Configuration des Switchs VLAN & IEEE 802.1d, q et x sur Catalyst 2950 CISCO

Transcription

1 Cnfiguratin des Switchs VLAN & IEEE 802.1d, q et x sur Catalyst 2950 CISCO CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS GEFI SA 85/87 Avenue du Gl de GAULLE CRETEIL

2 Table des matières Table des matières I. OBJECTIFS DU COURS...1 II. RAPPEL DES ACQUIS...2 II.A LE TRANSPARENT BRIDGING...2 II.B LES SWITCHS OU COMMUTATEURS...3 II.B.1 Présentatin...3 II.B.2 Mdes de cmmutatin...4 II.B.3 Fnctinnement...4 II.B.4 Caractéristiques...5 II.B.5 Intérêts des VLAN...5 II.C IP : INTERNET PROTOCOL...6 II.D LA SEGMENTATION D UN RESEAU...8 II.D.1 Par Switch...8 II.D.2 Par Ruteur...8 II.E SYNTHÈSE...8 III. PRÉSENTATION DES SWITCHS CISCO...10 III.A PRÉSENTATION...10 III.B CATALYST III.C CATALYST III.D CATALYST III.E CATALYST III.F CATALYST III.G CATALYST III.G.1 Catalyst 2900 Series XL Switches...15 III.G.2 Catalyst 2950 Series Switches...15 III.G.3 Descriptin...16 III.H CISCO III.H.1 Cnnexin au Prt Cnsle...18 III.I LE BOUTON MODE...19 III.I.1 Stat...20 III.I.2 UTL...20 III.J POWERING ON THE SWITCH AND RUNNING POST...21 IV. PROCEDURE DE CONFIGURATION PAR CLI...22 IV.A LE CLI...22 IV.B LES MODES DE CONFIGURATION...22 IV.C SVI : SWITCH VIRTUAL INTERFACE...23 IV.D AFFECTATION D UN PORT...24 IV.E POUR CONNECTER UN ORDINATEUR A UN PORT...25 IV.F CONFIGURATION IP...26 IV.G LES MOTS DE PASSE...27 IV.H GESTION DES ADRESSES MAC...29 IV.I APPLICATION...30 IV.I.1 Blck Switch IV.I.2 Blck Switch IV.I.3 Cnfiguratin Type...32 Les Switchs CISCO GEFI SA Page i

3 Table des matières V. LE SPANNING TREE PROTOCOL...33 V.A PRESENTATION...33 V.B PROBLEMES DES BOUCLES...34 V.C OPTIMISATION...34 V.D PONTAGE VS COMMUTATION...35 V.E HALF-SUPLEX VS FULL-DUPLEX...35 V.F STP TIEBREAKERS...35 V.G DESCRIPTION DE FONCTIONNEMENT...36 V.H PARAMETRES DE FONCTIONNEMENT...37 V.I FORMAT DES BPDU...38 V.J ELECTION DU ROOT BRIDGE...40 V.K CALCUL DU ROOT PATH COST...41 V.L ÉLECTION DU ROOT PORT...42 V.M ÉLECTION DU DESIGNATED PORT...43 V.N LES BOUCLES DE NIVEAU DEUX SONT SUPPRIMEES...45 V.O SYNTHESE...46 V.P EXERCICES...47 V.Q ÉTAT DES PORTS EN STP...48 V.R ÉTUDE DE CAS...50 V.S RECALCUL DE L ARBRE SPANNING TREE...55 V.T RÉSUMÉ...56 V.U ACTION DU PORT COST...58 V.V ROOT SWITCH & SECONDARY ROOT SWITCH...61 V.W CONFIGURATION...62 V.W.1 Présentatin...62 V.W.2 Les cmmandes...63 V.W.3 Exemple...64 V.X APPLICATION DU STP...65 V.X.1 Applicatin V.X.2 Applicatin V.X.2.a Blck Switch V.X.2.b Blck Switch V.X.3 Applicatin V.X.3.a Blck Switch V.X.3.b Blck Switch VI. LES VLANS...70 VI.A PRESENTATION...70 VI.B TRANSPORT DES VLANS OU TRUNK...72 VI.B.1 Présentatin...72 VI.B.2 ISL...73 VI.B.3 IEEE 802.1Q u Dt1q...74 VI.C INTERCONNEXION...75 VI.D CONFIGURATION...76 VI.D.1 Déclaratin des VLAN...76 VI.D.2 Le prt en mde Multi-VLAN...77 VI.D.3 Le prt en mde TRUNK...78 VI.D.4 Creating EtherChannel Prt Grups...79 VI.D.5 Applicatin...80 VI.E APPLICATION...82 VI.E.1 Blck Switch VI.E.2 Blck Switch VI.F OBSERVATIONS...84 VII. LE ROUTAGE INTER VLAN...85 VII.A PAR ROUTEUR INDEPENDANT...85 VII.B PAR UN COMMUTATEUR DE NIVEAU VII.B.1 Méthdes...86 VII.B.2 Cmmandes...86 Les Switchs CISCO GEFI SA Page ii

4 Table des matières VII.C APPLICATION VII.C.1 Blck Switch VII.C.2 Blck Switch VII.D APPLICATION VIII. SPAN & RSPAN...91 VIII.A SPAN...91 VIII.A.1 Catalyst VIII.A.2 Catalyst VIII.B RSPAN...93 VIII.B.1 Créatin de la sessin surce...93 VIII.B.2 Créatin de la sessin destinatin...93 IX. LE VTP...94 IX.A FONCTIONNEMENT...94 IX.B VTP MODES AND MODE TRANSITIONS...95 IX.C CONFIGURATION SUR C2900 & C3500 SERIES...96 IX.C.1 Les cmmandes...96 IX.C.2 Cnfiguratin VTP serveur...97 IX.C.3 Ajut d un VLAN...97 IX.C.4 Visualisatin d un Vlan...97 IX.C.5 Cnfiguratin VTP Client...98 IX.D CONFIGURATION CATALYST 5000 SERIES...98 IX.D.1 Cnfiguratin VTP serveur...98 IX.D.2 Cnfiguratin VTP client...98 X. CDP...99 XI. X.A PRESENTATION...99 X.B LES COMMANDES...99 CVMS XII. LE CLUSTER XII.A CRÉATION XIII. IEEE 802.1X XIII.A PRESENTATION DE L'AUTHENTIFICATION 802.1X XIII.B RADIUS XIII.B.1 Présentatin XIII.B.2 Présentatin de Freeradius XIII.B.3 Cnfiguratin de Freeradius XIII.B.3.a /etc/raddb/radiusd.cnf XIII.B.3.b /etc/raddb/clients.cnf XIII.B.3.c /etc/raddb/users XIII.C CISCO XIII.C.1 Cnfiguratin Guidelines XIII.C.2 Enabling 802.1X Authenticatin XIII.C.3 Cnfiguring the Switch-t-RADIUS-Server Cmmunicatin XIII.D EAP MD5-CHALLENGE XIII.D.1 Cnfigure the Catalyst fr 802.1x XIV. XIII.D.2 Freeradius XIII.D.3 Windws XP Pr XIII.D.3.a Cnfiguratin de l interface réseau XIII.D.3.b Verify the 802.1x Operatin XIII.D.3.c Vérificatin : après cnnexin au prt FA0/7 du switch EXERCICE DE SYNTHÈSE ANNEXE A. BRIDGE ID, SWITCH PRIORITY, AND EXTENDED SYSTEM ID Les Switchs CISCO GEFI SA Page iii

5 Table des matières ANNEXE B. ANNEXE C. ANNEXE D. ICMP MISE A JOUR D IOS PASSWORD RECOVERY PROCEDURE ANNEXE E. CORRECTION ANNEXE F. MPLS F.I PRESENTATION F.II TERMINOLOGIE ANNEXE G. MLS G.I TERMINOLOGY G.II INTRODUCTION TO MLS G.III KEY MLS FEATURES G.IV MLS IMPLEMENTATION G.V CONFIGURING MLS ON A ROUTER G.VI MONITORING MLS G.VII MONITORING MLS FOR AN INTERFACE G.VIII MONITORING MLS INTERFACES FOR VTP DOMAINS ANNEXE H. SNMP ANNEXE I. ALGORITHME DE IP ANNEXE J. CONSOLE PORT SIGNALS AND PINOUTS ANNEXE K. GLOSSAIRE ANNEXE L. BIBLIOGRAPHIE CISCO Les Switchs CISCO GEFI SA Page iv

6 Chap I.Objectifs du curs I. Objectifs du curs Mise en pratique des curs : Cncepts et technlgies des réseaux Les réseaux lcaux : Ethernet & Transparent Bridging TCP/IP : Adressage IP & Rutage Intercnnexin des réseaux (ITR1) Installatin, utilisatin et Cnfiguratin d équipements CISCO : Switchs Catalyst 2950 & Ruteurs C2621 Le Spanning Tree : IEEE 802.1D Les VLANs : IEEE 802.1Q Authentificatin : IEEE 802.1X Cnfiguratin de cmmutateurs de niveau 3 Rutage inter VLAN Méthde de dépannage Planning 1 jur 2 jur 3 jur 4 jur 5 jur Matin Présentatin du curs & Rappel des acquis Installatin matériel & Cnfiguratin initiale Spanning Tree (Mise en euvre) Les VLAN (Mise en euvre) 802.1X & Synthèse Après-midi Présentatin des Switchs & Prcédures de cnfiguratin Spanning Tree (thérie) Les VLAN (thérie) Rutage inter VLAN & Analyse de trames Test d évaluatin Les Switchs CISCO GEFI SA Page 1

7 Chap II.Rappel des acquis Sus Chap. II.A Le Transparent Bridging II. Rappel des acquis II.A Le Transparent Bridging les pnts et switchs Ethernet fnctinnent en Transparent Bridging : par aut apprentissage (Self Learning Prcess) des addresses MAC, les statins (statins de travail, serveurs, ruteurs, etc.) en cmmunicatin ignrent que leurs trames snt pntées. Les interfaces fnctinnant en mde Prmiscuus (sans discriminatin), un pnt reçit tut le trafic émis par les machines envirnnantes. Lrsqu un équipement réseau émet, sa trame est capturée par le pnt qui réalise les actins suivantes : Il mémrise l adresse MAC Puis il scrute sa FDB (Frwarding Data Base) pur vérifier la présence de l adresse MAC Si l adresse MAC Destinatin est Sinn Il réarme le Aging-Time, si l adresse MAC Surce existe déjà : durée de vie d une adresse MAC dans la FDB. La valeur prédéfinie entre 10 secndes et 11 ans (par défaut 300 secndes). Il innde les réseaux à la réceptin d une trame en bradcast. Les Bradcast physiques : trames ayant une adresse de Bradcast dans le champ adresse MAC destinatin. Effet sur le réseau : Effet sur les systèmes : Le Spanning Tree Prtcl u IEEE802.1d Évite les bucles de niveau dans une architecture. Les Switchs CISCO GEFI SA Page 2

8 Chap II.Rappel des acquis Sus Chap. II.B Les Switchs u Cmmutateurs II.B Les Switchs u Cmmutateurs II.B.1 Présentatin C est un cncentrateur cmmutateur de niveau 2 qui dirige directement le message vers le destinataire. Il fnctinne cmme un pnt, par aut apprentissage des adresses MAC sur ses prts. Au départ, les tables du Switch snt vides. Le Switch apprend l adresse MAC de la machine surce cnnectée à sn prt, lrsque celleci émet une trame. Puis le Switch recherche dans ses tables l adresse MAC destinatin, si l adresse existe une seule trame sera émise à destinatin du pste destinataire, sinn la trame sera émise sur tus les autres prts. Lrsqu un Switch reçit une trame en Bradcast u en Multicast, il inndera le réseau de cette trame. Les Switchs ne filtrants pas les diffusins générales (Bradcast) et les diffusins restreintes à des grupes (Multicast), ils prvquent dans les réseaux mdernes des tempêtes de diffusin u Bradcast Strm. Incnvénients : Sur les grands réseaux, les Switchs (cmme les pnts) laissent passer les Bradcasts physiques, ce qui peut générer des Bradcast Strm. Les Bradcasts détérirent les perfrmances des systèmes (rdinateurs) en cnsmmant du temps CPU pur désencapsuler les messages. Pur éviter cet incnvénient, il faut segmenter le réseau par des ruteurs. Et ils intrduisent des temps de latence (temps d exécutin du pntage). Cmme les Switchs fnctinnent en Transparent Bridging, il y a bligatin de mettre en œuvre le STP (Spanning Tree Prtcl) lrs d architecture redndante de niveau deux. Avantages : Les Switchs Ethernet (Transparent Bridging) blquent les cllisins, ce qui permet d amélirer débit réel. Les Switchs évitent les cllisins, ce qui supprime le dmaine de cllisin dnc le RTD (Rund Trip Delay), ainsi n peut réaliser des architectures MAN avec la technlgie Ethernet. Ils permettent également la mise en œuvre du Full Duplex pur amélirer encre le débit effectif du réseau. Les Switchs CISCO GEFI SA Page 3

9 Chap II.Rappel des acquis Sus Chap. II.B Les Switchs u Cmmutateurs II.B.2 Mdes de cmmutatin Le Stre and Frward, cmmutatin différée, dispse d une mémire tampn (buffer) qui lui permet de stcker le message entier, d en vérifier l intégrité (CRC) u nn, puis de l envyer vers sn destinataire. Le Cut Thrugh, cmmutatin directe, ne dispse pas de mémire tampn et cmmute le message à la vlée dés réceptin de l adresse MAC de destinatin et est dnc plus rapide mais mins sécurisant. Cela ne permet pas au Switch de supprimer une trame avec une erreur de CRC. Le Fragment Free, cmmutatin sans fragment, cmme le Cut Thrugh la cmmutatin est réalisée à la vlée mais après les 512 premiers bits ce qui évite de transmettre les trames errnées par une cllisin. Les Switchs nt deux mdes d utilisatin : Prt Switching : un prt une machine (un serveur par exemple). Segment Switching : un prt un réseau (un HUB u un autre SWITCH par exemple). II.B.3 Fnctinnement TB : Transparent Bridging Les réseaux Ethernet utilisent des pnts fnctinnant en Transparent Bridging. Les Switchs u cncentrateurs cmmutateur utilisés en 10BaseT, 100BaseTx u 1000BaseT se cnfrment à la nrme IEEE 802.1d (Spanning Tree). Le pnt maintient une base de dnnées pur cmmuter les trames : Frwarding Data Base u FDB. Cette table se remplit par aut apprentissage (Self Learning). La cnnaissance de la psitin des machines est réalisée par le mde de fnctinnement prmiscuus des pnts, ils prennent cpie de tutes les trames circulant sur les réseaux. A la mise sus tensin la table FDB est vide. A la réceptin d une trame, l adresse MAC surce et le prt sur lequel le paquet a été reçu, snt mémrisés dans la FDB. Pur chaque trame reçue, le pnt recherche dans sa FDB (Frwarding Data Base) l adresse MAC Destinatin : Si l adresse MAC de destinatin est cnnue, le pnt émet la trame sur le prt spécifié dans la FDB. Si l adresse MAC de destinatin est incnnue, le pnt émet la trame sur tus les autres prts (mécanisme de flding/inndatin). Par sn mde de fnctinnement (TB) le switch a bligatin de prpager (inndatin) les trames en Bradcast. La table cmprte également pur chaque entrée, la date et l heure du dernier accès (Aging-Time). Ce time-ut permet de supprimer les entrées qui ne snt plus utilisées (par défaut 15 minutes) pur éviter d encmbrer inutilement la mémire et le prcesseur du switch. Les Switchs CISCO GEFI SA Page 4

10 Chap II.Rappel des acquis Sus Chap. II.B Les Switchs u Cmmutateurs II.B.4 Caractéristiques Meilleur accès au média Bande Passante dédiée (le trafic est dirigé directement vers la statin spécifiée), Mins de cnflits d accès, si le FDX est actif il n y a plus de cllisins Les distances entre machines snt augmentées car n peut supprimer le RTD. Ils peuvent travailler en Full Duplex Suppressin du RTD (Rund Trip Delay) Avantages des switchs : Débit améliré par la bande passante dédiée et la suppressin des cllisins Périmètre du réseau agrandi par la suppressin du RTD (Rund Trip Delay) Sécurité cntre l écute du trafic car la bande passante est dédiée. II.B.5 Intérêts des VLAN Limiter les dmaines de bradcast Garantir la sécurité Permettre la mbilité des utilisateurs Nuvelle manière d expliter la cmmutatin pur une meilleure flexibilité des réseaux lcaux. Les Switchs CISCO GEFI SA Page 5

11 Chap II.Rappel des acquis Sus Chap. II.C IP : Internet Prtcl II.C IP : Internet Prtcl Une rute : désigne l accessibilité d un réseau cible par l adresse du prchain ruteur (Next Hp Gateway), le réseau cible est représenté par une adresse IP et un SubNet Mask. Une table de rutage est une base de dnnées cnstituée d enregistrements. Chaque enregistrement désigne une rute qui cntient cinq champs : Target_Address Subnet Mask Next_Hp_Gateway Flags Interface Le champ Target_Address (Adresse cible) cntient l'adresse IP cible d'un réseau (u sus réseau) u d une machine (hst). Le champ Subnet Mask cntient le subnet mask asscié à l adresse cible. Quand le Flag G est présent, le champ Next_Hp_Gateway cntient l adresse IP du prchain ruteur. Attentin le Next Hp Gateway dit être accessible en rutage direct. Une machine IP (ruteur u hst) cnnaît uniquement le prchain ruteur pur atteindre la destinatin finale. Le champ Flags cntient : U : la rute est en service (Up) G : la rute utilise un ruteur (Gateway). Ce Flag permet de différencier le rutage direct du rutage indirect. H : La rute fait référence à une autre machine (Hst). Si ce Flag n est pas psitinné la rute pint vers un réseau. D : La rute a été créée par une redirectin (ICMP Redirect). M : La rute a été mdifiée par une redirectin. Le champ Interface cntient le nm de l interface réseau qui émet le datagramme. L acquisitin des rutes par une machine IP s effectue de quatre manières pssibles. a. Les rutes directement cnnectées : ces rutes snt autmatiquement créées lrs de la cnfiguratin des interfaces. b. Les rutes statiques : ces rutes divent être déclarées manuellement u par des fichiers statiques par la cmmandes Rute. c. Les rutes dynamiques : ces rutes snt créées par des prtcles de rutages dynamiques (RIP, OSPF). d. Par ICMP Redirect Les Switchs CISCO GEFI SA Page 6

12 Chap II.Rappel des acquis Sus Chap. II.C IP : Internet Prtcl Algrithme de rutage Les rutes de la table de rutage snt classées dans l rdre suivant : Les rutes des réseaux qui snt directement cnnectés à la platefrme Les rutes vers les machines (hst) Les rutes vers les réseaux (par rutage statique et dynamique) La Default Gateway [rute statique ptinnelle]. Chaque rute de la table de rutage est évaluée dans l rdre précisé ci-dessus : Réalisez la fnctin lgique ET entre l adresse IP destinatin et le Subnet Mask de la rute Si le résultat est identique à l adresse cible de la rute Alrs : Appliquer la rute Sinn : passer à la ligne suivante Quand tutes les rutes de la table de rutage nt été évaluées et qu aucune crrespndance n a été truvé, IP infrme d une erreur par un message ICMP : Destinatin Unreachable. Les Switchs CISCO GEFI SA Page 7

13 Chap II.Rappel des acquis Sus Chap. II.D La Segmentatin d un réseau II.D La Segmentatin d un réseau Pnt/Switch Ruteur Cuche 2 Cuche 3 Adresse MAC Adresse lgique Transparent Rute II.D.1 Par Switch Améliratin le débit : bande passante dédiée et suppressin de cllisins. Diamètre du réseau beaucup plus imprtant, car le RTD est supprimé. Sécurité : bande passante dédiée. II.D.2 Par Ruteur Évite le Bradcast Strm (tempête de bradcast). Tut ruteur blque les bradcast physiques mais également les bradcast lgiques (par défaut sur les ruteurs CISCO). Sécurité : par la mise en place d Access List (ACL). II.E Synthèse le switch supprime le principal incnvénient d Ethernet : la cllisin. Avantages des Switchs, Débit améliré par la suppressin des cllisins. circuit dédié Distance amélirée (MAN) : par la suppressin des cllisins dnc du RTD (Rund Trip Delay) ce qui permet de s affranchir des distances. Sécurité circuit dédié Avantages des Ruteurs : Cntrôle du trafic en Bradcast : Limitatin des Bradcast Strm. Intercnnexin de réseaux physiques hétérgènes. Cntrôle du trafic Multicast Déterminatin ptimale des rutes : rutage statique et/u dynamique. Adressage lgique indépendant des réseaux physiques. Sécurité de niveau 3 : Access List. Les Switchs CISCO GEFI SA Page 8

14 Pwer Status NETBuilder II CISCO S YSTEMS SD SD FAN PS2 PS1 SUPERVISOR ETHERNET SWITCHING ENGINE RX 1 TX RX ETHERNET SWITCHING MODULE 100% LOAD TX RX 3 TX RX 4 TX RX POWER 115/230 VAC 9.8/4.9 A 60/50Hz TX RX MDI X TX RX MII MDI X POWER 115/230 VAC 9.8/4.9 A 60/50Hz TX RX 8 TX RX 9 TX RX 10 TX RX 11 MII TX RX 12 TX SD SD SD SD Chap II.Rappel des acquis Sus Chap. II.E Synthèse Cisc 3600SERIES Ruteur FDX FDX Ordinateur 3Cm Cmmutateur 1-4 STATUS STATUS RESET SWITCH 1% CONSOLE 100Mbps LINK PORT 1 100Mbps LINK PORT 2 STATUS Pnt STATUS STATUS Ordinateur FDX FDX FDX Ordinateur Ordinateur Ordinateur Ordinateur Dmaine de Bradcast Dmaine de Cllisins Les Switchs CISCO GEFI SA Page 9

15 Chap III.Présentatin des Switchs CISCO Sus Chap. III.A Présentatin III. Présentatin des Switchs CISCO III.A Présentatin CISCO classe ses équipements dans tris catégries : Cre layer, Distributin layer et Access layer. Cette classificatin permet aux cncepteurs de réseaux de chisir les équipements nécessaires. Fnctinnalités Type de matériels Cre layer Catalyst 6000 Distributin layer Catalyst 4000 et 5000 Access layer Pint de cnnexin au réseau des statins utilisateurs Catalyst 1900, 2900 La cuche d accès réseau (Access layer) est l endrit ù les utilisateurs finaux se cnnecternt pur accéder aux ressurces partagées. Un certain nmbre de switchs Catalyst snt capable de ruter en fnd de panier, pur implémenter cette fnctinnalité, il faut rajuter une carte RSM (Rute Switch Mdule). Maintenant n peut également intégrer un switch dans un ruteur, par exemple un mdule ESW (Ethernet Switch Mdule pur les Cisc 2600, 3600 et 3700 series). Les Switchs CISCO GEFI SA Page 10

16 Chap III.Présentatin des Switchs CISCO Sus Chap. III.B Catalyst 2900 III.B Catalyst 2900 Les Switchs CISCO GEFI SA Page 11

17 Chap III.Présentatin des Switchs CISCO Sus Chap. III.C Catalyst 2950 III.C Catalyst Catalyst 2950 SERIES 1 2 SYST RPS STRT UTIL DUPLXSPEED MODE Catalyst 2950 SERIES 1 SYST RPS STRT UTIL DUPLXSPEED 2 MODE Catalyst 2950 SERIES 1 2 SYST RPS STRT UTIL DUPLXSPEED MODE Base-T/100Base-TX Catalyst 2950 SERIES SYST RPS STRT UTIL DUPLXSPEED MODE 10Base-T/100Base-TX Catalyst 2950 SERIES A 100Base-FX B SYST RPS STRT UTIL DUPLXSPEED MODE Les Switchs CISCO GEFI SA Page 12

18 Chap III.Présentatin des Switchs CISCO Sus Chap. III.D Catalyst 3500 III.D Catalyst 3500 Catalyst 3500 Series XL Switches Les Switchs CISCO GEFI SA Page 13

19 Chap III.Présentatin des Switchs CISCO Sus Chap. III.E Catalyst 5000 III.E Catalyst 5000 III.F Catalyst et 6009 Les Switchs CISCO GEFI SA Page 14

20 Chap III.Présentatin des Switchs CISCO Sus Chap. III.G Catalyst 2900 III.G Catalyst 2900 III.G.1 Catalyst 2900 Series XL Switches Nmbre maximum d adresses MAC supprtées par Switch Mdèle de Switch Nmbre d adresses MAC Catalyst 2924 XL, 2924C XL, and 2912 XL 2048 Catalyst 2924M XL and 2912MF XL 8192 Catalyst 2900 LRE XL 8192 Catalyst 3500 XL 8192 Différentes versins : WS-C2912-XL : 12 prts autsensing 10/100 Mbps WS-C2924-XL : 24 prts autsensing 10/100 Mbps WS-C2924C-XL : 22 prts autsensing 10/100 Mbps & 2 prts 100BaseFX WS-C2912MF-XL : 12 prts 100BaseFX & 2 slts d extensins haute débit (Gigabit Ethernet u ATM). WS-C2924MF-XL : 24 prts autsensing 10/100 Mbps & 2 slts d extensins haute débit. Perfrmance et caractéristiques : Aut négciatin du débit et Half/Full Duplex des prts. Supprte jusqu à 64 VLANs, car il ne peut gérer que 64 instances STP (IEEE 802.1d) Tus les prts supprtent le Trunking ISL & dt1q Des cnnexins EtherChannel (agrégatin de prts) entre switchs et serveurs. III.G.2 Catalyst 2950 Series Switches Différentes versins : WS-C : 12 prts autsensing 10/100 Mbps WS-C : 24 prts autsensing 10/100 Mbps WS-C2950C-24 : 24 prts autsensing 10/100 Mbps & 2 prts 100BaseFX WS-C2950T-24 : 24 prts autsensing 10/100 Mbps & 2 prts autsensing 10/100/1000 Mbps Perfrmance et caractéristiques : Aut négciatin du débit et Half/Full Duplex des prts. Supprte 8192 adresses MAC Supprte jusqu à 64 VLANs, car il ne peut gérer que 64 instances STP (IEEE 802.1D) Tus les prts supprtent le Trunking dt1q (IEEE 801.1Q) Des cnnexins EtherChannel (agrégatin de prts) entre switchs et serveurs. Les Switchs CISCO GEFI SA Page 15

21 Chap III.Présentatin des Switchs CISCO Sus Chap. III.G Catalyst 2900 III.G.3 Descriptin En fnctin du mdèle un Switch peut avir: Jusqu à 24 prts 10/100 Mbps, Jusqu à 12 prts 100Base-FX, 2 Slts d extensin, et jusqu à 24 prts Lng-Reach Ethernet (LRE). Tus les Switchs pssèdent un ensemble de LEDs et d un butn de MODE. Catalyst 2900 XL Frnt-Panel 10/100 Prts Catalyst 2912 XL, 2924 XL, and 2924C XL Rear Panel Les Switchs CISCO GEFI SA Page 16

22 Chap III.Présentatin des Switchs CISCO Sus Chap. III.H Cisc 2621 III.H Cisc 2621 Cette génératin de ruteur ffre de nmbreux avantages par rapprt à la génératin précédente (Cisc 2500). L avantage principal est sa mdularité par l adjnctin de mdules NM (Netwrk Mdule) et WIC (WAN Interface Card). Le Cisc 2600 pssède un emplacement NM. Ici un mdule NM-16ESW qui est un switch 16 prts sur lequel n peut rajute un prt Giga Ethernet. Et deux emplacements WIC. Etc. Questin : que représente cmme équipement réseau un Cisc 2621 avec un mdule NM-16ESW? Un switch : Un ruteur : Un cmmutateur de niveau 2 et 3 : Attentin, dans cette cnfiguratin (C2621 plus ESW) les prts Ethernet n nt pas la même cnnectique : Les prts du ruteur nt une cnnectique de type Hst, c'est-à-dire que les brches une et deux représentent la paire émissin. Tandis que les prts du mdule NM-16ESW nt une cnnectique de type HUB, c'est-à-dire que les brches une et deux représentent la paire réceptin. 2621XM W1 100 Mbps LINK 100 Mbps LINK FDX W0 10/100 ETHERNET 0/0 10/100 ETHERNET 0/0 CONSOLE AUX NM- FASTETHERNET PORTS 15x 8x EXT ESW- PWR 161 WIC -48V GE ADSL CD LP OK 1ADSL NM- FASTETHERNET PORTS 15x 8x EXT ESW- PWR 161 WIC -48V GE ADSL CD LP OK 1ADSL 7x 0x 10/ 100/ 1000 BASE TX EN 15x 7x 14x 6x 13x 5x 12x 4x 11x 3x 10x 2x 9x 1x 8x 0x 7x 0x 10/ 100/ 1000 BASE TX EN W1 100 Mbps LINK 100 Mbps LINK FDX W0 2621XM 15x 7x 14x 6x 13x 5x 12x 4x 11x 3x 10x 2x 9x 1x 8x 0x 10/100 ETHERNET 0/0 10/100 ETHERNET 0/0 CONSOLE AUX Les Switchs CISCO GEFI SA Page 17

23 Chap III.Présentatin des Switchs CISCO Sus Chap. III.H Cisc 2621 III.H.1 Cnnexin au Prt Cnsle Les Switchs CISCO GEFI SA Page 18

24 Chap III.Présentatin des Switchs CISCO Sus Chap. III.I Le butn Mde III.I Le butn Mde Prt Mde LEDs n the Catalyst 2912 XL, 2924C XL, 2924 XL, 2924MF XL, and 2924M XL Switches Mde LED Prt Mde Descriptin STAT Prt Status L état du prt : le mde par défaut UTL Switch utilizatin La bande passante utilisée par le Switch FDUP Prt duplex mde Le mde duplex du prt : Full Duplex u Half Duplex 100 Prt speed Le débit du prt : 10, 100 u 1000 Mbps Indicatin de la bande passante Un système de lumières vertes apparaît si le cmmutateur est pératinnel. Il sera de culeur ambré si une défaillance système est détectée. Le RPS est une lumière d'alimentatin d'énergie redndante qui est «ON» si un prblème est détecté dans le cmmutateur. Le seul butn sur le cmmutateur 1900 est le butn de mde. Catalyst 1900 LEDs En appuyant le butn de mde, vus puvez vir tris lumières d états différentes sur le cmmutateur : Les Switchs CISCO GEFI SA Page 19

25 Chap III.Présentatin des Switchs CISCO Sus Chap. III.I Le butn Mde III.I.1 Stat Cette lumière mntre l état des prts. Si c'est vert, cela indique qu'un dispsitif est branché sur le cmmutateur. Vert => actif et une lumière verte cligntante => activité sur le prt. Si le prt est de culeur ambré, il y a eu un prblème de liaisn. III.I.2 UTL Cette lumière indique la largeur de bande du cmmutateur. Quand vus pressez le butn de mde sur un cmmutateur 1912 et les LEDs pur les prts 1 à 4 s activent, cela signifie que l'utilisatin de largeur de bande du cmmutateur est quelque part entre 0.1 et 1.5 Mbps. Si les LEDs 5 à 8 s'activent, cela indique que l'utilisatin est entre 1.5 et 20 Mbps alrs que pur les LEDs de 9 à 12 indiquent la largeur de bande est entre 20 et 120 Mbps. Les Switchs CISCO GEFI SA Page 20

26 Chap III.Présentatin des Switchs CISCO Sus Chap. III.J Pwering On the Switch and Running POST III.J Pwering On the Switch and Running POST T pwer n the switch after yu install it, fllw these steps: Step 1 Cnnect ne end f the AC pwer crd t the AC pwer cnnectr n the switch. Step 2 Cnnect the ther end f the pwer crd t an AC pwer utlet. As the switch pwers n, it begins POST, a series f eight tests that run autmatically t ensure that the switch functins prperly. When the switch begins POST, the prt LEDs turn amber fr 2 secnds, and then they turn green. The System LED flashes green, and the RPS LED turns ff. As each test runs, the prt LEDs, starting with number 1, turn ff. The prt LEDs fr prts 2 t 8 each turn ff in turn as the system cmpletes a test. When POST cmpletes successfully, the prt LEDs return t the status mde display, indicating that the switch is peratinal. If a test fails, the prt LED assciated with the test turns amber, and the system LED turns amber. If POST fails, refer t "Trubleshting," t determine a curse f actin. POST failures are usually fatal. Call Cisc Systems immediately if yur switch des nt pass POST. POST Test Descriptins Switch LED 1 DRAM 2 Flash memry 3 Switch CPU 4 System bard 5 CPU interface ASIC 6 Switch cre ASIC 7 Ethernet cntrller ASIC 8 Ethernet interfaces Les Switchs CISCO GEFI SA Page 21

27 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.A Le CLI IV. Prcédure de Cnfiguratin par CLI IV.A Le CLI CLI (Cmmand-Line Interface) est le terme qui désigne l interface en ligne de cmmande du terminal pur l IOS. Pur accéder au CLI n emplie ; un terminal, u une émulatin de terminal (HyperTerminal) sur le prt cnsle, u une cnnexin TELNET par le réseau. Terminal u HyperTerminal Prt Cnsle Switch Interfaces Réseaux Ordinateur & TELNET IV.B Les mdes de cnfiguratin User EXEC mde Privileged EXEC mde (privileged) Glbal cnfiguratin mde (glbal) Ruter> Ruter# Ruter(cnfig)# Ctrl-Z (end) # exit Other cnfiguratin mde Interface Subinterface Cntrller Line Ruter IPX-ruter Rute-map Autres Mdes de cnfiguratin Invite Cnfiguratin (interface) Ruter(cnfig-if)# Des interfaces (subinterface) Ruter(cnfig-subif)# Des interfaces virtuelles (line) Ruter(cnfig-line)# D accès à partir d un terminal (ruter) Ruter(cnfig-ruter)# Des prtcles de rutage IP Les Switchs CISCO GEFI SA Page 22

28 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.C SVI : Switch Virtual Interface Smmaire des Mdes de Cmmande switch> Switch# Switch(cnfig)# Switch(vlan)# Switch(cnfig-if)# switch(cnfigline)# IV.C SVI : Switch Virtual Interface Vus puvez bserver qu il est impssible d affecter une adresse IP à une interface d un switch ( n ip address sur chaque interface). Ceci est tut à fait nrmal, car les interfaces snt vues uniquement an niveau 2 (pntage) mais surtut pas au niveau 3 (rutage). Cmme une adresse IP est affectée sur une interface, il faut dnc créer une interface virtuelle qui représente le réseau de niveau 2. Celle-ci s appelle : BVI : Bridge Virtual Interface sur un pnt, SVI : Switch Virtual Interface sur un switch. Les Switchs CISCO GEFI SA Page 23

29 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.D Affectatin d un prt IV.D Affectatin d un prt Mde Static-access Multi-VLAN Trunk (ISL u dt1q) Dynamic-access Caractéristiques Dans ce mde les prts snt affectés manuellement à un seul VLAN. Par défaut tus les prts snt cnfigurés en static-access et assignés au VLAN 1. Mais également, le VLAN peut être affecté par un serveur Radius via 802.1x et la cmmande (cnfigif)dt1x prt-cntrl aut. Référence Chapitre XIII, page 103 Dans ce mde un prt peut appartenir jusqu à 250 VLANs par cnfiguratin manuelle. Ce mde interdit le Trunk dans un même Switch. Le trafic n est pas encapsulé dans un Multi-VLAN. Un trunk est membre de tus les VLANs dans la base de dnnées VLAN (VLAN Database) par défaut, mais l appartenance peut-être limitée par la cnfiguratin de la liste des allwed-vlan. En dynamic-access les prts appartiennent à un VLAN et snt assignés dynamiquement à un VLAN par un VLAN Membership Plicy Server (VMPS). Le VMPS peut-être hébergé sur un Catalyst de la série 5000, mais pas sur des switchs des séries 2900XL et 3500XL. Cmmandes générales Cmmandes Switch# erase startup-cnfig Switch# relad Switch# terminal mnitr Switch# terminal n mnitr Switch# undebug all significatin Effacement du fichier Startup-cnfig Arrête et redémarre le Switch Active l affichage des messages d erreur système et de DEBUG sur la cnsle Désactive l affichage des messages d erreur système et de DEBUG sur la cnsle Arrête le debug (analyseur réseau) Les Switchs CISCO GEFI SA Page 24

30 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.E Pur cnnecter un rdinateur à un prt IV.E Pur cnnecter un rdinateur à un prt Cmmandes Significatin () cnfigure terminal Entrez en mde cnfiguratin glbale (glbal) interface fastethernet 0/4 Chix du prt à cnfigurer u (glbal) interface range fastethernet 0/4-8 shutdwn Désactivez l interface avant de la cnfigurer descriptin Server WEB Adjindre une descriptin pur faciliter l administratin speed { aut} Cnfiguratin du débit duplex {full half aut} Cnfiguratin du mde DUPLEX spanning-tree prtfast Arrêt de la négciatin STP sur le prt pur une cnnexin plus rapide de la machine au réseau. switchprt mde access Cnfiguratin par défaut du prt en Static-access switchprt access vlan 3 Affectatin statique d un prt à un VLAN, ici au VLAN3 switchprt nnegtiate Evite de prpager les VLAN (tru de sécurité des switchs CISCO) n shutdwn Activez l interface end Retur en mde privileged EXEC () shw interfaces status Visualisatin cmplète de la cnfiguratin des interfaces () shw running-cnfig Vérifiez vtre cnfiguratin () cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. Éviter les aut-négciatins sur le débit et le Duplex, car cela génère une perte de bande passante. Le spanning-tree prtfast permet de raccrder plus rapidement un ruteur, une statin de travail u un serveur au réseau, mais si vus raccrder un HUB u un Switch : DANGER aux bucles de niveau deux. Nte : Le mde par défaut des interfaces de niveau 2 est switchprt mde dynamic desirable. Si l interface la plus prche supprte le trunking et cnfigurée pur, la cnnexin entre les deux switchs sera un lien Trunk. Si vus avez besin de cnfigurer plusieurs fis des grupes d interfaces { ethernet fastethernet gigabitethernet tengigabitethernet vlan }, pur puvez définir des macrs. La cmmande interface range peut être utilisée pur cnfigurer les interfaces suivantes interface range est type slt/first-prt last-prt [,type slt/first-prt last-prt], ù jusqu à cinq différents espaces (range) peuvent être définies. Le caractère, (cmma) énumére les interfaces cnstituant la macr. Par exemple, l expressin fa1/1, fa1/4 désigne uniquement les deux interfaces FA1/1 et FA1/4. Le caractère - (hyphen) brne une liste d interfaces. Par exemple, l expressin fa1/1 4 désigne les quatre interfaces de FA 1/1 à FA1/4. (glbal) interface range fa 1/1 4, fa 6/1 3 speed aut OR (glbal) define interface-range Hst-Prts fa 1/1 4, fa 6/1 3 (glbal) interface range macr Hst-Prts speed aut Les Switchs CISCO GEFI SA Page 25

31 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.F Cnfiguratin IP IV.F Cnfiguratin IP Sur un Switch, un Catalyst 2900 par exemple, une seule interface VLAN peut psséder une adresse IP active : par défaut le VLAN 1. Vus puvez affecter une adresse IP à plusieurs VLAN (SVI), mais seule la dernière adresse IP saisie sera effectivement active. Par cntre, sur les cmmutateurs de niveau 3 chaque VLAN aura une adresse IP qui permettra de réaliser le rutage entre ces différents réseaux (que snt les VLAN). Cnfiguratin générale IP : Cmmandes significatin () cnfigure terminal Entrez en mde glbale cnfiguratin (glbal) hstname Switch1 Définir le nm machine (glbal) ip default-gateway Définir la rute par défaut (Default Gateway) (glbal) ntp server Définir le serveur de temps (glbal) ip dmain-name gefi.hme Définir le suffixe DNS (glbal) ip name-server Définir les adresses des serveurs DNS (glbal) ip hst nms.gefi.hme Définitin lcale d une adresse IP en un nm symblique. Vir CMD : shw hsts (glbal) ip subnet-zer Lrs de subnetting, cette cmmande autrise l utilisatin du premier et dernier sus réseau, pur la cnfiguratin des interfaces et la mise à jur des tables de rutage (RFC 1812 & 1878). (glbal) end Retur en mde privileged EXEC () shw running-cnfig Vérifiez vtre cnfiguratin () shw hsts Visualisatin : IP dmain-name, lkup style, nameservers, and hst table. Vir CMD ip hst. () cpy running-cnfig startup-cnfig [ptinnel] sauvegarde la cnfiguratin pur le prchain redémarrage. () cpy running-cnfig startup-cnfig [ptinnel] sauvegarde la cnfiguratin pur le prchain redémarrage. Cnfiguratin IP d une interface SVI : Cmmandes significatin (glbal) Interface vlan 1 Chix du VLAN à cnfigurer par défaut le VLAN1 qui est le VLAN natif. ip address Cnfiguratin de l adresse IP clear ip address Suppressin de l adresse IP n shutdwn Active l interface end Retur en mde privileged EXEC () shw running-cnfig Vérifiez vtre cnfiguratin () cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. () shw ip interface brief include Vlan Visualisatin de la cnfiguratin IP des interfaces Vlan. Attentin, respectez la casse. Exemple : Switch#cnf t Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Switch(cnfig)#int vlan 1 Switch(cnfig-if)#ip address Switch(cnfig-if)#n shut Switch(cnfig-if)#^Z Switch# Les Switchs CISCO GEFI SA Page 26

32 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.G Les mts de passe IV.G Les mts de passe Cnsle passwrd / le mt de passe pur le prt cnsle : Cmmandes cnfigure terminal line cnsle 0 passwrd gefi lgin exec-timeut 5 30 Lgging synchrnus Escape-character 27 end significatin Attachez un terminal u un rdinateur en émulatin de terminal su le prt cnsle du switch. Entrez en mde Cnfiguratin Glbal Entrez en mde de cnfiguratin d interface pur l accès au prt cnsle Le mt de passe n est pas chiffré Active la vérificatin du mt de passe Décnnectin au but de 5 minutes et 30 secndes. Affichage crrect des cmmandes malgré les messages système. La tuche ESC permet de réaliser une séquence de break. Si le VTY Passwrd n est pas déclaré, vus ne purrez pas accéder à l équipement via le réseau par telnet. VTY Passwrd / le mt de passe pur l accès Telnet : Cmmandes Significatin enable cnfigure terminal line vty 0 15 passwrd gefi lgin exec-timeut 0 0 Lgging synchrnus Escape-character 27 access-class 1 in end shw running-cnfig cpy running-cnfig startupcnfig Entrez en mde Privileged EXEC Entrez en mde Cnfiguratin Glbal Entrez en mde de cnfiguratin d interface pur l accès du telnet Entrez le mt de passe pur l uverture du sessin telnet Active la vérificatin du mt de passe Plus de décnnectin autmatique. Affichage crrect des cmmandes malgré les messages système. La tuche ESC permet de réaliser une séquence de break. L access-class uniquement pur le trafic telnet. Ici j autrise uniquement l adresse IP dans l access-list à entrer. Retur au mde Privileged EXEC Visualisatin de la cnfiguratin active. Sauvegarde de la running-cnfig dans la startup-cnfig. Access List sur les VTY Albi1(cnfig)# Access-list 1 permit Albi1(cnfig)# Line vty 0 4 Albi1(cnfig-line)# Access-class 1 in Sécurisé un accès Telnet par une ACL standard Déclaratin du mt de passe de l administrateur de l équipement. Enable passwrd/ le mt de passe pur le cmpte enable : Cmmandes significatin cnfigure terminal enable secret gefi enable passwrd gefi end shw running-cnfig cpy running-cnfig startup-cnfig Cmmandes cmplémentaires Entrez en mde Cnfiguratin Glbal Le mt de passe est chiffré (recmmandé) Le mt de passe n est pas chiffré Retur au menu principal. Visualisatin de la cnfiguratin active. Sauvegarde de la running-cnfig dans la startup-cnfig. significatin # n enable secret Suppressin du mt de passe Enable secret # n enable passwrd Suppressin du mt de passe Enable passwrd Les Switchs CISCO GEFI SA Page 27

33 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.G Les mts de passe Syntaxe : # enable passwrd [level level] {passwrd} u # enable secret [level level] {passwrd} level 1 est le mde nrmal utilisateur (EXEC-Mde) level 15 est le mde d administratin (Privileged EXEC-Mde) Affectatin et activatin de mts de passe pur : le cmpte Enable et les VTY Switch#cnf t Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Switch(cnfig)#enable secret cisc Switch(cnfig)#line vty 0 15 Switch(cnfig-line)#passwrd gefi Switch(cnfig-line)#lgin Switch(cnfig-line)#^Z Switch# 00:30:25: %SYS-5-CONFIG_I: Cnfigured frm cnsle by cnsle Switch# Syntaxe pur définir un level Switch(cnfig)#privileged mde level level cmmand Switch(cnfig)#enable secret level level passwrd Mde cnfiguratin cntrller exec hub interface ipx-ruter line map-class map-list rute-map ruter Descriptin Glbal cnfiguratin Cntrller cnfiguratin EXEC Hub cnfiguratin Interface cnfiguratin IPX ruter cnfiguratin Line cnfiguratin Map Class cnfiguratin Map List cnfiguratin Rute map cnfiguratin Ruter cnfiguratin Exemple : Switch(cnfig)#enable secret level 3 gedev Switch(cnfig)# enable secret gefi Switch(cnfig)#username student passwrd cisc Switch#exit Username: student Passwrd: cisc Switch>enable 3 Passwrd: gedev Switch# shw privilege Current privilege level is 3 Les Switchs CISCO GEFI SA Page 28

34 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.H Gestin des adresses MAC IV.H Gestin des adresses MAC Les cmmutateurs utilisent la table d adresses MAC pur relayer le trafic entre les prts. La table MAC cntient des adresses dynamiques, permanentes et statiques. Les adresses dynamiques snt des adresses MAC que le cmmutateur apprend, puis qu il supprime lrsqu elles ne snt plus utilisées. Les adresses permanentes snt des adresses MAC affectées par l administrateur à un prt. Une adresse statique permet de restreindre le trafic à une adresse MAC dnnée à partir d une interface surce particulière. Gestin des adresses MAC Cmmandes ()cnf t (glbal) mac-address-table aging-time secnds (glbal) end significatin Entrez en mde de cnfiguratin glbal Déclaratin de la durée de vie d une Adresses MAC dans la FDB. Retur au mde EXEC privilégié # shw mac-address-table Visualisatin des Adresses MAC dans la FDB # shw mac-address-table aging-time Valeur de la durée de vie d une adresse MAC # shw mac-address-table address 000C Lcalisatin d une adresse MAC # shw mac-address-table dynamic interface gig 0/1 Visualisatin des adresses MAC décuvertes sur un prt # clear mac-address-table Effacement ttal de la FDB # clear mac-address-table dynamic Effacement des Adresses MAC acquises par le pnt # clear mac-address-table static Effacement des Adresses MAC déclarées par l administrateur. Adresses MAC permanentes (glbal) MAC-ADDRESS-TABLE PERMANENT add-mac type mdule/prt Arguments significatin add-mac Adresse MAC unicast type Le type d interface : ethernet, fastethernet u prt-channel mdule/prt Identifiant du prt. Par exemple : 0/1 Sw(cnfig)# mac-address-table permanent fastethernet 0/1 Le cmmutateur n autrise le trafic destiné à l adresse statique sur l interface fa0/1 qu à partir de l interface fa0/2. Adresses MAC statiques (glbal) MAC-ADDRESS-TABLE RESTRICTED STATIC add-mac type mdule/prt src-if-list Arguments significatin add-mac Adresse MAC unicast type Le type d interface : ethernet, fastethernet u prt-channel mdule/prt Identifiant du prt. Par exemple : 0/1 src-if-list Liste des interfaces acceptables snt séparées par des espaces Sw(cnfig)# mac-address-table restricted static fa0/1 fa0/2 Précédemment, Cisc utilisé le terme CAM (Cntent-Adressable Memry) pur désigner la Frwarding Data Base d un pnt u d un switch. Les Switchs CISCO GEFI SA Page 29

35 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.I Applicatin IV.I Applicatin IV.I.1 Blck Switch 1 CK08G Switch11 Switch12 Switch13 Switch14 Add IP Subnet Mask Default Gateway Dmain Name gefi.hme Name Server Serveur NTP Passwrd Cn gefi néant Passwrd VTY gefi P. Enable Secret cisc Installatin et cnfiguratin des cmmutateurs CISCOSYSTEMS Installatin et cnfiguratin des rdinateurs L adresse IP des rdinateurs est l adresse IP de l équipement de raccrdement plus un. Le prt de cnnexin est FA0/1 sur le siwtch et FA1/0 sur le ruteur. Les Switchs CISCO GEFI SA Page 30

36 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.I Applicatin IV.I.2 Blck Switch 2 CK160 Switch21 Switch22 Switch23 Switch24 Add IP Subnet Mask Default Gateway Dmain Name gefi.hme Name Server Serveur NTP Passwrd Cn gefi néant Passwrd VTY gefi P. Enable Secret cisc Installatin et cnfiguratin des cmmutateurs Switch21 : C C FA0/20 FA0/19 CK160 : 32768:000E.D710.4F00 CISCOSYSTEMS C ESW FA1/15 FA1/ FA0/19 Switch23 : D.29D C FA0/ FA0/19 FA0/19 C Switch22 : D.EDC7.2C80 C Switch24 : D.EDC7.FA80 Installatin et cnfiguratin des rdinateurs L adresse IP des rdinateurs est l adresse IP de l équipement de raccrdement plus un. Le prt de cnnexin est FA0/1 sur le siwtch et FA1/0 sur le ruteur. Les Switchs CISCO GEFI SA Page 31

37 Chap IV.Prcédure de Cnfiguratin par CLI Sus Chap. IV.I Applicatin IV.I.3 Cnfiguratin Type Vici deux cnfiguratins initiales types : A gauche, la cnfiguratin du ruteur/switch CK08G. Pur l instant, n s intéresse uniquement à sn niveau 2 (cmmutatin). A drite, la cnfiguratin du switch Switch21. Pur adapter cette cnfiguratin aux autres switchs, il suffit seulement de mdifier l adresse IP du VLAN1 (Add IP du SVI). Attentin : Si les cnfiguratins semblent ici identiques, il en reste pas mins que la déclaratin de la Default Gateway est ttalement différent : Le switch est un équipement de niveau deux, dnc la cmmande définissant la Default Gateway est : ip default-gateway Le ruteur est un équipement de niveau tris, dnc la cmmande définissant la Default Gateway est : ip rute Ruteur : CK08G cnf t! hstname CK08G ip rute ip dmain-name gefi.hme ip name-server ntp server ! interface range fastethernet 1/0 15 switchprt mde access! n shutdwn exit! interface vlan 1 descriptin Vlan d administratin ip address n shutdwn exit! line cnsle 0 passwrd gefi lgin escape-character 27 lgging synchrnus exec-timeut 0 0 exit! line vty 0 4 passwrd gefi lgin escape-character 27 lgging synchrnus exec-timeut 0 0 exit! enable secret cisc! end wr! Cnfiguratin Type Switch : Switch21 cnf t! hstname Switch21 ip default-gateway ip dmain-name gefi.hme ip name-server ntp server ! interface range fastethernet 0/1 24 switchprt mde access switchprt nnegtiate n shutdwn exit! interface vlan 1 descriptin Vlan d administratin ip address n shutdwn exit! line cnsle 0 passwrd gefi lgin escape-character 27 lgging synchrnus exec-timeut 0 0 exit! line vty 0 15 passwrd gefi lgin escape-character 27 lgging synchrnus exec-timeut 0 0 exit! enable secret cisc! end wr! La cmmande switchprt nnegtiate n existe pas sur l IOS des ruteurs. Les Switchs CISCO GEFI SA Page 32

38 Chap V.Le Spanning Tree Prtcl Sus Chap. V.A Présentatin V. Le Spanning Tree Prtcl Spanning Tree STP STA arbre recuvrant Spanning Tree Prtcl Spanning Tree Algrithm l algrithme du Spanning Tree cnsiste à cnstruire un arbre définissant un chemin unique entre cmmutateurs et sa racine. Le STP (Spanning Tree Prtcl) est un prtcle pur éviter les bucles de niveau 2 dans une architecture redndante, et a été dévelppé par DEC (Digital Equipment Crpratin). L algrithme du Spanning Tree de DEC a été nrmalisé par le cmité 802 de l IEEE et publié dans la spécificatin IEEE 802.1d, mais leurs fnctinnements snt différents. Le STP de DEC et l IEEE 802.1d snt incmpatibles entre eux. Les cmmutateurs CATALYST CISCO mettent en œuvre le prtcle IEEE 802.1d. V.A Présentatin Ce prtcle est nécessaire pur les pnts (Bridge) et les cmmutateurs (Switch) Ethernet fnctinnant en Transparent Bridging. Une architecture redndante engendre des bucles de niveau 2 ù les infrmatins envyées risquent de circuler indéfiniment sur vtre réseau, ccupant inutilement de la bande passante et puvant rapidement saturer le réseau. Une telle architecture élimine les pints de défaillance uniques qui mettraient en panne l ensemble du réseau. Le but de cet algrithme (STA) est de créer dynamiquement un seul chemin de niveau deux entre deux LAN u VLAN. Le fnctinnement de cet algrithme repse sur la thérie des graphes. La mise en œuvre de ce prtcle n est pas nécessaire, si un seul chemin de niveau 2 est présent entre segments LAN. Le STP (Spanning Tree Prtcl) permet de mettre en «Standby» certaines cnnectins en s échangeant des CBPDU (Cnfiguratin Bridge Prtcl Data Unit : Message de cnfiguratin des pnts). Attentin au délai de cnvergence, il est très imprtant (50 secndes par défaut). La répartitin de charge est impssible entre pnts, mais pssible sur des switchs en alternant les Rt Switch entre VLAN. Le STP explre cntinuellement le réseau afin de détecter rapidement la défaillance u l ajut d une liaisn, d un cmmutateur u d un pnt. Lrsque la tplgie du réseau change, le STP recnfigure les prts du pnt u du cmmutateur pur éviter une perte ttale de cnnectivité u la créatin de nuvelles bucles. Les Switchs CISCO GEFI SA Page 33

39 Chap V.Le Spanning Tree Prtcl Sus Chap. V.B Prblèmes des bucles V.B Prblèmes des bucles Les prblèmes des bucles de niveau 2 : 1. Lrs d un Bradcast (trame dnc l adresse MAC destinatin : FFFF-FFFF-FFFF) u d un Multicast, les pnts inndent (fld) les réseaux en dupliquant les trames. 2. Lrs d un Unicast, les pnts dupliquent les trames ce qui dnne de multiple cpies à l arrivée. 3. Lrs d un Unicast, les tables (FDB : Frwarding Data Base) snt instables car le pnt vit une adresse MAC surce sur ses différentes interfaces. PC PC PC PC Sw1 Sw2 Sw1 Sw2 Sw1 Sw2 V.C Optimisatin Le chix du Rt Bridge est fndamental dans une architecture switchée, car il déterminera la circulatin ptimale des trames dans un réseau redndant. Les Switchs CISCO GEFI SA Page 34

40 Chap V.Le Spanning Tree Prtcl Sus Chap. V.D Pntage vs cmmutatin V.D Pntage vs cmmutatin Pntage Principalement basé sur le lgiciel Une instance de STP par pnt Généralement un maximum de 16 prts par pnt Cmmutatin Principalement basé sur du hardware (ASIC) Plusieurs instances de STP par cmmutateur Prts plus nmbreux sur un cmmutateur V.E Half-suplex vs Full-duplex Half-duplex (HDX) Flt de dnnées unidirectinnel Présence de cllisin (LAN) Respect ttal du CSMA/CD Full-duplex (FDX) Flt de dnnées bidirectinnel Absence de cllisin (MAN) Circuit de détectin des cllisins désactivé Nécessite que le Full-duplex sit pris en charge aux deux extrémités (à chaque NIC) V.F STP Tiebreakers Tiebreakers : départager Sur les équipements CISCO, quand dans une cnditin il y a égalité, la décisin finale est basée sur la séquence de cnditins suivantes : Référence : CISCO Field Manuel : Catalyst Switch Cnfiguratin de CISCO Press, page The lwest BID Le Bridge Id le plus faible (pur la désignatin du Bridge Rt uniquement) 2 The lwest Rt Path Cst Le Rt Path Cst le plus faible 3 The lwest sender BID Le Bridge Id de l émetteur le plus faible 4 The lwest prt ID Le Prt ID le plus faible Attentin : dans plusieurs dcuments traitant du STP, quand dans une cnditin il y a égalité, la décisin finale est basée sur la séquence de cnditins suivantes : 1. le Rt Path Cst le plus faible 2. Le Prt ID le plus faible 3. Le Bridge Id de l émetteur le plus faible Les Switchs CISCO GEFI SA Page 35

41 Chap V.Le Spanning Tree Prtcl Sus Chap. V.G Descriptin de fnctinnement V.G Descriptin de fnctinnement les cmmutateurs (pnts) exécutant l algrithme Spanning Tree échangent des messages de cnfiguratin (CBPDU) avec les autres cmmutateurs (pnts) à intervalles réguliers via une trame multicast. Par défaut, la CBPDU est envyée tutes les deux secndes. La cnfiguratin du Spanning Tree des équipements, pnts u cmmutateurs, se dérule en 4 phases : 1. Électin du pnt racine (Rt Bridge) : parmi tus les pnts, un seul sera désigné pnt racine. C est le Bridge ID le plus petit qui désignera le Rt Bridge. le Spanning Tree définit d abrd un pnt racine (Rt Bridge) qui est le pint de départ du chemin de circulatin. En général, le pnt racine est un cmmutateur pssédant une bande passante imprtante, dnc suvent lcalisé au cœur du réseau (Backbne). Tus les prts de ce pnt snt placés dans un état passant (Frwarding) et nmmés prt désigné (Designated Prt). En état passant (Frwarding), un prt peut émettre et recevir du trafic. 2. Électin du prt racine (Rt Prt) : désigne le prt permettant à sn pnt d atteindre le pnt racine au mindre cût. Dans l rdre des prirités : le Rt Path Cst, le Bridge ID, puis enfin le PrtID. Après l électin du pnt racine, sur tus les pnts nn racine, le STA (Spanning Tree Algrithm) calcule une valeur relative pur chaque prt de chacun des pnts u switchs. Cette valeur est une représentatin numérique du chemin à parcurir entre le prt cncerné et le Rt Bridge. Elle s appelle Rt Path cst. le prt ayant le plus bas cût administratif (RPC) pur atteindre le pnt racine sera désigné prt racine (Rt Prt). Cette interface est placée dans l état passant (Frwarding). 3. Électin du prt désigné (Designated Prt) : désigne le prt permettant à un réseau d atteindre le pnt racine au mindre cût. Un segment peut être intercnnecté au pnt racine par plusieurs chemins. Ces pnts annncent au myen de CBPDU leur cût administratif pur atteindre le pnt racine. Le pnt qui pssède le cût administratif le plus faible sur ce segment est appelé pnt désigné (Designated Bridge). L interface du pnt désigné à partir de laquelle cette CBPDU de plus faible cût a été envyé, est appelée prt désigné (designated prt), et elle est placée dans un état Frwarding (passant). 4. les bucles de niveau deux snt supprimées Tus les prts qui ne snt pas Rt Prt u Designated Prt snt mis dans l état Blcking. Les Switchs CISCO GEFI SA Page 36

42 Chap V.Le Spanning Tree Prtcl Sus Chap. V.H Paramètres de fnctinnement V.H Paramètres de fnctinnement Paramètres Réseau : Le Hell time : fréquence à laquelle un Designated prt envie des CBPDU, 2 s par défaut. Le Frward delay : passage de l état Listening learning à l état Frwarding, 15 s par défaut. Le Max Age : délai respecté par un pnt avant de décider que la tplgie du réseau à changer. Paramètres liés au pnt u switch : Le Bridge Pririty (per bridge), valeur par défaut : ; Le Rt Path cst, cût ttal vers le Rt Bridge. Paramètres liés au prt : Le Prt cst (per prt) : Cût de transmissin d une trame sur un segment. Par défaut 1000/débit en M bps ; Le Rt Path cst : cût ttal vers le Rt Bridge. Le pnt calcul sn RPC en ajutant sn Prt Cst au RPC reçu. Le Prt Pririty (per prt) : pririté du prt, valeur par défaut 128. Default STP Cnfiguratin Caractéristique Cnfiguratin par défaut Enable state Enabled n VLAN 1. Up t 64 spanning-tree instances can be enabled. Mde de Spanning Tree PVST (PVRST and MSTP are disabled). Switch Pririty (Pnt) (high) < Bridge Pririty < (lw) Prt Pririty (interface) (high) < Prt Pririty < 255 (lw) Prt cst (interface) 1000 Mbps : Mbps : Mbps : 100. Hell time 2 secnds Frward-delay time 15 secnds Maximum-aging time 20 secnds PVST PVRST MSTP Per-VLAN Spanning Tree, s annnce en IEEE avec LLC-SNAP (OUI : 0x00000C et Ethertype : 0x010B) Per-VLAN Rapid Spanning Tree u IEEE 802.1W (dispnible seulement en EI) Multiple Spanning Tree Prtcl u IEEE 802.1S (dispnible seulement en EI) EI Enhanced Sftware Image, dispnible sur Catalyst 2950C-24 SI Standard Sftware Image, dispnible sur Catalyst L état Blcking autrise la réceptin et l émissin de CBPDU, mais interdit tut autre trafic. Les BPDU snt encapsulées dans des trames IEEE (LLC) de type 1 (sans cnnexin ni acquittement). Elles emplient une adresse Multicast : C et un SAP = 0x42. De plus, une adresse Multicast d administratin est définie pur tus les réseaux : C Pur des évlutins futurs 15 adresses snt réservées : C à C F. Le temps de cnstructin du Spanning Tree : (Nmbre_de_niveau + 1)* Hell Time Les Switchs CISCO GEFI SA Page 37

43 Chap V.Le Spanning Tree Prtcl Sus Chap. V.I Frmat des BPDU V.I Frmat des BPDU BPDU : Bridge Prtcl Data Unit TC TCA : Tplgy Change : Tplgy Change Acknwledgment Les Cnfiguratins BPDU snt émises péridiquement par le pnt racine sur ses réseaux. Les pnts qui les reçivent, transmettent à leur tur des CBPDU sur tus les réseaux qu ils cnnectent, et prpagent ainsi l identificateur du Rt Bridge, tut en incrémentant le Rt Path Cst en fnctin du dernier réseau traversé ( Prt Cst du prt de réceptin). Ces CBPDU partent dnc de la racine et se répercutent sur chaque branche de l arbre, jusqu aux extrémités. Ntez qu ils transprtent les paramètres impsés par le Rt Bridge, tels que : l age maximum d un message, l intervalle HELLO, et le délai de retransmissin. Les messages émis par la racine nt un age de 0, et snt retransmis avec ce même age le lng des branches du réseau. Cependant, si un pnt du réseau ne reçit plus de CBPDU temprairement, il va cntinuer à émettre péridiquement le même message (tutes les 2 secndes), en faisant crître l age du message relativement à celui dnt il est déduit. Il indique ainsi que sn infrmatin d rigine n est pas parfaitement d actualité, mais cmmence à vieillir. Passé le délai Max Age (20 secndes recmmandé), l infrmatin prvenant de la racine à partir de laquelle snt cnstruits ces CBPDU est supprimé, et le pnt redéfinit le chemin vers la racine ( Path Cst et Rt Prt ) à partir des autres infrmatins qu il reçit. Message de cnfiguratin Octet Champ Descriptin s 2 Prtcl ID Identificateur de prtcle : 0x Versin Versin : 0x00 1 BPDU Type Type de message : 0x00 1 Flags Indicateurs : les bits TC et TCA : 8 Rt ID Identifiant du Rt Bridge : cette identifiant est cnstitué d une pririté sur deux ctets (par défaut 0x8000 u ) puis des six premiers ctets de l adresse MAC général du pnt u Switch. 4 Rt Path Cst Valeur binaire nn signée qui représente le cût ttal, du pnt qui transmet la CBPDU au pnt cité dans le champ Rt ID. 8 Bridge ID Identifiant du pnt : cette identifiant est cnstitué d une pririté sur deux ctets (par défaut 0x8000 u ) puis des six premiers ctets de l adresse MAC général du pnt u Switch. 2 Prt ID Identificateur de prt : pririté du prt (de 0 à 255) puis le numér de prt. 2 Message Age Age du message : Temps estimé, en 1/256 de secndes, qui s est éculé depuis que la racine a transmis, pur la première fis, sn message de cnfiguratin, sur lequel repse l infrmatin cntenue dans ce message. 2 Maximum Time Durée de vie max : Temps estimé, en 1/256 de secndes, au but duquel un message de cnfiguratin dit être détruit. 2 Hell Time Temps de signalisatin entre deux émissins de CBPDU (2 secndes par défaut). Ce temps est dnné en 1/256 de secndes. 2 Frward Delay Retard d acheminement : durée, en 1/256 de secndes, temps pendant lequel les pnts divent rester dans l état blqué (Blcking) avant de passer dans l état émissin (Frwarding). Les Switchs CISCO GEFI SA Page 38

44 Chap V.Le Spanning Tree Prtcl Sus Chap. V.I Frmat des BPDU Ntificatin de changement de tplgie Octet Champ Descriptin s 2 Prtcl ID Identificateur de prtcle : 0x0 1 Versin Versin : 0x0 1 Message Type Type de message : 0x80 Rt Identifier / Bridge Identifier (8 ctets) MSB (2 ctets) Bridge Pririty (default) 0x8000 LSB (6 ctets) Address MAC 00:0C:30:4C:2D:60 Prt Identifier (2 ctets) MSB (1 ctet) Prt Pririty (default) 0x80 LSB (1 ctet) Numér de prt 0x01 Les BPDU de ntificatin de changement de tplgie snt émises par un pnt qui ne reçit plus message HELLO. les échanges de message CBPDU prvquent : L électin du Rt Switch pur btenir un Spanning-Tree stable dans une tplgie réseau. L électin d un Designated Switch pur chaque segment switché. La suppressin de bucle de niveau 2. Frmat des trames BPDU Prtcl ID Versin Message type 2 Flags n/a 3 RtID 4 5 Rt Path Cst 6 BridgeID 7 8 PrtID Message age 9 Max age Hell Time 10 Frward Delay n/a Les Switchs CISCO GEFI SA Page 39

45 Chap V.Le Spanning Tree Prtcl Sus Chap. V.J Electin du Rt Bridge V.J Electin du Rt Bridge Octets Champ 2 Prtcl ID 1 Versin 1 Message Type 1 Flags 8 Rt ID 4 Rt Path Cst 8 Bridge ID 2 Prt ID 2 Message Age 2 Maximum Time 2 Hell Time 2 Frward Delay 1. Au démarrage le pnt suppse qu il est le Rt Bridge et transmet des CBPDU (message de cnfiguratin) avec dans le champ Rt ID sn identifiant Bridge ID (Pririté et Adresse MAC). 2. Le pnt, ayant le Bridge ID le plus faible, sera élu Rt Bridge. 3. Par échange de CBPDU, les pnts déterminent lequel sera Rt Bridge. Lrsqu un pnt essaie de devenir Rt Bridge, il émet un CBPDU tutes les (Hell Time) secndes pur pser sa candidature en tant que Rt Bridge : Si un pnt à un Bridge ID plus petit que celui du candidat, il reste Rt Bridge et émet tujurs sn message «Hell, i am the rt bridge» tutes les (Hell Time) secndes. Par cntre, si sn Bridge ID est plus grand que le Rt ID, il accepte le candidat cmme Rt Bridge, et arrête l émissin de ses CBPDU mais prpage les CBPDU du Rt Bridge tutes les (Hell Time) secndes. Switch1 : C.856E.CC80 Pririté : 0x8001 MAC Add : 000C.856E.CC80 Prt : Fa0/1 FWB : DP PrtID : Rt Bridge FWB : DP Prt : Fa0/3 PrtID : Base TX CBPDU 10 Base T Prt : Fa0/5 FWB : RP PrtID : BLK Prt : Fa0/8 PrtID : Switch2 : C.857E.C580 Pririté : 0x8001 MAC Add : 000C.857E.C580 Le pnt et le Switch nt une adresse MAC générale affectée. L adresse MAC d un prt est égale à l adresse MAC général du pnt plus le numér du prt. Le Rt Bridge est Designated Bridge sur les LAN auxquels il est cnnecté. Le Switch avec la plus grande pririté (la plus faible valeur numérique : Switch Pririty / Add MAC) est élu Rt Switch par échanges de CBPDU. Si tus les switchs snt cnfigurés avec la pririté par défaut (32768 u 0x8000), c est le switch avec l adresse MAC la plus petite sur le réseau de niveau 2 qui devient Rt Switch. Le Rt Switch est le centre lgique d une tplgie Spanning-Tree dans un réseau switché. Les Switchs CISCO GEFI SA Page 40

46 Chap V.Le Spanning Tree Prtcl Sus Chap. V.K Calcul du Rt Path Cst V.K Calcul du Rt Path Cst Octets Champ 2 Prtcl ID 1 Versin 1 Message Type 1 Flags 8 Rt ID 4 Rt Path Cst 8 Bridge ID 2 Prt ID 2 Message Age 2 Maximum Time 2 Hell Time 2 Frward Delay Le RPC : le Rt Path Cst (cût du chemin racine) est un cût cumulé basé sur la bande passante de tutes les liaisns du chemin. Le Prt Identifier : pririté du prt (de 0 à 255) puis le numér de prt. Cût par défaut des interfaces : Débit de la liaisn Cût (spécificatin IEEE révisée) Cût (ancienne spécificatin IEEE) 10 Gbps Gbps Mbps Mbps La spécificatin IEEE 802.1d a été révisée. Au départ, le cût était calculé sur la base de 10 9 divisé par la bande passante de la liaisn en bps. Actuellement les cûts s ajustent pur s adapter aux interfaces à plus haut débit (1 Gbps et 10 Gbps). Inf Pur les Catalyst 1900, l IOS applique l ancien calcul pur les cûts Spanning Tree. Sur les Catalyst 2900, l IOS tient cmpte des calculs révisés. Le Rt Path Cst : cût ttal cumulé vers le rt bridge. Lrs de l envi d une BPDU, le Prt Cst du prt qui a reçu la BPDU est ajuté au Rt Path Cst du pnt précédent. Switch_A Switch_B Switch_C Rt Bridge 19 RPC=0 RPC= RPC=119 Le Prt Cst est fnctin de la bande passante du prt mais il peut être mdifié manuellement par l administrateur réseau. Les Switchs CISCO GEFI SA Page 41

47 Chap V.Le Spanning Tree Prtcl Sus Chap. V.L Électin du Rt Prt V.L Électin du Rt Prt Électin du prt racine (Rt Prt) : désigne le prt permettant à sn pnt d atteindre le pnt racine au mindre cût pur tus les pnts nn Rt Bridge. Dans l rdre des prirités : Le Rt Path Cst le plus faible. Ici le prt 0/1 du Catalyst B a un RPC de 19 cntre un RPC de 38 pur le prt 0/2. Idem pur le catalyst C. Le Bridge ID le plus faible reçu du switch qui émet la CBPDU. Le PrtID. Le prt qui reçit le plus faible PrtID cntenu dans les CBPDU émis par les switchs visins, devient Rt Prt. Les Switchs CISCO GEFI SA Page 42

48 Chap V.Le Spanning Tree Prtcl Sus Chap. V.M Électin du Designated Prt V.M Électin du Designated Prt Électin du prt désigné (Designated Prt) : désigne le prt permettant à un réseau d atteindre le pnt racine au mindre cût. Le Rt Path Cst le plus faible. Ici les prts 0/2 des deux Catalyst B et C nt le même RPC (38). Le Bridge ID du switch émetteur le plus faible. Ici le prt 0/2 du Catalyst B est Designated Prt car le Bridge ID du Catalyst B est inférieur à celui du Catalyst C. Le PrtID : C est le PrtID le plus faible de tus les PrtID cntenu dans les CBPDU émis par les switchs visins. Inf Tus les prts d un Rt Bridge snt Designated Prt. Les Switchs CISCO GEFI SA Page 43

49 Chap V.Le Spanning Tree Prtcl Sus Chap. V.M Électin du Designated Prt Sur Catalyst 2950 Switch1# shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address Cst 000c.304c.2d Rt Path Cst Prt 1 (FastEthernet0/1) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.856e.cc80 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.304c.2d Fa0/ FWD c.856e.cc Switch1# Le prt FA0/2 du Switch Switch1 a cmme caractéristiques : Actif (FWD) Sn Prt Pririty = Avec un cût de 100 (10BaseT) Cette zne indique ù est cnnecté le prt FA0/2 du Switch1 : Le Switch 000C.856ECC80 avec un Bridge Pririty de et sur sn prt FA0/2 avec un Prt Pririty de Le Switch1 a un cût de 100 pur atteindre le Rt Bridge via sn prt FA0/1. Sur C ESW CK160#shw spanning-tree active brief VLAN1 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000e.d710.4f00 This bridge is the rt Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty Address 000e.d710.4f00 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 0 Interface Designated Name Prt ID Pri Cst Sts Cst Bridge ID Prt ID FastEthernet1/ FWD e.d710.4f CK160# Les Switchs CISCO GEFI SA Page 44

50 Chap V.Le Spanning Tree Prtcl Sus Chap. V.N Les bucles de niveau deux snt supprimées V.N Les bucles de niveau deux snt supprimées Sur chaque réseau éligné du Rt Bridge, c est le pnt qui prpse le plus faible cût du chemin vers la racine, est nmmé Designated Bridge (pnt désigné). De même, chaque Designated Bridge à un Rt Prt (Prt Racine) qui mène au Rt Bridge, les autres prts, ffrants cet accès à des réseaux plus élignés, snt déclarés Designated Prts (Prts désignés). Les prts qui participent à créer des bucles snt mis en mde Blcking (Blqué), à l exceptin de l écute des paquets CBPDU. Ntez qu avant que la cnfiguratin ne sit stabilisée, les pnts s échangent des infrmatins mais ne retransmettent pas les trames des trafics réels qu ils reçivent, et n apprennent pas encre les adresses MAC. Les Switchs CISCO GEFI SA Page 45

51 19 19 Chap V.Le Spanning Tree Prtcl Sus Chap. V.O Synthèse V.O Synthèse 1. Electin du Rt Bridge : Tus les switchs nt la même pririté (32768, valeur par défaut). Tutefis, le Catalyst A a l adresse MAC la mins élevée ( A), ce qui lui permet de devenir le Rt Bridge. 2. Electin des Rt Prts : Les switchs calculent les RPC pur atteindre le Rt Bridge. Cmme les prts 0/1 des Catalyst B et Catalyst C nt le plus petit RPC (0 + 19) pur atteindre le Rt Bridge, ils deviennent Rt Prt. 3. Electin des Designated Prts : Par définitin, tus les prts d un Rt Bridge snt Designated Prt. Cmme le segment entre les switchs Catalyst B et Catalyst C a le même RPC par le Catalyst B u par le Catalyst C, c est le Bridge ID le plus faible qui désigne le Designated Prt du segment. Ici le Catalyst B a un Bridge ID plus faible que celui du Catalyst C dnc c est le prts 0/2 du Catalyst B qui devient Designated Prt. 4. Tus les prts qui ne snt pas Rt Prts u Designated Prts snt mis dans l état Blcking. Cmme le prt 0/2 du Catalyst C est ni Rt Prt et ni Designated Prt, alrs le STA le met dans l état Blcking. Les Switchs CISCO GEFI SA Page 46

52 Chap V.Le Spanning Tree Prtcl Sus Chap. V.P Exercices V.P Exercices Pur les deux schémas ci-dessus, indiquez : le switch Rt Bridge, et les prts Rt Prt et Blcking Prt. Les Switchs CISCO GEFI SA Page 47

53 Chap V.Le Spanning Tree Prtcl Sus Chap. V.Q État des prts en STP V.Q État des prts en STP Each Layer 2 interface n a switch using spanning tree exists in ne f these states: Blcking : The interface des nt participate in frame frwarding. Listening : The first transitinal state after the blcking state when the spanning tree determines that the interface shuld participate in frame frwarding. Learning : The interface prepares t participate in frame frwarding. Frwarding : The interface frwards frames. Disabled : The interface is nt participating in spanning tree because f a shutdwn prt, n link n the prt, r n spanning-tree instance running n the prt. Blcking/blquant : pas de trafic à travers ce prt, reçit seulement les CBPDU Listening/écute : pas de trafic à travers ce prt, stppent les CBPDU Learning/décuverte : pas de trafic à travers ce prt, cnstruit sa FDB Frwarding/transmissin : trafic utilisateur, transmissin et réceptin de CBPDU Disable/désactivé : l interface est arrêtée Time 20 Sec 15 Sec 15 Sec Blcking Listening Learning Frwarding Max-Age Frward Delay Frward Delay Prts État des prts Cmmentaires Tus les prts d un pnt racine Passant (Frwarding) Le pnt racine est le pnt désigné pur l ensemble des segments Prt racine (Rt Prt) Passant (Frwarding) Le prt racine est celui qui reçit les CBPDU de plus faible cût de la part du pnt racine. Prt désigné (Designated Prt) Passant (Frwarding) Le pnt désigné est celui qui envie les CBPDU de plus faible cût sur chaque segment. Autres prts Blquant (Blcking) Les autres prts ne peuvent ni envyer ni recevir de trames autres que les CBPDU. Les Switchs CISCO GEFI SA Page 48

54 Chap V.Le Spanning Tree Prtcl Sus Chap. V.Q État des prts en STP Blcking State. A Layer 2 interface in the blcking state des nt participate in frame frwarding. After initializatin, a BPDU is sent t each interface in the switch. A switch initially functins as the rt until it exchanges BPDUs with ther switches. This exchange establishes which switch in the netwrk is the rt r rt switch. If there is nly ne switch in the netwrk, n exchange ccurs, the frward-delay timer expires, and the interfaces mve t the listening state. An interface always enters the blcking state after switch initializatin. An interface in the blcking state perfrms as fllws: Discards frames received n the prt Discards frames switched frm anther interface fr frwarding Des nt learn addresses Receives BPDUs Listening State. The listening state is the first state a Layer 2 interface enters after the blcking state. The interface enters this state when the spanning tree determines that the interface shuld participate in frame frwarding. An interface in the listening state perfrms as fllws: Discards frames received n the prt Discards frames switched frm anther interface fr frwarding Des nt learn addresses Receives BPDUs Learning State. A Layer 2 interface in the learning state prepares t participate in frame frwarding. The interface enters the learning state frm the listening state. An interface in the learning state perfrms as fllws: Discards frames received n the prt Discards frames switched frm anther interface fr frwarding Learns addresses Receives BPDUs Frwarding State. A Layer 2 interface in the frwarding state frwards frames. The interface enters the frwarding state frm the learning state. An interface in the frwarding state perfrms as fllws: Receives and frwards frames received n the prt Frwards frames switched frm anther prt Learns addresses Receives BPDUs Disabled State. A Layer 2 interface in the disabled state des nt participate in frame frwarding r in the spanning tree. An interface in the disabled state is nnperatinal. A disabled interface perfrms as fllws: Discards frames received n the prt Discards frames switched frm anther interface fr frwarding Des nt learn addresses Les Switchs CISCO GEFI SA Page 49

55 Chap V.Le Spanning Tree Prtcl Sus Chap. V.R Étude de cas V.R Étude de cas 1. Cnditins initiales Switch1#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 This bridge is the rt Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.856e.cc80 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 15 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ FWD c.856e.cc Switch1# Switch2#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 Cst 100 Prt 5 (FastEthernet0/5) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.857e.c580 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ BLK c.856e.cc Switch2# 10 Base T Switch1 : C.856E.CC80 Pririté : 0x8001 MAC Add : 000C.856E.CC80 Prt : Fa0/1 FWB PrtID : Rt Bridge FWB Prt : Fa0/3 PrtID : CBPDU 10 Base T Prt : Fa0/5 FWB PrtID : BLK Prt : Fa0/8 PrtID : Switch2 : C.857E.C580 Pririté : 0x8001 MAC Add : 000C.857E.C580 Schéma initial Les Switchs CISCO GEFI SA Page 50

56 Chap V.Le Spanning Tree Prtcl Sus Chap. V.R Étude de cas 2. Mdificatin du numér de prt Décnnectez de la prise mâle RJ45 en Switch1 Fa0/1 pur la brancher en Switch1 Fa0/5 Observez le prt Switch2 Fa0/5 qui passe de l état FWD (range) en BLK (vert). Switch2#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 Cst 100 Prt 8 (FastEthernet0/8) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.857e.c580 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 15 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ BLK c.856e.cc Fa0/ FWD c.856e.cc Switch2# Attentin : lrsque le RPC (Rt Path Cst) est identique le chix du meilleur chemin est calculé à partir des éléments du pnt de niveau supérieur. Les Switchs CISCO GEFI SA Page 51

57 Chap V.Le Spanning Tree Prtcl Sus Chap. V.R Étude de cas 3. Augmentatin de la pririté Augmentatez de la pririté du prt Switch1 Fa0/1 de 128 à 1 Le prt Switch2 Fa0/5 reste dans l état FWD. Switch1 #cnf t Switch1(cnfig)#int fa0/1 Switch1(cnfig-if)#spanning-tree prt-pririty? <0-255> prt pririty Switch1(cnfig-if)#spanning-tree prt-pririty 1 Switch1(cnfig-if)# Switch2#sh spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 Cst 100 Prt 5 (FastEthernet0/5) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.857e.c580 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ BLK c.856e.cc Switch2# Les Switchs CISCO GEFI SA Page 52

58 Chap V.Le Spanning Tree Prtcl Sus Chap. V.R Étude de cas 4. Diminutin de la pririté Diminuez de la pririté du prt Switch1 Fa0/1 de 128 à 250 Le prt Switch2 Fa0/5 passe de l état FWD à l état BLK. Switch1 #cnf t Switch1(cnfig)#int fa0/1 Switch1(cnfig-if)#spanning-tree prt-pririty? <0-255> prt pririty Switch1(cnfig-if)#spanning-tree prt-pririty 250 Switch1(cnfig-if)# Switch2# shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 Cst 100 Prt 8 (FastEthernet0/8) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.857e.c580 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ BLK c.856e.cc Fa0/ FWD c.856e.cc Switch2# Les Switchs CISCO GEFI SA Page 53

59 Chap V.Le Spanning Tree Prtcl Sus Chap. V.R Étude de cas 5. Mdificatin du débit Switch2#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 Cst 19 Prt 5 (FastEthernet0/5) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.857e.c580 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 15 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ BLK c.856e.cc Switch2# Les Switchs CISCO GEFI SA Page 54

60 Chap V.Le Spanning Tree Prtcl Sus Chap. V.S Recalcul de l arbre Spanning Tree V.S Recalcul de l arbre Spanning Tree Le mindre changement affectant le réseau (ajut u panne d un équipement) déclenche un nuveau calcul de chemin. Ce changement peut bliger certains prts qui étaient en mde Blcking à passer en mde Frwarding. Un prt en mde Blcking ne passe pas directement en mde Frwarding : il passe par deux états intermédiaires avant de prendre le relais d un prt défaillant. D abrd il écute (mde Listening ), puis il apprend (mde Learning ). La phase d écute permet au prt de vérifier qu il peut devenir Frwarding, tandis que La phase d apprentissage permet au prt de cnstruire sa table de cmmutatin. Ces différentes étapes augmentent cnsidérablement la durée de transitin du mde Blcking au mde Frwarding. Chaque fis que la tplgie du réseau change (lien brisé par exemple) l algrithme du STP dit être recalculé. Typiquement, le temps de recalcul du chemin, appelé encre temps de cnvergence, prend envirn 50 secndes, ce qui représente une durée extrêmement lngue dans le mnde des réseaux. Afin de réduire cette durée entre 2 et 5 secndes, CISCO apprte plusieurs améliratins au prtcle Spanning Tree : UplinkFast et PrtFast. UplinkFast est particulièrement utile sur les switchs d accès. Il ramène le temps de cnvergence à envirn 2 secndes, en prédéfinissant un uplink primaire et un uplink redndant. Grâce à la technlgie UplinkFast, le switch se cnnecte rapidement au nuveau Bridge Rt : l uplink redndant passe immédiatement du mde Blcking au mde Frwarding, sans avir à passer par les deux états intermédiaires. Il retransmet ensuite l infrmatin du changement de tplgie à tus les autres switchs qu il peut atteindre. PrtFast est dédié à la cnnexin des rdinateurs (statin de travail, serveurs, etc.). lrsque PrtFast est activé, les prts cmmutent directement du mde Blcking au mde Frwarding. Enfin, le standard précise que le diamètre maximum recmmandé de l architecture est de 7 pnts. Cela signifie qu au plus 7 pnts peuvent être traversés lrs du passage entre deux réseaux distincts, sit aussi un diamètre maximum de 8 réseaux. Les Switchs CISCO GEFI SA Page 55

61 Chap V.Le Spanning Tree Prtcl Sus Chap. V.T Résumé V.T Résumé 1) Tutes les interfaces d un pnt snt stabilisées dans un état de transmissin u blquant. Les interfaces dans un état de transmissin participent à l arbre recuvrant. 2) Un des Switchs est élu cmme pnt racine (Rt Bridge) de l arbre. Ce prcessus d électin implique tus les Switchs jusqu à ce que l un d eux sit désigné. Tutes les interfaces du pnt racine snt dans un état de transmissin car le Rt Bridge est le Designated Bridge des réseaux qu il cnnecte. 3) Chaque Switch reçit des CBPDU de la part du pnt racine, sit directement, sit par l intermédiaire d un autre pnt. Chaque pnt peut en recevir plusieurs sur ses interfaces, mais le prt sur lequel la CBPDU de plus faible cût est reçue devient sn prt racine (Rt Prt) et sn interface est placée dans un état de transmissin. 4) Pur chaque segment LAN, un pnt transmet la CBPDU pssédant le plus faible cût. 5) Ce Switch est le pnt désigné ( Designated Bridge ) pur ce segment. L interface du Switch de ce segment est placée dans un état de transmissin. 6) Tutes les autres interfaces du Switch snt placées dans un état blquant. 7) Les temprisateurs : Le pnt racine envie des CBPDU seln un intervalle exprimé en secndes, dnné par le temprisateur HELLO. Les autres pnts s attendent à recevir des cpies retransmises de ces CBPDU, cnfirmant que rien n a changé. La durée HELLO étant définie dans la CBPDU, tus les pnts utilisent la même valeur. Si un pnt ne reçit pas de CBPDU alrs que la durée MAXAGE a expiré, il débute le prcessus de changement de l arbre recuvrant. La réactin peut varier seln la tplgie. La durée MAXAGE étant définie dans la CBPDU, tus les pnts utilisent la même valeur. Un u plusieurs pnts décident alrs de mdifier l état de leurs interfaces, de blquant à celui de transmissin, u vice versa, seln la mdificatin intervenue sur le réseau. Par exemple, avant de passer d un état blquant à un état de transmissin, une interface est placée dans un état transitire d écute. Après expiratin du temprisateur Frward Delay, elle entre dans un état de décuverte. Après une autre expiratin de ce temprisateur, elle est alrs placée dans un état de transmissin. Le prtcle Spanning Tree prévit ces temprisateurs pur éviter tut risque de bucles tempraires. Les Switchs CISCO GEFI SA Page 56

62 Chap V.Le Spanning Tree Prtcl Sus Chap. V.T Résumé 8) Le Rt Bridge : a. Un par réseau (dmaine de Bradcast Physique) b. Prcessus d électin : Bridge ID le plus faible c. Cnfirmé élu à intervalle régulier ( Hell Time tutes les 2 secndes) d. Cnfigure les Timers des autres prts e. Tus les autres prts calculent le chemin le plus curt vers le Rt Bridge ( least Rt Path Cst ) 9) Le Rt Prt : a. Un par pnt b. Prt au least Rt Path Cst c. Il reçit tutes les BPDU envyées par le Rt Bridge d. État du prt jamais blquant 10) Le Designated Prt : a. Prt cnnectant le Designated Bridge au segment chisi b. Tus les trafics qui srtent du segment c. Transmissin de BPDU vers les autres pnts d. Jamais dans état blquant 11) Le Designated Bridge a. Au mins un par segment : il transmet les trames sur chaque segment b. Le Rt Bridge est tujurs Designated Bridge pur le segment qu il cnnecte c. Tujurs le pnt avec le plus curt chemin vers le Rt Bridge Les Switchs CISCO GEFI SA Page 57

63 Chap V.Le Spanning Tree Prtcl Sus Chap. V.U Actin du Prt Cst V.U Actin du Prt Cst 1. Cnditins initiales : Switch11#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 This bridge is the rt Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.856e.cc80 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ FWD c.856e.cc Switch11# Switch12#shw spanning-tree active Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ FWD c.857e.c Switch12# Switch13#shw spanning-tree active Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ BLK c.857e.c Switch13# Les Switchs CISCO GEFI SA Page 58

64 Chap V.Le Spanning Tree Prtcl Sus Chap. V.U Actin du Prt Cst 2. Mdificatin du Prt Cst sur le prt FA0/1 du Switch11 Affectatin d un cût de 100 à l interface FA0/1 du Switch11 Switch11#cnfigure terminal Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Switch11(cnfig)#interface fastethernet 0/1 Switch11(cnfig-if)#spanning-tree vlan 1? cst Change an interface's per VLAN spanning tree path cst prt-pririty Change an interface's spanning tree prt pririty Switch11(cnfig-if)#spanning-tree vlan 1 cst 100 Vérificatin sur le Switch12 et Switch13 : aucune mdificatin Switch12#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 Cst 19 Prt 1 (FastEthernet0/1) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.857e.c580 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ FWD c.857e.c Switch12# Cette cnfiguratin n apprte aucune mdificatin sur l état des prts des switchs Switch11, Switch12 et Switch13. Les Switchs CISCO GEFI SA Page 59

65 Chap V.Le Spanning Tree Prtcl Sus Chap. V.U Actin du Prt Cst 3. Mdificatin du Prt Cst sur le prt FA0/1 du Switch12 Affectatin d un cût de 100 à l interface FA0/1 du Switch12 Switch12#cnfigure terminal Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Switch12(cnfig)#int fastethernet 0/1 Switch12(cnfig-if)#spanning-tree vlan 1 cst 100 Switch12(cnfig-if)# Vérificatin sur le Switch12 et Switch13 : 1. Le Rt Switch n a pas changé, c est tujurs Switc Mais, le prt FA0/1 du Switch12 est passé en Blcking au prfit du prt FA0/2 du Switch12. Switch12#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 Cst 38 Prt 2 (FastEthernet0/2) Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.857e.c580 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ BLK c.856e.cc Fa0/ FWD c.8583.ae Switch12# Cette cnfiguratin mdifie les flux dans cette architecture. Les Switchs CISCO GEFI SA Page 60

66 Chap V.Le Spanning Tree Prtcl Sus Chap. V.V Rt Switch & Secndary Rt Switch V.V Rt Switch & Secndary Rt Switch Dans une slutin redndante, n suhaite garder la maîtrise de la gestin des flux : si le Rt Bridge (RB) tmbe en panne, le switch qui le remplacera, aura été désigné auparavant. Pur cela, il faut prévir un Secndary Rt Bridge (SRB). Le SRB a une pririté intermédiaire entre le Rt Bridge et la pririté par défaut (0x8000 u 32768). Les Switchs CISCO GEFI SA Page 61

67 Chap V.Le Spanning Tree Prtcl Sus Chap. V.W Cnfiguratin V.W Cnfiguratin Paramètres Réseau : Hell time : fréquence à laquelle un Designated prt envie des CBPDU, 2 s par défaut. Frward delay : passage de l état Listening learning à l état Frwarding, 15 s par défaut. Max Age : délai respecté par un pnt avant de décider que la tplgie du réseau à changer. Bridge Pririty (per bridge) : intervalle cdé sur 2 ctets, de 1 à ( u Ox8000 par défaut). Paramètres liés au prt Prt cst : Cût de transmissin d une trame sur un segment. Par défaut 1000/débit en M bps (exemple ; en 10 Base T = 100, en 100 Base FX, FDDI = 10, ATM = 6). Path cst : cût ttal vers le rt bridge. Lrs de l envi d une BPDU, le prt cst du prt précédent qui a reçu la BPDU est ajuté. Prt pririty : V.W.1 Présentatin CISCO et le cmité IEEE 802.1Q nt des apprches très différentes cncernant le Spanning Tree et les VLANS. Les instances STP sur les VLANs : Prtcle Méthde Descriptin ISL Une instance par VLAN 802.1Q CST : Cmmn Spanning Tree Une instance pur tus les VLANs. Le CST est la slutin de l IEEE 802.1Q pur le Spanning Tree et les VLANS. PVST : Une instance par VLAN. Per-VLAN Spanning Tree PVST W PVRST Per-VLAN Rapid Spanning Tree 802.1S MSTP Multiple Spanning Tree Prtcl Le PVST est une slutin prpriétaire CISCO Le PVST+ est une slutin prpriétaire CISCO qui permet une cmpatibilité ascendante du CST dans PVST+. Le CST : Cmmn Spanning Tree Avantages Mins de bande passante cnsmmée Mins d verhead prcesseur Incnvénients Un seul Rt Bridge, pas d ptimisatin réseau et switchs Cmplexité de la tplgie STP lrsque le réseau s accrît Catalyst Instance STP VLAN 2912 XL, 2924 XL, 2924C XL XL Les Switchs CISCO GEFI SA Page 62

68 Chap V.Le Spanning Tree Prtcl Sus Chap. V.W Cnfiguratin V.W.2 Les cmmandes Spanning Tree Prtcl Cmmandes (glbal) n spanning-tree vlan vlan-id (glbal) spanning-tree vlan vlan-id (glbal) spanning-tree [vlan vlan-id] prtcl {ieee ibm} (glbal) spanning-tree vlan vlan-id pririty bridge-pririty (glbal) spanning-tree vlan vlan-id rt primary (glbal) spanning-tree vlan vlan-id rt secndary spanning-tree prtfast () cnf t (glbal) int fa x/y spanning-tree [vlan vlan-id] cst prt-cst end () cnf t (glbal) int fa x/y ( spanning-tree [vlan vlan-id] prt-pririty prtpririty end significatin Désactivatin du STP d un VLAN Activatin du STP sur un VLAN Spécificatin de l implémentatin STP utilisée pur l instance STP. Actuellement cette cmmande est supprimée car n utilise le prtcle IEEE 802.1Q par défaut. Switch Pririty. Cnfiguratin de la pririté du switch pur l instance STP spécifiée. Entrez une valeur entre 0 et ; la valeur la plus faible dnne au switch la plus grande chance d être chisi cmme rt switch. Switch Pririty. Cnfiguratin de ce switch cmme rt switch primaire pur cette instance STP (PVST) : 0x2000 Switch Pririty. Cnfiguratin de ce switch cmme rt switch secndaire en cas de disfnctinnement du rt switch primary pur cette instance STP (PVST) : 0x4000 Désactive le STP sur le prt 0/X. Path Cst. Cnfiguratin du Path Cst pur l instance STP spécifiée, de 1 à valeur dnnée en fnctin du débit du prt (9 en 100 BaseTX), mais paramétrable. Prt Pririty, cnfiguratin de la pririté du prt, puis pur l instance STP spécifiée. Entrez une valeur de 0 à 255. La valeur la plus faible dnne la pririté la plus frte. () cpy run start Sauvegarde la cnfiguratin () shw spanning-tree bridge État et cnfiguratin du STP () shw spanning-tree active Visualisatin de la cnfig STP C2900 () shw spanning-tree brief Visualisatin de la cnfig STP sur C2621+ ESW () shw spanning-tree vlan 1 brief Visualisatin de la cnfig STP () shw spanning-tree vlan Vlan_ID () shw running-cnfig Le switch fnctinnant en PVST, n dit préciser le VLAN pur déclarer le Bridge Pririty. Par cntre, la déclaratin du Prt Cst et du Prt Pririty peut se faire de manière glbale u par VLAN. Si vus précisez le Vlan-ID dans la cmmande, le Prt Cst et le Prt Pririty sernt valides uniquement pur le VLAN spécifié, sinn ils actifs pur tus les VLAN de l interface. Définitin de la pririté du prt (interface) spanning-tree [vlan vlan-id] prt-pririty Prt-pririty Arguments Significatin [vlan vlan-id] Si le Vlan est spécifié, l affectatin ne cncerne que ce Vlan. Sinn, la pririté est mdifiée pur tus les Vlans de cette interface. Prt-pririty Valeur de la pririté : de 0 à 255. La valeur la plus faible dnne la pririté la plus frte. (interface) spanning-tree prt-pririty 2 Définitin du cût du prt (interface) spanning-tree [vlan vlan-id] cst Prt-cst Arguments Significatin [vlan vlan-id] Si le Vlan est spécifié, l affectatin ne cncerne que ce Vlan. Sinn, la pririté est mdifiée pur tus les Vlans de cette interface. Prt-cst Valeur du cût : 9 par défaut en 100BaseTX. (interface) spanning-tree cst 2 Les Switchs CISCO GEFI SA Page 63

69 Chap V.Le Spanning Tree Prtcl Sus Chap. V.W Cnfiguratin V.W.3 Exemple Sur C2621+ESW : CK160#shw spanning-tree active brief VLAN1 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000e.d710.4f00 This bridge is the rt Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty Address 000e.d710.4f00 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 0 Interface Designated Name Prt ID Pri Cst Sts Cst Bridge ID Prt ID FastEthernet1/ FWD e.d710.4f CK160# Sur Catalyst 2900 : Sw4#shw spanning-tree active VLAN0001 Spanning tree enabled prtcl ieee Rt ID Pririty Address 000c.856e.cc80 This bridge is the rt Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Bridge ID Pririty (pririty sys-id-ext 1) Address 000c.856e.cc80 Hell Time 2 sec Max Age 20 sec Frward Delay 15 sec Aging Time 300 Interface Prt ID Designated Prt ID Name Pri.Nbr Cst Sts Cst Bridge ID Pri.Nbr Fa0/ FWD c.856e.cc Fa0/ FWD c.856e.cc Fa0/ FWD c.856e.cc Spanning-tree Prt Cst (cnfigurable n a per-interface basis) 1000 Mbps 100 Mbps 10 Mbps Les Switchs CISCO GEFI SA Page 64

70 Chap V.Le Spanning Tree Prtcl Sus Chap. V.X Applicatin du STP V.X Applicatin du STP V.X.1 Applicatin 1 Réalisez le mntage suivant, puis Renseignez le schéma Switch1 : Pririté :? MAC Add :? FWB/BLK Prt : Fa0/1 PrtID : CBPDU FWB/BLK Prt : Fa0/1 PrtID : Switch2 : Pririté :? MAC Add :? FWB/BLK Prt : Fa0/2 PrtID : FWB/BLK Prt : Fa0/2 PrtID : Après avir déterminez et vérifiez le Rt Bridge par défaut, rendez l autre switch Rt Bridge. Mdifier le Prt Pririty de chacune des interfaces des switchs, en bservant les mdificatins apprtées. Les Switchs CISCO GEFI SA Page 65

71 Chap V.Le Spanning Tree Prtcl Sus Chap. V.X Applicatin du STP V.X.2 Applicatin 2 V.X.2.a Blck Switch 1 Pur éviter la cnfiguratin des prts en TRUNK, cnfigurez ceux-ci en : #switchprt mde access #switchprt nnegtiate Installatin et cnfiguratin des cmmutateurs CISCOSYSTEMS Installatin et cnfiguratin des rdinateurs Les Switchs CISCO GEFI SA Page 66

72 Chap V.Le Spanning Tree Prtcl Sus Chap. V.X Applicatin du STP V.X.2.b Blck Switch 2 Pur éviter la cnfiguratin des prts en TRUNK, cnfigurez ceux-ci en : #switchprt mde access #switchprt nnegtiate Installatin et cnfiguratin des cmmutateurs Switch21 : C C FA0/20 FA0/19 CK160 : 32768:000E.D710.4F00 CISCOSYSTEMS C ESW FA1/15 FA1/ FA0/19 Switch23 : D.29D C FA0/ FA0/19 FA0/19 C FA0/20 1 FA0/20 C Switch22 : D.EDC7.2C80 Switch24 : D.EDC7.FA80 Installatin et cnfiguratin des rdinateurs Les Switchs CISCO GEFI SA Page 67

73 Chap V.Le Spanning Tree Prtcl Sus Chap. V.X Applicatin du STP V.X.3 Applicatin 3 V.X.3.a Blck Switch 1 Pur éviter la cnfiguratin des prts en TRUNK, cnfigurez ceux-ci en : #switchprt mde access #switchprt nnegtiate Exercice : 1. Renseignez le schéma suivant : Le RB (Rt Switch) Le RPC (Rt Path Cst) de chaque switch L état des prts 2. Rendez le Switch1 Primary Rt Bridge ; vérifiez. 3. Rendez le Switch2 Secndary Rt Bridge ; vérifiez. Les Switchs CISCO GEFI SA Page 68

74 Chap V.Le Spanning Tree Prtcl Sus Chap. V.X Applicatin du STP V.X.3.b Blck Switch 2 Pur éviter la cnfiguratin des prts en TRUNK, cnfigurez ceux-ci en : #switchprt mde access #switchprt nnegtiate Exercice : 1. Renseignez le schéma suivant : Le RB (Rt Switch) Le RPC (Rt Path Cst) de chaque switch L état des prts 2. Rendez le Switch21 Primary Rt Bridge ; vérifiez. 3. Rendez le Switch22 Secndary Rt Bridge ; vérifiez. Les Switchs CISCO GEFI SA Page 69

75 Chap VI.Les VLANs Sus Chap. VI.A Présentatin VI. Les VLANs VLAN: Virtual LAN VI.A Présentatin L bjectif initial des VLAN est une segmentatin fnctinnelle du réseau destinée A limiter les dmaines de bradcast, Faciliter le raccrdement des utilisateurs lrs d un déménagement de bureau, et à Sécuriser les utilisateurs. Un VLAN est un réseau, c'est-à-dire un dmaine de Bradcast. Il existe plusieurs apprches pur cnstituer les VLAN Static VLAN : par l assignatin d un prt (prt-based membership) à un numér de VLAN (VLAN ID) u par un serveur Radius après authentificatin de l utilisateur par 802.1x. Dynamic VLAN : par assignatin d une adresse MAC (membership based n MAC address) à un numér de VLAN (VLAN ID). Dans cette méthde, il faut dispser d une base de dnnées qui dnnera l identificatin du VLAN en fnctin de l adresse MAC : VMPS sur Catalyst 5000 & 6000 u CiscWrks 2000 u CiscWrks fr Switched Internetwrks (CWSI). Les Switchs CISCO GEFI SA Page 70

76 Chap VI.Les VLANs Sus Chap. VI.A Présentatin VLAN 2 VLAN 1 VLAN Switch A Switch B Cette architecture furnit tris VLAN ttalement indépendants les uns des autres dnc tris dmaines de bradcast en Ethernet. L intercnnexin des VLAN sera réalisé par un ruteur avec des ACL, pur sécuriser les cmmunicatins. Les Switchs CISCO GEFI SA Page 71

77 Chap VI.Les VLANs Sus Chap. VI.B Transprt des VLANs u Trunk VI.B Transprt des VLANs u Trunk VI.B.1 Présentatin Un trunk est une liaisn pint à pint qui transmet et reçit le trafic entre deux switchs (cas général) u entre un switch et un ruteur u entre switch et un rdinateur (serveur). Ce lien transprte le trafic de plusieurs VLANs et peut les étendre à travers tut le réseau via d autres switchs. Attentin la gestin des VLANs est réalisée au niveau 2, dnc ils ne passent les ruteurs (plus exactement la cuche 3). Il existe deux prtcles d encapsulatin des VLANs : ISL et dt1q (IEEE 802.1q). Le prtcle prpriétaire Cisc, ISL, est maintenant abandnné sur les IOS mdernes. Le transprt des VLANs s effectue via des prts FastEthernet u Gigabit Ethernet. Le TRUNKING permet aussi l agrégatin de plusieurs liens 100BaseTX entre cmmutateur u switch, myen écnmique pur augmenter le débit entre switchs et éviter les pints de cngestin. Le MLT, MultiLink Trunking, chez BAY Le Prt Trunking chez 3COM L EtherChannel chez CISCO Nte : Le mde par défaut des interfaces de niveau 2 est switchprt mde dynamic desirable. Si l interface la plus prche supprte le trunking et cnfigurée pur, la cnnexin entre les deux switchs sera un lien Trunk. Nte : Le DTP (Dynamic Trunking Prtcl), prtcle pint à pint, gère la négciatin des liens Trunk entre switchs. Durant cette négciatin le prt ne participe pas au STP. Ce prtcle est un tru de sécurité, car n purra récupérer tus les VLANs en cnnectant un switch à un prt nn prtégé (interface) switchprt nnegtiate Les Switchs CISCO GEFI SA Page 72

78 Chap VI.Les VLANs Sus Chap. VI.B Transprt des VLANs u Trunk VI.B.2 ISL ISL : Inter-Switch Link Prtcle prpriétaire CISCO. Sur les IOS récents, ce prtcle est abandnné au prfit de 802.1Q. Une instance STP par VLAN ISL Header Encapsulatin Frame FCS # f bits t Frame field DA Type User SA LEN AAAA03 HAS VLAN BPDU Index RES Encap. Frame FCS DA - Destinatin Address, cette adresse est de type Multicast (0x C u 0x C-00-00), elle signale au récepteur que le paquet est une trame ISL. Type - pur Ethernet 0000, pur ATM 0011 User - Type Extensin SA - Surce Address, adresse MAC de l émetteur LEN - Length, indique la lngueur du paquet ISL de DA à FCS. AAAA03 - Subnetwrk Access Prtcl (SNAP) et Lgical Link Cntrl (LLC) HSA High Bits f Surce Address, adresse OUI. VLAN Destinatin Virtual LAN ID, identificatin du VLAN. BPDU Bridge Prtcl Data Unit et Cisc Discvery Prtcl (CDP) Indicatr, ce bit indique l encapsulatin d une trame BPDU u CDP. Index, utilisé pur les diagnstique et ignré par le récepteur. RES Reserved fr Tken Ring and FDDI. Encap. Frame Trame Ethernet encapsulée en transit dans un lien Trunk. FCS champ CRC de la trame ISL. Les Switchs CISCO GEFI SA Page 73

79 Chap VI.Les VLANs Sus Chap. VI.B Transprt des VLANs u Trunk VI.B.3 IEEE 802.1Q u Dt1q The EtherType and VLAN ID are inserted after the MAC surce address, but befre the riginal Ethertype/Length r Lgical Link Cntrl (LLC). The 1-bit CFI included a T-R Encapsulatin bit s that Tken Ring frames can be carried acrss Ethernet backbnes withut using 802.1H translatin. Draft Standard P802.1Q/D11 pur Standard fr Virtual Bridged Lcal Area Netwrk. La nrme 802.1Q cnsiste à ajuter un champ dans l entête de la trame Ethernet initial à la fis pur gérer les VLAN et des classes de service (802.1P) Ces trames snt véhiculées entre les cmmutateurs et/u ruteurs. Ethernet V2 / IEEE ctets 6 ctets 6 ctets 2 ctets 2 ctets 2 46 à 1500 ctets 4 MAC MAC SRC TPID 0x8100 TCI T/Lng. Dnnées CRC TPID : Tag Prtcl Identifier Le champ TPID crrespnd au champ Type d une trame Ethernet V2 Si champ TPID = 0x8100 alrs 802.1Q/802.1P TCI: Tag Cntrl Infrmatin COS Class Of Service 3 bits Utilisé par la nrme 802.1p CFI Cmmn Frmat Identifier 1 bit 0 Frmat nrmal 1 champ RIF présent VID VLAN Identifier 12 bits 4096 identificateurs de VLAN Nte : Les trames Ethernet riginales ne peuvent pas excéder une lngueur maximale de 1518 ctets (hrs préambule). Si une trame de lngueur maximale est marquée (tagged) par 802.1Q, il en résulte une trame de 1522 ctets. Ce type de trame est nmmé Baby Giant Frame. Nrmalement le switch traite une trame de 1522 ctets sans prblème, bien qu il puisse enregistrer une erreur. Les Switchs CISCO GEFI SA Page 74

80 Chap VI.Les VLANs Sus Chap. VI.C Intercnnexin VI.C Intercnnexin Pur intercnnecter les VLANs, il faut utiliser le rutage ; deux slutins Par un ruteur externe via un lien Trunk. Mais attentin, dans ce cas les VLAN ne se prpagent pas au-delà du ruteur (vir schéma de la page de garde). Par une carte de rutage intégrée au switch (n parle ici de cmmutateur niveau 3). Ici il faudra plutôt restreindre les VLAN dans les liens TRUNK (ex. C2600 plus une carte d extensin ESW). Les Switchs CISCO GEFI SA Page 75

81 Chap VI.Les VLANs Sus Chap. VI.D Cnfiguratin VI.D Cnfiguratin VI.D.1 Déclaratin des VLAN Imprtant : il faut abslument créer le VLAN dans le VLAN Database avant l affectatin d un prt dans un VLAN. En réalité, cette cmmande crée une SVI (Switch Virtual Interface), cette interface virtuelle représente le lien entre le prtcle de niveau tris (ici IP) et le VLAN (c est à dire le réseau). Tris pératins snt nécessaires pur btenir le LINK Créatin d une SVI (Switch Virtual Interface) Activatin Applicatin Cmmandes Significatin C2621# vlan database C2621(vlan)# vlan 16 Créatin de l interface SVI 16 C2621(vlan)# n vlan 16 Suppressin d une interface virtuelle C2621(vlan)# vlan 16 state active Activatin de l interface C2621(vlan)# apply Applicatin et activatin des mdificatins C2621(vlan)# exit Applicatin et activatin des mdificatins, puis srtie du menu VLAN DATABASE C2621(vlan)# abrt Srtie du menu VLAN DATABASE sans appliquer les mdificatins C2621(vlan)# shw Visualisatin des VLAN existants. C2621#vlan database C2621(vlan)# C2621(vlan)#vlan? <1-1005> ISL VLAN index C2621(vlan)#vlan 16? are Maximum number f All Rute Explrer hps fr this VLAN backupcrf Backup CRF mde f the VLAN bridge Bridging characteristics f the VLAN media Media type f the VLAN mtu VLAN Maximum Transmissin Unit name Ascii name f the VLAN parent ID number f the Parent VLAN f FDDI r Tken Ring type VLANs ring Ring number f FDDI r Tken Ring type VLANs said IEEE SAID state Operatinal state f the VLAN ste Maximum number f Spanning Tree Explrer hps fr this VLAN stp Spanning tree characteristics f the VLAN <cr> C2621(vlan)#vlan 16 VLAN 16 added: Name: VLAN0016 C2621(vlan)#vlan 16 state? active VLAN Active State suspend VLAN Suspended State C2621(vlan)#vlan 16 state active VLAN 16 mdified: State ACTIVE C2621(vlan)#apply APPLY cmpleted. C2621(vlan)#exit APPLY cmpleted. Existing. C2621# Les Switchs CISCO GEFI SA Page 76

82 Chap VI.Les VLANs Sus Chap. VI.D Cnfiguratin VI.D.2 Le prt en mde Multi-VLAN Par défaut tus les prts snt affectés sur le VLAN 1 (d administratin) en Static-access. Empli : Deux VLANs se partageant un même ruteur u serveur tut en étant islés. Un Switch ne peut pas effectuer du Multi-Vlan et du Trunk. Ne pas cnnecter un prt cnfiguré en Multi-VLAN à un HUB u à un Switch. (Yu cannt have multi- VLAN and trunk prts cnfigured n the same switch.) Cmmandes significatin () cnfigure terminal Entrez en mde cnfiguratin glbal (glbal) interface fastethernet 0/4 Chix de l interface à cnfigurer (interface) switchprt mde multi Mettre le prt en mde Multi-VLAN (interface) switchprt multi vlan 42,77 Affectatin du prt aux VLANs 1 et 2 (interface) switchprt multi vlan add 2 Rajute le VLAN 2 dans la liste (interface) switchprt multi vlan remve 2 Supprime le VLAN 2 de la liste (interface) end Retur en mde privileged EXEC () shw interfaces fa0/4 switchprt Vérifier vs entrées Activatin du Multi Vlan sur un prt Switch#cnf t Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Switch(cnfig)#int fa0/2 Switch(cnfig-if)#switchprt multi vlan 1,2 Switch(cnfig-if)#^Z Switch# Désactivatin du Multi Vlan sur un prt Switch#cnf t Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Switch(cnfig)#int fa0/2 Switch(cnfig-if)#n switchprt multi vlan 1,2 Switch(cnfig-if)#n switchprt mde multi Switch(cnfig-if)#^Z Switch# Les Switchs CISCO GEFI SA Page 77

83 Chap VI.Les VLANs Sus Chap. VI.D Cnfiguratin VI.D.3 Le prt en mde TRUNK Un TRUNK n existe qu entre Switchs qui s échangent des VLANs. Yu cannt have multi-vlan and trunk prts cnfigured n the same switch. Activatin du mde Trunk Cmmandes Switch# cnfigure terminal Switch(cnfig)# interface fastethernet 0/4 Switch(cnfig-if)# switchprt mde trunk Switch(cnfig-if)# switchprt mde dynamic desirable Switch(cnfig-if)# switchprt trunk encapsulatin {isl dt1q} Switch(cnfig-if)# switchprt trunk allwed vlan remve vlan-list Switch(cnfig-if)# end significatin Entrez en mde glbal cnfiguratin Chix de l interface à cnfigurer Cnfiguratin du prt en mde trunk Cnfiguratin par défaut des prts : attentin tru de sécurité car cette cnfiguratin permet de prjeter les VLANs sur un autre switch. Cnfiguratin du trunk en ISL u Dt1q. Définitin de la liste des VLANs qui ne snt pas autrisés à être émis et reçus sur ce prt Retur en mde privileged EXEC # shw interfaces trunk Visualisatin de la cnfiguratin des liens Trunk # shw interface fa md-id/if-id switchprt Vérifiez vs entrées. Dans l affichage, vérifiez les champs : Operatinal Mde et Operatinal Trunking Encapsulatin # shw interfaces status Visualisatin cmplète de la cnfiguratin des interfaces # shw interface fa md-id/if-id switchprt allwed-vlan Vérifiez vs entrées. # cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. Désactivatin du mde Trunk Cmmandes significatin () cnfigure terminal Entrez en mde glbal cnfiguratin (glbal) interface fastethernet 0/4 Chix de l interface à cnfigurer (interface) n switchprt mde Retur en mde static-access (mde par défaut) (interface) end Retur en mde privileged EXEC () shw interface fa md-id/if-id switchprt Vérifiez vs entrées. Dans l affichage, vérifiez les champs : Operatinal Mde et Operatinal Trunking Encapsulatin L IEEE 802.1Q impse quelques limitatins : Le VLAN Natif (par défaut VLAN 1) dit être identique à chaque extrémité. La désactivatin du STP du VLAN natif sans désactivatin du STP de chaque VLAN peut ptentiellement prvquer des bucles de niveau 2. Un prt TRUNK ne peut pas servir de prt mnitr Les Switchs CISCO GEFI SA Page 78

84 Chap VI.Les VLANs Sus Chap. VI.D Cnfiguratin VI.D.4 Creating EtherChannel Prt Grups La nrme IEEE 802.3ad définit l agrégatin de liens. La cnfiguratin de plusieurs liens Trunk par agrégatin permet d augmenter le débit entre équipements. Cmmandes IOS Release 12.0 Significatin () cnfigure terminal Entrez en mde cnfiguratin glbal (glbal) interface fastethernet 0/23 Entrez en mde cnfiguratin interface, et spécifier une interface physique à cnfigurer. Jusqu à huit interfaces de même type et de même débit peuvent être cnfigurées pur un même grupe. (interface) prt grup 1 distributin destinatin Assign the prt t grup 1 with destinatin-based frwarding. (interface) exit Retur en mde glbal cnfiguratin (glbal) interface fastethernet 0/24 Enter the secnd prt t be added t the grup (interface) prt grup 1 distributin destinatin Assign the prt t grup 1 with destinatin-based frwarding (interface) end Retur en mde privileged EXEC () shw running-cnfig Vérifiez vtre cnfiguratin () cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. () shw etherchannel 1 summary État de EtherChannel Grupe 1 () shw interfaces status Visualisatin cmplète de la cnfiguratin des interfaces Cmmandes IOS Release 12.2 Significatin () cnfigure terminal Entrez en mde cnfiguratin glbal (glbal)interface fastethernet 0/23 Entrez en mde cnfiguratin interface, et spécifier une interface physique à cnfigurer. Jusqu à huit interfaces de (glbal)interface range fastethernet 0/20-21 même type et de même débit peuvent être cnfigurées pur un même grupe. (interface)channel-grup 1 mde n Assign the prt t grup 1. Assignatin du prt dans le p1 (prtchannel 1) (interface)end Retur en mde privileged EXEC # shw running-cnfig Vérifiez vtre cnfiguratin # cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. # shw etherchannel 1 summary État de EtherChannel Grupe 1 # shw interface prtchannel 1 status # shw interface prtchannel 1 summary # shw interface prtchannel 1 etherchannel # shw interfaces status Visualisatin cmplète de la cnfiguratin des interfaces Les Switchs CISCO GEFI SA Page 79

85 Chap VI.Les VLANs Sus Chap. VI.D Cnfiguratin VI.D.5 Applicatin Cnfiguratin Ck160(cnfig-if)#switchprt trunk allwed vlan? WORD VLAN IDs f the allwed VLANs when this prt is in trunking mde add add VLANs t the current list all all VLANs except all VLANs except the fllwing remve remve VLANs frm the current list Ck160(cnfig-if)# Cnfiguratin des prts en mde Trunk cnf t int range fa 1/8-15 switchprt mde trunk n shut exit Agrégatin de liens : Etherchannel int range fa 1/12-13 shut channel-grup 1 mde n n shut exit Suppressin de VLAN dans un Trunk int range fa1/8-9 switchprt trunk allwed vlan remve 3 switchprt trunk allwed vlan remve 4 switchprt trunk allwed vlan remve 5 int prt-channel 1 switchprt trunk allwed vlan remve 10 switchprt trunk allwed vlan remve 11 exit Les Switchs CISCO GEFI SA Page 80

86 Chap VI.Les VLANs Sus Chap. VI.D Cnfiguratin Cntrôle Ck160#sh etherchannel 1 summary Flags: D - dwn P - in prt-channel I - stand-alne s - suspended R - Layer3 S - Layer2 U - in use Grup Prt-channel Prts P1(SU) Fa1/8(P) Fa1/9(P) Ck160#sh int p1 status Prt Name Status Vlan Duplex Speed Type P1 cnnected trunk a-full a-100 unknwn Ck160#sh int p1 summary *: interface is up IHQ: pkts in input hld queue OHQ: pkts in utput hld queue RXBS: rx rate (bits/sec) TXBS: tx rate (bits/sec) TRTL: thrttle cunt IQD: pkts drpped frm input queue OQD: pkts drpped frm utput queue RXPS: rx rate (pkts/sec) TXPS: tx rate (pkts/sec) Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL * Prt-channel NOTE:N separate cunters are maintained fr subinterfaces Hence Details f subinterface are nt shwn Ck160#sh int p1 etherchannel Age f the Prt-channel = 00d:00h:29m:51s Lgical slt/prt = 3/0 Number f prts = 2 GC = 0x HtStandBy prt = null Prt state = Prt-channel Ag-Inuse Prts in the Prt-channel: Index Prt EC state Fa1/8 n 1 Fa1/9 n Time since last prt bundled: 00d:00h:29m:46s Fa1/9 Ck160# Les Switchs CISCO GEFI SA Page 81

87 CISCOSYSTEMS Chap VI.Les VLANs Sus Chap. VI.E Applicatin VI.E Applicatin VI.E.1 Blck Switch 1 Installatin et cnfiguratin des cmmutateurs CISCOSYSTEMS Installatin et cnfiguratin des rdinateurs Switch FA0/19 T 1 0/1 C /5 0/6 0/7 FA0/20 T Vue virtuelle des réseaux Les Switchs CISCO GEFI SA Page 82

88 CISCOSYSTEMS Chap VI.Les VLANs Sus Chap. VI.E Applicatin VI.E.2 Blck Switch 2 Installatin et cnfiguratin des cmmutateurs Switch21 : C C FA0/20 FA0/19 T CK160 : 32768:000E.D710.4F00 CISCOSYSTEMS C ESW FA1/15 FA1/8 FA1/9 FA1/10 FA1/14 T FA0/19 Switch23 : D.29D C FA0/ T T FA0/19 FA0/19 C Switch22 : D.EDC7.2C80 FA0/20 T FA0/20 C Switch24 : D.EDC7.FA80 Installatin et cnfiguratin des rdinateurs Switch FA0/19 T 1 0/1 C /5 0/6 0/7 FA0/20 T Vue virtuelle des réseaux Les Switchs CISCO GEFI SA Page 83

89 Chap VI.Les VLANs Sus Chap. VI.F Observatins VI.F Observatins Sur un lien TRUNK (par défaut 802.1Q) : Les trames du VLAN natif ne snt pas taguées sur un lien trunk. Par cntre le trafic crrespndant aux autres VLAN est tagué par le prtcle IEEE 802.1Q par défaut. Les BPDU STP snt encapsulées dans LLC (u IEEE 802.2) puis directement dans IEEE Par cntre les annnces PVSTP snt : Nn taguées sur le native VLAN (par défaut le VLAN 1), Taguées par VLAN. Les Switchs CISCO GEFI SA Page 84

90 CISCOSYSTEMS Chap VII.Le rutage inter VLAN Sus Chap. VII.A Par ruteur indépendant VII. Le rutage inter VLAN VII.A Par ruteur indépendant Le ruteur CISCO dit dispser d un IOS IP Plus, pur gérer le prtcle dt1q (802.1Q). Le trunking ne peut pas être réalisé sur un prt Ethernet, il faut bligatirement dispser de prts Fastethernet au minimum. Sur le ruteur, l interface physique fastethernet 0/0 est utilisée pur supprter des interfaces virtuelles (également appelées sus interfaces) pur ruter le trafic entre ces tris machines qui snt cnnectées sur tris VLAN différents. La sus-interface FastEthernet 0/0.1 est cnfigurée par l interface principale FA0/0. Rutage via un prt trunk : Cmmandes (glbal) interface fastethernet slt/prt.subifnumber (interface) encapsulatin dt1q vlanid (sub-interface) ip address ip-address sub-net-mask Significatin Spécifiez la sus interface à cnfigurer. La sus interface est représentée par subif-number. Définitin du type d encapsulatin et de l identificatin du VLAN d affectatin pur cette interface physique. Assignatin de l adresse IP à cette sus interface C2621#cnf t Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. C2621(cnfig)#int fa 0/0 C2621(cnfig-if)# ip address C2621(cnfig-if)#n shut C2621(cnfig-if)#exit C2621(cnfig)#int fa 0/0.2 C2621(cnfig-subif)#encapsulatin dt1q 2 C2621(cnfig-subif)#ip address C2621(cnfig-subif)#n shut C2621(cnfig-subif)#exit C2621(cnfig)#int fa 0/0.3 C2621(cnfig-subif)#encapsulatin dt1q 3 C2621(cnfig-subif)#ip address C2621(cnfig-subif)#n shut C2621(cnfig-subif)#exit C2621(cnfig)# A la place du ruteur CISCO, vus puvez câbler tut autre système gérant 802.1Q. Sus Linux, vus n avez aucun prblème car le prtcle 802.1Q est géré par le système Linux luimême. Tandis que sus Windws, c est le Device Driver furnit avec l interface qui ffre la pssibilité u nn de gérer le prtcle 802.1Q. Les Switchs CISCO GEFI SA Page 85

91 Chap VII.Le rutage inter VLAN Sus Chap. VII.B Par un cmmutateur de niveau 3 VII.B Par un cmmutateur de niveau 3 Les Catalyst 3500, 4000(*), 5000 (**) et 6000 dispsent de carte de rutage (rutage en fnd de panier). Maintenant des cartes d extensin ESW snt dispnibles pur les ruteurs ; C2600 et C3600. Ces cartes ESW snt des switch (attentin à la cnnectique différentes des prts intégrés au ruteurs). (*) Avec une carte superviseur 3 u 4 (**) Avec une carte RSM VII.B.1 Méthdes La cnfiguratin s effectue en tris étapes : 1. Créatin du VLAN dans la Data Base 2. Affectatin du prt à un VLAN 3. Affectatin d une adresse IP et de sn Subnet Mask à l interface VLAN VII.B.2 Cmmandes Créatin d un VLAN : Cmmandes Significatin C2621#vlan database C2621(vlan)#vlan 16 state active Créatin et Activatin de l interface SVI VLAN 16 C2621(vlan)#exit Applicatin dans la base de dnnées et activatin du VLAN physiquement Affectin d un prt à un VLAN Cmmandes Significatin () cnfigure terminal Entrez en mde glbal cnfiguratin (glbal) interface fastethernet 0/4 Chix du prt à cnfigurer (interface) shutdwn Désactive l interface SVI VLAN 4 (interface) switchprt access vlan 3 Affectatin statique du prt au VLAN 3 ici (interface) n shutdwn Active l interface SVI VLAN 3 (interface) end Retur en mde privileged EXEC Affectatin d une adresse IP Cmmandes Significatin () cnfigure terminal Entrez en mde glbal cnfiguratin (glbal) interface vlan 1 Chix du VLAN à cnfigurer par défaut le VLAN1 qui est le VLAN natif. (interface) ip address Affectatin de l adresse IP (interface) n shutdwn Optinnel (interface) end Retur en mde privileged EXEC () cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. Les Switchs CISCO GEFI SA Page 86

92 CISCOSYSTEMS Chap VII.Le rutage inter VLAN Sus Chap. VII.C Applicatin 1 VII.C Applicatin 1 VII.C.1 Blck Switch 1 Installatin et cnfiguratin des cmmutateurs CISCOSYSTEMS Installatin et cnfiguratin des rdinateurs Switch FA0/19 T 1 0/1 C /5 0/6 0/7 FA0/20 T Vue virtuelle des réseaux Les Switchs CISCO GEFI SA Page 87

93 CISCOSYSTEMS Chap VII.Le rutage inter VLAN Sus Chap. VII.C Applicatin 1 VII.C.2 Blck Switch 2 Installatin et cnfiguratin des cmmutateurs Switch21 : C C FA0/20 FA0/19 T CK160 : 32768:000E.D710.4F00 CISCOSYSTEMS C ESW FA1/15 FA1/8 FA1/9 FA1/10 FA1/14 T FA0/19 Switch23 : D.29D C FA0/ T T FA0/19 FA0/19 C Switch22 : D.EDC7.2C80 FA0/20 T FA0/20 C Switch24 : D.EDC7.FA80 Installatin et cnfiguratin des rdinateurs Switch FA0/19 T 1 0/1 C /5 0/6 0/7 FA0/20 T Vue virtuelle des réseaux Les Switchs CISCO GEFI SA Page 88

94 Chap VII.Le rutage inter VLAN Sus Chap. VII.D Applicatin 2 VII.D Applicatin 2 Réalisez le câblage de cette maquette CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS Les Switchs CISCO GEFI SA Page 89

95 CISCOSYSTEMS CISCOSYSTEMS Chap VII.Le rutage inter VLAN Sus Chap. VII.D Applicatin 2 Réalisez la cnfiguratin en fnctin de ces deux schémas Le schéma de la page précédente furnit les éléments de Niveau 1 et 2. Le schéma de cette page furnit les éléments de cnfiguratin IP. Les Switchs CISCO GEFI SA Page 90

96 Chap VIII.SPAN & RSPAN Sus Chap. VIII.A SPAN VIII. SPAN & RSPAN SPAN : Switch Prt Analyser RSPAN: Remte SPAN Yu can use Switch Prt Analyzer (SPAN) t mnitr traffic n a given prt by frwarding incming and utging traffic n the prt t anther prt in the same VLAN. A SPAN prt cannt mnitr prts in a different VLAN, and a SPAN prt must be a static-access prt. Yu can define any number f prts as SPAN prts, and any cmbinatin f prts can be mnitred. Vus puvez utiliser le Switch Prt Analyser pur analyser le trafic d un autre prt. Les deux prts divent faire partie d un même VLAN. Le prt SPAN est cnfiguré en Static-access VIII.A SPAN VIII.A.1 Catalyst 2900 Cisc IOS 12.0 Etapes Cmmandes significatin 1 cnfigure terminal Entrez en mde glbale cnfiguratin 2 interface fastethernet 0/4 Chix de l interface à cnfigurer 3 prt mnitr interface Autrise le mnitring sur le prt spécifié 3 n prt mnitr interface Arrête le mnitring sur le prt spécifié 5 end Retur en mde privileged EXEC 6 shw running-cnfig Vérifiez vtre cnfiguratin 7 cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. Les Switchs CISCO GEFI SA Page 91

97 Chap VIII.SPAN & RSPAN Sus Chap. VIII.A SPAN VIII.A.2 Catalyst 2950 Cisc IOS 12.1 Cmmandes significatin 1 # cnfigure terminal Entrez en mde glbale cnfiguratin 2 # n mnitr sessin {sessinnumber all lcal remte} all supprime tutes les sessins SPAN et Efface tute cnfiguratin SPAN et RSPAN RSPAN lcal supprime tutes les sessins lcales SPAN. remte supprime tutes les sessins distantes RSPAN 3 # mnitr sessin sessin-number Spécifie une sessin SPAN et le prt surce surce interface interface-id [, (mnitred prt) - ] [ bth rx tx ] sessin-number crée une nuvelle sessin SPAN, pur lancer la première sessin spécifiez 1. interface-id spécifie le prt surce, ù le trafic est capturé. bth capture le trafic reçu (rx) et émis (tx) [, - ] spécifie une liste u un pl d interfaces. 4 # mnitr sessin sessin-number Spécifie une sessin SPAN et le prt destinatin ù destinatin interface interface-id sera cnnecté un analyseur réseau (sniffer) [ encapsulatin {dt1q} ] [ ingress vlan vlan-id ] 5 # end Retur en mde privileged EXEC 3 # shw mnitr [ sessin sessinnumber] 6 # shw running-cnfig Vérifiez vtre cnfiguratin 7 # cpy running-cnfig startupcnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. This example shws hw t set up a SPAN sessin, sessin 1, fr mnitring surce prt traffic t a destinatin prt. First, any existing SPAN cnfiguratin fr sessin 1 is cleared, and then bidirectinal traffic is mirrred frm surce prt 1 t destinatin prt 10. Switch(cnfig)# n mnitr sessin 1 Switch(cnfig)# mnitr sessin 1 surce interface fastethernet0/1 bth Switch(cnfig)# mnitr sessin 1 destinatin interface fastethernet0/10 encapsulatin dt1q Switch(cnfig)# end Les Switchs CISCO GEFI SA Page 92

98 Chap VIII.SPAN & RSPAN Sus Chap. VIII.B RSPAN VIII.B RSPAN La cnfiguratin du VLAN nécessaire au RSPAN VIII.B.1 Créatin de la sessin surce Cisc IOS 12.1 Cmmandes significatin # cnfigure terminal Entrez en mde glbale cnfiguratin # n mnitr sessin {sessin-number all Efface tute cnfiguratin SPAN et RSPAN lcal remte} all supprime tutes les sessins SPAN et RSPAN lcal supprime tutes les sessins lcales SPAN. remte supprime tutes les sessins distantes RSPAN # mnitr sessin sessin-number surce Spécifie une sessin SPAN et le prt surce (mnitred interface interface-id [, - ] [ bth rx prt) tx ] sessin-number crée une nuvelle sessin SPAN, pur lancer la première sessin spécifiez 1. interface-id spécifie le prt surce, ù le trafic est capturé. bth capture le trafic reçu (rx) et émis (tx) [, - ] spécifie une liste u un pl # mnitr sessin sessin-number destinatin remte vlan vlan-id reflectr-prt interface-id d interfaces. Spécifie une sessin SPAN et le prt destinatin ù sera cnnecté un analyseur réseau (sniffer) # end Retur en mde privileged EXEC # shw mnitr [ sessin sessin-number] # shw running-cnfig Vérifiez vtre cnfiguratin # cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. VIII.B.2 Créatin de la sessin destinatin Cisc IOS 12.1 Cmmandes significatin # cnfigure terminal Entrez en mde glbale cnfiguratin # mnitr sessin sessin-number surce Spécifie une sessin SPAN et le VLAN remte vlan vlan-id sessin-number référence à la sessin RSPAN. surce remte vlan. vlan-id spécifie la surce du VLAN RSPAN a mnitré. # mnitr sessin sessin-number destinatin Spécifie une sessin RSPAN et l interface destinatin ù interface interface-id [ encapsulatin sera cnnecté un analyseur réseau (sniffer) {dt1q} ] # end Retur en mde privileged EXEC # shw mnitr [ sessin sessin-number] # shw running-cnfig Vérifiez vtre cnfiguratin # cpy running-cnfig startup-cnfig [ptinnel] sauvegardez la cnfiguratin pur le prchain redémarrage. Les Switchs CISCO GEFI SA Page 93

99 Chap IX.Le VTP Sus Chap. IX.A Fnctinnement IX. Le VTP VTP : Virtual Trunking Prtcl VTP est un prtcle de transmissin de messages de niveau 2, qui permet de centraliser l'additin, la suppressin u la mdificatin des VLANs. VTP permet aux slutins de réseau cmmuté de changer d échelle en réduisant les besins de cnfiguratin manuelle. VTP réduit les erreurs u les inchérences de cnfiguratin qui peuvent causer des prblèmes, cmme les nms dupliqués u les spécificatins de type de VLAN incrrects. Le principe est de créer un serveur VTP sur un u plusieurs cmmutateurs (afin d assurer une redndance), de paramétrer les autres cmmutateurs en client VTP. Tute mdificatin apprtée à un serveur VTP sera prpagée au niveau des clients VTP. IX.A Fnctinnement VTP est un prtcle qui échange des messages de niveau 2 via des trames Trunk. Échange en multicast. Ne passe pas les ruteurs. Se prpage uniquement par les prts Trunk. Facilite l administratin Les versins : les deux versins ne snt pas cmpatibles VTP Versin 1 : versin par défaut, VTP Versin 2 : surtut pur le supprt de Tken-Ring Les Switchs CISCO GEFI SA Page 94

100 Chap IX.Le VTP Sus Chap. IX.B VTP Mdes and Mde Transitins IX.B VTP Mdes and Mde Transitins Yu can cnfigure a supprted switch t be in ne f the VTP mdes. VTP Mdes VTP server VTP client VTP transparent Descriptin In this mde, yu can create, mdify, and delete VLANs and specify ther cnfiguratin parameters (such as VTP versin) fr the entire VTP dmain. VTP servers advertise their VLAN cnfiguratins t ther switches in the same VTP dmain and synchrnize their VLAN cnfiguratins with ther switches based n advertisements received ver trunk links. In VTP server mde, VLAN cnfiguratins are saved in nn-vlatile RAM. VTP server is the default mde. In this mde, a VTP client behaves like a VTP server, but yu cannt create, change, r delete VLANs n a VTP client. In VTP client mde, VLAN cnfiguratins are saved in nnvlatile RAM. In this mde, VTP transparent switches d nt participate in VTP. A VTP transparent switch des nt advertise its VLAN cnfiguratin and des nt synchrnize its VLAN cnfiguratin based n received advertisements. Hwever, transparent switches d frward VTP advertisements that they receive frm ther switches. Yu can create, mdify, and delete VLANs n a switch in VTP transparent mde. In VTP transparent mde, VLAN cnfiguratins are saved in nn-vlatile RAM, but they are nt advertised t ther switches. Tw cnfiguratins can cause a switch t autmatically change its VTP mde: When the netwrk is cnfigured with mre than the maximum 250 VLANs (sme mdels supprt a maximum f 64 VLANs), the switch autmatically changes frm VTP server r client mde t VTP transparent mde. The switch then perates with the VLAN cnfiguratin that preceded the ne that sent it int transparent mde. When a multi-vlan prt is cnfigured n a supprted switch in VTP server mde r client mde, the switch autmatically changes t transparent mde. Les Switchs CISCO GEFI SA Page 95

101 Chap IX.Le VTP Sus Chap. IX.C Cnfiguratin sur C2900 & C3500 series IX.C Cnfiguratin sur C2900 & C3500 series IX.C.1 Les cmmandes VTP Server mde : Etape Cmmandes Significatin 1 C2621 # vlan database Entrez en mde VLAN Database 2 C2621(vlan) # vtp dmain Définir un nm de dmaine VTP (de 1 à 32 dmain-name caractères) 3 C2621(vlan) # vtp passwrd (Optinnel) définir un mt de passe au dmaine passwrd-name VTP (de 8 à 64 caractères) 4 C2621(vlan) # vtp server Cnfiguratin du switch en mde VTP Server (mde par défaut) 5 C2621(vlan) # exit Retur en mde EXEC privilégié 6 C2621 # shw vtp status Vérifiez la cnfiguratin VTP VTP Client mde : Etape Cmmandes Significatin 1 C2900 # vlan database Entrez en mde VLAN Database 2 C2900(vlan) # vtp client Cnfiguratin du switch en mde VTP Client 3 C2900(vlan) # vtp dmain Définir un nm de dmaine VTP (de 1 à 32 dmain-name caractères) 4 C2900(vlan) # vtp passwrd (Optinnel) définir un mt de passe au dmaine passwrd-name VTP (de 8 à 64 caractères) 5 C2900(vlan) # exit Retur en mde EXEC privilégié 6 C2900 # shw vtp status Vérifiez la cnfiguratin VTP Désactivatin du VTP (VTP Transparent mde) : Etape Cmmandes Significatin 1 C2900 # vlan database Entrez en mde VLAN Database 2 C2900(vlan) # vtp transparent Désactivatin du VTP sur le Switch 3 C2900(vlan) # exit Retur en mde EXEC privilégié 4 C2900 # shw vtp status Vérifiez la cnfiguratin VTP Cmmandes cmplémentaires : Cmmandes Significatin C2900 # vlan database Entrez en mde VLAN Database C2900(vlan) # vlan v2-mde Activatin de VTP Versin 2 C2900(vlan) # n vlan v2-mde Désactivatin de VTP Versin 2 C2900(vlan)#exit Applicatin dans la base de dnnées et activatin du VLAN physiquement C2900(vlan) # shw vtp status Visualisatin des infrmatins VTP C2900(vlan) # shw vtp cunters Affichage des cmpteurs VTP, nmbre de messages reçus et émis. Les Switchs CISCO GEFI SA Page 96

102 Chap IX.Le VTP Sus Chap. IX.C Cnfiguratin sur C2900 & C3500 series IX.C.2 Cnfiguratin VTP serveur Switch# vlan database Switch(vlan)# vtp dmain Building_A Setting VTP dmain name t Building_A Switch(vlan)# vtp dmain Building_A passwrd LAVA Dmain name already set t Building_A. Setting device VLAN database passwrd t LAVA. Switch(vlan)# vtp server Setting device t VTP SERVER mde. Switch(vlan)# exit APPLY cmpleted. Exiting... Switch# shw vtp status VTP Versin : 2 Cnfiguratin Revisin : 0 Maximum VLANs supprted lcally : 68 Number f existing VLANs : 6 VTP Operating Mde : Server VTP Dmain Name : Building_A VTP Pruning Mde : Disabled VTP V2 Mde : Disabled VTP Traps Generatin : Disabled MD5 digest : 0x09 0xF6 0x57 0x1C 0xC9 0x6F 0x75 0x16 IX.C.3 Ajut d un VLAN Switch# vlan database Switch(vlan)# vlan 0003 name marketing VLAN 3 added: Name: marketing Switch(vlan)# exit APPLY cmpleted. Exiting... Switch# IX.C.4 Visualisatin d un Vlan Switch# shw vlan name marketing VLAN Name Status Prts marketing active VLAN Type SAID MTU Parent RingN BridgeN Stp Trans1 Trans enet Les Switchs CISCO GEFI SA Page 97

103 Chap IX.Le VTP Sus Chap. IX.D Cnfiguratin Catalyst 5000 series IX.C.5 Cnfiguratin VTP Client Switch# vlan database Switch(vlan)# vtp client Setting device t VTP CLIENT mde. Switch(vlan)# exit In CLIENT state, n apply attempted. Exiting... Switch# shw vtp status VTP Versin : 2 Cnfiguratin Revisin : 0 Maximum VLANs supprted lcally : 68 Number f existing VLANs : 6 VTP Operating Mde : Client VTP Dmain Name : Building_A VTP Pruning Mde : Disabled VTP V2 Mde : Disabled VTP Traps Generatin : Disabled MD5 digest : 0x09 0xF6 0x57 0x1C 0xC9 0x6F 0x75 0x16 Cnfiguratin last mdified by at :15:25 IX.D Cnfiguratin Catalyst 5000 series IX.D.1 Cnfiguratin VTP serveur Cnsle> (enable) set vtp dmain Lab_Netwrk VTP dmain Lab_Netwrk mdified Cnsle> (enable) set vtp mde server VTP dmain Lab_Netwrk mdified Cnsle> (enable) shw vtp dmain Dmain Name Dmain Index VTP Versin Lcal Mde Passwrd Lab_Netwrk 1 2 server - Vlan-cunt Max-vlan-strage Cnfig Revisin Ntificatins enabled Last Updater V2 Mde Pruning PruneEligible n Vlans disabled disabled Cnsle> (enable) IX.D.2 Cnfiguratin VTP client Cnsle> (enable) set vtp dmain Lab_Netwrk VTP dmain Lab_Netwrk mdified Cnsle> (enable) set vtp mde client VTP dmain Lab_Netwrk mdified Cnsle> (enable) shw vtp dmain Dmain Name Dmain Index VTP Versin Lcal Mde Passwrd Lab_Netwrk 1 2 client - Vlan-cunt Max-vlan-strage Cnfig Revisin Ntificatins enabled Last Updater V2 Mde Pruning PruneEligible n Vlans disabled disabled Cnsle> (enable) Les Switchs CISCO GEFI SA Page 98

104 Chap X.CDP Sus Chap. X.A Présentatin X. CDP CDP : Cisc Discvery Prtcl X.A Présentatin Prtcle de niveau 2 prpriété CISCO Aut décuverte des équipements réseau (Switch & ruteurs) CISCO CDP permet identifier : Les devices Les adresses IP Les prts Type d équipements : pnt, switch u ruteur Versin Le type de platefrme Nte : Certains cnstructeurs nt implémenté CDP (exemple : HP sur ses Switchs) X.B Les cmmandes CDP est par défaut actif (enable). Cmmandes cmplémentaires Ruter(cnfig)# n cdp run Ruter(cnfig-if)# n cdp enable Cmmentaires Désactive CDP pur tutes les interfaces du ruteur Désactive CDP pur l interface spécifiée User Access Verificatin Passwrd: C2621>en Passwrd: C2621#shw cdp Glbal CDP infrmatin: Sending CDP packets every 60 secnds Sending a hldtime value f 180 secnds Sending CDPv2 advertisements is enabled C2621#shw cdp neighbrs Capability Cdes: R - Ruter, T - Trans Bridge, B - Surce Rute Bridge S - Switch, H - Hst, I - IGMP, r - Repeater Device ID Lcal Intrfce Hldtme Capability Platfrm Prt ID Back1 Fas 0/0 138 T S WS-C2950-2Fas 0/17 C2621# Les Switchs CISCO GEFI SA Page 99

105 Chap X.CDP Sus Chap. X.B Les cmmandes Back1#sh cdp neighbrs Capability Cdes: R - Ruter, T - Trans Bridge, B - Surce Rute Bridge S - Switch, H - Hst, I - IGMP, r - Repeater Device ID Lcal Intrfce Hldtme Capability Platfrm Prt ID Albi1 Fas 0/9 139 R 2500 Eth 0 Back2 Fas 0/ T S WS-C2950-2Fas 0/24 Back2 Fas 0/ T S WS-C2950-2Fas 0/23 C2621 Fas 0/ R 2621 Fas 0/0.1 C2503 Fas 0/9 147 R 2500 Eth 0 Blck11 Fas 0/ T S WS-C2924-XFas 0/24 Blck12 Fas 0/ T S WS-C2924-XFas 0/24 Brive1 Fas 0/9 122 R 2505 Eth 0 Back1# Albi1#shw cdp entry * Device ID: Albi2 Entry address(es): IP address: Platfrm: cisc 2500, Capabilities: Ruter Interface: Serial0, Prt ID (utging prt): Serial1 Hldtime : 151 sec Versin : Cisc Internetwrk Operating System Sftware IOS (tm) 2500 Sftware (C2500-D-L), Versin 12.0(6), RELEASE SOFTWARE (fc1) Cpyright (c) by cisc Systems, Inc. Cmpiled Tue 10-Aug-99 23:52 by phanguye Device ID: Back Entry address(es): IP address: Platfrm: cisc WS-C2924-XL, Capabilities: Trans-Bridge Switch Interface: Ethernet0, Prt ID (utging prt): FastEthernet0/1 Hldtime : 132 sec Versin : Cisc Internetwrk Operating System Sftware IOS (tm) C2900XL Sftware (C2900XL-C3H2S-M), Versin 12.0(5.2)XU, MAINTENANCE IN TERIM SOFTWARE Cpyright (c) by cisc Systems, Inc. Cmpiled Mn 17-Jul-00 17:35 by ayunes Device ID: albi3 Entry address(es): IP address: Platfrm: cisc 2505, Capabilities: Ruter Interface: Serial1, Prt ID (utging prt): Serial0 Hldtime : 117 sec Versin : Cisc Internetwrk Operating System Sftware IOS (tm) 2500 Sftware (C2500-D-L), Versin 12.0(6), RELEASE SOFTWARE (fc1) Cpyright (c) by cisc Systems, Inc. Cmpiled Tue 10-Aug-99 23:52 by phanguye Albi1# Les Switchs CISCO GEFI SA Page 100

106 Chap XI.CVMS Sus Chap. X.B Les cmmandes XI. CVMS CVMS : Cisc Visual Manager Sftware La cnfiguratin du switch est effectuée par un navigateur, Le Switch dispse d un serveur Web embarqué (Embbebed) il faut que le vty 15 (privilege-level 15) est un mt de passe affecté. Le Privilege level 15 vus furnit un accès en lecture / écriture à CVMS Le Privilege level 1 à 14 vus furnit un accès en lecture seule à CVMS Le Privilege level 0 vus interdit tut accès à CMS Installez le plug-in java xxxxxxxxxx dans vtre navigateur (versin : j2re u supérieure) Mdes VTP VTP Serveur VTP Client VTP Transparent Descriptin Dans ce mde, vus puvez créer, mdifier et supprimer des VLANs et spécifier d autres paramètres de cnfiguratin (tel que la versin du VTP)pur le dmaine VTP. Les Switchs CISCO GEFI SA Page 101

107 Chap XII.Le Cluster Sus Chap. XII.A Créatin XII. Le Cluster quand des switchs snt regrupés en cluster (grappe), un switch est désigné cmmand switch et les autres snt member switches. L adresse IP pur le cluster entier est assignée au cmmand switch puis il distribue les infrmatins de cnfiguratin et management aux autres switchs. Tus switchs Catalyst 2950 peut-être cmmand switch u member switches dans un cluster. Les switchs 2900 XL divent dispsés de 8 M de DRAM pur être cmmand switch. Les switchs 2820 et 1900 ne peuvent pas être cmmand switch. Un cluster est cmpsé d un cmmand switch et jusqu à 15 member switches. Le cmmand switch est le seul pint d entrée du cluster. XII.A Créatin Cmmandes significatin # cnfigure terminal # cluster enable cluster_name Active le cmmand switch et nmme le cluster # end Returne en mde Privileged Exec # shw cluster candidates Visualise la liste des candidats # shw cluster members Visualise la liste curante des member switches # cnfigure terminal # cluster member n mac-address hw-addr passwrd passwrd Rajute un candidat dans le cluster n ID de 1 à 15 hw-addr sn adresse MAC passwrd # end Returne en mde Privileged Exec # shw cluster members Visualise l état du cluster # n cluster member n Supprime le switch d ID n Les Switchs CISCO GEFI SA Page 102

108 Chap XIII.IEEE 802.1X Sus Chap. XIII.A Présentatin de l'authentificatin 802.1x XIII. IEEE 802.1X XIII.A Présentatin de l'authentificatin 802.1x La nrme IEEE 802.1x permet l'authentificatin sur les réseaux sans fil et Ethernet câblés, ainsi que l'accès à ces réseaux. Lrsqu'un utilisateur suhaite accéder à des services via un prt de réseau lcal (LAN, Lcal Area Netwrk) spécifique, ce prt adpte l'un des deux rôles suivants : authentificateur u demandeur. En tant qu'authentificateur, le prt LAN applique l'authentificatin avant d'autriser l'accès de l'utilisateur. En tant que demandeur, le prt LAN demande l'accès aux services auxquels l'utilisateur suhaite accéder. Un serveur d'authentificatin vérifie les infrmatins d'identificatin du demandeur, puis indique à l'authentificateur si le demandeur est autrisé à accéder aux services de l'authentificateur. IEEE 802.1x utilise des prtcles de sécurité standard pur accrder aux utilisateurs l'accès aux ressurces réseau. L'authentificatin, l'autrisatin et la gestin des cmptes des utilisateurs snt assurées par un serveur RADIUS (Remte Authenticatin Dial-In User Service). RADIUS est un prtcle qui permet l'authentificatin, l'autrisatin et la gestin des cmptes centralisées pur l'accès réseau. Un serveur RADIUS reçit et traite les demandes de cnnexin envyées par les clients RADIUS. En utre, IEEE 802.1x résut bn nmbre des prblèmes liés au cryptage WEP (Wired Equivalent Privacy) en générant, en distribuant et en gérant autmatiquement les clés de cryptage. Supplicant <=> Authenticatr <=> Authenticatr Server Les Switchs CISCO GEFI SA Page 103

109 Chap XIII.IEEE 802.1X Sus Chap. XIII.B Radius XIII.B Radius XIII.B.1 Présentatin Créé par Livingstn Entreprises, Radius est nrmalisée par les RFC 2138 et 2139 de l IETF. Nrmalisé en janvier 1997 dans la RFC 2058 : Radius avait essentiellement pur bjectif de furnir aux FAI un myen pur gérer qu une seule base d utilisateurs quel que sit le POP auquel ces derniers se cnnectaient. La principale fnctin était par cnséquent de transférer les infrmatins d authentificatin depuis les RAS (Remte Access Servers) à un mécanisme central, lui-même capable de s interfacer avec un système d authentificatin. Il s est enrichi de fnctins d accunting : dans la RFC 2866 de juin 2000 : supprt d IPv6 : dans la RFC 3162 d aût 2001 : supprt EAP : dans la RFC 3579 de septembre 2003 : Radius utilise le prt UDP/1812 Les attributs : Un des principaux aspects de Radius est la richesse des infrmatins transmises entre le client et le serveur, vire jusqu au pste utilisateur. Ces infrmatins snt appelées attributs et snt psitinnées à la fin du paquet seln le frmat suivant : Type : un ctet, crrespndant au type de dnnées de l attribut. Les valeurs snt définis dans la RFC 1700 : Lngueur : un ctet, taille (en ctets) de l attribut. Attribut : valeur de l attribut à prprement parler. Il gère les fnctins AAA (Authenticatin, Authrizatin and Accunting), c'est-à-dire l authentificatin, l autrisatin et la jurnalisatin des événements : Authentificatin et autrisatin. Il s agit de vérifier l identité de l utilisateur et de lui assigner un prfil d utilisatin. Pur y parvenir, Radius hérite des méthdes d authentificatin du prtcle PPP, c'est-à-dire PAP, CHAP et EAP, incluant pur la dernière la pssibilité d utiliser des cartes (tkens), etc. les échanges d authentificatin/autrisatin snt élémentaires. Ils s appuient sur des demandes (de la part du client) et des répnses (de la part du serveur) d authentificatin/autrisatin. Une base de dnnées située sur le serveur d accès distant sur lequel s exécute le serveur Radius gère l ensemble des utilisateurs Radius ainsi que leurs prfils. L étape préliminaire permet d authentifier et d autriser un utilisateur. Il y a dnc, par rapprt à Tacacs+, gain d échange de messages entre client et serveur. Accunting. Il s agit de cnnaître tutes les actins menées par un utilisateur à des fins de cmptabilité pur la facturatin de service réseau u à des fins d investigatin pur la gestin du réseau. Les infrmatins dispnibles snt les demandes d authentificatin afin d uvrir et fermer une sessin. Si plusieurs serveurs Radius snt déplyés, une cnslidatin des jurnaux de lg dit être réalisée afin de crréler les événements entre eux. Les Switchs CISCO GEFI SA Page 104

110 Chap XIII.IEEE 802.1X Sus Chap. XIII.B Radius XIII.B.2 Présentatin de Freeradius Site : RPM : freeradius rpm Freeradius supprte une grande variété de bases de dnnées : LDAP MySQL Man : # man radius : # man radiusd : # man radiusd.cnf : FreeRADIUS Cnfiguratin File Fichiers de cnfiguratin : /etc/raddb/radiusd.cnf : /etc/raddb/users : This file cntains authenticatin security and cnfiguratin infrmatin fr each user. Vir man 5 users /etc/raddb/clients.cnf : Démarrage du serveur : # /etc/init.d/radiusd start Fichiers cmplémentaires : /var/lg/radacct : Accunting Directry /var/lg/radius/radacct/ : /var/lg/radius/radutmp : # # Fr a list f RADIUS attributes, and links t their definitins, # see: # # # Les Switchs CISCO GEFI SA Page 105

111 Chap XIII.IEEE 802.1X Sus Chap. XIII.B Radius XIII.B.3 Cnfiguratin de Freeradius XIII.B.3.a /etc/raddb/radiusd.cnf FreeRADIUS server cnfiguratin file. radiusd.cnf file is the central lcatin t cnfigure mst aspects f the FreeRADIUS prduct. It includes cnfiguratin directives as well as pinters and tw ther cnfiguratin files that may be lcated elsewhere n the machine. There are als general cnfiguratin ptins fr the multitude f mdules available nw and in the future fr FreeRADIUS. The mdules can request generic ptins, and FreeRADIUS will pass thse defined ptins t the mdule thrugh its API. Befre we begin, sme explanatin is needed f the peratrs used in the statements and directives fund in these cnfiguratin files. The = peratr, as yu might imagine, sets the value f an attribute. The := peratr sets the value f an attribute and verwrites any previus value that was set fr that attribute. The == peratr cmpares a state with a set value. It's critical t understand hw these peratrs wrk in rder t btain yur desired cnfiguratin. Les Switchs CISCO GEFI SA Page 106

112 Chap XIII.IEEE 802.1X Sus Chap. XIII.B Radius XIII.B.3.b /etc/raddb/clients.cnf clients.cnf - client cnfiguratin directive. Ce fichier définit les AP et/u les Switchs désirant interrger un serveur Radius, ils divent déclarer leur adresse IP leur mt de passe secret partagé. This file is included by default. T disable it, yu will need t mdify the CLIENTS CONFIGURATION sectin f "radiusd.cnf". Exemple 1 : #client sme.hst.rg { # secret = testing123 # shrtname = lcalhst #} # # Yu can nw specify ne secret fr a netwrk f clients. # When a client request cmes in, the BEST match is chsen. # i.e. The entry frm the smallest pssible netwrk. # #client /24 { # secret = testing123-1 # shrtname = private-netwrk-1 #} # #client /16 { # secret = testing123-2 # shrtname = private-netwrk-2 #} #client { # # secret and passwrd are mapped thrugh the "secrets" file. # secret = testing123 # shrtname = liv1 # # the fllwing three fields are ptinal, but may be used by # # checkrad.pl fr simultaneus usage checks # nastype = livingstn # lgin =!rt # passwrd = smeadminpas #} Exemple 2 : Pur tester en lcal que vtre serveur Radius fnctinne, rajutez un client autrisé pur la bucle lcale uniquement. client { secret shrtname } = test = lcalhst Vus puvez ensuite rajuter les réseaux, u les adresses IP des clients uniquement. client /24 { secret = test shrtname = C2621 nastype = cisc } XIII.B.3.c /etc/raddb/users This file cntains authenticatin security and cnfiguratin infrmatin fr each user. Vir man 5 users Les Switchs CISCO GEFI SA Page 107

113 Chap XIII.IEEE 802.1X Sus Chap. XIII.B Radius Exemple 1 : # # This is a cmplete entry fr "steve". Nte that there is n Fall-Thrugh # entry s that n DEFAULT entry will be used, and the user will NOT # get any attributes in additin t the nes listed here. # #steve Auth-Type := Lcal, User-Passwrd == "testing" # Service-Type = Framed-User, # Framed-Prtcl = PPP, # Framed-IP-Address = , # Framed-IP-Netmask = , # Framed-Ruting = Bradcast-Listen, # Framed-Filter-Id = "std.ppp", # Framed-MTU = 1500, # Framed-Cmpressin = Van-Jacbsen-TCP-IP# # The rest f this file cntains the several DEFAULT entries. # DEFAULT entries match with all lgin names. # Nte that DEFAULT entries can als Fall-Thrugh (see first entry). # A name-value pair frm a DEFAULT entry will _NEVER_ verride # an already existing name-value pair. # # # First setup all accunts t be checked against the UNIX /etc/passwd. # (Unless a passwrd was already given earlier in this file). # DEFAULT Auth-Type = System Fall-Thrugh = 1 # Créatin d un utilisateur : rger Auth-Type := Lcal, User-Passwrd == "inutile" Reply-Message = Bnjur %u Exemple 2 : # Créatin d un utilisateur : mbile Auth-Type := EAP, User-Passwrd == "test" test Auth-Type := Lcal, User-Passwrd == "test" Les Switchs CISCO GEFI SA Page 108

114 Chap XIII.IEEE 802.1X Sus Chap. XIII.C CISCO XIII.C CISCO XIII.C.1 Cnfiguratin Guidelines f3.html These are the 802.1X authenticatin cnfiguratin guidelines: When 802.1X is enabled, prts are authenticated befre any ther Layer 2 features are enabled. The 802.1X prtcl is supprted n Layer 2 static-access prts, but it is nt supprted n these prt types: Trunk prt If yu try t enable 802.1X n a trunk prt, an errr message appears, and 802.1X is nt enabled. If yu try t change the mde f an 802.1X-enabled prt t trunk, the prt mde is nt changed. Dynamic prts A prt in dynamic mde can negtiate with its neighbr t becme a trunk prt. If yu try t enable 802.1X n a dynamic prt, an errr message appears, and 802.1X is nt enabled. If yu try t change the mde f an 802.1X-enabled prt t dynamic, the prt mde is nt changed. Dynamic-access prts If yu try t enable 802.1X n a dynamic-access (VLAN Query Prtcl [VQP]) prt, an errr message appears, and 802.1X is nt enabled. If yu try t change an 802.1X-enabled prt t dynamic VLAN assignment, an errr message appears, and the VLAN cnfiguratin is nt changed. EtherChannel prt Befre enabling 802.1X n the prt, yu must first remve it frm the EtherChannel. If yu try t enable 802.1X n an EtherChannel r n an active prt in an EtherChannel, an errr message appears, and 802.1X is nt enabled. If yu enable 802.1X n a nt-yet active prt f an EtherChannel, the prt des nt jin the EtherChannel. Secure prt Yu cannt cnfigure a secure prt as an 802.1X prt. If yu try t enable 802.1X n a secure prt, an errr message appears, and 802.1X is nt enabled. If yu try t change an 802.1X-enabled prt t a secure prt, an errr message appears, and the security settings are nt changed. Switched Prt Analyzer (SPAN) destinatin prt Yu can enable 802.1X n a prt that is a SPAN destinatin prt; hwever, 802.1X is disabled until the prt is remved as a SPAN destinatin. Yu can enable 802.1X n a SPAN surce prt. Les Switchs CISCO GEFI SA Page 109

115 Chap XIII.IEEE 802.1X Sus Chap. XIII.C CISCO XIII.C.2 Enabling 802.1X Authenticatin T enable 802.1X prt-based authenticatin, yu must enable AAA and specify the authenticatin methd list. A methd list describes the sequence and authenticatin methds t be queried t authenticate a user. The sftware uses the first methd listed t authenticate users; if that methd fails t respnd, the sftware selects the next authenticatin methd in the methd list. This prcess cntinues until there is successful cmmunicatin with a listed authenticatin methd r until all defined methds are exhausted. If authenticatin fails at any pint in this cycle, the authenticatin prcess stps, and n ther authenticatin methds are attempted. Beginning in privileged EXEC mde, fllw these steps t cnfigure 802.1X prt-based authenticatin. This prcedure is required. Cmmand Purpse Step 1 cnfigure terminal Enter glbal cnfiguratin mde. Step 2 aaa new-mdel Enable AAA. Step 3 aaa authenticatin dt1x {default} methd1 [methd2...] Create an 802.1X authenticatin methd list. T create a default list that is used when a named list is nt specified in the authenticatin cmmand, use the default keywrd fllwed by the methds that are t be used in default situatins. The default methd list is autmatically applied t all interfaces. Enter at least ne f these keywrds: grup radius Use the list f all RADIUS servers fr authenticatin. nne Use n authenticatin. The client is autmatically authenticated by the switch withut using the infrmatin supplied by the client. Step 4 interface interface-id Enter interface cnfiguratin mde, and specify the interface cnnected t the client that is t be enabled fr 802.1X authenticatin. Step 5 dt1x prt-cntrl aut Enable 802.1X authenticatin n the interface. Fr feature interactin infrmatin with trunk, dynamic, dynamicaccess, EtherChannel, secure, and SPAN prts, see the "802.1X Cnfiguratin Guidelines" sectin. Les Switchs CISCO GEFI SA Page 110

116 Chap XIII.IEEE 802.1X Sus Chap. XIII.C CISCO Step 6 end Return t privileged EXEC mde. Step 7 shw dt1x Verify yur entries. Check the Status clumn in the 802.1X Prt Summary sectin f the display. An enabled status means the prt-cntrl value is set either t aut r t frce-unauthrized. Step 8 cpy running-cnfig startup-cnfig (Optinal) Save yur entries in the cnfiguratin file. T disable AAA, use the n aaa new-mdel glbal cnfiguratin cmmand. T disable 802.1X AAA authenticatin, use the n aaa authenticatin dt1x {default list-name} methd1 [methd2...] glbal cnfiguratin cmmand. T disable 802.1X authenticatin, use the dt1x prt-cntrl frce-authrized r the n dt1x prt-cntrl interface cnfiguratin cmmand. This example shws hw t enable AAA and 802.1X n Fast Ethernet prt 0/1: Switch# cnfigure terminal Switch(cnfig)# aaa new-mdel Switch(cnfig)# aaa authenticatin dt1x default grup radius Switch(cnfig)# interface fastethernet0/1 Switch(cnfig-if)# dt1x prt-cntrl aut Switch(cnfig-if)# end Les Switchs CISCO GEFI SA Page 111

117 Chap XIII.IEEE 802.1X Sus Chap. XIII.C CISCO XIII.C.3 Cnfiguring the Switch-t-RADIUS-Server Cmmunicatin RADIUS security servers are identified by their hst name r IP address, hst name and specific UDP prt numbers, r IP address and specific UDP prt numbers. The cmbinatin f the IP address and UDP prt number creates a unique identifier, which enables RADIUS requests t be sent t multiple UDP prts n a server at the same IP address. If tw different hst entries n the same RADIUS server are cnfigured fr the same service fr example, authenticatin the secnd hst entry cnfigured acts as the fail-ver backup t the first ne. The RADIUS hst entries are tried in the rder that they were cnfigured. Beginning in privileged EXEC mde, fllw these steps t cnfigure the RADIUS server parameters n the switch. This prcedure is required. Cmmand Purpse Step 1 cnfigure terminal Enter glbal cnfiguratin mde. Step 2 radius-server hst {hstname ipaddress} auth-prt prt-number key string Cnfigure the RADIUS server parameters n the switch. Fr hstname ip-address, specify the hst name r IP address f the remte RADIUS server. Fr auth-prt prt-number, specify the UDP destinatin prt fr authenticatin requests. The default is Fr key string, specify the authenticatin and encryptin key used between the switch and the RADIUS daemn running n the RADIUS server. The key is a text string that must match the encryptin key used n the RADIUS server. Nte Always cnfigure the key as the last item in the radius-server hst cmmand syntax because leading spaces are ignred, but spaces within and at the end f the key are used. If yu use spaces in the key, d nt enclse the key in qutatin marks unless the qutatin marks are part f the key. This key must match the encryptin used n the RADIUS daemn. If yu want t use multiple RADIUS servers, re-enter this cmmand. Step 3 end Return t privileged EXEC mde. Step 4 shw running-cnfig Verify yur entries. Step 5 cpy running-cnfig startup-cnfig (Optinal) Save yur entries in the cnfiguratin file. Les Switchs CISCO GEFI SA Page 112

118 Chap XIII.IEEE 802.1X Sus Chap. XIII.C CISCO T delete the specified RADIUS server, use the n radius-server hst {hstname ip-address} glbal cnfiguratin cmmand. This example shws hw t specify the server with IP address as the RADIUS server, t use prt 1612 as the authrizatin prt, and t set the encryptin key t rad123, matching the key n the RADIUS server: Switch(cnfig)# radius-server hst 172.l auth-prt 1612 key rad123 Yu can glbally cnfigure the timeut, retransmissin, and encryptin key values fr all RADIUS servers by using the radius-server hst glbal cnfiguratin cmmand. If yu want t cnfigure these ptins n a per-server basis, use the radius-server timeut, radius-server retransmit, and the radius-server key glbal cnfiguratin cmmands. Fr mre infrmatin, see the "Cnfiguring Settings fr All RADIUS Servers" sectin. Yu als need t cnfigure sme settings n the RADIUS server. These settings include the IP address f the switch and the key string t be shared by bth the server and the switch. Fr mre infrmatin, refer t the RADIUS server dcumentatin. Les Switchs CISCO GEFI SA Page 113

119 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge XIII.D EAP MD5-Challenge Exemple de cnfiguratin permettant de sécuriser l accès au réseau d entreprise (ici Ethernet). Mise en œuvre cmme : Authenticatin Server : Freeradius (versin ) sur platefrme Linux Suse 9.3 ; Authenticatr : un switch Cisc Catalyst 2950 avec IOS : c2950-i6q4l2-mz ea1.bin ; Supplicant : Windws XP-Pr avec SP2. MD5 CHAP (EAP-Message Digest 5 Challenge Handshake Authenticatin Prtcl) est un type EAP bligatire qui utilise le même prtcle de défi/répnse que CHAP PPP, mais les défis et les répnses snt envyées sus frme de messages EAP. MD5-Challenge CHAP est généralement utilisé pur authentifier les infrmatins d'identificatin des clients d'accès distant, à l'aide d'un système de sécurité basé sur le nm d'utilisateur et le mt de passe. Vus puvez également utiliser MD5-Challenge CHAP pur tester l'interpérabilité de EAP. XIII.D.1 Cnfigure the Catalyst fr 802.1x In this sample cnfiguratin, yu enable 802.1x authenticatin n prt fa0/7. Yu cnnect the RADIUS server t VLAN 1 behind interface fa0/6. Nte: Make sure that the RADIUS server always cnnects behind an authrized prt. Définitin de l état du prt du supplicant aut : Authentificatin 802.1x activée frce-authrized : Authentificatin 802.1x désactivée. Le prt émet et reçit nrmalement le trafic sans authentificatin 802.1x. C est l état par défaut. frce-unauthrized Les Switchs CISCO GEFI SA Page 114

120 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge Cmmandes : ! aaa new-mdel!--- Enable AAA. aaa authenticatin lgin default nne!--- Use AAA fr 802.1x nly, which is ptinal. aaa authenticatin dt1x default grup radius aaa authrizatin netwrk default grup radius!--- Yu need authrizatin fr dynamic VLAN assignment t wrk with RADIUS.! radius-server hst !--- Set the IP address f the RADIUS server. radius-server key fred!--- This is the RADIUS server key.! interface Vlan1!--- This is the L3 interface t access the RADIUS server. ip address ! interface fa0/6!--- The RADIUS server is behind this L2 prt. switchprt mde access switchprt access vlan 1! interface fa0/7!--- Enable 802.1x n the interface. switchprt mde access dt1x prt-cntrl aut end! This example shws hw t enable AAA and 802.1X n Fast Ethernet prt 0/7 : Switch# cnfigure terminal Switch(cnfig)# aaa new-mdel Switch(cnfig)# aaa authenticatin dt1x default grup radius Switch(cnfig)# aaa authenticatin lgin default nne Switch(cnfig)# radius-server hst key fred Switch(cnfig)# interface fastethernet0/7 Switch(cnfig-if)# switchprt mde access Switch(cnfig-if)# dt1x prt-cntrl aut Switch(cnfig-if)# dt1x multiple-hsts Switch(cnfig-if)# end Les Switchs CISCO GEFI SA Page 115

121 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge Avec une EI, il faut activer 802.1x pur activer l authentificatin sur le prt Switch# cnfigure terminal Switch(cnfig)# dt1x system-auth-cntrl Enabling 802.1x Prt-Based Authenticatin Switch# cnfigure terminal Switch(cnfig)# aaa new-mdel Switch(cnfig)# aaa authenticatin dt1x default grup radius Switch(cnfig)# dt1x system-auth-cntrl Switch(cnfig)# interface fastethernet0/7 Switch(cnfig-if)# switchprt mde access Switch(cnfig-if)# dt1x prt-cntrl aut Switch(cnfig-if)# end Verifies yur entries Switch# shw dt1x all Cnfiguring Switch-t-Radius-Server Cmmunicatin Switch(cnfig)# ip radius surce-interface vlan1 Switch(cnfig)# radius-server hst Switch(cnfig)# radius-server key fred Switch(cnfig-if)# end Les Switchs CISCO GEFI SA Page 116

122 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge XIII.D.2 Freeradius /etc/raddb/radiusd.cnf et /etc/raddb/eap.cnf mdules {... eap { } } default_eap_type = md5 md5 { } # eap sets the authenticate type as EAP authrize {... eap } # eap authenticatin takes place. authenticate { eap } # If yu are prxying EAP-LEAP requests # This is required t make LEAP wrk. pst-prxy { eap } /etc/raddb/clients.cnf Ce fichier déclare les Authenticatrs auprès du serveur Radius, avec leur clé. client /16 { secret = fred shrtname = nastype = cisc } /etc/raddb/user Ce fichier déclare les utilisateurs ayant drit d accéder au réseau (au travers d un switch u d un AP Wifi). Auth-Type = Lcal désigne que le mt de passe est géré par le serveur Radius, c'est-àdire dans le fichier même. # file : /etc/raddb/users # # Créatin d un utilisateur : user Auth-Type = Lcal, User-Passwrd = "user" après avir mdifié les fichiers de cnfiguratin du serveur Radius, vus devez relancez le prcessus par la cmmande : # /etc/rc.d/init.d/radiusd restart. Les Switchs CISCO GEFI SA Page 117

123 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge XIII.D.3 Windws XP Pr XIII.D.3.a Cnfiguratin de l interface réseau. Client DHCP. Authentificatin IEEE 802.1X en EAP MD5-Challenge, et déccher la case : Authentifier en tant qu rdinateur lrsque les infrmatins de l rdinateur snt dispnibles. Avec le supplicant furni en standard par Micrsft sus Windws 2000 u XP il est pssible d utiliser 2 méthdes d authentificatin EAP-TLS et PEAP. L authentificatin se fait au démarrage de la machine u/et au lgn de l utilisateur. Le cmprtement est fixé par la valeur d une clé dans le registre HKEY_LOCAL_MACHINE\Sftware\Micrsft\EAP OL\Parameters\General\Glbal\AuthMde 0 (c est la valeur par défaut) authentificatin de la machine au démarrage, en cas d échec authentificatin de l utilisateur au lgn 1 authentificatin de la machine au démarrage, puis authentificatin de l utilisateur au lgn 2 uniquement authentificatin de la machine Les Switchs CISCO GEFI SA Page 118

124 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge XIII.D.3.b Verify the 802.1x Operatin If yu have crrectly cmpleted the cnfiguratin, the PC client displays a ppup prmpt t enter a user name and passwrd. Fllw these instructins: 1. Click n the prmpt, which this example shws: A user name and passwrd entry windw displays. 2. Saisissez le nm d utilisateur et sn mt de passe (vir /etc/raddb/user du serveur Radius). Nm d utilisateur : user Mt de passe : user Les Switchs CISCO GEFI SA Page 119

125 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge 3. If n errr messages appear, verify cnnectivity with the usual methds, such as thrugh access f the netwrk resurces and with ping. If this errr appears, verify that the user name and passwrd are crrect: 4. If the passwrd and user name appear t be crrect, verify the 802.1x prt state n the switch. Lk fr a prt status that indicates AUTHORIZED. Switch22#sh dt1x statistics FastEthernet0/7 Rx: EAPOL EAPOL EAPOL EAPOL EAP EAP EAP Start Lgff Invalid Ttal Resp/Id Resp/Oth LenErrr Last Last EAPOLVer EAPOLSrc c6.84d0 Tx: EAPOL EAP EAP Ttal Req/Id Req/Oth Switch22#sh dt1x int fa0/ X is enabled n FastEthernet0/7 Status Authrized Prt-cntrl Aut Supplicant c6.84d0 Multiple Hsts Disallwed Current Identifier 3 Authenticatr State Machine State AUTHENTICATED Reauth Cunt 0 Backend State Machine State IDLE Request Cunt 0 Identifier (Server) 2 Reauthenticatin State Machine State INITIALIZE Switch22# 5. T trublesht further, cllect the utput f these debug cmmands: debug radius Les Switchs CISCO GEFI SA Page 120

126 Chap XIII.IEEE 802.1X Sus Chap. XIII.D EAP MD5-Challenge XIII.D.3.c Vérificatin : après cnnexin au prt FA0/7 du switch. C:\>ipcnfig /all Cnfiguratin IP de Windws Nm de l'hôte : ts501 Suffixe DNS principal : Type de nœud : Hybride Rutage IP activé : Nn Prxy WINS activé : Nn Liste de recherche du suffixe DNS : gefi.hme Carte Ethernet Intel: PRO/100 C:\> Suffixe DNS prpre à la cnnexin : gefi.hme Descriptin : Cnnexin réseau Intel(R) Adresse physique : C6-84-D0 DHCP activé : Oui Cnfiguratin autmatique activée.... : Oui Adresse IP : Masque de sus-réseau : Passerelle par défaut : Serveur DHCP : Serveurs DNS : Serveur WINS principal : Bail btenu : lundi 16 mai :46:52 Bail expirant : mardi 17 mai :46:52 Les Switchs CISCO GEFI SA Page 121

127 Chap XIV.Exercice de synthèse Sus Chap. XIII.D EAP MD5-Challenge XIV. Exercice de synthèse CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS CISCOSYSTEMS Les Switchs CISCO GEFI SA Page 122

128 Chap XIV.Exercice de synthèse Sus Chap. XIII.D EAP MD5-Challenge : Netwrk : Ck160 : Ck08g : HSRP Vlan1 : /24 : : : Vlan3 : /24 : : : Vlan4 : /24 : : : Vlan5 : /24 : : : Vlan6 : /24 : : : Vlan10 : /24 : : : Vlan11 : /24 : : : Les Switchs CISCO GEFI SA Page 123

129 Annexe A Bridge ID, Switch Pririty, and Extended System ID Annexe A. Bridge ID, Switch Pririty, and Extended System ID The IEEE 802.1D standard requires that each switch has an unique bridge identifier (bridge ID), which determines the selectin f the rt switch. Because each VLAN is cnsidered as a different lgical bridge with PVST and PVRST, the same switch must have as many different bridge IDs as VLANs cnfigured n it. Each VLAN n the switch has a unique 8-byte bridge ID; the tw mst-significant bytes are used fr the switch pririty, and the remaining six bytes are derived frm the switch MAC address. In Release 12.1(9)EA1 and later, Catalyst 2950 and Catalyst 2955 switches supprt the 802.1T spanning-tree extensins. Sme f the bits previusly used fr the switch pririty are nw used as the VLAN identifier. The result is that fewer MAC addresses are reserved fr the switch, and a larger range f VLAN IDs can be supprted, all while maintaining the uniqueness f the bridge ID. As shwn in Table 12-1, the tw bytes previusly used fr the switch pririty are reallcated int a 4-bit pririty value and a 12-bit extended system ID value equal t the VLAN ID. In earlier releases, the switch pririty is a 16-bit value. Switch Pririty Value and Extended System ID Switch Pririty Value Extended System ID (Set Equal t the VLAN ID) Bit 16 Bit 15 Bit 14 Bit 13 Bit 12 Bit 11 Bit 10 Bit 9 Bit 8 Bit 7 Bit 6 Bit 5 Bit 4 Bit 3 Bit 2 Bit Spanning tree uses the extended system ID, the switch pririty, and the allcated spanning-tree MAC address t make the bridge ID unique fr each VLAN. With earlier releases, spanning tree used ne MAC address per VLAN t make the bridge ID unique fr each VLAN. Supprt fr the extended system ID affects hw yu manually cnfigure the rt switch, the secndary rt switch, and the switch pririty f a VLAN. Fr mre infrmatin, see the "Cnfiguring the Rt Switch" sectin, "Cnfiguring a Secndary Rt Switch" sectin, and "Cnfiguring the Switch Pririty f a VLAN" sectin. Les Switchs CISCO GEFI SA Page 124

130 Annexe B ICMP Annexe B. ICMP Les messages ICMP, RFC 792 Type Cde Descriptin Query Errr 0 0 Ech Reply (Ping) * 3 Destinatin unreachable * 0 Netwrk unreachable * 1 Hst unreachable * 2 Prtcl unreachable * 3 Prt unreachable * 4 Fragmentatin needed and «Dn t fragment» bit set * 5 Surce rute failed * 6 Destinatin netwrk unknwn * 7 Destinatin hst unknwn * 8 Surce hst islated (bslete) * 9 Destinatin netwrk administratively prhibited * 10 Destinatin hst administratively prhibited * 11 Netwrk unreachable fr TOS * 12 Hst unreachable fr TOS * 13 Cmmunicatin administratively prhibited by filtering * 14 Hst precedence vilatin * 15 Precedence cut-ff in effect * 4 0 Surce quench * 5 Redirect * 0 Redirect datagrams fr netwrk * 1 Redirect datagrams fr hst * 2 Redirect datagrams fr Type-Of-Service and netwrk * 3 Redirect datagrams fr Type-Of-Service and hst * 8 0 Ech Request (Ping) * 9 0 Ruter advertisement * 10 0 Ruter Slicitatin * 11 Time Exceeded * 0 TTL equal 0 during transit * 1 TTL equal 0 during reassembly * 12 Parameter prblem * 0 IP header bad (catchall errr) * 1 Required ptin missing * 13 0 Timestamp request / marqueur temprel * 14 0 Timestamp reply / répnse à marqueur temprel * 15 0 Infrmatin request (bslete) * 16 0 Infrmatin reply (bslete) * 17 0 Address Mask Request * 18 0 Address Mask reply * Les Switchs CISCO GEFI SA Page 125

131 Annexe C Mise à jur d IOS Annexe C. Mise à jur d IOS Cmmandes significatin # cnf term # n ip http server # end # delete flash:html/* Effacement du répertire flash:html # delete flash:c Suppressin de l IOS # tar /x tftp:// /c bin flash: Transfert du nuvel IOS u # cpy tftp:// /c bin flash: # cnf term # ip http server # end # relad Arrêt et redémarrage Blck12#cnfigure terminal Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Blck12(cnfig)#n ip http server Blck12(cnfig)#end Blck12# 2d10h: %SYS-5-CONFIG_I: Cnfigured frm cnsle by cnsledele Blck12#delete flash:html/* Delete filename [html/*]? Delete flash:html/snmp? [cnfirm] %Errr deleting flash:html/snmp (Is a directry) Delete flash:html/clusterbuilder.html.gz? [cnfirm] Delete flash:html/clustermanager.html.gz? [cnfirm] Delete flash:html/graph.html.gz? [cnfirm] Delete flash:html/arptabl.htm.gz? [cnfirm] Delete flash:html/bandwdth.htm.gz? [cnfirm] Delete flash:html/baudrate.htm.gz? [cnfirm]!!...! Delete flash:html/cgmpcfg.htm.gz? [cnfirm] Delete flash:html/vmpscfg.htm.gz? [cnfirm] Delete flash:html/vsm.htm.gz? [cnfirm] Delete flash:html/vtpmgmt.htm.gz? [cnfirm] Delete flash:html/clstbldr.tc? [cnfirm] Delete flash:html/clstmgr.tc? [cnfirm] Delete flash:html/cvsm.tc? [cnfirm] Delete flash:html/ssp.tc? [cnfirm] Delete flash:html/prefs.text? [cnfirm] Delete flash:html/versin.txt? [cnfirm] Blck12#delete flash:? flash:/c2900xl-c3h2s-mz xu.bin flash:/c2900xl-diag-mz xu flash :/cnfig.text flash:/env_vars flash:/html flash:/vlan.dat Blck12#delete flash:/c2900xl-c3h2s-mz xu.bin Delete filename [c2900xl-c3h2s-mz xu.bin]? Delete flash:/c2900xl-c3h2s-mz xu.bin? [cnfirm] Blck12#delete flash:/c290 Blck12#delete flash:/c2900xl-diag-mz xu Delete filename [c2900xl-diag-mz xu]? Delete flash:/c2900xl-diag-mz xu? [cnfirm] Blck12#tar /x tftp:// /c2900xl-c3h2s-tar wc3b.bin flash: Lading c2900xl-c3h2s-tar wc3b.bin frm (via VLAN1):! extracting inf (109 bytes) extracting c2900xl-c3h2s-mz wc3b.bin ( bytes)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! html/ (directry) extracting html/hmepage.htm (3994 bytes)! Les Switchs CISCO GEFI SA Page 126

132 Annexe C Mise à jur d IOS extracting html/nt_supprted.html (1392 bytes)! extracting html/cmmn.js (9111 bytes)! extracting html/cms_splash.gif (22062 bytes)!!!!! extracting html/cms_12.html (911 bytes) extracting html/cms_13.html (1010 bytes)! extracting html/cluster.html (2823 bytes) extracting html/cms.jar ( bytes)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! extracting html/ciscchartpanel.jar (74146 bytes)!!!!!!!!!!!!!! extracting html/redirect.jar (1958 bytes)! extracting e2rb.bin (8192 bytes)! extracting inf.ver (109 bytes)!! [OK bytes] Blck12#cnf terminal Enter cnfiguratin cmmands, ne per line. End with CNTL/Z. Blck12(cnfig)#ip http server Blck12(cnfig)#end Blck12# 2d10h: %SYS-5-CONFIG_I: Cnfigured frm cnsle by cnsle Blck12#relad System cnfiguratin has been mdified. Save? [yes/n]: y Building cnfiguratin... Prceed with relad? [cnfirm] 2d10h: %SYS-5-RELOAD: Relad requested Les Switchs CISCO GEFI SA Page 127

133 Annexe D Passwrd Recvery Prcedure Annexe D. Passwrd Recvery Prcedure Pur switchs Catalyst 2900XL, 3500XL, 2950 et 3550 Series 1. Cnnectez un terminal sur le prt cnsle : 9600 bps, N parity, 8 bits data, 1 stp bit et N flw cntrl 2. Débranchez le câble d alimentatin 3. Presser et maintenir le butn MODE à gauche en face avant du switch puis rebranchez le câble d alimentatin. Vus puvez relâcher le butn MODE une à deux secndes après que la LED du prt 1x sit éteinte. 4. Tapez la cmmande : flash_init 5. Tapez la cmmande : lad_helper 6. Tapez la cmmande : dir flash: (ne pas ublier les deux pints après flash) 7. Tapez la cmmande : rename flash:cnfig.text flash:cnfig.ld pur renmmez le fichier de cnfiguratin. Ce fichier cntient la définitin de mt de passe. 8. Tapez la cmmande : bt pur rebter le système. 9. entrez N au prmpt lrs du démarrage du prgramme Setup : Cntinue with the cnfiguratin dialg? [yes/n] : N 10. au prmpt de l IOS tapez : enable pur travailler en mde Enable. 11. Tapez la cmmande : rename flash:cnfig.ld flash:cnfig.text pur renmmez le fichier de cnfiguratin avec ses valeurs initialles. 12. Cpiez le fichier de cnfiguratin en mémire Switch# cpy flash:cnfig.text system:running-cnfig 13. changez le mt de passe Switch# cnfigure terminal Switch(cnfig)# n enable secret Switch(cnfig)# enable passwrd cisc 14. Sauvegardez le nuveau fichier de cnfiguratin Switch# write memry Les Switchs CISCO GEFI SA Page 128

134 Annexe E Crrectin Annexe E. Crrectin Crrectin des deux exercices sur le Spanning Tree. Les Switchs CISCO GEFI SA Page 129

135 Annexe F MPLS Annexe F. MPLS MPLS : Multi Prtcl Label-Switching GMPLS : Generalized MPLS F.I Présentatin CIOA : Classical IP Over ATM MPOA : Multi Prtcl Over ATM PNNI : Private Netwrk Nde Interface NHRP : Next Hp Reslutin Prtcl Le prtcle IP est devenu le standard de raccrdement à un réseau pur tus les systèmes infrmatiques. De sn côté, la technlgie ATM incarne la slutin préférée des pérateurs pur intercnnecter des équipements réseau entre eux, tut en ffrant de la qualité de service. La difficulté de cette slutin se situe au niveau de l adressage, la prblématique vient de la crrespndance de l adresse IP et de l adresse ATM (sachant que ATM est NBMA). On peut regruper les slutins en tris catégries : Les techniques d émulatin : Le prtcle CIOA (Classical IP Over ATM), lrsqu il n y a qu un seul sus réseau ATM. Les techniques de serveurs de rutes MPOA, PNNI et NHRP, lrsqu il y a plusieurs sus-réseaux ATM à traverser. Ces tris dernières techniques snt de plus en plus remplacées par MPLS (nrmalisé par l IETF). F.II Terminlgie Les Switchs CISCO GEFI SA Page 130

136 Annexe G MLS Annexe G. MLS MLS : Multilayer Switching Dispser d un IOS Versin 12.1 u plus Le Multilayer switching cmbine la cmmutatin de cuche 2 et le rutage de cuche 3. RP : Rute Prcessr SE : Switching Engine G.I Terminlgy The fllwing terminlgy is used in the MLS chapters: Multilayer Switching-Switching Engine (MLS-SE) A NetFlw Feature Card (NFFC)-equipped Catalyst 5000 series switch. Multilayer Switching-Rute Prcessr (MLS-RP) A Cisc ruter with MLS enabled. Multilayer Switching Prtcl (MLSP) The prtcl running between the MLS-SE and MLS-RP t enable MLS. G.II Intrductin t MLS Layer 3 prtcls, such as IP and Internetwrk Packet Exchange (IPX), are cnnectinless they deliver each packet independently f each ther. Hwever, actual netwrk traffic cnsists f many end-t-end cnversatins, r flws, between users r applicatins. A flw is a unidirectinal sequence f packets between a particular surce and destinatin that share the same prtcl and transprt-layer infrmatin. Cmmunicatin frm a client t a server and frm the server t the client is in separate flws. Fr example, HTTP Web packets frm a particular surce t a particular destinatin are in a separate flw frm File Transfer Prtcl (FTP) file transfer packets between the same pair f hsts. Flws can be based n nly Layer 3 addresses. This feature allws IP traffic frm multiple users r applicatins t a particular destinatin t be carried n a single flw if nly the destinatin IP address is used t identify a flw. The NFFC maintains a Layer 3 switching table (MLS cache) fr the Layer 3-switched flws. The cache als includes entries fr traffic statistics that are updated in tandem with the switching f packets. After the MLS cache is created, packets identified as belnging t an existing flw can be Layer 3-switched based n the cached infrmatin. The MLS cache maintains flw infrmatin fr all active flws. When the Layer 3- switching entry fr a flw ages ut, the flw statistics can be exprted t a flw cllectr applicatin. Fr infrmatin n multicast MLS, see the "Intrductin t IP Multicast MLS" sectin in this chapter. Les Switchs CISCO GEFI SA Page 131

137 Annexe G MLS G.III Key MLS Features Summary f Key Features Feature Descriptin Ease f Use Is autcnfigurable and autnmusly sets up its Layer 3 flw cache. Its "plug-and-play" design eliminates the need fr yu t learn new IP switching technlgies. Transparency Requires n end-system changes and n renumbering f subnets. It wrks with DHCP 1 and requires n new ruting prtcls. Standards Based Uses IETF 2 standard ruting prtcls such as OSPF and RIP fr rute determinatin. Yu can deply MLS in a multivendr netwrk. Investment Prtectin Prvides a simple feature-card upgrade n the Catalyst 5000 series switches. Yu can use MLS with yur existing chassis and mdules. MLS als allws yu t use either an integrated RSM r an external ruter fr rute prcessing and Cisc IOS services. Fast Cnvergence Allws yu t respnd t rute failures and ruting tplgy changes by perfrming hardware-assisted invalidatin f flw entries. Resilience Prvides the benefits f HSRP 3 withut additinal cnfiguratin. This feature enables the switches t transparently switch ver t the Ht Standby backup ruter when the primary ruter ges ffline, eliminating a single pint f failure in the netwrk. Access Lists Allws yu t set up access lists t filter, r t prevent traffic between members f different subnets. MLS enfrces multiple security levels n every packet f the flw at wire speed. It allws yu t cnfigure and enfrce access cntrl rules n the RSM. Because MLS parses the packet up t the transprt layer, it enables access lists t be validated. By prviding multiple security levels, MLS enables yu t set up rules and cntrl traffic based n IP addresses and transprt-layer applicatin prt numbers. Accunting and Allws yu t see data flws as they are switched fr trubleshting, traffic Traffic Management management, and accunting purpses. MLS uses NDE t exprt the flw statistics. Data cllectin f flw statistics is maintained in hardware with n impact n switching perfrmance. The recrds fr expired and purged flws are gruped and exprted t applicatins such as NetSys fr netwrk planning, RMON2 4 traffic management and mnitring, and accunting applicatins. Netwrk Design Simplificatin Enables yu t speed up yur netwrk while retaining the existing subnet structure. It makes the number f Layer 3 hps irrelevant in campus design, enabling yu t cpe with increases in any-t-any traffic. Media Speed Access t Server Farms Yu d nt need t centralize servers in multiple VLANs t get direct cnnectins. By prviding security n a per-flw basis, yu can cntrl access t the servers and filter traffic based n subnet numbers and transprt-layer applicatin prts withut cmprmising Layer 3 switching perfrmance Faster Interwrkgrup Cnnectivity Addresses the need fr higher-perfrmance interwrkgrup cnnectivity by intranet and multimedia applicatins. By deplying MLS, yu gain the benefits f bth switching and ruting n the same platfrm. 1DHCP = Dynamic Hst Cnfiguratin Prtcl 2IETF = Internet Engineering Task Frce 3HSRP = Ht Standby Ruter Prtcl 4RMON2 = Remte Mnitring 2 Les Switchs CISCO GEFI SA Page 132

138 Annexe G MLS G.IV MLS Implementatin This sectin prvides a step-by-step descriptin f MLS implementatin. Nte The MLS-RPs shwn in the figures represent either a RSM r an externally attached Cisc ruter. The MLSP infrms the Catalyst 5000 series switch f the MLS-RP MAC addresses used n different VLANs and the MLS-RP's ruting and access list changes. Thrugh this prtcl, the MLS-RP multicasts its MAC and VLAN infrmatin t all MLS-SEs. When the MLS-SE hears the MLSP hell message indicating an MLS initializatin, the MLS-SE is prgrammed with the MLS-RP MAC address and its assciated VLAN number (see Figure 64). Figure 64 MLS Implementatin In Figure 65, Hst A and Hst B are lcated n different VLANs. Hst A initiates a data transfer t Hst B. When Hst A sends the first packet t the MLS-RP, the MLS-SE recgnizes this packet as a candidate packet fr Layer 3 switching because the MLS-SE has learned the MLS-RP's destinatin MAC address and VLAN thrugh MLSP. The MLS-SE learns the Layer 3 flw infrmatin (such as the destinatin address, surce address, and prtcl prt numbers), and frwards the first packet t the MLS-RP. A partial MLS entry fr this Layer 3 flw is created in the MLS cache. The MLS-RP receives the packet, lks at its rute table t determine hw t frward the packet, and applies services such as Access Cntrl Lists (ACLs) and class f service (COS) plicy. The MLS-RP rewrites the MAC header adding a new destinatin MAC address (Hst B's) and its wn MAC address as the surce. Figure 65 MLS Implementatin The MLS-RP rutes the packet t Hst B. When the packet appears back n the Catalyst 5000 series switch backplane, the MLS-SE recgnizes the surce MAC address as that f the MLS-RP, and that the packet's flw infrmatin matches the flw fr which it set up a candidate entry. The MLS-SE cnsiders this packet an enabler packet and cmpletes the MLS entry (established by the candidate packet) in the MLS cache (see Figure 66). Les Switchs CISCO GEFI SA Page 133

139 Annexe G MLS Figure 66 MLS Implementatin After the MLS entry has been cmpleted, all Layer 3 packets with the same flw frm Hst A t Hst B are Layer 3 switched directly inside the switch frm Hst A t Hst B, bypassing the ruter (see Figure 67). After the Layer 3-switched path is established, the packet frm Hst A is rewritten by the MLS-SE befre it is frwarded t Hst B. The rewritten infrmatin includes the MAC addresses, encapsulatins (when applicable), and sme Layer 3 infrmatin. The resultant packet frmat and prtcl behavir is identical t that f a packet that is ruted by the RSM r external Cisc ruter. Nte MLS is unidirectinal. Fr Hst B t cmmunicate with Hst A, anther Layer 3-switched path needs t be created frm Hst B t Hst A. Figure 67 MLS Implementatin See the Catalyst 5000 Series Multilayer Switching User Guide fr additinal netwrk implementatin examples that include netwrk tplgies that d nt supprt MLS. Les Switchs CISCO GEFI SA Page 134

140 Annexe G MLS G.V Cnfiguring MLS n a Ruter T cnfigure MLS n yur ruter, use the fllwing cmmands beginning in glbal cnfiguratin mde. Depending upn yur cnfiguratin, yu might nt have t perfrm all the steps in the prcedure. Step Cmmand Purpse 1 Ruter(cnfig)# mls rp ip Glbally enables MLSP. MLSP is the prtcl that runs between the MLS-SE and the MLS-RP. 2 Ruter(cnfig)# interface type Selects a ruter interface. number 3 Ruter(cnfig-if)# mls rp vtpdmain [dmain-name] 4 Ruter(cnfig-if)# mls rp vlan-id [vlan-id-num] Selects the ruter interface t be Layer 3 switched and then adds that interface t the same VLAN Trunking Prtcl (VTP) dmain as the switch. This interface is referred t as the MLS interface. This cmmand is required nly if the Catalyst switch is in a VTP dmain. Assigns a VLAN ID t the MLS interface. MLS requires that each interface has a VLAN ID. This step is nt required fr RSM VLAN interfaces r ISLencapsulated interfaces. 5 Ruter(cnfig-if)# mls rp ip Enables each MLS interface. 6 Ruter(cnfig-if)# mls rp management-interface Repeat steps 2 thrugh 5 fr each interface that will supprt MLS. Selects ne MLS interface as a management interface. MLSP packets are sent and received thrugh this interface. This can be any MLS interface cnnected t the switch. Nte The interface-specific cmmands in this sectin apply nly t Ethernet, Fast Ethernet, VLAN, and Fast Etherchannel interfaces n the Catalyst RSM/Versatile Interface Prcessr 2 (VIP2) r directly attached external ruter. T glbally disable MLS n the ruter, use the fllwing cmmand in glbal cnfiguratin mde: Cmmand Ruter(cnfig)# n mls rp ip Purpse Disables MLS n the ruter. Les Switchs CISCO GEFI SA Page 135

141 Annexe G MLS G.VI Mnitring MLS T display MLS details including specifics fr MLSP, use the fllwing cmmands in EXEC mde, as needed: MLS status (enabled r disabled) fr switch interfaces and subinterfaces Flw mask used by this MLS-enabled switch when creating Layer 3-switching entries fr the ruter Current settings f the keepalive timer, retry timer, and retry cunt MLSP-ID used in MLSP messages List f interfaces in all VTP dmains that are enabled fr MLS Cmmand Purpse Ruter# shw mls rp Displays MLS details fr all interfaces. After entering this cmmand, yu see this display: ruter# shw mls rp multilayer switching is glbally enabled mls id is 00e0.fefc.6000 mls ip address mls flw mask is ip-flw vlan dmain name: WBU current flw mask: ip-flw current sequence number: current/maximum retry cunt: 0/10 current dmain state: n-change current/next glbal purge: false/false current/next purge cunt: 0/0 dmain uptime: 13:03:19 keepalive timer expires in 9 secnds retry timer nt running change timer nt running fcp subblck cunt = 7 1 management interface(s) currently defined: vlan 1 n Vlan1 7 mac-vlan(s) cnfigured fr multi-layer switching: mac 00e0.fefc.6000 vlan id(s) ruter currently aware f fllwing 1 switch(es): switch id b5ff Les Switchs CISCO GEFI SA Page 136

142 Annexe G MLS G.VII Mnitring MLS fr an Interface T shw MLS infrmatin fr a specific interface, use the fllwing cmmand in EXEC mde: Cmmand Purpse Ruter# shw mls rp [interface] Displays MLS details fr a specific interface. After entering this cmmand, yu see this display: ruter# shw mls rp int vlan 10 mls active n Vlan10, dmain WBU ruter# G.VIII Mnitring MLS Interfaces fr VTP Dmains T shw MLS infrmatin fr a specific VTP dmain use the fllwing cmmand in EXEC mde: Cmmand Purpse Ruter# shw mls rp vtp-dmain [dmainname] Displays MLS interfaces fr a specific VTP dmain. After entering this cmmand, yu see this display: ruter# shw mls rp vtp-dmain WBU vlan dmain name: WBU current flw mask: ip-flw current sequence number: current/maximum retry cunt: 0/10 current dmain state: n-change current/next glbal purge: false/false current/next purge cunt: 0/0 dmain uptime: 13:07:36 keepalive timer expires in 8 secnds retry timer nt running change timer nt running fcp subblck cunt = 7 1 management interface(s) currently defined: vlan 1 n Vlan1 7 mac-vlan(s) cnfigured fr multi-layer switching: mac 00e0.fefc.6000 vlan id(s) ruter currently aware f fllwing 1 switch(es): switch id b5ff Les Switchs CISCO GEFI SA Page 137

143 Annexe H SNMP Annexe H. SNMP Cmmandes Access-list 2 permit Snmp-server cmmunity private RW 2 Snmp-server packetsize 4096 Snmp-server trap-authenticatin Snmp-server hst public Cmmentaires ACL qui autrise les statins à l accès SNMP Public Créatin de la cmmunity Private en Read/Write aux statins crrespndant à l ACL 2. La taille par défaut est de 484 ctets Remnte des traps si des accès avec un nm de cmmunity incrrecte Identificatin du destinataire des TRAPs Pur btenir les MIB : Allez sur le site ftp.cisc.cm en annymus Dans le répertire /pub/mibs/supprtlists/wsc2900xl pur les Catalyst 2900 XL, Dans le répertire /pub/mibs/supprtlists/wsc3500xl pur les Catalyst 3500 XL, Faire la cmmande get MIB_Filename pur btenir le fichier MIB suhaité. Les Switchs CISCO GEFI SA Page 138

144 Annexe I Algrithme de IP Annexe I. Algrithme de IP RFC 791 & 1122 Site : Prcédure rutageip(dnnées data: datagramme, Table: table de rutage) début adresse_passerelle := adresse clnne 'Passerelle' adresse_dest := l'adresse IP de la destinatin extraite de data; adresse_surce := l'adresse IP de la surce extraite de data; si adresse_dest crrespnd à une des adresse IP du ruteur alrs envyer le paquet à destinatin srtir de la prcédure; sinn Aller dans table ' REMARQUE: LES ADRESSES IP SONT CLASSÉES PAR ORDRE DÉCROISSANT DE LEUR MASQUE' 'recherche de la crrespndance la plus lngue (la plus spécifique)' pur chaque entrée faire: N := masque du sus-réseau; si les N bits de tête de adresse_dest = les N bits de tête de l'adresse de sus-reseau alrs si n se truve dans la partie directement cnnectée de la table de rutage Alrs envyer le paquet à destinatin: transmettre(data, adresse_dest); sinn envyer le paquet à l'adresse passerelle: transmettre(data, adresse_passerelle) finsi; finpur; si pas d'entrée truvée alrs returner à surce un datagramme indiquant une erreur de rutage finsi finsi fin Prcédure transmettre(dnnées data: datagramme, IP: adresse IP) début si reseau bradcast à accès multiple (ethernet, tken ring,...) alrs 'btentin de l'adresse cuche 2 de destinatin' Cnsultatin de la table ARP si table ARP pas dispnible alrs lancement d'une requête ARP sur le sus-reseau (de manière à btenir l'adresse MAC 48 bits de la machine destinatin) 'envi du datagramme' encapsulement de data dans une trame de liaisn de dnnées; émissin de data dans une trame liaisn de dnnées à destinatin de l'adresse de destinatin MAC 48 bits; srtie de la prcédure sinn si cnnexin pint à pint (PPP,...) alrs émissin de data dans une trame PPP à destinatin de la machine passerelle sinn si autre type de reséau (ATM, X25,..) alrs... Les Switchs CISCO GEFI SA Page 139

145 Annexe J Cnsle Prt Signals and Pinuts Annexe J. Cnsle Prt Signals and Pinuts Use the cnsle RJ-45 t DB-9 serial cable t cnnect the access pint's cnsle prt t the COM prt f yur PC running a terminal emulatin prgram. Nte Bth the Ethernet and cnsle prts use RJ-45 cnnectrs. Be careful t avid accidently cnnecting the serial cable t the Ethernet prt cnnectr. Nte When yur cnfiguratin changes are cmpleted, yu must remve the serial cable frm the access pint. Table E-1 lists the signals and pinuts fr the cnsle RJ-45 t DB-9 serial cable. RJ-45 Table E-1 Signals and Pinuts fr a Cnsle RJ-45 t DB-9 Serial Cable Cnsle Prt DB-9 PC COM Prt Pins Signals 1, 2, 3, 4 1, 2, 3, 4 Pins Signals 1 NC NC TXD 2 RXD 4 GND 5 GND 5 GND 5 GND 6 RXD 3 TXD 7 NC NC NC indicates nt cnnected. 2 TXD indicates transmit data. 3 GND indicates grund. 4 RXD indicates receive data. Les Switchs CISCO GEFI SA Page 140

146 Annexe K Glssaire Annexe K. Glssaire CAM CEF CPE Cntent-Addressable Memry Table en mémire cntenant les adresses MAC surces des trames Ethernet reçues, cette terme Cisc crrespnd à la Frwarding Data Base des switchs actuels. Cisc Express Frward Custmer premises Equipment LRE Lng-Reach Ethernet Slutin permettant d utiliser un câblage téléphnique pur transprter de l Ethernet et de s affranchir de la limite de 100 mètres impsée par la nrme. Distances cuvertes : 1525 m à 5 Mbps, 1220 m à 10 Mbps et 1067 m à 15 Mbps. MLS Multi layer Switching Rute le premier datagramme puis switch les autres. Vir CEF MPLS Multi Prtcl Label-Switching MSTP Multiple Spanning Tree Prtcl u IEEE 802.1S NIC Netwrk Interface Card Carte d interface réseau (ex. : carte Ethernet). PVST Per-VLAN Spanning Tree PVRST Per-VLAN Rapid Spanning Tree u IEEE 802.1W RPS SAID VMPS VTP Redundant Pwer System Security Assciatin Identifier VLAN Membership Plicy Server Le VMPS peut-être hébergé sur un Catalyst de la série 5000, mais pas sur des switchs des séries 2900XL et 3500XL. VLAN Trunking Prtcl Prtcle prpriétaire CISCO permettant de centraliser les infrmatins de cnfiguratin des VLAN. Les Switchs CISCO GEFI SA Page 141

147 Annexe L Bibligraphie CISCO Annexe L. Bibligraphie CISCO ICND : Intercnnexin des systèmes réseaux Cisc Cisc Field Manuel Catalyst Switch Cnfiguratin Architecture réseau Linux Cnceptin et implémentatin des prtcles réseau du nyau Linux Steve McQuerry David HUCABY Steve McQUERRY K. Wehrle, F. Pählke, H. Ritter, D. Müller, M. Bechler CISCO Press CISCO Press VUIBERT Préparatin à la certificatin CCNA Wendell Odm CISCO Press Architecture de réseaux & études de cas CISCO Press Cnceptin d inter réseaux CISCO Matthew H. BIRKNER CISCO Press Sécurité des réseaux Merike KAEO CISCO Press Installer et cnfigurer un ruteur CISCO Chris LEWIS EYROLLES Cnfiguratin IP des ruteurs CISCO Innkenty RUDENKO EYROLLES Dépannage des réseaux Jnathan FELDMAN Campus Press Les Switchs CISCO GEFI SA Page 142