Académique Documents
Professionnel Documents
Culture Documents
Bienvenue dans le premier module du CCNA : Notions de base sur la commutation, le routage et
le sans-fil ! Vous savez que les commutateurs et les routeurs sont livrés avec une configuration
intégrée, alors pourquoi devriez-vous apprendre à configurer davantage les commutateurs et les
routeurs ?
Imaginez que vous avez acheté un modèle de train. Après l'avoir installé, vous avez réalisé que
la voie n'était qu'une simple forme ovale et que les wagons ne circulaient que dans le sens des
aiguilles d'une montre. Vous voudrez peut-être que la piste soit une forme de huit avec un
passage supérieur. Vous voudrez peut-être avoir deux trains qui fonctionnent indépendamment
l'un de l'autre et sont capables de se déplacer dans des directions différentes. Comment as-tu pu
faire ça ? Vous devrez reconfigurer la piste et les contrôles. C'est la même chose avec les
périphériques réseau. En tant qu'administrateur réseau, vous avez besoin d'un contrôle détaillé
des périphériques de votre réseau. Cela signifie configurer avec précision les commutateurs et
les routeurs afin que votre réseau fasse ce que vous voulez qu'il fasse. Ce module propose de
nombreuses activités de vérification de syntaxe et de Pocket Tracer pour vous aider à développer
ces compétences. C'est parti !
1.0.2
Objectif du module: Configurer les appareils en utilisant les bonnes pratiques de sécurité.
Légende du tableau
Titre du rubrique Objectif du rubrique
Configuration d'un commutateur avec les Configurer les paramètres d'origine sur un
paramètres d'origine commutateur Cisco.
Packet Tracer est un outil de formation indispensable utilisé dans de nombreux cours de la Cisco
Networking Academy.
Pour obtenir et installer votre copie de Cisco Packet Tracer, suivez ces étapes :
Cliquez sur le bouton de lecture dans la vidéo pour voir une présentation détaillée du processus
de téléchargement et d'installation de Packet Tracer.
Play Video
1.0.4
Vous pouvez ajouter des périphériques et les connecter via des câbles ou sans fil.
Vous pouvez sélectionner, supprimer, inspecter, étiqueter et regrouper des composants au sein de
votre réseau.
Vous pouvez gérer votre réseau en ouvrant un réseau existant/échantillon, en enregistrant votre
réseau actuel et en modifiant votre profil utilisateur ou vos préférences.
Si vous avez utilisé un programme tel qu'un traitement de texte ou un tableur, vous êtes déjà
familiarisé avec les commandes du menu Fichier situées dans la barre de menu supérieure. Les
commandes Ouvrir, Enregistrer, Enregistrer sous et Quitter fonctionnent comme elles le feraient
pour n'importe quel programme, mais il existe deux commandes spéciales pour Packet Tracer.
Cliquez sur Lire dans la vidéo pour savoir comment utiliser les menus et comment créer votre
premier réseau Packet Tracer.
Play Video
1.0.5
La plupart des appareils de la filiale de Seward et du centre de données Warrenton sont déjà
déployés et configurés. Vous venez d'être embauché pour examiner les appareils et les réseaux
déployés. Il n'est pas important que vous compreniez tout ce que vous voyez et faites dans cette
activité. N'hésitez pas à explorer le réseau par vous-même. Si vous souhaitez poursuivre de
manière plus méthodique, procédez comme suit. Répondez de votre mieux aux questions.
1.1.1
Une fois qu'un commutateur Cisco est mis sous tension, il passe par la séquence de démarrage
suivante en cinq étapes :
Étape 1: Tout d'abord, le commutateur charge un programme auto-test de mise sous tension
(POST) stocké dans la ROM. POST vérifie le sous-système CPU. Il teste le processeur, la DRAM
et la partie du périphérique flash qui constitue le système de fichiers flash.
Étape 2: Le commutateur exécute ensuite le bootloader. Le chargeur de démarrage (boot loader)
est un petit programme stocké dans la ROM qui est exécuté immédiatement après la fin de
POST.
Étape 3: Le boot loader effectue une initialisation de bas niveau du CPU. Il initialise les registres
du processeur qui contrôlent l'emplacement auquel la mémoire physique est mappée, la quantité
de mémoire et sa vitesse.
Étape 4: Le boot loader initialise le système de fichiers flash sur la carte système.
Étape 5: Finalement, le chargeur de démarrage localise et charge dans la mémoire une image
par défaut du logiciel du système d'exploitation IOS et donne le contrôle du commutateur à l'IOS.
1.1.2
Le système d'exploitation IOS initialise ensuite les interfaces à l'aide des commandes Cisco IOS
figurant dans le fichier de configuration initiale. Le fichier startup-config est appelé config.text et
se trouve en flash.
Dans l'exemple, la variable d'environnement BOOT est définie à l'aide de la commande de mode
de configuration globale boot system. Notez que l'IOS se trouve dans un dossier distinct et que
le chemin d'accès au dossier est spécifié. Utilisez la commande show boot pour voir sur quoi le
fichier de démarrage IOS actuel est réglé.
lanbasek9-mz.150-2.SE.bin
Légende du tableau
Commande Définition
c2960-
lanbasek9- Le chemin d'accès au système de fichiers
mz.150-
2.SE/
c2960-
lanbasek9- Le nom du fichier IOS
mz.150-
2.SE.bin
1.1.3
Indicateurs LED de commutation
Les commutateurs Cisco Catalyst ont plusieurs témoins lumineux LED. Vous pouvez utiliser les
LED du commutateur pour surveiller rapidement l'activité et les performances du commutateur.
Les commutateurs de différents modèles et ensembles de fonctionnalités auront différentes LED
et leur emplacement sur le panneau avant de l'interrupteur peut également varier.
La figure montre les voyants du commutateur et le bouton Mode d'un commutateur Cisco
Catalyst 2960.
La figure montre les voyants LED, le bouton de mode et les ports situés sur le côté avant gauche
d'un commutateur. Les voyants LED numérotés de 1 à 6 de haut en bas sont: SYST, RPS,
STAT, DUPLX, SPEED et PoE. Sous les voyants LED et étiqueté 7 dans la figure se trouve le
bouton de mode. Au-dessus des ports de commutation et étiquetés 8 dans la figure sont des
LEDs de port.
Le bouton Mode (7 sur la figure) permet de basculer sur l'état du port, le duplex du port, la vitesse
du port et, si pris en charge, l'état Power over Ethernet (PoE) des voyants de port (8 sur la
figure).
Cliquez sur chaque bouton pour apprendre le but des indicateurs LED (1 à 6 dans la figure), et la
signification de leurs couleurs:
1 SYST
2 RPS
3 STAT
4 DUPLX
5 SPEED
6 PoE
SYST LED
1.1.4
Le chargeur de démarrage est accessible via une connexion à la console en suivant ces étapes :
Tapez help ou ? à l'invite du chargeur de démarrage pour afficher la liste des commandes
disponibles.
BOOT=flash:/c2960-lanbasek9-mz.122-55.SE7/c2960-lanbasek9-mz.122-
55.SE7.bin
(output omitted)
switch: flash_init
Initializing Flash...
Une fois l'initialisation du flash est terminée, vous pouvez entrer la commande dir flash: pour
visualiser les répertoires et les fichiers en flash, comme indiqué dans la sortie.
Directory of flash:/
switch: BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
switch: set
BOOT=flash:c2960-lanbasek9-mz.150-2.SE8.bin
(output omitted)
switch: boot
1.1.5
commutateur avec une connexion réseau à un routeur et une connexion par câble de console à
un PC hôte
2001:db8:acad:99::1/64172.17.99.1VLAN
99172.17.99.11/242001:db8:acad:99::11/64S1R1PC1R1
Câble console
1.1.6
Cliquez sur chaque bouton pour connaître les étapes à suivre pour configurer l'accès à la gestion
des commutateurs.
Étape 1
Étape 2
Étape 3
Étape 1
Depuis le mode de configuration de l'interface VLAN, une adresse IPv4 et un masque de sous-
réseau sont appliqués au SVI de gestion du commutateur.
Remarque: Le SVI pour VLAN 99 n'apparaîtra pas comme "up/up" jusqu'à ce que le VLAN 99
soit créé et qu'un appareil soit connecté à un port de commutation associé au VLAN 99.
Remarque: Le commutateur peut avoir besoin d'être configuré pour IPv6. Par exemple, avant de
pouvoir configurer l'adressage IPv6 sur un Cisco Catalyst 2960 fonctionnant sous IOS version
15.0, vous devrez entrer la commande de configuration globale sdm prefer dual-ipv4-and-ipv6
default et ensuite reload le commutateur.
S1(config-if)# ip
Configurer l'adresse IPv4 de l'interface de gestion. address 172.17.99.11
255.255.255.0
S1(config-if)# ipv6
Configurer l'adresse IPv6 de l'interface de gestion. address
2001:db8:acad:99::1/64
1.1.7
Communications bidirectionnelles
Les ports d'un commutateur peuvent être configurés indépendamment pour différents besoins.
Cette rubrique explique comment configurer les ports de commutateur, comment vérifier vos
configurations, les erreurs courantes et comment dépanner les problèmes de configuration de
commutateur.
Les communications bidirectionnelles simultanées augmentent la bande passante réelle, car les
deux extrémités de la connexion transmettent et reçoivent simultanément des données. C'est ce
qu'on appelle la communication bidirectionnelle et elle nécessite une microsegmentation. Un
réseau local microsegmenté est créé lorsqu'un port de commutateur n'a qu'un seul appareil
connecté et qu'il fonctionne en mode duplex intégral. Il n'y a pas de domaine de collision associé
à un port de commutateur fonctionnant en mode duplex intégral.
La figure illustre la différence entre les communications duplex intégral et semi-duplex entre deux
commutateurs. Le diagramme du haut montre en duplex intégral avec des flèches dans les deux
sens le lien entre les deux commutateurs avec le texte : Envoyer ET recevoir, simultanément. Le
diagramme du bas montre un semi-duplex avec une seule flèche passant d'un interrupteur à
l'autre avec le texte : Envoyer OU recevoir.
PC4
Communication bidirectionnelle simultanée (duplex intégral)Communication bidirectionnelle non
simultanéeEnvoyer ET recevoir simultanémentEnvoyer OU recevoir
L'Ethernet Gigabit et les cartes réseau de 10 Gb nécessitent des connexions duplex intégral (full-
duplex) pour fonctionner. En mode duplex intégral, le circuit de détection de collision sur le NIC
est désactivé. Le duplex intégral offre une efficacité de 100 % dans les deux sens (émission et
réception). Il en résulte un doublement de l'utilisation potentielle de la largeur de bande indiquée.
1.2.2
topologie du réseau montrant une connexion entre deux commutateurs fonctionnant en mode full-
duplex à 100/Mpbs
PC1PC2S1S2F0/18F0/1F0/1
Mode duplex intégral 100 Mbit/sMode duplex intégral 100 Mbit/s
Le tableau présente les commandes pour S1. Les mêmes commandes peuvent être appliquées à
S2.
TaskIOS CommandsEnter global configuration mode.S1# configureterminalEnter interface
configuration mode.S1(config)# interface FastEthernet 0/1Configure the interface
duplex.S1(config-if)# duplex fullConfigure the interface speed.S1(config-if)# speed
100Return to the privileged EXEC mode.S1(config-if)# endSave the running config to the
startup config.S1# copy running-config startup-config
Commandes
Tâche
IOS
S1#
Passer en mode de configuration globale. configure
terminal
S1(config)#
interface
Passer en mode de configuration d'interface. FastEthernet
0/1
S1(config-
Configurer le mode bidirectionnel d'interface. if)# duplex
full
S1(config-
Configurer la vitesse d'interface if)# speed
100
S1(config-
Repasser en mode d'exécution privilégié. if)# end
S1# copy
running-
Enregistrer la configuration en cours dans la configuration de démarrage. config
startup-
config
Lors du dépannage des problèmes de port de commutateur, il est important de vérifier les
paramètres duplex et de vitesse.
Remarque: Des paramètres incorrects relatifs au mode duplex ou au débit peuvent entraîner des
problèmes de connectivité. L'échec de l'auto-négociation crée des paramètres mal adaptés.
Tous les ports à fibre optique, tels que les ports 1000BASE-SX, ne fonctionnent qu'à une vitesse
prédéfinie et sont toujours en duplex intégral
1.2.3
Auto-MDIX
Jusqu'à récemment, certains types de câbles (droits ou croisés) étaient nécessaires pour le
raccordement des appareils. Connexions commutateur à commutateur ou commutateur à routeur
requises à l'aide de différents câbles Ethernet. L'utilisation de la fonction de croisement
automatique des interfaces dépendantes du support (auto-MDIX) sur une interface élimine ce
problème. Lorsque la fonction auto-MDIX est activée, l'interface détecte automatiquement le type
de connexion de câble requis (droit ou croisé) et configure la connexion de manière appropriée.
Pour la connexion aux commutateurs sans utiliser la fonctionnalité auto-MDIX, des câbles droits
doivent être utilisés pour connecter des périphériques tels que des serveurs, des stations de
travail ou des routeurs. Des câbles croisés doivent être utilisés pour se connecter à d'autres
commutateurs ou à des répéteurs.
Lorsque la fonction auto-MDIX est activée, le type de câble utilisé n'a pas d'importance.
L'interface s'adapte et fait en sorte d'assurer la communication. Sur les nouveaux commutateurs
Cisco, la commande du mode de configuration de l'interface mdix auto active cette fonction. Lors
de l'utilisation d'auto-MDIX sur une interface, la vitesse de l'interface et le duplex doivent être
réglés sur auto alors que la fonction fonctionne correctement.
Remarque: La fonction auto-MDIX est activée par défaut sur les commutateurs Catalyst 2960 et
Catalyst 3560 mais n'est pas disponible sur les anciens commutateurs Catalyst 2950 et Catalyst
3550.
S1# show
Afficher la configuration initiale actuelle. startup-
config
S1# show
Afficher la configuration courante. running-
config
S1# show
Afficher les informations sur le système de fichiers Flash. flash
S1# show
Afficher l'état matériel et logiciel du système. version
S1# show
Afficher l'historique de la commande saisie. history
S1# show ip
interface
[interface-
id]
OU
Afficher les informations IP d'une interface. S1# show
ipv6
interface
[interface-
id]
S1# show
mac-
address-
table
Afficher la table d'adresses MAC. OU
S1# show
mac
address-
table
1.2.5
Vérification de la configuration du port du
commutateur
La commande show running-config peut être utilisée pour vérifier que le commutateur a été
correctement configuré. À partir de la sortie abrégée de l'échantillon sur S1, quelques
informations importantes sont présentées dans la figure:
Building configuration...
interface FastEthernet0/18
(output omitted)
interface Vlan99
ip default-gateway 172.17.99.1
La commande show interfaces est une autre commande couramment utilisée, qui affiche des
informations d'état et de statistiques sur les interfaces réseau du commutateur. La
commande show interfaces est fréquemment utilisée lors de la configuration et de la
surveillance des périphériques réseau.
La première ligne de la sortie de la commande show interfaces fastEthernet 0/18 indique que
l'interface FastEthernet 0/18 est up/up, ce qui signifie qu'elle est opérationnelle. Plus bas, la
sortie montre que le duplex est complet et que la vitesse est de 100 Mbps.
1.2.6
Si l’interface est active et que le protocole de ligne est désactivé, un problème existe. Il peut y avoir
une incompatibilité de type d'encapsulation, l'interface à l'autre extrémité peut être désactivée ou il
peut y avoir un problème matériel.
Si le protocole de ligne et l'interface sont tous les deux en panne, un câble n'est pas connecté ou
un autre problème d'interface existe. Par exemple, dans une connexion dos à dos, l'autre extrémité
de la connexion peut être administrativement en panne. la commande* Si l'interface est
administrativement hors service, elle a été désactivée manuellement (la commande shutdown a
été émise) dans la configuration active
La sortie de la commande show interfaces affiche les compteurs et les statistiques pour
l'interface FastEtherNet0/18, comme indiqué dans l'exemple.
Certaines erreurs de support ne sont pas assez graves pour provoquer la défaillance du circuit,
mais causent des problèmes de performances réseau. Le tableau explique certaines de ces
erreurs courantes qui peuvent être détectées à l'aide de la commande show interfaces.
Error TypeDescriptionInput ErrorsTotal number of errors. Il comprend les runts, géants, pas de tampon, le
CRC, la trame, le dépassement et les comptes ignorés. Les paquets runts qui sont rejetées parce qu'elles
sont plus petites que la taille minimale du paquet pour le support. Par exemple, tout paquet Ethernet de
moins de 64 octets est considéré comme un runt. Les paquets géants qui sont rejetés parce qu'ils dépassent
la taille maximale du paquet pour le support. Par exemple, tout paquet Ethernet qui est supérieur à 1 518
octets est considéré comme un géant. Les erreurs CRC sont générées lorsque la somme de contrôle
calculée ne correspond pas à la somme de contrôle reçue. Somme des erreurs de sortie de toutes les erreurs
qui ont empêché la transmission finale des datagrammes hors de l'interface examinée. Nombre de
collisions de messages retransmis à cause d'une collision Ethernet. Collisions tardives Collision qui se
produit après que 512 bits de la trame ont été transmis.
Type d'erreur Description
Nombre total d'erreurs. Il comprend les runts, les géants, pas de tampon,
Erreurs en entrée
CRC, trame, dépassement et comptages ignorés.
Les paquets qui sont rejetés parce qu'ils sont plus petits que la taille
Trames incomplètes (Runts) minimale du paquet pour le support. Par exemple, tout paquet Ethernet de
moins de 64 octets est considéré comme un runt.
Les paquets qui sont rejetés parce qu'ils dépassent la taille maximale du
Trames géantes paquet pour le support. Par exemple, tout paquet Ethernet supérieur à 1 518
octets est considéré comme un géant.
Des erreurs CRC sont générées lorsque la somme de contrôle calculée n'est
CRC
pas la même que la somme de contrôle reçue.
Somme de toutes les erreurs qui ont empêché la transmission finale des
Erreurs en sortie
datagrammes de l'interface en cours d'examen.
Error TypeDescriptionInput ErrorsTotal number of errors. Il comprend les runts, géants, pas de tampon, le
CRC, la trame, le dépassement et les comptes ignorés. Les paquets runts qui sont rejetées parce qu'elles
sont plus petites que la taille minimale du paquet pour le support. Par exemple, tout paquet Ethernet de
moins de 64 octets est considéré comme un runt. Les paquets géants qui sont rejetés parce qu'ils dépassent
la taille maximale du paquet pour le support. Par exemple, tout paquet Ethernet qui est supérieur à 1 518
octets est considéré comme un géant. Les erreurs CRC sont générées lorsque la somme de contrôle
calculée ne correspond pas à la somme de contrôle reçue. Somme des erreurs de sortie de toutes les erreurs
qui ont empêché la transmission finale des datagrammes hors de l'interface examinée. Nombre de
collisions de messages retransmis à cause d'une collision Ethernet. Collisions tardives Collision qui se
produit après que 512 bits de la trame ont été transmis.
Type d'erreur Description
Une collision qui se produit après que 512 bits de la trame aient été
Collisions tardives
transmis.
1.2.7
Trames incomplètes(Runt Frames) -Les trames Ethernet qui sont plus courtes que la longueur
minimale autorisée de 64 octets sont appelées runts. Le mauvais fonctionnement des NIC est la
cause habituelle d'un nombre excessif de trames incomplètes, mais il peut aussi être causé par
des collisions.
Géants - Les trames Ethernet qui dépassent la taille maximale autorisée sont appelées géants.
Erreurs CRC - Sur les interfaces Ethernet et série, les erreurs CRC indiquent généralement une
erreur de support ou de câble. Parmi les causes les plus courantes, on compte les interférences
électriques, des connexions lâches ou endommagées, ou l'utilisation d'un câble incorrect. Si vous
constatez un nombre élevé d'erreurs CRC, la liaison présente un bruit trop important et vous
devriez vérifier le câble. Vous devez également rechercher les sources de bruit et les éliminer.
Les « erreurs en sortie » sont la somme de toutes les erreurs ayant empêché la transmission
finale des datagrammes vers l'interface examinée. Les erreurs de sortie signalées par la
commande show interfaces sont notamment les suivantes :
Collisions - Les collisions dans les opérations en semi-duplex sont normales. Cependant, vous ne
devez pas observer de collisions sur une interface configurée pour la communication
bidirectionnelle simultanée.
Collisions tardives - Une collision tardive est une collision qui se produit après que 512 bits de la
trame ont été transmis. Les longueurs de câble excessives sont la cause la plus fréquente de
collisions tardives. Une autre cause fréquente est la mauvaise configuration des duplex. Par
exemple, une extrémité d'une connexion peut être configurée pour le duplex intégral et l'autre pour
le semi-duplex. Vous verrez des collisions tardives sur l'interface configurée pour le semi-duplex.
Dans ce cas, vous devez configurer le même paramètre duplex aux deux extrémités. Un réseau
correctement conçu et configuré ne devrait jamais avoir de collisions tardives.
1.2.8
Dépannage des problèmes de la couche d'accès
au réseau
La plupart des problèmes qui affectent un réseau commuté sont rencontrés lors de
l'implémentation d'origine. Théoriquement, après son installation, un réseau continue à
fonctionner sans problèmes. Toutefois, le câblage est endommagé, les configurations changent
et de nouveaux périphériques sont connectés au commutateur qui nécessitent des modifications
de configuration du commutateur. Une maintenance continue et un dépannage de l'infrastructure
réseau sont nécessaires.
Pour dépanner les scénarios impliquant une absence de connexion, ou une mauvaise connexion,
entre un commutateur et un autre appareil, suivez le processus général indiqué dans la figure.
La figure est un diagramme de flux permettant de dépanner une mauvaise connexion ou aucune
connexion entre les périphériques réseau. L'étape supérieure consiste à réaliser un show
interfaces. Cela descend à la question, est-ce que l'interface est up? Si la réponse est non, cela
passe aux étapes suivantes : vérifier les câbles appropriés ; vérifier que les câbles et les
connecteurs ne sont pas endommagés ; et vérifier que la vitesse est correctement réglée aux
deux extrémités. Si la réponse est oui, cela passe aux étapes suivantes : existe-t-il des
indications d'EMI/bruit ? Si oui, retirez les sources ; et vérifiez que le paramètre duplex est
correctement réglé aux deux extrémités. Ceux-ci vont jusqu'à la question, est-ce que le problème
est résolu ? Si la réponse est non, l'étape suivante consiste à documenter le travail effectué et à
escalader le problème. Si la réponse est oui, alors terminé.
Lancez la commande show interfacesL'interface est-elle activée ?Le problème est-il résolu ?
OuiOuiNonNon
Vérifiez que vous utilisez les bons câbles. De plus, vérifiez que le câble et les connecteurs ne sont
pas endommagés. Si vous soupçonnez un câble défectueux ou incorrect, remplacez le câble.
Si l'interface est toujours en panne, le problème peut être dû à un décalage dans le réglage de la
vitesse. La vitesse d'une interface est généralement auto-négociée ; par conséquent, même si elle
est appliquée manuellement à une interface, l'interface de connexion devrait s'auto-négocier en
conséquence. Si un décalage de vitesse se produit à cause d'une mauvaise configuration, ou d'un
problème matériel ou logiciel, cela peut entraîner une panne de l'interface. Si vous suspectez un
problème, paramétrez manuellement une vitesse identique aux deux extrémités de la connexion.
Si l'interface est activée, mais que les problèmes de connectivité sont toujours présents :
En utilisant la commande show interfaces, vérifiez s'il y a des indications de bruit excessif. Les
indications peuvent inclure une augmentation des compteurs pour les runts, les géants et les
erreurs CRC. S'il y a un bruit excessif, d'abord trouver et supprimer la source du bruit, si possible.
Vérifiez également que le câble ne dépasse pas la longueur maximale du câble et vérifiez le type
de câble utilisé.
Si le bruit n'est pas un problème, vérifiez les collisions excessives. S'il y a des collisions ou des
collisions tardives, vérifiez les paramètres duplex aux deux extrémités de la connexion. Tout
comme le paramètre de vitesse, le paramètre duplex est généralement négocié automatiquement.
S'il semble y avoir un décalage entre les duplex, réglez manuellement le duplex sur plein aux deux
extrémités de la connexion.
1.2.9
Entrez dans le mode de configuration et réglez FastEthernet0/1 duplex, vitesse et MDIX sur auto
et enregistrez la configuration en NVRAM.
S1#
1.3.1
Opération Telnet
Il se peut que vous n'ayez pas toujours un accès direct à votre commutateur lorsque vous devez
le configurer. Vous devez pouvoir y accéder à distance et il est impératif que votre accès soit
sécurisé. Cette rubrique explique comment configurer Secure Shell (SSH) pour l'accès à
distance. Une activité de Packet Tracer vous donne l'occasion de l'essayer vous-même.
Telnet utilise le port TCP 23. Il s'agit d'un ancien protocole qui utilise la transmission non
sécurisée en texte clair à la fois de l'authentification de la connexion (nom d'utilisateur et mot de
passe) et des données transmises entre les dispositifs de communication. Un acteur de menace
peut surveiller les paquets à l'aide de Wireshark. Par exemple, dans la figure, l'acteur de menace
a capturé le nom d'utilisateur admin et le mot de passe ccna d'une session Telnet.
capture d'écran d'une session Telnet par WireShark montrant le nom d'utilisateur et le mot de
passe envoyés en texte clair
1.3.2
Opération SSH
Secure Shell (SSH) est un protocole sécurisé qui utilise le port TCP 22. Il fournit une connexion
de gestion sécurisée (cryptée) à un appareil distant. SSH doit remplacer Telnet pour les
connexions de gestion. SSH assure la sécurité des connexions à distance en fournissant un
cryptage fort lorsqu'un dispositif est authentifié (nom d'utilisateur et mot de passe) et également
pour les données transmises entre les dispositifs communicants.
Par exemple, la figure montre une capture Wireshark d'une session SSH. L'acteur de menace
peut suivre la session à l'aide de l'adresse IP du périphérique administrateur. Cependant,
contrairement à Telnet, avec SSH, le nom d'utilisateur et le mot de passe sont cryptés.
capture d'écran d'une session SSH par WireShark montrant que le nom d'utilisateur et le mot de
passe sont cryptés
1.3.3
Configuration de SSH
Avant de configurer SSH, le commutateur doit être configuré au minimum avec un nom d'hôte
unique et les paramètres de connectivité réseau corrects.
Cliquez sur chaque bouton pour connaître les étapes de configuration des SSH.
Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Étape 6
Étape 1
Utilisez la commande show ip ssh pour vérifier que le commutateur supporte SSH. Si le
commutateur n'exécute pas un IOS qui prend en charge les fonctions cryptographiques, cette
commande n'est pas reconnue.
1.3.5
La figure montre les paramètres PuTTy du PC1 pour initier une connexion SSH à l'adresse IPv4
du VLAN SVI de S1.
La figure montre un hôte connecté à un commutateur et les paramètres PuTY pour initier une
connexion SSH au SVI du commutateur. L'hôte PC1, avec l'adresse 172.17.99.21, a une
connexion réseau à un commutateur S1, avec l'adresse 172.17.99.11. Une capture d'écran de la
configuration PuTY sur PC1 montre l'adresse 172.17.99.11 entrée dans la case sous Nom d'hôte
(ou adresse IP) et 22 entrée dans la case sous Port. SSH a été sélectionné comme type de
connexion.
172.17.99.11172.17.99.21PC1S1
Lorsqu'il est connecté, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe
comme indiqué dans l'exemple. En utilisant la configuration de l'exemple précédent, le nom
d'utilisateur admin et le mot de passe ccna sont entrés. Après avoir saisi la combinaison
adéquate, l'utilisateur est connecté via SSH à l'interface de ligne de commande du commutateur
Cisco Catalyst 2960.
Login as: admin
Using keyboard-interactive
Authentication.
Password:
S1> enable
Password:
S1#
Pour afficher la version et les données de configuration de SSH sur l'appareil que vous avez
configuré comme serveur SSH, utilisez la commande show ip ssh. Dans l'exemple, SSH
version 2 est activé.
To check the SSH connections to the device, use the show ssh command as
shown.
Username
admin
admin
S1#
1.3.6
1.4.1
Les routeurs et les commutateurs Cisco ont beaucoup de points communs. Ils prennent en
charge le même système d'exploitation de modes, les mêmes structures de commandes et
comptent de nombreuses commandes similaires. En outre, les deux périphériques présentent
des étapes de configuration initiale similaires. Par exemple, les tâches de configuration suivantes
doivent toujours être effectuées. Nommez le périphérique pour le distinguer des autres routeurs
et configurez les mots de passe, comme indiqué dans l'exemple.
Router(config)# hostname R1
R1(config-line)# login
R1(config-line)# exit
R1(config-line)# login
R1(config-line)# exit
R1(config)#
Configurez une bannière pour fournir une notification légale d'accès non autorisé, comme le
montre l'exemple.
R1(config)#
Building configuration...
[OK]
1.4.2
RéinitialiserDémonstrationAfficher tout
1.4.3
topologie de réseau à double pile consistant en plusieurs hôtes, commutateurs et routeurs avec
des interfaces configurées avec des adresses IPv4 et IPv6
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::10192.168.10.0/24192.168.11.0/2410.1.
1.0/2410.1.2.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:
5::/64G0/0/0G0/0/0G0/0/1G0/0/1209.165.200.224/302001:db8:acad:3::/64.1::1.1::1.1::1.1::1.225::
225.226::226S0/1/0S0/1/0S3
1.4.4
Configuré avec au moins une address IP - Utilisez les commandes de configuration de l'interface IP
address ip-address subnet-mask et ipv6 address ipv6-address/prefix.
Activé - Par défaut, les interfaces LAN et WAN ne sont pas activées (shutdown). Pour activer une
interface, elle doit être activée à l'aide de la commande "no shutdown" (pas d'arrêt). (Cela revient à
mettre l'interface sous tension.) L'interface doit également être connectée à un autre périphérique
(concentrateur, commutateur ou autre routeur) pour que la couche physique soit active.
Description - En option, l'interface peut également être configurée avec une courte description de
240 caractères maximum. Il est recommandé de configurer une description sur chaque interface.
Sur les réseaux de production, les avantages des descriptions d'interface sont rapidement réalisés
car elles sont utiles pour le dépannage et pour identifier une connexion et des coordonnées de
tiers.
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
1.4.5
Router(config)#
RéinitialiserDémonstrationAfficher tout
1.4.6
L'interface de bouclage est une interface logique interne au routeur. Il n'est pas attribué à un port
physique et ne peut jamais être connecté à un autre appareil. Elle est considérée comme une
interface logicielle qui est automatiquement placée en état « up », tant que le routeur fonctionne.
L'interface de bouclage est utile en cas de test et de gestion d'un périphérique Cisco IOS, car elle
garantit qu'au moins une interface est toujours disponible. Par exemple, elle peut être utilisée à
des fins de test des processus de routage internes, par exemple, en émulant les réseaux se
trouvant derrière le routeur.
Les interfaces de bouclage sont également couramment utilisées dans les environnements de
travaux pratiques pour créer des interfaces supplémentaires. Par exemple, vous pouvez créer
plusieurs interfaces de bouclage sur un routeur pour simuler davantage de réseaux à des fins de
pratique de configuration et de test. Dans ce programme, nous utilisons souvent une interface de
bouclage pour simuler un lien vers Internet.
Plusieurs interfaces de bouclage peuvent être activées sur un routeur. L'adresse IPv4 de chaque
interface de bouclage doit être unique et inutilisée par toute autre interface, comme le montre
l'exemple de configuration de l'interface de bouclage 0 sur R1.
R1(config)#
to up
1.4.7
1.5.1
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::10192.168.10.0/24192.168.11.0/2410
.1.1.0/2410.1.2.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:
acad:5::/64G0/0/0G0/0/0G0/0/1G0/0/1209.165.200.224/302001:db8:acad:3::/64.1::1.1::1.1::1.
1::1.225::225.226::226S0/1/0S0/1/0S3
Les commandes suivantes sont particulièrement utiles pour identifier rapidement l'état d'une
interface :
show ip interface brief et show ipv6 interface brief - Celles-ci affichent un résumé pour
toutes les interfaces, y compris l'adresse IPv4 ou IPv6 de l'interface et l'état opérationnel actuel.
show running-config interface interface-id - Ceci affiche les commandes appliquées à
l'interface spécifiée.
show ip route et show ipv6 route - Celles-ci affichent le contenu de la table de routage IPv4
ou IPv6 stocké dans la mémoire vive. Dans Cisco IOS 15, les interfaces actives doivent
apparaître dans la table de routage avec deux entrées connexes identifiées par le code "C"
(Connecté) ou "L" (Local). Dans les versions précédentes de l'IOS, une seule entrée avec le
code "C" apparaissait.
1.5.2
Protocol
up
up
up
down
GigabitEthernet0/0/0 [up/up]
FE80::7279:B3FF:FE92:3130
2001:DB8:ACAD:1::1
GigabitEthernet0/0/1 [up/up]
FE80::7279:B3FF:FE92:3131
2001:DB8:ACAD:2::1
Serial0/1/0 [up/up]
FE80::7279:B3FF:FE92:3130
2001:DB8:ACAD:3::1
La commande show ipv6 interface gigabitethernet 0/0/0 affiche l'état de l'interface et toutes
les adresses IPv6 appartenant à l'interface. Avec l'adresse locale du lien et l'adresse globale de
monodiffusion, la sortie comprend les adresses de multidiffusion attribuées à l'interface,
commençant par le préfixe FF02, comme le montre l'exemple.
FF02::1
FF02::1:FF00:1
FF02::1:FF92:3130
Building configuration...
interface GigabitEthernet0/0/0
negotiation auto
end
R1#
Les deux commandes suivantes permettent de recueillir des informations plus détaillées sur
l'interface :
show interfaces- Affiche les informations sur les interfaces et le nombre de flux de paquets
pour toutes les interfaces de l'appareil.
show ip interface et show ipv6 interface -Affiche les informations relatives à IPv4 et IPv6
pour toutes les interfaces d'un routeur.
1.5.5
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
L FF00::/8 [0/0]
R1#
Un ‘C’ à côté d'une route dans le tableau de routage indique qu'il s'agit d'un réseau
directement connecté. Lorsque l'interface du routeur est configurée avec une adresse de
monodiffusion globale et est dans l'état "up/up", le préfixe IPv6 et la longueur du préfixe sont
ajoutés à la table de routage IPv6 en tant que route connectée.
L'adresse de monodiffusion globale IPv6 appliquée à l'interface est également installée dans la
table de routage en tant que route locale. Le préfixe de la route locale est /128. Des routes
locales sont utilisées par la table de routage pour traiter efficacement les paquets avec
l'adresse d'interface du routeur en tant que destination.
La commande ping pour IPv6 est identique à la commande utilisée avec IPv4, sauf qu'une
adresse IPv6 est utilisée. Comme le montre l'exemple, la commande ping est utilisée pour
vérifier la connectivité de la couche 3 entre R1 et PC1.
seconds:
!!!!!
Une autre fonctionnalité très utile qui améliore l'expérience de l'utilisateur dans le CLI est le
filtrage des sorties show. Les commandes de filtrage permettent d'afficher des sections de
résultat spécifiques. Pour activer la commande de filtrage, tapez le symbole (|) après la
commande show , puis saisissez un paramètre de filtrage et une expression de filtrage.
Il existe quatre paramètres de filtrage qui peuvent être configurés après le pipe.
Cliquez sur chaque bouton pour en savoir plus sur les commandes de filtrage.
section
include
exclude
begin
section
Montre la section entière qui commence par l'expression de filtrage, comme dans l'exemple.
R1# show running-config | section line vty
line vty 0 4
password 7 110A1016141D
login
Remarque: les filtres de résultat peuvent être utilisés en combinaison avec toute
commande show .
1.5.7
R1#
RéinitialiserDémonstrationAfficher tout
1.5.8
Pour rappeler des commandes dans la mémoire tampon de l'historique, appuyez sur Ctrl+P ou
sur la touche Up Arrow. Le résultat de la commande commence par la commande la plus
récente. Appuyez plusieurs fois sur ces touches pour rappeler des commandes plus anciennes.
Pour revenir à des commandes plus récentes dans la mémoire tampon de l'historique, appuyez
sur Ctrl+N ou sur la touche Down Arrow. Appuyez plusieurs fois sur ces touches pour
rappeler des commandes plus récentes.
Par défaut, l'historique de commande est activé et le système enregistre les 10 dernières lignes
de commande dans sa mémoire tampon. Utilisez la commande EXEC privilégiée show
history pour afficher le contenu du tampon.
Un exemple de commandes terminal history size et show history est illustré dans la figure.
show ip route
show running-config
show history
1.5.9
R1>
RéinitialiserDémonstrationAfficher tout
1.5.10
R
3. Quelle commande affichera le nombre de flux de paquets, les collisions et les échecs de tampon
sur une interface?
show interface
show ip interface
show running-config interface
4. Une interface compatible IPv6 est requise pour avoir quel type d'adresse?
statique (static)
5. Quel caractère est utilisé pour activer le filtrage des commandes?
pipe |
virgule ,
deux-points :
point-virgule ;
6. Quelle expression de filtrage affichera toutes les lignes de sortie à partir de la ligne correspondant
à l'expression de filtrage ?
section
begin
include
1.6.1
1.6.2
Travaux pratiques - Configurer les paramètres
de base du routeur
Possibilité de pratiquer des compétences
Équipement de test
Une fois qu'un commutateur Cisco est mis sous tension, il passe par une séquence de
démarrage en cinq étapes. Dans l'exemple, la variable d'environnement BOOT est définie à
l'aide de la commande de mode de configuration globale boot system. L'IOS se trouve dans
un dossier distinct et le chemin du dossier est spécifié. Utilisez les LED des interrupteurs pour
surveiller l'activité et les performances des interrupteurs : SYST, RPS, STAT, DUPLX,
SPEED et PoE. Le chargeur de démarrage permet d'accéder au commutateur si le système
d'exploitation ne peut être utilisé en raison de fichiers système manquants ou endommagés. Le
chargeur de démarrage dispose d'une ligne de commande qui permet d'accéder aux fichiers
stockés dans la mémoire flash. Pour préparer un commutateur pour l'accès à la gestion à
distance, le commutateur doit être configuré avec une adresse IP et un masque de sous-réseau.
Pour gérer le commutateur à partir d'un réseau distant, le commutateur doit être configuré
avec une passerelle par défaut. Pour configurer le switch SVI, vous devez d'abord configurer
l'interface de gestion, puis configurer la passerelle par défaut, et enfin, vérifier votre
configuration.
Telnet est un protocole plus ancien qui utilise un mode de transmission en texte clair non
sécurisé des informations d'identification (nom d'utilisateur et mot de passe) et des données
entre les périphériques. SSH (utilisant le port TCP 22) est un protocole sécurisé qui fournit
une connexion de gestion cryptée à un appareil distant. SSH assure la sécurité des connexions
à distance en fournissant un cryptage fort lorsqu'un dispositif est authentifié (nom d'utilisateur
et mot de passe) et également pour les données transmises entre les dispositifs communicants.
Utilisez la commande show version du commutateur pour voir quel IOS le commutateur est
en cours d'exécution. Un nom de fichier IOS qui inclut la combinaison "k9" prend en charge
les fonctionnalités et les capacités cryptographiques. Pour configurer SSH, vous devez vérifier
que le commutateur le prend en charge, configurer le domaine IP, générer des paires de clés
RSA, configurer l'authentification d'utilisation, configurer les lignes VTY et activer SSH
version 2. Pour vérifier que SSH est opérationnel, utilisez la commande show ip ssh pour
afficher la version et les données de configuration de SSH sur le périphérique.
Les tâches de configuration initiale suivantes doivent toujours être effectuées : nommer
l'appareil pour le distinguer des autres routeurs et configurer les mots de passe, configurer une
bannière pour fournir une notification légale d'accès non autorisé, et enregistrer les
modifications sur un routeur. Une fonction de distinction entre les commutateurs et les
routeurs est le type d'interface pris en charge par chacun. Par exemple, les commutateurs de
couche 2 prennent en charge les réseaux locaux et disposent donc de plusieurs ports
FastEthernet ou Gigabit Ethernet. La topologie à double pile est utilisée pour démontrer la
configuration des interfaces IPv4 et IPv6 du routeur. Les routeurs sont compatibles avec les
LAN et les WAN et peuvent interconnecter différents types de réseaux; ils prennent donc en
charge plusieurs types d'interfaces. Par exemple, les routeurs à services intégrés G2 disposent
d'une ou de deux interfaces Gigabit Ethernet intégrées et de logements HWIC (carte
d'interface WAN haut débit) pour héberger d'autres types d'interface réseau, y compris les
interfaces série, DSL et câblées. L'interface de bouclage IPv4 est une interface logique interne
au routeur. Il n'est pas attribué à un port physique et ne peut jamais être connecté à un autre
appareil.
Utilisez les commandes suivantes pour identifier rapidement l'état d'une interface: show ip
interface brief et show ipv6 interface brief pour voir le résumé de toutes les interfaces
(adresses IPv4 et IPv6 et état opérationnel), show running-config interface interface-id pour
voir les commandes appliquées à une interface spécifiée show ip route et show ipv6
route pour voir le contenu de la table de routage IPv4 ou IPv6 stockée dans la RAM. La sortie
des commandes show ip interface brief et show ipv6 interface brief peut être utilisée pour
révéler rapidement l'état de toutes les interfaces sur le routeur. La commande show ipv6
interface gigabitethernet 0/0/0 affiche l'état de l'interface et toutes les adresses IPv6
appartenant à l'interface. En plus de l'adresse locale du lien et de l'adresse de monodiffusion
globale, la sortie comprend les adresses de multidiffusion attribuées à l'interface. La sortie de
la commande show running-config interface affiche les commandes actuelles appliquées à
une interface spécifique. La commande show interfaces affiche les informations sur
l'interface et le nombre de flux de paquets pour toutes les interfaces de l'appareil. Vérifiez la
configuration de l'interface à l'aide des commandes show ip interface et show ipv6 interface,
qui affichent les informations relatives à IPv4 et IPv6 pour toutes les interfaces d'un routeur.
Vérifiez les itinéraires à l'aide des commandes show ip route et show ipv6 route. Filtrer la
sortie de la commande show à l'aide du caractère pipe (|). Utilisez les expressions de filtre:
section, include, exclude et begin. Par défaut, l'historique de commande est activé et le
système enregistre les 10 dernières lignes de commande dans sa mémoire tampon. Utilisez la
commande EXEC privilégiée show history pour afficher le contenu du tampon.
1.6.4
Enregistrez les lignes de commande dans un fichier journal pour référence ultérieure.
2. Quelle déclaration décrit le fonctionnement des voyants système sur les commutateurs Cisco
Catalyst?
Si la LED est ambre, le système reçoit de l'énergie mais ne fonctionne pas correctement.
Câble coaxial
Câble croisé
Câble droit
Câble inversé
4. Quel avantage offre SSH par rapport à Telnet ?
Le chiffrement
5. Un administrateur réseau a configuré leVLAN 99 comme le VLAN de gestion et l'a configuré
avec une adresse IP et un masque de sous-réseau. L'administrateur émet la commande show
interface vlan 99 et remarque que le protocole de ligne est en panne. Quelle action peut
modifier l'état du protocole de ligne à up ?
Un SVI par défaut est créé pour le VLAN 1 pour l'administration du commutateur.
Un SVI est créé automatiquement pour chaque VLAN sur un commutateur multicouche.
7. Quelle invite s'affiche lorsqu'un administrateur réseau accède avec succès au chargeur de
démarrage sur un commutateur pour récupérer après un plantage du système?
switch#
system:
switch:
system#
8. Quelle est la séquence de démarrage correcte du routeur?
password password
show interfaces
2.0.1
Pourquoi devrais-je suivre ce module?
Bienvenue aux concepts de commutation!
Vous pouvez connecter et configurer des commutateurs, c'est génial! Mais même un réseau
avec la technologie la plus récente développe ses propres problèmes finalement. Si vous
devez dépanner votre réseau, vous devez savoir comment fonctionnent les commutateurs. Ce
module vous donne les bases des commutateurs et du fonctionnement du commutateur.
Heureusement, le fonctionnement du commutateur est facile à comprendre!
2.0.2
Légende du tableau
Titre du rubrique Objectif du rubrique
1.6
Module pratique et questionnaire
2.1
2.1.1
La décision sur la manière dont un commutateur transmet le trafic est prise en fonction du
flux de ce trafic. Il existe deux termes associés aux trames qui entrent et sortent d'une
interface :
Entrée (Ingress) - Ceci est utilisé pour décrire le port par lequel une trame entre dans l'appareil.
Sortie (Egress) -Ceci est utilisé pour décrire le port que les trames utiliseront lorsqu'elles quitteront
l'appareil.
Un commutateur LAN maintient un tableau qui est référencé lors de l'acheminement du trafic
par le commutateur. La seule intelligence d'un commutateur LAN est sa capacité à utiliser sa
table pour transférer le trafic. Un commutateur LAN transmet le trafic en fonction du port
d'entrée et de l'adresse MAC de destination d'une trame Ethernet. Avec un commutateur LAN,
il n'existe qu'une seule table de commutation maître qui décrit une association stricte entre les
adresses MAC et les ports ; par conséquent, une trame Ethernet avec une adresse de
destination donnée sort toujours du même port de sortie, quel que soit le port d'entrée dans
lequel elle entre.
Remarque: Une trame Ethernet ne sera jamais transférée sur le même port que celui sur
lequel elle a été reçue.
EE 1
AA 2
BA 3
EA 4
CA 5
AB 6
2.1.2
Les commutateurs LAN déterminent comment traiter les trames de données entrantes en
gérant la table d'adresses MAC. Un commutateur établit sa table d'adresses MAC en
enregistrant l'adresse MAC de chaque périphérique connecté à chacun de ses ports. Le
commutateur utilise les informations de la table d'adresses MAC pour envoyer des trames
destinées à un périphérique donné au port qui a été attribué à ce périphérique.
2.1.3
Le commutateur vérifie si de nouvelles informations sont disponibles sur chacune des trames
entrantes. Il le fait en examinant l'adresse MAC source de la trame et le numéro de port où la
trame est entrée dans le commutateur :
Si l'adresse MAC source n'existe pas dans la table des adresses MAC, l'adresse MAC et le numéro de
port entrant sont ajoutés à la table.
Si l'adresse MAC source existe, le commutateur réinitialise le compteur d'obsolescence de cette
entrée. Par défaut, la plupart des commutateurs Ethernet conservent les entrées dans la table
pendant cinq minutes. Si l'adresse MAC source existe dans le tableau mais sur un port différent, le
commutateur la traite comme une nouvelle entrée. L'entrée est remplacée en utilisant la même
adresse MAC, mais avec le numéro de port le plus récent.
Si l'adresse MAC de destination se trouve dans la table, le commutateur transfère la trame par le
port spécifié.
Si l'adresse MAC de destination ne se trouve pas dans la table, le commutateur transfère la trame sur
tous les ports sauf celui d'entrée. Cela s’appelle une monodiffusion inconnue. Si l'adresse MAC de
destination est une diffusion ou une multidiffusion, la trame est également envoyée sur tous les
ports à l'exception du port entrant.
2.1.4
Vidéo – Tables d'adresses MAC sur des
commutateurs connectés
Cliquez sur Lecture sur la figure pour lancer une vidéo expliquant comment deux
commutateurs connectés créent des tables d'adresses MAC.
Play Video
2.1.5
Les commutateurs de couche 2 utilisent l'une des deux méthodes suivantes pour changer de
trame :
2.1.6
Vérification des erreurs - Après avoir reçu la trame complète sur le port d'entrée, le commutateur
compare la valeur de la séquence de vérification de la trame (FCS) dans le dernier champ du
datagramme à ses propres calculs FCS. La FCS est un processus de contrôle des erreurs permettant
de vérifier que la trame est exempte d'erreurs physiques et de liaison de données. Si la trame est
exempte d'erreurs, le commutateur transfère la trame. Sinon, la trame est abandonné.
Mise en mémoire tampon automatique - Le processus de mise en mémoire tampon du port d'entrée
utilisé par les commutateurs de stockage et de transfert offre la souplesse nécessaire pour prendre
en charge toute combinaison de vitesses Ethernet. Par exemple, le traitement d'une trame entrante
voyageant dans un port Ethernet de 100 Mbps qui doit être envoyée par une interface de 1 Gbps
nécessiterait l'utilisation de la méthode de stockage et de retransmission. Dès que les vitesses du
port d'entrée et de sortie ne correspondent pas, le commutateur enregistre la trame complète dans
une mémoire tampon, calcule le contrôle FCS, puis transmet la trame au port de sortie et l'envoie.
La figure illustre comment store-and-forward prend une décision basée sur la trame Ethernet.
montre un diagramme d'une trame ethernet, et souligne le fait que lors d'une commutation en
différé, le commutateur lit la trame entière, y compris tous les en-têtes, les données et la
séquence de vérification de la trame avant la transmission
86624
En-tête réseauEn-tête de tramePréambuleAdresse MAC de destinationAdresse MAC sourceTypeSomme de contrôle
FCS (CRC)En-tête transportDonnéesOctets La commutation par stockage et transfert signifie que la trame complète est
reçue (jusqu'à environ 9 200 octets pour les trames jumbo) avant qu'une décision de transmission ne soit prise.
2.1.7
En revanche, la méthode de commutation par coupure peut transmettre des trames non valides
parce qu'aucun contrôle FCS n'est effectué. Cependant, la commutation par coupure a la
capacité d'effectuer une commutation de trame rapide. Cela signifie que le commutateur peut
prendre une décision de transfert dès qu'il a recherché l'adresse MAC de destination de la
trame dans son tableau d'adresses MAC, comme le montre la figure.
montre un diagramme d'une trame ethernet, et souligne le fait qu'en coupant la commutation,
le commutateur peut faire suivre la trame une fois qu'il a lu l'adresse MAC de destination
86624
En-tête réseauEn-tête de tramePréambuleAdresse MAC de destinationAdresse MAC sourceTypeSomme de contrôle
FCS (CRC)En-tête transportDonnéesOctets Le transfert des trames peut commencer dès que l'adresse MAC de
destination est reçue.
Il n'a pas besoin d'attendre que le reste de la trame soit arrivé au port d'entrée pour prendre
une décision.
La commutation sans fragment est une forme modifiée de commutation coupée dans laquelle
le commutateur ne commence à transférer la trame qu'après avoir lu le champ Type. La
commutation sans fragment offre une meilleure vérification des erreurs que la coupure, avec
pratiquement aucune augmentation de la latence.
La faible latence de la commutation cut-through la rend mieux adaptée aux applications HPC
(high-performance computing) extrêmement exigeantes, qui nécessitent des latences de
processus à processus de 10 microsecondes au plus.
La méthode de commutation par coupure peut transmettre des images avec des erreurs. S'il y a
un taux d'erreur élevé (trames non valides) sur le réseau, la commutation par coupure peut
avoir un impact négatif sur la largeur de bande, ce qui encombre la bande passante avec des
trames endommagées et non valides.
2.1.8
Exercice - Commutation
Utilisez cet exercice pour vérifier que vous comprenez comment un commutateur apprend et
transmet les trames.
Trame
Préambule Destination MAC Source MAC Type/longueur Trame Fin de la Trame
0D 0E
Table MAC
Fa1 Fa2 Fa3 Fa4 Fa5 Fa6 Fa7 Fa8 Fa9 Fa10 Fa11 Fa12
0A 0C 0D 0E 0F
Fa1
Fa2
Fa3
Fa4
Fa5
Fa6
Fa7
Fa8
Fa9
Fa10
Fa11
Fa12
Le commutateur ajoute l'adresse MAC source qui ne figure pas actuellement dans le tableau des
adresses MAC.
La trame est une trame de diffusion ; elle est transférée à tous les ports.
La trame est une trame de monodiffusion ; elle est envoyée à un seul port désigné.
La trame est une trame de monodiffusion ; elle inonde tous les ports.
2.2.1
Domaines de collision
Dans la rubrique précédente, vous avez acquis une meilleure compréhension de ce qu'est un
commutateur et de son fonctionnement. Cette rubrique explique comment les commutateurs
fonctionnent les uns avec les autres et avec d'autres périphériques pour éliminer les collisions
et réduire la congestion du réseau. Les termes collisions et congestion sont utilisés ici de la
même manière que vous les utilisez dans la circulation routière.
Dans les segments Ethernet traditionnels basés sur le concentrateur, les périphériques réseau
étaient en concurrence pour le support partagé. Les segments de réseau qui partagent la même
bande passante entre les périphériques sont appelés domaines de collision. Lorsque deux ou
plusieurs dispositifs dans le même domaine de collision tentent de communiquer en même
temps, une collision se produit.
Par défaut, les ports des commutateurs Ethernet s'auto-négocient en duplex intégral lorsque le
dispositif adjacent peut également fonctionner en duplex intégral. Si le port du commutateur
est connecté à un dispositif fonctionnant en semi-duplex, tel qu'un ancien concentrateur, alors
le port du commutateur fonctionnera en semi-duplex. Dans le cas du mode bidirectionnel non
simultané, le port de commutateur appartient à un domaine de collision.
Comme le montre la figure, le duplex intégral est choisi si les deux appareils ont la capacité
ainsi que leur plus grande largeur de bande commune.
S2PC A
DuplexDuplexVitesseVitesseDuplex intégralSemi-duplexDuplex intégralSemi-
duplex100 Mbit/s10 Mbit/s100 Mbit/s10 Mbit/s1 000 Mbit/sPort 1Négociation automatique
2.2.2
Domaines de diffusion
Un ensemble de commutateurs interconnectés constitue un domaine de diffusion unique. Seul
un périphérique de couche réseau, tel qu'un routeur, peut diviser un domaine de diffusion de
couche 2. Les routeurs sont utilisés pour segmenter les domaines de diffusion, mais ils
segmentent également les domaines de collision.
montre un diagramme animé d'un message diffusé voyageant vers chaque hôte connecté au
commutateur, et aussi de commutateur à commutateur, dans le domaine de diffusion ou le
LAN
Lorsqu'un commutateur reçoit une trame de diffusion, il la transfère à tous ses ports, sauf au
port d'entrée où elle a été reçue. Chaque périphérique connecté au commutateur reçoit un
exemplaire de la trame de diffusion et la traite.
Les diffusions sont parfois nécessaires pour localiser initialement d'autres équipements et
services réseau, mais elles réduisent l'efficacité du réseau. La bande passante du réseau est
utilisée pour transmettre le trafic de diffusion. Un nombre de diffusions et une charge de trafic
trop élevés sur un réseau peuvent entraîner un encombrement qui ralentit les performances
réseau.
2.2.3
Les commutateurs interconnectent les segments de réseau local, utilisent une table d'adresses
MAC pour déterminer les ports de sortie et peuvent réduire ou éliminer entièrement les
collisions. Les caractéristiques des commutateurs qui atténuent la congestion du réseau sont
notamment les suivantes
Vitesses de port rapides - Les vitesses de port des commutateurs Ethernet varient selon le modèle et
l'objectif. Par exemple, la plupart des commutateurs de la couche d'accès supportent des vitesses de
port de 100 Mbps et 1 Gbps. Les commutateurs de la couche distribution prennent en charge des
vitesses de port de 100 Mbps, 1 Gbps et 10 Gbps. Les commutateurs de la couche centrale et des
centres de données peuvent prendre en charge des vitesses de port de 100 Gbps, 40 Gbps et 10
Gbps. Les commutateurs avec des vitesses de port plus élevées coûtent plus cher, mais peuvent
réduire la congestion.
Commutation interne rapide - Les commutateurs utilisent un bus interne rapide ou une mémoire
partagée pour fournir des performances élevées.
Grandes mémoires tampons de trames - Les commutateurs utilisent de grandes mémoires tampons
pour stocker temporairement plus d'images reçues avant de devoir commencer à les déposer. Cela
permet de transférer le trafic d'entrée à partir d'un port plus rapide (par exemple, 1 Gbit/s) vers un
port de sortie plus lent (par exemple, 100 Mbit/s) sans perdre de trames.
Haute densité de port - Un commutateur à haute densité de port réduit les coûts globaux car il
réduit le nombre de commutateurs requis. Par exemple, si 96 ports d'accès étaient nécessaires, il
serait moins coûteux d'acheter deux commutateurs 48 ports au lieu de quatre commutateurs 24
ports. Les commutateurs haute densité de port aident également à maintenir le trafic local, ce qui
contribue à réduire la congestion.
2.2.4
10 Mbit/s
100 Mbit/s
1 Gbit/s
10 Gbit/s
2. Quel périphérique sépare les domaines de diffusion ?
un point d'accès
concentrateur
routeur
commutateur
3. Quelles sont les deux caractéristiques particulières des commutateurs LAN pour réduire la
congestion du réseau ? (Choisissez deux propositions.)
La décision sur la manière dont un commutateur transmet le trafic est basée sur le flux de ce
trafic. Le terme "ingress" décrit le port par lequel une trame entre dans un appareil. Le terme
"egress" décrit le port que les cadres utiliseront lorsqu'ils quitteront l'appareil. Une trame
Ethernet ne sera jamais transférée hors du port où elle est entrée. Pour qu'un commutateur
sache vers quel port transférer une trame, il doit tout d'abord apprendre quels périphériques
existent sur chaque port. À mesure que le commutateur apprend la relation entre les ports et
les dispositifs, il construit une table appelée table d'adresses MAC. Chaque trame qui entre
dans un commutateur est vérifiée pour connaître de nouvelles informations en examinant
l'adresse MAC source de la trame et le numéro de port où la trame est entrée dans le
commutateur. Si l'adresse MAC de destination est une adresse monodiffusion, le commutateur
recherche une correspondance entre l'adresse MAC de destination de la trame et une entrée
dans sa table d'adresses MAC. Les méthodes de transfert comprennent le stockage et la
transmission ainsi que la coupure. Le système de stockage et de transmission utilise la
vérification des erreurs et la mise en mémoire tampon automatique. Le cut-through ne vérifie
pas les erreurs. Au lieu de cela, il effectue une commutation rapide de trame. Cela signifie que
le commutateur peut prendre une décision de transfert dès qu'il a recherché l'adresse MAC de
destination de la trame dans sa table d'adresses MAC.
Changement de domaine
2.3.2
La taille du domaine de collision peut être réduite en ajoutant des concentrateurs à un réseau.
détermine l'interface utilisée pour transférer une image en fonction de l'adresse MAC de
destination
apprend le port attribué à un hôte en examinant l'adresse MAC de destination
3. Quelle est la différence significative entre un concentrateur (hub) et un commutateur LAN de
couche 2 ?
Chaque port d'un concentrateur est un domaine de collision, et chaque port d'un commutateur
est un domaine de diffusion.
Il abandonne la trame.
Tampons de trames
6. Quelle méthode de commutation utilise la valeur FCS ?
Cut-Through
diffusion
Store-and-Forward
7. Que représente le terme « densité de port » pour un commutateur Ethernet ?
Toutes les cartes réseau modernes prennent en charge les communications semi-duplex et
duplex intégral.
Adresse IP de destination
Adresse IP source
11. Quelle option décrit correctement une méthode de commutation ?
store-and-forward : transmet le cadre immédiatement après avoir examiné son adresse MAC de
destination
cut-through : prend une décision d'expédition après avoir reçu l'ensemble du cadre
cut-through : offre la flexibilité nécessaire pour prendre en charge n'importe quelle combinaison
de vitesses Ethernet
un point d'accès
un pont Ethernet
un routeur
un concentrateur Ethernet
13. Quel est le but des tampons de trame sur un commutateur ?
Ils fournissent une analyse de sécurité de base sur les trames reçues.
concentrateur
pare-feu
commutateur
routeur
3.0.1
Imaginez que vous êtes en charge d'une très grande conférence. Il y a des gens de partout qui
partagent un intérêt commun et d'autres qui ont aussi une expertise particulière. Imaginez si
chaque expert qui voulait présenter ses informations à un public plus limité devait le faire dans la
même grande salle avec tous les autres experts et leurs publics plus limités. Personne ne serait
capable d'entendre quoi que ce soit. Vous devrez trouver des salles séparées pour tous les
experts et leurs publics plus limités. Le réseau local virtuel (VLAN) fait quelque chose de similaire
dans un réseau. Les VLANs sont créés au niveau de la couche 2 pour réduire ou éliminer le trafic
de diffusion. Les VLAN sont la façon dont vous divisez votre réseau en petits réseaux, de sorte
que les périphériques et les personnes d'un seul VLAN communiquent entre eux sans avoir à
gérer le trafic provenant d'autres réseaux. L'administrateur réseau peut organiser les VLAN par
emplacement, qui les utilise, le type de périphérique ou toute catégorie nécessaire. Vous savez
que vous voulez apprendre à le faire, alors n'attendez pas !
3.0.2
Objectif du module: Mettre en œuvre des VLAN et des solutions de trunking dans un réseau
commuté.
Légende du tableau
Titre du rubrique Objectif du rubrique
Comme le montre la figure, les VLANs d'un réseau commuté permettent aux utilisateurs de
différents services (IT, HR et Ventes) de se connecter au même réseau, quel que soit le
commutateur physique utilisé ou l'emplacement d'un réseau local de campus.
Un VLAN crée un domaine de diffusion logique qui peut s'étendre sur plusieurs segments de
réseau local physique. Les VLANs améliorent les performances réseau en divisant de vastes
domaines de diffusion en domaines plus petits. Si un périphérique d'un VLAN envoie une
trame Ethernet de diffusion, tous les périphériques du VLAN la reçoivent, mais pas les
périphériques d'autres VLAN.
Grâce aux VLANs, les administrateurs de réseau peuvent mettre en œuvre des politiques
d'accès et de sécurité en fonction de groupes d'utilisateurs spécifiques. Chaque port de
commutateur peut être attribué à un seul VLAN (à l’exception des ports connectés à un
téléphone IP ou à un autre commutateur).
3.1.2
La figure montre une topologie de réseau avec plusieurs commutateurs, plusieurs VLAN et
adressage réseau contigu. En haut de la topologie se trouve un routeur R1 connecté à un
commutateur ci-dessous. Le commutateur est connecté à deux autres commutateurs. Le
commutateur de gauche dispose de trois hôtes connectés, chacun étant affecté à un VLAN
différent. PC1 connecté au port F0/11 a la mission suivante : Faculté, VLAN 10,
172.17.10.21/24. PC2 connecté au port F0/18 a la mission suivante : Étudiant, VLAN 20,
172.17.20.22/24. PC3 connecté au port F0/6 a l'affectation suivante : Invité, VLAN 30,
172.17.30.23/24. Le commutateur sur la droite a également trois hôtes connectés, chacun
assigné à un VLAN différent. PC4 connecté au port F0/11 a la mission suivante : Faculté,
VLAN 10, 172.17.10.24/24. PC5 connecté au port F0/18 a la mission suivante : Étudiant,
VLAN 20, 172.17.20.25/24. PC6 connecté au port F0/6 a l'affectation suivante : Invité,
VLAN 30, 172.1.7.20.26/24.
R1PC1PC2PC3PC6PC5PC4F0/18Fa0/1F0/3F0/11F0/11F0/18F0/6F0/6G0/0/1F0/3F0/5Fa0/1
Faculté
VLAN 10
172.17.10.21/24Étudiant
VLAN 20
172.17.20.22/24Invité
VLAN 30
172.17.30.23/24Invité
VLAN 30
172.17.30.26/24Étudiant
VLAN 20
172.17.20.25/24Faculté
VLAN 10
172.17.10.24/24
Le tableau répertorie les avantages de la conception d'un réseau avec des VLANs.
Bénéfice Description
Bénéfice Description
3.1.3
Types de réseaux locaux virtuels
Les VLAN sont utilisés pour différentes raisons dans les réseaux modernes. Certains types de
VLAN sont définis par les classes de trafic. D’autres types de VLAN sont définis par leur
fonction spécifique.
VLAN de données
VLAN natif
VLAN de gestion
VLAN voix
Le VLAN par défaut sur un commutateur Cisco est le VLAN 1. Par conséquent, tous les ports
de commutateur sont sur le VLAN 1, sauf s'il est explicitement configuré pour être sur un
autre VLAN. Par défaut, tout le trafic de contrôle de couche 2 est associé au VLAN 1.
Par exemple, dans la sortie show vlan brief, tous les ports sont actuellement attribués au
VLAN 1 par défaut. Aucun VLAN natif n’est explicitement attribué et aucun autre VLAN
n’est actif ; par conséquent, le VLAN natif est défini comme VLAN de gestion. Il s’agit d’un
risque de sécurité.
Gi0/1, Gi0/2
Vrai
Faux
2. Vrai ou faux? Les VLAN peuvent améliorer la sécurité en isolant les données sensibles du reste
du réseau.
Vrai
Faux
3. Quel type de VLAN est attribué aux ports de trunk 802.1Q pour transporter du trafic non
étiqueté ?
par défaut
natif
données
gestion
4. Vrai ou faux ? Il est recommandé de configurer le VLAN natif en tant que VLAN 1.
Vrai
Faux
5. Quel est le cas de VLAN 1 ? (Choisissez toutes les réponses qui conviennent.)
Une agrégation est une liaison point à point entre deux périphériques réseau qui porte
plusieurs VLAN. Un trunk de VLAN permet d’étendre les VLAN à l’ensemble d’un réseau.
Cisco prend en charge la norme IEEE 802.1Q pour la coordination des trunks sur les
interfaces Fast Ethernet, Gigabit Ethernet et 10 Gigabit Ethernet.
Un trunk VLAN n'appartient pas à un VLAN spécifique. Au lieu de cela, il s'agit d'un canal
pour plusieurs VLAN entre les commutateurs et les routeurs. Un trunk peut également être
utilisée entre un périphérique réseau et un serveur ou un autre périphérique équipé d’une carte
réseau 802.1Q appropriée. Par défaut, sur un commutateur Cisco Catalyst, tous les VLAN
sont pris en charge sur un port trunk.
Dans la figure, les liens mis en évidence entre les commutateurs S1 et S2, et S1 et S3 sont
configurés pour transmettre le trafic provenant des VLAN 10, 20, 30 et 99 (c'est-à-dire le
VLAN natif) sur le réseau. Ce réseau ne peut pas fonctionner sans trunks de VLAN.
La figure est une topologie de réseau avec plusieurs commutateurs et plusieurs VLAN mettant
en évidence les liaisons de trunk VLAN entre les commutateurs. En haut de la topologie se
trouve le commutateur S1. S1 est connecté via le port F0/1 au commutateur S2 au port F0/1.
Cette connexion est mise en surbrillance. S1 est également connecté via le port F0/3 au
commutateur S3 au port F0/3. Cette connexion est également mise en évidence. Les deux S2
et S3 ont trois hôtes connectés à eux, chacun étant attribué à un VLAN différent. Connectés à
S2 sont PC1, PC2 et PC3. PC1 est connecté au port F0/11 a l'attribution suivante : Faculté,
VLAN 10, 172.17.10.21. PC2 est connecté au port F0/18 a l'attribution suivante : Étudiant,
VLAN 20, 172.17.20.22. PC3 est connecté au port F0/6 a l'attribution suivante : Invité,
VLAN 30, 172.17.30.23. Connectés à S3 sont PC4, PC5 et PC6. PC4 est connecté au port
F0/11 a l'attribution suivante : Faculté, VLAN 10, 172.17.10.24. PC5 est connecté au port
F0/18 a l'attribution suivante : Étudiant, VLAN 20, 172.17.20.25. PC6 est connecté au port
F0/6 a l'attribution suivante : Invité, VLAN 30, 172.1.7.20.26.
PC2PC3PC6PC5PC4S2S3S1PC1F0/18F0/1F0/3F0/11F0/11F0/18F0/6F0/6F0/1F0/3
Invité
VLAN 30 :
172.17.30.26Invité
VLAN 30 :
172.17.30.23Faculté
VLAN 10 -
172.17.10.21Faculty
VLAN 10 -
172.17.10.24Étudiant
VLAN 20 -
172.17.20.22Étudiant
VLAN 20 -
172.17.20.25
3.2.2
Diffusion
Diffusion
Diffusion
PC1 envoie une diffusion de couche 2 locale. Les commutateurs transmettent la trame de diffusion par tous les ports disponibles.
Faculté
172.17.40.21/24
Étudiant
172.17.40.22/24
Invité
172.17.40.23/24
Faculté
172.17.40.24/24
Étudiant
172.17.40.25/24
Invité
172.17.40.26/24
3.2.3
PC1 envoie une diffusion de couche 2 locale. Les commutateurs transmettent la trame de diffusion uniquement par les ports
configurés pour le VLAN 10.
Faculté
VLAN 10
172.17.10.21/24
Étudiant
VLAN 20
172.17.20.22/24
Faculté
VLAN 10
172.17.10.24/24
Étudiant
VLAN 20
172.17.20.25/24
Les ports qui assurent la connexion entre les commutateurs S2 et S1 (ports F0/1) et entre les
commutateurs S1 et S3 (ports F0/3) sont des trunks qui ont été configurées pour prendre en
charge tous les VLAN du réseau.
Lorsque le commutateur S1 reçoit la trame de diffusion sur le port F0/1, il la transfère par le
seul autre port configuré pour prendre en charge le VLAN 10, soit le port F0/3. Lorsque le
commutateur S3 reçoit la trame de diffusion sur le port F0/3, il la transfère par le seul autre
port configuré pour prendre en charge le VLAN 10, soit le port F0/11. La trame de diffusion
parvient au seul autre ordinateur sur le réseau configuré dans le VLAN 10, soit l’ordinateur
PC4 du personnel enseignant.
3.2.4
Lorsque le commutateur reçoit une trame sur un port configuré en mode d’accès et associé à
un VLAN, il insère une étiquette VLAN dans l’en-tête de trame, recalcule la séquence de
contrôle de trame, puis envoie la trame étiquetée par un port trunk.
Type - Une valeur de 2 octets appelée valeur d'ID de protocole de balise (TPID). Pour Ethernet, il est
défini sur hexadécimal 0x8100.
Priorité utilisateur - Une valeur de 3 bits qui soutient la mise en œuvre du niveau ou du service.
CFI (Canonical Format Identifier) - Identificateur de 1 bit qui permet aux trames Token Ring d'être
transportées sur les liaisons Ethernet.
VID (VLAN ID) - Un numéro d'identification VLAN de 12 bits qui prend en charge jusqu'à 4096 ID
VLAN.
Une fois que le commutateur a inséré les champs d'information de contrôle des balises, il
recalcule les valeurs du FCS et insère le nouveau FCS dans le cadre.
La figure montre une balise VLAN insérée dans un en-tête de trame. En haut de la figure se
trouve un cadre montrant les champs suivants : Dst MAC, Src MAC, Type/Length, Data et
FCS. Ci-dessous se trouve le cadre affiché à nouveau, cette fois avec le champ Tag inséré
entre les champs Src MAC et Type/Length. Ci-dessous se trouvent les sous-champs suivants
de la balise et leur longueur : Type (0x8100), longueur 2 octets ; Pri, longueur 3 bits ; CFI,
longueur 1 bit ; et VID, longueur 12 bits.
Certains périphériques prenant en charge le système de trunk ajoutent une étiquette VLAN au
trafic VLAN natif. Le trafic de contrôle envoyé sur le VLAN natif ne doit pas être étiqueté. Si
un port agrégé 802.1Q reçoit une trame étiquetée avec un ID de VLAN identique à celui du
VLAN natif, il abandonne la trame. Par conséquent, lorsque vous configurez un port sur un
commutateur Cisco, configurez les périphériques de sorte qu’ils n’envoient pas de trames
étiquetées sur le VLAN natif. Les périphériques tiers qui prennent en charge les trames
étiquetées sur le VLAN natif comprennent des téléphones IP, des serveurs, des routeurs et des
commutateurs non-Cisco.
Lorsqu’un port trunk du commutateur Cisco reçoit des trames non étiquetées (qui sont peu
communes dans un réseau bien conçu), il transfère ces trames au VLAN natif. S’il n’existe
aucun périphérique associé au VLAN natif (ce qui n’est pas rare) et aucun autre port trunk (ce
qui n’est pas rare non plus), la trame est abandonnée. Le VLAN natif par défaut est le
VLAN 1. Lorsque vous configurez un port trunk 802.1Q, un ID de VLAN (PVID) de port par
défaut se voit attribuer la valeur de l’ID du VLAN natif. Tout le trafic non étiqueté entrant par
le port 802.1Q ou en sortant est transféré en fonction de la valeur PVID. Par exemple, si le
VLAN 99 est configuré en tant que VLAN natif, le PVID est 99 et tout le trafic non étiqueté
est transféré au VLAN 99. Si le VLAN natif n’a pas été reconfiguré, la valeur PVID est
définie sur le VLAN 1.
Dans la figure, le PC1 est connecté via un concentrateur à une liaison trunk 802.1Q.
La figure est une topologie de réseau montrant le flux du trafic non marqué sur le VLAN
natif. En haut de la figure est un commutateur. Le commutateur est connecté ci-dessous à
quatre autres commutateurs via une liaison de trunk 802.1Q vers chacun d'eux. Entre le
commutateur supérieur et le commutateur situé à l'extrême gauche se trouve un concentrateur
auquel l'hôte PC1 est connecté. Le commutateur d'extrême gauche a un port dans VLAN 1 et
un port dans VLAN 2. Le deuxième commutateur à partir de la gauche a un port dans VLAN
3. Le troisième commutateur à partir de la gauche dispose d'un port dans le VLAN 1. Le
commutateur sur la droite a un port dans VLAN 2 et un port dans VLAN 3. Les flèches
orange montrent le trafic envoyé par PC1 flux vers le concentrateur qui l'envoie aux deux
commutateurs attachés. Le commutateur d'extrême gauche l'envoie vers le port du VLAN 1.
Le commutateur supérieur l'envoie au troisième commutateur à partir de la gauche, ce qui
l'envoie vers le port connecté au VLAN 1.
PC1
VLAN 1VLAN 2VLAN 3VLAN 1VLAN 2VLAN 3Trunk 802.1QTrunk 802.1QTrunk 802.1QTrunk 802.1Q
Le PC1 envoie le trafic non étiqueté que les commutateurs associent au VLAN natif configuré
sur les ports trunk et le transfère en conséquence. Le trafic étiqueté sur le trunk que reçoit le
PC1 est abandonné. Ce scénario témoigne d’une conception réseau médiocre pour plusieurs
raisons : elle utilise un concentrateur, un hôte est connecté à une liaison trunk et les
commutateurs sont équipés de ports d’accès affectés au VLAN natif. Il illustre également la
volonté de se servir des VLANs natifs comme d’un moyen de prendre en charge les scénarios
existants selon la norme IEEE 802.1Q.
3.2.6
Chaque téléphone IP doit être directement branché dans un port de commutation. Un hôte IP
peut se connecter au téléphone IP pour obtenir une connectivité réseau également. Vous
pouvez configurer un port d'accès connecté à un téléphone IP Cisco pour utiliser deux VLAN
distincts : Un VLAN est destiné au trafic vocal et l'autre est un VLAN de données pour
prendre en charge le trafic hôte. La liaison entre le commutateur et le téléphone IP fait office
de trunk pour acheminer à la fois le trafic du VLAN voix et le trafic du VLAN de données.
Le téléphone IP Cisco contient un commutateur 10/100 intégré à trois ports. Les ports
fournissent des connexions dédiées aux périphériques suivants :
Le port d'accès du commutateur envoie des paquets CDP indiquant au téléphone IP connecté
d'envoyer du trafic vocal de l'une des trois manières suivantes. La méthode utilisée varie en
fonction du type de trafic :
Le trafic VLAN vocal doit être étiqueté avec une valeur de priorité de classe de service (CoS) de
couche 2 appropriée
Le trafic VLAN d'accès peut également être étiqueté avec une valeur de priorité CoS de couche 2
Le VLAN d'accès n'est pas marqué (pas de valeur de priorité CoS de couche 2)
Dans la figure, l'ordinateur PC5 de l'élève est relié à un téléphone IP Cisco, et le téléphone est
relié au commutateur S3. Le VLAN 150 est conçu pour acheminer le trafic vocal, tandis que
le PC5 se trouve dans le VLAN 20, lequel est utilisé pour les données des étudiants.
F0/18P1P2P3S3PC5
Configuré pour affecter une étiquette VLAN 150 aux trames de trafic vocal Téléphone IP CiscoTéléphone
ASICAccess portCommutateur à 3 ports
3.2.7
Name: Fa0/18
Switchport: Enabled
Question 2 Topologie
Question 3 Topologie
Question 1 Topologie
PC1PC2PC3PC4PC5PC6
VLAN 10VLAN 20VLAN 30VLAN 10VLAN 20VLAN 30
1.
Se reporter à l'exposition Question 1 Topologie. Le PC1 envoie une trame de diffusion ARP.
Quel PC recevra la trame de diffusion ARP ?
PC2
PC3
PC4
PC5
PC6
2. Se reporter à l'exposition Question 2 Topologie. Le PC2 envoie une trame de diffusion ARP.
Quels PC recevront la trame de diffusion ARP ? (Choisissez toutes les réponses qui
conviennent.)
PC1
PC3
PC4
PC5
PC6
3. Se reporter à l'exposition Question 3 Topologie. Le PC3 envoie une trame de diffusion ARP.
Quel PC recevra la trame de diffusion ARP ?
PC1
PC2
PC4
PC5
PC6
3.3.1
Divers commutateurs Cisco Catalyst prennent en charge des nombres de VLAN différents. Le
nombre de VLAN pris en charge est suffisamment élevé pour répondre aux besoins de la plupart
des entreprises. Par exemple, les commutateurs Catalyst des séries 2960 et 3650 prennent en
charge plus de 4 000 VLAN. Sur ces commutateurs, les VLAN à plage normale sont numérotés
de 1 à 1 005 et les VLAN à plage étendue, de 1 006 à 4 094. La figure illustre les VLAN par
défaut sur un commutateur Catalyst 2960 exécutant la version 15.x de Cisco IOS.
Gi0/1, Gi0/2
Ils sont utilisés dans tous les réseaux de petites et moyennes organisations et d'entreprises.
Ils sont identifiés par un ID VLAN compris entre 1 et 1005.
(Les ID 1002 à 1005 sont réservés aux VLAN Token Ring et FDDI [Fiber Distributed Data
Interface].)
Les ID 1 et 1002 à 1005 sont automatiquement créés et ne peuvent pas être supprimés.
Les configurations sont stockées dans la mémoire flash du commutateur dans un fichier de base
de données VLAN appelé vlan.dat.
Lorsqu' il est configuré, le protocole VLAN Trunking Protocol (VTP) permet de synchroniser la
base de données VLAN entre les commutateurs.
Ils sont utilisés par les fournisseurs de services pour desservir de multiples clients et par des
entreprises mondiales suffisamment grandes pour avoir besoin d'ID de VLAN à portée étendue.
Ils sont identifiés par un ID VLAN entre 1006 et 4094.
Les configurations sont enregistrées, par défaut, dans la configuration en cours.
Ils prennent en charge moins de fonctions VLAN que les VLANs à portée normale.
Nécessite une configuration en mode transparent VTP pour prendre en charge les VLANs à
portée étendue.
Remarque: 4096 est la limite supérieure pour le nombre de VLAN disponibles sur les
commutateurs Catalyst, car il y a 12 bits dans le champ ID VLAN de l'en-tête IEEE 802.1Q.
3.3.2
Le tableau présente la syntaxe de la commande Cisco IOS utilisée pour ajouter un VLAN à un
commutateur et lui donner un nom. Il est recommandé de nommer chaque VLAN lors de la
configuration du commutateur.
Commande Task IOS Entrez dans le mode de configuration global. Switch# configure terminal Créer
un VLAN avec un numéro d'identification valide.Switch(config)# vlan vlan-idSpécifier un nom unique
pour identifier le VLAN.Switch(config-vlan)# name vlan-nameRetour au mode EXEC
privilégié.Switch(config-vlan)# end
Switch#
Passer en mode de configuration globale. configure
terminal
Switch(config-
Indiquez un nom unique pour identifier le VLAN. vlan)# name
vlan-name
le PC étudiant, PC2 hôte, à l'adresse 172.17.20.22 est connecté au commutateur S1 au port F0/6
qui est connecté via le port F0/1 au commutateur S2 au port F0/1
S2S1PC2F0/06F0/1F0/1172.17.20.22
PC étudiant
L'exemple montre comment le VLAN de l'étudiant (VLAN 20) est configuré sur le commutateur
S1.
S1(config)# vlan 20
S1(config-vlan)# name student
S1(config-vlan)# end
Remarque: En plus de la saisie d'un seul ID VLAN, il est possible de saisir une série d'ID VLAN
séparés par des virgules, ou une série d'ID VLAN séparés par des traits d'union en utilisant la
commande vlan vlan-id. Par exemple, l'entrée de la commande de configuration vlan
100,102,105-107 globale créerait des VLAN 100, 102, 105, 106 et 107.
3.3.4
Le tableau présente la syntaxe permettant de définir un port comme port d'accès et de l'affecter à
un VLAN. La commande switchport mode access est facultatif, mais fortement recommandé
comme meilleure pratique de sécurité. Avec cette commande, l’interface passe en mode d’accès
permanent.
Commande Task IOS Entrez dans le mode de configuration global. Switch# configure terminal Entrer
dans le mode de configuration de l'interface.Switch(config)# interface interface-id Régler le port en
mode d'accès.Switch(config-if)# switchport mode access Attribuer le port à un VLAN.Switch(config-
if)# switchport access vlan vlan-id Retour au mode EXEC privilégié.Switch(config-if)# end
Switch#
Passer en mode de configuration globale. configure
terminal
Switch(config)#
Passer en mode de configuration d'interface. interface
interface-id
Switch(config-
Définissez le port en mode d'accès. if)# switchport
mode access
Switch(config-
Affecter le port à un réseau local virtuel. if)# switchport
access vlan
vlan-id
3.3.5
Exemple d'attribution de port VLAN
Dans la figure, le port F0/6 sur le commutateur S1 est configuré comme un port d'accès et
attribué au VLAN 20. Tout appareil connecté à ce port est associé au VLAN 20. Par conséquent,
dans notre exemple, PC2 se trouve dans le VLAN 20.
S2S1PC2172.17.20.22F0/06F0/1F0/1
Commutateur S1 :
Port F0/18
VLAN 20PC étudiant
S1(config-if)# end
Les VLAN sont configurés sur le port de commutateur, pas sur le périphérique. Le PC2 est
configuré avec une adresse IPv4 et un masque de sous-réseau associés au VLAN configuré sur
le port de commutateur. Dans cet exemple, il s'agit du VLAN 20. Lorsque le VLAN 20 est
configuré sur d'autres commutateurs, l'administrateur réseau sait qu'il doit configurer les autres
ordinateurs des élèves sur le même sous-réseau que le PC2 (172.17.20.0/24).
3.3.6
Prenons l'exemple de la topologie de la figure. Le PC5 est connecté au téléphone IP Cisco, qui à
son tour est connecté à l'interface FastEthernet 0/18 sur S3. Pour mettre en œuvre cette
configuration, un VLAN de données et un VLAN de voix sont créés.
L'hôte PC5 se trouve sur le VLAN étudiant 20 à l'adresse 172.17.20.25. PC5 est connecté à un
téléphone IP qui est connecté au commutateur S3 au port F0/18. Une zone de texte avec une
flèche pointant vers ce port indique : switchport doit prendre en charge le trafic VLAN pour le
trafic vocal vers le téléphone IP et le trafic de données vers PC5. S3 est connecté via le port F0/3
au commutateur S1 au port F0/3.
F0/3F0/3F0/18S1S3PC5
Étudiant
VLAN 20 : 172.17.20.25
3.3.7
Sur les LAN qui prennent en charge le trafic voix, la qualité de service (QoS) est aussi
généralement activée. Le trafic voix doit être étiqueté en tant que trafic de confiance dès qu'il
arrive sur le réseau. Utilisez la commande de configuration de l'interface mls qos trust [cos |
device cisco-phone | dscp | ip-precedence] pour définir l'état de confiance d'une interface, et
pour indiquer quels champs du paquet sont utilisés pour classer le trafic.
La configuration dans l'exemple crée les deux VLAN (c'est-à-dire VLAN 20 et VLAN 150) et
affecte ensuite l'interface F0/18 de S3 comme port de commutation dans le VLAN 20. Il attribue
également le trafic vocal au VLAN 150 et permet une classification QoS basée sur la classe de
service (CoS) attribuée par le téléphone IP.
S3(config)# vlan 20
S3(config-vlan)# exit
S3(config-if)# end
S3#
La commande switchport access vlan force la création d’un VLAN s’il n’existe pas déjà sur le
commutateur. Par exemple, le VLAN 30 n'est pas présent dans la sortie du commutateur show
vlan brief . Si la commande switchport access vlan 30 est saisie sur n’importe quelle interface
sans configuration précédente, le commutateur affiche les éléments suivants:
La commande show vlan affiche une liste de tous les VLAN configurés. La commande show
vlan peut également être utilisée avec des options. La syntaxe complète est show
vlan [brief | id vlan-id | name vlan-name | summary].
Option de
Tâche
commande
Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son
état et ses ports. brief
Afficher des informations sur un VLAN identifié par un nom de VLAN. name
Le vlan-name est une chaîne ASCII de 1 à 32 caractères. vlan-
name
La commande show vlan summary affiche une liste de tous les VLAN configurés.
Les autres commandes utiles sont les commandes show interfaces interface-
id switchport et show interfaces vlan vlan-id. Par exemple, la commande show interfaces
fa0/18 switchport peut être utilisée pour confirmer que le port FastEthernet 0/18 a été
correctement attribué aux VLAN de données et de voix.
Name: Fa0/18
Switchport: Enabled
Administrative Mode: static access
(Output omitted)
3.3.9
Si le port d'accès du commutateur a été attribué de manière incorrecte à un VLAN, il vous suffit
de saisir à nouveau la commande de configuration de l'interface switchport access vlan vlan-
id avec l'ID VLAN correct. Par exemple, supposons que Fa0/18 a été mal configuré pour être sur
le VLAN 1 par défaut au lieu de VLAN 20. Pour changer le port en VLAN 20, entrez
simplement switchport access vlan 20.
Pour modifier l'appartenance d'un port au VLAN 1 par défaut, utilisez la commande mode de
configuration de l'interface no switchport access vlan comme indiqué.
Dans la sortie par exemple, Fa0/18 est configuré pour être sur le VLAN 1 par défaut comme
confirmé par la commande show vlan brief.
S1#
Gi0/1, Gi0/2
20 student active
Notez que le VLAN 20 est toujours actif, même si aucun port ne lui est attribué.
La sortie de show interfaces f0/18 switchport peut également être utilisée pour vérifier que le
VLAN d'accès pour l'interface F0/18 a été réinitialisé au VLAN 1 comme indiqué dans la sortie.
Name: Fa0/18
Switchport: Enabled
Supprimer le VLAN
La commande de mode de configuration global no vlan vlan-id est utilisée pour supprimer un
VLAN du fichier switch vlan.dat.
Attention: Avant de supprimer un VLAN, réattribuez d'abord tous les ports membres à un VLAN
différent. Tous les ports qui ne sont pas déplacés vers un VLAN actif sont incapables de
communiquer avec d'autres hôtes après la suppression du VLAN et jusqu'à ce qu'ils soient
attribués à un VLAN actif.
L'ensemble du fichier vlan.dat peut être supprimé à l'aide de la commande privilégiée du mode
EXEC delete flash:vlan.dat . La version abrégée de la commande (delete vlan.dat) peut être
utilisée si le fichier vlan.dat n'a pas été déplacé de son emplacement par défaut. Après
l’exécution de cette commande et le redémarrage du commutateur, les VLAN précédemment
configurés ne sont plus présents. Cette commande rétablit les paramètres d’usine par défaut du
commutateur en ce qui concerne les configurations de VLAN.
Remarque: Pour rétablir l'état par défaut d'un commutateur Catalyst, débranchez tous les câbles,
à l'exception de la console et du câble d'alimentation, du commutateur. Ensuite, entrez la
commande privilégiée du mode EXEC erase startup-config suivie de la commande delete
vlan.dat .
3.3.11
S1#
RéinitialiserDémonstrationAfficher tout
3.3.12
3.4.1
Pour activer les liaisons trunks, configurez les ports d'interconnexion avec l'ensemble des
commandes de configuration d'interface indiquées dans le tableau.
Commande Task IOS Entrez dans le mode de configuration global. Switch# configure terminal Entrer
dans le mode de configuration de l'interface.Switch(config)# interface interface-id Mettre le port en
mode de liaison permanent.Switch(config-if)# switchport mode trunk Règle le VLAN natif sur autre
chose que le VLAN 1. Switch(config-if)# switchport trunk vlan natif VLAN IDSpécifiez la liste des VLAN
doivent être autorisés sur le lien de trunk.Switch(config-if)# switchport trunk autorisé vlan vlan-
listRetour au mode EXEC privilégié.Switch(config-if)# end
Switch#
Passer en mode de configuration globale. configure
terminal
Commande Task IOS Entrez dans le mode de configuration global. Switch# configure terminal Entrer
dans le mode de configuration de l'interface.Switch(config)# interface interface-id Mettre le port en
mode de liaison permanent.Switch(config-if)# switchport mode trunk Règle le VLAN natif sur autre
chose que le VLAN 1. Switch(config-if)# switchport trunk vlan natif VLAN IDSpécifiez la liste des VLAN
doivent être autorisés sur le lien de trunk.Switch(config-if)# switchport trunk autorisé vlan vlan-
listRetour au mode EXEC privilégié.Switch(config-if)# end
Switch(config)#
Passer en mode de configuration d'interface. interface
interface-id
Switch(config-
Réglez le port en mode de trunking permanent. if)# switchport
mode trunk
Switch(config-
Choisissez un VLAN natif autre que le VLAN 1 if)# switchport
trunk native
vlan vlan-id
Switch(config-
Indiquer la liste des VLAN autorisés sur la liaison trunk. if)# switchport
trunk allowed
vlan vlan-list
Une topologie de réseau montre trois hôtes dans différents VLAN connectés au même
commutateur, S2. PC1 est sur le VLAN de la Faculté 10 avec l'adresse 172.17.10.21. PC2 est
sur le VLAN Étudiant 20 avec l'adresse 172.17.20.22. PC3 se trouve sur le VLAN Invité 30 avec
l'adresse 172.17.30.23. S2 est connecté via le port F0/1 pour commuter S1 à F0/1. Cette
connexion est appelée "trunk".
PC2PC1PC3S2S1F0/1F0/1
TrunkPersonnel
VLAN 10
172.17.10.21Étudiant
VLAN 20
172.17.20.22Invité
VLAN 30 :
172.17.30.23
Les sous-réseaux associés à chaque VLAN sont:
L'exemple montre la configuration du port F0/1 sur le commutateur S1 en tant que port de trunk.
Le VLAN natif devient le VLAN 99 et la liste des VLANs autorisés est limitée à 10, 20, 30 et 99.
S1(config-if)# end
Remarque: Cette configuration suppose l'utilisation de commutateurs Cisco Catalyst 2960 qui
utilisent automatiquement l'encapsulation 802.1Q sur les liaisons trunk. D’autres commutateurs
peuvent nécessiter la configuration manuelle de l’encapsulation. Configurez toujours les deux
extrémités d’une liaison trunk avec le même VLAN natif. Si la configuration du trunk 802.1Q n’est
pas identique à chaque extrémité, le logiciel Cisco IOS signale des erreurs.
3.4.3
Name: Fa0/1
Switchport: Enabled
Negotiation of Trunking: On
(output omitted)
La zone surlignée en haut indique que le port F0/1 a son mode administratif réglé sur trunk. Le
port est en mode trunking. La zone surlignée suivante permet de vérifier que le VLAN natif est le
VLAN 99. Plus bas dans la sortie, la zone surlignée du bas montre que les VLAN 10, 20, 30 et 99
sont activés sur le trunk.
3.4.4
S1(config-if)# end
The show interfaces f0/1 switchport command reveals that the trunk has been
reconfigured to a default state.
Name: Fa0/1
Switchport: Enabled
Negotiation of Trunking: On
(output omitted)
Cet exemple de sortie montre les commandes utilisées pour supprimer la fonction de trunk du
port F0/1 de l'interrupteur S1. La commande show interfaces f0/1 switchport révèle que
l’interface F0/1 est désormais en mode d’accès statique.
S1(config-if)# end
S1# show interfaces fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
(output omitted)
3.4.5
3.5.1
Introduction au DTP
Certains commutateurs Cisco ont un protocole propriétaire qui leur permet de négocier
automatiquement la connexion avec un périphérique voisin. Ce protocole est appelé Dynamic
Trunking Protocol (DTP). Le DTP peut accélérer le processus de configuration d'un
administrateur réseau. Les interfaces de trunk réseau Ethernet prennent en charge différents
modes de lignes réseau. Une interface peut être définie sur le trunk ou non, ou pour négocier
le trunk avec l'interface voisine. La négociation de trunk est gérée par le protocole DTP
(Dynamic Trunking Protocol) qui fonctionne uniquement de point à point, entre les
périphériques réseau.
Le protocole DTP est un protocole appartenant à Cisco, qui est automatiquement activé sur les
commutateurs Catalyst 2960 et Catalyst 3650. Il gère la négociation de trunk uniquement si le
port du commutateur voisin est configuré dans un mode trunk qui prend en charge ce
protocole. Il n’est pas pris en charge par les commutateurs d’autres fournisseurs.
La configuration DTP par défaut pour les commutateurs Cisco Catalyst 2960 et 3650 est
automatique dynamique.
Pour permettre le trunking d'un commutateur Cisco vers un appareil qui ne prend pas en
charge le DTP, utilisez les commandes du mode de configuration et de l'interface switchport
mode trunk et switchport nonegotiate. Cela provoque l'interface pour devenir un trunk,
mais il ne génère pas de trames DTP.
Si les ports reliant deux commutateurs sont configurés pour ignorer toutes les publicités DTP
avec les commandes switchport mode trunk et switchport nonegotiate, les ports restent en
mode port de trunk. Si les ports de connexion sont réglés sur auto dynamique, ils ne
négocieront pas un trunk et resteront dans l'état du mode d'accès, créant ainsi une liaison de
trunk inactive.
Pour configurer un port en mode trunk, utilisez la commande switchport mode trunk. Il n'y a
alors pas d'ambiguïté sur l'état dans lequel se trouve le trunk ; il est toujours activé.
3.5.2
Option Description accès Met l'interface (port d'accès) en mode permanent non trunking et négocie
la conversion du lien en un lien non trunking. L'interface devient une interface non trunking, que
l'interface voisine soit une interface trunk ou non. dynamic auto Permet à l'interface de convertir le
lien en un lien de trunk. L'interface devient une interface trunk si l'interface voisine est configurée en
mode tronc ou en mode souhaitable. Le mode switchport par défaut pour toutes les interfaces
Ethernet est dynamique auto. dynamic desirable Fait que l'interface tente activement de convertir le
lien en un lien de trunk. L'interface devient une interface trunk si l'interface voisine est en mode
trunk, souhaitable ou dynamique automatique. trunk Met l'interface en mode de trunk permanent et
négocie la conversion du lien voisin en un lien trunk. L'interface devient une interface trunk même si
l'interface voisine n'est pas une interface trunk.
Option Description
Option Description
3.5.3
Dynamic Dynamic
Trunk Accès
Auto Desirable
Dynamic
Accès Trunk Trunk Accès
Auto
Dynamic
Trunk Trunk Trunk Accès
Desirable
Connectivité
Trunk Trunk Trunk Trunk
limitée
Connectivité
Accès Accès Accès Access
limitée
3.5.4
TOS/TAS/TNS: ACCESS/AUTO/ACCESS
TOT/TAT/TNT: NATIVE/NEGOTIATE/NATIVE
Enabled: yes
In STP: no
3.5.5
Configurer DTP
Configurer DTP
3.5.6
Vrai
faux
2. Quel est le mode de port de commutation par défaut pour les commutateurs Cisco Catalyst ?
accès
trunk
dynamic auto
dynamic desirable
3. Vrai ou faux ? Deux ports de commutation sur une liaison configurés en tant qu'auto dynamique
négocieront avec succès un trunk.
Vrai
faux
4. Quels sont les deux modes DTP qui forment un trunk avec une interface configurée comme
automatique dynamique ? (Choisissez deux propositions.)
accès
trunk
dynamic auto
dynamic desirable
3.6.1
3.6.2
Les réseaux locaux virtuels (VLANs) sont un groupe d'appareils qui peuvent communiquer
comme si chaque appareil était relié au même câble. Les VLANs reposent sur des connexions
logiques au lieu de connexions physiques. Les administrateurs utilisent des VLANs pour
segmenter les réseaux en fonction de facteurs tels que la fonction, l'équipe ou l'application.
Chaque VLAN est considéré comme un réseau logique distinct. N'importe quel port du
commutateur peut appartenir à un VLAN. Un VLAN crée un domaine de diffusion logique
qui peut s'étendre sur plusieurs segments de réseau local physique. Les VLANs améliorent les
performances réseau en divisant de vastes domaines de diffusion en domaines plus petits.
Chaque VLAN d'un réseau commuté correspond à un réseau IP ; par conséquent, la
conception de VLAN doit utiliser un système d'adressage réseau hiérarchique. Les types de
VLAN incluent le VLAN par défaut, les VLAN de données, le VLAN natif, les VLAN de
gestion. et les VLANs vocaux.
Un trunk VLAN n'appartient pas à un VLAN spécifique. Il s'agit d'un canal pour plusieurs
VLAN entre les commutateurs et les routeurs. Un trunk VLAN est un lien point à point entre
deux appareils de réseau qui transportent plus d'un VLAN. Un trunk de VLAN permet
d’étendre les VLANs à l’ensemble d’un réseau. Lorsque des VLANs sont implémentés sur un
commutateur, la transmission du trafic monodiffusion, multidiffusion et diffusion à partir d’un
hôte figurant sur un VLAN donné est limitée aux périphériques se trouvant sur ce VLAN. Les
champs de balise VLAN incluent le type, la priorité utilisateur, la CFI et le VID. Certains
appareils ajoutent une balise VLAN au trafic VLAN natif. Si un port trunk 802.1Q reçoit une
trame marquée avec le VID qui est le même que celui du VLAN natif, il supprime la trame.
Un VLAN voix distinct est nécessaire pour prendre en charge la voix sur IP (VoIP). Les
stratégies de QoS et de sécurité peuvent être appliquées au trafic vocal. Le trafic VLAN vocal
doit être marqué avec une valeur de priorité CoS de couche 2 appropriée.
Configuration VLAN
VLAN Trunks
Un trunk de VLAN est un lien de couche 2 OSI entre deux commutateurs qui achemine le
trafic pour tous les VLAN. Il existe plusieurs commandes pour configurer les ports
d'interconnexion. Pour vérifier la configuration du trunk VLAN, utilisez la commande show
interfaces interface-ID switchport. Utilisez les commandes no switchport trunk allowed
vlan etno switchport trunk native vlan pour supprimer les VLAN autorisés et réinitialiser le
VLAN natif du trunk.
Une interface peut être définie sur le trunk ou non, ou pour négocier le trunk avec l'interface
voisine. La négociation de trunk est gérée par le protocole DTP (Dynamic Trunking Protocol)
qui fonctionne uniquement de point à point, entre les périphériques réseau. Le DTP est un
protocole propriétaire de Cisco qui gère la négociation du trunk seulement si le port du
commutateur voisin est configuré dans un mode de trunk qui supporte le DTP. Pour permettre
le trunking d'un commutateur Cisco vers un appareil qui ne prend pas en charge le DTP,
utilisez les commandes du mode de configuration et de l'interface switchport mode
trunk et switchport nonegotiate. La commande switchport mode a des options
supplémentaires pour négocier le mode d'interface, y compris l'accès, l'auto dynamique,
dynamique souhaitable et le trunk. Pour vérifier le mode DTP actuel, exécutez la
commande show dtp interface.
3.6.4
Module questionnaire - VLAN
1.
Qu'arrive-t-il à un port qui est associé au VLAN 10 lorsque l'administrateur supprime le VLAN 10 du
commutateur ?
Mémoire RAM
Mémoire ROM
3. Un administrateur étudie une défaillance sur une liaison de trunk entre un commutateur Cisco et un
commutateur provenant d'un autre fournisseur. Après quelques commandes show, l'administrateur
remarque que les commutateurs ne négocient pas un trunk. Quelle est la cause probable de ce
problème ?
Le VLAN natif permet aux routeurs et aux commutateurs d'échanger leurs informations de gestion.
Il devrait donc être différent des VLAN de données.
Un VLAN distinct doit être utilisé pour transporter des trames non marquées inhabituelles afin
d'éviter les conflits de bande passante sur les VLAN de données.
La sécurité des trames de gestion qui sont transportées dans le VLAN natif peut être améliorée.
ID VLAN inutilisé
ID du VLAN de gestion
ID de VLAN natif
ID du VLAN de données
7. Un administrateur réseau détermine le meilleur emplacement des liaisons de trunk VLAN. Quels
sont les deux types de connexions point à point qui utilisent le trunking VLAN ? (Choisissez deux.)
la sécurité
NVRAM
mémoire flash
Configuration initiale
Running-config
11. Quel type distinct de VLAN est utilisé par un administrateur pour accéder à un commutateur et le
configurer ?
VLAN données
VLAN natif
VLAN de gestion
Un VLAN distinct doit être utilisé pour transporter des trames non marquées inhabituelles afin
d'éviter les conflits de bande passante sur les VLAN de données.
La sécurité des trames de gestion qui sont transportées dans le VLAN natif peut être améliorée.
Le VLAN natif permet aux routeurs et aux commutateurs d'échanger leurs informations de gestion.
Il devrait donc être différent des VLAN de données.
13. À quel emplacement du commutateur le fichier vlan.dat est-il stocké ?
Des ports de commutateur supplémentaires dédiés aux téléphones IP Cisco sont requis.
Le trafic voix et le trafic de données nécessitent des liaisons distinctes entre commutateurs.
15. Un commutateur Cisco permet actuellement le trafic étiqueté avec des VLAN 10 et 20 sur le port
de trunk Fa0/5. Quel est l'effet de l'émission d'une commande switchport trunk allowed vlan 30 sur
Fa0/5 ?
4.0.1
Maintenant, vous savez comment segmenter et organiser votre réseau en VLAN. Les hôtes
peuvent communiquer avec d'autres hôtes dans le même VLAN, et vous n'avez plus d'hôtes qui
envoient des messages de diffusion à tous les autres périphériques de votre réseau, ce qui
consomme la bande passante nécessaire. Mais que faire si un hôte d'un VLAN doit communiquer
avec un hôte d'un VLAN différent? Si vous êtes administrateur réseau, vous savez que les gens
voudront communiquer avec d'autres personnes en dehors de votre réseau. C'est là que le
routage inter-VLAN peut vous aider. Le routage inter-VLAN utilise un périphérique de couche 3
tel qu'un routeur ou un commutateur de couche 3. Prenons votre expertise VLAN et combinons-la
avec vos compétences de couche réseau et mettez-les à l'épreuve!
4.0.2
Légende du tableau
Routage inter-VLAN avec la méthode router-on- Configurer le routage entre réseaux locaux virtuels
a-stick avec la méthode «Router-on-a-stick».
Configurer le routage inter VLAN en utilisant les Configurer le routage inter VLAN en utilisant la
commutateurs de couche 3. commutation de couche 3.
3.6
Routage inter-VLAN existant - Il s'agit d'une solution ancienne. Il ne s'étend pas bien.
Router-on-a-Stick - C'est une solution acceptable pour un réseau de petit à moyen taille.
Commutateur de couche 3 utilisant des interfaces virtuelles commutées (SVI) - Il s'agit de la
solution la plus évolutive pour les moyennes et grandes entreprises.
4.1.2
La topologie du réseau physique montre deux PC, un commutateur et un routeur. PC1 sur la
gauche a l'adresse IP 192.168.10.10, est dans VLAN 10, et est connecté au commutateur sur
le port F0/11. PC2 sur la droite a l'adresse IP 192.168.20.10, est dans VLAN 20, et est
connecté au commutateur sur Port F0/24. Le commutateur, S1, a deux liens vers le routeur,
R1. Le port de commutateur F0/1 est connecté à l'interface G0/0/0 sur R1. Le port de
commutateur F0/2 est connecté à l'interface G0/0/1 sur R1. L'interface du routeur G0/0/0 a
l'adresse IP 192.168.10.1. L'interface du routeur G0/0/1 a l'adresse IP 192.168.20.1.
Notez dans l'exemple de table d'adresses MAC de S1 est rempli comme suit:
Adresse
Port VLAN
MAC
R1 G0/0/0
F0/1 10
MAC
R1 G0/0/1
F0/12 20
MAC
F0/24 PC 2 MAC 20
Lorsque PC1 envoie un paquet à PC2 sur un autre réseau, il le transfère à sa passerelle par
défaut 192.168.10.1. R1 reçoit le paquet sur son interface G0/0/0 et examine l'adresse de
destination du paquet. R1 achemine ensuite le paquet sur son interface G0/0/1 vers le port
F0/12 dans VLAN 20 sur S1. Enfin, S1 transmet la trame à PC2.
L'ancien routage inter-VLAN utilisant des interfaces physiques fonctionne, mais il présente
une limitation importante. Il n'est pas raisonnablement évolutif car les routeurs ont un nombre
limité d'interfaces physiques. La nécessité de posséder une interface de routeur physique par
VLAN épuise rapidement la capacité du routeur.
Dans notre exemple, R1 nécessitait deux interfaces Ethernet distinctes pour acheminer entre
VLAN 10 et VLAN 20. Que se passe-t-il s'il y avait six VLAN (ou plus) à interconnecter?
Une interface distincte serait requise pour chaque VLAN. Évidemment, cette solution n'est
pas évolutive.
Remarque: Cette méthode de routage inter-VLAN n'est plus implémentée dans les réseaux
commutés et est incluse à des fins d'explication uniquement.
4.1.3
Une interface Ethernet de routeur Cisco IOS est configurée comme un trunk 802.1Q et
connectée à un port de trunk sur un commutateur de couche 2. Plus précisément, l'interface du
routeur est configurée à l'aide de sous-interfaces pour identifier les VLAN routables.
Les sous-interfaces configurées sont des interfaces virtuelles logicielles. Chacune est associée
à une seule interface Ethernet physique. Les sous-interfaces sont configurées dans un logiciel
sur un routeur. Chaque sous-interface est configurée indépendamment avec sa propre adresse
IP et une affectation VLAN. Les sous-interfaces sont configurées pour différents sous-réseaux
correspondant à une affectation VLAN. Cela facilite le routage logique.
Lorsque le trafic étiqueté VLAN entre dans l'interface du routeur, il est transféré à la sous-
interface VLAN. Une fois qu'une décision de routage est prise en fonction de l'adresse du
réseau IP de destination, le routeur détermine l'interface de sortie du trafic. Si l'interface de
sortie est configurée en tant que sous-interface 802.1q, les trames de données sont marquées
VLAN avec le nouveau VLAN et renvoyés vers l'interface physique.
Cliquez sur Lecture dans la figure pour voir une animation illustrant comment la méthode
router-on-a-stick effectue sa fonction de routage.
G0/0/0.10
G0/0/0.30
Sous-interfaces de R1
G0/0.10: 172.17.10.1 [VLAN 10]
G0/0.20: 172.17.20.1 [VLAN 20]
G0/0.30: 172.17.30.1 [VLAN 30]
Ports du commutateur S1
F0/1-F0/3 = Trunk
Ports du commutateur S2
F0/11 = VLAN 10
F0/18 = VLAN 20
F0/23 = VLAN 30
F0/1-F0/2 = Trunk
Trame étiquetée
VLAN
Trame étiquetée
VLAN
Trunk
Trunk
Trunk
Comme on le voit dans l'animation, PC1 sur VLAN 10 communique avec PC3 sur VLAN 30.
Le routeur R1 accepte le trafic de monodiffusion étiqueté sur le VLAN 10 et l’achemine vers
le VLAN 30 en utilisant ses sous-interfaces configurées. Le commutateur S2 supprime
l’étiquette VLAN de la trame de monodiffusion et transfère la trame à PC3 sur le port F0/23.
4.1.4
Les SVI inter-VLAN sont créés de la même manière que l'interface VLAN de gestion est
configurée. Une interface SVI est créée pour chaque VLAN existant sur le commutateur. Bien
que virtuel, le SVI exécute les mêmes fonctions pour le VLAN qu'une interface de routeur.
Plus précisément, il assure le traitement de couche 3 des paquets vers ou depuis tous les ports
de commutateur associés à ce VLAN.
Cette méthode est beaucoup plus rapide que le modèle Router-on-a-stick, car l'ensemble de la
commutation et du routage est assuré de manière matérielle.
Il n'est pas nécessaire d'utiliser des liaisons externes entre le commutateur et le routeur pour le
routage.
Ils ne sont pas limités à une liaison, car les canaux EtherChannels de couche 2 peuvent être utilisés
comme liaisons de trunk entre les commutateurs pour augmenter la bande passante.
La latence est bien plus faible, car les données n'ont pas besoin de quitter le commutateur pour être
acheminées vers un autre réseau.
Ils sont plus souvent déployés dans un réseau local de campus que les routeurs.
Le seul inconvénient est que les commutateurs de couche 3 sont plus chers.
4.1.5
Scénario B
Scénario C
Scénario A
1.
Consultez à chacune des topologies de scénario. Quelles déclarations décrivent le mieux les
différents types de solutions de routage inter-VLAN? (Choisissez toutes les réponses qui
conviennent.)
Les scénarios B et C sont tous deux des solutions inter-VLAN avec la méthode Router-on-a-
Stick.
Le scénario Router-on-a-Stick
Dans la rubrique précédente, trois manières différentes de créer un routage inter-VLAN étaient
répertoriées, et le routage inter-VLAN existant était détaillé. Cette rubrique explique en détail
comment configurer inter-VLAN routeur avec la méthode Router-on-a-Stick. Vous pouvez voir
dans la figure que le routeur n'est pas au centre de la topologie mais qu'il semble plutôt être sur
un stick près de la bordure, d'où son nom.
Sur la figure, l'interface R1 GigabiteEthernet 0/0/1 est connectée au port S1 FastEthernet 0/5. Le
port S1 FastEthernet 0/1 est connecté au port S2 FastEthernet 0/1. Il s'agit de liaisons de trunk
qui sont nécessaires pour transférer le trafic à l'intérieur et entre les VLAN.
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24, une passerelle par défaut 192.168.10.1 et est dans VLAN 10. PC2
a l'adresse IP 192.168.20.10/24, une passerelle par défaut 192.168.20.1 et est dans VLAN 20.
PC1 se connecte au commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au
commutateur S2 sur le port de commutateur F0/18. Les commutateurs S1 et S2 sont
interconnectés les uns aux autres par une liaison de trunk sur le port de commutateur F0/1. Le
commutateur S1 est connecté au routeur R1 via une liaison de trunk sur le port de commutateur
F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1 est
192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
Pour acheminer entre VLAN, l'interface R1 GigabiteEthernet 0/0/1 est logiquement divisée en
trois sous-interfaces, comme indiqué dans le tableau. Le tableau indique également les trois
VLAN qui seront configurés sur les commutateurs.
Router R1 Subinterfaces
Sous-interface VLAN IP
AdresseG0/0/0.1010192.168.10.1/24G0/0/0.2020192.168.20.1/24G0/0/0.3099192.168.99.1/24
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Supposons que R1, S1 et S2 ont des configurations de base initiales. Actuellement, PC1 et PC2
ne peuvent ping les uns les autres car ils se trouvent sur des réseaux séparés. Seuls S1 et S2
peuvent ping les uns les autres, mais ils sont inaccessibles par PC1 ou PC2 parce qu'ils sont
également sur des réseaux différents.
Pour permettre aux périphériques de ping les uns les autres, les commutateurs doivent être
configurés avec des VLAN et des trunks, et le routeur doit être configuré pour le routage inter-
VLAN.
4.2.2
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24. PC2 a l'adresse IP 192.168.20.10/24. PC1 se connecte au
commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au commutateur S2 sur le
port de commutateur F0/18. Les commutateurs S1 et S2 sont interconnectés les uns aux autres
sur le port de commutateur F0/1. Le commutateur S1 est connecté au routeur R1 sur le port de
commutateur F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1
est 192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
Cliquez sur chaque bouton pour obtenir des détails sur l'étape de configuration.
1. Créez et nommez les VLAN.
2. Créez l'interface de gestion.
3. Configurez les ports d'accès
Tout d'abord, les VLAN sont créés et nommés. Les VLAN ne sont créés qu'après avoir quitté le
mode de sous-configuration VLAN.
S1(config)# vlan 10
S1(config-vlan)# exit
S1(config)# vlan 20
S1(config-vlan)# exit
S1(config)# vlan 99
S1(config-vlan)# name Management
S1(config-vlan)# exit
S1(config)#
4.2.3
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24, une passerelle par défaut 192.168.10.1 et est dans VLAN 10. PC2
a l'adresse IP 192.168.20.10/24, une passerelle par défaut 192.168.20.1 et est dans VLAN 20.
PC1 se connecte au commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au
commutateur S2 sur le port de commutateur F0/18. Les commutateurs S1 et S2 sont
interconnectés les uns aux autres par une liaison de trunk sur le port de commutateur F0/1. Le
commutateur S1 est connecté au routeur R1 via une liaison de trunk sur le port de commutateur
F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1 est
192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
S2(config)# vlan 10
S2(config-vlan)# exit
S2(config)# vlan 20
S2(config-vlan)# exit
S2(config)# vlan 99
S2(config-vlan)# name Management
S2(config-vlan)# exit
S2(config)#
S2(config-if)# no shut
S2(config-if)# exit
S2(config-if)# no shut
S2(config-if)# exit
S2(config-if)# no shut
S2(config-if)# exit
S2(config-if)# end
Configuration de la sous-interface R1
La méthode «Router-on-a-Stick» impose de créer des sous-interfaces pour chaque VLAN
routable.
Chaque sous-interface est ensuite configurée avec les deux commandes suivantes:
encapsulation dot1q vlan_id [native] l'option - This command configures the subinterface to
respond to 802.1Q encapsulated traffic from the specified vlan-id. The native mot de clé n'est
ajoutée que pour définir le VLAN natif sur autre chose que VLAN 1.
ip address ip-address subnet-mask - Cette commande configure l'adresse IPv4 de la sous-
interface. Cette adresse sert généralement de passerelle par défaut pour le VLAN identifié.
Répétez le processus pour chaque VLAN pour être routée. Une adresse IP sur un sous-réseau
unique doit être affectée à chaque sous-interface de routeur pour que le routage se produise.
Lorsque toutes les sous-interfaces ont été créées, activez l'interface physique à l'aide de la
commande de configuration de l'interface no shutdown . Si l’interface physique est désactivée,
toutes les sous-interfaces sont également désactivée.
Dans la configuration suivante, les sous-interfaces R1 G0/0/1 sont configurées pour les VLAN 10,
20 et 99.
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24. PC2 a l'adresse IP 192.168.20.10/24. PC1 se connecte au
commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au commutateur S2 sur le
port de commutateur F0/18. Les commutateurs S1 et S2 sont interconnectés les uns aux autres
sur le port de commutateur F0/1. Le commutateur S1 est connecté au routeur R1 sur le port de
commutateur F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1
est 192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
192.168.10.10/24G0/0/1F0/5192.168.99.2/24F0/1F0/1192.168.99.3/24F0/6F0/18192.168.20.10/2
4S1S2R1PC1PC2
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
R1(config-subif)# exit
R1(config)#
R1(config-subif)# exit
R1(config)#
R1(config-subif)# exit
R1(config)#
R1(config-if)# no shut
R1(config-if)# end
R1#
changed state to up
R1#
4.2.5
À partir d'un hôte, vérifiez la connectivité à un hôte d'un autre VLAN à l'aide de la
commande ping . Il est conseillé de vérifier d'abord la configuration actuelle de l'adresse IP de
l'hôte à l'aide de la commande d'hôte Windows ipconfig .
C:\Users\PC1> ipconfig
Windows IP Configuration
C:\Users\PC1>
La sortie confirme l'adresse IPv4 et la passerelle par défaut de PC1. Ensuite, utilisez ping pour
vérifier la connectivité avec PC2 et S1, comme indiqué sur la figure. La sortie ping confirme que
le routage inter-VLAN fonctionne correctement.
C:\Users\PC1>
C:\Users\PC1>
4.2.6
show ip route
show ip interface brief
show interfaces
show interfaces trunk
R1#
4.2.7
Le routage inter-VLAN utilisant la méthode routeur-on-a-stick est simple à mettre en œuvre pour
une entreprise de petite à moyenne taille. Cependant, une grande entreprise nécessite une
méthode plus rapide et beaucoup plus évolutive pour fournir le routage inter-VLAN.
Les réseaux locaux de campus d'entreprise utilisent des commutateurs de couche 3 pour fournir
le routage inter-VLAN. Les commutateurs de couche 3 utilisent la commutation matérielle pour
obtenir des taux de traitement de paquets plus élevés que les routeurs. Les commutateurs de
couche 3 sont également couramment utilisés dans les armoires de câblage de la couche de
distribution d'entreprise.
Les fonctionnalités d'un commutateur de couche 3 incluent la possibilité d'effectuer les opérations
suivantes:
Route d'un VLAN à un autre à l'aide de plusieurs interfaces virtuelles commutées (SVI).
Convertir un port de commutateur de couche 2 en interface de couche 3 (c'est-à-dire un port
routé). Un port routé est similaire à une interface physique sur un routeur Cisco IOS.
Pour fournir le routage inter-VLAN, les commutateurs de couche 3 utilisent des SVI. Les SVI sont
configurés à l'aide de la même commande interface vlan vlan-id utilisée pour créer le SVI de
gestion sur un commutateur de couche 2. Un SVI de couche 3 doit être créé pour chacun des
VLAN routables.
4.3.2
La topologie du réseau physique montre deux PC, un commutateur et un routeur. PC1 sur la
gauche a l'adresse IP 192.168.10.10, l'adresse de passerelle 192.168.10.1/24, est dans VLAN
10, et est connecté au commutateur sur le port G1/0/6. PC2 sur la droite a l'adresse IP
192.168.20.10, l'adresse de passerelle 192.168.20.10/24, est dans VLAN 20, et est connecté au
commutateur sur le port G1/0/18.
D1PC1PC2G1/0/6G1/0/18192.168.10.10/24192.168.20.10/24
(VLAN 10)(VLAN 20)Passerelle: 192.168.10.1Passerelle: 192.168.20.1
Interface
Adresse IP
VLAN
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
Cliquez sur chaque bouton pour obtenir des détails sur l'étape de configuration.
1. Créez les VLAN.
2. Créez les interfaces VLAN SVI.
Tout d'abord, créez les deux VLAN comme indiqué dans la sortie.
D1(config)# vlan 10
D1(config-vlan)# vlan 20
D1(config)#
4.3.4
À partir d'un hôte, vérifiez la connectivité à un hôte d'un autre VLAN à l'aide de la
commande ping . Il est conseillé de vérifier d'abord la configuration actuelle de l'adresse IP de
l'hôte à l'aide de la commande d'hôte Windows ipconfig . La sortie confirme l'adresse IPv4 et la
passerelle par défaut de PC1.
C:\Users\PC1> ipconfig
Windows IP Configuration
C:\Users\PC1>
Ensuite, vérifiez la connectivité avec PC2 à l'aide de la commande d'hôte de Windows ping ,
comme indiqué dans la sortie. La sortie ping confirme que le routage inter-VLAN fonctionne
correctement.
C:\Users\PC1>
4.3.5
Un port routé est créé sur un commutateur de couche 3 en désactivant la fonction de port de
commutation sur un port de couche 2 connecté à un autre périphérique de couche 3. Plus
précisément, la configuration de la commande de configuration de l'interface no switchport sur
un port de couche 2 la convertit en interface de couche 3. Ensuite, l'interface peut être configurée
avec une configuration IPv4 pour se connecter à un routeur ou à un autre commutateur de
couche 3.
4.3.6
PC1PC2G1/0/6G1/0/18192.168.10.10/24192.168.20.10/24D1.2G0/0/1G0/0/1.1.1.25410.10.10.0/
2410.10.20.0/24R1SvrOSPFG0/0/0
(VLAN 10)(VLAN 20)Passerelle: 192.168.10.1Passerelle: 192.168.20.1
4.3.7
Cliquez sur chaque bouton pour obtenir des détails sur l'étape de configuration.
1. Configurez le port routé.
2. Activez le routage.
3. Configurez le routage.
4. Vérifiez le routage.
5. Vérifiez la connectivité.
1. Configurez le port routé.
Configurez G1/0/1 comme port routé, affectez-lui une adresse IPv4 et activez-le.
D1(config-if)# no switchport
D1(config-if)# no shut
D1(config-if)# exit
D1(config)#
4.3.8
Il existe un certain nombre de raisons dont la configuration inter-VLAN ne peut pas fonctionner.
Tous sont liés à des problèmes de connectivité. Tout d'abord, vérifiez la couche physique pour
résoudre les problèmes liés à la connexion d'un câble au mauvais port. Si les connexions sont
correctes, utilisez la liste du tableau pour d'autres raisons courantes pour lesquelles la
connectivité inter-VLAN peut défaillir.
Type de problème Comment résoudre la vérification des VLAN manquants Créer (ou recréer) le VLAN
s'il n'existe pas.Assurez-vous que le port hôte est affecté au VLAN.Afficher les interfaces vlan [brief]
switchport PingSwitch Trunk Port IssuesAssurer sont configurés correctement.Assurez-vous que le
port est un port de jonction et activé.show interface afficher les problèmes en cours d'exécution-
ConfigSwitch Access Port Assigner correctement VLAN pour accéder au port. Assurez-vous que le
port est un port d'accès et activé. L'hôte est mal configuré dans le mauvais sous-réseau. show
interfaces switchport show running-config interface Ip Config router Configuration Issues Router
l'adresse IPv4 de la sous-interface n'est pas correctement configurée.La sous-interface du routeur est
attribué à l'ID VLAN .Show ip interface brief show interfaces
Procédure de
Type de problème Comment résoudre les problèmes
vérification
show vlan
Créez (ou recréez) le VLAN s'il n'existe pas. [brief]
VLAN manquants Assurez-vous que le port hôte est affecté au VLAN show
correct. interfaces
switchport
ping
show
Assurez-vous que les trunks sont correctement interfaces
Problèmes de port de trunk de configurés. trunk
commutateur Assurez-vous que le port est un port de trunk et activé. show
running-
config
show
Attribuez le port au correct VLAN. interfaces
switchport
Problèmes liés aux ports de Assurez-vous que le port est un port d'accès et activé.
show
commutateur L'hôte n'est pas correctement configuré dans le running-
mauvais sous-réseau. config
interface
ipconfig
4.4.2
R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
Les informations d'adressage VLAN et IPv4 pour R1 sont indiquées dans le tableau.
Router R1 Subinterfaces
Sous-interface VLAN IP Adresse G0/0/0.10
10 192.168.10.1/24 G0/0/0.20 20
192.168.20.1/24 G0/0/0.30 99
192.168.99.1/24
Sous-
VLAN Adresse IP
interfaces
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
4.4.3
VLAN manquants
Un problème de connectivité inter-VLAN peut être causé par un VLAN manquant. Le VLAN peut
être manquant s'il n'a pas été créé, s'il a été accidentellement supprimé ou s'il n'est pas autorisé
sur le lien de trunk.
Par exemple, PC1 est actuellement connecté au VLAN 10, comme indiqué dans la sortie de
commande show vlan brief .
------
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
Fa0/12, Fa0/13, Fa0/14,
Fa0/15
Fa0/16, Fa0/17, Fa0/18,
Fa0/19
Fa0/20, Fa0/21, Fa0/22,
Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
99 Management active
S1#
Supposons maintenant que VLAN 10 est accidentellement supprimé, comme indiqué dans la
sortie suivante.
S1(config)# no vlan 10
------
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
Fa0/12, Fa0/13, Fa0/14,
Fa0/15
Fa0/19
Fa0/20, Fa0/21, Fa0/22,
Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
99 Management active
S1(config)#
Notez que VLAN 10 est maintenant absent de la sortie. Notez également que le port Fa0/6 n'a
pas été réaffecté au VLAN par défaut. Car lorsque vous supprimez un VLAN, tous les ports
attribués à ce VLAN deviennent inactifs. Ils restent associés au VLAN (et sont par conséquent
inactifs) jusqu'à ce que vous les attribuiez à un autre VLAN ou recréez le VLAN manquant.
Name: Fa0/6
Switchport: Enabled
(Output omitted)
La recréation du VLAN manquant lui réaffecterait automatiquement les hôtes, comme indiqué
dans la sortie suivante.
S1(config)# vlan 10
------
1 default active Fa0/2, Fa0/3, Fa0/4,
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
20 LAN20 active
99 Management active
S1(config-vlan)#
Notez que le VLAN n'a pas été créé comme prévu. La raison est que vous devez quitter le mode
de sous-configuration VLAN pour créer le VLAN, comme indiqué dans la sortie suivante.
S1(config-vlan)# exit
S1(config)# vlan 10
------
Fa0/7
Fa0/8, Fa0/9, Fa0/10,
Fa0/11
Fa0/12, Fa0/13, Fa0/14,
Fa0/15
Fa0/19
Fa0/20, Fa0/21, Fa0/22,
Fa0/23
Fa0/24, Gi0/1, Gi0/2
20 LAN20 active
99 Management active
S1(config)#
Notez maintenant que le VLAN est inclus dans la liste et que l'hôte connecté à Fa0/6 est sur
VLAN 10.
4.4.4
Cependant, avec la solution router-on-a-stick, la cause la plus fréquente est un port de trunk mal
configuré.
Par exemple, supposons que PC1 était en mesure de se connecter à des hôtes dans d'autres
VLAN jusqu'à récemment. Un rapide coup d'œil aux journaux de maintenance a révélé que le
commutateur S1 de la couche 2 a récemment été consulté pour une maintenance de routine. Par
conséquent, vous pensez que le problème peut être lié à ce commutateur.
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24, une passerelle par défaut 192.168.10.1 et est dans VLAN 10. PC2
a l'adresse IP 192.168.20.10/24, une passerelle par défaut 192.168.20.1 et est dans VLAN 20.
PC1 se connecte au commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au
commutateur S2 sur le port de commutateur F0/18. Les commutateurs S1 et S2 sont
interconnectés les uns aux autres par une liaison de trunk sur le port de commutateur F0/1. Le
commutateur S1 est connecté au routeur R1 via une liaison de trunk sur le port de commutateur
F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1 est
192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
Sur S1, vérifiez que le port se connectant à R1 (c'est-à-dire F0/5) est correctement configuré en
tant que liaison de trunk à l'aide de la commande show interfaces trunk , comme indiqué.
Fa0/1 1-4094
Fa0/1 1,10,20,99
S1#
Building configuration...
interface FastEthernet0/5
shutdown
end
S1#
Comme vous pouvez le voir, le port a été accidentellement arrêté. Pour corriger le problème,
réactivez le port et vérifiez l'état de la liaison, comme indiqué dans la sortie.
S1(config-if)# no shut
S1(config-if)#
state to up
S1(config-if)#
*Mar 1 04:46:47.962: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Fa0/1 1-4094
Fa0/5 1-4094
Fa0/1 1,10,20,99
Fa0/5 1,10,20,99
Fa0/1 1,10,20,99
Fa0/1 1,10,20,99
S1(config-if)#
Pour limiter le risque de perturbation du routage inter-VLAN dû à une une liaison inter-
commutateur défaillante, les liaisons redondantes et les chemins alternatifs doivent faire partie de
la conception du réseau.
4.4.5
Supposons que PC1 possède l'adresse IPv4 correcte et la passerelle par défaut, mais ne peut
pas ping sa propre passerelle par défaut. PC1 est supposé être connecté à un port VLAN 10.
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24, une passerelle par défaut 192.168.10.1 et est dans VLAN 10. PC2
a l'adresse IP 192.168.20.10/24, une passerelle par défaut 192.168.20.1 et est dans VLAN 20.
PC1 se connecte au commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au
commutateur S2 sur le port de commutateur F0/18. Les commutateurs S1 et S2 sont
interconnectés les uns aux autres par une liaison de trunk sur le port de commutateur F0/1. Le
commutateur S1 est connecté au routeur R1 via une liaison de trunk sur le port de commutateur
F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1 est
192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
Name: Fa0/6
Switchport: Enabled
Le port Fa0/6 a été configuré comme port d'accès comme indiqué par «accès statique».
Cependant, il semble qu'il n'ait pas été configuré pour être dans VLAN 10. Vérifiez la
configuration de l'interface.
Building configuration...
interface FastEthernet0/6
end
S1#
S1(config-if)#
Name: Fa0/6
Switchport: Enabled
(Output omitted)
PC1 est désormais en mesure de communiquer avec des hôtes situés sur d'autres VLAN.
4.4.6
Par exemple, R1 doit fournir le routage inter-VLAN pour les utilisateurs dans les VLAN 10, 20 et
99. Toutefois, les utilisateurs du VLAN 10 ne peuvent pas atteindre d'autres VLAN.
La topologie du réseau physique présente deux PC, deux commutateurs et un routeur. PC1 a
l'adresse IP 192.168.10.10/24, une passerelle par défaut 192.168.10.1 et est dans VLAN 10. PC2
a l'adresse IP 192.168.20.10/24, une passerelle par défaut 192.168.20.1 et est dans VLAN 20.
PC1 se connecte au commutateur S1 sur le port du commutateur F0/6. PC2 se connecte au
commutateur S2 sur le port de commutateur F0/18. Les commutateurs S1 et S2 sont
interconnectés les uns aux autres par une liaison de trunk sur le port de commutateur F0/1. Le
commutateur S1 est connecté au routeur R1 via une liaison de trunk sur le port de commutateur
F0/5 qui se connecte aux interfaces G0/0/1 sur R1. L'adresse IP de gestion sur S1 est
192.168.99.2/24. L'adresse IP de gestion sur S1 est 192.168.99.3/24.
R1S1S2PC1PC2G0/0/1192.168.99.2/24F0/6F0/18F0/1F0/1192.168.99.3/24192.168.10.10/24192
.168.20.10/24F0/5
Liaison de trunkPasserelle: 192.168.10.1
VLAN 10Passerelle: 192.168.20.1
VLAN 20
Vous avez vérifié la liaison de trunk du commutateur et tout semble être en ordre. Vérifiez l'état
de la sous-interface à l'aide de la commande show ip interface brief .
Protocol
down
up
up
up
up
down
down
R1#
Les sous-interfaces ont reçu les adresses IPv4 correctes et elles sont opérationnelles.
Vérifiez quels VLAN chacun des sous-interfaces est sous tension. Pour cela, la commande show
interfaces est utile mais elle génère beaucoup de sortie supplémentaire non requise. La sortie
de commande peut être réduite à l'aide des filtres de commande IOS comme indiqué dans la
sortie.
R1# show interfaces | include Gig|802.1Q
R1#
Le symbole (|) ainsi que certains mots-clés sélectionnés sont une méthode utile pour aider à
filtrer la sortie de la commande. Dans cet exemple, le mot-clé include a été utilisé pour identifier
que seules les lignes contenant les lettres «Gig» ou «802.1Q» seront affichées. En raison de la
façon dont la sortie show interface est naturellement répertoriée, l'utilisation de ces filtres produit
une liste condensée d'interfaces et de leurs VLAN assignés.
Notez que l'interface G0/0/1. Numéro 10 a été mal affectée au VLAN 100 au lieu de VLAN 10.
Ceci est confirmé en regardant la configuration de la sous-interface R1 Gigabitethernet 0/0/1.10,
comme illustré.
Building configuration...
interface GigabitEthernet0/0/1.10
description Default Gateway for VLAN 10
end
R1#
Pour résoudre ce problème, configurez la sous-interface G0/0. Numéro 10 pour qu'elle soit sur le
VLAN correct à l'aide de la commande encapsulation dot1q 10 de mode de configuration.
R1# conf t
R1(config-subif)# end
R1#
R1#
Lorsque la sous-interface a été affectée au VLAN correct, elle est accessible par des
périphériques de ce VLAN et le routeur peut assurer le routage inter-VLAN.
4.4.7
show interfaces
show ip route
show vlan
2. Vous résolvez un problème inter-VLAN sur un commutateur et devez vérifier la liste des VLAN et
leurs ports attribués. Quelle commande de dépannage de routage inter-VLAN utiliseriez-vous
pour cela?
show interfaces
show interfaces interface-id switchport
show ip route
show vlan
3. Vous résolvez un problème inter-VLAN sur un routeur et devez vérifier l'état d'un port d'accès et
de son VLAN en mode d'accès. Quelle commande de dépannage utiliseriez-vous pour cela?
show interfaces
show ip route
show vlan
4. Vous résolvez un problème inter-VLAN sur un routeur et devez vérifier l'état et l'adresse IP de
toutes les interfaces dans un format condensé. Quelle commande de dépannage de routage
inter-VLAN utiliseriez-vous pour cela?
show interfaces
show vlan
ContrôlerDémonstrationRéinitialiser
4.4.8
Les hôtes d'un VLAN ne peuvent pas communiquer avec les hôtes d'un autre VLAN sauf s'il
existe un routeur ou un commutateur de couche 3 pour fournir des services de routage. Le
routage inter-VLAN est un processus d'acheminement du trafic réseau d'un VLAN à un autre.
Trois options comprennent le commutateur hérité, le routeur sur une clé et le commutateur de
couche 3 à l'aide de SVI. le commutateur hérité utilisait un routeur avec plusieurs interfaces
Ethernet. Chaque interface devait être connectée à un port de commutateur dans différents
VLAN. La nécessité de posséder une interface de routeur physique par VLAN épuise
rapidement la capacité du routeur. La méthode de routage inter-VLAN «routeur-on-a-stick»
nécessite uniquement une interface Ethernet physique pour acheminer le trafic entre plusieurs
VLAN sur un réseau. Une interface Ethernet de routeur Cisco IOS est configurée comme un
trunk 802.1Q et connectée à un port de trunk sur un commutateur de couche 2. L'interface du
routeur est configurée à l'aide de sous-interfaces pour identifier les VLAN routables. Les
sous-interfaces configurées sont des interfaces virtuelles basées sur un logiciel, associées à
une interface physique unique. La méthode moderne est le routage inter-VLAN sur un
commutateur de couche 3 à l'aide de SVI. Une interface SVI est créée pour chaque VLAN
existant sur le commutateur. Le SVI exécute les mêmes fonctions pour le VLAN qu'une
interface de routeur. Il assure le traitement des paquets de couche 3 vers ou depuis tous les
ports de commutateur associés à ce VLAN.
Routage inter-VLAN avec la méthode Router-on-a-stick
Pour configurer un commutateur avec des VLAN et des trunks, procédez comme suit: créez et
nommez les VLAN, créez l'interface de gestion, configurez les ports d'accès et configurez les
ports de trunk. La méthode «Router-on-a-Stick» impose de créer des sous-interfaces pour
chaque VLAN routable. Une sous-interface est créée à l'aide de la commande de mode de
configuration global interface interface_id subinterface_id . Une adresse IP sur un sous-
réseau unique doit être affectée à chaque sous-interface de routeur pour que le routage se
produise. Lorsque toutes les sous-interfaces ont été créées, l'interface physique doit être
activée à l'aide de la commande de configuration de l'interface no shutdown . À partir d'un
hôte, vérifiez la connectivité à un hôte d'un autre VLAN à l'aide de la commande ping .
Utilisez ping pour vérifier la connectivité avec l'hôte et le commutateur. Pour vérifier et
résoudre les problèmes utilisez les commandes show ip route, show ip interface brief, show
interfaces et show interfaces trunk .
Les réseaux locaux de campus d'entreprise utilisent des commutateurs de couche 3 pour
fournir le routage inter-VLAN. Les commutateurs de couche 3 utilisent la commutation
matérielle pour obtenir des taux de traitement de paquets plus élevés que les routeurs. Les
fonctionnalités d'un commutateur de couche 3 comprennent le routage d'un VLAN à un autre
en utilisant plusieurs interfaces virtuelles commutées (SVI) et la conversion d'un port de
commutateur de couche 2 en une interface de couche 3 (c'est-à-dire un port routé). Pour
fournir le routage inter-VLAN, les commutateurs de couche 3 utilisent des SVI. Les SVI sont
configurés à l'aide de la même commande d'interface de vlan vlan-id utilisée pour créer le SVI
de gestion sur un commutateur de couche 2. Un SVI de couche 3 doit être créé pour chacun
des VLAN routables. Pour configurer un commutateur avec VLAN et trunking, procédez
comme suit: créez le VLAN, créez les interfaces VLAN SVI, configurez les ports d'accès et
activez le routage IP. À partir d'un hôte, vérifiez la connectivité à un hôte d'un autre VLAN à
l'aide de la commande ping . Ensuite, vérifiez la connectivité avec l'hôte à l'aide de la
commande d'hôte de Windows ping . Les VLAN doivent être annoncés à l'aide d'un routage
statique ou dynamique. Pour activer le routage sur un commutateur de couche 3, un port routé
doit être configuré. Un port routé est créé sur un commutateur de couche 3 en désactivant la
fonction de port de commutation sur un port de couche 2 connecté à un autre périphérique de
couche 3. L'interface peut être configurée avec une configuration IPv4 pour se connecter à un
routeur ou à un autre commutateur de couche 3. Pour configurer un commutateur de couche 3
pour qu'il route avec un routeur, procédez comme suit: configurez le port routé, activez le
routage, configurez le routage, vérifiez le routage et vérifiez la connectivité.
4.5.4
router on a stick
2. Quelle méthode évolutive doit être implémentée pour fournir un routage inter-VLAN sur un réseau
commuté avec plus de 1000 VLAN?
connexion d'une interface de routeur à un port de commutateur configuré en mode trunk pour
acheminer des paquets entre des VLAN, chaque VLAN étant affecté à une sous-interface de
routeur
configuration de routes statiques sur un périphérique de commutateur de couche 2
3. Lors de la configuration d'un routeur dans une topologie de routage inter-VLAN router-on-a-stick,
où l'adresse IP doit-elle être attribuée?
à la sous-interface
à l’interface
à l'interface VLAN
à l'interface SVI
4. Un petit collège utilise VLAN 10 pour le réseau de classe et VLAN 20 pour le réseau de bureau.
Que faut-il pour activer la communication entre ces deux VLAN tout en utilisant le routage inter-
VLAN existant?
Un routeur avec une interface VLAN est nécessaire pour se connecter au SVI sur un
commutateur.
Deux groupes de commutateurs, chacun avec des ports configurés pour un VLAN.
Un commutateur avec un port configuré en tant que trunk est nécessaire pour se connecter au
routeur.
5. Quel est l'inconvénient de l'utilisation de commutateurs multicouches pour le routage inter-VLAN?
Les commutateurs multicouches sont plus coûteux que les implémentations de router-on-a-stick.
Les commutateurs multicouches présentent une latence plus élevée pour le routage de couche
3.
Les commutateurs multicouches sont limités à l'utilisation de liaisons de trunk pour le routage de
couche 3.
Spanning tree doit être désactivé pour implémenter le routage sur un commutateur multicouche.
6. Quel type de conception de communication inter-VLAN nécessite la configuration de plusieurs
sous-interfaces?
router on a stick
nécessite l'utilisation de plusieurs interfaces de routeur configurées pour fonctionner en tant que
liens d'accès
nécessite l'utilisation d'interfaces physiques plus nombreuses que le routage inter-VLAN existant
Numéro de sous-interface
Numéro de l'interface
ID du VLAN.
Numéro de sous-réseau
9. Lors de la configuration du routage inter-VLAN sur un commutateur multicouche, un
administrateur réseau exécute la commande no switchport sur une interface connectée à un
autre commutateur. Quel est l'objectif de cette commande?
trunk
accès
dynamic desirable
Dynamic Auto
12. Quelle proposition décrit la méthode de routage inter-VLAN SVI?
un commutateur multicouche
15. Après avoir examiné une topologie router-on-a-stick défaillante, un administrateur conclut que le
problème est lié à la configuration des VLAN au niveau des sous-interfaces du routeur. Quelles
sont les deux commandes que l'administrateur peut utiliser dans le routeur pour identifier le
problème? (Choisissez deux réponses.)
show ip protocols
show controllers
show running-config
show vlan
show ip interface
Présentation
5.0.1
Qu'est-ce qu'une boucle? Imaginez que vous êtes à un concert. Le microphone du chanteur et le
haut-parleur amplifié peuvent, pour diverses raisons, créer une boucle de rétroaction. Ce que
vous entendez est un signal amplifié provenant du microphone qui sort du haut-parleur, qui est
ensuite repris par le microphone, amplifié plus loin et passé à nouveau à travers le haut-parleur.
Le son devient rapidement très fort, désagréable, et rend impossible d'entendre de la musique
réelle. Cela continue jusqu'à ce que la connexion entre le microphone et le haut-parleur soit
interrompue.
Une boucle de couche 2 crée un chaos similaire dans un réseau. Cela peut se produire très
rapidement et rendre impossible l'utilisation du réseau. Il existe plusieurs façons courantes de
créer et de propager une boucle de couche 2. Le protocole STP (Spanning Tree Protocol) est
conçu spécifiquement pour éliminer les boucles de couche 2 de votre réseau. Ce module traite
des causes des boucles et des différents types de protocoles spanning tree. Il comprend une
vidéo et une activité Packet Tracer pour vous aider à comprendre les concepts STP.
5.0.2
Objectif du module: Expliquer comment le protocole STP permet la redondance dans un réseau
de couche 2.
Légende du tableau
4.5
Les réseaux locaux Ethernet nécessitent une topologie sans boucle avec un chemin unique
entre deux périphériques. Une boucle dans un réseau local Ethernet peut provoquer la
propagation des trames Ethernet jusqu'à ce qu'une liaison soit interrompue et rompt la boucle.
5.1.2
Cliquez sur Lecture dans la figure pour afficher l'animation sur STP.
The figure is an animation showing 4 p c s and 3 switches. The three switches are connected
to each other in a triangle. three pcs are connected to s 2. p c 1 sends a broadcast frame. it is
received by s 2. s 2 forwards teh broadcast out all ports except the originating port and the
blocked port to s 3. the two other p cs and s1 receive the frame. s 1 forwards the broadcast out
all ports except the originating port. the frame is received by p c 4 and s 3. s 3 forwards the
frame back to s 2. s 2 drops the frame because it received it on a blocked port.
S2 réachemine la diffusion sur tous les ports, sauf sur le port d'origine et le port bloqué.
S1 réachemine la diffusion sur tous les ports, sauf sur le port d'origine.
Trunk 2
Trunk1
Trunk 3
5.1.3
Recalcul de STP
Cliquez sur le bouton Lecture pour voir le recalcul de STP lorsqu'une défaillance se produit.
La figure est une animation avec la même topologie que dans l'animation précédente. Dans
l'animation, la liaison trunk entre S2 et S1 est défaillante. S2 débloque le port pour trunk 2.
PC1 envoie une trame de diffusion à S2. S2 réachemine la diffusion sur tous les ports du
commutateur, sauf sur le port d'origine et sur le port et la liaison défaillante de trunk 1. S3
réachemine la diffusion sur tous les ports du commutateur disponibles, sauf sur le port
d'origine. S1 réachemine la diffusion sur le port F0/3 uniquement.
S2 réachemine la diffusion sur tous les ports du commutateur, sauf sur le port d'origine et sur le port et la liaison défaillante de
trunk 1.
S3 réachemine la diffusion sur tous les ports du commutateur disponibles, sauf sur le port d'origine.
Trunk 2
Trunk 1
Trunk 3
5.1.4
5.1.5
Boucles de couche 2
Sans STP activé, les boucles de couche 2 peuvent se former, provoquant une boucle infinie de
trames de diffusion, de multidiffusion et de monodiffusion inconnues. Cela peut entraîner une
défaillance du réseau en temps très court, parfois en quelques secondes. Par exemple, Les
trames de diffusion, tel que une requête ARP sont envoyées à tous les ports de commutateur,
excepté au port d'entrée initial. Ceci garantit que tous les périphériques d'un domaine de
diffusion reçoivent bien les trames. S'il existe plusieurs chemins pour le réacheminement de la
trame, il est possible qu'une boucle sans fin soit créée. Lorsqu'une boucle se produit, la table
d'adresses MAC d'un commutateur changera constamment en raison des mises à jour
provenant des trames de diffusion, entraînant ainsi une instabilité de la base de données MAC.
Cela peut entraîner une utilisation élevée du processeur, ce qui rend le commutateur incapable
de transférer des trames.
Les boucles de trames ne concernent pas uniquement les trames de diffusion: Lorsque des
trames de monodiffusion inconnues sont envoyées dans un réseau comportant des boucles,
des trames peuvent arriver en double sur l'appareil de destination. Une trame de
monodiffusion inconnue se produit lorsque le commutateur n'a pas d'adresse MAC de
destination dans sa table d'adresses MAC et qu'il doit réacheminer la trame à tous les ports, à
l'exception du port d'entrée.
Cliquez sur Lecture dans la figure pour afficher l'animation. Lorsque l'animation s'arrête, lisez
le texte décrivant l'action. L'animation continuera après une courte pause.
The figure is an animation with the same topology as in the previous animation.There are no
blocked ports. p c 1 sends a broadcast frame. s 2 updates the mac address table. pc 1s mac
address is mapped to f0-/11. s 2 forwards the broadcast out all ports, except the receiving port.
s 3 and s 1 update their mac address tables with p c 1 information. s 3 and s 1 forward the
broadcast out all ports, except the receiving port. s 1 and s 3 receive a packet from p c 1 on a
new port. they update their mac address table accordingly. s 1 and s 3 forward the broadcast
out all ports, except the receiving port. s 2 updates its mac address table for p c 1 with the last
port on which it received the broadcast frame. s 2 forwards teh broadcast frame out all ports,
except the last received port. the cycle starts again.
Table MAC de S3
Table MAC de S1
Table MAC de S2
Table MAC de S3
Table MAC de S1
S2 met à jour la table d'adresses MAC. L'adresse MAC de PC1 est mappée à F0/11.
S2 réachemine la diffusion sur tous les ports, sauf sur le port de réception.
S3 et S1 mettent à jour leur table d'adresses MAC avec les informations de PC1.
S3 et S1 réacheminent la diffusion sur tous les ports, sauf sur le port de réception.
S1 et S3 reçoivent un paquet provenant de PC1 sur un nouveau port. Ils mettent à jour leur table d'adresses MAC en conséquence.
S1 et S3 réacheminent la diffusion sur tous les ports, sauf sur le port de réception.
S2 met à jour sa table d'adresses MAC pour PC1 avec le dernier port sur lequel il a reçu la trame de diffusion.
S2 réachemine la trame de diffusion sur tous les ports, sauf sur le dernier port reçu. Le cycle redémarre.
Trunk 2
Trunk 1
Trunk 3
5.1.6
Tempêtes de diffusion
Une tempête de diffusion est un nombre anormalement élevé d'émissions qui submergent le
réseau pendant une durée déterminée. Les tempêtes de diffusion peuvent désactiver un réseau
en quelques secondes en submergeant les commutateurs et les appareils terminaux. Les
tempêtes de diffusion peuvent être provoquées par un problème matériel tel qu'une carte
d'interface réseau défectueuse ou par une boucle de couche 2 dans le réseau.
Les diffusions de couche 2 dans un réseau, telles que les demandes ARP, sont très courantes.
Une boucle de couche 2 est susceptible d'avoir des conséquences immédiates et désactiver sur
le réseau. Les multidiffusions de couche 2 sont généralement transmises de la même manière
qu'une diffusion par le commutateur. Ainsi, bien que les paquets IPv6 ne soient jamais
transférés en tant que diffusion de couche 2, la découverte de voisins de ICMPv6 utilise des
multidiffusions de couche 2.
Cliquez sur Lecture dans la figure pour afficher une animation qui montre les effets de plus en
plus négatifs d'une boucle à mesure que les trames de diffusion et de monodiffusion
inconnues continuent de se propager indéfiniment dans une tempête de diffusion.
PC1 réachemine une diffusion qui est bloquée dans une boucle de couche 2.
PC4 réachemine une nouvelle diffusion qui est, elle aussi, bloquée dans la boucle de couche 2.
PC3 réachemine une autre diffusion qui est bloquée dans la boucle de couche 2.
PC2 réachemine une trame de diffusion, mais celle-ci ne peut être traitée en raison de la surcharge du trafic sur le réseau.
Trunk 2
Trunk 1
Trunk 3
Lorsqu'un hôte est pris dans une boucle de couche 2, les autres hôtes du réseau ne peuvent pas
y accéder. En outre, en raison des modifications constantes apportées à sa table d'adresses
MAC, le commutateur ne sait plus à partir de quel port réacheminer les trames de
monodiffusion. Dans l'animation précédente, les commutateurs disposent de ports incorrects
pour PC1. Toute trame de monodiffusion inconnue destinée à PC1 crée une boucle dans le
réseau, comme le font les trames de diffusion. Le nombre sans cesse croissant de trames
effectuant des boucles dans le réseau engendre par la suite une tempête de diffusion.
Pour empêcher ces problèmes de survenir dans un réseau redondant, un certain type
d'arborescence (Spanning Tree) doit être appliqué aux commutateurs. Spanning Tree est
activé par défaut sur les commutateurs Cisco pour empêcher la formation de boucles de
couche 2.
5.1.7
Cliquez sur chaque bouton pour obtenir une explication de la façon dont STA crée une
topologie sans boucle.
Topologie du scénario STA
Ce scénario STA utilise un réseau local Ethernet avec des connexions redondantes entre
plusieurs commutateurs.
S1S3S2S4S5S6S7S8
Le protocole STP empêche la boucle de se former en configurant un chemin sans boucle sur
l'ensemble du réseau, grâce à des ports bloqués stratégiquement placés. Les commutateurs qui
exécutent le protocole STP sont capables d'assurer la continuité des communications en cas de
panne en débloquant dynamiquement les ports préalablement bloqués et en autorisant le trafic
à emprunter les chemins de substitution.
5.1.8
Play Video
5.1.9
Packet Tracer - Investiguer la prévention des
boucles de STP
Dans cette activité Packet Tracer, vous remplirez les objectifs suivants:
STP est un protocole de routage de couche 3 pour les réseaux locaux Ethernet.
STP est un protocole de prévention de boucle de couche 2 pour les réseaux locaux Ethernet.
STP est un protocole de prévention de boucle de couche 3 pour les réseaux IP.
2. Sans STP sur le LAN Ethernet, quels trois types de trames pourraient provoquer une boucle
catastrophique dans le réseau? (Choisissez trois réponses.)
Monodiffusion
Monodiffusion inconnue
Multidiffusion
Diffusion
3. Quel périphérique est choisi par l'algorithme Spanning Tree vers lequel tous les autres
commutateurs déterminent un chemin unique le moins coûteux?
Pont Racine
Pont dédié
Commutateur principal
Pendant le fonctionnement de STA et de STP, les commutateurs utilisent des BPDU (Bridge
Protocol Data Units) pour partager des informations sur eux-mêmes et sur leurs connexions.
Les BPDU permettent de choisir le pont racine, les ports racine, les ports désignés et les ports
alternatifs. Chaque trame BPDU contient un ID de pont (bridge ID) qui identifie le
commutateur ayant envoyé la trame BPDU. Le BID participe à la prise de nombreuses
décisions STA, y compris les rôles de pont racine et de port. Comme illustré dans la figure ,
l'ID de pont (BID) contient une valeur de priorité, l'adresse MAC du commutateur et un ID
système étendu. La valeur d'ID de pont la plus basse est déterminée par une combinaison de
ces trois champs.
Le figure montre trois zones, chacune représente un composant de l'ID de pont. De gauche à
droite, la première zone est Priorité de Pont qui est de 4 bits de longueur, la deuxième est L'ID
système étendu qui est de 12 bits de longueur, et la troisième est l'adresse MAC qui est de 48
bits de longueur. Le texte situé à droite des zones indique le BID avec L'ID système étendu.
Le texte au dessous du figure indique Le BID comprend la priorité du pont, l'ID du système
étendu et l'adresse MAC du commutateur.
Priorité des pontsL'ID système étenduAdresse MACID de pont avec l'ID système étendu4 bits12 bits48 bits
La valeur de priorité par défaut pour tous les commutateurs Cisco est la valeur décimale
32768. La plage va de 0 à 61440 par incrément de 4096. Une priorité de pont inférieure est
préférable. Une priorité de pont de 0 a préséance sur toutes les autres priorités de pont.
ID système étendu
La valeur de l'ID système étendu est une valeur décimale ajoutée à la valeur de priorité du
pont du BID afin d'identifier le VLAN de cette BPDU.
Les premières versions du protocole IEEE 802.1D avaient été conçues pour des réseaux
n'utilisant pas de réseau local virtuel (VLAN). Il existait un spanning tree unique commun sur
tous les commutateurs. Pour cette raison, dans les anciens commutateurs, l'ID système étendu
n'était pas inclus dans les BPDU. Au fur et à mesure que le recours aux réseaux VLAN s'est
répandu pour segmenter l'infrastructure de réseau, le standard 802.1D a été mis à jour pour en
intégrer la prise en charge, ce qui imposait d'inclure l'ID du réseau 12-bit VLAN dans la trame
BPDU. Les informations de VLAN sont incluses dans la trame BPDU par le biais d'un ID
système étendu.
L'ID système étendu permet les implémentations ultérieures de STP, telles que Rapid STP
(RSTP), d'avoir différents ponts racine pour différents ensembles de VLAN. Cela peut
permettre d'utiliser des liens redondants et non-forwarding dans une topologie STP pour qu'un
ensemble de VLAN soit utilisé par un autre ensemble de VLAN utilisant un pont racine
différent.
Adress MAC
Lorsque deux commutateurs sont configurés avec la même priorité et possèdent le même ID
système étendu, le commutateur dont l'adresse MAC de valeur est la plus faible, exprimée au
format hexadécimal, aura le BID le plus bas.
5.2.2
Un processus de sélection détermine le commutateur qui servira de pont racine. Tous les
commutateurs du domaine de diffusion participent au processus d'élection. Après son
amorçage, le commutateur commence à envoyer des trames BPDU toutes les deux secondes.
Ces trames BPDU contiennent le BID du commutateur d'envoi et le BID du pont racine,
connue sous le nom ID racine.
Le commutateur ayant l'identificateur de pont (BID) le plus bas devient le pont racine.
Initialement, tous les commutateurs se déclarent en tant que pont racine avec son propre BID
défini comme l'ID racine. Finalement, les commutateurs apprennent par l'échange de BPDU
quel commutateur possède le BID le plus bas et se mettent au courant d'un pont racine.
Dans la figure, S1 est choisi comme pont racine parce qu'il possède le BID le plus bas.
PC2PC1PC3S3S2S1PC4F0/1F0/2F0/
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racineID de Pont:
Priorité = 32769
Adresse MAC = 000A00222222ID de pont:
Priorité = 24577
Adresse MAC = 000A00333333ID de pont:
Priorité = 32769
Adresse MAC = 000A00111111
5.2.3
Dans la figure, tous les commutateurs sont configurés avec la même priorité de 32769.
L'adresse MAC est alors le facteur décisif pour savoir quel commutateur deviendra le pont
racine. Le commutateur dont la valeur hexadécimale est la plus basse sera choisie pour la
désignation du pont racine. Dans cet exemple, S2 présente la valeur d'adresse MAC la plus
basse et devient donc pont racine pour l'instance Spanning Tree.
Remarque: Dans cet exemple, la priorité de tous les commutateurs est de 32769. La valeur
est basée sur la priorité de pont par défaut 32768 et l'ID système étendu (l'attribution du
VLAN 1) associé à chaque commutateur (32768+1).
PC2PC1PC3S3S2PC4S1F0/1F0/2F0/
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racineID de Pont:
Priorité =32769
Adresse MAC = 000A00222222ID de pont:
Priorité = 32769
Adresse MAC = 000A00333333ID de pont:
Priorité = 32769
Adresse MAC = 000A00111111
5.2.4
Remarque: Le BPDU inclut le coût du chemin racine. Il s'agit du coût du chemin allant du
commutateur expéditeur au pont racine.
Lorsqu'un commutateur reçoit le BPDU, il ajoute le coût du port d'entrée du segment pour
déterminer le coût de chemin racine interne associé.
Les coûts du port par défaut sont définis par la vitesse de fonctionnement du port. Le tableau
présente les coûts de port par défaut spécifié par IEEE. Les commutateurs Cisco utilisent par
défaut les valeurs définies par la norme IEEE 802.1D, également appelée coût de chemin
racine court, pour STP et RSTP. Cependant, la norme IEEE spécifie d'utiliser les valeurs
définies dans IEEE-802.1W, également connu sous le nom de coût de chemin racine long, lors
de l'utilisation de liaisons 10 Gbit/s et plus rapide.
Remarque: Le RSTP est discuté plus en détail plus tard dans ce module.
10 Gbit/s 2 2000
1 Gbit/s 4 20000
Bien qu'un coût de port par défaut soit associé aux ports des commutateurs, il est possible de
configurer le coût des ports. La capacité à configurer des coûts de port individuels donne à
l'administrateur la flexibilité nécessaire pour contrôler manuellement les chemins Spanning
Tree vers le pont racine.
5.2.5
Le coût du chemin racine interne équivaut à la somme des coûts de tous les ports le long du
chemin vers le pont racine ,comme illustré sur la figure. Les chemins dont le coût est le plus
bas deviennent les chemins préférés et tous les autres chemins redondants sont bloqués. Dans
l'exemple, le coût du chemin racine interne de S2 au pont racine S1 sur le chemin 1 est de 19
(selon le coût de port individuel spécifié par l'IEEE), tandis que le coût du chemin racine
interne sur le chemin 2 est de 38. Comme le chemin 1 a un coût de chemin global inférieur
vers le pont racine, il sera choisi comme chemin principal et F0/1 devient le port racine sur
S2.
PC2PC1PC3S3S2S1PC4F0/1F0/2F0/
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racine Port racine Chemin 2Chemin 1Chemin 2 Port racine Chemin 1 Coût = 19 x 1 = 19
Chemin 2 Coût = 19 x 2 = 38
Chemin 1 est le meilleur chemin.
5.2.6
Chaque segment entre deux commutateurs aura un port désigné. Le port désigné est un port
sur le segment (avec deux commutateurs) qui a le coût du chemin racine interne vers le pont
racine. En d'autres termes, le port désigné a le meilleur chemin pour recevoir le trafic qui
conduit au pont racine.
Ce qui n'est pas un port racine ou un port désigné devient un port alternatif ou bloqué. Le
résultat final est un chemin unique entre chaque commutateur et le pont racine.
Cliquez sur chaque bouton pour obtenir une explication de la façon dont STA sélectionne les
ports désignés.
Ports désignés sur le pont racine
Port désigné lorsqu'il y a un port racine
Tous les ports du pont racine sont des ports désignés, comme indiqué dans la figure. C'est
parce que le pont racine a le coût le plus bas pour lui-même.
PC2PC1PC3S3S2S1PC4F0/1F0/2F0/
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk 3Trunk1Trunk2Pont racine Port racinePort désignéPort désignéPort racinePort désigné
5.2.7
PC2PC1PC3S3S2S1PC4F0/1F0/2F0/
18F0/2F0/1F0/2F0/1F0/11F0/6172.17.10.27172.17.10.23172.17.10.22172.17.10.21F0/3
Trunk3Trunk1Trunk2Pont racine Port racinePort désignéPort désignéPort racinePort désignéPort alternatifPort
désigné
L'interface F0/2 de S3 n'est pas un port racine ou un port désigné, il devient donc un port
alternatif ou bloqué.
5.2.8
Lorsqu'un commutateur possède plusieurs chemins d'accès à coût égal vers le pont racine, le
commutateur détermine un port en utilisant les critères suivants:
La figure montre une topologie avec quatre commutateurs, dont le commutateur S1 s'agit
comme pont racine. Si vous examinez les rôles de port, le port F0/1 sur le commutateur S3 et
le port F0/3 sur le commutateur S4 ont été sélectionnés comme ports racine parce que le
chemin de leurs commutateurs respectifs présente le plus faible coût (coût de chemin racine)
jusqu'au pont racine. S2 dispose de deux ports, F0/1 et F0/2, dont les chemins jusqu'au pont
racine offrent le même coût. Dans ce cas, ce sont les ID de pont des commutateurs voisins, S3
et S4, qui seront utilisés pour les départager. Il s'agit du BID de l'émetteur. S3 a un BID de
32769.5555.5555 et S4 a un BID de 32769.1111.1111. Puisque S4 a un BID inférieur, le port
F0/1 de S2, qui est connecté à S4, est le port racine.
S3S1S2S4F0/1F0/2F0/3F0/1F0/1F0/2F0/1F0/2
Minuteur Hello - le minuteur Hello est l'intervalle entre les mises à jour BPDU. La valeur par défaut
est 2 secondes, mais les valeurs autorisées peut être modifier entre 1 et 10 secondes.
Minuteur Forward Delay - le minuteur Forward Delay est le temps passé à l'état d'écoute et
d'apprentissage. La valeur par défaut est de 15 secondes mais peut être modifiée entre 4 et 30
secondes.
Minuteur Max Age - le minuteur Max Age est la durée maximale d'attente d'un commutateur avant
de tenter de modifier la topologie STP. La valeur par défaut est 20 secondes mais peut être modifiée
entre 6 et 40 secondes.
Remarque: Les durées par défaut peuvent être modifiées sur le pont racine, ce qui dicte la
valeur de ces minuteurs pour le domaine STP.
Le protocole STP facilite la mise en place d'un chemin logique sans boucle sur l'ensemble du
domaine de diffusion. L'arbre recouvrant est déterminé au moyen des informations recueillies
par l'échange de trames BPDU entre les commutateurs interconnectés. Si un port de
commutateur passe directement de l'état de blocage à l'état de réacheminement sans
informations sur la topologie complète pendant la transition, le port peut créer temporairement
une boucle de données. Pour cette raison, STP compte cinq états des ports, dont quatre sont
des états des ports opérationnels, comme le montre la figure. L'état désactivé est considéré
comme non opérationnel.
La figure montre un organigramme décrivant les quatre états opérationnels du STP. En haut
de l'organigramme se trouve l'état de blocage. Dans l'état de blocage aucun BPDU n'est reçu
et l'âge maximal = 20 secondes. Une flèche pointe de l'état de blocage à l'état Écoute. L'état
d'écoute a un délai de 15 secondes. Une flèche pointe de l'état Écoute à l'état Apprentissage.
L'état d'apprentissage a un délai de transfert = 15 secondes. Une flèche pointe de l'état
d'Apprentissage à l'état d'Acheminement. Il y a un organigramme qui s'appelle Link et une
flèche qui pointe vers une deuxième case titrée Blocking. Le texte dans la zone de blocage
indique En état de blocage jusqu'à ce que STP détermine si le port est un port racine ou un
port désigné. Cette zone comporte une flèche pointant vers l'état d'écoute.
Blocage
Écoute
Apprentissage
AcheminementBlocage
En état de blocage jusqu'à ce que STP détermine si le port est le port racine ou le port désigné
le lien apparaît
les détails de chaque état de port qui sont présentés dans le tableau.
Légende du tableau
Le port est un port alternatif qui ne participe pas au transmission de trames. Le port
reçoit des trames BPDU pour déterminer l'emplacement et l'ID racine du pont racine.
Les trames BPDU déterminent également les rôles de port de chaque port de
Blocage
commutateur doit assumer dans la topologie STP active finale. Grâce au minuteur Max
age de 20 secondes, un port de commutateur qui n'a pas reçu un BPDU attendu d'un
commutateur voisin passera à l'état de blocage.
Écoute Après l'état de blocage, un port passe à l'état d'écoute. Le port reçoit des BPDU pour
déterminer le chemin d'accès à la racine. le port de commutateur transmet également
Légende du tableau
ses propres trames BPDU et informe les commutateurs adjacents que le port du
commutateur se prépare à participer à la topologie active.
Dans l'état d'acheminement, un port de commutateur est considéré comme une partie
Acheminement du topologie. Le port du commutateur transfère le trafic utilisateur et envoie et reçoit
les trames BPDU.
5.2.10
Table Transmission
État du port BPDU d’adresses de trames de
MAC données
Table Transmission
État du port BPDU d’adresses de trames de
MAC données
5.2.11
Dans les versions de protocole PVST (Per-VLAN Spanning Tree) de STP, un pont racine est
déterminé pour chaque instance Spanning Tree. Il est possible de disposer de plusieurs ponts
racine distincts pour différents ensembles de réseaux VLAN. STP exploite une instance
distincte de STP pour chaque VLAN individuel. Si tous les ports de tous les commutateurs
sont membres de VLAN 1, il n'y aura qu'une seule instance Spanning Tree.
5.2.12
L'ID du pont
2. Le pont racine sera le commutateur avec:
Le port désigné
Le port racine
Le port routé
4. Le port sur le segment (avec deux commutateurs) qui a le coût du chemin racine plus bas vers le
pont racine est :
Le port désigné
Le port bloqué ou port non dédié
Le port racine
Le port routé
5. Lequel des ports suivants transmettra les trames Ethernet? (Choisissez deux réponses.)
Le port désigné
Le port racine
6. La somme des coûts de port individuels le long du chemin entre le commutateur et le pont racine
est connue sous le nom de:
Chaque 2 seconds
Chaque 15 seconds
Chaque 20 seconds
Jusqu'à maintenant, nous avons utilisé le terme Spanning Tree Protocol et l'acronyme STP, ce
qui peut être trompeur. De nombreux professionnels utilisent ces termes pour désigner des
implémentations différentes du concept de Spanning Tree, par exemple le protocole RSTP
(Rapid Spanning Tree Protocol) et le protocole MSTP (Multiple Spanning Tree Protocol).
Pour pouvoir communiquer clairement sur les concepts de Spanning Tree, il est important de
parler d'une implémentation ou d'une norme d'arbre recouvrant dans son contexte.
La dernière norme de l'arbre recouvrant est contenue dans IEEE-802-1D-2004, la norme IEEE
pour les réseaux locaux et métropolitains: ponts MAC (Media Access Control). Cette version
de la norme indique que les commutateurs et les ponts conformes à la norme utiliseront le
protocole RSTP (Rapid Spanning Tree Protocol) au lieu de l'ancien protocole STP spécifié
dans la norme 802.1d d'origine. Dans ce cursus, lorsque le protocole STP original est utilisé
dans un contexte de discussion, le terme «STP 802.1D initial» est préféré pour éviter toute
confusion. Puisque les deux protocoles partagent en grande partie la même terminologie et les
mêmes méthodes en matière de chemin sans boucle, nous mettrons principalement l'accent sur
le standard actuel et les implémentations propres à Cisco de STP et de RSTP.
Plusieurs protocoles Spanning Tree Protocol (STP) sont apparus depuis la création du
protocole IEEE 802.1D d'origine, comme indiqué sur le tableau.
Légende du tableau
Variété
Description
STP
Protocole
Il s'agit de la version originale IEEE 802.1D (802.1D-1998 et antérieure) qui fournit une
STP
topologie sans boucle dans un réseau avec des liens redondants. De plus appelé CST
(Spanning
(Common Spanning Tree, arbre recouvrant commun) suppose une seule instance Spanning
tree
Tree pour l'ensemble du réseau ponté, quel que soit le nombre de VLAN.
Protocole)
Protocole Spanning Tree Par VLAN (PVST+) est une version améliorée du protocole STP proposée par
PVST+ Cisco, qui offre une instance Spanning Tree 802.1D séparée pour chaque VLAN configuré
Légende du tableau
Variété
Description
STP
(Per-VLAN dans le réseau. PVST+ prend en charge PortFast, UplinkFast, BackboneFast, la protection
Spanning BPDU, le filtre BPDU, la protection de racine et la protection de boucle.
Tree)
802.1D-
C'est une version mise à jour du protocole STP standard, intégrant IEEE 802.1w.
2004
Protocole
RSTP
(Rapid Rapid Spanning Tree Protocol (RSTP) ou IEEE 802.1w est une évolution de STP qui offre une
Spanning convergence plus rapide que STP.
Tree
Protocol)
Rapid
C'est une version améliorée du protocole RSTP proposée par Cisco et utilisant PVST+ et offre
PVST+
une instance 802.1w séparée pour chaque VLAN. Chaque instance distincte prend en charge
(Per-VLAN
PortFast, la protection BPDU, le filtre BPDU, la protection de racine et la protection de
Spanning
boucle.
Tree)
Protocole
MSTP
Multiple Spanning Tree Protocol (MSTP) est un standard IEEE inspiré de l'implémentation
(Multiple
MISTP plus ancienne de Cisco (Multiple Instance STP). MSTP mappe plusieurs VLAN dans une
Spanning
même instance Spanning Tree.
Tree
Protocol)
MST MST est l'implémentation Cisco de MSTP, qui fournit jusqu'à 16 instances du protocole RSTP
(Multiple et allie plusieurs VLAN avec la même topologie physique et logique au sein d'une instance
Spanning courante du protocole RSTP. Chaque instance prend en charge PortFast, la protection BPDU,
Tree) le filtre BPDU, la protection de racine et la protection de boucle.
Un professionnel des réseaux, dont la mission inclut l'administration des commutateurs, peut
être amené à décider quel type de protocole STP implémenter.
Les commutateurs Cisco fonctionnant sous IOS 15.0 ou une version ultérieure exécutent
PVST+ par défaut. Cette version intègre plusieurs des caractéristiques du standard IEEE
802.1D-2004, telles que les ports alternatifs au lieu des anciens ports non désignés. Les
commutateurs doivent être explicitement configurés pour le mode Rapid Spanning Tree afin
d'exécuter le protocole Rapid Spanning Tree.
5.3.2
Concepts RSTP
RSTP (IEEE 802.1w) remplace le protocole 802.1D d'origine, tout en conservant la
rétrocompatibilité. La terminologie du protocole STP 802.1w est essentiellement la même que
celle du protocole STP IEEE 802.1D initial. La plupart des paramètres ont été conservés. les
utilisateurs déjà familiarisés avec la norme STP d'origine puissent rapidement configurer le
protocole RSTP. Le même algorithme de spanning tree est utilisé pour STP et RSTP pour
déterminer les rôles de port et la topologie.
Le protocole RSTP optimise le recalcul de l'arbre recouvrant lorsque la topologie d'un réseau
de couche 2 change. Le protocole RSTP assure un temps de convergence beaucoup plus
rapide dans un réseau correctement configuré, parfois de l'ordre de quelques centaines de
millisecondes. Si un port est configuré comme port alternatif, il peut passer immédiatement à
l'état de transmission sans attendre que le réseau converge.
Remarque: Rapid PVST+ est l'implémentation Cisco du protocole RSTP par VLAN. En
utilisant le protocole Rapid PVST+ une instance indépendante s'exécute sur chaque VLAN.
5.3.3
Cliquez sur chaque bouton pour comparer les états de port STP et RSTP et les rôles de port.
États du port STP et RSTP
Comme le montre la figure, il n'y a que trois états de port dans le RSTP qui correspondent aux
trois états opérationnels possibles dans le STP. Les états de désactivation, de blocage et
d'écoute de la 802.1D sont fusionnés en un état unique de suppression de la 802.1w.
La figure indique les statistiques des ports STP et RSTP les unes à côté de l'autre à des fins de
comparaison. Sur la gauche se trouvent les états du port STP répertoriés dans l'ordre de haut
en bas: Désactivation, Blocage, Écoute, Apprentissage et Acheminement. Sur la droite se
trouvent les états de port RSTP répertoriés dans l'ordre de haut en bas: mise à l'écart
(discarding), apprentissage ou acheminement.
5.3.4
PortFast et protection BPDU
Lorsqu'un périphérique est connecté à un port de commutateur ou lorsqu'un commutateur se
met sous tension, le port de commutateur passe par les états d'écoute et d'apprentissage,
chaque fois qu'il attend l'expiration de minuteur Forward Delay. Ce délai est de 15 secondes
pour chaque état, écoute et apprentissage, pour un total de 30 secondes. Ce délai peut
présenter un problème pour les clients DHCP qui tentent de découvrir un serveur DHCP. Les
messages DHCP provenant de l'hôte connecté ne seront pas transférés pendant les 30
secondes de minuteur Forward Delay et le processus DHCP peut expirer. Le résultat est qu'un
client IPv4 ne recevra pas une adresse IPv4 valide.
Remarque: Bien que cela puisse se produire avec les clients qui envoient des messages de
sollicitation de routeur ICMPv6, le routeur continuera d'envoyer des messages d'annonce de
routeur ICMPv6 afin que l'appareil sache comment obtenir ses informations d'adresse.
Lorsqu'un port de commutateur est configuré avec PortFast, ce port passe de l'état de blocage
à l'état d'acheminement immédiatement, sans passer par les autres états 802.1D STP habituels
(écoute et apprentissage) et en évitant un délai de 30 secondes. Vous pouvez utiliser PortFast
sur les ports d'accès pour permettre aux appareils connectés à ces ports, tels que les clients
DHCP, d'accéder immédiatement au réseau, plutôt que d'attendre que le STP IEEE 802.1D
converge sur chaque VLAN. L'objectif de la fonction PortFast étant de minimiser le temps
d'attente des ports d'accès avant la convergence Spanning Tree, elle doit être utilisée
uniquement sur les ports d'accès. Si vous activez PortFast sur un port connecté à un autre
commutateur, vous risquez de créer une boucle Spanning Tree. PortFast est uniquement
destiné aux ports de commutateur qui se connectent aux périphériques terminaux.
PC2PC1PC3S3S1S2F0/1172.17.10.21172.17.10.23172.17.10.22F0/2F0/2F0/1F0/2F0/1F0/11F0/6F0/1
8
5.3.5
Deux topologies de réseau physique montrant une conception de réseau hiérarchique et une
conception de cœur de réseau regroupé
Selon l'implémentation, la couche 2 peut inclure non seulement la couche d'accès, mais aussi
la couche de distribution ou même les couches cœur de réseau. Ces conceptions peuvent
inclure des centaines de commutateurs, avec des centaines ou des milliers de VLAN. Le STP
s'est adapté à la redondance et à la complexité accrues grâce à des modifications dans le cadre
du RSTP et du MSTP.
Le routage de couche 3 permet des chemins et des boucles redondants dans la topologie, sans
bloquer les ports. Pour cette raison, certains environnements sont en cours de transition vers la
couche 3 partout, sauf lorsque les périphériques se connectent au commutateur de couche
d'accès. En d'autres termes, les connexions entre les commutateurs de couche d'accès et les
commutateurs de distribution seraient la couche 3 au lieu de la couche 2, comme indiqué dans
la figure suivante.
La topologie du réseau physique présente sept commutateurs de couche 3 et six PC. Deux
commutateurs de couche 3 en haut de la topologie se trouvent dans le cœur réseau. Deux
commutateurs de couche 3 se trouvent dans la couche de distribution. Trois commutateurs de
couche 3 connectent les couches de distribution et d'accès. Les six PC sont entièrement dans
la couche d'accès.
Bien que le STP continuera très probablement à d'être utilisé comme système de prévention
des boucles dans l'entreprise, sur les commutateurs de la couche d'accès, d'autres technologies
sont également utilisées, notamment les suivantes:
5.3.6
Désactivation
Blocage
Écoute
apprentissage
Acheminement
2. Quel protocole a été conçu pour accélérer la convergence vers STP?
PortFast
RSTP
PVST
MSTP
3. Quelle technologie résout le problème d'un périphérique qui ne parvient pas à obtenir une
adresse IPv4 à partir d'un serveur DHCP en raison des minuteurs Forwarding Delay ?
PortFast
Protection BPUD
PVST
MSTP
Les chemins d'accès redondants dans un réseau Ethernet commuté peuvent entraîner à la fois
des boucles physiques et logiques de couche 2. Une boucle de couche 2 peut entraîner
l'instabilité de la table d'adresses MAC, la saturation des liaisons et une utilisation élevée de
processeur sur les commutateurs et les terminaux. Il en résulte que le réseau devient
inutilisable. Contrairement aux protocoles de couche 3, IPv4 et IPv6, l'Ethernet de couche 2
n'intègrent pas de mécanisme pour identifier et éliminer les trames prises dans une boucle
infinie. Les réseaux locaux Ethernet nécessitent une topologie sans boucle avec un chemin
unique entre deux périphériques. Le protocole STP est un protocole réseau de prévention des
boucles qui permet la redondance tout en créant une topologie de couche 2 sans boucle. Sans
STP, les boucles de couche 2 peuvent se former, provoquant une boucle infinie de trames de
diffusion, de multidiffusion et de monodiffusion inconnues, entraînant la défaillance d'un
réseau. Une tempête de diffusion est un nombre anormalement élevé d'émissions qui
submergent le réseau pendant une durée déterminée. Les tempêtes de diffusion peuvent
désactiver un réseau en quelques secondes en submergeant les commutateurs et les appareils
terminaux. STP est basé sur un algorithme inventé par Radia Perlman. Son algorithme de
spanning tree (STA) crée une topologie sans boucle en sélectionnant un pont racine unique où
tous les autres commutateurs déterminent un seul chemin moins coûteux.
Le fonctionnement de STP
En utilisant le STA, STP établit une topologie sans boucle dans un processus en quatre étapes
: élection du pont racine, élection des ports racine, élection des ports désignés et élection des
ports alternatifs (bloqués). Pendant le fonctionnement de STA et de STP, les commutateurs
utilisent des BPDU (Bridge Protocol Data Units) pour partager des informations sur eux-
mêmes et sur leurs connexions. Les BPDU permettent de choisir le pont racine, les ports
racine, les ports désignés et les ports alternatifs. Chaque trame BPDU contient un
identificateur de pont qui identifie le commutateur ayant envoyé la trame BPDU. La BID
participe à la prise de nombreuses décisions STA, y compris les rôles de pont racine et de
port. L'ID de pont contient une valeur de priorité, l'adresse MAC du commutateur et un ID
système étendu. La valeur d'ID de pont la plus basse est déterminée par une combinaison de
ces trois champs. Le commutateur ayant l'identificateur de pont (BID) le plus bas devient le
pont racine. Étant donné que le BID par défaut est 32768, il est possible que deux
commutateurs ou plusieurs aient la même priorité. Dans ce scénario, où les priorités sont
identiques, le commutateur ayant l'adresse MAC la plus basse deviendra le pont racine.
Lorsque le pont racine a été choisi pour l'instance Spanning Tree, l'algorithme STA détermine
des meilleurs chemins possibles vers le pont racine, depuis l'ensemble des destinations du
domaine de diffusion. Les informations relatives au chemin, appelées coût du chemin racine
interne, sont déterminées en additionnant les coûts de port individuels le long du chemin entre
le commutateur et le pont racine. Une fois le pont racine est déterminé, l'algorithme STA
sélectionne le port racine. Le port racine est le port le plus proche du pont racine en termes de
coûts généraux qui est appelé coût du chemin racine interne. Après que chaque commutateur a
sélectionné un port racine, les commutateurs sélectionnent les ports désignés. Le port désigné
est un port sur le segment (avec deux commutateurs) qui a le coût du chemin racine interne
vers le pont racine. Si un port n'est pas un port racine ou un port désigné, il devient alors un
port alternatif (ou de secours). les ports alternatifs et de secours sont à l'état de suppression ou
de blocage pour éviter les boucles. Lorsqu'un commutateur possède plusieurs chemins d'accès
à coût égal vers le pont racine, le commutateur détermine un port en utilisant les critères
suivants:BID d'expéditeur le plus bas, puis priorité de port d'expéditeur le plus bas et enfin
l'ID de port d'expéditeur le plus bas. La convergence STP nécessite trois minuteries: le
minuteur Hello, le minuteur Forward delay et le minuteur max age. Les états de port sont:
blocage, écoute, apprentissage, acheminement et désactivé. Dans les versions PVST de STP,
un pont racine est déterminé pour chaque instance Spanning Tree. Il est possible de disposer
de plusieurs ponts racine distincts pour différents ensembles de réseaux VLAN.
L'évolution de STP
Le terme Spanning Tree Protocol et l'acronyme STP, ce qui peut prêter à confusion. STP est
souvent utilisé pour faire référence aux différentes implémentations de spanning tree, telles
que RSTP et MSTP. RSTP est une évolution de Spanning Tree qui offre une convergence
plus rapide que STP. Les états des ports de RSTP sont mise à l'écart (discarding),
apprentissage et acheminement. PVST+ est une version améliorée du protocole STP proposée
par Cisco, qui offre une instance Spanning Tree 802.1D séparée pour chaque VLAN
configuré dans le réseau. PVST+ prend en charge PortFast, UplinkFast, BackboneFast, la
protection BPDU, le filtre BPDU, la protection de racine et la protection de boucle. Les
commutateurs Cisco fonctionnant sous IOS 15.0 ou une version ultérieure exécutent PVST+
par défaut. Rapid PVST+ est une version améliorée de RSTP proposée par Cisco qui utilise
PVST+ et fournit une instance distincte de 802.1w par VLAN. Lorsqu'un port de
commutateur est configuré avec PortFast, ce port passe immédiatement de l'état de blocage à
l'état d'acheminement, évitant ainsi les états d'écoute et d'apprentissage STP et un délai de 30
secondes. Vous pouvez utiliser PortFast sur les ports d'accès pour permettre aux appareils
connectés à ces ports, tels que les clients DHCP, d'accéder immédiatement au réseau, plutôt
que d'attendre que le STP converge sur chaque VLAN. Les commutateurs Cisco prennent en
charge une fonctionnalité appelée Protection BPDU qui met immédiatement le port du
commutateur dans un état désactivé par erreur à la réception de tout BPDU pour se protéger
contre les boucles potentielles. Au cours des ans, les réseaux locaux Ethernet sont passés de
quelques commutateurs interconnectés, reliés à un seul routeur, à une conception de réseau
hiérarchique sophistiquée. Selon l'implémentation, la couche 2 peut inclure non seulement la
couche d'accès, mais aussi la couche de distribution ou même les couches cœur de réseau. Ces
conceptions peuvent inclure des centaines de commutateurs, avec des centaines ou des
milliers de VLAN. Le protocole STP s'est adapté à la redondance et à la complexité accrues
grâce à des modifications dans le cadre du RSTP et du MSTP. Le routage de couche 3 permet
des chemins et des boucles redondants dans la topologie, sans bloquer les ports. Pour cette
raison, certains environnements sont en cours de transition vers la couche 3 partout, sauf
lorsque les périphériques se connectent au commutateur de couche d'accès.
5.4.2
Blocage
Apprentissage
Écoute
Acheminement
2. Une fois l'élection du pont racine terminée, comment les commutateurs trouveront-ils les
meilleurs chemins vers le pont racine?
Chaque commutateur analysera la somme de tous les coûts de port pour atteindre la racine et
utiliser le chemin avec le coût le plus bas.
Chaque commutateur analysera l'état des ports de tous les voisins et utilisera les ports désignés
pour transférer le trafic vers la racine.
Chaque commutateur analysera le BID de tous les voisins pour atteindre la racine et utiliser le
chemin à travers les voisins BID les plus bas.
Chaque commutateur analysera la somme des tronçons pour atteindre la racine et utilisera le
chemin avec le moins de tronçons.
3. Quel rôle de port STP est adopté par un port de commutateur s'il n'y a pas d'autre port moins
coûteux pour le pont racine ?
Port racine
Port alternatif
port désigné
port désactivé
Rapid PVST+
4. Quelle valeur détermine le pont racine lorsque tous les commutateurs reliés par des liaisons trunk
ont des configurations STP par défaut?
Priorité du pont
ID du VLAN
ID système étendu
Adresse MAC
5. Pendant l'implémentation du protocole Spanning Tree, tous les commutateurs sont redémarrés
par l'administrateur réseau. Quelle est la première étape du processus électoral de Spanning
Tree?
Chaque commutateur détermine le port à bloquer pour empêcher une boucle de se produire.
Tous les commutateurs envoient des BPDU publicitaires eux-mêmes comme le pont racine.
Chaque commutateur dont l'ID racine est inférieur à celui de son voisin n'enverra pas de BPDU.
ID de pont
ID système étendu
PVST+
PortFast
Port de périphérie
7. Quels sont les trois états de port utilisés par Rapid PVST+? (Choisissez trois réponses.)
Écoute
Trunking
Acheminement
Mise à l'écart
Apprentissage
Blocage
8. Lorsque PVST est exécuté sur un réseau commuté, quel état de port peut participer au transfert
de trames BPDU basé sur les BPDU reçus, mais ne transfère pas les trames de données?
Écoute
ID système étendu
Blocage
Désactivation
9. Quel rôle de port STP est adopté par un port de commutateur s'il n'y a pas d'autre port moins
coûteux pour le pont racine ?
Port alternatif
Port racine
port désigné
port désactivé
10. Quelles sont les deux affirmations qui décrivent un port de commutateur configuré avec
PortFast? (Choisissez deux réponses.)
Apprentissage
Le port de commutateur traite immédiatement toutes les BPDU avant de passer à l'état
d'acheminement.
Blocage
Acheminement
Écoute
Désactivation
12. Quelles sont les informations supplémentaires contenues dans l'ID système étendu 12 bits d'un
BPDU?
ID du VLAN
Adresse MAC
ID de port
Adresse IP
13. Un administrateur est en train de dépanner un commutateur et veut vérifier s'il s'agit d'un pont
racine. Quelle commande peut être utilisée pour effectuer cette opération ?
show running-config
show spanning-tree
show startup-config
show vlan
14. Quelle est la description précise d'un redondance ?
configuration d'un commutateur avec une sécurité appropriée pour s'assurer que tout le trafic
acheminé via une interface est filtré
conception d'un réseau pour utiliser plusieurs chemins entre les commutateurs afin de s'assurer
qu'il n'y a pas de point de défaillance unique
conception d'un réseau pour utiliser plusieurs périphériques virtuels afin de s'assurer que tout le
trafic utilise le meilleur chemin à travers un interréseau
configuration d'un routeur avec une base de données d'adresses MAC complète pour s'assurer
que toutes les trames peuvent être transférées vers la bonne destination
Introduction
6.0.1
Pourquoi devrais-je suivre ce module?
Bienvenue sur EtherChannel!
La conception de votre réseau inclut des commutateurs et des liens redondants. Vous avez une
version de STP configurée pour empêcher les boucles de couche 2. Mais maintenant, comme la
plupart des administrateurs réseau, vous réalisez que vous pourriez utiliser plus de bande
passante et de redondance dans votre réseau. Ne vous inquiétez pas, EtherChannel est là pour
vous aider! EtherChannel regroupe les liens entre les périphériques en lots. Ces lots incluent des
liens redondants. STP peut bloquer l'un de ces liens, mais il ne les bloquera pas tous. Avec
EtherChannel, votre réseau peut avoir une redondance, une prévention des boucles (loop) et une
bande passante accrue!
Il existe deux protocoles, PAgP et LACP. Ce module explique les deux et vous montre également
comment les configurer, les vérifier et les dépanner! Un vérificateur de syntaxe et deux activités
de Paquet Tracer vous aident à mieux comprendre ces protocoles. Qu'attendez-vous?
6.0.2
Légende du tableau
5.4
Fonctionnement d'EtherChannel
6.1.1
Agrégation de liaisons
Il existe des scénarios dans lesquels plus de bande passante ou de redondance entre les
périphériques est nécessaire que ce qui peut être fourni par une liaison unique. Plusieurs liens
peuvent être connectés entre les appareils pour augmenter la bande passante. Cependant, le
protocole STP (Spanning Tree Protocol), qui est activé sur les périphériques de couche 2 tels
que les commutateurs Cisco par défaut, bloquera les liens redondants pour empêcher les
boucles de commutation, comme le montre la figure.
Une technologie d'agrégation de liens est nécessaire pour permettre des liaisons redondantes
entre les périphériques qui ne seront pas bloqués par STP. Cette technologie est connue sous
le nom d'EtherChannel.
EtherChannel est une technologie d'agrégation de liens qui regroupe plusieurs liaisons
Ethernet physiques en un seul lien logique. Il est utilisé pour fournir une tolérance aux pannes,
un partage de charge, une bande passante accrue et une redondance entre les commutateurs,
les routeurs et les serveurs.
Il est également possible de combiner le nombre de liaisons physiques entre les commutateurs
pour accélérer de manière globale la communication entre les commutateurs.
Bloqué
6.1.2
EtherChannel
La technologie EtherChannel a initialement été développée par Cisco comme une technique
de réseau local entre deux commutateurs permettant de regrouper plusieurs ports Fast
Ethernet ou Gigabit Ethernet en un seul canal logique. Quand un EtherChannel est configuré,
l'interface virtuelle résultante est appelée un canal de port. Les interfaces physiques sont
regroupées dans une interface de canal portuaire, comme le montre la figure.
EtherChannelEtherChannel
6.1.3
Avantages de l'EtherChannel
La technologie EtherChannel présente de nombreux avantages, dont les suivants :
La plupart des tâches de configuration peuvent être réalisées sur l'interface EtherChannel plutôt que
sur chaque port, ce qui assure la cohérence de la configuration sur toutes les liaisons.
Un EtherChannel repose sur les ports de commutation existants. Il n'est pas nécessaire de mettre à
niveau la liaison vers une connexion plus rapide et plus coûteuse pour avoir davantage de bande
passante.
L'équilibrage de la charge se fait entre les liaisons appartenant au même EtherChannel. En fonction
de la plate-forme matérielle, une ou plusieurs méthodes d'équilibrage de la charge peuvent être
implémentées. Ces méthodes incluent l'équilibrage de la charge entre les adresses MAC source et de
destination ou entre les adresses IP source et de destination, sur les liaisons physiques.
EtherChannel crée une agrégation considérée comme une seule liaison logique. Quand plusieurs
groupes EtherChannel existent entre deux commutateurs, STP peut bloquer l'un des groupes pour
éviter les boucles de commutation. Quand STP bloque l'une des liaisons redondantes, il bloque la
totalité de l'EtherChannel. Cela bloque tous les ports appartenant à cette liaison EtherChannel.
Quand il existe uniquement une liaison EtherChannel, toutes les liaisons physiques de l'EtherChannel
sont actives, car STP considère une seule liaison (logique).
EtherChannel offre de la redondance car la liaison globale est considérée comme une seule
connexion logique. De plus, la perte d'un lien physique dans le canal ne crée pas de changement dans
la topologie. Par conséquent, un recalcul de l'arbre spanning n'est pas requis. En supposant qu'il
existe au moins une liaison physique, l'EtherChannel fonctionne normalement, même si son débit
global diminue à cause de la perte d'une liaison dans l'EtherChannel.
6.1.4
Restrictions d'implémentation
EtherChannel a certaines restrictions d'implémentation, notamment les suivantes:
Les types d'interfaces ne peuvent pas être associés. Par exemple, le Fast Ethernet et le Gigabit
Ethernet ne peuvent pas être mélangés dans un seul EtherChannel.
Actuellement, chaque EtherChannel peut être composé de huit ports Ethernet maximum, configurés
pour être compatibles. EtherChannel fournit une largeur de bande en duplex intégral jusqu'à 800
Mbps (Fast EtherChannel) ou 8 Gbps (Gigabit EtherChannel) entre un commutateur et un autre
commutateur ou hôte.
Le commutateur Cisco Catalyst 2960 de couche 2 prend actuellement en charge jusqu'à six canaux
EtherChannels. Cependant, grâce au développement de nouveaux IOS et à l'évolution des plates-
formes, certaines cartes et plates-formes peuvent prendre en charge un nombre accru de ports dans
une liaison EtherChannel, ainsi qu'un nombre accru de Gigabit EtherChannels.
La configuration de chaque port du groupe EtherChannel doit être cohérente sur les deux
périphériques. Si les ports physiques sont configurés en tant que trunks d'un côté, les ports
physiques de l'autre côté doivent également être configurés en tant que trunks avec le même VLAN
natif. En outre, tous les ports de chaque liaison EtherChannel doivent être configurés en tant que
ports de couche 2.
Chaque EtherChannel possède une interface de canal de port logique, comme le montre la figure.
Une configuration appliquée à l'interface de canal de port affecte toutes les interfaces physiques
attribuées à cette interface.
Le diagramme illustre la vue de face d'un commutateur 2960 montrant les liaisons de groupe
de canaux de plusieurs ports physiques 10/100/1000 dans des interfaces de canaux de ports
logiques. Une interface de canal de port logique relie les ports physiques 1 à 6 ensemble et
l'autre lie les ports 9 à 12 ensemble.
6.1.5
6.1.6
Opération PAgP
PAgP (prononcé "Pag - P") est un protocole propriétaire de Cisco qui aide à la création
automatique de liens EtherChannel. Quand une liaison EtherChannel est configurée grâce à
PAgP, des paquets PAgP sont envoyés entre les ports compatibles EtherChannel pour
négocier la formation d'un canal. Quand PAgP identifie des liaisons Ethernet associées, il
groupe les liaisons dans un EtherChannel. L'EtherChannel est ensuite ajouté à l'arbre de
spanning recouvrant comme port unique.
S'il est activé, PAgP gère également l'EtherChannel. Les paquets PAgP sont envoyés toutes
les 30 secondes. PAgP vérifie la cohérence de la configuration et gère les ajouts de liaison et
les défaillances entre deux commutateurs. Il garantit que tous les ports ont le même type de
configuration quand un EtherChannel est créé.
Remarque: Dans EtherChannel, il est obligatoire que tous les ports aient la même vitesse, le
même réglage duplex et les mêmes informations VLAN. Toute modification d'un port après la
création du canal modifie également tous les autres ports du canal.
PAgP permet de créer la liaison EtherChannel en détectant la configuration de chaque côté et
en assurant la compatibilité des liaisons, afin que la liaison EtherChannel puisse être activée si
besoin. Les modes pour le PAgP sont les suivants :
On - Ce mode force l'interface à établir un canal sans PAgP. Les interfaces configurées en mode On
(Activé) n'échangent pas de paquets PAgP.
PAgP desirable - Ce mode PAgP place une interface dans un état de négociation active dans lequel
l'interface initie des négociations avec d'autres interfaces en envoyant des paquets PAgP.
PAgP auto - Ce mode PAgP place une interface dans un état de négociation passive dans lequel
l'interface répond aux paquets PAgP qu'elle reçoit mais n'initie pas de négociation PAgP.
Les modes doivent être compatibles de chaque côté. Si une partie est configurée pour être en
mode automatique, elle est placée dans un état passif, attendant que l'autre partie entame la
négociation du canal Ethernet. Si l'autre côté est également placé en mode Auto, la
négociation ne commence jamais et l'EtherChannel ne se forme pas. Si tous les modes sont
désactivés en utilisant la no commande, ou si aucun mode n'est configuré, alors le
EtherChannel est désactivé.
L'absence de négociation entre les deux commutateurs signifie qu'il n'y a pas de vérification
pour s'assurer que tous les liens dans le EtherChannel se terminent de l'autre côté, ou qu'il y a
une compatibilité PAgP sur l'autre commutateur.
6.1.7
deux commutateurs LAN connectés ensemble via deux connexions réseau physiques qui ont
formé un EtherChannel à l'aide de PAgP
S1S2
PAgP
S1 S2 Établissement de canal
On Désirable/Auto Non
6.1.8
Opération LACP
LACP fait partie d'une spécification IEEE (802.3ad) qui permet de regrouper plusieurs ports
physiques pour former un seul canal logique. LACP permet à un commutateur de négocier un
paquet automatique en envoyant des paquets LACP à l'autre commutateur. Il assure une
fonction semblable à celle de PAgP avec Cisco EtherChannel. LACP étant une norme IEEE,
il peut être utilisé pour faciliter les EtherChannel dans des environnements multifournisseurs.
Sur les périphériques Cisco, les deux protocoles sont pris en charge.
Remarque: LACP a été défini à l'origine comme IEEE 802.3ad. Cependant, LACP est
désormais défini dans la norme plus récente IEEE 802.1AX pour les réseaux locaux et
métropolitains.
LACP offre les mêmes avantages en matière de négociation que PAgP. LACP permet de créer
la liaison EtherChannel en détectant les configurations de chacun des côtés et en assurant leur
compatibilité, afin que la liaison EtherChannel puisse être activée au besoin. Les modes de
LACP sont les suivants:
On - Ce mode force l'interface à établir un canal sans LACP. Les interfaces configurées en mode On
(Activé) n'échangent pas de paquets LACP.
LACP active - Ce mode LACP place un port dans un état actif de négociation. Dans cet état, le port
entame des négociations avec d'autres ports en envoyant des paquets LACP.
LACP passive - Ce mode LACP place un port dans un état de négociation passif. Dans cet état, le port
répond aux paquets LACP qu'il reçoit, mais n'entame pas de négociation par paquet LACP.
Tout comme avec PAgP, les modes doivent être compatibles de chaque côté pour que la
liaison EtherChannel se forme. Le mode On (Activé) est répété, car il crée la configuration
EtherChannel de manière inconditionnelle, sans négociation dynamique PAgP ou LACP.
Le protocole LACP prend en charge huit liaisons actives et huit liaisons de secours. Une
liaison de secours devient active en cas d'échec d'une des liaisons actives établies.
6.1.9
deux commutateurs LAN connectés ensemble via deux connexions réseau physiques qui ont
formé un EtherChannel à l'aide de LACP
S1S2
LACP
S1s2Canal
ÉtablissementOnonyesOnactive/PassiveActiveOuiActiveActivePassiveYESPassiveActiveActiveSassiv
ePassiveNO
S1 S2 Établissement de canal
6.1.10
Vérifiez votre compréhension - Opération
EtherChannel
Vérifiez votre compréhension du fonctionnement d'EtherChannel en choisissant la
MEILLEURE réponse aux questions suivantes.
1. Quels sont les avantages de la technologie EtherChannel? (Choisissez toutes les réponses qui
conviennent.)
répartition de la charge
Vrai
Faux
3. Vrai ou faux ? PAgP et LACP sont tous deux des protocoles d'agrégation de liens
propriétaires de CISCO.
Vrai
Faux
4. Quels sont les trois modes d'interface PAgP ? (Choisissez trois propositions.)
Activé
automatique
actif
passif
désirable
5. Quel mode d'interface PAgP initiera la négociation avec d'autres interfaces ?
Activé
désirable
automatique
6. Quelles combinaisons de modes PAgP formeront un EtherChannel ? (Choisissez toutes les
réponses qui conviennent.)
desirable > on
auto > on
on > on
on > active
active > passive
ContrôlerDémonstrationRéinitialiser
6.0
Configuration d'EtherChannel
6.2.1
Prise en charge d'EtherChannel - Toutes les interfaces Ethernet doivent prendre en charge
EtherChannel sans exigence que les interfaces soient physiquement contiguës.
Vitesse et duplex - Configurez toutes les interfaces d'un EtherChannel pour qu'elles
fonctionnent à la même vitesse et dans le même mode duplex.
VLAN correspondant -Toutes les interfaces de l'ensemble EtherChannel doivent être attribués
au même VLAN ou être configurées comme un trunk (comme indiqué dans la figure).
Gamme de VLAN mode - Un EtherChannel supporte la même gamme autorisée de VLAN sur
toutes les interfaces d'un EtherChannel de trunking. Si la plage autorisée de VLAN n'est pas la
même, les interfaces ne forment pas un EtherChannel, même lorsqu'elles sont réglées
sur désirable ou automatique.
Le diagramme montre deux commutateurs LAN connectés entre eux via deux connexions réseau
physiques qui ont formé un EtherChannel en fonction de leurs configurations de port. Les
configurations des ports S1 et S2 sont les suivantes : vitesse 1 Gbps, duplex intégral et VLAN 10.
Configuration du port S1
Vitesse 1 Gbit/s
Duplex Intégral
VLAN 10
Configuration du port S2
Vitesse 1 Gbit/s
Duplex Intégral
VLAN 10
EtherChannel formé
Un EtherChannel est formé lorsque les paramètres de configuration correspondent sur les deux
commutateurs.
Dans la figure suivante, les ports S1 sont configurés en semi-duplex. Par conséquent, aucune
liaison EtherChannel ne sera établie entre S1 et S2.
La diagonale montre deux commutateurs LAN connectés entre eux via deux connexions réseau
physiques qui n'ont pas formé d'EtherChannel en fonction de leurs configurations de port. Les
configurations des ports S1 sont les suivantes : vitesse 1 Gbps, moitié duplex et VLAN 10. Les
configurations des ports S2 sont les suivantes : vitesse 1 Gbps, duplex intégral et VLAN 10.
Configuration du port S1
Vitesse 1 Gbit/s
Duplex Semi-duplex
VLAN 10
Configuration du port S2
Vitesse 1 Gbit/s
Duplex Intégral
VLAN 10
Un EtherChannel n'est pas formé lorsque les paramètres de configuration sont différents sur
chaque commutateur.
6.2.2
deux commutateurs, S1 et S2, sont connectés ensemble via deux connexions réseau physiques
qui ont formé un EtherChannel ; le port F0/1 sur S1 est connecté au port F0/1 sur S2 ; le port
F0/2 sur S1 est connecté au port F0/2 sur S2
S2S1Fa0/1Fa0/1Fa0/2Fa0/2
Étape 2. Créez l'interface de canal de port avec la commande channel-group identifier mode
active en mode de configuration de plage d'interface. L'identificateur spécifie un numéro de
groupe de canaux. Les mots clés mode active identifient ceci comme une configuration LACP
EtherChannel.
Étape 3. Pour modifier les paramètres de la couche 2 de l'interface de canal de port, entrez dans
le mode de configuration de l'interface de canal de port à l'aide de la commande interface port-
channel, suivie de l'identifiant de l'interface. Dans l'exemple, S1 est configuré avec un
EtherChannel LACP. Dans l'exemple, l'EtherChannel est configuré en tant qu'interface trunk avec
des VLAN autorisés spécifiés.
S1(config-if-range)# exit
deux commutateurs, S1 et S2, sont connectés ensemble via deux connexions réseau physiques
qui ont formé un EtherChannel ; le port F0/1 sur S1 est connecté au port F0/1 sur S2 ; le port
F0/2 sur S1 est connecté au port F0/2 sur S2
S2S1Fa0/1Fa0/1Fa0/2Fa0/2
S1(config)#
RéinitialiserDémonstrationAfficher tout
6.2.4
Vérification et dépannage
d'EtherChannel
6.3.1
Verifier EtherChannel
Comme toujours, lorsque vous configurez des périphériques sur votre réseau, vous devez vérifier
votre configuration. S'il y a des problèmes, vous devrez également être en mesure de les
résoudre et de les résoudre. Cette rubrique vous donne les commandes à vérifier, ainsi que
certains problèmes de réseau EtherChannel courants et leurs solutions.
Les exemples de commande de vérification utiliseront la topologie indiquée dans la figure.
deux commutateurs, S1 et S2, sont connectés ensemble via deux connexions réseau physiques
qui ont formé un EtherChannel ; le port F0/1 sur S1 est connecté au port F0/1 sur S2 ; le port
F0/2 sur S1 est connecté au port F0/2 sur S2
S2S1Fa0/1Fa0/2Fa0/2Fa0/1
Il existe plusieurs commandes permettant de vérifier une configuration EtherChannel. Cliquez sur
chaque bouton pour obtenir une explication et une sortie de commande.
show interfaces port-channel
(output omitted)
6.3.2
Attribuez tous les ports du EtherChannel au même VLAN, ou configurez-les en tant que trunks.
Des ports avec des VLAN natifs différents ne peuvent pas former un EtherChannel.
Le trunking a été configuré sur certains des ports qui composent l'EtherChannel, mais pas tous. Il
n'est pas recommandé de configurer le mode "trunking" sur les différents ports qui composent
l'EtherChannel. Lorsque vous configurez un trunk sur un EtherChannel, vérifiez le mode de
trunking sur l'EtherChannel.
Si la plage autorisée de VLAN n'est pas la même, les ports ne forment pas un EtherChannel
même lorsque PAgP est réglé sur le mode désirable ou automatique.
Les options de négociation dynamique pour PAgP et LACP doivent être configurées pour être
compatibles aux deux extrémités d'EtherChannel.
Remarque: Il est facile de confondre PAgP ou LACP avec DTP, car ce sont tous des protocoles
utilisés pour automatiser le comportement sur les liaisons interurbaines. PAgP et LACP sont
utilisés pour l'agrégation de liaisons (EtherChannel). DTP est utilisé pour automatiser la création
de liaisons trunk. Quand un trunk EtherChannel est configuré, EtherChannel (PAgP ou LACP) est
généralement configuré en premier et DTP ensuite.
6.3.3
deux commutateurs, S1 et S2, sont connectés ensemble via deux connexions réseau physiques
qui ont formé un EtherChannel ; le port F0/1 sur S1 est connecté au port F0/1 sur S2 ; le port
F0/2 sur S1 est connecté au port F0/2 sur S2
S2S1Fa0/1Fa0/2Fa0/2Fa0/1
Cliquez sur chaque bouton pour connaître les étapes à suivre pour dépanner le EtherChannel.
Étape 1. Afficher les informations récapitulatives EtherChannel
Étape 2. Afficher la configuration des canaux de port
Étape 3 : Corriger la mauvaise configuration
Étape 4. Vérifier que EtherChannel est opérationnel
Étape 1. Afficher les informations récapitulatives EtherChannel
I - stand-alone s - suspended
R - Layer3 S - Layer2
m - not in use, port not aggregated due to minimum links not met
w - waiting to be aggregated
d - default port
Number of aggregators: 1
------+-------------+-----------+----------------------------------------
-------
Implémenter EtherChannel
Implémenter EtherChannel
6.4.2
Implémenter EtherChannel
6.4.3
Configure EtherChannel
EtherChannel support -Toutes les interfaces Ethernet de tous les modules doivent prendre en charge
EtherChannel, sans qu'il soit nécessaire que les interfaces soient physiquement contiguës ou sur le
même module.
Speed and duplex -Configurer toutes les interfaces d'un EtherChannel pour qu'elles fonctionnent à la
même vitesse et dans le même mode duplex.
VLAN match - Toutes les interfaces du paquet EtherChannel doivent être affectées au même VLAN
ou être configurées comme un tronc.
Range of VLANs - Un EtherChannel supporte la même gamme autorisée de VLAN sur toutes les
interfaces d'un EtherChannel de trunking.
Étape 2. Créez l'interface de canal de port à l'aide de la commande active channel group
identificateur mode en mode de configuration de plage d'interface.
Étape 3. Pour modifier les paramètres de la couche 2 de l'interface de canal de port, entrez
dans le mode de configuration de l'interface de canal de port en utilisant la commande
interface port-canal, suivie de l'identifiant de l'interface.
Attribuez tous les ports du EtherChannel au même VLAN, ou configurez-les en tant que
trunks. Des ports avec des VLAN natifs différents ne peuvent pas former un EtherChannel.
Trunking a été configuré sur certains des ports qui composent l'EtherChannel, mais pas tous.
Si la plage autorisée de VLAN n'est pas la même, les ports ne forment pas un EtherChannel même
lorsque le PAgP est réglé sur le mode auto ou désirable.
Les options de négociation dynamique pour PAgP et LACP doivent être configurées pour être
compatibles aux deux extrémités d'EtherChannel.
6.4.4
S1 passive et S2 active
S1-on et S2-passive
S1-on et S2-active
S1 passive et S2 passive
2. Lorsqu'une gamme de ports est configurée pour EtherChannel, quel mode configurera le PAgP
de manière à ce qu'il lance la négociation EtherChannel ?
automatique
passif
actif
desirable
3. Quels trois paramètres d'interface doivent correspondre pour qu'un EtherChannel se forme?
(Choisissez trois propositions.)
Mode PortFast
mode de trunking
VLAN natif
VLANs autorisés
mode EtherChannel
Le protocole Spanning Tree arrête les interfaces inutilisées dans le bundle pour éviter les
boucles.
Il n'est pas nécessaire de mettre à niveau les liens vers des connexions plus rapides pour
augmenter la bande passante.
Un recalcul de spanning tree n'est pas nécessaire lorsqu'une liaison unique dans le canal tombe
en panne.
La plupart des tâches de configuration peuvent être réalisées sur l'interface EtherChannel plutôt
que sur chaque port.
canal de port
Interface VLAN
gamme d'interfaces
7. Lorsqu'une plage de ports est configurée pour EtherChannel à l'aide de PAgP, quel mode
formera le canal groupé uniquement si le port reçoit des paquets PAgP d'un autre périphérique?
automatique
desirable
passif
actif
8. Quelles sont les deux méthodes d'équilibrage de charge qui peuvent être implémentées avec la
technologie EtherChannel ? (Choisissez deux propositions.)
création d'une liaison logique à l'aide de plusieurs liaisons physiques entre deux commutateurs
LAN
permettant au trafic provenant de plusieurs VLAN de circuler sur une seule liaison de couche 2
Toutes les tâches de configuration doivent être effectuées sur les ports individuels de la liaison
EtherChannel.
Les liens doivent être mis à niveau pour prendre en charge EtherChannel.
11. Quelles combinaisons de modes donneraient lieu à la négociation réussie d'un EtherChannel ?
(Choisissez deux propositions.)
desirable; active
active; passive
passive; auto
active; on
auto;auto
desirable; desirable
12. Quels sont les deux protocoles d'agrégation de liens ? (Choisissez deux propositions.)
RSTP
PAgP
802.3ad
STP
EtherChannel
13. Lorsqu'une série de ports est configurée pour EtherChannel, quel mode configurera LACP afin
qu'il lance la négociation EtherChannel ?
automatique
passif
désirable
actif
14. Que se passera-t-il si un administrateur réseau place un port faisant partie d'un ensemble
EtherChannel dans un VLAN différent des autres ports de cet ensemble ?
Le faisceau EtherChannel restera en place si les ports ont été configurés sans négociation entre
les commutateurs pour former l'EtherChannel.
L'EtherChannel va échouer.
15. Lorsqu'une série de ports est configurée pour EtherChannel, quel mode permettra de configurer
LACP sur un port uniquement si celui-ci reçoit des paquets LACP d'un autre appareil ?
désirable
actif
passif
automatique
Introduction
7.0.1
Pourquoi devrais-je suivre ce module?
Bienvenue à DHCPv4 !
Dans ce module, vous apprendrez comment configurer un routeur Cisco IOS pour être un
serveur DHCPv4. Ensuite, vous apprendrez comment configurer un routeur Cisco IOS en tant
que client. Ce module comprend quelques Vérificateurs de syntaxe et une activité Packet
Tracer pour vous aider à tester vos nouvelles connaissances. Les compétences de
configuration de DHCPv4 réduiront considérablement votre charge de travail, et qui ne veut
pas cela?
7.0.2
Objectif du module: Mettre en œuvre le DHCPv4 pour opérer sur plusieurs réseaux locaux.
Légende du tableau
Configurer un serveur Cisco IOS DHCPv4 Configurer un routeur en tant que serveur DHCPv4.
6.4
Concepts DHCPv4
7.1.1
Un serveur DHCPv4 dédié est évolutif et relativement facile à gérer. Cependant, dans une petite
succursale ou un petit bureau, un routeur Cisco peut être configuré pour fournir des services
DHCPv4 sans avoir besoin d'un serveur dédié. Le logiciel Cisco IOS prend en charge un serveur
DHCPv4 complet en option.
Le serveur DHCPv4 attribue dynamiquement, ou loue, une adresse IPv4 à partir d'un pool
d'adresses pour une période limitée choisie par le serveur, ou jusqu'à ce que le client n'ait plus
besoin de l'adresse.
Les clients louent les informations auprès du serveur pour la période définie par l’administrateur.
Les administrateurs configurent les serveurs DHCPv4 pour que les baux dépassent le délai
d'attente à différents intervalles. Le bail dure généralement entre 24 heures et une semaine voire
plus. À l'expiration du bail, le client doit demander une autre adresse, même s'il obtient
généralement la même.
12
Serveur DHCPv4Client DHCPv4
1. Le processus de location DHCPv4 commence par l'envoi par le client d'un message demandant
les services d'un serveur DHCP.
2. Si un serveur DHCPv4 reçoit le message, il répondra avec une adresse IPv4 et éventuellement
d'autres informations sur la configuration du réseau.
7.1.2
Fonctionnement du DHCPv4
DHCPv4 fonctionne en mode client/serveur. Lorsqu'un client communique avec un serveur
DHCPv4, le serveur attribue ou loue une adresse IPv4 à ce client. Le client se connecte au
réseau avec cette adresse IPv4 louée jusqu'à l'expiration du bail. Le client doit régulièrement
contacter le serveur DHCP pour renouveler le bail. Ce mécanisme de location garantit que les
clients qui déménagent ou qui s'éteignent ne conservent pas les adresses dont ils n'ont plus
besoin. Lorsqu'un bail expire, le serveur DHCP renvoie l'adresse au pool où elle peut être
réattribuée selon les besoins.
7.1.3
Cliquez sur chaque bouton pour connaître le processus en quatre étapes pour obtenir un bail
DHCP.
Étape 1. Découverte DHCP
Étape 2. Offre DHCP
Étape 3. Requête DHCP
Étape 4. Accusé de réception DHCP
Étape 1. Découverte DHCP (DHCPDISCOVER)
1
Diffusion
DHCPREQUEST« Je voudrais demander une adresse. »Serveur DHCPv4Client DHCPv4
7.1.4
12
« Nous avons pris connaissance de votre demande. »Monodiffusion
DHCPACK
Monodiffusion
DHCPREQUEST« Je voudrais renouveler mon bail. »Serveur DHCPv4Client DHCPv4
7.1.5
DHCPDISCOVER
DCHPOFFER
DHCPREQUEST
DHCPACK
2. Quels sont les deux messages DHCPv4 envoyés par le serveur dans le processus d'obtention du
bail ? (Choisissez deux propositions.)
DHCPDISCOVER
DCHPOFFER
DHCPREQUEST
DHCPACK
3. Quels sont les deux messages DHCPv4 utilisés dans le processus de renouvellement du bail ?
(Choisissez deux propositions.)
DHCPDISCOVER
DCHPOFFER
DHCPREQUEST
DHCPACK
ContrôlerDémonstrationRéinitialiser
7.0
Introduction
7.2
Configure
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1
Serveur DNS 192.168.11.5/24Serveur DHCPv4
7.2.2
Le routeur agissant en tant que serveur DHCPv4 attribue toutes les adresses IPv4 dans un pool
d'adresses DHCPv4 sauf s'il est configuré pour exclure certaines adresses. En général,
certaines adresses IPv4 d'un pool sont attribuées aux périphériques réseau nécessitant des
adresses statiques. Par conséquent, ces adresses IPv4 ne doivent pas être attribuées à d'autres
périphériques. La syntaxe de commande pour exclure les adresses IPv4 est la suivante :
Vous pouvez exclure une adresse ou une plage d'adresses en indiquant la première et la
dernière adresse de la plage. Les adresses exclues doivent inclure les adresses attribuées aux
routeurs, aux serveurs, aux imprimantes et aux autres périphériques qui ont été ou seront
configurés manuellement. Vous pouvez également saisir la commande plusieurs fois.
Lorsque vous configurez un serveur DHCPv4, vous devez définir un pool d'adresses à
attribuer.
Comme le montre l'exemple, la commande ip dhcp pool pool-name crée un pool avec le nom
spécifié et met le routeur en mode de configuration DHCPv4, qui est identifié par l'invite
Router(dhcp-config)#.
Le tableau énumère les tâches à effectuer pour compléter la configuration du pool DHCPv4.
Le pool d'adresses et le routeur servant de passerelle par défaut doivent être configurés.
Utilisez la déclaration network pour définir l'éventail des adresses disponibles. Utilisez la
commande default-router pour définir le routeur de passerelle par défaut. Généralement, la
passerelle est l'interface de réseau local du routeur le plus proche des périphériques client.
Vous devez indiquer au moins une passerelle, mais vous pouvez spécifier jusqu'à huit
adresses s'il en existe plusieurs.
Les autres commandes relatives au pool DHCPv4 sont facultatives. Par exemple, l'adresse
IPv4 du serveur DNS qui est disponible pour un client DHCPv4 est configurée à l'aide de la
commande dns-server. La commande domain-name est utilisée pour définir le nom de
domaine. La durée du bail DHCPv4 peut être modifiée à l'aide de la commande lease. La
durée par défaut du bail s'élève à un jour. La commande netbios-name-server est utilisée
pour définir le serveur NetBIOS WINS.
network network-
Définir le pool d'adresses number [mask | /
prefix-length]
default-router
Définir le routeur ou la passerelle par défaut address [
address2….address8]
dns-server address
Définir un serveur DNS [
address2…address8]
netbios-name-server
Définir le serveur WINS NetBIOS address [
address2…address8]
Remarque: Microsoft recommande de ne pas déployer WINS, de configurer DNS pour la
résolution de noms Windows et de désaffecter WINS.
7.2.3
Exemple de configuration
La topologie de l'exemple de configuration est illustrée dans la figure.
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1192.168.11.5/24
Serveur DNSServeur DHCPv4
R1(dhcp-config)# end
R1#
7.2.4
Commandes de vérification DHCPv4
Utilisez les commandes du tableau pour vérifier que le serveur Cisco IOS DHCPv4 est
opérationnel.
Commande Description
7.2.5
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1192.168.11.5/24
Serveur DNSServeur DHCPv4
La sortie des commandes suivantes suppose que PC1 a reçu ses informations d'adressage IPv4
du serveur DHCPv4. Vous devrez peut-être entrer ipconfig /renew sur un PC Windows pour
le forcer à envoyer un message DHCPDISCOVER. Cliquez sur chaque bouton pour voir la
sortie de la commande vérifiant que DHCPv4 est opérationnel.
Vérifier la configuration DHCPv4
Vérifiez les liaisons DHCPv4.
default-router 192.168.10.1
dns-server 192.168.11.5
domain-name example.com
7.2.6
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1
Serveur DNS 192.168.11.6/24Serveur DHCPv4
Excluez les adresses suivantes de la plage d'adresses 192.168.11.0/24 :
R1(config)#
RéinitialiserDémonstrationAfficher tout
7.2.7
R1(config)#
7.2.8
DHCPv4 Relay
Dans un réseau hiérarchique complexe, les serveurs d'entreprise sont généralement situés au
niveau central. Ces serveurs peuvent fournir au réseau des services DHCP, DNS, TFTP et
FTP. Les clients du réseau ne sont généralement pas sur le même sous-réseau que ces
serveurs. Afin de localiser les serveurs et de bénéficier des services, les clients utilisent
souvent des messages de diffusion.
Dans la figure, PC1 tente d'acquérir une adresse IPv4 à partir d'un serveur DHCPv4 en
utilisant un message de diffusion. Dans ce scénario, le routeur R1 n'est pas configuré en tant
que serveur DHCPv4 et ne transmet pas la diffusion. Étant donné que le serveur DHCPv4 se
trouve sur un autre réseau, PC1 ne peut pas recevoir d'adresse IP via DHCP. R1 doit être
configuré pour relayer les messages DHCPv4 au serveur DHCPv4.
La topologie réseau montre un routeur qui connecte deux réseaux locaux ensemble. Sur la
gauche se trouve le réseau 192.168.10.0/24 composé de l'hôte PC1 connecté au commutateur
S1 qui est connecté au routeur R1 à G0/0/0 avec une adresse de .1. Le texte sous le PC1 se lit ;
recherche d'un serveur DHCPv4. Le texte sous le routeur se lit ; je ne peux pas faire
transmettre les diffusions entre les réseaux. Sur la droite se trouve le réseau 192.168.11.0/24
composé d'hôte PC2, d'un serveur DNS à l'adresse 192.168.11.5/24 et d'un serveur DHCPv4 à
l'adresse 192.168.11.6/24 tous connectés au commutateur S2 qui est connecté à R1 à G0/0/1
avec une adresse de .1.
PC2S1PC1S2R1G0/0/0.1192.168.11.0/24192.168.10.0/24G0/0/1.1
Serveur DHCPv4 192.168.11.6/24Serveur DNS 192.168.11.5/24 Vous recherchez un serveur DHCPv4.Je ne peux pas
transmettre les émissions entre les réseaux.
ipconfig /renew
ip helper-address
show ip interface
ipconfig /all
ipconfig /release
Le PC1 est un ordinateur Windows. L'administrateur réseau libère toutes les informations
d'adressage actuelles à l'aide de la commande ipconfig /release. Remarquez que l'adresse
IPv4 est publiée et qu'aucune adresse n'est indiquée.
Configuration IP Windows
Default Gateway . . . . . . . . . :
7.2.9
7.2.10
Implémentation de DHCPv4
Implémentation de DHCPv4
7.1
Concepts DHCPv4
7.3
Parfois, les routeurs Cisco installés dans des petites structures, des bureaux à domicile
(SOHO) et des filiales doivent être configurés en tant que clients DHCPv4 de la même façon
que les ordinateurs clients. La méthode utilisée dépend de l'ISP. Cependant, dans le cas de la
configuration la plus simple, l'interface Ethernet est utilisée pour établir la connexion à un
modem câble ou DSL.
Pour configurer une interface Ethernet en tant que client DHCP, utilisez la commande ip
address dhcp de mode de configuration de l'interface.
Dans la figure, supposons qu'un ISP ait été configuré pour fournir à certains clients des
adresses IP de la gamme de réseaux 209.165.201.0/27 après que l'interface G0/0/1 ait été
configurée avec la commande ip address dhcp.
un routeur configuré comme client DHCPv4 est connecté via G0/0/1 à un modem câble ou
DSL qui est ensuite connecté au cloud qui est ensuite connecté à un routeur ISP fonctionnant
comme serveur DHCPv4
G0/0/1SOHOISP
Client DHCPv4
Modem câble ou DSLServeur DHCPv4
7.3.2
Exemple de configuration
Pour configurer une interface Ethernet en tant que client DHCP, utilisez la commande ip
address dhcp de mode de configuration de l'interface, comme indiqué dans l'exemple. Cette
configuration suppose que le fournisseur de services Internet a été configuré pour fournir aux
clients sélectionnés des informations d'adressage IPv4.
SOHO(config-if)# no shutdown
La commande show ip interface g0/0/1 confirme que l'interface est activée et que l'adresse a
été allouée par un serveur DHCPv4.
Par exemple, la figure illustre la page de configuration par défaut d'un routeur sans fil Packet
Tracer. Notez que le type de connexion Internet est réglé sur Automatic Configuration -
DHCP. Cette sélection est utilisée lorsque le routeur est connecté à un DSL ou à un modem
câble et agit en tant que client DHCPv4, demandant une adresse IPv4 auprès d'ISP.
7.3.4
un routeur configuré comme client DHCPv4 est connecté via G0/0/1 à un modem câble ou
DSL qui est ensuite connecté au cloud qui est ensuite connecté à un routeur ISP fonctionnant
comme serveur DHCPv4
G0/0/1SOHOISP
Client DHCPv4Serveur DHCPv4
Modem câble ou DSL
Passer en mode de configuration d’interface Utilisez g0/0/1 comme nom d'interface.
SOHO(config)#
RéinitialiserDémonstrationAfficher tout
7.2
Implémentation de DHCPv4
Implémentation de DHCPv4
7.4.2
Le serveur DHCPv4 attribue dynamiquement, ou loue, une adresse IPv4 à un client à partir
d'un pool d'adresses pour une période limitée choisie par le serveur, ou jusqu'à ce que le client
n'ait plus besoin de l'adresse. Le processus de location DHCPv4 commence par le client qui
envoie un message demandant les services d'un serveur DHCP. S'il y a un serveur DHCPv4
qui reçoit le message, il répondra avec une adresse IPv4 et d'autres informations de
configuration réseau possibles. Le client doit régulièrement contacter le serveur DHCP pour
renouveler le bail. Ce mécanisme de bail permet de s'assurer que les clients qui sont déplacés
ou qui sont mis hors tension ne conservent pas des adresses dont ils n'ont plus besoin. Lorsque
le client démarre (ou souhaite rejoindre un réseau), il entame un processus en quatre étapes
pour obtenir un bail : DHCPDISCOVER, puis DHCPOFFER, puis DHCPREQUEST, et enfin
DHCPACK. Avant l'expiration du bail, le client entame un processus en deux étapes pour
renouveler le bail avec le serveur DHCPv4: DHCPREQUEST puis DHCPACK.
Le logiciel Cisco IOS du routeur Cisco peut être configuré en tant que serveur DHCPv4. Pour
configurer un serveur Cisco IOS DHCPv4, procédez comme suit: excluez les adresses IPv4,
définissez un nom de pool DHCPv4 et configurez le pool DHCPv4. Vous pouvez vérifier la
configuration à l'aide les commandes show running-config | section dhcp, show ip dhcp
binding, et show ip dhcp server statistics. Le service DHCPv4 est activé par défaut. Pour
désactiver le service, utilisez la commande no service dhcp du mode de configuration
globale. Dans un réseau hiérarchique complexe, les serveurs d'entreprise sont généralement
situés au niveau central. Ces serveurs peuvent fournir au réseau des services DHCP, DNS,
TFTP et FTP. Les clients du réseau ne sont généralement pas sur le même sous-réseau que ces
serveurs. Afin de localiser les serveurs et de bénéficier des services, les clients utilisent
souvent des messages de diffusion. Un PC tente d'acquérir une adresse IPv4 à partir d'un
serveur DHCPv4 en utilisant un message de diffusion. Dans ce scénario, le routeur R1 n'est
pas configuré en tant que serveur DHCPv4 et ne transmet pas la diffusion. Étant donné que le
serveur DHCPv4 se trouve sur un autre réseau, PC1 ne peut pas recevoir d'adresse IP via
DHCP. Le routeur doit être configuré pour relayer les messages DHCPv4 au serveur
DHCPv4. L'administrateur réseau libère toutes les informations d'adressage actuelles à l'aide
de la commande ipconfig /release. Ensuite, l'administrateur réseau tente de renouveler les
informations d'adressage avec la commande ipconfig /renew. Une meilleure solution consiste
à configurer R1 avec la commande ip helper-address address interface configuration.
L'administrateur réseau peut utiliser la commande show ip interface pour vérifier la
configuration. Le PC est maintenant en mesure d'acquérir une adresse à partir du serveur
DHCPv4 comme vérifié avec la commande ipconfig /all. Par défaut, la commande ip helper-
address transmet les huit services UDP suivants :
L'interface Ethernet est utilisée pour se connecter à un modem câble ou DSL. Pour configurer
une interface Ethernet en tant que client DHCP, utilisez la commande ip address dhcp
interface de mode de configuration de l'interface. Les routeurs domestiques sont
généralement déjà configurés pour recevoir automatiquement les informations d'adressage
IPv4 d'ISP. Vérifiez que le type de connexion Internet est défini sur Configuration
automatique - DHCP. Cette sélection est utilisée lorsque le routeur est connecté à un DSL ou
à un modem câble et agit en tant que client DHCPv4, demandant une adresse IPv4 auprès du
FAI.
7.4.4
DHCPNAK
DHCPREQUEST
DHCPOFFER
DHCPACK
DHCPDISCOVER
2. Un administrateur émet les commandes:
configuration du routeur pour obtenir des paramètres IP à partir d'un serveur DHCPv4
3. Lorsqu'un client demande un bail d'adresse initial à un serveur DHCP, pourquoi le message
DHCPPREQUEST est-il envoyé en tant que diffusion ?
Le client peut avoir reçu des offres de plusieurs serveurs, et la diffusion sert à refuser
implicitement ces autres offres.
Le client n'a pas encore d'adresse MAC assignée, de sorte qu'il ne peut pas envoyer de
message monodiffusion au niveau de la couche 2.
Le serveur DHCP peut être sur un sous-réseau différent, donc la demande doit être envoyée
en tant que diffusion.
Le client ne connaît pas encore l'adresse IP du serveur DHCP qui a envoyé l'offre.
4. Quel message DHCP IPv4 contient les informations suivantes ?
DHCPREQUEST
DHCPDISCOVER
DHCPOFFER
DHCPACK
5. Quel type de message est envoyé par un client DHCPv4 demandant une adresse IP ?
DHCPREQUEST
DHCPDISCOVER
DHCPACK
DHCPOFFER
7. Quelle est l'adresse IP de destination lorsqu'un hôte IPv4 envoie un message
DHCPDISCOVER ?
255.255.255.255
224.0.0.1
0.0.0.0
192.168.1.1
8. Si plusieurs serveurs DHCP sont disponibles sur le réseau local, dans quel ordre les messages
DHCP seront-ils envoyés entre un hôte et un serveur DHCP ?
Il y a un serveur Web pour l'accès public sur le réseau local qui est attaché au routeur.
préallocation
allocation manuelle
allocation automatique
attribution dynamique
11. Quelle est la raison pour laquelle le message DHCPPREQUEST est envoyé en tant que
diffusion pendant le processus DHCPv4 ?
pour que les hôtes sur d'autres sous-réseaux reçoivent les informations
pour avertir les autres serveurs DHCP du sous-réseau que l'adresse IP a été louée
pour que les routeurs remplissent leurs tables de routage avec ces nouvelles informations
127.0.0.1
224.0.0.1
adresse IP de la passerelle
7.3
Introduction
Introduction
8.0.1
Bienvenue
Bienvenue à SLAAC et DHCPv6!
SLAAC et DHCPv6 sont des protocoles d'adressage dynamique pour un réseau IPv6. Donc,
un peu de configuration facilitera votre journée en tant qu'administrateur réseau. Dans ce
module, vous apprendrez comment utiliser SLAAC pour permettre aux hôtes de créer leur
propre adresse de monodiffusion globale IPv6, ainsi que configurer un routeur Cisco IOS
pour être un serveur DHCPv6, un client DHCPv6 ou un agent de relais DHCPv6. Ce module
comprend un travail pratique où vous allez configurer DHCPv6 sur du vrai équipement!
8.0.2
Objectif du module: Configurez l'allocation dynamique d'adresses dans les réseaux IPv6.
Légende du tableau
Attribution d'adresse globale de monodiffusion Expliquez comment un hôte IPv6 peut acquérir sa
IPv6 configuration IPv6.
Configurer le serveur DHCPv6 Configurer le serveur DHCPv6 sans état et avec état.
7.4
Sur un routeur, une adresse de monodiffusion globale (GUA) IPv6 est configurée
manuellement à l'aide de la commande de configuration ipv6 address ipv6-address/prefix-
length interface.
Un hôte Windows peut également être configuré manuellement avec une configuration
d'adresse GUA IPv6, comme illustré dans la figure.
affiche la fenêtre des propriétés du protocole Internet Version 6 et les paramètres de l'adresse
IPv6 statique et du serveur DNS
La saisie manuelle d'un GUA IPv6 peut prendre beaucoup de temps et est quelque peu
exposée aux erreurs. Par conséquent, la plupart des hôtes Windows sont activés pour acquérir
dynamiquement une configuration GUA IPv6, comme indiqué sur la figure.
Dans la figure, notez que l'interface n'a pas créé une GUA IPv6. La raison en est que, dans cet
exemple, le segment réseau n'a pas de routeur pour fournir des instructions de configuration
réseau pour l'hôte.
Remarque: Les systèmes d'exploitation hôtes affichent parfois une adresse lien-local ajoutée
avec un "%" et un nombre. Ceci est connu sous le nom d'ID de zone ou d'ID d'étendue. Il est
utilisé par le système d'exploitation pour associer le LLA à une interface spécifique.
Windows IP Configuration
IPv6 Address. . . . . . . . . . . :
Default Gateway . . . . . . . . . :
C:\PC1>
8.1.3
La GUA IPv6 peut être affectée dynamiquement à l'aide de services sans état et avec état,
comme le montre la figure.
Toutes les méthodes sans état et avec état dans ce module utilisent des messages RA ICMPv6
pour suggérer à l'hôte comment créer ou acquérir sa configuration IPv6. Bien que les
systèmes d'exploitation hôtes suivent la suggestion de RA, la décision réelle revient
finalement à l'hôte.
un diagramme en arbre inversé commence par une attribution dynamique de GUA, se divise
en deux : sans état et avec état. Sans état se divise en SLAAC et SLAAC avec serveur
DHCPv6 et avec état conduit à un serveur DHCPv6 avec état
Les messages RA du routeur fournissent des informations de configuration IPv6 aux hôtes et les informent de contacter
un serveur DHCPv6 sans état pour obtenir des informations de configuration supplémentaires.
Les hôtes utilisent les informations RA pour créer leur propre GUA unique et obtenir des informations supplémentaires
à partir d'un serveur DHCPv6.
Serveur DHCPv6
(DHCPv6 avec état)
Les messages RA du routeur indiquent aux hôtes de contacter un serveur DHCPv6 avec état ou un routeur compatible
DHCPv6 pour toutes les informations de configuration IPv6, à l'exception de l'adresse de passerelle par défaut.
Les hôtes contactent un serveur DHCPv6 pour obtenir toutes leurs informations d'adressage IPv6.
L'hôte obtient les informations de passerelle par défaut à partir des messages RA du routeur.
8.1.4
R1PC1G0/0/1
ClientRS"N'utilisez que ce RA."Options de RA"J'ai besoin d'un RA de R1."SLAAC uniquement (par défaut)"Utilisez ce
RA et un serveur DHCPv6."DHCP sans État : SLAAC et DHCPv6"Utiliszr un serveur DHCPv6".DHCPv6 avec état:
DHCPv6 uniquementIndicateur A=1Indicateur O=0Indicateur M=0Indicateur A=1Indicateur O=1Indicateur
M=0Indicateur A=0Indicateur M=1
8.1.5
Vérifiez votre compréhension - Attribution de
GUA IPv6
Vérifiez votre compréhension des méthodes d'attribution des adresses IPv6 pour la diffusion
unique mondiale en choisissant la MEILLEURE réponse aux questions suivantes.
1. Quel type d'adresse est automatiquement créé par défaut sur une interface hôte lorsqu'aucune
RA n'est reçue?
Adresse MAC
2. Quelle méthode décrit le mieux DHCP sans état?
SLAAC uniquement
8.0
Introduction
8.2
SLAAC
Sur un routeur, une adresse de monodiffusion globale (GUA) IPv6 est configurée
manuellement à l'aide de la commande de configuration ipv6 address ipv6-address/prefix-
length interface.
Un hôte Windows peut également être configuré manuellement avec une configuration
d'adresse GUA IPv6, comme illustré dans la figure.
affiche la fenêtre des propriétés du protocole Internet Version 6 et les paramètres de l'adresse
IPv6 statique et du serveur DNS
La saisie manuelle d'un GUA IPv6 peut prendre beaucoup de temps et est quelque peu
exposée aux erreurs. Par conséquent, la plupart des hôtes Windows sont activés pour acquérir
dynamiquement une configuration GUA IPv6, comme indiqué sur la figure.
Dans la figure, notez que l'interface n'a pas créé une GUA IPv6. La raison en est que, dans cet
exemple, le segment réseau n'a pas de routeur pour fournir des instructions de configuration
réseau pour l'hôte.
Remarque: Les systèmes d'exploitation hôtes affichent parfois une adresse lien-local ajoutée
avec un "%" et un nombre. Ceci est connu sous le nom d'ID de zone ou d'ID d'étendue. Il est
utilisé par le système d'exploitation pour associer le LLA à une interface spécifique.
Windows IP Configuration
IPv6 Address. . . . . . . . . . . :
Default Gateway . . . . . . . . . :
C:\PC1>
8.1.3
La GUA IPv6 peut être affectée dynamiquement à l'aide de services sans état et avec état,
comme le montre la figure.
Toutes les méthodes sans état et avec état dans ce module utilisent des messages RA ICMPv6
pour suggérer à l'hôte comment créer ou acquérir sa configuration IPv6. Bien que les
systèmes d'exploitation hôtes suivent la suggestion de RA, la décision réelle revient
finalement à l'hôte.
un diagramme en arbre inversé commence par une attribution dynamique de GUA, se divise
en deux : sans état et avec état. Sans état se divise en SLAAC et SLAAC avec serveur
DHCPv6 et avec état conduit à un serveur DHCPv6 avec état
Les messages RA du routeur fournissent des informations de configuration IPv6 aux hôtes et les informent de contacter
un serveur DHCPv6 sans état pour obtenir des informations de configuration supplémentaires.
Les hôtes utilisent les informations RA pour créer leur propre GUA unique et obtenir des informations supplémentaires
à partir d'un serveur DHCPv6.
Serveur DHCPv6
(DHCPv6 avec état)
Les messages RA du routeur indiquent aux hôtes de contacter un serveur DHCPv6 avec état ou un routeur compatible
DHCPv6 pour toutes les informations de configuration IPv6, à l'exception de l'adresse de passerelle par défaut.
Les hôtes contactent un serveur DHCPv6 pour obtenir toutes leurs informations d'adressage IPv6.
L'hôte obtient les informations de passerelle par défaut à partir des messages RA du routeur.
8.1.4
R1PC1G0/0/1
ClientRS"N'utilisez que ce RA."Options de RA"J'ai besoin d'un RA de R1."SLAAC uniquement (par défaut)"Utilisez ce
RA et un serveur DHCPv6."DHCP sans État : SLAAC et DHCPv6"Utiliszr un serveur DHCPv6".DHCPv6 avec état:
DHCPv6 uniquementIndicateur A=1Indicateur O=0Indicateur M=0Indicateur A=1Indicateur O=1Indicateur
M=0Indicateur A=0Indicateur M=1
8.1.5
Vérifiez votre compréhension - Attribution de
GUA IPv6
Vérifiez votre compréhension des méthodes d'attribution des adresses IPv6 pour la diffusion
unique mondiale en choisissant la MEILLEURE réponse aux questions suivantes.
1. Quel type d'adresse est automatiquement créé par défaut sur une interface hôte lorsqu'aucune
RA n'est reçue?
Adresse MAC
2. Quelle méthode décrit le mieux DHCP sans état?
SLAAC uniquement
SLAAC
8.2.1
Aperçu de SLAAC
Tous les réseaux n'ont pas accès à un serveur DHCPv6. Mais chaque périphérique d'un réseau
IPv6 a besoin d'une GUA. La méthode SLAAC permet aux hôtes de créer leur propre adresse
de monodiffusion globale IPv6 unique sans les services d'un serveur DHCPv6.
SLAAC est un service sans état. Cela signifie qu'il n'y a pas de serveur qui conserve les
informations d'adresse réseau pour savoir quelles adresses IPv6 sont utilisées et lesquelles
sont disponibles.
Le SLAAC utilise les messages RA ICMPv6 pour fournir l'adressage et d'autres informations
de configuration qui seraient normalement fournies par un serveur DHCP. Un hôte configure
son adresse IPv6 en fonction des informations envoyées dans le RA. Les messages RA sont
envoyés par un routeur IPv6 toutes les 200 secondes.
Un hôte peut également envoyer un message de sollicitation du routeur (RS) demandant qu'un
routeur compatible IPv6 envoie un RA à l'hôte.
SLAAC peut être déployé en tant que SLAAC uniquement, ou SLAAC avec DHCPv6.
8.2.2
Activation de la SLAAC
Reportez-vous à la topologie suivante pour voir comment SLAAC est activé pour fournir une
allocation de GUA dynamique sans état.
PC1R1G0/0/1fe80::12001:db8:acad:1::1/642001:db8:acad:1::/64
Supposons que R1 GigabiteEthernet 0/0/1 ait été configuré avec les adresses GUA IPv6
indiquées et lien-local. Cliquez sur chaque bouton pour une explication de la façon dont R1
est activé pour SLAAC.
Vérifier les adresses IPv6
La sortie de la commande show ipv6 interface affiche les paramètres actuels sur l'interface
G0/0/1.
FF02::1
FF02::1:FF00:1
(output omitted)
R1#
8.2.3
Les indicateurs O =0 et M=0 indiquent au client qu'il doit utiliser exclusivement les
informations contenues dans le message de RA. Le RA comprend le préfixe, la longueur du
préfixe, le serveur DNS, le MTU et les informations de passerelle par défaut. Il n'y a pas
d'autres informations disponibles sur un serveur DHCPv6.
R1PC1G0/0/1fe80::12001:db8:acad:1::1/642001:db8:acad:1::/64
Message RA
Indicateur valeur
A 1
O 0
M 0
Dans cet exemple, le PC1 est autorisé à obtenir automatiquement ses informations d'adressage
IPv6. En raison des paramètres des indicateurs A, O et M, PC1 exécute SLAAC uniquement,
en utilisant les informations contenues dans le message RA envoyé par R1.
L'adresse de passerelle par défaut est l'adresse IPv6 source du message RA, qui est le LLA
pour R1. La passerelle par défaut ne peut être obtenue automatiquement qu'à partir du
message RA. Un serveur DHCPv6 ne fournit pas ces informations.
C:\PC1> ipconfig
Windows IP Configuration
C:\PC1>
8.2.4
Messages ICMPv6 RS
Un routeur envoie des messages RA toutes les 200 secondes. Cependant, il enverra également
un message RA s'il reçoit un message RS d'un hôte.
Lorsqu'un client est configuré pour obtenir automatiquement ses informations d'adressage, il
envoie un message RS à l'adresse de multidiffusion des routeurs IPv6 de ff02::2.
12PC1R1G0/0/1fe80::12001:db8:acad:1::1/642001:db8:acad:1::/64
Message RAMessage RS
1. PC1 vient de démarrer et n'a pas encore reçu de message RA. Par conséquent, il envoie un message
RS à l'adresse de multidiffusion tout-routeurs IPv6 ff02::2 demandant un RA.
2. R1 fait partie du groupe de routeurs IPv6 et a reçu le message RS. Il génère un RA contenant le
préfixe du réseau local et la longueur du préfixe (par exemple, 2001:db8:acad:1::/64). Il envoie
ensuite le message RA à l'adresse de multidiffusion tous nœuds IPv6 de ff02::1. PC1 utilise ces
informations pour créer une GUA IPv6 unique.
8.2.5
Génération aléatoire -L'ID de l'interface 64-bit est généré aléatoirement par le système
d'exploitation du client. C'est la méthode maintenant utilisée par les hôtes Windows 10.
EUI-64 - L'hôte crée un ID d'interface en utilisant son adresse MAC 48 bits et insère la valeur
hexadécimale de fffe au milieu de l'adresse. Certains systèmes d'exploitation utilisent par défaut l'ID
d'interface généré aléatoirement plutôt que la méthode EUI-64, en raison de problèmes de
confidentialité. En effet, l'adresse MAC Ethernet de l'hôte est utilisée par l'EUI-64 pour créer l'ID de
l'interface.
Par exemple, dans la sortie ipconfig suivante, l'hôte Windows 10 PC1 a utilisé les
informations de sous-réseau IPv6 contenues dans le RA R1 et a généré aléatoirement un ID
d'interface de 64 bits tel que mis en évidence dans la sortie.
C:\PC1> ipconfig
Windows IP Configuration
Comme SLAAC est un processus sans état, PC1 doit vérifier que cette nouvelle adresse IPv6
est unique pour pouvoir être utilisée. Le processus DAD (Duplicate Address Detection) est
utilisé par un hôte pour s'assurer que la GUA IPv6 est unique.
DAD est implémenté en utilisant ICMPv6. Pour effectuer le DAD, l'hôte envoie un message
ICMPv6 Neighbor Solicitation (NS) avec une adresse multidiffusion spécialement construite,
appelée adresse multicast de nœud sollicité. Cette adresse duplique les 24 derniers bits de
l'adresse IPv6 de l'hôte.
Si aucun autre appareil ne répond avec un message NA, alors l'adresse est pratiquement
garantie d'être unique et peut être utilisée par l'hôte. Si un NA est reçu par l'hôte, alors
l'adresse n'est pas unique, et le système d'exploitation doit déterminer un nouvel ID d'interface
à utiliser.
IETF (Internet Engineering Task Force) recommande que la fonction DAD soit utilisée sur
toutes les adresses de monodiffusion IPv6, qu'elle soit créée à l'aide de SLAAC uniquement,
obtenue à l'aide de DHCPv6 avec état ou configurée manuellement. DAD n'est pas obligatoire
car un ID d'interface 64 bits fournit 18 possibilités de quintillion et la possibilité qu'il y ait une
duplication est distante. Toutefois, la plupart des systèmes d'exploitation exécutent DAD sur
toutes les adresses monodiffusion IPv6, quelle que soit la façon dont l'adresse est configurée.
8.2.7
ip routing
ipv6 unicast-routing
ARP
DAD
PING
SLAAC
DHCPv6
8.3.1
Bien que DHCPv6 et DHCPv4 fournissent des services similaires, ces deux protocoles sont
indépendants.
L'hôte commence les communications client/serveur DHCPv6 après que le DHCPv6 sans état ou
le DHCPv6 avec état est indiqué dans le RA.
Les messages DHCPv6 serveur à client utilisent le port de destination UDP 546 tandis que les
messages DHCPv6 client à serveur utilisent le port de destination UDP 547.
Étape 5
Étape 6
Étape 1. L'hôte envoie un message RS.
R1PC1G0/0/11
Fonctionnement de SLAACSollicitation de routeurServeur DHCPv6
8.3.2
Ce processus est appelé DHCPv6 sans état, car le serveur ne conserve aucune information sur
l'état des clients (c'est-à-dire une liste des adresses IPv6 disponibles et attribuées). Le serveur
DHCPv6 sans état fournit uniquement des paramètres de configuration pour les clients et non
pour les adresses IPv6.
montre un diagramme dans lequel le PC obtient ses informations de serveur DHCPv6 sans état à
partir du routeur R1
2001:db8:acad:1::1/64fe80::1G0/0/112R1PC1
Indicateur Valeur
A 1
O 1
M 0
1. PC1 reçoit un message RA DHCP sans état. Le message RA contient le préfixe réseau et la
longueur du préfixe. L'indicateur M pour DHCP avec état est défini sur la valeur par défaut 0.
L'indicateur A=1 indique au client d'utiliser SLAAC. La valeur de 1 de l'indicateur O sert à
informer le client que des informations de configuration supplémentaires sont disponibles auprès
d'un serveur DHCPv6 sans état.
2. Le client envoie un message DHCPv6 SOLICIT à la recherche d'un serveur DHCPv6 sans état
pour obtenir des informations supplémentaires (p. ex. adresses de serveur DNS).
8.3.3
R1(config-if)# end
R1#
R1#
8.3.4
Opération DHCPv6 avec état
Cette option est la plus proche de DHCPv4. Dans ce cas, le message RA indique au client
d'obtenir toutes les informations d'adressage à partir d'un serveur DHCPv6 avec état, à
l'exception de l'adresse de passerelle par défaut qui est l'adresse lien-local IPv6 source du RA.
On parle de DHCPv6 avec état, car le serveur DHCPv6 maintient à jour les informations relatives
à l'état des adresses IPv6. Le principe est similaire à celui d'un serveur DHCPv4 attribuant des
adresses pour IPv4.
2001:db8:acad:1::1/64fe80::1G0/0/112R1PC1
Indicateur Valeur
A 0
O 0
M 1
1. PC1 reçoit un message RA DHCPv6 avec l'indicateur O défini sur 0 et l'indicateur M défini sur 1,
indiquant à PC1 qu'il recevra toutes ses informations d'adressage IPv6 d'un serveur DHCPv6
avec état.
2. PC1 envoie un message DHCPv6 SOLICIT à la recherche d'un serveur DHCPv6 avec état.
Remarque: Si A=1 et M=1, certains systèmes d'exploitation tels que Windows créent une
adresse IPv6 à l'aide de SLAAC et obtiennent une adresse différente du serveur DHCPv6 avec
état. Dans la plupart des cas, il est recommandé de définir manuellement l'indicateur A sur 0.
8.3.5
La sortie surlignée dans l'exemple confirme que le RA dira à l'hôte d'obtenir toutes les
informations de configuration IPv6 d'un serveur DHCPv6 ( indicateur M = 1).
R1(config-if)# end
R1#
R1#
8.3.6
67
68
547
546
2. Quel message DHCPv6 envoie un hôte pour rechercher un serveur DHCPv6?
ANNONCE
SOLLICITATION
REQUÊTE D'INFORMATIONS
REQUÊTE
3. Quel message DHCPv6 un hôte envoie au serveur DHCPv6 s'il utilise DHCPv6 avec état?
ANNONCE
SOLLICITATION
REQUÊTE D'INFORMATIONS
REQUÊTE
4. Quelle combinaison de paramètres d'indicateur est utilisée pour DHCP sans état?
M=0
M=1
ContrôlerDémonstrationRéinitialiser
8.2
SLAAC
Plus précisément, il peut être configuré pour être l'un des éléments suivants :
Serveur DHCPv6 - Routeur fournit des services DHCPv6 sans état ou avec état.
Client DHCPv6 - L'interface du routeur acquiert une configuration IP IPv6 à partir d'un serveur
DHCPv6.
Agent de relais DHCPv6 - Routeur fournit des services de transfert DHCPv6 lorsque le client et
le serveur sont situés sur différents réseaux.
8.4.2
montre un diagramme dans lequel un routeur client obtient ses informations de serveur DHCPv6
sans état à partir du routeur R1
G0/0/1G0/0/1fe80::12001:db8:acad:1::1/64R1R3PC1
Serveur DHCPv6 sans étatClient
Dans cet exemple, R1 fournira des services SLAAC pour la configuration IPv6 hôte et les
services DHCPv6.
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état:
Étape 1. Activez le routage IPv6 Étape 2. Définissez un nom de pool DHCPv6. Étape 3.
Configurez le pool DHCPv6. Étape 4. Liez le pool DHCPv6 à une interface. Étape 5. Vérifiez que
les hôtes ont reçu des informations d'adressage IPv6.
Étape 3
Étape 4
Étape 5
Étape 1. Activer le routage IPv6.
La commande ipv6 unicast-routing est nécessaire pour activer le routage IPv6. Bien qu'il ne
soit pas nécessaire que le routeur soit un serveur DHCPv6 apatride, il est nécessaire que le
routeur soit source de messages RA ICMPv6.
R1(config)#
8.4.3
G0/0/1G0/0/1fe80::12001:db8:acad:1::1/64R1R3PC1
Serveur DHCPv6 sans étatClient
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état.
Étape 3
Étape 4
Étape 5
Étape 1. Activer le routage IPv6.
R3(config)#
8.4.4
Dans la figure, R1 fournira des services DHCPv6 avec état à tous les hôtes du réseau local. La
configuration d'un serveur DHCPv6 avec état est similaire à celle d'un serveur sans état. La
différence la plus significative est qu'un serveur DHCPv6 en état comprend également des
informations d'adressage IPv6 similaires à celles d'un serveur DHCPv4.
R1R3PC1G0/0/1fe80::12001:db8:acad:1::1/64G0/0/1
Serveur DHCPv6 avec étatClient DHCPv6
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état:
Étape 5
Étape 1. Activer le routage IPv6.
R1(config)#
8.4.5
Reportez-vous à l'exemple de topologie pour savoir comment configurer le client DHCPv6 avec
état.
PC1R32001:db8:acad:1::1/64fe80::1G0/0/1G0/0/1R1
Serveur DHCPv6 avec état
Client DHCPv6
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état.
Étape 1. Activez le routage IPv6 Étape 2. Configurez le routeur client pour créer un LLA. Étape
3. Configurez le routeur client pour qu'il utilise DHCPv6. Étape 4. Vérifiez que le routeur client est
attribué à une GUA. Étape 5. Vérifiez que le routeur client a reçu d'autres informations DHCPv6
nécessaires.
R3(config)#
8.4.6
Commandes de vérification
Utilisez les commandes show ipv6 dhcp pool et show ipv6 dhcp binding et pour vérifier le
fonctionnement DHCPv6 sur un routeur.
Lorsqu'un routeur fournit des services DHCPv6 avec état, il gère également une base de
données des adresses IPv6 attribuées.
clients: 2
R1#
8.4.7
Dans la figure, R3 est configuré comme un serveur DHCPv6 avec état. PC1 se trouve sur le
réseau 2001:db8:acad:2::/64 et nécessite les services d'un serveur DHCPv6 avec état pour
acquérir sa configuration IPv6. R1 doit être configuré comme agent de relais DHCPv6.
PC1R1R32001:db8:acad:2::/642001:db8:acad:1::/64:1fe80::1:1fe80::1:2fe80::3G0/0/1G0/0/0G0/0
/0
Client DHCPv6
Agent de relais DHCPv6
Serveur DHCPv6
sans état
La syntaxe de commande pour configurer un routeur en tant qu'agent de relais DHCPv6 est la
suivante:
Cette commande est configurée sur l'interface face aux clients DHCPv6 et spécifie l'adresse du
serveur DHCPv6 et l'interface de sortie pour atteindre le serveur, comme indiqué dans la sortie.
L'interface de sortie n'est requise que lorsque l'adresse de saut suivant est un LLA.
R1(config-if)# exit
R1(config)#
8.4.8
ipconfig /all
L'agent de relais DHCPv6 peut être vérifié à l'aide de la commande show ipv6 dhcp interface.
Cela vérifiera que l'interface G0/0/1 est en mode relais.
Destinations relais:
2001:DB8:ACAD:1::2
R1#
8.4.9
Vérifiez votre compréhension - Configurer le
serveur DHCPv6
Vérifiez votre compréhension en choisissant la MEILLEURE réponse aux questions suivantes.
1. Quels trois rôles DHCPv6 un routeur peut-il effectuer? (Choisissez toutes les réponses qui
conviennent.)
Client DHCPv6
serveur DHCP
2. Quelle commande n'est pas configurée dans DHCPv6 sans état?
domain-name name
dns-server server-address
ipv6 enable
ipv6 nd other-config-flag
5. Un routeur compatible IPv6 doit acquérir son interface graphique IPv6 à partir d'un serveur
DHCPv6. Quelle commande de configuration d'interface doit être configurée sur le routeur client?
ip helper-address
ipv6 enable
ipv6 helper-address
ContrôlerDémonstrationRéinitialiser
8.3
DHCPv6
Configurer DHCPv6
8.5.2
Sur un routeur, une GUA (Global unicast Adresses) IPv6 est configurée manuellement à l'aide de
la commande de configuration de l'interface ipv6 address ipv6-address/prefix-length. Lorsque
l'adressage IPv6 automatique est sélectionné, l'hôte tente d'obtenir et de configurer
automatiquement les informations d'adresse IPv6 sur l'interface. L'adresse lien-local IPv6 est
automatiquement créée par l'hôte lorsqu'il démarre et que l'interface Ethernet est active. Par
défaut, un routeur compatible IPv6 annonce ses informations IPv6, ce qui permet à un hôte de
créer ou d'acquérir dynamiquement sa configuration IPv6. La GUA IPv6 peut être attribué
dynamiquement à l'aide de services sans état et avec état. La décision de la façon dont un client
obtiendra une GUA IPv6 dépend des paramètres du message RA. Un message RA ICMPv6
comprend trois indicateurs permettant d'identifier les options dynamiques disponibles pour un
hôte:
SLAAC
La méthode SLAAC permet aux hôtes de créer leur propre adresse de monodiffusion globale
IPv6 unique sans les services d'un serveur DHCPv6. Le SLAAC utilise les messages RA ICMPv6
pour fournir l'adressage et d'autres informations de configuration qui seraient normalement
fournies par un serveur DHCP. SLAAC peut être déployé en tant que SLAAC uniquement, ou
SLAAC avec DHCPv6. Pour activer l'envoi de messages RA, un routeur doit rejoindre le groupe
de routeurs IPv6 à l'aide de la commande globale de configuration ipv6 unicast-routing .
Utilisez la commande show ipv6 interface pour vérifier si un routeur est activé. La méthode
SLAAC uniquement est activée par défaut lorsque la commande ipv6 unicast-routing est
configurée. Toutes les interfaces Ethernet activées avec une GUA IPv6 configurée
commenceront à envoyer des messages RA avec l'indicateur A défini sur 1 et les indicateurs O et
M définis sur 0. L'indicateur A = 1 suggère au client de créer sa propre GUA IPv6 en utilisant le
préfixe annoncé dans la RA. Les indicateurs O =0 et M =0 indiquent au client qu'il doit utiliser
exclusivement les informations contenues dans le message de RA. Un routeur envoie des
messages RA toutes les 200 secondes. Cependant, il enverra également un message RA s'il
reçoit un message RS d'un hôte. En utilisant le SLAAC, un hôte acquiert généralement ses
informations de sous-réseau IPv6 de 64 bits du routeur RA. Cependant, il doit générer le reste de
l'identifiant d'interface (ID) de 64 bits en utilisant l'une des deux méthodes suivantes :
aléatoirement généré, ou EUI-64. Le processus DAD est utilisé par un hôte pour s'assurer que la
GUA IPv6 est unique. DAD est implémenté en utilisant ICMPv6. Pour effectuer DAD, l'hôte
envoie un message ICMPv6 NS avec une adresse de multidiffusion spécialement construite,
appelée adresse de multidiffusion à nœud sollicité. Cette adresse duplique les 24 derniers bits de
l'adresse IPv6 de l'hôte.
DHCPv6
L'hôte commence les communications client/serveur DHCPv6 après que le DHCPv6 sans état ou
le DHCPv6 avec état est indiqué dans le RA. Les messages DHCPv6 serveur à client utilisent le
port de destination UDP 546, tandis que les messages DHCPv6 client à serveur utilisent le port
de destination UDP 547. L'option DHCPv6 sans état informe le client à utiliser les informations
dans le message RA pour l'adressage, mais les paramètres de configuration supplémentaires
sont fournis par un serveur DHCPv6. C'est ce qu'on appelle DHCPv6 sans état car le serveur ne
conserve aucune information sur l'état du client. DHCPv6 sans état est activé sur une interface
de routeur à l'aide de la commande de configuration de l'interface ipv6 nd other-config-flag.
Cela définit l'indicateur O sur 1. Dans DHCPv6 avec état, le message RA indique au client
d'obtenir toutes les informations d'adressage à partir d'un serveur DHCPv6 avec état, à
l'exception de l'adresse de passerelle par défaut qui est l'adresse lien-local IPv6 source du RA. Il
est appelé "avec état" (sateful) parce que le serveur DHCPv6 conserve les informations d'état
IPv6. DHCPv6 avec état est activé sur une interface de routeur à l'aide de la commande de
configuration de l'interface ipv6 nd managed-config-flag. Cela définit l'indicateur M sur 1.
Un routeur Cisco IOS peut être configuré pour fournir des services de serveur DHCPv6 comme
l'un des trois types suivants: serveur DHCPv6, client DHCPv6 ou agent de relais DHCPv6.
L'option de serveur DHCPv6 sans état nécessite que le routeur annonce les informations
d'adressage réseau IPv6 dans les messages RA. Un routeur peut également être un client
DHCPv6 et obtenir une configuration IPv6 à partir d'un serveur DHCPv6. L'option de serveur
DHCP avec état nécessite que le routeur IPv6 indique à l'hôte de contacter un serveur DHCPv6
pour obtenir toutes les informations d'adressage réseau IPv6 requises. Pour qu'un routeur client
soit un routeur DHCPv6, il doit être ipv6 unicast-routing activé et une adresse lien-local IPv6
pour envoyer et recevoir des messages IPv6. Utilisez les commandes show ipv6 dhcp
pool et show ipv6 dhcp binding pour vérifier le fonctionnement DHCPv6 sur un routeur. Si le
serveur DHCPv6 est situé sur un réseau différent de celui du client, alors le routeur IPv6 peut
être configuré comme un agent relais DHCPv6 en utilisant la commande ipv6 dhcp relay
destination ipv6-address [interface-type interface-number]. Cette commande est configurée sur
l'interface faisant face aux clients DHCPv6 et spécifie l'adresse du serveur DHCPv6 et l'interface
de sortie pour atteindre le serveur. L'interface de sortie n'est requise que lorsque l'adresse de
saut suivant est un LLA. Vérifiez que l'agent de relais DHCPv6 est opérationnel avec les
commandesshow ipv6 dhcp interface show ipv6 dhcp binding et.
8.5.3
Il vérifie avec la base de données d'adresses IPv6 qui est hébergée par le serveur SLAAC.
Il envoie un message d'annonce de voisin ICMPv6 en utilisant l'adresse IPv6 comme adresse
IPv6 cible.
Il envoie un message ARP avec l'adresse IPv6 comme adresse IPv6 de destination.
les annonces des voisins qui sont reçues des voisins de liaison
3. Quelles méthodes peuvent être utilisées pour générer un ID d'interface par un hôte IPv6 qui
utilise la méthode SLAAC? (Choisissez deux réponses.)
DAD
ARP
Génération aléatoire
EUI-64
4. Un client utilise SLAAC pour obtenir une adresse IPv6 pour son interface. Une fois qu'une
adresse a été générée et appliquée à l'interface, que doit faire le client avant de pouvoir
commencer à utiliser cette adresse IPv6?
Il doit envoyer un message de sollicitation de voisin ICMPv6 pour s'assurer que l'adresse n'est
pas déjà utilisée sur le réseau.
ipv6 enable
FF02::1
FE80::1
FF02::1:2
FF02::2
8. En dehors de DHCPv6, dans quel autre type d'adressage un routeur fournit-il dynamiquement
des informations de configuration IPv6 aux hôtes?
EUI-64
ICMPv6
ARP
SLAAC
9. Une entreprise implémente la méthode DHCPv6 sans état pour configurer les adresses IPv6 sur
les postes de travail des employés. Lorsqu'une station de travail reçoit des messages de
plusieurs serveurs DHCPv6 pour indiquer leur disponibilité pour le service DHCPv6, quel
message enverre-t-il à un serveur pour obtenir des informations de configuration?
DHCPv6 REQUÊTE
DHCPv6 ANNONCE
DHCPv6 SOLICIT
10. Quel processus est utilisé dans ICMPv6 pour qu'un hôte vérifie qu'une adresse IPv6 est unique
avant de la configurer sur une interface?
SLAAC
ARP
DAD:
EUI-64
11. Quelles sont les deux caractéristiques de la méthode SLAAC pour la configuration d'adresses
IPv6? (Choisissez deux propositions.)
Les clients envoient des messages publicitaires de routeur aux routeurs pour demander
l'adressage IPv6.
La passerelle par défaut d'un client IPv6 sur un réseau local sera l'adresse lien-local de
l'interface du routeur connectée au réseau local.
L'adressage IPv6 est attribué dynamiquement aux clients grâce à l'utilisation d'ICMPv6.
Cette méthode d'acquisition avec état d'une adresse IPv6 nécessite au moins un serveur
DHCPv6.
Les messages de sollicitation de routeur sont envoyés par le routeur pour offrir l'adressage IPv6
aux clients.
12. Après le démarrage, un client reçoit un message ICMPv6 RA avec l'indicateur M défini sur 0 et
l'indicateur O défini sur 1. Qu'est-ce que cela indique?
Le client doit demander une adresse IPv6 directement à partir d'un serveur DHCPv6.
Le client doit configurer automatiquement une adresse IPv6 sans contacter un serveur DHCPv6.
Le client doit automatiquement configurer une adresse IPv6, puis contacter un serveur DHCPv6
pour plus d'informations.
Le client doit être configuré statiquement avec une adresse IPv6 car le routeur local ne prend
pas en charge la configuration automatique.
13. Un administrateur réseau saisit la commande ipv6 unicast-routing pour commencer à
configurer le fonctionnement du DHCPv6 sur un routeur. Quelle affirmation décrit la fonction de
cette commande?
Il est obligatoire pour configurer le serveur DHCPv6 avec « état » sur le routeur.
Il est obligatoire pour activer le service DNS dans les configurations DHCPv6.
Il est obligatoire pour configurer le serveur DHCPv6 « sans état » sur le routeur.
ContrôlerDémonstrationRéinitialiser
8.4
Présentation
9.0.1
Votre réseau est opérationnel. Vous avez conquis la redondance de couche 2 sans boucles de
couche 2. Tous vos appareils obtiennent leurs adresses dynamiquement. Vous êtes excellent à
l'administration des réseaux ! Mais attends. Un de vos routeurs, le routeur de passerelle par
défaut en fait, est tombé en panne. Aucun de vos hôtes ne peut envoyer de messages en dehors
du réseau immédiat. Cela va prendre un certain temps pour que ce routeur de passerelle par
défaut fonctionne à nouveau. Vous avez beaucoup de gens en colère qui vous demandent
quand le réseau retournera.
Vous pouvez éviter ce problème facilement. Les protocoles de redondance de premier saut
(FHRP) sont la solution dont vous avez besoin. Ce module explique le fonctionnement du
protocoles FHRP et tous les types de protocoles FHRP qui sont à votre disposition. L'un de
ces types est un FHRP propriétaire de CISCO appelé le protocole HSRP (Hot Standby Router
Protocol). Vous apprendrez comment le protocole HSRP fonctionne, puis terminerez une
activité Packet Tracer où vous allez configurer et vérifier le protocole HSRP. N'attendez pas,
commencez!
9.0.2
Qu'est-ce que je vais apprendre dans ce
module?
Titre du module: Concepts du FHRP (protocoles de redondance au premier saut)
Objectif du module: Expliquer comment les protocoles FHRP fournissent des services de
passerelle par défaut dans un réseau redondant.
Légende du tableau
8.5
Protocoles de redondance au
premier saut
9.1.1
Dans un réseau commuté, chaque client reçoit une seule passerelle par défaut. Il n'est pas
possible d'utiliser une passerelle secondaire, même s'il existe un deuxième chemin pour
transporter les paquets hors du segment local.
Dans cette figure, R1 est responsable du routage des paquets en provenance de PC1. Si R1
n'est plus disponible, les protocoles de routage peuvent converger dynamiquement. R2
achemine désormais les paquets en provenance des réseaux extérieurs, qui auraient
normalement été destinés à R1. Cependant, le trafic en provenance du réseau interne associé à
R1, y compris le trafic en provenance des stations de travail, des serveurs et des imprimantes
configurés avec R1 comme passerelle par défaut, est encore renvoyé vers R1 puis abandonné.
Remarque: Aux fins de discussion sur la redondance des routeurs, nous partirons du principe
qu'il n'existe pas de différences fonctionnelles entre un commutateur de couche 3 et un routeur
de la couche de distribution. Dans la pratique, il est courant qu'un commutateur de couche 3
joue le rôle de passerelle par défaut pour chaque VLAN d'un réseau commuté. Cette
discussion se concentre sur la fonctionnalité de routage, quel que soit le périphérique
physique utilisé.
R1R2PC1
10.1.10.3/24
0014.a866.289810.1.10.2/24
0014.a855.1788Serveur
10.9.1.50/24
Les périphériques finaux sont généralement configurés avec une adresse IPv4 unique pour
une passerelle par défaut. Cette adresse ne change pas lorsque la topologie de réseau est
modifiée. Si cette adresse IPv4 de passerelle par défaut n'est pas accessible, le périphérique
local ne pourra pas envoyer des paquets à partir du segment de réseau local, ce qui le
déconnectera des autres réseaux. Même si un routeur redondant pourrait servir de passerelle
par défaut sur ce segment, ces périphériques ne peuvent pas déterminer dynamiquement
l’adresse d’une nouvelle passerelle par défaut.
Remarque: les périphériques IPv6 reçoivent leur adresse de passerelle par défaut
dynamiquement à partir de l'annonce de routeur ICMPv6. Toutefois, les périphériques IPv6
bénéficient d'un basculement plus rapide vers la nouvelle passerelle par défaut lors de
l'utilisation de protocoles FHRP.
9.1.2
La redondance de routeur
Pour éviter tout risque de point de défaillance unique au niveau de la passerelle par défaut, il
est possible d'implémenter un routeur virtuel. Pour implémenter ce type de redondance de
routeur, plusieurs routeurs sont configurés pour un fonctionnement conjoint, de manière à
présenter l'illusion d'un routeur unique au regard des hôtes du LAN, comme illustré dans la
figure. En partageant une adresse IP et une adresse MAC, plusieurs routeurs peuvent jouer le
rôle d'un routeur virtuel unique.
La topologie du réseau physique montre quatre PC, trois routeurs et un cloud Internet ou
fédérateurs FAI. Les quatre PC et les trois routeurs sont connectés à un réseau local. Les trois
routeurs ont également un lien allant jusqu' au Internet ou fédérateurs FAI. Il existe un routeur
de transfert avec l'adresse IP 192.0.2.1/24. Il existe un routeur virtuel avec l'adresse IP
192.0.2.100/24. Il existe un routeur de secours avec l'adresse IP 192.0.2.2/24. Une flèche
représentant un paquet envoyé à partir de PC2 vers le routeur virtuel à l'adresse IP
192.0.2.100 puis vers le routeur de transfert avec l'adresse IP 192.0.2.1, puis vers l'internet ou
les fédérateurs FAI.
PC1PC3PC4PC2192.0.2.2/24192.0.2.1/24192.0.2.3/24
Routeur
de transfertRouteur
de secoursRouteur
virtuelInternet ou réseau fédérateur du FAIRéseau local (LAN)
L'adresse IPv4 du routeur virtuel est configurée en tant que passerelle par défaut pour les
postes de travail sur un segment IPv4 donné. Lorsque des trames sont envoyées à la passerelle
par défaut par des périphériques hôtes, les hôtes utilisent le processus ARP pour résoudre
l'adresse MAC associée à l'adresse IPv4 de la passerelle par défaut. La résolution ARP
renvoie l’adresse MAC du routeur virtuel. Les trames envoyées à l'adresse MAC du routeur
virtuel peuvent alors être traitées physiquement par le routeur actif, au sein du groupe de
routeurs virtuel. Un protocole est utilisé pour identifier au moins deux routeurs comme
périphériques chargés de traiter les trames envoyées à l’adresse MAC ou à l’adresse IP d’un
routeur virtuel unique. Les périphériques hôtes transmettent le trafic à l’adresse du routeur
virtuel. Le routeur physique qui réachemine ce trafic est transparent pour les périphériques
hôtes.
Un protocole de redondance offre le mécanisme nécessaire pour déterminer quel routeur doit
être actif dans le réacheminement du trafic. Il détermine également quand le rôle de
réacheminement doit être repris par un routeur en veille. La transition d’un routeur de
transfert à un autre est transparente pour les périphériques finaux.
La capacité d'un réseau à effectuer une reprise dynamique après la défaillance d'un
périphérique jouant le rôle de passerelle par défaut est appelée « redondance au premier saut
».
9.1.3
PC1PC3PC4PC2192.0.2.1/24192.0.2.100/24192.0.2.2/24
Routeur virtuelNouveau routeur
de transfertInternet ou réseau fédérateur du FAILAN Défaillance de liaison ou de périphérique: le routeur en veille devient le
routeur de transmission.
9.1.4
Options FHRP
Le protocole FHRP utilisé dans un environnement de production dépend largement de
l'équipement et des besoins du réseau. Le tableau répertorie toutes les options disponibles
pour les protocoles FHRP.
Légende du tableau
9.1.5
routeur virtuel
routeur de secours
Commutateur de couche 3
2. Quel périphérique présente l'illusion d'un routeur unique aux hôtes ensemble de routeurs
collaborant pour présenter l'apparence d'un routeur unique aux hôtes sur un segment de LAN.
routeur virtuel
routeur de transfert
Commutateur de couche 3
3. Quel périphérique faisant partie d'un groupe de routeurs virtuels auquel a été attribué le rôle
de passerelle par défaut alternative?
routeur virtuel
routeur de secours
Commutateur de couche 3
4. quel périphérique faisant partie d'un groupe de routeurs virtuels auquel a été attribué le rôle de
passerelle par défaut?
routeur virtuel
routeur de transfert
Commutateur de couche 3
5. Quels protocoles de FHRP sont propriétaires de CISCO ? (Choisissez deux réponses.)
IRDP
HSRP
VRRPv2
ContrôlerDémonstrationRéinitialiser
9.0
Présentation
9.2
HSRP
9.2.1
Le Protocole HSRP (Hot Standby Router Protocol) est un protocole FHRP propriétaire de
Cisco, conçu pour permettre le basculement transparent d'un périphérique IPv4 au premier
saut.
Le protocole HSRP offre une disponibilité de réseau élevée, par le biais d'une redondance de
routage au premier saut pour les hôtes IP des réseaux configurés avec une adresse de
passerelle par défaut IP. Il est utilisé dans un groupe de routeurs pour sélectionner un
périphérique actif et un périphérique en veille. Dans un groupe d'interfaces de périphérique, le
périphérique actif est celui qui est utilisé pour le routage des paquets; le périphérique en veille
est celui qui prend le relais en cas de défaillance du périphérique actif ou lorsque certaines
conditions prédéfinies sont réunies. La fonction du routeur en veille HSRP est de surveiller
l'état de fonctionnement du groupe HSRP et de prendre rapidement la responsabilité du
réacheminement des paquets lorsque le routeur actif est défaillant.
9.2.2
Priorité et Préemption HSRP
Le rôle des routeurs actifs et de secours est déterminé lors du processus de sélection de HSRP.
Par défaut, le routeur avec l'adresse IPv4 la plus élevée devient le routeur actif. Cependant, il
est toujours plus judicieux de contrôler la manière dont votre réseau fonctionne en conditions
normales plutôt que de laisser le hasard faire les choses.
Priorité HSRP
Il est possible d'utiliser la priorité HSRP pour déterminer le routeur actif. Le routeur associé à
la priorité HSRP la plus élevée devient le routeur actif. La valeur par défaut de la priorité
HSRP est 100. Si les priorités sont identiques, le routeur avec l'adresse IPv4 la plus élevée
devient le routeur actif.
Pour configurer un routeur en tant que routeur actif, utilisez la commande d'interface standby
priority . La plage de priorité HSRP va de 0 à 255.
Préemption HSRP
Par défaut, après être devenu le routeur actif, ce routeur reste le même si un autre routeur
associé à une priorité plus élevée est connecté.
172.16.10.2/24172.16.10.3/24R2R1G0/0/1G0/0/1
Routeur virtuelAdresse IPv4 virtuelle
172.16.10.1/24
Adresse MAC virtuelle
0000.0C07.AC01 Routeur actif
Priorité 150Routeur en veille
Priorité 100
R1 a été configuré avec la priorité HSRP 150 et R2 avec la priorité HSRP par défaut, soit 100.
La préemption est activée sur R1. Comme sa priorité est plus élevée, R1 est le routeur actif et
R2 le routeur de secours (standby). En raison d'une panne de courant affectant seulement R1,
le routeur actif n'est plus disponible et le routeur de secours R2 prend le relais. Une fois
l'alimentation rétablie, R1 est de nouveau disponible. Comme la priorité de R1 est plus élevée
et que la préemption est activée, il déclenche un nouveau processus de sélection. R1 reprend
son rôle de routeur actif et R2 celui du routeur de secours.
Remarque: Lorsque la préemption est désactivée, le premier routeur qui démarre devient le
routeur actif si aucun autre routeur n'est disponible pendant le processus de sélection.
9.2.3
Légende du tableau
cet état initial lorsqu'un changement de configuration a lieu ou une interface devient disponible pou
Initial
fois.
Le routeur n'a pas encore appris son adresse IP virtuelle ni reçu de messages Hello du routeur actif.
Apprendre
le routeur est en attente d’un message du routeur actif.
Le routeur connait son adresse IP virtuelle, mais n'est ni le routeur actif, ni le routeur de secours. Il a
Écouter
message de ceux-ci.
Le routeur envoie régulièrement des messages Hello et participe activement à la sélection du routeu
Parler
routeur de secours.
En veille Le routeur est candidat pour devenir le prochain routeur actif et envoie régulièrement des message
Par défaut, les routeurs actif et de secours envoient des paquets Hello à l'adresse de
multidiffusion du groupe HSRP toutes les 3 secondes. Le routeur de secours (standby) prend
la main s'il ne reçoit pas un message Hello du routeur actif après 10 secondes. Vous pouvez
diminuer ces délais pour accélérer le basculement ou la préemption. Toutefois, pour éviter une
utilisation accrue du processeur et des changements d'état «standby» inutiles, ne définissez
pas une valeur inférieure à une seconde pour le minuteur «hello» et à 4 secondes pour le
minuteur «hold» (attente).
9.2.4
50
100
150
255
2. Vrai ou faux? Si un routeur avec une priorité HSRP plus élevée rejoint le réseau, il prendra le
relais du routeur actif à partir d'un routeur actif existant qui a une priorité inférieure.
Vrai
Faux
3. Au cours de quel état de protocole HSRP une interface commence-t-elle à envoyer des
messages de Hello périodiques?
initial
écouter
Parler
actif
4. Quelle est la caractéristique de l'état d'apprendre HSRP?
9.1
En cas de défaillance d'un routeur ou d'une interface de routeur servant de passerelle par défaut,
les hôtes configurés avec cette passerelle par défaut sont isolés des réseaux extérieurs. Les
protocoles FHRP offrent des passerelles par défaut alternatives dans les réseaux commutés où
deux routeurs ou plus sont connectés aux mêmes VLAN. Pour éviter tout risque de point de
défaillance unique au niveau de la passerelle par défaut, il est possible d'implémenter un routeur
virtuel. Avec un routeur virtuel, plusieurs routeurs sont configurés pour un fonctionnement
conjoint, de manière à présenter l'illusion d'un routeur unique au regard des hôtes du LAN.
Lorsque le routeur actif est défaillant, le protocole de redondance définit le rôle de routeur actif
pour le routeur en veille. Voici la procédure en cas de défaillance du routeur actif:
1. Le routeur en veille cesse de voir les messages Hello du routeur de transfert.
2. Le routeur en veille assume le rôle du routeur de transfert.
3. Étant donné que le nouveau routeur de transfert assume à la fois le rôle de l'adresse IPv4 et celui
de l'adresse MAC du routeur virtuel, aucune interruption de service n'est constatée au niveau des
périphériques hôtes.
HSRP
Le Protocole HSRP (Hot Standby Router Protocol) est un protocole FHRP propriétaire de Cisco,
conçu pour permettre le basculement transparent d'un périphérique IPv4 au premier saut. Il est
utilisé dans un groupe de routeurs pour sélectionner un périphérique actif et un périphérique en
veille. Dans un groupe d'interfaces de périphérique, le périphérique actif est celui qui est utilisé
pour le routage des paquets; le périphérique en veille est celui qui prend le relais en cas de
défaillance du périphérique actif ou lorsque certaines conditions prédéfinies sont réunies. La
fonction du routeur en veille HSRP est de surveiller l'état de fonctionnement du groupe HSRP et
de prendre rapidement la responsabilité du réacheminement des paquets lorsque le routeur actif
est défaillant. Le routeur associé à la priorité HSRP la plus élevée devient le routeur actif. La
préemption est la capacité d'un routeur HSRP à déclencher un nouveau processus de sélection.
Lorsque la préemption est activée, un routeur mis en ligne avec une priorité HSRP plus élevée
assume le rôle de routeur actif. Les états HSRP comprennent initial, apprendre, écouter, parler et
en veille.
9.3.2
Il fournit une connexion réseau continue en cas d'un routeur est défaillant.
HSRP
SLB
GLBP
VRRPv2
3. Un administrateur réseau analyse les protocoles de redondance des routeurs au premier saut.
Quelle est l'une des caractéristiques du protocole VRRPv3?
HSRP
VRRP
FHRP
GLBP
6. Lorsque les protocoles de redondance de premier saut sont utilisés, quels deux éléments seront
partagés par un ensemble de routeurs qui présentent l'illusion d'être un routeur unique?
(Choisissez deux réponses.)
route statique
BID
nom d'hôte
Adresse IP
Adresse MAC
7. Dans la terminologie FHRP, quoi représente un ensemble de routeurs apparaissant en tant que
routeur unique aux hôtes?
routeur de transfert
routeur virtuel
8. Un utilisateur souhaite ajouter la redondance sur les routeurs d'une entreprise. Quelles sont les
trois options que l'utilisateur peut utiliser? (Choisissez trois réponses.)
VRRP
RAID
IPFIX
GLBP
STP
HSRP
9. Quels sont les deux protocoles qui assurent la redondance de la passerelle à la couche 3?
(Choisissez deux réponses.)
HSRP
PVST
RSTP
VRRP
STP
10. Un administrateur réseau supervise la mise en œuvre des protocoles de redondance du premier
saut. Quels sont les deux protocoles propriétaires de Cisco? (Choisissez deux réponses.)
GLBP
VRRPv2
VRRP
HSRP
IRDP
11. Quelle affirmation décrit précisément une caractéristique de GLBP?
Il fournit un routage automatique si un routeur dans le groupe des routeurs est défaillant.
Dans cette activité Packet Tracer, vous apprendrez comment configurer le protocole HSRP pour
fournir des périphériques de passerelle par défaut redondants aux hôtes des réseaux locaux.
Après avoir configuré HSRP, vous testez la configuration pour vérifier que les hôtes peuvent
utiliser la passerelle par défaut redondante si le périphérique de passerelle actuel devient
indisponible.
La taille des data centers peut aller de quelques serveurs seulement à des centaines, voire des
milliers, de serveurs. Quelle que soit la taille, le data center doit être construit de manière
extrêmement organisée afin de simplifier la gestion et le dépannage d'un environnement
complexe. Une autre caractéristique de conception consiste à rendre le data center plus robuste
en utilisant la redondance pour éliminer tout point de défaillance unique. Cela peut impliquer
l'ajout de périphériques supplémentaires pour assurer une redondance physique et/ou l'utilisation
de technologies telles que les protocoles de redondance de premier saut (FHRP) et l'agrégation
de liens pour assurer une redondance logique.
Dans cette activité PTPM (Packet Tracer Physical Mode), la plupart des périphériques des data
centers de Toronto et de Seattle sont déjà déployés et configurés. Vous venez d'être embauché
pour examiner le déploiement actuel et augmenter la capacité du data center 1 à Toronto.
Remarque: Veuillez patienter. Le chargement de cette activité PTPM peut prendre plusieurs
minutes.
Introduction
10.0.1
Comprenez-vous ce qui sécurise un LAN? Savez-vous quelles menaces les acteurs peuvent
faire pour briser la sécurité du réseau? Savez-vous ce que vous pouvez faire pour les arrêter?
Ce module est votre introduction au monde de la sécurité des réseaux, alors n’attendez pas,
cliquez sur Suivant!
10.0.2
Légende du tableau
9.3
Déni de service distribué (DDoS) – Il s'agit d'une attaque coordonnée de nombreux périphériques,
appelés zombies, dans le but de dégrader ou d'interrompre l'accès du public au site Web et aux
ressources d'une organisation.
Violation de données – Il s'agit d'une attaque dans laquelle les serveurs de données ou les hôtes
d'une organisation sont compromis pour voler des informations confidentielles.
Programme malveillant – Il s'agit d'une attaque dans laquelle les hôtes d'une organisation sont
infectés par des logiciels malveillants qui provoquent divers problèmes. Par exemple, un ransomware
tel que WannaCry, illustré sur la figure, chiffre les données sur un hôte et verrouille l'accès jusqu'à ce
qu'une rançon soit payée.
10.1.2
NAC
Un routeur activé VPN fournit une connexion sécurisée aux utilisateurs distants sur un réseau
public et dans le réseau d'entreprise. Les services VPN peuvent être intégrés au pare-feu.
10.1.3
Les terminaux sont des hôtes qui se composent généralement d'ordinateurs portables,
d'ordinateurs de bureau, de serveurs et de téléphones IP, ainsi que d'appareils appartenant aux
employés qui sont généralement appelés apporter vos propres appareils (BYOD). Les
terminaux sont particulièrement sensibles aux attaques liées aux logiciels malveillants qui
proviennent de la messagerie électronique ou de la navigation Web. Ces terminaux ont
généralement utilisé des fonctionnalités de sécurité traditionnelles basées sur l'hôte, telles que
l'antivirus / anti-programme malveillant, les pare-feu basés sur l'hôte et les systèmes de
prévention des intrusions (HIPS) basés sur l'hôte. Cependant, aujourd'hui, les terminaux sont
mieux protégés par une combinaison de NAC, d'un logiciel AMP basé sur l'hôte, d'une
appliance de sécurité de messagerie (ESA) et d'une appliance de sécurité Web (WSA). Les
produits de protection avancée contre les logiciels malveillants (AMP) incluent des solutions
des terminaux telles que Cisco AMP pour les terminaux.
La figure est une topologie simple représentant tous les périphériques de sécurité des réseaux
et solutions des terminaux discutés dans ce module.
La figure est une topologie de réseau montrant les périphériques de sécurité des réseaux et les
solutions des terminaux. En haut à gauche se trouve le cloud Internet. Attaché au cloud
Internet est un utilisateur distant avec un client VPN. Connecté au cloud sur le réseau interne
est un routeur activé VPN qui est connecté à un NGFW. Le NGFW est connecté à un
commutateur multicouche qui a deux connexions à un autre commutateur multicouche. Un
périphérique NAC AAA / ISE est connecté au premier commutateur. Un périphérique
ESA/WSA est connecté au deuxième commutateur. Les deux commutateurs multicouches
sont tous deux connectés à un commutateur LAN sécurisé et à un WLC. Plusieurs terminaux
filaires et sans fil sécurisés avec AMP sont également présentés, notamment un ordinateur de
bureau, un ordinateur portable, un téléphone IP et un smartphone.
Selon le Talos Intelligence Group de Cisco, en juin 2019, 85% de tous les e-mails envoyés
étaient du spam. Les attaques d'hameçonnage sont une forme de spam particulièrement
virulente. Rappelons qu'une attaque d'hameçonnage incite l'utilisateur à cliquer sur un lien ou
à ouvrir une pièce jointe. L'hameçonnage cible les employés ou les cadres supérieurs qui
peuvent avoir des identifiants de connexion élevés. Ceci est particulièrement crucial dans
l'environnement actuel où, selon le SANS Institute, 95% de toutes les attaques sur les réseaux
d'entreprise sont le résultat d'une attaque d'hameçonnage réussie.
Cisco ESA est un appareil conçu pour surveiller le protocole SMTP (Simple Mail Transfer
Protocol). Cisco ESA est constamment mis à jour par des flux en temps réel de Cisco Talos,
qui détecte et corrèle les menaces et les solutions en utilisant un système de surveillance de
base de données mondial. Ces données de renseignement sur les menaces sont extraites par
Cisco ESA toutes les trois à cinq minutes. Voici quelques-unes des fonctions de Cisco ESA:
Dans la figure, Cisco ESA rejette l'e-mail avec des liens incorrects.
123
ESA
Dirigeant d'entreprise
10.1.5
Cisco WSA offre un contrôle complet sur la façon dont les utilisateurs accèdent à Internet.
Certaines fonctionnalités et applications, telles que le chat, la messagerie, la vidéo et l’audio,
peuvent être autorisées, restreintes avec des limites de temps et de bande passante, ou
bloquées, selon les besoins de l’organisation. Le WSA peut effectuer la liste noire des URL,
le filtrage des URL, l'analyse des logiciels malveillants, la catégorisation des URL, le filtrage
des applications Web et le chiffrement et le déchiffrement du trafic Web.
312
WSAInternethttp://example.com/bad
10.1.6
DDoS
Violation de données
Programme malveillant
Rançongiciel
2. Quels périphériques sont spécifiquement conçus pour la sécurité du réseau? (Choisissez trois
réponses)
VPN-Routeur activé
WLC
NAC
3. Quel appareil surveille le trafic SMTP pour bloquer les menaces et chiffrer les messages
sortants pour éviter la perte de données?
ESA
NAC
WSA
4. Quel périphérique surveille le trafic HTTP pour bloquer l'accès aux sites à risque et chiffrer
les messages sortants?
ESA
NAC
WSA
ContrôlerDémonstrationRéinitialiser
10.0
Introduction
10.2
Contrôle d'Accès
10.2.1
De nombreux types d'authentification peuvent être effectués sur des périphériques réseau, et
chaque méthode offre différents niveaux de sécurité. La méthode d'authentification d'accès à
distance la plus simple consiste à configurer une combinaison d'identifiant et de mot de passe
sur la console, les lignes vty et les ports auxiliaires, comme indiqué dans les lignes vty de
l'exemple suivant. Cette méthode est la plus simple à mettre en œuvre, mais elle est aussi la
plus faible et la moins sécurisée. Cette méthode n'assure aucune responsabilité et le mot de
passe est envoyé en clair. Toute personne disposant du mot de passe peut accéder à l'appareil.
R1(config-line)# login
Il nécessite un nom d'utilisateur et un mot de passe, tous deux chiffrés lors de la transmission.
Le nom d'utilisateur et le mot de passe peuvent être authentifiés par la méthode de la base de
données locale.
Il offre plus de responsabilité car le nom d'utilisateur est enregistré lorsqu'un utilisateur se connecte.
L'exemple suivant illustre SSH et les méthodes d'accès distant à la base de données locale.
Les comptes d'utilisateurs doivent être configurés localement sur chaque périphérique. Dans un
environnement de grande entreprise avec plusieurs routeurs et commutateurs à gérer, la mise en
œuvre et la modification des bases de données locales sur chaque périphérique peuvent prendre du
temps.
La configuration de la base de données locale ne fournit aucune méthode d'authentification de
secours. Par exemple, que se passe-t-il si l'administrateur oublie le nom d'utilisateur et le mot de
passe d'un périphérique ? À défaut d'une méthode de secours pour l'authentification, la
récupération du mot de passe est la seule option.
Une meilleure solution consiste à faire en sorte que tous les périphériques se réfèrent à la
même base de données de noms d'utilisateur et de mots de passe à partir d'un serveur central.
10.2.2
Composants du AAA
AAA signifie Authentification, Autorisation et Comptabilité. Le concept AAA est similaire à
l'utilisation d'une carte de crédit, comme le montre la figure. La carte de crédit identifie qui
peut l'utiliser, combien cet utilisateur peut dépenser et tient un compte des articles ou services
achetés par l'utilisateur.
AAA fournit le cadre principal pour configurer le contrôle d'accès sur un périphérique de
réseau. L'AAA est un moyen de contrôler qui est autorisé à accéder à un réseau (authentifier),
ce qu'ils peuvent faire pendant qu'ils sont là (autoriser), et de vérifier quelles actions ils ont
effectuées lors de l'accès au réseau (comptabilité).
Qui êtes-vous?Autorisation
10.2.3
Authentification
L'authentification locale et l'authentification par serveur sont deux méthodes courantes de
mise en œuvre de l'authentification AAA.
L'AAA local stocke les noms d'utilisateur et les mots de passe localement dans un
périphérique réseau tel que le routeur Cisco. Les utilisateurs s'authentifient auprès de la base
de données locale, comme illustré dans la figure. L'authentification AAA locale est idéale
pour les réseaux de petite taille.
un client distant se connecte à un routeur AAA, est invité à entrer un nom d'utilisateur et un
mot de passe, le routeur vérifie sa base de données locale avant d'autoriser l'accès au réseau
d'entreprise
123
Client distantRouteur AAARéseau d'entreprise
Avec la méthode basée sur le serveur, le routeur accède à un serveur AAA central, comme
indiqué sur la figure. Le serveur AAA contient les noms d'utilisateur et mot de passe pour
tous les utilisateurs. Le routeur utilise les protocoles RADIUS (Service utilisateur d'accès à
distance par authentification) ou TACACS+ (Contrôleur d'accès aux terminaux Système de
contrôle d'accès) pour communiquer avec le serveur AAA. Lorsqu'il y a plusieurs routeurs et
commutateurs, l'AAA sur serveur est plus approprié.
un client distant se connecte à un routeur AAA, est invité à entrer un nom d'utilisateur et un
mot de passe, le routeur authentifie les informations d'identification à l'aide d'un serveur AAA
et l'utilisateur dispose d'un accès au réseau
1234
Client distantRouteur AAAServeur AAA
10.2.4
Autorisation
L'autorisation AAA est automatique et ne nécessite pas que les utilisateurs effectuent des
étapes supplémentaires après l'authentification. L'autorisation régit ce que les utilisateurs
peuvent et ne peuvent pas faire sur le réseau après leur authentification.
123
Client distantServeur AAA
1. Lorsqu'un utilisateur a été authentifié, une session est établie entre le routeur et le serveur AAA.
2. Le routeur demande l'autorisation du serveur AAA pour le service demandé par le client.
3. Le serveur AAA renvoie une réponse PASS / FAIL pour autorisation.
10.2.5
Comptabilité
La comptabilité AAA collecte et rapporte les données d'utilisation. Ces données peuvent être
utilisées à des fins d'audit ou de facturation, par exemple. Les données recueillies peuvent
indiquer les heures de début et de fin des connexions, les commandes exécutées, le nombre de
paquets et le nombre d'octets.
12
Client distantServeur AAA
1. Lorsqu'un utilisateur a été authentifié, le processus de gestion des comptes AAA génère un message
de démarrage pour commencer le processus.
2. Lorsque l'utilisateur a terminé, un message d'arrêt est enregistré et le processus de gestion des
comptes s'arrête.
10.2.6
802.1X
La norme IEEE 802.1X est un protocole de contrôle d'accès et d'authentification basé sur les
ports. Ce protocole empêche les stations de travail non autorisées de se connecter à un réseau
local via des ports de commutation accessibles au public. Avant de mettre à disposition les
services offerts par le commutateur ou le LAN, le serveur d'authentification authentifie
chaque station de travail connectée à un port de commutation.
Avec l'authentification basée sur le port 802.1X, les périphériques du réseau ont des rôles
spécifiques, comme illustré dans la figure.
Le diagramme montre les périphériques impliqués dans l'authentification basée sur le port
802.1x. À gauche se trouve le suppliant, dans ce cas un ordinateur de bureau, qui nécessite un
accès et répond aux demandes d'un commutateur. Le demandeur est connecté à
l'authentificateur, dans ce cas un commutateur, qui contrôle l'accès physique au réseau en
fonction de l'état d'authentification du client. L'authentificateur est connecté au serveur
d'authentification qui effectue l'authentification du client.
Client (Demandeur) - Il s'agit d'un périphérique équipé d'un logiciel client conforme à la norme
802.1X, disponible pour les périphériques avec ou sans fil.
Commutateur (Authentificateur) - Le commutateur sert d'intermédiaire entre le client et le serveur
d'authentification. Il demande les informations d'identification du client, vérifie ces informations
auprès du serveur d'authentification, puis transmet une réponse au client. Un autre dispositif qui
pourrait servir d'authentificateur est un point d'accès sans fil.
Serveur d'authentification – Le serveur valide l'identité du client et informe le commutateur ou le
point d'accès sans fil que le client est ou n'est pas autorisé à accéder au LAN et aux services de
commutateur.
10.2.7
Authentification
Autorisation
Traçabilité
2. Quel composant de l'AAA est chargé de contrôler qui est autorisé à accéder au réseau?
Authentification
Autorisation
Traçabilité
3. Quel composant de l'AAA est chargée de déterminer à quoi l'utilisateur peut accéder ?
Authentification
Autorisation
Traçabilité
4. Dans une implémentation 802.1X, quel périphérique est responsable du relais des réponses?
Demandeur
Authentificateur
Routeur
Serveur d'authentification
Client
ContrôlerDémonstrationRéinitialiser
10.1
Vulnérabilités de La Couche 2
Les deux rubriques précédents ont discuté la sécurisation des terminaux. Dans cette rubrique,
vous continuerez à découvrir les moyens de sécuriser le LAN en vous concentrant sur les
trames trouvées dans la couche de liaison de données (couche 2) et le commutateur.
Rappelons que le modèle de référence OSI est divisé en sept couches qui fonctionnent
indépendamment les unes des autres. La figure montre la fonction de chaque couche et les
éléments centraux qui peuvent être exploités.
Le diagramme montre le nombre, le nom et d'autres informations liées aux couches OSI de
haut en bas: 7 - application, 6- présentation, 5 - session, 4 - transport, 3 - réseau, 2 - liaison de
données et 1 - physique . Il montre un compromis initial des trames Ethernet à la couche 2
avec une flèche indiquant que toutes les couches ci-dessus ont également été compromises.
Pour cela, il est essentiel de comprendre comment fonctionne réellement la couche 2 et les
menaces exploitables sur celles-ci.
Les attaques contre l'infrastructure LAN de couche 2 sont décrites dans le tableau et discutées
plus en détail plus loin dans ce module.
Layer 2 Attacks
Légende du tableau
Catégorie Exemples
Attaques de Table MAC Comprend les attaques par inondation de l'adresse MAC.
10.3.3
Solution Description
Protection de la source IP (IPSG) Empêche les attaques d'usurpation d'adresse MAC et IP.
Ces solutions de couche 2 ne seront pas efficaces si les protocoles de gestion ne sont pas
sécurisés. Par exemple, les protocoles de gestion Syslog, Protocole de gestion de réseau
simple (SNMP), Protocole de transfert de fichiers trivial (TFTP), telnet, Protocole de transfer
de fichier (FTP) et la plupart des autres protocoles courants ne sont pas sécurisés; par
conséquent, les stratégies suivantes sont recommandées:
Utilisez toujours des variantes sécurisées de ces protocoles telles que SSH, Protocole de copie
sécuriséel (SCP), FTP sécurisé (SFTP) et couche de socket sécurisée / Sécurité de la couche de
transport (SSL / TLS).
Envisagez d'utiliser un réseau de gestion hors bande pour gérer les périphériques.
Utilisez un VLAN de gestion dédié sur lequel seul circule le trafic de gestion.
Utilisez des listes de contrôle d'accès pour filtrer tout accès non souhaité.
10.3.4
Surveillance DHCP
VPN
Pare-feu
IPSG
Périphériques IPS
2. Laquelle des techniques d'atténuation suivantes empêche de nombreux types d'attaques,
notamment le débordement de la table d'adresses MAC et les attaques de famine du DHCP?
IPSG
Surveillance DHCP
DAI
IPSG
Surveillance DHCP
DAI
Surveillance DHCP
DAI
IPSG
Surveillance DHCP
DAI
10.2
Contrôle d'Accès
10.4
-------------------------------------------
S1#
10.4.2
Lorsque cela se produit, le commutateur traite la trame comme une monodiffusion inconnue
et commence à inonder tout le trafic entrant sur tous les ports du même VLAN sans référencer
la table MAC. Cette condition permet désormais à un acteur de menace de capturer toutes les
trames envoyées d'un hôte à un autre sur le LAN local ou le VLAN local.
Remarque: Le trafic n'est inondé que dans le LAN local ou le VLAN. L'acteur de menace ne
peut capturer que le trafic au sein du LAN ou VLAN local auquel il est connecté.
La figure montre comment un acteur de menace peut facilement utiliser l'outil d'attaque
réseau macof pour déborder une table d'adresses MAC.
The figure shows a threat actor with a computer connected to a switch with a cloud next to it
labeled V LAN 10. An arrow from the threat actor to the switch is labeled 1. The switch is
labeled 2. an arrow from the switch to the treat actor is labeled 3. The threat actor is labeled 4
1234
Acteur de menaceVLAN 10
1. L'acteur de menace est connecté au VLAN 10 et utilise macof pour générer rapidement de
nombreuses adresses MAC et IP de source et de destination aléatoires.
2. Sur une courte période, la table MAC du commutateur se remplit.
3. Lorsque la table MAC est pleine, le commutateur commence à inonder toutes les trames qu'il reçoit.
Tant que macof continue de fonctionner, la table MAC reste pleine et le commutateur continue
d'inonder toutes les trames entrantes sur chaque port associé au VLAN 10.
4. L'acteur de menace utilise ensuite un logiciel de reniflage de paquets pour capturer les trames de
tous les appareils connectés au VLAN 10.
10.4.3
# macof -i eth1
Une autre raison pour laquelle ces outils d'attaque sont dangereux est qu'ils affectent non
seulement le commutateur local, ils peuvent également affecter d'autres commutateurs de
couche 2 connectés. Lorsque la table d'adresses MAC d'un commutateur est pleine, elle
commence à déborder tous les ports, y compris ceux connectés à d'autres commutateurs de
couche 2.
Pour atténuer les attaques de débordement de la table d'adresses MAC, les administrateurs
réseau doivent implémenter la sécurité des ports. La sécurité des ports ne permettra
d'apprendre qu'un nombre spécifié d'adresses sources MAC sur le port. La sécurité des ports
est discuté plus en détail dans un autre module.
10.4.4
Le commutateur s'arrête.
Le commutateur transmettra toutes les trames reçues à tous les autres ports du VLAN.
Pour que l'acteur de menace puisse exécuter du code arbitraire sur le commutateur.
Pour que les hôtes légitimes ne puissent pas obtenir d'adresse MAC.
3. Quelle technique d'atténuation doit être mise en œuvre pour empêcher les attaques par
débordement d'adresse MAC?
IPSG
DAI
Surveillance DHCP
ContrôlerDémonstrationRéinitialiser
10.3
Cliquez sur Lecture dans la figure pour voir une vidéo sur les attaques VLAN et DHCP.
Play Video
10.5.2
L'acteur de menace configure l'hôte pour usurper la signalisation 802.1Q et le protocole DTP
(Dynamic Trunking Protocol) propriétaire de Cisco pour signaler le trunk avec le commutateur de
connexion. En cas de succès, le commutateur établit une liaison de trunk avec l'hôte, comme
illustré dans la figure. L'acteur de menace peut désormais accéder à tous les VLAN sur le
commutateur. L'acteur de menace peut envoyer et recevoir du trafic sur n'importe quel VLAN,
sautant efficacement entre les VLAN.
Un attaquant est connecté à un commutateur qui est connecté à un autre commutateur via un
trunk 802.1Q. Le deuxième commutateur a une connexion au serveur 1 sur le VLAN 10 et une
connexion au serveur 2 sur le VLAN 20. L'attaquant a établi une liaison de trunk 802.1Q non
autorisée avec le commutateur pour accéder au VLAN du serveur.
Cliquez sur chaque étape pour obtenir un exemple et une explication d'une attaque à double
marquage.
Étape 1
Étape 2
Étape 3
L'acteur de menace envoie un trame 802.1Q à double marquage au commutateur. L'en-tête
externe a la balise VLAN de l'acteur de menace, qui est identique au VLAN natif du port de trunk.
Pour les besoins de cet exemple, supposons qu'il s'agit du VLAN 10. La balise intérieure est le
VLAN victime, dans cet exemple, le VLAN 20.
Un attaquant est connecté à un commutateur qui a une liaison de trunk avec un autre
commutateur défini sur le VLAN 10 natif. Le deuxième commutateur a un hôte cible attaché dans
le VLAN 20. L'attaquant envoie un trame au premier commutateur qui se compose des champs
suivants: Ethernet, VLAN 10, VLAN 20 et données.
1
EthernetVLAN 10VLAN 20DonnéesVLAN Natif de Trunk = 10Cible (VLAN 20)
Une attaque de double marquage VLAN est unidirectionnelle et ne fonctionne que lorsque
l'attaquant est connecté à un port résidant dans le même VLAN que le VLAN natif du port de
trunk. L'idée est que le double marquage permet à l'attaquant d'envoyer des données à des
hôtes ou des serveurs sur un VLAN qui autrement seraient bloqués par un certain type de
configuration de contrôle d'accès. Vraisemblablement, le trafic de retour sera également autorisé,
ce qui donnera à l'attaquant la possibilité de communiquer avec des périphériques sur le VLAN
normalement bloqué.
Les attaques de saut de VLAN et de double marquage VLAN peuvent être évitées en mettant en
œuvre les directives de sécurité de jonction suivantes, comme indiqué dans un module
précédent:
10.5.4
Messages DHCP
Les serveurs DHCP fournissent aux clients les informations de configuration IP, notamment
l'adresse IP, le masque de sous-réseau, la passerelle par défaut, les serveurs DNS, etc., et ce de
manière dynamique. Une revue de la séquence de l'échange de messages DHCP entre le client
et le serveur est illustré dans la figure.
Le diagramme montre la séquence des messages DHCP échangés entre un client et un serveur.
Le serveur est affiché à gauche et le client à droite. De haut en bas, ce qui suit est la séquence
des messages. Tout d'abord, le client envoie une diffusion DHCPDISCOVER au serveur
indiquant, je voudrais demander une adresse. Ensuite, le serveur répond avec une monodiffusion
DHCPOFFER indiquant, je suis DHCPsvr1, voici une adresse que je peux offrir. Le message
comprend une adresse IP de 192.168.10.15, un masque de sous-réseau de 255.255.255.0, une
passerelle par défaut de 192.168.10.1 et une durée de bail de 3 jours. Le client répond avec une
diffusion DHCPREQUEST indiquant, j'accepte l'offre d'adresse IP. Enfin, le serveur répond par
une monodiffusion DHCPACK indiquant que votre acceptation est confirmée.
Le but de l'attaque de famine DHCP est de créer un DoS pour connecter les clients. Les attaques
par épuisement des ressources DHCP reposent sur un outil d'attaque, Gobbler, par exemple.
Gobbler a la possibilité d'examiner l'intégralité des adresses IP louables et essaie de toutes les
louer. Plus précisément, il crée des messages de découverte DHCP avec de fausses adresses
MAC.
Une attaque par usurpation via le service DHCP se produit lorsqu'un serveur DHCP non autorisé
(rogue) se connecte au réseau et fournit des paramètres de configuration IP incorrects aux
clients légitimes. Un serveur malhonnête peut fournir toute une série d'informations trompeuses :
Passerelle par défaut incorrecte - Le serveur escroc fournit une passerelle non valide ou
l'adresse IP de son hôte pour créer une attaque d'homme au milieu. Cette approche peut passer
totalement inaperçue, car l'intrus intercepte le flux de données via le réseau.
Serveur DNS incorrect - Le serveur escroc fournit une adresse de serveur DNS incorrecte
pointant l'utilisateur vers un site Web néfaste.
Adresse IP incorrecte - TLe serveur escroc fournit une adresse IP invalide créant efficacement
une attaque DoS sur le client DHCP.
Cliquez sur chaque étape pour obtenir un exemple et une explication d'une attaque d'usurpation
DHCP.
Étape 1
Étape 2
Étape 3
Étape 4
Étape 5
Un acteur de menace connecte avec succès un serveur DHCP non autorisé à un port de
commutateur sur le même sous-réseau et les VLAN que les clients cibles. Le serveur non
autorisé sert à fournir aux clients de fausses informations de configuration IP.
Play Video
10.5.7
Attaques ARP
Rappelons que les hôtes diffusent des requêtes ARP pour déterminer l'adresse MAC d'un hôte
avec une adresse IP particulière. Cela est généralement fait pour découvrir l'adresse MAC de la
passerelle par défaut. Tous les hôtes du sous-réseau reçoivent et traitent la requête ARP. L'hôte
dont l'adresse IP correspond à la requête ARP envoie une réponse ARP.
Selon le RFC ARP, un client est autorisé à envoyer une réponse ARP non sollicitée appelée
«ARP gratuit». Lorsqu'un hôte envoie une réponse ARP gratuite, les autres hôtes du sous-réseau
stockent l'adresse MAC et l'adresse IP contenue par la réponse ARP gratuite dans leurs tableaux
ARP.
Le problème est qu'un attaquant peut envoyer un message ARP gratuit contenant une adresse
MAC usurpée à un commutateur, et le commutateur mettrait à jour sa table MAC en
conséquence. Par conséquent, tout hôte peut prétendre être le propriétaire de toute combinaison
d'adresses IP et MAC qu'il choisit. Dans une attaque typique, un acteur de menace peut envoyer
des réponses ARP non sollicitées à d'autres hôtes du sous-réseau avec l'adresse MAC de
l'acteur de menace et l'adresse IP de la passerelle par défaut.
Il existe de nombreux outils disponibles sur Internet pour créer des attaques ARP homme-au-
milieu, notamment dsniff, Cain & Abel, ettercap, Yersinia et autres. IPv6 utilise le protocole de
découverte de voisin ICMPv6 pour la résolution d'adresse de couche 2. IPv6 inclut des stratégies
pour atténuer l'usurpation de publicité de voisin, de la même manière que IPv6 empêche une
réponse ARP usurpée.
Cliquez sur chaque étape pour un exemple et une explication de l'usurpation ARP et de
l'empoisonnement ARP.
Étape 1
Étape 2
Étape 3
État Normal avec Tables MAC Convergentes
Chaque périphérique a une table MAC précise avec les adresses IP et MAC correctes pour les
autres périphériques sur le LAN.
A network consists of two hosts - P C1 and P C2, a threat actor - connected to a switch
connected to a router R 1. P C1 has an IP of 10.0.0.11 and a MAC of BB:BB:BB. The threat
actor, P C2, has an IP of 10.0.0.12 and a MAC of CC:CC:CC. R 1 has an IP of 10.0.0.1 and a
MAC of AA:AA:AA. Currently, the ARP table on P C1 maps IP address 10.0.0.1 to MAC address
AA:AA:AA and IP Address 10.0.0.12 to MAC address CC:CC:CC. The ARP table on P C2 maps
IP 10.0.0.1 to MAC address AA:AA:AA and IP address 10.0.0.11 to MAC address BB:BB:BB. The
ARP table of R 1 maps IP address 10.0.0.11 to MAC address BB:BB:BB and IP address
10.0.0.12 to MAC address CC:CC:CC.
PC1PC2R1
Remarque : Les adresses MAC sont représentées en 24 bits pour plus de simplicité.Cache
ARP du R1Cache ARP du PC1Cache ARP du PC2MAC: CC:CC:CCIP: 10.0.0.12MAC:
BB:BB:BBIP: 10.0.0.11MAC: AA:AA:AAIP: 10.0.0.1
10.0.0.1 AA:AA:AA
10.0.0.11 BB:BB:BB
10.0.0.11 BB:BB:BB
10.0.0.12 CC:CC:CC
10.0.0.1 AA:AA:AA
10.0.0.12 CC:CC:CC
10.5.8
Les attaques d'usurpation d'adresse MAC se produisent lorsque les acteurs de menace modifient
l'adresse MAC de leur hôte pour correspondre à une autre adresse MAC connue d'un hôte cible.
L'hôte attaquant envoie ensuite un trame dans l'ensemble du réseau avec l'adresse MAC
nouvellement configurée. Lorsqu'un commutateur reçoit le trame, il examine l'adresse MAC
source. Le commutateur écrase l'entrée de table MAC actuelle et attribue l'adresse MAC au
nouveau port, comme illustré dans la figure. Il transfère ensuite par inadvertance des trames
destinées à l'hôte cible à l'hôte attaquant.
Un agent de menace sur PC2 est connecté à un commutateur sur le port Fa0 / 2. Le PC1 avec
MAC BB: BB: BB est connecté au commutateur sur le port Fa0 / 1. L'agent de menace envoie un
message au commutateur qui dit, mon MAC est BB: BB: BB. Le tableau d'adresses MAC du
commutateur n'affiche plus aucune adresse MAC mappée au port Fa0 / 1 mais MAC BB: BB: BB
mappée au port Fa0 / 1
PC2PC1Fa0/2Fa0/1
Fa0/1
Fa0/2 BB:BB:BB
Remarque : Les adresses MAC sont représentées en 24 bits pour plus de simplicité."Mon
MAC est BB:BB:BB"MAC: BB:BB:BB
Lorsque l'hôte cible envoie du trafic, le commutateur corrige l'erreur, en réalignant l'adresse MAC
sur le port d'origine. Pour empêcher le commutateur de ramener l'affectation de port à son état
correct, l'acteur de menace peut créer un programme ou un script qui enverra constamment des
trames au commutateur afin que le commutateur conserve les informations incorrectes ou
usurpées. Il n'y a pas de mécanisme de sécurité au niveau de la couche 2 qui permet à un
commutateur de vérifier la source des adresses MAC, ce qui le rend si vulnérable à l'usurpation
d'identité.
10.5.9
Attaque STP
Les attaquants du réseau peuvent manipuler le protocole STP (Spanning Tree Protocol) pour
mener une attaque en usurpant le pont racine et en modifiant la topologie d'un réseau. Les
attaquants peuvent faire apparaître leurs hôtes comme des ponts racine; et par conséquent,
capturez tout le trafic pour le domaine commuté immédiat.
Pour mener une attaque de manipulation STP, l'hôte attaquant diffuse des unités de données de
protocole de pont STP (BPDU) contenant des modifications de configuration et de topologie qui
forceront les recalculs de spanning-tree, comme illustré dans la figure. Les BPDU envoyés par
l'hôte attaquant annoncent une priorité de pont inférieure pour tenter d'être élu pont racine.
En cas de succès, l'hôte attaquant devient le pont racine, comme le montre la figure, et peut
désormais capturer une variété de trames qui autrement ne seraient pas accessibles.
TransfertBloquerPont racine
Cette attaque STP est atténuée par l'implémentation de BPDU Guard sur tous les ports d'accès.
BPDU Guard est discuté plus en détail plus tard dans le cours.
10.5.10
Reconnaissance CDP
Le protocole CDP (Cisco Discovery Protocol) est un protocole propriétaire de découverte de
liaison de couche 2. Il est activé par défaut sur tous les périphériques Cisco. Le protocole CDP
permet de détecter automatiquement d'autres périphériques CDP et ainsi d'aider à la
configuration automatique de leur connexion. Les administrateurs réseau utilisent également le
protocole CDP pour configurer et dépanner les périphériques réseau.
Les données CDP sont transmises à partir des ports compatibles de manière périodique et non
chiffrée. Les données CDP incluent l'adresse IP du périphérique, la version logicielle IOS, la
plate-forme, les fonctionnalités et le VLAN natif. Le périphérique qui reçoit le message CDP met à
jour sa base de données CDP.
Les données CDP sont extrêmement utiles dans le cadre du dépannage réseau. Par exemple, le
protocole CDP peut être utilisé pour vérifier une connectivité de couche 1 et 2. Si un
administrateur ne peut pas envoyer de requête ping à une interface directement connectée, mais
qu'il reçoit quand même les données CDP, le problème est probablement lié à la configuration de
couche 3.
Cependant, les informations fournies par CDP peuvent également être utilisées par un acteur de
menace pour découvrir les vulnérabilités de l'infrastructure du réseau.
Dans la figure, une capture Wireshark affichant le contenu d'un paquet CDP. L'acteur de menace
peut identifier la version logicielle de Cisco IOS utilisée par le périphérique, et ainsi rechercher
d'éventuelles failles de sécurité connues pour cette version.
Les diffusions CDP ne sont ni chiffrées, ni authentifiées. Par conséquent, un acteur de menace
peut compromettre l'infrastructure de réseau en envoyant de fausses trames CDP contenant de
fausses informations aux périphériques Cisco connectés.
Pour réduire le risque d'attaque de CDP, limitez l'utilisation de ce protocole sur les périphériques
et les ports. Par exemple, désactivez CDP sur les ports périphériques qui se connectent aux
périphériques auxquels vous ne faites pas confiance.
Pour désactiver CDP sur un port, utilisez la commande de configuration d'interface no cdp
enable . Pour activer CDP sur un port, utilisez la commande de configuration d'interface cdp
enable .
Remarque: Le protocole LLDP (Link Layer Discovery Protocol) est également vulnérable aux
attaques de reconnaissance. configurez no lldp run pour désactiver LLDP globalement. Pour
désactiver LLDP sur l'interface, configurez no lldp transmit et no lldp receive.
10.5.11
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
2. Un acteur de menace envoie un message BPDU avec la priorité 0. De quel type d'attaque s'agit-
il ?
Usurpation d'adresse
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
3. Un acteur de menace loue toutes les adresses IP disponibles sur un sous-réseau. De quel type
d'attaque s'agit-il ?
Usurpation d'adresse
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
4. Un acteur de menace envoie un message qui fait croire à tous les autres périphériques que
l'adresse MAC de l'appareil de l'acteur de menace est la passerelle par défaut. De quel type
d'attaque s'agit-il ?
Usurpation d'adresse
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
5. Un acteur de menace configure un hôte avec le protocole 802.1Q et forme un trunk avec le
commutateur connecté. De quel type d'attaque s'agit-il ?
Usurpation d'adresse
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
6. Un acteur de menace découvre la version IOS et les adresses IP du commutateur local. De quel
type d'attaque s'agit-il ?
Usurpation d'adresse
Usurpation ARP
Reconnaissance CDP
Attaques STP
Saut de VLAN
ContrôlerDémonstrationRéinitialiser
10.4
Module pratique
L'AAA contrôle qui est autorisé à accéder à un réseau (authentifier), ce qu'ils peuvent faire
pendant qu'ils sont là (autoriser) et à auditer les actions qu'ils ont effectuées lors de l'accès au
réseau (comptabilité). L'autorisation utilise un ensemble d'attributs qui décrivent l'accès de
l'utilisateur au réseau. La comptabilité est combinée avec l'authentification AAA. Le serveur AAA
conserve un journal détaillé de ce que fait exactement l'utilisateur authentifié sur l'appareil. La
norme IEEE 802.1X est un protocole de contrôle d'accès et d'authentification basé sur les ports
qui empêche les stations de travail non autorisées de se connecter à un LAN via des ports de
commutation accessibles au public.
Si la couche 2 est compromise, toutes les couches au-dessus sont également affectées. La
première étape pour atténuer les attaques contre l'infrastructure de couche 2 consiste à
comprendre le fonctionnement sous-jacent de couche 2 et les solutions de couche 2: sécurité des
ports, espionnage DHCP, DAI et IPSG. Ceux-ci ne fonctionneront que si les protocoles de
gestion sont sécurisés.
Les attaques par inondation d'adresses MAC bombardent le commutateur avec de fausses
adresses sources MAC jusqu'à ce que la table d'adresses MAC du commutateur soit pleine. À ce
stade, le commutateur traite le trame comme une monodiffusion inconnue et commence à
inonder tout le trafic entrant sur tous les ports du même VLAN sans référencer la table MAC.
L'acteur de menace peut désormais capturer toutes les trames envoyées d'un hôte à un autre sur
le LAN local ou le VLAN local. L'acteur de menace utilise macof pour générer rapidement de
nombreux MAC et IP source et destination aléatoires. Pour atténuer les attaques de
débordement de la table d'adresses MAC, les administrateurs réseau doivent implémenter la
sécurité des ports.
Une attaque par saut de VLAN permet au trafic d'un VLAN d'être vu par un autre VLAN sans
l'aide d'un routeur. L'acteur de menace configure un hôte pour qu'il agisse comme un
commutateur afin de profiter de la fonction de port de trunk automatique activée par défaut sur la
plupart des ports de commutateur.
Une attaque de double marquage VLAN est unidirectionnelle et ne fonctionne que lorsque
l'acteur de menace est connecté à un port résidant dans le même VLAN que le VLAN natif du
port de trunk. Le double marquage permet à l'acteur de menace d'envoyer des données à des
hôtes ou des serveurs sur un VLAN qui autrement seraient bloqués par un certain type de
configuration de contrôle d'accès. Le trafic de retour sera également autorisé, permettant à
l'acteur de menace de communiquer avec les périphériques sur le VLAN normalement bloqué.
Les attaques par sauts et par double marquage de VLAN peuvent être évitées en appliquant les
directives de sécurité des lignes réseau suivantes:
Attaque DHCP: les serveurs DHCP fournissent dynamiquement des informations de configuration
IP, y compris l'adresse IP, le masque de sous-réseau, la passerelle par défaut, les serveurs DNS
et plus encore aux clients. Deux types d'attaques DHCP sont la famine DHCP et l'usurpation
DHCP. Les deux attaques sont atténuées par l'implémentation de l'espionnage DHCP.
Attaque ARP: un acteur de menace envoie un message ARP gratuit contenant une adresse MAC
usurpée à un commutateur, et le commutateur met à jour sa table MAC en conséquence.
Désormais, l'acteur de menace envoie des réponses ARP non sollicitées à d'autres hôtes du
sous-réseau avec l'adresse MAC de l'acteur de menace et l'adresse IP de la passerelle par
défaut. L'usurpation ARP et l'empoisonnement ARP sont atténués par l'implémentation de DAI.
Attaque STP: les acteurs de menace manipulent STP pour mener une attaque en usurpant le
pont racine et en changeant la topologie d'un réseau. Les attaquants peuvent faire apparaître
leurs hôtes comme des ponts racine; et par conséquent, capturent tout le trafic pour le domaine
commuté immédiat. Cette attaque STP est atténuée par l'implémentation de BPDU Guard sur
tous les ports d'accès.
Reconnaissance CDP: les informations CDP sont envoyées sur les ports activés CDP dans des
diffusions périodiques non chiffrés. Les données CDP incluent l'adresse IP du périphérique, la
version logicielle IOS, la plate-forme, les fonctionnalités et le VLAN natif. Le périphérique
recevant le message CDP met à jour sa base de données CDP. les informations fournies par
CDP peuvent également être utilisées par un acteur de menace pour découvrir les vulnérabilités
de l'infrastructure du réseau. Pour réduire le risque d'attaque de CDP, limitez l'utilisation de ce
protocole sur les périphériques et les ports.
10.6.2
VTP
HSRP
TACACS
LLDP
2. Quel service est activé par défaut sur un routeur Cisco, peut fournir d'importants renseignements
sur le routeur et peut le rendre éventuellement vulnérable aux attaques ?
FTP
HTTP
LLDP
CDP
3. Lorsque la sécurité est une préoccupation, quelle couche OSI est considérée comme le lien le
plus faible d'un système de réseau?
Couche 3
Couche 4
Couche 7
Couche 2
4. Quelle attaque de couche 2 se traduira par un commutateur inondant les trames entrantes vers
tous les ports?
Usurpation d'adresse IP
empoisonnement ARP
5. Pourquoi l'authentification par AAA est-elle préférée à une méthode de base de données locale ?
Il nécessite une combinaison d'identification et de mot de passe sur la console, les lignes vty et
les ports auxiliaires.
802.1x
SSH
RADIUS
Un serveur DHCP non autorisé fournit de faux paramètres de configuration IP à des clients
DHCP légitimes.
7. Quelle solution Cisco aide à prévenir les attaques d'usurpation d'adresse MAC et IP?
Protection de la source IP
Surveillance DHCP
8. Quel est l'objectif de la comptabilité AAA?
autorisation
authentification
9. Quelle attaque de couche 2 empêchera les utilisateurs légitimes d'obtenir des adresses IP
valides?
Usurpation d'adresse IP
Usurpation ARP
Inondation d'adresses MAC
10. Quels sont les trois produits Cisco axés sur les solutions de sécurité des terminaux ? (Choisissez
trois réponses.)
NAC Appliance
VRAI
faux
12. Que signifie une attaque par mystification d’adresse IP ?
Un serveur DHCP non autorisé fournit de faux paramètres de configuration IP à des clients
DHCP légitimes.
Un nœud non autorisé répond à une requête ARP avec sa propre adresse MAC associée à
l’adresse IP cible.
De faux messages DHCPDISCOVER sont envoyés pour consommer toutes les adresses IP
disponibles sur un serveur DHCP.
Une adresse réseau IP légitime a été détournée par un nœud non autorisé.
13. Quels sont les trois services fournis par le cadre AAA ? (Choisissez trois réponses)
authentification
autorisation
autobalancing
traçabilité
automatisation
autoconfiguration
14. En raison des contrôles de sécurité appliqués, un utilisateur ne peut accéder à un serveur qu'à
l'aide du protocole FTP. Quel composant du modèle AAA effectue cela ?
accessibilité
authentification
autorisation
traçabilité
audit
15. Quel plan d'atténuation est le meilleur pour contrecarrer une attaque DoS qui crée un
débordement de table d'adresses MAC?
10.5
Introduction
11.0.1
Votre responsabilité en tant que professionnel du réseau est de garantir la sécurité du réseau.
La plupart du temps, nous ne pensons qu'aux attaques de sécurité provenant de l'extérieur du
réseau, mais les menaces peuvent également provenir de l'intérieur du réseau. Ces menaces se
présentent sous diverses formes, depuis un employé qui ajoute discrètement un commutateur
Ethernet au réseau de l'entreprise pour disposer un grand nombre de ports jusqu'aux attaques
malveillantes provoquées par un employé insatisfait. Votre devoir de protéger le réseau et de
vous assurer que les opérations commerciales se poursuivent sans compromis.
Comment garder le réseau sûr et stable? Comment le protégeons-nous contre les attaques
malveillantes au sein du réseau? Comment pouvons-nous nous assurer que les employés
n'ajoutent pas de commutateurs, serveurs et autres périphériques au réseau qui pourraient
compromettre les opérations réseau?
11.0.2
Qu'est-ce que je vais apprendre dans ce
module?
Titre du module: Configuration de la Sécurité du Commutateur
Objectif du Module: Configurer la sécurité des commutateurs pour atténuer les attaques
LAN.
Légende du tableau
10.6
Tous les ports (interfaces) du commutateur doivent être sécurisés avant que le commutateur soit
déployé pour une utilisation en production. La façon dont un port est sécurisé dépend de sa
fonction.
Une méthode simple que nombreux administrateurs utilisent pour aider à sécuriser le réseau
contre les accès non autorisé est de désactiver tous les ports qui ne sont pas exploités sur un
commutateur. Par exemple, si un commutateur Catalyst 2960 a 24 ports et si trois connexions
Fast Ethernet sont utilisées, il est conseillé de désactiver les 21 ports inutilisés. Naviguez vers
chaque port inutilisé et exécutez la commande shutdown de Cisco IOS. Si un port doit être
réactivé plus tard,il peut être activé en exécutant la commande no shutdown .
Par exemple, pour désactiver les ports Fa0 / 8 à Fa0 / 24 sur S1, vous devez exécuter la
commande suivante.
S1(config-if-range)# shutdown
administratively down
(output omitted)
administratively down
S1(config-if-range)#
11.1.2
La sécurité des ports limite le nombre d’adresses MAC autorisées sur un port. Il permet à un
administrateur de configurer manuellement les adresses MAC d'un port ou de permettre au
commutateur d'apprendre dynamiquement un nombre limité d'adresses MAC. Lorsqu'un port
configuré avec la sécurité des ports reçoit une trame, le système recherche l'adresse MAC
source de la trame dans la liste des adresses source sécurisées qui ont été configurées
manuellement ou automatiquement (par apprentissage) sur le port.
En limitant le nombre d'adresses MAC autorisées sur un port à un, la sécurité du port peut être
utilisée pour contrôler l'accès non autorisé au réseau, comme illustré dans la figure.
Remarque: Les adresses MAC sont représentées comme 24 bits pour la simplicité.
11.1.3
S1(config-if)# end
S1#
S1#
Remarque: si un port actif est configuré avec la commande switchport port-security et que
plusieurs périphériques sont connectés à ce port, le port passera à l'état désactivé par erreur.
Cette condition est abordée plus tard dans cette rubrique.
Une fois la sécurité des ports est activée, d'autres spécificités de sécurité des ports peuvent être
configurées, comme illustré dans l'exemple.
La valeur de sécurité du port par défaut est 1. Le nombre maximal d'adresses MAC sécurisées
qui puissent être configurées dépend du commutateur et de l'IOS. Dans cet exemple, le
maximum est 8192.
Le commutateur est configuré pour en savoir plus sur les adresses MAC sur un port sécurisé de
trois manières:
1. Configuration manuelle
2. Apprentissage dynamique
Lorsque la commande switchport port-security est exécutée, le MAC source actuel pour le
périphérique connecté au port est automatiquement sécurisé mais n'est pas ajouté à la
configuration en cours. Si le commutateur est redémarré, le port devra réapprendre l'adresse
MAC du périphérique.
L'exemple illustre une configuration complète de sécurité de port pour FastEthernet 0/1.
L'administrateur spécifie un maximum de 4 adresses MAC, configure manuellement une adresse
MAC sécurisée, puis configure le port pour apprendre dynamiquement des adresses MAC
sécurisées supplémentaires jusqu'à 4 adresses MAC sécurisées au maximum. Utilisez les
commandes show port-security interface et show port-security address pour vérifier la
configuration.
*Mar 1 00:12:38.179: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed
state to up
S1(config)#
S1(config-if)# end
----
Age (mins)
---- ----------- ---- ----- ---------
----
-------------------------------------------------------------------------
----
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
The output of the show port-security interface command verifies that port security is enabled,
there is a host connected to the port (i.e., Secure-up), a total of 2 MAC addresses will be allowed,
and S1 has learned one MAC address statically and one MAC address dynamically (i.e., sticky).
The output of the show port-security address command lists the two learned MAC addresses.
11.1.5
Absolue - Les adresses sécurisées sur le port sont supprimées après le temps d'obsolescence
spécifié.
Inactivité - Les adresses sécurisées sur le port sont supprimées uniquement si elles sont
inactives pendant la durée d'obsolescence spécifiée.
Utilisez l'obsolescence pour supprimer les adresses MAC sécurisées sur un port sécurisé sans
supprimer manuellement les adresses MAC sécurisées existantes. Les limites de temps
d'obsolescence peuvent également être augmentés pour garantir que les anciennes adresses
MAC sécurisées persistent, même lorsque de nouvelles adresses MAC sont ajoutées.
l'obsolescence des adresses sécurisées configurées statiquement peut être activé ou désactivé
par port.
Exécutez la commande switchport port-security aging pour activer ou désactiver
l'obsolescence statique pour le port sécurisé, ou pour définir le temps ou le type d'obsolescence.
Paramètre Description staticEnable aging pour les statiques sécurisés configurés adresses sur ce port.time time
Spécifiez le temps d'obsolescence pour ce port. La gamme est de 0 à 1440 minutes. Si le temps est 0, aging est
désactivé pour ce port. Saisissez absoluteSet the absolute aging time. Toutes les adresses sécurisées sur ce port
expire exactement après le temps (en minutes) spécifié et est supprimé de la liste d'adresses sécurisées.Saisissez
inactivitySet the inactivity aging Saisissez : Les adresses sécurisées sur ce port ne vieillissent que s'il n'y a pas de
données le trafic provenant de l'adresse source sécurisée pour la période spécifiée.
Paramètre Description
Réglez Absolute Aging Type Toutes les adresses sécurisées sur l'age de ce
Aging Type : Absolute port expire exactement après le temps (en minutes) spécifié et sont
supprimés de la liste d'adresse sécurisé.
Réglez Inactivity Aging Type Les adresses sécurisées sur ce port expirent
Aging Type : Inactivity uniquement s'il n'y a pas de trafic de données provenant de l'adresse source
sécurisée pour une période de temps spécifiée.
Remarque: Les adresses MAC sont représentées comme 24 bits pour la simplicité.
S1(config-if)# end
S1#
11.1.6
Le tableau suivant indique la réaction d'un commutateur selon le mode de violation configuré.
Security Violation Mode Descriptions
Mode Description shutdown (par défaut) Le port passe à l'état désactivé par erreur immédiatement, éteint le
voyant du port et envoie un message Syslog. IT Il incrémente le compteur de violations. Lorsqu'un port sécurisé est
dans l' état d'erreur désactivée, un administrateur doit le réactiver en entrant le shutdown et no shutdown
commande ,il empêche Le port de supprimer les paquets avec adresses source inconnues jusqu'à ce que vous
supprimiez un nombre suffisant de MAC sécurisés adresses pour descendre en dessous de la valeur maximale ou
augmenter la valeur maximale. Ce mode entraîne l'incrémentation du compteur de violation de sécurité et génère
un message syslog. un message syslog.Cela est la moins sécurisée de la violation de sécurité de mode. Le port
supprime les paquets avec des adresses source MAC inconnues jusqu'à ce que vous supprimez un nombre suffisant
d'adresses MAC sécurisées pour descendre en dessous du maximum valeur ou augmentez la valeur maximale. No
syslog message est envoyé.
Mode Description
Le port passe immédiatement à l'état désactivé par erreur, éteint la le voyant du port et
Démarrer envoie un message Syslog. Il incrémente le compteur de violations. Compteur Lorsqu'un port
(par défaut) sécurisé est dans l'état désactivé par erreur, un un administrateur doit le réactiver en entrant
le shutdown et no shutdown commands.
Le port supprime les paquets avec des adresses source MAC inconnues jusqu'à ce que vous
supprimez un un nombre suffisant d'adresses MAC sécurisées pour descendre en dessous du
restreindre maximum valeur ou augmentez la valeur maximale. Ce mode provoque la sécurité de
violation compteur pour augmenter et générer un message syslog.
Il s'agit du mode de violation de sécurité le moins sécurisé. Le port supprime les paquets
avec des adresses source MAC inconnues jusqu'à ce que vous supprimez un un nombre
protéger suffisant d'adresses MAC sécurisées pour descendre en dessous du maximum ou augmentez
la valeur maximale. No syslog message est envoyé.
S1(config-if)# end
S1#
S1#
11.1.7
S1(config-if)# end
S1#
state to down
state to up
FastEthernet0/1.
*Mar 1 00:24:33.836: %LINEPROTO-5-UPDOWN: Line protocol on Interface
state to down
S1#
Remarque: le protocole du port et l'état de la liaison passent à l'état bas et le voyant du port est
éteint.
Dans l'exemple, la commande show interface identifie l'état du port comme étant error-
disabled. Le résultat de la commande show port-security interface affiche désormais l'état du
port comme étant secure-shutdown. Le compteur de violation de sécurité incrémente par 1.
(output omitted)
S1#
Pour réactiver le port, utilisez d'abord la commande shutdown puis utilisez la commande no
shutdown pour que le port soit fonctionnel, comme indiqué dans l'exemple.
S1(config-if)# shutdown
S1(config-if)#
S1(config-if)# no shutdown
S1(config-if)#
state to up
Pour afficher les paramètres de sécurité des ports pour un commutateur, utilisez la
commande show port-security. L'exemple indique que les 24 interfaces sont configurées avec
la commande switchport port-security car le maximum autorisé est 1 et le mode de violation
est arrêté. Aucun appareil n'est connecté. Par conséquent, le CurrentAddr (Count) est 0 pour
chaque interface.
Action
(Count) (Count) (Count)
-------------------------------------------------------------------------
--
Fa0/1 2 2 0
Shutdown
-------------------------------------------------------------------------
--
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
Utilisez la commande show port-security interface pour afficher les détails d'une interface
spécifique, comme indiqué précédemment et dans cet exemple.
S1#
Pour vérifier que les adresses MAC «collent» à la configuration, utilisez la commande show
run comme indiqué dans l'exemple pour FastEthernet 0/19.
Building configuration...
interface FastEthernet0/1
switchport mode access
switchport port-security maximum 2
switchport port-security
end
S1#
Vérification des adresses MAC sécurisées
Pour afficher toutes les adresses MAC sécurisées configurées manuellement ou apprises
dynamiquement sur toutes les interfaces de commutateur, utilisez la commande show port-
security address comme indiqué dans l'exemple.
----
Age (mins)
---- ----------- ---- ----- ---------
----
-------------------------------------------------------------------------
----
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
11.1.9
Vous êtes actuellement connecté à S1. Configurez FastEthernet 0/5 pour la sécurité des ports en
utilisant les exigences suivantes:
S1(config)#
RéinitialiserDémonstrationAfficher tout
11.1.10
11.0
Introduction
11.2
Atténu
Usurpation des messages DTP de l'hôte attaquant pour que le commutateur passe en mode de
trunking. À partir de là, l'attaquant peut envoyer du trafic étiqueté avec le VLAN cible, et le
commutateur délivre ensuite les paquets à la destination.
Présentation d'un commutateur indésirable et activation de trunking. L'attaquant peut alors accéder
à tous les VLAN sur le commutateur victime à partir du commutateur non autorisé.
Un autre type d'attaque par saut de VLAN est une attaque à double étiquète (ou à double
encapsulation). Cette attaque profite de la façon dont le matériel de la plupart des commutateurs
fonctionne.
11.2.2
Les Étapes pour atténuer les attaques par sauts
de VLAN
Utilisez les étapes suivantes pour atténuer les attaques par saut de VLAN:
Étape 1: désactivez les négociations DTP (jonction automatique) sur les ports sans trunc à
l'aide de la commande de configuration de l'interface switchport mode access .
Étape 4: désactivez les négociations DTP (trunking automatique) sur les ports de jonction à
l'aide de la commande switchport nonegotiate .
Étape 5: définissez le VLAN natif sur un VLAN autre que VLAN 1 à l'aide de la
commande switchport trunk native vlan vlan_number.
Les ports FastEthernet 0/1 à fa0 / 16 sont des ports d'accès actifs
Les ports FastEthernet 0/17 à 0/24 ne sont pas actuellement utilisés
53/5000 Les ports FastEthernet 0/21 à 0/20 sont des ports de trunc.
S1(config-if-range)# exit
S1(config)#
S1(config-if-range)# shutdown
S1(config-if-range)# exit
S1(config)#
S1(config-if-range)# end
S1#
Les ports FastEthernet 0/1 à 0/16 sont des ports d'accès donc trunking est désactivée en leur faisant
explicitement des ports d'accès.
Les ports FastEthernet 0/17 à 0/20 sont des ports inutilisés et sont désactivés et affectés à un VLAN
inutilisé.
Les ports FastEthernet 0/21 à 0/24 sont des liaisons de trunc et sont activés manuellement en tant
que truncs avec DTP désactivé. Le VLAN natif passe également du VLAN 1 par défaut à un VLAN 999
inutilisé.
11.2.3
Vous êtes actuellement connecté à S1. L'état des ports est comme suivant:
Les ports FastEthernet 0/1 à 0/4 sont utilisés pour le trunc avec d'autres commutateurs.
Les ports FastEthernet 0/5 à 0/10 ne sont pas utilisés.
Les ports FastEthernet 0/11 à 0/24 ne sont pas actuellement utilisés
Utilisez interface range fa0/1 - 4 pour passer en mode de configuration d'interface pour les
truncs.
S1(config)#
RéinitialiserDémonstrationAfficher tout
11.1
Les attaques d'usurpation DHCP peuvent être atténuées en utilisant l'espionnage DHCP sur les
ports approuvés.
11.3.2
Les périphériques sous contrôle administratif (par exemple, les commutateurs, les routeurs et
les serveurs) sont des sources fiables. Tout appareil placé en dehors le pare-feu ou en dehors
de votre réseau est une source non fiable. Par ailleurs, tous les ports d'accès sont généralement
traités comme des sources non fiables. La figure montre un exemple de ports approuvés et
non approuvés.
Le diagramme montre un serveur DHCP dans le coin supérieur droit de la topologie qui est
connecté à un commutateur de distribution en dessous. Le commutateur de distribution est
connecté à un autre commutateur de distribution à gauche du diagramme et un commutateur
d'accès en dessous. L'autre commutateur de distribution a un commutateur d'accès connecté
en dessous. Les deux commutateurs d'accès ont une connexion aux deux commutateurs de
distribution, mais l'un à l'autre. Le commutateur d'accès sur la droite a un PC en dessous et
l'autre commutateur d'accès a un PC avec un caractère escroc en dessous. Le diagramme
montre un carré violet pour les ports approuvés et un cercle rouge pour les ports non
approuvés. Il y a des carrés violets entre le serveur DHCP et le commutateur de distribution,
ainsi qu'entre chaque lien entre tous les commutateurs. Cependant, il y a un cercle rouge entre
les deux PC et les commutateurs d'accès.
Client DHCPServeur DHCPServeur DHCP non autoriséPort fiablePort non fiable
Notez que le serveur DHCP rouge serait sur un port non approuvé après avoir activé
l'espionnage DHCP. Toutes les interfaces sont traitées comme non fiables par défaut. Les
interfaces approuvées sont généralement des liaisons de trunc et des ports directement
connectés à un serveur DHCP légitime. Ces interfaces doivent être explicitement configurées
comme approuvées.
Une table DHCP est créée qui inclut l'adresse MAC source d'un périphérique sur un port non
approuvé et l'adresse IP attribuée par le serveur DHCP à ce périphérique. L'adresse MAC et
l'adresse IP sont liées ensemble. Par conséquent, cette table est appelé table de liaison
d'espionnage DHCP.
11.3.3
Étape 2. Sur les ports approuvés, configurez l'interface avec la commande ip dhcp snooping
trust.
Étape 3: Limitez le nombre de messages de découverte DHCP pouvant être reçus par seconde
sur les ports non approuvés à l'aide de la commande de configuration d'interface ip dhcp
snooping limit rate .
Étape 4. Activez la surveillance DHCP par VLAN ou par une plage de VLAN à l'aide de la
commande de configuration globale ip dhcp snooping vlan.
11.3.4
Le graphique a une légende avec un port de confiance carré violet et un port non approuvé de
cercle rouge sous le diagramme de topologie. Ensuite, le graphique montre un réseau LAN
avec un commutateur avec des ports approuvés et non approuvés. Le commutateur a un PC
connecté à gauche et un DHCP connecté à droite. Sur l'interface de connexion au PC se
trouve un cercle rouge pour une interface non fiable et sur l'interface connectée au serveur
DHCP se trouve le carré violet d'un port de confiance.
192.168.10.10F0/5S1F0/1
Serveur DHCPPort fiablePort non fiable
S1(config-if)# exit
S1(config-if-range)# exit
S1(config)# end
S1#
Utilisez la commande EXEC privilégiée show ip dhcp snooping pour vérifier la surveillance
DHCP et show ip dhcp snooping binding pour afficher les clients qui ont reçu des
informations DHCP, comme illustré dans l'exemple.
Remarque: l'espionnage DHCP est également requis par l'inspection ARP dynamique (DAI),
qui est le sujet suivant
5,10,50-52
none
DHCP snooping is configured on the following L3 Interfaces:
Custom circuit-ids:
FastEthernet0/5 no no 6
Custom circuit-ids:
FastEthernet0/6 no no 6
Custom circuit-ids:
Interface
------------------ --------------- ---------- ------------- ---- --------
------------
FastEthernet0/5
11.3.5
S1F0/1G0/1G0/2
Serveur DHCP
Vous êtes actuellement connecté à S1. Activez globalement L'espionnage DHCP (snooping )sur
le commutateur.
S1(config)#
RéinitialiserDémonstrationAfficher tout
11.2
Ne pas relayer les réponses ARP non valides ou gratuites vers d'autres ports du même VLAN.
Interception de toutes les requêtes et les réponses ARP sur les ports non approuvés.
Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
Abandon et journalisation des réponses ARP provenant de non valides pour empêcher
l'empoisonnement ARP.
Error-disabling l'interface si le nombre DAI des paquets ARP configurés sont dépassées.
11.4.2
Il est généralement conseillé de configurer tous les ports de commutateur d'accès comme non
approuvés et de configurer tous les ports de liaison montante qui sont connectés à d'autres
commutateurs comme approuvés.
Le graphique montre une légende avec un port de confiance carré violet et un port non
approuvé de cercle rouge, au-dessus de celui-ci est un diagramme LAN montrant la confiance
d'inspection ARP dynamique. Le diagramme illustre un réseau LAN avec des ports approuvés
et non approuvés. Sur une interface en bas à gauche se trouve un attaquant sur un PC et en
haut à gauche se trouve un PC ordinaire. Les deux appareils sont connectés au commutateur et
les deux ont un cercle rouge sur le port du commutateur pour un port non approuvé. À droite
du commutateur se trouve un routeur qui est également connecté au commutateur. La
connexion du routeur a un carré violet sur le commutateur qui symbolise une connexion
approuvée pour ARP.
PC-AS1R1F0/1F0/2F0/24
Port non fiablePort fiableVLAN 10
11.4.3
Comme indiqué dans l'exemple, l'espionnage DHCP est activée car DAI nécessite la table de
liaison d'espionnage DHCP pour fonctionner. Ensuite, la surveillance DHCP et l'inspection
ARP sont activés pour les PC sur VLAN10. Le port de liaison montante vers le routeur est
approuvé et est donc configuré comme approuvé pour l'espionnage DHCP et l'inspection
ARP.
L'inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la
source des adresses MAC et IP :
MAC de destination -vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à
l'adresse MAC cible dans le corps ARP.
Source MAC - Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l'expéditeur Adresse
MAC dans le corps ARP.
Adresse IP - Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses
0.0.0.0, 255.255.255.255 et tous les adresses multidiffusion IP.
S1(config)#
11.4.4
S1F0/1G0/1G0/2
Serveur DHCP
Vous êtes actuellement connecté à S1. Activez globalement L'espionnage DHCP (snooping )sur
le commutateur.
S1(config)#
RéinitialiserDémonstrationAfficher tout
11.3
PortFast - Avec PortFast, une interface configurée comme un port d'accès ou trunc passe
immédiatement de l'état de blocage à celui de transfert, et contourne ainsi les situations d'écoutes
et d'apprentissages. Appliquer à tous les ports d'utilisateur final. PortFast ne doit pas être configuré
que sur les ports connectés aux périphériques finaux.
BPDU Guard - Une erreur de BPDU guard désactive immédiatement un port qui reçoit un BPDU.
Comme PortFast, BPDU guard ne doit pas être configuré que sur les ports connectés aux
périphériques finaux.
Dans la figure, les ports d'accès pour S1 doivent être configurés avec PortFast et BPDU
Guard.
Il y a deux commutateurs de couche de distribution 3 en haut du diagramme qui sont
connectés par un trunc. Les deux commutateurs de couche 3 ont un liasion trunk qui est
connecté au même commutateur de couche 2 d'accès d'inférieur. Ce nommé S1 et est connecté
sur int G0/1 et G0/2. Sous S1 se trouvent plusieurs PC et sur le côté du commutateur, il
indique les ports d'accès F0 / 1 - F0 / 24.
G0/1G0/2F0/1 - F0/24S1
TruncTruncTruncPorts d'accès
11.5.2
Configurer PortFast
PortFast contourne les situations d'écoute et d'apprentissage STP pour limiter le temps que les
ports d'accès doivent attendre que STP se converge. Si PortFast est activé sur un port connecté
à un autre commutateur, alors il y en a un risque de créer une boucle Spanning Tree.
PortFast peut être activée alternativement sur une interface avec la commande de
configuration spanning-tree portfast . Alternativement, PortFast peut être configurée sur
tous les ports non trunc avec la commande de configuration globale spanning-tree portfast
default .
Pour vérifier si PortFast est activé globalement, vous pouvez utiliser la commande show
running-config | commande begin span ou la commande show spanning-tree summary .
Pour vérifier si PortFast est activé sur l'interface, utilisez la commande show running-config
interface type / number, comme indiqué dans l'exemple suivant. La
commande show spanning-tree interface type/number detail peut également être utilisée
pour la vérification.
Notez que lors PortFast est active, les messages d’avertissement s'affichent.
S1(config-if)# exit
interface FastEthernet0/1
switchport mode access
spanning-tree portfast
interface FastEthernet0/2
interface FastEthernet0/3
interface FastEthernet0/4
interface FastEthernet0/5
(output omitted)
S1#
11.5.3
Si une BPDU est reçue sur un port d'accès activé par BPDU Guard, le port est mis en état
désactivé par erreur. Cela signifie que le port est arrêté et doit être réactivé manuellement ou
récupéré automatiquement par la commande globale errdisable recovery cause
psecure_violation.
BPDU Guard peut être activé sur un port à l'aide de la commande de configuration
d'interface spanning-tree bpduguard enable. Autrement, utiliser la commande de
configuration globale spanning-tree portfast bpduguard default pour activer globalement
la protection BPDU sur tous les ports où PortFast est activée.
Pour afficher des informations sur l'état du spanning tree, utilisez la commande show
spanning-tree summary. Dans l'exemple, PortFast par défaut et BPDU Guard sont activés
comme situation par défaut pour les ports configurés en mode d'accès.
Remarque: Activez toujours BPDU Guard sur tous les ports activés par PortFast.
S1(config-if)# exit
S1(config)# end
UplinkFast is disabled
BackboneFast is disabled
(output omitted)
S1#
11.5.4
Vérificateur de syntaxe - Atténuer les attaques
STP
Mettez en œuvre Portfast et BPDU Guard pour un commutateur en fonction de la topologie
suivante et des exigences spécifiées.
G0/1G0/2F0/1 - F0/24S1
TruncTruncTruncPorts d'accès
Vous êtes actuellement connecté à S1. Complétez les étapes suivantes pour implémenter
PortFast et BPDU Guard sur tous les ports d'accès:
S1(config)#
RéinitialiserDémonstrationAfficher tout
11.4
Étape 1. Désactivez les négociations DTP sur les ports sans trunking.
Étape 2. Désactivation des ports inutilisés.
Étape 3. Activez manuellement la liaison trunc sur un port de trunking.
Étape 4. Désactivez les négociations DTP sur les ports trunking.
Étape 5. Choisissez un VLAN natif autre que le VLAN.
L'objectif d'une attaque par insuffisance de resources DHCP est de créer un déni de service
(DoS) pour connecter les clients. Les attaques par usurpation DHCP peuvent être
contrecarrées au moyen de fonctions de surveillance DHCP sur les ports de confiance.
L'espionnage DHCP détermine si les messages DHCP proviennent d'une source approuvée ou
non approuvée configurée par l'administrateur. Il filtre ensuite les messages DHCP et limite la
fiabilité du trafic DHCP de sources qui ne sont pas approuvé. Utilisez les étapes suivantes
pour activer l'espionnage DHCP (snooping):
Ne pas relayer les réponses ARP non valides ou gratuites vers d'autres ports du même VLAN.
Interception de toutes les requêtes et les réponses ARP sur les ports non approuvés.
Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
Abandon et journalisation des réponses ARP provenant de non valides pour empêcher
l'empoisonnement ARP.
Error-disabling l'interface si le nombre DAI des paquets ARP configurés sont dépassées.
Pour atténuer les risques d'usurpation ARP et d'empoisonnement ARP, suivez ces directives
d'implémentation DAI:
L'inspection ARP dynamique (DAI) peut être configuré pour examiner la destination ou la
source des adresses MAC et IP :
MAC de destination -vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à
l'adresse MAC cible dans le corps ARP.
Source MAC - Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l'expéditeur Adresse
MAC dans le corps ARP.
Adresse IP - Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris l’adresses
0.0.0.0, 255.255.255.255, et tous les adresses multidiffusion IP.
Pour atténuer les attaques de manipulation du protocole Spanning Tree (STP), utilisez
PortFast et Bridge Protocol Data Unit (BPDU) Garde :
PortFast - Avec PortFast, une interface configurée comme un port d'accès ou trunc passe
immédiatement de l'état de blocage à celui de transfert, et contourne ainsi les états d'écoutes et
d'apprentissages. S’applique à tous les ports d'utilisateur finaux. PortFast ne doit pas être configuré
que sur les ports connectés aux périphériques finaux. PortFast contourne les états d'écoute et
d'apprentissage STP pour limiter le temps que les ports d'accès doivent attendre que STP se
converge. Si PortFast est activé sur un port connecté à un autre commutateur, alors il y en a un
risque de créer une boucle Spanning Tree.
BPDU Guard - Une erreur de BPDU guard désactive immédiatement un port qui reçoit un BPDU.
Comme PortFast, BPDU ne doit pas être configuré que sur les ports connectés aux périphériques
finaux. BPDU Guard peut être activé sur un port à l'aide de la commande de configuration
d'interface spanning-tree bpduguard enable. Autrement, utiliser la commande de configuration
globale spanning-tree portfast bpduguard default pour activer globalement la protection BPDU sur
tous les ports où PortFast est activée.
11.6.4
Désactiver le DTP
Tous les ports de trunc qui ne sont pas des ports racine
shutdown
ip dhcp snooping
Espionnage DHCP
5. Quelle est la meilleure façon d’empêcher une attaque de saut de réseau VLAN ?
Désactiver la négociation des liaisons pour les ports trunc et statistiquement définir les autres
ports en tant que ports d’accès.
Utilisez le VLAN 1 en tant que VLAN natif sur tous les ports trunc
6. Quelle procédure est recommandée pour atténuer les risques d'usurpation ARP ?
port inconnu
Redémarrer le commutateur.
10. L'administrateur d'un réseau configure l'espionnage DHCP sur un commutateur. Quelle est le
premier commande de configuration doit être utilisée ?
ip dhcp snooping
pour vérifier l'adresse MAC de destination dans l'en-tête Ethernet par rapport aux listes de
contrôle d'accès ARP configurées par l'utilisateur
pour vérifier l'adresse MAC de destination dans l'en-tête Ethernet par rapport à l'adresse
MAC source dans le corps ARP
pour vérifier la destination adresse MAC dans l’en-tête Ethernet contre la table d'adresse
MAC.
pour vérifier l'adresse MAC de destination dans l'en-tête Ethernet par rapport à l'adresse
MAC cible dans le corps ARP
12. Quelle est la fonction de sécurité doit être activée pour empêcher un hacker de saturer la table
d'adresses MAC d'un commutateur?
Filtrage BPDU
la protection de racine
Saut de VLAN
Spoofing ARP
Empoisonnement ARP
ip dhcp snooping
spanning-tree portfast
15. Où sont stockées les adresses MAC apprises dynamiquement lorsque l'apprentissage collant
est activé avec la commande switchport port-security mac-address sticky?
NVRAM
ROM
ContrôlerDémonstrationRéinitialiser
11.5
Introduction
12.0.1
Utilisez-vous une connexion sans fil à la maison, au travail ou à l'école? Avez vous jamais
demandé comment ça fonctionne?
Il existe de nombreuses façons de se connecter sans fil. Comme tout autre élément impliquant
des réseaux, ces types de connexion sont mieux utilisés dans des situations particulières. Ils
nécessitent des appareils spécifiques et sont également sujets à certains types d'attaques. Et
bien sûr, il existe des solutions pour atténuer ces attaques. Vous voulez en savoir plus? Le
module Concepts de WLAN vous donne les connaissances fondamentales dont vous avez
besoin pour comprendre ce que sont les LAN sans fil, ce qu'ils peuvent faire et comment les
protéger.
12.0.2
Objectif du module: Expliquer comment les réseaux locaux sans fil permettent la connectivité
réseau.
Légende du tableau
Composants d'un réseau WLAN Décrire les composants d'une infrastructure WLAN.
Gestion des canaux Décrire la gestion des canaux dans un réseau WLAN.
Menaces visant le réseau WLAN Décrire les menaces visant les réseaux WLAN.
11.6
Dans les entreprises avec une infrastructure sans fil en place, il peut y avoir des économies à
chaque fois que l'équipement change, ou lors du déménagement d'un employé dans un
bâtiment, de la réorganisation de l'équipement ou d'un laboratoire, ou lors d'un déménagement
vers des emplacements temporaires ou des sites de projet. Une infrastructure sans fil peut
s'adapter aux besoins et aux technologies en évolution rapide.
12.1.2
Cliquez sur chaque type de réseau sans fil pour plus d'informations.
WPAN
WLAN
WMAN
WWAN
Réseaux personnels sans fil (WPAN) - Utilise des émetteurs de faible puissance pour un
réseau à courte portée, généralement de 6 à 9 mètres (20 à 30 pieds). Les appareils basés sur
Bluetooth et ZigBee sont couramment utilisés dans les WPAN. Les WPAN sont basés sur la
norme 802.15 et une fréquence radio de 2,4 GHz.
WPAN avec maison et bâtiments illustrés se connectant sans fil à une tour radio.
12.1.3
WiMAX
Bluetooth - Une norme IEEE 802.15 WPAN qui utilise un processus d'appairage d'appareil
pour communiquer sur des distances allant jusqu'à 100 m. Il peut être trouvé dans les
appareils domestiques intelligents, les connexions audio, les automobiles et autres appareils
qui nécessitent une connexion à courte distance. Il existe deux types de radios Bluetooth:
Bluetooth Low Energy (BLE) - Il prend en charge plusieurs technologies de réseau, y compris la
topologie maillée pour les périphériques réseau à grande échelle.
Débit de base Bluetooth / Débit amélioré (BR / EDR) - Il prend en charge les topologies point à point
et est optimisé pour le streaming audio.
12.1.4
Normes 802.11
Le monde des communications sans fil est vaste. Cependant, pour certaines compétences
professionnelles, nous voulons nous concentrer sur des aspects spécifiques du Wi-Fi. Le
meilleur endroit pour commencer est avec les normes WLAN IEEE 802.11. Ces normes
définissent la manière dont les radiofréquences sont utilisées pour les liaisons sans fil. La
plupart des normes spécifient que les appareils sans fil ont une antenne pour transmettre et
recevoir des signaux sans fil sur la fréquence radio spécifiée (2,4 GHz ou 5 GHz). Certaines
des nouvelles normes qui transmettent et reçoivent à des vitesses plus élevées nécessitent que
les points d'accès (AP) et les clients sans fil disposent de plusieurs antennes utilisant la
technologie à entrées et sorties multiples (MIMO). MIMO utilise plusieurs antennes comme
émetteur et récepteur pour améliorer les performances de communication. Jusqu'à quatre
antennes peuvent être prises en charge.
Diverses implémentations de la norme IEEE 802.11 ont été développées au fil des ans. Le
tableau met en évidence ces normes.
Légende du tableau
Norme
IEEE Radiofréquence Description
WLAN
Norme
IEEE Radiofréquence Description
WLAN
les débits de données varient de 150 Mbps à 600 Mbps avec une plage de
distance jusqu'à 70 m (230 pieds)
802.11n 2,4 GHz 5 GHz Les points d'accès et les clients sans fil ont besoin de plusieurs antennes
utilisant la technologie MIMO
rétrocompatibilité avec les appareils 802.11a/b/g à débit de données limité
fournit des débits de données allant de 450 Mbps à 1,3 Gbps (1300 Mbps)
utilisant la technologie MIMO
Jusqu'à huit antennes peuvent être prises en charge
802.11ac 5 GHz
rétrocompatible avec les appareils 802.11a / n avec limitation des débits de
données
12.1.5
Radiofréquence
Tous les appareils sans fil fonctionnent dans la plage des ondes radio du spectre
électromagnétique. Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et
la bande 5 GHz. Les appareils LAN sans fil ont des émetteurs et des récepteurs réglés sur des
fréquences spécifiques de la gamme d'ondes radio, comme indiqué sur la figure. Plus
précisément, les bandes de fréquences suivantes sont attribuées aux réseaux locaux sans fil
802.11:
appareils sans fil et autres technologies, et où ils opèrent sur le spectre électromagnétique
Spectre électromagnétique
Périphériques sans fil
12.1.6
Cliquez sur chaque bouton pour plus d'informations sur l'organisation des normes.
UIT
IEEE
Alliance Wi-Fi
12.1.7
WPAN
WLAN
WMAN
WWAN
2. Lesquels des réseaux sans fil suivants sont spécifiés dans les normes IEEE 802.11 pour les
fréquences radio 2,4 GHz et 5 GHz?
WPAN
WLAN
WMAN
WWAN
3. Lequel des éléments suivants est une norme IEEE 802.15 WPAN qui utilise un processus
d'appariement de périphériques pour communiquer?
Cellulaire
WiMAX
Wi-Fi
Bluetooth
4. Quelles normes 802.11 utilisent exclusivement la fréquence radio 5 GHz? (Choisissez 2)
802.11a
802.11g
802.11n
802.11ac
802.11ax
5. Quelle organisation de normalisation est responsable de l'attribution des fréquences radio?
IEEE
ITU-R
Alliance Wi-Fi
ContrôlerDémonstrationRéinitialiser
12.0
Introduction
12.2
Composants de WLAN
12.2.1
Play Video
12.2.2
Pour communiquer sans fil, les ordinateurs portables, les tablettes, les téléphones intelligents et
même les dernières voitures incluent des cartes réseau sans fil intégrées qui incorporent un
émetteur / récepteur radio. Cependant, si un périphérique ne possède pas de carte réseau sans
fil intégrée(NIC), un adaptateur sans fil USB peut être utilisé, comme illustré dans la figure.
Remarque: De nombreux appareils sans fil que vous connaissez ne disposent pas d'antennes
visibles. Ils sont intégrés dans les smartphones, les ordinateurs portables et les routeurs
domestiques sans fil.
12.2.3
Par exemple, un utilisateur à domicile interconnecte généralement des périphériques sans fil à
l'aide d'un petit routeur sans fil, comme illustré dans la figure. Le routeur sans fil sert de:
Un routeur sans fil est généralement implémenté en tant que périphérique d'accès sans fil pour
petite entreprise ou résidentiel. Le routeur sans fil annonce ses services sans fil en envoyant des
balises contenant son identificateur d'ensemble de services partagés (SSID). Les appareils
découvrent sans fil le SSID et tentent de s'y associer et de s'authentifier pour accéder au réseau
local et à Internet.
La plupart des routeurs sans fil offrent également des fonctionnalités avancées, telles que l'accès
haut débit, la prise en charge du streaming vidéo, l'adressage IPv6, la qualité de service (QoS),
des utilitaires de configuration et des ports USB pour connecter des imprimantes ou des lecteurs
portables.
De plus, les utilisateurs à domicile qui souhaitent étendre leurs services réseau peuvent
implémenter des prolongateurs de portée Wi-Fi. Un appareil peut se connecter sans fil à
l'extension, ce qui stimule ses communications à répéter vers le routeur sans fil.
12.2.4
12.2.5
Cliquez sur chaque bouton pour une topologie et une explication de chaque type.
Points d'accès autonomes
plusieurs appareils sans fil connectés à un AP autonome qui a une connexion filaire à un
commutateur sur un réseau filaire
Points d'accès autonomes
12.2.6
Antennes MIMO
Les antennes omnidirectionnelles telles que celle illustrée sur la figure offrent une couverture à
360 degrés et sont idéales dans les maisons, les bureaux ouverts, les salles de conférence et les
zones extérieures.
12.2.7
Vrai
Faux
2. Lesquels des composants suivants sont intégrés dans un routeur domestique sans fil?
(Choisissez trois.)
Point d'accès
Commutateur
Routeur
Vrai
Faux
4. Lequel des éléments suivants est un appareil autonome, comme un routeur domestique, où la
configuration WLAN entière réside sur l'appareil?
Directionnel
Omnidirectionnel
MIMO
ContrôlerDémonstrationRéinitialiser
12.1
Fonctionne
Cliquez sur Lecture pour voir une vidéo sur le fonctionnement du WLAN.
Play Video
12.3.2
Cliquez sur chaque mode de topologie sans fil pour plus d'informations.
Mode ad hoc
Mode infrastructure
Mode ad hoc - C'est lorsque deux appareils se connectent sans fil de manière poste à poste
(P2P) sans utiliser de points d'accès ou de routeurs sans fil. Les exemples incluent les clients
sans fil se connectant directement les uns aux autres via Bluetooth ou Wi-Fi Direct. La norme
IEEE 802.11 fait référence à un réseau ad hoc comme un ensemble de services de base
indépendant (IBSS).
deux ordinateurs portables communiquant directement entre eux via des signaux sans fil
12.3.3
BSS et ESS
Le mode infrastructure définit deux blocs de construction de topologie: un ensemble de
services de base (BSS) et un ensemble de services étendus (ESS).
ESS
Un BSS consiste en un seul AP interconnectant tous les clients sans fil associés. Deux BSS
sont représentés sur la figure. Les cercles représentent la zone de couverture du BSS, appelée
zone de service de base (BSA). Si un client sans fil quitte son BSA, il ne peut plus
communiquer directement avec d'autres clients sans fil au sein du BSA.
L'adresse MAC de couche 2 de l'AP est utilisée pour identifier de manière unique chaque
BSS, qui est appelé l'identificateur de l'ensemble de services de base (BSSID). Par
conséquent, le BSSID est le nom formel du BSS et est toujours associé à un seul AP.
La figure montre deux BSA. L'un est identifié par le BSSID 00d0: bc80: dd07 et se compose
d'un ordinateur portable avec une connexion sans fil à un point d'accès. Le deuxième BSA est
identifié par le BSSID 00d0: afdb: e0fc et se compose de deux ordinateurs portables chacun
avec une connexion sans fil à un AP.
BSABSABSSID:
00d0:bc80.dd07BSSID
00d0:afdb.e0fc10 to 15% overlapping to provide roaming between the BSAs without loss of connectivity
12.3.4
Le diagramme montre les champs d'une trame 802.11. À gauche se trouve l'en-tête composé
des champs suivants: contrôle de trame, durée, adresse 1, adresse 2, adresse 3, contrôle de
séquence et adresse 4. Vient ensuite la charge utile et le dernier est le champ FCS.
Toutes les trames sans fil 802.11 contiennent les champs suivants:
Contrôle de trame - Ceci identifie le type de trame sans fil et contient des sous-champs pour la
version du protocole, le type de trame, le type d'adresse, la gestion de l'alimentation et les
paramètres de sécurité.
Durée - Elle est généralement utilisée pour indiquer la durée restante nécessaire pour recevoir la
transmission de trame suivante.
Adresse1 - Elle contient généralement l'adresse MAC de l'appareil sans fil ou AP récepteur.
Address2 - Il contient généralement l'adresse MAC de l'appareil sans fil ou AP de transmission.
Address3 - Cela contient parfois l'adresse MAC de la destination, telle que l'interface du routeur
(passerelle par défaut) à laquelle l'AP est connecté.
Contrôle de séquence - Il contient des informations pour contrôler le séquencement et les images
fragmentées.
Address4 - Cela manque généralement car il n'est utilisé qu'en mode ad hoc.
Charge utile - Elle contient les données à transmettre.
FCS - Ceci est utilisé pour le contrôle d'erreur de couche 2.
12.3.5
CSMA/CA
Les WLAN sont des configurations de médias partagés semi-duplex. Le semi-duplex signifie
qu'un seul client peut émettre ou recevoir à un moment donné. Les médias partagés signifient
que les clients sans fil peuvent tous transmettre et recevoir sur le même canal radio. Cela crée
un problème car un client sans fil ne peut pas entendre pendant son envoi, ce qui rend
impossible la détection d'une collision.
Pour résoudre ce problème, les WLAN utilisent un accès multiple à détection de porteuse
avec prévention des collisions (CSMA / CA) comme méthode pour déterminer comment et
quand envoyer des données sur le réseau. Un client sans fil effectue les opérations suivantes:
1. Écoute le canal pour voir s'il est inactif, ce qui signifie qu'il détecte qu'aucun autre trafic n'est
actuellement sur le canal. Le canal est également appelé le transporteur.
2. Envoie un message prêt à envoyer (RTS) à l'AP pour demander un accès dédié au réseau.
3. Reçoit un message clair à envoyer (CTS) de l'AP accordant l'accès à l'envoi.
4. Si le client sans fil ne reçoit pas de message CTS, il attend un temps aléatoire avant de redémarrer le
processus.
5. Après avoir reçu le CTS, il transmet les données.
6. Toutes les transmissions sont reconnues. Si un client sans fil ne reçoit pas d'accusé de réception, il
suppose qu'une collision s'est produite et redémarre le processus.
12.3.6
La figure montre le processus en trois étapes utilisé par un client sans fil pour s'associer à un
point d'accès. Un ordinateur portable représente un client sans fil qui communique sans fil
avec un point d'accès. Une flèche circulant du client vers l'AP représente la première étape au
cours de laquelle le client découvre l'AP. En dessous, une double flèche entre les appareils
représente l'étape d'authentification. En dessous, une autre double flèche entre les appareils
représente l'étape d'association.
Afin d'avoir une association réussie, un client sans fil et un AP doivent se mettre d'accord sur
des paramètres spécifiques. Les paramètres doivent ensuite être configurés sur l'AP puis sur le
client pour permettre la négociation d'une association réussie.
SSID - Le nom SSID apparaît dans la liste des réseaux sans fil disponibles sur un client. Dans les
grandes organisations qui utilisent plusieurs VLAN pour segmenter le trafic, chaque SSID est mappé
sur un VLAN. Selon la configuration du réseau, plusieurs points d'accès sur un réseau peuvent
partager un SSID commun.
Mot de passe - Il est requis du client sans fil pour s'authentifier auprès de l'AP.
Mode réseau - Il s'agit des normes WLAN 802.11a / b / g / n / ac / ad. Les points d'accès et les
routeurs sans fil peuvent fonctionner en mode mixte, ce qui signifie qu'ils peuvent simultanément
prendre en charge les clients se connectant via plusieurs normes.
Mode de sécurité - Cela fait référence aux réglages des paramètres de sécurité, tels que WEP, WPA
ou WPA2. Activez toujours le plus haut niveau de sécurité pris en charge.
Paramètres de canal - Cela fait référence aux bandes de fréquences utilisées pour transmettre des
données sans fil. Les routeurs et les points d'accès sans fil peuvent balayer les canaux de
radiofréquence et sélectionner automatiquement un paramètre de canal approprié. Le canal peut
également être réglé manuellement en cas d'interférence avec un autre point d'accès ou un appareil
sans fil.
12.3.7
Mode actif
En mode passif, l'AP annonce ouvertement son service en envoyant périodiquement des
trames de balise de diffusion contenant le SSID, les normes prises en charge et les paramètres
de sécurité. Le but principal de la balise est de permettre aux clients sans fil d'apprendre quels
réseaux et points d'accès sont disponibles dans une zone donnée. This allows the wireless
clients to choose which network and AP to use.
un point d'accès envoyant trois trames de balise contenant le SSID, les normes prises en
charge et les paramètres de sécurité reçus par un client sans fil
SSID
Normes prises en charge
Paramètres de sécurité
SSID
Normes prises en charge
Paramètres de sécurité
12.3.8
Ad hoc
Infrastructure
Vrai
Faux
3. Combien de champs d'adresse sont dans la trame sans fil 802.11?
5
4. Quel est le terme pour un point d'accès qui annonce ouvertement son service périodiquement?
Actif
Infrastructure
Ad hoc
Passif
5. Quel est le terme pour un AP qui n'envoie pas de balise, mais attend que les clients envoient
des sondes?
Actif
Infrastructure
Ad hoc
Passif
ContrôlerDémonstrationRéinitialiser
12.2
Composants de WLAN
12.4
Fonctionnement du protocole
CAPWAP
12.4.1
Vidéo - CAPWAP
Dans la rubrique précédente, vous avez appris le fonctionnement du WLAN. Vous allez
maintenant découvrir le contrôle et l'approvisionnement des points d'accès sans fil
(CAPWAP).
Cliquez sur Lecture pour voir une vidéo sur le protocole de contrôle et d'approvisionnement
des points d'accès sans fil CAPWAP.
Play Video
12.4.2
Introduction au CAPWAP
CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et
WLAN. CAPWAP est également responsable de l'encapsulation et de la transmission du
trafic client WLAN entre un AP et un WLC.
CAPWAP est basé sur LWAPP mais ajoute une sécurité supplémentaire avec Datagram
Transport Layer Security (DTLS). CAPWAP établit des tunnels sur les ports UDP (User
Datagram Protocol). CAPWAP peut fonctionner sur IPv4 ou IPv6, comme indiqué sur la
figure, mais utilise IPv4 par défaut.
IPv4 et IPv6 peuvent utiliser les ports UDP 5246 et 5247. Cependant, les tunnels CAPWAP
utilisent différents protocoles IP dans l'en-tête de trame. IPv4 utilise le protocole IP 17 et IPv6
utilise le protocole IP 136.
La figure montre un petit réseau IPv4 ou IPv6 dans le cloud. Un WLC se connecte à trois
points d'accès à l'aide de CAPWAP.
Fonctions MAC AP
Fonctions MAC WLC
Légende du tableau
Le Chiffrement DTLS
DTLS est un protocole qui assure la sécurité entre l'AP et le WLC. Il leur permet de
communiquer en utilisant le cryptage et empêche l'écoute ou la falsification.
DTLS est activé par défaut pour sécuriser le canal de contrôle CAPWAP mais est désactivé
par défaut pour le canal de données, comme illustré dans la figure. Tout le trafic de gestion et
de contrôle CAPWAP échangé entre un AP et WLC est crypté et sécurisé par défaut pour
assurer la confidentialité du plan de contrôle et empêcher les attaques d'homme-au-milieu
(MITM).
Le chiffrement des données CAPWAP est facultatif et est activé par AP. Le chiffrement des
données nécessite qu'une licence DTLS soit installée sur le WLC avant d'être activée sur un
AP. Lorsqu'il est activé, tout le trafic client WLAN est crypté au niveau de l'AP avant d'être
transféré au WLC et vice versa.
Mode connecté - Le WLC est accessible. Dans ce mode, le FlexConnect AP a une connectivité
CAPWAP avec son WLC et peut envoyer du trafic via le tunnel CAPWAP, comme indiqué sur la figure.
Le WLC remplit toutes ses fonctions CAPWAP.
Mode autonome - Le WLC est inaccessible. Le FlexConnect a perdu ou n'a pas réussi à établir la
connectivité CAPWAP avec son WLC. Dans ce mode, un AP FlexConnect peut assumer certaines des
fonctions WLC telles que la commutation locale du trafic de données client et l'exécution de
l'authentification client localement.
La figure montre un tunnel CAPWAP formé entre un AP FlexConnect dans une succursale et
un WLC dans un siège social. L'équipement des succursales se compose d'un ordinateur
portable avec une connexion sans fil à un FlexConnect AP qui est connecté à un commutateur
qui est connecté à un routeur. Le routeur est ensuite connecté à un autre routeur du siège
social auquel le WLC est connecté. Le WLC permet d'accéder au réseau d'entreprise et à
Internet.
IPv4 uniquement
IPv6 uniquement
17
136
5246
5247
802.11
3. Quels ports UDP et protocoles IP dans l'en-tête de trame sont utilisés par CAPWAP pour
IPv6? (Choisissez trois.)
17
136
5246
5247
802.11
4. Dans l'architecture MAC partagée pour CAPWAP, lequel des éléments suivants relève de
l'AP? (Choisissez quatre.)
Authentification
Authentification
Vrai
Faux
7. Lesquelles des affirmations suivantes sont vraies concernant les modes de fonctionnement
d'un AP FlexConnect? (Choisissez deux.)
En mode de connexion, le WLC est inaccessible et l'AP commute le trafic local et effectue
l'authentification du client localement.
En mode autonome, le WLC est inaccessible et l'AP commute le trafic local et effectue
l'authentification du client localement.
En mode connexion, le WLC est accessible et exécute toutes ses fonctions CAPWAP.
En mode autonome, le WLC est accessible et exécute toutes ses fonctions CAPWAP
ContrôlerDémonstrationRéinitialiser
12.3
Si la demande pour un canal spécifique est trop élevée, ce canal risque de devenir sursaturé.
La saturation du support sans fil dégrade la qualité de la communication. Au fil des ans, un
certain nombre de techniques ont été créées pour améliorer la communication sans fil et
atténuer la saturation. Ces techniques atténuent la saturation des canaux en utilisant les canaux
de manière plus efficace.
Cliquez sur chaque technique de saturation des canaux de fréquence pour plus d'informations.
DSSS
FHSS
OFDM
Remarque: Recherchez des canaux 2,4 GHz sur Internet pour en savoir plus sur les variations
selon les pays.
La figure montre 11 canaux d'une largeur de 22 MHz et de 5 MHz entre chacun. Le spectre
est compris entre 2,2 GHz et 2,5 GHz.
Des interférences se produisent lorsqu'un signal chevauche un canal réservé à un autre signal,
provoquant une distorsion possible. La meilleure pratique pour les WLAN 2,4 GHz qui
nécessitent plusieurs points d'accès est d'utiliser des canaux sans chevauchement, bien que la
plupart des points d'accès modernes le fassent automatiquement. S'il y a trois points d'accès
adjacents, utilisez les canaux 1, 6 et 11, comme indiqué sur la figure.
Pour les normes 5 GHz 802.11a / n / ac, il y a 24 canaux. La bande 5 GHz est divisée en trois
sections. Chaque canal est séparé du canal suivant de 20 MHz. La figure montre la première
section de huit canaux pour la bande 5 GHz. Bien qu'il y ait un léger chevauchement, les
canaux n'interfèrent pas entre eux. Le sans fil 5 GHz peut fournir une transmission de données
plus rapide aux clients sans fil dans les réseaux sans fil fortement peuplés en raison de la
grande quantité de canaux sans fil qui ne se chevauchent pas.
Remarque: recherchez sur Internet des chaînes 5 GHz pour en savoir plus sur les 16 autres
chaînes disponibles et pour en savoir plus sur les variations selon les pays.
La figure montre 8 canaux qui ont 20 MHz entre chacun. Le spectre est compris entre 5150
MHz et 5350 MHz.
Comme avec les WLAN 2,4 GHz, choisissez des canaux sans interférence lors de la
configuration de plusieurs points d'accès 5 GHz qui sont adjacents les uns aux autres, comme
illustré dans la figure.
La figure montre trois points d'accès utilisant les canaux 36, 48 et 60.
12.5.3
la figure montre une carte d'un lieu avec différentes zones, entrées et sorties. Il existe des
cercles dans différentes zones pour limiter la zone de couverture.
Canaux 5 GHz sans interférence pour 802.11a / n /
ac
Canal 36Canal 48Canal 60
12.5.3
Si les points d'accès doivent utiliser le câblage existant ou s'il existe des emplacements où les points
d'accès ne peuvent pas être placés, notez ces emplacements sur la carte.
Notez toutes les sources potentielles d'interférences pouvant inclure des fours à micro-ondes, des
caméras vidéo sans fil, des lampes fluorescentes, des détecteurs de mouvement ou tout autre
appareil utilisant la plage 2,4 GHz.
Positionnez les points d'accès au-dessus des obstacles.
Positionnez les points d'accès verticalement près du plafond au centre de chaque zone de
couverture, si possible.
Positionnez les points d'accès dans les endroits où les utilisateurs devraient se trouver. Par exemple,
les salles de conférence sont généralement un meilleur emplacement pour les points d'accès qu'un
couloir.
Si un réseau IEEE 802.11 a été configuré pour le mode mixte, les clients sans fil peuvent connaître des
vitesses plus lentes que la normale afin de prendre en charge les anciennes normes sans fil.
Lorsque vous estimez la zone de couverture attendue d'un point d'accès, sachez que cette
valeur varie en fonction de la norme WLAN ou de la combinaison de normes déployées, de la
nature de l'installation et de la puissance de transmission pour laquelle le point d'accès est
configuré. Consultez toujours les spécifications de l'AP lors de la planification des zones de
couverture.
EntréeConcessionsCargaisonSortieSortieSortieSortieSortieSortieSortieSortieSortie
12.5.4
DSSS
FHSS
OFDM
OFDMA
2. Laquelle des techniques de modulation suivantes répartit un signal sur une bande de
fréquences plus large?
DSSS
FHSS
OFDM
OFDMA
3. Laquelle des techniques de modulation suivantes est utilisée dans la nouvelle norme
802.11ax?
DSSS
FHSS
OFDM
OFDMA
4. Combien de canaux sont disponibles pour la bande 2,4 GHz en Europe?
11
13
14
24
5. Combien de canaux sont disponibles pour la bande 5 GHz?
11
13
14
24
ContrôlerDémonstrationRéinitialiser
12.4
Si la demande pour un canal spécifique est trop élevée, ce canal risque de devenir sursaturé.
La saturation du support sans fil dégrade la qualité de la communication. Au fil des ans, un
certain nombre de techniques ont été créées pour améliorer la communication sans fil et
atténuer la saturation. Ces techniques atténuent la saturation des canaux en utilisant les canaux
de manière plus efficace.
Cliquez sur chaque technique de saturation des canaux de fréquence pour plus d'informations.
DSSS
FHSS
OFDM
Remarque: Recherchez des canaux 2,4 GHz sur Internet pour en savoir plus sur les variations
selon les pays.
La figure montre 11 canaux d'une largeur de 22 MHz et de 5 MHz entre chacun. Le spectre
est compris entre 2,2 GHz et 2,5 GHz.
Canaux superposés à 2,4 GHz en Amérique du
Nord
Canaux2,2 GHz2,5 GHz5 MHz22 MHz
Des interférences se produisent lorsqu'un signal chevauche un canal réservé à un autre signal,
provoquant une distorsion possible. La meilleure pratique pour les WLAN 2,4 GHz qui
nécessitent plusieurs points d'accès est d'utiliser des canaux sans chevauchement, bien que la
plupart des points d'accès modernes le fassent automatiquement. S'il y a trois points d'accès
adjacents, utilisez les canaux 1, 6 et 11, comme indiqué sur la figure.
Pour les normes 5 GHz 802.11a / n / ac, il y a 24 canaux. La bande 5 GHz est divisée en trois
sections. Chaque canal est séparé du canal suivant de 20 MHz. La figure montre la première
section de huit canaux pour la bande 5 GHz. Bien qu'il y ait un léger chevauchement, les
canaux n'interfèrent pas entre eux. Le sans fil 5 GHz peut fournir une transmission de données
plus rapide aux clients sans fil dans les réseaux sans fil fortement peuplés en raison de la
grande quantité de canaux sans fil qui ne se chevauchent pas.
Remarque: recherchez sur Internet des chaînes 5 GHz pour en savoir plus sur les 16 autres
chaînes disponibles et pour en savoir plus sur les variations selon les pays.
La figure montre 8 canaux qui ont 20 MHz entre chacun. Le spectre est compris entre 5150
MHz et 5350 MHz.
La figure montre trois points d'accès utilisant les canaux 36, 48 et 60.
12.5.3
la figure montre une carte d'un lieu avec différentes zones, entrées et sorties. Il existe des
cercles dans différentes zones pour limiter la zone de couverture.
Si les points d'accès doivent utiliser le câblage existant ou s'il existe des emplacements où les points
d'accès ne peuvent pas être placés, notez ces emplacements sur la carte.
Notez toutes les sources potentielles d'interférences pouvant inclure des fours à micro-ondes, des
caméras vidéo sans fil, des lampes fluorescentes, des détecteurs de mouvement ou tout autre
appareil utilisant la plage 2,4 GHz.
Positionnez les points d'accès au-dessus des obstacles.
Positionnez les points d'accès verticalement près du plafond au centre de chaque zone de
couverture, si possible.
Positionnez les points d'accès dans les endroits où les utilisateurs devraient se trouver. Par exemple,
les salles de conférence sont généralement un meilleur emplacement pour les points d'accès qu'un
couloir.
Si un réseau IEEE 802.11 a été configuré pour le mode mixte, les clients sans fil peuvent connaître des
vitesses plus lentes que la normale afin de prendre en charge les anciennes normes sans fil.
Lorsque vous estimez la zone de couverture attendue d'un point d'accès, sachez que cette
valeur varie en fonction de la norme WLAN ou de la combinaison de normes déployées, de la
nature de l'installation et de la puissance de transmission pour laquelle le point d'accès est
configuré. Consultez toujours les spécifications de l'AP lors de la planification des zones de
couverture.
EntréeConcessionsCargaisonSortieSortieSortieSortieSortieSortieSortieSortieSortie
12.5.4
DSSS
FHSS
OFDM
OFDMA
2. Laquelle des techniques de modulation suivantes répartit un signal sur une bande de
fréquences plus large?
DSSS
FHSS
OFDM
OFDMA
3. Laquelle des techniques de modulation suivantes est utilisée dans la nouvelle norme
802.11ax?
DSSS
FHSS
OFDM
OFDMA
4. Combien de canaux sont disponibles pour la bande 2,4 GHz en Europe?
11
13
14
24
5. Combien de canaux sont disponibles pour la bande 5 GHz?
11
13
14
24
ContrôlerDémonstrationRéinitialiser
12.4
Fonctionnement du protocole CAPWAP
12.6
WLAN sécurisés
12.7.1
Cliquez sur Lecture pour visionner une vidéo sur les techniques de sécurisation des WLAN.
Play Video
12.7.2
Pour contrer les menaces de garder les intrus sans fil à l'extérieur et de protéger les données,
deux premières fonctions de sécurité ont été utilisées et sont toujours disponibles sur la plupart
des routeurs et des points d'accès: le masquage SSID et le filtrage des adresses MAC.
Masquage SSID
Les points d'accès et certains routeurs sans fil permettent de désactiver le trame de la balise
SSID, comme illustré dans la figure. Les clients sans fil doivent configurer manuellement le SSID
pour se connecter au réseau.
12.7.3
Deux types d'authentification ont été introduits avec la norme 802.11 d'origine:
Authentification du système ouvert - Tout client sans fil doit pouvoir facilement se connecter et
ne doit être utilisé que dans des situations où la sécurité n'est pas un problème, comme celles
offrant un accès gratuit à Internet comme les cafés, les hôtels et les zones éloignées. Le client
sans fil est responsable de la sécurité, comme l'utilisation d'un réseau privé virtuel (VPN) pour se
connecter en toute sécurité. VPNs provide authentication and encryption services. Les VPN
dépassent le cadre de cette rubrique.
Authentification par clé partagée - Fournit des mécanismes, tels que WEP, WPA, WPA2 et
WPA3 pour authentifier et crypter les données entre un client sans fil et AP. Cependant, le mot
de passe doit être pré-partagé entre les deux parties pour se connecter.
AuthentificationOuvertureClé partagéeWEPWPAWPA2WPA3
Généralement utilisé pour fournir un accès Internet gratuit dans les espaces publics.
12.7.4
Légende du tableau
Une norme Wi-Fi Alliance qui utilise le WEP, mais sécurise les
Accès protégé Wi-Fi (WPA) (Wi- données avec le cryptage TKIP (Temporal Key Integrity Protocol)
Fi Protected Access) beaucoup plus puissant algorithme. TKIP change la clé de chaque
paquet, ce qui en fait beaucoup plus difficile à pirater.
12.7.5
Dans la figure, l'administrateur configure le routeur sans fil avec l'authentification WPA2 Personal
sur la bande 2,4 GHz.
12.7.6
Méthodes de Chiffrement
Le cryptage est utilisé pour protéger les données. Si un intrus a capturé des données chiffrées, il
ne serait pas en mesure de les déchiffrer dans un délai raisonnable.
Protocole d'intégrité de clé temporelle (TKIP) - TKIP est la méthode de cryptage utilisée par
WPA. Il prend en charge les équipements WLAN hérités en corrigeant les failles d'origine
associées à la méthode de cryptage 802.11 WEP. Il utilise le WEP, mais chiffre la charge utile de
couche 2 à l'aide de TKIP, et effectue un contrôle d'intégrité du message (MIC) dans le paquet
chiffré pour s'assurer que le message n'a pas été modifié.
Norme de cryptage avancée (AES) - AES est la méthode de cryptage utilisée par WPA2. C'est
la méthode préférée car c'est une méthode de cryptage beaucoup plus puissante. Il utilise le
mode Counter Cipher Mode avec Block Chaining Message Authentication Code Protocol (CCMP)
qui permet aux hôtes de destination de reconnaître si les bits chiffrés et non chiffrés ont été
modifiés.
Dans la figure, l'administrateur configure le routeur sans fil pour utiliser WPA2 avec le cryptage
AES sur la bande 2,4 GHz.
12.7.7
La clé partagée n'est pas un paramètre qui doit être configuré sur un client sans fil. Il est
uniquement requis sur l'AP pour s'authentifier auprès du serveur RADIUS. L'authentification et
l'autorisation des utilisateurs sont gérées par la norme 802.1X, qui fournit une authentification
centralisée sur serveur des utilisateurs finaux.
12.7.8
WPA3
Au moment d'écrire ces lignes, les périphériques prenant en charge l'authentification WPA3
n'étaient pas facilement disponibles. Cependant, WPA2 n'est plus considéré comme sécurisé.
WPA3, si disponible, est la méthode d'authentification 802.11 recommandée. WPA3 comprend
quatre fonctionnalités:
WPA3-Personnel
WPA3-Entreprise
Réseaux ouverts
Intégration de l'Internet des objets (IoT)
WPA3-Personnel
Dans WPA2-Personnel, les acteurs de menace peuvent écouter la «poignée de main» entre un
client sans fil et l'AP et utiliser une attaque par force brute pour essayer de deviner le PSK.
WPA3-Personnel déjoue cette attaque en utilisant l'authentification simultanée d'égaux (SAE),
une fonctionnalité spécifiée dans l'IEEE 802.11-2016. Le PSK n'est jamais exposé, ce qui rend
impossible pour l'acteur de menace de deviner.
WPA3-Entreprise
Réseaux ouverts
Les réseaux ouverts dans WPA2 envoient le trafic utilisateur en texte clair non authentifié. Dans
WPA3, les réseaux Wi-Fi ouverts ou publics n'utilisent toujours aucune authentification.
Cependant, ils utilisent le chiffrement sans fil opportuniste (OWE) pour chiffrer tout le trafic sans
fil.
Embarquement de l'IdO
Bien que WPA2 comprenne une configuration Wi-Fi protégée (WPS) pour intégrer rapidement les
appareils sans les configurer au préalable, WPS est vulnérable à diverses attaques et n'est pas
recommandé. De plus, les appareils IoT sont généralement sans tête, ce qui signifie qu'ils n'ont
pas d'interface graphique intégrée pour la configuration et qu'ils avaient besoin d'un moyen
simple pour se connecter au réseau sans fil. Le protocole DPP (Device Provisioning Protocol) a
été conçu pour répondre à ce besoin. Chaque appareil sans tête possède une clé publique codée
en dur. La clé est généralement estampillée à l'extérieur de l'appareil ou de son emballage sous
forme de code QR (Quick Response). L'administrateur réseau peut scanner le code QR et
intégrer rapidement l'appareil. Bien qu'il ne fasse pas strictement partie de la norme WPA3, DPP
remplacera WPS au fil du temps.
12.7.9
Authentification
Masquage SSID
Chiffrement
WEP
WPA
WPA2
WPA3
Ouvert
3. Quelle méthode de cryptage est utilisée par la spécification 802.11 d'origine?
AES
TKIP
AES ou TKIP
RC4
4. Laquelle des méthodes de chiffrement suivantes utilise CCMP pour reconnaître si les bits chiffrés
et non chiffrés ont été modifiés?
RC4
TKIP
AES
5. Laquelle des méthodes d'authentification suivantes l'utilisateur a-t-il entré un mot de passe pré-
partagé? (Choisissez deux)
Ouvert
WPA personnel
WPA entreprise
WPA2 Personnel
WPA2 Entreprise
ContrôlerDémonstrationRéinitialiser
12.6
Pour communiquer sans fil, la plupart des appareils incluent des cartes réseau sans fil
intégrées qui incorporent un émetteur / récepteur radio. Le routeur sans fil sert de point
d'accès, de commutateur et de routeur. Les clients sans fil utilisent leur carte réseau sans fil
pour découvrir les points d'accès à proximité annonçant leur SSID. Les clients tentent ensuite
de s'associer et de s'authentifier avec un AP. Une fois authentifiés, les utilisateurs sans fil ont
accès aux ressources réseau. Les points d'accès peuvent être classés comme des points d'accès
autonomes ou des points d'accès basés sur un contrôleur. Il existe trois types d'antennes pour
les points d'accès professionnels: omnidirectionnel, directionnel et MIMO.
La norme 802.11 identifie deux modes de topologie sans fil principaux: le mode ad hoc et le
mode infrastructure. Le partage de connexion est utilisé pour fournir un accès sans fil rapide.
Le mode infrastructure définit deux blocs de construction de topologie: un ensemble de
services de base (BSS) et un ensemble de services étendus (ESS). À gauche se trouve l'en-tête
composé des champs suivants: contrôle de trame, durée, adresse 1, adresse 2, adresse 3,
contrôle de séquence et adresse 4. Les WLAN utilisent CSMA / CA comme méthode pour
déterminer comment et quand envoyer des données sur le réseau. Une partie du processus
802.11 consiste à découvrir un WLAN et à s'y connecter par la suite. Les appareils sans fil
découvrent un point d'accès sans fil, s'authentifient auprès de lui, puis s'associent avec lui. Les
clients sans fil se connectent à l'AP à l'aide d'un processus de numérisation qui peut être passif
ou actif.
CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et
WLAN. Le concept CAPWAP partagé MAC remplit toutes les fonctions normalement
exécutées par les points d'accès individuels et les répartit entre deux composants fonctionnels:
les fonctions MAC AP et les fonctions MAC WLC. DTLS est un protocole qui assure la
sécurité entre l'AP et le WLC. FlexConnect est une solution sans fil pour les déploiements de
succursales et de bureaux distants. Vous configurez et contrôlez les points d'accès dans une
succursale à partir du siège social via une liaison WAN, sans déployer de contrôleur dans
chaque bureau. Il existe deux modes de fonctionnement pour FlexConnect AP: connecté et
autonome.
Les appareils LAN sans fil ont des émetteurs et des récepteurs réglés sur des fréquences
spécifiques d'ondes radio pour communiquer. Les fréquences sont attribuées sous forme de
plages. Les portées sont ensuite divisées en plages plus petites appelées canaux: DSSS, FHSS
et OFDM. Les normes 802.11b / g / n fonctionnent dans le spectre 2,4 GHz à 2,5 GHz. La
bande 2,4 GHz est subdivisée en plusieurs canaux. Chaque canal se voit attribuer une bande
passante de 22 MHz et est séparé du canal suivant par 5 MHz. Lors de la planification de
l'emplacement des points d'accès, la zone de couverture circulaire approximative est
importante.
Les réseaux sans fil sont sensibles aux menaces, notamment l'interception de données, les
intrus sans fil, les attaques DoS et les points d'accès malveillants. Les attaques DoS sans fil
peuvent être le résultat: d'appareils mal configurés, d'un utilisateur malveillant interférant
intentionnellement avec la communication sans fil et d'interférences accidentelles. Un point
d'accès non autorisé est un point d'accès ou un routeur sans fil qui a été connecté à un réseau
d'entreprise sans autorisation explicite. Une fois connecté, un acteur de menace peut utiliser le
point d'accès non autorisé pour capturer des adresses MAC, capturer des paquets de données,
accéder à des ressources réseau ou lancer une attaque MITM. Dans une attaque MITM,
l'acteur de menace est positionné entre deux entités légitimes pour lire ou modifier les
données qui passent entre les deux parties. Une attaque MITM sans fil populaire est appelée
l'attaque «evil twin AP», où un acteur de menace introduit un AP escroc et le configure avec
le même SSID qu'un AP légitime. Pour empêcher l'installation d'AP escrocs, les organisations
doivent configurer les WLC avec des politiques d'AP escrocs.
Pour éloigner les intrus sans fil et protéger les données, deux premières fonctions de sécurité
sont toujours disponibles sur la plupart des routeurs et des points d'accès: le masquage SSID
et le filtrage des adresses MAC. Il existe quatre techniques d'authentification par clé partagée
disponibles: WEP, WPA, WPA2 et WPA3 (les appareils avec WPA3 ne sont pas encore
facilement disponibles). Les routeurs domestiques ont généralement deux choix pour
l'authentification: WPA et WPA2. WPA2 est le plus fort des deux. Le cryptage est utilisé pour
protéger les données. Les normes WPA et WPA2 utilisent les protocoles de cryptage suivants:
TKIP et AES. Dans les réseaux qui ont des exigences de sécurité plus strictes, une
authentification ou une connexion supplémentaire est requise pour accorder l'accès aux clients
sans fil. Le choix du mode de sécurité d'entreprise nécessite un serveur RADIUS
d'authentification, d'autorisation et de comptabilité (AAA).
12.8.2
connexion d'un appareil mobile à un autre appareil mobile ou ordinateur pour partager une
connexion réseau
connecter un appareil mobile à un port USB sur un ordinateur afin de charger l'appareil
mobile
WPS
MIMO
SPS
MITM
3. Quelle méthode d'authentification sans fil est actuellement considérée comme la plus
efficace?
WEP
ouvrir
WPA2
WPA
clé partagée
4. Quel paramètre est généralement utilisé pour identifier un nom de réseau sans fil lorsqu'un
point d'accès sans fil domestique est configuré ?
ad hoc
BESS
SSID
5. Quelle caractéristique décrit un client sans fil fonctionnant en mode actif?
doit être configuré pour la sécurité avant de se connecter à un point d'accès (AP)
6. Quelle norme IEEE fonctionne à des fréquences sans fil dans les gammes 5 GHz et 2,4 GHz?
802.11b
802.11a
802.11n
802.11g
7. Quelle déclaration décrit un point d'accès autonome ?
Il est utilisé pour les réseaux qui nécessitent un grand nombre de points d'accès.
8. Quels sont les deux rôles généralement remplis par un routeur sans fil utilisé dans une maison
ou une petite entreprise? (Choisissez deux.)
Commutateur Ethernet
Contrôleur WLAN
Point d'accès
répéteur
9. Quels protocoles et numéros de port sont utilisés par les tunnels CAPvAP IPv4 et IPv6?
(Choisissez deux.)
UDP
ICMP
17 et 163
5246 et 5247
TCP
10. Si trois points d'accès 802.11b doivent être déployés à proximité, quels sont les trois canaux
de fréquence à utiliser? (Choisissez trois.)
1
11
6
11. Quel type de technologie de télécommunication est utilisé pour fournir un accès Internet aux
navires en mer?
WiMax
WiFi municipal
Cellulaire
satellite
12. Quelle topologie de réseau sans fil est configurée par un technicien qui installe un clavier, une
souris et des écouteurs, chacun utilisant Bluetooth?
Mode infrastructure
Mode ad hoc
Mode mixte
13. Quel type de topologie sans fil est créé lorsque deux ou plusieurs ensembles de services de
base sont interconnectés par Ethernet?
WiFi Direct
éventail de services étendu
BSS
ad hoc WLAN
IBISS
14. Quelle trame de gestion Wi-Fi est régulièrement diffusé par les points d'accès pour annoncer
leur présence?
association
sonde
Authentification
Balise
ContrôlerDémonstrationRéinitialiser
12.7
WLAN sécurisés
13.0
Introduction
13.0.1
Ensuite, nous pouvons se connecter à l'internet sans utiliser nos lignes téléphonique. Mais nos
ordinateurs étaient toujours câblés aux périphériques qui les connectaient à l’internet.
Aujourd'hui, nous pouvons se connecter à l'internet à l'aide d'périphériques sans fil qui nous
permettent d'utiliser nos téléphones, ordinateurs portables et tablettes presque partout. C'est
bien d'avoir cette liberté de mouvement, mais cela nécessite des périphériques finaux spéciaux
et intermédiaires et la compréhension des protocoles sans fil. Vous voulez en savoir plus ?
Alors ce module est pour toi!
13.0.2
L'objectif du Module: Mettre en œuvre un WLAN à l'aide d'un routeur sans fil et de WLC.
Légende du tableau
12.8
Play Video
13.1.2
La figure montre l'arrière d'un petit bureau ou d'un routeur domestique. Le routeur a deux
antennes, une de chaque côté. Sur la gauche, il y a un bouton de réinitialisation. À côté du
bouton de réinitialisation, il y a quatre ports pour les périphériques LAN se connecter. Ensuite, il y
a un port pour la connexion WAN et enfin le bouton d'alimentation et le port pour le cordon
d'alimentation.
Cisco Meraki MX64W
La figure suivante indique une topologie illustrant la connexion physique d'un ordinateur portable
filaire au routeur sans fil, qui est ensuite connecté à un modem câble ou DSL pour la connexion à
l'internet.
La figure indique une la connexion physique d'un ordinateur portable filaire au routeur sans fil, qui
est ensuite connecté à un câble ou DSL modem pour la connectivité Internet. Il montre une
personne assise à un bureau d'ordinateur. Connecté à l'arrière du bureau l'ordinateur est une
liaison allant vers un routeur sans fil et depuis le routeur sans fil il y a une liaison allant vers le
modem haut. Le modem haut débit dispose d'une connexion série à Internet représentée par un
cloud.
Ces routeurs sans fil fournissent généralement la sécurité WLAN, les services DHCP, la
traduction d'adresses de nom (NAT) intégrée, la qualité de service (QoS), ainsi que autres
différents fonctionnalités. L'ensemble de fonctionnalités variera en fonction du modèle de routeur.
13.1.3
Pour accéder à l'interface graphique d'utilisateur (GUI) du routeur sans fil, ouvrez un navigateur
web. Dans le champ d'adresse, entrez l'adresse IP par défaut de votre routeur sans fil. L'adresse
IP par défaut se trouve dans la documentation de votre routeur sans fil ou vous pouvez le trouver
sur l'internet. La figure indique l'adresse IPv4 192.168.0.1, qui est souvent utilisée par défaut par
de nombreux fabricants. Une fenêtre de sécurité vous demande l'autorisation d'accéder le GUI du
routeur. Le mot Admin est utilisé comme un nom d'utilisateur et un mot de passe par défaut.
Reportez-vous une fois de plus à la documentation de votre routeur sans fil ou consultez Internet.
13.1.4
5. Renouvelez l’adresse IP
6. Connectez-vous au routeur avec la nouvelle adresse IP.
1. Connectez-vous au routeur à partir d'un navigateur Web.
Une fois que la connexion établie, une interface graphique GUI s'ouvre. L'interface graphique
GUI est composée de plusieurs onglets ou menus qui permettent d'accéder à diverses tâches de
configuration de routeur. Il est souvent nécessaire d’enregistrer les paramètres modifiés dans
une fenêtre avant de passer à une autre. À ce stade, il est conseillé de modifier les paramètres
par défaut.
13.1.5
3. Configurer le SSID
4. Configurer le canal.
5. Configurer le mode de sécurité.
6. Configurer la phrase secrète
Un routeur sans fil fournit un accès sans fil aux appareils à l'aide d'un nom de réseau sans fil et
d'un mot de passe par défaut. Le SSID (Service Set Identified) représente le nom du réseau.
Localisez les paramètres sans fil de base de votre routeur pour modifier ces paramètres par
défaut, comme illustré dans l'exemple.
13.1.6
La figure représente deux points d'accès sans fil dans un petit bureau ou un réseau domestique.
Les points d'accès sans fil se connectent sans fil à un routeur. Le routeur est connecté à un
modem haut débit. Le modem haut débit est connecté à un cloud indiquant la Internet Des
flèches pointant depuis les points d'accès sans fil indiquent les paramètres de configuration. Un
point d'accès sans fil est sur le canal 1 à 2,4 GHz et l'autre sur le canal 11 à 2,4 GHz.
Internet
L'extension d'un réseau local sans fil dans un petit bureau ou domestique est devenue de plus en
plus facile. Les fabricants ont développé des applications de smartphone qui permettent de créer
rapidement un réseau sans fil maillé (WMN). Vous achetez le système, dispersez les points
d'accès, branchez-les, téléchargez l'application et configurez votre WMN en quelques étapes.
Recherchez sur Internet «meilleur système réseau maillé Wi-Fi» pour obtenir des avis sur les
offres actuelles.
13.1.7
L'adresse IPv4 209.165.201.11 peut être routée publiquement sur Internet. Toutes les adresses
dont le premier octet comporte le chiffre 10 est une adresse IPv4 privée qui ne peut pas être
routée sur Internet. Par conséquent, le routeur utilisera un processus appelé traduction
d'adresses réseau (NAT) pour convertir les adresses IPv4 privées en adresses IPv4 routables
sur Internet. La traduction d'adresses réseau (NAT) permet de convertir une adresse IPv4 source
(locale) privée en adresse publique (globale). Le processus est renversé pour les paquets
entrants. Grâce à la fonction NAT, un routeur est capable de traduire plusieurs adresses IPv4
internes en adresses publiques.
Certains ISP utilisent l'adressage privé pour se connecter aux périphériques du client.
Cependant, votre trafic quittera le réseau de l'opérateur et sera routé sur l'internet. Pour afficher
les adresses IP de vos périphériques, recherchez sur Internet «quelle est mon adresse IP».
Faites cela pour d'autres périphériques sur le même réseau et vous verrez qu'ils partagent tous la
même adresse IPv4 publique. La fonction NAT suit les numéros de port source pour chaque
session établie par un appareil. Si votre ISP active le protocole IPv6, une adresse IPv6 unique
est attribuée à chaque périphérique.
13.1.8
Qualité de service
De nombreux routeurs sans fil ont une option de configuration de la qualité de service (QoS). La
configuration de la qualité de service (QOS) permet d'accorder la priorité à certains types de
trafic (voix ou vidéo) par rapport au trafic qui n'est pas soumis à des contraintes temporelles,
notamment la messagerie et la navigation web. Sur certains routeurs sans fil, le trafic peut
également être prioritaire sur des ports spécifiques.
La figure représente la maquette simplifiée d'une interface QoS basée sur une interface
utilisateur GUI d'un routeur Netgear. Les paramètres de QoS se trouvent généralement dans les
menus avancés. Si vous avez un routeur sans fil disponible, examinez les paramètres de QoS. Ils
peuvent être répertorié dans «Contrôle de bande passante» ou un menu similaire. Consultez la
documentation du routeur sans fil ou recherchez sur l'internet «les paramètres de qualité de
service» correspondants à la marque et au modèle de votre routeur.
baseAvancées Supprimer
Lorsque le trafic atteint le routeur, il détermine s'il faut transmettre vers un périphérique particulier
selon le numéro de port associé au trafic. Par exemple, un routeur peut être configuré pour
transférer le port 80 , qui est associé au protocole HTTP. Si le routeur reçoit un paquet ayant
comme destination le port 80, il redirige le trafic vers le serveur adéquat à l'intérieur du réseau.
Dans la figure ci-dessous, la transmission de port est activée sur le port 80 et associé au serveur
web à l'adresse IPv4 10.10.10.50.
Le déclenchement de port autorise le routeur à transférer temporairement les données via les
ports entrants vers un périphérique spécifique. Vous pouvez utiliser le déclenchement de port
pour transférer des données vers un ordinateur uniquement lorsqu'une gamme de ports désignée
est utilisée pour produire une requête sortante. Par exemple, un jeu vidéo peut utiliser les ports
de 27000 à 27100 pour se connecter avec les autres joueurs. Ces ports sont des ports de
déclenchement. Un client de chat peut utiliser le port 56 pour connecter les mêmes joueurs afin
qu'ils puissent interagir les uns avec les autres. Dans ce cas, s'il y a du trafic de jeu sur un port
sortant dans la gamme de ports déclenchés, le trafic de chat entrant sur le port 56 est transféré à
l'ordinateur utilisé pour jouer au jeu vidéo et discuter avec des amis. Lorsque le jeu est terminé et
que les ports déclenchés ne sont plus utilisés, le port 56 n'est plus autorisé à envoyer du trafic de
quelque type que ce soit vers cet ordinateur.
13.1.10
13.0
Introduction
13.2
Configurati
Cliquez sur lecture dans la figure pour afficher une démonstration de la configuration de Cisco
3504 WLC avec une connectivité WLAN de base.
Play Video
13.2.2
Topologie de WLC
La topologie et le schéma d'adressage utilisés pour les vidéos et cette rubrique sont illustrés
dans la figure et le tableau ci-dessous. Le point d'accès (AP) est un AP basé sur un contrôleur
par opposition à un AP autonome. Rappelez-vous que les points d'accès basés sur un contrôleur
ne nécessitent aucune configuration initiale et sont souvent appelés points d'accès légers (LAP).
Les LAP utilisent le Lightweight Access Point Protocol (LWAPP) pour communiquer avec un
contrôleur WLAN (WLC). Les points d'accès basés sur un contrôleur sont utiles dans les
situations où de nombreux points d'accès sont requis dans le réseau. En ajoutant plus d'AP,
chaque AP est automatiquement configuré et géré par le WLC.
La figure montre une topologie de contrôleur LAN sans fil (WLC). PC-A est un serveur
RADIUS/SNMP connecté a R1 sur l'interface R1s F0/0. PC-B est connecté à S1 sur le port S1s
F0/6. R1 et S1 sont connectés ensemble sur l'interface R1s F0/1 et sur S1s F0/5 interface S1 est
connecté à un WLC sur son port F0/18. Sur le port S1s F0/1 il est connecté à un point d'accès,
AP1. Un ordinateur portable est connecté sans fil à AP1.
Topologie
PC-APC-BR1S1AP1WLCF0/0F0/1F0/5F0/18G1F0/6F0/1
Serveur RADIUS/SNMPAdministrateurPoETrunc 802.1qTrunc 802.1qTrunc 802.1q
L'AP est un périphérique PoE, ce qui signifie qu'il est alimenté sur le câble Ethernet qui est
connecté au commutateur.
Addressing Table
DeviceInterfaceIP AddressSubnet
MaskR1F0/0172.16.1.1255.255.255.0R1F0/1.1192.168.200.1255.255.255.0S1VLAN
1DHCPWLCManagement192.168.200.254255.255.255.0AP1Wired
0192.168.200.3255.255.255.0PC-ANIC172.16.1.254255.255.255.0PC-BNICDHCPWireless
LaptopNICDHCP
Masque de sous-
Appareil Interface Adresse IP
réseau
S1 VLAN 1 DHCP
Masque de sous-
Appareil Interface Adresse IP
réseau
Ordinateur portable
Carte réseau (NIC) DHCP
sans fil
13.2.3
Connectez-vous au WLC
La configuration de contrôleur LAN sans fil (WLC) ne diffère pas de la configuration de routeur
sans fil. La grande différence est qu'un WLC contrôle les points d'accès et fournit plus de
services et de capacités de gestion, dont plusieurs ne sont pas abordés dans ce module.
Remarque: Les figures de cette rubrique illustrent l'interface utilisateur graphique (GUI) et les
menus proviennent d'un contrôleur sans fil Cisco 3504. Cependant, d'autres modèles WLC
auront des menus et des fonctionnalités similaires.
La figure indique que l'utilisateur se connecte au WLC avec des informations d'identification qui
ont été configurées pendant l'installation initiale.
La page Récapitulatif du réseau est un tableau de bord qui fournit un aperçu rapide du nombre
de réseaux sans fil configurés, des points d'accès associés (AP) et des clients actifs. Vous
pouvez également voir le nombre de points d'accès in désirer et de clients, comme indiqué dans
la figure.
13.2.4
Cet AP dans la topologie est un Cisco Aironet 1815i, ce qui signifie que vous pouvez utiliser la
ligne de commande et un ensemble limité de commandes IOS familières. Dans l'exemple
suivant, l'administrateur réseau envoie une requête ping à la passerelle par défaut et le WLC
pour vérifier l'interface câblée.
AP1# ping 192.168.200.1
!!!!!
1069812.242/1071814.785/1073817.215 ms
!!!!!
1055820.953/1057820.738/1059819.928 ms
Mask:255.255.255.255
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
collisions:0 txqueuelen:80
AP1#
13.2.5
Paramètres Avancés
La plupart des WLC viennent avec des paramètres et des menus de base auxquels les
utilisateurs peuvent accéder rapidement pour mettre en œuvre une variété de configurations
courantes. Cependant, en tant qu'administrateur de réseau, vous aurez généralement accès aux
paramètres avancés. En cas d'utilisation du contrôleur sans fil Cisco 3504, cliquez
sur Advanced dans le coin supérieur droit pour accéder à la page Résumé avancée, comme
illustré dans la figure. Ici, vous pouvez accéder à toutes les fonctionnalités du WLC.
13.2.6
Configuration de WLAN
Les contrôleurs LAN sans fil ont des ports et des interfaces. Les ports sont les sockets pour les
connexions physiques au réseau câblé. Ils ressemblent à des ports de commutation. Les
interfaces sont virtuelles. Ils sont créés dans un logiciel et sont très similaires aux interfaces
VLAN. En réalité, chaque interface qui acheminera le trafic d'un WLAN est configurée sur le WLC
comme un VLAN différent. Le Cisco 3504 WLC peut prendre en charge 150 points d'accès et
4096 VLAN, mais il ne dispose que de cinq ports physiques, comme indiqué sur la figure. Cela
signifie que chaque port physique peut prendre en charge de nombreux points d'accès et WLAN.
Les ports sur le WLC sont essentiellement des ports de jonction qui peuvent transporter le trafic
de plusieurs VLAN vers un commutateur pour la distribution vers plusieurs AP. Chaque AP peut
prendre en charge plusieurs WLAN.
La figure montre l'avant d'un contrôleur sans fil Cisco 3504. Il a de 2 ports de service pour la
gestion hors bande, un port console, un port console mini-usb, un port USB 3.0, un port 5G et de
quatre ports gigabit.
Cliquez sur chaque étape pour plus d'informations et un exemple d'Interface graphique (GUI).
1. Créer le WLAN
2. Appliquer et activer le WLAN
3. Choisir l'interface.
4. Sécuriser le WLAN
5. Vérifier que le WLAN est opérationnel
6. Surveiller le WLAN
Dans la figure, l'administrateur crée un nouveau WLAN qui utilisera Wireless _LAN comme nom
et identificateur de jeu de services (SSID). L'ID est une valeur arbitraire qui est utilisée pour
identifier le WLAN dans le résultat d'affichage sur le WLC.
13.2.7
13.1
Con
Configuration de WPA2-
Enterprise d'un WLAN sur le
WLC
13.3.1
Cliquez sur le bouton Lecture dans la figure pour afficher une démonstration de la configuration
des services SNMP et RADIUS sur le WLC.
Play Video
13.3.2
SNMP et RADIUS
Dans la figure, PC-A exécute le protocole SNMP (Simple Network Management Protocol) et le
logiciel serveur RADIUS (Remote Authentication Dial-In User Service). SNMP est utilisé pour
surveiller le réseau. L'administrateur réseau veut que le WLC transfère tous les messages de
journal SNMP, appelés interruptions au serveur SNMP.
Par ailleurs, pour l'authentification des utilisateurs WLAN, l'administrateur réseau souhaite utiliser
un serveur RADIUS pour les services d'authentification, d'autorisation et de comptabilité (AAA).
Au lieu de saisir une clé pré-partagée connue pour s'authentifier, comme ils le font avec WPA2-
PSK, les utilisateurs entreront leurs propres identifiants de nom d'utilisateur et de mot de passe.
Les identifiants va être vérifier par un serveur RADIUS. De cette façon, l'accès utilisateur
individuel peut être suivi et audité si nécessaire et les comptes utilisateurs peuvent être ajoutés
ou modifiés à partir d'un emplacement central. Le serveur RADIUS est requis pour les WLAN qui
utilisent l'authentification WPA2 Enterprise.
Remarque: la configuration de serveur SNMP et du serveur RADIUS ne sont pas abordés dans
ce module.
La figure indique une topologie de réseau. PC-A est un serveur RADIUS/SNMP connecté a R1
sur l'interface R1s F0/0. PC-B est connecté à S1 sur le port S1s F0/6. R1 et S1 sont connectés
ensemble sur l'interface R1s F0/1 et sur S1s F0/5 S1 est connecté à un WLC sur son port F0 /
18. Sur le port S1s F0/1 il est connecté à un point d'accès, AP1. Un ordinateur portable est
connecté sans fil à AP1.
Topologie
PC-APC-BR1S1AP1WLCF0/0F0/1F0/5F0/18G1F0/6F0/1
Serveur RADIUS/SNMPAdministrateurPoETrunc 802.1qTrunc 802.1qTrunc 802.1q
13.3.3
13.3.4
Pour configurer le WLC avec les informations du serveur RADIUS, cliquez sur
l'onglet SÉCURITÉ > RADIUS > Authentification. Aucun serveur RADIUS n'est actuellement
configuré. Cliquez sur New ... pour ajouter PC-A en tant que serveur RADIUS.
Saisissez l'adresse IPv4 pour PC-A et le secret partagé. C'est le mot de passe utilisé entre le
WLC et le serveur RADIUS. Ce n'est pas pour les utilisateurs. Cliquez sur Apply, comme illustré
dans la figure.
Après avoir cliqué sur Apply, la liste des serveurs d'authentification RADIUS configurés est
actualisée avec le nouveau serveur répertorié, comme illustré dans la figure.
13.3.5
Play Video
13.3.6
L'administrateur réseau a décidé que le nouveau WLAN utilisera l'interface VLAN 5 et le réseau
192.168.5.0/24. R1 a déjà une sous-interface configurée et active pour VLAN 5, comme indiqué
dans la topologie et affiche le résultat de la commande show ip interface brief
La figure indique une topologie de réseau. PC-A est un serveur RADIUS/SNMP connecté a R1
sur l'interface R1s F0/0. R1 a une sous-interface configurée sur VLAN 5 avec l'adresse IP
192.168.5.1. PC-B est connecté à S1 sur le port S1s F0/6. R1 et S1 sont connectés ensemble
sur l'interface R1s F0/1 et sur l'interface S1s F0/5. S1 est connecté à un WLC sur son port F0/18.
Le WLC a l'adresse IP de gestion de 192.168.200.254 et une interface sur VLAN 5 avec une
adresse IP de 192.168.5.254. Sur le port S1s F0/1, il est connecté à un point d'accès, AP1. Un
ordinateur portable est connecté sans fil à AP1.
Topologie
PC-APC-BR1S1AP1F0/0F0/18F0/6F0/5F0/1G1F0/1
Serveur RADIUS/SNMPPoEWLCGestion: 192.168.200.254
Interface VLAN5: 192.168.5.254Trunc 802.1qTrunc 802.1qTrunc 802.1qVLAN5: 192.168.5.1
Protocol
up
FastEthernet0/1 unassigned YES unset up
up
up
up
(output omitted)
R1#
13.3.7
Cliquez sur chaque étape pour plus d'informations et un exemple d'Interface graphique (GUI).
1. Créer une nouvelle interface.
2. Configurer le nom et l'ID VLAN.
3. Configurer le port et l'adresse interface.
4. Configurer l'adresse du serveur DHCP.
5. Appliquer et confirmer.
6. Vérifier les interfaces.
1. Créer une nouvelle interface.
Pour ajouter une nouvelle interface, cliquez sur CONTROLLER > Interfaces > New..., comme
illustré dans la figure.
1. Cliquez sur CONTROLLER
2. Cliquez sur Interfaces
3. Cliquez sur New...
13.3.8
Play Video
13.3.9
Cliquez sur chaque étape pour des informations supplémentaires et un exemple d'Interface
graphique (GUI).
1. Créer une nouvelle portée DHCP.
2. Nommer la portée DHCP.
Une portée DHCP est très similaire à un pool DHCP sur un routeur. Il peut comprendre une
variété d'informations, notamment un ensemble d'adresses à attribuer aux clients DHCP, des
informations sur les serveurs DNS, les durées de location...etc. Pour configurer une nouvelle
portée DHCP, cliquez sur Internal DHCP Server > DHCP Scope > New..., comme indiqué dans
la figure.
1. Cliquez sur Internal DHCP Server.
2. Cliquez sur DHCP Scope.
3. Cliquez sur New...
13.3.10
Play Video
13.3.11
Cliquez sur chaque étape pour des informations supplémentaires et un exemple d'Interface
graphique (GUI).
1. Créer un nouveau WLAN.
2. Configurer le nom WLAN et le SSID.
3. Activer le WLAN pour VLAN 5.
4. Vérifier les valeurs par défaut AES et 802.1X.
Cliquez sur l'onglet WLANs, puis sur Go pour créer un nouveau WLAN, comme illustré dans la
figure.
13.3.12
13.2
Méthodes de dépannage
Dans la rubrique précédente, vous avez appris la configuration WLAN. Ici, nous allons discuter
du dépannage des problèmes WLAN.
Les problèmes de réseau peuvent être simples ou complexes, et peuvent provenir d'une
combinaison de problèmes de matériel, de logiciel et de connectivité. Les techniciens doivent être
capables d'analyser le problème et d'en déterminer la cause afin de résoudre le problème du
réseau. Cela s'appelle le dépannage.
Le dépannage de quelque problème de réseau doit suivre une méthode systématique. Une
méthodologie de dépannage courante et efficace est basée sur la méthode scientifique et peut
être divisée en six étapes principales indiquées dans le tableau.
Step Title Description 1 Identify the ProblemThe first step in the processus de dépannage consiste à
identifier le problème. Bien que les outils puissent être utilisés à cette étape, une conversation avec
l'utilisateur est souvent très utile. une théorie de la cause probable Après avoir parlé à l'utilisateur et
identifié le problème, vous pouvez essayer d'établir une théorie des causes probables. Cet étape
donne souvent plus de quelques causes probables au problème. Théorie pour déterminer la cause
Sur la base des causes probables, testez vos théories pour déterminer laquelle est la cause du
problème. Un technicien appliquera une procédure rapide pour tester et voir si cela résout le
problème. Si un rapide procédure ne corrige pas le problème, vous devrez rechercher le problème
pour en déterminer la cause exacte.4 Etablir un plan d’action pour Résoudre le problème et mettre
en œuvre la solution Après avoir déterminé le cause exacte du problème, établir un plan d’action
pour résoudre le problème problème et implémenter la solution. 5 Vérifier la fonctionnalité
complète du système et Mettre en œuvre des mesures préventives Après avoir corrigé le problème,
vérifiez que toutes les fonctionnalités et le cas échéant, mettre en œuvre préventive mesures. 6
Documenter les constatations, les actions et les résultats Dans la dernière étape du processus de
dépannage, documentez vos constatations, actions et résultats. Cet est très important pour
référence future.
Établir un plan d'action pour Après avoir déterminé la cause exacte du problème, établissez
4 résoudre le problème et un plan d'action pour résoudre le problème et mettre en œuvre
mettre en œuvre la solution la solution.
Vérification du
fonctionnement de Après avoir résolu le problème, vous devez vérifier le
5 l'ensemble du système et fonctionnement de l'ensemble et le cas échéant, mettre en
implémentation des mesures œuvre des mesures préventives.
préventives
Pour évaluer le problème, vous devez savoir combien de périphériques du réseau sont soumis
au problème.. Si le problème concerne un seul périphérique, commencez la procédure de
dépannage sur celui-ci. S'il concerne l'ensemble des périphériques du réseau, commencez le
dépannage sur le périphérique contenant toutes les connexions. Vous devez développer une
méthode logique et cohérente pour pouvoir analyser les problèmes de réseau en éliminant un
problème à la fois.
13.4.2
La figure montre une topologie de réseau avec un client sans fil incapable de se connecter à l'AP.
La figure illustre un routeur connecté à un commutateur. Le commutateur est connecté à un
deuxième commutateur. Le commutateur est connecté à un deuxième commutateur. L'AP est
connecté sans fil à un téléphone portable, une tablette et un ordinateur portable. Cependant, la
connexion de l'ordinateur portable à l'AP a un X indiquant qu'aucune connexion n'a été établie.
AP
WLC
Si le PC est opérationnel mais que la connexion sans fil fonctionne mal, vérifiez les points
suivants:
À quelle distance se trouve le PC d'un point d'accès? Le PC est-il hors de la zone de couverture
planifiée (BSA)?
Vérifiez les paramètres de canal sur le client sans fil. Le logiciel client doit détecter le canal
approprié tant que le SSID est correct.
Vérifiez la présence d'autres appareils dans la zone susceptibles d'interférer avec la bande 2,4
GHz. Des exemples d'autres appareils sont les téléphones sans fil, les moniteurs pour bébé, les
fours à micro-ondes, les systèmes de sécurité sans fil et les points d'accès potentiellement
voyous. Les données de ces appareils peuvent provoquer des interférences dans le WLAN et
des problèmes de connexion intermittente entre un client sans fil et AP.
Ensuite, assurez-vous que tous les appareils sont bien en place. Considérez un éventuel
problème de sécurité physique. Tous les appareils sont-ils alimentés et sont-ils sous tension?
Enfin, inspectez les liaisons entre les appareils câblés à la recherche de connecteurs défectueux
ou de câbles endommagés ou manquants. Si l'installation physique est en place, vérifiez le
réseau local câblé en envoyant une requête ping aux périphériques, y compris l'AP. Si la
connectivité échoue toujours à ce stade, peut-être que quelque chose ne va pas avec l'AP ou sa
configuration.
Lorsque le PC de l'utilisateur est éliminé comme source du problème et que l'état physique des
périphériques est confirmé, commencez à enquêter sur les performances du point d'accès.
Vérifiez l'état d'alimentation de l'AP.
13.4.3
Mettre à niveau vos clients sans fil: les anciens périphériques 802.11b, 802.11g et même
802.11n peuvent ralentir le WLAN. Pour obtenir les meilleures performances, tous les
périphériques sans fil doivent prendre en charge la même norme acceptable la plus élevée. Bien
que le 802.11ax ait été publié en 2019, le 802.11ac est probablement la norme la plus élevée que
les entreprises peuvent actuellement appliquer.
Divisez le trafic - Le plus simple moyen d'améliorer la performance du sans fil est de diviser son
trafic 802.11n entre la bande 2,4 GHz et la bande 5 GHz. Par conséquent, 802.11n (ou mieux)
peut utiliser les deux bandes comme deux réseaux sans fil distincts pour aider à gérer le trafic.
Par exemple, utilisez le réseau 2,4 GHz pour les tâches Internet de base, telles que la navigation
sur le Web, le courrier électronique et les téléchargements, et utilisez la bande 5 GHz pour la
diffusion multimédia, comme illustré dans la figure.
La figure représente un réseau domestique répartissant le trafic entre 2,4 GHz et 5 GHz. Le WLC
est connecté à un téléviseur, un téléphone portable et une tablette en utilisant 5 GHz. Il est
également connecté à deux ordinateurs portables utilisant 2,4 GHz.
La bande 2,4 GHz peut convenir au trafic Internet de base qui n'est pas sensible au temps.
La bande passante peut toujours être partagée avec d'autres WLAN voisins
La bande de 5 GHz est nettement moins encombrée que la bande de 2,4 GHz ; idéale pour la
diffusion multimédia.
La bande de 5 GHz comporte plus de canaux ; par conséquent, le canal choisi est probablement
libre d'intervention.
Par défaut, les routeurs double bande et les points d'accès utilisent le même nom de réseau sur
la bande 2,4 GHz et la bande 5 GHz. Le moyen le plus simple de segmenter le trafic consiste à
renommer l'un des réseaux sans fil. Avec un nom distinct et descriptif, il est plus facile de se
connecter au réseau adéquat.
Pour améliorer la gamme d'un réseau sans fil, assurez-vous que le routeur sans fil ou
l'emplacement du point d'accès ne sont pas obstrués, tels que des meubles, des luminaires et
des périphériques électroménagers de grande taille. Ceux-ci bloquent le signal, ce qui raccourcit
la gamme du WLAN. Si cela ne résout toujours pas le problème, un prolongateur de portée Wi-Fi
ou le déploiement de la technologie sans fil CPL doive être utilisé.
13.4.4
Sur un contrôleur sans fil Cisco 3504, cliquez sur l'onglet SANS FIL> Points d'accès dans le
menu de gauche> Sous-menu Configuration globale. défilez ensuite vers le bas de la page
pour la section de pré-téléchargement de l'image AP.
Les utilisateurs seront déconnectés du WLAN et d'Internet jusqu'à ce que la mise à niveau soit
terminée. Le routeur sans fil devra sans doute redémarrer plusieurs fois avant que le
fonctionnement normal du réseau soit rétabli.
13.4.5
13.3
Les AP Lightweight (LAPs) utilisent le Lightweight Access Point Protocol (LWAPP) pour
communiquer avec un contrôleur WLAN (WLC). La Configuration de contrôleur LAN sans
fil (WLC) est similaire à la Configuration de routeur sans fil, sauf qu'un WLC contrôle les
points d'accès et fournit plus de services et de capacités de gestion. Utilisez l'interface WLC
pour afficher une image globale des informations et des performances du système AP, pour
accéder aux paramètres avancés et pour configurer un WLAN.
SNMP est utilisé pour surveiller le réseau. le WLC transfère tous les messages de journal
SNMP, appelés interruptions au serveur SNMP. Pour l'authentification des utilisateurs
WLAN, un serveur RADIUS est utilisé pour les services d'authentification, d'autorisation et
de comptabilité (AAA). L'accès des utilisateurs individuels peut être suivi et audité. Utilisez
l'interface WLC pour configurer les informations du serveur SNMP et du serveur RADIUS,
les interfaces VLAN, la portée DHCP et un WPA2-Enterprise WLAN.
Les six étapes de la procédure de dépannage. Pendant le dépannage d'un WLAN, un processus
d'élimination est recommandé. Les problèmes courants sont: l'absence de la connectivité et
une connexion sans fil de faible performance lorsque le PC est en opération. Pour optimiser et
augmenter la bande passante des routeurs et des points d'accès bi-bande 802.11, mettez à
niveau vos clients sans fil ou divisez le trafic. La plupart des routeurs et points d'accès sans fil
proposent un firmware mise à jour. Les différentes versions du micrologiciel peuvent contenir
la correction de problèmes courants signalés par des clients ou des failles de sécurité. Vous
devriez vérifier périodiquement le routeur ou l'AP pour le firmware mise à jour.
13.5.4
Questionnaire de module - La Configuration
WLAN
1.
Un utilisateur configure un point d'accès sans fil et souhaite empêcher les voisins de découvrir
le réseau. Quelle action l'utilisateur doit-il prendre?
privé
public
réseau
3. Un utilisateur vient d'acheter un routeur domestique générique et souhaite le sécuriser. Que
faut-il faire pour sécuriser le routeur domestique sans fil ?
NTP
SSH
SNMP
5. Pendant la configuration d'un contrôleur LAN sans fil (WLC) de série Cisco 3500 pour un
WLAN WPA2-Enterprise, que devez-vous créer sur le WLC avant de créer le nouveau
WLAN?
Un module de Sécurité
Un nouveau SSID
Politique de sécurité
6. Qu'est-ce qu'une portée DHCP qui correspond à un WLAN configuré sur le contrôleur WLC ?
la distance allouée aux clients sans fil qui peuvent recevoir des informations d'adressage IP
un pool d'adresses IP pour les clients WLAN
un plan d'entreprise pour l'allocation des adresses IP pour les clients sans fil
Le point d'accès se trouve sur le même circuit électrique que l'unité de base du téléphone et le
four à micro-ondes.
Le signal sans fil est dans la même gamme de fréquences radio que les périphériques
domestiques.
Le téléphone sans fil rejoint le WLAN et partage la bande passante disponible.
PPPoE
VPN
IPsec
QoS
10. Un routeur sans fil affiche l'adresse IP 192.168.0.1. Qu'est-ce que cela peut signifier ?
Le routeur sans fil a été configuré de manière à utiliser les fréquences sur le canal 1.
QoS
NAT
UPnP
Filtrage MAC
13. Quelle est la différence entre les points d'accès autonomes qui fonctionnent dans un
environnement domestique et les points d'accès basés sur un contrôleur qui fonctionnent dans
un environnement d'entreprise ?
les points d'accès basés sur contrôleur sont appelés points d'accès légers et nécessitent une
configuration initiale pour fonctionner.
Les points d'accès autonomes intègrent les fonctions d'un routeur, d'un commutateur et d'un
point d'accès dans un seul périphérique.
Les points d'accès basés sur un contrôleur peuvent être configurés et gérés automatiquement
par un contrôleur WLAN.
14. Quel onglet WLC un administrateur réseau utiliserait-il généralement pour voir une vue
récapitulative des WLAN les plus utilisés, y compris le nombre de clients utilisant un WLAN
particulier ?
Surveillance
Commandes
Contrôleur
15. Les utilisateurs d'un réseau IEEE 802.11n se plaignent de la vitesse insuffisante.
L'administrateur réseau vérifie le point d’accès et vérifie qu'il fonctionne correctement. Que
peut-on faire pour améliorer la performance sans fil dans un réseau ?
Diviser le trafic sans fil entre la bande 802.11n 2,4 GHz et la bande 5 GHz.
13.4
Introduction
14.0.1
Quelle que soit l'efficacité avec laquelle vous configurez votre réseau, quelque chose cessera
toujours de fonctionner correctement, ou même de fonctionner complètement. C'est une vérité
simple sur le réseau. Donc, même si vous connaissez déjà un peu le routage, vous devez
toujours savoir que comment vos routeurs fonctionnent réellement. Ces connaissances sont
essentielles si vous souhaitez être en mesure de dépanner votre réseau. Ce module va en détail
sur le fonctionnement d'un routeur. Plongez !
14.0.2
Objectif du module: Expliquer comment les routeurs utilisent des informations dans des
paquets pour prendre des décisions de transmission.
Légende du tableau
Révision de la configuration de base du routeur Configurer les paramètres de base sur un routeur.
Détermination du chemin
Introduction
14.0.1
Quelle que soit l'efficacité avec laquelle vous configurez votre réseau, quelque chose cessera
toujours de fonctionner correctement, ou même de fonctionner complètement. C'est une vérité
simple sur le réseau. Donc, même si vous connaissez déjà un peu le routage, vous devez
toujours savoir que comment vos routeurs fonctionnent réellement. Ces connaissances sont
essentielles si vous souhaitez être en mesure de dépanner votre réseau. Ce module va en détail
sur le fonctionnement d'un routeur. Plongez !
14.0.2
Objectif du module: Expliquer comment les routeurs utilisent des informations dans des
paquets pour prendre des décisions de transmission.
Légende du tableau
Révision de la configuration de base du routeur Configurer les paramètres de base sur un routeur.
Légende du tableau
13.5
Détermination du chemin
Détermination du chemin
14.1.1
Les commutateurs Ethernet sont utilisés pour connecter des périphériques terminaux et
d'autres périphériques intermédiaires, tels que d'autres commutateurs Ethernet, au même
réseau. Un routeur relie plusieurs réseaux, c'est-à-dire qu'il dispose de plusieurs interfaces
appartenant chacune à un réseau IP différent.
Lorsqu'un routeur reçoit un paquet IP sur une interface, il détermine quelle interface utiliser
pour transférer le paquet vers sa destination. Ceci est connu sous le nom de routage.
L'interface qu'utilise le routeur pour transférer le paquet peut être la destination finale, mais
aussi un réseau connecté à un autre routeur utilisé pour atteindre le réseau de destination.
Chaque réseau auquel un routeur se connecte nécessite généralement une interface séparée,
mais ce n'est pas toujours le cas.
14.1.2
L'animation représente deux réseaux LAN avec des hôtes connectés par deux routeurs R1 et
R2. Un paquet est animé traversant la connexion d'un réseau local à l'autre réseau local. Les
écrans du routeur apparaissent FOR R! et R2 montrant les adresses IPv4 correspondantes dans
le routeur passant d'un réseau à un autre.
192.168.3.0/24
Réseau local
Réseau local
192.168.1.0/24
Les routeurs utilisent la table de routage comme une carte permettant de déterminer le meilleur chemin pour un réseau donné.
14.1.3
La table de routage contient des entrées de routage composées d'un préfixe (adresse réseau) et
d'une longueur de préfixe. Pour qu'il y ait une correspondance entre l'adresse IP de destination
d'un paquet et une route dans la table de routage, un nombre minimum de bits les plus à
gauche doit correspondre entre l'adresse IP du paquet et la route dans la table de routage. La
longueur du préfixe de la route dans la table de routage est utilisée pour déterminer le nombre
minimum de bits les plus à gauche qui doivent correspondre. N'oubliez pas qu'un paquet IP
contient uniquement l'adresse IP de destination et pas la longueur du préfixe.
La correspondance la plus longue est celle qui, dans la table de routage, présente le plus grand
nombre de bits de correspondance les plus à gauche avec l'adresse IP de destination du
paquet. La route dotée du plus grand nombre de bits les plus à gauche correspondants (ou la
plus longue correspondance) constitue toujours la route préférée.
Remarque: Le terme longueur du préfixe sera utilisé pour faire référence à la partie réseau
des adresses IPv4 et IPv6.
14.1.4
Exemple de correspondance la plus longue
d'adresse IPv4
Dans le tableau, un paquet IPv4 a l'adresse IPv4 de destination 172.16.0.10. Le routeur a trois
entrées de route dans sa table de routage IPv4 qui correspondent à ce paquet : 172.16.0.0/12,
172.16.0.0/18 et 172.16.0.0/26. Parmi les trois routes, 172.16.0.0/26 est celle qui présente la
plus longue correspondance et doit être choisir pour transférer le paquet. N’oubliez pas
qu’une route est une correspondance lorsqu’elle possède au minimum le nombre de bits
correspondants indiqués par le masque de sous-réseau de la route.
172.16.0.10 10101100.00010000.00000000.00001010
1 172.16.0.0/12 10101100.00010000.000000.00001010
2 172.16.0.0/18 10101100.00010000.000000.00001010
3 172.16.0.0/26 10101100.00010000.00000000.00001010
14.1.5
Pour le paquet IPv6 de destination avec l'adresse 2001:db8:c000::99, considérez les trois
entrées de route suivantes:
Entrées de
Longueur du préfix/préfixe Est-ce que ça correspond?
route
14.1.6
La figure illustre trois types de réseaux Réseau connecté dirigé, Réseau distant et Route par
défaut. Routeur1 (R1) est le réseau directement connecté avec deux commutateurs S1 et S2
connectés à deux PC, PC1 et PC2. Chaque commutateur est connecté à un routeur R1. R1 et
R2 sont connectés directement via une connexion point à point. R2 est connecté à deux
commutateurs S# et S4 avec chaque commutateur ayant un PC, PC3 et P4 connecté à eux. R2
forme le réseau distant. R2 dispose d'une connexion distante supplémentaire au FAI par une
connexion point à point qui est la connexion Internet. Le schéma de numéros pour chaque
périphérique est double pile d'adresses IPv4 et IPv6.
Les réseaux de la topologie sont mis en surbrillance et étiquetés du point de vue de R1. Tous
les réseaux IPv4 et IPv6 mis en surbrillance en jaune sont des réseaux directement connectés.
Tous les réseaux IPv4 et IPv6 mis en surbrillance en bleu sont des réseaux distants.
Cliquez sur chaque bouton pour plus d'informations sur les différentes façons dont un routeur
apprend les routes.
Réseaux directement connectés
Réseaux distants
Les réseaux directement connectés sont des réseaux configurés sur les interfaces actives d'un
routeur. Un réseau directement connecté est ajouté à la table de routage lorsqu'une interface
est configurée avec une adresse IP et un masque de sous-réseau (longueur du préfixe) et est
active (up et up).
14.1.7
Table ARP
Cache de voisin
Table de routage
2. Quelle action un routeur prendra-t-il sur un paquet avec une adresse IP de destination qui se
trouve sur un réseau distant?
Il transmettra le paquet directement à l'appareil avec l'adresse IP de destination du paquet.
Il abandonnera le paquet.
3. Lesquelles des routes suivantes peut être trouvé dans une table de routage? (Choisissez toutes
les réponses qui conviennent.)
Routes statiques
14.0
Introduction
14.2
Transmission de paquets
Révision de la configuration de
base du routeur
14.3.1
Topologie
Un routeur utilise une table de routage pour déterminer où il doit transmettre les paquets. Mais
avant de plonger dans les détails de la table de routage IP, cette rubrique passe en revue les
tâches de configuration et de vérification du routeur de base. Vous allez également effectuer une
activité Packet Tracer pour rafraîchir vos compétences.
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/0
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R1
Internet
14.3.2
Commande de configuration
Les exemples suivants illustrent la configuration complète de R1.
Router> enable
Router# configure terminal
Router(config)# hostname R1
R1(config-line)# login
R1(config-line)# exit
R1(config-line)# login
R1(config-line)# exit
***********************************************
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config-if)# no shutdown
R1(config-if)# exit
Building configuration...
[OK]
R1#
14.3.3
Commandes de vérification
Les commandes de vérification courantes sont les suivantes :
Dans chaque cas, remplacez ip par ipv6 pour la version IPv6 de la commande. La figure montre
à nouveau la topologie pour une référence facile.
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/0
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R1
Internet
show interfaces
show ip interface
show ipv6 interface
show ip route
R1#
14.3.4
Filtrage des résultats de commande
Une autre fonctionnalité très utile pour améliorer l'expérience utilisateur dans l'interface en ligne
de commande est le filtrage obtenu par le résultat de la commande show . Les commandes de
filtrage permettent d'afficher des sections de résultat spécifiques. Pour activer la commande de
filtrage, tapez le symbole (|) après la commande show , puis saisissez un paramètre de filtrage et
une expression de filtrage.
Remarque: les filtres de résultat peuvent être utilisés en combinaison avec toute
commande show .
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/0
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R1
Internet
Ces exemples illustrent certaines des utilisations les plus courantes des paramètres de filtrage.
line vty 0 4
password 7 121A0C0411044C
login
R1#
GigabitEthernet0/0/0 [up/up]
GigabitEthernet0/0/1 [up/up]
Serial0/1/1 [up/up]
R1#
Protocol
up
up
up
R1#
R1#
14.3.5
Table de routage IP
14.4.1
Une table de routage contient une liste de routes des réseaux connus (préfixes et longueurs de
préfixes). La source de cette information est dérivée des éléments suivants:
Dans la figure, R1 et R2 utilisent le protocole de routage dynamique OSPF pour partager les
informations de routage. En outre, R2 est configuré avec une route statique par défaut vers le
fournisseur de services Internet.
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0
.5.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/
0G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.
0/24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1
Internet
Cliquez sur chaque bouton pour afficher la table de routage complète de chaque routeur après la
configuration des réseaux directement connectés, du routage statique et du routage dynamique.
Le reste de cette rubrique montrera comment ces tableaux sont remplis.
Table de routage R1
Table de routage R2
level-2
route
a - application route
+ - replicated route, % - next hop override, p - overrides from
PfR
R1#
Dans les tables de routage de R1 et R2, notez que les sources de chaque route sont identifiées
par un code. Ce code définit comment la route a été appris. Voici quelques exemples de codes
courants:
L - Identifie l'adresse attribuée à l'interface d'un routeur. Ceci permet au routeur de déterminer
efficacement s'il reçoit un paquet destiné à l'interface et pas à être transféré.
C - Identifie un réseau connecté directement.
S - Identifie une route statique créée pour atteindre un réseau donné.
O - Identifie un réseau découvert de manière dynamique depuis un autre routeur à l'aide du
protocole de routage OSPF.
* - Cette route peut convenir comme route par défaut.
14.4.2
Table de routage Principe Exemple Chaque routeur prend sa décision seul, basé sur les informations
qu'il a dans sa propre table de routage. R1 ne peut transférer les paquets en utilisant sa propre table
de routage. R1 ne sait pas quelles routes sont dans la table de routage d'autres routeurs (par
exemple, R2) .Ce qu'un routeur a dans son routage ne signifie pas que d'autres routeurs ont les
mêmes informations.Juste car le routeur R1 a la route dans sa table de routage vers un réseau dans
l'internet via le routeur R2, ne signifie pas que R2 sait à propos de même réseau. Les informations de
routage sur un chemin d'accès ne fournissent pas l'information de routage. R1 reçoit un paquet avec
l'adresse IP de destination de PC1 et l'adresse IP source de PC3. Et parce que R1 sait transmettre le
paquet sur son interface G0/0/0, cela ne signifie pas nécessairement qu'il sait comment transférer
les paquets provenant de PC1 vers le réseau distant de PC3.
14.4.3
La figure montre comment lire une entrée de routage IPv4 et comment lire une entrée de routage
IPV6. L'entrée de table de routage pour IPv4 commence par la source de routage 0 puis le
réseau de destination (longueur du préfixe et du préfixe) 10.0.4.0/24 à côté de la distance
administrative de 110 et métrique de 50 à côté du tronçon suivant via 10.0.3.2 et l'horodatage de
route de 00:13:29 se terminant par une interface de sortie de série 0/1/1. Rassemblez l'entrée
est: 0 10.0.0.0/24 110/50 via 10.0.3.2 00:13:29 Série 0/1/1. L'entrée ipv6 commence de la même
manière avec la source de routage 0 puis le réseau de destination de 2001:DB8:ACAD:4::/64 la
distance administrative de 110 et métrique de 50 à côté du tronçon suivant via FE80::2:C il n'y a
pas d'horodatage Route et se termine par l'interface de sortie de série 0/1/1
O10.0.4.0/24O2001:DB8:ACAD:4::/64via FE80::2:C,[110/50]via
10.0.3.2,Serial0/1/1Serial0/1/100:13:29,[110/50]1234567123457
Table de routage IPv4Table de routage IPv6
14.4.4
Un réseau directement connecté est désigné par un code d'état C dans la table de routage. La
route contient un préfixe réseau et une longueur de préfixe.
La table de routage contient également une route locale pour chacun de ses réseaux directement
connectés, indiquée par le code d'état de L. Il s'agit de l'adresse IP qui est attribuée à l'interface
sur ce réseau directement connecté. Pour les routes locales IPv4, la longueur du préfixe est /32
et pour les routes locales IPv6, la longueur du préfixe est /128. Cela signifie que l'adresse IP de
destination du paquet doit correspondre à tous les bits de la route locale pour que cette route soit
une correspondance. L'objectif de la route locale est de déterminer efficacement le moment où
elle reçoit un paquet pour l'interface au lieu d'un paquet qui doit être transmis.
Les réseaux directement connectés et les routes locales sont affichés dans la sortie suivante.
(Output omitted)
R1#
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
R1#
14.4.5
Routes statiques
Une fois les interfaces connectées directement configurées et ajoutées à la table de routage, le
routage statique ou dynamique peut être mis en œuvre pour accéder aux réseaux à distance.
Les routes statiques sont configurées manuellement. Elles définissent un chemin explicite entre
deux périphériques réseau. Contrairement à un protocole de routage dynamique, les routes
statiques ne sont pas automatiquement mises à jour: elles doivent être manuellement
reconfigurées si la topologie du réseau est modifiée. L'utilisation de routes statiques permet
notamment d'améliorer la sécurité et l'efficacité des ressources. Les routes statiques utilisent
moins de bande passante que les protocoles de routage dynamique. De plus, aucun cycle de
processeur n'est utilisé pour calculer et communiquer des routes. Le principal inconvénient des
routes statiques est l'absence de reconfiguration automatique en cas de modification de la
topologie du réseau.
Il facilite la maintenance des tables de routage dans les réseaux de petite taille qui ne sont pas
amenés à se développer de manière significative.
Il utilise une route par défaut unique pour représenter un chemin vers tout réseau ne présentant
aucune correspondance plus spécifique avec une autre route figurant dans la table de routage.
Les routes par défaut sont utilisées pour envoyer du trafic vers toute destination au-delà du
routeur ascendant.
Il assure le routage entre les réseaux d'extrémité. Un réseau d'extrémité est un réseau accessible
par une seule route, et le routeur a un seul voisin.
La figure montre un exemple de réseaux d'extrémité. Remarquez qu'un réseau relié à R1 n'aurait
qu'un seul moyen d'atteindre d'autres destinations, qu'il s'agisse de réseaux reliés à R2 ou de
destinations au-delà de R2. Cela signifie que les réseaux 10.0.1.0/24 et 10.0.2.0/24 sont des
réseaux d'extrémité et R1 est un routeur d'extrémité.
La figure montre deux réseaux d'extrémité constitués d'un PC1 sur le réseau 10.0.1.0/24 et
2001:db8:acad:1::/64 connecté au commutateur S1 qui a un gigabit G0/0/0 connecté au routeur
R1. PC2 est sur le réseau 10.0.2.4 et 2001:db8:acad:2::/64 connecté au commutateur S2 qui est
connecté à l'interface gigabit G0/0/1 sur R1. Routeur R1 est appelé un routeur d'extrémité. R1 est
connecté au routeur R2 par une connexion série R1 S0/1/1 à S0/1/0 sur R2 avec une adresse
réseau 10.0.3.0/24. R2 se connecte à d'autres réseaux. Les PC sont doubles piles avec les
adresses .10 et ::10. Les interfaces R1 sont .1 et ::1. R2 a l'adresse de connexion série .2 et ::2
.10::1010.0.2.0/242001:db8:acad:2::/64.1::1::2.2S0/1/1S0/1/010.0.3.0/24.10::1010.0.1.0/242001:
db8:acad:1::/64G0/0/0G0/0/1.1::1.1::1PC1PC2S1S2R1R2
Internet/Autres réseauxRéseau d'extrémitéRéseau d'extrémitéRouteur d'extrémité
Dans cet exemple, une route statique peut être configuré sur R2 pour atteindre les réseaux R1.
De plus, étant donné que R1 n'a qu'un seul chemin pour envoyer le trafic non local, une route
statique par défaut peut être configurée sur R1 pour spécifier R2 comme tronçon suivant pour
tous les autres réseaux.
14.4.6
Le diagramme illustre les commandes de configuration de R1 pour définir les routes statiques
pour IPv4 et IPv6 pour atteindre PC3 à partir de la topologie décrite à la figure 14.3.1. La
commande IPv4 est écrite en tant que R1 (config)#ip route 10.0.4.0 255.255.255.0 10.0.3.2.
L'adresse réseau IPv4 distant est 10.0.4.0 255.255.255.0. L'adresse IPv4 du routeur de tronçon
suivant est 10.0.3.2. La commande IPv6 est écrite en tant que R1 (config)# ipv6 route
2001.db8.acad.4::/64 2001.db8.acad3::2. L'adresse réseau IPv6 distant est 2001.db8.acad.4::/64
et l'IPv6 du routeur de tronçon suivant est 2001.db8.acad3::2.
La sortie affiche les entrées de routage statique IPv4 et IPv6 sur R1 qui peuvent atteindre les
réseaux 10.0.4.0/24 et 2001:db8:acad:4::/64 sur R2. Notez que les deux entrées de routage
utilisent le code d'état S indiquant que la route a été apprise par une route statique. Les deux
entrées incluent également l'adresse IP du routeur de tronçon suivant, via ip-address. Le
paramètre static à la fin de la commande affiche uniquement les routes statiques.
R1# show ip route static
(output omitted)
(output omitted)
S 2001:DB8:ACAD:4::/64 [1/0]
via 2001:DB8:ACAD:3::2
14.4.7
La détection de réseaux est la capacité d’un protocole de routage à partager des informations
concernant les réseaux qu’il connaît avec d’autres routeurs utilisant le même protocole de
routage. Au lieu de configurer manuellement des routes statiques vers des réseaux distants sur
chaque routeur, un protocole de routage dynamique permet aux routeurs de recevoir
automatiquement, par le biais d'autres routeurs, les informations nécessaires concernant ces
réseaux. Ces réseaux, ainsi que le meilleur chemin vers chacun d'eux, sont ajoutés à la table de
routage du routeur et identifiés comme des réseaux détectés par un protocole de routage
dynamique spécifique.
La figure montre les routeurs R1 et R2 utilisant un protocole de routage courant pour partager
des informations réseau.
PC1PC2PC3PC4S1S2S4R1R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0
.5.0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/
0G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.
0/24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1
Je vais partager avec R2 tous les réseaux que je connais et informe R2 quand il y a des changements.Je vais partager
avec R1 tous les réseaux que je connais et informe R1 quand il y a des changements.Internet
14.4.8
Remarque: Les protocoles de routage IPv6 utilisent l'adresse link-local du routeur de saut
suivant.
Remarque: La configuration de routage OSPF pour IPv4 et IPv6 n'est abordé dans ce cours.
(Output omitted)
O 2001:DB8:ACAD:4::/64 [110/50]
O 2001:DB8:ACAD:5::/64 [110/50]
une route par défaut peut être une route statique ou apprise automatiquement à partir d'un
protocole de routage dynamique. Une route par défaut a une entrée de route IPv4 0.0.0/0 ou une
entrée de route IPv6 de ::/0. Cela signifie que zéro ou aucun bit doit correspondre entre l'adresse
IP de destination et la route par défaut.
La plupart des routeurs d'entreprise ont une route par défaut dans leur table de routage. Ceci
permet de réduire le nombre de routes dans une table de routage.
Un routeur, tel qu'un routeur domestique ou de petite entreprise qui n'a qu'un seul réseau local,
peut atteindre tous ses réseaux distants via une route par défaut. Ceci est utile lorsque le routeur
n'a que des réseaux directement connectés et qu'un point de sortie vers un routeur de
fournisseur de services.
Dans la figure, les routeurs R1 et R2 utilisent OSPF pour partager des informations de routage
sur leurs propres réseaux (réseaux 10.0.x.x/24 et 2001:db8:acad:x::/64). R2 a une route statique
par défaut vers le routeur FAI. R2 transmettra tous les paquets avec une adresse IP de
destination qui ne correspond pas spécifiquement à l'un des réseaux de sa table de routage au
routeur FAI. Cela inclurait tous les paquets destinés à Internet.
PC1PC2PC3PC4S1S2S4R2.10.10.10.10::10::10::10::1010.0.1.0/2410.0.2.0/2410.0.4.0/2410.0.5.
0/242001:db8:acad:1::/642001:db8:acad:2::/642001:db8:acad:4::/642001:db8:acad:5::/64G0/0/0
G0/0/1209.165.200.224/302001:db8:feed:224::/64.1::1.1::1.225::1.1::1S0/1/1S0/1/1S3::210.0.3.0/
24S0/1/0.2G0/0/0G0/0/1.1::1.1::1ISP2001:db8:acad:3::/64.226::2S0/1/1R112
Internet
R2 a partagé sa route par défaut avec R1 à l'aide d'OSPF. R1 aura désormais une route par
défaut dans sa table de routage qu'il l'a appris dynamiquement d'OSPF. R1 transmettra
également à R2 tous les paquets dont l'adresse IP de destination ne correspond pas
spécifiquement à l'un des réseaux de sa table de routage.
Les exemples suivants montrent les entrées de table de routage IPv4 et IPv6 pour les routes
statiques par défaut configurées sur R2.
(Output omitted)
R2#
(Output omitted)
S ::/0 [1/0]
via 2001:DB8:FEED:224::2
R2#
14.4.10
(Output omitted)
Router#
Bien que les détails de la structure dépassent le cadre de ce module, il est utile de reconnaître la
structure du tableau. Une entrée en retrait est appelée route enfant. Une entrée de route est
indentée si elle est le sous-réseau d'une adresse par classe (réseau de classe A, B ou C). Les
réseaux directement connectés seront toujours indentés (Routes enfant) car l'adresse locale de
l'interface est toujours entrée dans la table de routage sous la forme /32. La route enfant inclura
la source de route et toutes les informations de transfert telles que l'adresse de tronçon suivant.
L'adresse réseau par classe de ce sous-réseau sera affichée au-dessus de l'entrée de route,
moins indentée et sans code source. Il s'agit de la route parent.
Remarque: Ce n'est qu'une brève présentation à la structure d'une table de routage IPv4 et ne
couvre pas les détails ou les spécificités de cette architecture.
L'exemple suivant montre la table de routage IPv4 de R1 dans la topologie. Notez que tous les
réseaux de la topologie sont des sous-réseaux, qui sont des routes enfants, du réseau de classe
A et de la route parent 10.0.0.0/8.
R1#
14.4.11
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
O 2001:DB8:ACAD:4::/64 [110/50]
O 2001:DB8:ACAD:5::/64 [110/50]
L FF00::/8 [0/0]
R1#
14.4.12
Distance administrative
Une entrée de route pour une adresse réseau spécifique (préfixe et longueur du préfixe) ne peut
apparaître qu'une seule fois dans la table de routage. Toutefois, il est possible que la table de
routage apprenne sur la même adresse réseau à partir de plusieurs sources de routage.
Sauf dans des circonstances très spécifiques, un seul protocole de routage dynamique doit être
implémenté sur un routeur. Toutefois, il est possible de configurer à la fois l'OSPF et l'EIGRP sur
un routeur, et les deux protocoles de routage peuvent apprendre le même réseau de destination.
Chaque protocole de routage peut décider d'un chemin différent pour atteindre la destination en
fonction de la métrique de ce protocole de routage.
Le logiciel CISCO IOS utilise ce que l'on appelle la distance administrative (AD) pour déterminer
la route à installer dans la table de routage IP. L'AD indique la «fiabilité» de la route. Plus la
valeur de l'AD est faible, plus la source est fiable. Étant donné que l'EIGRP a une AD de 90 et
que l'OSPF a une AD de 110, l'entrée de route de l'EIGRP serait installée dans la table de
routage.
Un exemple plus courant est un routeur qui apprend la même adresse réseau à partir d'une route
statique et d'un protocole de routage dynamique, tel que OSPF. Une route statique a une AD de
1, alors qu'une route découverte par l'OSPF a une AD de 110. Étant donné que deux routes
distinctes mènent à la même destination, le routeur choisit d'installer la route avec l'AD la plus
basse. Si le routeur doit choisir entre une route statique et une route OSPF, la route statique est
prioritaire.
Remarque: Les réseaux directement connectés ont la plus faible AD de 0. Un réseau unique
directement connecté peut avoir une AD de 0.
Distance
Origine de la route
administrative
Directement connecté 0
Route statique 1
BGP externe 20
EIGRP interne 90
OSPF 110
IS-IS 115
RIP 120
14.4.13
Le fait qu'un routeur dispose de certaines informations dans sa table de routage ne signifie pas
que les autres routeurs disposent des mêmes informations.
Les informations de routage sur un chemin d'un réseau à l'autre fournissent également des
informations de routage sur le chemin inverse, ou le chemin de retour.
2. Quelle entrée de route serait utilisée pour un paquet avec une adresse IP de destination qui
correspond à une adresse IP de l'une des interfaces du routeur?
L se réfère à Local
S se réfère à statique
Réseau d'extrémité
Réseau local
4. Quelles sont les deux sources de routage qui ont la possibilité de découvrir automatiquement un
nouveau meilleur chemin en cas de modification de la topologie? (Choisissez deux réponses.)
Route statique
OSPF
EIGRP
Vrai
Faux
6. Un administrateur réseau configure une route statique pour le même réseau de destination qui a
été appris automatiquement par le routeur à l'aide d'OSPF. Quelle route sera installée et
pourquoi?
14.3
Static Routes
Les routes statiques sont couramment utilisés dans les scénarios suivants:
En tant que paquet de transfert de route par défaut vers un fournisseur de services
Pour les routes en dehors du domaine de routage et non apprises par le protocole de routage
dynamique
Lorsque l'administrateur réseau souhaite définir explicitement le chemin d'accès pour un réseau
spécifique
Pour le routage entre les réseaux d’extrémité
Les routes statiques sont utiles pour les plus petits réseaux avec un seul chemin vers un réseau
externe. Ils offrent également une sécurité sur les réseaux de plus grande envergure pour
certains types de trafic ou des liens vers d'autres réseaux nécessitant plus de contrôle.
Les protocoles de routage dynamique sont couramment utilisés dans les scénarios suivants:
14.5.2
À mesure que les réseaux évoluaient et devenaient plus complexes, de nouveaux protocoles
de routage ont émergé. Le protocole RIP a été mis à jour vers RIPv2 pour s'adapter à la
croissance dans l'environnement réseau. Cependant, RIPv2 n'est pas encore suffisamment
évolué pour les mises en œuvre actuelles de réseaux plus vastes. Deux protocoles de routage
avancés ont été développés pour répondre aux besoins des réseaux plus importants: OSPF
(Open Shortest Path First) et IS-IS (Intermediate System-to-Intermediate System). Cisco a
développé le protocole IGRP (Interior Gateway Routing Protocol), qui a ensuite été remplacé
par l'EIGRP (Enhanced IGRP), qui s'adapte également bien aux grandes implémentations de
réseaux.
La figure montre la durée de l'introduction des différents protocoles. A partir de 1982 EGP,
1985 IGRP, 1988 RIPV1, 1990 IS-IS, 1991 OSPFv2, 1992 EIGRP, 1994 RIPV2, 1995 BGP,
1997 RIPNG, 1998 BGP-MP, 1999 OSPFv3, 2000 ISv6.
IS-ISv62008EGPIGRP19821985RIPv11988IS-
ISOSPFv2EIGRP1990s199019911992BGPRIPv219941995RIPngBGP-MP19971998OSPFv319992000s
De nouvelles versions des protocoles de routage IP ont été développées pour prendre en
charge les communications reposant sur IPv6, comme indiqué à la ligne IPv6 de la table.
Le tableau classifie les protocoles de routage actuels. Les protocoles IGP (Interior Gateway
Protocoles) sont des protocoles de routage utilisés pour échanger des informations de routage
au sein d'un domaine de routage administré par une seule organisation. Il n'y a qu'un seul EGP
et c'est BGP. BGP est utilisé pour échanger des informations de routage entre différentes
organisations, connues sous le nom de systèmes autonomes (AS). BGP est utilisé par les FAI
pour acheminer les paquets sur Internet. Les protocoles de routage vectoriel de distance, d'état
de liaison et de vecteurs de chemin font référence au type d'algorithme de routage utilisé pour
déterminer le meilleur chemin.
14.5.3
Les principaux composants des protocoles de routage dynamique incluent les éléments
suivants:
Structures de données - Les protocoles de routage utilisent généralement des tables ou des bases de
données pour fonctionner. Ces informations sont conservées dans la mémoire vive.
Messages de protocoles de routage - Les protocoles de routage utilisent différents types de
messages pour découvrir les routeurs voisins, échanger des informations de routage et effectuer
d'autres tâches afin d'obtenir et de gérer des informations précises relatives au réseau.
Algorithme - Un algorithme est une liste précise d'étapes permettant d'accomplir une tâche. Les
protocoles de routage utilisent des algorithmes pour faciliter l’échange d’informations de routage et
déterminer le meilleur chemin d’accès.
Ils permettent aux routeurs de partager de manière dynamique des informations sur les
réseaux distants et de fournir automatiquement ces informations à leurs propres tables de
routage. Cliquez sur Lecture pour voir une animation de ce processus.
La figure est une animation avec trois routeurs R1, R2 et R3 connectés dans un modèle
triangulaire. L'animation montre que lorsqu'une mise à jour se produit sur un routeur, elle est
poussée vers les autres.
Les protocoles de routage déterminent le meilleur chemin, ou la meilleure route, vers chaque
réseau. Cette route est alors fournie à la table de routage. La route sera installée dans la table
de routage s'il n'y a pas d'autre source de routage avec un AD inférieur. L'un des principaux
avantages des protocoles de routage dynamique est l'échange d'informations de routage entre
les routeurs lors de la modification de la topologie. Cet échange permet aux routeurs de
découvrir automatiquement de nouveaux réseaux et de trouver d’autres chemins en cas de
défaillance d’un lien vers un réseau actif.
14.5.4
Meilleur chemin
Avant qu'un chemin d'accès à un réseau distant soit proposé à la table de routage, le protocole
de routage dynamique doit déterminer le meilleur chemin d'accès à ce réseau. La
détermination du meilleur chemin peut impliquer d'évaluer plusieurs chemins menant au
même réseau de destination et de choisir le chemin optimal ou le plus court pour atteindre ce
réseau. Lorsqu'il existe plusieurs chemins menant au même réseau, chaque chemin utilise une
interface de sortie différente sur le routeur pour atteindre ce réseau.
Le meilleur chemin est sélectionné par un protocole de routage, qui utilise une valeur ou une
métrique pour déterminer la distance à parcourir pour atteindre un réseau. Une métrique est
une valeur quantitative utilisée pour mesurer la distance pour un réseau donné. Le meilleur
chemin pour rejoindre un réseau est celui dont la métrique est la plus faible.
Les protocoles de routage dynamique utilisent généralement leurs propres règles et métriques
pour constituer et mettre à jour leur table de routage. L’algorithme de routage génère une
valeur ou métrique, pour chaque chemin traversant le réseau. Les métriques peuvent se baser
sur une ou plusieurs caractéristiques d’un chemin. Pour choisir la route, certains protocoles de
routage peuvent utiliser plusieurs métriques et les combiner en une seule.
Métrique de Protocole de Routage Protocole d'information sur le routage (RIP) La métrique est
"Nombre de Tronçon" Chaque routeur le long d'un chemin ajoute un tronçon au nombre de
tronçon. Un maximum de 15 tronçon autorisés.OSPF (Open Shortest Path First) La métrique est
« coût » qui est basé sur la bande passante cumulée de la source à la destination.Les
liens les plus rapide sont attribués des coûts inférieurs par rapport au liens plus lent (coût plus
élevé) EIGRP (Enhanced Interior Gateway Routing Protocol) Il calcule une métrique basée sur les
valeurs de bande passante et de retard les plus lentes. Il peut également inclure la charge et la
fiabilité dans le calcul de la métrique.
La métrique
est «nombre
de tronçon».
Chaque
routeur le
long d'un
chemin
ajoute un
Protocole RIP (Routing Information Protocol) saut au
nombre de
sauts.
Un
maximum
de 15
tronçons
autorisés.
La métrique
est «coût»
qui est basé
Protocole OSPF (Open Shortest Path First) sur la bande
passante
cumulée de
la source à
Métrique de Protocole de Routage Protocole d'information sur le routage (RIP) La métrique est
"Nombre de Tronçon" Chaque routeur le long d'un chemin ajoute un tronçon au nombre de
tronçon. Un maximum de 15 tronçon autorisés.OSPF (Open Shortest Path First) La métrique est
« coût » qui est basé sur la bande passante cumulée de la source à la destination.Les
liens les plus rapide sont attribués des coûts inférieurs par rapport au liens plus lent (coût plus
élevé) EIGRP (Enhanced Interior Gateway Routing Protocol) Il calcule une métrique basée sur les
valeurs de bande passante et de retard les plus lentes. Il peut également inclure la charge et la
fiabilité dans le calcul de la métrique.
la
destination
Les liens
plus rapides
se voient
attribuer
des coûts
inférieurs
par rapport
au liens plus
lent (plus
élevé coût).
Il calcule
une mesure
basée sur la
bande
passante la
plus lente et
le délai k.
Il pourrait
Protocole EIGRP (Enhanced Interior Gateway Routing Protocol)
également
inclure la
charge et la
fiabilité dans
le système
de calcul de
la métrique.
L'animation de la figure souligne comment le chemin peut être différent selon la métrique
utilisée. Si le meilleur chemin défaille, le protocole de routage dynamique sélectionne
automatiquement un nouveau chemin le plus approprié s'il existe un.
La figure est une animation avec un PC étiqueté PC1 connecté à un routeur R1. R1 est
connecté à R2 avec une connexion 1Gbps et R2 se connecte à R3 avec une connexion 1Gbps.
R3 est connecté à R1 avec une connexion 100Mbps. Les routeurs sont représentés comme un
triangle droit. Un autre PC étiqueté PC2 est connecté à R3. L'animation montre les décisions
de routage basées sur le nombre de tronçon ou la bande passante.
14.5.5
Équilibrage de charge
Que se passe-t-il si une table de routage contient plusieurs chemins avec des métriques
identiques vers le même réseau de destination?
Lorsqu'un routeur contient deux chemins ou plus vers une destination avec des métriques à
coût égal, le routeur transmet les paquets en utilisant de manière égale les deux chemins. C'est
ce que l'on appelle l'équilibrage de charge à coût égal. La table de routage contient le réseau
de destination unique, mais plusieurs interfaces de sortie, une pour chaque chemin de coût
égal. Le routeur transfère les paquets en utilisant les différentes interfaces de sortie
répertoriées dans la table de routage.
S’il est correctement configuré, l’équilibrage de charge peut améliorer l’efficacité et les
performances du réseau.
L'équilibrage de charge à coût égal est implémenté automatiquement par des protocoles de
routage dynamique. Il est activé avec des routes statiques lorsqu'il existe plusieurs routes
statiques vers le même réseau de destination à l'aide de différents routeurs de tronçon suivant.
Remarque: Seul le protocole EIGRP prend en charge l'équilibrage de charge à coût inégal.
La figure est une animation avec quatre routeurs R1, R2, R3 et R4 interconnectés les uns aux
autres avec des connexions 52Mbps. Un PC étiqueté PC1 est connecté à R1 et un second PC
étiqueté PC2 est connecté à R3. Lorsque l'animation exécute des paquets à partir de PC1
prend différents chemins à travers les routeurs vers PC2 qui illustrent l'équilibrage de charge à
coût égal puisque tous les routeurs ont des vitesses de connexion égales.
14.5.6
Routes statiques
Protocole de routage dynamique
Routes statiques
Nombre de tronçon
Coût
14.4
Table de routage IP
14.6
Transmission de paquets
Une fois qu'un routeur détermine le chemin correct, il peut transférer le paquet sur un réseau
directement connecté, il peut transférer le paquet à un routeur de tronçon suivant, ou il peut
déposer le paquet. La responsabilité principale de la fonction de transfert de paquets est
d'encapsuler les paquets au type de trame de liaison de données approprié pour l'interface de
sortie. Les routeurs prennent en charge trois mécanismes de transmission de paquets:
commutation de processus, commutation rapide et CEF. Les étapes suivantes décrivent le
processus de transmission de paquets :
1. La trame de liaison de données avec un paquet IP encapsulé arrive sur l'interface d'entrée.
2. Le routeur examine l'adresse IP de destination dans l'en-tête du paquet et consulte sa table de
routage IP.
3. Le routeur trouve le préfixe correspondant le plus long dans la table de routage.
4. Le routeur encapsule le paquet dans une trame de liaison de données et le transmet à l'extérieur de
l'interface de sortie. La destination peut être un périphérique connecté au réseau ou un routeur de
tronçon suivant.
5. Toutefois, s'il n'y a pas d'entrée de route correspondante, le paquet est supprimé.
Table de routage IP
Une table de routage contient une liste de routes des réseaux connus (préfixes et longueurs de
préfixes). La source de ces informations provient de réseaux directement connectés, de routes
statiques et de protocoles de routage dynamique. Les codes courants de la table de routage
comprennent:
L - Identifie l'adresse attribuée à l'interface d'un routeur. Ceci permet au routeur de déterminer
efficacement s'il reçoit un paquet destiné à l'interface et non à être transféré.
C - Identifie un réseau connecté directement.
S - Identifie une route statique créée pour atteindre un réseau donné.
O - Identifie un réseau découvert de manière dynamique depuis un autre routeur à l'aide du
protocole de routage OSPF.
* - Cette route peut convenir comme route par défaut.
Chaque routeur prend sa décision seul, en fonction des informations qu'il possède dans sa
propre table de routage. Les informations contenues dans une table de routage d'un routeur ne
correspondent pas nécessairement à la table de routage d'un autre routeur. Les informations de
routage relatives à un chemin d'accès ne fournissent pas d'informations de routage de retour.
Les entrées de table de routage incluent la source de la route, le réseau de destination, AD, la
métrique, le tronçon suivant, l'horodatage de la route et l'interface de sortie. Pour en savoir
plus sur les réseaux distants, un routeur doit avoir au moins une interface active configurée
avec une adresse IP et un masque de sous-réseau (longueur du préfixe), appelé réseau
directement connecté. Les routes statiques sont configurées manuellement et définissent un
chemin explicite entre deux appareils réseau. Les protocoles de routage dynamique peuvent
détecter un réseau, gérer les tables de routage, sélectionner un meilleur chemin et découvrir
automatiquement un nouveau meilleur chemin si la topologie change. Une route par défaut
spécifie un routeur de tronçon suivant à utiliser lorsque la table de routage ne contient pas de
route spécifique correspondant à l'adresse IP de destination. une route par défaut peut être une
route statique ou apprise automatiquement à partir d'un protocole de routage dynamique. Une
route par défaut a une entrée de route IPv4 0.0.0/0 ou une entrée de route IPv6 de ::/0. Les
tables de routage IPv4 ont toujours une structure basée sur l'adressage par classe représenté
par des niveaux d'indentation. Les tables de routage IPv6 n'utilisent pas la structure de table
de routage IPv4. Le logiciel CISCO IOS utilise ce que l'on appelle la distance administrative
(AD) pour déterminer la route à installer dans la table de routage IP. L'AD indique la
«fiabilité» de la route. Plus la valeur de l'AD est faible, plus la source est fiable.
En tant que paquet de transfert de route par défaut vers un fournisseur de services.
Pour les routes en dehors du domaine de routage et non apprises par le protocole de routage
dynamique
Lorsque l'administrateur réseau souhaite définir explicitement le chemin d'accès pour un réseau
spécifique
Pour le routage entre les réseaux d’extrémité
Les protocoles de routage actuels incluent les IGP et les EGP. Les IGP échangent des
informations de routage au sein d'un domaine de routage administré par une seule
organisation. Le seul EGP est BGP. BGP échange des informations de routage entre
différentes organisations. BGP est utilisé par les FAI pour acheminer les paquets sur Internet.
Les protocoles de routage vectoriel de distance, d'état de liaison et de vecteurs de chemin font
référence au type d'algorithme de routage utilisé pour déterminer le meilleur chemin. Les
principaux composants des protocoles de routage dynamique sont les structures de données,
les messages de protocole de routage et les algorithmes. Le meilleur chemin est sélectionné
par un protocole de routage, qui utilise une valeur ou une métrique pour déterminer la
distance à parcourir pour atteindre un réseau. Une métrique est une valeur quantitative utilisée
pour mesurer la distance pour un réseau donné. Le meilleur chemin pour rejoindre un réseau
est celui dont la métrique est la plus faible. Lorsqu'un routeur contient deux chemins ou plus
vers une destination avec des métriques à coût égal, le routeur transmet les paquets en
utilisant de manière égale les deux chemins. C'est ce que l'on appelle l'équilibrage de charge à
coût égal.
14.6.2
Interface de sortie
Tronçon suivant
source de la route
2. Quels sont les trois avantages du routage statique? (Choisissez trois réponses.)
L’intervention n'est pas requise pour assurer la mise à jour des informations relatives aux
routes.
Les routes statiques ne sont pas annoncées sur le réseau, pour une meilleure sécurité.
Le chemin qu'une route statique utilise pour envoyer des données est connu.
3. Quelles sont les deux fonctions des protocoles de routage dynamique? (Choisissez deux
réponses.)
pour choisir le chemin spécifié par l'administrateur
Interface de sortie
métrique
protocole de routage
distance administrative
6. Quelle méthode de transfert de paquet un routeur utilise-t-il dans la prise de décisions de
commutation lorsqu'il utilise une base d'informations de transfert et une table de contiguïté?
Commutation rapide
processus de flux
commutation de processus
par défaut
synthèse
connecté directement
statique
8. Quelles sont les fonctions d'un routeur? (Choisissez deux réponses.)
S
11. La sortie de la commande show ip route contient l'entrée suivante:
S 10.2.0.0 [1/0] via 172.16.2.2.
distance administrative
nombre de tronçon.
Métrique
une route statique convertie à partir d'une route enregistrée par protocole de routage
dynamique
::/0
::1/128
FF02::1/8
0.0.0.0/0
ContrôlerDémonstrationRéinitialiser
14.5
Routages statique et dynamique
Introduction
15.0.1
Il existe différents types de routes statiques, et chacune est parfaite pour résoudre (ou éviter)
un type spécifique de problème de réseau. De nombreux réseaux utilisent à la fois le routage
dynamique et statique, de sorte que les administrateurs réseau doivent savoir comment
configurer, vérifier et dépanner les routes statiques. Vous suivrez ce cours parce que vous
souhaitez devenir administrateur réseau ou améliorer vos compétences d'administrateur réseau
existantes. Vous serez heureux d'avoir pris ce module, car vous utiliserez ces compétences
fréquemment! Et parce que ce module concerne la configuration de routes statiques, il y a
plusieurs activités de Contrôleur de Syntaxe, suivies d'un Packet Tracer et des Travaux
Pratiques où vous pouvez perfectionner vos compétences!
15.0.2
Légende du tableau
14.6
Routes statiques
Routes statiques
15.1.1
Les routes statiques peuvent être configurées pour IPv4 et IPv6. Les deux protocoles prennent
en charge les types de routes statiques sont:
Les routes statiques sont configurées en utilisant les commandes de configuration globale ip
route et ipv6 route .
15.1.2
15.1.3
Remarque: Les paramètres ip-address, exit-intf, ou ip-address et exit-intf doivent être configurés.
Paramètre Description
Paramètre Description
Paramètre Description
15.1.4
Le tableau présente les différents paramètres de commande ipv6 route et leurs descriptions.
Paramètre Description ipv6-prefix Identifie l'adresse IPv6 de destination du réseau distant qui doit
être ajoutée à la table de routage. prefix-length Identifie la longueur du préfixe du réseau distant.
IPv6-Addres Identifie l'adresse IPv6 du routeur de tronçon suivant .Typiquement utilisé avec les
réseaux de diffusion (Ethernet). Il pourrait créer une route récursive statique où le routeur effectue
une recherche supplémentaire pour trouver l'interface de sortie.exit-intf identifie l'interface de
sortie pour transférer des paquets.Crée une route statique connectée directement. Généralement
utilisée avec une configuration point à point.exit-intf IPv6-Address Crée une route statique
entièrement spécifiée car il spécifie l'interface de sortie et le prochain adresse IPv6 de tronçon
suivant. La commande facultative de distance qui peut être utilisée pour affecter un valeur de
distance administrative comprise entre 1 et 255. Généralement utilisée pour configurer une route
statique flottante en définissant une distance administrative supérieure qu'un route appris
dynamiquement.
Paramètre Description
Paramètre Description
15.1.5
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à l'interface
R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1. Les trois
réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur connecté au
routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1, PC2 est sur le
réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de routeur recevront une
adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des deux interfaces série (WAN)
sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris la liaison WAN. Aucune adresse
IP n'a été attribuée aux commutateurs ou aux PC. L'adressage sur le LAN sur R1 a l'adresse
IPv4 172.16.3.0/24 et l'adresse IPv6 2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse
IPv4 172.16.2.0/24 et l'adresse IPv6 2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a
l'adresse IPv4 172.16.1.0/24 et l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a
l'adresse IPv4 192.168.1.0/24 et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de
R3 a l'adresse IPv4 192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/242001:db8:acad:1::/64172.16.2.0/242001:db8:acad:2::/64192.168.1.0/242001:db8
:cafe:1::/64172.16.3.0/242001:db8:acad:3::/64192.168.2.0/242001:db8:cafe:2::/64G0/0/0S0/1/1S
0/1/0S0/1/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
15.1.6
Tables de routage initiales d'IPv4
Cliquez sur chaque bouton pour voir la table de routage IPv4 de chaque routeur et les résultats
de ping. Remarquez que chaque routeur comprend des entrées uniquement pour les réseaux
directement connectés et les adresses locales associées.
Table de routage IPv4 de R1
R1#
15.1.7
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
L FF00::/8 [0/0]
R1#
15.1.8
Interface de destination
Adresse IP destination
Adresse IP de source
2. Quelle déclaration de route statique IPv4 est vraie?
Le mot-clé distance est utilisé pour créer une route statique entièrement spécifiée.
L'utilisation de l'interface de sortie uniquement est courante dans une configuration point à point.
3. Comment le réseau de destination dans une route statique IPv6 est-il identifié?
15.0
Introduction
15.2
Configuration de rou
Configuration de routes statiques
IP
15.2.1
Dans une route statique de tronçon suivant, seule l'adresse IP de tronçon suivant est spécifiée.
L’interface de sortie est dérivée du tronçon suivant. Par exemple, trois routes statiques de
tronçon suivant d'IPv4 sont configurées sur R1 à l'aide de l'adresse IP du tronçon suivant, R2.
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à
l'interface R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1.
Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur
connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1,
PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de
routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des
deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris
la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux PC.
L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et
l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24
et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4
192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001:
db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64
Les commandes pour configurer R1 avec les routes statiques IPv4 vers les trois réseaux
distants sont les suivantes:
R1#
15.2.2
Destination
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
via 2001:DB8:ACAD:2::2
C 2001:DB8:ACAD:2::/64 [0/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
via 2001:DB8:ACAD:2::2
S 2001:DB8:CAFE:2::/64 [1/0]
via 2001:DB8:ACAD:2::2
L FF00::/8 [0/0]
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à
l'interface R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1.
Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur
connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1,
PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de
routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des
deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris
la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux PC.
L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et
l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24
et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4
192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001:
db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64
Trois routes statiques connectées directement sont configurées sur R1 au moyen de l'interface
de sortie.
R1(config)# ip route 172.16.1.0 255.255.255.0 s0/1/0
La table de routage de R1 montre que lorsqu'un paquet est destiné au réseau 192.168.2.0/24,
R1 recherche une correspondance dans la table de routage et s'aperçoit qu'il peut transmettre
le paquet en dehors de son interface Série 0/1/0.
Remarque: Il est généralement recommandé d'utiliser l'adresse de tronçon suivant. Les routes
statiques directement connectées ne doivent être utilisées qu'avec des interfaces série point à
point, comme dans cet exemple.
La table de routage IPv6 de R1 dans la sortie de l'exemple illustre que lorsqu'un paquet est
destiné au réseau 2001:DB8:ACAD:3::/64, R1 recherche une correspondance dans la table de
routage et s'aperçoit qu'il peut transmettre le paquet en dehors de son interface Série 0/1/0.
Remarque: Il est généralement recommandé d'utiliser l'adresse de tronçon suivant. Les routes
statiques directement connectées ne doivent être utilisées qu'avec des interfaces série point à
point, comme dans cet exemple.
Destination
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
a - Application
S 2001:DB8:ACAD:1::/64 [1/0]
L 2001:DB8:ACAD:2::1/128 [0/0]
C 2001:DB8:ACAD:3::/64 [0/0]
L 2001:DB8:ACAD:3::1/128 [0/0]
S 2001:DB8:CAFE:1::/64 [1/0]
S 2001:DB8:CAFE:2::/64 [1/0]
L FF00::/8 [0/0]
R1#
15.2.5
Supposons que la liaison réseau entre R1 et R2 soit une liaison Ethernet et que l'interface
GigabitEthernet 0/0/1 de R1 soit connectée à ce réseau, tel qu'illustré dans la Figure.
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble Ethernet croisé de l'interface R1s
G0/0/1 à l'interface R2s G0/0/1 et un câble série de l'interface R2s S0/1/1 à l'interface R3s
S0/1/1. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un
commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau
local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
interfaces de routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à
l'exception des deux connexions sur les interfaces R2s qui se connectent aux autres routeurs.
Ces interfaces sur R2 sont données .2 puisque .1 est pris le lien. Aucune adresse IP n'a été
attribuée aux commutateurs ou aux PC. R1 a une adresse link-local de FE80::1 sur les
interfaces et R2 a FE80::2 sur les interfaces. L'adressage sur le LAN sur R1 a l'adresse IPv4
172.16.3.0/24 et l'adresse IPv6 2001:db8:acad:3::/64. L'Ethernet entre R1 et R2 a l'adresse
IPv4 172.16.2.0/24 et l'adresse IPv6 2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a
l'adresse IPv4 172.16.1.0/24 et l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a
l'adresse IPv4 192.168.1.0/24 et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN
de R3 a l'adresse IPv4 192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1G0/0/1S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2G0/0/1.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001
:db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64fe80::2fe80::1
La différence entre un réseau Ethernet à accès multiples et un réseau série point à point repose
sur le fait qu’un réseau série point à point n’a qu’un seul autre périphérique sur ce réseau, le
routeur à l’autre extrémité de la liaison. Avec les réseaux Ethernet, de nombreux
périphériques différents peuvent partager le même réseau à accès multiple, y compris des
hôtes et même plusieurs routeurs.
Il est recommandé que lorsque l'interface de sortie est un réseau Ethernet, que la route statique
comprenne une adresse de tronçon suivant. Vous pouvez également utiliser une route statique
entièrement spécifié qui comprend à la fois l'interface de sortie et l'adresse du tronçon suivant.
172.16.2.2
172.16.2.2
172.16.2.2
Lors de la transmission de paquets à R2, l'interface de sortie est Gigabit Ethernet 0/0/1 et
l'adresse IPv4 de tronçon suivant est 172.16.2.2 comme illustré dans la sortie show ip
route de R1.
Le graphique affiche un réseau simple avec deux routeurs, R1 à gauche et R2 à droite. Les
routeurs sont connectés ensemble à l'aide d'un câble série; les deux utilisent l'interface S0/1/0.
Chaque routeur dispose d'un réseau local qui n'affiche pas d'équipement spécifique sur celui-
ci. Le LAN sur R1 a l'adresse IPv6 2001:db8:acad:3::/64 et le LAN sur R2 a l'adresse IPv6
2001:db8:acad:1::/64. Le lien série a l'adresse de 2001:db8:acad:2::/64, avec R1 utilisant::1 et
FE80::1 et R2 utilisant ::2 et FE80::2. Sous la liaison série se trouve un champ orange dans
lequel se trouve la déclaration "IPv6 Link-Local Addresses". Il y a deux flèches orange à
chaque extrémité du champ pointant vers l'adressage link-local sur l'interface série sur les
deux routeurs.
fe80::1fe80::2:1S0/1/02001:db8:acad:3::/642001:db8:acad:1::/642001:db8:acad:2::/64S0/1/0:2R1R2
Adresses link-local d'IPv6
R1(config)# ipv6 route 2001:db8:acad:1::/64 fe80::2
Dans l'exemple, une route statique entièrement spécifiée est configurée en utilisant l'adresse
link-local de R2 comme adresse du tronçon suivant. Notez que l'IOS requiert que l'interface
de sortie soit spécifiée.
Une route statique entièrement spécifiée doit être utilisée parce que les adresses link-local
IPv6 ne figurent pas dans la table de routage IPv6. Les adresses link-local sont uniquement
uniques sur une liaison ou un réseau donné. L'adresse link-local de tronçon suivant peut être
une adresse valide sur plusieurs réseaux connectés au routeur. Par conséquent, il est
nécessaire d'inclure l'interface de sortie.
L'exemple suivant indique l'entré de la table de routage IPv6 pour cette route. Notez que
l'adresse link-local du tronçon suivant et l'interface de sortie sont toutes deux incluses.
S 2001:DB8:ACAD:1::/64 [1/0]
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à
l'interface R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1.
Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur
connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1,
PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de
routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des
deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris
la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux PC.
L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et
l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24
et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4
192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001:
db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64
Cliquez sur chaque bouton par exemple sur la sortie pour les routes statiques IPv4 et IPv6.
Afficher uniquement les routes statiques IPv4
Cette sortie affiche uniquement les routes statiques IPv4 dans la table de routage. Notez
également où le filtre commence la sortie, en excluant tous les codes.
R1#
15.2.8
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble Ethernet croisé de l'interface R1s
G0/0/1 à l'interface R2s G0/0/1 et un câble série de l'interface R2s S0/1/1 à l'interface R3s
S0/1/1. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un
commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau
local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
interfaces de routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à
l'exception des deux connexions sur les interfaces R2s qui se connectent aux autres routeurs.
Ces interfaces sur R2 sont données .2 puisque .1 est pris le lien. Aucune adresse IP n'a été
attribuée aux commutateurs ou aux PC. R1 a une adresse link-local de FE80::1 sur les
interfaces et R2 a FE80::2 sur les interfaces. L'adressage sur le LAN sur R1 a l'adresse IPv4
172.16.3.0/24 et l'adresse IPv6 2001:db8:acad:3::/64. L'Ethernet entre R1 et R2 a l'adresse
IPv4 172.16.2.0/24 et l'adresse IPv6 2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a
l'adresse IPv4 172.16.1.0/24 et l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a
l'adresse IPv4 192.168.1.0/24 et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN
de R3 a l'adresse IPv4 192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1G0/0/1S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2G0/0/1.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:cafe:1::/642001
:db8:acad:2::/642001:db8:cafe:2::/642001:db8:acad:3::/64fe80::2fe80::1
Configurer une route statique IPv4 de tronçon suivant sur R2 vers le réseau 192.168.2.0/24 en
utilisant l'adresse de tronçon suivant 192.168.1.1.
R2(config)#
RéinitialiserDémonstrationAfficher tout
15.1
Routes statiques
15.3
Les routeurs utilisent couramment des routes par défaut configurées localement ou apprises
d'un autre routeur, à l'aide d'un protocole de routage dynamique. Une route par défaut ne
nécessite pas un bit le plus à gauche pour une correspondance entre la route par défaut et
l’adresse IP de destination. Une route par défaut est utilisée alors qu'aucune autre route de la
table de routage ne correspond à l'adresse IP de destination du paquet. En d'autres termes, si
une correspondance plus spécifique n'existe pas, la route par défaut est utilisée comme
passerelle de dernier recours.
Les routes statiques par défaut sont couramment utilisées lors de la connexion d'un routeur
périphérique à un réseau de fournisseur de services, ou d'un routeur d'extrémité. (un routeur
avec un seul routeur voisin en amont).
Le graphique montre deux routeurs, R1 est en bas à gauche et il y a une connexion série à R2
en haut à droite. Les deux routeurs utilisent l'interface S0/1/0. R2 est connecté à un cloud qui
indique Réseau au centre de celui-ci. R1 est connecté à un réseau local qui comporte un
commutateur, S1 et PC étiquetés PC1 connectés à S1. R1 utilise G0/0/0 pour le réseau local
qui a une adresse IPv4 172.16.3.0/24. Le lien série comporte l'adresse IPv4 172.16.2.0/24. Il y
a un champ jaune autour du réseau local. Au-dessus du champ LAN sont les mots: Réseaux
d'extrémité. dans le champ orange et il pointe avec une flèche vers le LAN. Ci-dessous le
réseau local sont les mots: Routeur d'extrémité. dans un autre champ orange et il pointe vers
R1. Sous le diagramme se trouve la déclaration : R1 n'a besoin de connaître que les réseaux
directement connectés. Pour tous les autres réseaux, il peux utiliser une route statique par
défaut qui pointe vers R2.
PC1S1R1R2G0/0/0S0/1/0172.16.2.0/24172.16.3.0/24S0/1/0
Réseau d'extrémitéRouteur d'extrémité Réseau
R1 n'a besoin de connaître à propos les réseaux directement connectés. Pour tous les autres
réseaux, il peux utiliser une route statique par défaut qui pointe vers R2.
La syntaxe de commande pour une route statique par défaut est similaire à toute autre route
statique, à l'exception que l'adresse réseau est 0.0.0.0 et que le masque de sous-réseau
est 0.0.0.0. La 0.0.0.0 0.0.0.0 de la route correspondra à n'importe quelle adresse réseau.
Remarque: Une route statique par défaut d'IPv4 est généralement appelée route quad-zéro.
La syntaxe de commande de base pour une route statique par défaut d'IPv4 est la suivante :
Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address | exit-intf}
La syntaxe des commandes pour une route statique par défaut IPv6 est similaire à celle de
toute autre route statique d'IPv6, excepté que ipv6-prefix/prefix-length est ::/0 qui correspond
à tout les routes.
La syntaxe de commande de base pour une route statique par défaut d'IPv6 est la suivante :
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à
l'interface R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1.
Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur
connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1,
PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de
routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des
deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris
la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux PC.
L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et
l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24
et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4
192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1DCES0/1/0S
0/1/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0
DCE.1.1.2.2.1.1.12001:db8:cafe:1::/642001:db8:cafe:2::/642001:db8:acad:3::/642001:db8:acad:1::/6
42001:db8:acad:2::/64
L'exemple montre une route statique par défaut IPv4 configurée sur R1. Avec la configuration
illustrée dans cet exemple, tous les paquets ne correspondant pas à des entrées de route plus
spécifiques sont transférés vers R1 à 172.16.2.2.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/0
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/0/0.1.1.2.2.1.1.12001:db8:acad:1::/642001:db8:acad:2::/642001
:db8:acad:3::/642001:db8:cafe:2::/642001:db8:cafe:1::/64
La sortie de commande show ip route static de R1 affiche le contenu de routes statiques dans
la table de routage. Notez l'astérisque de sortie (*) next to the route with code ‘S’. As
displayed in the codes table in the show ip route ,l'astérisque indique que cette route statique
est une route candidate par défaut, c'est pourquoi il est sélectionné comme passerelle de
dernier recours.
R1#
L'exemple indique la sortie de la commande show ipv6 route static pour afficher le contenu
de la table de routage.
Destination
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
S ::/0 [1/0]
via 2001:DB8:ACAD:2::2
R1#
Notez que la configuration statique des routes par défaut utilise le masque /0 pour les routes
par défaut IPv4 et le préfixe ::/0 pour les routes par défaut IPv6. Souvenez-vous que le
masque sous-réseau et IPv6 prefix-length dans une table de routage détermine le nombre de
bits devant correspondre entre l’adresse IP de destination du paquet et la route dans la table de
routage. Un masque /0 ou le préfixe ::/0 indique qu'aucun des bits ne doit correspondre. Tant
qu'il n'y a pas de correspondance plus spécifique, la route statique par défaut correspond à
tous les paquets.
15.3.4
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à
l'interface R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1.
Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il y a un commutateur
connecté au routeur et un PC connecté au commutateur. PC1 est sur le réseau local de R1,
PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les interfaces de
routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à l'exception des
deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2 puisque .1 est pris
la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux PC.
L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et
l'adresse IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24
et l'adresse IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4
192.168.2.0/24 et l'adressage IPv6 2001:db8:cafe:2::/64.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.12001:db8:acad:3::/642001:db8:acad:2::/642001
:db8:acad:1::/642001:db8:cafe:1::/642001:db8:cafe:2::/64
Configurer une route statique IPv4 par défaut sur R3 pour atteindre tous les réseaux distants.
Utiliser l'adresse IPv4 du tronçon suivant comme argument.
R3(config)#
RéinitialiserDémonstrationAfficher tout
15.2
Un autre type de route statique est une route statique flottante. Les routes statiques flottantes
sont des routes statiques utilisées pour fournir un chemin de secours à une route statique ou une
route dynamique principale, en cas de défaillance de la liaison. La route statique flottante est
utilisée uniquement lorsque la route principale n'est pas disponible.
Pour cela, la route statique flottante est configurée avec une distance administrative plus élevée
que la route principale. La distance administrative indique la fiabilité d’une route. Si plusieurs
chemins vers la destination existent, le routeur choisira le chemin présentant la plus courte
distance administrative.
Par exemple, supposons qu'un administrateur souhaite créer une route statique flottante de
secours pour une route apprise par le protocole EIGRP. La route statique flottante doit être
configurée avec une distance administrative plus élevée que le protocole EIGRP. L’EIGRP
possède une distance administrative de 90. Si la route statique flottante est configurée avec une
distance administrative de 95, la route dynamique associée au protocole EIGRP est préférée à la
route statique flottante. Si la route associée au protocole EIGRP est perdue, la route statique
flottante est utilisée à la place.
Dans la figure, le routeur Filiale transfère généralement l'ensemble du trafic vers le routeur HQ
via la liaison WAN privée. Dans cet exemple, les routeurs échangent des informations de routage
au moyen du protocole EIGRP. Une route statique flottante, avec une distance administrative
supérieure ou égale à 91, peut être configurée pour servir de route de secours. Si la liaison WAN
privée échoue et que la route EIGRP disparaît de la table de routage, le routeur sélectionne la
route statique flottante comme meilleur chemin pour accéder au réseau local HQ.
Le graphique montre deux routeurs qui ont deux connexions série chacune à deux clouds
différents qui permettent la communication entre les routeurs. Sur la gauche, le premier routeur
est appelé Filiale et le second routeur est appelé HQ et est sur la droite. Les deux routeurs
utilisent S0/1/0 pour se connecter au cloud en haut de la topologie. Ce cloud a les mots WAN
privé au centre de celui-ci avec l'adresse 172.16.1.0/30. Les deux routeurs utilisent S0/1/1 pour
se connecter au cloud inférieur. Ce cloud a un routeur appelé FAI. Le cloud contient le mot
Internet. La connexion du routeur de la Filialee au FAI est 209.165.200.240/29 avec .242 du côté
du Filialee et .241 du côté du FAI. La connexion du routeur du HQ au FAI est le
209.165.200.224/29 avec .226 du côté du HQ et .225 du côté du FAI. Il y a une ligne courbe
violette qui s'étend du routeur du Filialee au-dessus du cloud WAN privé et qui pointe vers le
routeur du HQ. Il y a le numéro 1 dans un cercle sur le côté Filiale. Dans une boîte violette par le
routeur Filiale indique : Je préfère me connecter au routeur HQ en utilisant la liaison WAN privée.
En bas se trouve une autre ligne courbe qui est grise et va du routeur Filiale sous le cloud
Internet et pointe au routeur HQ. Il y a le numéro 2 dans un cercle sur le côté Filiale. Dans une
boîte grise près du routeur Filiale indique : Cependant, si jamais cette liaison défaille, je peux
utiliser une route statique flottante se connectant à l'internet comme secours. Au bas du
diagramme de topologie se trouvent deux instructions numérotées: 1. Une route apprise par le
routage dynamique est préférable. 2. Si une route dynamique est perdue, la route statique
flottante sera utilisée.
172.16.1.0/30209.165.200.224/29209.165.200.240/29.225.241S0/1/1.242S0/1/0.2.1S0/1/1.226S
0/1/012
Je préfère me connecter au routeur HQ en utilisant la liaison WAN privée.Toutefois, dans l'éventualité où la liaison
échoue, je peux utiliser une route statique flottante pour me connecter à internet comme solution de
secours. FilialeWAN privéInternetFAIHQ
1. Il est préférable d'utiliser une route appris par le biais d'un routage dynamique.
2. Si une route dynamique est perdue, la route statique flottante sera utilisée.
Par défaut, les routes statiques ont une distance administrative égale à 1, ce qui les rend
préférables aux routes acquises à partir des protocoles de routage dynamique. Par exemple, les
distances administratives de certains protocoles de routage dynamique des passerelles
intérieures communes sont :
EIGRP = 90
OSPF = 110
IS-IS = 115
La distance administrative d'une route statique peut être augmentée pour rendre la route moins
souhaitable que celle d'une autre route statique ou d'une route apprise via un protocole de
routage dynamique. De cette manière, la route statique « flotte » et n'est pas utilisée lorsque la
route dont la distance administrative est meilleure est active. Toutefois, si la route préférée est
perdue, la route statique flottante peut relayer, et le trafic peut être envoyé par cette autre route.
15.4.2
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à l'interface
R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1. Le est
maintenant un troisième lien série entre l'interface R1s S0/1/1 avec une adresse de .1 et
l'interface R3s S0/1/0 avec une adresse de .2. Ce lien a l'adresse IPv4 10.10.0/24 et l'adresse
IPv6 2001:db8:feed:10::/64. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il
y a un commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le
réseau local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
interfaces de routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à
l'exception des deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2
puisque .1 est pris la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux
PC. L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et l'adresse
IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24 et l'adresse
IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4 192.168.2.0/24 et
l'adressage IPv6 2001:db8:cafe:2::/64.
R3.1PC2PC1PC3R2.1172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0
/0/0S0/1/1S0/1/0G0/0/0G0/0/0.2.2.1.1.1S0/1/0S0/1/110.10.10.0/24.1.2R1S0/1/0S0/1/12001:db8:
acad:1::/642001:db8:feed:10::/642001:db8:acad:2::/642001:db8:cafe:2::/642001:db8:cafe:1::/642
001:db8:acad:3::/64
R1 est configuré avec une route statique IPv4 et IPv6 par défaut pointant vers R2. Étant donné
qu'aucune distance administrative n'est configurée, la valeur par défaut (1) est utilisée pour ces
routes statiques. R1 est également configuré avec une route statique flottante IPv4 et IPv6 par
défaut pointant vers R3 avec une distance administrative de 5. Cette valeur est supérieure à la
valeur par défaut de 1, par conséquent cette route flotte et n’est pas inscrite dans la table de
routage, sauf si la route préférentielle défaille.
Le résultat de show ip route et show ipv6 route vérifie que les routes par défaut vers R2 est
installée dans la table de routage. Notez que la route statique flottante IPv4 vers R3 n'est pas
présentée dans la table de routage.
S ::/0 [1/0]
via 2001:DB8:ACAD:2::2
R1#
Utilisez la commande show run pour vérifier que les routes statiques flottantes sont dans la
configuration. Par exemple, la sortie de commande suivante vérifie que les deux routes statiques
par défaut d'IPv6 sont dans la configuration en cours.
R1#
15.4.3
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à l'interface
R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1. Le est
maintenant un troisième lien série entre l'interface R1s S0/1/1 avec une adresse de .1 et
l'interface R3s S0/1/0 avec une adresse de .2. Ce lien a l'adresse IPv4 10.10.0/24 et l'adresse
IPv6 2001:db8:feed:10::/64. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il
y a un commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le
réseau local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
interfaces de routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à
l'exception des deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2
puisque .1 est pris la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux
PC. L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et l'adresse
IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24 et l'adresse
IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4 192.168.2.0/24 et
l'adressage IPv6 2001:db8:cafe:2::/64.
R3.1PC2PC1PC3R2.1172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0
/0/0S0/1/1S0/1/0G0/0/0G0/0/0.2.2.1.1.1S0/1/1S0/1/0S0/1/110.10.10.0/24.1.2R1S0/1/02001:db8:
acad:1::/642001:db8:feed:10::/642001:db8:acad:2::/642001:db8:cafe:2::/642001:db8:cafe:1::/642
001:db8:acad:3::/64
Pour simuler cette panne, les deux interfaces série de R2 sont désactivées, comme illustré dans
la configuration.
R2(config-if)# shut
R2(config-if)# shut
Vous remarquerez que R1 génère automatiquement des messages indiquant que l'interface série
vers R2 est en panne.
R1#
state to down
R1#
*Sep 18 23:35:49.811: %LINEPROTO-5-UPDOWN: Line protocol on Interface
R1#
Un regard sur les tables de routage IP de R1 vérifie que les routes statiques par défaut flottantes
sont maintenant installées comme routes par défaut et pointent vers R3 comme routeur de
tronçon suivant.
S ::/0 [5/0]
via 2001:DB8:FEED:10::2
R1#
15.4.4
La figure affiche un réseau de trois routeurs. La topologie a R1 est en bas à gauche, R2 est au
milieu en haut et R3 est en bas à droite. Il y a un câble série de l'interface R1s S0/1/0 à l'interface
R2s S0/1/0 et un autre câble série de l'interface R2s S0/1/1 à l'interface R3s S0/1/1. Le est
maintenant un troisième lien série entre l'interface R1s S0/1/1 avec une adresse de .1 et
l'interface R3s S0/1/0 avec une adresse de .2. Ce lien a l'adresse IPv4 10.10.0/24 et l'adresse
IPv6 2001:db8:feed:10::/64. Les trois réseaux locaux utilisent l'interface G0/0/0 de leur routeur. Il
y a un commutateur connecté au routeur et un PC connecté au commutateur. PC1 est sur le
réseau local de R1, PC2 est sur le réseau local de R2 et PC3 est sur le réseau local de R3. Les
interfaces de routeur recevront une adresse .1 pour toutes les interfaces LAN et WAN, à
l'exception des deux interfaces série (WAN) sur R2. Ces interfaces sur R2 sont donnés .2
puisque .1 est pris la liaison WAN. Aucune adresse IP n'a été attribuée aux commutateurs ou aux
PC. L'adressage sur le LAN sur R1 a l'adresse IPv4 172.16.3.0/24 et l'adresse IPv6
2001:db8:acad:3::/64. Le WAN entre R1 et R2 a l'adresse IPv4 172.16.2.0/24 et l'adresse IPv6
2001:db8:acad:2::/64. L'adressage sur le LAN de R2 a l'adresse IPv4 172.16.1.0/24 et l'adresse
IPv6 2001:db8:acad:1::/64. Le WAN entre R2 et R3 a l'adresse IPv4 192.168.1.0/24 et l'adresse
IPv6 2001:db8:cafe:1::/64. L'adressage sur le LAN de R3 a l'adresse IPv4 192.168.2.0/24 et
l'adressage IPv6 2001:db8:cafe:2::/64.
R3.1PC2PC1PC3R2.1172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0
/0/0S0/1/1S0/1/0G0/0/0G0/0/0.2.2.1.1.1S0/1/1S0/1/0S0/1/110.10.10.0/24.1.2R1S0/1/02001:db8:
acad:1::/642001:db8:feed:10::/642001:db8:acad:2::/642001:db8:cafe:2::/642001:db8:cafe:1::/642
001:db8:acad:3::/64
Configurez une route statique IPv4 par défaut sur R3 avec l'adresse de tronçon suivant
192.168.1.2.
R3(config)#
RéinitialiserDémonstrationAfficher tout
15.3
Configuration de rou
Routes d’hôtes
Cette rubrique explique comment configurer une route d'hôte statique IPv4 et IPv6 et quand
les utiliser.
Une route d’hôte est une adresse IPv4 avec un masque de 32 bits ou une adresse IPv6 avec un
masque de 128 bits. On peut citer les trois façons d'ajouter une route d'hôte à la table de
routage:
Installée automatiquement si une adresse IP est configurée sur le routeur (comme illustré dans les
Figures)
Configurée comme route d'hôte statique
Route d'hôte obtenue automatiquement au moyen d'autres méthodes (abordées dans des cours
ultérieurs)
15.5.2
Lorsqu'une interface active sur un routeur est configurée avec une adresse IP, une route d'hôte
local est automatiquement ajoutée à la table de routage. Les routes locales sont désignées
par L dans la table de routage.
Le graphique montre une topologie de deux routeurs. Sur la gauche se trouve le routeur FAI
connecté par un câble série au routeur Filiale sur la droite. Le FAI a une connexion à un
périphérique appelé Serveur sur le côté gauche. Le serveur a une adresse IPv4 de
209.165.200.238/27 et une adresse IPv6 de 2001:db8:acad:2::238/64. Le lien série entre les
deux routeurs a une adresse IPv6 de 2001:db8:acad:1::/64 et une adresse IPv4 de
198.51.100.0/30. Le routeur FAI a les adresses IP de .2,::2 et fe80::2 attribuées à son
interface. Le routeur Filiale a les adresses IP .1, ::1, et fe80::1 qui lui sont attribuées.
209.165.200.238/272001:db8:acad:2::238/64S0/1/0fe80::22001:db8:acad:1:/64198.51.100.0/30.2::2
.1::1ISP
ServeurBranch
C 2001:DB8:ACAD:1::/64 [0/0]
L FF00::/8 [0/0]
Le graphique montre une topologie de deux routeurs. Sur la gauche se trouve le routeur FAI
connecté par un câble série au routeur Filiale sur la droite. Le FAI a une connexion à un
périphérique appelé Serveur sur le côté gauche. Le serveur a une adresse IPv4 de
209.165.200.238/27 et une adresse IPv6 de 2001:db8:acad:2::238/64. Le lien série entre les
deux routeurs a une adresse IPv6 de 2001:db8:acad:1::/64 et une adresse IPv4 de
198.51.100.0/30. Le routeur FAI a les adresses IP de .2,::2 et fe80::2 attribuées à son
interface. Le routeur Branch a les adresses IP .1, ::1, et fe80::1 qui lui sont attribuées.
209.165.200.238/272001:db8:acad:2::238/64.2::2S0/1/0fe80::22001:db8:acad:1::/64198.51.100.0/3
0.1::1ISP
ServeurBranch
15.5.4
Branch(config)# exit
Branch#
15.5.5
Vérifier les routes de l'hôte statique
Un examen des tables de routage IPv4 et IPv6 vérifie que les routes sont actives.
(Output omitted)
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
via 2001:DB8:ACAD:1::2
Branch#
15.5.6
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
Branch#
15.5.7
Le graphique montre une topologie de deux routeurs. Sur la gauche se trouve le routeur ISP
connecté par un câble série au routeur Filiale sur la droite. Le FAI a une connexion à un
périphérique appelé Serveur sur le côté gauche. Le serveur a une adresse IPv4 de
209.165.200.238/27 et une adresse IPv6 de 2001:db8:acad:2::238/64. Le lien série entre les
deux routeurs a une adresse IPv6 de 2001:db8:acad:1::/64 et une adresse IPv4 de
198.51.100.0/30. Le routeur FAI a les adresses IP de .2,::2 et fe80::2 attribuées à son
interface. Le routeur Filiale a les adresses IP .1, ::1, et fe80::1 qui lui sont attribuées.
209.165.200.238/272001:db8:acad:2::238/64S0/1/0fe80::22001:db8:acad:1::/64198.51.100.0/30.2::
2.1::1ISP
ServeurBranch
Affichez les tables de routage sur le routeur de la filiale.
Branch#
RéinitialiserDémonstrationAfficher tout
15.4
Les routes statiques peuvent être configurées pour IPv4 et IPv6. Les deux protocoles prennent
en charge les types de routes statiques suivants: route statique standard, route statique par
défaut, route statique flottante et route récapitulative. Les routes statiques sont configurées en
utilisant les commandes de configuration globale ip route et ipv6 route. En configurant un
route statique, le tronçon suivant peut être identifié par une adresse IP, une interface de sortie,
ou les deux. La manière dont la destination est spécifiée crée un des trois types de routes
statiques qui sont : tronçon suivant, directement connecté et entièrement spécifié. Les routes
statiques IPv4 sont configurées à l'aide de la commande de configuration globale suivante: ip
route network-address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Les
routes statiques IPv6 sont configurées à l'aide de la commande de configuration globale
suivante: ipv6 route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-
address]} [distance]. La commande pour initialiser une table de routage IPv4 est show ip
route | begin Gateway. La commande pour initialiser une table de routage IPv6 est show
ipv6 route | begin C.
Dans une route statique de tronçon suivant, seule l'adresse IP de tronçon suivant est spécifiée.
L’interface de sortie est dérivée du tronçon suivant. Lors de la configuration d'une route
statique, une autre possibilité consiste à utiliser l'interface de sortie pour spécifier l'adresse du
tronçon suivant. Les routes statiques directement connectées ne doivent être utilisées qu'avec
des interfaces série point à point. Dans une route statique entièrement spécifiée, l’interface de
sortie et l’adresse IP de tronçon suivant sont spécifiées. Cette forme de route statique est
utilisée lorsque l’interface de sortie est une interface à accès multiple et il est nécessaire
d’identifier explicitement le tronçon suivant. Le tronçon suivant doit être connecté
directement à l'interface de sortie spécifique. Dans une route statique entièrement spécifiée
d'IPv6, l’interface de sortie et l’adresse IPv6 de tronçon suivant sont les deux spécifiées. En
utilisant show ip route, show ipv6 route, ping et traceroute, les autres commandes utiles
pour vérifier les routes statiques incluent: show ip route static, show ip route network,
et show running-config | section ip route. Remplacez ip par ipv6 pour les versions IPv6 de
la commande.
Une route par défaut est une route statique qui correspond à tous les paquets. Une route par
défaut ne nécessite pas un bit le plus à gauche pour une correspondance entre la route par
défaut et l’adresse IP de destination. Les routes statiques par défaut sont couramment utilisées
lors de la connexion d'un routeur périphérique à un réseau de fournisseur de services, et d'un
routeur d'extrémité. La syntaxe de commande pour une route statique par défaut est similaire
à toute autre route statique, à l'exception que l'adresse réseau est 0.0.0.0 et que le masque de
sous-réseau est 0.0.0.0. La 0.0.0.0 0.0.0.0 de la route correspondra à n'importe quelle adresse
réseau. La syntaxe des commandes pour une route statique par défaut IPv6 est similaire à
celle de toute autre route statique d'IPv6, excepté que ipv6-prefix/prefix-length est ::/0 qui
correspond à tout les routes. Pour vérifier une route statique par défaut IPv4, utilisez la
commande show ip route static . Pour IPV6, utilisez la commande show ipv6 route static .
Les routes statiques flottantes sont de routes statiques utilisées pour fournir un chemin de
secours à une route statique ou une route dynamique principale, en cas de défaillance de la
liaison. La route statique flottante est configurée avec une distance administrative plus élevée
que la route principale. Par défaut, les routes statiques ont une distance administrative égale à
1, ce qui les rend préférables aux routes acquises à partir des protocoles de routage
dynamique. Les distances administratives de certains protocoles de routage dynamique de
passerelle intérieure communs sont EIGRP = 90, OSPF = 110 et IS-IS = 115. Les routes
statiques flottantes IP sont configurées à l'aide de l'argument distance pour spécifier une
distance administrative. Si aucune distance administrative n'est configurée, la valeur par
défaut (1) est utilisée. Le résultat de show ip route et show ipv6 route vérifie que les routes
par défaut est installée dans la table de routage.
Une route d’hôte est une adresse IPv4 avec un masque de 32 bits ou une adresse IPv6 avec un
masque de 128 bits. Il existe trois façons d'ajouter une route d'hôte à la table de routage:
installé automatiquement lorsqu'une adresse IP est configurée sur le routeur, configuré comme
route hôte statique ou obtenu automatiquement par d'autres méthodes qui ne sont pas abordées
dans ce module. Cisco IOS installe automatiquement une route d'hôte, également appelée
route d'hôte local, lorsqu'une adresse d'interface est configurée sur le routeur. Une route d'hôte
peut prendre la forme d'une route statique configurée manuellement pour diriger le trafic vers
un périphérique de destination spécifique. Pour les routes statiques IPv6, l'adresse de tronçon
suivant peut être l'adresse link-local du routeur adjacent; toutefois, vous devez spécifier un
type d'interface et un numéro d'interface lorsque vous utilisez une adresse link-local comme
tronçon suivant. Tout d'abord, la route d'hôte statique IPv6 d'origine est supprimée, puis une
route entièrement spécifiée est configurée avec l'adresse IPv6 du serveur et l'adresse link-local
IPv6 du routeur FAI.
15.6.4
pour fournir une route pour transférer des paquets pour lesquels il n'y a pas de route dans la
table de routage
pour transférer tous les paquets vers le périphérique avec l'adresse IP 209.165.200.226
pour ajouter une route dynamique pour le réseau de destination 0.0.0.0 à la table de routage
pour transférer les paquets destinés au réseau 0.0.0.0 vers le périphérique avec l'adresse IP
209.165.200.226
2. Quel type de route statique est configuré sur un routeur utilise uniquement l'interface de
sortie?
La valeur de distance administrative n'est pas assez élevée sur la route statique.
4. Quel type de route statique est créé lorsque l'adresse IP du tronçon suivant et l'interface de
sortie sont spécifiées ?
route statique flottante
Elle utilise une adresse de réseau unique pour envoyer plusieurs routes statiques à une
adresse de destination.
Elle est configurée avec une distance administrative plus élevée que le protocole de routage
dynamique initial.
Elle identifie l’adresse IP passerelle à laquelle le routeur envoie tous les paquets d’IP pour
lesquels il n’a pas de route statique ou acquise.
Il permet la connectivité à des destinations distantes qui ne sont pas contenues dans la table
de routage.
Il est couramment utilisé lorsqu'un protocole de routage dynamique n'est pas utilisé.
255.255.255.255 0.0.0.0
0.0.0.0 255.255.255.255
255.255.255.255 255.255.255.255
0.0.0.0 0.0.0.0
ContrôlerDémonstrationRéinitialiser
15.5
Introduction
16.0.1
Bien joué! Vous êtes arrivé au dernier module du cours de notions de base sur la
commutation, le routage et le sans fil v7.0 (SRWE). Ce cours vous a donné les connaissances
et les compétences approfondies dont vous avez besoin pour configurer des commutateurs et
des routeurs (y compris des périphériques sans fil) sur votre réseau en pleine croissance. Vous
êtes vraiment bon dans l'administration du réseau!
Mais qu'est-ce qui fait d'un bon administrateur de réseau un grand administrateur ? La
possibilité de dépanner efficacement. La meilleure façon d'acquérir des compétences de
dépannage réseau est simple : soyez toujours en mesure de dépanner. Dans ce module, vous
allez résoudre les problèmes des routes statiques et par défaut. Il y a un vérificateur de
syntaxe, un Packet Tracer et un atelier pratique où vous pouvez perfectionner vos
compétences de dépannage. Allons-y !
16.0.2
Légende du tableau
Traitement des paquets à l'aide de routes Expliquer comment un routeur traite les paquets
statiques lorsqu'une route statique est configuré
15.6
La figure est une animation représentant PC2 connecté à un commutateur sur le réseau
172.16.1.0/24. Le commutateur est ensuite connecté au routeur (R2) sur l'interface Gigabit
G0/0/0 avec une adresse de passerelle de .1. R2 a deux connexions série S0/1/0 et S0/1/1
connectées au routeur (R1) pour S0/1/0 et routeur (R3) sur la connexion S0/1/1. L'adresse
réseau de R1 à R2 est 172.16.2.0/14 et pour R2 à R3 c'est 192.181.1.0/24. Les adresses de
connexion série pour R2 sont .2 tandis que R1 et R3 sont .1. R1 est connecté via l'interface
Gigabit G0/0/0 à un commutateur sur un réseau avec l'adresse 172.16.3.0/24 avec PC1
connecté au commutateur. R3 a une connexion Gigabit à un commutateur sur le réseau
192.168.2.0/24 avec PC3 connecté au commutateur.
Ce qui suit décrit le processus de transfert de paquets avec des routes statiques, comme le
montre l'animation :
16.1.2
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
Vrai
Faux
2. Se référer à l'exposition. Vrai ou faux ? R2 transmettra les trames à R3 avec une adresse de
couche 2 composée uniquement de 1.
Vrai
Faux
3. Se référer à l'exposition. Quelle action prendra R3 pour transférer une trame s'il n'a pas
d'entrée dans la table ARP pour résoudre une adresse MAC de destination ?
Il abandonne la trame.
Introduction
16.2
Changements de réseau
Peu importe la façon dont vous configurez votre réseau, vous devrez être prêt à résoudre
certains problèmes. Les réseaux sont soumis à des événements susceptibles d'entraîner assez
fréquemment la modification de leur état : Par exemple, une interface peut échouer ou un
fournisseur de services supprime une connexion. Les liens peuvent être sursaturés ou un
administrateur peut entrer une configuration incorrecte.
Lorsqu’un réseau subit une modification, la connectivité risque d’être perdue. Les
administrateurs réseau sont responsables de l'identification et de la résolution du problème.
Pour trouver et résoudre ces problèmes, un administrateur réseau doit également connaître les
outils nécessaires vous permettant d'identifier les problèmes de routage rapidement.
16.2.2
ping
traceroute
show ip route
show ip interface brief
show cdp neighbors detail
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
Cliquez sur chaque bouton pour obtenir un exemple et une explication de ces commandes
courantes de dépannage.
ping
traceroute
show ip route
ping
L'exemple montre le résultat d'un ping étendu de l'interface source de R1 à l'interface LAN de
R3. Une requête ping étendue est une version améliorée de l’utilitaire ping. Une requête ping
étendue vous permet de spécifier l'adresse IP source pour les paquets ping.
!!!!!
R1#
16.2.3
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
Cliquez sur chaque bouton pour voir comment les commandes de dépannage sont utilisées
pour résoudre un problème de connectivité.
Ping sur le réseau local distant
L'administrateur réseau peut tester la connectivité entre les deux réseaux locaux de R1 au lieu
de PC1. Cela peut être fait en approvisionnant le ping de l'interface G0/0/0 sur R1 à l'interface
G0/0/0 sur R3, comme indiqué dans l'exemple. Les résultats montrent qu'il n'y a aucune
connectivité entre ces réseaux locaux.
R3172.16.1.0/24172.16.2.0/24192.168.1.0/24172.16.3.0/24192.168.2.0/24G0/0/0S0/1/1S0/1/0S0/1
/1G0/0/0G0/0/0PC2PC1PC3R1R2S0/1/0.1.1.2.2.1.1.1
R1#
RéinitialiserDémonstrationAfficher tout
16.1
Résoudre les problèmes liés aux routes statiques et par défaut IPv4 et IPv6 - Mode
physique
Équipement de test
Les réseaux sont fréquemment soumis à des événements qui peuvent entraîner un changement
de leur statut. Une interface peut tomber en panne, ou un fournisseur de services interrompt une
connexion. Les liens peuvent être sursaturés ou un administrateur peut entrer une configuration
incorrecte. Les commandes de dépannage communes de l'IOS sont les suivantes :
ping
traceroute
show ip route
show ip interface brief
show cdp neighbors detail
16.3.4
show version
show arp
show ip route
tracert
ping
3. Un administrateur réseau a saisi une route statique sur un LAN Ethernet connecté à un routeur
adjacent. Cependant, la route ne figure pas dans la table de routage. Quelle commande
l'administrateur doit-il utiliser pour vérifier que l'interface de sortie est active ?
tracert
show ip route
show ip protocols
4. Une route statique a été configurée sur un routeur. Toutefois, le réseau de destination n'existe
plus. Que doit faire un administrateur pour supprimer l'itinéraire statique de la table de routage ?
pour vérifier les adresses réseau qui sont attachées aux périphériques réseau
pour vérifier les réseaux annoncés par les routeurs voisins
pour obtenir des informations sur les dispositifs Cisco directement connectés
7. Un administrateur réseau remarque qu'une route statique correctement saisie n'est pas dans la
table de routage. Quelles sont les deux commandes de routeur qu'un administrateur utiliserait
pour déterminer si l'interface de sortie est activée et si l'adresse du prochain saut est disponible ?
(Choisissez deux réponses.)
show ip protocols
tracert
show ip route
ping
8. Un administrateur réseau a entré la commande suivante :
Lorsque l'administrateur réseau saisit la commande show ip route , l'itinéraire n'est pas dans la
table de routage. Quelles opérations l’administrateur doit-il effectuer ensuite ?
il le supprimera
il le renverra à la source
10. Que signifie la lettre C à côté d'une entrée dans la sortie de la commande show ip route?
16.2