Académique Documents
Professionnel Documents
Culture Documents
COMPOSANTS RÉSEAU
Pour commencer le cours, nous allons voir un peu, | ce qu’est un réseau in-
formatique.
Juste le mot |« réseau » est un mot assez familier qui peut se retrouver
dans diffèrent contexte.
Par exemple, on a :
• |des PC’s,
• |des serveurs,
• |des téléphones,
• |et plein d’autres types d’équipements que nous verrons tout au long
de la formation.
Parmi les composants les plus utilisés dans une entreprise, on y trouve :
• |des Routeurs :
d’accès Wifi.
| « Parefeu »:
Ce sont des systèmes de sécurité qui surveillent et contrôlent tout le trafic
qui rentre et qui sort, en fonction des règles que l’administrateur réseau
aura configurées.
Il permet d’établir une barrière entre son propre réseau interne et un ré-
seau externe, par exemple Internet.
|D’ailleurs, la box internet que la plupart des gens ont chez eux regroupe 3
composants dans le même boitier :
• |La Topologie:
Il existe des topologies physiques et logiques.
La topologie physique c’est l'agencement des câbles, les équipements ré-
seau et les éléments en bout de chaine.
Et la topologie logique c’est le chemin sur lequel les données sont transfé-
rées dans le réseau.
QUIZ
QUESTION 1
QUESTION 2
QUESTION 3
QUESTION 4
QUESTION 5
Parmi les composants les plus utilisés dans une entreprise, on y trouve des
Périphériques de terminaison. Trouver la bonne définition :
Ce sont tous les éléments qui se trouvent en bout de chaine.
C’est ce qui permet de connecter les équipements sur le réseau.
TOPOLOGIES RESEAUX
• | LE LAN
• et le| WAN.
• |Physique et Logique.
La topologie physique c'est l'arrangement physique des périphériques
dans le réseau, c’est-à-dire la manière dont ils sont placés.
Ici chaque poste de travail, représenté par un point bleu, est connecté à un
câble principal, qui est représenté en rouge.
Ils sont donc directement connectés à tous les autres postes du réseau.
Ou chaque périphérique réseau est câblé avec plein d'autres. Ce qui per-
met d’avoir une redondance et une meilleure fiabilité.
QUIZ
QUESTION 1
Chez nous, l’ensemble des périphériques qui sont connectés à notre box
internet forme un ?
LAN
WAN
QUESTION 2
QUESTION 3
QUESTION 4
C’est grâce à quel type de réseau, qu’on peut communiquer avec des per-
sonnes qui se trouvent à l’autre bout du monde.
Au LAN
Au WAN
QUESTION 5
Quelle est la plus fréquente des topologies ? (Un dispositif central relie les
ordinateurs et les autres périphériques du réseau. En général C’est très
souvent un switch)
Topologie maillée
Topologie par bus
PROTOCOLE TCP / IP
QUIZ
QUESTION 1
Il est important de connaitre par cœur l’ordre des couches, surtout pour
comprendre le principe d’encapsulation et de décapsulations.
QUESTION 2
Quelle couche, du modèle OSI, gère les communications entre 2 machines
directement connectées entre elles, ou connectées par un commutateur ?
Session
Transport
Application
Physique
Réseau (Network)
Présentation
Liaison de données (Data Link)
QUESTION 3
QUESTION 4
QUESTION 5
COMMUNICATION PEER-TO-PEER
COMMUNICATION PEER-TO-PEER
ENCAPSULATION ET DÉCAPSULATION
|Maintenant, on va parler d’encapsulation et de décapsulation.
ENCAPSULATION
DÉCAPSULATION
QUIZ
QUESTION 1
QUESTION 2
QUESTION 3
QUESTION 4
QUESTION 5
Dans ce cours, nous allons commencer par un rappel sur les bases réseau !
Un réseau est une collection de dispositifs et de systèmes, connectés les
uns aux autres et capables de communiquer les uns avec les autres.
Ça peut être :
• des ordinateurs,
• des serveurs,
• des smartphones,
• |Et il y’a des Routeurs : c’est eux qui ont le rôle d’interconnecter les
réseaux et de choisir le meilleur chemin pour chaque réseau de des-
tination.
• |Pour du stockage : Par exemple, avec l'utilisation d'un NAS, qui est
un serveur de stockage en réseau, qui permet de rendre disponible
un disque dur sur son réseau ou bien à travers internet. Aujourd’hui,
beaucoup de gens, en utilisent à la maison pour partager des fi-
chiers, des vidéos et des images entre ordinateurs.
• |Et pour de la VoIP : Qui signifie « voix sur IP ». La VOIP est utilisée de
plus en plus dans le réseau, c’est ce qui remplacera à terme, la télé-
phonie analogique.
Nous utilisons tous des applications au quotidien, que nous pouvons ré-
partir en |3 catégories :
Ici vous pouvez voir que le routeur de Paris a une connexion directe
avec les autres routeurs. Lille est seulement connecté à Paris et Lyon a
une connexion sur Paris et Marseille.
MODÈLE OSI
• |Et pour finir, l’enveloppe sera ouverte par le destinataire qui lira son
contenu.
QUIZ
QUESTION 1
Des Interconnexions, ce sont les composants qui garantissent que les don-
nées peuvent voyager d'un appareil à un autre.
Parmi ces interconnexions, quelle est celle qui permet de traduire les don-
nées de votre ordinateur dans un format lisible pour le réseau ?
Cartes réseau
Médias
Connecteurs
Quel composant est un périphérique qui fournit une connexion réseau aux
équipements de terminaisons comme les PC ?
Commutateurs
Routeurs
QUESTION 3
Quel type de topologie est le chemin que prennent les signaux de don-
nées à travers la topologie physique ?
La topologie physique
La topologie logique
QUESTION 4
QUESTION 5
Quelle couche, du modèle OSI, veille à ce que les informations soient li-
sibles pour la couche application, en formatant et en structurant les don-
nées ?
Présentation
Session
Application
| Le LAN peut très bien comprendre deux ordinateurs dans un bureau, que
ce soit à domicile ou bien dans une petite entreprise, | comme il peut être
composé de centaines d'ordinateurs situés dans plusieurs bâtiments.
Contrairement aux WAN ,Le LAN, à un taux de transfert de données qui
est plus élevé, pour une zone géographique plus petite .
Aujourd'hui, un petit bureau comprend au minimum :
• |des imprimantes
• |des Serveurs
• |des PC
• |des portables
• |des Hôtes:
Cela inclut tout équipement qui peut envoyer ou recevoir des données sur
le réseau local.
Par exemple des PC’s ou des serveurs
• Le protocole RARP qui est beaucoup moins utilisé produit l’effet in-
verse, c’est-à-dire que c’est une sorte d’annuaire inversé des
adresses logiques et physiques.
QUIZ
QUESTION 1
QUESTION 2
QUESTION 3
QUESTION 4
Qui à un taux de transfert de données plus élevé, pour une zone géogra-
phique plus petite ?
Le WAN
Le LAN
QUESTION 5
• protocoles Ethernet,
• câbles Ethernet,
• ports Ethernet
• |et le sans-fil
• |Le type UTP correspond à un câble sans aucun blindage qui l’en-
toure.
• |La 4 , jusqu'à 16
CONNECTEUR RJ-45
• Switch et serveur,
• Hub et PC
• 2 switchs,
• 2 hubs,
• 2 routeurs,
• 2 PC,
• un switch et un hub,
car ce sont des dispositifs de couche 2,
FIBRE OPTIQUE
QUIZ
QUESTION 1
La signalisation
QUESTION 2
Le faite, que les pairs soient torsadés dans un câble Ethernet, permet ?
D’ajouter des interférences
D’éviter les interférences
QUESTION 3
QUESTION 4
Quel type de câble s’utilise pour connecter des dispositifs différents, c’est-
à-dire des équipements qui fonctionnent à des couches réseau diffé-
rentes ?
Câble droit
Câble croisé
TRAME ETHERNET
ADRESSES MAC
|On va maintenant parler des adresses MAC !
• le Unicast ,
• le broadcast
• et le multicast.
QUIZ
QUESTION 1
QUESTION 2
QUESTION 3
Une adresse MAC comprend 12 chiffres hexadécimaux.
Elle fait donc ?
32 bits
48 bits
128 bits
QUESTION 4
QUESTION 5
• le Unicast
• le broadcast
• et le multicast.
Dans quel type de communication, la trame est envoyée d'une adresse à
toutes les autres adresses ?
(Il n'y a qu'un seul expéditeur, mais les informations sont envoyées à
toutes les machines connectées)
Unicast
Broadcast
Multicast
Un réseau qui se situe dans un seul bâtiment est ce que nous appelons un |
réseau local ou un LAN.
Et si vous utilisez une connexion avec un fournisseur de services Internet
pour connecter votre réseau à un autre bâtiment, alors nous parlons ici
d'un |réseau étendu, plus connu sous le nom de réseau WAN.
• |Il y’a la sous-couche LLC, c’est lui qui s'occupe de la structure de la trame.
• |Et la sous-couche MAC, qui définit le protocole d'accès au support.
Le problème avec le hub, c’est que ce n'est rien d'autre qu'un répéteur
électrique. Si vous utilisez un hub pour votre réseau, non seulement, il
fonctionnera en half-duplex, mais en + vous aurez certainement des colli-
sions !
QUIZ
QUESTION 1
La sous-couche LLC
La sous-couche MAC
QUESTION 2
Quel type d’adresse est un identifiant unique sur la couche réseau (la
couche 3) ?
Adresse IP
Adresse MAC
QUESTION 3
QUESTION 4
La différence entre un câble droit et croisé est la façon dont les fils sont
connectés dans la prise RJ-45.
Quel type de câble contient 2 inversions de fils, que d’un seul coté ?
Câble droit
Câble croisé
TCP ET UDP
• | TCP
• |Et UDP
La différence entre les deux est que :
C’est grâce au numéro de port source et destination qu’on sait pour quel
type d’application le paquet est destiné.
Le champ « Checksum » qui se traduit littéralement par : « Somme de con-
trôle » ou qui est aussi appelé « Emprunte », est un nombre, ajouté au pa-
quet à transmettre, pour permettre au récepteur de vérifier que le mes-
sage reçu est bien celui qui a été envoyé.
|Pour résumé, le protocole UDP :
• |Le PC A envoie un TCP SYN. Pour dire au PC B qu’il veut lui parler.
QUIZ
QUESTION 1
Quelle couche est utilisée pour configurer une connexion afin de pouvoir
échanger des données entre périphériques réseau ?
La couche application
La couche physique
La couche de transport
La couche Liaison de donnée
QUESTION 2
Les 2 protocoles de transport qui sont le plus fréquemment utilisés sont :
TCP et UDP.
Quel protocole de transport est un protocole fiable ?
TCP
UDP
QUESTION 3
Pour une communication en temps réel, comme les paquets VOIP, quel
protocole est le plus approprié ?
TCP
UDP
QUESTION 5
Le protocole de transport TCP, configure une connexion avant de com-
mencer à envoyer des données.
COUCHE RÉSEAU
• |Et les adresses IP ont une hiérarchie, car on associe les adresses
IP avec des masques de sous-réseau, pour créer plusieurs sous-
réseaux.
Nous avons besoin d'une adresse IP pour identifier de manière unique
chaque périphérique réseau.
Pour cette adresse IP, les 3 premiers octets sont l'adresse "réseau" et le
dernier octet est la partie hôte.
• Et dans le champ « Data » : C’est ici que sont placées les données à
envoyer.
Une adresse IPv4 porte une valeur de 32 bits, |ce qui nous donne ceci en
binaire :
Comme pour nous les humains, ce langage machine n’est pas simple à
comprendre, pour nous faciliter la vie, nous allons mettre cette série de
chiffres en| « bloc » de 8 bits.
QUIZ
QUESTION 1
QUESTION 3
Une adresse IPv4 comporte ?
32 bits
64 bits
16 bits
128 bits
QUESTION 4
QUIZ
QUESTION 1
QUESTION 2
La commande arp permet la consultation et parfois la modification de la
table ARP dans certains systèmes d’exploitation.
Quelle commande permet d’ afficher toutes les entrées dans le cache
ARP ?
arp -a
arp -a @ip
arp -s @ip @mac
QUESTION 3
Quel type de communication part d'un émetteur unique vers l’ensemble
des récepteurs ?
Communication Broadcast
Communication Unicast
QUESTION 4
Dans quelle couche est encapsulé le protocole ARP ?
Couche 1
Couche 2
Couche 3
Couche 4
aussi en broadcast
en anycast
en unicast
Pour transmettre, les données aux applications, la couche de transport doit| identifier
l'application cible.
Pour ça, TCP / IP utilisent des numéros de port.
|Chaque processus, qui doit accéder au réseau, reçoit un numéro de port unique
pour cet hôte. Ce numéro est utilisé dans l'entête de la couche « transport » pour
savoir de quelle application est associée les données.
Par exemple le port 80 est réservé pour « HTTP » et le 53 pour le « DNS »
Le protocole TCP fournit un transport |fiable orienté connexion, pour les données
d'application.
TCP est très fiable, car :
Quant à UDP c’est un protocole sans connexion qui compte, sur les applications
pour faire le séquençage et détecter les paquets abandonnés.
On le considère donc, comme « non fiable ».
|Certains types d'applications ont besoin d’une garantie que les paquets arriveront en
toute sécurité et aussi dans le bon ordre.
Les principales applications qui utilisent TCP sont les navigateurs Web, l’email, le
FTP (comme le logiciel Filezilla), les imprimantes en réseau, et les transactions de
base de données.
|La fiabilité n'est pas toujours nécessaire. Par exemple, si un ou deux segments
d'un flux vidéo en streaming sont perdus, ça créerait juste une petite perturbation
dans le flux.
Par exemple une petite saccade sur la vidéo ! Et qu’on peut même ne pas remar-
quer !
Les principales applications qui utilisent UDP sont le DNS, la vidéo en streaming, la
voix sur IP, ou bien le TFTP
Et contrairement à TCP, UDP n'a pas besoin d'établir de connexion avec le récep-
teur.
C’est un protocole sans connexion.
QUIZ
QUESTION 1
La couche Internet ne peut pas garantir, la livraison des informations vers sa desti-
nation.
Quelle couche portera ce rôle ?
Couche application
Couche de transport
Couche réseau
Couche liaison
QUESTION 2
Les deux protocoles, les plus courants, de la couche de transport sont ?
TCP et UDP
ARP et DHCP
QUESTION 3
Quel port est réservé pour le protocole HTTP ?
port 80
port 53
QUESTION 4
Quel paramètre permet de limiter le temps, que met un signal, pour parcourir l’en-
semble d’un circuit fermé ?
RTT
Windowing
Contrôle de flux
QUESTION 5
Chaque fragment est divisé en segments plus petits, qui correspond à la taille de
la| MTU
La MTU, c’est ce qui permet de définir la taille maximale en octet, d’un pa-
quet, avant d’être transmis sur le réseau.
Par défaut, la MTU du protocole IP est de ?
1412 octets
1500 octets
2500 octets
Les applications qui utilisent TCP ont besoin de fiabiliser les données
entre les hôtes.
TCP
|TCP fonctionne à la couche de transport de la pile TCP / IP, qui corres-
pond, à la couche 4 du modèle OSI !
UDP
Passons maintenant aux caractéristiques de UDP !
• le DNS,
• DHCP,
• TFTP,
|UDP et TCP utilisent des ports logiciels internes pour permettre plusieurs
connexions entre différents périphériques réseau.
Pour différencier les données de chaque application, ils ont tous deux, des
champs dans leurs entêtes, |pour identifier les applications avec des nu-
méros de ports !
|Le FTP utilise par défaut le port 21. C’est un service, pour transférer des fi-
chiers entre systèmes.
|On à SSH sur le port 22, qui permet d'accéder à distance à d'autres péri-
phériques réseau. Les messages SSH sont cryptés.
|Contrairement à Telnet qui lui, utilise le port 23. C’est le prédécesseur de
SSH. Les messages qui circulent sont non chiffrés.
|Le HTTP utilise le port 80. Il est principalement utilisé par les navigateurs
web.
QUIZ
QUESTION 1
Quel protocole utilisera des applications qui ont besoin de fiabiliser les
données entre les hôtes ?
TCP
UDP
QUESTION 2
TCP est un protocole de type ?
QUESTION 3
TCP fonctionne en mode ?
Duplex
Half duplex
Full-duplex
QUESTION 4
Le HTTPS est sur le port ?
53
80
443
QUESTION 5
Dans ce cours, nous allons voir comment fonctionne l’IOS de Cisco ainsi
que les commandes de bases.
Tout comme un PC, un commutateur ou un routeur, nécessite un système
d'exploitation pour prendre en charge le matériel. L’IOS Cisco est le
système d'exploitation que vous trouverez sur les équipements Cisco.
Lorsque vous travaillez avec des routeurs et des commutateurs Cisco,
vous effectuez la plus grande partie de la configuration à l'aide d’une
interface en ligne de commande qui se nomme| la CLI.
Et une fois que c'est fait, | il lancera tout un ensemble de tests. Ce procédé
est plus connu sous le nom de POST:
|Et pour finir, on voit des infos matérielles que contient ce commutateur :
Si vous tapez « YES » , vous aurez le droit à un assistant qui vous guidera
pour effectuer une configuration de base.
Même sans configuration, le commutateur fonctionnera correctement et
fera son boulot de switching si il y’a des PC de branchés dessus.
Généralement on saute l’assistant et on passe directement à sa
configuration en ligne de commande.
Après avoir tapé un « no » ou la touche « entrée », | nous avons ce type de
sorti :
|La CLI nous demande de lui spécifier les heures, minutes et secondes.
Si on tape uniquement les lettres "clo", cela suffit à l’IOS pour comprendre
que l’on souhaite taper la commande « clock » pour horloge.
On voit que le mot "Clear" et "clock" commence tous les deux par "cl",
donc l’IOS ne saura pas, laquelle des deux commandes on souhaite utiliser.
C’est pour ça que dans ce cas, l’abréviation ne fonctionnera pas.
La CLI propose quelques raccourcis très utiles à utiliser:
1. |La touche Tabulation permet de compléter automatiquement une
commande ou un mot-clé. Ce qui est très utile. Par exemple, si vous tapez
"clo", puis la touche « TAB », l’IOS complétera automatiquement les 3
lettres par le mot « clock » .
2. |Le CTRL-A , amène votre curseur au début de la ligne. C'est plus rapide
que de presser la flèche gauche plusieurs fois.
3. | Le CTRL-E amène vos curseurs à la fin de la ligne.
4. | Un CTRL-SHIFT + 6 stoppe les processus, par exemple celui d’un ping.
5. |Un CTRL-C annule la commande en cours que vous étiez en train de
taper et quitte le mode de configuration.
6. |Et un CTRL-Z met fin au mode de configuration.
L’IOS Cisco conserve un historique de toutes les commandes que vous
avez précédemment saisies, grâce à la |commande « show history »
Par défaut, il ne sauvegarde que les 10 dernières commandes tapées, mais
il est possible de lever cette limite avec la |commande : « terminal history
size »
• le statut,
• la vitesse,
• etc.
Maintenant que nous avons configuré des mots de passe pour le port
console et l’accès « enable », il serait judicieux d’activer une bannière
d’avertissement pour ceux qui se connectent aux équipements réseau.
Au tout début des réseaux, on utilisait des Hubs pour connecter nos bons
vieux ordinateurs.
Un Hub ou un concentrateur n'est rien de plus qu'un répéteur physique :
• |Ils peuvent avoir des vitesses différentes par port, comme des ports
Fast Ethernet ou Gigabit-Ethernet.
|On va maintenant parler des trames unicast. On peut aussi dire des Frame
Unicast. Le mot Frame correspond à l’anglais et le mot trame est
simplement sa traduction.
Alors, sur ce schéma, |quand les 2 PC’s communiquent, ils s’échangent des
Trames unicast.
• half-duplex
• et| le full-duplex.
|Une communication Half duplex est comparable à une communication
avec des talkiewalkies : Celui qui veut parler doit attendre que l’autre ait
fini! Il n’y a aucune possibilité de parler en même temps.
Ici, sur la façade avant du switch,| nous avons 48 ports en Fast Ethernet,
qui sert à connecter des équipements, par exemple des PC.
|Et on à 2 ports en gigabit Ethernet, pour pouvoir l’interconnecté à un
routeur ou à un autre switch.
Alors, parmi toutes ces LED, celle qui faut regarder en priorité, |c’est la
LED System !
Contrairement à un ordinateur, les switchs Cisco ne disposent pas de
clavier, souris et moniteur pour le configurer.
Lors de son premier démarrage, il faut le configurer à partir d'un PC qui
sera connecté directement sur son port console.
Pour ce faire, il faut :
• |On peut voir aussi son adresse mac, |et qu’il est configuré en full-
duplex avec un débit de 100 Megas.
• |La ligne système image indique la révision de l’IOS qui a été chargé
au démarrage
FULL-DUPLEX HALF-DUPLEX
Dans ce cours, on va voir un peu + en détail les différentes
communications duplex.
• Half,
• auto
• et full.
Et qu’on pouvait aussi configurer la vitesse sur chacun des ports..
• 2 switches,
• un switch et un routeur,
Si le protocole CDP est activé, et qu’il y’a des problèmes de Duplex, |alors
il est possible de voir des messages d’erreur s’afficher directement sur la
console.
|Et pour finir, si on veut configurer les différents modes duplex, il faudra
simplement utiliser la commande « Duplex » |directement dans l’interface !
• |La Carte mère: c’ est la carte centrale, qui contient les composants
critiques du système. Elle fournit des connexions à d'autres
périphériques et interfaces.
• |On a le Processeur. C’est la puce qui est installée sur la carte mère
et qui exécute les instructions.
• |un port Ethernet dédié qui ne peut être utilisé que pour
l’administration à distance pour pouvoir s’y connecter à partir d’un
autre sous-réseau. Pour être utilisé, ce port devra avoir une adresse
IP de configurée !
Concernant, les routeurs, ils ont une tâche similaire, sauf qu’ils vont
examiner les paquets IP !
Ils examinent l'adresse IP de destination du paquet IP et envoient sur la
bonne interface.
=>| Sur ce schéma, nous avons 250 PC connectés au routeur A, |qui font
partit du réseau 192.168.1.0, avec un /24 qui correspond à un masque de
sous réseau de 3 fois 255 .0.
=>| Le routeur B, a lui aussi 250 PC |et utilise le réseau 192.168.2.0, avec le
même masque.
FONCTION DE ROUTEUR
Les routeurs ont deux fonctions importantes :
TABLE DE ROUTAGE
• |Le petit astérisque indique une route par défaut. Dans cet exemple,
la route par défaut est une route statique.
• |Il y’a le Délai: c’est la durée que met le paquet IP à se déplacer d’un
point à un autre
• |On a le Cout: qui est une valeur prédéfinie, et qu’un admin réseau
peut modifier manuellement s’il le souhaite.
• Un /16
• et un /24.
|Lorsqu'un routeur démarre, il effectue tout une série de tests, connu sous
le nom de POST.
• IGP
• et EGP !
On va plutôt se focaliser sur les protocoles de routage intérieur !
Parmi eux, il y’a deux types différents :
Si on lance la commande| « ipconfig » sur le PCA, |on voit qu’il porte l’IP 1.1
et que la passerelle par défaut est bien l’IP de l’interface 0/0 du routeur.
|Du côté du PCB, il s’agit de l’IP| 2.2 , avec comme passerelle par défaut
l’interface 0/1 du même routeur!
On y voit bien nos deux sous interfaces faisant partie des 2 sous-réseaux.
Cela permet au routeur de pouvoir router entre les deux VLAN.
C’est-à-dire que les PC du vlan 10 peuvent communiquer avec ceux du
vlan 20, en passant par le routeur.
À condition, bien sûr, que leurs gateway soient correctement configurés !
ROUTAGE STATIQUE
Dans ce cours nous allons parler du routage statique !
Ici, nous avons 2 routeurs !
Par défaut, un routeur ne connaît que ses réseaux qui lui sont directement
connectés.
C’est pour ça que le routeur A, ne voit que les réseaux 5.5.5.0 et 1.1.1.0.
|Ici, La commande « show IP route » nous affiche bien, cette fois-ci, une
entrée pour| le réseau 2.2.2.0/24.
Et si on souhaite construire le chemin retour, c’est-à-dire que le routeur B
puisse joindre le réseau derrière le routeur A, il faudrait lancer la
commande sur le| routeur B : IP ROUTE 1.1.1.0 3 fois 255.0 5.5.5.1 !
Par exemple sur cette topologie, il y’a beaucoup de routeurs et donc aussi
beaucoup de réseaux !
Si je veux que l’ensemble de ces routeurs puissent communiquer entre
eux, je vais devoir configurer beaucoup de routes statiques !
Et si un des liens tombe, je devrais modifier mes routes manuellement
pour que mon trafic puisse emprunter un nouveau chemin !
Sur cette topologie composée que de routeur, nous avons des| systèmes
autonomes ! C’est ce qui est représenté dans le nuage. Ici nous avons l’AS
10 à gauche et l’AS 20 à droite.
• |Dans la colonne OK ? : s’il y’a un « YES » c’est que l’IP est valide, et si
c’est un « NO » c’est que l’IP n’est pas bonne.
• |Le mot Reliability signifie Fiabilité : Plus le taux est élevé et plus la
ligne est fiable. Par exemple 255/255 est égal à 100% de fiabilité. Il
s’agit d’une moyenne calculée sur 5 min.
|S’il est Down alors que l’autre est up, c’est qu’il y’a certainement un
problème de liaison sur le lien.
Admettons que le PC, qui vient juste d’être démarré, et donc sa table ARP
• |Segmentation
• Sécurité
• et Flexibilité du réseau
Ils permettent d’améliorer les performances du réseau, en séparant les
grands domaines de broadcast en segments plus petits.
Ce qui donne la possibilité, à l’administrateur réseau, de créer de petits
groupes logiques de périphériques.
Même si, ces groupes, partagent la même infrastructure, ou le même
switch, ils agissent comme un réseau indépendant !
Avec un Vlan, on peut très bien par exemple, créer des groupes de PC’s
par fonctions, ou bien par équipes, et cela, sans se soucier de
l’emplacement physique des utilisateurs.
De plus il est possible d’attribuer certaines restrictions, uniquement à des
groupes d’utilisateurs ! Ce qui ajoute donc de la sécurité en + !
Les ports du switch, qui sont dans le même VLAN, partagent les mêmes
broadcasts.
• |Le token ring, qu’on peut aussi appelé, l'anneau à jeton est une
technologie basée sur le principe de la communication au tour à
tour, c'est-à-dire que chaque PC doit attendre son tour, pour
pouvoir parler !
Le jeton Token Ring circule en boucle d’un PC à un autre, pour
déterminer qui a le droit d’émettre des données ! Quand le PC reçoit
le jeton, il peut commencer à envoyer des informations pendant un
laps de temps, avant de remettre le jeton au PC suivant !
|La commande show vlan brief permet d’afficher les affectations des vlan
au port du switch.
Par exemple ici, on voit bien que le port Fa0/5 du switch fait partit du vlan
2, celui qui s’appelle DRH !
TRUNKING (802.1Q)
En théorie, pour faire passer les vlan’s d’un switch à un autre, |il faudrait un
câble pour chaque vlan créé entre les 2 switchs.
Chaque trame qui passe sur ce lien est taguée par un numéro, qui
correspond simplement à son numéro de VLAN, c’est comme une
étiquette qu’on colle au paquet pour savoir à quel groupe il appartient.
Sur des réseaux où il y’a plusieurs VLAN et qui ont plusieurs switches
d’interconnectées, il faut toujours utiliser un lien Trunk entre les switchs.
Le trunk marque le VLAN sur l’entête du paquet, avant de l’envoyer sur
l’autre switch.
Il permet aux switchs de faire circuler des trames de plusieurs VLAN sur un
seul lien physique.
Par exemple, sur le schéma avec le lien trunk, | si le switch de gauche
reçoit un broadcast qui vient du |port Fast Ethernet 0/1, faisant partit du
vlan « vert », et que le |switch de droite contient aussi du |vlan vert, alors il
devra |taguer la trame et l’envoyer sur le trunk pour la transmettre à tous
les ports |faisant partit aussi du vlan vert !
|Voici une trame Ethernet normale.
ROUTAGE INTER-VLAN
Chaque VLAN est un domaine de broadcast unique.
Les ordinateurs sur des VLAN séparés sont, par défaut,| incapables de
communiquer.
Pour autoriser une communication entre vlan, il faut faire du routage
|inter-VLAN.
|Par exemple, on peut le faire, avec un Routeur qui dispose d’une interface
séparée dans chaque VLAN. C’est ce qu’on appel du routage inter-vlan
traditionnel.
Les VLAN sont associés à des sous-réseaux IP. Cette configuration facilite
le routage dans un réseau de plusieurs vlan !
Sur cette topologie, |les pc’s du vlan 10, doivent passer par le routeur pour
pouvoir communiquer avec ceux du vlan 20 !
VLAN-INTRODUCTION
• |4 du côté DRH.
• |4 vers le Marketing
• |4 en développement
Nous avons vu que cette topologie n’est pas une bonne conception.
C’est là, qu’interviennent les VLAN’s !
• |Et le dernier point avantageux est que les utilisateurs ne doivent pas
nécessairement être regroupés physiquement sur le même
commutateur.
Comme vous pouvez le voir sur cette topologie, nous avons des
utilisateurs dans le VLAN commercial qui se trouvent aux 1er, 2e et 3e
étages.
Ici, nous avons deux switchs avec un VLAN voix et un VLAN data.
Parmi tous les champs d’une trame Ethernet, il n’y a aucun emplacement
ou on pourrait spécifier le numéro de VLAN… C'est pourquoi nous avons
besoin d'un autre protocole pour nous aider.
Sur l’image qui vient de s’afficher, nous avons des PC des deux côtés et qui
se trouvent dans différents VLAN.
Comme une trame Ethernet ne contient pas de champs pour spécifier le
numéro de VLAN, c’est le protocole Trunk qui s’en chargera.
|Il existe 2 types de trunk :
• |Le 802.1Q: qui est le protocole Trunk le plus couramment utilisé. Car
il est standard et est supporté par de nombreux fournisseurs.
Comme pour le switch A|, il faut lui créer le vlan 10 qui portera aussi le
nom de « PC » et lui assigner le port ou est raccordé le PC B.
|Ici, dans cet exemple, nous voyons que la commande « switchport mode
trunk » est rejetée sur les deux switchs.
|La 1re commande supprime les vlan de 1 à 4094, et la seconde, ajoutent les
vlans de 1 à 50 !
|Et si on relance la commande « show interface trunk de l’interface 0/48,
seuls les vlans de 1 à 50 sont désormais autorisés a transité sur le lien.
|Si on fait un « show interface fa0/2 switchport » on voit que le port 0/2
du switch B est bien en mode « Access »
Le tableau que vous voyez reprend toutes les possibilités qu’il est possible de faire,
avec la configuration du DTP entre 2 switchs.
| Par contre, si le port est connecté à un pc, alors ce dernier ne répondra pas aux
annonces DTP.
Un switch envoie donc des requêtes DTP régulièrement sur le réseau. Pour annuler
ces envois, il faut utiliser | la commande « switchport nonegociate » directement sur
l’interface.
• | -La commande « switchport mode trunk » force le port à être un port trunk, et
envoie des requêtes DTP au switch d’en face.
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
• | -La commande « switchport mode dynamic auto », est en quelque sorte un
mode passif.
C’est-à-dire qu’il envoie des requêtes DTP au switch d’en face pour lui faire une
proposition de trunk.
|Un nom de domaine VTP peut être renseigné manuellement ou bien appris
automatiquement.
Dans l’exemple, on lui donne comme nom de domaine, FORMIP, avec la commande
« vtp domain »
VLAN-VTP DANGER
Dans ce cours, nous allons voir en détail, le danger que peut représenter
le protocole VTP en pleine prod, car un switch en mode vtp client peut
prendre le dessus sur un switch en mode VTP serveur, s’il a uniquement un
numéro de révision supérieur !
Pour voir ça en détail, nous allons utiliser la même topologie, mais cette
fois-ci, seul le switch A sera en mode VTP serveur. Le B et C sont en mode
client. Le domaine VTP s’appelle « FORMATION »
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
|On créer 3 vlan sur le switch A
|Si on exécute un « show vtp status » sur l’ensemble des switches, on note
qu’ils ont tous un numéro de révision en « 4 »
|un « show vlan » nous montre que tous les switchs se sont bien
synchronisés avec le switch A.
|Et notre interface qui était dans le vlan imprimante ne fait plus partit
d’aucun VLAN !
VLAN-VTP CONFIGURATION
• |-On y voit le mode opératoire du VTP : ici, ils sont tous en mode
Serveur, car il s’agit du mode par défaut.
|Et si on lui fait un « show vlan », ont voit bien que le vlan 10 a été crée, et
porte le nom de « imprimante ».
| Pour vérifier, on fait un « show vtp status » et on voit bien que le mode
opératoire est « client »
|On recréer un autre vlan sur le switch A, qu’on va appelé cette fois-ci
Support.
|Si on fait un “show running config” sur le switch B, on voit bien la liste des
vlan’s en local.
Par contre en mode VTP client ou serveur, |elles sont stockées dans le
fichier « vlan.dat » de la mémoire flash
LA SOLUTION STP
Les VLAN’s permettent de créer des limites afin d’isoler le trafic.
Lors de la conception du réseau, les vlan’s doivent être vue avec attention.
La couche d'accès des switches cisco prend en charge jusqu'à 64, 256 ou
1024 VLAN.
Ce nombre maximum de VLAN dépend du switch.
Dans les switchs Cisco, par défaut, il y’a des VLAN qui sont déjà
préconfigurés.
Par exemple sur cette topologie, |une trame qui part du PC A, pour aller
vers le PC B, pourra| soit passer par le segment 1 ou bien par le 2 !
Nous avons donc une boucle réseau !
SPANNING-TREE-INTRODUCTION
Dans les cours précédents, nous avons vu en détail, la différence entre les
hubs, les ponts, et les commutateurs, qui se font appeler également
« switch ».
FONCTIONNEMENT DU SPANNING-TREE
SPANNING-TREE-FONCTIONNEMENT
Dans ce cours, nous allons voir comment le spanning-tree travaille !
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
Dans cet exemple, nous avons trois commutateurs,
représenter avec Mac-adresse, qui forment une
boucle.
|Comme le spanning tree est activé, l’ensemble des switches vont
s’envoyer des frames spécial qu’on appel des |BPDU.
Et voici de quoi est composé une frame BPDU.
Comme vous pouvez le voir, plus l'interface est rapide, et plus le coût est
bas.
| Il est donc préférable de traverser 4 liaisons Gigabit plutôt que de
traverser un seul lien de 100 Mbit.
Car le cout sera de 16 pour 4 liaisons de 1 gigabit et de 19 pour une liaison
de 100 mégabits.
À partir de cet instant, le spanning tree à déterminé le root bridge avec ses
ports marqués en « désigné » et à marqué les root port des autres
switches, qui correspond donc au chemin le plus court !
Il faut donc fermer l’un des ports entre le switch B et le switch C pour
casser cette boucle.
|Ici, comme la priorité est identique, l’élection se base sur l’adresse MAC,
et c’est le switch B qui à la plus petite adresse MAC, c’est lui qui sort
vainqueur de cette bataille.
|Le switch C bloquera son port !
Ce qui aura pour effet de casser la boucle .
Si vous avez déjà joué avec des commutateurs Cisco, vous avez dû
remarquer qu’à chaque fois qu’on branche un câble, une LED au-dessus du
port, clignote en orange avant de passer au vert.
TYPE DE SPANNING-TREE
Dans ce cours, nous allons voir le principe du spanning tree par vlan.
Le Spanning Tree permet d’éviter les boucles réseau, | en plaçant certains ports dans
un état de blocage, pour n’avoir qu’un seul chemin d’un point à un autre.
| Le Spanning tree, utilise des BPDU’s pour la communication entre les switchs.
Et bien dans un réseau commuté, le root bridge, |qui signifie commutateur racine, est
l’élu.
Chaque switch possède une adresse MAC et un numéro de priorité qu’on peut
paramétrer.
En règle général, l'administrateur réseau fait en sorte que le commutateur racine soit
le plus proche possible du cœur réseau, | en modifiant la valeur du Bridge ID.
• Après avoir élu le commutateur racine, le spanning tree | va déterminer les ports
racines :
Cette élection porte sur la distance la plus courte vers le commutateur racine.
| Pour ça, il se base sur le « cout » de chaque lien traversé. Et la valeur du cout dépend
de la bande passante du lien, comme le montre le tableau.
| Le « port racine » qui est aussi connu sous le nom de root port ou bien simplement
avec les initiales RP, sera celui qui mène le plus directement au commutateur racine.
Il ne peut y avoir qu’un seul root port par commutateur.
| En cas d'égalité, c’est-à-dire que 2 switchs ont le même coût vers le Bridge ID, alors
ce sera le port ayant le port ID le plus faible qui sera élu.
• Après avoir déterminé les ports racine, le spanning tree |va sélectionner les
ports désignés :
Pour chaque segment réseau qui relie des commutateurs, |un « port désigné » qu’on
peut écrire aussi avec les initiales « DP » , est sélectionné par le spanning tree.
C’est d’ailleurs pour ça qu’un switch élue root bridge, aura systématiquement des
ports désignés !
• Et la dernière étape du spanning tree, | consiste à bloquer les autres ports pour
ne pas créer de boucles :
Un port bloqué peut recevoir des paquets BPDU mais ne peut pas en émettre.
Si la topologie change, par exemple un commutateur tombe en panne, et bien
,l'algorithme du spanning tree est de nouveau relancé et un nouvel arbre est mis en
place.
On a vu que l'algorithme du spanning tree procède en plusieurs phases.
• Et pour finir, il va bloquer les autres ports, pour éviter les boucles.
EXEMPLE SPANNING-TREE
| Nous allons voir en détail les différents process de l’algorithme du spanning-tree sur
cette nouvelle topologie comme exemple.
La première étape est donc l'élection d'un commutateur racine en désignant le Bridge
ID le plus bas.
| Le bridge ID est la composition de la priorité du switch et de sa Mac-adresse.
C’est grâce aux échanges BPDU, qu’ils arrivent à élire le pont racine.
Sur la topologie, | c’est le switch B qui devient le pont racine, car il possède le Bridge
ID le plus bas.
Et si malgré tout, plusieurs chemins ont le même coût, alors le switch choisira le
Bridge ID le plus bas, comme pour l’élection du switch Racine.
| En général, les switchs qui sont connectées directement sur le ROOT Bridge seront
designer Root Port.
C’est-à-dire que chaque switch envoie des BPDU pour désigner un port sur chaque
lien entre les switchs.
|Dans l’exemple, tous les ports du switch B sont désignés. Car il s’agit du ROOT.
Pour le lien entre le switch A et D, comme le switch A, | à la priorité la plus basse, le
port désigné sera de son côté.
Pour éviter les boucles réseaux, le protocole spanning tree bloquera les ports qui ne
sont ni ROOT PORT et qui ne sont ni des ports désignés.
• |On a le RSTP, qui est l’évolution du STP, car il offre une convergence plus
rapide.
• |Il y’a le Rapid-PVST+, qui est simplement une amélioration du spanning tree par
vlan.
|Par défaut sur les switchs Cisco, C’est le spanning tree par
vlan + qui est activé sur tous les ports.
SPANNING-TREE-ANALYSE
Maintenant vous avez une idée de ce qu'est le Spanning Tree, nous allons
analyser son fonctionnement directement sur les switches.
• Le champ « Max Age », qui est réglé sur 20 secondes, indique que si
nous ne recevons pas de BPDU pendant 20 secondes, alors nous
savons que quelque chose a changé dans le réseau et qu’il va falloir
vérifier de nouveau la topologie.
|Ici, nous voyons des informations sur le pont racine, le root Bridge.
|On voit que les données sont similaires au switch A !
|Le port racine du switch B est le port 44.
SPANNING-TREE-CONFIGURATION
Dans le cours précédent, nous avons vu que le Switch C était désigné
comme le root Bridge et que le switch B à du désactiver son port 45, car il
à perdu la bataille avec le switch A.
Nous allons maintenant, voir comment choisir soit même le root bridge.
Par exemple, on souhaiterait que le switch A, devienne l’élue !
|Ici le switch B passe par le port 45 pour joindre le Root Bridge qui est le
switch A.
On voit que sur ce nouveau lien, le port 41 a le rôle de root et la 45 est dans
un état bloqué.
Si le switch B préfère bloquer son port 45, au lieu du 41, | c’est parce que
dans la BPDU reçue du switch A, par le port 42, porte une priorité |plus
faible !
• la priorité du switch,
• le coût
• et la priorité du port
pour voir en direct les différents changements des états des ports.
SPANNING-TREE-CONFIGURATION
MULTIPLE VLAN
Dans cette leçon, on va voir comment le spanning tree gère plusieurs
VLAN.
|Comme par défaut, l’ensemble des ports d’un switch sont en mode accès,
on va créer les trunks entre les switchs.
|En faisant un show spanning-tree vlan 10, cette fois-ci, on voit bien qu’il
est élu le pont racine.
|Et on fait de même, sur le switch B, mais cette fois-ci, sur le vlan 20 !
|La commande « show spanning-tree » est très utile, car elle fournit toutes
les informations que l’on a besoin pour analyser le fonctionnement du
spanning-tree.
PORTFAST
|Pour finir, on va parler des différents états que le port peut avoir.
Pour contourner ça, il existe une solution propriétaire Cisco, |qui s’appelle
« Portfast »
Les interfaces avec le mode « portfast » d’activées passeront
immédiatement en mode de transfert, c’est-à-dire en mode forwarding !
• |Si tout se passe bien, le port passe dans un état de Learning, pendant 15
secondes au maximum.
• |Et pour finir, il passe dans l’état de Forwarding, une fois que le port du switch
est certain qu’il n’y aura aucune boucle réseau, s’il envoie des données.
Le port restera en surveillance, et se désactivera automatiquement à la moindre
modification de la topologie, pour éviter qu’une boucle se produise…
• « PortFast »
• et « BPDU Guard »
pour réduire le temps que met un port pour atteindre l’état de forwarding.
Si on souhaite configurer ces 2 fonctions sur toutes les interfaces du switch, | il faudra
utiliser les commandes :
| Pour vérifier si ces deux fonctions sont bien actives, on peut le voir dans le fichier de
la running-config,
ETHERCHANNEL CONFIGURATION
• LE switch A
• et B,
qui sont connectés ensemble par deux liens !
Nous allons regrouper les deux interfaces de chaque switch, c’est-à-dire
les interfaces physiques Fa0/1 et Fa0/2, pour ne forcer qu’un seul lien
logique.
|Maintenant que le port channel 1 est créé, nous pouvons rentrer dans la
configuration de l’interface, avec la commande « interface port-channel».
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
Toute modification faite sur l’interface logique port
channel 1, seront reporté sur les interfaces
physiques Fa0/1 et Fa0/2.
Nous allons choisir l’encapsulation 802.1Q avec la commande « switchport
trunk encapsulation dot1Q » et monter l’interface en trunk avec la
commande « switchport mode trunk »
Elle nous donne un aperçu rapide de tous les etherchannels créer ainsi que
les interfaces utilisées.
|La troisième méthode pour vérifier la configuration etherchannel est la
commande « show interface etherchannel ».
LOAD BALANCING
|La dernière chose à voir sur l’agrégation de liens, est l’équilibrage de
charge, plus connu sous le nom de load balancing
La commande « show etherchannel load-balance » permet de voir la
configuration par défaut.
La Mac adresse en 3 E !
| Il choisira soit la FA0/1 ou la Fa0/2. Et l’autre ne sera pas du tout utilisé.
De cette manière la charge sera bien répartie sur les différents liens, car
les PC’s ont tous une mac adresse différente.
PRÉSENTATION D'ETHERCHANNEL
L’arrivée d'applications qui utilise la vidéo demande une plus grande bande passante.
Alors, on peut très bien augmenter la vitesse du réseau en utilisant des liens plus
rapides, mais cette solution est très coûteuse.
Il est aussi possible d’augmenter la vitesse en utilisant |plusieurs liens physiques entre
les switchs.
Mais le protocole spanning tree |bloquera l’un des liens pour éviter les boucles...
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
La solution qui a été trouvée et développée par Cisco |est la technologie de l’Ether
Channel.
Sur la topologie de droite, les deux liens physiques sont regroupés dans un seul
EtherChannel, ce qui résout donc, le problème du spanning tree, car il ne voit plus
qu’un seul lien EtherChannel, il n'a donc plus besoin de bloquer des liens physiques
pour éviter une boucle.
|Il est également possible de configurer |plusieurs liens EtherChannel entre deux
périphériques.
Et dans ce cas,le spanning tree |bloquera l'un des liens EtherChannels pour éviter les
boucles et ainsi il permettra d’avoir de la redondance.
• |PAgP
• et |LACP.
• Dans le mode Désirable : il fait la demande avec le switch d’en face pour créer
l’agrégation
|Et le protocole LACP est un protocole standard qui peut communiquer avec
différents constructeurs.
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
|Lui aussi utilise 3 statuts dans sa configuration :
AGRÉGATION DE LIENS_ETHERCHANNEL
Dans ce cours, nous allons parler de l’ etherchannel, qui est aussi connu
sous l’appellation d’agrégation de liens.
Sur cette topologie, nous avons 2 PC d’un bout à l’autre, sur lesquels sont
connectées deux switches.
Les PC sont connectés avec des interfaces de 1 gigabit et le lien entre les
switches est de 100Megas !
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
Dans cet état, si l’un des PC’s envoie du trafic dépassant les 100 mégas,
alors nous aurions une congestion réseau et le trafic serait interrompu.
Pour pallier à ce problème, il existe 2 solutions.
• -Soit remplacer le lien entre les switches, par un lien bien plus
rapide, comme 1 giga ou même 10 gigabits.
• |même vitesse,
• |Le statut Auto est le mode par défaut, le port attend la négociation
pour devenir une agrégation.
• |Passive est le mode par défaut, le port attend les paquets LACP
d’en face pour y répondre, mais n’en envoie pas tout seul
CARACTÉRISTIQUES IP
Le protocole IP fait partie de la couche| Internet de TCP/IP.
• |Il y’a l’ ID réseau qui identifie le réseau dont l’hôte fait partie.
Très utilisé par les routeurs pour savoir ou acheminer les paquets.
• |Il y’a l’IPv4 qui est le type d'adresse le plus utilisé sur Internet.
• |Et il y’a les adresses IPv6 qui ont été conçues pour résoudre le
problème d’épuisement des adresses IPv4.
Revenons à notre en-tête IPv4.
• |Le champ Protocole indique le protocole qui est utilisé pour les
données du paquet ! C’est-à-dire ce qui se trouve dans le champ
« data ».
• |Par contre, 32 est inférieur à 35. Comme il est inférieur ou égal à 35,
on lui met un « 1 » en dessous.
• Quant au chiffre d’a coter, le 2. |Il est bien inférieur ou égal à 3, cette
fois -ci on met un « 1 »
• un | Bit ,
• un| Byte
• et 1 |octet !
• 1
• ou bien 0.
|On peut traduire ça par :
• On/Off,
• ou encore : Marche/Arrêt !
ADRESSE RÉSEAU
CLASSE RÉSEAU
|Voyons + en détail les différentes classes !
CLASSES D'ADRESSES IP
Pour accueillir des réseaux de différentes tailles, les adresses IP sont
divisées en catégories que l’on appelle classes .
Au début d’internet,| c’est l’IANA qui a déterminé les classes.
|Chaque adresse IP est composée d’une |partit réseau qui se nomme
Network et d’une partit| hôte qui se traduit par Host en anglais.
|La Classe B est conçue pour répondre aux besoins des réseaux de plus de
65 000 hôtes.
|Elle utilise deux des quatre octets pour indiquer l'adresse réseau.
|Les deux octets restants sont réservés pour les hôtes.
|Les 2 premiers bits du premier octet commencent toujours par 10 en
binaires. | Ce qui nous donne une plage IP de 128 à 191 !
|Et la Classe C est la classe d'adresse la plus utilisée, car elle est destinée
pour les petits réseaux avec un maximum de 254 hôtes par réseau !
Par exemple, admettons que sur cette topologie, nous avons |le réseau
192.168.1.0 avec un masque en /24 ! C’est-à-dire en 3 fois 255.0.
Avec ce masque, cela signifie que la plage IP va de 192.168.1.0 à .255
|Une adresse de broadcast est une adresse spéciale qui permet de
communiquer |avec tous les hôtes de ce même réseau.
Dans les années 90, |une populaire attaque DoS, utilisait les broadcast
pour envoyer plein de trafic à des victimes, et de ce fait, les victimes ne
pouvaient plus recevoir ou émettre de trafic légitime…
C’est pour ça que l’IOS Cisco ne supporte plus les broadcast. C’est une
option qui est désactivée par défaut, et qui peut être réactivée avec la
commande| « ip directed-brodcast » ,à faire dans le mode de
configuration globale !
Il est conseillé de laisser cette option désactivée, sauf si vous avez un cas
d'utilisation spécifique.
Les routeurs ont désactivé cette option par défaut à partir de la version 12
de L’IOS Cisco. Dans le fichier de configuration IOS, il est écrit par défaut la
commande | «no ip directed-brodcast »
MASQUE DE SOUS-RESEAU
Dans ce cours, nous allons maintenant parler des masques de sous-
réseaux !
|L’adresse 192.168.1.0
Maintenant, nous savons qu’avec 8 bits, on peut avoir 256 IP, en comptant
le 0.
• |Il y’a l’Adresse réseau: c'est l'adresse où tous les bits d'hôte sont
définis sur 0.
• |Et il y’a l’adresse de Broadcast : c'est l'adresse où tous les bits d'hôte
sont mis à 1.
• le| NAT , |
• CIDR ,
• le |VLSM
• et |l’adressage IP privé.
Les hôtes qui souhaitent être accessibles depuis Internet doivent avoir des
adresses IP publiques. La stabilité d'Internet dépend de ces adresses
publiques qui doivent être uniques.
Cela signifie que ces adresses IP privées ne sont pas routable sur internet !
Les hôtes qui se baladent sur Internet nécessitent une adresse IP unique,
mais les hôtes privés qui ne sont pas connectés à Internet peuvent utiliser
n'importe quelles adresses privées valides, du moment qu’elle est unique
dans le réseau interne.
IPCONFIG
Pour terminer le cours, on va parler de la commande | « IPCONFIG » qui
permet d’afficher toutes les valeurs de configuration TCP/IP du réseau !
Cette commande est à lancer dans une fenêtre MS-dos si vous êtes sur
Windows !
• | l'adresse IP,
SUBNETTING
Nous avons vu qu’avec une adresse de classe C, nous pouvons avoir des
réseaux de 254 hôtes !
|Pour trouver l’adresse réseau, il faut passer tous les bits à « 0 » |après la
séparation, c’est-à-dire après le 25e octet !
CLASSES IP
L’adresse IP que nous avons utilisée dans le cours précédent fait partie de
la classe C.
Il existe 3 types de classes pour les adresses IP :
• |- La Classe A
• |- La Classe B
• |- Et la Classe C
|Prenons un Exemple :
Dans l’exemple, on voit que mon PC est dans |le réseau « 192.168.1 ». S’il
veut envoyer quelque chose à un autre réseau, alors il utilisera sa
passerelle par défaut.
Ici, il s’agit de l’adresse | « 192.168.1.254 », qui correspond à mon routeur
Freebox.
Revenons aux détails des différentes Classes.
Juste avant, je vous disais que l’adresse 192.168.1.1 faisait partit d’une classe
C. Mais comment le savoir ?
Et bien dans une adresse de :
Donc, si vous calculez ceci du binaire en décimal, cela signifie que la plage
d’adresse de la :
Les adresses IP de la classe D ne sont pas utilisées pour les attribuer à des
ordinateurs… Elles sont utilisées pour faire du multicast.
Elles vont de| 224.3fois0 à 239.3fois255.
IP "PRIVEES" ET "PUBLIQUES".
Maintenant, on va voir la différence entre les adresses IP "privées" et
"publiques".
• |Et les adresses IP privées sont utilisées sur votre réseau local et ne
peuvent pas être utilisées sur Internet, car elles ne sont pas
routables !
• |- Et l’adresse de broadcast.
Nous devons regarder le dernier octet qui est utilisé pour les hôtes. Si
nous mettons |tous les bits à « 0 » dans notre partie "hôte", nous avons |
cette adresse réseau:
SYSTÈME BINAIRE
• Et 1 par « on »
|Le bit à l'extrême gauche est appelé le bit le plus significatif, car il a la
valeur la plus élevée.
Et |le bit à l'extrême droite est appelé le moins significatif, car il a la valeur
la plus faible.
On va voir comment convertir des nombres décimaux en binaire !
Par exemple, si on veut convertir le chiffre décimal « 0 » en binaire,cela
signifie que nous laissons tous les bits sur «off», donc à « 0 »
|Si nous voulons convertir le chiffre 1 en binaire, et bien rien de plus simple,
|car le « 1 » match qu’avec le bit le plus à droite !
|Une adresse IP que l’on retrouve très régulièrement en réseau est la
192.168.0.1
Et bien nous pouvons la convertir désormais très facilement en binaire !
Le chiffre 255 est le chiffre le plus grand qu’on peut avoir avec 8 bits !
• un ordinateur,
• un serveur,
• des firewalls,
• et des switchs !
Il permet d’ identifier chaque appareil avec un numéro «unique».
SUBNETTING DÉCIMAL
• |-L’adresse réseau
• |-L’adresse de broadcast
On commence par |la première IP, la 192.168.1.0 sera notre adresse réseau
pour notre 1er sous-réseau, et la |.128 pour notre deuxième sous-réseau !
C’est tout de même plus rapide qu’en décimale ! Alors maintenant vous
êtes plutôt Binaire ou Décimal ?
SOUS-RESEAUX (SUBNETS)
Les administrateurs réseau ont souvent besoin de diviser les réseaux, en
sous-réseaux pour fournir une évolutivité.
Par exemple, une entreprise qui occupe un bâtiment de trois étages
pourrait très bien diviser son réseau en fonction du nombre d’étages.
|Un masque de sous-réseau est une combinaison de 32 bits qui est utilisée
pour acheminer le trafic dans un sous-réseau.
• et la |partie hôte.
C’est-à-dire que les |16 premiers bits sont réservés à la partie réseau et les
|16 derniers sont pour la partit Hôte !
C’est pourquoi avec un masque en /20, |nous avons que des « 1 » dans les
20 premiers bits du masque, et le reste |contient que des « 0 ». Si on
traduit ça en décimal cela nous bien |2 fois 255.240.0 !
|Ici, on voit que l'octet significatif (celui où la séparation a lieu) est 192. Qui
correspond au 4e octet.
|On va prendre un dernier exemple. La même IP, mais cette fois-ci avec le
masque 255.224.0.0
|On voit ici que l'octet significatif (celui où la séparation a lieu) est 224. Qui
correspond au 2e octet.
|On soustrait 224 à notre nombre magique. Ce qui nous donne 32 !
|Les multiples de 32 sont : 0, 32, 64, 96, 128, 160, 192, 224 et 256.
Si une adresse réseau est divisée, alors le premier sous-réseau qui est
obtenu est appelé le subnet zéro.
• |10.64.0.0,
• ensuite |10.128.0.0,
Par exemple, sur cette image, le réseau de| classe B 172.16.0.0, a été
diviser en plusieurs sous-réseaux en lui appliquant un masque en /24.
C’est-à-dire en 3fois255.0.
|Pour les liens WAN, il serait dommage d’appliquer le même masque, car
comme il s’agit d’un réseau point à point, seul 2 adresses sont
nécessaires… Ce serait donc encore du gâchis d’adresse.
En regardant le tableau des masques de sous-réseau on peut voir qu’un|
/30 correspondrait parfaitement pour des réseaux point à point, car |2 IP
sont entièrement disponibles.
Au total, il y’en a 4, mais comme on ne peut pas utiliser l’adresse réseau et
de broadcast, il nous en reste donc 2 ! Pile-poil ce qu’il nous faut.
|Par exemple si on soustrait 4 fois 255, par |le masque de sous réseau,
Par contre, on voit que le réseau 192.168.1.0 n’est pas un réseau de routeur,
mais un réseau d’utilisateur.
Pour éviter que le routeur1 cherche d’autres routeurs sur un réseau
d’utilisateur, |on va exécuter la commande « passive-interface » sur son
interface Fast Ethernet 0/3 !
|La dernière commande « show » que l’on va voir est | « show IP route » !
• |le 5.5.5.0
• |Et le 6 6 6 0 !
Les liaisons les plus lentes sont celles en Ethernet entre le routeur 1et 4, et
celle entre le 4 et 7 !
Avec les nouvelles liaisons plus rapides qui sont apparues, comme le
gigabit ou bien le 10 gigabits, |il est indispensable de modifier la bande
passante de référence avec la commande : « auto-cost »
OPÉRATION DE ROUTAGE
Le routage, consiste à déterminer où envoyer des paquets de données, qui
sont destinés à des adresses, hors du réseau local.
Ce sont les routeurs, qui permettent leurs transferts, grâce aux
informations que contiennent leurs tables de routage !
Il est possible de configurer manuellement une entrée dans la table de
routage, dans ce cas on parle de route statique.
Ou bien le routeur peut utiliser un protocole de routage pour créer et
maintenir sa table de manière dynamique.
Pour pouvoir acheminer des données, un routeur doit effectuer plusieurs
opérations :
|La topologie qui est représentée ici montre que| le routeur à gauche,
utilise l'interface Série0/0/0 pour accéder au sous-réseau 192.168.2.0.
|Si le réseau de destination lui est directement connecté, c'est-à-dire s'il
existe une interface sur le routeur qui appartient à ce réseau, alors le
routeur saura déjà, vers quelle interface, envoyer les paquets.
• |ou alors, lorsque l'on sait que le réseau est amené à évoluer
• |Ensuite, si votre réseau change et que vous ne mettez pas à jour les
routes statiques, le routeur n'en saura rien !
Ce qui entrainera, soit des pertes de données, ou bien beaucoup de
retard sur les communications.
Sur ce schéma, nous avons trois routeurs avec plusieurs réseaux. Nous
avons le réseau :
• le 2.0 à droite.
Dans cet exemple, nous avons utilisé une route par défaut, plutôt qu’une
route statique.
• |Et lorsqu'un routeur n'a qu'un seul autre routeur de connecté sur le
réseau.
Dans ce cas, on appelle ça un stub network. On peut le traduire par
réseau de bout en bout !
• son masque,
|Si on fait un « show ip route » sur ce routeur d’exemple, on voit qu’il y’a 3
routes statiques de configurer !
Maintenant, imaginer que ce routeur reçoit un |paquet IP avec comme
adresse de destination, l’ip |192.168.1.132 ?
• la| 10.1.1.1 ?
• la| 10.2.2.2 ?
• un /25 126
• et un /16 + de 65000 !
|Les paquets IP seront donc transmis vers la 10.2.2.2 !
Une fois que cette base de données est complète, chaque routeur |exécute
l' algorithme SPF, pour calculer le chemin le plus court vers chaque destination.
Et ces données sont ensuite placées dans la |table de routage de chaque routeur.
• l’adresse IP
• le masque, le réseau
• et ainsi de suite.
• et |l’Area
Un AS est une |collection de réseaux sous la même administration, qui partage donc,
la même stratégie de routage.
Pour rappel, la LSDB doit être identique sur tous les routeurs
à état de liens au sein d'une même zone OSPF.
|Le Type 3 sont les paquets LSR – qui permette au routeur destinataire de demander
plus d’information sur la base de données.
• -l'ID de la zone
Sur le tableau| on voit que les interfaces Fast Ethernet, Gigabit et 10 Gigas, partagent
le même cout, car le résultat de cette formule ne peut être qu’un nombre entier.
Étant donné que la bande passante de référence par défaut est définie sur
100 Mégabits, ce qui correspond à 100 millions de bits, tous les liens supérieurs à 100
mégas auront un coût de « 1 ».
En fait, c’est parce que, cette règle a été faite à l’époque, ou les liens supérieurs à 10
mégas n’existait pas, et était considérer, comme exploitable, que dans un futur
lointain.
Mais aujourd’hui, les liens de 100 mégas sont très courants, et même que très
prochainement, ce seront les liaisons à 100 gigas, qui seront le plus répandu !
Heureusement, il est possible de modifier la bande passante de référence par défaut,
avec la |commande : « auto-cost »
Et si, nous avons des liens en| 10 gigas, et bien il faudrait configurer cette bande
passante de référence sur 10 000, | pour que les liens en 10 gigas ait bien un coût
différent que les liens en 1 giga
|Nous allons voir tout de suite une mise en situation avec cette topologie.
Le cout d'une route OSPF, est la valeur cumulée depuis un routeur jusqu'au réseau de
destination.
Par exemple, ici, nous allons calculer le coût qu’il faudrait pour joindre le réseau
192.168.2.0, |à partir du routeur 1.
On va commencer par calculer le coût du lien entre le routeur 1 et 2.
Comme il s’agit d’un lien à 1544 kilobits et que la| bande passante de référence par
défaut est réglé 100,
|le calcul sera donc : 100 000 000 / 1 000 000 000, |ce qui
fait « 1 ».
Le coût à partir du routeur 1 vers le réseau qui se trouve derrière le routeur2, sera de
64+1, |ce qui donne un total de 65 .
On peut même aller vérifier directement dans la table de routage du routeur 1 |en lui
faisant un « show ip route »
On y voit clairement, la ligne |OSPF, avec une distance administrative à 110, qui dit que
pour joindre le |réseau qui se trouve derrière le routeur 2, il faut passer soit par l’ip
172.16.5.2, ou bien par |l’interface série 0/0/0 du routeur2.
Dans le champ |de l'entête IP, la valeur |89 sera définie pour indiquer qu’il| s’agit d’un
type de paquet OSPF.
|Il y’a le numéro de version : c’est-à-dire 2 pour OSPF en IPv4 et 3 pour l’IPv6.
|On a le champ Type, qui différencie| les cinq types de paquets OSPF
|Le champ suivant : est la longueur du paquet OSPF en octets
|Le Router ID : définis quel routeur est la source du paquet
|Après on à l’area ID qui définis la zone d'origine du paquet
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
|Le champ Checksum: est utilisé pour la détection d'erreur.
Car s’il y’a beaucoup de routeurs qui font partit d’une même
zone OSPF, alors il pourrait y avoir plusieurs types de
problèmes.
Comme par exemple une :
• |Tout d’abord, la taille des tables de routage est réduite, car les adresses réseau
sont abrégées entre les zones.
Par exemple, sur la topologie, le routeur R1 abrège les routes de la zone 1 vers la
zone 0, et le routeur 2 s’occupe des routes de la zone 2 vers la zone 0.
• |On à la Zone de backbone qu’on peut aussi appelé la zone 0 ou bien la zone
fédératrice.
• |Un routeur ne doit pas être inclus dans plus de trois zones.
DÉPANNAGE OSPF
La configuration du protocole OSPF sur un routeur Cisco se fait en deux étapes :
• |Ensuite, il reste plus qu’à indiquer les réseaux des interfaces du routeur.
Il ne faut surtout pas oublier |que le protocole utilise des masques inversés.
Car si c’est le cas, les routes OSPF, n’étant pas prioritaires, ne seront pas placées dans
la table de routage.
S’il n’y a que ospf qui tourne, alors il faudrait checker l’ensemble des réseaux qu’il doit
annoncer.
Sur cette topologie, |nous avons un problème de voisinage entre les routeurs 1 et 2.
Dans l’exemple, on voit bien que| la connectivité IP entre les 2 périphériques est
bonne.
Si le ping n’avait pas fonctionné, alors il aurait fallu aller voir du côté du câblage
physique des interfaces. Et vérifier aussi qu’il se trouve bien sûr le même sous réseau
IP, avec le bon masque.
Si jusque-là tous est corrects, |on peut aller vérifier les paramètres IP et l’état des
interfaces avec la commande « show ip ospf interface » , à faire sur les deux routeurs.
Avec cette |commande on peut voir que le router id de R1 est 4 fois 1 |et celui du
routeur 2 est 4 fois 2.
Pour continuer notre dépannage sur la bonne relation du voisinage OSPF, |on va
vérifier quelles sont les interfaces qui participent à ses échéances |avec la commande
« show ip protocols », qu’on fait sur les 2 routeurs.
Ici on voit que le routeur 1 a son interface série 0/0/0, celle qui pointe vers le routeur
2 , de défini comme passif.
Ce qui explique pourquoi les routeurs ne peuvent pas former leurs relations de
voisinage, car une interface passive bloque les mises à jour de routage.
Dans l'exemple, | le routeur 1 ne peut pas atteindre les réseaux que le routeur 2 publie.
Leur relation de voisinage est correcte, mais un ping vers le réseau 192.168.1.0 à partir
du routeur 1 ne fonctionne pas.
On voit que cette route a été apprise, via le protocole EIGRP, car il à une distance
administrative de 90, alors que OSPF, sa distance est de 110.
Par exemple un lien WAN de secours, celui qui est représenté avec les interfaces
série, peut être facturé par la quantité de données qui y est transférée.
Et cela peut être un peu couteux, si les données passent régulièrement sur ce lien.
Lorsque l’on a des chemins redondants dans un réseau, il faut vérifier que le trafic
prend le chemin que l’on souhaite à travers le réseau.
Par exemple, sur cette topologie, il y’a 2 liens entre les deux routeurs.
Un à grande vitesse pour la prod et un à faible vitesse pour secourir le 1er en cas de
problème.
|Si on fait un « show ip route ospf » on s’aperçoit que le trafic traverse les deux liens,
car les interfaces |ont le même cout ospf.
INTRODUCTION À L'IPV6
Dans ce cours, nous allons voir pourquoi avons-nous besoin de l’ipv6 et
quelles sont les différences avec l’IPv4 !
Depuis la naissance d’internet, le protocole IPv4 a toujours été utilisé pour
l’adressage IP !
• |la terre,
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
• la lune,
• mars,
• |On a le CIDR, qui permet d’économiser les adresses IP, grâce à une
meilleure distribution. En + il facilite grandement le routage
• |ensuite, on a le VLSM, qui est une technique pour mieux gérer les
adresses IP, tout comme le CIDR.
CARACTÉRISTIQUES IPV6
|Une adresse IPv4 est codée sur 32 bits, ce qui correspond |à un peu plus
de 4 milliards d’adresses IP.
|Et une adresse IPv6 est sur 128 bits.
C’est tellement énorme, |que ça équivaut à un nombre illimité puisque
pour saturer le système, il faudrait placer plus de 667 millions de milliards
d'appareils connectés à internet, sur chaque millimètre carré de la terre…
AVANTAGES IPV6
L’IPv6 à plusieurs fonctionnalités qui le rendent très intéressant :
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
Parmi ces nombreux avantages on à :
• |Une meilleure agrégation des préfixes IP, qui sont annoncés dans
les tables de routage. Ce qui permet de limiter leurs nombres.
Les routeurs seront donc plus efficaces et + évolutifs !
ADRESSES IPV6
|Les adresses IPv6 sont représentées sous la forme d'une série de
huit champs hexadécimaux de 16 bits séparés par deux petits points,
comme vous pouvez le voir ici.
|Et ce n’est pas fini, il est aussi possible, de regrouper une série de « 0 »
par deux petits points.
• |Et on a le type Anycast, qui sont des |adresses virtuelles qui pointent
vers une ou plusieurs adresses physiques
Et pour une meilleure visibilité, |on peut compresser les zéros pour les
remplacer par deux petits points !
Dans notre exemple, cela signifie que les |64 premiers bits sont sont la
partie réseau, et tout ce qui ce qui se |trouve derrière peut être utilisé pour
des hôtes.
Bon alors tout ça, c’est bien et facile, mais comment ça se passe, |si on à
cette adresse :
Cette adresse réseau étant un peu longue, on peut la| raccourcir comme
ceci :
Vous l’aurez remarqué, en IPv6, il faut un peu plus se salir les mains dans le
binaire !
• Unicast
• Multicast
• et Anycast.
• |L’adresse de bouclage
|Et on va l’inverser !
Si c’est « 0 », on le passe à « 1 »
et si c’est « 1 » on le passe à « 0 »
|Et coté de notre adresse globale, toujours sur l’interface, on va lui indiquer
simplement le réseau auquel il doit appartenir avec la commande « ipv6
adress » suivie de la méthode EUI-64 pour lui laisser choisir l’adresse en
fonction de la mac adresse de l’interface du PC.
|Et on aura notre adresse globale !
Et le dernier dernier point important à voir est que lorsque l’on configure
IPv6 sur un routeur, par défaut, le routeur ne transmet aucun paquet IPv6
et donc ne créez pas non plus de table de routage.
|Pour l’activer, il faut lancer la commande « ipv6 unicast-routing » en
mode de configuration global !
Les adresses Unicast sont associées à des interfaces réseau, tout comme
en IPv4 !
La nouveauté, c’est que plusieurs interfaces peuvent avoir la même
adresse unicast, pour faire du partage de charge.
• |Les adresses globales, qui ont la même fonction que les adresses
publiques en IPv4. Elles sont routables sur internet.
• |Et on à aussi, les adresses de loopback, les routes par défaut et une
plage d’adresse non spécifiée!
• |Et on termine avec les adresses de type Anycast, qui sont une petite
nouveauté de l’IPv6 !
On ajoute ses 4 lettres, |car une adresse MAC fait 48 bits, |et on a besoin de
64 bits pour compléter notre adresse réseau !
C’est une adresse qu’on repère d’ailleurs très facilement avec le champ
« FF-FE » sur le 4e et 5e octet de l’ID d’interface !
|Et pour terminer le cours, on va raccourcir l’adresse IPv6 du PC, en
enlevant les « 0 » !
• |Le champ Traffic Class: est similaire |au champ ToS de l’IPv4. Il
permet de marquer une priorité sur les paquets sortants.
• |Le nouveau champ Flow Label: est utilisé pour marquer les flux
avec des valeurs différentes, afin de pouvoir les différencier sur le
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
réseau !
Très utile pour les routeurs, quand ils |doivent traiter de la QOS !
ICMPV6
|Voyons maintenant en détail la composition d’un paquet ICMPv6 !
IPV6
L’IPv6 et L’IPv4 sont très similaires, car nous avons toujours besoin :
• NDP,
• et le Multicast
pour découvrir le réseau.
|Le protocole NDP possède 4 fonctions :
• |Il découvre les adresses MAC des hôtes avec lesquels il souhaite
communiquer.
• |-Et une adresse unique locale, qui elle, est non routable.
• Stateful
• et Stateless
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
La forme Stateless permet de donner la seule information qui manque à la
fonction SLAAC du protocole NDP.
• Et un serveur DNS.
|Le message « request » permet à l'hôte de demander s'il est autorisé à
utiliser ces informations !
|Et une réponse est envoyée par le serveur pour donner sa confirmation !
IPV6 : ROUTAGE
Pour prendre en charge l’IPv6, tous les protocoles de routage de l’IPv4 ont
dû faire quelques changements.
• |La première route statique montre que l'itinéraire est configuré par
une interface de sortit. L’interface Fast Ethernet 0/1
Sur cette topologie, nous avons le réseau 2001 :DB7 :A21, sur la gauche, et
à droite, le réseau 2001 :DB7 :AC20, dans lequel il y’a un serveur !
|Pour le routeur2, il y’a une route statique, qui dit que pour joindre le
réseau complètement à gauche, il faut envoyé les données, vers l’IP de
l’interface Gi0/0 du routeur 1 !
|La commande «ipv6 route » permet de configurer une route statique ipv6.
|Le ::/0, signifie tous les réseaux.
Ici, on voit que le réseau 2001 :DB7 :A21 ::/48 est joignable par l’interface
Gi0/0 du routeur 1 qui porte l’IP 2001 :DB8 :D1B2 :C800 ::1
Sur le routeur1, on lui dit que pour joindre le réseau jaune il faut passer par
l’IP en .2 du réseau vert
Et sur le routeur 2, le réseau bleu est joignable par la .1 du réseau jaune !
|Et pour finir, il reste plus qu’à dire aux interfaces d’activer OSPFv3 avec la
commande « ipv6 ospf » !
• le nombre de torsions,
L'AP annonce aussi le réseau sans fil avec un identifiant. | C’est ce qu’on
appelle le SSID.
• | soit accepter
Tant que le client sans fil reste associé au BSS, les communications à
destination et en provenance du | client doivent systématiquement
passer par l'AP.
C’est en utilisant le BSSID, comme adresse source ou de destination, que
les trames de données peuvent être relayées depuis l'AP, ou vers l’AP.
Alors, on pourrait se demander, pourquoi tout le trafic client doit
obligatoirement traverser l'AP ?
| Ou bien, pourquoi deux clients ne peuvent-ils tout simplement pas
communiquer directement ensemble sans passer par l’AP ?
Contrairement aux données qui circulent dans un câble Ethernet, ici les
données sont accessibles par voies aériennes, à toutes les personnes, qui
se trouvent à porter. |
SYSTÈME DE DISTRIBUTION
L'AP et ses clients associés constituent un réseau autonome.
• le même émetteur
• Le même récepteur
• et canaux
pour chaque SSID qu'il prend en charge.
Dans ce cours, nous allons voir d’autres topologies sans fil, ainsi que
différents modes de fonctionnement.
RÉPÉTEUR (REPEATER)
| En général, chaque point d’accès d’un réseau sans fil est câblé à un
système de distribution (DS) ou bien à une infrastructure commutée,
comme par exemple un switch.
Pour étendre la couverture sans fil au-delà de la zone du point d’accès, il
faut rajouter d’autres points d’accès, avec le câblage nécessaire. Ce qui
peut poser certains problèmes, si la distance est trop grande pour gérer la
communication Ethernet…
C’est pourquoi il est possible, dans ce cas, d’ajouter des points d’accès
supplémentaires qui seront configurés en | mode « répéteur ».
Ce mode permet simplement de prendre le signal
qu’il reçoit et de le retransmettre dans une nouvelle
zone autour de ce nouvel équipement.
L'idée est de positionner le répéteur à porter du point d’accès, comme le
montre le schéma.
Ce qui réduit de moitié le débit, car le canal sera occupé deux fois plus.
Pour éviter ce problème, il faut utiliser un répéteur qui puisse utiliser deux
émetteurs et deux récepteurs, afin d’isoler sur 2 canaux différents, les
signaux de l’AP et ceux du répéteur.
Dans ce cas, une paire émetteur-récepteur est
dédiée aux signaux dans la zone du point d'accès,
et l'autre paire pour les signaux de la zone du
répéteur.
PONT EXTÉRIEUR
Un point d’accès peut être configuré, comme un pont pour former une
seule liaison sans fil d'un LAN à un autre sur une longue distance.
Ce type de liaisons, pontées à l’extérieure, est souvent utilisé pour la
connectivité entre les bâtiments ou même, entre les villes.
Un point d'accès, configuré en mode pont, est nécessaire à chaque
extrémité de la liaison sans fil, | et des antennes spéciales sont déployées
afin de concentrer les signaux | dans une même direction.
Parfois, les réseaux LAN de plusieurs sites doivent être reliés entre eux.
Un pont multipoint permet de ponter un site central vers plusieurs autres
sites secondaires.
Le site central, celui qui est représenté par l’immeuble au milieu, est
connecté à une antenne omnidirectionnelle.
C’est-à-dire que son signal est transmis de manière égale dans toutes les
directions, afin qu’il puisse atteindre les autres sites en même temps.
Et les sites secondaires disposent d’une antenne directionnelle pointée
vers le site central, comme le montre le schéma.
Le dernier type de topologies que nous allons voir est le | réseau maillé.
Pour fournir une couverture sans fil sur une très grande zone, il n'est pas
toujours pratique de câbler en Ethernet, tous les points d’accès.
C’est là qu’intervient le mode maillé.
Dans ce type, plusieurs AP seront configurés en mode Mesh, qu’on peut
traduire en français par « Maillé ».
Ici, le trafic sans fil sera alors ponté d’AP en AP, comme une guirlande, en
utilisant même des canaux différents.
En général, chaque point d'accès maillé aura un BSS sur un canal, sur
lequel, les clients sans fil pourront s'associer.
À la périphérie du réseau maillé, la liaison du trafic est pontée vers
l'infrastructure filaire du LAN comme le montre le schéma.
Avec les AP’s de Cisco, vous pouvez créer un réseau maillé à l'intérieur ou
à l'extérieur, qui exécutera son propre protocole de routage dynamique
pour déterminer le meilleur chemin vers les points d'accès maillés.
RADIO FRÉQUENCE
Pour envoyer des données sur une liaison filaire, on utilise un signal
électrique qui est transporté d’un bout à l’autre.
Le support utilisé est un fil qui est continu et conducteur, pour que le
signal puisse se propager assez facilement.
Dans les liaisons sans fil, il n’y a aucun support physique pour transporter
le signal.
Alors comment, un signal électrique peut-il être envoyé sans support
physique, en utilisant un espace libre comme l’air ?
| Pour comprendre, on va prendre l’exemple de 2 personnes assez éloigné
l’une de l’autre qui souhaite communiquer.
Ils sont, tout les deux reliés par une longue corde, qui représente l’espace
libre.
Comme on peut le voir sur l’image, la corde retombe après une petite
distance et le récepteur ne remarque aucun changement.
| L’émetteur va alors tenter une stratégie différente.
| C’est comme si, vous jetiez un caillou dans un étang, alors que la surface
est immobile.
Au centre de là où il tombe, se créer un mouvement cyclique.
Les premières vagues commencent petites et s'étendent de plus en plus
vers l'extérieur, pour être remplacées par de nouvelles vagues.
| Et bien dans un espace libre comme l’air, les ondes électromagnétiques
s'étendent vers l'extérieur dans les trois dimensions.
Sur cette figure, qui montre une antenne émettrice, on peut voir que les
vagues produites se développent vers l'extérieur dans une forme
sphérique.
Les ondes, qui sont envoyées dans toutes les directions, finiront par
atteindre le récepteur.
| Ces ondes électromagnétiques faisant partie d’une liaison sans fil
peuvent être mesurées et décrites de plusieurs manières.
• Les micro-ondes
• Et radio infrarouge
À noter que les micro-ondes contiennent également les deux gammes de
fréquences principales utilisées pour la communication LAN sans fil:
• Le2,4GHz
• Et le 5 GHz.
BANDES ET CANAUX SANS FIL
Étant donné qu'une plage de fréquences peut être utilisée dans le même
but, il est habituel de désigner cette plage comme une bande de
fréquences.
Par exemple, les fréquences qui vont de 530 kHz jusqu’à environ 1710 kHz
sont utilisées par les stations de radio AM.
C’est pourquoi on peut appeler ça, la bande AM, ou même la bande de
diffusion AM.
| La bande de fréquences principalement utilisées pour la communication
LAN sans fil se situe entre 2,400 et 2,4835 GHz.
C’est ce qu’on appelle généralement la bande 2,4 GHz.
C’est tout de même plus pratique d’appeler la bande 2,4GHz que
d’annoncer la plage entière.
| La bande 5 GHz est aussi une plage LAN sans fil qui se situe entre 5,150 et
5,825 GHz.
Le terme « bande » est simplement un diminutif utilisé pour plus de
commodité.
Alors, ne vous inquiétez pas, vous n’aurez pas besoin d’apprendre toutes
les gammes de fréquences…
Il faut juste retenir que pour le wifi des réseaux LAN, | seules les bandes
2.4 et 5 GHz sont utilisées.
| Nous allons maintenant aborder les normes du wifi et des points d’accès,
les « AP’s ».
Un téléphone sans fil 5 GHz ne peut communiquer qu'avec un point
d'accès wifi, compatible sur des canaux de la même bande.
C’est-à-dire aussi du 5GHZ.
Pour qu’un appareil puisse fonctionner avec un point d’accès, ils doivent
aussi partager la même compatibilité avec la norme officielle 802.11.
| Voici un tableau qui montre les différentes évolutions de la norme
IEEE802.11.
Les appareils wifi et les points d'accès peuvent être compatibles avec les
différentes versions de la norme 802.11, à condition que les périphériques
acceptent d’utiliser le même amendement.
Alors pour un appareil qui peut fonctionner sur les deux bandes, on
pourrait se demander, comment décide-t-il quelle bande utiliser ?
Et bien généralement, les points d'accès peuvent fonctionner sur deux
bandes simultanément pour prendre en charge tous les clients qui
seraient présents sur chaque bande.
La bande utilisée pour se connecter à un AP est choisie en fonction du
système d'exploitation, du pilote de l'adaptateur wifi et de plein d'autres
configurations en interne.
• station (STA)
La principale fonction, d'un point d'accès, c’est de relier les données sans
fil du wifi à un réseau câblé en Ethernet.
C’est l’AP qui accepte les connexions des clients sans fil, afin que ces
derniers puissent devenir membre du LAN, comme s’ils utilisaient une
connexion câblée.
Le point d’accès est équipé de matériel câblé et sans fil, pour permettre
d’associer les clients sans fil, avec le réseau câblé.
Les AP’s offrent un ou plusieurs ensembles de services de base, c’est ce
qu’on retrouve sous les initiales de « BSS » ( BSS "Basic Service Set" )
On peut aussi voir les AP’s, comme une extension d'un réseau commuté,
qui permet de connecter les « SSID » (SSID: "Service Set IDentifier"), à des
VLAN (Virtual LAN), au niveau de la couche d'accès.
| Sur le schéma, on peut voir une architecture réseau comprenant des
points d’accès.
Alors même, s’il n’ya que 4 points d’accès, une entreprise peut en avoir des
centaines, voire même, des milliers.
Dans l’exemple, on peut voir que les AP’s contiennent deux SSID | :
• Le WLAN 100
• Et le WLAN 200
Ils ont été nommés de cette manière, pour | correspondre au numéro de
vlan, des couches en Ethernet.
Sur le schéma, on voit bien des liaisons trunk, | entre les différentes
couches, pour bien faire circuler les VLAN’s d’une couche à l’autre.
Sur cette architecture, les AP’s autonomes permettent d’offrir un chemin
rapide, pour que les données puissent voyager entre les réseaux sans fil et
câblés.
Deux utilisateurs sans fil, qui sont associés au même point d'accès
autonome, peuvent cette fois-ci, communiquer directement, sans avoir à
passer par le réseau câblé.
• Cisco Prime
C’est le cas pour | « Cisco Meraki » qui offre une gestion centralisée des
réseaux sans fil, commutés et même de sécurité.
Cisco Meraki est une solution complète pour gérer le réseau dans le Cloud.
Ce qui apporte beaucoup de simplicité aux réseaux d’entreprises, car ça
permet aux admin réseau d’avoir une meilleure visibilité, ainsi qu’un
meilleur contrôle, et cela, sans la complexité des architectures
traditionnelles.
Par exemple, via le service de | mise en réseau cloud, vous pouvez :
| Sur le schéma qui illustre une architecture basée sur le cloud, on voit que
le réseau est organisé à l’identique que celui avec les AP’s autonome. C’est
parce que même avec une gestion dans le cloud, les points d’accès sont
également autonomes.
La différence la plus visible, c’est celle qui est représentée par les petits
traits, indiquant que tous les points d'accès sont gérés, contrôlés et
surveillés de manière centralisée à partir du cloud.
Le cloud Cisco Meraki ajoute également de l'intelligence, car il est capable
d’indiquer automatiquement à chaque point d'accès quel canal et quel
débit utiliser.
Les données qui sont à destination et en provenance des clients sans fil
n'ont pas non plus besoin de remonter et de revenir dans le cloud, car il
intègre un plan de données.
C’est-à-dire que l’architecture que l’on voit sur le schéma se compose de |
deux chemins distincts :
Il n’y’a donc aucun lien, entre l’AP et le WLC, car le ou les VLAN’s
encapsulées sont renfermé dans le tunnel, en tant que paquets IP de
couches 3, plutôt que des VLAN individuels de couche 2.
| Et là ou s’est intéressant, contrairement à une architecture qu’avec des
points d’accès complet, c’est qu’à mesure que le réseau sans fil se
développe et évolue, et bien le WLC construira simplement | + de tunnels
CAPWAP, pour atteindre les nouvelles AP !
Comme on peut le voir | sur le schéma qui illustre un réseau composé de
3 points LAP.
Ici, Chaque AP a son propre tunnel vers le WLC, qui lui est centralisé.
• | On a de la Surveillance RF:
Le rôle du WLC est de gérer chaque point d'accès.
Pour ça, il va balayer les canaux, pour surveiller l'utilisation des
radios fréquences.
Il pourra donc recueillir à distance des informations :
o Sur les interférences RF.
o Le bruit.
o Les signaux des points d'accès voisins
o Et les signaux des points d'accès qui ne sont pas autorisés ou
bien des clients ad hoc.
| Nous allons maintenant voir les différents modes que disposent les
points d’accès Cisco.
Les AP’s peuvent fonctionner en mode autonome ou en light, selon
l'image qui est chargée et lancée dans le boitier.
Nous allons détailler, à partir d’un contrôleur WLAN, les différents modes
de fonctionnement d’un point d’accès léger, c’est-à-dire light.
• | On a le mode « Monitor »:
Ici, l'AP ne transmet pas du tout… Juste son récepteur est activé,
et fonctionne comme un capteur, afin de détecter les AP’s non
autorisés.
Il peut même aussi les localiser.
Dernière petite remarque, c’est qu'un point d’accès light est configuré |
par défaut en mode « local ». C’est-à-dire qu’il fournit des BSS et
permet aux périphériques clients de s’associer à des LAN sans fil. Et
dès que l’AP bascule dans un autre mode, et bien le mode local ainsi
que les BSS seront désactivés.
SÉCURISATION DES RÉSEAUX SANS FIL
Comme vous avez pu vous en rendre compte, les réseaux sans fil sont
assez complexes.
De nombreux protocoles fonctionnent ensemble pour offrir aux
utilisateurs sans fil, une connexion stable et mobile à une infrastructure de
réseau câblé.
| Alors du point de vue de l'utilisateur final, une connexion sans fil ne
devrait pas être différente d'une connexion filaire.
Même si, la connexion filaire procure un meilleur sentiment de sécurité,
parce que dans le sans-fil, les données voyagent dans les airs, et peuvent
être entendue par toute personne se trouvant à portée…
• | Il faut aussi protéger les données sans fil contre les écoutes et
contre la falsification. C’est-à-dire la modification des données.
Le point de l’identification sans fil se fait par diverses authentifications.
Et celui de la protection des données sans fil se sécurise avec du cryptage
au niveau de la trame Ethernet.
Nous allons donc voir, plusieurs méthodes, qui permet de sécuriser un
réseau sans fil.
La difficulté dans le chapitre du Wifi, c’est que c’est rempli | d’acronymes :
(WEP, PSK, TKIP, MIC, AES, EAP, EAP-FAST, EAP-TLS, LEAP, PEAP, WPA,
WPA2, WPA3, CCMP, GCMP)
Alors pas de panique, à la fin du chapitre sur la sécurité du wifi, vous aurez
une vision plus claire, sur la signification de ces différents termes…
Et vous serrez même prêt à configurer un LAN sans fil avec une sécurité
efficace.
QU’EST-CE QU’UNE CONNEXION
SÉCURISÉE ?
| Dans les cours précédents, nous avons vu, comment les clients sans fil
formaient des associations avec des points d'accès sans fil.
Et aussi comment les données se transmettaient dans les deux sens.
Tant que tous les clients et points d'accès sont conformes à la norme
802.11, ils peuvent tous communiquer.
Sur l’image, on voit que le client sans fil ouvre une session avec le serveur
de fichier qui se trouve dans le cloud, et par ce faite, partage son mot de
passe confidentiel.
| Comme les données circulent dans l’air, il se peut que des utilisateurs
malintentionnés, qui se trouvent également à portée du signal du client,
capturent les trames pour récupérer le mot de passe…
Alors, comment sécuriser les données qui circulent dans un espace
ouvert ?
• | De la confiance
• | De la confidentialité
• | Et de l'intégrité
C’est ce qu’on va détailler tout de suite.
AUTHENTIFICATION
| Pour utiliser un réseau sans fil, les clients doivent d'abord découvrir, ce
qu’on appelle, un ensemble de services de base, le BSS (BSS "Basic Service
Set"), afin de demander l'autorisation de s'y associer.
Pour protéger ces données qui voyagent sur un réseau sans fil, ils doivent
être cryptés.
C’est-à-dire que les données seront chiffrées avant de quitter l’émetteur,
et seront déchiffrées à la réception par celui qui les reçoit.
Cette une méthode de cryptage que l'émetteur et le récepteur partagent
ensemble, afin que les données puissent être confidentiel pendant leurs
cheminements dans les airs.
Dans les réseaux sans fil, chaque WLAN peut prendre en charge une seule
méthode d'authentification et de cryptage. C’est-à-dire que tous les
clients doivent utiliser le même procédé de cryptage lorsqu'ils s'associent.
Alors vue comme ça… On pourrait penser que le fait d'avoir une méthode
de chiffrement en commun permettrait à chaque client d'écouter tous les
autres clients.
Et bien ce n'est pas vraiment le cas, car le point d’accès négocie une clé de
chiffrement unique, pour chaque client associé.
OPEN AUTHENTICATION
| Au tout début de la norme 802.11, il n’y avait que 2 méthodes
d’authentification :
• | L’Open Authentication
802.1X / EAP
| Avec uniquement de l'authentification ouverte et du WEP, disponibles
dans la norme 802.11 d'origine, il fallait trouver une | méthode
d'authentification plus sécurisée.
Alors plutôt que de rajouter de nouvelles méthodes d'authentification
dans la norme 802.11, une nouvelle structure plus flexible et plus évolutive
a été créée.
LEAP
Pour tenter de remédier aux faiblesses du WEP, Cisco a développé une
méthode d'authentification sans fil qu’on retrouve | avec les initiales de
LEAP ( Lightweight EAP )
| Pour s'authentifier, le client doit fournir un nom d'utilisateur et son mot
de passe.
Le serveur d'authentification et le client | s’échangent des messages
cryptés de type « Challenge ».
Ce sont des phrases cryptées et envoyées, pour valider l’authentification
mutuelle.
Tant que ces messages de « test » peuvent être décryptés avec succès, le
client et le point d’accès resteront authentifiés.
Le problème, c’est que cette méthode a été déployée à l’époque ou le
WEP était encore très largement utilisé… Et le LEAP a tenté de surmonter
les faiblesses du WEP en utilisant | des clés WEP dynamiques qui
changeaient très fréquemment.
De plus, et c’est le plus gros souci, c’est que la méthode utilisée pour
crypter | les messages de « challenge » se sont retrouvés très vulnérables, |
C’est pourquoi le LEAP est fortement déconseillé.
Alors même si les clients et contrôleurs sans fil donnent toujours la
possibilité d’utiliser cette méthode, et bien il est préférable d’en prendre
une autre…
EAP-FAST
| Par la suite, pour pallier aux faiblesses du LEAP, Cisco a développé une
méthode encore | plus sécurisée qui est le EAP-FAST (EAP Flexible
Authentication by Secure Tunneling) !
Ici, les informations d'authentification sont protégées en transmettant |
une protection d’accès, qu’on retrouve sous les initiales de PAC (
Protected Access Credential ) entre l'AS et le demandeur.
Le PAC est une forme de « secret partagé » qui est généré par le point
d’accès et utilisé pour une authentification mutuelle.
Cette méthode est une séquence qui se déroule en trois phases:
1. | Pour commencer, le PAC est généré et installé sur le client.
2. | Ensuite, une fois que le client (Supplicant) et le serveur
d’authentification se sont identifiés, ils vont négocier un tunnel TLS
(Transport Layer Security).
3. | Et pour terminer, l'utilisateur final pourra ensuite être authentifié à
travers ce tunnel TLS pour plus de sécurité.
Comme pour les autres méthodes basées sur « EAP », cela | demande un
serveur RADIUS, qui devra obligatoirement fonctionner comme un serveur
EAP-FAST, pour pouvoir générer des « PAC » par utilisateur.
PEAP
| Passons maintenant à la méthode suivante.
Comme pour la précédente, le PEAP (Protected EAP) utilise une |
authentification interne et externe, sauf que le serveur d’authentification
présentera un | certificat numérique pour s'identifier auprès du client.
Et si le client est satisfait de cette identité qu’a fournie le serveur
d’authentification, et bien, les deux construiront | alors un tunnel TLS qui
servira à l’identification du client et à l'échange de clés de chiffrement.
Alors à noter que seul le serveur d’authentification possède un certificat
pour la méthode « PEAP ».
Ça signifie que le client peut facilement authentifier l'AS.
Le client, lui, ne possède pas ou n'utilise pas son propre certificat, il doit
être authentifié dans le tunnel TLS | à l'aide de l'une de ces deux méthodes
:
TKIP
| Le protocole TKIP (Temporal Key Integrity Protocol), a été développé
pour | remplacer le WEP, qui était devenu très vulnérable…
Ce protocole ajoute | plusieurs fonctionnalités de sécurité que nous allons
détailler tout de suite :
CCMP
| On va maintenant passer sur le protocole CCMP ( The Counter/CBC-MAC
Protocol) qui est considéré comme | plus sûr que le TKIP.
Le CCMP se compose de | deux algorithmes:
1. | Un compteur de chiffrement AES (The Advanced Encryption
Standard)
2. | Et d’un Code d'authentification des messages (Cipher Block
Chaining Message Authentication Code [CBC-MAC]), | utilisé pour en
vérifier l'intégrité. ( Message Integrity Check [MIC])
La norme de chiffrement AES (The Advanced Encryption Standard) est
l'algorithme qui est | utilisé par l’institut national des standard et
technologie des États-Unis (U.S. National Institute of Standards and
Technology [NIST]) , et même aussi par le gouvernement américain.
| C’est une norme qui est également très utilisée dans le monde entier !
| Aujourd’hui, il s’agit de la méthode de cryptage la plus sécurisée.
Le mécanisme CCMP ( The Counter/CBC-MAC Protocol), sur lequel
s’appuie le protocole AES (The Advanced Encryption Standard), | est
imposé sur la norme WPA2, que nous détaillerons juste après le protocole
GCMP.
GCMP
• | Le WPA
• | Le WPA2
• | Et le WPA3
| Pour établir une liaison entre le SSID et le VLAN, il faut définir un WLAN
sur le contrôleur.
L’objectif principal du CCNA, sur la partit Wifi, demande la configuration
d'un WLAN avec une connectivité client sécurisé en WPA2.
Et ce, en utilisant uniquement l’interface graphique du contrôleur.
• | Le SSID
On va donc reporter :
• | L’adresse IP du serveur
• | La clé secrète
• | Et le numéro de port
Comme on peut le voir sur l’image :
| Il faut s’assurer que l’état du serveur est bien activé.
| Et on peut aussi cocher les cases « Network User » et « Management »
pour authentifier les clients ou les administrateurs à accéder aux
fonctionnalités de gestion du contrôleur.
Pour l’exemple, j’utilise le simulateur Packet Tracer, qui ne prend pas en
charge toutes les configurations possibles du contrôleur…
Pour créer cette nouvelle interface, | il faut aller dans « Contrôleur » puis
dans | « interfaces ».
Ce qui nous affiche la liste de toutes les interfaces du contrôleur qui sont
actuellement configurées.
On voit d’ailleurs qu’il y’a deux interfaces de déclarer :
• | 1 interface de « gestion »
• | Et 1 interface «virtuelle»
Pour définir une nouvelle interface, | il faut cliquer sur le bouton « new ».
• | Et un numéro de VLAN
Dans l’exemple, l’interface s’appellera « Marketing » et sera mappée sur le
VLAN 99.
Pour arriver ensuite sur la configuration réseau de l’interface, il faut valider
la création en appliquant les modifs.
| Juste après, une nouvelle fenêtre s’affiche, et c’est sur celle-ci, qu’il
faudra entrer :
• | l'adresse IP
• | le masque de sous-réseau
• | l'adresse IP 192.168.100.10
• | la passerelle 192.168.100.1
L’ID qu’on voit juste en dessous du SSID est juste un repère pour le
contrôleur.
| Il reste plus qu’à appliquer la configuration, pour faire afficher une
nouvelle page qui permettra de modifier d’autres paramètres .
Généralement, c’est sur cette page qu’il faut | activer le WLAN, en cochant
la case « enable » du statut.
Option Détail
None Authentication Ouverte
WPA+WPA2 Wifi protégé par WPA ou WPA2
802.1x Authentification EAP avec du Wep
Dynamique
Static WEP Clé de sécurité WEP
Static WEP + 802.1x Authentification EAP ou WEP
Statique
CKIP Cisco Key Integrity Protocol
None + EAP Passthrough Authentification ouverte avec
accès à l’authentification EAP
• | Et le mode « Bronze »
FINALISATION DE LA CONFIGURATION
WLAN
| Une fois, qu’on a bien saisie l’ensemble des paramètres du WLAN, il reste
plus qu’à les appliquer.
| Le WLAN sera créé et ajouté à la configuration du contrôleur.
| Sur l’image, on voit bien que le WLAN Marketing a été ajouté avec l’ID
« 1 » et est bien activé pour l'utiliser.
CONSTRUIRE UN LAN SANS FIL
On a vu, qu’un réseau sans fil peut être composé d'AP autonome ou d'AP
light, couplés à un ou plusieurs contrôleurs WLAN.
| Un AP autonome est un appareil qui peut fonctionner tout seul. C’est-à-
dire qu’il n’a besoin de rien d’autre, pour transférer des trames Ethernet
d'un VLAN filaires vers un LAN sans fil, et c’est la même chose dans l’autre
sens.
Dans ce type de config, le point d’accès autonome mappe chaque VLAN à
un WLAN et un BSS (BSS "Basic Service Set").
| Comme on le voit sur le schéma, l’AP autonome possède une seule
interface Ethernet filaire, ce qui signifie que l’ensemble des | VLAN’s
doivent lui être acheminés par une liaison trunk.
| Un point d’accès Light, possède aussi qu’une seule interface filaire
Ethernet, et par contre, il doit être associé à un | contrôleur LAN (WLC :
Wireless LAN Controller), pour qu’il fonctionne complètement.
Dans ce type de config, Les VLAN se terminent au niveau du contrôleur et
n’ont pas besoin de descendre jusqu’en bas, car ils sont transportés par le |
tunnel CAPWAP entre le contrôleur et le point d’accès léger.
Ce qui signifie que l’AP n’a besoin | que d’un lien « accès » pour se
connecter à l’infrastructure réseau.
Pour configurer et gérer les points d'accès de chez Cisco, vous pouvez y
connecter votre PC avec un câble console, c’est-à-dire un câble série, qui
sera connectée sur le point d’accès.
Si l’AP est déjà opérationnel et qu’il possède une adresse IP, alors vous
pouvez même | vous y connecter en Telnet ou SSH, pour avoir accès à la
CLI.
Les points d’accès autonome prennent même en charge | des sessions par
un navigateur, via HTTP et HTTPS.
Les points d’accès light sont aussi compatibles pour une configuration par
le navigateur, sauf que la session doit être établie sur le contrôleur.
• | Surveiller
• | Configurer
Que ce soit par l’interface Web ou l’interface CLI, les admin devront avoir
un compte utilisateur de gestion.
Ce compte, peut être géré soit en local, ou bien avec un serveur
d'authentification, comme un serveur TACACS ou RADIUS, qu’on appel
aussi un serveur AAA.
Alors, pour le CCNA, l’objectif est de se concentrer sur l’interface
graphique du contrôleur, pour configurer un WLAN.
Dans les exemples qui vont suivre, l’architecture WLAN a déjà été
configurée.
C’est-à-dire que le contrôleur possède déjà une IP pour pouvoir s’y
connecter.
Dans la suite du cours, nous verrons comment configurer une topologie
WLAN en partant de zéro, à l’aide du simulateur Packet Tracer !
| Pour revenir à l’interface graphique, lorsque vous y êtes connecté, le
contrôleur affichera le tableau de bord, qui ressemblera à cette
illustration.
CONNEXION AU CONTRÔLEUR CISCO
(WLC)
La connexion d'un contrôleur LAN sans fil, au réseau, n'est pas aussi
simple, car il existe plusieurs types de connexions différents.
Quand on travaille sur des routeurs ou des switches, les termes
« interfaces » et « port », sont identiques.
Par exemple, chez les commutateurs, on peut les appeler modèles 48
ports, et on dira qu’on fait des modifs sur des interfaces.
Chez les contrôleurs sans fil, c’est un petit peu plus différent.
Les ports et les interfaces font référence à différents concepts.
| Les ports du contrôleur sont des connexions physiques à relier vers un
réseau câblé ou commuté.
| Tandis que les interfaces sont des connexions logiques qui s’établissent
en interne au sein même du contrôleur.
On va donc détailler chaque type de connexion
• | Et on à 1 Port de redondance :
qui est utile pour connecter un autre contrôleur, afin de garantir un
fonctionnement en haute dispo.
Pour revenir au port de service, habituellement, on les attribue à un VLAN
de gestion, pour pouvoir y accéder avec une connexion SSH, ou bien à
l’aide d’un navigateur Web. Ce qui est très utile pour de la maintenance.
• | une adresse IP
• | un masque de sous-réseau
• le NAT, |
• ou bien le CIDR,
• et aussi |l’IPv6.
|Les petits réseaux utilisent en général des adresses privées. Car elle offre
aux entreprises une grande flexibilité pour la conception de leurs réseaux.
Cet adressage permet une administration plus pratique et une croissance
plus facile.
• |On à l’ Inside local: qui est l’ Adresse d’un l'hôte sur le réseau
intérieur
• |L’Adresse inside local: Ce sont les IP attribués aux Hosts, qui sont
des adresses IP privées. Le terme Inside, signifie le réseau interne à
l’entreprise !
• |Et on a le PAT :
qui mappe plusieurs adresses privées vers une seule et même
adresse publique en utilisant différents ports pour permettre de
suivre la connexion.
Avec cette commande, vous retrouvez les termes Cisco, que nous avons
vus dans le cours précédent. Ce qui est en bleu sont les numéros de port !
|L' une des principales formes du NAT est le PAT , qui se fait aussi
appeler « overload ».
Ici, plusieurs adresses locales internes peuvent être traduites en utilisant le
NAT dans une ou plusieurs adresses globales internes. La plupart des box
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
internet à domicile fonctionnent en PAT. Le fournisseur d’accès à internet
attribue une adresse à la box, qui fonctionne comme un routeur, et
plusieurs personnes peuvent surfer sur Internet à partir d’une seul et
même adresse.
Sur cette topologie, les deux PC’s utilisent la même adresse publique, pour
communiquer avec le serveur WEB !
Ce sont les numéros de port TCP, qui permet de différencier les paquets
du PC A de celui du PC B !
Avec ce système, de nombreux hôtes internes peuvent partager la même
adresse globale interne en utilisant de nombreux numéros de port.
Pour la configuration du PAT, et comme toute sorte de nat, il faut |taguer
nos interfaces en entrée et sortie !
Ensuite, comme pour le nat dynamique, |il faut créer une aceess-list pour
définir les adresses locales qui pourront être translatées.
|Et comme pour tous les types de NAT, la commande de vérification est
identique : C’est show IP nat translations
DEPANNAGE NAT
Lorsqu’il y’a des problèmes de connectivité dans un environnement NAT ,
il est souvent très difficile de déterminer la cause du problème.
Pendant une recherche de panne, il faut bien s’assurer aussi que l’ACL
correspond bien à tous les réseaux qui doivent être nattés.
• Le NAT Statique
• Le NAT Dynamique
Les Pc’s, tablette et smartphone que l’on a dans notre réseau domestique,
utilisent donc la même adresse IP publique de la BOX.
• |Si le paquet matche avec une règle Deny, alors il sera supprimé.
• |S’il matche avec une règle permit, alors il pourra passer et le routeur
le prendra en charge !
• |Là aussi il y’a une ACL, mais cette fois-ci, elle est placée en sortie !
|On a des ACL standards qui permettent de vérifier les adresses sources
des paquets pouvant être acheminés.
Elles sont numérotées de 1 à 99 et de 1300 à 1999.
|Et si on refait un « show access-list », cela nous confirme bien que l’ACL
est supprimée.
|Dans une ACL sortante : les paquets qui rentrent sur le routeur sont
traités, avant tout par la table de routage. Si le réseau de destination du
paquet ne fait pas partie des réseaux qui figurent dans la table de routage,
alors il sera supprimé ! Et si une correspondance existe, il sera envoyé vers
l’ACL. Et idem pour l’ACL, si le paquet est autorisé alors il partira vers
l’interface de sortit, sinon il sera supprimé !
|Et pour une ACL entrante : ici les paquets sont d’abord traités par l'ACL
avant d'être envoyés au routeur !
Après avoir configuré une ACL , il faut l’appliquer à une interface à l'aide de
la commande| « IP access-group » .
Le principal avantage d’une ACL nommée, c’est que chaque ligne qu’on
rentre est numérotée à partir 10 et incrémentés de 10 pour les suivantes.
Notre ligne « deny » portera le 10 et la ligne en dessous sera «numéroté
« 20 »
|Et il nous reste plus qu’à rattacher notre ACL nommée sur l’ interface.
On peut aussi très facilement supprimer une seule ligne de l’ACL, sans
devoir la supprimer complètement, |en faisant simplement un « no » + le
numéro de séquence à supprimer.
• Soit en sorti
• ou soit en entrée.
|Si on lance un « show ip interface » sur la 0/0, on peut voir que l’ACL 1 est
appliqué en entrée, et la 100 est appliquée en sortie.
|Si on souhaite désactiver une ACL sur une interface, il suffit de la
supprimé avec un « no » devant la commande
• gigabit Ethernet,
• port USB
• ou port console.
Alors même s’il existe plusieurs type et modèle de routeur, ils possèdent
tous les mêmes composants matériels.
• le processeur,
• la mémoire vive
Si l'IOS n’est pas dans la mémoire Flash, le routeur peut tenter d’aller la
rechercher sur un serveur TFTP.
Et si malgré tout, il lui est impossible de localiser l’image, alors c’est là
qu’un mini système de démarrage sera copié de la mémoire morte vers la
mémoire vive.
Ce mini IOS, permet de pouvoir diagnostiquer un minimum, les éventuels
problèmes.
Il s’agit de la startup-config.
C’est ce fichier qui contient les commandes et paramètres du routeur.
Si le Bootstrap arrive à trouver ce fichier, il sera alors copié dans la
mémoire vive en tant que fichier de configuration en cours.
C’est-à-dire la running-config !
Et si le fichier de la startup-config n'existe pas alors le routeur tentera de
le rechercher sur |un serveur TFTP.
Et si ce fichier est toujours introuvable, alors il lancera automatiquement
une série de questions pour pouvoir rentrer une configuration de base !
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
|Pour résumer, la séquence de boot d’un routeur :
REGISTRE DE CONFIGURATION
|La valeur du registre de configuration permet de déterminer certains
paramètres au démarrage du switch ou du routeur.
Par exemple, on peut très bien lire un fichier de configuration qui sert au
démarrage, pour voir si tout est bon, avant de le charger sur le routeur.
L’admin réseau peut aussi créer des sous-répertoires dans la mémoire
Flash pour y voir + clair.
|Si on fait un « show file systems » , on peut voir, tous les fichiers
disponibles du routeur.
• Le « P » pour production.
RUNNING-CONFIG ET STARTUP-CONFIG
L’orsqu’un routeur va démarrer, il va aller chercher sa configuration, soit
sur un serveur TFTP, ou soit à partir de la NVRAM.
|Le fichier de configuration en cours d’exécution, qui est plus connue sous
le nom de la running-config, |est stocké dans la RAM.
L’interface Gigabitethernet 0/0 qui porte l’IP 172.16.1.1. Et la 0/1 avec l’IP
192.168.1.1
|Et que du côté TFTP, l’interface GigabitEthernet 0/1 porte l’IP 10.2.2.1. mais
aucune conf n’est présent dans le fichier pour l’interface 0/0.
C’est-à-dire la startup-config !
Maintenant, admettons que vous rentrez de vacances et que vous| avez
|oublié le mot de passe pour pouvoir vous connecter sur votre switch ou
routeur !
Avec ses deux numéros, Cisco va pouvoir nous générer une licence et
nous l’envoyer !
LICENCE IOS
Lorsqu’on achète un nouveau routeur, il est préinstallé de base, avec l’IOS,
ainsi que certaines fonctionnalités que l’on peut activer avec des License .
|Une fois qu’on a en possession le PAK et L’UDI, |il faut générer le fichier de
licence.
Dans l’exemple, on lui dit d’aller cherche ce fichier dans la mémoire flash,
et on redémarre le routeur, pour que la licence soit bien activée !
|Si on refait un « show lisence feature », on pourra voir que notre licence
Uck9, qui correspond aux communications unifiées, est bien activée !
• |la sécurité
GUIDE DE DÉPANNAGE
Il est impossible d'écrire un guide de dépannage qui résoudrait tout problème de
connectivité IP.
• de matériel
La sortie de la commande « show IP route » nous montre bien| qu’une passerelle par
défaut y est configurée.
Cette route statique dit que pour joindre tous les autres réseaux, qui ne seraient pas
répertoriés dans la table, et bien faudra passer par l’interface qui porte l’IP 10.1.10.2.
Pour vérifier la configuration de la passerelle par défaut du PC, on peut faire| un
« ipconfig » sur celui-ci.
Par exemple sur notre topologie, le PC est incapable d’utiliser Telnet pour se
connecter au serveur.
Pour commencer, on va faire |un « show ip access lists » afin d’afficher le contenu de
toutes les ACL configurées sur le routeur.
Ici on voit qu’il existe une ACL qui se nomme "sortie" et qui n’accepte que le trafic
ICMP.
Ici on voit que l'ACL qui s'appelle "Sortie" a été configurée sur l'interface
GigabitEthernet0/0 comme ACL sortante du routeur 1.
|Pour que le protocole Telnet soit autorisé, il faut ajouter une entrée ACL qui autorise
le protocole Telnet et son port 23.
Sur notre topologie, on voudrait analyser le trafic |qui transite du PC1 vers le PC2 !
Ici on lui donne l’identifiant « 1 » on lui spécifie l’interface 0/1 suivie de « tx » pour le
Traffic entrant.
On fait la même chose pour le port 0/2,
Ce que nous venons de voir peut être très utile dans le dépannage réseau, pour
connaitre le trafic qui circule sur certains ports de switch.
SYSLOG
Dans ce cours, nous allons parler de Syslog, qui est une fonction
incorporer de base dans les IOS cisco.
Ces types de messages sont très utiles, car ils sont affichés par défaut sur
la console, lorsqu’on est connecté dessus !
Et pour ne manquer aucun message, il est même possible de les exporter
vers un serveur Syslog !
mais il est préférable d’utiliser un |serveur NTP pour être sûr que
l’ensemble de nos périphériques soit à la même heure !
|Voilà le même message d’erreur de l’interface 0/1, mais cette fois avec un
numéro de séquences !
Par contre il ne stocke pas toutes les logs, car ils sont enregistrés dans la
mémoire vive de l’appareil.
SYSLOG
CONFIGURATION
|On va maintenant passer à sa configuration !
• |La gigue
• |D'une ressource
• |Du réseau
|Si on fait un ping du PC1 vers le serveur à l’autre bout, on remarque très
souvent que le| 1er ping ne passe pas…
Et bien c’est parce que le cache ARP n’a pas été construit.
|Si on régénérer un ping, juste après, on devrait avoir , cette fois-ci, un
taux de réussite de 5 sur 5 !
C’est pour ça, que sur le 1er ping qui a réussi 4 fois
sur 5, on à un point, suivi de 4 points d’exclamation.
Maintenant, si le PC1 tente un ping sur un réseau qui n’est pas inscrit dans
la table de routage du routeur 1, |alors on aura ce type de message
d’erreur, qui nous dit que l’hôte est injoignable.
Ce type d’erreur se caractérise par la lettre « U »
|Pour aller plus loin que la commande Ping, on va configurer un IP SLA sur
le routeur 1 pour tester le serveur 1.
|Et il nous reste plus qu’à lancer le test immédiatement avec une
programmation en continu avec la| commande « IP SLA shedule »
|Le mot « life forever » : signifie que le test ne s’arrêtera jamais et| le
« start-time now » est pour le démarrer immédiatement
Ici le PC1 arrive bien à se connecter au serveur après avoir rentré son mot
de passe.
On va terminer cette leçon, par| la commande « show arp » qui permet
d’afficher la table arp d’un équipement réseau.
|Ici, on voit l’adresse Mac de l’interface 0/0 du switch, qui est |rattaché à
l’ip 10.10.1.1.
Il s’agit de la passerelle par défaut, qui correspond à
l’ip de| l’interface du prochain routeur. Celui de R1
DHCP
• |Et la deuxième chose à faire est de configurer une route par défaut
qui transmettra tout le trafic destiné à Internet vers l'interface qui
est à l’autre bout du routeur.
C’est-à-dire chez le fournisseur d’accès à internet !
• un PC,
• un Téléphone IP,
• une imprimante,
En gros, tout périphérique de terminaison qui demande ses propres
paramètres au serveur DHCP !
Et comme son nom l'indique, ce message offrira une adresse IP, non
utilisée, à partir d’un pool d'adresses qui se trouve sur le serveur DHCP.
Sur cette topologie, nous allons voir la façon dont le PC, qui porte le rôle
de client, va obtenir son adresse IP à partir du serveur DHCP !
|Tout d’abord, le PC envoie un broadcast avec sa propre adresse MAC pour
voir, s’il y’a des serveurs DHCP dans le coin.
|Dans la capture de paquets sur les requêtes DHCP, nous voyons bien
l’ensemble des étapes, sur l’attribution d’une adresse IP par le serveur
DHCP.
|Nous allons maintenant passer à la configuration d’un routeur
DHCP Cisco!
Nous souhaitons que les utilisateurs du LAN reçoivent une adresse IP à
partir du pool en 192.168.1.0/24. Avec une durée de location de 12 heures
max.
Les adresses de .1 à .100 devront être exclues de ce pool DHCP
On en profitera en même temps, pour ajouter les paramètres DNS, le nom
de domaine et la passerelle par défaut !
|La 1re commande en mode de configuration global permet de spécifier
une plage d’IP que l’on souhaite exclure du DHCP !
Et pour finir, il est possible de voir la liste de tous les baux DHCP |avec la
commande « Show IP dhcp binding »
• HSRP,
• VRRP
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
• et GLBP.
|Et voici un tableau qui affiche les différences entre ces types de redondance de
passerelle par défaut.
• HSRP,
• VRRP
• et GLBP
Alors ces 3 protocoles fonctionnent tous de la même manière, il y’a
seulement quelques petites différences sur les commandes à taper !
Nous allons commencer par voir la configuration de HSRP qui est un
protocole propriétaire Cisco.
|Sur le routeur 1, on lui dit que pour joindre le réseau de la loopback, il faut
aller vers l’interface qui porte l’IP 192.168.10.2, c’est-à-dire l’interface
fastethernet 0/0 !
|Et on fait de même pour le routeur 2 !
• l’adresse IP virtuelle.
• |HSRP,
• VRRP
• et GLBP
Nous avons vu précédemment que pour configurer notre gateway
|virtuelle HSRP, il fallait utiliser la commande « Standby IP » .
Le protocole VRRP utilise des |timers plus petits par défaut, ce qui le rend
plus rapide que HSRP et GLBP !
• R1,
Déclaration d'activité enregistrée auprès du préfet de région
Bourgogne-Franche-Comté sous le numéro : 27390121339
FORMIP.COM 38 rue pasteur 39110 Salins-les-Bains
Siret : 519 157 861 00047
• R2
• et R3 !
Admettons qu’on n’a aucune idée de l’aspect de notre réseau.
Sur le routeur 1, on voit qu’il est connecté au routeur 2. On voit même que
c’est un routeur 3640, ainsi que les interfaces des deux côtés !
|Et sur le routeur 3, son voisin est le 2 ! On voit bien que le lien entre le
routeur 2 et le 3 est une liaison série !
|La commande « show cdp neighbors detail » permet de nous révéler
encore plus d’information !
SNMP
• des switches,
• des routeurs,
• firewall,
• des PC’s
• un routeur,
• un switch,
• ou un firewall,
fait tourner un agent SNMP en arrière-plan, qui est en fait |un processus
daemon qui va répondre aux requêtes du réseau.
Cet agent SNMP, fournis un grand nombre d’ identifiants d’objets, qu’on
|appelle les OID.
Ce sont des identifiants universels, qui sont représentés par une série de
chiffres.
|Par exemple, voici l’OID d’un switch Cisco 2950 pour relever sa
température.
• La v2 est une version un peu, laissée à l’abandon, car elle est trop
complexe.
• Read
• ou Write
Et le « V1defaut » est une fonction sans restriction, car si on le souhaite, il
est possible de donner des accès en lecteur ou écriture à certaines MIB.
• Et aussi de la visioconférence.
L’ensemble de ces types de trafic ont des exigences qui peuvent varier sur :
• Le délai
BESOIN DE QOS
Elle doit pouvoir garantir un niveau acceptable de perte de paquets, pour un type de
données.
NIVEAUX DE SERVICE
|La QOS à 3 niveaux de service
• |On a le best effort, qui ne fait aucune différence entre plusieurs flux réseau et
qui ne donne aucune garantit
• |Et on a le service garanti, qui lui, réserve des ressources réseau pour certains
types de flux.
|Dans la QOS, il y’a 4 critères importants qui permettent de faire fonctionner les
différents niveaux de service.
• |Il y’a le Débit, qui est souvent appelé bande passante, c’est la quantité de
données transmises pendant un certain temps. Le débit ici, s’exprime en bits par
seconde.
• |Il y’a la Gigue, qui est la variation de latence. Critère très important pour les
applis qui transmettent de la voix ou de la vidéo.
• |Il y’a la latence, qui se focalise sur le retard entre l'émission et la réception d'un
paquet.
• | « Best Effort »
• 2 routeurs
• 2 commutateurs
• 2 PC
• Et 2 téléphones IP
Les liaisons sont toutes en Gigabit Ethernet, | sauf entre les deux routeurs,
où nous avons une liaison série très lente… C’est-à-dire seulement 1,54
Mégabit par seconde.
Lorsque le PC et le téléphone IP, de gauche, transmettent des données et
des paquets vocaux, destinés aux équipements de droite, et bien, il est
fort probable que la liaison série soit encombrée et que le routeur place
les paquets en fils d’attente.
Le problème avec ça, c’est que la file d’attente d’un routeur n’est pas
illimitée…
Et que doit faire le routeur lorsque sa file d’attente est pleine ?
| Et bien les paquets seront probablement supprimés.
Alors quand il s’agit de paquets de données du PC, ce n’est pas forcément
un problème, car les utilisateurs se plaindront uniquement d’une mauvaise
vitesse de transfert.
Par contre, quand il s’agit de paquets vocaux, et bien là, les utilisateurs se
plaindront de ne pas comprendre leurs interlocuteurs.
La QoS consiste à utiliser des outils pour changer la façon dont le routeur
ou le commutateur traite les différents paquets.
Par exemple, nous pouvons configurer le routeur afin que le trafic vocal
soit priorisé avant le trafic de données.
| La QOS permet de traiter 4 types de traffic réseau :
• | On a le Débit (Bandwidth)
• | La Gigue (Jitter)
• | Le délai (Delay)
TYPES DE TRAFIC
DEBIT (BANDWIDTH)
APPLICATION INTERACTIVE
| Un autre type d'application est l'application interactive. C’est le type
d’application que l’on retrouve, quand on utilise Telnet ou SSH pour se
connecter à son routeur ou à son commutateur.
Ce type d’applications ne nécessitent pas beaucoup de bande passante,
mais elles sont tout de même assez sensibles au retard et à la perte de
paquets.
Imaginez devoir attendre un certain délai entre chaque commande passée
sur un switch ou un routeur… ou même en cas de forte perturbation, qu’il y
ait une courte pause entre chaque caractère que vous tapez…
| Les applications vocales, et vidéo, sont les applications les plus difficiles,
que vous pouvez gérer sur votre réseau, car elles sont très sensibles :
• | Au retard (Delay)
• | À la gigue (Jitter)
OUTILS QOS
Nous avons parlé un peu de la raison pour laquelle nous avons besoin de la
QoS et des différents types d'applications qui ont des exigences
différentes.
| On va maintenant aborder rapidement les outils à utiliser pour
implémenter la QoS:
• | Le Shaping et le Policing:
sont utilisés pour limiter le trafic.
CLASSIFICATION ET MARQUAGE
(CLASSIFICATION AND MARKING)
| Par exemple, dans un paquet IP, ce sera le | champ ToS (Type of Service)
qui sera utilisé pour marquer le paquet.
| Et dans une trame Ethernet, comme ils n’ont pas de champ ToS, le
marquage se fera dans le | champ « Tag » qui est déjà utilisé pour marquer
les trunks et les vlan.
| Voici une illustration pour vous aider à visualiser la classification et le
marquage :
Sur cette topologie, nous avons :
• un Commutateur
• un routeur
• un téléphone IP
• et un PC.
Le commutateur reçoit des paquets du téléphone IP et du PC.
Il est configuré pour classer ces paquets à l'aide d'une access-list sur ses
interfaces.
Le commutateur marque ensuite les paquets IP à l'aide du champ ToS de
l'en-tête IP.
Sur le nouveau schéma, on peut voir que la première file d'attente est
maintenant rattachée | au processus LLQ (Low Latency Queuing).
Chaque fois qu'un paquet est ajouté à la file d'attente de sorties 1, | il est
immédiatement transféré, et toutes les autres files d'attente doivent
attendre.
Alors, il est important de fixer une limite à la file d'attente prioritaire, car
sinon, il est possible que le planificateur soit tellement occupé à
transmettre des paquets à partir de la file d'attente prioritaire que les
autres files d'attente ne soient jamais traitées...
Et lorsque ces files d'attente sont saturées, et bien les paquets sont
directement supprimés.
Le faite de prioriser une file d’attente ajoute un autre problème…
Imaginé maintenant que vous ayez tellement de trafic vocal, que ça sature
la file prioritaire… Et bien les paquets en surplus seront aussi supprimés…
| Ce qui affecterait énormément les appels vocaux.
POLICING ET SHAPING
Le policing et le shaping, sont deux outils de QoS qui sont utilisés pour
limiter le débit.
| Le policing, limite le trafic en le rejetant, tandis que le shaping, maintient
les paquets dans une file d’attente, ce qui peut ajouter du retard.
POLICING
| Le policing, est souvent utilisé par les fournisseurs d’accès à internet, qui
doivent limiter le débit de leurs clients.
Par exemple, sur la topologie, nous avons un client à gauche et un routeur
FAI à droite, connectés à l’aide d’interface Gigabit Ethernet.
SHAPING
| Nous allons maintenant passer au deuxième outil permettant de limiter le
trafic.
Nous avons vu que le « policing » pouvait interrompre le trafic, s’il dépasse
son | CIR (Committed Information Rate).
Et bien pour éviter d’interrompre le trafic brutalement, il est possible
d’implémenter une mise en forme côté client, | qui se fait appeler
« Shaping ».
Le principe du « Shaping » est de mettre les messages en file d’attente, le
temps que le taux du CIR (Committed Information Rate) redescende en
dessous de sa limite.
| Sans « shaping » d’activer, voilà à quoi ressemblerais le débit du client :
CONGESTION AVOIDANCE
| Nous allons maintenant passer au dernier outil QOS, qui est là l’évitement
de la congestion.
Pour comprendre son fonctionnement, on va d’abord parler de TCP.
Le protocole TCP contrôle son flux à l'aide d’un mécanisme qui se fait
appeler| « Windows Size ».
Ça permet au récepteur d’indiquer à l'expéditeur le nombre d'octets à
envoyer avant d'attendre un accusé de réception.
Quand il n’y a aucune perte de paquets, la taille de la fenêtre augmente du
double.
Ces outils éliminent certains segments TCP avant que les files d'attente ne
se remplissent, ce qui réduit l'encombrement et évite qu’un plus grand
nombre de paquets soit supprimé…
La principale stratégie de ces outils, c’est de supprimer eux-mêmes les
paquets, pour que l’appareil en jette beaucoup moins, qu’il n’en aurait dû,
sur le long terme…
• | Et une fois que le seuil maximum est dépassé, et bien, tous les
paquets seront supprimés.
SNMP
Dans ce cours, nous allons parler de la gestion du réseau.
On va examiner différents protocoles qui permettent de gérer l'ensemble
d’un réseau, à l'aide d'un |logiciel NMS
Imaginez que vous ayez un grand réseau avec :
• des switch,
• des routeurs,
• des serveurs
• les ordinateurs,
• imprimantes
• et routeurs,
partagent certaines caractéristiques.
Si vous voulez faire des tests, je vous conseille |Eyes of network, qui est
gratuit et Français !
Sinon, vous avez |Centreon, qui reste le plus utiliser en entreprise !
CONFIGURATION SNMP
On va maintenant passer à la| configuration !
Dans la version 1 de SNMP, on créer d’abord une access-list pour
n’autoriser que notre serveur de supervision.
• |Leurs noms
• |Leurs adresses IP
|Et pour le désactiver seulement sur une interface, il faut faire un « no cdp
enable » sur l’interface en question.
LLDP
|Passons maintenant au protocole LLDP.
C’ est un protocole destiné à remplacer un bon nombre de protocoles
propriétaires comme CDP.
Il est aussi utilisé pour la découverte des réseaux, et fonctionne comme
CDP, c’est-à-dire en envoyant des messages à intervalles réguliers pour
découvrir ses voisins !
|Le mot « transmit » est pour l’envoi des lldp, et le mot | « receive » est pour
la réception !
• -Telnet
• -SSH
• -DHCP.
• -Et TACACS
|Ce dernier est un protocole, qui permet de centraliser l’authentification
de ses propres équipements. C’est-à-dire, avec un seul compte !
Une seconde pratique serait de désactiver le protocole |CDP sur les
interfaces qui pourraient représenter un risque.
C’est-à-dire en globalité !
SPOOFING ATTACK
| Passons maintenant aux attaques de déni de service, qui sont aussi très
rependues.
Dans le fonctionnement normal d'une application métier, les clients
ouvrent des connexions aux serveurs d'entreprise pour échanger des
informations.
C’est-à-dire que, les utilisateurs ouvrent un navigateur Web vers le site de
l'entreprise, ce qui a pour effet, d’ouvrir une connexion TCP avec ce
dernier. Et c’est à ce moment, que des échanges peuvent avoir lieu, ou
bien, qu’une transaction puisse être effectuée.
Alors, si tous les utilisateurs se comportent bien, les serveurs d’entreprises
ne devraient jamais être surchargés.
Ce qui veut dire que de nombreuses transactions peuvent avoir lieu sans
problème…
ATTAQUES DE RÉFLEXION ET
D'AMPLIFICATION
ATTAQUES DE RECONNAISSANCE
• Etc.
Avec ces informations, l’attaquant pourra lancer des « ping » à chaque
adresse IP de la plage cible.
Les hôtes qui répondront à ces pings, deviendront alors des cibles
potentielles.
Il y’a même, des outils qui permette de balayer des numéros de ports TCP
et UDP, permettant de savoir, sur quel numéro, un hôte répondrait.
| Nous allons maintenant passer à une attaque qui surcharge les Buffers.
Les systèmes d'exploitation et les applications lisent et écrivent les
données, normalement à l'aide de tampons.
MALWARE
| Passons maintenant au « Malware »
TROJAN
| Par exemple, un cheval de Troie (Trojan) est un logiciel malveillant caché
et empaqueté dans un autre logiciel qui semble normal et légitime.
Si un utilisateur décide de l'installer, alors le cheval de Troie sera aussi
installé, mais en mode silencieux.
Il pourra, par la suite, exécuter ses propres attaques sur le système, et
même sur d'autres systèmes.
Ce type de Malware, ne peut se propager d’un ordinateur à un autre, que
par une interaction avec l’utilisateur.
Comme par exemple :
WORM
| Un autre type de « Malware » capable de se propager sur d’autres
systèmes pour les infecter est le « Ver » (Worm).
Ici, c’est l’attaquant, qui va développer un logiciel contenant le « Ver » et le
déposera sur un autre système.
C’est à partir de ce moment-là que le « Ver » se répliquera et contaminera
d’autres systèmes, au travers de leurs vulnérabilités.
| Pour résumer, voici un tableau qui répertorie les types de Malwares que
nous avons vus.
ADWARE
| Nous avons aussi le « Adware » qui, quand on est affecté, va afficher de la
publicité sur notre système.
SPYWARE
| Pour finir sur les « Malwares », il y’a le « Spyware », qui est un logiciel
espion, capable de surveiller votre activité.
Par exemple il est capable de récupérer vos données de carte bleue, si
vous acheter sur un site e-commerce.
VULNÉRABILITÉS HUMAINES
| Il existe encore de nombreuses autres attaques qui peuvent réussir en
exploitant les faiblesses des humains qui utilisent des systèmes
informatiques.
SOCIAL ENGINEERING
| Une attaque assez simple pourrait se baser simplement sur la confiance
humaine (Social engineering).
Par exemple, un attaquant pourrait se faire passer pour un membre du
personnel informatique et de ce faite, tenter de contacter des utilisateurs
légitimes, par différents moyens, comme :
• Leurs identifiants
PHISHING
| Une autre méthode d’attaque par vulnérabilité humaine, est le très
connu : « phishing ».
C’est une technique que les attaquants utilisent pour inciter les victimes à
visiter des sites Web malveillants.
L'idée est de tromper les utilisateurs pour qu’ils saisissent leurs
informations confidentielles.
SPEAR PHISHING
| Il existe aussi le phishing ciblé (Spear phishing), qui va se concentrer sur
un groupe d'utilisateurs similaires, par exemple de la même entreprise, et
qui va leur envoyer un email convaincant, c’est-à-dire avec l’entête de
l’entreprise, et l'email contiendra un lien vers un site malveillant.
WHALING
| Un autre type d’attaque est le « Whaling » qui se traduit littéralement en
anglais par « La chasse à la baleine ».
C’est très similaire au précédent, sauf que la cible concerne plus des
personnes de haut niveau, que ce soit dans des entreprises, ou bien aux
gouvernements.
VISHING
| Le « Vishing » est une attaque qui se produit sur des communications
téléphoniques.
SMISHING
| Le « Smishing » porte sur les messages texto.
PHARMING
| Le « pharming » est aussi une attaque qui consiste à envoyer des victimes
sur un site Web malveillant, sauf qu’il va le faire de manière plus
transparente et vicieuse…
C’est-à-dire qu’il est capable de modifier un service DNS, ou bien le fichier
« host » du PC.
Comme ça, dès que la victime saisira l’adresse du site web dans son
navigateur, et bien elle sera renvoyée vers le site malveillant.
WATERING HOLE
| Et la dernière attaque de phishing (Watering hole) est une technique, ou
l’attaquant va carrément déposer un Malware sur le site officiel que la
victime consulte régulièrement. Et ce Malware infectera que la victime
concernée, en laissant les autres utilisateurs indemnes.
VULNÉRABILITÉS DE MOT DE PASSE
• | Motdepasse
• | Ou bien : motdepasse123
• | Ou encore 123456
| Et bien sûr, éviter aussi, le couple utilisateur/mot de passe en : |
Admin/admin
Un hacker peut soit tenter de trouver le mot de passe manuellement,
c’est-à-dire en les essayant 1par1, ou bien à l’aide d’un logiciel, qui va
utiliser un dictionnaire de mot de passe les plus courant, pour tenter de
deviner celui de l’utilisateur.
Ce type de méthode risque tout de même de prendre un certain temps, et
peut même être consommatrice en ressource informatique…
Pour atténuer le risque des attaques par mot de passe, une entreprise doit
implémenter des stratégies sur l’ensemble de ces utilisateurs.
| Par exemple, elle pourrait imposer de longs mots de passe, composés
d'une combinaison de caractères majuscules et minuscules ainsi que des
chiffres et même de certains caractères spéciaux.
L'objectif est de rendre le mot de passe très complexe, pour qu’il soit
difficile à trouver par une attaque de mot de passe.
De plus, l’idéal serait même, d’exiger qu’ils soient modifiés régulièrement,
pour que les longues attaques de mot de passe, n’ai pas le temps de le
trouver.
• | Un Certificat numérique
• | la reconnaissance faciale
• | la reconnaissance vocale
• | la reconnaissance de l'iris
Une bonne approche, que pourrait avoir une entreprise pour améliorer la
sécurité, serait | d’éduquer ses utilisateurs par le biais d'un programme de
sécurité d'entreprise.
La plupart des utilisateurs n’ont pas forcément de notions d’informatique,
ce qui les rend vulnérables aux attaques extérieures.
Par exemple, si les utilisateurs de l'entreprise reçoivent un e-mail
contenant une menace dissimulée, et bien, ils pourraient être tentés de
suivre un lien du mail pointant vers un site malveillant.
Ce qui aurait comme effet d’infecter l'ordinateur de l’utilisateur, en
ouvrant une porte, c’est-à-dire un accès, qui introduirait un logiciel
malveillant ou un ver…
C’est pourquoi il est important de sensibiliser ses utilisateurs à
l’informatique, afin d’en améliorer la sécurité.
Pour une sécurité efficace, ce programme d’accompagnement devra
porter sur plusieurs éléments de base :
• Les utilisateurs
• les applications
• |Authentification
• |Autorisation
• |Et Accounting.
Que l’on peut traduire par comptabilité ou bien aussi par traçabilité.
|Le premier A, pour l’Authentification, consiste à déterminer si l’utilisateur ou
l’équipement est bien celui qu’il prêtant être, à l’aide d’une authentification nom
d’utilisateur/mot de passe, ou bien avec à un certificat.
|Le second A, pour Autorisation, détermine les droits de l’utilisateur sur les différentes
ressources du réseau.
• le RADUIS
• et le TACACS.
|Le protocole RADIUS est basé sur un système client/serveur, qui est chargé de définir
les accès utilisateurs sur le réseau.
C’est le protocole qu’utilisent les fournisseurs d'accès à internet, car il propose des
fonctionnalités de comptabilité, qui leur permet de facturer précisément leurs clients.
|Et le protocole TACACS, fonctionne de la même manière, sauf qu’il est plutôt utilisé
sur des plates-formes UNIX.
Que l’on utilise Radius ou TACACS+, toutes les demandes d'authentification sont
transmises au serveur 3A, et c’est ce dernier, qui autorisera ou non l’utilisateur.
Avant terminer le cours, on va voir les différentes étapes de son fonctionnement.
|Pour commencer, le client est invité à entrer un nom d’utilisateur et un mot de passe.
|Ensuite, le périphérique réseau transmet une demande d’accès au serveur Radius ou
Tacacs, avec les données de connexion de l’utilisateur.
|Le serveur d’authentification valide cette demande de connexion, et récupère les
droits liés au client.
|Et pour finir, le client reçoit l’accord ou non de s’authentifier sur le réseau.
|Que ce soit :
• des virus,
• Pirates informatiques
• -une authentification
Il est possible d’ajouter encore une autre couche de sécurité, pour les
mots de passe qui circulent dans le réseau ou qui sont stockés sur un
serveur TFTP.
|La commande « exec-timeout » ajoute une tempo, pour éviter que l’accès
reste connecté, lorsque l’admin s’absente de son bureau !
Même si ce cryptage est faible, car il est facilement déchiffrable, c’est tout
de même mieux qu’un mot de passe en clair dans la running-config de
l’IOS !
Vous pouvez voir que l’ensemble| des mots de passe sont affichés en
clair…
Ce qui n’est pas très bon pour la sécurité, car toute personne ayant accès à
ce fichier de configuration aura les mots de passe...
Pour corriger ça, il existe une commande qui nous permet de crypter tous
les mots de passe de la configuration.
|Il s’agit de la commande « service password-encryption »
Il faut commencer par se connecter sur l’interface. Ici c’est la Fast Ethernet
0/0. On lui affecte ensuite une adresse IP comme pour le switch, avec la
commande « ip address »
maintenant qu’on est bon sur les IP’s, retournons sur notre switch, et
allons lui configurer un accès Telnet pour que l’on puisse se connecter | à
distance :
|Et la commande « show ssh » permet de voir si une session SSH est en
cours. Dans l’exemple, on voit que l’utilisateur1 est connecté !
BANNIÈRE DE CONNEXION
|Il est possible de configurer une bannière d'accueil qui sera affichée
lorsqu’un utilisateur se connectera sur l’IOS ! Ce message peut être un
message d’avertissement, ou bien pour informer d’une prochaine mise à
jour !
Dans ce cours, nous allons examiner les rôles de deux différents types
d’appareils réseau:
• | Comme pour les ACL sur un routeur, le firewall fait correspondre les
adresses IP source et de destination.
ZONES DE SÉCURITÉ
| Les Firewall’s filtrent non seulement les paquets, mais font également
très attention à l'hôte qui initie les communications.
Ils utilisent une logique qui considère l'hôte, en observant ces segments
TCP.
| Par exemple, sur le schéma, pour que les pc des utilisateurs de gauche
puissent accéder au serveur web se trouvant derrière internet, il faut
ouvrir une route.
Le problème, c’est que l’entreprise, ne souhaite pas que des utilisateurs
qui se trouvent sur le réseau du serveur web, puisse accéder, par exemple,
à leur serveur de paye.
C’est là qu’intervient le pare-feu, car ils utilisent un concept en forme de
zone. C’est-à-dire qu’il y’a des règles qui définissent quel hôte peut initier
des connexions d'une zone à une autre.
L’avantage de segmenter en plusieurs zones, c’est que le pare-feu peut
placer plusieurs de ces interfaces dans une même zone, dans le but de
récupérer les règles de sécurité de la zone.
Sur le schéma, la zone intérieure, qui est celle de l’entreprise, est
considérée comme étant dans une zone distincte par rapport aux
interfaces connectées vers Internet.
Par exemple, on pourrait placer une règle sur le Firewall, qui autoriserait
les hôtes de la zone intérieurs, à établir des connexions avec les hôtes de
la zone à l'extérieur, sur un ensemble de ports spécifiques, comme le port
80 pour le HTTP.
Juste avec cette règle, les utilisateurs de gauche peuvent démarrer des
sessions avec le serveur web situé sur internet.
Et comme les pare-feu interdisent généralement tout le trafic, hors mis,
celui ce ces propres règles, et bien, les utilisateurs d’un autre réseau ne
pourraient pas établir de session, sur le réseau de l’entreprise.
La plupart des entreprises disposent donc, d’une zone intérieure et
extérieure. | Elles peuvent aussi avoir une troisième zone, qui se nomme :
la zone DMZ (DeMilitarized Zone).
Il s’agit d’une zone de sécurité du pare-feu, utilisée pour placer des
serveurs qui doivent être disponibles par des utilisateurs de l’internet.
Sur le schéma, on voit la zone DMZ, qui contient 2 serveurs web,
connecter directement au pare-feu.
Le pare-feu devra donc avoir une règle, qui permet aux utilisateurs de la
zone extérieure d'établir des connexions avec les serveurs Web de
l’entreprise, dans la DMZ.
La faite de séparer les serveurs Web dans la DMZ, cela permet à
l’entreprise d’empêcher les utilisateurs d’Internet d’accéder aux
périphériques de la zone intérieure.
• | DDoS
• | Les Vers
• | Et les Virus
Le principe de base est identique au fonctionnement d’un antivirus sur un
pc utilisateur, sauf que l'IPS réagira plus rapidement, aux nouvelles
menaces, dans le but de protéger les hôtes.
PORT SECURITY
|Si on fait un « show running-config », on voit bien que nos deux interfaces
sont désactivées, car elles sont marquées : |Shutdown et qu’elles font
partit du |vlan 99 !
Dans l’idéal, si on a un switch qui possède 24 ports et que seulement 3
ports sont utilisés, alors il faudrait désactiver les 21 autres ports qui ne
sont pas utilisés…
• |Il y’a le mode Restrict: qui est identique au précédent, sauf qu’il
garde une trace de la violation dans son journal et génère même une
trappe SNMP. Ce qui est très utile, si on utilise un serveur de
supervision. Il incrémente aussi un compteur, qui permet de savoir
combien de violation de sécurité, il y’a eu .
Admettons que nous souhaitons configurer une sécurité sur le Port Fast
Ethernet 0/3 avec :
SWITCH-PORT SECURITY
|Pour régler le laps de temps soit même, il faut tapez cette commande :
• Protect,
• Restrict,
• ou shutdown.
C’est un message qui contient une adresse IP, que le PC pourra utiliser. Le
serveur peut aussi fournir une passerelle par défaut, l’adresse du serveur
DNS et plein d’autres options.
DHCP SNOOPING
Les serveurs DHCP jouent un rôle vital dans la plupart des réseaux
d'aujourd'hui.
| La plupart des périphériques réseau utilisent le DHCP pour obtenir :
• | une adresse IP
• | Un masque de sous-réseau
Sur les grands réseaux, le serveur DHCP, se trouve généralement bien plus
éloigné. Si une personne malveillante lance un serveur DHCP dans le
même sous-réseau où se trouve la cible, et bien ce sera probablement lui,
qui répondra le plus rapidement à la demande du client.
Si l’attaque réussie, et bien le faux serveur DHCP, pourrait attribuer au
client sa propre adresse IP comme passerelle par défaut.
C’est ce qu’on appelle comme type d’attaque « Man-in-the-middle », que
nous avons déjà détaillé précédemment.
Un autre type d’attaque possible, serait que le faux DHCP, envoie sa
propre adresse IP, en tant que serveur DNS, dans le but, par exemple,
d’usurper des Sites Web.
Le PC malveillant, pourrait même, envoyer plein de message « DHCP
Discover » au vrai DHCP, dans le but, de lui faire épuiser tout son stock
d’adresse IP…
Alors, comment pouvons-nous arrêter toutes ces attaques ?
CONFIGURATION
| Pour faire simple, on va se baser sur ce type de topologie :
Une fois que la surveillance est activée, | toutes les interfaces par défaut
ne sont plus fiables, et ne laisse donc plus passer les messages de type
DHCP. C’est pourquoi il faut ouvrir les interfaces qui mènent vers le vrai
DHCP.
Dans l’exemple, on va donc se connecter sur l’interface 0/3 et lui fait faire
un | « ip dhcp snooping trust »
L’interface 0/3, qui mène droit au serveur DHCP, sera donc vue, comme
une interface fiable pour laisser passer les messages DHCP.
Il est possible aussi de limiter le nombre de paquets DHCP, que l'interface
pourra recevoir.
CONFIGURATION DAI
| Voici la topologie que nous utiliserons :
Maintenant que nous sommes sûrs que ces ports font partit du même
VLAN, | nous pouvons configurer le DHCP snooping:
Comme on peut le voir d’après les logs du switch, | toutes les requêtes
ARP de l’attaquant ont été abandonnées !
Le switch vérifie sa table ARP, et les compare avec les informations de la
base de données du « DHCP Snooping ».
Comme il ne voit aucune correspondance, les paquets sont donc
supprimés.
| La commande « show ip arp inspection» permet de voir le nombre de
paquets ARP abandonnés :
Alors tout ça, c’est bien, puisque l’attaquant a pu être stoppé, mais par
contre, depuis la mise en place de l’inspection dynamique ARP, nous
avons un autre problème.
| Avant de voir ça, on va | fermer le port de l’attaquant, en lui faisant un
« shutdown »
L’inspection dynamique de l’ARP autorise tous les paquets ARP sur des
interfaces de confiance.
C’est-à-dire trusté !
| Avant de terminer le cours, nous allons parler rapidement de la
commande « ip arp inspection limit rate »
Par défaut, le trafic ARP est limité à 15 paquets par secondes sur les
interfaces non trustées, c’est-à-dire qui ne sont pas de confiance.
Dans l’exemple, on passe de 15 à 10 paquets par seconde pour l’interface
0/1.
| Et la dernière chose que nous allons voir est la commande « ip arp
inspection validate » suivie d’un « ? » :
• |La Couche d'accès, qui fournit des points d'extrémité. C’est ici que
les utilisateurs ont un accès direct au réseau.
• |Et la Couche Core, qui donne une connectivité pour les couches de
distribution. Très utile dans des environnements LAN de grande
taille
Elle fournit une connectivité filaire et sans fil, et contient aussi des
fonctionnalités et services qui garantissent la sécurité et le bon
fonctionnement du réseau.
|La couche d'accès donne une connectivité avec une très grande bande
passante, afin de pouvoir prendre en charge un pique de Traffic quand les
utilisateurs effectuent plusieurs tâches sur le réseau. Ça peut être par
exemple, un envoi de mail avec de grosses pièces jointes ou bien
l'ouverture d'un fichier sur un serveur distant .
|Lors de la conception de la couche d'accès, il faut s'assurer que le réseau
soit disponible pour tous les utilisateurs qui en ont besoin.
Un LAN (Local Area Network) est, comme son nom l'indique, un réseau
local.
| Ce réseau peut être aussi petit que deux ordinateurs connectés ou bien
plus grands, c’est-à-dire, avec des milliers d'appareils connectés.
La mise en réseau sans fil se base aussi sur des normes publiées par l'IEEE.
• Le DSL
• Le Câble
• Le satellite,
• Ou bien la 4G
pour communiquer avec le fournisseur d'accès Internet (FAI ou ISP).
Chez vous, vous utilisez probablement | un routeur qui ressemble à l’un de
ceux-là :
• | Un routeur
• | Un switch
LAN D'ENTREPRISE
Le PoE est une technologie que nous utilisons pour alimenter les appareils
par les câbles standard du réseau Ethernet.
• | Téléphones VoIP
• | Caméras IP
MIDSPAN ET ENDSPAN
On va maintenant voir comment il est possible d’alimenter un câble
Ethernet.
| Un appareil qui permet de fournir une alimentation par le câble se fait
appeler : | Power Sourcing Equipement. On retrouve ce terme sous les
initiales de « PSE ».
Pour fournir une alimentation, il existe deux options :
• | Le Endspan
• | Et le MidSpan
ENDSPAN
| La méthode PoE « endspan » utilise un commutateur avec du PoE
d’intégré. En général, sur les commutateurs Cisco, les ports qui fournissent
une alimentation sont | encadrés en jaune.
Lorsqu’un appareil est connecté au commutateur, il sera détecté
automatiquement s’il est compatible PoE.
Si c’est le cas, alors l’alimentation sera activée.
Les commutateurs PoE sont disponibles en plusieurs tailles et il est
possible que seuls certains ports soient compatibles PoE.
MIDSPAN
| L’autre méthode d’alimentation est la méthode PoE « midspan » qui
permet d’ajouter la technologie PoE sans devoir remplacer ses propres
commutateurs non PoE.
Ce sont des appareils intelligents et, comme un commutateur PoE, ils
permettent aussi de détecter | si l’équipement alimenté (PD : Powered
Device) a besoin d’Énergie.
Ce type d’appareil est très utile, si on n’a que très peu d’équipement à
alimenter.
Les injecteurs PoE sont utiles lorsque vous ne disposez que de quelques
appareils à alimenter.
| Il existe même de petits injecteurs PoE, que l’on peut utiliser pour
alimenter qu’un seul appareil :
AVANTAGES ET INCONVÉNIENTS
TYPE 1
| Le type 1 est le premier standard PoE (802.3af) de 2003 qui fournit jusqu'à
15,4 W de courant continu à chaque appareil.
On peut l’utiliser avec des câbles UTP de catégorie 3 ou 5 .
Ce type est très utile pour les téléphones VoIP, les points d'accès sans fil à
double radio et les caméras IP, qui n’ont pas de fonction motorisée
TYPE 2
| Le deuxième standard PoE (802.3at) date de 2009 et s'appelle « PoE + ».
Il peut fournir jusqu'à 25,5 W, et demande un câble UTP minimum de
catégorie 5.
Le type 2 est donc utile pour les appareils qui demandent plus de
puissance, comme des caméras IP motorisées, c’est-à-dire | avec la
fonction PTZ (Pan Tilt Zoom) , des points d'accès sans fil avec plus de trois
radios, mais aussi des moniteurs LCD ou des tablettes.
TYPE 3
| Le type 3, est le UPoE (Universal Power over Ethernet) qui se fait aussi
appelé, le PoE haute puissance.
Pour ça, il utilise les quatre paires de fils et prend en charge jusqu’a deux
fois de puissance que le type 2. C’est-à-dire qu’il peut monter jusqu'à 60
W, pour chaque appareil.
Très utiles pour alimenter par exemple de petits commutateurs réseau.
TYPE 4
| Et le type 4, qui est basé sur la même norme que le type 3, la norme
802.3bt, se fait appeler UpoE+ (Universal Power over Ethernet +).
Il permet de fournir une puissance de 100w par port, et utilise aussi les 4
paires du câble !
Ce qui permet d’être utilisé pour des ordinateurs portables ou même pour
des téléviseurs.
AVANTAGES
| On va commencer par voir 4 avantages d’utiliser le PoE :
DÉSAVANTAGES
• | Ou bien, le Metro-Ethernet
Le métro Ethernet permet à une entreprise qui possède plusieurs sites
distants d’être interconnectée.
Le Metro Ethernet a d'abord été utilisé en dehors du LAN dans les zones
métropolitaines, | C’est-à-dire dans les MAN (Metropolitan Area Network).
Comme il s’agit de longues distances, le câblage se fait en fibre optique.
TOPOLOGIE DE NIVEAU 2
On peut voir qu’il est possible de couvrir des distances allant jusqu’à 100
km et d’une bande passante de 100 Gb/s.
| À la base, le Metro Ethernet était utilisé uniquement dans les zones
métropolitaines, c'est pourquoi il s'appelle Ethernet «Metro».
Aujourd’hui, on l’utilise même sur des liaisons WAN de longue distance.
Alors, du point de vue du client, c'est comme si vous étiez connecté à un
commutateur standard:
Comme il utilise les normes Ethernet, il va pouvoir relier les entreprises en
fibre optique | en passant par un switch central.
| Plus besoin, d’utiliser du Frame-Relay, le protocole PPP, ou de l’HDLC.
TOPOLOGIE DE NIVEAU 3
Cette topologie est utile si vous avez un site central et quelques autres
sites qui ont principalement besoin d'accéder aux ressources du site
central.
Alors la communication entre CE2 et CE3, est toujours possible, mais il
faudra remonter obligatoirement sur le routeur principal, le CE1.
WAN
• comme de la voix,
• des données
• et de la vidéo.
C’est le WAN, qui permet à des salariés d’une entreprise située en province dans un
petit bureau de pouvoir communiquer avec leur siège social.
TOPOLOGIE WAN
|Nous allons maintenant voir les différentes topologies WAN.
• |Et la dernière Topologie WAN, est celle qui est partiellement maillée :
CONNECTIVITE WAN
|Nous allons maintenant, parler de la connectivité WAN.
• -HDLC
• -Et PPP
• |Et on à PPP, qui lui, est normalisé, supporte les liaisons synchrones
et asynchrones. Et possède une authentification avec les protocoles
PAP et CHAP.
Dans ces liaisons, nos équipements peuvent porter deux rôles différents :
|Dans un VPN MPLS de couche 3, un sous-réseau IP, bien distinct, est utilisé sur
chacun des sites client.
Comme on peut le voir sur la représentation du VPN géré par l’entreprise, il permet
aux périphériques du siège social à droite d’envoyer et de recevoir des données avec
ses succursales à gauche, comme si elles étaient directement connectées.
|Nous allons maintenant voir, différentes options de sécurité du VPN de site à site .
• On à NCP
• et LCP
LCP se charge de la mise en place du lien.
Et NCP s’assure que l’on puisse envoyer divers protocoles IP sur ce lien.
|On déclare nos IP sur les interfaces, et on active le protocole PPP avec la
commande « encapsulation ppp » .
Ensuite il faut bien lui spécifier qu’on utilise l’authentification PAP avec la
commande « ppp authentication pap » |et pour finir, on lui dit de se
présenter avec l’identifiant qui aura été configuré sur l’autre routeur !
PPP MULTILINK
|Parmi les nouveautés de la dernière version du CCNA, se trouve la
configuration d’agrégation de liens série PPP, plus connue sous le nom de
PPP Multilink.
Comme un Etherchannel en Ethernet, le PPP Multilink permet de
regrouper virtuellement plusieurs liaisons en une seule interface virtuelle.
Avec un| « show ip interface brief », on voit que le routeur 1 à obtenue une
|adresse IP du serveur PPPoE, qui est le routeur2.
Cette adresse IP se trouve |sur l'interface virtuelle et non sur l'interface
physique FastEthernet0/1.
|La commande show pppoe session affiche les sessions qui sont établies.
• |on à IBGP
• |et EBGP
Le| iBGP est utilisé à l'intérieur d'un AS alors que| EBGP est utilisé entre
deux AS.
Comme nous pouvons le voir sur cette topologie, le tunnel GRE ressemble
à un lien normal, sauf qu’il est virtuel.
Il faut donc lui configurer une IP, et on utilisera le réseau 192.168.10.0.
• et le routeur 2, l’IP en .2
Passons à la configuration d'un tunnel GRE pour voir comment il
fonctionne !
Les routeurs 1 et 2 peuvent se rejoindre, grâce au routeur du fournisseur
d’accès à internet !
SERVEURS PHYSIQUES
• | 1 Service d'annuaire
• | 1 Serveur dns
• | 1 Serveur de messagerie
• | 1 serveur Web
• Etc.
| Dans les data center, comme l'espace physique est devenu très cher, il
est donc plus courant d'y voir des | serveurs en rack comme celui-ci :
Par la suite sont arrivé des serveurs | « Blade » qui permettent d’offrir plus
de puissance de calcul et mémoire, tout en utilisant beaucoup moins
d’espace :
Sur l’image, on peut voir plusieurs emplacements « Blade » qui tiennent
dans un rack de serveur.
Les serveurs « Blade » ont des processeurs, de la mémoire, ainsi que du
stockage, et s’insèrent directement dans les boitiers « Blade ».
VIRTUALISATION DE SERVEUR
| Au cours de la dernière décennie, le nombre de cœurs dans un seul
processeur a augmenté très rapidement.
Nous sommes passés de processeurs simple cœur à des processeurs
double cœur, puis à quatre cœurs et maintenant il existe même des
processeurs avec plus de 10 à 20 cœurs.
Il y’a même une technique qui porte le nom de | « hyperthreading » où
nous avons deux cœurs virtuels pour chaque cœur physique.
Ici, nous avons en plus, | l’Hyperviseur qui permet de gérer l’ensemble des
machines virtuelles qui font tourner leurs propres systèmes d’exploitation.
Parmi les quelques sociétés qui proposent des solutions de virtualisation
de serveur, nous avons :
• | VMware
• | Microsoft HyperV
• | Citrix Xenserver
CLOUD PUBLIC
L’ensemble des services que l’on a vu dans le cours précédent sont tous
gérés par un fournisseur de cloud.
• | Amazon AWS
• | Microsoft Azure
• | IBM
| Maintenant que vous avez une idée de ce qu’est le cloud, nous allons
examiner de plus près, les différentes options sur la façon dont nous
pouvons nous connecter au cloud.
INTERNET
AVANTAGE
• | On a ensuite de la Disponibilité :
Une connexion internet est très facile à obtenir et de plus, elle est
disponible de partout.
• | Le 3e avantage est dans le cas d’une Migration:
Par exemple, si vous souhaitez changer de fournisseur de cloud, et
bien comme il sont tous connectés à internet, il n’y a pas besoin de
changer votre connexion.
INCONVÉNIENTS:
WAN PRIVE
| Une autre méthode de connexion est le WAN privé.
AVANTAGES:
INCONVÉNIENTS :
ÉCHANGE INTERCLOUD
Disons que nous avons une entreprise avec des milliers d'utilisateurs.
Ils ont leur propre datacenter, avec des racks remplis de serveurs et des
centaines de machines virtuelles.
Cette entreprise possède aussi différents départements, dont un avec des
développeurs qui travaillent sur une nouvelle application web.
| L'un des développeurs souhaite tester ses applications et pour ce faire, a
besoin d’un serveur web.
Le workflow va donc ressembler fortement à ceci:
• | On à du « Libre-service à la demande »:
Le client doit pouvoir obtenir un service automatiquement, et ce,
sans intermédiaire. Il doit aussi, être capable de supprimer ce même
service.
• | Et on à un « Service mesuré »:
Le fournisseur de cloud mesure toute l'utilisation des ressources
pour la facturation et la transparence.
MODÈLE DE SERVICES
| Lorsque vous créez une nouvelle machine virtuelle, vous pouvez choisir |
le système d'exploitation que vous souhaitez utiliser
Comme vous pouvez le voir, | vous avez même la possibilité de créer une
machine virtuelle gratuite.
En quelques minutes, et après quelques clics, votre nouvelle machine
virtuelle sera opérationnelle.
En tant que développeur, vous n’avez pas envie de vous soucier des
détails des machines virtuelles, et aussi de l’installation de logiciels.
| C’est pourquoi il existe chez amazon, une solution de plate-forme en tant
que service, qui s’appelle « Elastic Beanstalk ».
La seule chose que vous avez à faire est de télécharger votre application
et de l'exécuter.
| Google aussi a son propre service de plate-forme en tant que service, qui
s’appelle « App Engine »
SAAS (SOFTWARE AS A SERVICE)
| Et le logiciel en tant que service, est une application que l’on peut
souscrire et utilisée immédiatement, sans avoir à installer quoi que ce soit.
• Gmail
• Google drive
• etc.
Avec les logiciels en tant que service, vous payez pour l’utilisation de
l'application, et le fournisseur du cloud s'occupe de l'installation et de la
maintenance des serveurs virtuels.
NETFLOW
NETFLOW
Dans ce cours nous allons parler de l’architecture de |Netflow !
• il faut d’abord lui spécifier la direction que l’on souhaite surveiller. C’est-à-dire
en entrant, en sortant, ou bien les deux !
Dans cet exemple nous activons netflow, | en entrée et en sortit, sur l’interface 0/1 de
notre routeur.
La version de netflow peut être configurée avec cette |commande :
STACKING
La technologie Cisco StackWise |permet de connecter plusieurs switchs
intelligemment, pour créer un seul switch virtuel, où chaque unité de switch est
interconnectée avec soi :
CLOUD COMPUTING
|On va maintenant du Cloud Computing.
• |des serveurs
• du stockage
• composants réseau
• logiciels
• outils d’analyse
• etc.
Qui sont fourni |par Internet, c’est-à-dire le nuage.
Les sociétés qui proposent ces services informatiques sont des fournisseurs de
services cloud.
Elles facturent en général ces services en fonction de l’utilisation, un peu comme sa
facture d’eau ou d’électricité chez soi.
De manière générale, on parle de Cloud Computing lorsqu’il est possible d’accéder à
des données ou à des programmes depuis internet.
C’ est une méthode qui permet d’héberger une application dans le cloud avec aussi
toute l’infrastructure qui lui permet de fonctionner.
Le SDN, vise à découpler, |dans un équipement réseau, la partie plan de données |de
la partie plan de contrôle.
RÉSEAU TRADITIONNEL
• | Des routeurs
• | Des commutateurs
• | Le TTL (Time to Live), qui est la durée de vie d’un paquet IP, doit
être diminué de « 1 », et le « checksum » de l’en-tête IP doit être
recalculée.
Toutes ces différentes tâches, que nous venons de voir sont séparées par |
différents plans. En tout, il y’en a 3, on a :
1. | Le plan de contrôle (Control plane)
2. | Le plan Data (Data plane)
3. | Et le plan de gestion (Management plane)
PLAN DE GESTION
L’ API est une interface logicielle qui permet à une application de donner
accès à d'autres applications en utilisant des fonctions et des structures
de données prédéfinies qu’on détaillera dans la suite du cours.
On va maintenant détailler les | 3 types d’interfaces sud, les plus
populaires :
API REST
| Nous avons vu que les interfaces nord et sud utilisent des | API
(Application Programming Interface).
Nous allons maintenant examiner de plus près, ce qu’est une API.
Les contrôleurs SDN utilisent généralement une | API REST (Application
Programming Interface REpresentational State Transfer), qui permet
d’utiliser des messages « http » pour envoyer et recevoir des informations
entre le contrôleur SDN et une autre application.
Il s’agit des mêmes messages « http » que l’on utilise lorsque l’on parcourt
une page Web sur Internet ou lorsqu’on saisit un formulaire de contact,
par exemple :
Il est fort probable que dans un futur proche, nous utiliserons plus souvent
l’API que la CLI.
Alors est-ce que les admin réseau devraient s’inquiéter de l’arrivée de la
programmation dans le réseau ?
Et bien je ne pense pas…
Car un programmeur peut être très fort dans les langages de
programmation, comme C++, Java ou python, mais il aura forcément
besoin de connaissance en réseau.
• | des routeurs
• | des commutateurs
• | des pare-feux
• etc.
Il y a aussi énormément de choses | dans la topologie logique, il y’a :
• | des VLAN
• | des VRF
• | des ACL’s
• et ainsi de suite.
Et tout ça, se configure en principe, manuellement, avec peut-être un
petit peu d’automatisation du réseau pour nous faciliter la vie.
• | La Fabric
• | Le contrôleur APIC-EM
• | Et le DNA center
FABRIC
• | les routeurs
• | commutateurs
• etc.
Cela inclut l’ensemble des périphériques qui tourne sous IOS et IOS XE.
Pour configurer les périphériques de la « Fabric », il faut utiliser des API.
La CLI, reste comme même disponible pour le dépannage.
| La « Fabric » contient trois composants clés:
• | Le Plan de données (Data) : qui lui est basé sur un Lan Virtuel
Extensible. (VXLAN : Virtual Extensibe LAN)
CONTRÔLEUR APIC-EM
DNA CENTER
• | De configuration
• | De sécurité
• | Et d’analyse
du réseau d’entreprise, que ce soit dans le | LAN, le WLAN, ou le WAN.
La gestion du réseau en devient donc plus simple, ce qui permet
d’accélérer les changements et de répondre plus rapidement aux besoins
des métiers.
• | Le « Design »
• | Le « Policy »
• | Provision
• | Et Assurance
DESIGN
| Dans l’onglet « Design », c'est là que vous concevez l'ensemble de votre
réseau.
Vous pouvez :
• | Paramétrer le réseau
POLICY
| Le « policy » c’est la politique que nous configurons sur tout ce qui est lié
aux stratégies réseau.
C’est-à-dire qu’il suffit de créer, ses propres stratégies et le « DNA
Center » s’occupe de les traduire en configuration sur l’ensemble des
périphériques matériels de la topologie.
PROVISION
| Dans l’onglet « provision » , c'est là où l’on ajoute les nouveaux appareils
au réseau et qu’on applique les stratégies réseau aux appareils.
ASSURANCE
| Et le dernier onglet est l'endroit où l’on peut surveiller l'ensemble du
réseau.
Il est possible de voir un aperçu de tous les périphériques réseau, des
clients sans fil et des applications.
| On peut donc surveiller l'état de santé et avoir une vue d'ensemble de
tous les problèmes du réseau.
NDP
| Et le NDP (Network Data Platform) une plateforme qui permet de
traduire les différentes données d’analyses et de les synthétisés pour
l’entreprise.
On peut surveiller tout ce que le NDP recueille via le DNA Center.
API « APPLICATION PROGRAM
INTERFACE »
Alors même si | l’acronyme fait peur, une API c’est simplement une
interface logicielle, qui permet à d'autres applications de communiquer
avec sa propre application.
D’ailleurs « API » signifie « Application Programming Interface », et le mot
le plus important à | retenir est « Interface ».
C’est le mot le plus simple, car nous utilisons tous des interfaces au
quotidien.
Et bien, les sites web et applications ont besoin de la même chose pour
communiquer et s’échanger des données.
SANS ÉTAT
| Dans une configuration sans état, le serveur ne stocke aucun état
concernant les demandes qu’il a déjà reçu.
Par exemple, il ne sait pas si un client a déjà demandé une ressource juste
avant.
Et il ne permet pas non plus de savoir quelles ressources ont été
demandées par un client.
Le fait d’être “sans état” signifie que le serveur n’a aucune idée de l’état du
client entre deux requêtes.
Ce qui permet de gagner en performance.
CACHEABLE
VARIABLES SIMPLES
• | des comparaisons
• | en prenant des décisions
VARIABLES DE LISTE ET DE
DICTIONNAIRE
Les API utilisent des formats de données pour échanger des informations.
Dans ce cours, nous allons voir les modèles et structures de données, les
plus populaires.
FORMATS DE DONNÉES
| Les API utilisent souvent trois formats de données très courants qui sont :
• | Le XML (Extensible Markup Language)
C’est un langage qui s’oriente sur des balises et si vous connaissez déjà le
HTML, alors il vous semblera familier.
Chaque élément que vous ajoutez doit commencer par le signe | « plus
petit que » et se terminer par le signe | « plus grand que ».
Comme le montre l’exemple, où l’on peut voir des informations sur un |
routeur Cisco CSR1000V, et un | routeur 1921.
On va maintenant comparer | une sortie CLI et XML.
Dans la sortie CLI, on peut voir le résultat de la commande « show arp » :
Si on regarde bien les deux formats, on peut voir qu’en XML, | nous avons 2
balises.
Lorsque l’on travaille avec des fichiers XML, JSON ou YAML, | l’idéal est
d’utiliser un éditeur de texte pour se simplifier la vie, et avoir une meilleure
visualisation.
Par exemple le logiciel « Visual Studio Code » est idéal pour ce type de
fichier. |
PUPPET, CHEF ET ANSIBLE
OUTILS DE GESTION DE LA
CONFIGURATION
| Les serveurs et les périphériques réseau doivent être maintenus à jour en
permanence.
Imaginez maintenant que vous devez installer une mise à jour sur des
centaines de serveurs, ou même créer un VLAN sur une dizaine de
commutateurs.
COOPÉRATION
CONTRÔLE DE VERSION
COMPATIBILITÉ
Et le dernier avantage porte sur | une grande compatibilité.
Par exemple si vous utilisez Linux, il est possible que vous ayez différentes
distributions comme Ubuntu et CentOS.
AGENT VS AGENTLESS
| On va maintenant voir en détail les différents outils qui gèrent la
configuration.
Il en existe deux types :
Les outils | « Puppet » et « Chef » sont deux exemples d'outils basés sur des
agents.
Puppet est développé en | Ruby, et utilise son propre langage pour créer
et gérer des modules.
D’ailleurs son langage se base beaucoup sur le | protocole REST
(Representational state transfer).
La version libre de « Puppet » permet de gérer les déploiements système
et applicatif, et accepte certaines machines virtuelles de chez Amazon.
Et la version commerciale permet en plus :
CHEF
ANSIBLE
| Et le dernier logiciel qu’on va voir, c’est « Ansible »
GIT
• | GitHub
• | GitLab
• | Et Bitbucket
Ces sites Web vous permettent de créer des référentiels Git, mais ont
également des outils pour que vous puissiez facilement collaborer avec
d'autres développeurs.
Vous pouvez y soumettre des problèmes, laisser des commentaires, etc.
Alors, expliquer le fonctionnement en détail de « Git », sort du programme
CCNA.
Cependant, si vous souhaitez en savoir plus, il existe un excellent tuto
d’introduction pour apprendre les bases de « Git ».
| Voici le lien pour y accéder :
https://guides.github.com/activities/hello-world/
CONCLUSION
Dans cette leçon, nous avons parlé des outils de gestion de configuration
et des systèmes de contrôle de version.
• l'automatisation du réseau
• la gestion de la configuration