Resume Theorique m201 V1!0!62f6e7977fea0
Resume Theorique m201 V1!0!62f6e7977fea0
Resume Theorique m201 V1!0!62f6e7977fea0
42 heures
1. Maîtriser les Concepts de commutation
• Configurer les périphériques réseaux
• Appliquer les Concepts de commutation
• Mettre en œuvre des VLAN
2. Etablir un réseau d’entreprise évolutif
SOMMAIRE •
•
Etudier l’évolutivité du réseau
Implémenter la redondance dans les réseaux commutés
sans boucle
• Configurer l'agrégation des liaisons
• Comprendre le concept du FHRP
3. Mettre en œuvre les protocoles de configuration dynamique
• Comprendre le fonctionnement de DHCPv4
• Comprendre le fonctionnement de SLAAC et DHCPv6
4. Sécuriser un réseau local
• Sécuriser la couche 2 du réseau LAN
• Concevoir et sécuriser un réseau local sans fil
5. Mettre en œuvre le routage d’un réseau d’entreprise
• Comprendre le Concepts de routage
• Implémenter le protocole OSPF à zone unique et multiple
• Implémenter le protocole BGP
6. Gérer la connectivité des réseaux d’entreprise
• Étudier les réseaux étendus
• Sécuriser l’accès aux réseaux
• Mettre en place un système de gestion et de supervision
des réseaux
7. Mettre en place une solution VOIP
• Présentation de la Téléphonie classique
• Décrire l'architecture VOIP
MODALITÉS PÉDAGOGIQUES
1 2 3 4 5
LE GUIDE DE LA VERSION PDF DES CONTENUS DU CONTENU DES RESSOURCES
SOUTIEN Une version PDF TÉLÉCHARGEABLES INTERACTIF EN LIGNES
Il contient le est mise en ligne Les fiches de Vous disposez de Les ressources sont
résumé théorique sur l’espace résumés ou des contenus consultables en
et le manuel des apprenant et exercices sont interactifs sous synchrone et en
travaux pratiques formateur de la téléchargeables forme d’exercices asynchrone pour
plateforme sur WebForce Life et de cours à s’adapter au
WebForce Life utiliser sur rythme de
WebForce Life l’apprentissage
5 heures
CHAPITRE 1
Configurer les périphériques réseaux
2 heures
CHAPITRE 1
Configurer les périphériques réseaux
LED du commutateur
Lumière éteinte Vert Vert, clignotant Orange Orange, clignotant Vert/Orange en alternance
RPS RPS est éteinte/Pas de Prêt pour RPS RPS est activé mais RPS secours ou défaut l'alimentation interne a été défaillant, le relais de S/O
RPS pas disponible l'alimentation RPS
Fonctionnalités Non sélectionné, aucun Sélectionné S. o. S. o. Non sélectionné, problèmes de port présents S. o.
PARTIE 1
problème
Lorsque le mode nommé est sélectionné, le LED associé à chaque port physique indique:
STAT Aucun lien ou arrêt Liaison active Activité Port bloqué empêchant la boucle Port bloqué empêchant la boucle Liaison défectueuse
Fonctionnalités PoE désactivé PoE activé S. o. PoE désactivé Le mode PoE est désactivé en raison d'une erreur. PoE refusé (dépassement du budget)
La ligne de commande du bootloader prend en charge des commandes qui permettent de formater le système de fichiers Flash, de réinstaller le système d'exploitation et de
récupérer un mot de passe perdu ou oublié. Par exemple, la commande dir peut être utilisée pour afficher la liste des fichiers dans un dossier spécifique.
PARTIE 1
• Les communications duplex intégrale simultanées augmentent la bande passante réelle, car les deux extrémités de la connexion transmettent et reçoivent simultanément des
données.
• Contrairement à la communication Full-duplex, la communication Half-duplex est unidirectionnelle. La communication en Half-duplex pose des problèmes de performance car les
données ne peuvent circuler que dans un seul sens à la fois, ce qui entraîne souvent des collisions.
Remarque: Des paramètres incorrects relatifs au mode duplex ou au débit peuvent entraîner des problèmes de connectivité.
PARTIE 1
▪ Auto-MDIX
• Lorsque la fonction auto-MDIX (automatic medium-dependent interface crossover) est activée, l'interface du commutateur détecte automatiquement le type de connexion de
câble requis (droit ou croisé) et configure la connexion de manière appropriée.
• Lorsque la fonction Auto-MDIX est utilisée sur une interface, la vitesse et le mode duplex de celle-ci doivent être réglés sur auto afin que le système fonctionne correctement.
• Pour examiner le paramètre Auto-MDIX pour une interface spécifique, utilisez la commande show controllers ethernet-controller avec le mot-clé phy .
• Pour limiter la sortie aux lignes référençant Auto-MDIX, utilisez le filtre Inclut Auto-MDIX
Nombre total d'erreurs. Elles comprennent les trames incomplètes, trames géantes, pas de mémoire tampon, CRC, trame, débordement et comptes
Erreurs en entrée
ignorés.
Paquets éliminés car ils sont inférieurs à la taille de paquet minimale définie pour le support. Par exemple, toute trame Ethernet inférieure à 64 octets
Trames incomplètes
est considérée comme incomplète.
Paquets éliminés car ils sont supérieurs à la taille de paquet maximale définie pour le support. Par exemple, toute trame Ethernet supérieure à 1518
Trames géantes
octets est considérée comme «géante».
CRC Les erreurs CRC sont générées lorsque la somme de contrôle calculée ne correspond pas à la somme de contrôle reçue.
Erreurs en sortie Somme de toutes les erreurs ayant empêché la transmission finale des datagrammes vers l'interface examinée.
PARTIE 1
Il existe plusieurs commandes show qui permettent de vérifier le fonctionnement et la configuration d'une interface.
Affiche les commandes appliquées à l'interface spécifiée. R# show running-config interface [interface-id]
Affiche le contenu de la table de routage IPv4/IPv6 stocké dans la mémoire
R# show ip route OU R# show ipv6 route
vive.
PARTIE 1
1 heures
CHAPITRE 2
Appliquer les Concepts de commutation
1. Concepts de commutation
02 -Appliquer les Concepts de commutation
Concepts de commutation
Transfert de trame
Deux termes sont associés à des trames entrant ou sortant d'une interface:
• Ingress (entrer) - entrer dans l'interface
• Egress (sortie) — sortie de l'interface
Un commutateur pour transfert basé sur l'interface d'entrée et l'adresse MAC de destination.
Un commutateur utilise sa table d'adresses MAC pour prendre des décisions de transmission.
Remarque: Un commutateur ne permettra jamais de transférer le trafic sur l'interface où il a
reçu le trafic.
Les commutateurs utilisent des logiciels sur des circuits intégrés spécifiques à l'application (ASIC) pour prendre des décisions très rapides.
Un commutateur utilisera l'une des deux méthodes pour prendre des décisions de transfert après avoir reçu une trame:
• Commutation de stockage et de transfert
• Commutation par coupure (cut-through)
PARTIE 1
Commutation de trame
Domaines de collision
Les commutateurs éliminent les domaines de collision et réduisent la congestion.
• Lorsqu'il y a duplex intégral sur le lien, les domaines de collision sont éliminés.
• Lorsqu'il y a un ou plusieurs périphériques en semi-duplex, il y aura désormais un domaine de collision.
• Il y aura maintenant un conflit pour la bande passante.
• Les collisions sont maintenant possibles.
• La plupart des appareils, y compris Cisco et Microsoft, utilisent l'auto-négociation comme paramètre par défaut pour le duplex et la vitesse.
PARTIE 1
Domaines de diffusion
• Un domaine de diffusion s'étend sur tous les périphériques de couche 1 ou 2 d'un réseau local.
• Seul un périphérique de couche 3 (routeur) brisera le domaine de diffusion, également appelé domaine de diffusion MAC.
• Le domaine de diffusion MAC est constitué de tous les périphériques du réseau local qui reçoivent les trames de diffusion provenant d'un hôte.
• Trop de diffusions peuvent causer de la congestion et des performances réseau médiocres.
PARTIE 1
Caractéristiques Fonction
Vitesse de port rapide Selon le modèle, les commutateurs peuvent avoir des vitesses de port allant jusqu'à 100 Gbit/s.
Commutation interne rapide Cela utilise un bus interne rapide ou une mémoire partagée pour améliorer les performances.
Grands tampons de trame Cela permet un stockage temporaire lors du traitement de grandes quantités de trames.
Nombre de ports élevé Cela fournit de nombreux ports pour les périphériques à connecter au réseau local à moindre coût. Cela permet
également d'augmenter le trafic local avec moins de congestion.
PARTIE 1
2 heures
CHAPITRE 3
Mettre en œuvre des VLAN
Avantages Description
Domaines de Diffusion Plus Petits La division du réseau local réduit le nombre de domaines de diffusion
PARTIE 1
Sécurité optimisée Seuls les utilisateurs du même VLAN peuvent communiquer ensemble
Efficacité accrue des IT Les VLAN peuvent regrouper des appareils ayant des exigences similaires, par exemple professeurs contre étudiants
Réduction des coûts Un commutateur peut prendre en charge plusieurs groupes ou VLAN
Meilleures performances Les domaines de diffusion plus petits réduisent le trafic et améliorent la bande passante
Gestion simplifiée Des groupes similaires auront besoin d'applications similaires et d'autres ressources réseau
Remarque : Bien que nous ne puissions pas supprimer VLAN1, il est recommandé d'attribuer ces
caractéristiques par défaut à d'autres VLAN
o VLAN de données
• Dédié au trafic généré par l'utilisateur (trafic e-mail et web).
• VLAN 1 est le VLAN de données par défaut car toutes les interfaces sont attribuées à ce VLAN.
o VLAN natif
• Ceci est utilisé uniquement pour les liaisons de trunk.
PARTIE 1
• Toutes les trames sont marquées sur une liaison de trunk 802.1Q, à l'exception de celles sur le VLAN
natif.
o VLAN de gestion
• Ceci est utilisé pour le trafic SSH/TelNet VTY et ne doit pas être transporté avec le trafic d'utilisateur final.
Tâche Commande
PARTIE 1
▪ Suppression de VLAN
• Supprimez les VLAN avec la commande no vlan vlan-id .
• Attention: Avant de supprimer un VLAN, réaffectez tous les ports membres à un autre VLAN.
• Supprimez tous les VLAN avec les commandes delete flash:vlan.dat ou delete vlan.dat .
• Rechargez le commutateur lors de la suppression de tous les VLAN.
PARTIE 1
• Remarque: Pour restaurer la valeur par défaut d'usine, débranchez tous les câbles de données, effacez la configuration de démarrage et supprimez le fichier vlan.dat, puis rechargez
le périphérique.
Le protocole VTP
Le protocole VTP permet de diffuser la déclaration des VLANs pour les ports trunk sur l'ensemble du réseau en réalisant une administration centralisée de ceux-ci. Ce protocole est
propriétaire CISCO. Il fonctionne avec une architecture client serveur.
Le serveur tient à jour une table de VLANs déclarés. Cette table est diffusée à l'ensemble des clients étant sur le même domaine VTP. De ce fait chaque modification de la table est
répercutée à l'ensemble des clients. Ainsi tous les VLANs définis sur le serveur pourront transiter par l'ensemble des ports trunk des switchs clients (sauf configuration contraire sur les
interfaces).
Les matériels peuvent être en mode :
- Server : Il est associé à un domaine VTP. La déclaration des VLANs s'effectue sur le serveur. Il tient à jour la liste des VLANs déclarés et la diffuse à l'ensemble des clients.
- Client : Il est associé à un domaine VTP. Il reçoit la liste des VLANs, il la propage aux autres clients auxquels il est connecté et met à jour sa propre liste.
- Transparent : Il est associé à aucun domaine VTP. Sa liste de VLAN est locale et n'est pas mis à jour lorsqu'il reçoit une trame VTP. Cependant il propage les listes de VLAN qu'il reçoit.
- VTP password : il est possible d'indiquer un mot de passe sur le serveur pour le domain VTP. Dans ce cas les clients ne peuvent se mettre à jour que s'ils ont le même mot de passe. Ceci
permet de déjouer les attaques consistant pour un pirate à se faire passer pour le VTP serveur.
- VTP prunning : le VTP prunning permet d'optimiser le protocole VTP en ne déclarant les VLANs que sur les ports trunk ou cela est nécessaire et utile.
PARTIE 1
• La première solution de routage inter-VLAN reposait sur l'utilisation d'un routeur avec plusieurs interfaces Ethernet. Chaque interface de routeur était connectée à un port de
commutateur dans différents VLANs. Les interfaces de routeur ont servi de passerelles par défaut vers les hôtes locaux du sous-réseau VLAN.
• L'ancien routage inter-VLAN utilisant des interfaces physiques fonctionne, mais il présente une limitation importante. Il n'est pas raisonnablement évolutif car les routeurs ont un
nombre limité d'interfaces physiques. La nécessité de posséder une interface de routeur physique par VLAN épuise rapidement la capacité du routeur.
Remarque : Cette méthode de routage inter-VLAN n'est plus implémentée dans les réseaux commutés et est incluse à des fins d'explication uniquement.
PARTIE 1
• Ils sont beaucoup plus rapides que les routeurs on-a-stick car tout est commuté et acheminé par le
matériel.
• Il n'est pas nécessaire d'utiliser des liaisons externes entre le commutateur et le routeur pour le routage.
• Ils ne sont pas limités à une liaison, car les canaux EtherChannels de couche 2 peuvent être utilisés
comme liaisons de trunk entre les commutateurs pour augmenter la bande passante.
• La latence est bien plus faible, car les données n'ont pas besoin de quitter le commutateur pour être
acheminées vers un autre réseau.
PARTIE 1
• Ils sont plus souvent déployés dans un réseau local de campus que les routeurs.
Le seul inconvénient est que les commutateurs de couche 3 sont plus chers.
Problèmes de port de trunk de • Assurez-vous que les trunks sont correctement configurés. show interface trunk
commutateur • Assurez-vous que le port est un port de trunk et activé. show running-config
commutateur
• L'hôte n'est pas correctement configuré dans le mauvais sous-réseau. ipconfig
• L'adresse IPv4 de la sous-interface du routeur est mal configurée. show ip interface brief
Problèmes de configuration du routeur
• La sous-interface du routeur est attribué à l'ID du VLAN. show interfaces
Option Description
accès Mode d'accès permanent et négocie pour convertir le lien voisin en un lien d' accès
Dynamique Automatique l'interface devient un trunk si l'interface voisine est configurée en mode trunk inconditionnel ou souhaitable.
PARTIE 1
dynamique souhaitable Cherche activement à devenir un trunk en négociant avec d'autres interfaces automatiques ou souhaitables
trunk Mode de trunking permanent avec négociation pour convertir le liaison voisin en liaison trunk
Utilisez la commande de configuration d'interface switchport nonegotiate pour arrêter la négociation DTP.
6 heures
CHAPITRE 1
Etudier l’évolutivité du réseau
1.5 heures
CHAPITRE 1
Etudier l’évolutivité du réseau
L'évolutivité de réseau
L'évolutivité est le terme d'un réseau qui peut se développer sans
perdre la disponibilité et la fiabilité.
Les concepteurs de réseaux doivent élaborer des stratégies pour
permettre au réseau d'être disponible et de s'étendre efficacement
et facilement.
Ceci est accompli en utilisant:
• Redondance
• Liens multiples
• Protocole de routage évolutif
• Connectivité sans fil
PARTIE 2
Liens multiples
L'agrégation de liens (comme EtherChannel) permet à un administrateur d'augmenter le volume de bande passante entre les appareils en créant un lien logique constitué de plusieurs
liens physiques.
PARTIE 2
Des protocoles de routage avancés, tels que l'OSPF (Open Shortest Path First) , sont utilisés dans les grands réseaux.
PARTIE 2
Conception hiérarchique
Un réseau bien conçu contrôle le trafic et limite la taille des domaines de défaillance.
Les routeurs, ou les commutateurs multicouches, sont généralement déployés par paires dans
une configuration appelée bloc de commutateur de bâtiment ou de service.
PARTIE 2
▪ Commutateurs Cisco
Les commutateurs LAN Campus (série Cisco Les commutateurs d'accès géré dans le cloud Meraki de La plate-forme Cisco Nexus encourage
3850) illustrée ici, prennent en charge des Cisco permettent l'empilage virtuel des commutateurs. l'évolutivité de l'infrastructure, la continuité
Ils permettent de surveiller et de configurer des milliers opérationnelle et la flexibilité du transport
concentrations élevées de connexions utilisateur
de ports de commutation sur le web, sans aucune dans le data center.
avec une vitesse et une sécurité appropriées intervention du personnel informatique sur le site.
pour le réseau d'entreprise.
PARTIE 2
Pour sélectionner un commutateur, les administrateurs réseau doivent déterminer ses facteurs de forme, Cela comprend la configuration fixe, la configuration modulaire, empilable ou
non empilable
PARTIE 2
▪ Densité du ports
La densité de ports d'un commutateur fait référence au nombre de ports disponibles sur un commutateur unique.
▪ La commutation multicouche
Les commutateurs multicouches sont généralement déployés dans les couches principales et de distribution du réseau commuté d'une entreprise.
PARTIE 2
• Ils prennent en charge certains protocoles de routage et transmettent les paquets IP à un rythme proche de celui de la transmission de la couche 2.
• Les commutateurs multicouches prennent souvent en charge du matériel spécialisé, tels que des circuits intégrés spécifiques ASIC (Application Specific Integrated Circuits).
• Les ASIC, associés à des structures de données logicielles dédiées, peuvent rationaliser le réacheminement de paquets IP indépendamment du processeur.
Considération Description
Le coût d'un commutateur dépend du nombre et de la rapidité des interfaces, des fonctionnalités prises en charge et de sa capacité
Coût
d'extension.
Densité des ports Les commutateurs de réseau doivent prendre en charge le nombre approprié d'appareils sur le réseau.
Il est maintenant courant d'alimenter les points d'accès, les téléphones IP et les commutateurs compacts par l'intermédiaire de
Alimentation l'alimentation par Ethernet (PoE).
Outre les aspects PoE, certains commutateurs sur châssis prennent en charge des alimentations redondantes.
Vitesse du port La vitesse de la connexion au réseau est une préoccupation essentielle des utilisateurs finaux.
Il est important qu'un commutateur enregistre les trames, dans les réseaux susceptibles d'encombrement des ports vers des serveurs ou
PARTIE 2
Tampons de trames
d'autres parties du réseau.
Le nombre d'utilisateurs d'un réseau évolue généralement au fil du temps ; le commutateur doit donc comporter des possibilités de
Évolutivité
croissance.
Les routeurs utilisent la partie du réseau (préfixe) de l’adresse IP de destination pour envoyer des paquets vers la destination appropriée.
• Ils choisissent un chemin alternatif si un lien tombe en panne.
• Tous les hôtes d'un réseau local spécifient dans leur configuration IP l'adresse IP de l'interface du routeur local comme leur passerelle par défaut.
▪ Routeurs Cisco
Les routeurs de filiale, illustrés dans la figure, optimisent les services des filiales sur une plate-forme unique tout en offrant une expérience applicative optimale dans les infrastructures
des filiales et du réseau étendu. Les routeurs de la série 4000 de Cisco ISR (Integrated Services Router) sont présentés.
PARTIE 2
2.5 heures
CHAPITRE 2
Implémenter la redondance dans les
réseaux commutés sans boucle
3 heures
02 - Implémenter la redondance dans les
réseaux commutés sans boucle
Concepts du protocole Spanning Tree (STP)
1 Gbit/s 4 20000
100 Mbit/s 19 200000
10 Mbit/s 100 2000000
• Minuteur Hello -Le minuteur Hello est l'intervalle entre les BPDU. La valeur par défaut est 2 secondes, mais les valeurs autorisées peut être modifier entre 1 et 10 secondes.
• Minuteur Forward Delay -Le minuteur Forward Delay est le temps passé à l'état d'écoute et d'apprentissage. La valeur par défaut est de 15 secondes mais peut être modifiée entre 4 et 30 secondes.
• Minuteur Max Age -Le minuteur Max Age est la durée maximale d'attente d'un commutateur avant de tenter de modifier la topologie STP. La valeur par défaut est 20 secondes mais peut être
modifiée entre 6 et 40 secondes.
.
PARTIE 2
Transmission de trames de
État du port BPDU Table d'adresses MAC
données
Blocage Uniquement Recevoir Pas de mise à jour Non
STP peut être configuré pour fonctionner dans un environnement comportant plusieurs VLAN. Dans les versions de protocole PVST (Per-VLAN Spanning Tree) de STP, un pont racine est
déterminé pour chaque instance Spanning Tree. Il est possible de disposer de plusieurs ponts racine distincts pour différents ensembles de réseaux VLAN. STP exploite une instance
distincte de STP pour chaque VLAN individuel. Si tous les ports de tous les commutateurs sont membres de VLAN 1, il n'y aura qu'une seule instance Spanning Tree.
Multiple Spanning Tree (MST) est l'implémentation Cisco de MSTP, elle fournit jusqu'à 16 instances du protocole RSTP et allie plusieurs VLAN avec la même
MST topologie physique et logique au sein d'une instance courante du protocole RSTP. Chaque instance prend en charge PortFast, la protection BPDU, le filtre BPDU, la
protection de racine et la protection de boucle.
Remarque: Rapid PVST+ est l'implémentation de Cisco du protocole RSTP par VLAN. En utilisant le protocole Rapid PVST+ une instance indépendante s'exécute sur chaque VLAN.
3 heures
02 - Implémenter la redondance dans les
réseaux commutés sans boucle
Configuration du protocole STP
Etape 6 un port d’un commutateur IEEE 802.1D hérité, redémarrez le processus de migration de protocole sur l’ensemble du commutateur.
Cette étape est facultative si le commutateur désigné détecte que ce commutateur exécute rapidement PVST+.
show spanning-tree summary
Etape 7 and Vérifier les entrées
show spanning-tree interface interface-id
copy running-config startup-config
Etape 8 (Facultatif) Enregistrer les entrées dans le fichier de configuration.
Configurer le mode d’arbre recouvrant du protocole rapid PVST+.. Switch(config)# spanning-tree mode rapid-pvst
Choisissez un VLAN natif autre que le VLAN 1. Switch(config-if)# spanning-tree link-type point-to-point
Indiquez la liste des VLAN autorisés sur la liaison trunk. Switch(config-if)# switchport trunk allowed vlan vlan-list
1 heures
CHAPITRE 3
Configurer l'agrégation des liaisons
1. Fonctionnement d'EtherChannel
2. Configuration d’EtherChannel
03 - Configurer l'agrégation des liaisons
Fonctionnement d'EtherChannel
Technologie EtherChannel
EtherChannel est une technologie d’agrégation de liens qui permet d’assembler plusieurs liens physiques Ethernet identiques en un seul lien logique.
Le but est d’augmenter la vitesse et la tolérance aux pannes entre les commutateurs, les routeurs et les serveurs. Elle permet de simplifier une topologie Spanning-Tree en diminuant le
nombre de liens.
EtherChannel est principalement utilisé sur la dorsale du réseau local, dans le “switch block” entre la couche Access et Distribution, mais on peut aussi l’utiliser pour connecter des postes
d’utilisateurs, des serveurs.
PARTIE 2
Technologie EtherChannel
▪ Avantages de l'EtherChannel
La technologie EtherChannel présente de nombreux avantages, dont les suivants:
• La plupart des tâches de configuration peuvent être réalisées sur l'interface EtherChannel plutôt que sur chaque port.
• Il n'est pas nécessaire de mettre à niveau la liaison vers une connexion plus rapide et plus coûteuse pour avoir davantage de bande passante.
• L'équilibrage de la charge se fait entre les liaisons appartenant au même EtherChannel.
• EtherChannel crée une agrégation considérée comme une seule liaison logique.
• EtherChannel offre de la redondance car la perte d'un lien physique dans le canal ne crée pas de changement dans la topologie.
• Le commutateur Cisco Catalyst 2960 de couche 2 prend actuellement en charge jusqu'à six canaux EtherChannels.
• La configuration de chaque port du groupe EtherChannel doit être cohérente sur les deux périphériques.
• Une configuration appliquée à l'interface de canal de port affecte toutes les interfaces physiques attribuées à cette interface.
Des EtherChannels peuvent être formés par négociation en utilisant l'un des deux protocoles, PAgP ou LACP.
Ces protocoles permettent à des ports ayant des caractéristiques similaires de former un canal grâce à une négociation dynamique avec les commutateurs attenants.
PAgP : (prononcé "Pag - P") est un protocole propriétaire de Cisco qui aide à la création automatique de liens EtherChannel.
LACP : fait partie d'une spécification IEEE (802.3ad) qui permet de regrouper plusieurs ports physiques pour former un seul canal logique. Il assure une fonction semblable à celle de PAgP
avec Cisco EtherChannel. LACP étant une norme IEEE, il peut être utilisé pour faciliter les EtherChannel dans des environnements multifournisseurs.
PARTIE 2
Remarque: Il est également possible de configurer une liaison EtherChannel statique ou inconditionnel sans PAgP ou LACP.
Fonctionnement de PAgP
PAgP permet de créer la liaison EtherChannel en détectant la configuration de chaque côté et en assurant la compatibilité des liaisons, afin que la liaison EtherChannel puisse être activée
si besoin. Les modes de PAgP sont les suivants :
• On - Ce mode force l'interface à établir un canal sans PAgP. Les interfaces configurées en mode On (Activé) n'échangent pas de paquets PAgP.
• PAgP desirable (désirable) - Ce mode PAgP place une interface dans un état de négociation actif, dans lequel l'interface entame des négociations avec d'autres interfaces en
envoyant des paquets PAgP.
• PAgP auto - Ce mode PAgP place une interface dans un état de négociation passif, dans lequel l'interface répond aux paquets PAgP qu'elle reçoit mais n'entame pas de négociation
PAgP.
S1 S2 Établissement de canal
On (activé) Allumé Oui
On Desirable/Auto Non
Desirable Desirable Oui
PARTIE 2
Le tableau montre les différentes combinaisons de modes PAgP sur S1 et S2 et Auto Desirable Oui
le résultat résultant de l'établissement du canal. Auto Auto Non
Fonctionnement de LACP
LACP offre les mêmes avantages en matière de négociation que PAgP. LACP permet de créer la liaison EtherChannel en détectant les configurations de chacun des côtés et en assurant
leur compatibilité, afin que la liaison EtherChannel puisse être activée au besoin. Les modes de LACP sont les suivants:
• On - Ce mode force l'interface à établir un canal sans LACP. Les interfaces configurées en mode On (Activé) n'échangent pas de paquets LACP.
• LACP active - Ce mode LACP place un port dans un état actif de négociation. Dans cet état, le port entame des négociations avec d'autres ports en envoyant des paquets LACP.
• LACP passive - Ce mode LACP place un port dans un état de négociation passif. Dans cet état, le port répond aux paquets LACP qu'il reçoit, mais n'entame pas de négociation par
paquet LACP.
S1 S2 Établissement de canal
On (activé) On (activé) Oui
On Active (Actif)/Passive (Passif) Non
Actif Actif Oui
PARTIE 2
Le tableau montre les diverses combinaisons de modes LACP sur S1 et S2 Actif Passif Oui
et le résultat résultant de l'établissement du canal.
Passif Actif Oui
Passif Passif Non
1. Fonctionnement d'EtherChannel
2. Configuration d’EtherChannel
03 - Configurer l'agrégation des liaisons
Configuration d’EtherChannel
Consignes de configuration
Les instructions et restrictions suivantes sont utiles pour la configuration d'EtherChannel:
• Prise en charge d'EtherChannel - Toutes les interfaces Ethernet doivent prendre en charge EtherChannel sans exigence que les interfaces soient physiquement contiguës.
• Débit et duplex - Configurez le même débit et le même mode duplex sur l'ensemble des interfaces d'l'EtherChannel.
• VLAN correspondant - Toutes les interfaces d'une liaison EtherChannel doivent être attribuées au même VLAN, ou être configurées en tant que trunk.
• Plage de VLAN - Une EtherChannel prend en charge la même plage autorisée de VLAN sur toutes les interfaces d'un trunk EtherChannel. Si la plage autorisée de VLAN n'est pas
identique, les interfaces ne forment pas l'EtherChannel, même si elles sont définies en mode auto ou desirable .
PARTIE 2
▪ Vérification d'EtherChannel
Il existe plusieurs commandes permettant de vérifier une configuration EtherChannel:
• La commande show interfaces port-channel affiche l'état global de l'interface de canal de port.
• La commande show etherchannel summary affiche une ligne d'informations par canal de port.
• La commande show etherchannel port-channel affiche des informations concernant une interface de canal de port spécifique.
• La commande show interfaces etherchannel peut fournir des informations sur le rôle de l'interface physique des membres dans l'EtherChannel.
PARTIE 2
1 heures
CHAPITRE 4
Comprendre le concept du FHRP
Les périphériques finaux sont généralement configurés avec une adresse IPv4 unique pour
une passerelle par défaut.
• Si l'interface passerelle-routeur par défaut tombe en panne, les hôtes du réseau local
perdent leur connectivité à l'extérieur du réseau.
• Cela se produit même si un routeur redondant ou un commutateur de couche 3 qui
pourrait servir de passerelle par défaut existe.
Les protocoles de redondance de premier saut (FHRP) sont des mécanismes qui
fournissent des passerelles alternatives par défaut dans les réseaux commutés où deux ou
plusieurs routeurs sont connectés aux mêmes VLANs.
PARTIE 2
Options FHRP
Les protocoles de redondance du premier saut (passerelle par défaut) sont les suivants : HSRP, VRRP et GLBP.
HSRP pour IPv6 Il s'agit d'un FHRP propriétaire de Cisco qui offre les mêmes fonctionnalités que le HSRP, mais dans un environnement IPv6.
Protocole de redondance des routeurs virtuels version 2 Il s'agit d'un protocole d'élection non propriétaire qui attribue dynamiquement la responsabilité d'un ou plusieurs routeurs virtuels aux
(VRRPv2) routeurs VRRP sur un réseau local IPv4.
Il s'agit d'un protocole qui offre la capacité de prendre en charge les adresses IPv4 et IPv6. Le VRRPv3 fonctionne dans des
Le protocole VRRPv3
environnements multi-fournisseurs et est plus évolutif que le VRRPv2.
Protocole d'équilibrage de charge de la passerelle Il s'agit d'un FHRP propriétaire de Cisco qui protège le trafic de données d'un routeur ou d'un circuit défaillant, comme le HSRP et le
(GLBP) VRRP, tout en permettant l'équilibrage de la charge (également appelé partage de la charge) entre un groupe de routeurs redondants.
GLBP pour IPv6 Il s'agit d'un FHRP propriétaire de Cisco qui offre les mêmes fonctionnalités que le GLBP, mais dans un environnement IPv6.
PARTIE 2
Spécifié dans la RFC 1256, IRDP est une solution FHRP héritée. Le protocole IRDP permet aux hôtes IPv4 de localiser les routeurs offrant
Protocole IRDP (ICMP Router Discovery Protocol)
une connectivité IPv4 à d'autres réseaux IP (non locaux).
Options FHRP
La comparaison entre les protocoles de redondance du premier saut (passerelle par défaut) suivants : HSRPv1, HSRPv2, VRRP et GLBP.
PARTIE 2
Pour configurer un routeur comme étant le routeur actif, utilisez la commande standby priority .
La plage de priorité HSRP va de 0 à 255.
• Pour forcer un nouveau processus d'élection du HSRP à avoir lieu lorsqu'un routeur de plus haute
priorité est mis en ligne, la préemption doit être activée à l'aide de la commande de
l'interface standby preempt .
En attente (secours) Le routeur est candidat pour devenir le prochain routeur actif et envoie des messages « hello » périodiques.
3 heures
CHAPITRE 1
Comprendre le fonctionnement de
DHCPv4
1 heures
CHAPITRE 1
Comprendre le fonctionnement de
DHCPv4
1. Fonctionnement de DHCPv4
01 - Comprendre le fonctionnement de DHCPv4
Fonctionnement de DHCPv4
Concepts DHCPv4
▪ Serveur et client DHCPv4
• Le protocole DHCPv4 (Dynamic Host Configuration Protocol v4) attribue de manière dynamique les adresses IPv4 et d'autres informations de configuration du réseau.
• le protocole DHCPv4 offre un gain de temps extrêmement précieux aux administrateurs réseau.
• Le serveur DHCPv4 attribue ou loue dynamiquement une adresse IPv4 à partir d'un pool d'adresses pendant une durée limitée définie par le serveur, ou jusqu'à ce que le client n'en
ait plus besoin.
• Les clients louent les informations auprès du serveur pour la période définie par l’administrateur. Le bail est généralement de 24 heures à une semaine ou plus. À l'expiration du
bail, le client doit demander une autre adresse, même s'il obtient généralement la même.
▪ Fonctionnement DHCPv4
DHCPv4 fonctionne en mode client/serveur. Lorsqu'un client communique avec un serveur DHCPv4, le serveur attribue ou loue une adresse IPv4 à ce client.
• Le client se connecte au réseau avec cette adresse IPv4 louée jusqu'à l'expiration du bail. Le client doit régulièrement contacter le serveur DHCP pour renouveler le bail.
• Ce mécanisme de bail permet de s'assurer que les clients qui sont déplacés ou qui sont mis hors tension ne conservent pas des adresses dont ils n'ont plus besoin.
• Lorsqu'un bail expire, le serveur DHCP renvoie l'adresse au pool où elle peut être réattribuée selon les besoins.
PARTIE 3
Avant l'expiration du bail, le client commence un processus en deux étapes pour renouveler le bail avec le
serveur DHCPv4, comme illustré dans la figure :
PARTIE 3
1. Requête DHCP (DHCPREQUEST) : Avant l'expiration du bail, le client envoie un message DHCPREQUEST
directement au serveur DHCPv4 qui a offert l'adresse IPv4 à l'origine.
2. Accusé de réception DHCP (DHCPACK) : À la réception du message DHCPREQUEST, le serveur vérifie les
informations relatives au bail en renvoyant un DHCPACK.
Remarque: ces messages (principalement DHCPOFFER et DHCPACK) peuvent être envoyés sous forme de
monodiffusion ou de diffusion conformément à la spécification RFC 2131 de l'IETF.
Suivez les étapes suivantes pour configurer un serveur DHCPv4 Cisco IOS :
• Étape 1. Exclusion d'adresses IPv4 Une seule adresse ou une série d'adresses peut être exclue en spécifiant l'adresse basse et l'adresse haute de la série. La commande est ip dhcp
excluded-address low-address [high address]
• Étape 2. Définissez un nom de pool DHCPv4, avec La commande ip dhcp pool pool-name
• Étape 3. Configurez le pool DHCPv4, avec l'instruction network pour définir la plage d'adresses disponibles, et la commande default-router pour définir le routeur servant de
passerelle par défaut.
Commande Description
show running-config | section dhcp Affiche les commandes DHCPv4 configurées sur le routeur.
show ip dhcp binding Affiche une liste de toutes les liaisons entre les adresses IPv4 et les adresses MAC fournies par le service DHCPv4.
show ip dhcp server statistics Affiche les informations de comptage concernant le nombre de messages DHCPv4 qui ont été envoyés et reçus
Relais DHCPv4
• Dans un réseau hiérarchique complexe, les serveurs d'entreprise sont généralement situés au niveau central. Ces serveurs peuvent fournir au réseau des services DHCP, DNS,
TFTP et FTP. Les clients du réseau ne sont généralement pas sur le même sous-réseau que ces serveurs. Afin de localiser les serveurs et de bénéficier des services, les clients
utilisent souvent des messages de diffusion.
• Étant donné que le serveur DHCPv4 se trouve sur un autre réseau, PC1 ne peut pas recevoir d'adresse IP via DHCP. R1 doit être configuré pour relayer les messages DHCPv4 au
PARTIE 3
serveur DHCPv4.
• Configurez R1 avec la commande de configuration de l'interface ip helper-address address . Cela entraînera R1 à relayer les diffusions DHCPv4 vers le serveur DHCPv4.
• Lorsque R1 a été configuré en tant qu'agent de relais DHCPv4, il accepte les requêtes de diffusion liées au service DHCPv4, puis transmet ces demandes en monodiffusion à
l'adresse IPv4 192.168.11.6. L'administrateur réseau peut utiliser la commande show ip interface pour vérifier la configuration.
2 heures
CHAPITRE 2
Comprendre le fonctionnement de
DHCPv6
• Un hôte Windows peut également être configuré manuellement avec une configuration d'adresse GUA IPv6.
• Cependant, la saisie manuelle d'un GUA IPv6 peut prendre beaucoup de temps et est parfois susceptible de provoquer des erreurs.
• Par conséquent, la plupart des hôtes Windows sont activés pour acquérir dynamiquement une configuration GUA IPv6.
.
PARTIE 3
Fonctionnement du SLAAC
▪ Présentation du SLAAC
La méthode SLAAC permet aux hôtes de créer leur propre adresse de monodiffusion globale IPv6 unique sans les services d'un serveur DHCPv6.
• SLAAC est un service sans état, ce qui signifie qu'il n'y a pas de serveur qui conserve les informations d'adresse réseau pour savoir quelles adresses IPv6 sont utilisées et
lesquelles sont disponibles.
• SLAAC envoie périodiquement des messages de RA ICMPv6 (c.-à-d. toutes les 200 secondes) fournissant des informations d'adressage et d'autres informations de configuration
pour que les hôtes configurent automatiquement leur adresse IPv6 en fonction des informations contenues dans le message RA.
• Un hôte peut également envoyer un message de sollicitation de routeur (RS) demandant un message RA.
• SLAAC peut être déployé en tant que SLAAC uniquement, ou SLAAC avec DHCPv6.
▪ Activation de SLAAC
L'interface R1 G0/0/1 a été configuré avec les adresses GUA IPv6 et link-local indiquées.
Fonctionnement du SLAAC
Fonctionnement du SLAAC
▪ Messages RS ICMPv6
Un routeur envoie des messages RA toutes les 200 secondes ou lorsqu'il reçoit un message RS d'un hôte.
• Les hôtes activés IPv6 souhaitant obtenir des informations d'adressage IPv6 envoient un message RS à l'adresse de multidiffusion IPv6 tout-routeurs ff02::2.
La figure illustre comment un hôte commence la méthode SLAAC.
1. PC1 vient de démarrer et envoie un message RS à l'adresse de multidiffusion des tout-routeurs IPv6 ff02::2 demandant un message RA.
2. R1 génère un message RA, puis envoie le message RA à l'adresse de multidiffusion tout-nœuds IPv6 ff02::1. PC1 utilise ces informations pour créer une GUA IPv6
unique.
PARTIE 3
• Génération aléatoire - L'ID de l'interface 64-bit est généré aléatoirement par le système d'exploitation du client. C'est la méthode maintenant utilisée par les hôtes Windows 10.
• EUI-64 - L'hôte crée un ID d'interface en utilisant son adresse MAC 48 bits et insère la valeur hexadécimale de fffe au milieu de l'adresse. Certains systèmes d'exploitation utilisent
par défaut l'ID d'interface généré aléatoirement plutôt que la méthode EUI-64, en raison de problèmes de confidentialité. En effet, l'adresse MAC Ethernet de l'hôte est utilisée par
l'EUI-64 pour créer l'ID de l'interface.
Remarque: Windows, Linux et Mac OS permettent à l'utilisateur de modifier la génération de l'ID d'interface pour être généré aléatoirement ou pour utiliser EUI-64.
EUI-64
PARTIE 3
Quoi qu'il en soit, lorsqu'un RA indique d'utiliser DHCPv6 ou DHCPv6 avec état:
Remarque: Le serveur DHCPv6 fournit uniquement des paramètres de configuration pour les clients et ne gère pas une liste de liaisons d'adresses IPv6 (c'est-à-dire sans état).
Remarque: Vous pouvez utiliser la commande no ipv6 nd other config-flag pour réinitialiser l'interface à l'option
SLAAC par défaut uniquement (O flag = 0).
Remarque: le serveur DHCPv6 est doté avec état et gère une liste de liaisons d'adresses IPv6.
Commande Description
show ipv6 dhcp pool vérifie le nom du pool DHCPv6 et ses paramètres. La commande identifie également le nombre de clients actifs.
show ipv6 dhcp binding pour afficher l'adresse link-local IPv6 du client et l'adresse de monodiffusion globale attribuée par le serveur.
PARTIE 3
show ipv6 dhcp interface interface-id Vérifie que le routeur client a reçu d'autres informations DHCPv6 nécessaires.
Il y a cinq étapes pour configurer et vérifier un routeur en tant que serveur DHCPv6 sans état: 1. Activez le routage IPv6 en utilisant la commande ipv6 unicast-routing .
1. Activez le routage IPv6 en utilisant la commande ipv6 unicast-routing . 2. Configurer le routeur client pour créer un LLA. Une adresse link-local IPv6 est créée sur une
interface de routeur lorsqu'une adresse de monodiffusion globale est configurée, ou sans
2. Définissez un nom de pool DHCPv6 à l'aide de la commande de configuration globale ipv6 GUA à l'aide de la commande de configuration d'interface ipv6 enable . Cisco IOS utilise EUI-
dhcp pool POOL-NAME . 64 pour créer l'ID d'interface.
3. Configurer le pool DHCPv6 avec des options. Les options courantes incluent le serveur 3. Configurez le routeur client pour qu'il utilise SLAAC à l'aide de la commande ipv6 address
DNS X:X:X:X:X:X:X:X et le nom de domaine nom. autoconfig .
4. Liez l'interface au pool à l'aide de la commande de configuration de l'interface ipv6 dhcp 4. Vérifiez que le routeur client reçoit une GUA à l'aide de la commande show ipv6 interface
server POOL-NAME . brief .
• Changez manuellement l'indicateur O de 0 à 1 en utilisant la commande d'interface 5. Vérifiez que le routeur client a reçu d'autres informations DHCPv6 nécessaires. La
ipv6 nd other-config-flag. Les messages RA envoyés sur cette interface indiquent que commande show ipv6 dhcp interface g0/0/1 confirme que les informations relatives aux
des informations supplémentaires sont disponibles auprès d'un serveur DHCPv6 sans options DHCP, telles que le serveur DNS et le nom de domaine, ont été reçues par le client.
état. L'indicateur A est 1 par défaut, indiquant aux clients d'utiliser SLAAC pour créer
leur propre GUA.
5. Vérifiez que les hôtes ont reçu des informations d'adressage IPv6 à l'aide de la
PARTIE 3
1. Activez le routage IPv6 en utilisant la commande ipv6 unicast-routing . 2. Configurer le routeur client pour créer un LLA. Une adresse link-local IPv6 est créée sur
une interface de routeur lorsqu'une adresse de monodiffusion globale est configurée, ou
2. Définissez un nom de pool DHCPv6 à l'aide de la commande globale de sans GUA à l'aide de la commande de configuration d'interface ipv6 enable . Cisco IOS
configuration ipv6 dhcp pool POOL-NAME . utilise EUI-64 pour créer un ID d'interface.
3. Configurer le pool DHCPv6 avec des options. Les options courantes incluent la 3. Configurez le routeur client pour utiliser DHCPv6 à l'aide de la commande de configuration
commande de address prefix , le nom de domaine, l'adresse IP du serveur DNS, etc. de l'interface ipv6 address dhcp .
4. Liez l'interface au pool à l'aide de la commande de configuration de l'interface ipv6 4. Vérifiez que le routeur client reçoit une GUA à l'aide de la commande show ipv6 interface
dhcp server POOL-NAME . brief .
• Changez manuellement l'indicateur M de 0 à 1 en utilisant la commande ipv6 nd 5. Vérifiez que le routeur client a reçu d'autres informations DHCPv6 nécessaires à l'aide de
managed-config-flag. la commande show ipv6 dhcp interface interface-id .
• Modifiez manuellement l'indicateur A de 1 à 0 à l'aide de la commande
d'interface ipv6 nd prefix default no-autoconfig pour informer le client de ne pas
PARTIE 3
utiliser SLAAC pour créer une GUA. Le routeur répondra ensuite aux requêtes
DHCPv6 avec état par des informations contenues dans le pool.
5. Vérifiez que les hôtes ont reçu des informations d'adressage IPv6 à l'aide de la
commande ipconfig /all .
• Ipv6 dhcp relay destination address interface-id . Cette commande est configurée sur l'interface située au niveau des clients DHCPv6 et spécifie l'adresse du serveur DHCPv6 et
l'interface de sortie pour atteindre le serveur, comme indiqué dans la sortie. L'interface de sortie n'est requise que lorsque l'adresse de tronçon suivant est un LLA.
6 heures
CHAPITRE 1
Sécuriser la couche 2 du réseau LAN
2 heures
CHAPITRE 1
Sécuriser la couche 2 du réseau LAN
Composants AAA
AAA signifie Authentification, Autorisation et Comptabilité et fournit le cadre principal pour configurer le contrôle d'accès sur un périphérique réseau.
L'AAA est un moyen de contrôle qui est autorisé à accéder à un réseau (authentifier), ce qu'ils peuvent faire pendant qu'ils sont là (autoriser), et de vérifier les actions effectuées lors
de l'accès au réseau (comptabilité).
o L'authentification
L'authentification locale et l'authentification par serveur sont deux méthodes courantes de mise en œuvre de l'authentification AAA.
Composants AAA
o L'autorisation
L'autorisation utilise un ensemble d'attributs qui décrivent l'accès de l'utilisateur au réseau. Ces attributs sont utilisés par le serveur AAA pour déterminer les privilèges et les restrictions
pour cet utilisateur.
o La comptabilité
La comptabilité AAA collecte et rapporte les données d'utilisation. Ces données peuvent être utilisées à des fins comme l'audit ou la facturation. Les données recueillies peuvent indiquer
les heures de début et de fin des connexions, les commandes exécutées, le nombre de paquets et le nombre d'octets.
PARTIE 4
802.1x
La norme IEEE 802.1X est un protocole de contrôle d'accès et d'authentification basé sur les ports.
Ce protocole empêche les stations de travail non autorisées de se connecter à un réseau local via des ports de commutation accessibles au public.
Avec une authentification 802.1x basée sur les ports, les périphériques réseau ont des rôles spécifiques.
• Le client (Demandeur) - Il s'agit d'un appareil exécutant un logiciel client compatible 802.1X, qui est disponible pour les appareils câblés ou sans fil.
• Le commutateur (authentificateur) - Le commutateur (ou point d'accès sans fil) peut servir d'intermédiaire entre le client et le serveur d'authentification. Il demande les
informations d'identification du client, vérifie ces informations auprès du serveur d'authentification, puis transmet une réponse au client.
• Le Serveur d’authentification –Le serveur valide l'identité du client et informe le commutateur ou le point d'accès sans fil que le client est autorisé ou non à accéder au LAN et aux
services de commutateur.
PARTIE 4
Vulnérabilités de couche 2
Aujourd'hui, avec le BYOD et des attaques plus sophistiquées, nos réseaux
locaux sont devenus plus vulnérables à la pénétration
Les administrateurs du réseau implémentent régulièrement des solutions
de sécurité pour protéger les éléments de la couche 3 à la couche 7. Ils
utilisent des VPN, des pare-feu et des périphériques IPS pour protéger ces
éléments. Cependant, si la couche 2 est compromise, toutes les couches
supérieures sont aussi affectées.
PARTIE 4
Catégorie Exemples
Les Attaques de table MAC Il comprend les attaques par inondation de l'adresse MAC.
Il comprend les attaques par saut et par revérifier VLAN. Il aussi comprend les attaques entre les périphériques sur un VLAN
Attaques de VLAN
commun.
Attaques DHCP Il comprend les attaques d'insuffisance DHCP et les attaques d'usurpation DHCP.
Les attaques ARP Il comprend les attaques d'usurpation ARP et les attaques d'empoisonnement ARP.
Attaques par usurpation d'adresse Il comprend les attaques d'usurpation d'adresse MAC et d'adresse IP.
Les attaques STP Il comprend les attaques de manipulation du protocole Spanning Tree.
PARTIE 4
Le tableau fournit un aperçu des solutions pour aider à atténuer les attaques de couche 2.
La solution Description
Empêche de nombreux types d'attaques, y compris les attaques d'inondation d'adresses MAC et les attaques d'insuffisance
Sécurité des ports
DHCP.
Espionnage (snooping) DHCP Empêche l'insuffisance DHCP et les attaques d'usurpation du DHCP.
Inspection ARP dynamique (DAI) Empêche l'usurpation d'ARP et les attaques d'empoisonnement d'ARP.
Protection de la source IP (IPSG) Empêche les attaques d'usurpation d'adresse MAC et IP.
Remarque : Ces solutions de couche 2 ne seront pas efficaces si les protocoles de gestion ne sont pas sécurisés.
PARTIE 4
Le commutateur peut être configuré pour en savoir plus sur les adresses MAC sur un port sécurisé de trois manières:
1. Configuration manuelle: l'administrateur configure manuellement une ou des adresses MAC statiques à l'aide de la commande suivante pour chaque adresse MAC sécurisée sur le
port:
Switch(config-if)# switchport port-security mac-address mac-address
2. Apprentissage dynamique: lorsque la commande switchport port-security est entrée, le MAC source actuel du périphérique connecté au port est automatiquement sécurisé mais
n'est pas ajouté à la configuration en cours. Si le commutateur est redémarré, le port devra réapprendre l'adresse MAC du périphérique.
3. Apprentissage dynamique - Sticky: l'administrateur peut activer le commutateur pour apprendre dynamiquement les adresses MAC et les «coller» à la configuration en cours en
PARTIE 4
Mode Description
PARTIE 4
Shutdown (par défaut) Le port passe immédiatement à l'état désactivé par erreur
restreindre Le port supprime les paquets dont l'adresse source est inconnue. Un message syslog génèré.
protéger Le port supprime les paquets avec des adresses source MAC inconnues. Aucun message Syslog n'est envoyé.
4 heures
CHAPITRE 2
Concevoir et sécuriser un réseau local sans
fil
Normes du 802.11
Les normes 802.11 WLAN définissent comment les fréquences radio sont utilisées pour les liaisons sans fil.
Fréquences Radio
Tous les appareils sans fil fonctionnent dans la portée du spectre électromagnétique. Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et la bande 5 GHz.
Composants WIFI
PARTIE 4
Catégories AP
Les points d'accès peuvent être classés comme des points d'accès autonomes ou des points d'accès basés sur un contrôleur.
PARTIE 4
Mode infrastructure
BSS et ESS
Le mode infrastructure définit deux blocs de topologie:
Ensemble de services de base (BSS)
• Un BSS consiste en un seul AP interconnectant tous les clients sans fil associés.
• Les clients de différents BSS ne peuvent pas communiquer.
Ensemble de service étendu (ESS)
• Union de deux ou plusieurs BSS interconnectés par un système de distribution câblé.
• Les clients de chaque BSS peuvent communiquer via l'ESS.
ESS
BSS
PARTIE 4
CSMA/CA
Les WLAN utilisent l'accès multiple par détection de porteuse avec évitement de collision (CSMA/CA) pour déterminer comment et quand envoyer des données. Un client sans fil effectue
les opérations suivantes:
PARTIE 4
Afin d'avoir une association réussie, un client sans fil et un AP doivent se mettre d'accord sur des paramètres spécifiques.
PARTIE 4
Les clients sans fil se connectent à l'AP à l'aide d'un processus de balayage (sondage) passif ou actif.
Mode actif
Mode passif
PARTIE 4
Introduction au CAPWAP
• CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et WLAN.
• CAPWAP est basé sur LWAPP mais ajoute une sécurité supplémentaire avec Datagram Transport Layer Security (DTLS).
• Encapsule et transfère le trafic client WLAN entre un AP et un WLC sur des tunnels en utilisant les ports UDP 5246 et 5247.
• Fonctionne sur IPv4 et IPv6. IPv4 utilise le protocole IP 17 et IPv6 utilise le protocole IP 136.
PARTIE 4
Cryptage DTLS
• DTLS assure la sécurité entre l'AP et le WLC.
• Il est activé par défaut pour sécuriser le canal de contrôle CAPWAP et crypter tout le trafic de gestion et de contrôle entre AP et WLC.
• Le chiffrement des données est désactivé par défaut et nécessite qu'une licence DTLS soit installée sur le WLC avant de pouvoir être activée sur l'AP.
PARTIE 4
• Spectre étalé à saut de fréquence (FHSS) - Transmet des signaux radio en commutant rapidement un signal porteur parmi de nombreux canaux de fréquence. L'émetteur et le
récepteur doivent être synchronisés pour «savoir» sur quel canal passer.
• Multiplexage par répartition en fréquence orthogonale (OFDM) - Sous-ensemble de multiplexage par répartition en fréquence dans lequel un seul canal utilise plusieurs sous-canaux
sur des fréquences adjacentes.
PARTIE 4
• Une meilleure pratique pour les WLAN 802.11b / g / n nécessitant plusieurs points d'accès est d'utiliser des canaux sans chevauchement tels que 1, 6 et 11.
• Pour les normes 5 GHz 802.11a / n / ac, il y a 24 canaux. Chaque canal est séparé du canal suivant de 20 MHz.
o Attaque d'Homme-au-Milieu
Dans une attaque d'homme-au-milieu (MITM), le pirate est positionné entre deux entités légitimes afin de lire ou de modifier les données qui transitent entre les deux parties. Une
attaque «evil twin AP» est une attaque MITM sans fil populaire où un attaquant introduit un AP escroc et le configure avec le même SSID qu'un AP légitime
Il existe quatre techniques d'authentification par clé partagée, comme décrit dans le tableau.
WEP (Wired Equivalent Privacy) La spécification 802.11 originale conçue pour sécuriser les données à l'aide de la méthode de chiffrement Rivest Cipher
4 (RC4) avec une clé statique. Le WEP n'est plus recommandé et ne doit jamais être utilisé.
Fonction WPA (Wi-Fi Protected Access) Une norme de l'Alliance Wi-Fi qui utilise le protocole WEP mais sécurise les données grâce à l'algorithme de cryptage
TKIP (Temporal Key Integrity Protocol), beaucoup plus puissant. Le protocole TKIP modifie la clé pour chaque paquet,
rendant très difficile son piratage.
WPA2 Il utilise le standard de cryptage avancé (AES) pour le cryptage. Le mode de chiffrement AES est actuellement considéré
comme étant le protocole de chiffrement le plus puissant.
PARTIE 4
WPA3 Il s'agit de la prochaine génération de sécurité Wi-Fi. Tous les appareils compatibles WPA3 utilisent les dernières
méthodes de sécurité, interdisent les protocoles hérités obsolètes et nécessitent l'utilisation de cadres de gestion
protégés (PMF).
Méthodes de Cryptage
WPA et WPA2 incluent deux protocoles de chiffrement:
• Protocole d'Intégrité de Clé Temporelle (TKIP) – Utilisé par WPA et prend en charge les équipements WLAN hérités. Utilise WEP mais chiffre la charge utile de couche 2 à l'aide de
TKIP.
• Norme de Cryptage Avancée (AES) - Utilisé par WPA2 et utilise le mode de chiffrement du compteur avec le protocole CCMP (Block Chaining Message Authentication Code Protocol)
qui permet aux hôtes de destination de reconnaître si les bits cryptés et non cryptés ont été altérés.
PARTIE 4
Le choix du mode de sécurité d'entreprise nécessite un serveur RADIUS d'authentification, d'autorisation et de comptabilité (AAA).
Des informations sont nécessaires:
• Adresse IP du serveur RADIUS - Adresse IP du serveur.
• Numéros de port UDP - Ports UDP 1812 pour l'authentification RADIUS et 1813 pour la comptabilité RADIUS, mais peuvent également fonctionner à l'aide des ports UDP 1645 et 1646.
• Clé partagée - Utilisée pour authentifier l'AP avec le serveur RADIUS.
PARTIE 4
WPA 3
Parce que WPA2 n'est plus considéré comme sécurisé, WPA3 est recommandé lorsqu'il est disponible. WPA3 comprend quatre fonctionnalités:
• WPA3 - Personnel: Déjoue les attaques par force brute en utilisant l'authentification simultanée des égaux (SAE).
• WPA3 - Entreprise: Utilise l'authentification 802.1X / EAP. Cependant, il nécessite l'utilisation d'une suite cryptographique 192 bits et élimine le mélange des protocoles de sécurité
pour les normes 802.11 précédentes.
• Réseaux ouverts: N'utilise aucune authentification. Cependant, ils utilisent le chiffrement sans fil opportuniste (OWE) pour chiffrer tout le trafic sans fil.
• IoT Onboarding: Utilise le protocole DPP (Device Provisioning Protocol) pour intégrer rapidement les appareils IoT.
PARTIE 4
• Configurez le mode de sécurité en sélectionnant Open, WPA, WPA2 Personal, WPA2 Enterprise, etc.
• Configurez la phrase secrète, comme requis pour le mode de sécurité sélectionné.
▪ Qualité de Service
De nombreux routeurs sans fil ont une option de configuration de la qualité de
service (QoS).
PARTIE 4
Accès au WLC
La configuration d'un contrôleur LAN sans fil (WLC) n'est pas très différente de la configuration d'un
routeur sans fil. Le WLC contrôle les points d'accès et fournit plus de services et de capacités de
gestion.
• Pour vous connecter et configurer un contrôleur WLAN, vous devrez ouvrir un navigateur
Web à l’adresse IP du contrôleur, avec HTTP ou bien HTTPS.
• Il faut bien sûr que le contrôleur ait déjà son adresse IP de gestion assignée à son interface.
• L’interface Web donne un moyen efficace de :
• Surveiller
• Configurer
• Et de dépanner un réseau sans fil.
• Il est bien sûr possible, si vous préférez les lignes de commandes, de vous y connecter par
une session Telnet ou SSH.
Que ce soit par l’interface Web ou l’interface CLI, les admin devront avoir un compte utilisateur de
gestion.
PARTIE 4
• 1 Port de redondance :
qui est utile pour connecter un autre contrôleur, afin de garantir un fonctionnement en haute dispo.
• Interface du port de service: Elle est utilisée pour communiquer avec le port de service.
• Interface dynamique: qui est utilisée pour connecter un VLAN à un WLAN. Ce qui permet d’établir des connexions logiques entre les réseaux sans fil et câblés.
• Les contrôleurs sans fil fournissent donc la connectivité par des interfaces logiques en interne, qui doivent être configuré avec :
• une adresse IP
• un masque de sous-réseau
• une passerelle par défaut
PARTIE 4
Approches de Dépannage
Une méthodologie de dépannage courante et efficace est basée sur la méthode scientifique et peut être divisée en six étapes principales indiquées dans le tableau.
La première étape de la procédure de dépannage consiste à identifier le problème. Si des outils peuvent être utilisés à
1 Identification du problème
cette étape, une conversation avec l'utilisateur est souvent très utile.
Après avoir discuté avec l'utilisateur et identifié le problème, vous pouvez établir une théorie des causes probables.
2 Élaboration d'une théorie des causes probables
Cette étape fait généralement naître plusieurs causes probables.
En fonction des causes probables, testez vos théories afin de dégager la véritable cause du problème. Un technicien
3 Test de la théorie en vue de déterminer la cause peut alors appliquer une rapide procédure et voir si cela permet de résoudre le problème. Sinon, vous devrez peut-être
effectuer des recherches complémentaires en vue de déterminer la cause exacte.
Élaboration d'un plan d'action visant à résoudre le Après avoir déterminé la cause exacte du problème, établissez un plan d'action en vue de le résoudre en implémentant
4
problème et à implémenter la solution la solution.
PARTIE 4
8 heures
CHAPITRE 1
Comprendre le Concepts de routage
2 heures
CHAPITRE 1
Comprendre le Concepts de routage
1. Concepts de routage
2. Dépanner les routes statiques et par défaut
01 - Comprendre le Concepts de routage
Concepts de routage
Détermination du chemin
▪ Le meilleur chemin équivaut à la plus longue correspondance
• Le meilleur chemin dans la table de routage est également connu comme la correspondance la plus longue.
• La table de routage contient des entrées de routage composées d'un préfixe (adresse réseau) et d'une longueur de préfixe.
• La longueur du préfixe de l'itinéraire dans la table de routage est utilisée pour déterminer le nombre minimum de bits d'extrême gauche qui doivent correspondre.
• La correspondance la plus longue est celle qui, dans la table de routage, présente le plus grand nombre de bits de correspondance d'extrême gauche avec l'adresse IP
de destination du paquet. La correspondance la plus longue est toujours l'itinéraire préféré.
Remarque: Le terme longueur du préfixe sera utilisé pour faire référence à la partie réseau des adresses IPv4 et IPv6.
Un paquet IPv6 a l'adresse IPv6 de destination 2001:db8:c000::99. . Le routeur a trois entrées de route dans sa table de routage IPv6 qui correspondent à ce paquet :
2001:db8:c000::/40, 2001:db8:c000::/48 et 2001:db8:c000:5555::/64. la deuxième entrée d'itinéraire /48 qui présente la plus longue correspondance. La troisième entrée
d'itinéraire n'est pas une correspondance car son préfixe /64 nécessite 64 bits correspondants.
Transmission de paquets
▪ Processus de décision sur la transmission des paquets
Une fois qu'un routeur a déterminé le meilleur chemin, il peut effectuer les opérations suivantes :
Transmission de paquets
▪ Transmission de paquets de bout en bout
La responsabilité principale de la fonction de transfert de paquets est d'encapsuler les paquets au type de trame de liaison de données approprié pour l'interface de sortie. Par exemple,
le format de trame de liaison de données pour une liaison série peut être le protocole PPP (Point-to-Point), le protocole HDLC (High-Level Data Link Control) ou un autre protocole de
couche 2.
Table de routage IP
Une table de routage contient une liste d'itinéraires vers des réseaux connus (préfixes et longueurs de préfixes). La source de cette information est dérivée des éléments suivants :
Distance administrative
Chaque protocole de routage peut décider d'un chemin différent pour atteindre la destination en
fonction de la métrique de ce protocole de routage.
Cela soulève quelques questions, notamment les suivantes :
• Comment le routeur sait-il quelle source utiliser ? Origine de la route Distance administrative
• Quel itinéraire doit-il installer dans la table de routage ?
Directement connecté 0
Le logiciel CISCO IOS utilise ce que l'on appelle la distance administrative (AD) pour déterminer la
route à installer dans la table de routage IP. L'AD indique la «fiabilité» de la route. Plus la distance Route statique 1
administrative est faible, plus la route est fiable.
Résumé du routage EIGRP 5
BGP externe 20
EIGRP interne 90
OSPF 110
IS-IS 115
RIP 120
PARTIE 5
Le routage statique et le routage dynamique ne s'excluent pas mutuellement. En revanche, la plupart des réseaux utilisent une combinaison de protocoles de
routage dynamique et de routes statiques.
Le tableau présente une comparaison de certaines différences entre le routage dynamique et statique.
Modifications de la topologie S'adapte automatiquement aux modifications de la topologie Intervention de l'administrateur requise
Extensibilité Idéal pour les topologies de réseau simple et complexe Idéal pour les topologies simples
Utilisation des ressources Utilise le CPU, la mémoire, la bande passante de la liaison Aucune ressource supplémentaire n'est nécessaire
Prévisibilité du chemin L'itinéraire dépend de la topologie et du protocole de routage utilisés Définie explicitement par l'administrateur
PARTIE 5
IGP (Protocoles relatifs aux passerelles intérieures) EGP (Protocoles relatifs aux passerelles extérieures)
Vecteur de distance État de liens Protocole BGP
IPv4 RIPv2 EIGRP OSPFv2 IS-IS BGP-4
IPv6 RIPng Protocole EIGRP pour IPv6 OSPFv3 IS-IS pour IPv6 BGP-MP
Les protocoles de routage dynamique utilisent généralement leurs propres règles et métriques pour constituer et mettre à jour leur table de routage.
•La métrique est le "coût" qui est basé sur la largeur de bande cumulative de la source à la destination.
Protocole OSPF (Open Shortest Path First)
•Les liaisons plus rapides se voient attribuer des coûts plus faibles que les liaisons plus lentes (coût plus élevé).
•Il calcule une mesure basée sur la bande passante et les valeurs de retard les plus lentes.
Protocole EIGRP (Enhanced Interior Gateway Routing Protocol)
•La fiabilité et la charge peuvent également être incluses dans le calcul de la métrique.
1. Concepts de routage
2. Dépanner les routes statiques et par défaut
01 - Mettre en œuvre le routage d’un réseau
d’entreprise
Dépanner les routes statiques et par défaut
Routes statiques
▪ Types de routes statiques
Les routes statiques sont généralement implémentées sur un réseau. Cela est vrai même lorsqu'un protocole de routage dynamique est configuré.
Les routes statiques peuvent être configurées pour IPv4 et IPv6. Les deux protocoles prennent en charge les types de routes statiques sont:
• Route statique standard
• Route statique par défaut
• Route statique flottante
• Route statique récapitulative
Les routes statiques sont configurées en utilisant les commandes de configuration globale ip route et ipv6 route global configuration commands.
Route statique entièrement spécifiée - l'adresse IP du tronçon suivant et l'interface de sortie sont spécifiées
Routes statiques
▪ Commande de route statique IPv4
Les routes statiques IPv4 sont configurées à l’aide des commandes suivantes:
La syntaxe de commande de base pour une route statique par défaut d'IPv6 est la suivante :
Commande Description
ping • Vérifie la connectivité de couche 3 au destination.
• Les pings étendus fournissent des options supplémentaires.
traceroute • Vérifie le chemin d'accès au réseau de destination.
• Il utilise des messages de réponse d'écho ICMP pour déterminer les sauts au destination.
PARTIE 5
4 heures
CHAPITRE 2
Implémenter le protocole OSPF
1. Concepts OSPF
2. Configuration OSPFv2 à zone unique
3. Configuration OSPFv3 à zone unique
4. Configuration OSPF à zone multiple
02 - Implémenter le protocole OSPF
Concepts OSPF
2 DBD (Database Description) Vérifie la synchronisation de la base de données entre les routeurs
3 LSR (Link-State Request) Demande des enregistrements d'état de liens spécifiques d'un routeur à un autre
4 LSU (Link-State Update) Envoie les enregistrements d'état de liens spécifiquement demandés
Ces paquets servent à détecter les routeurs voisins et à échanger des informations de routage pour garantir l'exactitude des informations relatives au réseau.
PARTIE 5
Le routeur crée la table topologique à l'aide des résultats des calculs basés sur l'algorithme SPF de Dijkstra. L'algorithme SPF est basé sur le coût cumulé permettant d'atteindre une
destination.
PARTIE 5
avantages suivants:
• Tables de routage plus petites
• Réduction de la charge de mise à jour des états de liens
• Réduction de la fréquence des calculs SPF
Remarque : Ce module se concentre sur l'OSPF à zone unique.
Paquet Hello
Le paquet de type 1 du protocole OSPF correspond au paquet Hello. Les paquets Hello sont utilisés pour effectuer les opérations suivantes:
• Découvrir des voisins OSPF et établir des contiguïtés.
• Annoncer les paramètres sur lesquels les deux routeurs doivent s'accorder pour devenir voisins.
• Choisir le routeur désigné (DR) et le routeur désigné de secours (BDR) sur les réseaux à accès multiple, de type Ethernet. Les liens point-à-point ne nécessitent pas de routeur DR ou
BDR.
PARTIE 5
État Description
• Aucun paquet Hello reçu = Down.
État Down • Le routeur envoie des paquets Hello.
• Transition vers l'état Init.
• Les paquets Hello sont reçus du voisin.
État Init • Ils contiennent des ID de routeur du routeur expéditeur.
• Transition vers l'état Two-Way.
• Dans cet état, la communication entre les deux routeurs est bidirectionnelle.
État Two-Way • Sur les liens à accès multiple, les routeurs choisissent un DR et un BDR.
• Transition vers l'état ExStart.
• Sur les réseaux point à point, les deux routeurs décident quel routeur initiera l'échange de paquets DBD et décident du numéro de
État ExStart
séquence de paquets DBD initial.
• Les paquets LSR et LSU permettent d'obtenir des informations supplémentaires sur les routes.
État Loading • Les routes sont traitées à l'aide de l'algorithme SPF.
• Transition vers l'état Full.
État Full • La base de données d'état de liaison du routeur est entièrement synchronisée.
Pour déterminer s'il y a un voisin OSPF sur le lien, le routeur envoie un paquet Hello contenant son ID de routeur sur toutes les interfaces compatibles OSPF. Le paquet Hello est envoyé à
l'adresse de multidiffusion réservée. Tous les routeurs OSPF IPv4 224.0.0.5. Seuls les routeurs OSPFv2 traitent ces paquets.
1 État Down vers état Init Lorsque OSPFv2 est activé sur l'interface, R1 passe de Down à Init et commence à envoyer des paquets Hello OSPFv2 hors de
l'interface pour tenter de découvrir des voisins.
2 État Init Lorsqu'un R2 reçoit un paquet Hello du routeur R1 précédemment inconnu, il ajoute l'ID du routeur de R1 à la liste des voisins
et répond avec un paquet Hello contenant son propre ID de routeur.
3 État Two-Way R1 reçoit le paquet Hello de R2 et remarque que le message contient l'ID du routeur R1 dans la liste des voisins de R2. R1
ajoute l'ID de routeur de R2 à la liste des voisins et effectue des transitions vers l'état bidirectionnel.
Si R1 et R2 sont connectés à une liaison point à point, ils passent à l’état ExStart
Si R1 et R2 sont connectés sur un réseau Ethernet commun, l'option DR/BDR se produit.
4 Choisir le routeur désigné (DR) L'option DR et BDR se produit, où le routeur ayant l'ID de routeur le plus élevé ou la priorité la plus élevée est élu comme DR,
et le routeur désigné de et le deuxième plus élevé est le BDR
secours (BDR)
PARTIE 5
La nécessité d'un DR
Les réseaux à accès multiple peuvent présenter deux problématiques pour le protocole OSPF concernant l'inondation des LSA, comme suivant:
• Création de plusieurs contiguïtés
Inondation de la LSA
• Les routeurs qui exécutent un protocole d'état de lien établissent une relation de voisinage, puis échangent des annonces d'état de lien (LSA).
• Chaque routeur génère un LSA qui décrit les informations d'état sur son interface directement connectée.
• Le LSA contient le coût de l'interface et la relation entre le routeur et ses routeurs voisins.
PARTIE 5
Création de LSDB
• Chaque routeur génère des LSA et ajoute les LSA reçus à sa propre base de données d'état des liens (LSDB).
Calcul du FPS
• Chaque routeur utilise l'algorithme Shortest Path First (SPF) et les informations LSDB pour calculer les routes.
• Chaque routeur calcule un arbre sans boucle avec lui-même comme racine et chemin le plus court.
• Avec cet arbre, un routeur détermine le chemin optimal vers chaque coin d'un réseau.
PARTIE 5
1. Concepts OSPF
2. Configuration OSPFv2 à zone unique
3. Configuration OSPFv3 à zone unique
4. Configuration OSPF à zone multiple
02 - Implémenter le protocole OSPF
Configuration OSPFv2 à zone unique
Vous pouvez activer OSPFv2 à l'aide de la commande router ospf process-id en mode de configuration globale.
PARTIE 5
• La valeur process-id représente un nombre compris entre 1 et 65535 et est sélectionnée par l'administrateur du réseau.
• La valeur process-id est localement significative. Il est recommandé d'utiliser le même process-id sur tous les routeurs OSPF.
ID de routeur OSPF
▪ ID de routeur
Un ID de routeur OSPF est une valeur 32 bits, représentée par une adresse IPv4. Il est utilisé pour identifier de manière unique un routeur OSPF, et tous les paquets OSPF incluent l'ID du
routeur d'origine.
L'ID du routeur est utilisé par un routeur compatible OSPF pour faire ce qui suit :
• Participer à la synchronisation des bases de données OSPF
• Participer à l'élection du routeur désigné (DR)
L'ID du routeur est explicitement configuré à l'aide de la commande de mode de configuration router-id rid du routeur OSPF.
o Modifier un ID de Routeur
R1# show ip protocols | include Router ID
Router ID 10.10.1.1
R1(config)# router ospf 10
PARTIE 5
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux point à point
▪ La syntaxe de commande network et ip ospf
Vous pouvez spécifier les interfaces appartenant à un réseau point à point en configurant la commande network .
• La syntaxe de base de la commande network est la suivante:
Router(config-router)# network network-address wildcard-mask area area-id
Pour configurer OSPF directement sur l'interface, utilisez la commande de mode de configuration ip ospf de l'interface
• La syntaxe de base de la commande ip ospf est la suivante:
▪ Le masque générique
• Le masque générique est généralement l'inverse du masque de sous-réseau configuré sur cette interface.
PARTIE 5
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux point à point
o Configurer OSPF à l'aide de la commande network
R1 (config-if) #
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux point à point
▪ Interface passive
Par défaut, les messages OSPF sont acheminés à partir de toutes les interfaces compatibles OSPF. Cependant, ces messages ne doivent être envoyés que par des interfaces qui se connectent
à d'autres routeurs compatibles OSPF.
L'envoi de messages inutiles sur un réseau local affecte le réseau de trois façons :
• Utilisation inefficace de la bande passante
• Utilisation inefficace des ressources
• Risque de sécurité accru
Utilisez la commande du mode de configuration du routeur passive-interface pour empêcher la transmission de messages de routage via une interface de routeur, mais permettre que le
réseau soit annoncé aux autres routeurs.
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux point à point
▪ Réseaux point à point OSPF
Par défaut, les routeurs Cisco choisissent une DR et une BDR sur les interfaces Ethernet, même s'il n'y a qu'un autre périphérique sur la liaison. Vous pouvez vérifier cela avec la
commande show ip ospf interface.
Pour passer à un réseau point à point, utilisez la commande de configuration de l'interface ip ospf network point-to-point sur toutes les interfaces sur lesquelles vous souhaitez
désactiver le processus d'élection DR/BDR.
POINT_TO_POINT, Cost: 1
.......
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux point à point
o Configurer le réseau point à point sur l’interface Loopback
Pour simuler un vrai réseau local, l'interface de bouclage peut être configurée comme un réseau point à point pour annoncer le réseau complet.
• Ce que R2 voit lorsque R1 annonce l'interface de bouclage tel quel:
Résultat à R2:
PARTIE 5
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux multi-accès
▪ Le réseau OSPF multi-accès
Les réseaux OSPF à accès multiple sont uniques en ce sens qu'un seul routeur contrôle la distribution des LSAs.
▪ Le routeur qui est élu pour ce rôle est un Routeur désigné OSPF (DR).
Remarque :
Le DR utilise l'adresse IPv4 multicast 224.0.0.5
Les BDR utilisent l'adresse à accès multiple 224.0.0.6
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux multiaccès
▪ Vérifier les contiguïtés DR/BDR
Pour vérifier les contiguïtés OSPFv2, utilisez la commande show ip ospf neighbor . L'état des voisins dans les réseaux multi-accès peut être le suivant :
• FULL/DROTHER- Il s'agit d'un routeur DR ou BDR qui est entièrement contigu avec un routeur non DR ou BDR. Ces deux voisins peuvent échanger des paquets Hello, des mises à
jour, des demandes, des réponses et des accusés de réception.
• FULL/DR - le routeur est entièrement contigu avec le DR voisin indiqué. Ces deux voisins peuvent échanger des paquets Hello, des mises à jour, des demandes, des réponses et des
accusés de réception.
• FULL/BDR - Le routeur est entièrement contigu avec le BDR voisin indiqué. Ces deux voisins peuvent échanger des paquets Hello, des mises à jour, des demandes, des réponses et
des accusés de réception.
• 2-WAY/DROTHER - Le routeur non-DR ou BDR a une relation de voisin avec un autre routeur non-DR ou BDR. Ces deux voisins échangent des paquets Hello.
L'état normal d'un routeur OSPF est généralement FULL. Si un routeur reste bloqué dans un autre état, cela indique des problèmes dans l'établissement des contiguïtés. La seule
exception est l'état 2-WAY, qui est normal sur un réseau de diffusion à accès multiple.
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux multiaccès
▪ Processus d'élection DR/BDR par défaut
La sélection du DR et du BDR OSPF est basée sur les critères suivants, dans l'ordre indiqué:
1. Les routeurs du réseau choisissent le routeur ayant la priorité d'interface la plus élevée comme étant le DR. Le routeur ayant la deuxième priorité d'interface la plus élevée est choisi
comme BDR.
• La priorité peut être tout nombre compris entre 0 et 255.
• Si la valeur de priorité de l'interface est définie sur 0, cette interface ne peut pas être sélectionnée comme DR ou BDR.
• La priorité par défaut des interfaces de diffusion à accès multiple est de 1.
2. Si les priorités d'interface sont égales, c'est le routeur dont l'ID est le plus élevé qui est choisi comme DR. Le routeur ayant le deuxième ID le plus élevé est choisi comme BDR.
• Le processus de sélection a lieu dès que le premier routeur avec une interface OSPF devient actif sur le réseau actif. Si certains routeurs du réseau n'ont pas fini de démarrer, il est
possible qu'un routeur avec un ID de routeur plus bas devienne le DR.
• L'ajout d'un nouveau routeur ne déclenche pas un nouveau choix.
▪ Défaillance et récupération du DR
PARTIE 5
En cas de panne du DR :
• Le BDR devient automatiquement le DR, même si un DROTHER de priorité ou d'ID de routeur plus élevés a été ajouté au réseau après la sélection initiale du DR et du BDR.
• Une fois qu'un BDR est promu en DR, une nouvelle élection de BDR a lieu et le DROTHER ayant la plus haute priorité ou l'ID de routeur est élu comme nouveau BDR.
Mettre en œuvre le protocole OSPFv2 à zone unique sur des réseaux multiaccès
▪ La commande ip ospf priority
• Si les priorités des interfaces sont identiques sur tous les routeurs, le routeur dont l'ID est le plus élevé est sélectionné comme DR.
• Au lieu de se baser sur l'ID de routeur, il vaut mieux contrôler la sélection au moyen des priorités d'interfaces. Cela permet également à un routeur d'être DR dans un réseau et
DROTHER dans un autre.
• Pour définir la priorité d'une interface, utilisez la commande ip ospf priority value , où la valeur est 0 à 255.
• Une valeur de 0 ne devient pas une DR ou une BDR.
• Une valeur de 1 à 255 sur l'interface rend plus probable que le routeur devienne le DR ou le BDR.
L'exemple montre les commandes utilisées pour modifier la priorité de l'interface R1 G0/0/0 de 1 à 255, puis réinitialiser le processus OSPF.
• Pour ajuster la bande passante de référence, utilisez la command auto-cost reference-bandwidth Mbps en mode de configuration de routeur.
• Cette commande doit être configurée sur chaque routeur du domaine OSPF.
• Notez dans la commande que la valeur est exprimée en Mbps; par conséquent, pour ajuster les coûts pour Gigabit Ethernet, utilisez la commande auto-cost reference-
bandwidth 1000. Pour 10 Gigabit Ethernet, utilisez la commande auto-cost reference-bandwidth 10000.
• Pour revenir à la bande passante de référence par défaut, utilisez la commande auto-cost reference-bandwidth 100 .
• Une autre option consiste à modifier le coût sur une interface spécifique à l'aide de la commande ip ospf cost cost .
• Utilisez la commande show ip ospf interface pour vérifier le coût OSPFv2 assigné à l'interface 0/0/0 de R1.
PARTIE 5
• En supposant que la commande auto-cost reference-bandwidth 10000 ait été configurée sur les trois routeurs, le coût des liaisons entre chaque routeur est maintenant de 10.
Les interfaces de bouclage ont un coût par défaut de 1.
• Vous pouvez calculer le coût pour chaque routeur pour atteindre chaque réseau.
• Par exemple, le coût total pour R1 pour atteindre le réseau 10.10.2.0/24 est de 11. En effet, le lien vers le coût R2 = 10 et le coût par défaut de bouclage = 1. 10 + 1 = 11.
Pour modifier la valeur de coût déclarée par le routeur OSPF local à d'autres routeurs OSPF, utilisez la commande de configuration de l'interface ip ospf cost value .
o Configuration
• L'intervalle Dead est la période pendant laquelle le routeur attend de recevoir un paquet Hello avant de déclarer le voisin en panne. Ce délai est de 40 secondes sur les réseaux multi-
accès et point à point.
• Il peut être souhaitable de modifier les minuteurs OSPF afin que les routeurs détectent plus rapidement les défaillances du réseau. Cela augmente le trafic, mais le besoin d'une
convergence rapide est parfois plus important que les inconvénients du trafic supplémentaire produit.
• Les intervalles Hello et Dead OSPFv2 peuvent être modifiés manuellement au moyen des commandes suivantes de mode de configuration d'interface :\
o Configuration
PARTIE 5
o Configuration
Dans l'exemple, R2 est configuré avec un bouclage pour simuler une connexion à l'internet. Une route par défaut est configurée et propagée à tous les autres routeurs OSPF du
domaine de routage.
<output omitted>
OSPFv3
• OSPFv3 est l'équivalent OSPFv2 pour l'échange de préfixes IPv6. L'OSPFv3 échange des informations de routage pour renseigner la table de routage IPv6 avec des préfixes
distants.
• OSPFv3 dispose des mêmes fonctionnalités qu'OSPFv2, à la différence près qu'il utilise IPv6 comme transport de couche réseau, en communiquant avec les homologues OSPFv3
et en annonçant les routes IPv6.
• OSPFv3 utilise également l'algorithme SPF comme moteur de calcul pour déterminer les meilleurs chemins dans l'ensemble du domaine de routage.
• OSPFv3 a des processus distincts par rapport à son homologue IPv4. Les processus et les opérations sont fondamentalement les mêmes que dans le protocole de routage IPv4,
mais ils fonctionnent indépendamment.
PARTIE 5
OSPFv3 vs OSPFv2
Adresses link-local
• Une adresse link-local IPv6 permet à un appareil de communiquer avec d'autres appareils IPv6 sur la même liaison et uniquement sur cette liaison (sous-réseau).
• Les paquets associés à une adresse source ou de destination link-local ne peuvent pas être acheminés au-delà de leur liaison d'origine.
• Les adresses link-local IPv6 sont utilisées pour échanger les messages OSPFv3.
PARTIE 5
Sortie Description
Neighbor ID L'ID de routeur du routeur voisin
Pri Le niveau de priorité OSPFv3 de l'interface utilisé dans le processus de sélection DR/BDR
État L'état OSPFv3 – Full signifie que l'algorithme a été exécuté pour la base de données d'état des liaisons et que le routeur voisin
et R1 disposent de LSDB identiques.
Les interfaces Ethernet à accès multiple peuvent apparaître comme 2WAY.
PARTIE 5
• Exécutez la commande show ipv6 ospf interface pour afficher une liste détaillée de chaque interface compatible OSPFv3.
• La commande show ipv6 ospf interface brief est un résultat plus facile pour vérifier que les interfaces sont utilisées pour OSPFv3.
PARTIE 5
1,5 heures
CHAPITRE 2
Implémenter le protocole BGP
Défini par la RFC1771 sur 16bits soit 65535 possibilities, Gere par l’IANA et ses délégations
• Routage politique
- contrôler l’accessibilité des préfixes (routes)
Politique de routage
• Définition de ce que vous acceptez ou envoyez aux autes
- connexion économique, partage de charge, etc...
• Accepter des routes de certains FAI et pas d’autres Pour que AS 1 et AS 2 puissent communiquer :
AS1 annonce des routes à AS2
• Envoyer des routes à certains FAI et pas à d’autres AS2 accepte des routes de AS1
AS2 annonce des routes à AS1
PARTIE 5
• Préferrer les routes d’un FAI plutôt que d’un autre AS1 accepte des routes de AS2
Peering et transit
• Default – Destination par défaut lorsqu’il n’y a pas de routes spécifiques dans la table de routage
PARTIE 5
Le protocole BGP
eBGP
• BGP (Path Vector Protocol) est un protocole EGP utilisé entre AS
• Chaque AS est le point de départ d’un ensemble de préfixes (NLRI) Routeurs BGP appelés eBGP
peers (voisins)
• Les préfixes sont échangés dans les sessions BGP
• Chaque routeur iBGP doit établir une session avec tous les
autres routeurs iBGP du même AS
Le protocole BGP
Quand utiliser BGP?
BGP est le plus approprié quand au moins une des conditions suivantes existe:
BGP n'est pas toujours très approprié. Ne pas utiliser BGP si vous avez une des conditions suivantes :
• Manque de mémoire ou de puissance CPU sur les routeurs BGP pour gérer les mises à jour
PARTIE 5
• Maîtrise insuffisante du processus de sélection de chemin BGP et du filtrage de route iBGP pour le transport
- Quelques/Tous les préfixes Internet à travers le backbone de l’ISP
• Faible bande passante entre systèmes autonomes - Préfixe des clients des ISP
eBGP utilisé
→Utilisez des routes Statiques à la place de BGP. - Exchanger les préfixes avec les autres AS
- Implémente la politique de routage
Paquet BGP
• Chaque message (Min 19 Octets, Max 4096 Octets) comprend un en-tête constitué de trois champs:
• Marker (16 octets) : Authentifie les messages BGP entrants ou détecte une perte de synchronisation
• Open : Etablissement d'une connexion BGP. Contient : version BGP, N°AS, Hold time, Router ID
• Keepalive :
• Notification :
PARTIE 5
Informe le routeur récepteur de la présence d'erreurs La connexion est fermée après l'envoi de ce message
• Update :
Contient toutes les informations que BGP utilise Informations concernant un chemin Constitués de trois composantes: NLRI (Network Layer Reachability Information) Attributs
de chemins Routes retirée.
▪ Pour autoriser ces nouvelles adresses, MBGP a quelques nouvelles fonctionnalités que l'ancien BGP n'a pas :
• Identifiant de famille d'adresses ultérieures (SAFI) : Contient des informations supplémentaires pour certaines familles d'adresses.
• Informations d'accessibilité de la couche réseau multiprotocole inaccessible (MP_UNREACH_NLRI) : il s'agit d'un attribut utilisé pour transporter les réseaux inaccessibles.
• Annonce des capacités BGP : Ceci est utilisé par un routeur BGP pour annoncer à l'autre routeur BGP quelles capacités il prend en charge. MP-BGP et BGP-4 sont
compatibles, le routeur BGP-4 peut ignorer les messages qu'il ne comprend pas.
▪ Étant donné que MP-BGP prend en charge IPv4 et IPv6, nous avons plusieurs
options. Les routeurs MP-BGP peuvent devenir voisins en utilisant des adresses
PARTIE 2
interface Serial 0
interface Serial 0 ip address 222.222.10.1 255.255.255.252
PARTIE 5
AS 100 AS 101
Session TCP iBGP
222.222.10.0/30
A .2 220.220.8.0/24 .1 B .2 .1 C .2 220.220.16.0/24 .1 D
Commande Description
show ip bgp Affiche les entrées de la table de routage BGP. Vous pouvez spécifier un numéro de réseau pour avoir des informations
plus spécifiques sur un préfixe ou utiliser le mot -clé subnets pour avoir des informations plus spécifiques sur un préfixe et
tous ses sous-réseaux.
show ip bgp summary Affiche un résumé des connexions BGP
show ip bgp neighbors Affiche des informations détaillées sur chaque connexion BGP
show ip bgp paths Affiche tous les chemins BGP de la base de données
Paramètres Description
address Adresse du voisin duquel vous avez appris les routes. Sans cet argument tous les voisins sont affichés.
received-routes Affiche toutes les routes reçues du voisin (celles acceptées et celles refusées).
PARTIE 5
routes Affiche toutes les routes acceptées et refusées. C'est un sous-ensemble du mot-clé received-routes.
advertised-routes Affiche toutes les routes annoncées vers le voisin.
paths regular-expression Spécifie une expression régulière utilisée pour établir une correspondance avec les chemins reçus.
dampened-routes Affiche toutes les routes momentanément indisponibles avec le voisin à l'adresse spécifiée.
9.5 heures
CHAPITRE 1
Étudier les réseaux étendus
2.5 heures
CHAPITRE 1
Étudier les réseaux étendus
1. Concepts WAN
2. Connectivite WAN traditionnelle
3. Connectivite WAN moderne
4. Options de connectivité Internet
01 - Étudier les réseaux étendus
Concepts WAN
LAN et WAN
Un réseau étendu est un réseau de télécommunications qui s'étend sur une zone géographique relativement vaste et qui doit se connecter au-delà des limites du réseau local.
PARTIE 6
• Une connexion WAN publique est généralement fournie par un FAI ou un fournisseur de services de télécommunication utilisant l'internet. Dans ce cas, les niveaux de service et la
bande passante peuvent varier et les connexions partagées ne garantissent pas la sécurité.
PARTIE 5
Topologies WAN
Les WAN sont implémentés à l'aide des conceptions de topologie logiques suivantes:
o Topologie en étoile
• Topologie point à point
• Topologie en étoile
• Topologie à double résidence • Permet de partager une interface unique sur le routeur du concentrateur avec tous les
• Topologie à maillage global circuits en étoile.
• Topologie partiellement maillée
Remarque : Les grands réseaux déploient généralement une combinaison de ces topologies.
•
PARTIE 5
Topologies WAN
o Topologie à double résidence o Topologie à maillage global
• Elle offre une meilleure redondance du réseau, un équilibrage des charges, un
calcul et un traitement distribués, et la possibilité de mettre en place des
connexions de fournisseurs de services de secours. • Utilise plusieurs circuits virtuels pour connecter
tous les sites
• La topologie la plus tolérante aux pannes
Connexions de transporteur
Le fournisseur de services peut ou non être le transporteur réel. Un transporteur possède et entretient la connexion physique et l'équipement entre le fournisseur et le client. En règle
générale, une organisation choisit une connexion WAN à une seule ou à deux entreprises.
PARTIE 6
o Réseau local
PARTIE 6
Protocoles de couche 1
• Synchronous Digital Hierarchy (SDH)
• Synchronous Optical Networking (SONET)
• Multiplexage en longueur d'onde dense (DWDM)
Protocoles de couche 2
• Large bande (c.-à-d. DSL et câble)
• Sans-fil
• WAN Ethernet (Metro Ethernet)
• Commutation multiprotocole par étiquette (MPLS)
• PPP (Point-to-Point Protocol)
• HDLC (High Level Data Link Control)
• Relais de trame (Frame relay)
• Mode de transfert asynchrone (ATM)
PARTIE 6
Périphériques WAN
Il existe de nombreux types d'appareils spécifiques aux environnements WAN :
PARTIE 6
Deux normes OSI de fibre optique de couche 1 sont disponibles pour les fournisseurs de services:
• SDH - Synchronous Digital Hierarchy (SDH) est une norme mondiale pour le transport de données sur un câble à fibre optique.
• SONET - Synchronous Optical Networking (SONET) est la norme nord-américaine qui fournit les mêmes services que SDH.
SDH/SONET définissent comment transférer un trafic multiple de données, de voix et de vidéo sur fibre optique sans laser ou LED sur de grandes distances.
Dense Wavelength Division Multiplexing (DWDM) est une technologie plus récente qui augmente la capacité de charge des données de SDH et SONET en envoyant simultanément
plusieurs flux de données (multiplexage) en utilisant différentes longueurs d'onde de lumière.
PARTIE 6
1. Concepts WAN
2. Connectivite WAN traditionnelle
3. Connectivite WAN moderne
4. Options de connectivité Internet
01 - Étudier les réseaux étendus
Connectivite WAN traditionnelle
Ligne louée
Le terme ligne louée fait référence au fait que l'organisation paie tous les mois un certain montant à un fournisseur de services pour utiliser la ligne.
• Les lignes louées sont disponibles dans différentes capacités fixes et leur prix est généralement basé sur la largeur de bande requise et la distance entre les deux points connectés.
• Deux systèmes sont utilisés pour définir la capacité numérique d'une liaison série média cuivre:
• T-carrier - Utilisé en Amérique du Nord, T-carrier fournit des liaisons T1 prenant en charge la bande passante jusqu'à 1,544 Mbps et des liaisons T3 prenant en charge la bande
passante jusqu'à 43,7 Mbps.
• E-carrier - Utilisé en Europe, e-carrier fournit des liaisons E1 prenant en charge la bande passante jusqu'à 2,048 Mbps et des liaisons E3 prenant en charge la bande passante
jusqu'à 34,368 Mbps.
Avantages
Simplicité Les liaisons de communication point à point ne nécessitent que peu d'expertise pour leur installation et leur maintenance.
Qualité Les liaisons de communication point à point offrent habituellement une grande qualité de service, si la bande passante est adaptée.
Disponibilité Une disponibilité constante est essentielle pour certaines applications, telles que commerce électronique. Les liaisons de communication point à
point offrent une capacité permanente dédiée, nécessaire pour la voix ou la vidéo sur IP.
Inconvénients
PARTIE 6
Coût Les liaisons point à point sont généralement le type d'accès WAN le plus coûteux. Le coût des liaisons louées peut être important lorsqu’elles servent à
connecter plusieurs sites répartis sur des grandes distances.
Flexibilité limitée Le trafic WAN est souvent variable et les lignes louées possèdent une capacité fixe, de telle sorte que la bande passante de la ligne correspond rarement
de manière exacte à ce qui est nécessaire.
RTPC RNIS
PARTIE 6
La commutation de paquets fractionne le trafic en paquets qui sont acheminés sur un réseau partagé. Il permet à plusieurs paires de nœuds de communiquer sur le même canal.
Il existe deux options traditionnelles (anciennes) de commutation de paquet:
Relais de Trame (Frame Relay)
• Frame Relay est une technologie WAN simple de couche 2 NBMA (non-broadcast multi-access) utilisée pour connecter des LAN d'entreprises entre eux.
• Frame Relay crée des circuits virtuels permanents identifiés grâce à un identifiant de connexion de liaison de données (DLCI).
1. Concepts WAN
2. Connectivite WAN traditionnelle
3. Connectivite WAN moderne
4. Options de connectivité Internet
01 - Étudier les réseaux étendus
Connectivité WAN moderne
WAN modernes
Les WAN modernes ont plus d'options de connectivité que les WAN traditionnels.
• Les entreprises ont désormais besoin d'options de connectivité WAN plus rapides et plus flexibles.
• Les options de connectivité WAN traditionnelles ont rapidement diminué parce qu'elles ne sont plus disponibles, trop coûteuses ou ont une bande passante limitée.
PARTIE 6
Commutation de paquets
• Ethernet métropolitain (Metro E) - Remplacement de nombreuses options WAN
traditionnelles.
• MPLS - Permet aux sites de se connecter au fournisseur, quelles que soient ses
technologies d'accès.
WAN Ethernet
Les fournisseurs de services proposent maintenant un service WAN Ethernet basé sur un câblage à fibre optique.
Le service WAN Ethernet peut prendre de nombreux noms, notamment les suivants:
• Ethernet métropolitain (Metro E)
• EoMPLS (Ethernet over MPLS)
• Service LAN privé virtuel (VPLS)
MPLS
Multiprotocol Label Switching (MPLS) est une technologie de routage WAN de fournisseur de services haute performance pour interconnecter les clients sans tenir compte de la méthode
d'accès ou de la charge utile.
• MPLS prend en charge diverses méthodes d'accès client (par exemple, Ethernet, DSL, câble, relais de trame).
• MPLS peut encapsuler tous les types de protocoles, y compris le trafic IPv4 et IPv6.
• Un routeur MPLS peut être un routeur Edge client (CE), un routeur Edge fournisseur (PE) ou un routeur Fournisseur interne (P).
• Les routeurs MPLS sont des routeurs à changement d'étiquette (LSR). Ils attachent des étiquettes aux paquets qui sont ensuite utilisés par d'autres routeurs MPLS pour transférer le
trafic.
• MPLS fournit également des services pour la prise en charge de la QoS, l'ingénierie du trafic, la redondance et les VPN.
PARTIE 6
1. Concepts WAN
2. Connectivite WAN traditionnelle
3. Connectivite WAN moderne
4. Options de connectivité Internet
01 - Étudier les réseaux étendus
Options de connectivité Internet
• La connectivité à large bande basée sur l'internet est une alternative à l'utilisation d'options WAN dédiées.
• La connectivité Internet peut être divisée en options filaires et sans fil.
PARTIE 6
Technologie DSL
La technologie DSL est une technologie de connexion permanente qui utilise les lignes téléphoniques à paire torsadée existantes pour transmettre les données à large bande passante et
offre des services IP à ses abonnés.
Les DSL sont classés comme ADSL asymétrique (ADSL) ou DSL symétrique (SDSL).
• Le service ADSL+2 offre à l’utilisateur une bande passante pour le téléchargement vers l’utilisateur supérieure à celle du transfert d’informations dans la direction opposée.
• Le service SDSL fournit la même capacité dans les deux sens.
Le service DSL taux de transfert varient en fonction de la longueur réelle de la boucle locale, ainsi que du type et de la condition du câblage.
PARTIE 6
Connexions DSL
Les opérateurs télécoms déploient des connexions DSL dans la boucle locale. La connexion est configurée entre le modem DSL et le multiplexeur d'accès DSL (DSLAM).
▪ DSL et PPP
Les ISP utilisent toujours PPP comme protocole de couche 2 pour les connexions DSL à large bande.
Technologie de câble
La technologie de câble est une technologie de connexion permanente à haute vitesse qui utilise un câble coaxial de l'entreprise de distribution pour fournir des services IP aux
utilisateurs.
La norme internationale DOCSIS (Data over Cable Service Interface Specification) permet d'ajouter les données haut-débit à un système de câblage existant.
PARTIE 6
Fibre optique
De nombreuses municipalités, villes et fournisseurs installent un câble à fibre optique à
l'emplacement de l'utilisateur. Ceci est communément appelé Fibre to the x (FTTx) et
comprend ce qui suit:
• FTTH (Fibre to the Home) - Fibre atteint la limite de la résidence.
• FTTB (Fiber to the Building) - La fibre atteint la limite du bâtiment avec la connexion
finale à l'espace de vie individuel étant faite par des moyens alternatifs.
• FTTN (Fibre to the Node/Neighborhood) - Le câblage optique atteint un nœud optique
qui convertit les signaux optiques dans un format acceptable pour la paire torsadée ou
le câble coaxial vers le local.
Remarque : FTTx peut fournir la bande passante la plus élevée de toutes les options haut
débit.
PARTIE 6
La technologie sans fil utilise le spectre radio disponible pour envoyer et recevoir des données.
• Wi-Fi Municipal - fournissent un accès à l'internet à haut débit gratuitement ou à un prix nettement
inférieur à celui des autres services à large bande.
• Cellulaire -3G/4G/5G et Long-Term Evolution (LTE) sont des technologies cellulaires.
• Internet par satellite - Généralement utilisé par les utilisateurs ruraux ou dans les régions éloignées
où le câble et l'ADSL ne sont pas disponibles.
• WiMAX - La technologie WiMAX est décrite dans la norme IEEE 802.16 qui fournit un service à haut-
débit avec accès sans fil et offre une couverture étendue.
PARTIE 6
Technologie VPN
Un VPN est une connexion chiffrée entre réseaux privés sur un réseau public. Les tunnels VPN sont acheminés via l'internet à partir du réseau privé de l'entreprise vers le site distant ou
l'hôte de l'employé.
• VPN site à site- Les paramètres VPN sont configurés sur les routeurs. Les clients ne savent pas que leurs données sont cryptées.
• Accès à distance- L'utilisateur est conscient et initie une connexion d'accès à distance.
PARTIE 6
• Single-home
• Multihome
• Double home
• Double-multihome
PARTIE 6
3.5 heures
CHAPITRE 2
Sécuriser l’accès aux réseaux
o Attaques de reconnaissance
Technique Description
Exécuter une requête d'information sur L'acteur de menace recherche les premières informations sur une cible. Divers outils peuvent être utilisés, notamment la recherche Google, le site Web
une cible des organisations, le whois, etc.
La requête d'informations révèle généralement l'adresse réseau de la cible. L'acteur de menace peut désormais lancer un balayage ping pour déterminer
Lancer un balayage ping du réseau cible
quelles adresses IP sont actives.
Lancer l'analyse des ports des adresses IP Ceci est utilisé pour déterminer quels ports ou services sont disponibles. Exemples d'analyseurs de ports: Nmap, SuperScan, Angry IP Scanner et
actives NetScanTools.
PARTIE 6
Il s'agit d'interroger les ports identifiés pour déterminer le type et la version de l'application et du système d'exploitation qui s'exécutent sur l'hôte. Des
Exécuter des scanners de vulnérabilité
exemples d'outils incluent Nipper, Core Impact, Nessus, SAINT et Open VAS.
L'acteur de menace tente maintenant de découvrir des services vulnérables qui peuvent être exploités. Des exemples d'outils d'exploitation de
Exécuter des outils d'exploitation
vulnérabilité comprennent Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit et Netsparker.
Les acteurs de menace utilisent des attaques d'accès sur les périphériques réseau et les ordinateurs pour récupérer des données, y accéder ou pour augmenter les privilèges d'accès au
statut d'administrateur.
• Exploiter la confiance
• Redirection de port
• Attaques de l'homme-au-milieu
Techniques d'attaque IP
Les acteurs de menace utilisent des paquets d'écho (ping) ICMP (Internet Control Message Protocol) pour découvrir les sous-
Attaques ICMP réseaux et les hôtes sur un réseau protégé, pour générer des attaques par inondation DoS et pour modifier les tables de routage
des hôtes.
Amplification et Les acteurs de menace tentent d'empêcher les utilisateurs légitimes d'accéder aux informations ou aux services à l'aide d'attaques
attaques par réflexion DoS et DDoS.
Les acteurs de menace usurpent l'adresse IP source dans un paquet IP pour effectuer une usurpation aveugle ou une usurpation
Attaques par usurpation d'adresse
non aveugle.
Les acteurs de menace se positionnent entre une source et une destination pour surveiller, capturer et contrôler de manière
Attaques de l'homme-au-milieu (MITM) transparente la communication. Ils pourraient espionner en inspectant les paquets capturés, ou modifier les paquets et les
transmettre à leur destination d'origine.
Détournement de session Les acteurs de menace accèdent au réseau physique, puis utilisent une attaque MITM pour détourner une session
PARTIE 6
Attaques ICMP
Demande d'écho ICMP et réponse d'écho Ceci est utilisé pour effectuer une vérification de l'hôte et des attaques DoS.
ICMP inaccessible Il est utilisé pour effectuer des attaques de reconnaissance et de balayage de réseau.
Réponse de masque ICMP Ceci est utilisé pour mapper un réseau IP interne.
Ceci est utilisé pour attirer un hôte cible dans l'envoi de tout le trafic via un appareil compromis et créer une
Redirection ICMP
attaque MITM.
Découverte du routeur ICMP Ceci est utilisé pour injecter des entrées de route fausses dans la table de routage d'un hôte cible.
PARTIE 6
• Les cyberpirates utilisent souvent des techniques d'amplification et de réflexion pour créer
des attaques DoS.
• L'exemple de la figure illustre une attaque Smurf utilisée pour submerger un hôte cible.
Remarque: De nouvelles formes d'attaques d'amplification et de réflexion telles que les attaques
de réflexion et d'amplification basées sur DNS et les attaques d'amplification NTP (Network Time
Protocol) sont désormais utilisées.
• Les acteurs de menace utilisent également des attaques d'épuisement des ressources pour
planter un hôte cible ou pour consommer les ressources d'un réseau.
PARTIE 6
Attaques TCP
TCP SYN Attaque par inondation
1. L'acteur de menace envoie plusieurs demandes SYN à un serveur Web.
2. Le serveur Web répond avec des SYN-ACK pour chaque demande SYN et attend
de terminer la négociation à poignée de main à trois voies. L'acteur de menace
ne répond pas aux SYN-ACK.
3. Un utilisateur valide ne peut pas accéder au serveur Web car le serveur Web
possède trop de connexions TCP semi-ouvertes.
PARTIE 6
Attaques UDP
• UDP n'est protégé par aucun cryptage. Vous pouvez ajouter un chiffrement à UDP, mais il n'est pas disponible par défaut. L'absence de cryptage signifie que n'importe qui peut voir
le trafic, le modifier et l'envoyer à sa destination.
• UDP Flood Attacks: L'acteur de menace utilise un outil comme UDP Unicorn ou Low Orbit Ion Cannon. Ces outils envoient un flot de paquets UDP, souvent à partir d'un hôte usurpé,
vers un serveur du sous-réseau. Le programme balaye tous les ports connus afin de trouver les ports fermés. Cela entraînera le serveur de répondre avec un message inaccessible du
port ICMP. Étant donné qu'il existe de nombreux ports fermés sur le serveur, cela crée beaucoup de trafic sur le segment, qui utilise la majeure partie de la bande passante. Le
résultat est très similaire à une attaque DoS.
PARTIE 6
Attaque ARP
Empoisonnement du cache ARP
L'empoisonnement du cache ARP peut être utilisé pour lancer diverses attaques de l'homme-au-milieu.
1. PC-A requiert l'adresse MAC de sa passerelle par défaut (R1); par conséquent, il envoie une demande ARP pour l'adresse MAC de 192.168.10.1.
2. R1 met à jour son cache ARP avec les adresses IP et MAC de PC-A. R1 envoie une réponse ARP à PC-A, qui met ensuite à jour son cache ARP avec les adresses IP et MAC de
R1.
3. L'acteur de menace envoie deux réponses ARP usurpées gratuitement en utilisant sa propre adresse MAC pour les adresses IP de destination indiquées. PC-A met à jour son
cache ARP avec sa passerelle par défaut qui pointe maintenant vers l'adresse MAC hôte de l'acteur de menace. R1 met également à jour son cache ARP avec l'adresse IP de
PC-A pointant vers l'adresse MAC de l'acteur de menace.
PARTIE 6
Attaques DNS
Les attaques DNS sont les suivantes:
Attaques du résolveur ouvert DNS: un résolveur ouvert DNS répond aux requêtes des clients en dehors de son domaine administratif. Les résolveurs ouverts DNS sont vulnérables à
plusieurs activités malveillantes :
Attaques DHCP
• Une attaque d'usurpation DHCP se produit lorsqu'un serveur DHCP non autorisé est connecté au réseau et fournit de faux paramètres de configuration IP aux clients légitimes.
Un serveur non autorisé peut fournir de nombreuses informations erronées :
• Passerelle par défaut incorrecte - L'acteur de menace fournit une passerelle non valide ou l'adresse IP de son hôte pour créer une attaque MITM. Cela peut ne pas être
détecté car l'intrus intercepte le flux de données à travers le réseau.
• Serveur DNS incorrect - L'acteur de menace fournit une adresse de serveur DNS incorrecte orientant l'utilisateur vers un site Web malveillant.
• Adresse IP incorrecte - L'acteur de menace fournit une adresse IP non valide, une adresse IP de passerelle par défaut non valide, ou les deux. L'acteur de la menace crée
ensuite une attaque DoS sur le client DHCP.
PARTIE 6
• Serveur AAA
• Tous les périphériques réseau, y compris le routeur et les commutateurs, sont renforcés.
Pare-feu
Un pare-feu est un système ou un groupe de systèmes qui applique une stratégie de contrôle d'accès entre les réseaux.
PARTIE 6
IPS
Les technologies IDS et IPS détectent les modèles de trafic réseau à l'aide de signatures, qui sont un
ensemble de règles utilisées pour détecter les activités malveillantes.
La figure montre comment un IPS gère le trafic refusé.
1. L'acteur de menace envoie un paquet destiné à l'ordinateur portable cible.
2. L'IPS intercepte le trafic et l'évalue par rapport aux menaces connues et aux stratégies configurées.
3. L'IPS envoie un message de journal à la console de gestion.
4. L'IPS abandonne le paquet.
PARTIE 6
Le nombre de listes ACL pouvant être appliquées sur une interface de routeur est limité.
Par exemple, une interface de routeur double empilée (c'est-à-dire IPv4 et IPv6) peut
avoir jusqu'à quatre ACL appliquées, comme indiqué sur la figure.
Remarque: il n'est pas nécessaire de configurer les listes de contrôle d'accès dans les
deux directions. Le nombre d'ACL et leur direction appliquée à l'interface dépendront
de la stratégie de sécurité de l'organisation.
PARTIE 6
Directive Avantage
Créez vos listes de contrôle d'accès conformément à la stratégie de sécurité de votre Vous serez ainsi certain d'implémenter les instructions relatives à la sécurité
entreprise. organisationnelle.
Écrivez ce que vous voulez que l'ACL fasse. Vous éviterez ainsi de créer d'éventuels problèmes d'accès par mégarde.
Utilisez un éditeur de texte pour créer, modifier et enregistrer les listes de contrôle
Vous pourrez ainsi créer une bibliothèque de listes de contrôle d'accès réutilisables.
d'accès.
Documentez les ACL à l'aide de la commande remark . Cela vous aidera (et d'autres) à comprendre le but d'un ACE.
Testez vos listes de contrôle d'accès sur un réseau de développement avant de les
Vous éviterez ainsi de commettre des erreurs coûteuses.
PARTIE 6
Router(config) # ip access-list access-list-number {permit | deny |remark text} source [source-wildcard] [log]
• Les noms des listes de contrôle d'accès doivent contenir uniquement des caractères alphanumériques, sont sensibles à la casse et doivent être uniques.
• Pour supprimer une ACL standard numérotée, utilisez la commande de configuration globale no access-list access-list-number.
• Pour supprimer une ACL standard nommée, utilisez la commande de configuration globale no access-list standard access-list-name.
Une fois qu'une ACL IPv4 standard est configurée, elle doit être liée à une interface ou à une fonctionnalité.
• La commande ip access-group est utilisée pour lier une ACL IPv4 standard numérotée ou nommée à une interface.
• Pour supprimer une ACL d'une interface, entrez d'abord la commande de configuration de l'interface no ip access-group
PARTIE 6
• ACE ACL peut être supprimé ou ajouté à l'aide des numéros de séquence ACL.
PARTIE 6
Configuration des ACL pour IPv4 : Modifier les listes de contrôle d'accès IPv4
▪ Verifier une ACL
Pour vérifier la configuration d’ ACL on utilise la commande show access-lists .
Les ACL étendues offrent un plus grand degré de contrôle. Ils peuvent filtrer sur l'adresse source, l'adresse de destination, le protocole (c'est-à-dire IP, TCP, UDP, ICMP) et le numéro
de port.
• L'utilisation principale de NAT consiste à limiter la consommation des adresses IPv4 publiques.
• La NAT permet aux réseaux d'utiliser des adresses IPv4 privées en interne, et traduit ces adresses en une adresse publique lorsque nécessaire.
• Un routeur NAT fonctionne généralement à la périphérie d'un réseau d'extrémité.
• Lorsqu'un périphérique à l'intérieur du réseau stub veut communiquer avec un périphérique en dehors de son réseau, le paquet est transmis au routeur périphérique qui effectue le
processus NAT, traduisant l'adresse privée interne du périphérique en une adresse publique, externe et routable.
PARTIE 6
PC1 souhaite communiquer avec un serveur Web externe dont l'adresse publique est 209.165.201.1.
PARTIE 6
Terminologie NAT
La fonction NAT comprend quatre types d'adresses : Adresse locale interne - Adresse globale interne - Adresse locale externe - Adresse globale externe
PARTIE 6
Caractéristiques de NAT
▪ Bénéfices de la NAT
La NAT offre de nombreux avantages:
• La fonction NAT ménage le schéma d’adressage enregistré légalement en autorisant la privatisation des intranets.
• Elle économise les adresses au moyen d’un multiplexage au niveau du port de l’application.
• La fonction NAT augmente la souplesse des connexions au réseau public.
• La fonction NAT assure la cohérence des schémas d’adressage du réseau interne.
• La NAT permet de conserver le schéma des adresses IPv4 privées existant et de passer facilement à un nouveau schéma d'adressage public.
• La NAT cache les adresses IPv4 des utilisateurs et autres périphériques.
▪ Inconvénients de la NAT
La NAT présente également des inconvénients:
• La NAT augmente les délais de transfert.
PARTIE 6
NAT statique
La NAT statique utilise un mappage un à un des adresses locales et globales configurées par l'administrateur réseau qui restent constantes.
PARTIE 6
NAT dynamique
La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la méthode du premier arrivé, premier servi.
PARTIE 6
NAT PAT
Un mappage un-à-un entre une adresse locale interne et une adresse globale
Une adresse globale interne peut être mappée à de nombreuses adresses locale interne.
interne.
Utilise les adresses IPv4 et les numéros de port source TCP ou UDP dans le processus de
Utilise uniquement les adresses IPv4 dans le processus de traduction.
traduction.
Une adresse globale interne unique est requise pour chaque hôte interne Une seule adresse globale interne unique peut être partagée par plusieurs hôtes internes
accédant au réseau externe. accédant au réseau externe.
Remarque: Ces messages et d'autres protocoles qui n'utilisent pas les numéros de port TCP ou UDP peuvent varier et sortent du cadre de ce programme.
• Étape 1 - Définissez le pool d'adresses à utiliser pour la traduction en utilisant la commande ip nat pool .
• Étape 2 - Configurez une liste de contrôle d'accès (ACL) standard pour identifier (autoriser) uniquement les adresses qui doivent être traduites.
• Étape 3 - Liez l'ACL au pool, en utilisant la commande ip nat inside source list .
• Étape 4 - Identifiez quelles interfaces sont à l'intérieur.
• Étape 5 - Identifiez quelles interfaces sont à l'extérieur.
PARTIE 6
Commande Description
Efface toutes les entrées de traduction dynamique d'adresses de la table de traduction
clear ip nat translation *
NAT.
clear ip nat translation inside global-ip local-ip [outside local- Efface une entrée de traduction dynamique simple contenant une traduction interne ou une
ip global-ip] traduction à la fois interne et externe.
clear ip nat translation protocol inside global-ip global-port
local-ip local-port [ outside local-ip local-port global-ip Efface une entrée de traduction dynamique étendue.
global-port]
• La commande show ip nat statistics affiche des informations sur le nombre total de traductions actives, les paramètres de configuration NAT, le nombre d’adresses dans le pool et le
PARTIE 6
Analyser PAT
▪ Analyser PAT - Serveur à PC ▪ Analyser PAT - PC à Serveur
PARTIE 6
NAT64
▪ NAT pour IPv6?
• La NAT pour IPv6 est utilisée dans un contexte très différent de la NAT pour IPv4. Elles ne servent pas à traduire des adresses IPv6 privées en adresses IPv6 globales.
• Les différentes NAT pour IPv6 servent à fournir de façon transparente un accès entre les réseaux IPv6-unique et les réseaux ipv4-unique.
• IPv6 permet la traduction de protocole entre IPv4 et IPv6 connu sous le nom de NAT64.
• La NAT pour IPv6 ne doit pas être utilisée en tant que stratégie à long terme, mais comme un mécanisme temporaire permettant d'aider à la migration d'IPv4 vers IPv6.
PARTIE 6
Technologies VPN
• Réseau privé virtuel
• Réseaux privés virtuels (VPN) pour créer des connexions de réseau privé de bout en bout.
• Un VPN est virtuel en ce sens qu'il transporte des informations au sein d'un réseau privé, mais que ces informations sont effectivement transférées via un réseau public.
• Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il est transporté à travers le réseau public.
PARTIE 6
Technologies VPN
• Les Bénéfices de VPN
Les VPN modernes prennent en charge les fonctionnalités de chiffrement, telles que les protocoles IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer) pour sécuriser le
trafic réseau entre sites.
• Les principaux avantages des VPN sont présentés dans le tableau:
Bénéfice Description
Réductions des coûts Les organisations peuvent utiliser des VPN pour réduire leurs coûts de connectivité tout en augmentant simultanément la bande passante de
connexion à distance.
Sécurité Les protocoles de chiffrement et d'authentification protègent les données contre les accès non autorisé.
Extensibilité Les VPN permettent aux organisations d'utiliser Internet, ce qui facilite l'ajout de nouveaux utilisateurs sans ajouter d'infrastructure
importante.
Compatibilité Les VPN peuvent être mis en œuvre sur une grande variété d'options de liaison WAN, y compris les technologies à large bande. Les travailleurs
distants peuvent utiliser ces connexions à haut débit pour accéder en toute sécurité aux réseaux d'entreprise.
PARTIE 6
Technologies VPN
• VPN de site à site et d'accès distant
Un VPN de site à site se termine sur les passerelles VPN. Le trafic VPN n'est crypté qu'entre les passerelles. Les hôtes internes ne savent pas qu'un VPN est utilisé.
VPN d'accès à distance est créé dynamiquement lorsque cela est nécessaire pour établir une connexion sécurisée entre un client et un périphérique de terminaison VPN.
PARTIE 6
Technologies VPN
• VPN d'entreprise et de prestataire de service
Les VPN peuvent être gérés et déployés comme:
• VPN d'entreprise - des solutions similaires pour sécuriser le trafic d'entreprise sur l'internet. Les VPN de site à site et d'accès distant sont créés et gérés par l'entreprise à l'aide de
VPN IPsec et SSL.
• VPN des prestataires de services – sont créés et gérés sur le réseau du fournisseur. Le fournisseur utilise la commutation d'étiquette multiprotocole (MPLS) au niveau de la couche 2
ou de la couche 3 pour créer des canaux sécurisés entre les sites d'une entreprise, séparant efficacement le trafic des autres clients.
PARTIE 6
Types de VPN
• VPN d'accès à distance
• Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à l'entreprise.
• Les VPN d'accès à distance sont généralement activés dynamiquement par l'utilisateur lorsque cela est nécessaire et peuvent être créés à l'aide d'IPsec ou de SSL.
• La Connexion VPN sans client - La connexion est sécurisée à l'aide d'une connexion SSL par navigateur Web.
• La Connexion VPN basée sur le client - Le logiciel client VPN tel que Cisco AnyConnect Secure Mobility Client doit être installé sur le terminal de l'utilisateur distant.
PARTIE 6
Types de VPN
• SSL VPNs
SSL utilise l'infrastructure du clé publique et les certificats numériques pour authentifier les pairs.
Le tableau compare les déploiements d'accès à distance IPsec et SSL.
Application prise en charge Vaste – Toutes les applications basées sur IP Limité – Uniquement les applications Web et le partage de fichiers
Force d'authentification Fort – Authentification bidirectionnelle avec clés partagées ou Modéré - authentification unidirectionnelle ou bidirectionnelle
certificats numériques
Force de chiffrement Fort – Longueurs de clé 56-256 bits Modéré à fort - Longueur des clés 40 - 256 bits
Complexité de la connexion Moyen – Nécessite un client VPN installé sur un hôte Faible – Nécessite un navigateur Web sur un hôte
Option de connexion Limité – Seuls les appareils spécifiques avec des configurations Vaste – Tout appareil peut se connecter avec un navigateur Web
spécifiques peuvent se connecter
PARTIE 6
Types de VPN
• GRE sur Ipsec
• Le protocole GRE (Generic Routing Encapsulation) est un protocole de tunneling VPN de site à site non
sécurisé.
• Un tunnel GRE peut encapsuler divers protocoles de couche réseau ainsi que le trafic de multidiffusion
et de diffusion.
• GRE ne prend pas en charge le cryptage par défaut; et par conséquent, il ne fournit pas de tunnel VPN
sécurisé.
• Un paquet GRE peut être encapsulé dans un paquet IPsec pour le transmettre en toute sécurité à la
passerelle VPN de destination.
Les termes utilisés pour décrire l'encapsulation du tunnel GRE sur Ipsec :
• Protocole passager - Il est un paquet d'origine qui doit être encapsulé par GRE. Il peut être un paquet
IPv4 ou IPv6, d'une mise à jour de routage, etc.
• Protocole de transporteur - GRE est le protocole de transporteur qui encapsule le paquet passager
d'origine.
• Protocole de transport - Il est un protocole qui sera réellement utilisé pour transmettre le paquet. Cela
PARTIE 6
• DMVPN est un réseau maillé complet de tunnel IPSEC à la demande avec le HUB via
un tunnel statique basé sur le protocole de routage (OSPF, EIGRP, RIP, …)
o MGRE (GRE Multipoint) : Créer les tunnels
o NHRP (Next Hop Resolution Protocol) : Recherche dynamique de la prochaine IP
HUB/SPOKE
o IPSEC (IP Security) : Chiffrement des données
PARTIE 6
o Routage :
₋ Underlay : pour la connectivité des adresses IP publiques et le montage des
tunnels GRE
₋ Overlay : Pour échanger les routes privées une fois le tunnel de montage
Confidentialité IPSec
Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé utilisée dans l'algorithme de cryptage.
Le nombre de possibilités d'essayer de pirater la clé est fonction de la longueur de la clé - plus la clé est courte, plus il est facile de la casser.
PARTIE 6
Intégrité IPSec
PARTIE 6
Authentification Ipsec
PARTIE 6
IKE policy :
• encryption algorithm: AES 256 • encryption algorithm : DES (56 bits)
• hash algorithm: sha1 • hash algorithm : SHA1
Les valeurs par
• authentication method: Pre-Shared Key • authentication method : RSA Signature
défault
PARTIE 6
exit exit
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
crypto map IPSECMAP 10 ipsec-isakmp
set peer 59.59.59.2
set transform-set IPSECSET
match address 101
exit
interface GigabitEthernet0/0
crypto map IPSECMAP
exit
3.5 heures
CHAPITRE 3
Mettre en place un système de gestion et
de supervision des réseaux
1. Gestion réseau
2. Supervision réseau
3. Dépannage réseau (Network Troubleshooting)
03 - Mettre en place un système de gestion
et de supervision des réseaux
Gestion réseau
Aperçu du CDP
Le CDP est un protocole de couche 2 propriétaire de Cisco qui est utilisé pour recueillir des informations sur les appareils Cisco qui partagent la même liaison de données. CDP fonctionne
indépendamment des supports et protocoles et s'exécute sur tous les périphériques Cisco, tels que routeurs, commutateurs et serveurs d'accès.
Le périphérique envoie des annonces CDP périodiques aux périphériques connectés. Ces annonces partagent des informations sur le type de périphérique détecté, le nom des
périphériques, ainsi que le nombre et le type d'interfaces.
PARTIE 6
Aperçu du LLDP
Le protocole LLDP (Link Layer Discovery Protocol) est un protocole de détection voisin ouvert semblable au protocole CDP. LLDP fonctionne avec des périphériques réseau, tels que des
routeurs, des commutateurs et des points d'accès LAN sans fil. Ce protocole fait connaître son identité et ses capacités à d'autres appareils et reçoit les informations d'un appareil de
couche 2 physiquement connecté.
PARTIE 6
• Pour plus d'informations sur les voisins, utilisez la commande show lldp neighbors detail qui permet d'obtenir la version IOS et l'adresse IP des voisins ainsi que la capacité de l'appareil.
PARTIE 6
• En règle générale, les paramètres de la date et de l'heure sur un routeur ou un commutateur peuvent être définis en utilisant l'une des deux méthodes suivantes :
o Configurer manuellement la date et l'heure
• Le protocole NTP utilise le port UDP 123 et est décrit dans le document RFC 1305.
Opération NTP
• Les serveurs temporels de même niveau de strate peuvent être configurés de manière à agir en
tant qu'homologues avec d'autres serveurs temporels de la même strate en vue de la
sauvegarde ou de la vérification de l'heure.
• Avant que NTP ne soit configuré sur le réseau, la commande show clock affiche l'heure actuelle sur l'horloge du logiciel.
• La commande ntp server ip-address est émise en mode de configuration globale pour configurer le ip-address comme serveur NTP pour ce Routeur.
• Pour vérifier si la source temporelle est définie sur NTP, utilisez à nouveau la commande show clock detail.
• Les commandes show ntp associations and show ntp status sont utilisées pour vérifier que le Routeur est synchronisé avec le serveur NTP.
Procédez comme suit pour sauvegarder la configuration en cours sur un serveur TFTP:
R1# copy running-config tftp
Étape 1. Saisissez la commande copy running-config tftp . Remote host []?192.168.10.254
Name of the configuration file to write[R1-config]? R1-Jun-2022
Étape 2. Entrez l'adresse IP de l'hôte sur lequel le fichier de configuration sera stocké. Write file R1-Jun-2022 to 192.168.10.254? [confirm]
Étape 3. Entrez le nom à attribuer au fichier de configuration. Writing R1-Jun-2022 !!!!!! [OK]
Procédez comme suit pour restaurer la configuration en cours à partir d'un serveur TFTP:
R1# copy tftp: startup-config
Étape 1. Saisissez la commande copy tftp running-config . Remote host []?192.168.10.254
Source filename []? R1-Jun-2022
Étape 2. Saisissez l'adresse IP de l'hôte sur lequel le fichier de configuration est stocké. Destination filename [startup-config]?
Étape 3. Entrez le nom à attribuer au fichier de configuration.
PARTIE 6
Accessing tftp://192.168.10.254/R1-Jun-2022…
Étape 4. Appuyez sur Enter pour confirmer chaque choix. Loading R1-Jun-2022 from 192.168.10.254 : !
[OK – 745 bytes]
• La fonction Flash USB fournit une capacité de stockage secondaire en option et un périphérique d'amorçage supplémentaire.
• Exécutez la commande show file systems pour vérifier que le lecteur USB est là et confirmer son nom.
• Utilisez la commande copy run usb_name/ pour copier le fichier de configuration vers la clé USB.
• Pour restaurer les configurations avec une clé USB, il sera nécessaire de modifier le fichier USB R1-Config avec un éditeur de texte. En partant du principe que le nom de fichier est
R1-Config, utilisez la commande copy usbflash0:/R1-Config running-config pour rétablir une configuration en cours.
PARTIE 6
Étape 2. Modifiez le registre de configuration. Étape 5. Enregistrez le running-config comme nouveau startup-config.
PARTIE 6
Étape 1. Envoyez une requête ping au serveur TFTP. Ping sur le serveur TFTP pour tester la connectivité.
Étape 2. Vérifiez la taille de l'image en flash. Vérifiez que le serveur TFTP possède un espace disque suffisant pour accueillir l'image du logiciel Cisco IOS. Utilisez la commande show
flash0: sur le routeur pour déterminer la taille du fichier image Cisco IOS.
Étape 3. Copiez l'image sur le serveur TFTP Copiez l'image sur le serveur TFTP en utilisant la commande copy source-url destination-url . Une fois la commande exécutée à l'aide des
URL source et de destination spécifiées, l'utilisateur est invité à indiquer le nom du fichier source, l'adresse IP de l'hôte distant et le nom du fichier de destination. Le transfert
PARTIE 6
• Étape 1. Envoyez une requête ping au serveur TFTP. Ping sur le serveur TFTP pour tester la connectivité.
• Étape 2. Vérifiez la quantité de flash libre. Assurez-vous qu'il y a suffisamment d'espace de flash sur l'appareil mis à niveau en utilisant la commande show flash: Comparez
l'espace de mémoire Flash disponible avec la nouvelle taille du fichier d'image.
• Étape 3. Copiez le fichier image IOS du serveur TFTP vers le routeur en utilisant la commande copy tftp: flash: Une fois la commande exécutée à l'aide des URL source et de
destination spécifiées, l'utilisateur est invité à indiquer l'adresse IP de l'hôte distant, le nom du fichier source et le nom du fichier de destination.
1. Gestion réseau
2. Supervision réseau
3. Dépannage réseau (Network Troubleshooting)
03 - Mettre en place un système de gestion
et de supervision des réseaux
Supervision réseau
Introduction au SNMP
• Le protocole SNMP permet aux administrateurs de gérer les périphériques sur un réseau IP. Ces
derniers peuvent ainsi contrôler et gérer les performances du réseau, identifier et résoudre les
problèmes et anticiper la croissance du réseau.
• SNMP est un protocole de couche Application qui procure un format pour les messages de
communication entre les gestionnaires et les agents. Le système SNMP se compose de trois
éléments :
• Gestionnaire SNMP
• Agents SNMP (nœud géré)
• Base d’informations de gestion (MIB)
• Le gestionnaire SNMP interroge les agents et envoie des requêtes à la base de données MIB des
agents sur le port UDP 161. Les agents SNMP envoient les déroutements SNMP au gestionnaire
SNMP sur le port UDP 162.
• L'agent SNMP et la base de données MIB sont présents sur tous les périphériques client SNMP.
• Les MIB contiennent les données relatives aux périphériques et à leur fonctionnement. Elles
peuvent être consultées par tout utilisateur distant authentifié. C'est l'agent SNMP qui est chargé
de fournir l'accès à la MIB locale.
PARTIE 6
Opération SNMP
• Les agents SNMP qui résident sur les appareils gérés collectent et stockent des informations sur l'appareil et son fonctionnement localement dans le MIB. Le gestionnaire SNMP
utilise ensuite l'agent SNMP pour accéder aux informations contenues dans la base de données MIB.
• Il existe deux types principaux de requêtes de gestionnaire SNMP, à savoir get et set. En plus de la configuration, un ensemble peut provoquer une action, comme le redémarrage
d'un routeur.
Operation Description
Récupère une valeur à partir d'une variable dans une table; le gestionnaire
get-next-request SNMP ne doit pas connaître le nom exact de la variable. Une recherche
séquentielle est effectuée afin de trouver la variable requise dans une table.
Récupère des blocs importants de données, comme plusieurs lignes dans
une table, qui autrement nécessiteraient la transmission de nombreux petits
get-bulk-request
blocs de données. (Fonctionne uniquement avec SNMPv2 ou version
ultérieure.)
PARTIE 6
Versions SNMP
• SNMPv1 - Standard hérité défini dans la RFC 1157. Utilise une méthode d'authentification basée sur une chaîne de communauté simple. Ne doit pas être utilisé en raison de
risques de sécurité.
• SNMPv2c - Défini dans les RFCs 1901-1908. Utilise une méthode d'authentification basée sur une chaîne de communauté simple. Fournit des options de récupération en bloc, ainsi
que des messages d'erreur plus détaillés.
• SNMPv3 - Défini dans les RFCs 3410-3415. Utilise l'authentification par nom d'utilisateur, assure la protection des données à l'aide de HMAC-MD5 ou HMAC-SHA et le chiffrement
à l'aide du chiffrement DES, 3DES ou AES.
▪ Cordes communautaires
Les protocoles SNMPv1 et SNMPv2c utilisent des identifiants de communauté qui contrôlent l'accès à la base de données MIB. Les identifiants de communauté sont des mots de passe
qui circulent en clair (plain text). Les identifiants de communauté SNMP authentifient l'accès aux objets MIB.
• Lecture/écriture (rw) - Ce type fournit un accès en lecture et en écriture à l'ensemble des objets de la base de données MIB.
Pour afficher ou définir des variables MIB, l'utilisateur doit spécifier l'identifiant de communauté approprié pour l'accès en lecture ou en écriture.
ID d'objet MIB
• La base de données MIB organise les variables de manière hiérarchique.
• De manière formelle, la base de données MIB définit chaque variable comme étant un objet
avec un identifiant (OID).
• Les ID d'objet identifient de manière unique les objets gérés.
• La base de données MIB organise les OID sur la base des RFC au sein d'une hiérarchie d'ID
d'objet, généralement affichée sous la forme d'une arborescence.
Introduction à Syslog
Syslog utilise le port UDP 514 pour envoyer des messages de notification d'événements sur les réseaux IP aux collecteurs de messages d'événements, comme le montre la figure.
Le service de consignation syslog assure trois fonctions principales, comme suit :
• La capacité à collecter les informations de journalisation pour la surveillance et le dépannage
• La capacité de sélectionner le type d'information de journalisation capturée
• La capacité à spécifier les destinations des messages Syslog capturés
PARTIE 6
Opération Syslog
Le protocole syslog commence par envoyer des messages système et une sortie de debug à un processus d'enregistrement local. La configuration Syslog peut envoyer ces messages sur le
réseau à un serveur syslog externe, où ils peuvent être récupérés sans avoir besoin d'accéder au périphérique réel.
De même, des messages Syslog peuvent également être envoyés vers un tampon interne. Les messages envoyés vers le tampon interne ne peuvent être affichés que par l'intermédiaire
de l'interface en ligne de commande du périphérique.
Enfin, l'administrateur réseau peut spécifier que seuls certains types de messages sont envoyés à différentes destinations. Les destinations populaires des messages Syslog sont les
suivantes:
• Tampon de consignation (RAM à l'intérieur d'un routeur ou d'un commutateur)
• Ligne de console
• Ligne de terminal
• Serveur Syslog
PARTIE 6
R1(config-if)# no shutdown
*Mar 1 11:52:42: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to down
*Mar 1 11:52:45: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up
*Mar 1 11:52:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up
R1(config-if)#
1. Gestion réseau
2. Supervision réseau
3. Dépannage réseau (Network Troubleshooting)
03 - Mettre en place un système de gestion et
de supervision des réseaux
Dépannage réseau (Network Troubleshooting)
Dispositif de routage
La documentation relative aux dispositifs de réseau doit contenir des Documentation
enregistrements précis et actualisés du matériel et des logiciels de réseau.
La documentation doit inclure toutes les informations pertinentes sur les
périphériques réseau.
Dispositif de commutation
Documentation
Système final
PARTIE 6
Documentation
Mesure de données
La figure répertorie certaines des commandes Cisco IOS les plus fréquemment utilisées pour la collecte des données.
Commande Description
show version • Affiche le temps de fonctionnement, les informations sur la version des logiciels et du matériel
show ip interface [brief]
• Affiche toutes les options de configuration définies sur une interface.
show ipv6 interface [brief]
show interfaces • Affiche les résultats détaillés pour chaque interface.
show ip route [static | eigrp | ospf | bgp]
• La table de routage comprend des réseaux connectés directement et des réseaux distants.
show ipv6 route [static | eigrp | ospf | bgp]
show cdp neighbors detail • Affiche des informations détaillées sur les appareils Cisco directement connectés.
show arp
• Affiche le contenu de la table ARP (IPv4) et de la table voisine (IPv6).
show ipv6 neighbors
show running-config • Affichez la configuration en cours.
PARTIE 6
Étapes Description
Définir le problème • Vérifiez qu'il y a un problème, puis définissez correctement le problème.
Rassembler des informations • Les cibles (c'est-à-dire les hôtes, les appareils) sont identifiées, consultées et l'information recueillie.
PARTIE 6
Analyser les informations • Identifiez les causes possibles à l'aide de la documentation réseau, des lignes de base réseau, des bases de connaissances et des homologues.
Éliminer les causes possibles • Éliminer progressivement les causes possibles pour finalement identifier la cause la plus probable.
Proposer une hypothèse • Lorsque la cause la plus probable a été identifiée, une solution doit être formulée.
Tester cette hypothèse • Évaluez l'urgence du problème, créez un plan de restauration, implémentez la solution et vérifiez les résultats.
Résoudre le problème • Une fois résolu, informez toutes les parties concernées et documentez la cause et la solution pour aider à résoudre les problèmes futurs.
Commande Description
ping {host |ip-address} • Envoie un paquet de requête d'écho à une adresse, puis attend une réponse.
traceroute destination • Identifie le chemin que suit un paquet via les réseaux.
telnet {host | ip-address} • Se connecte à une adresse IP en utilisant l'application Telnet (Remarque : utilisez SSH lorsque c'est possible).
debug • Affiche la liste des options pour activer ou désactiver les événements de débogage.
Les différentes approches de dépannage qui peuvent être utilisées sont les suivantes.
Méthode ascendante • Bonne approche à utiliser lorsque l'on soupçonne que le problème est d'ordre physique.
Méthode descendante • Utilisez cette approche pour les problèmes simples ou lorsque vous pensez que le problème concerne un élément logiciel.
Diviser et conquérir • Commencez par une couche intermédiaire (c. -à-d., couche 3) et teste dans les deux sens à partir de cette couche.
Suivre le chemin • Permet de découvrir le chemin de trafic réel de la source à la destination afin de réduire la portée du dépannage.
Substitution • Vous échangez physiquement un appareil potentiellement problématique avec un appareil connu et fonctionnel.
Comparaison • Tente de résoudre le problème en comparant un élément non opérationnel avec celui de travail.
Devinette instruite • Le succès de cette méthode varie en fonction de votre expérience de dépannage et de votre capacité.
PARTIE 6
• La figure illustre la méthode qui pourrait être utilisée lorsqu'un certain type de
problème est découvert.
• Le dépannage est une compétence qui est développée en le faisant.
• Chaque problème réseau que vous identifiez et résolvez est ajouté à votre jeu de
compétences.
PARTIE 6
Outils de système d’administration de • Les logiciels de réseau comprennent des outils de surveillance, de configuration et de gestion des pannes au niveau des appareils.
réseaux (NMS) • Ces outils peuvent être utilisés pour étudier et corriger les problèmes de réseau.
• Les bases de connaissances des vendeurs d'appareils réseau en ligne sont devenues des sources d'information indispensables.
Bases de connaissances • En associant ces bases de connaissances aux moteurs de recherche sur Internet, un administrateur réseau a accès à de nombreuses informations
basées sur l'expérience.
• De nombreux outils d'automatisation du processus de documentation réseau et de planification initiale sont disponibles.
Outils de création d’une ligne de base • Les outils de basculement permettent d'effectuer des tâches de documentation courantes telles que les diagrammes de réseau, de mettre à jour
la documentation des logiciels et du matériel du réseau, et de mesurer de manière rentable l'utilisation de la bande passante du réseau de base.
• Un analyseur de protocole peut capturer et afficher la couche physique dans les informations de couche d'application contenues dans un
Analyseurs de protocole paquet.
PARTIE 6
• Des analyseurs de protocoles tels que Wireshark peuvent aider à dépanner des problèmes de performances réseau.
Multimètres numériques Les appareils mesurent les valeurs électriques de la tension, du courant et de la résistance.
Testeurs de câble Les appareils portatifs sont conçus pour tester les différents types de câblage de communication de données.
Analyseur de câble Appareils portatifs multifonctionnels utilisés pour tester et certifier les câbles en cuivre et en fibre optique.
Analyseurs de réseau portables Dispositif spécialisé utilisé pour dépanner les réseaux commutés et les VLAN.
Cisco Prime NAM Interface basée sur un navigateur qui affiche l'analyse des performances des périphériques dans un environnement commuté et routé.
PARTIE 6
Syslog est utilisé par les clients syslog pour envoyer des messages de journal textuels à un serveur syslog.
• Les messages de journal peuvent être envoyés à la console, aux lignes VTY, au tampon mémoire ou au serveur syslog.
• Les messages du journal de bord de l'IOS de Cisco tombent dans l'un des huit niveaux.
• Plus le numéro de niveau est faible, plus le niveau de gravité est important.
• Par défaut, la console affiche les messages de niveau 6 (débogage).
• Dans la sortie de commande, les niveaux 0 (urgences) à 5 (notifications) sont envoyés au serveur syslog au 209.165.200.225.
Niveau Mot-clé
0 Urgences
1 Alertes
2 Essentiel
PARTIE 6
3 Erreurs
4 Avertissements
5 Notifications
6 Information
7 Débogage
Le tableau répertorie les symptômes courants des problèmes de réseau de couche physique.
Symptôme Description
• Les raisons les plus courantes sont la surcharge ou la sous-alimentation des serveurs, la configuration inadéquate des commutateurs ou des
Performance inférieure à la ligne de base
routeurs, l'encombrement du trafic sur une liaison à faible capacité et la perte chronique de trames.
Perte de connectivité • La perte de connectivité peut être due à un câble défectueux ou déconnecté.
Goulots d’étranglement sur le réseau ou encombrement • Si un itinéraire échoue, les protocoles de routage pourraient rediriger le trafic vers des itinéraires sous-optimaux.
Utilisation élevée de l’unité centrale (UC) • Des taux d'utilisation élevés du processeur indiquent qu'un périphérique fonctionne à ou dépasse ses limites de conception.
Messages d’erreur de la console • Les messages d'erreur signalés sur la console de l'appareil peuvent indiquer un problème de couche physique.
Le tableau répertorie les causes des problèmes réseau relatifs à la couche physique les plus fréquents sont les suivants :
Cause du problème Description
Problèmes d'alimentation Vérifiez le fonctionnement des ventilateurs et assurez-vous que les orifices d'admission et d'évacuation du châssis sont dégagés.
Défaillances matérielles Des fichiers de pilote NIC défectueux ou corrompus, un mauvais câblage
Câbles défectueux Recherchez les câbles endommagés, les câbles inadaptés et les connecteurs mal sertis. Les câbles suspects doivent être testés ou remplacés par des câbles qui fonctionnent.
PARTIE 6
Atténuation L'atténuation peut être causée si une longueur de câble dépasse la limite de conception du support, ou lorsqu'il y a une mauvaise connexion résultant.
Bruit Les interférences électromagnétiques locales (EMI)
Erreurs de configuration d'interface Les causes peuvent inclure une fréquence d'horloge incorrecte, une source d'horloge incorrecte et une interface non activée.
Dépassement des limites de conception Un composant pourrait fonctionner de manière sous-optimale s'il est utilisé au-delà des spécifications.
Les symptômes comprennent des processus avec des pourcentages élevés d'utilisation du CPU, des pertes de file d'attente d'entrée, des performances lentes, des
Surcharge du processeur
dépassements de délais SNMP, l'absence d'accès à distance, l'absence de services DHCP, Telnet, et des pings lents ou sans réponse.
Le tableau répertorie les symptômes courants des problèmes de réseau de couche de liaison de données.
Symptôme Description
Erreur de fonctionnement ou de connectivité au Certains problèmes de couche 2 peuvent empêcher l'échange de trames sur un lien, tandis que d'autres ne font que dégrader les performances du
niveau de la couche réseau ou au-dessus réseau.
• Les trames peuvent emprunter un chemin sous-optimal vers leur destination, mais elles arrivent, ce qui entraîne une utilisation inattendue de la
Performances réseau inférieures au point de
bande passante élevée sur les liens.
référence
• Dans un environnement Ethernet, une requête ping étendue ou continue indique également si des trames sont abandonnées.
Nombre excessif de diffusions • Les systèmes d'exploitation utilisent largement les diffusions et les multidiffusions.
• Les routeurs envoient des messages lorsqu'ils détectent un problème d'interprétation des trames entrantes (problèmes d'encapsulation ou de
Messages de console
cadrage) ou lorsque des keepalives sont attendus mais n'arrivent pas.
Le tableau répertorie les causes des problèmes de réseau au niveau de la couche de liaison de données.
Erreurs de mappage d'adresses Se produit lorsque la couche 2 et l'adressage de couche ne sont pas disponibles.
Erreurs de trames Les erreurs de trame peuvent être provoquées par des parasites sur une ligne série, un câble mal conçu (trop long ou mal blindé), une carte réseau défaillante, une
incohérence du duplex ou une mauvaise configuration de l'horloge de ligne (line clock) de la CSU (Channel Service Unit).
Défaillance ou boucles STP La plupart des problèmes liés au protocole STP sont dus à la présence de boucles de redirection qui se produisent lors de l'absence de ports bloqués dans une
topologie redondante et de l'acheminement en cercles du trafic de manière infinie, ou de la diffusion excessive de paquets en raison d'un taux élevé de
modifications de la topologie STP.
Le tableau répertorie les symptômes courants des problèmes de réseau de couche de liaison de données.
Symptôme Description
• Se produit lorsque le réseau est presque ou totalement non fonctionnel, ce qui affecte tous les utilisateurs et applications du réseau.
Panne réseau
• Ces pannes sont généralement constatées rapidement par les utilisateurs et les administrateurs réseau ; elles ont un impact énorme sur la productivité de l’entreprise.
• Il s'agit d'un sous-ensemble d'utilisateurs, d'applications, de destinations ou d'un type de trafic.
• Les problèmes d'optimisation peuvent être difficiles à détecter et encore plus difficiles à isoler et à diagnostiquer.
Performances non optimales
• Cela est dû au fait qu'elles impliquent généralement plusieurs couches, voire un seul ordinateur hôte.
• Le fait de déterminer qu'un problème est un problème de couche réseau peut prendre du temps.
Le tableau répertorie les causes courants des problèmes de réseau de couche de liaison de données.
Vérifiez les problèmes d'équipement et de connectivité, y compris les problèmes d'alimentation, d'environnement et de couche 1, tels que les problèmes de
Problèmes de connectivité
câblage, de ports défectueux et de l'ISP.
Table de routage Vérifiez le tableau de routage pour tout ce qui est imprévu, comme les itinéraires manquants ou les itinéraires inattendus.
Problèmes de voisinage Vérifiez s'il y a des problèmes avec les routeurs formant des adjacences voisines.
Base de données topologique Vérifiez le tableau pour tout ce qui est inattendu, comme les entrées manquantes ou les entrées inattendues.
Des erreurs de configuration fréquentes peuvent avoir lieu dans les divers domaines suivants :
Applications Description
SSH/TelNet Permet aux utilisateurs d'établir des connexions de session de terminal avec des hôtes distants.
HTTP Permet l'échange de textes, d'images graphiques, de sons, de vidéos et d'autres fichiers multimédia sur le web.
TFTP Effectue des transferts de fichiers interactifs de base, généralement entre des hôtes et des dispositifs de réseau.
DNS Fait correspondre les adresses IP aux noms attribués aux appareils du réseau.
NFS Le système de fichiers réseau (NFS) permet aux ordinateurs de monter et d'utiliser des lecteurs sur des hôtes distants.
Les étapes de l'approche ascendante lorsqu'il n'y a pas de connectivité de bout en bout sont les
suivantes :
1. Vérifiez la connectivité physique à l'endroit où la communication réseau s'arrête.
2. Vérifiez les incohérences de duplex.
3. Vérifiez l'adressage des couches de liaison de données et réseau sur le réseau local.
4. Vérifiez que la passerelle par défaut est correcte.
5. Assurez-vous que les appareils déterminent le chemin correct entre la source et la destination.
6. Vérifiez que la couche transport fonctionne correctement.
7. Vérifiez qu'il n'y a pas de listes de contrôle d'accès qui bloquent le trafic.
8. Vérifiez que les paramètres DNS sont corrects.
• D'une manière générale, c'est la découverte d'un problème de connectivité de bout en bout qui initie
un dépannage.
PARTIE 6
• Deux des utilitaires les plus couramment utilisés pour vérifier un problème de connectivité de bout
en bout sont ping et traceroute.
5 heures
CHAPITRE 1
Etudier la téléphonie classique
0.5 heures
CHAPITRE 1
Etudier la téléphonie classique
• Grand site d’entreprise (généralement plus de 50 utilisateurs) • Petite entreprise ou une succursale (généralement 50 utilisateurs ou moins)
• Composez 9 ou autre numéro d'accès pour accéder à la ligne extérieure • Appuyez sur un bouton pour accéder à la ligne extérieure
Types de signalisation
• Il existe trois types de signalisation utilisés dans un réseau de téléphonie:
• La signalisation de surveillance communique l'état d'un dispositif de téléphonie.
• Facturation d'appel
• Résolution des ligne sans frais
• Utilise la signalisation hors-bande
Circuits analogiques
▪ Les téléphones analogiques ont un récepteur, un émetteur, deux-fils/quatre-fils hybrides, un composeur, un crochet commutateur, et un sonneur.
▪ Les ports FXS simulent un CO à un téléphone analogique ou fax qui est attaché au port.
▪ Les ports FXO connectent une passerelle voix Cisco à un commutateur CO ou à un port analogique d'un PBX.
▪ Les circuits analogiques comprennent FXS, FXO, et des circuits E&M.
• Se connecte directement à des téléphones analogiques ou fax • Se connecte directement aux équipements de bureau
• Offre un service local • Utilisé pour faire et recevoir des appels RTPC
• Émule le CO pour les périphériques connectés • Peut être utilisé pour se connecter via le réseau RTPC vers un autre site
• Fournit l'alimentation, les tonalités de progression de l’appel, et la tonalité d'appel • Répond aux appels entrants
Quantifier le
PARTIE 7
signal
Echantillonné
• Découvrir la téléphonie IP
• Comprendre les mécanismes de la Qualité de Services
IP
3 heures
CHAPITRE 2
Décrire l'architecture VOIP
VoIP
▪ La Voix sur IP consiste à :
• Utiliser les réseaux IP pour faire passer des communications téléphonique (de la voix ou de la vidéo) en plus des données.
• Pouvoir connecter un central téléphonique d'entreprise (PABX) à un réseau informatique.
• Disposer d'un téléphone "classique", mais au lieu d'être relié au PABX, être reliée à un réseau IP (un switch).
• Disposer de passerelle entre le réseau VOIP et le réseau RTC (Réseau Téléphonique Commuté)
PARTIE 7
La mise en paquet
▪ La Voix est emballé dans des segments RTP; les segments RTP sont encapsulés
dans des segments UDP; les segments UDP sont encapsulés dans des paquets IP
et les paquets IP sont encapsulés dans un format spécifique de couche 2 qu'ils
vont traverser.
▪ Les ressources DSP sont essentielles pour un système de Communications
unifiées Cisco et traduit les données vocales traditionnelles en paquets IP et
inversement.
▪ RTP est utilisé pour transporter des données vocales et vidéo à travers le réseau
IP.
▪ RTCP est utilisé pour fournir les informations (feedback) sur le flux RTP.
▪ Les codecs les plus utilisés sont G.711, G.729, et iLBC.
▪ Les ressources DSP peuvent également fournir l'annulation d'écho et appeler des
fonctions telles que les téléconférence et le transcodage.
PARTIE 7
▪ Il peut être utilisé pour surveiller la qualité de la distribution de données et fournir des informations de contrôle
▪ Fournit des informations (feedback) sur les conditions actuelles du réseau
▪ Permet aux hôtes qui sont impliqués dans une session RTP d’échanger des informations sur la surveillance et le contrôle de la session:
• Comptage de paquets
• Retard des paquets
• Nombre d’OctetLa perte des paquets
• Gigue (variation du délai)
▪ Fournit un flux séparé de RTP pour l'utilisation du transport UDP
▪ Est joigné avec son flux RTP et utilise le même port que le flux RTP plus 1 (port impair)
▪ Comprend les services suivants:
PARTIE 7
Paquétisation de la voix
▪ La paquétisation de la voix est effectuée par les ressources DSP.
▪ DSP met en paquet la voix, échantillonne et compresse la voix en paquets.
▪ Les données vocales sont collectées jusqu'à ce que la surcharge de paquet soit pleine.
▪ Les données vocales sont mises dans la surcharge des segments RTP.
▪ RTP est encapsulé dans un segment UDP qui est encapsulé dans un paquet IP.
▪ Le paquet IP est encapsulé dans un format de couche 2.
PARTIE 7
Paquétisation de la voix
▪ G.711, G.729 sont les codecs les plus courants :
Protocoles de signalisation
▪ La signalisation génère et surveille les informations de contrôle d'appel entre deux points de terminaison pour:
• Établir la connexion
• Surveiller la connexion
• Libérer la connexion
▪ Le protocole de signalisation doit passer la signalisation de surveillance, d'information, et d'adresse.
▪ Les protocoles de signalisation peuvent être Pair-à-pair ou basés sur le modèle Client/Serveur.
▪ Le modèle Pair-à-pair permet aux points de terminaison de contenir l'intelligence de passer des appels sans assistance.
▪ Le modèle Client / serveur met le point final sous le contrôle d'un point d’intelligence centralisée.
→ Les protocoles de signalisation sont utilisés dans les réseaux VoIP pour mettre en place de nouveaux appels, gérer les appels en cours, mettre fin à des appels, passer les informations
de signalisation, passer la signalisation de surveillance, et passer la signalisation d'adresse.
PARTIE 7
Protocoles de signalisation
o SCCP est un protocole propriétaire utilisé entre les téléphones IP unifiés Cisco et les produits de contrôle d'appel des communications unifiées Cisco.
o H.323 est un protocole stable, mature, indépendant du vendeur, et largement déployé.
PARTIE 7
o SIP est un protocole émergent fondé sur les aspects des protocoles existants. Il est encore en évolution.
Le protocole H323
▪ Le protocole H323 défini : Les échanges de données Vidéo et Audio entre des terminaux
multimédia en temps réel à travers le réseau Internet ou des LANs sans garantie de
service.
• Des terminaux.
• Des passerelles.
• Des Gatekeeper (portiers).
• Des contrôleurs multipoints.
• Il se décompose en un ensemble de sous protocoles.
▪ La norme H.323 propose des bases pour le transport de la voix, de la vidéo et des données
sur des réseaux IP.
▪ Il fonctionne en mode non connecté et sans garantie de qualité de service
Le protocole SIP
▪ SIP ressemble au protocole HTTP (codage ASCII, codes de réponse par exemple). Le
client envoie des requêtes au serveur, qui lui renvoie une réponse.
▪ Les méthodes de base sont :
▪ INVITE permet à un client de demander une nouvelle session
▪ ACK confirme l'établissement de la session
▪ CANCEL annule un INVITE en suspens
▪ BYE termine une session en cours.
▪ Les codes de réponse sont similaires à HTTP : 100 Trying / 200 OK / 404 Not Found
▪ En revanche, SIP diffère de HTTP du fait qu'un agent SIP (User Agent, UA) joue
habituellement à la fois les rôles de client et de serveur. C'est-à-dire qu'il peut aussi
bien envoyer des requêtes, que répondre à celles qu'il reçoit.
protocole s'est complexifié pour permettre une meilleurs interconnexion avec les
réseaux téléphoniques classiques.
▪ Flexible : SIP peut être utilisé pour tout type de sessions multimédia.
▪ Points communs avec H323 : l'utilisation du protocole RTP
Hiérarchisation du trafic
PARTIE 7
o Congestion
• La congestion d'un réseau entraîne des délais. Une interface est encombrée lorsqu'elle reçoit plus de trafic que le volume qu'elle peut prendre en charge. Les points de congestion
d'un réseau sont idéals pour l'implémentation d'un mécanisme de QoS.
• Les points de congestion typiques sont l'agrégation, la disparité de débit et la liaison du LAN vers le WAN.
PARTIE 7
o Délai
Le délai ou la latence désigne le temps nécessaire à un paquet pour passer de la source à la destination.
Délai Description
Délai lié au code Durée fixe nécessaire à la compression des données au niveau de la source avant la transmission au premier appareil d'interconnexion des
réseaux, généralement un commutateur
Délai du groupage par paquets Durée fixe nécessaire à l'encapsulation d'un paquet avec toutes les informations d'en-tête requises
Délai de mise en file d'attente Durée variable d'attente d'une trame ou d'un paquet avant d'être transmis sur la liaison
Délai de sérialisation Délai fixe nécessaire à la transmission d'une trame vers le câble.
Délai de propagation Durée variable nécessaire au passage de la trame entre la source et la destination.
Délai de gigue Durée fixe nécessaire au stockage en mémoire tampon d'un flux de paquets, puis à son envoi à intervalles réguliers
PARTIE 7
Perte de paquets
Sans mécanismes de QoS, soumis à une contrainte temporelle, tels que la vidéo en temps
réel et la voix, seront abandonnés à la même fréquence que les données non soumises à Si la gigue est forte au point que certains paquets arrivent en dehors de la mise de ce
cette contrainte tampon, ces paquets sont ignorés et les coupures s'entendent dans l'enregistrement
sonore.
• Lorsqu'un routeur reçoit un flux de données audio numérique RTP (Real-Time
Protocol) pour la voix sur IP (VoIP), il doit compenser la gigue générée en utilisant la • Si un seul paquet est perdu, le processeur de signal numérique (DSP) rajoute ce
mise en mémoire tampon. qu'il pense correspondre à l'enregistrement sonore manquant et l'utilisateur
n'entendra rien.
• La mise en mémoire tampon consiste à mettre les paquets dans un tampon pour
ensuite les diffuser en flux régulier. • Cependant, lorsque la gigue est trop importante pour que le DSP compense les
paquets manquants, des problèmes de son surviennent.
PARTIE 7
Remarque: Dans un réseau correctement conçu, ce phénomène doit être proche de zéro.
Caractéristiques du trafic
Les différents types de trafics (voix, vidéo et données) impliquent des besoins extrêmement variés en termes de réseau.
o Voix o Vidéo
Le trafic vocal est prévisible et fluide et très sensible aux délais et aux paquets abandonnés.
Le trafic peut être imprévisible, incohérent et en salve. Contrairement à la voix, la
• Les paquets vocaux doivent bénéficier d'une priorité plus élevée que le reste du trafic. vidéo récupère moins bien en cas de perte et comporte un plus grand volume de
données par paquet.
Caractéristiques du trafic voix Requêtes unidirectionnelles Caractéristiques du trafic vidéo Requêtes unidirectionnelles
• Fluide • Latence < 150ms • En salves • Latence < 200-400 ms
• Minimal • Gigue < 30 ms • Gourmand • Gigue < 30-50 ms
• Sensible aux pertes • Perte < 1% bande passante (30-128 Kbit/s) • Sensible aux pertes • Loss < 0.1 – 1%
• Sensible aux retards • Sensible aux retards • Bande passante (384 Kbps - 20
• Priorité UPD • Priorité UPD Mbps)
o Données
Les applications de données qui ne tolèrent pas la perte de données, comme les e-mails et les pages web, utilisent le protocole TCP pour garantir que les éventuels paquets perdus lors
du transit seront renvoyés.
PARTIE 7
Par rapport à la voix et à la vidéo, le trafic de données est relativement peu sensible aux pertes et aux retards. La qualité de l'expérience ou la QoE est importante à considérer avec le
trafic de données. Caractéristiques du trafic de données
• Fluide/en salves (burst)
• Minimal/gourmand
• Insensible aux pertes
• Insensible aux retards
• Retransmission TCP
WFQ (Weighted Fair Queuing) est une méthode de programmation automatisée grâce à laquelle la bande passante est allouée au trafic réseau de façon équitable.
PARTIE 7
Il existe trois modèles d'implémentation QoS. La QoS est implémentée dans un réseau à l'aide du modèle IntServ ou DiffServ.
Modèle Description
Remise au mieux (Best • Il ne s'agit pas d'une implémentation dans la mesure où la stratégie QoS n'est pas explicitement configurée.
effort) • Ce modèle est utilisé lorsque la qualité de service n'est pas nécessaire.
Services intégrés • Ce modèle propose une qualité de service très élevée aux paquets IP, avec remise garantie.
(IntServ) • Il définit un processus de signalisation pour que les applications puissent indiquer au réseau qu'elles nécessitent une qualité de service
spéciale pendant une certaine période et qu'il faut réserver de la bande passante.
• Le modèle IntServ peut considérablement limiter l'évolutivité d'un réseau.
Services différenciés • Ce modèle offre une implémentation QoS très flexible et évolutive.
(DiffServ) • Les périphériques réseau détectent des classes de trafic et appliquent des niveaux de qualité de service spécifiques aux différentes
classes de trafic.
PARTIE 7
Best Effort
La conception de base d'Internet prévoit la remise des paquets «Remise au mieux» et n'offre aucune garantie.
Bénéfices Inconvénients
Il s'agit du modèle le plus évolutif. Il n'offre aucune garantie de remise.
L'évolutivité est uniquement limitée par la bande passante disponible, laquelle Le délai et l'ordre de remise des paquets sont aléatoires et rien ne garantit leur arrivée.
affecte alors l'ensemble du trafic
Aucun mécanisme QoS spécial ne doit être implémenté. Aucun paquet ne bénéficie d'un traitement préférentiel.
C'est le modèle le plus simple et rapide à déployer. Les données essentielles sont traitées de la même façon que les e-mails normaux.
PARTIE 7
Bénéfices Inconvénients
Bénéfices Inconvénients
• Haute évolutivité • Aucune garantie stricte de la qualité de
• Large choix de niveaux de qualité service
• Nécessite le fonctionnement conjoint de
mécanismes complexes sur l'ensemble
du réseau
PARTIE 7
Marquage de couche 2
Le standard 802.1Q inclut également le schéma de hiérarchisation QoS plus connu sous le terme IEEE 802.1p. Le standard 802.1p utilise les trois premiers bits du champ Données de
contrôle des balises (TCI). Ce champ de 3 bits, ou champ de Priorité (PRI), contient le marquage de la classe de service.
Marquage de couche 3
Le marquage des paquets avec IPv4 et IPv6 s'effectue à l'aide d'un champ de 8 bits situé au niveau des en-têtes de paquet.
PARTIE 7
Le type de service (IPv4) et la classe de trafic (IPv6) portent le marquage des paquets tel qu'attribué par les outils de classification QoS.
PARTIE 7
Valeurs DSCP
Limites de confiance
Le classement et le marquage du trafic doivent s'effectuer le plus près possible, techniquement et administrativement, de la source. Cela permet de définir la limite de confiance.
1. Les terminaux sécurisés disposent de fonctionnalités et de renseignements qui leur permettent de marquer le trafic des applications à l'aide de valeurs CoS de couche 2 et/ou DSCP
de couche 3.
2. Pour les terminaux sécurisés, le trafic peut être marqué au niveau du commutateur de couche 2.
3. Le trafic peut également être marqué au niveau des commutateurs/routeurs de couche 3.
PARTIE 7
Prévention de la congestion
Les outils de prévention de congestion permettent de surveiller les charges de trafic sur les réseaux afin d'anticiper et d'éviter les encombrements au niveau des congestions du réseau
commun et de l'internet avant que les encombrements ne deviennent un problème.
• WRED permet d'éviter l'encombrement des interfaces réseau en gérant les tampons et en autorisant la réduction ou la diminution du trafic TCP avant que ceux-ci soient remplis.
leurs sources.
VLAN voix
L'ensemble du réseau doit être conçu pour prendre en charge la voix.
• Un VLAN distinct est requis car le trafic de voix nécessite:
• La bande passante consolidée
• La priorité de QOS élevée
• La capacité d'éviter la congestion
• Le délai inférieur à 150 ms de la source à la destination
PARTIE 7
Name: Fa0/18
S3(config)# interface FastEthernet 0/18 Switchport: Enabled
Administrative mode: static access
S3(config-if)# switchport access vlan 20 Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
S3(config-if)# switchport mode access
Operational Trunking Encapsulation: native
S3(config-if)# switchport voice vlan 150 Negotiation of Trunking: Off
PARTIE 7
Service DHCP
▪ Doit être personnalisé pour affecter un serveur TFTP au VLAN voix pour les téléphones IP correspondants.
▪ Configurer une étendue DHCP distincte pour les téléphones IP comme une meilleure pratique
1- Exclure toutes les adresses IP nécessaires.
2- Créez un pool DHCP.
- Définir le réseau.
Service NTP
▪ La synchronisation correcte de l'horloge est importante pour la performance, le dépannage et CDR (Call Detail Records).
▪ Le téléphone IP prend son temps affiché à partir de la plate-forme de contrôle d'appel à laquelle il est enregistré.
( Exp : Cisco Unified Communications Manager Express )
▪ L'heure de l'horloge interne de la plate-forme de control des appels des communication unifiées Cisco doit être synchronisé avec un serveur NTP.
▪ Le temps de de la plate-forme de control des appels des communication unifiées est utilisé pour estampiller tous les messages syslog et les messages de trace.
PARTIE 7
1.5 heures
CHAPITRE 3
Implémenter la solution de
communication unifiée Cisco
Cisco maintient les applications indépendantes des fonctions de contrôle des appels et de l'infrastructure physique de traitement de la voix.
▪ Couche de points de terminaison :
Les points de terminaison peuvent inclure un téléphone IP Cisco, un softphone d'ordinateur de bureau, du matériel d'appel vidéo, un smartphone et tout autre appareil de
communication compatible.
PARTIE 7
▪ Évolutivité
La licence pour CUCM est déterminée par le nombre total d'utilisateurs, de fonctionnalités utilisateur et d'appareils configurés, de sorte que les organisations ne paient que ce
dont elles ont besoin.
▪ Ouvert et interopérable
PARTIE 7
CUCM propose un vaste écosystème d'intégrations et de solutions tierces ainsi que des partenaires.
▪ Sécurisé et conforme
CUCM prend en charge les derniers protocoles d'authentification, de cryptage et de communication.
▪ Prend en charge les déploiements de jusqu'à 240 téléphones sur un seul routeur
▪ Etend les capacités d’un petit bureau qui étaient auparavant uniquement disponible pour les grandes entreprises
▪ Est basé sur le logiciel Cisco IOS
▪ Peut être administré par GUI ou CLI
• S'il est configuré, le CallManager Express fournira une extension pour chaque
téléphone IP et pourra alors établir ou supprimer des appels vers ou depuis les
téléphones IP.
• Une fois l'appel établi, le protocole de transport en temps réel (RTP) sera utilisé
pour transporter le flux audio.
Ephone et Ephone-dn
• Tous les types de PBX se composent de téléphones physiques et de leurs numéros de répertoire internes (extensions).
• Le même concept s'applique dans CallManager Express.
• Les numéros de répertoire sont attribués aux touches de ligne sur les téléphones lors de la configuration.
• Cela signifie que chaque téléphone IP physique doit être configuré comme un ephone.
PARTIE 7
▪ Le firmware IP Phone
- XMLDefault.cnf.xml
- SEPAAAABBBBCCCC.cnf.xml (Sachant que AAAABBBBCCCC l’adresse MAC de l’appareil)
PARTIE 7
Organigramme d’enrengistrement
PARTIE 7
• Attribués les ephone-dns automatiquement aux nouveaux ephones qui sont configurés
CMERouter(config-telephony)# auto assign start-dn to stop-dn [type phone-type]
• Vérifier la configuration
CMERouter1# show running-config
▪ La disponibilité des travailleurs via les mises à jour du statut de présence permet de voir plus
facilement qui est en ligne et prêt à aider. Cela aide les utilisateurs à éviter de perdre du temps
en contactant les personnes indisponibles ou absentes du bureau.
Pairs de numérotation
▪ Les pairs de numérotation sont des points d’extrémité d’un appel adressable.
▪ Il établit des connexions logiques, ou des tronçons d'appel, pour terminer un appel de bout en bout
▪ Vous pouvez utiliser des pairs de numérotation entrants, sortants ou les deux.
▪ Les pairs de numérotation définissent les propriétés du tronçon d'appel: codec, marquages QoS, VAD, Taux de fax
▪ Les routeurs Cisco de Voix utilisent généralement deux types de pairs de numérotation:
• Pairs de numérotation POTS - se connectent à un réseau de téléphonie traditionnelle comme FXO, FXS, E&M, BRI, PRI T1/E1, T1/E1 et CAS
• Pairs de numérotation VoIP se connectent sur un réseau IP en utilisant une adresse IP
PARTIE 7
Motifs de destination
Caractères génériques de motif de destination commun :
▪ Plus (+) :
Chiffre précédent se produit une ou plusieurs fois
▪ Astérisque (*) et dièse (#) :
Caractères génériques non valides; sont des tonalités DTMF
▪ Virgule (,) :
Insère une pause d'une seconde
▪ Point (.) :
▪ T:
PARTIE 7