EtherChannel

EtherChannel : • Est une technologie d’agrégation de liens qui permet d’assembler plusieurs liens physiques Ethernet identiques en un seul
lien logique, afin d’augmenter la vitesse et la tolérance aux pannes.
 Avantages de l'EtherChannel :
• Augmentation de la bande passante : Regroupe plusieurs liens physiques en un seul lien logique.
• Réduction des coûts : Exploite les liaisons existantes pour augmenter la bande passante sans nécessiter d'investissements coûteux.
• Tolérance aux pannes : La perte d’un lien physique n’affecte pas la topologie globale.
• Gestion simplifiée : Configuration centralisée sur l’interface EtherChannel au lieu de chaque port individuellement.
• Équilibrage de charge : Répartit efficacement le trafic entre les liens du même EtherChannel.
 Les restrictions d'implémentation :
• Les types d'interfaces différentes ne peuvent pas être associés.
• Limitation à 8 ports maximum par EtherChannel.
• Support limité à 6 EtherChannels sur certains commutateurs.
• Nécessité de cohérence dans la configuration des ports sur les deux périphériques.
 Inconvénients :
• Complexité de configuration, particulièrement dans les grands réseaux.
• Une panne ou une mauvaise configuration peut affecter tout le groupe.
• Déséquilibre possible dans la répartition du trafic.
• Dépendance aux protocoles comme LACP ou PAgP.
 Protocole de négociation automatique :
1) PAgP (Port Aggregation Protocol) : • Est un protocole propriétaire de Cisco qui aide à la création automatique de liens EtherChannel,
utilisé uniquement sur ses appareils.
2) LACP (Link Aggregation Control Protocol) : • Un protocole standard (IEEE 802.3ad) qui prend en charge la compatibilité entre différents
appareils, permettant la création automatique des liens EtherChannel, en regroupant plusieurs ports physiques pour former un seul canal
logique.
 Les modes de PAgP sont les suivants :
PAgP desirable (désirable) : • Mode de négociation actif où l’interface initie des négociations avec d'autres interfaces en envoyant des
paquets PAgP.
PAgP Auto : • Mode de négociation passif où l’interface répond aux paquets PAgP qu’elle reçoit mais sans initier de négociation.
 Les modes de LACP sont les suivants :
LACP Active (Actif) : • Mode de négociation actif où l’interface initie des négociations avec d'autres interfaces en envoyant des paquets
LACP.
LACP Passive (Passif) : • Mode de négociation passif où l’interface répond aux paquets LACP qu’elle reçoit mais sans initier de négociation.
 EtherChannel sans Protocoles de négociation (Statique ou inconditionnel) :
Mode On (Activé) : • Ce mode force l’interface à configurer un Canal EtherChannel statique ou inconditionnel sans utiliser les protocoles
PAgP ou LACP.
 Compatibilité des Modes PAgP :
S1 S2 Établissement de canal
On (activé) Desirable / Auto Non
Auto Auto Non
On (activé) On (activé) Oui
... ... Oui

 Compatibilité des Modes LACP :

S1 S2 Établissement de canal
On (activé) Active / Passive Non

Passive Passive Non

On (activé) On (activé) Oui
... ... Oui

 Conditions pour EtherChannel :

• Toutes les interfaces doivent prendre en charge EtherChannel.
• Même vitesse pour toutes les interfaces.
• Mode Full Duplex activé sur toutes les interfaces.
• Toutes les interfaces doivent appartenir au même VLAN.
 Configuration d’EtherChannel :
• Ajouter une interface à un groupe EtherChannel et définir le mode d'opération : S1(config)# interface range fa0/1 - 2
S1(config-if-range)# channel-group [1 - 6] mode [ auto | desirable | on | active | passive ]
• Configurer la vitesse et le mode Duplex des interfaces : S1(config)# interface range fa0/1 – 2  S1(config-if-range)# speed 100
S1(config-if-range)# duplex full
 Vérification d'EtherChannel :
• Afficher l'état global de toutes les interfaces EtherChannel configurées sur le switch : S1# show interfaces etherchannel
• Afficher l'état global de l'interface EtherChannel : Switch1# show interface port-channel 1
• affiche une ligne d'informations par canal de port : Switch1# show etherchannel summary
• Vérifier la méthode de répartition de charge (load-balancing) utilisée par l'EtherChannel : Switch1# show etherchannel load-balance
• Afficher les informations générales pour une interface de canal spécifique : Switch1# show etherchannel port-channel
• Vérifier les informations des voisins fonctionnant avec les protocoles PAgP ou LACP : S1# show [ pagp | lacp ] neighbors
 DTP (Dynamic Trunking Protocol)
 DTP : • Est un protocole utilisé dans les réseaux pour négocier automatiquement et configurer les liaisons entre les commutateurs
(switches) afin de déterminer si un port doit fonctionner en mode trunk (pour transporter plusieurs VLANs) ou en mode access (pour
transporter un seul VLAN) .

 Les avantages de DTP :

• Configuration automatique des liens trunk.
• Réduction des erreurs de configuration manuelle.
• Flexibilité grâce aux modes Dynamic Auto et Desirable.
 Les inconvénients de DTP :
• Risques de sécurité (création de trunks non autorisés).
• Nécessité de désactivation manuelle dans certains cas (switchport nonegotiate).
• Peut causer des incompatibilités avec des équipements non Cisco.

 Les modes DTP principaux :

• Mode Access : Utilisé lorsque vous souhaitez configurer un port pour qu'il appartienne à une seule VLAN. Le port ne transmettra que le
trafic de cette VLAN spécifique, généralement utilisé pour les appareils terminaux comme les ordinateurs ou les imprimantes.
• Mode Trunk : Utilisé pour configurer un port afin de transmettre le trafic de plusieurs VLANs simultanément. Ce mode est souvent utilisé
pour les connexions entre commutateurs ou entre un commutateur et un routeur, permettant de faire passer plusieurs VLANs sur un seul
lien.
• Mode Dynamic auto : Utilisez ce mode si vous souhaitez que le port devienne un trunk uniquement lorsque l'autre port le demande, sans
qu'il prenne l'initiative de la négociation. Le trunk sera établi si le port adjacent est configuré en mode trunk ou desirable, mais il ne sera pas
créé si les deux ports sont en mode auto. Ce mode est la configuration par défaut sur les commutateurs modernes.
• Mode Dynamic desrible : Il est utilisé lorsque vous souhaitez que le port prenne l'initiative de devenir un trunk de manière proactive. Le
port négocie automatiquement pour devenir un trunk si le port adjacent est configuré en mode trunk, auto ou desirable. Ce mode est le
paramètre par défaut sur les anciens commutateurs.

Remarque : la commande (S1(config-if)# switchport nonegotiate) Il permet de désactiver le protocole DTP et s'utilise lorsque vous souhaitez
configurer manuellement le port en mode trunk sans avoir besoin de négociations automatiques avec le port adjacent.

 Résultats d'une configuration du protocole DTP :

• Les options de configuration du protocole DTP sont les suivantes :
Dynamique Dynamique Trunk Accès
Automatique souhaitable
Dynamique Accès Trunk Trunk Accès
Automatique
Dynamique Trunk Trunk Trunk Accès
souhaitable
Trunk Trunk Trunk Trunk Connectivité
limitée
Accès Accès Accès Connectivité Accès
limitée

 Les commandes utilisées :

• Configurer une interface en mode Access (liaison pour un seul VLAN) :

S1# (config)# interface g0/0
S1# (config-if)# switchport mode access
• Configurer une interface en mode Trunk (liaison pour plusieurs VLANs) :
S1# (config-if)# switchport mode trunk
• Configurer une interface en mode Dynamic Auto (attente d'une demande de trunking) :
S1# (config-if)# switchport mode dynamic auto
• Configurer une interface en mode Dynamic Desirable (initier le trunking) :
S1# (config-if)# switchport mode dynamic desirable
• Désactiver la négociation DTP sur une interface Trunk :
S1# (config)# interface f0/0
S1# (config-if)# switchport mode trunk
S1# (config-if)# switchport nonegotiate
• Pour afficher l'état de DTP sur un port spécifique, Cet ordre permet de visualiser l'état actuel du protocole DTP sur une interface donnée :
S1# show dtp interface F0/0
• Afficher les informations de configuration du port (état DTP inclus) :
S1# show interfaces switchport
 NAT – PAT
NAT (Network Address Translation) : • Le NAT est une technique qui permet de traduire les adresses IP privées d'un réseau interne en
adresses IP publiques pour permettre la communication avec des réseaux externes, comme Internet.
PAT (Port Address Translation) : • Le PAT est une variante du NAT qui utilise une seule adresse IP publique pour plusieurs appareils internes
en distinguant les connexions grâce aux numéros de port.

 Les types de NAT :

• NAT statique : Associe une adresse IP privée à une adresse IP publique de manière fixe.
• NAT dynamique : Associe une adresse IP privée à une adresse IP publique fixée. On peut l'utiliser lorsque plusieurs machines doivent
accéder à Internet, mais que les adresses publiques sont limitées.

 Les avantages NAT / Le rôle NAT :

• Augmente la souplesse des connexions aux réseaux publics.
• Elle garantit la sécurité.
• Cohérence des schémas d’adressage du réseau interne.

 Les inconvénients NAT :

• Perte de la traçabilité IP de bout en bout.
• L’adressage de bout en bout est perdu.
• Complexité de la transmission tunnel.

 Configuration de NAT statique :

• Créer une règle NAT statique :
Router(config)# ip nat inside source static [IP privée] [IP publique]
• Configurer les interfaces internes et externes :
Router(config)# interface [nom interface intérieure]
Router(config-if)# ip nat inside
Router(config)# interface [nom interface extérieure]
Router(config-if)# ip nat outside

 Configuration de NAT dynamique :

• Créer un pool d'adresses publiques :
Router(config)# ip nat pool [nom du pool] [début_IP] [fin_IP] netmask [masque]
• Définir une liste d'accès pour identifier le trafic à traduire :
Router(config)# access-list [numéro ACL] permit [réseau privé] [masque générique]
• Associer la liste d'accès au pool NAT :
Router(config)# ip nat inside source list [numéro ACL] pool [nom du pool]
• Configurer les interfaces internes et externes :
Router(config)# interface [nom interface intérieure]
Router(config-if)# ip nat inside
Router(config)# interface [nom interface extérieure]
Router(config-if)# ip nat outside

 Configuration de PAT (Port Address Translation) :

• Configurer le PAT pour une seule adresse publique :
Router(config)# ip nat inside source list [numéro ACL] interface [nom interface extérieure] overload
• Créer une liste d'accès pour identifier le trafic à traduire :
Router(config)# access-list [numéro ACL] permit [réseau privé] [masque générique]
• Configurer les interfaces internes et externes :
Router(config)# interface [nom interface intérieure]
Router(config-if)# ip nat inside
Router(config)# interface [nom interface extérieure]
Router(config-if)# ip nat outside

 Vérification de la configuration NAT et PAT :

• Afficher les traductions NAT actives :
Router# show ip nat translations
• Afficher les statistiques NAT :
Router# show ip nat statistics
• Effacer toutes les traductions NAT actuelles :
Router# clear ip nat translation *
 DHCP (Dynamic Host Configuration Protocol)
 DHCP : • Protocole réseau permettant une configuration automatique des paramètres essentiels (adresse IP, masque, passerelle, DNS)
pour les appareils clients via un serveur DHCP.

 SLAAC : Un mécanisme dans IPv6 qui permet aux appareils de configurer automatiquement leurs adresses IP à l'aide des messages des
routeurs, sans besoin d'un serveur DHCP.

 Les avantages :
• Attribution automatique des adresses.
• Réduction des erreurs de configuration.
• Gestion facile du réseau.
• Flexibilité de réattribution.
 Les inconvénients :
• En cas de panne du serveur DHCP, les appareils peuvent perdre la connexion au réseau.
• Risques de sécurité.
• Problèmes liés à la durée du bail.
Fonctionnement de DHCPv4 :
 Étapes pour obtenir un bail :
• Découverte DHCP (DHCP DISCOVER) : Le client émet une requête en diffusion pour rechercher un serveur DHCP.
• Offre DHCP (DHCP OFFER) : Le serveur DHCP envoie une offre précisant l'adresse IP disponible.
• Demande DHCP (DHCP REQUEST) : Le client demande officiellement l'acceptation de l'offre proposée.
• Accusé de réception DHCP (DHCP ACK) : Le serveur confirme l'acceptation et attribue l'adresse.
 Avant l'expiration du bail :
• Avant l'expiration du bail le client commence un processus en deux étapes pour renouveler le bail avec le serveur DHCPv4 :
1) Requête DHCP (DHCPREQUEST) : Le client envoie une requête DHCPREQUEST au serveur qui a fourni l'adresse IPv4.
2) Accusé de réception DHCP (DHCPACK) : À la réception du message DHCPREQUEST, le serveur vérifie les informations relatives au bail et
répond par un DHCPACK.
• Remarque: ces messages (principalement DHCPOFFER et DHCPACK) peuvent être envoyés sous forme de monodiffusion (Unicast) ou de
diffusion(Broadcast).
 Lorsqu'un bail expire : • le serveur DHCP renvoie l'adresse au pool où elle peut être réattribuée selon les besoins.

Fonctionnement de DHCPv6 :
 Affectation GUA dynamique:
 Avec état (Stateful) : • L'attribution des adresses IPv6 est gérée par un serveur DHCPv6.
1) Serveur DHCPv6 :
• L'appareil dépend du serveur DHCPv6 pour la gestion et l'attribution de toutes les configurations d'adresses IPv6. • Le dispositif est dirigé
vers le serveur DHCPv6 à travers des messages RA(Router Advertisement) envoyés par le routeur. • Les informations sur la passerelle par
défaut sont obtenues via les messages RA, tandis que les autres configurations IPv6 sont fournies par le serveur DHCPv6.

 Sans état (Stateless) : • Aucun dispositif ne suit le processus d'attribution des adresses IPv6.
1) Uniquement SLAAC :
• Le routeur envoie des messages RA(Router Advertisement) contenant toutes les informations nécessaires à la configuration des adresses
IPv6 (préfixe réseau, longueur du préfixe et adresse de la passerelle par défaut).
• Les dispositifs utilisent les informations des messages RA pour créer leurs propres adresses globales uniques (GUA).
2) SLAAC avec serveur DHCP :
• Les messages RA du routeur fournissent des informations de configuration IPv6 de base et demandent aux dispositifs de contacter un
serveur DHCPv6 sans état pour obtenir des informations de configuration supplémentaires (le serveur DNS...). • Les dispositifs utilisent les
informations RA pour générer leurs adresses globales uniques (GUA) et obtiennent des informations supplémentaires auprès du serveur
DHCPv6.

 Étapes du fonctionnement de DHCPv6 Sans état ou DHCPv6 avec état :

1) Router Solicitation (RS) : • L'hôte envoie un message RS au routeur pour demander les paramètres disponibles du réseau.
2) Router Advertisement (RA) : • Le routeur répond avec un message RA contenant les informations sur la configuration du réseau.
3) Message de sollicitation (Solicit) : • Le client envoie un message Solicit en multicast pour rechercher un serveur DHCPv6 disponible.
4) Message d'offre (Advertise) : • Les serveurs DHCPv6 répondent avec un message Advertise indiquant leurs disponibilités et
configurations.
5) Message de demande (Request) : • Le client choisit un serveur parmi ceux qui ont répondu et envoie un message Request pour obtenir
les informations nécessaires.
6) Message de confirmation (Reply) : • Le serveur sélectionné répond avec un message Reply confirmant l'attribution des informations
nécessaires.

 Étapes du fonctionnement avec SLAAC uniquement :

1) Router Solicitation (RS) : • L'hôte envoie un message RS au routeur pour demander les informations sur le réseau.
2) Router Advertisement (RA) : • Le routeur répond avec un message RA contenant les informations du réseau. L'hôte utilise ces
informations pour configurer automatiquement son adresse IP basée sur le préfixe annoncé dans le message.
  Commandes de configuration de DHCPv4 :
• Exclusion d'adresses IPv4: R1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9
• Définir un nom de pool DHCPv4 ( LAN-1 ):
R1(config)# ip dhcp pool LAN-1
R1(dhcp-config)# network 192.168.1.0 255.255.255.0 (Définir le pool d'adresses)
R1(dhcp-config)# default-router 192.168.1.1 (Définir le routeur ou la passerelle par défaut)
R1(dhcp-config)# dns-server 8.8.8.8 (Définir un serveur DNS)
R1(dhcp-config)# domain-name google.com (Définir le nom de domaine)
R1(dhcp-config)# netbios-name-server [address] (Définir le serveur WINS NetBIOS)
• Définir la durée du bail DHCP (Ex: 2 days et 9 hours et 30 minutes) OR (infinite):
R1(config)# ip dhcp pool LAN-1
R1(dhcp-config)# lease 2 9 30 OR R1(dhcp-config)# lease infinite
• Définir l'adresse du serveur DHCP situé sur un réseau différent, pour rediriger les messages de diffusion (DHCP Discover) vers ce serveur :
R2(config)# interface g0/0/0 (l'interface connectée aux appareils qui envoient des requêtes DHCP)
R2(config-if)# ip helper-address 192.168.3.2 ( 192.168.3.2  l'adresse IP du serveur DHCP)
• Définir une adresse IP attribuée dynamiquement via DHCP : R1(config)# interface g0/0  R1(config-if)# ip address dhcp
• Affiche les commandes DHCPv4 configurées sur le routeur: R1# show running-config | section dhcp
• Affiche une liste de toutes les liaisons entre les adresses IPv4 et les adresses MAC fournies par le service DHCPv4:
R1# show ip dhcp binding
• Affiche les informations de comptage concernant le nombre de messages DHCPv4 qui ont été envoyés et reçus:
R1# show ip dhcp server statistics
• Afficher les adresses IP en double attribuées par le serveur DHCP: R1# show ip dhcp conflict 10.0.2.12
• affiche les paramètres TCP/IP sur un poste client: PC1# ipconfig /all
• Le service DHCPv4 est activé par défaut, Pour désactiver le service: Router(config)# no service dhcp

 Commandes de configuration de DHCPv6 :

• Activer le routage IPv6 : R1(config)# ipv6 unicast-routing
• Configurer le routeur client pour créer un LLA: R1(config)# interface g0/0/1  R1(config-if)# ipv6 enable
• Configurer une adresse Link-Local (LLA) sur une interface spécifique : R1(config)# interface g0/0/0
R1(config-if)# ipv6 address fe80::1 link-local  R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# no shutdown
• Configure cette interface de (R2) comme relais DHCPv6 en spécifiant l'adresse du serveur DHCPv6 distant (R1):
R2(config-if)# ipv6 dhcp relay destination 2001:db8:acad:1::1 g0/0/0 (2001:db8:acad:1::1 ==> adresses IP de l’interface G0/0/0 sur R1)
R2(config-if)# ipv6 nd managed-config-flag

 DHCPv6 sans état (Stateless DHCPv6):

• Crée un pool DHCPv6 nommé sirius: R1(config)# ipv6 dhcp pool sirius
R1(config-dhcp)# dns-server 2001:db8:acad::254 (Définit l'adresse IPv6 du serveur DNS)
R1(config-dhcp)# domain-name sirius.com (Spécifie le nom de domaine)
• Activer DHCPv6 sans état sur une interface: R1(config)# interface g0/0/1
R1(config-if)# ipv6 nd other-config-flag (les informations supplémentaires(DNS, domaine) doivent être obtenues via DHCPv6)
• Associer le pool à une interface: R1(config)# interface g0/0/1  R1(config-if)# ipv6 dhcp server sirius
• Configurez le routeur client pour qu'il utilise SLAAC : R1(config)# interface g0/0/1  R1(config-if)# ipv6 address autoconfig
• Modifiez manuellement l'indicateur A de 1 à 0 à l'aide de la commande d'interface: R1(config)# interface g0/0/1
R1(config-if)# ipv6 nd prefix default no-autoconfig (Pour informer le client de ne pas utiliser SLAAC pour créer une GUA)

 DHCPv6 avec état (Stateful DHCPv6):

• Crée un pool DHCPv6 nommé sirius: R1(config)# ipv6 dhcp pool sirius
R1(config-dhcp)# address prefix 2001:db8:acad:3::/64 (Définit le préfixe IPv6 qui sera attribué dynamiquement aux clients)
R1(config-dhcp)# dns-server 2001:db8:acad::254
R1(config-dhcp)# domaine-name sirius.com
• Activer DHCPv6 avec état sur une interface: R1(config)# interface g0/0/1
R1(config-if)# ipv6 nd managed-config-flag (toutes les informations d'adressage (adresses IP, DNS, ...) doivent être obtenues via DHCPv6)
R1(config-if)# ipv6 dhcp server sirius
• Configurez le routeur client pour utiliser DHCPv6: R1(config)# interface g0/0/1  R1(config-if)# ipv6 address dhcp

 Commandes de vérification du serveur DHCPv6 :

• Vérifie que le routeur client a reçu d'autres informations DHCPv6 nécessaires: R1# show ipv6 dhcp interface g0/0/0
• Pour afficher l'adresse link-local IPv6 du client et l'adresse de monodiffusion globale attribuée par le serveur:
R1# show ipv6 dhcp binding
• Vérifie le nom du pool DHCPv6 et ses paramètres. La commande identifie également le nombre de clients actifs:
R1# show ipv6 dhcp pool
• Vérifiez que le routeur client reçoit une GUA: R# show ipv6 interface brief
• Vérifiez que les hôtes ont reçu des informations d'adressage IPv6: PC1# ipconfig /all

• Désactiver le service DHCPv6: Router(config)# no ipv6 dhcp server

 ACL
ACL (Access Control List) : • Est une liste d'instructions destinées à autoriser ou à refuser les données. Ils sont utilisés pour filtrer le trafic
sur les réseaux.

 Types d'ACL :
• ACL standard : Filtre basé uniquement sur l'adresse IPv4 source à la couche 3.
• ACL étendue : Filtre à la couche 3 et 4 en utilisant l'adresse IPv4 source/destination, les ports TCP/UDP et les types de protocole pour un
contrôle précis.

 Avantages :
• Contrôle précis du trafic réseau.
• Renforcement de la sécurité.
• Flexibilité dans la gestion des accès.
 Inconvénients :
• Complexité accrue avec de nombreuses règles.
• Impact potentiel sur les performances.
• Risque d’erreurs de configuration.

 Utilisation :
Réseaux : • Contrôle du trafic réseau dans les routeurs et pare-feu.
Systèmes d'exploitation : • Gestion des permissions de fichiers et dossiers.
Applications web : • Définition des rôles et des permissions utilisateur.
Bases de données : • Contrôle d'accès aux tables ou colonnes spécifique.
 Plages de numéros d'ACL :
ACL standard : Numéros compris entre [ 1-99 et 1300-1999 ].
ACL étendue : Numéros compris entre [ 100-199 et 2000-2699 ].

 Configuration des ACL standard:

• Créer une ACL standard numérotée pour autoriser(permit) ou refuser(deny) un trafic basé uniquement sur l'adresse IP source :
Router(config)# access-list [numéro ACL] [permit | deny] [ adresse IP source ] [ masque générique ]
Router(config)# access-list [numéro ACL] [permit | deny] [ any ]
• Créer une ACL standard nommée pour une gestion simplifiée et ajouter des règles de filtrage:
Router(config)# ip access-list standard [nom ACL]
Router(config-std-nacl)# [permit | deny] [ adresse IP source ] [ masque générique ]
Router(config-std-nacl)# [permit | deny] [ any ]
• Associer une ACL standard à une interface pour contrôler le trafic entrant(in) ou sortant(out) :
Router(config)# interface [nom interface]
Router(config-if)# ip access-group [numéro ou nom ACL] [in | out]

 Configuration des ACL étendue:

• Créer une ACL étendue numérotée pour autoriser ou refuser un trafic en fonction du protocole:
Router(config)# access-list [numéro ACL] [permit | deny] [protocole] [adresse IP source] [masque générique] [adresse IP destination]
[masque générique] [options supplémentaires]
Router(config)# access-list [numéro ACL] [permit | deny] [protocole] [ any ] [ any ] [options supplémentaires]
• Créer une ACL étendue nommée pour une gestion simplifiée et ajouter des règles de filtrage:
Router(config)# ip access-list extended [nom ACL]
Router(config-ext-nacl)# [permit | deny] [protocole] [adresse IP source] [masque générique] [adresse IP destination] [masque générique]
[options supplémentaires]
Router(config-ext-nacl)# [permit | deny] [protocole] [ any ] [ any ] [options supplémentaires]
• Définir une règle de filtrage (ACL étendue) pour autoriser ou refuser un trafic basé sur un port spécifique :
Router(config)# ip access-list extended [nom ACL]
Router(config-ext-nacl)# [permit | deny] [protocole] [any] [any] eq [numéro port]
• Associer une ACL étendue à une interface pour contrôler le trafic entrant(in) ou sortant(out) :
Router(config)# interface [nom interface]
Router(config-if)# ip access-group [numéro ou nom ACL] [in | out]
 Vérification des ACL:
• Affiche des statistiques pour chaque instruction qui a été mise en correspondance:
Router# show access-lists
• Afficher les détails d'une ACL spécifique :
Router# show access-lists [numéro ou nom ACL]
• Afficher uniquement les ACL liées à IPv4 :
Router# show ip access-lists

 Autres commandes:
• Appliquez l'ACL au trafic entrant sur les lignes vty:
Router(config-line)# access-class [access-list-number | access-list-name] [in | out]
• Supprimer une ACL numérotée existante (standard ou étendue) :
Router(config)# no access-list [numéro ACL]
• Pour effacer les statistiques ACL:
Router# clear access-list counters [Access list number | Access list name]
OSPF (Open Shortest Path First)
 OSPF : • Un protocole de routage à état de liens développé comme alternative au protocole RIP. Il offre une convergence rapide et prend
en charge l’évolutivité grâce à l’utilisation de zones, ce qui l’adapte mieux aux réseaux de plus grande taille.
 Les avantages d'OSPF :
• Convergence rapide.
• Support de l'authentification.
• Métrique basée sur la bande passante.
• Évolutivité grâce à l'utilisation de zones.
 Les inconvénients d'OSPF :
• Plus complexe à configurer et à gérer.
• Consommation élevée de ressources (mémoire et CPU).
• Vulnérabilités possibles sans authentification correctement configurée.
 Types de paquets OSPF :
• Hello : Découvre les voisins et crée des contiguïtés entre eux.
• DBD (Database Description) : Vérifie la synchronisation de la base de données entre les routeurs.
• LSR (Link-State Request) : Demande des enregistrements d'état de liens spécifiques d'un routeur à un autre.
• LSU (Link-State Update) : Envoie les enregistrements d'état de liens spécifiquement demandés.
• LSAck (Link-State Acknowledgment) : Reconnaît les autres types de paquet.
• Remarque : Ces paquets servent à détecter les routeurs voisins et à échanger des informations de routage pour garantir l'exactitude
des informations relatives au réseau.

 Bases de données OSPF :

• Base de données de contiguïté : (Table de voisinage), Répertorie tous les routeurs voisins avec lesquels un routeur a établi une
communication bidirectionnelle. Cette table est unique pour chaque routeur.
• Base de données d'états de liens (LSDB) : (Table topologique), Liste des informations relatives à tous les autres routeurs du réseau. Cette
base de données représente le réseau, et tous les routeurs au sein d'une même zone possèdent une LSDB identique.
• Base de données de réacheminement : (Table de routage), Liste de routes générée à partir d’un algorithme basé sur la LSDB. La table
de routage de chaque routeur est unique et indique comment et où envoyer les paquets vers les autres réseaux.
 Fonctionnement de l’état de liens :
 Les étapes de routage d'état de lien qui sont effectuées par un routeur pour mettre à jour les informations de routage:
• Établissement des contiguïtés de voisinage. / • Échange d'annonces à état de liens. / • Créer la base de données de l'état des liens. / •
Exécution de l'algorithme SPF. / • Choisissez la meilleure route.

 les modes de fonctionnement d'OSPF ( OSPF à Zone Unique et OSPF à Zones Multiples ):
 (1) OSPF à Zone Unique : • Tous les routeurs sont dans une zone. La meilleure pratique consiste à utiliser la zone 0. Cette approche
est simple et adaptée aux petits réseaux.
 Les inconvénients d'une conception à zone unique :
• Peu adaptée aux réseaux de grande taille.
• Augmentation de la taille des tables de routage avec la croissance du réseau.
• Charge accrue des mises à jour de l'état des liens dans les grands réseaux.
 (2) OSPF à Zones Multiples : • le protocole OSPF est mis en œuvre à l'aide de plusieurs zones, de façon hiérarchique. Toutes les
zones doivent se connecter à la zone de réseau fédérateur (zone 0). Les routeurs qui relient les zones entre elles sont des routeurs ABR
(Area Border Router).
 Les avantages d'une conception à zones multiples :
• Tables de routage plus petites.
• Réduction de la charge de mise à jour des états de liens.
• Réduction de la fréquence des calculs SPF.
 Les Couches Hiérarchiques dans OSPF à Zones Multiples:
• Zone Fédératrice (Transit) : Une zone centrale OSPF (appelée zone 0) dont la fonction principale est de transporter les paquets entre
les autres zones.
• Zone Normale (Non-Fédératrice) : Une zone qui connecte les utilisateurs et les ressources, nécessitant le passage par la zone
fédératrice pour communiquer avec d'autres zones.
 Types de Routeurs dans OSPF à Zones Multiples :
• Routeur interne : Gère le routage uniquement au sein d'une seule zone (Area) sans communiquer avec d'autres zones.
• Routeur fédérateur (Backbone Router) : Situé dans la zone centrale (Area 0), il connecte et coordonne les échanges entre les autres
zones.
• Routeur ABR (Area Border Router) : Assure la connexion entre plusieurs zones (Areas) et transfère les informations de routage entre
elles.
• Routeur ASBR (Autonomous System Boundary Router) : Connecte OSPF à d'autres systèmes de routage externes et échange les routes
avec eux.

 États opérationnels OSPF :

• État Down / • État Init / • État Two-Way / • État ExStart / • État Exchange / • État Loading / • État Full
.
 les critères de choix DR et BDR: + Priorité OSPF la plus élevée.
+ L'ID du routeur le plus élevé, déterminé par : L'adresse IP Loopback la plus élevée (si elle existe) OU L'adresse IP de l’interface la plus
élevée si aucune Loopback n’est configurée.
 Les types réseaux OSPF : Point à point. / accès multiple.
DR (Designated Router) : Centralise les communications entre les routeurs d'un même segment réseau pour éviter les connexions multiples.
Un Routeur BDR (Backup Designated Router) : Sert de secours au DR et prend la relève en cas de défaillance pour garantir la continuité.
 La formule utilisée pour calculer le coût OSPF : Coût = Bande passante de référence / Bande passante de l'interface

 Commandes de Configuration OSPFv2 à zone unique (ipv4) :

• Activer OSPFv2 avec la valeur process-id 10 [1 - 65535] : R1(config)# router ospf 10
• Configurer explicitement un ID de routeur 1.1.1.1 : R1(config)# router ospf 10  R1(config-router)# router-id 1.1.1.1
• Configurer une interface de bouclage comme ID de routeur : R1(config-if)# interface Loopback 1
R1(config-if)# ip address 1.1.1.1 255.255.255.255
• Spécifier les interfaces appartenant à un réseau point à point(réseaux li kay3ref): R1(config-router)# network 192.168.20.0 0.0.0.255 area
0
• Configurer OSPF directement sur l'interface G0/0/0 OU sur une interface de bouclage :
R1(config)# interface G0/0/0 ou R1(config)# interface Loopback 1
R1 (config-if)# ip ospf 10 area 0
• Configurer les interfaces passive, pour empêcher la transmission de messages de routage via une interface de routeur :
R1 (config-router) # passive-interface Loopback 0
• Désactiver le processus d'élection DR/BDR en configurant un réseau point-à-point sur l'interface G0/0/0 :
R1(config-if)# ip ospf network point-to-point
• Pour modifier la priorité de l'interface R1 G0/0/0 de [1 à 255] : R1(config-if)# ip ospf priority 255
• Définissez manuellement la valeur de coût OSPF sur les interfaces nécessaires : R1(config-if)# ip ospf cost 10
• Les intervalles Hello et Dead OSPFv2 peuvent être modifiés manuellement : Router(config-if)# ip ospf hello-interval 5 (5 Seconds)
Router(config-if)# ip ospf dead-interval 20 (20 Seconds)
• Pour ajuster la bande passante (1000 Mbps) de référence : R1(config-router)# auto-cost reference-bandwidth 1000
• Configurer la métrique de la BP sur l’interface : R1(config-if)# bandwith 64 (en kilo)
• 1) Une route statique par défaut : R2(config)# ip route 0.0.0.0 0.0.0.0 [next-hop-address | exit-intf]
• 2) Pour annoncer la route par défaut dans les mises à jour OSPF si une route par défaut existe déjà :
R2(config-router)# default-information originate
• Pour redémarrer le processus OSPF et effacer temporairement toutes les données de routage associées : R1# clear ip ospf process
• Afficher les routes OSPF du réseau 10.10.1 telles qu'elles sont vues par le routeur R2 : R2# show ip route ospf | include 10.10.1
• Pour vérifier les contiguïtés (les voisins) OSPFv2 (peut être: FULL/DROTHER - FULL/DR - FULL/BDR - 2-WAY/DROTHER) :
R2# show ip ospf neighbor
• Vérifiez les paramètres de protocole OSPF : R1# show ip protocols OU R1# show ip protocols | include Router ID
• Vérifier les informations du processus OSPF : R1# show ip ospf
• Vérifier les paramètres d'interface OSPF : R1# show ip ospf interface OU R1# show ip ospf interface F0/0
• Vérifier les interfaces compatibles OSPF : R1# show ip ospf interface brief

 Commandes de Configuration OSPFv3 a zone unique (ipv6) :

• Activez le routage de monodiffusion IPv6 : Router(config)# ipv6 unicast-routing
• Activer le Routage OSPFv3 et pour passer en mode de configuration du routeur : R1(config)# ipv6 router ospf 20  R1(config-router)#
• Pour définir un identifiant unique pour un routeur dans OSPFv3 : R1(config-rtr)# router-id 1.1.1.1
• Pour redémarrer le processus OSPFv3 et appliquer les modifications ou corriger les erreurs : R1# clear ipv6 ospf process
• Pour ajuster la bande passante (1000 Mbps) de référence : R1(config-rtr)# auto-cost reference-bandwidth 1000
•Activer le protocole OSPFv3 sur une interface spécifique avec identification du processus et de la zone: R1(config-if)# ipv6 ospf 10 area 0
• Configurer les adresses link-local : R1(config-if)# ipv6 adresse fe80::1 link-local
• Propagation d'une route par défaut : R1(config)# ipv6 route ::/0 2001:DB8:FEED:1::2
R1(config)# ipv6 router ospf 10  R1(config-rtr)# default-information originate
• Modification des intervalles OSPF sur une interface: R1(config-if)# ipv6 ospf hello-interval 5  R1(config-if)# ipv6 ospf dead-interval 20
• Activation de l'authentification MD5 OSFP globalement : R1(config-rtr)# area 0 authentication message-digest
R1(config)# interface G0/0  R1(config-if)# ip ospf message-digest_key 1 md5 ofppt1234
• Définir la priorité sur une interface : R1(config-if)# ipv6 ospf priority 255
• Configurer une interface comme passive : R1(config-rtr)# passive-interface f0/0
• Définir un réseau comme Point-to-Point : R1(config-if)# ipv6 ospf network point-to-point
• Définir le coût sur une interface : R1(config-if)# ipv6 ospf cost 200
• Afficher les paramètres de la base de données OSPFv3 : R1# show ipv6 ospf database
• Pour afficher un résumé des interfaces OSPFv3 actives et leurs configurations : R1# show ipv6 ospf interfaces brief
• Afficher les protocoles IPv6 activés et leurs paramètres sur le routeur : R1# show ipv6 protocols
• Vérifier la connectivité de voisinage avec les routeurs connectés directement : R1# show ipv6 ospf neighbor
• Afficher une liste détaillée de chaque interface compatible OSPFv3 : R1# show ipv6 ospf interface
• Voir la table de routage IPv6 : R1# show ipv6 route
• Afficher uniquement les routes OSPFv3 : R1# show ipv6 route ospf

 Configuration OSPF à zone multiple (ipv4):

R1(config)# router ospf 1
R1(config-router)# router-id 1.1.1.1
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0
R1(config-router)# network 192.168.2.0 0.0.0.255 area 0
R1(config-router)# network 30.0.0.0 0.0.0.255 area 1
 Configuration OSPF à zone multiple (ipv6):
R1(config)# ipv6 router ospf 1
R1(config-rtr)# router-id 1.1.1.1
R1(config)# interface g0/0/0
R1(config-if)# ipv6 ospf 10 area 1
R1(config)# interface g0/1/0
R1(config-if)# ipv6 ospf 10 area 2
Le routage inter-VLAN
 Le routage inter-VLAN : • Les VLANs sont utilisés pour segmenter les réseaux de couche 2, et les hôtes d'un VLAN ne peuvent pas
communiquer avec les hôtes d'un autre VLAN sans la présence d'un routeur ou d'un commutateur de couche 3 pour fournir des services de
routage, et Le routage inter-VLAN est le processus d'acheminement du trafic réseau d'un VLAN à un autre.

 Les avantages du routage inter-VLAN :

• Permet la communication entre VLANs.
• Offre une solution adaptée à différents besoins réseau (héritée, router-on-a-stick, SVI).
• Performances accrues avec les commutateurs de couche 3.
• Faible latence et meilleure utilisation de la bande passante avec les SVI.
 Les inconvénients du routage inter-VLAN :
• Routage inter-VLAN hérité limité en évolutivité.
• Router-on-a-stick inefficace pour plus de 50 VLANs.
• Coût élevé des commutateurs de couche 3.
• Configuration plus complexe pour les grandes entreprises.

 Les options de routage inter-VLAN (il existe 3 options) :

Routage inter-VLAN hérité : • Il s'agit d'une solution héritée. Il n'est pas bien dimensionné.
Router-on-a-Stick : • C'est une solution acceptable pour un réseau de petite à moyenne taille.
Commutateur de couche 3 utilisant des interfaces virtuelles commutées (SVIS) : • Il s'agit de la solution la plus évolutive pour les moyennes
et grandes entreprises.

 Les méthodes de routage inter-VLAN :

1) Routage inter-VLAN hérité : • Le routage inter-VLAN hérité repose sur un routeur doté de plusieurs interfaces physiques, où chaque
interface de routeur est connectée à un port du commutateur dans différents VLANs. Les interfaces du routeur servent de passerelles
virtuelles pour les hôtes locaux dans le sous-réseau VLAN. • Cette méthode n'est pas évolutive en raison de la limitation du nombre
d'interfaces physiques disponibles, ce qui entraîne une consommation rapide des ressources du routeur.
2) Routage inter-VLAN Router-on-a-Stick : • La méthode de routage inter-VLAN "Router-on-a-Stick" repose sur une seule interface Ethernet
physique pour acheminer le trafic entre plusieurs VLANs sur le réseau. Cette interface est configurée sur un routeur Cisco IOS en tant que
trunk 802.1Q et est connectée à un port trunk sur un commutateur de couche 2. Plus précisément, l'interface du routeur est divisée en sous-
interfaces virtuelles logicielles utilisées pour identifier les VLANs routables, et chaque sous-interface est configurée de manière
indépendante avec sa propre adresse IP et l’attribution d’un VLAN spécifique.
Ces sous-interfaces sont configurées pour différents sous-réseaux correspondant à l'attribution des VLAN, ce qui facilite le routage logique.
• Lorsque le trafic VLAN balisé entre dans l'interface du routeur, il est transféré vers la sous-interface dédiée à ce VLAN. Une fois la décision
de routage prise en fonction de l'adresse du réseau IP de destination, le routeur détermine l'interface de sortie du trafic. Si l'interface de
sortie est configurée en tant que sous-interface 802.1Q, les blocs de données sont étiquetés avec l'identifiant du nouveau VLAN et transmis
via l'interface physique.
✅ Remarque ✅: • la méthode router-on-a-stick de routage inter-VLAN ne va pas au-delà de 50 VLAN.
3) Routage inter-VLAN sur un commutateur de couche 3 : • Cette méthode moderne consiste à utiliser des commutateurs de couche 3 et
des interfaces virtuelles commutées (SVI), qui sont configurées sur un commutateur de couche 3, et cette interface est créée pour chaque
VLAN existant sur le commutateur. Bien que le SVI exécute les mêmes fonctions pour le VLAN qu'une interface de routeur le ferait. Plus
précisément, il assure le traitement de couche 3 des paquets vers ou depuis tous les ports de commutateur associés à ce VLAN.

 Les avantages de l'utilisation de commutateurs de couche 3 pour le routage inter-VLAN :

• Ils sont beaucoup plus rapides que les routeurs on-a-stick car tout est commuté et acheminé par le matériel.
• Il n'est pas nécessaire d'utiliser des liaisons externes entre le commutateur et le routeur pour le routage.
• Ils ne sont pas limités à une liaison, car les canaux EtherChannels de couche 2 peuvent être utilisés comme liaisons de trunk entre les
commutateurs pour augmenter la bande passante.
• La latence est bien plus faible, car les données n'ont pas besoin de quitter le commutateur pour être acheminées vers un autre réseau.
• Ils sont plus souvent déployés dans un réseau local de campus que les routeurs.

 les inconvénients de l'utilisation de commutateurs de couche 3 :

• Le seul inconvénient est que les commutateurs de couche 3 sont plus chers.
 Les commandes utilisées dans chaque cas (Routage Inter-Vlan) :
 Pour le routage inter-VLAN hérité :
🟥 Équipements utilisés : • Un routeur (une interface physique par VLAN). / • Un commutateur.
🟥 Commandes sur le routeur :
• Configuration des interfaces du routeur :
Router(config)# interface F0/0  Router(config-if)# ip address 192.168.10.1 255.255.255.0  Router(config-if)# no shutdown
Router(config)# interface F0/1  Router(config-if)# ip address 192.168.20.1 255.255.255.0  Router(config-if)# no shutdown
🟥 Commandes sur le commutateur :
• Création des VLANs :
Switch(config)# vlan 10  Switch(config-vlan)# name VLAN10
Switch(config)# vlan 20  Switch(config-vlan)# name VLAN20
• Configuration des ports en mode Access et attribution aux VLANs :
Switch(config)# interface F0/1  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 10
Switch(config)# interface F0/2  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 20
• Connexion du commutateur au routeur :
Switch(config)# interface F0/3  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 10
Switch(config)# interface F0/4  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 20

 Pour le Routage inter-VLAN Router-on-a-Stick :

🟥 Équipements utilisés : • Un routeur (Une seule interface physique). / • Un commutateur.
🟥 Commandes sur le routeur :
• Configuration de l’interface du routeur pour Router-on-a-Stick :
• Router(config)# interface F0/0  Router(config-if)# no shutdown
• Router(config)# interface F0/0.10  Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
• Router(config)# interface F0/0.20  Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
🟥 Commandes sur le commutateur :
• Création des VLANs :
Switch(config)# vlan 10  Switch(config-vlan)# name VLAN10
Switch(config)# vlan 20  Switch(config-vlan)# name VLAN20
• Configuration des ports en mode Access et attribution aux VLANs :
Switch(config)# interface F0/1  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 10
Switch(config)# interface F0/2  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 20
• Configuration d’un port trunk entre le commutateur et le routeur :
Switch(config)# interface F0/3  Switch(config-if)# switchport mode trunk

 Pour routage inter-VLAN sur un commutateur de couche 3 :

🟥 Équipements utilisés : • Un commutateur de couche 3 uniquement.
🟥 Commandes sur le commutateur :
• Création des VLANs :
Switch(config)# vlan 10  Switch(config-vlan)# name VLAN10
Switch(config)# vlan 20  Switch(config-vlan)# name VLAN20
• Configuration des ports en mode Access et attribution aux VLANs :
Switch(config)# interface F0/1  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 10
Switch(config)# interface F0/2  Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 20
• Configuration des interfaces virtuelles SVI pour chaque VLAN :
Switch(config)# interface vlan 10  Switch(config-if)# ip address 192.168.10.1 255.255.255.0  Switch(config-if)# no shutdown
Switch(config)# interface vlan 20  Switch(config-if)# ip address 192.168.20.1 255.255.255.0  Switch(config-if)# no shutdown
• Activation du routage sur le commutateur : Switch(config)# ip routing

 Dépannage du routage inter-VLAN :

🟥 Problèmes courants d'inter-VLAN : • Lorsque le routage entre les VLANs ne fonctionne pas, il faut d'abord vérifier les câbles et les ports
pour s'assurer qu'ils sont correctement connectés. Si les connexions sont correctes, on peut ensuite examiner d'autres causes pouvant
entraîner l'échec de la communication:
1) Type de problème : (VLAN manquants)
Comment réparer : • Créez (ou recréez) le VLAN s'il n'existe pas. / • Assurez-vous que le port hôte est attribué au VLAN correct.
Comment vérifier : show vlan [brief] / show interfaces switchport / ping
2) Type de problème : (Problèmes de port de trunk de commutateur)
Comment réparer:• Assurez-vous que les trunks sont correctement configurés. /• Assurez-vous que le port est un port de trunk et activé.
Comment vérifier : show interface trunk / show running-config
3) Type de problème: (Problèmes liés aux ports de commutateur)
Comment réparer : • Attribuez le port au correct VLAN. / • Assurez-vous que le port est un port d'accès et activé. /
• L'hôte n'est pas correctement configuré dans le mauvais sous-réseau.
Comment vérifier : show interfaces switchport / show running-config interface / ipconfig
4) Type de problème: (Problèmes de configuration du routeur)
Comment réparer : • L'adresse IPv4 de la sous-interface du routeur est mal configurée. / • La sous-interface du routeur est attribuée à l'ID
de VLAN.
Comment vérifier : show ip interface brief / show interfaces
STP (Spanning Tree Protocol)
 Définition du protocole STP : • Le protocole STP est un protocole réseau utilisé dans les réseaux de la couche 2 pour créer une topologie
sans boucles en bloquant les chemins redondants logiquement, de façon temporaire. Il réactive automatiquement ces chemins en cas de
panne, garantissant ainsi la redondance et la continuité des services.

 Étapes vers une topologie sans boucle : • Choisir le pont racine. / • Choisir les ports racine. / • Choisir les ports désignés. / • Choisir des
ports alternatifs (bloqués).

 Utilisation des BPDU (Bridge Protocol Data Units) : • les commutateurs utilisent des BPDU pour partager des informations sur eux-mêmes
et sur leurs connexions. Les BPDU permettent de choisir le pont racine, les ports racine, les ports désignés et les ports alternatifs.

 ID de pont dans les BPDU : • Chaque trame BPDU contient un ID de pont (bridge ID) qui identifie le commutateur ayant envoyé la trame
BPDU.
• L'ID de pont contient une valeur de priorité, l'adresse MAC du commutateur et un ID système étendu. La valeur d'ID de pont la plus basse
est déterminée par une combinaison de ces trois champs :
1️) Priorité de Pont : • La valeur de priorité par défaut est la valeur 32768 .
2️) L'ID système étendu : • La valeur sys-id-ext représente le numéro du VLAN sur lequel le STP fonctionne actuellement.
3️) Adresse MAC : • En cas d'égalité des priorités et possèdent le même ID système étendu , le commutateur dont l'adresse MAC de valeur
est la plus faible, aura le BID le plus bas.

 Déclaration initiale :
• Initialement, tous les commutateurs se déclarent en tant que pont racine avec son propre BID défini comme l'ID racine.

 Critères de choix du pont racine (Root Bridge) :

1) Priorité : Le pont avec la priorité la plus faible est sélectionné.
2) Adresse MAC : En cas d'égalité des priorités, le pont avec l'adresse MAC la plus faible est choisi.

 Versions du protocole STP :

PVST+ (Per-VLAN Spanning Tree): • Protocole amélioré de STP offrant une instance Spanning Tree par VLAN, avec support pour diverses
optimisations et protections comme PortFast, UplinkFast, et BPDU Guard.
802.1D-2004 : • C'est une version mise à jour du protocole STP standard, intégrant IEEE 802.1w.
RSTP (Rapid Spanning Tree Protocol) : • Une évolution du protocole STP, visant à accélérer la convergence du réseau lors des changements
de topologie.
Rapid PVST+ : • Une version basée sur RSTP, offrant une convergence rapide et une instance distincte par VLAN pour un meilleur temps de
transition réseau.
MSTP (Multiple Spanning Tree Protocol) : • Permet de regrouper plusieurs VLANs dans une même instance Spanning Tree ou dans des
instances distinctes en fonction des besoins topologiques.
MST (Multiple Spanning Tree) : • Est l'implémentation de MSTP, elle fournit jusqu'à 16 instances du protocole RSTP et allie plusieurs VLAN
avec la même topologie physique et logique, Chaque instance offre des fonctionnalités de protection telles que PortFast, BPDU Guard, Root
Guard, et Loop Guard.

 Commandes de configuration de STP (pvst | mst | rapid-pvst) :

• Configurer le mode Spanning Tree standard : Switch(config)# spanning-tree mode stp
• Définir un switch comme Root Bridge primaire pour un VLAN spécifique : Switch(config)# spanning-tree vlan vlan-id root primary
• Définir un switch comme Root Bridge secondaire pour un VLAN spécifique :
Switch(config)# spanning-tree vlan vlan-id root secondary
• Activer la fonctionnalité PortFast pour un port connecté à un appareil final : Switch(config-if)# spanning-tree portfast
• Activer BPDU Guard pour protéger un port contre les boucles : Switch(config-if)# spanning-tree bpduguard enable
• Configurer le mode Spanning Tree (PVST, MST, ou Rapid PVST) : Switch(config)# spanning-tree mode {pvst | mst | rapid-pvst}
• Spécifier le type de lien comme point-à-point : Switch(config-if)# spanning-tree link-type point-to-point
• Réinitialiser tous les protocoles STP détectés : Switch# clear spanning-tree detected-protocols
• Définir la priorité pour un VLAN spécifique : Switch(config)# spanning-tree vlan 1 priority 0
• Configurer le coût STP d'un port : Switch(config-if)# spanning-tree cost 20

• Vérifier les entrées : Switch# show spanning-tree summary and Switch# show spanning-tree interface
interface-id
• Vérifier la configuration et l'état de STP sur le switch : Switch# show spanning-tree

 Commandes de configuration de PVST+ :

• Configurer le mode d’arbre recouvrant du protocole rapid PVST+ : Switch(config)# spanning-tree mode rapid-pvst
• Passez en mode de configuration d'interface : Switch(config)# interface interface-id
• Choisissez un VLAN natif autre que le VLAN 1 : Switch(config-if)# spanning-tree link-type point-to-point
• Indiquez la liste des VLAN autorisés sur la liaison trunk : Switch(config-if)# switchport trunk allowed vlan vlan-list
• Désactiver tous les protocoles STP détectés : Switch# clear spanning-tree detected-protocols
• Vérifier la configuration du protocole Rapid PVST+ : Switch# show spanning-tree interface_id
 VLANs (Virtual Local Area Networks)
 VLANs : • Les VLANs segmentent le réseau en différents domaines de diffusion avec des plages d'adresses IP propres, améliorant ainsi la
gestion, renforce la sécurité et isole le trafic, Ils fonctionnent principalement au niveau 2 du modèle OSI.

 Avantages des VLAN :

• Réduction des domaines de diffusion.
• Amélioration de la sécurité par l'isolation du trafic.
• Optimisation des performances réseau.
• Gestion simplifiée grâce au regroupement logique des appareils.
• Réduction des coûts avec l'utilisation efficace des switches.
 Les inconvénients des VLANs :
• Complexité accrue de configuration et de maintenance.
• Risques de sécurité en cas de mauvaise configuration (ex. VLAN natif).
• Dépendance aux switches et routeurs configurés correctement.
• Coûts supplémentaires liés aux équipements avancés pour de grands réseaux.

 Types de VLAN :
VLAN par Défaut (VLAN 1) : • C'est le VLAN natif, par défaut, il ne peut pas être supprimé ou renommé, et il est souvent utilisé comme VLAN
de gestion par défaut. • Remarque : Bien que nous ne puissions pas supprimer VLAN1, il est recommandé d'attribuer ces caractéristiques
par défaut à d'autres VLAN .
VLAN de Données : • Gère le trafic utilisateur (ex. email, web), et le VLAN 1 est le VLAN de données par défaut, car toutes les interfaces sont
attribuées à ce VLAN.
VLAN Natif : • Utilisé pour les liaisons "trunk", transporte le trafic non étiqueté entre les commutateurs.
VLAN de Gestion : • Gère le trafic administratif (SSH, Telnet), est ne doit pas transporter le trafic des utilisateurs finaux.
VLAN Voix : • Nécessite une bande passante dédiée et une haute priorité QoS pour éviter la congestion et assurer une faible latence (moins
de 150 ms), De plus, il est essentiel que l'ensemble du réseau soit conçu pour prendre en charge la voix.

 Trunks VLAN :
Trunk : • Liaisons point à point qui transportent plusieurs VLANs entre deux commutateurs.
Fonctionnalités principales : • Transporter plusieurs VLANs à travers le réseau. / • Utiliser le protocole 802.1Q pour le marquage des trames.
/ • Par défaut, il prend en charge tous les VLAN . / • Étendre le VLAN sur l'ensemble du réseau .

 Réseau sans/avec VLAN :

1) Sans l'utilisation de VLAN : • Tous les périphériques connectés aux commutateurs reçoivent l'intégralité du trafic, incluant le unicast, le
multicast et le broadcast, ce qui entraîne plusieurs problèmes tels qu'un risque de sécurité et des problèmes de performance( comme la
congestion du réseau et la pression sur la bande passante et la surcharge des périphériques).
2) Avec l'utilisation des VLANs : • Le trafic réseau est isolé et confiné dans chaque VLAN. Cela empêche la communication directe entre
appareils de VLAN différents sans dispositif de routage et réduit la propagation du trafic multicast, unicast et broadcast au-delà du VLAN.

 Identification du VLAN avec une étiquette :

• L'en-tête IEEE 802.1Q est de 4 octets
• Lorsque l'étiquette est créée, le FCS (Frame Check Sequence) doit être recalculé.
• Lorsqu'elle est envoyée aux périphériques terminaux, cette étiquette doit être supprimée et le FCS (Frame Check Sequence) doit être
recalculé pour retourner à son numéro d'origine.

 VLAN natifs et étiquetage 802.1Q :

• L’étiquetage avec 802.1Q est généralement effectué sur tous les VLAN .
• Le VLAN natif transmet ses données sans étiquette via le Trunk, et son utilisation a été initialement conçue pour une utilisation ancienne,
comme le concentrateur dans l'exemple .
• VLAN1 est le VLAN natif par défaut, sauf en cas de modification manuelle .
• Les deux extrémités d’une liaison trunk doit être configurées avec le même VLAN natif .
• Chaque trunk est configuré séparément, il est donc possible d'avoir un VLAN natif différent sur des trunks séparés.
🟥 Commandes de création de VLAN :
• Configurer un nouveau VLAN avec un nom spécifique : Remarque : • Les détails du VLAN sont stockés dans le fichier vlan.dat .
Switch(config)# vlan 10  Switch(config-vlan)# name Sales
🟥 Pour configurer une VLAN privée (Private VLAN - PVLAN) permettant d'isoler les communications entre les appareils au sein d'un même
VLAN :
• Configuration de la VLAN principale (Primary VLAN) : Switch(config)# vlan 100  Switch(config-vlan)# private-vlan primary
• Configuration des VLANs secondaires (Secondary VLANs) :
1) VLAN isolée (Isolated VLAN) : Switch(config)# vlan 101  Switch(config-vlan)# private-vlan isolated
2) VLAN communautaire (Community VLAN) : Switch(config)# vlan 102  Switch(config-vlan)# private-vlan community
• Association de la VLAN principale avec les VLANs secondaires : Switch(config)# vlan 100
Switch(config-vlan)# private-vlan association 101,102
• Configuration du VLAN de gestion (Management VLAN) : Switch(config)# interface vlan 99
Switch(config-if)# ip address 192.168.99.1 255.255.255.0
• Configurer une interface virtuelle (SVI / Switch Virtual Interface) pour la communication entre les VLANs :
Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0
• Configuration d'un VLAN pour des services multiples (ex: DHCP Snooping), Activer la surveillance DHCP pour un VLAN spécifique :
Switch(config)# ip dhcp snooping vlan 10

🟥 Commandes d'attribution de port à des VLAN :

• Configurer une interface en (Mode Accès) et l'assigner à un VLAN spécifique : Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access  Switch(config-if)# switchport access vlan 10
• Configurer un VLAN pour la voix sur une interface spécifique : Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport voice vlan 20

🟥 Vérification de la configuration VLAN :

• Afficher une ligne pour chaque VLAN comportant le nom du VLAN, son état et ses ports : Switch# show vlan brief
• Afficher des informations sur un VLAN identifié par un ID de VLAN : Switch# show vlan id 10
•Afficher des informations sur un VLAN identifié par un nom de VLAN, Le nom de VLAN est une chaîne ASCII de 1 à 32 caractères de long:
Switch# show vlan name OFPPT
• Afficher les informations récapitulatives sur le VLAN : Switch# show vlan summary
• Afficher les interfaces configurées en (Mode Trunk) et les VLANs autorisés : Switch# show interfaces trunk
• Afficher la configuration du switchport autorisé sur une interface trunk spécifique : Switch# show interface fa0/1 switchport
• Afficher la configuration du switchport pour toutes les interfaces du switch : Switch# show interface switchport
• Afficher l’état de toutes les interfaces et leurs adresses IP : Switch# show ip interface brief
• Afficher la configuration stockée dans la mémoire de démarrage pour vérifier si elle a bien été enregistrée: Switch# show startup-config

🟥 Suppression(supprimer) de VLAN :
⚠️Attention ⚠️: • Avant de supprimer un VLAN, réaffectez tous les ports membres à un autre VLAN.
• Suppression(Supprimer) complète d'un VLAN du switch : Switch# configure terminal  Switch(config)# no vlan 10
• Suppression d'un VLAN spécifique de la liste des VLANs autorisés sur un port trunk : Switch(config)# interface f0/2
Switch(config-if)# switchport trunk allowed vlan remove 10
• Effacer toutes les configurations de VLANs et supprimer la base de données VLAN du switch : Switch# delete flash:vlan.dat
Switch# reload
• Suppression d'un VLAN d'un port spécifique et retour au VLAN par défaut (VLAN 1) : Switch(config)# interface f0/1
Switch(config-if)# no switchport access vlan 10
✅ Remarque ✅: • Pour restaurer la valeur par défaut d'usine, débranchez tous les câbles de données, effacez la configuration de démarrage
et supprimez le fichier vlan.dat, puis rechargez le périphérique.
🟥 Commandes de configuration de trunk :
• Configurer un port trunk pour supporter certains VLANs et utiliser le protocole 802.1Q : Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk allowed vlan 10,20,30
• Spécifier un VLAN natif sur un port trunk :Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport trunk native vlan 99
• Configurer une interface en mode trunk pour supporter tous les VLANs : Switch(config)# interface GigabitEthernet 0/2
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan all
• Configurer une sous-interface avec encapsulation IEEE 802.1Q pour un VLAN spécifique et une adresse IP :
Switch(config)# interface g0/0/0.20
Switch(config-subif)# encapsulation dot1Q 20
Switch(config-subif)# ip address 192.168.10.1 255.255.255.0
🟥 Commandes de sauvegarde de la configuration :
• Enregistrer la configuration en cours dans la mémoire de démarrage (NVRAM) :
1) Pour sauvegarder la configuration actuelle dans la mémoire de démarrage afin de la conserver après le redémarrage du switch :
 Switch# copy running-config startup-config
2) Pour enregistrer les modifications et garantir qu'elles persistent après le redémarrage du switch : Switch# write memory

VTP (VLAN Trunking Protocol)

 VTP : • Permet de diffuser la déclaration des VLANs pour les ports trunk sur l'ensemble du réseau en réalisant une administration
centralisée de ceux-ci. Il fonctionne avec une architecture client serveur.

 Remarque :
• Attention lors de l'utilisation de VTP : • Si vous ajoutez un switch avec un numéro de révision de la base de données VLAN plus élevé, cela
peut effacer toutes les VLANs de votre réseau de production.
• Lorsque vous utilisez à la fois DTP et VTP : • Le nom de domaine VTP doit être identique sur les switches voisins pour que les trunks soient
formés via DTP.

 Les avantages de VTP :

• Gestion centralisée des VLANs.
• Propagation automatique des informations des VLANs.
• Réduction du trafic inutile avec le pruning.
• Support des VLANs étendus (Version 3).
• Sécurité renforcée avec mot de passe.

 Les inconvénients de VTP :

• Risque de perte des VLANs en cas de numéro de révision élevé.
• Impact réseau en cas de mauvaise configuration.
• Nécessité d'un domaine unique pour fonctionner.
• Versions 1 et 2 limitées aux VLANs standards.
• Vulnérabilités potentielles sans configuration de mot de passe.

 Les modes VTP :

Mode serveur : • Associé à un domaine VTP, il permet de créer, modifier et supprimer des VLANs sur le serveur VTP, et de propager ces
modifications à tous les clients. Les switches en mode serveur stockent la configuration des VLANs dans la NVRAM (mémoire non volatile).
Mode client : • Associé à un domaine VTP, il applique les VLANs reçus du serveur sans les modifier et met à jour sa configuration en fonction
des mises à jour du serveur. La configuration des VLANs n'est pas stockée dans la NVRAM.
Mode transparent : • Non associé à un domaine VTP, il permet de créer ou modifier des VLANs localement, mais ne participe pas à la
gestion centralisée. Il transmet toutefois les mises à jour de VLANs qu'il reçoit.

 Les versions VTP :

VTP Version 1 : • Version de base prenant en charge les VLANs standard (VLANs 1 à 1005).
VTP Version 2 : • Améliore la version 1 avec des corrections de bugs et la prise en charge des Token Rings VLANs.
VTP Version 3 : • Prend en charge les VLANs étendus (VLANs 1006 à 4094), la sécurité améliorée, et la gestion des bases de données privées.

 Les commandes utilisées (VTP) :

• Définir le commutateur en tant que serveur, client ou transparent VTP : Switch(config)# vtp mode { server | client | transparent }
• Définir le nom de domaine VTP : Switch(config)# vtp domain <nom_du_domaine>
• Définir un mot de passe pour le protocole VTP, Ceci permet de déjouer les attaques consistant pour un pirate à se faire passer pour le VTP
serveur : Switch(config)# vtp password <mot_de_passe>
• L'activation de la fonction de (VTP pruning) permet de réduire le trafic inutile en empêchant les VLANs non utilisés de traverser les trunks,
optimisant ainsi l'utilisation de la bande passante sur le réseau : Switch(config)# vtp pruning
• Activer la version [1|2|3] de VTP : Switch(config)# vtp version [1|2|3]
• Réinitialiser la configuration VTP : Switch# delete vtp
• Affichage de l'état et de la configuration actuels du VTP : Switch# show vtp status
• Afficher les compteurs VTP : Switch# show vtp counters

 Exemples de Configuration :
• Configurer un switch en mode serveur avec un domaine, un mot de passe et activer le pruning :
Switch(config)# vtp mode server
Switch(config)# vtp domain MonDomaineVTP
Switch(config)# vtp password MonMotDePasse
Switch(config)# vtp pruning
• Configurer un switch en mode client avec un domaine et un mot de passe :
Switch(config)# vtp mode client
Switch(config)# vtp domain MonDomaineVTP
Switch(config)# vtp password MonMotDePasse
• Configurer un switch en mode transparent :
Switch(config)# vtp mode transparent