Académique Documents
Professionnel Documents
Culture Documents
TPE
UE : FONDAMENTAUX DES LAN
TP 4: Protocole STP
Diagramme de topologie
Table d’adressage
Configurez un mot de passe class pour le mode d’exécution ; cisco pour les
connexions de console et cisco pour les connexions vty.
Note : On peut empêcher l'accès au mode privilège et aux modes suivants par un mot de passe. Deux
commande sont disponibles, l'une sans encryption et l'autre avec l'encryption MD5.
Router(config)#line con 0
Router(config-line)#password mot-de-passe
Router(config-line)#login
Router(config-line)#exit
Router(config)#line vty 0 4
Router(config-line)#password mot-de-passe
Router(config-line)#login
Router(config-line)#exit
Étape 2. Vérification des réseaux locaux virtuels créés sur le commutateur Comm1
Utilisez la commande show vlan brief pour vérifier si les réseaux locaux virtuels ont
effectivement été créés. Comm1#show vlan brief
Étape 3. Configuration et attribution de noms aux réseaux locaux virtuels sur les
commutateurs Comm2 et Comm3
Créez et attribuez des noms aux VLAN 10, 20, 30 et 99 sur les commutateurs 2 et 3 à l’aide
des commandes de l’étape 1. Vérifiez l’exactitude de la configuration à l’aide de la
commande show vlan brief.
Étape 4. Affectation des ports du commutateur aux réseaux locaux virtuels sur les
commutateurs Comm2 et Comm3
Reportez-vous à la table d’affectation des ports. Les ports sont affectés aux réseaux locaux
virtuels en mode de configuration d’interface à l’aide de la commande switchport access
vlan id-vlan. Packet Tracer évalue uniquement la première interface dans chaque plage (à
savoir l’interface à laquelle est connecté l’ordinateur). En règle générale, vous utilisez la
commande interface range. Ceci dit, Packet Tracer ne la prend pas en charge.
Comm2(config)#interface fastEthernet0/6
Comm2(config-if)#switchport access vlan 30
Comm2(config-if)#interface fastEthernet0/11
Comm2(config-if)#switchport access vlan 10
Comm2(config-if)#interface fastEthernet0/18
Comm2(config-if)#switchport access vlan 20
Comm2(config-if)#end
Comm2#copy running-config startup-config Destination filename [startup-config]?
[entrée]
Building configuration... [OK]
Remarque : le réseau local virtuel d’accès Fa0/11 est considéré comme incorrect pour le
moment. Vous le corrigerez ultérieurement dans le cadre de cet exercice. Utilisez les mêmes
commandes sur le commutateur Comm3.
Étape 7. Configuration de l’agrégation et du réseau local virtuel natif pour les ports
d’agrégation sur tous les commutateurs
Les agrégations sont des connexions entre les commutateurs permettant des échanges
d’informations pour tous les réseaux locaux virtuels. Un port d’agrégation fait partie par
défaut de tous les VLAN, contrairement à un port d’accès qui lui fait uniquement partie d’un
seul VLAN. Si le commutateur prend en charge ISL (Inter-switch Link) et l’encapsulation de
VLAN 802.1Q, les agrégations doivent préciser la méthode utilisée. Sachant que le
commutateur 2960 ne prend en charge que l’agrégation 802.1Q, cette précision n’est pas
donnée dans cet exercice. Un VLAN natif est affecté à un port d’agrégation 802.1Q. Dans la
topologie, le VLAN natif correspond au VLAN 99. Un port d’agrégation 802.1Q prend en
charge le trafic en provenance de nombreux VLAN (trafic étiqueté) et le trafic qui n’en
The aim of this lab is to check your ability to configure VTP and VLAN on a small network
of four switches.
1) Configure the VTP-SERVER switch as a VTP server
2) Connect to the 3 other switches and configure them as VTP clients.
All links between swiches must be configured as trunk lines.
3) Configure VTP domain name as "TESTDOMAIN" and VTP password as "cisco"
4) Configure VLAN 10 with name "STUDENTS" and VLAN 50 with name
"SERVERS"
5) Check propagation on all switches of the VTP domain.
Network diagram
Verify the VTP configuration using the "show vtp status command"
Connect to the 3 other switches and configure them as VTP clients. All links between
swiches must be configured as trunk lines.
VTP-CLIENT3(config)#vtp mode client
Verify the VTP configuration using the "show vtp status command"
interface GigabitEthernet1/2
switchport mode trunk
2) On the server :
VTP-SERVER(config)#vtp domain TESTDOMAIN
VTP-SERVER(config)#vtp password cisco
3) On each client :
VTP-CLIENT1(config)#vtp password cisco
VTP-CLIENT1(config)#vtp domain TESTDOMAIN
Configure VLAN 10 with name "STUDENTS" and VLAN 50 with name "SERVERS"
VTP-SERVER(config)#vlan 10
VTP-SERVER(config-vlan)#name STUDENTS
VTP-SERVER(config-vlan)#name SERVERS
Use the "show vlan brief" on each switch to check propagation of the 2 VLANS.
Schéma de base :
Principe de base :
Quand un hôte d’un VLAN veut communiquer avec un hôte d’un autre VLAN, un routeur est
nécessaire.
La connectivité entre les VLAN peut être établie par le biais d’une connectivité physique ou
logique.
Une connectivité physique implique une connexion physique séparée pour chaque VLAN.
Cela signifie une interface physique distincte pour chaque VLAN.
Les premières configurations de VLAN reposaient sur des routeurs externes connectés à des
commutateurs compatibles VLAN. Avec cette approche, les routeurs traditionnels sont
connectés via une ou plusieurs liaisons à un réseau commuté. Les configurations «router-on-a-
1900:
Switch_A#config terminal
Switch_A(config)#vlan 10 name Sales
Switch_A(config)#vlan 20 name Support
Switch_A(config)#exit
1900:
Switch_A#config terminal
Switch_A(config)#interface ethernet 0/9
Switch_A(config-if)vlan static 20
Switch_A(config-if)#interface ethernet 0/10
Switch_A(config-if)vlan static 20
Switch_A(config-if)#interface ethernet 0/11
Switch_A(config-if)vlan static 20
Switch_A(config-if)#interface ethernet 0/12
Switch_A(config-if)vlan static 20
Switch_A(config-if)#end
2900:
Switch_A(config)#interface fastethernet0/1
Switch_A(config-if)#switchport mode trunk
Switch_A(config-if)#switchport trunk encapsulation dot1q
Switch_A(config-if)#end
1900: Le commutateur 1900 ne prend en charge que l'agrégation ISL, et pas dot1q..
Switch_A#config terminal
Switch_A(config)#interface fastethernet0/26
Switch_A(config-if)#trunk on
Résumé
Les commutateurs s'informent entre eux de leur statut et des chemins les plus courts, à
l'aide de trames spécifiques à STP appelées trames BPDU (pour Bridge Protocol Data Unit).
C'est le commutateur qui a l'ID la plus faible qui est « élu » ROOT. L'ID du commutateur est
constituée de 8 octets:
Les 2 premiers octets sont constitués de la priorité (fixée par la configuration),
obligatoirement multiple de 4096.
Les 6 octets suivants sont constitués par l'adresse MAC.
Ainsi, un commutateur qui possède la priorité 32768=8000H et l'adresse MAC
00.05.5D.69.3E.03 aura l'ID 80.00.00.05.5D.69.3E.03
La priorité peut être modifiée par la commande
(config)# spanning-tree vlan vlan priority priority
où l'argument priority peut prendre l'une des 15 valeurs suivantes: 4096, 8192, 12288,
16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, 61440.
Le protocole STP désigne trois types de ports : les ports racine, les ports désignés et les
ports bloqués.
o Port racine (Root Port) : Le port qui fournit le chemin au coût le plus bas vers le
pont racine devient le port racine. Pour calculer le chemin au coût le plus bas, les
commutateurs prennent en compte le coût de la bande passante de chaque liaison
requise pour atteindre le pont racine.
o Port désigné (Designated Port) : Un port désigné est un port qui transfère le trafic au
pont racine, mais ne se connecte pas au chemin d’accès au coût le plus bas.
o Port bloqué : Un port bloqué ne transfère pas de trafic.
Exemple
Objectifs :
• Mettre en évidence le protocole spanning tree.
• Créer de la redondance de liens dans le réseau.
Introduction
This TP provides a sample configuration for Fast EtherChannel (FEC) and IEEE 802.1Q
trunking between Cisco Catalyst Layer 2 (L2) fixed configuration switches and a Cisco
router.
The Catalyst L2 fixed configuration switches include the 2900/3500XL, 2940, 2950/2955,
and 2970 switches
Network Diagram
Note:
Native VLAN is the VLAN that you configure on the Catalyst interface before you
configure the trunking on that interface. By default, all interfaces are in VLAN 1. Therefore,
VLAN 1 is the native VLAN that you can change. On an 802.1Q trunk, all VLAN packets
except the native VLAN are tagged.
You must configure the native VLAN in the same way on each side of the trunk. Then, the
router or switch can recognize to which VLAN a frame belongs when the router or switch
receives a frame with no tag. In the diagram in this section, VLAN 10 has been configured as
the native VLAN. For interVLAN routing, be sure to configure the default gateway on all
Configurations
Cat2950#
Cat2950# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Cat2950(config)# vlan 10
Cat2950(config-vlan)# exit
Cat2950(config)# vlan 20
Cat2950(config-vlan)# exit
!
interface FastEthernet0/15
switchport access vlan 20
no ip address
!
interface FastEthernet0/26
switchport access vlan 20
no ip address
!
interface Vlan10
ip address 10.10.10.10 255.255.255.0
no ip route-cache
!
ip default-gateway 10.10.10.1
ip http server
!
!
line con 0
line vty 5 15
!
end
Cat2950#
Other example
1) Schéma du réseau
2) Configurations
Routeur RIP1
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname RIP4
RIP4(config)#interface FastEthernet 0/1
RIP4(config-if)#ip address 21.0.0.1 255.255.255.252
Routeur RIP2
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname RIP2
RIP2(config)#interface FastEthernet 0/0
RIP2(config-if)#ip address 21.0.0.2 255.255.255.252
RIP2(config-if)#no shutdown
Routeur RIP3
Routeur RIP4
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname RIP4
RIP4(config)#interface FastEthernet 0/1
RIP4(config-if)#ip address 24.0.0.1 255.255.255.252
RIP4(config-if)#no shutdown
Routeur RIP5
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname RIP5
RIP5(config)#interface FastEthernet 0/0
RIP5(config-if)#ip address 24.0.0.2 255.255.255.252
RIP5(config-if)#no shutdown
Routeur OSPF1
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname OSPF4
OSPF4(config)#interface FastEthernet 0/1
OSPF4(config-if)#ip address 11.0.0.1 255.255.255.252
OSPF4(config-if)#no shutdown
Routeur OSPF2
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname OSPF2
OSPF2(config)#interface FastEthernet 0/0
OSPF2(config-if)#ip address 11.0.0.2 255.255.255.252
OSPF2(config-if)#no shutdown
Routeur OSPF3
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname OSPF3
OSPF3config)#interface FastEthernet 0/0
OSPF3(config-if)#ip address 12.0.0.2 255.255.255.252
OSPF3(config-if)#no shutdown
Routeur OSPF4
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname OSPF4
OSPF4(config)#interface FastEthernet 0/1
OSPF4(config-if)#ip address 14.0.0.1 255.255.255.252
OSPF4(config-if)#no shutdown
Routeur OSPF5
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname OSPF5
OSPF5(config)#interface FastEthernet 0/0
OSPF5(config-if)#ip address 14.0.0.2 255.255.255.252
OSPF5(config-if)#no shutdown
3) Observations
RIP1 :
Nous pouvons remarquer que le routeur RIP1 connait bien les réseaux utilisant le protocole
RIP mais ne connait aucun des réseaux utilisant OSPF, et inversement pour le routeur OSPF1.
a) Configuration de base
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#hostname Routeur-central
Routeur-central(config)#interface FastEthernet 0/1
Routeur-central(config-if)#ip address 20.0.0.1 255.255.255.252
Routeur-central(config-if)#no shutdown
Routeur-central(config)#router rip
Routeur-central(config-router)#version 2
Routeur-central(config-router)#no auto-summary
Routeur-central(config-router)#network 10.0.0.0
Routeur-central(config-router)#network 20.0.0.0
Routeur-central(config-router)#end
b) Configuration de la redistribution
Routeur-central(config)#router rip
Routeur-central(config-router)#redistribute ospf 1
Routeur-central(config-router)#default -metric 5
Et pour finir nous configurons la redistribution des routes configurées via le protocole
RIP pour remplir les tables de routage OSPF.
Routeur-central(config)#router ospf 1
Routeur-central(config-router)#redistribute rip subnets
Routeur-central(config-router)#exit
5) Observations
RIP1
Nos interfaces sont maintenant configurées, il nous reste à configurer le routage. Nous
choisirons par exemple de faire du routage RIP
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.1.1.0
R1(config-router)#exit
b) Routeur R2
Même procédure pour notre routeur R2 :
On commence par le Hostname :
Router#configure terminal
Router(config)#hostname R2
c) Routeur R3
Même procédure pour notre routeur R3 :
On commence par le Hostname :
Router#configure terminal
Router(config)#hostname R3
4) Test de fonctionnement
Nous essayons de pinger le serveur depuis le PC :
5) Configuration du VPN
Il faut savoir que le VPN se configure juste sur les Routeurs d'extrémités dans notre cas R1
et R3 on n'aura aucune modification à faire sur R2.
a) Configuration VPN sur R1
Première étape
Commençons par notre routeur R1, vous devez vérifier que l'IOS de vos routeurs
supporte le VPN. On active ensuite les fonctions crypto du routeur :
R1(config)#crypto isakmp enable
Cette fonction est activée par défaut sur les IOS avec les options cryptographiques.
Deuxième étape
Nous allons configurer la police qui détermine quelle encryptions on utilise, quelle
Hash quelle type d'authentification, etc.
Cinquième étape
La 5éme étape consiste à créer une ACL qui va déterminer le trafic autorisé.
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Sixième étape
Dans cette dernière étape nous configurons la crypto map qui va associer l'access-list, le
trafic, et la destination :
Troisième étape
Ensuite nous devons configurer la clef :
R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1
ou
R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1
Quatrième étape
Configurons les options de transformations des données :
R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R3(config)#crypto ipsec security-association lifetime seconds 1800
Cinquième étape
La 5éme étape consiste à créer une ACL qui va déterminer le trafic autorisé.
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
Nous vérifions la map vpn (nous avon nommé cette map « vpn ») :
2) Schéma du réseau
Soit le réseau de la figure ci-dessus divisé en deux parties, le côté privé (réseau de
l’entreprise) et le côté publique (le FAI et Internet). le routeur ISP (qui représente le FAI), n’a
aucune connaissance des réseaux privés de l’entreprise et ne peut donc rien router à
destination des réseaux 192.168.x.x. Ces adresses sont réservées pour l’utilisation dans les
réseaux privés. Il en va de même pour toutes les adresses faisant parties des plages suivantes:
10.0.0.0/8 (de 10.0.0.0 à 10.255.255.255)
172.16.0.0/12 (de 172.16.0.0 à 172.31.255.255)
192.168.0.0/16 (de 192.168.0.0 à 192.168.255.255)
Dés lors, nous allons configurer le NAT afin de permettre un accès à Internet (simulé par
l’adresse 8.8.8.8/32 configurée sur une interface loopback de ISP):
Test de C1 à C2
Test de R1 à 8.8.8.8
On instruit donc ici le routeur de créer dynamiquement une translation pour les
paquets arrivant sur une interface « inside » routés par une interface « outside » dont
l’adresse IP source correspond à l’ACL 1 et de remplacer l’IP source par une de celles
comprises dans le pool POOL-NAT-LAN2.
Attention, si il y a plus de machine dans le réseau privé que d’adresses publiques
disponibles, il faut alors rajouter le mot clé « overload » à la commande:
Nous disons ici au routeur de translater les paquets provenant des adresses décrites
dans l’ACL 2 (192.168.0.0/24) et de remplacer l’adresse IP source par celle
configurée sur l’interface Serial 0/0 en la surchargeant pour permettre à plus d’une
machine de communiquer avec l’extérieur (PAT).
C1 (ainsi que toute machine de ce réseau) peut communiquer avec l’extérieur
désormais
On voit là que c’est bien l’adresse de S0/0 qui est utilisé pour remplacer l’IP source
du paquet.