Sie sind auf Seite 1von 104

Technologie Ethernet et Commutation

goffinet@goffinet.eu version 14.02

Objectifs CCENT
Dcrire les caractristiques physiques et de liaison de donnes d'Ethernet. Identifier les caractristiques de base d'un support physique utilis par la technologie Ethernet. Dcrire la fonction MAC du protocole Ethernet. Expliquer l'importance de l'adressage de couche 2 en terme d'oprations et de performances dans les transmissions. Dcrire les champs des diffrents types de trames Ethernet Dnombrer les avantages de la commutation. Expliquer le processus ARP/ND. Expliquer les enjeux de la commutation LAN en citant les notions de "cblage structur", de "tempte de diffusion", de "spanning-tree", "empoisonnement de cache ARP, de "scurit sur les ports" et de "technologies VLAN".

Sommaire
Leon 1 : Modles en couches et standards Leon 2 : Cblages, connecteurs, NIC Leon 3 : MAC CSMA/CD Leon 4 : Adressage et tramage Leon 5 : Commutation et commutateurs Leon 6 : Architectures LAN commutes (Cisco Systems) Leon 7 : Rsolution dadresses Leon 8 : Scurits L1, L2, L3, L7

Leon 1
Modles en couches et standards

Objectifs de la leon 1
Dterminer les modes de transmission. Caractriser la technologie Ethernet Positionner les standards Ethernet parmi les protocoles OSI, IEEE 802 et TCP/IP. Distinguer les notions de topologie physique et de topologie logique. Dcrire la commutation comme une innovation. Distinguer technologies LAN, MAN et WAN Comparer les couches 1 et 2 du modle OSI Distinguer les sous-couche PHY, MAC et LLC Distinguer les diffrentes normes Ethernet et leur caractristiques

Rappels Modles
Contexte dtude

Organisations de standardisation

Compatibilit

Modes de livraison
Unicast : destination d'une seule interface. Broadcast : destination de toutes les interfaces Multicast : destination d'un ensemble (un groupe) d'interfaces Anycast : destination de l'interface la plus proche

Introduction Ethernet
Ethernet est actuellement la technologie LAN L2 dominante : Diversit des supports : Cuivre (paire torsade) et Fibre Interoprable (vers IP, vers les protocoles IEEE 802) Stabilit des infrastructures (supports) / Evolutivit de la Fiabilit assure par l'infrastructure et par la
commutation technologie (services) Bon march Facilit de dploiement

Caractristiques techniques d Ethernet


Une technologie daccs LAN et MAN Standardis IEEE 802.3 Aid par IEEE 802.1 (Bridging) et IEEE 802.2 (LLC). de couche Liaison de donnes (L2) MAC : CSMA/CD et de couche Physique (L1) rpute non fiable (sans messages de fiabilit) non oriente connexion (pas dtablissement dun canal pralable la communication)

Technologie LAN et MAN


Ethernet est technologie LAN (de rseau local). Elle est une technologie MAN ( l'chelle d'un campus ou d'une ville). Elle peut tre utilise dans un WAN ( lchelle du globe).

La nature PAN, LAN, MAN, WAN est une manire de qualifier une technologie daccs selon : la porte et la vitesse.

Standard Ethernet/Modle OSI

Le standard IEEE 802.3 couvre les deux basses couches du modle OSI : PHY et MAC. LLC IEEE 802.2

Comparaison couche 1 / couche 2


Couche 1
Ne peut pas communiquer avec les couches suprieures Ne peut pas identifier les priphriques Ne reconnait qu'un flux binaire Ne peut pas dterminer la source d'une transmission quand plusieurs priphriques transmettent

Couche 2
Se connecte aux couches suprieures grce LLC (Logical Link Control) Utilise un adressage physique, non hirarchique, non routable pour identifier les priphriques. Utilise des trames pour organiser les donnes Utilise le protocole MAC pour identifier les sources des transmissions

Sous-couche LLC
Logic Link Control se connecte aux couches suprieures. En ajoutant un champ type, il identifie le protocole de couche suprieure. Indpendant de la couche physique

Sous-couche MAC
Media Access Control encapsule les donnes.
Dlimite les trames Adressse les priphriques Dtecte les erreurs

Media Access Control contrle l accs au support.


Dtermine le placement sur le support Reprise sur erreur sur le support

Sous-couches physiques
Implmentation physique d'Ethernet La couche physique d Ethernet est dcompose en diffrentes souscouches PHY qui assurent l interoprabilit des supports physiques, des connecteurs, s occupe des bandes de frquences ...

Synthse des normes Ethernet


Nom commercial Ethernet Fast Ethernet Gigabit Ethernet Vitesse 10 Mbps 100 Mbps 1000 Mbps 1000 Mbps 10 Gbps Dnomination physique 10BASE-T 100BASE-TX 1000BASE-SX, 1000BASE-LX 1000BASE-T 10GBASE-SR, 10GBASE-LR 10GBASE-T Standard IEEE 802.3 IEEE 802.3u IEEE 802.3z Support, longueur
Cuivre, 100 m Cuivre, 100 m Fibre, 550 m, 5 Km Cuivre, 100 m Fibre, 300 m, 25 Km Cuivre, 100 m

Gigabit Ethernet 10Gigabit Ethernet

IEEE 802.3ab IEEE 802.3ae

10Gigabit Ethernet

10 Gbps

IEEE 802.3an

Leon 2
Cblages, connecteurs, NIC

Objectifs de la leon 2
Concevoir et diagnostiquer un cble UTP Interconnecter les priphriques du rseau avec les cbles appropris Distinguer les diffrents type de connecteur et de cbles FO Choisir des connexions fibre 10GE

Cblage paires torsades


1 Les types de blindages 1.1 Paire torsade non blinde 1.2 Paire torsade crante 1.3 Paire torsade blinde 1.4 Paire torsade crante et blinde 1.5 Paire torsade super blinde 1.6 Table de rcapitulative avec les nouvelles dnominations (norme ISO/IEC 11801) 2 Les catgories de cbles 2.3 Catgorie 3 2.5 Catgorie 5 2.6 Catgorie 5e / classe D 2.7 Catgorie 6 / classe E 2.8 Catgorie 6a / classe Ea 2.10 Catgorie 7a / classe Fa

TIA/EIA 568
Connecteur RJ-45

Ralisation de cble UTP droit

Prise murale Ethernet

Diagnostic physique
Erreurs et certification de cblage. Cblage structur

DCE/DTE
Les commutateurs (switches) et concentrateurs (hubs) sont identifis comme tant des DCE (Data Connexion Equipment) alors que les stations terminales et les routeurs sont des priphriques DTE (Data Terminal Equipment). Les quipement identiques DTE/DTE ou DCE/DCE se connectent avec un cble crois (qui croise les paires d'mission et de rception). Les quipements de type diffrents se connectent avec un cble droit car la position mission rception sur leur interfaces est dj inverse.

Vitesse et mode
La vitesse entre partenaires est fixe par ngociation (impulsion PHY) pour dterminer le mode Half/Full Duplex et la vitesse sur des valeurs compatibles. Lauto-ngociation est active par dfaut. Si on fixe ces paramtres, ils doivent tre identiques de part et dautre. La fonction auto-MDIX reconnait automatiquement le type de cble utilis.

Network Interface Card


Une carte dinterface rseau (NIC) est un matriel de couche 1 et 2.

Technologies Fibre Optique


La fibre multimode
Les rayons lumineux peuvent suivre des trajets diffrents suivant l'angle de rfraction. Les rayons peuvent donc arriver au bout de la ligne des instants diffrents, d'une certaine dispersion du signal. Elles sont gnralement utilises pour de courtes distances, elles ont pour metteur une diode lectroluminescente et des performances d'environ 1 gigabits/Km. La fibre multimode est gnralement utilise pour de courte distance (de l'ordre de la centaine de mtre). Elle est la plus employe pour les rseaux privs.

La fibre monomode
Les rayons suivent un seul chemin. Elle a le coeur si fin (de l'ordre de la longueur d'onde du signal transmis) que le chemin de propagation des diffrents modes est pratiquement direct. La dispersion du signal est quasiment nulle, le signal est donc trs peu dform. Ses performances sont d'environ 100 gigabits/km, l'indice de rfraction peut tre constant ou dcroissant. Cette fibre est utilise essentiellement pour les sites distance. Le petit diamtre du coeur ncessite une grande puissance d'mission, donc des diodes au laser qui sont relativement onreuses (ce qui rend la fibre monomode plus chre que la fibre multimode). Du fait de ses dbits trs importants, mais de son cot lev, cette fibre est utilise essentiellement pour les sites grande distance et trs grande distance.

Technologies Fibre Optique

Connecteurs Fibre Optique

Leon 3
MAC CSMA/CD

Objectifs de la leon 3
Distinguer les notions de topologie physique et logique Distinguer les diffrentes mthodes MAC Caractriser la mthode MAC dEthernet Expliquer le fonctionnement de CSMA/CD Expliquer la notion de dlai dans le fonctionnement dEthernet

Mthode daccs MAC


La topologie logique est la mthode daccs (MAC) au support physique. On distingue : Les mthodes stochastiques, premier arriv premier servi (Ethernet, Wi-Fi). Les mthodes dterministes, par passage de jeton, contrl (Token-Ring).

Topologie physique et topologie logique


Topologie physique et logique en bus : coaxial Topologie physique en toile et topologie logique en bus : paire torsade (8 fils). supports cuivres et fibre vitesse >100Mb/s Aujourd'hui 10Gb/s sur cuivre/fibre

Rvolution de la commutation
Les commutateurs ont rvolutionn les LANs grce un transfert rapide et ddi. L'infrastructure (le matriel) prend en charge la fiabilit, la gestion, le transfert rapide du trafic ... Le protocole interface physiquement (PHY) et assure la livraison du trafic sur le support (MAC)

CSMA/CD
La mthode d'accs MAC est appele : Carrier Sense Multiple Access with Collision Detection (CSMA/CD) : Principe premier arriv premier servi. Si le canal est libre, la station place son trafic. Si ce n'est pas le cas, elle attend. Le protocole se propose de grer les collisions. Pas de fonction de fiabilit (ACK), pas de fonctions de
gestions d'erreur, de contrle de flux, etc. CSMA/CD = Ethernet Legacy (10BASE2, 10BASE5, 10BASE-T)

Principe CSMA (Carrier Sense Multiple Access)


1. Une interface qui tente de placer une trame coute le support. 2. En cas de porteuse, elle retarde le placement de la trame. 3. En l'absence de porteuse (support libre), elle attend encore quelques instants (96 Bit Time) et commence placer le trafic. 4. Elle va rester attentive d'ventuelles collision pendant un certain dlai appel le "slot time" (512 Bit Time). 5. Aprs expiration de ce dlai, l'interface n'est plus attentive d'ventuelles collisions. Elle considre le canal acquis. Elle continue mettre sans plus rien attendre (pas de ACK). 6. Sur media partag, quelle que soit la topologie physique, toutes les interfaces reoivent ce trafic. Elles examinent toutes l'en-tte Ethernet du trafic reu, ce qui suscite de la charge en CPU et en bande passante. 7. Seule l'interface qui reconnat son adresse MAC dans le champ

Gestion des collisions


Sur un support partag, une collision peut survenir lorsque deux interfaces tentent de placer une trame en mme temps alors qu'elles ont constat toutes deux un support libre (absence de porteuse). Parce qu'il faut un certain dlai pour qu'une trame arrive d'une extrmit l'autre du support, l'interface mettrice va rester attentive pendant ce temps d'ventuelles collisions. Les standards 802.3 dfinissent prcisment ce temps. Il est appel le slot time. Jusque en 100 Mbps. Il s'agit du temps de placement de 512 bits ou 64 octets. 1. 2. En cas de collision, les stations impliques la renforcent en envoyant un signal de bourrage afin de que toutes les interfaces du rseau l'entende. Elle attendent alors de reprendre la procdure de placement de la trame dans un dlai alatoire. C'est ce qu'on appelle le mcanisme de Backoff prvu par le protocole. a. Prcisment, les stations impliques reprendront alatoirement dans une fourchette
variant de 0 un multiple du slot time.

Le support partag par du matriel de couche 1 (Hub, concentrateur, cble en bus) est appel domaine de collision. La bande passante est partage dans un domaine de collision.

Dlais
Les dlais dans la technologie Ethernet dpendant de la qualit de l'infrastructure : on comprendra comment est dtermin la taille maximale d'un segment Ethernet seulement avec une rptition de signal ou un cblage incorrect.

Algorithme CSMA/CD

Leon 4
Adressage et tramage

Objectifs de la leon 4
Distinguer les diffrentes trames Ethernet Dnombrer, citer et expliquer les diffrents champs d une trame Ethernet/IEEE 802.3 Dfinir et caractriser ladresse MAC IEEE 802 Expliquer le processus dencapsulation et de dsencapsulation travers un inter-rseau.

Format des trames Ethernet


3 formats de trames DIX et IEEE 802.3 :

Ethertype
Valeurs du champ "Type" :
0x0800 0x0806 0x8100 0x86DD 0x8847 0x8848 0x8863 0x8864 0x8870 0x888E 0x9100 Internet Protocol version 4 (IPv4) Address Resolution Protocol (ARP) VLAN-tagged frame (IEEE 802.1Q) Internet Protocol Version 6 (IPv6) MPLS unicast MPLS multicast PPPoE Discovery Stage PPPoE Session Stage Jumbo Frames EAP over LAN (IEEE 802.1X) Q-in-Q

Adressage IEEE 802


L'adresse MAC IEEE 802 permet de distinguer les
priphriques qui communiquent sur le rseau local Elle sert uniquement livrer le trafic localement Elle est cense tre unique Ce nest pas un adressage hirarchique et non routable (comme IP) Est fonde dans les cartes rseau, mais peut tre mule.

Adressage de couche 2
Adressage MAC-48
IEEE 802 48 bits AA:BB:CC:01:02:03 24 bits pour l'OUI 24 bits laisss la discrtion des fabricants

Encapsulation et dsencapsulation
Chaque couche ajoute des informations fonctionnelles et utiles la transmission. A la rception, chacune de ces informations est examine et retire.

Activits
Capture et interprtation de trames Ethernet.
http://www.wireshark.org/

Quels sont les logiciels qui permettent d usurper une adresse MAC lorigine ? http:
//free.korben.info/index. php/Changer_son_adresse_MAC

Consultation et interprtation des tables ARP, CAM, de routage A quelle couche du modle TCP/IP se situe le protocole ARP ?

Conclusion
Protocole de couche liaison de donnes (L2) et de couche physique (L1) Non orient-connexion Non fiable Mthode d'accs librale, stochastique, "premier arriv, premier servi" = topologie logique Support accs partag = bande passante et trafic partag

Leon 5
Commutation et commutateurs

Objectifs de la leon 5
Expliquer le processus de transfert de trame dans un rseau commut. Comparer un domaine de collision un domaine de diffusion.

Principe de la commutation
Grce une table de commutation apprise par coute, le commutateur identifie un port une adresse et transfert le trafic sur base de ce critre. Lorsqu'il ne connat pas le port pour une destination (unicast inconnu, broadcast, multicast), il transfert ce trafic par tous les ports sauf le port d'origine.
Adresse MAC apprise 00:00:00:00:00:01 00:00:00:00:00:02 00:00:00:00:00:03 00:00:00:00:00:04

Port de commutateur F0/1 F0/2 F0/3 F0/4

Mthode de commutation
Moment auquel le commutateur transfre le trafic vers un port de sortie : Lenteur

Le commutateur dispose de puces (ASIC) qui prennent les dcisions de transfert et de mmoires tampon ddies

Domaine de diffusion/collision
Un domaine de collision par port de commutateur. Un commutateur tend un domaine de diffusion. Un routeur filtre et connecte des domaines de diffusion.

Half-duplex/Full-Duplex
La microsegmentation (un port de commutateur = une poste de travail) va offrir : Un domaine sans collision sur chaque port La bande passante ddie sur chaque port Des transmissions en full-duplex (un canal pour l'mission et un autre pour la rception)

Domaine de collision

Domaine de collision

Domaine de collision

Domaine de diffusion (Broadcast)


Les commutateurs ne filtrent pas le trafic de diffusion (broadcast) Si deux commutateurs sont interconnects, ils tendent le domaine de diffusion. Un routeur filtre le trafic de diffusion.

Eviter la congestion du rseau


Les commutateurs vitent et amliorent les performances du rseau en matire de congestion
En facilitant la sparation des LANs en diffrents domaines de collision. En fournissant une communication Full-Duplex entre des priphriques En prenant avantage sur la haute densit des ports En mettant les grandes trames dans des mmoires temporaires (Buffering) En employant des ports vitesse leve En prenant avantage de leur capacit de transfert rapide (Hardware) En profitant du cot marginal peu lev du port

Leon 6
Architectures LAN commutes (Cisco Systems)

Objectifs
Dcrire la convergence des donnes, de la voix et de la vido dans le contexte des rseaux commuts. Dcrire un rseau commut dans le contexte de petites et moyennes entreprises. Choisir des commutateurs dans une architecture du rseau.

Des Rseaux de plus en plus complexes


Notre monde digital change Linformation doit tre
accessible de partout dans le monde Les Rseaux doivent tre fiables et trs disponibles.

Elments dun rseau convergent


La collaboration est une ncessit Pour assurer la collaboration, les rseaux emploient des solutions convergentes. Des services de donnes comme des systmes vocaux, des tlphones IP, des passerelles vocales, le support de la vido et des confrences. Le contrle dappels, la messagerie vocale, la mobilit et un rceptionniste automatique sont des fonctionnalits communes.

Avantages dun rseau convergent

Les avantages dun rseau convergent : Divers types de trafic; un seul


rseau grer. Bnfices substantiels par rapport des rseaux voix, vidos, donnes spars. Il sintgre la gestion IT.

Borderless Switched Networks


Cisco Borderless Network est une architecture
rseau qui permet aux organisations de connecter nimporte qui, de nimporte o, nimporte quel moment partir de nimporte quel priphrique de manire scurise, fiable et transparente. Elle a t conue rpondre aux dfis IT et conomiques comme le support des rseaux unifis et les changements des mthodes de travail.

Architecture commute sans frontire


Cette architecture Borderless switched network est construite autour des principes : Hirarchie : comme niveaux fonctionnels, core/distribution/access Modularit : supporte facilement la croissance et les changements. Faire voluer le rseau est facilit par lajout de nouveaux modules au lieu redessiner entirement larchitecture du rseau. Rsilience : une haute-disponibilit (HA) proche des 100 % de uptime. Flexibilit : les changements dans lentreprise peut tre adapter au rseau rapidement selon les besoins.

Modle hirarchique trois couches

Core : Backbone haute vitesse pour transfrer rapidement les paquets. Fournit de la haute disponiblit et s'adapte rapidement aux changements. Distribution : Aggrge les connections des locaux techniques. Utilise des commutateurs pour segmenter et organiser le SI en groupes, profils utilisateurs et isoler les problmes. Access : Permet aux utilisateurs daccder aux priphriques du rseau.

Modle hirarchique adapt aux besoins

Couche Access
Haute Disponiblit alimentation redondante et support des First Hop Redundancy Protocols (FHRP). Convergence fournit de linline Power over Ethernet (PoE) pour les tlphones IP et les points daccs sans fil Security comprend doffice les fonctionnalits port security, DHCP snooping, Dynamic ARP inspection, IP source guard.

Couche Distribution
Haute disponiblit, fast path recovery, rpartition de charge, QoS, et securit Route summarization et manipulation de paquets Point de redistribution entre des domaines de routage Filtrage de paquets et politiques de routage. Termine les VLANs First Hop Redundancy Protocol (HSRP, VRRP, GLBP).

Couche Core
Agrge le trafic des commutateurs de distribution Implmente des protocoles et des technologies volutives et de la rpartition de charge Commutation Highspeed de niveau 3 avec du 10-Gigabit Ethernet. Utilise de la redondance de niveau 3

Rles des commutateurs


Le rle des commutateurs ont volus : Un LAN commut permet plus de flexibilit dans la gestion du trafic et des services. Un LAN commut supporte des fonctionnalits comme la qualit de service, des services de scurit supplmentaires le support des rseaux sans fil et des services de mobilit le support de la tlphonie IP ...

Wired and Wireless LAN access Infrastructure 2013

March de la commutation 2012


Cisco, HP, Alcatel-Lucent, Huawei

Choisir son commutateur


Fonctionnalits Access/Distribution/Core Fonctionnalits L2 / L3 Type d'interface/technologies Contraintes physiques Nombre d'interfaces Conformit protocolaire Form Factor : Fixed ports, Modular, Stackable Gestion, facilits, loyaut Prix Garantie/support Catalogues : Cisco Switch Guide (PDF) HP Switches

Leon 7
Rsolution d'adresses

Objectifs de la leon 7
Dfinir et caractriser les principes de la rsolution dadresse en IPv4 et de la dcouverte de voisinage en IPv6 Caractriser le trafic ARP et ND Lire les tables des caches ARP des priphriques Cisco, Windows, Linux

Principe
La rsolution d'adresse est utile dans les rseaux IP pour obtenir l'adresse physique laquelle une adresse IP correspond. On peut obtenir le cache arp avec :

arp -a
Ce processus permet lhte metteur de trouver ladresse de livraison physique du trafic. Il permet lhte dencapsuler le trafic au niveau de la couche Accs Rseau (Liaison de donnes) en y ajoutant l adresse MAC du destinataire

Address Resolution Protocol


ARP est le protocole de rsolution d'adresse utilis par IPv4. Il est directement encapsul par la couche 2. Il est donc indpendant d'IP. Il est formalis par le RFC 826.

Rsolution d'adresses en IPv4


Ce trafic mane en broadcast et se termine en Unicast.

http://www.cloudshark.org/captures/96a2bb5fe747?filter=arp

Variantes ARP
ARP Probe Gratuitous ARP : annonces sans tat Inverse ARP : obtenir l'IP partir l'adresse L2 (Frame-Relay) Reverse ARP : attribution d'adresse IP Proxy ARP : mandataire ARP (routeur), fonction que lon conseille de dsactiver.

Processus ARP

Empoisonnement de cache ARP

Neigbor Discovery
En IPv6, lusage dARP disparat (comme celui du broadcast). Cest ND (Neighbor Discovery) qui reprend entre autres cette fonction. ND est encapsul dans des paquets ICMPv6 euxmmes encapsuls dans de l'IPv6. En ce sens, pour cette fonction, IPv6 se suffit luimme, contrairement IPv4. Comme pour ARP, ND embarque bien dautres fonctions et dautres messages dun type nouveau.

Dcouverte de voisinage (IPv6)


1. NS en Solicited-Node Multicast (voir dia suivante) 2. NA en Unicast ou All-nodes Multicast (FF02::1)

Labs 6
1. Table ARP et table de voisinage (ipv6-nd) 2. Captures SLAAC, trafic DAD, trafic NUD :
http://www.cloudshark.org/captures/f8773b94180f? filter=icmpv6

goffinet@goffinet, Protocole IPv6, CC-BY

Adresse Solicited-Node Multicast


Au lieu dutiliser du broadcast pour joindre un hte dont on ne connat pas ladresse physique, IPv6 propose dutiliser une adresse Multicast inspire de cette adresse. Une adresse IPv6 Solicited-Node muliticast est cre en prenant les 24 dernier bits de l'adresse IPv6 connue (unicast) et en lui ajoutant le prfixe ff02:0:0:0:0: 1:ff00::/104 Un hte doit joindre une adresse Solicited-Node multicast pour chaque adresses unicast ou anycast configure. Par exemple fc00::1/64 sera joint par ff02::1:ff00:1. fe80::2aa:ff:fe28:9c5a sera joint par ff02::1:ff28:9c5a. Ladresse MAC correspondante prendra le 33:33:FF suivant des 24 derniers bits de ladresse IPv6 demande. ff02::1:ff00:1 correspond 33:33:FF:00:00:01 fe80::2aa:ff:fe28:9c5a correspond 33:33:FF:28:9C:5A

Leon 8
Scurits L1, L2, L3, L7

Objectifs de la leon 8
Ouvrir la discussion sur les sujets suivants :
Le cblage structur Les temptes de broadcast et STP, ses variantes Solutions de disponibilit Etherchannel, HSRP, Routage dynamique VLANs Scurit sur les ports Protocoles Cisco et autres Cisco IPv6 First Hop Security

Cblage structur
http://softnews.unblog. fr/files/2009/07/ccna1csfr.pdf

Temptes de broadcast
Les boucles physiques apportent la redondance l'infrastructure Dans un rseau boucl, le trafic de diffusion sort par tous les ports sauf celui d'origine de manire indfinie. En effet, les trames Ethernet n'ont pas de dure de vie. La solution est : couper la boucle = dbrancher le cble

Spanning-Tree
Spanning-Tree est un protocole L2 formalis IEEE 802.1D qui permet de garder une topologie physique redondante tout en crant un chemin logique unique. Spanning-Tree envoie rgulirement des annonces (BPDU) pour lire un commutateur principal (root). En fonction de cette information, les commutateurs "coupent" des ports et une topologie de transfert chemin unique converge (de quelques secondes 50 secondes selon les versions).

Variantes STP

Spanning-Tree (STP) PVST+ Rapid Spanning-Tree (RSTP) PVRST+ MIST

IEEE 802.1D STP Cisco IEEE 802.1w RSTP Cisco IEEE 802.1s

Disponibilit
Couche Protocole/Solutions L2 L2 L3 Rapid Spanning Tree Etherchannel First Hop Redundancy Protocols comme HSRP, VRRP, GLBP Protocoles de routage Dlais de reprise
Quelques secondes Plus ou moins 1 seconde pour rediriger le trafic sur un lien alternatif 10 secondes par dfaut (Cisco) mais le constructeur conseille 1s hello time, 3s Hold Time En dessous de la seconde avec OSPF ou EIGRP bien configurs au niveau des compteurs

L3

Scurit sur les ports


Sur du matriel Cisco on peut configurer la scurit sur les ports : MAC autorises sur un port (nombre) Une action en cas de violation (protect, restrict, shutdown). Apprentissage statique ou dynamique (sticky).

Technologie VLAN
Les technologies VLANs virtualisent un LAN. La virtualisation d'un LAN consiste en la sparation entre, d'une part, l'infrastructure physique et, d'autre part, les services de couche 2 liaison de donnes fournis par les commutateurs. Soit une seule infrastructure physique supporte plusieurs LAN distincts.

Topologie VLAN de base

VLANs
La technologie VLAN (LAN virtuel) permet de : grer maintenir plusieurs LANs (spars par du routage) sur une seule et mme infrastructure physique commute un VLAN = un commutateur virtuel sur plusieurs commutateur physiques un VLAN = un domaine de diffusion

Avantages/Inconvnients VLANs
Pros :
Flexibilit : allocation dynamique des utilisateurs dans un rseau indpendemment de l'emplace Indpendance L1 Facilit de gestion Performances : diminution de la taille des domaines de collision Scurit Cot

Cons :
Infrastructure/Hardware Comptences

Protocoles Cisco et autres


Protocole de voisinage : Cisco Discovery Protocol (CDP), Link Layer Discovery Protocol (LLDP) IEEE 802.1AB Agrgation de liens : Etherchannel, Link Aggregation Control Protocol (LACP) Unidirectional Link Detection (UDLD) Gestion des VLANs : VLAN Trunking Protocol (VTP), Dynamic Trunking Protocol (DTP), Multiple VLAN Registration Protocol (MVRP) IEEE 802.1ak Redondance de passerelle : HSRP, GLBP, VRRP, CARP Alimentation par le cble : PoE IEEE 802.1af

Cisco IPv6 First Hop Security


A database table of IPv6 neighbors connected to the switch is created from information sources such as Neighbor Discovery (ND) protocol snooping. This database, or binding, table is used by various IPv6 guard features (such as IPv6 ND Inspection, per-port address limit, IPv6 device tracking) to validate the link-layer address (LLA), the IPv4 or IPv6 address, and prefix binding of the neighbors to prevent spoofing and redirect attacks. IPv6 ND Inspection learns and secures bindings for stateless autoconfiguration addresses in layer 2 neighbor tables. IPv6 ND inspection analyzes neighbor discovery messages in order to build a trusted binding table database, and IPv6 neighbor discovery messages that do not conform are dropped. Router advertisements (RAs) are used by routers to announce themselves on the link. IPv6 RA Guard analyzes these RAs and can filter out bogus ones sent by unauthorized routers. The per-port address limit feature enables an operator to specify a maximum number of IPv6 addresses allowed on a port of the switch. This function is achieved by filtering out ND messages sourced with addresses beyond the per-port address limit. IPv6 Device Tracking provides IPv6 host liveness tracking so that a neighbor table can be immediately updated when an IPv6 host disappears. The Secure Neighbor Discovery for Cisco IOS Software feature is designed to counter the threats of the ND protocol. Secure neighbor discovery (SeND) defines a set of neighbor discovery options and two neighbor discovery messages. SeND also defines a new autoconfiguration mechanism to establish address ownership. The IPv6 PACL feature adds IPv6 port-based ACL support.

Activits pratiques
Laboratoires

Activits pratiques
Connectique TIA/EIA 568B Cahier des charges pour une infrastructure commute (choisir son commutateur et ses interfaces) Interprtation des diffrentes tables ARP (Cisco, Linux, Windows) CAM (Cisco) Routage (Cisco, Linux, Windows) arping et arpwatch avec Kali sous VMWare ou VirtualBox Capture Wireshark Configuration LAN PME Implmentation ARP Poisoning (Cain, Ettercap, Yersinia, scapy, dnsniff) http://hakipedia.com/index.php/Category:Network_Security Configuration de la scurit sur les ports en contre-mesure Manipulation du commutateur Linux brctl OpenVswitch Projet simulateur vnd (Virtual Network Device)