Introduction au réseau WAN :
config globale)
Un réseau WAN est un réseau de
communication de données qui couvre une
zone géographique étendue, comme un
département, une région ou un pays par
exemple.
Caractéristiques :
Ils relient des équipements géographiquement
éloignés.
Ils utilisent divers types de connexions série
pour accéder à la bande passante.
Un réseau WAN fonctionne au niveau de la
couche physique et de la couche liaison de
données du modèle de référence OSI.
Les équipementsutilisés dansunWAN :
Des routeurs, POUR l’interconnexion.
Les «modems» pour des services
d’interface de qualité voix, des unités
CSU/DSU servant d’interface pour les services
T1-E1 …
Des serveurs de communication, qui
concentrent les communications utilisateur
entrantes et sortantes via le RTC.
Les protocoles de liaison de données WAN
spécifient la façon dont les trames sont
transportées entre les systèmes sur une même
liaison. Il s’agit notamment des protocoles
conçus pour fonctionner avec des services
point à point, multipoints et commutés multi-
accès, tels que les services Frame Relay.
Introduction aux routeurs dans un réseau WAN
Un routeur est un type spécial d’ordinateur. Il
possède les mêmes composants de base qu’un
ordinateur de bureau standard. Il est doté d’un
processeur, de mémoire, d’un système de bus,
ainsi que de diverses interfaces d’entrée/sortie.
Les principaux composants internes d’un
routeur:
UC: Le processeur (UC) ,Ses principales
fonctions sont l’initialisation du système, le
routage et le contrôle de l’interface réseau.
La mémoire vive (RAM):elle contient les
tables de routage/le cache ARP/ la mémoire
cache à commutation rapide/effectue la mise
en mémoire tampon des paquets / gère les files
d’attente de paquets/sert de mémoire
temporaire pour le fichier de configuration/perd
son contenu à la mise hors tension ou au
redémarrage du routeur.
La mémoire vive rémanente (NVRAM)
: assure le stockage du fichier de configuration
de démarrage/conserve son contenu à la mise
hors tension ou au redémarrage du routeur.
La mémoire flash : contient l’image du
système d’exploitation (IOS/permet de mettre à
jour le logiciel sans suppression ni
remplacement de puces/conserve son contenu
à la mise hors tension ou au redémarrage du
routeur,
elle peut stocker plusieurs versions de la plate-
forme logicielle IOS
La mémoire morte (ROM) : gère les
instructions du test automatique de mise sous
tension (POST)/stocke le programme
d’amorçage (bootstrap) et le logiciel de
système de base
Bus: Les routeurs comportent un bus système
et un bus processeur/Le bus système est utilisé
pour transférer les paquets vers et depuis les
interfaces. le bus processeur est utilisé pour
transfère les instructions et les données vers ou
depuis les adresses mémoire spécifiées.
Les interfaces :
elles connectent le routeur au réseau pour
l’entrée et la sortie des paquets, elles peuvent
se trouver sur la carte mère ou sur un module
séparé.
Les connexions externes des routeurs:
Le routeur possède trois types d’interfaces:
LAN, WAN et Console/AUX.
Les interfaces LAN (Ethernet ou Token Ring
standard …).
Les interfaces WAN (ports série, RNIS et une
unité de transmission de données (CSU).
Les ports de gestion sont des ports série
utilisés pour la configuration initiale (Aux,
Console …)
Connexiondesportsdegestion:
Pour le dépannage, il est préférable d'utiliser le
port console plutôt que le port auxiliaire, car il
permet par défaut d'a fficher les messages de
démarrage, de débogage et les messages
d’erreur du routeur.
Connexion des interfaces en modeconsole:
Le port console est un port de gestion qui
fournit un accès hors bande au routeur. Il est
utilisé pour la configuration initiale du routeur,
pour la surveillance, et pour les procédures de
reprise après sinistre.
Pour connecter le PC à un routeur:
1Con figurez le logiciel d’émulation de terminal
sur le PC pour: Le port COM approprié
9600 bauds ; 8 bits de données
Aucune parité ;1 bit d’arrêt ;Aucun contrôle de
flux
2. Connectez le connecteur RJ-45 du câble à
paires inversées au port console du routeur.
3 Connectez l’a utre extrémité du câble à paires
inversées à l’adaptateur RJ-45 à DB-9.
4 Connectez l’a daptateur DB-9 femelle à un PC.
Typesde réseau WAN:
Ligne louè/a commutation de circuits/a
commutation de paquets
RouteursderéseauxLAN &WAN :
Les deux fonctions principales d'un routeur
sont de sélectionner le meilleur chemin
pour les paquets et de commuter ces paquets
vers l'interface appropriée.
Rôled’unrouteurdansunréseauWAN:
Les caractéristiques qui distinguent un réseau
WAN d’un réseau LAN se situent en général au
niveau de la couche physique et de la couche
liaison de données. Autrement dit, les normes
et les protocoles des couches 1 et 2 des
réseaux WAN sont différents de ceux des
mêmes couches des réseaux LAN.
La couche physique WAN décrit l’interface
entre l’ETTD ( équipement terminal de
traitement de données) et l’ETCD
( équipement de terminaison de circuit de
données). En règle générale, l’ETCD est le
réseau du fournisseur d’accès et l’ETTD, l’unité
connectée.
liens:
Le rôle principal d'un routeur dans un
WAN n'est donc pas le routage, mais la
compatibilité des connexions vers et entre les
diverses normes physiques et de liaison de
données d’un réseau WAN.
normes etprotocolesde la couche physique
WAN:
EIA/TIA-232 ;V.24,V.35 ;X.21 ;RNIS ;T1, T3, E1
et E3 xDSL ;SONET
Normesetprotocolesde lacouche liaison de
données WAN:
HDLC (High-level Data Link Control) Frame
Relay
PPP (protocole point à point)
SDLC (Synchronous Data Link Control) SLIP
(Serial Line Internet Protocol)
X.25,ATM
L’objectif de la plate-forme logicielle Cisco IOS
L’IOS fournit les services réseau suivants:
-fonctions de routage et de commutation de
base
-accès fiable et sécurisé aux ressources en
réseau
-évolutivité du réseau.
Démarrage initial des routeurs Cisco
Les routines de démarrage effectuent les
opérations suivantes :
-vérifier que le matériel de routeur a été testé
et est opérationnel (POST).
-trouver et charger l’IOS.
-trouver et appliquer le fichier de configuration
de démarrage
1 le routeur exécute un test POST en
exécutant les diagnostics chargés en mémoire
ROM. (le fonctionnement de base du
processeur, de la mémoire et des ports
d'interface réseau).
2 le chargeur de bootstrap générique de
la mémoire ROM s’exécute pour initialiser
l’IOS
« selon la valeur du registre de configuration ».
Lorsque l’IOS est chargé et opérationnel,
une liste des composants matériels et
logiciels s’affiche sur l’écran.
3Le fichier de configuration stocké dans la
mémoire NVRAM est chargé dans la mémoire
principale, puis il est exécuté ligne par ligne
(protocoles, adresses, services …).
Sinon (pas de fichier en NVRAM), le
système d’exploitation recherche un serveur
TFTP
disponible. S’il n’en trouve aucun, le dialogue de
configuration (SETUP) est établi.
Introduction au protocole CDP
CDP (Cisco Discovery Protocol) est un
protocole de couche 2 qui relie des médias
physiques de niveau inférieur et des protocoles
de couche réseau de niveau supérieur.
Il permet d’obtenir des informations sur les
équipements voisins.
Une trame CDP est de petite taille ne
surchargeant pas les réseaux.
CDP démarre de façon automatique et permet
à l’équipement de détecter les équipements
voisins qui exécutent comme lui ce
protocole.
Chaque équipement configuré pour CDP
envoie périodiquement des messages,
appelés annonces, aux équipements réseau
directement connectés. Les annonces
contiennent également des informations de «
durée de vie » ou durée de conservation,
indiquant pendant combien de temps les
équipements récepteurs doivent conserver les
informations CDP avant de les éliminer.
CDP fournit des informations sur chaque
équipement CDP voisin en transmettant des
TLV ( Type Length Value ), c’est-à-dire des blocs
d’informations incorporés dans des annonces.
Introduction à Telnet :
Telnet est un protocole de couche 7 du modèle
OSI « sous forme d’une commande
EXEC de l’IOS » qui sert à établir une connexion
à distance.
On peut utiliser Telnet pour se connecter à des
hôtes distants pour le but de :
-configurer des équipements réseau à distance
-tester la connectivité (parce que Telnet offre
un test complet)
Telnet s’appuie sur l’utilisation du protocole TCP
au niveau de la couche Transport. Les
commandes Telnet peuvent être exécutées en
mode utilisateur ou en mode privilégié
Causes d’échec de la connexion telnet :
-problèmes spécifiques d'adressage
-Problèmes attribution de noms
-Problèmes d’autorisation d'accès
Dans ce cas, essayez d’exécuter la commande
ping ou tracert (pour connaitre la cause)
Le nombre de sessions ouvertes simultanément
est défini par la commande session limit
Tests de connectivité alternative
Ping :
La commande ping permet de tester la
connectivité de bout en bout.
Cette opération peut être exécutée en mode
utilisateur ou en mode privilégié.
Les points d'exclamation (!) indiquent
chaque écho réussi.
Un point (.) signifie que l'a pplication de
votre routeur a été temporisée.
Traceroute :
La commande trac er out e permet de tester
chaque étape de l’acheminement.
Cette opération peut être exécutée en mode
utilisateur ou en mode privilégié.
Si l’un de ces routeurs est inaccessible, trois
astérisques s’affichent (*) à la place du nom du
routeur.
Show ip route :
Pour déterminer s’il existe une entrée
correspondant au réseau cible dans la table de
routage.
Comment un équipement Cisco localise et
charge l’IOS ?
L’ordre suivant lequel le routeur cherche les
informations de bootstrap est déterminé par
la valeur du champ d’a morçage du registre de
configuration.
Con fig-r egist er {valeur en hexa} Modifier
la valeur du registre de configuration (mode de
routeur qui
Le registre de configuration est un registre de 16 Surcharge du système (Processeurs) Mémoire détecte une modification topologique envoie
bits qui se trouve dans la mémoire NVRAM. Les requise. immédiatement un message de mise à jour
quatre derniers bits du registre de Consommation de bande passante aux routeurs adjacents qui, à leur tour,
configuration forment le champ d’amorçage Vue d'ensemble des protocoles de routage génèrent des mises à jour déclenchées pour
(affiché par la commande Show vers i on ) Un routeur détermine le chemin que doit signaler la modification à leurs routeurs voisins
Modification du champ d’amorçage : emprunter un paquet entre deux liaisons à l’aide (sans attendre l'expiration du délai du compteur
Il faut passer en mode moniteur ROM des deux fonctions de base suivantes: de mise à jour).
amorcer manuellement en entrant la la détermination du chemin, la commutation. Compteurs de retenue
commande b à l’invite du mode. Le routeur se sert de la table de routage pour Le principe : Lorsqu'un routeur reçoit une mise
Changer la valeur noté X seulement « 0xnnnX déterminer le meilleur chemin et transmet ensuite à jour d'un routeur voisin lui indiquant qu'un
» au registre de configuration selon le le paquet en utilisant la fonction de commutation. réseau auparavant accessible est devenu
besoin. Il utilise la portion réseau de l’adresse pour inaccessible, il marque la route comme étant
IFS :À compter de la version 12 de l’IOS, les sélectionner le chemin. inaccessible et déclenche un compteur de
routeurs utilisent le système de fichiers (IFS). La commutation est le processus interne retenue.
L’IFS fournit une méthode unique pour la qu’utilise un routeur pour accepter un paquet sur Si, avant l'expiration du délai de retenue
gestion de l’ensemble des systèmes de une interface et le transmettre à une deuxième (période de gel), une mise à jour provenant
fichiers utilisés par un routeur (Système de interface sur le même routeur. d'un autre routeur voisin indique une métrique
fichier de mémoire lash, des systèmes de Protocoles de routage: inférieure, elle est ignorée.
fichiers Les protocoles suivants sont des exemples de Disposer de plus de temps pour transmettre à
réseau (TFTP, RCP et FTP) et des systèmes protocoles de routage IP : l'ensemble du réseau les informations relatives à
de fichier de lecture ou d’é criture de Le protocole RIP (RoutingInternet Protocol) : une modification perturbatrice.
données (NVRAM, configuration courante, ROM). un protocole de routage à vecteur de distance. Le protocole RIP :
IFS utilise la convention URL pour spécifier les Il utilise le nombre de sauts comme métrique pour Introduction au RIP :
fichiers sur les unités du réseau. La convention la sélection du chemin. Si le nombre de sauts est Le protocole RIP comprend 2 versions : RIP v1 et
URL identifie l’emplacement des fichiers de supérieur à 15, le paquet est éliminé. RIP v2
configuration à la suite du point- virgule sous la Par défaut, les mises à jour du routage sont La version RIP v2 présente les améliorations
forme diffusées toutes les 30 secondes. suivantes:
[[[//emplacement]/répertoire]/nomdefichier]. Le protocole IGRP (Interior Gateway Routing Possibilité de transmettre des informations
Présentation du routage :Le routage est le Protocol) supplémentaires. Mécanisme d’authentification.
processus qu’un routeur utilise pour transmettre un protocole propriétaire développée par Cisco. un Prise en charge des masques de sous-réseau de
des paquets vers un réseau de destination. protocole de routage à vecteur de distance. longueur variable (VLSM).
Un routeur prend des décisions en fonction de La bande passante, la charge, le délai et la fiabilité Le protocole RIP envoie des messages de mise à
l’adresse IP de destination d’un paquet. (une métrique composite). Par défaut, les mises à jour de routage à intervalles réguliers. Les
Lorsque les routeurs utilisent le routage jour du routage sont diffusées toutes les 90 routeurs RIP conservent uniquement la meilleure
dynamique , ces informations sont fournies par les secondes. route vers une destination mais ils peuvent
autres routeurs. Lorsque le routage statique est Le protocole OSPF (Open Shortest Path First) également gérer plusieurs chemins de coût égal
utilisé, un administrateur réseau configure un protocole de routage à état de liens. vers une destination.
manuellement les informations sur les réseaux C’est un protocole de routage de norme ouverte Utilisation de la commande ip classless
distants. Il utilise l’a lgorithme SPF pour calculer le coût le Absence de la commande ip classless :
Utilisation de la route statique plus bas vers une destination. Par défaut, un routeur suppose que tous les
La distance administrative est un paramètre Les mises à jour du routage sont diffusées à sous-réseaux d’un réseau directement connecté
optionnel qui donne une mesure de la fiabilité de mesure des modifications de topologie. doivent se trouver dans la table de routage. Si
la route. Plus la valeur de la distance Le protocole EIGRP (Enhanced IGRP) un paquet reçu comporte une adresse de
administrative est faible et plus la route est un protocole de routage à vecteur de distance destination inconnue dans un sous-réseau
fiable . amélioré (Cisco). Il utilise l'équilibrage de charge inconnu d’un réseau directement attaché, le
La distance administrative par défaut est 1 quand en coût différencié. routeur suppose que le sous-réseau n’existe pas.
on utilise une route statique (Entre 0 et 255) Il utilise une combinaison de fonctions à vecteur Le routeur abandonnera donc le paquet même s’il
Un protocole de routage est le système de de distance et à état de liens. existe une route par défaut.
communication utilisé entre les routeurs, il Il utilise l’a lgorithme DUAL (DiffusingUpdate Avec l’utilisation de la commande ip
permet à un routeur de partager avec d’autres Algorithm) pour calculer le chemin. Les mises à classless :
routeurs des informations sur les réseaux qu’il jour du routage sont diffusées en mode multicast Le routeur ignore les frontières entre les classes
connaît (mises à jour des tables de routage). en utilisant l’adresse de réseaux au sein de sa table de routage et
Un protocole routé sert à diriger le trafic 224.0.0.10 et sont déclenchées par des acheminer tout simplement les données vers la
utilisateur. Il fournit suffisamment d’informations modifications topologiques. route par défaut.
dans son adresse de couche réseau pour Le protocole BGP (Border Gateway Protocol) La commande ip classless est activée par
permettre l’acheminement d’un paquet d’un hôte Il s'agit d'un protocole de routage extérieur à défaut à partir de la version 11.3 de l’I OS.
à un autre en fonction de la méthode vecteur de distance. Router(config)#ip classless pour activer la
d’adressage. Il est utilisé pour la connexion entre les FAI ou fonction ip classless
Systèmes autonomes entre les FAI et les clients. Router(config)#no ip classless pour
Un système autonome est un ensemble de Il est utilisé pour acheminer le trafic Internet entre désactiver la fonction ip classless
réseaux gérés par un administrateur commun des systèmes autonomes. Problèmes de configuration RIP fréquents
et partageant une stratégie de routage Protocole IGP & EGP : «Routage par rumeur» Les routeurs
commune. IGP Protocoles utilisés à l’intérieur d’un doivent se fier aux routeurs voisins pour
Les systèmes autonomes (AS) assurent la Système autonome. obtenir les informations réseau dont ils n’ont pas
division de l’interréseau global en réseaux plus EGP Protocoles utilisés entre les Systèmes connaissance directement (RIP).
petits et plus faciles à gérer autonomes. On rencontre des problèmes de boucles de
Fonctionnement du routage dynamique : Les protocoles de routage passerelle
et de métrique
extérieurs
de mesure infinie. IP
Le protocole de routage prend connaissance de Une liste des routeurs voisins avec lesquels Router(config-if)#no ip split-horiz on Pour
toutes les routes disponibles. Il insère les échanger des informations de routage. désactiver la fonction split horiz on:
meilleures routes dans la table de routage et Une liste de réseaux à annoncer comme étant La valeur par défaut du compteur de retenue
supprime celles qui ne sont plus valides. directement accessibles. RIP est de 180 secondes. Il est possible de
Chaque fois que la topologie du réseau est Le numéro du système autonome du routeur local. diminuer le compteur de retenue pour améliorer
modifiée (la croissance, reconfiguration ou une Problèmes liés aux boucles de routage à vecteur la convergence.
panne), la base de connaissances du réseau doit de distance Dans l’idéal, il faudrait que la valeur du
également être modifiée. Convergence lente tables de routage compteur corresponde au plus long temps de
Lorsque tous les routeurs d’un interréseau incohérentes Des boucles de routage. mise à jour possible pour l’interréseau.
reposent sur les mêmes connaissances, on 1. dit
Supposons que le meilleur chemin du routeur C Équilibrage de charge RIP
de l’interréseau qu’il a convergé. vers le réseau 1 passe par le routeur B L’équilibrage de charge est un concept
Une convergence rapide est préférable, car elle (distance=3). permettant à un routeur de bénéficier de
réduit la période au cours de laquelle les 2. Lorsque le réseau 1 tombe en panne, le plusieurs « meilleurs chemins » vers une
routeurs prennent des décisions de routage routeur E envoie une mise à jour au destination donnée.
incorrectes ou inefficaces. routeur A. Ce dernier cesse d’acheminer des RIP est capable de gérer un équilibrage de
Identification des classes des protocoles de paquets vers le réseau 1, mais les charge sur plus de six chemins de coût égal avec
routage routeursB,C et D contin u en t de l esacheminer car ils quatre chemins par défaut.
Il existe 2 grandes catégories : n’ont pas encore été informés de la panne. Par défaut, BGP n’autorise qu’un seul chemin
- vecteur de distance Lorsque le routeur A transmet sa mise à jour, les vers une destination.
- état de liens routeurs B et D cessent d'acheminer des paquets L’astérisque (*) signale la route active utilisée
Le routage à vecteur de distance détermine la vers le réseau 1. Toutefois, lerouteur Cn'a toujo urs pour le nouveau trafic.
direction (vecteur) et la distance jusqu’à une pasreçu demiseà jour. Pour lui, le réseau 1 est Remarque : Lorsqu’un routeur apprend plusieurs
liaison quelconque de l’i nterréseau. toujours accessible via le routeur B. routes vers un réseau spécifique, c’e st la route
L’approche à état de liens, également 3. À présent, le routeur C envoie une mise à jour avec la distance administrative la plus courte qui
appelée routage par le chemin le plus périodiqueau routeur D pour lui indiquer un est ajoutée à la table de routage.
court, recrée la topologie exacte de l'intégralité chemin vers le réseau 1 passant par le routeur B. méthodes d’équilibrage de charge :
du réseau. Le routeur D modifie sa Équilibrage de charge par paquet
Fonctions du protocole de routage à vecteur table de routage pour refléter cette information Équilibrage de charge par destination (par
de distance erronée et la transmet au routeur A. Ce dernier défaut)
Les algorithmes de routage à vecteur la transmet à son tour aux routeurs B et E, et ainsi Si le processus de commutation est activé, le
de distance (algorithmes Bellman-Ford) de suite. routeur peut changer de chemin à chaque
transmettent régulièrement des copies de table Tous les paquets destinés au réseau 1 nouveau paquet.
de routage d’un routeur à l’autre. génèrent alors une boucle à partir du routeur Par défaut la commutation «Fast Switching» est
Chaque routeur reçoit l’intégralité des tables de C activée une seule des routes sera mise en
routage des routeurs voisins auxquels il est vers les routeurs B, A et D, qui revient au routeur mémoire cache pour l’adresse de destination et
directement connecté. C. les paquets de la trame acheminés vers un hôte
L’algorithme cumule les distances afin de tenir à Solutions pour éviter les boucles de routage : spécifique prendront tous le même chemin. Les
jour la base de données contenant les Définition d'une valeur maximale paquets en route vers un hôte différent sur le
informations sur la topologie du réseau. Le principe : définir une valeur de métrique même réseau peuvent utiliser une autre route.
Chaque routeur voit uniquement ses voisins (ne maximale, le protocole de routage permet à la Intégration des routes statiques avec le protocole
connait pas la topologie exacte). La distance boucle de routage d'e xister jusqu'à ce que RIP
entre l’interface et chaque réseau directement la métrique dépasse la valeur maximale Un routeur RIP peut recevoir une route par
connecté est égale à 0. autorisée réseau considéré inaccessible. défaut (passerelle de dernier recours) via une
Fonctions du protocole de routage à état de La fonction split horizon mise à jour envoyée par un autre routeur RIP. Le
liens le principe : Si une mise à jour de routage routeur peut aussi générer lui-même la route par
Les algorithmes à état de liens (algorithme de relative au réseau 1 arrive du routeur A, le défaut.
Dijkstra ou algorithme SPF) gèrent une base de routeur B ou D n'e st pas en mesure de Il est possible d’indiquer qu’une route statique
données complexe d’i nformations topologiques renvoyer au routeur A les informations est moins recommandée qu’une route apprise de
(complète sur les routeurs distants et leurs relatives au réseau 1. façon dynamique ( route statique flottante) si
interconnexions). Réduire les informations de routage erronées + la distance administrative pas défaut de la route
Le routage à état de liens utilise les éléments réduire la charge de routage statique est supérieure à celle de la route
suivants : Mode poison reverse dynamique.
Mises à jour de routage à état de liens Le principe : le routeur détectant une panne, Remarque : Les routes statiques qui
(LSA) – un petit paquet d’informations de passe en mode poison reverse en créant une pointent vers une interface seront
routage qui est transmis entre les routeurs. entrée de table de métrique supérieure à la annoncées via le routeur RIP propriétaire de la
Base de données topologique – un ensemble métrique maximale autorisée (inaccessible) pour route statique et ces routes seront propagées via
d’informations rassemblées à partir des mises à ce réseau. l’interréseau.
jour de routage à état de liens. Lorsque les voisins reçoivent un message poison Redi stribut e sta tic pour annoncer les routes
Algorithme SPF – L’algorithme du plus court reverse, ils renvoient au routeur d’origine une statiques dans les mises à jour RIP.
chemin d’abord (SPF) est un calcul effectué sur la mise à jour poison reverse (s'assurer que toutes Lorsqu’une interface tombe en panne, toutes
base de données qui génère un arbre SPF. les routes du segment ont bien reçu les les routes statiques pointant vers cette interface
Tables de routage – Une liste des chemins et informations sur la route inaccessible). sont supprimées de la table de routage IP.
des interfaces connus. Les mises à jour déclenchées Le protocole IGRP :
Considérations relatives au routage à état de Le principe : Le Caractéristiques du protocole IGRP :
 Polyvalence : traiter automatiquement des L’adresse de couche 3 est utilisée pour Conversations multiples entre hôtes listes de contrôle d’accès : any et host . Au moment de configurer les listes de contrôle
topologies complexes. acheminer le paquet du réseau source au Un numéro de port doit être associé à la Any remplace 0.0.0.0 dans l’a dresse IP et d'accès il faut identifier chaque liste de protocole
Flexibilité : la segmentation avec des réseau de destination. Les adresses IP d’origine conversation entre les hôtes pour garantir que le 255.255.255.255 dans le masque générique. en lui attribuant un numéro unique.
caractéristiques en termes de BP et de délai et de destination restent identiques. L’adresse paquet atteint le service approprié sur le serveur Cette option établit une correspondance avec .
Évolutivité : fonctionner sur des réseaux de très MAC change à chaque saut ou routeur. (un serveur qui joue plusieurs rôles par toute adresse avec laquelle elle est comparée.
grande taille Détermination de la distance administrative de exemple). H ost remplace le masque 0.0.0.0. Ce
Métriques du protocole IGRP : la route Tcp (http 80)(ftp 21) ( telnet 23) (smtp 25) (dns masque nécessite une correspondance parfaite
Métriques utilisés : Bande passante, Délai, La distance administrative est un nombre qui 53) udp ( tftp 69) (snmp 161) (rip 520) entre tous les bits de l’adresse ACL et ceux de
Charge, Fiabilité. mesure la fiabilité de la source des Exemple de sessions multiples entre des hôtes l’adresse du paquet. Avec cette option, une seule
Bande passante : Valeur de bande passante la informations de route. Plus la distance Un hôte peut établir une connexion telnet sur le adresse concorde.
plus faible sur le chemin administrative est petite, plus la source est port 23 tout en surfant sur Internet via le port 80. Remarque : Le masque de sous-réseaux et
Délai : Délai d'interface global le long du fiable. Les adresses IP et MAC sont identiques car les le masque générique représentent deux
chemin Détermination de la métrique de la route paquets proviennent du même hôte. choses différentes même s'ils sont tous les deux
Fiabilité : Fiabilité de la liaison vers la La métrique est une valeur qui mesure les Chaque conversation côté source a besoin de appliqués à des adresses IP
destination avantages d’une route. Plus cette valeur est son propre numéro de port. Exemple de calcul des masques génériques
Charge : Charge d'une liaison vers la petite, meilleur est le chemin. Comparaison des adresses MAC, des adresses IP et prise des décisions :
destination, en bits par seconde. Tests réseau : et des numéros de port L’ACL configurée Access-list 1 permit
IGRP utilise par défaut la bande passante et le Test sur la base des couches OSI Les numéros de port sont situés au niveau de la 172.16.0.0 0.0.255.255
délai comme métriques. Les erreurs peuvent être identifiées au couche transport et sont desservis par la Supposons qu’un paquet entrant de la source
Routes IGRP : niveau de la couche 1 : couche réseau. La couche réseau affecte 172.17.1.1
Le protocole IGRP annonce trois types de Câbles rompus l’adresse logique (adresse IP) et est ensuite @ IP (172.16.0.0) : 10101100.00010000.0000
routes: Câbles déconnectés desservie par la couche liaison de données qui Masque générique (0.0.255.255) : 00000000.00000000.xxxxx
Intérieure : sont des routes situées entre les Câbles raccordés à des ports inappropriés affecte l’a dresse physique (adresse MAC). Valeur de correspondance 1 : 10101100.00010000.xxxx
sous-réseaux d'un réseau relié à une interface Connexions instables Numéro de port, adresse IP, adresse MAC, @ IP (172.17.1.1) : 10101100.00010001.0000
de routeur. Si le réseau relié à un routeur Câbles inappropriés (câbles console, croisés et numéro de port Masque générique (0.0.255.255) : 00000000.00000000.xxxxx
n'est pas divisé en sous-réseaux, le protocole droits) Problèmes d’émetteur-récepteur Analogie : Le processus s’apparente à l’envoi Valeur de correspondance 2 : 10101100.00010001.xxxx
IGRP n'annonce pas les routes intérieures. Problèmes de câblage ETCD Problèmes de d’une lettre normale. Pas de correspondance paquet refusé.
Système : sont les routes menant à d'autres câblage ETTD Unités hors tension Notions de base sur les ACL : Listes de contrôle d’accès (ACL)
réseaux au sein d'un système autonome. Elles Les erreurs peuvent être identifiées au Définition des listes de contrôle d’accès Listes de contrôle d’accès standard
ne contiennent pas d'information sur les sous- niveau de la couche 2 : Les listes de contrôle d’accès sont des listes Les listes d’accès standard vérifient l’adresse
réseaux. Interfaces série configurées de façon incorrecte de conditions qui sont appliquées au trafic d’origine des paquets IP qui sont routés.
Extérieure : sont des routes menant à des Interfaces Ethernet configurées de façon circulant via une interface de routeur. Ces La plage additionnelle (1300 à 1999) « ACL
réseaux extérieurs au système autonome, et incorrecte Ensemble d’encapsulation listes indiquent au routeur les types de IP expansées » utilisée afin de procurer un
qui sont utilisées lorsqu'une passerelle de inapproprié paquets à accepter ou à rejeter. maximum de 798 nouvelles ACL standards
dernier recours est envisagée Fréquence d’horloge inappropriée pour les Certaines conditions dans une ACL sont des (version 12.0)
Caractéristiques de stabilité du protocole IGRP interfaces série adresses source et de destination, des Listes de contrôle d’accès étendues
Le protocole IGRP offre plusieurs fonctions Problèmes de carte réseau (NIC) protocoles et des numéros de port de couche Elles fournissent une plus grande gamme de
conçues pour améliorer sa stabilité, notamment Les erreurs peuvent être identifiées au supérieure. contrôle.
: niveau de la couche 3 : Gérer le trafic + sécuriser l’a ccès d’un réseau en Elles vérifient les adresses d’origine et de
- les Gels : Lorsqu'un routeur tombe en panne, Protocole de routage non activé Protocole de entrée comme en sortie. destination du paquet, mais peuvent aussi
les routeurs voisins le détectent grâce à routage incorrect activé Adresses IP incorrectes Des ACL peuvent être créées pour tous les vérifier les protocoles et les numéros de port.
l'absence de messages de mise à jour Masques de sous-réseau incorrects protocoles routés, tels qu’IP et IPX. Exemple : Une liste de contrôle d’accès étendue
périodiques. Il est préférable de commencer les tests par la Une ACL séparée doit être créée pour chaque peut autoriser le trafic de messagerie issu de
- Split Horizon. couche 1, jusqu’à la couche 7 si nécessaire. direction : une pour le trafic entrant et une l’interface Fa0/0 vers des destinations S0/0
- Poison reverse. Dépannage de la couche 7 à l’aide de la pour le trafic sortant. données tout en refusant des transferts de
- Gestion des compteurs . commande Telnet Les principales raisons pour créer des listes fichiers et des navigations sur le Web.
Les compteurs sont : un compteur de mise Telnet est un protocole de terminal virtuel de contrôle d’accès : Pour une même liste de contrôle d’accès,
à jour, un compteur de temporisation, un qui permet de vérifier le logiciel de la Limiter le trafic réseau et accroître les plusieurs instructions peuvent être configurées.
compteur de retenue et un compteur couche application entre les stations d’origine et performances (limitant le trafic vidéo) Contrôler (Vous pouvez définir autant d’instructions
d'annulation. de destination. le flux de trafic. (limiter l’arrivée des mises à jour que vous le souhaitez, la seule limite étant
Le compteur de mise à jour indique la Une connexion Telnet réussie indique que de routage) la mémoire disponible sur le routeur).
fréquence d'e nvoi des messages de mise à jour l'application de couche supérieure, ainsi que les Fournir un niveau de sécurité d’accès réseau de Listes de contrôle d’accès nommées
du routage (par défaut 90 secondes). services des couches inférieures, fonctionnent base. Les listes de contrôle d’a ccès permettent à Les listes de contrôle d’accès nommées IP ont été
Le compteur de temporisation indique le laps correctement. un hôte d’accéder à une section du réseau tout introduites (version 11.2), afin d’attribuer des
de temps au bout duquel un routeur doit Lors la connexion via Telnet échoue, vérifiez ce en empêchant un autre hôte d’avoir accès à la noms aux listes d’accès standard et étendues à la
déclarer une route non valide en l'a bsence de qui suit : même section. place des numéros.
messages de mise à jour la concernant (par Une recherche DNS inverse sur l’adresse du Déterminer le type de trafic qui sera acheminé ou Avantages :
défaut 270 secondes). client peut-elle être trouvée ? Telnet ne puisse bloqué au niveau des interfaces de routeur. Identifier de manière intuitive une liste d’accès à
Le compteur de retenue indique le laps de pas négocier les options appropriées debug (autoriser l’acheminement des messages l’aide d’un nom alphanumérique. L’IOS ne limite
temps pendant lequel les informations relatives teln et électroniques et de bloquer tout le trafic via pas le nombre d’ACL nommées qui peuvent être
aux routes non optimales sont ignorées (par Telnet désactivé ou été déplacé vers un port Telnet). configurées.
défaut 280 secondes) autre que 23 sur le serveur de destination. Autoriser un administrateur à contrôler les zones Les ACL nommées permettent de modifier des
Le compteur d'annulation indique le laps de Dépannage des problèmes de routeur auxquelles un client peut accéder sur un réseau. listes de contrôle d’accès sans avoir à les
temps devant s'écouler avant la suppression Un extrait de la commande show interfaces Fonctionnement des listes de contrôle d’a ccès supprimer, puis à les reconfigurer.
d'une route dans la table de routage (par Serial 0/0 : Processus de routage dans un routeur Remarque : Un même nom ne peut pas être utilisé
défaut 630 secondes) Si un nombre croissant d’erreurs d’entrée Vérifier la correspondance (@ MAC) pour plusieurs listes de contrôle d’accès.
Présentation du protocole ICMP : apparaît dans ces informations, plusieurs Rechercher une ACL sur l’interface d’entrée Emplacement des listes de contrôle d’accès
ICMP (Internet Control Message Protocol) est facteurs peuvent être à l’origine de ces erreurs. Vérifier accepter ou rejeter le paquet Si le trafic est filtré, la liste de contrôle d’accès
le composant de la pile de protocoles TCP/IP Certains problèmes sont liés à la couche 1: Déterminer l’interface de destination (table de doit être placée à l’endroit où elle aura le plus
qui résout la limitation de base d’IP à garantir Équipement téléphonique défectueux routage) grand impact sur les performances.
que les données sont acheminées dans Ligne série parasitée Si le paquet est accepté router le paquet La règle générale est de placer les listes de
l’éventualité de problèmes de communication Câble inapproprié ou longueur de câble vers l’interface de partance. contrôle d’accès étendues le plus près possible de
réseau. incorrecte Vérifier l’ACL sur l’interface de destination la source du trafic refusé.
Signalement et correction des erreurs Câble ou connexion endommagé(e) accepter ou rejeter le paquet Pare-feu
L’ICMP est un protocole de signalement Unité CSU/DSU défectueuse Vérifier l’autorisation du paquet. Un pare-feu est une structure située entre
d’erreurs pour IP. Matériel de routeur défectueux Encapsuler le paquet (en trame) et l’Envoi à l’utilisateur et le monde extérieur afin de protéger
Un routeur qui n’arrive pas à router un paquet, Le nombre de réinitialisations d’interface l’unité suivante. le réseau interne des intrus.
il utilise ICMP «destination inaccessible » pour résultent d’un trop grand nombre de messages Règles doivent être respectées lors de la Dans l’architecture présentée, le routeur connecté
envoyer un message à la station de travail de test d’activité. Les problèmes de couche 1 création et de l’application des listes au réseau Internet, appelé routeur externe, oblige
(l’origine de paquet) lui indiquant que le suivants peuvent être à l’origine : d’accès : Une liste d’accès par direction et par tout le trafic entrant à passer par la passerelle
paquet n’a pas pu être acheminé. Une ligne incorrecte entraînant des transitions protocole. d’application. Le routeur connecté au réseau
Causes : de porteuse Les listes d’accès standard doivent être interne, appelé routeur hôte, accepte uniquement
- L’équipement émetteur peut adresser le Un problème matériel au niveau d’une unité appliquées le plus près possible de la destination. les paquets de la passerelle d’application. En fait,
datagramme à une adresse IP inexistante ou CSU/DSU ou d’un commutateur Les listes d’accès étendues doivent être la passerelle gère la livraison des services réseau
à un équipement de destination qui est Fonctionnement du protocole TCP appliquées le plus près possible de la source. vers le réseau interne et à partir de celui-ci.
déconnecté de son réseau. La couche transport assure avec fiabilité le Pour faire référence à une interface d’e ntrée ou Les listes de contrôle d’accès doivent être
- une interface de connexion d’un routeur transport et la régulation du flux de données de sortie, placez-vous à l’intérieur du routeur en utilisées dans les routeurs pare-feu, lesquels sont
est arrêtée ou s’ils ne disposent pas depuis la source jusqu’à la destination. Pour regardant l'interface en question. souvent placés entre le réseau interne et un
des informations nécessaires pour trouver le cela, des fenêtres glissantes et des numéros de Les instructions sont traitées dans l’ordre depuis réseau externe
réseau de destination. séquence sont utilisés, parallèlement à un le début de la liste jusqu’à la fin jusqu’à ce Les listes de contrôle d’accès sont utilisées sur un
- Détection de routes excessivement longues. processus de synchronisation qui garantit que qu’une correspondance soit trouvée. Si aucune routeur situé entre deux sections du réseau pour
Acheminement de message ICMP chaque hôte est prêt à communiquer correspondance n’est détectée, le paquet est contrôler le trafic entrant ou sortant d’une section
Les messages ICMP sont encapsulés dans Synchronisation ou échange en trois étapes refusé. particulière du réseau interne.
des datagrammes de la même façon que Le protocole TCP est orienté connexion. Avant Il existe un refus implicite deny any à la fin de Restriction de l’a ccès au terminal virtuel
toute autre donnée à l’aide d’I P. Voici un de transmettre des données, les deux hôtes toutes les listes de contrôle d’accès. Par défaut, une liste d’a ccès étendue pour le trafic
datagramme ICMP en capsulé dans un paquet exécutent un processus de synchronisation pour Les hôtes spécifiques doivent être rejetés en Telnet sortant n’empêche pas le routeur de lancer
IP : établir une connexion virtuelle pour chaque premier, tandis que les groupes ou les filtres des sessions Telnet.
Utilisation de requêtes ping pour tester session entre les hôtes. généraux viennent en dernier. L’objectif de l’accès limité au terminal virtuel est
l’accessibilité de la destination Pour établir une session TCP, l’hôte client va La condition de correspondance est examinée en d’augmenter la sécurité du réseau.
Le protocole ICMP peut être utilisé pour tester utiliser le numéro de port bien connu du service premier. L’acceptation ou le refus est examiné Vous devez prendre en compte les éléments
la disponibilité d’une destination particulière. qu’il désire contacter et qui est fourni par l’hôte UNIQUEMENT si la condition est vraie. suivants lors de la configuration :
La réponse d’écho, confirme l’accessibilité de la serveur. Ne travaillez jamais avec une liste d’accès qui est Lors du contrôle de l’accès à une interface, un
destination. Pour établir une connexion, les deux appliquée de manière active. nom ou un numéro peut être utilisé. Seules les
La demande d’écho comprend une valeur de hôtes doivent synchroniser leurs numéros Utilisez un éditeur de texte pour créer des listes d’a ccès numérotées peuvent être appliquées
durée de vie ( TTL). La durée de vie est un de séquence initiaux (ISN – Initial Sequence commentaires indiquant la logique, puis ajoutez à des lignes virtuelles. Définissez des restrictions
champ contenu dans l’en tête du paquet IP qui Number). les instructions correspondantes. identiques sur toutes les lignes de terminal virtuel.
permet de limiter la transmission des paquets. La séquence de la synchronisation : Il n’est pas possible d’a jouter et de supprimer Création des ACL - Généralités
A chaque fois qu’un routeur transmet un 1. L'hôte émetteur (A) initie une connexion des lignes spécifiques dans des listes d’accès Pour créer une liste de contrôle d’accès, il faut :
paquet il décrémente la valeur TTL de un. en envoyant un paquet SYN à l'hôte récepteur numérotées. Créer la liste de contrôle d'accès (acc ess -list ) .
Quand un routeur reçoit un paquet avec un TTL (B) indiquant que son numéro de séquence Une liste d’accès IP envoie un message ICMP Assigner cette ACL à une interface (acc ess -
égal à 1, il ne transmet pas le paquet. initial ISN = X. d’hôte inaccessible à l’émetteur du paquet rejeté group)
Messages ICMP : 2. B reçoit le paquet, enregistre que la séquence de et élimine le paquet dans la corbeille prévue à cet Structure générale d’une ACL :
Format de message : A = X, répond par un accusé de réception de X effet. Rou ter(c on fi g) #a c c ess-li st n° ACL {permit|deny}
Tous les formats de messages ICMP + 1 et indique que son numéro de séquence Soyez particulièrement attentif lorsque vous instructions Router(c on fi g-if ) #pr otoc ole access-
commencent par ces trois champs: ISN = Y. L'accusé X + 1 signifie que l'hôte B a supprimez une liste d’accès (une instruction group n° ACL {in|ou t}
Type : indique le type de message ICMP reçu tous les octets jusqu'à X inclus et qu'il deny any peut être appliquée par défaut à Les différents types d’ACL
envoyé attend l'arrivée de X+ 1. l’interface et tout le trafic peut être arrêté). Il existe 3 types de liste de contrôle d’accès :
Code : inclut des informations supplémentaires
3. L'hôte A reçoit le paquet de B, apprend que la Les filtres de sortie ne concernent pas le trafic Les ACLs standards utilisent des spécifications
spécifiques au type de message séquence de B est Y et répond par un accusé généré par le routeur local. d’adresses simplifiées (origine seulement) Les
Checksum (somme de contrôle) : vérifier de Y + 1, qui met fin au processus de Rôle du masque générique ACLs étendues utilisent des spécifications
l’intégrité des données connexion: Un masque générique est une quantité de 32 bits d’adresses plus complexes et autorisent ou
Un message destination inaccessible peut Fonctionnement du protocole UDP divisés en quatre octets. refusent des protocoles précis.
également être envoyé lorsqu’il est Le protocole UDP permet une transmission de Les masques génériques utilisent les uns et les Les ACLs nommées peuvent être soit standards,
nécessaire de fragmenter un paquet. C’est paquets non orientée connexion et sans zéros binaires pour filtrer des adresses IP soit étendues (faciliter la compréhension)
le cas en principe lorsqu’un datagramme garantie de remise conforme au niveau de la individuelles ou de groupes pour autoriser ou Une seule liste de contrôle d'accès est permise par
est transmis d’un réseau Token-Ring à un couche 4 du modèle OSI. refuser un accès à des ressources à l'aide port, par protocole et par direction, c’est-à-dire
réseau Ethernet. Le protocole UDP n’utilise ni fenêtrage, ni d'une adresse IP précise. Le (0) implique que la qu’on ne peut pas par exemple définir deux
Des messages destination inaccessible peuvent accusé de réception. Par conséquent, les valeur soit comparée (correspondance parfaite ACLs sur l’interface E0 pour le trafic IP sortant. Par
également être générés si les services liés à protocoles de couche application doivent exigée), tandis que le (1) implique de bloquer la contre, on peut
l’IP tels que les services FTP ou les services assurer la détection des erreurs. comparaison (correspondance exacte non définir deux ACLs pour le trafic IP mais, une pour
Web ne sont pas disponibles. tcp (ftp ;http ;smtp ;dns)/udp(dsn,ftp)=ip exigée). le trafic entrant et l’autre pour le trafic sortant…
Détermination des adresses de couche 2 et 3 Ports de la couche transport Deux mots-clés spéciaux sont utilisé dans les Numéro des ACLs