1 VLAN
2 Configuration Switch
3 ACL
4 NAT
5 VRRP
6 VTP
7 Routage statique/dynamique (RIP et OSPF)
VLAN Virtual Local Area Network
Un réseau local virtuel VLAN est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même switch. Les intérêts sont multiples:
- Améliorer la gestion du réseau
- Optimiser la bande passante
- Fragmentation : réduire la taille d’un domaine de broadcast
- Sécurité : sépare les flux, ensemble logique isolé pour améliorer la sécurité
- Coût : 1 seul équipement pour plusieurs réseaux
3 types différents de VLAN :
- Niveau 1 (VLAN par port) : on définit physiquement les ports du switch qui appartiendront à tel ou tel VLAN.
- Niveau 2 (VLAN par MAC) : on indique les adresses MAC des cartes réseaux que l’on souhaite voir appartenir à un VLAN peu importe le port sur lequel la machine sera connectée.
- Niveau 3 (VLAN par IP) : on indique les adresses IP (ou une plage d’IP) qui appartiendront à tel ou tel VLAN.
| 3 | Réseau | Switch avec routage inter VLAN |
| 2 | Liaison | Switch (VLAN…) |
| 1 | Physique | Hub |
2 types de connexion au VLAN
ACCESS LINK : lien destiné aux hôtes pour accéder au réseau configuré pour appartenir à un seul VLAN
TRUNK LINK : lien d’interconnexion destiné à relier 2 équipements (switch, routeur…) sur lequel plusieurs VLAN passeront, les trames sont taguées (norme 802.1q chaque trame contient son numéro de VLAN) pour que les switch sachent à quel VLAN elles appartiennent.
Configuration Switch
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/3
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/4
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#interface FastEthernet 0/5
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Configuration Switch Port Trunk
Switch(config)#interface FastEthernet0/1
Switch(config-if)#switchport trunk allowed vlan 10,20
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Configuration Router on a stick
Router(config)#interface fastEthernet 0/1
Router(config-if)#no shutdown
Router(config)#interface fastEthernet 0/1.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.254 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/1.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.254 255.255.255.0
Router(config-subif)#interface fastEthernet 0/1
Router(config-subif)#exit
Configuration VLAN
Création du VLAN 10 :
Router(config)#vlan 10
Nom du VLAN :
Router(config-vlan)#name serveurs
Configuration d’une plage de port du switch
Router(config)#interface range fastEthernet1/0/1-24
Configuration des ports en mode ACCESS
Router(config-if-range)#switchport mode access
Affectation des ports au VLAN 10
Router(config-if-range)#switchport access vlan 10
ACL Access Control List
Terme générique que l’on rencontre en sécurité informatique qui permet de définir des listes de contrôle d’accès.
Les ACL permettent de prendre des décisions sur les adresses IP, les ports TCP/UDP… et peuvent être appliquées sur des paquets et/ou sortants. Sous Cisco il existe 2 types
- ACL standards : uniquement sur les adresses IP sources
- ACL étendues : pratiquement tous les champs des paquets IP, TCP/UDP et des protocoles (ICMP…)
Définition ACL standard
access-list Numéro Action (deny, permit, remark) Adresse (IP, any, host) Wildcard
Numéro (1 à 99 ou 1300 à 1999 réservés aux ACL standard)
Router(config)#access-list 10 deny 192.168.20.0 0.0.0.255
Router(config)#interface FastEthernet0/1
Router(config-if)#ip access-group 10 in
(IN traffic entrant OUT traffic sortant)
Supprimer l’ACL
Router(config)#no access-list 10 deny 192.168.20.0 0.0.0.255
Ex : Refuser tout trafic entrant venant de la machine 192.168.20.2
Router(config)#access-list 15 deny host 192.168.20.2
Router(config)#access-list 15 permit any
Router(config)#interface FastEthernet0/1
Router(config-if)#ip access-group 15 in
Ex : VLAN 2 et 3 communiquent avec VLAN 10 mais pas ensemble
Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.3.0 0.0.0.255
Router(config)#access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#int fa 0/1.2
Router(config-subif)#ip access-group 2 out
Router(config-subif)#int fa 0/1.3
Router(config-subif)#ip access-group 2 out
Router(config-subif)#int fa 0/1.10
Router(config-subif)#ip access-group 1 out
NAT Network Address Translation
La traduction d’adresse réseau permet de transformer des adresses privées en adresses publiques et d’accéder à Internet à partir d’un poste d’un réseau privé.
Configurer les interfaces Privée INSIDE et Public OUTSIDE
Router(config)#int fa0/0
Router(config-if)#ip nat inside Réseau privé
Router(config-if)#int fa0/1
Router(config-if)#ip nat inside Réseau privé
Router(config-if)#int s0/0/0
Router(config-if)#ip nat outside Réseau public
Créer une ACL indiquant le réseau interne autorisé à utiliser le NAT
Router(config)#access-list 1 permit 192.168.11.0 0.0.0.63
Router(config)#access-list 1 permit 192.168.11.64 0.0.0.15
Router(config)#access-list 1 permit 192.168.12.0 0.0.0.255
Définir une règle de NAT/PAT ou masquage d’adresse
Router(config)#ip nat inside source list 1 interface s0/0/0 overload
Créer une redirection
Router(config)#ip nat inside source static tcp 172.22.200.202 80 200.100.1.1 80
VRRP Virtual Router Redundancy Protocol
Configuration Routeur Master
Router(config-if)#vrrp 1 priority 110
Router(config-if)#vrrp 1 ip 192.168.1.254 IP virtuelle de la plateforme du cluster de routeurs
Configuration Routeur Backup
Router(config-if)#vrrp 1 priority 100
Router(config-if)#vrrp 1 ip 192.168.1.254 IP virtuelle de la plateforme du cluster de routeurs
Configuration VRRP du Routeur Master
Router#show vrrp
FastEthernet0/1 – Group 1
State is Master
Virtual IP address is 192.168.1.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 110
Master Router is 192.168.1.2 (local), priority is 110
Master Advertisement interval is 1.000 sec
Master Down interval is 3.570 sec
Configuration VRRP du Routeur Backup
Router#show vrrp
FastEthernet0/1 – Group 1
State is Backup
Virtual IP address is 192.168.1.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 100
Master Router is 192.168.1.2, priority is 110
Master Advertisement interval is 1.000 sec
Master Down interval is 3.609 sec (expires in 3.245 sec)
VTP VLAN Trunking Protocol
Switch(config)#vtp domain dom
Switch(config)#vtp mode c t
Routage
Routage Statique
Ajouter une route statique
Router(config)# ip route adresseIP_réseau_dest masque prochain saut
Router(config)# ip route 192.168.3.0 255.255.255.0 192.168.2.254
Ajouter une route par défaut
Router(config)# ip route 0.0.0.0 0.0.0.0 prochain saut
Routage Dynamique
RIP Routing Information Protocol
Protocole de routage IP de type vecteur de distances (Vector Distance). Chaque routeur de communiquer aux routeurs voisins la métrique, c’est-à-dire la distance qui les sépare d’un réseau IP déterminé au nombre de sauts (hops).Pour chaque réseau IP connu, chaque routeur conserve l’adresse du routeur voisin dont la métrique est la plus petite. Lorsqu’un routeur reçoit un de ces messages, il incrémente cette distance de 1 et communique le message aux routeurs directement accessibles.
Activer RIP V2
Activer le RIP et préciser la version (version 1 par défaut)
Router(config)# router rip
Router(config)# version 2
Déclarer les réseaux avec lesquels le routeur est en connexion directe
Router(config-router)# network 192.168.5.0
Router(config-router)# network 172.16.0.0
La métrique
Elle est calculée en fonction du nombre de saut pour atteindre la destination. Un saut représente le nombre de routeur que doit traverser la donnée avant d’arriver à destination.
Pour éviter des boucles de routage la métrique maximum est 16, on l’appelle aussi métrique infini. Un domaine de routage RIP ne peut donc pas excéder 15 sauts de routage. C’est l’une des raisons qui limite RIP à de petits réseaux.
La distance administrative
|
Elle représente le protocole, elle est utile dans un réseau utilisant le protocole RIP ainsi que d’autres protocoles comme OSPF, IS-IS, … dans ce cas la valeur de la Distance administrative est plus importante que la métrique. Lorsqu’une même route existe dans plusieurs protocoles, le routage analyse la valeur de la distance administrative pour chercher la valeur la plus faible |
 |
||
Afficher la table de routage du routeur
Router#show ip route
C : Directly connected
R :Route RIP
[Distance administrative/Métrique]
OSPF Open Shortest Path First
Protocole de routage IP de type état de lien (link state).Chaque routeur établit des relations d’adjacence avec ses voisins immédiats en envoyant des messages hello à intervalle régulier. Chaque routeur communique ensuite la liste des réseaux auxquels il est connecté par des messages Link-state advertisements (LSA) propagés de proche en proche à tous les routeurs du réseau. L’ensemble des LSA forme une base de données de l’état des liens Link-State Database (LSDB) pour chaque aire, qui est identique pour tous les routeurs participants dans cette aire. Chaque routeur utilise l’algorithme SPF pour déterminer la route la plus courte vers chacun des réseaux connus dans la LSDB.
Activer OSPF
Router#conf t
Router(config)#router ospf 1
Déclare les réseaux directement connectés au routeur avec leur adresse, wildcard et zone
Router(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router(config-router)#network 192.168.0.0 0.0.0.255 area 0
Router(config-router)#network 192.168.200.0 0.0.0.3 area 0
Router(config-router)#network 192.168.200.4 0.0.0.3 area 0
Le coût
Contrairement à la métrique RIP qui est déterminé par le nombre de sauts, OSPF calcule automatiquement le coût en fonction de la bande passante d’une interface. Plus elle est grande, plus le cout est faible.
La formule de calcul est : Coût de l’interface = bande passante de référence/ bande passante de l’interface
Il faut configurer la vitesse de l’interface pour qu’OSPF choisisse correctement la route :
dans la configuration de l’interface : Router(config-if)#clock rate 64000
ou dans la configuration ospf : Router(config-if)#bandwidth 20000
Afficher la table de routage du routeur
Router#show ip route
C : Directly connected
O : Route OSPF
[Distance administrative/Coût]
Comparaison OSPF/RIP
RIP : + court en distance
OSPF : + court en temps
| RIP | OSPF |
| Calcule la route uniquement en fonction du nombre de sauts
On peut augmenter artificiellement un nombre de sauts pour privilégier une autre route En cas de panne de route, il faut échanger toute la table de routage (long sur réseaux grande distance) |
Calcule la route en fonction du nombre de sauts, du débit, du coût du lien
Moins de surcharge Segmentation possible en zones (area) Adapté aux grands et très grands réseaux Plus rapide à trouver de nouvelles routes |
Frederic Brochier-cendre 