À comprendre comment la communication se produit à travers le réseau, vous pouvez utiliser des modèles en couches comme cadre pour représenter et expliquer les concepts et les technologies de réseau. Les modèles en couches, tels que les modèles TCP / IP et OSI, prennent en charge l'interopérabilité entre les gammes de produits des fournisseurs concurrents.Le modèle OSI sert principalement d'outil pour expliquer les concepts de réseau et le dépannage. Cependant, les protocoles de la suite TCP / IP sont les règles par lesquelles les réseaux fonctionnent désormais. Étant donné que les deux modèles sont importants, vous devez bien connaître les couches de chaque modèle et savoir comment les modèles se correspondent.La figure 1-1 résume les deux modèles.L'utilisation de deux modèles peut prêter à confusion ; cependant, ces instructions simples peuvent aider:■ Lorsque nous discutons des couches d'un modèle, nous nous référons généralement au modèle OSI.■ Lorsque nous discutons des protocoles, nous nous référons généralement au modèle TCP / IP.Les sections suivantes passent rapidement en revue les couches OSI et les protocoles TCP / IP.

 Couche Rôle Application Fait référence aux interfaces entre le réseau et le logiciel d'application. Comprend également les services d'authentification. Présentation Définit le format et l'organisation des données. Comprend le cryptage. Session Établit et maintien des flux bidirectionnels de bout en bout entre les points de terminaison. Inclut la gestion des flux de transaction. Transport Fournit une variété de services entre deux ordinateurs hôtes, y compris l'établissement et la terminaison de connexion, le contrôle de flux, la récupération d'erreurs et la segmentation de gros blocs de données en parties plus petites pour la transmission. Réseau Fait référence à l'adressage logique, au routage et à la détermination du chemin. Liaison de données Formate les données en trames appropriées pour la transmission sur un support physique. Définit les règles d'utilisation du support. Définit les moyens de reconnaître les erreurs de transmission. Physique Définit les détails électriques, optiques, de câblage, de connecteurs et de procédure requis pour la transmission de bits, représentés comme une forme d'énergie passant sur un support physique.

Le modèle TCP / IP définit quatre catégories de fonctions qui doivent se produire pour que les communications réussissent. La plupart des modèles de protocole décrivent des piles de protocoles spécifiques au fournisseur. Cependant, comme le modèle TCP / IP est un standard ouvert, une entreprise ne contrôle pas la définition du modèle.Le tableau résume les couches TCP / IP, leurs fonctions et les protocoles les plus courants.Couche TCP / IPFonctionExemples de protocolesApplicationReprésente les données à l'utilisateur et contrôle le dialogueDNS, Telnet, SMTP, POP3, IMAP, DHCP, HTTP, FTP, SNMPTransportPrend en charge la communication entre divers appareils sur divers réseauxTCP, UDPl'InternetDétermine le meilleur chemin à travers le réseauIP, ARP, ICMPL'accès au réseauContrôle les périphériques matériels et les supports qui composent le réseauEthernet, sans filDans les prochains jours, nous reverrons ces protocoles plus en détail. Pour l'instant, une brève description des principaux protocoles TCP / IP suit:■ Système de noms de domaine (DNS): Fournit l'adresse IP d'un site Web ou d'un nom de domaine afin qu'un hôte puisse s'y connecter■ Telnet: Permet aux administrateurs de se connecter à un hôte à partir d'un emplacement distant■ Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP3) et Internet Message Access Protocol (IMAP): Faciliter l'envoi de messages électroniques entre les clients et les serveurs■ Protocole de configuration dynamique d'hôte (DHCP): Attribue l'adressage IP aux clients demandeurs■ Protocole de transfert hypertexte (HTTP): Transfère les informations entre les clients Web et les serveurs Web■ Protocole de transfert de fichiers (FTP): Facilite le téléchargement et le téléchargement de fichiers entre un client FTP et un serveur FTP■ Protocole de gestion de réseau simple (SNMP):Permet aux systèmes de gestion de réseau de surveiller les périphériques connectés au réseau■ Protocole de contrôle de transmission (TCP): Prend en charge les connexions virtuelles entre les hôtes sur le réseau pour fournir une livraison fiable des données■ Protocole de datagramme utilisateur (UDP): Prend en charge une livraison plus rapide et peu fiable de données légères ou urgentes■ Protocole Internet (IP): Fournit une adresse globale unique aux ordinateurs pour communiquer sur le réseau■ Protocole de résolution d'adresse (ARP): Recherche l'adresse matérielle d'un hôte lorsque seule l'adresse IP est connue■ Protocole ICMP (Internet Control Message Protocol): Envoie des messages d'erreur et de contrôle, y compris l'accessibilité d'un autre hôte et la disponibilité des services■ Ethernet: Sert de la norme LAN la plus populaire pour le cadrage et la préparation des données pour la transmission sur le support■ Sans fil: Comprend à la fois les normes IEEE 802.11 pour les réseaux locaux sans fil (WLAN) et les options d'accès cellulaire.

Au fur et à mesure que les données d'application sont transmises le long de la pile de protocoles pour être transmises sur le support réseau, divers protocoles y ajoutent des informations à chaque niveau. Ceci est communément appelé processus d'encapsulation. La structure de données à une couche donnée est appelée unité de données de protocole (PDU). Le tableau 1-3 répertorie les PDU à chaque couche du modèle TCP/IP.Les étapes suivantes résument le processus de communication de n'importe quelle source vers n'importe quelle destination:Étape 1. Les données sont créées au niveau de la couche application du périphérique source d'origine.Étape 2. Au fur et à mesure que les données passent dans la pile de protocoles dans le périphérique source, elles sont segmentées et encapsulées.Étape 3. Les données sont générées sur le support au niveau de la couche d'accès réseau de la pile.Étape 4. Les données sont transportées via l'interréseau, qui se compose de supports et de tout appareil intermédiaire.Étape 5. Le périphérique de destination reçoit les données au niveau de la couche d'accès au réseau.Étape 6. Au fur et à mesure que les données remontent la pile dans le périphérique de destination, elles sont décapsulées et réassemblées.Étape 7. Les données sont transmises à l'application de destination au niveau de la couche application du périphérique de destination.

Composants de base du réseauCe chapitre fondamental permet de mieux identifier les éléments qui composent un réseau (routeurs, commutateurs, concentrateurs, pare-feux, etc.) afin de les placer dans topologies d’exercices représentatifs ou de les placer logiquement en faisant à des modèles de conception.1. Rôles des périphériquesChaque couche, voire chaque protocole, dispose de sa propre vision des rôles des périphériques lors des procédures qui l’occupe.IP voit deux rôles :Les hôtes terminaux : nos ordinateurs au bout du réseauLes routeurs chargés de transférer les paquets en fonction de l’adresse L3 IP (logique, hiérarchique) de destination. Ils permettent d’interconnecter les hôtes d’extrémité.Aussi au sein du réseau local (LAN), le commutateur (switch) est chargé de transférer rapidement les trames Ethernet selon leur adresse L2 MAC (physique) de destination. Il ne s’occupe jamais des informations dites “L3”, de couche 3 du modèle OSI comme les paquets ou datagrammes et les adresses IP qu’ils contiennent.2. Les périphériques du réseau sont des ordinateursLes périphériques du réseau sont composés d’une partie matérielle :dédiée (sur des serveurs),embarquée (sur des plateformes autres que des serveurs de type Intel)Cette partie matérielle est de plus en plus virtualisée notamment sur des infrastructures de virtualisation de type Intel X86. Un exemple est le routeur virtuel Cisco Systems CSR-1000v à déployer dans le centre de données (data center). Ces capacités de virtualisation sont disponibles sur des plateformes bien connues de type Intel avec leurs spécificités (CPU, périphériques, etc.).Ces périphériques et leurs capacités matérielles sont exploités à partir d’un système d’exploitation :propriétaire comme Cisco IOSOpen Source comme Linux ou BSD et leurs dérivésBasé Open Source avec une sur-couche propriétaire comme Cisco IOS-XE (Linux)On prendra garde à distinguer les fonctions que les périphériques du réseau remplissent au niveau des plans :plan “donnée” : le périphérique transfère-t-il du trafic utilisateur ?plan “contrôle” : le périphérique se gère-t-il localement ou à partir d’un contrôleur ?Enfin les périphériques peuvent être placés dans un niveau de conception dans une des couches “Access”, “Distribution” ou “Core”.3. Composants d’un réseau associés aux couches OSIOn trouvera ici la représentation en forme de diagramme des composants de base d’un réseau.Composants du réseauChacun de ces périphériques est associé à une couche du modèle OSI avec “L” pour “Layer” :PériphériqueCoucheRouteur (Router)L3Commutateur (Switch) L3L2/L3Commutateur (Switch) L2L2Pont (Bridge)L2Concentrateur (Hub)L1Répéteur (Repeater)L1Contrôlleur WLANL2/L3/L7Point d’accès sans-fil (AP) Wi-FiL1/L2Carte réseau (NIC)L2Hôte terminalL3/L4/L74. Périphérique terminalLe périphérique terminal est l’hôte qui est situé à l’extrémité d’une communication : par exemple un poste client et un serveur sont des hôtes terminaux.Périphérique terminalLes périphériques terminaux accèdent au réseau via une technologie d’accès (L1/L2). Les périphériques clients peuvent être des ordinateurs de bureau, des mobiles ou des tablettes, mais de plus en plus des “objets” (IoT). Les serveurs sont ceux qui offrent et rendent des services à des clients. En général, ils sont situés dans des centres de données dédiés tels quels ou dans le “nuage”.5. Routeur (router)On trouvera une présentation complète du rôle des routeurs, de leur fonctionnement et de leur format dans le chapitre “Introduction aux routeurs Cisco (lab)”. Mais pour l’instant, tentons de comprendre son rôle fondamental.Le routeur est ce matériel de couche 3 du modèle OSI (L3) qui :interconnecte des domaines réseaux IP différents;transfère le trafic qui ne lui est pas spécifiquement destiné;transfère le trafic IP grâce à sa table de routage vers les bonnes destinations, s’il les connaît.Symbole représentant un routeurSur le plan physique, les routeurs sont caractérisés par un nombre limité d’interfaces, mais d’une grande diversité (chez Cisco Systems), permettant à ce matériel professionnel de se connecter à n’importe quelle technologie d’accès. De plus chez Cisco Systems, ce matériel peut embarquer un bon nombre d’autres services du réseau comme par exemple des services de communication unifiée, de filtrage et de sécurité comme le pare-feu ou un système de détection/prévention d’intrusion (IDS/IPS) et même des capacités de virtualisation.6. Commutateur d’entreprise (switch)La partie “Commutation Ethernet” détaille amplement le rôle et le fonctionnement des commutateurs Ethernet. Essayons d’identifier le rôle du commutateur, le “switch”, élément de couche 2 (L2) essentiel.Symbole représentant un commutateur d'entrepriseLe commutateur d’entreprise (switch), typiquement de couche 2 liaison de données (L2) est ce matériel qui :interconnecte les périphériques terminaux du LAN pour un transfert local rapide;transfère le trafic en fonction de l’adresse MAC de destination trouvée dans les trames et de sa table de commutation (CAM table, ternary content addressable memory), la prise de décision de transfert est réalisée au niveau matériel hardware grâce à des puces ASIC;transfère le trafic unicast (à destination d’un seul hôte) uniquement sur le bon port de sortie;transfère le trafic Broadcast (à destination de tous) et multicast (à destination de certains) est transféré par tous les ports sauf le port d’origine.Dans les modèles de conception du réseau, le commutateur couche 2 (switch L2) fondamental remplit uniquement des fonctions L2 (transfert local, segmentation VLANs, marquage QoS, sécurité EAP/802.1x) et se place dans la couche “Access”.7. Commutateur multicouche (Multilayers switch)Un commutateur multicouche (Multilayers switch) est un commutateur d’entreprise capable de remplir des tâches de routage et des services avancés. On l’appelle aussi “switch L3”. Il s’agit d’un véritable routeur dédié au réseau LAN d’entreprise.Symbole représentant un commutateur multicouche (L2/L3)Ce type de matériel dispose de capacités améliorées en CPU/RAM, mais aussi et surtout en capacité de transfert matériel, en nombre d’interfaces et en technologies supportées. On les place souvent au niveau des couches de conception “Distribution” ou “Core”. Le chapitre intitulé Principes de conception LAN offre plus de détails sur ce type de matériel.8. Ponts, Concentrateurs et RépéteursLes “Ponts”, “Concentrateurs” et “Répéteurs” sont des éléments aujourd’hui plus conceptuels que réels (sauf dans certains déploiement en Wi-Fi).Un pont (bridge) filtre le trafic entre deux segments physiques en fonction des adresses MAC. Le point d’accès Wi-Fi est une sorte de pont.Un concentrateur (hub) est un périphérique qui concentre les connexions et étend le segment physique. À la différence du commutateur, le trafic sort par tous ses ports; il ne prend aucune décision quant au trafic. En Ethernet, il était souvent identifié comme un répéteur multi-ports, ils ont été progressivement remplacés par des commutateurs de telle que ce matériel de “concentration” n’est plus fabriqué depuis longtemps.Un répéteur (repeater) étend le signal entre deux ou plusieurs segments. Il ne prend aucune décision quant au trafic à transférer. On peut encore trouver des répéteurs dans les architectures Wi-Fi.Ponts, Concentrateurs et Répéteurs9. Matériel sans-filAvec des points d’accès légers (Lightweight AP), le Wireless LAN Controller (WLC) prend en charge les fonctions d’association ou d’authentification des APs, ces derniers devenant des interfaces physiques fournissant la connectivité. Le contrôleur fournit l’intelligence, la gestion, la configuration des APs. Il participe à une vue unifiée du réseau filaire et sans-fil.Symbole représentant un points d'accès et un contrôleur WLANUn point d’accès sans-fil fournit le service du réseau sans-fil au sein d’une zone de couverture radio (cellule, cell). Un point d’accès dit “léger” remplira des tâches matérielles de chiffrement et de transport par exemple alors que l’intelligence sera assurée par un contrôleur.Symbole représentant un point d'accès, un pont sans-fil et un contrôleur WLAN.Un réseau sans-fil contrôlé dispose de plusieurs avantages :Fréquences Radio dynamiques : Les points d’accès adaptent automatiquement la force du signal.Processus de déploiement facilité : Le contrôleur de réseau sans-fil (WLAN) assure la gestion centralisée des utilisateurs et des VLANs.Performance des utilisateurs optimisée : Un contrôleur de réseau sans-fil réparti la charge pour maximiser le transfert.Processus de mise à jour facilitée : Le contrôleur de réseau sans-fil (WLAN) peut déployer aisément des mises-à-jour sur les points d’accès.10. Pare-feuUn pare-feu (firewall) protège des tentatives de connexion directe venant d’un réseau comme Internet. Par contre, il laisse entrer le retour légitime du trafic initié d’une zone de confiance comme un LAN. Il tient compte de l’état des sessions de couche 4 établies (TCP, UDP, ICMP, etc.). On parle alors de pare-feu à état.Symboles pare-feu firewallTopologie pare-feu avec DMZQuelques éléments essentiels sont à retenir concernant les pare-feux en général :Dans un système d’information, les politiques de filtrage et de contrôle du trafic sont placées sur un matériel ou un logiciel intermédiaire communément appelé pare-feu (firewall).Cet élément du réseau a pour fonction d’examiner et filtrer le trafic qui le traverse.On aussi peut le considérer comme une fonctionnalité d’un réseau sécurisé : la fonctionnalité pare-feu.L’idée qui prévaut à ce type de fonctionnalité est le contrôle des flux du réseau TCP/IP.Le pare-feu limite le taux de paquets et de connexions actives. Il reconnaît les flux applicatifs.Il se place au sein du routage TCP/IP en connectant des réseaux distincts, il fait alors office de routeur.Il agit au minimum au niveau de la couche 4 (L4), mais il peut inspecter du trafic L7 (Web Application Firewall)Il ne faut pas le confondre avec le routeur NATOn trouvera plus de détails sur les pare-feux dans les documents Concepts Pare-Feux Firewall et Lab Cisco IOS Zone Based Firewall.11. IPS“IDS” et “IPS” sont des éléments connexes qui sont le résultat d’une évolution technologique. Un “IDS” détecte des intrusions et il devient “IPS” quand il est capable d’y réagir automatiquement.Symbole d'IDS/IPSUn système de détection d’intrusion (IDS) est un dispositif ou une application logicielle qui surveille un réseau ou des systèmes pour déceler toute activité malveillante ou toute violation de politique de sécurité. Toute activité malveillante ou violation est généralement signalée à un administrateur ou est recueillie de façon centralisée au moyen d’un système de gestion des informations et des événements de sécurité (SIEM). Un système SIEM combine des sorties provenant de sources multiples et utilise des techniques de filtrage des alarmes pour distinguer les activités malveillantes des fausses alarmes.Les systèmes de prévention des intrusions (IPS), également connu sous le nom de systèmes de détection et de prévention des intrusions (IDPS), sont des dispositifs de sécurité réseau qui surveillent les activités du réseau ou du système pour détecter toute activité malveillante et tentent de les bloquer ou de les arrêter.Les systèmes de prévention des intrusions peuvent être classés en quatre types différents : Système de prévention des intrusions en réseau (NIPS), Système de prévention des intrusions sans fil (WIPS), Analyse du comportement du réseau (NBA), Système de prévention des intrusions basé sur l’hôte (HIPS)La majorité des systèmes de prévention des intrusions utilisent l’une des trois méthodes de détection suivantes : l’analyse basée sur la signature, l’analyse statistique des anomalies et l’analyse du protocole dynamique.Snort, Sourcefire (Cisco Systems) et Surricata sont des exemples d’IDS/IPS bien connus.On trouvera plus de détails sur les IDS/IPS dans le chapitre “Concepts IDS IPS”12. Supports de transmissionLes supports de transmission des données interconnectent physiquement les périphériques et transportent les données sous forme d’ondes. Les données sont codées en ondes électromagnétiques (sur des supports métalliques comme des câbles en cuivre), en ondes lumineuses (à travers les airs ou à travers de la fibre optique) ou en ondes radio (comme les communications mobiles et Wi-Fi).Ces connexions doivent être de qualité et éviter toute forme d’interférence pour supporter un service de qualité.On connait deux catégories de technologies de connexions :Les connexions LAN : au sein du réseau local.Les connexions WAN : qui interconnectent les sites distants.13. L’informatique en nuageUn nuage : Un nuage représente une infrastructure dont on ne connaît pas vraiment la nature ou la topologie exacte et qui permet d’accéder à un réseau distant. Il s’agit typiquement d’un nuage Internet (au sens propre comme représentant un accès au réseau public) ou d’une simplification dans un diagramme. Le nuage est un diagramme courant dans nos topologies réseau bien avant l’apparition du paradigme des technologies en nuage. On pourrait aussi considérer un nuage comme la boîte noire de la cybernétique de Wiener.Symbole d'un nuageMais justement avec l’informatique en nuage, du trafic d’entreprise pourrait utiliser des centres de données hébergés sous une autorité externe à celle-ci, c’est-à-dire dans le nuage au lieu d’utiliser de ressources sur site (“On Premise”). Les connexions par Internet entre les sites locaux et les services en nuage deviennent alors d’autant plus cruciales dans les nouvelles architectures.Cisco CSR-1000v IWAN vers AWSDans cette topologie1, on a plusieurs VPC (réseaux) dans le nuage AWS et un site physique. On peut transformer le réseau AWS en un IWAN “Hub and Spoke” en exécutant un CSR1000v comme BR (Broader Router). APIC-EM est hébergé dans le Hub (centre de données en nuage) pour fournir des services IWAN entre le hub IWAN et les sites distants, y compris virtuels et physiques.Dans le cadre de ce modèle, certains services d’infrastructure se virtualisent jusqu’à être disponibles et utilisés en tant que services (as a Service) dont le réseau.14. Cisco DNACisco Digital Network Architecture (DNA) offre un centre de commande et de contrôle intuitif qui agit comme le coeur d’un réseau basé sur l'intention (IBN) , fournissant un tableau de bord de gestion centralisé pour l’automatisation basée sur un contrôleur, l’assurance du réseau et l’extensibilité d’une plate-forme ouverte. Il utilise le “machine learning” et l’intelligence artificielle pour surveiller, dépanner et optimiser proactivement le réseau. Il permet d’utiliser des systèmes tiers pour améliorer les processus opérationnels.​DNA offre des fonctionnalités et des avantages en termes de gestion, d’automation, d’analytique et de sécurité.GestionVisibilité précise sur le réseau depuis un tableau de bord uniqueGestion du cycle de vie des périphériquesIntégration multidomaineOuverture et évolutivitéAutomationDétection automatique des périphériquesCréation de politiques par glisser-déposerGestion du déploiement et du cycle de vie des périphériques sans intervention​​Qualité de service (QoS) automatiséeAnalytique avec l’AI/MLUtilisation de l’infrastructure en tant que capteurAnalytique contextuellePlus de 150 informations exploitablesAnalytique avec l’intelligence artificielle locale et dans le cloudSécuritéDétection et élimination des menacesIntégration de Stealthwatch et ISEEncrypted Traffic Analytics (ETA)Segmentation ultra-sécuriséeDNA offre des solutions de type Software Defined Network. Le concept SDN est développé dans un chapitre ultérieur.Network Assurance : L’intelligence des réseau.Software-Defined Access : Le réseau d’accès agile.Software-Defined WAN : le réseau WAN agile.Sécurité du réseauLa solution est principalement construite autour de “DNA Center Appliance” et de périphériques réseaux ainsi que d’abonnements à des services.Cisco DNA Center Appliance et ses périphériques15. Éléments clés à retenirIl essentiel de pouvoir identifier le rôle, les fonctions, les formats, la portée protocolaire et d’architecture des différents périphériques du réseau.

Commutation EthernetCe chapitre est consacré au rôle révolutionnaire des commutateurs Ethernet dans nos infrastructures de réseaux locaux en termes d’optimisation des tâches de transferts. On expliquera ici comment ils prennent leur décision de transfert sur base des adresses MAC apprises. On exposera aussi succinctement les différents protocoles IEEE 802.1 auxquelles ils participent. On sera enfin attentif aux implémentations propriétaires et aux comportements par défaut qui caractérisent commutateurs Ethernet Cisco Systems.1. Commutateur Ethernet1.1. La révolution du commutateur EthernetLes commutateurs ont révolutionné la connectivité et les architectures des réseaux en optimisant les tâches de transferts.Au sein du réseau local, le commutateur est central, car c’est lui qui se charge de transférer rapidement le trafic d’une interface à l’autre. Il est capable de :de prendre en charge des pics de traficd’éviter la congestion du réseaude qualifier et classer le trafic (QoS)d’améliorer la sécurité localeTypiquement les commutateurs sont identifiés comme étant du matériel de couche 2 (L2).Un commutateur multicouche (multilayer switch) ou encore commutateur de couche 3 (L3 switch) embarque la technologie des commutateurs Ethernet de couche 2, mais avec des fonctions avancées de routage et de prise en charge du trafic.1.2. Fonctionnement du commutateurLe commutateur prend ses décisions de transfert du trafic sur base des adresses MAC de destination (apprises dynamiquement) des trames qui lui parviennent. Ce sont des composants matériels comme des puces spécialisées, des ASIC, qui prennent en charge la décision de transfert.Un commutateur Ethernet se caractérise par deux propriétés :Apprentissage dynamique : le commutateur apprend la ou les adresses MAC attachées à chacun de ses ports par écoute de trafic.Transfert rapide : le commutateur transfère rapidement le trafic d’une interface à une autre.Pour le transfert rapide, il utilise une table TCAM (Ternary Content Addressable Memory) : une table de correspondance entre les ports, le numéro de VLAN et leurs adresses attachées. On peut vérifier la table de commutation d’un commutateur Cisco avec la commande show mac address-table.Ce que l’on appelle le “MAC learning” est l’action d’ajouter une adresse MAC qui était inconnue jusqu’alors dans la “CAM table”. Le MAC Aging est l’action de retirer une adresse MAC inactive après un certain délai.1.3. Processus de transfert du commutateurDans le premier diagramme (à gauche), la station A livre du trafic Unicast à la station B. Le commutateur qui reçoit ce trafic enregistre l’adresse MAC de la station et l’associe au port d’entrée dans une table de commutation. Le commutateur transfère le trafic sur le port qui connecte la station B, car il a déjà pris connaissance de la présence de son adresse MAC sur ce port.Donc, si l’adresse MAC de destination du trafic est connue du commutateur, il le transfère sur le bon port de sortie aussi rapidement que si les deux partenaires de communication étaient directement connectés au même fil.Transfert de trafic par les commutateursPar contre comme dans le second diagramme (à droite), si le trafic dispose d’une destination :MAC inconnue (trafic unicast inconnu du commutateur),MAC broadcast (FF:FF:FF:FF:FF:FF),ou MAC multicastle commutateur le transfère par tous les ports sauf le port d’origine. On parle alors de “Frame flooding”.Dans l’exemple suivant, le commutateur connait toutes les adresses MAC qui sont attachées à ses ports. La CAM table semble complète. Ces entrées ont été apprises dynamiquement en fonction du trafic qui lui est déjà parvenu sur chacun de ses ports.Exemple de CAM Table complète sur un commutateurSwitch#show mac address-table          Mac Address Table-------------------------------------------Vlan    Mac Address       Type        Ports----    -----------       --------    -----   1    0000.0000.0002    DYNAMIC     Gi0/2   1    0000.0000.00b1    DYNAMIC     Gi0/1   1    0000.0000.aaa0    DYNAMIC     Gi0/3   1    0000.0000.aaaa    DYNAMIC     Gi0/0Total Mac Addresses for this criterion: 4La lecture de cette table de commutation est assez évidente, quand le commutateur recevra une trame :venant d’un port Vlan 1 pour le PC A (0000.0000.aaaa), il transférera le trafic sur le port Gi0/0 ;venant d’un port Vlan 1 pour le PC B (0000.0000.00b1), il transférera le trafic sur le port Gi0/1 ;venant d’un port Vlan 1 pour le PC C (0000.0000.0002), il transférera le trafic sur le port Gi0/2 ;venant d’un port Vlan 1 pour le PC D (0000.0000.aaaa), il transférera le trafic sur le port Gi0/3.On précisera aussi que tout trafic inconnu, broadcast (ff:ff:ff:ff:ff) ou multicast de couche 2 sera transféré par tous les ports sauf le port d’origine.1.4. Modes commutationLes commutateurs Cisco connaissent deux modes de commutation :Store and ForwardFast-ForwardCut-ThroughFragment FreeModes de commutationAucun de ces modes ne se configure ; ils s’enclenchent dynamiquement sur les plateformes Cisco haute-performance.Le mode “Store and Forward” est le mode par défaut et le plus lent. On le trouvera sur tout commutateur. Dans ce mode, le commutateur transfère la trame après l’avoir entièrement reçue : il vérifie la somme d’intégrité (champ FCS) et place ensuite la trame sur un ou des ports de sortie.Avec un mode “Fast-Forward” et ses variantes “Cut-Through” et “Fragment Free”, les trames sont transférées avant d’être entièrement reçues : soit dès que la destination est apprise, soit dès que les 512 premiers bits ou 64 octets sont reçus. Dans ces modes, les trames ne sont pas vérifiées par le commutateur.2. Domaine de collision et domaine de broadcastLes trames Ethernet se propagent dans un domaine physique : le domaine de collision. Elles se propagent logiquement dans un domaine de broadcast (diffusion). Il est essentiel de distinguer ces deux concepts.2.1. Domaine de collisionUn domaine de collision est un domaine physique dans lequel des collisions peuvent survenir.Quelle est l’étendue des domaines de collision sur les périphériques du réseau ?Un domaine de collision par port de commutateur.Le commutateur divise un domaine de collision par port.Un concentrateur (hub) ou un répéteur étend le domaine de collision.2.2. Topologie en busTopologie physique en busAu XXe siècle on trouvait des topologies en bus. Un câble coaxial fin en Ethernet 10BASE2 par exemple, partageait la connectivité. Le nombre de postes poste de travail connectés divisait la bande passante marginale par poste de travail. L’infrastructure physique en câblage coaxial était difficile à gérer, car toute déconnexion interrompait la disponibilité du réseau. Les architectures évoluaient mal sans point de concentration.Topologie logique en busEn remplaçant un câblage à paires torsadées plus souples et en créant des points de concentration avec des Hubs, les architectures se sont améliorées, mais le domaine de collision augmentait avec le nombre de clients connectés et diminuait les performances du réseau.2.3. Topologies commutéesTopologie commutéeAu début du XXIème siècle, les Hubs ont été progressivement remplacés par des commutateurs. Un accès concurrentiel au réseau n’entamait plus nécessairement les performances du réseau. Si les domaines de collision sont dédiés par port de commutateur et qu’aucune collision locale ne peut plus survenir quand ce port connecte une seule station de travail, un commutateur transfert le trafic de diffusion (Broadcast) par tous ses ports (sauf celui d’origine). Seul un “routeur”, élément de couche 3, peut arrêter ce trafic.Topologie commutée étendue2.4. Domaine de diffusion (Broadcast)Un domaine de diffusion (Broadcast) est un domaine physique dans lequel du trafic de diffusion peut se propager.Un commutateur étend un domaine de diffusionUn routeur arrête la diffusionUn domaine de diffusion correspond à un domaine IP sur le plan logique.Domaine de diffusion3. Protocoles IEEE 802.1Les protocoles de “pontage” (bridging) viennent en compléments des technologies de transport IEEE 802 comme Ethernet (IEEE 802.3) ou encore Wi-Fi (IEEE 802.11). Mais un acteur du marché comme Cisco Systems n’attend pas un consensus avec la concurrence pour proposer ses propres solutions et protocoles de support aux infrastructures IEEE 802.3. Justement, sur le plan historique jusqu’à aujourd’hui, Cisco Systems agit en tant que “Leader” du marché des infrastructures LAN en répondant aux besoins des clients avec ses solutions. Mieux, il va au-devant des besoins du marché et ses solutions peuvent inspirer des standards auprès d’organismes comme l’IEEE ou l’IETF.Le support de protocoles de pontage standardisés ou propriété peut être déterminant dans le choix des commutateurs et dans la conception de l’infrastructure.Parmi les standards IEEE 802.1 les plus populaires, on trouvera :802.1D : “MAC Bridges” qui consacre le rôle des “ponts” et “commutateurs”.802.1Q : “Virtual LANs” qui virtualise le commutateur.802.1X : “Port Based Network Access Control” qui permet d’authentifier les utilisateurs et leur périphérique à partir d’un commutateur.802.1AB : “Station and Media Access Control Connectivity Discovery (LLDP)” qui est une alternative standardisée au protocole Cisco CDP.802.1AE : “MAC Security” qui contrôle les adresses MAC attachées au ports de commutateur.802.1AX : “Link Aggregation”, version ouverte d’Etherchannel.Sources : http://fr.wikipedia.org/wiki/IEEE_802.1, http://en.wikipedia.org/wiki/IEEE_802.1#802.1D3.1. VLANs (IEEE 802.1q)On peut “virtualiser” un LAN en plusieurs VLANs. En quelque sorte, on “virtualise” une seule infrastructure LAN physique en plusieurs LANs virtuels. Cette technologie est désormais partie intégrante de tout type de réseau domestique, opérateur, entreprise, etc.Le principe est le suivant : le commutateur assure la connectivité uniquement entre les ports qui appartiennent au même numéro de VLAN. Si cette fonctionnalité peut s’étendre sur plusieurs commutateurs d’une infrastructure entière grâce à des ports qui agrègent les données de plusieurs VLANs (ports Trunk), on peut considérer qu’il y a autant d’instances de commutation dans l’infrastructure que de VLANs configurés.La technologie VLAN facilite et améliore les configurations et la gestion des réseaux locaux. Mais aussi, elle divise le réseau en domaines IP distincts dont la communication devrait être assurée par des routeurs avec les performances de transfert semblables aux commutateurs LAN. On parle alors de “routage inter-vlan”, chaque VLANs correspondant à un domaine de broadcast.Lab VLANs simpleEn créant des infrastructures commutées virtuelles, la technologie VLAN permet :D’améliorer la gestion des réseauxD’améliorer les politiques de sécuritéD’améliorer la qualité de service (QoS)Contribue à l’évolutivité et à la robustesse du LANConception LAN avec VLANsOn trouvera sur les commutateurs Cisco deux protocoles de Trunking VLANs :ISL (“Inter-Switch Link”), propriétaire Cisco.IEEE 802.1Q standardisé (préféré).3.2. Redondance dans le LANLa disponibilité dans le LAN consiste essentiellement à multiplier les liaisons entre les commutateursDans les infrastructures LAN (réseau de stations de travail, centre de données, etc.), on peut assurer la redondance des liaisons sans créer de bouclage grâce à l’implémentation de protocoles de couche 2 (L2) comme Etherchannel au niveau physique et Spanning-Tree sur le plan logique.Aussi, cette disponibilité pourrait être assurée par des fonctionnalités de couche 3 (L3) comme un FHRP (“First Hop Redundancy Protocol”), acronyme qui désigne de véritables protocoles comme HRSP, GLPB tous deux propriétaires Cisco, ou encore VRRP (standardisé IETF). Enfin, à condition que les conditions d’implémentation soient réunies, les protocoles de routage supportent la répartition de charge sur des liens IP redondants.L1 : EtherchannelL2 : Spanning-TreeL3 : FHRP et protocoles de routage IP3.3. Architecture LANEn se basant sur un modèle de conception en trois couches et les protocoles qui gèrent les redondances, on peut créer une architecture LAN qui rencontre des objectifs de haute disponibilité.Redondance de couche 1 (Etherchannel) à combiner avec une redondance de couche 2 ou couche 3Ce modèle se fonde sur trois couches de commutateurs qui remplissent des fonctions dans le réseau :Access : fournit des fonctions au plus proche des utilisateurs et des périphériques terminaux dont la connectivité, le point de terminaison des VLANs voire l’alimentation (PoE), …Distribution : se place en intermédiaire d’agrégation des accès. On y trouve la limite des VLANs (domaines de broadcast), les passerelles par défaut, des politiques de filtrage, …Core : coeur du réseau interconnectant différents emplacements locaux ou des centres de données ou certaines de leurs parties entre eux. La couche Core agrège le trafic d’où qu’il vienne et assure la connectivité entre les différentes parties du réseau.3.4. Routage IPLe routage IP et ses protocoles de routage peuvent constituer une solution de gestion de liens redondants pour la communication entre les VLANs ou vers d’autres parties du réseau.Premièrement, un protocole de redondance de passerelle par défaut peut être mis en place. Si l’une des passerelles par défaut tombe, une autre prend le relai dans le transfert de trafic IP. L’acronyme générique FHRP pour “First Hop Redundancy Protocols” n’est pas un protocole, mais désigne un ensemble de protocoles parmi lesquels HSRP (propriétaire Cisco), VRRP (équivalent standardisé IETF) ou encore GLBP (propriétaire Cisco).En deuxième lieu, pour assurer la disponibilité de la connectivité, par exemple de la couche Distribution à la couche Core, il est recommandé d’activer des interfaces IP sur le commutateur et d’activer un protocole de routage comme OSPF (standard) ou EIGRP (propriétaire Cisco). Faut-il que ces commutateurs embarquent des fonctions de couche 3, on parle de commutateur L3 ou de commutateur multicouche (“Multilayer Switch”).Pour implémenter un FHRP et/ou un protocole de routage sur un commutateur Cisco, on utilise alors des interfaces de couche 3 pour lesquelles on a désactivé “switchport” ou des interfaces logiques communément désignées SVI (“Switched Virtual Interface”) qui représentent les interfaces VLANs.4. Fonctions et protocoles L2 des commutateurs CiscoLes commutateurs Cisco disposent de caractéristiques propres qu’il faut connaitre. Ces caractéristiques propres ont un impact sur l’approche à adopter dans la gestion d’une infrastructure Cisco car elles sont à l’inverse de l’approche de la plupart des fabricants concurrents ce segment de marché.À la différence des commutateurs de marques concurrentes, les technologies VLANs et les protocoles Spanning-Tree, DTP, ISL, VTP et CDP sont activés par défaut sur les commutateurs Cisco.4.1. LANs virtuelsPar défaut, sur les commutateurs Cisco, concernant les LANs virtuels (VLANs) :Le VLAN 1 préexiste et ne peut pas être effacé.Tous les ports appartiennent au VLAN 1.Tous les ports sont “switchports”.4.2. Interfaces SwitchportPar défaut tous les ports d’un commutateur Cisco sont des “switchports”.Un “switchport” est un port de commutateur qui ne remplit que des fonctions de couche 2 et qui transfère du trafic uniquement vers des switchports qui appartiennent au même VLAN.Autrement dit, un switchport ne prend pas d’adresse IP. Par contre, il appartient à VLAN auquel il transfère uniquement du trafic de couche 2. Si la source doit placer du trafic vers un autre réseau, ce trafic doit être livré à une passerelle IP.4.3. Dynamic Trunking ProtocolPar défaut, le protocole propriétaire Cisco Dynamic Trunking Protocol configure automatiquement les ports :DTP configure automatiquement les switchports qui connectent les stations de travail dans le VLAN 1 comme port d’accès (qui ne connecte qu’un seul VLANs)DTP configure automatiquement les switchports qui connectent des commutateurs entre en port Trunk (qui transportent plusieurs VLANs)Le protocole de Trunking est automatiquement négocié par DTP, par défaut deux ports de commutateurs Cisco ne montent pas de Trunk dans un protocole ou un autre (IEEE 802.1Q ou ISL).Voici un exemple de configuration par défaut obtenu avec la commande IOS show interfaces switchportSwitch#show interfaces switchportName: Gi0/0Switchport: EnabledAdministrative Mode: dynamic autoOperational Mode: static accessAdministrative Trunking Encapsulation: negotiateOperational Trunking Encapsulation: nativeNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Administrative Native VLAN tagging: enabled...Protocole VTPPar défaut, le protocole Virtual Trunking Protocol (VTP), propriétaire Cisco, est activé. Il permet une gestion centralisée des bases de données VLANs.La commande show vtp status le confirme :Switch#show vtp statusVTP Version capable             : 1 to 3VTP version running             : 1VTP Domain Name                 :VTP Pruning Mode                : DisabledVTP Traps Generation            : DisabledDevice ID                       : 0c10.2ae8.8000Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00Local updater ID is 0.0.0.0 (no valid interface found)4.4. Spanning-TreeSpanning-Tree est un protocole standardisé qui permet de calculer des chemins redondants sans boucle entre des commutateurs interconnectés entre eux, constituant une architecture de réseau local hautement disponible.Sur un commutateur Cisco par défaut, PVST+ est activé. Il est plus lent à converger que Rapid-PVST+.Bien qu’interopérables avec IEEE 802.1D, Cisco Systems implémente une version propriétaire PVST+ et Rapid-PVST+ qui autorise une instance Spanning-Tree par VLANs.4.5. Voisinage CDP (Cisco Discovery Protocol)Cisco Discovery Protocol (CDP) qui permet de découvrir des périphériques voisins de couche 2 (L2) est également activé par défaut sur les commutateurs Cisco.4.6. Synthèse des protocoles L2 activé par défaut sur un commutateur CiscoFonctionProtocole Cisco activéFréquence des messagesProtocole IEEE correspondantVLANsISL (avec DTP) / VTPDTP (30 secondes)IEEE 802.1QGestion des boucles (Spanning-Tree)PVST+ / Rapid-PVST+2 secondesIEEE 802.1DDécouverte L2CDP60 secondesIEEE 802.1AB5. Conclusion : critères de transfertChaque matériel d’interconnexion du réseau dispose de ses critères quant au transfert du trafic qui lui arrive sur ses ports.Un commutateur prendra sa décision de transfert sur un bon de sortie en fonction de l’adresse MAC destination de la trame. On parle de commutation (LAN switching).Un routeur prendra sa décision de transfert sur un bon de sortie en fonction de l’adresse IP de destination du paquet. Un commutateur de couche 3 (L3) est un commutateur de couche 2 (L2) qui embarque des fonctions de routage IP.Un concentrateur (Hub), un répéteur, ou un bus, le câble lui-même, se contente de propager le signal par tous ses ports. Il ne prend donc aucune décision sur le transfert ; il n’y a rien à configurer dans un Hub. On ne trouve plus ce type de matériel en technologie Ethernet depuis très longtemps. Par contre, la connaissance du Hub Ethernet permet se trouver des similitudes dans la gestion des accès au support et dans le rôle des répéteurs en technologie radio comme IEEE 802.11.

Principes de conception LANLes principes de conception des réseaux LAN (LAN Design) sont popularisés par Cisco Systems dans un modèle de conception hiérarchique et modulaire à trois couches : Access, Distribution et Core. Les catalogues des fabricants utilisent cette nomenclature fonctionnelle pour guider les clients dans leurs choix. On ne manquera d’observer les études de marché qualitatives (Gartner) et quantitatives pour constater le leadership de Cisco Systems.1. Modèles de conceptionL’infrastructure LAN devrait être :robusteévolutivesécuriséegéréeL’infrastructure devrait répondre à plusieurs critères.Elle est documentée et basée sur un modèle de conception.Elle est robuste avec une redondance L1, L2 et L3.Elle est évolutive avec une possibilité de déployer une architecture VLAN.Elle est sécurisée, documentée et dispose de mécanismes d’authentification forte1.1. But d’un modèle de conceptionOn prendra garde à ne pas confondre les modèles de communication OSI ou TCP/IP avec un modèle de conception (design model).Un modèle de conception sert à construire des réseaux en respectant certaines règles d’architecture qui leur permettent de répondre aux besoins actuels et futurs des entreprises et de leurs utilisateurs.Si un modèle de conception facilite le déploiement, la configuration, la maintenance et la mise à jour des infrastructures, on considérera aussi que l’usage d’un tel modèle facilite les achats de matériels et de services.1.2. Principes d’un modèle de conceptionQuels sont les principes d’un modèle de conception ?Hiérarchie : le modèle offre des niveaux fonctionnels : Core/Distribution/AccessModularité : il supporte facilement la croissance et les changements; faire évoluer le réseau est facilité par l’ajout de nouveaux modules au lieu redessiner entièrement l’architecture du réseau.Résilience : il supporte la haute disponibilité (HA) proche des 100 % de disponibilitéFlexibilité : les changements dans l’entreprise peuvent être adaptés au réseau rapidement selon les besoinsSécurité : la sécurité est intégrée au niveau de chaque couche 2. Modèle hiérarchique à trois couches / 3 TierDans une modèle de conception 3 Tier on trouve trois couches d’agrégation du trafic. D’une extrémité à l’autre du réseau, le trafic pourrait passer par deux couches.Modèle de conception hiérarchique à trois couchesCore : Backbone haute vitesse pour transférer rapidement les paquets. Fournit de la haute disponibilité et s’adapte rapidement aux changements.Distribution : Aggrège les connexions des locaux techniques. Utilise des commutateurs pour segmenter et organiser le système d’information en groupes, profils utilisateurs et afin d’isoler les problèmes.Access : Permet aux utilisateurs d’accéder aux périphériques du réseau.2.1. Architecture modulaire et évolutiveChaque couche fournit différentes fonctionnalités et capacités du réseau. Selon la taille du réseau, on aura besoin d’une, deux ou trois couches. Quel que soit le nombre de couches nécessaires, le plus important est que chaque couche fournisse les mêmes services selon les mêmes règles de conception.Concevoir un réseau de manière modulaire permet de le faire évoluer de manière robuste et redondante.Architecture modulaire et évolutiveCette conception répond à une situation réelle d’un “Campus LAN”, soit une architecture du réseau qui correspond à plusieurs bâtiments contigus interconnectés entre eux sous une même administration. On y trouve du trafic utilisateur, du trafic de communications unifiées, du trafic de gestion, du trafic VDI, du trafic critique et des accès aux utilisateurs mobiles, etc.La couche Core interconnecte les bâtiments et les services offerts sur le réseau. La couche Access offre la connectivité aux utilisateurs alors que la couche Distribution agrège le trafic utilisateur vers d’autres réseaux. L’objectif d’une telle méthode de conception est de faire évoluer le réseau de manière la plus efficiente et de faire face aux problèmes de disponibilité.2.2. Couche AccessLa couche Access est celle qui connecte les utilisateurs finaux (end users) au réseau. Les commutateurs (switches) de couche Access offrent une connectivité de type L2 (Couche 2 du modèle OSI) notamment avec la technologie VLAN.Couche AccessOn reconnaîtra un périphérique de couche Access par les fonctionnalités suivantes.Connectivité aux périphériques terminaux, haute densité de ports, interfaces montantesHaute Disponiblité – alimentation redondante et support des First Hop Redundancy Protocols (FHRP).Convergence – fournit du Power over Ethernet (PoE) pour les téléphones IP et les points d’accès sans fil, quality of service (QoS).Securité – comprend d’office les fonctionnalités port security, DHCP snooping, Dynamic ARP inspection, IP source guard.2.3. Couche DistributionLa couche Distribution fournit l’interconnexion entre les couches Access et Core.Couche DistributionOn reconnaîtra un périphérique de couche Distribution par les fonctionnalités suivantes.Lieu d’agrégation : disponibilité et réduction de complexité.Haute disponibilité, “fast path recovery”, répartition de charge, qualité de service (QoS), et sécurité.Route summarization et manipulation de paquets, point de reDistribution entre des domaines de routage, filtrage de paquets et politiques de routage.Termine les VLANs.Redondance de la passerelle : First Hop Redundancy Protocol (HSRP, VRRP, GLBP).Les liaisons montantes (uplinks) des tous les commutateurs Access sont toutes “agrégées” dans la couche Distribution. Les commutateurs de la couche Distribution doivent être capables de supporter la charge de traitement de tout le trafic venant des périphériques Access. Ces commutateurs devraient disposer d’une haute densité de ports à vitesse élevée pour assurer son service d’interconnexion.Les VLANs et les domaines Broadcast/Multicast convergent au niveau de la couche Distribution nécessitant du routage, du filtrage et de la sécurité. Ces commutateurs doivent être capables de router les paquets avec un taux de transfert très élevé.Habituellement, la couche Distribution est une limite L3 qui assure le routage des VLANs.2.4. Couche CoreLa couche Core fournit la connectivité entre tous les périphériques de la couche Distribution. On l’appelle aussi le “Backbone”, la dorsale du réseau dont le rôle principal est de transférer de la manière la plus efficiente un gros volume de trafic du réseau.Couche CoreAgrège le trafic des commutateurs de DistributionImplémente des protocoles et des technologies évolutives et de la répartition de chargeTransfert “haute vitesse” au niveau L3.Utilise de la redondance de niveau L3.Les périphériques de la couche Core ou du Backbone devraient être optimisées pour des oeuvres de commutation à très haute performance. Cette couche doit être conçue avec simplicité et efficience, car elle doit prendre en charge de grandes quantités de volume pour l’ensemble du réseau déployé.2.5. Utilité de la couche CoreSans une couche Core les commutateurs de couche Distribution devraient être entièrement maillés entre eux. Ce choix de conception est difficile à faire évoluer sans compter les besoins en câblage entre les commutateurs de Distribution.Couche Distribution sans couche CoreComme bonne pratique recommandée dans les topologies de type “large campus”, on déploiera une couche Core dédiée pour connecter trois (ou plus) segments physiques de quatre paires (ou plus) de commutateurs de Distribution dans un bâtiment.Couche Distribution avec couche CorePour les plus petites topologies, on peut combiner la couche Core et Distribution dans une topologie appelée “collapsed LAN Core” (voir plus bas).3. Conception modulaire du réseauPour assurer la disponibilité de l’architecture et la faire évoluer aisément, Cisco recommande une conception modulaire du réseau qui organise le réseau en différents “blocks”.Améliorer la disponibilité dans les couches Access et DistributionPour améliorer la disponibilité du réseau, on ajoutera de la redondance dans la couche Distribution. Mais ce design dispose enCore d’une faiblesse : il y a un point unique de rupture dans la couche Core. On ajoutera de la redondance dans la couche Core pour obtenir un design entièrement redondant.Une conception du réseau totalement redondanteOn considérera ici un réseau de type Campus que l’on peut diviser en deux “blocks” :“Switch block”, “Distribution Block”, plus évocateur, un “Building Block” : Un groupe de commutateurs Access et leurs commutateurs Distribution.“Core block” : Le “backbone” du réseau Campus qui connecte tous les “switch blocks”.Dans le diagramme suivant, on fait évoluer le réseau en ajoutant des commutateurs Access dans un “Switch Block”.Évolutivité du réseau dans la couche AccessDans cette figure, le réseau grandit par l’ajout de “switch blocks”.Évolutivité du réseau par ajout de "switch blocks"Les autres composants du réseau Campus qui donne accès à un centre de données, à l’Internet, aux sites distant, les accès externes, la DMZ, etc. sont conçus comme des modules respectant le modèle hiérarchique.3.1. Collapsed Core / 2 TierToutes les situations ne nécessitent pas une couche Core dédiée. Dans ce cas, on peut simplifier la topologie en “Collapsed Core” en réduisant le nombre de couches de deux à trois selon un modèle 2 Tier.Dans une topologie collapsed Core, chaque commutateur de couche Access dispose d’un lien redondant vers chaque commutateur de couche Distribution.Tous les sous-réseaux L3 sont présents dans dans la couche Access et se terminent sur les commutateurs de couche Distribution. Les commutateurs de couche Distribution se connectent les uns aux autres avec des liens redondants.Architecture Collapsed CoreLe chemin entre deux points d’extrémité ne passe plus que par une seule concentration.3.2. Redondance L1, L2 et L3 dans les “Switch blocks”Afin d’assurer la redondance et sa gestion (en évitant du bouclage dans le transfert du trafic), chaque couche pourrait avoir sa préférence sur le niveau de la solution L1 et/ou L2 ou enCore L3.CoucheProtocole/SolutionsDélais de repriseL1EtherchannelPlus ou moins 1 seconde pour rediriger le trafic sur un lien alternatifL2Rapid Spanning TreeQuelques secondesL3First Hop Redundancy Protocols comme HSRP, VRRP, GLBP10 secondes par défaut (Cisco) mais le constructeur conseille 1s hello time, 3s Hold TimeL3Protocoles de routageEn dessous de la seconde avec OSPF ou EIGRPOn mettra dans la couche Access une redondance L1 avec une redondance L2 voire même du routage statique (L3). Le routage dynamique opère au niveau des couches Distribution et Core. Etherchannel ajoute de la redondance sans compliquer les topologies logiques.La topologie suivante illustre une redondance de couche 1 (Etherchannel) dans le “Switch block” qui supporte une redondance de couche 2 (Spanning-Tree) ou de couche 3 (passerelles et routage).Redondance de couche 1 (Etherchannel) à combiner avec une redondance de couche 2 ou couche 3Cette topologie trouve des VLANs qui s’étalent sur la couche Access. La redondance de couche 2 est assurée par Spanning-Tree.Redondance de couche 2Mais il vaudrait mieux éviter du bouclage en plaçant une liaison de couche 3 entre les commutateurs Distribution. Dans cette topologie, les VLANs spécifiques sont limités à chaque commutateur Access.Redondance de couche 2 sans boucleOn peut même pousser les fonctions L3 (routage et passerelle) sur la couche Access.Redondance de couche 33.3. Régles de ConceptionChaque couche devrait contenir une paire de commutateurs.Connecter chaque commutateur à la couche supérieure avec deux liens pour la redondance.Connecter chaque paire de commutateurs de couche Distribution avec au moins un lien, mais ne jamais connecter les commutateurs Access entre eux!Ne pas étendre les VLANs au-delà de la couche Distribution, dans une autre mesure, tenter de les concentrer sur des périphériques physiques qui leur sont dédiés.Prendre avantage du Stacking de châssis (voir plus bas)4. Choix et catalogues de commutateurs4.1. Critères de choix de commutateursFonctionnalités Access/Distribution/CoreFonctionnalités L2 / L3Type d’interface/technologiesContraintes physiquesNombre d’interfacesConformité protocolaireForm Factor : Fixed ports, Modular, StackableGestion, facilités, loyautéPrixGarantie/support4.2. CataloguesCampus LAN and Wireless LAN Design Guide (PDF)HP SwitchesCatalogue Cisco Products/Switches4.3. Stacking de commutateurs et agrégation de châssisUn switch “stackable” est un commutateur qui peut se comporter en “standalone”, de manière isolée, mais qui peut aussi s’agréger avec d’autres commutateurs “stackable” pour offrir une seule plateforme de gestion. Le terme “stack” faire référence à un groupe de commutateurs configurés de cette manière. Les commutateurs sont connectés entre eux en anneau par un câble spécial. Ils peuvent être ajoutés de manière transparente dans un “stack” sans interrompre les opérations sur le réseau. Ceux-ci se configurent automatiquement avec l’image et la configuration appropriée. Avec le “stacking” l’administration du réseau est simplifiée : une seule adresse de gestion, un seul fichier de configuration, une seule table d’adresses MAC …On peut trouver certains avantages avec le “stacking” :Plus haute densité de ports.Usage efficient des ressources.Administration simplifiée du réseau.Évolutivité facilité.Flexibilité de déploiement.Connexions résilientes.Dans un “stack”, on trouve une redondance “1:N master” qui correspond au fait que n’importe quel commutateur peut devenir “Master”.L’agrégation de châssis est une technologie Cisco Systems qui fait fonctionner un seul commutateur. L’agrégation de châssis est semblable au “stacking” sauf que la technologie est disponible sur de gros châssis tels que des C6500 ou des C6800 utilisés dans la couche Core ou Distribution alors que le “stacking” serait plus utilisé dans la couche Access.4.4. Modèles de commutateurs Cisco Campus LAN couche AccessCisco Catalyst 3850 Series SwitchesCisco Catalyst 3650 Series SwitchesCisco Catalyst 4500E Series SwitchesCisco Catalyst 2960-X and 2960-XR Series SwitchesModèle C2960-XR4.5. Modèles de commutateurs Cisco Campus LAN couche DistributionCisco Catalyst 3850 Series SwitchesCisco Catalyst 6807-XL Series Switches with Supervisor Engine 6TCisco Catalyst 6880-X Series SwitchesCisco Catalyst 4500-X Series SwitchesCisco Catalyst 4500E Series SwitchesModèle C38504.6. Modèles de commutateurs Cisco Campus LAN couche CoreCisco Nexus 7700 Series Switches with Supervisor 2ECisco Catalyst 6807-XL Switches with Cisco Catalyst 6500 Supervisor Engine 6TModèle C6807XL

Objectifs de certificationCCNA 200-3011.6 Configurer et vérifier l’adressage et le sous-réseautage (subnetting) IPv41.10 Vérifier les paramètres IP des OS clients (Windows, Mac OS, Linux)Protocoles ARP et ICMP1. Introduction1.1. ARP, ICMP, ICMPv6IPv4 est aidé par deux protocoles pour la résolution d’adresses et le contrôle : ARP et ICMP.En IPv6, c’est ICMPv6 qui remplit ces deux fonctions.Couche Internet du modèle TCP/IP1.2. Protocoles de résolution d’adresses et de découverte du voisinageAfin d’encapsuler un paquet IP dans une trame, l’hôte d’origine a besoin de connaître l’adresse physique (MAC) de la destination.En IPv4, c’est le protocole ARP (Address Resolution Protocol) qui remplit cette fonction. Les hôtes IPv4 maintiennent une table de correspondance entre les adresses IPv4 à joindre et leur adresse physique (MAC). Cette table est appelée “cache ARP”.En IPv6, c’est le protocole ND (Neighbor Discovery), sous-protocole ICMPv6, qui reprend cette fonction. Les hôtes IPv6 maintiennent une table de correspondance entre les adresses IPv6 à joindre et leur adresse physique. Elle est appelée “table de voisinage”.Commandes utilesTable ARP sous Windows et Linuxarp -aTable de voisinage sous Linuxip -6 neighTable de voisinage sous Windowsnetsh interface ipv6 show neighborsarp -a2. Résolution d’adresse ARPLa résolution d’adresse est utile dans les réseaux IPv4 pour obtenir l’adresse physique à laquelle une adresse IP correspond.On peut obtenir le cache ARP sur un système avec la commande :Ce processus permet à l’hôte émetteur de trouver l’adresse de livraison physique du trafic.Il permet à l’hôte d’encapsuler le trafic au niveau de la couche Accès Réseau (Liaison de données) en ajoutant l’adresse MAC du destinataire dans l’en-tête de la trame.2.1. Address Resolution ProtocolARP est le protocole de résolution d’adresse utilisé par IPv4.Il est directement encapsulé par la couche 2.Il est donc indépendant d’IP.Il est formalisé par le RFC 826.2.2. Résolution d’adresses en IPv4Au moment de l’encapsulation d’un paquet IPv4 dans une trame Ethernet ou Wi-Fi par exemple, l’hôte émetteur connaît d’avance l’adresse IP de destination. Mais comment peut-il connaître son adresse physique correspondante (l’adresse MAC de destination par exemple) afin de placer le trafic sur le support ?Un hôte TCP/IP ne peut connaître l’adresse de destination sans qu’elle ne s’annonce elle-même de manière gratuite ou de manière sollicitée.Dans le but de maintenir une correspondance entre des adresses IP à joindre et leur adresse physique de destination, les hôtes TCP/IP entretiennent une “table ARP” pour les adresses IPv4 et une “table de voisinage” pour les adresses IPv6.ARP est un protocole indépendant d’IPv4 qui offre ce service de résolution d’adresses.En IPv6, ce sont des paquets ICMPv6 appelés Neighbor Discovery (ND) qui sont utilisés selon un mode sensiblement différent. En IPv6, les fonctions d’informations et de contrôle (ICMPv6) ont été améliorées et renforcées.La requête ARP émane en Broadcast et la réponse est envoyée en unicast. ND (IPv6) aura un fonctionnement similaire en utilisant une adresse Multicast spéciale en lieu et place du Broadcast.Résolution d'adresse par ARPOn trouvera une capture de trafic de ce processus de résolution d’adresse par ARP : http://www.cloudshark.org/captures/96a2bb5fe747?filter=arpCe trafic émane en Broadcast et se termine en Unicast.2.3. Variantes ARPARP ProbeGratuitous ARP : annonces sans étatInverse ARP : obtenir l’IP à partir l’adresse L2 (Frame-Relay)Reverse ARP : attribution d’adresse IPProxy ARP : mandataire ARP (routeur), fonction que l’on conseille de désactiver.2.4. Processus ARPProcessus ARP dans un environnement commuté2.5. Empoisonnement de cache ARPAttaque ARP Poison Routing (APR)3. ICMPEn IPv4, ICMP “aide” IP par des messages de contrôle et d’erreur. ICMP est formalisé dans le RFC792.Communément, il y a deux classes de messages ICMP :Les messages d’erreur dont le type est de 0 à 127.Les messages d’information dont le type est de 128 à 255.Les différents types ICMP sont précisés par des codes.3.1. Liste de messages ICMPVoici une liste non exhaustive des types de messages ICMP :TypeMessageType 0réponse d’échoType 1 et 2réservésType 3destinataire inaccessibleType 4extinction de la sourceType 5redirectionType 8échoType 11temps dépasséType 12en-tête erronéType 13demande heureType 14réponse heureType 15demande adresse IPType 16réponse adresse IPType 17demande masque sous-réseauType 18réponse masque sous-réseau3.2. ICMP Types 8 Echo Request - 0 Echo ReplyLe programme ping qui permet entre autre de vérifier la connectivité, envoie un paquet “ICMP Echo request” (type 8 code 0), peut recevoir un paquet “ICMP Echo Reply” (type 0 code 0).Capture de paquets ICMP à la suite de la commande >ping www.google.com  https://www.cloudshark.org/captures/f1b5fba6f83fMessage ICMP type 83.3. ICMP Type 3 Destination UnreachableLes messages “ICMP Type 3 Destination Unreachable” ont des codes qui ne sont pas toujours rendus par les logiciels.CodeSignification0Destination network unreachable1Destination host unreachable2Destination protocol unreachable3Destination port unreachable4Fragmentation required, and DF flag set5Source route failed6Destination network unknown7Destination host unknown8Source host isolated9Network administratively prohibited10Host administratively prohibited11Network unreachable for ToS12Host unreachable for ToS13Communication administratively prohibited14Host Precedence Violation15Precedence cutoff in effect3.4. Type 11 Time exceededA la suite de la commande traceroute -m 1 www.google.com, on un message “ICMP Type 11 Time exceeded” revenant du premier saut :Capture : https://www.cloudshark.org/captures/f751ade6b3f1Message ICMP type 113.5. ConclusionsQuand du trafic TCP/IP doit être envoyé, l’hôte encapsule le trafic à destination de l’adresse MAC apprise par ARP.Les messages “ARP Reply” peuvent être gratuits.ICMP complète IPv4 en terme de contrôle et de messages d’erreurs.

Couche Transport TCP et UDPLes protocoles TCP et UDP de la couche Transport des modèles OSI et TCP/IP, vus de manière comparative, font partie des sujets vérifiés dans les certifications ICND1 et CCNA. On trouvera dans ce chapitre une tentative d’éclairage sur le sujet.1. IntroductionLes protocoles de la couche de transport peuvent résoudre des problèmes comme la fiabilité des échanges (“est-ce que les données sont arrivées à destination ?”) et assurer que les données arrivent dans l’ordre correct.Dans la suite de protocoles TCP/IP, les protocoles de transport déterminent aussi à quelle application chaque paquet de données doit être délivré.Les protocoles de couche transport font le lien entre les hôtes (IP) et les services applicatifs (HTTP, FTP, DNS, et d’autres).Mais on retiendra principalement que la couche transport est responsable des dialogues (sessions) entre les hôtes terminaux. Elle permet de multiplexer les communications entre les noeud IP en offrant un support à la couche application de manière :Fiable et connectée avec le protocole TCPNon-fiable et non-connectée avec le protocole UDPLes ports TCP ou UDP (65536 sur chaque interface) permettent aux hôtes terminaux d’identifier les dialogues.Couches Internet, Transport et Application du modèle TCP/IP1.1. TCPTCP, Transmission Control Protocol, offre des services d’établissement et de fin de dialogue ainsi que des messages de maintenance de la communication en mode fiable et connecté avec :des accusés de réceptiondu séquençace, de l’ordonnancementdu contrôle de flux (fenêtrage)de la reprise sur erreurdu contrôle de congestionde la temporisation1.2. UDPUDP, User Datagram Protocol, s’occupe uniquement du transport non fiable.Il est une simple passerelle entre IP et l’application.Il est conseillé pour les applications pour du trafic en temps réel à taille fixe et régulier (voix, vidéo).Il supporte des protocoles simples (TFTP, SNMP) ou souffrant des délais (DHCP, DNS, NTP).1.3. Comparaison UDP et TCPIl est utile de comparer UDP et TCP :UDP est un en-tête amoindri des fonctionnalités TCP.UDP dispose presque uniquement des champs ports source et port destination.1.4. En-tête TCPEn-tête TCPSource de l’image : TCP/IP Reference nmap.org1.5. En-tête UDPEn-tête UDP2. Numéros de portsLes ports sont des portes d’entrée entre les hôtes terminaux. Ils sont codés sur 16 bits de 0 à 65535.Un client IP ouvre un port à l’origine à destination d’un serveur IP écoutant sur un port de destination. La réponse émane du port de l’application sur le serveur à destination du couple IP:port client ouvert à l’origine.La commande netstat -a sur un PC permet de connaître tous les ports à l’écoute et les liaisons maintenues à l’instant (UDP et TCP sur IPv4 et IPv6).C’est ce qu’on appelle un “socket” : l’adresse IP combinée au port identifie chaque partenaire de communication.La liste complète des ports se trouve ici : Service Name and Transport Protocol Port Number Registry.Port TCP/UDP par défautProtocoleTCP 20FTP transfert de donnéesTCP 21FTP signalisationTCP 22SSHTCP 23TelnetTCP 25SMTPUDP/TCP 53DNSUDP 67BOOTPs (DHCP server)UDP 68BOOTPc (DHCP client)UDP 69TFTPTCP 80HTTPTCP 110POP3UDP 123NTPUDP 161SNMPTCP 179BGPTCP 443HTTPSUDP/TCP 514SyslogUDP 520RIPUDP 546DHCPv6 clientUDP 547DHCPv6 serverUDP 2000SCCP (Skiny)TCP 3389MS-RDPUDP/TCP 5060SIPLes hôtes utilisent les ports TCP ou UDP pour identifier les sessions à l’origine (port source) et à la destination.Par exemple, pour établir une session HTTP, l’hôte utilisera un port local au-delà de TCP1024 et le port TCP80 en destination.Les numéros de ports par défaut des services applicatifs sont gérés par l’IANA.3. Protocole TCPLe texte qui suit sur le protocole TCP est directement inspiré de la page Wikipedia sur TCP. Ce propos suffit amplement à maîtriser les objectifs de la certification CCNA.3.1. TCP : fonctionnementUne session TCP fonctionne en trois phases :l’établissement de la connexion ;les transferts de données ;la fin de la connexion.L’établissement de la connexion se fait par un handshaking en trois temps. La rupture de connexion, elle, utilise un handshaking en quatre temps. Pendant la phase d’établissement de la connexion, des paramètres comme le numéro de séquence sont initialisés afin d’assurer la transmission fiable (sans perte et dans l’ordre) des données.3.2. Machine à état TCPMachine à état TCPSource de l’image.3.3. TCP Three Way HandshakeMême s’il est possible pour deux systèmes d’établir une connexion entre eux simultanément, dans le cas général, un système ouvre une ‘socket’ (point d’accès à une connexion TCP) et se met en attente passive de demandes de connexion d’un autre système. Ce fonctionnement est communément appelé ouverture passive, et est utilisé par le côté serveur de la connexion.Le côté client de la connexion effectue une ouverture active en 3 temps :Le client envoie un segment SYN au serveur,Le serveur lui répond par un segment SYN/ACK,Le client confirme par un segment ACK.Connexion TCPSource de l’image.Durant cet échange initial, les numéros de séquence des deux parties sont synchronisés :Le client utilise son numéro de séquence initial dans le champ “Numéro de séquence” du segment SYN (x par exemple),Le serveur utilise son numéro de séquence initial dans le champ “Numéro de séquence” du segment SYN/ACK (y par exemple) et ajoute le numéro de séquence du client plus un (x+1) dans le champ “Numéro d’acquittement” du segment,Le client confirme en envoyant un ACK avec un numéro de séquence augmenté de un (x+1) et un numéro d’acquittement correspondant au numéro de séquence du serveur plus un (y+1).[^source-wikipedia]3.4. Transfert des donnéesPendant la phase de transferts de données, certains mécanismes clefs permettent d’assurer la robustesse et la fiabilité de TCP. En particulier :les numéros de séquence sont utilisés afin d’ordonner les segments TCP reçus et de détecter les données perdues,les sommes de contrôle permettent la détection d’erreurs,et les acquittements ainsi que les temporisations permettent la détection des segments perdus ou retardés.[^source-wikipedia]Dialogue TCPSource de l’image.3.5. Numéro de séquence et numéro d’acquittementLe numéro d’acquittement est le numéro de séquence attendu du partenaire de communication.ACK+1 signifie j’ai reçu les premiers segments donne-moi la suite.On parle de numéro d’acquittement anticipatif.3.6. TemporisationLa perte d’un segment est gérée par TCP en utilisant un mécanisme de temporisation et de retransmission. Après l’envoi d’un segment, TCP va attendre un certain temps la réception du ACK correspondant. Un temps trop court entraîne un grand nombre de retransmissions inutiles et un temps trop long ralentit la réaction en cas de perte d’un segment.Dans les faits, le délai avant retransmission doit être supérieur au RTT moyen d’un segment, c’est-à-dire au temps que prend un segment pour effectuer l’aller-retour entre le client et le serveur. Comme cette valeur peut varier dans le temps, l’ordinateur “prélève” des échantillons à intervalle régulier et on en calcule une moyenne pondérée.3.7. Somme de contrôleUne somme de contrôle sur 16 bits, constituée par le complément à un de la somme complémentée à un de tous les éléments d’un segment TCP (en-tête et données), est calculée par l’émetteur, et incluse dans le segment émis. Le destinataire recalcule la somme de contrôle du segment reçu, et si elle correspond à la somme de contrôle reçue, on considère que le segment a été reçu intact et sans erreur.3.8. Contrôle de fluxChaque partenaire dans une connexion TCP dispose d’un tampon de réception dont la taille n’est pas illimitée. Afin d’éviter qu’un hôte ne surcharge l’autre, TCP prévoit plusieurs mécanismes de contrôle de flux. Ainsi, chaque segment TCP contient la taille disponible dans le tampon de réception de l’hôte qui l’a envoyé. En réponse, l’hôte distant va limiter la taille de la fenêtre d’envoi afin de ne pas le surcharger. D’autres algorithmes comme Nagle ou Clarck facilitent également le contrôle du flux.3.9. Contrôle de congestionLa congestion intervient lorsque trop de sources tentent d’envoyer trop de données trop vite pour que le réseau soit capable de les transmettre. Ceci entraîne la perte de nombreux paquets et de longs délais.Les acquittements des données émises, ou l’absence d’acquittements, sont utilisés par les émetteurs pour interpréter de façon implicite l’état du réseau entre les systèmes finaux. À l’aide de temporisations, les émetteurs et destinataires TCP peuvent modifier le comportement du flux de données. C’est ce qu’on appelle généralement le contrôle de congestion.Il existe une multitude d’algorithmes d’évitement de congestion pour TCP.3.10. Autres fonctionnalités TCPTCP utilise un certain nombre de mécanismes afin d’obtenir une bonne robustesse et des performances élevées. Ces mécanismes comprennent l’utilisation d’une fenêtre glissante, l’algorithme de démarrage lent (slow start), l’algorithme d’évitement de congestion (congestion avoidance), les algorithmes de retransmission rapide (fast retransmit) et de récupération rapide (fast recovery), etc.Des recherches sont menées actuellement afin d’améliorer TCP pour traiter efficacement les pertes, minimiser les erreurs, gérer la congestion et être rapide dans des environnements très haut débit.3.11. Fin d’une connexionLa phase de terminaison d’une connexion utilise un handshaking en quatre temps, chaque extrémité de la connexion effectuant sa terminaison de manière indépendante. Ainsi, la fin d’une connexion nécessite une paire de segments FIN et ACK pour chaque extrémité.Fin de connexion TCP