ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

La segmentation LAN

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 La segmentation LAN

Sommaire

1. Segmentation LAN....................................................................................... 2
1.1.1. Introduction....................................................................................... 2
1.1.2. Segmentation LAN à l’aide de ponts..................................................3
1.1.3. Segmentation LAN à l’aide de routeurs.............................................3
1.1.4. Segmentation LAN à l’aide de commutateurs....................................5
2. Fonctionnement d’un commutateur.............................................................6
2.1.1. Latence des commutateurs Ethernet.................................................7
2.1.2. Commutation des couches 2 et 3......................................................7
2.1.3. Commutation symétrique et asymétrique.........................................8
2.1.4. Mise en mémoire tampon..................................................................9
2.1.5. Modes de commutation...................................................................10
2.1.6. Fonctions des commutateurs Ethernet............................................11
2.1.7. Modes de transmission de trame.....................................................13
2.1.8. Apprentissage des adresses par les commutateurs et les ponts.....15
2.1.9. Pourquoi segmenter les réseaux LAN ?............................................17
2.1.10. Commutateurs et domaines de collision......................................18
2.1.11. Commandes de configuration d’un commutateur........................19
2.1.12. Gestion de la table d’adresses MAC.............................................21
2.1.13. Configuration d’adresses MAC statiques......................................22
3. Topologies redondantes............................................................................. 22
3.1.1. Topologies commutées redondantes...............................................23
4. Protocole Spanning Tree (STP)...................................................................24
4.1.1. Fonctionnement du Spanning Tree..................................................26

Document Millésime Page

OFPPT @ [Link] février 25 1 - 192
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

[Link] LAN

1.1.1. Introduction

Un réseau peut être divisé en unités plus petites appelées segments. La figure
illustre un exemple de réseau Ethernet segmenté. Le réseau comprend quinze
ordinateurs. Sur ces quinze ordinateurs, six sont des serveurs et neuf des stations
de travail. Chaque segment utilise le mode d’accès CSMA/CD et assure le trafic
entre les utilisateurs sur le segment. Chaque segment constitue son propre domaine
de collision.

La segmentation permet de réduire significativement la congestion du réseau au

sein de chaque segment. Lors de la transmission des données dans un segment, les
équipements du segment se partagent la totalité de la bande passante disponible.
Les données échangées entre les segments sont transmises au backbone du réseau
via un pont, un routeur ou un commutateur

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

1.1.2. Segmentation LAN à l’aide de ponts

Les ponts sont des équipements de couche 2 qui transmettent des trames de
données en fonction de l’adresse MAC. Les ponts lisent l’adresse MAC de l’émetteur
des paquets de données reçus sur les ports entrants pour découvrir les équipements
de chaque segment. Les adresses MAC sont ensuite utilisées pour créer une table
de commutation qui permet au pont de bloquer les paquets qu’il n’est pas
nécessaire de transmettre à partir du segment local.

Bien que le fonctionnement d’un pont soit transparent pour les autres équipements,
l’utilisation d’un pont augmente de dix à trente pour cent la latence d’un réseau.
Cette latence résulte du processus de prise de décision qui a lieu avant l’envoi d’un
paquet. Un pont est considéré comme un équipement de type Store-and-Forward,
car il doit examiner le champ d’adresse de destination et calculer le code de
redondance cyclique (CRC) dans le champ de séquence de contrôle de trame avant
l’envoi d’une trame. Si le port de destination est occupé, le pont peut stocker
temporairement la trame jusqu’à ce que le port soit de nouveau disponible

1.1.3. Segmentation LAN à l’aide de routeurs

Les routeurs assurent la segmentation des réseaux en ajoutant un coefficient de

latence de 20 à 30 % sur un réseau commuté. Cette latence accrue est due au
fonctionnement d’un routeur au niveau de la couche réseau qui utilise l’adresse IP
pour déterminer le meilleur chemin vers le nœud de destination ;

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

La figure représente un routeur Cisco.

Les ponts et les réseaux assurent la segmentation au sein d’un réseau ou d’un sous-
réseau. Les routeurs assurent la connectivité entre les réseaux et les sous-réseaux.

En outre, les routeurs n’envoient pas de broadcasts, tandis que les commutateurs et
les ponts doivent transmettre des trames de broadcast.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

1.1.4. Segmentation LAN à l’aide de commutateurs
La commutation LAN réduit les pénuries de bande passante et les goulots
d’étranglement sur le réseau, comme ceux qui se produisent entre plusieurs
stations de travail et un serveur de fichiers distant.

La figure représente un commutateur Cisco. Un commutateur divise un réseau LAN

en microsegments afin de réduire la taille des domaines de collision. Cependant,
tous les hôtes connectés au commutateur restent dans le même domaine de
broadcast.

Dans un LAN Ethernet commuté parfait, les nœuds d’émission et de réception

opèrent comme s’ils étaient les seuls nœuds du réseau. Lorsque ces deux nœuds
établissent une liaison, ou circuit virtuel, ils accèdent au maximum de bande
passante disponible. Ces liaisons offrent un débit plus important que les LAN
Ethernet connectés via des ponts ou des concentrateurs.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Le circuit de réseau virtuel est établi au sein du commutateur et n’existe que

lorsque les noeuds ont besoin de communiquer.

[Link] d’un commutateur

La commutation est une technologie qui permet de réduire la congestion des
réseaux LAN Ethernet, Token Ring et FDDI (Fiber Distributed Data Interface). Les
commutateurs utilisent la microsegmentation afin de réduire les domaines de
collisions et le trafic réseau. Cette réduction engendre un utilisation plus efficace de
la bande passante et augmente ainsi le débit. Les commutateurs LAN sont souvent
utilisés pour remplacer des concentrateurs partagés et sont conçus pour fonctionner
avec les infrastructures de câblage existantes.

Une unité de commutation exécute deux fonctions de base:

 La commutation de trames de données – Opération qui consiste à recevoir

une trame sur une interface du commutateur, de sélectionner la(les)
interface(s) de sortie et de finalement transmettre la trame.
 Gestion des tables de commutation – Les commutateurs créent et gèrent des
tables de commutation. Les commutateurs construisent aussi sur
 chaque LAN des topologies réseaux exempts de boucles.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

2.1.1. Latence des commutateurs Ethernet

La latence d'un commutateur est l'intervalle de temps à partir de l'entrée du début
d'une trame dans le commutateur jusqu'à la sortie de la fin de la trame
correspondante. Cette période est directement liée au processus de commutation
configuré et au volume du trafic.

La latence est mesurée en fractions de seconde. Avec des équipements de réseau

opérant à des débits extrêmement élevés, chaque nanoseconde de latence
supplémentaire contribue à dégrader les performances réseau.

2.1.2. Commutation des couches 2 et 3

Il existe deux méthodes pour effectuer la commutation des trames de données: la

commutation de couche 2 et la commutation de couche 3. Les routeurs et les
commutateurs de couche 3 utilisent la commutation de couche 3 pour commuter les
paquets. Les commutateurs de couche 2 ainsi que les ponts utilisent quant à eux la
commutation de couche 2 pour acheminer les trames.

Les commutateurs de couche 3 incluent une technologie de routage et performent

habituellement mieux que les commutateurs de couche 2. Les commutateurs de
couche 3 sont plus difficiles à configurer que les commutateurs de couche 2 si
toutes les fonctionnalités de couche 3 sont désirées. Dans la plupart des
commutateurs de couche 3, une adresse IP est assignée à chaque port. D'autres
modèles de commutateurs de couche 3 ne nécessitent qu'une adresse IP soit
assignée au VLAN par défaut, ce qui rend le commutateur adressable de chaque
port. Les options de configuration et les fonctionnalités des commutateurs de

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

couche 3 et des routeurs comportent de nombreuses similarités. La principale
différence entre le processus de commutation de paquet d'un routeur et d'un
commutateur de couche 3 se situe au niveau de l'implémentation physique. Dans la
plupart des routeurs, la commutation de paquet s'effectue au niveau logiciel par
l'entremise d'un microprocesseur. Un commutateur de couche 3 effectue la
commutation de paquet directement au niveau matériel en ayant recourt à des
circuits intégrés spécialisés (ASIC) pour cette application spécifique.

La différence entre la commutation de couche 2 et la commutation de couche 3

réside au niveau du type d’information utilisé dans la trame pour déterminer
l’interface de sortie appropriée. La commutation de couche 2 se base sur les
informations des adresses MAC, alors que la commutation de couche 3 se base sur
les adresses de la couche réseau, ou adresses IP.

La commutation de couche 2 recherche une adresse MAC de destination dans l’en-

tête de la trame, puis transmet cette dernière à l’interface ou au port approprié en
se basant sur l’adresse MAC de la table de commutation.

La table de commutation se trouve dans la mémoire associative (CAM). Si le

commutateur de couche 2 ne sait pas où envoyer la trame, il la diffuse à tous les
ports du réseau. Si une réponse est renvoyée, le commutateur enregistre la
nouvelle adresse dans la mémoire associative.

La commutation de couche 3 est une fonction de la couche réseau. Les informations

d’en-tête de couche 3 sont examinées et le paquet est acheminé sur la base de
l’adresse IP.

Le flux du trafic des réseaux commutés ou non hiérarchiques est intrinsèquement

différent du celui des réseaux routés ou hiérarchiques. Ces derniers offrent un flux
de trafic plus souple.

2.1.3. Commutation symétrique et asymétrique

La commutation symétrique ou asymétrique d’un réseau LAN dépend de la façon
dont la bande passante est allouée aux ports de commutateur. La commutation
symétrique fournit des connexions commutées entre des ports de même débit. Un
commutateur LAN asymétrique fournit des connexions commutées entre des ports
de débit différent, par exemple entre une combinaison de ports de 10 Mbits/s et de
100 Mbits/s.

La commutation asymétrique permet d’attribuer davantage de bande passante au

port de commutateur du serveur afin d’éviter les goulots d’étranglement. Le trafic
devient ainsi plus fluide lorsque plusieurs clients communiquent simultanément
avec le même serveur. La commutation asymétrique nécessite l’utilisation de la

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

mémoire tampon pour conserver les trames contiguës entre les ports de débit
différent

2.1.4. Mise en mémoire tampon

Un commutateur Ethernet peut utiliser une technique de mise en mémoire tampon

pour stocker et transmettre des trames. Il est également possible de recourir à la
mise en mémoire tampon lorsque le port de destination est occupé. La zone de
mémoire dans laquelle le commutateur stocke les données s'appelle la mémoire
tampon. Cette mémoire peut utiliser deux méthodes pour acheminer les trames : la
mise en mémoire tampon axée sur les ports et la mise en mémoire tampon
partagée.

Dans le cas de la mise en mémoire tampon axée sur les ports, les trames sont
placées dans des files d’attente liées à des ports entrants spécifiques. Une trame
n’est transmise au port sortant que si toutes les trames qui la précèdent dans la file
d’attente ont été correctement transmises. Une seule trame peut retarder la
transmission de toutes les trames en mémoire en raison d’un port de destination
occupé. Ce retard se produit même si les autres trames peuvent être transmises à
des ports de destination libres.

La mise en mémoire partagée stocke toutes les trames dans une mémoire tampon
commune à tous les ports du commutateur. La capacité de mémoire tampon
nécessaire à un port est allouée dynamiquement. Les trames se trouvant dans la
mémoire tampon sont ensuite liées dynamiquement au port destination, ce qui
permet de recevoir le paquet par un port et de le transmettre par un autre, sans
avoir à le déplacer vers une autre file d’attente.

Le commutateur tient à jour une carte de liaisons entre une trame et un port,
indiquant l’emplacement vers lequel un paquet doit être acheminé. Cette carte est
effacée dès que la trame a été transmise correctement. La mémoire tampon est
partagée. Le nombre de trames stockées dans la mémoire tampon est limité par la
taille totale de cette mémoire, mais n’est pas limité à un seul tampon du port, ce
qui permet de transmettre les grandes trames en en supprimant un minimum. Cela
se révèle particulièrement important dans le cadre de la commutation asymétrique
pour laquelle les trames sont échangées entre des interfaces de différentes vitesses

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

2.1.5. Modes de commutation

La transmission de trames recourt aux deux modes de commutation suivants:

 Commutation Store-and-Forward – La trame entière doit être reçue pour

pouvoir l’acheminer. Les adresses d’origine et de destination sont lues et des
filtres sont appliqués avant l’acheminement de la trame. Une latence est
générée pendant la réception de la trame. Elle est élevée s’il s’agit d’une
grande trame, car l’intégralité d’une trame doit être reçue pour que le
processus de commutation puisse démarrer. Le commutateur est en mesure
de vérifier les erreurs dans toute la trame, ce qui améliore la détection des
erreurs.
 Commutation Cut-through – La trame est envoyée via le commutateur
avant la réception intégrale de la trame. L’adresse de destination de la trame
doit être au moins lue avant la transmission de la trame. Ce mode réduit à la
fois la latence de la transmission et la détection des erreurs.

Il existe deux types de commutation Cut-through:

 Fast-Forward – Ce type de commutation offre le niveau de latence le plus

faible. La commutation Fast-Forward transmet une trame immédiatement
après la lecture de l’adresse de destination. Comme le mode de commutation
Fast-Forward commence l’acheminement avant la réception du trame entier,
il peut arriver que des trames relayés comportent des erreurs. Bien que cela

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

ne se produise qu’occasionnellement, la carte réseau de destination rejette la
trame défectueux lors de sa réception. En mode Fast-Forward, la latence est
mesurée à partir du premier bit reçu jusqu’au premier bit transmis.
 Fragment-Free – Ce mode de commutation filtre les fragments de collision
avant de commencer la transmission. Les fragments de collision constituent
la majorité des erreurs de trame. Dans un réseau fonctionnant correctement,
la taille des fragments de collision doit être inférieure à 64 octets. Tout
fragment d’une taille supérieure à 64 octets constitue une trame valide et est
habituellement reçu sans erreur. En mode de commutation Fragment-Free, la
trame doit être considéré comme n’étant pas un fragment de collision pour
être acheminé. La latence est mesurée à partir du premier bit reçu jusqu’au
premier bit transmis.

La latence de chaque mode de commutation dépend de la façon dont le

commutateur achemine les trames. Pour accélérer l’acheminement des trames, le
commutateur réduit le temps de vérification des erreurs, ce qui risque d’augmenter
le nombre de retransmissions.

2.1.6. Fonctions des commutateurs Ethernet

Un commutateur est un dispositif qui interconnecte des segments réseau et qui

utilise une table d'adresses MAC afin de déterminer le segment sur lequel chaque
trame doit être acheminée. Les commutateurs et les ponts fonctionnent ainsi au
niveau de la couche 2 du modèle de référence OSI. Les commutateurs et les ponts
fonctionnent au niveau de la couche 2 du modèle OSI.

Les commutateurs sont parfois appelés ponts multiports ou concentrateurs de

commutation. Ce sont des équipements de couche 2, puisqu’ils prennent des
décisions en se basant sur les adresses MAC. En revanche, les concentrateurs
régénèrent les signaux de couche 1 à destination de tous les ports sans prendre de
décisions. Comme un commutateur est capable de prendre des décisions relatives à
la sélection du chemin, le réseau LAN devient plus efficace. En général, les stations
de travail d’un réseau Ethernet sont connectées directement au commutateur. Un
commutateur apprend les hôtes qui sont connectés à un port en lisant l’adresse
MAC comprise dans les trames. Il ouvre un circuit virtuel uniquement entre les
nœuds d’origine et de destination, ce qui limite la communication à ces deux ports
sans affecter le trafic des autres ports. En revanche, un concentrateur achemine les
données vers tous leurs ports de façon à ce que tous les hôtes voient les données et
les traitent, même si elles ne leur sont pas destinées.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Les réseaux LAN hautes performances sont généralement entièrement commutés:

 Un commutateur concentre la connectivité, ce qui rend la transmission de

données plus efficace. Les trames sont commutées à partir des ports entrants
vers les ports sortants. Chaque port ou interface peut fournir à chaque hôte
l’intégralité de la bande passante de la connexion.
 Dans un concentrateur Ethernet standard, tous les ports se connectent à un
fond de panier ou à une connexion physique du concentrateur, et tous les
équipements reliés au concentrateur partagent la bande passante du réseau.
Si deux stations établissent une session qui utilise un niveau de bande
passante important, les performances de toutes les autres stations reliées au
commutateur se dégradent.
 Pour réduire cette dégradation, le commutateur traite chaque interface
comme un segment individuel. Lorsque les stations des différentes interfaces
doivent communiquer, le commutateur achemine les trames à la vitesse du
câble d’une interface à l’autre pour garantir que chaque session reçoive
l’intégralité de la bande passante.

Pour commuter efficacement les trames entre les interfaces, le commutateur tient à
jour sa table d’adresses. Lorsqu’une trame entre dans le commutateur, l’adresse
MAC de la station émettrice est associée à l’interface réceptrice.

Les principales fonctions d’un commutateur Ethernet sont les suivantes:

 Il isole le trafic entre des segments.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

 Il augmente la bande passante pour chaque utilisateur en créant des
domaines de collision plus petits.

La première propriété, isoler le trafic entre les segments, permet une sécurité
accrue pour les hôtes sur le réseau. Chaque segment utilise le mode d’accès
CSMA/CD pour gérer le trafic des données entre les utilisateurs sur le segment.
Cette segmentation permet à plusieurs utilisateurs d’envoyer simultanément des
informations sur les différents segments sans provoquer le ralentissement du
réseau.

L’utilisation de segments sur un réseau diminue le nombre d'utilisateurs et, le cas

échéant, le nombre d'équipements partageant la même bande passante lorsqu’ils
communiquent entre eux. Chaque segment dispose de son propre domaine de
collision. Les commutateurs Ethernet filtrent le trafic en redirigeant vers le ou les
ports appropriés les datagrammes qui sont basés sur les adresses MAC de couche 2.

La deuxième propriété est appelée microsegmentation. La microsegmentation

permet la création de segments réseau dédiés comportant un seul hôte par
segment. Chaque hôte reçoit ainsi toute la bande passante du lien sans pour autant
avoir à compétitionner avec d'autres hôtes pour obtenir de la disponibilité de bande
passante. Les serveurs les plus utilisés peuvent être placés sur des liaisons
individuelles de 100 Mbits/s. Dans les réseaux actuels, un commutateur Fast
Ethernet se comporte souvent comme le backbone du LAN, avec des concentrateurs
et des commutateurs Ethernet ou des concentrateurs Fast Ethernet assurant les
connexions des ordinateurs de bureau dans les groupes de travail. À mesure que
l’utilisation des nouvelles applications exigeantes se généralisera, comme les
applications multimédia ou la vidéoconférence, certains ordinateurs de bureau
disposeront de liaisons dédiées de 100 Mbits/s au réseau.

2.1.7. Modes de transmission de trame

existe trois types de transmission de trame:

 Commutation Cut-through – Un commutateur qui effectue la commutation

"cut-through" lit uniquement l'adresse MAC de destination lors de la réception
d'une trame. La trame est ensuite acheminée avant d'avoir été entièrement
reçue. Ce mode réduit la latence de la transmission mais diminue aussi le
potentiel de détection d'erreurs de commutation. Il y a deux types de
commutation "cut-through":
o Commutation "Fast-forward" – Ce mode de commutation offre le
plus faible niveau de latence en acheminant une trame dès la
réception de l'adresse MAC de destination. Dans ce mode, la latence
est mesurée à partir du premier bit reçu jusqu'au premier bit transmis
(c'est la méthode du premier entré, premier sortie ou "FIFO"). Ce mode

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

offre un faible potentiel de détection d'erreurs de commutation de
réseau LAN.
o Commutation "Fragment-free" – Ce mode de commutation filtre les
fragments de collision, qui constituent la majorité des erreurs de
trames, avant que l'acheminement ne puisse commencer.
Habituellement, les fragments de collision ont une taille inférieure à 64
octets. Dans le mode "Fragment-free", la trame reçue doit être jugée
comme n'étant pas un fragment de collision pour être acheminée.
Selon ce mode, la latence est aussi mesurée en regard du premier
reçu, premier transmis (FIFO).
 Store-and-Forward – Dans ce mode, la trame doit être reçue entièrement
pour qu’elle puisse être acheminée. Les adresses d’origine et de destination
sont lues et des filtres sont appliqués avant l’acheminement de la trame. Une
latence est générée pendant la réception de la trame. Elle est élevée s’il
s’agit d’une grande trame, car l’intégralité d’une trame doit être reçue pour
que le processus de commutation puisse démarrer. Le commutateur dispose
du temps nécessaire pour vérifier les erreurs, ce qui améliore la détection des
erreurs.
 Adaptive Cut-through – Il existe un autre mode de commutation hybride,
appelé Cut-through adaptatif, qui combine les modes Store-and-Forward et
Cut-through. Dans ce mode, le commutateur utilise le mode Cut-through
jusqu’à ce qu’il détecte un nombre d’erreurs donné. Une fois le seuil d’erreurs
atteint, il passe en mode Store-and-Forward.

2.1.8. Apprentissage des adresses par les commutateurs et

les ponts

Les ponts et les commutateurs ne transmettent que les trames devant être
acheminées d’un segment LAN à l’autre. Pour ce faire, ils doivent connaître les
équipements qui sont connectés à chaque segment LAN.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Un pont est considéré comme un équipement intelligent car il prend des décisions
en se basant sur les adresses MAC. Pour ce faire, il se réfère à une table d’adresses.
Lorsqu’un pont est activé, des messages de broadcast sont transmis pour demander
à toutes les stations du segment local du réseau de répondre. Lorsque les stations
renvoient le message de broadcast, le pont crée une table d’adresses locales. Ce
processus est appelé apprentissage.

Pour apprendre des adresses, les ponts et les commutateurs procèdent comme suit:

 Ils lisent l’adresse MAC d’origine de chaque trame ou datagramme reçu.

 Ils enregistrent le port qui a reçu l’adresse MAC.

Ainsi, un pont ou un commutateur apprend les adresses appartenant aux

équipements connectés à chaque port.

Les adresses apprises et l’interface ou le port associé sont stockés dans la table
d’adressage. Le pont examine l’adresse de destination de toutes les trames reçues.
Il balaie ensuite la table pour rechercher l’adresse de destination appropriée.

La table de commutation est enregistrée dans une mémoire associative (Content

Addressable Memory – CAM). Cette mémoire associative est mise à profit pour les
travaux de commutation afin de réaliser les fonctions suivantes:

 Elle extrait et traite les informations relatives aux adresses de paquets de

données entrants.
 Elle compare l’adresse de destination à une de ses tables d’adresses.

La mémoire associative stocke les adresses MAC et les numéros de port associés.
Elle compare l’adresse MAC de destination reçue au contenu de la table CAM. S’il
existe une correspondance, le port est fourni et le contrôle de routage achemine la
trame vers l'adresse et le port en question.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Un commutateur Ethernet peut apprendre l’adresse de chaque unité du réseau en

lisant l’adresse d’origine de chaque trame transmise et en enregistrant le port par
lequel la trame est entrée dans le commutateur. Le commutateur ajoute ensuite ces
informations à sa base de données de transmission. Les adresses sont apprises
dynamiquement. Autrement dit, les adresses sont apprises et enregistrées dans une
mémoire associative au fur et à mesure qu’elles sont lues. Si une adresse d’origine
ne se trouve pas dans la mémoire associative, elle est apprise et enregistrée afin
qu’elle puisse être utilisée ultérieurement.

Une adresse est horodatée chaque fois qu’elle est enregistrée. Cela permet de
stocker les adresses pendant une période déterminée. Chaque fois qu’une adresse
est référencée ou trouvée dans la mémoire associative, elle est de nouveau
horodatée. Les adresses qui ne sont pas consultées pendant une période
déterminée sont éliminées de la liste. L’élimination des adresses obsolètes permet à
la mémoire associative de conserver une base de données de transmission précise
et fonctionnelle.

Le processus suivi par la mémoire associative (CAM) est le suivant:

1. Si l'adresse n'est pas trouvée, le pont achemine la trame sur chaque interface
à l'exception de l'interface sur laquelle la trame a été reç[Link] processus est
appelé inondation. L'adresse en question peut avoir été effacée par le pont à
cause d'un redémarrage récent ou encore, parce que la capacité maximale
de la table d'adresse a été atteinte, ou simplement parce que périmée. Étant
donné que le pont ignore sur quelle interface acheminer la trame, elle sera
transmise sur toutes les interfaces à l'exception de celle sur laquelle elle a

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

initialement été reçue. Il est absolument inutile de renvoyer la trame sur le
segment de réception car tous les ordinateurs ou les ponts sur ce segment
doivent nécessairement avoir reçu la trame en question préalablement.
2. Si l'adresse est trouvée dans la table d'adresses et que l'adresse est associée
à l'interface de réception, la trame est rejetée. Elle doit nécessairement avoir
déjà été reçue par la destination.
3. Si l'adresse est trouvée dans la table d'adresses et que l'adresse est associée
à une interface autre que celle de réception, le pont l'achemine sur l'interface
en question.

Si l’adresse se trouve dans une table d’adresses mais qu’elle n’est pas associée au
port qui a reçu la trame, le pont envoie celle-ci au port associé à l’adresse.

2.1.9. Pourquoi segmenter les réseaux LAN ?

Deux raisons principales sont à la base de la segmentation d’un LAN. La première a
pour but d’isoler le trafic entre les segments. La seconde a pour but de fournir
davantage de bande passante par utilisateur par la création de domaines de
collision de petite taille.

Sans la segmentation, les LAN d’une taille supérieure à un petit groupe de travail
seraient rapidement encombrés par le trafic et les collisions.

La segmentation LAN peut être mise en œuvre à l’aide de ponts, de commutateurs

et de routeurs. Chacun de ces équipements présente des avantages et des
inconvénients.

L’ajout de ponts, de commutateurs et de routeurs segmente un LAN en un certain

nombre de domaines de collision de petite taille. Dans l’exemple représenté sur la
figure, quatre domaines de collision ont été créés.

En divisant les grands réseaux en unités autonomes, les ponts et les commutateurs
offrent plusieurs avantages. Les ponts et les commutateurs diminuent le trafic reçu
par les unités de tous les segments connectés, parce qu’un certain pourcentage du
trafic seulement est acheminé. Ils réduisent le domaine de collision mais pas le
domaine de broadcast.

Chaque interface du routeur se connecte à un réseau distinct. Par conséquent,

l’insertion du routeur dans un LAN créera de petits domaines de collision et de
broadcast car les routeurs n’acheminent pas de messages de broadcast, sauf s’ils
sont programmés à cet effet.

Un commutateur recourt à la microsegmentation pour réduire le domaine de

collision d’un LAN. Pour ce faire, il crée des segments de réseau dédiés ou des
connexions point-à-point, puis il connecte ces segments à son réseau virtuel.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Ce circuit de réseau virtuel n’existe que lorsque deux nœuds doivent communiquer.
Ce composant est appelé circuit virtuel car il n’existe que s’il est nécessaire et il est
créé à l’intérieur du commutateur

2.1.10. Commutateurs et domaines de collision

Les collisions constituent l’inconvénient majeur des réseaux Ethernet 802.3. Une
collision se produit lorsque deux hôtes transmettent des trames simultanément. Les
trames transmises au cours d’une collision sont altérées ou détruites. Les hôtes
émetteurs arrêtent la transmission pendant une période de temps aléatoire basée
sur les règles Ethernet 802.3 du mode d’accès CSMA/CD. Un nombre excessif de
collisions peut nuire à la productivité d’un réseau.

La zone du réseau d’où proviennent les trames qui entrent en collision est appelée
domaine de collision. Tous les environnements à média partagé sont des domaines
de collision. Quand un hôte est connecté à une interface d'un commutateur, le
commutateur crée alors une connexion dédiée. Cette connexion est considérée
comme un domaine de collision individuel. Par exemple, si un commutateur à douze
ports comprend une unité connectée à chaque port, douze domaines de collision
sont créés.

Un commutateur crée une table de commutation en apprenant les adresses MAC

des hôtes connectés à chaque port du commutateur. Lorsque deux hôtes connectés
veulent communiquer, le commutateur consulte la table de commutation et établit
une connexion virtuelle entre les deux ports. Le circuit virtuel est maintenu jusqu’à
ce que la session soit terminée.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Dans la figure, les hôtes B et C veulent communiquer entre eux. Le commutateur

crée une connexion virtuelle appelée microsegment. Ce microsegment se comporte
comme si le réseau ne comprenait que deux hôtes, un hôte émetteur et un hôte
récepteur fournissant le taux d’utilisation maximal de bande passante.

Les commutateurs réduisent le nombre de collisions et augmentent la bande

passante sur les segments réseau parce qu’ils offrent une bande passante réservée
à chacun de ces segments.

2.1.11. Commandes de configuration d’un commutateur.

Commande Explication
Affiche la configuration matérielle du système, la version du
show version logiciel, le nom et l'origine des fichiers de configuration et des
images d'amorçage.
show running-
configuration Affiche le fichier de configuration actif actuel du commutateur.

Affiche des statistiques sur toutes les interfaces configurées du

show interfaces
commutateur.
Affiche l'adresse IP, le masque de sous-réseau et la passerelle par
show ip
défaut.

La première fois qu’un commutateur est mis sous tension, il comporte des données
par défaut dans le fichier de la configuration courante. Le nom d’hôte par défaut est
Switch. Aucun mot de passe n’est défini sur les lignes de console ou de terminal
virtuel (vty).

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Il est possible de donner une adresse IP à un commutateur pour des raisons

d'administration. Il faut configurer cette adresse au niveau de l’interface virtuelle,
VLAN 1. Par défaut, le commutateur n’a pas d’adresse IP.

Les ports ou interfaces du commutateur sont définis sur le mode automatique et

tous les ports du commutateur se trouvent dans le VLAN 1.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

VLAN 1 est le VLAN d’administration par défaut.

Le répertoire flash par défaut comporte un fichier qui contient l’image IOS, un fichier
nommé env_vars et un sous-répertoire nommé html. Une fois que le commutateur
est configuré, ce répertoire peut également contenir un fichier [Link] et une
base de données VLAN. Le répertoire flash ne contient ni fichier de base de
données, [Link], ni fichier de configuration stocké, [Link].

Il est possible de vérifier les paramètres de version IOS et du registre de

configuration en utilisant la commande show version.

Dans cet état par défaut, le commutateur a un domaine de broadcast et peut être
géré ou configuré via le port console en utilisant l’interface de commande en ligne
(CLI). Le protocole d'acheminement STP (Spanning-Tree Protocol) est également
activé et permet au pont d’élaborer une topologie exempte de boucles de couche 2
dans un réseau local étendu.

La configuration par défaut convient pour les petits réseaux. Les avantages de la
microsegmentation sur le plan des performances sont immédiatement visibles .

2.1.12. Gestion de la table d’adresses MAC

Les commutateurs apprennent les adresses MAC des PC ou des stations de travail
connectés à un de leurs ports de commutation en examinant l’adresse source des
trames reçues sur ce port. Les adresses MAC ainsi apprises sont ensuite
enregistrées dans une table d’adresses MAC. Les trames ayant une adresse MAC de
destination enregistrée dans la table peuvent être commutées vers l’interface
appropriée.

Pour afficher les adresses apprises par un commutateur, entrez la commande show
mac-address–table en mode privilégié.

Un commutateur est capable d’apprendre et de gérer de façon dynamique des

milliers d’adresses MAC. Pour ne pas surcharger la mémoire et optimiser le
fonctionnement du commutateur, les adresses apprises peuvent être supprimées de
la table d’adresses MAC. Les machines ont peut-être été supprimées d’un port,
mises hors tensions ou connectées à un autre port sur le même commutateur ou sur
un commutateur différent. Ceci peut engendrer une certaine confusion dans le
transfert des trames. Par conséquent, si aucune trame n’est interceptée avec
l’adresse apprise précédemment, l’entrée correspondante est automatiquement
supprimée dans la table d’adresses MAC ou expire au bout de 300 secondes.

Au lieu d’attendre l’expiration d’une entrée dynamique, l’administrateur a la

possibilité d’utiliser la commande clear mac-address-table en mode
privilégié. Cette commande permet également de supprimer les adresses MAC
qu’un administrateur a configurées. Cette méthode permet de s’assurer que les
adresses invalides sont automatiquement supprimées

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

2.1.13. Configuration d’adresses MAC statiques

Vous pouvez décider d’affecter une adresse MAC de façon permanente à une
interface pour différentes raisons. Voici certaines de ces raisons:

 L’adresse MAC ne doit jamais être supprimée automatiquement par le

commutateur.
 Un serveur ou une station de travail spécifique doit être attachée au port et
l’adresse MAC est connue.
 Améliorer la sécurité.

Utilisez cette commande pour définir une entrée d’adresse MAC statique pour un
commutateur:

Switch(config)#mac-address-table static <adresse-mac de l’hôte>

interface FastEthernet <numéro Ethernet> vlan <nom vlan>

Pour supprimer cette entrée, utilisez la forme no de cette commande:

Switch(config)#no mac-address-table static <adresse-mac de l’hôte>

interface FastEthernet <numéro Ethernet>vlan <nom vlan>

[Link] redondantes

L’un des objectifs des topologies redondantes est d’éliminer les risques de pannes
du réseau provoquées par un composant unique. Pour améliorer leur fiabilité, tous
les réseaux ont besoin de redondance.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Un réseau de routes est un bon exemple de topologie redondante. Lorsqu’une route

est fermée pour cause de travaux, il y a des chances pour qu’une autre route
conduise à la même destination.

Prenons l'exemple d'une communauté de banlieu séparée du centre de la ville par

une rivière. S’il n’existe qu’un seul pont pour traverser la rivière, un seul itinéraire
permet d’accéder à la ville. La topologie n’a pas de redondance.

Si le pont est inondé ou endommagé à la suite d’un accident, il devient impossible

de se rendre dans le centre de la ville par ce pont.

La construction d’un second pont sur la rivière crée une topologie redondante. La
banlieue n’est plus coupée du centre de la ville si l’un des ponts devient
infranchissable.

3.1.1. Topologies commutées redondantes

Les réseaux possédant des routes et des équipements redondants permettent un

temps de fonctionnement supérieur. Les topologies redondantes éliminent les points
de panne isolés. Si une panne survient sur une route ou une unité, la route ou
l’unité redondante peut prendre le relais pour les travaux en cours.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Si le commutateur A tombe en panne, le trafic peut quand même être acheminé du

segment 2 au segment 1 jusqu’au routeur par le commutateur B.

Les commutateurs apprennent les adresses MAC des équipements du réseau, ainsi
que les ports sur lesquels ils sont connectés, de sorte que les données puissent être
correctement acheminées vers leur destination. Les commutateurs vont diffuser, à
tous leurs ports, les trames à destination d'équipements inconnus, jusqu'à ce qu'ils
apprennent les adresses MAC et le port d'accès de ces équipements. Les broadcasts
et les multicasts sont aussi diffusés sur tous les ports.

Une topologie commutée redondante peut provoquer des tempêtes de broadcast,

des copies de trames multiples et des problèmes d’instabilité dans la table des
adresses MAC.

[Link] Spanning Tree (STP)

Les topologies réseau redondantes sont conçues pour garantir le fonctionnement

continu des réseaux en cas de défaillance d’un composant unique. Le risque
d’interruption du travail est diminué pour les utilisateurs, car le réseau continue à
fonctionner. Toute interruption provoquée par une panne doit être aussi courte que
possible.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

La fiabilité est accrue par la redondance. Un réseau qui est basé sur des
commutateurs ou des ponts introduit des liaisons redondantes entre ces
commutateurs ou ces ponts pour surmonter la panne d’une liaison unique. Ces
connexions introduisent des boucles physiques dans le réseau.

Ces boucles de pontage sont créées de sorte qu’en cas d’échec d’une liaison, une
autre liaison puisse prendre le relais et acheminer le trafic.

Les commutateurs diffusent le trafic sur tous les ports lorsque celui-ci est pour une
destination encore inconnue. Le trafic broadcast et multicast est aussi transmis sur
tous les ports, à l’exception du port sur lequel il est arrivé.

L’en-tête de couche 2 ne comporte pas de durée de vie. Si une trame est envoyée
dans une topologie de commutateurs en boucle de couche 2, elle peut tourner
indéfiniment. La bande passante est gaspillée et le réseau est inutilisable.

Au niveau de la couche 3, la durée de vie est décrémentée et le paquet est

supprimé lorsque la valeur de durée de vie atteint 0. Cela crée un dilemme. Une
topologie physique qui contient des boucles de pontage ou de commutation est
nécessaire sur le plan de la fiabilité, mais un réseau commuté ne peut pas avoir de
boucles.

La solution consiste à autoriser les boucles physiques et à créer une topologie

logique sans boucle. Pour cette topologie logique, le trafic destiné à la ferme de
serveurs connectée à Cat-5 à partir de toute station de travail utilisateur reliée à
Cat-4 est acheminé par Cat-1 et Cat-2, et ce même s’il existe une connexion
physique directe entre Cat-5 et Cat-4.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

La topologie logique sans boucle créée est appelée un arbre. Cette topologie
logique, en étoile étendue ou non, correspond donc à l'arbre de recouvrement
(Spanning Tree) du réseau. Il s'agit d'un arbre de recouvrement car toutes les unités
du réseau sont accessibles ou «recouvertes».

L’algorithme utilisé pour créer cette topologie logique sans boucle est l’algorithme
«spanning tree». La convergence de cet algorithme peut prendre du temps. Un
nouvel algorithme appelé algorithme spanning tree «rapide» (RSTP) est introduit
pour réduire la durée de calcul d’une topologie logique sans boucle par un réseau.

4.1.1. Fonctionnement du Spanning Tree

Lorsque le réseau a été stabilisé, il a convergé et il existe un Spanning Tree par

réseau.

En conséquence, chaque réseau commuté contient les éléments suivants:

 Un pont racine par réseau

 Un port racine par pont non racine
 Un port désigné par segment
 Des ports non désignés inutilisés

Les ports racine et les ports désignés sont utilisés pour la transmission (F) du trafic
de données.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Les ports non désignés suppriment le trafic de données. Ces ports sont appelés
ports de blocage (B) ou de suppression.

Les vlans
A- Qu'est-ce qu'un VLAN ?
Un VLAN, ou Virtual Local Area Network, est une technologie de réseau qui
permet de diviser un réseau local physique en plusieurs segments logiques
distincts, également appelés VLANs. Chaque VLAN agit comme s'il s'agissait
d'un réseau local indépendant, même s'il partage le même réseau physique
avec d'autres VLANs.

B- Avantages des VLANs.

Les VLANs offrent plusieurs avantages significatifs dans la gestion des réseaux
informatiques et la sécurisation des données. Voici quelques-uns des principaux
avantages des VLANs :

1. Sécurité améliorée :

 Les VLANs isolent le trafic entre les différents groupes logiques, ce qui
réduit les risques de sécurité en limitant l'accès non autorisé aux données
sensibles.
 Les listes de contrôle d'accès (ACL) peuvent être utilisées pour contrôler et
restreindre le trafic entre les VLANs, renforçant ainsi la sécurité.

2. Segmentation du réseau :
 La segmentation logique permet de diviser un réseau physique en
plusieurs segments virtuels, ce qui facilite la gestion des ressources et de
la bande passante.
 Les problèmes de réseau, tels que les collisions, sont contenus dans des
VLANs spécifiques, ce qui limite leur impact sur l'ensemble du réseau.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

3. Optimisation du trafic :
 Les VLANs limitent la diffusion des paquets aux membres du même VLAN,
réduisant ainsi le trafic inutile et améliorant les performances du réseau.
 Les VLANs permettent de mettre en œuvre la qualité de service (QoS)
pour prioriser certains types de trafic, tels que la voix sur IP (VoIP).

4. Flexibilité et évolutivité :
 Les VLANs sont flexibles et peuvent être rapidement reconfigurés pour
répondre aux besoins changeants de l'organisation sans nécessiter de
modifications physiques.
 Les VLANs simplifient l'ajout de nouveaux utilisateurs, appareils ou
services au réseau.

5. Gestion efficace :
 Les VLANs facilitent la gestion des ressources réseau en regroupant des
appareils similaires dans des segments logiques.
 La gestion des VLANs permet de mieux contrôler les politiques de sécurité,
de surveillance et de gestion du réseau.

6. Séparation des services :

 Les VLANs permettent de séparer des services ou des applications
spécifiques au sein du réseau. Par exemple, un VLAN distinct peut être
utilisé pour les invités, isolant ainsi leur trafic du réseau principal.

7. Conformité aux normes :

 Les VLANs peuvent être utilisés pour répondre aux exigences de
conformité aux normes de sécurité, telles que la séparation des données
sensibles conformément à la norme PCI DSS.

8. Support pour la virtualisation :

 Les VLANs sont essentiels pour prendre en charge les environnements de
virtualisation, où plusieurs machines virtuelles (VM) peuvent résider sur un
même serveur physique tout en appartenant à des VLANs différents.

9. Réduction des coûts :

 En permettant une utilisation plus efficace des ressources réseau, les
VLANs peuvent contribuer à réduire les coûts opérationnels.

En somme, les VLANs offrent des avantages significatifs en matière de sécurité,

de segmentation, de gestion, d'optimisation du trafic et de flexibilité pour les
réseaux informatiques. Ils sont largement utilisés dans les entreprises et les
organisations pour améliorer la performance et la sécurité de leurs
infrastructures réseau.

C- Types de VLANs

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Il existe plusieurs types de VLANs qui sont utilisés pour différentes finalités dans
les réseaux informatiques. Voici quelques-uns des types de VLANs les plus
courants :

1. VLAN natif :
 Le VLAN natif est le VLAN par défaut sur un commutateur, généralement le
VLAN 1. Il est utilisé pour le trafic non étiqueté qui entre ou sort du
commutateur.
 Le trafic non étiqueté est celui qui n'a pas de balise VLAN et est
généralement destiné au VLAN natif.

2. VLAN de gestion :
 Le VLAN de gestion est utilisé pour l'administration du réseau. Il permet
d'accéder aux commutateurs, routeurs et autres équipements réseau pour
la configuration et la surveillance.
 Les dispositifs du VLAN de gestion sont généralement limités aux
administrateurs réseau.

3. VLAN de données :
 Les VLANs de données sont utilisés pour les utilisateurs finaux et les
dispositifs qui nécessitent un accès aux ressources partagées, telles que
les serveurs de fichiers et les imprimantes.
 Les VLANs de données sont souvent subdivisés en sous-VLANs pour une
gestion plus fine.
4. VLAN de voix (Voice VLAN) :
 Les VLANs de voix sont utilisés pour séparer le trafic vocal sur un réseau
VoIP (Voice over IP). Ils garantissent une qualité de service (QoS) optimale
pour le trafic vocal.
 Les téléphones VoIP sont généralement placés dans un VLAN de voix
distinct.

5. VLAN invité (Guest VLAN) :

 Les VLANs invités sont utilisés pour isoler le trafic des invités, tels que les
visiteurs d'une entreprise, du réseau principal.
 Les dispositifs du VLAN invité ont un accès limité aux ressources internes
de l'entreprise.

6. VLAN communautaire (Community VLAN) :

 Les VLANs communautaires sont utilisés pour regrouper des utilisateurs ou
des dispositifs ayant des besoins de communication spécifiques.
 Ils sont souvent utilisés pour des groupes de travail ou des départements
spécifiques.

7. VLAN d'infrastructure (Infrastructure VLAN) :

 Les VLANs d'infrastructure sont utilisés pour gérer le trafic entre les
équipements réseau, tels que les commutateurs et les routeurs.
 Ils garantissent que le trafic de gestion et de contrôle du réseau est isolé
du trafic utilisateur.

8. VLAN de liaison montante (Trunk VLAN) :

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

 Les VLANs de liaison montante sont utilisés pour transporter plusieurs
VLANs sur une seule liaison (trunk) entre les commutateurs.
 Ils permettent de créer une connectivité entre les commutateurs tout en
maintenant l'isolation des VLANs.

9. VLAN de sécurité (Security VLAN) :

 Les VLANs de sécurité sont utilisés pour renforcer la sécurité du réseau en
isolant les dispositifs critiques ou sensibles.
 Ils peuvent être utilisés pour restreindre l'accès aux ressources sensibles.

Il est important de noter que ces types de VLANs sont des exemples courants,
mais la configuration exacte des VLANs peut varier en fonction des besoins
spécifiques de chaque réseau. Les administrateurs réseau doivent planifier
soigneusement l'architecture des VLANs pour répondre aux exigences de leur
organisation.

D- Comment créer et configurer un Vlan ?

Si vous souhaitez créer un VLAN sur un commutateur Cisco en utilisant des
commandes en ligne de commande (CLI), voici les étapes générales pour le
faire. Veuillez noter que la syntaxe exacte peut varier légèrement en fonction
du modèle de commutateur et de la version du logiciel Cisco IOS que vous
utilisez. Assurez-vous de vous connecter au commutateur via une connexion
console ou SSH pour exécuter ces commandes.

1. Accédez au mode d'administration : Connectez-vous au commutateur Cisco

et accédez au mode d'administration en entrant votre nom d'utilisateur et votre
mot de passe.
2. Accédez au mode de configuration globale : Une fois connecté, entrez dans
le mode de configuration globale en tapant la commande suivante :

Enable
Configure terminal

3. Créez un VLAN : Pour créer un VLAN, utilisez la commande vlan suivie du

numéro d'identifiant du VLAN et du nom du VLAN (facultatif). Par exemple, pour
créer un VLAN avec l'ID 10 et le nom "Direction", tapez :

Vlan 10
Name Direction

4. Sortez du mode de configuration VLAN : Après avoir créé le VLAN, sortez du

mode de configuration VLAN en tapant exit.

5. Affectez des ports au VLAN : Utilisez la commande interface range pour

sélectionner les ports auxquels vous souhaitez affecter le VLAN, puis utilisez la
commande switchport access vlan pour associer ces ports au VLAN que vous avez
créé. Par exemple, pour affecter les ports de 1 à 10 au VLAN 10, tapez :

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Interface range Fa0/1 - 10
Switchport mode access
Switchport access vlan 10

6. Sortez du mode de configuration d'interface : Après avoir configuré les

ports, sortez du mode de configuration de l'interface en tapant exit.

7. Enregistrez la configuration : N'oubliez pas d'enregistrer votre configuration

en utilisant la commande write memory ou copy running-config startup-config pour
que les modifications soient persistantes après un redémarrage du commutateur.

8. Vérifiez la configuration : Vous pouvez vérifier votre configuration en utilisant

des commandes telles que show vlan pour afficher la liste des VLANs configurés
ou show interfaces pour vérifier les ports associés à chaque VLAN.

Les vlan VoixIP

Pour configurer un VLAN Voix sur IP (Voice VLAN) sur un commutateur Cisco, vous
devez créer un VLAN pour la voix, associer ce VLAN aux ports des téléphones VoIP et
configurer les ports d'accès pour prendre en charge le VLAN voix. Voici comment le
faire :

1. Accédez au mode de configuration globale : Connectez-vous au

commutateur Cisco et accédez au mode de configuration globale en
tapant la commande suivante :

enable
configure terminal

2. Créez un VLAN pour la voix : Utilisez la commande vlan suivie du

numéro d'identifiant du VLAN de voix et, éventuellement, d'un nom
descriptif pour le VLAN de voix. Par exemple, pour créer un VLAN de
voix avec l'ID 20, vous pouvez taper :

vlan 20
name VoixIP

3. Associez le VLAN voix aux ports des téléphones VoIP : Utilisez

la commande interface range pour sélectionner les ports auxquels
sont connectés les téléphones VoIP, puis utilisez la commande
switchport voice vlan pour associer ces ports au VLAN de voix que
vous avez créé. Par exemple, pour affecter les ports de 1 à 10 au
VLAN de voix 20, tapez :

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

interface range Fa0/1 - 10
switchport voice vlan 20

4. Configurez les ports d'accès pour prendre en charge la voix :

Vous devez également configurer les ports d'accès pour prendre en
charge la voix en utilisant la commande switchport mode access. Par
exemple :

switchport mode access

4.2.

Le Trunking.
Le trunking est une technique de gestion du trafic réseau qui permet de
transporter plusieurs VLANs (Virtual Local Area Networks) sur une seule liaison
physique entre deux commutateurs ou entre un commutateur et un routeur. Le
trunking est couramment utilisé pour simplifier la gestion des VLANs et
permettre aux réseaux de communiquer efficacement. Voici quelques notions
importantes sur le trunking :

1. But du trunking : Le trunking permet de faire passer plusieurs VLANs sur une
seule liaison physique. Cela signifie qu'un seul câble ou une seule connexion
logique peut transporter le trafic de plusieurs VLANs, ce qui réduit la complexité
du câblage physique et optimise l'utilisation de la bande passante.

2. Protocoles de trunking : Il existe plusieurs protocoles de trunking couramment

utilisés, notamment :
 802.1Q : Il s'agit du protocole de trunking VLAN standard qui ajoute une
balise VLAN à chaque trame Ethernet pour indiquer à quel VLAN elle
appartient.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

 ISL (Inter-Switch Link) : Un protocole de trunking propriétaire
développé par Cisco qui encapsule chaque trame dans un en-tête ISL. Il
est moins couramment utilisé de nos jours.
3. Configuration du trunking : Pour configurer le trunking, vous devez activer le
mode trunk sur les ports des commutateurs connectés. Cela se fait généralement
en utilisant la commande switchport mode trunk . Vous pouvez également
spécifier le protocole de trunking (802.1Q ou ISL) si nécessaire.

4. Balises VLAN : Lorsqu'une trame est envoyée via une liaison en mode trunk,
elle est accompagnée d'une balise VLAN qui indique à quel VLAN elle appartient.
Cette balise permet aux commutateurs distants de savoir comment traiter la
trame et dans quel VLAN elle doit être placée.

5. Utilisation de la bande passante : Le trunking optimise l'utilisation de la

bande passante en permettant à plusieurs VLANs de partager une seule liaison
physique. Cependant, il est important de surveiller la bande passante disponible
sur la liaison pour éviter la congestion.

6. Séparation des VLANs : Bien que plusieurs VLANs partagent la même liaison
physique en mode trunk, ils restent logiquement séparés les uns des autres. Cela
signifie que les trames d'un VLAN ne sont généralement pas visibles pour les
autres VLANs, sauf si des politiques de filtrage sont appliquées.

7. Interopérabilité : Les protocoles de trunking standard, comme 802.1Q,

permettent l'interopérabilité entre des équipements réseau de différents
fabricants, ce qui facilite la création de réseaux hétérogènes.

8. Sécurité : La sécurité est importante dans les configurations de trunking. Les

VLANs sensibles ou critiques doivent être correctement isolés, et des
mécanismes de sécurité, tels que les listes de contrôle d'accès (ACL), doivent
être utilisés pour contrôler le trafic entre les VLANs.

Autoriser ou interdire un vlan sur une liaison trunk

Pour autoriser ou interdire un VLAN sur une liaison trunk, vous pouvez utiliser la
commande switchport trunk allowed vlan sur l'interface de la liaison trunk. Cette
commande vous permet de spécifier explicitement quels VLANs sont autorisés à
travers la liaison trunk et quels VLANs sont interdits.

Voici comment autoriser ou interdire un VLAN sur une liaison trunk :

1. Accédez au mode de configuration globale : Connectez-vous au

commutateur Cisco et accédez au mode de configuration globale en tapant la
commande suivante :

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

enable
configure terminal

2. Accédez à la configuration de l'interface : Utilisez la commande interface

suivie du numéro de l'interface que vous souhaitez configurer en mode trunk. Par
exemple, pour l'interface GigabitEthernet0/1, tapez :

interface GigabitEthernet0/1

3. Configurez les VLANs autorisés : Utilisez la commande switchport trunk

allowed vlan pour spécifier quels VLANs sont autorisés à travers la liaison trunk.
Vous pouvez utiliser l'argument add pour ajouter des VLANs à la liste autorisée
ou remove pour les retirer. Par exemple, pour autoriser les VLANs 10, 20 et 30,
tapez :

switchport trunk allowed vlan add 10,20,30

Si vous souhaitez interdire un VLAN particulier, vous pouvez utiliser la commande

remove de la manière suivante :

switchport trunk allowed vlan remove 40

Le vlan natif
Le VLAN natif, généralement associé au VLAN 1 par défaut,
est le VLAN sur lequel les trames non étiquetées sont placées
lorsqu'elles entrent sur une liaison trunk. Vous pouvez
configurer le VLAN natif sur une liaison trunk en utilisant la
commande switchport trunk native vlan sur l'interface du
commutateur. Voici comment configurer le VLAN natif :

1. Accédez au mode de configuration globale : Connectez-

vous au commutateur Cisco et accédez au mode de
configuration globale en tapant la commande suivante :

enable
configure terminal

2. Accédez à la configuration de l'interface : Utilisez la

commande interface suivie du numéro de l'interface que vous
souhaitez configurer. Par exemple, pour l'interface
GigabitEthernet0/1, tapez :

interface GigabitEthernet0/1

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

3. Configurez le VLAN natif : Utilisez la commande switchport
trunk native vlan suivie du numéro du VLAN que vous souhaitez
définir comme VLAN natif. Par exemple, pour définir le VLAN 20
comme VLAN natif, tapez :

switchport trunk native vlan 20

Remarque : Assurez-vous que le VLAN que vous choisissez

comme VLAN natif est configuré sur l'ensemble du réseau et
est cohérent des deux côtés de la liaison trunk. Sinon, des
problèmes de connectivité peuvent survenir.

La configuration du VLAN natif sur une liaison trunk est

importante pour s'assurer que les trames non étiquetées (par
exemple, celles provenant d'appareils ne prenant pas en
charge le tagging VLAN) sont correctement gérées sur le
réseau. Assurez-vous que le VLAN natif est cohérent sur
l'ensemble de votre réseau pour éviter les problèmes de
communication.

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Le protocole VTP (VLAN Trunking Protocol)

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC
 La segmentation LAN

Sommaire

1. Introduction.................................................................................................. 2
2. Agrégation (Trunking).................................................................................. 2
2.1.1. Historique de l’agrégation.................................................................2
2.1.2. Concepts d’agrégation.......................................................................3
2.1.3. Fonctionnement d’une agrégation de VLAN......................................4
2.1.4. VLAN et agrégation............................................................................5
2.1.5. Mise en œuvre de l’agrégation de VLAN............................................5
3. VTP (Virtual Trunking Protocol)....................................................................6
3.1.1. Concepts VTP..................................................................................... 6
3.1.2. Fonctionnement de VTP.....................................................................6
3.1.3. Mise en œuvre de VTP.......................................................................8
3.1.4. Configuration de VTP.........................................................................9
4. Routage entre VLAN................................................................................... 11
4.1.1. Introduction au routage entre VLAN................................................12
4.1.2. Interfaces physiques et logiques.....................................................14
4.1.3. Séparation des interfaces physiques en sous-interfaces.................15
4.1.4. Configuration du routage entre des VLAN.......................................16

Document Millésime Page

OFPPT @ [Link] février 25 1 - 192
 La segmentation LAN

[Link]

Les premiers VLAN étaient difficiles à mettre en œuvre sur les réseaux. La plupart
des VLAN étaient définis sur chaque commutateur, ce qui signifie que la création
de VLAN sur un réseau étendu était une tâche complexe. Chaque fabricant de
commutateur avait une conception différente de la mise en place des VLAN sur
leurs commutateurs, ce qui compliquait davantage le processus. Le concept
d’agrégation de VLAN a été développé pour résoudre ces problèmes.

Le mécanisme d’agrégation de VLAN permet de définir de nombreux VLAN au

sein d’une société en ajoutant des étiquettes spéciales aux trames pour identifier
le VLAN auquel elles appartiennent. Cet étiquetage permet à de nombreux VLAN
d’être transférés sur un backbone commun ou sur une agrégation. L’agrégation
de VLAN est standardisée à l’aide du protocole d’agrégation IEEE 802.1Q
aujourd’hui largement utilisé. Le protocole ISL (Inter-Switch Link) de Cisco est un
protocole d’agrégation propriétaire qui peut être mis en œuvre dans la plupart
des réseaux Cisco.

L’agrégation de VLAN utilise des trames étiquetées pour permettre le transport

de plusieurs VLAN sur un large réseau commuté par le biais de backbones
partagés. La configuration et la mise à jour manuelles du protocole VTP (VLAN
Trunking Protocol) sur de nombreux commutateurs est un vrai défi. VTP présente
un avantage: une fois qu’un réseau a été configuré avec VTP, la plupart des
tâches de configuration VLAN sont automatiques .

[Link]égation (Trunking)

6.1.1. Historique de l’agrégation

L'apparition de l'agrégation (trunking) remonte aux origines des technologies
radio et de téléphonie. Dans les technologies radio, une agrégation est une ligne
de communication simple qui transporte plusieurs canaux de signaux radio.

Dans l’industrie de la téléphonie, le concept d’agrégation est associé au canal ou

à la voie de communication téléphonique entre deux points. L’un de ces deux
points est généralement le central téléphonique. Des agrégations partagées
peuvent également être créées pour la redondance entre centraux
téléphoniques.

Le concept utilisé par les industries de la radio et de la téléphonie a ensuite été

adopté pour les communications de données. Dans un réseau de communication,
une liaison de backbone entre un répartiteur principal et un répartiteur
intermédiaire en est un exemple. Un backbone est composé d’un certain nombre
d’agrégations.

Document Millésime Page

OFPPT @ [Link] février 25 2 - 192
 La segmentation LAN

Actuellement, le même principe d’agrégation est appliqué aux technologies de

commutation de réseaux. Une agrégation est une connexion physique et logique
entre deux commutateurs par lesquels le trafic réseau est acheminé.

6.1.2. Concepts d’agrégation

Comme nous l’avons indiqué précédemment, une agrégation est une connexion
physique et logique entre deux commutateurs par lesquels le trafic réseau est
acheminé. Il s’agit d’un canal de transmission simple entre deux points. Ces
points sont généralement des centres de commutation.

Dans le contexte d’un environnement de commutation VLAN, une agrégation de

VLAN est une liaison point-à-point physique ou logique qui prend en charge
plusieurs VLAN. L’objectif d’une agrégation de VLAN est d'économiser des ports
lors de la création d’une liaison entre deux unités contenant des VLAN.

La figure illustre deux VLAN répartis sur deux commutateurs (Sa et Sb). Chaque
commutateur utilise deux liaisons physiques, de sorte que chaque port transporte
le trafic d’un VLAN unique. Il s’agit de la méthode la plus simple de mise en
œuvre d’une communication VLAN entre commutateurs, mais elle n’offre pas une
évolutivité suffisante.

L’ajout d’un troisième VLAN nécessiterait l’utilisation de deux ports additionnels,

un pour chaque commutateur connecté. Cette configuration est également
inefficace en termes de partage de charges. De plus, le trafic sur certains VLAN
peut ne pas justifier une liaison dédiée. Le concept d'agrégation de VLAN
consiste à regrouper plusieurs liaisons virtuelles sur une liaison physique unique
en permettant la transmission du trafic de plusieurs VLAN sur un câble unique
entre les commutateurs.

Document Millésime Page

OFPPT @ [Link] février 25 3 - 192
 La segmentation LAN

Une agrégation est semblable à un réseau autoroutier. Les routes avec différents
points de départ et d’arrivée partagent une autoroute principale pendant
quelques kilomètres, puis se divisent pour atteindre leurs destinations. Cette
méthode est plus économique que la création d’une route complète du début à la
fin pour chaque destination existante ou nouvelle

6.1.3. Fonctionnement d’une agrégation de VLAN

Les tables de commutation aux deux extrémités de l’agrégation peuvent être
utilisées pour prendre des décisions de transmission sur la base des adresses
MAC de destination des trames. Lorsque le nombre de VLAN circulant sur
l’agrégation augmente, les décisions de transmission deviennent plus difficiles à
gérer. Le processus de prise de décision est ralenti car le traitement de tables de
commutation volumineuses prend plus de temps.

Des protocoles d’agrégation ont été développés pour gérer efficacement le

transfert de trames de différents VLAN sur une liaison physique unique. Les
protocoles d’agrégation définissent un consensus pour la distribution de trames
aux ports associés aux deux extrémités de l’agrégation.

Actuellement, il existe deux types de mécanismes d’agrégation: le filtrage des

trames et l’étiquetage des trames. L’étiquetage des trames a été adopté par
l’IEEE comme mécanisme d’agrégation standard.

Filtrage du trame Etiquetage du trame

Les protocoles d’agrégation qui utilisent un mécanisme d’étiquetage des trames

affectent un identifiant aux trames pour faciliter leur gestion et permettre un
acheminement plus rapide des trames.

Document Millésime Page

OFPPT @ [Link] février 25 4 - 192
 La segmentation LAN

La liaison physique unique entre les deux commutateurs est capable de

transporter le trafic pour n’importe quel VLAN. Pour cela, chaque trame envoyée
sur la liaison est étiquetée afin d’identifier le VLAN auquel elle appartient. Il
existe plusieurs systèmes d’étiquetage. Les systèmes d’étiquetage les plus
courants pour les segments Ethernet sont répertoriés ci-dessous:

 ISL (Inter-Switch Link) – Protocole propriétaire de Cisco

 802.1Q – Norme IEEE plus particulièrement traitée dans cette section

6.1.4. VLAN et agrégation

Des protocoles ou des règles spécifiques sont utilisés pour mettre en œuvre une
agrégation. L’agrégation fournit une méthode efficace de distribution des ID de
VLAN aux autres commutateurs.

L’utilisation de l’étiquetage de trames comme mécanisme d’agrégation standard,

par opposition au filtrage de trames, fournit une solution plus évolutive au
déploiement VLAN. Selon la norme IEEE 802.1Q, l’étiquetage de trames est la
meilleure façon de mettre en œuvre des LAN virtuels.

La méthode d’étiquetage des trames VLAN a été développée spécialement pour

les communications commutées. Cette méthode place un identificateur unique
dans l’en-tête de chaque trame au moment où celle-ci est acheminée dans le
backbone du réseau. L’identificateur est interprété et examiné par chaque
commutateur avant tout broadcast ou transmission à d’autres commutateurs,
routeurs ou équipements de station d'extrémité. Lorsque la trame quitte le
backbone du réseau, le commutateur retire l’identificateur avant de transmettre
la trame à la station d’extrémité cible. L’étiquetage des trames est effectué au
niveau de la couche 2; il nécessite des temps de traitement ou d'administration
peu importants.

Il est important de comprendre qu'un lien multi-VLAN n'appartient à aucun VLAN

spécifique. Un lien multi-VLAN doit servir de canal pour les VLAN entre les
commutateurs et les routeurs.

ISL est un protocole qui met à jour les informations VLAN au fur et à mesure du
transfert du trafic entre les commutateurs. Avec ISL, une trame Ethernet est
encapsulée avec un en-tête contenant un ID de VLAN

6.1.5. Mise en œuvre de l’agrégation de VLAN

Pour créer ou configurer une agrégation de VLAN sur un commutateur à base de
commandes Cisco IOS, configurez d'abord le port en mode d'agrégation de VLAN
puis spécifiez l’encapsulation d’agrégation à l’aide des commandes suivantes:

Vérifiez que le mécanisme d'agrégation a été configuré et contrôlez les

paramètres en utilisant les commandes show interfacesFa0/[num_port] ou
show interfacestrunk en mode privilégié sur le commutateur

Document Millésime Page

OFPPT @ [Link] février 25 5 - 192
 La segmentation LAN

[Link] (Virtual Trunking Protocol)

7.1.1. Concepts VTP

Le rôle de VTP est de maintenir la cohérence de la configuration VLAN sur un
domaine d’administration réseau commun. VTP est un protocole de messagerie
qui utilise les trames d’agrégation de couche 2 pour gérer l’ajout, la suppression
et l’attribution de nouveaux noms aux VLAN sur un domaine unique. De plus, VTP
autorise les changements centralisés qui sont communiqués à tous les autres
commutateurs du réseau.

Les messages VTP sont encapsulés dans des trames de protocole Cisco ISL (Inter-
Switch Link) ou IEEE 802.1Q, puis transmis sur des liens multi-VLAN aux autres
unités. Dans les trames IEEE 802.1Q, un champ sur 4 octets est ajouté pour
étiqueter les trames. Les deux formats transportent l’ID du VLAN.

Alors que les ports de commutateur sont normalement affectés à un seul VLAN,
les ports multi-VLAN transportent, par défaut, les trames de tous les VLAN.

7.1.2. Fonctionnement de VTP

Un domaine VTP est composé d’un ou de plusieurs équipements interconnectés
qui partagent le même nom de domaine VTP. Un commutateur ne peut
appartenir qu’à un seul domaine VTP.

Lorsqu’un message VTP est transmis aux autres commutateurs du réseau, il est
encapsulé dans une trame de protocole d’agrégation comme ISL ou IEEE 802.1Q.

La figure illustre l’encapsulation générale pour VTP à l’intérieur d’une trame ISL.
L’en-tête VTP varie en fonction du type de message VTP, mais quatre éléments
sont généralement inclus dans tous les messages VTP:

 Version du protocole VTP: version 1 ou 2

 Type de message VTP: indique l’un des quatre types
 Longueur du nom de domaine de gestion: indique la taille du nom qui suit
 Nom du domaine de gestion: nom configuré pour le domaine de gestion

Les commutateurs VTP exécutent l’un des trois modes suivants:

Document Millésime Page

OFPPT @ [Link] février 25 6 - 192
 La segmentation LAN

 Serveur
 Client
 Transparent

Les serveurs VTP peuvent créer, modifier et supprimer un VLAN et des

paramètres de configuration VLAN pour l’ensemble du domaine. Les serveurs VTP
enregistrent les informations de configuration VLAN dans la mémoire NVRAM du
commutateur. Les serveurs VTP envoient des messages VTP par tous les ports
multi-VLAN.

Les clients VTP ne peuvent pas créer, modifier ou supprimer des informations
VLAN. Ce mode est utile pour les commutateurs qui manquent de mémoire pour
stocker de grandes tables d’informations VLAN. Le seul rôle des clients VTP est
de traiter les modifications VLAN et d’envoyer des messages VTP par tous les
ports multi-VLAN.

Les commutateurs en mode transparent VTP transmettent des annonces VTP

mais ignorent les informations contenues dans le message. Un commutateur
transparent ne modifie pas sa base de données lors de la réception de mises à
jour et il n’envoie pas de mises à jour indiquant une modification apportée à son
état VLAN. Excepté pour la transmission d’annonces VTP, le protocole VTP est
désactivé sur un commutateur transparent.

Les VLAN détectés au sein des annonces servent de notification pour indiquer au
commutateur qu'un trafic transportant les nouveaux ID de VLAN peut être
attendu.

Dans la figure, le commutateur C transmet une entrée de base de données VTP

avec des ajouts ou des suppressions aux commutateurs A et B. La base de
données de configuration dispose d’un numéro de révision qui est incrémenté de

Document Millésime Page

OFPPT @ [Link] février 25 7 - 192
 La segmentation LAN

un. Un numéro de révision de configuration supérieur indique que les

informations VLAN envoyées sont plus récentes que la copie stockée. Chaque fois
qu’un commutateur reçoit une mise à jour avec un numéro de révision de
configuration supérieur, il remplace les informations stockées par les nouvelles
informations envoyées dans la mise à jour VTP. Le commutateur F ne traite pas la
mise à jour, car il appartient à un autre domaine. Avec ce processus de
remplacement, lorsque le VLAN n’existe pas dans la nouvelle base de données, il
est supprimé du commutateur. En outre, VTP met à jour sa propre configuration
dans la mémoire NVRAM.

La commande erase startup-configuration efface les commandes de

configuration en mémoire NVRAM, à l’exception du numéro de révision de la base
de données VTP. Pour redéfinir le numéro de révision de configuration sur zéro, le
commutateur doit être redémarré

7.1.3. Mise en œuvre de VTP

Grâce à VTP, chaque commutateur annonce sur les ports multi-VLAN, son
domaine de gestion, son numéro de révision de configuration, les VLAN qu’il
connaît et les paramètres correspondants. Ces trames d’annonce sont envoyées
à une adresse multicast, de sorte que toutes les unités voisines puissent recevoir
les trames. Toutefois, les trames ne sont pas transmises au moyen des
procédures de pontage habituelles. Toutes les unités du même domaine de
gestion acquièrent des informations sur les nouveaux VLAN configurés dans
l’unité émettrice. Un nouveau VLAN doit être créé et configuré sur une unité
uniquement dans le domaine de gestion. Toutes les autres unités du même
domaine de gestion apprennent automatiquement les informations.

Les annonces sur les VLAN par défaut sont basées sur les types de média. Les
ports utilisateur ne doivent pas être configurés en tant qu’agrégations VTP.

Chaque annonce commence par le numéro de révision de configuration 0.

Lorsque des modifications sont apportées, le numéro de révision de la
configuration augmente de un (n + 1). Le numéro de révision continue
d’augmenter jusqu’au numéro 2 147 483 648. Une fois ce numéro atteint, le
compteur est remis à zéro.

Il existe deux types d’annonce VTP:

 les demandes émanant de clients qui réclament des informations au

démarrage;
 les réponses des serveurs.

Il existe trois types de message VTP:

 les demandes d’annonce;

 les annonces de type résumé;
 les annonces de type sous-ensemble.

Document Millésime Page

OFPPT @ [Link] février 25 8 - 192
 La segmentation LAN

Avec les demandes d’annonce, les clients demandent des informations VLAN et
le serveur répond avec des annonces de type résumé ou sous-ensemble.

Par défaut, les commutateurs serveur et client Catalyst émettent des annonces
de type résumé toutes les cinq minutes. Les serveurs indiquent aux
commutateurs voisins ce qu’ils pensent être le numéro de révision VTP actuel. Si
les noms de domaine correspondent, le serveur ou client récepteur compare le
numéro de révision de la configuration. Si le numéro de révision dans l’annonce
est supérieur à celui qui figure actuellement dans le commutateur récepteur, ce
dernier émet une demande d’annonce pour les nouvelles informations VLAN.

Les annonces de type sous-ensemble contiennent des informations détaillées sur

les VLAN, telles que le type de version VTP, le nom du domaine et les champs
associés, ainsi que le numéro de révision de la configuration. Les événements
suivants peuvent créer ces annonces:

 Création ou suppression d’un VLAN

 Arrêt ou activation d’un VLAN
 Modification du nom d’un VLAN
 Modification de la MTU d’un VLAN

Les annonces peuvent contenir toutes ou une partie des informations suivantes :

 Nom du domaine de gestion. Les annonces contenant des noms différents

sont ignorées.
 Numéro de révision de la configuration. Un numéro supérieur reflète une
configuration plus récente.
 Algorithme MD5. MD5 est la clé envoyée avec VTP lorsqu’un mot de passe
a été affecté. Si la clé ne correspond pas, la mise à jour est ignorée.
 Identité de l’unité de mise à jour. Il s’agit de l’identité du commutateur qui
envoie l’annonce de type résumé VTP.

7.1.4. Configuration de VTP

Les tâches de base suivantes doivent être effectuées avant de configurer le
protocole VTP et les VLAN sur le réseau.

1. Déterminez le numéro de la version de VTP qui sera utilisée.

2. Indiquez si ce commutateur sera un membre d’un domaine de gestion
existant ou si un nouveau domaine doit être créé. Si un domaine de
gestion existe, déterminez son nom et son mot de passe.
3. Choisissez un mode VTP pour le commutateur.

Deux versions différentes de VTP sont disponibles: la version 1 et la version 2.

Les deux versions ne peuvent pas fonctionner ensemble. Si un commutateur est
configuré dans un domaine pour VTP version 2, tous les commutateurs du même
domaine doivent l’être aussi. VTP version 1 est la valeur par défaut. La version 2
de VTP peut être mise en œuvre si certaines des fonctions qu’elle offre ne sont
pas proposées dans la version 1. La fonction la plus couramment utilisée est la
prise en charge VLAN Token Ring.

Pour configurer la version de VTP sur un commutateur à base de commandes

Cisco IOS, passez d’abord en mode base de données VLAN.

Document Millésime Page

OFPPT @ [Link] février 25 9 - 192
 La segmentation LAN

Utilisez la commande suivante pour changer le numéro de version de VTP:

Switch#vlan database
Switch(vlan)#vtp v2-mode

Ou

Switch(config)# vtp version 2

Switch(config)# vtp domain ISMO
Switch(config)# vtp mode server

Si le commutateur installé est le premier commutateur du réseau, créez le

domaine de gestion. Si le domaine de gestion a été sécurisé, configurez un mot
de passe.

Pour créer un domaine de gestion, utilisez la commande suivante:

Switch(vlan)#vtp domain cisco

Le nom du domaine peut comporter entre 1 et 32 caractères. Le mot de passe

peut comporter entre 8 et 64 caractères.

Pour ajouter un client VTP à un domaine VTP existant, vérifiez toujours que son
numéro de révision de configuration VTP est inférieur à celui des autres
commutateurs du domaine VTP. Utilisez la commande show vtp status. Les
commutateurs d’un domaine VTP utilisent toujours la configuration VLAN du
commutateur qui porte le numéro de révision de configuration VTP le plus élevé.
Si un commutateur est ajouté et s’il porte un numéro de révision supérieur à
celui du domaine VTP, il peut effacer toutes les informations VLAN du serveur et
du domaine VTP.

Choisissez un des trois modes VTP disponibles pour le commutateur. S’il s’agit du
premier commutateur du domaine de gestion et que d’autres commutateurs vont
être ajoutés, définissez le mode sur serveur. Les autres commutateurs seront en
mesure d’acquérir des informations VLAN de ce commutateur. Il doit y avoir au
moins un serveur.

Des VLAN peuvent être créés, supprimés et renommés à volonté sans que le
commutateur transmette les modifications aux autres commutateurs. Si un grand
nombre de personnes configurent des unités au sein du réseau, il est possible
que deux VLAN avec deux significations différentes mais le même identifiant
soient créés.

Pour définir le mode approprié du commutateur à base de commandes Cisco IOS,

utilisez la commande suivante:

Switch(vlan)#vtp {client | server | transparent}

Document Millésime Page

OFPPT @ [Link] février 25 10 - 192
 La segmentation LAN

La figure présente les informations affichées par la commande show vtp status.
Cette commande permet de vérifier les paramètres de configuration VTP sur un
commutateur à base de commandes Cisco IOS.

[Link] entre VLAN

Un LAN virtuel est un ensemble logique d’unités ou d’utilisateurs qui peuvent

être regroupés par fonction, par service ou par application, quel que soit leur
emplacement physique.

La configuration d’un LAN virtuel est effectuée au niveau du commutateur par le

biais d’un logiciel. La mise en œuvre de VLAN simultanés peut nécessiter
l’utilisation d’un logiciel spécial fourni par le fabricant du commutateur. Le
regroupement de ports et d’utilisateurs en communautés d’intérêt, appelées
organisations VLAN, peut être réalisé par l’utilisation d’un seul commutateur ou
de manière plus efficace sur des commutateurs connectés au sein de
l’entreprise. En regroupant les ports et les utilisateurs de multiples
commutateurs, les LAN virtuels peuvent s’étendre aux infrastructures d’un
immeuble ou à des immeubles interconnectés. Les VLAN participent à l’utilisation

Document Millésime Page

OFPPT @ [Link] février 25 11 - 192
 La segmentation LAN

efficace de la bande passante, car ils partagent le même domaine de broadcast

ou réseau de couche 3. Les VLAN optimisent l'utilisation de la bande passante.
Les VLAN se disputent la même bande passante, bien que les besoins en bande
passante varient considérablement selon le groupe de travail ou le service. Voici
quelques remarques sur la configuration d’un VLAN:

 Un commutateur crée un domaine de broadcast.

 Les LAN virtuels aident à gérer les domaines de broadcast.
 Les LAN virtuels peuvent être définis sur des groupes de ports, des
utilisateurs ou des protocoles.
 Les commutateurs LAN et le logiciel d’administration réseau fournissent un
mécanisme permettant de créer des VLAN.

Les VLAN aident à contrôler la taille des domaines de broadcast et à localiser le

trafic. Les VLAN sont associés à des réseaux individuels. Ainsi, les unités réseau
dans des VLAN différents ne peuvent pas communiquer directement sans
l’intervention d’une unité de routage de couche 3.

Lorsqu’un nœud d’un VLAN doit communiquer avec un nœud d’un autre VLAN, un
routeur est nécessaire pour acheminer le trafic entre les VLAN. Sans unité de
routage, le trafic entre VLAN est impossible.

8.1.1. Introduction au routage entre VLAN

Lorsqu’un hôte d’un domaine de broadcast souhaite communiquer avec un hôte

d’un autre domaine de broadcast, un routeur doit être utilisé.

Le port 1 d’un commutateur fait partie du VLAN 1 et le port 2, du VLAN 200. Si

tous les ports de commutateur faisaient partie du VLAN 1, les hôtes connectés à
ces ports pourraient communiquer. Dans ce cas, néanmoins, les ports
appartiennent à des VLAN différents, le VLAN 1 et le VLAN 200.

Document Millésime Page

OFPPT @ [Link] février 25 12 - 192
 La segmentation LAN

Un routeur doit être utilisé pour que les hôtes des différents VLAN
communiquent.

Le principal avantage du routage est sa faculté à faciliter les échanges sur les
réseaux, notamment sur les grands réseaux. Bien que l’Internet en soit l’exemple
le plus flagrant, cela est vrai pour tout type de réseau, et notamment pour un
grand backbone de campus. Étant donné que les routeurs empêchent la
propagation des broadcasts et utilisent des algorithmes de transmission plus
intelligents que les ponts et les commutateurs, ils permettent d’utiliser plus
efficacement la bande passante. En même temps, ils permettent une sélection de
chemin optimale et flexible. Par exemple, il est très facile de mettre en œuvre
l’équilibrage de charge sur plusieurs chemins dans la plupart des réseaux lors du
routage. D’un autre côté, l’équilibrage de charge de couche 2 peut être très
difficile à concevoir, à mettre en œuvre et à mettre à jour.

Lorsqu’un VLAN s’étend sur plusieurs équipements, une agrégation est utilisée
pour interconnecter les équipements. L’agrégation transporte le trafic de
plusieurs VLAN. Par exemple, une agrégation peut connecter un commutateur à
un autre commutateur, au routeur entre les VLAN ou à un serveur avec une carte
NIC spéciale utilisée pour prendre en charge les agrégations.

N’oubliez pas que quand un hôte d’un VLAN veut communiquer avec un hôte
d’un autre VLAN, un routeur est nécessaire.

8.1.2. Interfaces physiques et logiques

Dans une situation traditionnelle, un réseau avec quatre VLAN nécessite quatre
connexions physiques entre le commutateur et le routeur externe.

Avec l’arrivée de technologies comme ISL (Inter-Switch Link), les concepteurs de

réseau ont commencé à utiliser des liens multi-VLAN pour connecter des routeurs
à des commutateurs. Bien que les technologies d’agrégation comme ISL, 802.1Q,

Document Millésime Page

OFPPT @ [Link] février 25 13 - 192
 La segmentation LAN

802.10 ou LANE (émulation LAN) puissent être utilisées, les approches basées sur
Ethernet comme ISL et 802.1Q sont plus fréquentes.

Le protocole Cisco ISL ainsi que la norme IEEE multifournisseur 802.1Q sont
utilisés pour réunir des VLAN en une agrégation sur des liaisons Fast Ethernet.

La ligne continue dans l’exemple fait référence à la liaison physique unique entre
le commutateur Catalyst et le routeur. Il s’agit de l’interface physique qui
connecte le routeur au commutateur.

Lorsque le nombre de VLAN augmente sur un réseau, l’approche physique

consistant à utiliser une interface de routeur par VLAN devient vite limitée en
termes d’évolutivité. Les réseaux contenant de nombreux VLAN doivent utiliser le
mécanisme d’agrégation de VLAN pour affecter plusieurs VLAN à une interface de
routeur unique.

Les lignes en pointillé dans l’exemple correspondent aux liaisons logiques qui
fonctionnent sur cette liaison physique par le biais de sous-interfaces. Le routeur
peut prendre en charge de nombreuses interfaces logiques sur des liaisons
physiques individuelles. Par exemple, l'interface Fast Ethernet FastEthernet 1/0
pourrait supporter trois interfaces virtuelles s'appelant FastEthernet 1/0.1, 1/0.2
et 1/0.3.

Le principal avantage de l'utilisation d'un lien multi-VLAN est la réduction du

nombre de ports de routeur et de commutateur utilisés. Cela permet non
seulement de réaliser une économie financière, mais peut également réduire la
complexité de la configuration. Par conséquent, l’approche qui consiste à relier
des routeurs par une agrégation peut évoluer vers un plus grand nombre de
VLAN qu’une conception basée sur une liaison par VLAN

8.1.3. Séparation des interfaces physiques en sous-

interfaces

Une sous-interface est une interface logique au sein d’une interface physique,
telle que l’interface Fast Ethernet d’un routeur.

Document Millésime Page

OFPPT @ [Link] février 25 14 - 192
 La segmentation LAN

Plusieurs sous-interfaces peuvent coexister sur une seule interface physique.

Chaque sous-interface prend en charge un VLAN et dispose d’une adresse IP

affectée. Pour que plusieurs unités d’un même VLAN communiquent, les adresses
IP de toutes les sous-interfaces maillées doivent être sur le même réseau ou
sous-réseau. Par exemple, si la sous-interface FastEthernet 0/0.1 a l’adresse IP
[Link], alors [Link], [Link] et [Link] sont les adresses IP des
unités connectées à la sous-interface FastEthernet0/0.1.

Pour le routage entre VLAN avec sous-interfaces, une sous-interface doit être
créée pour chaque VLAN.

La section suivante évoque les commandes nécessaires à la création de sous-

interfaces et à l’application d’un protocole d’agrégation et d’une adresse IP à
chaque sous-interface

8.1.4. Configuration du routage entre des VLAN

Cette section présente les commandes nécessaires pour configurer un routage

inter-VLAN entre un routeur et un commutateur. Avant de mettre en œuvre ces
commandes, il est nécessaire de vérifier sur chaque routeur et commutateur le
type d’encapsulation VLAN pris en charge. Les commutateurs Catalyst 2950
acceptent les agrégations 802.1Q depuis le lancement de la plate-forme logicielle
Cisco IOS version 12.0(5.2)WC(1), mais ils ne prennent pas en charge les
agrégations ISL (Inter-Switch Link). Pour que le routage entre VLAN fonctionne
correctement, tous les routeurs et commutateurs concernés doivent accepter la
même encapsulation.

Document Millésime Page

OFPPT @ [Link] février 25 15 - 192
 La segmentation LAN

Sur un routeur, une interface peut être logiquement divisée en plusieurs sous-
interfaces virtuelles. Les sous-interfaces fournissent une solution flexible pour le
routage de plusieurs flux de données via une interface physique unique. Pour
définir des sous-interfaces sur une interface physique, effectuez les tâches
suivantes:

 Identifiez l’interface.
 Définissez l’encapsulation VLAN.
 Attribuez une adresse IP à l’interface.

Pour identifier l’interface, utilisez la commande interface en mode de

configuration globale.

Router(config)#interface fastethernet numéro-port. numéro-sous-

interface

La variable numéro-port identifie l’interface physique tandis que la variable

numéro-sous-interface identifie l’interface virtuelle.

Le routeur doit être capable de communiquer avec le commutateur à l’aide d’un

protocole d’agrégation standardisé. Cela signifie que les deux unités
interconnectées doivent se comprendre mutuellement. Dans l’exemple, 802.1Q
est utilisé. Pour définir l’encapsulation VLAN, saisissez la commande
encapsulation en mode de configuration d’interface.

Router(config-subif)#encapsulation dot1Q numéro-vlan

La variable numéro-vlan identifie le VLAN pour lequel la sous-interface achemine

le trafic. Un ID de VLAN est ajouté à la trame uniquement lorsque celle-ci est
destinée à un réseau non local. Chaque paquet VLAN transporte l’ID du VLAN
dans son en-tête.

Pour affecter l’adresse IP à la sous-interface, entrez la commande suivante en

mode de configuration d’interface.

Router(config-subif)#ip address adresse-ip masque-sous-réseau

Les variables adresse-ip et masque-sous-réseau correspondent au masque et à

l’adresse réseau sur 32 bits de l’interface.

Dans l’exemple, le routeur a trois sous-interfaces configurées sur l’interface Fast

Ethernet 0/0. Ces trois sous-interfaces sont identifiées par 0/0.1, 0/0.2 et 0/0.3.
Toutes les interfaces sont encapsulées pour 802.1Q. L’interface 0/0.1 achemine
les paquets du VLAN 1, tandis que l’interface 0/0.2 achemine les paquets du
VLAN 20 et l’interface 0/0.3, ceux du VLAN 30.

Document Millésime Page

OFPPT @ [Link] février 25 16 - 192
La segmentation LAN

Document Millésime Page

OFPPT @ [Link] février 25 17 - 192
La segmentation LAN
Pour approfondir le sujet….
Proposition de références utiles permettant d’approfondir le thème abordé

Sources de référence
Citer les auteurs et les sources de référence utilisées pour l’élaboration du
support

Document Millésime Page

OFPPT @ [Link] février 25 18 - 192
La segmentation LAN
1. Gestion de la table de commutation (MAC
Address Table)
La table de commutation (ou table d’adresses MAC) est un composant
fondamental du fonctionnement d’un commutateur. Elle permet au
commutateur d’associer des adresses MAC aux ports, facilitant ainsi la
commutation des trames au sein du réseau.
A. Concepts clés :
 Adresse MAC : Il s’agit d’une adresse unique assignée à chaque appareil
réseau (ordinateur, imprimante, téléphone IP, etc.). Elle se compose de 48
bits, divisés en six groupes de deux caractères hexadécimaux séparés par
des tirets (-), des deux-points (:) ou des points.
Exemple d'adresse MAC : [Link] Ou 00-1A-2B-3C-
4D-5E
Ou encore (style Cisco) : 001A.2B3C.4D5E
Chaque segment correspond à un octet (8 bits) :
 00:1A : Identifiant du constructeur (OUI - Organizationally Unique
Identifier).
 [Link] : Identifiant unique attribué à l'appareil par le
constructeur.

 Table MAC (MAC Address Table) : C’est ici que le commutateur

enregistre les adresses MAC qu’il a apprises, ainsi que le port auquel ces
adresses sont associées.

Fonctionnement :
o Lorsque le commutateur reçoit une trame, il examine l'adresse MAC
source.
o Il l’ajoute à la table MAC si elle n’est pas déjà présente et lui associe
le port d’où provient la trame.
o Ensuite, il vérifie l'adresse MAC de destination pour savoir vers quel
port transmettre la trame.
Exemple d'une table MAC sur un commutateur Cisco
Une table MAC est une liste des adresses MAC apprises par un
commutateur et associées aux ports correspondants. Voici à quoi pourrait
ressembler une table MAC typique sur un commutateur Cisco.
Switch# show mac address-table
Vla Mac Typ Por
n Address e ts
001A.2B3C.4D DYNAMI
10 Fa0/1
5E C
00E0.4C68.1F DYNAMI
10 Fa0/2
5A C
A1B2.C3D4.E5 DYNAMI
20 Fa0/3
F6 C
[Link]
30 STATIC Fa0/4
11
30 1122.3344.55 DYNAMI Fa0/5

Document Millésime Page

OFPPT @ [Link] février 25 19 - 192
 La segmentation LAN
66 C
4433.2211.11 DYNAMI
10 00 C Fa0/6

Explication :
 Vlan : Le numéro du VLAN auquel l'adresse MAC est associée.
 Mac Address : L'adresse MAC apprise ou configurée.
 Type : Le type d'apprentissage de l'adresse :
o DYNAMIC : L'adresse MAC a été apprise automatiquement par le
commutateur.
o STATIC : L'adresse MAC a été configurée manuellement et ne sera
pas effacée.
 Ports : Le port sur lequel le commutateur a appris ou configuré l'adresse
MAC.
Par exemple :
 L’adresse MAC 001A.2B3C.4D5E est apprise dynamiquement sur le port
Fa0/1 et associée au VLAN 10.
 L’adresse [Link].CC11 est une adresse MAC statique assignée au
port Fa0/4 du VLAN 30.
Cela permet au commutateur de savoir où envoyer les trames destinées à
une adresse MAC spécifique.
B. Commandes de gestion de la table de commutation :
 Afficher la table MAC :

show mac address-table

Cela vous donne une liste des adresses MAC associées aux ports.
 Afficher les adresses MAC sur un port spécifique :

show mac address-table interface FastEthernet 0/1

 Supprimer des entrées de la table MAC (flush) : Pour effacer une
adresse MAC manuellement :

clear mac address-table dynamic address [adresse MAC]

Cela peut être utile pour forcer le commutateur à réapprendre les
adresses MAC.
 Durée d'apprentissage des adresses MAC (aging time) : Les
adresses MAC ne restent pas éternellement dans la table de commutation.
Elles sont effacées après un certain temps si aucune communication ne
provient de cette adresse. Par défaut, cette durée est de 300 secondes.
Pour modifier cette durée :

mac address-table aging-time [temps en secondes]

Gérer la table de commutation en mode Static
La gestion de la table de commutation en mode statique sur un
commutateur Cisco permet d'associer manuellement des adresses MAC à
des ports spécifiques. Cela empêche le commutateur d'apprendre
dynamiquement les adresses MAC et garantit que seules les adresses

Document Millésime Page

OFPPT @ [Link] février 25 20 - 192
La segmentation LAN
autorisées peuvent communiquer via un port donné. Cela renforce la
sécurité et le contrôle du réseau.
Pourquoi utiliser des adresses MAC statiques ?
 Sécurité : Empêcher des appareils non autorisés d'utiliser un port
particulier.
 Prévisibilité : Associer des appareils critiques à des ports spécifiques
pour des raisons de sécurité ou de performance.
 Contrôle : Fixer manuellement les adresses MAC pour des appareils clés
comme des serveurs ou des imprimantes.
Étapes pour configurer une adresse MAC statique
Voici les comment gérer la table de commutation en mode statique sur
un commutateur Cisco :
1. Accéder au commutateur
Connectez-vous au commutateur via la console, Telnet ou SSH. Puis
entrez en mode de configuration globale :
enable
configure terminal
2. Configurer une adresse MAC statique sur un port
Vous pouvez lier une adresse MAC spécifique à un port donné et à un
VLAN spécifique en utilisant la commande mac-address-table static.
mac address-table static [adresse MAC] vlan [ID VLAN] interface [type]
[numéro]
Exemple :
Si vous voulez associer l'adresse MAC 001A.2B3C.4D5E au port Fa0/1
dans le VLAN 10 :
mac address-table static 001A.2B3C.4D5E vlan 10 interface
FastEthernet 0/1
Cela signifie que l'appareil ayant l'adresse MAC 001A.2B3C.4D5E pourra
uniquement communiquer via le port FastEthernet 0/1 dans le VLAN
10.
3. Vérifier les adresses MAC statiques
Pour vérifier les adresses MAC statiques dans la table de commutation,
utilisez la commande suivante :
Switch# show mac address-table static
Vla Mac Typ Port
n Address e s
001A.2B3C.4D STATI
10 Fa0/1
5E C
[Link] STATI
20 FF C Fa0/2
Cela vous montre les adresses MAC statiques associées à leurs ports
respectifs.
4. Supprimer une adresse MAC statique
Si vous souhaitez supprimer une adresse MAC statique de la table de
commutation, utilisez la commande suivante :
no mac address-table static [adresse MAC] vlan [ID VLAN]
interface [type] [numéro]
Par exemple, pour supprimer l'adresse MAC 001A.2B3C.4D5E sur le port
FastEthernet 0/1 dans le VLAN 10 :
no mac address-table static 001A.2B3C.4D5E vlan 10 interface
FastEthernet 0/1
Document Millésime Page
OFPPT @ [Link] février 25 21 - 192
 La segmentation LAN
5. Limiter les adresses MAC dynamiques (optionnel)
Pour empêcher l'apprentissage dynamique d'autres adresses MAC sur le
port, vous pouvez activer Port Security en limitant le nombre d'adresses
MAC à une seule. Cela permet uniquement à l'adresse MAC statique
configurée d'utiliser le port.
Exemple :
interface FastEthernet 0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict

Exemple complet :
Voici un exemple complet de configuration où l'adresse MAC
001A.2B3C.4D5E est associée statiquement au port FastEthernet 0/1
dans le VLAN 10, avec une sécurité renforcée pour empêcher
l'apprentissage d'autres adresses MAC :
enable
configure terminal
mac address-table static 001A.2B3C.4D5E vlan 10 interface
FastEthernet 0/1

interface FastEthernet 0/1

switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
Conclusion
La configuration d'adresses MAC statiques sur un commutateur Cisco
vous donne un meilleur contrôle sur les appareils connectés à votre
réseau. Cela permet de sécuriser davantage les ports du commutateur,
en empêchant l'accès non autorisé tout en garantissant que seuls les
appareils spécifiés peuvent communiquer sur un port donné.
2. Sécurité des ports (Port Security)
La fonctionnalité Port Security permet de limiter et de contrôler les
adresses MAC autorisées à se connecter à un port du commutateur. Elle
permet de sécuriser le réseau contre les attaques potentielles ou les
connexions non autorisées.
A. Fonctionnement de la sécurité des ports :
 Elle limite le nombre d'adresses MAC apprises dynamiquement sur un port.
 Elle peut bloquer les ports ou envoyer des alertes si une adresse MAC non
autorisée essaie de se connecter.
 La fonctionnalité "Sticky MAC" permet de mémoriser les adresses MAC de
manière permanente sur un port, les empêchant de changer à chaque
redémarrage du commutateur.
B. Commandes pour sécuriser les ports :
1. Activer Port Security : Pour activer la sécurité des ports sur une
interface spécifique :

interface FastEthernet 0/1

Document Millésime Page

OFPPT @ [Link] février 25 22 - 192
La segmentation LAN
switchport mode access
switchport port-security
Cela active la sécurité des ports sur le port FastEthernet 0/1.
2. Limiter le nombre d'adresses MAC : Par défaut, un port peut apprendre
une seule adresse MAC. Vous pouvez augmenter cette limite :

switchport port-security maximum 2

Cette commande limite le nombre d'adresses MAC à 2.
3. Configurer les actions en cas de violation : Lorsque la limite
d'adresses MAC est dépassée, vous pouvez choisir différentes actions :
o shutdown : Désactive le port (état err-disabled).

o restrict : Permet à l’appareil d'accéder au réseau mais génère un

message de log et incrémente un compteur de violations.
o protect : Empêche l’accès à l’appareil sans générer d’alertes ou de
log.
Par exemple, pour désactiver un port en cas de violation :
switchport port-security violation shutdown
4. Sticky MAC : La commande "sticky" permet de rendre les adresses MAC
apprises dynamiquement persistantes. Cela signifie que le commutateur
les conservera même après un redémarrage.

switchport port-security mac-address sticky

5. Afficher les détails de la sécurité des ports : Pour vérifier la
configuration et voir les adresses MAC apprises par un port sécurisé :

show port-security interface FastEthernet 0/1

6. Enlever la sécurité des ports : Si vous souhaitez désactiver la sécurité
des ports :

no switchport port-security
C. Exemple complet de configuration de sécurité des ports :
interface FastEthernet 0/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
 Ce script configure le port FastEthernet 0/1 en mode accès.

 Il permet jusqu'à 2 adresses MAC sur ce port.

 En cas de violation (si une 3ème adresse MAC tente de se connecter), le
port est désactivé.
 Il active également Sticky MAC pour mémoriser automatiquement les
adresses MAC apprises.

3. Meilleures pratiques pour sécuriser un commutateur Cisco

 Désactiver les ports inutilisés : Pour éviter que quelqu’un ne se
connecte à un port non utilisé, il est recommandé de désactiver ces ports.

interface FastEthernet 0/10

Document Millésime Page
OFPPT @ [Link] février 25 23 - 192
La segmentation LAN
shutdown
 Utiliser le VLAN par défaut pour isoler les ports non utilisés.

 Configurer des VLANs : La segmentation des réseaux en VLAN permet

de sécuriser les différentes zones du réseau.
 Activer le contrôle de flux et l’authentification 802.1X : Cette
fonctionnalité assure que seuls les utilisateurs autorisés peuvent accéder
au réseau.

D- Configurer SSH Pour un accès distant sécurisé

Pour configurer SSH sur un switch Cisco pour un accès distant sécurisé, il
est nécessaire de suivre plusieurs étapes pour activer le service SSH,
configurer les utilisateurs et appliquer les bonnes pratiques de sécurité.
Voici les étapes complètes pour configurer SSH sur un switch Cisco :
1. Configurer un nom d’hôte et un domaine
SSH nécessite que le switch ait un nom d’hôte et un domaine pour
générer les clés de cryptage.
enable
configure terminal
# Configurer le nom d'hôte
hostname S1
# Configurer le nom de domaine
ip domain-name [Link]
2. Créer un utilisateur avec un mot de passe
Créez un utilisateur qui sera utilisé pour l'authentification via SSH.
# Créer un utilisateur avec un mot de passe
username admin secret motdepasse123
Le mot de passe est crypté en utilisant la commande secret.
3. Générer des clés de cryptage SSH
Ensuite, vous devez générer des clés RSA pour l'authentification SSH.
# Générer une clé RSA avec une taille de 1024 bits (ou 2048 pour plus de
sécurité)
crypto key generate rsa modulus 1024
Cela activera automatiquement le protocole SSH sur le switch.
4. Configurer les lignes VTY pour SSH uniquement
Configurez les lignes VTY (Virtual Terminal) pour permettre uniquement
les connexions SSH et désactiver les connexions Telnet (moins
sécurisées).
# Passer en mode configuration des lignes VTY
line vty 0 4
# Activer SSH uniquement
transport input ssh
# Utiliser l'authentification locale (via les utilisateurs créés sur le switch)
login local
# Définir un délai d'inactivité avant déconnexion (optionnel)
exec-timeout 5 0
# Activer les sessions multiples (si nécessaire)
Document Millésime Page
OFPPT @ [Link] février 25 24 - 192
 La segmentation LAN
session-limit 2
5. Configurer les versions SSH (Optionnel)
Cisco IOS prend en charge plusieurs versions de SSH. Pour forcer
l'utilisation de SSH version 2 (plus sécurisée) :
ip ssh version 2
6. Vérifier la configuration
Pour vérifier que SSH est activé et fonctionne correctement, utilisez les
commandes suivantes :
# Vérifier l'état de SSH
show ip ssh
# Vérifier l'état des lignes VTY
show line vty 0 4
7. Test de la connexion SSH
Depuis un client externe (comme un PC ou un autre switch), vous pouvez
tester la connexion SSH en utilisant un client SSH (comme PuTTY, SSH
Secure Shell, ou via la ligne de commande d'un autre appareil Cisco).
Sur un PC avec un client SSH :
ssh -l admin [Link]
 admin : nom d'utilisateur

 [Link] : adresse IP du switch

Cela ouvrira une session SSH sécurisée avec le switch. Si tout est
correctement configuré, vous devrez entrer le nom d'utilisateur et le mot
de passe pour accéder au switch.

Exemple complet de configuration

Voici un exemple complet pour configurer SSH sur un switch avec toutes
les étapes décrites :
enable
configure terminal
# Configurer le nom d'hôte et le nom de domaine
hostname Switch1
ip domain-name [Link]
# Créer un utilisateur avec mot de passe
username admin secret motdepasse123
# Générer des clés SSH (1024 bits)
crypto key generate rsa modulus 1024
# Configurer les lignes VTY pour n'accepter que SSH
line vty 0 4
transport input ssh
login local
exec-timeout 5 0
# Forcer l'utilisation de SSH version 2
ip ssh version 2
Cette configuration vous permet d’accéder à votre switch de manière
sécurisée en utilisant SSH.
E- Sécurisé l’accès distant avec liste de contrôle d'accès (ACL)
Document Millésime Page
OFPPT @ [Link] février 25 25 - 192
La segmentation LAN
La commande access-class est utilisée sur les équipements Cisco pour
restreindre l'accès aux lignes VTY (Virtual Terminal) et console en
fonction des adresses IP source des hôtes qui tentent de se connecter à
l'appareil. Cela permet de sécuriser davantage l'accès distant en
n'autorisant que certaines adresses IP à établir une connexion.
Voici les étapes pour configurer access-class sur un switch ou un routeur
Cisco :
Étapes pour configurer access-class :
1. Créer une liste de contrôle d'accès (ACL)
Avant d'utiliser access-class, vous devez créer une liste de contrôle
d'accès (ACL) qui définit quelles adresses IP sont autorisées ou refusées.
Il existe deux types d'ACL que vous pouvez utiliser :
 ACL standard : pour filtrer en fonction de l'adresse IP source.

 ACL étendue : pour filtrer en fonction de plusieurs critères (adresse

source, destination, protocoles, etc.).
Exemple d'ACL standard (pour autoriser une adresse IP
spécifique) :
enable
configure terminal
# Créer une ACL standard (par exemple numéro 10)
access-list 10 permit [Link]
Dans cet exemple, seuls les hôtes avec l'adresse IP [Link]
seront autorisés à accéder au switch/routeur.
Exemple d'ACL étendue (pour autoriser une plage d'adresses IP) :
# Créer une ACL étendue pour autoriser une plage d'adresses IP
access-list 100 permit ip [Link] [Link] any
Cela permet à tous les hôtes de la plage [Link]/24 d'accéder à
l'appareil.
2. Appliquer l'ACL aux lignes VTY avec access-class
Après avoir créé l'ACL, appliquez-la aux lignes VTY pour filtrer les accès
en fonction des adresses IP définies.
# Entrer en mode configuration des lignes VTY (ligne 0 à 4)
line vty 0 4
# Appliquer l'ACL 10 aux lignes VTY en entrée (inbound)
access-class 10 in
# Quitter la configuration
exit
 access-class 10 in : Applique l'ACL numéro 10 aux connexions entrantes.
Seuls les hôtes avec l'adresse IP spécifiée dans l'ACL 10 seront autorisés à
accéder à ces lignes.
3. Vérifier la configuration
Utilisez les commandes suivantes pour vérifier que access-class est bien
appliquée et pour voir les connexions VTY actives.
 Pour vérifier l'application de access-class sur les lignes VTY :

show running-config | include access-class

 Pour afficher les connexions VTY actives et leurs adresses IP source :

show users
4. Appliquer access-class à d'autres lignes (console, auxiliaire)
Vous pouvez également appliquer access-class aux lignes de console et
auxiliaire pour contrôler les connexions locales :

Document Millésime Page

OFPPT @ [Link] février 25 26 - 192
 La segmentation LAN
# Pour la ligne console (ligne 0)
line console 0
access-class 10 in
Exemple complet de configuration
Voici un exemple complet où l'accès distant via SSH est restreint à un
seul hôte avec l'adresse IP [Link] :
enable
configure terminal
# Créer une ACL standard pour autoriser l'adresse IP [Link]
access-list 10 permit [Link]
# Configurer les lignes VTY pour n'accepter que l'adresse définie dans
l'ACL 10
line vty 0 4
access-class 10 in
# Quitter la configuration
exit
Conclusion
La commande access-class est un excellent moyen de restreindre
l'accès à votre équipement réseau en ne permettant qu'à certaines
adresses IP spécifiques d'établir une connexion via les lignes VTY (SSH,
Telnet) ou la ligne console. En combinaison avec des ACL standard ou
étendues, vous pouvez améliorer la sécurité de votre réseau en limitant
les accès indésirables.

Blog sur les technologies réseau et sécurité

Blog de Bastien Migette sur les
technologies réseau et sécurité,
particulièrement cisco. Comparatif et
configuration HSRP, VRRP, GLBP Voici un
petit article sur les différents protocoles de
Document Millésime Page
OFPPT @ [Link] février 25 27 - 192
La segmentation LAN
redondance niveau 3 que l’on dispose sur
du cisco. Le but étant biensur de permettre
la redondance de routeur, typiquement de
passerelles WAN. Voici, en guise
d’introduction, une comparaison sommaire
de ces 3 protocoles: HSRP : Propriétaire
cisco, créé en 1994, Active/Standby
Failover VRRP : Créé par l’IETF en 1999
(donc compatible multi vendeurs),
identique à HSRP (toutefois VRRP utilise des
timers plus petit par défaut le rendant plus
rapide) GLBP : Propriétaire cisco, créé en
2005, permets le failover Active/Active pour
faire du load-balancing. Topologie Pour le
pingeur, c’est un petit outil home made tiré
d’une source que j’ai modifiée. Voici
l’exécutable avec la source: pingeur
Topologie Dynagen ghostios = True
sparsemem = True autostart = false
#workingdir = c:\temp [localhost] [[3660]]
image = ../images/[Link] ram = 128
idlepc = 0x604eb02c [[ROUTER WAN]]
model=3660 F0/0=IAR1 F0/0 F0/1=IAR2
F0/0 [[ROUTER IAR1]] model = 3660
F0/1=S1 1 [[ROUTER IAR2]] model = 3660
F0/1=S1 2 [[ETHSW S1]] 1 = access 1 2 =
access 1 3 = access 1
NIO_GEN_ETH:vmnet1 #Remplacer par une
loopback ou ce que vous voulez 4 = access
1 NIO_GEN_ETH:vmnet2 #Remplacer par
une loopback ou ce que vous voulez
Configuraiton commune Tous les exemples
se baseront sur cette configuration: Note:
Si l’on était dans un environnement de
Document Millésime Page
OFPPT @ [Link] février 25 28 - 192
La segmentation LAN
production, l’on aurait pu configurer DHCP
sur les deux routeurs, et partager leur lease
database via la commande ip dhcp
database (
[Link]
p/configuration/guide/1cfdhcp.h ) !
hostname WAN ! interface Loopback0 ip
address [Link] [Link] ! interface
FastEthernet0/0 ip address [Link]
[Link] duplex auto speed auto !
interface FastEthernet0/1 ip address
[Link] [Link] duplex auto
speed auto ! router eigrp 65000 network
[Link] network [Link] [Link] ! !
hostname IAR1 ! ip dhcp pool LAN network
[Link] [Link] default-router
[Link] domain-name [Link] ! ip
dhcp excluded-address [Link] ip dhcp
excluded-address [Link] ! interface
FastEthernet0/0 ip address [Link]
[Link] duplex auto speed auto !
interface FastEthernet0/1 ip address
[Link] [Link] duplex auto speed
auto ! router eigrp 65000 network
[Link] ! ! hostname IAR2 ! interface
FastEthernet0/0 ip address [Link]
[Link] duplex auto speed auto !
interface FastEthernet0/1 ip address
[Link] [Link] duplex auto speed
auto ! router eigrp 65000 network
[Link] ! HSRP Timers: Hello: 3s Hold
timer: 10s Modifiables via la commande
standby [#] timers hello hold Les
passerelles sont regroupées en « Standby
Document Millésime Page
OFPPT @ [Link] février 25 29 - 192
La segmentation LAN
groups » au sein desquelles les routeurs se
partagent une IP et une adresse MAC
virtuelles. Au sein d’un group standby, il y a
un routeur actif, et les autres en standby.
Le choix du routeur actif se fait en fonction
de la priorité HSRP (100 par défaut), et, si
les priorités sont identiques, en fonction de
l’adresse IP (la plus grande valeur la plus
haute priorité). Une fonctionnalité est le
tracking qui permets de baisser
dynamiquement cette priorité au cas ou un
évènement doit faire modifier la topologie,
par exemple, mon routeur actif peut tracker
une de ses interfaces et si celle ci venait à
être indisponible, baisser sa priorité afin de
passer en standby et que l’autre routeur
passe en mode active. Il est toutefois à
noter que par défaut le passage du mode
standby au mode active ne se fait que
lorsque le routeur est indisponible (non
réception de hellos au bout du hold timer).
Pour forcer les changements d’états
dynamiques, il convient d’ajouter le
paramètre preempt (que nous allons voir).
Il est aussi possible de tracker des objets
SLA/RTR, par exemple un ping vers la
passerelle du FAI. les adresses MAC
virtuelles HSRP ont cette forme (peuvent
être changées via la commande standby #
MAC): [Link] : Cisco Vendor ID,
MACs HSRP, Standby Group ID La
configuration se fait selon ces étapes
Création des groupes HSRP (en mode de
configuration d’interface) Assignation de
Document Millésime Page
OFPPT @ [Link] février 25 30 - 192
La segmentation LAN
l’IP virtuelle Paramètres optionnels
(tracking, preemtion) Vérifications (toujours
;)) Configuration HSRP (standby group 1): !
IAR1 interface FastEthernet0/1 !interface
vers LAN (segment à redonder) standby 1
ip [Link] !IP Virtuelle standby 1
preempt !active la preemtion standby 1
name HSRPGROUP1 !Définition d'un nom,
optionnel standby 1 priority 110 ! change la
priorité par défaut (100) ! !IAR2 interface
FastEthernet0/1 standby 1 ip [Link]
standby 1 preempt standby 1 name
HSRPGROUP1 ! Vérifications IAR1#sh
standby brief P indicates configured to
preempt. | Interface Grp Prio P State Active
Fa0/1 1 110 P Active local ! IAR2#sh
standby brief P indicates configured to
preempt. | Interface Grp Prio P State Active
Fa0/1 1 100 P Active local Standby [Link]
Standby [Link] IAR2#sh stand
FastEthernet0/1 - Group 1 State is Standby
13 state changes, last state change
[Link] Virtual IP address is [Link]
Active virtual MAC address is
0000.0c07.ac01 Local virtual MAC address
is 0000.0c07.ac01 (v1 default) Hello time 3
sec, hold time 10 sec Next hello sent in
1.608 secs Preemption enabled Active
router is [Link], priority 110 (expires in
7.624 sec) Standby router is local Priority
100 (default 100) IP redundancy name is
"HSRPGROUP1" (cfgd) Virtual IP [Link]
Virtual IP [Link] On voit ici que le
routeur ayant la priorité la plus haute
Document Millésime Page
OFPPT @ [Link] février 25 31 - 192
La segmentation LAN
(IAR1) est le routeur ACTIVE. Maintenant on
va redémarrer ce routeur et voir l’incidence
sur la disponibilité (ping vers l’interface
WAN depuis un PC du lan). Convergence On
voit ici le temps de convergence (environ
10s, ce qui correspond au HOLD Timer).
Note: Le retour du routeur IAR1 à l’état
ACTIVE ne créé pas d’interruption
(preemption instantannée). Maintenant, on
va ajouter un tracking sur l’interface reliée
au WAN sur IAR1: IAR1(config)#int f0/1
IAR1(config-if)#standby 1 track F0/0 ?
Decrement value IAR1(config-if)#standby 1
track F0/0 15 ! decrement la priorité de 15
si l'interface tombe Test: IAR1(config-
line)#int F0/0 IAR1(config-if)#shut
IAR1(config-if)#^Z IAR1#sh *Mar 1
[Link].627: %HSRP-5-STATECHANGE:
FastEthernet0/1 Grp 1 state Active ->
Speak IAR1#sh stand br P indicates
configured to preempt. | Interface Grp Prio
P State Active Standby Fa0/1 1 95 P Speak
[Link] unknown Virtual IP [Link]
IAR1#conf t Enter configuration commands,
one per line. End with CNTL/Z. *Mar 1
[Link].627: %HSRP-5-STATECHANGE:
FastEthernet0/1 Grp 1 state Speak ->
Standby IAR1(config)#int f00/0 IAR1(config-
if)#no sh IAR1(config-if)#^Z IAR1#sh stand
br P indicates configured to preempt. |
Interface Grp Prio P State Active Standby
Fa0/1 IAR1# 1 110 P Active local unknown
Virtual IP [Link] On voit bien ici que la
priorité est modifié dynamiquement. Le
Document Millésime Page
OFPPT @ [Link] février 25 32 - 192
La segmentation LAN
temps d’interruption du ping est d’environ
50ms (un ping échoué). Voilà pour HSRP (je
vous montrerai comment mettre du
tracking via un ping probe dans la partie
pour aller plus loin à la fin de cet article).
Pour désactiver HSRP: int f0/1 no standby 1
VRRP Timers: Hello: 1s Hold timer: 3xHello
(3s) + Skew timer Skew timer = 256-
priority/256 s (priority = 100 par défaut).
Cela permets d’ajouter un délai au cas ou le
3e ping arriverai avec du retard (< 1s) Les
timers VRRP HOLD ne sont pas configurable
(toujours égaux à 3x le hello timer). Les
timers sont configurés sur le master (vrrp #
timers advertise {hello}), et sont appris par
le backup (vrrp # timers learn, par défaut)
VRRP fonctionne de la même manière que
HSRP, quelques nuances toute fois, les
rôles active/standby sont définis
respectivement comme master/backup, et
le standby group devient le vrrp group. Une
autre différence est que l’ip virtuelles peut
correspondre à l’ip configurée sur
l’interface du router MASTER (seules 2 IPs
sont donc nécessaires à la configuration de
VRRP). La configuration se fait à l’identique
que HSRP, en remplaçant la commande
standby par VRRP. La configuration HSRP
vu ci dessus donnerai ceci en VRRP: ! IAR1
interface FastEthernet0/1 !interface vers
LAN (segment à redonder) vrrp 1 ip
[Link] !IP Virtuelle, correspond au master
! vrrp 1 preempt !active la preemtion vrrp 1
desc VRRP1 !Définition d'une description,
Document Millésime Page
OFPPT @ [Link] février 25 33 - 192
La segmentation LAN
optionnel, pas de commande name vrrp 1
priority 110 ! change la priorité par défaut
(100) ! !IAR2 interface FastEthernet0/1 vrrp
1 ip [Link] vrrp 1 preempt vrrp 1 desc
VRRP1 ! Vérifications IAR1#sh vrrp
FastEthernet0/1 - Group 1 VRRP1 State is
Master Virtual IP address is [Link] Virtual
MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption enabled Priority is 255 (cfgd
110) Master Router is [Link] (local),
priority is 255 Master Advertisement
interval is 1.000 sec Master Down interval
is 3.003 sec IAR1#sh vrrp brief Interface
Fa0/1 IAR2#sh vrrp brief Interface Fa0/1
Grp Pri Time Own Pre State Master addr 1
255 3003 Y Y Master [Link] Grp Pri Time
Own Pre State Master addr 1 100 3609
Group addr [Link] Group addr Y Backup
[Link] [Link] Les configurations VRRP
et HSRP sont donc très similaires. VRRP
supporte aussi le tracking via la commande
vrrp # track {trackid] decrement {valeur}
Je vais aborder le tracking d’objets dans la
partie pour aller plus loin. Pour l’instant,
faisons un test de temps de convegence en
redemarrant IAR1. IAR2# *Mar 1
[Link].543: %SYS-5-CONFIG_I:
Configured from console by console *Mar 1
[Link].003: %VRRP-6-STATECHANGE:
Fa0/1 Grp 1 state Backup -> Master *Mar 1
[Link].743: %VRRP-6-STATECHANGE:
Fa0/1 Grp 1 state Master -> Backup J’ai eu
moins d’une seconde d’interruption de
Document Millésime Page
OFPPT @ [Link] février 25 34 - 192
La segmentation LAN
service (étrange). Pour désactiver vrrp: int
f0/1 no vrrp 1 GLBP Timers: Hello : 3s
Dead : 10s (temps à partir duquel un AVF
sera dead, son adresse mac sera associée à
un autre AVF Redirect (Temps à partir
duquel on arrêtera de rediriger l’adresse
mac d’une AVF dead vers une autre AVF ):
600s Timeout (Temps à partir duquel un
routeur est considéré comme inactif, son
adresse MAC ne sera plus utilisée) :
14,400s (4 heures), doit être supérieur au
temps de conservervation des entrées ARP
des clients. GLBP fonctionne un peu
différement que HSRP et VRRP. A une seule
adresse IP virtuelle sont rattachée plusieurs
adresses MAC (une par gateway). et
chaque client, lorsqu’il fera une requête
ARP sur l’ip virtuelle GLBP, se vera
répondre avec une de ces adresses mac, de
manière équitable. Voici comment cela
fonctionne, il y a un routeur appelé « Active
Virtual Gateway » (AVG) qui agit comme le
point central, c’est à dire qu’il connaît
toutes les adresses MAC qu’utilisent les
autres routeurs (Active Virtual Forwarders –
AVF). L’AVG gère les réponses aux requêtes
ARP, il est donc capable d’attribuer de
manièré égale des clients aux différents
AVFs. Note: Il est possible de pondérer le
ratio de répartition des clients/AVF (si l’on
veut qu’un des routeurs gère 2/3 des
clients et l’autre 1/3 par exemple). Si l’AVG
tombe, le prochain routeur le remplacera.
L’élection de l’AVG dépend de la priorité
Document Millésime Page
OFPPT @ [Link] février 25 35 - 192
La segmentation LAN
Pour la configuration, cela est similaire à
HSRP et VRRP (IAR1 sera l’AVG):
Configuration: !IAR2 int F0/0 glbp 1 ip
[Link] glbp 1 preempt !IAR1 int F0/0
glbp 1 ip [Link] glbp 1 preempt glbp 1
priority 110 ! on peut donc observer:
IAR2#sh glbp brief Interface Grp Fwd Pri
State Address Fa0/1 Fa0/1 1 - 100 Standby
[Link] Active router Standby route
[Link] 1 1 7 Listen 0007.b400.0101
[Link] Fa0/1 1 2 7 Active 0007.b400.0102
local IAR1#sh glbp brief Interface Grp Fwd
Pri State Address local - - Active router
Standby route Fa0/1 Fa0/1 Fa0/1 1 - 110
Active [Link] local 1 1 7 Active
0007.b400.0101 local 1 2 7 Listen
0007.b400.0102 [Link] [Link] - !
BACKUP AVG !AVG Maintenant, regardons
le cache arp des clients Client 1 Client 2
Même tarif, ping (depuis le client associé à
l’AVF 1 – IAR1), puis reboot IAR1 On as
donc un temps d’interruption de 10s lors du
reboot, et aucune interruption lors du
redémarrage (du à la preemption sans
délai). Pour aller plus loin Délais de
préemtion HSRP Il est possible de définir
des délais pour la preemtion: IAR2(config-
if)#standby [#] delay ? minimum Minimum
delay reload Delay after reload Cela
permets, dans le cas du délai reload,
d’attendre un certain temps avant que le
routeur devienne actif, ce qui est utilie car
au démarrage, le routeur n’a pas forcément
toute sa table de routage, ARP, … et s’il
Document Millésime Page
OFPPT @ [Link] février 25 36 - 192
La segmentation LAN
devient actif trop vite cela peut créer une
interruption de service. Le délai minimum
permets d’attendre un certain temps avant
de changer son état, cela peut être utile
pour éviter le flapping, par exemple le
mettre à quelques secondes, si une
interface tombe, et remonte, le routeur
actif n’aura pas changer. Tracking d’objets
Le tracking d’objets permets de monitorer
un service, cela va du simple ping, à
l’interrogation d’un serveur web ou ftp. Ici,
nous allons définir une loopback sur le
routeur WAN de la sorte: int l1 ip add
[Link] [Link] Puis nous
définirons un objet qui va pinger cette
interface. Nous définirons un timeout de 3
secondes, avec un ping toutes les
5secondes. Pour affecter un objet de
tracking à HSRP/VRRP, utiliser cette
commande: En mode de configuration
d’interface. {standby|vrrp} # track
{track_id} decrement {valeur} Test avec
HSRP ! ip sla monitor 1 ! creation d'un
monitor ping toute les 5s avec 3s de
timeout type echo protocol ipIcmpEcho
[Link] source-interface
FastEthernet0/0 timeout 3000 frequency 5
ip sla monitor schedule 1 life forever start-
time now ! Activation du monitor
précédémment créé tout de suite et pour
toujours ! track 10 rtr 1 ! creation d'un
objet de tracking de notre monitor !
interface FastEthernet0/1 standby 1
preempt standby 1 track 10 decrement 20 !
Document Millésime Page
OFPPT @ [Link] février 25 37 - 192
La segmentation LAN
affectation de notre objet de tracking à
HSRP ! Maintenant, je mets un shut down
sur la loopback, observons ! IAR1#sh stand
bri P indicates configured to preempt. |
Interface Grp Prio P State Active Standby
Virtual IP Fa0/1 1 110 P Active local
[Link] [Link] ! WAN(config-if)#int l1
WAN(config-if)#sh ! IAR1#sh stand bri P
indicates configured to preempt. | Interface
Grp Prio P State Active Standby Virtual IP
Fa0/1 1 90 P Active local [Link]
[Link] ! WAN(config-if)#no sh !
IAR1#sh stand bri P indicates configured to
preempt. | Interface Grp Prio P State Active
Standby Virtual IP Fa0/1 1 110 P Active
local [Link] [Link] On voit bien que
la priorité est bien dynamiquement
modifiée !!! Les possibilités des SLAs sont
bien sur très étendues, aussi, je vous donne
les liens pour approfondir ces
connaissances, mais comme je suis gentil,
je vous donne l’équivalent pour faire du
tracking d’interface comme HSRP avec
VRRP IAR1(config)#track 5 interface F0/0
line-protocol IAR1(config)#int f0/0
IAR1(config)#vrrp 1 track 5 decrement 20
[Link]
/ip_sla/configuration/guide/hsicm
[Link]
onfigfun/configuration/guide/fcf Je n’ai pas
trouvé les commandes avec GLBP Note: les
objets de tracking peuvent servir à bien
d’autre chose, notemment au niveau de la
sélection dynamique desroutes (route
Document Millésime Page
OFPPT @ [Link] février 25 38 - 192
La segmentation LAN
tracking) Gestion du load balancing GLBP
IAR1(config-if)#glbp 1 Load-balancing ?
host-dependent Load balance equally,
source MAC determines forwarder choice
round-robin Load balance equally using
each forwarder in turn weighted Load
balance in proportion to forwarder
weighting
[Link]
12_2t15/feature/guide/ft_glbp.htm
Conclusion HSRP et VRRP font sensiblement
la même chose, s’il existe les deux
aujourd’hui, c’est en partie du au fait que
HSRP a été créé avant VRRP, et que cisco,
tout en implémentant VRRP, ont gardé
HSRP. Si vous êtes uniquement cisco, vous
pouvez utiliser HSRP, sinon, VRRP vous
permettras d’avoir de la redondance entre
équipements de divers fabricants (ou pas).
Un des avantage de HSRP cependant est de
pouvoir tracker simplement une interface
sans avoir à créer un objet de tracking,
cependant, cette feature est peut être
présente pour VRRP dans d’autres versions
d’IOS (j’ai testé la C3660-JK9O3S-M),
Version 12.4(12) ). GLBP est une bonne
solution, puisque la configuration est aussi
aisée que HSRP et VRRP, cependant il
permets de faire du load balancing entre
les clients d’un LAN, ce qui évite d’avoir un
routeur inactif. Voilà, bravo à ceux qui ont
tout lu Recent Entries Reponse tardive aux
commentaires CCIE #43827 VRF-Aware
GETVPN, DMVPN, et FLEXVPN Spoke To
Document Millésime Page
OFPPT @ [Link] février 25 39 - 192
La segmentation LAN
Spoke Mes articles sur supportforums
Définir des « handlers » personnalisés pour
associer les liens d’un protocole avec une
application perso. DMVPN over GETVPN
avec KS COOP (redondance) et KS
Forwarding EAP-TLS avec Autorité de
certification autonome (Standalone CA)
sous Windows 2003 Static subnet NAT avec
VRF pour monter des ‘PODs’ (LAB) Capture
WiFi en mode monitor sous windows, et
capture par process Comment taper un
point d’interrogation ‘?’ dans un mot de
passe ? « SNAF Passé :) Nouveau forum
Cisco français » , CCNP This entry was
posted on vendredi, octobre 23rd, 2009 at
18:51 and is filed under BCMSN . You can
follow any responses to this entry through
the RSS 2.0 You can leave a response , or
trackback 6 Responses to “Comparatif et
configuration HSRP, VRRP, GLBP” 1. topdam
Says: mai 7th, 2010 at 22:21 feed. from
your own site. Bonsoir, je suis en train de
travailler sur une maquette semblable de
HSRP et votre tuto me plait. Cependant j’ai
une question qui me turlupine… Dans le cas
ou le lien entre IAR1 et IAS est down, IAR1
passe bien en standby mais WAN essaye
toujours de passer par IAR1 pour
communiquer vers le LAN … Tant que le
lien entre WAN et IAR1 n’est pas rompu,
WAN crois que IAR1 est toujours actif. Je
crois qu’il doit y avoir un problème dans ma
conf … Pouvez vous me conseillez ?
D’avance merci. 2. Bastien Migette Says:
Document Millésime Page
OFPPT @ [Link] février 25 40 - 192
La segmentation LAN
mai 19th, 2010 at 0:21 Bonjour, si tu as un
protocole de routage qui tourne sur ton
routeur, si ton interface tombe la route doit
être supprimée, sinon tu peux faire des
routes statiques avec du tracking sur WAN,
ou même si t’es un fou un PBR avec du
tracking sur WAN
[Link]
hnologies_configuration_exam 3. Nedjla
Says: décembre 10th, 2014 at 16:11 J’ai
tout lu et tout compris alors bravo pour
moi. et merci pour vous c’était super bien
expliqué. 4. Duflo Says: avril 20th, 2015 at
15:11 Très clair & très précis! Merci
beaucoup (: 5. Bg Dupond Says: novembre
3rd, 2015 at 19:13 En moins de 2h j’ai
parfaitement compris tout un cours qui m’a
été donné sur des semaines grâce aux
explications précises et claires. Says: Merci
6. Bastien Migette novembre 10th, 2015 at
21:10 Au plaisir Leave a Reply Name
(obligatoire) Mail (will not be published)
(obligatoire) Website Submit Comment ×
six =  Prévenez-moi de tous les
nouveaux commentaires par e-mail.
Prévenez-moi de tous les nouveaux articles
par email. Pages À propos de moi – Mon CV
Formation Professionnelle Cisco Publicité
M5x12mm Miniature Sensors Realize
precision positioning & compact machine
size Try now! [Link]/en Mots clefs WP
Cumulus Flash tag cloud by Roy Tanck
requires Flash Player Méta Inscription
Connexion Flux RSS des articles RSS des
Document Millésime Page
OFPPT @ [Link] février 25 41 - 192
La segmentation LAN
commentaires Site de WordPress-FR
Catégories and Luke Morton 9 or better.
astuces BCMSN bienvenue BSCI CCIE
Security CCNA CCNP CCSP Divers
Emulation/simulation
routeurs/firewalls/switchs… IINS (ccna
security) IPv6 ISCW News Non classé
Réseau Avancé Sécurité réseau SNAF SNRS
vidéos octobre 2009 LMM J V S D « Sep Nov
» 1 2 3 4 5 6 7 8 9 1011 12131415161718
19202122232425 262728293031
Blogoliste Blog sécurité [Link] Forum
madrouter French Cisco Users Group
Internetworking Technology Handbook
Laboratoire Cisco Supinfo Madrouter Site
cisco en français Professionel emploi
freelance Mots clefs 802.1X acs adresses
adresses ipv6 anycast asa backbone fast
BGP BSCI Ca CCNA certifications cisco
configuration DMVPN dot1x dynagen
dynamic dynamips EIGRPv6 emulation
feedback firewall gdoi getvpn global IOS
IPSEC IPv6 ISCW link local local MPLS
multicast OSPFv3 rapid spanning tree RIPng
Spanning tree unicast uplink fast VPN VRF
VTI wifi windows 2003 Blog sur les
technologies réseau et sécurité is powered
by Wordpress. Wordpress theme designed
by Design Blog.

Document Millésime Page

OFPPT @ [Link] février 25 42 - 192
La segmentation LAN

 Chapitre 5: Ajuster le protocole OSPF à zone

unique et résoudre les problèmes

 Scaling Networks
Traduction de la version Anglaise originale
effectuée par
Document Millésime Page
OFPPT @ [Link] février 25 43 - 192
La segmentation LAN
Translated from the original English version
done by

Jimmy Tremblay
Instructeur au/at Cégep de Chicoutimi

534 Rue Jacques-Cartier Est, Chicoutimi,

Québec, Canada
Courriel/Email: jtremb@cegep-
[Link]

 Chapitre 5
5.0 Introduction
5.1 Configuration avancées d’un
implantation OSPF à région unique
5.2 Dépannage d’un implantation OSPF à
région unique
5.3 Résumé

 Chapitre 5: Objectifs
 5.1 Configuration avancées d’un implantation
OSPF à région unique
 Routage au sein des couches de distribution
et cœur de réseau
Routage versus Commutation
Les réseaux évolutifs nécessitent :
 Les commutateurs de couche 2, l'agrégation
de liens, la redondance LAN et les LAN sans fil
constituent autant de technologies qui
permettent ou améliorent l'accès des utilisateurs
aux ressources des réseaux.

Document Millésime Page

OFPPT @ [Link] février 25 44 - 192
La segmentation LAN
 Les réseaux évolutifs nécessitent également
une accessibilité optimale entre les sites.
L'accessibilité aux réseaux distants est apportée
par des routeurs et des commutateurs de
couche 3, qui fonctionnent dans les couches de
distribution et cœur de réseau.

 Routage au sein des couches de distribution

et cœur de réseau
Routage statique
 Routage au sein des couches de distribution
et cœur de réseau
Protocoles de routage dynamique
 Routage au sein des couches de distribution
et cœur de réseau
Configuration du protocole OSPF à zone unique
(IPV4)
 Routage au sein des couches de distribution
et cœur de réseau
Vérification du protocole OSPF à zone unique
 Routage au sein des couches de distribution
et cœur de réseau
Vérification du protocole OSPF à zone unique
(suite)
 Routage au sein des couches de distribution
et cœur de réseau
Vérification du protocole OSPF à zone unique
(suite)
 Routage au sein des couches de distribution
et cœur de réseau Configuration du protocole
OSPFv3 à zone unique (IPV6)

Document Millésime Page

OFPPT @ [Link] février 25 45 - 192
La segmentation LAN
 Routage au sein des couches de distribution
et cœur de réseau
Vérification du protocole OSPFv3 à zone unique
 Routage au sein des couches de distribution
et cœur de réseau
Vérification du protocole OSPFv3 à zone unique
(suite)
 OSPF dans les réseaux à accès multiple
Types de réseaux OSPF
 Point à point : deux routeurs interconnectés
sur un lien commun.
 Accès multiple avec diffusion : routeurs
multiples interconnectés sur un réseau Ethernet.
 Accès NBMA (Nonbroadcast
multiaccess) : accès multiple sans diffusion, où
des routeurs multiples sont interconnectés dans
un réseau ne permettant pas les diffusions, par
exemple Frame Relay.
 Point-to-multipoint – Point à multipoint :
routeurs multiples interconnectés dans une
topologie Hub and Spoke sur un réseau à accès
NBMA.
 Liens virtuels : réseau OSPF spécial utilisé
pour interconnecter des zones OSPF distantes à
la zone fédératrice.

 OSPF dans les réseaux à accès multiple

Défis en matière de réseaux à accès multiple
Les LSA sur les réseaux à accès multiple
peuvent présenter deux difficultés pour
OSPF :
 Création de contiguïtés multiples – La
création de contiguïtés avec chaque routeur est
Document Millésime Page
OFPPT @ [Link] février 25 46 - 192
 La segmentation LAN
inutile et non souhaitée. Elle se traduirait par un
nombre excessif de paquets LSA circulant entre
les routeurs du même réseau
 Inondation massive de paquets LSA– les
routeurs à état de liens diffusent leurs paquets à
état de liens à chaque initialisation du protocole
OSPF ou à chaque modification de la topologie
quand il y a un changement.
 OSPF dans les réseaux à accès multiple
Routeur désigné OSPF
 Pour pallier ce problème, on choisit un DR
(routeur désigné) qui va recevoir toutes les
informations sur l'état des liens et les
retransmettre aux autres routeurs . Le routeur
désigné (DR) est la solution pour gérer le nombre
de contiguïtés et la diffusion des paquets LSA sur
un réseau à accès multiple .
 Un routeur BDR est également choisi au cas
où le routeur DR est défaillant..
 Tous les autres routeurs non DR ou non BDR
deviennent des routeurs DROthers . Les routeurs
DROthers forment des contiguïtés complètes
uniquement avec le DR et le BDR du réseau.
 Les DROthers envoient leurs LSA uniquement
au DR et au BDR, en utilisant l'adresse de
multidiffusion [Link] (tous les routeurs DR).
 DR utilise l’adresse de multidiffusion
[Link] pour envoyer des LSA à tous les
routeurs. DR est le seul routeur qui assure la
diffusion de l’ensemble des LSA dans le réseau à
accès multiple
 Les sélections de DR/BDR ont lieu
uniquement dans les réseaux à accès multiple et
non dans les réseaux point à point.
Document Millésime Page
OFPPT @ [Link] février 25 47 - 192
 La segmentation LAN
 OSPF dans les réseaux à accès multiple
Routeur désigné OSPF(suite)
 OSPF dans les réseaux à accès multiple
Vérification des rôles de DR/BDR
 OSPF dans les réseaux à accès multiple
Vérification des contiguïtés de DR/BDR
Les états de contiguïtés dans un réseau à
multi accès peuvent être:
 FULL/DROTHER – routeur DR ou BDR, en
contiguïté complète avec un routeur ni DR, ni
BDR.
 FULL/DR – routeur en contiguïté complète
avec le voisin DR indiqué.
 FULL/BDR – routeur en contiguïté complète
avec le voisin BDR indiqué.
 2-WAY/DROTHER – routeur ni DR, ni BDR,
voisin d'un autre routeur ni DR, ni BDR.
 OSPF dans les réseaux à accès multiple
Processus de sélection par défaut de DR/BDR
 Les routeurs du réseau sélectionnent comme
DR le routeur dont la priorité d'interface est la
plus élevée.
 Le routeur dont la priorité d'interface est en
deuxième position est sélectionné comme BDR.
 La priorité peut être tout nombre compris
entre 0 et 255. Un routeur de priorité 0 ne peut
pas devenir DR.
 Si les priorités d'interface sont identiques, le
routeur dont l'ID est le plus élevé est sélectionné
en tant que routeur désigné (DR). Le routeur dont
l'ID est le deuxième plus élevé est le routeur
désigné de secours (BDR)
 l'ID de routeur peut être déterminé de trois
façons :
Document Millésime Page
OFPPT @ [Link] février 25 48 - 192
 La segmentation LAN
• Il peut être configuré manuellement.
• Si aucun ID de routeur n'est configuré, l'ID de
routeur est déterminé par l'adresse IP d'envoi en
boucle la plus élevée. (Loop back inter.)
• Si aucune interface de bouclage n'est
configurée, l'ID de routeur est déterminé par
l'adresse IPv4 active la plus élevée.
 Dans un réseau IPv6, l'ID de routeur doit être
configuré manuellement au moyen de la
commande router-id rid ; si tel n'est pas le cas,
OSPFv3 ne démarre pas
 OSPF dans les réseaux à accès multiple
Processus de sélection de DR/BDR
Une fois le DR choisi, ce routeur reste le DR
jusqu'à ce l'un des événements ci-dessous
survienne :
 Le DR tombe en panne.
 Le processus OSPF sur le DR tombe en panne
ou est arrêté.
 L'interface à accès multiple sur le DR tombe
en panne ou est désactivée.
En cas de panne du DR, le BDR devient
automatiquement le DR.
 Et cela même si un DROther de priorité ou
d'ID de routeur plus élevés a été ajouté au réseau
après la sélection initiale du DR et du BDR.

 OSPF dans les réseaux à accès multiple

Priorité OSPF

Document Millésime Page

OFPPT @ [Link] février 25 49 - 192
 La segmentation LAN
 Au lieu de se baser sur l'ID de routeur, il vaut
mieux contrôler la sélection au moyen des
priorités d'interfaces.
• Pour définir la priorité d'une interface, utilisez
les commandes suivantes :
ip ospf priority Valeur (commande
d'interface OSPFv2)
ipv6 ospf priority Valeur (commande
d'interface OSPFv3)
 Pour débuter une autre élection OSPF, utiliser
l’une des méthodes suivantes:
• Désactiver les interfaces des routeurs, puis
les réactiver en commençant par le DR, puis le
BDR, puis tous les autres routeurs.
• Réinitialiser le processus OSPF au moyen de
la commande clear ip ospf process, à
configurer en mode d'exécution privilégié sur
tous les routeurs.

 [Link] Exercice : sélection

 du routeur désigné

 Propagation de la route par défaut

Propagation d'une route statique par défaut dans
OSPFv2
Avec OSPF, le routeur connecté à Internet
est utilisé pour propager une route par
défaut vers d'autres routeurs dans le
domaine de routage OSPF. Ce routeur est
parfois appelé routeur de périphérie,
d'entrée ou de passerelle. Toutefois, en
terminologie OSPF, le routeur situé entre un
domaine de routage OSPF et un réseau non
Document Millésime Page
OFPPT @ [Link] février 25 50 - 192
La segmentation LAN
OSPF est également appelé le routeur ASBR
(Autonomous System Boundary Router).

 Propagation de la route par défaut

Vérification de la route par défaut propagée

 Propagation de la route par défaut

Propagation d'une route statique par défaut dans
OSPFv3
Verification de la propagation de route
par defaut sur ipv6

 Réglage précis des interfaces OSPF

Intervalles des paquets Hello et Dead OSPF
Les intervalles OSPF Hello et Dead doivent
correspondres entre les routeurs , sinon la
contiguïté de voisinage ne peut pas
s'établir.

Document Millésime Page

OFPPT @ [Link] février 25 51 - 192
La segmentation LAN
 Réglage précis des interfaces OSPF
Modification des intervalles
 Modification des intervalles OSPFv2

 Modification des intervalles OSPFv3

 Vérification des intervalles OSPFv3 de

l’interface
 OSPF sécurisé
Mises à jour de routage sécurisées
 Lorsqu'un routeur est configuré pour
l'authentification des voisins, il authentifie la
source de chaque paquet de mise à jour de
routage qu'il reçoit.
 il échange une clé d'authentification (parfois
appelée mot de passe) connue du routeur
expéditeur et du routeur destinataire.
 OSPF prend en charge 3 types
d'authentification :
• Null – aucune authentification.
• Authentification par simple mot de
passe – également appelée authentification en
texte clair, car le mot de passe est présent en
texte clair dans la mise à jour envoyée sur le
réseau.
• Authentification MD5 – méthode
d'authentification la mieux sécurisée et la plus
recommandée. le mot de passe n'est jamais
échangé entre homologues. Il est calculé au
moyen de l'algorithme MD5. L'expéditeur est

Document Millésime Page

OFPPT @ [Link] février 25 52 - 192
La segmentation LAN
authentifié lorsque le résultat de l'algorithme
correspond au résultat prévu.

 OSPF sécurisé
Authentification MD5

 OSPF sécurisé
Configuration de l'authentification MD5 OSPF
 L'authentification MD5 peut être activée
globalement pour toutes les interfaces ou
séparément pour chaque interface souhaitée.
 Pour activer l'authentification MD5 OSPF
globalement, exécutez les commandes suivantes
:
• ip ospf message-digest-key key
md5 password (commande de mode de
configuration d'interface)
• area area-id authentication message-
digest (en mode de configuration de routeur)
 Pour activer l'authentification MD5 par
interface, exécutez les commandes suivantes :
• ip ospf message-digest-key key
md5 password (commande de mode de
configuration d'interface)
• ip ospf authentication message-
digest (commande de mode de configuration
d'interface

 OSPF sécurisé
Exemple d'authentification MD5 OSPF
Document Millésime Page
OFPPT @ [Link] février 25 53 - 192
La segmentation LAN
 OSPF sécurisé
Exemple d'authentification MD5 OSPF(suite)
 OSPF sécurisé
Vérification de l'authentification MD5 OSPF
 OSPF sécurisé
Vérification de l'authentification MD5 OSPF(suite)
 5.2 Résolution des problèmes liés aux mises
en oeuvre du protocole OSPF à zone unique
 Éléments de dépannage du protocole OSPF à
zone unique
Les problèmes d'établissement de contiguïtés
OSPF

 Éléments de dépannage du protocole OSPF à

zone unique
Transition entre les différents états OSPF
 Éléments de dépannage du protocole OSPF à
zone unique
Commandes de dépannage OSPF
 show ip protocols – pour vérifier des
informations de configuration OSPF essentielles.
 show ip ospf neighbor – pour vérifier que
le routeur a établi une contiguïté avec ses
routeurs voisins.
 show ip ospf interface – pour afficher les
paramètres OSPF configurés sur une interface,
tels que l'ID de processus OSPF.
 show ip ospf – pour examiner l'ID de
processus OSPF et l'ID de routeur.
 show ip route ospf – pour afficher
uniquement les routes apprises par OSPF dans la
table de routage.

Document Millésime Page

OFPPT @ [Link] février 25 54 - 192
La segmentation LAN
 clear ip ospf [process-id] process – pour
réinitialiser les contiguïtés de voisinage OSPFv2.

 Éléments de dépannage du protocole OSPF à

zone unique Composantes du dépannage OSPF

 Troubleshoot Single-Area OSPFv2 Routing

Issues
Résolution des problèmes de voisinage
 Pour vérifier les interfaces OSPF actives,
utilisez la commande show ip ospf interface
 Vérifiez les paramètres OSPF avec la
commande show ip protocols
 Pour désactiver une interface passive, utilisez
la commande de mode de configuration de
routeur no passive-interface
 Vérifiez les routes en utilisant la commande
show ip route

 Résolution des problèmes liés aux mises en

œuvre du protocole OSPF à zone unique
Résolution des problèmes de table de routage
OSPF
 La commande show ip protocols verifie les
réeaux qui sont sont annoncés dans OSPF.

Document Millésime Page

OFPPT @ [Link] février 25 55 - 192
La segmentation LAN
 Pour que le protocole OSPF soit activé sur une
interface, une commande network
correspondante doit être configurée dans le
processus de routage OSPF.

 Utilise la commande show ip route pour

vérifier les routes dans la table de routage.
 Utilise la commande show ip protocols
pour vérifier que la route a été annoncée.

 Dépannage des problèmes de routage du

protocole OSPFv3 à zone unique
Commandes de dépannage de OSPFv3
 show ipv6 protocols – pour vérifier des
informations de configuration OSPFv3
essentielles.
 show ipv6 ospf neighbor – pour vérifier
que le routeur a établi une contiguïté avec ses
routeurs voisins.
 show ipv6 ospf interface – pour afficher
les paramètres OSPFv3 configurés sur une
interface.
 show ipv6 ospf – pour examiner l'ID de
processus OSPF et l'ID de routeur.
 show ipv6 route ospf – pour afficher
uniquement les routes apprises par OSPFv3 dans
la table de routage.

Document Millésime Page

OFPPT @ [Link] février 25 56 - 192
 La segmentation LAN
 clear ipv6 ospf [process-id] process – pour
réinitialiser les contiguïtés de voisinage OSPFv3.

 Méthode de dépannage OSPF à zone unique

 Vérifiez tous les IP et masques de la topologie
et les interfaces utilisées active.
 Vérifiez sur chaque routeur si le protocole
OSPF est activé et que le # ID OSPF est identique
sur tous les routeurs (Ex: Router OSPF 1 )
 Vérifiez les NETWORKs sur chaque routeur
soit les réseaux directement connectés à chaque
routeur avec le bon masque générique et la
bonne région (area 0 ).
 Vérifiez si besoin d’authentification entre
routeur (si oui doit être pareil sur chaque
interfaces du liens à programmer soit : #clef ,
algorithme d’encryption , mot de passe ).
 Vérifiez si besoin de programmer des
paramètres d’intervalles spécifique HELLO et
DEAD entre routeur (si oui doit être pareil sur
chaque interfaces du liens à programmer).

 Vérifiez le fonctionnement final du processus

OSPF à zone unique
 Voir sur chaque routeur si ils ont bien reçu
des routes OSPF. Vérifier si les routes inscrites
sont exacts et non manquantes. Show ip route
 Voir sur chaque routeur si ils ont bien reçu la
route par défaut. S* sur le routeur directement
Document Millésime Page
OFPPT @ [Link] février 25 57 - 192
La segmentation LAN
connecté à la route par défaut et O*SE sur les
autres routeur.
 Effectuer des ping à partir des usagés de la
topologie vers l’adresse de la route par défaut.
 Voir sur chaque routeur le rôle de chacun
(DR, BDR, DRothers) Show ip opsf interface

 Chapter 5: Summary
 OSPF defines five network types: point-to-
point, broadcast multiaccess, NBMA, point-to-
multipoint, and virtual links.
 The DR and BDR are elected to overcome
challenges of flooding in an OSPF network.
 The routers in the network elect the router
with the highest interface priority as DR. The
router with the second highest interface priority
is elected as the BDR.
 If all priorities are equal, the router with the
highest ID is elected DR and the second highest
ID becomes the BDR.
 To propagate a default route in OSPF, the
ASBR must be configured with a default static
route and the default-information originate
command.
 Verify routes with the show ip
route or show ipv6 route command.

 Chapter 5: Summary (cont.)

 For OSPF to make a correct path
determination, it may be necessary to adjust the
default interface bandwidth.

Document Millésime Page

OFPPT @ [Link] février 25 58 - 192
La segmentation LAN
 To adjust the reference bandwidth, use the
auto-cost reference-bandwidth Mbps router
configuration mode command.
 To adjust the interface bandwidth, use
the bandwidth kilobits interface configuration
mode command.
 The OSPF Hello and Dead intervals must
match or a neighbor adjacency does not occur.
 OSPF supports three types of authentication:
null, simple password authentication, and MD5
authentication.
 When troubleshooting OSPF neighbors, be
aware that the FULL or 2WAY states are normal.

 Chapter 5: Summary (cont.)

 Troubleshooting commands: show ip
protocols, show ip ospf neighbor, show ip
ospf interface, show ip ospf
 Troubleshooting OSPFv3 commands: show
ipv6 protocols, show ipv6 ospf neighbor,
show ipv6 ospf interface, show ipv6
ospf, show ipv6 route ospf, and clear ipv6
ospf [process-id] process

Document Millésime Page

OFPPT @ [Link] février 25 59 - 192
La segmentation LAN

 Chapitre 6: Protocole OSPF à zones multiples

 Scaling Networks
Traduction de la version Anglaise originale
effectuée par
Translated from the original English version
done by

Jimmy Tremblay
Instructeur au/at Cégep de Chicoutimi

534 Rue Jacques-Cartier Est, Chicoutimi,

Québec, Canada
Courriel/Email: jtremb@cegep-
[Link]

 Chapitre 6
6.0 Introduction
6.1 OSPF à zone multiples
6.2 Configuration OSPF à zone multiples
6.3 Résumé
 Chapitre 6: Objectifs
 6.1 Fonctionnement du protocole OSPF à
zones multiples
Document Millésime Page
OFPPT @ [Link] février 25 60 - 192
 La segmentation LAN
 Pourquoi choisir le routage OSPF à zones
multiples ?
Protocole OSPF à zone unique
Le protocole OSPF à zone unique est utile
sur les réseaux de petite taille où la
structure des liaisons du routeur n'est pas
complexe et où les chemins d'accès aux
différentes destinations peuvent être
déterminés facilement. Toutefois,
lorsqu'une zone devient trop grande, les
problèmes suivants peuvent surgir:
 Taille excessive de la table de routage
de grande taille (pas de récapitulation ou
résumé de route par défaut)
 Taille excessive de la base de données
d'états de liens (LSDB)
 Fréquence élevée des calculs de
l'algorithme SPF
 Pourquoi choisir le routage OSPF à zones
multiples ?
Protocole OSPF à zones multiples
 Pourquoi choisir le routage OSPF à zones
multiples ?
Hiérarchie à deux couches des zones OSPF
Le routage OSPF à zones multiples est mis
en œuvre selon une hiérarchie de zones à
deux couches :
Zone fédératrice (transit)
• zone OSPF dont la principale fonction est de
faire circuler de manière rapide et efficace les
paquets IP.
 connectée à d'autres types de zone OSPF..
 La zone fédératrice est également appelée
zone OSPF 0, comme étant le centre auquel
Document Millésime Page
OFPPT @ [Link] février 25 61 - 192
 La segmentation LAN
toutes les autres zones sont connectées
directement.
Zone normale (non fédératrice)
• met en relation les utilisateurs et les
ressources.
 une zone normale n’autorise pas le trafic issu
d’une autre zone à utiliser ses liens pour parvenir
à d’autres zones.
 Pourquoi choisir le routage OSPF à zones
multiples ?
Types de routeur OSPF
 Pourquoi choisir le routage OSPF à zones
multiples ?
Types de routeur OSPF
(suite)
 Pourquoi choisir le routage OSPF à zones
multiples ?
Types de routeur OSPF
(suite)
 Pourquoi choisir le routage OSPF à zones
multiples ?
Types de routeur OSPF
(suite)
 Fonctionnement du protocole OSPF à zones
multiples
LSA OSPF de type 1
 Fonctionnement du protocole OSPF à zones
multiples
OSPF LSA Type 1
 Fonctionnement du protocole OSPF à zones
multiples
OSPF LSA Type 2

Document Millésime Page

OFPPT @ [Link] février 25 62 - 192
La segmentation LAN
 Fonctionnement du protocole OSPF à zones
multiples
OSPF LSA Type 3
 Fonctionnement du protocole OSPF à zones
multiples
OSPF LSA Type 4
 Fonctionnement du protocole OSPF à zones
multiples
OSPF LSA Type 5
 Table de routage OSPF et types de routes
Entrées de la table de routage OSPF
 Table de routage OSPF et types de routes
Entrées de la table de routage OSPF (suite)
 Table de routage OSPF et types de routes
Calcul des routes OSPF
 6.2 Configuration du routage OSPF à
zones multiples
 Configuration du routage OSPF à zones
multiples
Implémentation du protocole OSPF à zones
multiples
 Configuration du routage OSPF à zones
multiples
Configuration du routage OSPFv2 à zones
multiples
 Configuration du routage OSPF à zones
multiples
Configuring Multiarea OSPFv3
 Récapitulation des routes OSPF
Récapitulation (résumé) des routes OSPF
 Récapitulation des routes OSPF
Récapitulation (résumé) de routes interzones et
externes
Document Millésime Page
OFPPT @ [Link] février 25 63 - 192
 La segmentation LAN
 Récapitulation des routes OSPF
Récapitulation (résumé) de routes interzones et
externes (suite)
 Récapitulation des routes OSPF
Récapitulation (résumé) de route interzone
 Récapitulation des routes OSPF
Récapitulation (résumé) de route interzone
(suite)
 Récapitulation des routes OSPF
Calcul de la route récapitulative (résumé)
 Récapitulation des routes OSPF
Configuration de la récapitulation (résumé) des
routes internes à une zone
 Vérification du protocole OSPF à zones
multiples
Vérification du protocole OSPF à zones multiples
Les commandes de vérification utilisées
pour une topologie OSPF à zone unique
peuvent également être utilisées pour
vérifier la topologie OSPF à zones multiples
:
 show ip ospf neighbor
 show ip ospf
 show ip ospf interface
Les commandes suivantes permettent de
vérifier des informations multizones
spécifiques :
 show ip protocols
 show ip ospf interface brief
 show ip route ospf
 show ip ospf database

 Vérification du protocole OSPF à zones

multiples
Document Millésime Page
OFPPT @ [Link] février 25 64 - 192
La segmentation LAN
Vérification des paramètres du protocole OSPF à
zones multiples
 Vérification du protocole OSPF à zones
multiples
Vérification des routes OSPF
 Vérification du protocole OSPF à zones
multiples
Vérification de la LSDB OSPF à zones multiples
 Vérification du protocole OSPF à zones
multiples
Vérification du protocole OSPFv3 à zones
multiples
 Vérification du protocole OSPF à zones
multiples
Vérification du protocole OSPFv3 à zones
multiples (suite)
 Vérification du protocole OSPF à zones
multiples
Vérification du protocole OSPFv3 à zones
multiples (suite)
 Chapter 6: Summary
Multiarea OSPF Summary
 Better choice for larger networks than single-
area.
 Solves the issues of large routing table, large
LSDB, and frequent SPF algorithm calculations.
 Main area is called the backbone area, or
area 0.
 Recalculating the database is kept within an
area.
 Four different types of OSPF routers:
 Internal router
 Backbone router
 ABR
Document Millésime Page
OFPPT @ [Link] février 25 65 - 192
 La segmentation LAN
 ASBR
 A router simply becomes an ABR when it has
two network statements in different areas.

 Chapter 6: Summary
Multiarea OSPF Summary (cont.)
 Link-state advertisements (LSAs) are the
building blocks of OSPF.
 Type 1 LSAs are referred to as the router link
entries.
 Type 2 LSAs are referred to as the network
link entries and are flooded by a DR.
 Type 3 LSAs are referred to as the summary
link entries and are created and propagated by
ABRs.
 A type 4 summary LSA is generated by an
ABR only when an ASBR exists within an area.
 Type 5 external LSAs describe routes to
networks outside the OSPF autonomous system,
originated by the ASBR and are flooded to the
entire autonomous system.
 SPF tree is used to determine the best paths.
 OSPF routes in an IPv4 routing table are
identified using the following descriptors: O, O IA,
O E1, or O E2.

 Chapter 6: Summary
Multiarea OSPF Summary (cont.)
 The following example displays a multiarea
OSPF configuration:
R1(config)# router ospf 10
R1(config-router)# router-id [Link]
R1(config-router)# network [Link]
[Link] area 1
Document Millésime Page
OFPPT @ [Link] février 25 66 - 192
La segmentation LAN
R1(config-router)# network [Link]
[Link] area 1
R1(config-router)# network [Link]
[Link] area 0
 Does not perform autosummarization, but
can be manually configured using the summary-
address address mask router configuration
mode command
 Chapter 6: Summary
Multiarea OSPF Summary (cont.)
 The following commands are used to verify
OSPF configurations:
 show ip ospf neighbor
 show ip ospf
 show ip ospf interface
 show ip protocols
 show ip ospf interface brief
 show ip route ospf
 show ip ospf database

Document Millésime Page

OFPPT @ [Link] février 25 67 - 192
 La segmentation LAN

 Chapitre 7 Le protocole EIGRP (Enhanced

Interior Gateway Routing Protocol)
 Scaling Networks
Traduction de la version Anglaise originale
effectuée par
Translated from the original English version
done by

Jimmy Tremblay
Instructeur au/at Cégep de Chicoutimi

534 Rue Jacques-Cartier Est, Chicoutimi,

Québec, Canada
Courriel/Email: jtremb@cegep-
[Link]

 Chapitre 7
7.0 Introduction
7.1 Caractéristiques de EIGRP
7.2 Configuration de EIGRP pour IPv4
7.3 Fonctionnement de EIGRP
7.4 Configuration de EIGRP pour IPv6
7.5 Résumé
 Chapitre 7: Objectifs
 7.1 Caractéristiques du protocole EIGRP
 Fonctionnalités de base du protocole EIGRP
Fonctionnalités du protocole EIGRP
Document Millésime Page
OFPPT @ [Link] février 25 68 - 192
La segmentation LAN
 Released in 1992 as a Cisco proprietary
protocol.
 2013 basic functionality of EIGRP released as
an open standard.
 Advanced Distance Vector routing protocol.
 Uses the Diffusing Update Algorithm (DUAL)
to calculate paths and back-up paths.
 Establishes Neighbor Adjacencies.
 Uses the Reliable Transport Protocol to
provide delivery of EIGRP packets to neighbors.
 Partial and Bounded Updates. Send updates
only when there is a change and only to the
routers that need the information.
 Supports Equal and Unequal Cost Load
Balancing.

 Fonctionnalités de base du protocole EIGRP

Modules dépendants d'un protocole
 Fonctionnalités de base du protocole EIGRP
Protocole de transport fiable
 Fonctionnalités de base du protocole EIGRP
Authentification
 EIGRP peut être configuré pour
l’authentification.
 Assurer que les routeurs acceptent
uniquement les informations de routage d'autres
routeurs configurés avec le même mot de passe
ou les mêmes informations d'authentification.
 Types de paquets EIGRP
Types de paquets EIGRP
 Types de paquets EIGRP
Paquets Hello EIGRP
 Utilisés pour détecter d'autres routeurs
connectés directement en EIGRP
Document Millésime Page
OFPPT @ [Link] février 25 69 - 192
 La segmentation LAN
 Utilisés pour former des contiguïtés de
voisinage EIGRP.
 envoyés en multidiffusion IPv4 ou IPv6 via le
mode d'acheminement RTP non fiable.
 L'adresse de multidiffusion EIGRP réservée
pour IPv4 est [Link].
 L'adresse de multidiffusion EIGRP réservée
pour IPv6 est FF02::A.
 Unreliable delivery.
 sont envoyés en multidiffusion toutes les cinq
secondes (sont envoyés en monodiffusion toutes
les 60 secondes sur les réseaux multipoints à
accès multiple sans diffusion NBMA bas débit).
 EIGRP utilise par défaut un temps d'attente
correspond à 3 fois l'intervalle Hello ou à
15 secondes sur la plupart des réseaux et
180 secondes sur les réseaux NBMA bas débit
avant de déclarer qu’ un voisin est inaccessible.

 Types de paquets EIGRP

Paquets de mise à jour et de reçu (ACK) EIGRP
 envoie des paquets de mise à jour pour
propager les informations de routage, seulement
quand c’est nécessaire.
 Mises à jour partiel - envoie des mises à jour
incrémentielles uniquement lorsque l'état d'une
destination change.
 Mise à jour limité - propagation des mises à
jour partielles qui sont envoyées uniquement aux
routeurs affectés par les modifications.
Document Millésime Page
OFPPT @ [Link] février 25 70 - 192
La segmentation LAN
 utilisent un mode d'acheminement fiable, ce
qui signifie que le routeur expéditeur exige un
reçu (ACK) .

 Types de paquets EIGRP

Paquets de demande et de réponse EIGRP
 Utilisé pour la recherche de réseaux et
d'autres tâches.
 Les demandes utilisent la livraison fiable, et
sont donc envoyées en multidiffusion ou
monodiffusion.
 Les réponses utilisent la livraison fiable
également mais sont envoyées uniquement en
monodiffusion.

 Messages EIGRP
Encapsulation des messages EIGRP
 Messages EIGRP
En-tête de paquet EIGRP et TLV
 7.2 Configuration du protocole EIGRP
pour IPv4
 Configuration du protocole EIGRP pour IPv4
Topologie de réseau EIGRP
Voici topologie utilisée dans ce cours pour
configurer le protocole EIGRP pour IPv4.

Document Millésime Page

OFPPT @ [Link] février 25 71 - 192
La segmentation LAN
 Configuration du protocole EIGRP pour IPv4
Numéros de système autonome
 Utilise la commande router
eigrp autonomous-system pour activer le
processus EIGRP.
 Le numéro de système autonome est
seulement significatif au domaine de routage
EIGRP.
 Le numéro de système autonome EIGRP n'est
pas associé aux numéros de système autonome
globaux attribués par l'IANA (Internet Assigned
Numbers Authority) utilisés par les protocoles de
routage externes.
 Les fournisseurs d’accès internet (ISPs)
requièrent un numéro de système autonome
EIGRP de IANA.
 Les FAI et grandes institutions utilisent le
protocole de routage à passerelle extérieure BGP
(Border Gateway Protocol) pour propager les
informations de routage, qui fait utiliser le
numéro de système autonome IANA dans sa
configuration.

 Configuration du protocole EIGRP pour IPv4

La commande router EIGRP

Router(config)# router eigrp autonomous-

system

Document Millésime Page

OFPPT @ [Link] février 25 72 - 192
 La segmentation LAN
Pour désactiver le processus de routage
EIGRP à partir d’un composant réseau,
utilisé la commande
no router eigrp autonomous-system

 Configuration du protocole EIGRP pour IPv4

ID de routeur EIGRP
Utilisé dans les deux protocoles de routage
EIGRP and OSPF, cependant le rôle de l’ID
de routeur est plus significatif dans
OSPF.

 Configuration du protocole EIGRP pour IPv4

Configuration de l'ID de routeur EIGRP
 Configuration de l'ID de routeur EIGRP
Router(config)# router eigrp
autonomous-system
Router(config-router)# eigrp router-
id ipv4-address
 Une autre méthode de détermination de l'ID
de routeur EIGRP consiste à utiliser une adresse
de bouclage IPv4.
 Si la commande eigrp router-idn'est pas
utilisée et si des interfaces de bouclage sont
configurées, le protocole EIGRP choisit l'adresse
IPv4 la plus élevée parmi celles de ses interfaces
de bouclage

Document Millésime Page

OFPPT @ [Link] février 25 73 - 192
La segmentation LAN
 Configurtion d’une interface de bouclage
(Loopback Interface)
Router(config)# interface
loopback number
Router(config-if)# ip addressipv4-
address subnet-mask

 Configuration du protocole EIGRP pour IPv4

La commande network
 Elle permet à chaque interface du routeur
correspondant à l'adresse réseau indiquée dans
la commande de mode de configuration du
routeurnetwork d'envoyer et de recevoir des
mises à jour EIGRP.
 Le réseau des interfaces est inclus dans les
mises à jour de routage EIGRP.

 Configuration du protocole EIGRP pour IPv4

La commande network
Par défaut, la commande de mode de
configuration du routeur
eigrp log-neighbor-changes est activée.

Cette commande sert à :

 Afficher les modifications apportées aux
contiguïtés de voisinage EIGRP
 Vérifier les contiguïtés de voisinage pendant
la configuration du protocole EIGRP
 Conseiller l'administrateur réseau en cas de
suppression de contiguïtés EIGRP
Document Millésime Page
OFPPT @ [Link] février 25 74 - 192
 La segmentation LAN
 Configuration du protocole EIGRP pour IPv4
Commande network et masque générique
 Si l’administrateur réseau ne veut pas
toujours inclure toutes les interfaces d’un réseau
lorsqu’il active EIGRP. Il doit ajouter un masque
générique.
 Supposons qu'un administrateur souhaite
activer le protocole EIGRP uniquement pour un
sous-réseau spécifique, utilisez l'option wildcard-
mask avec la commande network soit: :
Router(config-router)# network network
address [wildcard-mask]
 Considérez un masque générique (wildcard
mask) comme étant l’inverse d’un masque de
sous-réseau.
 Pour calculer l'inverse du masque de sous-
réseau, soustrayez le masque de sous-réseau de
[Link] comme suit :
[Link]
-- [Link]
0. 0. 0. 3 wildcard
mask
 Note: Certaines versions IOS permettent
également de saisir le masque de sous-réseau
plutôt qu'un masque générique.
 Configuration du protocole EIGRP pour IPv4
Commande passive interface
Utilisé la commande passive-
interface pour :
 empêcher les contiguïtés de voisinage sur
certaine interfaces

Document Millésime Page

OFPPT @ [Link] février 25 75 - 192
 La segmentation LAN
 Pour supprimer le trafic de mise à jour inutile,
notamment en présence d'une interface LAN,
sans autres routeurs connectés
 Pour augmenter les contrôles de sécurité, par
exemple pour empêcher les périphériques de
routage indésirables inconnus de recevoir les
mises à jour EIGRP
 Pour configurer:
Router(config)# router eigrp as-number
Router(config-router)# passive-interface i
nterface-type interface-number
 Pour verifier:
Router# show ip protocols

 Configuration du protocole EIGRP pour IPv4

Vérification du protocole EIGRP : examen des
voisins

 Configuration du protocole EIGRP pour IPv4

Vérification du protocole EIGRP : commande show
ip protocols
 Configuration du protocole EIGRP pour IPv4
Vérification du protocole EIGRP : examen de la
table de routage IPv4

Document Millésime Page

OFPPT @ [Link] février 25 76 - 192
La segmentation LAN

 7.3 Fonctionnement du protocole et

paramètres EIGRP
 Détection de route initiale EIGRP
Contiguïté de voisinage EIGRP

 Détection de route initiale EIGRP

Table topologique EIGRP

 Détection de route initiale EIGRP

Convergence EIGRP
Convergence – Tous les routeurs ont le
corrigé de la plupart des informations à
jour sur le réseau

 Les métriques
Métrique composite EIGRP
 Les métriques
Examining Interface Values
 BW – Bande passante d’une interface (en
Kilobits par seconde).
 DLY – Délai de l’interface (microsecondes).
Document Millésime Page
OFPPT @ [Link] février 25 77 - 192
 La segmentation LAN
 Reliability – Fiabilité de l’interface entre la
source et destination.
 Txload, Rxload – By default, entre la source
et destination.

 Les métriques
Métrique de bande passante
 Utilise la commande show interfaces pour
vérifier la bande passante.
 Plusieurs bande passante d’interfaces séries
sont ajusté par défaut à 1,544 kb/s .
 Un bonne valeur de bande passante est très
importante dans les calculs de métrique afin que
les informations de routage soient correctes (les
deux côtés du lien doivent avoir la même valeur
de bande).
 Les métriques
Métrique de délai
 Les métriques
Mode de calcul de la métrique EIGRP
Étape 1. Déterminez le lien avec la bande
passante la plus lente. Utilisez cette valeur
pour calculer la bande passante
(10 000 000/bande passante).
Étape 2. Déterminez la valeur de délai de
chaque interface sortante vers la
destination. Additionnez les valeurs de délai
et divisez le résultat par 10 (somme des
délais/10).
Étape 3. Additionnez les valeurs calculées
de bande passante et de délai et multipliez
la somme par 256 pour obtenir la métrique
EIGRP.
Document Millésime Page
OFPPT @ [Link] février 25 78 - 192
 La segmentation LAN

 Algorithme DUAL et table topologique

Concepts DUAL
Le protocole EIGRP utilise l'algorithme
DUAL (Diffusing Update Algorithm) pour
fournir les meilleurs chemins sans boucle et
chemins de secours sans boucle.

Le processus décisionnel des calculs de

route s'effectue à l'aide de Finite State
Machine (FSM) DUAL
 DUAL FSM tracks toutes les routes:
 Utilise les métrique EIGRP pour sélectionner
les meilleurs chemins sans boucle.
 Identifie les itinéraires avec le chemin du
moindre coût à insérer dans la table de routage
 EIGRP évite autant que possible tout nouveau
calcul en gérant une liste de routes de
sauvegarde que DUAL a déjà évaluées comme
sans boucle.

 Algorithme DUAL et table topologique

Successeur et distance de faisabilité
 Un successeur est un routeur voisin utilisé
pour le transfert de paquets et qui constitue la
route à moindre coût vers le réseau de
destination.
Document Millésime Page
OFPPT @ [Link] février 25 79 - 192
 La segmentation LAN
 La distance de faisabilité (FD) est la
métrique la plus basse calculée pour atteindre le
réseau de destination.
 Algorithme DUAL et table topologique
Successeurs potentiels, condition de faisabilité et
distance annoncée
 Un successeur potentiel (FS) est un voisin
disposant d'un chemin de secours sans boucle
vers le même réseau que le successeur, et qui
remplit la condition de faisabilité (FC).
 La condition de faisabilité (FC) est remplie
lorsque la distance annoncée (RD) d'un voisin à
un réseau est inférieure à la distance de
faisabilité du routeur local par rapport à ce même
réseau de destination. Si la distance annoncée
est inférieure, elle représente un chemin sans
boucle.
 La distance annoncée (RD) correspond
simplement à la distance de faisabilité d'un voisin
EIGRP vers le même réseau de destination..
 DUAL et table topologique
Table topologique : commande show ip eigrp
topology
 DUAL et table topologique
Table topologique : aucun successeur potentiel
 DUAL et Convergence
DUAL Finite State Machine (FSM)
 DUAL et Convergence
DUAL: Successeur potentiel
 DUAL et Convergence
DUAL : aucun successeur potentiel
 7.4 Configuration du protocole EIGRP
pour IPv6

Document Millésime Page

OFPPT @ [Link] février 25 80 - 192
La segmentation LAN
 Protocole EIGRP pour IPv4 versus IPv6
Protocole EIGRP pour IPv6
 Protocole EIGRP pour IPv4 versus IPv6
Comparaison du protocole EIGRP pour IPv4 et
IPv6
 Protocole EIGRP pour IPv4 versus IPv6
Adresses link-local IPv6
 Configuration du protocole EIGRP pour IPv6
Topologie réseau EIGRP pour IPv6
 Configuration du protocole EIGRP pour IPv6
Configuration d'adresses link-local IPv6
Configuration manuelle d’adresses link-
local

 Configuration du protocole EIGRP pour IPv6

Configuration du protocole EIGRP pour le
processus de routage IPv6
 La commande de mode de configuration
globale ipv6 unicast-routing active le routage
IPv6 sur le routeur.
 Configuration EIGRP pour IPv6

 La commande no shutdown et l’ID du

routeur sont requis pour
que le routeur forme des contiguïtés voisines.
Document Millésime Page
OFPPT @ [Link] février 25 81 - 192
 La segmentation LAN

 Vérification du protocole EIGRP pour IPv6

Vérification du protocole EIGRP pour IPv6 :
examen des voisins
Utilisez la commande show ipv6 eigrp
neighbors pour afficher la table de
voisinage et vérifier que le protocole EIGRP
pour IPv6 a établi une contiguïté avec ses
voisins.

 Configuration EIGRP pour IPv6

Commande ipv6 eigrp interface
 Vérification du protocole EIGRP pour IPv6
Vérification du protocole EIGRP pour IPv6 :
examen de la table de routage IPv6

Document Millésime Page

OFPPT @ [Link] février 25 82 - 192
La segmentation LAN

 Vérification du protocole EIGRP pour IPv6

Vérification du protocole EIGRP pour IPv6 :
Commande show ip protocols

 Chapter 7: Summary
 EIGRP is a classless, advanced distance
vector routing protocol.
 EIGRP uses the source code of “D” for DUAL
in the routing table.
 The default administrative distance of 90 is
used for internal routes and 170 for routes
imported from an external source.
 Advanced features include DUAL, establishing
neighbor adjacencies, RTP, partial and bounded
updates, and equal and unequal cost load
balancing.
 PDMs give EIGRP the capability to support
different Layer 3 protocols.
 EIGRP Hello packets are used to discover
neighbors.
 The show ip eigrp neighbors command is
used to view neighbor table and verify
adjacencies.

Document Millésime Page

OFPPT @ [Link] février 25 83 - 192
 La segmentation LAN
 Packet Tracer [Link](base), [Link]
(FSMdual), [Link] ( IPV6)

 Chapter 7: Summary (cont.)

 EIGRP sends partial bounded updates when a
change occurs on network.
 EIGRP composite metric uses bandwidth,
delay, reliability and load to determine the best
path (by default, only bandwidth and delay are
used).
 DUAL FSM is used to determine best path;
Successor and potential backup path, FS to every
destination network.

Document Millésime Page

OFPPT @ [Link] février 25 84 - 192
La segmentation LAN

 Chapitre 8: Configurations avancées et

résolutions des problèmes liés au protocole EIGRP

 Scaling Networks
Traduction de la version Anglaise originale
effectuée par
Translated from the original English version
done by

Jimmy Tremblay
Instructeur au/at Cégep de Chicoutimi

534 Rue Jacques-Cartier Est, Chicoutimi,

Québec, Canada
Courriel/Email: jtremb@cegep-
[Link]

 Chapter 8
8.1 Configurations avancées du protocole
EIGRP
8.2 Dépannage du protocole EIGRP
Document Millésime Page
OFPPT @ [Link] février 25 85 - 192
La segmentation LAN
8.3 Résumé
 Chapitre 8: Objectifs
.

 Résumé automatique
Topologie de réseau
 Résumé automatique
Récapitulation automatique EIGRP
 Résumé automatique
Configuration de la récapitulation automatique
avec le protocole EIGRP
 La récapitulation automatique du protocole
EIGRP pour IPv4 est maintenant désactivée par
défaut à partir des versions Cisco IOS 15.0(1)M et
12.2(33).
 Pour activer la récapitulation automatique du
protocole EIGRP, utilisez la commande de mode
de configuration du routeur auto-summary.
R1(config)# router eigrp autonomous-
system
R1(config-router)# auto-summary
 Utilisez la forme no de cette commande
pour désactiver la récapitulation automatique
soit:
R1(config)# router eigrp autonomous-
system
R1(config-router)# no auto-summary
 Résumé automatique
Vérification de la récapitulation automatique:
show ip protocols
 Résumé automatique
Vérification de la récapitulation automatique :
table topologique
Document Millésime Page
OFPPT @ [Link] février 25 86 - 192
 La segmentation LAN
 Résumé automatique
Vérification de la récapitulation automatique :
table de routage
 Résumé automatique
Route récapitulative
 Résumé automatique
Route récapitulative (suite)
 Résumé manuel
Routes récapitulatives manuelles
 EIGRP peut être configuré pour résumer les
routes, que la fonction de récapitulatif
automatique (auto-summary) soit activée ou
non..
 EIGRP étant un protocole de routage sans
classe qui inclut le masque de sous-réseau dans
les mises à jour de routage, le résumé manuel
peut inclure des routes de super-réseau.
 un super-réseau est un ensemble de plusieurs
adresses de réseau principal par classe.
 Résumé manuel
Configuration des routes récapitulatives
manuelles du protocole EIGRP
 Résumé manuel
Vérification des routes récapitulatives manuelles
 Résumé manuel
Protocole EIGRP pour IPv6 : routes récapitulatives
manuelles
 Propagation de la route par défaut
Propagation d'une route statique par défaut
 L'utilisation d'une route statique vers
[Link]/0 comme route par défaut ne dépend pas
du protocole de routage.

Document Millésime Page

OFPPT @ [Link] février 25 87 - 192
La segmentation LAN
 La route statique « quatre zéros » peut être
utilisée avec n’importe quel protocole de routage
pris en charge.
 La route statique par défaut est
généralement configurée sur le routeur connecté
à un réseau extérieur au domaine de routage
EIGRP ; par exemple, à un FAI..
 Propagation de la route par défaut
Vérification de la route par défaut propagée
L'entrée de la route par défaut apprise
avec le protocole EIGRP est identifiée à
l'aide des éléments suivants :
 D – cette route a été apprise à partir d'une
mise à jour de routage EIGRP.
 * – la route peut convenir comme route par
défaut.
 EX – la route est une route EIGRP externe,
dans ce cas, une route statique extérieure au
domaine de routage EIGRP.
 170 – il s'agit de la distance administrative
d'une route EIGRP externe.

 Propagation de la route par défaut

Protocole EIGRP pour IPv6 : route par défaut

Note: dans certains IOS, il faut parfois

inclure les paramètres de métrique EIGRP
dans la commande redistribute
static pour pouvoir redistribuer la route
Document Millésime Page
OFPPT @ [Link] février 25 88 - 192
 La segmentation LAN
statique. Ces paramètres peuvent varier,
mais un exemple de ce scénario seraient :
R2(config)# ipv6 router eigrp 2
R2(config-router)# redistribute static
metric 64 2000 255 1 1500

 Réglage précis des interfaces EIGRP

Utilisation de la bande passante par le protocole
EIGRP
EIGRP Bandwidth for IPv4
 Par défaut, le protocole EIGRP n'utilise que
50 % maximum de la bande passante d'une
interface pour les informations EIGRP. Cela
permet au processus EIGRP de ne pas surcharger
une liaison en ne laissant pas suffisamment de
bande passante pour le routage du trafic normal.
 La commande ip bandwidth-percent
eigrp peut être utilisée pour configurer le
pourcentage de bande passante pouvant être
utilisé par le protocole EIGRP sur une interface.
Router(config-if)# ip bandwidth-percent
eigrp as-number percent
 Réglage précis des interfaces EIGRP
Utilisation de la bande passante par le protocole
EIGRP (cont.)
Bande passante EIGRP pour IPv6
Pour configurer le pourcentage de bande
passante pouvant être utilisé par le
protocole EIGRP pour IPv6 sur une
Document Millésime Page
OFPPT @ [Link] février 25 89 - 192
 La segmentation LAN
interface, exécutez la commande ipv6
bandwidth-percent eigrp en mode de
configuration d'interface. Pour restaurer la
valeur par défaut, utilisez la forme no de
cette commande.
Router(config-if)# ipv6 bandwidth-
percent eigrp as-number percent
 Réglage précis des interfaces EIGRP
Minuteurs Hello et de mise en attente
 Réglage précis des interfaces EIGRP
Équilibrage de la charge IPv4
 L'équilibrage de charge à coût égal
représente la capacité d'un routeur à distribuer le
trafic sortant à l'aide de toutes les interfaces
configurées avec la même métrique à partir de
l'adresse de destination.
 Par défaut, Cisco IOS permet l'équilibrage de
la charge à l'aide de quatre chemins à coût égal ;
toutefois, cette valeur peut être modifiée. À l'aide
de la commande de mode de configuration du
routeur maximum-paths, vous pouvez
conserver jusqu'à 32 routes à coût égal dans la
table de routage. .
Router(config-router)# maximum-paths
value
 Si la valeur est réglée sur 1, l'équilibrage de
la charge est désactivé.
 Réglage précis des interfaces EIGRP
Équilibrage de la charge IPv6
 EIGRP sécurisé
Présentation de l’authentification des protocoles
de routage
 Les administrateurs réseau doivent savoir
que les routeurs sont autant confrontés aux
Document Millésime Page
OFPPT @ [Link] février 25 90 - 192
La segmentation LAN
attaques que les périphériques des utilisateurs
finaux. Quiconque équipé d'un analyseur de
paquets, tel que Wireshark, peut lire les
informations propagées entre des routeurs.
 A method to protect routing information on
the network is to authenticate routing protocol
packets using the Message Digest 5 (MD5)
algorithm.
 Une méthode de protection des informations
de routage sur le réseau consiste à authentifier
les paquets du protocole de routage à l'aide de
l'algorithme Message Digest 5 (MD5).
 EIGRP sécurisé
Configuration du protocole EIGRP avec
l'authentification MD5
 EIGRP sécurisé
Exemple d'authentification EIGRP (IPv4)
 EIGRP sécurisé
Exemple d'authentification EIGRP (IPv6)
 EIGRP sécurisé
Vérification de l'authentification
 Les contiguïtés se forment uniquement
lorsque les deux périphériques connectés sont
configurés pour l'authentification.
 Afin de vérifier que les contiguïtés EIGRP
correctes ont été formées après avoir été
configurées pour l'authentification, exécutez la
commande show ip eigrp neighbors sur
chaque routeur.
 Pour vérifier les contiguïtés de voisinage
EIGRP pour IPv6, utilisez la commande show
ipv6 eigrp neighbors.

Document Millésime Page

OFPPT @ [Link] février 25 91 - 192
La segmentation LAN

 8.2 Dépannage du protocole EIGRP

 Scaling Networks
 Éléments de dépannage du protocole EIGRP
Commandes de dépannage de base du protocole
EIGRP
EIGRP for IPv4
 Router# show ip eigrp neighbors
 Router# show ip route
 Router# show ip protocols
EIGRP for IPv6
 Router# show ipv6 eigrp neighbors
 Router# show ipv6 route
 Router# show ipv6 protocols
 Éléments de dépannage du protocole EIGRP
Composants
 Dépannage des problèmes de voisinage
EIGRP
Connectivité de la couche 3
La connectivité de la couche 3 est
indispensable pour former une contiguïté
de voisinage entre deux routeurs connectés
directement.
 Dépannage des problèmes de voisinage
EIGRP
Paramètres EIGRP
Lors du dépannage d'un réseau EIGRP,
l'une des premières choses à vérifier est
que tous les routeurs participants au
réseau EIGRP sont configurés avec le même
numéro de système autonome.
Document Millésime Page
OFPPT @ [Link] février 25 92 - 192
 La segmentation LAN

EIGRP for IPv4

 Router# show ip protocols
EIGRP for IPv6
 Router# show ipv6 protocols

 Dépannage des problèmes de voisinage

EIGRP
Interfaces EIGRP
 Outre la vérification du numéro de système
autonome, il est nécessaire de vérifier que toutes
les interfaces participent au réseau EIGRP.
 La commande network configurée sous le
processus de routage EIGRP indique les interfaces
de routage qui participent au protocole EIGRP.
 Dépannage des problèmes de table de
routage EIGRP
Commande passive interface
 Il se peut que les tables de route ne
présentent pas les routes correctes en raison de
la commande passive-interface..
 Pour vérifier si l'interface d'un routeur est
configurée comme passive, utilisez la
commande show ip protocols en mode
d'exécution privilégié.
 Dépannage des problèmes de table de
routage EIGRP
Passive Interface
 Lorsque le protocole EIGRP est exécuté sur un
réseau, la commandepassive-interface arrête
les mises à jour de routage entrantes et
sortantes. C'est la raison pour laquelle les
routeurs ne deviennent pas des voisins.
Document Millésime Page
OFPPT @ [Link] février 25 93 - 192
 La segmentation LAN
 Dépannage des problèmes de table de
routage EIGRP
Instruction réseau manquante
 Dépannage des problèmes de table de
routage EIGRP
Instruction réseau manquante (suite)
 Dépannage des problèmes de table de
routage EIGRP
Instruction réseau manquante (suite)
 Dépannage des problèmes de table de
routage EIGRP
Résumé automatique
 La récapitulation automatique du protocole
EIGRP peut également engendrer des problèmes
pour l'administrateur réseau.
 Le protocole EIGRP pour IPv4 peut être
configuré pour récapituler automatiquement les
routes aux frontières par classe. La récapitulation
automatique peut entraîner un routage
incohérent dans un réseau discontinu.
 Les réseaux par classe n'existent pas dans
IPv6 ; le protocole EIGRP pour IPv6 ne prend donc
pas en charge la récapitulation automatique.
Toutes les tâches de récapitulation doivent être
réalisées à l'aide des routes récapitulatives
manuelles EIGRP.
 Chapter 8: Summary
 EIGRP is one of the routing protocols
commonly used in large enterprise networks.
 Modifying EIGRP features and troubleshooting
problems is one of the most essential skills for a
network engineer involved in the implementation

Document Millésime Page

OFPPT @ [Link] février 25 94 - 192
 La segmentation LAN
and maintenance of large, routed enterprise
networks that use EIGRP.
 Summarization decreases the number of
entries in routing updates and lowers the number
of entries in local routing tables. It also reduces
bandwidth utilization for routing updates and
results in faster routing table lookups.
 EIGRP for IPv4 autosummarization is disabled,
by default, beginning with Cisco IOS Release
15.0(1)M and 12.2(33). Prior to this,
autosummarization was enabled, by default.

Exemple de résumé de route en IPV4

[Link] /24 
10101100.00011111.00001000.00000000
[Link] /24 
10101100.00011111.00001001.00000000
[Link] /24 
10101100.00011111.00001010.00000000
[Link] /24 
10101100.00011111.00001011.00000000
6bits
Calcul du masque: Mettre tous les bits
positionnés avant la ligne rouge à 1 et tous
les bits positionnés après la ligne rouge à 0.
Sachant qu’il y a 8 bits pour chaque octets
de l’adresse IP.

8+8+6 = 22 bits à 1 donc /22

( [Link] )

Résumé de route:
[Link] /22
Document Millésime Page
OFPPT @ [Link] février 25 95 - 192
 La segmentation LAN
 Application IPHONE ( THE MASK HELP)
Calculator IPV4 et IPV6 (Subnet, Supernet,
Conversion, Résumé de route, CIDR, …
 [Link]
the-mask-ipv4-ipv6-calculator

Chapitre 3: Connexions point à point

Connecting Networks
(Connexion des réseaux)
Traduction de la version Anglaise
originale effectuée par
Translated from the original English
version done by

Jimmy Tremblay
Instructeur au/at Cégep de Chicoutimi
Document Millésime Page
OFPPT @ [Link] février 25 96 - 192
La segmentation LAN

534 Rue Jacques-Cartier Est,

Chicoutimi, Québec, Canada
Courriel/Email: jtremb@cegep-
[Link]

Chapitre 3
3.1 Présentation des connexions série
point à point
3.2 Fonctionnement de PPP
3.3 Configuration PPP
3.4 Dépannage de la connectivité
WAN
3.5 Résumé
Chapter 3: Objectives
3.1 Présentation des connexions série
point à point
Communications série
Ports série et parallèle
Les connexions point à point sont
utilisées pour connecter des LAN au
WAN du fournisseur de services, et
pour connecter des segments de LAN
dans un réseau d'entreprise.
Aussi appelée connexion série ou ligne
louée.
La communication sur une connexion
série est une méthode de transmission
de données dans laquelle les bits sont
transférés de façon séquentielle sur
un seul canal l’un après l’autre.
La communication parallèle est
différente, car dans ce cas les bits
Document Millésime Page
OFPPT @ [Link] février 25 97 - 192
La segmentation LAN
sont transférés simultanément sur
plusieurs câbles.
Serial Communications
Communication série
Des données sont encapsulées par le
protocole de communications utilisé
par le routeur expéditeur.
La trame encapsulée est envoyée au
WAN sur un support physique.
Il existe plusieurs façons de traverser
le WAN, mais le routeur de destination
utilise le même protocole de
communication pour désencapsuler la
trame lorsqu'elle arrive.
Communications série
Liaisons de communication point à
point
La liaison point à point peut connecter
deux sites géographiquement
distants.
L'opérateur alloue des ressources
spécifiques pour une ligne louée par le
client (ligne louée).
Les liaisons point à point sont en
général plus coûteuses que les
services partagés.
Communications série
Multiplexage temporel
Le multiplexage est un système dans
lequel plusieurs signaux logiques
partagent un seul canal physique. TDM
(Time-division multiplexing) et STDM
(Statistical time-division multiplexing)

Document Millésime Page

OFPPT @ [Link] février 25 98 - 192
La segmentation LAN
sont deux types courants de
multiplexage.
Communications série
Multiplexage temporel statistique
Il utilise une longueur de tranche de
temps variable permettant à des
canaux de convoiter les espaces
disponibles.
le multiplexage temporel statistique
ne gaspille pas de temps de ligne à
haut débit avec des canaux inactifs.
Communications série
Exemples de TDM
Le secteur des télécommunications
utilise la norme SONET (Synchronous
Optical Networking) ou SDH
(Synchronous Digital Hierarchy) pour
le transport optique de données TDM.
Le trafic qui arrive au multiplexeur
SONET de quatre flux différents à
2,5 Gbit/s repart en un seul flux à la
vitesse de 4 x 2,5 Gbit/s, soit
10 Gbit/s.
Communications série
Point de démarcation
Le point de démarcation indique
l'endroit où votre réseau communique
avec un réseau qui est la propriété
d'une autre organisation.
Il s'agit de l'interface entre le CPE
(Customer Premises Equipment) et
l'équipement du fournisseur de
services réseau.

Document Millésime Page

OFPPT @ [Link] février 25 99 - 192
La segmentation LAN
Ce point de démarcation marque le
point du réseau où s'arrête la
responsabilité du fournisseur de
services
Communications série
ETTD-DCE
Communications série
Câbles série
Communications série
Bande passante série
Encapsulation HDLC
Protocoles d'encapsulation de réseau
étendu
Encapsulation HDLC
Encapsulation HDLC
Encapsulation HDLC
Types de trame HLDC
Encapsulation HDLC
Configuration de l'encapsulation HDLC
Encapsulation HDLC
Dépannage d'une interface série
Encapsulation HDLC
Dépannage d'une interface série
(suite)
Encapsulation HDLC
Dépannage d'une interface série
(suite)
Encapsulation HDLC
Dépannage d'une interface série
(suite)
Encapsulation HDLC
Dépannage d'une interface série
(suite)

Document Millésime Page

OFPPT @ [Link] février 25 100 - 192
La segmentation LAN
Encapsulation HDLC
Dépannage d'une interface série
(suite)
Encapsulation HDLC
Dépannage d'une interface série
(suite)
3.2 Fonctionnement de PPP
Avantages de la solution PPP
Présentation du protocole PPP
Avantages de la solution PPP
Avantages du protocole PPP
LCP et NCP
Architecture en couches PPP
LCP et NCP
PPP - Protocole LCP (Link Control
Protocol)
LCP et NCP
Protocole NCP (Network Control
Protocol)
LCP et NCP
Structure de trame PPP
Sessions PPP
Établissement d'une session PPP
Sessions PPP
Fonctionnement du protocole LCP
Sessions PPP
Fonctionnement du protocole LCP
(suite)
Sessions PPP
Fonctionnement du protocole LCP
(suite)
Sessions PPP
Paquet LCP
Document Millésime Page
OFPPT @ [Link] février 25 101 - 192
La segmentation LAN
Sessions PPP
Paquet LCP
Sessions PPP
Options de configuration PPP
Sessions PPP
Présentation de NCP
3.3 Configuration de PPP
Configuration de PPP
Options de configuration PPP
Configuration de PPP
PPP Configuration Options (suite)
Configuration de PPP
Commande de configuration PPP de
base
Configuration de PPP
Commandes de compression PPP
Configuration de PPP
Commande de contrôle de la qualité de
la liaison PPP
Configuration de PPP
Commandes de multiliaison PPP
Configuration de PPP
Vérification de la configuration PPP
Configuration de PPP
Vérification de la configuration
PPP(suite)
Authentification PPP
Protocoles d'authentification PPP
Authentification PPP
Protocole d'authentification du mot de
passe (PAP)

Document Millésime Page

OFPPT @ [Link] février 25 102 - 192
La segmentation LAN
Authentification PPP
Protocole d'authentification à échanges
confirmés (CHAP)
Authentification PPP
Processus d'encapsulation et
d'authentification PPP
Authentification PPP
Configuration de l'authentification PPP
Authentification PPP
Configuration du protocole PPP avec
authentification (suite)
Authentification PPP
Configuration du protocole PPP avec
authentification (suite)
3.4 Dépannage de la connectivité WAN
Dépannage de PPP
Dépannage du protocole PPP avec
encapsulation de série
Dépannage de PPP
Dépannage d'une configuration PPP
avec authentification
Configuration de PPP
avec l'authentification
Commandes: Configuration de R1 et R2
pour utiliser l’authentification PAP
Chapter 3: Summary

Document Millésime Page

OFPPT @ [Link] février 25 103 - 192
La segmentation LAN

NOUVELLES TECHNOLOGIES RESEAUX ADSL

A As sy ym mm me et tr ri ic c D Di ig gi it
ta al l S Su ub bs sc cr ri ib be er r L Li in ne
e ( (l li ig gn ne e n nu um mé ér ri iq qu ue
e à à p pa ai ir re es s a as sy ym mé ét tr ri
iq qu ue es s) ) Nouvelles Technologies
Réseaux – ADSL Réseau ATM BAS Internet
DSLAM DSLAM HERVE Steve PETAS Vincent
BOUZON Elodie Informatique Réseaux
3ème année TABLE DES MATIERES 1.
INTRODUCTION.............................................
.................................................................3
2.
HISTORIQUE..................................................
.................................................................4
3. QUELQUES
CHIFFRES......................................................
.............................................5 4. PRINCIPE
DE
L’ADSL..........................................................
...........................................6 4.1. LA
TECHNOLOGIE
ADSL.............................................................
...................................................6 4.2.
PRESENTATION DE LA PAIRE DE
Document Millésime Page
OFPPT @ [Link] février 25 104 - 192
La segmentation LAN
CUIVRE..........................................................
..............................6 4.3. QU’EST-CE QUE
L’ASYMETRIE ?..............................................
.....................................................7 4.4. LES
BANDES PASSANTES
UTILISEES.....................................................
.........................................8 4.5. LA NOTION
DE
DEBIT............................................................
........................................................8 4.6. A
QUOI SERT UN FILTRE
(SPLITTER)....................................................
..........................................9 5. LES
DIFFERENTES TECHNOLOGIES
XDSL.............................................................
.10 5.1. LES SOLUTIONS
SYMETRIQUES...............................................
....................................................10 5.1.1.
HDSL.............................................................
...................................................................1
0 5.1.2.
SDSL.............................................................
...................................................................1
1 5.2. LES SOLUTIONS
ASYMETRIQUES.............................................
....................................................11 5.2.1.
RADSL...........................................................
..................................................................1
1 5.2.2.
VDSL.............................................................
...................................................................1
2 5.3. LE TABLEAU DE
SYNTHESE.....................................................
................................................12 6.
Document Millésime Page
OFPPT @ [Link] février 25 105 - 192
La segmentation LAN
FONCTIONNEMENT DE
L’ADSL..........................................................
........................13 6.1. REPRESENTATION
D’UNE CONNEXION A
INTERNET......................................................
.................13 6.2. LES EQUIPEMENTS DE LA
CHAINE
ADSL.............................................................
........................14 6.3. LES PROTOCOLES
MIS EN
JEU................................................................
....................................15 6.3.1. Modem
USB :.............................................................
......................................................15 6.3.2.
Modem
Ethernet........................................................
.......................................................17 7. LES
TECHNIQUES DE
CODAGE........................................................
.........................19 7.1. LES TECHNIQUES DE
MULTIPLEXAGE.............................................
.............................................19 7.1.1.
FDM..............................................................
....................................................................
19 7.1.2.
TDM..............................................................
....................................................................
21 7.2. LES TECHNIQUES DE
MODULATION................................................
.............................................21 7.2.1.
DMT..............................................................
....................................................................
22 7.2.2.
CAP...............................................................
Document Millésime Page
OFPPT @ [Link] février 25 106 - 192
La segmentation LAN
...................................................................2
3 8. LE
DEGROUPAGE...............................................
.........................................................25 8.1.
LE DEGROUPAGE
PARTIEL........................................................
..................................................25 8.2. LE
DEGROUPAGE
COMPLET......................................................
..................................................26 9. LES
OFFRES
D’ADSL..........................................................
.........................................27 10. LES
EVOLUTIONS DE
L’ADSL..........................................................
........................28 11.
CONCLUSION................................................
..............................................................30
11.1. LES
INCONVENIENTS...........................................
....................................................................
30 11.2. LES
AVANTAGES..................................................
....................................................................
30 12.
BIBLIOGRAPHIE.............................................
............................................................31
13.
GLOSSAIRE...................................................
..............................................................32
Nouvelles Technologies Réseaux – ADSL
2/32 1. INTRODUCTION Bien que l’ADSL ne
soit pas encore déployé sur la totalité du
territoire, il représente actuellement le
Document Millésime Page
OFPPT @ [Link] février 25 107 - 192
La segmentation LAN
meilleure rapport qualité/prix pour accéder
en haut débit à Internet. Cela aussi bien
pour les particuliers que pour les
entreprises. En effet, de part son débit, sa
tarification et la permanence de la
connexion, l’ADSL se positionne comme la
technologie idéale pour connecter les
réseaux locaux d’une PME/PMI à Internet,
ou bien pour des particuliers. Après une
présentation exhaustive de l’ADSL et de
certains dérivés, nous verrons le
fonctionnement détaillé de cette
technologie ainsi que les techniques de
codage utilisées et les différents modes de
dégroupage. Enfin, nous terminerons par
une étude comparative avec les avantages
et inconvénients de l’ADSL, les différentes
offres des Fournisseurs d’Accès Internet, et
les évolutions futures de l’ADSL. 3/32
Nouvelles Technologies Réseaux – ADSL 2.
HISTORIQUE La technologie ADSL a été
développée dans le laboratoire américain
BellCore en 1987. France Télécom R&D (à
l'époque appelé C.N.E.T) a réalisé une
première mondiale en expérimentant fin
1996 des services de télévision numérique
en ADSL sur ATM. Les opérateurs se sont
intéressés à cette technologie depuis
quelques années pour deux raisons : o o Le
problème des derniers kilomètres est la
principale motivation du développement de
l’ADSL. En effet, le déploiement massif de
la fibre optique, jusque chez l'abonné,
envisagé au début des années 1990, s'est
Document Millésime Page
OFPPT @ [Link] février 25 108 - 192
La segmentation LAN
révélé lourd et difficile. La fibre optique
représentait finalement un investissement
important, avec une rentabilité incertaine
dans de nombreuses régions. Il fallait donc
trouver une autre solution pour proposer
des services assurant des hauts débits à
moindre coût. Ensuite, la déréglementation
en France comme aux Etats-Unis a mis fin
aux monopoles en matière de téléphonie
locale, ouvrant ainsi la compétition entre
les câblo-opérateurs, les opérateurs longue
distance et les fournisseurs d’accès Internet
(FAI). Les opérateurs ont donc cherché des
solutions pour répondre à la concurrence
du câble. Pour les contrer, une seule
solution : doper le réseau téléphonique
existant. C'est ainsi que vont naître les
différentes offres ADSL. En1994, les
équipes de recherche de France Télécom
réalisent les premières évaluations en
laboratoire et de 1996 à 1999 des
expérimentations sont faites dans plusieurs
régions de France. Fin 1999, la
commercialisation en France de l'ADSL
débute sur Paris, Lyon, Lille, Strasbourg…
Les offres commerciales se développent
également dans les autres pays. En
quelques mois, la technologie ADSL a
séduit un large public et compte 10 millions
d'abonnés dans le monde. 4/32 Nouvelles
Technologies Réseaux – ADSL 3. QUELQUES
CHIFFRES En France : L’ADSL couvre pas
moins de 75% du territoire français à la fin
de l’année 2003 et les objectifs pour 2004
Document Millésime Page
OFPPT @ [Link] février 25 109 - 192
La segmentation LAN
sont d’atteindre les 90%. France Telecom a
dépassé son objectif fin 2003 qui prévoyait
de couvrir 75% du territoire à la fin de
2004. Le gouvernement est très actif pour
rendre « l’ADSL pour tous », et donc
permettre à de nombreuses régions de se
développer et ainsi permettre à la France
de combler son retard par rapport à
d’autres pays européens. En octobre 2001,
le nombre d’abonnés, en France, a été
évalué à 300 000. Fin de l’année 2003,
cette donnée a été réévaluée à dix fois plus
qu’il y a deux ans, c’est à dire 3 millions
d’abonnés. La France est au deuxième rang
européen du nombre d’accès à Internet par
l’ADSL, derrière l’Allemagne. Il est à noter
que dans le domaine du Haut débit, l’ADSL
représente 89% du marché contre 11%
pour le câble. Dans le monde : Dans le
monde, ce n’est pas moins de 72 millions
de personnes qui ont été recensées comme
abonnés de l’ADSL contre seulement 10
millions en 2001. Cette progression
fulgurante est plus importante que la
téléphonie mobile, pourtant une référence
sur le marché. La Corée est un cas à part
dans le marché mondial, c’est le pays où
l’ADSL est le plus développé. Près de 21,3
lignes pour 100 habitants, alors que
l’Allemagne, pourtant numéro 1 européen
n’en a que 2,23 lignes pour 100 habitants.
Deux raisons à ce développement : la
Corée a un environnement propice à l’ADSL
: la majorité de la population se concentre
Document Millésime Page
OFPPT @ [Link] février 25 110 - 192
La segmentation LAN
sur quelques mégalopoles. De plus, les
coréens sont très en avance en nouvelles
technologies : ils sont fous de jeux vidéos,
et ont donc besoin de hauts débits. Pour les
Etats-Unis, il utilise essentiellement le câble
pour leurs accès hauts débits. En effet, 66%
du marché est occupé par le câble contre
33% pour l’ADSL. 5/32 Nouvelles
Technologies Réseaux – ADSL 4. PRINCIPE
DE L’ADSL 4.1. LA TECHNOLOGIE ADSL
L'ADSL, Asymmetric Digital Subscriber Line,
en français Réseau de Raccordement
Numérique Asymétrique, est une
technologie permettant de faire passer de
hauts débits sur la paire de cuivre utilisée
pour les lignes téléphoniques de la Boucle
Locale. La technique consiste à utiliser les
fréquences supra vocales laissées libres par
le service téléphonique traditionnel.
L’opérateur de télécoms proposant le
service ADSL installe du matériel dans ses
répartiteurs (DSLAM) et un modem chez
l’abonné. Les débits constatés sont de 10 à
25 fois plus élevés qu’un modem 56K
classique. 4.2. PRESENTATION DE LA PAIRE
DE CUIVRE Dans la chaîne qui relie
l'internaute au reste du monde, le point
faible se situe sur la partie reliant le
modem du particulier au central
téléphonique. Cette jonction est constituée
de fils de cuivre qui, croyait-on par
méconnaissance, ne pouvait supporter des
vitesses de communication dépassant
quelques dizaines de Kb par secondes. En
Document Millésime Page
OFPPT @ [Link] février 25 111 - 192
La segmentation LAN
fait, les possibilités des fils de cuivre
étaient sous-utilisées car le réseau
téléphonique a d'abord été conçu pour
transporter de la voix et dans cette optique,
la bande passante utilisée par les
équipements de communication classiques
est de l'ordre 3.3 KHz. Or, les
caractéristiques physiques des lignes
d'abonnés permettent en réalité de
supporter la transmission de signaux à des
fréquences pouvant atteindre 1 Mhz .
Problèmes liés à la paire de cuivre : Dans
un réseau téléphonique, de multiples paires
de fils téléphoniques sont regroupées dans
un même câble. Les signaux crées des
interférences magnétiques : c'est la
diaphonie. De plus, souvent le réseau
téléphonique est ancien et la paire de
cuivre est dégradée. Ces problèmes
limitent le débit obtenu. 6/32 Nouvelles
Technologies Réseaux – ADSL 4.3. QU’EST-
CE QUE L’ASYMETRIE ? En étudiant
différents cas de figures, on s’est aperçu
qu’il était possible de transmettre les
données plus rapidement d’un central vers
un utilisateur que lorsque l’utilisateur
envoie des informations vers le central,
ceux-ci sont plus sensibles aux bruits
causés par des perturbations
électromagnétiques car plus on se
rapproche du central, plus la concentration
de câble augmente et donc ces derniers
génèrent plus de diaphonie. L’idée est donc
d’utiliser un système asymétrique, en
Document Millésime Page
OFPPT @ [Link] février 25 112 - 192
La segmentation LAN
imposant un débit plus faible de l’abonné
vers le central. 7/32 Nouvelles Technologies
Réseaux – ADSL 4.4. LES BANDES
PASSANTES UTILISEES Voici les bandes de
fréquence utilisées par l’ADSL : • RTC •
ADSL Voie montante • ADSL Vois
descendante : 300 – 3100 Hz : 25 – 140 KHz
: 140 KHz – 1,1 MHz 4.5. LA NOTION DE
DEBIT Techniquement, l’ADSL permet des
débits de 8Mbps en voie descendante et de
1 Mbps en voie montante. Pour pouvoir
bénéficier de tels débits il faut être très
proche du central. On utilise les termes
suivants : • Le débit ascendant : c’est le
débit offert de l’abonné vers le serveur
(jusqu’à 640 Kbit/s). • Le débit descendant :
c’est le débit offert dans l’autre sens
(jusqu’à 8Mbit/s). Sur ces deux débits se
greffent deux autres caractéristiques : • Le
débit minimum garanti : il définit le débit
que l’on garantit au client 100% du temps.
Ce débit est garanti de bout en bout sous
réserve du respect de certaines règles de
dimensionnement du site central. 8/32
Nouvelles Technologies Réseaux – ADSL •
Le débit crête : (qui peut aussi être appelé
«Burst») : c’est le débit instantané que le
client peut potentiellement atteindre
pendant une durée limitée. Pour atteindre
ce burst, il faut impérativement que le site
qui concentre les flux en provenance des
accès ADSL soit dimensionné afin
d’absorber les burst. Cependant ces débits
ne sont pas fixes pour tous et dépendent
Document Millésime Page
OFPPT @ [Link] février 25 113 - 192
La segmentation LAN
de l’éloignement de l’abonné par rapport à
son commutateur de rattachement. Pour
obtenir une qualité de service satisfaisante,
la distance séparant ces deux derniers doit
être de moins de 3 kilomètres, même si elle
est envisageable jusqu’à 6 kilomètres. En
France les offres ne dépassent pas
aujourd’hui les 2Mbps. Pour le grand public,
les offres commerciales vont de 128Kbps à
1Mbps 4.6. A QUOI SERT UN FILTRE
(SPLITTER) Présent côté client et
commutateur, il se présente sous forme
d’un coffret qui peut être fixé au mur. Côté
client il permet de séparer les fréquences
téléphoniques des fréquences transportant
les données, autrement dit, il offre une
prise pour le téléphone et une pour le
modem ADSL. Au centre, il permet de
diriger les flux de données vers le DSLAM et
le flux voix vers le réseau RTC. C’est un
filtre passe-bas qui a pour rôle de laisser
passer uniquement le signal téléphonique
vers les terminaux téléphoniques ( le
filtrage des hautes fréquences des signaux
ADSL se fait quant à lui dans le modem ).
Pour que le téléphone puisse recevoir son
alimentation en courant continu, le filtre
doit offrir une bonne conduction des basses
fréquences. Signal téléphonique Interface
USB Signal ADSL Filtres Enfichables Modem
ADSL Entrée de ligne Signaux Voix et ADSL
Nouvelles Technologies Réseaux – ADSL
9/32 5. LES DIFFERENTES TECHNOLOGIES
XDSL L'xDSL regroupent tout ce qui permet
Document Millésime Page
OFPPT @ [Link] février 25 114 - 192
La segmentation LAN
de faire passer des flots de données à
grande vitesse sur de simples lignes
téléphoniques. Il en existe différentes
variantes : • HDSL : High bit rate DSL •
SDSL : Single pair, ou symmetric DSL •
ADSL : Asymmetric DSL • RADSL : Rate
adaptative DSL • VDSL : Very high DSL Les
différences essentielles entre ces
technologies sont affaires de : • vitesse de
transmission • distance maximale de
transmission • variation de débit entre le
flux montant (utilisateur/réseau) et flux
descendant (réseau/utilisateur) Les
technologies xDSL sont divisées en deux
grandes familles, celles utilisant une
transmission symétrique et celle utilisant
une transmission asymétrique 5.1. LES
SOLUTIONS SYMETRIQUES 5.1.1. HDSL
Cette technique consiste à diviser le tronc
numérique du réseau, T1 aux Etats Unis, et
E1 en Europe, sur plusieurs paires de fils ( 2
au lieu de 24 pour T1 et 3 au lieu de 32
pour E1). Ceci a été réalisé grâce à
l'évolution de la théorie du signal
permettant d'augmenter le nombre de bits
par symbole transmis. L'HDSL permet : •
d'écouler le trafic de façon symétrique mais
nécessite deux ou trois paires de cuivre. Il
alloue la même largeur de bande dans le
sens montant que dans le sens descendant.
• d'avoir un débit de 2Mbps, ce dernier
pouvant tomber à 384 kbps en fonction de
la qualité de la ligne et de la distance
(limitée à 4,5 km). 10/32 Nouvelles
Document Millésime Page
OFPPT @ [Link] février 25 115 - 192
La segmentation LAN
Technologies Réseaux – ADSL 5.1.2. SDSL
Le précurseur de la technologie HDSL2 est
le SDSL. Comme HDSL, SDSL supporte les
transmissions symétriques sur T1 et E1,
cependant, elle diffère d'HDSL par trois
points importants : • la transmission se fait
sur une paire torsadée • la longueur de la
boucle locale est limitée à 3,6km • le débit
est limité à 768kbps 5.2. LES SOLUTIONS
ASYMETRIQUES 5.2.1. RADSL Avec RADSL
(Rate Adaptive DSL), la vitesse de la
transmission est adaptée de manière
automatique et dynamique, selon la qualité
de la ligne de communication. Aussi
longtemps qu'il fut question de transfert de
données vidéo, il fut hors de question de
faire varier le débit. Dans ce cas précis, il
est nécessaire de faire un traitement
synchrone. Cependant, depuis l'échec du
VDT (Video Dial Tone), qui a subit la
concurrence de la TV câblée et par satellite,
d'autres applications sont apparues : • les
architectures client/serveur • l'accès aux
réseaux à distance • l'Internet et le
multimédia 11/32 Nouvelles Technologies
Réseaux – ADSL 5.2.2. VDSL VDSL est la
plus rapide des technologies xDSL. Elle est
capable de supporter, sur une simple paire
torsadée, des débits : • descendants de 13
à 52 Mbps • ascendants de 1,5 à 2,3 Mbps
En revanche, la longueur maximale de la
boucle est seulement de 1,3km 5.3. LE
TABLEAU DE SYNTHESE 12/32 Nouvelles
Technologies Réseaux – ADSL 6.
Document Millésime Page
OFPPT @ [Link] février 25 116 - 192
La segmentation LAN
FONCTIONNEMENT DE L’ADSL 6.1.
REPRESENTATION D’UNE CONNEXION A
INTERNET Digital Subscriber Line Access
DSLAM Filtre Modem ATM N1 Brasseur ATM
Broadband Access Server N2 BAS FAI :
Wanadoo RBCI Figure : Connexion Internet :
les équipement de la chaîne ADSL
Nouvelles Technologies Réseaux – ADSL FAI
: Free 13/32 La figure ci-dessus schématise
une connexion Internet, de l’ordinateur
jusqu’au fournisseur d’accès Internet.
L’accès du client final au réseau Internet
sollicite différents équipements et réseaux :
le modem, le filtre, le DSLAM, le réseau de
collecte, le BAS, le RBCI et le FAI. 6.2. LES
EQUIPEMENTS DE LA CHAINE ADSL Du côté
de l'abonné, le filtre fait la différence entre
la voix et les données numériques. Il sépare
la bande passante réservée au service
téléphonique grâce à un filtre passe-bas
(25kHz). Le MOdulateur-DEModulateur
module un ensemble de signaux de
fréquence appartenant à une plage 26-
1100 kHz pour transporter les données
"internet" (sans interférer avec la bande de
fréquence utilisée par la voie 0,3-3,4 kHz).
Le DSLAM (Digital Subscriber Line Access
Multiplexer) est l’équipement relié au client
ADSL via la paire de cuivre ADSL. Il
récupère les flux "voie" et "internet". Les
flux "voie" sont aiguillés vers le RTC et les
flux "IP" vers le BAS en empruntant le
réseau de collecte, le réseau ATM. Le
DSLAM est capable de traiter de 800 à
Document Millésime Page
OFPPT @ [Link] février 25 117 - 192
La segmentation LAN
2500 clients simultanément. Le réseau ATM
(Asynchronous Transfert Mode) est une
technologie de réseau permettant de
transférer sur une même ligne des données
et de la voix. ATM est le réseau de collecte
de la chaîne ADSL. Le BAS (Broadband
Access Server) est l’équipement qui permet
au client d'accéder à une large bande
passante. Il concentre le trafic remontant
venant des DSLAM. Il est chargé de répartir
les flux "internet" sur le réseau ATM en
direction des DSLAM auxquels sont
rattachés les clients. Il gère les connexions,
l’allocation des adresses. Coté tronc IP, il
analyse des paquets IP, et effectue le
routage vers les fournisseurs d’accès via le
Réseau Backbone de Collecte Interne
(RBCI). Par ailleurs, le BAS est le point
d’entré vers les serveurs d’authentification,
d’autorisation, de comptage et de taxation.
Le Réseau Backbone de Collecte Interne
(RBCI) permet d’acheminer les flux IP
venant du BAS vers le FAI via des routeurs
Ceux-ci analysent l'en-tête des paquets
inséré par le protocole IP (@ IP destination)
afin de les aiguiller sur le port de sortie
concerné. Le choix du port de sortie est
réalisé par l'intermédiaire d'une table de
routage. FILTRE MODEM DSLAM ATM BAS
RBCI Nouvelles Technologies Réseaux –
ADSL 14/32 6.3. LES PROTOCOLES MIS EN
JEU Pour faire communiquer les différents
équipements intervenant dans la chaîne
ADSL et pour établir une connexion
Document Millésime Page
OFPPT @ [Link] février 25 118 - 192
La segmentation LAN
Internet, il y a la mise en place
d’encapsulations de protocoles du client
vers le BAS. L’architecture présentée est
celle actuellement utilisée dans le réseau
France Telecom (qui est la plus répandue).
Malgré un principe de connexion identique
comme l’élaboration d’une connexion PPP
entre le client et le BAS, l’empilement des
couches réseaux et les encapsulations de
protocoles varient en fonction du type de
modem (liaison entre l’ordinateur et le
Modem). Les deux schémas suivants
représentent une communication WEB «
classique » et plus particulièrement entre le
client et le BAS. Elle met en œuvre les
protocoles HTTP (Hyper Text Transfert
Protocol) puis TCP (Transport Control
Protocol) et IP (Internet Protocol). Lors
d’une connexion à Internet via l’ADSL
(modem USB ou Ethernet), nous trouvons 4
équipements mis en jeux (Ordinateur client,
modem, DSLAM, BAS) et 3 types de liaisons
: - Ordinateur client -> Modem - Modem ->
DSLAM - DSLAM -> BAS 6.3.1. Modem USB :
Avec un modem USB, l’acheminement des
données se fait comme suit : - L’ordinateur
envoie ses données au modem par le biais
du protocole USB. Pour cela, il encapsule
toutes les données (de la couche
application à la couche liaison de données
mais aussi la connexion PPP) pour les
transmettre via l’USB au modem. - - - Le
modem récupère les données provenant de
l’ordinateur et les désencapsulent jusqu’au
Document Millésime Page
OFPPT @ [Link] février 25 119 - 192
La segmentation LAN
niveau 2 (protocole PPP) pour les
encapsuler de nouveau dans le protocole
AAL5 (Adaptation à l’ATM) puis dans ATM.
Une fois cela réalisé, le modem transmet
les données au DSLAM via la technologie
ADSL. Le DSLAM récupère les données
transmises via l’ADSL et remonte jusqu’au
protocole ATM pour pouvoir adapter ces
données au support physique reliant le
DSLAM au BAS (souvent de l’ATM « pure »
sur fibre optique par le biais du protocole
TC/PM ou en étant encapsulé dans des
trames STM pour aller sur le réseau SDH).
Le BAS récupère ces données et remonte
jusqu’à la couche 3 (PHY->ATM >AAL5-
>PPP->IP) afin d’adapter la transmission au
réseau reliant le BAS au réseau de collecte.
La majeure partie du temps ce réseau de
collecte en sortie de BAS est en Fast
Ethernet (100Mbit/s). 15/32 Nouvelles
Technologies Réseaux – ADSL C’est ainsi
que les données transmises entre le
modem et le DSLAM sont de la forme :
Données->TCP->IP->PPP->AAL5->ATM-
>ADSL HTTP HTTP TCP TCP Données utiles
Données utiles Données utiles TCP TCP TCP
IP IP IP PPP PPP PPP AAL5 AAL5 AAL5 ATM
ATM ATM ADSL ADSL ADSL BAS BAS IP IP
PPP PPP MODEM ADSL MODEM ADSL PPP
PPP IP IP Session PPP Session PPP USB USB
AAL5 AAL5 USB USB ATM ATM DSLAM
DSLAM ATM ATM ADSL ADSL ADSL ADSL
PHY PHY PPP PPP 802.3 802.3 AAL5 AAL5
ATM ATM PHY PHY 802.3 (FE) 802.3 (FE)
Document Millésime Page
OFPPT @ [Link] février 25 120 - 192
La segmentation LAN
Câble USB Câble USB Paire Cuivre Paire
Cuivre Fibre Optique Fibre Optique Figure :
Liaison Internet avec un modem USB 16/32
Nouvelles Technologies Réseaux – ADSL
6.3.2. Modem Ethernet Avec un modem
Ethernet, l’acheminement des données se
fait comme suit : - - - - L’ordinateur envoie
ses données au modem par le biais du
protocole Ethernet. Pour cela, il encapsule
toutes les données (de la couche
application à la couche liaison de données
mais aussi la connexion PPP par le biais du
protocole PPPoE) pour les transmettre en
Ethernet au modem. Le modem récupère
les données provenant de l’ordinateur et
les désencapsulent jusqu’au protocole
Ethernet pour les encapsuler dans le
protocole LLC SNAP puis dans le protocole
AAL5 (Adaptation à l’ATM) puis dans de
l’ATM. Une fois cela réalisé, le modem
transmet les données au DSLAM via la
technologie ADSL. Le DSLAM récupère les
données transmises via l’ADSL et remonte
jusqu’au protocole ATM pour pouvoir
adapter ces données au support physique
reliant le DSLAM au BAS (souvent de l’ATM
« pure » sur fibre optique par le biais du
protocole TC/PM ou en étant encapsulé
dans des trames STM pour aller sur le
réseau SDH). Le BAS récupère ces données
et remonte jusqu’à la couche 3 (PHY->ATM
>AAL5->LLC SNAP->802.3->PPPoE->PPP-
>IP) afin d’adapter la transmission au
réseau reliant le BAS au réseau de collecte.
Document Millésime Page
OFPPT @ [Link] février 25 121 - 192
La segmentation LAN
La majeure partie du temps ce réseau de
collecte, en sortie de BAS, est en Fast
Ethernet (100Mbit/s). C’est ainsi que les
données transmises entre le modem et le
DSLAM sont de la forme : Données->TCP-
>IP->PPP->802.3->LLC SNAP->AAL5-
>ATM->ADSL 17/32 Nouvelles Technologies
Réseaux – ADSL Figure : Connexion Internet
avec un modem Ethernet Nouvelles
Technologies Réseaux – ADSL 18/32 7. LES
TECHNIQUES DE CODAGE 7.1. LES
TECHNIQUES DE MULTIPLEXAGE 7.1.1. FDM
FDM (Frequency Division Multiplexing) est
une technique de multiplexage par
répartition de fréquence (MRF). Elle est
utilisée pour accroître les débits sur paires
torsadées et plus particulièrement des
lignes téléphoniques. Le multiplexage
fréquentiel consiste à partager la bande de
fréquence disponible en un certain nombre
de canaux ou sous bandes plus étroits et à
affecter en permanence chacun de ces
canaux à un utilisateur ou à un usage
exclusif. L’organisation du groupe primaire
ou groupe de base utilisé en téléphonie est
basée sur un multiplexage fréquentiel. Ce
dernier consiste à regrouper 12 voix
téléphoniques de 4000 Hz chacune (3000
Hz utilisables plus 2 espaces inter-bandes
de 500 Hz) ce qui donne une largeur de
bande de 48 kHz répartie entre 60 et 108
kHz. Exemple de multiplexage fréquentiel
de trois canaux téléphoniques On trouve
également un bon exemple de l’utilisation
Document Millésime Page
OFPPT @ [Link] février 25 122 - 192
La segmentation LAN
de FDM avec ADSL (Asymmetric Digital
Subscriber Line). ADSL est né de
l’observation qu’une ligne téléphonique
possède une bande passante d’environ 1
Mhz dans laquelle seule, une largeur de
bande de 4 Khz est utilisée pour les
communications téléphoniques. Il reste
donc une bande passante importante
disponible pour un autre usage. C’est un
multiplexage en fréquence qui va
permettre son utilisation : 19/32 Nouvelles
Technologies Réseaux – ADSL Multiplexage
des fréquences en ADSL Une bande de 4
kHz est réservée pour la téléphonie
classique (POTS : Plain Old Telephone
Service) Une bande est réservée pour le
flux de données usager vers réseau.
(Upstream Data : Voie montante). Une
bande est réservée pour le flux de données
réseau vers usager. (Dowstream Data :
Voie descendante) L’ensemble de la bande
passante s’étend sur 1,1 MHz. Le canal
dédié au téléphone est séparé des canaux
dédiés aux données par un filtre passe-bas
(Splitter) passif. Le filtre envoie également
l’intégralité du signal au modem ADSL
(ATU-R : ADSL transceiver unit-remote).
Celui-ci est doté d’un filtre passe-haut qui
élimine le canal dédié au téléphone. Le
signal est ensuite traité par la technologie
DMT pour être transmis à l’équipement
informatique via une liaison de type
Ethernet 10BaseT ou ATM25. Séparation du
téléphone et des données chez l’usager en
Document Millésime Page
OFPPT @ [Link] février 25 123 - 192
La segmentation LAN
ADSL 20/32 Nouvelles Technologies
Réseaux – ADSL 7.1.2. TDM La technologie
TDM (Time Division Multiplexing ou
Multiplexage Temporel) permet
d'échantillonner les signaux de différentes
voies à faibles débits et de les transmettre
successivement sur une voie à haut débit
en leur allouant la totalité de la bande
passante. On retrouve ce type d’utilisation
sur les canaux T1 aux Etats-Unis qui
regroupent par multiplexage temporel 24
voies à 64 Kbit/s en une voie à 1,544 Mbit/s
ou sur les canaux E1 en Europe qui
regroupent 30 voies analogiques en une
voie à 2,048 Mbit/s. Les différentes voies à
faible débit (100Mb/s) sont adressées
successivement sur le canal à haut débit
(Nx100Mb/s). Le "mélange" des voies
faibles débit se fait par l'intermédiaire du
multiplexeur temporel (MUX) les signaux
sont récupérés ensuite grâce au
démultiplexeur (DEMUX) qui fait l'opération
inverse. Entre le MUX et le DEMUX, on
retrouve le système optique de base
(Laser-Fibre-Détecteur). 7.2. LES
TECHNIQUES DE MODULATION Le but des
technologies xDSL est de doper la
communication sur le réseau téléphonique
existant. Il s'agit de mettre en œuvre de
nouvelles techniques de traitement du
signal permettant d'augmenter le débit.
Pour l'ADSL, la clé réside dans la
modulation. Il existe différentes façons de
traiter la porteuse HF, en fonction de la
Document Millésime Page
OFPPT @ [Link] février 25 124 - 192
La segmentation LAN
donnée à transmettre; on utilise pour cela
les techniques Carrier Amplitude/Phase
Modulation (CAP) et Discret Multitone
Modulation (DMT). 21/32 Nouvelles
Technologies Réseaux – ADSL 7.2.1. DMT
Le principe de DMT est de séparer la bande
passante en 256 sous-bandes distinctes et
de placer le signal digital sur des porteuses
analogiques. DMT utilise le spectre entre 26
Khz et 1.1 Mhz pour les données. Pour
inclure le service POTS (Plain Old Telephone
Service), DMT utilise le spectre de 0 à 4
Khz. Le spectre au dessus de 26 Khz est
divisé en 256 canaux. DMT va en outre
permettre d'adapter dynamiquement la
capacité de chaque canal en fonction des
caractéristiques de la ligne à ce moment.
La bande passante restante sera utilisée
pour la transmission des informations de
contrôle propres à ADSL. Utilisation de la
bande passante par DMT La division de la
bande passante disponible en un ensemble
de sous canaux indépendants, est la clé des
performances obtenues par DMT. En
mesurant la qualité de chaque sous canal
et en allouant un nombre de bits par canal
basé sur la qualité de ce canal, DMT
optimise le signal transmis sur chaque
ligne. Ainsi, DMT évite d'utiliser des zones
de la bande passante où l'atténuation du
signal est trop importante. Quand un
système DMT est en opération, la qualité de
chaque sous-canal est constamment
surveillé, et des ajustements sont réalisés
Document Millésime Page
OFPPT @ [Link] février 25 125 - 192
La segmentation LAN
sur la distribution des bits pour maintenir
les performances désirées. Donc si la
qualité d'un sous-canal se dégrade au point
que les performances du système soient
compromises, un ou plusieurs bits de ce
sous-canal sont déplacés vers un canal qui
peut transporter des bits supplémentaires.
22/32 Nouvelles Technologies Réseaux –
ADSL La bande passante est divisée en un
grand nombre de canaux indépendants,
chacun pouvant supporter un nombre de
bits proportionnel à son rapport
signal/bruit. L'adaptation de la charge est
réalisée en augmentant ou diminuant
simplement le nombre de bits supporté par
chaque canal. Par exemple, en ADSL, la
bande passante réservée aux transferts
d'éléments autres que la voix et les
informations de contrôle est divisée en 256
canaux indépendants. Chaque canal
possède une bande passante de 4 Khz.
Donc théoriquement, le débit maximum
d'informations "downstream", c'est à dire
du serveur vers le client, est de 256 canaux
* 15 bits/canal * 4 Khz = 15 Mbps. 7.2.2.
CAP CAP utilise aussi bien la modulation de
phase que la modulation d'amplitude.
L'ensemble des combinaisons de bits qu'on
peut envoyer à un instant de modulation
donné se nomme une constellation. Chaque
combinaison possible de bits est
représentée par un point de cette
constellation. Ces combinaisons de bits
sont obtenues par une combinaison de
Document Millésime Page
OFPPT @ [Link] février 25 126 - 192
La segmentation LAN
plusieurs valeurs d'amplitude possibles
ainsi que par des décalages de phase. La
figure ci-dessous donne un exemple de
constellation pour un 2-CAP (un décalage
de phase de 180° et un niveau d'amplitude)
et un 64-CAP (décalages de phase de 90°
et quatre niveaux d'amplitude).
Constellation pour un codage de ligne à 2-
CAP et 64-CAP 23/32 Nouvelles
Technologies Réseaux – ADSL Les
émetteurs-récepteurs CAP peuvent utiliser
des constellations multiples qui créent 2n
valeurs. Cependant en réaction aux
différentes conditions de la ligne (bruit,
défauts...), les algorithmes CAP peuvent
étendre et contracter ces constellations (c-
à-d N-CAP = 512 CAP, 64-CAP, 4-CAP, etc..).
Cette capacité à changer la taille des
constellations est une des deux façons
utilisées par CAP pour s'adapter aux
caractéristiques de la ligne. L'autre
méthode est simplement de réduire la
bande passante utilisée. Contrairement à
DMT, CAP ne subdivise pas la bande
passante disponible au dessus des 4KHz en
canaux étroits. CAP peut augmenter ou
diminuer la largeur de bande qu'il utilise
par incrément de 1Hz. Dans les systèmes
CAP, seulement deux canaux sont requis en
plus de celui utilisé par le téléphone:
"upstream" et "downstream". Ces canaux
sont séparés par la technique de
multiplexage FDM vu précédemment. 24/32
Nouvelles Technologies Réseaux – ADSL 8.
Document Millésime Page
OFPPT @ [Link] février 25 127 - 192
La segmentation LAN
LE DEGROUPAGE Le dégroupage de la
boucle locale est un processus qui permet
aux concurrents de France Télécom
d'accéder aux lignes téléphoniques (la «
paire de cuivre ») jusqu'à l'abonné et
mettant fin au monopole de l'opérateur
historique sur les communications locales.
L'opérateur concurrent qui le désire peut
sous-louer à France Télécom tout ou partie
d'une ligne téléphonique et proposer ses
propres services parmi lesquels on trouve
le service téléphonique local traditionnel,
mais aussi les accès haut débit DSL. 8.1. LE
DEGROUPAGE PARTIEL Le dégroupage "
partiel ", ou accès partiellement dégroupé à
la boucle locale, consiste en la mise à
disposition de l'opérateur tiers de la bande
de fréquence " haute " de la paire de
cuivre, sur laquelle il peut alors construire,
par exemple, un service ADSL. La bande de
fréquence basse (celle utilisée
traditionnellement pour le téléphone) reste
gérée par France Telecom, qui continue de
fournir le service téléphonique à son
abonné, sans aucun changement induit par
le dégroupage sur ce service Ce schéma
explique la répartition des différentes
communications et les frontières de
responsabilités entre France Telecom et les
autres opérateurs. C’est-à-dire que la partie
concernant l’ADSL est redirigée vers une
salle de cohabitation où les autres
opérateurs peuvent organiser comme ils
veulent leurs équipements et leur réseau
Document Millésime Page
OFPPT @ [Link] février 25 128 - 192
La segmentation LAN
de collecte. 25/32 Nouvelles Technologies
Réseaux – ADSL 8.2. LE DEGROUPAGE
COMPLET Le dégroupage " total ", ou accès
totalement dégroupé à la boucle locale,
consiste en la mise à disposition de
l'intégralité des bandes de fréquence de la
paire de cuivre. L'utilisateur final n'est alors
plus relié au réseau de France Telecom,
mais à celui de l'opérateur nouvel entrant
Ici, l’opérateur tiers a un contrôle total de la
ligne du client. A lui de fournir les services
et équipements qu’il désire. 26/32
Nouvelles Technologies Réseaux – ADSL 9.
LES OFFRES D’ADSL De nombreux
fournisseurs d'accès ont commercialisé une
offre de service ADSL, mais le déploiement
reste inégal sur l'ensemble du territoire.
Certaines offres sont limitées à la région
parisienne, d'autres FAI ont élargi leurs
champs d'action. Le tableau ci-dessous
présente un échantillon des offres actuelles
pour les principaux opérateurs. Les
différents fournisseurs d’accès se livrent
une guerre des prix et de nombreuses
baisses ont vu le jour en fin d’année. À
l’origine de ce chamboulement de dernière
minute: l’homologation, mi-décembre, de la
baisse des tarifs de gros ADSL de France
Télécom par le ministère de l’Industrie.
C’est le développement du dégroupage,
présenté dans le paragraphe précédent, qui
a permis aux fournisseurs d’accès de
s’affranchir de France Télécom et
d’entamer une véritable politique tarifaire
Document Millésime Page
OFPPT @ [Link] février 25 129 - 192
La segmentation LAN
agressive. 27/32 Nouvelles Technologies
Réseaux – ADSL 10. LES EVOLUTIONS DE
L’ADSL Les nouveaux services développés :
la télévision via l’ADSL France Télécom et
TPS ont inauguré fin décembre leur offre
commune de télévision par ADSL, qu'ils
préparent depuis plusieurs mois. Leur
concurrent est Free qui propose depuis
début décembre un modem tout en un : un
accès Internet, la téléphonie sur IP et la
télévision pour un abonnement unique de
29,99 euros par mois. L’ADSL2+ :
L’ADSL2+ est l’ADSL de deuxième
génération. Le concept de cette nouvelle
norme est de doubler le spectre de
fréquence et donc la bande passante. Les
équipements de la chaîne restent toutefois
compatibles. Là ou l'ADSL permet pour
l'instant un débit maximal de 8 Mbit/s pour
la réception de données, c'est-à-dire en
canal descendant (downstream), l'ADSL2+
autorisera un débit allant jusqu'à 16 Mbit/s
pour les clients proches (environ 40 % des
clients autour du central). Dans le sens
remontant (upstream), le débit restera
sensiblement le même, soit 1 Mbit/s. Ce
schéma permet de constater que les
abonnés relativement proches du central
noteront une amélioration sensible du débit
ou de la portée en cas de raccordement
ADSL2+. 28/32 Nouvelles Technologies
Réseaux – ADSL - - à portée égale, le débit
de l'ADSL2+ sera supérieur ; à débit égal,
la portée de la nouvelle norme sera
Document Millésime Page
OFPPT @ [Link] février 25 130 - 192
La segmentation LAN
supérieure permettant ainsi à un nombre
accru d'abonnés de bénéficier d'une
connexion à 8 Mbit/s, jusqu'ici réservée aux
proches voisins des centraux. Par contre,
les abonnés les plus éloignés verront peu
de différences avec l'ADSL. A ceci près
toutefois, que l'optimisation des
équipements et l'amélioration du dialogue
entre les modems distants permettront
d'augmenter la portée des lignes d'environ
10 %. L'ADSL2+ est actuellement en cours
d'adoption définitive à l'UIT. Sa
commercialisation devrait intervenir
courant 2004. 29/32 Nouvelles
Technologies Réseaux – ADSL 11.
CONCLUSION 11.1. LES INCONVENIENTS
Voici la liste des inconvénients de la
technologie ADSL : • L’ADSL pas encore
disponible dans la totalité du territoire
(environ 75% du territoire français est
couvert) ; • Le débit affiché bien que plus
rapide que par un modem 56k reste
souvent théorique au vu des problèmes de
diaphonie et de la qualité de la paire de
cuivre ; • Il est nécessaire de se situer dans
une zone compatible et proche d’un centre.
Les campagnes sont alors exclues de ce
mode de communication. La dissipation
d’énergie est à l’origine de cette
contrainte ; • En France, pour bénéficier de
l’ADSL, il est nécessaire d’avoir un
abonnement téléphonique. 11.2. LES
AVANTAGES L’ADSL présente de nombreux
avantages par rapport à une connexion
Document Millésime Page
OFPPT @ [Link] février 25 131 - 192
La segmentation LAN
Internet classique : • L’ADSL permet des
débits beaucoup plus important ; • La
plupart des offres ADSL sont des offres
Illimitées ; • La connexion est permanente
et la ligne téléphonique est libérée ; •
L’installation est facile : le client est en
mesure de l’effectuer lui-même, cela ne
nécessite pas d’intervention de la part du
fournisseurs d’accès, elle est donc à
moindre coûts ; • Le haut débit a permis
l’apparition de nombreux services : tels que
la vidéo, la téléphonie sur IP, la télévision
sur IP …. Pour l’opérateur, l’ADSL ne
nécessite pas un investissement trop
onéreux, le dernier kilomètre par l’ADSL est
moins cher que l’utilisation de la fibre
optique. L’utilisation du réseau
téléphonique existant permet d’envisager
un grand nombre d’abonnés potentiels.
L’ADSL est toujours en pleine expansion.
30/32 Nouvelles Technologies Réseaux –
ADSL 12. BIBLIOGRAPHIE Principe ADSL &
fonctionnement : • [Link] •
[Link] •
[Link] • Intranet France
Telecom Technique de codage : •
[Link] • [Link]
31/32 Nouvelles Technologies Réseaux –
ADSL 13. GLOSSAIRE AA : Access Adapter,
adaptateur d’accès au nœud central. AAL5 :
ATM Adaptation Layer 5, couche
d'adaptation à l'ATM ADSL : Asymmetric
DSL, une des premières techniques DSL
avec débits asymétriques. ATM :
Document Millésime Page
OFPPT @ [Link] février 25 132 - 192
La segmentation LAN
Asynchronous Transfer Mode (mode de
transfert asynchrone), technique de
multiplexage et d’acheminement pour
réseau multiservice à haut débit. BAS :
Broadband Access Server, serveur d'accès
à la bande passante CAP : Carrierless
Amplitude Modulation, technique de
modulation dérivée du MAQ (ou QAM, en
anglais). DMT : Discrete Multitone,
technologie DSL qui divise le signal en 256
sous-canaux. DSL : Digital Subscriber Line,
ou xDSL, famille de technologies qui définit
des transmissions à hauts débits sur la
boucle locale reliant le central télécoms le
plus proche à un abonné. DSLAM : Digital
Suscriber Line Access Module, équipement
de concentration des accès xDSL FAI :
Fournisseur d’Accès Internet FDM :
Frequency Division Multiplexing,
modulation séparant les signaux émis et
reçus sur deux bandes de fréquence
séparées (par opposition aux techniques à
annulation d’écho). HDSL : High Bit Rate
DSL, technologie qui permet de transférer à
2 048 kbits/s sur une une boucle locale
sans répéteurs. POTS : Plain Old Telephone
Service, services téléphoniques
analogiques de base (dans la bande
passante 4 kHz). RADSL : Rate Adaptative
DSL, technologie qui supporte des
applications à la fois symétriques et
asymétriques avec des débits variables.
RTC : Réseau Téléphonique Commuté,
réseau téléphonique classique. SDSL :
Document Millésime Page
OFPPT @ [Link] février 25 133 - 192
La segmentation LAN
Symmetric, ou Single-pair DSL, extension
du HDSL n’utilisant qu’une seule paire de
fils. VDSL : Very High Rate DSL, nouvelle
technologie DSL qui autorise des débits de
plus de 50 Mbits/s sur des distances très
courtes. xDSL : voir DSL. 32/32 Nouvelles
Technologies Réseaux – ADSL

Document Millésime Page

OFPPT @ [Link] février 25 134 - 192
La segmentation LAN

Configuration d’un Tunnel GRE

Tout d’abord, un tunnel GRE (Generic Routing Encapsulation) est un processus d’encapsulations

permettant de véhiculer n’importe quel protocole de la couche Réseau dans des paquets eux-mêmes

de la couche Réseau. On peut donc par exemple, encapsuler de l’IPv6 dans un paquet IPv4 afin de

faire communiquer deux réseaux IPv6 distants.

Dans cet exemple, je vais présenter une configuration dans laquelle deux réseaux distants IPV6, sont

reliés par un Tunnel GRE qui permet entre autres de faire passer des Paquets IPV6 d’un côté à l’autre

a Travers un Réseau IPV4, comme si les deux sites étaient directement liés.

La Toppologie

Document Millésime Page

OFPPT @ [Link] février 25 135 - 192
 La segmentation LAN
Principe de mise en place du Tunnel GRE
Une fois la configuration de base en place, on peut alors créer le tunnel :

 Sur R1, on crée une interface Tunnel0, par défaut il fonctionnera en Mode IPV6IP.

1. On lui attribue une adresse IPv6 (3::1/64)

2. On définit la source du tunnel, dans le cas présent c’est l’adresse IPv4 de l’interface sérial
de R1.
3. On définit la destination du tunnel, qui sera ici l’adresse IPv4 de l’interface sérial de R3.

 Sur R3, on crée également l’interface Tunnel0

1. On lui attribue une adresse IPv6 dans le même Réseau que du côté de R1 (3::2 / 64)
2. On définit la source du tunnel, dans le cas présent c’est l’adresse IPv4 de l’interface sérial
de R3.
3. On définit la destination du tunnel, qui sera ici l’adresse IPv4 de l’interface sérial de R1.

Dès que c’est fait, l’interface Tunnel0 sur R1 comme sur R3 devrait passer UP/UP. Dès lors il ne reste

plus qu’à configurer le routage RIPng sur toutes les interfaces ipv6 y compris l’interface tunnel 0.

Configuration sur R1
R1(config)#ipv6 unicast-routing
R1(config)#int fa0/0
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 add 1::1/64
R1(config-if)#ipv6 rip R1 enable
R1(config-if)#no shut
-------------------------------------------------------------------------------------
-------
R1(config-if)#int s1/0
R1(config-if)#ip add [Link] [Link]
R1(config-if)#clock rate 56000
R1(config-if)#no shut
-------------------------------------------------------------------------------------
-------
R1(config)#interface tunnel 0
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 add 3 ::1/64
R1(config-if)#tunnel source s1/0
R1(config-if)#tunnel destination [Link]
R1(config-if)#tunnel mode ipv6ip
R1(config-if)#ipv6 rip R1 enable
R1(config-if)#exit
-------------------------------------------------------------------------------------
-------
R1(config)#router eigrp 1
Document Millésime Page
OFPPT @ [Link] février 25 136 - 192
 La segmentation LAN
R1(config-router)#net [Link] [Link]
R1(config-router)#net [Link] [Link]

Configuration sur R3
R3(config)#ipv6 unicast-routing
R3(config)#int fa0/0
R3(config-if)#ipv6 enable
R3(config-if)#ipv6 add 2::1/64
R3(config-if)#ipv6 rip R1 enable
R3(config-if)#no shut
-------------------------------------------------------------------------------------
-------
R3(config-if)#int s1/0
R3(config-if)#ip add [Link] [Link]
R3(config-if)#clock rate 56000
R3(config-if)#no shut
-------------------------------------------------------------------------------------
-------
R3(config)#interface tunnel 0
R3(config-if)#ipv6 enable
R1(config-if)#ipv6 add 3 ::2/64
R3(config-if)#tunnel source s1/0
R3(config-if)#tunnel destination [Link]
R3(config-if)#tunnel mode ipv6ip
R3(config-if)#ipv6 rip R1 enable
R3(config-if)#exit
-------------------------------------------------------------------------------------
-------
R3(config)#router eigrp 1
R3(config-router)#net [Link] [Link]
R3(config-router)#net [Link] [Link]

Quelques remarques
 Un tunnel GRE, bien que très pratique a l’inconvénient de ne pas être sécurisé. Les données qui y

circulent ne sont pas cryptées et il n’y a pas d’authentification aux extrémités. On peut y remédier en faisant

passer le tunnel GRE au travers d’un tunnel VPN.

 La méthode présentée ici n’est pas l’unique façon de configurer un tunnel. Dans certains cas on

peut utiliser des interfaces Loop back pour créer les points d’accès au tunnel (source et destination).

Document Millésime Page

OFPPT @ [Link] février 25 137 - 192
 La segmentation LAN

Configuration d’un Tunnel GRE

Tout d’abord, un tunnel GRE (Generic Routing Encapsulation) est un processus d’encapsulations

permettant de véhiculer n’importe quel protocole de la couche Réseau dans des paquets eux-mêmes

de la couche Réseau. On peut donc par exemple, encapsuler de l’IPv6 dans un paquet IPv4 afin de

faire communiquer deux réseaux IPv6 distants.

Dans cet article, je vais présenter une configuration dans laquelle deux réseaux distants, sont reliés

par un Tunnel GRE qui permet entre autres de faire passer EIGRP d’un côté à l’autre, comme si les

deux sites étaient directement liés et ce même à travers du NAT…

La Toppologie

 R1 et R2 simulent un réseau WAN auquel chacun des deux sites, représentés par R3 et R4, sont

connectés.
 OSPF est activé sur R1 et R2 pour leurs réseaux respectifs : [Link]/30, [Link]/30 et [Link]/30.

 R3 et R4 sont configurer avec du NAT « overload » de sorte que leurs réseaux locaux puissent

sortir vers le WAN.

Document Millésime Page

OFPPT @ [Link] février 25 138 - 192
 La segmentation LAN
 EIGRP est activé pour l’AS 1 sur R3 et R4. Le but étant qu’ils s’échangent leurs routes au travers du

tunnel à mettre en place et qu’il soit au final possible que les LANs de R3 puissent communiquer avec les

LANs de R4.

Principe de mise en place du Tunnel GRE

Une fois la configuration de base en place, on peut alors créer le tunnel :

 Sur R3, on crée une interface Tunnel0, par défaut il fonctionnera en GRE.

4. On lui attribue une adresse IP ([Link] / 24)

5. On définit la source du tunnel, dans le cas présent c’est l’adresse IP de l’interface sérielle
de R3.
6. On définit la destination du tunnel, qui sera ici l’adresse IP de l’interface sérielle de R4.

 Sur R4, on crée également l’interface Tunnel0

4. On lui attribue une adresse IP dans le même subnet que du côté de R3 ([Link] / 24)
5. On définit la source du tunnel, dans le cas présent c’est l’adresse IP de l’interface sérielle
de R4.
6. On définit la destination du tunnel, qui sera ici l’adresse IP de l’interface sérielle de R3.

Dès que c’est fait, l’interface Tunnel0 sur R3 comme sur R4 devrait passer UP/UP. Dès lors il ne reste

plus qu’à ajouter le réseau de cette interface dans la configuration de EIGRP. Et si tout va bien

une adjacence se forme entre les deux routeurs par l’intermédiaire du tunnel et le routage entre les

LANs des deux côtés commence.

Configuration sur R3
interface Tunnel0

ip address [Link] [Link]

ip summary-address eigrp 1 [Link] [Link] 5

tunnel source [Link]

tunnel destination [Link]

router eigrp 1

passive-interface default

Document Millésime Page

OFPPT @ [Link] février 25 139 - 192
La segmentation LAN
no passive-interface Tunnel0

network [Link] [Link]

network [Link]

no auto-summary

La commande « ip summary-address eigrp 1 [Link] [Link] 5 » sert à créer un summary

pour l’ensemble des LANs de R3 qui sera envoyé à R4. L’avantage est qu’une seule route sera

propagée au lieu des 4 de bases.

Configuration sur R4
interface Tunnel0

ip address [Link] [Link]

ip summary-address eigrp 1 [Link] [Link] 5

tunnel source [Link]

tunnel destination [Link]

router eigrp 1

passive-interface default

no passive-interface Tunnel0

network [Link] [Link]

network [Link]

no auto-summary

Vérifications
La table de routage de R3 doit maintenant contenir la route (le summary) vers les LANs de R4.

R3#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

Document Millésime Page

OFPPT @ [Link] février 25 140 - 192
 La segmentation LAN
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is [Link] to network [Link]

[Link]/30 is subnetted, 1 subnets

C [Link] is directly connected, Serial0/0

[Link]/16 is variably subnetted, 6 subnets, 2 masks

D [Link]/22 [90/297372416] via [Link], [Link], Tunnel0

C [Link]/24 is directly connected, Loopback0

D [Link]/22 is a summary, [Link], Null0

C [Link]/24 is directly connected, Loopback1

C [Link]/24 is directly connected, Loopback2

C [Link]/24 is directly connected, Loopback3

C [Link]/24 is directly connected, Tunnel0

S* [Link]/0 is directly connected, Serial0/0

R3#

Il est intéressant de noter que la création du tunnel ajoute un réseau connecté au routeur qui

correspond à l’adresse configurée.

Quelques remarques
 Pour que le tunnel puisse être établi, il faut au préalable que R3 et R4 puissent communiquer. C’est

la raison pour laquelle une route par défaut a été ajoutée sur chacun de ces deux routeurs.

Document Millésime Page

OFPPT @ [Link] février 25 141 - 192
 La segmentation LAN
 Un tunnel GRE, bien que très pratique a l’inconvénient de ne pas être sécurisé. Les données qui y

circulent ne sont pas cryptées et il n’y a pas d’authentification aux extrémités. On peut y remédier en faisant

passer le tunnel GRE au travers d’un tunnel VPN.

 La méthode présentée ici n’est pas l’unique façon de configurer un tunnel. Dans certains cas on

peut utiliser des interfaces loopback pour créer les points d’accès au tunnel (source et destination).

Document Millésime Page

OFPPT @ [Link] février 25 142 - 192
La segmentation LAN

Création d’un tunnel VPN IP Sec entre 2

routeurs avec Packet TracerCréation d’un
tunnel VPN IP Sec entre 2 routeurs avec
Packet Tracer IPSEC (Internet Protocol
Security) est un ensemble de protocoles
normalisés et standardisés par l’IETF pour
la confidentialité, l’intégrité, et
l’authentification pour les échanges sur le
réseau Internet. IPSec a été principalement
conçu pour sécuriser le protocole IPv6, mais
la lenteur de déploiement de ce dernier a
imposé une adaptation d’IPSec à l’actuel
protocole [Link] (Internet Protocol
Security) est un ensemble de protocoles
normalisés et standardisés par l’IETF pour
la confidentialité, l’intégrité, et
l’authentification pour les échanges sur le
réseau Internet. IPSec a été principalement
conçu pour sécuriser le protocole IPv6, mais
la lenteur de déploiement de ce dernier a
imposé une adaptation d’IPSec à l’actuel
protocole IPv4. Les VPN IPSec Le protocole
IPsec peut être utilisé pour la création des
réseaux privés virtuels (VPN), c’est-à-dire
l’établissement d’une liaison entre des
systèmes informatiques de manière sûre en
se basant sur un réseau existant, considéré
comme non sécurisé. L’apport majeur de
cette techniques par rapport à d’autres
solutions est qu’il s’agit d’une méthode
standard conçue dans cet objectif précis,
décrite par différentes RFCs, et donc
Document Millésime Page
OFPPT @ [Link] février 25 143 - 192
La segmentation LAN
interopérable. Cette méthode présente les
avantages suivants : • L’économie de
bande passante, car la compression des en-
têtes des données transmises est prévue
par ce standard, de plus, ce dernier ne fait
pas appel à de trop lourdes techniques
d’encapsulation, comme les tunnels PPP sur
lien SSH. • La protection des protocoles de
bas niveau comme ICMP et IGMP, RIP, etc…
• L’évolution continue d’IPSec, vu que les
algorithmes de chiffrement et
d’authentification sont spécifiés
séparément du protocole lui-même. Cette
solution présente néanmoins un
inconvénient majeur: sa grande complexité
rend son implémentation délicate.
Schéma réseau Schéma réseau Le réseau à
simuler est le suivant :Le réseau à simuler
est le suivant :
Configuration réseauConfiguration réseau
On commence par l’attribution de la
configuration de nos postes, puis on passe
à la configuration des routeurs :
Configuration Routeur R1 : Router#conf t
Router(config)#hostname R1
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address [Link]
[Link] R1(config-if)#no shutdown
R1(config-if)#exit R1(config)#interface
FastEthernet 0/0 R1(config-if)#ip address
[Link] [Link] R1(config-if)#no
shutdown R1(config-if)#exit
R1(config)#router rip R1(config-
router)#version 2 R1(config-router)#no
Document Millésime Page
OFPPT @ [Link] février 25 144 - 192
La segmentation LAN
auto-summary R1(config-router)#network
[Link] R1(config-router)#network
[Link] R1(config-router)#exit
Configuration Routeur R2 : Router#conf t
Router(config)#hostname R2
R2(config)#interface FastEthernet 0/1
R2(config-if)#ip address [Link]
[Link] R2(config-if)#no
shutdown R2(config-if)#exit
R2(config)#interface FastEthernet 0/0
R2(config-if)#ip address [Link]
[Link] R2(config-if)#no
shutdown R2(config-if)#exit
R2(config)#router rip R2(config-
router)#version 2 R2(config-router)#no
auto-summary R2(config-router)#network
[Link] R2(config-router)#network
[Link] R2(config-router)#exit
Configuration Routeur R3 : Router#conf t
Router(config)#hostname R3
R3(config)#interface FastEthernet 0/1
R3(config-if)#ip address [Link]
[Link] R3(config-if)#no shutdown
R3(config-if)#exit R3(config)#interface
FastEthernet 0/0 R3(config-if)#ip address
[Link] [Link] R3(config-if)#no
shutdown R3(config-if)#exit
R3(config)#router rip R3(config-
router)#version 2 R3(config-router)#no
auto-summary R3(config-router)#network
[Link] R3(config-router)#network
[Link] R3(config-router)#exit
Visualisation des paquets échangés Pour
comprendre l’apport de l’intégration du
Document Millésime Page
OFPPT @ [Link] février 25 145 - 192
La segmentation LAN
protocole IPsec dans le réseau, on va
analyser les trames échangées avant
l’implémentation du tunnel. Pour faire ceci,
il faut : 1. Passer du mode Realtime au
mode simulation 2. Sur PC1, ouvrir l’invité
de commandes et entrer la commande
”tracert [Link]” (cette commande
permet de dresser une cartographie des
routeurs présents entre une machine
source et une machine cible.) 3. Dans la
barre latérale, activer ”Auto Capture/Play”
et suivre les échanges des paquets.
Inspecter le contenu des paquets. Cliquer
dessus pour vérifier leurs entêtes.
Configuration du VPN IPSEC [Link]
ISAKMP R1(config)#crypto isakmp enable
2.Détermination de la politique ISAKMP
Pour qu’il y ait communication IPSec
possible, il faut que les 2 peers trouvent un
accord sur une politique ISAKMP commune.
Une politique ISAKM contient: l’Algorithme
d’encryption, l’Algorithme de hachage,le
groupe Diffie-Hellman et la durée de vie du
chiffrement de la clé. R1(config)# crypto
isakmp key 12345 address [Link]
[Link]éation du Transform Set Le transform
set est l’association d’une méthode de
chiffrement et d’authentification. Cette
phase va permettre durant l’établissement
d’une association (basée sur ISAKMP) de se
mettre d’accord durant les échanges afin
de fixer la méthode de sécurisation des
données. Les paramètres du transform set
devrons être les mêmes des deux côtés. Le
Document Millésime Page
OFPPT @ [Link] février 25 146 - 192
La segmentation LAN
transform set va permettre de sécuriser les
flux déterminés à partir d’une access-list
associée à une crypto map.
R1(config)#crypto ipsec transform-set 50
esp-3des esp-md5-hmac [Link] de
la crypto map La carte de cryptage (ou
crypto map) permet de lier les SA
négociées et la politique de sécurité (SP :
Security Policy). En d’autres termes, elle
permet de renseigner : ◦ L’autre extrémité
du tunnel vers lequel le trafic IPSec devrait
être envoyé ; ◦ L’adresse locale à employer
pour le trafic d’IPSec ; ◦ Quelle sécurité
d’IPSec devrait être appliquée à ce trafic
(transform-sets) ◦ Durée de vie de du
tunnel IPSec R1(config)#crypto map
nom_de_map 10 ipsec-isakmp R1(config-
crypto-map)#set peer [Link] R1(config-
crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-
association lifetime seconds 900
[Link] d’une liste de contrôle
d’accès Il faut configurer une liste d’accès
qui définit le trafic à sécuriser. [Link]
ISAKMP sur l’interface concernée Il faut lier
la crypto map ainsi définie à une interface
du routeur par laquelle le trafic d’IPSec
passera. Tout trafic arrivant ou sortant de
cette interface est comparé avec le trafic à
sécuriser défini dans une liste d’accès: s’il y
a correspondance ce dernier est chiffré.
R1(config)#interface FastEthernet 0/0
R1(config-if)#crypto map m1ssice2
R1(config-if)#exit On procède de la même
Document Millésime Page
OFPPT @ [Link] février 25 147 - 192
 La segmentation LAN
manière à la configuration de routeur R3
Vérifications On vérifie la map m1ssice2 :
R1#show cypto map

La Voix IP
La voix sur IP1, ou « VoIP » pour « Voice over IP », est une
technologie informatique qui permet de transmettre la voix sur des
réseaux compatibles IP, via Internet ou des réseaux privés (intranets)
ou publics, qu'ils soient filaires (câble/ADSL/fibre optique) ou non
(satellite, Wi-Fi et réseaux mobiles).

Des logiciels de VoIP tels que Skype, Signal, Discord, WhatsApp2,3

gèrent aujourd'hui tous les flux multimédia (téléphonie, appels vidéo,
messagerie instantanée et transferts de fichiers).

Cette technologie est complémentaire de la téléphonie sur IP

(« ToIP » pour Telephony over Internet Protocol), qui concerne les
fonctions réalisées par un autocommutateur téléphonique IPBX.
Document Millésime Page
OFPPT @ [Link] février 25 148 - 192
La segmentation LAN
 La signalisation

Les principaux protocoles utilisables en VoIP

Les principaux protocoles utilisés pour l'établissement des

connexions en voix sur IP sont :

 H.323 ;
 IAX (Asterisk) ;
 Jingle, fondé sur le protocole de messagerie instantanée standard
ouvert Jabber ;
 MGCP ;
 SCCP (propriétaire Cisco Systems) ;
 SIP ;
 UA/NOE (propriétaire Alcatel-Lucent) ;
 UNISTIM (propriétaire Nortel).

Configuration d’un Call Manager Express

Document Millésime Page

OFPPT @ [Link] février 25 149 - 192
La segmentation LAN

1-Configurer un serveur DHCP sur le routeur

BOX.
i

Un téléphone IP a besoin de trouver son IOS et ses

fichiers de Configuration sur serveur TFTP. En utilisant le
protocole VOIP propriétaire Cisco SCCP (Skinny Call
Control Protocol) l’option 150 permet au téléphone de
connaitre celui-ci.
Par contre si nous avions utilisé le protocole standard
appelé SIP (Session Initiation Protocol), l’option aurait
été 66.

Document Millésime Page

OFPPT @ [Link] février 25 150 - 192
La segmentation LAN
2-Configuration du switch.

3-Configuration du Call Manager Express.

Document Millésime Page

OFPPT @ [Link] février 25 151 - 192
La segmentation LAN
4-Alimenter électriquement les téléphones. (Le
switch n’étant pas PoE).

Si nous retournons sur notre Call Manager, nous voyons

que les postes téléphoniques IP ont été enregistrés.

5- Configuration de CIPC sur les Postes informatiques.

Il nous suffit de configurer la carte réseau en DHCP. Une

fois l’adresse IP reçu de la BOX, le logiciel est
automatiquement Configure.
Cliquez sur le PC, allez dans Desktop puis sur Cisco IP
Communicator, vous devriez voir apparaître le numéro du
téléphone.

Document Millésime Page

OFPPT @ [Link] février 25 152 - 192
La segmentation LAN

6- Configurer les téléphones analogiques (type Aata).

Pour transformer le signal analogique en numérique nous
devons ajouter un boitier type SPA122 par exemple. Dans
PCKET TRACER ce boitier est un « Home VOIP »
Configurez sur celui-ci l’adresse IP du CME, comme ci-
dessous :

Document Millésime Page

OFPPT @ [Link] février 25 153 - 192
La segmentation LAN

Attendez quelques instants et notre Call Manager

attribuera un numéro disponible à notre téléphone
analogique.

Notre maquette est à présent terminée, puisque

l’ensemble des téléphones peuvent s’appeler.

Document Millésime Page

OFPPT @ [Link] février 25 154 - 192