TP sur la configuration Travaux Pratiquesrobert.cireddu.free.fr/SNIR/TP sur la configuration...

Travaux Pratiques

Configuration d’un commutateur

TP sur la configuration

d'un commutateur.doc

1ère année

Page:1/23

Extrait du référentiel : BTS Systèmes Numériques option A (Informatique et Réseaux) Niveau(x)

S7. Réseaux, télécommunications et modes de

transmission

S7.2. Concepts fondamentaux des

réseaux

Équipements réseau : connecteur, carte

réseau, commutateur, pont,

routeur, etc.

Modèle en couches et protocoles de

l’Internet : IP, ICMP, ARP, UDP,TCP, etc.

3

3

Objectifs du TP :

- Configuration initiale d’un commutateur (nom d’hôte, les mots de passe, adresses IP, sauvegarde de la configuration et

réglage de l’horloge)

- Redémarrage du commutateur en ligne de commande

- Configuration du nom de domaine

- Réinitialisation de la configuration

- Quel protocole d’administration à distance choisir ?

- Mise en place de VLAN

- Mise en place de VLAN voix (VoIP)

- Configuration de trunk entre commutateur

- La norme IEEE 802.1Q

- Configuration de VTP (Virtual Trunk Protocol)

- Configuration de STP (Spanning Tree Protocol)

- Configuration de PortFast

Support d’activité :

- Logiciels : Cisco Packet Tracer, suite bureautique

- Internet

- Ce document au format PDF

Vous rédigerez un compte-rendu numérique

Résumez les questions avant de répondre

Pensez aux captures d’écran pour imager votre compte-rendu

Sauvegardez votre travail régulièrement !

Des modifications peuvent exister selon la version du logiciel utilisée

Travaux Pratiques




1ère année

Page:2/23

CONFIGURATION INITIALE D’UN COMMUTATEUR Lors de la première connexion au commutateur, la configuration par défaut est chargée. Le commutateur porte le nom « Switch ». Les ports fonctionnent en mode auto, il n’y a pas de mot de passe, … La première tâche consiste donc à configurer un certain nombre d’options : - le nom d’hôte ; - le mot de passe du mode console, privilégié et telnet ; - une adresse IP d’administration à distance ; - …

Question 1

À l’aide du logiciel « Cisco Packet Tracer » réalisez le montage conformément à la topologie ci-dessous.

Pour le commutateur, vous utiliserez la série 2900 soit le « 2960 » avec un IOS version 12.0 minimum.

Pour vérifier la version de l’IOS, utilisez la commande « show verion » : Switch>show version Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Wed 12-Oct-05 22:05 by pt_team ROM: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4) System returned to ROM by power-on Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory. 24 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) 63488K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : 0003.E4E0.3921 Motherboard assembly number : 73-9832-06 Power supply part number : 341-0097-02 Motherboard serial number : FOC103248MJ Power supply serial number : DCA102133JA Model revision number : B0 Motherboard revision number : C0

Travaux Pratiques




1ère année

Page:3/23

Model number : WS-C2960-24TT System serial number : FOC1033Z1EY Top Assembly Part Number : 800-26671-02 Top Assembly Revision Number : B0 Version ID : V02 CLEI Code Number : COM3K00BRA Hardware Board Revision Number : 0x01 Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C2960-24TT 12.2 C2960-LANBASE-M Configuration register is 0xF Switch>

CONFIGURATION DU NOM DU COMMUTATEUR

Question 2

À l’aide de l’ordinateur portable, connectez-vous sur le commutateur (liaison série RS232). Configurez le nom d’hôte du commutateur comme ci-dessous. Switch>enable Switch#configure terminal Switch(config)#hostname SW1 SW1(config)#

Nom du commutateur : SW1

ATTRIBUTION DES MOTS DE PASSE

Question 3

Vous allez maintenant attribuer un mot de passe pour le mode console. SW1(config)#line con 0 SW1(config-line)#password SNIR1 SW1(config-line)#login SW1(config-line)#exit SW1(config)#exit SW1#exit SW1>

Mot de passe pour le mode console : SNIR1

Question 4

Vous allez attribuer un mot de passe pour le service telnet. SW1(config)#line vty 0 15

Travaux Pratiques




1ère année

Page:4/23

SW1(config-line)#password SNIR1telnet SW1(config-line)#login SW1(config-line)#exit SW1(config)#exit SW1#

Mot de passe pour le service telnet : SNIR1telnet

Question 5

Vous allez attribuer un mot de passe pour le mode privilégié. SW1>enable SW1#configure terminal SW1(config)#enable password secret SW1(config)#

Mot de passe pour le mode privilégié : secret

Question 6

Affichez la configuration du commutateur.

SW1#sh running-config

La configuration appelée « startup-config » est la configuration utilisée au démarrage du commutateur. La configuration dite « running-config » est la configuration courante utilisée par le commutateur. Ainsi, au démarrage du commutateur, les configurations startup-config et running-config sont les mêmes. Si une modification de configuration est réalisée, la running-config sera modifiée. Par contre, la startup-config ne sera pas modifiée. Pour modifier la configuration de démarrage, il faudra enregistrer la configuration courante (running-config) dans la startup-config. Par conséquent, toute modification effectuée et non enregistrée sera annulée au prochain démarrage du commutateur. Cette caractéristique est intéressante en cas de problème grave suite à une modification de configuration. Il suffira de redémarrer le commutateur pour revenir à l'état précédent la modification.

Question 7

Lors de l’affichage du « running-config », vous vous êtes aperçu que le ou les mots de passe apparaissent en clairs. Vous allez donc activer le service « password-encryption ». SW1(config)#service password-encryption SW1(config)#

Demandez à nouveau l’affichage de la configuration du commutateur pour constater le changement.

Travaux Pratiques




1ère année

Page:5/23

Question 8

Vous allez vous connecter sur le commutateur depuis l’ordinateur portable via « telnet ».

Pour vérifier le service telnet, il est possible de se loguer depuis l’ordinateur portable après avoir configuré l’adresse IP d’administration du commutateur (voir ci-dessous).

SW1(config)#vlan 1 SW1(config-vlan)#exit SW1(config)#interface vlan 1 SW1(config-if)#ip address 192.168.0.253 255.255.255.0 SW1(config-if)#exit SW1(config)#ip default-gateway 192.168.0.254 SW1(config)#

VLAN dédié au management du commutateur : VLAN1 (par défaut)

Adresse IP du commutateur : 192.168.0.253/24

Passerelle par défaut : 192.168.0.254

Normalement, la connexion via telnet ne devrait pas encore fonctionner ! Pourquoi ? Essayez de résoudre « tout(e) seul(e) ! » le problème en analysant la configuration du commutateur et en vous rappelant « la configuration des interfaces sur un routeur ».

Vous avez trouvé = très bien ! vous pouvez poursuivre. Dans le cas contraire, si vous avez épuisé toutes vos « ressources », vous pouvez utiliser votre « joker » en appelant le professeur !

SAUVEGARDE DE LA CONFIGURATION

Question 9

Il est temps de faire une sauvegarde de la configuration. SW1#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] SW1#

Pensez à faire des sauvegardes régulièrement !

RÉGLAGE DE L’HORLOGE

Question 10

Vous allez vérifer la date et l’heure du commutateur. SW1#sh clock

Travaux Pratiques




1ère année

Page:6/23

La date et l’heure ne doivent pas être corrects. Vous allez donc régler la date et l’heure du commutateur. SW1#clock set hh:mm:ss NN mois année

Exemple : clock set 15:03:00 11 january 2019

Vérifez à nouveau la date et l’heure du commutateur.

REDÉMARRAGE DU COMMUTATEUR EN CLI

Question 11

Vous allez redémarrer le commutateur en ligne de commande. SW1#reload System configuration has been modified. Save? [yes/no]:y Building configuration... [OK] Proceed with reload? [confirm] C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4) Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory. 2960-24TT starting...

CONFIGURATION DU NOM DE DOMAINE

Question 12

Vous allez mettre en place un nom de domaine pour le commutateur.

SW1(config)#ip domain-name snir.local SW1(config)#

Configuration du nom de domaine : snir.local Donnez la configuration (running-config) du commutateur.

RÉINITIALISATION DE LA CONFIGURATION La réinitialisation de la configuration d’un commutateur consiste à supprimer le fichier de configuration (comme sur les routeurs).

Question 13

Supprimez la configuration du commutateur en entrant la commande suivante : SW1#erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram

Travaux Pratiques




1ère année

Page:7/23

Redémarrez le commutateur (en CLI) puis donnez la configuration (running-config) du commutateur.

QUEL PROTOCOLE D’ADMINISTRATION À DISTANCE CHOISIR ? En général, il y a le choix entre l'administration web sécurisée ou pas (protocole https ou http) et/ou l'administration en ligne de commande sécurisée ou pas (ssh ou telnet). L'administration du commutateur en utilisant une interface web peut être pratique. Mais vous choisirez en priorité l'administration du commutateur en utilisant la ligne de commande pour les raisons suivantes : - en cas de coupure réseau, il vous faudra intervenir directement sur le commutateur, donc autant être habitué à travailler en ligne de commande ; - l'interface web peut être moins stable que l'interface en ligne de commande (CLI), - les configurations avancées sont souvent disponibles uniquement au travers de la ligne de commande ; Les interfaces web seront donc désactivées. Il vous reste à choisir entre telnet et ssh. Le second étant nettement plus sécurisé que le premier, il est préférable (quand cela est possible) d'activer uniquement ssh sur le commutateur.

À retenir : le VLAN1 est utilisé pour l’administration d’un commutateur, il est possible de lui attribuer une adresse IP dans le but de le configurer à distance.

MISE EN PLACE DE VLAN Les VLAN permettent la segmentation de la couche 2 (OSI). Concrêtement, deux machines appartenant à deux VLAN différents, configurées sur le même réseau IP ne peuvent pas communiquer, alors que deux machines sur le même VLAN, sur le même réseau IP peuvent par exemple se « pinguer ». Les VLAN apportent une plus grande sécurité et une plus grande souplesse au niveau de l’administration réseau. En général, les utilisateurs ayant les mêmes besoins et dépendant du même service utilisent des machines appartenant au même VLAN. Les réseaux locaux sont sensibles aux diffusions, en effet lors d’une diffusion (broadcast) toutes les machines du réseau reçoivent l’information diffusée, même si cette information ne les concerne pas ! Seules les routeurs bloquent le trafic de diffusion. Réduire la taille d’un domaine de diffusion en découpant celui-ci en sous-domaines permet de réduire le nombre de périphériques impactés par la diffusion et d’augmenter les performances du réseau. Les routeurs sont spécialisés dans le routage et le transfert de données à longue distance (pour les réseaux WAN) et leurs circuits intégrés gérant la commutation ne sont pas aussi performants que ceux des commutateurs. De plus, les routeurs ne disposent pas suffisamment de cartes réseau pour autoriser le nombre de subdivision nécessaires dans un réseau moderne. L’accès au LAN est généralement géré par un commutateur d’accès L2 qui placera le périphérique dans le réseau virtuel (VLAN) adéquat.

Travaux Pratiques




1ère année

Page:8/23

Même si les VLAN sont principalement utilisés dans les réseaux locaux commutés, ils sont de plus en plus employés dans les réseaux étendus (WAN).

Question 14

Réalisez le montage conformément à la topologie (physique et logique : sauf pour les VLAN) ci-dessous.

Les machines appartiennent-elles au même réseau ? Justifiez. Vérifiez la connectivité des deux machines à l’aide d’un « ping ». Le test d’écho est-il concluant ?

Question 15

Vérifiez la configuration « VLAN » du commutateur à l’aide de la commande suivante : Switch>enable Switch#sh vlan brief

Les informations suivantes doivent apparaître :

Après analyse, les ports physiques du commutateur appartiennent tous au VLAN 1 nommé « default ». Tous les ports deviennent membre de VLAN par défaut après démarrage initiale du commutateur.

Travaux Pratiques




1ère année

Page:9/23

Le VLAN 1 ne peut pas être renommé ou supprimé.

Question 16

Vous allez configurez le commutateur de façon à ce que « PC0 » ne puisse plus « pinguer » la machine « PC1 ». Vous allez créer deux VLAN : VLAN10 (nommé vlandix) et VLAN20 (nommé vlanvingt) en attribuant la moitié des ports (FastEthernet) au VLAN10 et l’autre moitié au VLAN20.

Il est possible de configurer les VLAN de deux façons différentes, soit en passant par la base de données de VLAN, soit en configuration globale.

Première méthode : base de données des VLAN Switch>enable Switch#vlan database % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. Switch(vlan)#vlan 10 name vlandix VLAN 10 added: Name: vlandix Switch(vlan)#vlan 20 name vlanvingt VLAN 20 added: Name: vlanvingt Switch(vlan)#exit APPLY completed. Exiting.... Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport access vlan 10 … Switch(config-if)#interface fastethernet 0/13 Switch(config-if)#switchport access vlan 20 … Switch(config-if)# Switch#

Continuez ainsi de façon à configurer tous les ports FastEthenet. Vérifiez l’attribution des VLAN avec la commande « show vlan brief ».

Question 17

Assurez-vous que chaque machine se trouve sur son VLAN (PC0 dans VLAN10 et PC1 dans VLAN20). Testez la connectivité entre les deux machines. Le test d’écho est-il concluant ?

Il est possible de supprimer le fichier contenant la définition des VLAN : delete flash:vlan.dat

Travaux Pratiques




1ère année

Page:10/23

Question 18

Supprimez la configuration des VLAN puis passer à la deuxième méthode de configuration. Deuxième méthode : configuration globale Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 10 Switch(config-vlan)#name vlandix Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#name vlanvingt Switch(config-vlan)#exit Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#

Continuez ainsi de façon à configurer tous les ports FastEthenet. Vérifiez l’attribution des VLAN.

Il est possible de configurer plusieurs interfaces simultanément. Pour configurer les interfaces 1 à 12, en configuration globale, entrez la commande « interface range fastethernet 0/1-12 ». Entrez ensuite les commandes d’administration d’interfaces habituelles.

Question 19

Assurez-vous que chaque machine se trouve sur son VLAN. Testez la connectivité entre les deux machines. Le test d’écho est-il concluant ?

La création de VLAN par configuration globale est préférable à la première méthode de création des VLAN par base de données. Cette dernière tend à disparaître, un message d’avertissement apparaît lors de son utilisation : % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.

Les VLAN de données ne transportent que le trafic généré par l’utilisateur. Il est d’usage de séparer le trafic de voix et de gestion du trafic des données car ils ne nécessitent pas le même traitement.

VLAN VOIX

La téléphonie sur IP est à présent déployée dans les organisations et entreprises. Elle permet, entre autres, d’économiser le réseau téléphonique au profit du réseau informatique. Parmi les solutions de connexion de téléphones, il est possible d’utiliser un seul port pour connecter le téléphone, puis l’ordinateur client est relié au téléphone.

Travaux Pratiques




1ère année

Page:11/23

Un VLAN spécifique est donc nécessaire pour prendre en charge la voix sur IP (VoIP) dont le trafic est très sensible. Ce VLAN a comme caractéristiques : - une bande passante consolidée pour garantir la qualité de la voix. Ce qui implique de prioriser le trafic en donnant une priorité absolue à ce VLAN ; - un délai inférieur à 150 ms sur l’ensemble du réseau. Qu’il soit local, intersite ou VPN (Virtual Private Network).

La voix sur IP (VoIP) est un protocole de niveau 7 (OSI).

Question 20

Réalisez le montage conformément à la topologie physique ci-dessous.

Vous allez configurer le commutateur, en créant deux VLAN : VLAN10 nommé « Clients » ; et VLAN20 nommé « VoIP ». Puis vous allez configurer le port FastEthernet 0/1 dans le VLAN10 pour la partie accès et dans le VLAN20 pour la partie voix.

Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 10 Switch(config-vlan)#name Clients Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#name VoIP Switch(config-vlan)#exit Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#switchport voice vlan 20 Switch(config-if)#

Vérifiez l’attribution des VLAN avec la commande « show vlan ».

La commande « switchport mode access » stipule que derrière le port du commutateur se trouve un périphérique final (partie accès) comme une station de travail, un portable, une imprimante … mais pas un commutateur ou un routeur reliés par une agrégation (trunk).

La commande ci-dessous permet d’obtenir des informations concernant le mode d’une interface : Switch#sh interfaces Fa0/1 switchport

Travaux Pratiques




1ère année

Page:12/23

Name: Fa0/1 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 10 (Clients) Trunking Native Mode VLAN: 1 (default) Voice VLAN: 20 Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: All Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none

Dans le cas particulier des téléphones IP, le port appartient à deux VLAN : le VLAN10 (Clients) et le VLAN20 (VoIP). Le mode opérationnel (Operational Mode) correspond au mode effectif de l’interface tandis que le mode administratif (Administrative Mode) correspond à celui défini dans le fichier de configuration. La négociation de l’agrégation (Negotiation of Truncking) sera développée dans le prochain paragraphe.

CONFIGURATION DE TRUNK ENTRE COMMUTATEURS Comment les VLAN sont-ils gérés sur plusieurs commutateurs ? Il existe deux techniques permettant la mise en place de VLAN sur des commutateurs : la première consiste à créer une base de VLAN identique sur les commutateurs, la seconde méthode permet de diffuser la configuration des VLAN sur un domaine VTP (Virtual Trunk Protocol). Les trunks permettent la diffusion du trafic de plusieurs réseaux virtuels. Un trunk est une connexion physique établie sur un câble croisé entre deux commutateurs. Les trames traversant un trunk sont complétées par un identificateur de réseau local virtuel (VLAN id) ou identifiées par rapport aux adresses MAC. Grâce à cette identification, les trames sont conservées dans un même réseau virtuel. Vous allez réaliser la configuration de trunk entre commutateurs, cependant il est possible de rencontrer des trunks entre commutateurs et routeurs. Cette configuration particulière permet de mettre en place un routage inter-VLAN en optimisant le nombre de ports utilisés. Un routage inter-VLAN classique utilise un port par VLAN, au moyen d’un trunk, il est possible d’utiliser un port pour tous les réseaux virtuels : vous verrez cela un peu plus tard !

Travaux Pratiques




1ère année

Page:13/23

Question 21

Réalisez le montage conformément à la topologie (physique et logique) ci-dessous.

Question 22

Réalisez la configuration VLAN pour chaque commutateur.

Question 23

D’après la topologie réseau ci-dessus, comment est réalisé physiquement le trunk ?

Question 24

Testez la connectivité entre les clients. Les test d’écho sont-ils concluants ?

Question 25

Vous allez maintenant configurer le trunk et activez l’encapsulation 802.1q (IEEE) sur le lien reliant les commutateurs. SW1(config)#interface fastethernet 0/8 SW1(config-if)#switchport mode trunk

Donnez les informations concernant le mode de l’interface Fa0/8 du commutateur SW1. Name: Fa0/8 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none

Travaux Pratiques




1ère année

Page:14/23

Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: All Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL

La commande switchport mode trunk force l’interface a passer en mode trunk de manière

permanente.

Question 26

Réalisez les mêmes opérations sur le deuxième commutateur. Testez la connectivité entre les clients. Les test d’écho sont-ils concluants ? Que se passerait-il si « Client1 » envoyé une trame de diffusion ?

LA NORME IEEE 802.1Q La norme IEEE 802.1Q est utilisée pour étendre la portée des VLAN sur plusieurs switchs. Elle est basée sur le marquage explicite des trames : dans l’en-tête de niveau 2 de la trame est ajoutée un « tag » qui identifie le VLAN auquel elle est destinée, on parle alors de VLAN « taggés ». Le format de la trame est donc modifiée, ce qui peut entraîner des problèmes de compatibilité avec les switchs ne supportant pas les VLAN et des soucis de taille maximale de trame sur le réseau. Il faut noter que seuls les switchs ajoutent et enlèvent les « tags » dans les trames. Les machines n’ont donc pas à gérer le marquage qui leur est inconnu. Trois types de trames sont définis :

- les trames non étiquetées (untagged frame) ne contiennent aucune information sur leur appartenance à un VLAN ;

- les trames étiquetées (tagged frame) possèdent un marqueur qui précise à quel VLAN elles appartiennent ;

- les trames étiquetées avec priorité (priority-tagged frame) sont des trames qui possèdent en plus un niveau de priorité défini selon la norme IEEE 802.1P.

Format de la trame IEEE 802.1Q :

16 bits 3 bits 1 bit 12 bits

Tag Protocol Identifier (TPID)

Priority Code Point (PCP)

Canonical Format Indicator

(CFI)

VLAN IDentifier (VID)

Tag Control Information (TCI)

- le champ TPID à une valeur fixe, 0x8100 qui identifie une trame de type 802.1Q ; - le champ TCI est constitué de trois parties :

- le champ Priority indique le niveau de priorité de la trame et est utilisé lorsque que le champ VID est nul ;

Travaux Pratiques




1ère année

Page:15/23

- le champ CFI indique que le format est standard (Ethernet) ou non ; - le champ VID contient l’identifiant du VLAN auquel appartient la trame.

Question 27

Lors d’un « ping » entre deux clients, regardez le détail du PDU sortant du premier commutateur

(dans le cas « request ») et relevez la valeur du champ TPID. Que signifie cette valeur ? Comment est codée cette valeur ?

https://fr.wikipedia.org/wiki/EtherType

Question 28

De la même façon que précédemment, relevez la valeur du champ TCI. Quels sont les valeurs (VID) permettant d’identifier que les trames appartiennent au VLAN10 ou au VLAN20 (vous donnerez les valeurs en décimale). Théoriquement, il peut y avoir 4096 VID, justifiez ce nombre. Les commutateurs sont des périphériques de couche 2. Ils n’utilisent les informations de l’en-tête des trames Ethernet que pour transférer les paquets.

La modification de la trame induit un recalcul du CRC. Le remplissage (padding) permet d’agrandir artificiellement une trame afin de lui permettre d’atteindre la taille minimum de 46 octets.

Question 29

Ajoutez dans la topologie précédente un VLAN voix (nommé VLAN_VoIP) pour deux nouveaux clients (5 et 6). Analysez les PDU. Votre objectif est de montrer (ou démontrer) qu’un VLAN voix est un VLAN spécifique qui doit être prioritaire sur tout le réseau et dont la configuration est particulière.

Quelques liens pouvant être utile : https://fr.wikipedia.org/wiki/IEEE_802.1p https://www.supinfo.com/articles/single/3389-cisco-commandes-utilisable-switch

CONFIGURATION DE VTP VTP (Virtual Trunk Protocol) est un protocole de couche 2 qui permet de diffuser la configuration LAN entre plusieurs commutateurs, par exemple en ajoutant, en supprimant ou en renommant des VLAN. Le protocole VTP minimise les erreurs de configuration qui pourraient générer de nombreux problèmes.

Question 30

Réalisez le montage conformément à la topologie (physique et logique) page suivante.

https://fr.wikipedia.org/wiki/EtherType

https://fr.wikipedia.org/wiki/IEEE_802.1p

https://www.supinfo.com/articles/single/3389-cisco-commandes-utilisable-switch

Travaux Pratiques




1ère année

Page:16/23

Afin de faciliter la configuration des VLAN sur plusieurs commutateurs, il faut configurer le protocole VTP. Il est possible de configurer le VTP de deux façons différentes, soit en passant par la base de données de VLAN, soit en configuration globale. La configuration VTP par configuration globale est préférable à la première méthode par base de données. Cette dernière tend à disparaître et un message d’avertissement apparaît lors de son utilisation.

La configuration d’un trunk entre les commutateurs doit être réalisée avant la configuration du VTP.

Question 31

Vous allez configurez SW1 en tant que serveur VTP (domaine : VTPSnir). SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#vtp mode server SW1(config)#vtp domain VTPSnir SW1(config)#vtp password SNIR1 SW1(config)#vtp version 2 SW1(config)# SW1#

Question 32

Vous allez configurez SW2 en tant que client VTP (domaine : VTPSnir, mot de passe : SNIR1). SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#vtp mode client SW2(config)#vtp domain VTPSnir SW2(config)#vtp password SNIR1 SW2(config)#

Question 33

Vous allez créer le VLAN 100 nommé VTPtest sur SW1.

Trunk

Travaux Pratiques




1ère année

Page:17/23

SW1(config)#vlan 100 SW1(config-vlan)#name VTPtest SW1(config-vlan)#

Question 34

Sur SW2, vérifiez la présence du VLAN : VTPtest à l’aide de la commande « show vlan ». Utilisez les commandes « show vtp status » et « show vtp counters » pour afficher les informations VTP.

VTP existe en version 3. Cette version n’est pas automatiquement configurée par défaut sur les commutateurs, l’ensemble des numéros de VLAN est pris en charge, la sécurité de l’échange de mot de passe a été amélioré et la propagation de la base des VLAN a été corrigée. Cependant, cette version n’est pas supportée par l’ensemble des équipements/IOS, ce qui doit être pris en compte dans le déploiement.

CONFIGURATION DE STP Une des techniques couramment employées pour assurer la tolérance de panne d’un service ou d’un périphérique est le dédoublement du service ou du périphérique en question. Ainsi, pour assurer la connectivité entre plusieurs commutateurs, il est possible d’utiliser deux liens (et plus) au lieu d’un seul. Cependant, cela pose un problème de fonctionnement pour les commutateurs connus sous le nom de boucle. En effet, une trame va pouvoir indéfiniment circuler entre les commutateurs sans être supprimée. Au contraire des paquets, les trames ne définissent pas de champ TTL (Time To Live) qui est décrémenté au passage de chaque routeur. La solution vient du protocole STP (Spanning Tree Protocol) qui bloque tous les liens entre deux commutateurs, à l’exception d’un seul qui permet au trafic de circuler.

Question 35


De façon a activer le protocole STP, il faut deux liens entre les deux commutateurs. Les deux PC appartiennent au VLAN10, les ports FastEthernet 0/7 et 0/8 de chaque commutateur sont reliés à l’aide d’un câble croisé.

Question 36

Entrez la commandea ci-dessous sur les deux commutateurs pour activer STP : Switch(config)#spanning-tree vlan 1

Travaux Pratiques




1ère année

Page:18/23

Pour vérifier votre configuration, utiliser la commande ci-dessous : Switch>sh spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0001.4232.ED0E This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0001.4232.ED0E Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/7 Desg FWD 19 128.7 P2p Fa0/8 Desg FWD 19 128.8 P2p VLAN0010 Spanning tree enabled protocol ieee Root ID Priority 32778 Address 0001.4232.ED0E This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) Address 0001.4232.ED0E Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p

Pour simuler un problème sur un lien, débranchez le câble où les ports sont verts sur les commutateurs, au bout d’un certain temps (moins d’une minute), le deuxième lien doit s’activer et les « LED » s’allumer au vert.

Attention, le protocole STP s’active par VLAN.

OPTIMISATION DE STP Le protocole Spanning Tree (STP) fonctionne de manière autonome en prenant des paramètres tels que l’adresse MAC des commutateurs, la priorités et les vitesses des liens. Ces informations sont échangés à l’aide de BPDU (Bridge Protocol Data Unit). Les commutateurs calculent une topologie sans boucle. Cependant, la topologie peut ne pas être optimale et il peut être interessant de forcer l’élection du commutateur racine (switch root) pour privilégier un commutateur plus puissant ou mieux situé dans la topologie. Le commutateur possédant le plus petit « Bridge IDentifier » (BID) devient le commutateur racine.

Travaux Pratiques




1ère année

Page:19/23

Le BID comporte deux parties : la priorité, codée sur 2 octets (valeur par défaut 32768) et l’adresse MAC codée sur 6 octets (voir affichage page précédente : sh spanning-tree). Pour favoriser un commutateur par rapport aux autres, il faut modifier la priorité.

Question 37

Vous allez à l’aide de la topologie précédente, configurez un commutateur avec une priorité de

28672 pour le VLAN1.

Configurez les interfaces d’accès en « Port fast ». Entrez la commande « show spanning-tree » pour connaître le commutateur racine. Exemple pour SW1 : SW1#sh spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0001.C7EC.AC2E This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0001.C7EC.AC2E Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/2 Desg FWD 19 128.2 P2p Fa0/8 Desg FWD 19 128.8 P2p Fa0/1 Desg FWD 19 128.1 P2p

Exemple pour SW2 : SW2#sh spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0001.C7EC.AC2E Cost 19 Port 2(FastEthernet0/2) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0005.5E5C.768C Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p Fa0/2 Root FWD 19 128.2 P2p Fa0/8 Altn BLK 19 128.8 P2p

Travaux Pratiques




1ère année

Page:20/23

La présence de « This bridge is the root » permet de conclure que SW1 est le commutateur racine dans cette topologie.

Attention, le commutateur racine peut varier, ceci est dû aux adresses MAC des commutateurs.

Pour que le commutateur (ici SW2) devienne le commutateur racine, entrez la commande suivante : SW2(config)#spanning-tree vlan 1 priority 28672

Question 38

Vérifiez le changement : le commutateur avec la priorité la plus petite (valeur numérique) est devenu la racine Spanning Tree pour le VLAN 1.

Il existe un arbre Spanning Tree par VLAN. La valeur par défaut de la priorité est de 32768. Pour modifier cette priorité, il faut ajouter ou retrancher 4096 à la valeur par défaut, ce qui donne comme priorité possible : 0 ; 4096 ; 8092 ; 12288 ; 16384 ; 20480 ; … 61440.

Il est possible de désigner la racine STP du VLAN en utilisant la commande suivante en configuration globale : spanning-tree vlan 1 root primary. La racine de secours peut être définie par : spanning-tree vlan 1 root secondary.

Question 39

Pour accélerer l’obtention du lien sur l’interface FastEthernet 0/8 par exemple, entrez les commandes : SW1(config)#interface fastethernet 0/8 SW1(config-if)#spanning-tree portfast %Portfast has been configured on FastEthernet0/8 but will only have effect when the interface is in a non-trunking mode.

PortFast n’est actif qu’à condition que l’interface ne soit pas un trunk. PortFast désactive le comportement normal de STP et expose donc le commutateur aux dangers de boucles. Il faut donc s’en prémunir et se servir de fonctionnalités complémentaires.

Pour vérifier si PortFast est activé sur une interface : SW1#spanning-tree interface fastethernet 0/8 portfast

Spanning-Tree est un protocole lent … trop lent, une interface qui passe up/up va transiter par différents états avant de pouvoir fonctionner normalement (forwarder les trames), cela prend 30 secondes (pour la version standard de STP). Imaginez le cas d’un PC qui essaie d’obtenir sa configuration IP par DHCP….

Travaux Pratiques




1ère année

Page:21/23

Temps 0 : le PC se met en route, son interface s’active, l’interface du commutateur passe up/up, Spanning Tree la place dans un état « LISTENING », aucune trame n’entre ou ne sort à l’exception des BPDU (Bridge Protocol Data Unit, message de STP).

Temps 0+15s : l’interface du commutateur passe dans l’état « LEARNING », elle accepte désormais les trames provenant du PC mais ne les « forwarde » pas, son seul but ici est de construire sa table d’adresses MAC.

Et pendant ce temps …. Le PC est dans les « starting-blocks », il émet des requêtes DHCP, espérant (en vein) d’obtenir sa configuration… Ces trames sont purement et simplement éliminées par le commutateur. Après quelques essais, le PC abandonne, et passe sur la roue de secours en s’auto-configurant une adresse APIPA.

Temps 0+30s : l’interface passe enfin en état « FORWARDING », elle accepte maintenant les trames et les « forwarde » normalement. Résultat … pas d’accès réseau fonctionnel pour le PC jusqu’à ce qu’il se décide de retenter sa chance. Autrement dit : Lorsque vous branchez un équipement sur un commutateur, ce dernier va se trouver dans deux états distinct :

- Listening ;

- Learning.

Si aucune trame BDPU n’est reçue sur ce port, le commutateur va le mettre dans l’état stable

« Forwarding ».

Spanning Tree : états des ports Ces 30 secondes (sans PortFast) peuvent avoir des conséquences. À l’ouverture d’une session sur un domaine par exemple, il se peut que toutes les GPO ne soient pas exécutées. Il va falloir attendre 30 secondes avant que le port soit de nouveau en état de fonctionner.

Travaux Pratiques




1ère année

Page:22/23

La solution : mettre les ports d’accès client directement dans l’état « Forwarding » grâce au PortFast.

À RETENIR

VLAN natif : un VLAN natif est défini sur un port d’agrégation 802.1Q (trunk) afin de déterminer à quel VLAN appartient le trafic non étiqueté. Un port d’agrégation est un port par lequel peuvent passer plusieurs VLAN. Le VLAN natif par défaut est le VLAN 1.

VLAN natif non étiqueté : Il n’y a pas de modification de la trame. C’est le comportement standard d’un commutateur. Il est parfois nécessaire de recourir à cette technique lorsqu’il faut faire passer le trafic d’un protocole qui vérifie l’intégrité des trames.

VLAN natif étiqueté : même le VLAN natif est marqué par une étiquette. Cette technique de plus en plus courante permet de se prémunir des attaques utilisant un double étiquetage (double tagging attack), le but de ces attaques étant de provoquer un saut de VLAN. Le protocole STP (Spanning Tree Protocol) garantit l’unicité du chemin logique entre toutes les destinations sur le réseau en procédant intentionellement au blocage des chemins redondants susceptibles d’entraîner la formation d’une boucle.

Attribution de VLAN aux interfaces : il existe deux techniques : - Statique : il s’agit de la méthode la plus simple, celle que vous avez utilisé pendant l’activité en affectant manuellement les VLAN aux interfaces. - Dynamique : il faut identifier le périphérique et/ou l’utilisateur branché à un port et ensuite déterminer le VLAN auquel il appartient. La pratique la plus courante consiste à utiliser le protocole dot1x (IEEE 802.1x) avec un serveur d’authentification. L’authentification la plus simple dans ce cas est l’adresse MAC du périphérique. Mais la facilité de falsification d’adresse MAC étant reconnue, il est préférable dans un réseau moderne de se tourner vers une authentification utilisateur/mot de passe ou certificat, ou mieux, les deux.

Question 41


Travaux Pratiques




1ère année

Page:23/23

Vérifiez le fonctionnement.

FAIRE VALIDER LE TRAVAIL PAR LE PROFESSEUR

Question 42

On souhaite que l’ordinateur portable (VLAN production) puisse accéder au VLAN Administration. Proposez une solution.

TP sur la configuration Travaux Pratiquesrobert.cireddu.free.fr/SNIR/TP sur la configuration...

Documents

Transcript of TP sur la configuration Travaux Pratiquesrobert.cireddu.free.fr/SNIR/TP sur la configuration...