Scribd
Importer
52 vues29 pages

Protocole STP et VPN : Concepts clés

Le document décrit le protocole STP qui empêche les boucles dans les réseaux commutés Ethernet en désactivant certains ports. Il explique également ce qu'est un VPN et donne un exemple de configuration VPN de type remote access.

Transféré par

pifovo3874
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
52 vues29 pages

Protocole STP et VPN : Concepts clés

Le document décrit le protocole STP qui empêche les boucles dans les réseaux commutés Ethernet en désactivant certains ports. Il explique également ce qu'est un VPN et donne un exemple de configuration VPN de type remote access.

Transféré par

pifovo3874
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Spanning tree, VPN

Redsup - Driouech Mohamed Farid


Le protocole STP

STP (Spanning Tree Protocol) est un protocole réseau de couche 2. Il apporte une solution au problème
posé par la présence de boucles dans les réseaux commutés de type Ethernet.
C’est quoi le problème et comment STP le résout

Pour aller d’un point à un autre, un réseau commuté de type Ethernet doit avoir au moins deux chemins :
Un chemin principal et un chemin alternatif au cas où il y a une coupure du chemin principal ou une panne
d’un switch.

La machine PC1 peut communiquer


avec la machine PC2 en empruntant
soit :
● Le chemin SW1-SW2,
● Le chemin SW1-SW3-SW2.
C’est quoi le problème et comment STP le résout

On parle de redondance. En cas de défaillance du meilleur chemin, la communication est basculée sur le
chemin dit alternatif

Mais il y a un problème : Dans le cas d’un réseau commuté de type Ethernet, cette redondance crée des
boucles qui génèrent des tempêtes de diffusion (broadcast storm) .Ces boucles saturent le réseau et
finissent par le paralyser complètement.
C’est quoi le problème et comment STP le résout
Supposons que La machine PC1 envoie une trame à
la machine PC2.
● PC1 a besoin de connaître l’adresse MAC de
PC2,
● Pour connaître l’adresse MAC de PC2, une
requête ARP est envoyée sur l’adresse MAC
de broadcast ff.ff.ff.ff.ff.ff,
● Le switch SW1 voit la trame et la fait sortir
de ses deux ports vers les switchs SW2 et
SW3,
● Le switch SW2 envoie la trame au switch
SW3 et à la station PC2,
● Le switch SW3 envoie la trame aux switchs
SW1 et SW2
Etc…
C’est quoi le problème et comment STP le résout

Il s’agit d’une boucle qui ne finit jamais et qui génère des tempêtes de diffusion ou broadcast storms en
anglais.

Solution : STP nous permet d’avoir un réseau redondant et sans boucles.


Comment fait le protocole STP pour empêcher les
boucles
Le protocole STP utilise des trames de données spéciales appelées BPDU (Bridge Protocol Data Units).
Pour permettre aux switchs d’avoir une trace des changements sur le réseau, des BPDU sont échangées
toutes les deux secondes sur l'adresse multicast 01:80:C2:00:00:00.

Les informations contenues dans les BPDU sont utilisées pour activer ou désactiver les ports selon la
topologie réseau requise. Lorsqu’un switch est connecté au réseau, il commence par envoyer des BPDU
pour déterminer la topologie du réseau, avant de pouvoir transférer des données.
Comment fait le protocole STP pour empêcher les
boucles
Le protocole STP procède en quatre phases :

1. Election du commutateur racine (Root Bridge ou RB) : Le Root Bridge est choisi selon le Bridge
identifier(BID).Le BID d’un switch est constitué de l’adresse MAC et de la priorité de ce switch. La priorité
est un nombre codé sur 12bits (soit une valeur comprise entre 0 et 65535).La priorité est paramétrable
par l’administrateur réseau. Par défaut, elle est égale à 32768 (ou 0x8000 en hexadécimal). Le switch
avec la priorité la plus basse est élu Root Bridge, et en cas d'égalité, c'est le switch dont l'adresse MAC est
la plus basse qui est élu Root Bridge
Comment fait le protocole STP pour empêcher les
boucles
2. Détermination du port racine (Root Port ou RP) sur chaque commutateur : Chacun des switchs
restants détermine parmi ses ports actifs un Root Port. Le Root Port est celui qui possède la distance la
plus courte (le coût ou cost le moins élevé) vers le Root Bridge. Le coût dépend de la bande passante de
chaque lien. Le tableau 1 donne la valeur de quelques liens en fonction du débit.

En cas d'égalité, c'est le port ayant le port ID le plus faible qui sera élu
Comment fait le protocole STP pour empêcher les
boucles
3. Détermination du port désigné (Designated Port ou DP) sur chaque segment : Pour chaque segment
réseau reliant des switchs, un DP (Designated Port) est ensuite déterminé. Le port désigné est le port
relié au segment qui mène le plus directement à la racine (somme totale des coûts des différents
segments traversés est la plus petite).

4. Blocage des autres ports : Les ports qui ne sont ni RP, ni DP sont bloqués (BP : Blocked Port). Un port
bloqué peut recevoir des paquets BPDU mais ne peut pas en émettre.
Exercice STP
Définition - VPN

Le VPN est une technique permettant à un ou plusieurs postes distants de communiquer de manière sûre,
tout en empruntant les infrastructures publiques. Ce type de liaison est apparu suite à un besoin
croissant des entreprises de relier les différents sites
Principe de fonctionnement

Un réseau VPN repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire
circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel

Le principe consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par
la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel
Types de VPN

Site to Site VPN

Permet de relier plusieurs sites distants au sein d'une entreprise.

Mise en œuvre avec des tunnels de niveau 3.

Garantie une authentification au niveau paquet


Types de VPN
Remote access VPN

Permet à des utilisateurs itinérants d'accéder au réseau privé.

L'établissement de la connexion VPN se fait via une connexion Internet.

La connexion est établie entre le client (client vpn) le serveur VPN distant.
Configuration VPN - Remote access

1. Liste d'accès IP étendue (ACL) :

ip access-list extended VPN-ACL

permit ip 172.16.10.0 0.0.0.255 any

exit

ip access-list extended VPN-ACL : Crée une liste d'accès nommée "VPN-ACL" de type étendue.

permit ip 172.16.10.0 0.0.0.255 any : Autorise le trafic IP de tout hôte dans le sous-réseau 172.16.10.0/24 vers
n'importe quelle destination.

exit : Quitte la configuration de la liste d'accès.


Configuration VPN - Remote access

2. Politique d'échange de clés Internet (IKE) :

crypto isakmp policy 10


encryption aes
hash sha
authentication pre-share
group 2
exit
crypto isakmp policy 10 : Crée une politique IKE avec une priorité de 10.
Configuration VPN - Remote access

encryption aes : Utilise AES (Advanced Encryption Standard) pour le chiffrement.

hash sha : Utilise SHA (Secure Hash Algorithm) pour l'authentification de hachage.

authentication pre-share : Utilise une clé pré-partagée pour l'authentification.

group 2 : Utilise le groupe Diffie-Hellman 2 pour l'échange de clés, ce qui implique des clés de 1024 bits.

exit : Quitte la configuration de la politique IKE.


Configuration VPN - Remote access

3. Méthode d'authentification et utilisateur

aaa new-model

aaa authentication login USERS local

aaa authorization network USER-LIST local

username farid password test

aaa new-model : Active le modèle AAA (Authentication, Authorization, and Accounting).

aaa authentication login USERS local : Configure une méthode d'authentification nommée "USERS"
utilisant une base locale.
Configuration VPN - Remote access

aaa authorization network USER-LIST local : Configure une méthode d'autorisation nommée
"USER-LIST" utilisant une base locale.

username farid password test : Crée un utilisateur nommé "farid" avec le mot de passe "test".

4. Pool d'adresses IP pour VPN

ip local pool VPN-POOL 10.10.10.10 10.10.10.100

ip local pool VPN-POOL 10.10.10.10 10.10.10.100 : Définit un pool d'adresses IP locales nommé
"VPN-POOL" avec une plage allant de 10.10.10.10 à 10.10.10.100.
Configuration VPN - Remote access

5. Création d'un groupe VPN et clé

crypto isakmp client configuration group VPN-CLIENT

key vpn123

netmask 255.255.255.0

pool VPN-POOL

acl VPN-ACL

dns 8.8.8.8

max-users 10

exit
Configuration VPN - Remote access

crypto isakmp client configuration group VPN-CLIENT : Crée un groupe de configuration client VPN nommé
"VPN-CLIENT".

key vpn123 : Définit la clé pré-partagée pour le groupe comme "vpn123".

netmask 255.255.255.0 : Définit le masque de sous-réseau pour les clients VPN.

pool VPN-POOL : Associe le pool d'adresses IP "VPN-POOL" au groupe.

acl VPN-ACL : Applique la liste d'accès "VPN-ACL" au groupe.

dns 8.8.8.8 : Définit le serveur DNS pour les clients VPN.

max-users 10 : Limite le nombre maximal d'utilisateurs à 10.

exit : Quitte la configuration du groupe client.


Configuration VPN - Remote access

6. Assignation d'un ensemble de transformation VPN

crypto ipsec transform-set VPN-TRANS esp-aes esp-sha-hmac

exit

crypto dynamic-map VPN-MAP 10

set transform-set VPN-TRANS

reverse-route

exit

En Cisco VPN, un crypto IPsec transform-set est une configuration qui définit comment le trafic sera chiffré et
authentifié lorsqu'il traverse un tunnel VPN IPsec
Configuration VPN - Remote access

Une crypto map (carte de cryptographie) sur un appareil Cisco est une configuration qui lie plusieurs
paramètres de sécurité et politiques à des interfaces pour établir des tunnels VPN IPsec.

Une crypto dynamic-map est une variation de la crypto map standard, utilisée principalement pour les
configurations de VPN où les pairs (endpoints) ne sont pas connus à l'avance ou changent fréquemment

Le concept de reverse route injection (RRI) dans le contexte des crypto dynamic-maps sur les appareils
Cisco est une fonctionnalité qui permet d'ajouter dynamiquement des routes à la table de routage
lorsqu'un tunnel VPN est établi. Cela est particulièrement utile dans des configurations où les pairs VPN
ont des adresses IP dynamiques
Configuration VPN - Remote access

7. Création de la carte VPN

crypto isakmp enable

crypto map VPN-MAP client authentication list USERS

crypto map VPN-MAP isakmp authorization list USER-LIST

crypto map VPN-MAP client configuration address respond

crypto map VPN-MAP 10 ipsec-isakmp dynamic VPN-MAP


Configuration VPN - Remote access

crypto isakmp enable : Active ISAKMP (Internet Security Association and Key Management Protocol).

crypto map VPN-MAP client authentication list USERS : Associe la liste d'authentification "USERS" à la
carte VPN.

crypto map VPN-MAP isakmp authorization list USER-LIST : Associe la liste d'autorisation "USER-LIST"
à la carte VPN.

crypto map VPN-MAP client configuration address respond : Configure la carte VPN pour répondre aux
demandes d'adresses IP des clients.

crypto map VPN-MAP 10 ipsec-isakmp dynamic VPN-MAP : Associe la carte dynamique "VPN-MAP" à
la carte VPN avec une priorité de 10.
Configuration VPN - Remote access

8. Activation du VPN pour l'interface externe

interface ethernet 0/0

crypto map VPN-MAP

interface ethernet 0/0 : Accède à l'interface Ethernet 0/0.

crypto map VPN-MAP : Applique la carte VPN "VPN-MAP" à cette interface, activant ainsi le VPN sur cette
interface.
Lab - Topologie
Solution - Exercice STP

Vous aimerez peut-être aussi