Les différentes possibilités pour

se connecter à un équipement
Cisco
6

On sait que pour configurer un équipement Cisco sorti du carton, il faut utiliser le port Console.

Une fois l’équipement bien configuré, il existe d’autres possibilités pour accéder à distance à l’IOS.
L’objectif étant de pouvoir prendre la main à distance et donc de centraliser la configuration de tous
les équipements sur un seul et même serveur d’administration.

Dans la plupart des entreprises existe un serveur d’administration qui peut accéder à toutes les
ressources réseau (switch, routeur, borne WiFi…) à travers la planète: c’est quand même très utile
!

Voyons quelles sont les possibilités de connexion sur un équipement Cisco.

Connexion locale à l’équipement Cisco

On a déjà vu que le port Console est l’interface physique qui permet de prendre la main sur l’IOS
une fois l’équipement démarré, même si ce dernier est vierge (c’est à dire sans configuration). C’est
aussi la seule interface physique qui peut vous sauver lorsque vous vous êtes coupez la main
à distance ou plus concrètement que vous n’avez plus accès à l’équipement via votre serveur
d’administration.

Un des inconvénients et pas des moindres du port Console est qu’il faut être physiquement
à coté de l’équipement… compliqué lorsque vous êtes en France et que le switch à reconfigurer se
trouve à Montréal… quoique pour certain ça permettra de prendre un billet aller/retour et une fois
la configuration faite d’en profiter pour visiter cette ville 🙂 (qui au passage est vraiment un des
endroits les plus accueillants que j’ai pu découvrir !)

Un petit rappel de la connectique, cliquez sur l’image pour l’agrandir:

Voyons maintenant les possibilités qui s’offrent à nous pour une prise en main à distance.

Connexion distante à l’équipement Cisco

Connexion par le port AUX

Une particularité pour les routeurs qui n’existe pas sur les switchs est la présence d’un port
auxiliaire (AUX) qui permet de brancher un “ancien” modem et d’établir une communication
distante en traversant le réseau téléphonique traditionnel.

Cette méthode est relativement ancienne mais fonctionne bien. Cliquez sur l’image pour l’agrandir:

Connexion par les protocoles réseau

Aujourd’hui, on est dans un monde “connecté”, c’est à dire que les équipements Cisco, switch,
routeurs, borne WiFi… ont une adresse IP comme pour les ordinateurs. Ayant une adresse IP,
ces équipements peuvent envoyer des informations à travers la planète sans aucun souci, c’est le
principe même du protocole IP.

Au sein de ces équipements, Cisco a installé des services pour pouvoir prendre la main à distance
sur l’IOS. Ces services sont entre autres:

 service Telnet
 service SSH
 service http / https
 service SNMP
 service TFTP
 …
Chaque service utilise un protocole qui lui est propre. Une fois que l’administrateur a
bien configuré le ou les services qu’ils souhaitent disposer, il peut alors prendre la main à distance
sur ces équipements.

Cliquez sur l’image pour l’agrandir:

A retenir pour le CCNA

Il existe plusieurs possibilités pour prendre la main sur l’IOS Cisco:

 Port Console: le seul accès ou il faut être physiquement à cote de l’équipement

 Port Auxiliaire: à travers un réseau téléphonique traditionnel
 Service réseau:
o telnet

o ssh
o http / https
o snmp
o …

Cliquez sur l’image pour l’agrandir:

Se connecter à un équipement
Cisco en Console
6

Comment je fais pour configurer un équipement Cisco?

Avant de pouvoir taper des commandes en ligne de commande, que ce soit en

telnet, en ssh, en graphique par http, via SNMP… il faut y accéder en port
Console ou en port auxiliaire.

Pourquoi? Parce que lorsque le switch ou le routeur Cisco sort du carton, il est
vierge donc la seule possibilité pour accéder à l’IOS est le port console. Et oui
il faut un début à tout 🙂

Le port port auxiliaire peut aussi être utilisé, il suffit juste de brancher ce port
sur un modem pour y accéder via le réseau téléphonique. Ce sera l’objet d’un
prochain article.

Les différents types de port Console

Le port console est le seul port physique qui permet de prendre la main sur
l’IOS si ce dernier est vierge. Pour se connecter dessus avec son ordinateur, il
faut tout d’abord le localiser sur l’équipement, logique me diriez-vous! Selon
les modèles d’équipement Cisco, le port se trouve en face avant ou
en face arrière. Au fil des années, le port a évolué de connectique, passant
de RJ45 vers du mini-USB pour les plus récents.

Le plus important est que pour le localiser, il faut chercher un port de couleur
bleue.

Port Console en RJ45

Par exemple, sur ce routeur, on remarque que le mot “console” est inscrit
juste au dessus d’un port de couleur bleu. Donc pas moyen de se tromper sauf
si vous le faites exprès 🙂

La connectique ici est RJ45, il faudra alors utiliser un câble qui a

une extrémité en RJ45.

Quel câble utiliser? Cisco met à disposition dans le carton d’emballage (parfois
il y en a pas 🙂 ) un câble dit “console” qui pour plus de simplicité est aussi
de couleur bleue. D’un coté il a une connectique RJ45 pour se brancher au
switch/routeur et de l’autre une connectique DB9 pour se brancher sur
le port série de l’ordinateur.

Le câble Console ressemble à ça:

On voit bien un coté en RJ45 et de l’autre un embout en DB9.

On relie le port série (DB9) de l’ordinateur et le port console (RJ45) du

switch/routeur avec ce câble bleu. Certains me diront que le port série
(DB9) est de moins en moins présent sur les ordinateurs et c’est bien vrai ! Si
vous n’avez pas de port série sur votre ordinateur, il faut juste acheter
un adapteur DB9-USB, très pratique. L’adaptateur ressemble à ça:

Sur l’extrémité “bizarre” de cet adaptateur, on branche le port DB9 du câble

Console bleu Cisco et de l’autre on branche l’embout USB sur une prise USB
de l’ordinateur. Simple non?
Port Console en mini-USB

Dans certains cas et surtout sur les équipements les plus récents vous pouvez
vous trouver en face de 1 ou 2 ports Console, un RJ45 classique et/ou
un mini-USB juste à coté. Cisco commence à faire évoluer ses ports Console
vers le format mini-USB car plus pratique.

En fonction de votre câble Console, vous vous connectez où vous souhaitez.

Bien évidemment, si vous choisissez le port mini-USB, il faut avoir

le câble console USB adéquat.

Et il ressemble à ça:
On voit bien la différence entre le connecteur USB classique et le
connecteur mini-USB. Le premier (USB classique) sera à brancher sur votre
ordinateur et l’autre (mini-USB) sur le switch/routeur Cisco.

Donc en conclusion, en fonction du type de port console (RJ45 ou mini-USB)

et en fonction de votre ordinateur, la connectique peut changer.

Résumons avec un schéma où:

 d’un coté on a un routeur avec un port console en RJ45 et un

ordinateur avec ou sans port serie
 d’un autre coté, on a un switch avec un port mini-USB et un portable
avec port USB
Cliquez sur ce schéma pour l’agrandir et le sauvegarder :

Choisir son logiciel de terminal console

Maintenant que votre ordinateur est physiquement connecté au switch/routeur
par le câble console, il faut exécuter un logiciel pour afficher la console
de l’équipement. La console est l’écran qui vous permet de taper des lignes de
commandes et de les envoyer à l’équipement pour que l’IOS les exécutent.

Quelques logiciels…
Selon votre système d’exploitation, choisissez le logiciel adéquat:

 Windows: Hyper Terminal (inclu dans Windows), TeraTerm

(gratuit), Putty (gratuit), SecureCRT (payant, utilisé entre autre pour
le lab CCIE)…
 Linux: Minicom…
 MAC: Minicom, Teraterm, Putty…

Ce logiciel va vous permettre d’aller se prendre le contrôle du port série de

votre ordinateur qui je le rappelle est physiquement connecté au
Switch/routeur.
Dans l’exemple suivant, je vais utiliser le logiciel Putty car très simple
d’utilisation et très puissant. Et en plus de la prise de contrôle du port série de
votre ordinateur, il peut aussi utiliser les protocoles telnet et SSH pour se
connecter à distance.

Configuration du Putty

 lancez Putty (qui n’est rien d’autre qu’un unique fichier exécutable),
une petite fenêtre s’ouvre comme ci-dessous
 sélectionnez le bouton “Serial” en haut à droite pour préciser au
logiciel qu’il faut prendre le contrôle du port série de l’ordinateur
o Serial line: c’est l’identifiant de votre port série, selon les
ordinateurs, il peut être COM1, COM2, COM3…
o Speed: c’est la vitesse entre les 2 équipements. Par défaut,
l’IOS Cisco est à 9600 bauds donc il faut être à
la même vitesse de l’autre coté 🙂
 cliquez sur “Serial” se trouvant dans le menu de gauche, tout en
bas et vérifier que les paramètres sont les suivants:
o Data bits: c’est le nombre de bits de données à envoyer
en même temps, mettez 8 bits
o Stop bits: bit d’arrêt, mettez 1
o Parity: aucune parité à configurer
o Flow Control: laissez par défaut
 une fois fini, cliquez sur le bouton “Open“, en bas à droite
 une nouvelle fenêtre s’ouvre et vous êtes désormais connecté à l’IOS
de votre équipement. Tapez “Entrée” pour récupérer la commande
en ligne CLI
Et voila, vous avez accès à la CLI de l’IOS et vous pouvez taper les commandes
pour configurer votre équipement. Parmi les premières commandes que l’on
configure, on retiendra:

 la commande hostname pour donner un nom à l’équipement

 les commandes pour activer le telnet et/ou le ssh pour accéder à
distance au switch
 la commande pour sauvegardez la configuration; copy running-
config startup-config

Ce qu’il retenir pour le CCNA

Pour l’examen, il faut retenir les points suivants:

 le port Console permet de configurer un équipement sortie du carton

(from scratch)
 les paramètres de connexion console sont:
o Port serie: généralement COM1

o Data bits: c’est le nombre de bit de données à envoyer

en même temps, mettez 8 bits
o Stop bits: bit d’arrêt, mettez 1
o Parity: aucune parité à configurer
Comment fonctionne notre ami
le switch? Démonstration!
15

Le switch ou commutateur est un

équipement réseau largement déployé dans les réseaux locaux des entreprises
et chez les citoyens.

Votre box est un modem/routeur/switch. Derrière celle-ci se trouve plusieurs

ports sur lesquels vous pouvez branchez vos PC, imprimante réseau… vous
avez bien un switch chez vous!

Comme précisé dans le chapitre de présentation du modèle OSI, le switch n’a

besoin que des couches 1 et 2 pour fonctionner. En fait, lorsque le switch reçoit
des données d’un PC, il va analyser le contenu de l’entête de la couche 2, qui
dans un réseau local est l’entête du protocole Ethernet.

Fonctionnement
Prenons l’exemple ci dessous ou quatre PC sont branchés physiquement sur
les switchs SW1 et SW2:
Dans chaque switch se trouve une base de données appelée “table MAC” pour
Medium-Access-Control ou “table CAM” pour Content-Addressable-Memory.

Cette table fait le lien entre les ports physiques du switch (E0, E1, E2) et les
adresses MAC sources qui arrivent sur ces ports. Forcément, lorsqu’on démarre
un switch, ce dernier ne peut pas savoir quel PC est connecté sur tel ou tel
port, la table est donc logiquement vide.

Trame initiée par PC1 à destination de PC4

1. la trame sort de la carte réseau de PC1 avec:
o adresse MAC source = AAAA.AAAA.AAAA
o adresse MAC destination = DDDD.DDDD.DDDD
2. la trame arrive sur le port E0 du switch SW1
o le switch extrait l’adresse MAC source et l’insère dans sa
table (cf schéma). Maintenant le switch sait que pour
joindre cette adresse MAC (AAAA.AAAA.AAAA), il doit
commuter les trames vers le port E0. Cette information lui
servira donc pour le retour de la trame.
o puis le switch extrait l’adresse MAC destination
(DDDD.DDDD.DDDD) et la compare à sa table: aucune
entrée trouvée donc ne sachant pas où envoyer la trame, il
la diffuse sur tous les ports excpetés le port de réception
E0.
3. la trame arrive sur le port E2 du switch SW2
o le switch extrait l’adresse MAC source et l’insère dans sa
table (cf schéma). Maintenant le switch sait que pour
joindre cette adresse MAC (AAAA.AAAA.AAAA), il doit
commuter les trames vers le port E2. Cette information lui
servira donc pour le retour de la trame.
o puis le switch extrait l’adresse MAC destination
(DDDD.DDDD.DDDD) et la compare à sa table: aucune
 entrée trouvée donc ne sachant pas où envoyer la trame, il
la diffuse sur tous les ports excpetés le port de réception
E2.
4. la trame arrive sur la carte réseau du PC4: gagné pour la trame
aller!

Trame réponse envoyée par PC4 à destination de

PC1

Le fonctionnement est le même que précédemment. On remarque que

lorsque la trame arrive sur les switchs, ils insèrent l’adresse MAC source
DDDD.DDDD.DDDD dans leur table.

Puis ils extraient l’adresse MAC destination (AAAA.AAAA.AAAA) et la compare

à leur table et là ils savent où se situe cette adresse MAC; port E2 pour le
switch SW2 et port E0 pour le switch SW1. Ils n’ont plus qu’à commuter la
trame UNIQUEMENT sur le port en question.

Trames envoyées par les différents PC

En générant petit à petit du trafic entre les différents PC, les tables MAC des
switchs sont se remplir. L’objectif est de ne plus diffuser les trames vers tous
les ports mais uniquement vers un seul port, celui où se situe le PC de
destination.
L’avantage dans un environnement Microsoft est que les PC sont très
verbeux, avant même qu’on ouvre une session Windows, plusieurs trames
sont envoyées dans le réseau. Donc les switchs remplissent très rapidement
leur table MAC.
On dit que le switch a convergé quand sa table MAC contient toutes les
adresses MAC se trouvant dans le réseau (des PC, des imprimantes, des
bornes Widi, des serveurs,…).

Dans le schéma ci dessus, on voit bien que les adresses des 4 PC sont bien
dans chacune des tables de SW1 et SW2.

Au final, lorsqu’une trame arrive sur SW1 ou SW2, ils sauront exactement où
commuter cette trame.

Remarques importantes:

 la table MAC est effacée à chaque reboot du switch

 la table MAC a une taille finie. Par exemple, sur un Cisco 2950, c’est
8000 entrées. Large…
 ce fonctionnement d’apprentissage des adresses MAC est vulnérable
à certaines attaques comme par exemple la saturation de table MAC
Pour visualiser le contenu de la table sur un switch Cisco, il faut faire

Switch# show mac-address-table

Le câblage
0

Le câblage est un métier à part entière et il faut savoir que la plupart

des problèmes lors d’installation de
nouveaux équipements réseaux proviennent de câblage erroné. Qui ne s’est
pas trouvé avec un mauvais connecteur de fibre optique entre les mains et de
devoir reporter l’installation?

Idem pour les câbles cuivres, il existe

plusieurs catégories de câble de qualité différente et qui permettent d’avoir
des débits plus ou moins élevés.

Le câblage cuivre

Les catégories
Je ne parlerai dans ce chapitre que des catégories utilisées à ce jour:

 Catégorie 5e (Classe D) : transmission de données à des

fréquences jusqu’à 155 MHz et à des débits théoriques de 1000 Mb/s
(1 Gb/s)
 Catégorie 6 (Classe E) : transmission de données à des fréquences
jusqu’à 500 MHz et à des débits théoriques de 1 Gb/s
 Catégorie 7 (Classe F) : transmission de données à des fréquences
jusqu’à 600 MHz et à des débits théoriques de 10 Gb/s
 Catégorie 7a (Classe FA) : transmission de données à des
fréquences jusqu’à 1 GHz et à des débits théoriques de 10 Gb/s

Les types de protection

Le câble UTP (Unshielded Twisted Pair) est un câble non blindé, non écranté.
Le câble FTP (Foiled Twisted Pair) est un câble écranté avec une feuille
d’aluminium.

Le câble STP (Shielded Twisted Pair) est un câble écranté paire par paire.

Le câble SFTP (Shielded Foiled Twisted Pair) est un câble écranté paire par
paire et blindé.

Le câble SSTP (Shielded and Shielded Twisted Pair) est un câble blindé paire
par paire avec un blindage autour.

En général, le câble de catégorie 5e est bien répandu dans les entreprises

mais désormais on utilise de plus en plus les catégories supérieures. De plus,
le câble FTP est préféré à l’UTP, du fait que ce dernier est très sensible aux
perturbations électromagnétiques externes.

Le connecteur RJ45
Bon, ce connecteur vous dit quelque chose non? Bien, il s’appelle RJ45 🙂

Qu’en est-il du câblage optique?

Le câblage optique

Avantages de la fibre optique

La fibre optique présente de nombreux avantages :

 La perte de signal et l’atténuation sur grandes distances sont bien

plus faibles que lors de transmissions par câble cuivre,
 Les débits sont très élevés et de loin supérieurs à ceux auxquels
peuvent prétendre le câblage cuivre,
 La quasi absence de réaction aux perturbations
électromagnétiques (néons, câbles à haute tension, équipements
industriels lourds),
 L’absence d’échauffement (à haute fréquence les câbles de cuivre
chauffent, et voient baisser leurs qualités de débit),
 L’absence de diaphonie (bruit) contribue également aux très hauts
débits atteints.

Fibre mono-mode et multi-mode

Mono mode : composée d’un coeur optique inférieur à 10 microns et d’une
gaine de 125 microns. Sa bande passante est supérieure à 10 GHz/km ; elle
est donc essentiellement utilisée pour les très longues distances.

Multi mode à saut d’indice :constituée d’un coeur de 62,5 microns et d’une
gaine optique de 125 microns, avec différents indices de réfraction. La section
importante du coeur provoque une grande dispersion du signal et donc une
dégradation des performances sur de très longues distances. Sa bande
passante se situe entre 600 et 3000 MHz par km.

Multi mode à gradient d’indice : le diamètre de son coeur est plus petit et
est constitué de couches de verre successives ayant un indice de réfraction
proche. Cela permet de réduire les problèmes posés par la dispersion du signal.

Les connecteurs
Maintenant les câbles de fibre optique ont des
connecteurs différents du RJ45 que l’on utilise généralement avec
le câble cuivre. Ils ont des noms aussi barbares comme ST, SC, LC, MTRJ…
Cliquez sur l’image pour zoomer

A retenir pour le CCNA

Dans ce chapitre, voici ce qu’il faut retenir pour le CCNA:

 Les catégorie des câbles cuivre

 Les protections associées aux câbles cuivres
 Les avantages de la fibre optique par rapport au cuivre
 Les différents connecteurs
 En gros… tout le chapitre 🙂
Le protocole Ethernet, le TGV de
l’avenir
2

Le protocole Ethernet permet de faire transiter dans un réseau local un

ensemble de données binaires vers une destination. On appelle cet ensemble
de données une trame (ou frame en anglais).

Ce protocole, largement déployé dans le monde, a été normalisé par

l’organisme IEEE et nommé 802.3. Même s’il y a quelques différences entre
Ethernet et la norme 802.3, la philosophie reste la même.

Fonctionnement
Sans entrer dans le détail du fonctionnement d’Ethernet car inutile pour
l’examen, il faut retenir les points suivants:

On peut assimiler la couche 2 à un wagon de train qui se remplit avec les

données que vous souhaitez envoyer (un mail par exemple).

Ce wagon a une capacité maximale qu’on ne peut pas dépasser. Si on utilise le

protocole Ethernet pour la couche 2 alors la taille maximale du wagon
Ethernet est 1500 octets (à savoir pour l’examen).

De plus, pour envoyer ce wagon vers votre destinataire, vous avez besoin
d’ajouter l’adresse source (vous) et l’adresse de destination. Qu’est ce que c’est
que ces adresses?

Ces adresses sont les identifiants de vos cartes réseaux. Et oui, chaque carte
réseau a un identifiant unique appelé adresse MAC – Medium Access Control.
Pour connaitre votre adresse MAC, il suffit de taper ipconfig /all dans une
invite de commande MS-DOS.
Voici l’adresse MAC de ma carte réseau: 00.22.5F.99.1B.ED

Donc votre carte réseau forge la trame Ethernet et y ajoute les adresses MAC
source (vous) et destination. Puis la trame Ethernet sort de votre carte réseau
pour aller joindre la destination.

Le destinataire reçoit la trame et vérifie que l’adresse MAC de destination

correspond bien à son adresse MAC. Si c’est bon, il décharge le wagon et traite
les données reçues.

Composition d’une trame Ethernet

On peut représenter la trame Ethernet comme ceci:

 @MAC destination (sur 6 octets): ici se trouve l’adresse MAC de

destination donc la carte réseau que vous souhaitez joindre (le PC de
destination).
 @MAC source (sur 6 octets): ici se trouve l’adresse MAC source, c’est
à dire l’identifiant de votre carte réseau. Utile si le destinataire
souhaite vous répondre.
  Ethertype (sur 2 octets): ce champ barbare sert uniquement à
préciser ce qui se trouve dans le wagon, c’est à dire ce qui se trouve
dans le champ juste après Ethertype appellé Données. Rappelez-
vous qu’on est dans la couche 2 et qu’elle transporte les couches
supérieures 3, 4, 5, 6 et 7 puis les données utile de l’utilisateur (un
mail par exemple). Donc il y a souvent la valeur Ethertype = 0x0800
qui identifie le protocole IP (couche 3). En gros, ce champ
Ethertype identifie le protocole de la couche supérieure.
 Données (de 46 à 1500 octets): faire attention ici, quand on
dit Données, ça inclue les données utiles de l’utilisateur mais aussi
toutes les couches supérieures à la couche 2 Ethernet, donc les
entêtes de couche 3, 4, 5, 6 et 7.
 FCS – Frame Check Sequence (sur 4 octets): ce champ est la
séquence de contrôle de trame. Ça permet de détecter s’il y a eu une
erreur de transmission des bits pendant le transport. Imaginez que
vous envoyez les données 00110 et que le destinataire reçoit 01111,
le protocole Ethernet va le détecter et supprimer cette séquence
erronée . La valeur du FCS est le résultat d’un calcul appelé CRC –
Cyclic Redundancy Check. le destinataire effectue le même calcul et
compare sa valeur à celle insérée dans le champ FCS, si ça diffère
c’est qu’il y a eu compromission pendant le transport, par exemple dû
à une perturbation électromagnétique.
Ce sont les couches supérieures qui se chargeront de demander une
retransmission des données qui ont été supprimés (c’est toujours plus sympa
de recevoir un message en entier…).

Voici ce qu’il faut savoir pour l’examen, si vous souhaitez en savoir plus, de
nombreux sites détaillent le fonctionnement du protocole Ethernet, en voici
une liste non exhaustive:

– Ethernet sur Wikipedia: sympa à lire

– Ethernet sur FrameIP: clair et en français

– Ethernet sur Cisco: le plus complet mais en anglais

Dans le chapitre Ethernet, nous avons vu à quoi sert ce protocole: il permet
de faire transiter dans un réseau local un ensemble de données binaires vers
une destination. On appelle cet ensemble de données une trame (ou frame en
anglais).

Cette trame est composée principalement d’une adresse MAC source (votre
PC) et d’une adresse MAC destination (le PC que vous souhaitez joindre).

L’adresse MAC est un identifiant unique, stockée dans la carte réseau. Cette
adresse est créée par le constructeur de la carte et on dit qu’il la brûle sur la
carte, un peu comme un tatouage 🙂

Pourquoi vous préciser ce terme “brûler”? Parce que vous pouvez voir dans
certains équipements ou documentations le terme “BIA” ou “Burned In
Address“. C’est exactement ça! Et dans certains cas, on peut être amener à
modifier l’adresse MAC d’une carte réseau, on verra ça dans un autre chapitre.
Adresse MAC
Une adresse est codée sur 48 bits, sous forme hexadécimal.

Pour connaitre l’adresse MAC de son PC, rien de plus simple, vous avez 2
commandes à disposition sous Windows:

 ipconfig /all
 getmac /v

ipconfig /all

Après avoir tapé “ipconfig /all” sous une commande DOS, je récupère les
informations de toutes mes cartes réseaux. Dans l’exemple ci dessous, je n’ai
qu’une carte Gigabit Ethernet.
En rouge, on remarque la ligne “Adresse physique“, c’est mon adresse MAC
et elle a comme valeur: 00-1E-33-1D-6A-79.
Sachez qu’on peut l’écrire sous différentes formes:

 00.1E.33.1D.6A.79
 00:1E:33:1D:6A:79
 001E:331D:6A79
 001E.331D.6A79
 …
Tout le monde y va de sa notation… 🙂 tant que les valeurs hexadécimales
restent les mêmes, ce n’est pas un problème.
Remarque: Si vous tapez “ipconfig /all” sur un ordinateur portable, faites
attention, car Windows vous affiche les informations pour 2 cartes réseaux, la
filaire et la sans-fil, cf exemple suivant.
getmac /v

Après avoir tapé “getmac /v” sous une commande DOS, je récupère aussi les
informations de toutes mes cartes réseaux. Dans l’exemple ci dessous, j’ai 2
cartes réseaux, une de la marque Atheros référencée AR5B93 et une autre de
la même marque mais référencée AR8131.
Donc en rouge, on remarque 2 adresses MAC, une pour chaque carte
réseau. Franchement, faites attention à ce genre de remarque car ça arrive à
tout le monde de lire la mauvaise adresse MAC quand une question du CCNA
vous pose la question “quelle est l’adresse MAC de la carte filaire?“.

Formatage de l’adresse
Maintenant qu’on a récupéré notre adresse MAC, on va la décortiquer.
Les 48 bits sont découpables en 6 octets et si on les lis de gauche à droite, on
a:

 1 bit d’ “individualité”: si le bit = 0 alors c’est une adresse unicast,

sinon (bit=1) c’est un adresse multicast ou broadcast
 1 bit d’ “universalité”: si le bit=0 alors c’est le constructeur qui a
défini l’adresse. C’est la fameuse notion de BIA – Burned-in Address.
Si le bit=1 alors c’est l’administrateur de votre société qui a défini
l’adresse. Chose très très rare donc à oublier.
 22 bits – OUI (Organization Unit Identifier): identifie le
constructeur parmi ses concurrents (Broadcom, Intel, Atheros…)
 24 derniers bits: valeur définie par le constructeur pour rendre
unique cette adresse MAC parmi toutes ses cartes réseaux
Avec un schéma, ça donne ça:
Ce qu’il faut retenir pour le CCNA
 Une adresse MAC est codée sur 48 bits – 6 octets
 Les 24 premiers bits (Diffusion+Local+OUI) identifient le type
d’adresse et le constructeur
 Les 24 derniers bits identifient de façon unique l’adresse au sein du
constructeur
 Lire le chapitre sur les différents types d’adresses (unicast, multicast
et broadcast)
La méthode CSMA/CD… tout ça
pour ca?
7

Souvent, quand on discute de CSMA/CD, les techniciens ne savent pas de quoi

on parle alors que c’est primordial pour les communications réseaux. Certes,
comme c’est automatique, personne ne s’en occupe… mais c’est tout de même
bien de comprendre à quoi ça sert.

La méthode CSMA/CD permet de définir comment une machine (plus

précisément une carte réseau) va utiliser le média sur laquelle elle est
connectée (c’est à dire une paire de cuivre torsadée, un câble coaxial,…).

En faisant une analogie avec la transmission audio, cela ressemble au

fonctionnement du talkie-walkie. Si on veut communiquer, on appuie sur le
bouton et on parle. Pendant ce temps, les autres nous écoutent et ne parlent
pas, vous êtes le seul à utiliser le canal, ce fameux “media” de communication.
C’est pareil avec la méthode CSMA/CD, quand une carte réseau envoi des
données, les autres cartes réseaux écoutent et se taisent!

Définition
 CSMA pour Carrier Sense Multipe Access: La carte réseau va
détecter une porteuse électrique (Carrier Sense) qui va lui permettre
d’envoyer des données. Plusieurs cartes réseaux peuvent se trouver
sur ce même média (par exemple, les cartes sont branchées sur un
HUB), on dit que c’est en accès multiples (Multiple
Access). L’acronyme est à connaitre pour le CCNA.
 CSMA/CD pour Collision Detection: La probabilité que deux cartes
réseaux émettent en même temps n’est pas nulle, il faut alors activer
un mécanisme de détection de collision, c’est à dire détecter quand
elles envoient des données en même temps, ce qui va engendrer une
détérioration du signal électrique. Rappelez vous le mécanisme du
Talkie-walkie, une seule entité peut parler à un instant
T. L’acronyme est aussi à connaitre pour le CCNA.
 BEB pour Binary Exponential Backoff: C’est l’algorithme qui
détermine le temps d’attente avant retransmission de la trame
erronée. Logique! Quand deux cartes réseaux ont envoyé des données
en même temps, il ne faut pas qu’elles retransmettent au même
moment.
Schématiquement, voici ce que ça donne:
Etape 1

La carte réseau A est en attente et écoute si une émission est en cours

Etape 2

Si pas d’émission en cours :

A transmet les paquets à destination de C. Pendant la transmission, A écoute
si autre
émission simultanée (pour détecter une éventuelle collision)

Etape 3

Si collision (exemple A et B émettent en

même temps) …
… Alors détection de la collision par A et B (et les autres)…

Etape 4
 … et re-émission de A et de B après un
temps aléatoire (grâce à l’algo BEB), donc différent pour chacun d’eux

Conlusion
Tout ça pour ça? Vous voyez bien que ce n’est pas compliqué le CSMA/CD 🙂

Ca sert surtout pour les cartes réseaux branchées sur de vieux équipements
de type HUB.

Avec des switchs, le lien entre la carte réseau et le port du switch utilise une
paire de cuivre pour l’aller et une paire de cuivre pour le retour donc il est
impossible que la carte réseau et le port du switch émettent des données en
même temps et crée une collision, on passe par des chemins physiques
différents… c’est la notion de half-duplex et full-duplex.

Pour plus d’explications sur le half-duplex et full-duplex, voir le chapitre

correspondant.

Si vous souhaitez approfondir le sujet , voici un site qui détaille le principe

(même si c’est inutile pour l’examen): www.guill.net
Ce qu’il faut connaitre du modèle
OSI pour le CCNA
14

On parle souvent de modèle OSI qui est défini par l’ISO (merci pour les
mélanges…).

ISO – International Organization for Standardization: “est un organisme de

normalisation international composé de représentants d’organisations
nationales de normalisation de 157 pays” dixit notre ami Wikipedia.

OSI – Open Systems Interconnection: “est un modèle de communications

entre ordinateurs. Il décrit les fonctionnalités nécessaires à la communication
et l’organisation de ces fonctions” dixit toujours Wikipedia.

Ce qu’il faut retenir, c’est que le modèle OSI permet de simplifier la

compréhension du réseau. Lorsque je tape http://www.google.com sur mon
browser, ma carte réseau envoi des paquets dans le réseau pour récupérer la
page web de Google –> il s’est passé des étapes intermédiaires que le modèle
OSI décrit.

Les 7 couches du modèle OSI

On peut représenter le modèle OSI avec le schéma suivant:
Chaque couche (appelé layer) dialogue avec son homologue. Par exemple,
quand je surfe sur www.google.com la couche Application de mon PC (firefox)
va discuter avec la couche Application du Serveur de Google (Apache).

Chaque couche est théoriquement indépendante des autres couches. Si je

reprend mon exemple de www.google.com, la couche Application (firefox)
est indépendante des couches d’en dessous. En effet, je peux utiliser Firefox
sur un Windows XP, Seven, Ubuntu… avoir une carte réseau Broadcom, Intel…
avec un lien cuivre, optique, Wifi,… et ça fonctionnera toujours (enfin j’espère
pour vous).

Il est très important de connaitre ce modèle pour le CCNA, on y retrouve

beaucoup de questions à ce sujet. C’est qui est logique car une fois qu’on a
compris le modèle OSI, on a quasiment tout compris au réseau, il ne reste plus
qu’à prendre connaissance des protocoles et de leurs emplacements dans les
couches du modèle OSI.

Remarques: Chez les puristes,

 On parle de trame de données (en anglais frame) lorsque la couche

niveau 2 (appelé liaison d’accès) discute avec son homologue
 On parle de paquet de données (en anglais packet) lorsque la couche
niveau 3 (appelé réseau) discute avec son homologue
 On parle de segment de données (idem en anglais) lorsque la couche
niveau 4 (appelé transport) discute avec son homologue

Implémentation des 7 couches sur les

équipements
Chaque équipement réseau (PC, switch, routeur,…) a ses propres
caractéristiques et donc a besoin de toutes les couches du modèles OSI ou
seulement d’une partie.
Dans ce schéma, on remarque que PC1 et PC2 ont besoin de toutes les
couches du modèle OSI. En effet, il faut qu’on puisse envoyer des paquets
avec notre carte réseau (couches basses)et qu’on utilise une application
(firefox, outlook,…) pour communiquer avec nos voisins (couches hautes).

En revanche, le switch n’a besoin que des couches 1 et 2 du modèles OSI,

car cet équipement a besoin de connaitre uniquement votre adresse
MAC (qui se trouve au niveau 2) pour pouvoir commuter votre trame vers le
bon port.

Le routeur a lui besoin des couches 1, 2 et 3. La couche 3 (réseau) lui permet

de faire communiquer des réseaux entre eux. Par exemple, quand je surf sur
Internet, c’est le routeur qui fait le lien entre mon réseau LAN et le réseau
Internet, et ce lien est établit au niveau 3.

Détail de chaque couche

couche 1 – physique
Cette couche se charge de la transmission et la réception des données
informatique au format binaire (0 et 1).
  sur une paire de cuivre, c’est un signal électrique qui définit le 0 et un
autre signal électrique qui définit le 1.
 sur une fibre optique, c’est la lumière envoyée dans la silice qui s’en
occupe
 sur du sans-fil, c’est la modulation
 …

couche 2 – liaison de données

Cette couche définit comment la transmission des données est effectuée entre
2 machines adjacentes. Par exemple, un PC connecté à un switch, une
imprimante connecté à un switch, deux routeurs connectés entre eux…

La notion d’adressage physique est présente. Quand votre carte réseau recoit
des 0 et des 1, il faut qu’elle vérifie si c’est bien pour vous. Par exemple pour
la technologie Ethernet, on parle d’adresse MAC – Medium Access Control.
Votre carte réseau a une adresse MAC qui l’identifie dans le réseau.

Cette couche gère aussi la détection d’erreur de transmission. Par exemple,

quand l’émetteur envoi la séquence 11001 et le destinataire recoit 11011, la
couche va le détecter.

Pour ethernet, la séquence de données envoyée par l’émetteur est appelé une
trame (ou frame en anglais)

couche 3 – réseau
On a vu que la couche 2 gère la communication entre machines adjacente
uniquement, il faut bien qu’une couche se charge de la communication entre
machines qui sont physiquement pas connectés entre elles; c’est la couche 3
qui s’en charge. Avec cet adressage logique, on peut délivrer les données à
l’autre bout de la planète.

Pour faire une analogie, pensez que l’adressage logique correspond à l’adresse
postale que vous mettez sur une enveloppe.

La couche 3 va aussi se charger de trouver le meilleur chemin pour acheminer

les données jusqu’à la destination.

Aujoud’hui, l’adressage logique utilisée est le protocole IP et la sélection du

meilleur chemin s’effectue par les routeurs avec l’aide des protocoles de
routage (RIP, OSPF, BGP…)
couche 4 – transport
Cette couche se charge de plusieurs fonctionnalités essentielles:

 gère les problème de transport entre les machines (c’est toujours plus
sympa si je reçoi un mail en entier)
 et donc fiabilise les communications (si on perd des données, on
demande une retransmission des données manquantes)
 gère le contrôle de flux (vous téléchargez plus vite quand vous êtes
sur du 100Mb/s que sur 2Mb/s… merci à cette couche)
 fait le lien entre les communications réseaux et les applicatifs (je peux
avoir mon browser ouvert en même temps que ma messagerie et mon
téléchargement de fichier)

couche 5 – session
Cette couche gère l’ouverture et la fermeture des sessions entre inter-applicatif
et intra-applicatif (avec mon browser, je peux ouvrir plusieurs onglets).

couche 6 – présentation
Cette couche formate les données pour qu’elles sont compréhensibles par
l’application qui les a demandées.

couche 7 – application
Cette couche fait l’interface entre l’homme et la machine. Votre browser
(firefox, safari,chrome…), votre logiciel de messsagerie (outlook,
thunderbird…) sont des applications.
Ce qu’il faut connaitre du modèle
TCP/IP pour le CCNA
3

Le modèle TCP/IP n’est qu’une simplification du modèle OSI dont nous avons
déjà parlé dans un précédent chapitre.

Pourquoi? Tout simplement parcequ’aujourd’hui le protocole IP (Internet

Protocol) a supplanté tous les autres protocoles de couche 3 (réseau). Alors
autant simplifier le modèle OSI qui est générique par un nouveau modèle
spécifique à IP.

Demain ce sera un autre modèle différent de TCP/IP… mais c’est une autre
histoire!

Rappel
Pour rappel, on peut représenter le modèle OSI avec ses 7 couches avec le
schéma suivant:

Comme dit juste avant, avec le temps, le protocole IP s’est imposé comme LE
protocole de couche 3 (réseau).

Les couches 5, 6 et 7 sont agrégées en une seule couche qu’on appelle

“Application” tout simplement.
Ce qu’il faut savoir pour le CCNA, c’est la correspondance entre les couches du
modèle OSI et celles du modèle TCP/IP.

Modèle TCP/IP
Voici le schéma du modèle TCP/IP comparé au modèle OSI:

On remarque les points suivants:

– les couches 5, 6 et 7 ont été fusionnées en une seule couche Application.

– la couche transport est désormais appelée TCP/UDP car ce sont les deux
principaux protocoles de couche 4 à être utilisés avec IP

– la couche réseau s’appelle IP. Avant il existait d’autres protocoles commes

IPX, AppleTalk…

On m’a souvent demandé pourquoi ce modèle s’appelle TCP/IP et pas

(TCP/UDP)/IP ?

Très bonne remarque! En fait, quand le modèle a été créé, la plupart des
applications utilisaient TCP/IP et pas UDP/IP. C’est simplement pour cela!

Dans le chapitre TCP et UDP, vous verrez quelles sont les avantages et
inconvénients de TCP et de UDP.
En bref
Ce qu’il faut retenir pour l’examen:

 connaitre la correspondance des couches entre OSI et TCP/IP

 les principales fonctionnalités des protocoles IP, TCP et UDP, qui sont
détaillées dans les chapitres associés
Encapsulation et décapsulation,
une autre bière svp!
0

Nous avons vu le modèle OSI avec ces 7 couches.

Comme chaque couche a ses propres caractéristiques et que chaque

couche discute uniquement avec son homologue, il faut une astuce pour
que les informations de la couche en question soient conservées durant le
transport des données jusqu’à la couche homologue de destination.

C’est là que le processus d’encapsulation démarre. Au lieu d’une explication

technique longue, on va prendre l’exemple d’une carte postale:

1. vous écrivez un mot sur une carte postale

2. vous mettez la carte postale dans une enveloppe avec l’adresse du
destinataire (et la votre au recto en haut)
3. vous donnez la carte postale à la Poste qui se charge de l’envoyer à
votre destinataire
Vous venez d’effectuer une encapsulation: carte postale mise dans une
enveloppe.

Le postier n’a besoin que de l’information située sur l’enveloppe (l’adresse du

destinataire). Il n’a pas besoin du contenu de la carte postale pour savoir
comment joindre votre destinataire.

En informatique, c’est exactement pareil. Chaque couche ajoute ses

informations dans “une enveloppe” qu’on appelle entête (header).
Les principaux entêtes qui nous intéressent sont ceux des couches 2
(ETHERNET), 3 (IP) et 4 (TCP/UDP).

Une fois que la trame arrive sur la carte réseau du destinataire, celui-ci
va décapsuler les différents entêtes pour les transmettre aux couches
correspondantes jusqu’à décapsuler le dernier entête pour transmettre
l’information utile (le contenu de la carte postale) à la couche Application. Et
voilà !

Remarque: le processus d’encapsulation et de décapsulation est identique

pour le modèle TCP/IP. Pour preuve, je n’ai pas affiché sur le schéma du dessus
les entêtes 5, 6 et 7 car ce ne sont qu’un seul entête dans le modèle TCP/IP.

Il se peut que des questions du CCNA portent une fois sur le modèle OSI, une
autre fois le modèle TCP/IP.
Activez le SSH sur votre
routeur/switch en 5 étapes
27

Par défaut, on ne peut pas faire de SSH vers un switch ou un routeur. Il faut
au préalable configurer certains paramètres pour que ça fonctionne.

Le protocole SSH utilise une communication sécurisée pour éviter que des
informations sensibles (configuration, login, mot de passe,…) soient
interceptées durant leur transport jusqu’à la console d’administration.

Voici les différentes étapes pour configurer le SSH sur un IOS:

1. Définir un compte utilisateur avec le doublet [login/mot de passe]

2. Définir un hostname (par exemple MonRouteurAgence1) à son
équipement switch ou routeur, qui sera utilisé pour générer la clé de
chiffrement
3. Définir un nom de domaine (par exemple cisco.com), qui sera
aussi utilisé pour générer la clé de chiffrement
4. Générer cette fameuse clé de chiffrement, appelée RSA
5. Activer le SSH
Voici un Mind à télécharger:

Configuration
1. Définir un compte utilisateur avec le doublet (login/mot de passe)
router> enable

router# configure terminal

router(config)# username julien password pa$$word

Ici on définit un utilisateur nommé “julien” dont le mot de passe associé est
“pa$$word“

2. Définir un hostname à son équipement switch ou routeur, qui sera utilisé

pour générer la clé de chiffrement

router(config)# hostname R1

R1(config)#
Cette commande permet de mettre un hostname particulier à votre
équipement, ici “R1”. Ce hostname est par ailleurs utilisé pour générer la clé
de chiffrement RSA, créée plus bas

3. Définir un nom de domaine, qui sera utilisé pour générer la clé de

chiffrement

R1(config)# ip domain-name cisco.com

Cette commande permet de définir un nom de domaine (DNS – Domain Name
Server) à votre routeur. Il s’appellera désormais “R1.cisco.com“, qui est tout
simplement la concaténation du hostname “R1” avec le nom de domaine
“cisco.com”.

Ce nom de domaine est aussi utilisé pour générer la clé de chiffrement RSA,
créée juste à l’étape suivante.

4. Générer la clé de chiffrement

R1(config)# crypto key generate rsa modulus 1024

Cette commande génère une clé de chiffrement RSA utilisé par le processus
SSH pour générer la clé de session. La variable “modulus 1024” définit la
taille de votre clé. A titre d’information, pour une clé asymétrique, 1024 est
une taille correcte.

5. Activer le SSH

R1(config)# line vty 0 4

R1(config-line)# transport input ssh

R1(config-line)# login local

R1(config-line)# exit
Pour accéder en telnet ou ssh à un équipement Cisco, il faut configurer les
lignes “virtuelles” de l’équipement. En effet, quand je fais un telnet vers un
routeur, je peux arriver de n’importe quelles interfaces actives du routeur.

Pour cela, on définit les lignes virtuelles appelées “vty”. Par défaut, il y a 5
lignes vty actives (de 0 à 4). D’où la commande “line vty 0 4“. Pourquoi 5?
Parceque 🙂 Plus sérieusement, ça permet à 5 administrateurs d’être en SSH
en même temps sur l’équipement.

La commande “transport input ssh” définit quel protocole a le droit d’utiliser

ces lignes vty. Par défaut, tous les protocoles ont le droit dont telnet et ssh.
Cette commande permet de restreindre en précisant que seul ssh a le droit
d’utiliser les lignes vty.

La commande “login local” permet de préciser où se trouve la base des comptes

utilisateur. Une fois connecté au routeur en ssh, le routeur va vous demander
un login/password, celui qu’on a définit plus haut (julin/pa$$word). “login
local” indique au routeur que la base des comptes utilisateur se trouve dans sa
configuration (“local”).

Pour information, on peut définir une base de comptes utilisateur vers un

serveur Radius par exemple.

Logiciel client SSH

Maintenant qu’on a configuré le serveur SSH sur notre routeur ou switch, il faut
utiliser un client SSH sur notre console d’administration. Voici une liste non
exhaustive de client SSH:

 Putty: gratuit et puissant

 SecureCRT: payant
 HyperTerminal: payant

Exemple de configuration sous Packet

Tracer
Router>

Router>en
Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#

Router(config)#

Router(config)#username julien password pa$$word

Router(config)#

Router(config)#hostname R1

R1(config)#

R1(config)#ip domain-name cisco.com

R1(config)#

R1(config)#crypto key generate rsa modulus 1024

% Generating 1024 bit RSA keys, keys will be non-

exportable...[OK]

R1(config)#

*mars 1 0:1:56.0: %SSH-5-ENABLED: SSH 1.99 has been enabled

R1(config)#

R1(config)#line vty 0 4

R1(config-line)#transport input ssh

R1(config-line)#login local

R1(config-line)#exit

R1(config)#exit

R1#
La première ligne en rouge nous indique que le routeur a généré une clé de
chiffrement de taille 1024 bits.
La seconde ligne en rouge nous précise que maintenant qu’une clé de
chiffrement a été créée, le processus SSH est activé. Il nous reste plus qu’à le
configurer sur les lignes virtuelles “vty”.

Aprés avoir configuré le ssh sur mon routeur, je me connecte en ssh à partir
de mon PC:

On remarque ici que mon PC a l’adresse IP 10.1.1.222 et que mon routeur a

l’adresse IP 10.1.1.1

La commande “ssh -l julien 10.1.1.1” permet de lancer une session ssh vers
l’adresse IP 10.1.1.1 qui est mon routeur et avec le login “julien”. Une fois
connecté en ssh à ce routeur, le process ssh va me demander le mot de passe
associé à l’utilisateur “julien”. Je rentre alors “pa$$word” pour que
l’authentification réussise.

On voit bien que j’ai alors accés à la console du routeur “R1>”.

Introduction aux VLANs
7

Maintenant que l’on sait à quoi correspondent les domaines de broadcast et

de collision avec les chapitres respectifs, nous allons nous arrêter sur leurs
limites.

Comment limiter au maximum le domaine de collision? C’est simple…

on enlève tous les Hub/Concentrateur de notre réseau en
les remplaçant par des Switch/Commutateur. Voila une bonne chose de faite !
Il y aura alors un domaine de collision par port du switch et comme le port
du switch est branché sur une unique carte réseau, il n’y aura pas de collision.
Et paf!

Comment limiter au maximum le domaine de broadcast?

Avant de répondre à cette question, une autre question vient nous

titiller: Pourquoi limiter le domaine de broadcast ?

Imaginons notre réseau schématisé de la manière suivante:

On est en présence d’une compagnie répartie sur 3 bâtiments avec dans
chaque bâtiment un switch qui connecte tous les ordinateurs entre eux.
Chaque switch a un lien vers les autres switchs permettant une
communication entre les bâtiments.

On sait grâce au chapitre précédent que tous les ordinateurs

appartiennent au même domaine de broadcast, ce qui signifie que si une
carte réseau émet une trame niveau 2 (trame Ethernet) avec une adresse de
broadcast comme destination (rappel de l’adresse de broadcast: ffff.ffff.ffff)
alors les switchs liront cette adresse MAC de destination et transmettront cette
trame sur tous les ports excepté le port de d’réception. Donc à chaque
trame de broadcast envoyée, toutes les cartes réseaux des
3 bâtiments recevront la trame en question.

Typiquement, un protocole très friand de message broadcast est le protocole

ARP (qui fait le lien entre une adresse IP et son adresse MAC associée). Nous
verrons dans un chapitre dédié comment fonctionne ce protocole.

Revenons sur notre exemple: imaginez que vous avez 5000

ordinateurs répartis sur les trois bâtiments comme sur le schéma. A chaque
fois qu’une station émet une trame broadcast, les 4999 autres
cartes réseaux recevront cette trame…

Sachez que nos amis de Microsoft aime bien le broadcast, avant même d’avoir
ouvert votre session Windows, plusieurs trames broadcast sont déjà parties.
Multipliez ces trames par les 5000 cartes réseaux et
vous êtes en présence d’un réseau qui rame car les switchs sont surchargés
de trafic.

Il faut donc réduire le domaine de broadcast!

Voici schématiquement le domaine de broadcast (de couleur bleue/gris) dans

notre compagnie:
Réfléchissons maintenant par métier pour réduire le domaine de broadcast,
qu’avons-nous dans notre compagnie :

 un service RH
 un service commercial
 un service ingénieur
D’un point de vue informatique, les ordinateurs des ingénieurs n’ont pas besoin
de discuter avec ceux des RH et non plus avec ceux des commerciaux. Idem
pour les RH et les commerciaux, chacun doit rester dans son “service” sans
polluer les autres services.
Mais pour le moment, les 3 services sont dans le même domaine de broadcast,
qu’on appelle le LAN – Local Area Network, ou réseau local.

Comment faire pour réduire cet énorme domaine de broadcast? On va utiliser

une fonctionnalité qui existe sur le Switch qui est la possibilité de “découper”
le domaine de broadcast en plusieurs domaines de broadcast plus petits. On
ne parle plus alors de LAN mais de VLAN (Virtual LAN). C’est un peu comme
si vous décidiez de découper votre switch en 3 switchs virtuels et que
vous assignez un switch virtuel par service:

 un switch virtuel appelé VLAN 1 pour le service RH

  un switch virtuel appelé VLAN 2 pour le service commercial
 un switch virtuel appelé VLAN 3 pour le service ingénieur
De plus, cela permet de sécuriser le réseau, heureusement que
les ingénieurs n’ont pas accès aux ordinateurs des RH… on voit bien un
stagiaire ingénieur récupérer les fiches de payes de ses voisins 🙂

Comment configurer les VLAN sur un switch?

La commande “switchport access vlan…” permet de définir que:

 tel port du switch (port où est connecté un ordinateur du service

RH) appartiendra désormais au VLAN 1 (de couleur bleue sur
le schéma)
 tel port du switch (port où est connecté un ordinateur du service
Commercial) appartiendra désormais au VLAN 2 (de couleur
beige sur le schéma)
 tel port du switch (port où est connecté un ordinateur
du service ingénieur) appartiendra désormais au VLAN 3 (de
couleur verte sur le schéma)

On aura alors 3 domaines de broadcast, un par VLAN. On

peut schématiser le résultat de la manière suivante:
Pour le service RH, il y a 2 ordinateurs dans le bâtiment 1 et 2 ordinateurs
dans le bâtiment 2.

Pour le service Commercial, il y a 3 ordinateurs dans le bâtiment 1.

Pour le service Ingénieur, il y a 3 ordinateurs dans le bâtiment 1 et 5

ordinateurs dans le bâtiment 3.

Et voila, lorsque qu’une trame de broadcast d’un ordinateur du service RH

partira, elle ne sera propagée que vers les ports qui appartiennent
au même VLAN (ici le VLAN 1). Magique !

Ce qu’il faut retenir pour le CCNA

Voici ce qu’il faut savoir par coeur pour le CCNA:

 1 LAN = 1 domaine de broadcast

 On peut découper un LAN avec plusieurs VLAN pour diminuer la taille
du domaine de broadcast. On a alors 1 domaine de broadcast par
VLAN
 Les VLAN permettent d’isoler des ports de switchs d’autres ports
 Les VLAN se définissent sur le switch et on spécifie quels ports
appartient à quel VLAN
 Important: un port ne peut appartenir qu’à un seul VLAN (notion
importante pour le CCNA mais on verra qu’il y a des exceptions)
Comment séparer son réseau
avec les VLAN
7

Aujourd’hui, il est plus que fréquent de voir l’utilisation de VLAN au sein d’un
réseau d’entreprise.

Quand on branche tous les PC, imprimantes, serveurs sur un switch, ils peuvent
communiquer entre eux sans même pré-configurer le switch. C’est du plug &
play, “on branche, ça fonctionne”. On dit que toutes les entités font parties du
même LAN – Local Area Network, ou réseau local en français.

Au contraire, si vous souhaitez interdire la communication entre certaines

entités, par exemple, que certains PC de R & D ne puissent pas communiquer
avec les PC de production, vous avez 2 solutions:

 brancher les PC de R & D sur un second switch

 ou découper “virtuellement” votre switch en deux switchs logiques –
> C’est le VLAN

Définition
Selon wikipedia, “un réseau local virtuel, communément appelé VLAN (pour
Virtual LAN), est un réseau informatique logique indépendant. De nombreux
VLAN peuvent coexister sur un même commutateur réseau.”

Par exemple, les entités branchés sur les ports du switch qui sont configurés
dans le VLAN 2 pourront communiquer entre eux et c’est tout. Tous les
autres ports du switch qui n’appartiennent pas au VLAN 2 ne pourront pas
communiquer avec ceux du VLAN 2.

Dans le schéma ci dessous, on a segmenté les PC par groupe de 3. La

communication entre PC appartenant au VLAN vert est possible mais aucune
communication ne pourra sortir de ce VLAN vert pour atteindre d’autres PC du
réseau.

Les différentes utilisations de VLAN

Maintenant qu’on sait à quoi sert le VLAN, on peut l’utiliser en fonction de nos
besoins. On peut lister les différents VLANs qu’on aura besoin dans un réseau
d’une entreprise classique:
  1 VLAN pour le service commercial, 1 VLAN pour le service
administratif, 1 VLAN pour le service ingénierie…
 1 VLAN pour le service de téléphonie sur IP
 1 VLAN pour le service de visioconférence
 1 VLAN pour l’administration réseau (important, on va mettre les
équipements réseau, switch, routeur… dans un VLAN dédié
uniquement accessible aux stations des administrateurs réseau)
 …

Appartenance à un VLAN
Comment configurer un VLAN et attribuer des entités dans ce VLAN?

Il y a plusieurs solutions dont voici les 3 principales:

La première solution est celle la plus

utilisée: On créé le VLAN sur le switch puis on attribue ce VLAN sur les ports
souhaités. Par exemple sur le 1er schéma, le port du switch qui est branché au
PC est configuré pour être dans le VLAN 18.

Seconde solution beaucoup moins utilisée: On configure le switch pour qu’il

récupère l’adresse MAC qu’il voit transiter sur le port, puis envoi cette adresse
MAC vers un serveur VMPS (VLAN Membership Policy Server) qui fait le lien
entre l’adresse MAC et le VLAN attribué via une base de données. Le serveur
VMPS indique au switch quel VLAN il faut attribuer au port. Le principal
inconvénient vient de la fragilité du serveur; s’il tombe en panne, tout le réseau
est bloqué !
Dernière solution très utilisé dans le cas d’un réseau avec téléphonie sur IP.
On utilise la 1ère solution pour attribuer le VLAN au PC. Pour le téléphone sur
IP, on utilise le protocole CDP (Cisco Discovery Protocol) pour attribuer le VLAN
voix uniquement au trafic voix.

Remarques
 Le nombre maximum de VLAN que l’on peut créer dépend du type
de switch (64, 128, 1024, 4096)
 Le VLAN 1 est créé par défaut et tous les ports du switch
appartiennent à ce VLAN
 Il faut d’abord créer l’identifiant du VLAN puis attribuer des ports
dans ce VLAN
 On peut donner un nom à un VLAN (optionnel), par exemple:
o VLAN 1 – Management

o VLAN 2 – Commerciaux
o VLAN 3 – Voix
o VLAN 4 – Finance
De plus, certains VLAN sont réservés (donc non utilisables) et d’autres sont
créés par défaut:

Configuration d’un VLAN sur un switch

Rien de plus facile… créons le VLAN n°2 que l’on va nommer “finance”

SwitchX# configure terminal

SwitchX(config)# vlan 2

SwitchX(config-vlan)# name finance

SwitchX(config-vlan)#end

Attribution d’un port dans un VLAN

On identifie le port du switch (par exemple l’interface fastethernet 0/1) qui
doit être dans le VLAN 2 précédemment créé :

SwitchX# configure terminal

SwitchX(config)# interface fastethernet 0/1

SwitchX(config-if)# switchport access vlan 2

SwitchX(config-if)# end

SwitchX# show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -----------------

-----

1 default active Fa0/2

2 finance active Fa0/1

On voit avec la commande show vlan que le port Fa0/1 est désormais dans le
VLAN 2, nommé finance.

La commande switchport access vlan 2 permet de mettre le port Fa0/1 dans

le vlan 2. Le port Fa0/1 n’appartient plus au VLAN précédent qui par défaut
est le VLAN 1.

Astuce
Pour configurer plusieurs ports (exemple avec les ports 0/2 à 0/7) dans un
VLAN, on peut utiliser la variable range pour configurer en une seule fois
tous les ports:

SwitchX# configure terminal

SwitchX(config)# interface range fastethernet 0/2 - 7

SwitchX(config-if)# switchport access vlan 2

SwitchX(config-if)# end

SwitchX# show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -----------------

-----

1 default active Fa0/1

2 finance active Fa0/2, Fa0/3,

Fa0/4 Fa0/5,
Fa0/6, Fa0/7

Important
Le fait de mettre un port dans un VLAN dépend du mode du port. Je m’explique:
dans un switch Cisco, le port peut être dans 2 modes:

 mode Access
 mode Trunk
J’explique les 2 modes dans un autre chapitre à venir.

Revenons à notre sujet, le port sera donc dans le VLAN que s’il est en mode
Access. Pour savoir si le port est en mode Access ou Trunk, vous pouvez
utiliser la commande suivante:

SwitchX# show interfaces fa0/2 switchport Name: Fa0/2

Switchport: Enabled
Administrative Mode: dynamic auto

Operational Mode: static access

Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: native

Negotiation of Trunking: On

Access Mode VLAN: 2 (finance)

Trunking Native Mode VLAN: 1 (default)

...
On voit que le port est en static access donc c’est bon!

A savoir aussi pour le CCNA

Pour le CCNA, il est important de savoir que les VLAN permettent de limiter
la propagation des messages de broadcast (c’est à dire j’envoie un message
à tout le monde dans le réseau). En effet, si tout le monde s’amuse à envoyer
des messages de broadcast alors le réseau va vite saturer.

De même, pour l’examen CCNA mais aussi pour établir un design correct de
son réseau, il faut retenir qu’à un VLAN créé, on attribue bien évidemment des
ports de switch dans ce VLAN mais surtout que les PC branchés sur ces ports
doivent être dans le même plan d’adressage IP. En effet, si on segmente au
niveau 2 par des VLANs, il est primordial d’être cohérent avec le niveau 3.

Donc à retenir pour le CCNA:

 VLAN = un domaine de broadcast

 à un VLAN créé, on attribue un sous-réseau IP dédié
Configurer l’interface VLAN
d’administration du switch
17

Dans cet article nous allons voir comment configurer une adresse IP sur
l’interface VLAN d’administration d’un switch.

Mais pourquoi définir une adresse IP à un switch? En soi on n’en a pas besoin
car ce qu’on demande au switch c’est principalement de commuter les
trames des ordinateurs entre eux et vers le routeur de sortie Internet.

Si vous êtes chez vous que vous avez besoin de brancher plusieurs ordinateurs
entre eux + votre imprimante + votre borne Wifi… alors vous pouvez acheter
un petit switch 4 ou 8 ports dans une grande surface. Certains ne sont pas
manageables, impossible de les configurer et pourtant ça fonctionne.

Le fait de configurer une adresse IP à un switch (qui lui est configurable) nous
permet de prendre la main à distance et de le configurer à distance.
La majorité des switchs d’entreprises sont configurés pour être joignables
à distance par les administrateurs.

Ceux qui travaillent dans le

support réseau ont régulièrement besoin d’accéder aux switchs pour ouvrir un
port, le mettre dans un VLAN particulier, configurer la vitesse et le duplex de
l’interface, analyser les statistiques du switch pour comprendre pourquoi un
utilisateur se plaint de lenteur… et j’en passe…

L’exemple simple avec un routeur

Prenons l’exemple du routeur: vous souhaitez configurer une adresse IP au
routeur pour la même raison (y accéder à distance), les étapes sont:

1. identifier une interface physique du routeur (par exemple

FastEthernet 0/1)
2. entrer dans le mode privilégié (enable)
3. entrer dans le mode de configuration globale du routeur (configure
terminal)
4. entrer dans le mode de configuration de l’interface physique en
question (interface FastEthernet 0/1)
 5. définir l’adresse IP et son masque (ip address
10.1.1.9 255.255.255.0)
6. activer électriquement l’interface (no shutdown)
7. sortir du mode de l’interface physique (exit)
8. sortir du mode de configuration global (exit). Pas affiché dans
l’exemple ci-dessous.

Ici, les étapes semblent logiques pour un routeur alors que pour un
switch ça l’est beaucoup moins: Il y a une particularité que pas mal de
personnes ont un eu du mal à appréhender, c’est l’interface VLAN.

L’interface VLAN d’administration

Pour rappel, le switch contient des VLAN qui servent à isoler des interfaces
physiques entre elles. Je vous renvoi sur le chapitre dédié au VLAN pour plus
de détail.

Donc le switch se charge de commuter les trames entres elles en fonction de

leur VLAN d’appartenance:

 une trame appartenant au VLAN 8 sera commutée vers une interface

physique de destination qui appartient elle aussi au VLAN 8
  une trame appartenant au VLAN 8 NE sera PAS commutée vers une
interface physique qui N’appartient PAS au VLAN 8 (mais à un autre
VLAN)

Exemple:
Supposons “théoriquement” que le switch ait une adresse IP sans
appartenance à un VLAN.
Mon ordinateur est connecté à ce switch par une interface physique qui
appartient au VLAN 8.

De mon PC, je ping l’adresse IP du switch.

Le switch reçoit une trame sur une interface physique qui appartient au VLAN
8. Mais l’adresse IP du switch n’appartient à aucun VLAN.
A-t-il le droit de transmettre la trame? Oui ? Non? Aucune idée !

Comment faire alors?

On identifie un VLAN en particulier (par exemple le VLAN 1 mais peu importe)
et sur ce VLAN on active une interface VLAN qui est une sorte d’interface
virtuelle qui peut être joignable de n’importe quelle interface physique qui
appartiennent au même VLAN. Et là le problème est résolu.

Reprenons notre précédent exemple:

 si l’interface physique appartient au VLAN 8 et que l’interface VLAN du

switch est VLAN 1 alors le ping de mon ordinateur échouera
 si l’interface physique appartient au VLAN 1 et que l’interface VLAN du
switch est VLAN 1 alors le ping de mon ordinateur vers l’adresse IP du
switch fonctionnera

Configuration de l’interface VLAN

d’administration

1. identifier une interface VLAN logique du switch (par exemple VLAN 1)

2. entrer dans le mode privilégié (enable)
3. entrer dans le mode de configuration globale du switch (configure
terminal)
4. entrer dans le mode de configuration de l’interface VLAN en question
(interface Vlan 1)
5. définir l’adresse IP et son masque (ip address
10.1.1.8 255.255.255.0)
 6. activer logiquement l’interface VLAN (no shutdown)
7. sortir du mode de l’interface VLAN (exit)
8. définir une passerelle pour pouvoir sortir du réseau 10.1.1.0/24 (ip
default-gateway 10.1.1.254)
9. sortir du mode de configuration global (exit)

Conclusion
Il faut identifier quelle interface VLAN va servir pour administrer le switch à
distance et lui assigner une adresse IP.

Dans un réseau d’entreprise, on dédit un VLAN pour l’administration et la prise

à distance de tous les équipements réseaux pour que seuls les administrateurs
puissent y accéder. On évite ainsi que les stagiaires s’amusent avec le réseau
🙂
La commande ip default-gateway est utile lorsque l’administrateur ne se
trouve pas dans le même réseau IP que le switch. Il faut que le switch puisse
envoyer le trafic retour vers une passerelle. Pour cela, on fait appel au routage
inter-VLAN mais ça c’est une histoire donc un autre chapitre 🙂
VTP (ou comment se simplifier
la vie avec les VLAN)
38

A quoi sert ce protocole? Imaginons que vous devez configurer plusieurs VLANs
dans votre réseau:

 Créer 3 VLANs sur un switch est une opération de configuration rapide

 Créer 5 VLANs sur 4 switchs devient une opération de configuration
plus longue
 Créer 70 VLANs sur 100 switchs est alors une opération de
configuration fastidieuse avec une probabilité d’erreur/oubli très
élevée!
Et c’est là que le VTP prend toute son importance. Il sert à la propagation de
création/suppression/modification de VLAN sur tous les switchs de votre réseau
à partir d’un seul switch.

Propriétés
C’est un protocole propriétaire Cisco de niveau 2. De part sa simplicité et sa
puissance, l’IEEE a sorti un protocole similaire afin de permettre cette
fonctionnalité entre switchs de constructeurs différents: GVRP (GARP VLAN
Registration Protocol). La norme est IEEE 802.1ak

Fonctionnement
Les messages VTP diffuse des annonces de création, de suppression ou de
modification de VLAN. Cette diffusion s’effectue à travers tous les switchs grâce
à une trame niveau 2 avec une adresse de destination MAC multicast bien
particulière qui est 01-00-0C-CC-CC-CC.

Architecture du VTP
Le switch possède 3 modes VTP: client, transparent ou server (acitf par
défaut):

 VTP Server: switch qui crée les annonces VTP

  VTP Client: switch qui reçoit, se synchronise et propage les annonces
VTP
 VTP Transparent: switch qui ne traite pas les annonces VTP

Switch en mode VTP Server

Le switch en mode Server permet à l’administrateur de faire toute modification
sur les VLANs et de propager automatiquement ses modifications vers tous les
switchs du réseau.

Mind à télécharger:

Switch en mode VTP Client

Le switch en mode Client ne permet pas à l’administrateur de faire des
modifications sur les VLANs. Vous recevez un message d’erreur quand vous
essayez de créer un VLAN.

Mind à télécharger:
Switch en mode VTP Transparent
Le switch en mode Transparent permet à l’administrateur de faire toute
modification sur les VLANs en local uniquement et donc ne propage pas ses
modifications vers tous les switchs du réseau. Très pratique pour des
maquettes!

Mind à télécharger:

Synchronisation
A chaque création/suppression/modification de VLAN, une variable appelée RN
– Revision Number – s’incrémente (initialement 0 puis 1 puis 2 puis 3…). A
chaque création/suppression/modification de VLAN, le switch Server envoi un
message VTP avec la nouvelle valeur du RN. Les autres switchs compare le RN
reçu du switch Server avec le RN qu’ils stocke en local, si ce dernier est plus
petit (logiquement) alors les switchs se synchronisent avec le Server et
récupère la nouvelle base de données des VLANs.
Par défaut, le RN est envoyé automatiquement dès une
création/suppression/modification de VLAN puis envoyé toutes les 5 minutes.

VTP Pruning
Cette commande optionnelle permet de faire des économies de bande
passante.

Explication: imaginons qu’un switch reçoit les VLANs 1 et 2 mais qu’aucunes

de ses interfaces appartiennent au VLAN 2. Lorsque le switch voisin lui enverra
des trames du VLAN 2, ce switch les supprimera car aucune de ses interfaces
appartiennent à ce VLAN. Il est donc inutile que le switch voisin lui envoi du
trafic pour le VLAN 2.

On active alors la fonction VTP pruning pour avertir le switch voisin de ne pas
lui envoyer de trafic pour ce VLAN. La fonction s’active à partir du switch
Server.
Important: si un switch client possède un RN plus élevé que le switch Server
(imaginons qu’il était dans un autre réseau puis branché au notre),
contrairement à ce qu’on peut penser, le client ne va pas récupérer la base de
données de VLAN du Server mais l’inverse!

Pourquoi? Parce que quelque soit le mode du switch, Server ou Client, il se

synchronise toujours sur celui qui a le RN le plus élevé. Dans notre cas, c’est
le Server qui va se synchroniser et récupérer la base de données de VLAN du
Client. Il est donc très important de remettre le RN à zéro. Pour cela, effectuer
un simple basculement en mode Transparent puis en mode Client (exemple
plus bas)

Remarques importantes
 Les messages VTP se propagent sur les liens configurés en Trunk
(norme 802.1Q) et pas en Access
 VTP ne gère que la plage de VLAN comprise entre 1 et 1005. La plage
étendue 1006 à 4096 n’est pas supportée. Pour cela, il faut basculer
en mode Transparent sur tous les switchs et créer ses VLANS étendus
à la mano
 Il existe 3 versions de VTP, bien vérifier qu’une et une seule version
est active sur son réseau pour éviter les surprises (v1 et v2
incompatibles entre elles)
 La configuration VTP n’est pas visualisable dans la running-config mais
est stockée dans le fichier vlan.dat situé dans la flash (faites un show
flash: pour voir le fichier)
Configuration
Pour configurer le VTP, voici les étapes:

1. obligatoire: configurer un domaine VTP qui permet à tous les switchs

d’être dans le même “groupe d’amis”
2. obligatoire: configurer le mode de votre switch (client, transparent ou
server)
3. optionnel: activer la fonction pruning
4. optionnel: configurer un mot de passe pour sécuriser les messages
VTP
5. optionnel: activer la version 2 ou 3 de VTP (version 1 active par
défaut)
Mind à télécharger:

1. configuration domaine VTP qu’on appelle TEST:

Switch>enable

Switch#configure terminal

Switch(config)#vtp domain TEST

Changing VTP domain name from NULL to TEST

2. configuration du mode Server:

Switch(config)#vtp mode server

Device mode already VTP SERVER.

On remarque que le switch est déjà en mode Server par défaut, ce qui est
pratique car on peut créer des VLANs une fois le switch sorti du carton.

3. activation de la fonction pruning (à partir du switch Server):

Switch(config)#vtp pruning

Pruning switched on
4. configuration d’un mot de passe VTP (cisco123):

Switch(config)#vtp password cisco123

Setting device VLAN database password to cisco123

5. activation de la version 2 de VTP (à faire sur tous les switchs!):

Switch(config)#vtp version 2

Vérification
Pour vérifier que le VTP est bien configuré, voici les étapes:

1. visualiser si le mot de passe a bien été tapé

2. vérifier si on envoi et on reçoit bien des messages VTP avec les switchs
voisins
3. vérifier la configuration globale du VTP (commande la plus utilisée)
1. visualisation du mot de passe configuré

Switch#show vtp password

VTP Password: cisco123

2. vérification des compteurs des messages VTP envoyés et reçus:

Switch#show vtp counters

VTP statistics:

Summary advertisements received : 0

Subset advertisements received : 0

Request advertisements received : 0

Summary advertisements transmitted : 0

Subset advertisements transmitted : 0

Request advertisements transmitted : 0

Number of config revision errors : 0

Number of config digest errors : 0

Number of V1 summary errors : 0

VTP pruning statistics:

Trunk Join Transmitted Join Received Summary advts

received from

non-pruning-
capable device

---------------- ---------------- ---------------- --------------

-------------
On remarque que tous les compteurs sont à 0, ce qui est logique car pour le
moment, je n’ai pas encore créer/supprimer/modifier des VLANs. On revérifiera
ces compteurs un peu plus tard.

3. vérification de la configuration globale du VTP:

Switch#show vtp status

VTP Version : 2

Configuration Revision : 1

Maximum VLANs supported locally : 255

Number of existing VLANs : 5

VTP Operating Mode : Server

VTP Domain Name : TEST

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Disabled

MD5 digest : 0xCD 0x24 0x5F 0xE3 0xF2 0x01

0xFF 0x6B

Configuration last modified by 0.0.0.0 at 3-1-11 00:15:36

Explication de chaque ligne:

 VTP Version: affiche quelle est la version maximum supportée par le

switch (ici le switch supporte les versions 1 et 2). Attention, ce n’est
pas forcément celle active!
 Configuration Revision: en mode server, elle débute à 1. En mode
transparent, elle ne sert pas et donc mise à 0.
 Maximum VLANs supported locally: nombre maximum de VLAN
que le switch supporte. Dépend du type de switch (ici un 2960)
 Number of existing VLANs: nombre de VLANs présents dans le
switch (par défaut, les VLANs 1, 1002 à 1005 sont présents donc = 5)
 VTP Operating Mode: Server, Client ou Transparent
 VTP Domain Name: nom de votre “groupe” d’amis
 VTP Pruning Mode: activation/désactivation de la fontion de pruning
 VTP V2 Mode: c’est ici qu’on peut vérifier si la version 2 est bien
activée (ou la version 3 si le switch la supporte)
 VTP Traps Generation: permet d’envoyer des traps SNMP vers un
serveur pour prévenir les administrateurs lorsqu’il y a un changement
au niveau VTP (par exemple lors de la création d’un VLAN)
 MD5 digest: affiche le hash du mot de passe précédent (cisco123
dans notre exemple)
 Configuration last modified by: affiche quel est le dernier switch
qui a fait une modification de VLANs (on peut avoir plusieurs switch
Server dans un réseau)

Exemple
On veut effectuer les actions suivantes:

1. activer le mode Server sur switch_A et le mode client sur switch_B

2. activer la version 2 sur switch_A et switch_B
3. définir le domaine VTP = TEST
 4. créer les VLAN 3 et 4 sur switch_A
5. vérifier que tout est bon
configuration de switch_A:

switch_A(config)#vtp mode server

Setting device to VTP SERVER mode.

switch_A(config)#vtp version 2

switch_A(config)#vtp domain TEST

Changing VTP domain name from NULL to TEST

switch_A(config)#vlan 3

switch_A(config-vlan)#exit

switch_A(config)#vlan 4

switch_A(config-vlan)#exit

switch_A(config)#
configuration de switch_B:

Avant de brancher physiquement switch_B avec swich_A, je bascule en mode

Transparent pour mettre son RN à zéro avant de le rebasculer en mode Client

switch_B(config)#vtp mode transparent

Setting device to VTP TRANSPARENT mode.

switch_B(config)#vtp mode client

Setting device to VTP CLIENT mode.

switch_B#show vtp status

VTP Version : 2

Configuration Revision : 0 Maximum VLANs supported

locally : 255
Number of existing VLANs : 5

VTP Operating Mode : Client VTP Domain

Name :

VTP Pruning Mode : Disabled

VTP V2 Mode : Disabled

VTP Traps Generation : Disabled

MD5 digest : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72

0xA0 0x3A

Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

Maintenant, je peux configurer mon switch_B avec les paramètres VTP
demandés:

switch_B(config)#vtp version 2

Cannot modify version in VTP client mode

switch_B(config)#vtp domain TEST

Changing VTP domain name from NULL to TEST

Vérification de la configuration VTP sur les deux switchs:

Sur switch_A:

switch_A#show vtp status

VTP Version : 2

Configuration Revision : 3 Maximum VLANs supported

locally : 255

Number of existing VLANs : 7 VTP Operating

Mode : Server

VTP Domain Name : TEST

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Disabled

MD5 digest : 0xA0 0x0E 0x63 0xE1 0xB0 0xAE

0xDF 0x2C

Configuration last modified by 10.1.1.1 at 1-22-12 16:29:28

Local updater ID is 10.1.1.1 on interface Vl1 (lowest numbered

VLAN interface found)

switch_A#

switch_A#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -----------------

--------------

1 default active Fa0/2, Fa0/3,

Fa0/4, Fa0/5

Fa0/6, Fa0/7,
Fa0/8, Fa0/9

Fa0/10, Fa0/11,
Fa0/12, Fa0/13

Fa0/14, Fa0/15,
Fa0/16, Fa0/17

Fa0/18, Fa0/19,
Fa0/20, Fa0/21

Fa0/22, Fa0/23,
Fa0/24, Gig1/1

Gig1/2

3 VLAN0003 active

4 VLAN0004 active

1002 fddi-default active

1003 token-ring-default active

1004 fddinet-default active

1005 trnet-default active

Sur switch_B:

switch_B#show vtp status

VTP Version : 2

Configuration Revision : 3

Maximum VLANs supported locally : 255

Number of existing VLANs : 7 VTP Operating

Mode : Client

VTP Domain Name : TEST

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Disabled

MD5 digest : 0xA0 0x0E 0x63 0xE1 0xB0 0xAE

0xDF 0x2C

Configuration last modified by 10.1.1.1 at 1-22-12 16:29:28

switch_B#

switch_B#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -----------------

--------------

1 default active Fa0/2, Fa0/3,

Fa0/4, Fa0/5
 Fa0/6, Fa0/7,
Fa0/8, Fa0/9

Fa0/10, Fa0/11,
Fa0/12, Fa0/13

Fa0/14, Fa0/15,
Fa0/16, Fa0/17

Fa0/18, Fa0/19,
Fa0/20, Fa0/21

Fa0/22, Fa0/23,
Fa0/24, Gig1/1

Gig1/2

3 VLAN0003 active

4 VLAN0004 active

1002 fddi-default active

1003 token-ring-default active

1004 fddinet-default active

1005 trnet-default active

switch_B#
Vous pouvez visualiser les messages envoyés/reçus avec la commande
suivante:

switch_A#show vtp counters

VTP statistics:

Summary advertisements received : 9

Subset advertisements received : 5

Request advertisements received : 1

Summary advertisements transmitted : 10

Subset advertisements transmitted : 7

Request advertisements transmitted : 1

Number of config revision errors : 3

Number of config digest errors : 1

Number of V1 summary errors : 0

VTP mise à niveau
4

A quoi sert ce protocole? Imaginons que vous devez configurer plusieurs

VLANs dans votre réseau:

 Créer 3 VLANs sur un switch est une opération de configuration

rapide
 Créer 5 VLANs sur 4 switchs devient une opération de configuration
plus longue
 Créer 70 VLANs sur 100 switchs est alors une opération de
configuration fastidieuse avec une probabilité d’erreur/oubli très
élevée!
Et c’est là que le VTP prend toute son importance. Il sert à la propagation de
création/suppression/modification de VLAN sur tous les switchs de votre
réseau à partir d’un seul switch.

Propriétés
C’est un protocole propriétaire Cisco de niveau 2. De part sa simplicité et sa
puissance, l’IEEE a sorti un protocole similaire afin de permettre cette
fonctionnalité entre switchs de constructeurs différents: GVRP (GARP VLAN
Registration Protocol). La norme est IEEE 802.1ak

Fonctionnement
Les messages VTP diffuse des annonces de création, de suppression ou de
modification de VLAN. Cette diffusion s’effectue à travers tous les switchs
grâce à une trame niveau 2 avec une adresse de destination MAC multicast
bien particulière qui est 01-00-0C-CC-CC-CC.
Architecture du VTP
Le switch possède 3 modes VTP: client, transparent ou server (acitf par
défaut):

 VTP Server: switch qui crée les annonces VTP

 VTP Client: switch qui reçoit, se synchronise et propage les annonces
VTP
 VTP Transparent: switch qui ne traite pas les annonces VTP

Switch en mode VTP Server

Le switch en mode Server permet à l’administrateur de faire toute
modification sur les VLANs et de propager automatiquement ses modifications
vers tous les switchs du réseau.

Mind à télécharger:

Switch en mode VTP Client

Le switch en mode Client ne permet pas à l’administrateur de faire des
modifications sur les VLANs. Vous recevez un message d’erreur quand vous
essayez de créer un VLAN.

Mind à télécharger:
Switch en mode VTP Transparent
Le switch en mode Transparent permet à l’administrateur de faire toute
modification sur les VLANs en local uniquement et donc ne propage
pas ses modifications vers tous les switchs du réseau. Très pratique pour des
maquettes!

Mind à télécharger:

Synchronisation
A chaque création/suppression/modification de VLAN, une variable appelée
RN – Revision Number – s’incrémente (initialement 0 puis 1 puis 2 puis 3…).
A chaque création/suppression/modification de VLAN, le switch Server envoi
un message VTP avec la nouvelle valeur du RN. Les autres switchs compare
le RN reçu du switch Server avec le RN qu’ils stocke en local, si ce dernier est
plus petit (logiquement) alors les switchs se synchronisent avec le Server et
récupère la nouvelle base de données des VLANs.
Par défaut, le RN est envoyé automatiquement dès une
création/suppression/modification de VLAN puis envoyé toutes les 5 minutes.

VTP Pruning
Cette commande optionnelle permet de faire des économies de bande
passante.

Explication: imaginons qu’un switch reçoit les VLANs 1 et 2 mais qu’aucunes

de ses interfaces appartiennent au VLAN 2. Lorsque le switch voisin lui
enverra des trames du VLAN 2, ce switch les supprimera car aucune de ses
interfaces appartiennent à ce VLAN. Il est donc inutile que le switch voisin lui
envoi du trafic pour le VLAN 2.

On active alors la fonction VTP pruning pour avertir le switch voisin de ne pas
lui envoyer de trafic pour ce VLAN. La fonction s’active à partir du switch
Server.
Important: si un switch client possède un RN plus élevé que le switch Server
(imaginons qu’il était dans un autre réseau puis branché au notre),
contrairement à ce qu’on peut penser, le client ne va pas récupérer la base
de données de VLAN du Server mais l’inverse!

Pourquoi? Parce que quelque soit le mode du switch, Server ou Client, il se

synchronise toujours sur celui qui a le RN le plus élevé. Dans notre cas, c’est
le Server qui va se synchroniser et récupérer la base de données de VLAN du
Client. Il est donc très important de remettre le RN à zéro. Pour cela,
effectuer un simple basculement en mode Transparent puis en mode Client
(exemple plus bas)

Remarques importantes
 Les messages VTP se propagent sur les liens configurés en Trunk
(norme 802.1Q) et pas en Access
 VTP ne gère que la plage de VLAN comprise entre 1 et 1005. La
plage étendue 1006 à 4096 n’est pas supportée. Pour cela, il faut
basculer en mode Transparent sur tous les switchs et créer ses
VLANS étendus à la mano
 Il existe 3 versions de VTP, bien vérifier qu’une et une seule version
est active sur son réseau pour éviter les surprises (v1 et v2
incompatibles entre elles)
 La configuration VTP n’est pas visualisable dans la running-config
mais est stockée dans le fichier vlan.dat situé dans la flash (faites
un show flash: pour voir le fichier)
Configuration
Pour configurer le VTP, voici les étapes:

1. obligatoire: configurer un domaine VTP qui permet à tous les switchs

d’être dans le même “groupe d’amis”
2. obligatoire: configurer le mode de votre switch (client, transparent
ou server)
3. optionnel: activer la fonction pruning
4. optionnel: configurer un mot de passe pour sécuriser les messages
VTP
5. optionnel: activer la version 2 ou 3 de VTP (version 1 active par
défaut)
Mind à télécharger:

1. configuration domaine VTP qu’on appelle TEST:

Switch>enable

Switch#configure terminal

Switch(config)#vtp domain TEST

Changing VTP domain name from NULL to TEST

2. configuration du mode Server:

Switch(config)#vtp mode server

Device mode already VTP SERVER.

On remarque que le switch est déjà en mode Server par défaut, ce qui est
pratique car on peut créer des VLANs une fois le switch sorti du carton.

3. activation de la fonction pruning (à partir du switch Server):

Switch(config)#vtp pruning

Pruning switched on
4. configuration d’un mot de passe VTP (cisco123):

Switch(config)#vtp password cisco123

Setting device VLAN database password to cisco123

5. activation de la version 2 de VTP (à faire sur tous les switchs!):

Switch(config)#vtp version 2

Vérification
Pour vérifier que le VTP est bien configuré, voici les étapes:

1. visualiser si le mot de passe a bien été tapé

2. vérifier si on envoi et on reçoit bien des messages VTP avec les
switchs voisins
3. vérifier la configuration globale du VTP (commande la plus utilisée)
1. visualisation du mot de passe configuré

Switch#show vtp password

VTP Password: cisco123

2. vérification des compteurs des messages VTP envoyés et reçus:

Switch#show vtp counters

VTP statistics:

Summary advertisements received : 0

Subset advertisements received : 0

Request advertisements received : 0

Summary advertisements transmitted : 0

Subset advertisements transmitted : 0

Request advertisements transmitted : 0

Number of config revision errors : 0

Number of config digest errors : 0

Number of V1 summary errors : 0

VTP pruning statistics:

Trunk Join Transmitted Join Received Summary advts

received from

non-pruning-
capable device

---------------- ---------------- ---------------- --------------

-------------
On remarque que tous les compteurs sont à 0, ce qui est logique car pour le
moment, je n’ai pas encore créer/supprimer/modifier des VLANs. On
revérifiera ces compteurs un peu plus tard.

3. vérification de la configuration globale du VTP:

Switch#show vtp status

VTP Version : 2

Configuration Revision : 1

Maximum VLANs supported locally : 255

Number of existing VLANs : 5

VTP Operating Mode : Server

VTP Domain Name : TEST

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Disabled

MD5 digest : 0xCD 0x24 0x5F 0xE3 0xF2 0x01

0xFF 0x6B

Configuration last modified by 0.0.0.0 at 3-1-11 00:15:36

Explication de chaque ligne:

 VTP Version: affiche quelle est la version maximum supportée par

le switch (ici le switch supporte les versions 1 et 2). Attention, ce
n’est pas forcément celle active!
 Configuration Revision: en mode server, elle débute à 1. En mode
transparent, elle ne sert pas et donc mise à 0.
 Maximum VLANs supported locally: nombre maximum de VLAN
que le switch supporte. Dépend du type de switch (ici un 2960)
 Number of existing VLANs: nombre de VLANs présents dans le
switch (par défaut, les VLANs 1, 1002 à 1005 sont présents donc =
5)
 VTP Operating Mode: Server, Client ou Transparent
 VTP Domain Name: nom de votre “groupe” d’amis
 VTP Pruning Mode: activation/désactivation de la fontion de
pruning
 VTP V2 Mode: c’est ici qu’on peut vérifier si la version 2 est bien
activée (ou la version 3 si le switch la supporte)
 VTP Traps Generation: permet d’envoyer des traps SNMP vers un
serveur pour prévenir les administrateurs lorsqu’il y a un
changement au niveau VTP (par exemple lors de la création d’un
VLAN)
 MD5 digest: affiche le hash du mot de passe précédent (cisco123
dans notre exemple)
 Configuration last modified by: affiche quel est le dernier switch
qui a fait une modification de VLANs (on peut avoir plusieurs switch
Server dans un réseau)

Exemple
On veut effectuer les actions suivantes:

1. activer le mode Server sur switch_A et le mode client sur switch_B

 2. activer la version 2 sur switch_A et switch_B
3. définir le domaine VTP = TEST
4. créer les VLAN 3 et 4 sur switch_A
5. vérifier que tout est bon
configuration de switch_A:

switch_A(config)#vtp mode server

Setting device to VTP SERVER mode.

switch_A(config)#vtp version 2

switch_A(config)#vtp domain TEST

Changing VTP domain name from NULL to TEST

switch_A(config)#vlan 3

switch_A(config-vlan)#exit

switch_A(config)#vlan 4

switch_A(config-vlan)#exit

switch_A(config)#
configuration de switch_B:

Avant de brancher physiquement switch_B avec swich_A, je bascule en mode

Transparent pour mettre son RN à zéro avant de le rebasculer en mode Client

switch_B(config)#vtp mode transparent

Setting device to VTP TRANSPARENT mode.

switch_B(config)#vtp mode client

Setting device to VTP CLIENT mode.

switch_B#show vtp status

VTP Version : 2
Configuration Revision : 0 Maximum VLANs supported
locally : 255

Number of existing VLANs : 5

VTP Operating Mode : Client VTP Domain

Name :

VTP Pruning Mode : Disabled

VTP V2 Mode : Disabled

VTP Traps Generation : Disabled

MD5 digest : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72

0xA0 0x3A

Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

Maintenant, je peux configurer mon switch_B avec les paramètres VTP
demandés:

switch_B(config)#vtp version 2

Cannot modify version in VTP client mode

switch_B(config)#vtp domain TEST

Changing VTP domain name from NULL to TEST

Vérification de la configuration VTP sur les deux switchs:

Sur switch_A:

switch_A#show vtp status

VTP Version : 2

Configuration Revision : 3 Maximum VLANs supported

locally : 255

Number of existing VLANs : 7 VTP Operating

Mode : Server

VTP Domain Name : TEST

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Disabled

MD5 digest : 0xA0 0x0E 0x63 0xE1 0xB0 0xAE

0xDF 0x2C

Configuration last modified by 10.1.1.1 at 1-22-12 16:29:28

Local updater ID is 10.1.1.1 on interface Vl1 (lowest numbered

VLAN interface found)

switch_A#

switch_A#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -----------------

--------------

1 default active Fa0/2, Fa0/3,

Fa0/4, Fa0/5

Fa0/6, Fa0/7,
Fa0/8, Fa0/9

Fa0/10, Fa0/11,
Fa0/12, Fa0/13

Fa0/14, Fa0/15,
Fa0/16, Fa0/17

Fa0/18, Fa0/19,
Fa0/20, Fa0/21

Fa0/22, Fa0/23,
Fa0/24, Gig1/1

Gig1/2

3 VLAN0003 active

4 VLAN0004 active
1002 fddi-default active

1003 token-ring-default active

1004 fddinet-default active

1005 trnet-default active

Sur switch_B:

switch_B#show vtp status

VTP Version : 2

Configuration Revision : 3

Maximum VLANs supported locally : 255

Number of existing VLANs : 7 VTP Operating

Mode : Client

VTP Domain Name : TEST

VTP Pruning Mode : Disabled

VTP V2 Mode : Enabled

VTP Traps Generation : Disabled

MD5 digest : 0xA0 0x0E 0x63 0xE1 0xB0 0xAE

0xDF 0x2C

Configuration last modified by 10.1.1.1 at 1-22-12 16:29:28

switch_B#

switch_B#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -----------------

--------------
1 default active Fa0/2, Fa0/3,
Fa0/4, Fa0/5

Fa0/6, Fa0/7,
Fa0/8, Fa0/9

Fa0/10, Fa0/11,
Fa0/12, Fa0/13

Fa0/14, Fa0/15,
Fa0/16, Fa0/17

Fa0/18, Fa0/19,
Fa0/20, Fa0/21

Fa0/22, Fa0/23,
Fa0/24, Gig1/1

Gig1/2

3 VLAN0003 active

4 VLAN0004 active

1002 fddi-default active

1003 token-ring-default active

1004 fddinet-default active

1005 trnet-default active

switch_B#
Vous pouvez visualiser les messages envoyés/reçus avec la commande
suivante:

switch_A#show vtp counters

VTP statistics:

Summary advertisements received : 9

Subset advertisements received : 5

Request advertisements received : 1

Summary advertisements transmitted : 10

Subset advertisements transmitted : 7

Request advertisements transmitted : 1

Number of config revision errors : 3

Number of config digest errors : 1

Number of V1 summary errors : 0

Tout savoir sur les domaines de
collision et diffusion !
0

Avant de lire cet article, je vous recommande

de lire ceux la:

– Le Concentrateur/Hub

– Le Pont/Bridge

– Le Switch/Commutateur

– La méthode CSMA/CD

Ces deux notions sont primordiales pour le CCNA mais aussi pour la vie de
tout les jours dans le monde des réseaux !

Domaine de collision
Un domaine de collision est un ensemble d’entités (cartes réseaux)
qui partagent le même média de communication. Prenons un exemple
dans la vraie vie:
4 personnes utilisent chacun un talkie-walkie pour communiquer.
Les spécificités du talkie-walkie sont telles qu’une seule personne peut
parler à un instant T. Si deux personnes parlent en même temps, les signaux
sont corrompus et on ne comprend rien à la communication. On dit alors que
ces personnes sont dans le même domaine de collision.

Dans le monde des réseaux, si deux entités sont dans le même domaine de
collision et envoient des données à un instant T alors il y
a corruption des données et il faut retransmettre les données.

Le domaine de collision dépend de l’équipement sur lequel vos entités sont

connectés.

Domaine de collision avec le Hub/Concentrateur

Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:

Domaine de collision avec le Bridge/Pont

Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:
Domaine de collision avec le
Switch/Commutateur
Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:

Domaine de broadcast/diffusion
Passons au domaine de broadcast.

Reprenons l’exemple des 4 personnes avec leur talkie-walkie; lorsqu’une

personne prend la parole, les trois autres reçoivent bien la communication. On
dit que ces 4 personnes appartiennent au même domaine de
broadcast/diffusion. Lorsqu’une personne parle, les autres reçoivent
bien l’information.
Dans le monde des réseaux, c’est a peu prés pareil au delta prés que quand
une entité envoi une donnée, elle a le choix entre envoyer
la donnée en unicast, en multicast ou en broadcast. je vous renvoi au
chapitre dédié sur ces 3 types de messages si vous ne l’avez pas déjà lu.

Quand on parle de domaine de broadcast, on prend l’hypothèse où

l’entité émétrice souhaite envoyer une donnée à tout le monde, soit
en broadcast.

Dans le LAN, que ce soit un Hub, un Bridge ou un Switch,

la donnée sera propagée sur tous les ports parce que:

 Un hub ne lit pas le niveau 2 donc il transmet la donnée sur tous ses
ports
 Un bridge lit le niveau 2 et comprend que la donnée est a
destination de tout le monde (adresse MAC destination = ffff.ffff.ffff)
donc elle transmet cette donnée sur son second port
 Un Switch lit aussi le niveau 2 et comprend que la donnée est a
destination de tout le monde (adresse MAC destination
= ffff.ffff.ffff) donc elle transmet cette donnée sur tous ses ports
Important: le domaine de
broadcast s’arrête au niveau d’un équipement niveau 3, comme un routeur !

Domaine de broadcast le Hub/Concentrateur

Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:

Domaine de broadcast avec le Bridge/Pont

Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:
Domaine de broadcast avec le
Switch/Commutateur
Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:

Les deux domaines en même temps

Maintenant que ces deux notions sont claires, il devient facile de
les différencier sur un même schéma 🙂
Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:

Et avec la présence d’un routeur, la notion de domaine de

broadcast explose et on a un domaine de broadcast par interface du routeur.

Cliquez sur l’image pour l’agrandir et/ou la sauvegarder:

A retenir pour le CCNA

Comment le Spanning-Tree vous
évite bien des soucis!
10

Beaucoup de personnes connaissent mal le procotole spanning-tree car étant actif par défaut sur
les switchs, on ne se soucie pas de son fonctionnement.

Malheureusement, comme tout protocole, on peut se retrouver avec des problèmes réseaux à
résoudre voir pire des bugs d’implémentation du protocole (surtout dans le cas d’inter-opérabilité
avec d’autres constructeurs).

A quoi sert-il?
L’objectif des réseaux est de faire en sorte que les paquets arrivent à destination. Une solution est
de dupliquer les équipements physique pour qu’en cas de panne sur l’un d’eux, l’autre équipement
prenne le relai; on appelle ça la redondance ou la résilience.

Architecture non redondée

Sur le schéma ci-dessus, on voit bien que si le switch tombe (panne électrique, bug…), plus aucune
communication entre les ordinateurs A et B n’est possible.

Architecture redondée
Maintenant que l’on souhaite que les paquets entre les ordinateurs A et B transitent même en cas de
panne matériel, créons cette nouvelle architecture:
Avec cette architecture, on voit bien que si le switch du haut ne fonctionne plus, le switch du bas
peut tout même transmettre les paquets de A vers B et de B vers A.

Les 3 problèmes à savoir pour le CCNA

Lors de l’examen, vous allez tomber sur des questions propre au fonctionnement intrinsèque du
spanning-tree et de ses différentes versions mais aussi sur les problèmes rencontrés par la mise en
place d’une redondance physique dans un LAN commuté.

Retenez bien ces 3 problèmes car c’est une question classique du CCNA.

1er problème: Tempète de broadcast

Sur l’architecture redondée précédente, imaginons que la station A envoi un message de broadcast
(trame niveau 2 avec comme adresse MAC de destination FFFF.FFFF.FFFF). Que se passe-t-il?

 Le switch du haut reçoit la trame sur son port, extrait l’adresse MAC de destination
(FFFF.FFFF.FFFF) et la duplique sur tous ses ports car c’est une adresse de
broadcast. La trame sort donc du switch du haut et se dirige vers le switch du bas
 idem pour le switch du bas; il reçoit la trame sur son port, extrait l’adresse MAC de
destination (FFFF.FFFF.FFFF) et la duplique sur tous ses ports car c’est une adresse
de broadcast. La trame sort donc du switch du bas et se dirige vers le switch du haut
  et ces trames tournent sans arrêt entre les 2 switchs, faisant monter leur CPU à 100%
et les font plus ou moins planter (souvent un reboot est nécessaire)
Ce phénomène s’appelle la tempête de broadcast, ou broadcast storm en anglais.

2ème problème: Duplication de trame

Maintenant, imaginons que la station A envoi une trame vers la station B, donc la trame sera forgée
avec les informations suivantes:

 adresse MAC source: A

 adresse MAC destination: B

Que se passe-t-il?

 Le switch du haut reçoit la trame sur son port (flèche rouge), extrait l’adresse MAC de
destination (B) et la commute sur le port de droite. La station B reçoit bien la trame de
la station A
 Mais le switch du bas reçoit aussi la trame sur son port (flèche orange), extrait l’adresse
MAC de destination (B) et la commute sur le port de droite. La station B reçoit donc
pour une deuxième fois la trame de la station A
Ce phénomène s’appelle la duplication de trame (pas top comme optimisation réseau 🙂 )

3ème problème: Instabilité de la table CAM

Maintenant, regardons un peu ce qu’il se passe côté table CAM – Content
Addressable Memory – du switch.

Pour ceux qui ont oublié cette notion, je vous renvoi vers ce chapitre (switch).
Reprenons la trame précédente (message de A vers B):

 la trame arrive sur le port 1 du switch du haut. Le switch extrait

l’adresse MAC source et l’insère dans sa table CAM [port 1 =
adresse MAC A]
 la trame arrive aussi sur le port 3 du switch du bas. Le switch extrait
l’adresse MAC source et l’insère dans sa table CAM [port 3 =
adresse MAC A]
Maintenant que chaque switch a extrait l’adresse MAC source pour l’insérer
dans sa table, chacun extrait l’adresse MAC de destination (B) et la
compare à sa table. Comme aucune entrée n’est trouvée, chaque switch va
dupliquer la trame sur tous ses ports:

 le switch du haut envoi la trame sur son port 2

 le switch du bas envoi la trame sur son port 4
Et c’est là où ça devient cocasse car chaque switch recoit la trame de l’autre
switch…

 le switch du haut reçoit sur son port 2 la trame du switch du bas

o le switch extrait l’adresse MAC source et l’insère dans
sa table CAM [port 2 = adresse MAC A]. Pour cela, il
supprime l’entrée précédente qui était [port 1 = adresse
MAC A]
 le switch du bas reçoit sur son port 4 la trame du switch du haut
o le switch extrait l’adresse MAC source et l’insère dans
sa table CAM [port 4 = adresse MAC A]. Pour cela, il
supprime l’entrée précédente qui était [port 3 = adresse
MAC A]
On voit ici que les switchs mettent à jour leur table CAM à chaque fois
qu’ils reçoivent une trame.

Ce phénomène s’appelle l’instabilité de la table CAM.

Résolution des 3 problèmes
Pour éviter ces 3 problèmes (tempête de broadcast, duplication de
trame et instabilité de la table CAM), le protocole spanning-tree a été créé.
Comme ces problèmes proviennent du fait que le réseau commuté est face à
une boucle physique, le spanning-tree permet d’identifier cette boucle et de la
bloquer “logiciellement”.

Dans notre exemple, tout le trafic passera par le switch du haut pour joindre
la station B, le chemin du bas étant bloqué au niveau du port du switch du bas.

Si le switch du haut tombe en panne, le protocole spanning-tree va le détecter

et va débloquer le port du bas. A ce moment, tout le trafic passera pour le
switch du bas.

Voilà à quoi sert le spanning-tree !

A retenir pour le CCNA

Dans un prochain chapitre, je détaillerai en profondeur le fonctionnement de
ce protocole et ses différentes versions jusqu’au MSTP .

Mais pour le moment, retenez que les points suivants pour l’examen:

 en mettant en place une archiecture redondée, on est face à 3

problèmes majeurs:
1. tempête de broadcast
2. duplication de trame
3. instabilité de la table CAM
 Pour résoudre ces problèmes, le spanning-tree a été créé et permet
d’éviter les boucles physiques en désactivant un port logiciellement,
et le réa-active au besoin pour assurer la résilience du réseau
Comment agréger des liens
entre 2 équipements?
13

Le problème est très simple: Si un lien Trunk entre deux switchs est
défectueux, déconnecté ou bogué –> On coupe la communication entre les
PC connectés sur des switchs différents.

Comment faire pour éviter ça?

Plusieurs solutions:

 changer le câble… ok c’est nul comme proposition;

 priez… encore plus nul, quoique parfois on sait jamais;
 connecter un second câble entre les 2 switchs et configurer le Trunk
dessus;
 connecter un second câble entre les 2 switchs, configurer
l’agrégation de liens et configurer le Trunk dessus.
Quelle est la meilleure solution d’après vous?

Si on choisit la troisième solution, le spanning-tree va s’activer et bloquer un

des 2 liens. Alors certes, quand un lien sera défectueux, le spanning-tree va
débloquer l’autre mais le temps de déblocage peut être long. Et je ne parle pas
d’un lien qui bagote… alors là le spanning-tree va mettre le bazar dans votre
réseau !

Si on choisit la dernière solution alors on a un système entièrement

redondant où les deux liens sont actifs en même temps donc on gagne en
plus en bande passante.

Définition
L’agrégation de liens permet de relier logiquement jusqu’à 8 liens entre
deux équipements, Cisco ou non. Au niveau de l’équipement, c’est vu comme
un et un seul gros lien et ça permet d’avoir la redondance et la résilience du
réseau dans le cas où un lien “pète”. De plus, plus j’agrège des liens physiques,
plus je monte en bande passante disponible.

Dans le schéma ci-dessus, on a fait des agrégats un peu partout; entre switchs,
entre switch et routeur et même entre switch et serveur (très pratique pour
assurer la résilience du réseau en cas de défaillance d’une carte réseau).

Les protocoles PAGP et LCAP

Pour configurer un agrégat entre 2 équipements, on peut choisir entre le
protocole propriétaire Cisco PAgP, ou la norme LACP

PAgP utilise 3 modes au niveau des ports:

  Auto (mode par défaut): le port attend une requête du port voisin
 Desirable : le port négocie avec le port voisin
 On: le port ne prévient pas et ne négocie pas avec l’autre. Dans ce
cas, on monte l’Etherchannel sans PAgP ou LACP
LACP utilise aussi 3 modes au niveau des ports mais la nomenclature est
différente:

 Passive (par défaut): le port attend les paquets LACP d’en face pour
y répondre mais n’en envoi pas tout seul
 Active : Le port négocie activement en envoyant des paquets LCAP
en face
 On: le port ne prévient pas et ne négocie pas avec l’autre. Dans ce
cas, on monte l’Etherchannel sans PAgP ou LACP
Pour le CCNA, faire attention à ne pas mélanger les modes entre PAgP et LACP,
c’est forcément une question qui tombe. Et ne pas mélanger le fonctionnement
d’un mode (par exemple: je préviens ou je ne préviens pas mon voisin) avec
les modes du protocole DTP (cf chapitre DTP).

Configuration
Pour configurer l’agrégat, il faut:

1. choisir ses ports physiques que l’on veut connecter au voisin;

2. activer le protocole PAgP ou LACP sur ces ports physiques;
3. et définir une interface logique (la fameuse grosse interface que le
switch considérera comme active).

Switch_A(config)# interface range FastEthernet 0/1 - 2

Switch_A(config-if)# channel-protocol pagp

Switch_A(config-if)# channel-group 8 mode desirable

Switch_A(config-if)#exit

Switch_A(config)#

Switch_A(config)# interface Port-channel 8

Switch_A(config-if)# switchport mode trunk

Switch_A(config-if)# exit
Switch_A(config)#
Dans la configuration ci-dessus, j’ai choisi les ports Fa0/1 et Fa0/2 pour les
agréger entre eux. J’ai choisi le protocole PAgP pour négocier avec mon voisin
et j’ai défini une interface logique n°8 (Port-channel). Et je la configure en
lien Trunk. pour faire transiter les trames taguées des utilisateurs.

Importants et à retenir pour le CCNA

 c’est dans l’interface logique que désormais il faut faire la
configuration (Trunk, VLAN…)
 Tous les ports physiques doivent avoir:
o Même protocole d’agrégation activé
o Même vitesse
o Même type de duplex
o Même configuration de Trunk ou Access
o Même VLANs transitant si le mode est Trunk
o Même VLANs si le mode est Access
 Si on modifie la configuration sur un port physique –> cela modifie le
comportement uniquement sur ce port physique
 Si on modifie la configuration sur le port logique –> cela modifie le
comportement de tous les port physiques appartenant au port logique
Trunk 802.1Q et ISL, ce qu’il faut
savoir pour le CCNA
29

Avec les chapitres précédents, nous savons comment créer un VLAN (cf
chapitre VLAN), comment propager cette création de VLAN sur tous les
switchs du réseau (cf chapitre VTP) et comment attribuer un port dans un
VLAN (cf fin du chapitre VLAN).

Maintenant, la question qui tue: quand une trame provenant d’un switch voisin
arrive sur notre switch, comment sait-il à quel VLAN appartient la trame reçue?

Et bien, si on ne fait rien, le switch considérera que la trame appartient au

VLAN configuré sur le port (VLAN 1 par défaut). Il faut donc configurer les
switchs pour qu’à chaque fois qu’une trame sort d’un port pour joindre un autre
switch, on y rajoute l’identifiant du VLAN auquel la trame appartient. C’est la
notion de Trunk!

Définition
Le trunk est le mécanisme qui permet d’insérer l’identifiant du VLAN sur
une trame utilisateur. Toute trame se propageant sur plusieurs switchs
conservera toujours l’information de son appartenance à son VLAN. Et le switch
de destination saura avec quels ports la trame peut être commutée (ports
appartenant au même VLAN).

Cette configuration de lien Trunk s’effectue sur les liens entre switchs,
souvent appelés uplink.
Dans le schéma ci dessous, on configure le lien inter-switch en Trunk. Toutes
les trames qui sortiront sur ce lien (switch de droite ou de gauche), se verront
appliquer une étiquette supplémentaire qui contient l’identifiant du VLAN
(en noir sur la trame).

Historiquement, Cisco avait créé son propre protocole de Trunk entre ses
switchs, nommé ISL – Inter-Switch Link. Mais très rapidement, cette
fonctionnalité plus qu’essentielle, demanda une inter-opérabilité avec d’autres
constructeurs.

La norme Trunk 802.1Q fut sortie et Cisco l’implémenta aussi dans ses
switchs. D’où la possibilité sur certains switchs Cisco de décider quel trunk on
souhaite faire, ISL ou 802.1Q.

A retenir pour le CCNA, le tableau suivant :

Trunk ISL
Le trunk propriétaire Cisco ISL a la particularité d’encapsuler toute la
trame de l’utilisateur dans une nouvelle trame, nommée trame ISL. Voici à
quoi ressemble une trame ISL:

Remarque: comme cette trame a un format particulier, il est obligatoire que

le switch d’en face puisse comprendre ce formatage. Il faut donc configurer le
port du switch d’en face en trunk ISL.

Voici ci dessous la configuration à effectuer sur les ports des switchs

interconnectés entre eux:

Switch(config)# interface fastethernet 0/0

Switch(config-if)# shutdown

Switch(config-if)# switchport trunk encapsulation isl

Switch(config-if)# switchport mode trunk

Switch(config-if)# no shutdown
Vérifions que le port en question est bien configuré:

Switch# show interfaces fastethernet 0/0 trunk

Port Mode Encapsulation Status Native

VLAN

Fa0/0 trunk isl trunking 1

Port VLANs allowed on trunk

Fa0/0 1,1002-1005

Port VLANs allowed and active in management domain

Fa0/0 1,1002-1005

Port VLANs in spanning tree forwarding state and not

pruned

Fa0/0 1,1002-1005

Avec cette commande, on peut vérifier que le port Fa0/0 est bien en
mode Trunk ISL via le status trunking.
Pour information, la colonne native VLAN permet de mettre dans le VLAN 1
une trame qui arriverait non encapsulée ISL sur ce port (on en reparle un peu
plus loin).

Trunk 802.1Q
Le trunk normalisé 802.1Q n’encapsule pas toute la trame de l’utilisateur
comme ISL mais casse la trame et y insère une étiquette ou tag,
nommée TAG 802.1Q. Voici à quoi ressemble une trame utilisateur avec le
rajout du TAG 802.1Q:
La première trame est celle de l’utilisateur qui arrive sur le switch. Dès que
cette trame sort vers un port configuré en Trunk 802.1Q, le switch insère
l’étiquette TAG (trame n°2 dans le schéma).

En inspectant le contenu de ce TAG, on remarque les champs suivants (trame

n°3 dans le schéma):

 Ethertype: permet de préciser que c’est une trame 802.1Q, la valeur

en hexa est 0x8100
 PRI: champs de priorité sur 3 bits qui permet de classifier le trafic
utilisateur pour lui appliquer de la qualité de service (voix, vidéo…).
Ce champ est aussi appelé 802.1P ou COS – Class Of Service.
 CFI – Canonical Format Identifier: permet la compatibilité d’un
réseau Ethernet avec un réseau TokenRing. Champ à oublier pour le
CCNA car il n’existe quasiment plus du réseau TokenRing aujourd’hui.
 VLAN ID – VLAN Identifier: codé sur 12bits: valeur numérique du
VLAN auquel la trame utilisateur appartient. C’est le champ le plus
important à connaitre!
Voici ci dessous la configuration à effectuer sur les ports des switchs
interconnectés entre eux:

Switch(config)# interface fastethernet 0/1

Switch(config-if)# shutdown

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# no shutdown
On peut remarquer qu’il n’y a qu’une seule variable qui change par rapport à
une configuration Trunk ISL (la variable dot1q en rouge).

Vérifions que le port en question est bien configuré:

Switch# show interfaces fastethernet 0/0 trunk

Port Mode Encapsulation Status Native

VLAN

Fa0/0 trunk dot1q trunking 1

Port VLANs allowed on trunk

Fa0/0 1,1002-1005

Port VLANs allowed and active in management domain

Fa0/0 1,1002-1005

Port VLANs in spanning tree forwarding state and not

pruned

Fa0/0 1,1002-1005

Avec cette commande, on peut vérifier que le port Fa0/0 est bien en mode
Trunk 802.1Q avec le status trunking et l’encapsulation dot1q.

Important – VLAN natif

La particularité du Trunk 802.1Q vient du fait que pour un VLAN en
particulier, le Trunk ne casse pas la trame de l’utilisateur et donc ne lui
rajoute pas le TAG. Le trunk laisse la trame transiter sans aucun changement.

Pourquoi?
Il faut revenir sur l’historique des réseaux: jadis (sic!) on pouvait se trouver
dans le cas où des PC connectés à un HUB était lui même connecté à 2 switchs.
On se trouvait alors dans le schéma suivant:

Prenons le cas où les PC dans le VLAN 2 souhaitent communiquer:

1. un PC de gauche envoi du trafic;

2. le switch de gauche ajoute le TAG VLAN=2 dans la trame et envoi la
trame au HUB;
3. le HUB diffuse la trame taguée sur tous ses ports;
4. le switch de droite reçoit la trame taguée, enlève le TAG et
commute la trame vers les ports appartenant au même VLAN (2 ici);
5. le PC du bas reçoit une trame taguée! Comme le PC ne sait pas lire
le TAG, il rejette la trame.
On voit ici que le PC du bas ne pourra jamais recevoir de trame provenant
d’autres PC qui appartiennent au même VLAN que lui.

Donc dans la norme 802.1Q, il a été défini que pour un VLAN en particulier,
appelé VLAN natif, les switchs laisseraient passer la trame initiale sans
ajouter de TAG.
Regardons maintenant le même comportement avec un PC appartenant au
VLAN n°1, configuré comme VLAN natif:

Reprenons le cas où les PC souhaitent communiquer mais cette fois ci ils

appartiennent au VLAN natif 1:

1. un PC de gauche envoi du trafic;

2. le switch de gauche n’ajoute pas le TAG VLAN=1 dans la trame et
envoi la trame au HUB;
3. le HUB diffuse la trame non taguée sur tous ses ports;
4. le switch de droite reçoit la trame non taguée, donc sait qu’elle
appartient au VLAN natif (1 ici) et commute la trame vers les ports
appartenant au même VLAN;
5. le PC du bas reçoit une trame non taguée donc la traite comme
toute trame classique.
On voit ici que le PC du bas peut communiquer sans aucun souci avec
d’autres PC qui appartiennent au même VLAN que lui.

A retenir pour le CCNA

Donc, parmis les choses à savoir pour l’examen CCNA, essayez de retenir les
informations suivantes:
  Trunk propriétaire –> ISL de Cisco avec une encapsulation
complète de la trame
 Trunk normalisé –> 802.1Q avec un ajout de TAG dans la trame
 par défaut, le VLAN natif est le VLAN 1 (attention à ne pas confondre
VLAN natif et VLAN par défaut!)
 dans une configuration 802.1Q, le VLAN natif doit être identique
des deux côtés
Remarque hors CCNA: la notion de Trunk chez d’autres constructeurs est
différente: c’est la capacité d’agréger plusieurs liens physiques entre 2 switchs
pour en faire qu’un seul virtuel. On active alors les protocoles PAGP ou LACP.
Donc il faut faire attention quand vous parlez à des techniciens à propos du
Trunk, certaines personnes ne comprendront pas car vous parlerez de 2 notions
différentes.
DTP – ou comment être fainéant
avec le Trunk
14

Maintenant que l’on sait à quoi sert un lien Trunk (cf chapitre Trunk) et la
configuration manuelle associée, on se rend compte que cela devient vite
fatiguant de configurer des Trunk sur tous les liens inter-switchs de
l’entreprise.

Comment pourrait-on se simplifier la vie car n’oublions pas, un bon

informaticien est un informaticien fénéant? Et bien Cisco a créé un protocole
qui va monter automatiquement un Trunk entre 2 switchs, c’est le protocole
DTP.

Définition
DTP pour Dynamic Trunking Procotol, c’est un protocole propriétaire Cisco
donc ne fonctionne qu’entre switchs Cisco!

Le principe est très simple, lorsqu’un port monte, des annonces DTP sont
envoyées;

 si le port est connecté à un switch voisin, ce dernier va recevoir

l’annonce DTP et y répondre. Des deux côtés, l’activation du Trunk
s’effectue;
 si le port est connecté à un pc, ce dernier ne répondra pas à l’annonce
car il comprend pas le protocole. Sur le port du switch, le Trunk n’est
pas activé et donc reste en mode Access.
Vu comme ça, il est évident que c’est simple. En fait, ça l’est beaucoup moins
et soyez sûr que vous aurez des questions relatives à DTP lors de l’examen du
CCNA.

Fonctionnement
Un port physique d’un switch peut avoir plusieurs état (ou mode) concernant
le DTP. Ces états sont très importants à connaitre car selon le modèle de votre
switch, l’état par défaut n’est pas le même (je sais c’est aberrant mais c’est
comme ça).
Grâce au tableau ci-dessus, on voit que selon l’état choisi, le port “souhaite“,
“impose” ou “interdit” de monter un trunk, tout est une question de
négociation avec son voisin. Calculez les différentes possibilités et vous
trouverez le tableau suivant:
Les cases où il y a des “?” sont les cas où le comportement des 2 switchs est
incertain car la configuration est incohérente: d’un côté on configure le port
en Access et de l’autre en Trunk donc ça ne fonctionnera pas.

Configuration
Si l’état par défaut du port ne vous convient pas, vous pouvez configurer le
mode DTP comme bon vous semble.

Prenons l’exemple des switchs A et B connectés entre eux via leur port Fa0/1
respectifs. Configurons le switch A pour qu’il soit en mode dynamic desirable

Switch_A(config)# interface fastethernet 0/1

Switch_A(config-if)# shutdown

Switch_A(config-if)# switchport mode dynamic desirable

Switch_A(config-if)# no shutdown
Et sur le switch B, on configure le port Fa0/1 en mode auto:

Switch_B(config)# interface fastethernet 0/1

Switch_B(config-if)# shutdown

Switch_B(config-if)# switchport mode dynamic auto

Switch_B(config-if)# no shutdown
Au final, vérifions si le lien entre les 2 switchs monte bien en Trunk (regardons
sur le switch A):

Switch_A# show interfaces fastethernet 0/1 trunk

Port Mode Encapsulation Status Native vlan

Fa0/1 desirable 802.1q trunking 1

Port Vlans allowed on trunk

Fa0/1 1,1002-1005
Port Vlans allowed and active in management domain

Fa0/1 1,1002-1005

Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1,1002-1005
On remarque que le port Fa0/1 est bien en status trunking, ce qui veut dire
que le lien entre les 2 switchs est bien en Trunk!

Explication:

 le switch A est en mode dynamic desirable donc il envoi des

invitations au switch B pour monter un lien Trunk;
 le switch B est en mode dynamic auto donc il attend une invitation
de son voisin, qu’il reçoit d’ailleurs. Une fois recue, il active le trunk
et répond au switch A;
 le lien Trunk monte entre les 2 switchs!
Remarque: on aurait mis le mode dynamic auto des 2 côté, cela n’aurait pas
fonctionné car chacun aurait alors attendu une sollicitation de son voisin. On
peut toujours attendre longtemps…

Important
Comme dans tout protocole, le bug ou le plantage existe, ce qui a pour
conséquence qu’un lien entre 2 switchs peut ne pas monter en Trunk et donc
basculer en mode Access. La conséquence est que les trames utilisateurs
taguées avec leur VLAN ne peuvent plus passer par ce lien. Grosso modo, on
coupe la communication réseau.

Il est donc fortement conseillé de désactiver le DTP et de forcer le lien

Trunk entre 2 switchs. Je sais, vous allez me dire “alors pourquoi avoir créé ce
protocole?“. Il est relativement ancien mais doit tout de même être compris
pour le CCNA. Mon conseil reste le forcage en statique d’une configuration
Trunk entre 2 switchs dont voici la configuration:

Switch_A(config)# interface fastethernet 0/1

Switch_A(config-if)# shutdown

Switch_A(config-if)# switchport mode trunk

Switch_A(config-if)# switchport nonegociate

Switch_A(config-if)# no shutdown
Idem sur le switch B. Avec ces commandes, vous forcez le trunk (mode trunk)
de par et d’autre et vous désactivez l’envoi d’invitation au voisin
(nonegociate), donc vous désactivez le DTP. Au moins, vous maitrisez votre
réseau et son comportement!
Introduction à OSPF
8

OSPF (Open Shortest Path First) est un protocole de routage d’état de liaison
(Link State). Parce que c’est un standard ouvert, il est mis en œuvre par
une variété de fournisseurs de réseau (dont Cisco). OSPF fonctionnera sur la
plupart des routeurs qui ne sont pas nécessairement des routeurs Cisco,
contrairement au protocole EIGRP qui peut être exécuté uniquement sur les
routeurs Cisco.

Quelques caractéristiques d’OSPF

 protocole de routage classless (sans classe) qui prend en charge
le VLSM, le CIDR, le résumé manuel de routes, les mises à
jour incrémentielles, l’équilibrage de charge à coût égal…
 utilise un seul paramètre comme métrique, à savoir le coût de
l’interface (Cost)
 distance administrative des routes OSPF est, par défaut, 110. Je
vous invite a lire l’article suivant sur la distance
administrative : https://reussirsonccna.fr/distance-administrative-
et-metrique/
 utilise les adresses de multidiffusion
(multicast) 224.0.0.5 et 224.0.0.6 pour les mises à jour de
routage.
Comment OSPF fonctionne?
Les routeurs exécutant OSPF doivent établir des relations de
voisinage (neighbor adjacency) avant d’échanger des routes. Comme OSPF
est un protocole de routage d’état de liaison (Link State), les voisins
n’échangent pas de tables de routage. Au lieu de cela, ils échangent des
informations sur la topologie du réseau. Chaque routeur OSPF exécute
ensuite l’algorithme SPF (Shortest Path First – Chemin le plus court) pour
calculer les meilleures routes et les ajoute à la table de routage. Étant donné
que chaque routeur connaît la topologie complète d’un réseau, la probabilité
d’une boucle de routage est minime.

Chaque routeur OSPF stocke les informations de routage et de topologie dans

trois tables :

 Table de voisins (Neighbor table) – stocke des informations sur les

voisins OSPF
 Table de topologie (Topology table) – stocke la structure de
topologie d’un réseau
 Table de routage (Routing table) – stocke les meilleurs itinéraires

Comment connaitre les voisins OSPF?

Les routeurs OSPF doivent établir une relation de voisinage avant
d’échanger des mises à jour de routage. Les voisins OSPF sont
dynamiquement découverts en envoyant des paquets Hello sur chaque
interface OSPF sur un routeur. Les paquets Hello sont envoyés à l’adresse IP
de multidiffusion 224.0.0.5.

Le processus est expliqué dans la figure suivante:

Les routeurs R1 et R2 sont directement connectés. Une fois OSPF activé, les
deux routeurs envoient des paquets Hello les uns aux autres pour établir une
relation de voisinage. Vous pouvez vérifier que la relation de voisinage a bien
été établie en tapant la commande:

show ip ospf neighbors

Voici le resultat sur le routeur R1:

Dans l’exemple ci-dessus, vous pouvez voir que l’ID du routeur voisin R2
est 2.2.2.2.

Chaque routeur OSPF reçoit un identifiant de routeur. Un identifiant de

routeur est déterminé en utilisant l’un des éléments suivants:

1. en utilisant la commande router-id sous le processus OSPF

2. en utilisant l’adresse IP la plus élevée des interfaces de bouclage
(loopback) du routeur
3. en utilisant l’adresse IP la plus élevée des interfaces physiques du
routeur

Quel est le contenu d’un paquet Hello?

Les champs suivants dans les paquets Hello doivent être identiques sur les
deux routeurs afin que les routeurs deviennent voisins :

 sous-réseau (subnet)
 id de zone (area ID)
 minuteurs d’intervalle morts (dead-interval) et hello
 authentification
 drapeau de bout de zone (area stub flag)
 MTU (Maximum Transmit Unit)
Par défaut, OSPF envoie des paquets hello toutes les 10 secondes sur un
réseau Ethernet (intervalle Hello). Une minuterie morte (dead timer)
correspond à quatre fois la valeur de l’intervalle Hello, donc si un routeur
sur un réseau Ethernet ne reçoit pas au moins un paquet Hello d’un voisin
OSPF pendant 40 secondes, les routeurs déclarent que ce dernier est “non
fonctionnant” (down).

Quels sont les états possibles des voisins OSPF?

Avant d’établir une relation de voisinage, les routeurs OSPF doivent passer
par plusieurs changements d’état. Ces états sont expliqués ci-dessous.

1. État init – un routeur a reçu un message Hello de l’autre routeur

OSPF
2. État 2-way – le voisin a reçu le message Hello et a répondu avec un
message Hello de son propre
3. État Exstart – début de l’échange LSDB entre les deux routeurs. Les
routeurs commencent à échanger des informations sur l’état des
liens.
4. État Exchange – Les paquets DBD (Database Descriptor) sont
échangés. Les DBD contiennent des en-têtes LSA. Les routeurs
utiliseront cette information pour voir quels LSA doivent être
échangés.
5. État Loading – un voisin envoie des LSR (Link State Requests) pour
chaque réseau qu’il ne connaît pas. L’autre voisin répond avec les
LSU (Link State Updates) qui contiennent des informations sur les
réseaux demandés. Après que toutes les informations demandées
ont été reçues, l’autre voisin passe par le même processus
6. État Full – les deux routeurs ont la base de données synchronisée et
sont complètement adjacents l’un à l’autre.

Zones/area OSPF, kesako ?

OSPF utilise le concept de zones (area). Une zone est un regroupement
logique de réseaux et de routeurs contigus. Tous les routeurs dans la même
zone ont la même table de topologie, mais ils ne connaissent pas les routeurs
dans les autres zones. Le principal avantage de la création de zones est que
la taille de la topologie et la table de routage d’un routeur sont réduites,
qu’il faut moins de temps pour exécuter l’algorithme SPF et que les mises à
jour de routage sont également réduites.

Chaque zone du réseau OSPF doit se connecter à la zone de

backbone (area 0). Tous les routeurs à l’intérieur d’une zone doivent avoir
le même ID de zone pour devenir des voisins OSPF. Un routeur qui a des
interfaces dans plus d’une zone (zone 0 et zone 1, par exemple)
s’appelle Area Border Router (ABR). Un routeur qui connecte un réseau
OSPF à d’autres domaines de routage (réseau EIGRP, par exemple)
s’appelle Autonomous System Border Routers (ASBR).

REMARQUE – dans OSPF, le résumé manuel des routes n’est possible que sur
les ABR et les ASBR.

Pour mieux comprendre le concept de zones, prenons l’exemple suivant:

  Tous les routeurs exécutent OSPF. Les routeurs R1 et R2 sont à
l’intérieur de la zone backbone (zone 0).
 Le routeur R3 est un ABR car il possède des interfaces dans deux
zones différentes, à savoir la zone 0 et la zone 1.
 Le routeur R4 et R5 sont dans la zone 1.
 Le routeur R6 est un ASBR, car il connecte le réseau OSPF à un
autre domaine de routage. (EIGRP dans ce cas).
Si le sous-réseau directement connecté du R1 échoue, le routeur R1 envoie la
mise à jour de routage uniquement à R2 et R3, car toutes les mises à jour
de routage sont toutes localisées dans la zone.

REMARQUE – le rôle d’un ABR consiste à annoncer des résumé de routes

aux zones voisines. Le rôle d’un ASBR est de connecter un domaine de
routage OSPF à un autre réseau externe (par exemple Internet, EIGRP …).

LSA, LSU et LSR… dérivés du LSD?

Les annonces LSA (Link-State Advertisments) sont utilisées par les routeurs
OSPF pour échanger des informations de topologie. Chaque LSA contient des
informations de routage et de topologie pour décrire une partie d’un réseau
OSPF. Lorsque deux voisins décident d’échanger des routes, ils envoient
mutuellement une liste de tous les LSA de leur base de données de topologie
respective. Chaque routeur vérifie ensuite sa base de données de topologie et
envoie un message LSR (Link State Request) demandant tous les LSA
introuvables dans sa table de topologie. L’autre routeur répond avec
la LSU (Link State Update) qui contient tous les LSA demandés par l’autre
voisin.

Le concept est expliqué dans l’exemple suivant:

Après avoir configuré OSPF sur les deux routeurs, les routeurs échangent des
LSA pour décrire leur base de données de topologie respective.

1. Le routeur R1 envoie un en-tête LSA pour son réseau directement

connecté 10.0.1.0/24.
2. Le routeur R2 vérifie sa base de données de topologie et détermine
qu’il ne dispose pas d’informations sur ce réseau. Le routeur R2
envoie alors un message de demande d’état de liaison demandant
des informations supplémentaires sur ce réseau.
3. Le routeur R1 répond avec Link State Update qui contient des
informations sur le sous-réseau 10.0.1.0/24 (adresse hop suivant,
coût …).
Voila pour la premier chapitre d’introduction sur le protocole OSPF. A très
bientôt pour la suite de ce protocole qui est le plus utilisé au monde des
réseaux LAN… si si je vous assure!
Distance Administrative vs
Métrique – Kezako?
6

Comment le routeur choisi un itinéraire s’il

apprend la même route par des routeurs voisins
utilisant des protocoles de routage différent ?
La distance administrative :

Un réseau peut utiliser plusieurs protocoles de routage, et les routeurs

peuvent avoir des informations à propos d’une route à partir de plusieurs
sources. Les routeurs doivent alors trouver un moyen pour choisir
la meilleure route, et c’est ici qu’intervient la notion de distance
administrative (AD).

La distance administrative est utilisée par les routeurs pour déterminer quel
est le meilleur itinéraire. A chaque route est associé un numéro de distance
administrative, et plus ce numéro est bas, plus la route est considérée fiable ;
en conséquent ce sera celle empruntée par le routeur pour acheminer le paquet
IP de l’utilisateur.
 Protocole de routage Distance administra ve

Directement connecté 0

Route statique 1

EIGRP interne 90

OSPF 110

RIP 120

EIGRP externe 170

Inconnu 255

Répertoire des valeurs par défaut de la distance administrative

Exemple:

Par exemple, si la même route est apprise à partir de RIP (Routing

Information Protocol) et par EIGRP externe (Enhanced Internal Gateway
Routing Protocol), le routeur Cisco choisit l’itinéraire RIP parce que les
routes RIP ont, par défaut, une distance administrative de 120, alors que la
route EIGRP externe a une distance administrative plus élevée de 170.

On trouvera alors l’Entrée RIP dans la table de routage:

Pour information, la valeur AD est une valeur qui peut etre modifier au besoin
par l’administrateur. Pour cela, rien de plus simple:

R1(config)#router rip

R1(config-router)#distance 190
Et voila les routes EIGRP externe qui seront désormais préférées aux routes
RIP car elles ont une meilleure AD (170 versus 190).

Comment le routeur choisi un itinéraire s’il

apprend la même route par des routeurs voisins
utilisant le même protocole de routage ?
La métrique:

Si un routeur apprend deux routes différentes pour le même réseau à partir

du même protocole de routage, il doit décider quelle route est la meilleure et
par conséquent laquelle sera placée dans la table de routage. La métrique
est utilisée pour déterminer quelle route est la meilleure, elle correspond à la
« distance » qui sépare un routeur d’un réseau de destination.

Chaque protocole de routage utilise sa propre métrique. Par exemple, RIP

utilise le nombre de sauts IP nécessaires pour atteindre le réseau de
destination, tandis qu’OSPF utilise un coût numérique qui correspond à la
bande passante dans les liens franchis.

Protocole de routage Métrique u lisée

RIP Sauts IP

EIGRP Retard de la bande passante

OSPF Coût

Exemples de métrique utilisée par certains protocoles de routage.

Exemple:

L’exemple suivant explique comment RIP calcule sa métrique et pourquoi une

route est choisie par rapport à une autre.

RIP a
été configuré sur tous les routeurs. Le routeur 1 a deux chemins pour
atteindre le sous-réseau 10.0.0.0/24.

Une route passe par le routeur 2 tandis que l’autre passe par le routeur 3
puis par le routeur 4. Comme le RIP utilise le nombre de sauts comme
métrique, le chemin d’accès via le routeur 2 est choisi car le sous-réseau
n’est distant que d’un seul routeur (cf schema ci-dessous). L’autre chemin
aura une métrique supérieure de 2, car le sous-réseau est à deux routeurs.

Notez bien que l’exemple ci-dessus peut être utilisé pour illustrer un
inconvénient de l’utilisation de RIP comme protocole de routage. Imaginez si
le premier chemin à travers R2 était le lien modem 56k, tandis que l’autre
chemin est un lien WAN à grande vitesse. Le routeur R1 choisirait toujours le
chemin à travers R2 comme meilleure route, car RIP utilise uniquement le
nombre de sauts comme métrique.

Mais ça c’est une autre histoire que nous détaillerons une prochaine fois 🙂
Espionnez ses voisins avec CDP
:)
En voilà un protocole super utile ! Et on peut dire chapeau à Cisco de l’avoir
créé !

Certains diront que j’en fais un peu trop sur Cisco mais il faut avouer que ce
protocole est d’une utilité grandiose quand on débarque sur un réseau inconnu.
Et pour preuve, une norme découle de ce protocole pour l’interopérabilité, le
LLDP – Link Layer Discovery Protocol.

Imaginez: vous êtes en console ou en telnet sur un routeur et vous vous

demandez quel est le port connecté au switch voisin et même vous aimeriez
bien savoir quel est le port du switch en question. Comment faire? à part
connaitre l’architecture par coeur ou avoir un schéma réseau sous la main, il
n’y a pas de solution. Sauf si vous êtes en présence de routeur et switch Cisco
!

Définition
Le CDP – Cisco Discovery Protocol, permet de découvrir ses voisins directs en
envoyant régulièrement des messages sur tous les ports de l’équipement. Si le
voisin est du Cisco, il vous répondra, sinon vous saurez que ce n’est pas du
Cisco en face 🙂

Ce protocole fonctionne sur la plupart des équipements Cisco, que ce soit un

routeur, switch, borne WiFi, téléphone IP… et j’en passe.

Faire attention, c’est un protocole de niveau 2 point à point –> On découvre

ses voisins directs, pas les voisins de mon voisin.

Par défaut, le protocole est actif sur tous les ports, pour le désactiver, il y a 2
possibilités:

 désactivation totale

Switch_A(config)# no cdp run

Switch_A(config)# end

 désactivation par port

Switch_A(config)# interface FastEthernet 0/1

Switch_A(config-if)# no cdp enable

Switch_A(config-if)# end

Fonctionnement
Pas grand chose à savoir si ce n’est la commande suivante pour visualiser ses
voisins:

Switch# show cdp neighbors

Capability Codes: R - Router, T - Trans Bridge, B - Source Route

Bridge S - Switch, H - Host, I - IGMP, r – Repeater

Device ID Local
Intrfce Holdtme Capability Platform Port ID

SW_B Fa0/1 129 S 2900 Fa

0/8

SW_C Fa0/2 144 S 2900 Fa

0/8

Switch#
Que nous dit cette commande? et bien que:

 notre Switch est connecté via le port Fa0/1 à un équipement

nommé SW_B sur son port Fa0/8;
 notre Switch est connecté via le port Fa0/2 à un équipement
nommé SW_C sur son port Fa0/8;
que la Capability de ces 2 équipements est “S“, en regardant la

légende, on sait que ce sont 2 switchs.
Remarque pour le CCNA: la question typique est “qui est connecté à qui et
comment?“

Il faut faire attention à la seconde colonne “Local Intrfce” qui identifie

l’interface de votre switch et pas celle de votre voisin (erreur classique car
juste à côté du nom). Celle du voisin est précisée dans la dernière colonne
“Port ID“.

Maintenant, j’aimerais en savoir un peu plus sur ces switchs voisins, je tape la
même commande mais avec la variable detail à la fin:
Switch# show cdp neighbors detail

-------------------------

Device ID: SW_B

Entry address(es):

IP address: 192.168.1.2

Platform: cisco 2950,

Capabilities: Switch

Interface: FastEthernet0/8, Port ID (outgoing port):

FastEthernet0/1

Holdtime : 123 sec

Version :

Cisco Internetwork Operating System Software IOS (tm) 2900

Software (C2950), Version 12.2(3) Copyright (c) 1986-2002 by
Cisco Systems, Inc.

advertisement version: 2 Duplex: full

-------------------------

. . .

Switch#
Et là, c’est le miracle! On connait quasiment tout sur notre voisin:

 son nom: SW_B

 l’adresse IP de management (pratique pour faire un telnet):
192.168.1.2
 le type d’équipement: switch Catalyst 2950
 la version de l’IOS installé dessus (ça c’est fort!): 12.2(3)
 …
Je n’ai pas mis la suite mais on a les mêmes informations pour SW_C, c’est à
dire nom, adresse IP…
Donc pour le CCNA, soyez à l’aise avec ce protocole car vous aurez des
impressions d’écrans vous demandant de détailler le contenu (qui est
connecté à qui et comment) ou vous aurez un TP avec une console à
disposition où il faudra utiliser le CDP pour identifier vos voisins.
Utilité de la commande
Traceroute
2

L’utilité de la commande Traceroute :

Traceroute est une fonction en ligne de commande (Command-Line Interface

ou CLI). Le but de cette fonction est d’identifier le chemin emprunté par un
paquet de données pour arriver à sa destination.

La commande Traceroute est très utile dans le diagnostic des problèmes de

réseaux parce qu’elle permet d’identifier à quel niveau se situe le problème.

Similaire à la commande Ping quant à l’emploi des paquets ICMP (Internet

Control Message Protocol), elle en diffère néanmoins par sa capacité à
identifier exactement le routeur responsable du problème. Typiquement je
veux savoir quel routeur s’amuse à supprimer les paquets que j’envoi pour
atteindre ma destination 🙂

Comment fonctionne la commande Traceroute ?

Le principe de la commande Traceroute est le suivant : elle envoie une série

de paquets ICMP ECHO Request vers une destination. Les premiers paquets
ICMP envoyés ont un paramètre Temps De Vie (Time To Live TTL) fixé à 1, ce
qui signifie que le premier routeur sur le chemin va émettre un paquet ICMP
d’erreur avec le message Time To Live Exceeded envers la source.
Rappel: La valeur TTL d’un paquet est décrémenté de 1 à chaque traversée
d’un routeur. Cela évite que des paquets tournent indéfiniment dans un
reseau.

Les paquets suivants sont ont un paramètre TTL est de plus en plus grand
(augmenté d’un à chaque fois) jusqu’à ce que le paquet arrive finalement à
sa destination et qu’un ICMP ECHO message soit reçu.

Et c’est à travers ces différents ICMP messages reçus que tous les routeurs
sur un chemin peuvent être identifiés car le routeur envoi a la source un
message ICMP d’erreur qui contient entre autre l’adresse IP du routeur.

Commande sous Windows et Unix :

Sous Windows la commande Traceroute est accessible en utilisant

l’utilitaire tracert.

Sous Unix et Cisco IOS elle est accessible en utilisant la

commande traceroute.

La commande Traceroute sous Unix est légèrement différente de son

homologue sous Windows parce qu’elle utilise des paquets UDP (User
Datagram Protocol) avec d’importants numéros de ports de destination.

Elle utilise également des TTL, tout comme son homologue sous Windows,
afin d’identifier les adresses IP appartenant aux routeurs intermédiaires.
Quand un paquet arrive à sa destination finale, le message ICMP port
unreachable est envoyé.

La commande tracert sous Windows.

Adresse IP publique versus
adresse IP privée
7

Dans le chapitre précédent (IP ou le petit village du sud-ouest), nous avons

vu:

 A quoi sert une adresse IP

 La définition de l’entête IP
 La décomposition de l’adresse IP
 La définition des classes d’adresses IP
 Les masques par défaut
Maintenant, nous allons creuser un peu plus loin les classes d’adresses IP (A,
B et C) avec la notion d’adressage privé et d’adressage publique.

Rappelez-vous, toutes les adresses IP ont été mises dans des classes (cf
chapitre précédent) et ces dernières ont une taille plus ou moins grande en
fonction du nombre d’adresses IP qu’elles contiennent.

En plus des classes, la notion “privée | publique” est apparue: l’objectif était
de différencier les adresses IP qui allaient rester internes à l’entreprise (par
exemple, je ping mon imprimante réseau) des adresses IP qui allaient
“voyager” jusqu’à l’autre bout de la planète (par exemple je vais
sur www.cisco.com).

Adresse publique
 Une adresse IP dite “publique” est une
adresse qui est unique au niveau mondial et qui est attribuée à une seule
entité. Par exemple, je sais que l’adresse IP 198.133.219.25 est celle du
constructeur Cisco et que seul Cisco a le droit de l’utiliser.

Et pour preuve, ouvrez un browser (Chrome, Firefox, Safari…) et au lieu de

taper http://www.cisco.com, tapez http://198.133.219.25 et vérifiez !
Vous voyez, je ne dis pas que des bêtises (enfin pas tout le temps).

Ces adresses IP publiques sont présentes dans les trois classes A, B et C.

Pourquoi pas dans la classe D et E? Parce que la classe D est réservée pour
les adresses multicast et la classe E est une classe de test, jamais utilisée.

Chez vous, votre Box a une adresse IP dite “publique” et elle vous permet
d’accéder à tout le contenu sur Internet, j’y reviens un peu plus loin dans cet
article. Mais d’abord, regardons ce qu’est une adresse IP privée…

Adresse privée

Une adresse IP dite “privée” est une adresse

qui n’est pas unique au niveau mondial et donc qui peut être attribuée à
plusieurs entités en même temps. La restriction pour que cela soit autorisé
est qu’une adresse IP privée ne peut pas sortir vers l’extérieur ou plus
simplement ne peut pas sortir sur Internet.

Et comment on fait pour interdire une adresse IP privée de se balader sur

Internet ? Vous, vous ne pouvez pas, en revanche, c’est l’opérateur qui
supprime toute adresse IP privée dés que ses routeurs Internet en voient
passer une.

Bon ok, mais comment est-il possible que 2 ordinateurs puissent avoir la
même adresse IP? Vous vous êtes jamais demander pourquoi chez vous,
votre adresse IP ressemble à 192.168.0.xx et quand vous êtes chez un ami,
l’adresse IP de son ordinateur est aussi en 192.168.0.xx ?

C’est simple, l’équipement qui va faire la frontière entre l’adressage IP privé et

publique, c’est le routeur ou votre Box si vous préférez. Votre Box va
intercepter vos paquets IP qui aimeraient sortir sur Internet. Par exemple
quand vous ouvrez un browser avec http://www.google.fr , la Box va modifier
le champ “adresse IP source” de votre paquet IP en mettant son adresse
IP, qui elle est publique et donc unique!

1. Premièrement, l’opérateur ne supprimera pas le paquet car il

contient une adresse publique et non privée
2. Deuxièmement le destinataire (dans mon exemple Google) pourra
vous répondre car cette adresse IP est unique car publique. On
saura retrouver l’émetteur (votre Box)!
Lorsque le paquet retour arrivera à votre Box, votre Box va faire l’opération
inverse en remplaçant dans le paquet IP son adresse IP publique par votre
adresse IP privée.

Chez votre ami, sa Box fait de même avec les paquets IP qui sortent de son
ordinateur sauf que l’adresse IP publique de sa Box est différente de votre Box.
Chaque paquet (le votre et celui de votre ami) reviendront vers leur Box
respective.

Revenons sur l’exemple du chapitre précédent avec le petit village du sud-

ouest. L’adresse postale était “13 rue Dupont“. Et bien, il en existe beaucoup
des “13 rue Dupont” en France et pourtant les lettres postales arrivent bien
à destination sans intervertir les destinataires. C’est pareil avec l’adresse
IP.

Ce mécanisme de changement d’adresse se nomme NAT – Network Address

Translation. Nous reverrons plus en détail le mécanisme de NAT et aussi
de PAT – Port Address Translation dans un chapitre dédié.

Ok, c’est cool mais à quoi ça sert au final d’avoir des adresses privées, autant
mettre que des adresses publiques, non? Oui on pourrait sauf qu’on est limité
au niveau mondial sur le nombre d’adresse IP alors autant qu’une partie de ces
adresses puissent être utilisées en même temps par plein d’ordinateurs, ça fait
une belle économie non? C’est d’autant plus vrai qu’aujourd’hui, il n’y a
quasiment plus d’adresses IP publique version 4 disponibles… les classes A,
B et C sont vides! On est obligé désormais d’utiliser des adresses IP version
6.

Définition des adresses privées

Il y a des adresses privées dans chacune des classes A, B et C. L’avantages est
qu’avec le masque par défaut de chaque classe, on a a disposition une plage
d’adresse IP privée qui peut varier:

 16 millions adresses (classe A)

 65534 adresses (classe B)
 254 adresses (classe C)
En fonction de notre besoin, on pioche dans la plage qui va bien 🙂
Et un petit Mind pour les révisions, cliquez sur l’image pour l’agrandir et
la sauvegarder !

A retenir pour le CCNA

Alors que faut-il retenir dans ce chapitre pour le CCNA:

 une adresse IP publique est unique au niveau mondial

 une adresse IP privée n’est pas unique donc on peut l’assigner
à plusieurs entités en même temps
 La fonction NAT permet de basculer d’une adresse IP privée (votre
ordinateur) vers une adresse IP publique (votre Box) et inversement
 Apprendre le Mind par coeur
Architecture WiFi
2

Dans ce chapitre, nous allons voir les deux architectures que l’on peut mettre
en place: ad-hoc ou infrastructure et le type de configuration des
bornes d’accès: lourde ou légère.

Rappel: borne d’accès = AP = Access Point

Auparavant, il est important de comprendre comment un client Wi-

Fi s’associe à une borne sans fil. En effet, il faut bien que la borne d’accès
sache qu’un nouveau client s’est “associé” à elle afin de permettre une
communication bi-directionnelle. De même, côté client il faut savoir sur quelle
borne d’accès on est “associé” dans le cas où plusieurs AP sont présentes (ce
qui est généralement le cas dans une entreprise).

Association ou la recherche de la pizzeria

Comment se passe une association entre un client et une AP ?

Le déroulement d’une association est le suivant:

 chaque borne d’accès envoie régulièrement dans les airs des

messages avertissant sa présence. Ce message s’appelle
une balise ou un “beacon” en anglais. Ce message contient plusieurs
informations comme le SSID (le nom du réseau WiFi), les débits
supportés par la borne, la sécurité mise en place… Ce beacon est
envoyé par la borne sur un et un seul canal qu’elle a choisi au
préalable
 le client Wifi analyse tous les canaux et récupèrent les messages
beacons de toutes les bornes d’accès environnantes
 le client Wifi choisi le beacon le plus intéressant (avec le SSID
souhaité, borne la plus proche, sécurité compatible…) et fait
une demande d’association à la borne d’accès en question
 si tout se passe bien, client et borne d’accès peuvent communiquer
entre eux. Le client récupère une adresse IP et peut alors surfer sur
le réseau interne et Internet
Prenons un exemple dans la vraie vie pour faire une comparaison: vous avez
faim, très faim et une subite envie de pizza envahit votre cerveau.

Que faites-vous? Vous prenez les pages jaunes (oui

je suis old school…) et cherchez une pizzeria. Parmi les résultats, vous avez
toutes sortes d’enseigne: PizzaHut, Pizza Pino, Dominos Pizza… Vous décidez
de choisir PizzaHut.

Première analogie avec le WiFi: le nom “PizzaHut” correspond au SSID de la

borne Wifi.

Maintenant, vous cherchez le PizzaHut de votre quartier. Parmi les 4 résultats

des pages jaunes, vous sélectionnez logiquement celui le plus proche de
vous.

Seconde analogie avec le WiFi: cette information (distance de la pizzeria par

rapport à chez vous) qui vous a permis de choisir telle ou telle pizzeria est une
information contenue dans le message beacon !

En WiFi, c’est la même chose, on regarde autour de nous, on choisi un SSID

sur lequel on souhaite se connecter puis la meilleure borne (distance) qui
propose ce SSID.

Remarque: si vous vous déplacez avec votre client Wi-Fi, vous vous éloignez
de la borne d’accès donc le signal sera de plus en plus faible. Votre client
Wi-Fi analyse régulièrement tous les canaux à la recherche de beacons
d’autres bornes d’accès pour éventuellement s’associer à une borne plus
proche ayant le même SSID, on appelle ça le “roaming“. L’objectif étant de
basculer d’une borne vers une autre sans couper les
communications réseau. Plutôt utile lorsque vous utilisez une téléphone VoIP
sur Wi-Fi, vous n’avez pas trop envie que le réseau coupe votre conversation
alors que vous venez juste de passer de sortir de votre bureau pour aller à la
cafétéria 🙂
Les différents modes d’architecture
Dans un réseau sans fil, il existe deux types d’architecture que l’on peut mettre
en place:

1. le mode ad-hoc
2. le mode infrastructure
Bien que le mode ad-hoc soit peu utilisé en entreprise, il est crucial de le
connaitre pour le CCENT/CCNA.

1. Mode ad-hoc

Le mode ad-hoc a la particularité de

fonctionner sans l’intervention d’une borne d’accès. Les clients, par exemple
deux ordinateurs portables, communiquent directement entre eux. On parle
aussi de communication point à point (point-to-point).

L’avantage non des moindres et que quasiment tous les équipements sans fil
peuvent fonctionner en mode ad-hoc. Vous avez besoin de transmettre
des données d’un smartphone à un autre, pas de problème, utilisez le mode
ad-hoc pour créer un mini-réseau point à point entre vos deux smartphone et
le tour est joué !

Ce mode s’appelle IBS – Independent Basic Service Set

2. Mode Infrastructure
Le mode infrastructure à contrario du mode ad-hoc, fonctionne
par l’intermédiaire d’au moins une borne d’accès. Les clients sans fil,
ordinateurs portables, smartphones… s’associent à la borne d’accès puis
envoient leur données à la borne qui se charge de les transmettre aux bonnes
destinations.

Dans le mode infrastructure, il existe deux sous-mode (ça commence à se

compliquer… 🙂 ):

1. mode BSS – Basic Service Set

2. mode ESS – Extended Service Set
Rien de bien méchant sur ces deux modes, vous allez comprendre tout de suite
leur différence. Là on nage dans de la pure théorie qu’affectionne Cisco 🙂

Basic Service Set

Dans ce mode, on utilise qu’une seule borne d’accès. C’est tout! Simple non?

Extended Service Set

Et dans ce mode, on utilise au minimum deux bornes d’accès, voir des
dizaines ou centaines. La différence d’être dans ce mode est que les clients
peuvent effectuer du roaming en passant d’une borne vers une autre sans
couper la communication réseau.

Je vous l’avez dit, on nage dans de la pure théorie… alors pourquoi en parler?
Parce que c’était dans l’ancienne version du CCNA 🙂

Maintenant qu’on sait à peu prés à quoi va ressembler l’architecture, regardons

la configuration des bornes d’accès. Selon la configuration de ces dernières, on
parle de bornes lourdes ou légères…

Borne d’accès lourde ou légère

Le terme “lourd” ou “léger” n’est pas d’une fine subtilité mais provient de la
traduction semi-erronée des termes anglais “standalone” et “lightweight“.

Que vous soyez dans une architecture en mode BSS (Basic Service Set)
ou ESS (Extended Service Set), vous avez deux possibilités pour configurer
vos bornes d’accès:
 1. configurer la borne en mode lourd ou “standalone“
2. configurer la borne en mode léger ou “lightweight“

Borne lourde / Standalone

Historiquement lorsque les premières bornes d’accès ont vu le jour,

elles étaient en mode lourd/standalone, c’est à dire qu’au sein de
leur système d’exploitation se trouvait toute la configuration (comme un
IOS pour un switch ou routeur). Les trames utilisateurs étaient commutées par
la borne vers les bonnes destination.

Comme tout équipement réseau, il fallait se connecter en console ou

telnet/ssh/http à la borne pour lui configurer différents paramètres comme le
SSID (le nom de la pizzeria), le canal à utiliser, la puissance…

Vous allez me dire, oui et alors ?

Le souci est qu’avec le temps, l’architecture Wifi a évoluée et les clients ont
des besoins de couverture sans-fil qui peuvent être très large. Par exemple, le
Wifi doit disponible dans tous les bâtiments et à l’extérieur (parking).
Cela nécessite l’installation de centaines de bornes d’accès. Imaginez que vous
devez vous connecter en console à 300 bornes pour leur injecter la
configuration… rien que d’y penser je suis épuisé !

Les constructeurs ont alors pensé à un autre mode de configuration des

bornes… on appelle ça le mode de configuration centralisé, ou borne légère:
Borne légère / Lightweight

Le but de la borne légère est qu’elle fasse le lien entre une communication
sans-fil et le réseau filaire: d’un coté elle reçoit/envoi des trames dans les airs
pour les clients Wifi et de l’autre coté (elle est connectée à un switch)
elle reçoit/envoi des trames vers un boitier intelligent, le WLC – Wireless
LAN Controller. Ce boitier va contrôler à distance toutes les bornes d’accès et
c’est sur ce boitier que l’administrateur va se connecter. Toute la configuration
se trouve dedans et c’est le WLC qui va commuter/router les trames vers les
bonnes destinations et non plus les bornes !

Voila pourquoi on appelle ces bornes “légères” car elles contiennent très peu
de configuration.

Fonctionnement simplifié:

1. la borne démarre électriquement

2. son interface filaire va envoyer
une requête DHCP pour récupérer une adresse IP
3. une fois reçue, elle va contacter son WLC (on verra plus tard
comment elle connait l’adresse IP du WLC)
4. le WLC va lui envoyer sa configuration minimal avec tous
les paramètres au bon fonctionnement (SSID, puissance, canal…)
5. une fois configurée, la borne envoi tout le trafic des clients WiFi
au contrôleur qui se chargera de les envoyer vers les bonnes
destinations
Et voila, rien de plus simple pour installer et configurer les 300 bornes du client,
il faut juste un boitier WLC… 🙂
Remarque: si vous êtes en mode BSS (Basic Service Set) alors le WLC est
inutile car vous n’avez qu’une seule borne d’accès. A moins que vous soyez
riche… mais ça c’est une autre histoire.

Configuration de base d’une borne d’accès

Avant de rentrer dans la configuration avancée d’une architecture Wifi, retenez
la configuration de base suivante:

 attribuer une adresse IP, un masque et une passerelle à votre

borne d’accès
 activer le protocole sans-fil souhaité:
o 802.11b/g et|ou
o 802.11a
 si besoin, spécifiez le canal à utiliser en fonction du protocole (par
exemple, canal 1 à 13 pour le protocole 802.11b/g)
 si besoin, spécifiez la puissance d’émission de la borne d’accès
 créez un SSID (le nom de votre pizzeria)
 activer la sécurité associée au SSID: WEP, WPA, WPA2…
Et voila, vous venez de configurer un réseau WiFi qui est fonctionnel !

Configuration de base d’une client WiFi

Coté client, si vous êtes sous Windows alors vous avez à disposition un
outil intégré depuis Windows XP qui s’appelle “WZC – Wireless Zero
Configuration“. Cet outil vous permet de configurer rapidement votre
connexion au réseau WiFi.

Cet outil a cependant très peu d’options d’optimisation.

Cisco propose donc un outil qui va beaucoup plus loin dans les paramètres de
configuration coté client. C’est le Cisco SSC – Secure Services Client. Il
permet entre autre de prendre le contrôle de la connectivité réseau Wifi et
filaire. Parmi les options, il gère mieux la partie roaming entre deux
bornes d’accès.

Remarque: comme les bornes d’accès et les contrôleurs WLC Cisco ont
beaucoup de paramètres pour optimiser le WiFi, Cisco propose a ses
partenaires comme Intel, Broadcom… un programme d’amélioration qui certifie
que leur carte WiFi intègre les optimisations que propose Cisco. Cette carte est
alors certifiée compatible Cisco, cette certification s’appelle CCX – Cisco
Compatible eXtension. Et selon la version de CCX, on sait quelles sont
les fonctionnalités supportées par la carte.

 Pour voir la liste des clients compatibles avec

leur fonctionnalités: cliquez-ici !
 Pour voir les fonctionnalités possibles en fonction de la version
CCX: cliquez-ici !

Ce qu’il faut retenir

Pour l’ancien CCENT/CCNA, voici ce qu’il fallait retenir:

 l’association permet de créer une relation entre un client WiFi et une

borne d’accès
 2 modes d’architecture:
o mode ad-hoc: communication direct entre deux clients Wifi
sans l’utilisation de borne d’accès. Se nomme mode IBS –
Independent Service Set
o mode infrastructure: utilisation de borne d’accès. Il existe
2 sous-mode:
 mode BSS – Basic Service Set: utilisation d’une
seule borne d’accès
 mode ESS – Extended Service Set: utilisation
d’au moins deux bornes d’accès
 Type de borne:
o borne lourde ou standalone: contient la configuration en
interne. Se configure une par une
o borne légère ou lightweight: récupère sa configuration
minimal par un contrôleur WLC – Wireless LAN Controller
Introduction à la sécurité WiFi
2

Cette article n’est plus d’actualité pour le nouveau CCNA mais je pense qu’il
est intéressant pour la connaissance générale 🙂

Avec l’explosion du marché des téléphones mobiles mais surtout

des tablettes, le WiFi renaît de ses cendres.

Il y a quelques années, on pouvait trouver du

WiFi dans certaines entreprises mais franchement on trouvait surtout du
WiFi chez le particulier comme vous et moi.

Les entreprises ne voyaient pas trop l’avantage d’installer du WiFi dans leur
locaux du fait de la qualité assez faible de transmission, des pertes de
paquets, de la latence et pour couronner le tout, des failles de sécurité.
Alors non, pas beaucoup d’entreprises ne souhaitaient installer du WiFi dans
leurs locaux… mais ce n’était qu’une question de temps…

Le retour de la revanche de la contre

attaque
Il y a 2 facteurs qui ont ramené le WiFi sur le devant de la scène:

 le WiFi personnel avec les millions de box vendus aux citoyens qui
a inconsciemment poussé les entreprises à faire de même (ça craint
un peu qu’une entreprise soit moins bien lotie qu’un particulier…). Et
souvent ça venait des sphères hautes de l’entreprise: comme par
exemple le PDG qui ne comprend pas pourquoi il ne peut pas utiliser
son ordinateur portable en WiFi lorsqu’il est dans le sofa “Roche
Bobois” de son bureau… rigolez pas, c’est déjà arrivé. Et hop 4 mois
plus tard, une borne WiFi était installé dans son bureau… la magie de
l’autorité 🙂

 les tablettes… alors là, c’est devenu de la folie! Les entreprises

installe du WiFi dans tous les sens pour que n’importe qui
puissent accéder à Internet avec sa tablette. C’est véritablement la
vente des tablettes qui a fait revenir les projets WiFi chez les
intégrateurs. Merci qui? Apple, Samsung, Archos…
Et c’est même devenu une sorte de drogue car il est commun que lorsqu’une
personne réserve un hôtel pour ses vacances, elle regarde s’il y a du WiFi à
disposition, non? Vous ne l’avez jamais fait ?
Allez je ne vous en veut pas, on est tous un peu Geek sur les bords 🙂

Et la sécurité dans tout ça?

Avant tout, lisez/relisez le chapitre d’introduction du WiFi, vous y trouverez

des informations importantes pour le CCNA.

Qui pirate le WiFi?

Franchement, je peux clairement dire tout le monde!
Et oui, qui n’a jamais essayé de se connecter à une borne WiFi dans la rue,
chez les voisins, dans une entreprise, chez un client… et j’en passe.
Aujourd’hui, on essai d’avoir Internet sur son téléphone tout le temps. Alors
certes la 3G/4G permet ça mais clairement pas au débit du WiFi. Alors
quand on est chez quelqu’un notre portable bascule automatiquement sur une
liaison WiFi qui traîne par là, on ne sait jamais 🙂

Parmi ces personnes, une catégorie de gens

est appelée les “War Drivers“. Ce sont des personnes qui espionnent / se
baladent en voiture dans les rues à la recherche de WiFi “ouvert“, c’est à dire
de WiFi non protégé par un mot de passe. Puis ils établissent
une cartographie identifiant tous les WiFi gratuits en fonction de la
localisation.
Vous allez me dire que c’est débile car maintenant la 3G/4G est quasiment
partout. Oui c’est vrai mais ça ne l’était pas dans les années 2000.

Donc première mesure de sécurité; c’est interdire n’importe qui de

se connecter à son WiFi tout simplement en effectuant
une authentification (par un mot de passe par exemple) lors de la tentative
de connexion.

Il est intéressant de connaitre cette notion de “War Driver” car c’était une
question au précédent CCNA.
Est-ce que mes données sensibles sont plus
facilement accessibles en WiFi?
Quand on est dans un réseau filaire, votre ordinateur transmet vos données
sensibles sur le câble cuivre/optique, qui est physiquement connecté à un
switch, qui est lui même physiquement connecté à un autre switch… jusqu’au
routeur de sortie Internet.

Le fait qu’un pirate veuille vous dérober vos données (je parle ici de
piratage au niveau réseau et pas au niveau applicatif comme par exemple un
virus), il faut qu’il ait physiquement accès au câble, ou au switch. L’attaque
n’est pas si facile que ça il faut l’avouer.

En revanche, lorsque votre ordinateurs envoient ces mêmes données

sensibles mais cette fois par la carte WiFi, et bien vos données partent dans
les airs pour atteindre la borne WiFi qui se trouve 50 mètres plus loin.
Et c’est là où est tout le problème, les ondes radios partent dans tous les
sens, atteignant bien la borne WiFi mais atteignant aussi la carte WiFi du pirate
qui se trouve lui à 20 mètres de vous (mais si rappelez vous, votre collègue que
vous détestez).

Rien ne l’empêche d’installer un logiciel (par exemple Wireshark) qui prendra

le contrôle de sa carte WiFi et lui permettra de récupérer tous les paquets des
ondes radios que sa carte WiFi “voit” passer.
L’attaque est beaucoup plus simple et vous n’y voyez que du feu! Pas besoin
d’aller forcer un local technique pour installer un sniffeur réseau (toujours
Wireshark). La carte Wifi du pirate le fait très bien tout seul.

Donc deuxième mesure de sécurité pour protéger les données

sensibles: chiffrer les trames WiFi pour que lors du transport dans les airs
elles soient illisibles.

Est-ce que la disponibilité du WiFi est identique au

filaire?
Autre point important, surtout dans les entreprises, c’est la disponibilité
du service.
Imaginez-vous dans une salle de conférence avec le big boss en
visioconférence directement de New-York. Le vidéo projecteur communique
en Wifi et vous voyez la tête de votre patron sur un écran géant Et
puis PAF d’un coup, l’image saute ainsi que le son, vous ne voyez plus votre
patron (certains me diront la chance!).

Et tout ça parce que votre stagiaire s’est amusé à faire une attaque en déni
de service sur la borne WiFi qui fait le lien entre le réseau filaire et le vidéo-
projecteur. Moche le stagiaire…

Sauf que vous êtes le responsable de l’infrastructure IT de la compagnie.

Imaginez la réaction de votre parton à New-York… pensez à faire vos bagages,
cherchez une autre boite et au retour de votre boss, ce sera votre stagiaire qui
prendra votre place 🙂

Un des gros problèmes d’une infrastructure WiFi est la disponibilité. Il faut

mettre en place des mécanismes qui permettent de limiter les dégâts et
d’identifier les potentielles attaques et les contre-carrés, ou du moins les
atténuer.

Tous ces mécanismes font parti d’un système de protection qu’on appelle “W-
IDS” ou Wireless Intrusion Detection System.

Ce qu’il fallait retenir pour l’ancienne

version du CCNA
Il faut retenir les points suivants:

 On authentifie les ordinateurs/portables/tablettes qui souhaitent

utiliser le WiFi
 On chiffre les trames WiFi pour sécuriser les données qu’elles
transportent
 On met en place des mécanismes de détection d’intrusion pour
atténuer tous types d’attaques contre une infrastructure WiFi. Ces
mécanismes se nomment W-IDS, Wireless Intrusion Detection
System
Evolution de la sécurité WiFi
Dans le chapitre précédent, nous avons vu les 3 points importants sur
la sécurité WiFi:

 Authentification: il faut que le réseau identifie les entités qui

souhaitent utiliser le WiFi
 Chiffrement: il faut chiffrer les données WiFi pour les
rendre illisibles car l’interception de trames WiFi est très facile
à faire et très difficile à identifier et à géo-localiser
 Disponibilité: il faut protéger l’infrastructure contre
les attaques extérieures car aussi relativement facile à faire
Regardons en détail chacun de ces points, attention c’est un article long,
voir très long mais passionnant 🙂

Historique
La sécurité pour le WiFi a évolué avec le temps, allant
du paramétrage d’une simple clé WEP, au WPA pour aboutir à ce jour
au WPA2.

Nous allons détailler cette évolution pour en comprendre la finalité.

Filtrage par adresse MAC
Tout d’abord, pour sécuriser son réseau WLAN, il est tout à fait possible
de définir au sein de la borne WiFi une liste “blanche” d’adresses
MAC autorisées. On dit liste “blanche” pour une liste contenant des adresses
MAC légitimes. A contrario, une liste “noire” contiendra des adresses qui
seront considérées comme illégitimes et donc à interdire. D’où le terme de
site web Blacklisté car peu recommandable.

Vous remplissez cette liste blanche de toutes les adresses MAC des cartes Wifi
de vos ordinateurs portables, Iphone, Android, Ipad,
tablettes… uniquement ces adresses MAC auront le droit de
communiquer avec la borne Wifi. C’est aussi simple que ça !

Quels sont les inconvénients de cette liste blanche?

J’en vois deux importants:

1. il faut identifier toutes les adresses MAC qui seront autorisées.

Simple pour chez soi mais très dur à établir pour une entreprise
qui intègre des centaines voir des milliers d’équipements!
2. sans communiquer directement avec la borne d’accès, un pirate
peut écouter le trafic WiFi qui transite dans les airs. En écoutant ce
trafic, il peut récupérer assez facilement les adresses MAC qui
discutent avec la borne d’accès Il connait alors une adresse MAC qui
appartient à la liste blanche. Que va-t-il faire avec? Il
va usurper cette adresse MAC en la configurant sur sa propre carte
WiFi en utilisant un logiciel spécifique qui permet de changer
l’adresse MAC de sa carte réseau WiFi (cf photo ci dessous):

Le fait de récupérer toutes les adresses MAC pour les insérer dans une liste
blanche est aussi sécurisé que fermer une porte en laissant la clé sous
le paillasson. Personne ne peut ouvrir la porte jusqu’au moment où une
personne un peu futée soulèvera le paillasson 🙂
Donc on oublie le filtrage par adresse MAC dans le monde entreprise mais
on le retient comme étant une possible réponse pour le particulier.

Cacher le SSID

Sur certains bornes WiFi, vous avez la possibilité de cacher le SSID.

SSID, kezako? Le SSID – Service Set IDentifier – est l’identifiant de

votre WLAN. Lorsque vous souhaitez vous connecter à un WLAN, votre carte
WiFI vous affiche différents WLAN qui sont dans les alentours. Le nom de
chacun est appelé SSID. Et ce SSID est diffusé régulièrement dans les airs par
la borne pour avertir sa présence. Ce SSID est contenu dans un message
WiFi appelé un “Beacon” (ou “Balise” en français).

Vous pouvez activer une option pour que le SSID ne soit pas diffusé dans
les airs. Donc uniquement ceux qui connaissent exactement le nom de votre
WLAN peuvent se connecter en configurant manuellement le SSID dans leur
ordinateur portable.

Dans les contrôleurs WiFi de Cisco, cette option est appelée “Broadcast
SSID” et il faut la décocher comme sur l’image de droite.

Pour configurer un WLAN sur son ordinateur lorsque le SSID

est caché, sélectionnez “Manually create a network Profile” (exemple sur
Windows Seven anglais)
 Puis dans “Network Name” entrez le nom de votre SSID. Si vous avez
des paramètres de sécurité (WEP, WPA…), vous devez aussi les configurer.

Si je cache mon SSID alors suis-je vraiment sécurisé ? Et bien pas du tout !
🙂
Cacher son SSID permet de cacher votre WLAN pour la majorité des personnes
novices en WiFi et c’est déjà pas mal!

En utilisant un sniffeur comme Wireshark, vous pouvez récupérer les

trames échangées entre un client légitime et une borne d’accès. Et au sein
de ces trames se trouve la valeur du SSID. Donc en cherchant un peu,
vous trouverez très rapidement la valeur SSID du réseau qui se
veut être invisible 🙂

Il ne vous reste plus qu’a configurer manuellement le WLAN sur votre

ordinateur comme explique dans les images ci-dessus.

Idem, on oublie l’option de cacher le SSID dans le monde entreprise mais

on le retient comme étant une possible réponse pour le particulier.

NB: chez certains de mes clients, il cache le SSID dédié a la téléphonie.

Pourquoi pas…

Sécurisation WEP
On a une possibilité pour retreindre l’accès à la borne Wifi ainsi que
de rendre les communications illisibles entre clients légitimes et la
borne d’accès: c’est l’utilisation du chiffrement.

Si on définit un mot de passe commun entre les clients et la borne d’accès

alors seuls les clients qui connaissent le mot de passe peuvent transiter par la
borne WiFi. Ce même mot de passe va être utilisé pour chiffrer les trames
WiFi pour les rendre illisibles pendant le transport dans les airs.

La première application de cette notion de chiffrement pour le WLAN s’appelle

la clé WEP – Wired Equivalency Privacy. On définit un mot de passe qu’on
appelle (à tort) clé WEP et on la configure sur la borne d’accès et sur les clients
WiFi. Lors de la communication, seuls ceux qui ont la bonne clé WEP sont
acceptés par la borne.

Pour reprendre l’exemple de la porte d’une maison, c’est comme si la

borne d’accès était la porte de maison et la clé WEP était la clé de la serrure,
vous distribuez la clé de la serrure à chaque client légitime. Celui qui n’a pas
cette clé ne peut pas ouvrir la porte. Logique et efficace ! Même si on va voir
que ce n’est plus aujourd’hui une bonne solution de sécurité.

Remarque: beaucoup d’administrateurs ont la flegme de retenir le mot de

passe alors il arrive que la clé WEP soit inscris sur le dos de la borne Wifi ou
sur un post-it 🙂
Si on fait un schéma simplifié du fonctionnement du chiffrement utilisé pour
une clé WEP, ce serait le suivant:

Explications du schéma:

 clé secrète: c’est ici que vous définissez votre mot de passe
 IV pour Vecteur d’Initialisation: pour ajouter un peu plus de
complexité à votre mot de passe, l’ordinateur concatène à la clé
secrète un nombre aléatoire qui est calculé automatiquement
 Générateur: l’algorithme (ici RC4) va générer à partir de la clé
secrète et de l’IV une séquence de clé. Dites vous que c’est un
méga mot de passe 🙂
 Données utilisateur: ici se trouve les données utilisateur (la trame
Ethernet) à transférer dans les airs
 XOR: c’est la fonction logique “OU exclusif” qui prend la séquence
de clé et les données utilisateur et effectue un XOR entre eux
 Le résultat de ce XOR donne un message binaire dit “chiffré”
car incompréhensible
Une fois le XOR calculé, la carte Wifi envoi les données dans les airs en
encapsulant le message chiffré dans l’entête WiFi, ou
plus précisément dans l’entête 802.11 pour les puristes.

Vous remarquerez que l‘IV est ajouté en clair à coté du message chiffré.
C’est tout à fait logique: l’IV est calculé automatiquement par celui qui va
chiffrer le message, par exemple votre carte WiFi. Il faut bien que la
borne d’accès qui va recevoir ce message puisse le déchiffrer Et pour
le déchiffrer il lui faut 2 paramètres, la clé secrète que vous
avez configurée manuellement des deux cotés et l’IV que la carte WiFi du
client a généré automatiquement. Voila pourquoi l’IV est transmis en
clair, c’est pour le destinataire.
Important à comprendre: Le XOR est une fonction réversible:

 [séquence de clé] XOR [message en clair] = message chiffré

 [séquence de clé] XOR [message chiffré] = message en clair
Donc on voit bien que dés qu’on connait la séquence de clé alors on
peut déchiffrer un message chiffré !

Donc pour résumer:

 le chiffrement WEP est un protocole chargé du chiffrement des

trames et utilise l’ algorithme symétrique RC4
 la clé secrète a une longueur de 40 ou 104 bits.
 Cette clé secrète doit être déclarée au niveau du point d’accès et des
clients
 A cela s’ajoute 24 bits d’IV (d’où le fait que l’on voit souvent dans
les configuration, clé WEP de 40+24=64 bits ou 104+24=128
bits)

Pourquoi le WEP est considéré comme obsolète?

Aujourd’hui, on n’utilise plus le WEP car le fait que son IV n’ait une taille que
de 24 bits permet à des pirates de calculer toutes les possibilités de valeurs de
cet IV très rapidement. Et oui, 24 bits, ça ne fait “que” 2^24 possibilités et
avec les ordinateurs d’aujourd’hui, ça prends quelques secondes.
Pour ceux qui serait intéressés, je publierai un article pratique sur comment
casser une clé WEP en quelques minutes sous Windows. Avant il fallait le faire
sous Linux, jouer avec le driver du chipset de sa carte WiFi… maintenant, c’est
à la portée de tout le monde sous Windows 🙂
Pour ceux qui ne peuvent pas attendre, je vous invite à lire cet
article: http://www.tutofr.com/tutoriaux/tutorial-crack-wep-
aircrack.php

Avant de parler du chiffrement WPA et WPA2, il faut s’arrêter sur

une méthode d’authentification qui est inclue dans ces deux chiffrement: c’est
le standard 802.1x

Authentification 802.1x
Le standard 802.1x est une solution de sécurisation, mise au point par
l’IEEE en juin 2001, permettant d’authentifier (identifier) un utilisateur
souhaitant accéder à un réseau (filaire ou WiFi) grâce à un serveur
d’authentification. Ce serveur est souvent appelé Serveur RADIUS. De
plus cette authentification est mutuelle dans le sens où le client identifie aussi
le réseau dans lequel il entre.

Quand vous allez à la banque, vous allez dans une agence de votre banque
et pas dans une agence d’une autre banque, c’est pareil ici.

Le standard 802.1x repose sur des protocoles EAP (Extensible

Authentication Protocol) défini par l’IETF dont le rôle est de transporter les
informations d’identification des utilisateurs.

Pourquoi je précise “des” protocoles EAP?

Car en fonction de votre infrastructure, vous allez peut être vouloir mettre en
place une authentification des utilisateurs par un mot de passe, par
des certificats numériques, par des Token… ce sont des protocoles
EAP différents qui seront utilisés en fonction du mode
d’authentification souhaité:
  EAP-LEAP
 EAP-FAST
 EAP-PEAP
 EAP-TLS
 …
En cliquant sur l’image de droite pour l’agrandir, on peut voir la configuration
d’une carte WiFi en EAP-PEAP. En fonction du type d’authentification, vous
choisissez tel ou tel protocole EAP.

Fonctionnement du 802.1x
Le fonctionnement du standard 802.1x est en fait très simple malgré son nom
barbare:

1. Le client (votre ordinateur portable) se connecte en WiFi à la

borne d’accès
2. Cette borne d’accès est configurée pour appliquer le
standard 802.1x via le protocole EAP, la borne vous demande de
rentrer vos identifiants
3. Dans la fenêtre Windows qui s’est affichée, vous entrez vos
identifiants (par exemple: login = cyril et mode passe = toto)
4. Une fois que la borne a reçue vos identifiants, elle les transmet à un
serveur d’authentification, dit serveur RADIUS
5. C’est ce serveur qui va valider ou non vos identifiants. Supposons
qu’il accepte vos identifiants, il avertit la borne d’accès qu’elle peut
vous autoriser à entrer dans le réseau
6. Vous avez désormais accès au réseau et vous pouvez surfer sur
l’intranet et l’internet 🙂
Prenons un exemple dans la vraie vie pour faire un comparatif explicite:

 Après un vol international, vous débarquez de l’avion et arrivez

au contrôle d’immigration
 la personne vous demande de vous identifier en vous demandant
votre passeport, que vous lui donnez
 elle scan le passeport, votre identité est transmise à un serveur
qui vérifie si vous n’êtes pas sur une liste noire
 il vous rend le passeport et vous entrez officiellement dans le pays

Dans cet exemple on identifie les 3 composants relatif au standard 802.1x:

 le client (supplicant en anglais): c’est votre ordinateur portable qui

souhaite accéder au réseau (ou vous qui descendez de l’avion)
 la borne d’accès (authenticator en anglais): elle va vous demander
de vous identifier afin de laisser vos trames transiter dans le réseau
(c’est la personne du contrôle d’immigration)
 le serveur d’authentification Radius (authentication server en
anglais): c’est le serveur qui décide si vous avez le droit ou non
d’utiliser le réseau (c’est le serveur de la douane avec sa liste noire)

Sécurisation WPA
Pour la petite histoire, lorsque les entreprises se sont rendues compte que le
chiffrement WEP était inefficace, elles ont arrêté de déployer du WiFi. A ce
moment là, un
groupe d’étude appelé 802.11i a été créé pour définir une sécurité plus élevé
e que le WEP, ce groupe a sorti la norme du même nom.
Aujourd’hui la norme 802.11i est la référence pour la sécurisation du WiFi.

Mais à l’époque, ce groupe n’avait pas encore sorti leurs recommandations

(fainéants!) alors l’alliance WiFi les a doublé et a préféré sortir une solution
temporaire en attendant le 802.11i. Cette solution temporaire s’appelle
le WPA !

Le WPA est une sorte de rustine en attendant le 802.11i. Il utilise:

  le 802.1x pour l’authentification (mais reste optionnel)
 l’algorithme de chiffrement TKIP (Temporary Key Integrity
Protocol), plus robuste que l’algorithme RC4 du WEP. Il permet
la génération aléatoire de clés et offre la possibilité de modifier la
clé de chiffrement plusieurs fois pour une sécurité plus forte.
On a vu que l’utilisation de 802.1x impose la mise en place d’un serveur
Radius, ce qui peut poser problème pour les petites entreprises car ça reste
cher. On a donc 2 modes de fonctionnement du WPA (comme pour le
WPA2):

 Mode Personnel: dans ce mode, on définit un mot de passe

partagé entre le client et la borne d’accès, ce mot de passe
s’appelle PSK pour Pre-Shared Key. C’est quasiment
le même principe que la clé WEP mais avec un algorithme plus
puissant. Pas besoin d’un serveur Radius.
 Mode Entreprise: dans ce mode, on utilise le standard
802.1x donc la mise en place d’un serveur Radius est nécessaire.

Sécurisation WPA2
Le 802.11i a été ratifié le 24 juin 2004 afin de fournir une solution de
sécurisation poussée des réseaux WiFi. Il s’appuie sur l’algorithme de
chiffrement TKIP, comme le WPA, mais supporte également le
chiffrement symétrique AES (Advanced Encryption Standard), beaucoup
plus robuste que TKIP.
La Wi-Fi Alliance a alors créé une nouvelle sécurisation baptisée WPA2 pour
les nouveaux matériels supportant le standard 802.11i.

Et comme pour le WPA, on peut l’utiliser selon que l’on souhaite mettre en
place un serveur Radius ou non pour l’authentification 802.1x:

 Mode Personnel: utilisation d’un PSK

 Mode Entreprise: utilisation du 802.11x donc d’un serveur Radius
Résumé WPA et WPA2
Ce tableau résume les 2 modes de configuration que l’on peut trouver dans
les sécurisations WPA et WPA2.

Mais il existe aussi des attaques qui impacte le Wifi, non pas dans le sens vol
de données et pénétration dans le réseau mais plutôt dans le sens de
la la disponibilité du service.

Sécurisation W-IDS

Le standard
802.11i intègre des mécanismes de protection contre les
attaques extérieures visant à faire tomber l’infrastructure Wifi.
Ces mécanismes sont appelés W-IDS pour Wireless Intrusion Detection
System.
Les W-IDS permettent entre autre de détecter:
  les bornes pirate qui se font passer pour une borne légitime
 les demandes excessives d’association de client sur une
borne d’accès (le fameux jeune saoul qui essai tant bien que mal de
rentrer en discothèque).
 les attaques MITM – Man In The Middle dont la philosophie est pour
le pirate d’être au milieu d’une communication entre un
client légitime et la borne d’accès
 l’usurpation d’adresse MAC
 les dénis de service contre les bornes d’accès
 …

Des mécanismes de prévention sont aussi possibles pour se protéger

comme:

 effectuer un déni de service contre une borne pirate (la revanche de

la contre-attaque!)
 mettre en liste noire (blacklist) l’adresse MAC d’un client pirate
 réduire la couverture Wifi pour interdire que les voisins voit
le réseau Wifi
 …

Conclusion
La sécurité pour le Wifi est importante du fait que n’importe qui peut analyser
les trames niveau 2, il faut alors protéger son infrastructure sans-fil selon les
principes suivants:

 le filtrage par adresse MAC est facilement contournable

 cacher le SSID ne sert strictement à rien car en analysant le trafic,
on le retrouve en clair dans les trames Wifi
 la sécurisation WEP est aujourd’hui à bannir car cassable en
quelques minutes avec n’importe quel portable
 l’authentification 802.1x est aujourd’hui recommandée pour une
authentification mutuelle (serveur radius et client) et utilise des
protocoles dit EAP: EAP-PEAP, EAP-Fast…
 la sécurisation WPA est une solution temporaire qui utilise
l’authentification robuste 802.1x mais un chiffrement pas optimal
 la sécurisation WPA2 qui suit la norme 802.11i est la solution
optimale
 la protection contre les attaques extérieures par la mise en place
de W-IDS
Couverture et technologie
802.11
0

Même si désormais le Wi-Fi n’est plus au programme du CCNA, je vous

propose une courte introduction aux premières technologies sans-fil. Il existe
3 technologies 802.11 qui permettent d’envoyer des 0 et 1 dans les airs:

 802.11b: ratifié en 1999

 802.11a: ratifié en 1999
 802.11g: ratifié en 2003
Chaque technologie utilise des méthodes de transmission, des fréquences et
supportent des débits plus ou moins différents. Je présenterai dans un
prochain chapitre les technologies plus récentes comme
le 802.11n et 802.11ac.

Fréquence, transmission et débit

Historiquement, les 2 normes 802.11b et 802.11a sont sorti en 1999 mais
elles fonctionnent sur des plages de fréquences différentes. La norme
802.11g est sorti plus tard en 2003 et fonctionne sur les mêmes
fréquences que le 802.11b (question classique de l’ancienne version du
CCNA).

On remarque qu’en fonction de la technologies utilisée, on atteint des débits

plus ou moins élevés.

Regardons en détail chaque technologie:

Technologie 802.11b
Cette techno utilise la bande de fréquences 2,4GHz. Dans cette bande de
fréquence, des canaux ont été défini pour se partager la couverture et ces
canaux varient selon les pays et leur législation:

 USA : 11 canaux
 Europe : 13 canaux
 Japon : 14 canaux
Chaque canal a une fenêtre de 22Mhz de large. Les canaux s’overlap, c’est
à dire qu’ils se chevauchent (on verra l’explication plus loin).

Cette technologie supporte jusqu’à 4 débits différents en fonction de la

localisation géographique du client WiFi par rapport à la borne d’accès:

 1 Mbps
 2 Mbps
 5,5 Mbps
 11 Mbps

Bien que théoriquement, le débit peut monter jusqu’à 11 Mbps, il n’est en

pratique que de 6Mbps, du à la surcharge des entêtes WiFi en plus de la
trame Ethernet. Ce débit mesurable s’appelle le Throughput, ou débit réel
utilisateur.

Technologie 802.11a
Cette techno utilise la bande de fréquences 5GHz. Dans cette bande de
fréquence, des canaux ont été défini pour se partager la couverture et ces
canaux varient selon les pays et leur législation:

 Monde: 12 canaux initial et jusqu’à 23 canaux aujourd’hui

Chaque canal a une fenêtre de 20Mhz de large. Les canaux ne s’overlap
pas, c’est à dire qu’ils ne se chevauchent pas. Attention, cette remarque
est très importante !

Cette techno supporte jusqu’à 8 débits différents en fonction de la localisation

géographique du client WiFi par rapport à la borne d’accès:

 6 Mbps
 9 Mbps
 12 Mbps
 18 Mbps
 24 Mbps
 36 Mbps
 48 Mbps
 54 Mbps

Bien que théoriquement, le débit peut monter jusqu’à 54 Mbps, il n’est en

pratique que de 28Mbps, du à la surcharge des entêtes WiFi en plus de la
trame Ethernet.
Technologie 802.11g
Cette techno utilise la bande de fréquences 2,4GHz pour
être compatible avec les anciens équipements 802.11g. Dans cette bande
de fréquence, les canaux sont identiques et s’overlap.

Cette techno supporte jusqu’à 12 débit différents:

 1 – 2 – 5,5 – 11 Mbps: utilise la transmission DSSS pour la rétro-

compatibilité avec les anciens équipements 802.11g
 6 – 9 – 12 – 18 – 24 – 36 – 48 – 54 Mbps: utilise la transmission
OFDM

Bien que théoriquement, le débit peut monter jusqu’à 54 Mbps, il n’en est en
pratique que de 22Mbps, du à la surcharge des entêtes WiFi en plus de la
trame Ethernet.

Canaux et overlap
Dans les fréquences 2,4GHz, soit pour les technologies 802.11b et g, les
canaux se chevauchent (overlap en anglais) au niveau fréquentiel. Cela signifie
que si 2 bornes voisines utilisent 2 canaux proches alors il y aura dégradation
du signal WiFi et les performances seront mauvaises.

Autre ratification
 802.11h – Sélection de fréquence: Sélectionne les canaux de
manière dynamique. S’il reçoit un écho radar ou satellite (par
exemple pour un usage militaire), il change automatiquement de
canal. Le 802.11h opère dans la bande des 5GHz. Originellement
destiné à l’Europe, il est aujourd’hui applicable à d’autres pays

 802.11e – Qualité de service: Définit la qualité de service pour les

applications. Utile lors de la mise en place d’applications sensible à la
latence et à la gigue comme la téléphonie par exemple.

 802.11i – Sécurité sans fil:

Ratifié le 24 juin 2004, fournit une solution de sécurisation poussée
des réseaux WiFi. 802.11i spécifie entre autre l’utilisation du 802.1x
pour l’authentification des parties pour les réseaux Wifi.