Tous Les Cours

Licence professionnelle Métiers des
réseaux informatiques et
télécommunications
module Architecture Réseaux
1
2
module Archi Réseaux
Séance 1:
- fonctionnement des commutateurs
- rappels sur les VLAN
- configurations avancées de STP
3
4
Fonctionnement d’un commutateur (switch)
 · switch#show mac-address-table
5
Notes:
1) - A la mise sous tension du commutateur, ce dernier ne connait pas l’adresse MAC des
ordinateurs reliés à ses ports,
2) Lorsque le switch reçoit une trame, il en déduit quel est l’ordinateur relié à ce port en lisant
l’adresse MAC source et complète sa table de commutation
3) A ce stade il ne sait pas à quel port est relié l’hôte destinataire de la trame et émet cette
trame sur tous ses ports (flooding)
4) Au fil du temps, il sera capable de diriger les trames uniquement sur le port auquel sont reliés
les destinataires de la trame
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------
6
Les VLAN
- Le principal intérêt des VLAN est de séparer les flux. L’objectif est de créer plusieurs
réseaux séparés sur un même LAN sans avoir besoin d’ajouter des commutateurs.
- Au niveau du commutateur, on crée autant de tables de commutation qu’il y a de VLAN
switch(config)#vlan 2
- On doit définir quelle table de commutation sera utilisée par quels ports
switch(config)#int fa0/4
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 2
Table de commutation Vlan1 Table de commutation Vlan2
Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/5
7
C1 C2
VLAN sur plusieurs switchs
4 Lien trunk
VLAN (40,50)
1 2 3
Lien hybride
Lien d’accés
(PVID 40) (PVID 40) (PVID 50)
Lien d’accés
Principe de sauvegarde VLAN 40 pour les PC
d’un fichier de VLAN 50 pour les téléphones IP
configuration lors des TP
Lien d’accés
C1(config)#vlan 40
C1(config-vlan)#exit
C1(config)#vlan 50
C1(config-vlan)#exit
C1(config)#interface FastEthernet 0/1
Initialiser un switch Cisco en ligne de C1(config-if)#switchport mode access
commande: C1(config-if)#switchport access vlan 40
C1(config-if)#switchport voice vlan 50
switch#erase startup-config
switch#show flash C1(config-if)#switchport mode access
switch#delete flash:/vlan.dat C1(config-if)#switchport access vlan 40
C1(config-if)#switchport mode access
C1(config-if)#switchport access vlan 50
C1(config-if)#switchport mode trunk
8
C1(config-if)#switchport trunk allowed vlan 40,50
Norme 802.1Q
Le champ TPID détermine le type du tag, 0x8100 pour 802.1Q, ce champ est utilisé
pour prévoir des évolutions futures afin de pouvoir utiliser le principe du tagging pour
différentes fonctionnalités . Le champ TCI se décline en plusieurs éléments :
- Priorité: niveaux de priorité définis par l'IEEE 802.1P. Ce champ permet de réaliser
une priorisation des flux. Le champ étant sur trois bits il est possible de déterminer 8
niveaux de priorité.
- CFI: Ce bit permet de déterminer si le tag s'applique à une trame de type Ethernet ou
Token-Ring. Ethernet donc toujours égal à zéro.
- VID: VLAN identifier. C'est l'identifiant du VLAN. L'appartenance d'une trame à un
VLAN se fait grâce à cet identifiant. Le champ étant sur 12 bits, il est donc possible de
déclarer jusqu'à 4096 VLANs.
9
Types de port
• Access link: Dans ce mode de configuration, le port n’appartiendra qu’à un seul
Vlan. Ce mode de configuration est destiné aux ports auxquels seront reliés les
terminaux (PC, téléphones, impirmantes…). Ce type de lien ne peut lire que des
trames non étiquetées.
• Trunk link: Un lien trunk peut transporter le traffic en provenance et à
destination de plusieurs Vlan. Ce mode de configuration est destiné principalement
aux ports qui servent à relier des commutateurs entre eux.
• Hybrid port: Cas particulier de la connexion d'un téléphone IP suivi d'un PC sur
un port. Dans le cas de l'utilisation d'un ordinateur connecté à un téléphone IP (ce
dernier étant connecté à un port du switch), le port aura deux vlans (un vlan dédié
au réseau donnée et un vlan dédié au réseau voix). Le port sera configuré en
général en mode access, une commande sera C1 ajoutée pour la configuration du
C2
vlan
voix (voice vlan).
• PVID: toutes les trames 4 Lien trunk
reçues sur un port sans VLAN (40,50)
identification de VLAN
(“utagged” ou “priority 1 2 3
Lien hybride
Lien d’accés

tagged”) sont classifiées
Lien d’accés
par un commutateur
comme appartenant au VLAN 40 pour les PC
PVID “Port VLAN ID” aussi VLAN 50 pour les téléphones IP
appelé “Local default

Lien d’accés
VLAN” LAN local par défaut.

En pratique, sur un lien trunk, les trames non-
étiquetées circulent, de facto, dans le vlan par
10
défaut
C1 C2
Rappel sur les VLAN - TD
3. Extrait 4 Lien trunk
VLAN (40,50)
1 2 3
Lien hybride
Lien d’accés
Lien d’accés
VLAN 40 pour les PC
VLAN 50 pour les téléphones IP
Lien d’accés
C1>vlan create vlan 40,50

C1>vlan add vlan 40 port 1,2,4
C1>vlan add vlan 50 port 1,3,4
C1> port set port 1 acceptable-frame-type all
C1> port set port 2,3 acceptable-frame-type untagged-only
C1> port set port 4 acceptable-frame-type tagged-only
C1> port set port 1,2 pvid 40
11
C1> port set port 3 pvid 50
C1 C2
Rappel sur les VLAN - TD
3. Extrait 4 Lien trunk
VLAN (40,50)
1 2 3
Lien hybride
Lien d’accés
Lien d’accés
VLAN 40 pour les PC
VLAN 50 pour les téléphones IP
Lien d’accés
C1#config
C1(config)#vlan 40
C1(vlan-40)#untagged 1-2
C1(vlan-40)#tagged 4
C1(config)#vlan50
C1(vlan-50)#tagged 1 4
C1(vlan-50)#untagged 3
C1(vlan-50)#exit
C1(config)#int 1-4 enable
C1(config)#int 5-24 disable
C1(config)#write memory
12
STP: Spanning Tree Protocol (802.11D)
1. Infrastructure assurant la haute disponibilité sur un réseau
Ethernet
Le processus gérant sur un commutateur l’algorithme STP est appelé

instance STP.
13
STP: Spanning Tree Protocol
1. Problématique de boucle dans les réseaux Ethernet
- Les trames Ethernet n’ont pas de durée de vie (TTL)

- Avec la multiplication progressive des trames qui circulent en boucle sur le
réseau, des dysfonctionnements peuvent se produire.
14
1. Les trames de diffusion sont envoyées à tous les ports de commutation, excepté
au port d'entrée initial. Ceci garantit que tous les périphériques d'un domaine de
diffusion reçoivent bien les trames. S'il existe plusieurs chemins possibles pour le
réacheminement des trames, une boucle sans fin risque de se former. Dans un
tel cas, la table d'adresses MAC d'un commutateur peut réagir en changeant
constamment pour s'adapter à la mise à jour des trames de diffusion, entraînant
une instabilité de la base de données MAC.
CCNA Scaling Networks

Chapitre 2: Redondance LAN 2.1.1.2 Problèmes liés à la
redondance de la couche 1 : instabilité de la base de données
MAC
15
1. Une tempête de diffusion est inévitable sur un réseau comportant des boucles.
En raison du nombre croissant des périphériques qui envoient des diffusions sur le
réseau (ex: requêtes ARP), une quantité croissante de trafic est prise dans la
boucle, ce qui consomme des ressources. Cela finit par créer une tempête de
diffusion, provoquant ainsi la défaillance du réseau.

redondance de la couche 1 : tempêtes de diffusion

redondance de la couche 1 : trames de monodiffusion en double
16
Objectifs du protocole STP
(définition Wikipedia):
Le Spanning Tree
Protocol (algorithme de l'arbre
recouvrant) est un protocole
réseau de niveau 2 permettant de
déterminer
une topologie réseau sans
boucle(appelée arbre) dans
les LAN avec ponts.
Durée de convergence
lente (environ 50 sec.)
Implémenté sur les

commutateurs Cisco:
plusieurs instances
STP c.a.d. une par
Vlan
17
Soit l’architecture réseau donnée ci-dessous avec 4 commutateurs Ethernet. Ces commutateurs
sont configurés pour utiliser les VLAN 10 et 20 (ainsi que le vlan par défaut = VLAN 1). Les
commutateurs sont interconnectés via des liens trunk pour les VLAN 10 et 20.
S1 S2
· BID VLAN 10 : priorité =24586 / · BID VLAN 10 : priorité =28682 /
adresse =0030.A3E8.DEB6 adresse =000C.CFD5.445E
· BID VLAN 20 : priorité = 28692 / · BID VLAN 20 : priorité = 24596 /
adresse =0030.A3E8.DEB6 adresse =000C.CFD5.445E
· Ge0/1 (VLAN 10,20) : PID = 128.25 · Ge0/1 (VLAN 10,20) : PID = 128.25
· Fa0/1 (VLAN 10,20) : PID = 128.1 · Fa0/1 (VLAN 10,20) : PID = 128.1
Commutateur Cisco 3560

Supportent encapsulation Ge0/1 Ge0/1 S2
S1
ISL ou 802.1q Fa0/2 Fa0/1
Fa0/1 Fa0/2
Coût STP des interfaces :

GigaEthernet : 4
FastEthernet : 19
Fa0/1 Fa0/2
Fa0/2 Fa0/1
S3 S4
S3 S4
adresse =0001.428C.E976 adresse =0001.645A.CD0B
adresse = 0001.428C.E976 adresse = 00001.645A.CD0B
18
L’identité de pont:
Schémas extrait de
ciscomadesimple.be
19
Pour supprimer les boucles dans le réseau, les commutateurs utilisent
l’algorithme STP et s’envoient des trames Ethernet spécifiques appelées BPDU
« Bridge Protocol Data Unit ».
Après l’élection du root bridge, l’algorithme STP comporte 3 étapes (donc 4

étapes avec l’élection du root bridge).
20
A chaque entrée sur une interface, le coût de l’interface est additionné au « Root
Path Cost » du BPDU.
S2 reçoit deux BPDUs, l’un venant directement de S1, l’autre par le côté de S3. Celui
provenant de S3 a un « Root Path Cost » de 8, inférieur à celui venant de S1 (19), le
chemin passant par S3 est donc le meilleur chemin vers le Root Bridge, l’interface
Gig0/1 de S2 sera donc un Rp.
Un port faisant face à un Rp ne peut être qu’un Designated Port (Dp). Gig0/2 sur S3
sera donc un Dp.
Les ports d’un Root Bridge sont toujours des Designated Ports. Fa0/1 et Gig0/1 de S1
seront donc des Dp.
Pour ouvrir la boucle il suffit de bloquer un seul port. Dans ce cas, la seule possibilité
est Fa0/1 sur S2.
21
Si le coût de l’interface est égal des deux côtés du lien, le Bridge ID est utilisé pour
définir le côté du lien où le port sera bloqué. Ici, S2 a un BID plus grand que S3
(donc moins bon), le lien entre S3 et S2 sera alors bloqué du côté de S2.
Si ni le coût de l’interface, ni le BID ne permettent de faire un choix, c’est alors le

nom de l’interface qui est utilisé. Le « plus petit » nom d’interface sera le meilleur. ( A
est plus petit que Z, 1 est plus petit que 2 )
Dans ce cas, S1 est Root Bridge, tous ses ports sont donc Dp. C’est alors du côté de
S2 qu’il y aura un port bloqué. Les coûts sont égaux, le BID aussi. C’est donc le nom
de l’interface qui va permettre de choisir. Gig0/1 est plus petit que Gig0/2, donc
meilleur. Gig0/2 sera donc le port bloqué.
22
Configurer la priorité STP
L’effet de ces deux commandes est identique. L’option « root primary » est un raccourci pour définir
une priorité de 24576 (soit 32768 – 2x 4096).
La commande « spanning-tree vlan 1 root secondary » revient à définir une priorité de 28672 (soit
32768 – 1x 4096).
Si la priorité est définie explicitement via la commande « spanning-tree vlan 1 priority XXXXX », la
valeur donnée doit être un multiple de 4096.
Avec PVST+ , il faut soustraire le numéro de VLAN pour calculer la priorité d’un
switch. Exemple: S1(config)#spanning-tree vlan 30 root primary; BID priority =
32768 -2x4096 + 30 = 24546
23
24
S1#show spanning-tree vlan 10 S2#show spanning-tree vlan 10
VLAN0010 VLAN0010
Spanning tree enabled protocol ieee Spanning tree enabled protocol ieee
Root ID Priority 24586 Root ID Priority 24586
Address 0030.A3E8.DEB6 Address 0030.A3E8.DEB6
This bridge is the root Cost 4
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Port 25(GigabitEthernet0/1)
Bridge ID Priority 24586 (priority 24576 sys-id-ext 10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Address 0030.A3E8.DEB6 Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Address 000C.CFD5.445E
Aging Time 20 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Interface Role Sts Cost Prio.Nbr Type Aging Time 20
---------------- ---- --- --------- -------- -------------------------------- Interface Role Sts Cost Prio.Nbr Type
Fa0/1 Desg FWD 19 128.1 P2p ---------------- ---- --- --------- -------- --------------------------------
Fa0/2 Desg FWD 19 128.2 P2p Fa0/1 Desg FWD 19 128.1 P2p
Gi0/1 Desg FWD 4 128.25 P2p Fa0/2 Desg FWD 19 128.2 P2p
Gi0/1 Root FWD 4 128.25 P2p
S1#show spanning-tree vlan 20
VLAN0020 S2#show spanning-tree vlan 20
Spanning tree enabled protocol ieee VLAN0020
Root ID Priority 28692 Spanning tree enabled protocol ieee
Address 0030.A3E8.DEB6 Root ID Priority 28692
This bridge is the root Address 0030.A3E8.DEB6
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Cost 4
Bridge ID Priority 28692 (priority 28672 sys-id-ext 20) Port 25(GigabitEthernet0/1)
Address 0030.A3E8.DEB6 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32788 (priority 32768 sys-id-ext 20)
Aging Time 20 Address 000C.CFD5.445E
Interface Role Sts Cost Prio.Nbr Type Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
---------------- ---- --- --------- -------- -------------------------------- Aging Time 20
Fa0/1 Desg FWD 19 128.1 P2p Interface Role Sts Cost Prio.Nbr Type
Fa0/2 Desg FWD 19 128.2 P2p ---------------- ---- --- --------- -------- --------------------------------
Gi0/1 Desg FWD 4 128.25 P2p Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Gi0/1 Root FWD 4 128.25 P2p
25
S3#sh spanning-tree vlan 10 S4#sh spanning-tree vlan 10
VLAN0010 VLAN0010
Cost 19 Cost 19
Port 1(FastEthernet0/1) Port 1(FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)
Address 0001.428C.E976 Address 0001.645A.CD0B
Aging Time 20 Aging Time 20
Interface Role Sts Cost Prio.Nbr Type Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- -------------------------------- ---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p Fa0/2 Altn BLK 19 128.2 P2p
S3#sh spanning-tree vlan 20 S4#sh spanning-tree vlan 20

VLAN0020 VLAN0020
Cost 19 Cost 19
Port 1(FastEthernet0/1) Port 1(FastEthernet0/1)
Bridge ID Priority 32788 (priority 32768 sys-id-ext 20)
Bridge ID Priority 32788 (priority 32768 sys-id-ext 20) Address 0001.645A.CD0B
Address 0001.428C.E976 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20
Aging Time 20 Interface Role Sts Cost Prio.Nbr Type
Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- --------------------------------
---------------- ---- --- --------- -------- -------------------------------- Fa0/1 Root FWD 19 128.1 P2p
Fa0/1 Root FWD 19 128.1 P2p Fa0/2 Altn BLK 19 128.2 P2p
Fa0/2 Altn BLK 19 128.2 P2p
26
Portfast
PortFast est une fonction Cisco destinée aux environnements PVST+
Cette fonctionnalité doit être appliquée aux

ports d’accès afin qu’ils passent de l'état de
blocage à l'état de réacheminement
immédiatement. (le port est opérationnel
plus vite, par exemple, une requête cliente
DHCP sera réacheminée instantanément).
Il est recommandé aussi d’activer la fonction

BPDUGuard qui permet au port de passer à
l’état shutdown s’il reçoit des trames BPDU
(nb: un port d’accès ne reçoit théoriquement
jamais de trames BPDU sauf si un personne
mal intentionnée essaye de perturber le
processus STP).
27
Travaux Pratiques:
- 2.3.2.3 Lab - Configuring Rapid
PVST, PortFast, and BPDU Guard
28
Sécurisation de l’accès aux ports
 Protection des commutateurs
▪ Activer la sécurité des ports afin de se protéger des attaques de type « Mac Flooding »
29
• Licence professionnelle Métiers des
module Archi Réseaux
Séance 2: Le routage
- protocoles de routage
- OSPF zone simple & multizone
Ce deuxième cours
s’inscrit dans la
continuité du premier
cours (STP) sur la haute
disponibilité du réseau
LAN
Le routage, au sens informatique, est la fonction mise en œuvre par un élément
du réseau (hôte, routeur, commutateur --> niveau 3OSI) pour acheminer un
paquet jusqu’à sa destination.
La prise de décision est faite
par ce matériel en
comparant l’adresse IP de
destination du paquet avec
sa table de routage.
© 2013 Cisco et/ou ses filiales. Tous droits réservés. 32

Document public de Cisco
 Table de routage du routeur A
Réseaux directement connectés à A
Adresse du réseau Adresse du Interface Métrique

destination prochain routeur emprunté (ici Nombre
sauts)
de
e
193.17.52.128 193.17.52.129 gigabitEth1 0 (direct)
193.17.52.192 193.17.52.131 gigabitEth1 1
212.1.23.0 193.17.52.131 gigabitEth1 2

Route par gigabitEth2
0.0.0.0 193.48.32.1 0
défaut

 Les protocoles de routage dynamique sont utilisés par les routeurs
pour partager des informations sur l'accessibilité et l'état des réseaux
distants.
 Grâce à un algorithme de routage, chaque routeur détermine le
meilleur chemin pour joindre un réseau distant.
 Si ce réseau distant devient
inaccessible ou bien si le chemin pour
l’atteindre est modifié, quelque soit
l’algorithme utilisé, les routeurs
participant au même processus de
routage dynamique s’efforceront de
déterminer un nouvel itinéraire
assurant ainsi une haute disponibilité
du réseau.
 Les protocoles de routage dits
« Intérieurs » sont utilisés pour les LAN
 Ce cours traite du plus répandu à
savoir OSPF
• Protocole de routage à état de liens
• Convergence plus rapide
• Mesure des coûts (Cisco, bande

passante)
• Bases de données d’états de liens

identiques (LSDB)
• SPF : algorithme de Dijkstra
• Détermine les voisins sur les liens

directement connectés
• Paquets LSP (Link-State Packet) pour

chaque lien directement connecté
• Inondation des voisins par des paquets

LSP
• Pour le protocole de routage à état de
liens, les routeurs:
 Indiquent à leurs voisins leur
identifiant, les réseaux auxquels ils sont
connectés et le coût du lien pour
atteindre chaque réseau
 Propagent les informations (identifiant,
réseau et coût) reçues d’un voisin aux
autres voisins.
• Dans un réseau en adressage IPv4,

c’est OSPFv2 (1991) qui est
implémenté (IPv6 > OSPFv3)
La distance administrative (AD) est de
110 (AD = fiabilité ou préférence du
protocole de routage.) OSPF n’ayant pas
de classe, il prend en charge VLSM et
CIDR

passante)


LSP
identiques (LSDB)
 OSPF propage rapidement les

changements de réseau. Les
changements de routage déclenchent
des mises à jour de routage OSPF. Ce
protocole est donc plus efficace que les
protocoles de routage à vecteur de
distance, tels que RIPv2. (RIPv2 utilise
des mises à jour régulières toutes les
30 secondes.)
passante)
Avec le protocole OSPF, le coût (ou l’état) d’un lien dépend de la
bande passante uniquement. Les bandes passantes supérieures ont
un coût plus faible.
• Pour calculer un coût, Cisco IOS cumule les bandes
passantes des interfaces de sortie depuis le routeur vers
le réseau de destination.
• Le coût d’une interface est déterminé par le calcul de 10 à
la puissance 8 divisé par la bande passante en bits/s.
• Les résultats des interfaces avec une bande passante
supérieure ou égale à 100 Mbit/s ont un coût de routage
OSPF égal à 1.
• La bande passante de référence peut être modifiée de
façon à l’adapter à des réseaux dont les liaisons sont
supérieures à 100 Mbit/s grâce à la commande OSPF
auto-cost reference-bandwidth. A appliquer sur
tous les routeurs de la zone!
• Ex:
Gigabit Ethernet - auto-cost reference-bandwidth 1 000
10 Gigabit Ethernet - auto-cost reference-bandwidth 10 000
• OU, indiquez directement le coût d’une liaison :

R1(config)#interface fa 3/0/0
R1(config-if)#ip ospf cost 10
• Protocole de routage à état de
liens
passante)

• Paquets LSP (Link-State Packet)
pour chaque lien directement
connecté
• Inondation des voisins par des
paquets LSP
• Bases de données d’états de
liens identiques (LSDB)
Le protocole OSPF utilise l’algorithme du
plus court chemin pour choisir la meilleure
route.
La CPU traite les tables de voisinage et
de topologie à l’aide de l’algorithme SPF
de Dijkstra.
Il est basé sur le coût cumulé encouru
pour atteindre une destination .
L’algorithme SPF crée une arborescence
SPF en y plaçant chaque routeur à la
racine et en calculant le plus court chemin
jusqu’à chaque nœud. L’arborescence
SPF est ensuite utilisée pour calculer les
meilleures routes. Le protocole OSPF
insère les meilleures routes dans la base
de données de transfert qui sert à créer la
table de routage.
 Construction du paquet d’état de lien à transmettre (Link State)
 l’émetteur donne la liste des routeurs voisins directs et le coût associé
Diffusion de ces informations à tout le réseau par inondation (flooding) exceptée la

ligne entrante
Calcul de la matrice de coûts
 Construite à partir des informations reçues
 Constitue une représentation de la topologie du
réseau
43
 Lors du calcul du chemin optimal, une route peut posséder 3 états:
 Validée : à partir de la racine il n’existe aucun autre chemin plus court pour atteindre le
nœud ; ( bulles grisées)
 Découverte : nouvelle route pour joindre le nœud suivant à partir d’un nœud
nouvellement validée
 En attente : nouvelle route dont on ne sait si elle peut être validée ou pas (en blanc) i.e.
s’il existe une route plus courte pour atteindre le nœud extrémité
44
45
46
47
48
49
OSPF classifie les réseaux en différents types selon les technologies de couche 2
utilisées, par exemple:
 Les réseaux de type "broadcast" tels que les LAN (Ethernet ou anciennement Token
Ring ou FDDI) sont connectés au routeur par des interfaces LAN. Ils peuvent supporter
plusieurs routeurs et si un routeur est HS, les autres ne sont pas sensé le détecter
puisque pour eux la connexion au LAN est toujours active ! OSPF identifie ce type de
réseau comme des BMA (Broadcast Multi Access). Sur ce type de réseau il devra
mettre en place un mécanisme qui lui permettra de savoir si ses routeurs voisins sont
toujours actifs ou non afin de mettre à jour sa LSDB si nécessaire.
• Les routeurs à état de liens inondent les
voisins de leurs paquets d’état de liens
lorsque le protocole OSPF est initialisé
ou que la topologie change.
• Dans le cadre d’un réseau à accès
multiple, cette inondation peut devenir
excessive.
• Sur les réseaux à accès multiple, OSPF
choisit un routeur désigné (DR) et un
routeur désigné de sauvegarde (BDR) en
cas d’indisponibilité du routeur désigné.
• Tous les autres routeurs deviennent des
DROthers
• Les DROthers forment des contiguïtés
complètes avec le DR et le BDR du
réseau, et transmettent leur LSA au DR
et au BDR avec l’adresse de
multidiffusion 224.0.0.6 (IPv6 FF02::06)
Élection du DR/BDR
Comment le DR et le BDR sont-ils
élus ?
Les critères suivants sont
appliqués :
1. DR : routeur dont la priorité
d’interface OSPF est la plus
élevée.
2. BDR : routeur dont la priorité
d’interface OSPF est la
deuxième plus élevée.
3. Si les priorités d’interface
OSPF sont identiques, l’ID de
routeur le plus élevé prévaut.
1. Utilisez l’adresse IP configurée avec
la commande OSPF router-id.
2. Si router-id n’est pas configuré, le
routeur choisit l’adresse IP la plus
élevée parmi ses interfaces de
bouclage IP.
3. Si aucune interface de bouclage
n’est configurée, le routeur choisit ID de routeur = 192.168.10.5
l’adresse IP active la plus élevée
parmi ses interfaces physiques.
Vérification
R1(config)#interface loopback 0 ID de routeur = 10.1.1.1
R1(config-if)#ip address 10.1.1.1
255.255.255.255
R1(config)#router ospf 1
R1(config-router)#router-id 10.1.1.1
Il faut alors redémarrer ou utiliser la commande "clear
ip ospf process" pour que les modifications soient
prises en compte
Vérification
passante)

LSP
identiques (LSDB)
• Type 1 - Hello
• Type 2 - Database Description (DBD)
• Type 3 - Link-State Request (LSR)
• Type 4 - Link-State Update (LSU) – Plusieurs

types
• Type 5 - Link-State Acknowledgement (LSAck)
Maquette sous GNS3 ayant permis d’effectuer les captures de trames des diapos
suivantes…
Emission de
messages Hello à
intervalle régulier
Réponse du voisin qui passe

à l’état « Init State ». La
relation de voisinage est
alors active.
• Découvrir les voisins
OSPF
• Former des contiguïtés
avec les voisins
• Annoncer les
paramètres
 Intervalle Hello (par
défaut, 10 ou 30
secondes)
 Intervalle Dead (par
défaut, 4 x Hello)
 Type de réseau
• Élection d’un DR et d’un
BDR (réseau à accès
multiple)
Après découverte d’un voisin, les 2 routeurs synchronisent leurs bases de données OSPF pour
que celles-ci soient identiques, ce qui comprend les étapes suivantes:
 Etat « Exstart »: Le routeur échange avec son voisin des
messages DB Description « Database Description » vide pour
négocier (grâce au bit M/S Master/Slave) qui sera le maître et
qui sera l’esclave pour l’échange de la base de données ainsi
que le numéro de séquence intial (champ DD sequence) pour
la transmission de la base de données.
 Etat « Exchange »: Les routeurs s’envoient des

messages DB Description contenant des LSA
« Link-State Advertisements » pour donner un
résumé de leur base de donnée à état de liens.
 Etat« Full Adjacency »: Lorsque l’état « loading »

est complet c’est-à-dire que les bases de données
des routeurs sont synchronisées, ceux-ci passent
dans l’état « Full » pour ce voisin.
 Etat « Loading »: Après avoir reçu le message DB Description de son voisin, le routeur
de destination envoie un message LSR « Link-State Request » pour demander plus
d’informations sur toutes les entrées de la base de données de son voisin qui ne sont
pas dans sa propre base.
 Celui-ci lui répond par un message LSU « Link-State Update » qui contient des LSA
donnant une description détaillée de sa base de données pour les informations
demandées:
 Pour terminer après réception de ce LSU, le routeur envoie un LSAck « Link-state
Acknowledgement » qui est un accusé de réception d’état de liaisons:
 Etat « Full Adjacency » lorsque l’état

« loading » est complet c’est-à-dire
que les bases de données des
routeurs sont synchronisées, ceux-ci
passent dans l’état « Full » pour ce
voisin.
• LSU (Link-State
Update)
• LSA (Link-State
Advertisement)
(interchangeables)
• Plusieurs types de LSA
R1(config)#int fa 0/0
R1(config-if)#ip address 172.16.1.17 255.255.255.240
R1(config)#int s 0/0/0
R1(config)#int s 0/0/1
R1(config-if)#router ospf 1
R1(config-router)#network 172.16.1.16 0.0.0.15 area 0

Syntaxe de la commande :
router ospf process-id
network network-address
wildcard-mask area area-id
• Calculs fréquents de
l’algorithme SPF
• Table de routage
importante
• LSDB de grande taille
Solution :
• Scinder le réseau en
plusieurs zones OSPF
• Diminution de la fréquence des
calculs SPF : des informations de route
détaillées existent dans chaque zone, les
changements d’état de liens ne sont pas
diffusés dans les autres zones.
• Réduction de la taille des tables de
routage : au lieu d’annoncer des routes
explicites en dehors de la zone, les
routeurs peuvent être configurés de
sorte à récapituler les routes dans une
ou plusieurs annonces récapitulatives.
• Réduction de la surcharge des LSU :
plutôt que d’émettre un paquet LSU sur
chaque réseau à l’intérieur d’une zone,
un routeur peut annoncer une seule
route récapitulative ou un plus petit
nombre de routes entre les zones.
Le routage OSPF à zones multiples nécessite une
conception réseau hiérarchique dans laquelle
existe une zone principale, appelée zone de
backbone (Area 0), à laquelle toutes les autres
zones doivent se connecter.
• Routeurs internes
 Toutes les interfaces
situées dans la
même zone
 LSDB identiques
• Routeurs backbone
 Au moins 1 interface
dans la zone 0
• Routeurs ABR
 Interfaces situées
dans plusieurs zones
• Routeurs ASBR
 Au moins 1 interface
dans un réseau non-
OSPF
• Une seule LSA de routeur
(type 1) pour chaque routeur
d’une zone
 Comprend une liste de liens
 Chaque lien est identifié par le
préfixe IP attribué au lien et par
son type
• Identifiée par l’ID de routeur

du routeur émetteur
• Diffusée uniquement dans sa
zone sans traverser l’ABR
• Une seule LSA de routeur
(type 2) pour chaque diffusion
de transit ou de réseau
NBMA par zone
 Comprend la liste des routeurs
connectés au lien de transit
 Comporte le masque de sous-
réseau du lien
• Annoncée par le DR du
réseau de diffusion
• Diffusée uniquement dans sa
zone sans traverser l’ABR
• Annonce servant à diffuser des
informations de réseau aux
zones situées en dehors de la
zone émettrice (inter-zone)
 Décrit le numéro de réseau et le
masque du lien
• Émise par l’ABR de la zone
émettrice
• Ré-émise par les ABR suivants
en vue d’une inondation à
travers le système autonome
• Par défaut, les routes ne sont
pas récapitulées. Des LSA de
type 3 sont diffusées pour
chaque sous-réseau
• Permet d’annoncer un
ASBR à toutes les autres
zone du système
autonome
• Émise par l’ABR de la
zone émettrice
• Ré-émise par les ABR
suivants pour les diffuser
à travers le système
autonome
• Contient l’ID de routeur
de l’ASBR
• Sert à annoncer les
réseaux issus d’autres
systèmes autonomes
• Annoncée et détenue par
l’ASBR émetteur
• Diffusée à travers tout le
système autonome
• Routeur annonceur
(ASBR) non modifié à
travers tout le système
autonome
• LSA de type 4 nécessaire
pour localiser l’ASBR
• Par défaut, les routes ne
sont pas récapitulées
 O : les LSA de routeur
(type 1) et de réseau (type
2) annoncent les détails
relatifs à l’intérieur d’une
zone (la route est interne à
la zone)
 O IA : les LSA
récapitulatives
apparaissent dans la table
de routage sous forme d’IA
(routes entre les zones)
 O E1 ou OE 2 : LSA
externes signalées comme
étant des routes de type
externe 1 (E1) ou externe
2 (E2))
Routes externes
• E2 (par défaut) : le
coût des routes du
paquet O E2
correspond au coût
externe. Utilisez ce
type si un seul ASBR
annonce une route
externe au système
autonome.
• E1 : calcule le coût en
ajoutant un coût
externe au coût
interne de chaque lien
que le paquet croise.
1. Tous les routeurs
calculent les meilleurs
chemins vers les
destinations internes à
leur zone et ajoutent ces
entrées à la table de
routage.
chemins vers les autres
zones dans l’inter-réseau
(inter-zone) ou les LSA
de type 3 et 4.
chemins jusqu’aux
destinations du système
autonome externe
(type 5). Ils sont signalés
par le descripteur de
routage O E1 ou O E2.
 R1 transmet
une LSA
récapitulative
au routeur
principal C1.
 C1 transmet à
son tour la LSA
récapitulative à
R2 et R3.
 R2 et R3 la
transfèrent à
leurs routeurs
internes
respectifs.
Récapituler 10.1.1.0/24 et
10.1.2.0/24
10.1.0.0.
Remarque : les routes RIPv2 doivent également être
redistribuées dans OSPF, dans cet exemple
• Deux méthodes :
• default-information
originate
• default-information
originate always
• Le mot clé « always »
autorise l’annonce de la
route par défaut même si
le routeur annonceur n’a
pas de route par défaut
• Valeur de mesure
facultative pour indiquer la
préférence
Commandes pour la vérification :
• show ip ospf neighbor
• show ip ospf
Pour OSPFv3,
remplacer
• show ip ospf interface simplement ip par ipv
• show ip protocols 6
• show ip ospf interface brief
• show ip route ospf
• show ip ospf database

Archi Réseaux et Sécurité partie LAN
Séance 3:
- NAT,
- DHCP
- ACL
- VRRP, HSRP
94
La translation d’adresse (NAT)
 Pour palier à la pénurie d’adresses IPv4, il est possible de configurer un réseau

d’entreprise en utilisant des espaces d’adressage réservés aux réseaux privés de
l’Internet.
 Le réseau de classe A 10.0.0.0, les réseaux de classe B allant de 172.16.0.0 à 172.31.0.0,
--------------------------------------------------------------------
ainsi que ceux de classe C allant de 192.168.0.0 à 192.168.255.0 sont définis par la
------------------------------------------------------------------- -
RFC1918 comme non attribués sur l’Internet et réservés à un usage privé.
--------------------------------------------------------------------
-------------------------
 Il est alors possible de relier ces réseaux à l’Internet public en utilisant un dispositif de
translation d’adresses ou NAT (Network Address Translation) proposé par la plupart des
routeurs.
 Ces derniers vont attribuer à la volée une adresse publique aux machines internes qui
souhaitent établir une connexion avec l’Internet, et effectuer une traduction automatique
des adresses IP dans l’en-tête des paquets.
95
PAT: Port Address Translation ou NAT Dynamique
 Grâce au PAT, une seule adresse IP publique suffit pour relier un grand nombre de
machine d’un LAN privé à Internet.
 Ci-dessous la table PAT d’un routeur relié à Internet:
LAN privé Internet

@IP (privée) N° port source @IP (publique) source N° port source
source
10.0.0.1 56009 193.27.3.12 49152
10.0.0.2 60015 193.27.3.12 49153
10.0.0.3 48732 193.27.3.12 409154
….. ….. ….. ….
 Les procédés de translation (NAT & PAT) apportent un premier niveau de sécurité
au LAN
96
PAT: Epilogue
 Port forwarding:
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-------------------------------------------------------------------------
----------------- - ---------------------------
 Si j’ai deux serveurs web accessibles à partir d’une seule IP publique il faudra
mettre en place un proxy reverse.
97
PAT: Epilogue
 D’abord il faut associer la même ip publique pour deux noms de domaines différents.
Donc deux enregistrements DNS
www.bob.info à 112.45.67.109
Et www.alice.info à 112.45.67.109 (même IP publique…car j’en ai qu’une)
Puis lorsqu’un client fait une requête http://www.bob.info ou http://www.alice.info ça renvoie
sur le même serveur Web et là si c’est configuré comme ci-dessous (extrait conf apache), pour le
site bob.info c’est le site en local qui répond et pour l’autre alice.info c’est Proxypass…la requête
est renvoyée vers http://192.168.0.1
NameVirtualHost *
#
# Premier vhost (site d’origine)
#
<VirtualHost *>
ServerName www.bob.info
DocumentRoot /var/www/localhost/htdocs
</VirtualHost>
#
# Second vhost utiliseant le reverse proxy
# 192.168.0.1 est l’exemple d’IP du second serveur http
#
<VirtualHost *>
ServerName www.alice.info
ProxyPass / http://192.168.0.1/
ProxyPassReverse / http://192.168.0.1/
</VirtualHost>
98
NAT: quelques remarques s’imposent
 Le NAT dynamique permet de sortir sur Internet mais ne permet pas d’être
joignable. Une machine de l’extérieur ne peut initier une requête.
 Du point de vue de la
sécurité, cela apporte un
petit plus!
 Translation des messages ICMP.

 La fonction « ping » n’utilise ni UDP, ni TCP, donc n’utilise pas de numéro de port.
 Le routeur se base sur l’identifiant ICMP présent dans l’en-tête des messages ICMP
99
NAT/FTP Mode passif et mode actif
 FTP utilise deux canaux: - 21 commandes

- 20 data
 En mode actif l’initialisation se fait sur le port 21, puis le serveur FTP initie une
ouverture de connexion pour les « data » depuis l’extérieur.
21
INITIALISATION
INITIALISATION
20
 Solution: un proxy qui va lire les informations contenues dans les données FTP. Ce
proxy est capable de voir quelle machine a initialisé la connexion sur le port21 et
autorise alors l’initialisation de la connexion (pour les DATA) venant de l’extérieur.
100
NAT/PAT
Création d’une ACL (Liste de Contrôle d’Accès) « standard » (sur adresse IP) : ici, toutes les
adresses des stations de l’Intranet sont éligibles à la translation.
Lab-C(config)#access-list 10 permit 172.16.0.0 0.0.0.255
Activation du PAT
Lab-C(config)#ip nat inside source list 10 interface S0/0 overload
Définition des interfaces du routeur Intranet/Internet

Lab-C(config)#interface ethernet 0/0
Lab-C(config-if)#ip nat inside
Lab-C(config-if)#interface serial 0/0
Lab-C(config-if)#ip nat outside
Plusieurs transactions utilisant la même adresse "Inside Global"
Lab-C#show ip nat translations
101
DHCP (rappels)
Transfert des « broadcasts » UDP à un serveur DHCP en utilisant la commande
« Helper Address »
Listes de contrôle d’accès
Listes de contrôle d’accès
On utilise les ACL pour sécuriser les réseaux
Utiliser les ACL pour sécuriser les
réseaux
• ACLs vous permettent de contrôler le traffic
entrant et/ou sortant du réseaux.
– Cela peut être très simple en autorisant ou
refusant le traffic d’un hôte ou d’un réseaux tout
entier
– Ou bien on peut contrôler le traffic en s’appuyant

sur le port TCP utilisé par l’application
Utiliser les ACLs pour sécuriser le
réseau.
• A TCP Conversation:
TCP SYN “Let’s Talk”
TCP SYN/ACK “Okey Doke”
TCP ACK “Connected!”
TCP Data “I need stuff!”
TCP ACK ”Okey Doke”
TCP Data “Here’s the stuff”
TCP ACK “Got it!”
TCP FiN/ACK “All Done!”
TCP FiN/ACK “Me Too!”

réseau.
• Le segment TCP identifie le port
correspondant au service demandé…TCP
réseau.
• Le segment TCP identifie le port
correspondant au service demandé…UDP
réseau.
• Filtrage de paquets:
– Une liste de contrôle d’accès peut extraire les
informations suivantes de l’en-tête des paquets, les
valider conformément aux règles, et prendre des
décisions d’autorisation ou de refus en fonction des
critères suivants :
• Adresse IP source.
• Adresse IP destination
et….
• Port source TCP/UDP.
• Port destination TCP/UDP.
La règle des “3 P”
• Une ACL par protocole.
• Une ACL par direction.
• Une ACL par interface.

 Identification des listes de contrôle d'accès
Type de liste Valeur de l ’identifiant
IP Standard 1 à 99
Etendue 100 à 199
IPX Standart 800 à 899

Filtre SAP 1000 à 1099
Apple Talk 600 à 699

 Le routeur A laisse passer le trafic en provenance du
réseau des ventes et de l ’hôte 172.16.50.2
Router A Router B Router C
E0 E0 E0
Administration Ventes Etude
172.16.10.2 172.16.30.2 172.16.50.2
RouterA(config)#
access-list 11 permit 172.16.30.0 0.0.0.255
Dernière instruction implicite deny any
 Bits de masque générique
0 => bit à tester

1 => bit ignoré
RouterA(config)#
=
RouterA(config)#
access-list 11 permit host 172.16.50.2
 Le routeur A bloque le trafic uniquement en provenance de l ’hôte 172.16.50.2
RouterA(config)#
access-list 11 deny host 172.16.50.2
access-list 11 permit any
Dernière instruction implicite deny any
E0 E0 E0
172.16.10.2 172.16.30.2 172.16.50.2

 Appliquer la liste d ’accès à l ’interface.
RouterA(config)# interface e0
RouterA(config-if)# ip access-group 11 out
E0 E0 E0
172.16.10.2 172.16.30.2 172.16.50.2

Listes standards
Permit
Access-list numéro1 à 99
Deny
IP source Masque générique
Ip Access-group Numéro In
Out
Liste de contrôle d ’accès étendue
Le routeur A permet à la station 172.16.50.2 du bureau d’étude l’accès au serveur web
de l’administration d ’adresse IP 172.16.10.2.
E0 E0 E0
172.16.10.2 172.16.30.2 172.16.50.2

 Liste de contrôle d ’accès étendue
RouterA(config)#
Access-list 110 permit tcp host 172.16.50.2
host 172.16.10.2 eq 80
E0 E0 E0
172.16.10.2 172.16.30.2 172.16.50.2
RouterA(config)# inter e0
RouterA(config-if)# ip access-group 110 out
 Liste de contrôle d ’accès étendue
Le routeur A permet à n’importe quelle station du service des
ventes d’accéder au serveur web de l’administration.
E0 E0 E0
172.16.10.2 172.16.30.2 172.16.50.2
RouterA(config)#
Access-list 110 permit tcp 172.16.30.0 0.0.0.255
host 172.16.10.2 eq 80
Où placer les listes d’accès ? Là où elle auront le
plus grand impact « on efficiency »
Standard
- Le plus près possible de la destination. (pour
supprimer tout le trafic vers cette destination et
éviter que le réseau source ne se retrouve bloqué
pour les autres réseaux)
Etendue
- Le plus près possible de la source. (pour utiliser
moins de bande passante.)
ACLs nommées
• Utiliser des ACL nommées:

– Une ACL numérotée n’indique pas son but.
– Depuis la version Cisco IOS Release 11.2, on peut
utiliser les ACL nommées.
Remarques sur les ACLs
• Vous devez avoir la règle la plus fréquemment utilisée
en bout de liste.
• Vous devez avoir au moins une autorisation dans une

ACL sinon tout le traffic sera bloqué.
• La commande #show access-list permet de visualiser

les ACLs configurées sur le routeur.
– Le mot clé “remark” permet de documenter en
détail le but de l’ACL.
– Exemple:
Max. 100 characters
Note where the access list

appears in the
running configuration.
• Exemple d’ACL nommée.
• Les ACLs nommées ont un gros avantage par
rapport aux ACLs numérotées car elles sont
plus faciles à éditer.
Pour les ACLs étendues
Router(config)# access-list
access-list-number
{ permit | deny }
protocol
source [source-wildcard]
destination [destination-wildcard]
operator [operand (port number / name)]
established
• Ce paramètre autorise les réponses au traffic qui a

initié la demande.
• Le routeur autorisera uniquement le traffic “établit” à
revenir et bloquera tout le reste.
Exemple
• Restreindre l’accès à Internet uniquement
pour les navigateurs.
– ACL 103 s’applique au traffic quittant le réseau.
– ACL 104 pour le traffic entrant sur le réseau.
HTTP requiert que les réponses reviennnent vers le réseau! Seul
le traffic « established » par 103 sera autorisé à revenir grâce à
104; le reste sera bloqué.
Command Protocol
Responses
Number Source
Permit/Deny Destination
Créer des ACLs nommées étendues
Access Control Lists
Configurer des ACLs complexes
Qu’est ce que les ACLs complexes?
• 3 types:
– Dynamic (lock-and-key):
• Les utilisateurs qui souhaitent traverser le routeur sont
bloqués à moins qu’ils ne se soient connectés en Telnet
au routeur et se soient authentifiés.
– Reflexive:
• Autorise le traffic sortant et limite le traffic entrant à
celui qui a été initié depuis l’intérieur.
– Time-based:
• L’accès est permis à certaines heures de la journée.
Redondance au premier saut
protocoles FHRP (First Hop Redundancy Protocols, protocoles de redondance au premier saut)
Les protocoles STP permettent de mettre en place une

redondance physique au sein d'un réseau commuté.
Cependant, un hôte situé au niveau de la couche d'accès d'un
réseau hiérarchique peut également bénéficier de passerelles
par défaut alternatives.
Les diapos qui suivent traitent des protocoles de

redondance au premier saut
Concept de protocoles de redondance au premier saut
Limitations de passerelle par défaut

 Si la passerelle par défaut ne peut
pas être atteint, le
dispositif local ne peut
pas envoyer des paquets en dehors
du segment de réseau local.
 Même
si un routeur redondant existe qui
pourrait servir de passerelle par
défaut à ce segment, il n'y a
aucune méthode dynamique par la
quelle ces
dispositifs peuvent déterminer l'adr
esse d'une nouvelle passerelle par
défaut.
Redondance de routeur
 Des routeurs multiples sont
configurés pour un
fonctionnement conjoint, de
manière à présenter l'illusion
d'un routeur unique au regard
des hôtes du LAN
 La capacité d'un réseau à
effectuer une reprise
dynamique après la défaillance
d'un périphérique jouant le
rôle de passerelle par défaut
est appelée « redondance au
premier saut ».
Étapes relatives au basculement du

routeur
Varieties of First-Hop Redundancy Protocols
Protocoles de redondance de premier

saut
• Hot Standby Router Protocol (HSRP) . Propriétaire Cisco
• HSRP for IPv6
• Virtual Router Redundancy Protocol version 2 (VRRPv2)
• VRRPv3
• Gateway Load Balancing Protocol (GLBP)
• GLBP for IPv6
• ICMP Router Discovery Protocol (IRDP)
Varieties of First-Hop Redundancy Protocols
Protocoles de redondance de premier

saut
• Hot Standby Router Protocol (HSRP) . Propriétaire Cisco
• HSRP for IPv6
• Virtual Router Redundancy Protocol version 2 (VRRPv2)
• VRRPv3
• Gateway Load Balancing Protocol (GLBP)
• GLBP for IPv6
• ICMP Router Discovery Protocol (IRDP)
Caractéristiques du protocole
• Adresse IP virtuelle et adresse MAC virtuelle
– Mac virtuelle = 00-00-5E-00-01-XX (XX = n° du groupe VRRP)
• Priorité de 1 à 255 (100 par défaut)
• En cas d’égalité de priorité, c’est le routeur de plus grande
adresse IP qui est maître.
• Si IP virtuelle = IP de l’interface, alors le routeur est maître
(priorité = 255)
• Le routeur maître émet des messages VRRP (champ
protocole IP 112 et adresse mutlicast 224.0.0.18) toutes les
secondes.
• En cas de non réception de message pendant le timeout
(3,6 s par défaut), un routeur de secours se considérera
maître.
• Si l’option « préemption » est activée, le routeur de secours
passera maître si la priorité du maître baisse sous la sienne.
Partage de charge
• On peut créer plusieurs groupes VRRP
• Un routeur peut être maître pour un groupe
et secours pour un autre.
• Ainsi les hôtes de 2 sous-réseaux feront partie
d’un groupe VRRP différent et utiliseront une
passerelle différente
Interface vlan 10
-if)#Vrrp 1 description data master
Exemple de configuration pour VRRP
-if)# Vrrp 1 priority 100
-if)# Vrrp 1 ip 192.168.10.254
-if)# Vrrp 1 preempt
-if)# Vrrp 1 timers advertise 2
-if)# Vrrp 1 track 1 decrement 20
config)#track 1 interface fa0/24
line-protocol
-if)# Interface vlan 20 Interface vlan 10
-if)# Vrrp 2 description voix -if)#Vrrp 1 description data backup
backup -if)# Vrrp 1 priority 90
-if)# Vrrp 2 priority 90 -if)# Vrrp 1 ip 192.168.10.254
-if)# Vrrp 2 ip 192.168.20.254 -if)# Vrrp 1 preempt
-if)# Vrrp 2 preempt -if)# Vrrp 1 timers learn
-if)# Vrrp 2 timers learn -if)# Interface vlan 20
-if)# Vrrp 2 description voix master
-if)# Vrrp 2 priority 100
-if)# Vrrp 2 ip 192.168.20.254
-if)# Vrrp 2 preempt
-if)# Vrrp 2 timers advertise 2
-if)# Vrrp 2 track 1 decrement 20
config)#track 1 interface fa0/24 line-protocol
Préemption
• Le routeur qui a une plus grande priorité que
le routeur maître, devient maître, même si le
routeur maître actuel est toujours actif
• Activé par défaut
• Le routeur qui a l’adresse IP du groupe VRRP
ne tient pas compte de ce paramètre et
préempte toujours.
Notes: _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
________________________________
Basic HSRP Configuration
Before we discuss more advanced HSRP concepts, lets create a basic HSRP configuration to get
an idea of how this all works. For this scenario we will use a topology consisting of just two
routers. Keep in mind that one or both of these routers could be multilayer switches such as a
6509 or 3750 as well. But for this discussion lets just refer them as routers.
R1 and R2 will both be configured to be in standby group 1. The HSRP address will be given an IP
address of 192.168.1.1/24. All hosts on the segment and in the VLAN will use this address as
their default gateway.
To see the status of HSRP use the command

show standby
Controlling the Active HSRP Router
The default priority is 100. The higher priority will determine which router is active. If both
routers are set to the same priority, the first router to come up will be the active router
Advanced HSRP Configuration - Load Balancing
So now you can see how great HSRP is and how it

allows us to have high availability between
multiple routers for a single network. But our
standby routers aren't doing anything and are just
sitting there! Depending on the model router you
are using, this can be a lot money just sitting idle.
To solve this problem, we can configure HSRP to be

load balanced between routers. This doesn't help
us with a single HSRP group, but for multiple HSRP
groups we can spread the load and have each HSRP
group be active on different routers.
By configuring multiple HSRP groups on a single

interface, HSRP load balancing can be achieved.
Here is how we accomplish this.

Tous Les Cours

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tous Les Cours

Transféré par

Droits d'auteur :

Formats disponibles

Licence professionnelle Métiers des

module Architecture Réseaux

module Archi Réseaux

Table de commutation Vlan1 Table de commutation Vlan2

Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/5

configuration lors des TP

(PVID 40) (PVID 40) (PVID 50)

appelé “Local default

VLAN” LAN local par défaut.

C1>vlan create vlan 40,50

Le processus gérant sur un commutateur l’algorithme STP est appelé

- Les trames Ethernet n’ont pas de durée de vie (TTL)

CCNA Scaling Networks

Chapitre 2: Redondance LAN 2.1.1.3 Problèmes liés à la

Chapitre 2: Redondance LAN 2.1.1.4 Problèmes liés à la

Implémenté sur les

Commutateur Cisco 3560

Coût STP des interfaces :

Après l’élection du root bridge, l’algorithme STP comporte 3 étapes (donc 4

Si ni le coût de l’interface, ni le BID ne permettent de faire un choix, c’est alors le

S3#sh spanning-tree vlan 20 S4#sh spanning-tree vlan 20

PortFast est une fonction Cisco destinée aux environnements PVST+

Cette fonctionnalité doit être appliquée aux

Il est recommandé aussi d’activer la fonction

 Protection des commutateurs

module Archi Réseaux

© 2013 Cisco et/ou ses filiales. Tous droits réservés. 32

Réseaux directement connectés à A

Adresse du réseau Adresse du Interface Métrique

193.17.52.0 193.17.52.1 gigabitEth3 0 (direct)

193.17.52.64 193.17.52.65 gigabitEth4 0 (direct)

193.17.52.192 193.17.52.131 gigabitEth1 1

212.1.23.0 193.17.52.131 gigabitEth1 2

© 2013 Cisco et/ou ses filiales. Tous droits réservés. 33

• Convergence plus rapide

• Mesure des coûts (Cisco, bande

• Bases de données d’états de liens

• SPF : algorithme de Dijkstra

• Détermine les voisins sur les liens

• Paquets LSP (Link-State Packet) pour

• Inondation des voisins par des paquets

• Dans un réseau en adressage IPv4,

• Convergence plus rapide

• Mesure des coûts (Cisco, bande

• SPF : algorithme de Dijkstra

• Détermine les voisins sur les liens

• Paquets LSP (Link-State Packet) pour

 OSPF propage rapidement les

• OU, indiquez directement le coût d’une liaison :

• Détermine les voisins sur les liens

Diffusion de ces informations à tout le réseau par inondation (flooding) exceptée la

• Détermine les voisins sur les liens

• Type 2 - Database Description (DBD)

• Type 3 - Link-State Request (LSR)

• Type 4 - Link-State Update (LSU) – Plusieurs

Réponse du voisin qui passe

 Etat « Exchange »: Les routeurs s’envoient des

 Etat« Full Adjacency »: Lorsque l’état « loading »

 Etat « Full Adjacency » lorsque l’état

R1(config-if)#ip address 172.16.1.17 255.255.255.240

R1(config-if)#ip address 192.168.10.1 255.255.255.252

R1(config-if)#ip address 192.168.10.5 255.255.255.252

R1(config-router)#network 172.16.1.16 0.0.0.15 area 0

• Identifiée par l’ID de routeur