Formation MINFI - Switching

Formation du personnel du MINFI
Ebolowa , du 11 au 14 Septembre 2017
© 2017 Ministère des Finances. All rights reserved.

MODULE 1 : MISE EN ŒUVRE DES RESEAUX
COMMUTES
Mbalmayo , du 11 au 15 Septembre 2017

AGENDA
1. Concepts basiques et architecture réseau
2. Architecture d'un réseau de type Campus
3. Implémentation du Spanning-Tree
4. Implémentation du routage Inter VLAN
5. Implémentation la supervision
6. Implémentation de la haute disponibilité
7. Sécurisation du réseau de type Campus
8. Travaux Pratiques
Page 3 |
1. Concepts basiques et
architecture réseau
Module 1 : mise en œuvre des réseaux commutés Page 4 |

1.1. Analyser un réseau campus :
 Infrastructures séparées pour la voix, les données et la vidéo
 Intégration difficile des applications dans un réseau
 Les réseaux pour la voix ne sont pas conçus pour supportés la
future convergence voix, données et vidéos

1.1. Analyser un réseau campus : écosystème internet
Une nouvelle architecture mondiale – hautement

adaptable, ouvert, Évolutif et convergent.

1.1. Analyser un réseau campus:
L'architecture physique d'un réseau de campus répond à certains
impératifs comme:
 L'adaptabilité aux nouvelles topologies;
 La redondance en cas de failles réseaux;
 L'agrandissement du réseau;
 La centralisation des servers et applications pour simplifier
l'administration;
 Support de plusieurs protocoles routables et commutables;
Il existe principalement 2 architectures types:
 L'architecture AVVID pour une convergence voix, donnée,
vidéo
1L'architecture
Module multicouches
: mise en œuvre des réseaux commutés (3 couches). Page 7 |
 AVVID
 Architecture for Voice, Video, and Integrated Data
 Conçu pour faciliter l'agencement et la conception des réseaux
d'entreprises
 Composé de 3 éléments principaux :
 Infrastructure réseau : le matériel et les applications nécessaires au
transport entre les utilisateurs et ses ressources
 Intelligent Network Service : Permet d'obtenir le niveau de sécurité
approprié aux utilisateurs ou aux applications, ainsi que la QoS, la
disponibilité des services, la redondance, ...
 Network Solutions : Ce sont les éléments du réseau qui supporte les
service du « Intelligent Network Service »
 L'architecture trois couches
 Core Layer (le cœur du
réseau): fournit un Backbone à
haut débit
 Distribution Layer: implémente
les politiques réseaux de
l'entreprise
 Access Layer: donne aux
utilisateurs l'accès aux réseaux

 La couche Accès – Access Layer
(Feature Rich Environment)
 Sur cette couche, il est possible de mélanger des réseaux
commutés (switch) et partagés (hub)
 Définir les VLANs afin d'interdire la propagation des
broadcasts et des multicasts
 Filtrer le trafic en fonction des adresses MAC
 Dédier de la bande passante à destination des serveurs
 Authentifier les accès des utilisateurs au réseau
 Cisco Catalyst® integrated security features IBNS
(802.1x), (CISF): port security, DHCP snooping, etc
 PVST+, Rapid PVST+, EIGRP, OSPF, DTP,
PAgP/LACP, UDLD, FlexLink, etc.
 Automatic phone discovery, conditional trust
boundary, PoE

 La couche de distribution – Distribution
Layer (Policy, Convergence, QoS, and
High Availability)
 Interconnecter entre-eux les switchs de la couche
d'accès au réseau et faire la liaison avec le cœur
de réseau
 les fonctionnalités de niveau 3 et mettre en place
la politique de sécurité
 Mettre en place les VLANs
 Faire le routage entre les VLANs Effectuer
l'agrégation des routes
 Availability, load balancing, QoS
 HSRP or GLBP to provide first hop redundancy

 La couche cœur du réseau – Core Layer
(Scalability, High Availability, and Fast
Convergence)
 Permettre la commutation entre les différentes

couches de distribution aussi vite que possible
 Backbone du réseau — permet d’interconnecter
les différents blocs du réseau

Architecture d’un réseau de Campus avec les services

Les réseau de campus comme une plateforme

1.2. Comparer les commutateurs de niveau 2 et multi-niveaux :
 Un commutateur standard, donc de niveau 2, s’appuie sur les adresses MAC

émettrices et destinataires pour faire la commutation de datagrammes.
 Le commutateur multi-niveaux utilise un protocole de routage et une table de
routage pour déterminer le meilleur chemin.
 Exemple :

1.3. Implémenter le PoE :
La technologie PoE (Power over Ethernet) permet au commutateur de fournir une
alimentation à un périphérique à travers le câblage Ethernet existant.

Il existe deux normes:
La norme 802.3af :
L’alimentation fournie peut aller jusqu’à 15,4W au niveau du commutateur ou de
l’injecteur, et se traduit par une consommation électrique de 12,9W maximum au
niveau du périphérique pour une tension de 48 V.
PSE (Power Sourcing Equipment) : le périphérique qui fournit l’alimentation
PD (Powered Device): Le périphérique qui reçoit l’alimentation.
• La norme 802.3at
appelée également PoE+ :L’alimentation fournie est de 24W minimum et peut aller
jusqu’à 30W pour une tension de 48V

Table 1 IEEE Standard Power Classes

IEEE Power delivered by Maximum power used by Class signature current
802.3af switch port powered device (typical and maximum)
Power class
0 15.4 W 12.95 W 0-4 mA, 6 mA max.
1 4W 3.84 W 9-12 mA, 14.5 mA max.
2 7W 6.4 9W 17-20 mA, 23 mA max.
3 15.4 W 12.95 W 26-30 mA, 33 mA max.
4 - - 36-44 mA, 48 mA max.
Exemple :
Cisco Catalyst 3750E-24PD 24 10/100/1000 ports with PoE and 2x2 10 Gig uplinks
Cisco Catalyst 2975GS-48PS-L 48 10/100/1000 PoE ports and 4 SFP uplinks

 Les PSE tels que les switchs et injecteurs fournissent normalement une puissance
donnée, souvent comprise entre 300 W et 500 W.
 Sur un switch avec 48 ports, l’intégralité des 15,4 W doit être réservée pour
chaque port qui utilise PoE, ce qui signifie qu’un switch de 300 W ne peut
alimenter que 20 des 48 ports.

1.4. Implémenter le LLDP - Link Layer Discovery Protocol:
 Link Layer Discovery Protocol (LLDP) est un protocole normé dans la publication
802.1ab.
 C'est un protocole destiné à remplacer un bon nombre de protocoles propriétaires (Cisco
CDP, Extreme EDP, etc.) utilisés dans la découverte des topologies réseau de proche en
proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements
réseaux, et utilisateurs finaux.
 LLDP est un protocole ouvert constitué de :
 un entête et une fin de message fixe
 un ensemble de conteneurs d'information (TLV - Type, Length, and Value
descriptions)

1.5. Rôles des périphériques du réseau commuté :
 Pour mieux appréhender les notions de couches réseau, nous
devons comprendre quels rôles les différents équipements
jouent dans le réseau.
 Equipements
 Hubs/Repeaters,
 Layer 2 Bridges/Switches
 Layer 3 Routers
 Layer 3/Layer 4 Switches (Ports TCP/UDP)

 Hubs/Repeaters :
- Fonctionne sur la couche 1 du model OSI
- Lorsqu’il reçoit une trame, il la transmet à tous ses ports
- Non manageable et non intelligent
- Pas d’inspection de la trame avant la retransmission
- Tous les équipements connectés au Hub sont :
- dans le même domaine de collision
- Ethernet CSMA/CD Half duplex transmission
- dans le même domaine de Broadcast

 Layer 2 Bridges/Switches :
- ‘manageable’ et ‘non manageable’
- Les trames sont transmises sur la base de l’adresse MAC de destination
- La table CAM est utilisée pour la décision
- Pas de réécriture lors de la transmission de la trame
- Les commutateurs sont des ponts accélérés matériellement
- ASIC (application specific integrated circuit)
- Tous les équipements connectés au Bridge/switch sont :
- dans les domaines de collision différents (full duplex)
- dans le même domaine de Broadcast

 Layer 2 Bridges/Switches – Broadcast domains:
- Définit qui peut communiquer directement sur la couche 2
- Lorsque la trame de broadcast (FFFF.FFFF.FFFF) est reçue, elle est
transmise à tous les ports du ‘domaine broadcast’ à l’exception du port
réceptrice de la trame --- Flooding procedure
- Unmanaged bridges/Switches
- Tous les ports sont dans le même domaine de broadcast
- Managed Switches
- Utilisent les VLANs pour regrouper les ports dans des domaines de
broadcast différents
- Les trames dans le même VLAN sont commutés au niveau 2
- Les paquets entre les VLANs doivent être routés au niveau 3

 Layer 3 router :
- Les paquets sont transmis sur la base de l’adresse IP de
destination
- Reconstruit l’entête la trame de niveau 2 à chaque saut
(Routeur).

 Layer 3/Layer 4 Switches (Ports TCP/UDP) :
- Les paquets sont transmis sur la base de l’adresse IP de
destination
- Lorsque des multiples chemins à coût égal sont disponibles, les
Layers 4 Switches ajoutent les informations sur les ports
UDP/TCP SRC/DST au CEF (Cisco Express Forwarding),

2. Architecture d'un
réseau de type Campus

2.1. Implémenter les VLAN et les trunks – overview :
Analysons ce schéma
- Que se passe-t-il lorsqu'un ordinateur
connecté au commutateur de Research
envoie une émission comme une requête
ARP?
- Que se passe-t-il lorsque le commutateur
Helpdesk échoue?
- Est-ce que nos utilisateurs au
commutateur ‘Human Resource’ auront
une connectivité réseau rapide?
- Comment implémenter la sécurité dans
ce réseau?
Deux autres questions :
• Combien de domaines de collision est-ce
que nous avons ici?
• Combien de domaines de diffusion avons-
nous ici?

2.1. Implémenter les VLAN et les trunks – overview :
- VLAN - Virtual Local Area Network
- Les hôtes d’un même VLAN partage le même domaine
de broadcast
- Les switchs créent des tables CAM (Content-
Addressable Memory) par VLAN
- Le trafic à l’intérieur d’un VLAN est commuté au
niveau 2
- Le trafic entre les VLANs doit être routé au niveau 3
- Les VLANs peuvent transiter entre plusieurs Switchs
- ‘VLANs Trunks’ portent les trafics de plusieurs
VALNs entre les Switchs
- Trois nécessités pour introduire le concept
- Limiter les domaines de broadcast
- Garantir la sécurité
- Permettre la mobilité des utilisateurs
2.1. Implémenter les VLAN et les trunks – VLAN numbering :
- 12 bit field (0 – 4095)
- 0 & 4095 reserved for 802.1q standard
-VLANs sont généralement regroupés en trois

catégories :
- Standard
- Extended
- Internal
Standard VLANs
» Standard VLAN range is 1 – 1005
» VLAN 1
• Default Ethernet Access VLAN & default 802.1q Native VLAN
• Cannot be deleted, but can be manually pruned from trunks
• Cannot be pruned by VTP
• Should not be used for actual port assignments
» VLANs 1002 – 1005
• Default legacy Token Ring / FDDI VLANs
• Cannot be deleted, but can be manually pruned from trunks
• Cannot be pruned by VTP
• Should not be used for actual port assignments

Extended VLANs
» Extended VLAN range is 1006 – 4094
» Can normally only used in one of two cases

• VTP is configured in Transparent Mode
• VTP Version 3
» Not all extended VLANs can be used

• Some are reserved for “internal” usage

Internal VLANs
» VLANs reserved for internal applications
• E.g. native layer 3 switchports
• show vlan internal usage
» Not all platforms agree on the internal range

• For real deployments, check the internal allocations
• Some allocate ascending, some descending

2.1. Implémenter les VLAN et les trunks – Création des VLANs :
- Les commutateurs basés sur CISCO IOS stockent des informations VLAN
en flash dans la base de données VLAN
- VLAN.dat
- Les VLANs peuvent être créés….
- Globally
- VLAN database
- At the time of assignment
- La création d’un VLAN crée automatiquement …
- Spanning-Tree instance
- MAC address table
- Verified with…
- show vlan [brief]
- show spanning-tree vlan
2.1. Implémenter les VLAN et les trunks – Création des VLANs :
- Création VLAN ou plage de VLANs - Ajout de ports à un VLAN
Etape 1 : entrer en mode de configuration Etape 1 : entrer en mode de configuration
switch# configure terminal switch# configure terminal
Etape 2 : Créer un VLAN ou une plage de VLANs. Etape 2 : Spécifier l'interface à configurer .
switch(config)# vlan { vlan-id | vlan-range } switch(config)# interface {type slot/port | port-channel
number}
Etape 3 : nommer le VLAN
switch(config-vlan)# name vlan-name Etape 3 : Définir le mode d'accès de l'interface au VLAN
spécifié.
Etape 4 : Supprimer un VLAN switch(config-if)# switchport mode access
switch(config-vlan)# no vlan { vlan-id | vlan-range } switch(config-if)# switchport access vlan vlan-id
Etape 4 : Supprimer un VLAN

- Vérification de la configuration du VLAN switch(config-vlan)# no vlan { vlan-id | vlan-range }
show vlan
show vlan brief
show interfaces fa0/1 switchport

2.1. Implémenter les VLAN et les trunks –VLAN Trunk :
Jetons un coup d'oeil à l'exemple ci-dessus. Il y a trois ordinateurs de chaque côté

appartenant à trois VLAN différents. VLAN 10,20 et 30. Il y a deux commutateurs reliant
ces ordinateurs les uns aux autres.

Trame Ethernet :
Préambule : Ce champ est codé sur 7 octets et permet de synchroniser l’envoi.

SFD (Starting Frame Delimiter): Ce champ est codé sur 1 octet et indique à la carte réceptrice que le
début de la trame va commencer.
Adresse destination: Ce champ est codé sur 6 octets et représente l’adresse MAC (Medium Access
Control) de l’adaptateur destinataire.
Adresse source: Ce champ est codé sur 6 octets et représente l’adresse MAC (Medium Access Control)
de l’adaptateur émetteur.
Ether Type (Length): Ce champ est codé sur 2 octets et indique le type de protocole inséré dans le
champ donnée. Voici un extrait des différentes correspondances : 0x0609 – DEC, 0x0806 – ARP, 0x0800
– IPv4, 0x8100 – 802.1Q.
Données (Data) : Ce champ est codé entre 46 et 1500 octets et contient les données de la couche 3.
L’unité de transfert maximale est le MTU (Maximale Transfer Unit) et sa valeur est classiquement de
1500 octets.
FCS: Ce champ est codé sur 4 octets et représente la séquence de contrôle de trame (erreur).
Il existe deux protocoles de ‘Trunking ou liaison d’agrégation de VLANs’ que nous

pouvons utiliser:
- IEEE 802.1Q: Un standard ouvert qui est pris en charge sur les commutateurs de
nombreux fournisseurs et la plupart des NICs.
- Cisco ISL (Inter-Switch Link): Un ancien protocole propriétaire de Cisco qui n'est pris
en charge que sur certains commutateurs Cisco.
Trame Ethernet 802.1Q (ajout du champ Tag) :

- VLAN identifier : représente le numéro du VLAN du trafic
- Priority : utilisé pour la QoS (Quality of Service)
- CFI (canonical format indicator) : est utilisé pour des raisons de compatibilité entre les réseaux
Ethernet et les réseaux de type Token ring.
- Ce champ est codé sur 2 octets et indique le type de protocole inséré dans le champ donnée
(0x0609 – DEC, 0x0806 – ARP, 0x0800 – IPv4, 0x86DD – IPv6)
La difference entre 802.1Q et ISL est que 802.1 marque la trame Ethernet tandis que ISL
encapsulate la trame Ethernet.
ISL ajoute une entête à la trame Ethernet et le champ FCS (Frame Check Sequence).
- VLAN identifier : représente le numéro du VLAN du trafic
- User : utilisé pour la QoS (Quality of Service)

2.1. Implémenter les VLAN et les trunks – Layer 2 Switchports:
» Layer 2 Switchports
• Access (One VLAN)
• Trunk (Multiple VLANs)
• Tunnel (Transparent Layer 2 VPN)
• Dynamic (DTP Negotiation)
» Layer 3 Ports
• Switched Virtual Interface (SVI)
• Native Routed Interfaces
2.1. Implémenter les VLAN et les trunks – Layer 2 Trunking :
» 802.1q
• Open standard
• “Native” VLAN sent untagged
» Cisco ISL (Inter-Switch Link):
• An old Cisco proprietary protocol
» DTP (Dynamic Trunking Protocol): is a proprietary
networking protocol developed by Cisco Systems for the
purpose of negotiating trunking on a link between two
VLAN-aware switches, and for negotiating the type of
trunking encapsulation to be used.
2.1. Implémenter les VLAN et les trunks – DTP negotiation :
» Enabled by default
» Can be disabled by…
» DTP Desirable mode
• switchport nonegotiate
• Initiates trunking negotiation
• switchport mode access
• switchport mode dynamic desirable
• switchport mode dot1q-tunnel
• switchport mode trunk
» Verified with…
» DTP Auto mode
• show interface trunk
• Passively listen for trunking
• show interface switchport
negotiation
• show spanning-tree [vlan |
• switchport mode dynamic auto
interface]

2.1. Implémenter les VLAN et les trunks – Manual Trunk Pruning :
» Trunk’s “allowed list” controls what VLANs will
forward over the link
• All VLANs (1-4094) by default
» Allowed list can be edited for manual pruning
• switchport trunk allowed vlan
» Verified with…
• show interface trunk
• show interface switchport

2.1. Implémenter les VLAN et les trunks – Configuration:
SwitchA(config)#interface fa0/14
SwitchA(config-if)#switchport mode trunk
Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.
Depending on the switch model you might see the same error as me. If we want to change
the interface to trunk mode we need to change the trunk encapsulation type. Let’s see what
options we have:
SwitchA(config-if)#switchport trunk encapsulation ?

dot1q Interface uses only 802.1q trunking encapsulation when trunking
Isl Interface uses only ISL trunking encapsulation when trunking
Negociate Device will negotiate trunking encapsulation with peer on interface

2.1. Implémenter les VLAN et les trunks – DTP configuration:
If I go to the interface configuration to change the switchport mode you can see I have more
options than access or trunk mode. There is also a dynamic method. Don’t worry about the
other options for now.

2.1. Implémenter les VLAN et les trunks – DTP configuration:
Let me give you an overview of the different switchport modes and the result:

2.2. Mettre en œuvre le VTP :
VTP ou VLAN Trunking Protocol est un protocole de niveau 2 utilisé pour
configurer et administrer les VLAN sur les périphériques Cisco.
 Le switch VTP server propage la BD
de VLAN aux Switchs clients
 Fonctionne seulement sur les liens
Trunk
 Quatre modes:
Server: updates clients and servers
Client: receive updates— cannot make
changes
Transparent: let updates pass through
Off: ignores VTP updates

2.2. Mettre en œuvre le VTP :

2.2. Mettre en œuvre le VTP – VTP Revision :
» Configuration Revision Number

• Sequence number for the database
• Highest number wins
• Domain is synchronized when revision number matches
everywhere
» Potential problems in VTP
• Wrong database with high configuration revision number can
overwrite the database
• True for both VTP servers and clients
• Reason that VTP v1/v2 is rarely used in production
2.2. Mettre en œuvre le VTP – VTP Authentication:
» Used for validation of VTP updates

» Configuring / Verifying
• vtp password
• show vtp password
• show vtp status
• compare MD5 hashes

2.2. Mettre en œuvre le VTP – VTP Pruning:
Cette commande optionnelle permet de faire
des économies de bande passante.
Explication: imaginons qu’un switch reçoit les
VLANs 1 et 2 mais qu’aucunes de ses interfaces
appartiennent au VLAN 2. Lorsque le switch
voisin lui enverra des trames du VLAN 2, ce
switch les supprimera car aucune de ses interfaces
appartiennent à ce VLAN. Il est donc inutile que le
switch voisin lui envoi du trafic pour le VLAN 2.
On active alors la fonction VTP pruning pour
avertir le switch voisin de ne pas lui envoyer de
trafic pour ce VLAN. La fonction s’active à partir
du switch Server.
2.2. Mettre en œuvre le VTP – VTP configuration:
Pour configurer le VTP, voici les étapes:
1. obligatoire: configurer un domaine VTP qui permet à tous les switchs d’être
dans le même “groupe d’amis”
2. obligatoire: configurer le mode de votre switch (client, transparent ou server)
3. optionnel: activer la fonction pruning
4. optionnel: configurer un mot de passe pour sécuriser les messages VTP
5. optionnel: activer la version 2 ou 3 de VTP (version 1 active par défaut)
Vérification :
show vtp password
show vtp counters
show vtp status

3. Implémentation du
Spanning Tree

3. Implémentation du Spanning Tree
3.1. Disponibilité dans le LAN:
Couche Protocole/Solutions Délais de reprise

L2 Rapid Spanning Tree Quelques secondes
L2 Etherchannel Plus ou moins 1 seconde pour
rediriger le trafic sur un lien alternatif
L3 First Hop Redundancy 10 secondes par défaut (Cisco) mais le
Protocols comme HSRP, constructeur conseille 1s hello time, 3s
Hold Time
VRRP, GLBP
L3 Protocoles de routage En dessous de la seconde avec OSPF
ou EIGRP bien configurés au niveau
des compteurs

3.2. Spanning-Tree :
● Spanning-Tree est un protocole L2
formalisé IEEE 802.1D qui
permet de garder une topologie
physique redondante tout en créant
un chemin logique unique.
● Spanning-Tree envoie
régulièrement des annonces
(BPDU) pour élire un
commutateur principal (root).
● En fonction de cette information, les
commutateurs "coupent" des ports et
une topologie de transfert à chemin
unique converge (de quelques
secondes à 50 secondes selon les
versions).
3.3. Variantes STP :
Sur du matériel Cisco STP fonctionne en PVST+ ou en
PVRST+
Spanning-Tree (STP) IEEE 802.1D
PVST+ STP Cisco
Rapid Spanning-Tree (RSTP) IEEE 802.1w
PVRST+ RSTP Cisco
MIST IEEE 802.1s

3.4. Protocoles 802.1 :
IEEE 802.1 est un groupe de travail du projet IEEE 802. Ses thèmes d'étude sont
(dans l'ordre où le groupe de normalisation les énumère) :
● Architecture LAN/MAN 802.
● Interconnexions avec les réseaux 802.
● Sécurité de la liaison 802.
● Gestion des réseaux 802.
● Couches de protocole au-dessus des couches MAC et LLC.
Parmi les standards IEEE 802.1 les plus populaires
● 802.1D : MAC Bridges
● 802.1Q : Virtual LANs
● 802.1X : Port Based Network Access Control
● 802.1AB : Station and Media Access Control Connectivity Discovery (
LLDP)
● 802.1AE : MAC Security
Module 1802.1AX : Link
desAggregation
●
: mise en œuvre réseaux commutés Page 58 |
3.5. Problématique :
Pour assurer la fiabilité des liaisons entre des
commutateurs du LAN il est utile de multiplier les
connexions physiques (redondance).
1. Si les commutateurs transfèrent le trafic de diffusion et
multicast par tous les ports sauf celui d’origine
2. Si les trames Ethernet ne disposent pas de durée de vie.
Plusieurs problèmes peuvent alors survenir :

3. Tempêtes de diffusion
4. Trames dupliquées
5. Instabilité des tables de commutation
3.5. Problématique – Tempête de diffusion :
● Lorsque des trames de diffusion ou de multicast sont reçues (FF-FF-FF-FF-FF-FF en
destination par exemple, du trafic ARP Req), les commutateurs les transfèrent par tous les
ports.
● Les trames circulent en boucles et sont multipliées à chaque passage sur un commutateur.
● N'ayant pas de durée de vie (TTL comme les paquets IP), elles peuvent tourner indéfiniment.

3.5. Problématique – Tempête de diffusion :
● En coupant la boucle, un seul chemin est possible d’une extrémité à
l’autre du réseau.

3.5. Problématique – Trames dupliquées :
● Dans cet autre exemple, PC1 envoie une trame à PC2, elle arrive en
double exemplaire à sa destination.

3.6. Principe de fonctionnement du STP:
● Afin de profiter de la redondance tout en évitant la
problématique des boucles, Spanning-Tree crée un chemin sans
boucle basé sur le chemin le plus court.
○ Ce chemin est établi en fonction de la somme des coûts de liens entre les
commutateurs.
○ Ce coût est une valeur inverse à la vitesse d'un port, car un lien rapide aura un coût
moins élevé qu'un lien lent.
● Aussi, un chemin sans boucle suppose que certains ports
soient bloqués (état Blocking) et pas d'autres (état
Forwarding).
● Les commutateurs STP échangent régulièrement (2s. par défaut,
en Multicast) des informations (appelées des BPDU - Bridge
Protocol Data Unit) afin qu'une éventuelle modification de la
topologie
Module puisse
1 : mise en œuvre êtrecommutés
des réseaux adaptée sans boucle. Page 63 |
3.6. Principe de fonctionnement du STP:
Les commutateurs utilisant STP échangent des informations avec un message spécial
appelé BPDU (Bridge Protocol data unit). Ce message BPDU contient le ‘bridge
identifier : BID’ :
 d’une priorité configurable , par défaut cisco 32768 (0111)
 d’une “Bridge System ID Extension” de 12 bits (N° VLANs)
 de l’adresse MAC du commutateur

3.7. Algorithme du STP:
Spanning-Tree calcule une topologie sans boucle en 4 étapes :
1. Sélection d'un commutateur Root, un seul

par topologie, qui sera le commutateur racine
de la topologie, tous ses ports transfèrent le
trafic (ports Designated). Le commutateur
avec le BID le plus faible remporte l’élection.

2. Le switch A est maintenant notre Root
Bridge. Les autres commutateurs sont
appelés non-Root. Ses interfaces qui
transférent du trafic sont appelés
Designated ports (D).

3. Les deux commutateurs non-root doivent
trouver le chemin le plus court pour atteindre le
Root. C’est le port qui a le coût le plus faible vers
le commutateur Root qui est sélectionné, il est le
seul à transférer le trafic. Ce port est appelé root
port. Le coût est calculé inversement à la vitesse
de la liaison :
Vitesse du Coût Plage de coût
lien recommandée
10 Mbps 100 50 à 600
100Mbps 19 10 à 60
1Gbps 4 3 à 10
10Gbps 2 1à5
4. Afin de briser la boucle, nous devons

bloquer une interface entre le commutateur
B et le commutateur C. A cet effet, nous
comparons les BID des commutateur B et
C. Le port qui bloque le trafic est appelé
‘alternate port’ (A).

3.8. STP en résumé :
● 1 commutateur Root par réseau dont tous les ports sont
Designated (Forwarding)
● 1 port Root (Forwarding) par commutateur Non-Root
● 1 port Designated (Forwarding) par domaine de collision (liaison)
● tous les autres ports sont Non-Designated (Blocking)
Port ⇋ Port Etat ⇋ Etat Commutateur ⇋ Commutateur
Root ⇋ Designated Forwarding ⇋ Forwarding Non-root ⇋ Root

Designated ⇋ Root Forwarding ⇋ Forwarding Non-root ⇋ Non-root
Designated ⇋ Non-Designated Forwarding ⇋ Blocking Non-root ⇋ Non-root

3.9. Les différents états STP :
États Délais Transfert Apprentissage Envoit des A l’écoute des
data MAC BPDUs BPDUs,
SNMP
Blocking Max Age = non non non oui, en attente de
20 sec. BPDUs
Listening Forwarding non non oui oui

Delay = 15
sec.
Learning Forwarding non oui oui oui

Delay = 15
sec.
Forwarding oui oui oui oui
Un port démarre en état “Blocking” et peut atteindre l’état “Forwarding” en fonction des
BPDUs reçus.
3.10. Les délais STP ou STP Timers:
Les Timers affectent la transition entre les états du port :
- A définir uniquement sur le Root Bridge
- Âge maximum, délais avant lequel un port attend avant d’entrer en état “Listening” :
(config)#spanning-tree [vlan vlan-id] max-age seconds, 6 à 200 secondes, 20
secondes par défaut
- Délais pour atteindre l’état “Forwarding” :

(config)#spanning-tree [vlan vlan-id] forward-time seconds, 4 à 200 secondes, 15 secondes
par défaut
- Fréquence des Hellos STP :

(config)#spanning-tree [vlan vlan-id] hello-time seconds 1 à 10 secondes, 2 secondes
par défaut
- Vérification : show spanning-tree vlan [vlan]
3.11. Les Messages STP :
Les commutateurs s'échangent (BPDU) de
04 types :
● type Configuration : utilisés lors des

élections, pour maintenir la connectivité
entre les commutateurs
● type Topology Change Notification (TCN) :
envoyés auprès d'un commutateur Root pour
signaler des ruptures de liens. Quand un
commutateur reçoit un TCN, il l'accuse de
réception avec un topology change
acknowledgement (TCA).

3.11. Les Messages STP :
● Une fois que la notification de
changement de topologie
(topology change notification)
atteint le Root Bridge, il
définira le bit TC (changement
de topologie - topology change)
dans les BPDU qu'il enverra à
tous les switchs Non-Root.

3.12. Les variantes STP :
Protocole Standard Convergence Instances /VLANs
Spanning-Tree (STP) IEEE 802.1D Lente Unique
PVST+ STP Cisco Lente Multiple
Rapid Spanning-Tree IEEE 802.1w Rapide Unique

(RSTP)
PVRST+ RSTP Cisco Rapide Multiple
MIST IEEE 802.1s Rapide Multiple

3.12. Les variantes STP - PVST+ :
● PVST+ est la version Cisco améliorée de STP IEEE
802.1D-2004.
● Avec PVST+, il y a une instance STP par VLAN.
● PVRST+ est la version améliorée de RSTP.
● MST est un standard IEEE 802.1s de
l’implémentation propriétiaire du Cisco Multiple
Instances Spanning Tree Protocol (MISTP). MST
distribue la charge de plusieurs VLANs sur plusieurs
liens STP.
3.12. Les variantes STP - RSTP / PVRST+ :
RSTP / PVRST+ font fait passer le temps de convergence à 6
secondes maximum ce qui les rend beaucoup plus opérationnel que
STP.
Pour l'activer, en mode de configuration globale :
(config)#spanning-tree mode rapid-pvst
En général, RSTP fonctionne de la même manière que STP :

1. Mêmes règles d’élection du commutateur Root
2. Mêmes règles de sélection d’un port Root sur un
commutateur non-Root
3. Mêmes règles d’un unique port Designated sur un segment
Modulephysique et les
1 : mise en œuvre autres
des réseaux en état “Blocking”.
commutés Page 76 |
3.13. Différences entre STP et RSTP :
Les différences par rapport à STP :
1.Il n'y a plus que trois états pour les ports RSTP :
● Discarding (au lieu de Disabled, Blocking et Listening)
● Learning et Forwarding (gardant la même fonction)
2.Les rôles port Root et port Designated subsitent. Les meilleurs ports alternatifs prennent
le nom de lien de sauvegarde de ces derniers : port Alternate et port Backup. Ils prennent
le rôle port Root et port Designated en cas de défaillance.
3.Types. Les ports connectant des périphériques terminaux s'appellent des ports Edge qui
remplissent la même fonction que la fonction Portfast en PVST+. Les ports Point-to-
Point connectent des commutateurs entre eux.
Alors que STP attend passivement des BPDUs pour agir, RSTP négocie le statut des liens
rapidement (3 X le Hello Time = 6 secondes).

3.14. Diagnostic du STP :
Pour vérifier l’état du STP
Switch#show spanning-tree
Pour le diagnostic STP sur un VLAN :
Switch#show spanning-tree vlan vlan-id
Pour le diagnostic STP d'une interface :
Switch#show spanning-tree interface interface
Pour des informations détaillées :
Switch#show spanning-tree detail
Pour vérifier uniquement les interfaces actives :
Switch#show spanning-tree active

3.14. Configurer les agrégations de ports de Niveau 2 :
Généralités sur Etherchannel :
- La technologie EtherChannel a été inventée par la société Kalpana en début des
années 1990, société par la suite acquise par Cisco Systems en 1994.
- Le but principal d’EtherChannel est d’augmenter la vitesse et la tolérance aux
pannes entre les commutateurs, les routeurs et les serveurs. Un lien
EtherChannel groupe un ensemble de deux à huit liens actifs 100 Mbit/s, 1
Gbit/s ou 10 Gbit/s, avec éventuellement, un à huit liens inactifs en réserve qui
deviennent actifs quand les liens actifs sont coupés.
- NB: EtherChannel peut être utilisé sur des liens cuivre en paire torsadée aussi
bien que sur fibre optique monomode et multimode.

Définition d’Etherchannel :
- EtherChannel est une technologie d’agrégation de liens qui permet d’assembler
plusieurs liens physiques Ethernet en seul lien logique afin d’augmenter
significativement la bande passante et d’assurer la redondance des liens.

Concepts liés à Etherchannel :
- Lorsqu’un EtherChannel est configuré, l’interface virtuelle résultante est appelée
un canal de port (Port-channel abrégé Po). Les interfaces physiques sont
regroupées dans une interface de canal de port.
- Il existe 2 protocoles d’agrégation de lien suivant lesquels l’on peut configurer
un EtherChannel :
- Le protocole PAgP (Port Aggregation Protocol) propriétaire CISCO
- Le protocole LACP (Link Aggregation Control Protocol) normalisé sous la
spécification IEEE 802.3ad.

Configuration Etherchannel :
- Configuration manuelle
- Configuration automatique : PAgP ou LACP

Configuration Etherchannel :

Vérification Etherchannel :
- Show etherchannel summary : résumé de la configuration EtherChannel
- Show etherchannel port-channel : informations sur toutes les interfaces port-
channel
- Show interfaces port-channel id_port-channel : information sur le canal de port
dont l’Id est donné
- Show interfaces etherchannel : informations sur les interfaces faisant partie
d’un etherchannel

Avantages Limites
Bande passante plus Impossibilité d’utiliser des interfaces de
importante types différents pour créer un
Etherchannel
Prévention de panne Nécessité d’avoir la même configuration
au niveau des interfaces à agréger
Equilibrage de charge Nombre de lien regroupable limité à huit
Tâches de
configuration réalisées
sur l’interface
Etherchannel
4. Implémentation du
routage Inter VLAN

4.1. Introduction :
- Un VLAN permet de segmenter un réseau commuté et améliorer les
performances, ainsi la facilité de gestion et la sécurité.
- Un VLAN est un domaine de diffusion : les ordinateurs se trouvant sur des
VLANs différents ne peuvent donc pas communiquer sans l’intervention d’un
dispositif de routage.
- Nous pourrions utilisez un routeur externe, mais il est également possible
d'utiliser un commutateur multicouches (aka commutateurs de couche 3 ).

4.1. Configurer le routage Inter VLAN sur un routeur :
Routage inter-VLAN traditionnel
- Une connexion à chaque VLAN
- Supposons que PC1 envoie une trame à PC3
- Sur un réseau avec 100 VLANs, comment
peut-on faire ?

4.1. Configurer le routage Inter VLAN sur un routeur :
Solution : ‘Router on a stick’ Inter-VLAN routing
Switch1(config)#interface fa0/5
Switch1(config-if)#switchport trunk encapsulation dot1q
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#switchport trunk allowed vlan 10,20
Router1(config)#interface fa0/0.10
Router1(config-subif)#encapsulation dot1Q 10
Router1(config-subif)#ip address 172.17.10.1
255.255.255.0
Router1(config)#interface fa0/0.20
Router1(config-subif)#encapsulation dot1Q 20
Router1(config-subif)#ip address 172.17.20.1
255.255.255.0

4.2. Configurer le routage sur un commutateur :
•  Un switch de niveau 3 assurera le routage entre tous les VLAN qu'il connait
grâce à la création de SVI (Switch Virtual Interface).
•  En activant les fonctions de routage sur le switch

SwitchA(config)#ip routing
•  En créant les SVI

SwitchA(config)#interface vlan 10
SwitchA(config-if)#no shutdown
SwitchA(config-if)#ip address 172.17.10.1 255.255.255.0
SwitchA(config)#interface vlan 20
SwitchA(config-if)#no shutdown
SwitchA(config-if)#ip address 172.17.20.1 255.255.255.0

5. Implémentation la
supervision

5.1. Introduction :

L ’administration des réseaux est un ensemble de techniques permettant de
maîtriser les aspects techniques, financiers, organisationnels, et de sécurité d ’accès
aux informations.

L ’aspect technique doit garantir la qualité de service sous tous ses formes et en
particulier la continuité de services.

L ’aspect financier doit permettre d ’évaluer tous les coûts introduits par le mode
d ’utilisation du réseau.

L ’aspect organisationnel permet de contrôler la structure du réseau et de son
évolution.

L ’aspect sécurité couvre la confidentialité des données et le contrôle d ’accès à ces
données.

5.1. Introduction :

Les fonctions d ’administration des réseaux peuvent être groupées en deux
catégories : la surveillance et le contrôle.

La surveillance ou l ’observabilité est reliée à la lecture, l ’observation et
l ’analyse de l ’état du réseau et la configuration de ses éléments.

Le contrôle est relié à l ’écriture et la modification de la configuration des
paramètres de plusieurs éléments du réseau.

5.2. Le protocole SNMP :
SNMP est un protocole de gestion réseaux proposé par l’IETF (Internet Engineering
Task Force)

5.2. Le protocole SNMP - Architecture:
NMS: Network Management System, est un logiciel installé dans une station de
travail permettant d'interpréter les données en provenance des équipements
managés.
 L’agent (Agent) est un processus installé dans les équipements administrés. Il
assurer les fonctions suivantes:
 Collecter les informations sur les équipements,
 Permettre la prise en charge des équipements à distance par le NMS
 Envoyer des traps à la station NMS
une MIB (Management Information Base) décrivant les informations gérées
(objets administrés).

5.2. Le protocole SNMP - les versions :
Les différentes versions de SNMP :
 SNMPv1 : RFC 1157;
 SNMPv2c : RFC 1901;
 SNMPv3 : RFC 2273 à 2275 venu palier au failles de la version 2c utilisant
comme mot de passe un identifiant de communauté transmis sur le réseau
en clair. Elle apporte en autre l’intégrité, l’authentification et le cryptage.

5.2. Le protocole SNMP - les modèles de sécurité :
Version Level Authentication Encryption
v1 noAuthNoPriv Community String None
v2c NoAuthNoPriv Community String None
v3 NoAuthNoPriv Username None
v3 AuthNoPriv MD5 or SHA None
v3 AuthPriv MD5 or SHA DES, 3DES, AES
noAuthNoPriv = no authentication and no encryption.

AuthNoPriv = authentication but no encryption.
AuthPriv = authentication AND encryption.

5.2. Le protocole SNMP – Version 1:
Le champ version indique la version du protocole SNMP. Avec le SNMPv1, ce champ = 0
Le champ community name, permet d’authentifier les paquets échangés entre le NMS et
l’Agent.
Le champ SNMPv1 PDU, indique les messages get PDUs, get-next PDUs, set PDUs,
response PDUs, and trap PDUs.


GetBulk Request : est utilisé par le NMS manager pour récupérer efficacement de
grandes quantités (plusieurs lignes - Get-Next Request ) de données à partir de l'agent
SNMP.

Inform : est utilisé pour envoyer un accusé de réception de l'agent SNMP au NMS

5.2. Le protocole SNMP – Configuration SNMP v1&2:
Step 1 Enter privileged mode switch>enable
Step 2 Entrer mode de configuration switch#configure terminal
globale
Step 3 Configurer les infos de contact switch(config)#snmp-server contact text
SNMP
Step 4 Configurer la localisation du switch(config)#snmp-server location text
NMS
Step 5 Configurer le numéro de switch(config)#snmp-server chassis-id number
chassis du routeur
Step 6 Configurer les droits d’accès à switch(config)#snmp-server view view-name oid-
la MIB tree {included | excluded}
Step 7 Sortir du mode de switch(config)#end
configuration globale
5.2. Le protocole SNMP – Configuration SNMP v1&2, suite:
Step 8 Activer l’authentification des switch(config)#snmp-server

paquets entre le NMS et community string[view view-name]
l’Agent [ro | rw] [access-list-number]
Step 9 Configurer l’envoie des traps switch(config)#snmp-server
SNMP vers le NMS host host [traps |informs] [version
{1 | 2c | 3 [auth | noauth |priv]}]
{community-name | username}
Step 10 Activer l’envoie des traps switch(config)#snmp-server contact text
snmp


SNMPv3 est plus sécurisé que le SNMPv1 et SNMPv2c parce qu’il supporte
l’authentification des utilisateurs, ACLs, l’autorisation et le cryptage des
authentifications. Les modes d’authentification incluent MD5 et SHA, le mode
de cryptage est DES 56.

5.2. Le protocole SNMP – Configuration SNMP v3:
Etape 1: créer un groupe (nom du groupe : MYGROUP)
SW1(config)#snmp-server group MYGROUP ?
v1 group using the v1 security model
v2c group using the v2c security model
v3 group using the User Security Model (SNMPv3)
Etape 2: choix du modèle de sécurité

SW1(config)#snmp-server group MYGROUP v3 ?
auth group using the authNoPriv Security Level
noauth group using the noAuthNoPriv Security Level
priv group using SNMPv3 authPriv security level

Etape 3: choix sur les hôtes du NMS
R1(config)#snmp-server group MYGROUP v3 priv ?
access specify an access-list associated with this group
context specify a context to associate these views for the group match context
name match criteria
notify specify a notify view for the group
read specify a read view for the group
write specify a write view for the group
<cr>

Etape 4: configurer le compte utilisateur pour l’authentification entre l’Agent et le
NMS
Authentification : MD5
Group: MYGROUP
Username: MYUSER
Password: MYPASS123
Encryption key (AES 128-bit): MYKEY123
SW1(config)#snmp-server user MYUSER MYGROUP v3 auth md5 MYPASS123 priv

aes 128 MYKEY123
Etape 5: vérification
SW1#sh snmp user
SW1#sh snmp group
5.3. Le protocole NTP :
NTP (Network Time Protocol) : mise à jour des
horloges en se synchronisant sur des serveurs
de temps présents sur Internet.
 Les serveurs de strate 0, qui sont des
horloges atomiques. Ce sont les serveurs
de référence.
 Les serveurs de strate 1. Ils se
synchronisent sur les serveurs de strate 0.
Leur dérive est de 1 seconde pour 10 000
ans...
Ce sont généralement des serveurs
publics.
Au niveau entreprise

5.3. Le protocole NTP - nombre de serveurs NTP dans le monde:
 Strate 1 : Il en existe environ 230 dans le monde.
 Strate 2 : Les serveurs secondaires (environ 4500)
 On peut avoir jusqu'à 15 couches, mais en général, on

ne dépasse pas la 5ème. Notons que les simples clients
ne sont pas autorisés avant la strate 3

5.3. Le protocole NTP - Méthode de synchronisation:
 Le mode client/serveur :
 Le client se synchronise sur l'heure du serveur.
 Le mode symétrique :
 La priorité est donnée au poste qui a la plus courte
distance de synchronisation.
 Le mode multicast :
 Permet au client d'obtenir une réponse de plusieurs
serveurs
5.3. Le protocole NTP – Architecture :
L'architecture NTP prévoit :
 la diffusion verticale arborescente de
proche en proche d'une heure de référence
à partir d'une ou plusieurs machines
racines garantes d'une grande précision
 la diffusion latérale à des machines paires

d'une heure commune. Cette diffusion
vient en complément de la précédente; elle
permet à ces machines de partager une
référence de temps qui leur est commune.

5.3. Le protocole NTP – Liste des serveurs NTP français :
Serveurs français primaires (strate 1) :

 canon.inria.fr (Rocquencourt -near Paris)
 chronos.cru.fr (CRU, Université de Rennes 1)
 ntp1.jussieu.fr (Universités Paris VI/Paris VII)
Serveurs français secondaires (strate 2):
 ntp.univ-lyon1.fr (Univ. Lyon)
 ntp.imag.fr (Grenoble).
 ntp.uvsq.fr (Université de Versailles - St Quentin en Yvelines
 ntp.laas.fr (LAAS/CNRS, Toulouse).
 ntp.com.univ-mrs.fr (Centre d'Oceanologie de Marseille)
 ntp.unilim.fr (Universite de Limoges)
5.3. Le protocole NTP – Configuration :
1. config t
2. [no] ntp server {ip-address | ipv6-address | dns-name}
[key key-id] [maxpoll max-poll] [minpoll min-poll] [prefer] [use-
vrf vrf-name]
3. [no] ntp peer {ip-address | ipv6-address | dns-name} [key key-
id] [maxpoll max-poll] [minpoll min-poll] [prefer] [use-vrf vrf-
name]
Authentification NTP
1. config t
2. [no] ntp authentication-key number md5 md5-string
3. [no] ntp
Module trusted-key number
1 : mise en œuvre des réseaux commutés Page 111 |
5.4. Autres plateformes de supervision :
Outils Caractéristiques Avantages Inconveniants
Zabbix -Auto découverte des machines du réseau -Facilité d’installation -Chaque machine à superviser
-Mise en place de tests indépendants sur les -Génération facile des graphs doit disposer du client Zabbix
machines -Facilité de consultation des graphs
-Gestion des alertes en fonction du temps -Limité au ping sans le client
-Affichage clair des erreurs sur le
Dashboard

Nagios/ -Surveillance des services (SMTP, POP3, -Grosse communauté et bonne -Difficile à installer et à
Centreon HTTP, FTP) réputation configurer
-Surveillance des ressources d’une machine -Très puissant et modulaire -Nagios dispose d’une interface
(la charge du processeur, l’espace disque, …) -Peut disposer d’une surcouche austère
-Possibilité de développer ses propres graphique (Centreon) -Nagios n’affiche pas de graphs
plugins -Centreon apporte la gestion de en natif
-Hiérarchisation des équipements composant graphiques -Nagios ne permet pas d’ajouter
le réseau -Peut disposer de nombreux plugins des hosts via Web
-Notification par email
-Journalisation des évènements


6. Implémentation de la
haute disponibilité

6.1. Introduction :
 Les réseaux informatiques sont de plus en plus
grands et logiques
 Les LANs ne sont plus géographiquement limités
 Tout LAN a une passerelle (Gateway)
 Systématiquement une passerelle est un routeur
Problématique :
Comment assurer une tolérance de panne efficace au
niveau de toutes nos passerelles afin d’obtenir une
disponibilité maximale.

6.2. Solution proposée:
 La redondance des passerelles (Routeur ou L3 Switch)
 C’est un procédé utilisé dans le cas de passerelles qui sont dédoublées
 Le deuxième prenant la place du premier en cas de panne
 Le composant de secours identique prend le relais automatiquement
assurant ainsi la continuité de service indispensable au fonctionnement
d’une entreprise
 Le mode de fonctionnement de la redondance repose sur les protocoles :
 HSRP (Hot Standby Routing Protocol) : Propriétaire cisco, créé en 1994,
Active/Standby Failover
 VRRP (Virtual Router Redundancy Protocol) : Créé par l’IETF en 1999
(donc compatible multi vendeurs), identique à HSRP (toutefois VRRP utilise
des timers plus petit par défaut le rendant plus rapide)
 GLBP (Gateway Load Balancing Protocol) : Propriétaire cisco, créé en
2005, permets le failover Active/Active pour faire du load-balancing.
6.3. Hot Standby Router Protocol (HSRP):
 Protocole de redondance de
passerelle propriétaire Cisco.
 Les routeurs participant

communiquent entre eux et
s'accordent sur un routeur virtuel
avec une adresse IP virtuelle que
les systèmes d'extrémité utilisent
comme passerelle par défaut.

6.3. Hot Standby Router Protocol (HSRP) :
6.3.1. Failover
 Quand le routeur actif ou les
liaisons entre routeurs sont
défaillantes, le routeur standby ne
reçoit plus de messages hello du
routeur actif. Le routeur standby
assume alors le rôle de routeur
d'acheminement.
 Comme le nouveau routeur
d'acheminement prend en charge
les adresses IP et MAC du routeur
virtuel, les stations d'extrémité ne
voient pas de rupture de service.

6.3.2. Principe de
 fonctionnement
Timers:
 Hello: 3s
 Hold timer: 10s
 Modifiables via la commande standby [#] timers hello hold
 Les passerelles sont regroupées en « Standby groups » au sein desquelles les routeurs se
partagent une IP et une adresse MAC virtuelles.
 Au sein d’un group standby, il y a un routeur actif, et les autres en standby.
 Le choix du routeur actif se fait en fonction de la priorité HSRP (100 par défaut), et, si les
priorités sont identiques, en fonction de l’adresse IP (la plus grande valeur, la plus haute
priorité).
 La fonctionnalité de tracking permet de baisser dynamiquement cette priorité au cas où un
évènement doit faire modifier la topologie;
 Il est aussi possible de tracker des objets SLA/RTR, par exemple un ping vers la passerelle du
FAI
 les adresses MAC virtuelles HSRP ont cette forme (peuvent être changées via la commande
standby # MAC): 0000.0C07.ACXX : Cisco Vendor ID, MACs HSRP, Standby Group ID

6.3.3. Les différents états HSRP
Etat Définition
Initial Etat de départ. L'état "initial" indique que HSRP n'est pas opérationnel. Cet état
apparaît lors d'un changement de configuration ou lorsque qu'une interface passe "up".
Listen Le routeur connaît l'adresse IP virtuelle mais le routeur n'est ni le routeur actif ni le
routeur standby. Il écoute les messages "hello" des autres routeurs.
Speak Le routeur transmet des messages "hello" périodiques et participe activement à
l'élection du routeur actif ou standby. Un routeur ne peut pas entrer dans l'état "speak"
tant que celui-ci n'a pas l'adresse IP virtuelle.
Standby Le routeur est candidat pour devenir le prochain routeur actif et transmet des messages
hello périodiques. En excluant les conditions transitoires, il y a au plus un routeur dans
le groupe à l'état standby.
Active Le routeur achemine les paquets qui sont transmis à l'adresse MAC du groupe virtuel.
Le routeur transmet des messages "Hello" périodiques. En excluant les périodes
transitoires, il doit y avoir au plus un routeur à l'état actif dans le groupe.

6.3.4. Routeur HSRP Actif et topologie Spanning Tree
 Dans une topologie spanning-tree redondante,
certaines liaisons sont bloquées. La topologie
spanning-tree n'a pas connaissance de la
configuration HSRP. Il n'y a pas de relation
directe entre le processus d'élection du routeur
HSRP actif et l'élection du Root Bridge du
Spanning Tree.
 Quand vous configurez le spanning tree et HSRP (ou tout
autre protocole de redondance de premier saut), vous
devez vous assurer que le routeur actif est le même que
le commutateur/routeur racine pour le VLAN
correspondant. Quand le commutateur racine est
différent du routeur HSRP actif, un chemin non optimal
peut en résulter comme illustré ci-dessus.
6.3.5. Configuration HSRP
 Configurer HSRP sur une interface.

Switch(config-if)# standby group-number ip ip-address
 Le numéro de groupe est optionnel et indique le groupe

HSRP auquel l'interface appartient.
 Spécifier un numéro de groupe unique dans les commandes
standby permet la création de plusieurs groupes HSRP. Le
groupe par défaut est 0.
 L'adresse IP est l'adresse IP du routeur virtuel pour le groupe
6.3.6. Configurer la priorité et la préemption HSRP
 Pour fixer la valeur de la priorité HSRP d'un routeur, entrez cette commande en mode
de configuration interface:
standby group-number priority priority-value
 La valeur de priorité peut être 0 à 255. La valeur par défaut est 100.
 Pendant le processus d'élection, le routeur avec la priorité la plus élevée dans le
groupe HSRP devient le routeur actif. Si une égalité se produit, le routeur avec
l'adresse IP configurée la plus élevée devient actif.

6.3.6. Configurer la priorité et la préemption HSRP
 Si les routeurs n'ont la commande preempt configurée, un routeur qui démarre plus vite que les
autre routeurs du groupe HSRP devient le routeur actif sans tenir compte de la priorité configurée.
Le véritable routeur actif peut être configuré pour reprendre le rôle de routeur actif et assumer le
rôle de routeur d'acheminement en préemptant un routeur de priorité plus faible.
 Pour permettre à un routeur de reprendre le rôle de routeur d'acheminement , entrez en mode de
configuration interface: standby [group-number] preempt [delay {minimum seconds reload seconds
sync seconds}]
 Le mot-clé preempt assure que le routeur A sera le routeur HSRP actif tant que son interface reste active.
RouterA(config)# interface vlan 10

RouterA(config-if)#ip address 10.1.1.2 255.255.255.0
RouterA(config-if)#standby 10 ip 10.1.1.1
RouterA(config-if)#standby 10 priority 110
RouterA(config-if)#standby 10 preempt
6.3.7. Exemple d'authentification HSRP
 L'authentification HSRP évite que des routeurs non autorisés sur le réseau rejoignent le
groupe HSRP. L'authentification HSRP est activée en configurant une chaîne
d'authentification sur tous les équipements membres du groupe HSRP.
 La chaîne d'authentification a une longueur maximum de 8 caractères et la valeur par défaut
est cisco.
RouterA(config)# interface vlan 10

RouterA(config-if)# ip address 10.1.1.2 255.255.255.0
RouterA(config-if)# standby 10 ip 10.1.1.1
RouterA(config-if)# standby 10 priority 110
RouterA(config-if)# standby 10 preempt
RouterA(config-if)# standby 10 authentication xyz123

6.3.8. Considérations sur le timer HSRP et la configuration
Variable Description
group- (Optionnel) Numéro de groupe de
number l'interface sur laquelle les timers
s'appliquent. La valeur par défaut
est 0.
msec (Optionnel) Intervalle en
millisecondes. Les timers en
millisecondes permettent un
basculement plus rapide.
hellotime Intervalle Hello en secondes. RouterA(config)# interface vlan 10
C'est un entier de 1 à 255. La RouterA(config-if)#ip address 10.1.1.2 255.255.255.0
valeur par défaut est de 3 RouterA(config-if)#standby 10 ip 10.1.1.1
secondes. RouterA(config-if)#standby 10 priority 110
holdtime Temps, en secondes, avant que le RouterA(config-if)#standby 10 preempt
routeur actif ou standby soit RouterA(config-if)# standby 10 authentication xyz123
déclaré inactif. C'est un entier de 1 RouterA(config-if)#timers msec 200 msec 750
à 255. La valeur par défaut est de RouterA(config-if)#preempt delay minimum 225
10 secondes.
6.3.9. Le tracking en HSRP
 Notre configuration est valide mais qu’arrivera-t-il si le lien SwitchA vers
ISP est coupé ?
 Le paramètre ‘track’ permet de surveiller l’interface du SwitchA qui pointe
vers l’ISP et de baiser la priorité HSRP si celle-ci est down
 Le décrément par défaut est de 10, mais ce nombre peut être spécifié par la
commande suivante: standby [group] track interface [priority]
 Si l’interface fa0/19 du SwitchA est down, sa priorité sera à 140.
 Ce ne sera pas suffisant pour que le SwitchA renonce à son état actif
Car sa priorité est toujours supérieure au celle du SwitchB (100).
SwitchA(config-if)#standby 1 track fastEthernet 0/19 60
SwitchA#show standby | include Priority

Priority 90 (configured 150)

6.3.10. Vérification
 show standby, pour vérifier l'état HSRP
 show standby brief, affiche un résumé des configurations HSRP
 show ip arp , l'adresse IP et l'adresse MAC correspondante du

routeur virtuel

6.4. Virtual Router Redundancy Protocol (VRRP) :
6.4.1. Introduction
VRRP est très similaire à HSRP; Si vous avez compris HSRP, vous n'aurez aucun problème
avec VRRP, qui est un protocole standard défini par l'IETF dans la RFC 3768. Les
configurations sont plutôt similaires, mais il y a quelques différences. Commençons par un
aperçu:
HSRP VRRP
Protocol Cisco proprietary IETF – RFC 3768
Number of groups 16 groupes max. 255 groupes max.
Active/Standby 1 active, 1 standby, plusieurs candidats. 1 active, plusieurs secours.
Virtual IP Address L'adresse IP virtuelle est différente L'adresse virtuelle peut être la même que
des adresses réelles des routeurs l'adresse IP réelle que celle d'un des membres
Actif et Standby.
du groupe.
Multicast address 224.0.0.2 pour les paquets Hello 224.0.0.18 pour les paquets Hello
Tracking Peut tracer des interfaces ou des objets. Peut tracer uniquement des objets.
Timers Hello timer 3 seconds, hold time Hello timer 1 second, hold time 3
Authentification Oui Oui mais pas pour la nouvelle RFC 3768

6.4.2. Les Timers
 Hello: 1s
 Hold timer: 3xHello (3s) + Skew timer
 Skew timer = 256-priority/256 s (priority = 100 par défaut). Cela permets

d’ajouter un délai au cas où le 3e ping arriverai avec du retard (< 1s)
 Les timers VRRP HOLD ne sont pas configurable (toujours égaux à 3x le

hello timer).
 Les timers sont configurés sur le master (vrrp # timers advertise {hello}), et
sont appris par le backup (vrrp # timers learn, par défaut)

6.4.3. Scénario VRRP (1)
 Les routeurs A, B et C sont membres du groupe VRRP. L'adresse IP du routeur virtuel est
la même que celle de l'interface LAN du routeur A (10.0.0.1). Le routeur A est
responsable de l'acheminement des paquets transmis vers cette adresse IP.
 Les clients ont une adresse de passerelle 10.0.0.1. Les routeurs B et C sont des routeurs
de secours. Si le routeur maître est défaillant, le routeur de secours avec la priorité la
plus élevée devient le routeur maître. Quand le routeur A a récupéré, il reprend son rôle
de routeur maître.
6.4.3. Scénario VRRP (1) - Processus de transition
Etape Description Notes
1. Le routeur A est le maître courant, aussi il transmet des Router A est le seul équipement qui transmet
annonces toutes les secondes par défaut. des annonces.
2. Le routeur A est défaillant. Arrêt des annonces.
3. Le routeur B et le routeur C ne reçoivent plus d'annonces et Par défaut, le "down interval" est de 3
attendent que le "down interval" expire avant de passer à l'état secondes plus le temps de décalage.
maître.
4. Comme le temps de décalage est inversement proportionnel à Le temps décalage pour le routeur B est égal à
la priorité, le "down interval" du routeur B est inférieur à (256 – 200) / 256 qui est approximativement
celui du routeur C. Le routeur B a un "down interval" qui est égal à 0,2 secondes.
approximativement de 3,2 secondes. Le routeur C a un "down Le décalage pour le routeur C est égal à (256 –
interval" qui approximativement de 3,6 secondes. 100) / 256 qui est approximativement égal à
0,6 secondes.
5. Le routeur B passe à l'état maître après 3,2 secondes et ---
commence à transmettre des annonces.
6. Le routeur C reçoit des annonces du nouveau maître aussi il ---
remet à zéro son "down interval" et reste à l'état secours.

6.4.3. Scénario VRRP (2)
 Ici c'est une topologie LAN dans laquelle VRRP
est configuré pour que les routeurs A et B
partagent la charge en étant les passerelles par
défaut pour les Clients 1 à 4. Les routeurs A et B
agissent comme des routeurs virtuels de secours
l'un pour l'autre si l'un des deux vient à être
défaillant.
 Deux groupes de routeurs virtuels sont configurés. Pour le routeur virtuel 1, le routeur A
est le propriétaire de l'adresse IP 10.0.0.1 et par conséquent est le routeur virtuel maître
pour les clients configurés avec cette adresse de passerelle par défaut. Le routeur B est le
routeur virtuel de secours du routeur A.
 Pour le routeur virtuel 2, le routeur B est le propriétaire de l'adresse IP 10.0.0.2 et le
routeur virtuel maître pour les clients configurés avec l'adresse IP de passerelle par
défaut 10.0.0.2. Le router A est le routeur virtuel de secours pour le routeur B..
6.4.4. Configurer VRRP
Etape Description
1. Pour activer VRRP sur une interface. Cela rend l'interface membre d'un groupe virtuel
identifié avec l'adresse virtuelle:
Switch(config-if)# vrrp group-number ip virtual- gateway-address
2. Pour fixer une priorité pour le routeur de ce groupe VRRP; Les valeurs les plus
élevées gagnent lors de l'élection du routeur actif. 100 est la valeur par défaut. Si les
routeurs ont la même priorité VRRP, la passerelle avec l'adresse IP réelle la plus
élevée est élue pour devenir le routeur virtuel maître:
Switch(config-if)# vrrp group-number priority priority-value
3. Pour modifier le timer et indiquer s'il doit annoncer le maître ou simplement

apprendre les routeurs de secours:
Switch(config-if)# vrrp group-number timers advertise timer-value
Switch(config-if)# vrrp group-number timers learn

6.4.4. Configurer VRRP
SwitchA(config-if)#vrrp 1 ip 192.168.1.3
SwitchA(config-if)#vrrp 1 priority 150
SwitchA(config-if)#vrrp 1 authentication md5 key-string mykey
SwitchB(config-if)#interface fa0/19
SwitchB(config-if)#vrrp 1 ip 192.168.1.3
SwitchB(config-if)#vrrp 1 authentication md5 key-string mykey
another virtual MAC address:

0000.5e00.01XX (where X = group number)
Vérification : sh vrrp

6.5. Gateway Load Balancing Protocol (GLBP) :
6.5.1. Introduction
HSRP GLBP
Propriétaire Cisco,1994 Propriétaire Cisco, 2005
16 groupes max. 1024 groupes max.
1 active, 1 standby, plusieurs candidats 1 AVG, plusieurs AVF, l'AVG équilibre le trafic
. parmi les AVF et AVGs
Adresse IP virtuelle différente des adresses L'adresse IP virtuelle est différente des adresses IP
IP réelles du routeur standby et actif. réelles des AVG et des AVF.
1 adresse MAC virtuelle pour chaque 1 adresse MAC virtuelle par AVF/AVG dans
groupe. chaque groupe
Utilise l'adresse 224.0.0.2 pour les Utilise l'adresse 224.0.0.102 pour les paquets
paquets hello. hello.
Timers par défaut: hello 3 s, holdtime 10 s.
Peut tracer des interfaces et des objets. Peut tracer uniquement des objets.
Default timers: hello 3 s, holdtime 10 s Default timers: hello 3 s, holdtime 10 s
Authentification supportée Authentification supportée

6.5.2. Les Timers
 Hello : 3s
 Dead : 10s (temps à partir duquel un AVF sera dead, son adresse mac sera
associée à un autre AVF
 Redirect (Temps à partir duquel on arrêtera de rediriger l’adresse mac d’une
AVF dead vers une autre AVF ): 600s
 Timeout (Temps à partir duquel un routeur est considéré comme inactif, son
adresse MAC ne sera plus utilisée) : 14,400s (4 heures), doit être supérieur au
temps de conservation des entrées ARP des clients.

6.5.3. Fonctions GLBP
The virtual MAC address that GLBP uses is

0007.b400.XXYY (where X = GLBP group
number and Y = AVF number).
 GLBP active virtual gateway (AVG): Les membres d'un groupe GLBP élisent une passerelle pour être l'AVG du
groupe. Les autres membres du groupe fournissent un AVG de secours, si l'AVG devient indisponible. L'AVG
affecte une adresse MAC virtuelle à chaque membre du groupe GLBP.
 GLBP active virtual forwarder (AVF): Chaque passerelle assume la responsabilité d'acheminement des paquets
qui sont transmis vers l'adresse MAC virtuelle par l'AVG. L'adresse MAC virtuelle affectée à cette passerelle par
l'AVG. Ces passerelles sont connues comme AVFs pour leurs adresses MAC virtuelles.
 GLBP communication: Les membres GLBP communiquent entre elles au travers de messages hello transmis
toutes les 3 secondes vers l'adresse multicast 224.0.0.102, port UDP (User Datagram Protocol) 3222.

6.5.3. Fonctions GLBP
 Le routeur A agit comme l'AVG. Le routeur A s'est affecté l'adresse MAC virtuelle MAC
0007.b400.0101.
 Le routeur B agit comme un AVF pour l'adresse MAC virtuelle 0007.b400.0102 qui lui a été
affectée par le routeur A.
 La passerelle par défaut de Client 1 est le routeur A.
 La passerelle par défaut de Client 2 est le routeur B sur la base de l'affectation de l'adresse MAC
virtuelle.

6.5.4. Fonctionnement de GLBP (1)
Modes opérationnels pour l'équilibrage de charge :
 Algorithme d'équilibrage de charge pondéré: Le volume de charge redirigé
vers un routeur dépend de la valeur pondérée annoncée par ce routeur.
 Algorithme d'équilibrage de charge "Host-dependent": Un host a la garantie
d'utiliser la même adresse MAC virtuelle tant que l'adresse MAC virtuelle
participe à groupe GLBP.
 Algorithme d'équilibrage de charge "Round-robin": Lorsque les clients
transmettent des requête ARP pour résoudre l'adresse MAC de la passerelle par
défaut, la réponse vers chaque client contient l‘adresse MAC du prochain routeur
possible de manière "round-robin". Toutes les adresses MAC des routeurs sont
prises chacune à leur tour dans les réponses de résolution d'adresse pour l'adresse
IP de la passerelle par défaut.
 Par défaut, GLBP tente

d'équilibrer le trafic sur la
base du host en utilisant un
algorithme round-robin.
 Quand un client transmet un message ARP pour l'adresse IP de la
passerelle, l'AVG retourne l'adresse MAC virtuelle d'une des
AVFs.
 Quand un second client transmet un message ARP, l'AVG retourne
la prochaine adresse MAC virtuelle dans la liste.
 Chaque routeur GLBP est un AVF

pour l'adresse MAC virtuelle qui
lui a été affectée.
 Ayant chacun une adresse MAC résolue pour la passerelle par

défaut, les Clients A et B transmettent leur trafic routé vers des
routeurs séparés bien qu'ils aient tous les deux la même adresse
de passerelle par défaut configurée.

6.5.5. GLBP - Tracking d'interface (1)
 Comme HSRP, GLBP peut être

configuré pour suivre interfaces.
La liaison WAN du routeur R1 est
perdu. GLBP détecte la
défaillance
 Tout comme HSRP, GLBP décrémente la priorité passerelle
lorsque l'interface principale échoue. La seconde passerelle
devient alors primordiale. Cette transition est transparent pour le
client.

6.5.5. GLBP - Tracking d'interface (2)
 Parce que le suivi d'interface a été configurée sur R1, le travail de

transmission des paquets de l'adresse MAC virtuelle 0000.0000.0001 seront
pris en charge par le transitaire virtuelle secondaire pour le MAC, routeur R2.
Par conséquent, le client ne voit aucune interruption de service, ni le client
doit résoudre une nouvelle adresse MAC de la passerelle par défaut.

6.5.6. Configuration du GLBP (1)
Etape Description
1. Active GLBP sur une interface. Cette commande fait que l'interface est un membre
du groupe virtuel identifié avec l'adresse IP virtuelle:
Switch(config-if)#glbp group-number ip virtual- gateway-address
2. Fixe une priorité GLBP pour ce routeur pour ce groupe GLBP. La valeur la plus
élevée gagne l'élection du routeur actif. La valeur par défaut est 100. Si les routeurs
ont la même priorité GLBP, la passerelle avec l'adresse IP réelle la plus élevée
devient l'AVG:
Switch(config-if)#glbp group-number priority
priority-value
3. Change les valeurs des timers "hello interval" et "holdtime". Placer l'argument
msec avant les valeurs pour entre des valeurs inférieures à la seconde:
Switch(config-if)#glbp group-number timers hello holdtime

6.5.6. Configuration du GLBP (2)
SwitchA(config)#interface f0/17
SwitchA(config-if)#glbp 1 ip 192.168.1.3
SwitchA(config-if)#glbp 1 priority 150
SwitchA(config-if)#glbp 1 preempt
SwitchA(config-if)#glbp 1 authentication md5 key-string
mypass
SwitchB(config-if)#interface f0/19
SwitchB(config-if)#glbp 1 ip 192.168.1.3
SwitchB(config-if)#glbp 1 preempt
SwitchB(config-if)#glbp 1 authentication md5 key-string
mypass
Vérification:
7. Sécurisation du
réseau de type Campus

7.1. Problématique de la sécurité dans un réseau (1/19):
Les réseaux informatiques sont devenus indispensables à la

bonne marche des entreprises.
La sécurité du réseau est une priorité pour les entreprises.
Les attaques réseaux aboutissent à de graves conséquences

professionnelles et financières en menaçant l'intégrité, la
confidentialité et la disponibilité de l’information.

 Le modèle OSI a été bâti pour que les couches communiquent sans la
connaissance des autres.
 Lorsqu’une couche est ‘hackée’, toute la communication est compromise sans
que les autres couches ne soient ‘hackées’.

Positionnement de la première attaque réseau
ACCES
Les attaques réseau les plus répandues:
 Intrusion
 IP&MAC address Spoofing Attacks (usurpation d’adresses MAC)
 Rogue DHCP server
 ARP spoofing (Man-in-the-Middle) Attack
 Denial of service (DoS)

 L2 PDU storm (STP, LACP, PAgP, etc..)
 Broadcast storms
 MAC attacks (CAM table overflow)
 TCP-SYN/Flooding
 TCP Session hijacking
 Le sniffing
 Attaques ICMP

MAC Spoofing Attacks ou usurpation de MAC (1/3)


Le hacker se comporte
maintenant comme la
machine avec la MAC B

Rogue DHCP server
 Mauvaise Passerelle par défaut: le hacker est la passerelle
 Mauvais serveur DNS: le hacker est le DNS
 Mauvaise adresse IP: usurpation d’adresse IP

ARP spoofing (Man-in-the-Middle) Attack (1/2)
Principe de fonctionnement ARP:
1. Avant toute communication entre deux machines, une requête ARP permet de faire le
mappage adresse IP – Adresse MAC
2. La machine qui veut communiquer sur le réseau doit se déclarer

ARP spoofing (Man-in-the-Middle) Attack (2/2)

L2 PDU storm : STP manipulation
Le hacker broadcast des trames BPDUs STP. Ce qui permet la re-calculation du

protocole STP. Le Root Bridge devient la machine du hacker

Broadcast storms (Tempête de diffusion)
• Les paquets Broadcast, multicast et unicast sont inondés sur tous les ports.
• Cette inondation de paquets peut augmenter l’utilisation du CPU et réduire la
performance du switch.
MAC Flooding Attack
CAM : Content Addressable Memory
La table CAM stocke des informations telles les

adresses MAC disponibles sur un port physique et
les paramètres des VLANs correspondant.
La table CAM dispose d’une taille fixe.
Le hacker sature donc cette table CAM rendant le

switch comme un hub

TCP Flooding ou SYN Flooding
Connexion TCP
Inondation TCP
Conséquence: utilisation excessive des ressources du serveur

Sniffing
Le sniffing ou scanner est un programme qui permet de savoir

quels ports sont ouverts sur une machine donnée.
Diverses techniques d'analyse sont basées sur des protocoles tels

que TCP, IP, UDP ou ICMP

Les attaques ICMP
 ICMP Flooding :
Le ICMP Flooding est à l’origine identique à un Ping mais qu’on renouvelle un
nombre de fois suffisant pour bloquer la machine attaquée et saturer sa bande
passante
 ICMP redirect
Un pirate envoie à une machine un paquet ICMP-redirect en lui indiquant un
autre chemin à suivre. La machine ne peut alors plus communiquer.
 ICMP-destination unreachable
Un hackeur peut envoyer un message « Destination unreachable » vers une
machine, la machine ne peut donc plus communiquer avec d’autres postes sur le
réseau.

Les parasites
Un virus informatique est un programme qui effectue certaines actions et, en

général, cherche à se reproduire et pouvant perturber plus ou moins gravement le
fonctionnement de l'ordinateur infecté.
Un ver informatique (en anglais worm) est un programme qui peut s’auto-
reproduire et se déplacer à travers un réseau.
Le cheval de Troie aussi appelé «Troyen» (ou «Trojan» en anglais) est un

programme espion installé, à son insu, par la victime elle-même. Il permet aux
pirates de contrôler les ordinateurs infectés à distance.

Les attaques par accès
 Social engineering
 Les brèches physiques de sécurité (Physical security breeches)
 Password cracking
 Cyber attacks (malware programs, phishing, packet sniffing,

cryptanalysis, or software vulnerabilities)

Techniques générales d’atténuation des risques :
 Durcissement des périphériques
 Noms d’utilisateur et des mots de passe par défaut
 Accès aux ressources du système limité strictement aux personnes
autorisées.
 Désactivation des services et applications non nécessaires
 Les routeurs à services intégrés (ISR), disposant des IOS firewalls

 Logiciel antivirus
 Pare-feu Nouvelle Génération
 Correctif du système d’exploitation
 Détection des intrusions et méthodes de prévention : IDS, IPS, HIDS et HIPS

7.2. Désactivation des services vulnérables (1/4) :
Contre-mesure DHCP Rogue server: DHCP Snooping :

Contre-mesure IP & MAC spoofing: ip source guard
 Activer d’abord DHCP

Snooping
 Avoir un serveur DHCP

option 82

Contre-mesure ARP attacks: Dynamic ARP inspection

Contre-mesure pour le MAC Flooding Port Security
Limiter le nombre d’adresses MAC sur les interfaces des switchs avec la
fonction de port security.

7.3. Cryptage des mots de passe (1/2):
 Par défaut, les comptes d'utilisateurs (nom d’utilisateurs et mots de

passe) sont stockés en clair dans la configuration
 Le chiffrement des mots de passe par l’Algorithme Message
Digest 5 : MD5
 service password-encryption en mode de configuration globale
 Application d’une longueur minimale des mots de passe, mode

de configuration globale : security passwords min-length 10

7.3. Cryptage des mots de passe (2/2):
 Seuil d’accessibilité (mot de passe ou username) (ex: 5) :
R1(config)# security authentication failure rate 5 log
 login block for

Cette commande permet de bloquer pendant ‘x’ secondes après les ‘y’ tentatives de
connexion en ‘z’ secondes.
R1(config)#login block-for 120 attempts 5 within 30
 Logging login requests

Pour générer des notifications de tentative de login:
R1(config)#login on-success
R1(config)#login on-failure

7.4. Contrôle des sessions TCP :
TCP Keepalives
TCP Keepalives aide à terminer les connexions TCP lorsque l’hôte distant ne
répond pas ou à cesser le processus TCP.
Commande pour activer :
service tcp−keepalive−in
service tcp−keepalive−out
en mode de configuration globale
TCP intercept
TCP permet d’éviter les attaques TCP SYN flood qui consistent à saturer les
ressources de l’équipement visé.

7.5. Authentification des utilisateurs (1/5) :
Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles)
Etape 1 : Paramètres du routeur
Switch(config)#hostname nom_switch

Etape 2 : sécurisation de la console
SW1(config)#enable secret mot-passe
Etape 3 : Ligne auxiliaire

SW1(config)# line aux 0
SW1(config-line)# no password
SW1(config-line)# login
SW1(config-line)# exit

Etape 4 : Lignes virtuelle
SW1(config)# line vty 0 4
SW1(config-line)# no password

Etape 1 : Paramètres du routeur

Switch(config)#hostname nom_switch Etape 6 : Configuration de la sécurité supplémentaire pour les
lignes VTY, console et AUX
Etape 2 : sécurisation de la console SW1(config)# line aux vty 0 4
SW1(config)#enable secret mot-passe SW1(config-line)# exec-timeout 5
Etape 3 : Ligne auxiliaire
SW1(config)# line aux 0 Etape 7 : Configuration de la sécurité SSH
SW1(config-line)# no password S(config)# hostname SW1 // définition du nom d’hôte)
SW1(config-line)# login SW1(config)# username nom_utilisateur secret mot_passe //nom
SW1(config-line)# exit d’utilisateur
SW1(config)# ip domain-name cisco.com // définition du nom de
Etape 4 : Lignes virtuelle domaine)
SW1(config)# line vty 0 4 SW1(config)# crypto key generate rsa // génération des clés
SW1(config-line)# no password asymétriques

SW1(config)# line vty 0 4

SW1(config-line)# transport input ssh // configuration de l’authentification locale et VTY
SW1(config-line)# login local
Etape 7 : Configuration de la sécurité SSH

SW1(config)# ip ssh time-out 10 // configuration des délais d’attente ssh
SW1(config)# ip ssh authentication-retries 3 // configuration des délais d'essai à nouveau ssh

Sécurisation des accès administratifs à travers les mots de passe et privilèges
Etape 1 : Configuration des noms d’utilisateurs et privilèges
R1(config)#username nom_utilisateur privilege level secret mot_de_passe

Level: 0 – 15
Level 0 est le niveau le plus bas
Level 15 est le niveau le plus élevé

Etape 2 : Mode d’authentification locale
!------- terminaux virtuels
R1(config)# line vty 0 4
R1(config-line)# login local
!-------- l’accès par console

R1(config)# line con 0

Sécurisation des accès administratifs à travers les mots de passe et privilèges
Etape 1 : Configuration des noms d’utilisateurs et privilèges
R1(config)#username nom_utilisateur privilege level secret mot_de_passe

Level: 0 – 15
Level 0 est le niveau le plus bas
Level 15 est le niveau le plus élevé

Etape 2 : Mode d’authentification locale
!------- terminaux virtuels
R1(config)# line vty 0 4
!-------- l’accès par console

R1(config)# line con 0

7.5. Implémentation des politiques de sécurité (1/5) :
1. Politique d'acquisition
Avant d'acquérir un routeur, il convient de définir une politique d'acquisition. Quelles sont les
fonctionnalités qui seront assurées par le routeur ? Quel constructeur offre le meilleur rapport
qualité/prix ? Quel est la durée de la garantie? Le support sera t-il assuré ? faut-il un contrat
de maintenance ? Telles sont là quelques questions dont les réponses doivent figurer dans le
document définissant la politique d'acquisition du routeur
2- Politique de déploiement et de mise en service
Une fois le routeur acquis, il convient de définir une politique de déploiement et de mise
en œuvre. Cette politique devra tenir compte de son installation, de sa configuration et de
sa
mise en service. Par exemple, il doit être placé dans un endroit sécurisé (accès protégé),
derrière un dispositif de protection comme un pare-feu par exemple. Il doit être testé avant
sa mise en production. En cas de problème, on doit pouvoir revenir à la configuration de
départ
sans qu'il
Module y ait
1 : mise en d'impact sur le système
œuvre des réseaux commutésd'information ou sur le réseau. Page 178 |
3- Politique des mots de passe
Les switchs offrent en général plusieurs types et niveaux d'accès (telnet, ligne
virtuelle (vty), http, ligne auxiliaire, mode enable, mode de configuration globale,
etc.). Chaque type d'accès
peut être protégé par un mot de passe. Une politique des mots de passe doit être
définie et appliquée pour éviter leur compromission.
 les mots de passe doivent être changés suivant une périodicité
 Ils doivent être forts, c'est à dire composé des chiffres, caractères spéciaux
(@§!&#), majuscules et minuscules.

4- Politique de contrôle d'accès et d'exploitation
Le switch étant en service, il convient de définir une politique des accès et
d'exploitation.
 La mise à jour de l'IOS, les droits et niveaux d'accès (parser view),
 Les actions possibles en fonction des rôles, la périodicité des mises à jour des
protocoles de routage,
 Les switchs voisins autorisés à communiquer avec les routeurs,
 La période des interventions sur le switch.
 La journalisation de toutes les actions doit être effectuée sur le switch.
 En cas d'incident de sécurité ou d'audit, qui a accès aux logs?

5- Politique de durcissement
Il convient de définir une politique de durcissement du switch.
 En définissant les rôles et responsabilités des différents intervenants
(administrateurs réseaux, administrateurs sécurité, fournisseurs, etc.),
 Les services et comptes inutiles doivent être désactivé,
 Les types d'accès autorisés doivent être bien définis,
 La politique de sauvegarde de la configuration, etc.

6- Politique de journalisation
Un switch étant un équipement sensible, il est important de le surveiller afin

d'avoir une idée sur ses différentes activités (trafic, connexion, etc.). Cette
surveillance passe par les fichiers journaux générés par ce dernier.
Il convient donc de définir une politique de journalisation:
 Comment vont être enregistrés les évènements dans les fichiers journaux,
 Où doivent-ils être stockés ?
 En cas de centralisation des journaux, l'envoi des fichiers journaux
 (log) vers un serveur centralisé (syslog) doit être sécurisé (chiffré,
authentifié, etc.)
 une sauvegarde d’une copie des logs doit être réalisée

MERCI POUR VOTRE AIMABLE
ATTENTION
Mbalmayo , du 11 au 15 Septembre 2017

Formation MINFI - Switching

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Formation MINFI - Switching

Transféré par

Droits d'auteur :

Formats disponibles

Formation du personnel du MINFI

Ebolowa , du 11 au 14 Septembre 2017

© 2017 Ministère des Finances. All rights reserved.

Mbalmayo , du 11 au 15 Septembre 2017

© 2017 Ministère des Finances. All rights reserved.

Module 1 : mise en œuvre des réseaux commutés Page 4 |

Module 1 : mise en œuvre des réseaux commutés Page 5 |

Une nouvelle architecture mondiale – hautement

Module 1 : mise en œuvre des réseaux commutés Page 6 |

Module 1 : mise en œuvre des réseaux commutés Page 9 |

Module 1 : mise en œuvre des réseaux commutés Page 10 |

Module 1 : mise en œuvre des réseaux commutés Page 11 |

 Permettre la commutation entre les différentes

Module 1 : mise en œuvre des réseaux commutés Page 12 |

Architecture d’un réseau de Campus avec les services

Module 1 : mise en œuvre des réseaux commutés Page 13 |

Les réseau de campus comme une plateforme

 Un commutateur standard, donc de niveau 2, s’appuie sur les adresses MAC

Module 1 : mise en œuvre des réseaux commutés Page 15 |

Module 1 : mise en œuvre des réseaux commutés Page 16 |

Module 1 : mise en œuvre des réseaux commutés Page 17 |

Table 1 IEEE Standard Power Classes

Module 1 : mise en œuvre des réseaux commutés Page 18 |

Module 1 : mise en œuvre des réseaux commutés Page 19 |

Module 1 : mise en œuvre des réseaux commutés Page 20 |

Module 1 : mise en œuvre des réseaux commutés Page 21 |

Module 1 : mise en œuvre des réseaux commutés Page 22 |

Module 1 : mise en œuvre des réseaux commutés Page 23 |

Module 1 : mise en œuvre des réseaux commutés Page 24 |

Module 1 : mise en œuvre des réseaux commutés Page 25 |

Module 1 : mise en œuvre des réseaux commutés Page 26 |

Module 1 : mise en œuvre des réseaux commutés Page 27 |

Module 1 : mise en œuvre des réseaux commutés Page 28 |

-VLANs sont généralement regroupés en trois

Module 1 : mise en œuvre des réseaux commutés Page 31 |

» Can normally only used in one of two cases

» Not all extended VLANs can be used

Module 1 : mise en œuvre des réseaux commutés Page 32 |

» Not all platforms agree on the internal range

Module 1 : mise en œuvre des réseaux commutés Page 33 |

Etape 4 : Supprimer un VLAN

Module 1 : mise en œuvre des réseaux commutés Page 35 |

Jetons un coup d'oeil à l'exemple ci-dessus. Il y a trois ordinateurs de chaque côté

Module 1 : mise en œuvre des réseaux commutés Page 36 |

Préambule : Ce champ est codé sur 7 octets et permet de synchroniser l’envoi.

Il existe deux protocoles de ‘Trunking ou liaison d’agrégation de VLANs’ que nous

Trame Ethernet 802.1Q (ajout du champ Tag) :

Module 1 : mise en œuvre des réseaux commutés Page 40 |

Module 1 : mise en œuvre des réseaux commutés Page 43 |

Module 1 : mise en œuvre des réseaux commutés Page 44 |

SwitchA(config-if)#switchport trunk encapsulation ?

Module 1 : mise en œuvre des réseaux commutés Page 45 |

Module 1 : mise en œuvre des réseaux commutés Page 46 |

Module 1 : mise en œuvre des réseaux commutés Page 47 |

Module 1 : mise en œuvre des réseaux commutés Page 48 |

Module 1 : mise en œuvre des réseaux commutés Page 49 |

» Configuration Revision Number

» Used for validation of VTP updates

Module 1 : mise en œuvre des réseaux commutés Page 51 |

Module 1 : mise en œuvre des réseaux commutés Page 53 |

Module 1 : mise en œuvre des réseaux commutés Page 54 |

Couche Protocole/Solutions Délais de reprise

Module 1 : mise en œuvre des réseaux commutés Page 55 |

•  En activant les fonctions de routage sur le switch

•  En créant les SVI