Documente Academic
Documente Profesional
Documente Cultură
Peer-to-Peer (P2P)
2
Les périphériques finaux
Supports de transmission
3
Schémas de topologie
Types de réseau
4
Le réseau local sans fil (WLAN)
Le réseau de stockage (SAN)
Le réseau local (LAN)
5
Intranet et Extranet
Connexion à Internet
Connexion a des utilisateurs distants à Internet
Réseau fiable
Alors que les réseaux évoluent, nous découvrons que les architectures sous-jacentes doivent prendre
en considération quatre caractéristiques de base si elles veulent répondre aux attentes des utilisateurs :
Tolérance aux pannes
Évolutivité
Qualité de service (QS)
Sécurité
Les communications pour lesquelles la vitesse est importante (augmenter la priorité des
services tels que la téléphonie ou la distribution vidéo)
Les communications pour lesquelles la vitesse n'est pas importante (réduire la priorité du
téléchargement des pages Web ou des e-mails)
Les communications revêtant une grande importance pour l'entreprise (augmenter la priorité
des données de contrôle de la production ou de transactions commerciales)
Les communications indésirables telles que le partage de fichiers en peer-to-peer ou la
transmission multimédia en continu : réduire leur priorité ou bloquer les activités indésirables
Sécurité du réseau
6
Tendances relatives aux réseaux
Nouvelles tendances
La collaboration en ligne
Les vidéos
Le cloud computing
Collaboration en ligne
Cloud computing
Clouds publics
Clouds privés
Clouds personnalisés
Clouds hybrides
Data centers
7
Menaces pour la sécurité
Les menaces externes les plus courantes pour les réseaux sont les suivantes :
Virus, vers et chevaux de Troie
Logiciels espions et logiciels publicitaires
Piratage informatique
Attaques par déni de service
Interception et vol de données
Usurpation d'identité
Solutions de sécurité
Résumé :
8
Principes fondamentaux de la couche physique
La bande passante :
La bande passante d’un réseau représente sa capacité, c'est-à-dire la quantité de données pouvant
circuler en une période donnée. Celle-ci se mesure en bits par seconde. Du fait de la capacité des
supports réseau actuels, les différentes conventions suivantes sont utilisées :
9
Le débit :
Le débit est la bande passante réelle, mesurée à un instant précis de la journée. Ce débit est souvent
inférieur à la bande passante ; cette dernière représentant le débit maximal du média ; en raison :
O du type de données transmises
O de la topologie du réseau
O du nombre d’utilisateur
O de l’ordinateur de l’utilisateur et du serveur
O des coupures d’électricité et autres pannes
Câblage en cuivre
10
Câble à paires torsadées non blindées (UTP)
Câble coaxial
11
Propriétés du câblage UTP
Connecteurs UTP
12
Test des câbles UTP
Le câble UTP est composé de 4 paires de fils torsadées 2 à 2, chacune de ses paires étant isolé des
autres.
Ce câble à paires torsadées a pour but de limiter la dégradation du signal causée par une
perturbation électromagnétique et une interférence radioélectrique.
Avantages
O Simple à installer
O Peu coûteux
O Petit diamètre (pour installation dans des conduits existants)
Inconvénient :
13
Sans fil
Types de transmissions sans fil
14
Le modèle OSI décrit le processus de codage, de mise en forme, de segmentation et d'encapsulation
de données pour la transmission sur le réseau.
La suite de protocoles TCP/IP est un protocole standard ouvert qui a été approuvé par le secteur des
réseaux et ratifié, ou approuvé, par un organisme de normalisation.
Le but de ce modèle est d’analyser la communication en découpant les différentes étapes en
7 couches ; chacune de ces couches remplissant une tache bien spécifique :
L'encapsulation
Pour communiquer entre les couches et entre les hôtes d’un réseau, OSI a recourt au principe
d’encapsulation.
15
Lorsque 2 hôtes communiquent, on parle de communication d’égal à égal ; c'est-à-dire que la
couche n de la source communique avec la couche n du destinataire.
Lorsqu’une couche de la source reçoit des données, elle encapsule ces dernières avec ses
informations puis les passe à la couche inférieure. Le mécanisme inverse a lieu au niveau du
destinataire ou une couche réceptionne les données de la couche inférieure ; enlève les
informations la concernant ; puis transmet les informations restantes à la couche supérieure.
Les données transitant à la couche n de la source sont donc les mêmes que les données
transitant à la couche n du destinataire
Pour identifier les données lors de leur passage au travers d’une couche, l’appellation « Unité
de données de protocole (PDU) » est utilisé
16
Couche Désignation
7
6 Données
5
4 Segment
3 Paquets
2 Trame
1 Bits
LE MODÈLE TCP/IP
TCP est un protocole orienté connexion, c'est-à-dire qu’il associe au transport des informations, la
notion de qualité en offrant les services suivants :
fiabilité
division des messages sortants en segments
ré assemblage des messages au niveau du destinataire
ré envoi de toute donnée non reçue
UDP est lui un protocole non orienté connexion, c'est-à-dire qu’il n’offre pas de fonction de
contrôle du bon acheminement :
Ces deux modèles sont très similaires, dans la mesure où les 2 sont des modèles de
communication à couche et utilisent l’encapsulation de données.
17
TCP/IP regroupe certaines couches du modèle OSI dans des couches plus général
TCP/IP est plus qu’un modèle de conception théorique, c’est sur lui que repose le
réseau Internet actuel
DNS (Domain Name Service) : utilisé pour traduire les adresses Internet en adresses IP
Telnet : protocole d'émulation de terminal utilisé pour fournir l'accès distant aux serveurs et
aux périphériques réseau
BOOTP (Bootstrap) : précurseur du protocole DHCP utilisé pour obtenir des informations
d'adresse IP pendant le démarrage
DHCP (Dynamic Host control protocol) : utilisé pour attribuer une adresse IP, un masque
de sous-réseau, une passerelle par défaut et un serveur DNS à un hôte
HTTP (Hypertext Transfer Protocol) : utilisé pour transférer les fichiers qui constituent les
pages du Web
FTP (File Transfer Protocol) : utilisé pour le transfert interactif de fichiers entre les
systèmes
TFTP (Trivial File Transfer Protocol) : utilisé pour le transfert de fichiers simple et sans
connexion
SMTP (Simple Mail Transfer Protocol) : utilisé pour transférer les e-mails et les pièces
jointes
POP (Post Office Protocol) : utilisé par les clients de messagerie pour récupérer des e-mails
sur un serveur de messagerie
IMAP (Internet Message Access Protocol) : un autre protocole pour la récupération des e-
mails
18
Interaction des protocoles d'application avec les applications des utilisateurs finaux
Réseaux peer-to-peer (P2P)
19
Modèle serveur- client
Un nom compréhensible par l'utilisateur est converti par le protocole DNS pour devenir son
adresse de périphérique réseau numérique
20
Un nom compréhensible par l'utilisateur est converti par le protocole DNS pour devenir son adresse de
périphérique réseau numérique
Hiérarchie DNS
21
Nslookup
• nslookup est un utilitaire du système d'exploitation qui permet à l'utilisateur d'interroger
manuellement les serveurs de noms pour résoudre un nom d'hôte donné
• Cet utilitaire permet de résoudre les problèmes de résolution des noms et de vérifier l'état
actuel des serveurs de noms
La couche application
Résumé
Les applications sont des programmes informatiques avec lesquels les utilisateurs interagissent
et qui lancent le processus de transfert de données à la demande des utilisateurs.
Les services sont des programmes s'exécutant en tâche de fond qui assurent la connexion entre
la couche application et les couches inférieures du modèle de réseau.
Les protocoles fournissent une structure de règles et de processus convenus grâce auxquels les
services s'exécutant sur un périphérique particulier peuvent envoyer et recevoir des données de
divers périphériques réseau.
Le protocole HTTP prend en charge l'envoi de pages Web vers les périphériques finaux
Les protocoles SMTP, POP et IMAP prennent en charge l'envoi et la réception des e-mails
Les protocoles SMB et FTP permettent aux utilisateurs de partager des fichiers
Les applications P2P simplifient le partage de contenus multimédias pour les clients
Le DNS convertit en adresses numériques utilisables par le réseau les noms humainement
compréhensibles et utilisés pour faire référence aux ressources réseau
Tous ces éléments collaborent au niveau de la couche application
La couche application permet aux utilisateurs de travailler et de jouer sur Internet
L1 : LA COUCHE PHYSIQUE
Chargée de la transmission effective sur le support
22
L2 : LA COUCHE LIAISON DE DONNÉES
Gère la communication entre 2 nœuds directement connectés par un support
physique
Cette couche gère également le contrôle d’erreurs
Exemple de protocoles travaillant sur la couche 2 : Ethernet, ATM, 802.11n (Wifi), PPP
Exemple d’équipement travaillant sur la couche 2 : Commutateur Ethernet (Switch)
Caractéristiques du protocole IP
IP – Sans connexion
IP – Acheminement au mieux
23
L4 : LA COUCHE TRANSPORT
Suivre les communications individuelles entre les applications résidant sur les hôtes
source et de destination
Segmenter les données pour faciliter la gestion et réassembler les données
segmentées en flux de données d'application vers la destination
Identifier l'application appropriée pour chaque flux de communication
Fournit juste les fonctions de base pour la transmission, sans aucune garantie
Moins de surcharge
TCP ou UDP
Compromis entre l'importance accordée à la fiabilité et la charge imposée au réseau
Les développeurs d'applications choisissent le protocole de transport en fonction des besoins
RFC 793
Orienté connexion : création d'une session entre la source et la destination
Acheminement fiable : retransmission des données perdues ou endommagées
Reconstitution ordonnée des données : numérotation et séquencement des segments
Contrôle de flux : régulation de la quantité de données transmises
Protocole avec état : garde une trace de la session
RFC 768
Sans négociation préalable
Sans garantie de remise
Sans reconstitution ordonnée des données
Sans contrôle de flux
Protocole sans état
24
Système de noms de domaine (DNS)
Lecture vidéo en continu
Voix sur IP (VoIP)
Les numéros de port sont utilisés par les protocoles TCP et UDP pour différencier les applications
25
Netstat
Permet d'examiner les connexions TCP qui sont ouvertes et actives sur un hôte connecté
au réseau
Livraison ordonnée
Numéros d'ordre utilisés pour remettre les segments dans l'ordre d'origine
Accusé de réception et taille de fenêtre
Taille de fenêtre : la quantité de données qu'une source peut transmettre avant qu'un accusé de
réception doive être reçu.
UDP
Protocole simple offrant les fonctions de base de la couche transport
Utilisé par les applications qui peuvent tolérer des pertes de données mineures
Utilisé par les applications pour lesquelles les retards ne sont pas tolérables
Utilisé par
Système de noms de domaine (DNS)
Protocole SNMP (Simple Network Management Protocol)
Protocole DHCP (Dynamic Host Configuration Protocol)
Protocole TFTP (Trivial File Transfer Protocol)
Téléphonie IP ou voix sur IP (VoIP)
Jeux en ligne
Les applications serveur basées sur le protocole UDP se voient attribuer des numéros de port
réservés ou enregistrés.
Le processus client UDP sélectionne aléatoirement le numéro de port dans la plage dynamique
de numéros de ports qu'il utilise comme port source.
26
Applications utilisant le protocole TCP
Résumé
La couche transport assure trois fonctions essentielles : le multiplexage, la segmentation et
la reconstitution, et le contrôle des erreurs.
Celles-ci sont indispensables pour assurer la qualité de service et la sécurité sur les réseaux.
Il faut savoir comment les protocoles TCP et UDP fonctionnent et quelles applications
courantes utilisent chacun d'eux pour garantir la qualité de service et créer des réseaux plus
fiables.
Les ports fournissent un « tunnel » qu'empruntent les données pour passer de la couche
transport à l'application appropriée au niveau de la destination.
L5 : LA COUCHE SESSION
Elle est chargée de l’ouverture, du maintien et de la fermeture d’une session entre processus
Permissions :
Restauration de session :
27
Exemple : L’utilisateur retrouve ses droits si la connexion est interrompue
L6 : LA COUCHE PRÉSENTATION
Exemple : XML
L7 : LA COUCHE APPLICATION
28
Notions de base sur le codage de signaux réseau.
29
Topologies de réseau local (LAN) : Topologie d'accès multiple
LLC
• Gère la communication entre la couche supérieure et la couche inférieure
• Prend les données du protocole réseau et ajoute des informations de contrôle pour
faciliter la remise du paquet à sa destination
MAC
• Constitue la sous-couche inférieure de la couche liaison de données
• Implémentée par le matériel, généralement dans la carte réseau de l'ordinateur
Deux rôles essentiels :
30
• Encapsulation des données
• Contrôle d'accès au support
La sous-couche MAC
• Délimitation des trames : identification d'un groupe de bits formant une trame,
synchronisation entre les nœuds de transmission et les nœuds de réception
• Adressage : chaque en-tête Ethernet ajouté à la trame contient l'adresse physique
(MAC) qui permet de remettre celle-ci au nœud de destination
• Détection des erreurs : chaque trame Ethernet contient un code de fin (traiter)
avec un contrôle par redondance cyclique (CRC, Cyclic Redundancy Check) du
contenu des trames
31
Les deux méthodes couramment utilisées sont les suivantes :
• Le périphérique inspecte le support pour y détecter la présence d'un signal de données ; s'il n'y
en pas, il envoie une notification dessus pour indiquer son intention de l'utiliser
• Le périphérique transmet alors ses données
• Cette méthode est utilisée par les technologies de réseau sans fil 802.11
• Une adresse MAC Ethernet de couche 2 est une valeur binaire de 48 bits constituée de
12 chiffres hexadécimaux
L'IEEE demande aux revendeurs de suivre deux règles simples :
• L'adresse doit utiliser dans ses 3 premiers octets l'identifiant unique (OUI) attribué au
revendeur
• Toutes les adresses MAC ayant le même identifiant OUI doivent utiliser une valeur
unique dans les 3 derniers
Adresses MAC attribuées aux stations de travail, aux serveurs, aux imprimantes, aux
commutateurs et aux routeurs
Exemples d'adresses MAC : 00-05-9A-3C-78-00, 00:05:9A:3C:78:00 ou 0005.9A3C.7800
Message transféré à un réseau Ethernet : informations d'en-tête jointes au paquet, adresses
MAC source et de destination
Chaque carte réseau observe ces informations pour déterminer si l'adresse MAC de destination
fournie dans la trame correspond à l'adresse MAC physique du périphérique stockée dans la
mémoire vive (RAM)
Si elle ne correspond pas, le périphérique rejette la trame
Si elle correspond, la carte réseau transmet la trame aux couches OSI, et la désencapsulation
est effectuée
32
Les attributs de la trame Ethernet : La taille de la trame Ethernet
Les normes Ethernet II et IEEE 802.3 définissent une taille de trame minimale de 64 octets et
maximale de 1 518 octets
Une trame faisant moins de 64 octets est considérée comme « fragment de collision » ou
« trame incomplète »
Si la trame transmise est plus petite ou plus grande que les limites minimale et maximale, le
périphérique récepteur l'ignore
Au niveau de la couche physique, les versions d'Ethernet varient dans leur manière de détecter
et de placer les données sur le support
33
Adresses MAC et IP
Adresse MAC
Cette adresse ne change pas
Elle est similaire au nom d'une personne
Également appelée adresse physique, car elle est attribuée physiquement à la carte réseau de
l'hôte
Adresse IP
Elle est similaire à l'adresse d'une personne
Elle dépend de l'emplacement réel de l'hôte
Également appelée adresse logique, car elle est attribuée par logiciel
Elle est attribuée à chaque hôte par l'administrateur réseau
L'adresse MAC physique et l'adresse IP logique sont toutes deux requises pour que l'ordinateur puisse
communiquer, comme le nom et l'adresse d'une personne sont nécessaires dans la vie réelle pour
envoyer une lettre.
Le nœud expéditeur a besoin d'un moyen de trouver l'adresse MAC de destination pour une
liaison Ethernet donnée
34
La tenue d'une table des mappages
Table ARP
Sert à trouver l'adresse de la couche liaison de données qui est mappée à l'adresse IPv4 de
destination
Quand un nœud reçoit des trames en provenance du support, il enregistre les adresses MAC
et IP source dans la table ARP sous forme de mappages
Requête ARP
Diffusion de couche 2 vers tous les périphériques du LAN Ethernet
Le nœud qui correspond à l'adresse IP de la diffusion répond
Si aucun périphérique ne répond à la requête ARP, le paquet est abandonné du fait qu'il est
impossible de créer une trame
Des entrées de mappage statiques peuvent également être ajoutées dans la table ARP, ce qui est
rare.
Si l'hôte IPv4 de destination se trouve sur le réseau local, la trame utilise l'adresse MAC de ce
périphérique comme adresse MAC de destination.
Si l'hôte IPv4 de destination n'est pas sur le réseau local, l'émetteur utilise la méthode ARP
pour déterminer une adresse MAC pour l'interface du routeur qui sert de passerelle.
Si la table ne contient pas d'entrée pour la passerelle, une requête ARP est utilisée pour
récupérer l'adresse MAC associée à l'adresse IP de l'interface du routeur.
35
Problèmes potentiels engendrés par ARP
36
Table d'adresses MAC du commutateur
PARAMETRES BIDIRECTIONNELS
La commutation
Auto-MDIX
37
Méthodes de transmission de trames sur les commutateurs Cisco
Deux variantes :
Commutation Fast-Forward :
• Avec le temps de latence le plus faible, transmet un paquet immédiatement après la lecture de
l'adresse de destination – commutation cut-through classique
Commutation Fragment-free :
• Le commutateur stocke les 64 premiers octets de la trame avant la transmission, la plupart des
erreurs réseau et des collisions se produisant dans ces 64 premiers octets
38
Avantages et inconvénients des configurations fixes et modulaires
La commutation de couche 3
Commutation de couche 2 et commutation de couche 3
39
• Un périphérique réseau utilise cette table pour prendre des décisions de
commutation en fonction de la destination lors de l'utilisation de Cisco Express
Forwarding
• Actualisée lorsqu'un changement survient sur le réseau ; elle contient toutes les
routes connues
Tables de contiguïté
• Gèrent les adresses de tronçon suivant de la couche 2 pour toutes les entrées
FIB
Résumé
Ethernet est la technologie LAN la plus répandue aujourd'hui.
Les normes Ethernet définissent à la fois les protocoles de la couche 2 et les
technologies de la couche 1.
La structure de trame Ethernet ajoute des en-têtes et des codes de fin à l'unité de
données de protocole de la couche 3 pour encapsuler le message envoyé.
Conformément aux spécifications des normes IEEE 802.2/3, la trame Ethernet fournit
un adressage MAC et un contrôle des erreurs.
40
Le remplacement des concentrateurs par des commutateurs sur le réseau local a permis
de réduire les risques de collision de trames dans les liaisons bidirectionnelles non
simultanées.
L'adressage de la couche 2 fourni par Ethernet prend en charge les différents types de
communications : monodiffusion, diffusion et multidiffusion.
Ethernet utilise le protocole ARP pour déterminer les adresses MAC de destination et
les mapper à des adresses de couche de réseau connues.
Chaque nœud sur un réseau IP possède une adresse MAC et une adresse IP.
Le protocole ARP résout les adresses IPv4 en adresses MAC et met à jour une table
des mappages.
Un commutateur de couche 2 génère une table d'adresses MAC qu'il utilise pour des
décisions de transmission
Les commutateurs de couche 3 peuvent également exécuter des fonctions de routage
de la couche 3, ce qui réduit le besoin de routeurs dédiés sur un réseau local.
Les commutateurs de couche 3 disposent d'un matériel de commutation spécialisé,
aussi l'acheminement des données est généralement aussi rapide que la commutation
41
Le protocole IP version 6 (IPv6)
Caractéristiques du protocole IP
IP – Sans connexion
IP – Acheminement au mieux
Limitations de l'IPv4
Manque d'adresses IP
Croissance de la table de routage Internet
Absence de connectivité de bout en bout
Présentation de l'IPv6
Espace d'adressage plus important
Amélioration du traitement des paquets
Élimination du besoin d'adresses réseau (NAT)
Sécurité intégrée
4 milliards d'adresses IPv4
4 000 000 000
340 undécillions d'adresses IPv6
340 000 000 000 000 000 000 000 000 000 000 000 000
42
Décisions relatives à la transmission des paquets
43
Tables de routage du routeur
Décisions relatives à la transmission des paquets du routeur
44
Entrées d'une table de routage d'un réseau distant
45
Processeur et système d’exploitation d’un routeur
Mémoire du routeur
46
Fond de panier du routeur
Connexion à un routeur
47
Résultat de la commande show version
48
Configuration des interfaces
49
Passerelle par défaut sur un hôte
50
Un paquet IPv4 contient l'en-tête IP et les données utiles.
L'en-tête simplifié IPv6 offre plusieurs avantages par rapport à l'IPv4, y compris une
meilleure efficacité du routage, des en-têtes d'extension simplifiés et le traitement par
flux.
En plus de gérer l'adressage hiérarchique, la couche réseau est également responsable
du routage.
Les hôtes ont besoin d'une table de routage locale pour s'assurer que les paquets sont
dirigés vers le réseau de destination correct.
La route locale par défaut est la route à la passerelle par défaut.
La passerelle par défaut est l'adresse IP d'une interface de routeur connectée au réseau
local.
Lorsqu'un routeur, tel que la passerelle par défaut, reçoit un paquet, il examine
l'adresse IP de destination pour déterminer le réseau de destination.
La table de routage d'un routeur stocke des informations sur les routes connectées
directement et les routes distantes vers les réseaux IP. Si le routeur possède une entrée
dans sa table de routage correspondant au réseau de destination, le routeur transfère le
paquet. S'il n'existe aucune entrée de routage, le routeur peut transférer le paquet vers
sa propre route par défaut, si elle est configurée, ou il abandonne le paquet.
Les entrées de la table de routage peuvent être configurées manuellement sur chaque
routeur pour fournir le routage statique, ou les routeurs peuvent se transmettre les
informations concernant les routes de manière dynamique à l'aide d'un protocole de
routage. Pour que les routeurs soient accessibles, l'interface de routeur doit être
configurée
51
Structure d'une adresse IPv4: Système binaire
Pour définir les parties réseau et hôte d'une adresse, les périphériques utilisent un
modèle 32 bits distinct appelé masque de sous-réseau
Le masque de sous-réseau ne contient pas réellement le réseau ou la partie hôte d'une
adresse IPv4 ; il indique simplement où rechercher ces parties dans une adresse IPv4
donnée
52
Première et dernière adresses d'hôte
53
Attribution d'une adresse IPv4 dynamique à un hôte
Vérification
DHCP : méthode privilégiée de « location » des adresses IPv4 aux hôtes sur les grands
réseaux, car elle réduit la charge de travail de l'assistance technique et élimine presque toutes
les erreurs d'entrée
Transmission en monodiffusion
Transmission en diffusion
2. Diffusion (broadcast) : consiste à envoyer un paquet d'un hôte à tous les hôtes du
réseau
54
Transmission en multidiffusion
55
L'ancien adressage par classe
56
Segmentation des réseaux IP en sous-réseaux
Les grands réseaux doivent être segmentés en sous-réseaux plus petits en créant des
groupes de périphériques et de services pour :
Surveiller le trafic en contenant le trafic de diffusion dans le sous-réseau
Réduire le trafic total du réseau et améliorer les performances de ce dernier
57
Les sous-réseaux dans la pratique
Exemple d’application:
Soit l’adresse IP suivant : 172.31.10.0 /18 et 192.168.1.0 /25 calculer les plages d’adresses
correspondantes
58
Il faut que le schéma d'adressage puisse accueillir le nombre maximal d'hôtes pour
chaque sous-réseau.
Prévision de croissance dans chaque sous-réseau.
Les sous-réseaux qui n'ont pas besoin de la totalité ont des adresses
inutilisées (gaspillées). Par exemple, les liaisons WAN n'ont besoin que de
2 adresses.
Les masques de sous-réseau de longueur variable (VLSM, Variable Length
Subnet Mask) ou la segmentation d'un sous-réseau optimisent l'utilisation
des adresses
59
VLSM dans la pratique
Avec des sous-réseaux VLSM, les segments LAN et WAN dans l'exemple ci-
dessous peuvent être adressés avec un minimum de perte.
Un sous-réseau avec le masque /27 sera attribué à chaque réseau local
(LAN).
Un sous-réseau avec le masque /30 sera attribué à chaque liaison WAN.
Conception structurée
Planification de l'adressage réseau
L'attribution des adresses réseau doit être planifiée et documentée pour :
Éviter la duplication des adresses
60
Avec l'utilisation croissante d'Internet, un espace limité d'adresses IPv4, les problèmes
liés à la fonction NAT et les objets connectés, le moment est venu d'entamer la
transition vers IPv6 !
IPv4 dispose d'un maximum théorique d'adresses de 4,3 milliards, plus les adresses
privées en combinaison avec NAT
L'espace d'adressage IPv6 de 128 bits est bien plus étendu et fournit 340 undécillions
d'adresses
IPv6 élimine les problèmes de limitation d'IPv4 et apporte d'autres améliorations,
notamment ICMPv6
Tunneling : méthode qui consiste à transporter un paquet IPv6 sur un réseau IPv4 en
l'encapsulant dans un paquet IPv4.
61
Traduction : le NAT64 (Network Address Translation 64) permet aux périphériques IPv6
de communiquer avec des périphériques IPv4 à l'aide d'une technique de traduction analogue
au NAT pour IPv4. Un paquet IPv6 est converti en paquet IPv4, et inversement
1 Exemples
62
2
• Monodiffusion
• Multidiffusion
• Anycast
Monodiffusion
• Identifie de façon unique une interface sur un périphérique Ipv6
Un paquet envoyé à une adresse de monodiffusion est reçu par l'interface correspondant à
cette adresse
63
Monodiffusion globale
Link-local
• Pour communiquer avec les autres périphériques sur la même liaison locale
• Restriction à une seule liaison - non routables au-delà de la liaison
Envoi en boucle
• Permet à un hôte de s'envoyer un paquet à lui-même ; pas d'attribution à une
interface physique
• Envoyez une requête ping à l'adresse de bouclage pour tester la configuration
TCP/IP de l'hôte local
• Seulement des 0, sauf pour le dernier bit – adresses avec la syntaxe ::1/128 ou
juste ::1
64
• Une adresse non spécifiée est utilisée comme adresse source lorsque le
périphérique n'a pas encore d'adresse IPv6 permanente ou lorsque la source du
paquet est inappropriée pour la destination
Les paquets associés à une adresse link-local source ou de destination ne peuvent pas
être acheminés au-delà de leur liaison d'origine.
65
Une adresse de monodiffusion globale se compose de trois parties
ID de sous-réseau
Utilisé par une organisation pour identifier les sous-réseaux de son site
ID d'interface
Équivaut à la partie hôte d'une adresse IPv4
Elle est utilisée parce que le même hôte peut avoir plusieurs interfaces,
chacune ayant une ou plusieurs adresses IPv6
66
Configuration dynamique d'une adresse de monodiffusion globale avec la
méthode SLAAC
Routeurs IPv6
• Transfèrent les paquets IPv6 entre les réseaux
• Peuvent être configurés avec des routes statiques ou un protocole de routage IPv6
dynamique
• Envoient des messages d'annonce de routeur ICMPv6
•
Les messages d'annonce de routeur peuvent contenir une des trois options
suivantes :
• SLAAC uniquement : pour utiliser les informations contenues dans le message
d'annonce de routeur
• SLAAC et DHCPv6 : pour utiliser les informations contenues dans le message
d'annonce de routeur et obtenir d'autres informations par le serveur DHCPv6,
DHCPv6 sans état (exemple : DNS)
• DHCPv6 uniquement : le périphérique ne doit pas utiliser les informations de
l'annonce de routeur (DHCPv6 avec état)
Les routeurs envoient des messages d'annonce ICMPv6 en utilisant l'adresse link-local
comme adresse IPv6 source
Processus EUI-64
Ce processus utilise l'adresse MAC Ethernet 48 bits d'un client et insère 16 autres bits
au milieu de l'adresse MAC 46 bits pour créer un ID d'interface sur 64 bits
L'avantage est que l'adresse MAC Ethernet peut être utilisée pour déterminer
l'interface – traçage plus facile
67
Adresses link-local dynamiques
Attribution dynamique
L'adresse link-local est créée dynamiquement à l'aide du préfixe FE80::/10 et de l'ID
d'interface
68
Les adresses de multidiffusion IPv6 attribuées
Les adresses de multidiffusion IPv6 ont le préfixe FFxx::/8
Il existe deux types d'adresses de multidiffusion IPv6 :
• Les adresses de multidiffusion attribuées
• Les adresses de multidiffusion de nœud sollicité
Les deux groupes suivants de multidiffusion IPv6 attribuée sont les plus courants :
69
Le protocole ICMP
Les messages ICMPv4 et ICMPv6
Les messages ICMP communs à ICMPv4 et à ICMPv6 sont notamment les suivants :
• Host confirmation (Confirmation de l'hôte)
• Destination or Service Unreachable (destination ou service inaccessible)
• Time exceeded (Délai dépassé)
• Route redirection (Redirection de la route)
Bien que le protocole IP ne soit pas un protocole fiable, la suite TCP/IP permet
d'envoyer les messages via les services du protocole ICMP si certaines erreurs se
produisent
Messages d'annonce de routeur : envoyés par les routeurs pour fournir les
informations d'adressage
Utilisés pour :
• La résolution d'adresse
• Utilisés lorsqu'un périphérique du réseau local (LAN) connaît l'adresse
de monodiffusion IPv6 d'une destination, mais pas son adresse MAC
Ethernet
• La détection d'adresses en double (DAD)
• Sur l'adresse pour s'assurer qu'elle est unique
• Le périphérique envoie un message NS avec sa propre adresse IPv6
comme destination
70
Test et vérification
Ping - Tester la pile locale
Traceroute (tracert)
• Génère une liste de sauts déjà atteints le long du chemin
• Fournit des informations de contrôle et de dépannage
• Si les données parviennent à destination, la commande affiche tous les routeurs situés
entre les hôtes
• Si les données restent bloquées au niveau d'un saut, l'adresse du dernier routeur ayant
répondu à la commande peut fournir une indication sur l'endroit où se situe le
problème ou sur d'éventuelles restrictions de sécurité
• Fournit la durée de transmission sur chacun des sauts rencontrés et indique si l'un
d'eux ne répond pas
Résumé
Il existe trois types d'adresses IPv6 : monodiffusion, multidiffusion et anycast
(monodiffusion aléatoire).
Une adresse link-local IPv6 permet à un périphérique de communiquer avec d'autres
périphériques IPv6 sur la même liaison et uniquement sur cette liaison (sous-réseau).
Les paquets associés à une adresse source ou de destination link-local ne peuvent pas
71
être acheminés au-delà de leur liaison d'origine. Les adresses link-local IPv6 se
trouvent dans la plage FE80::/10.
Le protocole ICMP est disponible pour IPv4 et pour IPv6.
72
Considérations liées à la conception d'un petit réseau
Voici ce qu'il faut prévoir dans la conception du réseau :
Assurez-vous que les serveurs de messagerie et de fichiers sont dans un emplacement
centralisé.
Protégez cet emplacement en utilisant des dispositifs de sécurité matériels et logiciels.
Créez la redondance dans la batterie de serveurs.
Configurez des chemins d'accès redondants vers les serveurs.
Infrastructure : doit être évaluée pour vérifier qu'elle prend en charge les
applications en temps réel proposées.
La téléphonie IP (VoIP) est mise en œuvre dans les entreprises qui utilisent encore des
téléphones traditionnels.
Téléphonie IP : le téléphone IP exécute lui-même la conversion voix-vers-IP.
Protocoles de vidéo en temps réel : utilisent le protocole RTP et le protocole RTCP.
73
Inventaire des équipements : liste des périphériques qui utilisent ou constituent le
réseau
Budget : budget informatique détaillé, y compris les achats d'équipements pour l'année
fiscale
Analyse du trafic : documentation des protocoles, applications et services, avec leurs
besoins respectifs quant au trafic
Sécurité physique
Faiblesses technologiques
Faiblesses de configuration
Faiblesses dans la stratégie de sécurité
74
Failles et attaques du réseau
Virus, vers et chevaux de Troie
Virus : logiciel malveillant associé à un autre programme pour exécuter des fonctions
indésirables sur une station de travail.
Cheval de Troie : entièrement conçu pour ressembler à une application normale, alors
qu'il s'agit d'un outil de piratage.
Vers : programmes autonomes qui attaquent un système et essaient d'exploiter une
vulnérabilité spécifique. Le ver recopie son programme de l'hôte assaillant sur les
systèmes qu'il vient d'attaquer, et le cycle recommence
75
Sauvegarde, mise à jour, mise à niveau et correctif
Faites en sorte de toujours utiliser les versions les plus récentes des antivirus.
Installez les derniers correctifs de sécurité.
Les pare-feu
Un pare-feu se trouve entre deux réseaux ou plus. Il contrôle le trafic et contribue à
éviter les accès non autorisés. Méthodes utilisées :
Filtrage des paquets
Filtrage des applications
Filtrage des URL
76
Inspection dynamique de paquets (SPI) - Les paquets entrants doivent constituer des
réponses légitimes aux requêtes des hôtes internes.
Les terminaux courants sont les ordinateurs portables, les ordinateurs de bureau, les
serveurs, les smartphones ou encore les tablettes.
Les employés doivent respecter les politiques de sécurité établies par les entreprises
afin d'assurer la sécurité de leurs appareils.
Ces politiques incluent souvent l'utilisation d'un logiciel antivirus et la prévention des
intrusions sur les hôtes.
77
Mesures de sécurité élémentaires
Chiffrement des mots de passe
Longueur minimale à respecter pour les mots de passe
Blocage des attaques en force
Utilisation d'un message de bannière
Définition d'un délai d'expiration EXEC
Activation de SSH
78
Ping
Interprétation des messages ICMP
! – indique la réception d'une réponse d'écho ICMP.
. - indique l'expiration du délai pendant l'attente d'une réponse d'écho ICMP.
U - indique la réception d'un message ICMP d'inaccessibilité.
show running-config
show interfaces
show arp
show ip route
show protocols
show version
79
Affichage des paramètres du commutateur avec la commande s how version
ipconfig /displaydns : affiche toutes les entrées DNS stockées dans la mémoire cache
d'un système Windows.
80
Options de commande show cdp neighbors
81
Sauvegarde et restauration des fichiers de configuration
Utilisation des ports USB d'un routeur Cisco
Le lecteur Flash USB doit être formaté en FAT16.
Routeur intégré
Périphérique multifonction
Intègre un commutateur, un routeur et un point d'accès sans fil.
Les routeurs sans fil Linksys sont de conception simple et sont utilisés dans les
réseaux domestiques.
Routeur intégré
Connectivité sans fil
Mode sans fil : la plupart des routeurs sans fil intégrés prennent en charge les normes
802.11b, 802.11g et 802.11n
82
SSID (Service Set Identifier) : nom alphanumérique, avec distinction
majuscules/minuscules, pour votre réseau domestique sans fil
WPA (Wi-Fi Protected Access) : utilise également des clés de chiffrement comprises
entre 64 et 256 bits. De nouvelles clés sont générées chaque fois qu'une connexion est
établie avec le point d'accès. Cette méthode est donc plus sûre
Configuration du routeur intégré
Par sécurité, changez le nom d'utilisateur et le mot de passe par défaut, ainsi que
l'adresse IP Linksys par défaut.
83
Configurez le SSID
Configurez le canal RF
SSID
Security Settings (Paramètres de sécurité)
Channel
Le logiciel client sans fil peut être intégré au système d'exploitation ou être un
utilitaire sans fil autonome et téléchargeable
Résumé du chapitre
Une bonne conception de réseau intègre la fiabilité, l'évolutivité, ainsi que la
disponibilité.
Les réseaux doivent être à l'abri des virus, des chevaux de Troie, des vers et des
attaques.
Utilisez les commandes IOS pour contrôler et afficher des informations sur le réseau et
ses périphériques.
Les réseaux domestiques et les PME utilisent souvent des routeurs intégrés. Ceux-ci
leur procurent des fonctionnalités de commutateur, de routeur et de point d'accès sans
fil.
84
Le monde numérique change
Les informations doivent être accessibles où que l'on se trouve dans le monde
Les réseaux doivent être sécurisés, fiables et extrêmement disponibles
Le réseau sans frontières de Cisco est une architecture réseau qui permet
aux entreprises de connecter n'importe qui, n'importe où, à tout moment et
sur n'importe quel appareil d'une manière à fois sûre, fiable et transparente
Il est conçu pour répondre aux besoins des services informatiques et des
entreprises, notamment en matière de prise en charge du réseau
convergent et les nouvelles façons de travailler
85
Les directives de conception de réseaux commutés sans frontières
reposent sur les principes suivants :
• Hiérarchique
• Modularité
• Résilience
• Flexibilité
86
Modulaire
Empilable
Transfert de trame
La commutation comme concept général
87
Un commutateur doit d'abord savoir quels équipements figurent sur
chaque port avant de pouvoir transmettre une trame
Il crée une table appelée table d'adresses MAC, ou table de mémoire
associative (CAM)
Le port <-> de mappage de périphériques est stocké dans la table CAM
La CAM est un type particulier de mémoire utilisé dans des applications
de recherche haut débit.
Les informations de la table d'adresses MAC sont utilisées pour
transmettre les trames
88
Transmettre plus lentement
Domaines de commutation
Domaines de collision
Domaines de diffusion
Résumé
89
Dans ce chapitre, vous avez vu que la tendance est à la convergence des
réseaux : un seul ensemble de câbles et d'équipements pour gérer la
transmission de la voix, de la vidéo et des données.
En outre, la façon dont les entreprises fonctionnent a significativement
changé.
Pas de bureaux physiques ni de contraintes géographiques. Les ressources
doivent maintenant être parfaitement disponibles à tout moment et en tout
lieu.
L'architecture du réseau sans frontières de Cisco permet à différents
éléments, des commutateurs d'accès aux points d'accès sans fil, pour
fonctionner ensemble et permettre aux utilisateurs d'accéder aux
ressources à tout moment et en tout lieu.
Le modèle de conception hiérarchique traditionnel à trois couches divise
le réseau ainsi : cœur, distribution et accès. Chaque partie du réseau peut
être optimisée pour sa fonction spécifique.
Cela procure modularité, résilience et souplesse, ce qui constitue une base
qui permet aux concepteurs de réseaux de fournir une sécurité, une
mobilité et des fonctionnalités de communications unifiées.
Les commutateurs utilisent la commutation « store-and-forward » ou
« cut-through ».
Chaque port d'un commutateur crée un domaine de collision distinct
permettant une communication bidirectionnelle simultanée très haut débit.
Les ports des commutateurs ne bloquent pas les diffusions et le fait
d'associer des commutateurs peut augmenter la taille du domaine de
diffusion, ce qui entraîne souvent une dégradation des performances.
1. POST
2. Exécutez le bootloader (chargeur de démarrage).
3. Ce programme se charge de l'initialisation de bas niveau du processeur.
4. Il initialise le système de fichiers de la mémoire flash.
5. Il localise et charge dans la mémoire une image logicielle du système
d'exploitation IOS par défaut et transfère le contrôle du commutateur à
l'IOS.
90
3. Le système d'exploitation IOS initialise ensuite les interfaces à l'aide des
commandes Cisco IOS disponibles dans le fichier de configuration, la
configuration initiale, qui est stockée dans la mémoire vive non volatile.
Sur les commutateurs Cisco Catalyst, chaque port possède des indicateurs
d'état.
Par défaut, ces LED indiquent l'activité du port, mais elles peuvent
également fournir d'autres informations sur le commutateur via le bouton
Mode.
Les modes suivants sont disponibles sur les commutateurs Cisco Catalyst
2960 :
LED système
91
Préparation à la gestion de commutateur de base
92
Communication bidirectionnelle
Fonction auto-MDIX
93
Lorsque la fonction auto-MDIX est utilisée sur une interface, la vitesse et
le mode bidirectionnel de celle-ci doivent être réglés sur auto.
Fonction auto-MDIX
94
Problèmes de couche d'accès au réseau
95
Résolution des problèmes liés à l'interface
96
Vérification de SSH
97
Problèmes de sécurité dans les LAN
Inondation d'adresses MAC
98
Usurpation DHCP
Dans une usurpation DHCP, un faux serveur DHCP est placé dans le réseau
pour envoyer des adresses DHCP aux clients.
L'attaque qui consiste à saturer un serveur DHCP par épuisement des
ressources (« starvation » en anglais) est souvent utilisée avant l'usurpation
pour empêcher le serveur DHCP légitime d'accéder au service.
Usurpation DHCP
99
CDP est un protocole propriétaire de couche 2 développé par Cisco. Il sert à
détecter les autres périphériques Cisco qui sont connectés directement.
Il est conçu pour permettre aux équipements de configurer automatiquement
leurs connexions.
Si un pirate écoute les messages CDP, il peut apprendre des informations
importantes telles que le modèle de périphérique et la version du logiciel
exécuté.
Cisco recommande de désactiver le protocole CDP quand il n'est pas utilisé
Utilisation de Telnet
100
Les outils de sécurité réseau sont très importants pour les administrateurs
réseau.
Ils leur permettent de tester l'efficacité des mesures de sécurité mises en
œuvre.
Ils peuvent par exemple lancer une attaque contre le réseau et analyser les
résultats.
Cela leur permet également de déterminer comment rectifier les stratégies de
sécurité pour limiter ces types d'attaques.
Les audits de sécurité et les tests d'intrusion constituent deux fonctions
essentielles des outils de sécurité réseau
Les outils de sécurité réseau peuvent être utilisés pour réaliser un audit du
réseau.
En surveillant le réseau, l'administrateur peut déterminer quel type
d'informations un pirate peut récupérer.
Il peut par exemple inonder la table CAM d'un commutateur pour savoir
quels ports précisément sont vulnérables à ce type d'attaque et agir en
conséquence.
Les outils de sécurité réseau peuvent également être utilisés comme outils de
test d'intrusion
Le test d'intrusion est une attaque simulée.
Il permet d'évaluer le degré de vulnérabilité du réseau en cas d'attaque réelle.
Les faiblesses de configuration des périphériques réseau peuvent être
identifiées en fonction des résultats de ces tests.
Des modifications peuvent être effectuées pour rendre ces périphériques plus
résistants.
Ces tests risquent d'endommager le réseau et nécessitent une excellente
maîtrise de la situation.
Un réseau de banc d'essai hors ligne qui simule le véritable réseau de
production est idéal
La désactivation des ports non utilisés est une mesure de sécurité simple
mais efficace
101
Sécurité des ports de commutateur
Surveillance DHCP
La sécurité des ports restreint le nombre d'adresses MAC valides autorisées sur un
port.
Les adresses MAC des périphériques légitimes peuvent y accéder, mais les autres sont
refusées.
Toute tentative supplémentaire pour se connecter avec des adresses MAC inconnues
constitue une violation des règles de sécurité.
IOS détecte une violation des règles de sécurité dans les deux cas suivants :
102
Il existe trois actions possibles à entreprendre en cas de violation :
• Protect
• Restrict
• Shutdown
103
Sécurité des ports : vérification
104
Ports en état Error Disabled
105
Il faut utiliser la commande d'interface shutdown/no shutdown
réactiver le port
Protocole NTP
NTP est un protocole utilisé pour synchroniser les horloges des réseaux de
données des systèmes informatiques.
Il peut récupérer l'heure exacte à partir d'une source interne ou externe.
Il peut s'agir des éléments suivants :
Un périphérique réseau peut être configuré en tant que serveur NTP ou client
NTP.
Consultez les notes des diapositives pour plus d'informations sur le NTP.
Protocole NTP
Configuration NTP
Vérification de NTP
106
Résumé
107
Présentation des VLAN
Définitions des VLAN
Un VLAN (réseau local virtuel) est une partition logique d'un réseau de
couche 2.
Plusieurs partitions peuvent être créées, de sorte qu'il est possible de faire
coexister plusieurs VLAN.
Chaque VLAN constitue un domaine de diffusion, généralement avec son
propre réseau IP.
Les VLAN sont isolés les uns des autres et les paquets ne peuvent circul
Sécurité
Réduction des coûts
Meilleures performances
Diminution des domaines de diffusion
Efficacité accrue des équipes informatiques
Simplification de la gestion des projets et des application
Types de VLAN
108
VLAN de données
VLAN par défaut
VLAN natif
VLAN de gestion
VLAN voix
Le facteur temps est très important pour le trafic VoIP. Cela nécessite :
• bande passante consolidée pour garantir la qualité de la voix ;
• priorité de transmission par rapport aux autres types de trafic réseau ;
• possibilité de routage autour des zones encombrées du réseau ;
• Délai inférieur à 150 ms sur tout le réseau.
La fonction VLAN voix permet aux ports du commutateur d'acheminer le
trafic VoIP (voix sur IP) provenant d'un téléphone IP.
Le commutateur peut être connecté à un téléphone IP Cisco 7960 et
transmettre le trafic VoIP.
Puisque la qualité audio de la téléphonie IP peut se détériorer si la
transmission des données est inégale, le commutateur prend en charge la
qualité de service (QS).
VLAN voix
109
VLAN dans un environnement à commutateurs multiples
Trunks de VLAN
Les VLAN peuvent être utilisés pour limiter la portée des trames de
diffusion.
Un VLAN est un domaine de diffusion à part entière.
110
Par conséquent, une trame de diffusion envoyée par un périphérique d'un
VLAN donné est transmise au sein de ce VLAN uniquement.
Cela permet de contrôler la portée des trames de diffusion et leur impact sur
le réseau.
111
Attribution
Création d'un VLAN
112
Modification de l'appartenance des ports aux VLAN
Suppression de VLAN
113
Vérification des informations VLAN
114
Attribution VLAN
Réinitialisation du trunk à l'état par défaut
115
Protocole DTP
Introduction au protocole DTP
Protocole DTP
Modes d'interface négociés
116
VLAN manquants
Si tous les problèmes de concordance des adresses IP ont été résolus et que le périphérique ne
peut toujours pas se connecter, vérifiez que le VLAN existe dans le commutateur
En cas de problème sur un trunk, il est recommandé de faire les vérifications dans l'ordre ci-
dessus
117
Dépannage des VLAN et des trunks
Non-concordance du mode trunk
Lorsqu'un port sur une liaison trunk est configuré avec un mode trunk qui
n'est pas compatible avec le port trunk voisin, la liaison en question ne
peut pas être établie entre les deux commutateurs.
Vérifiez l'état des ports trunk sur les commutateurs à l'aide de la
commande show interfaces trunk.
Pour résoudre ce problème, configurez les interfaces avec les modes trunk
appropriés.
Les VLAN doivent être autorisés dans le trunk avant que leurs trames
puissent être transmises sur la liaison.
Utilisez la commande switchport trunk allowed vlan pour indiquer quels
VLAN sont admis dans une liaison trunk.
Pour garantir que les VLAN appropriés sont autorisés dans un trunk,
utilisez la commande show interfaces trunk
118
Attaques sur les VLAN
Attaque Double-Tagging
119
Meilleures pratiques de conception pour les VLAN
Conseils pour la conception d'un VLAN
Résumé
Dans ce chapitre, vous avez découvert les différents types de VLAN, ainsi
que la connexion entre les VLAN et le domaine de diffusion.
Vous connaissez maintenant les détails de l'étiquetage IEEE 802.1Q et
comment cette méthode permet de différencier les trames Ethernet
associées aux différents VLAN lorsqu'elles parcourent les liaisons trunk
courantes.
Vous avez également observé la configuration, la vérification et le
dépannage des VLAN et des trunks en utilisant la ligne de commande de
Cisco IOS et exploré les notions de base de la sécurité et de la conception
dans le contexte des VLAN.
120
Chapitre 11: concepts du routage
121
• Processeur
• Système d'exploitation (OS) – Les routeurs utilisent Cisco IOS
• Stockage et mémoire (RAM, ROM, NVRAM, flash, disque dur)
Les routeurs utilisent des cartes réseau et des ports spécialisés pour
l'interconnexion avec d'autres réseaux
122
Fonctions d'un routeur
Les routeurs choisissent les meilleurs chemins
123
Fonctions d'un routeur
Méthodes de transmission des paquets
124
Connexion des périphériques
Passerelles par défaut
Pour permettre l'accès au réseau, il faut configurer les périphériques avec les
informations d'adresse IP suivantes.
La documentation réseau doit inclure au moins les éléments suivants dans une
table d'adressage et un schéma de topologie :
125
Connexion des périphériques
Activation de l'IP sur un hôte
Les services DHCP peuvent être fournis par les routeurs Cisco
126
Connexion des périphériques
Accès à la console
127
Configurer une bannière : fournit une mention légale concernant les accès
non autorisés.
128
Configurez l'interface avec l'adresse IPv6 et le masque de sous-
réseau. Utilisez la commande de configuration d'interface ipv6
address adresse_ipv6/longueur_ipv6 [link-local | eui-64].
Activation : avec la commande no shutdown.
129
Vérification de la connectivité des réseaux connectés directement
Vérification des paramètres d'interface
show interfaces
show ip interfaces
130
Vérification des paramètres d'interface
131
Fonction d'historique de commande
132
Transfert vers le tronçon suivant
133
Atteindre la destination
Détermination du chemin
Décisions relatives au routage
Détermination du chemin
Meilleur chemin
134
Protocole RIP (Routing Information Protocol) : nombre de sauts
Protocole OSPF (Open Shortest Path First) : coût basé sur la bande
passante cumulée entre la source et la destination
Protocole OSPF (Open Shortest Path First) : coût basé sur la bande passante
cumulée entre la source et la destination
Détermination du chemin
Équilibrage de la charge
Lorsqu'un routeur contient deux chemins ou plus vers une destination avec des
métriques à coût égal, le routeur transmet les paquets en utilisant de manière
égale les deux chemins
La table de routage
La table de routage
135
Routes connectées directement
Routes distantes
Réseau ou associations réseau/tronçon suivant
La table de routage
Sources de la table de routage
La table de routage
Sources de la table de routage
136
La table de routage
Entrées de routage d'un réseau distant
137
Exemple d'interface IPv6 connectée directement
La commande show ipv6 route affiche les réseaux IPv6 et les routes
intégrées dans la table de routage.
Une route statique par défaut est utilisée lorsque la table de routage ne
contient pas de chemin vers un réseau de destination.
138
Exemple de routes IPv6 statiques
Utilisé par les routeurs pour partager des informations sur l'accessibilité et
l'état des réseaux distants.
Détecte les réseaux et gère les tables de routage.
139
Protocoles de routage IPv4
140
Chapitre 12: routage inter-VLAN
141
Routage inter-VLAN des commutateurs multicouches
142
Configuration du routage inter-VLAN existant
Configuration du commutateur
143
Configuration de type « router-on-a-stick »
Configuration du commutateur
144
Configuration de type « router-on-a-stick »
Vérification du routage
L'accès aux périphériques des VLAN distants peut être testé au moyen de
la commande ping.
La commande ping envoie une requête d'écho ICMP à l'adresse de
destination.
Lorsqu'un hôte reçoit une requête d'écho ICMP, il envoie une réponse
d'écho ICMP.
Tracert est un utilitaire qui permet de confirmer le chemin emprunté entre
deux périphériques.
145
Assurez-vous également que le routeur est connecté au port approprié sur
le commutateur.
Lors de l'utilisation de la technique « router-on-a-stick », vérifiez que le
port du commutateur connecté au routeur est configuré en tant que liaison
trunk.
La commande switchport mode trunk peut être utilisée pour résoudre ce
problème.
146
Problèmes d'adressage IP
Erreurs au niveau de l'adresse IP et du masque de sous-réseau
Problèmes d'adressage IP
Vérification de la configuration de l'adresse IP et du masque de sous-
réseau
147
Fonctionnement et configuration de la commutation de couche 3
Routage inter-VLAN au moyen de SVI
Un port routé est un port physique qui se comporte comme une interface
sur un routeur.
Les ports routés ne sont associés à aucun VLAN.
Les protocoles de couche 2, tels que STP, ne fonctionnent pas sur une
interface routée.
148
Les ports routés d'un commutateur Cisco IOS ne prennent pas en charge
les sous-interfaces.
Pour configurer les ports routés, utilisez la commande no switchport du
mode de configuration d'interface.
Remarque : les commutateurs de la gamme Catalyst 2960 ne prennent
pas en charge les ports routés.
Résumé
149
L'ancienne technique de routage inter-VLAN « router-on-a-stick » et la
commutation multicouche ont également été présentées.
Ce chapitre décrit également la commutation de couche 3, les interfaces
SVI et les ports routés.
Enfin, le dépannage du routage inter-VLAN au moyen d'un routeur ou
d'un commutateur de couche 3 ont été traités. Les erreurs les plus
courantes impliquent les configurations de VLAN, de trunk, d'interface de
couche 3 et d'adresses IP.
150
Chapitre 6 : routage statique
Routage statique
Atteindre les réseaux distants
Routage statique
Pourquoi utiliser le routage statique ?
Les routes statiques ne sont pas annoncées sur le réseau, pour une
meilleure sécurité.
Les routes statiques utilisent moins de bande passante que les protocoles
de routage dynamique, aucun cycle de processeur n'est utilisé pour
calculer et communiquer des routes.
Le chemin qu'une route statique utilise pour envoyer des données est
connu
151
Il facilite la maintenance des tables de routage dans les réseaux de petite
taille qui ne sont pas amenés à se développer de manière significative.
Il assure le routage entre les réseaux d'extrémité. Un réseau d'extrémité est
accessible via une seule route, et le routeur n'a pas d'autres voisins.
Une seule route par défaut est utilisée pour représenter un chemin vers
tout réseau ne présentant aucune correspondance plus spécifique avec une
autre route figurant dans la table de routage. Les routes par défaut sont
utilisées pour envoyer du trafic vers toute destination au-delà du routeur
ascendant.
Une route statique par défaut est une route qui correspond à tous les
paquets.
Une route par défaut identifie l'adresse IP de la passerelle à laquelle le
routeur envoie tous les paquets IP qui n'ont pas de route apprise ou
statique.
Une route statique par défaut est simplement une route statique avec
0.0.0.0/0 comme adresse IPv4 de destination
152
Types de routes statiques
Route statique récapitulative
Les routes statiques flottantes sont des routes statiques utilisées pour
fournir un chemin de secours à une route statique ou une route dynamique
principale, en cas de défaillance de la liaison.
La route statique flottante est utilisée uniquement lorsque la route
principale n'est pas disponible.
Pour cela, la route statique flottante doit être configurée avec une
distance administrative supérieure à celle de la route principale
153
Configuration des routes statiques IPv4
Options de tronçon suivant
Le tronçon suivant peut être identifié par une adresse IP, une interface de sortie,
ou les deux. La manière dont la destination est spécifiée crée un des trois types
de route suivants :
154
Configuration d'une route statique connectée directement
155
Configuration d'une route statique entièrement spécifiée
Avec ping et traceroute, les commandes utiles pour vérifier les routes
statiques sont les suivantes :
show ip route
show ip route static
show ip route réseau
156
Configuration d'une route statique par défaut
157
Configuration des routes statiques IPv6
La commande ipv6 route
Le tronçon suivant peut être identifié par une adresse IPv6, une interface
de sortie, ou les deux. La manière dont la destination est spécifiée crée un
des trois types de route suivants :
Route IPv6 de tronçon suivant : seule l'adresse IPv6 de tronçon suivant est
spécifiée.
Route IPv6 statique connectée directement : seule l'interface de sortie du
routeur est spécifiée.
158
Configuration d'une route IPv6 statique connectée directement
159
Configuration d'une route IPv6 statique entièrement spécifiée
Avec ping et traceroute, les commandes utiles pour vérifier les routes statiques
sont les suivantes :
160
Configuration d'une route IPv6 statique par défaut
161
Adressage par classe
Adressage réseau par classe
162
Gaspillage dans l'adressage par classe
163
Exemple d'utilisation du CIDR dans le routage statique
164
VLSM en action
165
Configuration des routes récapitulatives IPv4
Exemple de route statique récapitulative
Outre le fait que les adresses IPv6 ont une longueur de 128 bits et sont
écrites au format hexadécimal, le récapitulatif d'adresses IPv6 est
réellement similaire au récapitulatif d'adresses IPv4. Il nécessite quelques
étapes supplémentaires liées aux adresses IPv6 abrégées et à la conversion
hexadécimale.
Plusieurs routes IPv6 statiques peuvent être récapitulées en une seule
route IPv6 statique si :
• Les réseaux de destination sont contigus et peuvent être récapitulés
dans une adresse réseau unique.
166
• Les multiples routes statiques utilisent toutes la même interface de
sortie ou adresse IPv6 de tronçon suivant.
Étape 5. Copiez les bits correspondants, puis ajoutez les bits zéro pour
déterminer l'adresse réseau récapitulée (préfixe).
167
Les routes statiques flottantes sont des routes statiques qui ont une
distance administrative supérieure à la distance administrative d'une autre
route statique ou de routes dynamiques.
La distance administrative d'une route statique peut être augmentée pour
rendre la route moins souhaitable que celle d'une autre route statique ou
d'une route apprise via un protocole de routage dynamique.
De cette manière, la route statique « flotte » et n'est pas utilisée lorsque la
route dont la distance administrative est meilleure est active.
ping
168
traceroute
show ip route
show ip interface brief
show cdp neighbors detail
résumé
169
Protocoles de routage
• Utilisés pour faciliter l'échange d'informations de routage entre les
routeurs
Les protocoles de routage dynamique ont plusieurs fonctions, dont :
• La détection des réseaux distants
• L'actualisation des informations de routage
• Le choix du meilleur chemin vers des réseaux de destination
• La capacité à trouver un nouveau meilleur chemin si le chemin actuel
n'est plus disponible
170
Avantages du routage dynamique
• Partage automatique des informations sur les réseaux distants
• Identification du meilleur chemin vers chaque réseau et ajout de ces
informations dans les tables de routage
• Moins de tâches administratives que le routage statique
• Pour les administrateurs réseau, gestion plus facile des processus
fastidieux de configuration et des routes statiques
Inconvénients du routage dynamique
• Une partie des ressources des routeurs dédiée au fonctionnement du
protocole, notamment le temps processeur et la bande passante de
la liaison réseau
Périodes pendant lesquelles le routage statique est plus approprié
171
Fonctionnement des protocoles de routage dynamique
172
R1 ajoute le réseau 10.1.0.0 disponible via l'interface FastEthernet 0/0 et
10.2.0.0 devient alors disponible via l'interface Serial 0/0/0.
R2 ajoute le réseau 10.2.0.0 disponible via l'interface Serial 0/0/0 et
10.3.0.0 devient alors disponible via l'interface Serial 0/0/1.
R3 ajoute le réseau 10.3.0.0 disponible via l'interface Serial 0/0/1 et
10.4.0.0 devient alors disponible via l'interface FastEthernet 0/0.
R1 :
173
Routeurs exécutant le protocole RIPv2
R2 :
R3 :
Stocke le réseau 10.2.0.0 dans la table de routage avec une métrique égale
à1
174
Routeurs exécutant le protocole RIPv2
R1 :
175
R2 :
R3 :
176
Le temps de convergence est le temps nécessaire aux routeurs pour
partager des informations, calculer les meilleurs chemins et mettre à jour
leurs tables de routage.
Un réseau n'est pas complètement opérationnel tant qu'il n'est pas
convergent.
Les propriétés de convergence incluent la vitesse de propagation des
informations de routage et le calcul des chemins optimaux. La vitesse de
propagation désigne le temps nécessaire aux routeurs du réseau pour
transférer les informations de routage.
177
Protocoles IGP (Interior Gateway Protocol) :
178
Types de protocoles de routage
Protocoles de routage à état de liens
179
Métriques des protocoles de routage
180
IGRP et EIGRP utilisent l'algorithme de routage DUAL (Diffusing
Update Algorithm) développé par Cisco.
EIGRP
181
Convergence rapide
Prise en charge de plusieurs protocoles de couche réseau
Activation de RIPv2
182
Configuration des interfaces passives
L'envoi de mises à jour inutiles sur un LAN a trois effets néfastes sur
le réseau :
183
Propagation d'une route par défaut
184
Examen de la configuration du protocole RIPng
185
Fonctionnement du protocole de routage à état de liens
Algorithme de Dijkstra
186
La première étape du processus de routage à état de liens consiste à faire
en sorte que chaque routeur prenne connaissance de ses propres liens et de
ses propres réseaux connectés directement
187
Mises à jour d'état de liens
Dites Hello
188
Mises à jour d'état de liens
Création de la base de données d'états de liens
189
Mises à jour d'état de lien
Création de l'arborescence SPF
190
Pourquoi utiliser des protocoles de routage à état de liens
Pourquoi utiliser des protocoles à état de liens ?
• Mémoire requise
• Temps processeur requis
• Bande passante requise
191
• Deux versions actuelles
• OSPFv2 : OSPF pour les réseaux IPv4
• OSPFv3 : OSPF pour les réseaux IPv6
IS-IS a été conçu par l'organisation internationale de normalisation (ISO)
La table de routage
192
Routes IPv4 apprises dynamiquement
Termes associés aux tables de routage
Meilleure route
Route de niveau 1
Route parent de niveau 1
Routes enfant de niveau 2
Une meilleure route est une entrée de table de routage qui contient soit
une adresse IP de tronçon suivant, soit une interface de sortie. Les routes
link-local, connectées directement et apprises dynamiquement sont des
meilleures routes
193
Routes IPv4 apprises dynamiquement
Route parent de niveau 1
194
Analyse d'une table de routage IPv6
Entrées pour les routes connectées directement
195
Analyse d'une table de routage IPv6
Entrées pour un réseau IPv6 distant
Résumé
Sont utilisés par les routeurs pour détecter automatiquement les réseaux
distants à partir des autres routeurs.
Leur rôle : détection des réseaux distants, actualisation des informations
de routage, choix du meilleur chemin vers les réseaux de destination et
capacité à trouver un autre meilleur chemin si l'actuel n'est plus
disponible.
C'est le choix idéal pour les grands réseaux, mais le routage statique est
mieux adapté aux réseaux d'extrémité.
Ils sont conçus pour informer les autres routeurs sur les modifications.
Ils peuvent être de différentes sortes : par classe ou sans classe, à vecteur
de distance ou à état de liens, et protocole EGP.
196
Un protocole de routage à état de liens peut créer une vue ou une
topologie complète du réseau en recueillant des informations à partir de
tous les autres routeurs.
Les métriques sont utilisées pour déterminer le meilleur chemin ou le
chemin le plus court pour atteindre un réseau de destination.
Selon le protocole de routage, les éléments suivants peuvent être
différents : sauts, bande passante, délai, fiabilité, charge.
La commande show ip protocols affiche les paramètres du protocole de
routage IPv4 en vigueur sur le routeur. Pour IPv6, utilisez la commande
show ipv6 protocols
197
Chapitre 14 : OSPF à zone unique
Protocole OSPF
Évolution du protocole OSPF
OSPFv2 1988
198
Composants du protocole OSPF
Les routeurs OSPF échangent des paquets. Ceux-ci sont utilisés pour détecter les
routeurs voisins et échanger des informations de routage afin de garantir
l'exactitude des données relatives au réseau.
199
Si un voisin est présent, le routeur à fonction OSPF tente d'établir une contiguïté
de voisinage avec celui-ci.
200
Les meilleurs chemins sont insérés dans la table de routage à partir de
l'arborescence SPF
201
OSPF à zone unique et à zones multiples
Messages OSPF
202
Messages OSPF
Messages OSPF
Paquet Hello
Messages OSPF
Intervalles entre les paquets Hello
203
Toutes les 10 secondes (valeur par défaut dans les réseaux à accès
multiple et point à point)
Toutes les 30 secondes (valeur par défaut dans les réseaux à accès
multiple sans diffusion [NBMA])
L'intervalle d'inactivité (Dead) correspond au laps de temps pendant
lequel le routeur attend de recevoir un paquet Hello avant de déclarer le
voisin hors service
Le routeur inonde la LSDB d'informations sur les voisins hors service
pour toutes les interfaces OSPF
C'est par défaut 4 fois l'intervalle Hello
Fonctionnement d'OSPF
États opérationnels OSPF
204
Établissement des contiguïtés de voisinage
205
Fonctionnement d'OSPF
Sélection DR/BDR
ID de routeur OSPF
Topologie de réseau OSPF
206
ID de routeur OSPF
ID de routeur
207
Configurer OSPFv2 à zone unique
La commande network
208
Coût OSPF
Métrique OSPF = coût
Coût = 100 000 000 bits/s / bande passante des interfaces en bits/s
Coût OSPF
OSPF cumule les coûts
209
Coût OSPF
Réglage de la bande passante de référence
Coût OSPF
Bande passante par défaut des interfaces
210
Sur les routeurs Cisco, la bande passante par défaut de la plupart des interfaces
série est réglée sur 1,544 Mbit/s.
Coût OSPF
Réglage de la bande passante des interfaces
Coût OSPF
Réglage manuel du coût OSPF
211
Vérification d'OSPF
Vérification des voisins OSPF
Vérifiez que le routeur a établi une contiguïté avec les routeurs voisins
Vérification d'OSPF
Vérification des paramètres du protocole OSPF
Vérification d'OSPF
Vérification des paramètres d'interface OSPF
212
Configuration d'OSPFv3 à zone unique
213
Comparaison d'OSPFv2 et d' OSPFv3
Adresses link-local
Configuration d'OSFPv3
Topologie de réseau OSPFv3
214
Configuration d'OSFPv3
Adresses
link-local
Configuration d'OSFPv3
Attribution des adresses link-local
215
Configuration d'OSFPv3
Configuration de l'ID de routeur OSPFv3
Configuration d'OSFPv3
Modification d'un ID de routeur OSPFv3
216
Configuration d'OSFPv3
Activation d'OSPFv3 sur les interfaces
217
Vérification d'OSPFv3
Vérification des interfaces OSPFv3
Résumé
OSPF :
218
Protocole de routage à état de liens, sans classe, avec une distance
administrative par défaut de 110, et identifié dans la table de routage par
le code source de route O.
OSPFv2 est activé avec la commande de configuration globale router
ospf id-processus. La valeur id-processus n'a qu'une signification locale,
ce qui veut dire qu'elle n'a pas à correspondre à celle des autres routeurs
OSPF pour établir des contiguïtés avec des voisins.
La commande network utilise la valeur masque-générique qui est
l'inverse du masque de sous-réseau, et la valeur id-zone.
Par défaut, des paquets Hello OSPF sont envoyés toutes les 10 secondes
sur les segments à accès multiple et point à point, et toutes les 30
secondes sur les segments NBMA (Frame Relay, X.25, ATM), et sont
utilisés par OSPF pour établir des contiguïtés de voisinage. Par défaut,
l'intervalle Dead est quatre fois plus long que l'intervalle Hello.
Pour que les routeurs deviennent contigus, leurs intervalles de paquets
Hello et Dead, leurs types de réseau et leurs masques de sous-réseau
doivent correspondre. Utilisez la commande show ip ospf neighbors pour
vérifier les contiguïtés OSPF.
Dans un réseau à accès multiple, OSPF choisit un routeur désigné comme
point de collecte et de distribution des LSA envoyées et reçues. Un
routeur désigné de secours est sélectionné pour remplir le rôle de routeur
désigné si ce dernier venait à défaillir. Tous les autres routeurs sont
connus sous le nom de DROthers. Tous les routeurs envoient leur LSA au
DR, qui les diffuse ensuite aux autres routeurs du réseau à accès multiple.
Dans un réseau à accès multiple, le routeur ayant l'ID de routeur le plus
élevé est le DR, et le suivant est le BDR. Pour changer cet ordre, utilisez
la commande ip ospf priorité sur l'interface concernée. Le routeur ayant
la priorité la plus élevée est le DR, et le suivant est le BDR.
La commande show ip protocols sert à vérifier les données de
configuration OSPF importantes, notamment l'ID de processus OSPF, l'ID
du routeur et les réseaux auxquels ce dernier fait ses annonces.
OSPFv3 est activé sur une interface et n'est pas en mode de configuration
du routeur. OSPFv3 a besoin que les adresses link-local soient
configurées. Le routage monodiffusion IPv6 doit être activé pour
OSPFv3. Un ID de routeur de 32 bits est requis avant qu'une interface
puisse être activée pour OSPFv3.
La commande show ip protocols sert à vérifier les données de
configuration OSPFv2 importantes, notamment l'ID de processus OSPF,
l'ID du routeur et les réseaux auxquels ce dernier fait ses annonces.
OSPFv3
Est activé sur une interface et n'est pas en mode de configuration du
routeur.
Rend obligatoire la configuration des adresses link-local. IPv6
Le routage monodiffusion doit être activé pour OSPFv3.
Un ID de routeur de 32 bits est requis pour qu'une interface puisse
être activée pour OSPFv3.
219
La commande show ipv6 protocols est un moyen rapide de vérifier
les informations de configuration (ID de processus OSPF, ID du
routeur et interfaces activées pour OSPFv3).
Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément
aux règles de filtrage.
220
Comparaison des listes de contrôle d'accès IPv4 standard et étendues
Numérotation et nom des listes de contrôle d'accès
Les masques génériques sont souvent appelés masques inverses. En effet, contrairement à un
221
masque de sous-réseau, où le chiffre binaire 1 équivaut à une correspondance et le chiffre
binaire 0 à une non-correspondance, les masques génériques procèdent de façon inverse.
Exemples de masques génériques : hôtes/sous-réseaux
222
Exemples de mots-clés de masque générique
Utilisez des listes de contrôle d'accès sur un routeur situé entre deux parties de votre
réseau pour contrôler le trafic entrant ou sortant sur une portion donnée du réseau
interne.
Configurez des listes de contrôle d'accès sur les routeurs périphériques situés à la
périphérie de vos réseaux.
Configurez des listes de contrôle d'accès pour tout protocole réseau configuré sur les
interfaces de routeur périphérique.
Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le
trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes
de contrôle d'accès, la première pour contrôler le trafic entrant et la seconde pour
contrôler le trafic sortant.
Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le
trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.
223
Directives concernant l'emplacement des listes de contrôle d'accès
Où placer les listes de contrôle d'accès
Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact
sur les performances. Règles de base :
Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le
plus près possible de la source du trafic à filtrer.
Listes de contrôle d'accès standard : étant donné qu'elles ne spécifient pas les adresses
de destination, placez-les le plus près possible de la destination.
L'emplacement de la liste de contrôle d'accès et donc son type peuvent aussi dépendre
de l'étendue du contrôle de l'administrateur réseau, de la bande passante des réseaux
concernés et de la facilité de configuration.
Emplacement d'une liste de contrôle d'accès standard
224
Configuration des listes de contrôle d'accès IPv4 standard
Saisie des instructions pour les critères
Le mot-clé remark est utilisé à des fins de documentation et rend les listes de contrôle d'accès
bien plus simples à comprendre.
Logique interne
Cisco IOS applique une logique interne lors de l'acceptation et du traitement des
instructions des listes de contrôle d'accès standard. Comme nous l'avons vu, les
instructions des listes de contrôle d'accès sont traitées dans l'ordre. Par conséquent,
l'ordre dans lequel elles sont fournies est important.
Pour supprimer une liste de contrôle d'accès d'une interface, entrez d'abord la commande no
225
ip access-group sur l'interface, puis la commande globale no access-list pour supprimer
l'ensemble de la liste.
Application de listes de contrôle d'accès standard aux interfaces (suite)
226
Modification des listes de contrôle d'accès numérotées
227
Vérification des listes de contrôle d'accès
Les instructions d'hôte apparaissent avec la commande show en premier, mais pas
nécessairement dans l'ordre dans lequel elles ont été saisies. IOS classe les instructions
d'hôte à l'aide d'une fonction de hachage spéciale. Le classement résultant permet
d'optimiser la recherche d'une entrée de liste de contrôle d'accès d'hôte.
228
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard
Configuration d'une liste de contrôle d'accès standard pour sécuriser un port VTY
Le filtrage du trafic Telnet ou SSH est généralement considéré comme une fonction de liste de
contrôle d'accès IP étendue parce qu'il s'agit de filtrer un protocole de niveau plus élevé.
Cependant, étant donné que la commande access-class permet de filtrer les sessions
Telnet/SSH entrantes ou sortantes par adresse source, une liste de contrôle d'accès standard
peut être utilisée.
Router(config- line)# access-class access-list-number { in [ vrf-also ] | out }
229
Configuration des listes de contrôle d'accès étendues
Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes
que pour les listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est
d'abord configurée, puis elle est activée sur une interface. La syntaxe et les paramètres
de commande sont plus complexes, car ils prennent en charge des fonctions
supplémentaires fournies par les listes de contrôle d'accès étendues.
230
Création des listes de contrôle d'accès étendues nommées
231
Si vous les utilisez avec des options, les résultats risquent de contenir beaucoup plus
d'informations que nécessaire ou d'être difficiles à lire.
Certaines commandes debug peuvent être associées à une liste d'accès pour limiter les
résultats et afficher uniquement les informations requises pour la vérification ou la
résolution d'un problème.
Configuration des listes de contrôle d'accès pour limiter les résultats du débogage
L'administrateur de R2 souhaite s'assurer que le trafic est acheminé correctement grâce à la
commande debug ip packet. Pour limiter les résultats du débogage et inclure uniquement le
trafic ICMP entre R1 et R3, la liste de contrôle d'accès ACL 101 sera appliquée.
Vérification des listes de contrôle d'accès qui limitent les résultats du débogage
232
Si un paquet entrant correspond à une instruction de la liste de contrôle d'accès avec
une autorisation, il est envoyé pour être acheminé.
Si une interface de sortie n'a pas de liste de contrôle d'accès, les paquets sont envoyés
directement vers celle-ci.
S'il existe une liste de contrôle d'accès sur l'interface de sortie, il y a une vérification
avant l'envoi à cette interface.
Si l'adresse de la trame est acceptée, les informations sur la trame sont éliminées et le
routeur recherche une liste de contrôle d'accès sur l'interface d'entrée. Le cas échéant,
le paquet est vérifié pour déceler des correspondances avec les instructions de la liste.
Si le paquet est accepté, il est ensuite comparé aux entrées de la table de routage afin
de déterminer l'interface de destination. S'il existe une entrée de table de routage pour
la destination, le paquet est alors transmis à l'interface sortante. Dans le cas contraire,
le paquet est abandonné.
Le routeur vérifie ensuite si l'interface sortante possède une liste de contrôle d'accès.
Le cas échéant, le paquet est vérifié pour déceler des correspondances avec les
instructions de la liste.
En l'absence d'une liste de contrôle d'accès ou si le paquet est autorisé, ce dernier est
encapsulé dans le nouveau protocole de couche 2 et acheminé par l'interface jusqu'au
périphérique suivant.
233
Les listes de contrôle d'accès standard examinent uniquement l'adresse IPv4 source. La
destination du paquet et les ports concernés ne sont pas pris en compte.
Le logiciel Cisco IOS vérifie les correspondances d'adresses dans les listes de contrôle
d'accès les unes après les autres. La première correspondance détermine si le logiciel
accepte ou refuse l'adresse. Dans la mesure où le logiciel ne vérifie plus les conditions
après la première correspondance, l'ordre des conditions est primordial. En cas de non-
concordance des conditions, l'adresse est rejetée.
Dans cet exemple, la liste de contrôle d'accès filtre en fonction de l'adresse source
avant de passer au port et au protocole de la source. Elle filtre en fonction de l'adresse
de destination, du port et du protocole de destination, avant de prendre une décision
finale d'autorisation ou de refus.
234
contrôle d'accès – Exemple 3 : Le réseau 192.168.11.0 /24 peut utiliser Telnet pour se
connecter à 192.168.30.0 /24 alors que cette connexion doit être interdite.
235
contrôle d'accès – Exemple 5 : L'hôte 192.168.30.12 peut utiliser Telnet pour se
connecter à 192.168.31.12, mais selon la stratégie de sécurité, cette connexion ne doit pas
être autorisée.
236
IPv6 utilise la commande ipv6 traffic-filter pour effectuer la même tâche sur les interfaces
IPv6.
Aucun masque générique
La longueur de préfixe est utilisée pour indiquer dans quelle mesure l'adresse IPv6 source ou
de destination doit correspondre.
Instructions supplémentaires par défaut
237
Exemples de listes de contrôle d'accès IPv6
Refuser FTP
Restriction de l'accès
238
Résumé
Par défaut un routeur ne filtre pas le trafic. Le trafic qui entre dans le routeur est routé
uniquement en fonction des informations de la table de routage.
Le filtrage des paquets consiste à contrôler l'accès à un réseau en analysant les paquets
entrants et sortants et en les transmettant ou en les rejetant selon des critères
spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole
transporté dans le paquet.
Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser
ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au
niveau de la couche 4, la couche transport.
La dernière instruction d'une liste de contrôle d'accès est toujours une instruction deny
implicite bloquant tout le trafic. Pour empêcher l'instruction deny any implicite à la fin
de la liste de contrôle d'accès de bloquer tout le trafic, vous pouvez ajouter
l'instruction permit ip any any.
Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle
d'accès, le routeur compare les informations du paquet à chaque entrée, dans l'ordre
séquentiel, afin de déterminer si le paquet correspond à l'une des instructions. Si une
correspondance est trouvée, le paquet est traité en conséquence.
Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou
sortant.
Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser
le trafic uniquement depuis les adresses IPv4 source. La destination du paquet et les
239
ports concernés ne sont pas évalués. La règle de base pour le placement des listes de
contrôle d'accès standard consiste à les placer aussi près que possible de la destination.
Les listes de contrôle d'accès étendues filtrent les paquets en fonction de plusieurs
attributs : type de protocole, adresse IPv4 source ou de destination et ports source ou
de destination. La règle de base pour le placement des listes de contrôle d'accès
étendues consiste à les placer aussi près que possible de la source.
Une fois qu'une liste de contrôle d'accès est configurée, elle est associée à une
interface à l'aide de la commande ip access-group en mode de configuration
d'interface.
Rappelez-vous de la règle des trois P, une liste de contrôle d'accès par protocole, par
direction, par interface.
Pour supprimer une liste de contrôle d'accès d'une interface, entrez d'abord la
commande no ip access-group sur l'interface, puis la commande globale no access-
list pour supprimer l'ensemble de la liste.
Comme avec les ACL IPv4 nommées, les noms IPv6 sont alphanumériques et
sensibles à la casse. Ils doivent également être uniques. Contrairement aux listes de
contrôle d'accès IPv4, l'option standard ou étendue n'est pas nécessaire.
Une fois qu'une liste de contrôle d'accès IPv6 est configurée, elle est associée à une
interface à l'aide de la commande ipv6 traffic-filter.
240
Le protocole DHCP (Dynamic Host Configuration Protocol) est un protocole réseau
qui permet l'attribution automatique des adresses IP et des autres informations aux
clients : adresse IP
Présentation de DHCPv4
DHCPv4 utilise trois méthodes différentes d'attribution des adresses :
241
Commandes permettant de vérifier le DHCP :
Relais DHCPv4
La commande ip helper-address permet à un routeur de transférer les diffusions
DHCPv4 au serveur DHCPv4. Elle sert à relayer les diffusions.
242
Dépannage de DHCPv4
Tâches de dépannage
Débogage de DHCPv4
243
SLAAC et DHCPv6
Configuration automatique des adresses sans état (SLAAC)
SLAAC est une méthode grâce à laquelle un périphérique peut obtenir une adresse de
monodiffusion globale IPv6 sans les services d'un serveur DHCPv6.
Fonctionnement de SLAAC
244
SLAAC et DHCPv6
Option SLAAC
245
Option DHCP avec état
Fonctionnement de DHCPv6
246
Configuration d'un routeur en tant que client DHCPv6 sans éta
247
Vérifiez le serveur DHCPv6 avec état en utilisant :
Dépannage de DHCPv6
Tâches de dépannage
248
Vérification de la configuration DHCPv6 du route
Débogage de DHCPv6
249
Résumé
Tous les nœuds d'un réseau nécessitent une adresse IP unique pour communiquer avec
d'autres périphériques.
Attribution manuelle
Attribution automatique
Attribution dynamique
Protocole DHCP (Dynamic Host Configuration Protocol) pour IPv6 (DHCPv6 avec état)
Caractéristiques de la NAT
Espace d'adressage privé IPv4
L'espace d'adressage IPv4 est trop restreint pour accommoder tous les périphériques à
connecter à Internet
250
Les adresses privées des réseaux sont décrites dans la RFC 1918 et sont conçues pour
être utilisées dans une organisation ou un site uniquement.
Elles ne sont pas routées par les routeurs Internet, contrairement aux adresses
publiques.
Elles peuvent pallier la pénurie d'adresses IPv4, mais comme elles ne sont pas routées
par les périphériques Internet, elles doivent d'abord être traduites.
Caractéristiques de la NAT
Espace d'adressage privé IPv4
Caractéristiques de la NAT
Qu'est-ce que la NAT ?
La NAT est le procédé utilisé pour traduire les adresses réseau.
Elle est généralement mise en œuvre sur les périphériques réseau situés à la périphérie,
tels que les pare-feu ou les routeurs.
Ainsi, les réseaux peuvent utiliser des adresses privées en interne, et les traduire en
adresses publiques uniquement lorsque c'est nécessaire.
Lorsque les données doivent être échangées avec d'autres organisations ou Internet, le
routeur de périphérie traduit les adresses en adresses publiques et globalement
uniques.
251
Terminologie NAT
Dans la terminologie NAT, le réseau interne est l'ensemble des périphériques qui
utilisent des adresses privées. Les réseaux externes sont tous les autres réseaux.
Terminologie NAT
Les termes, à l'intérieur et à l'extérieur, sont combinés avec les termes locaux et
globaux pour désigner des adresses spécifiques.
252
Fonctionnement de la NAT
NAT statique
La fonction NAT statique utilise un mappage « un à un » entre les adresses locales et
globales.
La fonction NAT statique est particulièrement utile lorsque les serveurs hébergés dans
le réseau interne doivent être accessibles depuis le réseau externe.
L'administrateur réseau peut établir une connexion SSH vers un serveur du réseau
interne en faisant pointer son client SSH sur l'adresse globale interne appropriée.
NAT dynamique
La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la
méthode du premier arrivé, premier servi.
253
Lorsqu'un périphérique interne demande l'accès à un réseau externe, la NAT
dynamique attribue une adresse IPv4 publique disponible du pool.
Types de NAT
Traduction d'adresses de port (PAT)
La fonction PAT mappe les adresses IPv4 privées à des adresses IP publiques uniques
ou à quelques adresses.
Elle utilise la paire port source/adresse IP source pour garder une trace du trafic de
chaque client interne.
Comme elle utilise également le numéro de port, elle peut transférer les paquets de
réponse au périphérique interne approprié.
Elle vérifie aussi que les paquets entrants étaient demandés, ce qui ajoute un niveau de
sécurité à la session.
La NAT achemine les paquets entrants vers leur destination interne en faisant
référence à l'adresse IPv4 source entrante donnée par l'hôte sur le réseau public.
Avec la PAT, il n'y a généralement qu'une adresse IPv4 exposée publiquement, ou très
peu.
La PAT peut également traduire les protocoles qui n'utilisent pas les numéros de port
tels qu'ICMP. Chacun de ces protocoles est pris en charge différemment par la PAT.
254
Avantages de la NAT
Inconvénients de la NAT
• Créer le mappage entre les adresses locales internes et les adresses locales
externes
255
Vérification de la NAT statique
256
Fonctionnement de la NAT dynamique
Le pool d'adresses publiques IPv4 (pool d'adresses globales internes) est disponible
pour n'importe quel périphérique du réseau interne selon le principe du premier arrivé,
premier servi.
Avec la NAT dynamique, une seule adresse interne est traduite en une seule adresse
externe.
Le pool doit être suffisamment vaste pour accommoder tous les périphériques internes.
257
Configuration de la traduction d'adresses de port (PAT)
Configuration de la PAT : pool d'adresses
258
Configuration de la PAT : adresse unique
Vérification de la PAT
Redirection
La redirection consiste à transférer un port réseau d'un nœud à l'autre.
Un paquet envoyé à l'adresse IP publique et au port d'un routeur peut être transféré à
une adresse IP privée et à un port d'un réseau interne.
259
Cela est utile lorsque les serveurs ont des adresses privées, lesquelles ne sont pas
accessibles depuis des réseaux externes.
Exemple de SOHO
260
La NAT est une solution à la pénurie d'adresses IPv4.
Avec une adresse 128 bits, IPv6 fournit 340 undécillions d'adresses.
Toutefois, IPv6 implémente une forme d'adresses privées qui sont mises en œuvre
différemment par rapport à IPv4.
Ces adresses n'ont pas vocation à fournir un espace d'adressage IPv6 supplémentaire.
Elles ont le préfixe FC00::/7, ce qui aboutit à une première plage d'hextets de FC00 à
FDFF.
On les appelle également adresses IPv6 locales (à ne pas confondre avec les adresses
link-local IPv6).
Dans IPv6, la NAT est utilisée pour établir une communication transparente entre IPv6
et IPv4.
NAT64 n'est pas prévu pour être une solution permanente. Il s'agit d'un mécanisme de
transition.
au profit de NAT64.
261
Dépannage de la NAT : commande debug
Résumé
Ce chapitre a décrit la manière dont la NAT est utilisée pour éviter la pénurie d'espace
d'adressage IPv4.
Les différents types de NAT sont les suivants : NAT statique, NAT dynamique et
NAT avec surcharge
La manière dont la redirection peut être utilisée pour accéder aux périphériques
internes à partir d'Internet
262
La manière dont la NAT pour IPv6 est utilisée pour la conversion entre les adresses
IPv6 et les adresses Ipv4
263