Le but de ce tutoriel est de mettre en place une communication inter-vlan à l'aide de Switch reliés entre eux par des liens Trunks et de les configurer avec le protocole de redondance rapid-spanning tree. Ce protocole permet d’avoir une tolérance aux pannes, de façon à assurer la communication entre les 3 Switch, lorsqu' un des liens les reliant tombe, en empruntant un autre lien.
Nous allons voir tâche par tâche les commandes et explications nécessaires à la configuration de l'ensemble des éléments du réseau (Switch, pc et routeur).
Architecture matériel :
- 3 Switch cisco
- 3 ordinateurs
- 1 routeur cisco
Tâche 1 : préparation du réseau
Schéma représentatif de l'architecture réseau à réaliser sous packet tracer.
1.1 Suppression des configurations de périphériques existantes
Switch>enable
Switch# erase startup – config
1.2 Désactivation de tous les ports à l’aide de la commande shutdown
Switch# configure terminale
Switch(config)#interface range Fa0/1-24
Switch(config-if-range)#shutdown
Ces commandes sont à effectuer sur l’ensemble des Switch.
Récapitulation d'étape :
- tous les ports sont désactivés et il n'y a aucune configuration présente sur les Switch.
Tâche 2 : Configurations de la sécurité de base des périphériques
2.1 Configuration du nom du périphérique
Switch>enable
Switch#conf t
Switch(config)# hostname Comm1
Même configuration avec Comm2 et Comm3
2.2 Désactivation de la recherche DNS
Comm1(config)#no ip domain-lookup
Cette commande permet de ne pas être dérangé par des messages du type:
Translating "sxow" ...domain server (255.255.255.255)
% Unknown command or computer Name, or unable to find computer address Router#
Lors d'erreurs de frappe.
2.3 Configuration d'un mot de passe pour le mode d’exécution (mot de passe privilégié).
Comm1(config)#enable password cisco
Comm1(config)#service password encryption
Désormais pour accéder à l'espace enable, un mot de passe sera demandé, et celui sera crypter pour ne pas être lisible dans l’affichage du résultat de la commande show conf.
2.4 Configuration d’une bannière du message du jour.
Comm1(config)#banner motd "Welcome"
MOTD : Message Of The Day
2.5 Configuration d'un mot de passe pour les connexions de consoles.
Comm1(config)#line console 0
Comm1(config)#password cisco
Comm1(config)#login
Comm1(config)#exit
2.6 Configuration d'un mot de passe pour les connexions de terminaux virtuels (vty).
Comm1(config)#line vty 0 15
Comm1(config)#password cisco
Comm1(config)#login
Comm1(config)#exit
Récapitulation d'étape :
- Les Switch portent les noms de Comm1, Comm2 et Comm3.
- Leur recherche DNS a été Désactivée.
- L’accès au mode privilégié se fait par l’intermédiaire d’un mot de passe.
- Lorsqu’un utilisateur se connectera au Switch, le message « Welcome » apparaitra
- Lorsqu’un qu’un utilisateur se connectera au port console du Switch via hyper terminal par exemple, celui-ci devras rentrer le mot de passe « cisco » pour y accéder
- Les Switch accepteront jusqu’à 16 connections simultanées via des protocoles de connexion comme ici, Telnet avec comme mot de passe d’accès : « cisco ».
.
Tâche 3 : configuration et activation des interfaces utilisateur
3.1 Réactivation des ports utilisateur actifs sur Comm2 en mode « access »
Ports utilisateurs actifs sur Comm2 : Fa0/1-4 Fa0/6-10 Fa0/11-17 Fa0/18-24
Comm2(config)#interface range …
Comm2(config-if)#switchport mode access
Comm2(config-if)#no shutdown
Comm2(config-if)#exit
3.2 Implémentation de l'interface dans le Vlan indiqué dans le tableau "commutateur2"
Comm2(config)# vlan 30
Comm2(config)#name Invite
Comm2(config)#interface range Fa0/6-10
Comm2(config-if-range)#switchport mode access
Comm2(config-if-range)#switchport access vlan 30
Comm2(config-if-range)#no shutdown
Comm2(config-if-range)#interface range Fa0/11-17
Comm2(config-if-range)#switchport access vlan 10
Comm2(config-if-range)#interface range Fa0/18-24
Comm2(config-if-range)#switchport mode access
Comm2(config-if-range)#switchport access vlan 20
3.3 Limitation du protocole STP sur les interfaces comportant des postes/serveurs.
Comm2(config-if-range)#spanning-tree portfast vlan
pour chaque interface range.
Récapitulation d'étape :
- Seuls les ports Fa0/1-4 Fa0/6-10 Fa0/11-17 Fa0/18-24 ont accès aux VLAN 30, 10 et 20 respectivement.
- Le spanning tree est désactivé sur ces VLAN et plus précisément sur ces ports de façon à éviter la création de boucle.
Tâche 4 : configuration et activation des adresses réseau
4.1 Configuration de l’interface VLAN de gestion sur Comm1, Comm2 et Comm3
Comm1,2,3(config)# vlan 56
Comm1,2,3(config)#name Gestion
4.2 Configuration des interfaces Ethernet PC1, PC2 et PC3
Vérification
Comm1(config)#show run
Comm1(config)#show vlan
Récapitulation d'étape :
- Création du VLAN 56 « gestion »
- Les PC sont capable de communiquer avec les Switch.
Tâche 5 : configuration de VTP
5.1 Configuration de toutes les lignes Trunks réseau 802.1q
Comm2(config)#interface range f0/…-…
Comm2(config-if)#switchport mode trunk
L’encapsulation DOT 1Q n’est pas obligatoire sur les Switch 2950 et 2960, celle-ci s’active automatiquement.
5.2 Configuration de "Comm1" en tant que serveur VTP et mise en place du domaine "cisco" pour mot de passe "cisco"
Comm1(config)#Vtp mode server
Comm1(config)#vtp domain cisco
Comm1(config)#vtp password cisco
5.3 Configuration de "Comm2" et de "Comm3" en tant que clients VTP, affectés du même nom de domaine et du même mot de passe VTP
Comm1(config)#Vtp mode client
Comm1(config)#vtp domain cisco
Comm1(config)#vtp password cisco
Verification
Comm1(config)#Show vtp status
Comm1(config)#Show vtp counters
Récapitulation d'étape :
- Les ports F0/1 – 0/4 de chaque Switch ainsi que le F0/5 pour Comm1 sont en mode Trunk permettant la diffusion des VLAN
- Le Switch Comm1 est le serveur VTP du domain cisco pour mot de passe cisco
- les Switch Comm2 et Comm3 sont en mode client du domain cisco pour mot de passe cisco.
Tâche 6 : configuration des réseaux locaux virtuels
6.1 Configuration des réseaux locaux virtuels sur le serveur VTP.
VLAN 56 gestion
VLAN 10 faculté-personnel
VLAN 20 étudiants
VLAN 30 invité
6.2 Vérification que les configurations VLAN ont bien été envoyées aux clients VTP par le serveur VTP.
Comm1,2,3(config)#show vlan
Récapitulation d'étape :
- Synchronisation de la configuration de Comm1 sur Comm2 et Comm3
Tâche 7 : configuration du protocole STP
7.1 Configuration du commutateur Comm1 pour qu’il soit toujours pont racine et de "comm2" comme pont de secours
Comm1#Spanning-tree vlan 56 root primary
Comm2#Spanning-tree vlan 56 root secondary
Comm1,2#Switch trunk native vlan 56 -→ changement du vlan par defaut
7.2 Configuration de RSTP
Comm1(config)#spanning-tree mode r-pvst
7.3 Vérification du bon fonctionnement du protocole STP
Comm1#Show spanning-tree summary
Comm1#Show spanning-tree
Récapitulation d'étape :
- Le Switch Comm1 est pont racine sur le VLAN 56
- Le Swtich Comm2 est pont secondaire sur le VLAN 56
- Le VLAN 56 est le nouveau VLAN par défaut (il remplace le VLAN 1)
- Le spanning-tree est en mode « rapide ».
Tâche 8 : configuration du routage entre réseaux locaux virtuels
8.1 Création d’une configuration de base sur le routeur, configuration de l’interface classique sur R1
Routeur >enable
Routeur#conf t
Routeur (config)# int f0/1.10 → 10 fait référence au vlan ID
Routeur (config)# ip add IP + MASK
Routeur (config)# no shut
Routeur (config)# int F0/1
Routeur (config)# no shut
Screenshot de la configuration de l’interface F0/1 du routeur
8.2 Vérification du routage entre réseaux locaux virtuels
Routeur #show ip route
Exécution de la commande ping depuis chaque hôte vers tous les autres hôtes.
Screenshot des routes utilisées pour accéder aux VLAN
Tâche 9 : description des configurations
Exécution de la commande show run pour obtenir des informations sur les configurations.
Comm1
Screenshot de la configuration de Comm1
Comm2
Screenshot de la configuration de Comm2
Comm3
Screenshot de la configuration de Comm3
Le spanning tree est un protocole de gestion de couche 2, qui fournit un chemin redondant dans un réseau tout en évitant les boucles de routages.
Tous les protocoles STP utilisent un algorithme qui calcule le meilleur chemin sans boucles à travers le réseau.
Le protocole PAgP (Port Aggregation EtherChannel) est un protocole propriétaire de cisco développé pour aider la mise en œuvre de port EtherChannel.
Ce protocole distingue 4 états :
- Off : Channel désactivé, aucun message PAgP émis
- On : Channel activé, aucun message PAgP émis
- Auto : Le channel peut être activé par les messages PAgP envoyé par le port de l’autre extrémité
- Desirable : Les messages PAgP sont transmis par le switch local, le channel sera activé si le switch distant est dans l’état auto ou desirable.
Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propriétaire de continuité de service implémenté dans les routeurs Cisco pour la gestion des liens de secours.
HSRP sert à augmenter la tolérance aux pannes sur le réseau en créant un routeur virtuel à partir de 2 (ou plus) routeurs physiques : un actif et l'autre (ou les autres) en attente en fonction des priorités accordées à chacun de ces routeurs.
HSRP est un protocole propriétaire aux équipements Cisco et reste inactivé par défaut. Les communications HSRP entre les routeurs participant au routeur virtuel se font par l'envoi de paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concernés.
De ce protocole est dérivé VRRP (Virtual Router Redundancy Protocol), normalisé et utilisé chez la plupart des autres constructeurs (Nokia, Alcatel).
En pratique, HSRP permet à un routeur de secours de prendre immédiatement, de façon transparente, le relais dès qu’un problème physique apparaît sur un routeur « primaire ».
En partageant une seule et même adresse IP et MAC, plusieurs routeurs peuvent être considérés comme un seul routeur “Virtuel”. Les membres du groupe de ce routeur virtuel sont capables de s’échanger des messages d’état et des informations.
Un routeur physique peut donc être responsable du routage et un autre en redondance.
Nous n’avons pas eu la possibilité de réadapter cette structure au sein de notre entreprise. Mais ce projet nous a permis de nous assurer que nous disposions des connaissances techniques minimales pour :
- mettre en place une architecture réseau équivalente
- la sécuriser
- permettre la diffusion de VLAN entre plusieurs Switch
- permettre d’avoir une redondance des liens Trunk et des routeurs et donc d’une tolérance aux pannes
- De comprendre rapidement l’architecture d’un réseau et de son fonctionnement.
- Et d’acquérir une bonne connaissance sur les protocoles de routage ou de redondance.
Tâche 10 : Nouveau diagramme de topologie
Architecture matériel :
- 4 Switch cisco
- 4 ordinateurs
Tâche 11 : configuration du routage entre réseaux locaux virtuels sur le Commutateur de niveau 3
11.1 Configuration de base sur le commutateur MLS1 et MLS2.
Switch>enable
Switch#conf t
Switch(config)# hostnameMLS1
11.2 Installation du domaine et mot de passe VTP.
MLS1 et MSL2 sont des serveurs VTP, comm1 et comm3 sont des clients VTP.
MLS1,2(config)#Vtp mode server
MLS1,2(config)#vtp domain cisco
MLS1,2(config)#vtp password cisco
Comm1,3(config)#Vtp mode client
Comm1,3(config)#vtp domain cisco
Comm1,3(config)#vtp password cisco
11.3 Configuration des liaisons Trunk 802.1q sur MLS1 et MLS2.
MLS1,2(config)#interface range f0/…-…
MLS1,2(config-if)#switchport mode trunk
11.4 Configuration des Vlan sur les quatre commutateurs.
MLS1,2(config)#vlan 10,20,30,56
Comm1,3(config)#vlan 10,20,30,56
11.5 Configuration du routage entre les Vlan par SVI (Switch virtuel Interface) sur MLS1 et MLS2.
MLS1,2(config)#ip routing
11.6 Vérification du routage entre réseaux locaux virtuels
Exécution de la commande Ping depuis chaque hôte vers tous les autres hôtes.
Tâche 12 : Explication du rôle apporté par la commutation de niveau 3 par rapport au routage traditionnel
La plupart des Switch opèrent la commutation au niveau 2 du modèle OSI. Cependant, certains Switch embarquent aussi des fonctionnalités de niveau 3. Comme nous l’avons vu dans la seconde architecture, la distinction entre la commutation de niveau 3 (Switch de niveau 3) et le routage (routeurs) est très fine.
Lorsqu’un routeur reçoit un paquet, il regarde au niveau de la couche 3 les adresses source et de destination afin de déterminer le meilleur chemin possible entre ces 2 points. Un Switch standard (de niveau 2), s’appuie sur les adresses MAC émettrices et destinataires uniquement.
La différence entre un routeur et un switch de niveau 3 est que ce dernier embarque une couche matérielle optimisée pour transmettre les données aussi vite qu’au niveau 2. La décision de savoir où transmettre le paquet se prend au niveau 3. La commutation étant plus rapide que le routage (car c’est matériel et non logiciel), les Switch de niveau 3 sont plus rapides que les routeurs. Cependant, l’inconvénient des Switch, de niveau 2 ou 3, est qu’ils ne peuvent être utilisés que sur des LAN.
La conception interne des Switch de niveau 3 est similaire à celle des routeurs. Les deux utilisent, un protocole et une table, de routage pour déterminer le meilleur chemin. Cependant, un Switch de niveau 3 à la capacité de reprogrammer la couche matérielle dynamiquement avec les informations de routage de niveau 3 courantes. De cette façon, cela lui permet de traiter plus rapidement les paquets.
Actuellement, les Switch de niveau 3, utilisent les informations reçues des protocoles de routage pour mettre à jour les tables de cache de la couche matérielle.
Dans ce schéma l'apport de HSRP permet au routeur, que nous appellerons primaire, d’être remplacé automatiquement lors de panne, par le routeur secondaire. Les paquets continueront de transiter de façon transparente puisque les 2 routeurs partagent les mêmes adresses IP.
Un groupe de routeur va négocier au sein d’un même groupe HSRP (ou standby group), un routeur primaire (Active router), élu au moyen d’une priorité, pour transmettre les paquets envoyés au routeur virtuel.
Un autre routeur secondaire (Standby router), sera élu lui aussi afin de remplacer le routeur primaire en cas de problème. Le secondaire assumera donc la tâche de transmettre les paquets à la place du primaire en cas de défaillance.
Le processus d’élection se déroule pendant la mise en place des liens. Une fois ce processus terminé, seul le routeur primaire (Active) aura la possibilité d’envoyer des messages multicast en UDP périodiques HSRP au reste du réseau afin de minimiser son trafic.
Si ces messages ne sont plus reçus par le routeur secondaire (Standby), c’est que le routeur primaire à un problème et le secondaire devient donc Actif.
L’élection se fait de la même manière que celle du spanning-tree, en prenant en compte une priorité. Cette priorité est composée d’un paramètre “priority” compris entre 1 et 255 (255 étant le plus prioritaire) et de l’adresse IP de l’interface.
A priorités statiques égales, la plus haute adresse IP sera élue.
A priorités statiques égales, la plus haute adresse IP sera élue.
Plusieurs groupes HSRP peuvent exister au sein d’un même routeur sans que cela ne pose problème (depuis l’IOS 10.3). Seuls les routeurs du même numéro de groupe s’échangeront les messages HSRP.
Le protocole HSRP étant très répandu sur les matériel Cisco (sur les LAN), cela permet une souplesse de configuration sur tous ces matériels, y compris Wireless.
D’autres options sont disponibles, notamment les « groupes multiples HSRP » ou « le support» dans une architecture MPLS-VPN.
D’autres options sont disponibles, notamment les « groupes multiples HSRP » ou « le support» dans une architecture MPLS-VPN.
Cependant, HSRP présente quelques failles non négligeables. En effet, le protocole HSRP utilise pour authentifier les requêtes, un mot de passe qui transite en clair sur le réseau (même principe que les noms de communauté SNMP - Simple Network Management Protocol).
Au-delà de cette faiblesse, existe aussi un problème de gestion des adresses IP par HSRP. En effet, bien que les messages HSPR soient de type Multicast, les paquets de type Unicast sont acceptés et traités par HSRP. Cela signifie que les paquets HSRP, ayant pour adresse de destination celle du routeur, seront traités par ce dernier sans contrainte. Ce comportement peut permettre des attaques à distance en s'affranchissant des contraintes de sécurité liées au trafic Multicast (le trafic Multicast peut être interdit au niveau de la politique de sécurité des routeurs).
La solution pouvant contrer ce problème serait de filtrer le port 1985, relatif au protocole HSRP.
Aucun commentaire:
Enregistrer un commentaire