Commutateurs Cisco Catalyst

Transcription

1 Commutateurs Cisco Catalyst Centre Réseau Communication 1/48

2 Sommaire 1.Principes de base sur les réseaux des entités reliées à Osiris Les types de réseaux Transmission des données dans un réseau Principe d'un réseau Ethernet Concepts de base de la commutation de niveau Généralités sur les commutateurs CISCO Gestion d'un Catalyst Connexion au commutateur en port console Navigation et changement de mode Modes de fonctionnement Visualiser et sauvegarder la configuration d'un commutateur Organisation des fichiers sur la flash Mise à jour du système (IOS) Sauvegarde d'une configuration sur un serveur tftp Configuration de base recommandée par le CRC Démarrage d'un commutateur non configuré Configuration du nom de l'équipement Configuration du fuseau horaire france et de l'heure d'été Configuration du client NTP Activation de la résolution de noms Adresse IP d'un commutateur Authentification des connexions sur le commutateur Connexion port console et telnet Connexion port console et ssh Désactivation du protocole CDP (Cisco Discover Protocol) Désactivation du démon http de management du commutateur Configuration des logs sur le commutateur Configuration des interfaces Configuration Duplex et vitesse d'une interface FastEthernet Agrégation de liens 802.3ad Création de VLAN et de liens trunk Configuration de VLAN par port Configuration d'un lien trunk 802.1q Gestion des Liaisons redondantes niveau 2 : Spanning Tree Protocol Généralités Utilité du Spanning Tree Commandes de diagnostic Sessions utilisateur Visualiser les logs Obtenir des renseignements sur le matériel et l'ios Obtenir des informations sur les interfaces Obtenir des informations sur les VLAN Obtenir des informations sur les agrégations de liens Obtenir des informations sur le spanning-tree Annexes Exemple de configuration d'usine d'un Cisco Catalyst Procédure de récupération de mot de passe sur un Catalyst Procédure de récupération de mot de passe sur un Catalyst /48

3 Auteurs Nom Position Date Laurence Moindrot Ingénierie CRC 10/05/04 Sébastien Boggia Ingénierie CRC 10/05/04 Historique Version Date Auteur Raison /05/04 Laurence Moindrot Sébastien Boggia Version initiale /05/04 Sébastien Boggia Ajout procédures de récupération de mot de passe 3/48

4 1. Principes de base sur les réseaux des entités reliées à Osiris 1.1. Les types de réseaux Il existe 2 grands types de réseaux : LAN (Local Area Network) ou bien RLE (Réseaux Locaux d'entreprise). Ces réseaux sont des réseaux privés, c'est à dire faisant partie d'une même entité physique ou juridique. On les utilise essentiellement pour relier des ordinateurs entre eux et à des ressources partagées (imprimantes, serveurs de fichiers). MAN (Metropolitan Area Network) ou WAN (Wide Area Network). En français, réseaux métropolitains ou réseaux longue distance. Ces réseaux sont destinés à faire la jonction entre plusieurs LAN sur des distances plus ou moins longues. Dans la pratique, on peut donc classifier Renater comme étant un réseau WAN, Osiris un MAN et les sites raccordés à Osiris comme des LAN Transmission des données dans un réseau Il y a 2 techniques de transmission des données. Le point à point, La diffusion. Le point à point consiste à transmettre des données sur une connexion entre 2 machines uniquement. Un réseau formé uniquement de connexions point à point pourra faire transiter l'information d'une machine à l'autre par plusieurs intermédiaires. A B Transmission données Un réseau à diffusion (point à multipoint) n'a qu'un seul canal de communication que toutes les machines partagent (réseau de type bus). Les paquets envoyés par une machine sont reçus par toutes les autres. La machine destinataire du paquet l'analyse. Les autres l'ignorent. A Transmission données B analyse le paquet D'une manière générale, les réseau locaux des batiments connectés à Osiris (LAN) sont des réseaux de diffusion. Les connexions point à point sont plutôt utilisées sur les liaisons Internet grandes distances ou parfois pour les interconnexions entre les LAN et les WAN. 4/48

5 1.3. Principe d'un réseau Ethernet L'architecture des réseaux locaux des batiments Osiris va nous conduire naturellement à se pencher sur Ethernet. Ethernet fonctionne sur des réseaux de diffusion de type bus, appelés aussi segments ethernets. Le problème de ce type de réseau est de trouver un mécanisme d'arbitrage pour que la transmission des données ne se fasse pas simultanément entre deux machines. Deux paquets émis en même temps par deux machines provoquent un phénomène de collision. C'est à dire que le signal électrique sur le câble devient incompréhensible. Heureusement, les machines qui sont à l'écoute de ce qui se passe sur le bus sont capables de détecter les collisions. Sur Ethernet, une machine peut transmettre quand elle le désire. C'est le protocole CSMA/CD qui permet de gérer le moment où une machine peut émettre sur le bus, de détecter les collisions et d'y remédier. CSMA signifie : Carrier Sense Multiple Acces. CD signifie : Collision Detection. Principe de base de CSMA/CD : Une machine qui souhaite transmettre sur le réseau écoute le câble. Si la voie n'est pas libre, elle attend jusqu'à ce que l'autre machine ait fini de transmettre. Si deux machines commencent à émettre en même temps et qu'il y a collision, elles arrêtent d'émettre, attendent toutes deux un temps aléatoire pour réemettre de manière à ne plus entrer en collision. 1. Les machines A et B émettent en même temps. A 2. Les 2 trames entrent en collision A B B 3. Les machines détectent la collision A B 4. Les machines attendent un temps aléatoire pour réémettre. Ici B réémet avant A A B Le protocole Ethernet est inclut dans la sous-couche liaison de données MAC (Medium Acces Control) du modèle OSI. Il s'agit de la sous-couche de Controle d'accès au Canal. Chaque trame Ethernet contient une en-tête MAC avec les informations nécessaires pour acheminer le trafic. Il y a plusieurs versions d'ethernet : Ethernet v2, Ethernet IEEE Ces versions présentent quelques différences au niveau des trames. Voici la représentation d'une trame Ethernet v2, utilisée dans plus de 90% des cas. 7 octets 1 6 octets 6 octets 2 octets octets 4 octets Préambule SD Adresse MAC Dst Adresse MAC Src Type Trame Ethernet v2 Information couche supérieure FCS 5/48

6 Description des champs Préambule : Ce champ permet à l'émetteur de la trame et au récepteur de se synchroniser. SD : Ce champ de 1 octet permet de délimiter le début réel de la trame. MAC Dst Address : Adresse MAC de la machine de destination. MAC Src Address : Adresse MAC de la machine source. Type : Protocole réseau encapsulé dans la trame Ethernet. 0X800 = IPv4 Information : Données transportées, 1500 octets maximum. FCS : Contrôle de l'intégrité de la trame. La longueur d'une trame Ethernet v2 valide se situe entre 60 et 1514 octets (MAC Src + MAC Dst + Type + Information). Chaque machine émettant sur un réseau Ethernet possède une carte réseau avec un identifiant unique sur 6 octets, c'est l'adresse MAC de la carte. Cette adresse est divisée en 2 parties : Trois premiers octets : Numéro du constructeur (exemple: : Sun, C0 : Cisco). Trois derniers octets : Numéro de série de la carte. Une adresse MAC est réservée pour l'envoie en broadcast c'est à dire à destination de toutes les machines du réseau. C'est l'adresse FF-FF-FF-FF-FF-FF. Nous venons de présenter Ethernet de manière à bien mettre en évidence ses principes de base et comme il a été pensé lors de sa conception. A l'époque, un réseau était souvent composé d'un câble coaxial (BNC) 10Base5 sur lequel étaient connectées les machines. Celles-ci émettaient donc toutes sur le même lien physique. 10 base 2 / 10 base 5 1 segment Ethernet 1 domaine de collisions 1 circuit électrique pour tout le câble BNC Cette architecture apporte vite des limitations en cas de rupture de lien (le réseau est coupé pour toutes les machines) ou lorsque le débit de transmission et le nombre de machines sur le bus augmentent (on se trouve rapidement en présence de nombreuses collisions). Le problème de la coupure de lien a été résolu par l'utillisation d'un répéteur (HUB) et de câbles RJ45. On est passé à une architecture en étoile. Tout le trafic transite vers le point central qui est le répéteur. L'architecture en étoile apporte 2 avantages : Une coupure sur l'un des liens «répéteur <-> machine» n'affecte pas les autres machines. Le câblage est plus souple, peut utiliser des paires téléphonique déjà existantes et n'affecte qu'une machine. 1 segment Ethernet 1 domaine de collisions HUB 1 circuit électrique pour chaque lien HUB <-> machine Le probème des collisions de plus en plus fréquentes par l'ajout de machines et l'augmentation de trafic peut être réglé par la diminution de la taille du domaine de collisions. C'est ce que nous allons voir dans la suite. 6/48

7 1.4. Concepts de base de la commutation de niveau 2 Afin de limiter les problèmes de collisions Ethernet, il faut limiter le nombre de machines connectées sur un même segment et n'y envoyer que les trames destinées à des machines s'y trouvant. Pour cela on se sert de commutateurs (switches). Voici un bref comparatif entre un Hub (répéteur) et un commutateur. Un hub est un équipement «bête» : Il sert à réamplifier le signal d'un lien, Il renvoie toutes les trames reçues sur tous les ports imédiatement, Il peut permettre de passer d'un média à un autre. Par exemple du Cuivre vers de la fibre. Hub Un commutateur est un équipement «intelligent». Le commutateur est le centre de la topologie en étoile. A la différence du répéteur (hub), qui ne fait que répéter sur tous les ports les données qu'il reçoit, les commutateurs ont la capacité d analyser le trafic, et ainsi de posséder une connaissance des adresses MAC (Medium Access Control) et de construire des tables de commutation. Commutateur Le commutateur possède les particularités suivantes : Apprendre les adresses MAC des matériels attachés à ses ports. N'envoie le trafic d'une adresse MAC que sur le port concerné, Possède une table de commutation <adresse MAC <-> port>. La grande majorité des commutateurs apporte des fonctionalités supplémentaires comme éviter la formation de boucles (Spanning Tree) ou créer des réseaux virtuels (VLAN). Attention! Ces fonctionalités ne sont pas natives aux commutateurs et peuvent ne pas exister sur les bas de game. Avec un commutateur, le domaine de collision est limité à un seul port, rendant les collisions impossibles. De plus la bande passante disponible sur une interface ne sert que pour la machine connectée dessus. 7/48

8 Segment 3 Domaine de collision 3 Segment 1 Domaine de collision 1 Commutateur A port 3 ORDINATEUR B avec mac address bbb port 2 port 1 Table <adresse MAC / port> aaa / port 1 bbb / port 2 ccc / port 3 Segment 2 Domaine de collision 2 ORDINATEUR C avec mac address ccc ORDINATEUR A avec mac address aaa L apprentissage des adresses MAC: Au démarrage du commutateur, la table est vide (1). Lorsque le commutateur doit envoyer une trame,s'il ne trouve pas l'adresse MAC de destination dans sa table la correspondance <adresse MAC, port>, il envoie la trame sur tous les ports (2), sauf le port entrant (d où provient la trame). Le commutateur va mettre à jour, en mémoire, sa table de couples <adresse MAC, port> (2) (4) à chaque passage d une trame entrante: Il récupère l adresse MAC source (et non l adresse MAC destination) puis ajoute ou met à jour une entrée dans la table (port entrant/adresse MAC source). Il existe une durée maximale de présence dans la table d'une association <adresse MAC, port>. Cette durée est appelée «time-age». Le commutateur ne se souvient donc que des matériels les plus actifs. Le «timeage» est paramétrable. Il est par défaut de 5 minutes sur les Cisco Catalyst. On dit que lors de l émission d une trame, il y a commutation vers le bon port si l adresse MAC destinatrice est connue dans la table. Il y a en même temps regénération de l entrée associée à l adresse MAC source dans cette table. 1. A veut parler à B Trame src : dst : bbb MAC : aaa Port 1 Port 3 : ccc Port 2 MAC : bbb Table de commutation Adresse MAC Port 2. Le commutateur ne sait pas où se trouve B. Il fait suivre la trame à tous. MAC : aaa Port 1 Port 3 : ccc Port 2 Trame src : dst : bbb MAC : bbb Table de commutation Adresse MAC Port aaa 1 3. B répond à A. C ignore la trame et ne répond pas. MAC : aaa Port 3 : ccc Trame src : dst : aaa MAC : bbb Table de commutation Adresse MAC Port aaa 1 Port 1 Port 2 4. A réçoit la réponse de B. Le commutateur connaît dans sa table A et B. MAC : aaa Trame src : dst : aaa Port 1 Port 3 : ccc Port 2 MAC : bbb Table de commutation Adresse MAC Port aaa bbb 1 2 8/48

9 2. Généralités sur les commutateurs CISCO Les commutateurs CISCO sont tous dotés d'un port console (port série compatible avec celui de votre PC) prévu pour un accès administratif local à partir d un terminal ASCII ou d un ordinateur avec émulation de terminal (Hyperterminal pour Windows ou Minicom pour Linux). Ce port console est situé au dos du routeur. IOS (Internetwork Operating System) est le nom du système d exploitation exécuté sur les commutateurs CISCO. CLI (Command Line Interface), est le sigle utilisé par Cisco pour désigner l interface en ligne de commande du terminal pour le système IOS. Chaque commutateur possède différents types de mémoire : la DRAM, la NVRAM, la mémoire Flash, et la ROM. Mémoire ROM (non volatile) contient le logiciel minimum utilisable en cas de problème (bootstrap) Mémoire DRAM (volatile): mémoire de travail contient l'ios en cours d'exécution contient la configuration en cours d'exécution/modification (running-config) contient les logs, statistiques, buffers réseaux, les processus, etc Mémoire Flash (non volatile) contient les images IOS compressées NVRAM (non volatile) contient le configuration de démarrage (startup-config) 9/48

10 Au démarrage la séquence d'initialisation est la suivante : 1 - Chargement du bootstrap de ROM vers DRAM 2 - Test de la plate-forme 3 - Chargement de l'ios de Flash vers DRAM 4 - Chargement du fichier de configuration du commutateur de NVRAM vers DRAM Si la mémoire NVRAM est vide le mode «Setup» est lancé. Le mode «Setup» demande à l'utilisateur s'il veut entrer dans l'assistant de configuration du commutateur. L'assistant permet à l'utilisateur de rendre rapidement le commutateur opérationnel et gérable à distance en lui ajoutant une adresse IP de management puis des mots de passe. Si l'utilisateur ne souhaite pas entrer dans le mode de configuration, le commutateur démarre avec une configuration minimale lui permettant de commuter. ROM: bootstrap Flash: Images IOS compressées NVRAM: startup-config vlan.dat DRAM: running-config IOS en cours d'exécution process buffers logs 10/48

11 3. Gestion d'un Catalyst 3.1. Connexion au commutateur en port console Se connecter avec un PC sur le port console du commutateur Cisco via un terminal vt100 ou bien une émulation (Hyperterminal Windows ou minicom pour Linux). Paramétrage : Vitesse : 9600 bps, taille : 8 bits, parité : non, bit d'arret : 1, controle de flux : non. Une fois le câble connecté, appuyer sur «Entrée». Le prompt switch> doit apparaître pour un commutateur non configuré, ou bien une demande de nom d'utilisateur ou de mot de passe Navigation et changement de mode Pour découvrir les commandes disponibles, taper :? Le listing avec la description des commandes disponibles apparaît. «?» permet aussi de compléter une commande. Exemple : Switch> ping? WORD Ping destination address or hostname ip IP echo tag Tag encapsulated IP echo La «complétion» des commandes se fait avec le touche <TAB>. Il est possible également de taper qu'une partie des commandes pour qu'elles soient reconnues à partir du moment ou elles sont uniques. Au cas où la sortie d'une commande dépasse la taille du terminal, la ligne --More-- apparaît au bas de page. Appuyer sur entrée pour faire défiler la suite ligne par ligne, appuyer sur la barre espace pour faire défiler la suite page par page. 11/48

12 Modes de fonctionnement Il y a différents modes de fonctionnement que l'on reconnaît grâce au prompt : Mode utilisateur (1). Switch> Permet d'utiliser seulement quelques commandes n'agissant pas sur le fonctionnement de l'équipement. Pour des raisons de sécurité, ce mode ne permet pas de voir la configuration. Mode privilégié (15). Switch# Permet d'avoir accès à toutes les commandes, voir les configurations, rebooter l'équipement... Permet de passer en mode configuration. Pour entrer en mode privilégié, taper la commande «enable». Switch> enable Switch# Mode Configuration Switch(config)# Une fois en mode «enable», pour passer en mode configuration, taper : Switch# configure terminal Le prompt Switch(config)# apparaît. Les commandes de configuration peuvent maintenant être entrées dans le commutateur. Attention! Toute ligne de configuration entrée sur le commutateur est instantanément appliquée. Le mode configuration possède plusieurs niveaux. Par exemple pour configurer une interface : Switch# configure termninal Switch(config)# interface FastEthernet0/1 Switch(config-if)# description lien vers crc Les commandes ne s'appliquent qu'à l'interface FastEthernet0/1. Une fois à ce niveau de l'interface pour la configuration (config-if), toutes les commandes entrées ne s'appliqueront qu'au niveau de l'interface. Pour passer du niveau «configuration de l'interface» au niveau «configuration» (de config-if à config), taper la commande «exit». Switch(config-if)# exit Switch(config)# exit Switch# Pour quitter directement le mode configuration, faire un «CONTROL+Z». Switch(config-if)# ^Z Switch# Enfin pour se déconnecter, taper la commande «exit». Switch# exit 12/48

13 Pour quitter le mode privilégié, taper la commande «disable». Switch# disable Switch> Le schéma ci-dessus récapitule les différents modes et les manières de passer de l'un à l'autre. Sw Configuration Objet (interface) «nom_objet» exit ex :interface FastEthernet0/1 Configuration Mode conf t Priviliged Mode exit Ctrl+Z Ctrl+Z enable User Mode Touch «enter» exit ou authentification Déconnecté disable exit La commande «no» : Le «no» permet de supprimer une ligne de configuration. Taper «no» suivi de la ligne de configuration à supprimer. Exemple : Switch(config-if)# no description lien vers crc Remarque générale : Ces commandes sont également applicables pour les routeurs Cisco Visualiser et sauvegarder la configuration d'un commutateur La configuration d'un commutateur ne peut être visualisée qu'en mode privilégié (enable). Deux types de configurations : La configuration sauvegardée. C'est la configuration sauvegardée sur la flash. Switch# show startup-config La configuration active du commutateur. C'est la configuration en mémoire qui est modifiée dès l'ajout d'une commande. Switch# show running-config Pour sauvegarder sur la flash une nouvelle configuration, entrer la commande (à faire à chaque fois avant de se déconnecter si des modifications ont été appliquées) : Switch# copy running-config startup-config 13/48

14 3.3. Organisation des fichiers sur la flash Certains fichiers de configuration, ainsi que l'ios sont stockés sur la flash. Pour visualiser les fichiers, taper la commande : Switch> show flash: Directory of flash:/ 2 -rwx 112 Mar :02:56 info 3 -rwx Mar :04:53 c2950-i6k2l2q4-mz ea1a.bin 4 drwx 2432 Mar :06:20 html 81 -rwx 112 Mar :06:22 info.ver 82 -rwx 316 Mar :00:22 env_vars 83 -rwx 5 Mar :01:37 private-config.text 84 -rwx 4243 Mar :04:40 config.text 86 -rwx 2896 Mar :08:50 vlan.dat bytes total ( bytes free) c2950-i6k2l2q4-mz ea1a.bin est le binaire de l'ios. Config.text est une copie du fichier de configuration de la NVRAM : «startup-config», c'est à dire le résultat d'un show configuration.. On peut le visualiser avec la commande : more flash:/config.text. Il permet de sauvegarder la configuration avant de la modifier. VLAN.dat est un fichier binaire contenant la configuration de toute la partie VLAN et vtp du commutateur. Nous en reparlerons plus tard. Toutes les commandes modifiant la flash doivent être lancées en mode privilégié. Copier un fichier: Switch# copy flash:/config.text flash:/config.origine Destination filename [config.origine]? Copy in progress...cc 4243 bytes copied in secs (53038 bytes/sec) Renommer un fichier: Switch# rename flash:/<ancien_nom> flash:/<nouveau_nom> Supprimer un fichier: Switch# delete flash:/<fichier> 14/48

15 3.4. Mise à jour du système (IOS) La mise à jour de l'ios permet de faire évoluer les fonctionnalités d'un commutateur et de corriger les bugs. Il existe chez Cisco une multitude d'ios différents. Il faut mettre à jour la version d'ios en utilisant celle préconisée par le CRC, et disponible sur le site tftp du CRC. Catalyst tftp:// /ios/3750/c3750-i5k2-mz ea1d.bin Catalyst tftp:// /ios/2970/c2970-i6k2l2-mz ea1d.bin Catalyst tftp:// /ios/2950/c2950-i6k2l2q4-mz ea1c.bin Attention : La mise à jour d'un IOS nécéssite qu'une adresse IP de management et une route par défaut aient été configurées. Voir paragraphe 4.6. Mise à jour d'un Cisco Catalyst 2950 (valable pour le 2970) Passer en Mode privilégié (enable). Vérifier que vous pouvez contacter le serveur tftp : Switch# ping Effacer l'ios courant: switch# dir flash: switch# delete flash:/c2950-********.bin Copier le nouvel IOS: switch# copy tftp:// /ios/2950/c2950-i6k2l2q4-mz ea2.bin flash: Vérifier que l'ios à été copié et mettre à jour la variable boot system flash : switch# dir flash: switch# configure terminal Cette commande n'est pas obligatoire s'il n'y a qu'un IOS sur la carte flash, car au démarrage le commutateur cherchera automatiquement une version d'ios disponible. Cependant, elle permet d'économiser le temps de recherche, et d'afficher de manière visuelle dans la configuration l'ios utilisé. switch(config)# boot system flash:/c2950-i6k2l2q4-mz ea1c.bin switch(config)# exit switch# copy running-config startup-config SI et SEULEMENT SI l'ios a été copié - Redémarrer le catalyst: switch# reload Mise à jour d'un Cisco catalyst 3750 Passer en Mode privilégié (enable). Vérifier que vous pouvez contacter le serveur tftp : 15/48

16 Switch# ping Effacer l'ios courant: switch# dir flash: Attention! Il est fort probable que l'ios d'usine présent sur le 3750 soit disposé sous forme d'arborescence. Ceci permet à l'équipement de mettre à disposition un serveur Web avec une interface Java pour gérer le commutateur. Le CRC ne se sert pas de ces options. Pour cela les IOS présents sur le serveur tftp du CRC sont sous forme de fichiers binaires. switch# delete /recursive /force flash:/c3750-********.bin Attention! Sur des versions anciennes de l'ios, il arrive que l'option «/recursive» ne fonctionne pas correctement. Si c'est le cas utiliser la commande : switch# erase flash: qui effacera la totalité de la flash. Etre bien sûr avant d'exécuter la commande que le serveur TFTP répond correctement. Copier le nouvel IOS: switch# copy tftp:// /ios/3750/c3750-i5k2-mz ea1d.bin flash: Vérifier que l'ios à été copié et mettre à jour la variable boot system flash : switch# dir flash: switch# configure terminal Cette commande n'est pas obligatoire s'il n'y a qu'un IOS sur la carte flash, car au démarrage le commutateur cherchera automatiquement une version d'ios disponible. Cependant, elle permet d'économiser le temps de recherche, et d'afficher de manière visuelle dans la configuration l'ios utilisé. switch(config)# boot system flash:/c3750-i5k2-mz ea1d.bin switch(config)# exit switch# copy running-config startup-config SI et SEULEMENT SI l'ios a été copié - Redémarrer le catalyst: switch# reload 3.5. Sauvegarde d'une configuration sur un serveur tftp Il est recommandé de sauvegarder la configuration de votre Cisco Catalyst sur un serveur tftp. Cette méthode est beaucoup plus sûre et rapide qu'un copier/coller dans un fichier texte. Exemple de sauvegarde d'une config: Se connecter sur le catalyst. Passer en mode privilégié. Copier la configuration du commutateur sur votre serveur tftp : switch# copy running-config tftp: ou switch# copy startup-config tftp: Address or name of remote host []? xx.yy Destination filename [Switch-confg]? Accessing tftp:// xx.zz/switch-confg 16/48

17 Récupération d'une configuration : Se connecter sur le catalyst. Passer en Priviledge Mode. Copier la configuration depuis votre serveur tftp sur la catalyst: switch# copy tftp: startup-config ou switch# copy tftp: running-config Address or name of remote host []? xx.zz Source filename []?sauvegarde-catalyst-cfg Destination filename [running-config]? Accessing tftp:// xx.zz/sauvegarde-catalyst-cfg... Loading sauvegarde-catalyst-cfg from xx.zz (via Vlanyy):!!!!!!!!!! [OK /99328 bytes] Il existe des serveurs TFTP très facile à installer et à configurer, sur un PC portable par exemple. Pour Windows : Pour Linux : Activer tftpd dans /etc/inet.d (décommenter la ligne) ou installer atftpd. 17/48

18 4. Configuration de base recommandée par le CRC 4.1. Démarrage d'un commutateur non configuré Un commutateur non configuré va demander au démarrage si l'utilisateur souhaite entrer en mode de configuration initiale. Cela permet de mettre très rapidement en service un commutateur en répondant à quelques questions de base (nom du commutateur, adresse de management...). --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: Il est préférable de répondre non à la question. L'assistant de configuration n'est pas utile lorsque l'on est en présence de cette documentation. Le commutateur démarre sur une configuration d'usine. Voir un exemple en Annexe. Toutes les commandes suivantes doivent être passées en mode configuration Configuration du nom de l'équipement Switch(config)# hostname bat42 bat42(config)# 4.3. Configuration du fuseau horaire france et de l'heure d'été bat42(config)# clock timezone UTC+1 1!UTC+1 = nom de la zone (c'est une variable, peut être n'importe quoi)! le «1» est le décalage horaire par rapport à GMT. bat42(config)# clock summer-time UTC+1 recurring last Sun Mar 2:00 last Sun Oct 3:00! On retrouve la variable UTC+1! recurring fait allusion à l'heure d'été commençant le dernier dimanche de mars 2:00, terminant le dernier dimanche d'octobre 3: Configuration du client NTP Pour la lecture des logs en cas de problème, il est important d'avoir l'heure exacte en synchronisant l'équipement sur un serveur NTP. bat42(config)# ntp server !mettre l'adresse IP du serveur ntp (ntp.u-strasbg.fr) 18/48

19 4.5. Activation de la résolution de noms Le commutateur pourra joindre des sites en se servant de leurs noms de domaines (commandes ping et traceroute). bat42(config)# ip domain-lookup! active la resolution de nom sur le commutateur Attention : cette commande peut être génante. En cas de passage d'une commande inconnue, le commutateur lance une résolution de nom et bloque l'exécution de la commande pendant quelques secondes. bat42(config)# ip domain-name u-strasbg.fr! domaine dans lequel se trouve l'équipement. bat42(config)# ip name-server ! adresse IP du serveur DNS du domaine u-strasbg.fr Remarque importante : La définition du nom de domaine est indispensable pour la création d'une clé rsa pour les connexions sur le commutateur en ssh Adresse IP d'un commutateur Les Cisco Catalyst 3750 sont capables de faire du routage de niveau 3. Si le routage de niveau 3 est activé, le commutateur perdra ce qui caractrise un commutateur de niveau 2 (perte d'étanchéité des VLAN). Par défaut le routage de niveau 3 est désactivé. Mais pour en être sûr, appliquer la commande : bat42(config)# no ip routing Affecter une adresse IP à un commutateur permet de se connecter à distance, de récupérer des syslogs, d'interroger le commutateur en SNMP, de faire des transferts TFTP et de mettre à jour l'ios. Dans une configuration, sans VLAN avec un seul réseau IP, nous affecterons une adresse IP au VLAN par défaut. Nous verrons par la suite dans le chapitre de gestion des VLAN d'autres méthodes. Le VLAN 1 est le VLAN par défaut. Il n'est pas possible de le supprimer. Par défaut il est affecté à toutes les interfaces. Il faut choisir une adresse de votre réseau IP et l'appliquer au VLAN par défaut. bat42(config)# interface vlan 1!en mode configuration, entrer dans l'interface VLAN1 qui est le vlan par défaut. bat42(config-if)# ip address X.X Y.Y!entrer l'adresse IP de management bat42(config-if)# no shutdown!activer le VLAN par défaut. Il est automatiquement affecté à toutes les interfaces. Si par la suite d'autres VLAN sont créés et que l'adresse de management doit faire partie de l'un de ces nouveaux VLAN, Créer le nouveau VLAN (voir chapitre 6), appliquer l'adresse IP au nouveau VLAN, bat42(config)# interface vlan <numero_vlan> puis appliquer les commandes appliquées pour le VLAN 1. Le commutateur peut maintenant être managé par le réseau. Si les stations de gestion ne sont pas dans le même réseau IP, ou si l'on veut joindre le commutateur depuis n'importe ou sur Internet, ajouter une route par défaut comme sur n'importe quelle machine de votre réseau : bat42(config)# ip default-gateway X.Y!la passerelle est X.Y 19/48

20 4.7. Authentification des connexions sur le commutateur Il y a plusieurs façons d'accéder aux commandes CLI d'un commutateur : par le port Console, en telnet, en ssh. Lorsqu'un commutateur ne possède aucun mot de passe, il n'est possible de se connecter qu'avec le port console. Pour les connexions telnet ou ssh, il faut ajouter une méthode d'authentification. Les méthodes d'authentifications sont très variées. Nous allons voir alternativement les 2 méthodes d'authentification : connexion en port console et telnet avec demande de mot de passe (déconseillée), connexion en port console et ssh avec demande de nom d'utilisateur et mot de passe. (très fortement conseillée). Tout d'abord, pour éviter que les mots de passe n'apparaissent en clair dans la configuration, entrer la commande : bat42(config)# service password-encryption 1. Ensuite, appliquer l'une des 2 méthodes qui suit avec bien sûr une préférence pour l'activation de ssh (paragraphe 4.7.2) Connexion port console et telnet Ajout d'un mot de passe sur le port console bat42(config)# line console 0 bat42(config-line)# password toto bat42(config-line)# login!le mot de passe est demandé au login Configuration pour une connexion en telnet Une connexion en telnet se configure sur le terminal virtuel vty. Ajouter un mot de passe de la même manière que sur le port console. bat42(config)# line vty 0 4!vty 0 4 : numéros des vty de 0 à 4. bat42(config-line)# password toto bat42(config-line)# login Ajout du mot de passe mode privileged (enable) Un mot de passe est maintenant demandé pour se connecter en mode User. Par sécurité il faut en ajouter un pour le mode privileged (enable). bat42(config)# enable secret motdepasse Préferer la commande «enable secret» à «enable password», le chiffrage est bien meilleur. Il existe des outils qui permettent de décrypter très facilement la chaine de caractères suivant un enable password. 20/48

21 Connexion port console et ssh Configuration ssh Il faut tout d'abord générer une clé de cryptage RSA pour activer ssh. Pour plus de sécurité, choisir une clé de 1024 bits. Pour cette manoeuvre, un nom de domaine doit être définit dans la configuration du commutateur (voir chapitre 4.5). La génération de la clé de cryptage rsa se base sur le nom du commutateur et le nom de domaine. bat42(config)# crypto key generate rsa The name for the keys will be: bat42.u-strasbg.fr Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 Generating RSA keys... [OK] Configurer ensuite le délai d'inactivité sur une connexion, puis le nombre maximum de tentatives possibles pour se connecter. bat42(config)# ip ssh time-out 120 bat42(config)# ip ssh authentication-retries 3 Pour toute connexion ssh, un nom d'utilisateur est indispensable. Pour cela, il faut activer le modèle AAA (authentication, autorisation, accounting) puis entrer un nom d'utilisateur. bat42(config)# aaa new-model!activation du modele AAA bat42(config)# aaa authentication login LOCALAUTH local!on authentifie un login localement (local). LOCALAUTH est une variable désignant l'authentification directement sur le commutateur. bat42(config)# aaa authorization exec default local!autorisation des commandes du mode privilégié en local. bat42(config)# username admin password <motdepasse>!on entre un utilisateur avec son mot de passe. Il existe des méthodes plus avancées pour créer un utilisateur. Exemple, pour se connecter directement en mode privileged (enable): bat42(config)# username admin privilege 15 secret <motdepasse>!«privilege 15» signifie que l'on arrive directement en mode enable. Pour des raisons de sécurité le mot de passe sera chiffré avec «secret», ce qui est un équivalent de la commande «enable secret» (voir plus bas). Configurer les lignes vty. bat42(config)# line vty 0 4 bat42(config-line)# transport preferred none bat42(config-line)# transport input ssh Si dans la configuration de base, un line «vty 5 15» existe, passer les mêmes commandes que pour le line «vty 0 4», cela évitera de pouvoir se connecter en telnet. Configurer le port Console Comme pour les connexions ssh, on se connecte directement en mode privileged (enable). 21/48

22 bat42(config)# line console 0 bat42(config-line)# privilege level 15!connexion mode enable bat42(config-line)# login authentication LOCALAUTH!utilisation de la méthode d'authentification LOCALAUTH Une astuce. Pour éviter les tentatives de résolutions DNS en cas de passage d'une mauvaise commande, ajouter dans les «line vty 0 4» et «line con 0» la commande : bat42(config-line)# transport preferred none Cette commande spécifie le protocole de communication préféré. Lors d'une commande inconnue, par exemple «ls», le commutateur lance automatiquement un «telnet ls». En passant dans la commande «transport preferred» l'argument «none», le commutateur ne fait donc rien Désactivation du protocole CDP (Cisco Discover Protocol) CDP permet de récupérer des informations sur les commutateurs voisins supportant le protocole. Cette option peut nuire à la sécurité. Des utilisateurs non autorisés peuvent récupérer des informations simplement en se connectant sur un port du commutateur si celui-ci est mal configuré. Le CRC recommande de désactiver CDP avec la commande : bat42(config)# no cdp run 4.9. Désactivation du démon http de management du commutateur Il est possible de gérer le commutateur via un navigateur Web. Cependant, il n'est pas possible de tout faire avec et cela utilise des ressources CPU. De plus, il faut activer le protocole CDP, ce que nous venons de déconseiller, il peut faire perdre à l'utilisateur l'habitude d'utiliser CLI qui est plus complet, plus rapide et qui permet de faire des diagnostics plus précis en cas de problèmes. Il est conseillé de le désactiver. bat42(config)# no ip http server Configuration des logs sur le commutateur Il y a 7 niveaux de criticité des logs : emergencies, alerts, crtitical, errors, warnings, notifications, informational et debugging. Emergencies est le niveau le plus grave (explosion du commutateur), debugging le moins grâve et le plus explicite. Par défaut, un commutateur ne conserve que 4096 octets d'événements. C'est insuffisant pour avoir un bon historique. Passer la commande suivante pour avoir plus d'historique, au niveau «debugging» pour plus de détails dans les logs : 22/48

23 bat42(config)# logging buffered debugging Pour envoyer tous les logs à un serveur syslog (udp/514), ajouter la ligne : bat42(config)# logging <IP_SERVEUR_SYSLOG> Le CRC, afin de faciliter les diagnostics en cas de problème, vous propose d'envoyer une copie de vos logs vers : La machine s'appelle syslog.u-strasbg.fr ou tftp.u-strasbg.fr Ajouter la commande : bat42(config)# logging /48

24 5. Configuration des interfaces Toutes les interfaces sur les Cisco Catalysts sont du FastEthernet ou GigabitEthernet. Comme Ethernet, elles exploitent le protocole CSMA/CD. Voici un aperçu des longueurs et du choix du média à utiliser en fonction de la distance : Distance max. Type de connexion 90 m Module 1000 Base T sur cuivre 220 m Module SX sur FO multimode 550 m Module LX/LH sur FO multimode 10 km Module LX/LH sur FO monomode Pour les câbles cuivre, préférer des «catégorie 5» ou «catégorie 6 (gigabit)» Configuration Duplex et vitesse d'une interface FastEthernet Sur les commutateurs, 3 vitesses sont possibles en fonction des ports : 10 Mbs 100 Mbs 1000 Mbs Il y a 2 modes de fonctionnement : Half Duplex : Les émissions et les réceptions sur un port arrivent alternativement. C'est le cas lors d'une connexion à un Hub. Full Duplex : Les émissions et réceptions sur un port se font en même temps. C'est le mode le plus optimisé et le plus couramment utilisé sur les commutateurs. Par défaut, les autonégociations de la vitesse et du duplex sont activées sur les interfaces des commutateurs Cisco. Principe de l'autonégociation FLP (Fast Link Pulse qui teste l'intégrité du lien) : Teste le mode de fonctionnement le plus élevé vers le plus bas. Exemple pour une interface 100 Mbs. 100 Full Duplex -> 100 Half Duplex -> 10 Full Duplex -> 10 Half Duplex Dans la majorité des cas l'autonégociation fonctionne et configure le port de manière optimale. Sur les commutateurs Cisco, un port est indisponible pendant plusieurs dizaines de secondes après le branchement. Ceci est dû au calcul du Spaning Tree (chapitre 7). Le voyant au dessus du port est orange et aucun trafic réseau ne peut passer. La majorité des problèmes se situe au niveau du brochage des câbles ou de leur qualité, d'où le conseil d'utiliser toujours des câbles Ethernet de qualité. Il y a 2 types de câbles Ethernet : Câble droit : à utiliser pour raccorder un commutateur à un routeur ou à un poste client. Câble croisé : à utiliser pour raccorder 2 commutateurs, 2 PC ou 2 routeurs. Bref, du matériel de même nature. Dans certains cas, on peut rencontrer des problèmes, souvent entre des commutateurs de marques différentes ou avec une carte réseau d'un poste client configurée avec des options pas toujours standards. 24/48

25 En cas de problèmes avec l'autonégociation, il est conseillé de forcer la vitesse du port. Attention! Si la vitesse et le duplex sont forcés d'un côté, il faut faire de même de l'autre côté du lien. Commandes à passer (par défaut, même si ce n'est pas affiché, un port est en autonégociation) : switch(config)# interface GigabitEthernet0/2 switch(config-if)# speed 10!vitesse à 10Mbs, ou... switch(config-if)# speed 100!vitesse à 100Mbs, ou... switch(config-if)# speed 1000!vitesse à 1000Mbs switch(config-if)# speed nonegociate!à rajouter pour désactiver le FLP si on est sur un lien fibre. switch(config-if)# duplex full switch(config-if)# duplex half switch(config-if)# duplex auto switch(config-if)# speed auto!réglage en autonégociation du duplex et de la vitesse. Certains problèmes peuvent aussi être corrigés par la réinitilisation du port. Il peut arriver qu'un port passe en état «error disable», par exemple si trop de collisions ont lieu à cause d'un Hub saturé. Dans ce cas on peut désactiver l'interface puis la réactiver. switch(config)# interface GigabitEthernet0/2 switch(config-if)# shutdown!désactivation de l'interface switch(config-if)# no shutdown!re-activation de l'interface Pour des raisons de sécurité, il est important de déactiver un port non utilisé avec la commande «shutdown» et de rajouter ces quelques configurations par défaut dans les interfaces. Pour être plus rapide, sélectionner un range d'interfaces. switch(config)# interface range fastethernet 0/1-24 Désactiver la détection automatique des ports trunk (protocole DTP). 2 commutateurs Cisco connectés entre eux peuvent décider de configurer le lien en trunk sans qu'on s'en rende compte. Désactiver donc le protocole DTP avec la commande : switch(config-if-range)# switchport nonegotiate Si cela n'a pas été fait de manière globale (voir chapitre 4.8), désactiver le CDP (Cisco discover protocol). switch(config-if-range)# no cdp enable!desactivation du cdp sur l'intervalle d'interfaces Selon les versions d'ios, un port peut être capâble de monter un lien aussi bien avec un câble droit qu'un câble croisé. Pour rester fidèle au standards et ne pas se trouver en présence de problèmes de câblage lors d'un remplacement de commutateur, il est conseillé de désactiver cette option. De plus l'activation de «mdix» des 2 côtés d'un câble apporte des problèmes. switch(config-if-range)# no mdix auto 25/48

26 5.2. Agrégation de liens 802.3ad L'agrégation de liens, appelée Etherchannel, permet à plusieurs liens physiques d'être vus comme un seul. Ceci est utile en cas de saturation ou pour assurer une redondance en cas de coupure de lien. 100 Mbps 100 Mbps 100 Mbps Lien virtuel à 300 Mbps Nous utilisons pour agréger les liens le protocole LACP (Link Aggregate Control Protocol)normalisé (IEEE 802.3ad). Création d'une interface virtuelle Port-channel ce1(config)# interface Port-channel 1 Agrégation d'une plage d'interfaces sur la pseudo-interface Port-channel 1. switch(config)# interface range fastethernet 0/2-3 switch(config-if-range)# channel-protocol lacp switch(config-if-range)# channel-group 1 mode active Enfin, on applique les configurations propres à une interface dans le Port-channel. Celles-ci sont automatiquement répliquées dans la configuration individuelle de chaque interface physique. 26/48

27 6. Création de VLAN et de liens trunk Un VLAN est un réseau commuté logique de niveau 2 rassemblant un nombre de machines indépendamment de l'architecture physique. Un commutateur peut gérer plusieurs VLAN totalement indépendants les uns par rapport aux autres. Par exemple : Un commutateur sur lequel sont configurés 3 VLAN peut être vu comme 3 commutateurs indépendants. Pour que les informations transitent d'un VLAN à l'autre, il faut faire du routage de niveau 3 à l'aide d'un routeur ou d'un firewall. Domaine de broadcast 1 Domaine de broadcast 2 Quand faut-il utiliser des VLAN? Quand on veut utiliser un seul commutateur pour plusieurs réseaux totalement indépendants et qui ne doivent pas se mélanger (administratif, recherche, enseignement, réseaux IP...), Quand on veut apporter plus de sécurité au niveau IP. Les machines d'un même réseau IP ne sont connectées que sur le VLAN qui leur est attribué. Cela permet aux utilisateurs de ne pas introduire leurs machines dans un réseau qui ne leur est pas destiné. Si on veut limiter le trafic dû à des broadcast. En cas d'envoi de broadcast, ceux-ci ne se limitent qu'aux machines du VLAN (DHCP, requettes ARP...). Pratique en cas d'infection d'un réseau par un virus. Recommandation CRC : Si plusieurs réseaux IP sont connectés sur un commutateur, il est important d'affecter chaque réseau à un VLAN. Sur la majorité des sites Osiris, 2 types de réseaux sont présents : le réseau de recherche et le réseau administratif. A la sortie du commutateur Osiris d'entrée de bâtiment, le CRC fournit 2 connexions sur 2 interfaces, une pour chaque réseau. Il y a donc en fonction des moyens 2 configurations possibles : Vlan Recherche Vlan Administratif Vlan Recherche Vlan Administratif Commutateur Osiris Commutateur Osiris A B C Sur le schéma de gauche, le réseau de recherche (commutateur A) est physiquement séparé du réseau administratif (commutateur B). La création de VLAN sur les commutateurs n'est pas nécéssaire. Sur le schéma de droite, le réseau de recherche est connecté sur le même commutateur (C) que le réseau administratif (c'est souvent le cas). Il faut impérativement les séparer en créant deux VLAN. Le premier pour les machines de la recherche. L'autre pour les machines administratives. 27/48

28 6.1. Configuration de VLAN par port Chaque port d'un commutateur est affecté à un VLAN. C'est la configuration la plus utilisée. Port-Based Création d'un VLAN VLAN1 VLAN2 VLAN3 Le VLAN 1 est le VLAN par défaut sur les commutateurs Cisco. Toutes les interfaces physiques y sont affectées par défaut. Pour éviter toute erreur, il est conseillé de numéroter les VLAN à partir de 2. Switch(config)# vlan 2 Switch(config-vlan)# name "reseau rch" Remarque : Cette configuration n'apparaît pas en faisant un «show running-config». La configuration des VLAN est stockée dans le fichier binaire vlan.dat. Pour voir les VLAN créés, taper : Switch(config)# show vlan VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Fa0/25, Fa0/26 2 reseau 1 active Mettre un port physique dans un VLAN : Switch(config)# interface fastethernet 0/2 Switch(config-if)# switchport mode access!le lien est un port d'accès standard Switch(config-if)# switchport nonegotiate!desactivation de la negociation de type de lien. Cette commande évite au switch de détecter si il est branché sur un lient trunk ou pas. Switch(config-if)# switchport access vlan 2!le port appartient au VLAN 2 28/48

29 6.2. Configuration d'un lien trunk 802.1q Souvent un même VLAN doit se trouver géographiquement à plusieurs endroits, donc sur plusieurs commutateurs. Au lieu de raccorder les commutateurs avec autant de liens physiques qu'il y a de VLAN, on peut les raccorder à l'aide d'un lien «trunk» qui va transporter tous les VLAN configurés sur les différents commutateurs. Vlan 1 Vlan 2 Lien trunk Un lien «trunk» doit faire passer les trames de tous les VLAN sur le même support physique sans pour autant provoquer une perte d'étanchéité de ces derniers. Pour cela, chaque trame Ethernet est «taguée» avec le numéro de VLAN à qui elle appartient. Voici la représentation d'une trame taguée : 7 octets 1 6 octets 6 octets 4 octets 2 octets octets 4 octets Préambule SD Adresse MAC Dst Adresse MAC Src Type Information couche supérieure FCS 2 octets 3 bits 1 bit 12 bits TPID = 8100 Priorité 802.1p q VLAN ID 4 octets sont insérés entre le champ «Adresse MAC source» et «Type». En voici la description : TPID : Tag Protocol Indentifier. La valeur est de 8100, indiquant que la trame est taguée et que sa taille maximale passe de 1518 à 1522 octets. Priorité 802.1p : Il s'agit d'un champ de priorité : 000 pour la priorité la plus faible, 111 pour la priorité la plus haute q VLAN ID : Indique le numéro du VLAN à qui appartient la trame Ethernet. 29/48

30 Configuration d'un port trunk Sur certains commutateurs comme les catalysts 3750, la gestion des ports trunk se fait grâce au protocole propriétaire Cisco ISL. Il est fortement conseillé d'utiliser à la place le protocole standard IEEE 802.1q. Taper la commande : switch(config)# interface FastEthernet 0/24 switch(config-if)# switchport encapsulation dot1q!encapsulation 802.1q Le lien trunk en lui-même à configurer sur les 2 commutateurs : switch(config-if)# switchport mode trunk!passage en mode trunk switch(config-if)# switchport nonegotiate!desactivation de la negociation de type de lien (DTP) switch(config-if)# switchport trunk allowed vlan all!autorisation de transit dans le trunk de tous les VLAN. Remarque: Ne pas oublier de créer les mêmes VLAN sur tous les commutateurs. 30/48

31 7. Gestion des Liaisons redondantes niveau 2 : Spanning Tree Protocol 7.1. Généralités Comme nous avons pu le constater dans le chapitre 1, un commutateur diffuse sur tous ces ports les trames avec pour destination une adresse de broadcast ou une adresse inconnue. En cas de formation de boucle physique volontairement (pour assurer une redondance) ou involontairement (erreur de cablage), le trafic peut exploser dès la première trame de broadcast ou à destination inconnue. Exemple : Voici une architecture où une boucle physique est créée. Machine A Segment 1 commutateur A commutateur B Segment 2 Une trame de Broadcast est envoyée par la machine A. La trame arrive sur le commutateur A, puis est retransmise vers le commutateur B sur le segment 2. Comme il s'agit d'un Broadcast, le commutateur B retransmet la trame sur le port du segment 1 et ainsi de suite. Une boucle infinie est formée. On appelle cela une tempète de broadcasts. Des attaques de ce type existent. Un utilisateur mal intentionné peut envoyer des broadcasts en rafale. Machine A Segment 1 Machine A Segment 1 commutateur A commutateur B Switch A Switch B Segment 2 Segment 2 31/48

32 La solution : Spanning Tree Protocol 802.1d Le Spanning Tree Protocol sert à éviter la formation de boucles et à assurer la redondance dans un réseau de niveau 2. Ce protocole est activé par défaut sur tous les commutateurs Cisco. Lors du démarrage d'un commutateur neuf avec sa configuration d'usine, les configurations du spanning tree sont déjà actives. STP est un protocole de gestion de couche 2 qui détermine les chemins redondants (boucles logiques) d'un réseau et les supprime. Il a pour but de créer un arbre de diffusion. Le Spanning Tree s'applique sur chaque VLAN indépendamment des autres sur les commutateurs CISCO. Port Désigné (Forwarding) Port Root Root bridge SW X SW Y Non root bridge Port Désigné (Forwarding) Port Non Désigné (Bloqué) Le protocole STP utilise un algorithme distribué qui sélectionne un commutateur (root bridge), comme étant la racine d un arbre associé à la topologie courante. Le spanning tree du réseau Osiris est configuré de manière à ce que le Root Bridge se trouve toujours sur un commutateur de coeur (jamais dans les réseaux des composants). Le spanning Tree assigne des rôles aux ports selon la fonction de chacun dans la topologie courante. Chaque port peut prendre 2 états finaux : Forwarding (les trames transitent par ce port) - Blocking (les trames ne transitent pas par ce port). Il y a aussi 2 types de ports : Port désigné et Port Root. Un port désigné est un port qui ne mène pas vers le Root Bridge. Un port Root est un port qui mène vers le Root Bridge. Root Bridge = Commutateur avec le plus petit BridgeID BridgeID = Bridge priority + adresse MAC Bridge priority par défaut = Sur un commutateur Cisco, un port qui est placé en état Blocking voit sa LED passer en orange. Ne pas confondre avec un problème de négociation physique. 32/48