Résumé CCNA

Module 1: Configuration de base du périphérique

• Une fois qu'un commutateur Cisco est mis sous tension, il passe par une séquence de
démarrage en cinq étapes.

• La variable d'environnement BOOT est définie à l'aide de la commande de mode de

configuration globale boot system .

• Utilisez les LED des commutateurs pour surveiller l'activité et les performances des
commutateurs : SYST, RPS, STAT, DUPLX, SPEED et PoE.

• Le bootloader permet d'accéder au commutateur si le système d'exploitation ne peut être

utilisé en raison de fichiers système manquants ou endommagés.

• Pour préparer un commutateur pour l'accès à la gestion à distance, le commutateur doit être
configuré avec une adresse IP et un masque de sous-réseau.

• Pour gérer le commutateur à partir d'un réseau distant, le commutateur doit être configuré
avec une passerelle par défaut.

• La communication en duplex intégral augmente la largeur de bande effective en permettant

aux deux extrémités d'une connexion de transmettre et de recevoir des données
simultanément.

• Les ports de commutateur peuvent être configurés manuellement avec des paramètres de
duplex et de vitesse spécifiques.

• Utilisez la négociation automatique lorsque les paramètres de vitesse et de duplex du

périphérique connecté au port sont inconnus ou peuvent changer.

• Lorsque la fonction auto-MDIX est activée, l'interface détecte automatiquement le type de

connexion de câble requis (droit ou croisé) et configure la connexion de manière appropriée.
Il existe plusieurs commandes show à utiliser lors de la vérification des configurations de
commutateur.

• Telnet (utilise le port TCP 23) est un protocole plus ancien qui utilise un mode de
transmission en texte clair non sécurisé des informations d'identification (nom d'utilisateur
et mot de passe) et des données entre les périphériques.

• SSH (utilise le port TCP 22) assure la sécurité des connexions à distance en fournissant un
cryptage fort lorsqu'un dispositif est authentifié (nom d'utilisateur et mot de passe) et
également pour les données transmises entre les appareils communicants.

• Un nom de fichier IOS qui inclut la combinaison «k9» prend en charge les fonctionnalités et
les capacités cryptographiques.

• Pour configurer SSH, vous devez vérifier que le commutateur le prend en charge, configurer
le domaine IP, générer des paires de clés RSA, configurer l'authentification d'utilisation,
configurer les lignes VTY et activer SSH version 2.

• Pour vérifier que SSH est opérationnel, utilisez la commande show ip ssh pour afficher la
version et les données de configuration de SSH sur le périphérique.
 • Les tâches de configuration initiale suivantes doivent toujours être effectuées : nommer
l'appareil pour le distinguer des autres routeurs et configurer les mots de passe, configurer
une bannière pour fournir une notification légale d'accès non autorisé, et enregistrer les
modifications sur un routeur.

• Une fonction de distinction entre les commutateurs et les routeurs est le type d'interface pris
en charge par chacun.

• Les routeurs sont compatibles avec les LAN et les WAN et peuvent interconnecter différents
types de réseaux; ils prennent donc en charge plusieurs types d'interfaces.

• L'interface de bouclage IPv4 est une interface logique interne au routeur. Il n'est pas attribué
à un port physique et ne peut jamais être connecté à un autre appareil.

• Utilisez les commandes suivantes pour identifier rapidement l'état d'une interface: 

• show ip interface brief et show ipv6 interface brief pour voir le résumé de toutes les
interfaces (adresses IPv4 et IPv6 et état opérationnel), 

• show running-config interface interface-id pour afficher les commandes appliquées

à l'interface spécifiée et 

• show ip route et show ipv6 route pour afficher le contenu de la table de routage

IPv4 et IPv6 stocké dans la mémoire vive.

• Filtrer la sortie de la commande show à l'aide du caractère pipe (|). Utilisez les expressions
de filtre: section, include, exclude et begin.

• Par défaut, l'historique de commande est activé et le système enregistre les 10 dernières
lignes de commande dans sa mémoire tampon d'historique.

• Utilisez la commande d'exécution privilégiée show history pour afficher le contenu de la

mémoire tampon.

Module 2 : Concepts de commutation

Transfert de trame

• Ingress est le port d'entrée, egress est le port de sortie.

• Le commutateur construit une table d'adresses MAC pour transférer les

trames sur le réseau local.

• Le commutateur peut utiliser soit la méthode du stockage et de la

retransmission, soit la méthode de la retransmission par coupure.

Domaines de commutation

• Les ports Ethernet en semi-duplex font partie d'un domaine de collision.

• Le duplex intégral éliminera les domaines de collision.

• Un commutateur va inonder toutes les interfaces sauf le port d'entrée si la

trame est une diffusion ou si le MAC de destination monodiffusion est
inconnu.
 • Les domaines de diffusion peuvent être fragmentés par un périphérique de
couche 3, comme un routeur.

• Les commutateurs étendent les domaines de diffusion, mais peuvent

éliminer les domaines de collision et soulager la congestion.

Module 3:Les VLAN

• Les VLAN reposent sur des connexions logiques au lieu de connexions

physiques.

• Les VLAN peuvent segmenter des réseaux selon la fonction de l'équipe ou de

l'application.

• Chaque VLAN est considéré comme un réseau logique distinct.

• Un trunk est une liaison point à point qui porte plusieurs VLAN.

• Les champs d'étiquette VLAN comprennent le type, la priorité de l'utilisateur,

la CFI et le VID.

• Un VLAN voix distinct est nécessaire pour prendre en charge la voix sur IP
(VoIP).

• Les configurations VLAN de plage normale sont stockées dans le fichier

vlan.dat en flash.

• Un port d'accès peut correspondre à un VLAN de données à la fois, mais il

peut aussi avoir un VLAN voix.

• Un trunk est une liaison de couche 2 entre deux commutateurs qui

transporte le trafic pour tous les VLAN.

• Les trunks doivent être étiquetés pour les différents VLAN, généralement
802.1q.

• L'étiquetage IEEE 802.1q prévoit un VLAN natif qui ne sera pas étiqueté.

• Une interface peut être définie sur "trunking" ou "non-trunking".

• La négociation de trunk est gérée par le protocole DTP (Dynamic Trunking

Protocol).

• Le protocole DTP est un protocole propriétaire de Cisco qui gère la

négociation des trunks.

Module 4 : Routage inter-VLAN

• Le routage inter-VLAN est un processus d'acheminement du trafic réseau d'un VLAN à un

autre.

• Trois options comprennent le commutateur hérité, le routeur sur une clé et le commutateur
de couche 3 à l'aide de SVIs.

• Pour configurer un commutateur avec VLAN et trunking, suivez les étapes suivantes : créez et
nommez les VLANs, créez l'interface de gestion, configurez les ports d'accès et les ports de
trunking.
• La méthode «Router-on-a-Stick» impose de créer des sous-interfaces pour chaque VLAN
routable. Une sous-interface est créée à l'aide de la commande de mode global de
configuration de  l'interface interface_idsubinterface_id .

• Une adresse IP sur un sous-réseau unique doit être attribuée à chaque sous-interface de
routeur pour que le routage se produise. Lorsque toutes les sous-interfaces ont été créées,
l'interface physique doit être activée à l'aide de la commande no shutdown interface
configuration.

• Les réseaux locaux de campus d'entreprise utilisent des commutateurs de couche 3 pour
fournir le routage inter-VLAN. Les commutateurs de couche 3 utilisent la commutation
matérielle pour obtenir des taux de traitement de paquets plus élevés que les routeurs.

• Les fonctionnalités d'un commutateur de couche 3 comprennent le routage d'un VLAN à un

autre en utilisant plusieurs interfaces virtuelles commutées (SVIs) et la conversion d'un port
de commutateur de couche 2 en une interface de couche 3 (c'est-à-dire un port routé).

• Pour fournir le routage inter-VLAN, les commutateurs de couche 3 utilisent des SVIs. Les SVIs
sont configurés à l'aide de la même commande interface vlan vlan-id utilisée pour créer le
SVI de gestion sur un commutateur de couche 2.

• Pour configurer un commutateur avec VLAN et trunking, procédez comme suit : créez le
VLAN, créez les interfaces VLAN SVI, configurez les ports d'accès et activez le routage IP.

• Pour activer le routage sur un commutateur de couche 3, un port routé doit être configuré.
Un port routé est créé sur un commutateur de couche 3 en désactivant la fonction de port de
commutation sur un port de couche 2 connecté à un autre périphérique de couche 3.
L'interface peut être configurée avec une configuration IPv4 pour se connecter à un routeur
ou à un autre commutateur de couche 3.

• Pour configurer un commutateur de couche 3 pour qu'il route avec un routeur, procédez
comme suit : configurez le port routé, activez le routage, configurez le routage, vérifiez le
routage et vérifiez la connectivité.

• Il existe un certain nombre de raisons dont la configuration inter-VLAN ne peut pas

fonctionner. Tous sont liés à des problèmes de connectivité tels que des VLAN manquants,
des problèmes de port de trunk de commutateur, des problèmes de port d'accès au
commutateur et des problèmes de configuration du routeur.

• Un VLAN peut être manquant s'il n'a pas été créé, s'il a été supprimé accidentellement ou s'il
n'est pas autorisé sur le lien de trunk.

• Un autre problème pour le routage inter-VLAN inclut des ports de commutateur mal
configurés.

• Dans une solution inter-VLAN héritée, un port de commutateur mal configuré peut être
causé lorsque le port du routeur de connexion n'est pas attribué au VLAN correct.

• Avec une solution routeur sur un bâton (router-on-a-stick), la cause la plus fréquente est un
port de trunk mal configuré.

• Lorsqu'un problème est suspecté avec une configuration de port d'accès de commutateur,
utilisez ping et show interfaces interface-id switchport our identifier le problème.
 • Les problèmes de configuration de routeur avec les configurations de routeur sur un bâton
sont généralement liés à des erreurs de configuration de sous-interface. Vérifiez l'état de la
sous-interface à l'aide de la commande show ip interface brief .

Module 5: Concepts du protocole STP

• Les chemins d'accès redondants dans un réseau Ethernet commuté peuvent entraîner à la
fois des boucles physiques et logiques de couche 2.

• Une boucle de couche 2 peut entraîner l'instabilité de la table d'adresses MAC, la saturation
des liaisons et une utilisation élevée de processeur sur les commutateurs et les terminaux. Il
en résulte que le réseau devient inutilisable.

• Le protocole STP est un protocole réseau de prévention des boucles qui permet la
redondance tout en créant une topologie de couche 2 sans boucle. Sans STP, les boucles de
couche 2 peuvent se former, provoquant une boucle infinie de trames de diffusion, de
multidiffusion et de monodiffusion inconnues, entraînant la défaillance d'un réseau.

• En utilisant le STA, STP établit une topologie sans boucle dans un processus en quatre
étapes : élection du pont racine, élection des ports racine, élection des ports désignés et
élection des ports alternatifs (bloqués).

• Pendant le fonctionnement de STA et de STP, les commutateurs utilisent des BPDU (Bridge
Protocol Data Units) pour partager des informations sur eux-mêmes et sur leurs connexions.
Les BPDU permettent de choisir le pont racine, les ports racine, les ports désignés et les ports
alternatifs.

• Lorsque le pont racine a été choisi pour l'instance Spanning Tree, l'algorithme STA détermine
des meilleurs chemins possibles vers le pont racine, depuis l'ensemble des destinations du
domaine de diffusion. Les informations relatives au chemin, appelées coût du chemin racine
interne, sont déterminées en additionnant les coûts de port individuels le long du chemin
entre le commutateur et le pont racine.

• Une fois le pont racine est déterminé, l'algorithme STA sélectionne le port racine. Le port
racine est le port le plus proche du pont racine en termes de coûts généraux qui est appelé
coût du chemin racine interne.

• Après que chaque commutateur a sélectionné un port racine, les commutateurs

sélectionnent les ports désignés. Le port désigné est un port sur le segment (avec deux
commutateurs) qui a le coût du chemin racine interne vers le pont racine.

• Si un port n'est pas un port racine ou un port désigné, il devient alors un port alternatif (ou
de secours). les ports alternatifs et de secours sont à l'état de suppression ou de blocage
pour éviter les boucles.

• Lorsqu'un commutateur possède plusieurs chemins d'accès au même coût vers le pont
racine, le commutateur détermine un port en utilisant les critères suivants:BID d'émetteur le
plus faible, puis priorité de port d'émetteur le plus bas et enfin l'ID de port d'émetteur le plus
bas.

• La convergence STP nécessite trois minuteries: le minuteur hello, le minuteur forward delay
et le minuteur max age.

• Les états de port sont: blocage, écoute, apprentissage, réacheminement et désactivé.

 • Dans les versions PVST de STP, un pont racine est déterminé pour chaque instance Spanning
Tree. Il est possible de disposer de plusieurs ponts racine distincts pour différents ensembles
de réseaux VLAN.

• STP est souvent utilisé pour faire référence aux différentes implémentations de spanning
tree, telles que RSTP et MSTP.

• RSTP est une évolution de Spanning Tree qui offre une convergence plus rapide que STP.

• Les états des ports de RSTP sont mise à l'écart (discarding), apprentissage et acheminement.

• PVST+ est une version améliorée du protocole STP proposée par Cisco, qui offre une instance
Spanning Tree 802.1D séparée pour chaque VLAN configuré dans le réseau. PVST+ prend en
charge PortFast, UplinkFast, BackboneFast, la protection BPDU, le filtre BPDU, la protection
de racine et la protection de boucle.

• Les commutateurs Cisco fonctionnant sous IOS 15.0 ou une version ultérieure exécutent
PVST+ par défaut.

• Rapid PVST+ est une version améliorée de RSTP proposée par Cisco qui utilise PVST+ et
fournit une instance distincte de 802.1w par VLAN.

• Lorsqu'un port de commutateur est configuré avec PortFast, ce port passe immédiatement
de l'état de blocage à l'état de réacheminement, évitant ainsi les états d'écoute et
d'apprentissage STP et un délai de 30 secondes.

• Vous pouvez utiliser PortFast sur les ports d'accès pour permettre aux appareils connectés à
ces ports, tels que les clients DHCP, d'accéder immédiatement au réseau, plutôt que
d'attendre que le STP converge sur chaque VLAN.

• Les commutateurs Cisco prennent en charge une fonctionnalité appelée Protection BPDU qui
met immédiatement le port du commutateur dans un état désactivé par erreur à la réception
de tout BPDU pour se protéger contre les boucles potentielles.

• Au cours des ans, les réseaux locaux Ethernet sont passés de quelques commutateurs
interconnectés, reliés à un seul routeur, à une conception de réseau hiérarchique
sophistiquée. Selon l'implémentation, la couche 2 peut inclure non seulement la couche
d'accès, mais aussi la couche de distribution ou même les couches cœur de réseau. Ces
conceptions peuvent inclure des centaines de commutateurs, avec des centaines ou des
milliers de VLAN. Le protocole STP s'est adapté à la redondance et à la complexité accrues
grâce à des modifications dans le cadre du RSTP et du MSTP.

• Le routage de couche 3 permet des chemins et des boucles redondants dans la topologie,
sans bloquer les ports. Pour cette raison, certains environnements sont en cours de
transition vers la couche 3 partout, sauf lorsque les périphériques se connectent au
commutateur de couche d'accès.

Module 6: EtherChannel

• Pour augmenter la bande passante ou la redondance, plusieurs liaisons peuvent être

connectées entre les périphériques. STP bloquera les liaisons redondantes pour éviter les
boucles de commutation. EtherChannel est une technologie d'agrégation de liens qui permet
des liaisons redondantes entre les périphériques qui ne seront pas bloqués par STP.
 • EtherChannel est une technologie d'agrégation de liens qui regroupe plusieurs liaisons
Ethernet physiques en un seul lien logique. Il offre une tolérance aux pannes, un partage de
charge, une bande passante accrue et une redondance entre les commutateurs, les routeurs
et les serveurs.

• Quand un EtherChannel est configuré, l'interface virtuelle résultante est appelée un canal de
port.

• Des EtherChannel peuvent être formés par négociation en utilisant l'un des deux protocoles,
PAgP ou LACP. Ces protocoles permettent à des ports ayant des caractéristiques similaires de
former un canal grâce à une négociation dynamique avec les commutateurs attenants.

• Lorsqu'une liaison EtherChannel est configurée en utilisant le PAgP propriétaire de Cisco, les
paquets PAgP sont envoyés entre les ports compatibles EtherChannel pour négocier la
formation d'un canal. Les modes PAgP sont On, PAgP desirable et PAgP auto.

• Il assure une fonction semblable à celle de PAgP avec Cisco EtherChannel. LACP étant une
norme IEEE, il peut être utilisé pour faciliter les EtherChannel dans des environnements
multifournisseurs. Les modes pour LACP sont On, LACP active et LACP passive.

• Les instructions et restrictions suivantes sont utiles pour la configuration d'EtherChannel:

• Toutes les interfaces Ethernet sur tous les modules doivent prendre en charge
EtherChannel, sans que les interfaces soient nécessairement contiguës de manière
physique ou sur le même module.

• Configurez le même débit et le même mode duplex sur l'ensemble des interfaces
d'l'EtherChannel.

• Toutes les interfaces situées à l'intérieur d'un paquet EtherChannel doivent être
attribuées au même VLAN ou être configurées comme un trunk.

• Un EtherChannel prend en charge la même plage autorisée de VLAN sur toutes les
interfaces d'un trunk EtherChannel.

• La configuration d'EtherChannel avec LACP nécessite trois étapes :

• Étape 1. Spécifier les interfaces qui composent le groupe EtherChannel en utilisant la

commande de mode de configuration globale d'interface interface range .

• Étape 2. Créer l'interface de canal de port à l'aide de la commande channel-group

identifier mode active en mode de configuration de plage d'interface.

Étape 3. Pour modifier les paramètres de la couche 2 de l'interface de canal de port, entrez dans le
mode de configuration de l'interface de canal de port en utilisant la commande interface port-
channel , suivie de l'identifiant de l'interface

• Il existe un certain nombre de commandes pour vérifier une configuration EtherChannel, y

compris show interfaces port-channel, show etherchannel summary, show etherchannel
port-channelet show interfaces etherchannel.

• Les problèmes courants d'EtherChannel sont les suivants:

• Attribution de tous les ports d'EtherChannel au même VLAN, ou les configurer en

tant que trunks.
 • Des ports avec des VLAN natifs différents ne peuvent pas former un EtherChannel.

• Le trunking a été configuré sur certains ports qui composent l'EtherChannel, mais pas
tous.

• Si la plage autorisée de VLAN n'est pas identique, les ports ne forment pas un
EtherChannel, même si PAgP est défini en mode auto ou desirable.

• Les options de négociation dynamique pour le PAgP et le LACP ne sont pas

configurées de manière compatible aux deux extrémités de l'EtherChannel.

Module 7 : DHCPv4

• Le serveur DHCPv4 attribue dynamiquement, ou loue, une adresse IPv4 à un client à partir
d'un pool d'adresses pour une période limitée choisie par le serveur, ou jusqu'à ce que le
client n'ait plus besoin de l'adresse.

• Le processus de location DHCPv4 commence par l'envoi par le client d'un message
demandant les services d'un serveur DHCP. S'il y a un serveur DHCPv4 qui reçoit le message,
il répondra avec une adresse IPv4 et d'autres informations de configuration réseau possibles.

• Le client doit régulièrement contacter le serveur DHCP pour renouveler le bail. Ce

mécanisme de bail permet de s'assurer que les clients qui sont déplacés ou qui sont mis hors
tension ne conservent pas des adresses dont ils n'ont plus besoin.

• Lorsque le client démarre (ou souhaite rejoindre un réseau), il entame un processus en

quatre étapes pour obtenir un bail : DHCPDISCOVER, puis DHCPOFFER, puis DHCPREQUEST,
et enfin DHCPACK. Avant l'expiration du bail, le client entame un processus en deux étapes
pour renouveler le bail avec le serveur DHCPv4: DHCPREQUEST puis DHCPACK.

• Le logiciel Cisco IOS du routeur Cisco peut être configuré en tant que serveur DHCPv4.

• Pour configurer un serveur Cisco IOS DHCPv4, procédez comme suit : excluez les adresses
IPv4, définissez un nom de pool DHCPv4 et configurez le pool DHCPv4.

• Vérifiez votre configuration à l'aide des commandes show running-config | section dhcp,
show ip dhcp binding et show ip dhcp server statistics.

• Le service DHCPv4 est activé par défaut. Pour désactiver le service, utilisez la commande no
service dhcp du mode de configuration globale.

• Les clients réseau ne sont généralement pas sur le même sous-réseau que les serveurs
d'entreprise fournissant des services DHCP, DNS, TFTP et FTP pour le réseau. Afin de localiser
les serveurs et de bénéficier des services, les clients utilisent souvent des messages de
diffusion. Le routeur doit être configuré pour relayer les messages DHCPv4 au serveur
DHCPv4.

• L'administrateur réseau peut configurer le routeur avec la commande de configuration de

l'interface iphelper-address address et utiliser la commande show ip interface pour vérifier
la configuration.

• Par défaut, la commande ip helper-address transfère les huit services UDP suivants :

• Port 37: Time

 • Port 49: TACACS

• Port 53: DNS

• Port 67: DHCP/BOOTP server

• Port 68: DHCP/BOOTP client

• Port 69: TFTP

• Port 137: NetBIOS name service

• Port 138: NetBIOS datagram service

• Pour configurer une interface Ethernet en tant que client DHCP, utilisez la commande de
mode de configuration de l'interface ip address dhcp 

• Les routeurs domestiques sont généralement déjà configurés pour recevoir

automatiquement les informations d'adressage IPv4 d'ISP. Vérifiez que le type de connexion
Internet est défini sur Configuration automatique - DHCP. Cette sélection est utilisée lorsque
le routeur est connecté à un DSL ou à un modem câble et agit en tant que client DHCPv4,
demandant une adresse IPv4 auprès de l'ISP.

Module 8: SLAAC et DHCPv6

• Sur un routeur, une adresse de monodiffusion globale (GUA) IPv6 est configurée
manuellement à l'aide de la commande de configuration de l'interface ipv6 address ipv6-
address/prefix-length .

• Lorsque l'adressage IPv6 automatique est sélectionné, l'hôte tente d'obtenir et de configurer
automatiquement les informations d'adresse IPv6 sur l'interface.

• L'adresse link-local IPv6 est automatiquement créée par l'hôte lorsqu'il démarre et que
l'interface Ethernet est active.

• La décision de la façon dont un client obtiendra une GUA IPv6 dépend des paramètres du
message RA. Un message RA ICMPv6 comprend trois indicateurs permettant d'identifier les
options dynamiques disponibles pour un hôte:

• Indicateur A - Il s'agit de l'indicateur de configuration automatique des adresses.

Utilisez SLAAC pour créer une GUA IPv6.

• Indicateur O - Il s'agit de l'indicateur Autre configuration. D'autres informations sont

disponibles à partir d'un serveur DHCPv6 sans état.

• Indicateur M - Il s'agit de l'indicateur de configuration des adresses gérées. Utilisez

un serveur DHCPv6 avec état pour obtenir une GUA IPv6.

• La méthode SLAAC permet aux hôtes de créer leur propre adresse de monodiffusion globale
IPv6 unique sans les services d'un serveur DHCPv6. Le SLAAC utilise les messages RA ICMPv6
pour fournir l'adressage et d'autres informations de configuration qui seraient normalement
fournies par un serveur DHCP. SLAAC peut être déployé en tant que SLAAC uniquement, ou
SLAAC avec DHCPv6. La méthode SLAAC est uniquement activée par défaut lorsque la
commande ipv6 unicast-routing est configurée.
• Pour activer l'envoi de messages RA, un routeur doit rejoindre le groupe de routeurs IPv6 à
l'aide de la commande de configuration globale ipv6 unicast-routing . Utilisez la commande
show ipv6 interface pour vérifier si un routeur est activé.

• Toutes les interfaces Ethernet activées avec une GUA IPv6 configurée commenceront à
envoyer des messages RA avec l'indicateur A défini sur 1 et les indicateurs O et M définis sur
0. L'indicateur A = 1 suggère au client de créer sa propre GUA IPv6 en utilisant le préfixe
annoncé dans le message RA. Les indicateurs O =0 et M =0 indiquent au client qu'il doit
utiliser exclusivement les informations contenues dans le message RA.

• Un routeur envoie des messages RA toutes les 200 secondes. Cependant, il enverra
également un message RA s'il reçoit un message RS d'un hôte.

• En utilisant le SLAAC, un hôte acquiert généralement ses informations de sous-réseau IPv6 de

64 bits du routeur RA. Cependant, il doit générer le reste de l'identifiant d'interface (ID) de
64 bits en utilisant l'une des deux méthodes suivantes : aléatoirement généré, ou EUI-64.

• Le processus DAD est utilisé par un hôte pour s'assurer que la GUA IPv6 est unique. DAD est
implémenté en utilisant ICMPv6. Pour effectuer DAD, l'hôte envoie un message NS ICMPv6
avec une adresse de multidiffusion spécialement construite, appelée adresse de
multidiffusion à nœud sollicité. Cette adresse duplique les 24 derniers bits de l'adresse IPv6
de l'hôte.

• L'hôte commence les communications client/serveur DHCPv6 après que le DHCPv6 sans état
ou le DHCPv6 avec état est indiqué dans le message RA.

• Les messages DHCPv6 serveur à client utilisent le port de destination UDP 546, tandis que les
messages DHCPv6 client à serveur utilisent le port de destination UDP 547.

• L'option DHCPv6 sans état enjoint le client à utiliser les informations dans le message RA
pour l'adressage, mais les paramètres de configuration supplémentaires sont fournis par un
serveur DHCPv6. C'est ce qu'on appelle DHCPv6 sans état car le serveur ne conserve aucune
information sur l'état du client.

• DHCPv6 sans état est activé sur une interface de routeur à l'aide de la commande de
configuration de l'interface ipv6 nd other-config-flag . Cela définit l'indicateur O sur 1.

• Dans DHCPv6 avec état, le message RA indique au client d'obtenir toutes les informations
d'adressage à partir d'un serveur DHCPv6 avec état, à l'exception de l'adresse de passerelle
par défaut qui est l'adresse link-local IPv6 source du message RA. Il est appelé "avec état"
(sateful) parce que le serveur DHCPv6 conserve les informations d'état IPv6.

• DHCPv6 avec état est activé sur une interface de routeur à l'aide de la commande de
configuration de l'interface ipv6 nd managed-config-flag . Cela définit l'indicateur M sur 1.

• Un routeur Cisco IOS peut être configuré pour fournir des services de serveur DHCPv6
comme l'un des trois types suivants: serveur DHCPv6, client DHCPv6 ou agent de relais
DHCPv6.

• Un routeur peut également être un client DHCPv6 et obtenir une configuration IPv6 à partir
d'un serveur DHCPv6.
 • L'option de serveur DHCP avec état nécessite que le routeur IPv6 indique à l'hôte de
contacter un serveur DHCPv6 pour obtenir toutes les informations d'adressage réseau IPv6
requises.

• Pour qu'un routeur client soit un routeur DHCPv6, il doit avoir le routage de monodiffusion
ipv6 activé et une adresse link-local IPv6 pour envoyer et recevoir des messages IPv6.

• Utilisez les commandes show ipv6 dhcp poolet show ipv6 dhcp binding pour vérifier le
fonctionnement DHCPv6 sur un routeur.

• Si le serveur DHCPv6 est situé sur un réseau différent de celui du client, alors le routeur IPv6
peut être configuré comme un agent relais DHCPv6 en utilisant la commande ipv6 dhcp relay
destination ipv6-address [interface-type interface-number] . Cette commande est configurée
sur l'interface située au niveau des clients DHCPv6 et spécifie l'adresse du serveur DHCPv6 et
l'interface de sortie pour atteindre le serveur. L'interface de sortie n'est requise que lorsque
l'adresse de tronçon suivant est un LLA.

• Vérifiez que l'agent de relais DHCPv6 est opérationnel avec les commandes show ipv6 dhcp
interface et show ipv6 dhcp binding .

Module 9: Concepts du FHRP

• Les protocoles FHRP offrent des passerelles par défaut alternatives dans les réseaux
commutés où deux routeurs ou plus sont connectés aux mêmes VLANs.

• Pour éviter tout risque de point de défaillance unique au niveau de la passerelle par défaut, il
est possible d'implémenter un routeur virtuel. Avec un routeur virtuel, plusieurs routeurs
sont configurés pour un fonctionnement conjoint, de manière à présenter l'illusion d'un
routeur unique au regard des hôtes du LAN.

• Lorsque le routeur actif tombe en panne, le protocole de redondance fait passer le routeur
de secours au nouveau rôle de routeur actif. Voici la procédure en cas de défaillance du
routeur actif:

• Le routeur de secours cesse de voir les messages Hello du routeur de transfert.

• Le routeur de secours assume le rôle du routeur de transfert.

• Étant donné que le nouveau routeur de transfert assume à la fois le rôle de l'adresse
IPv4 et celui de l'adresse MAC du routeur virtuel, aucune interruption de service
n'est constatée au niveau des périphériques hôtes.

• Le FHRP utilisé dans un environnement de production dépend largement de l'équipement et

des besoins du réseau. Voici les options disponibles pour les protocoles FHRP:

• HSRP et HSRP pour IPv6

• VRRPV2 et VRRPV3

• GLBP et GLBP pour IPv6

• IRDP

• Le Protocole HSRP (Hot Standby Router Protocol) est un protocole FHRP propriétaire de
Cisco, conçu pour permettre le basculement transparent d'un périphérique IPv4 au premier
 saut. Il est utilisé dans un groupe de routeurs pour sélectionner un périphérique actif et un
périphérique de secours.

• Dans un groupe d'interfaces de périphérique, le périphérique actif est celui qui est utilisé
pour le routage des paquets ; le périphérique de secours est celui qui prend le relais en cas
de défaillance du périphérique actif ou lorsque des conditions prédéfinies sont remplies. La
fonction du routeur de secours HSRP est de surveiller l'état de fonctionnement du groupe
HSRP et de prendre rapidement la responsabilité du réacheminement des paquets lorsque le
routeur actif est défaillant.

• Le routeur associé à la priorité HSRP la plus élevée devient le routeur actif. La préemption est
la capacité d'un routeur HSRP à déclencher le processus de réélection. Lorsque la préemption
est activée, un routeur qui se met en ligne avec une priorité HSRP plus élevée assume le rôle
du routeur actif. Les états HSRP comprennent l'initial, l'apprentissage, l'écoute, la parole et le
secours

Module 10 : Conception de sécurité LAN

• Les terminaux sont particulièrement sensibles aux attaques liées aux logiciels malveillants qui
proviennent de la messagerie électronique ou de la navigation Web, telles que DDOS, les
violations de date et les logiciels malveillants. Ces terminaux ont généralement utilisé des
fonctionnalités de sécurité traditionnelles basées sur l'hôte, telles que l'antivirus / anti-
programme malveillant, les pare-feu basés sur l'hôte et les systèmes de prévention des
intrusions (HIPS) basés sur l'hôte. Les points de terminaison sont mieux protégés par une
combinaison de NAC, d'un logiciel AMP basé sur l'hôte, d'un appliance de sécurité de
messagerie (ESA) et d'un appliance de sécurité Web (WSA).

• L'AAA contrôle qui est autorisé à accéder à un réseau (authentification), ce qu'il peut
accomplir pendant qu'il est sur le réseau (autorisation), et pour vérifier les actions qu'il a
effectuées pendant l'accès au réseau (comptabilité).

• La norme IEEE 802.1X est un protocole de contrôle d'accès et d'authentification basé sur les
ports qui empêche les stations de travail non autorisées de se connecter à un LAN via des
ports de commutation accessibles au public.

• Si la couche 2 est compromise, toutes les couches au-dessus sont également affectées. La
première étape pour atténuer les attaques contre l'infrastructure de couche 2 consiste à
comprendre le fonctionnement sous-jacentes de couche 2 et des solutions de couche 2:
sécurité des ports, l'espionnage DHCP, DAI et IPSG. Ceux-ci ne fonctionneront que si les
protocoles de gestion sont sécurisés.

• Les attaques par inondation d'adresses MAC bombardent le commutateur avec de fausses
adresses sources MAC jusqu'à ce que la table d'adresses MAC du commutateur soit pleine.

• Une attaque par saut de VLAN permet au trafic d'un VLAN d'être détecté par un autre VLAN
sans l'aide d'un routeur.

• Une attaque de double étiquetage VLAN est unidirectionnelle et ne fonctionne que lorsque
l'acteur de menace est connecté à un port résidant dans le même VLAN que le VLAN natif du
port de trunc.

• Les attaques par sauts et par double étiquetage de VLAN peuvent être évitées en appliquant
les directives de sécurité des lignes réseau suivantes:
 • Désactivez trunking sur tous les ports d'accès.

• Désactivez trunking automatique sur les liaisons de trunc afin que les truncs doivent
être activées manuellement.

• Assurez-vous que le VLAN natif n'est utilisé que pour les liaisons de trunc.

• Deux types d'attaques DHCP sont l'insuffisance DHCP et l'usurpation DHCP. Les deux attaques
sont atténuées en mettant en œuvre l'espionnage DHCP.

• Attaque ARP: un acteur de menace envoie un message ARP gratuit contenant une adresse
MAC usurpée à un commutateur, et le commutateur met à jour sa table MAC en
conséquence. Désormais, l'acteur de menace envoie des réponses ARP non sollicitées à
d'autres hôtes du sous-réseau avec l'adresse MAC de l'acteur de menace et l'adresse IP de la
passerelle par défaut. L'usurpation ARP et l'empoisonnement ARP sont atténués par
l'implémentation de DAI.

• Attaque d'usurpation d'adresse: l'usurpation d'adresse IP se produit lorsqu'un acteur de

menace détourne une adresse IP valide d'un autre appareil sur le sous-réseau ou utilise une
adresse IP aléatoire. Les attaques d'usurpation d'adresse MAC se produisent lorsque les
acteurs de menace modifient l'adresse MAC de leur hôte pour correspondre à une autre
adresse MAC connue d'un hôte cible. L'usurpation d'adresse IP et MAC peut être atténuée en
implémentant IPSG.

• Attaque STP: les acteurs de menace manipulent STP pour mener une attaque en usurpant le
pont racine et en changeant la topologie d'un réseau. Les attaquants peuvent faire
apparaître leurs hôtes comme des ponts racine; et par conséquent, capturent tout le trafic
pour le domaine commuté immédiat. Cette attaque STP est atténuée par l'implémentation
de BPDU Guard sur tous les ports d'accès.

• Reconnaissance CDP: les informations CDP sont envoyées sur les ports activés CDP dans des
diffusions périodiques non chiffrés. Les données CDP incluent l'adresse IP du périphérique, la
version logicielle IOS, la plate-forme, les fonctionnalités et le VLAN natif. Le périphérique
recevant le message CDP met à jour sa base de données CDP. les informations fournies par
CDP peuvent également être utilisées par un acteur de menace pour découvrir les
vulnérabilités de l'infrastructure du réseau. Pour réduire le risque d'attaque de CDP, limitez
l'utilisation de ce protocole sur les périphériques et les ports.

Module 11 : Configuration de la sécurité du commutateur

• Tous les ports (interfaces) du commutateur doivent être sécurisés avant que le commutateur
ne soit déployé pour une utilisation en production.

• Par défaut, les ports de commutateur de couche 2 sont réglés sur l'auto dynamique (trunking
activée).

• La méthode la plus simple et la plus efficace pour empêcher les attaques par débordement
de la table d'adresses MAC consiste à activer la sécurité des ports.

• Le commutateur peut être configuré pour connaître les adresses MAC sur un port sécurisé de
trois manières: configuré manuellement, appris dynamiquement et appris dynamiquement -
collant.
 • Si l'adresse MAC d'un périphérique connecté au port diffère de la liste des adresses
sécurisées, une violation de port se produit. Par défaut, le port entre l’état error-disabled.
Lorsqu'un port est placé dans l'état désactivé par erreur, aucun trafic n'est envoyé ou reçu
sur ce port.

• Atténuez les attaques par sauts de VLAN en désactivant les négociations DTP, en désactivant
les ports inutilisés, en définissant manuellement la jonction si nécessaire et en utilisant un
VLAN natif autre que VLAN 1.

• L'objectif d'une attaque par insuffisance de resources DHCP est de créer un déni de service
(DoS) pour connecter les clients. Les attaques par usurpation DHCP peuvent être
contrecarrées au moyen de fonctions de surveillance DHCP sur les ports de confiance.

• La surveillance DHCP détermine si les messages DHCP proviennent d'une source approuvée
ou non approuvée configurée par l'administrateur. Il filtre ensuite les messages DHCP et
limite le débit du trafic DHCP provenant de sources non fiables.

• L'inspection ARP dynamique (DAI) nécessite la surveillance DHCP et aide à prévenir les
attaques ARP en vérifiant le trafic ARP.

• Implémentez l'inspection ARP dynamique pour atténuer l'usurpation d'identité ARP et

l'empoisonnement ARP.

• Pour atténuer les attaques de manipulation du protocole Spanning Tree (STP), utilisez
PortFast et Bridge Protocol Data Unit (BPDU) Guard.

Module 12: Concepts WLAN&13

• Les réseaux locaux sans fil (WLAN) sont basés sur les normes IEEE et peuvent être classés en
quatre types principaux: WPAN, WLAN, WMAN et WWAN.

• La technologie sans fil utilise le spectre radio disponible pour envoyer et recevoir des
données. Bluetooth, WiMAX, Cellular Broadband et Satellite Broadband sont des exemples
de cette technologie.

• Les réseaux WLAN fonctionnent dans la bande de fréquences 2,4 GHz et la bande 5 GHz.

• Les trois organisations qui influencent les normes WLAN sont l'UIT-R, l'IEEE et la Wi-Fi
Alliance.

• CAPWAP est un protocole standard IEEE qui permet à un WLC de gérer plusieurs AP et
WLAN.

• DTLS est un protocole qui assure la sécurité entre l'AP et le WLC.

• Les appareils LAN sans fil ont des émetteurs et des récepteurs réglés sur des fréquences
spécifiques d'ondes radio pour communiquer. Les portées sont ensuite divisées en plages
plus petites appelées canaux: DSSS, FHSS et OFDM.

• Les normes 802.11b / g / n fonctionnent dans le spectre 2,4 GHz à 2,5 GHz. La bande 2,4 GHz
est subdivisée en plusieurs canaux. Chaque canal se voit attribuer une bande passante de 22
MHz et est séparé du canal suivant par 5 MHz.

• Les réseaux sans fil sont sensibles aux menaces, notamment l'interception de données, les
intrus sans fil, les attaques DoS et les points d'accès malveillants.
• Pour éloigner les intrus sans fil et protéger les données, deux premières fonctions de sécurité
sont toujours disponibles sur la plupart des routeurs et des points d'accès: le masquage SSID
et le filtrage des adresses MAC.

• Il existe quatre techniques d'authentification par clé partagée: WEP, WPA, WPA2 et WPA3.

• Les travailleurs distants, les petites filiales et les réseaux domestiques utilisent souvent un
routeur sans fil, qui comprend généralement un commutateur pour les clients câblés, un port
pour une connexion Internet (parfois appelé «WAN») et des composants sans fil pour l'accès
client sans fil.

• La plupart des routeurs sans fil sont préconfigurés pour être connectés au réseau et fournir
des services. Le routeur sans fil utilise le DHCP pour fournir automatiquement des
informations d'adressage aux périphériques connectés.

• Votre première priorité devrait être de changer le nom d'utilisateur et le mot de passe de
votre routeur sans fil.

• Vous pouvez ajouter des points d'accès sans fil si vous souhaitez étendre la gamme au-delà
de 45 mètres à l'intérieur et de 90 mètres à l'extérieur.

• Le routeur utilisera un processus appelé traduction d'adresses réseau (NAT) pour convertir
les adresses IPv4 privées en adresses IPv4 routables sur Internet.

• En configurant la QoS, vous pouvez garantir que certains types de trafic, tels que la voix et la
vidéo, ont la priorité sur le trafic qui n'est pas aussi sensible au temps, comme les e-mails et
la navigation Web.

• Les AP Lightweight (LAPs) utilisent le Lightweight Access Point Protocol (LWAPP) pour
communiquer avec un contrôleur WLAN (WLC).

• La Configuration de contrôleur LAN sans fil (WLC) est similaire à la Configuration de routeur
sans fil, sauf qu'un WLC contrôle les points d'accès et fournit plus de services et de capacités
de gestion. Utilisez l'interface WLC pour afficher une image globale des informations et des
performances du système AP, pour accéder aux paramètres avancés et pour configurer un
WLAN.

• SNMP est utilisé pour surveiller le réseau. le WLC transfère tous les messages de journal
SNMP, appelés interruptions au serveur SNMP.

• Pour l'authentification des utilisateurs WLAN, un serveur RADIUS est utilisé pour les services
d'authentification, d'autorisation et de comptabilité (AAA). L'accès des utilisateurs individuels
peut être suivi et audité.

• Utilisez l'interface WLC pour configurer les informations du serveur SNMP et du serveur
RADIUS, les interfaces VLAN, la portée DHCP et un WPA2-Enterprise WLAN.

• Les six étapes de la procédure de dépannage.

• Pendant le dépannage d'un WLAN, un processus d'élimination est recommandé. Les

problèmes courants sont: l'absence de la connectivité et une connexion sans fil de faible
performance lorsque le PC est en opération.

• Pour optimiser et augmenter la bande passante des routeurs et des points d'accès bi-bande
802.11, mettez à niveau vos clients sans fil ou divisez le trafic.
• La plupart des routeurs et points d'accès sans fil proposent un firmware mise à jour. Les
différentes versions du micrologiciel peuvent contenir la résolution de problèmes courants
signalés par des clients ou des failles de sécurité. Vous devriez vérifier périodiquement le
routeur ou l'AP pour le firmware mise à jour.

Module 14: Concepts de routage

• Les principales fonctions d'un routeur consistent à déterminer le meilleur chemin

d'acheminement des paquets en fonction des informations contenues dans sa table de
routage, et à transférer des paquets vers leur destination.

• Le meilleur chemin dans la table de routage est également connu comme la correspondance
la plus longue. La correspondance la plus longue est celle qui, dans la table de routage,
présente le plus grand nombre de bits de correspondance les plus à gauche avec l'adresse IP
de destination du paquet.

• Les réseaux directement connectés sont des réseaux configurés sur les interfaces actives
d'un routeur. Un réseau directement connecté est ajouté à la table de routage lorsqu'une
interface est configurée avec une adresse IP et un masque de sous-réseau (longueur du
préfixe) et est active (up et up).

• Les routeurs apprennent les réseaux distants de deux façons : les routes statiques et les
protocoles de routage dynamiques.

• Une fois qu'un routeur détermine le chemin correct, il peut transférer le paquet sur un
réseau directement connecté, il peut transférer le paquet à un routeur de saut suivant, ou il
peut déposer le paquet.

• Les routeurs prennent en charge trois mécanismes de transfert de paquets : commutation de

processus, commutation rapide et CEF.

• Il existe plusieurs commandes de configuration et de vérification pour les routeurs, y compris

show ip route, show ip interface, show ip interface brief et show running-config.

• Une table de routage contient une liste d'itinéraires des réseaux connus (préfixes et
longueurs de préfixes). La source de ces informations provient de réseaux directement
connectés, de routes statiques et de protocoles de routage dynamique.

• Chaque routeur prend sa décision seul, en fonction des informations qu'il possède dans sa
propre table de routage. Les informations contenues dans une table de routage d'un routeur
ne correspondent pas nécessairement à la table de routage d'un autre routeur.

• Les informations de routage relatives à un chemin d'accès ne fournissent pas d'informations

de routage de retour.

• Les entrées de table de routage incluent la source de l'itinéraire, le réseau de destination,

AD, la métrique, le saut suivant, l'horodatage de l'itinéraire et l'interface de sortie.

• Les routes statiques sont configurées manuellement et définissent un chemin explicite entre
deux appareils réseau.

• Les protocoles de routage dynamique peuvent détecter un réseau, gérer les tables de
routage, sélectionner un meilleur chemin et découvrir automatiquement un nouveau
meilleur chemin si la topologie change.
 La route par défaut spécifie un routeur de saut suivant à utiliser lorsque la table de routage
ne contient pas de route spécifique correspondant à l'adresse IP de destination. Une route
par défaut peut être soit une route statique, soit apprise automatiquement à partir d'un
protocole de routage dynamique.

• Les tables de routage IPv4 ont toujours une structure basée sur l'adressage classe représenté
par des niveaux d'indentation. Les tables de routage IPv6 n'utilisent pas la structure de table
de routage IPv4.

• Le logiciel CISCO IOS utilise ce que l'on appelle la distance administrative (AD) pour
déterminer la route à installer dans la table de routage IP. L'AD indique la «fiabilité» de la
route. Plus la distance administrative est faible, plus la route est fiable.

• Les routes statiques sont couramment utilisées comme route par défaut pour la transmission
de paquets à un fournisseur de services, pour les routes en dehors du domaine de routage et
non apprises par le protocole de routage dynamique, lorsque l'administrateur de réseau
souhaite définir explicitement le chemin d'un réseau spécifique, ou pour le routage entre
réseaux d'extrémités.

• Le protocole de routage dynamique est couramment utilisé dans les réseaux composés de
plusieurs routeurs, lorsqu'une modification de la topologie du réseau nécessite que le réseau
détermine automatiquement un autre chemin, et pour une évolutivité. À mesure que le
réseau se développe, le protocole de routage dynamique apprend automatiquement à
connaître les nouveaux réseaux.

• Les protocoles de routage actuels incluent les IGPs et les EGPs. Les IGPs échangent des
informations de routage au sein d'un domaine de routage administré par une seule
organisation. Le seul EGP est BGP. BGP échange des informations de routage entre
différentes organisations.BGP est utilisé par les ISPs pour acheminer des paquets sur
Internet.

• Les protocoles de routage vectoriel de distance, d'état de liaison et de vecteurs de chemin

font référence au type d'algorithme de routage utilisé pour déterminer le meilleur chemin.

• Les principaux composants des protocoles de routage dynamique sont les structures de
données, les messages de protocole de routage et les algorithmes.

• Le meilleur chemin est sélectionné par un protocole de routage, qui utilise une valeur ou une
métrique pour déterminer la distance à parcourir pour atteindre un réseau. Le meilleur
chemin pour rejoindre un réseau est celui dont la métrique est la plus faible.

• Lorsqu'un routeur contient deux chemins ou plus vers une destination avec des métriques à
coût égal, le routeur transmet les paquets en utilisant de manière égale les deux chemins.
C'est ce que l'on appelle l'équilibrage de charge à coût égal.

Module 15: Routage statique IP

• Tous les ports (interfaces) du commutateur doivent être sécurisés avant que le commutateur
ne soit déployé pour une utilisation en production.

• Par défaut, les ports de commutateur de couche 2 sont réglés sur l'auto dynamique (trunking
activée).
 • La méthode la plus simple et la plus efficace pour empêcher les attaques par débordement
de la table d'adresses MAC consiste à activer la sécurité des ports.

• Le commutateur peut être configuré pour connaître les adresses MAC sur un port sécurisé de
trois manières: configuré manuellement, appris dynamiquement et appris dynamiquement -
collant.

• Si l'adresse MAC d'un périphérique connecté au port diffère de la liste des adresses
sécurisées, une violation de port se produit. Par défaut, le port entre l’état error-disabled.
Lorsqu'un port est placé dans l'état désactivé par erreur, aucun trafic n'est envoyé ou reçu
sur ce port.

• Atténuez les attaques par sauts de VLAN en désactivant les négociations DTP, en désactivant
les ports inutilisés, en définissant manuellement la jonction si nécessaire et en utilisant un
VLAN natif autre que VLAN 1.

• L'objectif d'une attaque par insuffisance de resources DHCP est de créer un déni de service
(DoS) pour connecter les clients. Les attaques par usurpation DHCP peuvent être
contrecarrées au moyen de fonctions de surveillance DHCP sur les ports de confiance.

• La surveillance DHCP détermine si les messages DHCP proviennent d'une source approuvée
ou non approuvée configurée par l'administrateur. Il filtre ensuite les messages DHCP et
limite le débit du trafic DHCP provenant de sources non fiables.

• L'inspection ARP dynamique (DAI) nécessite la surveillance DHCP et aide à prévenir les
attaques ARP en vérifiant le trafic ARP.

• Implémentez l'inspection ARP dynamique pour atténuer l'usurpation d'identité ARP et

l'empoisonnement ARP.

• Pour atténuer les attaques de manipulation du protocole Spanning Tree (STP), utilisez
PortFast et Bridge Protocol Data Unit (BPDU) Guard.

Module 16: Dépannage de routes statiques et par défaut

• Un hôte envoie un paquet à un autre hôte et l'envoie à l'adresse de passerelle par défaut.

• Lorsque le paquet arrive sur une interface de routeur, il décapsule le paquet et recherche
dans la table de routage une entrée de réseau de destination correspondante

• Si l'adresse IP de destination:

• Correspond à une entrée de route statique, le routeur utilisera la route statique pour
identifier l'adresse IP du tronçon suivant ou l'interface de sortie.

• Ne correspond pas à une route spécifique au réseau de destination, alors le routeur

utilisera la route statique par défaut (si configuré).

• Ne correspond pas à une entrée de table de routage, alors le routeur abandonnera le

paquet et renvoie un message ICMP à la source.

• Si le routeur correspond à une entrée de table de routage, le routeur encapsule le paquet et

le transfère via l'interface appropriée.
• Le paquet est transféré du routeur au routeur jusqu'à ce qu'il atteigne son réseau de
destination.

• Lorsque le paquet atteint le réseau de destination, ce routeur recherche une correspondance

dans la table de routage.

• Lorsque l'adresse IP de destination correspond à une interface Ethernet directement

connectée, le routeur recherche dans la table ARP l'adresse MAC de couche 2 de l'adresse IP
de destination.

• Si aucune entrée ARP n'existe, le routeur envoie une requête ARP via l'interface Ethernet

• L'hôte de destination répond avec une réponse ARP contenant son adresse MAC.

• Le routeur encapsule alors le paquet dans une nouvelle trame. Il utilise l'adresse MAC de
l'hôte de destination comme adresse MAC de destination de la trame, et l'adresse MAC de
l'interface Ethernet du routeur comme adresse MAC source dans la trame.

• La trame est transmise via l'interface appropriée.

• Le paquet arrive sur l'interface de la carte d'interface réseau (NIC) de l'hôte de destination et
est traité en conséquence.