Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)

CCNA Routing and Switching (200-125)
Les Listes de contrôle d'accès
Configuration des ACL
Temporelles
Présentée par
Béchir BEJAOUI
Formateur et Consultant indépendant

Le plan
▪ Présentation des ACL Temporelles
▪ Exemple de configuration d’une ACL temporelle

Présentation des ACL Temporelles
▪ Ce sont des ACL basées sur la notion du temps, ce qui veut dire accorder
des permissions ou refuser des permissions relativement à une période
donnée dans le temps
▪ Offre à l'administrateur du réseau plus de contrôle sur l’autorisation des
accès aux ressources
▪ Permet à un administrateur réseau de contrôler les messages de
journalisation
▪ Par conséquent, les administrateurs peuvent tout simplement contrôler le
réseau sans analyser une masse de journaux qui sont générés hors des
heures opérationnelles ou de pointe

Exemple de configuration d’une ACL temporelle
▪ Une connexion Telnet est autorisée à partir d’un réseau extérieur le lundi,
mercredi et vendredi pendant les heures de travail soit de 9:00 à 17:00. La création
d’une ACL temporelle passe par trois étapes
• Créer un intervalle de temps d’autorisation
Router(config)#time-range WEBNETDAY
Router(config-time-range)#periodic Monday Wednesday Friday 9.00 to 17.00
• Lier cet intervalle à une ACL
Router(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 any eq telnet time-
range WEBNETDAY
• Lier cette ACL à une interface et préciser la direction du flux
Router(config)#interface s0/0/0
Router(config-if)#ip access-group 101 out

Résumé
▪ Présentation des ACL Temporelles
▪ Exemple de configuration d’une ACL temporelle

Configuration des ACL
Basées IPV6
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation des ACL basées IPV6
▪ Exemple de configuration d ’une ACL basée IPV6

Présentation des ACL basées IPV6
▪ Ce sont des ACL qui utilisent les adresses IPV6 comme critère de filtrage
▪ IPv6 a un seul type d'ACL, qui est comparable à une ACL étendue
▪ Il n y a pas ACL IPv6 numérotées, il y a que des ACL IPV6 nommées sensibles à la
casse et doivent être à identifiants uniques.
▪ ACL IPv6 utilise la commande ipv6 trafic-filter, contrairement à ACL IPv4 qui utilise la
commande ip access-group pour appliquer un ensemble de règles à une interface
▪ ACL IPv6 n’utilise pas des Jokers « Wildcard ». Au lieu de cela, la longueur de préfixe
est utilisée pour indiquer la plage des adresse IPV6 concernées

Exemple de configuration d’une ACL basée IPV6
▪ La configuration d’une ACL basée IPV6 passe par deux étapes à savoir la
création de la liste
R1 (config)#ipv6 access-list <nom de liste>
R1 (config-ipv6-acl)#permit tcp host 2001:db8:FC31e:1::1 any eq 23
R1 (config-ipv6-acl)#exit
R1 (config)#line vty 0 15
R1 (config-line)#ipv6 access-class <nom de liste> in
R1 (config-line)#exit
▪ La configuration de ACL basée IPV6 sur l’interface en question
R1 (config-if)#ipv6 traffic-filter <nom de liste> in | out

Résumé
▪ Présentation des ACL basées IPV6
▪ Exemple de configuration d’une ACL basée IPV6

Configuration de ACL
Verrouillage à clé
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation des ACL verrouillage à clé
▪ Exemple de configuration d’une ACL verrouillage à clé

Présentation des ACL verrouillage à clé
▪ Les ACL de verrouillage à clé ou ACL Lock and Key ou ACL Dynamiques
sont configurées à l'aide des ACL étendues à IP dynamique.
▪ Elle sont utilisées en conjonction avec d'autres ACL standard et des ACL
étendues statiques
▪ Elles reconfigurent l’accès IP au niveau de l'interface pour permettre aux
utilisateurs désignés à atteindre leurs désignations.
▪ Elles tentent automatiquement d'authentifier l'utilisateur, quand ce dernier
lance une session Telnet standard vers le routeur

Exemple de configuration de ACL de verrouillage à clé
▪ La configuration d’une ACL de verrouillage à clé passe par trois étapes
▪ Il faut tout d’abord commencer par configurer Telnet au niveau du
routeur
Router(config)#line vty 0 4
Router(config-line)#pass password
Router(config-line)#login local
Router(config-line)#exit
Router(config)#enable pass password
▪ En suite, il faut créer le login et le password et permettre à l’utilisateur
d’y accéder
Router(config)#username <utilisateur> password <mot de passe>
Router(config)#username <utilisateur> autocommand LINE

Exemple de configuration de ACL de verrouillage à clé
▪ En suite, il faut créer une ACL étendue
Router(config)#ip access-list extended DYN
Router(config-ext-nacl)# dynamic PERMITTLENET permit tcp any any eq 23
Router(config-ext-nacl)# deny tcp any host <@IP hôte destination> eq 23
Router(config-ext-nacl)#permit ip any any
▪ La dernière étape consiste à appliquer cette ACL à une interface en précisant la
direction du flux
Router(config)# interface fastEthernet 0/0
Router(config-if)#ip access-group PERMITTLENET in

Résumé
▪ Présentation des ACL verrouillage à clé
▪ Exemple de configuration d’une ACL verrouillage à clé

La commutation
Les équipements
de commutation
Présentée par
Béchir BEJAOUI

Le plan
▪ Le concentrateur ou Hub
▪ Le pond ou Bridge
▪ Le commutateur ou Switch

Le concentrateur
▪ C’est un équipement du type CSMA/CD « Carrier Sense Multiple Access/ Collision
detection »
▪ Le Hub fonctionne en mode Half Duplex , c’est-à-dire il ne peut pas envoyer et
recevoir les données en même temps
▪ Pour le cas du Hub les messages sont envoyés
au niveau de tout les hôtes dans la limite
du domaine de collision
▪ Le Hub fait partie de la couche physique, il répète
simplement le signal reçu

Le pond
▪ Le pond est utilisé pour diviser un domaine de collision en plusieurs domaines de
collisions
▪ Le faite de diviser les domaines de collision c’est pour améliorer les performances du
réseau, car il ne sera pas nécessaire d’envoyer un message à tous les hôtes résidant
dans le même LAN
▪ Le pond fonctionne au niveau de la couche
liaison du modèle OSI
▪ Le Pond admet deux ports qui lient deux segments
de même identité réseau

Le commutateur
▪ Le commutateur ou le Switch est un équipement du type ASIC « Application
Specific Integrated Circuit »
▪ Le commutateur ou le Switch est un équipement qui appartient à la couche liaison
du modèle OSI
▪ Chaque port au niveau du Switch représente un domaine de collision
▪ Il opère en mode Full-Duplex c’est-à-dire il peut envoyer et recevoir un message
sur le même port d’une manière simultané

Le commutateur
▪ La commande show mac-address-table permet de montrer l’ensemble des adresses
MAC des hôtes au niveau du LAN
▪ Les adresses MAC sont tous stockées dans une table qui s’appelle CAM table
▪ Les commutateurs sont intelligents, ils prennent une adresse IP pour qu’ils soient
gérés à distance
▪ Les commutations se font selon un mode opératoire de trois phases:
• Dans un premier temps le hôte envoie le message avec l’adresse de destination en mode
diffusion FF-FF-FF-FF-FF-FF
• Une fois le message atteint la machine de destination, le commutateur commence à
enregistrer l’adresse de cette machine
• Le deuxième message sera donc envoyé directement vers la machine cible et non pas vers
les machines non concernées

Le commutateur
▪ Le commutateur admet trois fonctions essentielles à savoir:
Apprentissage des adresses:
Il apprend les adresses MAC pour l’ensemble des machines au niveau du LAN
Filtrage:
Permet d’envoyer les messages seulement vers les parties concernées
Elimination du bouclage:
En cas de plusieurs commutateurs interconnectés, il permet d’éviter le boucles
d’envoie de message, un protocole est utilisé dans ce cas c’est le STP « Spannig Tree
Protocol »

Résumé
▪ Le concentrateur ou Hub
▪ Le pond ou Bridge
▪ Le commutateur ou Switch

La commutation
Les VLAN
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation de la notion VLAN
▪ L’affectation des ports aux VLAN

Présentation de la notion VLAN
▪ Le VLAN est l’acronyme de Virtual LAN, qui pourra être définit comme une division
virtuelle ou logique des hôtes en groupes ou réseaux locaux virtuels
▪ Il existe deux types de VLAN
• Les VLAN statiques qui se basent sur les adresses MAC
• Les VLAN dynamiques qui se basent sur les Ports
▪ Les VLAN se basent sur quatre principes
• L’indépendance de la dimension physique
• La sécurité
• La flexibilité
• La réduction du domaine de diffusion

▪ De point de vue indépendance de la dimension physique, les groupes de hôtes qui
n’existent pas dans le même endroit géographique peuvent communiquer comme si
ils font partie du même réseau situé dans le même local
▪ De point de vue sécurité, il est possible de diviser le même segment réseau en
plusieurs sous groupes isolés à tout moment que ce soit un hôte ou un ensemble de
hôtes du reste du réseau dans un contexte de mise en œuvre de politique de
permissions ou de mise en quarantaine
▪ De point de vue flexibilité, il est possible diviser le segment réseau selon
les besoins sans aucune contrainte et sans emploi des équipements
supplémentaires comme les routeurs
▪ De point de vue réduction de domaine de diffusion, le faite d’employer des VLAN, ce
là rend le réseau plus performant, par la limitation de nombre d’envoi des messages
de la part des hôtes dans un contexte d’un seul réseau de grande taille

▪ Pour créer un VLAN il va falloir exécuter la commande
Switch(Config)# vlan <numéro>
Switch(Config)# name <nom>
▪ Pour montrer l’ensemble des VLAN sur un commutateur il va falloir exécuter la
commande
Switch(Config)# Show vlan

▪ Il est possible de créer 999 VLAN au niveau d’un réseau interconnecté de
commutateurs numérotés de 2 à 1001
▪ Le VLAN 1 dit « natif » est en principe réservé à la transmission des paquets de
gestion tel que les paquets relatifs aux protocoles Telnet, CDP….
▪ Le VLAN 1002 est consacré aux connections en fibre optique
▪ Le VLAN 1003 est consacré aux connections en réseaux « Token Ring » ou
« anneau »
▪ Le VLAN 1004 est consacré aux réseaux dit Field Devise Network utilisés en cas
des systèmes embarqués
▪ Le VLAN 1005 est consacré au réseaux « Token Ring » ou « anneau »

L’affectation des ports aux VLAN
▪ Tout les ports font initialement partie du VLAN 1

▪ Il est possible affecter les ports vers les autres VLAN de choix sans aucune
contrainte
▪ L’affectation se fait soit individuelle:
Switch(config)#interface <nom de l’interface>
Switch(config-if)#switchport access vlan <nombre de vlan>
▪ Soit par intervalle:
Switch(config)#interface <nom de l’interface> <numéro début – numéro fin>
Switch(config-if)#switchport access vlan <nombre de vlan>

▪ Soit par groupe contigu d’interfaces
Switch(config)#interface <nom de l’interface1>, <nom de l’interface2>,
<nom de l’interface3>

Résumé
▪ Présentation de la notion VLAN
▪ L’affectation des ports aux VLAN

La commutation
La notion inter VLAN
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation de la notion Inter VLAN

Présentation de la notion Inter VLAN
▪ On parle de la notion Inter VLAN, lorsqu’il s’agit de plus qu’un VLAN qui entrent en
communication mutuelle
▪ Si plusieurs VLAN entrent en contact pour assurer la communication mutuelle, dans
ce cas, il va falloir suivre l’une de ces alternatives
• Placer un routeur qui utilise une seule interface de jonction au niveau du réseau
on appelle souvent cette technique Router on a Stick
• Implémenter le routage Inter VLAN avec un commutateur dit niveau 3

Présentation de la notion Inter VLAN
▪ L'élément clé du service de routage Inter VLAN est que vous devez avoir les
interfaces VLAN configurées avec une adresse IP
▪ Tous les hôtes participant à ce VLAN doivent également utiliser le même
schéma d'adressage IP pour assurer la communication mutuelle
▪ Les commutateurs de la série Cisco Catalyst 3550 utilisés sont des commutateurs
de couche 3 avec des fonctionnalités de routage intégrées, ce qui en fait le choix
préféré à un coût raisonnable.

Résumé
▪ Présentation de la notion Inter VLAN

La commutation
Présentation du protocole
VTP
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction du protocole VTP
▪ Les nombres de révisions dans le VTP
▪ Les modes de transfert dans le VTP

Introduction du protocole VTP
▪ Le VTP est l’acronyme de « Virtual Trunking Protocol »
▪ C’est un protocole propriétaire de Cisco, c’est-à-dire applicable pour le cas des
équipements Cisco
▪ Le VTP est un protocole qui permet la réplication des informations des VLAN sur
l’ensemble des commutateurs
▪ Le VTP sert à la propagation des créations, suppressions et les modifications des
VLAN sur tous les commutateurs au niveau du réseau à partir d’un seul commutateur.
▪ L’application du protocole VTP est optionnelle, mais elle s’avère nécessaire en cas du
déploiement d’un nombre important de commutateurs et de VLAN

Introduction du protocole VTP
▪ Les messages VTP comprennent des annonces de création, de suppression ou de
modification de VLAN
▪ Cette diffusion s’effectue à travers tous les commutateurs grâce à une trame avec
une adresse de destination MAC multicast bien particulière
qui est 01-00-0C-CC-CC-CC.

Les nombres de révisions dans le VTP
▪ Chaque Commutateur admet ce qu’on appelle « une révision de configuration »
représentée par un entier qui exprime le nombre de fois où les réplications sont
introduites au niveau d’un commutateur
▪ Le commutateur qui admet le nombre de révisions de configuration le plus haut, il
sera responsable de la mise à jour du reste des commutateurs
Commutateur #show vtp counters

Les modes de transfert dans le VTP
▪ Le mode serveur( le mode par défaut)
• Peut changer les données des VLAN
• Emettre et recevoir les mises à jours
• Enregistre les configurations VLAN
▪ Le mode client
• Ne peut pas changer les données des VLAN
• Ne peut pas enregistrer les configurations VLAN
▪ Le mode transparent
• Peut changer les données des VLAN
• Enregistrer les configurations VLAN

Le mode de transfert dans le VTP
Client
Serveur
Transparent
Vlan 0
Vlan 1
Vlan 2
Vlan 0
Vlan 2
Vlan 1
Mode transparent:
• Admet sa propre base de
données
• Permet de transférer les mises à
jours seulement de part est
d’autre

Résumé
▪ Introduction du protocole VTP
▪ Les nombres de révisions dans le VTP
▪ Les modes de transfert dans le VTP

La commutation
La configuration du
VTP
Présentée par
Béchir BEJAOUI

Le plan
▪ Quelques spécifications du protocole VTP
▪ Configuration du protocole VTP
▪ Le VTP et la relation avec le protocole CDP
▪ VTP et la notion Pruning

Quelques spécifications du protocole VTP
▪ Les messages VTP se propagent sur les ports configurés en Trunk non pas en
mode Access
▪ VTP ne gère que la plage des VLAN comprises entre 1 et 1005.
▪ Il existe trois versions du protocole VTP, il faut bien vérifier qu’une et une seule
version est active
▪ La configuration VTP n’est pas visible dans la running-config
▪ Mais elle est stockée dans le fichier vlan.dat situé dans la mémoire flash

La configuration du protocole VTP
▪ Voici les étapes à suivre pour configurer le VTP:
Obligatoire:
• Configurer un domaine VTP qui permet à tous les commutateurs d’être dans le
même domaine désigné par « groupe d’amis »
• Configurer le mode de votre commutateur « client, transparent ou serveur »
Optionnel:
• Activer la fonction Pruning
• Configurer un mot de passe pour sécuriser les messages VTP
• Activer la version 2 ou 3 au lieux de VTP version 1 qui est active par défaut

La configuration du protocole VTP
▪ Voici à présent l’activation de VTP sur un commutateur:
Switch>enable
Switch#configure terminal
Switch(config)#vtp domain <Nom>
▪ Ensuite, vient l’étape de la configuration du commutateur en mode server
Switch(config)#vtp mode server
▪ Il est possible d’activer les versions 2 ou 3 de VTP via la commande
Switch(config)#vtp version 2
▪ Il est possible aussi de protéger VTP avec un mot de passe
Switch(config)#vtp password Pa§ss0rd

Le VTP et la relation avec le protocole CDP
▪ Le CDP « Cisco Discovery Protocol » est un protocole propriétaire de Cisco qui
permet de créer un diagramme logique des équipements mis en réseau
▪ Le CDP est activé sur toutes les interfaces des routeurs et des commutateurs
par défaut.
▪ Le commutateur ou le routeur envoie un paquet CDP sur chaque interface
toutes les 60 secondes
▪ N'importe quel appareil connecté enregistre la présence de ces paquets
dans une table CDP pour une période de temps de maintien de 180 secondes
▪ L’équivalent du CDP en mode protocole ouvert c’est le LLDP

Le VTP et la relation avec le protocole CDP
▪ Pour voir si le CDP est activé au niveau d’un équipement, on utilise la commande
Switch#show cdp
▪ Pour voir les voisins d’un équipement
Switch#sh cdp neighbors
▪ Dans le cas où une adresse IP est affectée à un commutateur, il est possible de repérer
ce commutateur à travers son adresse IP
Switch#sh cdp entry @IP

Le VTP et la notion Pruning
▪ L'un des principaux problèmes lors
d’augmentation du nombre des commutateurs
est le trafic indésirable excessif sur le réseau.
▪ Si un VLAN particulier n’est pas concerné par le
transfert des informations sur un commutateur
donné, il vaudrait mieux que ce commutateur
ne reçoit pas des informations concernant ce
VLAN
▪ La méthode Pruning peut être mise en œuvre
pour éviter que les VLAN peuvent aller à des
commutateurs non concernés

Le VTP et la notion Pruning
▪ Il faut activer le Pruning pour le cas des réseaux de grande taille
Switch(config)#vtp Pruning
▪ Il est encore possible d’appliquer le Pruning au niveau du port de jonction
directement
Switch#config t
Switch(config)#interface Fa0/1
Switch(config)#switchport trunk pruning vlan 3-4

Résumé
▪ Quelques spécifications du protocole VTP
▪ Configuration du protocole VTP
▪ Le VTP et la relation avec le protocole CDP
▪ VTP et la notion Pruning

La commutation
La notion Ether Channel
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation de la notion Etherchannel

Présentation de la notion Etherchannel
▪ La notion Etherchannel est tout simplement l’agrégation de plusieurs chaines en
une seule chaine pour augmenter le débit de transmission
▪ Le débit de transmission augmente d’une manière arithmétique
▪ Le EtherChannel fournit une bande passante full-duplex jusqu'à 800 Mbps Fast
EtherChannel
▪ Le débit peut atteindre jusqu’à 8 Gbps Gigabit d’ EtherChannel entre deux
commutateurs
Débit résultant = Débit F0/1 + Débit F0/2 + Débit F0/3 +Débit F0/4

▪ Chaque Etherchannel peut comporter jusqu'à huit interfaces Ethernet
compatibles et identiquement configurées.
▪ Toutes les interfaces de Etherchannel doivent avoir la même vitesse

▪ Pour les interfaces couche réseau, la création de l'interface logique se fait
manuellement en utilisant la commande interface port-channel
▪ Pour les interfaces couche niveau liaison, l'interface logique est créé
dynamiquement.
▪ Pour les deux cas commutation et réseau, le Etherchannel est activé en utilisant
la commande channel-group
▪ Lorsqu'un port joint Etherchannel, l'interface physique est arrêtée.
▪ Lorsque le port quitte le mode Etherchannel , son interface physique est lancée
à nouveau, et il a la même configuration qu'il avait avant de rejoindre
l'Etherchannel.

▪ Pour le cas de la couche Liaison:
switch1# configure terminal
switch1(config)# interface range
fastethernet 0/1 - 2
switch1(config-range-if)# switchport
mode trunk
switch1(config-range-if)# channel-
protocol lacp
group 1 mode active
switch1(config-range-if)# no
shutdown
switch1(config-range-if)# exit
switch1(config)#exit
switch2# configure terminal
switch2(config)# interface range
fastethernet 0/1 - 2
switch2(config-range-if)# switchport
mode trunk
protocol lacp
group 1 mode passive
switch2(config-range-if)# no
shutdown
switch2(config-range-if)# exit
switch2(config)#exit

▪ Pour vérifier l’état de la liaison Etherchannel, il suffit d’exécuter la commande
Switch# show etherchannel summary
▪ Si une chaine devient inactive dans ce cas le débit diminue la valeur du débit de
cette chaine
▪ Si Etherchannel résultant de quatre chaînes Fast Ethernet est de 400 MBps, si
l’une des chaines Fast Ethernet est enlevée dans ce cas le débit deviendra 300
MBps

Résumé
▪ Présentation de la notion Etherchannel

La commutation
Spanning Tree Protocol
Présentée par
Béchir BEJAOUI

Le plan
▪ L’origine du problème
▪ Le protocole STP comme solution
▪ Le mécanisme de fonctionnement du STP

L’origine du problème
▪ Pour assurer la disponibilité, de nombreux réseaux mettent en service des
chemins redondants en utilisant plusieurs Commutateurs.
▪ Ceci peut amener à une redondance à l'infini surtout pour les structures réseau en
boucle
▪ Ce phénomène s’appelle « Broadcast Storm »
Une représentation du Broadcast Storm

▪ Pour bien comprendre l’origine du problème soit l’exemple suivant, l’hôte PC0
envoie des paquets vers le routeur R2
Représentation du cas de figure

▪ Il y aura deux chemins possibles pour envoyer le message soit via C3 ou C2
▪ Si les trames vont arriver au niveau de C3 via C2, ce premier va faire un Flooding
par conséquent les paquets vont retourner vers C1 et ce dernier va les diffuser
encore une fois vers C2

Le protocole STP comme solution
▪ Pour éviter ce problème, la comité définit une norme appelée
l'algorithme Spanning Tree, c’est la norme IEEE 802.1d
▪ Le STP est le protocole qui implémente cet algorithme, ce protocole réside
au niveau de la couche liaison
▪ Pour un fonctionnement correct d’un réseau Ethernet, un seul chemin
actif doit exister entre deux stations.
▪ La question qui se pose est sur quelle base
ce fait le choix l’une des deux voies?

Le mécanisme de fonctionnement du STP
Root Bridge
▪ C’est le protocole STP qui assure ce choix selon un algorithme précis
▪ Le STP bloque le retour d’envoi des paquets vers l’origine
▪ Le STP choisi un commutateur qui va lui désigner le nom du Root Bridge
« Pond racine »
▪ Le commutateur « Pond Racine » sera l’ unique responsable
de réception des paquets acheminés

▪ Le choix du Pond Racine dépend essentiellement de deux paramètres à savoir la
variable priorité et l’adresse MAC
▪ Le Pond Racine est élu par défaut celui qui admet l’adresse MAC minimale ou la
priorité minimale
▪ L’administrateur utilise une commande pour changer la priorité et par conséquent
le Pond Racine
Switch# spanning-tree vlan <numéro VLAN> priority <nombre>

▪ Le choix du Pond Racine étant fait, le STP commence à déterminer les ports de
communications aux niveau des commutateurs interconnectés
▪ Il existe trois types de ports à savoir
Le port racine:
• Il s’agit du port correspondant au moindre coût relatif du commutateur
voisin du Pond Racine pour chaque commutateur dans la topologie
• Pour chaque commutateur voisin au Pond Racine, il existe un et un seul
port racine
• Le reste des ports seront par conséquent des « ports désignés » ou « port
bloqués »

Le port désigné:
• Le port désigné est le port responsable du passage du trafic
• Tout les ports du Pond Racine sont des ports désignés
Le port bloqué:
• C’est le port choisi sur la base du chemin le plus couteux vers le Pond Racine
• Dans le cas d’égalité des chemins, les ports bloqués sont sélectionnés sur la
base des adresses MAC supérieures des Commutateurs de destination

Schéma explicatif simplifié de détermination des ports au niveau
d’une topologie des commutateurs interconnectés

▪ En cas du changement au niveau de la topologie comme l’ajout/suppression des
commutateurs ou l’ajout/suppression des liaisons, un changement d’état des ports
se réalise selon les étapes suivantes
Blocage du trafic
Durée ≈ 20 sec
Ecoute du trafic
Durée ≈ 15 sec
Mémorisation du
trafic
Durée ≈ 15 sec
Lancement du trafic
En cas de modification du pond racine, les ports
désignés et les ports racine seront modifiés

▪ Il est possible d’avoir les informations sur STP via la commande
Switch# show spanning-tree

Résumé
▪ L’origine du problème
▪ Le protocole STP comme solution
▪ Le mécanisme de fonctionnement du STP

La commutation
Rapid Spanning Tree Protocol
Présentée par
Béchir BEJAOUI

Le plan
▪ Les limites du protocole STP
▪ Les rôles des ports supplémentaires RSTP
▪ Les états des ports RSTP

Les limites du protocole STP
▪ Un grand inconvénient du protocole STP est la faible convergence qui ne cesse
augmenter avec l’élargissement du réseau
▪ RSTP « Rapid Spanning Tree Protocol », vient pour remédier cette lacune en
réduisant considérablement le temps de convergence après une modification de
topologie
▪ STP peut prendre 40 secondes en moyenne pour passer d'un état de blocage à un
état de transfert, cependant RSTP est généralement capable de répondre à moins de
10 secondes lors d'une défaillance de liaison physique

Les rôles des ports supplémentaires RSTP
▪ RSTP fonctionne en ajoutant un port alternatif et un port de sauvegarde par rapport
à STP
Port alternatif:
Le port alternatif passe à l'état de renvoi s'il y a une défaillance sur le port désigné
pour le segment.
Port de sauvegarde:
Un chemin de sauvegarde / redondant il s'applique uniquement lorsqu'un seul
commutateur a deux liens vers le même segment (domaine de collision).
Pour avoir deux liens vers le même domaine de collision, le commutateur doit être
attaché à un concentrateur « Hub ».

Les rôles des ports supplémentaires RSTP
▪ Remarquez dans ce cas de figure ci-dessous, qu’il n y a plus de port bloqué, ce dernier
Remplacé par le port alternatif au quel le port de restauration est ajouté pour assurer
la redondance

Les différents états des ports RSTP
▪ Le tableau comparatif ci-dessous montre une comparaison des états des divers ports
pour les deux protocoles à savoir le STP et le RSTP
▪ Remarquez qu’il n y a pas plus de notion de blocage en permanence
STP State (802.1d) RSTP State (802.1w)
Bloqué Ecarté
Ecoute Ecarté
Apprentissage Apprentissage
Emission Emission
Désactivé Ecarté

Résumé
▪ Les limites du protocole STP
▪ Les rôles des ports supplémentaires RSTP
▪ Les états des ports RSTP

La commutation
La configuration du
Rapid Spanning Tree Protocol
Présentée par
Béchir BEJAOUI

Le plan
▪ La configuration du Rapid Spanning Tree Protocol

Résumé
▪ La configuration du Rapid Spanning Tree Protocol

Le WAN
Présentation du WAN
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation du contexte général
▪ Présentation de la structure physique
▪ Présentation de la structure logique

Présentation du contexte général
▪ Contrairement au LAN « Local Area Network », les services WAN « Wide Area
Network » permettent de connecter les réseaux à une distance importante
▪ Les réseaux WAN sont utilisés pour connecter des LAN et d'autres types de
réseaux
▪ Bien que nous pensons souvent à des connexions série avec des câbles en cuivre
quand on parle du WAN, aujourd'hui les câbles optiques jouent un rôle
important dans la connexion à la fois au réseau LAN et le réseau WAN

Présentation de la structure physique
▪ Le réseau WAN comprend de nombreux périphériques
Routeur:
Un périphérique qui fournit des interfaces d'interconnexion et d'accès WAN qui se
connectent au réseau fournisseur « Internet Service Provider »
Data Terminal Equipment:
Typiquement, DTE est le connecteur côté client
Data Communication Equipement:
Il fournit un signal d'horloge utilisé pour synchroniser la transmission de données
entre les appareils DCE et DTE.
Équipement du client:
Les dispositifs situés côté client, les hôtes, les routeurs et les commutateurs et
modems

Présentation de la structure physique
Point de démarcation:
Le point physique où se termine le réseau public et commence le réseau privé d'un
client, il est souvent représenté par un équipement de téléphonie, le point de
démarcation est parfois abrégé en tant que DEMARC
Local Loop:
Un câble qui relie le LAN au circuit public commuté du fournisseur de service. En
d'autres termes, c'est le lien physique qui relie le point de démarcation au bord du
réseau du fournisseur de services
CSU/DSU:
Il fournit un signal d'horloge à l'interface d'équipement du client.
Modem:
C’est une abréviation de « Modulator / Demodulator ». Un Modem est un
périphérique matériel qui permet à un ordinateur d'envoyer et de recevoir des
informations sur des lignes téléphoniques

Présentation de la structure logique
▪ Il existe deux technologies WAN importantes communes dans les réseaux
d'entreprise aujourd'hui
• Leased Lines dit aussi « Point à point »
• Packet Switching dit aussi « Relais de trame ou Framerelay »
▪ Leased Line est une ligne privée de télécommunications bidirectionnelle ou
symétrique entre deux emplacements permet l’échange des données contre d'un
loyer mensuel
▪ Packet Switching ou commutation de paquets est une méthode de communication
en réseau numérique qui regroupe toutes les données en paquets, qui sont ensuite
transmis via un support qui peut être partagé par plusieurs sessions de
communication simultanées.

▪ Pour le premier protocole à savoir le Leased Line il est identifié par deux de
protocoles à savoir:
• Le HDLC « High Level Data Link Control » un protocole qui fait partie de la
couche liaison du modèle OSI. Il définit un mécanisme pour délimiter des
trames de différents types, en ajoutant un contrôle d'erreur.
• Le PPP « Point to Point » c’est le protocole le plus utilisé, il est divisé à son
tour en deux types de protocoles complémentaires à savoir, le Link Control
Protocol qui instaure le lien et utilise le Network Control Protocol pour
établir les négociations qui aboutissent à l’authentification

▪ Pour le deuxième protocole à savoir le Packet Switching, il est souvent indiqué
par les termes Frame Relay, ATM et X25 qui sont des implémentations de ce
type de protocole,
▪ Le Packet Switching représente l’avantage de connecter plusieurs extrémités à
travers une seule ligne en série
▪ Le ATM ou le « Asynchronous Transfert Mode » et le X25 ne feront pas objet de
questions dans le cadre de l’examen CCNA
▪ Tout ces protocoles font partie de la couche liaison du modèle OSI

Résumé
▪ Présentation du contexte général
▪ Présentation de la structure physique
▪ Présentation de la structure logique

Le WAN
Comparaison PPP et HDLC
Présentée par
Béchir BEJAOUI

Le plan
▪ Comparaison PPP et HDLC

▪ En réalité, PPP n’est pas le protocole utilisé par défaut au niveau des équipements
CISCO mais c’est le HDLC, car ce dernier est le propriétaire de CISCO
▪ Contrairement à HDLC, le PPP ajoute quelques options de connexions tel que la
négociation avec des protocoles de la couche réseau comme l’utilisation du
protocole NCP « Network Control Protocol » pour négocier quel protocole devra être
utilisé au niveau couche réseau durant la connexion.
▪ Le protocole PPP représente encore quelques fonctionnalités importantes comme la
compression de données, la détection des erreurs et le multiplexage des chaines

Une représentation de la structure d’une trame PPP
Une représentation de la structure d’une trame HDLC
▪ Remarquez le champ « Protocole » servant à l'encapsulation des couches
supérieures pour le cas de la trame PPP

Résumé
▪ Comparaison PPP et HDLC

Le WAN
Exemple de configuration
HDLC
Présentée par
Béchir BEJAOUI

Le plan
▪ Exemple de configuration HDLC

Résumé
▪ Exemple de configuration HDLC

Le WAN
PPP
Présentée par
Béchir BEJAOUI

Le plan
▪ Exemple de configuration PPP

Résumé
▪ Exemple de configuration PPP

Le WAN
Les relais de trame
Présentée par
Béchir BEJAOUI

Le plan
▪ Les caractéristiques des relais de trame
▪ Le LMI
▪ Les topologies relais de trame
▪ Quelques commandes utiles

Les caractéristiques des relais de trame
▪ Le relais de trame ou Frame Relay fait partie des protocoles de la couche liaison
▪ Dans un contexte de relais de trame plusieurs points peuvent être en contact à
travers un réseau de plusieurs routeurs via ce qu’ont désigne par Permanent
Virtual Circuit
Cas de figure représentant un circuit virtuel permanent

Les caractéristiques des relais de trame
▪ Le terme «virtuel» signifie ici que les deux DTE ou équipements coté client ne
sont pas directement reliés, ils sont liés à travers un réseau.
▪ Il existe deux types de circuits virtuels
SVC « Switched Virtual Circuit »:
C’est un ensemble de connexions temporaires, SVC est mis en place
dynamiquement en cas de besoin.
PVC « Private Virtual Circuit »:
Un PVC peut être assimilée à une ligne louée. Aujourd'hui, la plupart des
fournisseurs de services offrent un service de PVC plutôt que SVC

Le LMI
▪ Le LMI « Local Management Interface » est un protocole qui fait partie de la
couche liaison, qui sert à gérer les connexions Ethernet dites « Virtuelle » ou
EVC « Ethernet Virtual Connections » dans un contexte de réseau WAN
▪ Pour assurer une synchronisation entre les dispositifs DCE/DTE, LMI continue à
émettre périodiquement des messages de l’état du circuit virtuel permanent
▪ S'il n'y a pas de messages et que le PVC a été retiré, les données ne seront plus
envoyées sur le circuit virtuel.
▪ S’ il s’agit de plusieurs connexions, LMI aide à orchestrer les messages envoyés de
par et d’autre des réseaux au lieu d'échange de messages individuels

Le LMI
▪ Ce standard de signalisation représente trois types d’états qui peuvent décrire une
connexion ou un ensemble de connexions à un instant donné
État actif:
Indique que la connexion est active et que les routeurs peuvent échanger des
données.
État inactif:
Indique que la connexion locale à commutateur Frame Relay fonctionne, mais
la connexion du routeur à distance au commutateur Frame Relay ne
fonctionne pas.
État Supprimé:
Indique LMI n’ a reçu aucun signal du commutateur Frame Relay,
ou qu'il n'y a pas de service entre le routeur et le commutateur client Frame Relay.

Le LMI
▪ Les Routeurs Cisco prennent en charge les trois types de LMI:
• LMI de Cisco définit par Cisco.
• LMI de l’ANSI définit par la norme ANSI T1.617
• LMI de l’UIT-T définit par la norme Q.933
▪ Au niveau des équipements Cisco, le type utilisé par défaut est LMI Cisco, mais il est
possible de changer à la norme ANSI ou Q.933A si ce là est exigé par le fournisseur
de services.
▪ Les types LMI ne sont pas compatibles les uns avec les autres le même LMI doit
correspondre entre le commutateur de relais de trame et le DTE.

Le LMI
▪ Le LMI est configuré de la manière suivante
Router(config-if)# interface serial 1/0
Router(config-if)# frame-relay lmi-type cisco|ansi|q933a
Router(config-if)# no shutdown
▪ Pour avoir des informations sur les messages échangés dans le cadre de LMI
Router# debug frame-relay lmi
▪ LMI envoie des signaux pour s’assurer de la continuité de connexions d’une manière
périodique, la période entre deux signaux est dite dit Keep a Live, il est possible de la
configurer au niveau d’une interface
Router(config-if)# interface serial 1/0
Router(config-if)# keepalive 30

Le LMI
▪ Au cas où LMI déclare une connexion à un routeur est inactive, il est possible d’avoir
plus de détails à travers la commande
Router# show frame-relay route

Le DLCI
▪ Le DLCI « Data Link Connexion Identifier » est un nombre qui sert comme un
identifiant qui permet de lier deux réseaux situés dans deux sites différents
▪ Le champ relatif au DLCI est localisé dans l'en-tête du relais de trames, il est de taille
de 10 bits
▪ Les valeurs non réservées des DLCI appartiennent à ‘intervalle entre 16 et 1007
Une représentation d’un circuit relais de trame

Le DLCI
▪ Le DLCI doit être associé à l'adresse IP du routeur distant. Par exemple,
supposons le cas suivant:
DLCI 405  10.0.0.1
@IP = 10.0.0.1
DLCI 205  10.0.0.1
@IP = 10.0.0.2
@IP = 10.0.0.3
DLCI 504  10.0.0.2
DLCI 502  10.0.0.3

Le DLCI
▪ Le DLCI est associé soit
• Statiquement à la main par l’administrateur
• Dynamiquement à travers des algorithmes d’association IP/DLCI
▪ L’association Dynamique est souvent appelée Inverse ARP
▪ Inverse ARP va tenter d'apprendre les adresses IP des routeurs voisins et puis
créer automatiquement une table d’association dynamique entre DLCI et @IP des
routeurs distants.
▪ Les interfaces physiques ont Inverse ARP activée par défaut.

Le DLCI
▪ L’association dynamique IP/DLCI ou Inverse ARP commence toujours par envoi de
requête dite Reverse ARP pour déterminer l’adresse IP du routeur distant
▪ Les routeurs envoient par défaut des messages Inverse ARP sur tous les DLCI actifs
toutes les 60 secondes.

Les topologies relais de trame

▪ Le Modèle dit Hub and Spoke est le plus utilisé dans ce cas, car il présente moins
de complexité ,par conséquent, moins de coût d’infrastructure
▪ Par contre ce, modèle représente deux lacunes, la première, c’est qu’il ne permet
pas une liaison directe entre les Spoke qu’a travers le Hub

▪ Le Deuxième inconvénient c’est le cas où le hub ne possède qu’une seule interface,
dans ce cas, il est impossible de passer le message directement entre les Spoke,
cette lacune est remédiée à travers l’emploi du mécanisme Split-horizon
▪ Le DLCI de réception et le DLCI de l’émission doivent être reçus et émis
respectivement de deux interfaces différentes au niveau du Hub
▪ Il y a une solution pour fuir cet inconvénient, c’est d’utiliser des sous interfaces au
niveau de l’interface du Hub
Hub(config-if)#int s 0/0
Hub(config-if)#no ip address
Hub(config-if)#encapsulation frame-relay
Hub(config-if)#int s 0/0.1 point-to-point
Hub(config-if)#ip address @IP @Masque
Hub(config-if)#frame-relay interface-dlci 110

Quelques commandes utiles
▪ Pour afficher les statistiques:
Router # show frame-relay traffic
▪ Pour effacer les associations générées par l’inverse ARP:
Router #clear frame-relay-inarp
▪ Pour afficher des informations sur le DLCI:
Router #show interface nombre
▪ Pour afficher des informations sur le LMI:
Router #show frame-relay lmi
▪ Pour afficher des informations sur les associations:
Router #show frame-relay map
▪ Pour afficher les statistiques sur le PVC:
Router #show frame-relay pvc

Résumé
▪ Les caractéristiques des relais de trame
▪ Le LMI
▪ Les topologies relais de trame
▪ Quelques commandes utiles

Le WAN
Configuration statique
des relais de trame
« Multi interfaces »
Présentée par
Béchir BEJAOUI

Le plan
▪ Configuration statique des relais de trame en
mode multi interfaces

Configuration statique des relais de trame
▪ Il existe trois scénarii de configuration manuelle des relais de trame:
• L’utilisation de plusieurs interfaces au niveau du routeur Hub
• L’utilisation de sous interface issue d’une seule interface, cette sous interface
est configurée en mode dit multipoint
• L’utilisation des sous interfaces issues d’une seule interface, ces sous interfaces
sont configurées en mode dit point-to-point

▪ Pour le premier scénario relatif à l’utilisation de plusieurs interfaces au niveau du
routeur Hub
R1(config)#interface serial 1/0
R1(config-if)#encapsulation frame-relay
R1(config-if)#ip address 192.168.0.1
255.255.255.248
R1(config-if)#frame-relay map ip 192.168.0.2
102 boradcast
R1(config-if)#no shutdown
255.255.255.248
103 boradcast

▪ La suite de configuration pour le premier scénario, la configuration des routeurs R2
et R3
255.255.255.248
201 boradcast
255.255.255.248
301 boradcast

Résumé
▪ Configuration statique des relais de trame en
mode multi interfaces

Le WAN
Configuration statique
des relais de trame
« Multipoint »
Présentée par
Béchir BEJAOUI

Le plan
▪ Configuration statique des relais de trame en mode
multipoint

▪ Le deuxième scénario :
L’utilisation d’une sous interface en mode multipoint

▪ Le deuxième scénario relatif à l’utilisation d’une interface au niveau du routeur Hub
configurée en mode multipoint
R1(config)#interface serial 1/0.123
multipoint
255.255.255.248
102 broadcast
102 boradcast
multipoint
255.255.255.248
102 boradcast

▪ La suite de configuration du deuxième scénario relatif à l’utilisation d’une interface
au niveau du routeur Hub configurée en mode multipoint
multipoint
255.255.255.248
103 boradcast

Résumé
▪ Configuration statique des relais de trame en mode
multipoint

Le WAN
Configuration
des relais de trame
« Point to point »
Présentée par
Béchir BEJAOUI

Le plan
▪ Configuration des relais de trame en mode point to point

▪ Le troisième scénario :
L’utilisation d’une sous interface en mode multipoint

▪ Le troisième scénario relatif à l’utilisation de deux sous interfaces au niveau du
routeur Hub configurées en mode point-to-point
point-to-point
255.255.255.248
102 broadcast
point-to-point
255.255.255.248
102 broadcast

▪ Pour le deuxième scénario relatif à l’utilisation d’une interface au niveau du routeur
Hub configurée en mode multipoint
point-to-point
255.255.255.248
102 boradcast
point-to-point
255.255.255.248
103 boradcast

Résumé
▪ Configuration des relais de trame en mode point to point

Le WAN
Le protocole BGP
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction du BGP
▪ Les types de connexions aux FAI

Introduction du BGP
▪ BGP « Border Gateway Protocol » est un protocole de passerelle externe normalisé
conçu pour échanger les informations de routage et d'accessibilité entre les
systèmes autonomes sur Internet
▪ Actuellement nous somme à la version 4 du BGP, qui est une version standard
▪ BGP peut être utilisé pour le routage dans un système autonome interne. Dans ce
cas, il est appelé iBGP ou IGP
▪ En revanche, l’application du protocole en dehors des AS est souvent appelée
eBGP ou EGP
▪ BGP prend des décisions de routage en fonction des chemins en se basant sur un
ensemble de règles configurés par un administrateur réseau

Introduction du BGP
▪ Avec BGP, le terme système autonome AS réfère à un réseau qui fonctionne
séparément d'autres réseaux et opère habituellement dans un contexte
administratif unique
▪ Chaque AS est représenté par un numéro AS. C'est similaire à EIGRP dans ce cas

Introduction du BGP
▪ BGP est utilisé principalement par le fournisseur de services Internet FAI dans le
monde entier, chaque FAI admet son propre identifiant AS entre 1 et 65535
▪ Les identifiants AS sont accordés par IANA « Internet Assigned Number
Authority »
▪ Les identifiants sont de deux catégories
• Privés utilisés par les sociétés en IGP entre 1 et 64512
• Publics réservés pour IANA entre 64512 et 65535

Introduction du BGP
▪ En parle pas de métriques pour le cas du BGP mais des attributs
▪ La plupart des implémentations BGP déployées aujourd'hui permettent également
à l'administrateur réseau de configurer le prochain saut BGP lors du choix de
l’itinéraire entre les pairs iBGP
▪ Les communications entre les voisins BGP, appelés Peers, sont établis par
configuration manuelle entre les routeurs pour créer une session TCP sur le port
179
▪ Un BGP Speeker envoie messages de 19 octets toutes les 60 secondes pour
maintenir la connexion.

Introduction du BGP
▪ La distance administrative utilisée en cas de Internal BGP est 200, cependant celle
utilisée pour le cas de external BGP est de 20
▪ BGP est préféré car il peut gérer des tables de routage de grandes tailles
▪ BGP est un protocole vecteur à chemin et non pas à distance comme il est le cas
du RIP
▪ Vecteur à chemin veut dire, le choix du chemin qui comporte le nombre minimal
des systèmes autonomes qui les traverse

Les types de connexions aux FAI
▪ Les types de connexions aux FAI sont
• Single Homed
Le moyen le plus simple est d’utiliser un seul lien entre l'entreprise et le FAI.
Avec cette conception, il existe un seul lien possible avec le prochain saut pour
toutes les routes vers Internet, un grand inconvénient de cette conception est
lorsque la connexion échoue le routeur échoue, la connexion à Internet échoue
aussi

• Le dual Homed
Bien sûr, cette conception est meilleure en terme de redondance que la première,
mais elle a toujours un «point d'échec unique» au niveau du routeur FAI
Ce design permet particulièrement un équilibrage de charge entre les deux
routeurs de l’entreprise

• Le Single Multi Homed
Ce design est bon si vous voulez orienter le trafic important vers un FAI
spécifique tout en conservant l'autre FAI comme alternative d’échec sur le chemin
vers le premier FAI.

• Le Dual Multi Homed
Si votre entreprise dispose d'un bon budget, le design Dual Multi Homed est
idéal pour vous assurer que votre connexion à l'extérieur est toujours garantie

Résumé
▪ Introduction du BGP
▪ Les types de connexions aux FAI

Le WAN
La configuration du external BGP
Présentée par
Béchir BEJAOUI

Le plan
▪ La configuration du external BGP

La configuration du external BGP
▪ La configuration du eBGP entre deux routeurs
▪ Après avoir formé une relation de voisinage BGP, vous pouvez vérifier en utilisant
la commande
R1(config)#show ip bgp summary
sur les deux routeurs
R1(config)#router bgp 1
R1(config-router)#neighbor 11.0.0.2
remote-as 2
R2(config)#router bgp 2
R2(config-router)#neighbor 11.0.0.1
remote-as 1

Résumé
▪ La configuration du external BGP

Le WAN
MLP
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation de Multilink PPP
▪ Exemple de configuration Multilink PPP

Présentation de Multilink PPP
▪ Multilink PPP (MLP), tel que défini dans la RFC 1990, est une variante de PPP
utilisée pour agréger plusieurs liens WAN dans un canal logique
pour le transport du trafic.
▪ Cette technologie permet l'équilibrage de charge du trafic à partir de différents
liens et permet un certain niveau de redondance en cas d'échec de ligne sur un
seul lien.

Exemple de configuration de Multilink PPP
▪ La configuration de Multilink PPP passe par x phases essentielles
La configuration de l’interface Multilink en question
router(config)# interface Multilink1
router(config-if)# ip address @IP @MASK
router(config-if)# ppp multilink
router(config-if)# ppp multilink group 1
L’association des interfaces cibles sous cette interface logique
router(config)# interface Serial1/0
router(config-if)# no ip address
router(config-if)# encapsulation ppp
router(config-if)# ppp multilink group 1
L’établissent d’un protocole de routage pour assurer la communication

Exemple de configuration de Multilink PPP
Il est possible d’afficher des données concernant les échanges de données dans
un contexte d’interface MultiLink à travers la commande
router# interface Multilink 1 stats

Résumé
▪ Présentation de Multilink PPP
▪ Exemple de configuration Multilink PPP

Thèmes divers
Le VPN
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction du VPN
▪ La sécurisation du VPN

Introduction du VPN
▪ Le VPN ou réseau privé virtuel est une technologie qui étend un réseau privé à
travers un réseau public
▪ Cela veut dire que les réseaux privés virtuels peuvent permettre aux réseaux locaux
d'accéder en toute sécurité à un réseau intranet d'entreprises tout en étant situé à
l'extérieur du réseau local ou le bureau.
▪ Une connexion VPN est créée en établissant un contact point à point virtuel grâce à
l'utilisation de connexions dédiées, de protocoles de « tunneling virtuels » ou de
chiffrement du trafic.
▪ Les connexions VPN SSL ou les connexions VPN IPsec constituent aujourd'hui les
principales technologies VPN pour la connexion distante adoptée par Cisco

La sécurisation du VPN
▪ Le VPN utilise IPSEC pour sécuriser la canalisation des données à travers divers
protocoles
Négociation Authentification Protection
AH
ESP
AH + ESP
MD5
SHA-1
DES
DH

Introduction du VPN
▪ Il existe trois types de connexions VPN chiffrées
VPN de site à site:
Ce type de VPN est dédié pour l’interconnexion des sites tel que les
entreprises ou les succursales d’entreprises
VPN client à site:
Ce type de VPN est capable de créer des connexions individuelles sécurisées
en mode IPSEC avec les serveurs VPN distants

Introduction du VPN
Le DMVPN multipoint dynamique:
Ce type de VPN est une forme de tunnel dynamique d'un réseau privé virtuel
VPN , le DMVPN offre la possibilité de créer un réseau VPN dynamique sans
avoir à préconfigurer statiquement tout les Peers possibles au niveau du point
final du tunnel

Résumé
▪ Introduction du VPN
▪ La sécurisation du VPN

Thèmes divers
Le DHCP
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction du DHCP
▪ La configuration du DHCP
▪ Introduction du DHCP Snooping
▪ La configuration du DHCP Snooping

Introduction du DHCP
▪ Dans un réseau, avant qu'un hôte ne puisse communiquer avec un autre, il doit
disposer de sa propre configuration IP
▪ Il existe deux façons d’attribuer une configuration IP à un hôte:
• Affecter statiquement une adresse IP. Cela signifie que vous saisissez manuellement
une adresse IP
• Utiliser un protocole pour que l’hôte puisse obtenir son adresse IP dynamiquement
▪ Cette deuxième alternative est rendue possible grâce à DHCP « Dynamic Host
Configuration Protocol »
▪ Un grand avantage d'utilisation du DHCP est la possibilité de rejoindre un réseau
sans en connaître au préalable ses détails.

Introduction du DHCP
Schéma explicatif du mécanisme de fonctionnement DHCP

La configuration du DHCP
▪ Voici à présent comment configurer un routeur comme un serveur DHCP
Router(config)#service dhcp
Router(config)#ip dhcp pool CLIENTS
Router(dhcp-config)#network 10.1.1.0 /24
Router(dhcp-config)#default-router 10.1.1.1
Router(dhcp-config)#exit
Router(config)# ip dhcp excluded-address 10.1.1.1
▪ Il est possible aussi de configurer un commutateur en tant que serveur DHCP ce
pendant il faut faire attention aux interfaces qui font partie de VLAN différents

Introduction du DHCP Snooping
▪ La DHCP Snooping est une fonction de sécurité qui agit comme un pare-feu
entre les hôtes non approuvés et les serveurs DHCP de confiance
▪ La fonctionnalité DHCP Snooping est appliquée essentiellement au niveau des
commutateurs
▪ La fonctionnalité de DHCP Snooping construit dynamiquement sa base de
données à l'aide d'informations extraites des messages DHCP interceptés
▪ Chaque entrée dans la base de données de liaison de DHCP Snooping comprend
l'adresse MAC de l'hôte, l'adresse IP louée, le temps de location, le type de liaison,
le numéro de VLAN ainsi que les informations d'interface associées à l'hôte.

Introduction du DHCP Snooping
▪ Lorsque la fonctionnalité DHCP Snooping est activée tout les ports passent à l’état
Untrusted
▪ Pour cette raison l’administrateur doit designer les ports Trusted de la part du serveur
DHCP
▪ La fonctionnalité DHCP Rate Limiting permet de limiter les allocations DHCP au
client pour éviter le phénomène de DHCP Starvation qui est en quelques sortes une
attaque DDOS
▪ Il est possible aussi d’activer DHCP Snooping au niveau d’un VLAN donné

La configuration du DHCP Snooping
▪ Voici un exemple de configuration du DHCP Snooping

▪ La configuration des commutateurs de C-Local et C-Distant ce fait de la façon
suivante
C-Distant(config)#ip dhcp snooping
C-Distant(config-if)#ip dhcp snooping
vlan 12-4
C-Distant(config)#interface
gigaethernet 0/1
C-Distant(config-if)#ip dhcp snooping
trust
C-Local(config)#ip dhcp snooping
C-Local(config-if)#ip dhcp vlan
C-Local(config)#interface fastethernet
0/24
C-Local(config-if)#ip dhcp snooping
trust
1

▪ Il est possible d’activer la fonctionnalité au niveau du VLAN à travers
Commutateur(config)# ip dhcp snooping VLAN <Vlan Id>
▪ Il est possible de créer la base de données à l’aide de la commande
Commutateur(config)# ip dhcp snooping database flash:/dhcp-snooping.db
▪ Il est possible de marquer un port comme digne de confiance en entrant au niveau de
la protée d’une interface est exécuter la commande
Commutateur(config-if)# ip dhcp snooping trust

▪ La vérification de l’état du DHCP Snooping se fait à l’aide de la commande
Commutateur(config)# show ip dhcp snooping
▪ Pour voir le contenu de la base de donnée de l’état du DHCP Snooping
Commutateur(config)# show ip dhcp snooping binding @IP
▪ Pour voir les méta données relatives à la base de donnée DHCP Snooping
Commutateur(config)# show ip dhcp snooping database

Résumé
▪ Introduction du DHCP
▪ La configuration du DHCP
▪ Introduction du DHCP Snooping
▪ La configuration du DHCP Snooping

Thèmes divers
Le SNMP
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction du SNMP
▪ Les types de messages SNMP
▪ La configuration du SNMP

Introduction du SNMP
▪ La conception d'un réseau est une étape importante, mais la surveillance de sa
santé est accès importante que sa construction
▪ Grâce au protocole SNMP « Simple Network Monitoring Protocol » il est possible
de superviser un réseau
▪ Le SNMP est composé de trois éléments essentiels à savoir
• Le manager SNMP ou NMS « Network management system » il supervise le
réseau
• L’agent SNMP, installé au niveau de chaque hôte objet de contrôle
• Le MIB « Management Information Base » qui est une collection d’objets
gérés, le MIB contient un ensemble de questions que le manager SNMP peut
demander à l'agent, chaque objet est identifié par OID « Object Identifier »

Introduction du SNMP
▪ Il existe trois versions de SNMP
• SNMP version 1
• SNMP version 2c
• SNMP version 3
▪ SNMPv1 est la version originale, elle est obsolète, elle ne devrait plus être utilisée
▪ SNMPv2c a mis à jour le protocole d'origine à travers quelques améliorations et
ajout de fonctionnalités comme INFORM et GETBULK
▪ SNMPv3 ajoute la dimension sécurité aux versions précédentes dont le cryptage,
l’intégrité et l’authentification

Les types de message SNMP
▪ Il existe 3 types de messages SNMP
• Le message GET envoyé par le manager SNMP à l’agent SNMP pour obtenir
des informations
• Le message SET envoyé encore par le manager SNMP à l’agent SNMP pour
mettre à jour ce dernier
• Le message TRAP envoyé par l’agent SNMP au manager SNMP pour
l’informer des détails

La configuration du SNMP
▪ Voici à présent une simple configuration d’un routeur en tant que serveur SNMP
Router(config)#snmp-server community smartskilled ro
▪ Dans le cas ci-dessus ro veut dire « Read Only » ou « Lecture Seule »

Résumé
▪ Introduction du SNMP
▪ Les types de messages SNMP
▪ La configuration du SNMP

Thèmes divers
Le protocole AAA
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation du protocole AAA
▪ Configuration du protocole AAA sur un client tacacs+

Présentation du protocole AAA
▪ AAA est « Authentication,Authorization and Accounting »
• L’ authentification consiste à déterminer si l’utilisateur ou l’équipement est
bien celui qu’il prétend l’être, car il pourra être quelqu’un d’autre dans le
cadre d’une attaque Spoofing
• L’autorisation consiste à déterminer les droits de l’utilisateur sur les
différentes ressources tel que l’accès au système de fichiers ou l’exécution de
certaine actions
• Le Accounting permet de garder des traces sur l’utilisation des ressources
par l’utilisateur dans un journal spécial, on l’appelle souvent Logging

Présentation du protocole AAA
▪ Il y a plusieurs technologies qui se basent sur le protocole AAA pour contrôler les
flux de données et l’accès aux ressources parmi ces technologies les plus utilisées
▪ Le Radius est un protocole orienté client/serveur qui permet de centraliser les
données d’authentification des utilisateurs.
▪ Il est essentiellement utilisé pour contrôler l’authentification au niveau des points
d’accès Wifi et les connexions VPN distantes
▪ Le protocole Radius est basé sur le protocole UDP
▪ Le protocole Tacacs+ est aussi basé sur AAA, contrairement à Radius Tacacs+ est
basé sur TCP et c’est un protocole propriétaire Cisco

Configuration du protocole AAA sur un client tactacs+
Voici l’exemple de configuration de routeur comme client AAA
▪ La configuration du client AAA
router(config)# aaa new-model
router(config)# tacacs-server host <@IP du serveue AAA>
router(config)# tacacs-server key <clé-partagée>
router(config)# aaa athentication login default
router(config)# line console 0
router(config)# aaa athentication login default group tactacs+ local
▪ La configuration de la console pour la protéger
router(config-line)#login authentication default

Résumé
▪ Présentation du protocole AAA
▪ Configuration du protocole AAA sur un client tacacs+

Thèmes divers
IP-SLA
Présentée par
Béchir BEJAOUI

Le plan
▪ Présentation de IP-SLA

Présentation de IP-SLA
▪ IP-SLA « Internet Protocol Service Level Agreement » permet de déboguer la
connectivité.
▪ Ce protocole est utilisé par Cisco pour mesurer la latence entre deux dispositifs
▪ Par exemple, au lieu d'utiliser une commande Ping de base pour tester la
connectivité, les fonctionnalités SLA vous permettent de spécifier les
caractéristiques du trafic envoyé à un périphérique réseau de destination
▪ Les données collectées en suite seront affichées sous forme de statistiques
▪ Le IP-SLA utilise le port UDP 1967

Résumé
▪ Présentation de IP-SLA

Thèmes divers
Le SPAN
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction du SPAN
▪ Terminologies SPAN
▪ Exemple de configuration de SPAN

Introduction de SPAN
▪ La fonctionnalité SPAN « Switch Port Analyser » a été introduite sur les
commutateurs en raison d'une différence fondamentale que les commutateurs
ont avec les Hubs ou concentrateurs
▪ Lorsqu'un Hub reçoit un paquet sur un port, il envoie une copie de ce paquet sur
tous les ports sauf sur celui où le Hub a reçu le paquet.
▪ D’autre part, le commutateur lorsqu’il démarre, il commence à construire une
table sur la base des l'adresses MAC source des différents paquets reçus
▪ Une fois cette table de transfert est construite, le commutateur transmet le trafic
destiné à exactement à l’adresse MAC de destination pas plus

▪ Par exemple, si vous souhaitez capturer un trafic Ethernet qui est envoyé par
l'hôte A à l'hôte B, et que les deux sont connectés à un Hub, il suffit de joindre un
Sniffer à ce concentrateur pour qu’il puisse voir le trafic entre les hôtes A et B
Exemple de topologie utilisant un Hub

▪ Pour le cas d'un commutateur, après que l'adresse MAC de l'hôte B est connue, le
trafic de A vers B est transmis uniquement au port qui correspond à B. Par
conséquent, le Sniffer ne peut pas voir directement ce trafic
Exemple de topologie utilisant un Concentrateur

▪ Le SPAN est une fonctionnalité supplémentaire, une fois employée, elle copie
artificiellement les paquets unicast envoyés aussi bien vers B que le Sniffer aussi
Exemple de topologie utilisant SPAN

Terminologies SPAN
▪ Trafique Ingress, c’est le trafic d’entrée
▪ Trafique Egress, c’est le trafic de sortie
▪ Port source, c’est le port supervisé par SPAN
pour avoir le flux sortant
▪ VLAN source, c’est le VLAN utilisé par SPAN
pour superviser le contrôle du flux
▪ Port destination, c’est le port supervisé
par SPAN pour avoir le flux sortant
▪ Port Reflector, c’est le port utilisé
pour acheminer les données en
cas de monitoring distant

Exemple de configuration de SPAN
▪ Voici une configuration locale de SPAN
Commutateur(config)# monitor session <numéro> source interface <interface>
Commutateur(config)# monitor session <numéro> destination interface <interface>
▪ Voici une configuration distante Remote SPAN entre deux commutateurs Local et
Distant
Distant(config)#vlan <id-vlan>
Distant(config-vlan)#remote-span
Distant(config-vlan)# monitor session <id-session-distante> source interface f 0/1
Distant(config-vlan)# monitor session < id-session-distante> destination vlan <vlan-id>
reflector-port <id-interface-du-port-reflector>
Local(config)# monitor session <id-session-locale> source remote vlan <id-vlan>
Local(config)# monitor session <id-session-locale> destination <interface-id>

Résumé
▪ Introduction du SPAN
▪ Terminologies SPAN
▪ Exemple de configuration de SPAN

Thèmes divers
Le SDN
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction de SDN
▪ Les composants SDN

Introduction de SDN
▪ Le SDN « Software Defined Network » est avant tout une architecture qui permet
aux administrateurs réseau de gérer les services par abstraction des
fonctionnalités
▪ La partie décisionnelle des équipements « Control Plan » est séparée de leur
partie opérationnelle « Data Plan »
▪ Le trait d’union est fait à travers le Contrôleur SDN qui prend contrôle de la
coordination des deux parties
▪ Ce découplement donne l’opportunité à un développement de services réseaux à
forte valeur ajoutée « équilibrage de charge, automatisation de configuration,
planification, routage intelligent.

Les composants de SDN
Application
Contrôleur
Open Flow
API API APIAPI
API API APIAPI
Hardware
North Bound API
JAVA + REST
South Bound API
Flow Table
Couche Contrôle
Couche Infrastructure
Couche Application

Les composants de SDN
▪ Open Flow fournit une interface ouverte pour que les développeurs puissent
créer des extensions en terme de modules logiciel aux systèmes déjà déployés au
niveau des équipements

Résumé
▪ Introduction de SDN
▪ Les composants SDN

Thèmes divers
Le APIC-EM
Présentée par
Béchir BEJAOUI

Le plan
▪ Introduction de APIC EM
▪ Les modules de APIC EM

Introduction de APIC-EM
▪ Le APIC-EM « Application Policy Intrastructure Controller Entreprise Module » est
une machine linux basée sur la distribution Ubuntu qui permet de superviser tout
un réseau Cisco
▪ Il pourra être classé comme un contrôleur SDN
▪ Il est basé sur la technologie Open Stack
▪ APIC- EM fournit une interface
Web pour contrôler la topologie
▪ Son interface utilisateur simple vous permet
d'automatiser les profils d'applications
basées sur les règles bien définies

▪ Avec une logique proche de Nagios, APIC-EM permet de contrôler un réseau
entier et automatiser une suite de Workflow basés sur un état donné d’un
élément donnée du réseau, programmable et extensible

▪ Toute l’infrastructure sera vue comme un seul système piloté à travers des
connexions RESTFUL ou des extensions essentiellement écrites en Java et Python
▪ C’ est-à-dire les informations seront assurées par interfaces applicatives ou une
collection de services Web qui communiquent des données sous forme XML ou
JSON avec HTTP/HTTPS comme support de transmission
▪ Par conséquent, il aura pas de soucis de blocage des flux d’informations par des
par feu
▪ L'image ISO Cisco APIC-EM comprend les composants suivants:
• Ubuntu 14.04 LTS 64 bits
• Services Cisco APIC-EM
• Plate-forme de services élastiques Grapevine

▪ Outre que l’automatisation et le contrôle de données, APIC-EM offre un
mécanisme de protection à temps réel contre les intrusions et les attaques
Malware

Les modules APIC-EM
▪ NIDB « Network Information Database » c’est un entrepôt des données sur les
éléments qui composent l’infrastructure réseau
▪ Network Topology Visualization, Il présente un mécanisme hautement interactif
pour visualiser et dépanner le réseau. Vous pouvez également personnaliser facilement
sa GUI
▪ Plug and Play qui fournit une expérience de déploiement zéro-tactile hautement
sécurisée, évolutive, transparente et unifiée pour les clients du réseau complet de Cisco
comprenant des périphériques câblés et sans fil
▪ IWAN « Intelligent WAN » qui définit les préférences de niveau métier par application
ou groupes d'applications. Il traduit ensuite cette priorité dans la configuration dans un
contexte dequalité du service QoS telque le routage, la sécurité, les performances…..

Les modules APIC-EM
▪ ESA « Entrerpise Service Automation » qui orchestre et gère les services réseau, ce qui
simplifie le déploiement et la gestion de ces derniers
▪ PKI « Public Key Infrastructure » un composant essentiel pour la publication des
certificats
▪ Path Trace qui automatise l'inspection et la visualisation du chemin parcouru par un
flux entre deux points d'extrémité du réseau
▪ Outre que ces modules APIC-EM offre des services de Haute disponibilité et de
recouvrement de désastre

Résumé
▪ Introduction de APIC EM
▪ Les modules de APIC EM

Formation CCNA Routing & Switching
Examen (200-125)
Présentée par
Béchir BEJAOUI

Cisco Certified Network Associate
Routing and Switching

Le bilan de la formation
▪ Les chapitres
Chapitre I: Chapitre introductif
Chapitre II: Les fondamentaux du réseau
Chapitre III: Adressage IP
Chapitre IV: La gestion de l’infrastructure
Chapitre V: Le routage
Chapitre VI: Les listes de contrôle d’accès
Chapitre VII: La commutation
Chapitre VIII: Thèmes divers

Le Bilan
Ce que vous devez préparer
pour l'examen CCNA R/S v3
Présentée par
Béchir BEJAOUI

Le plan
▪ Une comparaison CCNA v2 et CCNA v3
▪ Les thèmes obsolètes de CCNA v2
▪ Les nouveaux thèmes de CCNA v3

Une comparaison CCNA v2 et CCNA v3
Une représentation graphique comparative entre CCNA v2 et CCNA v3
CCNA 200-120
La commutation 20% Adressage IP 10%
Routage 30 % Sécurité 10 %
Dépannage réseau 20% WAN 10%
CCNA 200-125
Commutation 21% Routage 23 %
WAN 10% Infrastructure & service 10%
Infrastructure & sécurité 11% Infrastructue & management 10%

Les thèmes obsolètes de CCNA v2
▪ La description et la configuration du protocole de redondance VRRP et GLBP
▪ Débogage des soucis en relation avec les équipements niveau 1
▪ Débogage des soucis en relation avec Frame Relay
▪ Description et configuration des protocoles de monitoring NetFlow

Les nouveaux thèmes CCNA v3
▪ La configuration et le dépannage des réseaux de routage OSPFv2, La CCNA v2
requiert seulement que vous puissiez configurer et vérifier une zone OSPFv2
uniquement. Cependant, cette configuration est basique n'inclut pas l'authentification,
le filtrage, la summmerisation du réseau , la redistribution d'itinéraires, les zones de
stub, les liens virtuels « Virtual Links » et les LSA « Link State Advertisement »
▪ La configuration, vérification et dépannage les topologies OSPFv3 multi-zones pour
les réseaux IPv6, La version précédente ne prend pas en considération
l'authentification, le filtrage, la summmerisation du réseau , la redistribution de
l'itinéraire ou les zones de bout dites « Stub »

▪ La configuration, vérification et dépannage EIGRP pour les réseaux IPv6. La version
CCNA précédente requiert seulement que vous puissiez configurer et vérifier EIGRP
pour les réseaux IPv4.
▪ La configuration, vérification et dépannage du RIPv2 pour IPv4. La précédente version
de CCNA ne comportait aucune version de RIP.
▪ La configuration, vérification et dépannage du RIPng pour IPv6. La précédente version
de CCNA ne comportait aucune version de RIPng.
▪ La configuration, vérification et dépannage des jonctions « VLAN Trunking Protocol »
VTP version 1 et 2

▪ La description des options VPN, y compris le VPN multipoint dynamique « DMVPN »,
VPN site à site et VPN client à site
▪ La configuration et la description d'une connexion IPv4 eBGP « External Border
Gateway Protocol »
▪ La description de l'utilisation du DHCP Snooping pour empêcher un utilisateur
malveillant d’injecter son propre serveur DHCP à un réseau
▪ La configuration et la vérification des listes de contrôle d'accès IPv6 . La version
précédente de l'examen ne comprend que des questions sur les ACL IPv4

▪ Utilisation d'un test IP SLA à base d‘ « écho ICMP » pour résoudre la connectivité. Au
lieu d'utiliser une commande Ping de base
▪ Possibilité d'utiliser les fonctions Switched Port Analyzer « SPAN » pour résoudre les
problèmes de réseau
▪ La discussion sur la programmabilité du réseau dans un contexte d’architecture de
réseau d'entreprises. Ces discussions couvrent la fonction d'un contrôleur SDN et la
séparation du plan de contrôle « Control Plan » et du plan de données « Data Plan »,
ainsi que les API North Bound et South Bound

▪ La configuration, vérification et le dépannage Multi Link PPP. Cette fonctionnalité
permet de relier logiquement plusieurs interfaces physiques à une seule interface
virtuelle, ce qui peut améliorer le débit WAN.

Résumé
▪ Une comparaison CCNA v2 et CCNA v3
▪ Les thèmes obsolètes de CCNA v2
▪ Les nouveaux thèmes de CCNA v3

Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)

Similaire à Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3) (20)

Plus de SmartnSkilled

Plus de SmartnSkilled (20)

Dernier

Dernier (16)

Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (3)