Alphorm.com Support de la Formation Cisco CCNP SWITCH (examen 300-115)

04/08/2016

1

Formation Cisco CCNP SWITCH (examen 300-115) alphorm.com™©

Redouane BAIKFormateur et Consultant indépendant Réseaux

FormationCCNP SWITCH (300-115)

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

04/08/2016

2


Plan

•Présentation du formateur

•Le plan de formation

•La certification CCNP

•Publics concernés

•Connaissances requises

•Présentation du Lab

04/08/2016

3


Présentation du formateur

Redouane BAIK• [email protected]

• Consultant & Formateur indépendant

• Mission conseil, étude d’architecture, migration et formation

• CCSI 33252

• Mes références :

� Mon profil LinkedIn : https://www.linkedin.com/in/baik-redouane-843631a/fr

� Mon profil Alphorm : http://www.alphorm.com/formateur/redouane-baik

04/08/2016

4


Le plan de formation• Cisco Entreprise Composite Network

1. Introduction

2. Entreprise Campus

3. Entre Edge

• Vlan et Trunk

1. Le port trunk

2. Configuration du trunk

3. Vlan Natif

4. Mode de fonctionnement d’un port

• Le protocole VTP

1. Introduction

2. Les modes VTP

3. Fonctionnement VTP

4. Les messages VTP

5. VTP Prunning

6. Configuration VTP

• Spanning Tree

1. Introduction

2. Processus Spanning Tree

3. Per Vlan Spanning Tree

4. Configuration Spanning Tree

5. Spanning Tree Portfast

6. Spanning Tree BPDU Guard

7. Uplink et Backbone Fast

8. Le rapid Spanning Tree


10. Le Multiple Spanning Tree

11. Configuration MSTP

• Etherchannel

1. Introduction

2. Fonctionnement Etherchannel

3. Configuration Etherchannel

4. Load Ballancing

5. Agregation niveau 3

04/08/2016

5


Le plan de formation• Routage Inter Vlan

1. Router On stick

2. Configuration Router On stick

3. Routage Inter Vlan avec un Switch niveau 3

4. Configuration du Routage Inter Vlan avec un Switch niveau 3

5. CEF

• Redondance de passerelle

1. Introduction

2. Le protocole HSRP

3. Fonctionnement du protocole HSRP

4. Configuration du protocole HSRP

5. Le protocole VRRP

6. Fonctionnement du protocole VRRP

7. Configuration du protocole VRRP

8. Le protocole GLBP

9. Fonctionnement du protocole GLBP

10. Configuration du protocole GLBP

• Sécurité niveau 2

1. Port Security

2. Configuration du Port Security

3. AAA et 802.1X

4. Private Vlan

5. DHCP Snooping

6. VACL

04/08/2016

6


La certification CCNP

• Qu’est ce que la certification CISCO ?

• Que signifie le fait de posséder la Certification Cisco ?

• Qu’est ce que le CCNP ?

• Nouveautés du CCNP

• Comment obtient-on la certification CCNP ?

• Quels sont les connaissances couvertes dans le CCNP ?

• Comment sont organisés les cours Cisco ?

• Où passer la certification Cisco ?

04/08/2016

7


Public concerné

• Administrateurs réseaux

• Ingénieurs réseaux

• Gestionnaires de réseaux

• Ingénieurs systèmes

• Concepteurs réseaux

• Gestionnaires de projet

04/08/2016

8


Connaissances requises

• Pour suivre ce cours il est recommandé d’avoir / de savoir :

� Avoir suivi la formation ICND1 http://www.alphorm.com/tutoriel/formation-en-ligne-cisco-icnd1-ccent-100-101

� Avoir suivi la formation ICND2 http://www.alphorm.com/tutoriel/formation-en-ligne-cisco-ccna-icnd2-examen-200-101

04/08/2016

9


Présentation des outils pour les Lab

• GNS3 : http://www.gns3.com/

• Vous avez une formation ici : http://www.alphorm.com/tutoriel/formation-en-ligne-gns3

04/08/2016

10


Liens utiles

• https://www.ciscomadesimple.be/

• https://www.networklab.fr/

• http://www.9tut.com/

• http://www.cisco.com/web/CA/learning/le3/le2/le37/le10/learning_certification_type_home_fr.html

• http://www.examcollection.com/

04/08/2016

11


Are you ready ? ☺

04/08/2016

12




Introduction

Cisco Entreprise Composite Network Model

04/08/2016

13


Plan

•Présentation générale

•Les parties du modèle ECNM

04/08/2016

14


Présentation générale• Cisco Entreprise Composit Network Model

04/08/2016

15


Les parties du modèle ECNM

• Le modèle est divisé en 3 grandes parties :

�Entreprise Campus

�Entreprise Edge

�Service Provider Edge

04/08/2016

16


Ce qu’on a couvert

• Présentation générale

• Les parties du modèle ECNM

04/08/2016

17




Entreprise Campus


04/08/2016

18


Plan

• Les parties Entreprise Campus

• Le modèle hiérarchique

04/08/2016

19


Les parties Entreprise Campus

• La partie Entreprise Campus est divisée en 4 niveaux, qui respectent le modèle hiérarchique

�Access

�Distribution

�Core

�Server Farm

04/08/2016

20


Le modèle hiérarchique

• Les avantages du modèle hiérarchique

�Evolutivité

�Performance

�Redondance

�Divers

04/08/2016

21



• Les parties Entreprise Campus

• Le modèle hiérarchique

04/08/2016

22



Entreprise Edge



04/08/2016

23


Plan

•Entreprise Edge

•Conclusion

04/08/2016

24


Entreprise Edge

• Dans le modèle Cisco, nous retrouvons 4 blocs :

�WAN

�E-Commerce

�Internet

�Remote Access

04/08/2016

25



•Entreprise Edge

•Conclusion

04/08/2016

26



Introduction aux VLANs

Les VLANs


04/08/2016

27


Plan

• Introduction aux VLANs

•Advantages des VLANs

•Appartenance à un VLAN

•Les différentes utilisations de VLAN

•Les VLANs dans l’Entreprise Composit Network Model

04/08/2016

28


Introduction aux VLANs• Si l’on souhaite utiliser plusieurs sous réseaux, il nous faut alors

plusieurs switchs

Nous serons obligés de tirer un câble jusqu’au switch de l’étage 1, afin de placer un nouveau switch à l’étage 2

04/08/2016

29


Advantages des VLANs

•Segmentation

•Flexilbilté

•Securité

04/08/2016

30


Advantages des VLANs• Le regroupement des utilisateurs de manière logique, va

permettre une plus grande flexibilité

• L’emplacement physique de la machine n’a alors plus d’importance

• Aussi, les VLANs permettent de réduire les coûts. Comme un switch n’est plus limité à un sous réseau, il n’est plus nécessaire d’acheter un nouveau switch pour la création d’un nouveau sous réseau

• Au final, les VLANs permettent de profiter des avantages de la segmentation en sous réseau, sans être limité par les switchs

04/08/2016

31


Appartenance à un VLAN

04/08/2016

32


Appartenance à un VLAN

•Serveur Tacacs ou radius

•Auhtentification 802.1X

04/08/2016

33


Les différentes utilisations de VLAN• Le nombre maximum de VLAN que l’on peut créer dépend du type de switch

(64, 128, 1024, 4096)

• Le VLAN 1 est créé par défaut et tous les ports du switch appartiennent à ce VLAN

• Il faut d’abord créer l’identifiant du VLAN puis attribuer des ports à ce VLAN

• On peut donner un nom à un VLAN (optionnel), par exemple :

� VLAN 1 – Management

� VLAN 2 – Commerciaux

� VLAN 3 – Voix

� VLAN 4 – Finance

04/08/2016

34


Les VLAN dans l’Entreprise Composit Network Model

• Le routage entre les VLANs d’un même bâtiment se fera au niveau Distribution

• Le routage entre des VLANs de différents bâtiments se fera au niveau Core

04/08/2016

35


A retenir

• Un VLAN = un sous réseau

• Plusieurs VLANs, donc plusieurs sous réseaux, sur un même switch

• Un même VLAN sur plusieurs switchs

• Routage entre les VLANs grâce à un routeur (ou switch de niveau 3)

• Réduction des coûts

• Plus grande flexibilité

04/08/2016

36



• Introduction aux VLANs

•Advantages des VLANs

•Appartenance à un VLAN

•Les différentes utilisations de VLAN

•Les VLANs dans l’Entreprise Composit Network Model

04/08/2016

37



Configuration des VLANs


Les VLANs

04/08/2016

38


Plan

•Configuration d’un VLAN sur un switch

•Attribution d’un port dans un VLAN

•Où sont stockés les VLANs?

04/08/2016

39


Configuration d’un VLAN sur un switch

04/08/2016

40


Configuration d’un VLAN sur un switch

Nous commençons d’abord par créer le VLAN

04/08/2016

41


Attribution d’un port dans un VLAN

On identifie le port du switch (par exemple l’interface fastethernet 0/1) qui doit être dans le VLAN 2 précédemment créé :

04/08/2016

42



Pour configurer plusieurs ports (exemple avec les ports 0/2 à 0/7) dans un VLAN, on peut utiliser la variable range pour configurer en une seule fois tous les ports :

04/08/2016

43



Où sont stockés les VLANs?

04/08/2016

44



•Configuration d’un VLAN sur un switch

•Attribution d’un port dans un VLAN

•Où sont stockés les VLANs?

04/08/2016

45



Les VLANs Voice


Les VLANs

04/08/2016

46


Plan

•Les VLANs voice

•Configuration d'un VLAN dédié à la téléphonie

04/08/2016

47


Les Vlan voice

04/08/2016

48


Configuration d'un vlan dédié à la téléphonie

Le protocole cdp doit préalablement être activé

04/08/2016

49



•Les VLANs voice

•Configuration d'un VLAN dédié à la téléphonie

04/08/2016

50



Les Ports Trunk


Les VLANs

04/08/2016

51


Plan

•C’est quoi un lien Trunk?

•ISL

•802.1Q

04/08/2016

52


C’est quoi un lien Trunk?

•Les ports Access permettent de connecter un PC à un switch, en le plaçant dans le bon VLAN.

•Qu’en est-il des liens entre les switchs ?

•Ces ports seront configurés en mode Trunk

04/08/2016

53


C’est quoi un lien Trunk?• Les ports Fa0/1 des deux switchs devront être configurés en

mode trunk de manière à supporter plusieurs VLANs

04/08/2016

54


ISL

• ISL est la méthode Cisco• La frame Ethernet est encapsulée dans une nouvelle frame

contenant l’identificateur de VLAN

04/08/2016

55


802.1Q

• Cette méthode est la version standardisée d’ISL• Un champ « Tag » est ajouté dans le header de la frame

04/08/2016

56


802.1Q

• Ce champ contient les infos suivantes :

•TPID : identifie le protocole du tag inséré (pour 802.1Q : 0x8100)•Priority : donne la priorité de la frame (de 0 à 7)•CFI : assure la compatibilité entre Token Ring et Ethernet (valeur à 0 pour Ethernet)•VID : tag du VLAN

Au final, en 802.1Q, seuls 4 octets sont ajoutés à la trame pour un passage dans un lien Trunk

04/08/2016

57


A retenir• La frame par du PC1. Il s’agit là d’une frame Ethernet tout à fait

normale

• S1 reçoit la frame. Le port Fa 0/5 appartient au VLAN 10

• S1 sait que l’adresse MAC de PC2 se trouve derrière le port Fa0/1

• S1 tague la frame avec le numéro de VLAN 10 (en ISL ou 802.1Q) puis l’envoie sur Fa0/1

• S2 reçoit la frame taguée

• S2 retire le tag, et envoie la frame à PC2

04/08/2016

58



•C’est quoi un lien Trunk?

•ISL

•802.1Q

04/08/2016

59



Configuration du Trunk


Les VLANs

04/08/2016

60


Plan

•Configuration du trunk

•Vérification du lien trunk

04/08/2016

61


Configuration du trunk

•La configuration à effectuer sur les ports des switchs interconnectés entre eux :

04/08/2016

62


Configuration du trunk

•La configuration à effectuer sur les ports des switchs interconnectés entre eux :

switch# configure terminalswitch(config)# interface FastEthernet 0/1switch(config-if)# switchport trunk allowed vlan 5-15switch(config-if)#

04/08/2016

63


Vérification du lien trunk• Vérifions que le port en question est bien configuré

04/08/2016

64



•Configuration du trunk

•Vérification du lien trunk

04/08/2016

65



VLAN Natif


Les VLANs

04/08/2016

66


Plan

•C’est quoi le VLAN natif?

•Sécuriser le vlan natif

•Configuration

04/08/2016

67


C’est quoi le VLAN natif ?• Le VLAN natif est un VLAN dans lequel seront placées les

frames non taguées reçues sur le trunk

• Les frames du VLAN natif sont envoyées sans tag dans le trunk

• Par défaut, le VLAN natif est le 1 sur un Trunk. De plus, tous les ports font partie du VLAN 1, par défaut

04/08/2016

68


C’est quoi le VLAN natif ?

04/08/2016

69


C’est quoi le VLAN natif ?• La bonne pratique veut que le VLAN natif ne soit utilisé

nulle part ailleurs

• Si nous choisissons le VLAN 666 pour être le VLAN natif, celui-ci ne devra jamais être utilisé ailleurs

• Un attaquant qui envoie des frames non-taguées sur un trunk, ne pourra atteindre aucun sous réseau

04/08/2016

70


Sécuriser le vlan natif• Il est important que le VLAN natif soit le même des deux

côtés du trunk

• Si le VLAN natif n’est pas le même des deux côtés, le port sera en partie désactivé (car cela peut causer des boucles spanning-tree). Seules les frames taguées pourront circuler sur le Trunk

• Si le VLAN natif n’est pas le même des deux côtés, ces frames-là ne pourront pas circuler

04/08/2016

71


Configuration

•La configuration est très simple

04/08/2016

72



•C’est quoi le VLAN natif?

•Sécuriser le vlan natif

•Configuration

04/08/2016

73



Mode de fonctionnement d'un port


Les VLANs

04/08/2016

74


Plan

• Introduction

•Les différents modes de fonctionnement d'un port

04/08/2016

75


Les différents mode de fonctionnement d'un port

• Il existe plusieurs modes de fonctionnement de port pour l’utilisation de VLAN :�Access

�Trunk

�Dynamique Auto

�Dynamique Desirable

04/08/2016

76


Les différents modes de fonctionnement d'un port

04/08/2016

77



• Voici les commandes pour activer les différents modes (un mode à la fois) :

04/08/2016

78



• Voici le résultat d’une négociation (S1 Fa0/1 Trunk / S2 Fa0/1 Dynamique Desirable) :

04/08/2016

79



• A noter qu’il est possible d’entrer la commande suivante pour désactiver l’envoie de DTP :

• De cette manière, si un switch est connecté en face, et que son port est en mode Dynamique, il ne pourra pas négocier de Trunk

• De plus, si un attaquant se connecte sur un port Trunk qui envoie des frames DTP, il lui sera possible de les analyser, et de simuler un Trunk.

04/08/2016

80



• Introduction

•Les différents modes de fonctionnement d'un port

04/08/2016

81



Introduction

VLAN Trunking Protocol


04/08/2016

82


Plan

• Introduction

•Qu’est-ce que le VTP?

04/08/2016

83


Introduction • Le VLAN Trunking Protocol permet de faciliter la configuration des

VLANs au sein d’un réseau

• Grâce à VTP, l’ajout ou la modification d’un VLAN sera automatiquement répliqué sur les switchs de notre réseau

• Le rôle de VTP est de propager les configurations de VLAN

04/08/2016

84


Qu’est-ce que le VTP?

04/08/2016

85


Qu’est-ce que le VTP ?

• VTP propage les paramètres suivants :

�Création d’un VLAN

�Modification d’un VLAN (changement de nom)

�Suppression d’un VLAN

04/08/2016

86



• Introduction

•Qu’est-ce que le VTP ?

04/08/2016

87




Les modes VTP


04/08/2016

88


Plan

• Introduction

•Les modes VTP

04/08/2016

89


Les modes VTP• VTP peut fonctionner en 3 modes : Client, Serveur, et Transparent

• Sur un switch VTP Serveur, nous pouvons ajouter, modifier, et supprimer des VLAN

• La configuration sera stockée dans le fichier vlan.dat

• Le switch enverra une MAJ VTP aux autres switchs

04/08/2016

90


Les modes VTP• Sur un switch Client, il n’est pas possible de modifier la configuration

VLAN. Seules des MAJ VTP peuvent changer la configuration.

• Un switch Client ne conserve pas les VLANs dans le fichier VLAN.dat

• Les VLAN seront donc perdus à l’extension du switch

04/08/2016

91


Les modes VTP• Enfin, un switch en mode Transparent ne participe pas au processus

VTP.

• Il faudra lui configurer les VLANs à la main, et ceux-ci seront stockés dans le fichier VLAN.dat.

• Par contre, il sera capable de faire suivre les MAJ aux autres switchs

04/08/2016

92


Les modes VTP

04/08/2016

93



• Introduction

•Les modes VTP

04/08/2016

94




Fonctionnement VTP


04/08/2016

95


Plan

• Numéro de révision et nom de domaine

• Processus de MAJ

04/08/2016

96


Numéro de révision et nom de domaine• Le numéro de révision correspond à la version de la base de données

des VLAN

• Quand nous ajoutons, modifions, ou supprimons un VLAN, le numéro de révision augmente

• Au départ il est de 0. Il augmentera à chaque changement

• Le nom de domaine VTP, doit être le même sur tous les switchs pour qu’ils s’échangent des MAJ

• Il est possible de configurer un mot de passe pour le domaine

04/08/2016

97


Processus de MAJ• Les MAJ VTP sont envoyées automatiquement à chaque changement

• Par exemple, la création d’un VLAN entrainera l’envoie d’une MAJ

• Une MAJ est envoyée toutes les 300 secondes

• Dans la MAJ est inclus le numéro de révision

• Si le switch qui reçoit la MAJ possède un numéro de révision plus élevé ou égal que celui inclus dans la MAJ, alors il ne retransmettra pas la MAJ, de même si le nom de domaine n’est pas le même

• Il est important de noter que les MAJ VTP ne passent qu’à travers les liens Trunk

04/08/2016

98


Processus de MAJ

04/08/2016

99



• Numéro de révision et nom de domaine

• Processus de MAJ

04/08/2016

100




Les messages VTP


04/08/2016

101


Plan

• Summary Advertisements

• Advertisement Request

• Subset Advertisements

04/08/2016

102


Summary Advertisements• Le message de résumé est envoyé toutes les 300 secondes (5 minutes)

04/08/2016

103


Advertisement Request• Ce message permet de demander une MAJ (Subset Advertisement) à un

switch serveur

04/08/2016

104


Subset Advertisements• Ce message permet les MAJ VTP

04/08/2016

105



• Summary Advertisements

• Advertisement Request

• Subset Advertisements

04/08/2016

106




VTP Pruning


04/08/2016

107


Plan

• Introduction

•VTP Pruning

04/08/2016

108


VTP Pruning• le VTP Pruning permet d’empêcher les Broadcast de se propager vers

des switchs qui n’ont pas de ports Access dans le VLAN concerné par du Broadcast

• Par défaut, un lien Trunk supporte tous les VLAN, ce qui fait qu’un Broadcast va forcément se répandre dans tout le domaine VTP.

04/08/2016

109


VTP Pruning• Avec le VTP Pruning activé, voici comment se propagerai un Broadcast

dans le VLAN 20

04/08/2016

110



• Introduction

•VTP Pruning

04/08/2016

111




Configuration VTP


04/08/2016

112


Plan

• Introduction

•Configuration VTP

04/08/2016

113


Configuration VTP• Les étapes de configuration sont les suivantes :

• Remettre à zéro le numéro de révision (s’il y avait déjà une configuration VTP)

• Configurer le nom de domaine et le MDP

• Choisir le mode de fonctionnement (Server, Client, Transparent)

• Choisir la version VTP

• Vérifier le bon fonctionnement

04/08/2016

114


Configuration VTP

04/08/2016

115


Configuration VTP« Show VTP status »

04/08/2016

116


Configuration VTP

04/08/2016

117



• Introduction

•Configuration VTP

04/08/2016

118



Introduction

Le Protocole Spanning Tree


04/08/2016

119


Plan

•Problématique

•Le Protocole Spanning Tree

04/08/2016

120


Problématique • Tempête de Broadcast• Le Protocole Spanning Tree• Instabilité des tables CAM

04/08/2016

121


Problématique • Tempête de Broadcast

04/08/2016

122


Problématique • Duplication de trame

04/08/2016

123


Problématique • Instabilité des tables CAM

� La table CAM – Content Addressable Memory, est une table dans laquelle le switch garde une correspondance du type « Adresse MAC A -> derrière port 1 »

� C’est grâce à cette table que le switch saura sur quel port transmettre les trames qu’il reçoit

04/08/2016

124



04/08/2016

125



• Introduction

•Le Protocole Spanning Tree 802.1D

04/08/2016

126




Processus Spanning Tree


04/08/2016

127


Plan

• Introduction

•Le Processus Spanning Tree

04/08/2016

128


Le Processus Spanning Tree

• Election Root Bridge

• Election des root port

• Les ports bloqués

04/08/2016

129



04/08/2016

130



• Le Bridge ID est composé de la priorité du switch + son adresse MAC

• La priorité est de 32768 par défaut. Elle peut être modifiée pour influencer l’élection

• Elle peut aller de 0 à 61440

04/08/2016

131



• Pour que les switchs trouvent le meilleur chemin vers le Root Bridge, ils se basent sur le coût de chaque lien

04/08/2016

132



• S’il y a toujours égalité (deux liens entre deux switchs), c’est le port avec le numéro le plus bas qui sera privilégié

04/08/2016

133



• A retenir :

• Il y a toujours un et un seul Designated Port par lien

• Le Root Bridge n’a que des ports Designated

• Il n’est pas possible de mettre un port Blocking sur le même lien qu’un port Root

04/08/2016

134



• Introduction

•Le Processus Spanning Tree

04/08/2016

135




Peer VLAN Spanning Tree


04/08/2016

136


Plan

• Introduction

• Le BID en PVLAN STP

• Les rôles en PVLAN STP

• Les états en PVLAN STP

04/08/2016

137


Introduction

04/08/2016

138


Le BID en PVLAN STP• Le BID en PVLAN STP sera le suivant :

04/08/2016

139


Les rôles en PVLAN STP

• Les ports peuvent avoir 3 rôles :

• Root

• Designated

• Blocking

04/08/2016

140


Les états en PVLAN STP• En Spanning Tree, les ports peuvent avoir 4 états :

04/08/2016

141



• Introduction

• Le BID en PVLAN STP

• Les rôles en PVLAN STP

• Les états en PVLAN STP

04/08/2016

142



Configuration du protocole Spanning Tree



04/08/2016

143


Plan• Introduction

• Configuration

04/08/2016

144


Introduction

04/08/2016

145


Configuration

SW1(config)#spanning-tree vlan 10 root primarySW1(config)#spanning-tree vlan 20 root primary

Ou

SW1(config)#spanning-tree vlan x priority y

04/08/2016

146


Ce qu’on a couvert• Introduction

• Configuration

04/08/2016

147



PortFastLe Protocole Spanning Tree


04/08/2016

148


Plan

•Introduction

•PortFast

04/08/2016

149


PortFast

• La première solution pour réduire les timers, est d’utiliser le Portfast sur certains ports

• Cela aura pour effet de désactiver Spanning Tree sur le port en question

• Cette fonctionnalité n’est à activer que sur les ports connectés à des PC

04/08/2016

150


PortFast

•La configuration est très simple

04/08/2016

151


PortFast

•Afin de prévenir les erreurs, le message suivant est affiché :

04/08/2016

152



• Introduction

•PortFast

04/08/2016

153




BPDU GuardLe Protocole Spanning Tree

04/08/2016

154


Plan

• Introduction

•BPDU Guard

•Configuration

04/08/2016

155


BPDU Guard

• BPDUGuard a pour but de désactiver une interface qui recevrait un BPDU alors qu’elle n’aurait pas dû

• Une interface pour laquelle BPDUGuard est activé, et qui reçoit un BPDU, sera placée en état errDisabled (down/down, même état qu’en cas de violation de Port-Security)

• Pour être à nouveau fonctionnelle, l’interface devra être manuellement remise à zéro (shutdown / no shutdown) ou alors il faut utiliser les fonctionnalités « errdisablerecovery »

04/08/2016

156


Configuration

•Configuration de BPDUGuard

04/08/2016

157



• Introduction

•BPDU Guard

•Configuration

04/08/2016

158




UplinkFastet BackboneFast


04/08/2016

159


Plan

• Introduction

•UplinkFast

•BackboneFast

04/08/2016

160


Introduction

• Backbone Fast et UplinkFast sont deux fonctionalités(créées par Cisco) qui permettent d’améliorer le temps de convergence de processus Spanning Tree

04/08/2016

161


UplinkFast

• La convergence sera donc plus rapide, car il ne sera pas nécessaire de repasser par les différentes phases d’écoute et d’apprentissage

• Cette fonctionnalité est à activer sur les switchs au niveau Access, aux niveaux Distribution et Core, cela peut parfois amener à des boucles

• Pour améliorer la sécurité, la priorité du switch est augmentée lors de l’activation d’UplinkFast. De même que le coût des ports

04/08/2016

162


UplinkFast

•Voici comment activer UplinkFast :

04/08/2016

163


UplinkFast

•Et voici l’évolution de la priorité et du coût :

Avant UplinkFast

04/08/2016

164


UplinkFast

•Et voici l’évolution de la priorité et du coût :

Apres UplinkFast

04/08/2016

165


Backbone

• A l’inverse, Backbone Fast permet de détecter des pannes distantes. C’est-à-dire des pannes qui se produisent sur des switchs distants et qui font que nous n’accédons plus au Root Bridge

• A la détection d’une telle panne, le switch passe directement le port concerné en mode Listening, et n’attend pas l’expiration du Max Age Timer

• Le gain de temps est donc de 20 secondes

04/08/2016

166


Backbone

•Pour activer Backbone Fast, utiliser la commande suivante sur tous les switchs

• Il n’est pas nécessaire d’activer UplinkFast et BackboneFast en RSTP, Rapid-PVST et MSTP

04/08/2016

167



• Introduction

•UplinkFast

•BackboneFast

04/08/2016

168




Le rapide Spanning Tree


04/08/2016

169



• Le protocole Spanning Tree (802.1W)

• Les nouveaux états des ports

• Les nouveaux rôles des ports

• Transition Rapide vers l’état de relais (Forwarding State)

• Compatibilité avec le protocole 802.1d

04/08/2016

170


Le protocole Spanning Tree (802.1W)

• Cisco à amélioré le protocole 802.1d original par l’ajout de spécifications :

• Uplink Fast

• Backbone Fast

• Port Fast

04/08/2016

171


Les nouveaux états des ports

• Le tableau suivant résume ces nouveaux éléments :

04/08/2016

172


Les nouveaux rôles des ports

• Le rôle : Port «racine» (Root)

• Le rôle : Port «Désigné» (Désignated)

• Le rôle : Port «alternatif» (Alternate) et Port «de secours» (Backup)

04/08/2016

173


La nouvelle structure des BPDU

• Quelques changements ont été introduits par le RSTP dans la structure des BPDUs

04/08/2016

174


La nouvelle structure des BPDU

• La convergence en protocole 802.1w (Rapide STP)

04/08/2016

175


Transition Rapide vers l’état de relais (Forwarding State)

• Les ports d’extrémités (Edge Ports)

• Le type de lien (Link Type)

04/08/2016

176


Compatibilité avec le protocole 802.1d

• Le RSTP est capable d’interagir avec le STP

04/08/2016

177



• Introduction

• Le protocole Spanning Tree (802.1W)

• Les nouveaux états des ports

• Les nouveaux rôles des ports

• Transition Rapide vers l’état de relais (Forwarding State)

• Compatibilité avec le protocole 802.1d

04/08/2016

178



Configuration du protocole Rapid Spanning Tree



04/08/2016

179



• Configuration

04/08/2016

180


Introduction

04/08/2016

181


Configuration

spanning-tree mode rapid-pvst

SwitchX(config)#

Configuration PVRST+

show spanning-tree vlan vlan# [detail]

SwitchX#

� Verification de la configuration spanning-tree

debug spanning-tree pvst+

SwitchX#

04/08/2016

182


Ce qu’on a couvert• Introduction

• Configuration

04/08/2016

183




Le Multiple Spanning Tree


04/08/2016

184


Plan

• Introduction

• Où utiliser MST?

• Fonctionnement MST (802.1s)

04/08/2016

185


Introduction

• Multiple spanning-Tree (MST) est une norme IEEE inspirée de la mise en œuvre des instances multiples propriétaires Cisco Spanning Tree Protocol (MISTP)

04/08/2016

186


Où utiliser MST?• Une conception courante qui comporte un commutateur d'accès A avec

1000 VLAN connectés en redondance à deux commutateurs de distribution D1 et D2

04/08/2016

187


Fonctionnement MST • Chaque commutateur qui exécute MST sur le réseau a une seule

configuration MST composée des trois attributs suivants :

• Un nom de configuration alphanumérique (32 octets)

• Un numéro de révision de configuration (deux octets)

• Une table d'éléments 4096 qui associe chaque VLAN 4096 potentiel supporté sur le châssis à une instance donnée

04/08/2016

188



• Introduction

• Où utiliser MST?

• Fonctionnement MST

04/08/2016

189




Configuration MSTP


04/08/2016

190


Plan

•Configuration MSTP

04/08/2016

191


Configuration MSTP• Activation MSTP

• Il faut ensuite rentrer dans la configuration de MST, et créer des instances

• Une instance peut contenir un ou plusieurs VLAN

04/08/2016

192


Configuration MSTP• Si nous le souhaitons, nous pouvons forcer un switch à devenir le Root

Bridge

04/08/2016

193



•Configuration MSTP

04/08/2016

194




IntroductionLe Protocole Etherchannel

04/08/2016

195


Plan

• Introduction

•Négociation de l’agrégation

04/08/2016

196


Introduction

• Etherchannel est une technique permettant l’agrégation de liens

• Il est souvent utilisé pour augmenter la bande passante entre deux switchs

• Le principe est simple. Il s’agit de combiner plusieurs liens pour obtenir un lien virtuel de meilleure capacité

04/08/2016

197


Négociation de l’agrégation

• Le principe est simple. Il s’agit de combiner plusieurs liens pour obtenir un lien virtuel de meilleure capacité

04/08/2016

198


Négociation de l’agrégation

• Il existe deux manières de créer une agrégation de liens :

1. En forçant l’agrégation

2. En utilisant un protocole de négociation

• Pour la négociation de l’agrégation, il existe deux protocoles :

1. PAGP – Port Agregation Protocol

2. LACP – Link Agregation Control Protocol

04/08/2016

199



• Introduction

•Négociation de l’agrégation

04/08/2016

200




Fonctionnement Etherchannel

Le Protocole Etherchannel

04/08/2016

201


Plan

•Les protocoles de négociation

•Le protocole PAGP

•Le protocole LACP

04/08/2016

202


Les protocoles de négociation

04/08/2016

203


Le protocole PAGP

• PAGP est le protocole de négociation propriétaire Cisco.

• En choisissant ce protocole, il est possible de configurer les ports dans 2 modes différents :

• Auto

• Desirable

04/08/2016

204


Le protocole PAGP

• A noter que si nous ne voulons pas utiliser de protocole de négociation, le port devra être mis en mode ON, pour forcer l’agrégation de liens

• Avec PAGP, si le port est en mode Auto, une agrégation de liens sera créée si le port d’en face est en mode Desirable. Si le port d’en face est en mode Auto, aucune agrégation n’est créée

• Si le port est configuré en mode Desirable, une agrégation sera créée à condition que le port d’en face soit en mode Auto ou Desirable

04/08/2016

205


Le protocole LACP

• LACP est un protocole standard (802.3AD) très similaire à PAGP.

• La seule différence est le nom des modes de port.

• Nous retrouvons donc deux modes de ports :

• Passive

• Active

04/08/2016

206


Le protocole LACP

• Passive correspond au mode Auto de PAGP : création d’une agrégation si le port en face est en Active.

• Active correspond au mode Desirable de PAGP : création d’une agrégation si le port d’en face est en Passive ou Active

04/08/2016

207



•Les protocoles de négociation

•Le protocole PAGP

•Le protocole LACP

04/08/2016

208




Configuration Etherchannel

Le Protocole Etherchannel

04/08/2016

209


Plan

•Comment configurer une agrégation de liens

•En mode ON

•En mode PAGP

•En mode LACP

04/08/2016

210


Comment configurer une agrégation de liens

04/08/2016

211


En mode ON

• Nous allons commencer par forcer l’agrégation de liens sur les deux switchs

• De même pour S2

04/08/2016

212


En mode ON

• Voici le détail de cette interface :

04/08/2016

213


En mode LACP

• Nous allons commencer par l’agrégation de liens sur les deux switchs

• De même pour S2

04/08/2016

214


En mode LACP

• Voici le détail de cette interface :

04/08/2016

215



•Comment configurer une agrégation de lien

•En mode ON

•En mode PAGP

•En mode LACP

04/08/2016

216




Load BallancingLe Protocole Etherchannel

04/08/2016

217


Plan

• Comment la charge est répartie entre les différents liens ?

• Configuration du load balancing

04/08/2016

218


Comment la charge est répartie entre les différents liens ?

• Cela dépend du niveau de fonctionnalité du switch

• Sur les switchs basiques, l’adresse Mac source et destination est utilisée

• Certains équipements sont capables d’utiliser l’adresse IP ainsi que le port

• Par défaut c’est l’adresse mac source

04/08/2016

219


Configuration du load balancing

• Voici comment paramétrer le Load Ballancing :

04/08/2016

220



• Comment la charge est répartie entre les différents liens ?

• Configuration du load balancing

04/08/2016

221




Agrégation de niveau 3Le Protocole Etherchannel

04/08/2016

222


Plan

•Agrégation niveau 3

•Configuration

04/08/2016

223


Agrégation niveau 3

• Sur les switchs de niveau 3, il est possible de faire une agrégation de liens et d’assigner une seule IP aux deux ports

04/08/2016

224


Configuration

• Il faut commencer par désactiver le mode switchport sur les ports concernés:

04/08/2016

225


Configuration

• Puis de même sur l’interface virtuelle :

• Nous pouvons ensuite assigner une IP à cette interface :

04/08/2016

226



•Agrégation niveau 3

•Configuration

04/08/2016

227




Router On A StickRoutage inter-VLANs

04/08/2016

228


Plan

• Introduction

•Router On A Stick

•Configuration

04/08/2016

229


Introduction

•Deux solutions s’offrent à nous :

1. Utiliser un routeur

2. Utiliser un switch de niveau 3

04/08/2016

230


Router On A Stick

• Nous avons deux PC, dans deux VLANs distincts.

04/08/2016

231


Router On A Stick

• Une deuxième solution existe :

04/08/2016

232


Configuration

• Il faut simplement monter un trunk

• Concernant le routeur, il faut commencer par activer l’interface voulue

04/08/2016

233


Configuration

04/08/2016

234


Configuration

• Il est important de créer le VLAN natif

04/08/2016

235



• Introduction


•Configuration

04/08/2016

236




ConfigurationRouter On A Stick

Routage inter-VLANs

04/08/2016

237


Plan


•Configuration

04/08/2016

238


Configuration

• Il faut simplement monter un trunk

• Concernant le routeur, il faut commencer par activer l’interface voulue

04/08/2016

239


Configuration

04/08/2016

240


Configuration

• Il est important de créer le VLAN natif

04/08/2016

241




•Configuration

04/08/2016

242




Switch de niveau 3Présentation

Routage inter-VLANs

04/08/2016

243


Plan

• Introduction

•Routage inter-VLANs avec un Switch de niveau 3

•Configuration

04/08/2016

244


Introduction

• Tout d’abord, qu’est-ce qu’un switch de niveau 3 ?

• Il s’agit simplement d’un switch capable d’effectuer du routage

• Il faut bien comprendre qu’un switch L3 ne remplace pas complètement un routeur

04/08/2016

245


Introduction• Mais alors quel est l’intérêt des switchs L3 ?

• Tout d’abord le côté performance

• Une topologie Routeur On A Stick, le lien Routeur – Switch aurait (potentiellement) été saturé

• Le coût par port est relativement faible par rapport à un routeur

• Le prix d’un switch L3 est tout de même bien plus élevé que celui d’un switch L2

• En général les switchs L3 sont placés aux niveaux Distribution et Core

04/08/2016

246



• Introduction

•Routage inter-VLANs avec un Switch de niveau 3

•Configuration

04/08/2016

247




Switch de niveau 3Configuration

Routage inter-VLANs

04/08/2016

248


Plan

• Introduction

•Configuration

04/08/2016

249


Configuration

•Création des SVI

• Il faut ensuite active la fonction de routage du switch

04/08/2016

250


Configuration

•Vous pouvez voir les SVI comme ceci

04/08/2016

251


Configuration

•Voici la suite pour S2

04/08/2016

252


Configuration

• Pour le lien S1 – S2, nous allons faire une configuration typique d’un routeur

04/08/2016

253


Configuration

• Enfin, pour le routage entre S1 et S2, nous avons deux options :

• Utiliser des routes statiques

• Utiliser un protocole de routage

04/08/2016

254


Configuration

•Access List

04/08/2016

255



• Introduction

•Configuration

04/08/2016

256




CEF (Cisco Express Forwarding)

Routage inter-VLANs

04/08/2016

257


Plan

• Introduction

•CEF

04/08/2016

258



• CEF est une technologie Cisco pour le switching de niveau 3

• CEF peut être utilisé aussi bien sur un routeur que sur un switch de niveau 3

• CEF permet un routage plus rapide, et consomme moins de CPU

• Le principe est que le routage s’effectue au niveau hardware, et non software

04/08/2016

259



• Deux composants entrent en jeu ici :

• La FIB – Forwarding Information Base

• La Adjacency Table

04/08/2016

260



• Il existe certaines exceptions, à l’utilisation de CEF : dans certains cas, les paquets devront être routés au niveau Software.

• Voici la liste des exceptions :

• Les paquets dont le TTL arrive à 0

• Les paquets avec une option dans l’entête (ex : Traceroute)

• Les paquets qui vont dans un tunnel (ex : VPN, etc…)

• Les paquets avec une encapsulation non supportée

04/08/2016

261



•Pour activer CEF, utiliser la commande suivante

04/08/2016

262



• Introduction

•CEF

04/08/2016

263




Introduction

Redondance de passerelle

04/08/2016

264


Plan

• Introduction

•Les protocoles de redondance de passerelle

04/08/2016

265


Introduction

04/08/2016

266


Les protocoles de redondance de passerelle

•HSRP

•VRRP

•GLBP

04/08/2016

267



•Introduction

•Les protocoles de redondance de passer

04/08/2016

268




Le protocole HSRP


04/08/2016

269


Plan

• Introduction

•Le protocole HSRP

04/08/2016

270


Introduction • HSRP est un protocole Cisco permettant d’assurer la haute

disponibilité de la passerelle d’un réseau

• Ce protocole peut être mis en place sur un routeur ou un switch de niveau 3

• Le but est qu’une éventuelle panne du routeur ne perturbe pas le routage

• Protocole propriétaire Cisco

04/08/2016

271


Le protocole HSRP

04/08/2016

272


Le protocole HSRP

• Nous avons un groupe de routeur (en général 2), dont l’un d’eux est le routeur Actif

• Le routeur de secours sera en Standby. Les autres en mode Listen

• Le routeur actif assure le rôle de passerelle par défaut pour le sous réseau

• S’il vient de tomber en panne, le routeur standby prendra le relai. Puis un des routeurs Listen deviendra le nouveau Standby

04/08/2016

273


Le protocole HSRP

• S1 et S2 sont des switchs de niveau 3

• Si S1 est le switch actif, les PC utiliseront S1 comme Gateway

• Si S1 vient de tomber en panne, S2 prendra le relai, et les PC l’utiliseront comme Gateway

• Le groupe de routeur est appelé Standby Group

04/08/2016

274



• Introduction

•Le protocole HSRP

04/08/2016

275




Fonctionnement du protocole HSRP


04/08/2016

276


Plan

•La priorité

•L’adresse IP virtuelle

•L’adresse Multicast

•Les paquets HSRP

04/08/2016

277


La priorité• Le routeur actif est celui qui a la priorité la plus haute. Le

routeur standby est celui ayant la deuxième meilleure priorité. Les autres routeurs sont en mode Listen

• La priorité va de 0 à 255

• En cas d’égalité sur la priorité, c’est le routeur avec la plus haute IP qui devient actif

04/08/2016

278


La priorité• Tous ces routeurs vont former un groupe. Au sein de ce

groupe, le routeur actif envoie des paquets Hello toutes les 3 secondes. Après 10 secondes sans Hello du routeur actif, il est considéré comme Dead

• C’est alors le routeur standby qui prend le relai, et deviendra Actif

• Le Hold Timer est de 10 secondes, soit 3 * le Hello Timer + 1 seconde

• La seconde bonus permet de s’assurer que 3 Hello Timerscomplets seront attendus avant de mener une action

04/08/2016

279


L’adresse IP virtuelle • Une IP virtuelle sera associée au groupe, et c’est le routeur

actif qui va répondre sur cette IP

• Cette IP virtuelle est celle qui sera utilisée par les hôtes comme IP de Default Gateway

• Pour que les paquets soient envoyés au bon routeur, une adresse Mac virtuelle sera aussi créée

• Le routeur actif va répondre aux requêtes ARP sur l’IP virtuelle, par cette adresse Mac virtuelle

04/08/2016

280


L’adresse Multicast • En version 1, l’adresse de multicast 224.0.0.2 est utilisée par

les routeurs pour discuter

• En version 2, l’IP 224.0.0.102 est utilisée

04/08/2016

281


Les paquet HSRP • L’adresse Mac utilisée sera de ce type:

00:00:0c:07:ac:XX avec XX qui correspond à l’ID du groupe de routeur, en hexadécimal

04/08/2016

282


Les paquet HSRP • Un paquet HSRP se compose de la sorte :

04/08/2016

283


Les paquet HSRP • Le champ Op Code indique le type de message :

• 0 – Hello : envoyé par les routeurs Actif et Standby

• 1 – Coup : envoyé par un routeur qui veut devenir actif

• 2 – Resign : envoyé par un routeur qui ne veut plus être le routeur actif

04/08/2016

284


Les paquets HSRP • Le champ State indique l’état du routeur :

• 0 – Initial : HSRP ne fonctionne pas

• 1 – Learn : IP virtuelle non déterminée et aucun Hello reçu du Active router

• 2 – Listen : IP virtuelle déterminée. Le routeur n’est ni actif ni standby. Il écoute les Hello.

• 4 – Speak : Envoie périodique de Hello. Participe à l’élection du routeur actif

• 8 – Standby : Le routeur est prêt à devenir actif. Il ne peut y avoir qu’un routeur standby par groupe. Des Hello sont envoyés

• 16 – Active : Le routeur assure le rôle de Gateway. Un seul routeur actif par groupe. Des Hello sont envoyés

04/08/2016

285



•La priorité

•L’adresse IP virtuelle


•Les paquets HSRP

04/08/2016

286




Configuration du protocole HSRP


04/08/2016

287


Plan

•Topologie à utiliser

•Configuration du protocole HSRP

04/08/2016

288


Topologie à utiliser

04/08/2016

289


Configuration du protocole HSRP• La configuration de base à mettre en place est la suivante :

• Création des VLANs

• Port Access pour les PCs

• Trunk entre les switchs

04/08/2016

290


Configuration du protocole HSRP• Switch 1 et Switch 2 vont être nos deux switchs L3 qui

feront partie du Standby Group

• Étant donné que nous avons des liens redondants, Spanning Tree va en bloquer certains

• Pour que le lien vers la Gateway soit optimal, nous devons accorder le processus Spanning Tree avec HSRP

04/08/2016

291


Configuration du protocole HSRP• Configuration Spanning Tree

04/08/2016

292


Configuration du protocole HSRP• Nous commencerons par le VLAN 10

04/08/2016

293


Configuration du protocole HSRP• Pour la configuration d’HSRP, nous devons choisir une IP

virtuelle, et une priorité

• Le numéro 1 correspond au numéro du groupe HSRP (Standby Group).

• La priorité de base est de 100. Avec une priorité de 150, S1 deviendra le routeur actif.

04/08/2016

294


Configuration du protocole HSRP• Nous pouvons activer l’option preempt

• Cette option permet au switch actif de reprendre son rôle après une panne. Le routeur Standby qui remplaçait le routeur actif lors d’une panne de ce dernier, retournera en mode standby si le routeur actif revient en ligne.

04/08/2016

295




•Configuration du protocole HSRP

04/08/2016

296




Le protocole VRRP


04/08/2016

297


Plan

• Introduction

•Le protocole VRRP

04/08/2016

298


Introduction • VRRP est très semblable à HSRP, sauf qu’il est standard

• Il y a quelques différences mineures, tels que les Timers qui ont été réduits

• Ces deux protocoles ont pour but de redonder la Gateway d’un sous réseau

• Deux routeurs (ou plus) fonctionneront ensemble

04/08/2016

299


Le protocole VRRP

04/08/2016

300


Le protocole VRRP

• En VRRP, le groupe de routeur est appelé le VRRP group.

• Les routeurs peuvent avoir 2 rôles :

1. Master (Actif en HSRP)

2. Backup (Standby en HSRP)

• Contrairement à HSRP, plusieurs routeurs peuvent avoir le rôle Backup

04/08/2016

301



• Introduction

•Le protocole VRRP

04/08/2016

302




Fonctionnement du protocole VRRP


04/08/2016

303


Plan

•La priorité


•Les paquets HSRP

04/08/2016

304


La priorité• Concernant la priorité, elle est de 100 par défaut. Quand un

routeur devient Master, il annonce une priorité de 255

• En cas d’égalité sur la priorité, c’est le routeur avec la plus haute IP qui devient Master

04/08/2016

305


L’adresse Multicast• Les messages VRRP sont envoyés sur l’IP de

multicast 224.0.0.18

04/08/2016

306


L’adresse Multicast• L’adresse Mac virtuelle de la passerelle est 00-00-5E-00-01-

XX, où XX correspond au numéro du VRRP Group (VRID –Virtual Routeur Identifier)

• Concernant les Timers, nous en retrouvons 3 :

04/08/2016

307


Les paquet VRRP • Un paquet VRRP est composé de la sorte :

04/08/2016

308



•La priorité


•Les paquets HSRP

04/08/2016

309




Configuration du protocole VRRP


04/08/2016

310


Plan


•Configuration du protocole VRRP

04/08/2016

311


Topologie à utiliser

04/08/2016

312


Configuration du protocole VRRP• La configuration va se faire sur des sous interfaces :

04/08/2016

313


Configuration du protocole VRRP• De même pour R2 :

04/08/2016

314


Configuration du protocole VRRP• Le résultat :

R1 est bien le Master

04/08/2016

315


Configuration du protocole VRRP• Appliquons à présent la configuration adéquate pour le VLAN 20 :

04/08/2016

316


Configuration du protocole VRRP• Le résultat :

04/08/2016

317


Configuration du protocole VRRP• De même que pour HSRP, nous pouvons modifier les

Timers

• Un routeur Backup peut être configuré pour apprendre le Timer du Master, mais cela ne fonctionne qu’avec un Timersupérieur ou égal à 1

04/08/2016

318




•Configuration du protocole VRRP

04/08/2016

319




Le protocole GLBP


04/08/2016

320


Plan

• Introduction

•Le protocole GLBP

04/08/2016

321


Introduction • Le but est toujours le même

• Créer de la redondance sur la Gateway, le tout avec au moins deux routeurs

• Sauf que GLBP amène une nouvelle fonctionnalité : le LoadBallancing

• Protocole propriétaire Cisco

04/08/2016

322


Le protocole GLBP

04/08/2016

323


Le protocole GLBP

• R1 sera un AVG (le maitre) et R2 un AVF (esclave)

• PC1 va apprendre l’adresse IP de la Gateway

• Il va ensuite chercher l’adresse MAC associée en envoyant une requête ARP

• R1 va recevoir la requête puis il va répondre avec son adresse MAC virtuelle

• Ensuite, PC2 va faire de même, en envoyant une requête ARP pour la même IP

• R1 va recevoir la requête, puis va répondre avec l’adresse MAC virtuelle de R2

04/08/2016

324


Le protocole GLBP

• Au final, PC1 et PC2 vont utiliser la même IP de Gateway, mais ils n’auront pas la même adresse MAC associée. Ce qui fait qu’ils n’enverront pas les paquets vers le même routeur.

• Les clients enverront donc toujours le trafic au même routeur. Il ne s’agit pas de vrai Load Balancing, mais au moins, nos deux routeurs sont utilisés

• En GLBP il y a une IP virtuelle pour le groupe, et une adresse MAC par routeur

04/08/2016

325



• Introduction

•Le protocole GLBP

04/08/2016

326




Fonctionnement du protocole GLBP


04/08/2016

327


Plan

•Structure de l’adresse Mac en GLBP

•Les rôles GLBP

•Les méthodes de répartition de charges en GLBP

•Les timers en GLBP

•Les états GLBP

04/08/2016

328


Structure de l’adresse Mac en GLBP • L’adresse MAC se compose comme ceci

� XXX correspond au numéro du groupe. Il va de 1 à 1023

� YY correspond au numéro du routeur dans le group

� L’adresse de Multicast utilisée est la suivante : 224.0.0.102

04/08/2016

329


Les rôles GLBP

• En GLBP les routeurs peuvent avoir trois rôles :

• AVG – Active Virtual Gateway

• Standby AVG

• AVF – Active Virtual Forwarders

04/08/2016

330


Les méthodes de répartition de charges en GLBP

• Il existe trois méthodes pour répartir la charge en GLBP :

• Round Robin

• Weighted

• Host-Dependent

04/08/2016

331



• En Round Robin, l’AVG répond aux requêtes ARP en utilisant à tour de rôle les adresses MAC des AVF.� Requête ARP 1 : réponse avec l’adresse MAC de l’AVF 1

� Requête ARP 2 : réponse avec l’adresse MAC de l’AVF 2




� Etc…

04/08/2016

332



• En Weighted, un poids est attribué à chaque AVF. Le poids sera pris en compte dans la réparation de charge :

• Exemple pour 2 AVF, l’AVF 1 avec un poids de 200, et l’AVF 2 avec un poids de 100 :





� Etc…

04/08/2016

333



• Enfin, en Host-Dependent, la même adresse MAC est toujours attribuée au même client.

• Si un client envoie une requête ARP, puis qu’il vide son cache ARP et renvoie une requête, il recevra à nouveau la même adresse MAC de Gateway.

04/08/2016

334


Les timers en GLBP

• En GLBP, il existe 4 Timers :

• Hello

• Holdtime

• Redirect time

• Secondary holdtime

04/08/2016

335


Les timers en GLBP

• En GLBP, il existe 4 Timers :

• Hello

• Holdtime

• Redirect time

• Secondary holdtime

04/08/2016

336


Les états GLBP

• En GLBP, il existe différents états avant de devenir AVG :

� Disabled : L’IP virtuelle n’est pas encore configurée, mais une configuration GLBP existe déjà

� Initial : L’IP virtuelle est configurée, mais la configuration n’est pas complète

� Listen : Le routeur reçoit des paquets Hello, et il est prêt à passer en mode Speak si l’AVG ou le Standby AVG tombe

� Speak : Le routeur tente de devenir AVG ou Standby AVG

� Standby : Le routeur est un Standby AVG. Il deviendra AVG en cas de panne de ce dernier

� Active : Le routeur est l’AVG du groupe

04/08/2016

337


Les états GLBP

• En GLBP, il existe différents états avant de devenir AVF :

�Disable : Le routeur ne connait pas encore son adresse MAC virtuelle

� Initial : L’adresse MAC virtuelle est connue, mais la configuration GLBP n’est pas complète

�Listen : Le routeur reçoit des Hello, et tentera de passera en mode AVF

�Active : Le routeur est un AVF

04/08/2016

338



•Structure de l’adresse Mac en GLBP

•Les rôles GLBP

•Les méthodes de répartition de charges en GLBP

•Les timers en GLBP

•Les états GLBP

04/08/2016

339




Configuration du protocole GLBP


04/08/2016

340


Plan

•Configuration du protocole GLBP

04/08/2016

341


Configuration du protocole GLBP

04/08/2016

342


Configuration du protocole GLBP• Commençons la configuration GLBP

• L’option Preempt permet à un AVG de de redevenir AVG après une panne

• L’option round-robin est la méthode de Load Balancing par défaut

04/08/2016

343


Configuration du protocole GLBP• Faisons de même pour R2

04/08/2016

344


Configuration du protocole GLBP• La première partie concerne l’AVG.

• Nous pouvons voir que R1 est l’AVG

• La deuxième partie concerne les AVF

• Nous pouvons voir qu’il y en a deux

04/08/2016

345


Configuration du protocole GLBP• Test à partir des PCs

04/08/2016

346


Configuration du protocole GLBP• Les tables ARP sur les Pcs

04/08/2016

347



•Configuration du protocole GLBP

04/08/2016

348




Port SecuritySécurité Niveau 2

04/08/2016

349


Plan

• Introduction

• A quoi sert la sécurité de port ?

• Les options de gestion des adresses MAC

• Les options pour la violation de port

• Les moyens de sortir un port du mode Err-Disabled

• Le Port Security Aging

04/08/2016

350


Introduction

•Commençons par la sécurité la plus connue sur les switch : la sécurité de port

•Le but sera ici d’appliquer une restriction en fonction de l’adresse MAC source

04/08/2016

351


A quoi sert la sécurité de port ?

• A limiter le nombre d’adresses MAC dernières un port

• A se protéger du MAC Address Flooding

• A restreindre l’accès à certaines adresses MAC

• A désactiver le port / envoyer des logs en cas de violation

04/08/2016

352


A quoi sert la sécurité de port ?• Tout d’abord, le port doit être en mode Access, car la sécurité de port

se fait sur les ports qui font face à des clients

• Il faut ensuite activer la sécurité de port

• Nous pouvons ensuite limiter le nombre d’adresses MAC par port

04/08/2016

353


Les options de gestion des adresses MAC

• Il y a trois options de gestion des adresses MAC :

• Dynamique

• Static

• Sticky

04/08/2016

354



• Configuration Static

• Configuration Sticky

04/08/2016

355



• L’adresse MAC sera retenue dans la configuration comme ceci :

04/08/2016

356


Les options pour la violation de port

• Il existe 3 options pour la violation de port :

• Shutdown

• Protect

• Restrict

04/08/2016

357


Les moyens de sortir un port du mode Err-Disabled

• Il y a deux moyens de sortir un port du mode Err-Disabled :

1. Soit en allant sur le port et en faisant un Shutdown puis No-Shutdown

2. Soit en configurant le port pour qu’il remonte au bout d’un certain temps

Le port va se réactivera au bout de 60 secondes

04/08/2016

358


Le Port Security Aging

• Le Port Security Aging permet d’oublier les adresses Mac après un certain temps :

• Ici, 60 est le temps en minutes

• Il existe 2 Types :

1. Inactivity : l’adresse Mac est supprimée si elle est inactive pour le temps spécifié

2. Absolute : l’adresse Mac est supprimée après le temps spécifié

04/08/2016

359



• Introduction

• A quoi sert la sécurité de port ?

• Les options de gestion des adresses MAC

• Les options pour la violation de port

• Les moyens de sortir un port du mode Err-Disabled

• Le Port Security Aging

04/08/2016

360




Configuration duPort Security

Sécurité Niveau 2

04/08/2016

361


Plan

• Introduction


04/08/2016

362


Topologie a utiliser

04/08/2016

363



• Introduction


04/08/2016

364




AAA et 802.1XSécurité Niveau 2

04/08/2016

365


Plan

•Introduction

•Architecture 802.1X

•AAA

•Configuration

04/08/2016

366


Introduction

• 802.1x est un standard permettant d’améliorer la sécurité de notre réseau

• Le principe est simple, quand l’utilisateur se connecte au réseau, un Login / MDP va lui être demandé

• Cela peut être valable pour les connexions Wifi (le plus courant) et / ou pour les connexions Ethernet

04/08/2016

367


Architecture 802.1X

• Le plus souvent, le 802.1x est utilisé sur les réseaux Wifi. Au lieu d’une clé wifi, l’utilisateur doit fournir ses identifiants

• Dans un réseau sans fil, WPA Entreprise implémente 802.1x

• L’authentification de l’utilisateur se fera sur un serveur Radius

04/08/2016

368


AAA

04/08/2016

369


AAA• Il existe 3 rôles en 802.1x :

1. Supplicant : la machine connectée à un port access, qui a besoin de s’authentifier

2. Authenticator : l’équipement (switch ou borne wifi) qui contrôle l’accès au réseau

3. Network Authentication Server : serveur qui sera interrogé pour l’authentification des utilisateurs

04/08/2016

370


Configuration• Premièrement, il faut activer le AAA – Authentication Authorization

Accounting sur notre switch

• Il nous faut spécifier l’adresse et la clé du serveur RADIUS

04/08/2016

371


Configuration• Nous pouvons ensuite configurer AAA pour qu’il utilise RADIUS lors des

authentifications 802.1x

• Il faut ensuite activer 802.1x sur le switch

04/08/2016

372


Configuration• Puis il faut configurer les ports

• Pour la configuration du port, nous avons trois options

04/08/2016

373


Configuration• Le mode Auto permet l’authentification.

• Le mode Force-authorized ne demande pas d’authentification. Le port est mis à l’état autorisé. Cette configuration est utile pour les ports sur lesquels des serveurs sont connectés. C’est le mode par défaut sur les ports.

• Le mode Force-unauthorized met automatiquement le port en mode non autorisé. Les hôtes qui s’y connectent n’auront pas accès au réseau, ou alors simplement au VLAN invité.

04/08/2016

374


Configuration• Il est aussi possible de contrôler le nombre de tentative

d’authentification

• Les utilisateurs qui ne peuvent pas s’authentifier peuvent être placés dans un VLAN invité

04/08/2016

375



• Introduction

•Architecture 802.1X

•AAA

•Configuration

04/08/2016

376




Les Private VLANSécurité Niveau 2

04/08/2016

377


Plan

• Introduction

• Les VLANs Primary et Secondary

• Les VLANs Isolated et Community

• Les modes Host et promoscious

• Configuration

04/08/2016

378


Introduction • Le Private VLAN a été inventé afin d’isoler les hôtes au niveau 2

• Parfois, l’utilisation des VLAN devient abusive

• Imaginons le cas où nous avons 10 serveurs à connecter au réseau, et que ces serveurs ne doivent pas pouvoir discuter entre eux (cas typique d’une DMZ)

• Ou encore que nous souhaitions faire un réseau invité, ou les machines ne peuvent joindre que la passerelle

• Il nous faudrait alors 1 VLAN par machine

• Il en découlera alors une création de très nombreux sous réseau, et un gaspillage d’adresses relativement important

04/08/2016

379


Les VLANs Primary et Secondary

• L’idéal serait d’avoir un VLAN (et donc un sous réseau), dans lequel les utilisateurs ne peuvent pas discuter

• C’est ce que permettent les PVLAN

• PVLAN se compose d’une association de VLAN :

• Un VLAN Primary

• Un ou plusieurs VLAN Secondary

04/08/2016

380


Les VLANs Isolated et Community

• Le VLAN Secondary peut être de deux types :

1. Isolated : les membres de ce VLAN ne peuvent pas communiquer entre eux

2. Community : les membres de ce VLAN peuvent communiquer entre eux

04/08/2016

381


Les modes Host et promoscious

• Enfin, le port d’un switch peut fonctionner dans l’un des deux modes suivants :

1. Host : Le port a un comportement qui découle du type de PVLAN auquel il est associé (Isolated ou Community)

2. Promiscuous : le port peut communiquer avec les ports membres du même VLAN

04/08/2016

382


Les modes Host et promoscious

04/08/2016

383


Configuration• Avant toute chose assurez-vous que le switch est en mode VTP

transparent :

• Ensuite, créer les VLANs

04/08/2016

384


Configuration• Avant toute chose assurez-vous que le switch est en mode VTP

transparent :

• Ensuite, créer les VLANs

04/08/2016

385


Configuration• Ensuite, nous pouvons associer les ports aux PVLAN :

04/08/2016

386


Configuration• Pour l’association, il faut d’abord spécifier le PVLAN Primary, et ensuite

le PVLAN auquel appartient le port :

04/08/2016

387



• Introduction

• Les VLANs Primary et Secondary

• Les VLANs Isolated et Community

• Les modes Host et promoscious

• Configuration

04/08/2016

388




DHCP SnoopingSécurité Niveau 2

04/08/2016

389


Plan

•Introduction

•Configuration

04/08/2016

390


Introduction

• Le DHCP Snooping est une fonctionnalité qui permet d’améliorer la sécurité d’une infrastructure utilisant un DHCP

• DHCP Snooping permet de :

• Choisir les ports derrière lesquels peut se trouver un DHCP

• S’assurer que les hôtes utilisent l’IP qui leur a été associée

• Définir un maximum de requêtes DHCP par port

• Etc…

04/08/2016

391


Configuration• Pour choisir les ports de confiance, la configuration est simple :

• Seul un DHCP placé derrière le port Fa 0/1 pourra répondre aux requêtes

• Le DHCP Snooping ne sera effectué que sur le VLAN 99

• Avec DHCP Snooping, le switch va remplir une table de correspondance indiquant quelle IP a été assignée à quelle adresse MAC sur quel port

04/08/2016

392


Configuration

• Voici la table de correspondance (après qu’un client ai fait une requête DHCP) :

04/08/2016

393



•Introduction

•Configuration

04/08/2016

394




Les VACLSécurité Niveau 2

04/08/2016

395


Plan

•Introduction

•Configuration

04/08/2016

396


Introduction

• Les VACL ou Vlan ACL sont des Access List à appliquer sur des VLAN

• Elles se configurent sur un switch

• A la différence des ACL classiques qui s’appliquent sur un routeur, et qui ne peuvent que filtrer entre les VLAN, les VACL permettent de filtrer le trafic au sein d’un même VLAN

04/08/2016

397


Introduction • PC 1 et PC 2 sont dans le même VLAN

• A l’aide d’une VACL, nous pouvons empêcher les PC de s’envoyer des Ping

04/08/2016

398


Configuration• La configuration est un peu plus compliquée que pour une ACL

standard

• Nous pouvons ensuite créer la VACL

04/08/2016

399


Configuration• Ici nous faisons référence à l’ACL 100, qui capte le traffic ICMP voulu

• Etant donné qu’il y a un implicite “Drop” à la fin, nous devons rajouter un Forward

04/08/2016

400


Configuration• Testons la configuration

• Du PC 1 nous envoyons un Ping à PC 2 :

04/08/2016

401



•Introduction

•Configuration

04/08/2016

402



Conclusion de la FormationCCNP SWITCH (300-115)


04/08/2016

403


Ce qu’on a couvert• Cisco Entreprise Composite Network

1. Introduction

2. Entreprise Campus

3. Entre Edge

• Vlan et Trunk

1. Le port trunk

2. Configuration du trunk

3. Vlan Natif

4. Mode de fonctionnement d’un port

• Le protocole VTP

1. Introduction

2. Les modes VTP

3. Fonctionnement VTP

4. Les messages VTP

5. VTP Prunning

6. Configuration VTP

• Spanning Tree

1. Introduction

2. Processus Spanning Tree

3. Per Vlan Spanning Tree


5. Spanning Tree Portfast

6. Spanning Tree BPDU Guard

7. Uplink et Backbone Fast

8. Le rapid Spanning Tree


10. Le Multiple Spanning Tree

11. Configuration MSTP

• Etherchannel

1. Introduction

2. Fonctionnement Etherchannel

3. Configuration Etherchannel

4. Load Ballancing

5. Agregation niveau 3

04/08/2016

404


Ce qu’on a couvert• Routage Inter Vlan

1. Router On stick

2. Configuration Router On stick

3. Routage Inter Vlan avec un Switch niveau 3

4. Configuration du Routage Inter Vlan avec un Switch niveau 3

5. CEF

• Redondance de passerelle

1. Introduction

2. Le protocole HSRP

3. Fonctionnement du protocole HSRP

4. Configuration du protocole HSRP

5. Le protocole VRRP

6. Fonctionnement du protocole VRRP

7. Configuration du protocole VRRP

8. Le protocole GLBP

9. Fonctionnement du protocole GLBP

10. Configuration du protocole GLBP

• Sécurité niveau 2

1. Port Security

2. Configuration du Port Security

3. AAA et 802.1X

4. Private Vlan

5. DHCP Snooping

6. VACL

04/08/2016

405


Les cours pour la certification CCNP

• Switch

• Route

• Tshoot

04/08/2016

406


Prochaine formation• Cisco CCNP TSHOOT (examen 642-832)

� Layer 2 switching

� VLANs, VLAN access control lists, port security

� Switch security issues

� Link aggregation protocols

� STP

� Inter-VLAN routing solutions

� FHRPs, including HSRP, VRRP, and GLBP

� Branch office operations

� EIGRP

� OSPF

� Layer 3 path control

� Redistribution

� BGP

� IPv6 Networking

04/08/2016

407


A bientôt ☺

Keep in touch !

E-mail : [email protected] : https://www.linkedin.com/in/baik-redouane-843631a/fr

Technology

Alphorm.com Support de la Formation Cisco CCNP SWITCH (examen 300-115)