Alphorm.com Support de la Formation Cisco CCNP SWITCH (examen 300-115)

04/08/2016
1
Formation Cisco CCNP SWITCH (examen 300-115) alphorm.com™©
Redouane BAIK
Formateur et Consultant
indépendant Réseaux
Formation
CCNP SWITCH (300-115)
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com

04/08/2016
2
Plan
•Présentation du formateur
•Le plan de formation
•La certification CCNP
•Publics concernés
•Connaissances requises
•Présentation du Lab

04/08/2016
4
Le plan de formation
• Cisco Entreprise Composite Network
1. Introduction
2. Entreprise Campus
3. Entre Edge
• Vlan et Trunk
1. Le port trunk
2. Configuration du trunk
3. Vlan Natif
4. Mode de fonctionnement d’un port
• Le protocole VTP
1. Introduction
2. Les modes VTP
3. Fonctionnement VTP
4. Les messages VTP
5. VTP Prunning
6. Configuration VTP
• Spanning Tree
1. Introduction
2. Processus Spanning Tree
3. Per Vlan Spanning Tree
4. Configuration Spanning Tree
5. Spanning Tree Portfast
6. Spanning Tree BPDU Guard
7. Uplink et Backbone Fast
8. Le rapid Spanning Tree
9. Configuration Spanning Tree
10. Le Multiple Spanning Tree
11. Configuration MSTP
• Etherchannel
1. Introduction
2. Fonctionnement Etherchannel
3. Configuration Etherchannel
4. Load Ballancing
5. Agregation niveau 3

04/08/2016
5
Le plan de formation
• Routage Inter Vlan
1. Router On stick
2. Configuration Router On stick
3. Routage Inter Vlan avec un Switch niveau 3
4. Configuration du Routage Inter Vlan avec un Switch niveau 3
5. CEF
• Redondance de passerelle
1. Introduction
2. Le protocole HSRP
3. Fonctionnement du protocole HSRP
4. Configuration du protocole HSRP
5. Le protocole VRRP
6. Fonctionnement du protocole VRRP
7. Configuration du protocole VRRP
8. Le protocole GLBP
9. Fonctionnement du protocole GLBP
10. Configuration du protocole GLBP
• Sécurité niveau 2
1. Port Security
2. Configuration du Port Security
3. AAA et 802.1X
4. Private Vlan
5. DHCP Snooping
6. VACL

04/08/2016
6
La certification CCNP
• Qu’est ce que la certification CISCO ?
• Que signifie le fait de posséder la Certification Cisco ?
• Qu’est ce que le CCNP ?
• Nouveautés du CCNP
• Comment obtient-on la certification CCNP ?
• Quels sont les connaissances couvertes dans le CCNP ?
• Comment sont organisés les cours Cisco ?
• Où passer la certification Cisco ?

04/08/2016
7
Public concerné
• Administrateurs réseaux
• Ingénieurs réseaux
• Gestionnaires de réseaux
• Ingénieurs systèmes
• Concepteurs réseaux
• Gestionnaires de projet

04/08/2016
8
Connaissances requises
• Pour suivre ce cours il est recommandé d’avoir / de savoir :
Avoir suivi la formation ICND1 http://www.alphorm.com/tutoriel/formation-en-ligne-
cisco-icnd1-ccent-100-101
Avoir suivi la formation ICND2 http://www.alphorm.com/tutoriel/formation-en-ligne-
cisco-ccna-icnd2-examen-200-101

04/08/2016
9
Présentation des outils pour les Lab
• GNS3 : http://www.gns3.com/
• Vous avez une formation ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-gns3

04/08/2016
10
Liens utiles
• https://www.ciscomadesimple.be/
• https://www.networklab.fr/
• http://www.9tut.com/
• http://www.cisco.com/web/CA/learning/le3/le2/le37/le10/learning_certif
ication_type_home_fr.html
• http://www.examcollection.com/

04/08/2016
11
Are you ready ? ☺

04/08/2016
12
Redouane BAIK
Introduction
Cisco Entreprise Composite Network Model

04/08/2016
13
Plan
•Présentation générale
•Les parties du modèle ECNM

04/08/2016
14
Présentation générale
• Cisco Entreprise Composit Network Model

04/08/2016
15
Les parties du modèle ECNM
• Le modèle est divisé en 3 grandes parties :
Entreprise Campus
Entreprise Edge
Service Provider Edge

04/08/2016
16
Ce qu’on a couvert
• Présentation générale
• Les parties du modèle ECNM

04/08/2016
17
Redouane BAIK
Entreprise Campus

04/08/2016
18
Plan
• Les parties Entreprise Campus
• Le modèle hiérarchique

04/08/2016
19
Les parties Entreprise Campus
• La partie Entreprise Campus est divisée en 4 niveaux, qui
respectent le modèle hiérarchique
Access
Distribution
Core
Server Farm

04/08/2016
20
Le modèle hiérarchique
• Les avantages du modèle hiérarchique
Evolutivité
Performance
Redondance
Divers

04/08/2016
21
• Les parties Entreprise Campus
• Le modèle hiérarchique

04/08/2016
22
Redouane BAIK
Entreprise Edge

04/08/2016
23
Plan
•Entreprise Edge
•Conclusion

04/08/2016
24
Entreprise Edge
• Dans le modèle Cisco, nous retrouvons 4 blocs :
WAN
E-Commerce
Internet
Remote Access

04/08/2016
25
•Entreprise Edge
•Conclusion

04/08/2016
26
Redouane BAIK
Introduction aux VLANs
Les VLANs

04/08/2016
27
Plan
•Introduction aux VLANs
•Advantages des VLANs
•Appartenance à un VLAN
•Les différentes utilisations de VLAN
•Les VLANs dans l’Entreprise Composit Network
Model

04/08/2016
28
Introduction aux VLANs
• Si l’on souhaite utiliser plusieurs sous réseaux, il nous faut alors
plusieurs switchs
Nous serons obligés de tirer un câble jusqu’au switch de l’étage 1,
afin de placer un nouveau switch à l’étage 2

04/08/2016
29
Advantages des VLANs
•Segmentation
•Flexilbilté
•Securité

04/08/2016
30
Advantages des VLANs
• Le regroupement des utilisateurs de manière logique, va
permettre une plus grande flexibilité
• L’emplacement physique de la machine n’a alors plus
d’importance
• Aussi, les VLANs permettent de réduire les coûts. Comme
un switch n’est plus limité à un sous réseau, il n’est plus
nécessaire d’acheter un nouveau switch pour la création
d’un nouveau sous réseau
• Au final, les VLANs permettent de profiter des avantages de la
segmentation en sous réseau, sans être limité par les switchs

04/08/2016
31
Appartenance à un VLAN

04/08/2016
32
Appartenance à un VLAN
•Serveur Tacacs ou radius
•Auhtentification 802.1X

04/08/2016
33
Les différentes utilisations de VLAN
• Le nombre maximum de VLAN que l’on peut créer dépend du type de switch
(64, 128, 1024, 4096)
• Le VLAN 1 est créé par défaut et tous les ports du switch appartiennent à ce
VLAN
• Il faut d’abord créer l’identifiant du VLAN puis attribuer des ports à ce VLAN
• On peut donner un nom à un VLAN (optionnel), par exemple :
VLAN 1 – Management
VLAN 2 – Commerciaux
VLAN 3 – Voix
VLAN 4 – Finance

04/08/2016
34
Les VLAN dans l’Entreprise Composit Network Model
• Le routage entre les VLANs d’un même bâtiment se fera au niveau Distribution
• Le routage entre des VLANs de différents bâtiments se fera au niveau Core

04/08/2016
35
A retenir
• Un VLAN = un sous réseau
• Plusieurs VLANs, donc plusieurs sous réseaux, sur un même switch
• Un même VLAN sur plusieurs switchs
• Routage entre les VLANs grâce à un routeur (ou switch de niveau 3)
• Réduction des coûts
• Plus grande flexibilité

04/08/2016
36
•Introduction aux VLANs
•Advantages des VLANs
•Appartenance à un VLAN
•Les différentes utilisations de VLAN
•Les VLANs dans l’Entreprise Composit Network
Model

04/08/2016
37
Redouane BAIK
Configuration des VLANs
Les VLANs

04/08/2016
38
Plan
•Configuration d’un VLAN sur un switch
•Attribution d’un port dans un VLAN
•Où sont stockés les VLANs?

04/08/2016
39
Configuration d’un VLAN sur un switch

04/08/2016
3
Présentation du formateur
Redouane BAIK
• Redouane.baik.dz@gmail.com
• Consultant & Formateur indépendant
• Mission conseil, étude d’architecture, migration et formation
• CCSI 33252
• Mes références :
Mon profil LinkedIn : https://www.linkedin.com/in/baik-redouane-843631a/fr
Mon profil Alphorm : http://www.alphorm.com/formateur/redouane-baik

04/08/2016
41
Attribution d’un port dans un VLAN
On identifie le port du switch (par exemple l’interface
fastethernet 0/1) qui doit être dans le VLAN 2 précédemment
créé :

04/08/2016
42
Pour configurer plusieurs ports (exemple avec les ports 0/2 à
0/7) dans un VLAN, on peut utiliser la variable range pour
configurer en une seule fois tous les ports :

04/08/2016
43
Où sont stockés les VLANs?

04/08/2016
44
•Configuration d’un VLAN sur un switch
•Attribution d’un port dans un VLAN
•Où sont stockés les VLANs?

04/08/2016
45
Redouane BAIK
Les VLANs Voice
Les VLANs

04/08/2016
46
Plan
•Les VLANs voice
•Configuration d'un VLAN dédié à la téléphonie

04/08/2016
47
Les Vlan voice

04/08/2016
48
Configuration d'un vlan dédié à la téléphonie
Le protocole cdp doit préalablement être activé

04/08/2016
49
•Les VLANs voice
•Configuration d'un VLAN dédié à la téléphonie

04/08/2016
50
Redouane BAIK
Les Ports Trunk
Les VLANs

04/08/2016
51
Plan
•C’est quoi un lien Trunk?
•ISL
•802.1Q

04/08/2016
52
C’est quoi un lien Trunk?
•Les ports Access permettent de connecter un PC à
un switch, en le plaçant dans le bon VLAN.
•Qu’en est-il des liens entre les switchs ?
•Ces ports seront configurés en mode Trunk

04/08/2016
53
C’est quoi un lien Trunk?
• Les ports Fa0/1 des deux switchs devront être configurés en
mode trunk de manière à supporter plusieurs VLANs

04/08/2016
54
ISL
• ISL est la méthode Cisco
• La frame Ethernet est encapsulée dans une nouvelle frame
contenant l’identificateur de VLAN

04/08/2016
55
802.1Q
• Cette méthode est la version standardisée d’ISL
• Un champ « Tag » est ajouté dans le header de la frame

04/08/2016
56
802.1Q
• Ce champ contient les infos suivantes :
•TPID : identifie le protocole du tag inséré (pour 802.1Q :
0x8100)
•Priority : donne la priorité de la frame (de 0 à 7)
•CFI : assure la compatibilité entre Token Ring et Ethernet
(valeur à 0 pour Ethernet)
•VID : tag du VLAN
Au final, en 802.1Q, seuls 4 octets sont ajoutés à la trame pour un
passage dans un lien Trunk

04/08/2016
57
A retenir
• La frame par du PC1. Il s’agit là d’une frame Ethernet tout à fait
normale
• S1 reçoit la frame. Le port Fa 0/5 appartient au VLAN 10
• S1 sait que l’adresse MAC de PC2 se trouve derrière le port Fa0/1
• S1 tague la frame avec le numéro de VLAN 10 (en ISL ou 802.1Q)
puis l’envoie sur Fa0/1
• S2 reçoit la frame taguée
• S2 retire le tag, et envoie la frame à PC2

04/08/2016
58
•C’est quoi un lien Trunk?
•ISL
•802.1Q

04/08/2016
59
Redouane BAIK
Configuration du Trunk
Les VLANs

04/08/2016
60
Plan
•Configuration du trunk
•Vérification du lien trunk

04/08/2016
61
Configuration du trunk
•La configuration à effectuer sur les ports des
switchs interconnectés entre eux :

04/08/2016
64
•Configuration du trunk
•Vérification du lien trunk

04/08/2016
65
Redouane BAIK
VLAN Natif
Les VLANs

04/08/2016
66
Plan
•C’est quoi le VLAN natif?
•Sécuriser le vlan natif
•Configuration

04/08/2016
67
C’est quoi le VLAN natif ?
• Le VLAN natif est un VLAN dans lequel seront placées les
frames non taguées reçues sur le trunk
• Les frames du VLAN natif sont envoyées sans tag dans le
trunk
• Par défaut, le VLAN natif est le 1 sur un Trunk. De plus, tous
les ports font partie du VLAN 1, par défaut

04/08/2016
68

04/08/2016
69
• La bonne pratique veut que le VLAN natif ne soit utilisé
nulle part ailleurs
• Si nous choisissons le VLAN 666 pour être le VLAN natif,
celui-ci ne devra jamais être utilisé ailleurs
• Un attaquant qui envoie des frames non-taguées sur un
trunk, ne pourra atteindre aucun sous réseau

04/08/2016
70
Sécuriser le vlan natif
• Il est important que le VLAN natif soit le même des deux
côtés du trunk
• Si le VLAN natif n’est pas le même des deux côtés, le port
sera en partie désactivé (car cela peut causer des boucles
spanning-tree). Seules les frames taguées pourront circuler
sur le Trunk
• Si le VLAN natif n’est pas le même des deux côtés, ces
frames-là ne pourront pas circuler

04/08/2016
71
Configuration
•La configuration est très simple

04/08/2016
72
•C’est quoi le VLAN natif?
•Sécuriser le vlan natif
•Configuration

04/08/2016
73
Redouane BAIK
Mode de fonctionnement
d'un port
Les VLANs

04/08/2016
74
Plan
•Introduction
•Les différents modes de fonctionnement d'un port

04/08/2016
75
Les différents mode de fonctionnement d'un port
•Il existe plusieurs modes de fonctionnement de
port pour l’utilisation de VLAN :
Access
Trunk
Dynamique Auto
Dynamique Desirable

04/08/2016
76
Les différents modes de fonctionnement d'un port

04/08/2016
77
• Voici les commandes pour activer les différents modes (un
mode à la fois) :

04/08/2016
78
• Voici le résultat d’une négociation (S1 Fa0/1 Trunk / S2
Fa0/1 Dynamique Desirable) :

04/08/2016
80
•Introduction
•Les différents modes de fonctionnement d'un port

04/08/2016
81
Redouane BAIK
Introduction
VLAN Trunking Protocol

04/08/2016
82
Plan
•Introduction
•Qu’est-ce que le VTP?

04/08/2016
83
Introduction
• Le VLAN Trunking Protocol permet de faciliter la configuration des
VLANs au sein d’un réseau
• Grâce à VTP, l’ajout ou la modification d’un VLAN sera
automatiquement répliqué sur les switchs de notre réseau
• Le rôle de VTP est de propager les configurations de VLAN

04/08/2016
84
Qu’est-ce que le VTP?

04/08/2016
85
Qu’est-ce que le VTP ?
• VTP propage les paramètres suivants :
Création d’un VLAN
Modification d’un VLAN (changement de nom)
Suppression d’un VLAN

04/08/2016
86
•Introduction
•Qu’est-ce que le VTP ?

04/08/2016
87
Redouane BAIK
Les modes VTP

04/08/2016
88
Plan
•Introduction
•Les modes VTP

04/08/2016
89
Les modes VTP
• VTP peut fonctionner en 3 modes : Client, Serveur, et Transparent
• Sur un switch VTP Serveur, nous pouvons ajouter, modifier, et
supprimer des VLAN
• La configuration sera stockée dans le fichier vlan.dat
• Le switch enverra une MAJ VTP aux autres switchs

04/08/2016
90
Les modes VTP
• Sur un switch Client, il n’est pas possible de modifier la configuration
VLAN. Seules des MAJ VTP peuvent changer la configuration.
• Un switch Client ne conserve pas les VLANs dans le fichier VLAN.dat
• Les VLAN seront donc perdus à l’extension du switch

04/08/2016
91
Les modes VTP
• Enfin, un switch en mode Transparent ne participe pas au processus
VTP.
• Il faudra lui configurer les VLANs à la main, et ceux-ci seront stockés
dans le fichier VLAN.dat.
• Par contre, il sera capable de faire suivre les MAJ aux autres switchs

04/08/2016
92
Les modes VTP

04/08/2016
93
•Introduction
•Les modes VTP

04/08/2016
94
Redouane BAIK
Fonctionnement VTP

04/08/2016
95
Plan
• Numéro de révision et nom de domaine
• Processus de MAJ

04/08/2016
96
Numéro de révision et nom de domaine
• Le numéro de révision correspond à la version de la base de données
des VLAN
• Quand nous ajoutons, modifions, ou supprimons un VLAN, le numéro
de révision augmente
• Au départ il est de 0. Il augmentera à chaque changement
• Le nom de domaine VTP, doit être le même sur tous les switchs pour
qu’ils s’échangent des MAJ
• Il est possible de configurer un mot de passe pour le domaine

04/08/2016
97
Processus de MAJ
• Les MAJ VTP sont envoyées automatiquement à chaque changement
• Par exemple, la création d’un VLAN entrainera l’envoie d’une MAJ
• Une MAJ est envoyée toutes les 300 secondes
• Dans la MAJ est inclus le numéro de révision
• Si le switch qui reçoit la MAJ possède un numéro de révision plus élevé
ou égal que celui inclus dans la MAJ, alors il ne retransmettra pas la
MAJ, de même si le nom de domaine n’est pas le même
• Il est important de noter que les MAJ VTP ne passent qu’à travers les
liens Trunk

04/08/2016
98
Processus de MAJ

04/08/2016
99
• Numéro de révision et nom de domaine
• Processus de MAJ

04/08/2016
100
Redouane BAIK
Les messages VTP

04/08/2016
101
Plan
• Summary Advertisements
• Advertisement Request
• Subset Advertisements

04/08/2016
102
Summary Advertisements
• Le message de résumé est envoyé toutes les 300 secondes (5 minutes)

04/08/2016
103
Advertisement Request
• Ce message permet de demander une MAJ (Subset Advertisement) à un
switch serveur

04/08/2016
104
Subset Advertisements
• Ce message permet les MAJ VTP

04/08/2016
105
• Summary Advertisements
• Advertisement Request
• Subset Advertisements

04/08/2016
106
Redouane BAIK
VTP Pruning

04/08/2016
107
Plan
•Introduction
•VTP Pruning

04/08/2016
108
VTP Pruning
• le VTP Pruning permet d’empêcher les Broadcast de se propager vers
des switchs qui n’ont pas de ports Access dans le VLAN concerné par du
Broadcast
• Par défaut, un lien Trunk supporte tous les VLAN, ce qui fait qu’un
Broadcast va forcément se répandre dans tout le domaine VTP.

04/08/2016
109
VTP Pruning
• Avec le VTP Pruning activé, voici comment se propagerai un Broadcast
dans le VLAN 20

04/08/2016
110
•Introduction
•VTP Pruning

04/08/2016
111
Redouane BAIK
Configuration VTP

04/08/2016
112
Plan
•Introduction
•Configuration VTP

04/08/2016
113
Configuration VTP
• Les étapes de configuration sont les suivantes :
• Remettre à zéro le numéro de révision (s’il y avait déjà une configuration VTP)
• Configurer le nom de domaine et le MDP
• Choisir le mode de fonctionnement (Server, Client, Transparent)
• Choisir la version VTP
• Vérifier le bon fonctionnement

04/08/2016
114
Configuration VTP

04/08/2016
115
Configuration VTP
« Show VTP status »

04/08/2016
121
Problématique
• Tempête de Broadcast

04/08/2016
122
Problématique
• Duplication de trame

04/08/2016
123
Problématique
• Instabilité des tables CAM
La table CAM – Content Addressable Memory, est une table dans laquelle le switch
garde une correspondance du type « Adresse MAC A -> derrière port 1 »
C’est grâce à cette table que le switch saura sur quel port transmettre les trames qu’il
reçoit

04/08/2016
124
Le Protocole Spanning Tree

04/08/2016
125
•Introduction
•Le Protocole Spanning Tree 802.1D

04/08/2016
126
Redouane BAIK
Processus Spanning Tree

04/08/2016
127
Plan
•Introduction
•Le Processus Spanning Tree

04/08/2016
128
Le Processus Spanning Tree
• Election Root Bridge
• Election des root port
• Les ports bloqués

04/08/2016
129

04/08/2016
130
• Le Bridge ID est composé de la priorité du switch + son adresse MAC
• La priorité est de 32768 par défaut. Elle peut être modifiée pour
influencer l’élection
• Elle peut aller de 0 à 61440

04/08/2016
131
• Pour que les switchs trouvent le meilleur chemin vers le Root Bridge, ils
se basent sur le coût de chaque lien

04/08/2016
133
• A retenir :
• Il y a toujours un et un seul Designated Port par lien
• Le Root Bridge n’a que des ports Designated
• Il n’est pas possible de mettre un port Blocking sur le même lien qu’un port
Root

04/08/2016
134
•Introduction
•Le Processus Spanning Tree

04/08/2016
135
Redouane BAIK
Peer VLAN Spanning Tree

04/08/2016
136
Plan
• Introduction
• Le BID en PVLAN STP
• Les rôles en PVLAN STP
• Les états en PVLAN STP

04/08/2016
137
Introduction

04/08/2016
138
Le BID en PVLAN STP
• Le BID en PVLAN STP sera le suivant :

04/08/2016
139
Les rôles en PVLAN STP
• Les ports peuvent avoir 3 rôles :
• Root
• Designated
• Blocking

04/08/2016
140
Les états en PVLAN STP
• En Spanning Tree, les ports peuvent avoir 4 états :

04/08/2016
141
• Introduction
• Le BID en PVLAN STP
• Les rôles en PVLAN STP
• Les états en PVLAN STP

04/08/2016
142
Redouane BAIK
Configuration du protocole
Spanning Tree

04/08/2016
143
Plan
• Introduction
• Configuration

04/08/2016
144
Introduction

04/08/2016
145
Configuration
SW1(config)#spanning-tree vlan 10 root primary
SW1(config)#spanning-tree vlan 20 root primary
Ou
SW1(config)#spanning-tree vlan x priority y

04/08/2016
146
• Introduction
• Configuration

04/08/2016
147
Redouane BAIK
PortFast

04/08/2016
148
Plan
•Introduction
•PortFast

04/08/2016
149
PortFast
• La première solution pour réduire les timers, est d’utiliser le
Portfast sur certains ports
• Cela aura pour effet de désactiver Spanning Tree sur le port
en question
• Cette fonctionnalité n’est à activer que sur les ports
connectés à des PC

04/08/2016
150
PortFast
•La configuration est très simple

04/08/2016
151
PortFast
•Afin de prévenir les erreurs, le message suivant est
affiché :

04/08/2016
157
•Introduction
•BPDU Guard
•Configuration

04/08/2016
158
Redouane BAIK
UplinkFast
et BackboneFast

04/08/2016
159
Plan
•Introduction
•UplinkFast
•BackboneFast

04/08/2016
160
Introduction
• Backbone Fast et UplinkFast sont deux fonctionalités
(créées par Cisco) qui permettent d’améliorer le temps de
convergence de processus Spanning Tree

04/08/2016
161
UplinkFast
• La convergence sera donc plus rapide, car il ne sera pas
nécessaire de repasser par les différentes phases d’écoute
et d’apprentissage
• Cette fonctionnalité est à activer sur les switchs au niveau
Access, aux niveaux Distribution et Core, cela peut parfois
amener à des boucles
• Pour améliorer la sécurité, la priorité du switch est
augmentée lors de l’activation d’UplinkFast. De même que
le coût des ports

04/08/2016
162
UplinkFast
•Voici comment activer UplinkFast :

04/08/2016
163
UplinkFast
•Et voici l’évolution de la priorité et du coût :
Avant UplinkFast

04/08/2016
164
UplinkFast
•Et voici l’évolution de la priorité et du coût :
Apres UplinkFast

04/08/2016
165
Backbone
• A l’inverse, Backbone Fast permet de détecter des pannes
distantes. C’est-à-dire des pannes qui se produisent sur des
switchs distants et qui font que nous n’accédons plus au
Root Bridge
• A la détection d’une telle panne, le switch passe
directement le port concerné en mode Listening, et n’attend
pas l’expiration du Max Age Timer
• Le gain de temps est donc de 20 secondes

04/08/2016
166
Backbone
•Pour activer Backbone Fast, utiliser la commande
suivante sur tous les switchs
• Il n’est pas nécessaire d’activer UplinkFast et BackboneFast en
RSTP, Rapid-PVST et MSTP

04/08/2016
167
•Introduction
•UplinkFast
•BackboneFast

04/08/2016
168
Redouane BAIK
Le rapide Spanning Tree

04/08/2016
169
Plan
• Introduction
• Le protocole Spanning Tree (802.1W)
• Les nouveaux états des ports
• Les nouveaux rôles des ports
• Transition Rapide vers l’état de relais (Forwarding State)
• Compatibilité avec le protocole 802.1d

04/08/2016
170
Le protocole Spanning Tree (802.1W)
• Cisco à amélioré le protocole 802.1d original par l’ajout de
spécifications :
• Uplink Fast
• Backbone Fast
• Port Fast

04/08/2016
171
Les nouveaux états des ports
• Le tableau suivant résume ces nouveaux éléments :

04/08/2016
172
Les nouveaux rôles des ports
• Le rôle : Port «racine» (Root)
• Le rôle : Port «Désigné» (Désignated)
• Le rôle : Port «alternatif» (Alternate) et Port «de secours»
(Backup)

04/08/2016
173
La nouvelle structure des BPDU
• Quelques changements ont été introduits par le RSTP dans
la structure des BPDUs

04/08/2016
175
Transition Rapide vers l’état de relais (Forwarding State)
• Les ports d’extrémités (Edge Ports)
• Le type de lien (Link Type)

04/08/2016
176
Compatibilité avec le protocole 802.1d
• Le RSTP est capable d’interagir avec le STP

04/08/2016
177
• Introduction
• Le protocole Spanning Tree (802.1W)
• Les nouveaux états des ports
• Les nouveaux rôles des ports
• Transition Rapide vers l’état de relais (Forwarding State)
• Compatibilité avec le protocole 802.1d

04/08/2016
178
Redouane BAIK
Configuration du protocole
Rapid Spanning Tree

04/08/2016
179
Plan
• Introduction
• Configuration

04/08/2016
180
Introduction

04/08/2016
181
Configuration
spanning-tree mode rapid-pvst
SwitchX(config)#
Configuration PVRST+
show spanning-tree vlan vlan# [detail]
SwitchX#
Verification de la configuration spanning-tree
debug spanning-tree pvst+
SwitchX#

04/08/2016
182
• Introduction
• Configuration

04/08/2016
183
Redouane BAIK
Le Multiple Spanning Tree

04/08/2016
184
Plan
• Introduction
• Où utiliser MST?
• Fonctionnement MST (802.1s)

04/08/2016
185
Introduction
• Multiple spanning-Tree (MST) est une norme IEEE inspirée
de la mise en œuvre des instances multiples propriétaires
Cisco Spanning Tree Protocol (MISTP)

04/08/2016
186
Où utiliser MST?
• Une conception courante qui comporte un commutateur d'accès A avec
1000 VLAN connectés en redondance à deux commutateurs de
distribution D1 et D2

04/08/2016
187
Fonctionnement MST
• Chaque commutateur qui exécute MST sur le réseau a une seule
configuration MST composée des trois attributs suivants :
• Un nom de configuration alphanumérique (32 octets)
• Un numéro de révision de configuration (deux octets)
• Une table d'éléments 4096 qui associe chaque VLAN 4096 potentiel supporté
sur le châssis à une instance donnée

04/08/2016
188
• Introduction
• Où utiliser MST?
• Fonctionnement MST

04/08/2016
189
Redouane BAIK
Configuration MSTP

04/08/2016
190
Plan
•Configuration MSTP

04/08/2016
191
Configuration MSTP
• Activation MSTP
• Il faut ensuite rentrer dans la configuration de MST, et créer des
instances
• Une instance peut contenir un ou plusieurs VLAN

04/08/2016
192
Configuration MSTP
• Si nous le souhaitons, nous pouvons forcer un switch à devenir le Root
Bridge

04/08/2016
193
•Configuration MSTP

04/08/2016
194
Redouane BAIK
Introduction
Le Protocole Etherchannel

04/08/2016
195
Plan
•Introduction
•Négociation de l’agrégation

04/08/2016
196
Introduction
•Etherchannel est une technique permettant
l’agrégation de liens
• Il est souvent utilisé pour augmenter la bande passante
entre deux switchs
• Le principe est simple. Il s’agit de combiner plusieurs liens
pour obtenir un lien virtuel de meilleure capacité

04/08/2016
197
Négociation de l’agrégation
• Le principe est simple. Il s’agit de combiner plusieurs liens
pour obtenir un lien virtuel de meilleure capacité

04/08/2016
198
Négociation de l’agrégation
• Il existe deux manières de créer une agrégation de liens :
1. En forçant l’agrégation
2. En utilisant un protocole de négociation
• Pour la négociation de l’agrégation, il existe deux
protocoles :
1. PAGP – Port Agregation Protocol
2. LACP – Link Agregation Control Protocol

04/08/2016
199
•Introduction
•Négociation de l’agrégation

04/08/2016
200
Redouane BAIK
Fonctionnement
Etherchannel

04/08/2016
201
Plan
•Les protocoles de négociation
•Le protocole PAGP
•Le protocole LACP

04/08/2016
202
Les protocoles de négociation

04/08/2016
203
Le protocole PAGP
• PAGP est le protocole de négociation propriétaire Cisco.
• En choisissant ce protocole, il est possible de configurer les
ports dans 2 modes différents :
• Auto
• Desirable

04/08/2016
204
Le protocole PAGP
• A noter que si nous ne voulons pas utiliser de protocole de
négociation, le port devra être mis en mode ON, pour
forcer l’agrégation de liens
• Avec PAGP, si le port est en mode Auto, une agrégation de
liens sera créée si le port d’en face est en mode Desirable. Si
le port d’en face est en mode Auto, aucune agrégation n’est
créée
• Si le port est configuré en mode Desirable, une agrégation
sera créée à condition que le port d’en face soit en
mode Auto ou Desirable

04/08/2016
205
Le protocole LACP
• LACP est un protocole standard (802.3AD) très similaire à
PAGP.
• La seule différence est le nom des modes de port.
• Nous retrouvons donc deux modes de ports :
• Passive
• Active

04/08/2016
206
Le protocole LACP
• Passive correspond au mode Auto de PAGP : création d’une
agrégation si le port en face est en Active.
• Active correspond au mode Desirable de PAGP : création
d’une agrégation si le port d’en face est en Passive ou
Active

04/08/2016
207
•Les protocoles de négociation
•Le protocole PAGP
•Le protocole LACP

04/08/2016
208
Redouane BAIK
Configuration
Etherchannel

04/08/2016
209
Plan
•Comment configurer une agrégation de liens
•En mode ON
•En mode PAGP
•En mode LACP

04/08/2016
210
Comment configurer une agrégation de liens

04/08/2016
211
En mode ON
• Nous allons commencer par forcer l’agrégation de liens sur
les deux switchs
• De même pour S2

04/08/2016
212
En mode ON
• Voici le détail de cette interface :

04/08/2016
213
En mode LACP
• Nous allons commencer par l’agrégation de liens sur les
deux switchs
• De même pour S2

04/08/2016
214
En mode LACP
• Voici le détail de cette interface :

04/08/2016
220
• Comment la charge est répartie entre les différents liens ?
• Configuration du load balancing

04/08/2016
221
Redouane BAIK
Agrégation de niveau 3

04/08/2016
222
Plan
•Agrégation niveau 3
•Configuration

04/08/2016
223
Agrégation niveau 3
• Sur les switchs de niveau 3, il est possible de faire une
agrégation de liens et d’assigner une seule IP aux deux
ports

04/08/2016
224
Configuration
• Il faut commencer par désactiver le mode switchport sur les
ports concernés:

04/08/2016
225
Configuration
• Puis de même sur l’interface virtuelle :
• Nous pouvons ensuite assigner une IP à cette interface :

04/08/2016
226
•Agrégation niveau 3
•Configuration

04/08/2016
227
Redouane BAIK
Router On A Stick
Routage inter-VLANs

04/08/2016
228
Plan
•Introduction
•Router On A Stick
•Configuration

04/08/2016
229
Introduction
•Deux solutions s’offrent à nous :
1. Utiliser un routeur
2. Utiliser un switch de niveau 3

04/08/2016
230
Router On A Stick
• Nous avons deux PC, dans deux VLANs distincts.

04/08/2016
231
Router On A Stick
• Une deuxième solution existe :

04/08/2016
232
Configuration
• Il faut simplement monter un trunk
• Concernant le routeur, il faut commencer par activer
l’interface voulue

04/08/2016
233
Configuration

04/08/2016
234
Configuration
• Il est important de créer le VLAN natif

04/08/2016
235
•Introduction
•Configuration

04/08/2016
236
Redouane BAIK
Configuration
Router On A Stick
Routage inter-VLANs

04/08/2016
237
Plan
•Configuration

04/08/2016
238
Configuration
• Il faut simplement monter un trunk
• Concernant le routeur, il faut commencer par activer
l’interface voulue

04/08/2016
239
Configuration

04/08/2016
240
Configuration
• Il est important de créer le VLAN natif

04/08/2016
241
•Configuration

04/08/2016
242
Redouane BAIK
Switch de niveau 3
Présentation
Routage inter-VLANs

04/08/2016
243
Plan
•Introduction
•Routage inter-VLANs avec un Switch de niveau 3
•Configuration

04/08/2016
244
Introduction
• Tout d’abord, qu’est-ce qu’un switch de niveau 3 ?
• Il s’agit simplement d’un switch capable d’effectuer du
routage
• Il faut bien comprendre qu’un switch L3 ne remplace pas
complètement un routeur

04/08/2016
245
Introduction
• Mais alors quel est l’intérêt des switchs L3 ?
• Tout d’abord le côté performance
• Une topologie Routeur On A Stick, le lien Routeur – Switch aurait
(potentiellement) été saturé
• Le coût par port est relativement faible par rapport à un routeur
• Le prix d’un switch L3 est tout de même bien plus élevé que celui d’un
switch L2
• En général les switchs L3 sont placés aux niveaux Distribution et Core

04/08/2016
246
•Introduction
•Routage inter-VLANs avec un Switch de niveau 3
•Configuration

04/08/2016
247
Redouane BAIK
Switch de niveau 3
Configuration
Routage inter-VLANs

04/08/2016
248
Plan
•Introduction
•Configuration

04/08/2016
249
Configuration
•Création des SVI
•Il faut ensuite active la fonction de routage du
switch

04/08/2016
250
Configuration
•Vous pouvez voir les SVI comme ceci

04/08/2016
251
Configuration
•Voici la suite pour S2

04/08/2016
252
Configuration
• Pour le lien S1 – S2, nous allons faire une configuration
typique d’un routeur

04/08/2016
254
Configuration
•Access List

04/08/2016
255
•Introduction
•Configuration

04/08/2016
256
Redouane BAIK
CEF
(Cisco Express Forwarding)
Routage inter-VLANs

04/08/2016
257
Plan
•Introduction
•CEF

04/08/2016
258
CEF (Cisco Express Forwarding)
• CEF est une technologie Cisco pour le switching de niveau 3
• CEF peut être utilisé aussi bien sur un routeur que sur un
switch de niveau 3
• CEF permet un routage plus rapide, et consomme moins de
CPU
• Le principe est que le routage s’effectue au niveau
hardware, et non software

04/08/2016
259
• Deux composants entrent en jeu ici :
• La FIB – Forwarding Information Base
• La Adjacency Table

04/08/2016
260
• Il existe certaines exceptions, à l’utilisation de CEF : dans
certains cas, les paquets devront être routés au niveau
Software.
• Voici la liste des exceptions :
• Les paquets dont le TTL arrive à 0
• Les paquets avec une option dans l’entête (ex : Traceroute)
• Les paquets qui vont dans un tunnel (ex : VPN, etc…)
• Les paquets avec une encapsulation non supportée

04/08/2016
261
•Pour activer CEF, utiliser la commande suivante

04/08/2016
262
•Introduction
•CEF

04/08/2016
263
Redouane BAIK
Introduction
Redondance de passerelle

04/08/2016
264
Plan
•Introduction
•Les protocoles de redondance de passerelle

04/08/2016
265
Introduction

04/08/2016
266
Les protocoles de redondance de passerelle
•HSRP
•VRRP
•GLBP

04/08/2016
267
•Introduction
•Les protocoles de redondance de passer

04/08/2016
268
Redouane BAIK
Le protocole HSRP

04/08/2016
269
Plan
•Introduction
•Le protocole HSRP

04/08/2016
270
Introduction
• HSRP est un protocole Cisco permettant d’assurer la haute
disponibilité de la passerelle d’un réseau
• Ce protocole peut être mis en place sur un routeur ou un
switch de niveau 3
• Le but est qu’une éventuelle panne du routeur ne perturbe
pas le routage
• Protocole propriétaire Cisco

04/08/2016
271
Le protocole HSRP

04/08/2016
272
Le protocole HSRP
• Nous avons un groupe de routeur (en général 2), dont l’un d’eux est le
routeur Actif
• Le routeur de secours sera en Standby. Les autres en mode Listen
• Le routeur actif assure le rôle de passerelle par défaut pour le sous
réseau
• S’il vient de tomber en panne, le routeur standby prendra le relai. Puis
un des routeurs Listen deviendra le nouveau Standby

04/08/2016
273
Le protocole HSRP
• S1 et S2 sont des switchs de niveau 3
• Si S1 est le switch actif, les PC utiliseront S1 comme Gateway
• Si S1 vient de tomber en panne, S2 prendra le relai, et les PC l’utiliseront
comme Gateway
• Le groupe de routeur est appelé Standby Group

04/08/2016
274
•Introduction
•Le protocole HSRP

04/08/2016
275
Redouane BAIK
Fonctionnement
du protocole HSRP

04/08/2016
276
Plan
•La priorité
•L’adresse IP virtuelle
•L’adresse Multicast
•Les paquets HSRP

04/08/2016
277
La priorité
• Le routeur actif est celui qui a la priorité la plus haute. Le
routeur standby est celui ayant la deuxième meilleure
priorité. Les autres routeurs sont en mode Listen
• La priorité va de 0 à 255
• En cas d’égalité sur la priorité, c’est le routeur avec la plus
haute IP qui devient actif

04/08/2016
278
La priorité
• Tous ces routeurs vont former un groupe. Au sein de ce
groupe, le routeur actif envoie des paquets Hello toutes les
3 secondes. Après 10 secondes sans Hello du routeur actif, il
est considéré comme Dead
• C’est alors le routeur standby qui prend le relai, et
deviendra Actif
• Le Hold Timer est de 10 secondes, soit 3 * le Hello Timer +
1 seconde
• La seconde bonus permet de s’assurer que 3 Hello Timers
complets seront attendus avant de mener une action

04/08/2016
279
L’adresse IP virtuelle
• Une IP virtuelle sera associée au groupe, et c’est le routeur
actif qui va répondre sur cette IP
• Cette IP virtuelle est celle qui sera utilisée par les hôtes
comme IP de Default Gateway
• Pour que les paquets soient envoyés au bon routeur, une
adresse Mac virtuelle sera aussi créée
• Le routeur actif va répondre aux requêtes ARP sur l’IP
virtuelle, par cette adresse Mac virtuelle

04/08/2016
280
L’adresse Multicast
• En version 1, l’adresse de multicast 224.0.0.2 est utilisée par
les routeurs pour discuter
• En version 2, l’IP 224.0.0.102 est utilisée

04/08/2016
281
Les paquet HSRP
• L’adresse Mac utilisée sera de ce type:
00:00:0c:07:ac:XX avec XX qui correspond à l’ID du groupe de
routeur, en hexadécimal

04/08/2016
282
Les paquet HSRP
• Un paquet HSRP se compose de la sorte :

04/08/2016
283
Les paquet HSRP
• Le champ Op Code indique le type de message :
• 0 – Hello : envoyé par les routeurs Actif et Standby
• 1 – Coup : envoyé par un routeur qui veut devenir actif
• 2 – Resign : envoyé par un routeur qui ne veut plus être le
routeur actif

04/08/2016
284
Les paquets HSRP
• Le champ State indique l’état du routeur :
• 0 – Initial : HSRP ne fonctionne pas
• 1 – Learn : IP virtuelle non déterminée et aucun Hello reçu du Active router
• 2 – Listen : IP virtuelle déterminée. Le routeur n’est ni actif ni standby. Il
écoute les Hello.
• 4 – Speak : Envoie périodique de Hello. Participe à l’élection du routeur actif
• 8 – Standby : Le routeur est prêt à devenir actif. Il ne peut y avoir qu’un
routeur standby par groupe. Des Hello sont envoyés
• 16 – Active : Le routeur assure le rôle de Gateway. Un seul routeur actif par
groupe. Des Hello sont envoyés

04/08/2016
285
•La priorité
•L’adresse IP virtuelle
•Les paquets HSRP

04/08/2016
286
Redouane BAIK
Configuration
du protocole HSRP

04/08/2016
287
Plan
•Topologie à utiliser
•Configuration du protocole HSRP

04/08/2016
288
Topologie à utiliser

04/08/2016
289
Configuration du protocole HSRP
• La configuration de base à mettre en place est la suivante :
• Création des VLANs
• Port Access pour les PCs
• Trunk entre les switchs

04/08/2016
290
• Switch 1 et Switch 2 vont être nos deux switchs L3 qui
feront partie du Standby Group
• Étant donné que nous avons des liens redondants,
Spanning Tree va en bloquer certains
• Pour que le lien vers la Gateway soit optimal, nous devons
accorder le processus Spanning Tree avec HSRP

04/08/2016
291
• Configuration Spanning Tree

04/08/2016
292
• Nous commencerons par le VLAN 10

04/08/2016
293
• Pour la configuration d’HSRP, nous devons choisir une IP
virtuelle, et une priorité
• Le numéro 1 correspond au numéro du groupe HSRP
(Standby Group).
• La priorité de base est de 100. Avec une priorité de 150, S1
deviendra le routeur actif.

04/08/2016
295
•Configuration du protocole HSRP

04/08/2016
296
Redouane BAIK
Le protocole VRRP

04/08/2016
297
Plan
•Introduction
•Le protocole VRRP

04/08/2016
298
Introduction
• VRRP est très semblable à HSRP, sauf qu’il est standard
• Il y a quelques différences mineures, tels que les Timers qui
ont été réduits
• Ces deux protocoles ont pour but de redonder la Gateway
d’un sous réseau
• Deux routeurs (ou plus) fonctionneront ensemble

04/08/2016
299
Le protocole VRRP

04/08/2016
300
Le protocole VRRP
• En VRRP, le groupe de routeur est appelé le VRRP group.
• Les routeurs peuvent avoir 2 rôles :
1. Master (Actif en HSRP)
2. Backup (Standby en HSRP)
• Contrairement à HSRP, plusieurs routeurs peuvent avoir le
rôle Backup

04/08/2016
301
•Introduction
•Le protocole VRRP

04/08/2016
302
Redouane BAIK
Fonctionnement
du protocole VRRP

04/08/2016
303
Plan
•La priorité
•Les paquets HSRP

04/08/2016
304
La priorité
• Concernant la priorité, elle est de 100 par défaut. Quand un
routeur devient Master, il annonce une priorité de 255
• En cas d’égalité sur la priorité, c’est le routeur avec la plus
haute IP qui devient Master

04/08/2016
305
• Les messages VRRP sont envoyés sur l’IP de
multicast 224.0.0.18

04/08/2016
306
• L’adresse Mac virtuelle de la passerelle est 00-00-5E-00-01-
XX, où XX correspond au numéro du VRRP Group (VRID –
Virtual Routeur Identifier)
• Concernant les Timers, nous en retrouvons 3 :

04/08/2016
307
Les paquet VRRP
• Un paquet VRRP est composé de la sorte :

04/08/2016
308
•La priorité
•Les paquets HSRP

04/08/2016
309
Redouane BAIK
Configuration
du protocole VRRP

04/08/2016
310
Plan
•Configuration du protocole VRRP

04/08/2016
311
Topologie à utiliser

04/08/2016
312
Configuration du protocole VRRP
• La configuration va se faire sur des sous interfaces :

04/08/2016
313
• De même pour R2 :

04/08/2016
314
• Le résultat :
R1 est bien le Master

04/08/2016
316
• Le résultat :

04/08/2016
317
• De même que pour HSRP, nous pouvons modifier les
Timers
• Un routeur Backup peut être configuré pour apprendre le
Timer du Master, mais cela ne fonctionne qu’avec un Timer
supérieur ou égal à 1

04/08/2016
318
•Configuration du protocole VRRP

04/08/2016
319
Redouane BAIK
Le protocole GLBP

04/08/2016
320
Plan
•Introduction
•Le protocole GLBP

04/08/2016
321
Introduction
• Le but est toujours le même
• Créer de la redondance sur la Gateway, le tout avec au
moins deux routeurs
• Sauf que GLBP amène une nouvelle fonctionnalité : le Load
Ballancing
• Protocole propriétaire Cisco

04/08/2016
322
Le protocole GLBP

04/08/2016
323
Le protocole GLBP
• R1 sera un AVG (le maitre) et R2 un AVF (esclave)
• PC1 va apprendre l’adresse IP de la Gateway
• Il va ensuite chercher l’adresse MAC associée en envoyant une requête
ARP
• R1 va recevoir la requête puis il va répondre avec son adresse MAC
virtuelle
• Ensuite, PC2 va faire de même, en envoyant une requête ARP pour la
même IP
• R1 va recevoir la requête, puis va répondre avec l’adresse MAC virtuelle
de R2

04/08/2016
324
Le protocole GLBP
• Au final, PC1 et PC2 vont utiliser la même IP de Gateway, mais ils
n’auront pas la même adresse MAC associée. Ce qui fait qu’ils
n’enverront pas les paquets vers le même routeur.
• Les clients enverront donc toujours le trafic au même routeur. Il ne
s’agit pas de vrai Load Balancing, mais au moins, nos deux routeurs sont
utilisés
• En GLBP il y a une IP virtuelle pour le groupe, et une adresse MAC par
routeur

04/08/2016
325
•Introduction
•Le protocole GLBP

04/08/2016
326
Redouane BAIK
Fonctionnement
du protocole GLBP

04/08/2016
327
Plan
•Structure de l’adresse Mac en GLBP
•Les rôles GLBP
•Les méthodes de répartition de charges en GLBP
•Les timers en GLBP
•Les états GLBP

04/08/2016
328
Structure de l’adresse Mac en GLBP
• L’adresse MAC se compose comme ceci
XXX correspond au numéro du groupe. Il va de 1 à 1023
YY correspond au numéro du routeur dans le group
L’adresse de Multicast utilisée est la suivante : 224.0.0.102

04/08/2016
329
Les rôles GLBP
• En GLBP les routeurs peuvent avoir trois rôles :
• AVG – Active Virtual Gateway
• Standby AVG
• AVF – Active Virtual Forwarders

04/08/2016
330
Les méthodes de répartition de charges en GLBP
• Il existe trois méthodes pour répartir la charge en GLBP :
• Round Robin
• Weighted
• Host-Dependent

04/08/2016
331
• En Round Robin, l’AVG répond aux requêtes ARP en
utilisant à tour de rôle les adresses MAC des AVF.
Requête ARP 1 : réponse avec l’adresse MAC de l’AVF 1
Etc…

04/08/2016
332
• En Weighted, un poids est attribué à chaque AVF. Le poids
sera pris en compte dans la réparation de charge :
• Exemple pour 2 AVF, l’AVF 1 avec un poids de 200, et l’AVF 2 avec un poids de
100 :
Etc…

04/08/2016
333
• Enfin, en Host-Dependent, la même adresse MAC est
toujours attribuée au même client.
• Si un client envoie une requête ARP, puis qu’il vide son
cache ARP et renvoie une requête, il recevra à nouveau la
même adresse MAC de Gateway.

04/08/2016
334
Les timers en GLBP
• En GLBP, il existe 4 Timers :
• Hello
• Holdtime
• Redirect time
• Secondary holdtime

04/08/2016
335
Les timers en GLBP
• En GLBP, il existe 4 Timers :
• Hello
• Holdtime
• Redirect time
• Secondary holdtime

04/08/2016
336
Les états GLBP
• En GLBP, il existe différents états avant de devenir AVG :
Disabled : L’IP virtuelle n’est pas encore configurée, mais une configuration GLBP existe
déjà
Initial : L’IP virtuelle est configurée, mais la configuration n’est pas complète
Listen : Le routeur reçoit des paquets Hello, et il est prêt à passer en mode Speak si
l’AVG ou le Standby AVG tombe
Speak : Le routeur tente de devenir AVG ou Standby AVG
Standby : Le routeur est un Standby AVG. Il deviendra AVG en cas de panne de ce
dernier
Active : Le routeur est l’AVG du groupe

04/08/2016
337
Les états GLBP
• En GLBP, il existe différents états avant de devenir AVF :
Disable : Le routeur ne connait pas encore son adresse MAC virtuelle
Initial : L’adresse MAC virtuelle est connue, mais la configuration GLBP n’est
pas complète
Listen : Le routeur reçoit des Hello, et tentera de passera en mode AVF
Active : Le routeur est un AVF

04/08/2016
338
•Structure de l’adresse Mac en GLBP
•Les rôles GLBP
•Les méthodes de répartition de charges en GLBP
•Les timers en GLBP
•Les états GLBP

04/08/2016
339
Redouane BAIK
Configuration
du protocole GLBP

04/08/2016
340
Plan
•Configuration du protocole GLBP

04/08/2016
341
Configuration du protocole GLBP

04/08/2016
342
• Commençons la configuration GLBP
• L’option Preempt permet à un AVG de de redevenir AVG après une panne
• L’option round-robin est la méthode de Load Balancing par défaut

04/08/2016
343
• Faisons de même pour R2

04/08/2016
344
• La première partie concerne l’AVG.
• Nous pouvons voir que R1 est l’AVG
• La deuxième partie concerne les AVF
• Nous pouvons voir qu’il y en a deux

04/08/2016
346
• Les tables ARP sur les Pcs

04/08/2016
347
•Configuration du protocole GLBP

04/08/2016
348
Redouane BAIK
Port Security
Sécurité Niveau 2

04/08/2016
349
Plan
• Introduction
• A quoi sert la sécurité de port ?
• Les options de gestion des adresses MAC
• Les options pour la violation de port
• Les moyens de sortir un port du mode Err-Disabled
• Le Port Security Aging

04/08/2016
350
Introduction
•Commençons par la sécurité la plus connue sur les
switch : la sécurité de port
•Le but sera ici d’appliquer une restriction en
fonction de l’adresse MAC source

04/08/2016
351
A quoi sert la sécurité de port ?
• A limiter le nombre d’adresses MAC dernières un port
• A se protéger du MAC Address Flooding
• A restreindre l’accès à certaines adresses MAC
• A désactiver le port / envoyer des logs en cas de violation

04/08/2016
352
A quoi sert la sécurité de port ?
• Tout d’abord, le port doit être en mode Access, car la sécurité de port
se fait sur les ports qui font face à des clients
• Il faut ensuite activer la sécurité de port
• Nous pouvons ensuite limiter le nombre d’adresses MAC par port

04/08/2016
353
Les options de gestion des adresses MAC
•Il y a trois options de gestion des adresses MAC :
• Dynamique
• Static
• Sticky

04/08/2016
354
• Configuration Static
• Configuration Sticky

04/08/2016
355
• L’adresse MAC sera retenue dans la configuration comme
ceci :

04/08/2016
356
Les options pour la violation de port
•Il existe 3 options pour la violation de port :
• Shutdown
• Protect
• Restrict

04/08/2016
357
Les moyens de sortir un port du mode Err-Disabled
• Il y a deux moyens de sortir un port du mode Err-Disabled :
1. Soit en allant sur le port et en faisant un Shutdown puis No-Shutdown
2. Soit en configurant le port pour qu’il remonte au bout d’un certain temps
Le port va se réactivera au bout de 60 secondes

04/08/2016
358
Le Port Security Aging
• Le Port Security Aging permet d’oublier les adresses Mac après un
certain temps :
• Ici, 60 est le temps en minutes
• Il existe 2 Types :
1. Inactivity : l’adresse Mac est supprimée si elle est inactive pour le temps
spécifié
2. Absolute : l’adresse Mac est supprimée après le temps spécifié

04/08/2016
363
•Introduction

04/08/2016
364
Redouane BAIK
AAA et 802.1X
Sécurité Niveau 2

04/08/2016
365
Plan
•Introduction
•Architecture 802.1X
•AAA
•Configuration

04/08/2016
366
Introduction
• 802.1x est un standard permettant d’améliorer la sécurité
de notre réseau
• Le principe est simple, quand l’utilisateur se connecte au
réseau, un Login / MDP va lui être demandé
• Cela peut être valable pour les connexions Wifi (le plus
courant) et / ou pour les connexions Ethernet

04/08/2016
367
Architecture 802.1X
• Le plus souvent, le 802.1x est utilisé sur les réseaux Wifi. Au
lieu d’une clé wifi, l’utilisateur doit fournir ses identifiants
• Dans un réseau sans fil, WPA Entreprise implémente 802.1x
• L’authentification de l’utilisateur se fera sur un serveur
Radius

04/08/2016
368
AAA

04/08/2016
369
AAA
• Il existe 3 rôles en 802.1x :
1. Supplicant : la machine connectée à un port access, qui a besoin de
s’authentifier
2. Authenticator : l’équipement (switch ou borne wifi) qui contrôle l’accès au
réseau
3. Network Authentication Server : serveur qui sera interrogé pour
l’authentification des utilisateurs

04/08/2016
370
Configuration
• Premièrement, il faut activer le AAA – Authentication Authorization
Accounting sur notre switch
• Il nous faut spécifier l’adresse et la clé du serveur RADIUS

04/08/2016
371
Configuration
• Nous pouvons ensuite configurer AAA pour qu’il utilise RADIUS lors des
authentifications 802.1x
• Il faut ensuite activer 802.1x sur le switch

04/08/2016
372
Configuration
• Puis il faut configurer les ports
• Pour la configuration du port, nous avons trois options

04/08/2016
373
Configuration
• Le mode Auto permet l’authentification.
• Le mode Force-authorized ne demande pas d’authentification. Le port
est mis à l’état autorisé. Cette configuration est utile pour les ports sur
lesquels des serveurs sont connectés. C’est le mode par défaut sur les
ports.
• Le mode Force-unauthorized met automatiquement le port en mode
non autorisé. Les hôtes qui s’y connectent n’auront pas accès au réseau,
ou alors simplement au VLAN invité.

04/08/2016
374
Configuration
• Il est aussi possible de contrôler le nombre de tentative
d’authentification
• Les utilisateurs qui ne peuvent pas s’authentifier peuvent être placés
dans un VLAN invité

04/08/2016
375
•Introduction
•Architecture 802.1X
•AAA
•Configuration

04/08/2016
376
Redouane BAIK
Les Private VLAN
Sécurité Niveau 2

04/08/2016
377
Plan
• Introduction
• Les VLANs Primary et Secondary
• Les VLANs Isolated et Community
• Les modes Host et promoscious
• Configuration

04/08/2016
378
Introduction
• Le Private VLAN a été inventé afin d’isoler les hôtes au niveau 2
• Parfois, l’utilisation des VLAN devient abusive
• Imaginons le cas où nous avons 10 serveurs à connecter au réseau, et
que ces serveurs ne doivent pas pouvoir discuter entre eux (cas typique
d’une DMZ)
• Ou encore que nous souhaitions faire un réseau invité, ou les machines
ne peuvent joindre que la passerelle
• Il nous faudrait alors 1 VLAN par machine
• Il en découlera alors une création de très nombreux sous réseau, et un
gaspillage d’adresses relativement important

04/08/2016
379
Les VLANs Primary et Secondary
• L’idéal serait d’avoir un VLAN (et donc un sous réseau),
dans lequel les utilisateurs ne peuvent pas discuter
• C’est ce que permettent les PVLAN
• PVLAN se compose d’une association de VLAN :
• Un VLAN Primary
• Un ou plusieurs VLAN Secondary

04/08/2016
380
Les VLANs Isolated et Community
• Le VLAN Secondary peut être de deux types :
1. Isolated : les membres de ce VLAN ne peuvent pas
communiquer entre eux
2. Community : les membres de ce VLAN peuvent
communiquer entre eux

04/08/2016
381
Les modes Host et promoscious
• Enfin, le port d’un switch peut fonctionner dans l’un des
deux modes suivants :
1. Host : Le port a un comportement qui découle du type de PVLAN
auquel il est associé (Isolated ou Community)
2. Promiscuous : le port peut communiquer avec les ports membres
du même VLAN

04/08/2016
382
Les modes Host et promoscious

04/08/2016
383
Configuration
• Avant toute chose assurez-vous que le switch est en mode VTP
transparent :
• Ensuite, créer les VLANs

04/08/2016
384
Configuration
• Avant toute chose assurez-vous que le switch est en mode VTP
transparent :
• Ensuite, créer les VLANs

04/08/2016
385
Configuration
• Ensuite, nous pouvons associer les ports aux PVLAN :

04/08/2016
387
• Introduction
• Les VLANs Primary et Secondary
• Les VLANs Isolated et Community
• Les modes Host et promoscious
• Configuration

04/08/2016
388
Redouane BAIK
DHCP Snooping
Sécurité Niveau 2

04/08/2016
389
Plan
•Introduction
•Configuration

04/08/2016
390
Introduction
• Le DHCP Snooping est une fonctionnalité qui permet
d’améliorer la sécurité d’une infrastructure utilisant un
DHCP
• DHCP Snooping permet de :
• Choisir les ports derrière lesquels peut se trouver un DHCP
• S’assurer que les hôtes utilisent l’IP qui leur a été associée
• Définir un maximum de requêtes DHCP par port
• Etc…

04/08/2016
391
Configuration
• Pour choisir les ports de confiance, la configuration est simple :
• Seul un DHCP placé derrière le port Fa 0/1 pourra répondre aux
requêtes
• Le DHCP Snooping ne sera effectué que sur le VLAN 99
• Avec DHCP Snooping, le switch va remplir une table de correspondance
indiquant quelle IP a été assignée à quelle adresse MAC sur quel port

04/08/2016
392
Configuration
• Voici la table de correspondance (après qu’un client ai fait
une requête DHCP) :

04/08/2016
393
•Introduction
•Configuration

04/08/2016
394
Redouane BAIK
Les VACL
Sécurité Niveau 2

04/08/2016
395
Plan
•Introduction
•Configuration

04/08/2016
396
Introduction
• Les VACL ou Vlan ACL sont des Access List à appliquer sur
des VLAN
• Elles se configurent sur un switch
• A la différence des ACL classiques qui s’appliquent sur un
routeur, et qui ne peuvent que filtrer entre les VLAN, les
VACL permettent de filtrer le trafic au sein d’un même VLAN

04/08/2016
397
Introduction
• PC 1 et PC 2 sont dans le même VLAN
• A l’aide d’une VACL, nous pouvons empêcher les PC de s’envoyer des
Ping

04/08/2016
398
Configuration
• La configuration est un peu plus compliquée que pour une ACL
standard
• Nous pouvons ensuite créer la VACL

04/08/2016
399
Configuration
• Ici nous faisons référence à l’ACL 100, qui capte le traffic ICMP voulu
• Etant donné qu’il y a un implicite “Drop” à la fin, nous devons rajouter
un Forward

04/08/2016
400
Configuration
• Testons la configuration
• Du PC 1 nous envoyons un Ping à PC 2 :

04/08/2016
406
Prochaine formation
• Cisco CCNP TSHOOT (examen 642-832)
Layer 2 switching
VLANs, VLAN access control lists, port security
Switch security issues
Link aggregation protocols
STP
Inter-VLAN routing solutions
FHRPs, including HSRP, VRRP, and GLBP
Branch office operations
EIGRP
OSPF
Layer 3 path control
Redistribution
BGP
IPv6 Networking

04/08/2016
407
A bientôt ☺
Keep in touch !
E-mail : redouane.baik.dz@gmail.com
Linkedin : https://www.linkedin.com/in/baik-redouane-843631a/fr

Alphorm.com Support de la Formation Cisco CCNP SWITCH (examen 300-115)

Contenu connexe

Tendances

En vedette

Similaire à Alphorm.com Support de la Formation Cisco CCNP SWITCH (examen 300-115)

Plus de Alphorm

Alphorm.com Support de la Formation Cisco CCNP SWITCH (examen 300-115)