Modle de rseau hirarchique

Le modle hirarchique est constitue de 3 couches :

couche daccs : sert dinterface avec les priphriques finaux.
couche de distribution : delimite les domaines de diffusion en utilisant des fonctions de
routage entre les VLAN.
couche coeur de rseau : interconnecte les dispositifs reseau de la couche distribution.
*Dans les rseaux de petite taille, les couches distribution et coeur de reseau forment une
seule couche.
Avantages dun rseau hirarchis
volutivit
redondance
performance
scurit
maintenance
Les lments entrant en compte lors de la conception dun modele hierarchique sont :
Le diamtre du rseau le nombre de priphriques que doit traverser un paquet avant
datteindre sa destination.
Lagrgation de la bande passante est la combinaison de plusieurs liaisons de ports dun
switch, afin de bnficier dun dbit plus lev.
La redondance dun reseau sobtient en doublant les peripheriques ou en doublant
Les connexions entre les peripheriques.
Reseau convergent
La convergence dun reseau correspond au processus dassociation de communications vocale
et vido sur un reseau.
*Le principal avantage dun reseau convergent est quil ny a quun seul reseau a gerer et non
plus trois.
Fonctionnalites dun switch
On distingue les connecteurs SSF (Switch Form Factors) suivants :
switches de configuration fixe
switches modulaires
switches empilables
Performances dun switch
La performance dun switch se mesure selon
La densite de ports correspond au nombre de ports disponibles sur le switch.
Le debit de transfert definit la capacite de traitement dun switch, en mesurant la quantite de
donnees pouvant etre traitees par un switch.
lagregation de bande passante

*Deux dernieres caracteristiques :
Power over Ethernet permet a un switch de fournir une alimentation a un peripherique a
travers le cablage Ethernet existant.
Fonctions de couche 3 : en general un switch fonctionne au niveau de la couche liaison de
donnees. Cependant il existe des switches de couche reseau qui permettent de router le trafic
et de mettre en place des strategies de securite.
Fonctions dun switch
Couche dacces :
securite des ports
reseaux locaux virtuels (VLAN)
Fast Ethernet / Gigabit Ethernet
power over Ethernet
agregation de liaisons
qualite de service
Couche distribution :
prise en charge de la couche 3
debit de transfert eleve
Gigabit Ethernet / 10 Gigabits Ethernet
composants redondants
strategie de securite /liste de controle dacces
agregation de liaisons
qualite de service
Couche coeur de reseau :
prise en charge de la couche 3
debit de transfert eleve
Gigabit Ethernet / 10 Gigabits Ethernet
composants redondants
agregation de liaisons
qualite de service
Controle de lacces aux supports avec Ethernet
Ethernet utilise la methode CSMA/CD pour gerer lacces au support et les collisions.
Detection de signal : Avant denvoyer un message, un peripherique ecoute la porteuse:
Si aucun signal nest detecte : le peripherique envoie son message.
Si un signal est detecte : le peripherique attend un certain temps avant dessayer a nouveau
denvoyer son message.
Acces multiple : Si deux peripheriques emettent en meme temps, une collision peut se
produire.
Des la detection de collision, les deux peripheriques responsables de la collision envoient un
signal de detection.
Ce signal demande a tous les peripheriques de cesser demettre pendant un temps aleatoire
algorithme dinterruption.
Apres ce delai, les peripheriques se remettent sur mode ecoute.
Afin que les peripheriques se ne remettent pas a emettre en meme temps, une periode de
reemission aleatoire est activee sur chaque peripherique.
Monodiffusion, multidiffusion et diffusion Ethernet
Il existe 3 types dadresses MAC :
Monodiffusion : un peripherique envoie un message a un seul destinataire.
Diffusion : un peripherique envoie un message a tous les peripheriques du domaine de
diffusion.
Multidiffusion : un peripherique envoie un message a un groupe de peripheriques

Concentrateurs et domaines de collisions
Un repeteur retransmet un signal recu depuis un segment sur le segment suivant.
Un concentrateur retransmet un signal recu depuis un port sur tous les autres ports.
Commutateurs (switchs)
Un commutateur permet de segmenter un LAN en plusieurs domaines de collisions distincts.
Chaque port du commutateur represente un seul domaine de collisions.
Lorsque tous les noeuds sont connectes directement au commutateur, celui assure :
une bande passsante dediee sur tous les ports
un environnement sans collision
une transmission bidirectionnelle simultanee
Fonctionnement dun commutateur
Un commutateur effectue un reacheminement selectif. Pour ce faire, le commutateur fait
appel aux fonctions de base suivantes :
lapprentissage
lhorodatage
linondation
le reacheminement selectif
le filtrage
Methodes de transmission par commutateur
Un commutateur peut transmettre des trames selon differents modes :
Un commutateur store and forward recoit la trame entiere, calcule le CRC et verifie la
longueur de la trame. Si les deux sont corrects, le commutateur recherche ladresse de
destination qui determine linterface de sortie, puis achemine la trame.
Un commutateur cut-through achemine la trame avant quelle ne soit entierement recue. Au
minimum, ladresse de destination de la trame doit etre lue avant que celle-ci ne soit pas
retransmise.
Commutations symetrique et asymetrique
Il existe deux types de commutation :
Une commutation symetrique offre la meme bande passante pour tous les ports.
Une commutation asymetrique offre une bande passante plus importante sur un port afin
deviter un goulot detranglement.
Nom du commutateur
Switch(config)#hostname nomswitch
Mots de passe dun commutateur
Le mot de passe console :
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch(config-line)#login
Le mot de passe terminal :
Switch(config)#line vty 0 15
Switch(config-line)#password cisco
Switch(config-line)#login
Le mot de passe pour le mode privilegie :
Il existe deux commandes pour configurer un mot de passe pour le mode privilegie :
Switch(config)#enable password cisco
Switch(config)#enable secret class
Il est preferable dutiliser enable secret car le mot de passe est crypte.
Afin que les mots de passe apparaissent sous forme cryptee dans les fichiers de configuration,
on utilise la commande :
Switch(config)#service password-encryption
Configuration de linterface de gestion dun commutateur
Les interfaces physiques dun switch ne possedent pas dadresses IP et sont actives par defaut.
Pour pouvoir gerer un switch a distance, il est necessaire de lui attribuer une adresse IP. Celle-
ci est attribuee sur linterface virtuelle vlan 1.
Switch(config)#interface vlan 1
Switch(config-if)#ip address adresse IP masque sous-reseau
Switch(config-if)#no shutdown
Switch(config-if)#exit
Finalement,pour permettre au switch de communiquer en dehors du reseau local, il est
necessaire de lui attribuer une passerelle par defaut.
Switch(config)#ip default-gateway adresse IP
Switch(config)#exit
Gestion de base du commutateur
Pour enregistrer la configuration en cours dans la configuration de demarrage du commutateur
S1(config)# copy running-config startup-config
ou
S1(config)# copy system:running-config flash:startup-config
Pour afficher la table dadresses MAC (statiques et dynamiques) dun commutateur:
S1# show mac-address-table
Configuration SSH
SSH (Secure Shell) fournit une communication securisee pour configurer des peripheriques a
distance.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
Pour permettre les connexions telnet et SSH :
S1(config-line)# transport input all
Pour voir les connexions :
S1# show ssh
la securite des ports sur un commutateur :
Il existe plusieurs facons de configurer la securite des ports sur un commutateur :
Une adresse MAC securisee statique est configuree manuellement a laide de la commande
de configuration dinterface :
S1(config)# interface fa0/15
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security mac-addressad. MAC
S1(config-if)# end
Une adresse MAC securisee dynamique est recuperee dynamiquement et stockee
uniquement dans la table dadresses MAC. Ladresse est supprimee au redemarrage du
switch.
S1(config)# interface fa0/15
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end
Adresse MAC securisee remanente est apprise dynamiquement, puis enregistree dans le
running-config.
S1(config)# interface fa0/15
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 10
S1(config-if)# switchport port-security sticky
S1(config-if)# end
De plus les adresses MAC securisees remanentes presentes les caracteristiques suivantes :
lutilisation de la commande switchport port-security sticky convertit toutes les adresses
MAC utilisees sur le port, y compris retroactivement et les ajoute toute dans le running-
config.
lutilisation de la commande no switchport port-security sticky efface les adresses MAC
securisees remanentes du running-config mais les garde dans la table dadresses MAC
Verification de la securite des ports
Pour verifier les parametres de securite des ports :
S1# show port-security [interface fa0/15 ]
Pour verifier les adresses MAC securisees :
S1# show port-security address [interface fa0/15 ]
Desactivation des ports inutilises
S1(config) # interface range fa 0/2 - 8
S1(config-if)# shutdown
Les VLANs
Un VLAN est un groupement logique dunites et dutilisateurs.
Une unite appartenant a un VLAN peut uniquement communiquer avec des unites appartenant
au meme VLAN.
Il est possible de faire communiquer des unites de differents VLANs en utilisant un routeur
effectuant du routage interVLAN.
Les principaux avantages dun reseau local virtuel :
securite
reduction des couts
meilleures performances
attenuation des tempetes de broadcast
Configuration de VLAN
Un VLAN prend un identifiant entre 1 et 1001.
Pour creer un VLAN :
Switch(config)# (no) vlan numero vlan
Switch(config-vlan)# name nom vlan
Switch(config-vlan)# end
Sur un switch 3500, la configuration des VLANs est un peu differente :
Switch# vlan database
Switch(vlan)# vlan numero vlan name nom vlan
Switch(vlan)# end
Les VLANs sont stockes dans le fichier vlan.dat dans la memoire flash
VLAN 1
Par defaut, le VLAN 1 est le VLAN de gestion du switch.
Le VLAN 1 ne peut pas etre supprime.

Pour que le switch soit accessible via telnet ou ssh depuis le reseau, il est necessaire de lui
attribuer un adresse IP (et une passerelle par defaut).
Switch(config)#interface vlan 1
Switch(config-if)#ip address ad. IP masque sous-reseau
Switch(config)#ip default-gateway ad. IP
Ports du switch
Par defaut, tous les ports dun switch appartiennent au VLAN 1 (VLAN de gestion).
Pour attribuer une interface `a un VLAN autre que le VLAN 1 :
Switch(config)# interface fa numero interface
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan numero vlan
Switch(config-if)# end
Verification de la configuration
show vlan
show vlan brief
show vlan id numero vlan
Lagregation des LAN virtuels
Une agregation est une connexion logique et physique entre deux switches par lequel le trafic
reseau est achemine.
Une agregation prend donc en charge plusieurs VLAN sur la meme connexion et permet ainsi
deconomiser des ports.
Configuration dun trunk
Switch(conf)# interface no port
Switch(conf-if)# switchport mode trunk
Si le VLAN 1 nest pas le VLAN natif :
Switch(conf-if)# switchport trunk native vlan numero vlan
Sur les switches 3500, on specifie en plus le type dencapsulation :
Switch(conf-if)# switchport mode encapsulation dot1q
Finalement, pour verifier le type dun port (access/trunk)
Switch(conf)# show interface numero port switchport
Routage intervlan
La communication entre vlan nest possible quavec lutilisation dun routeur.
Elle est obtenue en utilisant
Une connexion physique : chaque vlan est associe a une interface physique sur le routeur.
Une connexion logique : une seule interface physique est utilisee sur le routeur pour tous les
vlan. Linterface physique est divisee en sous-interfaces logiques.
Chaque sousinterface logique correspond a un vlan.
Configuration de sousinterfaces logiques
Router(config)# interface fa no port.no sous-int
Router(config-subif)# encapsulation dot1Q numero vlan
Router(config-subif)# ip address ad ip masque ssreseau
Le protocole VTP
Le protocole VTP (Virtual Trunking Protocol) permet a un administrateur de configurer un
switch (serveur) qui propagera ses configurations VLAN aux autres switches du domaine.
Un domaine VTP est compose dun ou plusieurs switches interconnectes. Tous les switches
partagent les details de configuration VLAN. Un routeur ou un switch L3 limite le domaine.
Les modes VTP : un switch peut etre en mode serveur, client ou transparent.

Serveur VTP :
un VLAN peut etre cree, supprime ou renomme pour tout le domaine.
il stocke les informations VLAN pour lensemble du domaine dans la NVRAM.
il annonce aux autres switches du domaine les parametres VLAN.
il sagit du mode par defaut dun switch.
Client VTP :
il nest pas possible de creer, modifier ou supprimer des VLAN.
il stocke uniquement les informations VLAN du domaine pendant quil est sous tension.
Transparent VTP :
il transmet les annonces VTP aux clients et aux serveurs VTP.
il ne participe pas au protocole VTP.
un VLAN cree, renomme ou supprime est uniquement associe a ce switch et na donc
quune signification locale.
Version VTP : le protocole comporte 3 versions : 1,2 et 3. Une seule version est autorisee
dans un domaine VTP.
A chaque configuration est associe un numero, appele numero de revision.
A chaque changement de configuration (creation, suppression, changement de nom dun
vlan), le numero de revision est incremente de un.
Si un commutateur recoit une mise a jour avec un numero de revision superieur au numero de
la configuration utilisee, il remplace sa configuration par la nouvelle configuration.
Pour afficher les parametres VTP sur un switch : show vtp status
Configuration VTP
1. Avant dinstaller un switch dans un nouveau domaine, il est vivement conseiller de
remettre son numero de revision a 0.
Switch#delete flash:vlan.dat
Switch#erase startup-config
Switch#reload
2. On definit le mode du switch
Switch(config)# vtp mode {client|server|transparent}
3. On configure alors le nom de domaine
Switch(config)#vtp domain nom domaine
4. Pour des raisons de securite, on peut configurer un mot de passe :
Switch(config)# vtp password mot de passe
5. Pour configurer la version du protocole VTP :
Switch(config)# vtp version { 1| 2| 3}
Protocole STP
Le protocole STP (Spanning Tree ou arbre recouvrant) garantit lunicite du chemin logique
entre toutes les destinations sur le reseau en bloquant les chemins redondants susceptibles
dentrainer la formation dune boucle.
Algorithme STA
Le protocole STP utilise lalgorithme Spanning Tree (STA) pour determiner quels ports
doivent etre bloques.
*Il designe un switch comme pont racine quil utilise comme point de reference pour le calcul
de tous les chemins.
*Une fois le pont racine determine, lalgorithme STA calcule le chemin le plus court entre un
switch donne et le pont racine.
Meilleur chemin
Lalgorithme STA determine le meilleur chemin vers le pont racine a partir de chaque switch
du domaine.
Le meilleur chemin est determine par la somme des differents couts de ports entre un switch
donne et le pont racine. La somme la plus basse est preferee.
Les couts definis par lIEEE sont les suivants :
10 Gb/s: 2
1 Gb/s: 4
100 Mb/s: 19
10 Mb/s: 100
Pour verifier le couts des chemins et des ports vers le pont racine, on utilise la commande
show spanning-tree .
Lidentificateur de switch contient 3 champs :
valeur de priorite
ID du systeme etendu
adresse MAC du switch
Chaque champ du BID est utilise lors du processus de selection du pont racine.
Le switch qui possede la valeur de priorite la plus basse a la priorite la plus elevee.
LID du systeme etendu contient la valeur de lID du vlan auquel la trame BPDU est associee.
La valeur dID du systeme etendu est ajoutee a la valeur de priorite du switch.
Lorsque deux switches sont configures avec la meme priorite et possedent le meme ID de
systeme etendu, le switch dont ladresse MAC est la plus faible
.Configuration du BID
Switch(conf)#spanning-tree vlan id vlan priority valeur
Pour etre sur que le switch a bien la valeur de priorite la plus basse :
Switch(conf)#spanning-tree vlan id vlan root-primary
puis, si necessaire :
Switch(conf)#spanning-tree vlan id vlan root-secondary
Role des ports
Il existe 4 roles distincts de ports de switch ; ils sont automatiquement configures durant le
processus STP.
Le port racine Il sagit du port du switch offrant le meilleur chemin vers le pont racine. Un
seul port racine est autorise par switch.
Le port designe existe sur les ponts racines et non racines.
Sur le pont racine : tous les ports sont des ports designes.
Sur le pont non racine : le port designe est celui qui transmet les trames vers le pont racine.
Un seul port designe est autorise par segment.
Le port non designe est un port qui est bloque. Il ne transmet pas de donnees.
Lalgorithme Spanning Tree determine le role de port affecte a chacun des ports dun switch.
Processus de convergence du protocole STP
Le processus de convergence du protocole STP se decompose en trois parties :
Designation dun pont racine :
Tous les switches du domaine participent au processus delection.
Designation des ports racines :
Le port ayant le cout de chemin global le plus faible devient le port racine.
Lorsque deux ports ont le meme cout de chemin le plus faible vers le pont racine, on utilise la
valeur de priorite de port ou lID de port la plus faible si les valeurs de priorite sont les
memes.
Pour configurer la priorite du port fa0/1 :
Switch(conf)#interface fa0/1
Switch(config-if)#spanning-tree port-priority valeur
La plage des valeurs de priorite des ports varie 0 a 240, par increment de 16. La valeur de
priorite de port par defaut est 128.
Designation des ports designes :
Le pont racine configure tous ses ports en tant que ports designes.
Lorsque deux switches sont connectes au meme segment, ils doivent elire le port designe et le
port non designe. Pour ce faire, le port designe est celui qui a le cout de chemin de plus faible.
Si les deux ports ont le meme cout de chemin, les deux switches echangent leurs BID
respectifs. Celui qui a le BID le plus bas obtient le port designe.
Etats des ports STP
Pour faciliter lapprentissage et la construction de larbre, chaque port dun switch passe par 5
etats possibles et trois minuteurs :
Les 5 etats possibles sont :

Blocage : Le port est un port non designe qui ne participent pas a lacheminement des trames
mais il recoit les trames BPDU.
Ecoute : le protocole STP a determine que le port peut participer a lacheminement des
trames. Il recoit les trames BPDU.
Apprentissage : Le port se prepare a participer a lacheminement et commence a enricher la
table dadresses MAC.
Acheminement : Le port est considere comme integre a la topologie active ; il achemine les
trames, il envoie et recoit des trames BPDU.
Desactivation : Le port ne participe pas a la topologie active et nachemine aucune trame. Il
est desactive administrativement.
Technologie PortFast
Lorsquun port dacces est configure en PortFast, il passe directement de letat de blocage a
letat dacheminement sans passer par les autres etapes. Ceci permet a un serveur ou une
station de se connecter immediatement au reseau sans attendre la fin de la convergence du
Spanning Tree.
Pour configurer le port Fa0/1 en PortFast :
Switch(conf)#interface fa0/1
Switch(config-if)#spanning-tree portfast
Les VLANs
Deux hotes appartenant a des VLAN distincts ne peuvent pas communiquer
Il existe cependant un moyen de les faire communiquer : le routage interVLAN.
Routage interVLAN est un processus dacheminement du trafic reseau dun VLAN `a
lautre a laide dun routeur.
Il existe deux methodes de routage interVLAN :
Routage interVLAN traditionnel
Chaque interface sur le routeur est connectee a un VLAN distinct.
Chaque interface du routeur est configuree avec une adresse IP appartenant au VLAN
particulier auquel elle est connectee. Elle est donc la passerelle du VLAN.
Linterface physique du routeur doit etre connectee sur le switch adjacent en mode acces.
Routage interVLAN (router on a stick)
Afin de surmonter les limitations materielles du routage interVLAN base sur les interfaces
physiques du routeur, on utilise
des liaisons agregees
des sousinterfaces virtuelles
Une sousinterface est une interface virtuelle affectee a une interface physique.
Linterface physique du routeur doit etre connectee a une liaison agregee sur le switch
adjacent.
Sur linterface physique, une sousinterface est creee pour chaque VLAN.
Il existe deux methodes pour configurer une interface physique et ses sousinterfaces
virtuelles.
Premiere methode
On configure linterface physique avec ladresse ip du VLAN 1 (natif) :
Router(config)# interface fa0/0
Router(config-if)# description vlan1
Router(config-if)# ip address ad-ip masque-ssreseau
Router(config-if)# no shut
Puis, on configure les autres VLAN sur les sous-interfaces :
Router(config)# interface fa0/0.num-sous-int
Router(config-if)# description vlan-num
Router(config-subif)# encapsulation dot1Q num-vlan
Router(config-subif)# ip address ad ip masque ssreseau
Seconde methode
Tous les VLAN, y compris le VLAN 1 (natif) sont configures sur des sousinterfaces.
On commence par configurer le VLAN 1 :
Router(config)# interface fa0/0.1
Router(config-subif)# encapsulation dot1Q 1 native
Router(config-subif)# ip address ad ip masque ssreseau
Puis les autres VLAN :
Router(config)# interface fa0/0.num-sous-int
Router(config-if)# description vlan-num
Router(config-subif)# encapsulation dot1Q num-vlan
Router(config-subif)# ip address ad ip masque ssreseau
Remarque : il ne faut pas oublier dactiver (no shut) linterface physique.