Cours Réseaux IP 2 :

Commutation & Routage

- Partie I -

1
Plan

 Couche transport (protocoles TCP et UDP)

 Couche Application

 Configuration de base d’un routeur

 Réseaux commutés

 Concepts de routage (statique, dynamiques)

 Protocoles de Routage dynamique (RIP, OSPF, .. )

2
La couche transport:
TCP & UDP

3
Rôle de la couche transport

 Le rôle de la couche transport est d'établir une session de

communication temporaire entre deux applications pour acheminer les
données entre elles.
 TCP/IP utilise deux protocoles pour cela :
 TCP (Transmission Control Protocol)
 UDP (User Datagram Protocol)

 Fonctions principales des protocoles de la couche transport :

 Suivre les communications individuelles entre les applications résidant sur
les hôtes source et de destination
 Segmenter les données pour faciliter la gestion et réassembler les
données segmentées en flux de données d'application vers la
destination
 Identifier l'application appropriée pour chaque flux de communication

4
Fonctions de la couche transport

La segmentation des données

 Permet de multiplexer sur le
même
réseau différentes communications
provenant de nombreux utilisateurs.
 Permet d'envoyer et de recevoir
des
données tout en exécutant plusieurs
applications.
 Un en-tête est ajouté à chaque
segment pour l'identifier.
 La segmentation facilite la reprise
sur erreur et la retransmission des
données endommagées.
5
Fiabilité de la couche transport

 La couche transport est également responsable de la gestion des exigences de

fiabilité d'une conversation
 Toutes les applications n'ont pas besoin du même degré de fiabilité.
 TCP/IP fournit deux protocoles de la couche transport, TCP et UDP
utilisés selon le besoin de l’application.
Transmission Control Protocol (TCP)
 Assure un acheminement fiable – Toutes les données arrivent à
destination
 Surcharge le réseau avec les contrôles
User Datagram Protocol (UDP)
 Fournit juste les fonctions de base pour la transmission, sans aucune
garantie ( Moins de surcharge)

6
Séparation des communications multiples

 Les adresses IP désignent les machines

entre lesquelles les communications sont
établies.
 Sur une machine, existe plusieurs

Applications.
 On a besoin d’identifier les processus

applicatif s communicants
 L'adressage de ce processus

(service applicatif) est effectué selon

un concept abstrait: les numéros de ports
 Les numéros de port sont utilisés par

les protocoles TCP et UDP pour

différencier les applications.

7
Adressage de ports TCP et UDP

Processus source et processus destination

sont identifiés chacun par un numéro de
port

la combinaison du numéro de port et de

l'adresse IP de l'hôte identifie de manière
unique un processus d'application (socket)

Une paire de sockets, composée des

adresses IP et numéros de port source et de
destination identifie d’une manière unique
la conversation spécifique entre deux
hôtes.

8
Adressage de ports TCP et UDP

 Ports
réservés: numéros réservés à des services et applications
connus

9
Adressage de ports TCP et UDP

 Ports Inscrits: numéros affectés à des processus ou

applications particulières d'utilisateurs. Aussi utilisés
par les processus client (si non affecté à un service)

 Ports privés ou dynamiques: généralement affectés de

façon dynamique à des applications clientes lorsqu'une
connexion à un service est initiée par un client.

10
Adressage de ports TCP et UDP

Netstat Permet d'examiner les connexions TCP qui sont

ouvertes et actives sur un hôte connecté au réseau
La couche Application

12
Les protocoles de couche application

La couche application fournit l'interface avec le réseau.

13
La couche application

14
Protocoles de couche application TCP/IP

DNS (Domain Name Service) : utilisé pour traduire les adresses

Internet en adresses IP

Telnet : protocole d'émulation de terminal utilisé pour fournir

l'accès distant aux serveurs et aux périphériques réseau

BOOTP (Bootstrap) : précurseur du protocole DHCP utilisé pour

obtenir des informations d'adresse IP pendant le démarrage

DHCP (Dynamic Host control protocol) : utilisé pour attribuer

une adresse IP, un masque de sous-réseau, une passerelle par
défaut et un serveur DNS à un hôte

HTTP (Hypertext Transfer Protocol) : utilisé pour transférer les

fichiers qui constituent les pages du Web

15
Protocoles de couche application TCP/IP

FTP (File Transfer Protocol) : utilisé pour le transfert interactif de

fichiers entre les systèmes

TFTP (Trivial File Transfer Protocol) : utilisé pour le transfert de

fichiers simple et sans connexion

SMTP (Simple Mail Transfer Protocol) : utilisé pour transférer

les e-mails et les pièces jointes

POP (Post Office Protocol) : utilisé par les clients de messagerie

pour récupérer des e-mails sur un serveur de messagerie

IMAP (Internet Message Access Protocol) : un autre protocole

pour la récupération des e-mails

16
Services d’adressage IP

 Besoin:
 Tout ordinateur a besoin de connaître son adresse IP, l’adresse du
routeur, le masque de sous réseau, l’adresse d’un serveur de
noms
 Configuration statique
 Configuration dynamique
 Un utilisateur nomade a besoin d’une adresse IP et d’autres
paramètres de configuration
 Plusieurs protocoles de configuration dynamique: RARP, BootP,
DHCP.
 RARP a des lacunes
 Il ne retourne que l’adresse IP
 Il utilise la diffusion sur la couche liaison de données (les requêtes
RARP ne sont pas propagées plus loin par les routeurs)

17
BootP

 Requiert un nombre suffisant d’adresses IP afin d’allouer à chaque

ordinateur une adresse IP exclusive
 Un serveur BootP dispose d’un fichier de configuration renfermant
la liste des adresses IP des clients (du même réseau)
 Un client BootP envoie son adresse physique vers un serveur
BootP dans un datagramme UDP (s’il ne connaît pas l’adresse du
serveur, il utilise l’adresse de diffusion [Link])
 Le serveur bootP reçoit le datagramme et retourne au client son
adresse IP et un nom de fichier boot, l’adresse du serveur et
d’autres informations
 Le client utilise le TFTP pour démarrer le transfert du fichier de
« boot » depuis le serveur

18
 DHCP

 DHCP apporte des extensions par rapport au BootP

 Permet de passer dans un message UDP plus d’informations
 Permet à un ordinateur d’obtenir une adresse IP de manière dynamique
 Permet à un utilisateur nomade de louer une adresse IP temporaire pour
la durée de connexion
 Trois types d’allocation d’adresses IP
 Configuration manuelle : identique à BootP; utilise une table de
correspondance entre adresse MAC et adresse IP
 Configuration automatique : le serveur DHCP alloue une adresse IP
permanente lorsqu’un ordinateur se raccorde au réseau pour la
première fois
 Configuration dynamique : le serveur DHCP alloue une adresse IP à
un ordinateur pour un temps limité

 BootP et DHCP utilisent UDP

 Port 67 pour le serveur BootP/DHCP
 Port 68 pour le client BootP/DHCP
19
DHCP : le dialogue

1- envoie en diffusion d’une trame renfermant l’adresse [Link] et son adresse MAC
2- réponse des serveurs DHCP avec des propositions de « bails »
3-demande du client indiquant quelle offre il a accepté
4- accusé de réception de bail IP par le serveur DHCP concerné

20
DHCP : Détails sur le bail

 Adresse IP pour le client, durée de validité

 Adresse d’un ou de plusieurs DNS
 Adresse de la passerelle par défaut
 Adresse du serveur DHCP
 …
 Renouvellement automatique de bail quand sa
durée atteint la moitié
 DHCPREQUEST
 DHCPACK

21
DHCP : Agent relais

un agent de relais intercepte les requêtes en broadcast et les transmet à

un serveur DHCP connu de cet agent.

22
Conseils pratiques

 Choisir dans la configuration TCP/IP : obtenir une adresse IP

automatiquement
 ipconfig/all : affiche les détails de la configuration des interfaces
réseau
 Renouvellement manuel d’un bail
 ipconfig /renew : de renouveler le bail
 ipconfig /release : permet de résilier le bail
 Déterminer le nombre de serveurs DHCP nécessaires
 Utilisez plusieurs serveurs DHCP sur un même sous-réseau
 Vérifier que les étendues ne se chevauchent pas
 Réserver des adresses IP pour des clients sur tous les serveurs
DHCP
 Intégrer DHCP aux autres services (WINS, DNS)
 Mettre les routeurs à niveau pour relayer les messages DHCP ou
créer des agents relais DHCP

23
 Network Address Translation (NAT)
 Solution pour la pénurie des adresses IP
 Permet à une machine ayant une adresse IP privée de communiquer
avec d’autres machines sur Internet.
 Principe : changer l’adresse IP privée par une adresse publique
(routable) dans chaque paquet IP

24
NAT statique

 A chaque adresse IP privée, une adresse IP publique est

allouée d’une manière statique
 Nombre d’adresses IP publiques = nombre de machines
 Ne résout pas le problème de pénurie d’adresse IP

25
NAT statique

26
 NAT Dynamique
 La correspondance adresse publique / adresse privée est dynamique
 Nombre d’adresses IP publiques = nombre de machines connectées
 meilleur que le NAT statique

27
 Port address translation (PAT)
 L’utilisation du NAT nécessite un nombre d’adresses publiques égale au
nombre de machines qui se connectent à Internet simultanément
 Ceci n’est pas toujours possible  besoin d’une solution plus efficace
 Une adresse IP publique doit être utilisée par plusieurs machines
simultanément
 Solution : Port address translation (PAT)

28
 IOS Cisco

Configuration de base
de routeurs

29
Routeur Cisco

30
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco

Connexion SSH : accès sécurisé et chiffré

Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco

Configuration d’un routeur

Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco

Adressage IP et interfaces
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Configuration de base de routeur cisco
Présentation des
réseaux commutés

64
Rôle des réseaux commutés

 Le rôle des réseaux commutés a évolué

 Un réseau local (LAN) commuté accroît la flexibilité et
permet la gestion du trafic
 Il prend également en charge des fonctionnalités telles
que la qualité de service, la sécurité renforcée, la prise
en charge de la technologie sans fil et de la
téléphonie IP, et les services de mobilité
La commutation comme concept général

 Un commutateur est un équipement de couche 2

 Un commutateur connecte les périphériques finaux à un
équipement intermédiaire central sur la plupart des
réseaux Ethernet
 Un commutateur prend une décision en fonction du port
d'entrée et de destination
 Un commutateur LAN gère une table qu'il utilise pour
déterminer comment acheminer le trafic
 Les commutateurs LAN transmettent des trames Ethernet
basées sur l'adresse MAC de destination des trames.
 Segmente le réseau (un domaine de collision par port)
Microsegmentation LAN avec commutateurs
Configuration de
réseaux commutés

68
Préparation à la gestion de commutateur de base
Vérification de la config du port de commutateur
Fonctionnement de SSH

 Secure Shell (SSH) est un protocole qui permet de se connecter

de manière sécurisée (connexion chiffrée) à un périphérique
distant via une ligne de commande.
 SSH est généralement utilisé dans les systèmes basés sur UNIX.
 Cisco IOS prend également en charge SSH.
 Il faut disposer d'une version du logiciel IOS comprenant des
fonctions et des fonctionnalités chiffrées pour pouvoir utiliser SSH
sur les commutateurs Catalyst 2960.
 En raison de la fiabilité de ses fonctions de chiffrement, SSH
devrait remplacer Telnet pour les connexions servant à la gestion.
 SSH utilise le port TCP 22 par défaut et Telnet utilise le port TCP
23.
Fonctionnement de SSH
Configuration de SSH
Utilisation du protocole CDP

 CDP est un protocole propriétaire de couche 2 développé

par Cisco. Il sert à détecter les autres périphériques Cisco
qui sont connectés directement.
 Il est conçu pour permettre aux équipements de
configurer automatiquement leurs connexions.
 Si un pirate écoute les messages CDP, il peut apprendre
des informations importantes telles que le modèle de
périphérique et la version du logiciel exécuté.
 Cisco recommande de désactiver le protocole CDP
quand il n'est pas utilisé.
Sécurisation des ports inutilisés

 La désactivation des ports non utilisés est une mesure de sécurité

simple mais efficace.
Sécurité des ports : fonctionnement

 La sécurité des ports restreint le nombre d'adresses MAC

valides autorisées sur un port.
 Les adresses MAC des périphériques légitimes peuvent y
accéder, mais les autres sont refusées.
 Toute tentative supplémentaire pour se connecter avec
des adresses MAC inconnues constitue une violation des
règles de sécurité.
La sécurité des ports : fonctionnement

 Les adresses MAC fiables peuvent être configurées de différentes

manières :
 Adresses MAC statiques sécurisées : configurées et ajoutées
manuellement à la configuration en cours : switchport
port-security mac-address mac-address
 Adresses MAC dynamiques sécurisées : supprimées au
redémarrage du commutateur
 Adresses MAC sécurisées rémanentes : ajoutées à la
configuration en cours et apprises dynamiquement :
commande du mode de configuration d'interface :
switchport port-security mac-address
sticky
La sécurité des ports : modes de violation
 L'IOS détecte une violation des règles de sécurité si :
 Le nombre maximal d'adresses MAC sécurisées a été ajouté
dans la table CAM et un appareil dont l'adresse MAC ne figure
pas dans cette table tente d'accéder à l'interface.

 Trois actions peuvent être entreprises en cas de violation :

 Protéger : aucune notification reçue
 Limiter : notification relative à une violation de sécurité reçue
 Arrêter
 Commande du mode de configuration d'interface
switchport port-security
violation {protect | restrict | shutdown}
Sécurité des ports : configuration

 Failles dans la sécurité dynamique des ports

Sécurité des ports : configuration

 Configuration de la sécurité des ports rémanents

Sécurité des ports : vérification

 Vérification des adresses MAC sécurisées dans la

sécurité des ports
Switch>enable
Switch#Configure terminal
Switch(config)#interface FastEthernet 0/20
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown

82
Implémentation de la
sécurité VLAN

83
Définitions des VLAN

 Un VLAN (réseau local virtuel) est une partition logique d'un

réseau de couche 2.
 Plusieurs partitions peuvent être créées, de sorte qu'il est
possible de faire coexister plusieurs VLAN.
 Chaque VLAN constitue un domaine de diffusion,
généralement avec son propre réseau IP.
 Les VLAN sont isolés les uns des autres et les paquets ne
peuvent circuler entre eux qu'en passant par un routeur.
 La segmentation du réseau de couche 2 a lieu à l'intérieur d'un
périphérique de couche 2, généralement un commutateur.
 Les hôtes regroupés dans un VLAN ignorent l'existence de
celui-ci.
Définitions des VLAN
Avantages des VLAN

 Sécurité
 Réduction des coûts
 Meilleures performances
 Diminution des domaines de diffusion
 Simplification de la gestion des projets et des applications
Types de VLAN

 VLAN de données
 VLAN par défaut
 VLAN natif
 VLAN de gestion
Types de VLAN
Trunks de VLAN

 Un trunk de VLAN achemine le trafic de plusieurs VLAN.

 Il est généralement établi entre des commutateurs pour
permettre aux périphériques du même VLAN de
communiquer même s'ils sont physiquement connectés à
des commutateurs différents.
 Un trunk de VLAN n'est associé à aucun VLAN. Aucun port
trunk n'est utilisé pour établir la liaison trunk.
 Cisco IOS prend en charge la norme IEEE802.1q, un
protocole de trunk de VLAN très répandu.
Contrôle des domaines de diffusion à l'aide des VLAN

 Les VLAN peuvent être utilisés pour limiter la portée

des trames de diffusion.
 Un VLAN est un domaine de diffusion à part entière.
 Par conséquent, une trame de diffusion envoyée par un
périphérique d'un VLAN donné est transmise au sein
de ce VLAN uniquement.
 Cela permet de contrôler la portée des trames de
diffusion et leur impact sur le réseau.
 Les trames de monodiffusion et de multidiffusion sont
également transmises dans le VLAN d'où elles ont été
émises.
VLAN à commutateurs multiples: Trunks de VLAN
Étiquetage des trames Ethernet pour l'identification des VLAN

 L'étiquetage des trames est utilisé pour transmettre correctement

plusieurs trames VLAN via une liaison trunk.

 Les commutateurs étiquettent les trames pour identifier le VLAN auquel

elles appartiennent. Il existe différents protocoles d'étiquetage, IEEE
802.1q étant le plus répandu.

 Le protocole définit la structure de l'en-tête d'étiquetage ajouté à la trame.

 Les commutateurs ajouteront des étiquettes VLAN aux trames avant de

les placer dans les liaisons trunk. Ils les enlèveront avant de transmettre
les trames via les autres ports (non trunk).

 Une fois qu'elles sont correctement étiquetées, les trames peuvent

traverser n'importe quel nombre de commutateurs via les liaisons trunk.
Elles resteront dans le VLAN approprié pour atteindre leur destination.
 Agrégation 802.1 Q

Trame Ethernet modifiée

 Le commutateur reçoit une trame sur un port configuré en mode accès

 Il décompose la trame et insère une étiquette VLAN
 Il recalcule la séquence de contrôle de trame, puis envoie la trame étiquetée via un port
d’agrégation.
À la réception de la trame étiquetée, le commutateur repaire les machines concernées par
la trame, élimine l’étiquette et leur envoie la trame.
Création d'un VLAN
Attribution de ports aux VLAN
Attribution de ports aux VLAN
Modification de l'appartenance des ports aux VLAN
Suppression de VLAN
Vérification des informations VLAN
Configuration des liaisons trunk IEEE 802.1q
Routage Inter-Vlan

Une liaison agrégée 802.1Q prend en charge plusieurs Vlans en

utilisant une seule interface physique mais plusieurs interfaces
logiques
Sous interfaces et Vlans
Comparaison d’interface et de sous interfaces de routeur
Configuration de sous-interface d’un routeur

Routeur R1

R1(config)# interface g0/1.10

R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ip address [Link] [Link]
R1(config-subif)# exit

R1(config)# interface g0/1.20

R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# ip address [Link] [Link]
R1(config-subif)# exit

R1(config)# interface g0/1

R1(config-if)# no shutdown