Routage Cours Complet

Pourquoi devrais-je suivre ce module ?
Bienvenue à la configuration de base des périphériques !
Bienvenue dans le premier module du CCNA : Notions de base sur la commutation, le routage et
le sans-fil ! Vous savez que les commutateurs et les routeurs sont livrés avec une configuration
intégrée, alors pourquoi devriez-vous apprendre à configurer davantage les commutateurs et les
routeurs ?
Imaginez que vous avez acheté un modèle de train. Après l'avoir installé, vous avez réalisé que
la voie n'était qu'une simple forme ovale et que les wagons ne circulaient que dans le sens des
aiguilles d'une montre. Vous voudrez peut-être que la piste soit une forme de huit avec un
passage supérieur. Vous voudrez peut-être avoir deux trains qui fonctionnent indépendamment
l'un de l'autre et sont capables de se déplacer dans des directions différentes. Comment as-tu pu
faire ça ? Vous devrez reconfigurer la piste et les contrôles. C'est la même chose avec les
périphériques réseau. En tant qu'administrateur réseau, vous avez besoin d'un contrôle détaillé
des périphériques de votre réseau. Cela signifie configurer avec précision les commutateurs et
les routeurs afin que votre réseau fasse ce que vous voulez qu'il fasse. Ce module propose de
nombreuses activités de vérification de syntaxe et de Pocket Tracer pour vous aider à développer
ces compétences. C'est parti !
1.0.2
Qu'est-ce que je vais apprendre dans ce

module?
Titre du module: Configuration de base des périphériques
Objectif du module: Configurer les appareils en utilisant les bonnes pratiques de sécurité.
Légende du tableau
Titre du rubrique Objectif du rubrique
Configuration d'un commutateur avec les Configurer les paramètres d'origine sur un
paramètres d'origine commutateur Cisco.
Configurer les ports de commutateur pour répondre à

Configuration des ports de commutateur
la configuration réseau requise.
Configurer l'accès de gestion sécurisé sur un

Accès distant sécurisé
commutateur.
Configurer les paramètres de base d'un routeur pour

Configuration des paramètres de base d'un
passer entre deux réseaux directement connectés, en
routeur
utilisant le CLI.
Vérifier la connectivité entre deux réseaux qui sont

Vérification des réseaux directement connectés
directement connectés à un routeur.
1.0.3
Vidéo – Télécharger et installer Packet Tracer
Cette vidéo vous montrera comment télécharger et installer Packet Tracer. Vous utiliserez Packet
Tracer pour simuler la création et le test de réseaux sur votre ordinateur. Packet Tracer est un
logiciel amusant, à emporter chez soi et flexible qui vous donnera la possibilité d'utiliser les
représentations et les théories de réseau que vous venez d'apprendre pour construire des
modèles de réseau et explorer des réseaux locaux et étendus relativement complexes.
Les élèves utilisent généralement Packet Tracer pour:
 Se préparer à un examen de certification.

 Mettre en pratique ce qu'ils ont appris pendant les cours.
 Affiner leurs connaissances en vue d'un entretien d'embauche.
 Examiner l'impact de l'ajout de nouvelles technologies dans des conceptions de réseau existantes.
 Développer leurs compétences pour des postes dans le domaine de l'Internet des objets.
 Relever des challenges mondiaux de conception (examinez le challenge de conception PT7 2017
sur Facebook).
Packet Tracer est un outil de formation indispensable utilisé dans de nombreux cours de la Cisco
Networking Academy.
Pour obtenir et installer votre copie de Cisco Packet Tracer, suivez ces étapes :
Étape 1. Connectez-vous à votre Espace étudiant dans la Cisco Networking Academy.

Étape 2. Sélectionnez les ressources.
Étape 3. Sélectionnez Télécharger Packet Tracer.
Étape 4. Sélectionnez la version de Packet Tracer dont vous avez besoin.
Étape 5. Enregistrez le fichier sur votre ordinateur.
Étape 6. Lancez le programme d'installation de Packet Tracer.
Cliquez sur le bouton de lecture dans la vidéo pour voir une présentation détaillée du processus
de téléchargement et d'installation de Packet Tracer.
Play Video
1.0.4
Vidéo - Premiers pas avec Cisco Packet Tracer

Packet Tracer est un outil qui vous permet de simuler des réseaux réels. Il propose trois menus
principaux:
 Vous pouvez ajouter des périphériques et les connecter via des câbles ou sans fil.
 Vous pouvez sélectionner, supprimer, inspecter, étiqueter et regrouper des composants au sein de
votre réseau.
 Vous pouvez gérer votre réseau en ouvrant un réseau existant/échantillon, en enregistrant votre
réseau actuel et en modifiant votre profil utilisateur ou vos préférences.
Si vous avez utilisé un programme tel qu'un traitement de texte ou un tableur, vous êtes déjà
familiarisé avec les commandes du menu Fichier situées dans la barre de menu supérieure. Les
commandes Ouvrir, Enregistrer, Enregistrer sous et Quitter fonctionnent comme elles le feraient
pour n'importe quel programme, mais il existe deux commandes spéciales pour Packet Tracer.
La commande Ouvrir des échantillons affiche un répertoire d'exemples prédéfinis de

fonctionnalités et de configurations de divers périphériques réseau et Internet des objets inclus
dans Packet Tracer.
La commande Quitter et Déconnexion supprimera les informations d'enregistrement de cette

copie de Packet Tracer et demandera au prochain utilisateur de cette copie de Packet Tracer de
refaire la procédure de connexion.
Cliquez sur Lire dans la vidéo pour savoir comment utiliser les menus et comment créer votre
premier réseau Packet Tracer.
Play Video
1.0.5
Packet Tracer - Exploration en mode logique

et physique
Le modèle de réseau dans cette activité PTPM (Packet Tracer Physical Mode) intègre de
nombreuses technologies que vous pouvez maîtriser dans les cours Cisco Networking Academy.
Il représente une version simplifiée d'un réseau de PME.
La plupart des appareils de la filiale de Seward et du centre de données Warrenton sont déjà
déployés et configurés. Vous venez d'être embauché pour examiner les appareils et les réseaux
déployés. Il n'est pas important que vous compreniez tout ce que vous voyez et faites dans cette
activité. N'hésitez pas à explorer le réseau par vous-même. Si vous souhaitez poursuivre de
manière plus méthodique, procédez comme suit. Répondez de votre mieux aux questions.
1.1.1
Séquence de démarrage du commutateur

Avant de pouvoir configurer un commutateur, vous devez l'allumer et lui permettre de passer par
la séquence de démarrage en cinq étapes. Cette rubrique couvre les bases de la configuration
d'un commutateur et inclut un travail pratique à la fin.
Une fois qu'un commutateur Cisco est mis sous tension, il passe par la séquence de démarrage
suivante en cinq étapes :
Étape 1: Tout d'abord, le commutateur charge un programme auto-test de mise sous tension
(POST) stocké dans la ROM. POST vérifie le sous-système CPU. Il teste le processeur, la DRAM
et la partie du périphérique flash qui constitue le système de fichiers flash.
Étape 2: Le commutateur exécute ensuite le bootloader. Le chargeur de démarrage (boot loader)
est un petit programme stocké dans la ROM qui est exécuté immédiatement après la fin de
POST.
Étape 3: Le boot loader effectue une initialisation de bas niveau du CPU. Il initialise les registres
du processeur qui contrôlent l'emplacement auquel la mémoire physique est mappée, la quantité
de mémoire et sa vitesse.
Étape 4: Le boot loader initialise le système de fichiers flash sur la carte système.
Étape 5: Finalement, le chargeur de démarrage localise et charge dans la mémoire une image
par défaut du logiciel du système d'exploitation IOS et donne le contrôle du commutateur à l'IOS.
1.1.2
Commande boot system

Le commutateur tente de démarrer automatiquement en utilisant les informations de la variable
d'environnement BOOT. Si cette variable n'est pas définie, le commutateur tente de charger et
d'exécuter le premier fichier exécutable qu'il peut trouver. Sur les commutateurs de la série
Catalyst 2960, le fichier image est normalement contenu dans un répertoire portant le même nom
que le fichier image (à l'exclusion de l'extension de fichier .bin).
Le système d'exploitation IOS initialise ensuite les interfaces à l'aide des commandes Cisco IOS
figurant dans le fichier de configuration initiale. Le fichier startup-config est appelé config.text et
se trouve en flash.
Dans l'exemple, la variable d'environnement BOOT est définie à l'aide de la commande de mode
de configuration globale boot system. Notez que l'IOS se trouve dans un dossier distinct et que
le chemin d'accès au dossier est spécifié. Utilisez la commande show boot pour voir sur quoi le
fichier de démarrage IOS actuel est réglé.
S1(config)# boot system flash:/c2960-lanbasek9-mz.150-2.SE/c2960-
lanbasek9-mz.150-2.SE.bin
Le tableau définit chaque partie de la commande boot system.
Légende du tableau
Commande Définition
boot La commande principale

system
flash: Périphérique de stockage
c2960-
lanbasek9- Le chemin d'accès au système de fichiers
mz.150-
2.SE/
c2960-
lanbasek9- Le nom du fichier IOS
mz.150-
2.SE.bin
1.1.3
Indicateurs LED de commutation
Les commutateurs Cisco Catalyst ont plusieurs témoins lumineux LED. Vous pouvez utiliser les
LED du commutateur pour surveiller rapidement l'activité et les performances du commutateur.
Les commutateurs de différents modèles et ensembles de fonctionnalités auront différentes LED
et leur emplacement sur le panneau avant de l'interrupteur peut également varier.
La figure montre les voyants du commutateur et le bouton Mode d'un commutateur Cisco
Catalyst 2960.
La figure montre les voyants LED, le bouton de mode et les ports situés sur le côté avant gauche
d'un commutateur. Les voyants LED numérotés de 1 à 6 de haut en bas sont: SYST, RPS,
STAT, DUPLX, SPEED et PoE. Sous les voyants LED et étiqueté 7 dans la figure se trouve le
bouton de mode. Au-dessus des ports de commutation et étiquetés 8 dans la figure sont des
LEDs de port.
Le bouton Mode (7 sur la figure) permet de basculer sur l'état du port, le duplex du port, la vitesse
du port et, si pris en charge, l'état Power over Ethernet (PoE) des voyants de port (8 sur la
figure).
Cliquez sur chaque bouton pour apprendre le but des indicateurs LED (1 à 6 dans la figure), et la
signification de leurs couleurs:
1 SYST
2 RPS
3 STAT
4 DUPLX
5 SPEED
6 PoE
SYST LED
Indique si le système reçoit de l'énergie et fonctionne correctement. Si la LED est éteinte, le

système n'est pas alimenté. Si la LED est verte, le système fonctionne normalement. Si la LED
est ambre, le système reçoit de l'énergie mais ne fonctionne pas correctement.
1.1.4
Récupération après une panne de système

Le chargeur de démarrage permet d'accéder au commutateur si le système d'exploitation ne peut
être utilisé en raison de fichiers système manquants ou endommagés. Le chargeur de démarrage
dispose d'une ligne de commande qui permet d'accéder aux fichiers stockés dans la mémoire
flash.
Le chargeur de démarrage est accessible via une connexion à la console en suivant ces étapes :
Étape 1. Connectez un PC par un câble de console au port de console du commutateur.

Configurez le logiciel d'émulation de terminal pour le connecter au commutateur.
Étape 2. Débranchez le cordon d'alimentation du commutateur.
Étape 3. Rebranchez le cordon d'alimentation au commutateur et, dans les 15 secondes qui
suivent, appuyez sur le bouton Mode et maintenez-le enfoncé pendant que la LED du système
clignote encore en vert.
Étape 4. Continuez à appuyer sur le bouton Mode jusqu'à ce que le voyant lumineux du système
devienne brièvement orange puis vert fixe ; puis relâchez le bouton Mode.
Étape 5. L’invite switch: apparaît dans le logiciel d'émulation de terminal sur le PC.
Tapez help ou ? à l'invite du chargeur de démarrage pour afficher la liste des commandes
disponibles.
Par défaut, le commutateur tente de démarrer automatiquement en utilisant les informations de la

variable d'environnement BOOT. Pour afficher le chemin d'accès de la variable d'environnement
du commutateur, tapez la commande set. Ensuite, initialisez le système de fichiers flash à l'aide
de la commande flash_init pour afficher les fichiers actuels en flash, comme indiqué dans la
sortie.
switch: set
BOOT=flash:/c2960-lanbasek9-mz.122-55.SE7/c2960-lanbasek9-mz.122-
55.SE7.bin
(output omitted)
switch: flash_init
Initializing Flash...
flashfs[0]: 2 files, 1 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 32514048
flashfs[0]: Bytes used: 11838464
flashfs[0]: Bytes available: 20675584
flashfs[0]: flashfs fsck took 10 seconds.
...done Initializing Flash.
Une fois l'initialisation du flash est terminée, vous pouvez entrer la commande dir flash: pour
visualiser les répertoires et les fichiers en flash, comme indiqué dans la sortie.
switch: dir flash:
Directory of flash:/
2 -rwx 11834846 c2960-lanbasek9-mz.150-2.SE8.bin
3 -rwx 2072 multiple-fs
Entrez la commande BOOT=flash pour modifier le chemin de la variable d'environnement BOOT

que le commutateur utilise pour charger le nouvel IOS en flash. Pour vérifier le nouveau chemin
de la variable d'environnement BOOT, relancez la commande set. Enfin, pour charger le nouvel
IOS tapez la commande boot sans aucun argument, comme indiqué dans la sortie.
switch: BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
switch: set
BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
(output omitted)
switch: boot
Les commandes du chargeur de démarrage prennent en charge l'initialisation du flash, le

formatage du flash, l'installation d'un nouvel IOS, la modification de la variable d'environnement
BOOT et la récupération des mots de passe perdus ou oubliés.
1.1.5
Accès à la gestion des commutateurs

Pour préparer un commutateur pour l'accès à la gestion à distance, le commutateur doit être
configuré avec une adresse IP et un masque de sous-réseau. Gardez à l'esprit que pour gérer le
commutateur à partir d'un réseau distant, le commutateur doit être configuré avec une passerelle
par défaut. Ceci est très similaire à la configuration des informations d'adresse IP sur les
périphériques hôtes. Dans la figure, l'interface virtuelle du commutateur (SVI) sur S1 doit recevoir
une adresse IP. Le SVI est une interface virtuelle, pas un port physique sur le commutateur. Un
câble de console est utilisé pour se connecter à un PC afin que le commutateur puisse être
configuré initialement.
commutateur avec une connexion réseau à un routeur et une connexion par câble de console à
un PC hôte
2001:db8:acad:99::1/64172.17.99.1VLAN
99172.17.99.11/242001:db8:acad:99::11/64S1R1PC1R1
Câble console
1.1.6
Exemple de configuration du commutateur

SVI
Par défaut, le commutateur est configuré pour que sa gestion soit contrôlée par le VLAN 1. Tous
les ports sont attribués à VLAN 1 par défaut. Pour des raisons de sécurité, il est considéré
comme une bonne pratique d'utiliser un VLAN autre que le VLAN 1 pour la gestion du VLAN, tel
que le VLAN 99 dans l'exemple.
Cliquez sur chaque bouton pour connaître les étapes à suivre pour configurer l'accès à la gestion
des commutateurs.
Étape 1
Étape 2
Étape 3
Étape 1
Configurer l'interface de gestion
Depuis le mode de configuration de l'interface VLAN, une adresse IPv4 et un masque de sous-
réseau sont appliqués au SVI de gestion du commutateur.
Remarque: Le SVI pour VLAN 99 n'apparaîtra pas comme "up/up" jusqu'à ce que le VLAN 99
soit créé et qu'un appareil soit connecté à un port de commutation associé au VLAN 99.
Remarque: Le commutateur peut avoir besoin d'être configuré pour IPv6. Par exemple, avant de
pouvoir configurer l'adressage IPv6 sur un Cisco Catalyst 2960 fonctionnant sous IOS version
15.0, vous devrez entrer la commande de configuration globale sdm prefer dual-ipv4-and-ipv6
default et ensuite reload le commutateur.
TaskIOS CommandsEnter global configuration mode.S1# configureterminalEnter interface

configuration mode for the SVI.S1(config)# interface vlan 99Configurer l'interface de gestion IPv4
address.S1(config-if)# ip address 172.17.99.11 255.255.255.0Configurer l'interface de gestion IPv6
addressS1(config-if)# ipv6 address 2001:db8:acad:99::1/64Enable the management
interface.S1(config-if)# no shutdownReturn to the privileged EXEC mode.S1(config-if)# endSave the
running config to the startup config.S1# copy running-config startup-config
Tâche Commandes IOS
Passer en mode de configuration globale. S1# configure terminal
Passer en mode de configuration d'interface pour SVI. S1(config)# interface

vlan 99
S1(config-if)# ip
Configurer l'adresse IPv4 de l'interface de gestion. address 172.17.99.11
255.255.255.0
S1(config-if)# ipv6
Configurer l'adresse IPv6 de l'interface de gestion. address
2001:db8:acad:99::1/64
Activer l'interface de gestion. S1(config-if)# no

shutdown
Repasser en mode d'exécution privilégié. S1(config-if)# end

configuration mode for the SVI.S1(config)# interface vlan 99Configurer l'interface de gestion IPv4
address.S1(config-if)# ip address 172.17.99.11 255.255.255.0Configurer l'interface de gestion IPv6
addressS1(config-if)# ipv6 address 2001:db8:acad:99::1/64Enable the management
interface.S1(config-if)# no shutdownReturn to the privileged EXEC mode.S1(config-if)# endSave the
running config to the startup config.S1# copy running-config startup-config
Tâche Commandes IOS
Enregistrer la configuration en cours dans la configuration de S1# copy running-

démarrage. config startup-config
1.1.7
Travaux pratiques - Configuration de base du

commutateur
Possibilité de pratiquer des compétences
Vous avez la possibilité de pratiquer les compétences suivantes:
 Part 1: Câbler le réseau et vérifier la configuration par défaut du commutateur

 Part 2: Configurer les paramètres de base des périphériques réseau
 Part 3: Vérifier et tester la connectivité réseau
Vous pouvez pratiquer ces compétences à l'aide du Packet Tracer ou de l'équipement de

laboratoire, le cas échéant.
Packet Tracer - Mode physique (PTPM)

1.2.1
Communications bidirectionnelles
Les ports d'un commutateur peuvent être configurés indépendamment pour différents besoins.
Cette rubrique explique comment configurer les ports de commutateur, comment vérifier vos
configurations, les erreurs courantes et comment dépanner les problèmes de configuration de
commutateur.
Les communications bidirectionnelles simultanées augmentent la bande passante réelle, car les
deux extrémités de la connexion transmettent et reçoivent simultanément des données. C'est ce
qu'on appelle la communication bidirectionnelle et elle nécessite une microsegmentation. Un
réseau local microsegmenté est créé lorsqu'un port de commutateur n'a qu'un seul appareil
connecté et qu'il fonctionne en mode duplex intégral. Il n'y a pas de domaine de collision associé
à un port de commutateur fonctionnant en mode duplex intégral.
Contrairement à la communication en duplex intégral, la communication en semi-duplex est

unidirectionnelle. La communication en semi-duplex pose des problèmes de performance car les
données ne peuvent circuler que dans un seul sens à la fois, ce qui entraîne souvent des
collisions. Les connexions semi-duplex se retrouvent généralement sur des matériels plus
anciens, tels que les concentrateurs (hubs). La communication duplex intégral a remplacé le
semi-duplex dans la plupart des matériels.
La figure illustre la communication duplex intégral et semi-duplex.
La figure illustre la différence entre les communications duplex intégral et semi-duplex entre deux
commutateurs. Le diagramme du haut montre en duplex intégral avec des flèches dans les deux
sens le lien entre les deux commutateurs avec le texte : Envoyer ET recevoir, simultanément. Le
diagramme du bas montre un semi-duplex avec une seule flèche passant d'un interrupteur à
l'autre avec le texte : Envoyer OU recevoir.
PC4
Communication bidirectionnelle simultanée (duplex intégral)Communication bidirectionnelle non
simultanéeEnvoyer ET recevoir simultanémentEnvoyer OU recevoir
L'Ethernet Gigabit et les cartes réseau de 10 Gb nécessitent des connexions duplex intégral (full-
duplex) pour fonctionner. En mode duplex intégral, le circuit de détection de collision sur le NIC
est désactivé. Le duplex intégral offre une efficacité de 100 % dans les deux sens (émission et
réception). Il en résulte un doublement de l'utilisation potentielle de la largeur de bande indiquée.
1.2.2
Configuration des ports de commutateur au

niveau de la couche physique
Les ports de commutation peuvent être configurés manuellement avec des paramètres de duplex
et de vitesse spécifiques. Utilisez la commande de mode de configuration de
l'interface duplex pour spécifier manuellement le mode duplex pour un port de commutateur.
Utilisez la commande du mode de configuration de l'interface speed pour spécifier manuellement
la vitesse. Par exemple, les deux commutateurs de la topologie devraient toujours fonctionner en
duplex intégral à 100 Mbps.
topologie du réseau montrant une connexion entre deux commutateurs fonctionnant en mode full-
duplex à 100/Mpbs
PC1PC2S1S2F0/18F0/1F0/1
Mode duplex intégral 100 Mbit/sMode duplex intégral 100 Mbit/s
Le tableau présente les commandes pour S1. Les mêmes commandes peuvent être appliquées à
S2.
configuration mode.S1(config)# interface FastEthernet 0/1Configure the interface
duplex.S1(config-if)# duplex fullConfigure the interface speed.S1(config-if)# speed
100Return to the privileged EXEC mode.S1(config-if)# endSave the running config to the
startup config.S1# copy running-config startup-config
Commandes
Tâche
IOS
S1#
Passer en mode de configuration globale. configure
terminal
S1(config)#
interface
Passer en mode de configuration d'interface. FastEthernet
0/1
S1(config-
Configurer le mode bidirectionnel d'interface. if)# duplex
full
S1(config-
Configurer la vitesse d'interface if)# speed
100
S1(config-
Repasser en mode d'exécution privilégié. if)# end
S1# copy
running-
Enregistrer la configuration en cours dans la configuration de démarrage. config
startup-
config
Le paramètre de bidirectionnalité et de vitesse d'un port de commutateur Cisco Catalyst 2960 ou

3560 est auto. Les ports 10/100/1000 fonctionnent en mode semi-duplex ou full-duplex lorsqu'ils
sont réglés à 10 ou 100 Mbps et ne fonctionnent en mode full-duplex que lorsqu'il est réglé à
1000 Mbps (1 Gbps). L'auto-négociation est utile lorsque les paramètres de vitesse et de duplex
de l'appareil qui se connecte au port sont inconnus ou peuvent changer. Lors de la connexion à
des dispositifs connus tels que des serveurs, des postes de travail dédiés ou des dispositifs de
réseau, la meilleure pratique consiste à régler manuellement les paramètres de vitesse et de
duplex.
Lors du dépannage des problèmes de port de commutateur, il est important de vérifier les
paramètres duplex et de vitesse.
Remarque: Des paramètres incorrects relatifs au mode duplex ou au débit peuvent entraîner des
problèmes de connectivité. L'échec de l'auto-négociation crée des paramètres mal adaptés.
Tous les ports à fibre optique, tels que les ports 1000BASE-SX, ne fonctionnent qu'à une vitesse
prédéfinie et sont toujours en duplex intégral
1.2.3
Auto-MDIX
Jusqu'à récemment, certains types de câbles (droits ou croisés) étaient nécessaires pour le
raccordement des appareils. Connexions commutateur à commutateur ou commutateur à routeur
requises à l'aide de différents câbles Ethernet. L'utilisation de la fonction de croisement
automatique des interfaces dépendantes du support (auto-MDIX) sur une interface élimine ce
problème. Lorsque la fonction auto-MDIX est activée, l'interface détecte automatiquement le type
de connexion de câble requis (droit ou croisé) et configure la connexion de manière appropriée.
Pour la connexion aux commutateurs sans utiliser la fonctionnalité auto-MDIX, des câbles droits
doivent être utilisés pour connecter des périphériques tels que des serveurs, des stations de
travail ou des routeurs. Des câbles croisés doivent être utilisés pour se connecter à d'autres
commutateurs ou à des répéteurs.
Lorsque la fonction auto-MDIX est activée, le type de câble utilisé n'a pas d'importance.
L'interface s'adapte et fait en sorte d'assurer la communication. Sur les nouveaux commutateurs
Cisco, la commande du mode de configuration de l'interface mdix auto active cette fonction. Lors
de l'utilisation d'auto-MDIX sur une interface, la vitesse de l'interface et le duplex doivent être
réglés sur auto alors que la fonction fonctionne correctement.
La commande d'activation de l'auto-MDIX est émise en mode de configuration de l'interface sur

le commutateur comme indiqué:
S1(config-if)# mdix auto
Remarque: La fonction auto-MDIX est activée par défaut sur les commutateurs Catalyst 2960 et
Catalyst 3560 mais n'est pas disponible sur les anciens commutateurs Catalyst 2950 et Catalyst
3550.
Pour examiner le paramètre Auto-MDIX pour une interface spécifique, utilisez la

commande show controllers ethernet-controller avec le mot-clé phy. Pour limiter la sortie aux
lignes référençant Auto-, utilisez le filtre include Auto-MDIX. Comme indiqué, la sortie indique
On ou Off pour la fonction.
S1# show controllers ethernet-controller fa0/1 phy | include MDIX
Auto-MDIX : On [AdminState=1 Flags=0x00052248]

1.2.4
Commandes de vérification des commutateurs

Le tableau résume certaines des commandes de vérification des commutateurs les plus utiles.
TaskIOS CommandsDisplay interface status and configuration.S1# show interfaces
[interface-id]Display current startup configuration.S1# show startup-configDisplay current
operating config.S1# show running-configDisplay information about flash file system.S1#
show flashDisplay system hardware and software status.S1# showversionDisplay history of
command entered.S1# show historyDisplay IP informationabout an interface.S1# show ip
interface [interface-id]Display the MAC address table.S1# show mac-address-tableORS1#
show mac address-table
Commandes
Tâche
IOS
S1# show
interfaces
Afficher l'état et la configuration des interfaces. [interface-
id]
S1# show
Afficher la configuration initiale actuelle. startup-
config
S1# show
Afficher la configuration courante. running-
config
S1# show
Afficher les informations sur le système de fichiers Flash. flash
S1# show
Afficher l'état matériel et logiciel du système. version
S1# show
Afficher l'historique de la commande saisie. history
S1# show ip
interface
[interface-
id]
OU
Afficher les informations IP d'une interface. S1# show
ipv6
interface
[interface-
id]
S1# show
mac-
address-
table
Afficher la table d'adresses MAC. OU
S1# show
mac
address-
table
1.2.5
Vérification de la configuration du port du
commutateur
La commande show running-config peut être utilisée pour vérifier que le commutateur a été
correctement configuré. À partir de la sortie abrégée de l'échantillon sur S1, quelques
informations importantes sont présentées dans la figure:
 L'interface Fast Ethernet 0/18 est configurée avec le VLAN de gestion 99

 Le VLAN 99 est configuré avec une adresse IPv4 de 172.17.99.11 255.255.255.255.0
 La passerelle par défaut est fixée à 172.17.99.1
S1# show running-config
Building configuration...
Current configuration : 1466 bytes
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
(output omitted)
interface Vlan99
ip address 172.17.99.11 255.255.255.0
ipv6 address 2001:DB8:ACAD:99::1/64
ip default-gateway 172.17.99.1
La commande show interfaces est une autre commande couramment utilisée, qui affiche des
informations d'état et de statistiques sur les interfaces réseau du commutateur. La
commande show interfaces est fréquemment utilisée lors de la configuration et de la
surveillance des périphériques réseau.
La première ligne de la sortie de la commande show interfaces fastEthernet 0/18 indique que
l'interface FastEthernet 0/18 est up/up, ce qui signifie qu'elle est opérationnelle. Plus bas, la
sortie montre que le duplex est complet et que la vitesse est de 100 Mbps.
S1# show interfaces fastEthernet 0/18
FastEthernet0/18 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0025.83e6.9092 (bia

0025.83e6.9092)
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
1.2.6
Problèmes de la couche d'accès au réseau

La sortie de la commande show interfaces est utile pour détecter les problèmes de supports
courants. L'une des parties les plus importantes de cette sortie est l'affichage de l'état de la ligne
et du protocole de liaison de données, comme le montre l'exemple.
0025.83e6.9092)MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
Le premier paramètre (FastEthernet0/1 is up) fait référence à la couche matérielle et indique si

l’interface reçoit un signal de détection de porteuse. Le second paramètre (line protocol is up) fait
référence à la couche de liaison de données et indique si les messages de test d'activité du
protocole de couche liaison de données sont en cours de réception.
Sur la base des résultats de la commande show interfaces, les problèmes éventuels peuvent
être résolus comme suit :
 Si l’interface est active et que le protocole de ligne est désactivé, un problème existe. Il peut y avoir
une incompatibilité de type d'encapsulation, l'interface à l'autre extrémité peut être désactivée ou il
peut y avoir un problème matériel.
 Si le protocole de ligne et l'interface sont tous les deux en panne, un câble n'est pas connecté ou
un autre problème d'interface existe. Par exemple, dans une connexion dos à dos, l'autre extrémité
de la connexion peut être administrativement en panne. la commande* Si l'interface est
administrativement hors service, elle a été désactivée manuellement (la commande shutdown a
été émise) dans la configuration active
La sortie de la commande show interfaces affiche les compteurs et les statistiques pour
l'interface FastEtherNet0/18, comme indiqué dans l'exemple.

0025.83e6.9092)
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
2295197 packets input, 305539992 bytes, 0 no buffer

Received 1925500 broadcasts (74 multicasts)
0 runts, 0 giants, 0 throttles
3 input errors, 3 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 74 multicast, 0 pause input
0 input packets with dribble condition detected
3594664 packets output, 436549843 bytes, 0 underruns
8 output errors, 1790 collisions, 10 interface resets
0 unknown protocol drops
0 babbles, 235 late collision, 0 deferred
Certaines erreurs de support ne sont pas assez graves pour provoquer la défaillance du circuit,
mais causent des problèmes de performances réseau. Le tableau explique certaines de ces
erreurs courantes qui peuvent être détectées à l'aide de la commande show interfaces.
Error TypeDescriptionInput ErrorsTotal number of errors. Il comprend les runts, géants, pas de tampon, le
CRC, la trame, le dépassement et les comptes ignorés. Les paquets runts qui sont rejetées parce qu'elles
sont plus petites que la taille minimale du paquet pour le support. Par exemple, tout paquet Ethernet de
moins de 64 octets est considéré comme un runt. Les paquets géants qui sont rejetés parce qu'ils dépassent
la taille maximale du paquet pour le support. Par exemple, tout paquet Ethernet qui est supérieur à 1 518
octets est considéré comme un géant. Les erreurs CRC sont générées lorsque la somme de contrôle
calculée ne correspond pas à la somme de contrôle reçue. Somme des erreurs de sortie de toutes les erreurs
qui ont empêché la transmission finale des datagrammes hors de l'interface examinée. Nombre de
collisions de messages retransmis à cause d'une collision Ethernet. Collisions tardives Collision qui se
produit après que 512 bits de la trame ont été transmis.
Type d'erreur Description
Nombre total d'erreurs. Il comprend les runts, les géants, pas de tampon,
Erreurs en entrée
CRC, trame, dépassement et comptages ignorés.
Les paquets qui sont rejetés parce qu'ils sont plus petits que la taille
Trames incomplètes (Runts) minimale du paquet pour le support. Par exemple, tout paquet Ethernet de
moins de 64 octets est considéré comme un runt.
Les paquets qui sont rejetés parce qu'ils dépassent la taille maximale du
Trames géantes paquet pour le support. Par exemple, tout paquet Ethernet supérieur à 1 518
octets est considéré comme un géant.
Des erreurs CRC sont générées lorsque la somme de contrôle calculée n'est
CRC
pas la même que la somme de contrôle reçue.
Somme de toutes les erreurs qui ont empêché la transmission finale des
Erreurs en sortie
datagrammes de l'interface en cours d'examen.
Error TypeDescriptionInput ErrorsTotal number of errors. Il comprend les runts, géants, pas de tampon, le
CRC, la trame, le dépassement et les comptes ignorés. Les paquets runts qui sont rejetées parce qu'elles
sont plus petites que la taille minimale du paquet pour le support. Par exemple, tout paquet Ethernet de
moins de 64 octets est considéré comme un runt. Les paquets géants qui sont rejetés parce qu'ils dépassent
la taille maximale du paquet pour le support. Par exemple, tout paquet Ethernet qui est supérieur à 1 518
octets est considéré comme un géant. Les erreurs CRC sont générées lorsque la somme de contrôle
calculée ne correspond pas à la somme de contrôle reçue. Somme des erreurs de sortie de toutes les erreurs
qui ont empêché la transmission finale des datagrammes hors de l'interface examinée. Nombre de
collisions de messages retransmis à cause d'une collision Ethernet. Collisions tardives Collision qui se
produit après que 512 bits de la trame ont été transmis.
Type d'erreur Description
Collisions Nombre de messages retransmis à cause d'une collision Ethernet.
Une collision qui se produit après que 512 bits de la trame aient été
Collisions tardives
transmis.
1.2.7
Erreurs d'entrée et de sortie de l'interface

Les "erreurs de saisie" sont la somme de toutes les erreurs dans les datagrammes qui ont été
reçus sur l'interface examinée. Cela inclut les runts, les géants, le CRC, l'absence de tampon, les
trames, les dépassements et les comptes ignorés. Les erreurs de saisie signalées par la
commande show interfaces sont notamment les suivantes :
 Trames incomplètes(Runt Frames) -Les trames Ethernet qui sont plus courtes que la longueur
minimale autorisée de 64 octets sont appelées runts. Le mauvais fonctionnement des NIC est la
cause habituelle d'un nombre excessif de trames incomplètes, mais il peut aussi être causé par
des collisions.
 Géants - Les trames Ethernet qui dépassent la taille maximale autorisée sont appelées géants.
 Erreurs CRC - Sur les interfaces Ethernet et série, les erreurs CRC indiquent généralement une
erreur de support ou de câble. Parmi les causes les plus courantes, on compte les interférences
électriques, des connexions lâches ou endommagées, ou l'utilisation d'un câble incorrect. Si vous
constatez un nombre élevé d'erreurs CRC, la liaison présente un bruit trop important et vous
devriez vérifier le câble. Vous devez également rechercher les sources de bruit et les éliminer.
Les « erreurs en sortie » sont la somme de toutes les erreurs ayant empêché la transmission
finale des datagrammes vers l'interface examinée. Les erreurs de sortie signalées par la
commande show interfaces sont notamment les suivantes :
 Collisions - Les collisions dans les opérations en semi-duplex sont normales. Cependant, vous ne
devez pas observer de collisions sur une interface configurée pour la communication
bidirectionnelle simultanée.
 Collisions tardives - Une collision tardive est une collision qui se produit après que 512 bits de la
trame ont été transmis. Les longueurs de câble excessives sont la cause la plus fréquente de
collisions tardives. Une autre cause fréquente est la mauvaise configuration des duplex. Par
exemple, une extrémité d'une connexion peut être configurée pour le duplex intégral et l'autre pour
le semi-duplex. Vous verrez des collisions tardives sur l'interface configurée pour le semi-duplex.
Dans ce cas, vous devez configurer le même paramètre duplex aux deux extrémités. Un réseau
correctement conçu et configuré ne devrait jamais avoir de collisions tardives.
1.2.8
Dépannage des problèmes de la couche d'accès
au réseau
La plupart des problèmes qui affectent un réseau commuté sont rencontrés lors de
l'implémentation d'origine. Théoriquement, après son installation, un réseau continue à
fonctionner sans problèmes. Toutefois, le câblage est endommagé, les configurations changent
et de nouveaux périphériques sont connectés au commutateur qui nécessitent des modifications
de configuration du commutateur. Une maintenance continue et un dépannage de l'infrastructure
réseau sont nécessaires.
Pour dépanner les scénarios impliquant une absence de connexion, ou une mauvaise connexion,
entre un commutateur et un autre appareil, suivez le processus général indiqué dans la figure.
La figure est un diagramme de flux permettant de dépanner une mauvaise connexion ou aucune
connexion entre les périphériques réseau. L'étape supérieure consiste à réaliser un show
interfaces. Cela descend à la question, est-ce que l'interface est up? Si la réponse est non, cela
passe aux étapes suivantes : vérifier les câbles appropriés ; vérifier que les câbles et les
connecteurs ne sont pas endommagés ; et vérifier que la vitesse est correctement réglée aux
deux extrémités. Si la réponse est oui, cela passe aux étapes suivantes : existe-t-il des
indications d'EMI/bruit ? Si oui, retirez les sources ; et vérifiez que le paramètre duplex est
correctement réglé aux deux extrémités. Ceux-ci vont jusqu'à la question, est-ce que le problème
est résolu ? Si la réponse est non, l'étape suivante consiste à documenter le travail effectué et à
escalader le problème. Si la réponse est oui, alors terminé.
Lancez la commande show interfacesL'interface est-elle activée ?Le problème est-il résolu ?
 Du bruit ou des perturbations électromagnétiques sont-ils détectés ? Si oui, éliminez-en la source.

 Vérifiez que le paramètre de bidirectionnalité est correctement configuré aux deux extrémités.
Documentez le travail effectué et faites remonter le problème.Terminé
 Vérifiez que les câbles appropriés sont utilisés.

 Vérifiez que les câbles et les connecteurs ne sont pas endommagés.
 Vérifiez que la vitesse est correctement configurée aux deux extrémités.
OuiOuiNonNon
Utilisez la commande show interfaces pour vérifier l'état de l'interface.
Si l'interface est désactivée:
 Vérifiez que vous utilisez les bons câbles. De plus, vérifiez que le câble et les connecteurs ne sont
pas endommagés. Si vous soupçonnez un câble défectueux ou incorrect, remplacez le câble.
 Si l'interface est toujours en panne, le problème peut être dû à un décalage dans le réglage de la
vitesse. La vitesse d'une interface est généralement auto-négociée ; par conséquent, même si elle
est appliquée manuellement à une interface, l'interface de connexion devrait s'auto-négocier en
conséquence. Si un décalage de vitesse se produit à cause d'une mauvaise configuration, ou d'un
problème matériel ou logiciel, cela peut entraîner une panne de l'interface. Si vous suspectez un
problème, paramétrez manuellement une vitesse identique aux deux extrémités de la connexion.
Si l'interface est activée, mais que les problèmes de connectivité sont toujours présents :
En utilisant la commande show interfaces, vérifiez s'il y a des indications de bruit excessif. Les
indications peuvent inclure une augmentation des compteurs pour les runts, les géants et les
erreurs CRC. S'il y a un bruit excessif, d'abord trouver et supprimer la source du bruit, si possible.
Vérifiez également que le câble ne dépasse pas la longueur maximale du câble et vérifiez le type
de câble utilisé.
 Si le bruit n'est pas un problème, vérifiez les collisions excessives. S'il y a des collisions ou des
collisions tardives, vérifiez les paramètres duplex aux deux extrémités de la connexion. Tout
comme le paramètre de vitesse, le paramètre duplex est généralement négocié automatiquement.
S'il semble y avoir un décalage entre les duplex, réglez manuellement le duplex sur plein aux deux
extrémités de la connexion.
1.2.9
Vérificateur de syntaxe - Configurer les ports

de commutation
Configurer une interface de commutation basée sur les exigences spécifiées
Entrez dans le mode de configuration et réglez FastEthernet0/1 duplex, vitesse et MDIX sur auto
et enregistrez la configuration en NVRAM.
S1#
1.3.1
Opération Telnet
Il se peut que vous n'ayez pas toujours un accès direct à votre commutateur lorsque vous devez
le configurer. Vous devez pouvoir y accéder à distance et il est impératif que votre accès soit
sécurisé. Cette rubrique explique comment configurer Secure Shell (SSH) pour l'accès à
distance. Une activité de Packet Tracer vous donne l'occasion de l'essayer vous-même.
Telnet utilise le port TCP 23. Il s'agit d'un ancien protocole qui utilise la transmission non
sécurisée en texte clair à la fois de l'authentification de la connexion (nom d'utilisateur et mot de
passe) et des données transmises entre les dispositifs de communication. Un acteur de menace
peut surveiller les paquets à l'aide de Wireshark. Par exemple, dans la figure, l'acteur de menace
a capturé le nom d'utilisateur admin et le mot de passe ccna d'une session Telnet.
capture d'écran d'une session Telnet par WireShark montrant le nom d'utilisateur et le mot de
passe envoyés en texte clair
1.3.2
Opération SSH
Secure Shell (SSH) est un protocole sécurisé qui utilise le port TCP 22. Il fournit une connexion
de gestion sécurisée (cryptée) à un appareil distant. SSH doit remplacer Telnet pour les
connexions de gestion. SSH assure la sécurité des connexions à distance en fournissant un
cryptage fort lorsqu'un dispositif est authentifié (nom d'utilisateur et mot de passe) et également
pour les données transmises entre les dispositifs communicants.
Par exemple, la figure montre une capture Wireshark d'une session SSH. L'acteur de menace
peut suivre la session à l'aide de l'adresse IP du périphérique administrateur. Cependant,
contrairement à Telnet, avec SSH, le nom d'utilisateur et le mot de passe sont cryptés.
capture d'écran d'une session SSH par WireShark montrant que le nom d'utilisateur et le mot de
passe sont cryptés
1.3.3
Vérifiez que le commutateur prend en charge

SSH
Pour activer le SSH sur un commutateur Catalyst 2960, le commutateur doit utiliser une version
du logiciel IOS comprenant des fonctions et des capacités cryptographiques (cryptées). Utilisez la
commande show version du commutateur pour voir quel IOS le commutateur est en cours
d'exécution. Un nom de fichier IOS qui inclut la combinaison "k9" prend en charge les fonctions et
capacités cryptographiques (chiffrées). L'exemple montre le résultat de la commande show
version.
S1# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version
15.0(2)SE7, RELEASE SOFTWARE (fc1)

1.3.4
Configuration de SSH
Avant de configurer SSH, le commutateur doit être configuré au minimum avec un nom d'hôte
unique et les paramètres de connectivité réseau corrects.
Cliquez sur chaque bouton pour connaître les étapes de configuration des SSH.
Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Étape 6
Étape 1
Vérifier le support SSH.
Utilisez la commande show ip ssh pour vérifier que le commutateur supporte SSH. Si le
commutateur n'exécute pas un IOS qui prend en charge les fonctions cryptographiques, cette
commande n'est pas reconnue.
S1# show ip ssh
1.3.5
Vérifier que SSH est opérationnel

Sur un PC, un client SSH, par exemple PuTTY, est utilisé pour établir une connexion à un
serveur SSH. Par exemple, supposons que ce qui suit est configuré:
 SSH est activé sur le commutateur S1

 Interface VLAN 99 (SVI) avec l'adresse IPv4 172.17.99.11 sur le commutateur S1
 PC1 avec adresse IPv4 172.17.99.21
La figure montre les paramètres PuTTy du PC1 pour initier une connexion SSH à l'adresse IPv4
du VLAN SVI de S1.
La figure montre un hôte connecté à un commutateur et les paramètres PuTY pour initier une
connexion SSH au SVI du commutateur. L'hôte PC1, avec l'adresse 172.17.99.21, a une
connexion réseau à un commutateur S1, avec l'adresse 172.17.99.11. Une capture d'écran de la
configuration PuTY sur PC1 montre l'adresse 172.17.99.11 entrée dans la case sous Nom d'hôte
(ou adresse IP) et 22 entrée dans la case sous Port. SSH a été sélectionné comme type de
connexion.
172.17.99.11172.17.99.21PC1S1
Lorsqu'il est connecté, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe
comme indiqué dans l'exemple. En utilisant la configuration de l'exemple précédent, le nom
d'utilisateur admin et le mot de passe ccna sont entrés. Après avoir saisi la combinaison
adéquate, l'utilisateur est connecté via SSH à l'interface de ligne de commande du commutateur
Cisco Catalyst 2960.
Login as: admin
Using keyboard-interactive
Authentication.
Password:
S1> enable
Password:
S1#
Pour afficher la version et les données de configuration de SSH sur l'appareil que vous avez
configuré comme serveur SSH, utilisez la commande show ip ssh. Dans l'exemple, SSH
version 2 est activé.
S1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
To check the SSH connections to the device, use the show ssh command as
shown.
S1# show ssh
%No SSHv1 server connections running.
Connection Version Mode Encryption Hmac State
Username
0 2.0 IN aes256-cbc hmac-sha1 Session started
admin
0 2.0 OUT aes256-cbc hmac-sha1 Session started
admin
S1#
1.3.6
Packet Tracer - Configuration de SSH

SSH doit remplacer Telnet pour les connexions de gestion. Telnet utilise des communications
non sécurisées en texte clair. SSH assure la sécurité des connexions distantes en fournissant un
cryptage fort de toutes les données transmises entre les appareils. Dans cet exercice, vous allez
sécuriser un commutateur distant avec le cryptage de mot de passe et SSH
1.4.1
Configuration des paramètres de base du

routeur
Jusqu'à présent, ce module n'a couvert que les commutateurs. Si vous souhaitez que les
périphériques puissent envoyer et recevoir des données en dehors de votre réseau, vous devrez
configurer les routeurs. Cette rubrique vous enseigne la configuration de base du routeur et
fournit deux Vérificateurs de syntaxe et une activité Packet Tracer afin que vous puissiez
pratiquer ces compétences.
Les routeurs et les commutateurs Cisco ont beaucoup de points communs. Ils prennent en
charge le même système d'exploitation de modes, les mêmes structures de commandes et
comptent de nombreuses commandes similaires. En outre, les deux périphériques présentent
des étapes de configuration initiale similaires. Par exemple, les tâches de configuration suivantes
doivent toujours être effectuées. Nommez le périphérique pour le distinguer des autres routeurs
et configurez les mots de passe, comme indiqué dans l'exemple.
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# hostname R1
R1(config)# enable secret class
R1(config)# line console 0
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)# line vty 0 4
R1(config)# service password-encryption
R1(config)#
Configurez une bannière pour fournir une notification légale d'accès non autorisé, comme le
montre l'exemple.
R1(config)# banner motd #Authorized Access Only!#
R1(config)#
Enregistrez les modifications sur un routeur, comme indiqué dans l'exemple.
R1# copy running-config startup-config
Destination filename [startup-config]?
[OK]
1.4.2
Vérificateur de syntaxe - Configurer les

paramètres de base du routeur
Dans cette activité de syntaxe, vous allez configurer les paramètres de base pour R2.
Entrez dans le mode de configuration global et nommez le routeur R2.

Router#
RéinitialiserDémonstrationAfficher tout
1.4.3
Topologie à double pile

Une fonction de distinction entre les commutateurs et les routeurs est le type d'interface pris en
charge par chacun. Par exemple, les commutateurs de la couche 2 prennent en charge les LAN ;
ils disposent donc de plusieurs ports FastEthernet ou Gigabit Ethernet. La topologie à double pile
de la figure est utilisée pour démontrer la configuration des interfaces IPv4 et IPv6 du routeur.
topologie de réseau à double pile consistant en plusieurs hôtes, commutateurs et routeurs avec
des interfaces configurées avec des adresses IPv4 et IPv6
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::10192.168.10.0/24192.168.11.0/2410.1.
1.0/2410.1.2.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:
5::/64G0/0/0G0/0/0G0/0/1G0/0/1209.165.200.224/302001:db8:acad:3::/64.1::1.1::1.1::1.1::1.225::
225.226::226S0/1/0S0/1/0S3
1.4.4
Configurer les interfaces des routeurs

Les routeurs sont compatibles avec les LAN et les WAN et peuvent interconnecter différents
types de réseaux; ils prennent donc en charge plusieurs types d'interfaces. Par exemple, les
routeurs à services intégrés G2 disposent d'une ou de deux interfaces Gigabit Ethernet intégrées
et de logements HWIC (carte d'interface WAN haut débit) pour héberger d'autres types
d'interface réseau, y compris les interfaces série, DSL et câblées.
Pour être disponible, une interface doit être :
 Configuré avec au moins une address IP - Utilisez les commandes de configuration de l'interface IP
address ip-address subnet-mask et ipv6 address ipv6-address/prefix.
 Activé - Par défaut, les interfaces LAN et WAN ne sont pas activées (shutdown). Pour activer une
interface, elle doit être activée à l'aide de la commande "no shutdown" (pas d'arrêt). (Cela revient à
mettre l'interface sous tension.) L'interface doit également être connectée à un autre périphérique
(concentrateur, commutateur ou autre routeur) pour que la couche physique soit active.
 Description - En option, l'interface peut également être configurée avec une courte description de
240 caractères maximum. Il est recommandé de configurer une description sur chaque interface.
Sur les réseaux de production, les avantages des descriptions d'interface sont rapidement réalisés
car elles sont utiles pour le dépannage et pour identifier une connexion et des coordonnées de
tiers.
L'exemple suivant montre la configuration des interfaces sur R1.
R1(config)# interface gigabitethernet 0/0/0
R1(config-if)# ip address 192.168.10.1 255.255.255.0

R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# description Link to LAN 1
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# exit
R1(config)# interface serial 0/0/0
R1(config-if)# description Link to R2
R1(config-if)# exit
R1(config)#
1.4.5
Vérificateur de syntaxe - Configurer les

interfaces de routeur
Dans cette activité Vérificateur de syntaxe, vous allez configurer R2 avec ses interfaces IPv4 et
IPv6.
Configurer GigabitEthernet 0/0/0.
 Use g0/0/0 to enter interface configuration mode.

 Configure the IPv4 address 10.1.1.1 and subnet mask 255.255.255.0.
 Configure the IPv6 address 2001:db8:acad:4። 1/64.
 Describe the link as Link to LAN 3.
 Activate the interface.
Router(config)#
1.4.6
IPv4 Loopback Interfaces

Une autre configuration courante des routeurs Cisco IOS consiste à activer une interface de
bouclage.
L'interface de bouclage est une interface logique interne au routeur. Il n'est pas attribué à un port
physique et ne peut jamais être connecté à un autre appareil. Elle est considérée comme une
interface logicielle qui est automatiquement placée en état « up », tant que le routeur fonctionne.
L'interface de bouclage est utile en cas de test et de gestion d'un périphérique Cisco IOS, car elle
garantit qu'au moins une interface est toujours disponible. Par exemple, elle peut être utilisée à
des fins de test des processus de routage internes, par exemple, en émulant les réseaux se
trouvant derrière le routeur.
Les interfaces de bouclage sont également couramment utilisées dans les environnements de
travaux pratiques pour créer des interfaces supplémentaires. Par exemple, vous pouvez créer
plusieurs interfaces de bouclage sur un routeur pour simuler davantage de réseaux à des fins de
pratique de configuration et de test. Dans ce programme, nous utilisons souvent une interface de
bouclage pour simuler un lien vers Internet.
L'activation et l'attribution d'une adresse de bouclage sont simples :
Router(config)# interface loopback number
Router(config-if)# ip address ip-address subnet-mask
Plusieurs interfaces de bouclage peuvent être activées sur un routeur. L'adresse IPv4 de chaque
interface de bouclage doit être unique et inutilisée par toute autre interface, comme le montre
l'exemple de configuration de l'interface de bouclage 0 sur R1.
R1(config)# interface loopback 0

R1(config-if)# exit
R1(config)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state
to up
1.4.7
Packet Tracer - Configurer les interfaces de

routeur
Dans cette activité de Packet Tracer, vous allez configurer les routeurs avec l'adressage IPv4 et
IPv6.
1.5.1
Commandes de vérification des interfaces

Il ne sert à rien de configurer votre routeur si vous ne vérifiez pas la configuration et la
connectivité. Cette rubrique couvre les commandes à utiliser pour vérifier les réseaux
directement connectés. Il comprend deux vérificateurs de syntaxe et un packet tracer.
Il existe plusieurs commandes show permettant de vérifier le fonctionnement et la

configuration d'une interface. La topologie de la figure est utilisée pour démontrer la
vérification des paramètres de l'interface du routeur.
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::10192.168.10.0/24192.168.11.0/2410
.1.1.0/2410.1.2.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:
acad:5::/64G0/0/0G0/0/0G0/0/1G0/0/1209.165.200.224/302001:db8:acad:3::/64.1::1.1::1.1::1.
1::1.225::225.226::226S0/1/0S0/1/0S3
Les commandes suivantes sont particulièrement utiles pour identifier rapidement l'état d'une
interface :
 show ip interface brief et show ipv6 interface brief - Celles-ci affichent un résumé pour
toutes les interfaces, y compris l'adresse IPv4 ou IPv6 de l'interface et l'état opérationnel actuel.
 show running-config interface interface-id - Ceci affiche les commandes appliquées à
l'interface spécifiée.
 show ip route et show ipv6 route - Celles-ci affichent le contenu de la table de routage IPv4
ou IPv6 stocké dans la mémoire vive. Dans Cisco IOS 15, les interfaces actives doivent
apparaître dans la table de routage avec deux entrées connexes identifiées par le code "C"
(Connecté) ou "L" (Local). Dans les versions précédentes de l'IOS, une seule entrée avec le
code "C" apparaissait.
1.5.2
Vérification de l'état de l'interface

La sortie des commandes show ip interface brief et show ipv6 interface brief peut être
utilisée pour révéler rapidement l'état de toutes les interfaces sur le routeur. Vous pouvez
vérifier que les interfaces sont actives et opérationnelles comme indiqué par l'état "up" et le
protocole "up", comme le montre l'exemple. Un résultat différent révèle un problème de
configuration ou de câblage.
R1# show ip interface brief
Interface IP-Address OK? Method Status
Protocol
GigabitEthernet0/0/0 192.168.10.1 YES manual up
up
up
Serial0/1/0 209.165.200.225 YES manual up
up
Serial0/1/1 unassigned YES unset administratively down
down
R1# show ipv6 interface brief
GigabitEthernet0/0/0 [up/up]
FE80::7279:B3FF:FE92:3130
2001:DB8:ACAD:1::1
FE80::7279:B3FF:FE92:3131
2001:DB8:ACAD:2::1
Serial0/1/0 [up/up]
FE80::7279:B3FF:FE92:3130
2001:DB8:ACAD:3::1
Serial0/1/1 [down/down] Unassigned

1.5.3
Vérifier les adresses locales et multidiffusion

des liens IPv6
La sortie de la commande show ipv6 interface brief affiche deux adresses IPv6 configurées
par interface. L'une des adresses est l'adresse de monodiffusion globale IPv6 qui a été saisie
manuellement. L'autre adresse, qui commence par FE80, est l'adresse de monodiffusion link-
local pour l'interface. Une adresse link-local est automatiquement ajoutée à une interface
chaque fois qu'une adresse de monodiffusion globale est attribuée. Une interface réseau IPv6
est requise pour avoir une adresse link-local, mais elle n'est pas nécessaire pour une adresse
de monodiffusion globale.
La commande show ipv6 interface gigabitethernet 0/0/0 affiche l'état de l'interface et toutes
les adresses IPv6 appartenant à l'interface. Avec l'adresse locale du lien et l'adresse globale de
monodiffusion, la sortie comprend les adresses de multidiffusion attribuées à l'interface,
commençant par le préfixe FF02, comme le montre l'exemple.
R1# show ipv6 interface gigabitethernet 0/0/0
GigabitEthernet0/0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::7279:B3FF:FE92:3130
No Virtual link-local address(es):
Global unicast address(es):
2001:DB8:ACAD:1::1, subnet is 2001:DB8:ACAD:1::/64
Joined group address(es):
FF02::1
FF02::1:FF00:1
FF02::1:FF92:3130
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds

ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium

1.5.4
Vérification de la configuration d'interface

La sortie de la commande show running-config interface affiche les commandes actuelles
appliquées à l'interface spécifiée, comme indiqué.
R1 show running-config interface gigabitethernet 0/0/0
interface GigabitEthernet0/0/0
description Link to LAN 1
ip address 192.168.10.1 255.255.255.0
negotiation auto
ipv6 address 2001:DB8:ACAD:1::1/64
end
R1#
Les deux commandes suivantes permettent de recueillir des informations plus détaillées sur
l'interface :
 show interfaces- Affiche les informations sur les interfaces et le nombre de flux de paquets
pour toutes les interfaces de l'appareil.
 show ip interface et show ipv6 interface -Affiche les informations relatives à IPv4 et IPv6
pour toutes les interfaces d'un routeur.
1.5.5
Vérification des routes

La sortie des commandes show ip route et show ipv6 route révèle les trois entrées réseau
directement connectées et les trois entrées de l'interface de routage hôte local, comme indiqué
dans l'exemple. Une route d'hôte local a une distance administrative de 0. Elle dispose
également d'un masque /32 pour IPv4 et d'un masque /128 pour IPv6. La route hôte locale
concerne les routes sur le routeur qui possède l'adresse IP. Elle autorise le routeur à traiter les
paquets destinés à cette adresse IP.
R1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/0
L 192.168.10.1/32 is directly connected, GigabitEthernet0/0/0
C 209.165.200.224/30 is directly connected, Serial0/1/0
L 209.165.200.225/32 is directly connected, Serial0/1/0

R1# show ipv6 route
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
C 2001:DB8:ACAD:1::/64 [0/0]
via GigabitEthernet0/0/0, directly connected
L 2001:DB8:ACAD:1::1/128 [0/0]
via GigabitEthernet0/0/0, receive
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
via Serial0/1/0, directly connected
L 2001:DB8:ACAD:3::1/128 [0/0]
via Serial0/1/0, receive
L FF00::/8 [0/0]
via Null0, receive
R1#
Un ‘C’ à côté d'une route dans le tableau de routage indique qu'il s'agit d'un réseau
directement connecté. Lorsque l'interface du routeur est configurée avec une adresse de
monodiffusion globale et est dans l'état "up/up", le préfixe IPv6 et la longueur du préfixe sont
ajoutés à la table de routage IPv6 en tant que route connectée.
L'adresse de monodiffusion globale IPv6 appliquée à l'interface est également installée dans la
table de routage en tant que route locale. Le préfixe de la route locale est /128. Des routes
locales sont utilisées par la table de routage pour traiter efficacement les paquets avec
l'adresse d'interface du routeur en tant que destination.
La commande ping pour IPv6 est identique à la commande utilisée avec IPv4, sauf qu'une
adresse IPv6 est utilisée. Comme le montre l'exemple, la commande ping est utilisée pour
vérifier la connectivité de la couche 3 entre R1 et PC1.
R1# ping 2001:db8:acad:1::10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:DB8:ACAD:1::10, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

1.5.6
Filtrage des résultats de commande show

Les commandes qui génèrent plusieurs écrans de sortie sont, par défaut, mises en pause après
24 lignes. À la fin de cette interruption, le texte --More-- s'affiche. Appuyez sur Enter pour
afficher la ligne suivante et appuyez sur la touche Espace pour afficher la série de lignes
suivante. Utilisez la commande terminal length pour indiquer le nombre de lignes à afficher.
La valeur 0 (zéro) empêche le routeur de s'arrêter entre les écrans de résultat.
Une autre fonctionnalité très utile qui améliore l'expérience de l'utilisateur dans le CLI est le
filtrage des sorties show. Les commandes de filtrage permettent d'afficher des sections de
résultat spécifiques. Pour activer la commande de filtrage, tapez le symbole (|) après la
commande show , puis saisissez un paramètre de filtrage et une expression de filtrage.
Il existe quatre paramètres de filtrage qui peuvent être configurés après le pipe.
Cliquez sur chaque bouton pour en savoir plus sur les commandes de filtrage.
section
include
exclude
begin
section
Montre la section entière qui commence par l'expression de filtrage, comme dans l'exemple.
R1# show running-config | section line vty
line vty 0 4
password 7 110A1016141D
login
transport input all
Remarque: les filtres de résultat peuvent être utilisés en combinaison avec toute
commande show .
1.5.7
Vérificateur de syntaxe - Filtre Afficher la

sortie de la commande
Dans cette activité Vérificateur de syntaxe, vous filtrez la sortie des commandes show.
Entrez la commande permettant de filtrer le résultat de la commande show running-config pour la

section « line con ».
R1#
1.5.8
Fonction d'historique de commande

La fonction d'historique des commandes est utile car elle stocke temporairement la liste des
commandes exécutées à rappeler.
Pour rappeler des commandes dans la mémoire tampon de l'historique, appuyez sur Ctrl+P ou
sur la touche Up Arrow. Le résultat de la commande commence par la commande la plus
récente. Appuyez plusieurs fois sur ces touches pour rappeler des commandes plus anciennes.
Pour revenir à des commandes plus récentes dans la mémoire tampon de l'historique, appuyez
sur Ctrl+N ou sur la touche Down Arrow. Appuyez plusieurs fois sur ces touches pour
rappeler des commandes plus récentes.
Par défaut, l'historique de commande est activé et le système enregistre les 10 dernières lignes
de commande dans sa mémoire tampon. Utilisez la commande EXEC privilégiée show
history pour afficher le contenu du tampon.
Cette commande permet également d'augmenter le nombre de lignes de commande que

l'historique enregistre uniquement au cours de la session de terminal en cours. Utilisez la
commande EXEC de l'utilisateur terminal history size pour augmenter ou réduire la taille du
tampon.
Un exemple de commandes terminal history size et show history est illustré dans la figure.
R1# terminal history size 200
R1# show history
show ip int brief
show interface g0/0/0
show ip route
show running-config
show history
terminal history size 200
1.5.9
Vérificateur de syntaxe - Fonctionnalités de

l'historique des commandes
Dans cette activité Vérification de syntaxe, vous utiliserez la fonction d'historique des
commandes.
Entrez la commande permettant de définir le nombre de lignes à 200 dans l'historique de

commande.
R1>
1.5.10
Packet Tracer - Vérification des réseaux

directement connectés
Dans cette activité de Packet Tracer, les routeurs R1 et R2 ont chacun deux réseaux locaux.
Votre tâche consiste à configurer l'adressage approprié sur chaque périphérique et à vérifier la
connectivité entre les LAN.
1.5.11
Vérifier votre compréhension - Vérifier les

réseaux directement connectés
Vérifiez votre compréhension de la vérification des réseaux directement connectés en
choisissant la MEILLEURE réponse aux questions suivantes.
1. Quelle commande affichera un résumé de toutes les interfaces compatibles IPv6 sur un routeur qui
inclut l'adresse IPv6 et l'état opérationnel?
show ip interface brief
show ipv6 route
show running-config interface
show ipv6 interface brief

2. Lors de la vérification des itinéraires, quel code est utilisé pour identifier les itinéraires directement
connectés dans la table de routage?
R
3. Quelle commande affichera le nombre de flux de paquets, les collisions et les échecs de tampon
sur une interface?
show interface
show ip interface
4. Une interface compatible IPv6 est requise pour avoir quel type d'adresse?
boucle avec retour (loopback)
adresse de monodiffusion globale (global unicast)
adresse link-local (link-local)
statique (static)
5. Quel caractère est utilisé pour activer le filtrage des commandes?
pipe |
virgule ,
deux-points :
point-virgule ;
6. Quelle expression de filtrage affichera toutes les lignes de sortie à partir de la ligne correspondant
à l'expression de filtrage ?
section
begin
include
1.6.1
Packet Tracer - Implémenter un petit réseau

Dans cette activité de Packet Tracer, les routeurs R1 et R2 ont chacun deux réseaux locaux.
Votre tâche consiste à configurer l'adressage approprié sur chaque périphérique et à vérifier la
connectivité entre les LAN.
1.6.2
Travaux pratiques - Configurer les paramètres
de base du routeur
 Part 1: Configurer la topologie et initialiser les périphériques

 Part 2: Configurer les périphériques et vérifier la connectivité
 Part 3: Afficher les informations du routeur

Configurer les paramètres de base du routeur - Mode Physique
Configurer les paramètres de base du routeur - Mode Physique
Équipement de test
Configurer les paramètres de base du routeur

1.6.3
Qu'est-ce que j'ai appris dans ce module?

Configurer un commutateur avec les paramètres initiaux
Une fois qu'un commutateur Cisco est mis sous tension, il passe par une séquence de
démarrage en cinq étapes. Dans l'exemple, la variable d'environnement BOOT est définie à
l'aide de la commande de mode de configuration globale boot system. L'IOS se trouve dans
un dossier distinct et le chemin du dossier est spécifié. Utilisez les LED des interrupteurs pour
surveiller l'activité et les performances des interrupteurs : SYST, RPS, STAT, DUPLX,
SPEED et PoE. Le chargeur de démarrage permet d'accéder au commutateur si le système
d'exploitation ne peut être utilisé en raison de fichiers système manquants ou endommagés. Le
chargeur de démarrage dispose d'une ligne de commande qui permet d'accéder aux fichiers
stockés dans la mémoire flash. Pour préparer un commutateur pour l'accès à la gestion à
distance, le commutateur doit être configuré avec une adresse IP et un masque de sous-réseau.
Pour gérer le commutateur à partir d'un réseau distant, le commutateur doit être configuré
avec une passerelle par défaut. Pour configurer le switch SVI, vous devez d'abord configurer
l'interface de gestion, puis configurer la passerelle par défaut, et enfin, vérifier votre
configuration.
Configurer les ports du commutateur

La communication en duplex intégral augmente la largeur de bande effective en permettant
aux deux extrémités d'une connexion de transmettre et de recevoir des données
simultanément. La communication semi-duplex est unidirectionnelle. Les ports de
commutation peuvent être configurés manuellement avec des paramètres de duplex et de
vitesse spécifiques. Utilisez la négociation automatique lorsque les paramètres de vitesse et de
duplex du périphérique connecté au port sont inconnus ou peuvent changer. Lorsque la
fonction auto-MDIX est activée, l'interface détecte automatiquement le type de connexion de
câble requis (droit ou croisé) et configure la connexion de manière appropriée. Il existe
plusieurs commandes show à utiliser lors de la vérification de la configuration des
commutateurs. Utilisez la commande show running-config et la commande show
interfaces pour vérifier la configuration d'un port de commutateur. La sortie de la
commande show interfaces est également utile pour détecter les problèmes courants de
couche d'accès réseau, car elle affiche l'état du protocole de liaison de ligne et de données. Les
erreurs d'entrée signalées à partir de la commande show interfaces comprennent: les trames
runt, les géants, les erreurs CRC, ainsi que les collisions et les collisions tardives.
Permet show interfaces de déterminer si votre réseau n'a pas de connexion ou une connexion
incorrecte entre un commutateur et un autre périphérique.
Accès distant sécurisé
Telnet est un protocole plus ancien qui utilise un mode de transmission en texte clair non
sécurisé des informations d'identification (nom d'utilisateur et mot de passe) et des données
entre les périphériques. SSH (utilisant le port TCP 22) est un protocole sécurisé qui fournit
une connexion de gestion cryptée à un appareil distant. SSH assure la sécurité des connexions
à distance en fournissant un cryptage fort lorsqu'un dispositif est authentifié (nom d'utilisateur
et mot de passe) et également pour les données transmises entre les dispositifs communicants.
Utilisez la commande show version du commutateur pour voir quel IOS le commutateur est
en cours d'exécution. Un nom de fichier IOS qui inclut la combinaison "k9" prend en charge
les fonctionnalités et les capacités cryptographiques. Pour configurer SSH, vous devez vérifier
que le commutateur le prend en charge, configurer le domaine IP, générer des paires de clés
RSA, configurer l'authentification d'utilisation, configurer les lignes VTY et activer SSH
version 2. Pour vérifier que SSH est opérationnel, utilisez la commande show ip ssh pour
afficher la version et les données de configuration de SSH sur le périphérique.
Configuration de base du routeur
Les tâches de configuration initiale suivantes doivent toujours être effectuées : nommer
l'appareil pour le distinguer des autres routeurs et configurer les mots de passe, configurer une
bannière pour fournir une notification légale d'accès non autorisé, et enregistrer les
modifications sur un routeur. Une fonction de distinction entre les commutateurs et les
routeurs est le type d'interface pris en charge par chacun. Par exemple, les commutateurs de
couche 2 prennent en charge les réseaux locaux et disposent donc de plusieurs ports
FastEthernet ou Gigabit Ethernet. La topologie à double pile est utilisée pour démontrer la
configuration des interfaces IPv4 et IPv6 du routeur. Les routeurs sont compatibles avec les
LAN et les WAN et peuvent interconnecter différents types de réseaux; ils prennent donc en
charge plusieurs types d'interfaces. Par exemple, les routeurs à services intégrés G2 disposent
d'une ou de deux interfaces Gigabit Ethernet intégrées et de logements HWIC (carte
d'interface WAN haut débit) pour héberger d'autres types d'interface réseau, y compris les
interfaces série, DSL et câblées. L'interface de bouclage IPv4 est une interface logique interne
au routeur. Il n'est pas attribué à un port physique et ne peut jamais être connecté à un autre
appareil.
Vérifier les réseaux directement connectés
Utilisez les commandes suivantes pour identifier rapidement l'état d'une interface: show ip
interface brief et show ipv6 interface brief pour voir le résumé de toutes les interfaces
(adresses IPv4 et IPv6 et état opérationnel), show running-config interface interface-id pour
voir les commandes appliquées à une interface spécifiée show ip route et show ipv6
route pour voir le contenu de la table de routage IPv4 ou IPv6 stockée dans la RAM. La sortie
des commandes show ip interface brief et show ipv6 interface brief peut être utilisée pour
révéler rapidement l'état de toutes les interfaces sur le routeur. La commande show ipv6
interface gigabitethernet 0/0/0 affiche l'état de l'interface et toutes les adresses IPv6
appartenant à l'interface. En plus de l'adresse locale du lien et de l'adresse de monodiffusion
globale, la sortie comprend les adresses de multidiffusion attribuées à l'interface. La sortie de
la commande show running-config interface affiche les commandes actuelles appliquées à
une interface spécifique. La commande show interfaces affiche les informations sur
l'interface et le nombre de flux de paquets pour toutes les interfaces de l'appareil. Vérifiez la
configuration de l'interface à l'aide des commandes show ip interface et show ipv6 interface,
qui affichent les informations relatives à IPv4 et IPv6 pour toutes les interfaces d'un routeur.
Vérifiez les itinéraires à l'aide des commandes show ip route et show ipv6 route. Filtrer la
sortie de la commande show à l'aide du caractère pipe (|). Utilisez les expressions de filtre:
section, include, exclude et begin. Par défaut, l'historique de commande est activé et le
système enregistre les 10 dernières lignes de commande dans sa mémoire tampon. Utilisez la
commande EXEC privilégiée show history pour afficher le contenu du tampon.
1.6.4
Module Quiz - Configuration de base des

périphériques
1.
Quelles tâches peuvent être accomplies en utilisant la fonction d'historique des commandes?
(Choisissez deux propositions.)
Rappel des commandes précédemment saisies.
Afficher la liste des commandes entrées lors d'une session précédente.
Définissez la taille du tampon de l'historique des commandes.

Rappeler jusqu'à 15 lignes de commande par défaut.
Enregistrez les lignes de commande dans un fichier journal pour référence ultérieure.
2. Quelle déclaration décrit le fonctionnement des voyants système sur les commutateurs Cisco
Catalyst?
Si la LED clignote en vert, le système fonctionne normalement.
Si la LED est ambre, le système reçoit de l'énergie mais ne fonctionne pas correctement.
Si la LED est ambre, le système n'est pas alimenté.
Si la LED clignote en ambre, le commutateur effectue un POST.

3. Quel type de câble Ethernet serait utilisé pour connecter un commutateur à un autre
commutateur lorsqu'aucun des deux ne prend en charge la fonction auto-MDIX ?
Câble coaxial
Câble croisé
Câble droit
Câble inversé
4. Quel avantage offre SSH par rapport à Telnet ?
Davantage de lignes de connexion
L'authentification du nom d'utilisateur et du mot de passe

Des services orientés connexion
Le chiffrement
5. Un administrateur réseau a configuré leVLAN 99 comme le VLAN de gestion et l'a configuré
avec une adresse IP et un masque de sous-réseau. L'administrateur émet la commande show
interface vlan 99 et remarque que le protocole de ligne est en panne. Quelle action peut
modifier l'état du protocole de ligne à up ?
Configurez une passerelle par défaut.
Configurez une méthode d'entrée de transport sur les lignes vty.
Connectez un hôte à une interface associée au VLAN 99.
Retirez tous les ports d'accès du VLAN 99.

6. Quelle déclaration décrit les SVIs?
Un SVI par défaut est créé pour le VLAN 1 pour l'administration du commutateur.
La création d'un SVI crée automatiquement un VLAN associé.
Un SVI ne peut être créé que pour le VLAN de gestion.
Un SVI est créé automatiquement pour chaque VLAN sur un commutateur multicouche.
7. Quelle invite s'affiche lorsqu'un administrateur réseau accède avec succès au chargeur de
démarrage sur un commutateur pour récupérer après un plantage du système?
switch#
system:
switch:
system#
8. Quelle est la séquence de démarrage correcte du routeur?
1 - effectuer le POST et charger le programme de bootstrap

2 - localiser et charger le fichier de configuration de démarrage ou passer en mode
configuration
3 - localiser et charger le logiciel Cisco IOS
1 - effectuer le POST et charger le programme de bootstrap

configuration
1 - effectuer le POST et charger le logiciel Cisco IOS

configuration
3 - localiser et charger le programme bootstrap
1 - effectuer le POST et charger le fichier de configuration de démarrage

2 - localiser et charger le programme bootstrap
9. Quelle est la première action dans la séquence de démarrage lorsqu'un commutateur est sous
tension?
exécuter le programme de démarrage.
charger le logiciel Cisco IOS par défaut

initialisation de bas niveau du CPU
charger un programme d'autotest à la mise sous tension

10. De quoi doit disposer un administrateur pour réinitialiser un mot de passe perdu sur un
routeur?
d'un serveur TFTP
de l'accès physique au routeur
de l'accès à un autre routeur
d'un câble de croisement

11. Lors de la configuration d'un commutateur pour l'accès SSH, quelle autre commande associée
à la commande login local doit être entrée sur le commutateur?
enable secret password
password password
login block-for seconds attempts number within seconds
username username secret secret

12. Quelle commande fournira des informations sur l'état de toutes les interfaces, y compris le
nombre de géants, de runts et de collisions sur l'interface?
show interfaces
2.0.1
Pourquoi devrais-je suivre ce module?
Bienvenue aux concepts de commutation!
Vous pouvez connecter et configurer des commutateurs, c'est génial! Mais même un réseau
avec la technologie la plus récente développe ses propres problèmes finalement. Si vous
devez dépanner votre réseau, vous devez savoir comment fonctionnent les commutateurs. Ce
module vous donne les bases des commutateurs et du fonctionnement du commutateur.
Heureusement, le fonctionnement du commutateur est facile à comprendre!
2.0.2

module?
Titre du module: Concepts de Commutation
Objectif du module: Expliquer comment les commutateurs de couche 2 transfèrent les

données.
Légende du tableau
Expliquer comment les trames sont transmises sur un

Transfert de trame
réseau commuté.
Comparer un domaine de collision à un domaine de

Domaines de commutation
diffusion.
1.6
Module pratique et questionnaire
2.1
2.1.1
Commutation dans la mise en réseau

Le concept de commutation et de transfert de trames est universel dans les réseaux et les
télécommunications. Différents types de commutateurs sont utilisés dans les LAN, les WAN
et dans le réseau téléphonique public commuté (RTPC).
La décision sur la manière dont un commutateur transmet le trafic est prise en fonction du
flux de ce trafic. Il existe deux termes associés aux trames qui entrent et sortent d'une
interface :
 Entrée (Ingress) - Ceci est utilisé pour décrire le port par lequel une trame entre dans l'appareil.
 Sortie (Egress) -Ceci est utilisé pour décrire le port que les trames utiliseront lorsqu'elles quitteront
l'appareil.
Un commutateur LAN maintient un tableau qui est référencé lors de l'acheminement du trafic
par le commutateur. La seule intelligence d'un commutateur LAN est sa capacité à utiliser sa
table pour transférer le trafic. Un commutateur LAN transmet le trafic en fonction du port
d'entrée et de l'adresse MAC de destination d'une trame Ethernet. Avec un commutateur LAN,
il n'existe qu'une seule table de commutation maître qui décrit une association stricte entre les
adresses MAC et les ports ; par conséquent, une trame Ethernet avec une adresse de
destination donnée sort toujours du même port de sortie, quel que soit le port d'entrée dans
lequel elle entre.
Remarque: Une trame Ethernet ne sera jamais transférée sur le même port que celui sur
lequel elle a été reçue.
Cliquez sur Lecture pour voir une animation du processus de commutation.
L'animation montre un rectangle permettant d'identifier un commutateur avec 6 carrés

numérotés pour 6 switchports. La table d'adresses MAC affiche une adresse mac enregistrée
pour chaque numéro de port
Table des ports
Adresses de destination Port
EE 1
AA 2
BA 3
EA 4
CA 5
AB 6
2.1.2
Table d'adresse MAC du commutateur

Un commutateur est constitué de circuits intégrés et du logiciel associé qui contrôle les
chemins de données dans le commutateur. Les commutateurs utilisent les adresses MAC de
destination pour diriger les communications du réseau à travers le commutateur, hors du port
approprié, vers la destination.
Pour qu'un commutateur sache vers quel port transférer une trame, il doit tout d'abord
apprendre quels périphériques existent sur chaque port. À mesure que le commutateur
apprend la relation entre les ports et les dispositifs, il construit une table appelée table
d'adresses MAC. Ce tableau est stocké dans la mémoire adressable de contenu (CAM) qui est
un type particulier de mémoire utilisé dans les applications de recherche à haute vitesse. Pour
cette raison, la table d'adresses MAC est parfois aussi appelée table CAM.
Les commutateurs LAN déterminent comment traiter les trames de données entrantes en
gérant la table d'adresses MAC. Un commutateur établit sa table d'adresses MAC en
enregistrant l'adresse MAC de chaque périphérique connecté à chacun de ses ports. Le
commutateur utilise les informations de la table d'adresses MAC pour envoyer des trames
destinées à un périphérique donné au port qui a été attribué à ce périphérique.
2.1.3
La méthode "Switch Learn and Forward"

Le processus en deux étapes suivant est effectué sur chaque trame Ethernet qui entre dans un
commutateur.
Étape 1. Découverte - Examen de l'adresse MAC source
Le commutateur vérifie si de nouvelles informations sont disponibles sur chacune des trames
entrantes. Il le fait en examinant l'adresse MAC source de la trame et le numéro de port où la
trame est entrée dans le commutateur :
 Si l'adresse MAC source n'existe pas dans la table des adresses MAC, l'adresse MAC et le numéro de
port entrant sont ajoutés à la table.
 Si l'adresse MAC source existe, le commutateur réinitialise le compteur d'obsolescence de cette
entrée. Par défaut, la plupart des commutateurs Ethernet conservent les entrées dans la table
pendant cinq minutes. Si l'adresse MAC source existe dans le tableau mais sur un port différent, le
commutateur la traite comme une nouvelle entrée. L'entrée est remplacée en utilisant la même
adresse MAC, mais avec le numéro de port le plus récent.
Étape 2. Transfert - Examen de l'adresse MAC de destination
Si l'adresse MAC de destination est une adresse monodiffusion, le commutateur cherchera

une correspondance entre l'adresse MAC de destination de la trame et une entrée dans sa table
d'adresses MAC :
 Si l'adresse MAC de destination se trouve dans la table, le commutateur transfère la trame par le
port spécifié.
 Si l'adresse MAC de destination ne se trouve pas dans la table, le commutateur transfère la trame sur
tous les ports sauf celui d'entrée. Cela s’appelle une monodiffusion inconnue. Si l'adresse MAC de
destination est une diffusion ou une multidiffusion, la trame est également envoyée sur tous les
ports à l'exception du port entrant.
2.1.4
Vidéo – Tables d'adresses MAC sur des
commutateurs connectés
Cliquez sur Lecture sur la figure pour lancer une vidéo expliquant comment deux
commutateurs connectés créent des tables d'adresses MAC.
Play Video
2.1.5
Méthodes de transmission par commutateur

Les commutateurs prennent très rapidement les décisions de transfert de couche 2. Cela est dû
aux logiciels sur les circuits intégrés spécifiques aux applications (ASIC). Les ASIC réduisent
le temps de traitement des images dans l'appareil et permettent à ce dernier de gérer un
nombre accru d'images sans dégradation des performances.
Les commutateurs de couche 2 utilisent l'une des deux méthodes suivantes pour changer de
trame :
 Commutation de stockage et de retransmission - Cette méthode prend une décision de

retransmission sur une trame après avoir reçu la trame entière et vérifié la présence d'erreurs dans la
trame à l'aide d'un mécanisme mathématique de vérification des erreurs appelé contrôle de
redondance cyclique (CRC). La commutation par stockage et retransmission est la méthode de
commutation LAN principale de Cisco.
 Commutation par coupure - Cette méthode lance le processus de transfert après que l'adresse MAC
de destination d'une trame entrante et le port de sortie ont été déterminés.
2.1.6
Commutation par stockage et retransmission

(store and forward)
La commutation Store-and-forward, par opposition à la commutation par coupure, présente
les deux caractéristiques principales suivantes:
 Vérification des erreurs - Après avoir reçu la trame complète sur le port d'entrée, le commutateur
compare la valeur de la séquence de vérification de la trame (FCS) dans le dernier champ du
datagramme à ses propres calculs FCS. La FCS est un processus de contrôle des erreurs permettant
de vérifier que la trame est exempte d'erreurs physiques et de liaison de données. Si la trame est
exempte d'erreurs, le commutateur transfère la trame. Sinon, la trame est abandonné.
 Mise en mémoire tampon automatique - Le processus de mise en mémoire tampon du port d'entrée
utilisé par les commutateurs de stockage et de transfert offre la souplesse nécessaire pour prendre
en charge toute combinaison de vitesses Ethernet. Par exemple, le traitement d'une trame entrante
voyageant dans un port Ethernet de 100 Mbps qui doit être envoyée par une interface de 1 Gbps
nécessiterait l'utilisation de la méthode de stockage et de retransmission. Dès que les vitesses du
port d'entrée et de sortie ne correspondent pas, le commutateur enregistre la trame complète dans
une mémoire tampon, calcule le contrôle FCS, puis transmet la trame au port de sortie et l'envoie.
La figure illustre comment store-and-forward prend une décision basée sur la trame Ethernet.
montre un diagramme d'une trame ethernet, et souligne le fait que lors d'une commutation en
différé, le commutateur lit la trame entière, y compris tous les en-têtes, les données et la
séquence de vérification de la trame avant la transmission
86624
En-tête réseauEn-tête de tramePréambuleAdresse MAC de destinationAdresse MAC sourceTypeSomme de contrôle
FCS (CRC)En-tête transportDonnéesOctets La commutation par stockage et transfert signifie que la trame complète est
reçue (jusqu'à environ 9 200 octets pour les trames jumbo) avant qu'une décision de transmission ne soit prise.
2.1.7
Commutation par coupure (cut-through)

La méthode de commutation store-and-forward supprime les trames qui ne réussissent pas la
vérification FCS. Par conséquent, il ne transmet pas de trames non valides.
En revanche, la méthode de commutation par coupure peut transmettre des trames non valides
parce qu'aucun contrôle FCS n'est effectué. Cependant, la commutation par coupure a la
capacité d'effectuer une commutation de trame rapide. Cela signifie que le commutateur peut
prendre une décision de transfert dès qu'il a recherché l'adresse MAC de destination de la
trame dans son tableau d'adresses MAC, comme le montre la figure.
montre un diagramme d'une trame ethernet, et souligne le fait qu'en coupant la commutation,
le commutateur peut faire suivre la trame une fois qu'il a lu l'adresse MAC de destination
86624
En-tête réseauEn-tête de tramePréambuleAdresse MAC de destinationAdresse MAC sourceTypeSomme de contrôle
FCS (CRC)En-tête transportDonnéesOctets Le transfert des trames peut commencer dès que l'adresse MAC de
destination est reçue.
Il n'a pas besoin d'attendre que le reste de la trame soit arrivé au port d'entrée pour prendre
une décision.
La commutation sans fragment est une forme modifiée de commutation coupée dans laquelle
le commutateur ne commence à transférer la trame qu'après avoir lu le champ Type. La
commutation sans fragment offre une meilleure vérification des erreurs que la coupure, avec
pratiquement aucune augmentation de la latence.
La faible latence de la commutation cut-through la rend mieux adaptée aux applications HPC
(high-performance computing) extrêmement exigeantes, qui nécessitent des latences de
processus à processus de 10 microsecondes au plus.
La méthode de commutation par coupure peut transmettre des images avec des erreurs. S'il y a
un taux d'erreur élevé (trames non valides) sur le réseau, la commutation par coupure peut
avoir un impact négatif sur la largeur de bande, ce qui encombre la bande passante avec des
trames endommagées et non valides.
2.1.8
Exercice - Commutation
Utilisez cet exercice pour vérifier que vous comprenez comment un commutateur apprend et
transmet les trames.
Trame
Préambule Destination MAC Source MAC Type/longueur Trame Fin de la Trame
0D 0E
Table MAC
Fa1 Fa2 Fa3 Fa4 Fa5 Fa6 Fa7 Fa8 Fa9 Fa10 Fa11 Fa12
0A 0C 0D 0E 0F
Question 1 - Où le commutateur transfère-t-il la trame?
Fa1
Fa2
Fa3
Fa4
Fa5
Fa6
Fa7
Fa8
Fa9
Fa10
Fa11
Fa12
Question 2 - Lors du transfert de la trame via le commutateur, quelles

affirmations sont vraies?
Le commutateur ajoute l'adresse MAC source qui ne figure pas actuellement dans le tableau des
adresses MAC.
La trame est une trame de diffusion ; elle est transférée à tous les ports.
La trame est une trame de monodiffusion ; elle est envoyée à un seul port désigné.
La trame est une trame de monodiffusion ; elle inonde tous les ports.
2.2.1
Domaines de collision
Dans la rubrique précédente, vous avez acquis une meilleure compréhension de ce qu'est un
commutateur et de son fonctionnement. Cette rubrique explique comment les commutateurs
fonctionnent les uns avec les autres et avec d'autres périphériques pour éliminer les collisions
et réduire la congestion du réseau. Les termes collisions et congestion sont utilisés ici de la
même manière que vous les utilisez dans la circulation routière.
Dans les segments Ethernet traditionnels basés sur le concentrateur, les périphériques réseau
étaient en concurrence pour le support partagé. Les segments de réseau qui partagent la même
bande passante entre les périphériques sont appelés domaines de collision. Lorsque deux ou
plusieurs dispositifs dans le même domaine de collision tentent de communiquer en même
temps, une collision se produit.
Si un port de commutateur Ethernet fonctionne en mode bidirectionnel non simultané, chaque

segment est dans son propre domaine de collision. Il n'y a pas de domaine de collision lorsque
les ports de commutateur fonctionnent en duplex intégral. Toutefois, il peut y avoir un
domaine de collision si un port de commutateur fonctionne en semi-duplex.
Par défaut, les ports des commutateurs Ethernet s'auto-négocient en duplex intégral lorsque le
dispositif adjacent peut également fonctionner en duplex intégral. Si le port du commutateur
est connecté à un dispositif fonctionnant en semi-duplex, tel qu'un ancien concentrateur, alors
le port du commutateur fonctionnera en semi-duplex. Dans le cas du mode bidirectionnel non
simultané, le port de commutateur appartient à un domaine de collision.
Comme le montre la figure, le duplex intégral est choisi si les deux appareils ont la capacité
ainsi que leur plus grande largeur de bande commune.
Le diagramme montre qu'un PC et un commutateur négocient automatiquement les

paramètres et les vitesses de duplex correspondants. Dans ce cas, duplex intégral et 100Mb
par seconde
S2PC A
DuplexDuplexVitesseVitesseDuplex intégralSemi-duplexDuplex intégralSemi-
duplex100 Mbit/s10 Mbit/s100 Mbit/s10 Mbit/s1 000 Mbit/sPort 1Négociation automatique
2.2.2
Domaines de diffusion
Un ensemble de commutateurs interconnectés constitue un domaine de diffusion unique. Seul
un périphérique de couche réseau, tel qu'un routeur, peut diviser un domaine de diffusion de
couche 2. Les routeurs sont utilisés pour segmenter les domaines de diffusion, mais ils
segmentent également les domaines de collision.
Lorsqu'un périphérique envoie une diffusion de couche 2, l'adresse MAC de destination de la

trame est remplie de 1 binaires.
Le domaine de diffusion de couche 2 est appelé domaine de diffusion MAC. Le domaine de

diffusion MAC est constitué de tous les périphériques du réseau local qui reçoivent les trames
de diffusion provenant d'un hôte.
Dans la figure, cliquez sur Lire pour le constater dans la première partie de l'animation.
montre un diagramme animé d'un message diffusé voyageant vers chaque hôte connecté au
commutateur, et aussi de commutateur à commutateur, dans le domaine de diffusion ou le
LAN
Lorsqu'un commutateur reçoit une trame de diffusion, il la transfère à tous ses ports, sauf au
port d'entrée où elle a été reçue. Chaque périphérique connecté au commutateur reçoit un
exemplaire de la trame de diffusion et la traite.
Les diffusions sont parfois nécessaires pour localiser initialement d'autres équipements et
services réseau, mais elles réduisent l'efficacité du réseau. La bande passante du réseau est
utilisée pour transmettre le trafic de diffusion. Un nombre de diffusions et une charge de trafic
trop élevés sur un réseau peuvent entraîner un encombrement qui ralentit les performances
réseau.
Lorsque deux commutateurs sont interconnectés, le domaine de diffusion augmente, comme

l'illustre la deuxième partie de l'animation. Dans cet exemple, une trame de diffusion est
transférée à tous les ports connectés sur le commutateur S1. Le commutateur S1 est connecté
au commutateur S2. La trame est alors également propagée à tous les périphériques connectés
au commutateur S2.
2.2.3
Réduire la congestion du réseau

Les commutateurs LAN ont des caractéristiques particulières qui les aident à réduire la
congestion du réseau. Par défaut, les ports de commutation interconnectés tentent d'établir une
liaison en duplex intégral, éliminant ainsi les domaines de collision. Chaque port full-duplex
du commutateur fournit la totalité de la bande passante à l'appareil ou aux appareils qui sont
connectés à ce port. Les connexions en duplex intégral (full-duplex) ont considérablement
augmenté les performances du réseau local et sont requises pour des vitesses Ethernet de 1
Gbps et plus.
Les commutateurs interconnectent les segments de réseau local, utilisent une table d'adresses
MAC pour déterminer les ports de sortie et peuvent réduire ou éliminer entièrement les
collisions. Les caractéristiques des commutateurs qui atténuent la congestion du réseau sont
notamment les suivantes
 Vitesses de port rapides - Les vitesses de port des commutateurs Ethernet varient selon le modèle et
l'objectif. Par exemple, la plupart des commutateurs de la couche d'accès supportent des vitesses de
port de 100 Mbps et 1 Gbps. Les commutateurs de la couche distribution prennent en charge des
vitesses de port de 100 Mbps, 1 Gbps et 10 Gbps. Les commutateurs de la couche centrale et des
centres de données peuvent prendre en charge des vitesses de port de 100 Gbps, 40 Gbps et 10
Gbps. Les commutateurs avec des vitesses de port plus élevées coûtent plus cher, mais peuvent
réduire la congestion.
 Commutation interne rapide - Les commutateurs utilisent un bus interne rapide ou une mémoire
partagée pour fournir des performances élevées.
 Grandes mémoires tampons de trames - Les commutateurs utilisent de grandes mémoires tampons
pour stocker temporairement plus d'images reçues avant de devoir commencer à les déposer. Cela
permet de transférer le trafic d'entrée à partir d'un port plus rapide (par exemple, 1 Gbit/s) vers un
port de sortie plus lent (par exemple, 100 Mbit/s) sans perdre de trames.
 Haute densité de port - Un commutateur à haute densité de port réduit les coûts globaux car il
réduit le nombre de commutateurs requis. Par exemple, si 96 ports d'accès étaient nécessaires, il
serait moins coûteux d'acheter deux commutateurs 48 ports au lieu de quatre commutateurs 24
ports. Les commutateurs haute densité de port aident également à maintenir le trafic local, ce qui
contribue à réduire la congestion.
2.2.4
Vérifiez votre compréhension - Domaines de

Commutation
Vérifiez votre compréhension en choisissant la MEILLEURE réponse aux questions
suivantes.
1. Quelle vitesse de port sera automatiquement négociée entre un hôte doté d'une carte réseau de
1 Gbit/s connectée à un commutateur Cisco Catalyst 2960 doté d'un port de 100 Mbit/s ?
10 Mbit/s
100 Mbit/s
1 Gbit/s
10 Gbit/s
2. Quel périphérique sépare les domaines de diffusion ?
un point d'accès
concentrateur
routeur
commutateur
3. Quelles sont les deux caractéristiques particulières des commutateurs LAN pour réduire la
congestion du réseau ? (Choisissez deux propositions.)
vitesses de port rapides
Commutation interne rapide
densités de ports faibles
petits tampons de trame

2.3.1

Retransmission de trame
La décision sur la manière dont un commutateur transmet le trafic est basée sur le flux de ce
trafic. Le terme "ingress" décrit le port par lequel une trame entre dans un appareil. Le terme
"egress" décrit le port que les cadres utiliseront lorsqu'ils quitteront l'appareil. Une trame
Ethernet ne sera jamais transférée hors du port où elle est entrée. Pour qu'un commutateur
sache vers quel port transférer une trame, il doit tout d'abord apprendre quels périphériques
existent sur chaque port. À mesure que le commutateur apprend la relation entre les ports et
les dispositifs, il construit une table appelée table d'adresses MAC. Chaque trame qui entre
dans un commutateur est vérifiée pour connaître de nouvelles informations en examinant
l'adresse MAC source de la trame et le numéro de port où la trame est entrée dans le
commutateur. Si l'adresse MAC de destination est une adresse monodiffusion, le commutateur
recherche une correspondance entre l'adresse MAC de destination de la trame et une entrée
dans sa table d'adresses MAC. Les méthodes de transfert comprennent le stockage et la
transmission ainsi que la coupure. Le système de stockage et de transmission utilise la
vérification des erreurs et la mise en mémoire tampon automatique. Le cut-through ne vérifie
pas les erreurs. Au lieu de cela, il effectue une commutation rapide de trame. Cela signifie que
le commutateur peut prendre une décision de transfert dès qu'il a recherché l'adresse MAC de
destination de la trame dans sa table d'adresses MAC.
Changement de domaine
Si un port de commutateur Ethernet fonctionne en mode bidirectionnel non simultané, chaque

segment est dans son propre domaine de collision. Il n'y a pas de domaine de collision lorsque
les ports de commutateur fonctionnent en duplex intégral. Par défaut, les ports des
commutateurs Ethernet s'auto-négocient en duplex intégral lorsque le dispositif adjacent peut
également fonctionner en duplex intégral. Un ensemble de commutateurs interconnectés
constitue un domaine de diffusion unique. Seul un périphérique de couche réseau, tel qu'un
routeur, peut diviser un domaine de diffusion de couche 2. Le domaine de diffusion de
couche 2 est appelé domaine de diffusion MAC. Le domaine de diffusion MAC est constitué
de tous les périphériques du réseau local qui reçoivent les trames de diffusion provenant d'un
hôte. Lorsqu'un commutateur reçoit une trame de diffusion, il la transfère à tous ses ports,
sauf au port d'entrée où elle a été reçue. Chaque périphérique connecté au commutateur reçoit
un exemplaire de la trame de diffusion et la traite. Les commutateurs peuvent : interconnecter
des segments de LAN, utiliser une table d'adresses MAC pour déterminer les ports de sortie,
et peuvent réduire ou éliminer entièrement les collisions. Les caractéristiques des
commutateurs qui atténuent la congestion du réseau sont des vitesses de port rapides, une
commutation interne rapide, des tampons de trame volumineux et une densité de port élevée.
2.3.2
Module Questionnaire - Concepts de

commutation
1.
Quelle déclaration est vraie sur les domaines de diffusion et de collision?
La taille du domaine de collision peut être réduite en ajoutant des concentrateurs à un réseau.
L'ajout d'un routeur à un réseau augmentera la taille du domaine de collision.
Plus un routeur a d'interfaces, plus le domaine de diffusion résultant est grand.
L'ajout d'un commutateur à un réseau augmentera la taille du domaine de diffusion.

2. Qu'est-ce qu'une fonction d'un commutateur de couche 2?
transmet les données sur la base d'un adressage logique
duplique le signal électrique de chaque trame à chaque port
détermine l'interface utilisée pour transférer une image en fonction de l'adresse MAC de
destination
apprend le port attribué à un hôte en examinant l'adresse MAC de destination
3. Quelle est la différence significative entre un concentrateur (hub) et un commutateur LAN de
couche 2 ?
Chaque port d'un concentrateur est un domaine de collision, et chaque port d'un commutateur
est un domaine de diffusion.
Un commutateur crée de nombreux domaines de collision plus petits et un concentrateur

augmente la taille d'un seul domaine de collision.
Un concentrateur divise les domaines de collision et un commutateur divise les domaines de

diffusion.
Un concentrateur transmet les trames et un commutateur transfère uniquement les paquets.

4. Que fait un commutateur Cisco LAN après réception d'une trame entrante dont l'adresse MAC de
destination ne figure pas dans la table des adresses MAC ?
Il envoie la trame à l'adresse de la passerelle par défaut.
Il utilise le protocole ARP pour convertir le port associé à la trame.
Il abandonne la trame.
Il transmet la trame à tous les ports, sauf au port récepteur de la trame.

5. Quelle caractéristique de commutateur aide à réduire la congestion du réseau lorsqu'un port de
10 Gbit/s transfère des données vers un port de 1 Gbit/s ?
Nombre de ports élevé
Commutation interne rapide

Vitesse de port rapide
Tampons de trames
6. Quelle méthode de commutation utilise la valeur FCS ?
Cut-Through
diffusion
grand tampon de trame
Store-and-Forward
7. Que représente le terme « densité de port » pour un commutateur Ethernet ?
l'espace mémoire alloué à chaque port de commutateur
la vitesse de chaque port
le nombre de ports disponibles
le nombre d'hôtes connectés à chaque port de commutateur

8. Quelles informations un commutateur utilise-t-il pour maintenir les informations de la table
d'adresses MAC à jour ?
les adresses MAC source et destination et le port d'entrée
l'adresse MAC de destination et le port sortant

les adresses MAC source et destination et le port de départ
l'adresse MAC source et le port d'entrée
l'adresse MAC de destination et le port d'arrivée
l'adresse MAC source et le port sortant

9. Quelles sont les deux déclarations qui sont vraies sur les communications semi-duplex et duplex
intégral ? (Choisissez deux propositions.)
Le duplex intégral augmente la bande passante effective.
Toutes les cartes réseau modernes prennent en charge les communications semi-duplex et
duplex intégral.
Le semi-duplex n'a qu'un seul canal.
Le duplex intégral permet aux deux extrémités de transmettre et de recevoir simultanément.
Le duplex intégral offre un potentiel d'utilisation de la bande passante de 100 %.

10. Quel type d'adresse un commutateur utilise-t-il pour établir une table des adresses MAC ?
Adresse MAC d'origine
Adresse IP de destination
Adresse MAC de destination
Adresse IP source
11. Quelle option décrit correctement une méthode de commutation ?
store-and-forward : transmet le cadre immédiatement après avoir examiné son adresse MAC de
destination
cut-through : prend une décision d'expédition après avoir reçu l'ensemble du cadre
cut-through : offre la flexibilité nécessaire pour prendre en charge n'importe quelle combinaison
de vitesses Ethernet
store-and-forward : garantit que la trame est exempte d'erreurs physiques et de liaison de

données
12. Quel périphérique réseau peut servir de périphérie pour diviser un domaine de diffusion de
couche 2 ?
un point d'accès
un pont Ethernet
un routeur
un concentrateur Ethernet
13. Quel est le but des tampons de trame sur un commutateur ?
Ils fournissent une analyse de sécurité de base sur les trames reçues.
Ils permettent le stockage temporaire de la somme de contrôle des trames.
Ils maintiennent le trafic, ce qui réduit la congestion du réseau.

Ils exécutent des valeurs de somme de contrôle avant la transmission.
14. Quel périphérique réseau peut être utilisé pour éliminer les collisions sur un réseau Ethernet ?
concentrateur
pare-feu
commutateur
routeur
3.0.1

Bienvenue sur les VLANs!
Imaginez que vous êtes en charge d'une très grande conférence. Il y a des gens de partout qui
partagent un intérêt commun et d'autres qui ont aussi une expertise particulière. Imaginez si
chaque expert qui voulait présenter ses informations à un public plus limité devait le faire dans la
même grande salle avec tous les autres experts et leurs publics plus limités. Personne ne serait
capable d'entendre quoi que ce soit. Vous devrez trouver des salles séparées pour tous les
experts et leurs publics plus limités. Le réseau local virtuel (VLAN) fait quelque chose de similaire
dans un réseau. Les VLANs sont créés au niveau de la couche 2 pour réduire ou éliminer le trafic
de diffusion. Les VLAN sont la façon dont vous divisez votre réseau en petits réseaux, de sorte
que les périphériques et les personnes d'un seul VLAN communiquent entre eux sans avoir à
gérer le trafic provenant d'autres réseaux. L'administrateur réseau peut organiser les VLAN par
emplacement, qui les utilise, le type de périphérique ou toute catégorie nécessaire. Vous savez
que vous voulez apprendre à le faire, alors n'attendez pas !
3.0.2

module?
Titre du module: VLANs
Objectif du module: Mettre en œuvre des VLAN et des solutions de trunking dans un réseau
commuté.
Légende du tableau
Expliquer la fonction des VLAN dans un réseau

Aperçu des réseaux locaux virtuels (VLAN)
commuté.
Expliquer comment un commutateur transmet des

VLAN dans un environnement à commutateurs
trames basées sur la configuration VLAN dans un
multiples
environnement à commutateurs multiples.
Configurer un port de commutateur à attribuer à un

Configuration du VLAN
VLAN en fonction des conditions requises.
Trunks de VLAN Configurer un port trunk sur un commutateur LAN.
Configurer le protocole DTP (Dynamic Trunking

Protocole DTP (Dynamic Trunking Protocol)
Protocol).
3.1.1
Définitions des VLANs

Bien sûr, organiser votre réseau en petits réseaux n'est pas aussi simple que de séparer les vis
et de les mettre dans des bocaux. Mais cela rendra votre réseau plus facile à gérer. Dans un
réseau commuté, les VLANs assurent la segmentation et favorisent la flexibilité de
l'entreprise. Un groupe d'appareils dans un VLAN communiquent comme s'ils étaient reliés au
même câble. Les VLANs reposent sur des connexions logiques, et non des connexions
physiques.
Comme le montre la figure, les VLANs d'un réseau commuté permettent aux utilisateurs de
différents services (IT, HR et Ventes) de se connecter au même réseau, quel que soit le
commutateur physique utilisé ou l'emplacement d'un réseau local de campus.
La figure montre un bâtiment de 3 étages avec un interrupteur à chaque étage. Au-dessus du

commutateur se trouvent deux connexions à un autre commutateur connecté à un routeur.
Chaque étage a plusieurs hôtes connectés à lui. Il y a trois VLAN qui couvrent les trois étages
et contiennent plusieurs hôtes à chaque étage. Les VLANs sont : VLAN 2, IT, 10.0.2.0/24 ;
VLAN 3, HR, 10.0.3.0/24 ; VLAN 4, Sales, 10.0.4.0/24.
Troisième étageDeuxième étagePremier étageVLAN 2

IT
10.0.2.0/24VLAN 3
HR
10.0.3.0/24VLAN 4
Ventes
10.0.4.0/24
Les VLANs permettent à un administrateur de segmenter les réseaux en fonction de facteurs

tels que la fonction, l'équipe de projet ou l'application, quel que soit l'emplacement physique
de l'utilisateur ou de l'appareil. Chaque VLAN est considéré comme un réseau logique
distinct. Les appareils d'un VLAN se comportent comme s'ils se trouvaient chacun sur leur
propre réseau indépendant, même s'ils partagent une infrastructure commune avec d'autres
VLAN. N'importe quel port du commutateur peut appartenir à un VLAN.
Les paquets de monodiffusion, de diffusion et de multidiffusion ne sont transférés et diffusés
que vers les terminaux appartenant au VLAN d'où ils proviennent. Les paquets destinés à des
périphériques qui n'appartiennent pas au VLAN doivent être transférés via un périphérique
qui prend en charge le routage.
Plusieurs sous-réseaux IP peuvent exister sur un réseau commuté, sans l’utilisation de

plusieurs VLAN. Cependant, les périphériques sont dans le même domaine de diffusion de la
couche 2. Cela signifie que les diffusions de la couche 2, telles qu’une demande ARP, seront
reçues par tous les périphériques du réseau commuté, même par ceux non prévus pour
recevoir la diffusion.
Un VLAN crée un domaine de diffusion logique qui peut s'étendre sur plusieurs segments de
réseau local physique. Les VLANs améliorent les performances réseau en divisant de vastes
domaines de diffusion en domaines plus petits. Si un périphérique d'un VLAN envoie une
trame Ethernet de diffusion, tous les périphériques du VLAN la reçoivent, mais pas les
périphériques d'autres VLAN.
Grâce aux VLANs, les administrateurs de réseau peuvent mettre en œuvre des politiques
d'accès et de sécurité en fonction de groupes d'utilisateurs spécifiques. Chaque port de
commutateur peut être attribué à un seul VLAN (à l’exception des ports connectés à un
téléphone IP ou à un autre commutateur).
3.1.2
Avantages d'une conception VLAN

Chaque VLAN d’un réseau commuté correspond à un réseau IP. Par conséquent, la
conception d’un VLAN doit tenir compte de la mise en œuvre d’un modèle d’adressage
réseau hiérarchique. L'adressage hiérarchique du réseau signifie que les numéros de réseau IP
sont appliqués à des segments de réseau ou à des VLAN d'une manière qui prend en
considération le réseau dans son ensemble. Les blocs d’adresses réseau contiguës sont
réservés et configurés sur les périphériques situés dans une zone spécifique du réseau, comme
l’illustre la figure.
La figure montre une topologie de réseau avec plusieurs commutateurs, plusieurs VLAN et
adressage réseau contigu. En haut de la topologie se trouve un routeur R1 connecté à un
commutateur ci-dessous. Le commutateur est connecté à deux autres commutateurs. Le
commutateur de gauche dispose de trois hôtes connectés, chacun étant affecté à un VLAN
différent. PC1 connecté au port F0/11 a la mission suivante : Faculté, VLAN 10,
172.17.10.21/24. PC2 connecté au port F0/18 a la mission suivante : Étudiant, VLAN 20,
172.17.20.22/24. PC3 connecté au port F0/6 a l'affectation suivante : Invité, VLAN 30,
172.17.30.23/24. Le commutateur sur la droite a également trois hôtes connectés, chacun
assigné à un VLAN différent. PC4 connecté au port F0/11 a la mission suivante : Faculté,
VLAN 10, 172.17.10.24/24. PC5 connecté au port F0/18 a la mission suivante : Étudiant,
VLAN 20, 172.17.20.25/24. PC6 connecté au port F0/6 a l'affectation suivante : Invité,
VLAN 30, 172.1.7.20.26/24.
R1PC1PC2PC3PC6PC5PC4F0/18Fa0/1F0/3F0/11F0/11F0/18F0/6F0/6G0/0/1F0/3F0/5Fa0/1
Faculté
VLAN 10
172.17.10.21/24Étudiant
VLAN 20
172.17.20.22/24Invité
VLAN 30
172.17.30.23/24Invité
VLAN 30
172.17.30.26/24Étudiant
VLAN 20
172.17.20.25/24Faculté
VLAN 10
172.17.10.24/24
Le tableau répertorie les avantages de la conception d'un réseau avec des VLANs.
AvantagesDescriptionPetits domaines de diffusionDivision d'un réseau en VLAN réduit le nombre de

périphériques dans le domaine de diffusion. Dans la figure, il sont six ordinateurs dans le réseau,
mais seulement trois domaines de diffusion (c'est-à-dire, Faculté, Étudiant et Invité) .Amélioration de
la sécurité Unique les utilisateurs dans le même VLAN peuvent communiquer ensemble.Dans la
figure, le trafic réseau de la faculté sur VLAN 10 est complètement séparé et sécurisé des utilisateurs
sur d'autres VLAN.Amélioration de l'efficacité informatique Les VLANs simplifient la gestion du
réseau car les utilisateurs ayant des besoins similaires peuvent être configurés sur le même VLAN.
Les VLANs peuvent être nommés pour les rendre plus faciles à identifier. Dans la figure, VLAN 10 a
été nommé "Faculté", VLAN 20 "Étudiant" et VLAN 30 "Invité". Les VLAN à coût réduit réduisent la
nécessité de mises à niveau coûteuses du réseau et utilisent la bande passante et les liaisons
montantes existantes de manière plus efficace, ce qui permet de réaliser des économies. Meilleures
performances Les domaines de diffusion plus petits réduisent le trafic inutile sur le réseau et
améliorent les performances. Les VLANs de gestion de projets et d'applications simplifiés regroupent
les utilisateurs et les périphériques réseau pour répondre aux besoins des entreprises ou des zones
géographiques. Le fait d'avoir des fonctions séparées facilite la gestion d'un projet ou le travail avec
une application spécialisée ; un exemple d'une telle application est une plate-forme de
développement d'apprentissage en ligne pour la faculté.
Bénéfice Description
 La division d'un réseau en VLAN réduit le nombre de

périphériques dans le domaine de diffusion.
Domaines de Diffusion Plus Petits  Dans la figure, il y a six ordinateurs dans le réseau, mais
seulement trois domaines de diffusion (p. ex., Faculté,
Étudiant et Invité).
 Seuls les utilisateurs du même VLAN peuvent

communiquer ensemble.
 Dans la figure, le trafic réseau de professeurs sur VLAN
Sécurité optimisée
10 est complètement séparés et sécurisés des
utilisateurs sur d'autres VLAN.
AvantagesDescriptionPetits domaines de diffusionDivision d'un réseau en VLAN réduit le nombre de
périphériques dans le domaine de diffusion. Dans la figure, il sont six ordinateurs dans le réseau,
mais seulement trois domaines de diffusion (c'est-à-dire, Faculté, Étudiant et Invité) .Amélioration de
la sécurité Unique les utilisateurs dans le même VLAN peuvent communiquer ensemble.Dans la
figure, le trafic réseau de la faculté sur VLAN 10 est complètement séparé et sécurisé des utilisateurs
sur d'autres VLAN.Amélioration de l'efficacité informatique Les VLANs simplifient la gestion du
réseau car les utilisateurs ayant des besoins similaires peuvent être configurés sur le même VLAN.
Les VLANs peuvent être nommés pour les rendre plus faciles à identifier. Dans la figure, VLAN 10 a
été nommé "Faculté", VLAN 20 "Étudiant" et VLAN 30 "Invité". Les VLAN à coût réduit réduisent la
nécessité de mises à niveau coûteuses du réseau et utilisent la bande passante et les liaisons
montantes existantes de manière plus efficace, ce qui permet de réaliser des économies. Meilleures
performances Les domaines de diffusion plus petits réduisent le trafic inutile sur le réseau et
améliorent les performances. Les VLANs de gestion de projets et d'applications simplifiés regroupent
les utilisateurs et les périphériques réseau pour répondre aux besoins des entreprises ou des zones
géographiques. Le fait d'avoir des fonctions séparées facilite la gestion d'un projet ou le travail avec
une application spécialisée ; un exemple d'une telle application est une plate-forme de
développement d'apprentissage en ligne pour la faculté.
Bénéfice Description
 Les VLAN simplifient la gestion du réseau car les

utilisateurs ayant des besoins similaires peuvent être
configurés sur le même VLAN .
 Les VLAN peuvent être nommés pour les rendre plus
Amélioration de l'efficacité des ressources IT
faciles à identifier.
 Dans la figure, VLAN 10 a été nommé “Faculté”, VLAN
20 “Étudiant”, et VLAN 30 “Invité.”
Les VLAN réduisent la nécessité de mises à niveau

coûteuses du réseau et utilisent plus efficacement la
Coût réduit largeur de bande et les liaisons montantes existantes,
ce qui permet de réaliser des économies.
Les domaines de diffusion plus petits réduisent le trafic

Meilleures performances
inutile sur le réseau et améliorent les performances.
 Les VLAN regroupent les utilisateurs et les

périphériques réseau pour prendre en charge
l'entreprise ou les exigences géographiques.
Une gestion simplifiée des projets et des  Avoir des fonctions distinctes rend la gestion d'un
applications projet ou l'utilisation d'un application spécialisée plus
facile ; un exemple d'une telle application est une
plateforme de développement de l'apprentissage en
ligne pour la faculté.
3.1.3
Types de réseaux locaux virtuels
Les VLAN sont utilisés pour différentes raisons dans les réseaux modernes. Certains types de
VLAN sont définis par les classes de trafic. D’autres types de VLAN sont définis par leur
fonction spécifique.
Cliquez sur chaque type de VLAN pour plus d'informations.

VLAN par défaut
VLAN de données
VLAN natif
VLAN de gestion
VLAN voix
VLAN par défaut
Le VLAN par défaut sur un commutateur Cisco est le VLAN 1. Par conséquent, tous les ports
de commutateur sont sur le VLAN 1, sauf s'il est explicitement configuré pour être sur un
autre VLAN. Par défaut, tout le trafic de contrôle de couche 2 est associé au VLAN 1.
Les faits importants à retenir à propos du VLAN 1 sont les suivants :
 Tous les ports sont attribués à VLAN 1 par défaut.

 Le VLAN natif est le VLAN 1 par défaut.
 Le VLAN de gestion est le VLAN 1 par défaut.
 Le VLAN 1 ne peut pas être renommé ni supprimé.
Par exemple, dans la sortie show vlan brief, tous les ports sont actuellement attribués au
VLAN 1 par défaut. Aucun VLAN natif n’est explicitement attribué et aucun autre VLAN
n’est actif ; par conséquent, le VLAN natif est défini comme VLAN de gestion. Il s’agit d’un
risque de sécurité.
Switch# show vlan brief
VLAN Name Status Ports
---- ----------------- ------- --------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

3.1.4
Packet Tracer : Qui entend la diffusion?

Dans cette activité Packet Tracer, vous remplirez les objectifs suivants :
 Partie 1: Observation du trafic de diffusion dans une implémentation VLAN

 Partie 2: Réponse aux questions de révision
Qui entend la diffusion?

Qui entend la diffusion?
3.1.5
Vérifier votre compréhension - Aperçu des

VLAN
Vérifiez votre compréhension des réseaux locaux virtuels en choisissant la MEILLEURE
réponse aux questions suivantes.
1. Vrai ou faux ? Les VLAN améliorent les performances du réseau en segmentant les domaines de
diffusion.
Vrai
Faux
2. Vrai ou faux? Les VLAN peuvent améliorer la sécurité en isolant les données sensibles du reste
du réseau.
Vrai
Faux
3. Quel type de VLAN est attribué aux ports de trunk 802.1Q pour transporter du trafic non
étiqueté ?
par défaut
natif
données
gestion
4. Vrai ou faux ? Il est recommandé de configurer le VLAN natif en tant que VLAN 1.
Vrai
Faux
5. Quel est le cas de VLAN 1 ? (Choisissez toutes les réponses qui conviennent.)
Tous les ports de commutateur sont attribués par défaut à VLAN.
Le VLAN natif est le VLAN 1 par défaut.
Le VLAN de gestion est le VLAN 1 par défaut.
Le VLAN 1 ne peut pas être renommé ni supprimé.

3.2.1
Définition des trunks de VLAN

Les VLAN ne seraient pas très utiles sans les trunks de VLAN. Les trunks VLAN permettent
à tout le trafic VLAN de se propager entre les commutateurs. Cela permet aux périphériques
connectés à différents commutateurs mais dans le même VLAN de communiquer sans passer
par un routeur.
Une agrégation est une liaison point à point entre deux périphériques réseau qui porte
plusieurs VLAN. Un trunk de VLAN permet d’étendre les VLAN à l’ensemble d’un réseau.
Cisco prend en charge la norme IEEE 802.1Q pour la coordination des trunks sur les
interfaces Fast Ethernet, Gigabit Ethernet et 10 Gigabit Ethernet.
Un trunk VLAN n'appartient pas à un VLAN spécifique. Au lieu de cela, il s'agit d'un canal
pour plusieurs VLAN entre les commutateurs et les routeurs. Un trunk peut également être
utilisée entre un périphérique réseau et un serveur ou un autre périphérique équipé d’une carte
réseau 802.1Q appropriée. Par défaut, sur un commutateur Cisco Catalyst, tous les VLAN
sont pris en charge sur un port trunk.
Dans la figure, les liens mis en évidence entre les commutateurs S1 et S2, et S1 et S3 sont
configurés pour transmettre le trafic provenant des VLAN 10, 20, 30 et 99 (c'est-à-dire le
VLAN natif) sur le réseau. Ce réseau ne peut pas fonctionner sans trunks de VLAN.
La figure est une topologie de réseau avec plusieurs commutateurs et plusieurs VLAN mettant
en évidence les liaisons de trunk VLAN entre les commutateurs. En haut de la topologie se
trouve le commutateur S1. S1 est connecté via le port F0/1 au commutateur S2 au port F0/1.
Cette connexion est mise en surbrillance. S1 est également connecté via le port F0/3 au
commutateur S3 au port F0/3. Cette connexion est également mise en évidence. Les deux S2
et S3 ont trois hôtes connectés à eux, chacun étant attribué à un VLAN différent. Connectés à
S2 sont PC1, PC2 et PC3. PC1 est connecté au port F0/11 a l'attribution suivante : Faculté,
VLAN 10, 172.17.10.21. PC2 est connecté au port F0/18 a l'attribution suivante : Étudiant,
VLAN 20, 172.17.20.22. PC3 est connecté au port F0/6 a l'attribution suivante : Invité,
VLAN 30, 172.17.30.23. Connectés à S3 sont PC4, PC5 et PC6. PC4 est connecté au port
F0/11 a l'attribution suivante : Faculté, VLAN 10, 172.17.10.24. PC5 est connecté au port
F0/18 a l'attribution suivante : Étudiant, VLAN 20, 172.17.20.25. PC6 est connecté au port
F0/6 a l'attribution suivante : Invité, VLAN 30, 172.1.7.20.26.
PC2PC3PC6PC5PC4S2S3S1PC1F0/18F0/1F0/3F0/11F0/11F0/18F0/6F0/6F0/1F0/3
Invité
VLAN 30 :
172.17.30.26Invité
VLAN 30 :
172.17.30.23Faculté
VLAN 10 -
172.17.10.21Faculty
VLAN 10 -
172.17.10.24Étudiant
VLAN 20 -
VLAN 20 -
172.17.20.25
3.2.2
Réseau sans VLAN

Lorsqu'un commutateur reçoit une trame de diffusion sur l'un de ses ports, il la transmet à tous
les autres ports, à l'exception du port où la diffusion a été reçue. Dans l'animation, l'ensemble
du réseau est configuré dans le même sous-réseau (172.17.40.0/24) et aucun VLAN n'est
configuré. Par conséquent, lorsque l’ordinateur du personnel enseignant (PC1) envoie une
trame de diffusion, le commutateur S2 l’envoie par tous ses ports. Par la suite, l’ensemble du
réseau reçoit la diffusion, car il s’agit d’un seul domaine de diffusion.
Diffusion
Diffusion
Diffusion
PC1 envoie une diffusion de couche 2 locale. Les commutateurs transmettent la trame de diffusion par tous les ports disponibles.
Faculté
172.17.40.21/24
Étudiant
172.17.40.22/24
Invité
172.17.40.23/24
Faculté
172.17.40.24/24
Étudiant
172.17.40.25/24
Invité
172.17.40.26/24
3.2.3
Réseau avec VLAN

Cliquez sur Lire dans l'animation pour voir que le même réseau a maintenant été segmenté à
l'aide de deux VLAN. Les périphériques sur les autres sous-réseaux IPv4 vont également
recevoir la même trame de diffusion. Lorsqu’une trame de diffusion est envoyée de
l’ordinateur du personnel enseignant (PC1) au commutateur S2, ce dernier transfère la trame
de diffusion uniquement aux ports du commutateur configurés pour prendre en charge le
VLAN 10.
PC1 envoie une diffusion de couche 2 locale. Les commutateurs transmettent la trame de diffusion uniquement par les ports
configurés pour le VLAN 10.
Trunks de VLAN configurés pour prendre en charge les VLAN 10 et 20
Faculté
VLAN 10
172.17.10.21/24
Étudiant
VLAN 20
172.17.20.22/24
Faculté
VLAN 10
172.17.10.24/24
Étudiant
VLAN 20
172.17.20.25/24
Les ports qui assurent la connexion entre les commutateurs S2 et S1 (ports F0/1) et entre les
commutateurs S1 et S3 (ports F0/3) sont des trunks qui ont été configurées pour prendre en
charge tous les VLAN du réseau.
Lorsque le commutateur S1 reçoit la trame de diffusion sur le port F0/1, il la transfère par le
seul autre port configuré pour prendre en charge le VLAN 10, soit le port F0/3. Lorsque le
commutateur S3 reçoit la trame de diffusion sur le port F0/3, il la transfère par le seul autre
port configuré pour prendre en charge le VLAN 10, soit le port F0/11. La trame de diffusion
parvient au seul autre ordinateur sur le réseau configuré dans le VLAN 10, soit l’ordinateur
PC4 du personnel enseignant.
Lorsque des VLAN sont implémentés sur un commutateur, la transmission du trafic

monodiffusion, multidiffusion et diffusion à partir d’un hôte figurant sur un VLAN donné est
limitée aux périphériques se trouvant sur ce VLAN.
3.2.4
Identification du VLAN à l'aide d'une balise

L'en-tête de trame Ethernet standard ne contient pas d'informations sur le VLAN auquel
appartient la trame. Par conséquent, lorsque des trames Ethernet sont placées sur un trunk, des
informations sur les VLAN auxquels elles appartiennent doivent être ajoutées. Ce processus,
appelé étiquetage, s’effectue à l’aide de l’en-tête IEEE 802.1Q, précisé dans la norme IEEE
802.1Q. L’en-tête 802.1Q inclut une étiquette de 4 octets insérée dans l’en-tête d’origine de la
trame Ethernet, indiquant le VLAN auquel la trame appartient.
Lorsque le commutateur reçoit une trame sur un port configuré en mode d’accès et associé à
un VLAN, il insère une étiquette VLAN dans l’en-tête de trame, recalcule la séquence de
contrôle de trame, puis envoie la trame étiquetée par un port trunk.
Détails des champs de balises VLAN
Comme le montre la figure, le champ d'information de contrôle des balises VLAN se

compose d'un champ de type, d'un champ de priorité, d'un champ d'identificateur de format
canonique et d'un champ d'ID VLAN :
 Type - Une valeur de 2 octets appelée valeur d'ID de protocole de balise (TPID). Pour Ethernet, il est
défini sur hexadécimal 0x8100.
 Priorité utilisateur - Une valeur de 3 bits qui soutient la mise en œuvre du niveau ou du service.
 CFI (Canonical Format Identifier) - Identificateur de 1 bit qui permet aux trames Token Ring d'être
transportées sur les liaisons Ethernet.
 VID (VLAN ID) - Un numéro d'identification VLAN de 12 bits qui prend en charge jusqu'à 4096 ID
VLAN.
Une fois que le commutateur a inséré les champs d'information de contrôle des balises, il
recalcule les valeurs du FCS et insère le nouveau FCS dans le cadre.
La figure montre une balise VLAN insérée dans un en-tête de trame. En haut de la figure se
trouve un cadre montrant les champs suivants : Dst MAC, Src MAC, Type/Length, Data et
FCS. Ci-dessous se trouve le cadre affiché à nouveau, cette fois avec le champ Tag inséré
entre les champs Src MAC et Type/Length. Ci-dessous se trouvent les sous-champs suivants
de la balise et leur longueur : Type (0x8100), longueur 2 octets ; Pri, longueur 3 bits ; CFI,
longueur 1 bit ; et VID, longueur 12 bits.
Dst MACMAC srcBaliseType/LongueurDonnéesFCSType (0x8100)Dst MACMAC srcType/LongueurDonnéesFCS2

octets3 bits1 bit12 bitsVIDPriCFI
3.2.5
VLAN natifs et étiquetage 802.1Q

La norme IEEE 802.1Q spécifie un VLAN natif pour les liaisons de trunk, qui est par défaut
VLAN 1. Lorsqu'une trame non balisée arrive sur un port de trunk, elle est attribué au VLAN
natif. Les trames de gestion envoyées entre les commutateurs sont un exemple de trafic
généralement non balisé. Si la liaison entre deux commutateurs est un trunk, le commutateur
envoie le trafic non marqué sur le VLAN natif.
Trames marquées sur le VLAN natif
Certains périphériques prenant en charge le système de trunk ajoutent une étiquette VLAN au
trafic VLAN natif. Le trafic de contrôle envoyé sur le VLAN natif ne doit pas être étiqueté. Si
un port agrégé 802.1Q reçoit une trame étiquetée avec un ID de VLAN identique à celui du
VLAN natif, il abandonne la trame. Par conséquent, lorsque vous configurez un port sur un
commutateur Cisco, configurez les périphériques de sorte qu’ils n’envoient pas de trames
étiquetées sur le VLAN natif. Les périphériques tiers qui prennent en charge les trames
étiquetées sur le VLAN natif comprennent des téléphones IP, des serveurs, des routeurs et des
commutateurs non-Cisco.
Trames non marquées sur le VLAN natif
Lorsqu’un port trunk du commutateur Cisco reçoit des trames non étiquetées (qui sont peu
communes dans un réseau bien conçu), il transfère ces trames au VLAN natif. S’il n’existe
aucun périphérique associé au VLAN natif (ce qui n’est pas rare) et aucun autre port trunk (ce
qui n’est pas rare non plus), la trame est abandonnée. Le VLAN natif par défaut est le
VLAN 1. Lorsque vous configurez un port trunk 802.1Q, un ID de VLAN (PVID) de port par
défaut se voit attribuer la valeur de l’ID du VLAN natif. Tout le trafic non étiqueté entrant par
le port 802.1Q ou en sortant est transféré en fonction de la valeur PVID. Par exemple, si le
VLAN 99 est configuré en tant que VLAN natif, le PVID est 99 et tout le trafic non étiqueté
est transféré au VLAN 99. Si le VLAN natif n’a pas été reconfiguré, la valeur PVID est
définie sur le VLAN 1.
Dans la figure, le PC1 est connecté via un concentrateur à une liaison trunk 802.1Q.
La figure est une topologie de réseau montrant le flux du trafic non marqué sur le VLAN
natif. En haut de la figure est un commutateur. Le commutateur est connecté ci-dessous à
quatre autres commutateurs via une liaison de trunk 802.1Q vers chacun d'eux. Entre le
commutateur supérieur et le commutateur situé à l'extrême gauche se trouve un concentrateur
auquel l'hôte PC1 est connecté. Le commutateur d'extrême gauche a un port dans VLAN 1 et
un port dans VLAN 2. Le deuxième commutateur à partir de la gauche a un port dans VLAN
3. Le troisième commutateur à partir de la gauche dispose d'un port dans le VLAN 1. Le
commutateur sur la droite a un port dans VLAN 2 et un port dans VLAN 3. Les flèches
orange montrent le trafic envoyé par PC1 flux vers le concentrateur qui l'envoie aux deux
commutateurs attachés. Le commutateur d'extrême gauche l'envoie vers le port du VLAN 1.
Le commutateur supérieur l'envoie au troisième commutateur à partir de la gauche, ce qui
l'envoie vers le port connecté au VLAN 1.
PC1
VLAN 1VLAN 2VLAN 3VLAN 1VLAN 2VLAN 3Trunk 802.1QTrunk 802.1QTrunk 802.1QTrunk 802.1Q
Le PC1 envoie le trafic non étiqueté que les commutateurs associent au VLAN natif configuré
sur les ports trunk et le transfère en conséquence. Le trafic étiqueté sur le trunk que reçoit le
PC1 est abandonné. Ce scénario témoigne d’une conception réseau médiocre pour plusieurs
raisons : elle utilise un concentrateur, un hôte est connecté à une liaison trunk et les
commutateurs sont équipés de ports d’accès affectés au VLAN natif. Il illustre également la
volonté de se servir des VLANs natifs comme d’un moyen de prendre en charge les scénarios
existants selon la norme IEEE 802.1Q.
3.2.6
Étiquetage VLAN voix

Un VLAN voix distinct est nécessaire pour prendre en charge la voix sur IP (VoIP). Cela
permet d'appliquer des stratégies de qualité de service (QoS) et de sécurité au trafic vocal.
Chaque téléphone IP doit être directement branché dans un port de commutation. Un hôte IP
peut se connecter au téléphone IP pour obtenir une connectivité réseau également. Vous
pouvez configurer un port d'accès connecté à un téléphone IP Cisco pour utiliser deux VLAN
distincts : Un VLAN est destiné au trafic vocal et l'autre est un VLAN de données pour
prendre en charge le trafic hôte. La liaison entre le commutateur et le téléphone IP fait office
de trunk pour acheminer à la fois le trafic du VLAN voix et le trafic du VLAN de données.
Le téléphone IP Cisco contient un commutateur 10/100 intégré à trois ports. Les ports
fournissent des connexions dédiées aux périphériques suivants :
 Le port 1 est connecté au commutateur ou à un autre périphérique de VoIP.

 Le port 2 est une interface 10/100 interne qui transporte le trafic du téléphone IP.
 Le port 3 (port d’accès) est connecté à un ordinateur ou autre périphérique.
Le port d'accès du commutateur envoie des paquets CDP indiquant au téléphone IP connecté
d'envoyer du trafic vocal de l'une des trois manières suivantes. La méthode utilisée varie en
fonction du type de trafic :
 Le trafic VLAN vocal doit être étiqueté avec une valeur de priorité de classe de service (CoS) de
couche 2 appropriée
 Le trafic VLAN d'accès peut également être étiqueté avec une valeur de priorité CoS de couche 2
 Le VLAN d'accès n'est pas marqué (pas de valeur de priorité CoS de couche 2)
Dans la figure, l'ordinateur PC5 de l'élève est relié à un téléphone IP Cisco, et le téléphone est
relié au commutateur S3. Le VLAN 150 est conçu pour acheminer le trafic vocal, tandis que
le PC5 se trouve dans le VLAN 20, lequel est utilisé pour les données des étudiants.
hôte connecté à un téléphone IP connecté à un commutateur montrant la configuration d'un

VLAN vocal et de données
F0/18P1P2P3S3PC5
Port de commutateur configuré pour prendre en charge le trafic voix :
 Demande au téléphone d'identifier les trames de voix avec le VLAN 150
 Donne la priorité aux trames de voix
 Transmet la trame de données de VLAN 20
Configuré pour affecter une étiquette VLAN 150 aux trames de trafic vocal Téléphone IP CiscoTéléphone
ASICAccess portCommutateur à 3 ports
3.2.7
Exemple de vérification VLAN vocal

L'exemple de sortie de la commande show interface fa0/18 switchport est affiché. Les zones
en surbrillance dans l'exemple de sortie montrent l'interface F0/18 configurée avec un VLAN
configuré pour les données (VLAN 20), et un VLAN configuré pour la voix (VLAN 150).
S1# show interfaces fa0/18 switchport
Name: Fa0/18
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 20 (student)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: 150 (voice)

3.2.8
Packet Tracer - Investiguer la mise en œuvre

d'un VLAN
Dans cet exercice, vous allez observer comment le trafic de diffusion est transféré par les
commutateurs lorsque des VLAN sont configurés et lorsque des VLAN ne sont pas
configurés.
Investiguer la mise en œuvre d'un VLAN
Investiguer la mise en œuvre d'un VLAN

3.2.9
Vérifiez votre compréhension - VLAN dans un

environnement multi-commutateurs
Cette activité Vérifier votre compréhension utilise un scénario différent pour chaque question.
Cliquez sur chaque bouton correspondant au scénario VLAN correspondant à la question.

Question 1 Topologie
La topologie du réseau de la question 1 comporte un commutateur au milieu connecté à un

commutateur à gauche et un autre à droite. Connectés au commutateur gauche sont les trois
hôtes suivants : PC1 dans le VLAN 10, PC2 dans le VLAN 20 et PC3 dans le VLAN 30.
Connectés au commutateur de droite sont les trois hôtes suivants : PC4 dans VLAN 10, PC5
dans VLAN 20 et PC6 dans VLAN30.
PC1PC2PC3PC4PC5PC6
VLAN 10VLAN 20VLAN 30VLAN 10VLAN 20VLAN 30
1.
Se reporter à l'exposition Question 1 Topologie. Le PC1 envoie une trame de diffusion ARP.
Quel PC recevra la trame de diffusion ARP ?
PC2
PC3
PC4
PC5
PC6
2. Se reporter à l'exposition Question 2 Topologie. Le PC2 envoie une trame de diffusion ARP.
Quels PC recevront la trame de diffusion ARP ? (Choisissez toutes les réponses qui
conviennent.)
PC1
PC3
PC4
PC5
PC6
3. Se reporter à l'exposition Question 3 Topologie. Le PC3 envoie une trame de diffusion ARP.
Quel PC recevra la trame de diffusion ARP ?
PC1
PC2
PC4
PC5
PC6
3.3.1
Plages VLAN sur les commutateurs Catalyst

La création de VLAN, comme la plupart des autres aspects de la mise en réseau, est une
question d'entrer les commandes appropriées. Cette rubrique explique comment configurer et
vérifier différents types de VLAN.
Divers commutateurs Cisco Catalyst prennent en charge des nombres de VLAN différents. Le
nombre de VLAN pris en charge est suffisamment élevé pour répondre aux besoins de la plupart
des entreprises. Par exemple, les commutateurs Catalyst des séries 2960 et 3650 prennent en
charge plus de 4 000 VLAN. Sur ces commutateurs, les VLAN à plage normale sont numérotés
de 1 à 1 005 et les VLAN à plage étendue, de 1 006 à 4 094. La figure illustre les VLAN par
défaut sur un commutateur Catalyst 2960 exécutant la version 15.x de Cisco IOS.
Switch# show vlan brief
---- ----------------- ------- --------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12

Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
VLAN à gamme normale
Voici les caractéristiques des VLANs à plage normale :
 Ils sont utilisés dans tous les réseaux de petites et moyennes organisations et d'entreprises.
 Ils sont identifiés par un ID VLAN compris entre 1 et 1005.
 (Les ID 1002 à 1005 sont réservés aux VLAN Token Ring et FDDI [Fiber Distributed Data
Interface].)
 Les ID 1 et 1002 à 1005 sont automatiquement créés et ne peuvent pas être supprimés.
 Les configurations sont stockées dans la mémoire flash du commutateur dans un fichier de base
de données VLAN appelé vlan.dat.
 Lorsqu' il est configuré, le protocole VLAN Trunking Protocol (VTP) permet de synchroniser la
base de données VLAN entre les commutateurs.
VLAN à gamme étendue
Voici les caractéristiques des VLANs à plage étendue :
 Ils sont utilisés par les fournisseurs de services pour desservir de multiples clients et par des
entreprises mondiales suffisamment grandes pour avoir besoin d'ID de VLAN à portée étendue.
 Ils sont identifiés par un ID VLAN entre 1006 et 4094.
 Les configurations sont enregistrées, par défaut, dans la configuration en cours.
 Ils prennent en charge moins de fonctions VLAN que les VLANs à portée normale.
 Nécessite une configuration en mode transparent VTP pour prendre en charge les VLANs à
portée étendue.
Remarque: 4096 est la limite supérieure pour le nombre de VLAN disponibles sur les
commutateurs Catalyst, car il y a 12 bits dans le champ ID VLAN de l'en-tête IEEE 802.1Q.
3.3.2
Commandes de création de VLAN

Lors de la configuration de VLAN à portée normale, les détails de la configuration sont stockés
dans la mémoire flash du commutateur dans un fichier appelé vlan.dat. La mémoire Flash est
permanente et ne requiert pas la commande copy running-config startup-config . Cependant,
comme d’autres détails sont souvent configurés sur un commutateur Cisco au moment où ces
VLAN sont créés, il est recommandé d’enregistrer les modifications de la configuration en cours
dans la configuration initiale.
Le tableau présente la syntaxe de la commande Cisco IOS utilisée pour ajouter un VLAN à un
commutateur et lui donner un nom. Il est recommandé de nommer chaque VLAN lors de la
configuration du commutateur.
Commande Task IOS Entrez dans le mode de configuration global. Switch# configure terminal Créer
un VLAN avec un numéro d'identification valide.Switch(config)# vlan vlan-idSpécifier un nom unique
pour identifier le VLAN.Switch(config-vlan)# name vlan-nameRetour au mode EXEC
privilégié.Switch(config-vlan)# end
Tâche Commande IOS
Switch#
terminal
Créez un VLAN avec un numéro d'identité valide. Switch(config)#

vlan vlan-id
Switch(config-
Indiquez un nom unique pour identifier le VLAN. vlan)# name
vlan-name
Repasser en mode d'exécution privilégié Switch(config-

vlan)# end
3.3.3
Exemple de création de VLAN

Dans la topologie, l'ordinateur de l'étudiant (PC2) n'a pas encore été associé à un VLAN, mais il
possède une adresse IP de 172.17.20.22, qui appartient au VLAN 20.
le PC étudiant, PC2 hôte, à l'adresse 172.17.20.22 est connecté au commutateur S1 au port F0/6
qui est connecté via le port F0/1 au commutateur S2 au port F0/1
S2S1PC2F0/06F0/1F0/1172.17.20.22
PC étudiant
L'exemple montre comment le VLAN de l'étudiant (VLAN 20) est configuré sur le commutateur
S1.
S1# configure terminal
S1(config)# vlan 20
S1(config-vlan)# name student
S1(config-vlan)# end
Remarque: En plus de la saisie d'un seul ID VLAN, il est possible de saisir une série d'ID VLAN
séparés par des virgules, ou une série d'ID VLAN séparés par des traits d'union en utilisant la
commande vlan vlan-id. Par exemple, l'entrée de la commande de configuration vlan
100,102,105-107 globale créerait des VLAN 100, 102, 105, 106 et 107.
3.3.4
Commandes d'attribution de port VLAN

Après la création d’un VLAN, l’étape suivante consiste à lui attribuer des ports.
Le tableau présente la syntaxe permettant de définir un port comme port d'accès et de l'affecter à
un VLAN. La commande switchport mode access est facultatif, mais fortement recommandé
comme meilleure pratique de sécurité. Avec cette commande, l’interface passe en mode d’accès
permanent.
Commande Task IOS Entrez dans le mode de configuration global. Switch# configure terminal Entrer
dans le mode de configuration de l'interface.Switch(config)# interface interface-id Régler le port en
mode d'accès.Switch(config-if)# switchport mode access Attribuer le port à un VLAN.Switch(config-
if)# switchport access vlan vlan-id Retour au mode EXEC privilégié.Switch(config-if)# end
Tâche Commande IOS
Switch#
terminal
Switch(config)#
Passer en mode de configuration d'interface. interface
interface-id
Switch(config-
Définissez le port en mode d'accès. if)# switchport
mode access
Switch(config-
Affecter le port à un réseau local virtuel. if)# switchport
access vlan
vlan-id
Repasser en mode d'exécution privilégié. Switch(config-

if)# end
Remarque: Utilisez la interface range commande pour configurer simultanément plusieurs

interfaces.
3.3.5
Exemple d'attribution de port VLAN
Dans la figure, le port F0/6 sur le commutateur S1 est configuré comme un port d'accès et
attribué au VLAN 20. Tout appareil connecté à ce port est associé au VLAN 20. Par conséquent,
dans notre exemple, PC2 se trouve dans le VLAN 20.
La topologie montre un PC étudiant, hôte PC2, à l'adresse 172.17.20.22 connecté au

commutateur S1 au port F0/6 qui est connecté via le port F0/1 au commutateur S2 au port F0/1.
Ci-dessous, S1 lit le commutateur 1 : port F0/6 et VLAN 20.
S2S1PC2172.17.20.22F0/06F0/1F0/1
Commutateur S1 :
Port F0/18
VLAN 20PC étudiant
L'exemple montre la configuration de S1 pour attribuer F0/6 au VLAN 20.
S1(config)# interface fa0/6
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 20
S1(config-if)# end
Les VLAN sont configurés sur le port de commutateur, pas sur le périphérique. Le PC2 est
configuré avec une adresse IPv4 et un masque de sous-réseau associés au VLAN configuré sur
le port de commutateur. Dans cet exemple, il s'agit du VLAN 20. Lorsque le VLAN 20 est
configuré sur d'autres commutateurs, l'administrateur réseau sait qu'il doit configurer les autres
ordinateurs des élèves sur le même sous-réseau que le PC2 (172.17.20.0/24).
3.3.6
VLAN de données et de voix

Un port d’accès peut appartenir à un seul VLAN à la fois. Cependant, un port peut également être
associé à un VLAN vocal. Par exemple, un port connecté à un téléphone IP et un périphérique
final seraient associés à deux VLAN : un pour la voix et un pour les données.
Prenons l'exemple de la topologie de la figure. Le PC5 est connecté au téléphone IP Cisco, qui à
son tour est connecté à l'interface FastEthernet 0/18 sur S3. Pour mettre en œuvre cette
configuration, un VLAN de données et un VLAN de voix sont créés.
L'hôte PC5 se trouve sur le VLAN étudiant 20 à l'adresse 172.17.20.25. PC5 est connecté à un
téléphone IP qui est connecté au commutateur S3 au port F0/18. Une zone de texte avec une
flèche pointant vers ce port indique : switchport doit prendre en charge le trafic VLAN pour le
trafic vocal vers le téléphone IP et le trafic de données vers PC5. S3 est connecté via le port F0/3
au commutateur S1 au port F0/3.
F0/3F0/3F0/18S1S3PC5
Le port de commutateur doit prendre en charge le trafic VLAN pour :
 Le trafic voix sur le téléphone IP
 Le trafic de données vers le PC5
Étudiant
VLAN 20 : 172.17.20.25
3.3.7
Exemple de VLAN de données et de voix

Utilisez la commande de configuration de l'interface switchport voice vlan vlan-id pour affecter
un VLAN vocal à un port.
Sur les LAN qui prennent en charge le ⁪trafic voix, la qualité de service (QoS) est aussi
généralement activée. Le trafic voix doit être étiqueté en tant que trafic de confiance dès qu'il
arrive sur le réseau. Utilisez la commande de configuration de l'interface mls qos trust [cos |
device cisco-phone | dscp | ip-precedence] pour définir l'état de confiance d'une interface, et
pour indiquer quels champs du paquet sont utilisés pour classer le trafic.
La configuration dans l'exemple crée les deux VLAN (c'est-à-dire VLAN 20 et VLAN 150) et
affecte ensuite l'interface F0/18 de S3 comme port de commutation dans le VLAN 20. Il attribue
également le trafic vocal au VLAN 150 et permet une classification QoS basée sur la classe de
service (CoS) attribuée par le téléphone IP.
S3(config)# vlan 20
S3(config-vlan)# name student
S3(config-vlan)# vlan 150
S3(config-vlan)# name VOICE
S3(config-vlan)# exit

S3(config-if)# mls qos trust cos
S3(config-if)# switchport voice vlan 150
S3(config-if)# end
S3#
Remarque: La mise en œuvre de la QoS dépasse le cadre de ce cours.
La commande switchport access vlan force la création d’un VLAN s’il n’existe pas déjà sur le
commutateur. Par exemple, le VLAN 30 n'est pas présent dans la sortie du commutateur show
vlan brief . Si la commande switchport access vlan 30 est saisie sur n’importe quelle interface
sans configuration précédente, le commutateur affiche les éléments suivants:
% Access VLAN does not exist. Creating vlan 30

3.3.8
Vérification des informations VLAN

Une fois qu'un VLAN est configuré, les configurations VLAN peuvent être validées à l'aide des
commandes IOS de Cisco show .
La commande show vlan affiche une liste de tous les VLAN configurés. La commande show
vlan peut également être utilisée avec des options. La syntaxe complète est show
vlan [brief | id vlan-id | name vlan-name | summary].
Le tableau décrit les options de commande show vlan .

Option de commande de tâche Affiche le nom du VLAN, son état et ses ports, un
VLAN par ligne.brief Affiche des informations sur le numéro d'identification du
VLAN identifié. Pour vlan-id, la plage est comprise entre 1 et 4094.id VLAN-
IDAffiche des informations sur le nom du VLAN identifié. Le nom du vlan est une
chaîne ASCII de 1 à 32 caractères. nom vlan-nameAffiche un résumé des
informations sur le VLAN.summary
Option de
Tâche
commande
Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son
état et ses ports. brief
Afficher des informations sur un VLAN identifié par un ID de VLAN. id vlan-

Pour vlan-id la plage est de 1 à 4094. id
Afficher des informations sur un VLAN identifié par un nom de VLAN. name
Le vlan-name est une chaîne ASCII de 1 à 32 caractères. vlan-
name
Afficher un résumé sur les VLAN. summary
La commande show vlan summary affiche une liste de tous les VLAN configurés.
S1# show vlan summary
Number of existing VLANs : 7
Number of existing VTP VLANs : 7
Number of existing extended VLANS : 0
Les autres commandes utiles sont les commandes show interfaces interface-
id switchport et show interfaces vlan vlan-id. Par exemple, la commande show interfaces
fa0/18 switchport peut être utilisée pour confirmer que le port FastEthernet 0/18 a été
correctement attribué aux VLAN de données et de voix.
Name: Fa0/18
Switchport: Enabled
Administrative Trunking Encapsulation: dot1q
Access Mode VLAN: 20 (student)
Voice VLAN: 150
Administrative private-vlan host-association: none
(Output omitted)
3.3.9
Modification de l'appartenance des ports aux

VLAN
Il existe plusieurs façons de modifier l’appartenance des ports aux VLAN.
Si le port d'accès du commutateur a été attribué de manière incorrecte à un VLAN, il vous suffit
de saisir à nouveau la commande de configuration de l'interface switchport access vlan vlan-
id avec l'ID VLAN correct. Par exemple, supposons que Fa0/18 a été mal configuré pour être sur
le VLAN 1 par défaut au lieu de VLAN 20. Pour changer le port en VLAN 20, entrez
simplement switchport access vlan 20.
Pour modifier l'appartenance d'un port au VLAN 1 par défaut, utilisez la commande mode de
configuration de l'interface no switchport access vlan comme indiqué.
Dans la sortie par exemple, Fa0/18 est configuré pour être sur le VLAN 1 par défaut comme
confirmé par la commande show vlan brief.
S1(config-if)# no switchport access vlan

S1(config-if)# end
S1#
S1# show vlan brief
---- ------------------ --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
20 student active
Notez que le VLAN 20 est toujours actif, même si aucun port ne lui est attribué.
La sortie de show interfaces f0/18 switchport peut également être utilisée pour vérifier que le
VLAN d'accès pour l'interface F0/18 a été réinitialisé au VLAN 1 comme indiqué dans la sortie.
Name: Fa0/18
Switchport: Enabled
Administrative Trunking Encapsulation: negotiate
Access Mode VLAN: 1 (default)

3.3.10
Supprimer le VLAN
La commande de mode de configuration global no vlan vlan-id est utilisée pour supprimer un
VLAN du fichier switch vlan.dat.
Attention: Avant de supprimer un VLAN, réattribuez d'abord tous les ports membres à un VLAN
différent. Tous les ports qui ne sont pas déplacés vers un VLAN actif sont incapables de
communiquer avec d'autres hôtes après la suppression du VLAN et jusqu'à ce qu'ils soient
attribués à un VLAN actif.
L'ensemble du fichier vlan.dat peut être supprimé à l'aide de la commande privilégiée du mode
EXEC delete flash:vlan.dat . La version abrégée de la commande (delete vlan.dat) peut être
utilisée si le fichier vlan.dat n'a pas été déplacé de son emplacement par défaut. Après
l’exécution de cette commande et le redémarrage du commutateur, les VLAN précédemment
configurés ne sont plus présents. Cette commande rétablit les paramètres d’usine par défaut du
commutateur en ce qui concerne les configurations de VLAN.
Remarque: Pour rétablir l'état par défaut d'un commutateur Catalyst, débranchez tous les câbles,
à l'exception de la console et du câble d'alimentation, du commutateur. Ensuite, entrez la
commande privilégiée du mode EXEC erase startup-config suivie de la commande delete
vlan.dat .
3.3.11
Vérificateur de syntaxe - Configuration VLAN

Dans cette activité du vérificateur de syntaxe, vous implémenterez et vérifierez une configuration
VLAN pour les interfaces de commutation basée sur les exigences spécifiées.
Suivez les étapes suivantes pour créer un VLAN de données :
 Enter global configuration mode.

 Create VLAN 20.
 Name the VLAN student.
 Return to privileged EXEC mode.
S1#
3.3.12
Packet Tracer - Configuration VLAN

Dans cette activité Tracer de paquets, vous allez effectuer les opérations suivantes:
 Vérifier la configuration des réseaux locaux virtuels (VLAN) par défaut

 configuration des réseaux locaux virtuels
 Attribuer des VLAN aux ports
3.4.1
Commandes de configuration du trunk

Maintenant que vous avez configuré et vérifié les VLANs, il est temps de configurer et de vérifier
les trunks VLAN. Un trunk de VLAN est un lien de couche 2 entre deux commutateurs qui
achemine le trafic pour tous les VLANs (à moins que la liste des VLANs autorisés ne soit
restreinte manuellement ou dynamiquement).
Pour activer les liaisons trunks, configurez les ports d'interconnexion avec l'ensemble des
commandes de configuration d'interface indiquées dans le tableau.
dans le mode de configuration de l'interface.Switch(config)# interface interface-id Mettre le port en
mode de liaison permanent.Switch(config-if)# switchport mode trunk Règle le VLAN natif sur autre
chose que le VLAN 1. Switch(config-if)# switchport trunk vlan natif VLAN IDSpécifiez la liste des VLAN
doivent être autorisés sur le lien de trunk.Switch(config-if)# switchport trunk autorisé vlan vlan-
listRetour au mode EXEC privilégié.Switch(config-if)# end
Tâche Commande IOS
Switch#
terminal
dans le mode de configuration de l'interface.Switch(config)# interface interface-id Mettre le port en
mode de liaison permanent.Switch(config-if)# switchport mode trunk Règle le VLAN natif sur autre
chose que le VLAN 1. Switch(config-if)# switchport trunk vlan natif VLAN IDSpécifiez la liste des VLAN
doivent être autorisés sur le lien de trunk.Switch(config-if)# switchport trunk autorisé vlan vlan-
listRetour au mode EXEC privilégié.Switch(config-if)# end
Tâche Commande IOS
Switch(config)#
Passer en mode de configuration d'interface. interface
interface-id
Switch(config-
Réglez le port en mode de trunking permanent. if)# switchport
mode trunk
Switch(config-
Choisissez un VLAN natif autre que le VLAN 1 if)# switchport
trunk native
vlan vlan-id
Switch(config-
Indiquer la liste des VLAN autorisés sur la liaison trunk. if)# switchport
trunk allowed
vlan vlan-list
Repasser en mode d'exécution privilégié. Switch(config-

if)# end
3.4.2
Exemple de configuration du trunk

Dans la figure, les VLAN 10, 20 et 30 prennent en charge les ordinateurs de la faculté, des
étudiants et des invités (PC1, PC2 et PC3). Le port F0/1 du commutateur S1 est configuré en tant
que port trunk et transmet le trafic pour les VLANs 10, 20 et 30. Le VLAN 99 est défini comme
VLAN natif.
Une topologie de réseau montre trois hôtes dans différents VLAN connectés au même
commutateur, S2. PC1 est sur le VLAN de la Faculté 10 avec l'adresse 172.17.10.21. PC2 est
sur le VLAN Étudiant 20 avec l'adresse 172.17.20.22. PC3 se trouve sur le VLAN Invité 30 avec
l'adresse 172.17.30.23. S2 est connecté via le port F0/1 pour commuter S1 à F0/1. Cette
connexion est appelée "trunk".
PC2PC1PC3S2S1F0/1F0/1
TrunkPersonnel
VLAN 10
VLAN 20
172.17.20.22Invité
VLAN 30 :
172.17.30.23
Les sous-réseaux associés à chaque VLAN sont:
 VLAN 10 - Faculté/Personnel - 172.17.10.0/24

 VLAN 20 - Étudiants - 172.17.20.0/24
 VLAN 30 - Invités - 172.17.30.0/24
 VLAN 99 - Natif - 172.17.99.0/24
L'exemple montre la configuration du port F0/1 sur le commutateur S1 en tant que port de trunk.
Le VLAN natif devient le VLAN 99 et la liste des VLANs autorisés est limitée à 10, 20, 30 et 99.
S1(config)# interface fastEthernet 0/1
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# switchport trunk allowed vlan 10,20,30,99
S1(config-if)# end
Remarque: Cette configuration suppose l'utilisation de commutateurs Cisco Catalyst 2960 qui
utilisent automatiquement l'encapsulation 802.1Q sur les liaisons trunk. D’autres commutateurs
peuvent nécessiter la configuration manuelle de l’encapsulation. Configurez toujours les deux
extrémités d’une liaison trunk avec le même VLAN natif. Si la configuration du trunk 802.1Q n’est
pas identique à chaque extrémité, le logiciel Cisco IOS signale des erreurs.
3.4.3
Vérification de la configuration du trunk

La sortie du commutateur affiche la configuration du port de commutateur F0/1 sur le
commutateur S1. La configuration est vérifiée à l'aide de la commande show
interfaces interface-ID switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk

Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Trunking Native Mode VLAN: 99 (VLAN0099)
Voice VLAN: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: 10,20,30,99
Pruning VLANs Enabled: 2-1001
(output omitted)
La zone surlignée en haut indique que le port F0/1 a son mode administratif réglé sur trunk. Le
port est en mode trunking. La zone surlignée suivante permet de vérifier que le VLAN natif est le
VLAN 99. Plus bas dans la sortie, la zone surlignée du bas montre que les VLAN 10, 20, 30 et 99
sont activés sur le trunk.
3.4.4
Réinitialisation du trunk à l’état par défaut

Utilisez les commandes no switchport trunk allowed vlan et no switchport trunk native
vlan pour supprimer les VLAN autorisés et réinitialiser le VLAN natif du trunk. Lorsqu'il est remis
à l'état par défaut, le trunk autorise tous les VLAN et utilise le VLAN 1 comme VLAN natif.
L'exemple montre les commandes utilisées pour réinitialiser toutes les caractéristiques d'une
interface de liaison aux paramètres par défaut.
S1(config-if)# no switchport trunk allowed vlan
S1(config-if)# no switchport trunk native vlan
S1(config-if)# end
The show interfaces f0/1 switchport command reveals that the trunk has been
reconfigured to a default state.
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On

Voice VLAN: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
(output omitted)
Cet exemple de sortie montre les commandes utilisées pour supprimer la fonction de trunk du
port F0/1 de l'interrupteur S1. La commande show interfaces f0/1 switchport révèle que
l’interface F0/1 est désormais en mode d’accès statique.
S1(config-if)# end
Name: Fa0/1
Switchport: Enabled
(output omitted)
3.4.5
Packet Tracer - Configurer les trunks

Dans cette activité Packet Tracer, vous allez effectuer les opérations suivantes:
 Vérification des VLAN

 Configuration des trunks
Configuration des trunks

Configuration des trunks
3.4.6
Travaux pratiques - Configurer les VLAN et

les trunks
 Part 1: Créer le réseau et configurer les paramètres de base des périphériques

 Part 2: Créer un VLAN et attribuer les ports de commutateur
 Part 3: Mettre à jour les attributions des ports VLAN et de la base de données VLAN
 Part 4: Configurer un trunk 802.1Q entre les commutateurs

3.5.1
Introduction au DTP
Certains commutateurs Cisco ont un protocole propriétaire qui leur permet de négocier
automatiquement la connexion avec un périphérique voisin. Ce protocole est appelé Dynamic
Trunking Protocol (DTP). Le DTP peut accélérer le processus de configuration d'un
administrateur réseau. Les interfaces de trunk réseau Ethernet prennent en charge différents
modes de lignes réseau. Une interface peut être définie sur le trunk ou non, ou pour négocier
le trunk avec l'interface voisine. La négociation de trunk est gérée par le protocole DTP
(Dynamic Trunking Protocol) qui fonctionne uniquement de point à point, entre les
périphériques réseau.
Le protocole DTP est un protocole appartenant à Cisco, qui est automatiquement activé sur les
commutateurs Catalyst 2960 et Catalyst 3650. Il gère la négociation de trunk uniquement si le
port du commutateur voisin est configuré dans un mode trunk qui prend en charge ce
protocole. Il n’est pas pris en charge par les commutateurs d’autres fournisseurs.
Attention: Certains périphériques d'interconnexion peuvent transmettre les trames DTP de

manière incorrecte, ce qui peut entraîner des erreurs de configuration. Désactivez le
protocole DTP sur les interfaces du commutateur Cisco connecté aux appareils qui ne le
prennent pas en charge.
La configuration DTP par défaut pour les commutateurs Cisco Catalyst 2960 et 3650 est
automatique dynamique.
Pour permettre le trunking d'un commutateur Cisco vers un appareil qui ne prend pas en
charge le DTP, utilisez les commandes du mode de configuration et de l'interface switchport
mode trunk et switchport nonegotiate. Cela provoque l'interface pour devenir un trunk,
mais il ne génère pas de trames DTP.

S1(config-if)# switchport nonegotiate
Pour réactiver le protocole de trunking dynamique, utilisez la commande switchport mode

dynamic auto.
S1(config-if)# switchport mode dynamic auto
Si les ports reliant deux commutateurs sont configurés pour ignorer toutes les publicités DTP
avec les commandes switchport mode trunk et switchport nonegotiate, les ports restent en
mode port de trunk. Si les ports de connexion sont réglés sur auto dynamique, ils ne
négocieront pas un trunk et resteront dans l'état du mode d'accès, créant ainsi une liaison de
trunk inactive.
Pour configurer un port en mode trunk, utilisez la commande switchport mode trunk. Il n'y a
alors pas d'ambiguïté sur l'état dans lequel se trouve le trunk ; il est toujours activé.
3.5.2
Modes d'interface négociés

La commande switchport mode a des options supplémentaires pour négocier le mode
d'interface. La syntaxe de commande complète est la suivante:
Switch(config)# switchport mode { access | dynamic { auto | desirable } |

trunk }
Les options de la commande sont décrites dans le tableau.
Option Description accès Met l'interface (port d'accès) en mode permanent non trunking et négocie
la conversion du lien en un lien non trunking. L'interface devient une interface non trunking, que
l'interface voisine soit une interface trunk ou non. dynamic auto Permet à l'interface de convertir le
lien en un lien de trunk. L'interface devient une interface trunk si l'interface voisine est configurée en
mode tronc ou en mode souhaitable. Le mode switchport par défaut pour toutes les interfaces
Ethernet est dynamique auto. dynamic desirable Fait que l'interface tente activement de convertir le
lien en un lien de trunk. L'interface devient une interface trunk si l'interface voisine est en mode
trunk, souhaitable ou dynamique automatique. trunk Met l'interface en mode de trunk permanent et
négocie la conversion du lien voisin en un lien trunk. L'interface devient une interface trunk même si
l'interface voisine n'est pas une interface trunk.
Option Description
 Met l'interface (port d'accès) en mode permanent non trunking et

access
négocie pour convertir le lien en un lien non-trunk.
Option Description accès Met l'interface (port d'accès) en mode permanent non trunking et négocie
la conversion du lien en un lien non trunking. L'interface devient une interface non trunking, que
l'interface voisine soit une interface trunk ou non. dynamic auto Permet à l'interface de convertir le
lien en un lien de trunk. L'interface devient une interface trunk si l'interface voisine est configurée en
mode tronc ou en mode souhaitable. Le mode switchport par défaut pour toutes les interfaces
Ethernet est dynamique auto. dynamic desirable Fait que l'interface tente activement de convertir le
lien en un lien de trunk. L'interface devient une interface trunk si l'interface voisine est en mode
trunk, souhaitable ou dynamique automatique. trunk Met l'interface en mode de trunk permanent et
négocie la conversion du lien voisin en un lien trunk. L'interface devient une interface trunk même si
l'interface voisine n'est pas une interface trunk.
Option Description
 L'interface devient une interface non trunking, que l'interface

voisine est une interface de trunk.
 Rend l'interface capable de convertir le lien en un lien trunk.

 L'interface devient une interface trunk si l'interface voisine est
défini sur le trunk ou le mode désirable.
dynamic auto
 Le mode switchport par défaut pour toutes les interfaces Ethernet
est dynamic auto.
 Fait en sorte que l'interface tente activement de convertir le lien

en un lien de trunk.
dynamic desirable  L'interface devient une interface de trunk si l'interface voisine est
réglé sur le mode "trunk", "desirable" ou "dynamic auto" .
 Met l'interface en mode de trunk permanente et négocie pour

convertir le lien voisin en lien de trunk.
trunk  L'interface devient une interface trunk même si l'interface voisine
n'est pas une interface trunk.
Utilisez la commande de configuration de l'interface switchport nonegotiate pour arrêter la

négociation DTP. Le commutateur ne s'engage pas dans la négociation DTP sur cette
interface. Vous pouvez utiliser cette commande uniquement lorsque le mode de port de
commutation d'interface est access ou trunk. Vous devez configurer manuellement l'interface
voisine en tant qu'interface de jonction pour établir une liaison de trunk.
3.5.3
Résultats d'une configuration DTP

Le tableau illustre les résultats des options de configuration DTP aux extrémités opposées
d'une liaison de trunk connectée aux ports de commutateur Catalyst 2960. Configurez des
liaisons trunk de manière statique autant que possible.
Dynamique AutoDynamique dynamique DésirableTrunkAccessDynamic
AutoAccessTrunkTrunkAccessDynamic
DesirableTrunkTrunkTrunkAccessTrunkTrunkTrunkTrunkLimitée
ConnectivityAccessAccessConnectivityAccès limité
Dynamic Dynamic
Trunk Accès
Auto Desirable
Dynamic
Accès Trunk Trunk Accès
Auto
Dynamic
Trunk Trunk Trunk Accès
Desirable
Connectivité
Trunk Trunk Trunk Trunk
limitée
Connectivité
Accès Accès Accès Access
limitée
3.5.4
Vérification du mode DTP

Le mode DTP par défaut dépend de la version du logiciel Cisco IOS et de la plate-forme. Pour
déterminer le mode DTP actuel, exécutez la commande show dtp interface comme indiqué
dans la sortie.
S1# show dtp interface fa0/1
DTP information for FastEthernet0/1:
TOS/TAS/TNS: ACCESS/AUTO/ACCESS
TOT/TAT/TNT: NATIVE/NEGOTIATE/NATIVE
Neighbor address 1: C80084AEF101
Neighbor address 2: 000000000000
Hello timer expiration (sec/state): 11/RUNNING

Access timer expiration (sec/state): never/STOPPED
Negotiation timer expiration (sec/state): never/STOPPED
Multidrop timer expiration (sec/state): never/STOPPED
FSM state: S2:ACCESS
# times multi & trunk 0
Enabled: yes
In STP: no
Remarque: Une bonne pratique générale consiste à définir l'interface

vers trunk et nonegotiate quand une liaison trunk est nécessaire. Sur les liaisons où vous ne
souhaitez pas de trunking, désactivez le mode DTP.
3.5.5
Packet Tracer - Configurer DTP

Dans cette activité Packet Tracer, vous allez configurer et vérifier le protocole DTP.
Configurer DTP
Configurer DTP
3.5.6
Vérifiez votre compréhension - Protocole de

trunking dynamique
Vérifiez votre compréhension du DTP en choisissant la MEILLEURE réponse aux questions
suivantes.
1. Vrai ou faux ? DTP est un protocole IEEE standard ouvert qui spécifie la négociation automatique
des liaisons de trunk de commutateur.
Vrai
faux
2. Quel est le mode de port de commutation par défaut pour les commutateurs Cisco Catalyst ?
accès
trunk
dynamic auto
dynamic desirable
3. Vrai ou faux ? Deux ports de commutation sur une liaison configurés en tant qu'auto dynamique
négocieront avec succès un trunk.
Vrai
faux
4. Quels sont les deux modes DTP qui forment un trunk avec une interface configurée comme
automatique dynamique ? (Choisissez deux propositions.)
accès
trunk
dynamic auto
dynamic desirable
3.6.1
Packet Tracer - Implémenter les VLAN et le

trunking
Dans cette activité Packet Tracer, vous allez effectuer les opérations suivantes:
 Configuration des réseaux locaux virtuels

 Attribution de ports aux VLAN
 Configurer le trunking statique
 Configurer le protocole DTP (Dynamic Trunking Protocol).
3.6.2
Travaux pratiques - Implémentation de VLAN

et de trunking
Dans ce TP, vous effectuerez les opérations suivantes:
 Création du réseau et configuration des paramètres de base des périphériques

 Création du VLAN et attribution des ports de commutateur
 Configurer un trunk 802.1Q entre les commutateurs
Mettre en êuvre les VLANs et les trunking

3.6.3

Aperçu des VLAN
Les réseaux locaux virtuels (VLANs) sont un groupe d'appareils qui peuvent communiquer
comme si chaque appareil était relié au même câble. Les VLANs reposent sur des connexions
logiques au lieu de connexions physiques. Les administrateurs utilisent des VLANs pour
segmenter les réseaux en fonction de facteurs tels que la fonction, l'équipe ou l'application.
Chaque VLAN est considéré comme un réseau logique distinct. N'importe quel port du
commutateur peut appartenir à un VLAN. Un VLAN crée un domaine de diffusion logique
qui peut s'étendre sur plusieurs segments de réseau local physique. Les VLANs améliorent les
performances réseau en divisant de vastes domaines de diffusion en domaines plus petits.
Chaque VLAN d'un réseau commuté correspond à un réseau IP ; par conséquent, la
conception de VLAN doit utiliser un système d'adressage réseau hiérarchique. Les types de
VLAN incluent le VLAN par défaut, les VLAN de données, le VLAN natif, les VLAN de
gestion. et les VLANs vocaux.
VLAN dans un environnement à commutation multiple
Un trunk VLAN n'appartient pas à un VLAN spécifique. Il s'agit d'un canal pour plusieurs
VLAN entre les commutateurs et les routeurs. Un trunk VLAN est un lien point à point entre
deux appareils de réseau qui transportent plus d'un VLAN. Un trunk de VLAN permet
d’étendre les VLANs à l’ensemble d’un réseau. Lorsque des VLANs sont implémentés sur un
commutateur, la transmission du trafic monodiffusion, multidiffusion et diffusion à partir d’un
hôte figurant sur un VLAN donné est limitée aux périphériques se trouvant sur ce VLAN. Les
champs de balise VLAN incluent le type, la priorité utilisateur, la CFI et le VID. Certains
appareils ajoutent une balise VLAN au trafic VLAN natif. Si un port trunk 802.1Q reçoit une
trame marquée avec le VID qui est le même que celui du VLAN natif, il supprime la trame.
Un VLAN voix distinct est nécessaire pour prendre en charge la voix sur IP (VoIP). Les
stratégies de QoS et de sécurité peuvent être appliquées au trafic vocal. Le trafic VLAN vocal
doit être marqué avec une valeur de priorité CoS de couche 2 appropriée.
Configuration VLAN
Différents commutateurs Cisco Catalyst prennent en charge différents nombres de VLAN, y

compris les VLANs à plage normale et les VLANs à plage étendue. Lors de la configuration
de VLAN à portée normale, les détails de la configuration sont stockés dans la mémoire flash
du commutateur dans un fichier appelé vlan.dat. Bien que ce n'est pas nécessaire, il est
recommandé d'enregistrer les modifications de configuration en cours dans la configuration
de démarrage. Après la création d’un VLAN, l’étape suivante consiste à lui attribuer des
ports. Il existe plusieurs commandes pour définir un port comme port d'accès et l'attribuer à
un VLAN. Les VLANs sont configurés sur le port du commutateur et non sur l'appareil final.
Un port d'accès ne peut appartenir qu'à un seul VLAN de données à la fois. Cependant, un
port peut également être associé à un VLAN vocal. Par exemple, un port connecté à un
téléphone IP et à un appareil terminal serait associé à deux VLANs : un pour la voix et un
pour les données. Une fois qu'un VLAN est configuré, les configurations VLAN peuvent être
validées à l'aide des commandes IOS de Cisco show. Si le port d'accès du commutateur a été
attribué de manière incorrecte à un VLAN, il vous suffit de saisir à nouveau la commande de
configuration de l'interface switchport access vlan vlan-id avec l'ID VLAN correct. La
commande de mode de configuration global no vlan vlan-id est utilisée pour supprimer un
VLAN du fichier switch vlan.dat.
VLAN Trunks
Un trunk de VLAN est un lien de couche 2 OSI entre deux commutateurs qui achemine le
trafic pour tous les VLAN. Il existe plusieurs commandes pour configurer les ports
d'interconnexion. Pour vérifier la configuration du trunk VLAN, utilisez la commande show
interfaces interface-ID switchport. Utilisez les commandes no switchport trunk allowed
vlan etno switchport trunk native vlan pour supprimer les VLAN autorisés et réinitialiser le
VLAN natif du trunk.
Protocole de liaison dynamique
Une interface peut être définie sur le trunk ou non, ou pour négocier le trunk avec l'interface
voisine. La négociation de trunk est gérée par le protocole DTP (Dynamic Trunking Protocol)
qui fonctionne uniquement de point à point, entre les périphériques réseau. Le DTP est un
protocole propriétaire de Cisco qui gère la négociation du trunk seulement si le port du
commutateur voisin est configuré dans un mode de trunk qui supporte le DTP. Pour permettre
le trunking d'un commutateur Cisco vers un appareil qui ne prend pas en charge le DTP,
utilisez les commandes du mode de configuration et de l'interface switchport mode
trunk et switchport nonegotiate. La commande switchport mode a des options
supplémentaires pour négocier le mode d'interface, y compris l'accès, l'auto dynamique,
dynamique souhaitable et le trunk. Pour vérifier le mode DTP actuel, exécutez la
commande show dtp interface.
3.6.4
Module questionnaire - VLAN
1.
Qu'arrive-t-il à un port qui est associé au VLAN 10 lorsque l'administrateur supprime le VLAN 10 du
commutateur ?
Le port retourne au VLAN par défaut.
Le port s'associe automatiquement au VLAN natif.
Le port crée à nouveau le VLAN.
Le port devient inactif.

2. Dans quel emplacement de mémoire les configurations des VLAN de portée normale sont-elles
stockées sur un commutateur Catalyst ?
Mémoire RAM
Dans la mémoire FLASH
Dans la mémoire NVRAM
Mémoire ROM
3. Un administrateur étudie une défaillance sur une liaison de trunk entre un commutateur Cisco et un
commutateur provenant d'un autre fournisseur. Après quelques commandes show, l'administrateur
remarque que les commutateurs ne négocient pas un trunk. Quelle est la cause probable de ce
problème ?
Les trames DTP inondent l'ensemble du réseau.
Les deux commutateurs sont en mode non négocié.
Les deux commutateurs sont en mode trunk.
Les commutateurs d'autres fournisseurs ne prennent pas en charge le DTP.

4. Quelle est la fonction du fichier vlan.dat sur un commutateur ?
Il stocke la configuration en cours.
Il stocke le système d'exploitation.
Il stocke la configuration enregistrée.
Il stocke la base de données du VLAN.

5. Quel est l'objectif de séparer le VLAN natif des VLAN de données ?
Le VLAN natif permet aux routeurs et aux commutateurs d'échanger leurs informations de gestion.
Il devrait donc être différent des VLAN de données.
Un VLAN distinct doit être utilisé pour transporter des trames non marquées inhabituelles afin
d'éviter les conflits de bande passante sur les VLAN de données.
La sécurité des trames de gestion qui sont transportées dans le VLAN natif peut être améliorée.
Le VLAN natif sert uniquement à transporter le trafic de gestion du VLAN.

6. Lorsqu'un commutateur Cisco reçoit des trames non marquées sur un port de trunk 802.1Q, quel
ID VLAN est le trafic commuté par défaut ?
ID VLAN inutilisé
ID du VLAN de gestion
ID de VLAN natif
ID du VLAN de données
7. Un administrateur réseau détermine le meilleur emplacement des liaisons de trunk VLAN. Quels
sont les deux types de connexions point à point qui utilisent le trunking VLAN ? (Choisissez deux.)
entre un commutateur et un serveur doté d'une carte réseau 802.1Q
Dans la mémoire vive

entre deux commutateurs qui utilisent plusieurs VLAN
entre un commutateur et une imprimante réseau
entre un commutateur et un PC client

8. Quels sont les principaux avantages de l'utilisation des VLAN ? (Choisissez trois réponses.)
la satisfaction de l'utilisateur final
la sécurité
la réduction des coûts
une réduction du nombre de liaisons agrégées

9. Sur un commutateur Cisco, où sont stockées les informations relatives aux réseaux locaux virtuels
(VLAN) à plage étendue ?
NVRAM
Fichier de configuration initiale
Fichier de configuration en cours

10. À quel emplacement les VLAN de plage normale sont-ils stockés sur un commutateur Cisco par
défaut ?
mémoire flash
mémoire vive (RAM)
Configuration initiale
Running-config
11. Quel type distinct de VLAN est utilisé par un administrateur pour accéder à un commutateur et le
configurer ?
VLAN données
VLAN natif
VLAN de gestion
VLAN par défaut

12. Quel est l'objectif de séparer le VLAN natif des VLAN de données ?
Le VLAN natif sert uniquement à transporter le trafic de gestion du VLAN.
Un VLAN distinct doit être utilisé pour transporter des trames non marquées inhabituelles afin
d'éviter les conflits de bande passante sur les VLAN de données.
La sécurité des trames de gestion qui sont transportées dans le VLAN natif peut être améliorée.
Le VLAN natif permet aux routeurs et aux commutateurs d'échanger leurs informations de gestion.
Il devrait donc être différent des VLAN de données.
13. À quel emplacement du commutateur le fichier vlan.dat est-il stocké ?
Dans la mémoire vive
Dans la mémoire Flash
Dans la mémoire vive non volatile
Sur les supports mémoire externes ou sur le disque dur interne

14. Si une entreprise décide d'introduire les téléphones IP Cisco dans son réseau, quelle fonctionnalité
doit être prise en compte pour assurer la qualité vocale ?
Un VLAN distinct est requis pour le trafic voix.

Le trafic voix doit être étiqueté avec le VLAN natif.
Des ports de commutateur supplémentaires dédiés aux téléphones IP Cisco sont requis.
Le trafic voix et le trafic de données nécessitent des liaisons distinctes entre commutateurs.
15. Un commutateur Cisco permet actuellement le trafic étiqueté avec des VLAN 10 et 20 sur le port
de trunk Fa0/5. Quel est l'effet de l'émission d'une commande switchport trunk allowed vlan 30 sur
Fa0/5 ?
Il permet d'implémenter un VLAN natif de 30 sur Fa0/5.
Il autorise uniquement VLAN 30 sur Fa0/5.
Il autorise les VLAN 10, 20 et 30 sur Fa0/5.
Il permet aux VLAN 1 à 30 sur Fa0/5.
4.0.1

Bienvenue sur Routage Inter-VLAN!
Maintenant, vous savez comment segmenter et organiser votre réseau en VLAN. Les hôtes
peuvent communiquer avec d'autres hôtes dans le même VLAN, et vous n'avez plus d'hôtes qui
envoient des messages de diffusion à tous les autres périphériques de votre réseau, ce qui
consomme la bande passante nécessaire. Mais que faire si un hôte d'un VLAN doit communiquer
avec un hôte d'un VLAN différent? Si vous êtes administrateur réseau, vous savez que les gens
voudront communiquer avec d'autres personnes en dehors de votre réseau. C'est là que le
routage inter-VLAN peut vous aider. Le routage inter-VLAN utilise un périphérique de couche 3
tel qu'un routeur ou un commutateur de couche 3. Prenons votre expertise VLAN et combinons-la
avec vos compétences de couche réseau et mettez-les à l'épreuve!
4.0.2

module?
Titre du module: Routage Inter-VLAN
Objectif du module: Dépanner les problèmes de routage entre VLAN sur les périphériques de
couche 3.
Légende du tableau
Décrire les options permettant de configurer le

Fonctionnement du routage inter-VLAN
routage inter-VLAN.
Routage inter-VLAN avec la méthode router-on- Configurer le routage entre réseaux locaux virtuels
a-stick avec la méthode «Router-on-a-stick».
Configurer le routage inter VLAN en utilisant les Configurer le routage inter VLAN en utilisant la
commutateurs de couche 3. commutation de couche 3.
Dépanner les problèmes courants de configuration

Dépannage du routage inter-VLAN
inter-VLAN
3.6

4.1.1
Qu'est-ce que le routage inter-VLAN?

Les VLAN sont utilisés pour segmenter des réseaux de couche 2 commutés pour diverses
raisons. Quelle que soit la raison, les hôtes d'un VLAN ne peuvent pas communiquer avec les
hôtes d'un autre VLAN sauf s'il existe un routeur ou un commutateur de couche 3 pour fournir
des services de routage.
Le routage inter-VLAN est un processus d'acheminement du trafic réseau d'un VLAN à un

autre.
Il existe 3 options de routage inter-VLAN:
 Routage inter-VLAN existant - Il s'agit d'une solution ancienne. Il ne s'étend pas bien.
 Router-on-a-Stick - C'est une solution acceptable pour un réseau de petit à moyen taille.
 Commutateur de couche 3 utilisant des interfaces virtuelles commutées (SVI) - Il s'agit de la
solution la plus évolutive pour les moyennes et grandes entreprises.
4.1.2
Routage inter-VLAN existant

la première solution de routage inter-VLAN reposait sur des routeurs dotés de plusieurs
interfaces Ethernet. Chaque interface devait être connectée à un port de commutateur dans
différents VLAN. Les interfaces de routeur ont servi de passerelles par défaut vers les hôtes
locaux du sous-réseau VLAN.
Par exemple, reportez-vous à la topologie où R1 a deux interfaces connectées au commutateur

S1.
La topologie du réseau physique montre deux PC, un commutateur et un routeur. PC1 sur la
gauche a l'adresse IP 192.168.10.10, est dans VLAN 10, et est connecté au commutateur sur
le port F0/11. PC2 sur la droite a l'adresse IP 192.168.20.10, est dans VLAN 20, et est
connecté au commutateur sur Port F0/24. Le commutateur, S1, a deux liens vers le routeur,
R1. Le port de commutateur F0/1 est connecté à l'interface G0/0/0 sur R1. Le port de
commutateur F0/2 est connecté à l'interface G0/0/1 sur R1. L'interface du routeur G0/0/0 a
l'adresse IP 192.168.10.1. L'interface du routeur G0/0/1 a l'adresse IP 192.168.20.1.
PC2S1PC1G0/0/0 192.168.10.1/24 F0/11F0/24F0/12F0/1 G0/0/1 192.168.20.1/24R1

192.168.10.10/24
VLAN 10192.168.20.10/24
VLAN 20
Notez dans l'exemple de table d'adresses MAC de S1 est rempli comme suit:
 Le port Fa0/1 est attribué au VLAN 10 et est connecté à l'interface R1 G0/0/0.

 Le port Fa0/11 est attribué au VLAN 10 et est connecté au PC1.
 Le port Fa0/12 est attribué au VLAN 20 et est connecté à l'interface R1 G0/0/1.
 Le port Fa0/11 est attribué au VLAN 20 et est connecté au PC2.
MAC Address table for S1

PortMAC AddressVLANF0/1R1 G0/0/0
MAC10F0/11PC1 MAC10F0/12R1 G0/0/1
MAC20F0/24PC2 MAC20
Adresse
Port VLAN
MAC
R1 G0/0/0
F0/1 10
MAC
F0/11 PC1 MAC 10
R1 G0/0/1
F0/12 20
MAC
F0/24 PC 2 MAC 20
Lorsque PC1 envoie un paquet à PC2 sur un autre réseau, il le transfère à sa passerelle par
défaut 192.168.10.1. R1 reçoit le paquet sur son interface G0/0/0 et examine l'adresse de
destination du paquet. R1 achemine ensuite le paquet sur son interface G0/0/1 vers le port
F0/12 dans VLAN 20 sur S1. Enfin, S1 transmet la trame à PC2.
L'ancien routage inter-VLAN utilisant des interfaces physiques fonctionne, mais il présente
une limitation importante. Il n'est pas raisonnablement évolutif car les routeurs ont un nombre
limité d'interfaces physiques. La nécessité de posséder une interface de routeur physique par
VLAN épuise rapidement la capacité du routeur.
Dans notre exemple, R1 nécessitait deux interfaces Ethernet distinctes pour acheminer entre
VLAN 10 et VLAN 20. Que se passe-t-il s'il y avait six VLAN (ou plus) à interconnecter?
Une interface distincte serait requise pour chaque VLAN. Évidemment, cette solution n'est
pas évolutive.
Remarque: Cette méthode de routage inter-VLAN n'est plus implémentée dans les réseaux
commutés et est incluse à des fins d'explication uniquement.
4.1.3
Routage inter-VLAN avec la méthode router-

on-a-stick
La méthode de routage inter-VLAN 'router-on-a-stick' surmonte la limite de la méthode de
routage inter-VLAN ancienne. Il ne nécessite qu'une seule interface Ethernet physique pour
acheminer le trafic entre plusieurs VLAN sur un réseau.
Une interface Ethernet de routeur Cisco IOS est configurée comme un trunk 802.1Q et
connectée à un port de trunk sur un commutateur de couche 2. Plus précisément, l'interface du
routeur est configurée à l'aide de sous-interfaces pour identifier les VLAN routables.
Les sous-interfaces configurées sont des interfaces virtuelles logicielles. Chacune est associée
à une seule interface Ethernet physique. Les sous-interfaces sont configurées dans un logiciel
sur un routeur. Chaque sous-interface est configurée indépendamment avec sa propre adresse
IP et une affectation VLAN. Les sous-interfaces sont configurées pour différents sous-réseaux
correspondant à une affectation VLAN. Cela facilite le routage logique.
Lorsque le trafic étiqueté VLAN entre dans l'interface du routeur, il est transféré à la sous-
interface VLAN. Une fois qu'une décision de routage est prise en fonction de l'adresse du
réseau IP de destination, le routeur détermine l'interface de sortie du trafic. Si l'interface de
sortie est configurée en tant que sous-interface 802.1q, les trames de données sont marquées
VLAN avec le nouveau VLAN et renvoyés vers l'interface physique.
Cliquez sur Lecture dans la figure pour voir une animation illustrant comment la méthode
router-on-a-stick effectue sa fonction de routage.
G0/0/0.10
G0/0/0.30
Sous-interfaces de R1
G0/0.10: 172.17.10.1 [VLAN 10]
G0/0.20: 172.17.20.1 [VLAN 20]
G0/0.30: 172.17.30.1 [VLAN 30]
Ports du commutateur S1
F0/1-F0/3 = Trunk
Ports du commutateur S2
F0/11 = VLAN 10
F0/18 = VLAN 20
F0/23 = VLAN 30
F0/1-F0/2 = Trunk
Trame étiquetée
VLAN
Trame étiquetée
VLAN
Trunk
Trunk
Trunk
Comme on le voit dans l'animation, PC1 sur VLAN 10 communique avec PC3 sur VLAN 30.
Le routeur R1 accepte le trafic de monodiffusion étiqueté sur le VLAN 10 et l’achemine vers
le VLAN 30 en utilisant ses sous-interfaces configurées. Le commutateur S2 supprime
l’étiquette VLAN de la trame de monodiffusion et transfère la trame à PC3 sur le port F0/23.
Remarque: La méthode router-on-a-stick de routage inter-VLAN ne dépasse pas 50 VLAN.
4.1.4
Routage inter-VLAN sur un commutateur de

couche 3
La méthode moderne d'exécution du routage inter-VLAN consiste à utiliser des commutateurs
de couche 3 et des interfaces virtuelles commutées (SVI). Une interface SVI est une interface
virtuelle configurée dans un commutateur de couche 3, comme illustré dans la figure.
Remarque: Un commutateur de couche 3 est également appelé commutateur multicouche car

il fonctionne sur les couches 2 et 3. Cependant, dans ce cours, nous utilisons le terme
commutateur de couche 3.
La topologie du réseau physique présente deux PC, deux commutateurs de couche 2 et un

commutateur de couche 3. Le PC de gauche est en VLAN 10 et est connecté à un
commutateur de couche 2 qui est à son tour connecté au commutateur de couche 3. Le PC sur
la droite est en VLAN 20 et est connecté à un commutateur de couche 2 qui est à son tour
connecté au commutateur de couche 3. Le commutateur de couche 3 dispose de deux
interfaces SVI. SVI1 est sur VLAN 10 et a l'adresse IP 10.1.10.1. SVI2 est sur VLAN 20 et a
l'adresse IP 10.1.20.1.
VLAN 10VLAN 20
Interface SVI
VLAN 20
10.1.20.1Interface SVI
VLAN 10
10.1.10.1
Les SVI inter-VLAN sont créés de la même manière que l'interface VLAN de gestion est
configurée. Une interface SVI est créée pour chaque VLAN existant sur le commutateur. Bien
que virtuel, le SVI exécute les mêmes fonctions pour le VLAN qu'une interface de routeur.
Plus précisément, il assure le traitement de couche 3 des paquets vers ou depuis tous les ports
de commutateur associés à ce VLAN.
Voici les avantages de l'utilisation de commutateurs de couche 3 pour le routage inter-VLAN:
 Cette méthode est beaucoup plus rapide que le modèle Router-on-a-stick, car l'ensemble de la
commutation et du routage est assuré de manière matérielle.
 Il n'est pas nécessaire d'utiliser des liaisons externes entre le commutateur et le routeur pour le
routage.
 Ils ne sont pas limités à une liaison, car les canaux EtherChannels de couche 2 peuvent être utilisés
comme liaisons de trunk entre les commutateurs pour augmenter la bande passante.
 La latence est bien plus faible, car les données n'ont pas besoin de quitter le commutateur pour être
acheminées vers un autre réseau.
 Ils sont plus souvent déployés dans un réseau local de campus que les routeurs.
Le seul inconvénient est que les commutateurs de couche 3 sont plus chers.
4.1.5
Vérifiez votre compréhension - Opération de

routage inter-VLAN
Cette activité vérifie votre compréhension en utilisant un scénario différent pour chaque
question.Cliquez sur chaque bouton pour le scénario d'opération de routage inter-VLAN
correspondant à la question.
Scénario A
Scénario B
Scénario C
Scénario A
La topologie du réseau physique montre deux PC, un commutateur et un routeur. PC1 a

l'adresse IP 10.17.10.4/24, est dans VLAN 10, et est connecté au commutateur S2. PC2 a
l'adresse IP 1.17.20.4/24, est dans VLAN 20, et est connecté au commutateur S3. Les deux S2
et S3 se connectent au commutateur de couche 3, S1. S1 a une interface SVI dans VLAN 10
avec l'adresse IP 10.17.10.1/24 et une interface SVI dans VLAN 20 avec l'adresse IP
10.17.20.1/24
S1S1S2S3PC1PC210.17.10.4/2410.17.20.4/24SVI VLAN 10 - 10.17.10.1/24SVI VLAN 20 - 10.17.20.1/24
VLAN 20VLAN 10
1.
Consultez à chacune des topologies de scénario. Quelles déclarations décrivent le mieux les
différents types de solutions de routage inter-VLAN? (Choisissez toutes les réponses qui
conviennent.)
Le scénario A est une solution inter-VLAN existant.
Le scénario B est une solution inter-VLAN de couche 3.
Les scénarios B et C sont tous deux des solutions inter-VLAN avec la méthode Router-on-a-
Stick.
Le scénario A est une solution inter-VLAN de couche 3.
Le scénario B est une solution inter-VLAN existant.
Le scénario C est une solution inter-VLAN routeur avec la méthode Router-on-a-Stick.
Routage inter-VLAN avec la

méthode Router-on-a-stick
4.2.1
Le scénario Router-on-a-Stick
Dans la rubrique précédente, trois manières différentes de créer un routage inter-VLAN étaient
répertoriées, et le routage inter-VLAN existant était détaillé. Cette rubrique explique en détail
comment configurer inter-VLAN routeur avec la méthode Router-on-a-Stick. Vous pouvez voir
dans la figure que le routeur n'est pas au centre de la topologie mais qu'il semble plutôt être sur
un stick près de la bordure, d'où son nom.
Sur la figure, l'interface R1 GigabiteEthernet 0/0/1 est connectée au port S1 FastEthernet 0/5. Le
port S1 FastEthernet 0/1 est connecté au port S2 FastEthernet 0/1. Il s'agit de liaisons de trunk
qui sont nécessaires pour transférer le trafic à l'intérieur et entre les VLAN.
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24, une passerelle par défaut 192.168.10.1 et est dans VLAN 10. PC2
a l'adresse IP 192.168.20.10/24, une passerelle par défaut 192.168.20.1 et est dans VLAN 20.
PC1 se connecte au commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au
commutateur S2 sur le port de commutateur F0/18. Les commutateurs S1 et S2 sont
interconnectés les uns aux autres par une liaison de trunk sur le port de commutateur F0/1. Le
commutateur S1 est connecté au routeur R1 via une liaison de trunk sur le port de commutateur
F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1 est
192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
Pour acheminer entre VLAN, l'interface R1 GigabiteEthernet 0/0/1 est logiquement divisée en
trois sous-interfaces, comme indiqué dans le tableau. Le tableau indique également les trois
VLAN qui seront configurés sur les commutateurs.
Router R1 Subinterfaces
Sous-interface VLAN IP
AdresseG0/0/0.1010192.168.10.1/24G0/0/0.2020192.168.20.1/24G0/0/0.3099192.168.99.1/24
Sous-interfaces VLAN Adresse IP
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Supposons que R1, S1 et S2 ont des configurations de base initiales. Actuellement, PC1 et PC2
ne peuvent ping les uns les autres car ils se trouvent sur des réseaux séparés. Seuls S1 et S2
peuvent ping les uns les autres, mais ils sont inaccessibles par PC1 ou PC2 parce qu'ils sont
également sur des réseaux différents.
Pour permettre aux périphériques de ping les uns les autres, les commutateurs doivent être
configurés avec des VLAN et des trunks, et le routeur doit être configuré pour le routage inter-
VLAN.
4.2.2
Configurations de VLAN et de trunk de

commutateur S1
Procédez comme suit pour configurer S1 avec des VLAN et des trunks:
Étape 1 . Créez et nommez les VLAN.
Étape 2 . Créez l'interface de gestion.
Étape 3 . Configurez les ports d'accès
Étape 4 . Configurez les ports trunk.
l'adresse IP 192.168.10.10/24. PC2 a l'adresse IP 192.168.20.10/24. PC1 se connecte au
commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au commutateur S2 sur le
port de commutateur F0/18. Les commutateurs S1 et S2 sont interconnectés les uns aux autres
sur le port de commutateur F0/1. Le commutateur S1 est connecté au routeur R1 sur le port de
commutateur F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1
est 192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
VLAN 20
Cliquez sur chaque bouton pour obtenir des détails sur l'étape de configuration.
1. Créez et nommez les VLAN.
2. Créez l'interface de gestion.
3. Configurez les ports d'accès
4. Configurez les ports trunk.

1. Créez et nommez les VLAN.
Tout d'abord, les VLAN sont créés et nommés. Les VLAN ne sont créés qu'après avoir quitté le
mode de sous-configuration VLAN.
S1(config)# vlan 10
S1(config-vlan)# name LAN10
S1(config)# vlan 20
S1(config)# vlan 99
S1(config-vlan)# name Management
S1(config)#
4.2.3
Configurations de VLAN et de trunk de

commutateur S2
La configuration de S2 est similaire à S1.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
VLAN 20
S2(config)# vlan 10
S2(config)# vlan 20
S2(config)# vlan 99
S2(config-vlan)# name Management
S2(config)#
S2(config)# interface vlan 99
S2(config-if)# ip add 192.168.99.3 255.255.255.0
S2(config-if)# no shut
S2(config-if)# exit
S2(config)# ip default-gateway 192.168.99.1
S2(config-if)# exit
S2(config-if)# exit
S2(config-if)# end
*Mar 1 00:23:52.137: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/1, changed state to up

4.2.4
Configuration de la sous-interface R1
La méthode «Router-on-a-Stick» impose de créer des sous-interfaces pour chaque VLAN
routable.
Une sous-interface est créée à l'aide de la commande de mode de configuration

globale interface interface_id subinterface_id . La syntaxe de sous-interface est l’interface
physique suivie d’un point et d’un numéro de sous-interface. Bien que cela ne soit pas
nécessaire, il est habituel de faire correspondre le numéro de la sous-interface avec le numéro
du VLAN.
Chaque sous-interface est ensuite configurée avec les deux commandes suivantes:
 encapsulation dot1q vlan_id [native] l'option - This command configures the subinterface to
respond to 802.1Q encapsulated traffic from the specified vlan-id. The native mot de clé n'est
ajoutée que pour définir le VLAN natif sur autre chose que VLAN 1.
 ip address ip-address subnet-mask - Cette commande configure l'adresse IPv4 de la sous-
interface. Cette adresse sert généralement de passerelle par défaut pour le VLAN identifié.
Répétez le processus pour chaque VLAN pour être routée. Une adresse IP sur un sous-réseau
unique doit être affectée à chaque sous-interface de routeur pour que le routage se produise.
Lorsque toutes les sous-interfaces ont été créées, activez l'interface physique à l'aide de la
commande de configuration de l'interface no shutdown . Si l’interface physique est désactivée,
toutes les sous-interfaces sont également désactivée.
Dans la configuration suivante, les sous-interfaces R1 G0/0/1 sont configurées pour les VLAN 10,
20 et 99.
l'adresse IP 192.168.10.10/24. PC2 a l'adresse IP 192.168.20.10/24. PC1 se connecte au
commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au commutateur S2 sur le
port de commutateur F0/18. Les commutateurs S1 et S2 sont interconnectés les uns aux autres
sur le port de commutateur F0/1. Le commutateur S1 est connecté au routeur R1 sur le port de
commutateur F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1
est 192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
VLAN 20
R1(config)# interface G0/0/1.10
R1(config-subif)# description Default Gateway for VLAN 10
R1(config-subif)# encapsulation dot1Q 10

R1(config-subif)# ip add 192.168.10.1 255.255.255.0
R1(config-subif)# exit
R1(config)#
R1(config)#
R1(config)#
R1(config)# interface G0/0/1
R1(config-if)# description Trunk link to S1
R1(config-if)# no shut
R1(config-if)# end
R1#
*Sep 15 19:08:47.015: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1,
changed state to down
*Sep 15 19:08:50.071: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1,
changed state to up
*Sep 15 19:08:51.071: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/0/1, changed state to up
R1#
4.2.5
Vérifier la connectivité entre PC1 et PC2

La configuration router-on-a-stick est terminée après la configuration du trunk du commutateur et
des sous-interfaces du routeur. La configuration peut être vérifiée à partir des hôtes, du routeur et
du commutateur.
À partir d'un hôte, vérifiez la connectivité à un hôte d'un autre VLAN à l'aide de la
commande ping . Il est conseillé de vérifier d'abord la configuration actuelle de l'adresse IP de
l'hôte à l'aide de la commande d'hôte Windows ipconfig .
C:\Users\PC1> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet0:
Connection-specific DNS Suffix . :
Link-local IPv6 Address : fe80::5c43:ee7c:2959:da68%6
IPv4 Address : 192.168.10.10
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.10.1
C:\Users\PC1>
La sortie confirme l'adresse IPv4 et la passerelle par défaut de PC1. Ensuite, utilisez ping pour
vérifier la connectivité avec PC2 et S1, comme indiqué sur la figure. La sortie ping confirme que
le routage inter-VLAN fonctionne correctement.
C:\Users\PC1> ping 192.168.20.10
Pinging 192.168.20.10 with 32 bytes of data:
Reply from 192.168.20.10: bytes=32 time<1ms TTL=127
Ping statistics for 192.168.20.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss).
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC1>
C:\Users\PC1> ping 192.168.99.2
Request timed out.
Request timed out.
Reply from 192.168.99.2: bytes=32 time=2ms TTL=254
Reply from 192.168.99.2: bytes=32 time=1ms TTL=254 |

Packets: Sent = 4, Received = 2, Lost = 2 (50% loss).
C:\Users\PC1>
4.2.6
Vérification de Routage inter-VLAN avec la

méthode Router-on-a-stick
En plus d'utiliser ping entre les périphériques, les commandes show suivantes peuvent être
utilisées pour vérifier et dépanner la configuration du router-on-a-stick.
 show ip route
 show ip interface brief
 show interfaces
 show interfaces trunk
Cliquez sur chaque bouton pour un exemple de sortie de ces commandes.

show ip route
show interfaces
show interfaces trunk
Vérifiez que les sous-interfaces apparaissent dans la table de routage de R1 à l'aide de la

commande show ip route . Notez qu'il existe trois routes connectées (C) et leurs interfaces de
sortie respectives pour chaque VLAN routable. La sortie confirme que les sous-réseaux, les
VLAN et les sous-interfaces corrects sont actifs.
R1# show ip route | begin Gateway
C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/1.10
L 192.168.10.1/32 is directly connected, GigabitEthernet0/0/1.10

L 192.168.20.1/32 is directly connected, GigabitEthernet0/0/1.20
L 192.168.99.1/32 est directement connecté, GigabiteThernet0/0/1.99
R1#
4.2.7
Packet Tracer - Configuration du routage inter-

VLAN avec la méthode router-on-a-stick
Dans cet exercice, vous vérifierez la connectivité avant d’implémenter le routage inter-VLAN.
Vous configurerez ensuite les VLAN et le routage inter-VLAN. Enfin, vous activerez le trunking et
vérifierez la connectivité entre les VLAN.
Configuration du routage inter-VLAN avec la méthode router-on-a-stick
Configuration du routage inter-VLAN avec la méthode router-on-a-stick

4.2.8
Travaux pratiques - Configuration du routage

inter-VLAN avec la méthode router-on-a-stick
Au cours de ces travaux pratiques, vous aborderez les points suivants:
 Partie 1: Création du réseau et configuration des paramètres de base des périphériques

 Partie 2: Configuration des commutateurs avec les VLAN et du trunking
 Partie 3: Configuration du routage inter-VLAN basé sur un trunk
Configurer le routage inter VLAN

en utilisant les commutateurs de
couche 3.
4.3.1
Routage inter-VLAN de commutateur de
couche 3
Les réseaux d'entreprise modernes utilisent rarement router-on-a-stick, car il est difficile de
remplir les conditions. Dans ces très grands réseaux, les administrateurs réseau utilisent des
commutateurs de couche 3 pour configurer le routage inter-VLAN.
Le routage inter-VLAN utilisant la méthode routeur-on-a-stick est simple à mettre en œuvre pour
une entreprise de petite à moyenne taille. Cependant, une grande entreprise nécessite une
méthode plus rapide et beaucoup plus évolutive pour fournir le routage inter-VLAN.
Les réseaux locaux de campus d'entreprise utilisent des commutateurs de couche 3 pour fournir
le routage inter-VLAN. Les commutateurs de couche 3 utilisent la commutation matérielle pour
obtenir des taux de traitement de paquets plus élevés que les routeurs. Les commutateurs de
couche 3 sont également couramment utilisés dans les armoires de câblage de la couche de
distribution d'entreprise.
Les fonctionnalités d'un commutateur de couche 3 incluent la possibilité d'effectuer les opérations
suivantes:
 Route d'un VLAN à un autre à l'aide de plusieurs interfaces virtuelles commutées (SVI).
 Convertir un port de commutateur de couche 2 en interface de couche 3 (c'est-à-dire un port
routé). Un port routé est similaire à une interface physique sur un routeur Cisco IOS.
Pour fournir le routage inter-VLAN, les commutateurs de couche 3 utilisent des SVI. Les SVI sont
configurés à l'aide de la même commande interface vlan vlan-id utilisée pour créer le SVI de
gestion sur un commutateur de couche 2. Un SVI de couche 3 doit être créé pour chacun des
VLAN routables.
4.3.2
Scénario de commutateur de couche 3

Sur la figure, le commutateur de couche 3, D1, est connecté à deux hôtes sur différents VLAN.
PC1 est dans VLAN 10 et PC2 est dans VLAN 20, comme indiqué. Le commutateur de couche 3
fournira des services de routage inter-VLAN vers les deux hôtes.
La topologie du réseau physique montre deux PC, un commutateur et un routeur. PC1 sur la
gauche a l'adresse IP 192.168.10.10, l'adresse de passerelle 192.168.10.1/24, est dans VLAN
10, et est connecté au commutateur sur le port G1/0/6. PC2 sur la droite a l'adresse IP
192.168.20.10, l'adresse de passerelle 192.168.20.10/24, est dans VLAN 20, et est connecté au
commutateur sur le port G1/0/18.
D1PC1PC2G1/0/6G1/0/18192.168.10.10/24192.168.20.10/24
(VLAN 10)(VLAN 20)Passerelle: 192.168.10.1Passerelle: 192.168.20.1
Le tableau indique les adresses IP de chaque VLAN.

D1 VLAN IP Addresses
Interface VLAN Adresse EIP 10
192.168.10.1/24 20 192.168.20.1/24
Interface
Adresse IP
VLAN
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
Configuration du commutateur de couche 3

Procédez comme suit pour configurer S1 avec des VLAN et des trunks:
Étape 1. Créez les VLAN.
Étape 2. Créez les interfaces VLAN SVI.
Étape 3. Configurez les ports d'accès
Étape 4. Activation du routage IP
1. Créez les VLAN.
2. Créez les interfaces VLAN SVI.
3. Configurez les ports d'accès

4. Activation du routage IP
1. Créez les VLAN.
Tout d'abord, créez les deux VLAN comme indiqué dans la sortie.
D1(config)# vlan 10
D1(config-vlan)# name LAN10
D1(config-vlan)# vlan 20
D1(config-vlan)# name LAN20

D1(config-vlan)# exit
D1(config)#
4.3.4
Vérification du routage inter-VLAN des

commutateurs de couche 3
Le routage inter-VLAN à l'aide d'un commutateur de couche 3 est plus simple à configurer que la
méthode routeur-on-a-stick. Une fois la configuration est terminée, la configuration peut être
vérifiée en testant la connectivité entre les hôtes.
À partir d'un hôte, vérifiez la connectivité à un hôte d'un autre VLAN à l'aide de la
commande ping . Il est conseillé de vérifier d'abord la configuration actuelle de l'adresse IP de
l'hôte à l'aide de la commande d'hôte Windows ipconfig . La sortie confirme l'adresse IPv4 et la
passerelle par défaut de PC1.
C:\Users\PC1> ipconfig
Link-local IPv6 Address : fe80::5c43:ee7c:2959:da68%6
IPv4 Address : 192.168.10.10
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.10.1
C:\Users\PC1>
Ensuite, vérifiez la connectivité avec PC2 à l'aide de la commande d'hôte de Windows ping ,
comme indiqué dans la sortie. La sortie ping confirme que le routage inter-VLAN fonctionne
correctement.
C:\Users\PC1> ping 192.168.20.10

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
C:\Users\PC1>
4.3.5
Routage sur un commutateur de couche 3

Si les VLAN doivent être accessibles par d'autres périphériques de couche 3, ils doivent être
annoncés à l'aide d'un routage statique ou dynamique. Pour activer le routage sur un
commutateur de couche 3, un port routé doit être configuré.
Un port routé est créé sur un commutateur de couche 3 en désactivant la fonction de port de
commutation sur un port de couche 2 connecté à un autre périphérique de couche 3. Plus
précisément, la configuration de la commande de configuration de l'interface no switchport sur
un port de couche 2 la convertit en interface de couche 3. Ensuite, l'interface peut être configurée
avec une configuration IPv4 pour se connecter à un routeur ou à un autre commutateur de
couche 3.
4.3.6
Scénario de routage sur un commutateur de

couche 3
Dans la figure, le commutateur D1 de couche 3 configuré précédemment est maintenant
connecté à R1. R1 et D1 sont tous les deux dans un domaine de protocole de routage OSPF
(Open Shortest Path First). Supposons qu'inter-VLAN a été implémenté avec succès sur D1.
L'interface G0/0/1 de R1 a été également configurée et activée. En outre, R1 utilise OSPF pour
annoncer ses deux réseaux, 10.10.10.0/24 et 10.20.20.0/24.
Remarque: La configuration du routage OSPF est abordée dans un autre cours. Dans ce
module, les commandes de configuration OSPF vous seront données dans toutes les activités et
les évaluations. Il n'est pas nécessaire que vous compreniez la configuration pour activer le
routage OSPF sur le commutateur de couche 3.
La topologie du réseau physique présente deux PC, un commutateur de couche 3 (D1), un

routeur (R1) et un serveur. PC1 a l'adresse IP 192.168.10.10, l'adresse de passerelle
192.168.10.1/24, est dans VLAN 10, et est connecté au commutateur sur le port G1/0/6. PC2 a
l'adresse IP 192.168.20.10, l'adresse de passerelle 192.168.20.10/24, est dans VLAN 20, et est
connecté au commutateur sur le port G1/0/18. Le commutateur, D1, interface G0/0/1 a l'adresse
IP 10.10.10.2/24 et se connecte au routeur R1 interface G0/0/1 qui a l'adresse IP 10.10.10.1/24.
Le routeur R1 se connecte au serveur via le réseau 10.10.20.0/24.R1 a l'adresse IP 10.10.10.1 et
le serveur a l'adresse IP 10.10.20.254. Le routeur exécute également OSPF.
PC1PC2G1/0/6G1/0/18192.168.10.10/24192.168.20.10/24D1.2G0/0/1G0/0/1.1.1.25410.10.10.0/
2410.10.20.0/24R1SvrOSPFG0/0/0
(VLAN 10)(VLAN 20)Passerelle: 192.168.10.1Passerelle: 192.168.20.1
4.3.7
Configuration du routage sur un commutateur

de couche 3
Effectuez les étapes suivantes pour configurer D1 afin de router vers R1 :
Étape 1. Configurez le port routé.
Étape 2. Activez le routage.
Étape 3. Configurez le routage.
Étape 4. Vérifiez le routage
Étape 5. Vérifiez la connectivité.
1. Configurez le port routé.
2. Activez le routage.
3. Configurez le routage.
4. Vérifiez le routage.
5. Vérifiez la connectivité.
1. Configurez le port routé.
Configurez G1/0/1 comme port routé, affectez-lui une adresse IPv4 et activez-le.
D1(config)# interface GigabitEthernet1/0/1

D1(config-if)# description routed Port Link to R1
D1(config-if)# no switchport
D1(config-if)# ip address 10.10.10.2 255.255.255.0
D1(config-if)# no shut
D1(config-if)# exit
D1(config)#
4.3.8
Packet Tracer - Configuration de la

commutation de couche 3 et du routage inter-
VLAN
Au cours de cette activité, vous configurerez la commutation de couche 3 et le routage inter-
VLAN sur un commutateur Cisco 3560.
Dépannage du routage inter-

VLAN
4.4.1
Problèmes communs d'inter-VLAN

Maintenant, vous savez que lorsque vous configurez et vérifiez, vous devez également être en
mesure de dépanner. Cette rubrique traite de certains problèmes réseau courants associés au
routage inter-VLAN.
Il existe un certain nombre de raisons dont la configuration inter-VLAN ne peut pas fonctionner.
Tous sont liés à des problèmes de connectivité. Tout d'abord, vérifiez la couche physique pour
résoudre les problèmes liés à la connexion d'un câble au mauvais port. Si les connexions sont
correctes, utilisez la liste du tableau pour d'autres raisons courantes pour lesquelles la
connectivité inter-VLAN peut défaillir.
Type de problème Comment résoudre la vérification des VLAN manquants Créer (ou recréer) le VLAN
s'il n'existe pas.Assurez-vous que le port hôte est affecté au VLAN.Afficher les interfaces vlan [brief]
switchport PingSwitch Trunk Port IssuesAssurer sont configurés correctement.Assurez-vous que le
port est un port de jonction et activé.show interface afficher les problèmes en cours d'exécution-
ConfigSwitch Access Port Assigner correctement VLAN pour accéder au port. Assurez-vous que le
port est un port d'accès et activé. L'hôte est mal configuré dans le mauvais sous-réseau. show
interfaces switchport show running-config interface Ip Config router Configuration Issues Router
l'adresse IPv4 de la sous-interface n'est pas correctement configurée.La sous-interface du routeur est
attribué à l'ID VLAN .Show ip interface brief show interfaces
Procédure de
Type de problème Comment résoudre les problèmes
vérification
show vlan
 Créez (ou recréez) le VLAN s'il n'existe pas. [brief]
VLAN manquants  Assurez-vous que le port hôte est affecté au VLAN show
correct. interfaces
switchport
ping
show
 Assurez-vous que les trunks sont correctement interfaces
Problèmes de port de trunk de configurés. trunk
commutateur  Assurez-vous que le port est un port de trunk et activé. show
running-
config
show
 Attribuez le port au correct VLAN. interfaces
switchport
Problèmes liés aux ports de  Assurez-vous que le port est un port d'accès et activé.
show
commutateur  L'hôte n'est pas correctement configuré dans le running-
mauvais sous-réseau. config
interface
ipconfig
 L'adresse IPv4 de la sous-interface du routeur est mal show ip

Problèmes de configuration du configurée. interface
routeur  La sous-interface du routeur est affectée à l'ID du brief
VLAN. show
interfaces
4.4.2
Scénario de dépannage du routage inter-

VLAN
Des exemples de certains de ces problèmes de routage inter-VLAN seront maintenant abordés
plus en détail.
Cette topologie sera utilisée pour tous ces problèmes.

R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
VLAN 20
Les informations d'adressage VLAN et IPv4 pour R1 sont indiquées dans le tableau.
Router R1 Subinterfaces
Sous-interface VLAN IP Adresse G0/0/0.10
10 192.168.10.1/24 G0/0/0.20 20
192.168.20.1/24 G0/0/0.30 99
192.168.99.1/24
Sous-
VLAN Adresse IP
interfaces
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
4.4.3
VLAN manquants
Un problème de connectivité inter-VLAN peut être causé par un VLAN manquant. Le VLAN peut
être manquant s'il n'a pas été créé, s'il a été accidentellement supprimé ou s'il n'est pas autorisé
sur le lien de trunk.
Par exemple, PC1 est actuellement connecté au VLAN 10, comme indiqué dans la sortie de
commande show vlan brief .
S1# show vlan brief

---- -------------------------------- --------- -------------------------
------
1 default active Fa0/2, Fa0/3, Fa0/4,
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
Fa0/12, Fa0/13, Fa0/14,
Fa0/15
Fa0/16, Fa0/17, Fa0/18,
Fa0/19
Fa0/20, Fa0/21, Fa0/22,
Fa0/23
Fa0/24, Gi0/1, Gi0/2
10 LAN10 active Fa0/6
20 LAN20 active
99 Management active
S1#
Supposons maintenant que VLAN 10 est accidentellement supprimé, comme indiqué dans la
sortie suivante.
S1(config)# no vlan 10
S1(config)# do show vlan brief

---- -------------------------------- --------- -------------------------
------
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
Fa0/12, Fa0/13, Fa0/14,
Fa0/15
Fa0/16, Fa0/17, Fa0/18,
Fa0/19
Fa0/20, Fa0/21, Fa0/22,
Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
S1(config)#
Notez que VLAN 10 est maintenant absent de la sortie. Notez également que le port Fa0/6 n'a
pas été réaffecté au VLAN par défaut. Car lorsque vous supprimez un VLAN, tous les ports
attribués à ce VLAN deviennent inactifs. Ils restent associés au VLAN (et sont par conséquent
inactifs) jusqu'à ce que vous les attribuiez à un autre VLAN ou recréez le VLAN manquant.
Utilisez la commande show interface interface-id switchport pour vérifier l'appartenance au

VLAN.
S1(config)# do show interface fa0/6 switchport
Name: Fa0/6
Switchport: Enabled
Access Mode VLAN: 10 (Inactive)
Voice VLAN: none
(Output omitted)
La recréation du VLAN manquant lui réaffecterait automatiquement les hôtes, comme indiqué
dans la sortie suivante.
S1(config)# vlan 10
S1(config-vlan)# do show vlan brief
---- -------------------------------- --------- -------------------------
------
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
Fa0/12, Fa0/13, Fa0/14,

Fa0/15
Fa0/16, Fa0/17, Fa0/18,
Fa0/19
Fa0/20, Fa0/21, Fa0/22,
Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
S1(config-vlan)#
Notez que le VLAN n'a pas été créé comme prévu. La raison est que vous devez quitter le mode
de sous-configuration VLAN pour créer le VLAN, comme indiqué dans la sortie suivante.
S1(config)# vlan 10
S1(config)# do show vlan brief

---- -------------------------------- --------- -------------------------
------
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
Fa0/12, Fa0/13, Fa0/14,
Fa0/15
Fa0/16, Fa0/17, Fa0/18,
Fa0/19
Fa0/20, Fa0/21, Fa0/22,
Fa0/23
Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active Fa0/6
20 LAN20 active
S1(config)#
Notez maintenant que le VLAN est inclus dans la liste et que l'hôte connecté à Fa0/6 est sur
VLAN 10.
4.4.4
Problèmes de port de trunk de commutateur

Un autre problème pour le routage inter-VLAN inclut des ports de commutateur mal configurés.
Dans une solution inter-VLAN existant, cela peut se produire lorsque le port du routeur de
connexion n'est pas affecté au VLAN correct.
Cependant, avec la solution router-on-a-stick, la cause la plus fréquente est un port de trunk mal
configuré.
Par exemple, supposons que PC1 était en mesure de se connecter à des hôtes dans d'autres
VLAN jusqu'à récemment. Un rapide coup d'œil aux journaux de maintenance a révélé que le
commutateur S1 de la couche 2 a récemment été consulté pour une maintenance de routine. Par
conséquent, vous pensez que le problème peut être lié à ce commutateur.
R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
VLAN 20
Sur S1, vérifiez que le port se connectant à R1 (c'est-à-dire F0/5) est correctement configuré en
tant que liaison de trunk à l'aide de la commande show interfaces trunk , comme indiqué.
S1# show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,20,99
Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1,10,20,99
S1#
Le port Fa0/5 se connectant à R1 est mystérieusement manquant de la sortie. Vérifiez la

configuration de l'interface à l'aide de la commande show running-config interface fa0/5 ,
comme illustré.
S1# show running-config | include interface fa0/5
description Trunk link to R1
switchport mode trunk
shutdown
end
S1#
Comme vous pouvez le voir, le port a été accidentellement arrêté. Pour corriger le problème,
réactivez le port et vérifiez l'état de la liaison, comme indiqué dans la sortie.
S1(config-if)#
*Mar 1 04:46:44.153: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed
state to up
S1(config-if)#
S1(config-if)# do show interface trunk
Port Mode Encapsulation Status Native vlan
Port Vlans allowed on trunk
Fa0/1 1-4094
Fa0/5 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,20,99
Fa0/5 1,10,20,99
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 1,10,20,99
Fa0/1 1,10,20,99
S1(config-if)#
Pour limiter le risque de perturbation du routage inter-VLAN dû à une une liaison inter-
commutateur défaillante, les liaisons redondantes et les chemins alternatifs doivent faire partie de
la conception du réseau.
4.4.5
Problèmes liés aux ports de commutateur

Lorsque vous suspectez un problème avec une configuration de port d’accès du commutateur,
utilisez les diverses commandes de vérification pour examiner la configuration et identifier le
problème.
Supposons que PC1 possède l'adresse IPv4 correcte et la passerelle par défaut, mais ne peut
pas ping sa propre passerelle par défaut. PC1 est supposé être connecté à un port VLAN 10.
R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
VLAN 20
Vérifiez la configuration du port sur S1 à l'aide de la commande show interfaces interface-

id switchport .
S1# show interface fa0/6 switchport
Name: Fa0/6
Switchport: Enabled

Voice VLAN: none
Le port Fa0/6 a été configuré comme port d'accès comme indiqué par «accès statique».
Cependant, il semble qu'il n'ait pas été configuré pour être dans VLAN 10. Vérifiez la
configuration de l'interface.
S1# show running-config interface fa0/6
description PC-A access port
end
S1#
Attribuez le port Fa0/6 au VLAN 10 et vérifiez l'affectation du port.
S1(config-if)#
S1(config-if)# do show interface fa0/6 switchport
Name: Fa0/6
Switchport: Enabled
Access Mode VLAN: 10 (VLAN0010)
Voice VLAN: none
(Output omitted)
PC1 est désormais en mesure de communiquer avec des hôtes situés sur d'autres VLAN.
4.4.6
Problèmes de configuration du routeur

Les problèmes de configuration du router-on-a-stick sont généralement liés à des erreurs de
configuration de sous-interface. Par exemple, une adresse IP incorrecte a été configurée ou un
ID VLAN incorrect a été attribué à la sous-interface.
Par exemple, R1 doit fournir le routage inter-VLAN pour les utilisateurs dans les VLAN 10, 20 et
99. Toutefois, les utilisateurs du VLAN 10 ne peuvent pas atteindre d'autres VLAN.
R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
VLAN 20
Vous avez vérifié la liaison de trunk du commutateur et tout semble être en ordre. Vérifiez l'état
de la sous-interface à l'aide de la commande show ip interface brief .
Protocol
GigabitEthernet0/0/0 unassigned YES unset administratively down
down
GigabitEthernet0/0/1 unassigned YES unset up
up
Gi0/0/1.10 192.168.10.1 YES manual up
up
Gi0/0/1.20 192.168.20.1 YES manual up
up
Gi0/0/1.99 192.168.99.1 YES manual up
up
down
down
R1#
Les sous-interfaces ont reçu les adresses IPv4 correctes et elles sont opérationnelles.
Vérifiez quels VLAN chacun des sous-interfaces est sous tension. Pour cela, la commande show
interfaces est utile mais elle génère beaucoup de sortie supplémentaire non requise. La sortie
de commande peut être réduite à l'aide des filtres de commande IOS comme indiqué dans la
sortie.
R1# show interfaces | include Gig|802.1Q
GigabitEthernet0/0/0 is administratively down, line protocol is down
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
GigabitEthernet0/0/1.10 is up, line protocol is up
Encapsulation 802.1Q Virtual LAN, Vlan ID 100.
R1#
Le symbole (|) ainsi que certains mots-clés sélectionnés sont une méthode utile pour aider à
filtrer la sortie de la commande. Dans cet exemple, le mot-clé include a été utilisé pour identifier
que seules les lignes contenant les lettres «Gig» ou «802.1Q» seront affichées. En raison de la
façon dont la sortie show interface est naturellement répertoriée, l'utilisation de ces filtres produit
une liste condensée d'interfaces et de leurs VLAN assignés.
Notez que l'interface G0/0/1. Numéro 10 a été mal affectée au VLAN 100 au lieu de VLAN 10.
Ceci est confirmé en regardant la configuration de la sous-interface R1 Gigabitethernet 0/0/1.10,
comme illustré.
R1# show running-config interface g0/0/1.10
interface GigabitEthernet0/0/1.10
description Default Gateway for VLAN 10
encapsulation dot1Q 100
ip address 192.168.10.1 255.255.255.0
end
R1#
Pour résoudre ce problème, configurez la sous-interface G0/0. Numéro 10 pour qu'elle soit sur le
VLAN correct à l'aide de la commande encapsulation dot1q 10 de mode de configuration.
R1# conf t
R1(config)# interface gigabitEthernet 0/0/1.10
R1(config-subif)# end
R1#
R1# show interfaces | include Gig|802.1Q
GigabitEthernet0/0/0 is administratively down, line protocol is down
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set

R1#
Lorsque la sous-interface a été affectée au VLAN correct, elle est accessible par des
périphériques de ce VLAN et le routeur peut assurer le routage inter-VLAN.
Une vérification appropriée permet de traiter rapidement les problèmes de configuration du

routeur, ce qui permet au routage inter-VLAN de fonctionner à nouveau correctement.
4.4.7
Vérifiez votre compréhension - Résoudre les

problèmes liés au routage inter-VLAN
Vérifiez votre compréhension de Routage Inter-VLAN en choisissant la MEILLEURE réponse aux
questions suivantes.
1. Vous résolvez un problème inter-VLAN sur un routeur et devez vérifier que les sous-interfaces
sont dans la table de routage. Quelle commande de dépannage de routage inter-VLAN
utiliseriez-vous pour cela?
show interfaces
show interfaces interface-id switchport
show ip route
show vlan
2. Vous résolvez un problème inter-VLAN sur un commutateur et devez vérifier la liste des VLAN et
leurs ports attribués. Quelle commande de dépannage de routage inter-VLAN utiliseriez-vous
pour cela?
show interfaces
show ip route
show vlan
3. Vous résolvez un problème inter-VLAN sur un routeur et devez vérifier l'état d'un port d'accès et
de son VLAN en mode d'accès. Quelle commande de dépannage utiliseriez-vous pour cela?
show interfaces
show ip route
show vlan
4. Vous résolvez un problème inter-VLAN sur un routeur et devez vérifier l'état et l'adresse IP de
toutes les interfaces dans un format condensé. Quelle commande de dépannage de routage
inter-VLAN utiliseriez-vous pour cela?
show interfaces

show ip route
show vlan
ContrôlerDémonstrationRéinitialiser
4.4.8
Packet Tracer - Dépannage du routage inter-

VLAN
Dans cette activité Packet Tracer, vous remplirez les objectifs suivants:
 Partie 1: Détection des problèmes du réseau

 Partie 2: Mise en œuvre de la solution
 Partie 3: Vérification de la connectivité réseau

4.4.9
Travaux pratiques - Dépannage du routage

inter-VLAN
 Part 1:Évaluer le fonctionnement du réseau

 Part 2: Recueillir des informations, créer un plan d'action et mettre en œuvre des corrections.

Module pratique et questionnaires

4.5.1
Packet Tracer - Défi de routage inter-VLAN

Dans cet exercice, vous allez démontrer et renforcer votre capacité à implémenter un routage
inter-VLAN, y compris la configuration d'adresses IP, de VLAN, du trunking et de sous-
interfaces.
Défi de routage inter-VLAN
Défi de routage inter-VLAN

4.5.2
Travaux Pratiques - Mise en œuvre du routage

Inter-VLAN

 Partie 2: Création du VLAN et attribution des ports de commutateur
 Partie 3: Configuration d'un trunk 802.1Q entre les commutateurs
 Partie 4: Configuration de routage inter-VLAN sur le commutateur S1
 Partie 5: Vérification de fonctionnement de routage inter-VLAN

4.5.3

Fonctionnement du routage inter-VLAN
Les hôtes d'un VLAN ne peuvent pas communiquer avec les hôtes d'un autre VLAN sauf s'il
existe un routeur ou un commutateur de couche 3 pour fournir des services de routage. Le
routage inter-VLAN est un processus d'acheminement du trafic réseau d'un VLAN à un autre.
Trois options comprennent le commutateur hérité, le routeur sur une clé et le commutateur de
couche 3 à l'aide de SVI. le commutateur hérité utilisait un routeur avec plusieurs interfaces
Ethernet. Chaque interface devait être connectée à un port de commutateur dans différents
VLAN. La nécessité de posséder une interface de routeur physique par VLAN épuise
rapidement la capacité du routeur. La méthode de routage inter-VLAN «routeur-on-a-stick»
nécessite uniquement une interface Ethernet physique pour acheminer le trafic entre plusieurs
VLAN sur un réseau. Une interface Ethernet de routeur Cisco IOS est configurée comme un
trunk 802.1Q et connectée à un port de trunk sur un commutateur de couche 2. L'interface du
routeur est configurée à l'aide de sous-interfaces pour identifier les VLAN routables. Les
sous-interfaces configurées sont des interfaces virtuelles basées sur un logiciel, associées à
une interface physique unique. La méthode moderne est le routage inter-VLAN sur un
commutateur de couche 3 à l'aide de SVI. Une interface SVI est créée pour chaque VLAN
existant sur le commutateur. Le SVI exécute les mêmes fonctions pour le VLAN qu'une
interface de routeur. Il assure le traitement des paquets de couche 3 vers ou depuis tous les
ports de commutateur associés à ce VLAN.
Routage inter-VLAN avec la méthode Router-on-a-stick
Pour configurer un commutateur avec des VLAN et des trunks, procédez comme suit: créez et
nommez les VLAN, créez l'interface de gestion, configurez les ports d'accès et configurez les
ports de trunk. La méthode «Router-on-a-Stick» impose de créer des sous-interfaces pour
chaque VLAN routable. Une sous-interface est créée à l'aide de la commande de mode de
configuration global interface interface_id subinterface_id . Une adresse IP sur un sous-
réseau unique doit être affectée à chaque sous-interface de routeur pour que le routage se
produise. Lorsque toutes les sous-interfaces ont été créées, l'interface physique doit être
activée à l'aide de la commande de configuration de l'interface no shutdown . À partir d'un
hôte, vérifiez la connectivité à un hôte d'un autre VLAN à l'aide de la commande ping .
Utilisez ping pour vérifier la connectivité avec l'hôte et le commutateur. Pour vérifier et
résoudre les problèmes utilisez les commandes show ip route, show ip interface brief, show
interfaces et show interfaces trunk .
Configurer le routage inter VLAN en utilisant les commutateurs de couche 3.
Les réseaux locaux de campus d'entreprise utilisent des commutateurs de couche 3 pour
fournir le routage inter-VLAN. Les commutateurs de couche 3 utilisent la commutation
matérielle pour obtenir des taux de traitement de paquets plus élevés que les routeurs. Les
fonctionnalités d'un commutateur de couche 3 comprennent le routage d'un VLAN à un autre
en utilisant plusieurs interfaces virtuelles commutées (SVI) et la conversion d'un port de
commutateur de couche 2 en une interface de couche 3 (c'est-à-dire un port routé). Pour
fournir le routage inter-VLAN, les commutateurs de couche 3 utilisent des SVI. Les SVI sont
configurés à l'aide de la même commande d'interface de vlan vlan-id utilisée pour créer le SVI
de gestion sur un commutateur de couche 2. Un SVI de couche 3 doit être créé pour chacun
des VLAN routables. Pour configurer un commutateur avec VLAN et trunking, procédez
comme suit: créez le VLAN, créez les interfaces VLAN SVI, configurez les ports d'accès et
activez le routage IP. À partir d'un hôte, vérifiez la connectivité à un hôte d'un autre VLAN à
l'aide de la commande ping . Ensuite, vérifiez la connectivité avec l'hôte à l'aide de la
commande d'hôte de Windows ping . Les VLAN doivent être annoncés à l'aide d'un routage
statique ou dynamique. Pour activer le routage sur un commutateur de couche 3, un port routé
doit être configuré. Un port routé est créé sur un commutateur de couche 3 en désactivant la
fonction de port de commutation sur un port de couche 2 connecté à un autre périphérique de
couche 3. L'interface peut être configurée avec une configuration IPv4 pour se connecter à un
routeur ou à un autre commutateur de couche 3. Pour configurer un commutateur de couche 3
pour qu'il route avec un routeur, procédez comme suit: configurez le port routé, activez le
routage, configurez le routage, vérifiez le routage et vérifiez la connectivité.
Il existe un certain nombre de raisons dont la configuration inter-VLAN ne peut pas

fonctionner. Tous sont liés à des problèmes de connectivité tels que des VLAN manquants,
des problèmes de port de trunk de commutateur, des problèmes de port d'accès au
commutateur et des problèmes de configuration du routeur. Un VLAN peut être manquant s'il
n'a pas été créé, s'il a été supprimé accidentellement ou s'il n'est pas autorisé sur le lien de
liaison. Un autre problème pour le routage inter-VLAN inclut des ports de commutateur mal
configurés. Dans une solution inter-VLAN existant, un port de commutateur mal configuré
peut être causé lorsque le port du routeur de connexion n'est pas affecté au VLAN correct.
Avec la solution router-on-a-stick, la cause la plus fréquente est un port de trunk mal
configuré. Lorsqu'un problème est suspecté avec une configuration de port d'accès de
commutateur, utilisez les commandes ping et show interfaces interface-id switchport pour
identifier le problème. Les problèmes de configuration de routeur avec les configurations de
router-on-a-stick sont généralement liés à des erreurs de configuration de sous-interface.
Vérifiez l'état de la sous-interface à l'aide de la commande show ip interface brief .
4.5.4
Questionnaire de module - Routage inter-

VLAN
1.
Un PC doit accéder à un serveur Web sur un autre réseau. Quelle méthode inter-VLAN fournira
la bande passante la plus élevée au niveau de la couche 3 et fournira également une passerelle
par défaut pour le PC?
plusieurs interfaces physiques sur le routeur, toutes connectées à un commutateur de couche 2
interface trunk entre le routeur et le commutateur
commutateur multicouche avec routage activé
router on a stick
2. Quelle méthode évolutive doit être implémentée pour fournir un routage inter-VLAN sur un réseau
commuté avec plus de 1000 VLAN?
routage interne du trafic vers un périphérique de commutateur de couche 3
connexion de chaque interface de routeur physique à un port de commutateur physique

différent, chaque port de commutateur étant attribué à un VLAN différent
connexion d'une interface de routeur à un port de commutateur configuré en mode trunk pour
acheminer des paquets entre des VLAN, chaque VLAN étant affecté à une sous-interface de
routeur
configuration de routes statiques sur un périphérique de commutateur de couche 2
3. Lors de la configuration d'un routeur dans une topologie de routage inter-VLAN router-on-a-stick,
où l'adresse IP doit-elle être attribuée?
à la sous-interface
à l’interface
à l'interface VLAN
à l'interface SVI
4. Un petit collège utilise VLAN 10 pour le réseau de classe et VLAN 20 pour le réseau de bureau.
Que faut-il pour activer la communication entre ces deux VLAN tout en utilisant le routage inter-
VLAN existant?
Un routeur avec au moins deux interfaces LAN est nécessaire.
Un routeur avec une interface VLAN est nécessaire pour se connecter au SVI sur un
commutateur.
Deux groupes de commutateurs, chacun avec des ports configurés pour un VLAN.
Un commutateur avec un port configuré en tant que trunk est nécessaire pour se connecter au
routeur.
5. Quel est l'inconvénient de l'utilisation de commutateurs multicouches pour le routage inter-VLAN?
Les commutateurs multicouches sont plus coûteux que les implémentations de router-on-a-stick.
Les commutateurs multicouches présentent une latence plus élevée pour le routage de couche
3.
Les commutateurs multicouches sont limités à l'utilisation de liaisons de trunk pour le routage de
couche 3.
Spanning tree doit être désactivé pour implémenter le routage sur un commutateur multicouche.
6. Quel type de conception de communication inter-VLAN nécessite la configuration de plusieurs
sous-interfaces?
routage pour le VLAN de gestion
routage via un commutateur multicouche
router on a stick
Routage inter-VLAN existant

7. Quel est l'inconvénient de l'utilisation du routage inter-VLAN avec la méthode router-on-a-stick?
ne prend pas en charge les paquets étiquetés VLAN
nécessite l'utilisation de plusieurs interfaces de routeur configurées pour fonctionner en tant que
liens d'accès
nécessite l'utilisation d'interfaces physiques plus nombreuses que le routage inter-VLAN existant
ne s'étend pas bien au-delà de 50 VLAN

8. Quelle est la signification du numéro 10 dans la commande de sous-interface du
routeur encapsulation dot1Q 10 native ?
Numéro de sous-interface
Numéro de l'interface
ID du VLAN.
Numéro de sous-réseau
9. Lors de la configuration du routage inter-VLAN sur un commutateur multicouche, un
administrateur réseau exécute la commande no switchport sur une interface connectée à un
autre commutateur. Quel est l'objectif de cette commande?
pour créer une interface virtuelle commutée
pour créer un port routé pour un réseau unique
pour fournir un lien de trunk statique
pour fournir un lien d'accès qui étiquète le trafic VLAN

10. Un administrateur réseau entre dans la séquence de commandes suivante sur un commutateur
Cisco 3560. Quel est l'objectif de cette commande?
Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# no switchport
pour arrêter le port Gi0/1
pour effectuer le port Gi0/1 comme un port routé
pour activer le port Gi0/1 en tant qu'interface virtuelle de pont
pour activer le port Gi0/1 en tant qu'interface virtuelle de commutateur

11. Quel mode opérationnel devrait être utilisé sur un port de commutateur pour le connecter à un
routeur pour le routage inter-VLAN avec la méthode router-on-a-stick?
trunk
accès
dynamic desirable
Dynamic Auto
12. Quelle proposition décrit la méthode de routage inter-VLAN SVI?
Une interface physique est nécessaire pour chaque VLAN créé.
Le type d'encapsulation doit être configuré sur l'interface SVI.
Les sous-interfaces doivent être créées.
Une interface SVI est nécessaire pour chaque VLAN.

13. Comment le trafic est-il acheminé entre plusieurs VLAN sur un commutateur multicouche?
Le trafic est acheminé via des interfaces VLAN internes.
Le trafic est diffusé sur toutes les interfaces physiques.
Le trafic est acheminé via des sous-interfaces.
Le trafic est acheminé via des interfaces physiques.

14. Qu'est-ce qui est nécessaire pour effectuer le routage inter-VLAN avec la méthode router-on-a-
stick?
un commutateur de couche 2 est configuré avec plusieurs ports de trunk

un routeur configuré avec plusieurs sous-interfaces
un routeur avec des plusieurs interfaces physiques
un commutateur multicouche
15. Après avoir examiné une topologie router-on-a-stick défaillante, un administrateur conclut que le
problème est lié à la configuration des VLAN au niveau des sous-interfaces du routeur. Quelles
sont les deux commandes que l'administrateur peut utiliser dans le routeur pour identifier le
problème? (Choisissez deux réponses.)
show ip protocols
show controllers
show running-config
show vlan
show ip interface
Présentation
5.0.1

Bienvenue au Concepts du Protocole STP!
Un réseau de couche 2 bien conçu dispose de commutateurs et de chemins redondants pour

s'assurer que si un commutateur tombe en panne, un autre chemin vers un commutateur
différent est disponible pour transférer les données. Les utilisateurs du réseau ne subiraient
aucune interruption de service. La redondance dans une conception de réseau hiérarchique
résout le problème d'un point de défaillance unique, mais elle peut créer un autre type de
problème appelé boucles de couche 2.
Qu'est-ce qu'une boucle? Imaginez que vous êtes à un concert. Le microphone du chanteur et le
haut-parleur amplifié peuvent, pour diverses raisons, créer une boucle de rétroaction. Ce que
vous entendez est un signal amplifié provenant du microphone qui sort du haut-parleur, qui est
ensuite repris par le microphone, amplifié plus loin et passé à nouveau à travers le haut-parleur.
Le son devient rapidement très fort, désagréable, et rend impossible d'entendre de la musique
réelle. Cela continue jusqu'à ce que la connexion entre le microphone et le haut-parleur soit
interrompue.
Une boucle de couche 2 crée un chaos similaire dans un réseau. Cela peut se produire très
rapidement et rendre impossible l'utilisation du réseau. Il existe plusieurs façons courantes de
créer et de propager une boucle de couche 2. Le protocole STP (Spanning Tree Protocol) est
conçu spécifiquement pour éliminer les boucles de couche 2 de votre réseau. Ce module traite
des causes des boucles et des différents types de protocoles spanning tree. Il comprend une
vidéo et une activité Packet Tracer pour vous aider à comprendre les concepts STP.
5.0.2

module?
Titre du module: Concepts du STP
Objectif du module: Expliquer comment le protocole STP permet la redondance dans un réseau
de couche 2.
Légende du tableau
Expliquer les problèmes courants dans un réseau

Objectif du protocole STP
commuté redondant de couche 2.
Expliquer comment STP fonctionne sur un réseau

Fonctionnement du protocole STP
commuté.
Expliquer le fonctionnement du protocole Rapid

Évolution du protocole STP
PVST+.
4.5
Module pratique et questionnaires
Objectif du protocole STP

5.1.1
Redondance dans les réseaux commutés de
couche 2
Cette rubrique présente les causes des boucles dans un réseau de couche 2 et explique
brièvement le fonctionnement du protocole spanning tree. La redondance est un élément
indispensable de la conception hiérarchique pour éviter les points de défaillance uniques et
prévenir l'interruption des services de réseau fournis aux utilisateurs. Si les réseaux
redondants exigent l'ajout de chemins physiques, la redondance logique doit être également
intégrée à la conception. Disposer de chemins physiques alternatifs pour que les données
traversent le réseau permet aux utilisateurs de toujours accéder aux ressources de ce réseau,
même en cas de perturbations au niveau du chemin. Toutefois, les chemins d'accès redondants
dans un réseau Ethernet commuté peuvent entraîner à la fois des boucles physiques et
logiques de couche 2.
Les réseaux locaux Ethernet nécessitent une topologie sans boucle avec un chemin unique
entre deux périphériques. Une boucle dans un réseau local Ethernet peut provoquer la
propagation des trames Ethernet jusqu'à ce qu'une liaison soit interrompue et rompt la boucle.
5.1.2
Protocole STP (Spanning Tree Protocol)

Le protocole STP est un protocole réseau de prévention des boucles qui permet la redondance
tout en créant une topologie de couche 2 sans boucle. IEEE 802.1D est la norme IEEE MAC
Bridging d'origine pour STP.
Cliquez sur Lecture dans la figure pour afficher l'animation sur STP.
The figure is an animation showing 4 p c s and 3 switches. The three switches are connected
to each other in a triangle. three pcs are connected to s 2. p c 1 sends a broadcast frame. it is
received by s 2. s 2 forwards teh broadcast out all ports except the originating port and the
blocked port to s 3. the two other p cs and s1 receive the frame. s 1 forwards the broadcast out
all ports except the originating port. the frame is received by p c 4 and s 3. s 3 forwards the
frame back to s 2. s 2 drops the frame because it received it on a blocked port.
STP Normal Operation

PC1 envoie une trame de diffusion.
S2 réachemine la diffusion sur tous les ports, sauf sur le port d'origine et le port bloqué.
S1 réachemine la diffusion sur tous les ports, sauf sur le port d'origine.
S3 reçoit la trame et la réachemine vers S2.
S2 abandonne la trame car il l'a reçue sur un port bloqué.
Trunk 2
Trunk1
Trunk 3
5.1.3
Recalcul de STP
Cliquez sur le bouton Lecture pour voir le recalcul de STP lorsqu'une défaillance se produit.
La figure est une animation avec la même topologie que dans l'animation précédente. Dans
l'animation, la liaison trunk entre S2 et S1 est défaillante. S2 débloque le port pour trunk 2.
PC1 envoie une trame de diffusion à S2. S2 réachemine la diffusion sur tous les ports du
commutateur, sauf sur le port d'origine et sur le port et la liaison défaillante de trunk 1. S3
réachemine la diffusion sur tous les ports du commutateur disponibles, sauf sur le port
d'origine. S1 réachemine la diffusion sur le port F0/3 uniquement.
STP Compensates for Network Failure

La liaison trunk entre S2 et S1 est défaillante.
S2 débloque le port pour trunk 2.
PC1 envoie une trame de diffusion à S2.
S2 réachemine la diffusion sur tous les ports du commutateur, sauf sur le port d'origine et sur le port et la liaison défaillante de
trunk 1.
S3 réachemine la diffusion sur tous les ports du commutateur disponibles, sauf sur le port d'origine.
S1 réachemine la diffusion sur F0/3 uniquement.
Trunk 2
Trunk 1
Trunk 3
5.1.4
Problèmes liés aux liaisons de commutateur

redondantes
La redondance des chemins assure de nombreux services réseau, en évitant le risque d'avoir
un point de défaillance unique. Lorsqu'il existe plusieurs chemins entre deux appareils d'un
réseau ethernet et que le protocole STP n'a pas été implémenté sur les commutateurs, une
boucle de couche 2 se produit. Une boucle de couche 2 peut entraîner l'instabilité de la table
d'adresses MAC, la saturation des liaisons et une utilisation élevée de processeur sur les
commutateurs et les terminaux, ce qui rend le réseau inutilisable.
Contrairement aux protocoles de couche 3, IPv4 et IPv6, l'Ethernet de couche 2 n'intègrent

pas de mécanisme pour identifier et éliminer les trames prises dans une boucle infinie. IPv4 et
IPv6 comprennent tous les deux un mécanisme qui limite le nombre de fois qu'un
périphérique de réseau de couche 3 est autorisé à retransmettre un paquet. Un routeur
décrémentera la TTL (Time to Live) dans chaque paquet IPv4, et le champ Hop Limit dans
chaque paquet IPv6. Lorsque ces champs sont décrémentés à 0, un routeur abandonne le
paquet. Les commutateurs Ethernet et Ethernet n'ont pas de mécanisme comparable pour
limiter le nombre de fois qu'un commutateur retransmet une trame de couche 2. Le protocole
STP a été développé spécifiquement comme mécanisme de prévention des boucles pour
Ethernet de couche 2.
5.1.5
Boucles de couche 2
Sans STP activé, les boucles de couche 2 peuvent se former, provoquant une boucle infinie de
trames de diffusion, de multidiffusion et de monodiffusion inconnues. Cela peut entraîner une
défaillance du réseau en temps très court, parfois en quelques secondes. Par exemple, Les
trames de diffusion, tel que une requête ARP sont envoyées à tous les ports de commutateur,
excepté au port d'entrée initial. Ceci garantit que tous les périphériques d'un domaine de
diffusion reçoivent bien les trames. S'il existe plusieurs chemins pour le réacheminement de la
trame, il est possible qu'une boucle sans fin soit créée. Lorsqu'une boucle se produit, la table
d'adresses MAC d'un commutateur changera constamment en raison des mises à jour
provenant des trames de diffusion, entraînant ainsi une instabilité de la base de données MAC.
Cela peut entraîner une utilisation élevée du processeur, ce qui rend le commutateur incapable
de transférer des trames.
Les boucles de trames ne concernent pas uniquement les trames de diffusion: Lorsque des
trames de monodiffusion inconnues sont envoyées dans un réseau comportant des boucles,
des trames peuvent arriver en double sur l'appareil de destination. Une trame de
monodiffusion inconnue se produit lorsque le commutateur n'a pas d'adresse MAC de
destination dans sa table d'adresses MAC et qu'il doit réacheminer la trame à tous les ports, à
l'exception du port d'entrée.
Cliquez sur Lecture dans la figure pour afficher l'animation. Lorsque l'animation s'arrête, lisez
le texte décrivant l'action. L'animation continuera après une courte pause.
The figure is an animation with the same topology as in the previous animation.There are no
blocked ports. p c 1 sends a broadcast frame. s 2 updates the mac address table. pc 1s mac
address is mapped to f0-/11. s 2 forwards the broadcast out all ports, except the receiving port.
s 3 and s 1 update their mac address tables with p c 1 information. s 3 and s 1 forward the
broadcast out all ports, except the receiving port. s 1 and s 3 receive a packet from p c 1 on a
new port. they update their mac address table accordingly. s 1 and s 3 forward the broadcast
out all ports, except the receiving port. s 2 updates its mac address table for p c 1 with the last
port on which it received the broadcast frame. s 2 forwards teh broadcast frame out all ports,
except the last received port. the cycle starts again.
Table MAC de S3
Table MAC de S1
Table MAC de S2
Table MAC de S3
Table MAC de S1
Table d’adresses MAC de S2

PC1 = F0/11

PC1 = F0/2

PC1 = F0/11

PC1 = F0/1

PC1 = F0/1

PC1 = F0/11

PC1 = F0/2

PC1 = F0/1

PC1 = F0/1

PC1 = F0/2
S2 met à jour la table d'adresses MAC. L'adresse MAC de PC1 est mappée à F0/11.
S2 réachemine la diffusion sur tous les ports, sauf sur le port de réception.
S3 et S1 mettent à jour leur table d'adresses MAC avec les informations de PC1.
S3 et S1 réacheminent la diffusion sur tous les ports, sauf sur le port de réception.
S1 et S3 reçoivent un paquet provenant de PC1 sur un nouveau port. Ils mettent à jour leur table d'adresses MAC en conséquence.
S1 et S3 réacheminent la diffusion sur tous les ports, sauf sur le port de réception.
S2 met à jour sa table d'adresses MAC pour PC1 avec le dernier port sur lequel il a reçu la trame de diffusion.
S2 réachemine la trame de diffusion sur tous les ports, sauf sur le dernier port reçu. Le cycle redémarre.
Trunk 2
Trunk 1
Trunk 3
5.1.6
Tempêtes de diffusion
Une tempête de diffusion est un nombre anormalement élevé d'émissions qui submergent le
réseau pendant une durée déterminée. Les tempêtes de diffusion peuvent désactiver un réseau
en quelques secondes en submergeant les commutateurs et les appareils terminaux. Les
tempêtes de diffusion peuvent être provoquées par un problème matériel tel qu'une carte
d'interface réseau défectueuse ou par une boucle de couche 2 dans le réseau.
Les diffusions de couche 2 dans un réseau, telles que les demandes ARP, sont très courantes.
Une boucle de couche 2 est susceptible d'avoir des conséquences immédiates et désactiver sur
le réseau. Les multidiffusions de couche 2 sont généralement transmises de la même manière
qu'une diffusion par le commutateur. Ainsi, bien que les paquets IPv6 ne soient jamais
transférés en tant que diffusion de couche 2, la découverte de voisins de ICMPv6 utilise des
multidiffusions de couche 2.
Cliquez sur Lecture dans la figure pour afficher une animation qui montre les effets de plus en
plus négatifs d'une boucle à mesure que les trames de diffusion et de monodiffusion
inconnues continuent de se propager indéfiniment dans une tempête de diffusion.
PC1 réachemine une diffusion qui est bloquée dans une boucle de couche 2.
PC4 réachemine une nouvelle diffusion qui est, elle aussi, bloquée dans la boucle de couche 2.
PC3 réachemine une autre diffusion qui est bloquée dans la boucle de couche 2.
PC2 réachemine une trame de diffusion, mais celle-ci ne peut être traitée en raison de la surcharge du trafic sur le réseau.
Trunk 2
Trunk 1
Trunk 3
Lorsqu'un hôte est pris dans une boucle de couche 2, les autres hôtes du réseau ne peuvent pas
y accéder. En outre, en raison des modifications constantes apportées à sa table d'adresses
MAC, le commutateur ne sait plus à partir de quel port réacheminer les trames de
monodiffusion. Dans l'animation précédente, les commutateurs disposent de ports incorrects
pour PC1. Toute trame de monodiffusion inconnue destinée à PC1 crée une boucle dans le
réseau, comme le font les trames de diffusion. Le nombre sans cesse croissant de trames
effectuant des boucles dans le réseau engendre par la suite une tempête de diffusion.
Pour empêcher ces problèmes de survenir dans un réseau redondant, un certain type
d'arborescence (Spanning Tree) doit être appliqué aux commutateurs. Spanning Tree est
activé par défaut sur les commutateurs Cisco pour empêcher la formation de boucles de
couche 2.
5.1.7
L’Algorithme Spanning Tree

STP repose sur un algorithme inventé par Radia Perlman alors qu'elle travaillait pour Digital
Equipment Corporation et publié dans l'article de 1985 «An Algorithm for Distributed
Computation of a Spanning Tree in an Extended LAN». Son algorithme de spanning tree
(STA) crée une topologie sans boucle en sélectionnant un pont racine unique où tous les
autres commutateurs déterminent un seul chemin moins coûteux.
Sans le protocole de prévention des boucles, des boucles se produiraient rendant un réseau de
commutateur redondant inutilisable.
Cliquez sur chaque bouton pour obtenir une explication de la façon dont STA crée une
topologie sans boucle.
Topologie du scénario STA
Choisir le pont racine
Bloquer les chemins redondants
Topologie sans boucle
La défaillance d'un lien provoque recalcule
Topologie du scénario STA
Ce scénario STA utilise un réseau local Ethernet avec des connexions redondantes entre
plusieurs commutateurs.
La topologie du réseau physique montre huit commutateurs interconnectés. Le commutateur

S1 se connecte aux commutateurs S2, S3 et S5. Le commutateur S2 se connecte aux
commutateurs S1 et S4. Le commutateur S3 se connecte aux commutateurs S1 et S5. Le
commutateur S4 se connecte aux commutateurs S2 et S5. Le commutateur S5 se connecte aux
commutateurs S1, S3, S4 et S6. Le commutateur S6 se connecte au commutateur S5. Le
commutateur S7 se connecte au commutateur S8. Le commutateur S8 se connecte aux
commutateurs S4, S5 et S7.
S1S3S2S4S5S6S7S8
Le protocole STP empêche la boucle de se former en configurant un chemin sans boucle sur
l'ensemble du réseau, grâce à des ports bloqués stratégiquement placés. Les commutateurs qui
exécutent le protocole STP sont capables d'assurer la continuité des communications en cas de
panne en débloquant dynamiquement les ports préalablement bloqués et en autorisant le trafic
à emprunter les chemins de substitution.
5.1.8
Démonstration vidéo - Observation du

fonctionnement du protocole STP
Cliquez sur Lecture pour afficher une démonstration du protocole STP.
Play Video
5.1.9
Packet Tracer - Investiguer la prévention des
boucles de STP
 Créer et configurer un simple réseau à trois commutateurs avec STP.

 Afficher le fonctionnement du protocole STP
 Désactiver le protocole STP et afficher à nouveau l'opération.
Investiguer la prévention des boucles de STP

Investiguer la prévention des boucles de STP
5.1.10
Vérifiez votre compréhension - Objectif du

protocole STP
Vérifiez votre compréhension de l'objectif de protocole STP en choisissant la MEILLEURE
1. Quelle déclaration décrit STP?
STP est un protocole de routage de couche 2.
STP est un protocole de routage de couche 3 pour les réseaux locaux Ethernet.
STP est un protocole de prévention de boucle de couche 2 pour les réseaux locaux Ethernet.
STP est un protocole de prévention de boucle de couche 3 pour les réseaux IP.
2. Sans STP sur le LAN Ethernet, quels trois types de trames pourraient provoquer une boucle
catastrophique dans le réseau? (Choisissez trois réponses.)
Monodiffusion
Monodiffusion inconnue
Multidiffusion
Diffusion
3. Quel périphérique est choisi par l'algorithme Spanning Tree vers lequel tous les autres
commutateurs déterminent un chemin unique le moins coûteux?
Pont Racine
Pont dédié
Passerelle par défaut
Commutateur principal

5.2.1
Étapes vers une topologie sans boucle

Maintenant, vous savez comment les boucles sont créées et les bases de l'utilisation du
protocole spanning tree pour les empêcher. Cette rubrique vous permettra de découvrir, étape
par étape, le fonctionnement du STP. À l'aide de l’algorithme spanning tree (STA), le
protocole STP crée une topologie sans boucle en quatre étapes:
1. Choisir le pont racine

2. Choisir les ports racine.
3. Choisir les ports désignés.
4. Choisir des ports alternatifs (bloqués).
Pendant le fonctionnement de STA et de STP, les commutateurs utilisent des BPDU (Bridge
Protocol Data Units) pour partager des informations sur eux-mêmes et sur leurs connexions.
Les BPDU permettent de choisir le pont racine, les ports racine, les ports désignés et les ports
alternatifs. Chaque trame BPDU contient un ID de pont (bridge ID) qui identifie le
commutateur ayant envoyé la trame BPDU. Le BID participe à la prise de nombreuses
décisions STA, y compris les rôles de pont racine et de port. Comme illustré dans la figure ,
l'ID de pont (BID) contient une valeur de priorité, l'adresse MAC du commutateur et un ID
système étendu. La valeur d'ID de pont la plus basse est déterminée par une combinaison de
ces trois champs.
Le figure montre trois zones, chacune représente un composant de l'ID de pont. De gauche à
droite, la première zone est Priorité de Pont qui est de 4 bits de longueur, la deuxième est L'ID
système étendu qui est de 12 bits de longueur, et la troisième est l'adresse MAC qui est de 48
bits de longueur. Le texte situé à droite des zones indique le BID avec L'ID système étendu.
Le texte au dessous du figure indique Le BID comprend la priorité du pont, l'ID du système
étendu et l'adresse MAC du commutateur.
Priorité des pontsL'ID système étenduAdresse MACID de pont avec l'ID système étendu4 bits12 bits48 bits
Le BID comprend la priorité du pont, l'ID du système étendu et l'adresse MAC du

commutateur.
Priorité des ponts
La valeur de priorité par défaut pour tous les commutateurs Cisco est la valeur décimale
32768. La plage va de 0 à 61440 par incrément de 4096. Une priorité de pont inférieure est
préférable. Une priorité de pont de 0 a préséance sur toutes les autres priorités de pont.
ID système étendu
La valeur de l'ID système étendu est une valeur décimale ajoutée à la valeur de priorité du
pont du BID afin d'identifier le VLAN de cette BPDU.
Les premières versions du protocole IEEE 802.1D avaient été conçues pour des réseaux
n'utilisant pas de réseau local virtuel (VLAN). Il existait un spanning tree unique commun sur
tous les commutateurs. Pour cette raison, dans les anciens commutateurs, l'ID système étendu
n'était pas inclus dans les BPDU. Au fur et à mesure que le recours aux réseaux VLAN s'est
répandu pour segmenter l'infrastructure de réseau, le standard 802.1D a été mis à jour pour en
intégrer la prise en charge, ce qui imposait d'inclure l'ID du réseau 12-bit VLAN dans la trame
BPDU. Les informations de VLAN sont incluses dans la trame BPDU par le biais d'un ID
système étendu.
L'ID système étendu permet les implémentations ultérieures de STP, telles que Rapid STP
(RSTP), d'avoir différents ponts racine pour différents ensembles de VLAN. Cela peut
permettre d'utiliser des liens redondants et non-forwarding dans une topologie STP pour qu'un
ensemble de VLAN soit utilisé par un autre ensemble de VLAN utilisant un pont racine
différent.
Adress MAC
Lorsque deux commutateurs sont configurés avec la même priorité et possèdent le même ID
système étendu, le commutateur dont l'adresse MAC de valeur est la plus faible, exprimée au
format hexadécimal, aura le BID le plus bas.
5.2.2
1. Choisir le pont racine

L'algorithme STA désigne un commutateur unique comme pont racine et il l'utilise comme
point de référence pour le calcul de tous les chemins. Les commutateurs échangent des BPDU
pour créer la topologie sans boucle en commençant par la sélection du pont racine.
Un processus de sélection détermine le commutateur qui servira de pont racine. Tous les
commutateurs du domaine de diffusion participent au processus d'élection. Après son
amorçage, le commutateur commence à envoyer des trames BPDU toutes les deux secondes.
Ces trames BPDU contiennent le BID du commutateur d'envoi et le BID du pont racine,
connue sous le nom ID racine.
Le commutateur ayant l'identificateur de pont (BID) le plus bas devient le pont racine.
Initialement, tous les commutateurs se déclarent en tant que pont racine avec son propre BID
défini comme l'ID racine. Finalement, les commutateurs apprennent par l'échange de BPDU
quel commutateur possède le BID le plus bas et se mettent au courant d'un pont racine.
Dans la figure, S1 est choisi comme pont racine parce qu'il possède le BID le plus bas.
La topologie du réseau physique présente trois commutateurs interconnectés, S1, S2 et S3, et

quatre PC, PC1, PC2, PC3, PC4. S1 est le pont racine L'ID de pont de priorité S1 est = 24577
et l'adresse MAC = 000A00333333. S1 se connecte à S3 via le port de commutateur F0/2 et se
connecte à S2 via le port de commutateur F0/1. La liaison entre S1 et S2 est étiquetée trunk1.
La liaison entre S1 et S3 est étiquetée trunk3. S1 se connecte au PC4 via le port de
commutateur F0/3. L'ID de pont de priorité S2 est = 32769 et l'adresse MAC =
000A00111111. S2 se connecte à S3 via le port de commutateur F0/2 et se connecte à S1 via
le port de commutateur F0/1. La liaison entre S2 et S3 est étiquetée trunk 2. S2 se connecte au
PC1 via le port de commutateur F0/11, se connecte au PC2 via le port de commutateur F0/18
et se connecte au PC3 via le port de commutateur F0/6. L'ID de pont de priorité S3 est =
32769 et l'adresse MAC = 000A00222222. S3 se connecte à S2 via le port de commutateur
F0/2 et se connecte à S1 via le port de commutateur F0/1. L'adresse IP de PC1 est
172.17.10.21. L'adresse IP de PC2 est 172.17.10.22. L'adresse IP de PC3 est 172.17.10.23.
L'adresse IP de PC4 est 172.17.10.27.
PC2PC1PC3S3S2S1PC4F0/1F0/2F0/
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racineID de Pont:
Priorité = 32769
Adresse MAC = 000A00222222ID de pont:
Priorité = 24577
Priorité = 32769
Adresse MAC = 000A00111111
5.2.3
Conséquences des BID par défaut

Étant donné que le BID par défaut est 32768, il est possible que deux commutateurs ou
plusieurs aient la même priorité. Dans ce scénario, où les priorités sont identiques, le
commutateur ayant l'adresse MAC la plus basse deviendra le pont racine. Pour garantir que la
décision relative au pont racine répond au mieux aux besoins du réseau, il est recommandé
que l'administrateur configure le commutateur pont racine souhaité avec une priorité
inférieure.
Dans la figure, tous les commutateurs sont configurés avec la même priorité de 32769.
L'adresse MAC est alors le facteur décisif pour savoir quel commutateur deviendra le pont
racine. Le commutateur dont la valeur hexadécimale est la plus basse sera choisie pour la
désignation du pont racine. Dans cet exemple, S2 présente la valeur d'adresse MAC la plus
basse et devient donc pont racine pour l'instance Spanning Tree.
Remarque: Dans cet exemple, la priorité de tous les commutateurs est de 32769. La valeur
est basée sur la priorité de pont par défaut 32768 et l'ID système étendu (l'attribution du
VLAN 1) associé à chaque commutateur (32768+1).

connecte à S2 via le port de commutateur F0/1. La liaison entre S1 et S2 est étiquetée trunk1.
La liaison entre S1 et S3 est étiquetée trunk3. S1 se connecte au PC4 via le port de
le port de commutateur F0/1. La liaison entre S2 et S3 est étiquetée trunk 2. S2 se connecte au
PC1 via le port de commutateur F0/11, se connecte au PC2 via le port de commutateur F0/18
et se connecte au PC3 via le port de commutateur F0/6. L'ID de pont de priorité S3 est =
32769 et l'adresse MAC = 000A00222222. S3 se connecte à S2 via le port de commutateur
F0/2 et se connecte à S1 via le port de commutateur F0/1. L'adresse IP de PC1 est
L'adresse IP de PC4 est 172.17.10.27.
PC2PC1PC3S3S2PC4S1F0/1F0/2F0/
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racineID de Pont:
Priorité =32769
Priorité = 32769
Priorité = 32769
Adresse MAC = 000A00111111
5.2.4
Définir le coût du chemin racine

Lorsque le pont racine a été choisi pour l'instance Spanning Tree, l'algorithme STA lance le
processus de détermination des meilleurs chemins possibles vers le pont racine, depuis
l'ensemble des destinations du domaine de diffusion. Les informations relatives au chemin,
appelées coût du chemin racine interne, sont déterminées en additionnant les coûts de port
individuels le long du chemin entre le commutateur et le pont racine.
Remarque: Le BPDU inclut le coût du chemin racine. Il s'agit du coût du chemin allant du
commutateur expéditeur au pont racine.
Lorsqu'un commutateur reçoit le BPDU, il ajoute le coût du port d'entrée du segment pour
déterminer le coût de chemin racine interne associé.
Les coûts du port par défaut sont définis par la vitesse de fonctionnement du port. Le tableau
présente les coûts de port par défaut spécifié par IEEE. Les commutateurs Cisco utilisent par
défaut les valeurs définies par la norme IEEE 802.1D, également appelée coût de chemin
racine court, pour STP et RSTP. Cependant, la norme IEEE spécifie d'utiliser les valeurs
définies dans IEEE-802.1W, également connu sous le nom de coût de chemin racine long, lors
de l'utilisation de liaisons 10 Gbit/s et plus rapide.
Remarque: Le RSTP est discuté plus en détail plus tard dans ce module.
Vitesse des liens Coût de STP: IEEE 802.1D-1998 Coût de

RSTP: IEEE 802.1w-2004 10 Gb/s22,0001
Gb/s420,000100 Mb/s19200,00010 Mb/s1002,000,000
Vitesse des Coût de STP: IEEE Coût de RSTP: IEEE

liens 802.1D-1998 802.1w-2004
10 Gbit/s 2 2000
1 Gbit/s 4 20000
100 Mbit/s 19 200000
10 Mbit/s 100 2000000
Bien qu'un coût de port par défaut soit associé aux ports des commutateurs, il est possible de
configurer le coût des ports. La capacité à configurer des coûts de port individuels donne à
l'administrateur la flexibilité nécessaire pour contrôler manuellement les chemins Spanning
Tree vers le pont racine.
5.2.5
2. Choisir les ports racine.

Une fois que le pont racine a été défini, l'algorithme STA est utilisé pour sélectionner le port
racine. Chaque commutateur non-root sélectionnera un port racine. Le port racine est le port
le plus proche du pont racine en termes de coûts généraux (meilleur chemin) vers le pont
racine. Ce coût général est connu sous le nom de coût du chemin racine interne.
Le coût du chemin racine interne équivaut à la somme des coûts de tous les ports le long du
chemin vers le pont racine ,comme illustré sur la figure. Les chemins dont le coût est le plus
bas deviennent les chemins préférés et tous les autres chemins redondants sont bloqués. Dans
l'exemple, le coût du chemin racine interne de S2 au pont racine S1 sur le chemin 1 est de 19
(selon le coût de port individuel spécifié par l'IEEE), tandis que le coût du chemin racine
interne sur le chemin 2 est de 38. Comme le chemin 1 a un coût de chemin global inférieur
vers le pont racine, il sera choisi comme chemin principal et F0/1 devient le port racine sur
S2.

connecte à S2 via le port de commutateur F0/1. La liaison entre S1 et S2 est étiquetée Trunc1.
La liaison entre S1 et S3 est étiquetée Trunc3. S1 se connecte au PC4 via le port de
le port de commutateur F0/1. Le port du commutateur F0/1 sur S2 est indiqué comme port
racine. La liaison entre S2 et S3 est étiquetée Trunc 2. Le chemin de S2 à S1 est étiqueté
Chemin 1. Le chemin de S2 à S3 est étiqueté chemin 2. S2 se connecte au PC1 via le port de
commutateur F0/11, se connecte au PC2 via le port de commutateur F0/18 et se connecte au
PC3 via le port de commutateur F0/6. L'ID de pont de priorité S3 est = 32769 et l'adresse
MAC = 000A00222222. S3 se connecte à S2 via le port de commutateur F0/2 et se connecte à
S1 via le port de commutateur F0/1. Le port du commutateur F0/1 sur S3 est indiqué comme
port racine. Le chemin de S3 à S1 est étiqueté chemin 2. L'adresse IP de PC1 est
L'adresse IP de PC4 est 172.17.10.27. Le texte situé au-dessous de la figure indique Chemin 1
Coût = 19x1=19. Coût du chemin 2 = 19x2=38. Le chemin 1 est le chemin préféré.
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racine Port racine Chemin 2Chemin 1Chemin 2 Port racine Chemin 1 Coût = 19 x 1 = 19
Chemin 2 Coût = 19 x 2 = 38
Chemin 1 est le meilleur chemin.
5.2.6
3. Choisir les ports désignés.

La partie de prévention des boucles du spanning tree devient évidente au cours de ces deux
prochaines étapes. Une fois que chaque commutateur sélectionne un port racine, les
commutateurs sélectionnent ensuite les ports désignés.
Chaque segment entre deux commutateurs aura un port désigné. Le port désigné est un port
sur le segment (avec deux commutateurs) qui a le coût du chemin racine interne vers le pont
racine. En d'autres termes, le port désigné a le meilleur chemin pour recevoir le trafic qui
conduit au pont racine.
Ce qui n'est pas un port racine ou un port désigné devient un port alternatif ou bloqué. Le
résultat final est un chemin unique entre chaque commutateur et le pont racine.
Cliquez sur chaque bouton pour obtenir une explication de la façon dont STA sélectionne les
ports désignés.
Ports désignés sur le pont racine
Port désigné lorsqu'il y a un port racine
Port désigné lorsqu'il n'y a pas de port racine
Ports désignés sur le pont racine
Tous les ports du pont racine sont des ports désignés, comme indiqué dans la figure. C'est
parce que le pont racine a le coût le plus bas pour lui-même.

quatre PC, PC1, PC2, PC3, PC4. S1 est le pont racine S1 se connecte à S3 via le port de
commutateur F0/2 et se connecte à S2 via le port de commutateur F0/1. La liaison entre S1 et
S2 est étiquetée Trunc1. La liaison entre S1 et S3 est étiquetée Trunc3. S1 se connecte au PC4
via le port de commutateur F0/3. Le port de commutateur F0/3 sur S1 est un port désigné. Le
port de commutateur F0/2 sur S1 est un port désigné. Le port de commutateur F0/1 sur S1 est
un port désigné. S2 se connecte à S3 via le port de commutateur F0/2 et se connecte à S1 via
le port de commutateur F0/1. La liaison entre S2 et S3 est étiquetée Trunc 2. S2 se connecte
au PC1 via le port de commutateur F0/11, se connecte au PC2 via le port de commutateur
F0/18 et se connecte au PC3 via le port de commutateur F0/6. Le port de commutateur F0/1
sur S2 est le port racine. S3 se connecte à S2 via le port de commutateur F0/2 et se connecte à
S1 via le port de commutateur F0/1. Le port de commutateur F0/1 sur S3 est le port racine.
L'adresse IP de PC1 est 172.17.10.21. L'adresse IP de PC2 est 172.17.10.22. L'adresse IP de
PC3 est 172.17.10.23. L'adresse IP de PC4 est 172.17.10.27. Le texte au dessous de la figure
indique Tous les ports du pont racine sont des ports désignés.
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racine Port racinePort désignéPort désignéPort racinePort désigné
Tous les ports du pont racine sont des ports désignés.
5.2.7
4. Choisir des ports alternatifs (bloqués).

Si un port n'est pas un port racine ou un port désigné, il devient alors un port alternatif (ou de
secours). Les ports alternatifs et de secours sont à l'état de suppression ou de blocage pour
éviter les boucles. Dans la figure, le port F0/2 configuré par STA sur S3 a un rôle de port
alternatif. Le port F0/2 sur S3 est en état de blocage et ne transmet pas les trames Ethernet.
Tous les autres ports inter-commutateurs sont en état de transfert. C'est la partie de STP qui
permet d'empêcher la formation de boucles.
La topologie du réseau physique montre trois commutateurs interconnectés, S1, S2 et S3 et

quatre PC, PC1, PC2, PC3, PC4. S1 est le pont racine S1 se connecte à S3 via le port de
commutateur F0/2 et se connecte à S2 via le port de commutateur F0/1. La liaison entre S1 et
S2 est étiquetée Trunc1. La liaison entre S1 et S3 est étiquetée Trunc3. S1 se connecte au PC4
via le port de commutateur F0/3. Le port de commutateur F0/3 sur S1 est un port désigné. Le
port de commutateur F0/2 sur S1 est un port désigné. Le port du commutateur F0/1 sur S1 est
un port désigné. S2 se connecte à S3 via le port de commutateur F0/2 et se connecte à S1 via
le port de commutateur F0/1. La liaison entre S2 et S3 est étiquetée Trunc 2. S2 se connecte
au PC1 via le port de commutateur F0/11, se connecte au PC2 via le port de commutateur
F0/18 et se connecte au PC3 via le port de commutateur F0/6. Le port de commutateur F0/1
sur S2 est le port racine. Le port de commutateur F0/2 sur S2 est un port désigné. S3 se
connecte à S2 via le port de commutateur F0/2 et se connecte à S1 via le port de commutateur
F0/1. Le port de commutateur F0/1 sur S3 est le port racine. Le port de commutateur F0/2 sur
S3 est un port alternatif. Un symbole de blocage circulaire rouge est placé sur la liaison trunk
entre S3 et S2 à côté de l'interface F0/2 de S3. L'adresse IP de PC1 est 172.17.10.21.
L'adresse IP de PC2 est 172.17.10.22. L'adresse IP de PC3 est 172.17.10.23. L'adresse IP de
PC4 est 172.17.10.27. Le texte ci-dessous la figure indique L'interface Fa0/2 de S2 est le port
désigné sur le segment avec S3.
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk3Trunk1Trunk2Pont racine Port racinePort désignéPort désignéPort racinePort désignéPort alternatifPort
désigné
L'interface F0/2 de S3 n'est pas un port racine ou un port désigné, il devient donc un port
alternatif ou bloqué.
5.2.8
Choisir un port racine à partir de plusieurs

chemins d'accès à coût égal
Le port racine et les ports désignés sont basés sur le coût de chemin racine le plus bas vers le
pont racine. Mais que se passe-t-il si le commutateur a plusieurs chemins à coût égal vers le
pont racine? Comment un commutateur désigne-t-il un port racine?
Lorsqu'un commutateur possède plusieurs chemins d'accès à coût égal vers le pont racine, le
commutateur détermine un port en utilisant les critères suivants:
1. BID de pont expéditeur le plus faible

2. Priorité de port la plus faible
3. ID de port expéditeur le plus faible
Cliquez sur chaque critère pour obtenir un exemple et une explication.

1. BID d'expéditeur le plus faible
2. Priorité de port expéditeur le plus faible
3. ID de port expéditeur le plus faible
1. BID d'expéditeur le plus faible
La figure montre une topologie avec quatre commutateurs, dont le commutateur S1 s'agit
comme pont racine. Si vous examinez les rôles de port, le port F0/1 sur le commutateur S3 et
le port F0/3 sur le commutateur S4 ont été sélectionnés comme ports racine parce que le
chemin de leurs commutateurs respectifs présente le plus faible coût (coût de chemin racine)
jusqu'au pont racine. S2 dispose de deux ports, F0/1 et F0/2, dont les chemins jusqu'au pont
racine offrent le même coût. Dans ce cas, ce sont les ID de pont des commutateurs voisins, S3
et S4, qui seront utilisés pour les départager. Il s'agit du BID de l'émetteur. S3 a un BID de
32769.5555.5555 et S4 a un BID de 32769.1111.1111. Puisque S4 a un BID inférieur, le port
F0/1 de S2, qui est connecté à S4, est le port racine.
La topologie du réseau physique montre quatre commutateurs interconnectés, S1, S2, S3 et

S4. S1 est le pont racine et se connecte à S4 via le port de commutateur F0/1 et à S3 via le
port de trunk F0/2. La liaison entre S1 et S4 est étiquetée trunk1. L'interface F0/1 sur S1 est
un port désigné. L'ID de pont de S1 est 24577.3333.3333. S1 se connecte à S3 via le port de
commutateur F0/2. La liaison entre S1 et S3 est étiquetée Trunc3. L'interface F0/2 sur S1 est
un port désigné. S4 est connecté à S1 via le port de commutateur F0/3 qui est un port racine.
S4 est connecté à S2 via le port de commutateur F0/1 qui est un port désigné. La liaison entre
S4 et S2 est étiquetée trunk 4. L'ID de pont de S4 est 32769.1111.1111. S2 est connecté à S4
via le port de commutateur F0/1 qui est un port racine et est connecté à S3 via le port de
commutateur F0/2 qui est un port de alternatif. La liaison entre S2 et S3 est étiquetée trunk 2.
Il y a un X rouge à côté de l'interFa0ce F0/2 de S2 indiquant qu'il bloque le trafic. L'ID de
pont de S2 est 32769.AAAA.AAA.AAAAA. S3 est connecté au port F0/2 sur commutateur
S2 qui est un port désigné et au port F0/1 sur commutateur S1 qui est un port racine. L'ID de
pont de S3 est 32769.5555.5555.
S3S1S2S4F0/1F0/2F0/3F0/1F0/1F0/2F0/1F0/2
Trunk3Trunk2Trunk1Pont racineTrunk4L'ID de pont = 24577.3333.3333.3333 Port racinePort désignéPort alternatifPort

désignéPort racinePort désignéPort désignéPort racine L'ID de pont = 32769.5555.5555.5555L'ID de pont =
32769.AAAA.AAA.AAAAL'ID de pont = 32769.1111.1111.1111
5.2.9
STP minuteurs et états des ports

La convergence STP nécessite trois minuteurs, comme suit:
 Minuteur Hello - le minuteur Hello est l'intervalle entre les mises à jour BPDU. La valeur par défaut
est 2 secondes, mais les valeurs autorisées peut être modifier entre 1 et 10 secondes.
 Minuteur Forward Delay - le minuteur Forward Delay est le temps passé à l'état d'écoute et
d'apprentissage. La valeur par défaut est de 15 secondes mais peut être modifiée entre 4 et 30
secondes.
 Minuteur Max Age - le minuteur Max Age est la durée maximale d'attente d'un commutateur avant
de tenter de modifier la topologie STP. La valeur par défaut est 20 secondes mais peut être modifiée
entre 6 et 40 secondes.
Remarque: Les durées par défaut peuvent être modifiées sur le pont racine, ce qui dicte la
valeur de ces minuteurs pour le domaine STP.
Le protocole STP facilite la mise en place d'un chemin logique sans boucle sur l'ensemble du
domaine de diffusion. L'arbre recouvrant est déterminé au moyen des informations recueillies
par l'échange de trames BPDU entre les commutateurs interconnectés. Si un port de
commutateur passe directement de l'état de blocage à l'état de réacheminement sans
informations sur la topologie complète pendant la transition, le port peut créer temporairement
une boucle de données. Pour cette raison, STP compte cinq états des ports, dont quatre sont
des états des ports opérationnels, comme le montre la figure. L'état désactivé est considéré
comme non opérationnel.
La figure montre un organigramme décrivant les quatre états opérationnels du STP. En haut
de l'organigramme se trouve l'état de blocage. Dans l'état de blocage aucun BPDU n'est reçu
et l'âge maximal = 20 secondes. Une flèche pointe de l'état de blocage à l'état Écoute. L'état
d'écoute a un délai de 15 secondes. Une flèche pointe de l'état Écoute à l'état Apprentissage.
L'état d'apprentissage a un délai de transfert = 15 secondes. Une flèche pointe de l'état
d'Apprentissage à l'état d'Acheminement. Il y a un organigramme qui s'appelle Link et une
flèche qui pointe vers une deuxième case titrée Blocking. Le texte dans la zone de blocage
indique En état de blocage jusqu'à ce que STP détermine si le port est un port racine ou un
port désigné. Cette zone comporte une flèche pointant vers l'état d'écoute.
Blocage
 Aucun BPDU reçu

 Âge max = 20 secondes
Écoute
 Forward Delay = 15 seconds
Apprentissage
 Forward Delay = 15 seconds
AcheminementBlocage
 En état de blocage jusqu'à ce que STP détermine si le port est le port racine ou le port désigné
le lien apparaît
les détails de chaque état de port qui sont présentés dans le tableau.
Légende du tableau
État du port Description
Le port est un port alternatif qui ne participe pas au transmission de trames. Le port
reçoit des trames BPDU pour déterminer l'emplacement et l'ID racine du pont racine.
Les trames BPDU déterminent également les rôles de port de chaque port de
Blocage
commutateur doit assumer dans la topologie STP active finale. Grâce au minuteur Max
age de 20 secondes, un port de commutateur qui n'a pas reçu un BPDU attendu d'un
commutateur voisin passera à l'état de blocage.
Écoute Après l'état de blocage, un port passe à l'état d'écoute. Le port reçoit des BPDU pour
déterminer le chemin d'accès à la racine. le port de commutateur transmet également
Légende du tableau
État du port Description
ses propres trames BPDU et informe les commutateurs adjacents que le port du
commutateur se prépare à participer à la topologie active.
Un port de commutateur passe à l'état d'apprentissage après l'état d'écoute. Pendant

l'état d'apprentissage, le port du commutateur reçoit et traite les BPDU et se prépare à
Apprentissage participer à la transmission de trame. Il commence également à remplir la table
d'adresses MAC. Cependant, dans l'état d'apprentissage, les trames d'utilisateur ne
sont pas transférées vers la destination.
Dans l'état d'acheminement, un port de commutateur est considéré comme une partie
Acheminement du topologie. Le port du commutateur transfère le trafic utilisateur et envoie et reçoit
les trames BPDU.
Un port de commutateur à l'état Désactivation ne participe pas à l'arbre recouvrant et

Désactivation ne transmet pas les trames. L'état Désactivation est défini lorsque le port de
commutateur est administrativement désactivé.
5.2.10
Les détails opérationnels de chaque état du

port
Le tableau récapitule les détails opérationnels de chaque état du port.
Port StateBPDUAdress MAC TableForwarding Data FramesDisabledNone sent or

receivedNo updateNoBlockingReceive onlyNo updateNoListeningReceive and sendNo
updateNoLearningReceive and sendUpdating tableNoForwardingReceive and
sendUpdating tableYes
Table Transmission
État du port BPDU d’adresses de trames de
MAC données
Uniquement Pas de mise

Blocage Non
Recevoir à jour
Recevoir et Pas de mise

Écoute Non
envoyer à jour
Port StateBPDUAdress MAC TableForwarding Data FramesDisabledNone sent or
receivedNo updateNoBlockingReceive onlyNo updateNoListeningReceive and sendNo
updateNoLearningReceive and sendUpdating tableNoForwardingReceive and
sendUpdating tableYes
Table Transmission
État du port BPDU d’adresses de trames de
MAC données
Recevoir et Mise à jour

Apprentissage Non
envoyer de la table
Recevoir et Mise à jour

Acheminement Oui
envoyer de la table
Aucun envoi Pas de mise

Désactivé Non
ou reçu à jour
5.2.11
Spanning Tree par VLAN

Jusqu'à présent, nous avons discuté STP dans un environnement où il n'y a qu'un seul VLAN.
Toutefois, STP peut être configuré pour fonctionner dans un environnement comportant
plusieurs VLAN.
Dans les versions de protocole PVST (Per-VLAN Spanning Tree) de STP, un pont racine est
déterminé pour chaque instance Spanning Tree. Il est possible de disposer de plusieurs ponts
racine distincts pour différents ensembles de réseaux VLAN. STP exploite une instance
distincte de STP pour chaque VLAN individuel. Si tous les ports de tous les commutateurs
sont membres de VLAN 1, il n'y aura qu'une seule instance Spanning Tree.
5.2.12
Vérifiez votre compréhension -

Vérifiez votre compréhension du fonctionnement du protocole STP en choisissant la
MEILLEURE réponse aux questions suivantes.
1. Par défaut (sans aucune configuration sur un commutateur), qu'est-ce qui déterminera quel
commutateur est le pont racine ?
La priorité des ponts

L'ID système étendu
L’adresse MAC du commutateur
L'ID du pont
2. Le pont racine sera le commutateur avec:
L'ID de pont racine le plus faible
L'ID de pont le plus élevé
La priorité la plus faible
La priorité la plus élevée

3. Le port le plus proche du pont racine en termes de coûts généraux (meilleur chemin) vers le pont
racine est :
Le port désigné
Le port bloqué ou port non dédié
Le port racine
Le port routé
4. Le port sur le segment (avec deux commutateurs) qui a le coût du chemin racine plus bas vers le
pont racine est :
Le port désigné
Le port racine
Le port routé
5. Lequel des ports suivants transmettra les trames Ethernet? (Choisissez deux réponses.)
Le port désigné
Le port racine
6. La somme des coûts de port individuels le long du chemin entre le commutateur et le pont racine
est connue sous le nom de:
Chemin le moins coûteux
Chemin le moins court
Meilleur coût du chemin
Coût du chemin racine

7. À quelle fréquence un commutateur envoie-t-il un BPDU?
Chaque 2 seconds
Chaque 15 seconds
Chaque 20 seconds
Uniquement envoyées en cas de modification de la topologie
Évolution du protocole STP

5.3.1
Différentes versions de STP

Cette rubrique détaille les nombreuses versions de STP et d'autres options pour empêcher les
boucles de votre réseau.
Jusqu'à maintenant, nous avons utilisé le terme Spanning Tree Protocol et l'acronyme STP, ce
qui peut être trompeur. De nombreux professionnels utilisent ces termes pour désigner des
implémentations différentes du concept de Spanning Tree, par exemple le protocole RSTP
(Rapid Spanning Tree Protocol) et le protocole MSTP (Multiple Spanning Tree Protocol).
Pour pouvoir communiquer clairement sur les concepts de Spanning Tree, il est important de
parler d'une implémentation ou d'une norme d'arbre recouvrant dans son contexte.
La dernière norme de l'arbre recouvrant est contenue dans IEEE-802-1D-2004, la norme IEEE
pour les réseaux locaux et métropolitains: ponts MAC (Media Access Control). Cette version
de la norme indique que les commutateurs et les ponts conformes à la norme utiliseront le
protocole RSTP (Rapid Spanning Tree Protocol) au lieu de l'ancien protocole STP spécifié
dans la norme 802.1d d'origine. Dans ce cursus, lorsque le protocole STP original est utilisé
dans un contexte de discussion, le terme «STP 802.1D initial» est préféré pour éviter toute
confusion. Puisque les deux protocoles partagent en grande partie la même terminologie et les
mêmes méthodes en matière de chemin sans boucle, nous mettrons principalement l'accent sur
le standard actuel et les implémentations propres à Cisco de STP et de RSTP.
Plusieurs protocoles Spanning Tree Protocol (STP) sont apparus depuis la création du
protocole IEEE 802.1D d'origine, comme indiqué sur le tableau.
Légende du tableau
Variété
Description
STP
Protocole
Il s'agit de la version originale IEEE 802.1D (802.1D-1998 et antérieure) qui fournit une
STP
topologie sans boucle dans un réseau avec des liens redondants. De plus appelé CST
(Spanning
(Common Spanning Tree, arbre recouvrant commun) suppose une seule instance Spanning
tree
Tree pour l'ensemble du réseau ponté, quel que soit le nombre de VLAN.
Protocole)
Protocole Spanning Tree Par VLAN (PVST+) est une version améliorée du protocole STP proposée par
PVST+ Cisco, qui offre une instance Spanning Tree 802.1D séparée pour chaque VLAN configuré
Légende du tableau
Variété
Description
STP
(Per-VLAN dans le réseau. PVST+ prend en charge PortFast, UplinkFast, BackboneFast, la protection
Spanning BPDU, le filtre BPDU, la protection de racine et la protection de boucle.
Tree)
802.1D-
C'est une version mise à jour du protocole STP standard, intégrant IEEE 802.1w.
2004
Protocole
RSTP
(Rapid Rapid Spanning Tree Protocol (RSTP) ou IEEE 802.1w est une évolution de STP qui offre une
Spanning convergence plus rapide que STP.
Tree
Protocol)
Rapid
C'est une version améliorée du protocole RSTP proposée par Cisco et utilisant PVST+ et offre
PVST+
une instance 802.1w séparée pour chaque VLAN. Chaque instance distincte prend en charge
(Per-VLAN
PortFast, la protection BPDU, le filtre BPDU, la protection de racine et la protection de
Spanning
boucle.
Tree)
Protocole
MSTP
Multiple Spanning Tree Protocol (MSTP) est un standard IEEE inspiré de l'implémentation
(Multiple
MISTP plus ancienne de Cisco (Multiple Instance STP). MSTP mappe plusieurs VLAN dans une
Spanning
même instance Spanning Tree.
Tree
Protocol)
MST MST est l'implémentation Cisco de MSTP, qui fournit jusqu'à 16 instances du protocole RSTP
(Multiple et allie plusieurs VLAN avec la même topologie physique et logique au sein d'une instance
Spanning courante du protocole RSTP. Chaque instance prend en charge PortFast, la protection BPDU,
Tree) le filtre BPDU, la protection de racine et la protection de boucle.
Un professionnel des réseaux, dont la mission inclut l'administration des commutateurs, peut
être amené à décider quel type de protocole STP implémenter.
Les commutateurs Cisco fonctionnant sous IOS 15.0 ou une version ultérieure exécutent
PVST+ par défaut. Cette version intègre plusieurs des caractéristiques du standard IEEE
802.1D-2004, telles que les ports alternatifs au lieu des anciens ports non désignés. Les
commutateurs doivent être explicitement configurés pour le mode Rapid Spanning Tree afin
d'exécuter le protocole Rapid Spanning Tree.
5.3.2
Concepts RSTP
RSTP (IEEE 802.1w) remplace le protocole 802.1D d'origine, tout en conservant la
rétrocompatibilité. La terminologie du protocole STP 802.1w est essentiellement la même que
celle du protocole STP IEEE 802.1D initial. La plupart des paramètres ont été conservés. les
utilisateurs déjà familiarisés avec la norme STP d'origine puissent rapidement configurer le
protocole RSTP. Le même algorithme de spanning tree est utilisé pour STP et RSTP pour
déterminer les rôles de port et la topologie.
Le protocole RSTP optimise le recalcul de l'arbre recouvrant lorsque la topologie d'un réseau
de couche 2 change. Le protocole RSTP assure un temps de convergence beaucoup plus
rapide dans un réseau correctement configuré, parfois de l'ordre de quelques centaines de
millisecondes. Si un port est configuré comme port alternatif, il peut passer immédiatement à
l'état de transmission sans attendre que le réseau converge.
Remarque: Rapid PVST+ est l'implémentation Cisco du protocole RSTP par VLAN. En
utilisant le protocole Rapid PVST+ une instance indépendante s'exécute sur chaque VLAN.
5.3.3
États de port RSTP et rôles de port

Les états de port et les rôles de port entre STP et RSTP sont similaires.
Cliquez sur chaque bouton pour comparer les états de port STP et RSTP et les rôles de port.
États du port STP et RSTP
Roles du port STP et RSTP
Ports alternatifs et de secours RSTP
États du port STP et RSTP
Comme le montre la figure, il n'y a que trois états de port dans le RSTP qui correspondent aux
trois états opérationnels possibles dans le STP. Les états de désactivation, de blocage et
d'écoute de la 802.1D sont fusionnés en un état unique de suppression de la 802.1w.
La figure indique les statistiques des ports STP et RSTP les unes à côté de l'autre à des fins de
comparaison. Sur la gauche se trouvent les états du port STP répertoriés dans l'ordre de haut
en bas: Désactivation, Blocage, Écoute, Apprentissage et Acheminement. Sur la droite se
trouvent les états de port RSTP répertoriés dans l'ordre de haut en bas: mise à l'écart
(discarding), apprentissage ou acheminement.
DésactivationBlocageÉcouteApprentissageAcheminementRSTP Mise à l'écart ApprentissageAcheminementSTP
5.3.4
PortFast et protection BPDU
Lorsqu'un périphérique est connecté à un port de commutateur ou lorsqu'un commutateur se
met sous tension, le port de commutateur passe par les états d'écoute et d'apprentissage,
chaque fois qu'il attend l'expiration de minuteur Forward Delay. Ce délai est de 15 secondes
pour chaque état, écoute et apprentissage, pour un total de 30 secondes. Ce délai peut
présenter un problème pour les clients DHCP qui tentent de découvrir un serveur DHCP. Les
messages DHCP provenant de l'hôte connecté ne seront pas transférés pendant les 30
secondes de minuteur Forward Delay et le processus DHCP peut expirer. Le résultat est qu'un
client IPv4 ne recevra pas une adresse IPv4 valide.
Remarque: Bien que cela puisse se produire avec les clients qui envoient des messages de
sollicitation de routeur ICMPv6, le routeur continuera d'envoyer des messages d'annonce de
routeur ICMPv6 afin que l'appareil sache comment obtenir ses informations d'adresse.
Lorsqu'un port de commutateur est configuré avec PortFast, ce port passe de l'état de blocage
à l'état d'acheminement immédiatement, sans passer par les autres états 802.1D STP habituels
(écoute et apprentissage) et en évitant un délai de 30 secondes. Vous pouvez utiliser PortFast
sur les ports d'accès pour permettre aux appareils connectés à ces ports, tels que les clients
DHCP, d'accéder immédiatement au réseau, plutôt que d'attendre que le STP IEEE 802.1D
converge sur chaque VLAN. L'objectif de la fonction PortFast étant de minimiser le temps
d'attente des ports d'accès avant la convergence Spanning Tree, elle doit être utilisée
uniquement sur les ports d'accès. Si vous activez PortFast sur un port connecté à un autre
commutateur, vous risquez de créer une boucle Spanning Tree. PortFast est uniquement
destiné aux ports de commutateur qui se connectent aux périphériques terminaux.
La topologie du réseau physique présente trois commutateurs interconnectés, S1, S2 et S3,

ainsi que trois PC, PC1, PC2 et PC3. S1 se connecte à S3 via le port de commutateur F0/2 et
se connecte à S2 via le port de commutateur F0/1 qui a la lettre D à côté de lui. La liaison
entre S1 et S2 est étiquetée trunk1. La liaison entre S1 et S3 est étiquetée Trunc3. S1 se
connecte au PC4 via le port de commutateur F0/2 qui a la lettre D à côté de lui. S2 se
connecte à S3 via le port de commutateur F0/2, qui a la lettre D à côté de lui et se connecte à
S1 via le port de commutateur F0/1 qui a la lettre R à côté de lui. La liaison entre S2 et S3 est
étiquetée Trunc 2. S2 se connecte au PC1 via le port de commutateur F0/11, se connecte au
PC2 via le port de commutateur F0/18 et se connecte au PC3 via le port de commutateur F0/6.
S3 se connecte à S2 sur le port de commutateur F0/2 qui comme la lettre A à côté de lui et se
connecte à S1 sur le port de commutateur F0/1 qui a la lettre R à côté de lui. Un symbole X
rouge est placé sur la liaison de trunk entre S3 et S2. L'adresse IP de PC1 est 172.17.10.21.
L'adresse IP de PC2 est 172.17.10.22. L'adresse IP de PC3 est 172.17.10.23. Une zone de
texte lit PortFast et protection BPDU et comporte des flèches pointant vers les trois ports de
commutateur sur S2, F0/11, F0/18 et F0/6.
PC2PC1PC3S3S1S2F0/1172.17.10.21172.17.10.23172.17.10.22F0/2F0/2F0/1F0/2F0/1F0/11F0/6F0/1
8
Trunk 3Trunk 1Trunk 2 PortFast et protection BPDU DDDRRA

Dans une configuration PortFast valide, les trames BPDU ne doivent jamais être reçues sur les
ports des commutateurs activés par PortFast, car cela indiquerait qu'un autre pont ou
commutateur est connecté au port. Cela provoque potentiellement une boucle de spanning
tree. Pour éviter ce type de scénario, les commutateurs Cisco prennent en charge une
fonctionnalité appelée Protection BPDU. Lorsqu'elle est activée, la protection BPDU place
immédiatement le port à l'état errdisabled (erreur désactivée) lors de la réception d'une trame
BPDU. Cela protège contre les boucles potentielles en arrêtant efficacement le port. La
fonction de protection BPDU offre une réponse sécurisée aux configurations non valides, car
un administrateur remettre manuellement l'interface en service.
5.3.5
Alternatives au Protocole STP

STP était et est toujours un protocole de prévention des boucles Ethernet. Au cours des ans,
les organisations ont exigé une plus grande résilience et une plus grande disponibilité dans le
réseau local. Les réseaux locaux Ethernet sont passés de quelques commutateurs
interconnectés connectés à un seul routeur, à une conception de réseau hiérarchique
sophistiquée incluant des commutateurs d'accès, de distribution et de couche centrale, comme
le montre la figure.
Deux topologies de réseau physique montrant une conception de réseau hiérarchique et une
conception de cœur de réseau regroupé
Cœur de réseau regroupéInternetInternetInternetInternetCouche cœur de réseauCouche de distributionCouche

d'accès
Selon l'implémentation, la couche 2 peut inclure non seulement la couche d'accès, mais aussi
la couche de distribution ou même les couches cœur de réseau. Ces conceptions peuvent
inclure des centaines de commutateurs, avec des centaines ou des milliers de VLAN. Le STP
s'est adapté à la redondance et à la complexité accrues grâce à des modifications dans le cadre
du RSTP et du MSTP.
Un aspect important de la conception du réseau est la convergence rapide et prévisible en cas

de défaillance ou de modification de la topologie. Spanning tree n'offre pas les mêmes
efficacités et prédictions que celles des protocoles de routage de la couche 3. La figure montre
une conception de réseau hiérarchique traditionnelle avec la distribution et les commutateurs
multicouches principaux effectuant le routage.
La topologie du réseau physique présente quatre commutateurs de couche 3, trois

commutateurs de couche 2 et six PC. Deux commutateurs de couche 3 en haut de la topologie
se trouvent dans le cœur réseau. Deux commutateurs de couche 3 se trouvent dans la couche
de distribution. Les trois commutateurs de couche 2 et les six PC se trouvent dans la couche
d'Accès.
Cœur RéseauDistributionAccèsRoutage de couche 3Commutation de couche 2
Le routage de couche 3 permet des chemins et des boucles redondants dans la topologie, sans
bloquer les ports. Pour cette raison, certains environnements sont en cours de transition vers la
couche 3 partout, sauf lorsque les périphériques se connectent au commutateur de couche
d'accès. En d'autres termes, les connexions entre les commutateurs de couche d'accès et les
commutateurs de distribution seraient la couche 3 au lieu de la couche 2, comme indiqué dans
la figure suivante.
La topologie du réseau physique présente sept commutateurs de couche 3 et six PC. Deux
commutateurs de couche 3 en haut de la topologie se trouvent dans le cœur réseau. Deux
commutateurs de couche 3 se trouvent dans la couche de distribution. Trois commutateurs de
couche 3 connectent les couches de distribution et d'accès. Les six PC sont entièrement dans
la couche d'accès.
CœurDistributionAccèsRoutage de couche 3Commutation de couche 2
Bien que le STP continuera très probablement à d'être utilisé comme système de prévention
des boucles dans l'entreprise, sur les commutateurs de la couche d'accès, d'autres technologies
sont également utilisées, notamment les suivantes:
 Agrégation de lien multisystèmes (MLAG)

 Pontage de chemin le plus court (SPB)
 Interconnexion transparente d'un grand nombre de liaisons (TRILL)
Remarque: Ces technologies dépassent le cadre de ce cours.
5.3.6
Vérifiez votre compréhension - Évolution de

protocole STP
Vérifiez votre compréhension d'évolution de Spanning Tree en choisissant la MEILLEURE
1. Quels sont les trois états de port STP fusionnés dans l'état de port de mise à l'écart (discarding)
RSTP? (Choisissez trois réponses.)
Désactivation
Blocage
Écoute
apprentissage
Acheminement
2. Quel protocole a été conçu pour accélérer la convergence vers STP?
PortFast
RSTP
PVST
MSTP
3. Quelle technologie résout le problème d'un périphérique qui ne parvient pas à obtenir une
adresse IPv4 à partir d'un serveur DHCP en raison des minuteurs Forwarding Delay ?
PortFast
Protection BPUD
PVST
MSTP

5.4.1

L'objectif de STP
Les chemins d'accès redondants dans un réseau Ethernet commuté peuvent entraîner à la fois
des boucles physiques et logiques de couche 2. Une boucle de couche 2 peut entraîner
l'instabilité de la table d'adresses MAC, la saturation des liaisons et une utilisation élevée de
processeur sur les commutateurs et les terminaux. Il en résulte que le réseau devient
inutilisable. Contrairement aux protocoles de couche 3, IPv4 et IPv6, l'Ethernet de couche 2
n'intègrent pas de mécanisme pour identifier et éliminer les trames prises dans une boucle
infinie. Les réseaux locaux Ethernet nécessitent une topologie sans boucle avec un chemin
unique entre deux périphériques. Le protocole STP est un protocole réseau de prévention des
boucles qui permet la redondance tout en créant une topologie de couche 2 sans boucle. Sans
STP, les boucles de couche 2 peuvent se former, provoquant une boucle infinie de trames de
diffusion, de multidiffusion et de monodiffusion inconnues, entraînant la défaillance d'un
réseau. Une tempête de diffusion est un nombre anormalement élevé d'émissions qui
submergent le réseau pendant une durée déterminée. Les tempêtes de diffusion peuvent
désactiver un réseau en quelques secondes en submergeant les commutateurs et les appareils
terminaux. STP est basé sur un algorithme inventé par Radia Perlman. Son algorithme de
spanning tree (STA) crée une topologie sans boucle en sélectionnant un pont racine unique où
tous les autres commutateurs déterminent un seul chemin moins coûteux.
Le fonctionnement de STP
En utilisant le STA, STP établit une topologie sans boucle dans un processus en quatre étapes
: élection du pont racine, élection des ports racine, élection des ports désignés et élection des
ports alternatifs (bloqués). Pendant le fonctionnement de STA et de STP, les commutateurs
utilisent des BPDU (Bridge Protocol Data Units) pour partager des informations sur eux-
mêmes et sur leurs connexions. Les BPDU permettent de choisir le pont racine, les ports
racine, les ports désignés et les ports alternatifs. Chaque trame BPDU contient un
identificateur de pont qui identifie le commutateur ayant envoyé la trame BPDU. La BID
participe à la prise de nombreuses décisions STA, y compris les rôles de pont racine et de
port. L'ID de pont contient une valeur de priorité, l'adresse MAC du commutateur et un ID
système étendu. La valeur d'ID de pont la plus basse est déterminée par une combinaison de
ces trois champs. Le commutateur ayant l'identificateur de pont (BID) le plus bas devient le
pont racine. Étant donné que le BID par défaut est 32768, il est possible que deux
commutateurs ou plusieurs aient la même priorité. Dans ce scénario, où les priorités sont
identiques, le commutateur ayant l'adresse MAC la plus basse deviendra le pont racine.
Lorsque le pont racine a été choisi pour l'instance Spanning Tree, l'algorithme STA détermine
des meilleurs chemins possibles vers le pont racine, depuis l'ensemble des destinations du
domaine de diffusion. Les informations relatives au chemin, appelées coût du chemin racine
interne, sont déterminées en additionnant les coûts de port individuels le long du chemin entre
le commutateur et le pont racine. Une fois le pont racine est déterminé, l'algorithme STA
sélectionne le port racine. Le port racine est le port le plus proche du pont racine en termes de
coûts généraux qui est appelé coût du chemin racine interne. Après que chaque commutateur a
sélectionné un port racine, les commutateurs sélectionnent les ports désignés. Le port désigné
est un port sur le segment (avec deux commutateurs) qui a le coût du chemin racine interne
vers le pont racine. Si un port n'est pas un port racine ou un port désigné, il devient alors un
port alternatif (ou de secours). les ports alternatifs et de secours sont à l'état de suppression ou
de blocage pour éviter les boucles. Lorsqu'un commutateur possède plusieurs chemins d'accès
à coût égal vers le pont racine, le commutateur détermine un port en utilisant les critères
suivants:BID d'expéditeur le plus bas, puis priorité de port d'expéditeur le plus bas et enfin
l'ID de port d'expéditeur le plus bas. La convergence STP nécessite trois minuteries: le
minuteur Hello, le minuteur Forward delay et le minuteur max age. Les états de port sont:
blocage, écoute, apprentissage, acheminement et désactivé. Dans les versions PVST de STP,
un pont racine est déterminé pour chaque instance Spanning Tree. Il est possible de disposer
de plusieurs ponts racine distincts pour différents ensembles de réseaux VLAN.
L'évolution de STP
Le terme Spanning Tree Protocol et l'acronyme STP, ce qui peut prêter à confusion. STP est
souvent utilisé pour faire référence aux différentes implémentations de spanning tree, telles
que RSTP et MSTP. RSTP est une évolution de Spanning Tree qui offre une convergence
plus rapide que STP. Les états des ports de RSTP sont mise à l'écart (discarding),
apprentissage et acheminement. PVST+ est une version améliorée du protocole STP proposée
par Cisco, qui offre une instance Spanning Tree 802.1D séparée pour chaque VLAN
configuré dans le réseau. PVST+ prend en charge PortFast, UplinkFast, BackboneFast, la
protection BPDU, le filtre BPDU, la protection de racine et la protection de boucle. Les
commutateurs Cisco fonctionnant sous IOS 15.0 ou une version ultérieure exécutent PVST+
par défaut. Rapid PVST+ est une version améliorée de RSTP proposée par Cisco qui utilise
PVST+ et fournit une instance distincte de 802.1w par VLAN. Lorsqu'un port de
commutateur est configuré avec PortFast, ce port passe immédiatement de l'état de blocage à
l'état d'acheminement, évitant ainsi les états d'écoute et d'apprentissage STP et un délai de 30
secondes. Vous pouvez utiliser PortFast sur les ports d'accès pour permettre aux appareils
connectés à ces ports, tels que les clients DHCP, d'accéder immédiatement au réseau, plutôt
que d'attendre que le STP converge sur chaque VLAN. Les commutateurs Cisco prennent en
charge une fonctionnalité appelée Protection BPDU qui met immédiatement le port du
commutateur dans un état désactivé par erreur à la réception de tout BPDU pour se protéger
contre les boucles potentielles. Au cours des ans, les réseaux locaux Ethernet sont passés de
quelques commutateurs interconnectés, reliés à un seul routeur, à une conception de réseau
hiérarchique sophistiquée. Selon l'implémentation, la couche 2 peut inclure non seulement la
couche d'accès, mais aussi la couche de distribution ou même les couches cœur de réseau. Ces
conceptions peuvent inclure des centaines de commutateurs, avec des centaines ou des
milliers de VLAN. Le protocole STP s'est adapté à la redondance et à la complexité accrues
grâce à des modifications dans le cadre du RSTP et du MSTP. Le routage de couche 3 permet
des chemins et des boucles redondants dans la topologie, sans bloquer les ports. Pour cette
raison, certains environnements sont en cours de transition vers la couche 3 partout, sauf
lorsque les périphériques se connectent au commutateur de couche d'accès.
5.4.2
Module Questionnaire - Protocole STP

1.
Quel état de port changera immédiatement les ports lorsqu'ils sont configurés pour PortFast?
Blocage
Apprentissage
Écoute
Acheminement
2. Une fois l'élection du pont racine terminée, comment les commutateurs trouveront-ils les
meilleurs chemins vers le pont racine?
Chaque commutateur analysera la somme de tous les coûts de port pour atteindre la racine et
utiliser le chemin avec le coût le plus bas.
Chaque commutateur analysera l'état des ports de tous les voisins et utilisera les ports désignés
pour transférer le trafic vers la racine.
Chaque commutateur analysera le BID de tous les voisins pour atteindre la racine et utiliser le
chemin à travers les voisins BID les plus bas.
Chaque commutateur analysera la somme des tronçons pour atteindre la racine et utilisera le
chemin avec le moins de tronçons.
3. Quel rôle de port STP est adopté par un port de commutateur s'il n'y a pas d'autre port moins
coûteux pour le pont racine ?
Port racine
Port alternatif
port désigné
port désactivé
Rapid PVST+
4. Quelle valeur détermine le pont racine lorsque tous les commutateurs reliés par des liaisons trunk
ont des configurations STP par défaut?
Priorité du pont
ID du VLAN
ID système étendu
Adresse MAC
5. Pendant l'implémentation du protocole Spanning Tree, tous les commutateurs sont redémarrés
par l'administrateur réseau. Quelle est la première étape du processus électoral de Spanning
Tree?
Chaque commutateur détermine le port à bloquer pour empêcher une boucle de se produire.
Tous les commutateurs envoient des BPDU publicitaires eux-mêmes comme le pont racine.
Chaque commutateur dont l'ID racine est inférieur à celui de son voisin n'enverra pas de BPDU.
Chaque commutateur détermine le meilleur chemin d'acheminement du trafic.

6. Quels sont les deux concepts qui font référence à un port de commutateur conçu pour recevoir
uniquement des terminaux et qui ne doit jamais être utilisé pour la connexion à un autre
commutateur? (Choisissez deux réponses.)
ID de pont
ID système étendu
PVST+
PortFast
Port de périphérie
7. Quels sont les trois états de port utilisés par Rapid PVST+? (Choisissez trois réponses.)
Écoute
Trunking
Acheminement
Mise à l'écart
Apprentissage
Blocage
8. Lorsque PVST est exécuté sur un réseau commuté, quel état de port peut participer au transfert
de trames BPDU basé sur les BPDU reçus, mais ne transfère pas les trames de données?
Écoute
ID système étendu
Blocage
Désactivation
9. Quel rôle de port STP est adopté par un port de commutateur s'il n'y a pas d'autre port moins
coûteux pour le pont racine ?
Port alternatif
Port racine
port désigné
port désactivé
10. Quelles sont les deux affirmations qui décrivent un port de commutateur configuré avec
PortFast? (Choisissez deux réponses.)
Apprentissage
Le port de commutateur traite immédiatement toutes les BPDU avant de passer à l'état
d'acheminement.
Le port de commutateur passe immédiatement de l'état de blocage à l'état d'acheminement.
Le port de commutateur passe immédiatement de l'état d'écoute à l'état d'acheminement.
Le port de commutateur ne doit jamais recevoir de BPDU.

11. Lorsque PVST est exécuté sur un réseau commuté, quel état de port peut participer au transfert
de trames BPDU basé sur les BPDU reçus, mais ne transfère pas les trames de données?
Blocage
Acheminement
Écoute
Désactivation
12. Quelles sont les informations supplémentaires contenues dans l'ID système étendu 12 bits d'un
BPDU?
ID du VLAN
Adresse MAC
ID de port
Adresse IP
13. Un administrateur est en train de dépanner un commutateur et veut vérifier s'il s'agit d'un pont
racine. Quelle commande peut être utilisée pour effectuer cette opération ?
show running-config
show spanning-tree
show startup-config
show vlan
14. Quelle est la description précise d'un redondance ?
configuration d'un commutateur avec une sécurité appropriée pour s'assurer que tout le trafic
acheminé via une interface est filtré
conception d'un réseau pour utiliser plusieurs chemins entre les commutateurs afin de s'assurer
qu'il n'y a pas de point de défaillance unique
conception d'un réseau pour utiliser plusieurs périphériques virtuels afin de s'assurer que tout le
trafic utilise le meilleur chemin à travers un interréseau
configuration d'un routeur avec une base de données d'adresses MAC complète pour s'assurer
que toutes les trames peuvent être transférées vers la bonne destination
Introduction
6.0.1
Bienvenue sur EtherChannel!
La conception de votre réseau inclut des commutateurs et des liens redondants. Vous avez une
version de STP configurée pour empêcher les boucles de couche 2. Mais maintenant, comme la
plupart des administrateurs réseau, vous réalisez que vous pourriez utiliser plus de bande
passante et de redondance dans votre réseau. Ne vous inquiétez pas, EtherChannel est là pour
vous aider! EtherChannel regroupe les liens entre les périphériques en lots. Ces lots incluent des
liens redondants. STP peut bloquer l'un de ces liens, mais il ne les bloquera pas tous. Avec
EtherChannel, votre réseau peut avoir une redondance, une prévention des boucles (loop) et une
bande passante accrue!
Il existe deux protocoles, PAgP et LACP. Ce module explique les deux et vous montre également
comment les configurer, les vérifier et les dépanner! Un vérificateur de syntaxe et deux activités
de Paquet Tracer vous aident à mieux comprendre ces protocoles. Qu'attendez-vous?
6.0.2

module?
Titre du module: EtherChannel
Objectif du module: Dépanner EtherChannel sur des liaisons commutées.
Légende du tableau
Fonctionnement d'EtherChannel Décrire la technologie EtherChannel.
Configuration d'EtherChannel Configurer la technologie EtherChannel.
Vérification et dépannage d'EtherChannel Dépanner la technologie EtherChannel.
5.4
Module pratique et questi
Fonctionnement d'EtherChannel
6.1.1
Agrégation de liaisons
Il existe des scénarios dans lesquels plus de bande passante ou de redondance entre les
périphériques est nécessaire que ce qui peut être fourni par une liaison unique. Plusieurs liens
peuvent être connectés entre les appareils pour augmenter la bande passante. Cependant, le
protocole STP (Spanning Tree Protocol), qui est activé sur les périphériques de couche 2 tels
que les commutateurs Cisco par défaut, bloquera les liens redondants pour empêcher les
boucles de commutation, comme le montre la figure.
Une technologie d'agrégation de liens est nécessaire pour permettre des liaisons redondantes
entre les périphériques qui ne seront pas bloqués par STP. Cette technologie est connue sous
le nom d'EtherChannel.
EtherChannel est une technologie d'agrégation de liens qui regroupe plusieurs liaisons
Ethernet physiques en un seul lien logique. Il est utilisé pour fournir une tolérance aux pannes,
un partage de charge, une bande passante accrue et une redondance entre les commutateurs,
les routeurs et les serveurs.
Il est également possible de combiner le nombre de liaisons physiques entre les commutateurs
pour accélérer de manière globale la communication entre les commutateurs.
deux commutateurs multicouches connectés chacun à un commutateur LAN via deux

connexions réseau physiques; l'une des deux connexions est affichée comme bloquée par STP
Bloqué
Par défaut, STP bloque les liaisons redondantes.
6.1.2
EtherChannel
La technologie EtherChannel a initialement été développée par Cisco comme une technique
de réseau local entre deux commutateurs permettant de regrouper plusieurs ports Fast
Ethernet ou Gigabit Ethernet en un seul canal logique. Quand un EtherChannel est configuré,
l'interface virtuelle résultante est appelée un canal de port. Les interfaces physiques sont
regroupées dans une interface de canal portuaire, comme le montre la figure.
deux commutateurs multicouches connectés chacun à un commutateur LAN via deux

connexions réseau physiques; les deux connexions ont été combinées dans un EtherChannel
EtherChannelEtherChannel
6.1.3
Avantages de l'EtherChannel
La technologie EtherChannel présente de nombreux avantages, dont les suivants :
 La plupart des tâches de configuration peuvent être réalisées sur l'interface EtherChannel plutôt que
sur chaque port, ce qui assure la cohérence de la configuration sur toutes les liaisons.
 Un EtherChannel repose sur les ports de commutation existants. Il n'est pas nécessaire de mettre à
niveau la liaison vers une connexion plus rapide et plus coûteuse pour avoir davantage de bande
passante.
 L'équilibrage de la charge se fait entre les liaisons appartenant au même EtherChannel. En fonction
de la plate-forme matérielle, une ou plusieurs méthodes d'équilibrage de la charge peuvent être
implémentées. Ces méthodes incluent l'équilibrage de la charge entre les adresses MAC source et de
destination ou entre les adresses IP source et de destination, sur les liaisons physiques.
 EtherChannel crée une agrégation considérée comme une seule liaison logique. Quand plusieurs
groupes EtherChannel existent entre deux commutateurs, STP peut bloquer l'un des groupes pour
éviter les boucles de commutation. Quand STP bloque l'une des liaisons redondantes, il bloque la
totalité de l'EtherChannel. Cela bloque tous les ports appartenant à cette liaison EtherChannel.
Quand il existe uniquement une liaison EtherChannel, toutes les liaisons physiques de l'EtherChannel
sont actives, car STP considère une seule liaison (logique).
 EtherChannel offre de la redondance car la liaison globale est considérée comme une seule
connexion logique. De plus, la perte d'un lien physique dans le canal ne crée pas de changement dans
la topologie. Par conséquent, un recalcul de l'arbre spanning n'est pas requis. En supposant qu'il
existe au moins une liaison physique, l'EtherChannel fonctionne normalement, même si son débit
global diminue à cause de la perte d'une liaison dans l'EtherChannel.
6.1.4
Restrictions d'implémentation
EtherChannel a certaines restrictions d'implémentation, notamment les suivantes:
 Les types d'interfaces ne peuvent pas être associés. Par exemple, le Fast Ethernet et le Gigabit
Ethernet ne peuvent pas être mélangés dans un seul EtherChannel.
 Actuellement, chaque EtherChannel peut être composé de huit ports Ethernet maximum, configurés
pour être compatibles. EtherChannel fournit une largeur de bande en duplex intégral jusqu'à 800
Mbps (Fast EtherChannel) ou 8 Gbps (Gigabit EtherChannel) entre un commutateur et un autre
commutateur ou hôte.
 Le commutateur Cisco Catalyst 2960 de couche 2 prend actuellement en charge jusqu'à six canaux
EtherChannels. Cependant, grâce au développement de nouveaux IOS et à l'évolution des plates-
formes, certaines cartes et plates-formes peuvent prendre en charge un nombre accru de ports dans
une liaison EtherChannel, ainsi qu'un nombre accru de Gigabit EtherChannels.
 La configuration de chaque port du groupe EtherChannel doit être cohérente sur les deux
périphériques. Si les ports physiques sont configurés en tant que trunks d'un côté, les ports
physiques de l'autre côté doivent également être configurés en tant que trunks avec le même VLAN
natif. En outre, tous les ports de chaque liaison EtherChannel doivent être configurés en tant que
ports de couche 2.
 Chaque EtherChannel possède une interface de canal de port logique, comme le montre la figure.
Une configuration appliquée à l'interface de canal de port affecte toutes les interfaces physiques
attribuées à cette interface.
Le diagramme illustre la vue de face d'un commutateur 2960 montrant les liaisons de groupe
de canaux de plusieurs ports physiques 10/100/1000 dans des interfaces de canaux de ports
logiques. Une interface de canal de port logique relie les ports physiques 1 à 6 ensemble et
l'autre lie les ports 9 à 12 ensemble.
Catalyst 2960SERIESMODESYSTSTRTUTILDUPLX SPEEDRPS123456789101112

Port logique
Interface du canalPort logique
Interface du canalGroupe Canal
Liens Ports 10/100/1000Ports physiques
6.1.5
Protocoles de négociation automatique

Des EtherChannel peuvent être formés par négociation en utilisant l'un des deux protocoles,
PAgP ou LACP. Ces protocoles permettent à des ports ayant des caractéristiques similaires de
former un canal grâce à une négociation dynamique avec les commutateurs adjacents.
Remarque: Il est également possible de configurer un EtherChannel statique ou

inconditionnel sans PAgP ou LACP.
6.1.6
Opération PAgP
PAgP (prononcé "Pag - P") est un protocole propriétaire de Cisco qui aide à la création
automatique de liens EtherChannel. Quand une liaison EtherChannel est configurée grâce à
PAgP, des paquets PAgP sont envoyés entre les ports compatibles EtherChannel pour
négocier la formation d'un canal. Quand PAgP identifie des liaisons Ethernet associées, il
groupe les liaisons dans un EtherChannel. L'EtherChannel est ensuite ajouté à l'arbre de
spanning recouvrant comme port unique.
S'il est activé, PAgP gère également l'EtherChannel. Les paquets PAgP sont envoyés toutes
les 30 secondes. PAgP vérifie la cohérence de la configuration et gère les ajouts de liaison et
les défaillances entre deux commutateurs. Il garantit que tous les ports ont le même type de
configuration quand un EtherChannel est créé.
Remarque: Dans EtherChannel, il est obligatoire que tous les ports aient la même vitesse, le
même réglage duplex et les mêmes informations VLAN. Toute modification d'un port après la
création du canal modifie également tous les autres ports du canal.
PAgP permet de créer la liaison EtherChannel en détectant la configuration de chaque côté et
en assurant la compatibilité des liaisons, afin que la liaison EtherChannel puisse être activée si
besoin. Les modes pour le PAgP sont les suivants :
 On - Ce mode force l'interface à établir un canal sans PAgP. Les interfaces configurées en mode On
(Activé) n'échangent pas de paquets PAgP.
 PAgP desirable - Ce mode PAgP place une interface dans un état de négociation active dans lequel
l'interface initie des négociations avec d'autres interfaces en envoyant des paquets PAgP.
 PAgP auto - Ce mode PAgP place une interface dans un état de négociation passive dans lequel
l'interface répond aux paquets PAgP qu'elle reçoit mais n'initie pas de négociation PAgP.
Les modes doivent être compatibles de chaque côté. Si une partie est configurée pour être en
mode automatique, elle est placée dans un état passif, attendant que l'autre partie entame la
négociation du canal Ethernet. Si l'autre côté est également placé en mode Auto, la
négociation ne commence jamais et l'EtherChannel ne se forme pas. Si tous les modes sont
désactivés en utilisant la no commande, ou si aucun mode n'est configuré, alors le
EtherChannel est désactivé.
Le mode On (Activé) place manuellement l'interface dans un EtherChannel, sans aucune

négociation. Cela fonctionne uniquement si l'autre côté est également placé en mode On
(Activé). Si l'autre côté est configuré pour négocier les paramètres via PAgP, aucun
EtherChannel ne se forme car le côté placé en mode On (Activé) ne négocie pas.
L'absence de négociation entre les deux commutateurs signifie qu'il n'y a pas de vérification
pour s'assurer que tous les liens dans le EtherChannel se terminent de l'autre côté, ou qu'il y a
une compatibilité PAgP sur l'autre commutateur.
6.1.7
Exemple de paramètres du mode PAgP

Considérez les deux commutateurs de la figure. Le fait que S1 et S2 établissent un
EtherChannel à l'aide de PAgP dépend des paramètres de mode de chaque côté du canal.
deux commutateurs LAN connectés ensemble via deux connexions réseau physiques qui ont
formé un EtherChannel à l'aide de PAgP
S1S2
PAgP
Le tableau montre les différentes combinaisons de modes PAgP sur S1 et S2 et le résultat

résultant de l'établissement du canal.
PAgP Modes
S1s2Canal
ÉtablissementOnonyesOndésirable/AUTONODESIRABLEDesirableDesirableAutoDésirableAutoDésir
ableAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoAutoDésirab
le
S1 S2 Établissement de canal
On (activé) On (activé) Oui
On Désirable/Auto Non
Desirable Desirable Oui
Desirable Auto Oui
Auto Desirable Oui
Auto Auto Non
6.1.8
Opération LACP
LACP fait partie d'une spécification IEEE (802.3ad) qui permet de regrouper plusieurs ports
physiques pour former un seul canal logique. LACP permet à un commutateur de négocier un
paquet automatique en envoyant des paquets LACP à l'autre commutateur. Il assure une
fonction semblable à celle de PAgP avec Cisco EtherChannel. LACP étant une norme IEEE,
il peut être utilisé pour faciliter les EtherChannel dans des environnements multifournisseurs.
Sur les périphériques Cisco, les deux protocoles sont pris en charge.
Remarque: LACP a été défini à l'origine comme IEEE 802.3ad. Cependant, LACP est
désormais défini dans la norme plus récente IEEE 802.1AX pour les réseaux locaux et
métropolitains.
LACP offre les mêmes avantages en matière de négociation que PAgP. LACP permet de créer
la liaison EtherChannel en détectant les configurations de chacun des côtés et en assurant leur
compatibilité, afin que la liaison EtherChannel puisse être activée au besoin. Les modes de
LACP sont les suivants:
 On - Ce mode force l'interface à établir un canal sans LACP. Les interfaces configurées en mode On
(Activé) n'échangent pas de paquets LACP.
 LACP active - Ce mode LACP place un port dans un état actif de négociation. Dans cet état, le port
entame des négociations avec d'autres ports en envoyant des paquets LACP.
 LACP passive - Ce mode LACP place un port dans un état de négociation passif. Dans cet état, le port
répond aux paquets LACP qu'il reçoit, mais n'entame pas de négociation par paquet LACP.
Tout comme avec PAgP, les modes doivent être compatibles de chaque côté pour que la
liaison EtherChannel se forme. Le mode On (Activé) est répété, car il crée la configuration
EtherChannel de manière inconditionnelle, sans négociation dynamique PAgP ou LACP.
Le protocole LACP prend en charge huit liaisons actives et huit liaisons de secours. Une
liaison de secours devient active en cas d'échec d'une des liaisons actives établies.
6.1.9
Exemple de paramètres du mode LACP

Considérez les deux commutateurs de la figure. Le fait que S1 et S2 établissent un
EtherChannel à l'aide de LACP dépend des paramètres de mode de chaque côté du canal.
deux commutateurs LAN connectés ensemble via deux connexions réseau physiques qui ont
formé un EtherChannel à l'aide de LACP
S1S2
LACP
Le tableau montre les diverses combinaisons de modes LACP sur S1 et S2 et le résultat

résultant de l'établissement du canal.
S1s2Canal
ÉtablissementOnonyesOnactive/PassiveActiveOuiActiveActivePassiveYESPassiveActiveActiveSassiv
ePassiveNO
S1 S2 Établissement de canal
On (activé) On (activé) Oui
On Active (Actif)/Passive (Passif) Non
Active Active Oui
Active Passive Oui
Passive Active Oui
Passive Passive Non
6.1.10
Vérifiez votre compréhension - Opération
EtherChannel
Vérifiez votre compréhension du fonctionnement d'EtherChannel en choisissant la
1. Quels sont les avantages de la technologie EtherChannel? (Choisissez toutes les réponses qui
conviennent.)
tolérance aux pannes
répartition de la charge
augmentation de la bande passante
redondance des liaisons

2. Vrai ou faux ? Les liaisons FastEthernet et GigabiteEthernet peuvent être combinées en un
seul EtherChannel.
Vrai
Faux
3. Vrai ou faux ? PAgP et LACP sont tous deux des protocoles d'agrégation de liens
propriétaires de CISCO.
Vrai
Faux
4. Quels sont les trois modes d'interface PAgP ? (Choisissez trois propositions.)
Activé
automatique
actif
passif
désirable
5. Quel mode d'interface PAgP initiera la négociation avec d'autres interfaces ?
Activé
désirable
automatique
6. Quelles combinaisons de modes PAgP formeront un EtherChannel ? (Choisissez toutes les
réponses qui conviennent.)
auto > desirable
desirable > on
auto > on
on > on
on > active
active > passive
6.0
Configuration d'EtherChannel
6.2.1
Les instructions de configuration

Maintenant que vous savez ce qu'est EtherChannel, cette rubrique explique comment le
configurer. Les instructions et restrictions suivantes sont utiles pour la configuration
d'EtherChannel :
 Prise en charge d'EtherChannel - Toutes les interfaces Ethernet doivent prendre en charge
EtherChannel sans exigence que les interfaces soient physiquement contiguës.
 Vitesse et duplex - Configurez toutes les interfaces d'un EtherChannel pour qu'elles
fonctionnent à la même vitesse et dans le même mode duplex.
 VLAN correspondant -Toutes les interfaces de l'ensemble EtherChannel doivent être attribués
au même VLAN ou être configurées comme un trunk (comme indiqué dans la figure).
 Gamme de VLAN mode - Un EtherChannel supporte la même gamme autorisée de VLAN sur
toutes les interfaces d'un EtherChannel de trunking. Si la plage autorisée de VLAN n'est pas la
même, les interfaces ne forment pas un EtherChannel, même lorsqu'elles sont réglées
sur désirable ou automatique.
La figure montre une configuration qui permettrait à un EtherChannel de se former entre S1 et

S2.
Le diagramme montre deux commutateurs LAN connectés entre eux via deux connexions réseau
physiques qui ont formé un EtherChannel en fonction de leurs configurations de port. Les
configurations des ports S1 et S2 sont les suivantes : vitesse 1 Gbps, duplex intégral et VLAN 10.
Configuration du port S1
Vitesse 1 Gbit/s
Duplex Intégral
VLAN 10
Vitesse 1 Gbit/s
Duplex Intégral
VLAN 10
EtherChannel formé
Un EtherChannel est formé lorsque les paramètres de configuration correspondent sur les deux
commutateurs.
Dans la figure suivante, les ports S1 sont configurés en semi-duplex. Par conséquent, aucune
liaison EtherChannel ne sera établie entre S1 et S2.
La diagonale montre deux commutateurs LAN connectés entre eux via deux connexions réseau
physiques qui n'ont pas formé d'EtherChannel en fonction de leurs configurations de port. Les
configurations des ports S1 sont les suivantes : vitesse 1 Gbps, moitié duplex et VLAN 10. Les
configurations des ports S2 sont les suivantes : vitesse 1 Gbps, duplex intégral et VLAN 10.
Vitesse 1 Gbit/s
Duplex Semi-duplex
VLAN 10
Vitesse 1 Gbit/s
Duplex Intégral
VLAN 10
EtherChannel non formé
Un EtherChannel n'est pas formé lorsque les paramètres de configuration sont différents sur
chaque commutateur.
Si ces paramètres doivent être modifiés, configurez-les dans le mode de configuration de

l'interface de canal de port. Toute configuration appliquée à l'interface de canal de port affecte
également les autres interfaces. Cependant, les configurations appliquées à chaque interface
n'affectent pas l'interface de canal de port. Par conséquent, modifier la configuration d'une
interface appartenant à une liaison EtherChannel peut entraîner des problèmes de compatibilité
d'interface.
Le canal de port peut être configuré en mode d'accès, en mode trunk (le plus couramment utilisé)
ou sur un port routé.
6.2.2
Exemple de configuration LACP

EtherChannel est désactivé par défaut et doit être configuré. La topologie de la figure sera
utilisée pour démontrer un exemple de configuration EtherChannel utilisant LACP.
deux commutateurs, S1 et S2, sont connectés ensemble via deux connexions réseau physiques
qui ont formé un EtherChannel ; le port F0/1 sur S1 est connecté au port F0/1 sur S2 ; le port
F0/2 sur S1 est connecté au port F0/2 sur S2
S2S1Fa0/1Fa0/1Fa0/2Fa0/2
La configuration d'EtherChannel avec LACP nécessite les trois étapes suivantes :
Étape 1.Spécifiez les interfaces qui composent le groupe EtherChannel à l'aide de la

commande interface range interface en mode de configuration globale. Le mot-clé range permet
de sélectionner plusieurs interfaces et de les configurer toutes ensemble.
Étape 2. Créez l'interface de canal de port avec la commande channel-group identifier mode
active en mode de configuration de plage d'interface. L'identificateur spécifie un numéro de
groupe de canaux. Les mots clés mode active identifient ceci comme une configuration LACP
EtherChannel.
Étape 3. Pour modifier les paramètres de la couche 2 de l'interface de canal de port, entrez dans
le mode de configuration de l'interface de canal de port à l'aide de la commande interface port-
channel, suivie de l'identifiant de l'interface. Dans l'exemple, S1 est configuré avec un
EtherChannel LACP. Dans l'exemple, l'EtherChannel est configuré en tant qu'interface trunk avec
des VLAN autorisés spécifiés.
S1(config)# interface range FastEthernet 0/1 - 2
S1(config-if-range)# channel-group 1 mode active
Creating a port-channel interface Port-channel 1
S1(config-if-range)# exit
S1(config)# interface port-channel 1
S1(config-if)# switchport trunk allowed vlan 1,2,20

6.2.3
Vérificateur de syntaxe - Configurer

EtherChannel
Configurer le EtherChannel pour S2 sur la base des exigences spécifiées
Entrez le mode de la plage d'interface pour FastEthernet0/1 et FastEthernet0/2. Utilisez-le fa 0/1

- 2 comme désignation de l'interface.
S1(config)#
6.2.4
Packet Tracer - Configurer EtherChannel

Trois commutateurs viennent d'être installés. Il existe des liaisons ascendantes redondantes
entre les commutateurs. Tel que configuré, un seul de ces liens peut être utilisé ; sinon, une
boucle de bridging pourrait se produire. Toutefois, l'utilisation d'une seule liaison consomme
uniquement la moitié de la bande passante disponible. EtherChannel permet de grouper jusqu'à
huit liaisons redondantes au sein d'une seule liaison logique. Au cours de cet exercice, vous allez
configurer le protocole PAgP, un protocole Cisco EtherChannel et le protocole LACP, une version
standard ouverte d'EtherChannel publiée par l'IEEE, norme 802.3ad.
Vérification et dépannage
d'EtherChannel
6.3.1
Verifier EtherChannel
Comme toujours, lorsque vous configurez des périphériques sur votre réseau, vous devez vérifier
votre configuration. S'il y a des problèmes, vous devrez également être en mesure de les
résoudre et de les résoudre. Cette rubrique vous donne les commandes à vérifier, ainsi que
certains problèmes de réseau EtherChannel courants et leurs solutions.
Les exemples de commande de vérification utiliseront la topologie indiquée dans la figure.
Il existe plusieurs commandes permettant de vérifier une configuration EtherChannel. Cliquez sur
chaque bouton pour obtenir une explication et une sortie de commande.
show interfaces port-channel
show etherchannel summary

show etherchannel port-channel
show interfaces etherchannel
La commande show interfaces port-channel affiche l'état général de l'interface du canal de
port. Dans la figure, l'interface de Port Channel 1 est active.
S1# show interfaces port-channel 1
Port-channel1 is up, line protocol is up (connected)
Hardware is EtherChannel, address is c07b.bcc4.a981 (bia

c07b.bcc4.a981)
(output omitted)
6.3.2
Problèmes courants avec les configurations

EtherChannel
Toutes les interfaces au sein d'un EtherChannel doivent avoir la même configuration de vitesse
et de mode duplex, des VLAN natifs et autorisés sur les trunks, et des VLAN d'accès sur les ports
d'accès. Le fait de garantir ces configurations réduira considérablement les problèmes de réseau
liés à EtherChannel. Les problèmes courants d'EtherChannel sont les suivants :
 Attribuez tous les ports du EtherChannel au même VLAN, ou configurez-les en tant que trunks.
Des ports avec des VLAN natifs différents ne peuvent pas former un EtherChannel.
 Le trunking a été configuré sur certains des ports qui composent l'EtherChannel, mais pas tous. Il
n'est pas recommandé de configurer le mode "trunking" sur les différents ports qui composent
l'EtherChannel. Lorsque vous configurez un trunk sur un EtherChannel, vérifiez le mode de
trunking sur l'EtherChannel.
 Si la plage autorisée de VLAN n'est pas la même, les ports ne forment pas un EtherChannel
même lorsque PAgP est réglé sur le mode désirable ou automatique.
 Les options de négociation dynamique pour PAgP et LACP doivent être configurées pour être
compatibles aux deux extrémités d'EtherChannel.
Remarque: Il est facile de confondre PAgP ou LACP avec DTP, car ce sont tous des protocoles
utilisés pour automatiser le comportement sur les liaisons interurbaines. PAgP et LACP sont
utilisés pour l'agrégation de liaisons (EtherChannel). DTP est utilisé pour automatiser la création
de liaisons trunk. Quand un trunk EtherChannel est configuré, EtherChannel (PAgP ou LACP) est
généralement configuré en premier et DTP ensuite.
6.3.3
Exemple de dépannage d'EtherChannel

Dans la figure, les interfaces F0/1 et F0/2 des commutateurs S1 et S2 sont connectées à un
EtherChannel. Cependant, l'EtherChannel n'est pas opérationnel.
Cliquez sur chaque bouton pour connaître les étapes à suivre pour dépanner le EtherChannel.
Étape 1. Afficher les informations récapitulatives EtherChannel
Étape 2. Afficher la configuration des canaux de port
Étape 3 : Corriger la mauvaise configuration
Étape 4. Vérifier que EtherChannel est opérationnel
Étape 1. Afficher les informations récapitulatives EtherChannel
La sortie de la commande show etherchannel summary indique que le EtherChannel est en

panne.
S1# show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation

f - failed to allocate aggregator
M - not in use, minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
A - formed by Auto LAG
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------
-------
1 Po1 (SD) - Fa0/1 (D) Fa0/2 (D)

6.3.4
Packet Tracer - Dépannage EtherChannel

Quatre commutateurs ont été récemment configurés par un technicien junior. Les utilisateurs se
plaignent de la lenteur du réseau et souhaitent que vous meniez une enquête.

6.4.1
Packet Tracer - Implémenter EtherChannel

Vous avez été chargé de concevoir une implémentation EtherChannel pour une entreprise qui
souhaite améliorer les performances des liaisons de trunk de commutation. Vous allez essayer
plusieurs façons différentes d'implémenter les liens EtherChannel afin d'évaluer lequel est le
meilleur pour l'entreprise. Vous allez créer la topologie, configurer les ports de jonction et
implémenter LACP et PAGP EtherChannels.
Implémenter EtherChannel
6.4.2
Travaux pratiques - Implémenter

EtherChannel
Au cours de ces travaux pratiques, vous aborderez les points suivants :

 Partie 2: Création du VLAN et attribution des ports de commutateur
 Partie 3: Configurer les trunks 802.1Q entre les commutateurs
 Partie 4: Mettre en œuvre et vérifier un EtherChannel entre les commutateurs
6.4.3

EtherChannel Operation
Pour augmenter la bande passante ou la redondance, plusieurs liaisons peuvent être

connectées entre les périphériques. STP bloquera les liaisons redondantes pour éviter les
boucles de commutation. EtherChannel est une technologie d'agrégation de liens qui permet
des liaisons redondantes entre les périphériques qui ne seront pas bloqués par STP.
EtherChannel est une technologie d'agrégation de liens qui regroupe plusieurs liaisons
Ethernet physiques en un seul lien logique. Il offre une tolérance aux pannes, un partage de
charge, une bande passante accrue et une redondance entre les commutateurs, les routeurs et
les serveurs. Quand un EtherChannel est configuré, l'interface virtuelle résultante est appelée
un canal de port. EtherChannel présente plusieurs avantages, ainsi que certaines restrictions à
la mise en œuvre. Des EtherChannel peuvent être formés par négociation en utilisant l'un des
deux protocoles, PAgP ou LACP. Ces protocoles permettent à des ports ayant des
caractéristiques similaires de former un canal grâce à une négociation dynamique avec les
commutateurs attenants. Lorsqu'une liaison EtherChannel est configurée en utilisant le PAgP
propriétaire de Cisco, les paquets PAgP sont envoyés entre les ports compatibles
EtherChannel pour négocier la formation d'un canal. Les modes PAgP sont On, PAgP
desirable et PAgP auto. Il assure une fonction semblable à celle de PAgP avec Cisco
EtherChannel. LACP étant une norme IEEE, il peut être utilisé pour faciliter les EtherChannel
dans des environnements multifournisseurs. Les modes pour LACP sont On, LACP active et
LACP passive.
Configure EtherChannel
Les instructions et restrictions suivantes sont utiles pour la configuration d'EtherChannel :
 EtherChannel support -Toutes les interfaces Ethernet de tous les modules doivent prendre en charge
EtherChannel, sans qu'il soit nécessaire que les interfaces soient physiquement contiguës ou sur le
même module.
 Speed and duplex -Configurer toutes les interfaces d'un EtherChannel pour qu'elles fonctionnent à la
même vitesse et dans le même mode duplex.
 VLAN match - Toutes les interfaces du paquet EtherChannel doivent être affectées au même VLAN
ou être configurées comme un tronc.
 Range of VLANs - Un EtherChannel supporte la même gamme autorisée de VLAN sur toutes les
interfaces d'un EtherChannel de trunking.
La configuration d'EtherChannel avec LACP nécessite trois étapes :
Étape 1. Spécifiez les interfaces qui composent le groupe EtherChannel en utilisant la

commande de mode de configuration globale de la gamme d'interfaces.
Étape 2. Créez l'interface de canal de port à l'aide de la commande active channel group
identificateur mode en mode de configuration de plage d'interface.
Étape 3. Pour modifier les paramètres de la couche 2 de l'interface de canal de port, entrez
dans le mode de configuration de l'interface de canal de port en utilisant la commande
interface port-canal, suivie de l'identifiant de l'interface.
Verify and Troubleshoot EtherChannel.
Il existe un certain nombre de commandes pour vérifier une configuration EtherChannel,

notamment show interfaces port-channel, show etherchannel summary, show
etherchannel port-channel, et show interfaces etherchannel. Les problèmes courants
d'EtherChannel sont les suivants:
Attribuez tous les ports du EtherChannel au même VLAN, ou configurez-les en tant que
trunks. Des ports avec des VLAN natifs différents ne peuvent pas former un EtherChannel.
 Trunking a été configuré sur certains des ports qui composent l'EtherChannel, mais pas tous.
 Si la plage autorisée de VLAN n'est pas la même, les ports ne forment pas un EtherChannel même
lorsque le PAgP est réglé sur le mode auto ou désirable.
 Les options de négociation dynamique pour PAgP et LACP doivent être configurées pour être
compatibles aux deux extrémités d'EtherChannel.
6.4.4
Module Questionnaire - Etherchannel

1.
Une liaison EtherChannel utilisant LACP a été formée entre deux commutateurs, S1 et S2. Lors
de la vérification de la configuration, quelle combinaison de modes pourrait être utilisée sur les
deux commutateurs?
S1 passive et S2 active
S1-on et S2-passive
S1-on et S2-active
S1 passive et S2 passive
2. Lorsqu'une gamme de ports est configurée pour EtherChannel, quel mode configurera le PAgP
de manière à ce qu'il lance la négociation EtherChannel ?
automatique
passif
actif
desirable
3. Quels trois paramètres d'interface doivent correspondre pour qu'un EtherChannel se forme?
(Choisissez trois propositions.)
Mode PortFast
mode de trunking
VLAN natif
VLANs autorisés
mode EtherChannel
état Spanning Tree

4. Quels sont les trois avantages de l'utilisation de la technologie EtherChannel? (Choisissez trois
propositions.)
L'équilibrage de charge n'est pas nécessaire avec EtherChannel.
Le protocole Spanning Tree arrête les interfaces inutilisées dans le bundle pour éviter les
boucles.
Il n'est pas nécessaire de mettre à niveau les liens vers des connexions plus rapides pour
augmenter la bande passante.
Un recalcul de spanning tree n'est pas nécessaire lorsqu'une liaison unique dans le canal tombe
en panne.
La plupart des tâches de configuration peuvent être réalisées sur l'interface EtherChannel plutôt
que sur chaque port.
EtherChannel utilise plusieurs liens logiques pour fournir une redondance.

5. Un administrateur réseau configure une liaison EtherChannel entre deux ports physiques d'un
commutateur. Quelle instruction décrit le résultat lorsque l'un des ports physiques échoue ?
La liaison EtherChannel échoue.
Un recalcul STP est nécessaire.

L'EtherChannel continue à transmettre des données avec une bande passante réduite.
EtherChannel cesse de transmettre des données jusqu'à ce qu'elles soient redémarrées.

6. Lorsque EtherChannel est implémenté, plusieurs interfaces physiques sont regroupées dans quel
type de connexion logique ?
canal de port
boucle avec retour
Interface VLAN
gamme d'interfaces
7. Lorsqu'une plage de ports est configurée pour EtherChannel à l'aide de PAgP, quel mode
formera le canal groupé uniquement si le port reçoit des paquets PAgP d'un autre périphérique?
automatique
desirable
passif
actif
8. Quelles sont les deux méthodes d'équilibrage de charge qui peuvent être implémentées avec la
technologie EtherChannel ? (Choisissez deux propositions.)
MAC de destination vers l'adresse IP de destination
MAC de destination vers MAC source

destination IP, source IP
Les adresses MAC de la source et de la destination
adresse IP de destination vers MAC de destination
source IP, destination IP

9. Quelle fonction est fournie par EtherChannel ?
création d'une liaison logique à l'aide de plusieurs liaisons physiques entre deux commutateurs
LAN
permettant au trafic provenant de plusieurs VLAN de circuler sur une seule liaison de couche 2
la division de la bande passante d'un lien unique en tranches horaires distinctes
la répartition du trafic sur de multiples liens physiques WAN

10. Quelle déclaration est vraie sur la technologie EtherChannel?
STP ne s'exécute pas sur les liaisons EtherChannel redondantes.
EtherChannel utilise les ports de commutation existants.
Toutes les tâches de configuration doivent être effectuées sur les ports individuels de la liaison
EtherChannel.
Les liens doivent être mis à niveau pour prendre en charge EtherChannel.
11. Quelles combinaisons de modes donneraient lieu à la négociation réussie d'un EtherChannel ?
desirable; active
active; passive
passive; auto
active; on
auto;auto
desirable; desirable
12. Quels sont les deux protocoles d'agrégation de liens ? (Choisissez deux propositions.)
RSTP
PAgP
802.3ad
STP
EtherChannel
13. Lorsqu'une série de ports est configurée pour EtherChannel, quel mode configurera LACP afin
qu'il lance la négociation EtherChannel ?
automatique
passif
désirable
actif
14. Que se passera-t-il si un administrateur réseau place un port faisant partie d'un ensemble
EtherChannel dans un VLAN différent des autres ports de cet ensemble ?
Le faisceau EtherChannel restera en place si le PAgP ou le LACP est utilisé.
Le faisceau EtherChannel ne restera en place que si le LACP est utilisé.
Le faisceau EtherChannel ne restera en place que si le PAgP est utilisé.
Le faisceau EtherChannel restera en place si les ports ont été configurés sans négociation entre
les commutateurs pour former l'EtherChannel.
L'EtherChannel va échouer.
15. Lorsqu'une série de ports est configurée pour EtherChannel, quel mode permettra de configurer
LACP sur un port uniquement si celui-ci reçoit des paquets LACP d'un autre appareil ?
désirable
actif
passif
automatique
Introduction
7.0.1
Bienvenue à DHCPv4 !
Le protocole DHCP (Dynamic Host Configuration Protocol) attribue dynamiquement des

adresses IP aux périphériques. DHCPv4 est pour un réseau IPv4. (Ne vous inquiétez pas, vous
apprendrez plus sur DHCPv6 dans un autre module.) Cela signifie que vous, administrateur
réseau, n'avez pas à passer votre journée à configurer les adresses IP pour chaque appareil de
votre réseau. Dans une petite maison ou au bureau, ce ne serait pas très difficile, mais tout
grand réseau pourrait avoir des centaines, voire des milliers d'appareils.
Dans ce module, vous apprendrez comment configurer un routeur Cisco IOS pour être un
serveur DHCPv4. Ensuite, vous apprendrez comment configurer un routeur Cisco IOS en tant
que client. Ce module comprend quelques Vérificateurs de syntaxe et une activité Packet
Tracer pour vous aider à tester vos nouvelles connaissances. Les compétences de
configuration de DHCPv4 réduiront considérablement votre charge de travail, et qui ne veut
pas cela?
7.0.2

module?
Titre du module: DHCPv4
Objectif du module: Mettre en œuvre le DHCPv4 pour opérer sur plusieurs réseaux locaux.
Légende du tableau
Expliquer comment le DHCPv4 fonctionne dans une

Concepts DHCPv4
petite ou moyenne entreprise.
Configurer un serveur Cisco IOS DHCPv4 Configurer un routeur en tant que serveur DHCPv4.
Configurer un client DHCPv4 Configurer un routeur en tant que client DHCPv4.
6.4

7.1
Concepts DHCPv4
Concepts DHCPv4
7.1.1
Serveur et client DHCPv4

Le protocole DHCPv4 (Dynamic Host Configuration Protocol v4) attribue de manière dynamique
les adresses IPv4 et d'autres informations de configuration du réseau. Comme les ordinateurs de
bureau clients constituent la majorité des nœuds du réseau, le protocole DHCPv4 offre un gain
de temps extrêmement précieux aux administrateurs réseau.
Un serveur DHCPv4 dédié est évolutif et relativement facile à gérer. Cependant, dans une petite
succursale ou un petit bureau, un routeur Cisco peut être configuré pour fournir des services
DHCPv4 sans avoir besoin d'un serveur dédié. Le logiciel Cisco IOS prend en charge un serveur
DHCPv4 complet en option.
Le serveur DHCPv4 attribue dynamiquement, ou loue, une adresse IPv4 à partir d'un pool
d'adresses pour une période limitée choisie par le serveur, ou jusqu'à ce que le client n'ait plus
besoin de l'adresse.
Les clients louent les informations auprès du serveur pour la période définie par l’administrateur.
Les administrateurs configurent les serveurs DHCPv4 pour que les baux dépassent le délai
d'attente à différents intervalles. Le bail dure généralement entre 24 heures et une semaine voire
plus. À l'expiration du bail, le client doit demander une autre adresse, même s'il obtient
généralement la même.
Serveur DHCPv4 connecté à un commutateur connecté à un client DHCPv4 ; à la première

étape, le client DHCPv4 envoie un message ; à la deuxième étape, le serveur DHCPv6 répond
avec un message
12
Serveur DHCPv4Client DHCPv4
1. Le processus de location DHCPv4 commence par l'envoi par le client d'un message demandant
les services d'un serveur DHCP.
2. Si un serveur DHCPv4 reçoit le message, il répondra avec une adresse IPv4 et éventuellement
d'autres informations sur la configuration du réseau.
7.1.2
Fonctionnement du DHCPv4
DHCPv4 fonctionne en mode client/serveur. Lorsqu'un client communique avec un serveur
DHCPv4, le serveur attribue ou loue une adresse IPv4 à ce client. Le client se connecte au
réseau avec cette adresse IPv4 louée jusqu'à l'expiration du bail. Le client doit régulièrement
contacter le serveur DHCP pour renouveler le bail. Ce mécanisme de location garantit que les
clients qui déménagent ou qui s'éteignent ne conservent pas les adresses dont ils n'ont plus
besoin. Lorsqu'un bail expire, le serveur DHCP renvoie l'adresse au pool où elle peut être
réattribuée selon les besoins.
7.1.3
Étapes à suivre pour obtenir un bail

Lorsque le client démarre (ou souhaite se connecter à un réseau), il lance un processus en
quatre étapes visant à obtenir un bail.
1. Détection DHCP (DHCPDISCOVER)

2. Offre DHCP (DHCPOFFER)
3. Requête DHCP (DHCPREQUEST)
4. Accusé de réception DHCP (DHCPACK)
Cliquez sur chaque bouton pour connaître le processus en quatre étapes pour obtenir un bail
DHCP.
Étape 1. Découverte DHCP
Étape 2. Offre DHCP
Étape 3. Requête DHCP
Étape 4. Accusé de réception DHCP
Étape 1. Découverte DHCP (DHCPDISCOVER)
Le client lance le processus en utilisant un message DHCPDISCOVER diffusé avec sa propre

adresse MAC pour découvrir les serveurs DHCPv4 disponibles. Étant donné que le client ne
dispose d'aucune information IPv4 valide au démarrage, il utilise des adresses de diffusion de
couches 2 et 3 pour communiquer avec le serveur. Le but du message DHCPDISCOVER est de
trouver les serveurs DHCPv4 sur le réseau.
l'étape 1 du processus DHCPv4 commence par un message de diffusion DHCPDISCOVER du

client DHCPv4 vers un serveur DHCPv6 qui dit, en substance, que je voudrais demander une
adresse
1
Diffusion
DHCPREQUEST« Je voudrais demander une adresse. »Serveur DHCPv4Client DHCPv4
7.1.4
Étapes à suivre pour renouveler un bail

Avant l'expiration du bail, le client commence un processus en deux étapes pour renouveler le
bail avec le serveur DHCPv4, comme illustré dans la figure :
1. Requête DHCP (DHCPREQUEST)
Avant l'expiration du bail, le client envoie un message DHCPREQUEST directement au serveur

DHCPv4 qui a offert l'adresse IPv4 à l'origine. S'il ne reçoit aucun message DHCPACK dans un
certain délai, le client diffuse un autre message DHCPREQUEST afin qu'un des autres serveurs
DHCPv4 puisse renouveler le bail.
2. Accusé de réception DHCP (DHCPACK)

À la réception du message DHCPREQUEST, le serveur vérifie les informations relatives au bail
en renvoyant un DHCPACK.
Remarque: Ces messages (principalement le DHCPOFFER et le DHCPACK) peuvent être

envoyés en unicast ou diffusés selon la norme IETF RFC 2131.
Le diagramme montre le processus en deux étapes et l'échange de messages entre un client

DHCPv4 et un serveur DHCPv4 lorsque le client souhaite renouveler un bail. Au cours de la
première étape, le client envoie un message de monodiffusion DCHPREQUEST au serveur
disant, en substance, que je souhaite renouveler mon bail. À l'étape 2, le serveur répond avec un
message DHCPACK unicast indiquant, en substance, votre demande est confirmée.
12
« Nous avons pris connaissance de votre demande. »Monodiffusion
DHCPACK
Monodiffusion
DHCPREQUEST« Je voudrais renouveler mon bail. »Serveur DHCPv4Client DHCPv4
7.1.5
Vérifiez votre compréhension - Concepts

DHCPv4
Vérifiez votre compréhension des concepts du DHCPv4 en choisissant la MEILLEURE réponse
aux questions suivantes.
1. Quel message est envoyé par un client DHCPv4 pour lancer le processus d'obtention du bail ?
DHCPDISCOVER
DCHPOFFER
DHCPREQUEST
DHCPACK
2. Quels sont les deux messages DHCPv4 envoyés par le serveur dans le processus d'obtention du
bail ? (Choisissez deux propositions.)
DHCPDISCOVER
DCHPOFFER
DHCPREQUEST
DHCPACK
3. Quels sont les deux messages DHCPv4 utilisés dans le processus de renouvellement du bail ?
DHCPDISCOVER
DCHPOFFER
DHCPREQUEST
DHCPACK
7.0
Introduction
7.2
Configure
Configurer un serveur Cisco IOS

DHCPv4
7.2.1
Serveur Cisco IOS DHCPv4

Maintenant, vous avez une compréhension de base du fonctionnement de DHCPv4 et
comment cela peut rendre votre travail un peu plus facile. Si vous n'avez pas de serveur
DHCPv4 séparé, cette rubrique vous montrera comment configurer un routeur Cisco IOS pour
agir comme un. Le logiciel Cisco IOS du routeur Cisco peut être configuré en tant que serveur
DHCPv4. Le serveur DHCPv4 Cisco IOS attribue et gère les adresses IPv4 depuis les pools
d'adresses spécifiés dans le routeur jusqu'aux clients DHCPv4.
La topologie du réseau montre un routeur, fonctionnant en tant que serveur DHCPv4,
connectant deux réseaux locaux ensemble. Sur la gauche est le réseau 192.168.10.0/24
composé d'hôte PC1 connecté au commutateur S1 connecté au routeur R1 à G0/0/0 avec une
adresse de .1. Sur la droite se trouve le réseau 192.168.11.0/24 composé d'hôte PC2 et d'un
serveur DNS à l'adresse 192.168.11.6/24 connecté au commutateur S2 qui est connecté à R1 à
G0/0/1 avec une adresse de .1.
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1
Serveur DNS 192.168.11.5/24Serveur DHCPv4
7.2.2
Étapes pour configurer un serveur Cisco IOS

DHCPv4
Suivez les étapes suivantes pour configurer un serveur DHCPv4 Cisco IOS :
Étape 1. Exclusion d'adresses IPv4

Étape 2. Définissez un nom de pool DHCPv4.
Étape 3. Configurez le pool DHCPv4.
Étape 1. Exclure les adresses IPv4
Le routeur agissant en tant que serveur DHCPv4 attribue toutes les adresses IPv4 dans un pool
d'adresses DHCPv4 sauf s'il est configuré pour exclure certaines adresses. En général,
certaines adresses IPv4 d'un pool sont attribuées aux périphériques réseau nécessitant des
adresses statiques. Par conséquent, ces adresses IPv4 ne doivent pas être attribuées à d'autres
périphériques. La syntaxe de commande pour exclure les adresses IPv4 est la suivante :
Router(config)# ip dhcp excluded-address low-address [high-address]
Vous pouvez exclure une adresse ou une plage d'adresses en indiquant la première et la
dernière adresse de la plage. Les adresses exclues doivent inclure les adresses attribuées aux
routeurs, aux serveurs, aux imprimantes et aux autres périphériques qui ont été ou seront
configurés manuellement. Vous pouvez également saisir la commande plusieurs fois.
Étape 2. Définir un nom de pool DHCPv4
Lorsque vous configurez un serveur DHCPv4, vous devez définir un pool d'adresses à
attribuer.
Comme le montre l'exemple, la commande ip dhcp pool pool-name crée un pool avec le nom
spécifié et met le routeur en mode de configuration DHCPv4, qui est identifié par l'invite
Router(dhcp-config)#.
La syntaxe de commande pour définir le pool est la suivante :

Router(config)# ip dhcp pool pool-name
Router(dhcp-config)#
Étape 3. Configurer le pool DHCPv4
Le tableau énumère les tâches à effectuer pour compléter la configuration du pool DHCPv4.
Le pool d'adresses et le routeur servant de passerelle par défaut doivent être configurés.
Utilisez la déclaration network pour définir l'éventail des adresses disponibles. Utilisez la
commande default-router pour définir le routeur de passerelle par défaut. Généralement, la
passerelle est l'interface de réseau local du routeur le plus proche des périphériques client.
Vous devez indiquer au moins une passerelle, mais vous pouvez spécifier jusqu'à huit
adresses s'il en existe plusieurs.
Les autres commandes relatives au pool DHCPv4 sont facultatives. Par exemple, l'adresse
IPv4 du serveur DNS qui est disponible pour un client DHCPv4 est configurée à l'aide de la
commande dns-server. La commande domain-name est utilisée pour définir le nom de
domaine. La durée du bail DHCPv4 peut être modifiée à l'aide de la commande lease. La
durée par défaut du bail s'élève à un jour. La commande netbios-name-server est utilisée
pour définir le serveur NetBIOS WINS.
TaskIOS CommandDefine the address pool.network network-number [mask | /prefix-length]Define

the default router or gateway.default-routeraddress [address2….address8]Define a DNS server.dns-
server address [address2…address8]Define the domain name.domain-namedomainDefine the
duration of the DHCP lease.lease {days[hours[minutes]] | infinite} Define the NetBIOS WINS
server.netbios-name-server address [adresse2... adresse8]
Tâche Commande IOS
network network-
Définir le pool d'adresses number [mask | /
prefix-length]
default-router
Définir le routeur ou la passerelle par défaut address [
address2….address8]
dns-server address
Définir un serveur DNS [
address2…address8]
Définir le nom de domaine domain-name domain
lease {days [hours

Définir la durée du bail DHCP [ minutes]] |
infinite}
netbios-name-server
Définir le serveur WINS NetBIOS address [
address2…address8]
Remarque: Microsoft recommande de ne pas déployer WINS, de configurer DNS pour la
résolution de noms Windows et de désaffecter WINS.
7.2.3
Exemple de configuration
La topologie de l'exemple de configuration est illustrée dans la figure.

connectant deux réseaux locaux ensemble. Sur la gauche est le réseau 192.168.10.0/24
composé d'hôte PC1 connecté au commutateur S1 connecté au routeur R1 à G0/0/0 avec une
adresse de .1. Sur la droite se trouve le réseau 192.168.11.0/24 composé d'hôte PC2 et d'un
serveur DNS à l'adresse 192.168.11.5/24 connecté au commutateur S2 qui est connecté à R1 à
G0/0/1 avec une adresse de .1.
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1192.168.11.5/24
Serveur DNSServeur DHCPv4
L'exemple montre la configuration pour faire de R1 un serveur DHCPv4 pour le LAN

192.168.10.0/24.
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9
R1(config)# ip dhcp excluded-address 192.168.10.254
R1(config)# ip dhcp pool LAN-POOL-1
R1(dhcp-config)# network 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 192.168.11.5
R1(dhcp-config)# domain-name example.com
R1(dhcp-config)# end
R1#
7.2.4
Commandes de vérification DHCPv4
Utilisez les commandes du tableau pour vérifier que le serveur Cisco IOS DHCPv4 est
opérationnel.
CommandDescriptionshow running-config | section dhcpDisplays the DHCPv4 commands configured

on the router.show ip dhcp bindingDisplays a list of all IPv4 address to MAC address bindings
provided by the DHCPv4 service.show ip dhcp server statisticsDisplays count information regarding
the numberof DHCPv4 messages that have been sent and received.
Commande Description
Affiche les commandes DHCPv4 configurées sur le

show running-config | section dhcp routeur.
Affiche une liste de toutes les liaisons d'adresses

show ip dhcp binding IPv4 vers MAC fournies par le service DHCPv4.
Cette commande permet d'afficher le nombre de

show ip dhcp server statistics messages DHCPv4 envoyés et reçus.
7.2.5
Vérifier que DHCPv4 est opérationnel

La topologie illustrée dans la figure est utilisée dans l'exemple de sortie. Dans cet exemple,
R1 a été configuré pour fournir les services DHCPv4. PC1 n'a pas été mis sous tension ; il n'a
donc pas d'adresse IP.

connectant deux réseaux locaux ensemble. Sur la gauche se trouve le réseau 192.168.10.0/24
composé de l'hôte PC1 connecté au commutateur S1 qui est connecté au routeur R1 à G0/0/0
avec une adresse de .1. Sur la droite se trouve le réseau 192.168.11.0/24 composé d'hôte PC2
et d'un serveur DNS à l'adresse 192.168.11.6/24 connecté au commutateur S2 qui est connecté
à R1 à G0/0/1 avec une adresse de .1.
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1192.168.11.5/24
Serveur DNSServeur DHCPv4
La sortie des commandes suivantes suppose que PC1 a reçu ses informations d'adressage IPv4
du serveur DHCPv4. Vous devrez peut-être entrer ipconfig /renew sur un PC Windows pour
le forcer à envoyer un message DHCPDISCOVER. Cliquez sur chaque bouton pour voir la
sortie de la commande vérifiant que DHCPv4 est opérationnel.
Vérifier la configuration DHCPv4
Vérifiez les liaisons DHCPv4.
Vérifier les statistiques DHCPv4
Vérifier l'adressage IPv4 reçu par le client DHCPv4
Vérifier la configuration DHCPv4
Comme le montre l'exemple, la sortie de commande show running-config | section

dhcp affiche les commandes DHCPv4 configurées sur R1. Le paramètre | section n'affiche
que les commandes associées à la configuration DHCPv4.
R1# show running-config | section dhcp
ip dhcp excluded-address 192.168.10.1 192.168.10.9
ip dhcp excluded-address 192.168.10.254
ip dhcp pool LAN-POOL-1
network 192.168.1.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.11.5
domain-name example.com
7.2.6
Vérificateur de syntaxe - Configurer DHCPv4

Dans cette activité Vérificateur de syntaxe, vous allez configurer R1 comme serveur DHCPv4
pour le réseau 192.168.11.0/24.

connectant deux réseaux locaux ensemble. Sur la gauche se trouve le réseau 192.168.10.0/24
composé de l'hôte PC1 connecté au commutateur S1 qui est connecté au routeur R1 à G0/0/0
avec une adresse de .1. Sur la droite se trouve le réseau 192.168.11.0/24 composé d'hôte PC2
et d'un serveur DNS à l'adresse 192.168.11.6/24 connecté au commutateur S2 qui est connecté
à R1 à G0/0/1 avec une adresse de .1.
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1
Serveur DNS 192.168.11.6/24Serveur DHCPv4
Excluez les adresses suivantes de la plage d'adresses 192.168.11.0/24 :
 Exclure l'adresse .1 à l'adresse .9.

 Exclure l'adresse .254.
R1(config)#
7.2.7
Désactiver le serveur Cisco IOS DHCPv4

Le service DHCPv4 est activé par défaut. Pour désactiver le service, utilisez la commande no
service dhcp du mode de configuration globale. Utilisez la commande service dhcp du mode
de configuration global pour réactiver le processus du serveur DHCPv4, comme indiqué dans
l'exemple. L'activation du service n'a aucun effet si les paramètres ne sont pas configurés.
Remarque: L'effacement des liaisons DHCP ou l'arrêt et le redémarrage du service DHCP

peuvent entraîner l'attribution temporaire d'adresses IP doubles sur le réseau.
R1(config)# no service dhcp
R1(config)# service dhcp
R1(config)#
7.2.8
DHCPv4 Relay
Dans un réseau hiérarchique complexe, les serveurs d'entreprise sont généralement situés au
niveau central. Ces serveurs peuvent fournir au réseau des services DHCP, DNS, TFTP et
FTP. Les clients du réseau ne sont généralement pas sur le même sous-réseau que ces
serveurs. Afin de localiser les serveurs et de bénéficier des services, les clients utilisent
souvent des messages de diffusion.
Dans la figure, PC1 tente d'acquérir une adresse IPv4 à partir d'un serveur DHCPv4 en
utilisant un message de diffusion. Dans ce scénario, le routeur R1 n'est pas configuré en tant
que serveur DHCPv4 et ne transmet pas la diffusion. Étant donné que le serveur DHCPv4 se
trouve sur un autre réseau, PC1 ne peut pas recevoir d'adresse IP via DHCP. R1 doit être
configuré pour relayer les messages DHCPv4 au serveur DHCPv4.
La topologie réseau montre un routeur qui connecte deux réseaux locaux ensemble. Sur la
gauche se trouve le réseau 192.168.10.0/24 composé de l'hôte PC1 connecté au commutateur
S1 qui est connecté au routeur R1 à G0/0/0 avec une adresse de .1. Le texte sous le PC1 se lit ;
recherche d'un serveur DHCPv4. Le texte sous le routeur se lit ; je ne peux pas faire
transmettre les diffusions entre les réseaux. Sur la droite se trouve le réseau 192.168.11.0/24
composé d'hôte PC2, d'un serveur DNS à l'adresse 192.168.11.5/24 et d'un serveur DHCPv4 à
l'adresse 192.168.11.6/24 tous connectés au commutateur S2 qui est connecté à R1 à G0/0/1
avec une adresse de .1.
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1
Serveur DHCPv4 192.168.11.6/24Serveur DNS 192.168.11.5/24 Vous recherchez un serveur DHCPv4.Je ne peux pas
transmettre les émissions entre les réseaux.
Dans ce scénario, un administrateur réseau tente de renouveler les informations d'adressage

IPv4 pour PC1. Cliquez sur chaque bouton pour afficher la sortie de la commande lorsque
l'administrateur réseau résout ce problème.
ipconfig /release
ipconfig /renew
ip helper-address
show ip interface
ipconfig /all
ipconfig /release
Le PC1 est un ordinateur Windows. L'administrateur réseau libère toutes les informations
d'adressage actuelles à l'aide de la commande ipconfig /release. Remarquez que l'adresse
IPv4 est publiée et qu'aucune adresse n'est indiquée.
C:\Users\Student> ipconfig /release
Configuration IP Windows
Default Gateway . . . . . . . . . :
7.2.9
Autres émissions de service relayées

DHCPv4 n'est pas le seul service que le routeur peut relayer suite à une configuration
spécifique. Par défaut, la commande ip helper-address transmet les huit services UDP
suivants :
 Port 37: Délai

 Port 49: TACACS
 Port 53: DNS
 Port 67: serveur DHCP/BOOTP
 Port 68: client DHCP/BOOTP
 Port 69: TFTP
 Port 137: Service de nom NetBIOS
 Port 138: Service de datagramme NetBIOS.
7.2.10
Packet Tracer - Configurer DHCPv4

 Partie 1: Configuration d'un routeur en tant que serveur DHCP

 Partie 2: Configuration du relais DHCP
 Partie 3: Configuration d'un routeur en tant que client DHCP
 Partie 4: Vérification de DHCP et de la connectivité
Implémentation de DHCPv4
7.1
Concepts DHCPv4
7.3
Configurer un client DHCPv4

7.3.1
Routeur Cisco en tant que client DHCPv4

Il existe des scénarios dans lesquels vous pourriez avoir accès à un serveur DHCP via votre
fournisseur de services Internet. Dans ces cas, vous pouvez configurer un routeur Cisco IOS
en tant que client DHCPv4. Cette rubrique vous guide dans ce processus.
Parfois, les routeurs Cisco installés dans des petites structures, des bureaux à domicile
(SOHO) et des filiales doivent être configurés en tant que clients DHCPv4 de la même façon
que les ordinateurs clients. La méthode utilisée dépend de l'ISP. Cependant, dans le cas de la
configuration la plus simple, l'interface Ethernet est utilisée pour établir la connexion à un
modem câble ou DSL.
Pour configurer une interface Ethernet en tant que client DHCP, utilisez la commande ip
address dhcp de mode de configuration de l'interface.
Dans la figure, supposons qu'un ISP ait été configuré pour fournir à certains clients des
adresses IP de la gamme de réseaux 209.165.201.0/27 après que l'interface G0/0/1 ait été
configurée avec la commande ip address dhcp.
un routeur configuré comme client DHCPv4 est connecté via G0/0/1 à un modem câble ou
DSL qui est ensuite connecté au cloud qui est ensuite connecté à un routeur ISP fonctionnant
comme serveur DHCPv4
G0/0/1SOHOISP
Client DHCPv4
Modem câble ou DSLServeur DHCPv4
7.3.2
Exemple de configuration
Pour configurer une interface Ethernet en tant que client DHCP, utilisez la commande ip
address dhcp de mode de configuration de l'interface, comme indiqué dans l'exemple. Cette
configuration suppose que le fournisseur de services Internet a été configuré pour fournir aux
clients sélectionnés des informations d'adressage IPv4.
SOHO(config)# interface G0/0/1
SOHO(config-if)# ip address dhcp
SOHO(config-if)# no shutdown
Sep 12 10:01:25.773: %DHCP-6-ADDRESS_ASSIGN: Interface
GigabitEthernet0/0/1 assigned DHCP address 209.165.201.12, mask
255.255.255.224, hostname SOHO
La commande show ip interface g0/0/1 confirme que l'interface est activée et que l'adresse a
été allouée par un serveur DHCPv4.
SOHO# show ip interface g0/0/1
Internet address is 209.165.201.12/27
Broadcast address is 255.255.255.255
Address determined by DHCP

(output omitted)
7.3.3
Routeur domestique en tant que client

DHCPv4
Les routeurs domestiques sont généralement déjà configurés pour recevoir automatiquement
les informations d'adressage IPv4 d'ISP. Cela permet aux clients de configurer facilement le
routeur et de se connecter à Internet.
Par exemple, la figure illustre la page de configuration par défaut d'un routeur sans fil Packet
Tracer. Notez que le type de connexion Internet est réglé sur Automatic Configuration -
DHCP. Cette sélection est utilisée lorsque le routeur est connecté à un DSL ou à un modem
câble et agit en tant que client DHCPv4, demandant une adresse IPv4 auprès d'ISP.
Divers fabricants de routeurs domestiques auront une configuration similaire.
7.3.4
Vérificateur de syntaxe - Configurer un

routeur Cisco comme client DHCP
Dans cette activité Vérificateur de syntaxe, vous allez configurer un routeur Cisco en tant que
client DHCP.
un routeur configuré comme client DHCPv4 est connecté via G0/0/1 à un modem câble ou
DSL qui est ensuite connecté au cloud qui est ensuite connecté à un routeur ISP fonctionnant
comme serveur DHCPv4
G0/0/1SOHOISP
Client DHCPv4Serveur DHCPv4
Modem câble ou DSL
Passer en mode de configuration d’interface Utilisez g0/0/1 comme nom d'interface.
SOHO(config)#
7.2
Configurer un serveur Cisco IOS DHCPv4

7.4

7.4.1
Packet Tracer - Implémentation de DHCPv4

En tant que technicien réseau pour votre société, vous êtes chargé de configurer un routeur
Cisco comme serveur DHCP pour fournir l'allocation dynamique des adresses aux clients sur
le réseau. Vous devez également configurer le routeur de périphérie en tant que client DHCP
de sorte qu'il reçoive une adresse IP du réseau d'ISP. Étant donné que le serveur est centralisé,
vous devez configurer les deux routeurs LAN pour relayer le trafic DHCP entre les LAN et le
routeur qui sert de serveur DHCP.
7.4.2
Travaux pratiques - Implémentation de

DHCPv4

 Partie 2: Configurer et vérifier deux serveurs DHCPv4 sur R1
 Partie 3: Configurer et vérifier un relais DHCP sur R2
Mettre en œuvre DHCPv4

7.4.3

Concepts du DHCPv4
Le serveur DHCPv4 attribue dynamiquement, ou loue, une adresse IPv4 à un client à partir
d'un pool d'adresses pour une période limitée choisie par le serveur, ou jusqu'à ce que le client
n'ait plus besoin de l'adresse. Le processus de location DHCPv4 commence par le client qui
envoie un message demandant les services d'un serveur DHCP. S'il y a un serveur DHCPv4
qui reçoit le message, il répondra avec une adresse IPv4 et d'autres informations de
configuration réseau possibles. Le client doit régulièrement contacter le serveur DHCP pour
renouveler le bail. Ce mécanisme de bail permet de s'assurer que les clients qui sont déplacés
ou qui sont mis hors tension ne conservent pas des adresses dont ils n'ont plus besoin. Lorsque
le client démarre (ou souhaite rejoindre un réseau), il entame un processus en quatre étapes
pour obtenir un bail : DHCPDISCOVER, puis DHCPOFFER, puis DHCPREQUEST, et enfin
DHCPACK. Avant l'expiration du bail, le client entame un processus en deux étapes pour
renouveler le bail avec le serveur DHCPv4: DHCPREQUEST puis DHCPACK.
Configurer un serveur DHCPv4 Cisco IOS
Le logiciel Cisco IOS du routeur Cisco peut être configuré en tant que serveur DHCPv4. Pour
configurer un serveur Cisco IOS DHCPv4, procédez comme suit: excluez les adresses IPv4,
définissez un nom de pool DHCPv4 et configurez le pool DHCPv4. Vous pouvez vérifier la
configuration à l'aide les commandes show running-config | section dhcp, show ip dhcp
binding, et show ip dhcp server statistics. Le service DHCPv4 est activé par défaut. Pour
désactiver le service, utilisez la commande no service dhcp du mode de configuration
globale. Dans un réseau hiérarchique complexe, les serveurs d'entreprise sont généralement
situés au niveau central. Ces serveurs peuvent fournir au réseau des services DHCP, DNS,
TFTP et FTP. Les clients du réseau ne sont généralement pas sur le même sous-réseau que ces
serveurs. Afin de localiser les serveurs et de bénéficier des services, les clients utilisent
souvent des messages de diffusion. Un PC tente d'acquérir une adresse IPv4 à partir d'un
serveur DHCPv4 en utilisant un message de diffusion. Dans ce scénario, le routeur R1 n'est
pas configuré en tant que serveur DHCPv4 et ne transmet pas la diffusion. Étant donné que le
serveur DHCPv4 se trouve sur un autre réseau, PC1 ne peut pas recevoir d'adresse IP via
DHCP. Le routeur doit être configuré pour relayer les messages DHCPv4 au serveur
DHCPv4. L'administrateur réseau libère toutes les informations d'adressage actuelles à l'aide
de la commande ipconfig /release. Ensuite, l'administrateur réseau tente de renouveler les
informations d'adressage avec la commande ipconfig /renew. Une meilleure solution consiste
à configurer R1 avec la commande ip helper-address address interface configuration.
L'administrateur réseau peut utiliser la commande show ip interface pour vérifier la
configuration. Le PC est maintenant en mesure d'acquérir une adresse à partir du serveur
DHCPv4 comme vérifié avec la commande ipconfig /all. Par défaut, la commande ip helper-
address transmet les huit services UDP suivants :
 Port 37: Délai

 Port 49: TACACS
 Port 53:DNS
 Port 67: serveur DHCP/BOOTP
 Port 68: client DHCP/BOOTP
 Port 69: TFTP
 Port 137: Service de nom NetBIOS
 Port 138: Service de datagramme NetBIOS.
L'interface Ethernet est utilisée pour se connecter à un modem câble ou DSL. Pour configurer
une interface Ethernet en tant que client DHCP, utilisez la commande ip address dhcp
interface de mode de configuration de l'interface. Les routeurs domestiques sont
généralement déjà configurés pour recevoir automatiquement les informations d'adressage
IPv4 d'ISP. Vérifiez que le type de connexion Internet est défini sur Configuration
automatique - DHCP. Cette sélection est utilisée lorsque le routeur est connecté à un DSL ou
à un modem câble et agit en tant que client DHCPv4, demandant une adresse IPv4 auprès du
FAI.
7.4.4
Module Questionnaire - DHCPv4

1.
Un PC client compatible DHCP vient de démarrer. Au cours de quelles deux étapes le PC
client utilisera-t-il des messages de diffusion lors de la communication avec un serveur
DHCP ? (Choisissez deux propositions.)
DHCPNAK
DHCPREQUEST
DHCPOFFER
DHCPACK
DHCPDISCOVER
2. Un administrateur émet les commandes:
Router(config)# interface g0/1

Router(config-if)# ip address dhcp
Qu'est-ce que l'administrateur essaie de réaliser ?
configuration du routeur pour résoudre les conflits d'adresses IP

configuration d'un routeur en tant qu'agent de relais DHCPv6
configuration du routeur pour agir en tant que serveur DHCPv4
configuration du routeur pour obtenir des paramètres IP à partir d'un serveur DHCPv4
3. Lorsqu'un client demande un bail d'adresse initial à un serveur DHCP, pourquoi le message
DHCPPREQUEST est-il envoyé en tant que diffusion ?
Le client peut avoir reçu des offres de plusieurs serveurs, et la diffusion sert à refuser
implicitement ces autres offres.
Le client n'a pas encore d'adresse MAC assignée, de sorte qu'il ne peut pas envoyer de
message monodiffusion au niveau de la couche 2.
Le serveur DHCP peut être sur un sous-réseau différent, donc la demande doit être envoyée
en tant que diffusion.
Le client ne connaît pas encore l'adresse IP du serveur DHCP qui a envoyé l'offre.
4. Quel message DHCP IPv4 contient les informations suivantes ?
Adresse de destination : 255.255.255.255

Adresse IPv4 du client : 0.0.0.0
Adresse de passerelle par défaut : 0.0.0.0
Masque de sous-réseau : 0.0.0.0
DHCPREQUEST
DHCPDISCOVER
DHCPOFFER
DHCPACK
5. Quel type de message est envoyé par un client DHCPv4 demandant une adresse IP ?
Message de diffusion DHCPDISCOVER
Message de monodiffusion DHCPDISCOVER
Message de monodiffusion DHCPACK
Message de monodiffusion DHCPOFFER

6. Lorsque le bail d'un client DHCPv4 arrive à expiration, quel est le message que le client
envoie au serveur DHCP ?
DHCPREQUEST
DHCPDISCOVER
DHCPACK
DHCPOFFER
7. Quelle est l'adresse IP de destination lorsqu'un hôte IPv4 envoie un message
DHCPDISCOVER ?
255.255.255.255
224.0.0.1
0.0.0.0
192.168.1.1
8. Si plusieurs serveurs DHCP sont disponibles sur le réseau local, dans quel ordre les messages
DHCP seront-ils envoyés entre un hôte et un serveur DHCP ?
accusé de réception, demande, offre, découverte
découvrir, offrir, demander, accusé de réception
demande, accusé de réception, découverte, offre
demande, découverte, offre, accusé de réception

9. Quel est le scénario le plus probable dans lequel l'interface WAN d'un routeur serait
configurée en tant que client DHCP pour recevoir une adresse IP dynamique d'un ISP ?
Configuration d'un routeur en tant que serveur DHCP
Il s'agit d'un routeur à large bande SOHO ou domestique.
Il y a un serveur Web pour l'accès public sur le réseau local qui est attaché au routeur.
Le routeur est également la passerelle d'un réseau local.

10. Quelle est la méthode d'allocation d'adresses DHCPv4 qui attribue des adresses IPv4 pour une
période de location limitée ?
préallocation
allocation manuelle
allocation automatique
attribution dynamique
11. Quelle est la raison pour laquelle le message DHCPPREQUEST est envoyé en tant que
diffusion pendant le processus DHCPv4 ?
pour que les hôtes sur d'autres sous-réseaux reçoivent les informations
pour avertir les autres serveurs DHCP du sous-réseau que l'adresse IP a été louée
pour que les routeurs remplissent leurs tables de routage avec ces nouvelles informations
pour avertir les autres hôtes de ne pas demander la même adresse IP

12. Comment un message DHCPDISCOVER est-il transmis sur un réseau pour atteindre un
serveur DHCP ?
Un message DHCPDISCOVER est envoyé avec, comme adresse de destination, une

adresse IP de multidiffusion écoutée par tous les serveurs DHCP.
Un message DHCPDISCOVER est envoyé avec l'adresse IP du serveur DHCP comme

adresse de destination.
Un message DHCPDISCOVER est envoyé avec l'adresse IP de diffusion comme adresse de

destination.
Un message DHCPDISCOVER est envoyé avec l'adresse IP de la passerelle par défaut

comme adresse de destination.
13. Quelle adresse IPv4 de destination un client DHCPv4 utilise-t-il pour envoyer le paquet
Découverte DHCP initial lorsqu'il recherche un serveur DHCP ?
255.255.255.255
127.0.0.1
224.0.0.1
L'adresse IP de la passerelle par défaut

14. Dans quelles deux circonstances un routeur serait-il généralement configuré en tant que client
DHCPv4 ? (Choisissez deux propositions.)
L'administrateur a besoin du routeur pour agir en tant qu'agent de relais.
Le routeur a une adresse IP fixe.
Il s'agit d'une exigence d'ISP.
Le routeur est destiné à fournir des adresses IP aux hôtes.
Le routeur est destiné à être utilisé comme passerelle SOHO.

15. Quelle adresse un serveur DHCPv4 cible-t-il lors de l'envoi d'un message DHCPOFFER à un
client qui effectue une requête d'adresse ?
adresse MAC de diffusion
adresse IP de la passerelle
adresse matérielle du client

adresse IP du client
7.3

8.0
Introduction
Introduction
8.0.1
Bienvenue
Bienvenue à SLAAC et DHCPv6!
SLAAC et DHCPv6 sont des protocoles d'adressage dynamique pour un réseau IPv6. Donc,
un peu de configuration facilitera votre journée en tant qu'administrateur réseau. Dans ce
module, vous apprendrez comment utiliser SLAAC pour permettre aux hôtes de créer leur
propre adresse de monodiffusion globale IPv6, ainsi que configurer un routeur Cisco IOS
pour être un serveur DHCPv6, un client DHCPv6 ou un agent de relais DHCPv6. Ce module
comprend un travail pratique où vous allez configurer DHCPv6 sur du vrai équipement!
8.0.2

module?
Titre du module: SLAAC et DHCPv6
Objectif du module: Configurez l'allocation dynamique d'adresses dans les réseaux IPv6.
Légende du tableau
Attribution d'adresse globale de monodiffusion Expliquez comment un hôte IPv6 peut acquérir sa
IPv6 configuration IPv6.
SLAAC Expliquer le fonctionnement du SLAAC.

Légende du tableau
DHCPv6 Expliquer le fonctionnement de DHCPv6.
Configurer le serveur DHCPv6 Configurer le serveur DHCPv6 sans état et avec état.
7.4

8.1
Attribution de GUA IPv6

8.1.1
Configuration des hôtes IPv6

Tout d'abord. Pour utiliser la configuration automatique d'adresses sans état (SLAAC) ou
DHCPv6, vous devez consulter les adresses de monodiffusion globale (GUA) et les adresses
locales de liaison (LLA). Cette rubrique couvre les deux.
Sur un routeur, une adresse de monodiffusion globale (GUA) IPv6 est configurée
manuellement à l'aide de la commande de configuration ipv6 address ipv6-address/prefix-
length interface.
Un hôte Windows peut également être configuré manuellement avec une configuration
d'adresse GUA IPv6, comme illustré dans la figure.
affiche la fenêtre des propriétés du protocole Internet Version 6 et les paramètres de l'adresse
IPv6 statique et du serveur DNS
La saisie manuelle d'un GUA IPv6 peut prendre beaucoup de temps et est quelque peu
exposée aux erreurs. Par conséquent, la plupart des hôtes Windows sont activés pour acquérir
dynamiquement une configuration GUA IPv6, comme indiqué sur la figure.
affiche la fenêtre des propriétés du protocole Internet Version 6 et les paramètres

automatiques de l'adresse IPv6 DHCP et du serveur DNS
8.1.2
Lien vers l'hôte IPv6 - Adresse locale

Lorsque l'adressage IPv6 automatique est sélectionné, l'hôte tente d'obtenir et de configurer
automatiquement les informations d'adresse IPv6 sur l'interface. L'hôte utilisera l'une des trois
méthodes définies par le message de publicité du routeur (RA) du protocole de messages de
contrôle Internet version 6 (ICMPv6) reçu sur l'interface. Un routeur IPv6 qui se trouve sur le
même lien que l'hôte envoie des messages RA qui suggèrent aux hôtes comment obtenir leurs
informations d'adressage IPv6. L'adresse lien-local IPv6 est automatiquement créée par l'hôte
lorsqu'il démarre et que l'interface Ethernet est active. L'exemple de sortie ipconfig montre
une adresse LLA (lien-local) générée automatiquement sur une interface.
Dans la figure, notez que l'interface n'a pas créé une GUA IPv6. La raison en est que, dans cet
exemple, le segment réseau n'a pas de routeur pour fournir des instructions de configuration
réseau pour l'hôte.
Remarque: Les systèmes d'exploitation hôtes affichent parfois une adresse lien-local ajoutée
avec un "%" et un nombre. Ceci est connu sous le nom d'ID de zone ou d'ID d'étendue. Il est
utilisé par le système d'exploitation pour associer le LLA à une interface spécifique.
Remarque: Le protocole DHCPv6 est défini dans la norme RFC 3315.

C:\PC1> ipconfig
IPv6 Address. . . . . . . . . . . :
Link-local IPv6 Address . . . . . : fe80::fb:1d54:839f:f595%21
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
C:\PC1>
8.1.3

IPv6 a été conçu pour simplifier la façon dont un hôte peut acquérir sa configuration IPv6. Par
défaut, un routeur compatible IPv6 annonce ses informations IPv6. Cela permet à un hôte de
créer ou d'acquérir dynamiquement sa configuration IPv6.
La GUA IPv6 peut être affectée dynamiquement à l'aide de services sans état et avec état,
comme le montre la figure.
Toutes les méthodes sans état et avec état dans ce module utilisent des messages RA ICMPv6
pour suggérer à l'hôte comment créer ou acquérir sa configuration IPv6. Bien que les
systèmes d'exploitation hôtes suivent la suggestion de RA, la décision réelle revient
finalement à l'hôte.
un diagramme en arbre inversé commence par une attribution dynamique de GUA, se divise
en deux : sans état et avec état. Sans état se divise en SLAAC et SLAAC avec serveur
DHCPv6 et avec état conduit à un serveur DHCPv6 avec état
Attribution GUA dynamiqueSans état

 Aucun périphérique ne suit l'attribution des adresses IPv6.
Avec état
 Un serveur DHCPv6 gère l'attribution des adresses IPv6.
SLAAC uniquement
 Le routeur envoie des messages RA (Router Advertisement) fournissant toutes les informations d'adressage IPv6
(c'est-à-dire le préfixe réseau, la longueur du préfixe et les informations de passerelle par défaut).
 Les hôtes utilisent les informations RA exclusivement pour toutes leurs adresses, y compris la création de leur propre
GUA.
SLAAC avec serveur DHCP
(DHCPv6 sans état)
 Les messages RA du routeur fournissent des informations de configuration IPv6 aux hôtes et les informent de contacter
un serveur DHCPv6 sans état pour obtenir des informations de configuration supplémentaires.
 Les hôtes utilisent les informations RA pour créer leur propre GUA unique et obtenir des informations supplémentaires
à partir d'un serveur DHCPv6.
Serveur DHCPv6
(DHCPv6 avec état)
 Les messages RA du routeur indiquent aux hôtes de contacter un serveur DHCPv6 avec état ou un routeur compatible
DHCPv6 pour toutes les informations de configuration IPv6, à l'exception de l'adresse de passerelle par défaut.
 Les hôtes contactent un serveur DHCPv6 pour obtenir toutes leurs informations d'adressage IPv6.
 L'hôte obtient les informations de passerelle par défaut à partir des messages RA du routeur.
8.1.4
Trois indicateurs de message RA

La décision de la façon dont un client obtiendra une GUA IPv6 dépend des paramètres du
message RA.
Un message RA ICMPv6 comprend trois indicateurs permettant d'identifier les options

dynamiques disponibles pour un hôte, comme suit:
 Indicateur A - Il s'agit de l'indicateur Address Autoconfiguration. Utilisez l'autoconfiguration des

adresses sans état (SLAAC) pour créer un GUA IPv6.
 Indicateur O - Il s'agit de l'indicateur Autre configuration. D'autres informations sont disponibles à
partir d'un serveur DHCPv6 sans état.
 Indicateur M - Il s'agit de l'indicateur de configuration des adresses gérées. Utilisez un serveur
DHCPv6 avec état pour obtenir une GUA IPv6.
En utilisant différentes combinaisons des indicateurs A, O et M, les messages RA informent

l'hôte des options dynamiques disponibles.
La figure illustre ces trois méthodes.
Le diagramme montre que R1 envoie un message RA en réponse à un RS de PC1. Les

champs d'option RA peuvent spécifier trois options différentes: SLAAC uniquement, SLAAC
sans état avec serveur DHCPv6 et serveur DHCPv6 avec état uniquement
R1PC1G0/0/1
ClientRS"N'utilisez que ce RA."Options de RA"J'ai besoin d'un RA de R1."SLAAC uniquement (par défaut)"Utilisez ce
RA et un serveur DHCPv6."DHCP sans État : SLAAC et DHCPv6"Utiliszr un serveur DHCPv6".DHCPv6 avec état:
DHCPv6 uniquementIndicateur A=1Indicateur O=0Indicateur M=0Indicateur A=1Indicateur O=1Indicateur
M=0Indicateur A=0Indicateur M=1
8.1.5
Vérifiez votre compréhension - Attribution de
GUA IPv6
Vérifiez votre compréhension des méthodes d'attribution des adresses IPv6 pour la diffusion
unique mondiale en choisissant la MEILLEURE réponse aux questions suivantes.
1. Quel type d'adresse est automatiquement créé par défaut sur une interface hôte lorsqu'aucune
RA n'est reçue?
Adresse de monodiffusion globale
Adresse de liaison locale
Adresse MAC
2. Quelle méthode décrit le mieux DHCP sans état?
SLAAC uniquement
SLAAC avec serveur DHCPv6 sans état
Serveur DHCPv6 avec état

8.0
Introduction
8.2
SLAAC

8.1.1
Configuration des hôtes IPv6

Tout d'abord. Pour utiliser la configuration automatique d'adresses sans état (SLAAC) ou
DHCPv6, vous devez consulter les adresses de monodiffusion globale (GUA) et les adresses
locales de liaison (LLA). Cette rubrique couvre les deux.
Sur un routeur, une adresse de monodiffusion globale (GUA) IPv6 est configurée
manuellement à l'aide de la commande de configuration ipv6 address ipv6-address/prefix-
length interface.
Un hôte Windows peut également être configuré manuellement avec une configuration
d'adresse GUA IPv6, comme illustré dans la figure.
affiche la fenêtre des propriétés du protocole Internet Version 6 et les paramètres de l'adresse
IPv6 statique et du serveur DNS
La saisie manuelle d'un GUA IPv6 peut prendre beaucoup de temps et est quelque peu
exposée aux erreurs. Par conséquent, la plupart des hôtes Windows sont activés pour acquérir
dynamiquement une configuration GUA IPv6, comme indiqué sur la figure.
affiche la fenêtre des propriétés du protocole Internet Version 6 et les paramètres

automatiques de l'adresse IPv6 DHCP et du serveur DNS
8.1.2
Lien vers l'hôte IPv6 - Adresse locale

Lorsque l'adressage IPv6 automatique est sélectionné, l'hôte tente d'obtenir et de configurer
automatiquement les informations d'adresse IPv6 sur l'interface. L'hôte utilisera l'une des trois
méthodes définies par le message de publicité du routeur (RA) du protocole de messages de
contrôle Internet version 6 (ICMPv6) reçu sur l'interface. Un routeur IPv6 qui se trouve sur le
même lien que l'hôte envoie des messages RA qui suggèrent aux hôtes comment obtenir leurs
informations d'adressage IPv6. L'adresse lien-local IPv6 est automatiquement créée par l'hôte
lorsqu'il démarre et que l'interface Ethernet est active. L'exemple de sortie ipconfig montre
une adresse LLA (lien-local) générée automatiquement sur une interface.
Dans la figure, notez que l'interface n'a pas créé une GUA IPv6. La raison en est que, dans cet
exemple, le segment réseau n'a pas de routeur pour fournir des instructions de configuration
réseau pour l'hôte.
Remarque: Les systèmes d'exploitation hôtes affichent parfois une adresse lien-local ajoutée
avec un "%" et un nombre. Ceci est connu sous le nom d'ID de zone ou d'ID d'étendue. Il est
utilisé par le système d'exploitation pour associer le LLA à une interface spécifique.
Remarque: Le protocole DHCPv6 est défini dans la norme RFC 3315.

C:\PC1> ipconfig
IPv6 Address. . . . . . . . . . . :
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
C:\PC1>
8.1.3

IPv6 a été conçu pour simplifier la façon dont un hôte peut acquérir sa configuration IPv6. Par
défaut, un routeur compatible IPv6 annonce ses informations IPv6. Cela permet à un hôte de
créer ou d'acquérir dynamiquement sa configuration IPv6.
La GUA IPv6 peut être affectée dynamiquement à l'aide de services sans état et avec état,
comme le montre la figure.
Toutes les méthodes sans état et avec état dans ce module utilisent des messages RA ICMPv6
pour suggérer à l'hôte comment créer ou acquérir sa configuration IPv6. Bien que les
systèmes d'exploitation hôtes suivent la suggestion de RA, la décision réelle revient
finalement à l'hôte.
un diagramme en arbre inversé commence par une attribution dynamique de GUA, se divise
en deux : sans état et avec état. Sans état se divise en SLAAC et SLAAC avec serveur
DHCPv6 et avec état conduit à un serveur DHCPv6 avec état
Attribution GUA dynamiqueSans état

 Aucun périphérique ne suit l'attribution des adresses IPv6.
Avec état
 Un serveur DHCPv6 gère l'attribution des adresses IPv6.
SLAAC uniquement
 Le routeur envoie des messages RA (Router Advertisement) fournissant toutes les informations d'adressage IPv6
(c'est-à-dire le préfixe réseau, la longueur du préfixe et les informations de passerelle par défaut).
 Les hôtes utilisent les informations RA exclusivement pour toutes leurs adresses, y compris la création de leur propre
GUA.
SLAAC avec serveur DHCP
(DHCPv6 sans état)
 Les messages RA du routeur fournissent des informations de configuration IPv6 aux hôtes et les informent de contacter
un serveur DHCPv6 sans état pour obtenir des informations de configuration supplémentaires.
 Les hôtes utilisent les informations RA pour créer leur propre GUA unique et obtenir des informations supplémentaires
à partir d'un serveur DHCPv6.
Serveur DHCPv6
(DHCPv6 avec état)
 Les messages RA du routeur indiquent aux hôtes de contacter un serveur DHCPv6 avec état ou un routeur compatible
DHCPv6 pour toutes les informations de configuration IPv6, à l'exception de l'adresse de passerelle par défaut.
 Les hôtes contactent un serveur DHCPv6 pour obtenir toutes leurs informations d'adressage IPv6.
 L'hôte obtient les informations de passerelle par défaut à partir des messages RA du routeur.
8.1.4
Trois indicateurs de message RA

La décision de la façon dont un client obtiendra une GUA IPv6 dépend des paramètres du
message RA.
Un message RA ICMPv6 comprend trois indicateurs permettant d'identifier les options

dynamiques disponibles pour un hôte, comme suit:
 Indicateur A - Il s'agit de l'indicateur Address Autoconfiguration. Utilisez l'autoconfiguration des

adresses sans état (SLAAC) pour créer un GUA IPv6.
En utilisant différentes combinaisons des indicateurs A, O et M, les messages RA informent

l'hôte des options dynamiques disponibles.
La figure illustre ces trois méthodes.
Le diagramme montre que R1 envoie un message RA en réponse à un RS de PC1. Les

champs d'option RA peuvent spécifier trois options différentes: SLAAC uniquement, SLAAC
sans état avec serveur DHCPv6 et serveur DHCPv6 avec état uniquement
R1PC1G0/0/1
ClientRS"N'utilisez que ce RA."Options de RA"J'ai besoin d'un RA de R1."SLAAC uniquement (par défaut)"Utilisez ce
RA et un serveur DHCPv6."DHCP sans État : SLAAC et DHCPv6"Utiliszr un serveur DHCPv6".DHCPv6 avec état:
DHCPv6 uniquementIndicateur A=1Indicateur O=0Indicateur M=0Indicateur A=1Indicateur O=1Indicateur
M=0Indicateur A=0Indicateur M=1
8.1.5
Vérifiez votre compréhension - Attribution de
GUA IPv6
Vérifiez votre compréhension des méthodes d'attribution des adresses IPv6 pour la diffusion
unique mondiale en choisissant la MEILLEURE réponse aux questions suivantes.
1. Quel type d'adresse est automatiquement créé par défaut sur une interface hôte lorsqu'aucune
RA n'est reçue?
Adresse de monodiffusion globale
Adresse de liaison locale
Adresse MAC
2. Quelle méthode décrit le mieux DHCP sans état?
SLAAC uniquement
SLAAC avec serveur DHCPv6 sans état
SLAAC
8.2.1
Aperçu de SLAAC
Tous les réseaux n'ont pas accès à un serveur DHCPv6. Mais chaque périphérique d'un réseau
IPv6 a besoin d'une GUA. La méthode SLAAC permet aux hôtes de créer leur propre adresse
de monodiffusion globale IPv6 unique sans les services d'un serveur DHCPv6.
SLAAC est un service sans état. Cela signifie qu'il n'y a pas de serveur qui conserve les
informations d'adresse réseau pour savoir quelles adresses IPv6 sont utilisées et lesquelles
sont disponibles.
Le SLAAC utilise les messages RA ICMPv6 pour fournir l'adressage et d'autres informations
de configuration qui seraient normalement fournies par un serveur DHCP. Un hôte configure
son adresse IPv6 en fonction des informations envoyées dans le RA. Les messages RA sont
envoyés par un routeur IPv6 toutes les 200 secondes.
Un hôte peut également envoyer un message de sollicitation du routeur (RS) demandant qu'un
routeur compatible IPv6 envoie un RA à l'hôte.
SLAAC peut être déployé en tant que SLAAC uniquement, ou SLAAC avec DHCPv6.
8.2.2
Activation de la SLAAC
Reportez-vous à la topologie suivante pour voir comment SLAAC est activé pour fournir une
allocation de GUA dynamique sans état.
montre une topologie avec un routeur connecté à un commutateur connecté à un PC hôte
PC1R1G0/0/1fe80::12001:db8:acad:1::1/642001:db8:acad:1::/64
Supposons que R1 GigabiteEthernet 0/0/1 ait été configuré avec les adresses GUA IPv6
indiquées et lien-local. Cliquez sur chaque bouton pour une explication de la façon dont R1
est activé pour SLAAC.
Vérifier les adresses IPv6
Activation du routage IPv6
Vérifier que SLAAC est activé
La sortie de la commande show ipv6 interface affiche les paramètres actuels sur l'interface
G0/0/1.
Comme mis en évidence, R1 a reçu les adresses IPv6 suivantes:
 Link-local IPv6 address - fe80::1

 GUA and subnet - 2001:db8:acad:1 : :1 et 2001:db8:acad:1 : :/64
 IPv6 all-nodes group - ff02::1
R1# show ipv6 interface G0/0/1
GigabitEthernet0/1 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::1
No Virtual link-local address(es):
Description: Link to LAN
Global unicast address(es):
2001:DB8:ACAD:1::1, subnet is 2001:DB8:ACAD:1::/64

Joined group address(es):
FF02::1
FF02::1:FF00:1
(output omitted)
R1#
8.2.3
Méthode SLAAC uniquement

La méthode SLAAC uniquement est activée par défaut lorsque la commande ipv6 unicast-
routing est configurée. Toutes les interfaces Ethernet activées avec une GUA IPv6 configurée
commenceront à envoyer des messages RA avec l'indicateur A défini sur 1, et les indicateurs
O et M définis sur 0, comme le montre la figure.
A = 1 L'indicateur suggère au client de créer sa propre GUA IPv6 en utilisant le préfixe

annoncé dans le RA. Le client peut créer son propre ID d'interface à l'aide de la méthode
Extended Unique Identifier (EUI-64) ou le faire générer aléatoirement.
Les indicateurs O =0 et M=0 indiquent au client qu'il doit utiliser exclusivement les
informations contenues dans le message de RA. Le RA comprend le préfixe, la longueur du
préfixe, le serveur DNS, le MTU et les informations de passerelle par défaut. Il n'y a pas
d'autres informations disponibles sur un serveur DHCPv6.
montre qu'avec SLAAC seul le routeur a l'indicateur A défini sur 1 dans le RA
R1PC1G0/0/1fe80::12001:db8:acad:1::1/642001:db8:acad:1::/64
Message RA
Indicateur valeur
A 1
O 0
M 0
Dans cet exemple, le PC1 est autorisé à obtenir automatiquement ses informations d'adressage
IPv6. En raison des paramètres des indicateurs A, O et M, PC1 exécute SLAAC uniquement,
en utilisant les informations contenues dans le message RA envoyé par R1.
L'adresse de passerelle par défaut est l'adresse IPv6 source du message RA, qui est le LLA
pour R1. La passerelle par défaut ne peut être obtenue automatiquement qu'à partir du
message RA. Un serveur DHCPv6 ne fournit pas ces informations.
C:\PC1> ipconfig
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1:1de9:c69:73ee:ca8c
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : fe80::1%6
C:\PC1>
8.2.4
Messages ICMPv6 RS
Un routeur envoie des messages RA toutes les 200 secondes. Cependant, il enverra également
un message RA s'il reçoit un message RS d'un hôte.
Lorsqu'un client est configuré pour obtenir automatiquement ses informations d'adressage, il
envoie un message RS à l'adresse de multidiffusion des routeurs IPv6 de ff02::2.
La figure illustre comment un hôte initie la méthode SLAAC.
afficher le PC envoyant un message RS à l'adresse de multidiffusion tous les routeurs et

obtenir un RA en réponse
12PC1R1G0/0/1fe80::12001:db8:acad:1::1/642001:db8:acad:1::/64
Message RAMessage RS
1. PC1 vient de démarrer et n'a pas encore reçu de message RA. Par conséquent, il envoie un message
RS à l'adresse de multidiffusion tout-routeurs IPv6 ff02::2 demandant un RA.
2. R1 fait partie du groupe de routeurs IPv6 et a reçu le message RS. Il génère un RA contenant le
préfixe du réseau local et la longueur du préfixe (par exemple, 2001:db8:acad:1::/64). Il envoie
ensuite le message RA à l'adresse de multidiffusion tous nœuds IPv6 de ff02::1. PC1 utilise ces
informations pour créer une GUA IPv6 unique.
8.2.5
Processus hôte pour générer l'ID d'interface

En utilisant le SLAAC, un hôte acquiert généralement ses informations de sous-réseau IPv6
de 64 bits du routeur RA. Cependant, il doit générer le reste de l'identifiant d'interface (ID) de
64 bits en utilisant l'une des deux méthodes suivantes :
 Génération aléatoire -L'ID de l'interface 64-bit est généré aléatoirement par le système
d'exploitation du client. C'est la méthode maintenant utilisée par les hôtes Windows 10.
 EUI-64 - L'hôte crée un ID d'interface en utilisant son adresse MAC 48 bits et insère la valeur
hexadécimale de fffe au milieu de l'adresse. Certains systèmes d'exploitation utilisent par défaut l'ID
d'interface généré aléatoirement plutôt que la méthode EUI-64, en raison de problèmes de
confidentialité. En effet, l'adresse MAC Ethernet de l'hôte est utilisée par l'EUI-64 pour créer l'ID de
l'interface.
Remarque: Windows, Linux et Mac OS permettent à l'utilisateur de modifier la génération de

l'ID d'interface à générer aléatoirement ou à utiliser EUI-64.
Par exemple, dans la sortie ipconfig suivante, l'hôte Windows 10 PC1 a utilisé les
informations de sous-réseau IPv6 contenues dans le RA R1 et a généré aléatoirement un ID
d'interface de 64 bits tel que mis en évidence dans la sortie.
C:\PC1> ipconfig
IPv6 Address. . . . . . . . . . . : 2001:db8:acad:1:1de9:c69:73ee:ca8c
IPv4 Address. . . . . . . . . . . : 169.254.202.140
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : fe80::1%6

C:\PC1>
8.2.6
Détection des adresses dupliquées

Le processus permet à l'hôte de créer une adresse IPv6. Cependant, il n'y a aucune garantie
que l'adresse est unique sur le réseau.
Comme SLAAC est un processus sans état, PC1 doit vérifier que cette nouvelle adresse IPv6
est unique pour pouvoir être utilisée. Le processus DAD (Duplicate Address Detection) est
utilisé par un hôte pour s'assurer que la GUA IPv6 est unique.
DAD est implémenté en utilisant ICMPv6. Pour effectuer le DAD, l'hôte envoie un message
ICMPv6 Neighbor Solicitation (NS) avec une adresse multidiffusion spécialement construite,
appelée adresse multicast de nœud sollicité. Cette adresse duplique les 24 derniers bits de
l'adresse IPv6 de l'hôte.
Si aucun autre appareil ne répond avec un message NA, alors l'adresse est pratiquement
garantie d'être unique et peut être utilisée par l'hôte. Si un NA est reçu par l'hôte, alors
l'adresse n'est pas unique, et le système d'exploitation doit déterminer un nouvel ID d'interface
à utiliser.
IETF (Internet Engineering Task Force) recommande que la fonction DAD soit utilisée sur
toutes les adresses de monodiffusion IPv6, qu'elle soit créée à l'aide de SLAAC uniquement,
obtenue à l'aide de DHCPv6 avec état ou configurée manuellement. DAD n'est pas obligatoire
car un ID d'interface 64 bits fournit 18 possibilités de quintillion et la possibilité qu'il y ait une
duplication est distante. Toutefois, la plupart des systèmes d'exploitation exécutent DAD sur
toutes les adresses monodiffusion IPv6, quelle que soit la façon dont l'adresse est configurée.
8.2.7
Vérifiez votre compréhension - SLAAC

Vérifiez votre compréhension du SLAAC en choisissant la MEILLEURE réponse aux
1. Quels sont les deux messages ICMPv6 utilisés dans le processus SLAAC? (Choisissez deux
propositions.)
Annonces des voisins (NA)
Sollicitation de voisin (NS)

Sollicitation de routeur (RS)
Annonce de routeur (RA)

2. Quelle commande doit être configurée sur un routeur pour lui permettre de rejoindre l'adresse de
multidiffusion IPv6 all-routers ff02::2?
ip routing
ipv6 unicast-routing
ipv6 address ipv6-address/prefix-length
ipv6 address ipv6-address link-local

3. Quels sont les paramètres de l'indicateur lorsqu'un hôte doit utiliser l'option SLAAC uniquement?
A=1, M=0, O=0
A=1, M=1, O=0
A=1, M=0, O=1
A=0, M=1, O=1

4. Quel message ICMPv6 est envoyé par un hôte dans le but de localiser un routeur IPv6 en ligne
pour obtenir des informations d'adressage IPv6?
Annonces des voisins (NA)
Sollicitation de voisin (NS)

Sollicitation de routeur (RS)
Annonce de routeur (RA)

5. Quelle méthode est utilisée par un hôte pour vérifier qu'une adresse IPv6 est unique sur le
réseau local avant d'affecter cette adresse à une interface?
ARP
DAD
PING
SLAAC
DHCPv6
8.3.1
Étapes d'opération DHCPv6

Cette rubrique explique DHCPv6 sans état et avec état. Le DHCPv6 sans état utilise des parties
de SLAAC pour s'assurer que toutes les informations nécessaires sont fournies à l'hôte. DHCPv6
avec état ne nécessite pas de SLAAC.
Bien que DHCPv6 et DHCPv4 fournissent des services similaires, ces deux protocoles sont
indépendants.
L'hôte commence les communications client/serveur DHCPv6 après que le DHCPv6 sans état ou
le DHCPv6 avec état est indiqué dans le RA.
Les messages DHCPv6 serveur à client utilisent le port de destination UDP 546 tandis que les
messages DHCPv6 client à serveur utilisent le port de destination UDP 547.
Les étapes pour les opérations DHCPv6 sont les suivantes:
1. L'hôte envoie un message RS.

2. Le routeur répond avec un message RA.
3. L'hôte envoie un message DHCPv6 SOLICIT.
4. Le serveur DHCPv6 répond par un message ANNONCE.
5. L'hôte répond au serveur DHCPv6.
6. Le serveur DHCPv6 envoie un message REPONSE.
Cliquez sur chaque bouton pour obtenir une explication et une illustration de ces étapes de
fonctionnement DHCPv6.
Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Étape 6
Étape 1. L'hôte envoie un message RS.
PC1 envoie un message RS à tous les routeurs compatibles IPv6.
R1PC1G0/0/11
Fonctionnement de SLAACSollicitation de routeurServeur DHCPv6
8.3.2
Opération DHCPv6 sans état

L'option DHCPv6 sans état indique au client d'utiliser les informations contenues dans le
message RA pour l'adressage, mais des paramètres de configuration supplémentaires sont
disponibles à partir d'un serveur DHCPv6.
Ce processus est appelé DHCPv6 sans état, car le serveur ne conserve aucune information sur
l'état des clients (c'est-à-dire une liste des adresses IPv6 disponibles et attribuées). Le serveur
DHCPv6 sans état fournit uniquement des paramètres de configuration pour les clients et non
pour les adresses IPv6.
La figure illustre l'opération DHCPv6 sans état.
montre un diagramme dans lequel le PC obtient ses informations de serveur DHCPv6 sans état à
partir du routeur R1
2001:db8:acad:1::1/64fe80::1G0/0/112R1PC1
Indicateur Valeur
A 1
O 1
M 0
Serveur DHCPv6 sans étatMessage RA
1. PC1 reçoit un message RA DHCP sans état. Le message RA contient le préfixe réseau et la
longueur du préfixe. L'indicateur M pour DHCP avec état est défini sur la valeur par défaut 0.
L'indicateur A=1 indique au client d'utiliser SLAAC. La valeur de 1 de l'indicateur O sert à
informer le client que des informations de configuration supplémentaires sont disponibles auprès
d'un serveur DHCPv6 sans état.
2. Le client envoie un message DHCPv6 SOLICIT à la recherche d'un serveur DHCPv6 sans état
pour obtenir des informations supplémentaires (p. ex. adresses de serveur DNS).
8.3.3
Activer DHCPv6 sans état sur une interface

DHCPv6 sans état est activé sur une interface de routeur à l'aide de la commande de
configuration de l'interface ipv6 nd other-config-flag. Cela définit l'indicateur O sur 1.
La sortie surlignée confirme que le RA indiquera aux hôtes récepteurs d'utiliser

l'autoconfiguration sans état ( indicateur A = 1 ) et de contacter un serveur DHCPv6 pour obtenir
une autre information de configuration ( indicateur O = 1 ).
Remarque: Vous pouvez utiliser le no ipv6 nd other-config-flag pour réinitialiser l'interface à

l'option par défaut SLAAC only (O flag = 0).
R1(config-if)# ipv6 nd other-config-flag
R1(config-if)# end
R1#
R1# show ipv6 interface g0/0/1 | begin ND
Hosts use stateless autoconfig for addresses.
Hosts use DHCP to obtain other configuration.
R1#
8.3.4
Opération DHCPv6 avec état
Cette option est la plus proche de DHCPv4. Dans ce cas, le message RA indique au client
d'obtenir toutes les informations d'adressage à partir d'un serveur DHCPv6 avec état, à
l'exception de l'adresse de passerelle par défaut qui est l'adresse lien-local IPv6 source du RA.
On parle de DHCPv6 avec état, car le serveur DHCPv6 maintient à jour les informations relatives
à l'état des adresses IPv6. Le principe est similaire à celui d'un serveur DHCPv4 attribuant des
adresses pour IPv4.
La figure illustre l'opération DHCPv6 avec état.
montre un diagramme avec un serveur DHCPv6 dynamique, connecté à un commutateur,

connecté à un PC client et un routeur client DHCPv6
2001:db8:acad:1::1/64fe80::1G0/0/112R1PC1
Indicateur Valeur
A 0
O 0
M 1
Serveur DHCPv6 avec étatMessage RA
1. PC1 reçoit un message RA DHCPv6 avec l'indicateur O défini sur 0 et l'indicateur M défini sur 1,
indiquant à PC1 qu'il recevra toutes ses informations d'adressage IPv6 d'un serveur DHCPv6
avec état.
2. PC1 envoie un message DHCPv6 SOLICIT à la recherche d'un serveur DHCPv6 avec état.
Remarque: Si A=1 et M=1, certains systèmes d'exploitation tels que Windows créent une
adresse IPv6 à l'aide de SLAAC et obtiennent une adresse différente du serveur DHCPv6 avec
état. Dans la plupart des cas, il est recommandé de définir manuellement l'indicateur A sur 0.
8.3.5
Activer DHCPv6 avec état sur une interface

DHCPv6 avec état est activé sur une interface de routeur à l'aide de la commande de
configuration de l'interface ipv6 nd managed-config-flag. Cela définit l'indicateur M sur 1.
La sortie surlignée dans l'exemple confirme que le RA dira à l'hôte d'obtenir toutes les
informations de configuration IPv6 d'un serveur DHCPv6 ( indicateur M = 1).
R1(config)# int g0/0/1

R1(config-if)# ipv6 nd managed-config-flag
R1(config-if)# ipv6 nd prefix default no-autoconfig
R1(config-if)# end
R1#
R1# show ipv6 interface g0/0/1 | begin ND
Hosts use DHCP to obtain routable addresses.
R1#
8.3.6
Vérifiez votre compréhension - DHCPv6

Vérifiez votre compréhension en choisissant la MEILLEURE réponse aux questions suivantes.
1. Quel port UDP les clients DHCPv6 utilisent-ils pour envoyer des messages DHCPv6?
67
68
547
546
2. Quel message DHCPv6 envoie un hôte pour rechercher un serveur DHCPv6?
ANNONCE
SOLLICITATION
REQUÊTE D'INFORMATIONS
REQUÊTE
3. Quel message DHCPv6 un hôte envoie au serveur DHCPv6 s'il utilise DHCPv6 avec état?
ANNONCE
SOLLICITATION
REQUÊTE D'INFORMATIONS
REQUÊTE
4. Quelle combinaison de paramètres d'indicateur est utilisée pour DHCP sans état?
A=1, M=0, O=0
A=1, M=0, O=0
A=1, M=0, O=1

A=0, M=1, O=1
5. Quel paramètre d'indicateur M indique que DHCPv6 avec état est utilisé?
M=0
M=1
8.2
SLAAC
Configurer le serveur DHCPv6

8.4.1
Rôles de routeur DHCPv6

Les routeurs Cisco IOS sont des appareils puissants. Dans les petits réseaux, il n'est pas
nécessaire d'avoir des appareils séparés pour avoir un serveur, un client ou un agent de relais
DHCPv6. Un routeur Cisco IOS peut être configuré pour fournir des services de serveur
DHCPv6.
Plus précisément, il peut être configuré pour être l'un des éléments suivants :
 Serveur DHCPv6 - Routeur fournit des services DHCPv6 sans état ou avec état.
 Client DHCPv6 - L'interface du routeur acquiert une configuration IP IPv6 à partir d'un serveur
DHCPv6.
 Agent de relais DHCPv6 - Routeur fournit des services de transfert DHCPv6 lorsque le client et
le serveur sont situés sur différents réseaux.
8.4.2
Configurer un serveur DHCPv6 sans état.

L'option de serveur DHCPv6 sans état nécessite que le routeur annonce les informations
d'adressage réseau IPv6 dans les messages RA. Toutefois, le client doit contacter un serveur
DHCPv6 pour plus d'informations.
Reportez-vous à l'exemple de topologie pour savoir comment configurer la méthode du serveur

DHCPv6 sans état.
montre un diagramme dans lequel un routeur client obtient ses informations de serveur DHCPv6
sans état à partir du routeur R1
G0/0/1G0/0/1fe80::12001:db8:acad:1::1/64R1R3PC1
Serveur DHCPv6 sans étatClient
Dans cet exemple, R1 fournira des services SLAAC pour la configuration IPv6 hôte et les
services DHCPv6.
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état:
Étape 1. Activez le routage IPv6 Étape 2. Définissez un nom de pool DHCPv6. Étape 3.
Configurez le pool DHCPv6. Étape 4. Liez le pool DHCPv6 à une interface. Étape 5. Vérifiez que
les hôtes ont reçu des informations d'adressage IPv6.
Cliquez sur chaque bouton pour obtenir un exemple de ces étapes.

Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Étape 1. Activer le routage IPv6.
La commande ipv6 unicast-routing est nécessaire pour activer le routage IPv6. Bien qu'il ne
soit pas nécessaire que le routeur soit un serveur DHCPv6 apatride, il est nécessaire que le
routeur soit source de messages RA ICMPv6.
R1(config)# ipv6 unicast-routing
R1(config)#
8.4.3

Un routeur peut également être un client DHCPv6 et obtenir une configuration IPv6 à partir d'un
serveur DHCPv6, tel qu'un routeur fonctionnant en tant que serveur DHCPv6. Dans la figure, R1
est un serveur DHCPv6 sans état.
G0/0/1G0/0/1fe80::12001:db8:acad:1::1/64R1R3PC1
Serveur DHCPv6 sans étatClient
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état.
Étape 1. Activez le routage IPv6

Étape 2. Configurez le routeur client pour créer un LLA.
Étape 3. Configurez le routeur client pour qu'il utilise SLAAC.
Étape 4. Vérifiez que le routeur client est affecté à une GUA.
Étape 5. Vérifiez que le routeur client a reçu d'autres informations DHCPv6 nécessaires.

Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Le routeur client doit avoir ipv6 unicast-routing activé (enabled).
R3(config)#
8.4.4

L'option de serveur DHCP avec état exige que le routeur compatible IPv6 indique à l'hôte de
contacter un serveur DHCPv6 pour obtenir toutes les informations d'adressage réseau IPv6
nécessaires.
Dans la figure, R1 fournira des services DHCPv6 avec état à tous les hôtes du réseau local. La
configuration d'un serveur DHCPv6 avec état est similaire à celle d'un serveur sans état. La
différence la plus significative est qu'un serveur DHCPv6 en état comprend également des
informations d'adressage IPv6 similaires à celles d'un serveur DHCPv4.
R1R3PC1G0/0/1fe80::12001:db8:acad:1::1/64G0/0/1
Serveur DHCPv6 avec étatClient DHCPv6
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état:
Étape 1. Activez le routage IPv6

Étape 2. Définissez un nom de pool DHCPv6.
Étape 3. Configurez le pool DHCPv6.
Étape 4. Liez le pool DHCPv6 à une interface.
Étape 5. Vérifiez que les hôtes ont reçu des informations d'adressage IPv6.

Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
La commande ipv6 unicast-routing est nécessaire pour activer le routage IPv6.

R1(config)#
8.4.5

Un routeur peut également être un client DHCPv6. Le routeur client doit avoir ipv6 unicast-
routing activé (enabled) et une adresse lien-local IPv6 pour envoyer et recevoir des messages
IPv6.
Reportez-vous à l'exemple de topologie pour savoir comment configurer le client DHCPv6 avec
état.
PC1R32001:db8:acad:1::1/64fe80::1G0/0/1G0/0/1R1
Serveur DHCPv6 avec état
Client DHCPv6
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état.
Étape 1. Activez le routage IPv6 Étape 2. Configurez le routeur client pour créer un LLA. Étape
3. Configurez le routeur client pour qu'il utilise DHCPv6. Étape 4. Vérifiez que le routeur client est
attribué à une GUA. Étape 5. Vérifiez que le routeur client a reçu d'autres informations DHCPv6
nécessaires.

Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Le routeur client doit avoir ipv6 unicast-routing activé (enabled).
R3(config)#
8.4.6
Commandes de vérification
Utilisez les commandes show ipv6 dhcp pool et show ipv6 dhcp binding et pour vérifier le
fonctionnement DHCPv6 sur un routeur.
Cliquez sur chaque bouton par exemple sur la sortie.

show ipv6 dhcp pool
show ipv6 dhcp binding

La commande show ipv6 dhcp pool vérifie le nom du pool DHCPv6 et ses paramètres. La
commande identifie également le nombre de clients actifs. Dans cet exemple, le pool IPV6-
STATEFUL a actuellement 2 clients, ce qui reflète PC1 et R3 recevant leur adresse de
monodiffusion globale IPv6 à partir de ce serveur.
Lorsqu'un routeur fournit des services DHCPv6 avec état, il gère également une base de
données des adresses IPv6 attribuées.
R1# show ipv6 dhcp pool
DHCPv6 pool: IPV6-STATEFUL
Address allocation prefix: 2001:DB8:ACAD:1::/64 valid 172800 preferred
86400 (2 in use, 0 conflicts)
DNS server: 2001:4860:4860::8888 Domain name: example.com Active
clients: 2
R1#
8.4.7
Configuration de l'agent de relais DHCPv6

Si le serveur DHCPv6 se trouve sur un réseau différent de celui du client, alors le routeur IPv6
peut être configuré en tant qu'agent de relais DHCPv6. La configuration d'un agent de relais
DHCPv6 est similaire à celle d'un routeur IPv4 en tant que relais DHCPv4.
Dans la figure, R3 est configuré comme un serveur DHCPv6 avec état. PC1 se trouve sur le
réseau 2001:db8:acad:2::/64 et nécessite les services d'un serveur DHCPv6 avec état pour
acquérir sa configuration IPv6. R1 doit être configuré comme agent de relais DHCPv6.
PC1R1R32001:db8:acad:2::/642001:db8:acad:1::/64:1fe80::1:1fe80::1:2fe80::3G0/0/1G0/0/0G0/0
/0
Client DHCPv6
Agent de relais DHCPv6
Serveur DHCPv6
sans état
La syntaxe de commande pour configurer un routeur en tant qu'agent de relais DHCPv6 est la
suivante:
Router(config-if)# ipv6 dhcp relay destination ipv6-address [interface-type

interface-number]
Cette commande est configurée sur l'interface face aux clients DHCPv6 et spécifie l'adresse du
serveur DHCPv6 et l'interface de sortie pour atteindre le serveur, comme indiqué dans la sortie.
L'interface de sortie n'est requise que lorsque l'adresse de saut suivant est un LLA.
R1(config-if)# ipv6 dhcp relay destination 2001:db8:acad:1::2 G0/0/0
R1(config-if)# exit
R1(config)#
8.4.8
Vérifier l'agent de relais DHCPv6

Vérifiez que l'agent de relais DHCPv6 est opérationnel avec les commandes show ipv6 dhcp
interface et show ipv6 dhcp binding. Vérifiez que les hôtes Windows ont reçu des informations
d'adressage IPv6 à l'aide de la commande ipconfig /all.
Cliquez sur chaque bouton par exemple sur la sortie.

show ipv6 dhcp interface
ipconfig /all
L'agent de relais DHCPv6 peut être vérifié à l'aide de la commande show ipv6 dhcp interface.
Cela vérifiera que l'interface G0/0/1 est en mode relais.
R1# show ipv6 interface dhcp GigabiteThernet0/0/1 est en mode relais
Destinations relais:
2001:DB8:ACAD:1::2
2001:DB8:ACAD:1::2 via GigabitEthernet0/0/0
R1#
8.4.9
Vérifiez votre compréhension - Configurer le
serveur DHCPv6
Vérifiez votre compréhension en choisissant la MEILLEURE réponse aux questions suivantes.
1. Quels trois rôles DHCPv6 un routeur peut-il effectuer? (Choisissez toutes les réponses qui
conviennent.)
Client DHCPv6
Agent de relais DHCPv6
serveur DHCP
2. Quelle commande n'est pas configurée dans DHCPv6 sans état?
address prefix ipv6-address/prefix
domain-name name
dns-server server-address
ipv6 dhcp server pool-name

3. Un routeur compatible IPv6 doit acquérir son GUA IPv6 à partir d'un autre routeur IPv6 utilisant le
SLAAC. Quelle commande de configuration d'interface doit être configurée sur le routeur client?
ipv6 address autoconfig
ipv6 address auto config
ipv6 address dhcp

ipv6 address dhcpv6
4. Un routeur est de fournir des services de serveur DHCPv6. Quelle commande doit être
configurée sur l'interface client?
ipv6 enable
ipv6 dhcp pool POOL-NAME
ipv6 dhcp server POOL-NAME
ipv6 nd other-config-flag
5. Un routeur compatible IPv6 doit acquérir son interface graphique IPv6 à partir d'un serveur
DHCPv6. Quelle commande de configuration d'interface doit être configurée sur le routeur client?
ipv6 address autoconfig
ipv6 address auto config
ipv6 address dhcp
ipv6 address dhcpv6

6. Quelle commande de vérification DHCPv6 afficherait l'adresse lien-local et GUA assignée pour
chaque client actif?
show ip dhcp pool
show ipv6 dhcp interface

show ipv6 dhcp pool
7. Quelle commande est configurée sur l'interface LAN du client de l'agent de relais DHCPv6?
ip helper-address
ipv6 dhcp relay destination
ipv6 enable
ipv6 helper-address
8.3
DHCPv6

8.5.1
Travaux pratiques - Configurer DHCPv6

Dans ce TP, vous réaliserez les objectifs suivants :

 Partie 2: Vérifier l'attribution d'adresse SLAAC à partir de R1
 Partie 3: Configurer et vérifier un serveur DHCPv6 sans état sur R1
 Partie 4: Configurer et vérifier un serveur DHCPv6 avec état sur R1
 Partie 5: Configurer et vérifier un relais DHCPv6 sur R2
Configurer DHCPv6
8.5.2

Attribution d'une GUA IPv6
Sur un routeur, une GUA (Global unicast Adresses) IPv6 est configurée manuellement à l'aide de
la commande de configuration de l'interface ipv6 address ipv6-address/prefix-length. Lorsque
l'adressage IPv6 automatique est sélectionné, l'hôte tente d'obtenir et de configurer
automatiquement les informations d'adresse IPv6 sur l'interface. L'adresse lien-local IPv6 est
automatiquement créée par l'hôte lorsqu'il démarre et que l'interface Ethernet est active. Par
défaut, un routeur compatible IPv6 annonce ses informations IPv6, ce qui permet à un hôte de
créer ou d'acquérir dynamiquement sa configuration IPv6. La GUA IPv6 peut être attribué
dynamiquement à l'aide de services sans état et avec état. La décision de la façon dont un client
obtiendra une GUA IPv6 dépend des paramètres du message RA. Un message RA ICMPv6
comprend trois indicateurs permettant d'identifier les options dynamiques disponibles pour un
hôte:
 Indicateur A — Il s'agit de l'indicateur de configuration automatique des adresses. Utilisez

SLAAC pour créer une GUA IPv6.
SLAAC
La méthode SLAAC permet aux hôtes de créer leur propre adresse de monodiffusion globale
IPv6 unique sans les services d'un serveur DHCPv6. Le SLAAC utilise les messages RA ICMPv6
pour fournir l'adressage et d'autres informations de configuration qui seraient normalement
fournies par un serveur DHCP. SLAAC peut être déployé en tant que SLAAC uniquement, ou
SLAAC avec DHCPv6. Pour activer l'envoi de messages RA, un routeur doit rejoindre le groupe
de routeurs IPv6 à l'aide de la commande globale de configuration ipv6 unicast-routing .
Utilisez la commande show ipv6 interface pour vérifier si un routeur est activé. La méthode
SLAAC uniquement est activée par défaut lorsque la commande ipv6 unicast-routing est
configurée. Toutes les interfaces Ethernet activées avec une GUA IPv6 configurée
commenceront à envoyer des messages RA avec l'indicateur A défini sur 1 et les indicateurs O et
M définis sur 0. L'indicateur A = 1 suggère au client de créer sa propre GUA IPv6 en utilisant le
préfixe annoncé dans la RA. Les indicateurs O =0 et M =0 indiquent au client qu'il doit utiliser
exclusivement les informations contenues dans le message de RA. Un routeur envoie des
messages RA toutes les 200 secondes. Cependant, il enverra également un message RA s'il
reçoit un message RS d'un hôte. En utilisant le SLAAC, un hôte acquiert généralement ses
informations de sous-réseau IPv6 de 64 bits du routeur RA. Cependant, il doit générer le reste de
l'identifiant d'interface (ID) de 64 bits en utilisant l'une des deux méthodes suivantes :
aléatoirement généré, ou EUI-64. Le processus DAD est utilisé par un hôte pour s'assurer que la
GUA IPv6 est unique. DAD est implémenté en utilisant ICMPv6. Pour effectuer DAD, l'hôte
envoie un message ICMPv6 NS avec une adresse de multidiffusion spécialement construite,
appelée adresse de multidiffusion à nœud sollicité. Cette adresse duplique les 24 derniers bits de
l'adresse IPv6 de l'hôte.
DHCPv6
L'hôte commence les communications client/serveur DHCPv6 après que le DHCPv6 sans état ou
le DHCPv6 avec état est indiqué dans le RA. Les messages DHCPv6 serveur à client utilisent le
port de destination UDP 546, tandis que les messages DHCPv6 client à serveur utilisent le port
de destination UDP 547. L'option DHCPv6 sans état informe le client à utiliser les informations
dans le message RA pour l'adressage, mais les paramètres de configuration supplémentaires
sont fournis par un serveur DHCPv6. C'est ce qu'on appelle DHCPv6 sans état car le serveur ne
conserve aucune information sur l'état du client. DHCPv6 sans état est activé sur une interface
de routeur à l'aide de la commande de configuration de l'interface ipv6 nd other-config-flag.
Cela définit l'indicateur O sur 1. Dans DHCPv6 avec état, le message RA indique au client
d'obtenir toutes les informations d'adressage à partir d'un serveur DHCPv6 avec état, à
l'exception de l'adresse de passerelle par défaut qui est l'adresse lien-local IPv6 source du RA. Il
est appelé "avec état" (sateful) parce que le serveur DHCPv6 conserve les informations d'état
IPv6. DHCPv6 avec état est activé sur une interface de routeur à l'aide de la commande de
configuration de l'interface ipv6 nd managed-config-flag. Cela définit l'indicateur M sur 1.
Configuration du serveur DHCPv6
Un routeur Cisco IOS peut être configuré pour fournir des services de serveur DHCPv6 comme
l'un des trois types suivants: serveur DHCPv6, client DHCPv6 ou agent de relais DHCPv6.
L'option de serveur DHCPv6 sans état nécessite que le routeur annonce les informations
d'adressage réseau IPv6 dans les messages RA. Un routeur peut également être un client
DHCPv6 et obtenir une configuration IPv6 à partir d'un serveur DHCPv6. L'option de serveur
DHCP avec état nécessite que le routeur IPv6 indique à l'hôte de contacter un serveur DHCPv6
pour obtenir toutes les informations d'adressage réseau IPv6 requises. Pour qu'un routeur client
soit un routeur DHCPv6, il doit être ipv6 unicast-routing activé et une adresse lien-local IPv6
pour envoyer et recevoir des messages IPv6. Utilisez les commandes show ipv6 dhcp
pool et show ipv6 dhcp binding pour vérifier le fonctionnement DHCPv6 sur un routeur. Si le
serveur DHCPv6 est situé sur un réseau différent de celui du client, alors le routeur IPv6 peut
être configuré comme un agent relais DHCPv6 en utilisant la commande ipv6 dhcp relay
destination ipv6-address [interface-type interface-number]. Cette commande est configurée sur
l'interface faisant face aux clients DHCPv6 et spécifie l'adresse du serveur DHCPv6 et l'interface
de sortie pour atteindre le serveur. L'interface de sortie n'est requise que lorsque l'adresse de
saut suivant est un LLA. Vérifiez que l'agent de relais DHCPv6 est opérationnel avec les
commandesshow ipv6 dhcp interface show ipv6 dhcp binding et.
8.5.3
Module Questionnaire - SLAAC et DHCPv6

1.
Comment un client IPv6 s'assure-t-il d'avoir une adresse unique après qu'il configure son adresse
IPv6 à l'aide de la méthode d'attribution SLAAC ?
Il vérifie avec la base de données d'adresses IPv6 qui est hébergée par le serveur SLAAC.
Il envoie un message d'annonce de voisin ICMPv6 en utilisant l'adresse IPv6 comme adresse
IPv6 cible.
Il envoie un message ARP avec l'adresse IPv6 comme adresse IPv6 de destination.
Il contacte le serveur DHCPv6 par l'initiation d'un message ICMPv6 spécial.

2. Quelle méthode un hôte IPv6 utilisant SLAAC utiliserait-il pour apprendre l'adresse de la
passerelle par défaut?
les messages de réponse reçus du serveur DHCPv6

les annonces du routeur qui sont reçues du routeur de liaison
les messages d'annonce reçus du serveur DHCPv6
les annonces des voisins qui sont reçues des voisins de liaison
3. Quelles méthodes peuvent être utilisées pour générer un ID d'interface par un hôte IPv6 qui
utilise la méthode SLAAC? (Choisissez deux réponses.)
DAD
ARP
DHCPv6 avec état
Génération aléatoire
EUI-64
4. Un client utilise SLAAC pour obtenir une adresse IPv6 pour son interface. Une fois qu'une
adresse a été générée et appliquée à l'interface, que doit faire le client avant de pouvoir
commencer à utiliser cette adresse IPv6?
Il doit envoyer un message de sollicitation de voisin ICMPv6 pour s'assurer que l'adresse n'est
pas déjà utilisée sur le réseau.
Il doit envoyer un message DHCPv6 INFORMATION-Request pour demander l'adresse du

serveur DNS.
Il doit envoyer un message de demande DHCPv6 au serveur DHCPv6 pour demander

l'autorisation d'utiliser cette adresse.
Il doit envoyer un message de sollicitation de routeur ICMPv6 pour déterminer quelle passerelle
par défaut il doit utiliser.
5. Quelle commande doit être configurée sur une interface de routeur pour définir le routeur en tant
que client DHCPv6 avec état?
ipv6 address autoconfigure
ipv6 enable
ipv6 dhcp server stateful
ipv6 address dhcp

6. Quel message informe les interfaces compatibles IPv6 d'utiliser DHCPv6 avec état pour obtenir
une adresse IPv6?
Message de monodiffusion DHCPv6 ANNONCE
Message de réponse DHCPv6
Sollicitation de routeur ICMPv6
Annonce de routeur ICMPv6

7. Quelle adresse IP de destination est utilisée lorsqu'un hôte IPv6 envoie un message
DHCPv6 SOLICIT pour localiser un serveur DHCPv6 ?
FF02::1
FE80::1
FF02::1:2
FF02::2
8. En dehors de DHCPv6, dans quel autre type d'adressage un routeur fournit-il dynamiquement
des informations de configuration IPv6 aux hôtes?
EUI-64
ICMPv6
ARP
SLAAC
9. Une entreprise implémente la méthode DHCPv6 sans état pour configurer les adresses IPv6 sur
les postes de travail des employés. Lorsqu'une station de travail reçoit des messages de
plusieurs serveurs DHCPv6 pour indiquer leur disponibilité pour le service DHCPv6, quel
message enverre-t-il à un serveur pour obtenir des informations de configuration?
DHCPv6 REQUÊTE
DHCPv6 ANNONCE
DHCPv6 REQUÊTE D'INFORMATION
DHCPv6 SOLICIT
10. Quel processus est utilisé dans ICMPv6 pour qu'un hôte vérifie qu'une adresse IPv6 est unique
avant de la configurer sur une interface?
SLAAC
ARP
DAD:
EUI-64
11. Quelles sont les deux caractéristiques de la méthode SLAAC pour la configuration d'adresses
IPv6? (Choisissez deux propositions.)
Les clients envoient des messages publicitaires de routeur aux routeurs pour demander
l'adressage IPv6.
La passerelle par défaut d'un client IPv6 sur un réseau local sera l'adresse lien-local de
l'interface du routeur connectée au réseau local.
L'adressage IPv6 est attribué dynamiquement aux clients grâce à l'utilisation d'ICMPv6.
Cette méthode d'acquisition avec état d'une adresse IPv6 nécessite au moins un serveur
DHCPv6.
Les messages de sollicitation de routeur sont envoyés par le routeur pour offrir l'adressage IPv6
aux clients.
12. Après le démarrage, un client reçoit un message ICMPv6 RA avec l'indicateur M défini sur 0 et
l'indicateur O défini sur 1. Qu'est-ce que cela indique?
Le client doit demander une adresse IPv6 directement à partir d'un serveur DHCPv6.
Le client doit configurer automatiquement une adresse IPv6 sans contacter un serveur DHCPv6.
Le client doit automatiquement configurer une adresse IPv6, puis contacter un serveur DHCPv6
pour plus d'informations.
Le client doit être configuré statiquement avec une adresse IPv6 car le routeur local ne prend
pas en charge la configuration automatique.
13. Un administrateur réseau saisit la commande ipv6 unicast-routing pour commencer à
configurer le fonctionnement du DHCPv6 sur un routeur. Quelle affirmation décrit la fonction de
cette commande?
Il est obligatoire pour configurer le serveur DHCPv6 avec « état » sur le routeur.
Il est obligatoire pour envoyer des annonces de routeur ICMPv6.
Il est obligatoire pour activer le service DNS dans les configurations DHCPv6.
Il est obligatoire pour configurer le serveur DHCPv6 « sans état » sur le routeur.
8.4
Configurer le serveur DHCPv6
Présentation
9.0.1

Bienvenue sur les concepts FHRP!
Votre réseau est opérationnel. Vous avez conquis la redondance de couche 2 sans boucles de
couche 2. Tous vos appareils obtiennent leurs adresses dynamiquement. Vous êtes excellent à
l'administration des réseaux ! Mais attends. Un de vos routeurs, le routeur de passerelle par
défaut en fait, est tombé en panne. Aucun de vos hôtes ne peut envoyer de messages en dehors
du réseau immédiat. Cela va prendre un certain temps pour que ce routeur de passerelle par
défaut fonctionne à nouveau. Vous avez beaucoup de gens en colère qui vous demandent
quand le réseau retournera.
Vous pouvez éviter ce problème facilement. Les protocoles de redondance de premier saut
(FHRP) sont la solution dont vous avez besoin. Ce module explique le fonctionnement du
protocoles FHRP et tous les types de protocoles FHRP qui sont à votre disposition. L'un de
ces types est un FHRP propriétaire de CISCO appelé le protocole HSRP (Hot Standby Router
Protocol). Vous apprendrez comment le protocole HSRP fonctionne, puis terminerez une
activité Packet Tracer où vous allez configurer et vérifier le protocole HSRP. N'attendez pas,
commencez!
9.0.2
module?
Titre du module: Concepts du FHRP (protocoles de redondance au premier saut)
Objectif du module: Expliquer comment les protocoles FHRP fournissent des services de
passerelle par défaut dans un réseau redondant.
Légende du tableau
Expliquer l'objectif et le fonctionnement des

Protocoles de redondance au premier saut
protocoles FHRP (First Hop Redundancy).
HSRP Expliquer le fonctionnement du protocole HSRP.
8.5

9.1
Protocoles de redondance au
premier saut
9.1.1
Limitations de passerelle par défaut

En cas de défaillance d'un routeur ou d'une interface de routeur (servant de passerelle par
défaut), les hôtes configurés avec cette passerelle par défaut sont isolés des réseaux extérieurs.
Un mécanisme est nécessaire pour offrir des passerelles par défaut alternatives dans les
réseaux commutés où deux routeurs ou plus sont connectés aux mêmes VLAN. Ce
mécanisme est fourni par les protocoles de redondance de premier saut (FHRP).
Dans un réseau commuté, chaque client reçoit une seule passerelle par défaut. Il n'est pas
possible d'utiliser une passerelle secondaire, même s'il existe un deuxième chemin pour
transporter les paquets hors du segment local.
Dans cette figure, R1 est responsable du routage des paquets en provenance de PC1. Si R1
n'est plus disponible, les protocoles de routage peuvent converger dynamiquement. R2
achemine désormais les paquets en provenance des réseaux extérieurs, qui auraient
normalement été destinés à R1. Cependant, le trafic en provenance du réseau interne associé à
R1, y compris le trafic en provenance des stations de travail, des serveurs et des imprimantes
configurés avec R1 comme passerelle par défaut, est encore renvoyé vers R1 puis abandonné.
Remarque: Aux fins de discussion sur la redondance des routeurs, nous partirons du principe
qu'il n'existe pas de différences fonctionnelles entre un commutateur de couche 3 et un routeur
de la couche de distribution. Dans la pratique, il est courant qu'un commutateur de couche 3
joue le rôle de passerelle par défaut pour chaque VLAN d'un réseau commuté. Cette
discussion se concentre sur la fonctionnalité de routage, quel que soit le périphérique
physique utilisé.
La topologie du réseau physique montre deux commutateurs, un routeur, un PC et un serveur.

Le PC, PC1, envoie un paquet via le réseau. Le graphique montre le paquet déposé à
l'interface de R1.
R1R2PC1
10.1.10.3/24
0014.a866.289810.1.10.2/24
0014.a855.1788Serveur
10.9.1.50/24
PC1 ne parvient pas à atteindre la passerelle par défaut.
Les périphériques finaux sont généralement configurés avec une adresse IPv4 unique pour
une passerelle par défaut. Cette adresse ne change pas lorsque la topologie de réseau est
modifiée. Si cette adresse IPv4 de passerelle par défaut n'est pas accessible, le périphérique
local ne pourra pas envoyer des paquets à partir du segment de réseau local, ce qui le
déconnectera des autres réseaux. Même si un routeur redondant pourrait servir de passerelle
par défaut sur ce segment, ces périphériques ne peuvent pas déterminer dynamiquement
l’adresse d’une nouvelle passerelle par défaut.
Remarque: les périphériques IPv6 reçoivent leur adresse de passerelle par défaut
dynamiquement à partir de l'annonce de routeur ICMPv6. Toutefois, les périphériques IPv6
bénéficient d'un basculement plus rapide vers la nouvelle passerelle par défaut lors de
l'utilisation de protocoles FHRP.
9.1.2
La redondance de routeur
Pour éviter tout risque de point de défaillance unique au niveau de la passerelle par défaut, il
est possible d'implémenter un routeur virtuel. Pour implémenter ce type de redondance de
routeur, plusieurs routeurs sont configurés pour un fonctionnement conjoint, de manière à
présenter l'illusion d'un routeur unique au regard des hôtes du LAN, comme illustré dans la
figure. En partageant une adresse IP et une adresse MAC, plusieurs routeurs peuvent jouer le
rôle d'un routeur virtuel unique.
La topologie du réseau physique montre quatre PC, trois routeurs et un cloud Internet ou
fédérateurs FAI. Les quatre PC et les trois routeurs sont connectés à un réseau local. Les trois
routeurs ont également un lien allant jusqu' au Internet ou fédérateurs FAI. Il existe un routeur
de transfert avec l'adresse IP 192.0.2.1/24. Il existe un routeur virtuel avec l'adresse IP
192.0.2.100/24. Il existe un routeur de secours avec l'adresse IP 192.0.2.2/24. Une flèche
représentant un paquet envoyé à partir de PC2 vers le routeur virtuel à l'adresse IP
192.0.2.100 puis vers le routeur de transfert avec l'adresse IP 192.0.2.1, puis vers l'internet ou
les fédérateurs FAI.
PC1PC3PC4PC2192.0.2.2/24192.0.2.1/24192.0.2.3/24
Routeur
de transfertRouteur
de secoursRouteur
virtuelInternet ou réseau fédérateur du FAIRéseau local (LAN)
L'adresse IPv4 du routeur virtuel est configurée en tant que passerelle par défaut pour les
postes de travail sur un segment IPv4 donné. Lorsque des trames sont envoyées à la passerelle
par défaut par des périphériques hôtes, les hôtes utilisent le processus ARP pour résoudre
l'adresse MAC associée à l'adresse IPv4 de la passerelle par défaut. La résolution ARP
renvoie l’adresse MAC du routeur virtuel. Les trames envoyées à l'adresse MAC du routeur
virtuel peuvent alors être traitées physiquement par le routeur actif, au sein du groupe de
routeurs virtuel. Un protocole est utilisé pour identifier au moins deux routeurs comme
périphériques chargés de traiter les trames envoyées à l’adresse MAC ou à l’adresse IP d’un
routeur virtuel unique. Les périphériques hôtes transmettent le trafic à l’adresse du routeur
virtuel. Le routeur physique qui réachemine ce trafic est transparent pour les périphériques
hôtes.
Un protocole de redondance offre le mécanisme nécessaire pour déterminer quel routeur doit
être actif dans le réacheminement du trafic. Il détermine également quand le rôle de
réacheminement doit être repris par un routeur en veille. La transition d’un routeur de
transfert à un autre est transparente pour les périphériques finaux.
La capacité d'un réseau à effectuer une reprise dynamique après la défaillance d'un
périphérique jouant le rôle de passerelle par défaut est appelée « redondance au premier saut
».
9.1.3
Étapes relatives au basculement du routeur

Lorsque le routeur actif est défaillant, le protocole de redondance définit le rôle de routeur
actif pour le routeur en veille, comme illustré dans la figure. Voici la procédure en cas de
défaillance du routeur actif:
1. Le routeur en veille cesse de voir les messages Hello du routeur de transfert.

2. Le routeur en veille assume le rôle du routeur de transfert.
3. Étant donné que le nouveau routeur de transfert assume à la fois le rôle de l'adresse IPv4 et celui de
l'adresse MAC du routeur virtuel, aucune interruption de service n'est constatée au niveau des
périphériques hôtes.
La topologie du réseau physique montre quatre PC, trois routeurs et un cloud Internet ou
fédérateurs FAI. Les quatre PC et les trois routeurs sont connectés à un réseau local. Les trois
routeurs ont également un lien allant jusqu' au fédérateurs Internet ou FAI. Il existe un routeur
de transfert avec l'adresse IP 192.0.2.1/24. Il existe un routeur virtuel avec l'adresse IP
192.0.2.100/24. Il existe un routeur de secours avec l'adresse IP 192.0.2.2/24. Il y a un X via
la liaison LAN vers le routeur avec l'adresse IP 192.0.2.1 qui était auparavant un routeur de
transfert. Une flèche représentant un paquet envoyé à partir de PC2 vers le routeur virtuel à
l'adresse IP 192.0.2.100 puis vers le nouveau routeur de transfert avec l'adresse IP 192.0.2.2,
puis vers l'internet ou les fédérateurs FAI.
PC1PC3PC4PC2192.0.2.1/24192.0.2.100/24192.0.2.2/24
Routeur virtuelNouveau routeur
de transfertInternet ou réseau fédérateur du FAILAN Défaillance de liaison ou de périphérique: le routeur en veille devient le
routeur de transmission.
9.1.4
Options FHRP
Le protocole FHRP utilisé dans un environnement de production dépend largement de
l'équipement et des besoins du réseau. Le tableau répertorie toutes les options disponibles
pour les protocoles FHRP.
Légende du tableau
Options FHRP Description
Le protocole HRSP est un FHRP propriétaire de

CISCO qui est conçu pour permettre le basculement
transparent d'un périphérique IPv4 au premier saut.
Le protocole HSRP offre une disponibilité de réseau
élevée, par le biais d'une redondance de routage au
premier saut pour les hôtes IPv4 des réseaux
configurés avec une adresse de passerelle par
défaut IPv4. HSRP est utilisé dans un groupe de
routeurs pour sélectionner un périphérique actif et
un périphérique en veille. Dans un groupe
Protocole HSRP (Hot Standby Router Protocol)
d'interfaces de périphérique, le périphérique actif
est celui qui est utilisé pour le routage des paquets ;
le périphérique en veille est celui qui prend le relais
en cas de défaillance du périphérique actif ou
lorsque certaines conditions prédéfinies sont
réunies. La fonction du routeur en veille HSRP est de
surveiller l'état de fonctionnement du groupe HSRP
et de prendre rapidement la responsabilité du
réacheminement des paquets lorsque le routeur
actif est défaillant.
Légende du tableau
Il s'agit d'un protocole FHRP propriétaire de Cisco

offrant la même fonctionnalité que le protocole
HSRP, mais dans un environnement IPv6. Un groupe
HSRP IPv6 possède une adresse MAC virtuelle
dérivée du numéro de groupe HSRP et une adresse
link-local IPv6 dérivée de l'adresse MAC virtuelle
HSRP pour IPv6
HSRP. Des annonces de routeur périodiques (RA,
Router Advertisement) sont renvoyées pour
l'adresse virtuelle link-local HSRP IPv6 lorsque le
groupe HSRP est actif. Lorsque le groupe devient
inactif, ces RA cessent après l'envoi d'une dernière
RA.
Il s'agit d'un protocole de sélection non propriétaire

qui affecte dynamiquement la responsabilité d'un
ou de plusieurs routeurs virtuels aux routeurs VRRP
d'un réseau local IPv4. Cela permet à plusieurs
routeurs de bénéficier d'un lien à accès multiple
Protocole VRRPv2 (Virtual Router Redundancy pour utiliser la même adresse IPv4 virtuelle. Un
Protocol version 2) routeur VRRP est configuré pour exécuter le
protocole VRRP conjointement à un ou plusieurs
autres routeurs associés à un réseau local. Dans une
configuration VRRP, un routeur est choisi comme
routeur virtuel principal, les autres servant de
routeurs de secours en cas de défaillance de celui-ci.
Il s'agit d'un protocole qui offre la capacité de

prendre en charge les adresses IPv4 et IPv6. Le
VRRPv3 protocole VRRPv3 fonctionne dans les
environnements multifournisseurs ; il est plus
évolutif que VRRPv2.

qui protège le trafic de données en provenance d'un
Protocole GLBP (Gateway Load Balancing routeur ou d'un circuit défaillant, tel que HSRP et
Protocol) VRRP, tout en permettant un équilibrage
(également appelé partage de charge) de la charge
au sein d'un groupe de routeurs redondants.

qui offre la même fonctionnalité que le protocole
GLBP pour IPv6 GLBP, mais dans un environnement IPv6. Le
protocole GLBP pour IPv6 offre un routeur de
secours automatique pour les hôtes IPv6 configurés
Légende du tableau
avec une passerelle par défaut unique, sur un un

réseau local. Plusieurs routeurs de premier saut se
combinent dans le réseau local pour offrir un
routeur de premier saut IPv6 virtuel unique, tout en
partageant la charge de réacheminement des
paquets IPv6.
Il s'agit d'une solution FHRP héritée spécifiée dans

RFC 1256. Le protocole IRDP permet aux hôtes IPv4
Protocole IRDP (ICMP Router Discovery Protocol)
de localiser les routeurs en offrant une connectivité
IPv4 à d'autres réseaux IP (non locaux).
9.1.5
Vérifiez votre compréhension - Protocoles de

redondance au premier saut (FHRP)
Vérifiez votre compréhension de protocoles de redondance au premier saut en choisissant la
1. Quel type de périphérique acheminant le trafic destiné aux segments de réseau au-delà du
segment source, pour lesquels le nœud expéditeur ne dispose peut-être pas d'informations de
routage explicites?
routeur virtuel
routeur de secours
passerelle par défaut
Commutateur de couche 3
2. Quel périphérique présente l'illusion d'un routeur unique aux hôtes ensemble de routeurs
collaborant pour présenter l'apparence d'un routeur unique aux hôtes sur un segment de LAN.
routeur virtuel
routeur de transfert
3. Quel périphérique faisant partie d'un groupe de routeurs virtuels auquel a été attribué le rôle
de passerelle par défaut alternative?
routeur virtuel
routeur de secours
4. quel périphérique faisant partie d'un groupe de routeurs virtuels auquel a été attribué le rôle de
passerelle par défaut?
routeur virtuel
5. Quels protocoles de FHRP sont propriétaires de CISCO ? (Choisissez deux réponses.)
IRDP
HSRP
HSRP pour IPv6
VRRPv2
9.0
Présentation
9.2
HSRP
9.2.1
Présentation du protocole HSRP

Le protocole HSRP (Hot Standby Router Protocol) a été conçu par Cisco pour assurer la
redondance des passerelles sans configuration supplémentaire des périphériques finaux.
Le Protocole HSRP (Hot Standby Router Protocol) est un protocole FHRP propriétaire de
Cisco, conçu pour permettre le basculement transparent d'un périphérique IPv4 au premier
saut.
Le protocole HSRP offre une disponibilité de réseau élevée, par le biais d'une redondance de
routage au premier saut pour les hôtes IP des réseaux configurés avec une adresse de
passerelle par défaut IP. Il est utilisé dans un groupe de routeurs pour sélectionner un
périphérique actif et un périphérique en veille. Dans un groupe d'interfaces de périphérique, le
périphérique actif est celui qui est utilisé pour le routage des paquets; le périphérique en veille
est celui qui prend le relais en cas de défaillance du périphérique actif ou lorsque certaines
conditions prédéfinies sont réunies. La fonction du routeur en veille HSRP est de surveiller
l'état de fonctionnement du groupe HSRP et de prendre rapidement la responsabilité du
réacheminement des paquets lorsque le routeur actif est défaillant.
9.2.2
Priorité et Préemption HSRP
Le rôle des routeurs actifs et de secours est déterminé lors du processus de sélection de HSRP.
Par défaut, le routeur avec l'adresse IPv4 la plus élevée devient le routeur actif. Cependant, il
est toujours plus judicieux de contrôler la manière dont votre réseau fonctionne en conditions
normales plutôt que de laisser le hasard faire les choses.
Priorité HSRP
Il est possible d'utiliser la priorité HSRP pour déterminer le routeur actif. Le routeur associé à
la priorité HSRP la plus élevée devient le routeur actif. La valeur par défaut de la priorité
HSRP est 100. Si les priorités sont identiques, le routeur avec l'adresse IPv4 la plus élevée
devient le routeur actif.
Pour configurer un routeur en tant que routeur actif, utilisez la commande d'interface standby
priority . La plage de priorité HSRP va de 0 à 255.
Préemption HSRP
Par défaut, après être devenu le routeur actif, ce routeur reste le même si un autre routeur
associé à une priorité plus élevée est connecté.
Pour imposer un nouveau processus de sélection de routeur HSRP, activez la préemption à

l'aide de la commande d'interface standby preempt . La préemption est la capacité d'un
routeur HSRP à déclencher un nouveau processus de sélection. Lorsque la préemption est
activée, un routeur mis en ligne avec une priorité HSRP plus élevée assume le rôle de routeur
actif.
La préemption permet de définir un routeur comme routeur actif uniquement si celui-ci

affiche une priorité plus élevée. Un routeur pour lequel la préemption a été activée et qui a
une adresse IPv4 plus élevée, mais une priorité identique ne prendra pas la main sur un
routeur actif. Consultez la topologie dans la figure.
La topologie du réseau physique montre trois PC connectés à un commutateur. Le

commutateur à son tour est connecté à deux routeurs, le routeur R1 avec adresse IP
172.16.10.2/24 qui est le routeur actif actuel avec une priorité de 150, et le routeur R2 avec
adresse IP 172.16.10.3/24 qui est le routeur de secours actuel avec une priorité de 100. R1 et
R2 se connectent les deux à un cloud fédérateur. Il y a un routeur virtuel avec une adresse IP
virtuelle de 172.16.10.1/24 et une adresse MAC virtuelle de 0000.0C07.AC01.
172.16.10.2/24172.16.10.3/24R2R1G0/0/1G0/0/1
Routeur virtuelAdresse IPv4 virtuelle
172.16.10.1/24
Adresse MAC virtuelle
0000.0C07.AC01 Routeur actif
Priorité 150Routeur en veille
Priorité 100
R1 a été configuré avec la priorité HSRP 150 et R2 avec la priorité HSRP par défaut, soit 100.
La préemption est activée sur R1. Comme sa priorité est plus élevée, R1 est le routeur actif et
R2 le routeur de secours (standby). En raison d'une panne de courant affectant seulement R1,
le routeur actif n'est plus disponible et le routeur de secours R2 prend le relais. Une fois
l'alimentation rétablie, R1 est de nouveau disponible. Comme la priorité de R1 est plus élevée
et que la préemption est activée, il déclenche un nouveau processus de sélection. R1 reprend
son rôle de routeur actif et R2 celui du routeur de secours.
Remarque: Lorsque la préemption est désactivée, le premier routeur qui démarre devient le
routeur actif si aucun autre routeur n'est disponible pendant le processus de sélection.
9.2.3
Les états et les minuteurs HSRP

Un routeur peut avoir le rôle de routeur HSRP actif, chargé de transférer le trafic du segment
ou celui de routeur HSRP passif, en standby et prêt à prendre la main en cas de défaillance du
routeur actif. Lorsqu'une interface est configurée avec HSRP ou activée pour la première fois
avec une configuration HSRP existante, le routeur envoie et reçoit des paquets « hello »
HSRP pour commencer à déterminer son état au sein du groupe HSRP.
Le tableau récapitule les états HSRP :
Légende du tableau
États HSRP Description
cet état initial lorsqu'un changement de configuration a lieu ou une interface devient disponible pou
Initial
fois.
Le routeur n'a pas encore appris son adresse IP virtuelle ni reçu de messages Hello du routeur actif.
Apprendre
le routeur est en attente d’un message du routeur actif.
Le routeur connait son adresse IP virtuelle, mais n'est ni le routeur actif, ni le routeur de secours. Il a
Écouter
message de ceux-ci.
Le routeur envoie régulièrement des messages Hello et participe activement à la sélection du routeu
Parler
routeur de secours.
En veille Le routeur est candidat pour devenir le prochain routeur actif et envoie régulièrement des message
Par défaut, les routeurs actif et de secours envoient des paquets Hello à l'adresse de
multidiffusion du groupe HSRP toutes les 3 secondes. Le routeur de secours (standby) prend
la main s'il ne reçoit pas un message Hello du routeur actif après 10 secondes. Vous pouvez
diminuer ces délais pour accélérer le basculement ou la préemption. Toutefois, pour éviter une
utilisation accrue du processeur et des changements d'état «standby» inutiles, ne définissez
pas une valeur inférieure à une seconde pour le minuteur «hello» et à 4 secondes pour le
minuteur «hold» (attente).
9.2.4
Vérifiez votre compréhension - Le protocole

HSRP
Vérifiez votre compréhension de HSRP en choisissant la MEILLEURE réponse aux questions
suivantes.
1. Quelle est la priorité HSRP par défaut?
50
100
150
255
2. Vrai ou faux? Si un routeur avec une priorité HSRP plus élevée rejoint le réseau, il prendra le
relais du routeur actif à partir d'un routeur actif existant qui a une priorité inférieure.
Vrai
Faux
3. Au cours de quel état de protocole HSRP une interface commence-t-elle à envoyer des
messages de Hello périodiques?
initial
écouter
Parler
actif
4. Quelle est la caractéristique de l'état d'apprendre HSRP?
Le routeur n'a pas encore appris son adresse IP virtuelle
le routeur connaît l'adresse IP virtuelle
Le routeur envoie des messages Hello périodiques.
le routeur participe activement au processus d'élection actif/secours

9.1

9.3

9.3.1

Protocole de redondance au premier saut (FHRP)
En cas de défaillance d'un routeur ou d'une interface de routeur servant de passerelle par défaut,
les hôtes configurés avec cette passerelle par défaut sont isolés des réseaux extérieurs. Les
protocoles FHRP offrent des passerelles par défaut alternatives dans les réseaux commutés où
deux routeurs ou plus sont connectés aux mêmes VLAN. Pour éviter tout risque de point de
défaillance unique au niveau de la passerelle par défaut, il est possible d'implémenter un routeur
virtuel. Avec un routeur virtuel, plusieurs routeurs sont configurés pour un fonctionnement
conjoint, de manière à présenter l'illusion d'un routeur unique au regard des hôtes du LAN.
Lorsque le routeur actif est défaillant, le protocole de redondance définit le rôle de routeur actif
pour le routeur en veille. Voici la procédure en cas de défaillance du routeur actif:
1. Le routeur en veille cesse de voir les messages Hello du routeur de transfert.
2. Le routeur en veille assume le rôle du routeur de transfert.
3. Étant donné que le nouveau routeur de transfert assume à la fois le rôle de l'adresse IPv4 et celui
de l'adresse MAC du routeur virtuel, aucune interruption de service n'est constatée au niveau des
périphériques hôtes.
Le PFHRP utilisé dans un environnement de production dépend largement de l'équipement et

des besoins du réseau. Voici les options disponibles pour les protocoles FHRP:
 HSRP et HSRP pour IPv6

 VRRPV2 et VRRPV3
 GLBP et GLBP pour IPv6
 IRDP
HSRP
Le Protocole HSRP (Hot Standby Router Protocol) est un protocole FHRP propriétaire de Cisco,
conçu pour permettre le basculement transparent d'un périphérique IPv4 au premier saut. Il est
utilisé dans un groupe de routeurs pour sélectionner un périphérique actif et un périphérique en
veille. Dans un groupe d'interfaces de périphérique, le périphérique actif est celui qui est utilisé
pour le routage des paquets; le périphérique en veille est celui qui prend le relais en cas de
défaillance du périphérique actif ou lorsque certaines conditions prédéfinies sont réunies. La
fonction du routeur en veille HSRP est de surveiller l'état de fonctionnement du groupe HSRP et
de prendre rapidement la responsabilité du réacheminement des paquets lorsque le routeur actif
est défaillant. Le routeur associé à la priorité HSRP la plus élevée devient le routeur actif. La
préemption est la capacité d'un routeur HSRP à déclencher un nouveau processus de sélection.
Lorsque la préemption est activée, un routeur mis en ligne avec une priorité HSRP plus élevée
assume le rôle de routeur actif. Les états HSRP comprennent initial, apprendre, écouter, parler et
en veille.
9.3.2
Module Questionnaire - Concepts du FHRP

1.
Quel est l'objectif du HSRP?
Il empêche un commutateur non fiable de devenir la racine STP.
Il fournit une connexion réseau continue en cas d'un routeur est défaillant.
Il empêche les hôtes malveillants de se connecter aux ports de trunk.
Il permet un port d'accès de passer immédiatement à l'état de transfert.

2. Quel protocole non propriétaire fournit la redondance de routeur pour un groupe de routeurs
prenant en charge les LAN IPv4?
HSRP
SLB
GLBP
VRRPv2
3. Un administrateur réseau analyse les protocoles de redondance des routeurs au premier saut.
Quelle est l'une des caractéristiques du protocole VRRPv3?
Il permet l'équilibrage de la charge entre les routeurs.
Il prend en charge l'adressage IPv6 et IPv4.
VRRPv3 est un protocole propriétaire de Cisco.
Il est compatible avec le protocole HSRP.

4. Quel est le désavantage potentiel de la mise en œuvre du HSRP par rapport au GLBP ?
HSRP n'a pas la capacité de prendre en charge les adresses IPv6.
HSRP ne fonctionne pas dans un environnement de multifournisseurs.
HSRP ne fournit pas d'équilibrage de charge avec plusieurs routeurs actifs.

HSRP fournit le basculement de passerelle par défaut uniquement lorsque le routeur actif est
défaillant.
5. Un ingénieur réseau configure un réseau local avec un premier saut redondant pour mieux
utiliser les ressources réseau disponibles. Quel protocole l'ingénieur devrait-il mettre en œuvre?
HSRP
VRRP
FHRP
GLBP
6. Lorsque les protocoles de redondance de premier saut sont utilisés, quels deux éléments seront
partagés par un ensemble de routeurs qui présentent l'illusion d'être un routeur unique?
(Choisissez deux réponses.)
route statique
BID
nom d'hôte
Adresse IP
Adresse MAC
7. Dans la terminologie FHRP, quoi représente un ensemble de routeurs apparaissant en tant que
routeur unique aux hôtes?

routeur de secours
routeur virtuel
8. Un utilisateur souhaite ajouter la redondance sur les routeurs d'une entreprise. Quelles sont les
trois options que l'utilisateur peut utiliser? (Choisissez trois réponses.)
VRRP
RAID
IPFIX
GLBP
STP
HSRP
9. Quels sont les deux protocoles qui assurent la redondance de la passerelle à la couche 3?
HSRP
PVST
RSTP
VRRP
STP
10. Un administrateur réseau supervise la mise en œuvre des protocoles de redondance du premier
saut. Quels sont les deux protocoles propriétaires de Cisco? (Choisissez deux réponses.)
GLBP
VRRPv2
VRRP
HSRP
IRDP
11. Quelle affirmation décrit précisément une caractéristique de GLBP?
Il fournit un routage automatique si un routeur dans le groupe des routeurs est défaillant.
Il fournit plusieurs adresses IP virtuelles et plusieurs adresses MAC virtuelles.
Il fournit un équilibrage de charge pour un maximum de quatre passerelles.
Il ne prend pas en charge IPv6.

12. Un administrateur réseau analyse les fonctions prises en charge par différents protocoles de
redondance des routeurs de premier saut. Quelle proposition désigne une fonction associée au
protocole GLBP?
Il interagit avec le protocole VRRP.
Il ne s'agit pas d'un protocole propriétaire.

Le protocole GLBP permet l'équilibrage de la charge entre les routeurs.
Il utilise un routeur virtuel principal.

9.3.3
Packet Tracer - Guide de configuration du

HSRP
Remarque: La configuration HSRP n'est pas une compétence requise pour ce module, ce cours
ou pour la certification CCNA. Cependant, nous avons pensé que vous pourriez aimer
implémenter HSRP dans Packet Tracer. La réalisation de cette activité vous aidera à mieux
comprendre le fonctionnement des protocoles FHRP, et plus particulièrement du protocole
HSRP.
Dans cette activité Packet Tracer, vous apprendrez comment configurer le protocole HSRP pour
fournir des périphériques de passerelle par défaut redondants aux hôtes des réseaux locaux.
Après avoir configuré HSRP, vous testez la configuration pour vérifier que les hôtes peuvent
utiliser la passerelle par défaut redondante si le périphérique de passerelle actuel devient
indisponible.
 Configurer un routeur actif HSRP.

 Configurer un routeur de secours HSRP.
 Vérifier le fonctionnement du protocole HSRP.
Guide de configuration du HSRP

Guide de configuration du HSRP
9.3.4
Traceur de paquets - Exploration du Data Center

Les Data Centers sont souvent appelés le cerveau d'une organisation qui stocke et analyse des
données, assure la communication interne et avec les clients, et fournit les outils nécessaires aux
activités de recherche et de développement. Le Data Center doit être construit de manière à
pouvoir fournir en toute sécurité et efficacement tout son potentiel, quelle que soit la catastrophe
qui se produit. De nombreux systèmes différents entrent dans la construction d'un data center,
mais pour cette activité, nous nous intéresserons uniquement aux composants réseau.
La taille des data centers peut aller de quelques serveurs seulement à des centaines, voire des
milliers, de serveurs. Quelle que soit la taille, le data center doit être construit de manière
extrêmement organisée afin de simplifier la gestion et le dépannage d'un environnement
complexe. Une autre caractéristique de conception consiste à rendre le data center plus robuste
en utilisant la redondance pour éliminer tout point de défaillance unique. Cela peut impliquer
l'ajout de périphériques supplémentaires pour assurer une redondance physique et/ou l'utilisation
de technologies telles que les protocoles de redondance de premier saut (FHRP) et l'agrégation
de liens pour assurer une redondance logique.
Dans cette activité PTPM (Packet Tracer Physical Mode), la plupart des périphériques des data
centers de Toronto et de Seattle sont déjà déployés et configurés. Vous venez d'être embauché
pour examiner le déploiement actuel et augmenter la capacité du data center 1 à Toronto.
Remarque: Veuillez patienter. Le chargement de cette activité PTPM peut prendre plusieurs
minutes.
Introduction
10.0.1

Bienvenue au concepts de sécurité du LAN!
Si votre parcours de carrière est dans l'informatique, vous ne construirez pas ou ne

maintiendrez pas seulement des réseaux. Vous serez responsable de la sécurité de votre
réseau. Pour les architectes et administrateurs de réseaux d'aujourd'hui, la sécurité n'est pas
une réflexion après coup. C'est une priorité absolue pour eux! En fait, de nombreux
informaticiens travaillent désormais exclusivement dans le domaine de la sécurité des
réseaux.
Comprenez-vous ce qui sécurise un LAN? Savez-vous quelles menaces les acteurs peuvent
faire pour briser la sécurité du réseau? Savez-vous ce que vous pouvez faire pour les arrêter?
Ce module est votre introduction au monde de la sécurité des réseaux, alors n’attendez pas,
cliquez sur Suivant!
10.0.2

module?
Titre du module: Concepts de sécurité du réseau local LAN
Objectif du module: Expliquer comment les vulnérabilités compromettent la sécurité du

réseau local.
Légende du tableau
Expliquez comment utiliser la sécurité des

Sécurité des terminaux
terminaux pour atténuer les attaques.
Légende du tableau
Expliquez comment AAA et 802.1X sont utilisés pour

Contrôle d'accès
authentifier les points de terminaison LAN et Cisco.
Menaces pour la sécurité de niveau 2 Identifier les vulnérabilités de niveau 2.
Expliquer comment une attaque de table d'adresses

Attaque de table d'adresses MAC
MAC compromet la sécurité du réseau LAN.
Expliquez comment les attaques LAN

Attaques de réseau LAN
compromettent la sécurité LAN.
9.3

10.1
Sécurité des Terminaux

10.1.1
Les Attaques des Réseaux d'Aujourd'hui

Les médias d'information couvrent généralement les attaques contre les réseaux d'entreprise.
Recherchez simplement sur Internet les «dernières attaques réseau» pour trouver des
informations à jour sur les attaques en cours. Probablement, ces attaques impliqueront un ou
plusieurs des éléments suivants:
 Déni de service distribué (DDoS) – Il s'agit d'une attaque coordonnée de nombreux périphériques,
appelés zombies, dans le but de dégrader ou d'interrompre l'accès du public au site Web et aux
ressources d'une organisation.
 Violation de données – Il s'agit d'une attaque dans laquelle les serveurs de données ou les hôtes
d'une organisation sont compromis pour voler des informations confidentielles.
 Programme malveillant – Il s'agit d'une attaque dans laquelle les hôtes d'une organisation sont
infectés par des logiciels malveillants qui provoquent divers problèmes. Par exemple, un ransomware
tel que WannaCry, illustré sur la figure, chiffre les données sur un hôte et verrouille l'accès jusqu'à ce
qu'une rançon soit payée.
10.1.2
Appareils de Sécurité de Réseau

Divers appareils de sécurité du réseau sont nécessaires pour protéger le périmètre du réseau
contre tout accès extérieur. Ces périphériques peuvent inclure un routeur activé avec un
réseau privé virtuel (VPN), un pare-feu de nouvelle génération (NGFW) et un périphérique de
contrôle d'accès au réseau (NAC).
Cliquez sur chaque périphérique de sécurité du réseau pour plus d'informations.

VPN-Routeur activé
Pare-feu de nouvelle génération
NAC
Un routeur activé VPN fournit une connexion sécurisée aux utilisateurs distants sur un réseau
public et dans le réseau d'entreprise. Les services VPN peuvent être intégrés au pare-feu.
10.1.3
Protection des Terminaux

Les périphériques LAN tels que les commutateurs, les contrôleurs LAN sans fil (WLC) et
d'autres périphériques de point d'accès (AP) interconnectent les points de terminaison. La
plupart de ces périphériques sont sensibles aux attaques liées au réseau local couvertes par ce
module.
Mais de nombreuses attaques peuvent également provenir de l'intérieur du réseau. Une fois
qu'un hôte interne est infecté, il peut devenir un point d'entrée pour un hacker qui souhaite
accéder à des éléments critiques du système, tels que les serveurs et les informations
sensibles.
Les terminaux sont des hôtes qui se composent généralement d'ordinateurs portables,
d'ordinateurs de bureau, de serveurs et de téléphones IP, ainsi que d'appareils appartenant aux
employés qui sont généralement appelés apporter vos propres appareils (BYOD). Les
terminaux sont particulièrement sensibles aux attaques liées aux logiciels malveillants qui
proviennent de la messagerie électronique ou de la navigation Web. Ces terminaux ont
généralement utilisé des fonctionnalités de sécurité traditionnelles basées sur l'hôte, telles que
l'antivirus / anti-programme malveillant, les pare-feu basés sur l'hôte et les systèmes de
prévention des intrusions (HIPS) basés sur l'hôte. Cependant, aujourd'hui, les terminaux sont
mieux protégés par une combinaison de NAC, d'un logiciel AMP basé sur l'hôte, d'une
appliance de sécurité de messagerie (ESA) et d'une appliance de sécurité Web (WSA). Les
produits de protection avancée contre les logiciels malveillants (AMP) incluent des solutions
des terminaux telles que Cisco AMP pour les terminaux.
La figure est une topologie simple représentant tous les périphériques de sécurité des réseaux
et solutions des terminaux discutés dans ce module.
La figure est une topologie de réseau montrant les périphériques de sécurité des réseaux et les
solutions des terminaux. En haut à gauche se trouve le cloud Internet. Attaché au cloud
Internet est un utilisateur distant avec un client VPN. Connecté au cloud sur le réseau interne
est un routeur activé VPN qui est connecté à un NGFW. Le NGFW est connecté à un
commutateur multicouche qui a deux connexions à un autre commutateur multicouche. Un
périphérique NAC AAA / ISE est connecté au premier commutateur. Un périphérique
ESA/WSA est connecté au deuxième commutateur. Les deux commutateurs multicouches
sont tous deux connectés à un commutateur LAN sécurisé et à un WLC. Plusieurs terminaux
filaires et sans fil sécurisés avec AMP sont également présentés, notamment un ordinateur de
bureau, un ordinateur portable, un téléphone IP et un smartphone.
InternetUtilisateur distant avec client de VPNNAC

AAA/ISEESA/WSAVPN-
Routeur activéPare-feu de nouvelle générationWLCFilaire et sans fil
Terminaux Sécurisé avec AMP
10.1.4
Appliance de Sécurisation de La Messagerie

Cisco
Les appliances de sécurité du contenu incluent un contrôle précis des e-mails et de la
navigation Web pour les utilisateurs d'une organisation.
Selon le Talos Intelligence Group de Cisco, en juin 2019, 85% de tous les e-mails envoyés
étaient du spam. Les attaques d'hameçonnage sont une forme de spam particulièrement
virulente. Rappelons qu'une attaque d'hameçonnage incite l'utilisateur à cliquer sur un lien ou
à ouvrir une pièce jointe. L'hameçonnage cible les employés ou les cadres supérieurs qui
peuvent avoir des identifiants de connexion élevés. Ceci est particulièrement crucial dans
l'environnement actuel où, selon le SANS Institute, 95% de toutes les attaques sur les réseaux
d'entreprise sont le résultat d'une attaque d'hameçonnage réussie.
Cisco ESA est un appareil conçu pour surveiller le protocole SMTP (Simple Mail Transfer
Protocol). Cisco ESA est constamment mis à jour par des flux en temps réel de Cisco Talos,
qui détecte et corrèle les menaces et les solutions en utilisant un système de surveillance de
base de données mondial. Ces données de renseignement sur les menaces sont extraites par
Cisco ESA toutes les trois à cinq minutes. Voici quelques-unes des fonctions de Cisco ESA:
 Bloquer les menaces connues.

 Traitement contre les logiciels malveillants furtifs qui ont échappé à la détection initiale.
 Jeter les e-mails contenant des liens incorrects (comme indiqué sur la figure).
 Bloquer l'accès aux sites nouvellement infectés.
 Chiffrer le contenu des e-mails sortants pour éviter la perte de données.
Dans la figure, Cisco ESA rejette l'e-mail avec des liens incorrects.
un acteur de menace envoie un e-mail d'hameçonnage du cloud destiné à un dirigeant

d'entreprise; le pare-feu le transmet à l'ESA qui le rejette
123
ESA
Dirigeant d'entreprise
1. L'acteur de menace envoie une attaque d'hameçonnage à un hôte important du réseau.

2. Le pare-feu transmet tous les e-mails à l'ESA.
3. L'ESA analyse le courrier électronique, l'enregistre et, s'il s'agit d'un logiciel malveillant, le jette.
10.1.5
Appliance Cisco pour la Sécurité du Web

L'appliance de sécurité Web Cisco (WSA) est une technologie d'atténuation des menaces
Web. Il aide les organisations à relever les défis de la sécurisation et du contrôle du trafic
Web. Cisco WSA combine une protection avancée contre les logiciels malveillants, la
visibilité et le contrôle des applications, des contrôles de politique d'utilisation acceptable et
des rapports.
Cisco WSA offre un contrôle complet sur la façon dont les utilisateurs accèdent à Internet.
Certaines fonctionnalités et applications, telles que le chat, la messagerie, la vidéo et l’audio,
peuvent être autorisées, restreintes avec des limites de temps et de bande passante, ou
bloquées, selon les besoins de l’organisation. Le WSA peut effectuer la liste noire des URL,
le filtrage des URL, l'analyse des logiciels malveillants, la catégorisation des URL, le filtrage
des applications Web et le chiffrement et le déchiffrement du trafic Web.
Dans la figure, un employé interne de l'entreprise utilise un smartphone pour essayer de se

connecter à un site connu sur liste noire.
un utilisateur interne essaye de se connecter à un site Web sur liste noire; le pare-feu le
transmet au WSA qui le rejette
312
WSAInternethttp://example.com/bad
1. Un utilisateur essaye de se connecter à un site Web.

2. Le pare-feu transmet la demande de site Web à la WSA.
3. Le WSA évalue l'URL et détermine qu'il s'agit d'un site connu sur liste noire. Le WSA rejette le paquet
et envoie un message d'accès refusé à l'utilisateur.
10.1.6
Vérifiez votre compréhension - Sécurité des

Terminaux
Vérifiez votre compréhension de la sécurité des terminaux en choisissant la MEILLEURE
option pour les questions suivantes.
1. Quelle attaque chiffre les données sur les hôtes dans le but d'extraire un paiement monétaire
de la victime?
DDoS
Violation de données
Programme malveillant
Rançongiciel
2. Quels périphériques sont spécifiquement conçus pour la sécurité du réseau? (Choisissez trois
réponses)
VPN-Routeur activé

Commutateur
WLC
NAC
3. Quel appareil surveille le trafic SMTP pour bloquer les menaces et chiffrer les messages
sortants pour éviter la perte de données?
ESA
NAC
WSA
4. Quel périphérique surveille le trafic HTTP pour bloquer l'accès aux sites à risque et chiffrer
les messages sortants?
ESA
NAC
WSA
10.0
Introduction
10.2
Contrôle d'Accès
10.2.1
Authentification avec Un Mot de Passe Local

Dans la rubrique précédente, vous avez appris qu'un périphérique NAC fournit des services
AAA. Dans cette rubrique, vous en apprendrez plus sur AAA et les moyens de contrôler
l'accès.
De nombreux types d'authentification peuvent être effectués sur des périphériques réseau, et
chaque méthode offre différents niveaux de sécurité. La méthode d'authentification d'accès à
distance la plus simple consiste à configurer une combinaison d'identifiant et de mot de passe
sur la console, les lignes vty et les ports auxiliaires, comme indiqué dans les lignes vty de
l'exemple suivant. Cette méthode est la plus simple à mettre en œuvre, mais elle est aussi la
plus faible et la moins sécurisée. Cette méthode n'assure aucune responsabilité et le mot de
passe est envoyé en clair. Toute personne disposant du mot de passe peut accéder à l'appareil.
R1(config-line)# password ci5c0
SSH est une forme d'accès à distance plus sécurisée:
 Il nécessite un nom d'utilisateur et un mot de passe, tous deux chiffrés lors de la transmission.
 Le nom d'utilisateur et le mot de passe peuvent être authentifiés par la méthode de la base de
données locale.
 Il offre plus de responsabilité car le nom d'utilisateur est enregistré lorsqu'un utilisateur se connecte.
L'exemple suivant illustre SSH et les méthodes d'accès distant à la base de données locale.
R1(config)# ip domain-name example.com
R1(config)# crypto key generate rsa general-keys modulus 2048
R1(config)# username Admin secret Str0ng3rPa55w0rd
R1(config)# ssh version 2

R1(config-line)# transport input ssh
R1(config-line)# login local
La méthode de la base de données locale présente certaines limites:
 Les comptes d'utilisateurs doivent être configurés localement sur chaque périphérique. Dans un
environnement de grande entreprise avec plusieurs routeurs et commutateurs à gérer, la mise en
œuvre et la modification des bases de données locales sur chaque périphérique peuvent prendre du
temps.
 La configuration de la base de données locale ne fournit aucune méthode d'authentification de
secours. Par exemple, que se passe-t-il si l'administrateur oublie le nom d'utilisateur et le mot de
passe d'un périphérique ? À défaut d'une méthode de secours pour l'authentification, la
récupération du mot de passe est la seule option.
Une meilleure solution consiste à faire en sorte que tous les périphériques se réfèrent à la
même base de données de noms d'utilisateur et de mots de passe à partir d'un serveur central.
10.2.2
Composants du AAA
AAA signifie Authentification, Autorisation et Comptabilité. Le concept AAA est similaire à
l'utilisation d'une carte de crédit, comme le montre la figure. La carte de crédit identifie qui
peut l'utiliser, combien cet utilisateur peut dépenser et tient un compte des articles ou services
achetés par l'utilisateur.
AAA fournit le cadre principal pour configurer le contrôle d'accès sur un périphérique de
réseau. L'AAA est un moyen de contrôler qui est autorisé à accéder à un réseau (authentifier),
ce qu'ils peuvent faire pendant qu'ils sont là (autoriser), et de vérifier quelles actions ils ont
effectuées lors de l'accès au réseau (comptabilité).
Authentification-Autorisation-et-Comptabilité - transcription - UUID

Authentification
Qui êtes-vous?Autorisation
Combien pouvez-vous dépenser ?Comptabilité

Dans quel but l'avez-vous dépensé ?
10.2.3
Authentification
L'authentification locale et l'authentification par serveur sont deux méthodes courantes de
mise en œuvre de l'authentification AAA.
Authentification AAA locale
L'AAA local stocke les noms d'utilisateur et les mots de passe localement dans un
périphérique réseau tel que le routeur Cisco. Les utilisateurs s'authentifient auprès de la base
de données locale, comme illustré dans la figure. L'authentification AAA locale est idéale
pour les réseaux de petite taille.
un client distant se connecte à un routeur AAA, est invité à entrer un nom d'utilisateur et un
mot de passe, le routeur vérifie sa base de données locale avant d'autoriser l'accès au réseau
d'entreprise
123
Client distantRouteur AAARéseau d'entreprise
1. Le client établit une connexion avec le routeur.

2. Le routeur AAA invite l'utilisateur à saisir un nom d'utilisateur et un mot de passe.
3. Le routeur authentifie le nom d'utilisateur et le mot de passe à l'aide de la base de données locale,
tandis que l'utilisateur obtient un accès au réseau en fonction des informations contenues dans la
base de données locale.
Authentification AAA basée sur le serveur
Avec la méthode basée sur le serveur, le routeur accède à un serveur AAA central, comme
indiqué sur la figure. Le serveur AAA contient les noms d'utilisateur et mot de passe pour
tous les utilisateurs. Le routeur utilise les protocoles RADIUS (Service utilisateur d'accès à
distance par authentification) ou TACACS+ (Contrôleur d'accès aux terminaux Système de
contrôle d'accès) pour communiquer avec le serveur AAA. Lorsqu'il y a plusieurs routeurs et
commutateurs, l'AAA sur serveur est plus approprié.
un client distant se connecte à un routeur AAA, est invité à entrer un nom d'utilisateur et un
mot de passe, le routeur authentifie les informations d'identification à l'aide d'un serveur AAA
et l'utilisateur dispose d'un accès au réseau
1234
Client distantRouteur AAAServeur AAA
1. Le client établit une connexion avec le routeur.

2. Le routeur AAA invite l'utilisateur à saisir un nom d'utilisateur et un mot de passe.
3. Le routeur authentifie le nom d'utilisateur et le mot de passe à l'aide d'un serveur AAA.
4. L'utilisateur obtient un accès au réseau en fonction des informations contenues dans le serveur AAA
distant.
10.2.4
Autorisation
L'autorisation AAA est automatique et ne nécessite pas que les utilisateurs effectuent des
étapes supplémentaires après l'authentification. L'autorisation régit ce que les utilisateurs
peuvent et ne peuvent pas faire sur le réseau après leur authentification.
L'autorisation utilise un ensemble d'attributs qui décrivent l'accès de l'utilisateur au réseau.

Ces attributs sont utilisés par le serveur AAA pour déterminer les privilèges et les restrictions
pour cet utilisateur, comme illustré dans la figure.
123
Client distantServeur AAA
1. Lorsqu'un utilisateur a été authentifié, une session est établie entre le routeur et le serveur AAA.
2. Le routeur demande l'autorisation du serveur AAA pour le service demandé par le client.
3. Le serveur AAA renvoie une réponse PASS / FAIL pour autorisation.
10.2.5
Comptabilité
La comptabilité AAA collecte et rapporte les données d'utilisation. Ces données peuvent être
utilisées à des fins d'audit ou de facturation, par exemple. Les données recueillies peuvent
indiquer les heures de début et de fin des connexions, les commandes exécutées, le nombre de
paquets et le nombre d'octets.
Une utilisation principale de la comptabilité est de la combiner avec l'authentification AAA.

Le serveur AAA conserve un journal détaillé de ce que l'utilisateur authentifié fait exactement
sur le périphérique, comme indiqué sur la figure. Ce journal comprend toutes les commandes
EXEC et les commandes de configuration exécutées par l'utilisateur. Il contient de nombreux
champs de données, à savoir le nom d'utilisateur, la date et heure ainsi que les commandes
saisies par l'utilisateur. Ces informations sont utiles lors du dépannage des appareils. Il fournit
également des preuves lorsque des individus commettent des actes malveillants.
12
Client distantServeur AAA
1. Lorsqu'un utilisateur a été authentifié, le processus de gestion des comptes AAA génère un message
de démarrage pour commencer le processus.
2. Lorsque l'utilisateur a terminé, un message d'arrêt est enregistré et le processus de gestion des
comptes s'arrête.
10.2.6
802.1X
La norme IEEE 802.1X est un protocole de contrôle d'accès et d'authentification basé sur les
ports. Ce protocole empêche les stations de travail non autorisées de se connecter à un réseau
local via des ports de commutation accessibles au public. Avant de mettre à disposition les
services offerts par le commutateur ou le LAN, le serveur d'authentification authentifie
chaque station de travail connectée à un port de commutation.
Avec l'authentification basée sur le port 802.1X, les périphériques du réseau ont des rôles
spécifiques, comme illustré dans la figure.
Le diagramme montre les périphériques impliqués dans l'authentification basée sur le port
802.1x. À gauche se trouve le suppliant, dans ce cas un ordinateur de bureau, qui nécessite un
accès et répond aux demandes d'un commutateur. Le demandeur est connecté à
l'authentificateur, dans ce cas un commutateur, qui contrôle l'accès physique au réseau en
fonction de l'état d'authentification du client. L'authentificateur est connecté au serveur
d'authentification qui effectue l'authentification du client.
DemandeurPermet de demander l'accès et de répondre aux requêtes depuis le commutateurAuthentificateurPermet

de contrôler l'accès physique au réseau en fonction du statut d'authentification du clientAuthentificationPermet
d'authentifier les clients
 Client (Demandeur) - Il s'agit d'un périphérique équipé d'un logiciel client conforme à la norme
802.1X, disponible pour les périphériques avec ou sans fil.
 Commutateur (Authentificateur) - Le commutateur sert d'intermédiaire entre le client et le serveur
d'authentification. Il demande les informations d'identification du client, vérifie ces informations
auprès du serveur d'authentification, puis transmet une réponse au client. Un autre dispositif qui
pourrait servir d'authentificateur est un point d'accès sans fil.
 Serveur d'authentification – Le serveur valide l'identité du client et informe le commutateur ou le
point d'accès sans fil que le client est ou n'est pas autorisé à accéder au LAN et aux services de
commutateur.
10.2.7
Vérifiez votre compréhension - Contrôle

d'Accès
Vérifiez votre compréhension de contrôle d’accès en choisissant la MEILLEURE réponse aux
1. Quel composantde l'AAA est responsable de la collecte et de rapport des données d'utilisation
à des fins d'audit et de facturation?
Authentification
Autorisation
Traçabilité
2. Quel composant de l'AAA est chargé de contrôler qui est autorisé à accéder au réseau?
Authentification
Autorisation
Traçabilité
3. Quel composant de l'AAA est chargée de déterminer à quoi l'utilisateur peut accéder ?
Authentification
Autorisation
Traçabilité
4. Dans une implémentation 802.1X, quel périphérique est responsable du relais des réponses?
Demandeur
Authentificateur
Routeur
Serveur d'authentification
Client
10.1
Sécurité des Terminaux

10.3
Menaces pour la sécurité de niveau 2
Menaces pour la sécurité de niveau

2
10.3.1
Vulnérabilités de La Couche 2
Les deux rubriques précédents ont discuté la sécurisation des terminaux. Dans cette rubrique,
vous continuerez à découvrir les moyens de sécuriser le LAN en vous concentrant sur les
trames trouvées dans la couche de liaison de données (couche 2) et le commutateur.
Rappelons que le modèle de référence OSI est divisé en sept couches qui fonctionnent
indépendamment les unes des autres. La figure montre la fonction de chaque couche et les
éléments centraux qui peuvent être exploités.
Les administrateurs du réseau implémentent régulièrement des solutions de sécurité pour

protéger les éléments de la couche 3 à la couche 7. Ils utilisent des VPN, des pare-feu et des
périphériques IPS pour protéger ces éléments. Cependant, si la couche 2 est compromise,
toutes les couches supérieures sont également affectées. Par exemple, si un acteur de menace
ayant accès au réseau interne a capturé des trames de couche 2, alors toute la sécurité mise en
œuvre sur les couches ci-dessus serait inutile. L'acteur de menace pourrait causer de
nombreux dommages à l'infrastructure réseau LAN de couche 2.
Le diagramme montre le nombre, le nom et d'autres informations liées aux couches OSI de
haut en bas: 7 - application, 6- présentation, 5 - session, 4 - transport, 3 - réseau, 2 - liaison de
données et 1 - physique . Il montre un compromis initial des trames Ethernet à la couche 2
avec une flèche indiquant que toutes les couches ci-dessus ont également été compromises.
HTTP, HTTPS, POP3, IMAP, SSL, SSH, ...Protocoles/PortsAdresses IPTrames EthernetLiaisons

physiquesCompromis initialCompromis7654321ApplicationPrésentationSessionTransportRéseauLiaison de
donnéesPhysique
10.3.2
Les Catégories d'Attaque du Commutateur

La sécurité n'est aussi solide que le lien le plus faible du système, et la couche 2 est
considérée comme ce lien faible. Cela est dû au fait que, les réseaux locaux étaient
traditionnellement sous le contrôle administratif d'une seule organisation. Nous avons
intrinsèquement fait confiance à toutes les personnes et tous les appareils connectés à notre
réseau local. Aujourd'hui, avec le BYOD et des attaques plus sophistiquées, nos réseaux
locaux sont devenus plus vulnérables à la pénétration. Par conséquent, en plus de protéger les
couches 3 à 7, les professionnels de la sécurité réseau doivent également atténuer les attaques
contre l'infrastructure LAN de couche 2.
Pour cela, il est essentiel de comprendre comment fonctionne réellement la couche 2 et les
menaces exploitables sur celles-ci.
Les attaques contre l'infrastructure LAN de couche 2 sont décrites dans le tableau et discutées
plus en détail plus loin dans ce module.
Layer 2 Attacks
Légende du tableau
Catégorie Exemples
Attaques de Table MAC Comprend les attaques par inondation de l'adresse MAC.
Comprend les attaques par saut et par double marquage de VLAN. Il

Attaques de VLAN comprend également les attaques entre les périphériques sur un
VLAN commun.
Attaques DHCP Comprend la famine DHCP et les attaques d'usurpation DHCP.
Comprend l'usurpation d'identité ARP et les attaques

Attaques ARP
d'empoisonnement ARP.
Attaques par usurpation

Comprend les attaques d'usurpation d'adresse MAC et d'adresse IP.
d'adresse
Comprend les attaques de manipulation du protocole Spanning Tree

Attaques STP
(arbre enjambant).
10.3.3
Les Techniques d'Atténuation des Attaques du

Commutateur
Le tableau fournit un aperçu des solutions Cisco pour aider à atténuer les attaques de couche
2.
Layer 2 Attack Mitigation
Légende du tableau
Solution Description
Empêche de nombreux types d'attaques, y compris les attaques

Sécurité des ports
d'inondation d'adresses MAC et les attaques de famine DHCP.
Empêche la famine du DHCP et les attaques d'usurpation du

Surveillance DHCP
DHCP.
Empêche l'usurpation d'ARP et les attaques d'empoisonnement

Inspection ARP dynamique (DAI)
d'ARP.
Protection de la source IP (IPSG) Empêche les attaques d'usurpation d'adresse MAC et IP.
Ces solutions de couche 2 ne seront pas efficaces si les protocoles de gestion ne sont pas
sécurisés. Par exemple, les protocoles de gestion Syslog, Protocole de gestion de réseau
simple (SNMP), Protocole de transfert de fichiers trivial (TFTP), telnet, Protocole de transfer
de fichier (FTP) et la plupart des autres protocoles courants ne sont pas sécurisés; par
conséquent, les stratégies suivantes sont recommandées:
 Utilisez toujours des variantes sécurisées de ces protocoles telles que SSH, Protocole de copie
sécuriséel (SCP), FTP sécurisé (SFTP) et couche de socket sécurisée / Sécurité de la couche de
transport (SSL / TLS).
 Envisagez d'utiliser un réseau de gestion hors bande pour gérer les périphériques.
 Utilisez un VLAN de gestion dédié sur lequel seul circule le trafic de gestion.
 Utilisez des listes de contrôle d'accès pour filtrer tout accès non souhaité.
10.3.4
Vérifiez votre compréhension - Menaces de

Sécurité de Couche 2
Vérifiez votre compréhension des menaces de sécurité de couche 2 en choisissant la
1. Parmi les techniques d'atténuation suivantes, lesquelles sont utilisées pour protéger les
couches 3 à 7 du modèle OSI? (Choisissez trois propositions.)
Surveillance DHCP
VPN
Pare-feu
IPSG
Périphériques IPS
2. Laquelle des techniques d'atténuation suivantes empêche de nombreux types d'attaques,
notamment le débordement de la table d'adresses MAC et les attaques de famine du DHCP?
IPSG
Surveillance DHCP
DAI

3. Laquelle des techniques d'atténuation suivantes empêche l'usurpation d'adresse MAC et IP?
IPSG
Surveillance DHCP
DAI

4. Laquelle des techniques d'atténuation suivantes empêche l'usurpation du ARP et les attaques
d'empoisonnement du ARP?
IPSG
Surveillance DHCP
DAI

5. Laquelle des techniques d'atténuation suivantes empêche la famine du DHCP et les attaques
d'usurpation du DHCP?
IPSG
Surveillance DHCP
DAI

10.2
Contrôle d'Accès
10.4
Attaque de Table d'Adresses MAC

10.4.1
Revue du Fonctionnement des Commutateurs

Dans cette rubrique, l'accent est toujours mis sur les commutateurs, en particulier leurs tables
d'adresses MAC et la façon dont ces tables sont vulnérables aux attaques.
Rappelons que pour prendre des décisions de transfert, un commutateur LAN de couche 2
construit une table basée sur les adresses MAC source dans les trames reçues. Montré dans la
figure, cela s'appelle une table d'adresses MAC. Les tables d'adresses MAC sont stockées en
mémoire et sont utilisées pour transmettre plus efficacement les trames.
S1# show mac address-table dynamic
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.9717.22e0 DYNAMIC Fa0/4
1 000a.f38e.74b3 DYNAMIC Fa0/1
1 0090.0c23.ceca DYNAMIC Fa0/3
1 00d0.ba07.8499 DYNAMIC Fa0/2
S1#
10.4.2
Inondation de la Table d'Adresses MAC

Toutes les tables MAC ont une taille fixe et par conséquent, un commutateur peut manquer de
ressources pour stocker les adresses MAC. Les attaques par inondation d'adresses MAC
profitent de cette limitation en bombardant le commutateur avec de fausses adresses sources
MAC jusqu'à ce que la table d'adresses MAC du commutateur soit pleine.
Lorsque cela se produit, le commutateur traite la trame comme une monodiffusion inconnue
et commence à inonder tout le trafic entrant sur tous les ports du même VLAN sans référencer
la table MAC. Cette condition permet désormais à un acteur de menace de capturer toutes les
trames envoyées d'un hôte à un autre sur le LAN local ou le VLAN local.
Remarque: Le trafic n'est inondé que dans le LAN local ou le VLAN. L'acteur de menace ne
peut capturer que le trafic au sein du LAN ou VLAN local auquel il est connecté.
La figure montre comment un acteur de menace peut facilement utiliser l'outil d'attaque
réseau macof pour déborder une table d'adresses MAC.
The figure shows a threat actor with a computer connected to a switch with a cloud next to it
labeled V LAN 10. An arrow from the threat actor to the switch is labeled 1. The switch is
labeled 2. an arrow from the switch to the treat actor is labeled 3. The threat actor is labeled 4
1234
Acteur de menaceVLAN 10
1. L'acteur de menace est connecté au VLAN 10 et utilise macof pour générer rapidement de
nombreuses adresses MAC et IP de source et de destination aléatoires.
2. Sur une courte période, la table MAC du commutateur se remplit.
3. Lorsque la table MAC est pleine, le commutateur commence à inonder toutes les trames qu'il reçoit.
Tant que macof continue de fonctionner, la table MAC reste pleine et le commutateur continue
d'inonder toutes les trames entrantes sur chaque port associé au VLAN 10.
4. L'acteur de menace utilise ensuite un logiciel de reniflage de paquets pour capturer les trames de
tous les appareils connectés au VLAN 10.
Si l'acteur de menace arrête l'exécution de macof ou est découvert et arrêté, le commutateur

vieillit finalement les anciennes entrées d'adresse MAC de la table et recommence à agir
comme un commutateur.
10.4.3
Atténuation des attaques de Table d'Adresses

MAC
Ce qui rend les outils tels que macof si dangereux, c'est qu'un attaquant peut créer une attaque
de débordement de table MAC très rapidement. Par exemple, un commutateur Catalyst 6500
peut stocker 132 000 adresses MAC dans sa table d'adresses MAC. Un outil tel
que macof peut inonder un interrupteur avec jusqu'à 8 000 faux trames par seconde; créer une
attaque de débordement de la table d'adresses MAC en quelques secondes. L'exemple montre
un exemple de sortie de la commande macof sur un hôte Linux.
# macof -i eth1
36:a1:48:63:81:70 15:26:8d:4d:28:f8 0.0.0.0.26413 > 0.0.0.0.49492: S
1094191437:1094191437(0) win 512

16:e8:8:0:4d:9c da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S
446486755:446486755(0) win 512

18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 > 0.0.0.0.6728: S
105051945:105051945(0) win 512

e7:5c:97:42:ec:1 83:73:1a:32:20:93 0.0.0.0.45282 > 0.0.0.0.24898: S
1838062028:1838062028(0) win 512

62:69:d3:1c:79:ef 80:13:35:4:cb:d0 0.0.0.0.11587 > 0.0.0.0.7723: S
1792413296:1792413296(0) win 512

c5:a:b7:3e:3c:7a 3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S
1018924173:1018924173(0) win 512

88:43:ee:51:c7:68 b4:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S
727776406:727776406(0) win 512

b8:7a:7a:2d:2c:ae c2:fa:2d:7d:e7:bf 0.0.0.0.32650 > 0.0.0.0.11324: S
605528173:605528173(0) win 512

e0:d8:1e:74:1:e 57:98:b6:5a:fa:de 0.0.0.0.36346 > 0.0.0.0.55700: S
2128143986:2128143986(0) win 512
Une autre raison pour laquelle ces outils d'attaque sont dangereux est qu'ils affectent non
seulement le commutateur local, ils peuvent également affecter d'autres commutateurs de
couche 2 connectés. Lorsque la table d'adresses MAC d'un commutateur est pleine, elle
commence à déborder tous les ports, y compris ceux connectés à d'autres commutateurs de
couche 2.
Pour atténuer les attaques de débordement de la table d'adresses MAC, les administrateurs
réseau doivent implémenter la sécurité des ports. La sécurité des ports ne permettra
d'apprendre qu'un nombre spécifié d'adresses sources MAC sur le port. La sécurité des ports
est discuté plus en détail dans un autre module.
10.4.4
Vérifiez votre compréhension - Attaques de

Table d'Adresses MAC
Vérifiez votre compréhension d'attaques de table d'adresses MAC en choisissant la
1. Quel est le comportement d'un commutateur suite à une attaque réussie de table d'adresses
MAC?
Le commutateur s'arrête.
Les interfaces du commutateur passent sont désactivées.
Le commutateur transmettra toutes les trames reçues à tous les autres ports du VLAN.
Le commutateur abandonne toutes les trames reçues.

2. Quelle serait la principale raison pour laquelle un acteur de menace lancerait une attaque par
débordement d'adresse MAC?
Pour que l'acteur de menace puisse voir les trames destinées à d'autres périphériques.
Pour que l'acteur de menace puisse exécuter du code arbitraire sur le commutateur.
Pour que le commutateur arrête de transmettre le trafic.
Pour que les hôtes légitimes ne puissent pas obtenir d'adresse MAC.
3. Quelle technique d'atténuation doit être mise en œuvre pour empêcher les attaques par
débordement d'adresse MAC?
IPSG
DAI
Surveillance DHCP
10.3
Menaces pour la sécurité de niveau 2

10.5
Attaques de Réseau LAN

10.5.1
Vidéo - Attaques VLAN et DHCP

Cette rubrique examine les différents types d'attaques LAN et leurs techniques d'atténuation.
Comme les rubriques précédents, ces attaques ont tendance à être spécifiques aux
commutateurs et à la couche 2.
Cliquez sur Lecture dans la figure pour voir une vidéo sur les attaques VLAN et DHCP.
Play Video
10.5.2
Attaques Sautantes de VLAN

Une attaque par saut de VLAN permet au trafic d'un VLAN d'être vu par un autre VLAN sans
l'aide d'un routeur. Dans une attaque de saut de VLAN de base, l'acteur de menace configure un
hôte pour qu'il agisse comme un commutateur afin de profiter de la fonction de port de trunking
automatique activée par défaut sur la plupart des ports de commutateur.
L'acteur de menace configure l'hôte pour usurper la signalisation 802.1Q et le protocole DTP
(Dynamic Trunking Protocol) propriétaire de Cisco pour signaler le trunk avec le commutateur de
connexion. En cas de succès, le commutateur établit une liaison de trunk avec l'hôte, comme
illustré dans la figure. L'acteur de menace peut désormais accéder à tous les VLAN sur le
commutateur. L'acteur de menace peut envoyer et recevoir du trafic sur n'importe quel VLAN,
sautant efficacement entre les VLAN.
Un attaquant est connecté à un commutateur qui est connecté à un autre commutateur via un
trunk 802.1Q. Le deuxième commutateur a une connexion au serveur 1 sur le VLAN 10 et une
connexion au serveur 2 sur le VLAN 20. L'attaquant a établi une liaison de trunk 802.1Q non
autorisée avec le commutateur pour accéder au VLAN du serveur.
802.1QTrunk802.1QVLAN 20Server1VLAN 10Serveur 2L'attaquant accède au VLAN du serveurTrunk non autorisé

10.5.3
Attaque de Double Marquage VLAN

Un acteur de menace dans des situations spécifiques pourrait intégrer une balise 802.1Q cachée
dans le trame qui a déjà une balise 802.1Q. Cette balise permet au trame d'accéder à un VLAN
que la balise 802.1Q d'origine n'a pas spécifié.
Cliquez sur chaque étape pour obtenir un exemple et une explication d'une attaque à double
marquage.
Étape 1
Étape 2
Étape 3
L'acteur de menace envoie un trame 802.1Q à double marquage au commutateur. L'en-tête
externe a la balise VLAN de l'acteur de menace, qui est identique au VLAN natif du port de trunk.
Pour les besoins de cet exemple, supposons qu'il s'agit du VLAN 10. La balise intérieure est le
VLAN victime, dans cet exemple, le VLAN 20.
Un attaquant est connecté à un commutateur qui a une liaison de trunk avec un autre
commutateur défini sur le VLAN 10 natif. Le deuxième commutateur a un hôte cible attaché dans
le VLAN 20. L'attaquant envoie un trame au premier commutateur qui se compose des champs
suivants: Ethernet, VLAN 10, VLAN 20 et données.
1
EthernetVLAN 10VLAN 20DonnéesVLAN Natif de Trunk = 10Cible (VLAN 20)
Une attaque de double marquage VLAN est unidirectionnelle et ne fonctionne que lorsque
l'attaquant est connecté à un port résidant dans le même VLAN que le VLAN natif du port de
trunk. L'idée est que le double marquage permet à l'attaquant d'envoyer des données à des
hôtes ou des serveurs sur un VLAN qui autrement seraient bloqués par un certain type de
configuration de contrôle d'accès. Vraisemblablement, le trafic de retour sera également autorisé,
ce qui donnera à l'attaquant la possibilité de communiquer avec des périphériques sur le VLAN
normalement bloqué.
Atténuation des Attaques VLAN
Les attaques de saut de VLAN et de double marquage VLAN peuvent être évitées en mettant en
œuvre les directives de sécurité de jonction suivantes, comme indiqué dans un module
précédent:
 Désactivez le trunking sur tous les ports d'accès.

 Désactivez le trunking automatique sur les liaisons de jonction afin que les trunks doivent être
activées manuellement.
 Assurez-vous que le VLAN natif n'est utilisé que pour les liaisons de trunk.
10.5.4
Messages DHCP
Les serveurs DHCP fournissent aux clients les informations de configuration IP, notamment
l'adresse IP, le masque de sous-réseau, la passerelle par défaut, les serveurs DNS, etc., et ce de
manière dynamique. Une revue de la séquence de l'échange de messages DHCP entre le client
et le serveur est illustré dans la figure.
Le diagramme montre la séquence des messages DHCP échangés entre un client et un serveur.
Le serveur est affiché à gauche et le client à droite. De haut en bas, ce qui suit est la séquence
des messages. Tout d'abord, le client envoie une diffusion DHCPDISCOVER au serveur
indiquant, je voudrais demander une adresse. Ensuite, le serveur répond avec une monodiffusion
DHCPOFFER indiquant, je suis DHCPsvr1, voici une adresse que je peux offrir. Le message
comprend une adresse IP de 192.168.10.15, un masque de sous-réseau de 255.255.255.0, une
passerelle par défaut de 192.168.10.1 et une durée de bail de 3 jours. Le client répond avec une
diffusion DHCPREQUEST indiquant, j'accepte l'offre d'adresse IP. Enfin, le serveur répond par
une monodiffusion DHCPACK indiquant que votre acceptation est confirmée.
IP address: 192.168.10.15Subnet mask: 255.255.255.0Default Gateway: 192.168.10.1Lease

time: 3 days
ServeurClientDHCPOFFERDHCPACKDHCPDISCOVERDHCPREQUEST« Je voudrais demander une adresse. »« Je
suis DHCPsvr1. Voici l'adresse que je peux vous proposer. »« J'accepte l'adresse IP proposée. »« Nous avons pris
connaissance de votre acceptation. »MonodiffusionMonodiffusionDiffusionDiffusion
10.5.5
Attaques DHCP
Deux types d'attaques DHCP sont la famine DHCP et l'usurpation DHCP. Les deux attaques sont
atténuées par l'implémentation de l'espionnage DHCP.
Attaque de Famine DHCP
Le but de l'attaque de famine DHCP est de créer un DoS pour connecter les clients. Les attaques
par épuisement des ressources DHCP reposent sur un outil d'attaque, Gobbler, par exemple.
Gobbler a la possibilité d'examiner l'intégralité des adresses IP louables et essaie de toutes les
louer. Plus précisément, il crée des messages de découverte DHCP avec de fausses adresses
MAC.
Attaque d'Usurpation DHCP
Une attaque par usurpation via le service DHCP se produit lorsqu'un serveur DHCP non autorisé
(rogue) se connecte au réseau et fournit des paramètres de configuration IP incorrects aux
clients légitimes. Un serveur malhonnête peut fournir toute une série d'informations trompeuses :
 Passerelle par défaut incorrecte - Le serveur escroc fournit une passerelle non valide ou
l'adresse IP de son hôte pour créer une attaque d'homme au milieu. Cette approche peut passer
totalement inaperçue, car l'intrus intercepte le flux de données via le réseau.
 Serveur DNS incorrect - Le serveur escroc fournit une adresse de serveur DNS incorrecte
pointant l'utilisateur vers un site Web néfaste.
 Adresse IP incorrecte - TLe serveur escroc fournit une adresse IP invalide créant efficacement
une attaque DoS sur le client DHCP.
Cliquez sur chaque étape pour obtenir un exemple et une explication d'une attaque d'usurpation
DHCP.
Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Un acteur de menace connecte un serveur DHCP non autorisé
Un acteur de menace connecte avec succès un serveur DHCP non autorisé à un port de
commutateur sur le même sous-réseau et les VLAN que les clients cibles. Le serveur non
autorisé sert à fournir aux clients de fausses informations de configuration IP.
un serveur DHCP non autorisé est connecté à un commutateur sur un réseau
Serveur DHCPServeur DHCP non autorisé

10.5.6
Vidéo - Attaques ARP, Attaques STP et
Reconnaissance CDP
Cliquez sur Lecture dans la figure pour voir une vidéo sur les attaques VLAN et DHCP.
Play Video
10.5.7
Attaques ARP
Rappelons que les hôtes diffusent des requêtes ARP pour déterminer l'adresse MAC d'un hôte
avec une adresse IP particulière. Cela est généralement fait pour découvrir l'adresse MAC de la
passerelle par défaut. Tous les hôtes du sous-réseau reçoivent et traitent la requête ARP. L'hôte
dont l'adresse IP correspond à la requête ARP envoie une réponse ARP.
Selon le RFC ARP, un client est autorisé à envoyer une réponse ARP non sollicitée appelée
«ARP gratuit». Lorsqu'un hôte envoie une réponse ARP gratuite, les autres hôtes du sous-réseau
stockent l'adresse MAC et l'adresse IP contenue par la réponse ARP gratuite dans leurs tableaux
ARP.
Le problème est qu'un attaquant peut envoyer un message ARP gratuit contenant une adresse
MAC usurpée à un commutateur, et le commutateur mettrait à jour sa table MAC en
conséquence. Par conséquent, tout hôte peut prétendre être le propriétaire de toute combinaison
d'adresses IP et MAC qu'il choisit. Dans une attaque typique, un acteur de menace peut envoyer
des réponses ARP non sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC de
l'acteur de menace et l'adresse IP de la passerelle par défaut.
Il existe de nombreux outils disponibles sur Internet pour créer des attaques ARP homme-au-
milieu, notamment dsniff, Cain & Abel, ettercap, Yersinia et autres. IPv6 utilise le protocole de
découverte de voisin ICMPv6 pour la résolution d'adresse de couche 2. IPv6 inclut des stratégies
pour atténuer l'usurpation de publicité de voisin, de la même manière que IPv6 empêche une
réponse ARP usurpée.
L'usurpation ARP et l'empoisonnement ARP sont atténués par l'implémentation de DAI.
Cliquez sur chaque étape pour un exemple et une explication de l'usurpation ARP et de
l'empoisonnement ARP.
Étape 1
Étape 2
Étape 3
État Normal avec Tables MAC Convergentes
Chaque périphérique a une table MAC précise avec les adresses IP et MAC correctes pour les
autres périphériques sur le LAN.
A network consists of two hosts - P C1 and P C2, a threat actor - connected to a switch
connected to a router R 1. P C1 has an IP of 10.0.0.11 and a MAC of BB:BB:BB. The threat
actor, P C2, has an IP of 10.0.0.12 and a MAC of CC:CC:CC. R 1 has an IP of 10.0.0.1 and a
MAC of AA:AA:AA. Currently, the ARP table on P C1 maps IP address 10.0.0.1 to MAC address
AA:AA:AA and IP Address 10.0.0.12 to MAC address CC:CC:CC. The ARP table on P C2 maps
IP 10.0.0.1 to MAC address AA:AA:AA and IP address 10.0.0.11 to MAC address BB:BB:BB. The
ARP table of R 1 maps IP address 10.0.0.11 to MAC address BB:BB:BB and IP address
10.0.0.12 to MAC address CC:CC:CC.
PC1PC2R1
Remarque : Les adresses MAC sont représentées en 24 bits pour plus de simplicité.Cache
ARP du R1Cache ARP du PC1Cache ARP du PC2MAC: CC:CC:CCIP: 10.0.0.12MAC:
BB:BB:BBIP: 10.0.0.11MAC: AA:AA:AAIP: 10.0.0.1
Adresse IP Adresse MAC
10.0.0.1 AA:AA:AA
10.0.0.11 BB:BB:BB
10.0.0.11 BB:BB:BB
10.0.0.12 CC:CC:CC
10.0.0.1 AA:AA:AA
10.0.0.12 CC:CC:CC
10.5.8
Attaques par Usurpation d'Adresse

Les adresses IP et les adresses MAC peuvent être usurpées pour diverses raisons. L'usurpation
d'adresse IP est lorsqu'un acteur de menace détourne une adresse IP valide d'un autre
périphérique sur le sous-réseau ou utilise une adresse IP aléatoire. L'usurpation d'adresse IP est
difficile à atténuer, en particulier lorsqu'elle est utilisée à l'intérieur d'un sous-réseau auquel
appartient l'IP.
Les attaques d'usurpation d'adresse MAC se produisent lorsque les acteurs de menace modifient
l'adresse MAC de leur hôte pour correspondre à une autre adresse MAC connue d'un hôte cible.
L'hôte attaquant envoie ensuite un trame dans l'ensemble du réseau avec l'adresse MAC
nouvellement configurée. Lorsqu'un commutateur reçoit le trame, il examine l'adresse MAC
source. Le commutateur écrase l'entrée de table MAC actuelle et attribue l'adresse MAC au
nouveau port, comme illustré dans la figure. Il transfère ensuite par inadvertance des trames
destinées à l'hôte cible à l'hôte attaquant.
Un agent de menace sur PC2 est connecté à un commutateur sur le port Fa0 / 2. Le PC1 avec
MAC BB: BB: BB est connecté au commutateur sur le port Fa0 / 1. L'agent de menace envoie un
message au commutateur qui dit, mon MAC est BB: BB: BB. Le tableau d'adresses MAC du
commutateur n'affiche plus aucune adresse MAC mappée au port Fa0 / 1 mais MAC BB: BB: BB
mappée au port Fa0 / 1
PC2PC1Fa0/2Fa0/1
Table d'adresses MAC
Port Adresse MAC
Fa0/1
Fa0/2 BB:BB:BB
Remarque : Les adresses MAC sont représentées en 24 bits pour plus de simplicité."Mon
MAC est BB:BB:BB"MAC: BB:BB:BB
Lorsque l'hôte cible envoie du trafic, le commutateur corrige l'erreur, en réalignant l'adresse MAC
sur le port d'origine. Pour empêcher le commutateur de ramener l'affectation de port à son état
correct, l'acteur de menace peut créer un programme ou un script qui enverra constamment des
trames au commutateur afin que le commutateur conserve les informations incorrectes ou
usurpées. Il n'y a pas de mécanisme de sécurité au niveau de la couche 2 qui permet à un
commutateur de vérifier la source des adresses MAC, ce qui le rend si vulnérable à l'usurpation
d'identité.
L'usurpation d'adresse IP et MAC peut être atténuée en implémentant IPSG.
10.5.9
Attaque STP
Les attaquants du réseau peuvent manipuler le protocole STP (Spanning Tree Protocol) pour
mener une attaque en usurpant le pont racine et en modifiant la topologie d'un réseau. Les
attaquants peuvent faire apparaître leurs hôtes comme des ponts racine; et par conséquent,
capturez tout le trafic pour le domaine commuté immédiat.
Pour mener une attaque de manipulation STP, l'hôte attaquant diffuse des unités de données de
protocole de pont STP (BPDU) contenant des modifications de configuration et de topologie qui
forceront les recalculs de spanning-tree, comme illustré dans la figure. Les BPDU envoyés par
l'hôte attaquant annoncent une priorité de pont inférieure pour tenter d'être élu pont racine.
Le diagramme montre un agent de menace et deux commutateurs connectés ensemble dans un

triangle, l'attaquant en bas. Les deux ports entre l'attaquant et le commutateur supérieur gauche
transfèrent. Les deux ports sur la connexion entre les commutateurs transfèrent. Sur la liaison
entre l'attaquant et le commutateur supérieur droit, le port de l'attaquant bloque et le port du
commutateur transfère. Le commutateur supérieur gauche est actuellement le pont racine avec
une priorité de 8192. L'attaquant a envoyé des BPDU STP aux deux commutateurs avec une
priorité de 0.
Priorité BPDU STP = 0Pont racinePriorité BPDU STP = 0TransfertBloquerPriorité = 8192
En cas de succès, l'hôte attaquant devient le pont racine, comme le montre la figure, et peut
désormais capturer une variété de trames qui autrement ne seraient pas accessibles.
Le diagramme montre un agent de menace et deux commutateurs connectés ensemble dans un

triangle, l'attaquant en bas. L'attaquant est devenu le pont racine. Les deux ports entre l'attaquant
et le commutateur supérieur gauche transfèrent. Les deux ports sur la liaison entre l'attaquant et
le commutateur supérieur droit transfèrent également. Sur la connexion entre les commutateurs
supérieurs, le port de commutation à gauche transfère et le port de commutateur à droite bloque.
TransfertBloquerPont racine
Cette attaque STP est atténuée par l'implémentation de BPDU Guard sur tous les ports d'accès.
BPDU Guard est discuté plus en détail plus tard dans le cours.
10.5.10
Reconnaissance CDP
Le protocole CDP (Cisco Discovery Protocol) est un protocole propriétaire de découverte de
liaison de couche 2. Il est activé par défaut sur tous les périphériques Cisco. Le protocole CDP
permet de détecter automatiquement d'autres périphériques CDP et ainsi d'aider à la
configuration automatique de leur connexion. Les administrateurs réseau utilisent également le
protocole CDP pour configurer et dépanner les périphériques réseau.
Les données CDP sont transmises à partir des ports compatibles de manière périodique et non
chiffrée. Les données CDP incluent l'adresse IP du périphérique, la version logicielle IOS, la
plate-forme, les fonctionnalités et le VLAN natif. Le périphérique qui reçoit le message CDP met à
jour sa base de données CDP.
Les données CDP sont extrêmement utiles dans le cadre du dépannage réseau. Par exemple, le
protocole CDP peut être utilisé pour vérifier une connectivité de couche 1 et 2. Si un
administrateur ne peut pas envoyer de requête ping à une interface directement connectée, mais
qu'il reçoit quand même les données CDP, le problème est probablement lié à la configuration de
couche 3.
Cependant, les informations fournies par CDP peuvent également être utilisées par un acteur de
menace pour découvrir les vulnérabilités de l'infrastructure du réseau.
Dans la figure, une capture Wireshark affichant le contenu d'un paquet CDP. L'acteur de menace
peut identifier la version logicielle de Cisco IOS utilisée par le périphérique, et ainsi rechercher
d'éventuelles failles de sécurité connues pour cette version.
Les diffusions CDP ne sont ni chiffrées, ni authentifiées. Par conséquent, un acteur de menace
peut compromettre l'infrastructure de réseau en envoyant de fausses trames CDP contenant de
fausses informations aux périphériques Cisco connectés.
Pour réduire le risque d'attaque de CDP, limitez l'utilisation de ce protocole sur les périphériques
et les ports. Par exemple, désactivez CDP sur les ports périphériques qui se connectent aux
périphériques auxquels vous ne faites pas confiance.
Pour désactiver CDP globalement sur un périphérique, utilisez la commande du mode de

configuration globale no cdp run . Pour activer CDP globalement, utilisez la commande de
configuration globale cdp run .
Pour désactiver CDP sur un port, utilisez la commande de configuration d'interface no cdp
enable . Pour activer CDP sur un port, utilisez la commande de configuration d'interface cdp
enable .
Remarque: Le protocole LLDP (Link Layer Discovery Protocol) est également vulnérable aux
attaques de reconnaissance. configurez no lldp run pour désactiver LLDP globalement. Pour
désactiver LLDP sur l'interface, configurez no lldp transmit et no lldp receive.
10.5.11
Vérifiez votre compréhension - Attaques des

LANs
Vérifiez votre compréhension des attaques des LAN en choisissant la MEILLEURE réponse aux
1. Un acteur de menace modifie l'adresse MAC du périphérique de l'acteur de menace en l'adresse
MAC de la passerelle par défaut. De quel type d'attaque s'agit-il ?
Usurpation d'adresse
Usurpation ARP
Reconnaissance CDP
Insuffisance de ressources DHCP
Attaques STP
Saut de VLAN
2. Un acteur de menace envoie un message BPDU avec la priorité 0. De quel type d'attaque s'agit-
il ?
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
3. Un acteur de menace loue toutes les adresses IP disponibles sur un sous-réseau. De quel type
d'attaque s'agit-il ?
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
4. Un acteur de menace envoie un message qui fait croire à tous les autres périphériques que
l'adresse MAC de l'appareil de l'acteur de menace est la passerelle par défaut. De quel type
d'attaque s'agit-il ?
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
5. Un acteur de menace configure un hôte avec le protocole 802.1Q et forme un trunk avec le
commutateur connecté. De quel type d'attaque s'agit-il ?
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
6. Un acteur de menace découvre la version IOS et les adresses IP du commutateur local. De quel
type d'attaque s'agit-il ?
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
10.4

10.6
Module pratique

10.6.1

Les terminaux sont particulièrement sensibles aux attaques liées aux logiciels malveillants qui
proviennent de la messagerie électronique ou de la navigation Web, telles que DDOS, les
violations de date et les logiciels malveillants. Ces terminaux ont généralement utilisé des
fonctionnalités de sécurité traditionnelles basées sur l'hôte, telles que l'antivirus / anti-programme
malveillant, les pare-feu basés sur l'hôte et les systèmes de prévention des intrusions (HIPS)
basés sur l'hôte. Les points de terminaison sont mieux protégés par une combinaison de NAC,
d'un logiciel AMP basé sur l'hôte, d'un appliance de sécurité de messagerie (ESA) et d'un
appliance de sécurité Web (WSA). Cisco WSA peut effectuer la liste noire des URL, le filtrage
des URL, l'analyse des logiciels malveillants, la catégorisation des URL, le filtrage des
applications Web, ainsi que le chiffrement et le déchiffrement du trafic Web.
L'AAA contrôle qui est autorisé à accéder à un réseau (authentifier), ce qu'ils peuvent faire
pendant qu'ils sont là (autoriser) et à auditer les actions qu'ils ont effectuées lors de l'accès au
réseau (comptabilité). L'autorisation utilise un ensemble d'attributs qui décrivent l'accès de
l'utilisateur au réseau. La comptabilité est combinée avec l'authentification AAA. Le serveur AAA
conserve un journal détaillé de ce que fait exactement l'utilisateur authentifié sur l'appareil. La
norme IEEE 802.1X est un protocole de contrôle d'accès et d'authentification basé sur les ports
qui empêche les stations de travail non autorisées de se connecter à un LAN via des ports de
commutation accessibles au public.
Si la couche 2 est compromise, toutes les couches au-dessus sont également affectées. La
première étape pour atténuer les attaques contre l'infrastructure de couche 2 consiste à
comprendre le fonctionnement sous-jacent de couche 2 et les solutions de couche 2: sécurité des
ports, espionnage DHCP, DAI et IPSG. Ceux-ci ne fonctionneront que si les protocoles de
gestion sont sécurisés.
Les attaques par inondation d'adresses MAC bombardent le commutateur avec de fausses
adresses sources MAC jusqu'à ce que la table d'adresses MAC du commutateur soit pleine. À ce
stade, le commutateur traite le trame comme une monodiffusion inconnue et commence à
inonder tout le trafic entrant sur tous les ports du même VLAN sans référencer la table MAC.
L'acteur de menace peut désormais capturer toutes les trames envoyées d'un hôte à un autre sur
le LAN local ou le VLAN local. L'acteur de menace utilise macof pour générer rapidement de
nombreux MAC et IP source et destination aléatoires. Pour atténuer les attaques de
débordement de la table d'adresses MAC, les administrateurs réseau doivent implémenter la
sécurité des ports.
Une attaque par saut de VLAN permet au trafic d'un VLAN d'être vu par un autre VLAN sans
l'aide d'un routeur. L'acteur de menace configure un hôte pour qu'il agisse comme un
commutateur afin de profiter de la fonction de port de trunk automatique activée par défaut sur la
plupart des ports de commutateur.
Une attaque de double marquage VLAN est unidirectionnelle et ne fonctionne que lorsque
l'acteur de menace est connecté à un port résidant dans le même VLAN que le VLAN natif du
port de trunk. Le double marquage permet à l'acteur de menace d'envoyer des données à des
hôtes ou des serveurs sur un VLAN qui autrement seraient bloqués par un certain type de
configuration de contrôle d'accès. Le trafic de retour sera également autorisé, permettant à
l'acteur de menace de communiquer avec les périphériques sur le VLAN normalement bloqué.
Les attaques par sauts et par double marquage de VLAN peuvent être évitées en appliquant les
directives de sécurité des lignes réseau suivantes:
 Désactivez le trunking sur tous les ports d'accès.

 Désactivez le trunking automatique sur les liaisons de trunk afin que les trunks doivent être
activées manuellement.
 Assurez-vous que le VLAN natif n'est utilisé que pour les liaisons de trunk.
Attaque DHCP: les serveurs DHCP fournissent dynamiquement des informations de configuration
IP, y compris l'adresse IP, le masque de sous-réseau, la passerelle par défaut, les serveurs DNS
et plus encore aux clients. Deux types d'attaques DHCP sont la famine DHCP et l'usurpation
DHCP. Les deux attaques sont atténuées par l'implémentation de l'espionnage DHCP.
Attaque ARP: un acteur de menace envoie un message ARP gratuit contenant une adresse MAC
usurpée à un commutateur, et le commutateur met à jour sa table MAC en conséquence.
Désormais, l'acteur de menace envoie des réponses ARP non sollicitées à d'autres hôtes du
sous-réseau avec l'adresse MAC de l'acteur de menace et l'adresse IP de la passerelle par
défaut. L'usurpation ARP et l'empoisonnement ARP sont atténués par l'implémentation de DAI.
Attaque d'usurpation d'adresse: l'usurpation d'adresse IP se produit lorsqu'un acteur de menace

détourne une adresse IP valide d'un autre appareil sur le sous-réseau ou utilise une adresse IP
aléatoire. Les attaques d'usurpation d'adresse MAC se produisent lorsque les acteurs de menace
modifient l'adresse MAC de leur hôte pour correspondre à une autre adresse MAC connue d'un
hôte cible. L'usurpation d'adresse IP et MAC peut être atténuée en implémentant IPSG.
Attaque STP: les acteurs de menace manipulent STP pour mener une attaque en usurpant le
pont racine et en changeant la topologie d'un réseau. Les attaquants peuvent faire apparaître
leurs hôtes comme des ponts racine; et par conséquent, capturent tout le trafic pour le domaine
commuté immédiat. Cette attaque STP est atténuée par l'implémentation de BPDU Guard sur
tous les ports d'accès.
Reconnaissance CDP: les informations CDP sont envoyées sur les ports activés CDP dans des
diffusions périodiques non chiffrés. Les données CDP incluent l'adresse IP du périphérique, la
version logicielle IOS, la plate-forme, les fonctionnalités et le VLAN natif. Le périphérique
recevant le message CDP met à jour sa base de données CDP. les informations fournies par
CDP peuvent également être utilisées par un acteur de menace pour découvrir les vulnérabilités
de l'infrastructure du réseau. Pour réduire le risque d'attaque de CDP, limitez l'utilisation de ce
protocole sur les périphériques et les ports.
10.6.2
Module Questionnaire - Concepts de Sécurité

LAN
1.
Quels sont les deux protocoles pris en charge sur les périphériques Cisco pour les
communications AAA ? (Choisissez deux propositions.)
RADIUS
VTP
HSRP
TACACS
LLDP
2. Quel service est activé par défaut sur un routeur Cisco, peut fournir d'importants renseignements
sur le routeur et peut le rendre éventuellement vulnérable aux attaques ?
FTP
HTTP
LLDP
CDP
3. Lorsque la sécurité est une préoccupation, quelle couche OSI est considérée comme le lien le
plus faible d'un système de réseau?
Couche 3
Couche 4
Couche 7
Couche 2
4. Quelle attaque de couche 2 se traduira par un commutateur inondant les trames entrantes vers
tous les ports?
Usurpation d'adresse IP
Inondation d'adresses MAC
Manipulation du protocole Spanning Tree
empoisonnement ARP
5. Pourquoi l'authentification par AAA est-elle préférée à une méthode de base de données locale ?
Il spécifie un mot de passe différent pour chaque ligne ou port.
Il nécessite une combinaison d'identification et de mot de passe sur la console, les lignes vty et
les ports auxiliaires.
Il fournit une méthode d'authentification de secours si l'administrateur oublie le nom d'utilisateur

ou le mot de passe.
Il utilise moins de bande passante du réseau.

6. Dans une implémentation AAA basée sur un serveur, quel protocole permettra au routeur de
communiquer avec succès avec le serveur AAA?
802.1x
SSH
RADIUS
Un serveur DHCP non autorisé fournit de faux paramètres de configuration IP à des clients
DHCP légitimes.
7. Quelle solution Cisco aide à prévenir les attaques d'usurpation d'adresse MAC et IP?
Inspection ARP dynamique
Protection de la source IP
Surveillance DHCP
8. Quel est l'objectif de la comptabilité AAA?
pour collecter et signaler l'utilisation des applications
pour déterminer les ressources auxquelles l'utilisateur peut accéder
autorisation
authentification
9. Quelle attaque de couche 2 empêchera les utilisateurs légitimes d'obtenir des adresses IP
valides?
Usurpation d'adresse IP
Usurpation ARP
Inondation d'adresses MAC
10. Quels sont les trois produits Cisco axés sur les solutions de sécurité des terminaux ? (Choisissez
trois réponses.)
Appareil VPN SSL/IPSec
Appliances de sécurisation de la messagerie
Appliances de sécurisation du Web
Appareil capteur IPS
NAC Appliance
Adaptive Security Appliance

11. Vrai ou faux ? Dans la norme 802.1X, le client qui tente d'accéder au réseau est appelé le
demandeur.
VRAI
faux
12. Que signifie une attaque par mystification d’adresse IP ?
Un serveur DHCP non autorisé fournit de faux paramètres de configuration IP à des clients
DHCP légitimes.
Un nœud non autorisé répond à une requête ARP avec sa propre adresse MAC associée à
l’adresse IP cible.
De faux messages DHCPDISCOVER sont envoyés pour consommer toutes les adresses IP
disponibles sur un serveur DHCP.
Une adresse réseau IP légitime a été détournée par un nœud non autorisé.
13. Quels sont les trois services fournis par le cadre AAA ? (Choisissez trois réponses)
authentification
autorisation
autobalancing
traçabilité
automatisation
autoconfiguration
14. En raison des contrôles de sécurité appliqués, un utilisateur ne peut accéder à un serveur qu'à
l'aide du protocole FTP. Quel composant du modèle AAA effectue cela ?
accessibilité
authentification
autorisation
traçabilité
audit
15. Quel plan d'atténuation est le meilleur pour contrecarrer une attaque DoS qui crée un
débordement de table d'adresses MAC?
Activer la sécurité des ports
Désactiver le protocole DTP
Placer les ports non utilisés dans un VLAN non utilisé
Désactiver le protocole STP

10.5
Attaques de Réseau LAN
Introduction
11.0.1
Pourquoi devrais-je prendre ce module?

Bienvenue dans le module de configuration de la sécurité de commutateur !
Votre responsabilité en tant que professionnel du réseau est de garantir la sécurité du réseau.
La plupart du temps, nous ne pensons qu'aux attaques de sécurité provenant de l'extérieur du
réseau, mais les menaces peuvent également provenir de l'intérieur du réseau. Ces menaces se
présentent sous diverses formes, depuis un employé qui ajoute discrètement un commutateur
Ethernet au réseau de l'entreprise pour disposer un grand nombre de ports jusqu'aux attaques
malveillantes provoquées par un employé insatisfait. Votre devoir de protéger le réseau et de
vous assurer que les opérations commerciales se poursuivent sans compromis.
Comment garder le réseau sûr et stable? Comment le protégeons-nous contre les attaques
malveillantes au sein du réseau? Comment pouvons-nous nous assurer que les employés
n'ajoutent pas de commutateurs, serveurs et autres périphériques au réseau qui pourraient
compromettre les opérations réseau?
Ce module est votre introduction pour sécuriser votre réseau de l'intérieur!
11.0.2
module?
Titre du module: Configuration de la Sécurité du Commutateur
Objectif du Module: Configurer la sécurité des commutateurs pour atténuer les attaques
LAN.
Légende du tableau
Titre du Rubrique Objectif du rubrique
Mettre en œuvre la sécurité des ports pour atténuer

Mise en œuvre de la sécurité des ports
les attaques de table d'adresses MAC.
Expliquer comment configurer le DTP et le VLAN

Atténuer les attaques VLAN
natif pour atténuer les attaques de VLAN.
Expliquer comment configurer l'espionnage DHCP

Atténuer les attaques du DHCP
pour atténuer les attaques DHCP.
Configurer l'inspection d'ARP pour atténuer les

Atténuer les attaques d'ARP
attaques d'ARP.
Expliquer comment configurer PortFast et BPDU

Atténuer les attaques STP
Guard pour atténuer les attaques STP.
10.6

11.1
Mise en œuvre de la sécurité des

ports
11.1.1
Sécurisation des ports inutilisés

Les appareils de couche 2 sont considérés la liaison le plus faible de l'infrastructure de sécurité
d'une entreprise. Les attaques de couche 2 sont parmi les plus faciles à déployer pour les
pirates, mais ces menaces peuvent également être atténuées avec certaines solutions de couche
2 courantes.
Tous les ports (interfaces) du commutateur doivent être sécurisés avant que le commutateur soit
déployé pour une utilisation en production. La façon dont un port est sécurisé dépend de sa
fonction.
Une méthode simple que nombreux administrateurs utilisent pour aider à sécuriser le réseau
contre les accès non autorisé est de désactiver tous les ports qui ne sont pas exploités sur un
commutateur. Par exemple, si un commutateur Catalyst 2960 a 24 ports et si trois connexions
Fast Ethernet sont utilisées, il est conseillé de désactiver les 21 ports inutilisés. Naviguez vers
chaque port inutilisé et exécutez la commande shutdown de Cisco IOS. Si un port doit être
réactivé plus tard,il peut être activé en exécutant la commande no shutdown .
Pour configurer une gamma de ports, exécutez la commande interface range .
Switch(config)# interface range type module/first-number – last-number
Par exemple, pour désactiver les ports Fa0 / 8 à Fa0 / 24 sur S1, vous devez exécuter la
commande suivante.
S1(config)# interface range fa0/8 - 24
S1(config-if-range)# shutdown
%LINK-5-CHANGED: Interface FastEthernet0/8, changed state to
administratively down
(output omitted)
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to
administratively down
S1(config-if-range)#
11.1.2
Atténuation des attaques de table d'adresses

MAC
La méthode la plus simple et la plus efficace qui permet d'éviter la saturation des attaques de la
tableau adresse MAC est d'activer la sécurité des ports.
La sécurité des ports limite le nombre d’adresses MAC autorisées sur un port. Il permet à un
administrateur de configurer manuellement les adresses MAC d'un port ou de permettre au
commutateur d'apprendre dynamiquement un nombre limité d'adresses MAC. Lorsqu'un port
configuré avec la sécurité des ports reçoit une trame, le système recherche l'adresse MAC
source de la trame dans la liste des adresses source sécurisées qui ont été configurées
manuellement ou automatiquement (par apprentissage) sur le port.
En limitant le nombre d'adresses MAC autorisées sur un port à un, la sécurité du port peut être
utilisée pour contrôler l'accès non autorisé au réseau, comme illustré dans la figure.
Le graphique montre un commutateur connecté à trois appareils. Au-dessus du commutateur se

trouve une tableau d'adresses MAC avec le port 0/1 avec MAC AA autorisé: AA: AA, le port 0/2
autorisé MAC BB: BB: BB et le port 0/2 autorisé MAC CC: CC: CC. Le commutateur montre que
le port 0/1 qui est connecté à un PC avec une adresse MAC AA: AA: AA. Ce lien a une coche
verte. Ensuite, le port 0/2 hors du commutateur est connecté à un ordinateur portable escroc
avec l'adresse MAC de BA: AD: 01. La liaison a un cercle rouge avec une ligne le traversant. Le
port 0/3 hors du commutateur est également connecté à un ordinateur portable escroc avec
l'adresse MAC de BA: AD: 02. Cette liaison a également un cercle rouge avec une ligne le
traversant. Il y a une note au bas du diagramme qui indique que les adresses MAC sont
représentées en 24 bits pour plus de simplicité.
MAC: AA:AA:AAMAC: BA:AD:01MAC: BA:AD:020/10/20/3PortMac

autorisé0/10/20/3AA:AA:AABB:BB:BBCC:CC:CC
Remarque: Les adresses MAC sont représentées comme 24 bits pour la simplicité.
11.1.3
Activer la sécurité des ports

Notez que dans l'exemple, la commande switchport port-security a été refusée. En effet, la
sécurité des ports ne peut être configurée que sur des ports d'accès configurés manuellement ou
des ports de trunc de réseau configurés manuellement. Par défaut, les ports de commutateur de
couche 2 sont réglés sur l'auto dynamique (trunking activée). Par conséquent, dans l'exemple, le
port est configuré avec la commande de configuration de l'interface switchport mode access .
Remarque: la sécurité des ports trunc dépasse le cadre de ce cours.
S1(config)# interface f0/1
S1(config-if)# switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
S1(config-if)# end
S1#
Exécutez la commande show port-security interfacepour afficher les paramètres de sécurité de

port actuels pour FastEthernet 0/1,comme illustré dans l'exemple. Notez comment la sécurité des
ports est activée, le mode de violation est arrêté et comment le nombre maximal d'adresses MAC
est 1. Si un périphérique est connecté au port, le commutateur ajoute automatiquement l'adresse
MAC du périphérique en tant que MAC sécurisé. Dans cet exemple, aucun périphérique n'est
connecté au port.
S1# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
S1#
Remarque: si un port actif est configuré avec la commande switchport port-security et que
plusieurs périphériques sont connectés à ce port, le port passera à l'état désactivé par erreur.
Cette condition est abordée plus tard dans cette rubrique.
Une fois la sécurité des ports est activée, d'autres spécificités de sécurité des ports peuvent être
configurées, comme illustré dans l'exemple.
S1(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address

maximum Max secure addresses
violation Security violation mode
11.1.4
Limiter et apprendre les adresses MAC

Pour définir le nombre maximal d'adresses MAC autorisées sur un port, utilisez la commande
suivante:
Switch(config-if)# switchport port-security maximum value
La valeur de sécurité du port par défaut est 1. Le nombre maximal d'adresses MAC sécurisées
qui puissent être configurées dépend du commutateur et de l'IOS. Dans cet exemple, le
maximum est 8192.
S1(config-if)# switchport port-security maximum ?
<1-8192> Maximum addresses
S1(config-if)# switchport port-security maximum
Le commutateur est configuré pour en savoir plus sur les adresses MAC sur un port sécurisé de
trois manières:
1. Configuration manuelle
L'administrateur configure manuellement une ou des adresses MAC statiques à l'aide de la

commande suivante pour chaque adresse MAC sécurisée sur le port:
Switch(config-if)# switchport port-security mac-address mac-address
2. Apprentissage dynamique
Lorsque la commande switchport port-security est exécutée, le MAC source actuel pour le
périphérique connecté au port est automatiquement sécurisé mais n'est pas ajouté à la
configuration en cours. Si le commutateur est redémarré, le port devra réapprendre l'adresse
MAC du périphérique.
3. Apprentissage dynamique - Sticky
L'administrateur peut activer le commutateur pour apprendre dynamiquement l'adresse MAC et le

«coller» à la configuration en cours en utilisant la commande suivante:
Switch(config-if)# switchport port-security mac-address sticky
En conservant la configuration en cours, l'apprentissage dynamique d'adresse MAC sera

enregistrée dans la NVRAM.
L'exemple illustre une configuration complète de sécurité de port pour FastEthernet 0/1.
L'administrateur spécifie un maximum de 4 adresses MAC, configure manuellement une adresse
MAC sécurisée, puis configure le port pour apprendre dynamiquement des adresses MAC
sécurisées supplémentaires jusqu'à 4 adresses MAC sécurisées au maximum. Utilisez les
commandes show port-security interface et show port-security address pour vérifier la
configuration.
state to up

S1#conf t
S1(config)#
S1(config-if)# switchport port-security maximum 2
S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)# switchport port-security mac-address sticky
S1(config-if)# end
S1# show port-security interface fa0/1
Port Status : Secure-up
Aging Time : 0 mins
Aging Type : Absolute
Last Source Address:Vlan : a41f.7272.676a:1
S1# show port-security address

Secure Mac Address Table
-------------------------------------------------------------------------
----
Vlan Mac Address Type Ports Remaining
Age (mins)
---- ----------- ---- ----- ---------
----
1 a41f.7272.676a SecureSticky Fa0/1 -
1 aaaa.bbbb.1234 SecureConfigured Fa0/1 -
-------------------------------------------------------------------------
----
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
The output of the show port-security interface command verifies that port security is enabled,
there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses will be allowed,
and S1 has learned one MAC address statically and one MAC address dynamically (i.e., sticky).
The output of the show port-security address command lists the two learned MAC addresses.
11.1.5
Obsolescence de la sécurité des ports

L'obsolescence de la sécurité des ports peut être utilisée pour définir le temps d'obsolescence
des adresses sécurisées statiques et dynamiques sur un port. Deux types d'obsolescence sont
pris en charge par port:
 Absolue - Les adresses sécurisées sur le port sont supprimées après le temps d'obsolescence
spécifié.
 Inactivité - Les adresses sécurisées sur le port sont supprimées uniquement si elles sont
inactives pendant la durée d'obsolescence spécifiée.
Utilisez l'obsolescence pour supprimer les adresses MAC sécurisées sur un port sécurisé sans
supprimer manuellement les adresses MAC sécurisées existantes. Les limites de temps
d'obsolescence peuvent également être augmentés pour garantir que les anciennes adresses
MAC sécurisées persistent, même lorsque de nouvelles adresses MAC sont ajoutées.
l'obsolescence des adresses sécurisées configurées statiquement peut être activé ou désactivé
par port.
Exécutez la commande switchport port-security aging pour activer ou désactiver
l'obsolescence statique pour le port sécurisé, ou pour définir le temps ou le type d'obsolescence.
Switch(config-if)# switchport port-security aging { static | time time |

type {absolute | inactivity}}
Les paramètres de la commande sont décrits dans le tableau.
Paramètre Description staticEnable aging pour les statiques sécurisés configurés adresses sur ce port.time time
Spécifiez le temps d'obsolescence pour ce port. La gamme est de 0 à 1440 minutes. Si le temps est 0, aging est
désactivé pour ce port. Saisissez absoluteSet the absolute aging time. Toutes les adresses sécurisées sur ce port
expire exactement après le temps (en minutes) spécifié et est supprimé de la liste d'adresses sécurisées.Saisissez
inactivitySet the inactivity aging Saisissez : Les adresses sécurisées sur ce port ne vieillissent que s'il n'y a pas de
données le trafic provenant de l'adresse source sécurisée pour la période spécifiée.
Paramètre Description
Activez la commande aging pour les adresses sécurisées configurées

statique statiquement sur ce port.
Spécifiez aging time pour ce port. La gamme est de 0 à 1440 minutes. Si Si le

time time temps est 0, aging est désactivé pour ce
Réglez Absolute Aging Type Toutes les adresses sécurisées sur l'age de ce
Aging Type : Absolute port expire exactement après le temps (en minutes) spécifié et sont
supprimés de la liste d'adresse sécurisé.
Réglez Inactivity Aging Type Les adresses sécurisées sur ce port expirent
Aging Type : Inactivity uniquement s'il n'y a pas de trafic de données provenant de l'adresse source
sécurisée pour une période de temps spécifiée.
Remarque: Les adresses MAC sont représentées comme 24 bits pour la simplicité.
L'exemple montre un administrateur configurant le type d'obsolescence (aging type) à 10 minutes

d'inactivité et en exécutant la commande show port-security interface pour vérifier la
configuration.
S1(config-if)# switchport port-security aging time 10
S1(config-if)# switchport port-security aging type inactivity
S1(config-if)# end

Aging Time : 10 mins
Aging Type : Inactivity
S1#
11.1.6
Modes de Violation de la Sécurité des Ports

Si l'adresse MAC d'un périphérique connecté au port est différent de la liste des adresses
sécurisées, alors une violation de port se produit. Par défaut, le port entre l’état error-disabled.
Pour définir le mode de violation de sécurité du port, exécutez la commande suivante:
Switch(config-if)# switchport port-security violation { protect | restrict

| shutdown}
Le tableau suivant indique la réaction d'un commutateur selon le mode de violation configuré.
Security Violation Mode Descriptions
Mode Description shutdown (par défaut) Le port passe à l'état désactivé par erreur immédiatement, éteint le
voyant du port et envoie un message Syslog. IT Il incrémente le compteur de violations. Lorsqu'un port sécurisé est
dans l' état d'erreur désactivée, un administrateur doit le réactiver en entrant le shutdown et no shutdown
commande ,il empêche Le port de supprimer les paquets avec adresses source inconnues jusqu'à ce que vous
supprimiez un nombre suffisant de MAC sécurisés adresses pour descendre en dessous de la valeur maximale ou
augmenter la valeur maximale. Ce mode entraîne l'incrémentation du compteur de violation de sécurité et génère
un message syslog. un message syslog.Cela est la moins sécurisée de la violation de sécurité de mode. Le port
supprime les paquets avec des adresses source MAC inconnues jusqu'à ce que vous supprimez un nombre suffisant
d'adresses MAC sécurisées pour descendre en dessous du maximum valeur ou augmentez la valeur maximale. No
syslog message est envoyé.
Mode Description
Le port passe immédiatement à l'état désactivé par erreur, éteint la le voyant du port et
Démarrer envoie un message Syslog. Il incrémente le compteur de violations. Compteur Lorsqu'un port
(par défaut) sécurisé est dans l'état désactivé par erreur, un un administrateur doit le réactiver en entrant
le shutdown et no shutdown commands.
Le port supprime les paquets avec des adresses source MAC inconnues jusqu'à ce que vous
supprimez un un nombre suffisant d'adresses MAC sécurisées pour descendre en dessous du
restreindre maximum valeur ou augmentez la valeur maximale. Ce mode provoque la sécurité de
violation compteur pour augmenter et générer un message syslog.
Il s'agit du mode de violation de sécurité le moins sécurisé. Le port supprime les paquets
avec des adresses source MAC inconnues jusqu'à ce que vous supprimez un un nombre
protéger suffisant d'adresses MAC sécurisées pour descendre en dessous du maximum ou augmentez
la valeur maximale. No syslog message est envoyé.
Security Violation Mode Comparison

Le mode de violation rejette le trafic incriminé et envoie l'augmentation du
message Syslog Violation CounterShuts Down PortProtect Yes No No NoRestrict
YesYes Yes NoShutdown YesYes Yes Yes
Rejeter un Envoi d'un Incrémentation du

Arrêt
Mode de Violation trafic message Compteur de
du port
illégal Syslog Violation
Protéger Oui Non Non Non
Restreindre Oui Oui Oui Non
Arrêt Oui Oui Oui Oui

L'exemple indique qu'un administrateur modifie la violation de sécurité pour «Restreindre». Le
résultat de commande show port-security interface confirme que la modification a été
effectuée.
S1(config-if)# switchport port-security violation restrict
S1(config-if)# end
S1#
S1# show port-security interface f0/1
Violation Mode : Restrict
S1#
11.1.7
Ports en état error-disabled

Quand un port est arrêté et placé dans l'état error-disabled, aucun trafic n'est envoyé ou reçu sur
ce port. Une série de messages liés à la sécurité des ports s'affiche sur la console, comme
illustré dans l'exemple suivant.
S1(config)# int fa0/1
S1(config-if)# switchport port-security violation shutdown
S1(config-if)# end
S1#
FastEthernet0/1, changed state to down
state to down
state to up

S1#
*Mar 1 00:24:32.829: %PM-4-ERR_DISABLE: psecure-violation error detected
on Fa0/1, putting Fa0/1 in err-disable state
*Mar 1 00:24:32.838: %PORT_SECURITY-2-PSECURE_VIOLATION: Security
violation occurred, caused by MAC address a41f.7273.018c on port
FastEthernet0/1.
FastEthernet0/1, changed state to down

state to down
S1#
Remarque: le protocole du port et l'état de la liaison passent à l'état bas et le voyant du port est
éteint.
Dans l'exemple, la commande show interface identifie l'état du port comme étant error-
disabled. Le résultat de la commande show port-security interface affiche désormais l'état du
port comme étant secure-shutdown. Le compteur de violation de sécurité incrémente par 1.
S1# show interface fa0/1 | include down
FastEthernet0/18 is down, line protocol is down (err-disabled)
(output omitted)

Port Status : Secure-shutdown
Last Source Address:Vlan : a41f.7273.018c:1
S1#
L'administrateur doit déterminer la cause de la violation de sécurité. Si un périphérique non

autorisé est connecté à un port sécurisé, la menace de sécurité est éliminée avant de réactiver le
port.
Pour réactiver le port, utilisez d'abord la commande shutdown puis utilisez la commande no
shutdown pour que le port soit fonctionnel, comme indiqué dans l'exemple.
S1(config-if)# shutdown
S1(config-if)#
*Mar 1 00:39:54.981: %LINK-5-CHANGED: Interface FastEthernet0/1, changed
state to administratively down
S1(config-if)# no shutdown
S1(config-if)#
state to up

S1(config-if)#
11.1.8
Vérification de la sécurité des ports
Après avoir configuré la sécurité des ports sur un commutateur, examinez chaque interface pour
vérifier que la sécurité des ports est correctement définie et assurez-vous que les adresses MAC
statiques ont été correctement configurées.
Sécurité du port pour toutes les interfaces
Pour afficher les paramètres de sécurité des ports pour un commutateur, utilisez la
commande show port-security. L'exemple indique que les 24 interfaces sont configurées avec
la commande switchport port-security car le maximum autorisé est 1 et le mode de violation
est arrêté. Aucun appareil n'est connecté. Par conséquent, le CurrentAddr (Count) est 0 pour
chaque interface.
S1# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
-------------------------------------------------------------------------
--
Fa0/1 2 2 0
Shutdown
-------------------------------------------------------------------------
--
S1#
Sécurité du port pour une interface spécifique
Utilisez la commande show port-security interface pour afficher les détails d'une interface
spécifique, comme indiqué précédemment et dans cet exemple.
S1# show port-security interface fastethernet 0/1

Last Source Address:Vlan : a41f.7273.018c:1
S1#
Vérifiez les adresses MAC apprises
Pour vérifier que les adresses MAC «collent» à la configuration, utilisez la commande show
run comme indiqué dans l'exemple pour FastEthernet 0/19.
S1# show run interface fa0/1
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky a41f.7272.676a
switchport port-security mac-address aaaa.bbbb.1234
switchport port-security aging time 10
switchport port-security aging type inactivity
switchport port-security
end
S1#
Vérification des adresses MAC sécurisées
Pour afficher toutes les adresses MAC sécurisées configurées manuellement ou apprises
dynamiquement sur toutes les interfaces de commutateur, utilisez la commande show port-
security address comme indiqué dans l'exemple.
S1# show port-security address

Secure Mac Address Table
-------------------------------------------------------------------------
----
Vlan Mac Address Type Ports Remaining
Age (mins)
---- ----------- ---- ----- ---------
----
1 a41f.7272.676a SecureSticky Fa0/1 -
1 aaaa.bbbb.1234 SecureConfigured Fa0/1 -
-------------------------------------------------------------------------
----
S1#
11.1.9
Vérificateur de syntaxe - Mettez en œuvre la

sécurité des ports
Mettre en œuvre la sécurité des ports pour une interface de commutateur en fonction des
exigences spécifiées
Vous êtes actuellement connecté à S1. Configurez FastEthernet 0/5 pour la sécurité des ports en
utilisant les exigences suivantes:
 Utilisez le nom d'interface fa0 / 5 pour passer en mode de configuration d'interface.

 Activez le port pour le mode d'accès.
 Activez la sécurité des ports
 Définissez le nombre maximal d'adresses MAC à 3.
 Configurez statiquement l'adresse MAC aaaa.bbbb.1234.
 Configurez le port pour apprendre dynamiquement des adresses MAC supplémentaires et les
ajouter dynamiquement à la configuration courante.
 Revenir au mode d’exécution privilégié.
S1(config)#
11.1.10
Packet Tracer - Mettre en œuvre la sécurité des

ports
Dans cette activité, vous allez configurer et vérifier la sécurité des ports sur un commutateur. La
sécurité des ports vous permet de limiter le trafic d'entrée d'un port en limitant les adresses MAC
autorisées à envoyer du trafic sur ce port.
Mettre en œuvre la sécurité des ports
Mettre en œuvre la sécurité des ports
11.0
Introduction
11.2
Atténu

11.2.1
Revision des attaques de VLAN

En bref, Une attaque par saut de VLAN peut être lancée de trois manières:
 Usurpation des messages DTP de l'hôte attaquant pour que le commutateur passe en mode de
trunking. À partir de là, l'attaquant peut envoyer du trafic étiqueté avec le VLAN cible, et le
commutateur délivre ensuite les paquets à la destination.
 Présentation d'un commutateur indésirable et activation de trunking. L'attaquant peut alors accéder
à tous les VLAN sur le commutateur victime à partir du commutateur non autorisé.
 Un autre type d'attaque par saut de VLAN est une attaque à double étiquète (ou à double
encapsulation). Cette attaque profite de la façon dont le matériel de la plupart des commutateurs
fonctionne.
11.2.2
Les Étapes pour atténuer les attaques par sauts
de VLAN
Utilisez les étapes suivantes pour atténuer les attaques par saut de VLAN:
Étape 1: désactivez les négociations DTP (jonction automatique) sur les ports sans trunc à
l'aide de la commande de configuration de l'interface switchport mode access .
Étape 2: désactivez les ports inutilisés et placez-les dans un VLAN inutilisé.
Étape 3: Activez manuellement la liaison de jonction sur un port de jonction à l'aide de la

commande switchport mode trunk .
Étape 4: désactivez les négociations DTP (trunking automatique) sur les ports de jonction à
l'aide de la commande switchport nonegotiate .
Étape 5: définissez le VLAN natif sur un VLAN autre que VLAN 1 à l'aide de la
commande switchport trunk native vlan vlan_number.
Par exemple, supposez ce qui suit:
 Les ports FastEthernet 0/1 à fa0 / 16 sont des ports d'accès actifs
 Les ports FastEthernet 0/17 à 0/24 ne sont pas actuellement utilisés
 53/5000 Les ports FastEthernet 0/21 à 0/20 sont des ports de trunc.
Le saut de VLAN peut être atténué en mettant en œuvre la configuration suivante.
S1(config-if-range)# switchport mode access
S1(config)#
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# shutdown
S1(config)#

S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#
 Les ports FastEthernet 0/1 à 0/16 sont des ports d'accès donc trunking est désactivée en leur faisant
explicitement des ports d'accès.
 Les ports FastEthernet 0/17 à 0/20 sont des ports inutilisés et sont désactivés et affectés à un VLAN
inutilisé.
 Les ports FastEthernet 0/21 à 0/24 sont des liaisons de trunc et sont activés manuellement en tant
que truncs avec DTP désactivé. Le VLAN natif passe également du VLAN 1 par défaut à un VLAN 999
inutilisé.
11.2.3
Vérificateur de syntaxe - Atténuer les attaques

par sauts de VLAN
Atténuez les attaques par sauts de VLAN sur le commutateur en fonction des exigences
spécifiées.
Vous êtes actuellement connecté à S1. L'état des ports est comme suivant:
 Les ports FastEthernet 0/1 à 0/4 sont utilisés pour le trunc avec d'autres commutateurs.
 Les ports FastEthernet 0/5 à 0/10 ne sont pas utilisés.
 Les ports FastEthernet 0/11 à 0/24 ne sont pas actuellement utilisés
Utilisez interface range fa0/1 - 4 pour passer en mode de configuration d'interface pour les
truncs.
S1(config)#
11.1

11.3
Atténuer les attaques DHCP

11.3.1
Révision des attaques DHCP

L'objectif d'une attaque par insuffisance de resources DHCP est de créer un déni de service
(DoS) pour connecter les clients. Les attaques par insuffisance des ressources DHCP reposent
sur un outil d'attaque,par exemple, Gobbler. Rappelez-vous que les attaques d'insuffisance
DHCP peuvent être efficacement atténuées en utilisant la sécurité des ports car Gobbler utilise
une adresse MAC source unique pour chaque demande DHCP envoyée.
Cependant, l'atténuation des attaques d'usurpation DHCP nécessite plus de protection.

Gobbler peut être configuré pour utiliser l'adresse MAC de l'interface réelle comme adresse
Ethernet source, mais indiquer une adresse Ethernet différente dans la charge utile DHCP.
Cela rendrait la sécurité du port inefficace car l'adresse MAC source serait légitime.
Les attaques d'usurpation DHCP peuvent être atténuées en utilisant l'espionnage DHCP sur les
ports approuvés.
11.3.2
Espionnage (snooping) DHCP

L'espionnage DHCP ne dépend pas des adresses MAC source. Au lieu de cela, l'espionnage
DHCP détermine si les messages DHCP proviennent d'une source de confiance ou non
approuvée configurée administrativement. Il filtre ensuite les messages DHCP et limite la
fiabilité du trafic DHCP de sources qui ne sont pas approuvé.
Les périphériques sous contrôle administratif (par exemple, les commutateurs, les routeurs et
les serveurs) sont des sources fiables. Tout appareil placé en dehors le pare-feu ou en dehors
de votre réseau est une source non fiable. Par ailleurs, tous les ports d'accès sont généralement
traités comme des sources non fiables. La figure montre un exemple de ports approuvés et
non approuvés.
Le diagramme montre un serveur DHCP dans le coin supérieur droit de la topologie qui est
connecté à un commutateur de distribution en dessous. Le commutateur de distribution est
connecté à un autre commutateur de distribution à gauche du diagramme et un commutateur
d'accès en dessous. L'autre commutateur de distribution a un commutateur d'accès connecté
en dessous. Les deux commutateurs d'accès ont une connexion aux deux commutateurs de
distribution, mais l'un à l'autre. Le commutateur d'accès sur la droite a un PC en dessous et
l'autre commutateur d'accès a un PC avec un caractère escroc en dessous. Le diagramme
montre un carré violet pour les ports approuvés et un cercle rouge pour les ports non
approuvés. Il y a des carrés violets entre le serveur DHCP et le commutateur de distribution,
ainsi qu'entre chaque lien entre tous les commutateurs. Cependant, il y a un cercle rouge entre
les deux PC et les commutateurs d'accès.
Client DHCPServeur DHCPServeur DHCP non autoriséPort fiablePort non fiable
Notez que le serveur DHCP rouge serait sur un port non approuvé après avoir activé
l'espionnage DHCP. Toutes les interfaces sont traitées comme non fiables par défaut. Les
interfaces approuvées sont généralement des liaisons de trunc et des ports directement
connectés à un serveur DHCP légitime. Ces interfaces doivent être explicitement configurées
comme approuvées.
Une table DHCP est créée qui inclut l'adresse MAC source d'un périphérique sur un port non
approuvé et l'adresse IP attribuée par le serveur DHCP à ce périphérique. L'adresse MAC et
l'adresse IP sont liées ensemble. Par conséquent, cette table est appelé table de liaison
d'espionnage DHCP.
11.3.3
Étapes pour implémenter l'espionnage DHCP

Utilisez les étapes suivantes pour activer l'espionnage DHCP (snooping):
Étape 1. Activez l'espionnage DHCP à l'aide de la commande de configuration globale ip

dhcp snooping .
Étape 2. Sur les ports approuvés, configurez l'interface avec la commande ip dhcp snooping
trust.
Étape 3: Limitez le nombre de messages de découverte DHCP pouvant être reçus par seconde
sur les ports non approuvés à l'aide de la commande de configuration d'interface ip dhcp
snooping limit rate .
Étape 4. Activez la surveillance DHCP par VLAN ou par une plage de VLAN à l'aide de la
commande de configuration globale ip dhcp snooping vlan.
11.3.4
Exemple de configuration de l'espionnage

DHCP:
La topologie de référence pour cet exemple d'espionnage DHCP est illustrée dans la figure.
Notez que F0 / 5 est un port non approuvé car il se connecte à un PC. F0 / 1 est un port
approuvé car il se connecte au serveur DHCP.
Le graphique a une légende avec un port de confiance carré violet et un port non approuvé de
cercle rouge sous le diagramme de topologie. Ensuite, le graphique montre un réseau LAN
avec un commutateur avec des ports approuvés et non approuvés. Le commutateur a un PC
connecté à gauche et un DHCP connecté à droite. Sur l'interface de connexion au PC se
trouve un cercle rouge pour une interface non fiable et sur l'interface connectée au serveur
DHCP se trouve le carré violet d'un port de confiance.
192.168.10.10F0/5S1F0/1
Serveur DHCPPort fiablePort non fiable
Voici un exemple de configuration de l'espionnage DHCP sur S1. Remarquez comment

l'espionnage DHCP est activée pour la première fois. Alors l'interface en amont du serveur
DHCP est explicitement approuvée. Ensuite, la gamma de ports FastEthernet de F0 / 5 à F0 /
24 n'est pas approuvée par défaut, donc une limite de débit est fixée à six paquets par seconde.
Enfin, l'espionnage DHCP est activée sur les VLANS 5, 10, 50, 51 et 52.
S1(config)# ip dhcp snooping
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#
Utilisez la commande EXEC privilégiée show ip dhcp snooping pour vérifier la surveillance
DHCP et show ip dhcp snooping binding pour afficher les clients qui ont reçu des
informations DHCP, comme illustré dans l'exemple.
Remarque: l'espionnage DHCP est également requis par l'inspection ARP dynamique (DAI),
qui est le sujet suivant
S1# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
5,10,50-52
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
FastEthernet0/1 yes yes unlimited
Custom circuit-ids:
FastEthernet0/5 no no 6
Custom circuit-ids:
FastEthernet0/6 no no 6
Custom circuit-ids:
S1# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN
Interface
------------------ --------------- ---------- ------------- ---- --------
------------
00:03:47:B5:9F:AD 192.168.10.11 193185 dhcp-snooping 5
FastEthernet0/5
11.3.5

DHCP
Mettez en oeuvre l'espionnage DHCP pour un commutateur en fonction de la topologie
suivante et des exigences spécifiées.
Le vérificateur de syntaxe a une topologie q' un commutateur de distribution est connecté à
une interface de commutateurs d'accès G0/1. L'interface de commutateur d'accès F0/1 se
connecte au PC au côté gauche et au droit l'interface du commutateur G0/2 est connectée à un
serveur.
S1F0/1G0/1G0/2
Serveur DHCP
Vous êtes actuellement connecté à S1. Activez globalement L'espionnage DHCP (snooping )sur
le commutateur.
S1(config)#
11.2

11.4

11.4.1
Inspection ARP dynamique

Dans une attaque ARP typique, un acteur de menace peut envoyer des réponses ARP non
sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC de l'acteur de menace et
l'adresse IP de la passerelle par défaut. Pour empêcher l'usurpation ARP et l'empoisonnement
ARP qui en résulte, un commutateur doit garantir que seules les requêtes et les réponses ARP
valides sont relayées.
L'inspection ARP Dynamique (DAI) nécessite l'espionnage DHCP (snooping) et aide à

prévenir les attaques ARP en :
 Ne pas relayer les réponses ARP non valides ou gratuites vers d'autres ports du même VLAN.
 Interception de toutes les requêtes et les réponses ARP sur les ports non approuvés.
 Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
 Abandon et journalisation des réponses ARP provenant de non valides pour empêcher
 Error-disabling l'interface si le nombre DAI des paquets ARP configurés sont dépassées.
11.4.2
Directives de mettre en œuvre DAI

Pour atténuer les risques d'usurpation ARP et d'empoisonnement ARP, suivez ces directives
d'implémentation DAI:
 Activez globalement L'espionnage DHCP (snooping ).

 Activer l'espionnage DHCP sur les VLAN sélectionnés.
 Activer l'inspection ARP dynamique (DAI) sur les VLAN sélectionnés.
 Configurer les interface approuvées avec l'espionnage DHCP et l'inspection ARP.
Il est généralement conseillé de configurer tous les ports de commutateur d'accès comme non
approuvés et de configurer tous les ports de liaison montante qui sont connectés à d'autres
commutateurs comme approuvés.
L'exemple de topologie de la figure identifie les ports approuvés et non approuvés.
Le graphique montre une légende avec un port de confiance carré violet et un port non
approuvé de cercle rouge, au-dessus de celui-ci est un diagramme LAN montrant la confiance
d'inspection ARP dynamique. Le diagramme illustre un réseau LAN avec des ports approuvés
et non approuvés. Sur une interface en bas à gauche se trouve un attaquant sur un PC et en
haut à gauche se trouve un PC ordinaire. Les deux appareils sont connectés au commutateur et
les deux ont un cercle rouge sur le port du commutateur pour un port non approuvé. À droite
du commutateur se trouve un routeur qui est également connecté au commutateur. La
connexion du routeur a un carré violet sur le commutateur qui symbolise une connexion
approuvée pour ARP.
PC-AS1R1F0/1F0/2F0/24
Port non fiablePort fiableVLAN 10
11.4.3
Exemple de configuration DAI

Dans la topologie précédente, S1 connecte deux utilisateurs sur le VLAN 10. DAI sera
configuré pour atténuer les attaques d'usurpation ARP et d'empoisonnement ARP.
Comme indiqué dans l'exemple, l'espionnage DHCP est activée car DAI nécessite la table de
liaison d'espionnage DHCP pour fonctionner. Ensuite, la surveillance DHCP et l'inspection
ARP sont activés pour les PC sur VLAN10. Le port de liaison montante vers le routeur est
approuvé et est donc configuré comme approuvé pour l'espionnage DHCP et l'inspection
ARP.
S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config-if)# ip dhcp snooping trust

S1(config-if)# ip arp inspection trust
L'inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la
source des adresses MAC et IP :
 MAC de destination -vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à
l'adresse MAC cible dans le corps ARP.
 Source MAC - Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l'expéditeur Adresse
MAC dans le corps ARP.
 Adresse IP - Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses
0.0.0.0, 255.255.255.255 et tous les adresses multidiffusion IP.
La commande de configuration globale ip arp inspection validate {[src-mac][dst-

mac] [ip]} est utilisée pour configurer DAI pour supprimer les paquets ARP lorsque les
adresses IP ne sont pas valides. Il peut être utilisé lorsque les adresses MAC dans le corps des
paquets ARP ne correspondent pas aux adresses spécifiées dans l'en-tête Ethernet. Remarquez
dans l'exemple suivant comment une seule commande peut être configurée. Par conséquent, la
saisie de plusieurs commandes ip arp inspection validate écrase la commande précédente.
Pour inclure plusieurs méthodes de validation, saisissez-les sur la même ligne de commande
comme indiqué et vérifié le résultat suivante.
S1(config)# ip arp inspection validate ?
dst-mac Validate destination MAC address

ip Validate IP addresses
src-mac Validate source MAC address
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
ip arp inspection validate ip
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip
S1(config)#
11.4.4

ARP
Mettez en œuvre pour un commutateur en fonction de la topologie suivante et des exigences
spécifiées.
Le vérificateur de syntaxe a une topologie q' un commutateur de distribution est connecté à

une interface de commutateurs d'accès G0/1. L'interface de commutateur d'accès F0/1 se
connecte au PC au côté gauche et droit l'interface du commutateur G0/2 est connectée à un
serveur.
S1F0/1G0/1G0/2
Serveur DHCP
Vous êtes actuellement connecté à S1. Activez globalement L'espionnage DHCP (snooping )sur
le commutateur.
S1(config)#
11.3

11.5
Atténuer les attaques du STP

11.5.1
PortFast et protection BPDU

Rappelez-vous que les attaquants du réseau peuvent manipuler le protocole STP (Spanning
Tree Protocol) pour mener une attaque en usurpant le pont racine et en modifiant la topologie
d'un réseau. Pour atténuer les attaques de manipulation du protocole Spanning Tree (STP),
utilisez PortFast et Bridge Protocol Data Unit (BPDU) Garde :
 PortFast - Avec PortFast, une interface configurée comme un port d'accès ou trunc passe
immédiatement de l'état de blocage à celui de transfert, et contourne ainsi les situations d'écoutes
et d'apprentissages. Appliquer à tous les ports d'utilisateur final. PortFast ne doit pas être configuré
que sur les ports connectés aux périphériques finaux.
 BPDU Guard - Une erreur de BPDU guard désactive immédiatement un port qui reçoit un BPDU.
Comme PortFast, BPDU guard ne doit pas être configuré que sur les ports connectés aux
périphériques finaux.
Dans la figure, les ports d'accès pour S1 doivent être configurés avec PortFast et BPDU
Guard.
Il y a deux commutateurs de couche de distribution 3 en haut du diagramme qui sont
connectés par un trunc. Les deux commutateurs de couche 3 ont un liasion trunk qui est
connecté au même commutateur de couche 2 d'accès d'inférieur. Ce nommé S1 et est connecté
sur int G0/1 et G0/2. Sous S1 se trouvent plusieurs PC et sur le côté du commutateur, il
indique les ports d'accès F0 / 1 - F0 / 24.
G0/1G0/2F0/1 - F0/24S1
TruncTruncTruncPorts d'accès
11.5.2
Configurer PortFast
PortFast contourne les situations d'écoute et d'apprentissage STP pour limiter le temps que les
ports d'accès doivent attendre que STP se converge. Si PortFast est activé sur un port connecté
à un autre commutateur, alors il y en a un risque de créer une boucle Spanning Tree.
PortFast peut être activée alternativement sur une interface avec la commande de
configuration spanning-tree portfast . Alternativement, PortFast peut être configurée sur
tous les ports non trunc avec la commande de configuration globale spanning-tree portfast
default .
Pour vérifier si PortFast est activé globalement, vous pouvez utiliser la commande show
running-config | commande begin span ou la commande show spanning-tree summary .
Pour vérifier si PortFast est activé sur l'interface, utilisez la commande show running-config
interface type / number, comme indiqué dans l'exemple suivant. La
commande show spanning-tree interface type/number detail peut également être utilisée
pour la vérification.
Notez que lors PortFast est active, les messages d’avertissement s'affichent.
S1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single

host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast has been configured on FastEthernet0/1 but will only
have effect when the interface is in a non-trunking mode.
S1(config-if)# exit
S1(config)# spanning-tree portfast default

%Warning: this command enables portfast by default on all interfaces. You
should now disable portfast explicitly on switched ports leading to
hubs,
switches and bridges as they may create temporary bridging loops.
S1(config)# exit
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
spanning-tree portfast
(output omitted)
S1#
11.5.3
Configuration BPDU Guard

Même si PortFast est activé, l'interface écoutera toujours les BPDU. Les BPDU inattendus
peuvent être accidentels ou faire partie d'une tentative non autorisée d'ajouter un commutateur
au réseau.
Si une BPDU est reçue sur un port d'accès activé par BPDU Guard, le port est mis en état
désactivé par erreur. Cela signifie que le port est arrêté et doit être réactivé manuellement ou
récupéré automatiquement par la commande globale errdisable recovery cause
psecure_violation.
BPDU Guard peut être activé sur un port à l'aide de la commande de configuration
d'interface spanning-tree bpduguard enable. Autrement, utiliser la commande de
configuration globale spanning-tree portfast bpduguard default pour activer globalement
la protection BPDU sur tous les ports où PortFast est activée.
Pour afficher des informations sur l'état du spanning tree, utilisez la commande show
spanning-tree summary. Dans l'exemple, PortFast par défaut et BPDU Guard sont activés
comme situation par défaut pour les ports configurés en mode d'accès.
Remarque: Activez toujours BPDU Guard sur tous les ports activés par PortFast.
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
S1# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID is enabled
Portfast Default is enabled
PortFast BPDU Guard Default is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
(output omitted)
S1#
11.5.4
STP
Mettez en œuvre Portfast et BPDU Guard pour un commutateur en fonction de la topologie
suivante et des exigences spécifiées.
Le vérificateur de syntaxe a une topologie identique à celle du diagramme de 11.5.1; où il y a

deux commutateurs de couche de distribution 3 en haut du diagramme qui sont connectés par
un trunc. Les deux commutateurs de couche 3 ont un liaison trunc qui est connecté au même
commutateur de couche 2 d'accès d'inférieur. Ce nommé S1 et est connecté sur int G0/1 et
G0/2. Sous S1 se trouvent plusieurs PC et sur le côté du commutateur, il indique les ports
d'accès F0 / 1 - F0 / 24.12.1.5 Le diagramme montre où différentes technologies opèrent dans
le spectre électromagnétique. Les types d'ondes de gauche à droite sont; ondes radio,
infrarouges, ultraviolets, rayons X et rayons gamma. La fréquence des ondes augmente de
gauche à droite. Les appareils sans fil, comprenant les tours radio, les radios, les téléviseurs,
les fours à micro-ondes et les antennes paraboliques, sont répertoriés sous le côté gauche.
G0/1G0/2F0/1 - F0/24S1
TruncTruncTruncPorts d'accès
Vous êtes actuellement connecté à S1. Complétez les étapes suivantes pour implémenter
PortFast et BPDU Guard sur tous les ports d'accès:
 Passez en mode de configuration d'interface pour fa0/1 - 24.

 Configurez le port en mode d'accès.
 Repassez en mode de configuration globale.
 Activez Portfast par défaut sur tous les ports d’accès.
 Activez BPDU Guard par défaut sur tous les ports d’accès.
S1(config)#
11.4

11.6

11.6.1
Packet Tracer - Configuration de la sécurité
des ports de commutateur
Dans cette activité Packet Tracer, vous allez:
 Sécuriser les ports inutilisés

 Configurer la sécurité des ports
 Atténuer les attaques par saut de VLAN
 Limiter les attaques DHCP
 Limiter les attaques ARP
 Limiter les attaques STP
 Vérifier la configuration de sécurité du commutateur
Configuration de la sécurité des ports de commutateur

Configuration de la sécurité des ports de commutateur
11.6.2
Travaux pratiques - Configuration de la

sécurité du commutateur
Au cours de ces travaux pratiques, vous allez:
 Sécuriser les ports inutilisés

 Configurer la sécurité des ports
 Atténuer les attaques par saut de VLAN
 Limiter les attaques DHCP
 Limiter les attaques ARP
 Limiter les attaques STP
 Vérifier la configuration de sécurité du commutateur
Configuration de la sécurité du commutateur

11.6.3

Tous les ports (interfaces) du commutateur doivent être sécurisés avant que le commutateur
est possédé pour la production d'utilisation. La méthode la plus simple et la plus efficace qui
permet d'éviter la saturation des attaques de le tableau d'adresse MAC est d'activer la sécurité
des ports. Par défaut, les ports de commutateur de couche 2 sont définis automatiquement
dynamique (dynamic auto) (trunking on). Le commutateur peut être configuré pour connaître
les adresses MAC sur un port sécurisé de trois manières: configuré manuellement, appris
dynamiquement et appris dynamiquement - collant. L'obsolescence de la sécurité des ports
peut être utilisée pour définir le temps d'obsolescence des adresses sécurisées statiques et
dynamiques sur un port. Deux types d'obsolescence sont pris en charge par port:Absolute et
Inactivity Si l'adresse MAC d'un périphérique connecté au port est différent de la liste des
adresses sécurisées, alors une violation de port se produit. Par défaut, le port entre l’état error-
disabled. Quand un port est fermé et placé dans l'état error-disabled, aucun trafic n'est envoyé
ou reçu sur ce port Pour afficher les paramètres de sécurité des ports pour un commutateur,
utilisez la commande show port-security.
Pour atténuer les attaques par saut de VLAN:
Étape 1. Désactivez les négociations DTP sur les ports sans trunking.
Étape 2. Désactivation des ports inutilisés.
Étape 3. Activez manuellement la liaison trunc sur un port de trunking.
Étape 4. Désactivez les négociations DTP sur les ports trunking.
Étape 5. Choisissez un VLAN natif autre que le VLAN.
L'objectif d'une attaque par insuffisance de resources DHCP est de créer un déni de service
(DoS) pour connecter les clients. Les attaques par usurpation DHCP peuvent être
contrecarrées au moyen de fonctions de surveillance DHCP sur les ports de confiance.
L'espionnage DHCP détermine si les messages DHCP proviennent d'une source approuvée ou
non approuvée configurée par l'administrateur. Il filtre ensuite les messages DHCP et limite la
fiabilité du trafic DHCP de sources qui ne sont pas approuvé. Utilisez les étapes suivantes
pour activer l'espionnage DHCP (snooping):
Étape 1. Activer L'espionnage (snooping) DHCP.

Étape 2. Sur les ports approuvés, configure l'interface avec la commande ip dhcp snooping
trust.
Étape 3. Limitez le nombre de messages de découverte DHCP pouvant être reçus par seconde
sur les ports non approuvés.
Étape 4. Activez l'espionnage DHCP par VLAN ou par une gamme de VLAN.
L'inspection ARP Dynamique (DAI) nécessite l'espionnage DHCP (snooping) et aide à

prévenir les attaques ARP en :
 Ne pas relayer les réponses ARP non valides ou gratuites vers d'autres ports du même VLAN.
 Interception de toutes les requêtes et les réponses ARP sur les ports non approuvés.
 Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
 Abandon et journalisation des réponses ARP provenant de non valides pour empêcher
 Error-disabling l'interface si le nombre DAI des paquets ARP configurés sont dépassées.
Pour atténuer les risques d'usurpation ARP et d'empoisonnement ARP, suivez ces directives
d'implémentation DAI:
 Activez globalement L'espionnage DHCP (snooping ).

 Activez l'espionnage DHCP sur les VLAN sélectionnés.
 Activez l'inspection ARP dynamique (DAI) sur les VLAN sélectionnés.
 Configurez les interface approuvées avec l'espionnage DHCP et l'inspection ARP.
Il est généralement conseillé de configurer tous les ports de commutateur d'accès comme non
approuvés et de configurer tous les ports de liaison montante qui sont connectés à d'autres
commutateurs comme approuvés.
L'inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la
source des adresses MAC et IP :
 MAC de destination -vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à
l'adresse MAC cible dans le corps ARP.
 Source MAC - Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l'expéditeur Adresse
MAC dans le corps ARP.
 Adresse IP - Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses
0.0.0.0, 255.255.255.255, et tous les adresses multidiffusion IP.
Pour atténuer les attaques de manipulation du protocole Spanning Tree (STP), utilisez
PortFast et Bridge Protocol Data Unit (BPDU) Garde :
 PortFast - Avec PortFast, une interface configurée comme un port d'accès ou trunc passe
immédiatement de l'état de blocage à celui de transfert, et contourne ainsi les états d'écoutes et
d'apprentissages. S’applique à tous les ports d'utilisateur finaux. PortFast ne doit pas être configuré
que sur les ports connectés aux périphériques finaux. PortFast contourne les états d'écoute et
d'apprentissage STP pour limiter le temps que les ports d'accès doivent attendre que STP se
converge. Si PortFast est activé sur un port connecté à un autre commutateur, alors il y en a un
risque de créer une boucle Spanning Tree.
 BPDU Guard - Une erreur de BPDU guard désactive immédiatement un port qui reçoit un BPDU.
Comme PortFast, BPDU ne doit pas être configuré que sur les ports connectés aux périphériques
finaux. BPDU Guard peut être activé sur un port à l'aide de la commande de configuration
d'interface spanning-tree bpduguard enable. Autrement, utiliser la commande de configuration
globale spanning-tree portfast bpduguard default pour activer globalement la protection BPDU sur
tous les ports où PortFast est activée.
11.6.4
Questionnaire de module - La Configuration

de la Sécurité du Commutateur
1.
Quelle est la meilleure pratique recommandée en ce qui concerne le VLAN natif ?
Désactiver le DTP
Attribuer le réseau natif à un VLAN non utilisé

Utiliser une fonction de sécurité des ports
Attribuer le même numéro de VLAN que le VLAN de gestion

2. Sur quels ports de commutateur PortFast doit-il être activé pour améliorer la stabilité STP?
Tous les ports de trunc qui ne sont pas des ports racine
Seulement les ports élus comme des ports désignés
Seulement les ports qui se connectent à un commutateur voisin.
Tous les ports d'utilisateur finaux.

3. Quelle commande serait préférable d'utiliser sur un port de commutateur inutilisé si une
entreprise adhère aux meilleures pratiques recommandées par Cisco?
switchport port-security violation shutdown
switchport port-security mac-address sticky mac-address
shutdown
ip dhcp snooping
switchport port-security mac-address sticky

4. Quelles sont les deux fonctionnalités d'un commutateur Cisco Catalyst qui peuvent être
utilisées pour atténuer les attaques par insuffisance et par usurpation de ressources DHCP ?
(Choisissez deux)
Liste de contrôle d'accès étendue

Basculement du serveur DHCP
Sécurisation des ports
Un efficace mot de passe sur les serveurs DHCP.
Espionnage DHCP
5. Quelle est la meilleure façon d’empêcher une attaque de saut de réseau VLAN ?
Désactiver la négociation des liaisons pour les ports trunc et statistiquement définir les autres
ports en tant que ports d’accès.
Désactivez le protocole STP sur les autres ports non trunc
Utilisez l’encapsulation ISL sur toutes les liaisons Trunc
Utilisez le VLAN 1 en tant que VLAN natif sur tous les ports trunc
6. Quelle procédure est recommandée pour atténuer les risques d'usurpation ARP ?
Activez IP Source Guard sur les ports approuvés.
Activer l'espionnage DHCP sur les VLAN sélectionnés.
Activez DAI sur le VLAN de gestion.
Activez la sécurité de port globalement.

7. Quels sont les deux types de ports de commutateur utilisés sur les commutateurs Cisco dans le
cadre de la défense contre les attaques par usurpation DHCP ? (Choisissez deux)
port DHCP approuvé
port inconnu
port DHCP établi
port non autorisé
port non approuvé
port DHCP autorisé

8. Quelles sont les deux commandes peuvent être utilisées pour activer PortFast sur un
commutateur? (Choisissez deux)
S1(config-if)# spanning-tree portfast
S1(config-if)# enable spanning-tree portfast
S1(config)# spanning-tree portfast default
S1(config-line)# spanning-tree portfast
S1(config)# enable spanning-tree portfast default

9. Un administrateur qui dépanne les problèmes de connectivité sur un commutateur remarque
que le port de commutateur configuré pour la sécurité des ports est en mode de désactivation
des erreurs. Après la vérification de la cause de la violation, comment l'administrateur doit-il
réactiver le port sans interrompre le fonctionnement du réseau?
Exécuter la commande shutdown suivie par la commande no shutdown sur l'interface.
Exécuter la commande no switchport port-security violation shutdown sur l'interface.
Exécuter la commande no switchport port-security, puis réactiver la sécurité des ports.
Redémarrer le commutateur.
10. L'administrateur d'un réseau configure l'espionnage DHCP sur un commutateur. Quelle est le
premier commande de configuration doit être utilisée ?
la surveillance DHCP de L'address IP (ip dhcp snooping) Vlan
ip dhcp snooping limit rate
ip dhcp snooping
ip dhcp snooping trust

11. Un administrateur réseau configure DAI sur un commutateur avec la commande ip arp
inspection validate dst-mac. Quel est l'objectif de cette commande de configuration?
pour vérifier l'adresse MAC de destination dans l'en-tête Ethernet par rapport aux listes de
contrôle d'accès ARP configurées par l'utilisateur
pour vérifier l'adresse MAC de destination dans l'en-tête Ethernet par rapport à l'adresse
MAC source dans le corps ARP
pour vérifier la destination adresse MAC dans l’en-tête Ethernet contre la table d'adresse
MAC.
pour vérifier l'adresse MAC de destination dans l'en-tête Ethernet par rapport à l'adresse
MAC cible dans le corps ARP
12. Quelle est la fonction de sécurité doit être activée pour empêcher un hacker de saturer la table
d'adresses MAC d'un commutateur?
Filtrage BPDU
la protection de racine
Contrôle des tempêtes
Sécurisation des ports

13. Quelle est l'attaque de couche 2 qui se réduit en désactivant le protocole de Trunk dynamique
DTP (Dynamic Trunking Protocol) ?
Saut de VLAN
Spoofing ARP
Empoisonnement ARP
Usurpation DHCP (ou spoofing)

14. L'administrateur d'un réseau configure DAI sur un commutateur. Quelle commande doit être
utilisée sur l'interface de liaison montante qui se connecte à un routeur ?
ip arp inspection trust

ip arp inspection vlan
ip dhcp snooping
spanning-tree portfast
15. Où sont stockées les adresses MAC apprises dynamiquement lorsque l'apprentissage collant
est activé avec la commande switchport port-security mac-address sticky?
Mémoire vive (RAM)
NVRAM
ROM
11.5

12.0
Introduction
12.0.1

Bienvenue chez Concepts de WLAN !
Utilisez-vous une connexion sans fil à la maison, au travail ou à l'école? Avez vous jamais
demandé comment ça fonctionne?
Il existe de nombreuses façons de se connecter sans fil. Comme tout autre élément impliquant
des réseaux, ces types de connexion sont mieux utilisés dans des situations particulières. Ils
nécessitent des appareils spécifiques et sont également sujets à certains types d'attaques. Et
bien sûr, il existe des solutions pour atténuer ces attaques. Vous voulez en savoir plus? Le
module Concepts de WLAN vous donne les connaissances fondamentales dont vous avez
besoin pour comprendre ce que sont les LAN sans fil, ce qu'ils peuvent faire et comment les
protéger.
Si vous êtes curieux, n’attendez pas, commencez dès aujourd’hui!
12.0.2

module?
Titre du module: Concepts de WLAN
Objectif du module: Expliquer comment les réseaux locaux sans fil permettent la connectivité
réseau.
Légende du tableau
Introduction au sans fil Décrire la technologie et les normes WLAN.
Composants d'un réseau WLAN Décrire les composants d'une infrastructure WLAN.
Expliquer comment la technologie sans fil permet le

Fonctionnement d'un réseau WLAN
fonctionnement du réseau WLAN.
Expliquer comment un contrôleur sans fil utilise

Fonctionnement du protocole CAPWAP
CAPWAP pour gérer plusieurs points d'accès.
Gestion des canaux Décrire la gestion des canaux dans un réseau WLAN.
Menaces visant le réseau WLAN Décrire les menaces visant les réseaux WLAN.
WLAN sécurisés Décrire les mécanismes de sécurité WLAN.
11.6
Introduction au Sans Fil

12.1.1
Avantages du Sans Fil
Un réseau local sans fil (WLAN) est un type de réseau sans fil couramment utilisé dans les
maisons, les bureaux et les campus. Les réseaux doivent soutenir les personnes en
mouvement. Les gens se connectent à l'aide d'ordinateurs, d'ordinateurs portables, de tablettes
et de téléphones intelligents. Il existe de nombreuses infrastructures réseau différentes qui
fournissent un accès réseau, telles que les réseaux locaux câblés, les réseaux de fournisseurs
de services et les réseaux de téléphonie cellulaire. Mais c'est le WLAN qui rend la mobilité
possible dans les environnements domestiques et professionnels.
Dans les entreprises avec une infrastructure sans fil en place, il peut y avoir des économies à
chaque fois que l'équipement change, ou lors du déménagement d'un employé dans un
bâtiment, de la réorganisation de l'équipement ou d'un laboratoire, ou lors d'un déménagement
vers des emplacements temporaires ou des sites de projet. Une infrastructure sans fil peut
s'adapter aux besoins et aux technologies en évolution rapide.
12.1.2
Types de Réseaux Sans Fil

Les réseaux sans fil sont basés sur les normes de l'Institut des ingénieurs électriciens et
électroniciens (IEEE) et peuvent être classés en quatre types principaux: WPAN, WLAN,
WMAN et WWAN.
Cliquez sur chaque type de réseau sans fil pour plus d'informations.
WPAN
WLAN
WMAN
WWAN
Réseaux personnels sans fil (WPAN) - Utilise des émetteurs de faible puissance pour un
réseau à courte portée, généralement de 6 à 9 mètres (20 à 30 pieds). Les appareils basés sur
Bluetooth et ZigBee sont couramment utilisés dans les WPAN. Les WPAN sont basés sur la
norme 802.15 et une fréquence radio de 2,4 GHz.
WPAN avec maison et bâtiments illustrés se connectant sans fil à une tour radio.
12.1.3
Technologies Sans Fil

La technologie sans fil utilise le spectre radio disponible pour envoyer et recevoir des
données. Le spectre sans licence est accessible à toutes les personnes disposant d’un routeur
sans fil et d’un appareil équipé de la technologie sans fil.
Cliquez sur chaque technologie sans fil pour plus d'informations.

Bluetooth
WiMAX
Large bande cellulaire
Satellite à large bande
Bluetooth - Une norme IEEE 802.15 WPAN qui utilise un processus d'appairage d'appareil
pour communiquer sur des distances allant jusqu'à 100 m. Il peut être trouvé dans les
appareils domestiques intelligents, les connexions audio, les automobiles et autres appareils
qui nécessitent une connexion à courte distance. Il existe deux types de radios Bluetooth:
 Bluetooth Low Energy (BLE) - Il prend en charge plusieurs technologies de réseau, y compris la
topologie maillée pour les périphériques réseau à grande échelle.
 Débit de base Bluetooth / Débit amélioré (BR / EDR) - Il prend en charge les topologies point à point
et est optimisé pour le streaming audio.
12.1.4
Normes 802.11
Le monde des communications sans fil est vaste. Cependant, pour certaines compétences
professionnelles, nous voulons nous concentrer sur des aspects spécifiques du Wi-Fi. Le
meilleur endroit pour commencer est avec les normes WLAN IEEE 802.11. Ces normes
définissent la manière dont les radiofréquences sont utilisées pour les liaisons sans fil. La
plupart des normes spécifient que les appareils sans fil ont une antenne pour transmettre et
recevoir des signaux sans fil sur la fréquence radio spécifiée (2,4 GHz ou 5 GHz). Certaines
des nouvelles normes qui transmettent et reçoivent à des vitesses plus élevées nécessitent que
les points d'accès (AP) et les clients sans fil disposent de plusieurs antennes utilisant la
technologie à entrées et sorties multiples (MIMO). MIMO utilise plusieurs antennes comme
émetteur et récepteur pour améliorer les performances de communication. Jusqu'à quatre
antennes peuvent être prises en charge.
Diverses implémentations de la norme IEEE 802.11 ont été développées au fil des ans. Le
tableau met en évidence ces normes.
Légende du tableau
Norme
IEEE Radiofréquence Description
WLAN
802.11 2,4 GHz  vitesses allant jusqu'à 2 Mbps
5 GHz  des vitesses allant jusqu'à 54 Mbps

802.11a
 petite zone de couverture
Légende du tableau
Norme
IEEE Radiofréquence Description
WLAN
 moins efficace pour pénétrer les structures des bâtiments

 non interopérable avec les 802.11b et 802.11g
 des vitesses allant jusqu'à 11 Mbps

2,4 GHz  portée plus longue que 802.11a
802.11b
 mieux à même de pénétrer les structures des bâtiments
 des vitesses allant jusqu'à 54 Mbps

2,4 GHz  rétrocompatible avec 802.11b avec une capacité de bande passante
802.11g
réduite
 les débits de données varient de 150 Mbps à 600 Mbps avec une plage de
distance jusqu'à 70 m (230 pieds)
802.11n 2,4 GHz 5 GHz  Les points d'accès et les clients sans fil ont besoin de plusieurs antennes
utilisant la technologie MIMO
 rétrocompatibilité avec les appareils 802.11a/b/g à débit de données limité
 fournit des débits de données allant de 450 Mbps à 1,3 Gbps (1300 Mbps)
utilisant la technologie MIMO
 Jusqu'à huit antennes peuvent être prises en charge
802.11ac 5 GHz
 rétrocompatible avec les appareils 802.11a / n avec limitation des débits de
données
 publié en 2019 - dernière norme

 également connu sous le nom de High-Efficiency Wireless (HEW)
 des débits de données plus élevés
 capacité accrue
802.11ax 2,4 GHz 5 GHz  gère de nombreux appareils connectés
 efficacité énergétique améliorée
 capabilité 1 GHz et 7 GHz, lorsque ces fréquences seront disponibles
 Recherchez Wi-Fi Generation 6 sur Internet pour plus d'informations
12.1.5
Radiofréquence
Tous les appareils sans fil fonctionnent dans la plage des ondes radio du spectre
électromagnétique. Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et
la bande 5 GHz. Les appareils LAN sans fil ont des émetteurs et des récepteurs réglés sur des
fréquences spécifiques de la gamme d'ondes radio, comme indiqué sur la figure. Plus
précisément, les bandes de fréquences suivantes sont attribuées aux réseaux locaux sans fil
802.11:
 2,4 GHz (UHF) - 802.11b/g/n/ax

 5 GHz (SHF) - 802.11a/n/ac/ax
appareils sans fil et autres technologies, et où ils opèrent sur le spectre électromagnétique
Spectre électromagnétique
Périphériques sans fil
12.1.6
Organisations des Normes Sans Fil

Les normes garantissent l'interopérabilité entre les appareils fabriqués par différents
fabricants. À l'échelle internationale, les trois organisations qui influencent les normes WLAN
sont l'UIT-R, l'IEEE et la Wi-Fi Alliance.
Cliquez sur chaque bouton pour plus d'informations sur l'organisation des normes.
UIT
IEEE
Alliance Wi-Fi
L'Union internationale des télécommunications (ITU) réglemente l'attribution du spectre des

fréquences radioélectriques et des orbites de satellites par le biais de l'UIT-R. UIT-R signifie
le Secteur des radiocommunications de l'UIT.
12.1.7
Vérifiez votre compréhension - Introduction

au sans fil
Vérifiez votre compréhension des réseaux sans fil, technologies et normes en choisissant la
1. Lequel des réseaux sans fil suivants utilise généralement des émetteurs de faible puissance
pour de courtes portées?
WPAN
WLAN
WMAN
WWAN
2. Lesquels des réseaux sans fil suivants sont spécifiés dans les normes IEEE 802.11 pour les
fréquences radio 2,4 GHz et 5 GHz?
WPAN
WLAN
WMAN
WWAN
3. Lequel des éléments suivants est une norme IEEE 802.15 WPAN qui utilise un processus
d'appariement de périphériques pour communiquer?
Cellulaire
WiMAX
Wi-Fi
Bluetooth
4. Quelles normes 802.11 utilisent exclusivement la fréquence radio 5 GHz? (Choisissez 2)
802.11a
802.11g
802.11n
802.11ac
802.11ax
5. Quelle organisation de normalisation est responsable de l'attribution des fréquences radio?
IEEE
ITU-R
Alliance Wi-Fi
12.0
Introduction
12.2
Composants de WLAN
12.2.1
Vidéo - Composants de WLAN

Dans le rubrique précédent, vous avez découvert les avantages du sans fil, les types de réseaux
sans fil, les normes 802.11 et les fréquences radio. Ici, nous allons en apprendre davantage sur
les composants de WLAN.
Cliquez sur Lecture pour voir une vidéo sur les composants de WLAN.
Play Video
12.2.2
Cartes Réseau Sans Fil (NIC)

Les déploiements sans fil nécessitent au moins deux appareils dotés d'un émetteur radio et d'un
récepteur radio réglés sur les mêmes fréquences radio:
 Terminaux avec cartes réseau sans fil

 Un périphérique réseau, tel qu'un routeur sans fil ou un point d'accès sans fil
Pour communiquer sans fil, les ordinateurs portables, les tablettes, les téléphones intelligents et
même les dernières voitures incluent des cartes réseau sans fil intégrées qui incorporent un
émetteur / récepteur radio. Cependant, si un périphérique ne possède pas de carte réseau sans
fil intégrée(NIC), un adaptateur sans fil USB peut être utilisé, comme illustré dans la figure.
Remarque: De nombreux appareils sans fil que vous connaissez ne disposent pas d'antennes
visibles. Ils sont intégrés dans les smartphones, les ordinateurs portables et les routeurs
domestiques sans fil.
Adaptateur sans fil USB
12.2.3
Routeur Domestique Sans Fil

Le type de périphérique d'infrastructure qu'un périphérique final associe et authentifie avec varie
en fonction de la taille et des exigences du WLAN.
Par exemple, un utilisateur à domicile interconnecte généralement des périphériques sans fil à
l'aide d'un petit routeur sans fil, comme illustré dans la figure. Le routeur sans fil sert de:
 Point d'accès - Il fournit un accès sans fil 802.11a / b / g / n / ac.

 Commutateur - Il fournit un commutateur Ethernet 10/100/1000 en duplex intégral à quatre ports
pour interconnecter les périphériques câblés.
 Routeur - Ceci fournit une passerelle par défaut pour la connexion à d'autres infrastructures
réseau, telles qu'Internet.
Un routeur sans fil est généralement implémenté en tant que périphérique d'accès sans fil pour
petite entreprise ou résidentiel. Le routeur sans fil annonce ses services sans fil en envoyant des
balises contenant son identificateur d'ensemble de services partagés (SSID). Les appareils
découvrent sans fil le SSID et tentent de s'y associer et de s'authentifier pour accéder au réseau
local et à Internet.
La plupart des routeurs sans fil offrent également des fonctionnalités avancées, telles que l'accès
haut débit, la prise en charge du streaming vidéo, l'adressage IPv6, la qualité de service (QoS),
des utilitaires de configuration et des ports USB pour connecter des imprimantes ou des lecteurs
portables.
De plus, les utilisateurs à domicile qui souhaitent étendre leurs services réseau peuvent
implémenter des prolongateurs de portée Wi-Fi. Un appareil peut se connecter sans fil à
l'extension, ce qui stimule ses communications à répéter vers le routeur sans fil.
12.2.4
Points d'Accès Sans Fil

Bien que les prolongateurs de portée soient faciles à installer et à configurer, la meilleure solution
serait d'installer un autre point d'accès sans fil pour fournir un accès sans fil dédié aux appareils
utilisateur. Les clients sans fil utilisent leur carte réseau sans fil pour découvrir les points d'accès
à proximité annonçant leur SSID. Les clients tentent ensuite de s'associer et de s'authentifier
avec un AP. Une fois authentifiés, les utilisateurs sans fil ont accès aux ressources réseau. Les
points d'accès Cisco Meraki Go sont illustrés dans la figure.
12.2.5
Catégries des APs

Les points d'accès peuvent être classés comme des points d'accès autonomes ou des points
d'accès basés sur un contrôleur.
Cliquez sur chaque bouton pour une topologie et une explication de chaque type.
Points d'accès autonomes
Points d'accès basés sur un contrôleur

Il s'agit de périphériques autonomes configurés à l'aide d'une interface de ligne de commande ou

d'une interface graphique, comme illustré dans la figure. Les points d'accès autonomes sont
utiles dans les situations où seuls quelques points d'accès sont requis dans l'organisation. Un
routeur domestique est un exemple d'AP autonome car la configuration complète de l'AP réside
sur l'appareil. Si les demandes sans fil augmentent, plus de points d'accès seraient nécessaires.
Chaque AP fonctionnerait indépendamment des autres AP et chaque AP nécessiterait une
configuration et une gestion manuelles. Cela deviendrait écrasant si de nombreux points d'accès
étaient nécessaires.
plusieurs appareils sans fil connectés à un AP autonome qui a une connexion filaire à un
commutateur sur un réseau filaire
12.2.6
Antennes Sans Fil

La plupart des points d'accès professionnels nécessitent des antennes externes pour en faire des
unités pleinement fonctionnelles.
Cliquez sur chaque antenne pour plus d'informations.

Antennes omnidirectionnelles
Antennes directionnelles
Antennes MIMO
Les antennes omnidirectionnelles telles que celle illustrée sur la figure offrent une couverture à
360 degrés et sont idéales dans les maisons, les bureaux ouverts, les salles de conférence et les
zones extérieures.
12.2.7
Vérifiez votre compréhension - Composants

de WLAN
Vérifiez votre compréhension des composants du WLAN en choisissant la MEILLEURE réponse
aux questions suivantes.
1. Vrai ou faux: les ordinateurs portables qui n'ont pas de carte réseau sans fil intégrée peuvent
uniquement être connectés au réseau via une connexion filaire.
Vrai
Faux
2. Lesquels des composants suivants sont intégrés dans un routeur domestique sans fil?
(Choisissez trois.)
Point d'accès
Commutateur
Routeur
Prolongateur de portée (Range extender)

3. Vrai ou faux: lorsque vous devez étendre la couverture d'un petit réseau, la meilleure solution
consiste à utiliser un prolongateur de plage.
Vrai
Faux
4. Lequel des éléments suivants est un appareil autonome, comme un routeur domestique, où la
configuration WLAN entière réside sur l'appareil?
Prolongateur de portée (Range extender)
Points d'accès basés sur un contrôleur
Carte réseau sans fil USB

5. Lesquelles des antennes suivantes offrent une couverture à 360 degrés?
Carte réseau sans fil (NIC)
Directionnel
Omnidirectionnel
MIMO
12.1
Introduction au Sans Fil

12.3
Fonctionne
Fonctionnement d'un Réseau

WLAN
12.3.1
Vidéo - Fonctionnement du WLAN

La rubrique précédente couvrait les composants WLAN. Cette rubrique couvrira le
fonctionnement du WLAN.
Cliquez sur Lecture pour voir une vidéo sur le fonctionnement du WLAN.
Play Video
12.3.2
Modes de Topologie Sans Fil 802.11

Les réseaux locaux sans fil peuvent prendre en charge diverses topologies de réseau. La
norme 802.11 identifie deux modes de topologie sans fil principaux: Le mode ad hoc et le
mode infrastructure. Le partage de connexion est également un mode parfois utilisé pour
fournir un accès sans fil rapide.
Cliquez sur chaque mode de topologie sans fil pour plus d'informations.
Mode ad hoc
Mode infrastructure
Partage de connexion (Tethering)
Mode ad hoc - C'est lorsque deux appareils se connectent sans fil de manière poste à poste
(P2P) sans utiliser de points d'accès ou de routeurs sans fil. Les exemples incluent les clients
sans fil se connectant directement les uns aux autres via Bluetooth ou Wi-Fi Direct. La norme
IEEE 802.11 fait référence à un réseau ad hoc comme un ensemble de services de base
indépendant (IBSS).
deux ordinateurs portables communiquant directement entre eux via des signaux sans fil
12.3.3
BSS et ESS
Le mode infrastructure définit deux blocs de construction de topologie: un ensemble de
services de base (BSS) et un ensemble de services étendus (ESS).
Cliquez sur BSS et ESS pour plus d'informations.

BSS
ESS
Ensemble de services de base
Un BSS consiste en un seul AP interconnectant tous les clients sans fil associés. Deux BSS
sont représentés sur la figure. Les cercles représentent la zone de couverture du BSS, appelée
zone de service de base (BSA). Si un client sans fil quitte son BSA, il ne peut plus
communiquer directement avec d'autres clients sans fil au sein du BSA.
L'adresse MAC de couche 2 de l'AP est utilisée pour identifier de manière unique chaque
BSS, qui est appelé l'identificateur de l'ensemble de services de base (BSSID). Par
conséquent, le BSSID est le nom formel du BSS et est toujours associé à un seul AP.
La figure montre deux BSA. L'un est identifié par le BSSID 00d0: bc80: dd07 et se compose
d'un ordinateur portable avec une connexion sans fil à un point d'accès. Le deuxième BSA est
identifié par le BSSID 00d0: afdb: e0fc et se compose de deux ordinateurs portables chacun
avec une connexion sans fil à un AP.
BSABSABSSID:
00d0:bc80.dd07BSSID
00d0:afdb.e0fc10 to 15% overlapping to provide roaming between the BSAs without loss of connectivity
12.3.4
Structure de Trame 802.11

Rappelez-vous que toutes les trames de couche 2 se composent d'une section d'en-tête, de
charge utile et de séquence de vérification de trame (FCS). Le format de trame 802.11 est
similaire au format de trame Ethernet, sauf qu'il contient plus de champs, comme indiqué sur
la figure.
Le diagramme montre les champs d'une trame 802.11. À gauche se trouve l'en-tête composé
des champs suivants: contrôle de trame, durée, adresse 1, adresse 2, adresse 3, contrôle de
séquence et adresse 4. Vient ensuite la charge utile et le dernier est le champ FCS.
En-têteDonnées utilesFCSContrôle de trameDuréeAdresse1Adresse2Adresse3Contrôle

de séquenceAdresse4
Toutes les trames sans fil 802.11 contiennent les champs suivants:
 Contrôle de trame - Ceci identifie le type de trame sans fil et contient des sous-champs pour la
version du protocole, le type de trame, le type d'adresse, la gestion de l'alimentation et les
paramètres de sécurité.
 Durée - Elle est généralement utilisée pour indiquer la durée restante nécessaire pour recevoir la
transmission de trame suivante.
 Adresse1 - Elle contient généralement l'adresse MAC de l'appareil sans fil ou AP récepteur.
 Address2 - Il contient généralement l'adresse MAC de l'appareil sans fil ou AP de transmission.
 Address3 - Cela contient parfois l'adresse MAC de la destination, telle que l'interface du routeur
(passerelle par défaut) à laquelle l'AP est connecté.
 Contrôle de séquence - Il contient des informations pour contrôler le séquencement et les images
fragmentées.
 Address4 - Cela manque généralement car il n'est utilisé qu'en mode ad hoc.
 Charge utile - Elle contient les données à transmettre.
 FCS - Ceci est utilisé pour le contrôle d'erreur de couche 2.
12.3.5
CSMA/CA
Les WLAN sont des configurations de médias partagés semi-duplex. Le semi-duplex signifie
qu'un seul client peut émettre ou recevoir à un moment donné. Les médias partagés signifient
que les clients sans fil peuvent tous transmettre et recevoir sur le même canal radio. Cela crée
un problème car un client sans fil ne peut pas entendre pendant son envoi, ce qui rend
impossible la détection d'une collision.
Pour résoudre ce problème, les WLAN utilisent un accès multiple à détection de porteuse
avec prévention des collisions (CSMA / CA) comme méthode pour déterminer comment et
quand envoyer des données sur le réseau. Un client sans fil effectue les opérations suivantes:
1. Écoute le canal pour voir s'il est inactif, ce qui signifie qu'il détecte qu'aucun autre trafic n'est
actuellement sur le canal. Le canal est également appelé le transporteur.
2. Envoie un message prêt à envoyer (RTS) à l'AP pour demander un accès dédié au réseau.
3. Reçoit un message clair à envoyer (CTS) de l'AP accordant l'accès à l'envoi.
4. Si le client sans fil ne reçoit pas de message CTS, il attend un temps aléatoire avant de redémarrer le
processus.
5. Après avoir reçu le CTS, il transmet les données.
6. Toutes les transmissions sont reconnues. Si un client sans fil ne reçoit pas d'accusé de réception, il
suppose qu'une collision s'est produite et redémarre le processus.
12.3.6
Association des Points d'Accès des Clients

Sans Fil
Pour que les périphériques sans fil puissent communiquer sur le réseau, ils doivent tout
d'abord être associés à un point d'accès ou à un routeur sans fil. Une étape importante du
processus 802.11 est la détection du WLAN et la connexion à celui-ci. Les appareils sans fil
effectuent le processus en trois étapes suivant, comme indiqué dans la figure:
 Découvrir un point d'accès sans fil

 S'authentifier auprès du point d'accès
 S'associer au point d'accès
La figure montre le processus en trois étapes utilisé par un client sans fil pour s'associer à un
point d'accès. Un ordinateur portable représente un client sans fil qui communique sans fil
avec un point d'accès. Une flèche circulant du client vers l'AP représente la première étape au
cours de laquelle le client découvre l'AP. En dessous, une double flèche entre les appareils
représente l'étape d'authentification. En dessous, une autre double flèche entre les appareils
représente l'étape d'association.
Client sans filPADécouverte du point d'accèsAuthentificationCollaborateur
Afin d'avoir une association réussie, un client sans fil et un AP doivent se mettre d'accord sur
des paramètres spécifiques. Les paramètres doivent ensuite être configurés sur l'AP puis sur le
client pour permettre la négociation d'une association réussie.
 SSID - Le nom SSID apparaît dans la liste des réseaux sans fil disponibles sur un client. Dans les
grandes organisations qui utilisent plusieurs VLAN pour segmenter le trafic, chaque SSID est mappé
sur un VLAN. Selon la configuration du réseau, plusieurs points d'accès sur un réseau peuvent
partager un SSID commun.
 Mot de passe - Il est requis du client sans fil pour s'authentifier auprès de l'AP.
 Mode réseau - Il s'agit des normes WLAN 802.11a / b / g / n / ac / ad. Les points d'accès et les
routeurs sans fil peuvent fonctionner en mode mixte, ce qui signifie qu'ils peuvent simultanément
prendre en charge les clients se connectant via plusieurs normes.
 Mode de sécurité - Cela fait référence aux réglages des paramètres de sécurité, tels que WEP, WPA
ou WPA2. Activez toujours le plus haut niveau de sécurité pris en charge.
 Paramètres de canal - Cela fait référence aux bandes de fréquences utilisées pour transmettre des
données sans fil. Les routeurs et les points d'accès sans fil peuvent balayer les canaux de
radiofréquence et sélectionner automatiquement un paramètre de canal approprié. Le canal peut
également être réglé manuellement en cas d'interférence avec un autre point d'accès ou un appareil
sans fil.
12.3.7
Mode de Découverte Passif et Actif

Les appareils sans fil doivent découvrir et se connecter à un point d'accès ou à un routeur sans
fil. Les clients sans fil se connectent à l'AP à l'aide d'un processus de numérisation (sondage).
Ce processus peut être passif ou actif.
Cliquez sur chaque mode pour plus d'informations.

Mode passif
Mode actif
En mode passif, l'AP annonce ouvertement son service en envoyant périodiquement des
trames de balise de diffusion contenant le SSID, les normes prises en charge et les paramètres
de sécurité. Le but principal de la balise est de permettre aux clients sans fil d'apprendre quels
réseaux et points d'accès sont disponibles dans une zone donnée. This allows the wireless
clients to choose which network and AP to use.
un point d'accès envoyant trois trames de balise contenant le SSID, les normes prises en
charge et les paramètres de sécurité reçus par un client sans fil
Client sans filPABeaconBeaconBeacon

 SSID
 Normes prises en charge
 Paramètres de sécurité
 SSID
 SSID
12.3.8

Fonctionnement du WLAN
Vérifiez votre compréhension du fonctionnement du WLAN en choisissant la MEILLEURE
1. Quel mode de topologie sans fil est utilisé par deux appareils pour se connecter dans un
réseau poste à poste?
Ad hoc
Infrastructure
Partage de connexion (Tethering)

2. Vrai ou faux: un ESS est créé lorsque deux ou plusieurs BSS doivent être joints pour prendre
en charge les clients itinérants.
Vrai
Faux
3. Combien de champs d'adresse sont dans la trame sans fil 802.11?
5
4. Quel est le terme pour un point d'accès qui annonce ouvertement son service périodiquement?
Actif
Infrastructure
Ad hoc
Passif
5. Quel est le terme pour un AP qui n'envoie pas de balise, mais attend que les clients envoient
des sondes?
Actif
Infrastructure
Ad hoc
Passif
12.2
Composants de WLAN
12.4
Fonctionnement du protocole
CAPWAP
12.4.1
Vidéo - CAPWAP
Dans la rubrique précédente, vous avez appris le fonctionnement du WLAN. Vous allez
maintenant découvrir le contrôle et l'approvisionnement des points d'accès sans fil
(CAPWAP).
Cliquez sur Lecture pour voir une vidéo sur le protocole de contrôle et d'approvisionnement
des points d'accès sans fil CAPWAP.
Play Video
12.4.2
Introduction au CAPWAP
CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et
WLAN. CAPWAP est également responsable de l'encapsulation et de la transmission du
trafic client WLAN entre un AP et un WLC.
CAPWAP est basé sur LWAPP mais ajoute une sécurité supplémentaire avec Datagram
Transport Layer Security (DTLS). CAPWAP établit des tunnels sur les ports UDP (User
Datagram Protocol). CAPWAP peut fonctionner sur IPv4 ou IPv6, comme indiqué sur la
figure, mais utilise IPv4 par défaut.
IPv4 et IPv6 peuvent utiliser les ports UDP 5246 et 5247. Cependant, les tunnels CAPWAP
utilisent différents protocoles IP dans l'en-tête de trame. IPv4 utilise le protocole IP 17 et IPv6
utilise le protocole IP 136.
La figure montre un petit réseau IPv4 ou IPv6 dans le cloud. Un WLC se connecte à trois
points d'accès à l'aide de CAPWAP.
Réseau IPv4 ou IPv6Point d'accèsPoint

d'accèsWLCCAPWAPCAPWAPPoint d'accèsCAPWAP
12.4.3
Architecture MAC Partagé

Un élément clé de CAPWAP est le concept d'un contrôle d'accès multimédia partagé (MAC).
Le concept CAPWAP partagé MAC remplit toutes les fonctions normalement exécutées par
les points d'accès individuels et les répartit entre deux composants fonctionnels:
 Fonctions MAC AP
 Fonctions MAC WLC
Le tableau montre certaines des fonctions MAC exécutées par chacun.
Légende du tableau
Fonctions MAC AP Fonctions MAC WLC
Balises et réponses des sondes Authentification
Accusé de réception et retransmissions de paquets Association et réassociation de clients itinérants
Mise en file d'attente des trames et priorisation

Traduction de trame vers d'autres protocoles
des paquets
Cryptage et décryptage des données de la couche

Arrêt du trafic 802.11 sur une interface filaire
MAC
12.4.4
Le Chiffrement DTLS
DTLS est un protocole qui assure la sécurité entre l'AP et le WLC. Il leur permet de
communiquer en utilisant le cryptage et empêche l'écoute ou la falsification.
DTLS est activé par défaut pour sécuriser le canal de contrôle CAPWAP mais est désactivé
par défaut pour le canal de données, comme illustré dans la figure. Tout le trafic de gestion et
de contrôle CAPWAP échangé entre un AP et WLC est crypté et sécurisé par défaut pour
assurer la confidentialité du plan de contrôle et empêcher les attaques d'homme-au-milieu
(MITM).
Le chiffrement des données CAPWAP est facultatif et est activé par AP. Le chiffrement des
données nécessite qu'une licence DTLS soit installée sur le WLC avant d'être activée sur un
AP. Lorsqu'il est activé, tout le trafic client WLAN est crypté au niveau de l'AP avant d'être
transféré au WLC et vice versa.
La figure montre un WLC connecté à un AP utilisant l'encapsulation CAPWAP.

L'encapsulation du canal de contrôle est activée par défaut tandis que le cryptage des données
est facultatif et activé sur chaque point d'accès.
Encapsulation CAPWAPContrôle CAPWAPCryptage DTLS (désactivé par défaut)Données

CAPWAPCryptage DTLS (activé par défaut)APWLC
12.4.5
Points d'Accès FlexConnect

FlexConnect est une solution sans fil pour les déploiements de succursales et de bureaux
distants. Il vous permet de configurer et de contrôler les points d'accès dans une succursale à
partir du siège social via une liaison WAN, sans déployer de contrôleur dans chaque bureau.
Il existe deux modes de fonctionnement pour FlexConnect AP.
 Mode connecté - Le WLC est accessible. Dans ce mode, le FlexConnect AP a une connectivité
CAPWAP avec son WLC et peut envoyer du trafic via le tunnel CAPWAP, comme indiqué sur la figure.
Le WLC remplit toutes ses fonctions CAPWAP.
 Mode autonome - Le WLC est inaccessible. Le FlexConnect a perdu ou n'a pas réussi à établir la
connectivité CAPWAP avec son WLC. Dans ce mode, un AP FlexConnect peut assumer certaines des
fonctions WLC telles que la commutation locale du trafic de données client et l'exécution de
l'authentification client localement.
La figure montre un tunnel CAPWAP formé entre un AP FlexConnect dans une succursale et
un WLC dans un siège social. L'équipement des succursales se compose d'un ordinateur
portable avec une connexion sans fil à un FlexConnect AP qui est connecté à un commutateur
qui est connecté à un routeur. Le routeur est ensuite connecté à un autre routeur du siège
social auquel le WLC est connecté. Le WLC permet d'accéder au réseau d'entreprise et à
Internet.
InternetPoints d'accès FlexConnectRéseau

d'entrepriseCAPWAPSuccursaleWLCBureau de l'entreprise
12.4.6

Fonctionnement CAPWAP
Vérifiez votre compréhension de CAPWAP en choisissant la MEILLEURE réponse aux
1. Quelles versions IP prend en charge CAPWAP?
IPv4 uniquement
IPv6 uniquement
IPv4 par défaut, mais peut configurer IPv6
IPv6 par défaut, mais peut configurer IPv4

2. Quels ports UDP et protocoles IP dans l'en-tête de trame sont utilisés par CAPWAP pour
IPv4? (Choisissez trois.)
17
136
5246
5247
802.11
3. Quels ports UDP et protocoles IP dans l'en-tête de trame sont utilisés par CAPWAP pour
IPv6? (Choisissez trois.)
17
136
5246
5247
802.11
4. Dans l'architecture MAC partagée pour CAPWAP, lequel des éléments suivants relève de
l'AP? (Choisissez quatre.)
Authentification
Accusé de réception et retransmissions de paquets
Balises et réponses des sondes
Association et réassociation de clients itinérants
Cryptage et décryptage des données de la couche MAC

Mise en file d'attente des trames et priorisation des paquets

5. Dans l'architecture MAC divisée pour CAPWAP, lequel des éléments suivants est la
responsabilité du WLC? (Choisissez quatre.)
Authentification
Accusé de réception et retransmissions de paquets
Balises et réponses des sondes
Association et réassociation de clients itinérants
Cryptage et décryptage des données de la couche MAC
Mise en file d'attente des trames et priorisation des paquets

6. Vrai ou faux: DTLS est activé par défaut sur les tunnels CAPWAP de contrôle et de données.
Vrai
Faux
7. Lesquelles des affirmations suivantes sont vraies concernant les modes de fonctionnement
d'un AP FlexConnect? (Choisissez deux.)
En mode de connexion, le WLC est inaccessible et l'AP commute le trafic local et effectue
l'authentification du client localement.
En mode autonome, le WLC est inaccessible et l'AP commute le trafic local et effectue
l'authentification du client localement.
En mode connexion, le WLC est accessible et exécute toutes ses fonctions CAPWAP.
En mode autonome, le WLC est accessible et exécute toutes ses fonctions CAPWAP
12.3
Fonctionnement d'un Réseau WLAN

12.5
Gestion des Canaux

12.5.1
Saturation du Canal de Fréquence

Les périphériques LAN sans fil ont des émetteurs et des récepteurs réglés sur des fréquences
spécifiques d'ondes radio pour communiquer. Une pratique courante consiste à attribuer des
fréquences en tant que plages. Ces plages sont ensuite divisées en plages plus petites appelées
canaux.
Si la demande pour un canal spécifique est trop élevée, ce canal risque de devenir sursaturé.
La saturation du support sans fil dégrade la qualité de la communication. Au fil des ans, un
certain nombre de techniques ont été créées pour améliorer la communication sans fil et
atténuer la saturation. Ces techniques atténuent la saturation des canaux en utilisant les canaux
de manière plus efficace.
Cliquez sur chaque technique de saturation des canaux de fréquence pour plus d'informations.
DSSS
FHSS
OFDM
Spectre étalé à séquence directe (DSSS) (Direct-Sequence Spread Spectrum) - Il s'agit

d'une technique de modulation conçue pour répartir un signal sur une bande de fréquences
plus large. Des techniques de propagation du spectre ont été développées pendant la guerre
pour rendre plus difficile pour les ennemis d'intercepter ou de brouiller un signal de
communication. Il le fait en étalant le signal sur une fréquence plus large qui masque
efficacement le pic discernable du signal, comme le montre la figure. Un récepteur
correctement configuré peut inverser la modulation DSSS et reconstruire le signal d'origine.
Le DSSS est utilisé par les appareils 802.11b pour éviter les interférences d'autres appareils
utilisant la même fréquence 2,4 GHz.
énergieSignal DSSSSignal d'origineFréquence

12.5.2
Sélection des Canaux

Une meilleure pratique pour les WLAN nécessitant plusieurs points d'accès est d'utiliser des
canaux qui ne se chevauchent pas. Par exemple, les normes 802.11b / g / n fonctionnent dans
le spectre 2,4 GHz à 2,5 GHz. La bande 2,4 GHz est subdivisée en plusieurs canaux. Chaque
canal se voit attribuer une bande passante de 22 MHz et est séparé du canal suivant par 5
MHz. La norme 802.11b identifie 11 canaux pour l'Amérique du Nord, comme le montre la
figure (13 en Europe et 14 au Japon).
Remarque: Recherchez des canaux 2,4 GHz sur Internet pour en savoir plus sur les variations
selon les pays.
La figure montre 11 canaux d'une largeur de 22 MHz et de 5 MHz entre chacun. Le spectre
est compris entre 2,2 GHz et 2,5 GHz.
Canaux superposés à 2,4 GHz en Amérique du

Nord
Canaux2,2 GHz2,5 GHz5 MHz22 MHz
Des interférences se produisent lorsqu'un signal chevauche un canal réservé à un autre signal,
provoquant une distorsion possible. La meilleure pratique pour les WLAN 2,4 GHz qui
nécessitent plusieurs points d'accès est d'utiliser des canaux sans chevauchement, bien que la
plupart des points d'accès modernes le fassent automatiquement. S'il y a trois points d'accès
adjacents, utilisez les canaux 1, 6 et 11, comme indiqué sur la figure.
La figure montre trois points d'accès utilisant les canaux 1, 6 et 11.

Canaux sans chevauchement de 2,4 GHz pour
802.11b / g / n
Canal 1Canal 6Canal 11
Pour les normes 5 GHz 802.11a / n / ac, il y a 24 canaux. La bande 5 GHz est divisée en trois
sections. Chaque canal est séparé du canal suivant de 20 MHz. La figure montre la première
section de huit canaux pour la bande 5 GHz. Bien qu'il y ait un léger chevauchement, les
canaux n'interfèrent pas entre eux. Le sans fil 5 GHz peut fournir une transmission de données
plus rapide aux clients sans fil dans les réseaux sans fil fortement peuplés en raison de la
grande quantité de canaux sans fil qui ne se chevauchent pas.
Remarque: recherchez sur Internet des chaînes 5 GHz pour en savoir plus sur les 16 autres
chaînes disponibles et pour en savoir plus sur les variations selon les pays.
La figure montre 8 canaux qui ont 20 MHz entre chacun. Le spectre est compris entre 5150
MHz et 5350 MHz.
5 premiers canaux sans interférence à 5 GHz
Comme avec les WLAN 2,4 GHz, choisissez des canaux sans interférence lors de la
configuration de plusieurs points d'accès 5 GHz qui sont adjacents les uns aux autres, comme
illustré dans la figure.
12.5.3
la figure montre une carte d'un lieu avec différentes zones, entrées et sorties. Il existe des
cercles dans différentes zones pour limiter la zone de couverture.
Canaux 5 GHz sans interférence pour 802.11a / n /
ac
12.5.3
Planifier un Déploiement WLAN

Le nombre d'utilisateurs pris en charge par un WLAN dépend de la disposition géographique
de l'installation, y compris le nombre de corps et d'appareils pouvant tenir dans un espace, les
débits de données attendus par les utilisateurs, l'utilisation de canaux sans chevauchement par
plusieurs points d'accès dans un ESS et les paramètres d'alimentation d'émission.
Lors de la planification de l'emplacement des points d'accès, la zone de couverture circulaire

approximative est importante (comme indiqué sur la figure), mais il existe quelques
recommandations supplémentaires:
 Si les points d'accès doivent utiliser le câblage existant ou s'il existe des emplacements où les points
d'accès ne peuvent pas être placés, notez ces emplacements sur la carte.
 Notez toutes les sources potentielles d'interférences pouvant inclure des fours à micro-ondes, des
caméras vidéo sans fil, des lampes fluorescentes, des détecteurs de mouvement ou tout autre
appareil utilisant la plage 2,4 GHz.
 Positionnez les points d'accès au-dessus des obstacles.
 Positionnez les points d'accès verticalement près du plafond au centre de chaque zone de
couverture, si possible.
 Positionnez les points d'accès dans les endroits où les utilisateurs devraient se trouver. Par exemple,
les salles de conférence sont généralement un meilleur emplacement pour les points d'accès qu'un
couloir.
 Si un réseau IEEE 802.11 a été configuré pour le mode mixte, les clients sans fil peuvent connaître des
vitesses plus lentes que la normale afin de prendre en charge les anciennes normes sans fil.
Lorsque vous estimez la zone de couverture attendue d'un point d'accès, sachez que cette
valeur varie en fonction de la norme WLAN ou de la combinaison de normes déployées, de la
nature de l'installation et de la puissance de transmission pour laquelle le point d'accès est
configuré. Consultez toujours les spécifications de l'AP lors de la planification des zones de
couverture.
EntréeConcessionsCargaisonSortieSortieSortieSortieSortieSortieSortieSortieSortie
12.5.4
Vérifiez votre compréhension - Gestion des

canaux
Vérifiez votre compréhension de la gestion des canaux en choisissant la MEILLEURE
1. Laquelle des techniques de modulation suivantes commute rapidement un signal entre les
canaux de fréquence?
DSSS
FHSS
OFDM
OFDMA
2. Laquelle des techniques de modulation suivantes répartit un signal sur une bande de
fréquences plus large?
DSSS
FHSS
OFDM
OFDMA
3. Laquelle des techniques de modulation suivantes est utilisée dans la nouvelle norme
802.11ax?
DSSS
FHSS
OFDM
OFDMA
4. Combien de canaux sont disponibles pour la bande 2,4 GHz en Europe?
11
13
14
24
5. Combien de canaux sont disponibles pour la bande 5 GHz?
11
13
14
24
12.4

12.6
Menaces visant le réseau WLAN
Gestion des Canaux

12.5.1
Saturation du Canal de Fréquence
Les périphériques LAN sans fil ont des émetteurs et des récepteurs réglés sur des fréquences
spécifiques d'ondes radio pour communiquer. Une pratique courante consiste à attribuer des
fréquences en tant que plages. Ces plages sont ensuite divisées en plages plus petites appelées
canaux.
Si la demande pour un canal spécifique est trop élevée, ce canal risque de devenir sursaturé.
La saturation du support sans fil dégrade la qualité de la communication. Au fil des ans, un
certain nombre de techniques ont été créées pour améliorer la communication sans fil et
atténuer la saturation. Ces techniques atténuent la saturation des canaux en utilisant les canaux
de manière plus efficace.
Cliquez sur chaque technique de saturation des canaux de fréquence pour plus d'informations.
DSSS
FHSS
OFDM
Spectre étalé à séquence directe (DSSS) (Direct-Sequence Spread Spectrum) - Il s'agit

d'une technique de modulation conçue pour répartir un signal sur une bande de fréquences
plus large. Des techniques de propagation du spectre ont été développées pendant la guerre
pour rendre plus difficile pour les ennemis d'intercepter ou de brouiller un signal de
communication. Il le fait en étalant le signal sur une fréquence plus large qui masque
efficacement le pic discernable du signal, comme le montre la figure. Un récepteur
correctement configuré peut inverser la modulation DSSS et reconstruire le signal d'origine.
Le DSSS est utilisé par les appareils 802.11b pour éviter les interférences d'autres appareils
utilisant la même fréquence 2,4 GHz.
énergieSignal DSSSSignal d'origineFréquence

12.5.2
Sélection des Canaux

Une meilleure pratique pour les WLAN nécessitant plusieurs points d'accès est d'utiliser des
canaux qui ne se chevauchent pas. Par exemple, les normes 802.11b / g / n fonctionnent dans
le spectre 2,4 GHz à 2,5 GHz. La bande 2,4 GHz est subdivisée en plusieurs canaux. Chaque
canal se voit attribuer une bande passante de 22 MHz et est séparé du canal suivant par 5
MHz. La norme 802.11b identifie 11 canaux pour l'Amérique du Nord, comme le montre la
figure (13 en Europe et 14 au Japon).
Remarque: Recherchez des canaux 2,4 GHz sur Internet pour en savoir plus sur les variations
selon les pays.
La figure montre 11 canaux d'une largeur de 22 MHz et de 5 MHz entre chacun. Le spectre
est compris entre 2,2 GHz et 2,5 GHz.
Canaux superposés à 2,4 GHz en Amérique du
Nord
Canaux2,2 GHz2,5 GHz5 MHz22 MHz
Des interférences se produisent lorsqu'un signal chevauche un canal réservé à un autre signal,
provoquant une distorsion possible. La meilleure pratique pour les WLAN 2,4 GHz qui
nécessitent plusieurs points d'accès est d'utiliser des canaux sans chevauchement, bien que la
plupart des points d'accès modernes le fassent automatiquement. S'il y a trois points d'accès
adjacents, utilisez les canaux 1, 6 et 11, comme indiqué sur la figure.
Canaux sans chevauchement de 2,4 GHz pour

802.11b / g / n
Pour les normes 5 GHz 802.11a / n / ac, il y a 24 canaux. La bande 5 GHz est divisée en trois
sections. Chaque canal est séparé du canal suivant de 20 MHz. La figure montre la première
section de huit canaux pour la bande 5 GHz. Bien qu'il y ait un léger chevauchement, les
canaux n'interfèrent pas entre eux. Le sans fil 5 GHz peut fournir une transmission de données
plus rapide aux clients sans fil dans les réseaux sans fil fortement peuplés en raison de la
grande quantité de canaux sans fil qui ne se chevauchent pas.
Remarque: recherchez sur Internet des chaînes 5 GHz pour en savoir plus sur les 16 autres
chaînes disponibles et pour en savoir plus sur les variations selon les pays.
La figure montre 8 canaux qui ont 20 MHz entre chacun. Le spectre est compris entre 5150
MHz et 5350 MHz.
5 premiers canaux sans interférence à 5 GHz

Comme avec les WLAN 2,4 GHz, choisissez des canaux sans interférence lors de la
configuration de plusieurs points d'accès 5 GHz qui sont adjacents les uns aux autres, comme
12.5.3
la figure montre une carte d'un lieu avec différentes zones, entrées et sorties. Il existe des
cercles dans différentes zones pour limiter la zone de couverture.
Canaux 5 GHz sans interférence pour 802.11a / n /

ac
12.5.3
Planifier un Déploiement WLAN

Le nombre d'utilisateurs pris en charge par un WLAN dépend de la disposition géographique
de l'installation, y compris le nombre de corps et d'appareils pouvant tenir dans un espace, les
débits de données attendus par les utilisateurs, l'utilisation de canaux sans chevauchement par
plusieurs points d'accès dans un ESS et les paramètres d'alimentation d'émission.
Lors de la planification de l'emplacement des points d'accès, la zone de couverture circulaire

approximative est importante (comme indiqué sur la figure), mais il existe quelques
recommandations supplémentaires:
 Si les points d'accès doivent utiliser le câblage existant ou s'il existe des emplacements où les points
d'accès ne peuvent pas être placés, notez ces emplacements sur la carte.
 Notez toutes les sources potentielles d'interférences pouvant inclure des fours à micro-ondes, des
caméras vidéo sans fil, des lampes fluorescentes, des détecteurs de mouvement ou tout autre
appareil utilisant la plage 2,4 GHz.
 Positionnez les points d'accès au-dessus des obstacles.
 Positionnez les points d'accès verticalement près du plafond au centre de chaque zone de
couverture, si possible.
 Positionnez les points d'accès dans les endroits où les utilisateurs devraient se trouver. Par exemple,
les salles de conférence sont généralement un meilleur emplacement pour les points d'accès qu'un
couloir.
 Si un réseau IEEE 802.11 a été configuré pour le mode mixte, les clients sans fil peuvent connaître des
vitesses plus lentes que la normale afin de prendre en charge les anciennes normes sans fil.
Lorsque vous estimez la zone de couverture attendue d'un point d'accès, sachez que cette
valeur varie en fonction de la norme WLAN ou de la combinaison de normes déployées, de la
nature de l'installation et de la puissance de transmission pour laquelle le point d'accès est
configuré. Consultez toujours les spécifications de l'AP lors de la planification des zones de
couverture.
EntréeConcessionsCargaisonSortieSortieSortieSortieSortieSortieSortieSortieSortie
12.5.4
Vérifiez votre compréhension - Gestion des

canaux
Vérifiez votre compréhension de la gestion des canaux en choisissant la MEILLEURE
1. Laquelle des techniques de modulation suivantes commute rapidement un signal entre les
canaux de fréquence?
DSSS
FHSS
OFDM
OFDMA
2. Laquelle des techniques de modulation suivantes répartit un signal sur une bande de
fréquences plus large?
DSSS
FHSS
OFDM
OFDMA
3. Laquelle des techniques de modulation suivantes est utilisée dans la nouvelle norme
802.11ax?
DSSS
FHSS
OFDM
OFDMA
4. Combien de canaux sont disponibles pour la bande 2,4 GHz en Europe?
11
13
14
24
5. Combien de canaux sont disponibles pour la bande 5 GHz?
11
13
14
24
12.4
12.6
WLAN sécurisés
12.7.1
Vidéo - WLAN sécurisés

Le rubrique précédent expliquait les menaces du WLAN. Que pouvez-vous faire pour sécuriser le
WLAN?
Cliquez sur Lecture pour visionner une vidéo sur les techniques de sécurisation des WLAN.
Play Video
12.7.2
Masquage SSID et Filtrage des Adresses MAC

Les signaux sans fil peuvent traverser la matière solide, comme les plafonds, les sols, les murs,
l'extérieur de la maison ou les bureaux. Sans mesures de sécurité strictes en place, l'installation
d'un WLAN peut être l'équivalent de mettre des ports Ethernet partout, même à l'extérieur.
Pour contrer les menaces de garder les intrus sans fil à l'extérieur et de protéger les données,
deux premières fonctions de sécurité ont été utilisées et sont toujours disponibles sur la plupart
des routeurs et des points d'accès: le masquage SSID et le filtrage des adresses MAC.
Masquage SSID
Les points d'accès et certains routeurs sans fil permettent de désactiver le trame de la balise
SSID, comme illustré dans la figure. Les clients sans fil doivent configurer manuellement le SSID
pour se connecter au réseau.
Filtrage des adresses MAC

Un administrateur peut autoriser ou refuser manuellement l'accès sans fil des clients en fonction
de leur adresse matérielle MAC physique. Dans la figure, le routeur est configuré pour autoriser
deux adresses MAC. Les appareils avec des adresses MAC différentes ne pourront pas rejoindre
le WLAN 2,4 GHz.
12.7.3
Méthodes d'Authentification d'Origine 802.11

Bien que ces deux fonctionnalités découragent la plupart des utilisateurs, la réalité est que ni le
masquage SSID ni le filtrage des adresses MAC ne décourageraient un intrus rusé. Les SSID
sont facilement découverts même si les points d'accès ne les diffusent pas et que les adresses
MAC peuvent être usurpées. La meilleure façon de sécuriser un réseau sans fil est d'utiliser des
systèmes d'authentification et de cryptage.
Deux types d'authentification ont été introduits avec la norme 802.11 d'origine:
 Authentification du système ouvert - Tout client sans fil doit pouvoir facilement se connecter et
ne doit être utilisé que dans des situations où la sécurité n'est pas un problème, comme celles
offrant un accès gratuit à Internet comme les cafés, les hôtels et les zones éloignées. Le client
sans fil est responsable de la sécurité, comme l'utilisation d'un réseau privé virtuel (VPN) pour se
connecter en toute sécurité. VPNs provide authentication and encryption services. Les VPN
dépassent le cadre de cette rubrique.
 Authentification par clé partagée - Fournit des mécanismes, tels que WEP, WPA, WPA2 et
WPA3 pour authentifier et crypter les données entre un client sans fil et AP. Cependant, le mot
de passe doit être pré-partagé entre les deux parties pour se connecter.
Le tableau suivant résume ces méthodes d'authentification.
AuthentificationOuvertureClé partagéeWEPWPAWPA2WPA3
 Aucun mot de passe requis.

 Tout client peut s'associer.
 Généralement utilisé pour fournir un accès Internet gratuit dans les espaces publics.
 Le client a l'entière responsabilité de la sécurité.
12.7.4
Méthodes d'Authentification par Clé Partagée

Il existe quatre techniques d'authentification par clé partagée, comme décrit dans le tableau.
Jusqu'à ce que la disponibilité des appareils WPA3 devienne omniprésente, les réseaux sans fil
devraient utiliser la norme WPA2.
Légende du tableau
Méthode d'authentification Description
La spécification 802.11 originale conçue pour sécuriser les données à

Confidentialité équivalente l'aide de la méthode de cryptage Rivest Cipher 4 (RC4) avec une clé
filaire WEP (Wired Equivalent statique. Cependant, la clé ne change jamais lors de l'échange de
Privacy) paquets. Cela facilite le piratage. Le WEP n'est plus recommandé et
ne doit jamais être utilisé.
Une norme Wi-Fi Alliance qui utilise le WEP, mais sécurise les
Accès protégé Wi-Fi (WPA) (Wi- données avec le cryptage TKIP (Temporal Key Integrity Protocol)
Fi Protected Access) beaucoup plus puissant algorithme. TKIP change la clé de chaque
paquet, ce qui en fait beaucoup plus difficile à pirater.
WPA2 est la norme industrielle actuelle pour la sécurisation des

réseaux sans fil. Elle utilise le standard de chiffrement avancé (AES)
WPA2
pour le chiffrement. AES est actuellement considéré comme le
protocole de cryptage le plus puissant.
La prochaine génération de sécurité Wi-Fi. Tous les appareils

WPA3 compatibles WPA3 utilisent les dernières méthodes de sécurité,
interdire les protocoles hérités obsolètes et exiger l'utilisation de
Légende du tableau
Méthode d'authentification Description
cadres de gestion protégés (PMF). Cependant, les appareils avec

WPA3 ne sont pas encore facilement disponibles.
12.7.5
Authentification d'un Utilisateur à Domicile

Les routeurs domestiques ont généralement deux choix pour l'authentification: WPA et WPA2.
WPA2 est le plus fort des deux. La figure montre l'option pour sélectionner l'une des deux
méthodes d'authentification WPA2:
 Personnel - Destiné aux réseaux domestiques ou de petite entreprise, les utilisateurs

s'authentifient à l'aide d'une clé pré-partagée (PSK). Les clients sans fil s'authentifient auprès du
routeur sans fil à l'aide d'un mot de passe pré-partagé. Aucun serveur d'authentification spécial
n'est requis.
 Entreprise - Destiné aux réseaux d'entreprise, mais nécessite un serveur d'authentification
RADIUS (Remote Authentication Dial-In User Service). Bien que plus compliqué à configurer, il
offre une sécurité supplémentaire. Le périphérique doit être authentifié par le serveur RADIUS,
puis les utilisateurs doivent s'authentifier à l'aide de la norme 802.1X, qui utilise le protocole EAP
(Extensible Authentication Protocol) pour l'authentification.
Dans la figure, l'administrateur configure le routeur sans fil avec l'authentification WPA2 Personal
sur la bande 2,4 GHz.
12.7.6
Méthodes de Chiffrement
Le cryptage est utilisé pour protéger les données. Si un intrus a capturé des données chiffrées, il
ne serait pas en mesure de les déchiffrer dans un délai raisonnable.
Les normes WPA et WPA2 utilisent les protocoles de chiffrement suivants:
 Protocole d'intégrité de clé temporelle (TKIP) - TKIP est la méthode de cryptage utilisée par
WPA. Il prend en charge les équipements WLAN hérités en corrigeant les failles d'origine
associées à la méthode de cryptage 802.11 WEP. Il utilise le WEP, mais chiffre la charge utile de
couche 2 à l'aide de TKIP, et effectue un contrôle d'intégrité du message (MIC) dans le paquet
chiffré pour s'assurer que le message n'a pas été modifié.
 Norme de cryptage avancée (AES) - AES est la méthode de cryptage utilisée par WPA2. C'est
la méthode préférée car c'est une méthode de cryptage beaucoup plus puissante. Il utilise le
mode Counter Cipher Mode avec Block Chaining Message Authentication Code Protocol (CCMP)
qui permet aux hôtes de destination de reconnaître si les bits chiffrés et non chiffrés ont été
modifiés.
Dans la figure, l'administrateur configure le routeur sans fil pour utiliser WPA2 avec le cryptage
AES sur la bande 2,4 GHz.
12.7.7
Authentification dans l'Entreprise

Dans les réseaux qui ont des exigences de sécurité plus strictes, une authentification ou une
connexion supplémentaire est requise pour accorder un tel accès aux clients sans fil. Le choix du
mode de sécurité d'entreprise nécessite un serveur RADIUS d'authentification, d'autorisation et
de comptabilité (AAA).
 Adresse IP du serveur RADIUS - Il s'agit de l'adresse accessible du serveur RADIUS.

 Numéros de port UDP - Ports UDP officiellement attribués 1812 pour l'authentification RADIUS
et 1813 pour la comptabilité RADIUS, mais peuvent également fonctionner à l'aide des ports
UDP 1645 et 1646, comme illustré dans la figure.
 Clé partagée - Utilisée pour authentifier l'AP avec le serveur RADIUS.
Dans la figure, l'administrateur configure le routeur sans fil avec l'authentification WPA2
Enterprise à l'aide du cryptage AES. L'adresse IPv4 du serveur RADIUS est également
configurée avec un mot de passe fort à utiliser entre le routeur sans fil et le serveur RADIUS.
La clé partagée n'est pas un paramètre qui doit être configuré sur un client sans fil. Il est
uniquement requis sur l'AP pour s'authentifier auprès du serveur RADIUS. L'authentification et
l'autorisation des utilisateurs sont gérées par la norme 802.1X, qui fournit une authentification
centralisée sur serveur des utilisateurs finaux.
Le processus de connexion 802.1X utilise EAP pour communiquer avec le serveur AP et

RADIUS. EAP est un cadre pour authentifier l'accès au réseau. Il peut fournir un mécanisme
d'authentification sécurisé et négocier une clé privée sécurisée qui peut ensuite être utilisée pour
une session de cryptage sans fil à l'aide du cryptage TKIP ou AES.
12.7.8
WPA3
Au moment d'écrire ces lignes, les périphériques prenant en charge l'authentification WPA3
n'étaient pas facilement disponibles. Cependant, WPA2 n'est plus considéré comme sécurisé.
WPA3, si disponible, est la méthode d'authentification 802.11 recommandée. WPA3 comprend
quatre fonctionnalités:
 WPA3-Personnel
 WPA3-Entreprise
 Réseaux ouverts
 Intégration de l'Internet des objets (IoT)
WPA3-Personnel
Dans WPA2-Personnel, les acteurs de menace peuvent écouter la «poignée de main» entre un
client sans fil et l'AP et utiliser une attaque par force brute pour essayer de deviner le PSK.
WPA3-Personnel déjoue cette attaque en utilisant l'authentification simultanée d'égaux (SAE),
une fonctionnalité spécifiée dans l'IEEE 802.11-2016. Le PSK n'est jamais exposé, ce qui rend
impossible pour l'acteur de menace de deviner.
WPA3-Entreprise
WPA3-Entreprise utilise toujours l'authentification 802.1X / EAP. Cependant, il nécessite

l'utilisation d'une suite cryptographique 192 bits et élimine le mélange des protocoles de sécurité
pour les normes 802.11 précédentes. WPA3-Enterprise adhère à la suite CNSA (Commercial
National Security Algorithm) qui est couramment utilisée dans les réseaux Wi-Fi haute sécurité.
Réseaux ouverts
Les réseaux ouverts dans WPA2 envoient le trafic utilisateur en texte clair non authentifié. Dans
WPA3, les réseaux Wi-Fi ouverts ou publics n'utilisent toujours aucune authentification.
Cependant, ils utilisent le chiffrement sans fil opportuniste (OWE) pour chiffrer tout le trafic sans
fil.
Embarquement de l'IdO
Bien que WPA2 comprenne une configuration Wi-Fi protégée (WPS) pour intégrer rapidement les
appareils sans les configurer au préalable, WPS est vulnérable à diverses attaques et n'est pas
recommandé. De plus, les appareils IoT sont généralement sans tête, ce qui signifie qu'ils n'ont
pas d'interface graphique intégrée pour la configuration et qu'ils avaient besoin d'un moyen
simple pour se connecter au réseau sans fil. Le protocole DPP (Device Provisioning Protocol) a
été conçu pour répondre à ce besoin. Chaque appareil sans tête possède une clé publique codée
en dur. La clé est généralement estampillée à l'extérieur de l'appareil ou de son emballage sous
forme de code QR (Quick Response). L'administrateur réseau peut scanner le code QR et
intégrer rapidement l'appareil. Bien qu'il ne fasse pas strictement partie de la norme WPA3, DPP
remplacera WPS au fil du temps.
12.7.9
Vérifiez votre compréhension - WLAN

sécurisés
Vérifiez votre compréhension des techniques de sécurisation des WLAN en choisissant la
1. Quelles sont les meilleures façons de sécuriser les WLAN? (Choisissez deux.)
Authentification
Masquage SSID
Chiffrement
Filtrage des adresses MAC

2. Laquelle des méthodes d'authentification suivantes n'utilise pas un mot de passe partagé entre le
client sans fil et l'AP?
WEP
WPA
WPA2
WPA3
Ouvert
3. Quelle méthode de cryptage est utilisée par la spécification 802.11 d'origine?
AES
TKIP
AES ou TKIP
RC4
4. Laquelle des méthodes de chiffrement suivantes utilise CCMP pour reconnaître si les bits chiffrés
et non chiffrés ont été modifiés?
RC4
TKIP
AES
5. Laquelle des méthodes d'authentification suivantes l'utilisateur a-t-il entré un mot de passe pré-
partagé? (Choisissez deux)
Ouvert
WPA personnel
WPA entreprise
WPA2 Personnel
WPA2 Entreprise
12.6

12.8.1

Un réseau local sans fil (WLAN) est un type de réseau sans fil couramment utilisé dans les
maisons, les bureaux et les campus. Les réseaux sans fil sont basés sur les normes IEEE et
peuvent être classés en quatre types principaux: WPAN, WLAN, WMAN et WWAN. Les
technologies LAN sans fil utilisent le spectre radioélectrique sans licence pour envoyer et
recevoir des données. Bluetooth, WiMAX, Cellular Broadband et Satellite Broadband sont
des exemples de cette technologie. Les normes WLAN IEEE 802.11 définissent comment les
fréquences radio sont utilisées pour les liaisons sans fil. Les réseaux WLAN fonctionnent
dans la bande de fréquences 2,4 GHz et la bande 5 GHz. Les normes garantissent
l'interopérabilité entre les appareils fabriqués par différents fabricants. À l'échelle
internationale, les trois organisations qui influencent les normes WLAN sont l'UIT-R, l'IEEE
et la Wi-Fi Alliance.
Pour communiquer sans fil, la plupart des appareils incluent des cartes réseau sans fil
intégrées qui incorporent un émetteur / récepteur radio. Le routeur sans fil sert de point
d'accès, de commutateur et de routeur. Les clients sans fil utilisent leur carte réseau sans fil
pour découvrir les points d'accès à proximité annonçant leur SSID. Les clients tentent ensuite
de s'associer et de s'authentifier avec un AP. Une fois authentifiés, les utilisateurs sans fil ont
accès aux ressources réseau. Les points d'accès peuvent être classés comme des points d'accès
autonomes ou des points d'accès basés sur un contrôleur. Il existe trois types d'antennes pour
les points d'accès professionnels: omnidirectionnel, directionnel et MIMO.
La norme 802.11 identifie deux modes de topologie sans fil principaux: le mode ad hoc et le
mode infrastructure. Le partage de connexion est utilisé pour fournir un accès sans fil rapide.
Le mode infrastructure définit deux blocs de construction de topologie: un ensemble de
services de base (BSS) et un ensemble de services étendus (ESS). À gauche se trouve l'en-tête
composé des champs suivants: contrôle de trame, durée, adresse 1, adresse 2, adresse 3,
contrôle de séquence et adresse 4. Les WLAN utilisent CSMA / CA comme méthode pour
déterminer comment et quand envoyer des données sur le réseau. Une partie du processus
802.11 consiste à découvrir un WLAN et à s'y connecter par la suite. Les appareils sans fil
découvrent un point d'accès sans fil, s'authentifient auprès de lui, puis s'associent avec lui. Les
clients sans fil se connectent à l'AP à l'aide d'un processus de numérisation qui peut être passif
ou actif.
CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et
WLAN. Le concept CAPWAP partagé MAC remplit toutes les fonctions normalement
exécutées par les points d'accès individuels et les répartit entre deux composants fonctionnels:
les fonctions MAC AP et les fonctions MAC WLC. DTLS est un protocole qui assure la
sécurité entre l'AP et le WLC. FlexConnect est une solution sans fil pour les déploiements de
succursales et de bureaux distants. Vous configurez et contrôlez les points d'accès dans une
succursale à partir du siège social via une liaison WAN, sans déployer de contrôleur dans
chaque bureau. Il existe deux modes de fonctionnement pour FlexConnect AP: connecté et
autonome.
Les appareils LAN sans fil ont des émetteurs et des récepteurs réglés sur des fréquences
spécifiques d'ondes radio pour communiquer. Les fréquences sont attribuées sous forme de
plages. Les portées sont ensuite divisées en plages plus petites appelées canaux: DSSS, FHSS
et OFDM. Les normes 802.11b / g / n fonctionnent dans le spectre 2,4 GHz à 2,5 GHz. La
bande 2,4 GHz est subdivisée en plusieurs canaux. Chaque canal se voit attribuer une bande
passante de 22 MHz et est séparé du canal suivant par 5 MHz. Lors de la planification de
l'emplacement des points d'accès, la zone de couverture circulaire approximative est
importante.
Les réseaux sans fil sont sensibles aux menaces, notamment l'interception de données, les
intrus sans fil, les attaques DoS et les points d'accès malveillants. Les attaques DoS sans fil
peuvent être le résultat: d'appareils mal configurés, d'un utilisateur malveillant interférant
intentionnellement avec la communication sans fil et d'interférences accidentelles. Un point
d'accès non autorisé est un point d'accès ou un routeur sans fil qui a été connecté à un réseau
d'entreprise sans autorisation explicite. Une fois connecté, un acteur de menace peut utiliser le
point d'accès non autorisé pour capturer des adresses MAC, capturer des paquets de données,
accéder à des ressources réseau ou lancer une attaque MITM. Dans une attaque MITM,
l'acteur de menace est positionné entre deux entités légitimes pour lire ou modifier les
données qui passent entre les deux parties. Une attaque MITM sans fil populaire est appelée
l'attaque «evil twin AP», où un acteur de menace introduit un AP escroc et le configure avec
le même SSID qu'un AP légitime. Pour empêcher l'installation d'AP escrocs, les organisations
doivent configurer les WLC avec des politiques d'AP escrocs.
Pour éloigner les intrus sans fil et protéger les données, deux premières fonctions de sécurité
sont toujours disponibles sur la plupart des routeurs et des points d'accès: le masquage SSID
et le filtrage des adresses MAC. Il existe quatre techniques d'authentification par clé partagée
disponibles: WEP, WPA, WPA2 et WPA3 (les appareils avec WPA3 ne sont pas encore
facilement disponibles). Les routeurs domestiques ont généralement deux choix pour
l'authentification: WPA et WPA2. WPA2 est le plus fort des deux. Le cryptage est utilisé pour
protéger les données. Les normes WPA et WPA2 utilisent les protocoles de cryptage suivants:
TKIP et AES. Dans les réseaux qui ont des exigences de sécurité plus strictes, une
authentification ou une connexion supplémentaire est requise pour accorder l'accès aux clients
sans fil. Le choix du mode de sécurité d'entreprise nécessite un serveur RADIUS
d'authentification, d'autorisation et de comptabilité (AAA).
12.8.2
Module Questionnaire - Concepts du WLAN

1.
Dans le contexte des appareils mobiles, que signifie le terme de partage de connexion?
connexion d'un appareil mobile à un casque mains libres
connexion d'un appareil mobile à un autre appareil mobile ou ordinateur pour partager une
connexion réseau
connecter un appareil mobile à un port USB sur un ordinateur afin de charger l'appareil
mobile
connexion d'un appareil mobile à un réseau cellulaire 4G

2. Quelle caractéristique des points d'accès sans fil 802.11n leur permet de transmettre des
données à des vitesses plus rapides que les versions précédentes des normes Wi-Fi 802.11?
WPS
MIMO
SPS
MITM
3. Quelle méthode d'authentification sans fil est actuellement considérée comme la plus
efficace?
WEP
ouvrir
WPA2
WPA
clé partagée
4. Quel paramètre est généralement utilisé pour identifier un nom de réseau sans fil lorsqu'un
point d'accès sans fil domestique est configuré ?
éventail de services étendu
ad hoc
BESS
SSID
5. Quelle caractéristique décrit un client sans fil fonctionnant en mode actif?
diffuse des sondes qui demandent le SSID

doit connaître le SSID pour se connecter à un (point d'accès) AP
possibilité de changer dynamiquement les canaux
doit être configuré pour la sécurité avant de se connecter à un point d'accès (AP)
6. Quelle norme IEEE fonctionne à des fréquences sans fil dans les gammes 5 GHz et 2,4 GHz?
802.11b
802.11a
802.11n
802.11g
7. Quelle déclaration décrit un point d'accès autonome ?
C'est un point d'accès autonome
Il est géré par un contrôleur WLAN.
Cela dépend du serveur.
Il est utilisé pour les réseaux qui nécessitent un grand nombre de points d'accès.
8. Quels sont les deux rôles généralement remplis par un routeur sans fil utilisé dans une maison
ou une petite entreprise? (Choisissez deux.)
Commutateur Ethernet
Contrôleur WLAN
Serveur d'authentification RADIUS
Point d'accès
répéteur
9. Quels protocoles et numéros de port sont utilisés par les tunnels CAPvAP IPv4 et IPv6?
(Choisissez deux.)
UDP
ICMP
17 et 163
5246 et 5247
TCP
10. Si trois points d'accès 802.11b doivent être déployés à proximité, quels sont les trois canaux
de fréquence à utiliser? (Choisissez trois.)
1
11
6
11. Quel type de technologie de télécommunication est utilisé pour fournir un accès Internet aux
navires en mer?
WiMax
WiFi municipal
Cellulaire
satellite
12. Quelle topologie de réseau sans fil est configurée par un technicien qui installe un clavier, une
souris et des écouteurs, chacun utilisant Bluetooth?
Mode infrastructure
Mode ad hoc
point d'accès public
Mode mixte
13. Quel type de topologie sans fil est créé lorsque deux ou plusieurs ensembles de services de
base sont interconnectés par Ethernet?
WiFi Direct
éventail de services étendu
BSS
ad hoc WLAN
IBISS
14. Quelle trame de gestion Wi-Fi est régulièrement diffusé par les points d'accès pour annoncer
leur présence?
association
sonde
Authentification
Balise
12.7
WLAN sécurisés
13.0
Introduction
13.0.1

Bienvenue dans le module de configuration de LAN sans fil (WLAN) !
Certains d'entre nous se souviennent de se connecter à l'internet en utilisant la ligne commutée
(Dial up). La ligne commutée peut être utiliser en accrochant votre ligne téléphonique. Votre
ligne téléphonique n’était pas disponible pour passer ou recevoir les appels pendant que vous
étiez est sur l'internet. Votre connexion de ligne commutée à l'internet était très lente. Cela
signifiait essentiellement que pour la plupart des gens, votre ordinateur se trouve toujours au
même endroit, à la maison ou à l'école.
Ensuite, nous pouvons se connecter à l'internet sans utiliser nos lignes téléphonique. Mais nos
ordinateurs étaient toujours câblés aux périphériques qui les connectaient à l’internet.
Aujourd'hui, nous pouvons se connecter à l'internet à l'aide d'périphériques sans fil qui nous
permettent d'utiliser nos téléphones, ordinateurs portables et tablettes presque partout. C'est
bien d'avoir cette liberté de mouvement, mais cela nécessite des périphériques finaux spéciaux
et intermédiaires et la compréhension des protocoles sans fil. Vous voulez en savoir plus ?
Alors ce module est pour toi!
13.0.2

module?
Le Titre de Module : La configuration de LAN sans fil (WLAN)
L'objectif du Module: Mettre en œuvre un WLAN à l'aide d'un routeur sans fil et de WLC.
Légende du tableau
Titre du Rubrique Objectif du Rubrique
Configurer un WLAN pour prendre en charge un site

Configuration de WLAN de site distant
distant.
Configurer un WLC WLAN pour utiliser l'interface de

Configurer un WLAN de base sur le WLC
gestion et WPA2 PSK authentification
Configurer un WLC WLAN pour utiliser une interface

Configurer WPA2- Enterprise d'un WLAN sur le
VLAN, un serveur DHCP et l'authentification WPA2-
WLC
Enterprise
Dépanner les problèmes courants de configuration

Dépanner les problèmes de réseaux WLAN
sans fil.
12.8

13.1
Configuration de WLAN de site

distant
13.1.1
Vidéo - Configuration de réseau sans fil

Cliquez sur lecture dans la figure pour afficher une démonstration de la configuration de réseau
sans fil.
Play Video
13.1.2
Le routeur sans fil

Les travailleurs distants, les petites filiales, et les réseaux domestiques utilisent souvent un petit
bureau et un routeur domestique. Ces routeurs sont parfois appelés routeurs intégrés car ils
incluent généralement un commutateur pour les clients câblés, un port pour une connexion
Internet (parfois étiqueté «WAN») et des équipements sans fil pour l'accès client sans fil, comme
illustré dans la figure du Cisco Meraki MX64W . Pour le reste de ce module, les petits routeurs de
bureau et de domicile sont appelés routeurs sans fil.
La figure montre l'arrière d'un petit bureau ou d'un routeur domestique. Le routeur a deux
antennes, une de chaque côté. Sur la gauche, il y a un bouton de réinitialisation. À côté du
bouton de réinitialisation, il y a quatre ports pour les périphériques LAN se connecter. Ensuite, il y
a un port pour la connexion WAN et enfin le bouton d'alimentation et le port pour le cordon
d'alimentation.
Cisco Meraki MX64W
La figure suivante indique une topologie illustrant la connexion physique d'un ordinateur portable
filaire au routeur sans fil, qui est ensuite connecté à un modem câble ou DSL pour la connexion à
l'internet.
La figure indique une la connexion physique d'un ordinateur portable filaire au routeur sans fil, qui
est ensuite connecté à un câble ou DSL modem pour la connectivité Internet. Il montre une
personne assise à un bureau d'ordinateur. Connecté à l'arrière du bureau l'ordinateur est une
liaison allant vers un routeur sans fil et depuis le routeur sans fil il y a une liaison allant vers le
modem haut. Le modem haut débit dispose d'une connexion série à Internet représentée par un
cloud.
Routeur sans filModem haut débitInternet
Ces routeurs sans fil fournissent généralement la sécurité WLAN, les services DHCP, la
traduction d'adresses de nom (NAT) intégrée, la qualité de service (QoS), ainsi que autres
différents fonctionnalités. L'ensemble de fonctionnalités variera en fonction du modèle de routeur.
Remarque: La configuration de modem câble ou DSL est généralement effectuée par le

technicien du prestataire de services sur site ou à distance via une procédure guidée avec vous
au téléphone. Si vous achetez le modem, il sera livré avec la documentation pour savoir
comment se connecter à votre prestataire de services et ce qui comprendra probablement de
contacter votre prestataire de services pour plus d'informations
13.1.3
Connectez-vous au routeur sans fil.

La plupart des routeurs sans fil sont prêts à l'emploi dès la sortie de l'emballage. Ils ont été
préconfigurés pour être connectés au réseau et fournir des services. Par exemple, le routeur
sans fil utilise le protocole DHCP pour fournir automatiquement des informations d'adressage aux
appareils connectés. Cependant, les adresses IP, les noms d'utilisateur et les mots de passe par
défaut des routeurs sans fil peuvent être facilement trouvés sur l'internet. Par exemple, cherchez
la phrase «adresses IP par défaut des routeurs sans fil» ou «mots de passe par défaut des
routeurs sans fil» pour voir la liste des sites web qui fournissent ces informations. Par exemple, le
nom d'utilisateur et le mot de passe du routeur sans fil sur la figure sont «admin». Alors, vous
devez en priorité changer ces paramètres par défaut pour des raisons de sécurité.
Pour accéder à l'interface graphique d'utilisateur (GUI) du routeur sans fil, ouvrez un navigateur
web. Dans le champ d'adresse, entrez l'adresse IP par défaut de votre routeur sans fil. L'adresse
IP par défaut se trouve dans la documentation de votre routeur sans fil ou vous pouvez le trouver
sur l'internet. La figure indique l'adresse IPv4 192.168.0.1, qui est souvent utilisée par défaut par
de nombreux fabricants. Une fenêtre de sécurité vous demande l'autorisation d'accéder le GUI du
routeur. Le mot Admin est utilisé comme un nom d'utilisateur et un mot de passe par défaut.
Reportez-vous une fois de plus à la documentation de votre routeur sans fil ou consultez Internet.
13.1.4
Configuration de base du réseau

Configuration d'un réseau de base inclure les étapes suivantes :
1. Connectez-vous au routeur à partir d'un navigateur Web.

2. Modifiez le mot de passe administrative par défaut.
3. Connectez-vous avec le nouveau mot de passe d'administrateur.
4. Changez les adresses DHCP IPv4 par défaut.
5. Renouveauez l'adresse IP.
6. Connectez-vous au routeur avec la nouveaule adresse IP.
Cliquez sur chaque étape pour plus d'informations et un exemple d'interface graphique
d'utilisateur (GUI).
2. Modifiez le mot de passe administrative par défaut
3. Connectez-vous avec le nouveau mot de passe d'administrateur.
4. Changez les adresses DHCP IPv4 par défaut.
5. Renouvelez l’adresse IP
6. Connectez-vous au routeur avec la nouvelle adresse IP.
Une fois que la connexion établie, une interface graphique GUI s'ouvre. L'interface graphique
GUI est composée de plusieurs onglets ou menus qui permettent d'accéder à diverses tâches de
configuration de routeur. Il est souvent nécessaire d’enregistrer les paramètres modifiés dans
une fenêtre avant de passer à une autre. À ce stade, il est conseillé de modifier les paramètres
par défaut.
Cliquez sur l'étape suivante.
13.1.5
Configuration de base du sans Fil

La configuration de base sans fil comprend les étapes suivantes:
1. Afficher les paramètres WLAN par défaut.

2. Modifier le mode réseau.
3. Configurer le SSID
4. Configurer le canal.
5. Configurer le mode de sécurité.
6. Configurer la phrase secrète.
Cliquez sur chaque étape pour plus d'informations et un exemple d'Interface graphique (GUI).
2. Modifier le mode réseau
3. Configurer le SSID
4. Configurer le canal.
5. Configurer le mode de sécurité.
6. Configurer la phrase secrète
Un routeur sans fil fournit un accès sans fil aux appareils à l'aide d'un nom de réseau sans fil et
d'un mot de passe par défaut. Le SSID (Service Set Identified) représente le nom du réseau.
Localisez les paramètres sans fil de base de votre routeur pour modifier ces paramètres par
défaut, comme illustré dans l'exemple.
Cliquez sur l'étape suivante.
13.1.6
Configuration de réseau maillé sans fil

Dans un petit bureau ou un réseau domestique, un routeur sans fil peut suffire pour fournir un
accès sans fil à tous les clients. Cependant, vous pouvez ajouter des points d'accès sans fil si
vous souhaitez étendre la plage au-delà de 45 mètres à l'intérieur et de 90 mètres à l'extérieur.
Comme indiquer dans le réseau maillé sans fil dans la figure, deux points d'accès sont configurés
avec les mêmes paramètres de réseau local sans fil de l'exemple précédent. Notez que les
canaux sélectionnés sont 1 et 11, de sorte que les points d'accès n'interfèrent pas avec la
configuration précédente du canal 6 sur le routeur sans fil.
La figure représente deux points d'accès sans fil dans un petit bureau ou un réseau domestique.
Les points d'accès sans fil se connectent sans fil à un routeur. Le routeur est connecté à un
modem haut débit. Le modem haut débit est connecté à un cloud indiquant la Internet Des
flèches pointant depuis les points d'accès sans fil indiquent les paramètres de configuration. Un
point d'accès sans fil est sur le canal 1 à 2,4 GHz et l'autre sur le canal 11 à 2,4 GHz.
Internet
L'extension d'un réseau local sans fil dans un petit bureau ou domestique est devenue de plus en
plus facile. Les fabricants ont développé des applications de smartphone qui permettent de créer
rapidement un réseau sans fil maillé (WMN). Vous achetez le système, dispersez les points
d'accès, branchez-les, téléchargez l'application et configurez votre WMN en quelques étapes.
Recherchez sur Internet «meilleur système réseau maillé Wi-Fi» pour obtenir des avis sur les
offres actuelles.
13.1.7
NAT pour IPv4

Si vous recherchez la page de situation d'un routeur sans fil comme celle illustrée dans la figure,
vous trouverez les informations d'adressage IPv4 que le routeur utilise pour envoyer des
données sur l'internet. Notez que l'adresse IPv4 209.165.201.11 se trouve sur un réseau différent
de l'adresse 10.10.10.1 attribuée à l'interface LAN du routeur. Tous les périphériques sur le
réseau local du routeur reçoivent des adresses attribuées avec le préfixe 10.10.10.
L'adresse IPv4 209.165.201.11 peut être routée publiquement sur Internet. Toutes les adresses
dont le premier octet comporte le chiffre 10 est une adresse IPv4 privée qui ne peut pas être
routée sur Internet. Par conséquent, le routeur utilisera un processus appelé traduction
d'adresses réseau (NAT) pour convertir les adresses IPv4 privées en adresses IPv4 routables
sur Internet. La traduction d'adresses réseau (NAT) permet de convertir une adresse IPv4 source
(locale) privée en adresse publique (globale). Le processus est renversé pour les paquets
entrants. Grâce à la fonction NAT, un routeur est capable de traduire plusieurs adresses IPv4
internes en adresses publiques.
Certains ISP utilisent l'adressage privé pour se connecter aux périphériques du client.
Cependant, votre trafic quittera le réseau de l'opérateur et sera routé sur l'internet. Pour afficher
les adresses IP de vos périphériques, recherchez sur Internet «quelle est mon adresse IP».
Faites cela pour d'autres périphériques sur le même réseau et vous verrez qu'ils partagent tous la
même adresse IPv4 publique. La fonction NAT suit les numéros de port source pour chaque
session établie par un appareil. Si votre ISP active le protocole IPv6, une adresse IPv6 unique
est attribuée à chaque périphérique.
13.1.8
Qualité de service
De nombreux routeurs sans fil ont une option de configuration de la qualité de service (QoS). La
configuration de la qualité de service (QOS) permet d'accorder la priorité à certains types de
trafic (voix ou vidéo) par rapport au trafic qui n'est pas soumis à des contraintes temporelles,
notamment la messagerie et la navigation web. Sur certains routeurs sans fil, le trafic peut
également être prioritaire sur des ports spécifiques.
La figure représente la maquette simplifiée d'une interface QoS basée sur une interface
utilisateur GUI d'un routeur Netgear. Les paramètres de QoS se trouvent généralement dans les
menus avancés. Si vous avez un routeur sans fil disponible, examinez les paramètres de QoS. Ils
peuvent être répertorié dans «Contrôle de bande passante» ou un menu similaire. Consultez la
documentation du routeur sans fil ou recherchez sur l'internet «les paramètres de qualité de
service» correspondants à la marque et au modèle de votre routeur.
# Politique de Qos Priorité Description
1 Téléphone IP Élevée Applications de téléphones IP
2 Counter Strike Élevée Jeu en ligne Counter Strike
3 Netflix Élevée Vidéo en streaming en ligne Netflix
4 FTP Moyenne Applications FTP
5 WWW Moyenne Applications WWW
6 Gnutella Faible Applications Gnutella
7 SMTP Moyenne Applications SMTP
Ajouter un rôle prioritaire Paramètres
avancésAdministrationSécuritéStockage Configuration Accueil Avancés De
baseAvancées Supprimer
toutModifierSupprimer AnnulerAppliquer Configuration QoS Configuration

InternetConfiguration sans filConfiguration LANConfiguration QoS
13.1.9
Transmission de port
Les routeurs sans fil désactivent les ports TCP et UDP pour éviter les accès non autorisés au
LAN internes ou externes. Cependant, il faut parfois activer des ports spécifiques pour permettre
à certains programmes et applications de communiquer avec les périphériques de différents
réseaux. La transmission de port est une méthode basée sur des règles qui redirige le trafic entre
des périphériques situés sur des réseaux distincts.
Lorsque le trafic atteint le routeur, il détermine s'il faut transmettre vers un périphérique particulier
selon le numéro de port associé au trafic. Par exemple, un routeur peut être configuré pour
transférer le port 80 , qui est associé au protocole HTTP. Si le routeur reçoit un paquet ayant
comme destination le port 80, il redirige le trafic vers le serveur adéquat à l'intérieur du réseau.
Dans la figure ci-dessous, la transmission de port est activée sur le port 80 et associé au serveur
web à l'adresse IPv4 10.10.10.50.
Le déclenchement de port autorise le routeur à transférer temporairement les données via les
ports entrants vers un périphérique spécifique. Vous pouvez utiliser le déclenchement de port
pour transférer des données vers un ordinateur uniquement lorsqu'une gamme de ports désignée
est utilisée pour produire une requête sortante. Par exemple, un jeu vidéo peut utiliser les ports
de 27000 à 27100 pour se connecter avec les autres joueurs. Ces ports sont des ports de
déclenchement. Un client de chat peut utiliser le port 56 pour connecter les mêmes joueurs afin
qu'ils puissent interagir les uns avec les autres. Dans ce cas, s'il y a du trafic de jeu sur un port
sortant dans la gamme de ports déclenchés, le trafic de chat entrant sur le port 56 est transféré à
l'ordinateur utilisé pour jouer au jeu vidéo et discuter avec des amis. Lorsque le jeu est terminé et
que les ports déclenchés ne sont plus utilisés, le port 56 n'est plus autorisé à envoyer du trafic de
quelque type que ce soit vers cet ordinateur.
13.1.10
Packet Tracer - Configuration de réseau sans

fil.
Dans cet exercice, vous allez configurer un routeur sans fil et un point d'accès pour qu'ils
acceptent les clients sans fil et acheminent les paquets IP.
Configuration de réseau sans fil

13.1.11
Travaux pratiques - Configuration de réseau

sans fil
Au cours de ces travaux pratiques, vous allez configurer les paramètres de base d'un routeur
sans fil et connecter un ordinateur au routeur à l'aide de la technologie sans fil.
13.0
Introduction
13.2
Configurati
Configuration de WLAN de base

sur le WLC
13.2.1
Vidéo - Configuration de WLAN de base sur

le WLC
Dans la rubrique précédente, vous avez appris la configuration WLAN d'un site distant. Cette
rubrique concerne la configuration de WLAN de base sur le WLC.
Cliquez sur lecture dans la figure pour afficher une démonstration de la configuration de Cisco
3504 WLC avec une connectivité WLAN de base.
Play Video
13.2.2
Topologie de WLC
La topologie et le schéma d'adressage utilisés pour les vidéos et cette rubrique sont illustrés
dans la figure et le tableau ci-dessous. Le point d'accès (AP) est un AP basé sur un contrôleur
par opposition à un AP autonome. Rappelez-vous que les points d'accès basés sur un contrôleur
ne nécessitent aucune configuration initiale et sont souvent appelés points d'accès légers (LAP).
Les LAP utilisent le Lightweight Access Point Protocol (LWAPP) pour communiquer avec un
contrôleur WLAN (WLC). Les points d'accès basés sur un contrôleur sont utiles dans les
situations où de nombreux points d'accès sont requis dans le réseau. En ajoutant plus d'AP,
chaque AP est automatiquement configuré et géré par le WLC.
La figure montre une topologie de contrôleur LAN sans fil (WLC). PC-A est un serveur
RADIUS/SNMP connecté a R1 sur l'interface R1s F0/0. PC-B est connecté à S1 sur le port S1s
F0/6. R1 et S1 sont connectés ensemble sur l'interface R1s F0/1 et sur S1s F0/5 interface S1 est
connecté à un WLC sur son port F0/18. Sur le port S1s F0/1 il est connecté à un point d'accès,
AP1. Un ordinateur portable est connecté sans fil à AP1.
Topologie
PC-APC-BR1S1AP1WLCF0/0F0/1F0/5F0/18G1F0/6F0/1
Serveur RADIUS/SNMPAdministrateurPoETrunc 802.1qTrunc 802.1qTrunc 802.1q
L'AP est un périphérique PoE, ce qui signifie qu'il est alimenté sur le câble Ethernet qui est
connecté au commutateur.
Addressing Table
DeviceInterfaceIP AddressSubnet
MaskR1F0/0172.16.1.1255.255.255.0R1F0/1.1192.168.200.1255.255.255.0S1VLAN
1DHCPWLCManagement192.168.200.254255.255.255.0AP1Wired
0192.168.200.3255.255.255.0PC-ANIC172.16.1.254255.255.255.0PC-BNICDHCPWireless
LaptopNICDHCP
Masque de sous-
Appareil Interface Adresse IP
réseau
R1 F0/0 172.16.1.1 255.255.255.0
R1 F0/1.1 192.168.200.1 255.255.255.0
S1 VLAN 1 DHCP
WLC Gestion 192.168.200.254 255.255.255.0
AP1 filaire 0 192.168.200.3 255.255.255.0
PC-A Carte réseau (NIC) 172.16.1.254 255.255.255.0
PC-B Carte réseau (NIC) DHCP

DeviceInterfaceIP AddressSubnet
MaskR1F0/0172.16.1.1255.255.255.0R1F0/1.1192.168.200.1255.255.255.0S1VLAN
1DHCPWLCManagement192.168.200.254255.255.255.0AP1Wired
0192.168.200.3255.255.255.0PC-ANIC172.16.1.254255.255.255.0PC-BNICDHCPWireless
LaptopNICDHCP
Masque de sous-
Appareil Interface Adresse IP
réseau
Ordinateur portable
Carte réseau (NIC) DHCP
sans fil
13.2.3
Connectez-vous au WLC
La configuration de contrôleur LAN sans fil (WLC) ne diffère pas de la configuration de routeur
sans fil. La grande différence est qu'un WLC contrôle les points d'accès et fournit plus de
services et de capacités de gestion, dont plusieurs ne sont pas abordés dans ce module.
Remarque: Les figures de cette rubrique illustrent l'interface utilisateur graphique (GUI) et les
menus proviennent d'un contrôleur sans fil Cisco 3504. Cependant, d'autres modèles WLC
auront des menus et des fonctionnalités similaires.
La figure indique que l'utilisateur se connecte au WLC avec des informations d'identification qui
ont été configurées pendant l'installation initiale.
La page Récapitulatif du réseau est un tableau de bord qui fournit un aperçu rapide du nombre
de réseaux sans fil configurés, des points d'accès associés (AP) et des clients actifs. Vous
pouvez également voir le nombre de points d'accès in désirer et de clients, comme indiqué dans
la figure.
13.2.4
L’Affichage des informations d'AP

Cliquez sur Points d'accès dans le menu de gauche pour afficher une image globale des
informations de système et des performances du point d'accès, comme illustré dans la figure
suivante. L'AP utilise l'adresse IP 192.168.200.3. Étant donné que Cisco Discovery Protocol
(CDP) est actif sur ce réseau, le WLC indique que l'AP est connecté au port FastEthernet 0/1 sur
le commutateur.
Cet AP dans la topologie est un Cisco Aironet 1815i, ce qui signifie que vous pouvez utiliser la
ligne de commande et un ensemble limité de commandes IOS familières. Dans l'exemple
suivant, l'administrateur réseau envoie une requête ping à la passerelle par défaut et le WLC
pour vérifier l'interface câblée.
AP1# ping 192.168.200.1
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
1069812.242/1071814.785/1073817.215 ms
AP1# ping 192.168.200.254
Sending 5, 100-byte ICMP Echos to 192.168.200.254, timeout is 2 seconds
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
1055820.953/1057820.738/1059819.928 ms
AP1# show interface wired 0
wired0 Link encap:Ethernet HWaddr 2C:4F:52:60:37:E8
inet addr:192.168.200.3 Bcast:192.168.200.255
Mask:255.255.255.255
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:2478 errors:0 dropped:3 overruns:0 frame:0
TX packets:1494 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:80
RX bytes:207632 (202.7 KiB) TX bytes:300872 (293.8 KiB)
AP1#
13.2.5
Paramètres Avancés
La plupart des WLC viennent avec des paramètres et des menus de base auxquels les
utilisateurs peuvent accéder rapidement pour mettre en œuvre une variété de configurations
courantes. Cependant, en tant qu'administrateur de réseau, vous aurez généralement accès aux
paramètres avancés. En cas d'utilisation du contrôleur sans fil Cisco 3504, cliquez
sur Advanced dans le coin supérieur droit pour accéder à la page Résumé avancée, comme
illustré dans la figure. Ici, vous pouvez accéder à toutes les fonctionnalités du WLC.
13.2.6
Configuration de WLAN
Les contrôleurs LAN sans fil ont des ports et des interfaces. Les ports sont les sockets pour les
connexions physiques au réseau câblé. Ils ressemblent à des ports de commutation. Les
interfaces sont virtuelles. Ils sont créés dans un logiciel et sont très similaires aux interfaces
VLAN. En réalité, chaque interface qui acheminera le trafic d'un WLAN est configurée sur le WLC
comme un VLAN différent. Le Cisco 3504 WLC peut prendre en charge 150 points d'accès et
4096 VLAN, mais il ne dispose que de cinq ports physiques, comme indiqué sur la figure. Cela
signifie que chaque port physique peut prendre en charge de nombreux points d'accès et WLAN.
Les ports sur le WLC sont essentiellement des ports de jonction qui peuvent transporter le trafic
de plusieurs VLAN vers un commutateur pour la distribution vers plusieurs AP. Chaque AP peut
prendre en charge plusieurs WLAN.
La figure montre l'avant d'un contrôleur sans fil Cisco 3504. Il a de 2 ports de service pour la
gestion hors bande, un port console, un port console mini-usb, un port USB 3.0, un port 5G et de
quatre ports gigabit.
La configuration de base du WLAN sur le WLC comprend les étapes suivantes:

1. Créer le WLAN
2. Appliquer et activer le WLAN
3. Choisir l'interface.
4. Sécuriser le WLAN
5. Vérifier que le WLAN est opérationnel
6. Surveiller le WLAN
7. Afficher les informations du client sans fil
1. Créer le WLAN
2. Appliquer et activer le WLAN
3. Choisir l'interface.
4. Sécuriser le WLAN
5. Vérifier que le WLAN est opérationnel
6. Surveiller le WLAN
7. Afficher les détails du client sans fil

1. Créer le WLAN
Dans la figure, l'administrateur crée un nouveau WLAN qui utilisera Wireless _LAN comme nom
et identificateur de jeu de services (SSID). L'ID est une valeur arbitraire qui est utilisée pour
identifier le WLAN dans le résultat d'affichage sur le WLC.
13.2.7
Packet Tracer - Configuration de WLAN de

base sur le WLC
Dans ce travaux pratiques, vous allez explorer certaines des fonctionnalités d'un contrôleur LAN
sans fil. Vous allez créer un nouveau WLAN sur le contrôleur et implémenter la sécurité sur ce
LAN. Ensuite, vous allez configurer un hôte sans fil pour se connecter au nouveau WLAN via un
point d'accès qui est contrôlé par le WLC. Enfin, vous vérifierez la connectivité.
Configuration de WLAN de base sur le WLC
13.1

13.3
Con
Configuration de WPA2-
Enterprise d'un WLAN sur le
WLC
13.3.1
Vidéo - Définition d'un serveur SNMP et

RADIUS sur le WLC
Le rubrique précédent penchera vers la configuration de WLAN de base sur le WLC. Vous allez
maintenant apprendre à configurer WPA2-Enterprise d'un WLAN.
Cliquez sur le bouton Lecture dans la figure pour afficher une démonstration de la configuration
des services SNMP et RADIUS sur le WLC.
Play Video
13.3.2
SNMP et RADIUS
Dans la figure, PC-A exécute le protocole SNMP (Simple Network Management Protocol) et le
logiciel serveur RADIUS (Remote Authentication Dial-In User Service). SNMP est utilisé pour
surveiller le réseau. L'administrateur réseau veut que le WLC transfère tous les messages de
journal SNMP, appelés interruptions au serveur SNMP.
Par ailleurs, pour l'authentification des utilisateurs WLAN, l'administrateur réseau souhaite utiliser
un serveur RADIUS pour les services d'authentification, d'autorisation et de comptabilité (AAA).
Au lieu de saisir une clé pré-partagée connue pour s'authentifier, comme ils le font avec WPA2-
PSK, les utilisateurs entreront leurs propres identifiants de nom d'utilisateur et de mot de passe.
Les identifiants va être vérifier par un serveur RADIUS. De cette façon, l'accès utilisateur
individuel peut être suivi et audité si nécessaire et les comptes utilisateurs peuvent être ajoutés
ou modifiés à partir d'un emplacement central. Le serveur RADIUS est requis pour les WLAN qui
utilisent l'authentification WPA2 Enterprise.
Remarque: la configuration de serveur SNMP et du serveur RADIUS ne sont pas abordés dans
ce module.
La figure indique une topologie de réseau. PC-A est un serveur RADIUS/SNMP connecté a R1
sur l'interface R1s F0/0. PC-B est connecté à S1 sur le port S1s F0/6. R1 et S1 sont connectés
ensemble sur l'interface R1s F0/1 et sur S1s F0/5 S1 est connecté à un WLC sur son port F0 /
18. Sur le port S1s F0/1 il est connecté à un point d'accès, AP1. Un ordinateur portable est
connecté sans fil à AP1.
Topologie
PC-APC-BR1S1AP1WLCF0/0F0/1F0/5F0/18G1F0/6F0/1
Serveur RADIUS/SNMPAdministrateurPoETrunc 802.1qTrunc 802.1qTrunc 802.1q
13.3.3
Configuration des informations du serveur

SNMP
Cliquez sur l'onglet Management pour accéder à une variété de fonctions de gestion. SNMP est
répertorié en haut du menu à gauche. Cliquez sur SNMP pour développer les sous-menus, puis
cliquez sur Trap Receivers. Cliquez sur New... pour configurer un nouveau récepteur de
déroutement SNMP, comme illustré dans la figure.
1. Cliquez sur Management

2. Cliquez SNMP
3. Cliquez Trap Receivers
4. Cliquez nouveau...
Saisissez le nom de la communauté SNMP et l'adresse IP (IPv4 ou IPv6) du serveur SNMP.

Cliquez sur Apply Le WLC va maintenant transmettre des messages de journal SNMP au
serveur SNMP.
13.3.4
Configuration des informations du serveur

RADIUS
Dans notre exemple de configuration, l'administrateur réseau souhaite configurer un WLAN à
l'aide de WPA2 Enterprise, par opposition à WPA2 Personal ou WPA2 PSK. L'authentification
sera gérée par le serveur RADIUS qui s'exécute sur PC-A.
Pour configurer le WLC avec les informations du serveur RADIUS, cliquez sur
l'onglet SÉCURITÉ > RADIUS > Authentification. Aucun serveur RADIUS n'est actuellement
configuré. Cliquez sur New ... pour ajouter PC-A en tant que serveur RADIUS.
1. Cliquez sur Security

2. Cliquez sur RADIUS.
3. Cliquez sur Authentication
4. Cliquez sur New...
Saisissez l'adresse IPv4 pour PC-A et le secret partagé. C'est le mot de passe utilisé entre le
WLC et le serveur RADIUS. Ce n'est pas pour les utilisateurs. Cliquez sur Apply, comme illustré
dans la figure.
Après avoir cliqué sur Apply, la liste des serveurs d'authentification RADIUS configurés est
actualisée avec le nouveau serveur répertorié, comme illustré dans la figure.
13.3.5
Vidéo - Configuration de VLAN pour un

nouveau WLAN
des services SNMP et RADIUS sur le WLC.
Play Video
13.3.6
Topologie avec adressage VLAN 5

Chaque WLAN configuré sur le WLC a besoin de sa propre interface virtuelle. Le WLC a cinq
ports physiques réservés au trafic de données. Chaque port physique peut être configuré pour
prendre en charge plusieurs WLAN, chacun sur sa propre interface virtuelle. Les ports physiques
peuvent également être agrégés pour créer des liaisons à large bande passante.
L'administrateur réseau a décidé que le nouveau WLAN utilisera l'interface VLAN 5 et le réseau
192.168.5.0/24. R1 a déjà une sous-interface configurée et active pour VLAN 5, comme indiqué
dans la topologie et affiche le résultat de la commande show ip interface brief
La figure indique une topologie de réseau. PC-A est un serveur RADIUS/SNMP connecté a R1
sur l'interface R1s F0/0. R1 a une sous-interface configurée sur VLAN 5 avec l'adresse IP
192.168.5.1. PC-B est connecté à S1 sur le port S1s F0/6. R1 et S1 sont connectés ensemble
sur l'interface R1s F0/1 et sur l'interface S1s F0/5. S1 est connecté à un WLC sur son port F0/18.
Le WLC a l'adresse IP de gestion de 192.168.200.254 et une interface sur VLAN 5 avec une
adresse IP de 192.168.5.254. Sur le port S1s F0/1, il est connecté à un point d'accès, AP1. Un
ordinateur portable est connecté sans fil à AP1.
Topologie
PC-APC-BR1S1AP1F0/0F0/18F0/6F0/5F0/1G1F0/1
Serveur RADIUS/SNMPPoEWLCGestion: 192.168.200.254
Interface VLAN5: 192.168.5.254Trunc 802.1qTrunc 802.1qTrunc 802.1qVLAN5: 192.168.5.1
Protocol
FastEthernet0/0 172.16.1.1 YES manual up
up
FastEthernet0/1 unassigned YES unset up
up
FastEthernet0/1.1 192.168.200.1 YES manual up
up
FastEthernet0/1.5 192.168.5.254 YES manual up
up
(output omitted)
R1#
13.3.7
La configuration d'un nouveau interface

La configuration de l'interface VLAN sur le WLC comprend les étapes suivantes:
1. Créer une nouvelle interface.

2. Configurer le nom et l'ID VLAN.
3. Configurer le port et l'adresse interface.
4. Configurer l'adresse du serveur DHCP.
5. Appliquer et confirmer.
6. Vérifier les interfaces.
2. Configurer le nom et l'ID VLAN.
3. Configurer le port et l'adresse interface.
4. Configurer l'adresse du serveur DHCP.
5. Appliquer et confirmer.
6. Vérifier les interfaces.
Pour ajouter une nouvelle interface, cliquez sur CONTROLLER > Interfaces > New..., comme
1. Cliquez sur CONTROLLER
2. Cliquez sur Interfaces
13.3.8
Vidéo - Configuration du portée DHCP.

des services DHCP.
Play Video
13.3.9
Configuration du portée DHCP.

La configuration de portée DHCP comprend les étapes suivantes:
1. Créer une nouvelle portée DHCP.

2. Nommer la portée DHCP.
3. Vérifier la nouvelle portée DHCP.
4. Configurer et activer la nouvelle portée DHCP.
5. Vérifier l'activation du portée DHCP (enable DHCP scope)
Cliquez sur chaque étape pour des informations supplémentaires et un exemple d'Interface
graphique (GUI).
1. Créer une nouvelle portée DHCP.
2. Nommer la portée DHCP.
3. Vérifier la nouvelle portée DHCP.

4. Configurer et activer la nouvelle portée DHCP.
5. Vérifier l'activation du portée DHCP (enable DHCP scope)
1. Créer un nouveau portée DHCP.
Une portée DHCP est très similaire à un pool DHCP sur un routeur. Il peut comprendre une
variété d'informations, notamment un ensemble d'adresses à attribuer aux clients DHCP, des
informations sur les serveurs DNS, les durées de location...etc. Pour configurer une nouvelle
portée DHCP, cliquez sur Internal DHCP Server > DHCP Scope > New..., comme indiqué dans
la figure.
1. Cliquez sur Internal DHCP Server.
2. Cliquez sur DHCP Scope.
13.3.10
Vidéo - Configuration de WPA2- Enterprise

WLAN
de nouveau WLAN avec WPA2 Entreprise sur le WLC
Play Video
13.3.11
Configuration de WPA2- Enterprise WLAN

Par défaut, tous les WLAN qui viennent d'être créés sur le WLC utiliseront WPA2 avec AES
(Advanced Encryption System). 802.1X est le protocole de gestion de clé par défaut utilisé pour
communiquer avec le serveur RADIUS. Étant donné que l'administrateur réseau a déjà configuré
le WLC avec l'adresse IPv4 du serveur RADIUS fonctionnant sur PC-A, la dernière configuration
est de créer un nouveau réseau local sans fil (WLAN) pour utiliser l'interface vlan5.
La configuration de nouveau WLAN sur le WLC comprend les étapes suivantes:
1. Créer un nouveau WLAN.

2. Configurer le nom WLAN et le SSID.
3. Activer le WLAN pour VLAN 5.
4. Vérifier les valeurs par défaut AES et 802.1X.
5. Configurer la Sécurité WLAN pour utiliser un serveur RADIUS
6. Vérifier que le nouveau WLAN est disponible.
Cliquez sur chaque étape pour des informations supplémentaires et un exemple d'Interface
graphique (GUI).
2. Configurer le nom WLAN et le SSID.
3. Activer le WLAN pour VLAN 5.
4. Vérifier les valeurs par défaut AES et 802.1X.
5. Configurer le serveur RADIUS.

6. Vérifiez que le nouveau WLAN est disponible.
Cliquez sur l'onglet WLANs, puis sur Go pour créer un nouveau WLAN, comme illustré dans la
figure.
13.3.12
Packet Tracer- Configuration de réseau sans fil

WPA2 Entreprise sur le WLC
Dans cette activité, vous allez configurer un nouveau WLAN sur un contrôleur LAN sans fil
(WLC), y compris l'interface VLAN qu'il utilisera. Vous allez configurer le WLAN pour utiliser un
serveur RADIUS et WPA2-Enterprise pour authentifier les utilisateurs. Vous allez aussi configurer
le WLC pour utiliser un serveur SNMP.
Configuration de réseau sans fil WPA2 Entreprise sur le WLC
Configuration de réseau sans fil WPA2 Entreprise sur le WLC
13.2

13.4
Dépannage des probl
Dépannage des problèmes de

réseaux WLAN
13.4.1
Méthodes de dépannage
Dans la rubrique précédente, vous avez appris la configuration WLAN. Ici, nous allons discuter
du dépannage des problèmes WLAN.
Les problèmes de réseau peuvent être simples ou complexes, et peuvent provenir d'une
combinaison de problèmes de matériel, de logiciel et de connectivité. Les techniciens doivent être
capables d'analyser le problème et d'en déterminer la cause afin de résoudre le problème du
réseau. Cela s'appelle le dépannage.
Le dépannage de quelque problème de réseau doit suivre une méthode systématique. Une
méthodologie de dépannage courante et efficace est basée sur la méthode scientifique et peut
être divisée en six étapes principales indiquées dans le tableau.
Step Title Description 1 Identify the ProblemThe first step in the processus de dépannage consiste à
identifier le problème. Bien que les outils puissent être utilisés à cette étape, une conversation avec
l'utilisateur est souvent très utile. une théorie de la cause probable Après avoir parlé à l'utilisateur et
identifié le problème, vous pouvez essayer d'établir une théorie des causes probables. Cet étape
donne souvent plus de quelques causes probables au problème. Théorie pour déterminer la cause
Sur la base des causes probables, testez vos théories pour déterminer laquelle est la cause du
problème. Un technicien appliquera une procédure rapide pour tester et voir si cela résout le
problème. Si un rapide procédure ne corrige pas le problème, vous devrez rechercher le problème
pour en déterminer la cause exacte.4 Etablir un plan d’action pour Résoudre le problème et mettre
en œuvre la solution Après avoir déterminé le cause exacte du problème, établir un plan d’action
pour résoudre le problème problème et implémenter la solution. 5 Vérifier la fonctionnalité
complète du système et Mettre en œuvre des mesures préventives Après avoir corrigé le problème,
vérifiez que toutes les fonctionnalités et le cas échéant, mettre en œuvre préventive mesures. 6
Documenter les constatations, les actions et les résultats Dans la dernière étape du processus de
dépannage, documentez vos constatations, actions et résultats. Cet est très important pour
référence future.
Étape Titre Description
La première étape de la procédure de dépannage consiste à

identifier le problème. Bien que des outils puissent être utilisés à
1 Identification du problème
cette étape, une conversation avec l'utilisateur est souvent très
utile.
Après avoir parlé à l'utilisateur et identifié le problème, vous

Élaboration d'une théorie des pouvez essayer d'établir une théorie des causes probables. Cette
2
causes probables étape donne souvent plus que quelques causes probables du
problème.
En fonction des causes probables, testez vos théories pour

déterminer laquelle est la cause du problème. Un technicien
Test de la théorie en vue de appliquera souvent un rapide procédure pour tester et voir si
3
déterminer la cause cela résout le problème. Si un rapide procédure ne résout pas le
problème, vous devrez rechercher le problème pour en
déterminer la cause exacte.
Step Title Description 1 Identify the ProblemThe first step in the processus de dépannage consiste à
identifier le problème. Bien que les outils puissent être utilisés à cette étape, une conversation avec
l'utilisateur est souvent très utile. une théorie de la cause probable Après avoir parlé à l'utilisateur et
identifié le problème, vous pouvez essayer d'établir une théorie des causes probables. Cet étape
donne souvent plus de quelques causes probables au problème. Théorie pour déterminer la cause
Sur la base des causes probables, testez vos théories pour déterminer laquelle est la cause du
problème. Un technicien appliquera une procédure rapide pour tester et voir si cela résout le
problème. Si un rapide procédure ne corrige pas le problème, vous devrez rechercher le problème
pour en déterminer la cause exacte.4 Etablir un plan d’action pour Résoudre le problème et mettre
en œuvre la solution Après avoir déterminé le cause exacte du problème, établir un plan d’action
pour résoudre le problème problème et implémenter la solution. 5 Vérifier la fonctionnalité
complète du système et Mettre en œuvre des mesures préventives Après avoir corrigé le problème,
vérifiez que toutes les fonctionnalités et le cas échéant, mettre en œuvre préventive mesures. 6
Documenter les constatations, les actions et les résultats Dans la dernière étape du processus de
dépannage, documentez vos constatations, actions et résultats. Cet est très important pour
référence future.
Étape Titre Description
Établir un plan d'action pour Après avoir déterminé la cause exacte du problème, établissez
4 résoudre le problème et un plan d'action pour résoudre le problème et mettre en œuvre
mettre en œuvre la solution la solution.
Vérification du
fonctionnement de Après avoir résolu le problème, vous devez vérifier le
5 l'ensemble du système et fonctionnement de l'ensemble et le cas échéant, mettre en
implémentation des mesures œuvre des mesures préventives.
préventives
Documentation des résultats À la dernière étape du processus de dépannage, documentez

6 des recherches et des actions votre constats, actions et résultats Cette étape est très
entreprises importante pour référence ultérieure.
Pour évaluer le problème, vous devez savoir combien de périphériques du réseau sont soumis
au problème.. Si le problème concerne un seul périphérique, commencez la procédure de
dépannage sur celui-ci. S'il concerne l'ensemble des périphériques du réseau, commencez le
dépannage sur le périphérique contenant toutes les connexions. Vous devez développer une
méthode logique et cohérente pour pouvoir analyser les problèmes de réseau en éliminant un
problème à la fois.
13.4.2
Le client sans fil ne se connecte pas

Pendant le dépannage d'un WLAN, un processus d'élimination est recommandé.
Dans la figure, un client sans fil ne se connecte pas au WLAN.
La figure montre une topologie de réseau avec un client sans fil incapable de se connecter à l'AP.
La figure illustre un routeur connecté à un commutateur. Le commutateur est connecté à un
deuxième commutateur. Le commutateur est connecté à un deuxième commutateur. L'AP est
connecté sans fil à un téléphone portable, une tablette et un ordinateur portable. Cependant, la
connexion de l'ordinateur portable à l'AP a un X indiquant qu'aucune connexion n'a été établie.
AP
WLC
S'il n'y a pas de connectivité, vérifiez les points suivants:
 Confirmez la configuration réseau sur le PC à l'aide de la commande ipconfig. Vérifiez que le PC

a reçu une adresse IP via DHCP ou est configuré avec une adresse IP statique.
 Confirmez que l'appareil peut se connecter au réseau câblé. Connectez l'appareil au LAN câblé
et envoyez une requête ping à une adresse IP connue.
 Si nécessaire, rechargez les pilotes selon les besoins du client. Il peut être nécessaire d'essayer
une autre carte réseau sans fil.
 Si la carte réseau sans fil du client fonctionne, vérifiez le mode de sécurité et les paramètres de
cryptage sur le client. Si les paramètres de sécurité ne correspondent pas, le client ne peut pas
accéder au WLAN.
Si le PC est opérationnel mais que la connexion sans fil fonctionne mal, vérifiez les points
suivants:
 À quelle distance se trouve le PC d'un point d'accès? Le PC est-il hors de la zone de couverture
planifiée (BSA)?
 Vérifiez les paramètres de canal sur le client sans fil. Le logiciel client doit détecter le canal
approprié tant que le SSID est correct.
 Vérifiez la présence d'autres appareils dans la zone susceptibles d'interférer avec la bande 2,4
GHz. Des exemples d'autres appareils sont les téléphones sans fil, les moniteurs pour bébé, les
fours à micro-ondes, les systèmes de sécurité sans fil et les points d'accès potentiellement
voyous. Les données de ces appareils peuvent provoquer des interférences dans le WLAN et
des problèmes de connexion intermittente entre un client sans fil et AP.
Ensuite, assurez-vous que tous les appareils sont bien en place. Considérez un éventuel
problème de sécurité physique. Tous les appareils sont-ils alimentés et sont-ils sous tension?
Enfin, inspectez les liaisons entre les appareils câblés à la recherche de connecteurs défectueux
ou de câbles endommagés ou manquants. Si l'installation physique est en place, vérifiez le
réseau local câblé en envoyant une requête ping aux périphériques, y compris l'AP. Si la
connectivité échoue toujours à ce stade, peut-être que quelque chose ne va pas avec l'AP ou sa
configuration.
Lorsque le PC de l'utilisateur est éliminé comme source du problème et que l'état physique des
périphériques est confirmé, commencez à enquêter sur les performances du point d'accès.
Vérifiez l'état d'alimentation de l'AP.
13.4.3
Dépannage lorsque le réseau est lent

Pour optimiser et augmenter la bande passante des routeurs et des points d'accès bi-bande
802.11 suivez, soit :
 Mettre à niveau vos clients sans fil: les anciens périphériques 802.11b, 802.11g et même
802.11n peuvent ralentir le WLAN. Pour obtenir les meilleures performances, tous les
périphériques sans fil doivent prendre en charge la même norme acceptable la plus élevée. Bien
que le 802.11ax ait été publié en 2019, le 802.11ac est probablement la norme la plus élevée que
les entreprises peuvent actuellement appliquer.
 Divisez le trafic - Le plus simple moyen d'améliorer la performance du sans fil est de diviser son
trafic 802.11n entre la bande 2,4 GHz et la bande 5 GHz. Par conséquent, 802.11n (ou mieux)
peut utiliser les deux bandes comme deux réseaux sans fil distincts pour aider à gérer le trafic.
Par exemple, utilisez le réseau 2,4 GHz pour les tâches Internet de base, telles que la navigation
sur le Web, le courrier électronique et les téléchargements, et utilisez la bande 5 GHz pour la
diffusion multimédia, comme illustré dans la figure.
La figure représente un réseau domestique répartissant le trafic entre 2,4 GHz et 5 GHz. Le WLC
est connecté à un téléviseur, un téléphone portable et une tablette en utilisant 5 GHz. Il est
également connecté à deux ordinateurs portables utilisant 2,4 GHz.
Home-Net5 5 GHzHome-Net2.4 2.4 GHz
Plusieurs raisons justifient l'utilisation de méthode "split-the-traffic" :
 La bande 2,4 GHz peut convenir au trafic Internet de base qui n'est pas sensible au temps.
 La bande passante peut toujours être partagée avec d'autres WLAN voisins
 La bande de 5 GHz est nettement moins encombrée que la bande de 2,4 GHz ; idéale pour la
diffusion multimédia.
 La bande de 5 GHz comporte plus de canaux ; par conséquent, le canal choisi est probablement
libre d'intervention.
Par défaut, les routeurs double bande et les points d'accès utilisent le même nom de réseau sur
la bande 2,4 GHz et la bande 5 GHz. Le moyen le plus simple de segmenter le trafic consiste à
renommer l'un des réseaux sans fil. Avec un nom distinct et descriptif, il est plus facile de se
connecter au réseau adéquat.
Pour améliorer la gamme d'un réseau sans fil, assurez-vous que le routeur sans fil ou
l'emplacement du point d'accès ne sont pas obstrués, tels que des meubles, des luminaires et
des périphériques électroménagers de grande taille. Ceux-ci bloquent le signal, ce qui raccourcit
la gamme du WLAN. Si cela ne résout toujours pas le problème, un prolongateur de portée Wi-Fi
ou le déploiement de la technologie sans fil CPL doive être utilisé.
13.4.4
Mise à jour du firmware

La plupart des routeurs et points d'accès sans fil proposent un firmware mise à jour. Les
différentes versions du micrologiciel peuvent contenir la résolution de problèmes courants
signalés par des clients ou des failles de sécurité. Vous devriez vérifier périodiquement le routeur
ou l'AP pour le firmware mise à jour. Dans la figure, l'administrateur réseau vérifie que le
micrologiciel est à jour sur un AP de Cisco Meraki.
Sur un WLC, il y aura probablement la possibilité de mettre à niveau le micrologiciel sur tous les
points d'accès contrôlés par le WLC. Dans la figure suivante, l'administrateur réseau télécharge
l'image du micrologiciel qui sera utilisée pour mettre à niveau tous les points d'accès.
Sur un contrôleur sans fil Cisco 3504, cliquez sur l'onglet SANS FIL> Points d'accès dans le
menu de gauche> Sous-menu Configuration globale. défilez ensuite vers le bas de la page
pour la section de pré-téléchargement de l'image AP.
Les utilisateurs seront déconnectés du WLAN et d'Internet jusqu'à ce que la mise à niveau soit
terminée. Le routeur sans fil devra sans doute redémarrer plusieurs fois avant que le
fonctionnement normal du réseau soit rétabli.
13.4.5
Packet Tracer – Résolution des problèmes de

WLAN
Maintenant que vous avez appris à configurer le sans fil dans les réseaux domestiques et
d'entreprise, vous devez apprendre à dépanner les deux dans les environnements sans fil. Votre
objectif est d'activer la connectivité entre les hôtes des réseaux et le serveur Web par l'adresse
IP et l'URL. La connectivité entre les réseaux domestique et d'entreprise n'est pas requise.
Résolution des problèmes de WLAN
Résolution des problèmes de WLAN
13.3
Configuration de WPA2-Enterprise d'un WLAN sur le WLC

13.5
Pratique et résumé du module

13.5.1
Packet Tracer - Configuration de réseau sans

fil
Dans cette activité, vous allez configurer les deux, le routeur domestique sans fil et le réseau
WLC. Vous allez mettre en œuvre la sécurité WPA2-PSK et WPA2-Entreprise.

13.5.2
Packet Tracer - Exploration de la technologie sans

fil
La société XYZ étend ses capacités de réseau pour permettre une meilleure connectivité dans
ses bureaux locaux, ainsi qu'une connectivité pour ceux qui souhaitent travailler à distance.
Dans cette activité en mode PTPM (Packet Tracer Packet Physical Mode), on vous a demandé
d'aider avec ce plan en examinant les capacités actuelles du réseau et en ajoutant des
fonctionnalités sans fil au besoin.
Remarque: Veuillez patienter. Le chargement de cette activité PTPM peut prendre plusieurs minutes.
Exploration de la technologie sans fil - Mode physique
Exploration de la technologie sans fil - Mode physique

13.5.3

Les travailleurs distants, les petites filiales et les réseaux domestiques utilisent souvent un
routeur sans fil, qui comprend généralement un commutateur pour les clients câblés, un port
pour une connexion Internet (parfois appelé «WAN») et des composants sans fil pour l'accès
client sans fil. La plupart des routeurs sans fil sont préconfigurés pour être connectés au
réseau et fournir des services. Le routeur sans fil utilise le DHCP pour fournir
automatiquement des informations d'adressage aux périphériques connectés. Votre première
priorité devrait être de changer le nom d'utilisateur et le mot de passe de votre routeur sans fil.
Utilisez l'interface de votre routeur pour terminer la configuration de base du réseau et sans
fil. Vous pouvez ajouter des points d'accès sans fil si vous souhaitez étendre la gamme au-delà
de 45 mètres à l'intérieur et de 90 mètres à l'extérieur. Par conséquent, le routeur utilisera un
processus appelé traduction d'adresses réseau (NAT) pour convertir les adresses IPv4 privées
en adresses IPv4 routables sur Internet. La configuration de la qualité de service permet
d'accorder la priorité à certains types de trafic (voix ou vidéo) par rapport au trafic qui n'est
pas soumis à des contraintes temporelles, notamment la messagerie et la navigation web.
Les AP Lightweight (LAPs) utilisent le Lightweight Access Point Protocol (LWAPP) pour
communiquer avec un contrôleur WLAN (WLC). La Configuration de contrôleur LAN sans
fil (WLC) est similaire à la Configuration de routeur sans fil, sauf qu'un WLC contrôle les
points d'accès et fournit plus de services et de capacités de gestion. Utilisez l'interface WLC
pour afficher une image globale des informations et des performances du système AP, pour
accéder aux paramètres avancés et pour configurer un WLAN.
SNMP est utilisé pour surveiller le réseau. le WLC transfère tous les messages de journal
SNMP, appelés interruptions au serveur SNMP. Pour l'authentification des utilisateurs
WLAN, un serveur RADIUS est utilisé pour les services d'authentification, d'autorisation et
de comptabilité (AAA). L'accès des utilisateurs individuels peut être suivi et audité. Utilisez
l'interface WLC pour configurer les informations du serveur SNMP et du serveur RADIUS,
les interfaces VLAN, la portée DHCP et un WPA2-Enterprise WLAN.
Les six étapes de la procédure de dépannage. Pendant le dépannage d'un WLAN, un processus
d'élimination est recommandé. Les problèmes courants sont: l'absence de la connectivité et
une connexion sans fil de faible performance lorsque le PC est en opération. Pour optimiser et
augmenter la bande passante des routeurs et des points d'accès bi-bande 802.11, mettez à
niveau vos clients sans fil ou divisez le trafic. La plupart des routeurs et points d'accès sans fil
proposent un firmware mise à jour. Les différentes versions du micrologiciel peuvent contenir
la correction de problèmes courants signalés par des clients ou des failles de sécurité. Vous
devriez vérifier périodiquement le routeur ou l'AP pour le firmware mise à jour.
13.5.4
Questionnaire de module - La Configuration
WLAN
1.
Un utilisateur configure un point d'accès sans fil et souhaite empêcher les voisins de découvrir
le réseau. Quelle action l'utilisateur doit-il prendre?
Activer le cryptage WPA.
Désactiver la diffusion SSID
Configurer les paramètres DMZ.
Configurer le serveur DNS

2. Lors de la Configuration de réseau sans fil d'un petit bureau, quel type d'adressage IP est
généralement utilisé sur les périphériques en réseau ?
réseau sans fil
privé
public
réseau
3. Un utilisateur vient d'acheter un routeur domestique générique et souhaite le sécuriser. Que
faut-il faire pour sécuriser le routeur domestique sans fil ?
Autoriser uniquement le trafic IPv6 d'entrer dans le routeur.

Modifier le mot de passe administrateur par défaut.
Modifier le SSID par défaut.
Poser un réseau IPv4 privé pour le réseau interne.

4. Quel protocole pourrait être utilisé par une entreprise pour surveiller des périphériques tels
qu'un contrôleur LAN sans fil (WLC) ?
NTP
traduction d'adresses de port (PAT)
SSH
SNMP
5. Pendant la configuration d'un contrôleur LAN sans fil (WLC) de série Cisco 3500 pour un
WLAN WPA2-Enterprise, que devez-vous créer sur le WLC avant de créer le nouveau
WLAN?
Un module de Sécurité
un VLAN pour le réseaux sans fil
Un nouveau SSID
Politique de sécurité
6. Qu'est-ce qu'une portée DHCP qui correspond à un WLAN configuré sur le contrôleur WLC ?
la distance allouée aux clients sans fil qui peuvent recevoir des informations d'adressage IP
un pool d'adresses IP pour les clients WLAN
un plan d'entreprise pour l'allocation des adresses IP pour les clients sans fil
règles de sécurité associées à DHCP pour les WLAN

7. Pourquoi un technicien configurerait-il une phrase secrète pour un WLAN sur un routeur sans
fil ?
Pour configurer l'authentification client sans fil
pour protéger quelqu'un du câblage directement au routeur et de l'accès au routeur
pour protéger le SSID d'être changé
pour protéger quelqu'un contre la modification de la configuration

8. Un client installe un point d'accès sans fil à la maison dans le placard à côté de la cuisine. Le
client mentionne que la performance de communication sans fil semblent dégradées quand le
téléphone sans fil ou le four à micro-ondes est utilisé. Quelle est la raison possible de cette
dégradation ?
Le point d'accès se trouve sur le même circuit électrique que l'unité de base du téléphone et le
four à micro-ondes.
L'augmentation électrique pendant l'utilisation d'un four à micro-ondes dérange le

fonctionnement du point d'accès.
Le signal sans fil est dans la même gamme de fréquences radio que les périphériques
domestiques.
Le téléphone sans fil rejoint le WLAN et partage la bande passante disponible.
Le point d'accès est proche des murs.

9. Quelles fonctionnalités sont requises sur les routeurs pour fournir aux travailleurs à distance
des fonctionnalités de VoIP et de vidéo conférence?
PPPoE
VPN
IPsec
QoS
10. Un routeur sans fil affiche l'adresse IP 192.168.0.1. Qu'est-ce que cela peut signifier ?
L'allocation d'adresses IP dynamiques a été configurée sur le routeur et fonctionne

correctement.
Le routeur sans fil possède toujours l'adresse IP par défaut de l'usine.
Le routeur sans fil a été configuré de manière à utiliser les fréquences sur le canal 1.
La fonction NAT ne fonctionne pas sur le routeur sans fil.

11. Un ordinateur portable ne peut pas se connecter à un point d'accès sans fil. Quelles sont les
deux étapes de dépannage à effectuer en premier? (Choisissez deux.)
Assurez-vous que le support réseau correct est sélectionné.
Assurez-vous que la carte réseau sans fil est activée.

Assurez-vous que la carte réseau est configurée pour la fréquence appropriée.
Assurez-vous que le SSID sans fil est choisi.
Assurez-vous que l'antenne de l'ordinateur portable est fixée.

12. Lors de la Configuration de réseau d'un petit bureau, l'administrateur réseau décide d'attribuer
des adresses IP privées de manière dynamique aux stations de travail et aux terminaux
mobiles. Quelle fonctionnalité doit être activé sur le routeur de l'entreprise pour permettre aux
périphériques de bureau d'accéder à l'Internet ?
QoS
NAT
UPnP
Filtrage MAC
13. Quelle est la différence entre les points d'accès autonomes qui fonctionnent dans un
environnement domestique et les points d'accès basés sur un contrôleur qui fonctionnent dans
un environnement d'entreprise ?
Les points d'accès autonomes ne prennent pas en charge PoE.
les points d'accès basés sur contrôleur sont appelés points d'accès légers et nécessitent une
configuration initiale pour fonctionner.
Les points d'accès autonomes intègrent les fonctions d'un routeur, d'un commutateur et d'un
point d'accès dans un seul périphérique.
Les points d'accès basés sur un contrôleur peuvent être configurés et gérés automatiquement
par un contrôleur WLAN.
14. Quel onglet WLC un administrateur réseau utiliserait-il généralement pour voir une vue
récapitulative des WLAN les plus utilisés, y compris le nombre de clients utilisant un WLAN
particulier ?
Réseaux locaux sans fil (WLAN)
Surveillance
Commandes
Contrôleur
15. Les utilisateurs d'un réseau IEEE 802.11n se plaignent de la vitesse insuffisante.
L'administrateur réseau vérifie le point d’accès et vérifie qu'il fonctionne correctement. Que
peut-on faire pour améliorer la performance sans fil dans un réseau ?
Diviser le trafic sans fil entre la bande 802.11n 2,4 GHz et la bande 5 GHz.
Modifier la méthode d'authentification sur le point d’accès.
Poser le point d’accès en mode mixte.
Changer à un point d'accès 802.11g.

13.4
Dépannage des problèmes de réseaux WLAN

14.0
Introduction
Introduction
14.0.1

Bienvenue au Concepts du Routage!
Quelle que soit l'efficacité avec laquelle vous configurez votre réseau, quelque chose cessera
toujours de fonctionner correctement, ou même de fonctionner complètement. C'est une vérité
simple sur le réseau. Donc, même si vous connaissez déjà un peu le routage, vous devez
toujours savoir que comment vos routeurs fonctionnent réellement. Ces connaissances sont
essentielles si vous souhaitez être en mesure de dépanner votre réseau. Ce module va en détail
sur le fonctionnement d'un routeur. Plongez !
14.0.2

module?
Titre du module: Concepts du routage
Objectif du module: Expliquer comment les routeurs utilisent des informations dans des
paquets pour prendre des décisions de transmission.
Légende du tableau
Expliquer comment les routeurs déterminent le

Détermination du chemin
meilleur chemin d'accès.
Expliquer comment les routeurs transmettent les

Transmission de paquets
paquets à la destination.
Révision de la configuration de base du routeur Configurer les paramètres de base sur un routeur.
Table de routage IP Décrire la structure d'une table de routage.
Comparer le routage statique et le routage

Routages statique et dynamique
dynamique.
13.5

14.1
Introduction
14.0.1

Bienvenue au Concepts du Routage!
Quelle que soit l'efficacité avec laquelle vous configurez votre réseau, quelque chose cessera
toujours de fonctionner correctement, ou même de fonctionner complètement. C'est une vérité
simple sur le réseau. Donc, même si vous connaissez déjà un peu le routage, vous devez
toujours savoir que comment vos routeurs fonctionnent réellement. Ces connaissances sont
essentielles si vous souhaitez être en mesure de dépanner votre réseau. Ce module va en détail
sur le fonctionnement d'un routeur. Plongez !
14.0.2

module?
Titre du module: Concepts du routage
Objectif du module: Expliquer comment les routeurs utilisent des informations dans des
paquets pour prendre des décisions de transmission.
Légende du tableau
Expliquer comment les routeurs déterminent le

meilleur chemin d'accès.
Expliquer comment les routeurs transmettent les

paquets à la destination.
Révision de la configuration de base du routeur Configurer les paramètres de base sur un routeur.
Légende du tableau
Table de routage IP Décrire la structure d'une table de routage.
Comparer le routage statique et le routage

dynamique.
13.5

14.1
14.1.1
Deux fonctions du routeur

Avant qu'un routeur transfère un paquet n'importe où, il doit déterminer le meilleur chemin
pour le paquet à prendre. Cette rubrique explique comment les routeurs effectue cette
détermination.
Les commutateurs Ethernet sont utilisés pour connecter des périphériques terminaux et
d'autres périphériques intermédiaires, tels que d'autres commutateurs Ethernet, au même
réseau. Un routeur relie plusieurs réseaux, c'est-à-dire qu'il dispose de plusieurs interfaces
appartenant chacune à un réseau IP différent.
Lorsqu'un routeur reçoit un paquet IP sur une interface, il détermine quelle interface utiliser
pour transférer le paquet vers sa destination. Ceci est connu sous le nom de routage.
L'interface qu'utilise le routeur pour transférer le paquet peut être la destination finale, mais
aussi un réseau connecté à un autre routeur utilisé pour atteindre le réseau de destination.
Chaque réseau auquel un routeur se connecte nécessite généralement une interface séparée,
mais ce n'est pas toujours le cas.
Les principales fonctions d'un routeur consistent à déterminer le meilleur chemin

d'acheminement des paquets en fonction des informations contenues dans sa table de routage,
et à transférer des paquets vers leur destination.
14.1.2
Exemple de Fonctions de Routeur

Le routeur utilise sa table de routage pour déterminer le meilleur chemin (route) à utiliser pour
transférer un paquet. Cliquez sur Lecture dans la figure pour suivre un paquet envoyé du PC
source à l'ordinateur de destination. Regardez comment R1 et R2 utilisent leurs tables de
routage IP respectives pour déterminer d'abord le meilleur chemin, puis transférer le paquet.
L'animation représente deux réseaux LAN avec des hôtes connectés par deux routeurs R1 et
R2. Un paquet est animé traversant la connexion d'un réseau local à l'autre réseau local. Les
écrans du routeur apparaissent FOR R! et R2 montrant les adresses IPv4 correspondantes dans
le routeur passant d'un réseau à un autre.
192.168.3.0/24
Réseau local
Réseau local
192.168.1.0/24
Le processus est identique sur R2.
Les routeurs utilisent la table de routage comme une carte permettant de déterminer le meilleur chemin pour un réseau donné.
14.1.3
Le meilleur chemin équivaut à la

correspondance la plus longue
Qu'entend-on par le routeur doit déterminer le meilleur chemin dans la table de routage ? Le
meilleur chemin dans la table de routage est également connu comme la correspondance la
plus longue. La correspondance la plus longue est un processus que le routeur utilise pour
trouver une correspondance entre l'adresse IP de destination du paquet et une entrée de
routage dans la table de routage.
La table de routage contient des entrées de routage composées d'un préfixe (adresse réseau) et
d'une longueur de préfixe. Pour qu'il y ait une correspondance entre l'adresse IP de destination
d'un paquet et une route dans la table de routage, un nombre minimum de bits les plus à
gauche doit correspondre entre l'adresse IP du paquet et la route dans la table de routage. La
longueur du préfixe de la route dans la table de routage est utilisée pour déterminer le nombre
minimum de bits les plus à gauche qui doivent correspondre. N'oubliez pas qu'un paquet IP
contient uniquement l'adresse IP de destination et pas la longueur du préfixe.
La correspondance la plus longue est celle qui, dans la table de routage, présente le plus grand
nombre de bits de correspondance les plus à gauche avec l'adresse IP de destination du
paquet. La route dotée du plus grand nombre de bits les plus à gauche correspondants (ou la
plus longue correspondance) constitue toujours la route préférée.
Remarque: Le terme longueur du préfixe sera utilisé pour faire référence à la partie réseau
des adresses IPv4 et IPv6.
14.1.4
Exemple de correspondance la plus longue
d'adresse IPv4
Dans le tableau, un paquet IPv4 a l'adresse IPv4 de destination 172.16.0.10. Le routeur a trois
entrées de route dans sa table de routage IPv4 qui correspondent à ce paquet : 172.16.0.0/12,
172.16.0.0/18 et 172.16.0.0/26. Parmi les trois routes, 172.16.0.0/26 est celle qui présente la
plus longue correspondance et doit être choisir pour transférer le paquet. N’oubliez pas
qu’une route est une correspondance lorsqu’elle possède au minimum le nombre de bits
correspondants indiqués par le masque de sous-réseau de la route.
Adresse IPv4 de destination Adresse en notation

Binaire172.16.0.1010101100.00010000.0000.00001010
Adresse IPv4 de destination Adresse en notation binaire
172.16.0.10 10101100.00010000.00000000.00001010
Route entryPrefix/PREFIX LengthAddress dans

Binary1172.16.0.0/1210101100.00010000.00000000.000010102172.16.0.0/18101100.00010000.0
0000000.000010103172.16.0.0/2610101100.00010000.00000000.00001010
Entrées de route Longueur du préfix/préfixe Adresse en notation binaire
1 172.16.0.0/12 10101100.00010000.000000.00001010
2 172.16.0.0/18 10101100.00010000.000000.00001010
3 172.16.0.0/26 10101100.00010000.00000000.00001010
14.1.5
Exemple de correspondance la plus longue

d'adresse IPv6
Dans le tableau, un paquet IPv6 a l'adresse IPv6 de destination 2001:db8:c000::99. Cet
exemple montre trois entrées de route, mais seulement deux d'entre elles sont valides, l'une
d'entre elles étant la correspondance la plus longue. Les deux premières entrées de route ont
des longueurs de préfixe qui ont le nombre requis de bits correspondant, comme indiqué par
la longueur du préfixe. La première entrée de route avec une longueur de préfixe de /40
correspond aux 40 bits les plus à gauche de l'adresse IPv6. La deuxième entrée de route a une
longueur de préfixe de /48 et tous les 48 bits correspondant à l'adresse IPv6 de destination, et
est la correspondance la plus longue. La troisième entrée de route n'est pas une
correspondance car son préfixe /64 nécessite 64 bits correspondants. Pour que le préfixe
2001:db8:c 000:5555::/64 soit une correspondance, les 64 premiers bits doivent être l'adresse
IPv6 de destination du paquet. Seul les 48 premiers bits correspondent, donc cette entrée de
route n'est pas considérée comme une correspondance.
Pour le paquet IPv6 de destination avec l'adresse 2001:db8:c000::99, considérez les trois
entrées de route suivantes:
Route entryPrefix/prefix length Est-ce que cela correspond? 12001:db8:c000::/40Match

de 40 bits22001:db8:c000::/48Correspondance de 48 bits (la plus longue correspondance)
32001:db8:c 000:5555::/64Ne correspond pas à 64 bits
Entrées de
Longueur du préfix/préfixe Est-ce que ça correspond?
route
1 2001:db8:c000።/40 Correspond à 40 bits
Correspond à 48 bits (correspondance la

2 2001:db8:c000።/48
plus longue)
3 2001:db8:c000:5555። /64 Ne correspond pas à 64 bits
14.1.6
Créer la table de routage

Une table de routage se compose de préfixes et de leurs longueurs de préfixe. Mais comment
le routeur apprend-il sur ces réseaux? Comment R1 dans la figure remplit-il sa table de
routage?
La figure illustre trois types de réseaux Réseau connecté dirigé, Réseau distant et Route par
défaut. Routeur1 (R1) est le réseau directement connecté avec deux commutateurs S1 et S2
connectés à deux PC, PC1 et PC2. Chaque commutateur est connecté à un routeur R1. R1 et
R2 sont connectés directement via une connexion point à point. R2 est connecté à deux
commutateurs S# et S4 avec chaque commutateur ayant un PC, PC3 et P4 connecté à eux. R2
forme le réseau distant. R2 dispose d'une connexion distante supplémentaire au FAI par une
connexion point à point qui est la connexion Internet. Le schéma de numéros pour chaque
périphérique est double pile d'adresses IPv4 et IPv6.
Réseaux du point de vue de R1

PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.0/2
42001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/0G0/0/
1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/24S0/1/
0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1
InternetRéseau connecté directementRéseau connecté directementRéseaux distantsRéseau distantRéseau
distantRéseau distantRéseau connecté directement
Les réseaux de la topologie sont mis en surbrillance et étiquetés du point de vue de R1. Tous
les réseaux IPv4 et IPv6 mis en surbrillance en jaune sont des réseaux directement connectés.
Tous les réseaux IPv4 et IPv6 mis en surbrillance en bleu sont des réseaux distants.
Cliquez sur chaque bouton pour plus d'informations sur les différentes façons dont un routeur
apprend les routes.
Réseaux directement connectés
Réseaux distants
Route par défaut
Réseaux directement connectéss
Les réseaux directement connectés sont des réseaux configurés sur les interfaces actives d'un
routeur. Un réseau directement connecté est ajouté à la table de routage lorsqu'une interface
est configurée avec une adresse IP et un masque de sous-réseau (longueur du préfixe) et est
active (up et up).
14.1.7
Vérifiez votre compréhension - Détermination

du chemin
Vérifiez votre compréhension de Routeurs en choisissant la MEILLEURE réponse aux
1. Quelle table un routeur utilise-t-il pour déterminer comment transférer un paquet IP?
Table ARP
Table des adresses MAC
Cache de voisin
Table de routage
2. Quelle action un routeur prendra-t-il sur un paquet avec une adresse IP de destination qui se
trouve sur un réseau distant?
Il transmettra le paquet directement à l'appareil avec l'adresse IP de destination du paquet.
Il transmettra le paquet à un routeur de tronçon suivant.
Il transmettra le paquet à un commutateur Ethernet.
Il abandonnera le paquet.
3. Lesquelles des routes suivantes peut être trouvé dans une table de routage? (Choisissez toutes
les réponses qui conviennent.)
Des réseaux connectés directement
Routes statiques
Routes de protocole de routage dynamique
Route par défaut

4. Ce qui est utilisé pour déterminer le nombre minimum de bits les plus à gauche qui doit
correspondre entre le préfixe dans l'entrée de route et l'adresse IP de destination.
longueur du préfixe dans l'entrée de la table de routage
longueur du préfixe de l'adresse IP de destination
l'adresse par classe de l'adresse réseau

14.0
Introduction
14.2
Révision de la configuration de
base du routeur
14.3.1
Topologie
Un routeur utilise une table de routage pour déterminer où il doit transmettre les paquets. Mais
avant de plonger dans les détails de la table de routage IP, cette rubrique passe en revue les
tâches de configuration et de vérification du routeur de base. Vous allez également effectuer une
activité Packet Tracer pour rafraîchir vos compétences.
La topologie de la figure sera utilisée pour des exemples de configuration et de vérification. Il

sera également utilisé dans la rubrique suivante pour discuter de la table de routage IP.
La figure représente un diagramme de 3 routeurs R1, R2 et R3 connectés à 4 commutateurs S1,

S2, S3 et S4. R1 se connecte aux commutateurs S1 et S2 à l'aide de deux connexions Gigabit
G/0/0 et G0/0/1. PC1 est connecté au commutateur 1 (S1) sur le réseau 10.0.1.0/24 et
2001:db8:acad:1::/64 avec une adresse IP double pile de .10 et ::10. PC2 est connecté au
commutateur 2 (S2) sur le réseau 10.0.2.0/24 et 2001:db8:acad:2::/64 avec une adresse IP
double pile de .10 et ::10. R1 a un point à point réseau vers R2 et les réseaux FAI. La connexion
série à R2 est S0/1/1 et S0/1/0. La connexion FAI est S0/1/1. Le réseau R1 à R2 est le réseau
10.0.3.0/22 et 2001:db8:acad:3::/64. Le réseau R2 est 209.165.200.224/30 et
2001:db8:feed:224::/64 au FAI. R2 a deux connexions gigabit aux commutateurs 3 (S3) et
commutateur (S4) G0/0/0 et G/0/1. S3 est réseau 10.0.4.0/24 et 2001:db8:acad:4::/64 connecté à
l'interface R2 G0/0/0. S4 est réseau 10.0.5.0/24 et 2001:db8:acad:5::/64 connecté à l'interface R2
G0/0/1. PC3 se connecte à S3 avec une adresse de .10 et ::10. PC4 se connecte à S4 avec une
adresse de .10 et ::10. Les adresses de passerelle R1 et R2 se terminent par .1 et ::1. L'interface
série entre R1 et R2 a des adresses de R1 .1 ans::1 et R2 .2 et ::2. La connexion R2 à FAI est de
.225 et .1 à FAI .226 et ::2.
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/0
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R1
Internet
14.3.2
Commande de configuration
Les exemples suivants illustrent la configuration complète de R1.
Router> enable
Router# configure terminal
Router(config)# hostname R1
R1(config)# enable secret class
R1(config)# line console 0
R1(config-line)# logging synchronous
R1(config-line)# transport input ssh telnet
R1(config)# service password-encryption
R1(config)# banner motd #
Enter TEXT message. End with a new line and the #
***********************************************
WARNING: Unauthorized access is prohibited!

***********************************************
R1(config-if)# ipv6 address fe80::1:a link-local
R1(config-if)# exit
R1(config-if)# ipv6 address fe80::1:b link-local
R1(config-if)# exit
R1(config)# interface serial 0/1/1
R1(config-if)# description Link to R2

R1(config-if)# ipv6 address fe80::1:c link-local
R1(config-if)# exit
R1# copy running-config startup-config
Destination filename [startup-config]?
[OK]
R1#
14.3.3
Commandes de vérification
Les commandes de vérification courantes sont les suivantes :

 show running-config interface interface-type number
 show interfaces
 show ip interface
 show ip route
 ping
Dans chaque cas, remplacez ip par ipv6 pour la version IPv6 de la commande. La figure montre
à nouveau la topologie pour une référence facile.

.225 et .1 à FAI .226 et ::2.
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R1
Internet
Cliquez sur chaque bouton correspondant à la sortie de commande de R1.

show ipv6 interface brief
show interfaces
show ip interface
show ipv6 interface
show ip route
show ipv6 route

ping
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 10.0.1.1 YES manual up up
GigabitEthernet0/0/1 10.0.2.1 YES manual up up
Serial0/1/0 unassigned YES unset administratively down down
Serial0/1/1 10.0.3.1 YES manual up up
GigabitEthernet0 unassigned YES unset down down
R1#
14.3.4
Filtrage des résultats de commande
Une autre fonctionnalité très utile pour améliorer l'expérience utilisateur dans l'interface en ligne
de commande est le filtrage obtenu par le résultat de la commande show . Les commandes de
filtrage permettent d'afficher des sections de résultat spécifiques. Pour activer la commande de
filtrage, tapez le symbole (|) après la commande show , puis saisissez un paramètre de filtrage et
une expression de filtrage.
Après ce symbole, les paramètres de filtrage suivants peuvent être configurés:
 section - Cela affiche l'intégralité de la section commençant par l'expression de filtrage

 include - Cela inclut toutes les lignes de résultat correspondant à l'expression de filtrage
 exclude - Cela exclut toutes les lignes de résultat correspondant à l'expression de filtrage
 begin - Cela affiche toutes les lignes de résultat à partir d'un certain point, en commençant par la
ligne qui correspond à l'expression de filtrage
Remarque: les filtres de résultat peuvent être utilisés en combinaison avec toute
commande show .
La figure montre à nouveau la topologie pour votre commodité

.225 et .1 à FAI .226 et ::2.
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R1
Internet
Ces exemples illustrent certaines des utilisations les plus courantes des paramètres de filtrage.
R1# show running-config | section line vty
line vty 0 4
password 7 121A0C0411044C
login
transport input telnet ssh
R1#
R1# show ipv6 interface brief | include up
Serial0/1/1 [up/up]
R1#
R1# show ip interface brief | exclude unassigned
Protocol
up
up
Serial0/1/1 209.165.200.225 YES manual up
up
R1#

R1#
14.3.5
Packet Tracer - Révision de la configuration

de base du routeur
Les routeurs R1 et R2 disposent chacun de deux LAN. R1 est déjà configuré. Votre tâche
consiste à configurer l'adressage approprié sur R2 et à vérifier la connectivité entre les LAN.
Table de routage IP
14.4.1
Sources des routes

Comment un routeur peut-il savoir où il peut envoyer des paquets? Il crée une table de routage
basée sur le réseau dans lequel il se trouve.
Une table de routage contient une liste de routes des réseaux connus (préfixes et longueurs de
préfixes). La source de cette information est dérivée des éléments suivants:
 Réseaux connectés directement

 Routes statiques
 protocoles de routage dynamiques.
Dans la figure, R1 et R2 utilisent le protocole de routage dynamique OSPF pour partager les
informations de routage. En outre, R2 est configuré avec une route statique par défaut vers le
fournisseur de services Internet.

.225 et .1 à FAI .226 et ::2. Le routeur R1 est mis en surbrillance dans le diagramme
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0
.5.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/
0G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.
0/24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1
Internet
Cliquez sur chaque bouton pour afficher la table de routage complète de chaque routeur après la
configuration des réseaux directement connectés, du routage statique et du routage dynamique.
Le reste de cette rubrique montrera comment ces tableaux sont remplis.
Table de routage R1
Table de routage R2
R1# show ip route
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from
PfR
Gateway of last resort is 10.0.3.2 to network 0.0.0.0
O*E2 0.0.0.0/0 [110/1] via 10.0.3.2, 00:51:34, Serial0/1/1
C 10.0.1.0/24 is directly connected, GigabiteThernet0/0/0
L 10.0.1.1/32 is directly connected, GigabiteThernet0/0/0
C 10.0.2.0/24 is directly connected, GigabiteThernet0/0/1
L 10.0.2.1/32 is directly connected, GigabiteThernet0/0/1
O 10.0.4.0/24 [110/50] via 10.0.3.2, 00:24:22, Serial0/1/1
O 10.0.5.0/24 [110/50] via 10.0.3.2, 00:24:15, Serial0/1/1
R1#
Dans les tables de routage de R1 et R2, notez que les sources de chaque route sont identifiées
par un code. Ce code définit comment la route a été appris. Voici quelques exemples de codes
courants:
 L - Identifie l'adresse attribuée à l'interface d'un routeur. Ceci permet au routeur de déterminer
efficacement s'il reçoit un paquet destiné à l'interface et pas à être transféré.
 C - Identifie un réseau connecté directement.
 S - Identifie une route statique créée pour atteindre un réseau donné.
 O - Identifie un réseau découvert de manière dynamique depuis un autre routeur à l'aide du
protocole de routage OSPF.
 * - Cette route peut convenir comme route par défaut.
14.4.2
Les principes de la table de routage

Il existe trois principes de la table de routage décrits dans le tableau. Ce sont des problèmes qui
sont résolus par la configuration correcte des protocoles de routage dynamique ou des routes
statiques sur tous les routeurs entre les périphériques source et destination.
Table de routage Principe Exemple Chaque routeur prend sa décision seul, basé sur les informations
qu'il a dans sa propre table de routage. R1 ne peut transférer les paquets en utilisant sa propre table
de routage. R1 ne sait pas quelles routes sont dans la table de routage d'autres routeurs (par
exemple, R2) .Ce qu'un routeur a dans son routage ne signifie pas que d'autres routeurs ont les
mêmes informations.Juste car le routeur R1 a la route dans sa table de routage vers un réseau dans
l'internet via le routeur R2, ne signifie pas que R2 sait à propos de même réseau. Les informations de
routage sur un chemin d'accès ne fournissent pas l'information de routage. R1 reçoit un paquet avec
l'adresse IP de destination de PC1 et l'adresse IP source de PC3. Et parce que R1 sait transmettre le
paquet sur son interface G0/0/0, cela ne signifie pas nécessairement qu'il sait comment transférer
les paquets provenant de PC1 vers le réseau distant de PC3.
Les principes de la table de routage Exemple
 R1 ne peut transférer des paquets en utilisant

Chaque routeur prend sa décision seul, en fonction des sa propre table de routage.
informations qu'il possède dans sa propre table de  R1 ne sait pas quelles routes sont dans les
routage. tables de routage d'autres routeurs (par
exemple, R2).
Et parce que R1 a une route dans sa table de

Les informations dans une table de routage d'un routage vers un réseau dans l' Internet via R2,
routeur ne sont pas nécessairement correspondent à la cela ne signifie pas que R2 sait à propos de
table de routage d'un autre routeur. même réseau.
R1 reçoit un paquet avec l'adresse IP de

destination de PC1 et l'adresse IP source de
Les informations de routage relatives à un chemin PC3. Et parce que R1 sait transmettre le
d'accès ne fournissent pas des informations de routage paquet sur son interface G0/0/0, ne signifie
de retour. pas nécessairement qu'il sait comment
transférer des paquets provenant de PC1 vers
le réseau distant du PC3.
14.4.3
Entrées de table de routage

En tant qu'administrateur réseau, il est impératif de savoir interpréter le contenu des tables de
routage IPv4 et IPv6. La figure illustre une entrée de table de routage IPv4 et IPv6 sur R1 pour la
route menant au réseau distant 10.0.4.0/24 and 2001:db8:acad:4::/64. Ces deux routes ont été
apprises dynamiquement à partir du protocole de routage OSPF.
La figure montre comment lire une entrée de routage IPv4 et comment lire une entrée de routage
IPV6. L'entrée de table de routage pour IPv4 commence par la source de routage 0 puis le
réseau de destination (longueur du préfixe et du préfixe) 10.0.4.0/24 à côté de la distance
administrative de 110 et métrique de 50 à côté du tronçon suivant via 10.0.3.2 et l'horodatage de
route de 00:13:29 se terminant par une interface de sortie de série 0/1/1. Rassemblez l'entrée
est: 0 10.0.0.0/24 110/50 via 10.0.3.2 00:13:29 Série 0/1/1. L'entrée ipv6 commence de la même
manière avec la source de routage 0 puis le réseau de destination de 2001:DB8:ACAD:4::/64 la
distance administrative de 110 et métrique de 50 à côté du tronçon suivant via FE80::2:C il n'y a
pas d'horodatage Route et se termine par l'interface de sortie de série 0/1/1
O10.0.4.0/24O2001:DB8:ACAD:4::/64via FE80::2:C,[110/50]via
10.0.3.2,Serial0/1/1Serial0/1/100:13:29,[110/50]1234567123457
Table de routage IPv4Table de routage IPv6
14.4.4
Réseaux directement connectés

Avant qu'un routeur puisse apprendre sur les réseaux distants, il doit avoir au moins une
interface active configurée avec une adresse IP et un masque de sous-réseau (longueur du
préfixe). Il s'agit d'un réseau directement connecté ou d'une route directement connecté. Les
routeurs ajoutent une route connectée directement lorsqu'une interface est configurée avec une
adresse IP et qu'elle est activée.
Un réseau directement connecté est désigné par un code d'état C dans la table de routage. La
route contient un préfixe réseau et une longueur de préfixe.
La table de routage contient également une route locale pour chacun de ses réseaux directement
connectés, indiquée par le code d'état de L. Il s'agit de l'adresse IP qui est attribuée à l'interface
sur ce réseau directement connecté. Pour les routes locales IPv4, la longueur du préfixe est /32
et pour les routes locales IPv6, la longueur du préfixe est /128. Cela signifie que l'adresse IP de
destination du paquet doit correspondre à tous les bits de la route locale pour que cette route soit
une correspondance. L'objectif de la route locale est de déterminer efficacement le moment où
elle reçoit un paquet pour l'interface au lieu d'un paquet qui doit être transmis.
Les réseaux directement connectés et les routes locales sont affichés dans la sortie suivante.
R1# show ip route
(Output omitted)
R1#
R1# show ipv6 route

(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
R1#
14.4.5
Routes statiques
Une fois les interfaces connectées directement configurées et ajoutées à la table de routage, le
routage statique ou dynamique peut être mis en œuvre pour accéder aux réseaux à distance.
Les routes statiques sont configurées manuellement. Elles définissent un chemin explicite entre
deux périphériques réseau. Contrairement à un protocole de routage dynamique, les routes
statiques ne sont pas automatiquement mises à jour: elles doivent être manuellement
reconfigurées si la topologie du réseau est modifiée. L'utilisation de routes statiques permet
notamment d'améliorer la sécurité et l'efficacité des ressources. Les routes statiques utilisent
moins de bande passante que les protocoles de routage dynamique. De plus, aucun cycle de
processeur n'est utilisé pour calculer et communiquer des routes. Le principal inconvénient des
routes statiques est l'absence de reconfiguration automatique en cas de modification de la
topologie du réseau.
Le routage statique a trois fonctions principales:
 Il facilite la maintenance des tables de routage dans les réseaux de petite taille qui ne sont pas
amenés à se développer de manière significative.
 Il utilise une route par défaut unique pour représenter un chemin vers tout réseau ne présentant
aucune correspondance plus spécifique avec une autre route figurant dans la table de routage.
Les routes par défaut sont utilisées pour envoyer du trafic vers toute destination au-delà du
routeur ascendant.
 Il assure le routage entre les réseaux d'extrémité. Un réseau d'extrémité est un réseau accessible
par une seule route, et le routeur a un seul voisin.
La figure montre un exemple de réseaux d'extrémité. Remarquez qu'un réseau relié à R1 n'aurait
qu'un seul moyen d'atteindre d'autres destinations, qu'il s'agisse de réseaux reliés à R2 ou de
destinations au-delà de R2. Cela signifie que les réseaux 10.0.1.0/24 et 10.0.2.0/24 sont des
réseaux d'extrémité et R1 est un routeur d'extrémité.
La figure montre deux réseaux d'extrémité constitués d'un PC1 sur le réseau 10.0.1.0/24 et
2001:db8:acad:1::/64 connecté au commutateur S1 qui a un gigabit G0/0/0 connecté au routeur
R1. PC2 est sur le réseau 10.0.2.4 et 2001:db8:acad:2::/64 connecté au commutateur S2 qui est
connecté à l'interface gigabit G0/0/1 sur R1. Routeur R1 est appelé un routeur d'extrémité. R1 est
connecté au routeur R2 par une connexion série R1 S0/1/1 à S0/1/0 sur R2 avec une adresse
réseau 10.0.3.0/24. R2 se connecte à d'autres réseaux. Les PC sont doubles piles avec les
adresses .10 et ::10. Les interfaces R1 sont .1 et ::1. R2 a l'adresse de connexion série .2 et ::2
.10::1010.0.2.0/242001:db8:acad:2::/64.1::1::2.2S0/1/1S0/1/010.0.3.0/24.10::1010.0.1.0/242001:
db8:acad:1::/64G0/0/0G0/0/1.1::1.1::1PC1PC2S1S2R1R2
Internet/Autres réseauxRéseau d'extrémitéRéseau d'extrémitéRouteur d'extrémité
Dans cet exemple, une route statique peut être configuré sur R2 pour atteindre les réseaux R1.
De plus, étant donné que R1 n'a qu'un seul chemin pour envoyer le trafic non local, une route
statique par défaut peut être configurée sur R1 pour spécifier R2 comme tronçon suivant pour
tous les autres réseaux.
14.4.6
Routes statiques dans la table de routage IP

Pour la démonstration du routage statique, la topologie de la figure est simplifiée pour n'afficher
qu'un seul réseau local connecté à chaque routeur. La figure montre les routes statiques IPv4 et
IPv6 configurées sur R1 pour atteindre les réseaux 10.0.4.0/24 et 2001:db8:acad:4::/64 sur R2.
Les commandes de configuration sont uniquement à titre de démonstration et sont discutées
dans un autre module.
Le diagramme illustre les commandes de configuration de R1 pour définir les routes statiques
pour IPv4 et IPv6 pour atteindre PC3 à partir de la topologie décrite à la figure 14.3.1. La
commande IPv4 est écrite en tant que R1 (config)#ip route 10.0.4.0 255.255.255.0 10.0.3.2.
L'adresse réseau IPv4 distant est 10.0.4.0 255.255.255.0. L'adresse IPv4 du routeur de tronçon
suivant est 10.0.3.2. La commande IPv6 est écrite en tant que R1 (config)# ipv6 route
2001.db8.acad.4::/64 2001.db8.acad3::2. L'adresse réseau IPv6 distant est 2001.db8.acad.4::/64
et l'IPv6 du routeur de tronçon suivant est 2001.db8.acad3::2.
ip route 10.0.4.0 255.255.255.0 10.0.3.2 ipv6 route 2001.db8.acad.4::/64 2001.db8.acad.3::2

.10.1.1::1.2.1010.0.3.0/2410.0.1.0/24.1G0/0/0R2R1PC1S1S3::22001:db8:acad:1::/6410.0.4.0/24:
:1S0/1/1::10::10PC3::12001:db8:acad:3::/642001:db8:acad:4::/64S0/1/0G0/0/0R1 (config)#R1
(config)#
Adresse réseau IPv6 distanteAdresse IPv6 du routeur de tronçon suivantAdresse réseau IPv4 distanteAdresse IPv4 du
routeur de tronçon suivant
La sortie affiche les entrées de routage statique IPv4 et IPv6 sur R1 qui peuvent atteindre les
réseaux 10.0.4.0/24 et 2001:db8:acad:4::/64 sur R2. Notez que les deux entrées de routage
utilisent le code d'état S indiquant que la route a été apprise par une route statique. Les deux
entrées incluent également l'adresse IP du routeur de tronçon suivant, via ip-address. Le
paramètre static à la fin de la commande affiche uniquement les routes statiques.
R1# show ip route static
(output omitted)
S 10.0.4.0/24 [1/0] via 10.0.3.2
R1# show ipv6 route static
(output omitted)
S 2001:DB8:ACAD:4::/64 [1/0]
via 2001:DB8:ACAD:3::2
14.4.7
Protocoles de routage dynamique

Les protocoles de routage dynamique sont utilisés par les routeurs pour partager
automatiquement des informations sur l’accessibilité et l’état des réseaux distants. Les protocoles
de routage dynamique effectuent plusieurs tâches, notamment la détection de réseaux et la
gestion des tables de routage.
Les avantages importants des protocoles de routage dynamique sont la possibilité de

sélectionner un meilleur chemin et la possibilité de découvrir automatiquement un nouveau
meilleur chemin en cas de modification de la topologie.
La détection de réseaux est la capacité d’un protocole de routage à partager des informations
concernant les réseaux qu’il connaît avec d’autres routeurs utilisant le même protocole de
routage. Au lieu de configurer manuellement des routes statiques vers des réseaux distants sur
chaque routeur, un protocole de routage dynamique permet aux routeurs de recevoir
automatiquement, par le biais d'autres routeurs, les informations nécessaires concernant ces
réseaux. Ces réseaux, ainsi que le meilleur chemin vers chacun d'eux, sont ajoutés à la table de
routage du routeur et identifiés comme des réseaux détectés par un protocole de routage
dynamique spécifique.
La figure montre les routeurs R1 et R2 utilisant un protocole de routage courant pour partager
des informations réseau.

.225 et .1 à FAI .226 et ::2. Les routeurs R1 et R2 partagent toutes les modifications apportées au
réseau par protocole de routage dynamique avec des cases en surbrillance de R1 indiquant que
je vais partager avec R2 tous les réseaux que je connais et dire à R2 quand il y a des
changements. Il en va de même pour R2 qui informe R1.
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0
.5.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/
0G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.
0/24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1
Je vais partager avec R2 tous les réseaux que je connais et informe R2 quand il y a des changements.Je vais partager
avec R1 tous les réseaux que je connais et informe R1 quand il y a des changements.Internet
14.4.8
Routes dynamiques dans la table de routage IP

Un exemple précédent utilisait des routes statiques vers les réseaux 10.0.4.0/24 et
2001:db8:acad:4::/64. Ces routes statiques ne sont plus configurées et OSPF est maintenant
utilisé pour apprendre dynamiquement tous les réseaux connectés à R1 et R2. Les exemples
suivants montrent les entrées de routage IPv4 et IPv6 OSPF sur R1 qui peuvent atteindre ces
réseaux sur R2. Notez que les deux entrées de gamme utilisent le code d'état O pour indiquer
que la route été apprise par le protocole de routage OSPF. Les deux entrées incluent également
l'adresse IP du routeur de tronçon suivant, via ip-address.
Remarque: Les protocoles de routage IPv6 utilisent l'adresse link-local du routeur de saut
suivant.
Remarque: La configuration de routage OSPF pour IPv4 et IPv6 n'est abordé dans ce cours.
R1# show ip route

(output omitted for brevity)
O 10.0.4.0/24 [110/50] via 10.0.3.2, 00:24:22, Serial0/1/1
O 10.0.5.0/24 [110/50] via 10.0.3.2, 00:24:15, Serial0/1/1
R1# show ipv6 route
(Output omitted)
NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter
O 2001:DB8:ACAD:4::/64 [110/50]
via FE80::2:C, Serial0/1/1
O 2001:DB8:ACAD:5::/64 [110/50]

14.4.9
Route par défaut

Une route par défaut est comparable à une passerelle par défaut sur un hôte. Une route par
défaut spécifie un routeur de tronçon suivant qui sera utilisé lorsque la table de routage ne
contient pas de route spécifique correspondant à l'adresse IP de destination.
une route par défaut peut être une route statique ou apprise automatiquement à partir d'un
protocole de routage dynamique. Une route par défaut a une entrée de route IPv4 0.0.0/0 ou une
entrée de route IPv6 de ::/0. Cela signifie que zéro ou aucun bit doit correspondre entre l'adresse
IP de destination et la route par défaut.
La plupart des routeurs d'entreprise ont une route par défaut dans leur table de routage. Ceci
permet de réduire le nombre de routes dans une table de routage.
Un routeur, tel qu'un routeur domestique ou de petite entreprise qui n'a qu'un seul réseau local,
peut atteindre tous ses réseaux distants via une route par défaut. Ceci est utile lorsque le routeur
n'a que des réseaux directement connectés et qu'un point de sortie vers un routeur de
fournisseur de services.
Dans la figure, les routeurs R1 et R2 utilisent OSPF pour partager des informations de routage
sur leurs propres réseaux (réseaux 10.0.x.x/24 et 2001:db8:acad:x::/64). R2 a une route statique
par défaut vers le routeur FAI. R2 transmettra tous les paquets avec une adresse IP de
destination qui ne correspond pas spécifiquement à l'un des réseaux de sa table de routage au
routeur FAI. Cela inclurait tous les paquets destinés à Internet.

.225 et .1 à FAI .226 et ::2. Le diagramme montre que R2 a une route statique par défaut vers le
routeur FAI. La route par défaut est annoncé par R2 à R1 à l'aide du protocole de routage
dynamique OSPF. Il y a une flèche indiquant la route vers le FAI.
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R112
Internet
1. R2 a une route statique par défaut vers le routeur FAI.

2. La route par défaut est annoncé par R2 à R1 à l'aide du protocole de routage dynamique OSPF.
R2 a partagé sa route par défaut avec R1 à l'aide d'OSPF. R1 aura désormais une route par
défaut dans sa table de routage qu'il l'a appris dynamiquement d'OSPF. R1 transmettra
également à R2 tous les paquets dont l'adresse IP de destination ne correspond pas
spécifiquement à l'un des réseaux de sa table de routage.
Les exemples suivants montrent les entrées de table de routage IPv4 et IPv6 pour les routes
statiques par défaut configurées sur R2.
R2# show ip route
(Output omitted)
S* 0.0.0.0/0 [1/0] via 209.165.200.226
R2#
R2# show ipv6 route
(Output omitted)
S ::/0 [1/0]
via 2001:DB8:FEED:224::2
R2#
14.4.10
Structure d'une table de routage IPv4

IPv4 a été standardisé au début des années 1980 en utilisant l'architecture d'adressage classée
désormais obsolète. La table de routage IPv4 est organisée à l'aide de cette même structure
classée. Dans la sortie show ip route , notez que certaines entrées de route sont laissées
justifiées tandis que d'autres sont en retrait. Ceci est basé sur la façon dont le processus de
routage recherche la correspondance la plus longue dans la table de routage IPv4. Tout cela était
à cause de l'adressage par classe. Bien que le processus de recherche n'utilise plus de classes,
la structure de la table de routage IPv4 reste conservée dans ce format.
Router# show ip route
(Output omitted)
C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.1/32 is directly connected, GigabitEthernet0/0
O 192.168.2.0/24 [110/65] via 192.168.12.2, 00:32:33, Serial0/0/0
O 192.168.3.0/24 [110/65] via 192.168.13.2, 00:31:48, Serial0/0/1

192.168.23.0/30 is subnetted, 1 subnets
O 192.168.23.0/30 [110/128] via 192.168.12.2, 00:31:38, Serial0/0/0
Router#
Remarque: La table de routage IPv4 de l'exemple ne provient d'aucun routeur de la topologie

utilisée dans ce module.
Bien que les détails de la structure dépassent le cadre de ce module, il est utile de reconnaître la
structure du tableau. Une entrée en retrait est appelée route enfant. Une entrée de route est
indentée si elle est le sous-réseau d'une adresse par classe (réseau de classe A, B ou C). Les
réseaux directement connectés seront toujours indentés (Routes enfant) car l'adresse locale de
l'interface est toujours entrée dans la table de routage sous la forme /32. La route enfant inclura
la source de route et toutes les informations de transfert telles que l'adresse de tronçon suivant.
L'adresse réseau par classe de ce sous-réseau sera affichée au-dessus de l'entrée de route,
moins indentée et sans code source. Il s'agit de la route parent.
Remarque: Ce n'est qu'une brève présentation à la structure d'une table de routage IPv4 et ne
couvre pas les détails ou les spécificités de cette architecture.
L'exemple suivant montre la table de routage IPv4 de R1 dans la topologie. Notez que tous les
réseaux de la topologie sont des sous-réseaux, qui sont des routes enfants, du réseau de classe
A et de la route parent 10.0.0.0/8.
R1# show ip route
O*E2 0.0.0.0/0 [110/1] via 10.0.3.2, 00:51:34, Serial0/1/1

O 10.0.4.0/24 [110/50] via 10.0.3.2, 00:24:22, Serial0/1/1
O 10.0.5.0/24 [110/50] via 10.0.3.2, 00:24:15, Serial0/1/1
R1#
14.4.11
Structure d'une table de routage IPv6

Le concept d'adressage par classe n'a jamais fait partie d'IPv6, donc la structure d'une table de
routage IPv6 est très simple. Chaque entrée de route IPv6 est formatée et alignée de la même
manière.
R1# show ipv6 route
OE2 ::/0 [110/1], tag 2
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]

L 2001:DB8:ACAD:3::1/128 [0/0]
O 2001:DB8:ACAD:4::/64 [110/50]
O 2001:DB8:ACAD:5::/64 [110/50]
L FF00::/8 [0/0]
via Null0, receive
R1#
14.4.12
Distance administrative
Une entrée de route pour une adresse réseau spécifique (préfixe et longueur du préfixe) ne peut
apparaître qu'une seule fois dans la table de routage. Toutefois, il est possible que la table de
routage apprenne sur la même adresse réseau à partir de plusieurs sources de routage.
Sauf dans des circonstances très spécifiques, un seul protocole de routage dynamique doit être
implémenté sur un routeur. Toutefois, il est possible de configurer à la fois l'OSPF et l'EIGRP sur
un routeur, et les deux protocoles de routage peuvent apprendre le même réseau de destination.
Chaque protocole de routage peut décider d'un chemin différent pour atteindre la destination en
fonction de la métrique de ce protocole de routage.
Cela soulève quelques questions, notamment les suivantes:
 Comment le routeur sait-il le source utilisé?

 Quelle route doit-il installer dans la table de routage? La route apprise de l'OSPF, ou la route
apprise de l'EIGRP?
Le logiciel CISCO IOS utilise ce que l'on appelle la distance administrative (AD) pour déterminer
la route à installer dans la table de routage IP. L'AD indique la «fiabilité» de la route. Plus la
valeur de l'AD est faible, plus la source est fiable. Étant donné que l'EIGRP a une AD de 90 et
que l'OSPF a une AD de 110, l'entrée de route de l'EIGRP serait installée dans la table de
routage.
Remarque: L'AD ne représente pas nécessairement le protocole de routage dynamique le plus

approprié.
Un exemple plus courant est un routeur qui apprend la même adresse réseau à partir d'une route
statique et d'un protocole de routage dynamique, tel que OSPF. Une route statique a une AD de
1, alors qu'une route découverte par l'OSPF a une AD de 110. Étant donné que deux routes
distinctes mènent à la même destination, le routeur choisit d'installer la route avec l'AD la plus
basse. Si le routeur doit choisir entre une route statique et une route OSPF, la route statique est
prioritaire.
Remarque: Les réseaux directement connectés ont la plus faible AD de 0. Un réseau unique
directement connecté peut avoir une AD de 0.
La table répertorie divers protocoles de routage et leurs AD associés.
Routage source Distance administrative Route

statique EIGRP résumé Route External
BGP Interne EIGRP OSPF 110IS-
IS115Rip120Externe EIGRP 170 BGP interne 200
Distance
Origine de la route
administrative
Directement connecté 0
Route statique 1
Résumé du route EIGRP 5
BGP externe 20
EIGRP interne 90
OSPF 110
IS-IS 115
RIP 120
EIGRP externe 170
BGP interne 200
14.4.13
Vérifiez votre compréhension - Table de

routage IP
Vérifiez votre compréhension de Table de Routage IP en choisissant la MEILLEURE réponse aux
1. Quel principe de table de routage n'est pas correct ?
Chaque routeur prend sa décision seul, en fonction des informations qu'il possède dans sa
propre table de routage.
Le fait qu'un routeur dispose de certaines informations dans sa table de routage ne signifie pas
que les autres routeurs disposent des mêmes informations.
Les informations de routage sur un chemin d'un réseau à l'autre fournissent également des
informations de routage sur le chemin inverse, ou le chemin de retour.
2. Quelle entrée de route serait utilisée pour un paquet avec une adresse IP de destination qui
correspond à une adresse IP de l'une des interfaces du routeur?
C se réfère à directement connectée
L se réfère à Local
S se réfère à statique
dépend de la source de la route

3. Quel type de réseau est accessible par une route unique et le routeur n'a qu'un seul voisin ?
Réseau d'extrémité
Réseau connecté directement
Réseau de tronçon suivant
Réseau local
4. Quelles sont les deux sources de routage qui ont la possibilité de découvrir automatiquement un
nouveau meilleur chemin en cas de modification de la topologie? (Choisissez deux réponses.)
Route statique
OSPF
EIGRP
Route par défaut

5. Vrai ou faux? une route par défaut ne peut être qu'une route statique.
Vrai
Faux
6. Un administrateur réseau configure une route statique pour le même réseau de destination qui a
été appris automatiquement par le routeur à l'aide d'OSPF. Quelle route sera installée et
pourquoi?
Route statique car il a une métrique inférieure
Route statique car il a une distance administrative plus faible
Route OSPF car il a une métrique inférieure
Route OSPF car il a une distance administrative plus faible

14.3
Révision de la configuration de base du routeur

14.5
Routages statique et dyn

14.5.1
Dynamique ou statique?
La rubrique précédente traitait des façons dont un routeur crée sa table de routage. Ainsi, vous
savez maintenant que le routage, comme l'adressage IP, peut être statique ou dynamique.
Devriez-vous utiliser le routage statique ou dynamique? La réponse est les deux! Le routage
statique et le routage dynamique ne s'excluent pas mutuellement. En revanche, la plupart des
réseaux utilisent une combinaison de protocoles de routage dynamique et de routes statiques.
Static Routes
Les routes statiques sont couramment utilisés dans les scénarios suivants:
 En tant que paquet de transfert de route par défaut vers un fournisseur de services
 Pour les routes en dehors du domaine de routage et non apprises par le protocole de routage
dynamique
 Lorsque l'administrateur réseau souhaite définir explicitement le chemin d'accès pour un réseau
spécifique
 Pour le routage entre les réseaux d’extrémité
Les routes statiques sont utiles pour les plus petits réseaux avec un seul chemin vers un réseau
externe. Ils offrent également une sécurité sur les réseaux de plus grande envergure pour
certains types de trafic ou des liens vers d'autres réseaux nécessitant plus de contrôle.
Dynamic Routing Protocols
Les protocoles de routage dynamique permettent aux administrateurs réseau de gérer le

processus fastidieux et astreignant de configuration et de maintenance des routes statiques.
Les protocoles de routage dynamique sont implémentés dans n'importe quel type de réseau
composé de plus que de quelques routeurs. Les protocoles de routage dynamique sont
évolutifs et déterminent automatiquement les meilleures routes en cas de modification de la
topologie.
Les protocoles de routage dynamique sont couramment utilisés dans les scénarios suivants:
 Dans les réseaux composés de plus de quelques routeurs

 Lorsqu' une modification de la topologie du réseau nécessite que le réseau détermine
automatiquement un autre chemin d'accès
 pour l'évolutivité. À mesure que le réseau se développe, le protocole de routage dynamique apprend
automatiquement à connaître les nouveaux réseaux.
Le tableau présente une comparaison de certaines différences entre le routage dynamique et

statique.
Routage dynamique Routage statique Complexité de configuration Indépendant du réseau Seize
Augmente avec la taille du réseau Modifications Topologiques S' adapte automatiquement au
modifications de topologie Intervention de l'administrateur requis Capabilitée Convient pour les
topologies de réseau simples à complexes Convient pour simple Topologie Sécurité Sécurité doit
être configuré La sécurité une ressource inhérente Utilisation Utilise le CPU, mémoire et bande
passante de link Pas de ressources supplémentaires nécessite une chemin Route de la prévisibilité
dépend de la topologie et du protocole de routage utilisé Explicitement définis par
l'administrateur.
Caractéristique Routage dynamique Routage statique
Complexité de la Augmente avec la taille du

Indépendant de la taille du réseau
configuration réseau
Modifications de la S'adapte automatiquement aux Intervention de l'administrateur

topologie modifications de la topologie requise
Idéal pour les topologies de réseau

Évolutivité Idéal pour les topologies simples
simple et complexe
Sécurité La sécurité doit être configurée La sécurité est inhérente
Utilise le CPU, la mémoire, la bande Aucune ressource

Utilisation des ressources
passante de la liaison supplémentaire n'est nécessaire
Route dépend de la topologie et du Définie explicitement par

Prévisibilité du chemin
protocole de routage utilisés l'administrateur
14.5.2
Évolution des protocoles de routage

dynamique
Les protocoles de routage dynamique sont utilisés dans les réseaux depuis la fin des années
quatre-vingt. Le protocole RIP est l'un des tout premiers protocoles de routage. RIPv1 a été
publiée en 1988, mais certains de ses algorithmes de base étaient déjà utilisés sur ARPANET
(Advanced Research Projects Agency Network) dès 1969.
À mesure que les réseaux évoluaient et devenaient plus complexes, de nouveaux protocoles
de routage ont émergé. Le protocole RIP a été mis à jour vers RIPv2 pour s'adapter à la
croissance dans l'environnement réseau. Cependant, RIPv2 n'est pas encore suffisamment
évolué pour les mises en œuvre actuelles de réseaux plus vastes. Deux protocoles de routage
avancés ont été développés pour répondre aux besoins des réseaux plus importants: OSPF
(Open Shortest Path First) et IS-IS (Intermediate System-to-Intermediate System). Cisco a
développé le protocole IGRP (Interior Gateway Routing Protocol), qui a ensuite été remplacé
par l'EIGRP (Enhanced IGRP), qui s'adapte également bien aux grandes implémentations de
réseaux.
En outre, il était nécessaire de connecter les différents domaines de routage de différentes

organisations et de fournir un routage entre elles. Le protocole BGP (Border Gateway
Protocol), successeur du protocole EGP (Exterior Gateway Protocol), est utilisé entre les
fournisseurs de services Internet (FAI). Le protocole BGP est également utilisé entre les FAI
et certaines organisations privées pour échanger des informations de routage.
La figure montre la durée de l'introduction des différents protocoles.
La figure montre la durée de l'introduction des différents protocoles. A partir de 1982 EGP,
1985 IGRP, 1988 RIPV1, 1990 IS-IS, 1991 OSPFv2, 1992 EIGRP, 1994 RIPV2, 1995 BGP,
1997 RIPNG, 1998 BGP-MP, 1999 OSPFv3, 2000 ISv6.
IS-ISv62008EGPIGRP19821985RIPv11988IS-
ISOSPFv2EIGRP1990s199019911992BGPRIPv219941995RIPngBGP-MP19971998OSPFv319992000s
De nouvelles versions des protocoles de routage IP ont été développées pour prendre en
charge les communications reposant sur IPv6, comme indiqué à la ligne IPv6 de la table.
Le tableau classifie les protocoles de routage actuels. Les protocoles IGP (Interior Gateway
Protocoles) sont des protocoles de routage utilisés pour échanger des informations de routage
au sein d'un domaine de routage administré par une seule organisation. Il n'y a qu'un seul EGP
et c'est BGP. BGP est utilisé pour échanger des informations de routage entre différentes
organisations, connues sous le nom de systèmes autonomes (AS). BGP est utilisé par les FAI
pour acheminer les paquets sur Internet. Les protocoles de routage vectoriel de distance, d'état
de liaison et de vecteurs de chemin font référence au type d'algorithme de routage utilisé pour
déterminer le meilleur chemin.
Protocoles de passerelle intérieure Protocoles de passerelle extérieure Distance Vector Link-State

Path Vector IPv4 RIPv2 EIGRP OSPFv2 IS-IS BGP-4 IPv6 RIPNG EIGRP pour IPv6 OSPF V3IS-est pour
IPv6 BGP-MP
protocole IGP Protocoles EGP
Vecteur de distance État de liens Protocole BGP
IPv4 RIPv2 EIGRP OSPFv2 IS-IS BGP-4
Protocole EIGRP pour IS-IS pour

IPv6 RIPng OSPFv3 BGP-MP
IPv6 IPv6
14.5.3
Concepts du protocole de routage dynamique

Un protocole de routage est un ensemble de processus, d’algorithmes et de messages qui sont
utilisés pour échanger des informations de routage et construire la table de routage en y
indiquant les meilleurs chemins. L'objectif des protocoles de routage dynamique est
notamment le suivant :
 découverte des réseaux distants

 actualisation des informations de routage
 choix du meilleur chemin vers des réseaux de destination
 capacité à trouver un nouveau meilleur chemin si le chemin actuel n'est plus disponible.
Les principaux composants des protocoles de routage dynamique incluent les éléments
suivants:
 Structures de données - Les protocoles de routage utilisent généralement des tables ou des bases de
données pour fonctionner. Ces informations sont conservées dans la mémoire vive.
 Messages de protocoles de routage - Les protocoles de routage utilisent différents types de
messages pour découvrir les routeurs voisins, échanger des informations de routage et effectuer
d'autres tâches afin d'obtenir et de gérer des informations précises relatives au réseau.
 Algorithme - Un algorithme est une liste précise d'étapes permettant d'accomplir une tâche. Les
protocoles de routage utilisent des algorithmes pour faciliter l’échange d’informations de routage et
déterminer le meilleur chemin d’accès.
Ils permettent aux routeurs de partager de manière dynamique des informations sur les
réseaux distants et de fournir automatiquement ces informations à leurs propres tables de
routage. Cliquez sur Lecture pour voir une animation de ce processus.
La figure est une animation avec trois routeurs R1, R2 et R3 connectés dans un modèle
triangulaire. L'animation montre que lorsqu'une mise à jour se produit sur un routeur, elle est
poussée vers les autres.
Les protocoles de routage déterminent le meilleur chemin, ou la meilleure route, vers chaque
réseau. Cette route est alors fournie à la table de routage. La route sera installée dans la table
de routage s'il n'y a pas d'autre source de routage avec un AD inférieur. L'un des principaux
avantages des protocoles de routage dynamique est l'échange d'informations de routage entre
les routeurs lors de la modification de la topologie. Cet échange permet aux routeurs de
découvrir automatiquement de nouveaux réseaux et de trouver d’autres chemins en cas de
défaillance d’un lien vers un réseau actif.
14.5.4
Meilleur chemin
Avant qu'un chemin d'accès à un réseau distant soit proposé à la table de routage, le protocole
de routage dynamique doit déterminer le meilleur chemin d'accès à ce réseau. La
détermination du meilleur chemin peut impliquer d'évaluer plusieurs chemins menant au
même réseau de destination et de choisir le chemin optimal ou le plus court pour atteindre ce
réseau. Lorsqu'il existe plusieurs chemins menant au même réseau, chaque chemin utilise une
interface de sortie différente sur le routeur pour atteindre ce réseau.
Le meilleur chemin est sélectionné par un protocole de routage, qui utilise une valeur ou une
métrique pour déterminer la distance à parcourir pour atteindre un réseau. Une métrique est
une valeur quantitative utilisée pour mesurer la distance pour un réseau donné. Le meilleur
chemin pour rejoindre un réseau est celui dont la métrique est la plus faible.
Les protocoles de routage dynamique utilisent généralement leurs propres règles et métriques
pour constituer et mettre à jour leur table de routage. L’algorithme de routage génère une
valeur ou métrique, pour chaque chemin traversant le réseau. Les métriques peuvent se baser
sur une ou plusieurs caractéristiques d’un chemin. Pour choisir la route, certains protocoles de
routage peuvent utiliser plusieurs métriques et les combiner en une seule.
Le tableau suivant répertorie les protocoles dynamiques courants et leurs mesures.
Métrique de Protocole de Routage Protocole d'information sur le routage (RIP) La métrique est
"Nombre de Tronçon" Chaque routeur le long d'un chemin ajoute un tronçon au nombre de
tronçon. Un maximum de 15 tronçon autorisés.OSPF (Open Shortest Path First) La métrique est
« coût » qui est basé sur la bande passante cumulée de la source à la destination.Les
liens les plus rapide sont attribués des coûts inférieurs par rapport au liens plus lent (coût plus
élevé) EIGRP (Enhanced Interior Gateway Routing Protocol) Il calcule une métrique basée sur les
valeurs de bande passante et de retard les plus lentes. Il peut également inclure la charge et la
fiabilité dans le calcul de la métrique.
Protocole de routage Métrique
 La métrique
est «nombre
de tronçon».
 Chaque
routeur le
long d'un
chemin
ajoute un
Protocole RIP (Routing Information Protocol) saut au
nombre de
sauts.
 Un
maximum
de 15
tronçons
autorisés.
 La métrique
est «coût»
qui est basé
Protocole OSPF (Open Shortest Path First) sur la bande
passante
cumulée de
la source à
Métrique de Protocole de Routage Protocole d'information sur le routage (RIP) La métrique est
"Nombre de Tronçon" Chaque routeur le long d'un chemin ajoute un tronçon au nombre de
tronçon. Un maximum de 15 tronçon autorisés.OSPF (Open Shortest Path First) La métrique est
« coût » qui est basé sur la bande passante cumulée de la source à la destination.Les
liens les plus rapide sont attribués des coûts inférieurs par rapport au liens plus lent (coût plus
élevé) EIGRP (Enhanced Interior Gateway Routing Protocol) Il calcule une métrique basée sur les
valeurs de bande passante et de retard les plus lentes. Il peut également inclure la charge et la
fiabilité dans le calcul de la métrique.
Protocole de routage Métrique
la
destination
 Les liens
plus rapides
se voient
attribuer
des coûts
inférieurs
par rapport
au liens plus
lent (plus
élevé coût).
 Il calcule
une mesure
basée sur la
bande
passante la
plus lente et
le délai k.
 Il pourrait
Protocole EIGRP (Enhanced Interior Gateway Routing Protocol)
également
inclure la
charge et la
fiabilité dans
le système
de calcul de
la métrique.
L'animation de la figure souligne comment le chemin peut être différent selon la métrique
utilisée. Si le meilleur chemin défaille, le protocole de routage dynamique sélectionne
automatiquement un nouveau chemin le plus approprié s'il existe un.
La figure est une animation avec un PC étiqueté PC1 connecté à un routeur R1. R1 est
connecté à R2 avec une connexion 1Gbps et R2 se connecte à R3 avec une connexion 1Gbps.
R3 est connecté à R1 avec une connexion 100Mbps. Les routeurs sont représentés comme un
triangle droit. Un autre PC étiqueté PC2 est connecté à R3. L'animation montre les décisions
de routage basées sur le nombre de tronçon ou la bande passante.
14.5.5
Équilibrage de charge
Que se passe-t-il si une table de routage contient plusieurs chemins avec des métriques
identiques vers le même réseau de destination?
Lorsqu'un routeur contient deux chemins ou plus vers une destination avec des métriques à
coût égal, le routeur transmet les paquets en utilisant de manière égale les deux chemins. C'est
ce que l'on appelle l'équilibrage de charge à coût égal. La table de routage contient le réseau
de destination unique, mais plusieurs interfaces de sortie, une pour chaque chemin de coût
égal. Le routeur transfère les paquets en utilisant les différentes interfaces de sortie
répertoriées dans la table de routage.
S’il est correctement configuré, l’équilibrage de charge peut améliorer l’efficacité et les
performances du réseau.
L'équilibrage de charge à coût égal est implémenté automatiquement par des protocoles de
routage dynamique. Il est activé avec des routes statiques lorsqu'il existe plusieurs routes
statiques vers le même réseau de destination à l'aide de différents routeurs de tronçon suivant.
Remarque: Seul le protocole EIGRP prend en charge l'équilibrage de charge à coût inégal.
L'animation de la figure présente un exemple d'équilibrage de charge à coût égal.
La figure est une animation avec quatre routeurs R1, R2, R3 et R4 interconnectés les uns aux
autres avec des connexions 52Mbps. Un PC étiqueté PC1 est connecté à R1 et un second PC
étiqueté PC2 est connecté à R3. Lorsque l'animation exécute des paquets à partir de PC1
prend différents chemins à travers les routeurs vers PC2 qui illustrent l'équilibrage de charge à
coût égal puisque tous les routeurs ont des vitesses de connexion égales.
14.5.6
Vérifiez votre compréhension - Routage

dynamique et statique
Vérifiez votre compréhension de Routes Statiques et Dynamiques en choisissant la
1. Quel type de routage s'adapte-t-il automatiquement aux modifications de la topologie
Routes statiques
Protocole de routage dynamique
Les deux protocoles de routage statique et dynamique

2. Quel type de routage est généralement utilisé avec un réseau d’extrémité?
Routes statiques
Protocole de routage dynamique

3. Quelle métrique est utilisée par OSPF pour déterminer le meilleur chemin?
Nombre de tronçon
Coût
Bande passante et délai
Décidé par l'administrateur réseau

4. Quel terme est utilisé pour décrire le routage sur deux ou plusieurs chemins vers une
destination avec des métriques de coût égal?
Choix des chemins égal
Transfert de paquet égal
Équilibrage de charge à coût égal
Acheminement à coût égal

14.4
Table de routage IP
14.6

14.6.1

Les principales fonctions d'un routeur consistent à déterminer le meilleur chemin

d'acheminement des paquets en fonction des informations contenues dans sa table de routage,
et à transférer des paquets vers leur destination. Le meilleur chemin dans la table de routage
est également connu comme la correspondance la plus longue. La correspondance la plus
longue est celle qui, dans la table de routage, présente le plus grand nombre de bits de
correspondance les plus à gauche avec l'adresse IP de destination du paquet. Les réseaux
directement connectés sont des réseaux configurés sur les interfaces actives d'un routeur. Un
réseau directement connecté est ajouté à la table de routage lorsqu'une interface est configurée
avec une adresse IP et un masque de sous-réseau (longueur du préfixe) et est active (up et up).
Les routeurs apprennent à connaître les réseaux distants de deux manières: les routes statiques
sont ajoutées à la table de routage lorsqu'une route est configurée manuellement, et avec des
protocoles de routage dynamiques. À l'aide de protocoles de routage dynamiques tels que
EIGRP et OSPF, les routes sont ajoutées à la table de routage lorsque les protocoles de
routage apprennent dynamiquement à propos du réseau distant.
Une fois qu'un routeur détermine le chemin correct, il peut transférer le paquet sur un réseau
directement connecté, il peut transférer le paquet à un routeur de tronçon suivant, ou il peut
déposer le paquet. La responsabilité principale de la fonction de transfert de paquets est
d'encapsuler les paquets au type de trame de liaison de données approprié pour l'interface de
sortie. Les routeurs prennent en charge trois mécanismes de transmission de paquets:
commutation de processus, commutation rapide et CEF. Les étapes suivantes décrivent le
processus de transmission de paquets :
1. La trame de liaison de données avec un paquet IP encapsulé arrive sur l'interface d'entrée.
2. Le routeur examine l'adresse IP de destination dans l'en-tête du paquet et consulte sa table de
routage IP.
3. Le routeur trouve le préfixe correspondant le plus long dans la table de routage.
4. Le routeur encapsule le paquet dans une trame de liaison de données et le transmet à l'extérieur de
l'interface de sortie. La destination peut être un périphérique connecté au réseau ou un routeur de
tronçon suivant.
5. Toutefois, s'il n'y a pas d'entrée de route correspondante, le paquet est supprimé.
Révision de la configuration de base du routeur
Il existe plusieurs commandes de configuration et de vérification pour les routeurs y

compris show ip route, show ip interface, show ip interface brief et show running-config.
Pour réduire la quantité de sortie de commande, utilisez un filtre. Les commandes de filtrage
permettent d'afficher des sections de résultat spécifiques. Pour activer la commande de
filtrage, tapez le symbole (|) après la commande show , puis saisissez un paramètre de filtrage
et une expression de filtrage. Après ce symbole, les paramètres de filtrage suivants peuvent
être configurés:
 section - Affiche l'intégralité de la section commençant par l'expression de filtrage

 include - Inclut toutes les lignes de résultat correspondant à l'expression de filtrage
 exclude - Exclut toutes les lignes de résultat correspondant à l'expression de filtrage
 begin - Affiche toutes les lignes de résultat à partir d'un certain point, en commençant par la ligne qui
correspond à l'expression de filtrage
Table de routage IP
Une table de routage contient une liste de routes des réseaux connus (préfixes et longueurs de
préfixes). La source de ces informations provient de réseaux directement connectés, de routes
statiques et de protocoles de routage dynamique. Les codes courants de la table de routage
comprennent:
 L - Identifie l'adresse attribuée à l'interface d'un routeur. Ceci permet au routeur de déterminer
efficacement s'il reçoit un paquet destiné à l'interface et non à être transféré.
 C - Identifie un réseau connecté directement.
 S - Identifie une route statique créée pour atteindre un réseau donné.
 O - Identifie un réseau découvert de manière dynamique depuis un autre routeur à l'aide du
protocole de routage OSPF.
 * - Cette route peut convenir comme route par défaut.
Chaque routeur prend sa décision seul, en fonction des informations qu'il possède dans sa
propre table de routage. Les informations contenues dans une table de routage d'un routeur ne
correspondent pas nécessairement à la table de routage d'un autre routeur. Les informations de
routage relatives à un chemin d'accès ne fournissent pas d'informations de routage de retour.
Les entrées de table de routage incluent la source de la route, le réseau de destination, AD, la
métrique, le tronçon suivant, l'horodatage de la route et l'interface de sortie. Pour en savoir
plus sur les réseaux distants, un routeur doit avoir au moins une interface active configurée
avec une adresse IP et un masque de sous-réseau (longueur du préfixe), appelé réseau
directement connecté. Les routes statiques sont configurées manuellement et définissent un
chemin explicite entre deux appareils réseau. Les protocoles de routage dynamique peuvent
détecter un réseau, gérer les tables de routage, sélectionner un meilleur chemin et découvrir
automatiquement un nouveau meilleur chemin si la topologie change. Une route par défaut
spécifie un routeur de tronçon suivant à utiliser lorsque la table de routage ne contient pas de
route spécifique correspondant à l'adresse IP de destination. une route par défaut peut être une
route statique ou apprise automatiquement à partir d'un protocole de routage dynamique. Une
route par défaut a une entrée de route IPv4 0.0.0/0 ou une entrée de route IPv6 de ::/0. Les
tables de routage IPv4 ont toujours une structure basée sur l'adressage par classe représenté
par des niveaux d'indentation. Les tables de routage IPv6 n'utilisent pas la structure de table
de routage IPv4. Le logiciel CISCO IOS utilise ce que l'on appelle la distance administrative
(AD) pour déterminer la route à installer dans la table de routage IP. L'AD indique la
«fiabilité» de la route. Plus la valeur de l'AD est faible, plus la source est fiable.
Les routes statiques sont couramment utilisées:
 En tant que paquet de transfert de route par défaut vers un fournisseur de services.
 Pour les routes en dehors du domaine de routage et non apprises par le protocole de routage
dynamique
 Lorsque l'administrateur réseau souhaite définir explicitement le chemin d'accès pour un réseau
spécifique
 Pour le routage entre les réseaux d’extrémité
Le protocole de routage dynamique est couramment utilisé:
 Dans les réseaux composés de plus de quelques routeurs

 Lorsqu' une modification de la topologie du réseau nécessite que le réseau détermine
automatiquement un autre chemin d'accès
 pour l'évolutivité. À mesure que le réseau se développe, le protocole de routage dynamique apprend
automatiquement à connaître les nouveaux réseaux.
Les protocoles de routage actuels incluent les IGP et les EGP. Les IGP échangent des
informations de routage au sein d'un domaine de routage administré par une seule
organisation. Le seul EGP est BGP. BGP échange des informations de routage entre
différentes organisations. BGP est utilisé par les FAI pour acheminer les paquets sur Internet.
Les protocoles de routage vectoriel de distance, d'état de liaison et de vecteurs de chemin font
référence au type d'algorithme de routage utilisé pour déterminer le meilleur chemin. Les
principaux composants des protocoles de routage dynamique sont les structures de données,
les messages de protocole de routage et les algorithmes. Le meilleur chemin est sélectionné
par un protocole de routage, qui utilise une valeur ou une métrique pour déterminer la
distance à parcourir pour atteindre un réseau. Une métrique est une valeur quantitative utilisée
pour mesurer la distance pour un réseau donné. Le meilleur chemin pour rejoindre un réseau
est celui dont la métrique est la plus faible. Lorsqu'un routeur contient deux chemins ou plus
vers une destination avec des métriques à coût égal, le routeur transmet les paquets en
utilisant de manière égale les deux chemins. C'est ce que l'on appelle l'équilibrage de charge à
coût égal.
14.6.2
Module Questionnaire - Concepts de routage

1.
Quelle fonctionnalité sur un routeur Cisco permet le transfert du trafic pour lequel il n'y a pas
de route spécifique?
Interface de sortie
Passerelle de dernier recours
Tronçon suivant
source de la route
2. Quels sont les trois avantages du routage statique? (Choisissez trois réponses.)
Le routage statique utilise généralement moins de bande passante réseau et moins

d'opérations CPU que le routage dynamique.
L’intervention n'est pas requise pour assurer la mise à jour des informations relatives aux
routes.
La configuration des routes statiques est sans erreur.
Les routes statiques ne sont pas annoncées sur le réseau, pour une meilleure sécurité.
Les routes statiques évoluent à mesure que le réseau se développe.
Le chemin qu'une route statique utilise pour envoyer des données est connu.
3. Quelles sont les deux fonctions des protocoles de routage dynamique? (Choisissez deux
réponses.)
pour choisir le chemin spécifié par l'administrateur
pour gérer les tables de routage
pour découvrir le réseau
pour assurer un faible coût du routeur
pour éviter d'exposer les informations réseau

4. Quel est l'avantage d'utiliser des protocoles de routage dynamique au lieu du routage statique?
plus sûr dans le contrôle des mises à jour de routage
moins de frais généraux de ressources du routeur
plus faciles à implémenter
possibilité de rechercher activement de nouveaux routes si le chemin actuel devient

indisponible
5. Quelle valeur représente la «fiabilité» d'une route et est utilisée pour déterminer quel route
installer dans la table de routage lorsqu'il y a plusieurs routes vers la même destination?
Interface de sortie
métrique
protocole de routage
distance administrative
6. Quelle méthode de transfert de paquet un routeur utilise-t-il dans la prise de décisions de
commutation lorsqu'il utilise une base d'informations de transfert et une table de contiguïté?
Commutation rapide
processus de flux
commutation de processus
Cisco Express Forwarding

7. Quel type de route serait généralement utilisé sur un routeur frontalier afin que les appareils
de l'entreprise puissent accéder à Internet?
par défaut
synthèse
connecté directement
statique
8. Quelles sont les fonctions d'un routeur? (Choisissez deux réponses.)
Il conçoit une table de routage en fonction des requêtes ARP.
Il contrôle le flux de données via l’utilisation des adresses de couche 2.
Il détermine le meilleur chemin pour envoyer les paquets.

Un routeur relie plusieurs réseaux IP.
Il assure la segmentation au niveau de la couche 2.

9. Lorsqu'un routeur apprend que plusieurs chemins sont disponibles pour un réseau de
destination à partir du même protocole de routage, quel facteur est considéré par un routeur
pour choisir le meilleur chemin pour transférer un paquet?
l'ordre des chemins sur la table de routage
la métrique la plus basse
la bande passante la plus rapide des interfaces de sortie
la valeur de fiabilité des routeurs voisins

10. Indiquer les deux codes source de route automatiquement créés dans une table de routage
lorsqu'une interface de routeur est configurée avec une adresse IP puis activée? (Choisissez
deux réponses.)
S
11. La sortie de la commande show ip route contient l'entrée suivante:
S 10.2.0.0 [1/0] via 172.16.2.2.
Quelle est la valeur indiquée par le 1 dans la partie [1/0] de la sortie?
distance administrative
nombre de tronçon.
Métrique
ID d'interface par laquelle le réseau peut être atteint

12. Quel type de routes statiques par défaut crée une passerelle de dernier recours?
route statique récapitulative
route statique standard
route statique par défaut
⁪route statique flottante

13. Quels sont les deux types courants de routes statiques dans les tables de routage? (Choisissez
deux réponses.)
une route statique vers un réseau donné
une route statique convertie à partir d'une route enregistrée par protocole de routage
dynamique
une route statique intégrée par l'IOS

une route statique partagée entre deux routeurs voisins
une route statique par défaut

14. Citez deux raisons pour lesquelles un administrateur choisirait le routage statique plutôt que le
routage dynamique. (Choisissez deux réponses.)
Le routage statique ne nécessite pas la connaissance totale du réseau entier.
Le routage statique est plus adaptable.
Le routage statique demande moins de traitement et de bande passante au routeur.
Le routage statique est plus facile à entretenir sur de grands réseaux.
Le routage statique est plus sûr.

15. Quelle adresse et quelle longueur de préfixe est utilisée lors de la configuration d'une route
statique par défaut IPv6?
::/0
::1/128
FF02::1/8
0.0.0.0/0
14.5
Introduction
15.0.1

Bienvenue sur Routage Statique IP!
Il existe tellement de méthodes différentes pour acheminer dynamiquement un paquet donc

vous pourriez vous demander pourquoi quelqu'un prendrait du temps à configurer
manuellement une route statique. C'est un peu comme si vous laviez tous vos vêtements à la
main quand vous avez une machine à laver en état parfaite. Mais vous savez que certains
vêtements ne peuvent pas être laver dans la machine à laver. Certains vêtements peuvent être
lavés à la main. Il y a une similitude dans le réseau. Il s'avère qu'il existe de nombreuses
situations où une route statique configurée manuellement est votre meilleure option.
Il existe différents types de routes statiques, et chacune est parfaite pour résoudre (ou éviter)
un type spécifique de problème de réseau. De nombreux réseaux utilisent à la fois le routage
dynamique et statique, de sorte que les administrateurs réseau doivent savoir comment
configurer, vérifier et dépanner les routes statiques. Vous suivrez ce cours parce que vous
souhaitez devenir administrateur réseau ou améliorer vos compétences d'administrateur réseau
existantes. Vous serez heureux d'avoir pris ce module, car vous utiliserez ces compétences
fréquemment! Et parce que ce module concerne la configuration de routes statiques, il y a
plusieurs activités de Contrôleur de Syntaxe, suivies d'un Packet Tracer et des Travaux
Pratiques où vous pouvez perfectionner vos compétences!
15.0.2

module?
Titre du module: Routage statique IP
Objectif du module: Configurer les routes statiques IPv4 et IPv6.
Légende du tableau
Décrire la syntaxe de commande pour les routes

Routes statiques
statiques.
Légende du tableau
Configuration de routes statiques IP Configurer les routes statiques IPv4 et IPv6.
Configurer les routes statiques IPv4 et IPv6 par

Configuration de routes statiques IP par défaut
défaut.
Configurer une route statique flottante pour fournir

Configuration de routes statiques flottantes
une connexion de secours.
Configurer des routes d'hôtes statiques IPv4 et IPv6

Configuration de routes d'hôtes statiques
qui dirigent le trafic vers un hôte spécifique.
14.6

15.1
Routes statiques
Routes statiques
15.1.1
Types de routes statiques

Les routes statiques sont généralement implémentées sur un réseau. Cela est vrai même
lorsqu'un protocole de routage dynamique est configuré. Par exemple, une organisation peut
configurer une route statique par défaut vers le fournisseur de services et annoncer cette route à
d'autres routeurs d'entreprise à l'aide du protocole de routage dynamique.
Les routes statiques peuvent être configurées pour IPv4 et IPv6. Les deux protocoles prennent
en charge les types de routes statiques sont:
 Route statique standard

 Route statique par défaut
 Route statique flottante
 Route statique récapitulative
Les routes statiques sont configurées en utilisant les commandes de configuration globale ip
route et ipv6 route .
15.1.2
Options de tronçon suivant

En configurant un route statique, Le tronçon suivant peut être identifié par une adresse IP, une
interface de sortie, ou les deux. La manière dont la destination est spécifiée crée un des trois
types de routes statiques qui sont :
 Route de tronçon suivant : seule l'adresse IP du tronçon suivant est spécifiée.

 Route statique connectée directement: seule l'interface de sortie du routeur est spécifiée.
 Route statique entièrement spécifiée: l'adresse IP du tronçon suivant et l'interface de sortie
sont spécifiées.
15.1.3
Les Commande de Route Statique IPv4

Les routes statiques IPv4 sont configurées à l’aide des commandes suivantes:
Router(config)# ip route network-address subnet-mask { ip-address | exit-
intf [ip-address]} [distance]
Remarque: Les paramètres ip-address, exit-intf, ou ip-address et exit-intf doivent être configurés.
Le tableau décrit les paramètres de commande ip route .
Paramètre Description adresse du réseau Identifie le réseau IPv4 de l'adresse de destination du

réseau distant à ajouter au table de routage Sous-réseau Identifies le masque de sous-réseau du
réseau distant . Le masque sous-réseau peut être modifié pour résumer un groupe de réseaux et
créée une récapitule de routage statique IP.Adresse-IP Identifie l'adresse IPv4 du routeur de tronçon
suivant .Typiquement utilisé avec les réseaux de diffusion (par exemple, Ethernet).Il pourrait créer
une route statique récursive où le routeur effectue une recherche supplémentaire pour trouver
l'interface de sortie.exit-intf identifie l'interface de sortie pour transférer des paquets.Crée une route
statique connectée directement.généralement utilisée avec une configuration point à point.exit-intf
IP-Address Crée une route statique entièrement spécifiée car il spécifie l'interface de sortie et le
prochain adresse IPv4 de tronçon suivant. La commande facultative de distance qui peut être utilisée
pour affecter un valeur de distance administrative comprise entre 1 et 255.Généralement utilisée
pour configurer une route statique flottante en définissant une distance administrative supérieure
qu'un route appris dynamiquement.
Identifie l'adresse IPv4 de destination du

network-address réseau distant qui doit être ajoutée à la
table de routage.
 Identifie le masque de sous-réseau du

réseau distant.
subnet-mask
 Le masque de sous-réseau peut être
modifié pour résumer un groupe de
réseaux et crée un route statique

récapitulative
 Identifie l'adresse IPv4 du routeur de

saut suivant.
 Généralement utilisé avec les réseaux de
diffusion (c'est-à-dire Ethernet).
ip-address  Pourrait créer une route statique
récursive où le routeur effectue une
recherche supplémentaire pour trouver
l'interface de sortie.
 Identifie l'interface de sortie pour

transférer les paquets.
 Configurez une route statique connectée
exit-intf directement.
 Généralement utilisé dans une
configuration point à point.
Crée une route statique entièrement

spécifiée car elle spécifie l'interface de
exit-intf ip-address
sortie et l'adresse IPv4 du tronçon
suivant.
 Commande facultative qui peut être

utilisée pour affecter un valeur de
distance comprise entre 1 et 255.
distance
 Généralement utilisé pour configurer
une route statique flottante en
définissant une distance administrative
supérieure à celle d'une route apprise

dynamiquement.
15.1.4
Les Commandes de Route Statique IPv6

Les routes statiques IPv6 sont configurées à l’aide des commandes suivantes:
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address |
exit-intf [ipv6-address]} [distance]
La plupart des paramètres sont identiques à la version IPv4 de la commande.
Le tableau présente les différents paramètres de commande ipv6 route et leurs descriptions.
Paramètre Description ipv6-prefix Identifie l'adresse IPv6 de destination du réseau distant qui doit
être ajoutée à la table de routage. prefix-length Identifie la longueur du préfixe du réseau distant.
IPv6-Addres Identifie l'adresse IPv6 du routeur de tronçon suivant .Typiquement utilisé avec les
réseaux de diffusion (Ethernet). Il pourrait créer une route récursive statique où le routeur effectue
une recherche supplémentaire pour trouver l'interface de sortie.exit-intf identifie l'interface de
sortie pour transférer des paquets.Crée une route statique connectée directement. Généralement
utilisée avec une configuration point à point.exit-intf IPv6-Address Crée une route statique
entièrement spécifiée car il spécifie l'interface de sortie et le prochain adresse IPv6 de tronçon
suivant. La commande facultative de distance qui peut être utilisée pour affecter un valeur de
distance administrative comprise entre 1 et 255. Généralement utilisée pour configurer une route
statique flottante en définissant une distance administrative supérieure qu'un route appris
dynamiquement.
Identifie l'adresse IPv6 de destination du

ipv6-prefix réseau distant qui doit être ajoutée à la
table de routage.
Identifie la longueur du préfixe du réseau

/prefix-length
distant.
 Identifie l'adresse IPv6 du routeur de

saut suivant.
 Généralement utilisé avec les réseaux de
diffusion (c'est-à-dire Ethernet)
ipv6-address  Pourrait créer une route statique
récursive où le routeur effectue une
recherche supplémentaire pour trouver
l'interface de sortie.
 Identifie l'interface de sortie pour

transférer les paquets.
 Configure une route statique connectée
exit-intf directement.
 Généralement utilisé dans une
configuration point à point.
Crée une route statique entièrement

spécifiée car elle spécifie l'interface de
exit-intf ipv6-address
sortie et l'adresse IPv6 du tronçon
suivant.
 Commande facultative qui peut être

utilisée pour affecter un valeur de
distance comprise entre 1 et 255.
distance
 Généralement utilisé pour configurer
une route statique flottante en
définissant une distance administrative
Paramètre Description ipv6-prefix Identifie l'adresse IPv6 de destination du réseau distant qui doit
être ajoutée à la table de routage. prefix-length Identifie la longueur du préfixe du réseau distant.
IPv6-Addres Identifie l'adresse IPv6 du routeur de tronçon suivant .Typiquement utilisé avec les
réseaux de diffusion (Ethernet). Il pourrait créer une route récursive statique où le routeur effectue
une recherche supplémentaire pour trouver l'interface de sortie.exit-intf identifie l'interface de
sortie pour transférer des paquets.Crée une route statique connectée directement. Généralement
utilisée avec une configuration point à point.exit-intf IPv6-Address Crée une route statique
entièrement spécifiée car il spécifie l'interface de sortie et le prochain adresse IPv6 de tronçon
suivant. La commande facultative de distance qui peut être utilisée pour affecter un valeur de
distance administrative comprise entre 1 et 255. Généralement utilisée pour configurer une route
statique flottante en définissant une distance administrative supérieure qu'un route appris
dynamiquement.
supérieure à celle d'une route apprise

dynamiquement.
Remarque: La commande de configuration globale ipv6 unicast-routing doit être configurée

pour permettre au routeur de transférer des paquets IPv6.
15.1.5
Topologie à double pile

La figure montre une topologie de réseau à double pile. Actuellement, aucune route statique n'est
configurée pour IPv4 ou IPv6.
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à l'interface
R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1. Les trois
réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur connecté au
routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1, PC2 est sur le
réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de routeur recevront une
adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des deux interfaces série (WAN)
sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris la liaison WAN. Aucune adresse
IP n'a été attribuée aux commutateurs ou aux PC. L'adressage sur le LAN sur R1 a l'adresse
IPv4 172.16.3.0/24 et l'adresse IPv6 2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse
IPv4 172.16.2.0/24 et l'adresse IPv6 2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a
l'adresse IPv4 172.16.1.0/24 et l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a
l'adresse IPv4 192.168.1.0/24 et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de
R3 a l'adresse IPv4 192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/242001:db8:acad:1::/64172.16.2.0/242001:db8:acad:2::/64192.168.1.0/242001:db8
:cafe:1::/64172.16.3.0/242001:db8:acad:3::/64192.168.2.0/242001:db8:cafe:2::/64G0/0/0S0/1/1S
0/1/0S0/1/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
15.1.6
Tables de routage initiales d'IPv4
Cliquez sur chaque bouton pour voir la table de routage IPv4 de chaque routeur et les résultats
de ping. Remarquez que chaque routeur comprend des entrées uniquement pour les réseaux
directement connectés et les adresses locales associées.
Table de routage IPv4 de R1

R1 peut effectuer Ping au Routeur R2
R1 ne peut pas effectuer de ping au réseau local R3
R1#
15.1.7
Tables de routage initiales d'IPv6

Cliquez sur chaque bouton pour voir la table de routage IPv6 de chaque routeur et les résultats
de ping. Remarquez que chaque routeur comprend des entrées uniquement pour les réseaux
directement connectés et les adresses locales associées.
R1 peut effectuer Ping au Routeur R2
R1 ne peut pas effectuer de ping au réseau local R3
R1# show ipv6 route | begin C
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
R1#
15.1.8
Vérifiez votre compréhension - Routes

Statiques
Vérifiez votre compréhension de Routes Statiques en choisissant la MEILLEURE réponse aux
1. Quelles deux méthodes peuvent être utilisées pour identifier le tronçon suivant dans une route
statique? (Choisissez deux réponses.)
Interface de destination
Adresse IP destination
Adresse réseau de destination

Interface de sortie
Adresse IP de source
2. Quelle déclaration de route statique IPv4 est vraie?
Le réseau de destination est identifié à l'aide de l'adresse réseau et du masque wildcard.
Le mot-clé distance est utilisé pour créer une route statique entièrement spécifiée.
Le réseau source est identifié à l'aide de l'adresse réseau et du masque wildcard.
L'utilisation de l'interface de sortie uniquement est courante dans une configuration point à point.
3. Comment le réseau de destination dans une route statique IPv6 est-il identifié?
à l'aide d'un préfixe IPv6 et d'une longueur de préfixe
à l'aide d'un préfixe IPv6 et d'un masque de sous-réseau
à l'aide d'un préfixe IPv6 et d'un masque wildcard.
à l'aide d'un préfixe IPv6 uniquement

15.0
Introduction
15.2
Configuration de rou
Configuration de routes statiques
IP
15.2.1
Routes Statiques de Tronçon Suivant d'IPv4

Les commandes de configuration de routes statiques standard varient légèrement entre IPv4 et
IPv6. Cette rubrique explique comment configurer les routes statiques standard, directement
connectées et complètes spécifiées pour IPv4 et IPv6.
Dans une route statique de tronçon suivant, seule l'adresse IP de tronçon suivant est spécifiée.
L’interface de sortie est dérivée du tronçon suivant. Par exemple, trois routes statiques de
tronçon suivant d'IPv4 sont configurées sur R1 à l'aide de l'adresse IP du tronçon suivant, R2.
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à
l'interface R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1.
Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur
connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1,
PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de
routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des
deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris
la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux PC.
L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et
l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24
et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4
192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001:
db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64
Les commandes pour configurer R1 avec les routes statiques IPv4 vers les trois réseaux
distants sont les suivantes:
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2
R1(config)# ip route 192.168.1.0 255.255.255.0 172.16.2.2
R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.2.2

La table de routage de R1 comprend des routes vers les trois réseaux IPv4 distants.
S 172.16.1.0/24 [1/0] via 172.16.2.2
S 192.168.1.0/24 [1/0] via 172.16.2.2
S 192.168.2.0/24 [1/0] via 172.16.2.2
R1#
15.2.2
Routes Statiques de Tronçon Suivant d'IPv6

Les commandes pour configurer R1 avec les routes statiques IPv6 vers les trois réseaux
distants sont les suivantes:
R1(config)# ipv6 route 2001:db8:acad:1::/64 2001:db8:acad:2::2
R1(config)# ipv6 route 2001:db8:cafe:1::/64 2001:db8:acad:2::2
R1(config)# ipv6 route 2001:db8:cafe:2::/64 2001:db8:acad:2::2

La table de routage de R1 comprend des routes vers les trois réseaux IPv6 distants.
R1# show ipv6 route
B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE -
Destination
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
ld - LISP dyn-eid, lA - LISP away, le - LISP extranet-policy
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]

L 2001:DB8:ACAD:3::1/128 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
S 2001:DB8:CAFE:2::/64 [1/0]
L FF00::/8 [0/0]
via Null0, receive

15.2.3
Route statique connectée directement d'IPv4

Lors de la configuration d'une route statique, une autre possibilité consiste à utiliser l'interface
de sortie pour spécifier l'adresse du tronçon suivant. La figure montre une autre fois la
topologie.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
Trois routes statiques connectées directement sont configurées sur R1 au moyen de l'interface
de sortie.
R1(config)# ip route 172.16.1.0 255.255.255.0 s0/1/0
La table de routage de R1 montre que lorsqu'un paquet est destiné au réseau 192.168.2.0/24,
R1 recherche une correspondance dans la table de routage et s'aperçoit qu'il peut transmettre
le paquet en dehors de son interface Série 0/1/0.
Remarque: Il est généralement recommandé d'utiliser l'adresse de tronçon suivant. Les routes
statiques directement connectées ne doivent être utilisées qu'avec des interfaces série point à
point, comme dans cet exemple.
S 172.16.1.0/24 is directly connected, Serial0/1/0

15.2.4
Route statique connectée directement d'IPv6

Dans l'exemple, trois routes statiques IPv6 directement connectées sont configurées sur R1 à
l'aide de l'interface de sortie.
R1(config)# ipv6 route 2001:db8:acad:1::/64 s0/1/0
R1(config)# ipv6 route 2001:db8:cafe:1::/64 s0/1/0
R1(config)# ipv6 route 2001:db8:cafe:2::/64 s0/1/0
La table de routage IPv6 de R1 dans la sortie de l'exemple illustre que lorsqu'un paquet est
destiné au réseau 2001:DB8:ACAD:3::/64, R1 recherche une correspondance dans la table de
routage et s'aperçoit qu'il peut transmettre le paquet en dehors de son interface Série 0/1/0.
Remarque: Il est généralement recommandé d'utiliser l'adresse de tronçon suivant. Les routes
statiques directement connectées ne doivent être utilisées qu'avec des interfaces série point à
point, comme dans cet exemple.
R1# show ipv6 route
Destination
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]

C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
S 2001:DB8:CAFE:2::/64 [1/0]
L FF00::/8 [0/0]
via Null0, receive
R1#
15.2.5
Route statique entièrement spécifiée d'IPv4

Dans une route statique entièrement spécifiée, l’interface de sortie et l’adresse IP de tronçon
suivant sont spécifiées. Cette forme de route statique est utilisée lorsque l’interface de sortie
est une interface à accès multiple et il est nécessaire d’identifier explicitement le tronçon
suivant. Le tronçon suivant doit être connecté directement à l'interface de sortie spécifique.
L'utilisation d'une interface de sortie est facultative, mais il est nécessaire d'utiliser une
adresse de tronçon suivant.
Supposons que la liaison réseau entre R1 et R2 soit une liaison Ethernet et que l'interface
GigabitEthernet 0/0/1 de R1 soit connectée à ce réseau, tel qu'illustré dans la Figure.
milieu en haut et R3 est en bas à droite. Il y a un câble Ethernet croisé de l'interface R1s
G0/0/1 à l'interface R2s G0/0/1 et un câble série de l'interface R2s S0/1/1 à l'interface R3s
S0/1/1. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un
commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau
local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
interfaces de routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à
l'exception des deux connexions sur les interfaces R2s qui se connectent aux autres routeurs.
Ces interfaces sur R2 sont données .2 puisque .1 est pris le lien. Aucune adresse IP n'a été
attribuée aux commutateurs ou aux PC. R1 a une adresse link-local de FE80::1 sur les
interfaces et R2 a FE80::2 sur les interfaces. L'adressage sur le LAN sur R1 a l'adresse IPv4
172.16.3.0/24 et l'adresse IPv6 2001:db8:acad:3::/64. L'Ethernet entre R1 et R2 a l'adresse
l'adresse IPv4 192.168.1.0/24 et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN
de R3 a l'adresse IPv4 192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1G0/0/1S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2G0/0/1.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001
:db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64fe80::2fe80::1
La différence entre un réseau Ethernet à accès multiples et un réseau série point à point repose
sur le fait qu’un réseau série point à point n’a qu’un seul autre périphérique sur ce réseau, le
routeur à l’autre extrémité de la liaison. Avec les réseaux Ethernet, de nombreux
périphériques différents peuvent partager le même réseau à accès multiple, y compris des
hôtes et même plusieurs routeurs.
Il est recommandé que lorsque l'interface de sortie est un réseau Ethernet, que la route statique
comprenne une adresse de tronçon suivant. Vous pouvez également utiliser une route statique
entièrement spécifié qui comprend à la fois l'interface de sortie et l'adresse du tronçon suivant.
R1(config)# ip route 172.16.1.0 255.255.255.0 GigabitEthernet 0/0/1
172.16.2.2
172.16.2.2
172.16.2.2
Lors de la transmission de paquets à R2, l'interface de sortie est Gigabit Ethernet 0/0/1 et
l'adresse IPv4 de tronçon suivant est 172.16.2.2 comme illustré dans la sortie show ip
route de R1.

S 172.16.1.0/24 [1/0] via 172.16.2.2, GigabitEthernet0/0/1

15.2.6
Route statique entièrement spécifiée d'IPv6

Dans une route statique entièrement spécifiée d'IPv6, l’interface de sortie et l’adresse IPv6 de
tronçon suivant sont les deux spécifiées. ll y a des circonstances dans IPv6 dans lesquelles une
route statique entièrement spécifiée doit être utilisée. Si la route IPv6 statique utilise une
adresse link-local IPv6 comme adresse de tronçon suivant, une route statique entièrement
spécifiée incluant l'interface de sortie doit être utilisée. La Figure présente un exemple d'une
route statique IPv6 entièrement spécifiée en utilisant une adresse link-local IPv6 comme
adresse de tronçon suivant.
Le graphique affiche un réseau simple avec deux routeurs, R1 à gauche et R2 à droite. Les
routeurs sont connectés ensemble à l'aide d'un câble série; les deux utilisent l'interface S0/1/0.
Chaque routeur dispose d'un réseau local qui n'affiche pas d'équipement spécifique sur celui-
ci. Le LAN sur R1 a l'adresse IPv6 2001:db8:acad:3::/64 et le LAN sur R2 a l'adresse IPv6
2001:db8:acad:1::/64. Le lien série a l'adresse de 2001:db8:acad:2::/64, avec R1 utilisant::1 et
FE80::1 et R2 utilisant ::2 et FE80::2. Sous la liaison série se trouve un champ orange dans
lequel se trouve la déclaration "IPv6 Link-Local Addresses". Il y a deux flèches orange à
chaque extrémité du champ pointant vers l'adressage link-local sur l'interface série sur les
deux routeurs.
fe80::1fe80::2:1S0/1/02001:db8:acad:3::/642001:db8:acad:1::/642001:db8:acad:2::/64S0/1/0:2R1R2
Adresses link-local d'IPv6
R1(config)# ipv6 route 2001:db8:acad:1::/64 fe80::2
%Interface has to be specified for a link-local nexthop
R1(config)# ipv6 route 2001:db8:acad:1::/64 s0/1/0 fe80::2
Dans l'exemple, une route statique entièrement spécifiée est configurée en utilisant l'adresse
link-local de R2 comme adresse du tronçon suivant. Notez que l'IOS requiert que l'interface
de sortie soit spécifiée.
Une route statique entièrement spécifiée doit être utilisée parce que les adresses link-local
IPv6 ne figurent pas dans la table de routage IPv6. Les adresses link-local sont uniquement
uniques sur une liaison ou un réseau donné. L'adresse link-local de tronçon suivant peut être
une adresse valide sur plusieurs réseaux connectés au routeur. Par conséquent, il est
nécessaire d'inclure l'interface de sortie.
L'exemple suivant indique l'entré de la table de routage IPv6 pour cette route. Notez que
l'adresse link-local du tronçon suivant et l'interface de sortie sont toutes deux incluses.
R1# show ipv6 route static | begin 2001:db8:acad:1::/64
S 2001:DB8:ACAD:1::/64 [1/0]
via FE80::2, Seria0/1/0

15.2.7
Vérification d'une route statique

En utilisant show ip route, show ipv6 route, ping et traceroute, les autres commandes utiles
pour vérifier les routes statiques sont les suivantes:
 show ip route static

 show ip route network
 show running-config | section ip route
Remplacer ip par ipv6 pour les versions IPv6 de la commande.
Reportez-vous à la figure lorsque vous passez en revue des exemples de commande.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
Cliquez sur chaque bouton par exemple sur la sortie pour les routes statiques IPv4 et IPv6.
Afficher uniquement les routes statiques IPv4
Afficher un réseau IPv4 spécifique
Afficher la configuration de route statique d'IPv4
Afficher uniquement les routes statiques IPv6
Afficher un réseau IPv6 spécifique
Afficher la configuration de route statique d'IPv6
Cette sortie affiche uniquement les routes statiques IPv4 dans la table de routage. Notez
également où le filtre commence la sortie, en excluant tous les codes.
R1# show ip route static | begin Gateway
S 172.16.1.0/24 [1/0] via 172.16.2.2
S 192.168.1.0/24 [1/0] via 172.16.2.2
S 192.168.2.0/24 [1/0] via 172.16.2.2
R1#
15.2.8
Contrôleur de syntaxe - Configuration de

routes statiques
Configurer de routes statiques en fonction des exigences spécifiées
milieu en haut et R3 est en bas à droite. Il y a un câble Ethernet croisé de l'interface R1s
G0/0/1 à l'interface R2s G0/0/1 et un câble série de l'interface R2s S0/1/1 à l'interface R3s
S0/1/1. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un
commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau
local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
l'exception des deux connexions sur les interfaces R2s qui se connectent aux autres routeurs.
Ces interfaces sur R2 sont données .2 puisque .1 est pris le lien. Aucune adresse IP n'a été
attribuée aux commutateurs ou aux PC. R1 a une adresse link-local de FE80::1 sur les
interfaces et R2 a FE80::2 sur les interfaces. L'adressage sur le LAN sur R1 a l'adresse IPv4
172.16.3.0/24 et l'adresse IPv6 2001:db8:acad:3::/64. L'Ethernet entre R1 et R2 a l'adresse
l'adresse IPv4 192.168.1.0/24 et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN
de R3 a l'adresse IPv4 192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1G0/0/1S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2G0/0/1.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001
:db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64fe80::2fe80::1
Configurer une route statique IPv4 de tronçon suivant sur R2 vers le réseau 192.168.2.0/24 en
utilisant l'adresse de tronçon suivant 192.168.1.1.
R2(config)#
15.1
Routes statiques
15.3

IP par défaut
15.3.1
Route statique par défaut

Cette rubrique explique comment configurer une route par défaut pour IPv4 et IPv6. Il
explique également les situations dans lesquelles une route par défaut est la meilleure choix.
Une route par défaut est une route statique qui correspond à tous les paquets. Plutôt que de
stocker des routes pour tous les réseaux sur internet, les routeurs peuvent stocker une seule
route par défaut pour représenter n'importe quel réseau absent de la table de routage.
Les routeurs utilisent couramment des routes par défaut configurées localement ou apprises
d'un autre routeur, à l'aide d'un protocole de routage dynamique. Une route par défaut ne
nécessite pas un bit le plus à gauche pour une correspondance entre la route par défaut et
l’adresse IP de destination. Une route par défaut est utilisée alors qu'aucune autre route de la
table de routage ne correspond à l'adresse IP de destination du paquet. En d'autres termes, si
une correspondance plus spécifique n'existe pas, la route par défaut est utilisée comme
passerelle de dernier recours.
Les routes statiques par défaut sont couramment utilisées lors de la connexion d'un routeur
périphérique à un réseau de fournisseur de services, ou d'un routeur d'extrémité. (un routeur
avec un seul routeur voisin en amont).
La figure montre un scénario de route statique par défaut typique.
Le graphique montre deux routeurs, R1 est en bas à gauche et il y a une connexion série à R2
en haut à droite. Les deux routeurs utilisent l'interface S0/1/0. R2 est connecté à un cloud qui
indique Réseau au centre de celui-ci. R1 est connecté à un réseau local qui comporte un
commutateur, S1 et PC étiquetés PC1 connectés à S1. R1 utilise G0/0/0 pour le réseau local
qui a une adresse IPv4 172.16.3.0/24. Le lien série comporte l'adresse IPv4 172.16.2.0/24. Il y
a un champ jaune autour du réseau local. Au-dessus du champ LAN sont les mots: Réseaux
d'extrémité. dans le champ orange et il pointe avec une flèche vers le LAN. Ci-dessous le
réseau local sont les mots: Routeur d'extrémité. dans un autre champ orange et il pointe vers
R1. Sous le diagramme se trouve la déclaration : R1 n'a besoin de connaître que les réseaux
directement connectés. Pour tous les autres réseaux, il peux utiliser une route statique par
défaut qui pointe vers R2.
PC1S1R1R2G0/0/0S0/1/0172.16.2.0/24172.16.3.0/24S0/1/0
Réseau d'extrémitéRouteur d'extrémité Réseau
R1 n'a besoin de connaître à propos les réseaux directement connectés. Pour tous les autres
réseaux, il peux utiliser une route statique par défaut qui pointe vers R2.
Ruta estática predeterminada IPv4
La syntaxe de commande pour une route statique par défaut est similaire à toute autre route
statique, à l'exception que l'adresse réseau est 0.0.0.0 et que le masque de sous-réseau
est 0.0.0.0. La 0.0.0.0 0.0.0.0 de la route correspondra à n'importe quelle adresse réseau.
Remarque: Une route statique par défaut d'IPv4 est généralement appelée route quad-zéro.
La syntaxe de commande de base pour une route statique par défaut d'IPv4 est la suivante :
Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address | exit-intf}
Routes statiques IPv6 par défaut
La syntaxe des commandes pour une route statique par défaut IPv6 est similaire à celle de
toute autre route statique d'IPv6, excepté que ipv6-prefix/prefix-length est ::/0 qui correspond
à tout les routes.
La syntaxe de commande de base pour une route statique par défaut d'IPv6 est la suivante :
Router(config)# ipv6 route ::/0 {ipv6-address | exit-intf}

15.3.2
Configuration d'une route statique par défaut

Dans la figure, R1 peut être configuré avec trois routes statiques pour atteindre tous les
réseaux distants dans cet exemple de topologie. Toutefois, R1 est un routeur d'extrémité car il
est uniquement connecté à R2. Par conséquent, il serait plus efficace de configurer une route
statique unique par défaut.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1DCES0/1/0S
0/1/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0
DCE.1.1.2.2.1.1.12001:db8:cafe:1::/642001:db8:cafe:2::/642001:db8:acad:3::/642001:db8:acad:1::/6
42001:db8:acad:2::/64
L'exemple montre une route statique par défaut IPv4 configurée sur R1. Avec la configuration
illustrée dans cet exemple, tous les paquets ne correspondant pas à des entrées de route plus
spécifiques sont transférés vers R1 à 172.16.2.2.
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2

Une route statique par défaut IPv6 est configurée de la même manière. Avec cette
configuration tous les paquets ne correspondant pas à des entrées de route IPv6 plus
spécifiques sont transférés vers R2 à 2001:db8:acad:2::2.
R1(config)# ipv6 route ::/0 2001:db8:acad:2::2

15.3.3
Vérification d'une route statique par défaut

R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/0
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/0/0.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:acad:2::/642001
:db8:acad:3::/642001:db8:cafe:2::/642001:db8:cafe:1::/64
Vérifier la route statique par défaut d'IPv4
La sortie de commande show ip route static de R1 affiche le contenu de routes statiques dans
la table de routage. Notez l'astérisque de sortie (*) next to the route with code ‘S’. As
displayed in the codes table in the show ip route ,l'astérisque indique que cette route statique
est une route candidate par défaut, c'est pourquoi il est sélectionné comme passerelle de
dernier recours.
R1# show ip route static
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
S* 0.0.0.0/0 [1/0] via 172.16.2.2
R1#
Vérifier la route statique par défaut d'IPv6
L'exemple indique la sortie de la commande show ipv6 route static pour afficher le contenu
de la table de routage.
R1# show ipv6 route static
Destination

a - Application
S ::/0 [1/0]
R1#
Notez que la configuration statique des routes par défaut utilise le masque /0 pour les routes
par défaut IPv4 et le préfixe ::/0 pour les routes par défaut IPv6. Souvenez-vous que le
masque sous-réseau et IPv6 prefix-length dans une table de routage détermine le nombre de
bits devant correspondre entre l’adresse IP de destination du paquet et la route dans la table de
routage. Un masque /0 ou le préfixe ::/0 indique qu'aucun des bits ne doit correspondre. Tant
qu'il n'y a pas de correspondance plus spécifique, la route statique par défaut correspond à
tous les paquets.
15.3.4
Contrôleur de syntaxe - Configuration de

routes statiques par défaut
Configurez et vérifiez les routes statiques par défaut en fonction des exigences spécifiées.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.12001:db8:acad:3::/642001:db8:acad:2::/642001
:db8:acad:1::/642001:db8:cafe:1::/642001:db8:cafe:2::/64
Configurer une route statique IPv4 par défaut sur R3 pour atteindre tous les réseaux distants.
Utiliser l'adresse IPv4 du tronçon suivant comme argument.
R3(config)#
15.2
Configuration de routes statiques IP

15.4

flottantes
15.4.1
Routes statiques flottantes

Comme pour les autres rubriques de ce module, vous apprendrez comment configurer les routes
statiques flottantes IPv4 et IPv6 et quand les utiliser.
Un autre type de route statique est une route statique flottante. Les routes statiques flottantes
sont des routes statiques utilisées pour fournir un chemin de secours à une route statique ou une
route dynamique principale, en cas de défaillance de la liaison. La route statique flottante est
utilisée uniquement lorsque la route principale n'est pas disponible.
Pour cela, la route statique flottante est configurée avec une distance administrative plus élevée
que la route principale. La distance administrative indique la fiabilité d’une route. Si plusieurs
chemins vers la destination existent, le routeur choisira le chemin présentant la plus courte
distance administrative.
Par exemple, supposons qu'un administrateur souhaite créer une route statique flottante de
secours pour une route apprise par le protocole EIGRP. La route statique flottante doit être
configurée avec une distance administrative plus élevée que le protocole EIGRP. L’EIGRP
possède une distance administrative de 90. Si la route statique flottante est configurée avec une
distance administrative de 95, la route dynamique associée au protocole EIGRP est préférée à la
route statique flottante. Si la route associée au protocole EIGRP est perdue, la route statique
flottante est utilisée à la place.
Dans la figure, le routeur Filiale transfère généralement l'ensemble du trafic vers le routeur HQ
via la liaison WAN privée. Dans cet exemple, les routeurs échangent des informations de routage
au moyen du protocole EIGRP. Une route statique flottante, avec une distance administrative
supérieure ou égale à 91, peut être configurée pour servir de route de secours. Si la liaison WAN
privée échoue et que la route EIGRP disparaît de la table de routage, le routeur sélectionne la
route statique flottante comme meilleur chemin pour accéder au réseau local HQ.
Le graphique montre deux routeurs qui ont deux connexions série chacune à deux clouds
différents qui permettent la communication entre les routeurs. Sur la gauche, le premier routeur
est appelé Filiale et le second routeur est appelé HQ et est sur la droite. Les deux routeurs
utilisent S0/1/0 pour se connecter au cloud en haut de la topologie. Ce cloud a les mots WAN
privé au centre de celui-ci avec l'adresse 172.16.1.0/30. Les deux routeurs utilisent S0/1/1 pour
se connecter au cloud inférieur. Ce cloud a un routeur appelé FAI. Le cloud contient le mot
Internet. La connexion du routeur de la Filialee au FAI est 209.165.200.240/29 avec .242 du côté
du Filialee et .241 du côté du FAI. La connexion du routeur du HQ au FAI est le
209.165.200.224/29 avec .226 du côté du HQ et .225 du côté du FAI. Il y a une ligne courbe
violette qui s'étend du routeur du Filialee au-dessus du cloud WAN privé et qui pointe vers le
routeur du HQ. Il y a le numéro 1 dans un cercle sur le côté Filiale. Dans une boîte violette par le
routeur Filiale indique : Je préfère me connecter au routeur HQ en utilisant la liaison WAN privée.
En bas se trouve une autre ligne courbe qui est grise et va du routeur Filiale sous le cloud
Internet et pointe au routeur HQ. Il y a le numéro 2 dans un cercle sur le côté Filiale. Dans une
boîte grise près du routeur Filiale indique : Cependant, si jamais cette liaison défaille, je peux
utiliser une route statique flottante se connectant à l'internet comme secours. Au bas du
diagramme de topologie se trouvent deux instructions numérotées: 1. Une route apprise par le
routage dynamique est préférable. 2. Si une route dynamique est perdue, la route statique
flottante sera utilisée.
172.16.1.0/30209.165.200.224/29209.165.200.240/29.225.241S0/1/1.242S0/1/0.2.1S0/1/1.226S
0/1/012
Je préfère me connecter au routeur HQ en utilisant la liaison WAN privée.Toutefois, dans l'éventualité où la liaison
échoue, je peux utiliser une route statique flottante pour me connecter à internet comme solution de
secours. FilialeWAN privéInternetFAIHQ
1. Il est préférable d'utiliser une route appris par le biais d'un routage dynamique.
2. Si une route dynamique est perdue, la route statique flottante sera utilisée.
Par défaut, les routes statiques ont une distance administrative égale à 1, ce qui les rend
préférables aux routes acquises à partir des protocoles de routage dynamique. Par exemple, les
distances administratives de certains protocoles de routage dynamique des passerelles
intérieures communes sont :
 EIGRP = 90
 OSPF = 110
 IS-IS = 115
La distance administrative d'une route statique peut être augmentée pour rendre la route moins
souhaitable que celle d'une autre route statique ou d'une route apprise via un protocole de
routage dynamique. De cette manière, la route statique « flotte » et n'est pas utilisée lorsque la
route dont la distance administrative est meilleure est active. Toutefois, si la route préférée est
perdue, la route statique flottante peut relayer, et le trafic peut être envoyé par cette autre route.
15.4.2

d'IPv4 et IPv6
Les routes statiques flottantes IP sont configurées à l'aide de l'argument distance pour spécifier
une distance administrative. Si aucune distance administrative n'est configurée, la valeur par
défaut (1) est utilisée.
Reportez-vous à la topologie dans la figure et les commandes ip route et ipv6 route exécutées
sur R1. Dans ce scénario, la route par défaut préférentielle depuis le routeur R1 est celle vers le
routeur R2. La connexion vers R3 doit être utilisée comme route de secours uniquement.
R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1. Le est
maintenant un troisième lien série entre l'interface R1s S0/1/1 avec une adresse de .1 et
l'interface R3s S0/1/0 avec une adresse de .2. Ce lien a l'adresse IPv4 10.10.0/24 et l'adresse
IPv6 2001:db8:feed:10::/64. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il
y a un commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le
réseau local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
l'exception des deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2
puisque .1 est pris la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux
PC. L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et l'adresse
IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24 et l'adresse
IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4 192.168.2.0/24 et
l'adressage IPv6 2001:db8:cafe:2::/64.
R3.1PC2PC1PC3R2.1172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0
/0/0S0/1/1S0/1/0G0/0/0G0/0/0.2.2.1.1.1S0/1/0S0/1/110.10.10.0/24.1.2R1S0/1/0S0/1/12001:db8:
acad:1::/642001:db8:feed:10::/642001:db8:acad:2::/642001:db8:cafe:2::/642001:db8:cafe:1::/642
001:db8:acad:3::/64
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
R1(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 5
R1(config)# ipv6 route ::/0 2001:db8:acad:2::2
R1(config)# ipv6 route ::/0 2001:db8:feed:10::2 5
R1 est configuré avec une route statique IPv4 et IPv6 par défaut pointant vers R2. Étant donné
qu'aucune distance administrative n'est configurée, la valeur par défaut (1) est utilisée pour ces
routes statiques. R1 est également configuré avec une route statique flottante IPv4 et IPv6 par
défaut pointant vers R3 avec une distance administrative de 5. Cette valeur est supérieure à la
valeur par défaut de 1, par conséquent cette route flotte et n’est pas inscrite dans la table de
routage, sauf si la route préférentielle défaille.
Le résultat de show ip route et show ipv6 route vérifie que les routes par défaut vers R2 est
installée dans la table de routage. Notez que la route statique flottante IPv4 vers R3 n'est pas
présentée dans la table de routage.

S* 0.0.0.0/0 [1/0] via 172.16.2.2
R1# show ipv6 route static | begin S :
S ::/0 [1/0]
R1#
Utilisez la commande show run pour vérifier que les routes statiques flottantes sont dans la
configuration. Par exemple, la sortie de commande suivante vérifie que les deux routes statiques
par défaut d'IPv6 sont dans la configuration en cours.
R1# show run | include ipv6 route
ipv6 route ::/0 2001:db8:feed:10::2 5
ipv6 route ::/0 2001:db8:acad:2::2
R1#
15.4.3
Tester la route statique flottante

Dans la figure, que se passerait-il si R2 défaillait ?
R3.1PC2PC1PC3R2.1172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0
/0/0S0/1/1S0/1/0G0/0/0G0/0/0.2.2.1.1.1S0/1/1S0/1/0S0/1/110.10.10.0/24.1.2R1S0/1/02001:db8:
001:db8:acad:3::/64
Pour simuler cette panne, les deux interfaces série de R2 sont désactivées, comme illustré dans
la configuration.
R2(config)# interface s0/1/0
R2(config-if)# shut
*Sep 18 23:36:27.000: %LINK-5-CHANGED: Interface Serial0/1/0, changed
Serial0/1/0, changed state to down
R2(config-if)# interface s0/1/1
R2(config-if)# shut
*Sep 18 23:36:41.598: %LINK-5-CHANGED: Interface Serial0/1/1, changed
Vous remarquerez que R1 génère automatiquement des messages indiquant que l'interface série
vers R2 est en panne.
R1#
*Sep 18 23:35:48.810: %LINK-3-UPDOWN: Interface Serial0/1/0, changed
state to down
R1#
R1#
Un regard sur les tables de routage IP de R1 vérifie que les routes statiques par défaut flottantes
sont maintenant installées comme routes par défaut et pointent vers R3 comme routeur de
tronçon suivant.
S* 0.0.0.0/0 [5/0] via 10.10.10.2
R1# show ipv6 route static | begin ::
S ::/0 [5/0]
via 2001:DB8:FEED:10::2
R1#
15.4.4
Contrôleur de syntaxe - Configuration d'une

route statique flottante
Configurez et vérifiez les routes statiques flottants en fonction des exigences spécifiées.
R3.1PC2PC1PC3R2.1172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0
/0/0S0/1/1S0/1/0G0/0/0G0/0/0.2.2.1.1.1S0/1/1S0/1/0S0/1/110.10.10.0/24.1.2R1S0/1/02001:db8:
001:db8:acad:3::/64
Configurez une route statique IPv4 par défaut sur R3 avec l'adresse de tronçon suivant
192.168.1.2.
R3(config)#
15.3

15.5
Configuration de rou
Configuration de routes d'hôtes

statiques
15.5.1
Routes d’hôtes
Cette rubrique explique comment configurer une route d'hôte statique IPv4 et IPv6 et quand
les utiliser.
Une route d’hôte est une adresse IPv4 avec un masque de 32 bits ou une adresse IPv6 avec un
masque de 128 bits. On peut citer les trois façons d'ajouter une route d'hôte à la table de
routage:
 Installée automatiquement si une adresse IP est configurée sur le routeur (comme illustré dans les
Figures)
 Configurée comme route d'hôte statique
 Route d'hôte obtenue automatiquement au moyen d'autres méthodes (abordées dans des cours
ultérieurs)
15.5.2
Routes d’hôtes installées automatiquement

Cisco IOS installe automatiquement une route d'hôte, également appelée route d'hôte local,
lorsqu'une adresse d'interface est configurée sur le routeur. Une route d'hôte permet
d'optimiser le processus d'envoi des paquets au routeur, par rapport au transfert de paquets.
Elle s'ajoute à la route connectée, désignée par la C dans la table de routage de l'adresse
réseau de l'interface.
Lorsqu'une interface active sur un routeur est configurée avec une adresse IP, une route d'hôte
local est automatiquement ajoutée à la table de routage. Les routes locales sont désignées
par L dans la table de routage.
Par exemple, consultez la topologie dans la figure.
Le graphique montre une topologie de deux routeurs. Sur la gauche se trouve le routeur FAI
connecté par un câble série au routeur Filiale sur la droite. Le FAI a une connexion à un
périphérique appelé Serveur sur le côté gauche. Le serveur a une adresse IPv4 de
209.165.200.238/27 et une adresse IPv6 de 2001:db8:acad:2::238/64. Le lien série entre les
deux routeurs a une adresse IPv6 de 2001:db8:acad:1::/64 et une adresse IPv4 de
198.51.100.0/30. Le routeur FAI a les adresses IP de .2,::2 et fe80::2 attribuées à son
interface. Le routeur Filiale a les adresses IP .1, ::1, et fe80::1 qui lui sont attribuées.
209.165.200.238/272001:db8:acad:2::238/64S0/1/0fe80::22001:db8:acad:1:/64198.51.100.0/30.2::2
.1::1ISP
ServeurBranch
Les adresses IP attribuées à l'interface de routeur Branch S0/1/0 sont 198.51.100.1/30 et

2001:db8:acad:1::1/64. Les routes locales pour l'interface sont installées par l'IOS dans les
tables de routage IPv4 et IPv6, comme indiqué dans l'exemple.
Branch# show ip route | begin Gateway
Branch# show ipv6 route | begin ::
C 2001:DB8:ACAD:1::/64 [0/0]

L 2001:DB8:ACAD:1::1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive

15.5.3
Route d'hôte statique

Une route d'hôte peut prendre la forme d'une route statique configurée manuellement pour
diriger le trafic vers un périphérique de destination spécifique, tel que le serveur présenté dans
la figure. La route statique utilise une adresse IP de destination et un masque 255.255.255.255
(/32) pour les routes d'hôte IPv4 et une longueur de préfixe /128 pour les routes d'hôte IPv6.
Le graphique montre une topologie de deux routeurs. Sur la gauche se trouve le routeur FAI
interface. Le routeur Branch a les adresses IP .1, ::1, et fe80::1 qui lui sont attribuées.
209.165.200.238/272001:db8:acad:2::238/64.2::2S0/1/0fe80::22001:db8:acad:1::/64198.51.100.0/3
0.1::1ISP
ServeurBranch
15.5.4

L'exemple montre la configuration de routage d'hôte statique IPv4 et IPv6 sur le routeur
Branch pour accéder au serveur.
Branch(config)# ip route 209.165.200.238 255.255.255.255 198.51.100.2
Branch(config)# ipv6 route 2001:db8:acad:2::238/128 2001:db8:acad:1::2
Branch(config)# exit
Branch#
15.5.5
Vérifier les routes de l'hôte statique
Un examen des tables de routage IPv4 et IPv6 vérifie que les routes sont actives.
Branch# show ip route | begin Gateway
209.165.200.0/32 is subnetted, 1 subnets
S 209.165.200.238 [1/0] via 198.51.100.2
Branch# show ipv6 route
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
Branch#
15.5.6
Configurer la route de l'hôte statique IPv6 avec

le tronçon suivant link-local
Pour les routes statiques IPv6, l'adresse de tronçon suivant peut être l'adresse link-local du
routeur adjacent. Cependant, vous devez spécifier un type et un numéro d'interface lorsque
vous utilisez une adresse link-local comme tronçon suivant, comme illustré dans l'exemple.
Tout d'abord, la route d'hôte statique IPv6 d'origine est supprimée, puis une route entièrement
spécifiée configurée avec l'adresse IPv6 du serveur et l'adresse link-local IPv6 du routeur ISP.
Branch(config)# no ipv6 route 2001:db8:acad:2::238/128 2001:db8:acad:1::2
Branch(config)# ipv6 route 2001:db8:acad:2::238/128 serial 0/1/0 fe80::2
Branch# show ipv6 route | begin ::
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
via FE80::2, Serial0/1/0
Branch#
15.5.7
Contrôleur de syntaxe - Configuration des

routes d'hôtes statiques
Configurez et vérifiez les routes d'hôte statiques en fonction des exigences spécifiées
Le graphique montre une topologie de deux routeurs. Sur la gauche se trouve le routeur ISP
interface. Le routeur Filiale a les adresses IP .1, ::1, et fe80::1 qui lui sont attribuées.
209.165.200.238/272001:db8:acad:2::238/64S0/1/0fe80::22001:db8:acad:1::/64198.51.100.0/30.2::
2.1::1ISP
ServeurBranch
Affichez les tables de routage sur le routeur de la filiale.
 Exécutez la commande pour afficher la table de routage IPv4.

 Exécutez la commande pour afficher la table de routage IPv6.
Branch#
15.4

15.6

15.6.1
Packet Tracer - Configuration de routes

statiques et par défaut IPv4 et IPv6
Dans cette activité récapitulative Packet Tracer, vous allez configurer de routes statiques,
statiques par défaut et flottantes pour les protocoles IPv4 et IPv6.
Configuration des routes statiques et par défaut IPv4 et IPv6
Configuration des routes statiques et par défaut IPv4 et IPv6

15.6.2
Travaux pratiques - Configuration de routes

 Partie 1: Créer le réseau et configurer les paramètres de base des périphériques

 Partie 2: Configurer et vérifier l'adressage IP et IPv6 sur R1 et R2
 Partie 3: Configurer et vérifier le routage statique et par défaut pour IPv4 sur R1 et R2
 Partie 4: Configurer et vérifier le routage statique et par défaut pour IPv6 sur R1 et R2
Configuration de routes statiques et par défaut IPv4 et IPv6

15.6.3
Routes Statiques
Les routes statiques peuvent être configurées pour IPv4 et IPv6. Les deux protocoles prennent
en charge les types de routes statiques suivants: route statique standard, route statique par
défaut, route statique flottante et route récapitulative. Les routes statiques sont configurées en
utilisant les commandes de configuration globale ip route et ipv6 route. En configurant un
route statique, le tronçon suivant peut être identifié par une adresse IP, une interface de sortie,
ou les deux. La manière dont la destination est spécifiée crée un des trois types de routes
statiques qui sont : tronçon suivant, directement connecté et entièrement spécifié. Les routes
statiques IPv4 sont configurées à l'aide de la commande de configuration globale suivante: ip
route network-address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Les
routes statiques IPv6 sont configurées à l'aide de la commande de configuration globale
suivante: ipv6 route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-
address]} [distance]. La commande pour initialiser une table de routage IPv4 est show ip
route | begin Gateway. La commande pour initialiser une table de routage IPv6 est show
ipv6 route | begin C.
Configurations de routes statiques IP
Dans une route statique de tronçon suivant, seule l'adresse IP de tronçon suivant est spécifiée.
L’interface de sortie est dérivée du tronçon suivant. Lors de la configuration d'une route
statique, une autre possibilité consiste à utiliser l'interface de sortie pour spécifier l'adresse du
tronçon suivant. Les routes statiques directement connectées ne doivent être utilisées qu'avec
des interfaces série point à point. Dans une route statique entièrement spécifiée, l’interface de
sortie et l’adresse IP de tronçon suivant sont spécifiées. Cette forme de route statique est
utilisée lorsque l’interface de sortie est une interface à accès multiple et il est nécessaire
d’identifier explicitement le tronçon suivant. Le tronçon suivant doit être connecté
directement à l'interface de sortie spécifique. Dans une route statique entièrement spécifiée
d'IPv6, l’interface de sortie et l’adresse IPv6 de tronçon suivant sont les deux spécifiées. En
utilisant show ip route, show ipv6 route, ping et traceroute, les autres commandes utiles
pour vérifier les routes statiques incluent: show ip route static, show ip route network,
et show running-config | section ip route. Remplacez ip par ipv6 pour les versions IPv6 de
la commande.
Une route par défaut est une route statique qui correspond à tous les paquets. Une route par
défaut ne nécessite pas un bit le plus à gauche pour une correspondance entre la route par
défaut et l’adresse IP de destination. Les routes statiques par défaut sont couramment utilisées
lors de la connexion d'un routeur périphérique à un réseau de fournisseur de services, et d'un
routeur d'extrémité. La syntaxe de commande pour une route statique par défaut est similaire
à toute autre route statique, à l'exception que l'adresse réseau est 0.0.0.0 et que le masque de
sous-réseau est 0.0.0.0. La 0.0.0.0 0.0.0.0 de la route correspondra à n'importe quelle adresse
réseau. La syntaxe des commandes pour une route statique par défaut IPv6 est similaire à
celle de toute autre route statique d'IPv6, excepté que ipv6-prefix/prefix-length est ::/0 qui
correspond à tout les routes. Pour vérifier une route statique par défaut IPv4, utilisez la
commande show ip route static . Pour IPV6, utilisez la commande show ipv6 route static .
Configuration de routes statiques flottante
Les routes statiques flottantes sont de routes statiques utilisées pour fournir un chemin de
secours à une route statique ou une route dynamique principale, en cas de défaillance de la
liaison. La route statique flottante est configurée avec une distance administrative plus élevée
que la route principale. Par défaut, les routes statiques ont une distance administrative égale à
1, ce qui les rend préférables aux routes acquises à partir des protocoles de routage
dynamique. Les distances administratives de certains protocoles de routage dynamique de
passerelle intérieure communs sont EIGRP = 90, OSPF = 110 et IS-IS = 115. Les routes
statiques flottantes IP sont configurées à l'aide de l'argument distance pour spécifier une
distance administrative. Si aucune distance administrative n'est configurée, la valeur par
défaut (1) est utilisée. Le résultat de show ip route et show ipv6 route vérifie que les routes
par défaut est installée dans la table de routage.
Une route d’hôte est une adresse IPv4 avec un masque de 32 bits ou une adresse IPv6 avec un
masque de 128 bits. Il existe trois façons d'ajouter une route d'hôte à la table de routage:
installé automatiquement lorsqu'une adresse IP est configurée sur le routeur, configuré comme
route hôte statique ou obtenu automatiquement par d'autres méthodes qui ne sont pas abordées
dans ce module. Cisco IOS installe automatiquement une route d'hôte, également appelée
route d'hôte local, lorsqu'une adresse d'interface est configurée sur le routeur. Une route d'hôte
peut prendre la forme d'une route statique configurée manuellement pour diriger le trafic vers
un périphérique de destination spécifique. Pour les routes statiques IPv6, l'adresse de tronçon
suivant peut être l'adresse link-local du routeur adjacent; toutefois, vous devez spécifier un
type d'interface et un numéro d'interface lorsque vous utilisez une adresse link-local comme
tronçon suivant. Tout d'abord, la route d'hôte statique IPv6 d'origine est supprimée, puis une
route entièrement spécifiée est configurée avec l'adresse IPv6 du serveur et l'adresse link-local
IPv6 du routeur FAI.
15.6.4
Questionnaire de Module - Routage statique IP

1.
Un administrateur réseau configure un routeur par la commande ip route 0.0.0.0 0.0.0.0
209.165.200.226. Quel est l'objectif de cette commande?
pour fournir une route pour transférer des paquets pour lesquels il n'y a pas de route dans la
table de routage
pour transférer tous les paquets vers le périphérique avec l'adresse IP 209.165.200.226
pour ajouter une route dynamique pour le réseau de destination 0.0.0.0 à la table de routage
pour transférer les paquets destinés au réseau 0.0.0.0 vers le périphérique avec l'adresse IP
209.165.200.226
2. Quel type de route statique est configuré sur un routeur utilise uniquement l'interface de
sortie?
Route statique récursive
Route statique connectée directement
Route statique entièrement spécifiée

3. Un administrateur réseau utilise la commande ip route 172.18.0.0 255.255.0.0 S0/0/1 pour
configurer une route statique flottante sur un routeur. Cette route fonctionnera comme une
route de secours pour atteindre le réseau appris EIGRP 172.18.0.0/16. Après cette
configuration, la route EIGRP est supprimé de la table de routage même si EIGRP fonctionne
toujours correctement. Pourquoi la route statique ne fonctionne-t-elle pas comme prévu?
Le masque de destination est incorrectement configuré.
Le réseau de destination est incorrectement configuré.
L'adresse IP du voisin du tronçon suivant n'est pas configurée.
La valeur de distance administrative n'est pas assez élevée sur la route statique.
4. Quel type de route statique est créé lorsque l'adresse IP du tronçon suivant et l'interface de
sortie sont spécifiées ?
route statique flottante
Route statique entièrement spécifiée
Route statique récursive
Route statique connectée directement

5. Quelle est la syntaxe correcte d’une route statique flottante?
ip route 172.16.0.0 255.248.0.0 10.0.0.1
ip route 209.165.200.228 255.255.255.248 10.0.0.1 120
ip route 0.0.0.0 0.0.0.0 serial 0/0/0
ip route 209.165.200.228 255.255.255.248 serial 0/0/0

6. Quelle instruction de route statique affiche une route statique IPv6 récursive ?
ipv6 route 2001:db8:cafe:1::/56 2001:db8:1000:10::1
ipv6 route 2001:db8:cafe:1::/56 S0/0/0
ipv6 route 0::/0 S0/0/0
ipv6 route 2001:db8:cafe:1::/56 S0/0/0 2001:db8:1000:10::1
ipv6 route 0::/0 S0/0/0 254

7. Un administrateur réseau configure une route pour transférer des paquets vers un serveur Web
spécifique. Quel type de route doit être configuré par l'administrateur?
Une route OSPF
Une route statique dont la distance administrative est supérieure à 1
Une route EIGRP
Une route par défaut
Une route d'hôte

8. Quelle commande permet de créer une route par défaut IPv6 valide?
ipv6 route ::/128 2001:db8:acad:1::1
ipv6 route :: /0 2001:db8:acad:2። a
ipv6 route 2001:db8:acad:1። /64። 1
ipv6 route :: /0 fe80። 1

9. Quelle est la caractéristique d'une route statique par défaut?
Elle utilise une adresse de réseau unique pour envoyer plusieurs routes statiques à une
adresse de destination.
Elle est configurée avec une distance administrative plus élevée que le protocole de routage
dynamique initial.
Elle identifie l’adresse IP passerelle à laquelle le routeur envoie tous les paquets d’IP pour
lesquels il n’a pas de route statique ou acquise.
Elle sauvegarde la route déjà découverte par un protocole de routage dynamique.

10. Quel est l'objectif d'une route statique flottante?
Il permet la connectivité à des destinations distantes qui ne sont pas contenues dans la table
de routage.
Il permet d'utiliser une connexion alternative lorsque le lien préféré défaille.
Il est couramment utilisé lorsqu'un protocole de routage dynamique n'est pas utilisé.
Il permet de récapituler les réseaux voisins.

11. Quelle route statique IPv6 sert comme une route de sauvegarde à une route dynamique
apprise via le protocole OSPF?
Router1(config)# ipv6 route 2001:db8:acad:1::/32 2001:db8:acad:6::2 100
Router1(config)# ipv6 route 2001:db8:acad:1::/32 2001:db8:acad:6::100
Router1(config)# ipv6 route 2001:db8:acad:1::/32 2001:db8:acad:6::2 200
Router1(config)# ipv6 route 2001:db8:acad:1::/32 gigabitethernet0/0

2001:db8:acad:6::100 100
12. Quelle commande, ou ensemble de commandes, serait utilisé pour déterminer si la
configuration suivante sur le routeur HQ fonctionne comme prévu?
ip route 0.0.0.0 0.0.0.0 Serial0/0/0

ip route 0.0.0.0 0.0.0.0 serial 0/1/0**
HQ# show ip interface brief
HQ# show ip route
HQ# ping 128.107.0.99

HQ# ping 64.100.0.5
HQ# traceroute 128.107.0.99
HQ(config)# interface serial 0/1/0

HQ(config-if)# shutdown
HQ(config-if)# end
HQ# show ip route
13. Quel type de route statique utilise généralement le paramètre distance dans la commande de
configuration globale ip route ?
Route statique récapitulative
route statique standard
⁪route statique flottante

14. Pourquoi une route statique flottante serait-elle configurée avec une distance administrative
supérieure à la distance administrative d'un protocole de routage dynamique qui s'exécute sur
le même routeur?
pour équilibrer la charge du trafic

pour servir comme passerelle de dernier recours
pour être la route prioritaire dans la table de routage
pour être utiliser comme route de secours

15. Quelle combinaison d'adresse réseau et de masque de sous-réseau utiliseriez-vous pour créer
une route statique par défaut qui correspond à n'importe quelle destination IPv4?
255.255.255.255 0.0.0.0
0.0.0.0 255.255.255.255
255.255.255.255 255.255.255.255
0.0.0.0 0.0.0.0
15.5

16.0
Introduction
16.0.1

Bienvenue au dépannage des routes statiques et par défaut !
Bien joué! Vous êtes arrivé au dernier module du cours de notions de base sur la
commutation, le routage et le sans fil v7.0 (SRWE). Ce cours vous a donné les connaissances
et les compétences approfondies dont vous avez besoin pour configurer des commutateurs et
des routeurs (y compris des périphériques sans fil) sur votre réseau en pleine croissance. Vous
êtes vraiment bon dans l'administration du réseau!
Mais qu'est-ce qui fait d'un bon administrateur de réseau un grand administrateur ? La
possibilité de dépanner efficacement. La meilleure façon d'acquérir des compétences de
dépannage réseau est simple : soyez toujours en mesure de dépanner. Dans ce module, vous
allez résoudre les problèmes des routes statiques et par défaut. Il y a un vérificateur de
syntaxe, un Packet Tracer et un atelier pratique où vous pouvez perfectionner vos
compétences de dépannage. Allons-y !
16.0.2

module?
Titre du module: Dépannage des routes statiques et par défaut
Objectif du module: Dépanner les configurations de routage statique et par défaut.
Légende du tableau
Traitement des paquets à l'aide de routes Expliquer comment un routeur traite les paquets
statiques lorsqu'une route statique est configuré
Dépannage de la configuration des routes Dépanner les problèmes courants de configuration

statiques et par défaut IPv4 de routes statiques et par défaut.
15.6

16.1
Traitement des paquets à l'aide de routes statiques
Traitement des paquets à l'aide de

routes statiques
16.1.1
Routes statiques et transfert de paquets

Avant de plonger dans la partie de dépannage de ce module, cette rubrique fournit un bref
aperçu de la façon dont les paquets sont transférés dans des routes statiques. Dans la figure,
cliquez sur le bouton Lecture pour lancer l'animation, dans laquelle PC1 envoie un paquet à
PC3 :
La figure est une animation représentant PC2 connecté à un commutateur sur le réseau
172.16.1.0/24. Le commutateur est ensuite connecté au routeur (R2) sur l'interface Gigabit
G0/0/0 avec une adresse de passerelle de .1. R2 a deux connexions série S0/1/0 et S0/1/1
connectées au routeur (R1) pour S0/1/0 et routeur (R3) sur la connexion S0/1/1. L'adresse
réseau de R1 à R2 est 172.16.2.0/14 et pour R2 à R3 c'est 192.181.1.0/24. Les adresses de
connexion série pour R2 sont .2 tandis que R1 et R3 sont .1. R1 est connecté via l'interface
Gigabit G0/0/0 à un commutateur sur un réseau avec l'adresse 172.16.3.0/24 avec PC1
connecté au commutateur. R3 a une connexion Gigabit à un commutateur sur le réseau
192.168.2.0/24 avec PC3 connecté au commutateur.
Ce qui suit décrit le processus de transfert de paquets avec des routes statiques, comme le
montre l'animation :
1. Le paquet arrive sur l'interface GigabitEthernet 0/0/0 de R1.

2. R1 n’a pas de route spécifique vers le réseau de destination, 192.168.2.0/24. Par conséquent, R1
utilise l'itinéraire statique par défaut.
3. R1 encapsule le paquet dans une nouvelle trame. Comme la liaison vers R2 est une liaison point à
point, R1 ajoute une adresse composée uniquement de 1 pour l’adresse de destination de couche 2.
4. La trame est transmise à partir de l'interface Serial 0/1/0. Le paquet arrive sur l'interface Serial 0/1/0
sur R2.
5. R2 désencapsule la trame et recherche une route vers la destination. R2 a une route statique vers
192.168.2.0/24 à partir de l'interface Serial 0/1/1.
6. R2 encapsule le paquet dans une nouvelle trame. Comme la liaison vers R3 est une liaison point à
point, R2 ajoute une adresse composée uniquement de 1 pour l'adresse de destination de couche 2.
7. La trame est transmise à partir de l'interface Serial 0/1/1. Le paquet arrive sur l'interface Serial 0/1/1
sur R3.
8. R3 désencapsule la trame et recherche une route vers la destination. R3 a une route connectée au
192.168.2.0/24 à partir de l'interface GigabitEthernet 0/0/0.
9. R3 recherche l'entrée 192.168.2.10 dans le tableau ARP afin de trouver l'adresse MAC (Media Access
Control) de couche 2 pour l'ordinateur PC3. Si aucune entrée n'existe, R3 envoie une demande de
protocole de résolution d'adresse (ARP) à partir de l'interface GigabitEthernet 0/0/0, et PC3 répond
avec une réponse ARP, qui inclut l'adresse MAC de PC3.
10. R3 encapsule le paquet dans une nouvelle trame avec l'adresse MAC de l'interface GigabitEthernet
0/0/0 comme adresse source de la couche 2, et l'adresse MAC du PC3 comme adresse MAC de
destination.
11. La trame est transmise à partir de l'interface GigabitEthernet 0/0/0. Le paquet arrive sur l'interface
de la carte réseau de PC3.
16.1.2
Vérifiez votre compréhension - Traitement des

paquets à l'aide de routes statiques
L'exposition montre le PC2 connecté à un commutateur du réseau 172.16.1.0/24. Le
commutateur est ensuite connecté au routeur (R2) sur l'interface Gigabit G0/0/0 avec une
adresse de passerelle de .1. R2 a deux connexions série S0/1/0 et S0/1/1 connectées au routeur
(R1) pour S0/1/0 et routeur (R3) sur la connexion S0/1/1. L'adresse réseau de R1 à R2 est
172.16.2.0/14 et pour R2 à R3 c'est 192.181.1.0/24. Les adresses de connexion série pour R2
sont .2 tandis que R1 et R3 sont .1. R1 est connecté via l'interface Gigabit G0/0/0 à un
commutateur sur un réseau avec l'adresse 172.16.3.0/24 avec PC1 connecté au commutateur.
R3 a une connexion Gigabit à un commutateur sur le réseau 192.168.2.0/24 avec PC3
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
Vérifiez votre compréhension du traitement des paquets à l'aide de routes statiques en

choisissant la MEILLEURE réponse aux questions suivantes.
1. Se référer à l'exposition. Vrai ou faux ? R1 doit encapsuler les paquets reçus dans de
nouvelles trames avant de les transférer à R2.
Vrai
Faux
2. Se référer à l'exposition. Vrai ou faux ? R2 transmettra les trames à R3 avec une adresse de
couche 2 composée uniquement de 1.
Vrai
Faux
3. Se référer à l'exposition. Quelle action prendra R3 pour transférer une trame s'il n'a pas
d'entrée dans la table ARP pour résoudre une adresse MAC de destination ?
envoie une demande DNS
Il abandonne la trame.
envoie une demande ARP
envoie une trame à la passerelle par défaut

16.0
Introduction
16.2
Dépannage de la configuration des routes statiques et par défaut IPv4
Dépannage de la configuration des

routes statiques et par défaut IPv4
16.2.1
Changements de réseau
Peu importe la façon dont vous configurez votre réseau, vous devrez être prêt à résoudre
certains problèmes. Les réseaux sont soumis à des événements susceptibles d'entraîner assez
fréquemment la modification de leur état : Par exemple, une interface peut échouer ou un
fournisseur de services supprime une connexion. Les liens peuvent être sursaturés ou un
administrateur peut entrer une configuration incorrecte.
Lorsqu’un réseau subit une modification, la connectivité risque d’être perdue. Les
administrateurs réseau sont responsables de l'identification et de la résolution du problème.
Pour trouver et résoudre ces problèmes, un administrateur réseau doit également connaître les
outils nécessaires vous permettant d'identifier les problèmes de routage rapidement.
16.2.2
Commandes communes de dépannage

Les commandes de dépannage communes de l'IOS sont les suivantes :
 ping
 traceroute
 show ip route
 show cdp neighbors detail
La figure montre la topologie utilisée pour démontrer ces commandes.
La figure représente PC2 connecté à un commutateur sur le réseau 172.16.1.0/24. Le

R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
Cliquez sur chaque bouton pour obtenir un exemple et une explication de ces commandes
courantes de dépannage.
ping
traceroute
show ip route
show cdp neighbors
ping
L'exemple montre le résultat d'un ping étendu de l'interface source de R1 à l'interface LAN de
R3. Une requête ping étendue est une version améliorée de l’utilitaire ping. Une requête ping
étendue vous permet de spécifier l'adresse IP source pour les paquets ping.
R1# ping 192.168.2.1 source 172.16.3.1
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/5 ms
R1#
16.2.3
Résolution d'un problème de connectivité

Trouver un itinéraire manquant (ou mal configuré) est un processus relativement simple si les
bons outils sont utilisés de manière méthodique.
Par exemple, l'utilisateur du PC1 signale qu'il ne peut pas accéder aux ressources sur le réseau
local R3. Cela peut être confirmé en envoyant un ping à l'interface LAN de R3 en utilisant
l'interface LAN de R1 comme source. Encore une fois, nous allons utiliser la topologie de la
figure pour démontrer comment dépanner ce problème de connectivité.
L'exposition montre le PC2 connecté à un commutateur du réseau 172.16.1.0/24. Le

R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
Cliquez sur chaque bouton pour voir comment les commandes de dépannage sont utilisées
pour résoudre un problème de connectivité.
Ping sur le réseau local distant
Ping sur le routeur Next-Hop (saut suivant)
Ping R3 LAN à partir de S0/1/0
Vérification de la table de routage
Corriger la configuration du routage statique R2
Vérifier que la nouvelle route statique est installée
Ping à nouveau sur le réseau local distant
Ping sur le réseau local distant
L'administrateur réseau peut tester la connectivité entre les deux réseaux locaux de R1 au lieu
de PC1. Cela peut être fait en approvisionnant le ping de l'interface G0/0/0 sur R1 à l'interface
G0/0/0 sur R3, comme indiqué dans l'exemple. Les résultats montrent qu'il n'y a aucune
connectivité entre ces réseaux locaux.
R1# ping 192.168.2.1 source g0/0/0
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.3.1

.....
Success rate is 0 percent (0/5)

16.2.4
Dépannage des routes statiques et par défaut

Dépannage des routes statiques et par défaut IPv4 en fonction des exigences spécifiées
La figure montre le PC2 connecté à un commutateur du réseau 172.16.1.0/24. Le

R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
Envoyez un ping depuis R1 à l'interface G0/0/0 sur R3.
R1#
16.1
Traitement des paquets à l'aide de routes statiques

16.3

16.3.1

Dans cette activité, vous dépannerez les routes statiques et par défaut et réparerez les erreurs
que vous trouverez.
 Dépannage de routes statiques IPv4.

 Dépannage de routes statiques IPv6.
 Configuration de routes statiques IPv4.
 Configuration de routes par défaut IPv4.
 Configuration de routes statiques IPv6.

16.3.2
Travaux pratiques - Dépannage des routes

 Part 1:Évaluer le fonctionnement du réseau

 Part 2: Recueillir des informations, créer un plan d'action et mettre en œuvre des corrections.


Résoudre les problèmes liés aux routes statiques et par défaut IPv4 et IPv6 - Mode physique
Résoudre les problèmes liés aux routes statiques et par défaut IPv4 et IPv6 - Mode
physique
Équipement de test
Dépannage des routeurs statiques et par défaut IPv4 et IPv6

16.3.3

Traitement des paquets avec des routes statiques
1. Le paquet arrive sur l'interface de R1.

2. R1 n'a pas de route spécifique vers le réseau de destination ; par conséquent, R1 utilise la route
statique par défaut.
3. R1 encapsule le paquet dans une nouvelle trame. Comme la liaison vers R2 est une liaison point
à point, R1 ajoute une adresse composée uniquement de 1 pour l’adresse de destination de
couche 2.
4. La trame est transmise à partir de l'interface appropriée. Le paquet arrive sur l'interface de R2.
5. R2 désencapsule la trame et recherche une route vers la destination. R2 a une route statique
vers le réseau de destination à partir de l'une de ses interfaces.
6. R2 encapsule le paquet dans une nouvelle trame. Comme la liaison vers R3 est une liaison point
à point, R2 ajoute une adresse composée uniquement de 1 pour l'adresse de destination de
couche 2.
7. La trame est transmise à partir de l'interface appropriée. Le paquet arrive sur l'interface de R3.
8. R3 désencapsule la trame et recherche une route vers la destination. R3 a une route connectée
au réseau de destination à partir de l'une de ses interfaces.
9. R3 recherche l'entrée de table ARP du réseau de destination pour trouver l'adresse MAC de
couche 2 pour PC3. Si aucune entrée n'existe, R3 envoie une demande de protocole de
résolution d'adresse (ARP) à partir de l'interface GigabitEthernet 0/0/0, et PC3 répond avec une
réponse ARP, qui inclut l'adresse MAC de PC3.
10. R3 encapsule le paquet dans une nouvelle trame avec l'adresse MAC de l'interface appropriée
comme adresse source de la couche 2 et l'adresse MAC du PC3 comme adresse MAC de
destination.
11. La trame est transmise à partir de l'interface appropriée. Le paquet arrive sur l'interface de la
carte réseau de PC3.
Dépannage de la configuration des routes statiques et par défaut d'IPv4
Les réseaux sont fréquemment soumis à des événements qui peuvent entraîner un changement
de leur statut. Une interface peut tomber en panne, ou un fournisseur de services interrompt une
connexion. Les liens peuvent être sursaturés ou un administrateur peut entrer une configuration
incorrecte. Les commandes de dépannage communes de l'IOS sont les suivantes :
 ping
 traceroute
 show ip route
 show cdp neighbors detail
16.3.4
Module Questionnaire - Dépannage des routes

statiques et par défaut
1.
Quelle séquence identifie correctement l'ordre des étapes qu'un routeur effectuera lorsqu'il reçoit
un paquet sur une interface Ethernet ?
1. Le routeur examine l'adresse MAC de destination.

2. Le routeur identifie le champ Type Ethernet.
3. Le routeur désencapsule la trame Ethernet.
4. Le routeur examine l'adresse IP de destination.




2. Quelles trois commandes de dépannage IOS peuvent aider à isoler les problèmes avec une route
statique ? (Choisissez trois propositions.)
show version
show arp
show ip route
tracert
ping
3. Un administrateur réseau a saisi une route statique sur un LAN Ethernet connecté à un routeur
adjacent. Cependant, la route ne figure pas dans la table de routage. Quelle commande
l'administrateur doit-il utiliser pour vérifier que l'interface de sortie est active ?
tracert
show ip route
show ip protocols
4. Une route statique a été configurée sur un routeur. Toutefois, le réseau de destination n'existe
plus. Que doit faire un administrateur pour supprimer l'itinéraire statique de la table de routage ?
Modifiez la distance administrative de cet itinéraire.
Rien. La route statique disparaîtra tout seul.
Supprimez l'itinéraire à l'aide de la commande no ip route .
Modifiez la mesure de routage pour cet itinéraire.

5. Quelle instruction décrit la séquence des processus exécutés par un routeur lorsqu'il reçoit un
paquet d'un hôte à livrer à un hôte sur un autre réseau ?
Il désencapsule le paquet, sélectionne le chemin approprié et encapsule le paquet pour le

transmettre à l'hôte de destination.
Il désencapsule le paquet et le transmet à l'hôte de destination.
Il reçoit le paquet et le transfère directement à l'hôte de destination.
Il sélectionne le chemin et le transfère vers l'hôte de destination.

6. Un ingénieur réseau émet la commande show cdp neighbor sur plusieurs périphériques réseau
au cours du processus de documentation réseau. Quel est l'objectif de cette commande ?
pour vérifier les adresses réseau qui sont attachées aux périphériques réseau
pour vérifier les réseaux annoncés par les routeurs voisins
pour vérifier la connectivité des PC connectés aux périphériques réseau
pour obtenir des informations sur les dispositifs Cisco directement connectés
7. Un administrateur réseau remarque qu'une route statique correctement saisie n'est pas dans la
table de routage. Quelles sont les deux commandes de routeur qu'un administrateur utiliserait
pour déterminer si l'interface de sortie est activée et si l'adresse du prochain saut est disponible ?
show ip protocols
tracert
show ip route
ping
8. Un administrateur réseau a entré la commande suivante :
ip route 192.168.10.64 255.255.255.192 serial0/0/1
Lorsque l'administrateur réseau saisit la commande show ip route , l'itinéraire n'est pas dans la
table de routage. Quelles opérations l’administrateur doit-il effectuer ensuite ?
Vérifier que le réseau 192.168.10.64 est actif dans l'infrastructure réseau.
Ressaisir la commande en utilisant un numéro de réseau plutôt qu'une adresse IP utilisable.
Vérifier que l'interface série 0/0/1 est active et disponible.

Ressaisir la commande en utilisant le masque approprié.
9. Que fera un routeur si aucune route par défaut n'est configurée et qu'un paquet doit être transmis
à un réseau de destination qui n'est pas répertorié dans la table de routage ?
il le supprimera
il le transmettra à un autre routeur
il le renverra à la source
10. Que signifie la lettre C à côté d'une entrée dans la sortie de la commande show ip route?
Il identifie un réseau qui est appris grâce à l'EIGRP.
Il identifie un réseau directement connecté au routeur.
Il identifie un réseau qui est une route statique.
Il identifie un réseau qui est appris par l'OSPF.

16.2
Dépannage de la configuration des routes statiq

Routage Cours Complet

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Routage Cours Complet

Transféré par

Droits d'auteur :

Formats disponibles

Pourquoi devrais-je suivre ce module ?

Bienvenue à la configuration de base des périphériques !

Qu'est-ce que je vais apprendre dans ce

Configurer les ports de commutateur pour répondre à

Configurer l'accès de gestion sécurisé sur un

Configurer les paramètres de base d'un routeur pour

Vérifier la connectivité entre deux réseaux qui sont

Les élèves utilisent généralement Packet Tracer pour:

 Se préparer à un examen de certification.

Étape 1. Connectez-vous à votre Espace étudiant dans la Cisco Networking Academy.

Vidéo - Premiers pas avec Cisco Packet Tracer

La commande Ouvrir des échantillons affiche un répertoire d'exemples prédéfinis de

La commande Quitter et Déconnexion supprimera les informations d'enregistrement de cette

Packet Tracer - Exploration en mode logique

Séquence de démarrage du commutateur

Commande boot system

S1(config)# boot system flash:/c2960-lanbasek9-mz.150-2.SE/c2960-

Le tableau définit chaque partie de la commande boot system.

boot La commande principale

flash: Périphérique de stockage

Indique si le système reçoit de l'énergie et fonctionne correctement. Si la LED est éteinte, le

Récupération après une panne de système

Étape 1. Connectez un PC par un câble de console au port de console du commutateur.

Par défaut, le commutateur tente de démarrer automatiquement en utilisant les informations de la

flashfs[0]: 2 files, 1 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories

flashfs[0]: Total bytes: 32514048

flashfs[0]: Bytes used: 11838464

flashfs[0]: Bytes available: 20675584

flashfs[0]: flashfs fsck took 10 seconds.

...done Initializing Flash.

switch: dir flash:

2 -rwx 11834846 c2960-lanbasek9-mz.150-2.SE8.bin

3 -rwx 2072 multiple-fs

Entrez la commande BOOT=flash pour modifier le chemin de la variable d'environnement BOOT

Les commandes du chargeur de démarrage prennent en charge l'initialisation du flash, le

Accès à la gestion des commutateurs

Exemple de configuration du commutateur

Configurer l'interface de gestion

TaskIOS CommandsEnter global configuration mode.S1# configureterminalEnter interface

Tâche Commandes IOS

Passer en mode de configuration globale. S1# configure terminal

Passer en mode de configuration d'interface pour SVI. S1(config)# interface

Activer l'interface de gestion. S1(config-if)# no

Repasser en mode d'exécution privilégié. S1(config-if)# end

Tâche Commandes IOS

Enregistrer la configuration en cours dans la configuration de S1# copy running-

Travaux pratiques - Configuration de base du

 Part 1: Câbler le réseau et vérifier la configuration par défaut du commutateur

Vous pouvez pratiquer ces compétences à l'aide du Packet Tracer ou de l'équipement de

Packet Tracer - Mode physique (PTPM)

Contrairement à la communication en duplex intégral, la communication en semi-duplex est

La figure illustre la communication duplex intégral et semi-duplex.

Configuration des ports de commutateur au

Le paramètre de bidirectionnalité et de vitesse d'un port de commutateur Cisco Catalyst 2960 ou

La commande d'activation de l'auto-MDIX est émise en mode de configuration de l'interface sur

S1(config-if)# mdix auto

Pour examiner le paramètre Auto-MDIX pour une interface spécifique, utilisez la

S1# show controllers ethernet-controller fa0/1 phy | include MDIX

Auto-MDIX : On [AdminState=1 Flags=0x00052248]

Commandes de vérification des commutateurs

 L'interface Fast Ethernet 0/18 est configurée avec le VLAN de gestion 99

S1# show running-config

Current configuration : 1466 bytes