, ce sera le

routeur de droite qui prendra le relai !

Siret : 519 157 861 00047
Le problème, c’est que tout périphérique de terminaison, que ce soit des PC, des
serveurs ou imprimantes, ne peut être configuré qu’avec une seule passerelle par
défaut…
C’est-à-dire que si le routeur 1 est éteint, le PC du bas sera incapable d’envoyer des
paquets en dehors de son réseau local.
Ça veut dire qu’il sera isolé du reste du réseau, même s'il existe un routeur redondant,
qui pourrait servir de passerelle par défaut pour joindre le PC du haut.
Les équipements en bout de chaine ne peuvent pas

déterminer dynamiquement une nouvelle passerelle par
défaut.
La solution à ce problème est la technologie |FHRP, qui se traduit en français, par
protocole de redondance du prochain saut.
C’est un protocole qui permet de faire de la redondance de passerelle par défaut.
On peut le voir comme un |routeur virtuel, qui possède une

|adresse IP de couche 3, et une Mac-adresse de couche 2, qui
sera partagé sur 2 ou plusieurs routeurs physiques.
Le PC du bas devra donc configurer comme passerelle par défaut, |l’adresse IP du
routeur virtuel.
Et comme ça, lorsqu’il voudra communiquer avec quelqu’un d’un autre réseau, et
bien, il utilisera le protocole ARP pour connaitre l’adresse Mac de sa passerelle par
défaut, qui sera celle du routeur virtuel.
L’ensemble des paquets qui seront envoyés à l’adresse Mac

du routeur virtuel pourront arriver à destination par n'importe
quel routeur physique.
Le routeur physique qui transmettra réellement le paquet est complètement
transparent pour le PC.
Les routeurs et les switchs Cisco utilisent en général trois types de FHRP, qui
permette tous de faire basculer la passerelle par défaut en toute transparence pour
les hôtes.
|Il y’a :
• HSRP,
• VRRP
Siret : 519 157 861 00047
• et GLBP.
|Et voici un tableau qui affiche les différences entre ces types de redondance de
On va maintenant voir + en détail le fonctionnement du| protocole propriétaire Cisco :

HSRP.
Il est basé sur un modèle d’|Actif/Passif.
Le routeur en mode active portera l’ adresse IP et la MAC adresse virtuelle.
Et le ou les routeurs en mode passive se tiendront informés de l’état de santé du
routeur actif au travers des messages du type « |Hello » envoyés en mulitcast.
L’Élection du routeur actif se fait à l’aide du paramètre de la|

priorité.
Chaque routeur possède une priorité, qui peut être modifiable par un admin réseau.
La priorité par défaut est réglée sur 100, et elle est comprise entre 0 et 255.
Le routeur qui la priorité la plus haute sera en mode active.

Siret : 519 157 861 00047
Et en cas d’égalité, la sélection se fera sur le routeur qui possède l’adresse IP la plus
haute.
Si les routeurs en mode passive ne reçoivent plus de paquets « Hello » du routeur
actifs, alors ils procéderont à une nouvelle élection de l’actif.
Par exemple le routeur 1 à une priorité de| 100, et le 2 à une priorité réglée sur| 50.
Ce sera donc le routeur 1 qui sera élu et actif en prod.

Siret : 519 157 861 00047
| Les paquets IP passeront donc par celui-ci pour atteindre le PC du haut.
Si le routeur A| tombe en panne, alors il n’émettra plus des messages du type
« Hello », habituellement envoyé |toutes les 3secondes.
Le routeur 2 deviendra actif, et les |paquets passeront par

celui-ci pour atteindre le PC du haut .
Si le routeur 1 est de nouveau en service, il n’aura pas de nouvelle élection.
C’est-à-dire qu’il ne reprendra son rôle qu’en cas de

défaillance du routeur 2 !

Siret : 519 157 861 00047
LOAD BALANCING HRSP
LOAD BALANCING AVEC HRSP

Dans ce cours, nous allons voir différents protocoles utilisés pour faire de
la redondance de gateway !
Sur cette topologie, nous avons un PC connecté à un Switch.

Siret : 519 157 861 00047
Ce switch est raccordé à deux routeurs qui ont tous deux une adresse IP
qui pourrait être utilisée comme passerelle par défaut pour le PC.
Et derrière nos deux routeurs, nous avons le fournisseur d’accès à
internet !
Dans ce cas, quelle passerelle par défaut, on devrait

configurer pour le PC ? Le routeur 1 ou le 2 ?
En sachant qu’on ne peut configurer qu’une seule gateway !
Si par exemple on choisit le routeur 1 et qu’il tombe en panne, alors le PC
ne pourra plus sortir de son propre sous-réseau !
Et donc il ne pourra plus aller sur internet !

|La solution à ce problème est de créer une passerelle virtuelle entre le
routeur1 et le 2 !
Cette gateway virtuelle aura sa propre adresse IP !
Sur notre topologie on lui affecte la 192.168.0.3 !

Siret : 519 157 861 00047
C’est l’IP, que notre PC utilisera comme passerelle par défaut !
Un des deux routeurs sera actif, et en cas d’indisponibilité de celui-ci, le
second prendra le relai.
Et cela en toute transparence pour l’utilisateur !

Il existe trois protocoles différents que l’on peut utiliser pour créer une
|gateway virtuelle:
• HSRP,
• VRRP
• et GLBP
Alors ces 3 protocoles fonctionnent tous de la même manière, il y’a
seulement quelques petites différences sur les commandes à taper !
Nous allons commencer par voir la configuration de HSRP qui est un
protocole propriétaire Cisco.

Siret : 519 157 861 00047
Mais avant tout, on va configurer l’ensemble des IP’s sur notre topologie !
|On affecte l’IP 192.168.0.1 sur l’interface 0/0 du routeur1

|Et la 0.2 sur la patte 0/0 du routeur 2
Ensuite, on va configurer les liens qui remontent vers le routeur du
fournisseur d’accès :
|On met l’IP 192.168.10.1 sur l’interface Fa0/1 du routeur 1

|et la 20.1 sur la 0/1 du routeur 2.
et il nous reste plus qu’a configuré les IP’s du routeur en haut :
|10.2 pour l’interface 0/0

|Et 20.2 pour la 0/1 !
Si vous reproduisez cette topologie sur packet tracer, vous devrez créer
une interface de |loopback pour simuler votre routeur internet !
Car une loopback répondra toujours à un ping !
|Ici on lui affecte l’IP 1.1.1.1 !

Siret : 519 157 861 00047
Alors dans l’état actuel, les routeurs 1 et 2 n’ont aucune connaissance du
réseau de la loopback.
C’est pourquoi on va créer une route statique vers celle-ci.
|Sur le routeur 1, on lui dit que pour joindre le réseau de la loopback, il faut
aller vers l’interface qui porte l’IP 192.168.10.2, c’est-à-dire l’interface
fastethernet 0/0 !
|Et on fait de même pour le routeur 2 !
Maintenant on peut commencer à configurer notre HSRP !
|Pour cela, il suffit simplement de se connecter sur les interfaces du

routeur qui porte les gateway, et de faire un « standby IP » + L’IP de la
gateway Virtuelle !
Dans l’exemple on a choisi la 192.168.0.3

Le petit « 1 » après le mot « Standby » correspond au groupe HSRP.
Et c’est tout ce qu’il ya à faire !

À partir de ce moment, un des routeurs devient actif et l’autre reste en
« standby » jusqu’à ce que l’Actif tombe !
|Par exemple si le routeur 1 est devenu l’actif,et après avoir bien |configuré
la gateway virtuelle sur le PC :
• Un ping de l’adresse de loopback à partir du PC | passera par le

routeur 1 !
• Et si le routeur 1 tombe, alors la bascule se fera automatiquement, et

sans modifier la gateway sur le PC, |les paquets passeront par le
routeur 2 !
|Maintenant, on va rentrer un peu plus dans les détails :
Siret : 519 157 861 00047
|Ici notre routeur actif est le 2. Et le routeur 1 est en mode « standby » !
Et|nous avons configuré l’HSRP sur les deux

routeurs.
|On va maintenant analyser la table ARP du routeur 2 en faisant un « show
IP arp »

Siret : 519 157 861 00047
Ici on voit bien notre adresse virtuelle, la | 192.168.0.3 , qui est associée à
une| adresse MAC , qui elle aussi, est virtuelle !
|HSRP, utilise l’adresse MAC 4 zéros . 0c07.ac + le N° du groupe HSRP !
Dans notre exemple on avait configuré le |groupe 1 !
Il ya une commande très intéressante, qui permet de vérifier sa
configuration HSRP. C’est la commande | « show standby »
|On peut voir :
• l’adresse IP virtuelle.
• |L'adresse MAC virtuelle
• |Et quel routeur est actif ou en mode veille.

Siret : 519 157 861 00047
Le routeur actif répondra aux requêtes ARP du PC
et transmettra correctement ses paquets .
Il enverra aussi des messages de type « Hello » au routeur qui est en veille.
Quand à ce dernier, il fera juste qu’écouter les messages « Hello » du
routeur actif.
Si le routeur en veille ne reçoit plus les messages | « hello » toutes les 3
secondes, alors il deviendra l’actif au bout de | « 10secondes »
Par défaut, le commutateur avec la |priorité la plus

élevée deviendra le périphérique HSRP actif.
Et si la priorité est la même, la sélection de l’actif se fera par| l’adresse IP la
plus haute !
Comme la priorité des deux routeurs est

paramétrée sur 100, qui est la priorité par défaut,
alors le routeur actif sera celui avec l’adresse IP la
plus élevée. Ici c’est le routeur 2 !
Et pour finir, si on veut que le routeur 1 devienne |actif, on a juste à lui
mettre une priorité plus élevée, avec la commande « Standby Priority » !

Siret : 519 157 861 00047
DIFFÉRENCE HSRP VRRP ET GLBP
LOAD BALANCING_DIFFERENCE AVEC

HSRP VRRP ET GLBP
Dans le cours précédent, nous avons vu la configuration du protocole
HSRP, qui permet de faire de la redondance de passerelle par défaut !
Pour cela on utilise ce qu’on appelle un cluster,

c’est-à-dire un groupe logique d’équipements
similaires, tels que des routeurs.
Ainsi, lorsqu’un membre du cluster tombe en panne, un autre membre
prend le relais. Ce qui permet une reprise du service très rapide.
Il y’a 3 différents protocoles qui permettent de faire cette redondance :
• |HSRP,
• VRRP
• et GLBP
Nous avons vu précédemment que pour configurer notre gateway
|virtuelle HSRP, il fallait utiliser la commande « Standby IP » .

Siret : 519 157 861 00047
Pour le |protocole VRRP, la configuration est très similaire, la commande
est « VRRP IP »
Et pour |GLBP, la commande est « GLBP IP »
|Voici un tableau qui regroupe les différences entre les 3 protocoles de
redondance.
Chaque protocole utilise deux compteurs, pour indiquer l’état de santé

des clusters, ou des routeurs comme dans notre exemple.
Il y’a :
• le |compteur « Hello timer »,
• et le compteur | « Hold Timer »

Le « Hello Timer » est un paquet que le routeur principal du cluster va
envoyer régulièrement aux autres membres pour prouver qu’il est en vie.
Et le « Hold Timer » est un compteur qui permet au routeur d’être sur
qu’un de ses membres soit tombé en panne.
C’est à la fin de ce compteur que l’un des routeurs

secondaires prendra le relai !

Siret : 519 157 861 00047
Par exemple, si notre routeur principal est le routeur 1, il enverra des
paquets hello toutes les 3 secondes.
Et si le routeur 2 ne reçoit plus ses paquets pendant 10 secondes, alors il
prendra le relai !
|La priorité du protocole est une valeur qu’on peut

configurer entre 0 et 255, pour indiquer quel
routeur sera maître.
Le routeur qui aura la plus grande priorité sera élu le master.
Et en cas d’égalité, la sélection se fera par l’adresse IP entre les membres
du même cluster.
L'adresse IP la plus haute remportera l'élection !

Par défaut, la valeur de la priorité est de 100. Elle se configure avec la
commande « Priority »
|L’option de préemption permet au maître d’origine

de reprendre le service de son remplaçant, si jamais
il venait à ne plus être en panne.

Siret : 519 157 861 00047
Ce paramètre est généralement désactivé par défaut sur les différents
protocoles !
|Vous pouvez voir que la configuration des différents protocoles de
redondance se ressemble beaucoup !
Le protocole VRRP utilise des |timers plus petits par défaut, ce qui le rend
plus rapide que HSRP et GLBP !
Sauf que bien sûr, il consommera plus de CPU sur

le cluster !
Le protocole GLBP est aussi propriétaire Cisco, il a été créé dans le but de
pallier aux défauts de HSRP.
|C’est-à-dire qu’il fait réellement de l’équilibrage de charge, basé sur un
système de poids par membre.
|Il dispose de 3 différents types de répartition des

charges.

Siret : 519 157 861 00047
CDP
CDP (CISCO DISCOVERY PROTOCOL)

CDP permet de nous aider à créer des cartographies de notre réseau !
Il est important d’avoir une visu complète de son

réseau, pour nous simplifier la vie, que ce soit en
gestion ou en dépannage !
CDP s'exécute sur tous les périphériques Cisco.
Il nous aide à détecter et recenser les équipements de notre réseau !
C’est un protocole propriétaire Cisco, qui fonctionne sur la couche
« liaison de données » et qui est activé par défaut.
Sur notre topologie, nous avons 3 routeurs :
• R1,
Siret : 519 157 861 00047
• R2
• et R3 !
Admettons qu’on n’a aucune idée de l’aspect de notre réseau.
On va tenter de le découvrir avec CDP

|La commande « show cdp neighbors » permet de voir les voisins qui sont
directement connectés au routeur.
Sur le routeur 1, on voit qu’il est connecté au routeur 2. On voit même que
c’est un routeur 3640, ainsi que les interfaces des deux côtés !
|Sur le routeur 2, on s’aperçoit qu’il a 2 voisins. R1 et R3 !
|Et sur le routeur 3, son voisin est le 2 ! On voit bien que le lien entre le
routeur 2 et le 3 est une liaison série !
|La commande « show cdp neighbors detail » permet de nous révéler
encore plus d’information !

Siret : 519 157 861 00047
Par exemple ici, on peut voir l'adresse IP et la version d'IOS.
Cela peut nous être d’une grande utilité, mais c’est

aussi un risque pour la sécurité.
Alors par défaut, CDP est activé et s'exécute sur toutes les interfaces.
Si on veut le désactiver sur 1 interface, |on utilisera la commande « no cdp
enable » directement sur l’interface en question !
Et si on souhaite désactiver CDP sur toutes les interfaces, |alors on fera un

« no cdp run » en mode de configuration global !
Et c’est tout pour CDP
SNMP

Siret : 519 157 861 00047
SNMP : SIMPLE NETWORK MANAGEMENT
PROTOCOL
Le protocole SNMP permet aux administrateurs de gérer les équipements
réseau et de diagnostiquer les problèmes, très rapidement.
Il fonctionne avec un serveur de supervision, et des

agents qui correspondent aux équipements que les
administrateurs veulent superviser.
Ça peut être :
• des switches,
• des routeurs,
• firewall,
• des PC’s
• ou mêmes, différents services de l’équipement.

Les informations de supervision sont enregistrées |dans une base de
données, qu’on appelle la MIB.

Siret : 519 157 861 00047
Tout appareil qui est compatible SNMP peut être
supervisé.
On va voir comment se compose l’ensemble des éléments qui
communique en SNMP :
|Un périphérique réseau, que ce soit :
• un routeur,
• un switch,
• ou un firewall,
fait tourner un agent SNMP en arrière-plan, qui est en fait |un processus
daemon qui va répondre aux requêtes du réseau.
Cet agent SNMP, fournis un grand nombre d’ identifiants d’objets, qu’on
|appelle les OID.
Ce sont des identifiants universels, qui sont représentés par une série de
chiffres.
|Par exemple, voici l’OID d’un switch Cisco 2950 pour relever sa
température.
Grâce à cette OID, il sera possible de configurer des alertes, en cas de

dépassement d’un certain seuil de degré qui aura été défini.
|Et voici un dernier exemple.

Siret : 519 157 861 00047
Une OID peut être longue et compliquée à
déchiffrer.
C'est pour cette raison qu’elle est stockée dans une MIB, pour qu’elle soit
plus lisible, pour nous les humains.
L'objectif de ces OID c’est de permettre une compatibilité avec différents
logiciels de supervision.
Et l’objectif du SNMP, c’est d’identifier les ressources à superviser.

Le protocole SNMP est utilisé |par de nombreuses applications de
management, pour contrôler l'état des périphériques réseau, et tout ça
avec une belle interface graphique, ce qui donne une meilleure visibilité.
Pour sécuriser ces données, il est possible d’autoriser ou non, l’accès à ces
OID, avec un système d’authentification SNMP.
Alors, on n’a pas forcément besoin d’une MIB pour

utiliser SNMP ou bien pour faire des requêtes sur
des périphériques réseau.
Mais sans celle-ci, il sera difficile de comprendre les données que les
périphériques retournent.
Certaines informations sont faciles à comprendre, comme le nom de
l’hôte, l’usage des disques sur un PC ou bien l’état des ports d’un switch,
mais dans d’autres cas, une MIB peut aider beaucoup mieux la
compréhension.
La plupart des périphériques utilisent comme authentification le |nom de
communauté « Public » qui n’est pas sécurisée.
SNMP peut être utilisé de deux manières différentes :

Siret : 519 157 861 00047
• |soit en polling
• ou par des trappes.

Le polling consiste à envoyer une requête à intervalles réguliers pour
obtenir une valeur particulière.
Cette technique de Verification active permet à un programme ou un
script de vérifier, si les données retournées sont correctes.
Et les trappes consistent à faire de la vérification passive.
C'est-à-dire que l'on peut configurer un

périphérique réseau, comme un routeur, pour qu'il
envoie une trappe SNMP lorsqu’il y’a un évènement
particulier.
Par exemple, le routeur peut envoyer une trappe lorsqu'il détecte une
liaison coupée sur une de ces interfaces.
Et il même est possible de configurer une notification mail, lorsque que la
trappe SNMP est envoyée.
|Il existe 3 versions du protocole SNMP :
• La V1 reste la version la plus utilisée, car c’est la plus « légère »
• La v2 est une version un peu, laissée à l’abandon, car elle est trop
complexe.
• Et la v3 permet de disposer des avantages de la version 2 sans en

présenter les inconvénients.
Pour conclure, le protocole SNMP est un outil indispensable dans un
environnement réseau, car il permet aux administrateurs de détecter très
rapidement les problèmes.

Siret : 519 157 861 00047
SNMP CONFIGURATION
On va maintenant passer à la| configuration !
Dans la version 1 de SNMP, on créer d’abord une access-list pour
n’autoriser que notre serveur de supervision ! Ici le numéro de l’ACL est la
1.

Siret : 519 157 861 00047
Ensuite on lui définit sa communauté avec la commande « snmp-server
community ». Dans l’exemple, la communauté porte le nom de
« Formation ».
|Le « RO » qu’on voit juste après, signifie lecteur seul.
C’est-à-dire que le serveur de supervision ne pourra qu’interroger notre
équipement.
Il ne pourra pas lui donner l’ordre de s’éteindre par

exemple !
Après le « RO » on place notre numéro d’ACL !
La commande « snmp-server host » permet de définir l’adresse de notre
serveur de supervision.
Et il ne faut pas oublier de préciser la communauté !
Et pour finir, il reste plus qu’à activer les trappes , pour que l’équipement
envoie à notre serveur, tout changement d’état !
Pour cela il faut lancer la commande « snmp-server enable traps »
|La version 2 de SNMP est la version la plus utilisée aujourd’hui !
Il s’agit exactement de la version 2C !

Les commandes sont identiques, sauf que dans la commande | « snmp-
server host » on doit préciser la version 2C !

Siret : 519 157 861 00047
|Et pour finir, passons à la configuration du SNMP en version 3.
|Ici, il faudra d’abord :
• configurer le groupe SNMPv3
• |Ensuite, configurer le serveur de supervision.
• |Et configurer l’identification de ce même serveur !
|Avec la commande « SNMP-server group », on lui spécifie une

communauté qu’on nomme « Formation », suivie de la version 3.
Ensuite on choisit |le type d’authentification parmi les 3 modes disponible.

Siret : 519 157 861 00047
Viens après le| mode d’accès à la MIB.
C’est soit :
• Read
• ou Write
Et le « V1defaut » est une fonction sans restriction, car si on le souhaite, il
est possible de donner des accès en lecteur ou écriture à certaines MIB.
|Ensuite il faut configurer un login/mot de passe pour notre serveur de

supervision !
Avec la commande « snmp-server user » , on spécifie un nom de
connexion, ici on a choisi le nom Centreon, suivi de la communauté
« Formation ».
Ensuite on tag bien la V3, pour avoir le choix de l’authentification, ici en
MD5, et on met le mot de passe de connexion du serveur de supervision !
|Et il reste plus qu’à identifier le serveur de supervision avec la commande
« snmp-server host »

Siret : 519 157 861 00047
QOS
QOS : QUALITY OF SERVICE

Dans les réseaux, on y trouve un mélange de data, de voix et de trafic vidéo.
Chaque type de trafic a des propriétés différentes.
|La data n'est pas du trafic en temps réel.

C’est-à-dire que les données peuvent arriver en retard ou même, ne pas arriver,
forcément dans le bon ordre, que ce n’est pas très grave pour ce type de donner.

Siret : 519 157 861 00047
Par exemple, les applications, ou le courrier électronique ne sont pas sensibles au
délai.
Contrairement aux applis utilisent des bases de données, qui elles, sont très sensibles
au délai, car les utilisateurs attendent des réponses.
|La voix est un trafic en temps réel, qui doit avoir une bande passante constante, car
elle à des limites à ne pas dépasser pour recevoir les paquets.
|Et la vidéo qui comprend plusieurs sous-types de trafic.
• On à la vidéo passive, comme du streaming
• Il y’a de la vidéo interactive, qui est du flux en temps réel
• Et aussi de la visioconférence.
L’ensemble de ces types de trafic ont des exigences qui peuvent varier sur :
• |La bande passante
• Le délai
• Et la tolérance à la perte de paquet.

La visio comporte les mêmes exigences de retard, de gigue et de délai que le trafic
voix.
La seule différence, c’est sur la bande passante, car les

paquets voix sont très petit, tandis que ceux de la vidéo
peuvent varier suivant la qualité.
La vidéo en streaming, quant à elle, a des exigences différentes que celles de la

vidéoconférence.
Par exemple un employé qui regarde une vidéo d’e-learning en streaming, ne sera pas
sensible au retard ou à la perte de paquets qu’ une vidéoconférence en direct.
Car en streaming, ou même n’importe quel vidéo qu’on regarde sur internet, il y’a un
buffer, c’est-à-dire un style de mémoire tampon, qui s’exécute pour compenser les
retards de transmission qui pourraient se produire.
BESOIN DE QOS

Siret : 519 157 861 00047
|Le terme QoS, qu’on traduire en français par Qualité de Service, désigne la capacité à
fournir un service conforme à certains critères d’exigences, au niveau du temps de
réponse et de la bande passante.
Elle doit pouvoir garantir un niveau acceptable de perte de paquets, pour un type de
données.
Par exemple, les exigences pour de la voix sur IP seront

différentes de la visio.
La QOS s’applique que sur des réseaux qui utilisent des routeurs ou des switchs, car il
est impossible sur internet de prédire le chemin que vont emprunter les différents
paquets.
C’est-à-dire que rien ne garantit que la communication pourra se faire sans problème.
Et bien, c'est là que la QOS intervient.

Elle permet de différencier les différents flux réseau et de réserver une partie de la
bande passante pour ceux qui demandent un service sans coupure.
NIVEAUX DE SERVICE
|La QOS à 3 niveaux de service
• |On a le best effort, qui ne fait aucune différence entre plusieurs flux réseau et
qui ne donne aucune garantit

Siret : 519 157 861 00047
• |On a le soft QOS, qui permet de définir des niveaux de priorité aux différents
flux réseau, mais tout comme le best effort, il n’y a aucune garantie
• |Et on a le service garanti, qui lui, réserve des ressources réseau pour certains
types de flux.
|Dans la QOS, il y’a 4 critères importants qui permettent de faire fonctionner les
différents niveaux de service.
• |Il y’a le Débit, qui est souvent appelé bande passante, c’est la quantité de
données transmises pendant un certain temps. Le débit ici, s’exprime en bits par
seconde.
• |Il y’a la Gigue, qui est la variation de latence. Critère très important pour les
applis qui transmettent de la voix ou de la vidéo.
• |Il y’a la latence, qui se focalise sur le retard entre l'émission et la réception d'un
paquet.
• |Et on à la Perte de paquet, qui correspond simplement à la non-délivrance d'un

paquet de données.
Ce qui peut arriver si le réseau est encombré.

Siret : 519 157 861 00047
LES PRINCIPES DE LA QOS
Les périphériques réseau ne se soucient pas vraiment du type de trafic

qu'ils doivent transmettre.
| Dans le fonctionnement de base d’un commutateur, quand il reçoit une
trame Ethernet, il recherche l'adresse MAC de destination et il va
transférer la trame vers cette destination.
Dans le cas d’un routeur, le principe est identique. C’est-à-dire que quand
il reçoit un paquet IP, il recherche l’adresse IP de destination dans sa table
de routage, et enverra le paquet vers la destination.
Le routeur ou le switch, ne font aucune différence entre une trame ou un
paquet, que ce soit destiner à télécharger une vidéo ou bien à
communication téléphonique en voip.
Ce mode de fonctionnement est appelé :
• | « Best Effort »
• | Ou bien FIFO (First In First Out), qui se traduit en français, par

« Premier entré, premier sorti », en gros ça veut dire : « Premier
arrivé, premier servi »
Ce type de logique par défaut peut parfois poser problème
Par exemple sur cette topologie, nous avons un petit réseau, composer
de :
• 2 routeurs
• 2 commutateurs
• 2 PC
• Et 2 téléphones IP
Les liaisons sont toutes en Gigabit Ethernet, | sauf entre les deux routeurs,
où nous avons une liaison série très lente… C’est-à-dire seulement 1,54
Mégabit par seconde.
Lorsque le PC et le téléphone IP, de gauche, transmettent des données et
des paquets vocaux, destinés aux équipements de droite, et bien, il est
fort probable que la liaison série soit encombrée et que le routeur place
les paquets en fils d’attente.
Le problème avec ça, c’est que la file d’attente d’un routeur n’est pas
illimitée…
Et que doit faire le routeur lorsque sa file d’attente est pleine ?
| Et bien les paquets seront probablement supprimés.
Alors quand il s’agit de paquets de données du PC, ce n’est pas forcément
un problème, car les utilisateurs se plaindront uniquement d’une mauvaise
vitesse de transfert.
Par contre, quand il s’agit de paquets vocaux, et bien là, les utilisateurs se
plaindront de ne pas comprendre leurs interlocuteurs.
La QoS consiste à utiliser des outils pour changer la façon dont le routeur
ou le commutateur traite les différents paquets.
Par exemple, nous pouvons configurer le routeur afin que le trafic vocal
soit priorisé avant le trafic de données.
| La QOS permet de traiter 4 types de traffic réseau :
• | On a le Débit (Bandwidth)
• | La Gigue (Jitter)
• | Le délai (Delay)
• | Et la Perte de paquet (Loss)
TYPES DE TRAFIC
Avec la QoS, nous pouvons modifier la priorité de certains types de trafic.

La configuration de la QOS dépendra principalement des applications qui
seront utilisées.
C’est pourquoi nous allons examiner de plus prêt, les différentes
applications et types de trafic.
APPLICATION PAR LOTS (BATCH APPLICATION)

| Pour le 1er exemple, on va prendre un utilisateur qui souhaite télécharger
un fichier sur internet.
| Par exemple, la version 7.3 de Packet Tracer sur le site de Netacad
| La version Windows en 64 bits faits 146 MO

Nous allons voir à quel point la bande passante, le délai, la gigue et la
perte sont importants pour télécharger un fichier, qui paraît aussi basique
que celui-ci.
| La version Windows en 64 bits fait exactement 146Mo, ou bien
154 019 600 octets.
| Un paquet IP fait 1500 octets par défaut, sans les en-têtes IP et TCP.
| Il reste donc 1460 octets pour le segment TCP.

| Alors, à votre avis, combien de paquets IP faudrait-il pour transférer ce
fichier vers son ordinateur ?
Pour ça, | il faut soustraire « 154 019 600 » par « 1460 ». Ce qui donne
environ 105 492 paquets IP
DEBIT (BANDWIDTH)
| Plus on a une bande passante élevée et moins on

attendra pour recevoir le fichier.
DELAY (DELAY)
| Entre le serveur Netacad, ou est situé le logiciel « Packet Tracer » et le PC,
il y’a un délai qu’on appel unidirectionnel.
Lorsque l’on clique sur le lien de téléchargement, il ne reste plus qu’à
attendre que ça se termine.
Il n’y a plus d’interaction entre nous et le
téléchargement.
Les paquets arrivent tranquillement, peu importe le retard ou la variation
du retard, | qu’on appelle la gigue (Jitter), entre les paquets.
PERTE DE PAQUET (LOSS)

| Les transferts de fichiers comme celui-ci utilisent le protocole TCP.
Et lorsque certains paquets sont perdus, et bien TCP retransmettra les
données, en s'assurant que le téléchargement arrive complètement sur
l’ordinateur.
| Un navigateur Web qui télécharge un fichier est une application non

interactive, qu’on peut aussi appeler une application par lot.
La bande passante est agréable à avoir, car elle réduit le temps d'attente
pour que le téléchargement se termine.
Le retard, la gigue et la perte ne sont pas critiques.
C’est-à-dire qu’ils importent peu.
Avec la QOS, nous pouvons attribuer suffisamment de bande passante à
des applications comme celles-ci pour garantir que les téléchargements
se terminent à temps et ainsi, réduire au minimum la perte de paquets
pour éviter les retransmissions.
APPLICATION INTERACTIVE
| Un autre type d'application est l'application interactive. C’est le type
d’application que l’on retrouve, quand on utilise Telnet ou SSH pour se
connecter à son routeur ou à son commutateur.
Ce type d’applications ne nécessitent pas beaucoup de bande passante,
mais elles sont tout de même assez sensibles au retard et à la perte de
paquets.
Imaginez devoir attendre un certain délai entre chaque commande passée
sur un switch ou un routeur… ou même en cas de forte perturbation, qu’il y
ait une courte pause entre chaque caractère que vous tapez…
Cela peut devenir très ennuyeux en pleine

configuration.
Et bien, avec la QoS, nous pouvons garantir qu'en cas de congestion, les
applications interactives soient desservies en priorité, avant les
applications par lot, qui elles, sont très gourmandes en bande passante.
APPLICATION VOIX ET VIDÉO
| Les applications vocales, et vidéo, sont les applications les plus difficiles,
que vous pouvez gérer sur votre réseau, car elles sont très sensibles :
• | Au retard (Delay)
• | À la gigue (Jitter)
• | Et à la perte de paquets (loss).

Dans l’exemple, nous avons un utilisateur qui parle avec son téléphone IP.
La VoIP utilise un codec qui traite le son analogique en un signal
numérique.
Le son analogique est numérisé, pendant une certaine période de temps,
qui est généralement de 20 ms.
| Avec le codec G711, chaque 20 ms d'audio correspond à 160 octets de
données.
Le téléphone va créer un paquet IP avec une en-tête UDP et RTP
(Realtime Transport Protocol), en y ajoutant les données vocales, avant de
le transférer à sa destination.
| Les en-têtes IP, UDP et RTP ajoutent 40 octets en plus au paquet, ce qui
donne un total de 200 octets.
Ce qui veut dire, que pour une seconde d'audio, le téléphone va créer 50
paquets IP.
| Et 50 paquets IP * 200 octets = 10000 octets par seconde.
Ce qui équivaut à 80 kbps.

| Le codec G.729 permet d’utiliser moins de bande passante, pour 1
seconde ça revient à 24 kbps.
Par contre, la qualité audio s’en trouve réduite…

La bande passante n'est pas vraiment un problème pour la VoIP, son réel
problème est sur le « retard »…
Parce que si vous parlez avec quelqu'un au téléphone, généralement c’est
en temps réel. Et si le délai est trop élevé, alors la conversation deviendra,
un peu comme une conversation au talkie-walkie.
C’est-à-dire, le genre de conversation, ou vous

devez attendre quelques secondes, avant d'obtenir
une réponse.
La gigue est aussi un problème, car le codec attend de recevoir un certain
nombre de paquets IP pour qu’il puisse les reconvertir en un signal
analogique.
Et la perte de paquets est également un gros problème.
Ce n’est pas très agréable de communiquer avec

une personne s’il manque plusieurs mots à la
conversation…
Alors, malgré tous ces problèmes, le trafic vocal sur un réseau de données
est tout de même possible, mais il faudra obligatoirement de la QoS pour
d’assurer qu'il y a suffisamment de bande passante et pour contrôler le
retard, la gigue et la perte de paquets.
| Et voici des limites recommandées à ne pas dépasser :
• One-way delay (délai): < 150 ms.
• Jitter (Retard): <30 ms.
• Loss (Perte): < 1%

Quant au trafic vidéo, il a des exigences similaires au trafic vocal.
Il demande tout de même plus de bande passante que le trafic vocal, mais
cela dépend vraiment du codec et du type de vidéo diffusez.
Par exemple, si j'enregistre une vidéo où je configure un routeur, et bien
comme la plupart de l’écran reste fixe, ça demandera moins de bande
passante qu’une vidéo de sport.
Comme pour le trafic vocal, le trafic vidéo est aussi sensible aux retards, à
la gigue et à la perte de paquets.
| Et voici les recommandations à ne pas dépasser pour de la vidéo :
• One-way delay(Retard): 200 – 400 ms.
• Jitter (Gigue): 30 – 50 ms.
• Loss (perte): 0.1% – 1%
OUTILS QOS
Nous avons parlé un peu de la raison pour laquelle nous avons besoin de la
QoS et des différents types d'applications qui ont des exigences
différentes.
| On va maintenant aborder rapidement les outils à utiliser pour
implémenter la QoS:
• | La Classification et le marquage (Classification and marking):

permets d’identifier et marquer les paquets, dans le but qu’ils
puissent recevoir un traitement différent.
• | On à une gestion de la File d'attente et de la congestion :

C’est-à-dire qu’au lieu d'avoir une grande file d'attente où les
paquets seront traités avec le mécanisme FIFO (First In First Out),
« Premier arrivé, premier servit » et bien il est possible de créer
plusieurs files d'attente avec des priorités différentes.
• | Le Shaping et le Policing:
sont utilisés pour limiter le trafic.
• | Et on à l’évitement de la congestion (Congestion Avoidance) :

qui permettent de gérer la perte de paquets et de réduire la
congestion.
Dans le prochain cours, nous détaillerons en détail, chacun de ces outils.
LES OUTILS DE LA QOS
CLASSIFICATION ET MARQUAGE
(CLASSIFICATION AND MARKING)
Dans l’objectif de pouvoir donner à certains paquets un meilleur

traitement, il faut d’abord, pouvoir les identifier :
| C’est ce qu'on appelle la classification.

La classification peut se faire de plusieurs façons.
| La plus courante, est d’utiliser une access-list pour faire correspondre
certaines valeurs du paquet IP comme :
• | Les adresses source et/ou de destination
• | ou les numéros de port.

Par exemple, une access-list qui match le port de destination TCP80, peut
être classé comme du trafic HTTP.
Après avoir classé le type de paquet, il faut | pouvoir le marquer.
Le marquage, est la modification d’un ou plusieurs champs de l’en-tête
d’un paquet IP ou d’une Trame Ethernet.
| Par exemple, dans un paquet IP, ce sera le | champ ToS (Type of Service)
qui sera utilisé pour marquer le paquet.
| Et dans une trame Ethernet, comme ils n’ont pas de champ ToS, le
marquage se fera dans le | champ « Tag » qui est déjà utilisé pour marquer
les trunks et les vlan.
| Voici une illustration pour vous aider à visualiser la classification et le
marquage :
Sur cette topologie, nous avons :
• un Commutateur
• un routeur
• un téléphone IP
• et un PC.
Le commutateur reçoit des paquets du téléphone IP et du PC.
Il est configuré pour classer ces paquets à l'aide d'une access-list sur ses
interfaces.
Le commutateur marque ensuite les paquets IP à l'aide du champ ToS de
l'en-tête IP.
| Alors petite particularité pour les téléphones IP,

c’est qu’ils marquent eux-mêmes leurs paquets, au
moment de leurs créations.
Il est préférable d’utiliser plutôt le « marquage », parce que la

classification, qui se fait à l’aide d’access-list, peut devenir assez complexe
et dégrader les performances du routeur ou du commutateur qui se
charge de cette classification.
Sur la topologie, le routeur reçoit des paquets marqués, il n'a donc pas à
effectuer de classification complexe à l'aide de listes d'accès, comme le
fait, le commutateur.
| Un autre outil, très utile pour la classification, est NBAR (Network Based
Application Recognition).
C’est un outil qui est capable de détecter les applications du trafic réseau
en s’aidant du contenu des paquets IP.
Ça permet une meilleure classification par rapport à une liste d’accès.
GESTION DE LA FILE D’ATTENTE

(QUEUING - CONGESTION MANAGEMENT)
| Chaque équipement réseau utilise la mise en file d'attente.

| Lorsqu'un routeur reçoit un paquet IP :
• | Il vérifie sa table de routage
• | Choisis l’interface de sortie à utiliser
• | Puis tente d'envoyer le paquet.

Mais lorsque l'interface choisie est occupée, alors le paquet est placé dans
une file d'attente en attendant que l'interface soit disponible.
Cette règle de mise en attente d’un paquet IP sur un routeur s’applique
aussi sur les switchs avec les trames Ethernet.
| Et voici une représentation du processus de mise en attente :
Ici, le routeur, quand il reçoit un paquet, il peut faire une ou plusieurs

actions d'entrée, par exemple, ça peut être une access-list d’entrée qui
filtre les paquets.
Dès que le routeur à décider ou transférer le paquet, il peut faire une ou
plusieurs actions de sortie, par exemple du NAT.
Le paquet est ensuite placé dans une file d'attente de sorties, en
attendant que l'interface soit prête, pour être transmis.
Alors ici, nous n'avons | qu'une seule file d'attente de sorties, donc tous
les paquets sont traités sur la base du premier arrivé, premier servi. |
Rappelé vous, il s’agit du concept de FIFO (First In First Out).
Il n’y a qu’une seule file d'attente et tout le monde

doit faire la queue.
| Heureusement, la plupart des périphériques réseau d’aujourd’hui,
permettent d’avoir plusieurs files d’attente de sorties, comme le montre
cette nouvelle représentation.
Ici, le routeur utilisera la classification pour décider quels paquets vont

dans quelle file d'attente.
PROGRAMMATION ROUND ROBIN

| Le mode de traitement des files d'attente dépend du planificateur qui
est utilisé.
| La planification « Round Robin » est un algorithme qui parcourt les files
d'attente dans l'ordre, c’est-à-dire à tour de rôle.
Par exemple, sur le schéma, il va prendre un paquet de chaque file
d’attente, en commençant par la file 1, puis la 2, la 3, et recommencera par
la 1.
Le Round Robin permet aussi de privilégier certaines files d’attente. |
C’est ce qu’on appelle du Round Robin Pondéré (Weighted round robin).
C’est-à-dire qu’il va prendre 3 paquets dans la file d’attente de sorties 1,
2 paquets dans la 2, et 1 paquet dans la 3.
Ensuite il retournera à la une, avec la même

procédure.
Les routeurs Cisco utilisent aussi un planificateur très populaire, | qui
s’appelle « CBWFQ » (Class Based Weighted Fair Queuing). Il permet de
garantir une bande passante minimale sur chaque classe en cas de
congestion, c’est-à-dire de saturation de la file d’attente.
Pour ça, | il utilise la planification round Robin pondérée (Weighted round
robin), en permettant de configurer | cette pondération en pourcentage
d’utilisation de la bande passante de l’interface.
Par exemple, sur le schéma, on voit que le classificateur envoie des
paquets dans les différentes files d'attente.
Et chaque file d'attente a un pourcentage différent de la bande passante.
En cas d'encombrement, | la file d'attente 1 obtient 55% de la bande
passante, | la file d'attente 2 obtient 30% | et la 3, à 15% de la bande
passante.
LOW LATENCY QUEUING

La planification du « Round Robin » fonctionne très bien pour les
applications de données, car elle garantit une certaine bande passante à
chaque file d'attente.
Mais cela ne fonctionne pas pour le trafic, sensible aux retards, comme la
VoIP (Voice over IP).
Parce qu’en « Round Robin » lorsque le planificateur, vide les files
d'attente 2 et 3, et bien tous les paquets qui sont encore présents dans la
file 1, attende toujours d'être servis… => Ce qui ajoute du retard.
| C’est pourquoi cette stratégie ne fonctionne pas pour le trafic vocal qui
est sensible au délai et à la gigue.
Ce type de trafic doit être envoyé immédiatement et ne doit surtout pas
attendre.
| Pour résoudre ce problème, il faut ajouter une file d’attente prioritaire :
Sur le nouveau schéma, on peut voir que la première file d'attente est
maintenant rattachée | au processus LLQ (Low Latency Queuing).
Chaque fois qu'un paquet est ajouté à la file d'attente de sorties 1, | il est
immédiatement transféré, et toutes les autres files d'attente doivent
attendre.
Alors, il est important de fixer une limite à la file d'attente prioritaire, car
sinon, il est possible que le planificateur soit tellement occupé à
transmettre des paquets à partir de la file d'attente prioritaire que les
autres files d'attente ne soient jamais traitées...
Et lorsque ces files d'attente sont saturées, et bien les paquets sont
directement supprimés.
Le faite de prioriser une file d’attente ajoute un autre problème…
Imaginé maintenant que vous ayez tellement de trafic vocal, que ça sature
la file prioritaire… Et bien les paquets en surplus seront aussi supprimés…
| Ce qui affecterait énormément les appels vocaux.
Ce problème, peut-être résolu en Amon | directement sur le PABX (Private

Automatic Branch eXchange), avec une fonction qui contrôle les appels, et
qu’on retrouve dans les paramètres du serveur de téléphonie | sous les
initiales de « CAC » (Call Admission Control).
Cette fonction, qui se règle directement sur le PABX, permet de limiter le
nombre d’appels simultanés. Par exemple si on le configure à 15 appels
vocaux simultanés, et bien le 16e appel recevra une tonalité d’occupation,
ou bien sera rédigé vers la ligne téléphonique traditionnelle, | c’est-à-dire
celle du réseau commuté (RTCP : Réseau Téléphonique Commuté Public).
LES OUTILS DE LA QOS « SUITE »
POLICING ET SHAPING
Le policing et le shaping, sont deux outils de QoS qui sont utilisés pour
limiter le débit.
| Le policing, limite le trafic en le rejetant, tandis que le shaping, maintient
les paquets dans une file d’attente, ce qui peut ajouter du retard.
POLICING
| Le policing, est souvent utilisé par les fournisseurs d’accès à internet, qui
doivent limiter le débit de leurs clients.
Par exemple, sur la topologie, nous avons un client à gauche et un routeur
FAI à droite, connectés à l’aide d’interface Gigabit Ethernet.
Une interface en Gigabit Ethernet peut fonctionner

jusqu’à 1000 Mbit.
Admettons maintenant que le client paye pour une connexion max de 200
Mbit, et bien dans ce cas, le fournisseur d’accès à internet, supprimera
tout le trafic qui dépasse 200 Mbit.
| Sans contrôle, le débit ressemblerait à ça:

La ligne rouge en pointillé est la limite du débit que le client a payé.
Il s'agit généralement du| CIR (Committed Information Rate).
Sans contrôle, le client pourra obtenir un débit bien plus élevé que ce qu'il
a payé.
| C’est le fournisseur d’accès à internet qui configure cette régulation.

Avec le « Policing » d’activée, | voilà à quoi ressemblerais le débit :
200 Mbit est désormais la limite que le client ne pourra pas dépasser.
| Hors mis après une longue période d’inactivité, cette limite peut être
dépassée, le temps que le « Policing » ne se mette en place :
Comme le montre ce nouveau graphique, après une longue période

d'inactivité, le client est autorisé à dépasser | le taux CIR (Committed
Information Rate) de 200 Mbit, | pendant un court instant avant que le
« Policing » n'intervienne.
SHAPING
| Nous allons maintenant passer au deuxième outil permettant de limiter le
trafic.
Nous avons vu que le « policing » pouvait interrompre le trafic, s’il dépasse
son | CIR (Committed Information Rate).
Et bien pour éviter d’interrompre le trafic brutalement, il est possible
d’implémenter une mise en forme côté client, | qui se fait appeler
« Shaping ».
Le principe du « Shaping » est de mettre les messages en file d’attente, le
temps que le taux du CIR (Committed Information Rate) redescende en
dessous de sa limite.
| Sans « shaping » d’activer, voilà à quoi ressemblerais le débit du client :
Malheureusement, tout ce qui se trouve au-dessus de la ligne rouge en

pointillés sera supprimé par le « policing » du Fournisseur d’accès à
internet.
| Et dès que l’on configure, du côté du client, le « Shaping », | voilà à quoi
ressemblerais le débit :
L’ensemble des paquets est mis en file d’attente, pour ne pas dépasser les
200 Mbit.
Ce qui empêche le Traffic d’être supprimé par le

fournisseur d’accès.
CONGESTION AVOIDANCE
| Nous allons maintenant passer au dernier outil QOS, qui est là l’évitement
de la congestion.
Pour comprendre son fonctionnement, on va d’abord parler de TCP.
Le protocole TCP contrôle son flux à l'aide d’un mécanisme qui se fait
appeler| « Windows Size ».
Ça permet au récepteur d’indiquer à l'expéditeur le nombre d'octets à
envoyer avant d'attendre un accusé de réception.
Quand il n’y a aucune perte de paquets, la taille de la fenêtre augmente du
double.
| Par exemple, sur cette communication entre 2 PC, on voit que le PC B

reçoit un seul segment TCP, et qu’il accuse cette réception par | un
message du TYPE ACK (Acknowledgment) .
Ducoup, comme il a bien reçu ce segment, le PC B va informer le PC A,
qu’il peut doubler le nombre de segments à envoyer, avant d’en accusé la
réception.
| Maintenant, le PC A envoie donc deux segments TCP au PC B, avant de

recevoir l’accusé de réception.
La taille de la fenêtre double de nouveau ; | et c’est 4 segments TCP qui

sont donc envoyés au PC B, qui confirme de nouveau par un retour ACK.
Et pour chaque segment TCP perdu, et bien, la taille de la fenêtre TCP est
réduite de moitié.
On va maintenant examiner de plus près la mise en file d’attente et on
verra le rôle que portera la fenêtre TCP (Windows Size).
| Voici un exemple de file d’attente de sorties :
On y voit 6 paquets et il reste encore de la place.

L'interface étant assez occupée, | de nouveaux paquets viennent se
rajouter à la file d’attente :
On voit que maintenant la file d'attente est pleine.

| Ce qui veut dire, que si un autre paquet arrive, et bien il sera tout
simplement supprimé :
C'est ce qu'on appelle un drop ou une chute.

| C’est là qu’interviennent les mécanismes d’évitement de la congestion.
| Ces outils tentent d’éviter la congestion, principalement en utilisant les
propres mécanismes de fenêtrage de TCP, le Windows Size.
Ces outils éliminent certains segments TCP avant que les files d'attente ne
se remplissent, ce qui réduit l'encombrement et évite qu’un plus grand
nombre de paquets soit supprimé…
La principale stratégie de ces outils, c’est de supprimer eux-mêmes les
paquets, pour que l’appareil en jette beaucoup moins, qu’il n’en aurait dû,
sur le long terme…
| Sur le dernier schéma, on peut voir comment ça

fonctionne.
C’est ce qu’on va détailler :
• | Lorsque la file d'attente est vide, aucun paquet n’est supprimé.

• | Une fois qu’elle se remplit, et qu'elle se situe entre le seuil
minimum et maximum, alors, un petit pourcentage de paquets est
supprimé.
• | Et une fois que le seuil maximum est dépassé, et bien, tous les
paquets seront supprimés.
Et c’est tout pour les outils de la QOS

RÉSUMER : SUPERVISION
SNMP
Dans ce cours, nous allons parler de la gestion du réseau.
On va examiner différents protocoles qui permettent de gérer l'ensemble
d’un réseau, à l'aide d'un |logiciel NMS
Imaginez que vous ayez un grand réseau avec :
• des switch,
• des routeurs,
• des serveurs
• et plein de postes de travail…

Ne serait-il pas génial de pouvoir surveiller tous ces périphériques de
manière centraliser ?
Et bien avec un logiciel de supervision, il est

possible de surveiller tous les périphériques de son
réseau.

Siret : 519 157 861 00047
Par exemple, dès qu’une interface tombe, il est possible de recevoir un e-
mail ou même un texto sur son portable, afin de pouvoir être le plus
réactif !
La plupart des appareils comme :
• les ordinateurs,
• imprimantes
• et routeurs,
partagent certaines caractéristiques.
Ils portent tous au moins une interface, une IP, ou

même un nom.
C’est pourquoi une base de données avec des variables a été créée, pour
surveiller différentes choses de nos équipements réseau !
Ces données sont exploitées par le |protocole

SNMP
SNMP s'exécute sur la couche application et se compose d'un gestionnaire
et d'un agent SNMP.
|Le gestionnaire SNMP est le logiciel qui surveillera les périphériques
réseau.
Et |l’agent SNMP c’est ce qui tourne sur les périphériques réseau que l’on
veut superviser !
La base de données, qui recense les différentes

variables, est |appelée MIB !
Une MIB peut être une interface up ou down d’un routeur, ou bien même
la charge d’un processeur.
Le gestionnaire SNMP vérifie régulièrement les

MIB.
Et grâce à cette surveillance constante, il est possible de créer des
graphiques sur 24h ou même sur un mois complet !
On peut aussi configurer des périphériques réseau via le protocole SNMP.

Siret : 519 157 861 00047
Ça peut être utile pour configurer un grand nombre de switch et routeur à
partir d’un gestionnaire SNMP, sans être obligé de se connecter en Telnet
ou SSH sur chaque équipement !
Un message | « SNMP GET » est utilisé pour interroger les informations.
Et un message| « SNMP SET » est utilisé pour écrire une configuration !
|Le logiciel Centreon, qui utilise le coeur de Nagios, est un exemple de

NMS.
C’est un outil de supervision !

Il en existe plein d’autres !
Comme les logiciels |ZABBIX, Eyes of network et Observium !
Si vous voulez faire des tests, je vous conseille |Eyes of network, qui est
gratuit et Français !
Sinon, vous avez |Centreon, qui reste le plus utiliser en entreprise !

Siret : 519 157 861 00047
Le logiciel de supervision, qu’on appelle aussi le gestionnaire ou le
manager, enverra des messages | « GET SNMP » pour demander un état
des différentes variables MIB, à peu près toutes les minutes.
Si par exemple une interface tombe, alors |une notification sera envoyée
vers le gestionnaire SNMP ! On appelle ça une TRAP SNMP !
SNMP à |3 versions différentes :
• La version 1 est tellement ancienne qu'il est pratiquement

impossible de la trouver sur un réseau en production !
• Les versions 1 et 2 utilisent toutes deux des chaînes de communauté

comme mot de passe pour authentifier l'accès à l'agent SNMP.
Ces communautés sont envoyées en clair sur le réseau, ce qui n’est
pas très sécurisé !
• Et la version 3 est le meilleur choix de nos jours, car elle prend en

charge l'authentification basée sur les noms d'utilisateur et prend
aussi en charge le cryptage.
Dans la V3 Il y’a 3 modes de sécurité différents:
• |-1 mode sans authentification ni cryptage.
• |-1 mode avec une authentification en MD5 ou SHA, mais toujours

sans cryptage
• |-et 1 mode avec authentification et cryptage!
CONFIGURATION SNMP
On va maintenant passer à la| configuration !
Dans la version 1 de SNMP, on créer d’abord une access-list pour
n’autoriser que notre serveur de supervision.
Ici le numéro de l’ACL est la 1.

Siret : 519 157 861 00047
Ensuite on lui définit sa communauté avec la commande « snmp-server
community ». Dans l’exemple, la communauté porte le nom de
« Formation »
|Le « RO » qu’on voit juste après, signifie lecteur seul.
C’est-à-dire que le serveur de supervision ne pourra qu’interroger notre
équipement.
Il ne pourra pas lui donner l’ordre de s’éteindre par

exemple !
Après le « RO » on place notre numéro d’ACL !
La commande « snmp-server host » permet de définir l’adresse de notre
serveur de supervision.
Et il ne faut pas oublier de préciser la communauté !
Et pour finir, il reste plus qu’à activer les trappes , pour que l’équipement
envoie à notre serveur, tout changement d’état !
Pour cela il faut lancer la commande « snmp-server enable traps »
|La version 2 de SNMP est la version la plus utilisée aujourd’hui !
Il s’agit exactement de la version 2C !

Les commandes sont identiques, sauf que dans la commande | « snmp-
server host » on doit préciser la version 2C !
|Et pour finir, passons à la configuration du SNMP en version 3.
• |Ici, il faudra d’abord configurer le groupe SNMPv3
• |Ensuite, configurer le serveur de supervision.
• |Et configurer l’identification de ce même serveur !

Siret : 519 157 861 00047
|Avec la commande « SNMP-server group », on lui spécifie une
communauté qu’on nomme « Formation », suivie de la version 3.
Ensuite on choisit |le type d’authentification parmi les 3 modes disponible.
Viens après le| mode d’accès à la MIB.

C’est soit Read ou Write !
Et le « V1defaut » est une fonction sans restriction, car si on le souhaite, il
est possible de donner des accès en lecteur ou écriture à certaines MIB.
|Ensuite il faut configurer un login/mot de passe pour notre serveur de
supervision !
Avec la commande « snmp-server user » , on spécifie un nom de
connexion, ici on a choisi le nom Centreon, suivi de la communauté
« Formation ».
Ensuite on tag bien la V3, pour avoir le choix de l’authentification, ici en
MD5, et on met le mot de passe de connexion du serveur de supervision !
|Et il reste plus qu’à identifier le serveur de supervision avec la commande
« snmp-server host »

Siret : 519 157 861 00047
CDP ET LLDP
CDP ET LLDP DISCOVERY PROTOCOL

La plupart des périphériques réseau ne fonctionnent jamais seuls.
En principe, ils ont des voisins !

Connaître ses propres voisins, aide grandement à dépanner le réseau et à
le faire évoluer !
Si aucune documentation ou schéma n’est disponible sur le réseau, il est
possible d'utiliser un protocole de découverte dynamique, qui permet de
donner des informations sur les périphériques qui sont directement
connectés, ainsi que certaines fonctionnalités.

Ce protocole s’appelle| CDP .
C’est un protocole propriétaire Cisco qui peut

découvrir ces propres voisins sans avoir besoin de
connaitre leurs mots de passe.
Pour fonctionner, les routeurs et les switches envoient des messages CDP
à chacune de leurs interfaces.
D’un point de vue dépannage, utiliser le protocole

CDP permet de compléter ou corriger une
documentation ou un schéma avec les interfaces
que chaque équipement utilise.
Il existe un autre protocole de découverte dynamique qui s’appelle| LLDP .
Contrairement à CDP, LLDP est un protocole de découverte standardisé et
est complètement indépendant de Cisco.
Il permet donc de pouvoir découvrir les périphériques voisins de différents
fournisseurs. Il a des fonctions très similaires à CDP.
|Cette image montre un exemple de la façon dont CDP échange des

informations avec ses voisins qui sont directement connectés.
L’admin qui se connecte sur le Switch 1, pourra voir les équipements| qui
lui sont directement connecté.

À condition que CDP soit bien activé sur leurs
interfaces.
CDP est capable de récolter de ses voisins :
• |Leurs noms
• |Leurs adresses IP
• |Et l’identifiant de leurs interfaces
Sur l’image, vous pouvez voir que les routeurs 1 et

2, ainsi que le switch 4, ne participent pas aux
échanges CDP.
Et bien c’est tout simplement parce que le switch 1 n’est pas directement
connecté à ces équipements.
Pour obtenir les informations CDP de ces 3 équipements, il faudrait utiliser
Telnet en se connectant au switch 3, pour récupérer les infos CDP du
routeur 1 et du switch 4.
Et aller sur le switch 2 pour le routeur 2 !
CDP « CISCO DISCOVERY PROTOCOL »
|Les informations CDP sont visibles avec la commande |show cdp .
En faisant un « CDP ? » , on voit qu’il existe plusieurs mots-clés qui

permettent d'accéder à différents types d'informations et à différents
niveaux de détail.

CDP est activée par défaut sur toutes les interfaces,
mais on peut désactiver cette fonctionnalité sur 1
interface ou bien sur l’ensemble des interfaces !
|Pour le désactiver sur l’ensemble des interfaces, il faut utiliser
la commande « no cdp run » en mode de configuration global.
|Et pour le désactiver seulement sur une interface, il faut faire un « no cdp
enable » sur l’interface en question.
Dans l’exemple il s’agit de l’interface gigabit Ethernet 0/0.

|Et pour l’activation c’est la même commande, mais sans le « no » !
|Voici l’exemple d’une topologie, que vous pouvez très facilement

reproduire sur packet tracer, ou nous avons 2 routeurs et 2 switches.

|La commande « show cdp neighbors », affiche des informations sur les
périphériques voisins utilisant CDP.
Ici, la commande est lancée sur le routeur 1.

Pour chaque voisin découvert CDP, affiche :
• |Le device ID, qui est le nom d’hôte de l’équipement
• |L’interface Local, qui correspond à son interface locale. C’est-à-dire

celle qui est du côté de son voisin.
• |On à Le Holdtime, qui est une valeur exprimée en seconde. C’est le

temps qu’il reste avant de supprimer cette entrée, si aucune mise à
jour n’est reçue.
• |La colonne Capability : C’est le type de l’équipement voisin. Par

exemple un « R » signifie que c’est un routeur et un S pour Switch.
• |La colonne Platform : donne le Modèle de l’équipement voisin
• |Et le Port ID : correspond au Port de l’équipement voisin.

|Si l’on ajoute le mot détail à la commande show cdp neighbors , la sortie
comprendra beaucoup + d’information. |Comme :
• les adresses IP des voisins !
CDP se limite à recueillir des informations que sur

des équipements voisins Cisco , qui lui sont
directement connectés.
LLDP
|Passons maintenant au protocole LLDP.
C’ est un protocole destiné à remplacer un bon nombre de protocoles
propriétaires comme CDP.
Il est aussi utilisé pour la découverte des réseaux, et fonctionne comme
CDP, c’est-à-dire en envoyant des messages à intervalles réguliers pour
découvrir ses voisins !

|La commande pour activer LLDP sur l’ensemble des interfaces est « lldp
run ». À faire en mode de configuration global !
|Un « No lldp run » le désactive.
|Pour la configuration sur une interface il faut faire un : « lldp transmit » et

un « lldp receive » directement sur l’interface.
|Et pour le désactiver il suffit de rajouter un [no] devant la commande

d’activation
|Le mot « transmit » est pour l’envoi des lldp, et le mot | « receive » est pour
la réception !

SERVICES NON UTILISES ET NTP
DÉSACTIVATION DES SERVICES NON

UTILISÉS
Pour faciliter le déploiement, les routeurs et les switchs démarrent avec
une liste de services activés par défaut, qui sont jugés utiles pour la
plupart des environnements !
Mais comme tous les réseaux n'ont pas les mêmes exigences, certains de
ces services ne sont pas forcement nécessaire.
Le faite, de désactiver les services qu’on ne considère pas utiles, permet
de libérer des ressources système et d’éliminer d’éventuelle faille de
sécurité sur l’exploitation de ces services.

|Cette commande de type « show » permet de contrôler les ports UDP ou
TCP que le routeur est en train d'écouter.
Une bonne pratique consiste à identifier les ports ouverts, afin de pouvoir
déterminer quels services doivent être désactivés.
Dans l’exemple, les services activés du routeur |sont :
• -Telnet
• -SSH
• -DHCP.
• -Et TACACS
|Ce dernier est un protocole, qui permet de centraliser l’authentification
de ses propres équipements. C’est-à-dire, avec un seul compte !
Une seconde pratique serait de désactiver le protocole |CDP sur les
interfaces qui pourraient représenter un risque.
Par exemple, sur celles qui sont connectées

directement à internet.
|La commande « no cdp run » , permet de désactiver CDP sur toutes les
interfaces de l’équipement.
C’est-à-dire en globalité !

|D’ailleurs, on peut voir que cette commande est lancée en mode de
configuration global !
|Et si on souhaite désactiver CDP, seulement sur une interface, il faut se
connecter dessus et entrer la commande « no cdp enable »
Une dernière pratique fortement recommandée serait de désactiver le
service HTTP, qui est activé par défaut sur le routeur.
Car s’il est activé, il sera alors possible d’accéder aux routeurs avec une
simple page web.
Quant à HTTPS, lui il peut rester activé.

|La commande « no ip HTTP server » désactive le HTTP.
|Pour le réactiver, il faut simplement faire un « ip HTTP server ».
NTP = NETWORK TIME PROTOCOL

|On va terminer le cours par le protocole NTP !
NTP permet de synchroniser les horloges de plusieurs périphériques sur
un réseau.
Ce qui est indispensable pour pouvoir utiliser des

certificats numériques, et aussi pour pouvoir bien
interpréter les évènements qui sont dans les logs.
Il est possible de configurer un routeur en tant que serveur NTP, pour que
les autres périphériques, qui eux, seront configurés en client, puissent
synchroniser leurs horloges !

|Voyons sa configuration !
Ici, nous avons un serveur NTP qui porte l’IP 10.10.10.21.
On va synchroniser le switch et le routeur sur cette horloge !
|La commande « ntp server + l’ip » permet de configurer l’équipement en

tant que client NTP en lui indiquant l’adresse du serveur NTP.
Ici, on configure le NTP, pour que |le switch 1 se raccroche au routeur, et
|le routeur se synchronise avec le serveur NTP !
Ça permet de mieux optimiser le trafic.
|On aurait très bien pu aussi rattacher le switch

directement avec le serveur NTP à l’autre bout !
|Et les commandes « show ntp associations » et « show ntp status »

permettent de vérifier les paramètres NTP

QU’EST-CE QUE LA SÉCURITÉ ?
Dans un monde parfait, les personnes travaillant dans la même entreprise

pourraient avoir accès total à l’ensemble du réseau.
| L’image représente un réseau d’entreprise complètement isolé de
l’extérieur.
Et bien, même comme ça, un utilisateur mal intentionné pourrait très bien
harceler ces propres collègues, ou même, récupérer des données
confidentielles sur l’entreprise.
De plus ce type de configuration, limité et cloisonné, n’est plus du tout
utilisé de nos jours.
| Les entreprises d’aujourd’hui ne sont plus fermées et s’ouvrent vers
l’extérieur.
Par exemple pour se connecter à internet, ou même se lier à des
partenaires.
Les employés voudraient aussi certainement pouvoir être mobiles en
étant connecté à l’entreprise, aussi bien de l’intérieur que de l’extérieur.
Et l’entreprise pourrait aussi, fournir un accès limité au réseau, à ses
invités.
À mesure que le réseau et sa connectivité se développent, comme le
montre l’image, l'entreprise aura plus de difficulté à gérer ses propres
frontières et maintenir une sécurité.
| Avant de commencer à sécuriser un réseau, il faut d’abord bien
comprendre les menaces.
| Considérez qu’un réseau d'entreprise est vu comme un bloc de mur
fermé.
Il n’y a même pas de porte.

Tout est fermé du sol au plafond avec des matériaux très solides.
Ce qui signifie que le matériel à l’intérieur est complètement à l’abri des
dommages ou du vol.
Le problème dans ce cas, c’est que même le propriétaire de l’entreprise
aurait du mal à y entrer ou bien à y sortir.
| C’est pourquoi, on va ajouter une porte, et comme ça, le propriétaire
pourra aller et venir comme il veut.
Alors même si la porte est verrouillée, cela ne veut pas dire qu’elle est
impénétrable.
D’ailleurs aucune porte n’est impénétrable.

Il est donc possible de trouver un moyen pour accéder à ce qui se trouve à
l’intérieur…
Ce qui devient une vulnérabilité.

En d’autres termes, dans le domaine de la sécurité, une vulnérabilité est
tout ce qui peut être considéré comme une faiblesse qui pourrait
compromettre la sécurité.
Que ce soit sur les données ou bien même les

performances d'un système.
Dans l'exemple de la porte verrouillée, personne d'autre que le
propriétaire, avec sa clé, ne peut ouvrir la porte, à moins qu'un outil, autre
que la clé, ne soit utilisé.
| Par exemple un pied de biche.

Cet outil peut donc être utilisé pour exploiter une vulnérabilité.
Dans le monde de l’informatique, cet outil peut être vu comme une
« Faille ».
Alors techniquement, une faille, comme le pied de biche, n'est pas
forcément dangereuse en soi.
| Sauf, si une personne malveillante venait à

exploiter cette faille.
| C’est-à-dire qu’il utiliserait le pied de biche pour ouvrir la porte
verrouillée.
Ce qui donne une possibilité d'effraction, de dommage ou de vol sans

autorisation.
C’est ce qu’on appelle : une menace.

Dans le monde informatique, il existe de très nombreuses vulnérabilités et
de failles différentes, qui peuvent être exploitées par des utilisateurs
malintentionnés, pour devenir de vraies menaces dans les entreprises.
Dans la suite du cours, nous allons voir et détailler différentes menaces,

ainsi que certaines techniques à utiliser pour éviter ou contrer les activités
malveillantes.
| Pour rester sur l’exemple de notre porte, ou pourrais penser, à ajouter de
nouvelle serrure, changé le cadre de la porte, ou même pourquoi pas,
mettre un système d’alarme pour détecter les intrusions et alerter les
autorités.
LES MENACES COURANTES DE SÉCURITÉ
Vu que les réseaux d'entreprise d’aujourd’hui contiennent de nombreux

équipements fonctionnant ensemble, leur sécurisation peut devenir une
tâche assez complexe.
Dans le cours suivant, nous allons donc voir les menaces les plus courantes
qui pourraient poser problème à la sécurité
LES ATTAQUES D'USURPATION
D'IDENTITÉ
Les différentes attaques qui vont suivre se basent principalement sur

l’usurpation d’identité…
| On commence par l’attaque « Spoofing ».
SPOOFING ATTACK
Par exemple, lorsqu'une machine envoie un paquet IP, tout le monde

s'attend à ce que l'adresse IP source soit la propre adresse IP de la
machine qui envoie.
Et c’est pareil pour l'adresse MAC source dans la trame Ethernet, qui
devrait être la propre adresse MAC de l'expéditeur.
Et c’est la même chose, pour les services du type DHCP ou DNS.
Par exemple, si un PC envoie une requête DHCP ou DNS, et bien, ce même
PC, s’attendra, à recevoir une réponse d'un serveur DHCP ou DNS, qui
serait légitimes et approuvés.
Comme les adresses et les services ont tendance à être implicitement
approuvés, c’est pourquoi les attaques d'usurpation d'identité se
concentrent sur la vulnérabilité.
C’est-à-dire qu’ils vont remplacer les valeurs

attendues par des valeurs falsifiées.
Dans l’exemple, l’attaquant envoie un paquet avec une adresse IP source

usurpée, au lieu de sa propre adresse.
Lorsque la cible reçoit ces paquets, elle envoie le trafic de retour à
l'adresse usurpée, plutôt qu'à l'adresse réelle de l'attaquant.
Si l'adresse usurpée existe, alors un hôte sans méfiance, avec cette
adresse, recevra le paquet.
Et si l'adresse n'existe pas, le paquet sera alors transféré, puis abandonné
plus loin dans le réseau.
Une personne malveillante pourrait aussi envoyer des adresses MAC
usurpées, dans le but de fausser les tables de correspondances utilisées
par des commutateurs de couche 2 ou bien même fausser des tables ARP
utilisées par des routeurs.
Ce type d’attaque pose également problème sur des serveurs DHCP, car si
les demandes DHCP contiennent des adresses MAC usurpées, alors ça ira
remplir la table d’allocation IP du serveur DHCP, ne laissant plus de place à
d’autres clients, pour une utilisation normale.
ATTAQUES PAR DENI DE SERVICE

(DENIAL-OF-SERVICE)
| Passons maintenant aux attaques de déni de service, qui sont aussi très
rependues.
Dans le fonctionnement normal d'une application métier, les clients
ouvrent des connexions aux serveurs d'entreprise pour échanger des
informations.
C’est-à-dire que, les utilisateurs ouvrent un navigateur Web vers le site de
l'entreprise, ce qui a pour effet, d’ouvrir une connexion TCP avec ce
dernier. Et c’est à ce moment, que des échanges peuvent avoir lieu, ou
bien, qu’une transaction puisse être effectuée.
Alors, si tous les utilisateurs se comportent bien, les serveurs d’entreprises
ne devraient jamais être surchargés.
Ce qui veut dire que de nombreuses transactions peuvent avoir lieu sans
problème…
Maintenant, supposons qu'un utilisateur malveillant trouve un moyen,

d'ouvrir une connexion au serveur l’entreprise.
La connexion TCP commence, lorsque l'utilisateur malveillant envoie un
paquet SYN au serveur, sauf qu’ici, l'adresse IP source est remplacée par
une fausse adresse.
Le serveur va donc ajouter la connexion TCP à sa table client et répondra à
la fausse adresse avec un « SYN-ACK ».
Vu que la fausse adresse n'a rien demandé, il n’y aura pas de réponse ACK,
pour terminer cette négociation TCP en 3 étapes.
Cette connexion reste donc incomplète dans la table du serveur jusqu'à ce
qu'elle expire et soit supprimée.
Pendant ce temps, l'attaquant peut de nouveau lancer de nouvelles
connexions frauduleuses, jusqu’à ce que la table de connexion du serveur
soit full.
Ce qui bloquera les connexions TCP, des utilisateurs légitimes, qui ne
pourront plus lancer de transaction pour l’entreprise.
Lorsqu'un attaquant est en mesure d'épuiser les ressource système, et
bien, l’ensemble de ces services deviennent indisponibles ou se bloquent.
| C’est ce qu’on appelle une attaque par déni de

service (DoS : Deny of Service). Car elle refuse le
service aux utilisateurs
Ce type d’attaque peut même aller encore bien plus loin, en faisant
participer de nombreux systèmes qui n’ont rien demandé.
| Dans ce cas, l’attaquant, va installer un ordinateur, quelque part sur
internet, qui va contrôler un ensemble d’autres systèmes, en les infectant,
par un code ou logiciel malveillant.
Chaque machine deviendra alors silencieusement un «bot»,qui fonctionne
normalement et attendra les ordres de l’ordinateur « Maitre ».
Et lorsque le moment sera venu de commencer une attaque, le contrôleur
enverra une commande à chaque bot, pour leur dire de lancer une attaque
par déni de service, contre une cible.
C’est ce qu’on appelle une attaque par déni de service distribué (DDoS :
Distributed Denial of Service) , parce que l'attaque est distribuée sur un
grand nombre de bots, qui inonde ou attaque la même cible.
ATTAQUES DE RÉFLEXION ET
D'AMPLIFICATION
| Nous allons maintenant voir un autre type d’attaque qui consiste de

forcer la cible à traiter un trafic usurpé pour qu’il le transfert vers un client
légitime…
Si on se base sur l’image, dans ce type d’attaque, le serveur n’est pas la
cible prévue.
L’objectif est d'amener le serveur à refléter cet échange vers l'adresse
usurpée, qui est la cible.
C'est ce qu’on appelle une attaque par réflexion (reflection attack).
Le serveur qui reflète le trafic vers la cible est appelé un « reflecteur ».
L'attaquant peut aussi envoyer les paquets usurpés à plusieurs réflecteurs,
ce qui provoquerait la réception de plusieurs copies du trafic par la cible…
Le principal but de ce type d’attaque est de

consommé de la bande passante.
ATTAQUE : « MAN-IN-THE-MIDDLE »
| Nous allons maintenant parler d’une attaque qui se traduirait en français

par « L’homme du milieu ».
Cette attaque consiste à écouter les données qui passent d'une machine à
une autre, en évitant la détection.
C’est-à-dire que l’attaquant se place tranquillement, au milieu du chemin
de communication, et se fait passer par un intermédiaire des deux cibles.
Ce type d'attaque exploite la table ARP, que chaque hôte gère pour
communiquer avec d'autres hôtes, de leurs propres réseaux locaux.
Normalement, si un hôte doit envoyer des données à un autre, il recherche
l'hôte de destination dans sa table ARP.
Si une entrée est trouvée, la trame Ethernet peut alors, être envoyée
directement à l'adresse MAC de destination.
Sinon, l'expéditeur doit diffuser une demande ARP en broadcast, qui
contient l'adresse IP de la destination, et il devra attendre que le
destinataire lui réponde avec sa propre adresse MAC.
On va maintenant détailler le processus de l’attaque sur l’image.
• À l'étape 1, le client diffuse une requête ARP pour savoir quelle

adresse MAC est utilisée par l'hôte qui porte l’IP 192.168.0.10.
• À l'étape 2, la demande ARP est envoyée en broadcast, à tous les

hôtes du domaine.
Ce qui permet à l'attaquant de recevoir cette requête ARP et de se
préparer à exploiter les informations qu’il aura apprises.
Alors, le vrai client, qui porte l’IP 192.168.0.10, répondra avec sa
propre réponse ARP et sa véritable Mac Adresse.
Et c’est là que porte toute la finesse de cette attaque…
• Car à l’étape 3, l'attaquant va attendre simplement un bref instant

avant d’envoyer une réponse ARP usurpée, qui contient sa propre
adresse MAC.
Donc, l'objectif de l'attaquant est d’envoyer la dernière réponse ARP,
dans le but que tous les autres hôtes mettent à jour leurs tables ARP
avec les informations les plus récentes.
Ce processus empoisonne donc l'entrée des tables ARP de tous les
systèmes qui aurait reçu la réponse ARP usurpée.
Et comme ça, tout système infecté, transmettra aveuglément le trafic à
l'adresse MAC de l'attaquant, qui se fait passer pour la destination.
Dans ce type de hack, dès qu’un attaquant se place entre 2 hôtes, et bien il
peut écouter l’ensemble des communications entre ces deux hôtes.
Et il peut même aussi, modifier les données qui transitent.
RÉSUME DES ATTAQUES PAR

USURPATION D'ADRESSE
Objectif DoS/DDoS Reflection Amplification Man-in-the-Middle

Épuiser les ressources ou Oui Non Non Non
planter le système
Tromper un hôte pour Non Oui Oui Non
envoyer du trafic vers la cible
Écouter le trafic Non Non Non Oui
Modifier le trafic Non Non Non Oui
| Lorsque vous travaillez sur différents types d'attaques d'usurpation

d'adresse, n'oubliez pas que le principal but de l'attaquant est de
dissimuler son identité et de tromper d'autres systèmes, et ce, de manière
malveillante.
Le tableau répertorie les concepts et les caractéristiques de chaque type
d’attaque.
LES AUTRES TYPES D’ATTAQUES
ATTAQUES DE RECONNAISSANCE
Lorsqu'une personne malveillante a l'intention, de lancer une attaque sur

une cible, cette personne, pourrait d’abord tenter d’identifier certaines
vulnérabilités, dans le but de porter une attaque encore + efficace.
| C’est ce qu’on appelle une attaque de

reconnaissance.
| Dans ce type d’attaque, la personne malveillante peut utiliser certains

outils pour découvrir certaines informations comme :
• | le propriétaire d'un domaine
• | Et les plages d'adresses IP qui y sont utilisées.

Par exemple, la commande « nslookup » qui existe dans de nombreux
systèmes d'exploitation permet d’effectuer une recherche DNS, dans le
but de résoudre une adresse IP à partir d'un nom de domaine.
Si un attaquant connaît le nom de domaine d'une entreprise, alors cette
commande, peut révéler le propriétaire du domaine, ainsi que la plage
d'adressage IP qui y est enregistré.
| Il y’a aussi, les commandes « whois » et « dig » qui sont des outils
complémentaires pouvant interroger le DNS pour révéler des informations
détaillées sur :
• | Les propriétaires de domaine
• | Les informations de contact,
• | Les serveurs de messagerie
• | Les serveurs de noms
• Etc.
Avec ces informations, l’attaquant pourra lancer des « ping » à chaque
adresse IP de la plage cible.
Les hôtes qui répondront à ces pings, deviendront alors des cibles
potentielles.
Il y’a même, des outils qui permette de balayer des numéros de ports TCP
et UDP, permettant de savoir, sur quel numéro, un hôte répondrait.
Il faut garder à l'esprit qu'une attaque de

reconnaissance n'est pas une véritable attaque.
C’est juste pour collecter des informations sur les systèmes et services,
dans le but de découvrir des vulnérabilités qui pourraient être exploitées
par un autre type d'attaques.
ATTAQUES BUFFER OVERFLOW
| Nous allons maintenant passer à une attaque qui surcharge les Buffers.
Les systèmes d'exploitation et les applications lisent et écrivent les
données, normalement à l'aide de tampons.
Il s’agit d’un espace de mémoire temporaire.

Les buffers sont importants lorsqu'un système communique avec un
autre, car les paquets IP et les trames Ethernet vont et viennent dans tous
les sens.
Tant que cette mémoire temporaire est pleinement utilisable, et bien tout
devrait fonctionner comme prévu.
Le problème, c’est que certains systèmes et applications ont des
vulnérabilités, qui peuvent faire déborder un Buffer.
Ce qui signifie, que les données ne pouvant pas être traitées par le Buffer
peuvent déborder sur d’autres mémoires, dans la condition que le système
accepte de dépasser la limite du Buffer.
| Une personne malveillante peut exploiter cette faille, en envoyant des
données très volumineuses, ce qui aura pour effet de faire déborder la
mémoire tampon vers une autre zone de mémoire, qui finira par faire
planter le service ou même l’ensemble du système.
L'attaquant pourrait même, dans la nouvelle zone de mémoire, insérer du
code malveillant, qui sera exécuté sans que le système s’en aperçoive
MALWARE
| Passons maintenant au « Malware »
Certains types de menaces peuvent prendre la

forme de logiciels malveillants.
TROJAN
| Par exemple, un cheval de Troie (Trojan) est un logiciel malveillant caché
et empaqueté dans un autre logiciel qui semble normal et légitime.
Si un utilisateur décide de l'installer, alors le cheval de Troie sera aussi
installé, mais en mode silencieux.
Il pourra, par la suite, exécuter ses propres attaques sur le système, et
même sur d'autres systèmes.
Ce type de Malware, ne peut se propager d’un ordinateur à un autre, que
par une interaction avec l’utilisateur.
Comme par exemple :
• Une ouverture de pièces jointes dans des e-mails
• Ou bien, le téléchargement d’un logiciel sur internet, qui est ensuite

copié dans une clé USB, pour y être déplacé vers un autre
ordinateur.
VIRUS
| Comme autre type de « Malware », on a les « Virus », qui sont des logiciels
malveillants pouvant se propager plus facilement entre les systèmes.
WORM
| Un autre type de « Malware » capable de se propager sur d’autres
systèmes pour les infecter est le « Ver » (Worm).
Ici, c’est l’attaquant, qui va développer un logiciel contenant le « Ver » et le
déposera sur un autre système.
C’est à partir de ce moment-là que le « Ver » se répliquera et contaminera
d’autres systèmes, au travers de leurs vulnérabilités.
| Pour résumer, voici un tableau qui répertorie les types de Malwares que
nous avons vus.
Caractéristique Trojan Horse Virus Worm

Packagé dans d'autres logiciels Oui Non Non
Auto-injecté dans d'autres logiciels Non Oui Non
Propagation automatique Non Non Oui
ADWARE
| Nous avons aussi le « Adware » qui, quand on est affecté, va afficher de la
publicité sur notre système.
SPYWARE
| Pour finir sur les « Malwares », il y’a le « Spyware », qui est un logiciel
espion, capable de surveiller votre activité.
Par exemple il est capable de récupérer vos données de carte bleue, si
vous acheter sur un site e-commerce.
VULNÉRABILITÉS HUMAINES
| Il existe encore de nombreuses autres attaques qui peuvent réussir en
exploitant les faiblesses des humains qui utilisent des systèmes
informatiques.
Type d’Attaque Objectif

Social engineering Exploite la confiance humaine et le comportement social
Phishing Déguise une invitation malveillante en quelque chose de
légitime
Spear phishing Cible un groupe d'utilisateurs similaires
Whaling Cible les individus de haut niveau
Vishing Utilise les appels vocaux
Smishing Utilise les SMS
Pharming Utilise des services légitimes pour envoyer des utilisateurs
vers un site compromis
Watering hole Cible des victimes spécifiques qui visitent un site compromis
SOCIAL ENGINEERING
| Une attaque assez simple pourrait se baser simplement sur la confiance
humaine (Social engineering).
Par exemple, un attaquant pourrait se faire passer pour un membre du
personnel informatique et de ce faite, tenter de contacter des utilisateurs
légitimes, par différents moyens, comme :
• Des appels téléphoniques

• Des emails
• Ou bien par les médias sociaux.

Le principal objectif de cette démarche serait de les convaincre, de révéler
certaines informations, comme :
• Leurs identifiants
• Ou leurs mots de passe.
PHISHING
| Une autre méthode d’attaque par vulnérabilité humaine, est le très
connu : « phishing ».
C’est une technique que les attaquants utilisent pour inciter les victimes à
visiter des sites Web malveillants.
L'idée est de tromper les utilisateurs pour qu’ils saisissent leurs
informations confidentielles.
SPEAR PHISHING
| Il existe aussi le phishing ciblé (Spear phishing), qui va se concentrer sur
un groupe d'utilisateurs similaires, par exemple de la même entreprise, et
qui va leur envoyer un email convaincant, c’est-à-dire avec l’entête de
l’entreprise, et l'email contiendra un lien vers un site malveillant.
WHALING
| Un autre type d’attaque est le « Whaling » qui se traduit littéralement en
anglais par « La chasse à la baleine ».
C’est très similaire au précédent, sauf que la cible concerne plus des
personnes de haut niveau, que ce soit dans des entreprises, ou bien aux
gouvernements.
VISHING
| Le « Vishing » est une attaque qui se produit sur des communications
téléphoniques.
SMISHING
| Le « Smishing » porte sur les messages texto.
PHARMING
| Le « pharming » est aussi une attaque qui consiste à envoyer des victimes
sur un site Web malveillant, sauf qu’il va le faire de manière plus
transparente et vicieuse…
C’est-à-dire qu’il est capable de modifier un service DNS, ou bien le fichier
« host » du PC.
Comme ça, dès que la victime saisira l’adresse du site web dans son
navigateur, et bien elle sera renvoyée vers le site malveillant.
WATERING HOLE
| Et la dernière attaque de phishing (Watering hole) est une technique, ou
l’attaquant va carrément déposer un Malware sur le site officiel que la
victime consulte régulièrement. Et ce Malware infectera que la victime
concernée, en laissant les autres utilisateurs indemnes.
VULNÉRABILITÉS DE MOT DE PASSE
La plupart des systèmes d'un réseau d'entreprise utilisent un type

d’authentification pour accepter ou refuser l'accès des utilisateurs.
| Lorsque les utilisateurs accèdent à un système, on leur demande
généralement un nom d'utilisateur et un mot de passe.
Un nom d’utilisateur est assez facile à deviner, par rapport à son nom.
| C’est pourquoi il faut bien faire attention à ne pas utiliser un mot de
passe par défaut, ou bien une chaine de texte facile à deviner.
Sinon, ce serait très simple pour une personne malveillante, d’accéder au
système de l’utilisateur.
L’idéal est de se placer à la place de la personne malintentionnée, pour
voir, si le mot de passe que l’on choisit est facile à deviner.
| Par exemple il faut fortement éviter ces types de password comme :
• | Motdepasse
• | Ou bien : motdepasse123
• | Ou encore 123456
| Et bien sûr, éviter aussi, le couple utilisateur/mot de passe en : |
Admin/admin
Un hacker peut soit tenter de trouver le mot de passe manuellement,
c’est-à-dire en les essayant 1par1, ou bien à l’aide d’un logiciel, qui va
utiliser un dictionnaire de mot de passe les plus courant, pour tenter de
deviner celui de l’utilisateur.
Ce type de méthode risque tout de même de prendre un certain temps, et
peut même être consommatrice en ressource informatique…
Pour atténuer le risque des attaques par mot de passe, une entreprise doit
implémenter des stratégies sur l’ensemble de ces utilisateurs.
| Par exemple, elle pourrait imposer de longs mots de passe, composés
d'une combinaison de caractères majuscules et minuscules ainsi que des
chiffres et même de certains caractères spéciaux.
L'objectif est de rendre le mot de passe très complexe, pour qu’il soit
difficile à trouver par une attaque de mot de passe.
De plus, l’idéal serait même, d’exiger qu’ils soient modifiés régulièrement,
pour que les longues attaques de mot de passe, n’ai pas le temps de le
trouver.
ALTERNATIVES DE MOT DE PASSE
| Une entreprise peut également envisager d'utiliser des informations

d'identification alternatives qui apportent plus de complexité et plus de
sécurité.
| C’est ce qu’on appelle l’identification à 2 facteurs.

Ce qui permet ainsi de garantir que vous êtes la seule personne pouvant
accéder à votre compte, même si quelqu’un d’autre connaît votre mot de
passe.
Le deuxième facteur d’identification pourrait être :
• | Une clé à changement dynamique

• | Un message contenant un code à durée limitée
• | Un Certificat numérique
• | Ou bien même une identification biométrique
Ce qui pousse le système encore plus loin, en demandant comme facteur

« quelque chose que vous êtes ».
L’idée est d'utiliser un attribut physique du corps d'un utilisateur pour
identifier cette personne.
Les attributs physiques sont généralement uniques à la structure
corporelle de chaque individu et ne peuvent donc pas être facilement
volés ou dupliqués.
| Par exemple, l'empreinte digitale d'un utilisateur peut être analysée et
utilisée comme facteur d'authentification.
D'autres exemples de ce deuxième facteur d’identification seraient :
• | la reconnaissance faciale
• | les empreintes palmaires
• | la reconnaissance vocale
• | la reconnaissance de l'iris
• | et même les scans rétiniens.

Alors bien sûr, certaines méthodes sont plus fiables que d'autres.
Par exemple, les systèmes de reconnaissance faciale peuvent être
trompés lorsqu'ils sont présentés avec des photographies.
Et même les empreintes ainsi que l’iris peuvent être altérés, par des
blessures ou alors, simplement par le vieillissement de la personne.
| Pour contrer ces faiblesses, il est possible de combiner plusieurs
identifications biométriques, pour authentifier les utilisateurs.
Caractéristique Juste le mot 2 facteurs Certificat Biométrique

de passe d’identification numérique
Quelque chose que vous savez Oui Oui
Quelque chose que vous avez Oui Oui
Quelque chose que vous êtes Oui
Le tableau répertorie les idées clés de chaque alternative à

l'authentification par mot de passe.
FORMER LES UTILISATEURS A LA

SÉCURITÉ
Une bonne approche, que pourrait avoir une entreprise pour améliorer la
sécurité, serait | d’éduquer ses utilisateurs par le biais d'un programme de
sécurité d'entreprise.
La plupart des utilisateurs n’ont pas forcément de notions d’informatique,
ce qui les rend vulnérables aux attaques extérieures.
Par exemple, si les utilisateurs de l'entreprise reçoivent un e-mail
contenant une menace dissimulée, et bien, ils pourraient être tentés de
suivre un lien du mail pointant vers un site malveillant.
Ce qui aurait comme effet d’infecter l'ordinateur de l’utilisateur, en
ouvrant une porte, c’est-à-dire un accès, qui introduirait un logiciel
malveillant ou un ver…
C’est pourquoi il est important de sensibiliser ses utilisateurs à
l’informatique, afin d’en améliorer la sécurité.
Pour une sécurité efficace, ce programme d’accompagnement devra
porter sur plusieurs éléments de base :
• | Il faut commencer par sensibiliser les utilisateurs:

C’est-à-dire qu’ils doivent être informés sur la nécessité de protéger
les données de l’entreprise, ainsi même, que de leurs propres
informations personnelles.
Il faut aussi les informés des différentes menaces qui existent, et de
leur mettre à disposition, une procédures pour signaler les incidents
de sécurité.
• | Dans le programme, il faut aussi inclure une Formation des

utilisateurs, ou ils seront tenus d’y participer régulièrement, dans le
but, de se familiariser avec toutes les politiques de sécurité de
l'entreprise
• | Et pour finir, il faut équiper l’entreprise d’un contrôle d'accès

physique.
C’est-à-dire, que toutes les pièces contenant des armoires réseaux,
ou les endroits, ou sont stocker les données de l’entreprise, doivent
rester verrouillés en toute sécurité.
L’idéal est même d’avoir un accès par badges aux locaux sensibles,
ce qui représente une solution évolutive, et permet de garder une
trace avec un horodatage, des différentes personnes qui ont eu
accès.
De plus, avec ce genre de système, il est très facile pour les admin
réseau de contrôler les accès et de les supprimer rapidement, par
exemple, quand un employé quitte l’entreprise.
RADIUS TACACS
ATTÉNUER LES MENACES A LA COUCHE

D'ACCÈS
La couche d'accès c’est le niveau ou les utilisateurs se connectent au réseau.
C’est le point de connexion entre le réseau et tout

périphérique client.
Protéger la couche d’accès revient donc à protéger :
• Les utilisateurs
• les applications
• et le réseau en lui-même, contre toutes attaques malveillantes, voir même des

erreurs humaines.
Il est possible de diminuer la plupart de ces menaces, en utilisant certaines
fonctionnalités.
|Par exemple, le Port Sécurity, qui permet de filtrer et de restreindre le nombre
d’adresses MAC autorisées à se connecter sur le port d’un switch.
Siret : 519 157 861 00047
|Ou bien avec le DHCP Snooping, qui s’utilise aussi sur un switch, et qui permet
d'empêcher de brancher un serveur DHCP malveillant sur un réseau.
|Le DHCP Snooping permet de filtrer les requêtes DHCP qui ne sont pas |autorisées.
Et la dernière fonctionnalité qu’on pourrait mettre en place pour diminuer le risque
|est de se protéger des attaques ARP Spoofing.
C’est une sécurité qui permet de valider les paquets ARP

dans le réseau.
|L’ARP spoofing consiste à diffuser un paquet ARP, qui change la table ARP pour
rediriger le trafic destiné à une machine, vers une autre.
En gros, on peut le voir comme de l’usurpation d’identité.

C’est-à-dire, qu’un équipement sur le réseau se fera passer pour un autre, dans le but
de recevoir les paquets qui lui étaient destinés !
C’est là qu’intervient le DAI, qui permet de vérifier avant tout, qu’une adresse MAC à
bien obtenu son IP via le serveur DHCP autorisé.
Ces 3 fonctionnalités permettent de fournir une sécurité et une protection

supplémentaires sur les ressources réseau.
AAA : AUTHENTICATION AUTHORIZATION

ACCOUNTING
|On va maintenant parler des serveurs d’authentification, qui permettent de vérifier
les utilisateurs qui se connectent, quel que soit leur emplacement physique.
Sans ce type d’authentification, ça réduit grandement la mobilité des utilisateurs.

Siret : 519 157 861 00047
Par exemple, une personne qui souhaite accéder au vlan « comptabilité » , devra
obligatoirement entrer dans ce service et se brancher sur un port du switch qui
appartient à ce vlan.
La mobilité des utilisateurs est aujourd’hui une priorité pour

les entreprises.
C’est pourquoi il est préférable d’utiliser un serveur d’authentification.
Ce concept, permets de vérifier les utilisateurs, au moment où ils se connectent sur le
switch.
Ils seront authentifiés et placés automatiquement dans le VLAN en fonction de leurs
types de profil.
Et si un utilisateur n’est pas reconnu, alors son accès sera soit refusé, ou bien il sera
placé dans un vlan invité, avec des restrictions.
Sur les petits réseaux, une authentification locale est

largement suffisante.
Par contre, si on à plusieurs centaines d’utilisateurs et plusieurs équipements réseau,
alors il vaudrait mieux utiliser un serveur d’authentification.
Par exemple, si vous avez 100 switchs sur le réseau, et qu’un nouvel utilisateur arrive,
alors il faudra l’ajouter sur l’ensemble des périphériques réseau.
Et de plus, si vous ajoutez un switch, alors il faudra également ajouter tous les
comptes utilisateurs pour qu’ils puissent accéder à ce nouvel équipement.
Un serveur d’authentification est aussi connu |sous le nom de « serveur 3A ».
Les 3A signifient :
• |Authentification
• |Autorisation
• |Et Accounting.
Que l’on peut traduire par comptabilité ou bien aussi par traçabilité.
|Le premier A, pour l’Authentification, consiste à déterminer si l’utilisateur ou
l’équipement est bien celui qu’il prêtant être, à l’aide d’une authentification nom
d’utilisateur/mot de passe, ou bien avec à un certificat.
|Le second A, pour Autorisation, détermine les droits de l’utilisateur sur les différentes
ressources du réseau.

Siret : 519 157 861 00047
|Et le dernier A, pour Accounting, permet de tracer l’utilisation des ressources, par les
utilisateurs.
Les deux types de serveurs 3A, les plus populaires, |sont :
• le RADUIS
• et le TACACS.
|Le protocole RADIUS est basé sur un système client/serveur, qui est chargé de définir
les accès utilisateurs sur le réseau.
C’est le protocole qu’utilisent les fournisseurs d'accès à internet, car il propose des
fonctionnalités de comptabilité, qui leur permet de facturer précisément leurs clients.
|Et le protocole TACACS, fonctionne de la même manière, sauf qu’il est plutôt utilisé
sur des plates-formes UNIX.
Que l’on utilise Radius ou TACACS+, toutes les demandes d'authentification sont
transmises au serveur 3A, et c’est ce dernier, qui autorisera ou non l’utilisateur.
Avant terminer le cours, on va voir les différentes étapes de son fonctionnement.
|Pour commencer, le client est invité à entrer un nom d’utilisateur et un mot de passe.
|Ensuite, le périphérique réseau transmet une demande d’accès au serveur Radius ou
Tacacs, avec les données de connexion de l’utilisateur.
|Le serveur d’authentification valide cette demande de connexion, et récupère les
droits liés au client.
|Et pour finir, le client reçoit l’accord ou non de s’authentifier sur le réseau.
|S’il est autorisé, alors il aura accès aux ressources de son

profil.

Siret : 519 157 861 00047
SÉCURISER L’IOS CISCO
SÉCURISATION DES PÉRIPHÉRIQUES

RÉSEAU
Depuis la forte croissance d’internet, de nombreuses menaces pour la
sécurité sont apparues !
|Que ce soit :
• des virus,

• Cheval de Troie,
• Pirates informatiques
• et même les propres employés d'une entreprise,

tout ça représente des risques pour la sécurité.
L’ensemble de ces menaces peuvent voler ou détruire des données
sensibles.
Ce qui peut entrainer des couts et même paralyser

financièrement une entreprise.
Une violations de sécurité peut très bien arrivé chez nous, dans notre
réseau domestique, ou bien en privée, dans une entreprise !
On va détailler plusieurs types de menaces:
|On a les Menaces à distance :
si aucun système n’est mis en place pour protéger les accès, des
personnes malveillantes pourront s’y connecter très facilement !
Pour augmenter cette sécurité, il est possible de mettre en place :
• -une authentification
• -un cryptage sur l’accès
• -des règles d’accès
• -une bannière de connexion pour dissuadé
• -d’utilisé des ACL.
• -Ou même, de mettre en place un accès VPN !

|Un autre type de menace est celle qui sont liée à l’accès du local
informatique:
il peut y avoir des dommages physiques ou des vols sur le matériel réseau.
Pour sécurisé cette menace, il est conseillé de verrouillé l’accès à la salle
serveur, et de laisser entrer, que les personnes habilitées !
On peut aussi mettre en place des caméras pour surveiller les machines !

|On a les Menaces environnementales:
des températures extrêmes (que ce soit chaude ou froide) ou même
d'humidité sont des menaces pour la sécurité !
Pour avoir un environnement d’exploitation sain de la salle serveur, il faut
pouvoir contrôler la température ainsi que la qualité de l’air, tout en
contrôlant et en enregistrant les données !
On peut même mettre en place, des alarmes pour prévenir tout danger
dans la salle à sécurisé !
|Il faut aussi faire attention aux menaces électriques:
des pointe ou chute de tension peuvent avoir de gros impact sur la
sécurité des données !
Il est possible de mettre en place des systèmes de redondance pour éviter
toute panne électrique. On peut aussi installer des groupes électrogènes
ou équiper les machines d’une seconde alim, et ce, sur un réseau
électrique différent !
|Et on a les Menaces de maintenance:
que ce soit une mauvaise manipulation des composants réseau, un stock
insuffisant de pièce de rechange et câblage, ou bien même simplement un
mauvais étiquetage, tout cela, présente une menace pour la sécurité !
SÉCURISATION DU MODE PRIVILÉGIÉ DE

L’IOS
|Il est possible de sécuriser un routeur ou un switch en utilisant un mot de
passe pour accéder au mode privilège de l’IOS.

Pour ça, il existe deux commandes pour sécuriser cet accès .
• |Il y’a la commande « enable password »
• et| la commande « enable secret »

|Ces deux commandes, protègent l’accès IOS, à l’aide du mot de passe que
l’on aura défini !
|La différence entre les deux c’ est qu’ avec « enable

password » le mot de passe est affiché en clair dans
le fichier de configuration !
Tandis qu’avec la commande « enable secret » le mot de passe est crypté
avec un hachage en MD5, ce qui est beaucoup plus sécurisé…

|Le petit « 5 » que l’on voit dans la sortit d’un « show running-config » sur la
commande « enable secret », et pour indiquer à l’équipement, qu’il s’agit
d’un mot de passe crypté, pour ne pas qu’il repasse par le hachage MD5,
quand on copie/colle la configuration !
Il est donc fortement recommandé d'utiliser plutôt

la commande| « enable secret » que la commande |
« enable password ».
Il est possible d’ajouter encore une autre couche de sécurité, pour les
mots de passe qui circulent dans le réseau ou qui sont stockés sur un
serveur TFTP.
La commande | « service password-encryption » permet de crypter

l’ensemble des mots de passe qui sont présents sur l’IOS.
|Ici nous voyons bien que désormais, le mot de passe de la commande
« enable password » n’est plus affiché en clair dans le fichier de la running-
config !
Alors même, si ce type de cryptage, |qui est le type

7, n’est pas très sécurisé, c’est toujours mieux que
rien !
Sur internet, il est possible de trouver des outils qui vont convertir les
mots de passe |cryptés de type 7, en clair !

La commande « enable secret » qui utilise le type
5| reste beaucoup + sécurisée !
SÉCURISATION DU PORT CONSOLE

Nous avons vu comment sécuriser l’accès au mode privilège de l’IOS.
|On va maintenant voir, comment sécuriser l’accès au port console de
l’équipement!
|La commande : «ligne console 0» permet de rentrer dans le mode de

configuration du port console.
|On peut voir que le sigle est passé de (config) à (config-line).

La commande « password » permet de spécifier le mot de passe que l’on
veut mettre.
Dans l’exemple on a choisi « Pass3456 »
Et la commande « login » permet d’activer cette fonctionnalité !
|La commande « exec-timeout » ajoute une tempo, pour éviter que l’accès
reste connecté, lorsque l’admin s’absente de son bureau !
Dans l'exemple, lorsqu'aucune activité n'est

détectée sur la console pendant 5 minutes,
l'utilisateur sera automatiquement déconnecté.

|Et la commande « service password-encryption » permet aussi de crypter
ce mot de passe.
Même si ce cryptage est faible, car il est facilement déchiffrable, c’est tout
de même mieux qu’un mot de passe en clair dans la running-config de
l’IOS !


Tout ce que vous configurez sur un commutateur ou un routeur est stocké
dans un fichier de configuration qu’on appelle la « running-config ».
Ça se traduit par le fichier de configuration en

cours d’exécution.
|La commande « show running-config» permet d’afficher l’ensemble de la
configuration qui est en cours d’exécution.

Siret : 519 157 861 00047
Il s’agit de la configuration qui est active pour le
moment.
Dans l’exemple on peut voir l’ensemble de la configuration que l’on à faite
auparavant.
Si vous voulez supprimer quelque chose de la running-config, il suffit de
mettre simplement un « no » devant la ligne à supprimer.

Siret : 519 157 861 00047
|Par exemple, si on envoie la commande « no hostname Rick », l’IOS
supprimera le hostname Rick et remettra celui d’origine.
La running-config est stocké dans la mémoire RAM,

ce qui signifie que si vous éteignez votre appareil,
votre configuration est perdu.
Pour éviter ça, il faut enregistrer la running-config sur la startup-config.
|La commande « copy running-config startup-config » permet de copier le

fichier qui est en cours d’exécution dans le fichier qui sera chargé au
démarrage de l’équipement.
La running-config se situe dans la mémoire RAM et

la startup-config est située dans la mémoire
NVRAM.
Chaque fois que vous allumez votre appareil, il cherchera le fichier de la
startup-config dans la mémoire NVRAM et le copiera dans le fichier de la
running-config de notre RAM.
Pour supprimer le fichier de la startup-config:
|Il faut taper la commande « erase startup-config », confirmer la demande,
et | redémarrer le commutateur ou routeur pour que cela prenne effet,
avec la commande « reload »

Siret : 519 157 861 00047
|Maintenant, revenons sur la sortie de notre commande « show running-
config ».
Vous pouvez voir que l’ensemble| des mots de passe sont affichés en
clair…
Ce qui n’est pas très bon pour la sécurité, car toute personne ayant accès à
ce fichier de configuration aura les mots de passe...
Pour corriger ça, il existe une commande qui nous permet de crypter tous
les mots de passe de la configuration.
|Il s’agit de la commande « service password-encryption »

Siret : 519 157 861 00047
|On peut voir que les mots de passe ont été cryptés et qu'il y a un "7"
devant le mot de passe.
Il s’agit du type de cryptage.
Avec la commande « service password-encryption » il s’agit d’un type 7.
Même si c’est mieux, le type 7 n’est pas très sécurisé, car sur internet, il est
très facilement possible de déchiffrer ce type de mot de passe en
quelques clics de souris.
Cisco a mis en place une solution pour contrer cela.
Il s’agit d’utiliser un hachage MD5.

C’est beaucoup plus sécurisé.
Voyons un exemple pour le mot de passe | « enable » :
Au lieu du mot-clé "password", il faut utiliser le mot «secret ».
Cela créera un |hachage MD5 du mot de passe et l'enregistrera dans la
running-config.
|Il peut devenir ennuyeux de parcourir l'intégralité de la configuration à

chaque fois que vous voulez vérifier un seul élément.
L’IOS Cisco a quelques astuces que nous pouvons utiliser pour nous
faciliter la vie:
|Au lieu de simplement taper "show running-config" vous pouvez utiliser le
« | include » pour n’afficher que les lignes qui contiennent un certain mot.
Dans l’exemple il s’agit du mot « secret ».

|Vous pouvez utiliser aussi le « | begin » pour afficher le fichier de conf qu’à
partir d’un mot ou d’une série de mots.

Siret : 519 157 861 00047
Dans l’exemple il nous affiche toute les lignes qui suivent après « line con
0»
Dans la CLI, il y’a une chose qui est assez agaçante, est que, quand on se
trompe de commande… un message |de ce type s’affiche ! :
Par accident je tape la commande « show » avec 3 w…

et cette commande n'existe pas.
L’IOS pense alors que j’ai tapé le nom d'hôte d'un périphérique et que je
souhaite le joindre par Telnet.
Il effectue donc une recherche DNS, pensant que c’est un nom d’hôte, et
bien sûr, il n’obtiendra jamais de réponse.
Cela peut prendre plusieurs secondes et il est impossible de l’annuler…
Pour résoudre ce problème, il faut taper la commande | « no ip domain-
lookup »

Siret : 519 157 861 00047
Elle indique au commutateur qu'il ne doit pas
essayer de faire des recherches DNS.
Parfois, la CLI vous montrera des messages de notification |comme celui-
ci:
Même si ce genre de message peut être utile, ça reste ennuyeux quand on

tape une série de commande ou bien alors qu’on effectue de la recherche
de panne sur l’équipement, car ce message s’affiche en plein milieu de
votre commande, comme le montre l’ exemple…
Heureusement, il y a une commande pour| empêcher ceci:
La commande « logging synchronous » permet de garder la dernière ligne

lisible.
Cette commande est à faire généralement sur la configuration de l’accès
au port Console et sur les lignes virtuelles, pour les connexions Telnet ou
SSH.
Le message s’affichera au-dessus pour ne pas déranger |notre commande

Siret : 519 157 861 00047
TELNET ET SSH
CONFIGURATION IP_TELNET ET SSH
Actuellement nous sommes connectés sur un switch par le port console.

Si nous souhaitons nous connecter à distance en utilisant le protocole
Telnet ou SSH, il faut que le commutateur ait une adresse IP de
configurée.| C’est ce que nous allons faire :
Le VLAN 1 peut être utilisée pour la gestion.

La commande « interface vlan » permet de rentrer dans le mode de
configuration du vlan. Ici ce sera le numéro 1
ensuite il faut lui affecter une adresse IP et un masque de sous-réseau,
avec la commande « ip address ». Le vlan 1 par défaut est désactivé. C’est
pourquoi, il faut l’activer avec la commande « no shutdown »
voyons maintenant la configuration d’une adresse IP sur | un routeur.
Il faut commencer par se connecter sur l’interface. Ici c’est la Fast Ethernet
0/0. On lui affecte ensuite une adresse IP comme pour le switch, avec la
commande « ip address »
maintenant qu’on est bon sur les IP’s, retournons sur notre switch, et
allons lui configurer un accès Telnet pour que l’on puisse se connecter | à
distance :
Un commutateur ou un routeur comporte des lignes virtuelles, que l’on

peut utiliser pour l'accès à distance.
| Ce sont des lignes VTY.
La commande « line vty 0 4 » permet de rentrer en configuration sur les 5
lignes VTY, de 0 à 4.

Le 0 comptant pour une ligne VTY. Ce qui en fait 5 au total.
Ensuite, comme pour le port console, il faut utiliser la commande
« Password » pour spécifier un mot de passe et terminer par la commande
« login » pour l’activer.
Désormais, si on connecte son PC sur le switch, on pourra se connecter
dessus avec le logiciel | « PuTTY » en Telnet.
Telnet est pratique et facile à configurer, mais il est également non

sécurisé…
C’est-à-dire que tout circule en clair.

C’est pourquoi il est préférable de configurer et d’utiliser SSH. Avec ce
dernier, tout le trafic sera crypté.
À savoir que toutes les versions d'IOS n'offrent pas

SSH par défaut. Vérifiez bien avant, s’il est possible
d’installer SSH sur votre version D’IOS.
Voici comment | configurer SSH:

SSH fonctionne avec les noms d'utilisateur. La commande « Username »
permet de spécifier le nom d’utilisateur et la commande « password » le
mot de passe lié à ce compte utilisateur.
| Ensuite il faut obligatoirement configurer un nom de domaine, car SSH
utilise des certificats.
La commande « ip domain-name » permet de renseigner le nom de
domaine.
Maintenant, nous pouvons générer les clés requises par SSH:
| La commande « crypto key generate rsa » permet de générer des clés
RSA pour SSH. La clé doit avoir au moins 1024 bits.
Par défaut, il activera la version 1 de SSH mais pour des raisons de sécurité,
il vaut mieux utiliser la V2:
| Pour cela il faut utiliser la commande « ip ssh version 2 »
Et la dernière étape consiste à taguer les| lignes VTY en SSH:
On se connecte sur les accès VTY avec la commande « line vty 0 4 »

Ensuite, il faut lui indiquer d’utiliser l'utilisateur qu'on a créé juste avant,
avec la commande «login local ».
Et pour finir, il faut autoriser uniquement SSH et pas Telnet, avec la
commande « transport input ssh »
| Reste plus qu’a se connecter en SSH avec PuTTY :

CONFIGURATION SSH
SÉCURISATION DE L'ACCÈS À DISTANCE

Il est possible de lancer une connexion SSH ou Telnet à l'aide d'un client
comme| Putty qui est installé sur son PC.
PuTTY c’est un émulateur pour les protocoles SSH

ou Telnet. On peut aussi faire des connexions
directes avec un câble série |RS-232.
À l’origine, ce logiciel n’était disponible que sur Windows. Maintenant il est
aussi dispo sur les plates-formes Unix !
On va maintenant voir, |comment ouvrir les accès Telnet sur un switch

La commande « line vty 0 4 » permet de rentrer dans la configuration des 5
lignes d’accès à distance. Le « 0 » compte comme un accès, c’est pour ça
qu’il y’en a 5.
|On peut remarquer que le sigle est passé de config à config-line !
La commande « password » permet d’attribuer un mot de passe. Ici j’ai
choisi Pass4567.
Et la commande « login » active la connexion à distance avec un mot de
passe pour les sessions Telnet qui rentre.
|On peut aussi paramétrer un Time out de 5 minutes, pour plus de

sécurité !
Notre accès Telnet est désormais bien configuré !

On va maintenant passer à SSH, qui demande un |peu plus de boulot…
Même beaucoup +
Tout d’abord, il faut configurer un hostname avec la commande |

« hostname + le nom ».

Il ne faut surtout pas que le sigle soit marqué
|Switch ou router.
Ensuite il faut lui configurer un nom de domaine, avec la commande | « ip
|domain name ».
C’est indispensable, pour pouvoir générer la clé du

certificat.
|Les commandes « username » et « secret » permettent de configurer un
utilisateur avec mot de passe, qui servira pour se connecter en SSH !
|La commande « crypto key generate rsa » servira à l’utilisateur pour
s’authentifier ! Ici on prend une clé codée sur 1024 bits !
|Ensuite il faut retourner dans la configuration de nos lignes VTY, pour y
faire un | « login local » qui forcera la connexion avec un nom d’utilisateur +
mot de passe.
Le| « transport input ssh » permet d’interdire les accès Telnet, et forcer les
connexions SSH avec un nom d’utilisateur ! Ce qui est beaucoup + sécure !
Et la commande | « ssh version 2 » permet de supporter les bannières de
connexion, et dispose d’un algorithme de chiffrement beaucoup + sécurisé
que la version 1.
Si on veut vérifier |que le protocole SSH est bien activé, on peut utiliser la
commande « show ip ssh »
|Et la commande « show ssh » permet de voir si une session SSH est en
cours. Dans l’exemple, on voit que l’utilisateur1 est connecté !

Quand on lance une connexion SSH pour la première fois à partir d'un
ordinateur, |on reçoit systématiquement une fenêtre d'alerte qui indique
que la clé de l’hôte du serveur n'est pas mise en cache dans l’application
PuTTY.
Si on ajoute la clé dans le cache, le popup ne

reviendra plus sur l’ordinateur !
|Les protocoles Telnet ou SSH sont très utilisés.
C’est pourquoi il vaut mieux limiter les accès VTY, à des adresses IP
spécifiques ou à des sous-réseaux, pour mieux contrôler l'administration à
distance !
LIMITER L'ACCÈS À DISTANCE AVEC ACL

Pour ajouter cette sécurité, il faut utiliser les |ACL’s

La commande « access-list » permet de créer l’ACL en mode de
Dans l’exemple, la liste d’accès Numéro 1 autorisera que le réseau
192.168.1.0. C’est-à-dire celui du PC 1, ou de tous les hôtes qui vont de .1 à
.254 !
La commande « deny any log » n’est pas obligatoire, car implicitement il
y’a une règle qui supprime tous les paquets, qui n’ont pas étés matchés
par une ACL !
Mais, cette commande, permets en quelque sorte

de l’officialiser pour avoir des traces dans le
journal ! Comme ça, toutes les tentatives qui ont
été rejetées seront affichées dans le journal !
|Ensuite il reste plus qu’à appliquer l’ACL sur les VTY de 0 à 4 !
Le PC1 pourra se connecter sans problème en SSH sur le routeur, mais pas
le PC2 !
BANNIÈRE DE CONNEXION
|Il est possible de configurer une bannière d'accueil qui sera affichée
lorsqu’un utilisateur se connectera sur l’IOS ! Ce message peut être un
message d’avertissement, ou bien pour informer d’une prochaine mise à
jour !

Pour créer cette bannière de connexion, il faut utiliser la |commande
« banner motd » .
Le message à taper doit figurer entre deux caractères spéciaux.
Ici il est entre les deux # ! Le message sera affiché après le login !
|Et si on utilise la commande « banner login », le message sera affiché

avant le login de l’utilisateur.
Pour cette commande, il faut ajouter le texte de la

bannière entre guillemets.
Et quand un utilisateur se connectera sur le routeur, |il verra ce type de
message, avec l’avertissement !
Alors, aux États-Unis, s’il n’y’a pas de bannière

d’avertissement de configurer, ou si elle n’est pas

suffisamment claire, et bien une personne
malveillante, pourrais faire subir de gros dégâts à
l’entreprise, sans être poursuivi ! Car il n’a pas été
averti avant de se connecter !

PARE-FEU (FIREWALL) ET SYSTÈMES DE
PRÉVENTION DES INTRUSIONS
Dans ce cours, nous allons examiner les rôles de deux différents types
d’appareils réseau:
• Le pare-feu, qui se fait appeler « Firewall » en anglais.
• Et l’IPS (Intrusion Prevention Systems), qui est un système de

prévention des intrusions.
Ces deux appareils fonctionnent pour sécuriser les réseaux, mais avec des
objectifs et des approches légèrement différentes.
Nous allons donc examiner la principale fonctionnalité des pare-feu et des
IPS.
PARE-FEU (FIREWALL) TRADITIONNELS

| Traditionnellement, un pare-feu se trouve sur le chemin de paquets IP,
afin qu’il puisse choisir les paquets à rejeter ou à autoriser.
Ce qui signifie que le pare-feu protège le réseau, contre divers problèmes,
en autorisant que le trafic légitime, à entrer et sortir du réseau.
| En fait, dans le fond, un « firewalls » fonctionne comme un routeur
configuré avec des ACL (Access Control List), sauf, qu’en plus d’effectuer la
fonction de filtrage de paquets, il aura de nombreuses autres options
possibles, basées sur la sécurité.
Le schéma nous montre une conception réseau qui utilise un pare-feu

physique. Dans l’exemple, il s’agit d’un appareil Cisco ASA, qui est
connecté directement à un routeur, et ce routeur est connecté à Internet.
Dans cette config, tout le trafic d'entreprise, à destination ou en
provenance d'Internet, passerait obligatoirement par le pare-feu.
Et c’est lui, qui choisit le type de paquets à laissez-passer, en fonction de
ses propres règles.
Alors même, si le pare-feu fonctionne comme un routeur, au niveau du
filtrage de paquet, il a tout de même des fonctionnalités de sécurité bien
plus évoluer qu’un routeur traditionnel.
| Nous allons maintenant détailler les principales fonctions qu’un firewall
utilise, pour choisir s’il doit autoriser ou non un paquet :
• | Comme pour les ACL sur un routeur, le firewall fait correspondre les
adresses IP source et de destination.
• | Il peut aussi, comme les routeurs, identifier les applications, en

faisant correspondre les ports TCP et UDP.
• | Contrairement à un routeur, le firewall, peut surveiller les flux de la

couche application pour savoir quels ports TCP et UDP sont utilisés.
• | Il est aussi capable d’ examiner une adresse web, pour décider

d'autoriser ou de refuser le téléchargement de la page Web.
• | Et il conserver toutes les informations sur chaque paquet qui ont

transité, et de ce fait, pourra prendre de futures décisions sur le
filtrage des paquets en fonction de l’historique.
C’est ce qu’on appelle de l’inspection avec état (stateful Inspection)
ou bien un pare-feu avec état (stateful firewall)
La principale différence entre les ACL’s d’un routeur et un pare-feu, c’est
que ce dernier est capable de prévenir une variété d'attaques, grâce à son
filtrage de sécurité.
Il est important de confier la sécurité à un firewall,

plutôt qu’à un routeur, pour que ce dernier se
concentre plutôt sur le routage de paquets.
De plus, le routeur ne peut pas prendre le temps de garder un historique
de filtrage pour modifier ses prochaines décisions…
Tandis que le Pare-feu, se focus principalement sur la sécurité du réseau,
et permet d’enregistrer toutes les infos sur les paquets qui ont transité. Ce
qui lui permet de modifier ses futures décisions de filtrage.
L’avantage de ce type de filtrage avec état (stateful Inspection), c’est que
par exemple, si une personne malveillante utilise une simple attaque par
déni de service (DoS), sur un serveur web, en envoyant de nombreuses
demandes de connexion TCP, et bien le pare-feu « avec état » (stateful
firewall), en s’aidant de son propre historique, pourrait alors commencer à
filtrer ce type de paquets, ce qui permettra au serveur Web de survivre à
l’attaque.
Un pare-feu dynamique peut suivre le nombre de connexions TCP par
seconde.
C'est-à-dire qu’il enregistrer des informations d'état basées sur des
paquets antérieurs, y compris le nombre de demandes de connexion TCP
de chaque adresse IP cliente à chaque adresse serveur.
| C’est pourquoi, lors d’une attaque par déni de service (DoS), il est en
mesure de :
• | Remarquer un grand nombre de connexions TCP
• | Vérifier ses informations d'état
• | Et de filtrer les paquets trop répétitifs.

Tandis qu'un pare-feu sans état ou bien un routeur avec des ACL’s
n'auraient aucun historique pour se rendre, compte qu’une attaque par
déni de service se produit.
ZONES DE SÉCURITÉ
| Les Firewall’s filtrent non seulement les paquets, mais font également
très attention à l'hôte qui initie les communications.
Ils utilisent une logique qui considère l'hôte, en observant ces segments
TCP.
| Par exemple, sur le schéma, pour que les pc des utilisateurs de gauche
puissent accéder au serveur web se trouvant derrière internet, il faut
ouvrir une route.
Le problème, c’est que l’entreprise, ne souhaite pas que des utilisateurs
qui se trouvent sur le réseau du serveur web, puisse accéder, par exemple,
à leur serveur de paye.
C’est là qu’intervient le pare-feu, car ils utilisent un concept en forme de
zone. C’est-à-dire qu’il y’a des règles qui définissent quel hôte peut initier
des connexions d'une zone à une autre.
L’avantage de segmenter en plusieurs zones, c’est que le pare-feu peut
placer plusieurs de ces interfaces dans une même zone, dans le but de
récupérer les règles de sécurité de la zone.
Sur le schéma, la zone intérieure, qui est celle de l’entreprise, est
considérée comme étant dans une zone distincte par rapport aux
interfaces connectées vers Internet.
Par exemple, on pourrait placer une règle sur le Firewall, qui autoriserait
les hôtes de la zone intérieurs, à établir des connexions avec les hôtes de
la zone à l'extérieur, sur un ensemble de ports spécifiques, comme le port
80 pour le HTTP.
Juste avec cette règle, les utilisateurs de gauche peuvent démarrer des
sessions avec le serveur web situé sur internet.
Et comme les pare-feu interdisent généralement tout le trafic, hors mis,
celui ce ces propres règles, et bien, les utilisateurs d’un autre réseau ne
pourraient pas établir de session, sur le réseau de l’entreprise.
La plupart des entreprises disposent donc, d’une zone intérieure et
extérieure. | Elles peuvent aussi avoir une troisième zone, qui se nomme :
la zone DMZ (DeMilitarized Zone).
Il s’agit d’une zone de sécurité du pare-feu, utilisée pour placer des
serveurs qui doivent être disponibles par des utilisateurs de l’internet.
Sur le schéma, on voit la zone DMZ, qui contient 2 serveurs web,
connecter directement au pare-feu.
Le pare-feu devra donc avoir une règle, qui permet aux utilisateurs de la
zone extérieure d'établir des connexions avec les serveurs Web de
l’entreprise, dans la DMZ.
La faite de séparer les serveurs Web dans la DMZ, cela permet à
l’entreprise d’empêcher les utilisateurs d’Internet d’accéder aux
périphériques de la zone intérieure.
Ils se retrouvent donc isoler de toute attaque.
SYSTÈMES DE PRÉVENTION DES

INTRUSIONS (IPS)
| Traditionnellement, un pare-feu fonctionne avec
un ensemble de règles configurées par l’admin
réseau.
Un système de prévention des intrusions (IPS), un IPS, filtre aussi les
paquets, mais il prend en plus des décisions basées sur une logique
différente.
| L'IPS télécharge d'abord une base de données qui provient du
fournisseur, un peu comme le ferait un antivirus.
Cette base de données contient un ensemble de signatures d’exploitation.
Ce qui lui permet d’analyser les paquets plus en profondeur, avec les
dernières sécurités du jour.
Contrairement au firewall, ou c’est l’admin réseau qui défini les règles, sur
un IPS, ces propres règles, qu’on appelle des signatures, sont gérées par
son fournisseur.
| Ces signatures, lui permettent de rechercher différents types d’attaques,
comme :
• | Les attaques DoS
• | DDoS
• | Les Vers
• | Et les Virus
Le principe de base est identique au fonctionnement d’un antivirus sur un
pc utilisateur, sauf que l'IPS réagira plus rapidement, aux nouvelles
menaces, dans le but de protéger les hôtes.
PORT SECURITY
PORT SECURITY: CONFIGURATION
Des ports non utilisés sur un switch est un risque

pour la sécurité !
Une personne mal-attentionnée pourrait très bien, se connecter sur un
des ports non utilisés du switch et accéder au réseau !
La méthode la plus simple pour ajouter une sécurité, et que la plupart des
admin utilise, c’est de désactiver tous les ports, qui ne sont pas utilisés.
Pour arrêter plusieurs ports d’un coup, on peut utiliser la commande
|« interface range ».

Cette commande évite de se connecter sur chacun
des ports, pour au final, taper les mêmes
commandes.
Dans l’exemple, on configure en même temps, les interfaces Fast Ethernet
de 1 à 2 !
On voit bien qu’on est dans un range d’IP, |avec le nouveau sigle du mode !
Ici, la commande | « shutdown » désactivera toutes les interfaces de ce
range ! C’est-à-dire les ports 1 et 2 !
La commande juste en dessous : « switchport access vlan 99 » ajoute en
plus, un niveau de sécurité, en plaçant ces 2 interfaces, dans un vlan qui
n’est pas utilisé.
|Si on fait un « show running-config », on voit bien que nos deux interfaces
sont désactivées, car elles sont marquées : |Shutdown et qu’elles font
partit du |vlan 99 !
Dans l’idéal, si on a un switch qui possède 24 ports et que seulement 3
ports sont utilisés, alors il faudrait désactiver les 21 autres ports qui ne
sont pas utilisés…

Alors ce n’est pas forcément une tache très
intéressante pour un admin !Mais ça améliore
grandement la sécurité !
Nous avons donc vu, comment sécurisé des ports qui ne sont pas utilisés !
Mais qu’en est-il, de ceux, qu’ils le sont ?
Avec un switch, il est possible de contrôler les ports, en limitant l’accès à
certaines adresses MAC.
Cette fonctionnalité, très utilisée pour la sécurité, s’appelle « port-
security »
Cette limitation sur les Mac-adresse peut se faire de 2 manières
différentes :
• La première consiste à enregistrer manuellement l’adresse MAC qui

sera autorisée à se connecter sur le port !
• Et la seconde va autoriser dynamiquement, la première adresse

MAC qui se connectera sur le port !
Pour rappel, l’adresse MAC correspond à l’adresse

physique de la machine. C'est-à-dire de sa carte
réseau.
|Il existe 3 types de sécurisation pour le port :
• |On à l’Appentissage statique : qui est configurée manuellement par

un admin réseau.
• |Il y’a l’apprentissage dynamique : ou, l’adresse MAC est récupérée

dynamiquement pour être stockée dans la table MAC du switch !
Comme c’est dynamique, l’adresse sera supprimée après un
redémarrage du switch !
• |Et on à, l’apprentissage sticky : Ici, l’adresse MAC, est aussi apprise

dynamiquement, sauf qu’elle est enregistrée dans le fichier de la
running-config.

|Sur cette topologie, nous avons 2 pc’s qui sont connectés sur le même
port du switch.
Alors pas simultanément, mais c’est juste pour montrer un exemple.
|Lorsqu'une trame arrive sur un port configuré en port sécurity, son
adresse MAC source est vérifiée par la table MAC du switch.
Si la mac-adresse source est bien rattaché au bon port du switch, |alors les
données seront transmises !
Par contre, si elle ne fait pas partie des adresses MAC autorisées, |alors le
switch ne transmettra pas la trame.
Dans ce cas, on appelle ça une violation de

sécurité !
|Lorsque ça se produit, on peut configurer le switch pour qu’il réagisse de
3 façons différentes avec le paquet qui n’est pas autorisé
• |On a le mode Protect: qui va tout simplement supprimer les

paquets qui ont une adresse MAC, qui n’est pas reconnue !
• |Il y’a le mode Restrict: qui est identique au précédent, sauf qu’il
garde une trace de la violation dans son journal et génère même une
trappe SNMP. Ce qui est très utile, si on utilise un serveur de
supervision. Il incrémente aussi un compteur, qui permet de savoir
combien de violation de sécurité, il y’a eu .
• |Et on a le mode Shutdown: qui est le mode par défaut !

Ici, dès qu’une violation de sécurité intervient, il désactivera
automatiquement, le port, qui ne pourra être réactivé que par un|
admin réseau, en faisant un shut/no shut sur l’interface.

Et comme pour le mode « restrict », il garde aussi une trace des
violations.
|On va maintenant voir en détail sa configuration sur le switch.
Admettons que nous souhaitons configurer une sécurité sur le Port Fast
Ethernet 0/3 avec :
• 1 seule adresse Mac qui pourra s’y connecter
• un apprentissage dynamique en mode sticky
• et à la moindre violation, nous souhaitons que le port se désactive

tout seuls.
|Tout d’abord, on va commencer par se connecter sur le port 3 du switch !
Avant de pouvoir configurer la sécurité du port, il doit être, soit en mode

accès ou soit en mode trunk.
Ici, comme il est raccordé à un PC et non pas à un autre switch, |on
choisira le mode accès avec la commande : « switchport mode access »

|ensuite on peut activer la sécurité du port avec la commande « switchport
port-security »
|La commande « switchport port-security maximum 1 » autorise qu’une
seule adresse Mac à se connecter sur ce port.
|On choisit un apprentissage dynamique sticky de l’adresse Mac. Comme
le paramètre précédent est à 1, la première adresse que le port apprendra
sera autorisée et inscrite dans le fichier de configuration du switch.
Aucune autre adresse ne pourra se connecter à ce port. À moins que le
switch redémarre.
|Et pour terminer la configuration, on choisi le mode violation
« Shutdown », qui désactivera l’interface dès qu’une violation de sécurité
interviendra.
À la place du mot |shutdown, il est possible de

mettre soit « Protect » ou soit « Restrict »
|On aurait pu aussi lui indiquer une adresse mac

statique avec la commande : « switchport port-
sécurité mac-address » + la mac-address à
autoriser »
Et si on souhaite, supprimez cette fonction de port-security, et bien, il faut
simplement utiliser le | « no » devant la commande.
PORT SECURITY: VÉRIFICATION

Maintenant qu’on a bien configuré la sécurité sur le port 3 du switch, | on
va vérifier que ça fonctionne bien !

La commande | « show port-sécurity» sur notre interface, nous affiche
toute sa configuration !
|Ici, on voit que la sécurité du port est bien activée. | D’ailleurs, le statut
« Secure-up » indique qu’il fonctionne correctement.
|Le mode de violation est bien réglé sur « shutdown ».
|Le nombre maximum de mac adresses qui peut être apprises est de 1.
|Et on voit le compteur de violation qui est à 0.
Pour rappel, seuls les modes shutdown et Restrict

incrémentent ce compteur.
Maintenant, admettons qu’un autre PC se connecte sur ce port !
|Voici les paramètres qui seront affectés, par ce changement !

On voit bien que le statut du port est passé à Secure-shutdown, et que le
compteur de violation a été incrémenté de 1.
Dans cet état, seul un admin réseau pourra

remettre en service le port, |en lui faisant un
Shut/no shut !
La commande | « show interface status » affiche des infos sur l’état des
différents ports du switch.
|La commande « show port-security address » affiche les adresses Mac

sécurisées de l’ensemble des ports du switch

|Et la commande « show port-sécurity » affiche les paramètres de sécurité
du switch

PORT SECURITY
SWITCH-PORT SECURITY

Siret : 519 157 861 00047
Sur cette topologie, quelqu'un a ramené de chez lui, un petit switch et la
connecter à la place de son PC.
Il a ensuite connecté son pc de bureau et un pc

portable…
Dans ce cas, notre commutateur Cisco apprendra l’adresse MAC du PC A
et celle du PC portable par le biais de son interface fast ethernet 0/1.
Pour des raisons de sécurité, nous ne souhaitons pas que les utilisateurs
puissent ramener leurs propres équipements, et les brancher
normalement sur notre propre réseau que nous gérons…
Pour éviter que cela se produise, nous allons voir comment mettre en
place la fonctionnalité de « PortSecurity » :
Siret : 519 157 861 00047
|Tout d’abord il faut se connecter sur l’interface en question, ici ce sera
l’interface Fast Ethernet 0/1.
Ensuite la commande « switchport port-security » permet d’activer la

sécurité du port.
Et la commande « switchport port-security maximum 1 » permet
d’autoriser qu’une seule adresse Mac à se connecter sur ce port.
Après nous avons 2 options.
• |Soit on spécifier l’adresse MAC qui est autorisée à ce se connecter

manuellement.
• |Ou bien on lui dit qu’il apprendra automatiquement la première

adresse MAC qui se connectera sur le port.
Quand le switch apprendra la mac adresse

statiquement ou en dynamiquement, il
l’enregistrera dans la running config.
Par défaut, dès qu’une violation intervient, c’est-à-dire qu’une adresse
mac n’est pas autorisé à ce connecté, le switch désactivera
automatiquement le port, en lui faisant un « shutdown »…
|Il existe 3 modes de violation :
• |Il y’a le mode « Protect ».

Dans ce mode les trames Ethernet provenant d'adresses MAC
non autorisées seront supprimées, et il n’y aura aucune log en
cas de violation.
• |Dans le mode « Restrict »,

les trames Ethernet ne provenant pas d’adresse MAC autorisée
sont elles aussi supprimées, comme pour le mode Protect.
Sauf que cette fois, on aura une trace dans le journal de bord

Siret : 519 157 861 00047
ou bien on aura des trap SNMP, si on utilise un serveur de
supervision.
• |Et le mode « Shutdown » est le mode par défaut.

Ici dès qu’une violation intervient, le port est mis en
« shutdown » pendant un laps de temps, ou alors indéfiniment
et seul un administrateur réseau pourra rétablir le port.
|Il devra se connecter sur le port et faire un

« shutdown » « no shutdown » pour le remettre en
service.
|Pour régler le laps de temps soit même, il faut tapez cette commande :
Par défaut c’est réglé à « 0 », et ici on le change à 10 minutes !

Pour configurer l’un des trois modes de violation, il faut taper la
|commande « switchport port-security violation » et l’un des 3 mots clefs
de violation.
• Protect,
• Restrict,
• ou shutdown.

Siret : 519 157 861 00047
DHCP
Les adresses IP peuvent être configurées statiquement ou

dynamiquement.
En statique, vous devez configurer vous-même l'adresse IP sur votre
ordinateur, votre routeur ou votre commutateur.
En dynamique, cela signifie que nous utilisons le protocole DHCP. Il s’agit
d’un serveur qui affecte, à partir d’un Pool, des adresses IP sur des
Un routeur Cisco peut être utilisé comme serveur DHCP, mais en général,
on utilise plutôt des serveurs Microsoft ou Linux.
Maintenant nous allons voir son fonctionnement :

Le PC qui est représenté sur la gauche ne dispose pas d’adresse IP.
À droite nous avons un serveur DHCP qui porte l’IP 192.168.1.254. Un pool
DHCP a été configuré sur celui-ci avec une plage d’IP de 192.168.1.1 à .50.
Si on démarre le PC, il demandera une adresse IP en diffusant un message
| « DHCP Discover »
Comme le PC n'a pas d'adresse IP, il va donc envoyer le « DHCP Discover »

en broadcast.
Quand le serveur reçoit ce message, il répondra avec un | « DHCP Offer »
C’est un message qui contient une adresse IP, que le PC pourra utiliser. Le
serveur peut aussi fournir une passerelle par défaut, l’adresse du serveur
DNS et plein d’autres options.

|Après avoir reçu le message « DHCP Offer », le PC enverra un message
« DHCP Request » pour demander au serveur, s’il est bien d’accord pour
qu’il puisse utiliser les informations que contienne le « DHCP Offer ».
Et pour finir|, le serveur DHCP répondra avec un message « DHCP ACK ».
On peut le voir comme un accuser de réception, de

la requête du PC.
DHCP SNOOPING
Les serveurs DHCP jouent un rôle vital dans la plupart des réseaux
d'aujourd'hui.
| La plupart des périphériques réseau utilisent le DHCP pour obtenir :
• | une adresse IP
• | Un masque de sous-réseau
• | Une passerelle par défaut
• | et les adresses IP du serveur DNS.

Dans un cours précédent, nous avons vu comment le DHCP fonctionnait.
Ici nous allons examiner les attaques qui se servent du DHCP, | et deux
outils permettant de lutter contre ces attaques :
• | Le DHCP Snooping que nous allons détailler dans ce cours
• | Et L’inspection dynamique ARP (DAI : Dynamic ARP Inspection),

que nous verrons dans le cours suivant
CONCEPTS DU DHCP SNOOPING

| Le mot Snooping, se traduit littéralement par « Espionnage » en français.
Le DHCP Snooping est une technique qui permet de configurer le switch
pour écouter le trafic DHCP et arrêter tous les paquets malveillants, qui se
ferait passer pour un DHCP.

Sur le schéma, nous avons un serveur DHCP qui est représenté en haut de
la topologie.
En bas à droite, vous voyez un client légitime qui souhaite obtenir une
adresse IP.
Et en bas à gauche, nous avons un PC malveillant, sur lequel est installé un
logiciel pour faire tourner un serveur DHCP.
Alors à votre avis, qui répondra en premier au message « DHCP Discover »
que le client enverra pour demander sa config ?
• | Le vrai serveur DHCP, celui du haut ?
• | Ou bien, le PC faisant tourner un faux serveur DHCP, c’est-à-dire

celui du bas ?
Sur les grands réseaux, le serveur DHCP, se trouve généralement bien plus
éloigné. Si une personne malveillante lance un serveur DHCP dans le
même sous-réseau où se trouve la cible, et bien ce sera probablement lui,
qui répondra le plus rapidement à la demande du client.
Si l’attaque réussie, et bien le faux serveur DHCP, pourrait attribuer au
client sa propre adresse IP comme passerelle par défaut.
C’est ce qu’on appelle comme type d’attaque « Man-in-the-middle », que
nous avons déjà détaillé précédemment.
Un autre type d’attaque possible, serait que le faux DHCP, envoie sa
propre adresse IP, en tant que serveur DNS, dans le but, par exemple,
d’usurper des Sites Web.
Le PC malveillant, pourrait même, envoyer plein de message « DHCP
Discover » au vrai DHCP, dans le but, de lui faire épuiser tout son stock
d’adresse IP…
Alors, comment pouvons-nous arrêter toutes ces attaques ?
| C’est là qu’intervient le « DHCP Snooping »

Grâce à lui, il est possible de configurer les switchs, pour que les messages
de type « DHCP discover » et « DHCP offer », suivent un chemin unique.
Par exemple, les interfaces qui se connectent aux clients ne doivent jamais
être autorisées à envoyer un message du type « DHCP offer ».
| On peut donc les taguer comme étant « non-fiables » (untrusted), ce qui
aura pour effet de bloquer ce type de message.
Seule une interface configurer avec un | tags «fiable » (trusted) sera
autorisée à transférer les messages « DHCP offer ».
Il est même possible de limiter le débit de ses interfaces, pour que
l’attaquant n’envoie pas un nombre illimité de messages « DHCP
Discover », dans le but d'épuiser le pool DHCP.
| Avec ce type de procédé, lorsqu'un commutateur Cisco reçoit un « DHCP

Discover », il le transmettra uniquement sur les interfaces autorisées. Ce
qui empêche donc, les faux DHCP, de recevoir ce type de demande en
premier.
On va maintenant passer à sa configuration.
CONFIGURATION
| Pour faire simple, on va se baser sur ce type de topologie :

L'interface FastEthernet 0/2 est connectée au client qui souhaite obtenir
une adresse IP du serveur DHCP connecté lui, sur l'interface 0/3.
L’attaquant, qui exécute un faux DHCP, se positionne sur l’interface 0/1.
On va voir comment l’arrêter !
Pour commencer il faut d’abord activer en globalité, la surveillance du
DHCP, avec la | commande « ip dhcp snooping »
Alors par défaut, le commutateur ajoute « l'option 82 » au « DHCP

Discover » avant de le transmettre au serveur DHCP.
Certains serveurs n'aiment pas trop ça, et abandonnent le paquet.
C’est pourquoi, si le client n'obtient plus d'adresse IP, après avoir activé
globalement le « DHCP Snooping », et bien il faut utiliser | la commande
« no ip dhcp snooping information option » :

Pour continuer, on va sélectionner les vlan’s pour lesquels on souhaite
utiliser la surveillance du DHCP, avec la | commande « ip dhcp snooping » +
le numéro du vlan. Dans l’exemple il s’agit du VLAN 1.
Une fois que la surveillance est activée, | toutes les interfaces par défaut
ne sont plus fiables, et ne laisse donc plus passer les messages de type
DHCP. C’est pourquoi il faut ouvrir les interfaces qui mènent vers le vrai
DHCP.
Dans l’exemple, on va donc se connecter sur l’interface 0/3 et lui fait faire
un | « ip dhcp snooping trust »
Le mot “Trust” veut dire en français « Fiable ».
L’interface 0/3, qui mène droit au serveur DHCP, sera donc vue, comme
une interface fiable pour laisser passer les messages DHCP.
Il est possible aussi de limiter le nombre de paquets DHCP, que l'interface
pourra recevoir.

Pour ce faire, il faut utiliser | la commande « ip dhcp snooping limit rate »
Pour l’exemple, je l’ai configuré à un maximum de 10 paquets DHCP par

seconde, pour l’interface connectée au client. Ce qui signifie que le port ne
sera plus fiable au-delà la limite.
La commande | « show ip dhcp snooping » permet de vérifier la
configuration de la surveillance.
On peut voir que | l’option 82 est bien désactivée.

Que le port du client, | ne peut pas envoyer d’offre DHCP (DHCP offer) et
peut recevoir | un maximum de 10 paquets DHCP par seconde.
Le port du DHCP, | est complètement fiable, c’est-à-dire que lui seul peut
envoyer des messages du type « DHCP offer ».
| Et celui de l’attaquant ne pourra pas en envoyer.

| La commande « show ip dhcp snooping binding » permet d’assurer le
suivi de la liaison des mac-adresse avec les IP’s.
Tous les messages du type « DHCP offer » qui circule sur une interface non
approuvée seront supprimés.
| Dans l’exemple, on voit que le client légitime a bien reçu une adresse IP
du vrai serveur DHCP.

DAI : DYNAMIC ARP INSPECTION
L’inspection dynamique de l’ARP, (DAI) permet d’éviter les attaques du

type « arp spoofing », qui débouche notamment sur l’attaque : Man-In-
The-Middle.
C’est une sécurité qui permet de valider les paquets ARP dans le réseau.
Pour ça, il utilise le « DHCP Snooping » pour vérifier qu’une adresse MAC à
bien obtenu son IP via le serveur DHCP trusté.
C’est-à-dire d’un DHCP viable.
Nous allons voir comment le configurer.
CONFIGURATION DAI
| Voici la topologie que nous utiliserons :
Nous avons en tout, quatre appareils :
• | Le routeur de gauche est un host qui sera un client DHCP
• | Le routeur de droite est le serveur DHCP
• | Celui du haut est le routeur utilisé par l’attaquant

• | Et au milieu, nous avons un commutateur qui est configuré pour
l'inspection dynamique ARP.
| Nous allons commencer par configurer le switch, en ajoutant l’ensemble
de ses ports actif dans le vlan 10.
Maintenant que nous sommes sûrs que ces ports font partit du même
VLAN, | nous pouvons configurer le DHCP snooping:
Les commandes « ip dhcp snooping » et « ip dhcp snooping vlan 10 »

permettent d’activer le « Dhcp Snooping » en globalité, c’est-à-dire sur
l’ensemble de ces interfaces.
La commande « no ip dhcp snooping information option » permet de
désactiver l’insertion de l’option 82 dans les paquets DHCP.
Rappelez-vous que, dans certains cas, en activant le DHCP snooping, il se
peut que les clients aient du mal à recevoir la conf du serveur DHCP, c’est
pourquoi on désactive cette option.
| Pour continuer, il ne faut pas oublier de faire confiance à l’interface qui se

connecte au serveur DHCP. C’est-à-dire sur l’interface 0/3, avec la
commande « ip dhcp snooping trust ».
À partir de maintenant, notre switch gardera une trace de ces messages

DHCP.
On va donc passer sur le routeur de droite pour lui | configurer une IP et le
déclarer en tant que « serveur DHCP ».
On lui affecte l’ip 192.168.1.254, sur son interface 0/0, avec la commande
« ip address »
| La commande « ip dhcp pool » permet de donner un nom au pool DHCP.

Et avec la commande « network », on ajoute la plage ip, que le serveur
DHCP attribuera aux hôtes.
| On va maintenant voir, si l’hôte peut obtenir une adresse ip par le serveur
DHCP :
La commande « ip address dhcp » activera le DHCP sur le port 0/0 de

l’hôte.
| Après quelques secondes, on pourra voir que le DHCP lui a bien attribué
une IP, qui est dans l’exemple, la 192.168.1.1.
Par curiosité, on va aller regarder ce que le commutateur a stocké dans sa
base de données du « DHCP snooping » | avec la commande « show ip
dhcp snooping binding » :
On voit bien notre entrée, qui contient l’adresse mac et l’adresse IP de

l’hôte.
Nous sommes maintenant prêts à configurer l’inspection dynamique de
l’arp, qui se configurer d’ailleurs qu’avec une seul commande : | La
commande « ip arp inspection vlan » + le numéro de vlan.
Dans l’exemple, il s’agit du vlan 10.
Désormais, le switch ira vérifier l’ensemble des paquets ARP sur les
interfaces non approuvées.
Rappelez-vous que par défaut, l’ensemble des

interfaces sont non trustées, c’est-à-dire non
viables.
Hormis, celle qu’on vient de configurer et qui mènent droit vers le serveur
DHCP légitime.
On va maintenant vérifier si ça fonctionne.
| Pour ça, on va configurer l’ip 192.168.1.2 sur l’hôte, qui tentera une
attaque, avec la commande « ip address » :
| Et on va tenter de pinguer à partir de l’hôte attaquant, vers le routeur

DHCP :
| On voit que le ping ne passe pas !

On va donc aller voir ce qu’en | pense le switch.
Comme on peut le voir d’après les logs du switch, | toutes les requêtes
ARP de l’attaquant ont été abandonnées !
Le switch vérifie sa table ARP, et les compare avec les informations de la
base de données du « DHCP Snooping ».
Comme il ne voit aucune correspondance, les paquets sont donc
supprimés.
| La commande « show ip arp inspection» permet de voir le nombre de
paquets ARP abandonnés :
Alors tout ça, c’est bien, puisque l’attaquant a pu être stoppé, mais par
contre, depuis la mise en place de l’inspection dynamique ARP, nous
avons un autre problème.
| Avant de voir ça, on va | fermer le port de l’attaquant, en lui faisant un
« shutdown »
On va maintenant voir ce qui se passe, | lorsque nous essayons d'envoyer

un ping de l'hôte vers le routeur DHCP :
| Le ping ne passe pas… Alors pourquoi, depuis son activation, l’hôte ne

peut plus accéder au serveur DHCP ?
| Si on va voir du côté du switch, on peut voir que notre ping, a généré des
logs d’erreurs.
D’après ces logs, on peut en déduire que le switch supprime les réponses
ARP du routeur DHCP vers l’hôte.
Et Ducoup, comme le routeur DHCP n'a aucune idée de la façon
d'atteindre l'hôte, alors le ping échoue :
Pour analyser la situation plus en profondeur, | on va lancer un « show ip
arp » sur l’host et le routeur DHCP :
Alors pourquoi le switch ne traite pas la réponse ARP?

Et bien, le problème c’est que le routeur DHCP utilise une adresse IP
statique.
L’inspection dynamique de l’ARP, vérifie la base de données du DHCP
Snooping, sur toutes les interfaces non approuvées.
C’est-à-dire non viable ou non trusté.

| L’interface 0/3 du switch est viable côté DHCP snooping, mais pas coté
de l’inspection dynamique ARP.
C’est pourquoi le paquet ARP est supprimé.

| Pour résoudre ce problème, il y’a 2 solutions :
• | Soit créer une entrée statique pour le routeur DHCP
• | Ou bien, configurer le port 0/3 du switch, comme un port trusté,

c’est-à-dire viable.
Nous allons donc voir les 2 solutions.

| On va commencer par la première.
| On va d’abord créer, sur le switch, une liste d'accès ARP, qui autorise
l’adresse IP et l’adresse MAC du routeur DHCP.
| Ensuite on va l’appliquer sur l’inspection dynamique de l’ARP :
Avec la commande « ip arp inspection filter » suivie du nom de la liste

d’accès, puis du numéro de VLAN.
Avec cette config, le switch vérifiera d'abord la liste d'accès ARP et
lorsqu'il ne trouvera aucune correspondance, alors il passera à la
vérification de la base de données du DHCP Snooping.
| Si on relance notre ping, ça devrait fonctionner :
| L’autre façon de résoudre ce problème est de configurer l'interface 0/3

du switch comme étant approuvée par l’inspection dynamique ARP, | avec
la commande « ip arp inspection trust ».
L’inspection dynamique de l’ARP autorise tous les paquets ARP sur des
interfaces de confiance.
C’est-à-dire trusté !
| Avant de terminer le cours, nous allons parler rapidement de la
commande « ip arp inspection limit rate »
Par défaut, le trafic ARP est limité à 15 paquets par secondes sur les
interfaces non trustées, c’est-à-dire qui ne sont pas de confiance.
Dans l’exemple, on passe de 15 à 10 paquets par seconde pour l’interface
0/1.
| Et la dernière chose que nous allons voir est la commande « ip arp
inspection validate » suivie d’un « ? » :
Cela permet d’ajouter des contrôles de sécurité supplémentaire :
• | « dst-mac »: permets de vérifier l'adresse MAC de destination, de

l'en-tête Ethernet par rapport à l'adresse MAC cible du paquet ARP.
• | « ip »: permets de vérifier les adresses IP invalides. Par exemple,

celle en 0.0.0.0, 255.255.255.255 ou bien les adresses multicast.
• | Et « src-mac »: permets de vérifier l'adresse MAC source de l'en-

tête Ethernet par rapport à l'adresse MAC de l'expéditeur du paquet
ARP.
Alors, il est possible d’activer qu'une de ces options

en même temps.
Par exemple, | si nous souhaiter activer la vérification par l’adresse MAC de
destination, la commande sera « ip arp inspection validate dst-mac »
Et c’est tout pour l’inspection dynamique de l’ARP.
C’est une fonctionnalité de sécurité très intéressante, mais assurez-vous

d'avoir des listes d'accès ARP de configurer pour tous les appareils
disposant d’adresses IP statiques, avant de l'activer.
Sinon, la majeure partie du trafic sera bloqué, dès son activation…
COUCHE D’ACCÈS, DISTRIBUTION ET
CORE
COUCHE D’ACCÈS, DISTRIBUTION ET

CORE
Dans un LAN, il existe trois types de couches:
• |La Couche d'accès, qui fournit des points d'extrémité. C’est ici que
les utilisateurs ont un accès direct au réseau.
• |Il y’a la Couche de distribution qui regroupe la couche d'accès et

fournit en plus une connectivité aux services
• |Et la Couche Core, qui donne une connectivité pour les couches de
distribution. Très utile dans des environnements LAN de grande
taille

Une entreprise peut très bien fonctionner qu’avec
deux couches ou avec les 3 !
Par exemple, un site qui occupe un seul bâtiment n’aura besoin que des
couches d'accès et de distribution, alors qu'une entreprise de plusieurs
bâtiments aura probablement besoin des trois couches.
|La couche d'accès, c’est pour les périphériques de terminaison ou
d’extrémité, qui sont connectés au réseau.
Elle fournit une connectivité filaire et sans fil, et contient aussi des
fonctionnalités et services qui garantissent la sécurité et le bon
fonctionnement du réseau.
|La couche d'accès donne une connectivité avec une très grande bande
passante, afin de pouvoir prendre en charge un pique de Traffic quand les
utilisateurs effectuent plusieurs tâches sur le réseau. Ça peut être par
exemple, un envoi de mail avec de grosses pièces jointes ou bien
l'ouverture d'un fichier sur un serveur distant .
|Lors de la conception de la couche d'accès, il faut s'assurer que le réseau
soit disponible pour tous les utilisateurs qui en ont besoin.
C’est le point de connexion entre le réseau et les

clients.
Elle doit aider à protéger le réseau des erreurs humaines, ou bien
d’attaques malveillantes.
C’est-à-dire qu’il faut veiller à ce que les utilisateurs aient accès qu’aux
services autorisés et les empêchent, par exemple de se faire passer pour
un autre équipement sur le réseau.
|La couche d'accès fournit un ensemble de services réseau qui prennent
en charge différentes technologies, comme la voix sur IP ou la vidéo.

Elle doit leur fournir, un accès dédié, pour que le trafic ne soit pas perturbé
par d'autres périphériques.
C’est aussi la couche d'accès qui s’assure de

l’efficacité et de la bonne livraison du trafic !
|La couche de distribution prend en charge de nombreux services très
importants.
Dans un réseau où la connectivité parcoure le LAN de bout en bout, par
exemple entre différents périphériques de la couche d'accès, la couche de
distribution permet de faciliter cette connectivité.
|C’ est la couche qui fournit une connectivité

réglementée.
C’est dans cette couche, que travaille le routage IP. Aussi bien en statique
qu’en dynamique !
|La couche de distribution permet de fournir une Évolutivité:
Dans un réseau avec plus de deux ou trois périphériques de couche
d'accès, il n’est pas très pratique de les interconnecter ensemble.
Et bien, la couche de distribution sert de point d'agrégation pour les
switchs de la couche d'accès.
Ce qui permet de réduire les couts d'exploitation

en rendant le réseau plus efficace.
Elle augmente aussi la disponibilité du réseau en enfermant les risques de
pannes dans des zones plus petites.
|Passons maintenant à la couche la plus haute.

Dans un grand LAN, il faut souvent avoir plusieurs switches qui font partit
de la couche distribution, car ils sont souvent situés dans différents
endroits, voire même complètement dispersés géographiquement !
Pour économiser des longueurs de fibres optiques qui coutent assez cher,
il est plus judicieux de mettre un équipement de la couche de distribution
dans chaque bâtiment.
Et si les réseaux dépassent trois équipements de couches de distribution
dans une seule zone, alors il est plutôt conseillé d’utiliser la couche « core »
pour centraliser et optimiser la conception.
La couche « Centrale » qui se nomme aussi la couche « Core » est la partie
essentielle d'un réseau évolutif.
Et de plus, c’est la conception la plus simple.

La couche de distribution segmente le réseau et la couche centrale
permet une connectivité 24 heures sur 24.
Cette connectivité est essentielle pour n’importe quelle entreprise.
|Un réseau mal conçu peut faire augmenter

fortement les couts de gestion, provoqué par
plusieurs indisponibilités du réseau !
Et une mauvaise performance affecte directement les utilisateurs finaux et
leur accès à différentes ressources.
PROBLÈMES LIES À L’ARCHITECTURE

RÉSEAU
On va voir plusieurs types de problèmes qu’on peut retrouver sur des
réseaux mal conçus :

• |Il peut y avoir des problèmes de broadcast, même s’ils existent dans
tous les réseaux.
D’ailleurs de nombreuses applications utilisent les broadcasts pour
fonctionner correctement.
On ne peut donc pas les éliminer complètement.

Par contre on peut définir certaines limites, pour les confiner dans une
zone plus petite !
• |On peut aussi rencontrer des Difficultés de gestion, car avec un

réseau mal conçu et mal documenté, les flux de trafics peuvent être
difficilement identifiables !
Ce qui rend très difficile, la maintenance et la

résolution de problèmes.
• |Sur un réseau mal conçu, on rencontre beaucoup de faiblesses sur
la sécurité :
Si le réseau a été conçu avec peu d'attention sur la sécurité, alors la
couche d'accès pourrait provoquer de gros soucis sur l’ensemble du
réseau.

• |Et on peut avoir divers autres problèmes plus ou moins étendus:
L' une des raisons principales, d’implémenter dès le début, une bonne
architecture de réseau , est de minimiser l'étendue des problèmes
lorsqu'ils interviennent.
C’est pourquoi il est important de définir clairement

des limites entre la couche 2 et 3.
C’est-à-dire entre un switch et un routeur !
Car sinon, n’importe quel problème réseau se

propagera beaucoup loin que prévu !
Un réseau mal conçu a toujours un effet négatif.
Ça devient un fardeau, pour le support, mais c’est aussi un gouffre
financier pour n’importe quelle entreprise !

LAN SOHO
INTRODUCTION AUX RÉSEAUX LOCAUX
Un LAN (Local Area Network) est, comme son nom l'indique, un réseau
local.
| Ce réseau peut être aussi petit que deux ordinateurs connectés ou bien
plus grands, c’est-à-dire, avec des milliers d'appareils connectés.
La structure clé est le mot « local».

Le réseau d'une entreprise dans un seul bâtiment, ou plusieurs bâtiments,
mais dans la même zone, est considéré comme un LAN.
C'est ce que vous pouvez retrouver sous le terme :

« réseau de campus ».
Et à partir du moment, où on utilise des connexions pour des ressources
externes, par exemple, une connexion Internet, dans ce cas, | ça devient
une connexion WAN (Wide Area Network).
La connexion WAN, est utilisé pour atteindre d'autres LAN ou serveurs
distants sur Internet.
Dans le LAN, le protocole qui domine, est le protocole Ethernet.
C’est une technologie utilisée pour les réseaux locaux câblés.
SOHO LAN SMALL OFFICE HOME OFFICE

| Le LAN SOHO, qui signifie : Small Office Home Office, est la structure la
plus connue.
C'est ce qui est utilisé à la maison pour la

connectivité Internet.
| Dans sa forme la plus simple, il se compose que d’un commutateur qui

relie deux ordinateurs.
Sur cette topologie, ça permet aux 2 PC de communiquer entre eux, par

exemple pour partager des fichiers.
| Les câbles utilisés pour le protocole Ethernet sont des câbles UTP
(Unshielded Twisted Pair).
Il s’agit de connexion filaire, et il existe aussi des | connexions sans fil.
La mise en réseau sans fil se base aussi sur des normes publiées par l'IEEE.
Tout ce qui est lié au sans-fil commence par

« 802.11 ».
C’est pour ça qu’on retrouve plusieurs normes du type 802.11a, 802.11b et
ainsi de suite.
Pour faire fonctionner une connectivité sans fil, il suffit d’ajouter | un point
d’accès au réseau.
Ce qui permet aux appareils câblés et sans fil de communiquer entre eux.
Et à partir du moment, on l’on souhaite quitter le LAN, dans le but de
communiquer avec le monde extérieur, | et bien il faudra s’équiper d’un
routeur:
Le routeur utilise le protocole Ethernet pour la connectivité avec le réseau

local, c’est-à-dire du côté LAN.
Et côté WAN, il utilise une autre technologie comme :
• Le DSL
• Le Câble
• Le satellite,
• Ou bien la 4G
pour communiquer avec le fournisseur d'accès Internet (FAI ou ISP).
Chez vous, vous utilisez probablement | un routeur qui ressemble à l’un de
ceux-là :
On appelle ce type d’appareil un routeur, mais en réalité c’est un boitier

qui combine à la fois :
• | Un routeur
• | Un switch
• | Et un point d’accès Wifi
LAN D'ENTREPRISE
Les entreprises utilisent généralement la même technologie que les

réseaux locaux « SOHO » (Small Office Home Office) , | mais à plus grande
échelle.
Ce qui signifie qu’il peut y avoir des centaines, voir même, des milliers
d'appareils connectés au réseau, et situés dans un ou plusieurs bâtiments.
| Ici, la topologie représente un bâtiment, dans lequel, à chaque étage, il
y’a un switch qui permet la connectivité filaire et un point d’accès pour le
sans-fil.
Chaque switch d’étage est connecté à un autre switch central.
| On voit que la liaison de l’étage au switch central est doublée, pour
permettre une redondance.
Et si l’entreprise est plus grande, avec 2 bâtiments, | et bien la topologie
pourrait ressembler à celle-là :
Pour le second bâtiment, nous avons toujours un switch par étages, qui
sont reliés par deux câbles sur un switch central.
Et les deux switchs « Core » sont également | reliés entre eux, pour
permettre la communication entre les deux bâtiments.
Ces deux gros switches peuvent très bien aussi être reliés à un routeur
pour permettre une connectivité WAN.
Les LAN (Local Area Network) utilisent Ethernet comme technologie
principale pour la connectivité filaire.
POE : POWER OVER ETHERNET
Le PoE est une technologie que nous utilisons pour alimenter les appareils
par les câbles standard du réseau Ethernet.
Il a été inventé lorsque les premiers téléphones

VoIP ont été déployés.
| L’ancienne version des téléphones, ceux qui sont analogiques, est
alimentée directement par les mêmes fils de cuivre utilisé pour les appels
vocaux.
Les téléphones VoIP qui utilisent des câbles Ethernet sans alimentation
doivent obligatoirement avoir un adapteur réseau.
Les anciens téléphones analogiques ne demandaient qu'un seul câble,
alors que les téléphones VoIP en ont besoin de deux.
Ce qui était un peu vu, comme une régression

technologique…
C’est pourquoi le PoE a été inventé.
Le PoE a vraiment décollé, lorsqu’on pouvait l’utiliser aussi sur les points
d’accès sans fil. Ce qui est un gros avantage.
Aujourd’hui, le PoE est utilisé pour de nombreux appareils.
Par exemple sur des :
• | Téléphones VoIP
• | Caméras IP
• | Points d'accès sans fil, comme on a vu.

• | On à aussi sur de petits routeurs et switches
• | Et même les Raspberry Pi fonctionne aussi en PoE
Tous ces appareils PoE se font simplement appelé | des appareils

alimentés : (PD : Powered Device).
MIDSPAN ET ENDSPAN
On va maintenant voir comment il est possible d’alimenter un câble
Ethernet.
| Un appareil qui permet de fournir une alimentation par le câble se fait
appeler : | Power Sourcing Equipement. On retrouve ce terme sous les
initiales de « PSE ».
Pour fournir une alimentation, il existe deux options :
• | Le Endspan
• | Et le MidSpan
ENDSPAN
| La méthode PoE « endspan » utilise un commutateur avec du PoE
d’intégré. En général, sur les commutateurs Cisco, les ports qui fournissent
une alimentation sont | encadrés en jaune.
Lorsqu’un appareil est connecté au commutateur, il sera détecté
automatiquement s’il est compatible PoE.
Si c’est le cas, alors l’alimentation sera activée.
Les commutateurs PoE sont disponibles en plusieurs tailles et il est
possible que seuls certains ports soient compatibles PoE.
MIDSPAN
| L’autre méthode d’alimentation est la méthode PoE « midspan » qui
permet d’ajouter la technologie PoE sans devoir remplacer ses propres
commutateurs non PoE.
Ce sont des appareils intelligents et, comme un commutateur PoE, ils
permettent aussi de détecter | si l’équipement alimenté (PD : Powered
Device) a besoin d’Énergie.
Ce type d’appareil est très utile, si on n’a que très peu d’équipement à
alimenter.
Les injecteurs PoE sont utiles lorsque vous ne disposez que de quelques
appareils à alimenter.
| Il existe même de petits injecteurs PoE, que l’on peut utiliser pour
alimenter qu’un seul appareil :
AVANTAGES ET INCONVÉNIENTS
| Alors est t-il préférable d’utiliser du « MidSpan » ou de « l’EndSpan » ?

Avec une solution « midspan », l’inconvénient c’est que vous avez deux
appareils à gérer : le commutateur et le midspan.
Il faudra donc prévoir de l’espace supplémentaire

dans votre rack.
Et de plus, plus vous avez d’appareils à gérer, et plus le risque de panne
augmente.
L’avantage du MidSpan, c’est lorsque vous êtes équipé de commutateur
récent, et que vous ne souhaitez pas les remplacer, pour bénéficier de
PoE.
Car si vous deviez remplacer l’ensemble de vos switches pour obtenir du
PoE, et bien, cette solution serait forcément plus couteuse.
D'un autre côté, les commutateurs PoE « endspan » ont une quantité
limitée d'énergie qu'ils peuvent fournir. C’est-à-dire, que vous ne pourrez
peut-être pas utiliser la puissance max sur tous les ports du commutateur.
TYPES ET NORMES
Nom Standard Watts Nombre de Pairs

Cisco Inline Power Cisco 7 2
PoE (Type 1) 802.3af 15 2
PoE+ (Type 2) 802.3at 25 2
UPoE (Type 3) 802.3bt 60 4
UpoE+ 802.3bt 100 4
| L’entreprise Cisco a été la première, à introduire le PoE dans les années

2000.
À la base, il s'agissait donc d'une technologie propriétaire (Cisco Inline
Power) où les câbles Ethernet transportaient du 48 volts (VDC : Volt
Directionnel Courant) pour alimenter les téléphones VoIP.
Aujourd’hui, Il existe plusieurs options PoE: cela va du propriétaire au
Standard.
L'IEEE, étant responsable de la création de nombreuses normes Ethernet
802.3, a également développé une norme pour le PoE.
Il existe donc plusieurs types de PoE, basé sur les normes de l’IEEE.
C’est ce que nous allons détailler :
TYPE 1
| Le type 1 est le premier standard PoE (802.3af) de 2003 qui fournit jusqu'à
15,4 W de courant continu à chaque appareil.
On peut l’utiliser avec des câbles UTP de catégorie 3 ou 5 .
Ce type est très utile pour les téléphones VoIP, les points d'accès sans fil à
double radio et les caméras IP, qui n’ont pas de fonction motorisée
TYPE 2
| Le deuxième standard PoE (802.3at) date de 2009 et s'appelle « PoE + ».
Il peut fournir jusqu'à 25,5 W, et demande un câble UTP minimum de
catégorie 5.
Le type 2 est donc utile pour les appareils qui demandent plus de
puissance, comme des caméras IP motorisées, c’est-à-dire | avec la
fonction PTZ (Pan Tilt Zoom) , des points d'accès sans fil avec plus de trois
radios, mais aussi des moniteurs LCD ou des tablettes.
TYPE 3
| Le type 3, est le UPoE (Universal Power over Ethernet) qui se fait aussi
appelé, le PoE haute puissance.
Pour ça, il utilise les quatre paires de fils et prend en charge jusqu’a deux
fois de puissance que le type 2. C’est-à-dire qu’il peut monter jusqu'à 60
W, pour chaque appareil.
Très utiles pour alimenter par exemple de petits commutateurs réseau.
TYPE 4
| Et le type 4, qui est basé sur la même norme que le type 3, la norme
802.3bt, se fait appeler UpoE+ (Universal Power over Ethernet +).
Il permet de fournir une puissance de 100w par port, et utilise aussi les 4
paires du câble !
Ce qui permet d’être utilisé pour des ordinateurs portables ou même pour
des téléviseurs.
LES AVANTAGES ET LES INCONVÉNIENTS
Avant de terminer le cours, nous allons décrire les avantages et

inconvénients du PoE.
AVANTAGES
| On va commencer par voir 4 avantages d’utiliser le PoE :
• | (Économies) : Le PoE permet d’économiser de l’argent, car il n’y a

plus besoin d'installer d'alimentation et de câbles électriques
séparés. Tout fonctionne sur des câbles Ethernet standard.
• | (Fiabilité) : Le PoE est très fiable, car la source d’alimentation

provient généralement du local technique, qui lui, est généralement
sécurité par un onduleur. Ce qui permet aux appareils connectés en
PoE, de rester alimenté, même en cas de coupure électrique.
• | (Sécurité) : De plus, le PoE, ajoute de la sécurité, car il possède une
distribution d’Énergie intelligente, qui permet de protéger les
équipements contre les surcharges de tension ou la sous-
alimentation.
• | (Flexibilité) : Et on a une grande Flexibilité, car il devient très facile

de déplacer ou repositionner les appareils, sans avoir besoin de
câble électrique.
Il suffit juste d’avoir un câble réseau, et c’est tout.
DÉSAVANTAGES
| Les principaux inconvénients du PoE, sont liés à la production de

l'énergie et de la chaleur.
Nous allons donc détailler les 5 désavantages du PoE :
• | (Production de Chaleur) : On à une Production de chaleur : Parce

que l'augmentation de la puissance fait augmenter le flux de
courant, ce qui entraîne une augmentation de la chaleur dans les
câbles de son réseau.
• | (Charge thermique de l’environnement) : Nous avons une Charge

thermique sur l’environnement : dans le cas, par exemple, d’un
déploiement de PoE à haute puissance.
Ce qui ferait augmenter la température ambiante, et demanderait
d’augmenter la clim, pour réguler la température.
• | (Sécurité) : On peut aussi avoir un impact sur la sécurité, car des

températures excessives peuvent entraîner une surchauffe de
l’isolation du câble, et engendré une défaillance sur l’appareil.
• | (Vieillissement du matériel) : Un autre désavantage est sur le

vieillissement rapide du matériel, en raison des températures
élevées.
• | (Performances) : et le dernier inconvénient, porte sur la

performance des câbles Ethernet.
Car + il y’a de chaleur et plus il peut y avoir des pertes à l’intérieur du
câble. Ce qui a pour effet de réduire la distance max des câbles
Ethernet.
Sans PoE, la longueur maximale d'un câble Ethernet de catégorie 5
est de 100 mètres.
Et selon le type de câble et la quantité d'énergie, et bien, il est fort
probable que cette distance ne puisse être maintenue.
METRO ETHERNET
Le protocole Ethernet a été initialement créé pour le LAN (Local Area

Network) et non pour le WAN (Wide Area Network) car la distance était
limitée sur les premières normes Ethernet.
| Dans les débuts de l’Ethernet, lorsqu’une entreprise souhaitait une liaison

entre deux sites distants, il y avait que 2 solutions :
• | Soit créer sa propre liaison. Ce qui représente un coût énorme, car il

faut creuser la tranchée et poser le câble
• | Ou soit, louer une liaison dédiée (Leased Line)

| Aujourd’hui, nous avons 2 autres solutions, relativement moins chères :
• | Le MPLS (MultiProtocol Label Switching)
• | Ou bien, le Metro-Ethernet
Le métro Ethernet permet à une entreprise qui possède plusieurs sites
distants d’être interconnectée.
Le Metro Ethernet a d'abord été utilisé en dehors du LAN dans les zones
métropolitaines, | C’est-à-dire dans les MAN (Metropolitan Area Network).
Comme il s’agit de longues distances, le câblage se fait en fibre optique.
TOPOLOGIE DE NIVEAU 2
| Et voici, un tableau qui regroupe quelques-unes des normes adaptées au

Metro Ethernet:
Nom Distance Bande passante

100Base-LX10 10 Km 100 Mbps
1000Base-LX 5 Km 1 Gb/s
1000Base-LX10 10 Km 1 Gb/s
1000Base-ZX 100 Km 1 Gb/s
10Gbase-LR 10 Km 10 Gb/s
10Gbase-ER 40 Km 10 Gb/s
40Gbase-LR4 10 Km 40 Gb/s
100Gbase-ER4 40 Km 100 Gb/s
On peut voir qu’il est possible de couvrir des distances allant jusqu’à 100
km et d’une bande passante de 100 Gb/s.
| À la base, le Metro Ethernet était utilisé uniquement dans les zones
métropolitaines, c'est pourquoi il s'appelle Ethernet «Metro».
Aujourd’hui, on l’utilise même sur des liaisons WAN de longue distance.
Alors, du point de vue du client, c'est comme si vous étiez connecté à un
commutateur standard:
Comme il utilise les normes Ethernet, il va pouvoir relier les entreprises en
fibre optique | en passant par un switch central.
| Plus besoin, d’utiliser du Frame-Relay, le protocole PPP, ou de l’HDLC.
Ce qui n’est pas plus mal 😊

| Et dans le but d’économiser en liaison, le fournisseur d’accès va
positionner stratégiquement des switchs.
Ces switches porte le nom de : | Point Of Presence. Qu’on retrouve sous les
initiales de PoP (Point Of Presence)
Du côté du client, on obtient une connexion Ethernet que vous pouvez

connecter à votre routeur, commutateur ou pare-feu.
Et le fournisseur utilisera des commutateurs en bordure de son réseau.
TOPOLOGIE DE NIVEAU 3
| Les topologies du Metro-Ethernet sont définies par des standards.

Et c’est le | MEF (Metro Ethernet Forum), qui est une association à but non
lucratif, qui définit ces normes et services.
Nous allons voir les 3 principaux services les plus répandus :
• | Le E-Line (Ethernet Line Service)
• | Le E-LAN (Ethernet LAN Service)
• | Et le E-Tree (Ethernet Tree Service)
E-LINE (ETHERNET LINE SERVICE)

| Le service de ligne Ethernet est le service le plus simple, il s'agit
simplement d'une connexion point à point entre deux sites.
Cette topologie est très proche des lignes louées

(Leased Lines).
Du point de vue du client, c'est comme connecter deux routeurs l'un à
l'autre avec un câble croisé.
Comme il s'agit d'un lien de couche deux, si on configure des adresses IP,
et bien les routeurs seront dans le même sous-réseau.
L’interface WAN des deux routeurs, le côté « CE », est dans le même
réseau, ce qui signifie qu’ils peuvent donc devenir voisins (neighbors) en
termes de routage dynamique (OSPF,EIGRP).
| La liaison point à point est représentée sous les initiales de EVC, pour
Ethernet Virtual Circuit.
| Si vous avez plusieurs sites, il est possible d'utiliser plusieurs liaisons E-

Lines :
Dans ce cas, chaque point à point aura son propre
réseau.
Lorsqu’on utilise plusieurs E-LINE (ETHERNET LINE SERVICE) sur une seule
interface physique, alors on utilisera des liens Trunk, et un VLAN différent
pour chaque E-Line.
Dans mes exemples, je montre les routeurs comme les appareils clients,
mais comme nous utilisons Ethernet, vous pouvez également utiliser des
commutateurs.
Ce type de liaison E-Line peut aussi avoir comme nom : | VPWS (Virtual
Private Wire Service).
Ce nom est utilisé lorsque le fournisseur utilise du MPLS sur son réseau,
c’est-à-dire que le protocole Ethernet est transporté sur le réseau MPLS.
E-LAN (ETHERNET LAN SERVICE)

| Si vous avez beaucoup de sites et que vous souhaitez que chaque site
puisse envoyer des trames directement à n'importe quel autre site, dans
ce cas, | il faudra utiliser le service E-LAN (ETHERNET LAN SERVICE) .
Il s’agit d’une topologie à maillage complet qui agit comme un gros
switch.
La ligne verte, en pointillé, représente un seul EVC qui relie les quatre sites
ensemble, ce qui crée un E-LAN.
Tous les sites peuvent communiquer ensemble directement, d’ailleurs ils
se voient tous, comme des voisins.
| L’autre nom que porte ce service est VPLS pour Virtual Private LAN
Service.
E-TREE (ETHERNET TREE SERVICE)

| Et la troisième topologie est | l'arborescence Ethernet, | qui est en forme
d’arbre. C’est-à-dire qu’il y’a une Racine, ici c’est le routeur CE1, et il y’a des
feuilles, ce sont les routeurs CE2 et CE3.
Cette topologie est utile si vous avez un site central et quelques autres
sites qui ont principalement besoin d'accéder aux ressources du site
central.
Alors la communication entre CE2 et CE3, est toujours possible, mais il
faudra remonter obligatoirement sur le routeur principal, le CE1.
WAN
WAN (WIDE AREA NETWORK)

Un WAN, est un réseau de communication qui fonctionne au-delà d'un réseau
local LAN.
|Ce sont dans les WAN, qu’on retrouve les fournisseurs

d’accès à internet.
C’est eux qui relient les différentes entreprises, ou bien les utilisateurs particuliers.

Siret : 519 157 861 00047
Dans un WAN on peut y voir circuler différents types de trafic :
• comme de la voix,
• des données
• et de la vidéo.
C’est le WAN, qui permet à des salariés d’une entreprise située en province dans un
petit bureau de pouvoir communiquer avec leur siège social.
Et même, pourquoi pas, communiquer avec d’autres

entreprises partners.
|C’est aussi grâce au WAN, que des utilisateurs peuvent travailler à différents endroits
géographiques d’une même entreprise.
À partir de n’importe où, les utilisateurs peuvent accéder à

l’ensemble du réseau.

Siret : 519 157 861 00047
Comme il n'est pas possible de connecter l’ensemble des périphériques du monde
entier de la même manière que dans un environnement LAN, c’est à dire avec des
câbles, et bien, il existe différentes technologies pour les connecter.
Par exemple, Internet est de plus en plus utilisé pour faire du WAN d’entreprise, car
c’est une technologie beaucoup moins chère que des liaisons dédiées et privées !
TOPOLOGIE WAN
|Nous allons maintenant voir les différentes topologies WAN.
• |On à la Topologie en étoile.
Ici, l’accès des réseaux distant se fait par un routeur central.

Toutes communications entre les réseaux passeront systématiquement par ce
routeur. L’avantage de cette topologie, c’est que la gestion est simplifiée pour un coût
Siret : 519 157 861 00047
relativement bas.
Et l’inconvénient, c’est tout le flux de donnée passe par un seul lien.
Si ce lien tombe, alors c’est l’ensemble du réseau qui tombe

avec.
• |Ensuite, on à la topologie est le full mesh:
Ici, chaque routeur à une connexion directe avec les autres.

Ce qui permet de fournir un haut niveau de redondance, mais pour un cout
relativement élevé.
De plus, comme il y’a un lien pour chaque connexion entre routeurs, cela rend la
configuration plus complexe…
• |Et la dernière Topologie WAN, est celle qui est partiellement maillée :
Ce qui réduit le nombre de connexions direct vers les routeurs.

Cette topologie fournit le meilleur équilibre entre le nombre de liens, la redondance,
et la performance.
En général, les grandes entreprises utilisent une combinaison

de ces 3 topologies.
Par exemple :
• une topologie partiellement maillée pour le cœur du réseau
• une topologie en étoile avec une redondance pour de gros sites

Siret : 519 157 861 00047
• et une simple topologie en étoile pour de petits sites distants qui ne sont pas
critiques.
Alors, les temps d'indisponibilité du réseau peuvent être très

couteux, côté productivité.
Pour augmenter cette disponibilité, beaucoup d’entreprises déploient une conception
WAN à double support.
C’est-à-dire qu’ils choisissent 2 opérateurs WAN pour relier

leurs réseaux.
Ce qui rend l’indisponibilité, beaucoup moins fréquente.
Si un opérateur tombe, et bien c’est le second qui prendra le

relai.
Ce type de configuration est utilisé, quand le cout des temps d’arrêt de l’entreprise
dépasse le cout du deuxième opérateur.
CONNECTIVITE WAN
|Nous allons maintenant, parler de la connectivité WAN.

Siret : 519 157 861 00047
|Il existe de nombreuses options pour mettre en œuvre des solutions WAN .
|Chaque option dispose de technologie, de vitesse et de cout différents.
Les connexions WAN peuvent être, |soit :
• sur une infrastructure privée
• ou |soit publique comme Internet.

|Une liaison dédiée, c’est un lien point à point qui permet de connecter 2 sites WAN,
en passant par un opérateur.
Ce type de ligne était très populaire dans le passé.

Mais aujourd’hui, les entreprises préfèrent plutôt utiliser un VPN en interne, car ça
revient beaucoup moins cher !
|Dans les communications commutées, nous avons |comme type de communication :
Siret : 519 157 861 00047
• la téléphonie |analogique avec le RTC.
• Et la téléphonie numérique, |avec le RNIS.

|Toujours dans les communications commutées, on à des liaisons de commutation de
paquets.
Ce sont des liens mutualisés, que plusieurs clients peuvent utiliser.
Ce qui rend le lien, moins cher qu’une liaison dédiée.

|Comme technologie on a le Frame relais, ATM, ou encore le X.25.
|Et on a les connexions publiques qui utilisent l'infrastructure d’Internet.
Depuis l’arrivée du VPN, Internet est devenu l’option la moins couteuse, tout en étant
sécurisée et performante.
On l’utilise très régulièrement pour permettre à un salarié de travailler de chez lui, ou
d’autre site.

Siret : 519 157 861 00047
Siret : 519 157 861 00047
HDLC
WAN : WIDE AREA NETWORK (RÉSEAU

ÉTENDU)
Il est temps d'explorer le monde et de sortir de notre réseau local, pour
aller du côté du WAN !
Un réseau local correspond à ce qui nous

appartient.
C’est-à-dire tout ce qui se connecte à notre box internet, ou bien dans le
secteur du travail, cela pourrait correspondre à un bâtiment unique avec
plusieurs salariés !
Si nous voulons nous connecter à d'autres réseaux et sortir de notre
réseau local, nous devons passer par le réseau étendu. Il s’agit du WAN !
Pour obtenir cet accès, il faut faire appel à un fournisseur de service
internet, par exemple Free ou Bouygues, ou bien demander une ligne
dédiée pour accéder au WAN !
Alors à votre avis, de quelles couches du modèle

OSI parlons-nous quand il s’agit du WAN ?

Siret : 519 157 861 00047
Les seules couches qui seraient susceptibles de changer lorsque nous
parlons de WAN sont la couche 2, la couche liaison de données, et la
couche 1, la couche physique.
|Il y a 2 protocoles WAN que l’on va découvrir:
• -HDLC
• -Et PPP
|Depuis la dernière version du CCNA, il n’y a plus

besoin d’apprendre le protocole Frame-relay.
Ce qui est une bonne chose, car il était
complètement obsolète et en plus, il a entièrement
disparu de la plupart des entreprises !
|Lorsqu’on veut connecter son entreprise au monde extérieur, on fait

appel à un fournisseur d’accès.
C’est pareil quand nous voulons internet à la

maison.
Aujourd’hui, la plupart des liaisons fournies par un fournisseur d’accès
sont des liaisons IP.
Nous allons voir comment fonctionne une liaison spécifique ! C’est-à-dire
une ligne dédiée !
Elle a la même particularité qu’un câble Ethernet

croisé !
Pour ça, on voir deux protocoles de niveau 2 :
• |HDLC , qui est propriétaire Cisco.

C’est un protocole qui supporte uniquement les liaisons synchrones
et qui ne dispose pas d’option d’authentification.
• |Et on à PPP, qui lui, est normalisé, supporte les liaisons synchrones
et asynchrones. Et possède une authentification avec les protocoles
PAP et CHAP.

Siret : 519 157 861 00047
Sur le schéma sont représentés des équipements de couche 1.
Lorsque notre fournisseur d’accès nous loue une ligne dédiée, il va
également nous fournir un boitier CSU/DSU.
|C’est ce dernier qui va informer à notre routeur à

quelle vitesse il doit travailler.
Dans ces liaisons, nos équipements peuvent porter deux rôles différents :
• |Ils peuvent avoir le rôle DCE, c’est-à-dire qu’ils vont fournir la

vitesse à laquelle travailler.
• |Ou bien DTE. Dans ce cas, les équipements seront réceptifs de la

vitesse de travail.
|Au niveau du routeur , la connectique utilisée est le « Smart Série » , et au
niveau du CSU , |la connectique utilisée est le « V.35 ».
Ce type de câble est appelé câble DTE !
À la couche 2, |le PC va encapsuler les paquets IP dans une trame Ethernet

avant de la transmettre par sa carte réseau.
Et lorsqu’elle va être reçue par le routeur , |il va désencapsuler le paquet
pour l’encapsuler de nouveau, dans une trame HDLC.
Passons maintenant à sa configuration.
|Ici nous avons deux routeurs raccordés ensemble.

Siret : 519 157 861 00047
|Une liaison WAN est une liaison Série.
On va donc devoir configurer ces interfaces série !
Comme vous le voyez, il n’y a pas de commande HDLC, car il s’agit du

protocole par défaut utilisé par les routeurs CISCO.
|Il faut juste s’assurer de bien exécuter la commande « clock-rate » du côté
DCE !

Siret : 519 157 861 00047
VPN
VPN GÉRÉ PAR UN FOURNISSEUR RÉSEAU

Les VPN qui sont gérés par un| fournisseur de service internet peuvent offrir soit une
connectivité de couche 2 ou bien une connectivité de couche 3.

Siret : 519 157 861 00047
|Un VPN de couche 2 est utile pour les clients qui exécutent leur propre infrastructure
de couche 3 et qui demandent une connectivité de couche 2 auprès de l’opérateur.
Dans ce cas, c’est le client qui doit gérer l’ensemble de son

routage.
L’avantage qu’il a, comparer à un VPN de couche3, c’est que certaines applications ne
fonctionnent que si les nœuds réseau sont dans le même réseau de couche 2.
Si on se place du côté client, |alors on peut imaginer que le

VPN MPLS de couche 2 est vu comme |un gros switch virtuel.
|Dans un VPN MPLS de couche 3, un sous-réseau IP, bien distinct, est utilisé sur
chacun des sites client.
Ici, c’est l’opérateur qui prendre en charge le routage.

Dans ce type de VPN, une relation est établie |entre le routeur CE, et le routeur| PE.
Le CE est| côté client et PE coté| fournisseur.
Si on se place du côté client, |alors on peut imaginer que le

VPN MPLS de couche 3 est vu comme |un grand routeur
virtuel.
VPN GÉRÉS PAR L'ENTREPRISE

|On va maintenant voir le VPN géré par l’entreprise en elle-même.
|C’est un moyen sécurisé, fiable et rentable pour relier le siège social, les sites distants
et les salariés qui travaillent de chez eux.

Siret : 519 157 861 00047
On peut voir, un VPN comme un |pont entre deux réseaux privés, et ce pont est
construit sur un réseau public, | comme internet.
Comme on peut le voir sur la représentation du VPN géré par l’entreprise, il permet
aux périphériques du siège social à droite d’envoyer et de recevoir des données avec
ses succursales à gauche, comme si elles étaient directement connectées.
Un VPN est un réseau privé virtuel construit dans une

infrastructure de réseau public, comme internet.
Ils offrent une alternative peu couteuse aux connexions WAN privées .
Il est très utile dans les entreprises où les salariés sont très mobiles et qu’ils doivent
se connecter au réseau de l'entreprise de n’importe où.
Il existe deux types de réseaux VPN:
• |Le VPN site à site

Siret : 519 157 861 00047
• |Et le VPN d’accès à distance.
Un VPN de site à site est une simple extension d'un réseau WAN.
Les utilisateurs envoient et reçoivent du trafic à travers un équipement VPN qui est
responsable d'encapsuler et de chiffrer le trafic pour l'envoyer |par un tunnel VPN sur
Internet vers un autre site VPN.
Et le VPN d’accès à distance |est plutôt utilisé pour les personnes, qui travaillent de
chez eux.
En général, il utilise un client VPN, |comme le logiciel Cisco

AnyConnect.
|Nous allons maintenant détailler les avantages du VPN
• |Tout d’abord, il est très économique,

car il permet aux entreprises d'utiliser Internet, pour connecter des sites et utilisateurs
distants à l’entreprise principale.
Ça évite d’utiliser des liens WAN dédiés, qui coûtent

beaucoup plus cher
• |Un autre avantage est son extensibilité.
Comme le VPN utilise internet, il est très facile d’ajouter de nouveaux utilisateurs, et
ce, sans modifier l’infrastructure.
• |Il a aussi une grande Compatibilité :

car n’importe quels utilisateurs qui disposent d’internet chez eux peuvent accéder à
leur réseau d'entreprise.
• |Et le dernier point est sa Sécurité:

Aujourd’hui, les VPN fournissent un haut niveau de sécurité, en utilisant des
protocoles de cryptage et d'authentification pour protéger les données de tout accès
non autorisé.
Les protocoles les plus utilisés pour cette sécurité |sont

l’IPsec et le SSL.
|Nous allons maintenant voir, différentes options de sécurité du VPN de site à site .

Siret : 519 157 861 00047
• |On a le tunnel IPsec,
qui permet de fournir quatre services de sécurité :
o |On de la Confidentialité:
C’est-à-dire que l'expéditeur peut chiffrer les paquets avant de les
transmettre sur le réseau.
o |Comme autre sécurité, on a de l’Intégrité des données:
c’est-à-dire que le récepteur peut vérifier que les données ont bien été
transmises sans avoir été modifiées de quelque manière que ce soit.
o |On à de l’Authentification,
o |et une Protection antireplay:
Ce dernier permet de vérifier que chaque paquet est unique et n’a pas été
dupliqué. Si des paquets arrivent en retard ou sont en double, alors ils
seront automatiquement supprimés.
|Une autre option de VPN site To site est le VPN GRÉ sur IPsec.
Bien que IPsec fournit une méthode sécurisée pour le tunneling des données sur un
réseau IP, il a tout de même certaines limites.
Par exemple il ne prend pas en charge le multicast et les broadcast, ce qui empêche
d’utiliser certains protocoles, comme ceux du routage.
C’est pourquoi le protocole GRÉ a été créé.

Avec lui, il est possible d’exécuter des protocoles de routage sur l’IPSec.
|Et on va terminer le cours, avec un protocole beaucoup moins connu, qui est le
DMVPN de cisco.
C’est un VPN dynamique multipoint, qui permet de faire des tunnels IPsec et GRE
directement entre les routeurs. Il supporte les protocoles de routage OSPF, EIGRP et
BGP.

Siret : 519 157 861 00047
RÉSUMER : WAN ET VPN
PPP (POINT-TO-POINT PROTOCOL)

Dans ce cours nous allons parler du protocole WAN PPP !
Rappelez vous, les protocoles WAN fonctionnent

sur la couche physique et la couche de liaison de
données.
PPP fonctionne sur la couche de liaison de données qui a été divisée en
deux parties :
• On à NCP
• et LCP
LCP se charge de la mise en place du lien.
Et NCP s’assure que l’on puisse envoyer divers protocoles IP sur ce lien.
Par exemple l’IPv6 , ou même CDP.

Il existe deux protocoles d’authentification pour PPP :
• |On a le PAP, qui est une authentification sans cryptage.

C’est-à-dire que les mots de passe circulent en clair sur le réseau.

Siret : 519 157 861 00047
• |Et on a le CHAP, qui dispose lui, d’une authentification cryptée !
Il vaut mieux donc, utiliser le protocole CHAP !

|Passons maintenant à la configuration !
|On déclare nos IP sur les interfaces, et on active le protocole PPP avec la
commande « encapsulation ppp » .
Le protocole doit être identique des deux coté de la

liaison série.
|Pour une authentification PAP, il faut avoir au préalable configuré un
|username avec mot de passe, comme si, c’était l’autre routeur qui venait
se connecter.
Ensuite il faut bien lui spécifier qu’on utilise l’authentification PAP avec la
commande « ppp authentication pap » |et pour finir, on lui dit de se
présenter avec l’identifiant qui aura été configuré sur l’autre routeur !

Siret : 519 157 861 00047
|Pour le protocole CHAP, c’est le même principe, sauf qu’ici il faut
obligatoirement que| le mot de passe corresponde sur les deux routeurs !
Et dans ce mode, le routeur se présentera avec son

hostname.
PPP MULTILINK
|Parmi les nouveautés de la dernière version du CCNA, se trouve la
configuration d’agrégation de liens série PPP, plus connue sous le nom de
PPP Multilink.
Comme un Etherchannel en Ethernet, le PPP Multilink permet de
regrouper virtuellement plusieurs liaisons en une seule interface virtuelle.
Ce qui permet aussi d’augmenter la bande

passante et d’avoir de la redondance sur son lien.
Coté configuration, |on créer d’abord l’interface virtuelle multilink, et

ensuite on |configure les interfaces séries à intégrer dans le groupe !

Siret : 519 157 861 00047
Il faut bien entendu que le numéro de groupe
multilink corresponde dans la configuration des
interfaces !
VPN (VIRTUAL PRIVATE NETWORK)

Dans les cours précédents, on a vu les différents protocoles WAN que l’on
pouvait utiliser avec des lignes dédiées et privées, loué à des fournisseurs
de services !
Ce type de liaison comporte un coût très élevé,

c’est pourquoi on va voir comment utiliser internet
pour connecter différents sites !
Le principal avantage d’utiliser internet est qu’il est beaucoup moins cher
qu’une ligne dédiée !
Après l’inconvénient, c’est qu’« internet » est un réseau public, et donc, on
n’a aucune idée de qui pourrait espionner nos données !
C’est là qu’intervient le VPN !!!

Il permet de rendre un réseau public, comme internet, aussi sûr qu’une
ligne privée en fournissant 4 éléments !
• |On à de la confidentialité ! Cela signifie que personne ne pourra lire

les données que l’on envoie, car on peut crypter le trafic
• |On à l’authentification, qui permet de nous assurer que l’expéditeur

des données est bien un périphérique légitime ! Par exemple en
mettant en place une méthode d’authentification par mot de passe !

Siret : 519 157 861 00047
• |On à l'intégrité, qui garantit que personne n'a modifié nos données.
Par exemple si vous avez déjà téléchargé un fichier ISO, |vous avez
peut-être déjà vu certains sites Web spécifier un hachage MD5 ou
SHA256 ! Ça permet de vérifier que rien n’a été modifié entre l’ISO
présente sur le site, et celui que vous venez juste de télécharger !
• |Et on à l’anti-replay qui empêche des personnes malveillantes de

copier certains paquets pour les envoyer plus tard afin d’essayer
d’usurper des identités !
|Sur notre topologie, on peut voir à quoi ressemble un VPN !
Sur notre gauche on à hôte qui communique avec un serveur de fichier en

passant par internet.
On va voir étape par étape le cheminement d’un

paquet de l’hôte vers le serveur de fichier !
|Le PC de gauche va donc créer un paquet IP avec comme adresse source
sa propre IP, et en destination, l’IP du serveur de fichier !
Ce paquet est envoyé à la passerelle par défaut, qui

est le routeur 1
|ensuite le routeur va chiffrer le paquet et| ajouter une en-tête VPN. Ces
nouvelles données seront ensuite placées |dans un nouveau paquet IP
avec comme adresse source, l’IP public du routeur 1 et en destination, l’IP
public du routeur 2 !

Siret : 519 157 861 00047
|Et pour finir, le routeur 2 va examiner l’en-tête VPN et décrypter le paquet
IP !
Il sera ensuite transmis au serveur de fichier

comme un paquet normal !
Le faite de mettre un paquet IP dans un autre, s’appelle du tunneling !
|Dans notre exemple, nous avons un tunnel VPN

entre nos deux routeurs.
De plus en plus, de nombreuses personnes travaillent depuis chez eux, en
utilisant un logiciel VPN client sur leurs portable, smartphone ou tablette,
pour créer une connexion sécurisée avec le réseau de leurs entreprises !
L'utilisation d'un VPN et d'Internet est peu coûteuse, sécurisée et
également très évolutive.
Il est plus facile d’obtenir une ligne ADSL ou fibre,

qu’une liaison privée !
Il existe un certain nombre de protocoles différents que l’on peut utiliser
pour créer un VPN.
Une des méthodes les plus courantes de créer un

VPN est| l’« IPSEC ».
IPSEC n'est pas un protocole, mais une sécurité qui a été ajoutée pour la
couche réseau.
Car le protocole IP n'a rien qui puisse authentifier ou chiffrer les paquets
IP, ou même vérifier leur intégrité !

Siret : 519 157 861 00047
Lorsque l’on configure IPSEC, on peut choisir entre| plusieurs protocoles
de cryptage.
Les plus courants sont le |MD5 et SHA

Et on a aussi plusieurs options d’authentification par exemple| les mots de
passe ou les certificats !
Une autre méthode VPN populaire est le| VPN SSL.

Quand on navigue sur le web, la plupart des sites sont en « HTTPS » qui
utilise SSL !
Alors pour le CCNA, il n’y a pas besoin de connaitre la configuration d’un
VPN IPsec ou SSL, car il s’agit d’une spécification, et il y’a cursus
« sécurité » pour approfondir le sujet !
Par contre il faut savoir comment configurer un tunnel, mais sans les
détails de sécurité, |comme le cryptage, l’authentification ou l’intégrité des
données !

Siret : 519 157 861 00047
PPPOE TUNNEL GRE ET EBGP
PPPOE (POINT TO POINT OVER

ETHERNET)
Au tout début d’internet, on utilisait, rappelez-vous, des modems
|analogiques, qu’on connaissait aussi sous le nom de modem 56k.
Ce modem permettait de passer du signal

numérique de notre ordinateur au signal
analogique, celle de notre ligne téléphonique.

Siret : 519 157 861 00047
Et bien, le protocole utilisé sur ce type de modems était le PPP avec une
authentification CHAP.
Ce qui permettait au fournisseur d’accès à Internet

d’identifier chacun de ses clients et de voir s’ils
étaient à jour dans leurs paiements.
|Ensuite sont arrivés les modems de type ADSL.
Avec ce type de modem, les fournisseurs d’accès à internet n’avaient pas

de solution pour authentifier leurs clients, car il n’y avait plus de liaison
PPP, mais une liaison Ethnernet.
Pour pouvoir continuer à utiliser l’authentification CHAP, il fallait réussir à
encapsuler le protocole PPP au travers du protocole Ethernet.
|Et bien, c’est comme ça que le protocole PPPoE est né.
Il permet de :
• |Crée un tunnel de niveau 2 entre deux routeurs
• |Il prend 8 octets
• |Et il est utilisable que sur des liens points à point
C’est-à-dire qu’un tunnel |PPPoE ne peut être

monté qu’entre deux routeurs directement
connectés !

Siret : 519 157 861 00047
Ici nous avons donc, 2 routeurs interconnectés entre eux, et on va
configurer le routeur 1 comme le client PPPoE.
Le routeur 2 est du côté opérateur, il est donc déjà

configuré.
|Pour commencer, il faut créer une interface de numérotation pour gérer
la connexion et l'attacher à une interface physique qui fournira le
transport.
La création de l’interface se fait |avec la commande « interface dialer1 »

La commande | « ip address negotiated » permet de faire demander au
client d'utiliser une adresse IP fournie par le serveur PPPoE.
|La commande « encapsulation » définit le type d’encapsulation sur PPP
|Et la commande « dialer pool » permet de spécifier un pool de
numérotation sur l’interface.
|Ensuite il reste plus qu’à associer notre interface FastEthernet 0/1, a

l’interface de numérotation qu’on vient de créer avec la |commande «

Siret : 519 157 861 00047
pppoe-client dial-pool-number »
Avec un| « show ip interface brief », on voit que le routeur 1 à obtenue une
|adresse IP du serveur PPPoE, qui est le routeur2.
Cette adresse IP se trouve |sur l'interface virtuelle et non sur l'interface
physique FastEthernet0/1.
|La commande show pppoe session affiche les sessions qui sont établies.
TUNNEL GRE (GENERIC ROUTING

ENCAPSULATION)
|On va maintenant parler du Tunnel GRE.
C’ est un processus d’encapsulations qui permet de véhiculer n’importe
quel protocole de la couche Réseau dans des paquets eux-mêmes de la
couche Réseau.
C’est-à-dire qu’on peut très bien encapsuler de

l’IPv6 dans un paquet IPv4 pour que les 2 réseaux
distants en IPv6 puissent communiquer.
Sur cette topologie, nous avons deux réseaux privés, qui sont,
géographiquement éloignés.

Siret : 519 157 861 00047
Si nous voulons interconnecter ces deux réseaux, et bien, il existe deux
possibilités :
• La 1re, qui coute assez cher, est d’utiliser une liaison spécialisée,
qu’on louerait directement à l’opérateur, par exemple, une
technologie de type MPLS.
• Et l'autre possibilité, qui est relativement moins chère, |consiste à
interconnecter ces deux réseaux avec Internet.
Le tunnel Gre permet de créer une ligne virtuelle

spécialisée, qui passera par l'internet, et qui
fonctionnera presque comme une liaison dédiée.
Le principal avantage, c’est de ne pas être dépendant d'un opérateur et de
pouvoir choisir soi-même la sortie Internet de chaque site qui doit être
connecté.
BGP (BORDER GATEWAY PROTOCOL)

On va terminer le cours, par le protocole de routage externe, qui est BGP.
C’est un protocole d'échange de route qui est

utilisé principalement sur le réseau Internet.
|Son but est d'échanger des informations de routage entre des systèmes
autonomes.
Contrairement aux protocoles de routage interne, BGP n'utilise pas
de métrique.
C’est-à-dire qu’il prend ses décisions de routage, en fonction des règles
définies par l’administrateur de l’AS.
|BGP est un protocole de routage à vecteur de chemins.

Siret : 519 157 861 00047
La communication entre routeurs se fait avec une session TCP sur le port
179.
BGP est le seul protocole de routage à utiliser TCP pour le transport.
Il existe deux versions de BGP :
• |on à IBGP
• |et EBGP
Le| iBGP est utilisé à l'intérieur d'un AS alors que| EBGP est utilisé entre
deux AS.
BGP sert principalement pour les interconnexions

entre les opérateurs internet.
Il fait partie de la |famille des EGP dont il est |aujourd'hui le seul membre.
Il sert donc que si on est opérateur.

Les protocoles de routage IGP, | comme RIP,Eigrp,OSPF ou bien IS-IS,
s’utilise qu'à l'intérieur d'une entreprise.
Leurs buts sont de trouver la route la plus efficace,

en faisant confiance aux autres routeurs.
Tandis que les protocoles de routage EGP, | comme BGP, s'utilisent sur des
systèmes autonomes.

Siret : 519 157 861 00047
CONFIGURATION TUNNEL GRE VPN
GRE : GENERIC ROUTING

ENCAPSULATION
Dans ce cours, nous allons voir la mise en place d’un VPN, avec une
encapsulation GRE !

Siret : 519 157 861 00047
Le protocole GRE, permets de placer les paquets IP
dans un autre paquet afin qu’il puisse être envoyé
dans un tunnel.
Comme nous pouvons le voir sur cette topologie, le tunnel GRE ressemble
à un lien normal, sauf qu’il est virtuel.
Il faut donc lui configurer une IP, et on utilisera le réseau 192.168.10.0.
• Le routeur 1, porte l’IP en .1,
• et le routeur 2, l’IP en .2
Passons à la configuration d'un tunnel GRE pour voir comment il
fonctionne !
Les routeurs 1 et 2 peuvent se rejoindre, grâce au routeur du fournisseur
d’accès à internet !
Pour rendre les choses plus intéressantes, nous

allons configurer aussi un routage OSPF pour que
les deux réseaux locaux puissent communiquer au
travers d’internet !
|On va commencer par créer notre tunnel GRE !
La commande « interface Tunnel » permet de créer le tunnel, comme pour

une interface ! Ici on choisit l’interface 1 du tunnel !
Ensuite il faut configurer une IP source et une IP

destination dans notre tunnel.
On prend les IP’s publics de nos routeurs pour construire ce tunnel.

Siret : 519 157 861 00047
|Maintenant que notre tunnel est en place, on va lui assigner une adresse
IP !
Tout comme toute autre interface, il faut y mettre

une IP.
Désormais notre Tunnel GRE s’exécute correctement !
|Nous allons continuer en configurant OSPF, pour que les routeurs 1 et 2

puissent communiquer !
Ne pas oublier d’ajouter le réseau du tunnel pour

former une bonne contiguïté de voisinage !

Siret : 519 157 861 00047
VIRTUALISATION
Le cloud computing, qui se traduit en français par « L’informatique en

nuage », consiste à utiliser des serveurs informatiques en tant que service
par des fournisseurs de cloud.
Alors, le mot « cloud » est souvent utilisé comme un mot marketing un peu
à la mode.
| Dans ce cours, nous allons parler de serveur physique, de virtualisation
des serveurs, et à quoi ressemble une topologie réseau, gérer dans le
cloud.
SERVEURS PHYSIQUES
Avant la virtualisation des serveurs, il n’y avait que des | serveurs

physiques qui exécutaient un seul système d'exploitation comme
Microsoft Windows Server ou bien Linux.
Cela date d'une époque où les processeurs n'avaient que 1 ou 2 coeurs et
n’avait pas non plus beaucoup de RAM.
Un serveur est très similaire à son propre ordinateur personnel, sauf qu’il
est conçu pour fonctionner 24h / 24 et 7j / 7.
Généralement, les serveurs disposent d’un matériel plus fiable, et sont
même équipés de plusieurs blocs d’alimentation et de disques durs, pour
assurer une redondance parfaite.
Il existe différentes formes de serveur.
Les trois qui sont représentés ici sont des serveurs utilisés principalement
dans les bureaux.
Ce type de serveur possède un seul système d'exploitation et peut être

utilisé pour une ou plusieurs applications.
Par exemple, pour les petites entreprises, | le produit « Microsoft Small

Business Server » a toujours été une solution bureautique très populaire.
| Car il permet d’offrir plusieurs services, sur 1 ou 2 serveurs physiques.
Ces services peuvent être :
• | 1 Service d'annuaire
• | 1 Serveur dns
• | 1 Serveur de messagerie
• | 1 serveur Web
• | Ou même 1 Serveur de fichiers

Et tout ça, regroupé | dans un seul et même serveur.
Alors en principe, il est plus courant tout de même, de voir dans les
entreprises qu’un serveur physique est utilisé pour chacun des rôles :
• 1 serveur pour le Web
• 1 serveur pour le DNS
• Etc.
| Dans les data center, comme l'espace physique est devenu très cher, il
est donc plus courant d'y voir des | serveurs en rack comme celui-ci :
Et les serveurs en rack sont placés dans des | armoires de serveur.

Voici à quoi ressemble un | serveur Rack, qu’on installe, dans une armoire
de serveur :
Par la suite sont arrivé des serveurs | « Blade » qui permettent d’offrir plus
de puissance de calcul et mémoire, tout en utilisant beaucoup moins
d’espace :
Sur l’image, on peut voir plusieurs emplacements « Blade » qui tiennent
dans un rack de serveur.
Les serveurs « Blade » ont des processeurs, de la mémoire, ainsi que du
stockage, et s’insèrent directement dans les boitiers « Blade ».
VIRTUALISATION DE SERVEUR
| Au cours de la dernière décennie, le nombre de cœurs dans un seul
processeur a augmenté très rapidement.
Nous sommes passés de processeurs simple cœur à des processeurs
double cœur, puis à quatre cœurs et maintenant il existe même des
processeurs avec plus de 10 à 20 cœurs.
Il y’a même une technique qui porte le nom de | « hyperthreading » où
nous avons deux cœurs virtuels pour chaque cœur physique.
Cela permet au système d'exploitation d’utiliser les

ressources du processeur de façon plus efficace.
| Voici un exemple du processeur de mon PC, qui est un Intel core I7:
On peut voir | les 6 cœurs physiques et les 12 cœurs virtuels, qu’on peut
aussi appeler cœur logique.
Pour 1 cœur physique, nous avons donc 2 cœurs

logiques.
Aujourd’hui, la quantité de RAM a également beaucoup augmenté.

Un serveur physique, qui fait tourner un seul système d’exploitation, à
généralement beaucoup plus de ressources CPU et RAM, qu’il en
consomme.
C’est pourquoi la virtualisation de serveurs est

beaucoup utilisée.
| C’est un procéder, qui permet d’exécuter plusieurs machines virtuelles
sur un seul serveur physique.
Tout le matériel de la | VM (Machine Virtuelle) est virtualisé. C’est à dire,
ses CPU, RAM, disques durs, carte réseau, etc.
Pour chaque machine virtuelle que l’on crée, on peut décider du nombre
de CPU ou de RAM, à attribuer.
Le logiciel de virtualisation de serveur, qui est exécuté sur le serveur

physique, | est appelé : « L’Hyperviseur »
L'hyperviseur est ce qui gère le serveur virtualiser et permet de configurer
la quantité de RAM / CPU / et espace disque, que l’on souhaite attribuer
pour chaque machine virtuelle (VM : Virtual Machine).
| Voici, à quoi ressemblerais un serveur physique qui exécuterait un seul

système d’exploitation :
Ici, le serveur exécute un seul système d’exploitation et une seule
application.
| Et voici à quoi ressemblerait une structure de machine virtuelle :
Ici, nous avons en plus, | l’Hyperviseur qui permet de gérer l’ensemble des
machines virtuelles qui font tourner leurs propres systèmes d’exploitation.
Parmi les quelques sociétés qui proposent des solutions de virtualisation
de serveur, nous avons :
• | VMware
• | Microsoft HyperV
• | Citrix Xenserver
• | et Red Hat KVM
L’ensemble de ces sociétés qui permettent de faire de la virtualisation

proposent la possibilité de créer et déplacer automatiquement des
machines virtuelles d’un hyperviseur à un autre.
Alors ce qui faut savoir avec ce type de système, c’est que si la machine
physique qui héberge les VM’s tombe en panne, et bien, c’est toutes les
machines virtuelles qui tombe en même temps.
CARTE D'INTERFACE RÉSEAU VIRTUELLE
| Les serveurs physiques ont une ou plusieurs | cartes réseau (NIC :

Network Interface Card) qui sont toutes connectées à un switch.
Alors on pourrait se demander : qu’en est-il des serveurs virtuels?
Et bien les machines virtuelles ont du matériel virtualisé et cela inclut
même leurs cartes réseau, que l’on appelle des | cartes réseau virtuelles (
vNIC : virtual Network Interface Card).
D'une manière ou d'une autre, il faut de toute façon, connecter ces cartes
réseau virtuelles sur son propre réseau.
Et bien cela, ce fait, avec un switch virtuel.
| Vu de l’intérieur, voici à quoi ça ressemble :
Sur ce schéma, on peut voir que les machines virtuelles ont chacune | une
carte réseau virtuelle (vNIC) connectée à un commutateur virtuel, qui lui,
est connecté à un | commutateur physique, par le biais de la | carte réseau
physique du serveur, sur lequel est exécuté l’hyperviseur.
Il n'y a donc, qu'une seule carte réseau physique.

Mais en principe, sur des réseaux en production, vous pourrez retrouver
plusieurs cartes physiques, dans le but d’assurer une redondance et
d’augmenter la bande passante de toutes les cartes réseau virtuelles.
Le commutateur virtuel est fourni par le fournisseur de l'hyperviseur.
Il est possible aussi d’utiliser un commutateur virtuel externe | comme le
Cisco Nexus 1000v :
Ce qui permet d’utiliser les mêmes fonctionnalités
que les switches physiques de son propre réseau.
RÉSEAU DATA CENTER PHYSIQUE
| Nous venons de parler de la façon dont les machines virtuelles sont

connectées à un commutateur physique au travers d’un commutateur
virtuel.
On va maintenant voir, à quoi ça ressemble dans un vrai « data center », ou
il y’a plein de serveurs racké.
| Nous allons étudier les 2 conceptions de rack le plus courant.
TOR (TOP OF RACK)

| Le concept Top of Rack (ToR), qui signifie en haut du rack, comporte des
commutateurs réseau en haut de chaque armoire, ou en haut de chaque
rack de serveur.
Les serveurs sont situés sous les commutateurs du concept Top of Rack,
et pour des raisons de redondance, ils sont même raccordés aux deux
commutateurs ToR.
Les commutateurs ToR sont ensuite connectés aux commutateurs de la
couche de distribution.
L'un des avantages de cette configuration est que la plupart des câbles
restent dans le même rack.
Les seuls câbles réseau qui quittent le rack sont ceux qui vont des
commutateurs ToR aux commutateurs de la couche de distribution.
Et l’inconvénient à ce concept, c’est que vous avez besoin de plusieurs
commutateurs ToR, et selon la quantité de serveurs qu’il y a dans le rack et
bien, il se peut que les ports des switchs ToR ne soient pas tous utilisés…
EOR (END OF ROW)

| Et dans une conception End of Row, qui signifie en fin de ligne, ou en fin
de rang, il n’y a plus de commutateurs dans les racks, et tous les serveurs
sont directement connectés aux commutateurs End of Row (EoR) qui sont
situés dans un rack séparé.
L’ avantage de cette configuration c’est que vous n'avez pas besoin
d'autant de commutateurs, et donc, il y a moins de ports inutilisés.
Et L'un des inconvénients est que vous avez besoin de beaucoup de
câblage entre les racks de votre serveur et les racks où se trouvent les
commutateurs « EoR ».
CLOUD / WAN / VNF
CLOUD PUBLIC
L’ensemble des services que l’on a vu dans le cours précédent sont tous
gérés par un fournisseur de cloud.
| C’est ce que nous appelons le cloud public.
Les plus grands fournisseurs de cloud public sont:
• | Amazon AWS
• | Microsoft Azure
• | IBM
• | et Google Cloud Platform
| Amazon AWS est de loin le plus grand fournisseur de cloud pour le

moment.
| Voici, seulement, un aperçu des services qu'ils proposent.
Et cette liste est loin d’être complète…

CLOUD PRIVE
| Avec un cloud privé, une entreprise modifie son organisation, afin de

fonctionner de la même manière que les fournisseurs de cloud public.
Le service informatique va créer un catalogue de services, qui répertorie
tous les services qu'ils peuvent offrir à leurs utilisateurs.
Tout est automatisé pour qu’un utilisateur soit automatiquement servi,
dès qu’il demande un service.
Dès qu’un utilisateur de l’entreprise a besoin de quelque chose, il n’aura
qu’à faire quelques clics et une nouvelle machine virtuelle, avec le logiciel
demandé, sera lancé.
TRAFIC WAN VERS LES SERVICES DE

CLOUD
| Maintenant que vous avez une idée de ce qu’est le cloud, nous allons
examiner de plus près, les différentes options sur la façon dont nous
pouvons nous connecter au cloud.
INTERNET
| On commence par la connexion au cloud par internet.
Qui est l’option la plus courante.

Il existe cependant certains avantages et inconvénients, que nous allons
détailler.
On va prendre l’exemple d’un réseau d'entreprise qui utilise les services
d'un fournisseur de cloud:
Sur le schéma, nous voyons que toutes les machines virtuelles sont situées
chez le fournisseur de cloud.
Le réseau de l’entreprise n’héberge donc pas de serveurs ni de machines
virtuelles.
| Nous allons voir 4 avantages, d’utiliser « Internet » comme une connexion
WAN, pour atteindre le cloud.
AVANTAGE
• | Le 1er avantage est le Coût:

L'accès à Internet est beaucoup moins cher que toutes les options
WAN privées.
• | On a ensuite de la Disponibilité :
Une connexion internet est très facile à obtenir et de plus, elle est
disponible de partout.
• | Le 3e avantage est dans le cas d’une Migration:
Par exemple, si vous souhaitez changer de fournisseur de cloud, et
bien comme il sont tous connectés à internet, il n’y a pas besoin de
changer votre connexion.
• | Et le dernier avantage porte sur la mobilité des utilisateurs :

si vous avez beaucoup d'utilisateurs qui se déplacent, ils pourront
accéder à vos applications chaque fois qu'ils auront une connexion
Internet.
INCONVÉNIENTS:
| On va maintenant passer aux inconvénients :
• | Le 1er porte sur la Sécurité :

Internet étant un réseau public, ce qui ne le rend donc pas très sûr.
Des attaquants peuvent utiliser la technique de « l’homme du
milieu », le « man-in-the-middle » pour espionner le trafic entre vos
utilisateurs et le cloud.
• | Ensuite c’est sur la Bande passante :

Selon le type d'applications et le nombre d'utilisateurs, votre
connexion Internet peut ne pas avoir suffisamment de bande
passante pour que tous les utilisateurs accèdent à leurs applications.
• | On peut avoir des problèmes de QoS (Quality of Service):

Car Internet ne fonctionne qu’en mode « Best-Effort », il n'y a donc
aucune qualité de service.
Si vous avez des applications sensibles au retard ou à la perte de
paquets, et bien, vous pourriez rencontrer des problèmes.
• | Le dernier inconvénient porte sur les SLA (Service Level

Agreements):
Le service Cisco SLA permet de surveiller les performances du
réseau entre des périphériques Cisco.
Et la plupart des fournisseurs Internet ne proposent aucun SLA, pour
garantir une certaine bande passante ou une disponibilité.
Si vous sous-traitez la totalité ou la plupart de vos applications vers
le cloud, vous serez donc très dépendant de votre connexion
Internet.
WAN PRIVE
| Une autre méthode de connexion est le WAN privé.
Il s'agit d'une connexion dédiée de votre site au

fournisseur de cloud.
| Comme pour la connexion internet, on va voir les avantages et
inconvénients de ce type de connexion :
AVANTAGES:
• | Le 1er avantage porte sur la Bande passante:

les connexions WAN privées offrent une bande passante bien plus
élevée que la plupart des connexions Internet.
• | Ensuite un inconvénient d’internet, qui passe en avantage sur une

connexion WAN privé est sur les SLAs:
Car ce type de connexion propose des accords de niveau de service
garantissant une certaine bande passante et une certaine
disponibilité.
INCONVÉNIENTS :
| Passons maintenant sur les inconvénients
• | Contrairement à internet, ici le « Coût » est un désavantage :

Les connexions WAN privées coûtent bien plus cher que les
connexions Internet.
• | On peut avoir des problèmes de Disponibilité :

Car installer une nouvelle connexion WAN privée prend
généralement beaucoup de temps.
• | Et le dernier inconvénient porte sur la Flexibilité :
Car vous êtes coincé avec un seul fournisseur de cloud.
Comme exemple de connexions WAN privées, nous avons | Microsoft

Azure ExpressRoute et | Amazon AWS Direct Connect.
ÉCHANGE INTERCLOUD
| On va maintenant passer à l’échange intercloud, qui permet d’utiliser

plusieurs fournisseurs de cloud, en bénéficiant des avantages des
connexions WAN privées.
L'échange intercloud peut offrir une connexion à un ou plusieurs
fournisseurs de cloud sans avoir à changer la connexion WAN privée.
On bénéficie donc d’un WAN privé sans être bloqué

par un seul fournisseur de cloud.
VIRTUALISATION DES FONCTIONS RÉSEAUX : VNF
(VIRTUAL NETWORK FUNCTION)
| Avant de terminer le cours, on va parler de la virtualisation des fonctions

réseau (VNF : VIRTUAL NETWORK FUNCTION).
La plupart des fournisseurs de cloud offrent uniquement des fonctions de
base pour la mise en réseau.
Que ce soit pour de la gestion des IP’s par le NAT, de l’équilibrage de
charge, ou de la configuration des firewalls, les fonctionnalités restent
tout de même très limitées.
Si on possède déjà une infra avec un | DMVPN (Dynamic Multipoint VPN),
et bien, on ne pourra pas l’étendre chez le fournisseur de cloud.
Pour rappel, le DMVPN est une technique de routage que l’on peut utiliser
pour construire un réseau VPN avec plusieurs sites, sans avoir à configurer
statiquement tous les appareils.
C’est ce qu’on appelle du VPN dynamique

multipoint.
Le fournisseur de cloud, ne pouvant pas offrir toutes ces fonctionnalités, il
| faudra utiliser du VNF (Virtual Network Function).
On peut voir le VNF comme la version virtuelle de votre routeur, pare-feu
ou n’importe quels autres périphériques réseau.
| Par exemple, le routeur Cisco Cloud 1000V est un VNF.
Il s’agit d’un routeur virtuel offrant les mêmes

fonctionnalités que les derniers routeurs physiques.
| Et le Cisco ASAv (Adaptive Security Virtual Appliance), est la version
virtuelle du pare-feu Cisco ASA
| Et ce type d’équipement virtualiser est intégrable à son propre réseau

dans le cloud :
Ce qui permet d’avoir les mêmes fonctionnalités

réseau de son entreprise, chez le fournisseur de
cloud.
CLOUD COMPUTING
Nous avons parlé des serveurs physiques, de la virtualisation et de la façon

dont ces serveurs virtuels et physiques étaient connectés dans le data
center.
L'une des choses qui n'ont pas beaucoup changé au fil des années, c’est
l’organisation du travail.
| C’est ce qu’on va détailler tout de suite.
Disons que nous avons une entreprise avec des milliers d'utilisateurs.
Ils ont leur propre datacenter, avec des racks remplis de serveurs et des
centaines de machines virtuelles.
Cette entreprise possède aussi différents départements, dont un avec des
développeurs qui travaillent sur une nouvelle application web.
| L'un des développeurs souhaite tester ses applications et pour ce faire, a
besoin d’un serveur web.
Le workflow va donc ressembler fortement à ceci:
1. | Pour commencer, le développeur va faire une demande au service

informatique, en expliquant qu’il ou elle, a une nouvelle application
qui doit s'exécuter sur un nouveau serveur web.
Et que cette application a | besoin du logiciel « Apache » et d’une
base de données MySQL.
2. | Ensuite, le service informatique va examiner le besoin, et va créer
une nouvelle machine virtuelle sur l'hyperviseur sur l'un de ces
serveurs.
La nouvelle machine virtuelle sera installée avec un système
d'exploitation et tous les logiciels requis.
3. | Et pour finir, le service informatique n’a plus qu’à livrer la machine
virtuelle au développeur, qui pourra tester sa nouvelle application
sur le nouveau serveur.
Ce flux de travail fonctionne bien depuis pas mal

d’années.
Mais le « problème », c’est que c’est un processus assez lent, car nous
avons un intermédiaire, qui est le service informatique.
Et plus, il y’a d’intermédiaire et d’échange, et plus la

livraison peut prendre un certain temps…
CLOUD COMPUTING
| C’est là qu’intervient le Cloud Computing, qui permet de proposer

différents services, que le client pourra demander et recevoir
immédiatement.
Grâce à lui, il n’y a plus d’intermédiaire, qui examinera la demande, avant
de l’exécuter et de faire un rapport.
Tout le processus est donc automatisé.

Mais ce n'est pas le seul avantage du cloud computing.
| L’Institut National des Standard et des Technology (NIST), à une bonne
définition du cloud computing :
• | On à du « Libre-service à la demande »:
Le client doit pouvoir obtenir un service automatiquement, et ce,
sans intermédiaire. Il doit aussi, être capable de supprimer ce même
service.
• | On à un « Accès large au réseau »:

C’est-à-dire que le service en question doit être accessible de
n’importe où. D’un ordinateur, d’une tablette ou téléphone, et même
depuis internet ou sur des connexions WAN privées.
• | On à une « Mise en commun des ressources »:

Le service est donc dynamique et est capable de crée
automatiquement de nouvelle machine, dans le cas, d’un pic élever
de Traffic.
• | On à une « Élasticité rapide »:

C’est-à-dire que pour le client, les ressources doivent être illimitées.
• | Et on à un « Service mesuré »:
Le fournisseur de cloud mesure toute l'utilisation des ressources
pour la facturation et la transparence.
MODÈLE DE SERVICES
| On va maintenant passer au différent modèle de service du cloud.

Ici, au lieu d'acheter un produit, nous payons un service.
Lorsque nous parlons de cloud computing, nous utilisons beaucoup la
terminologie « en tant que service ».
Voici les trois services de cloud, les plus courants, on à:
• | (IaaS : Infrastructure as a Service) L’Infrastructure en tant que

service
• | (PaaS : Platform as a Service) La Plateforme en tant que service
• | (SaaS : Software as a Service) et le Logiciel en tant que service

On va maintenant détailler ces 3 services avec des exemples pour chacun.
IAAS (INFRASTRUCTURE AS A SERVICE)

| L’infrastructure en tant que service, est tout ce qui concerne les
périphériques réseau, comme les machines virtuelles, les routeurs, les
commutateurs, les pare-feu, l’équilibrage de charge et le stockage.
Par exemple Amazon AWS, propose des machines virtuelles à ses clients.
| Lorsque vous créez une nouvelle machine virtuelle, vous pouvez choisir |
le système d'exploitation que vous souhaitez utiliser
Et une fois que vous avez sélectionné le système d'exploitation à utiliser,

vous pouvez choisir | un type d’instance, qui contiendra :
• un certain nombre de cœurs au niveau du processeur,
• une certaine quantité de mémoires,
• ainsi que des performances de stockage et de réseau.
Comme vous pouvez le voir, | vous avez même la possibilité de créer une
machine virtuelle gratuite.
En quelques minutes, et après quelques clics, votre nouvelle machine
virtuelle sera opérationnelle.
La suppression est tout aussi rapide !
PAAS (PLATFORM AS A SERVICE)
| Passons maintenant à la plate-forme en tant que service.

Imaginer que vous soyez développeur, et que vous travaillez sur une
nouvelle application Web.
En tant que développeur, vous n’avez pas envie de vous soucier des
détails des machines virtuelles, et aussi de l’installation de logiciels.
| C’est pourquoi il existe chez amazon, une solution de plate-forme en tant
que service, qui s’appelle « Elastic Beanstalk ».
| Il s'agit d'une machine virtuelle avec un système d'exploitation préinstallé

et tous les logiciels requis pour exécuter son application
La seule chose que vous avez à faire est de télécharger votre application
et de l'exécuter.
| Google aussi a son propre service de plate-forme en tant que service, qui
s’appelle « App Engine »
SAAS (SOFTWARE AS A SERVICE)
| Et le logiciel en tant que service, est une application que l’on peut
souscrire et utilisée immédiatement, sans avoir à installer quoi que ce soit.
Tout se passe par le web, dans le cloud.
Même si ce terme peut être nouveau, nous l'utilisons tous, au quotidien,

depuis des années.
Nous avons par exemple :
• Gmail
• Microsoft Office 365
• Google drive
• etc.
Avec les logiciels en tant que service, vous payez pour l’utilisation de
l'application, et le fournisseur du cloud s'occupe de l'installation et de la
maintenance des serveurs virtuels.
NETFLOW
NETFLOW
Dans ce cours nous allons parler de l’architecture de |Netflow !
Des outils comme SNMP, nous informent de la quantité de

trafic qui traverse une interface, mais cela ne nous dit pas
réellement quel type de trafic y circule !
Netflow nous donne des informations très précises sur tous les paquets IP qui
circulent sur le réseau.
|Le mot « Flow » signifie « flux » en français .
C’ est un flux de paquets entre une source et une destination.

Ce qui signifie que les adresses et numéros de ports doivent être identiques pour
regrouper les paquets IP d’un même flux.
La configuration de netflow sur un routeur se fait en plusieurs étapes:
• il faut d’abord lui spécifier la direction que l’on souhaite surveiller. C’est-à-dire
en entrant, en sortant, ou bien les deux !
• Ensuite il faut configurer la version de netflow.

Siret : 519 157 861 00047
• Et pour finir, configurez un collecteur netflow.
Le collecteur est un serveur externe sur lequel arriveront les

données de netflow.
Ce système permet de collecter toutes les données netflow et de les organiser au
mieux pour une meilleure visibilité !
Un collecteur Netflow peut nous donner comme infos :
• les sites Web les plus visités,
• ou bien même le contenu le plus téléchargé
• et bien plus encore !
Il existe de nombreux logiciels de collecte Netflow gratuits.

Si vous tapez sur Google | «Freeware Netflow Software » vous pourrez en trouver.
Passons maintenant à sa |configuration !
Dans cet exemple nous activons netflow, | en entrée et en sortit, sur l’interface 0/1 de
notre routeur.
La version de netflow peut être configurée avec cette |commande :

Siret : 519 157 861 00047
Et pour finir, il nous reste plus qu’à configurer l’IP du serveur qui va collecter les flux,
|avec la commande « IP flow-export destination » !
STACKWISE, CLOUD ET SDN
STACKING
La technologie Cisco StackWise |permet de connecter plusieurs switchs
intelligemment, pour créer un seul switch virtuel, où chaque unité de switch est
interconnectée avec soi :
• |1 lien Stackwise de 32 Gigas
• |Ou bien 64 Gigas pour du stackwise plus.

|Chaque switch dans la pile partage :
• la même topologie réseau
• la même adresse MAC

Siret : 519 157 861 00047
• et les mêmes informations de routage.
L’idée consiste à raccorder plusieurs switches ensemble pour

en former qu’un seul.
Virtuellement, tout se passe comme s’il y avait un seul « gros » switch.

Donc, il n’y a qu’une seule adresse IP affectée à la pile pour l’administrer et superviser
l’ensemble.
Les commutateurs d’une même pile sont vus comme un seul

système.
L’avantage de cette technologie est de pouvoir augmenter la capacité du nombre de
ports, dès qu’on en a besoin.
Ce qui est très intéressant financièrement.

|Il est possible de regrouper jusqu’à 9 switchs ensemble.
La dernière génération de stack |est le stackWise-480.
Qui lui, permet d’offrir une capacité allant jusqu’à 480 gigas.
Ce qui est beaucoup plus |que le stackwise et le stackwise

plus.
CLOUD COMPUTING
|On va maintenant du Cloud Computing.

Siret : 519 157 861 00047
C’ est un ensemble de services informatiques, que ce soit :
• |des serveurs
• du stockage
• des bases de données
• composants réseau
• logiciels
• outils d’analyse
• etc.
Qui sont fourni |par Internet, c’est-à-dire le nuage.
Les sociétés qui proposent ces services informatiques sont des fournisseurs de
services cloud.
Elles facturent en général ces services en fonction de l’utilisation, un peu comme sa
facture d’eau ou d’électricité chez soi.
De manière générale, on parle de Cloud Computing lorsqu’il est possible d’accéder à
des données ou à des programmes depuis internet.
Pour y accéder, il faut donc juste avoir une connexion

internet.

Siret : 519 157 861 00047
Le Cloud est divisé en trois catégories de service :
➢ |La catégorie la plus basique des services de cloud computing est
|l’infrastructure en tant que service.
Ici, on loue une infrastructure informatique, comme :

➢ des serveurs,
➢ des machines virtuelles,
➢ du stockage,
➢ des équipements réseau,
➢ ou bien même des systèmes d’exploitation,
directement auprès d’un fournisseur de services cloud, avec un paiement en fonction
de l’utilisation.
• |Ensuite, on à la plateforme en tant que service du cloud computing,
qui offre un environnement à la demande pour le développement et les tests

d’applications logicielles.
Cette catégorie permet aux développeurs de créer rapidement des applications web
ou mobiles sans avoir à gérer l’infrastructure du réseau, qui est nécessaire au
développement.

Siret : 519 157 861 00047
• |Et le 3e service cloud est le SaaS, qui signifie Logiciel en tant que service.
C’ est une méthode qui permet d’héberger une application dans le cloud avec aussi
toute l’infrastructure qui lui permet de fonctionner.
Les utilisateurs se connectent à l’application par Internet, que

ce soit sur téléphone, tablette ou PC.
SDN (SOFTWARE DEFINED NETWORK)

|Pour terminer le cours, nous allons parler de SDN.
|C’est un ensemble de technologies qui permettent un

contrôle centralisé des ressources réseau, en les virtualisant.
Ces ressources seront donc détachées des éléments physiques du réseau.
Cette solution permet donc de gagner en rapidité et en productivité.
|L'objectif est de simplifier l'administration du réseau, comme c’est déjà le cas, dans le
monde des serveurs avec la virtualisation.
Le SDN, vise à découpler, |dans un équipement réseau, la partie plan de données |de
la partie plan de contrôle.
C’est-à-dire qu’il ne laisse aux switchs et routeurs que

l'aiguillage des paquets.
|Dans un réseau classique, lorsqu'un paquet arrive sur un switch ou un routeur, celui-
ci applique ses propres règles de routage ou de commutation qui sont inscrites dans
son système d'exploitation.

Siret : 519 157 861 00047
Et en général, tous les paquets qui ont la même destination suivent le même chemin.
|Avec le SDN, ces modifications sont automatisées et même programmables.
L'administrateur configure les règles dans le contrôleur, et celles-ci sont
instantanément transmises dans les équipements réseau.
Par exemple, si une entreprise réalise des sauvegardes toutes les nuits, et bien, il est
possible de configurer le réseau pour obtenir le maximum de bande passante
pendant cette sauvegarde.

Siret : 519 157 861 00047
SDN-PARTIE 1
SDN (SOFTWARE DEFINED NETWORKING)
Le SDN (Software Defined Networking) est le dernier mot à la mode dans

le domaine de l'informatique, qui devient de plus en plus populaire chaque
année.
| Certains administrateurs réseau ont lu, ou entendu certaines rumeurs,
comme quoi, à l’avenir, l'ensemble du réseau sera programmé, et
craignent maintenant que leurs emplois soient remplacés par des
programmeurs qui connaissent parfaitement les langages | C, C ++, | Java
ou | Python.
Alors qu'est-ce que le SDN, et pourquoi devient-il aussi populaire ?
Les admin réseau, ont-ils raison de s’en s’inquiéter ?
Pour répondre à ces questions, on va d’abord examiner dans la 1re partie du
cours, le réseau « traditionnel », et ces limites.
Ensuite, dans la seconde partie, on verra ce qu’est le SDN et en quoi il est
censé résoudre les limites du réseau « traditionnel »
RÉSEAU TRADITIONNEL
| Le réseau a toujours été très traditionnel.

Nous avons des périphériques réseau spécifiques, comme :
• | Des routeurs
• | Des commutateurs
• | Ou des firewalls qui sont utilisés pour des tâches spécifiques.

Ces équipements réseau sont vendus par des fournisseurs de réseau
comme Cisco et utilisent souvent du matériel propriétaire.
On les configure principalement | via la CLI (Command-Line Interface),
plutôt que par les| interfaces graphiques (GUI : Graphical User Interface),
comme | « CCP » (Cisco Configuration Protocol) pour les routeurs ou |
ASDM (Adaptive Security Device Manager) pour les pare-feu Cisco ASA.
On va maintenant détailler les | différentes fonctions qu’un routeur doit
exécuter pour pouvoir transmettre un paquet IP :
• | Il doit vérifier l'adresse IP de destination, dans la table de routage,

afin de savoir où transférer le paquet IP.
• | Des protocoles de routage, comme OSPF, EIGRP ou BGP sont

nécessaires pour apprendre les réseaux et les installés dans la table
de routage.
• | Il doit utiliser ARP pour trouver l'adresse MAC de destination du
prochain saut, ou de la prochaine destination, et la modifier dans la
trame Ethernet.
• | Le TTL (Time to Live), qui est la durée de vie d’un paquet IP, doit
être diminué de « 1 », et le « checksum » de l’en-tête IP doit être
recalculée.
• | Le checksum de la trame Ethernet doit lui aussi être recalculé.
On peut voir le « checksum » comme l’emprunte du

paquet IP, permettant de vérifier qu’il n’a pas été
modifié sur la route. Ce mot se traduit littéralement
par « somme de contrôle »
Toutes ces différentes tâches, que nous venons de voir sont séparées par |
différents plans. En tout, il y’en a 3, on a :
1. | Le plan de contrôle (Control plane)
2. | Le plan Data (Data plane)
3. | Et le plan de gestion (Management plane)
Nous allons maintenant détailler l’ensemble de ces 3 plans
PLAN DE CONTRÔLE (CONTROL PLANE)
| Le plan de contrôle est responsable de l'échange des informations de

routage, de la construction de la table ARP, etc.
Voici quelques tâches effectuées par le plan de contrôle :
• | Il va apprendre les adresses MAC pour construire une table.
• | Il va exécuter le Spanning-tree, pour créer une topologie sans

boucle.
• | Il va créer la table ARP.
• | Et c’est lui qui exécutera les protocoles de routage comme OSPF,

EIGRP et BGP en créant la table de routage.
PLAN DE DONNÉES
| Le plan de données est responsable de la transmission du trafic.

Il s'appuie sur les informations fournies par le plan de contrôle.
Voici quelques tâches que le plan de données prend en charge :
• | C’est lui qui encapsule et désencapsulez les paquets.
• | Il ajoute ou supprime les en-têtes, comme l'en-tête 802.1Q pour les

VLAN.
• | Il va matcher les Adresses MAC pour le transfert.
• | Faire correspondance les destinations IP dans la table de routage.
• | Modifiez les adresses source et de destination lorsqu’il y’a du NAT

(network address translation)
• | Et il supprimera le trafic, en fonction des ACL’s (Access Control List)
PLAN DE GESTION
| Le plan de gestion est utilisé pour | l'accès et la gestion des périphériques

réseau.
Par exemple, les connexions en Telnet, SSH, ou par le port console.
| Lorsque l’on parle de SDN (Software Defined Networking), il faut garder à
l’esprit que le plan de contrôle et de données sont les plus importants.
| Pour vous aider à visualiser les différents plans, voici une illustration du
plan de contrôle et de données :
Sur le schéma, on peut voir le | plan de contrôle où il y’a des protocoles de
routage comme OSPF, EIGRP et même certains routages statiques.
Les meilleurs itinéraires sont installés | dans la table de routage.
Le routeur doit aussi | construire la table ARP.
Les informations de la table de routage et de la table ARP sont ensuite
utilisées pour | créer la table de transfert.
De cette façon, lorsque le routeur reçoit un paquet IP, | il pourra le
transmettre rapidement, car la table de transfert a déjà été construite.
LES LIMITES DU RÉSEAU TRADITIONNEL

| Tout ce que l’on vient d’aborder est la façon dont les réseaux
fonctionnent depuis des dizaines d’années.
Il n’y a donc rien de « mal » avec les réseaux

« traditionnel ».
Mais, de nos jours, certains business se challengent sur des solutions
différentes…
| Prenons comme exemple, cette topologie :
Sur ce schéma, nous voyons une infrastructure réseau d’un Data center
d’une entreprise.
| Tout en bas de la topologie, on trouve un serveur ESXi VMware avec un
certain nombre de machines virtuelles.
| Ce serveur est connecté à certains commutateurs dans les couches
d'accès et d'agrégation.
| On voit également deux firewalls ASA pour la protection du serveur et |
deux routeurs pour l'accès au monde extérieur.
| Et tout en haut, nous avons un routeur avec un | utilisateur : Le PC A
Maintenant, supposons que cette entreprise souhaite acquérir une
nouvelle application qui demanderait l'installation de quatre nouvelles
machines virtuelles sur le serveur VMware.
Alors, pour des raisons de sécurité, chaque machine virtuelle devra se
trouver dans un VLAN différente.
Le PC A, qui se trouve derrière le routeur1, doit pouvoir accéder à
l'application qui se trouvera sur ces machines virtuelles.
| On va voir certaines étapes, que l’admin réseau devra configurer pour ce
besoin.
• | Il devra crées l’ensemble des VLAN’s sur tous les commutateurs.
• | Il faudra aussi configurer le pont racine (root bridge) pour les

nouveaux VLAN’s.
• | Il devra attribuer quatre nouveaux sous-réseaux : un pour chaque

VLAN.
• | Il faudra créer de nouvelles sous-interfaces avec des adresses IP sur

les commutateurs.
• | Configurer de la redondance pour les nouveaux VLAN, avec soit le

protocole VRRP ou HSRP.
• | Configurer les firewalls pour qu’on puisse accéder à l’application et

aux différents sous-réseaux.
• | Et il faudra aussi annoncer les nouveaux sous-réseaux dans un

protocole de routage sur les commutateurs, routeurs et pare-feu.
Alors bien qu'il existe des outils d'automatisation du réseau pour nous
faciliter la tâche, en général, l’admin réseau utilisera plutôt la CLI pour
configurer tous ces périphériques, un par un.
C'est donc un processus très lent et manuel qu'une personne physique
doit faire.
Alors qu'il ne faut que quelques minutes, à l’équipe

système pour faire tourner une nouvelle machine
virtuelle, cela peut prendre quelques heures à
l'équipe réseau pour préparer les équipements de
la topologie.
De plus, ces types de modifications sont généralement réalisés hors
production.
C’est-à-dire, en dehors des heures ouvrables de l’entreprise.
La virtualisation des serveurs est l'une des raisons pour lesquelles les
entreprises recherchent quelque chose qui accélère le processus de
toutes les taches que l’on vient de voir.
Avant la virtualisation, nous avions un serveur physique avec un seul
système d'exploitation.
Aujourd’hui, nous avons plusieurs serveurs physiques avec des centaines
de machines virtuelles.
Et ces machines virtuelles peuvent se déplacer automatiquement d'un
serveur physique à un autre.
Lorsqu'ils franchissent la limite de la couche 3, l’idéal serait de ne pas avoir
à attendre que l'équipe réseau apporte les modifications nécessaires au
routage ou aux ACL’s.
Cela devrait être automatique.

Et comme la « tendance » de nos jours est que tout doit être virtuel, il n’est
pas étonnant de voir que ça se produit aussi dans les réseaux.
De grandes entreprises comme Cisco qui vendaient uniquement du
matériel propriétaire proposent désormais également des routeurs
virtuels, des ASA, des contrôleurs LAN sans fil, qu’il est possible d’exécuter
sur des serveurs VMware.
SDN (SOFTWARE DEFINED
NETWORKING)
Comme un peu le « Cloud » qui était le mot à la mode il y’a quelques

années, chaque fournisseur de service, a une opinion différente sur ce
qu'est exactement le « SDN » et sur les différents produits qu'il propose.
| La mise en réseau traditionnelle utilise un modèle distribué pour le plan
de contrôle.
Les protocoles comme ARP, STP, OSPF, EIGRP, et autres s'exécutent
séparément sur chaque périphérique réseau.
Et ces périphériques réseau communiquent entre eux, mais aucun
équipement central ne dispose d'une vue d'ensemble ou ne contrôle
l'ensemble du réseau.
| La seule exception est sur les réseaux sans fil, avec les contrôleurs |
WLAN. (WLC : Wireless LAN Controller).
Lorsqu’on configure un réseau sans fil, tout se passe sur le contrôleur
WLAN, qui contrôle et configure les points d'accès.
Il n’est plus nécessaire de configurer chaque point d'accès séparément,
tout est fait par le contrôleur WLAN.
| Et bien le principe est le même qu’avec le SDN : on utilise un contrôleur

central pour le plan de contrôle.
Le contrôleur SDN peut être un équipement physique ou même une
machine virtuelle.
Sur le schéma, on peut voir le contrôleur SDN qui est responsable du plan
de contrôle.
| Les commutateurs ne sont plus que des appareils, moins intelligents, qui
n'ont qu'un plan de données, et aucun plan de contrôle.
| C’est le contrôleur SDN qui est chargé d'alimenter le plan de données de
ces commutateurs avec les données de son plan de contrôle.
Alors Il y a tout de même, certains avantages et inconvénients à avoir un

plan de contrôle distribué par rapport à un plan de contrôle central.
L'un des avantages d'un contrôleur central est que l’on peut configurer
l'ensemble du réseau à partir d'un seul appareil.
Le contrôleur central a un accès complet et un aperçu de tout ce qui se
passe dans le réseau.
| Voici un nouveau schéma avec plus de détail :

Ici, on voit que le contrôleur SDN utilise deux interfaces assez spéciales…
| On a l’interface nord (NBI : NorthBound Interface) et | l’interface Sud (SBI :
SouthBound Interface) .
C’est ce qu’on va détailler tout de suite.
INTERFACE VERS LE SUD (SBI :

SOUTHBOUND INTERFACE)
| On va commencer par l’interface qui mène vers le sud.

Le contrôleur SDN doit communiquer avec les périphériques réseau dans
le but, de programmer le plan de données.
Cela se fait par l'interface sud.

Alors ce n'est pas une interface physique, mais une interface purement
logicielle, qui est souvent une | API (Application Programming Interface).
L’ API est une interface logicielle qui permet à une application de donner
accès à d'autres applications en utilisant des fonctions et des structures
de données prédéfinies qu’on détaillera dans la suite du cours.
On va maintenant détailler les | 3 types d’interfaces sud, les plus
populaires :
• | L’OpenFlow: est probablement le | SBI (SouthBound Interface) le

plus populaire en ce moment, c'est un protocole | open source de
l’ONF (Open Networking Foundation).
L’OpenFlow est pris en charge par la plupart des périphériques
réseau et des contrôleurs SDN.
• | Ensuite on a le Cisco OpFlex: qui est la réponse de Cisco à

l’OpenFlow. C'est aussi un protocole open source | qui a été soumis à
l'IETF (Internet Engineering Task Force) pour le normaliser.
• | Et on à la traditionnelle CLI (Command-Line Interface): Cisco

propose le | contrôleur APIC-EM (Application Policy Infrastructure
Controller Enterprise Module) qui est une solution SDN pour les
dernières générations de routeurs et de switch. Il utilise des
protocoles déjà existants comme Telnet, SSH et SNMP.
INTERFACE VERS LE NORD (NBI :
NORTHBOUND INTERFACE)
| Passons maintenant à l’interface vers le Nord.

L’interface "nord" est utilisée pour accéder au contrôleur SDN en lui-
même.
Ce qui permet à l’admin réseau d’y accéder pour le

configurer ou pour y récupérer des informations.
Alors même si ça peut être fait par une| interface graphique (GUI), il y a
aussi une API qui permet à d'autres applications d'accéder au contrôleur
SDN.
On peut utiliser l’API pour écrire des scripts et automatiser l’administration
du réseau.
| Voici quelques exemples de script, qu’il est possible de lancer:
• | On peut répertorier les informations de tous les équipements de

son réseau.
• | On peut afficher l'état de toutes les interfaces physiques du réseau.
• | Ajoutez un nouveau VLAN sur tous les switchs.
• | Affichez la topologie de l'ensemble du réseau.
• | Et même, configurez automatiquement les adresses IP, le routage

et les ACL lorsqu'une nouvelle machine virtuelle est créée.
| Et voici un schéma qui montre les différentes possibilités d’accéder au
contrôleur SDN :
Grâce à l'API, plusieurs applications peuvent accéder au contrôleur SDN:
• | Un utilisateur peut utiliser une interface graphique pour récupérer

des informations sur le réseau à partir du contrôleur SDN.
En vrai l’interface graphique utilise l’API.
• | Les scripts écrits en Java ou en Python peuvent aussi utiliser l'API

pour récupérer des informations à partir du contrôleur SDN ou
même pour configurer directement le réseau.
• | Et d'autres applications peuvent aussi accéder au contrôleur SDN.

Ça peut être, par exemple, une application qui configure
automatiquement le réseau, dès qu’une nouvelle machine virtuelle
est créée sur un serveur VMware ESXi.
API REST
| Nous avons vu que les interfaces nord et sud utilisent des | API
(Application Programming Interface).
Nous allons maintenant examiner de plus près, ce qu’est une API.
Les contrôleurs SDN utilisent généralement une | API REST (Application
Programming Interface REpresentational State Transfer), qui permet
d’utiliser des messages « http » pour envoyer et recevoir des informations
entre le contrôleur SDN et une autre application.
Il s’agit des mêmes messages « http » que l’on utilise lorsque l’on parcourt
une page Web sur Internet ou lorsqu’on saisit un formulaire de contact,
par exemple :
• | « HTTP GET »: est utilisé lorsque nous voulons récupérer des

informations.
• | Et « HTTP POST » ou « HTTP PUT » : est utilisé lorsque nous voulons

télécharger ou mettre à jour des informations.
L’API REST fonctionne comme si on naviguait sur une page web, sauf
qu’ici on ne demande pas d’afficher une page ou une image, mais plutôt
un objet particulier du contrôleur SDN.
Par exemple, ça peut être de lister tous les VLAN du réseau.
Lorsque le contrôleur SDN reçoit une| « requête HTTP GET » (http GET
request), il répond avec une | « réponse HTTP GET » (http GET reply)
contenant les informations demandées.
Et ces informations sont fournies dans un format de données spécifique.
Les deux formats de données les plus utilisés sont:
• | Le JSON (JavaScript Object Notation)
• | Et le XML (eXtensible Markup Language)

| Voici un exemple qui permet de visualiser le processus.
Ici, nous avons un script python qui utilise « HTTP GET » pour récupérer
une URL via l'API.
Cette URL permet de récupérer certaines variables, comme par exemple
des informations sur les hôtes du réseau.
| Et une fois que l'API a reçu cette demande, elle répondra avec une
réponse « HTTP GET » :
| Les variables demandées seront fournies au format « JSON ».

Même si on n’a jamais vu de JSON, on peut tout de même assez
facilement, comprendre la sortie.
Par exemple, ici, le résultat nous retourne, 2 hôtes avec leurs adresses IP
et leurs mac-adresse.
L’AVENIR DU RÉSEAU TRADITIONNEL

| J'espère que ce cours vous a permis de mieux comprendre en quoi
consiste le SDN et pourquoi le marché d’aujourd’hui lui est très favorable,
par rapport au bénéfice qu’il peut donner.
Le temps nous dira à quoi ressemblera le réseau à l'avenir.
Il est fort probable que dans un futur proche, nous utiliserons plus souvent
l’API que la CLI.
Alors est-ce que les admin réseau devraient s’inquiéter de l’arrivée de la
programmation dans le réseau ?
Et bien je ne pense pas…
Car un programmeur peut être très fort dans les langages de
programmation, comme C++, Java ou python, mais il aura forcément
besoin de connaissance en réseau.
Par contre les admin réseau, devront apprendre à utiliser un langage de

programmation, pour exécuter certains scripts de base, mais sans
forcément apprendre à développer une application complète, en partant
de zéro.
Ça, c’est plutôt le rôle du programmeur.

Il serait donc judicieux de passer quelque temps à apprendre un langage
comme Python et à utiliser des API.
Pour le moment, nous ne savons pas à quel point, se développera le SDN,
mais ce scénario me rappelle un peu ce qui est arrivé à la téléphonie
analogique.
Il y a beaucoup de « vétérans de la téléphonie » qui ont refusé d’apprendre
le fonctionnement de la VoIP, pensant qu’il était impossible de remplacer
la téléphonie traditionnelle.
Aujourd’hui, ces « anciens de la téléphonie » sont devenus un peu
dépassés, dans un monde dominé par la VOIP.
De mon côté, ancien téléphoniste, c’est grâce à l’arrivée de cette nouvelle
technologie, qui m’a mis sur la voie de la certification Cisco, et m’a fait
découvrir le merveilleux monde du réseau !
SD-ACCESS ET DNA CENTER
Un réseau d'entreprise peut devenir assez complexe.

Il y a généralement un siège, des sites distants, des personnes qui
travaillent à distance, et tout ça, est connecté par des connexions WAN.
| À l’intérieur de ces bâtiments, il y’a de nombreux appareils de la couche
physique, comme :
• | des routeurs
• | des commutateurs
• | des pare-feux
• | des contrôleurs LAN sans fil
• etc.
Il y a aussi énormément de choses | dans la topologie logique, il y’a :
• | des VLAN
• | des VRF
• | des protocoles de routage
• | des ACL’s
• | des règles de pare-feu
• et ainsi de suite.
Et tout ça, se configure en principe, manuellement, avec peut-être un
petit peu d’automatisation du réseau pour nous faciliter la vie.
En 2007/2008, | le SDN (Software Defined Access) est apparu dans

l’objectif de tout automatiser, et même, de se débarrasser de la CLI, en la
remplaçant par un logiciel unique et centraliser, qui est | le Cisco DNA
Center (Digital Network Architecture), que nous détaillerons plus tard dans
le cours.
Mais aujourd’hui, le SDN, concerne plutôt les data center et se concentre
principalement sur les applications.
Comme les réseaux d'entreprise utilisent encore beaucoup d'appareils
matériels, l’idée serait de proposer de nouveaux services, comme il y’a
actuellement dans les datacenters.
Par exemple, si nous avons besoin d’un nouveau firewall, et bien, ce serait
plus simple, qu’en seulement quelques clics, nous puissions obtenir un
ASA virtuel, directement dans notre entreprise.
Et bien, c'est l'une des promesses du | SD-Access de Cisco :
C’est-à-dire de donner une automatisation complète de son réseau
d'entreprise, à l’identique de ce qui fonctionne déjà dans le cloud.
Le SD-Access (SDA : Software-Defined Access) est une solution innovante
qui offre une infrastructure réseau entièrement automatisée et
programmable, permettant ainsi de faire de grande économie.
Le principe repose sur | une « fabric » programmable, bâtie sur l’ensemble
des équipements du réseau de l’entreprise.
| Le schéma nous montre à quoi ressemble une topologie SDN.
| On y voit cinq composants :
• | La Fabric
• | Le contrôleur APIC-EM
• | L’ISE (Identity Services Engine)

• | Le NDP (Network Data Platform)
• | Et le DNA center
FABRIC
Dans la « Fabric », c'est là que vous trouverez | tous les composants

matériels que vous connaissez :
C’est-à-dire :
• | les routeurs
• | commutateurs
• | contrôleurs LAN sans fil
• | les points d'accès
• etc.
Cela inclut l’ensemble des périphériques qui tourne sous IOS et IOS XE.
Pour configurer les périphériques de la « Fabric », il faut utiliser des API.
La CLI, reste comme même disponible pour le dépannage.
| La « Fabric » contient trois composants clés:
• | Le Plan de contrôle: basé sur le protocole LISP (Locator Identity

Separator Protocol)
• | Le Plan de données (Data) : qui lui est basé sur un Lan Virtuel
Extensible. (VXLAN : Virtual Extensibe LAN)
• | Et le « Policy » : basé sur Cisco TrustSec (CTS)

Dans le plan de contrôle, le protocole | LISP (Locator Identity Separator
Protocol) permet de simplifier le routage en supprimant les informations
de destination de la table de routage, pour les déplacer vers un système
de mappage, très similaire au | DNS (Domain Name System).
C’est-à-dire que pour trouver une adresse de destination, le routeur
demandera directement au système de mappage du protocole LISP.
Les tables de routage du routeur sont donc plus petites, et demande
moins de charges CPU.
Le protocole LISP permet donc de tunnéliser le trafic de la couche 3, dans
le plan de contrôle.
Concernant le plan de données, qui fonctionne à la couche 2, la
technologie SD-Access utilise le VXLAN pour prendre en charge
l’encapsulation de la couche 2, et permet de créer des stratégies réseau
sans les mapper à des adresses IP ou à des sous-réseaux.
CONTRÔLEUR APIC-EM
| Le contrôleur APIC-EM est le contrôleur SDN de Cisco pour les réseaux

d'entreprise et prend en charge les périphériques qui tournent sous IOS ou
IOS XE.
Il permet de contrôler tous les périphériques de la structure, | et il est
contrôlé par le DNA Center.
DNA CENTER
| Le DNA center est le portail, qui permet de piloter l’ensemble de la

topologie SD-Access.
C’est une Appliance matérielle qui est généralement localisée sur le WEB.
| L’idée est d’offrir une interface centralisée pour toutes les opérations :
• | De configuration
• | De sécurité
• | Et d’analyse
du réseau d’entreprise, que ce soit dans le | LAN, le WLAN, ou le WAN.
La gestion du réseau en devient donc plus simple, ce qui permet
d’accélérer les changements et de répondre plus rapidement aux besoins
des métiers.
Rappelez-vous de notre exemple avec le

programmeur.
L’ajout d’un équipement dans la « fabric » est immédiat et les différentes
modifications, que ce soit des règles de sécurité ou des groupes, ne
prennent plus que quelques minutes, au lieu de plusieurs heures
d’études…
Dans le DNA Center, nous avons quatre attributs clés :
• | Le « Design »
• | Le « Policy »
• | Provision
• | Et Assurance
Alors, si vous voulez voir à quoi ressemble l’interface graphique du DNA

Center, vous pouvez vous connecter avec les Sandbox de Cisco à |
l’adresse : https://sandboxdnac.cisco.com/
Et utiliser | l’identifiant « devnet user » avec | le mot de passe « Cisco123 ! ».
On va maintenant détailler les 4 attributs du DNA Center
DESIGN
| Dans l’onglet « Design », c'est là que vous concevez l'ensemble de votre
réseau.
Vous pouvez :
• | Construire la hiérarchie du réseau
• | Gérer les adresses IP
• | Paramétrer le réseau
• | Et gérer l’ensemble des images IOS ou IOS XE de vos appareils, et

tout ça au même endroit.
POLICY
| Le « policy » c’est la politique que nous configurons sur tout ce qui est lié
aux stratégies réseau.
C’est-à-dire qu’il suffit de créer, ses propres stratégies et le « DNA
Center » s’occupe de les traduire en configuration sur l’ensemble des
périphériques matériels de la topologie.
PROVISION
| Dans l’onglet « provision » , c'est là où l’on ajoute les nouveaux appareils
au réseau et qu’on applique les stratégies réseau aux appareils.
ASSURANCE
| Et le dernier onglet est l'endroit où l’on peut surveiller l'ensemble du
réseau.
Il est possible de voir un aperçu de tous les périphériques réseau, des
clients sans fil et des applications.
| On peut donc surveiller l'état de santé et avoir une vue d'ensemble de
tous les problèmes du réseau.
ISE (IDENTITY SERVICES ENGINE)

| Pour reprendre le schéma du début, | sur la partie gauche, on à | l’ISE
(Identity Services Engine) qui est une solution permettant de gérer les
règles de sécurité et de contrôle sur l’intégralité du réseau.
La fabric SDA s’appuie sur ISE pour segmenter le réseau et définir les
groupes des utilisateurs et des équipements.
NDP
| Et le NDP (Network Data Platform) une plateforme qui permet de
traduire les différentes données d’analyses et de les synthétisés pour
l’entreprise.
On peut surveiller tout ce que le NDP recueille via le DNA Center.
API « APPLICATION PROGRAM
INTERFACE »
En tant qu'ingénieurs réseau, nous utilisons généralement l'interface en

ligne de commande, la CLI, ou bien, | une interface graphique pour
configurer ou surveiller nos périphériques réseau.
L’analyse de sortie des commandes | « show » et « debug » par des scripts
est assez difficiles, car ces commandes sont plutôt destinées aux humains.
C’est pourquoi, dans le but d’interagir avec des applications ou des
périphériques réseau, nous pouvons utiliser une interface de
programmation d'application, qu’on appelle une API.
Alors même si | l’acronyme fait peur, une API c’est simplement une
interface logicielle, qui permet à d'autres applications de communiquer
avec sa propre application.
D’ailleurs « API » signifie « Application Programming Interface », et le mot
le plus important à | retenir est « Interface ».
C’est le mot le plus simple, car nous utilisons tous des interfaces au
quotidien.
| Par exemple, la télécommande d’une télévision est une interface.

Car c’est un moyen d’interagir avec la télé, sans avoir besoins de plonger
les doigts dans les fils et circuit de sa télé.
Sur la télécommande, il y’a un ensemble de boutons qui permettent
d’effectuer différentes opérations, comme modifier le volume, changer de
chaine, ou même éteindre la télé avec le bouton rouge.
Chaque bouton correspond à une action précise.

Par exemple, on sait qu’on ne peut pas allumer la télé, avec le bouton de
volume.
Pour que ça marche, il faut respecter l’interface et interagir avec elle, de la
façon qui a été prévue lors de sa conception.
Sans nous en rendre compte, nous utilisons au quotidien beaucoup
d’interfaces.
| Un autre exemple est le menu d’un restaurant.
La carte, c’est un peu le moyen d’interagir avec la cuisine.
Différents choix nous sont proposés dans le menu et il faut sélectionner
une option.
Le serveur ira communiquer votre choix dans la cuisine, et vous recevrez
votre plat en fonction de votre requête.
Et bien, les sites web et applications ont besoin de la même chose pour
communiquer et s’échanger des données.
D’ailleurs c’est là que vient le « AP » de « API ».

Une API est une interface pour les applications, car un logiciel n’a pas de
mains ni d’yeux pour interagir avec les interfaces physiques !
Il existe plusieurs types d'API, avec un ensemble différent de conventions
selon différents besoins.
Le CCNA, porte sur le modèle | d’API REST (API - REpresentational State
Transfer).
C’est l’API le plus populaire pour les applications
d'automatisation de réseau.
| L’API REST a été créée en 2000 par Roy Fielding qui est un | informaticien
américain ayant beaucoup contribué à l’informatique, car il a participé au
développement de plusieurs technologies importantes | comme l’HTML
(HyperText Markup Language), | HTTP (HyperText Transfer Protocol) et |
URI (Uniform Resource Identifier)
C’est vraiment un | spécialiste du Web, qui a même cofondé | « Apache ».
L’API REST possède un haut niveau de certification, c’est pourquoi on peut

aussi le retrouver avec | les acronymes de « API RESTful »
| Nous allons donc examiner de plus près les API basées sur REST.
API BASEES SUR REST (RESTFUL)
Dans la signification d’une | API REST (API - REpresentational State

Transfer), le mot | « representation » signifie que nous transférons la
représentation d'une ressource entre un serveur et un client.
Cela se fait généralement sous le format de données| JSON (JavaScript
Object Notation) ou | XML (Extensible Markup Language) .
Et le | « transfert d'état » signifie que chaque opération avec une API REST
est autonome.
| Les API REST utilisent généralement des méthodes | HTTP (HyperText
Transfer Protocol) pour récupérer ou envoyer des informations entre les
applications.
Ce sont les mêmes méthodes HTTP, que nous utilisons avec un navigateur
Web pour visiter un site Web, sauf qu’ici, c’est plutôt utilisé pour interagir
avec une application.
| On va détailler les 4 méthodes les plus populaires de HTTP :
• | Le « GET »: est une méthode, en lecture seule, qui permet de

récupérer une ressource spécifiée.
• | Le « POST »: permets de soumettre les données à la ressource pour

les traiter. Il est aussi capable de créer de nouvelles ressources.
• | Le PUT: est la méthode capable de mettre à jour la ressource, en

remplaçant les données existantes.
• | Et le « DELETE »: permets de supprimer une ressource.

Alors vous vous demandez peut-être ce qu’est une ressource ?
Et bien une ressource WEB, est un contenu que l’on trouve en ligne et que
l’on peut regarder, lire, écouter, ou même interagir, comme c’est le cas
avec les vidéos ou les questionnaires en ligne.
Avec une API REST, il pourrait s'agir d'une ligne, dans une base de
données.
Le protocole HTTP étant très populaire, il est donc possible d’utiliser les
API REST dans presque tous les langages de programmation.
L’accès à une ressource se fait à | l’aide d’une URL (Uniform Resource
Locator).
Ce sont les mêmes que nous utilisons pour le WEB.

| Dans l’exemple l’URL est utilisée pour accéder à la ressource de la
Loopback 0 sur le routeur 1.
En fait, les « API REST » imitent simplement la façon dont le web
fonctionne dans les échanges entre un client et un serveur.
| L’API REST possède six attributs qui sont :
• | Architecture client / serveur
• | Sans état (Stateless operation)
• | Avec une mise en Cache (Cacheable=avec cache=mémoire)
• | Avec une interface uniforme
• | Avec un système de couche
• | Et un code sur demande (optionnel)

Les trois premiers de ces attributs sont | au cœur du fonctionnement d'une
API REST.
Nous allons donc détailler ces 3 premiers attributs
ARCHITECTURE CLIENT / SERVEUR
| Dans une Architecture « Client-serveur », le client et le serveur sont

indépendants.
C’est-à-dire qu’ils interagissent les uns avec les autres grâce aux
demandes que le client lance.
Le client envoie une requête, et le serveur qui écoute renvoie une réponse.
SANS ÉTAT
| Dans une configuration sans état, le serveur ne stocke aucun état
concernant les demandes qu’il a déjà reçu.
Par exemple, il ne sait pas si un client a déjà demandé une ressource juste
avant.
Et il ne permet pas non plus de savoir quelles ressources ont été
demandées par un client.
Le fait d’être “sans état” signifie que le serveur n’a aucune idée de l’état du
client entre deux requêtes.
Ce qui permet de gagner en performance.
CACHEABLE
| Et avec l’attribut du « cache », le serveur inclut un numéro de version

dans ses messages.
Le client peut donc l'utiliser pour décider s'il doit à nouveau demander une
ressource ou utiliser les données mises en cache.
C’est le même principe qu’internet :
Le client doit être capable de garder en mémoire des informations sans
avoir constamment besoin de demander tout au serveur.
Une bonne gestion des délais de mise en cache améliore les performances
des échanges client-serveur.
| Les 3 premiers attributs que nous venons de voir sont les seuls concepts
de base à voir pour le CCNA. |
DONNÉES ET VARIABLES
L’expression « APIs http Restful » est composée de 3 éléments :

1. | Un type d’interface : qui est le mot API, pour une interface de
communication
2. | Un protocole de transport : comme HTTP, qui est largement
répandu
3. | Et une architecture logicielle : qui permet de répondre à des
contraintes d’opération client-serveur, de communication sans état
et aussi avec une mise en cache pour de meilleures performances.
VARIABLES SIMPLES
| On va maintenant passer aux variables simples.

L'objectif d’une variable est de recueillir les données, que le programme
devra traiter pour faire son travail.
| Les programmes traitent les données, en effectuant :
• | des comparaisons
• | en prenant des décisions
• | en créant de nouvelles variables
• | et en exécutant des formules mathématiques pour analyser les

données.
Toute cette logique utilise des variables.

Le programme peut traiter des données à l’aide de logique.
Par exemple, on pourrait dire que si une interface d’un routeur possède
comme configuration un mode | « switchport auto dynamique », alors il
faudrait s’assurer que l’interface en question fonctionne bien | comme un
« trunk » plutôt qu’en mode « access ».
En programmation, une variable est un nom ou une étiquette qui possède
une valeur.
Pour avoir une idée générale de la programmation des variables, on peut
les comparer à des équations d’algèbre qu’on avait à l’école.
| Voici un exemple, qui montre plusieurs types de variables d’un

programme Python.
| Alors Python est le langage le plus populaire aujourd'hui pour écrire des
applications d'automatisation de réseau. S’il y a bien un langage à
s’intéresser pour le réseau, | c’est le Python.
Le petit programme qu’on voit, commence par | un commentaire, placer
entre de triples guillemets.
| Ensuite nous avons 4 variables qui sont affectées par des valeurs
différentes.
| La valeur « print », permettra d’afficher comme résultat : le produit est -6.
Le résultat « imprime » le contenu de la variable « titre » suivi du calcul « x »
multiplié par « y ».
| Ce qui revient à 2 multipliés par -3, qui est égal à -

6.
Les variables de l’exemple peuvent être appelées | des « variables
simples », car chaque nom de variable a une valeur unique qui lui est
associée.
VARIABLES DE LISTE ET DE
DICTIONNAIRE
| Les variables simples ont de nombreuses utilisations, mais les

programmes ont besoin de variables avec des structures de données un
peu plus complexes.
| En programmation, une structure de données définit un ensemble de
variables et de valeurs.
Dans l’exemple, Python utilise des variables de liste qui permettent

d’attribuer une liste de valeur, plutôt qu’une seule valeur.
On peut imaginer qu'un programme d'automatisation du réseau voudrait
avoir une liste d'interfaces sur un périphérique ou bien une liste de
paramètres d’une interface.
| Les lignes qui commencent par un dièse sont des lignes de commentaire.
Même si vous n'avez jamais vu de code Python, vous pouvez tout de
même | deviner une partie de la variable « liste1 ».
Cette variable est affectée à une liste, | qui contient 3 éléments :
Python prend en charge une structure de données, très similaire à un |
dictionnaire.
Par exemple, dans un dictionnaire, chaque terme correspond à une

définition.
Dans l’exemple, le mot « apprendre » est le terme, et ce qui suit, est sa

définition.
Et bien, avec des langages de programmation comme Python, la structure
de données ressemble à celle d’un dictionnaire.
| Les « termes » sont des clés et leurs définitions sont des « valeurs ».
L’exemple montre la structure de la variable « Dict1 »
Vous pouvez voir que chaque clé et sa valeur, sont appelées une paire de
clés + valeur.
Les structures de données peuvent devenir encore plus complexes, mais
pour l'instant, le principal est de savoir que les programmes utilisent des
variables simples, et aussi des variables de dictionnaire.
API REST ET HTTP
| Les API existent pour permettre à deux programmes d'échanger des

données.
Les créateurs d'API basées sur | « REST » (API - REpresentational State
Transfer) choisissent souvent le protocole HTTP parce qu’il utilise les
mêmes principes que « REST ».
C’est-à-dire qu’il fonctionne aussi avec :
• | un modèle client / serveur
• | un modèle sans état
• | et aussi un modèle permettant de mettre en cache les objets.
CRUD : LA BASE DE LA GESTION DE

DONNÉES.
| L'industrie du logiciel utilise l’acronyme « CRUD », qui est un mot
mnémotechnique pour définir | les quatre actions principales effectuées
par une application.
• | Le C pour : Create (créer)
• | Le R pour : Read ou Retrieve (lire)
• | Le U pour : Update (mettre à jour)
• | Et le D pour : Delete ou Destroy (supprimer)
Action Terme CRUD REST

(HTTP)
Créer de nouvelles structures de Create (créer) POST
données et variables
Lire (récupérer) les noms, structures et Read ou Retrieve GET
valeurs des variables (lire)
Mettre à jour ou remplacer les valeurs Update (mettre à PATCH, PUT
de certaines variables jour)
Supprimer certaines variables et Delete ou Destroy DELETE
structures de données (supprimer)
1. | L’action de « Création » : permets au client de créer de nouvelles

instances de variables et de structures de données sur le serveur
2. | L’action de « Lecture »: permets au client de récupérer la valeur des
variables qui existent sur le serveur.
3. | L’action de « Mise à jour »: permets au client de mettre à jour la
valeur des variables qui existent sur le serveur
4. | Et l’action de « Supprimer »: lui permet de supprimer du serveur,
différentes instances de variables de données
XML, JSON ET YAML
L'interface en ligne de commande, la CLI (Command-Line interface), est la

méthode la plus courante depuis + de trente ans pour configurer les
| La CLI est idéale pour nous, les humains, mais pas si bien pour les
ordinateurs.
On utilise des commandes de configuration pour tout configurer | et des

commandes de type « Show » ou « debug » pour vérifier le travail.
La sortie de ces commandes de vérification est facile à interpréter pour
nous les humains.
Mais par contre, il est difficile d'utiliser la CLI pour les scripts ou les outils
d'automatisation de réseau.
Et même les commandes de configuration peuvent poser problème, car
l’équipement réseau n’affiche aucune confirmation, après avoir tapé une
commande.
L’invite de commande reste simplement vide.

Parfois, la CLI, peut ne pas suivre, si l’on colle trop de commandes d’un
coup…
Alors même si pour nous, il est facile de repérer les commandes qui n’ont
pas pu être exécutées, ne n’est pas le cas, pour les scripts CLI ou les outils
d’automatisation du réseau.
C'est un problème qu’il faut prendre en compte.

L’alternative à l'interface CLI pour configurer les périphériques réseau
consiste à utiliser des | interfaces de programmation d'application.
C’est ce qu’on appelle des | API’s (Application Programming Interface).
Les API utilisent des formats de données pour échanger des informations.
Dans ce cours, nous allons voir les modèles et structures de données, les
plus populaires.
FORMATS DE DONNÉES
| Les API utilisent souvent trois formats de données très courants qui sont :
• | Le XML (Extensible Markup Language)
• | Le JSON (JavaScript Object Notation)
• | Et le YAML (Yet Another Markup Language)

Nous allons détailler l’ensemble de ces 3 formats, en commençant | par le
XML
XML (EXTENSIBLE MARKUP LANGUAGE)
C’est un langage qui s’oriente sur des balises et si vous connaissez déjà le
HTML, alors il vous semblera familier.
Chaque élément que vous ajoutez doit commencer par le signe | « plus
petit que » et se terminer par le signe | « plus grand que ».
Comme le montre l’exemple, où l’on peut voir des informations sur un |
routeur Cisco CSR1000V, et un | routeur 1921.
On va maintenant comparer | une sortie CLI et XML.
Dans la sortie CLI, on peut voir le résultat de la commande « show arp » :
| Et voici ce que ça donne en XML :

Les différents éléments sont bien détaillés, ce qui rend la sortie XML très
faciles à lire.
JSON (JAVASCRIPT OBJECT NOTATION)

| Passons maintenant au « JSON », qui est plus récent que XML et a aussi
une syntaxe assez simple.
Le JSON stocke les informations dans des paires de « clé-valeur » et utilise
des objets pour son format.
Il est plus facile à lire que le XML, et utilise moins de

ressource.
• | Les objets commencent par une accolade ouvrante et se terminent
par une accolade fermante.
• | Les virgules permettent de séparer les objets.
• | Les doubles guillemets enveloppent les noms et les chaînes.
• | Et les listes sont encadrées par des crochets.

Dans l’exemple on voit les informations de notre routeur | CSR1000V et
1921.
Pour comparer avec le XML, on va reprendre | la sortie de nos deux
routeurs en XML :
Si on regarde bien les deux formats, on peut voir qu’en XML, | nous avons 2
balises.
1 pour chaque routeur.

Alors qu’en JSON, | il n’ya plus qu’un seul objet « routeur », qui regroupe les
2 routeurs.
YAML (YET ANOTHER MARKUP

LANGUAGE)
| Passons maintenant au dernier langage qui est le YAML.
La traduction de YAML en français indique que ce n’est pas un langage de
balise, contrairement à XML.
YAML est un langage permettant de représenter des données structurées,
comme le ferait XML par exemple, mais de manière plus naturelle et moins
verbeuse.
| YAML est un surensemble de JSON.
Ce qui signifie qu'un analyseur YAML comprend JSON, mais pas
nécessairement l'inverse.
Et le YAML est plus agréable à regarder que l’XML ou le JSON.

Dans le YAML :
• | Les valeurs sont séparées par « : » (deux-points).
• | Les listes commencent par un trait d'union (-).
• | Et il est possible d’ajouter des commentaires avec un #.

Les fichiers YAML sont souvent utilisés pour gérer la configuration, car ils
sont faciles à lire et les commentaires sont très utiles.
| Et voici la comparaison entre les différents langages.
Le YAML est tout de même plus facile à lire, car il ne contient pas les
virgules et crochets du JSON…
Lorsque l’on travaille avec des fichiers XML, JSON ou YAML, | l’idéal est
d’utiliser un éditeur de texte pour se simplifier la vie, et avoir une meilleure
visualisation.
Par exemple le logiciel « Visual Studio Code » est idéal pour ce type de
fichier. |
PUPPET, CHEF ET ANSIBLE
Dans ce cours, nous allons voir un aperçu des outils de gestion et de

configuration
OUTILS DE GESTION DE LA
CONFIGURATION
| Les serveurs et les périphériques réseau doivent être maintenus à jour en
permanence.
Imaginez maintenant que vous devez installer une mise à jour sur des
centaines de serveurs, ou même créer un VLAN sur une dizaine de
commutateurs.
Ce sont des tâches pas très intéressantes à faire

manuellement.
Parce que ça prend du temps et qu’il est facile de faire des erreurs si on
fait tout à la main.
Les outils qui gèrent la configuration offrent une méthode automatisée
pour implémenter et surveiller l’ensemble des modifications de nos
systèmes.
Ça peut être des serveurs, du stockage, des périphériques réseau et même
des logiciels.
Le principal but est de maintenir l’ensemble de ces systèmes à jours, tout
en gardant une vue d’ensemble de leurs états.
Dans ces outils, on définit l’état qu’on souhaite dans une configuration et
l'outil de gestion utilise l'automatisation pour faire correspondre cet état
sur les systèmes ciblés.
Le faite de gérer de manière automatique la configuration est très
important, car ça permet de faire évoluer l'infrastructure et les logiciels
sans avoir à bloquer du personnel pour maintenir à jours, l’ensemble
systèmes.
LES FONCTIONNALITÉS D’UN OUTIL DE

GESTION
| Nous allons maintenant voir, les différents avantages et fonctionnalité

que procure un outil de gestion.
CONTRÔLE DES MISES À JOUR

Le 1er bénéfice d’utiliser un outil de gestion est d’avoir | un contrôle global
des mises à jour.
Le fait, d’utiliser un outil qui permet de centraliser la configuration des
équipements, permet de nous assurer que l'appareil est bien configuré
dans l’état que l’on souhaite.
Ce qui empêche toute dérive de la configuration.

Qui peut se produit lorsque des personnes installent manuellement des
packages ou modifient des fichiers de configuration.
Ce qui amène à un dépannage plus long et plus

difficile.
COOPÉRATION
Le second avantage est | une coopération d’équipe.

Le fait, de pouvoir stocker et centraliser les différentes configurations
dans un outil de gestion, permet de facilité la coopération des équipes sur
les déploiements et partage.
CONTRÔLE DE VERSION
Ensuite, ça nous permet | de contrôler la version.

Avoir tous les fichiers de configuration dans un seul endroit signifie que
nous pouvons les placer dans un | système VCS (VCS : version control
systems) comme le très connu | « Git » .
Un système de contrôle des versions consiste à maintenir l’ensemble des
versions d’un ou de plusieurs fichiers.
Ce qui est très bien pour la coopération, car plusieurs personnes peuvent
travailler ensemble sur les mêmes fichiers.
Et tout le monde peut voir qui a ajouté ou modifié quels fichiers et quand.
CONTRÔLE DES CHANGEMENTS
Un autre avantage est de pouvoir | contrôler les changements.

Étant donné que les outils qui gèrent la configuration sont basés sur du
texte, c’est pour ça qu’on peut les placer sous un | contrôle de version
(VCS : version control system).
Avec un VCS, nous pouvons facilement voir les changements entre les
fichiers de configuration, ce qui rend la révision du code, très simple.
Il est ainsi plus facile de prendre des décisions sur des modifications à
apporter au réseau de production.
COMPATIBILITÉ
Et le dernier avantage porte sur | une grande compatibilité.
Par exemple si vous utilisez Linux, il est possible que vous ayez différentes
distributions comme Ubuntu et CentOS.
Et bien sûr, il existe des différences entre ces

distributions.
L'installation d'un package nécessite différentes commandes et
l'emplacement des fichiers de configuration peut aussi être différent.
Prenons comme exemple, le serveur Web Apache qui utilise différents
fichiers et dossiers sur CentOS ou Ubuntu.
Et bien les outils qui gèrent la configuration, permettent de faire la
différence entre ces différents systèmes, pour que l’on puisse utiliser les
mêmes fichiers de configuration sans se soucier du système
d'exploitation.
AGENT VS AGENTLESS
| On va maintenant voir en détail les différents outils qui gèrent la
configuration.
Il en existe deux types :
• | Les Outils basés sur l'agent.

C’est-à-dire qui demande obligatoirement l’installation d’un agent
sur le système que vous souhaitez gérer.
• | Et les outils sans agent.

Qui eux, ne nécessite aucun agent ou logiciel sur le système à gérer.
Les outils | « Puppet » et « Chef » sont deux exemples d'outils basés sur des
agents.
Tant dit que le logiciel | « Ansible » est un outil sans agent.

PUPPET
| Le logiciel Puppet est un outil de gestion de la configuration utilisé pour

déployer, configurer et gérer des serveurs.
Il utilise un mode opératoire de | « maître-

esclave ».
Il y a un maître « Puppet », et les clients exécutent un agent « Puppet »
pour installer la configuration du maître.
Puppet est développé en | Ruby, et utilise son propre langage pour créer
et gérer des modules.
D’ailleurs son langage se base beaucoup sur le | protocole REST
(Representational state transfer).
La version libre de « Puppet » permet de gérer les déploiements système
et applicatif, et accepte certaines machines virtuelles de chez Amazon.
Et la version commerciale permet en plus :
• De gérer les machines virtuelles VMware
• D’avoir une interface graphique pour la gestion
• D’automatiser et programmer les déploiements

• D’avoir une plate-forme de développement pour tous les
environnements
• Et de gérer individuellement les droits utilisateurs.
CHEF
Passons maintenant | au logiciel « Chef ».

C’est une plate-forme d'automatisation qui configure et gère
l’infrastructure.
Il utilise aussi une architecture | Maître-esclave, similaire à « Puppet ».
Le serveur « Chef » gère les nœuds et stocke leurs configurations.
Chaque nœud exécute des clients « chef » et extrait les tâches de
configuration du serveur « Chef ».
D’ailleurs, l’outil « chef » appelle les configurations, sous le | nom de
« cookbooks » qui se traduit par : «livres de cuisine».
Il a aussi été écrit en Ruby et sa version commerciale du produit est

gratuite jusqu’à 5 serveurs.
ANSIBLE
| Et le dernier logiciel qu’on va voir, c’est « Ansible »
« Ansible » est un outil de configuration et d'orchestration, écris-en |

Python qui utilise | YAML (Yet Another Markup Language) pour les tâches
de configuration.
Ces tâches sont appelées des | « playbooks ».
« Ansible » fonctionne | « sans agent » et utilise SSH pour se connecter aux
clients, c’est-à-dire à ces différents noeuds.
Il envoie des programmes qu’on appelle | des « modules Ansible », les
exécute et les supprime une fois terminé.
« Ansible » est un excellent moyen de démarrer avec l'automatisation du
réseau.
Les playbooks sont faciles à lire et à écrire et comme il est sans agent, et
bien, il n’y a rien à installer sur les différents équipements ou systèmes.
VCS : VERSION CONTROL SYSTEM

| Pour comprendre pourquoi nous avons besoin d’un système qui va
contrôler les différentes versions, nous allons voir ce qui se passe, si on
n’en utilise pas…
Admettons que vous souhaitez configurer une application sur un serveur

ou configurer quelque chose sur un routeur ou un commutateur.
Peu importe quoi.
Pour travailler de manière optimisée et intelligente, vous créer un fichier
de configuration que vous stockez sur votre ordinateur, qui vous servira de
base, pour déployer votre configuration.
Quelques jours plus tard, un de vos collègues demande votre fichier de
configuration. Au lieu de lui envoyer par mail, vous créer un lien de
partage, afin que tout le monde puisse travailler sur le fichier.
Et une semaine plus tard, vous souhaitez l’utiliser pour configurer un
nouveau routeur, mais ce dernier, rejette le fichier…
Le problème, c’est que quelqu’un à modifier votre fichier, et il vous ai
impossible de savoir qui, ni même de savoir ce qui a été modifier…
Alors vous pouvez bien sûr, récupérer une sauvegarde antérieure et
comparer les deux fichiers, mais c’est tout de même assez pénible…
La plupart des réseaux sont gérés par un groupe d'ingénieurs réseau, et un
système de contrôle de version permet de garantir qu'il n'y a pas d'erreurs
dans les fichiers de configuration, ou bien des conflits de code entre les
développeurs.
De plus, ce système nous permet de garder une trace des fichiers et des
dossiers.
| Ce qui procure de nombreux avantages.
Par exemple :
• | De savoir qui a apporté des modifications à nos fichiers.
• | De créer plusieurs versions de fichiers.
• | De pouvoir revenir à une version précédente.
• | D’être en mesure, de travailler tous ensemble.
• | Et de partager des fichiers et des dossiers avec d'autres personnes.

Il existe plusieurs systèmes de contrôle de version comme le très | connu
« Git ».
De nos jours, Git est le choix le plus populaire.
GIT
Git est un logiciel de gestion de versions décentralisée, qui est distribuée

gratuitement et en open source.
Il a été initialement développé par | Linus Torvalds, qui est le créateur du

noyau Linux.
Git est un traqueur de contenu, ce qui signifie que nous pouvons y stocker
du contenu.
Alors même s’il est principalement utilisé pour stocker du code, et bien
vous pouvez très bien l'utiliser pour n'importe quel fichier texte, comme
les fichiers de configuration pour vos périphériques réseau.
Le système de contrôle de version permet de garder une trace de tous les
changements qui ont eu lieu sur l’ensemble de vos fichiers.
Il existe un certain nombre d’interfaces web pour Git.
Les trois plus populaires sont:
• | GitHub
• | GitLab
• | Et Bitbucket
Ces sites Web vous permettent de créer des référentiels Git, mais ont
également des outils pour que vous puissiez facilement collaborer avec
d'autres développeurs.
Vous pouvez y soumettre des problèmes, laisser des commentaires, etc.
Alors, expliquer le fonctionnement en détail de « Git », sort du programme
CCNA.
Cependant, si vous souhaitez en savoir plus, il existe un excellent tuto
d’introduction pour apprendre les bases de « Git ».
| Voici le lien pour y accéder :
https://guides.github.com/activities/hello-world/
CONCLUSION
Dans cette leçon, nous avons parlé des outils de gestion de configuration
et des systèmes de contrôle de version.
| Le monde du réseau évolue et s'éloigne peu à peu de la CLI pour se

diriger vers un monde où nous utilisons
• l'automatisation du réseau
• la gestion de la configuration
• et les scripts pour gérer notre infrastructure et nos périphériques

réseau.
Les systèmes de contrôle de version comme « Git » étaient autrefois
réservés pour les développeurs.
Mais de nos jours, le stockage des fichiers de configuration sous un
système de contrôle de version est tout aussi important pour nos
équipements réseau.
Nous avons aussi vu, différents outils de gestion de configuration, que

nous pouvons utiliser pour nos systèmes et périphériques réseau.
Si c'est nouveau pour vous, je vous recommande fortement d'essayer |
« Ansible ».
Parce qu'il est sans agent, et qu’il ne faut que quelques minutes pour
commencer et exécuter son premier « playbook ».
Pour conclure, au lieu de stocker des fichiers de configuration sur votre
ordinateur ou vos lecteurs réseau, | essayez plutôt « GitHub » ou bien
« GitLab ».
Ces deux outils sont gratuits et illimités. |

Ebook Complet CCNA 200-301

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ebook Complet CCNA 200-301

Transféré par

Droits d'auteur :

Formats disponibles

RÉSEAU INFORMATIQUE

• des |réseaux téléphoniques

• des |réseaux de télévision

• ou bien encore plus fréquents, des| réseaux sociaux, que tout le

Déclaration d'activité enregistré auprès du préfet de région

• |des Périphériques de terminaison :

• |Il y’a des Interconnexions :

Par exemple, un câble RJ45, une fibre optique, ou

• |Il y’a des Switchs :

Le mot « switch » est le mot anglais, et « Commuta-

Déclaration d'activité enregistré auprès du préfet de région

Les box Free, SFR ou Bouygues sont des routeurs.

• |Nous avons des réseaux wifi :

• |Et on y trouve des Firewalls qui se traduisent en français par le mot :

1. |Elle fonctionne comme un switch, car on peut connecter des pc’s

CARACTÉRISTIQUES D’UN RÉSEAU

Déclaration d'activité enregistré auprès du préfet de région

• |Comme autre composant, il y’a La Vitesse:

Un administrateur doit revoir la sécurité à chaque

Déclaration d'activité enregistré auprès du préfet de région

• |Il y’a L’Évolutivité:

• |Et pour finir, il y’a la Fiabilité:

L’ensemble de ces caractéristiques, que nous ve-

Il existe des topologies physiques et logiques.

Déclaration d'activité enregistré auprès du préfet de région

Tout ce qui se trouve en bout de chaine se connecte principalement sur ?

Il existe des topologies physiques et logiques.

Déclaration d'activité enregistré auprès du préfet de région

|Le LAN est un réseau qui se limite à un espace géographique. Par

Chez nous, l’ensemble des périphériques qui sont

Déclaration d'activité enregistré auprès du préfet de région

Notre box internet qui forme un LAN interne nous

Déclaration d'activité enregistré auprès du préfet de région

• |La Topology par bus :

• |On à la Topologie en anneau :

Ici, les machines du réseau sont câblées en formant un cercle.

• |Nous avons les Topologies en étoile:

Déclaration d'activité enregistré auprès du préfet de région

• |Et on y trouve des topologies maillées:

|L'une des tâches les plus importantes qu’un admi-

Déclaration d'activité enregistré auprès du préfet de région

➢ |Un « S » pour une interface série.

Par exemple, |L’adresse : 192.168.1.0 est l’adresse réseau

Déclaration d'activité enregistré auprès du préfet de région

Les applications peuvent affecter les performances

• |Il y’a les applications par lot :

En informatique, un traitement par lots est un enchaînement automatique

• |On a des applications interactives :

Ce sont des applications dans lesquelles l'utilisateur attend une réponse.

• |et il y’a des applications en temps réel :

Déclaration d'activité enregistré auprès du préfet de région

Déclaration d'activité enregistré auprès du préfet de région

Une interface série

Quel type de Topologie réseau est câblée en formant un cercle ?

Déclaration d'activité enregistré auprès du préfet de région

COUCHE OSI ET PROTOCOLE TCP IP

MODÈLE DE RÉFÉRENCE OSI

Dans ce cours, on va parler du modèle de référence OSI !

| Les trois lettres OSI se traduisent en français par Interconnexion de sys-

Déclaration d'activité enregistré auprès du préfet de région

Comme ça, différents constructeurs peuvent

• La 1re couche est| La couche physique.

• La couche 2 est| La couche liaison de données.