Le Principe de L PDF

Le principe de l'encapsulation dans le
modèle OSI
Le principe de l'encapsulation dans le modèle OSI est un aussi une notion fondamentale pour
bien comprendre le fonctionnement de la transmission d'un hôte d'origine à sa destination.
Chaque couche parle à l'autre dans un contexte d'égal à égal.
Les protocoles dans le modèle OSI

Voici un aperçu des protocoles de la pile TCP/IP en regard des couches du modèle OSI tiré
d’Ospf Network
Notions basiques de signalisation
Voici un bref résumé sur les supports en cuivre.
1. Electricité :
• Le courant électrique est la mesure du flux d'électrons dans un circuit électrique.

• Les trois parties essentielles d'un circuit électrique sont : L'alimentation secteur ou
la batterie, le trajet complet, la charge ou la résistance.
• La résistance est l'opposition au mouvement des électrons dans les matériaux. Un
isolant est un matériau offrant une grande résistance au courant électrique.
• La tension est la force ou pression résultant de la séparation des électrons et des
protons.
• Un circuit analogique est un circuit électrique associé à un graphique de tension
variant constamment par rapport au temps.
• La mise à la terre de sécurité est reliée sur un ordinateur aux pièces métalliques
exposées
2. Signalisation
• La propagation d'un signal réseau est un trajet.

• L'atténuation est un signal qui perd de sa puissance au profit de son environnement.
• La latence est le retard d'un signal réseau.
• Un défaut d'adaptation d'impédance produit une énergie réfléchie.
• La cause première de la diaphonie est Le bruit électrique provenant des autres fils
d'un câble.
• Avec l'annulation dans un câblage, les paires de fils torsadées assurent un blindage
naturel dans le média réseau.
• Une collision est une communication simultanée de deux unités sur un média
commun.
• Le codage est la conversion de données binaires sous une forme qui leur permet de
circuler sur une liaison de communication physique. (par exemple, Manchester et
NRZ sont des méthodes de codage)
Câbles droits et câbles croisés UTP
Par francois Dernière modification 09/12/2007 14:17 Francois Goffinet
On trouvera ici les schémas de brochage des câbles droits et des câbles croisés ainsi que leur
utilité.
Outre le fait que les nouvelles gammes de matériel actif s'adaptent automatiquement aux
câbles, on utilisera soit du câble croisé ou droit selon le type de matériel que l'on connecte :
Câbles droits :
• PC à Hub
• PC à Switch
• Switch à Routeur
Câbles croisés :
• Switch à Switch
• Hub à Hub
• Routeur à Routeur
• PC à PC
• Hub à Switch
• PC à Routeur
Brochage droit d'un câble UTP/STP cat. 5 sur une prise modulaire RJ45
Jack mâle
En regardant les contacts métalliques de la fiche :

R/T Fils Couleurs Fils Couleurs R/T
TD+ 1 Blanc/Orange --> 1 Blanc/Orange TD+
TD- 2 Orange --> 2 Orange TD-
RD+ 3 Blanc/Vert --> 3 Blanc/Vert RD+
4 Bleu --> 4 Bleu
5 Blanc/Bleu --> 5 Blanc/Bleu
RD- 6 Vert --> 6 Vert RD-
7 Blanc/Marron --> 7 Blanc/Marron
8 Marron --> 8 Marron
Brochage croisé d'un câble UTP/STP cat 5 sur une prise modulaire RJ45
Jack mâle
Il faut échanger les broches 1 avec 3 et 2 avec 6, c'est à dire remplacer les fils verts par les fils
oranges et vice versa.
En regardant les contacts métalliques de la fiche :
R/T Fils Couleurs Fils Couleurs R/T
TD+ 1 Blanc/Vert --> 1 Blanc/Orange TD+
TD- 2 Vert --> 2 Orange TD-
RD+ 3 Blanc/Orange --> 3 Blanc/Vert RD+
4 Bleu --> 4 Bleu
5 Blanc/Bleu --> 5 Blanc/Bleu
RD- 6 Orange --> 6 Vert RD-
7 Blanc/Marron --> 7 Blanc/Marron
8 Marron --> 8 Marron
Timing Ethernet
Les notions de temps dans les technologies Ethernet Half-duplex sont d'une importance
capitale. Elles permettent également de préciser le mécanisme de reprise de transmision
(Backoff) pour la ou les cartes réseaux impliquées dans une collision. Le succès d'Ethernet est
d'avoir gardé une compatibilité totale qu'elle qu'ait été l'évolution croissante des vitesses sur
différents supports, notamment grâce à un mécanisme d'adaptation (négociation).
1. Unité de mesure indépendante de la vitesse : le bit time.
Le bit time est l'unité de mesure de référence dans le calcul des délais Ethernet. En fonction
de la vitesse de la technologie cette notion absolue, « transmettre un bit en un temps »,
donnera un délai concret :
Considérant que 1 µs = 0,000001 s et que 1 ns = 0,000000001 s,

10 Mbps correspond à la transmission de 1 bit en 0,1 µs ou en 100 ns ;
100 Mbps correspond à la transmission de 1 bit en 0,01 µs ou en 10 ns ;
1 Gbps correspond à la transmission de 1 bit en 0,001 µs ou en 1 ns.
Grâce à cette unité de mesure, les valeurs resteront identiques quelle que soit la vitesse de la
technologie.
2. CSMA/CD dans les technologies Ethernet Half-Duplex 10 Mbps.
Il est important d'avoir à l'esprit que le mécanisme ici présenté concerne les premières
technologies Ethernet en Half-Duplex où le phénomène des collisions est inhérent sur un
médium physique partagé.
2.1. Détection de la porteuse
Chaque station souhaitant émettre détecte si il y a absence de porteuse. En cas contraire, le

média est déjà pris. Dès que l'absence de porteuse est constatée, autrement dit, dès qu'il y a
silence, la carte réseau continue à attendre dans un délai minimum de 96 bit time (9,6 µs). Ce
délai est appelé le Interframe Gap Spacing (IFG). Il correspond à la place minimale entre
deux trames sans erreurs de collision, la place nécessaire entre le dernier bit du champ FCS et
le premier bit du champ preambule de la trame suivante.
2.2. La transmission
Après l'IGF, à condition qu'il y ait toujours absence de porteuse, la carte réseau commence à
transmettre. Si aucune collision n'est détectée, la station considère que la transmission s'est
déroulée avec succès.
Une collision est détectée localement par une carte émettrice si il y a une augmentation de
l'amplitude du signal, sur du câble coaxial, ou sur de la paire torsardée (en Half-Duplex), si
les deux paires RX et TX sont utilisées simultanément.
En cas de collision, ce sont seulement les cartes émettrices, nécessairement impliquées, qui
agissent. Elles renforcent la collision en émettant un signal de bourrage (jam signal) de
broadcast d'une longueur de 32 bits. Cette trame est remplie d'une suite de 1 et de 0 binaires.
Dans un logiciel d'analyse, on aura une suite de 0xA (1010 binaire) ou de 0x5 (101 binaire).
Si la collision est détectée pendant la transmission du préambule (64 bits de 1 et 0), les 32 bits
de bourrage y sont ajoutés. L'algorithme Back-Off entre alors en jeu pour la reprise de la
transmission.
Les cartes réseau vont considérer que si aucune collision n'est détectée endéans un délai de
512 bit time (autrement dit après l'envoi des 64 premiers octets en 51,2 µs sur du 10 Mbps), le
canal est acquis et aucune collision tardive ne peut intervenir sur un réseau bien conçu
(respectant les normes).
2.3. La détection de collision et le slot time.
Les collisions apparaissent sur un réseau Half-Duplex à cause du partage d'un média. Elles
sont possibles car la transmission d'un signal prend un certain délai de propagation. Le slot-
time est défini à 512 bit-time sur du 10 Mbps et 100 Mbps Ethernet. Il est déterminé par le
temps moyen maximal théorique de la transmission d'un symbole d'une extrémité à l'autre du
réseau. Dans cette fourchette de temps, deux stations pourraient émettre en même temps alors
qu'aucune porteuse n'aurait été détectée ! Il s'ensuivrait des collisions. Etant donné que le
champ data d'une trame doit être au minimum de 46 octets et que les champs d'en-tête ont une
longueur fixe de 22 octets, on considérera qu'une trame valide aura toujours au moins une
longueur de 512 bits, le slot time.
2.4. L'algorithme Backoff
L'algorithme Backoff est un mécanisme qui permet de faire en sorte que deux ou plusieurs
stations impliquées dans une collision retransmettent leur trame dans des délais différents
générés de manière aléatoire. En fonction du nombre d'essais de retransmission (15
maximum, le seizième jette la trame), la fourchette de délais de reprise grandit de manière
exponentielle. Cette fourchette va de zéro à un nombre entier multiplié par le slot time.
Ce nombre entier est calculé comme suit :
0 =< a < 2 exp k où k = min(n,10)
La variable k est le nombre de collisions intervenues (le nombre d'essais) dans un maximum
de 10. La variable a peut prendre une valeur aléatoire entre 0 et 1023 quand k = 10. On voit
dans le tableau ci-dessous que les temps de backoff vont croître de manière exponentielle
après un nombre consécutifs de collisions. En fonction du nombre d'essai, on peut estimer le
nombre de stations impliquées. Dnas un cas estimé de plus de 1023 stations impliquées, on
estime que la situation a dépassé des limites raisonables d'un réseau performant.
Essai Nombre estimé Plage de Plage de délais

d'autres stations nombre Backoff (µs)
impliquées aléatoire
1 1 0 ... 1 0 ... 51,2
2 3 0 ... 3 0 ... 153,6
3 7 0 ... 7 0 ... 358,4
4 15 0 ... 15 0 ... 768,0
5 31 0 ... 31 0 ... 1587,2
6 63 0 ... 63 0 ... 3225,6
7 127 0 ... 127 0 ... 6502,4
8 255 0 ... 255 0 ... 13056,0
9 511 0 ... 511 0 ... 26163,2
10 1023 0 ... 1023 0 ... 53377,6
11 1023 0 ... 1023 0 ... 53377,6
12 1023 0 ... 1023 0 ... 53377,6
13 1023 0 ... 1023 0 ... 53377,6
14 1023 0 ... 1023 0 ... 53377,6
15 1023 0 ... 1023 0 ... 53377,6
16 / / Trame jetée
3. La nature des collisions
On trouvera trois types de collisions.
Primo, une collision locale est une collision détectée sur un segment physique telle que les
cartes réseau la détecte dans le cadre du mécanisme CSMA/CD décrit ci-dessus. Elle
intervient avant la transmission des 64 premiers octets.
Deusio, une collision distante est une collision qui ne dispose pas d'une longueur minimale
de 64 octets et dont le champ FCS est invalide à la vérification du récepteur mais qui n'est pas
détectée en tant que collision locale (activité simultanée RX et TX, augmentation d'amplitude
du signal). En général, ce type de collision intervient au-delà du matériel intermédiaire tel
qu'un hub ou un répéteur. Elle intervient avant la transmission des 64 premiers octets. C'est
l'erreur la plus courante sur les réseaux UTP.
Tertio, une collision tardive est la seule qui intervient après les 64 premiers octets. Ce type de
collision est ignorée par les cartes réseau et intervient dans le cas où les stations sont trop
éloignées physiquement pour détecter une collision. Le respect de la règle 5-4-3-2-1, -cinq
segments physiques, quatre répéteurs, trois segments occupés par des stations, 2 segments de
liaison entre répéteurs et un seul domaine de collision- permet d'éviter les collisions tardives.
En fait, les sources de latence, principalement les cartes réseaux, le support lui-même et les
matériels intermédiaires ont leur limite de propagation et de re-synchronisation du signal. Ces
limites physiques sont vulgarisées dans la règle.
4. Fast Ethernet Full-Duplex
Dans un contexte où un canal serait dédié à la transmission TX et un autre à la réception RX

dans un réseau commuté, aucune collision (sauf d'éventuelles tardives) ne peuvent arriver.
Cette amélioration élimine la problématique vue ci-dessus. L'utilisation d'un mécanisme Full-
Duplex associé aux capacités croissantes en bande passante a fait d'Ethernet une technologie
de plus en plus fiable, facile à implémenter et à utiliser, de moindre coût et standardisée.
Un autre facteur de succès des technologies Ethernet est leur capacité à assurer une
compatibilité entre les différentes évolutions. Outre le respect du format des trames, cette
compatibilité est assurée par un mécanisme d'auto-négociation assuré par l'envoi régulier d'un
signal «link pulse» qui permet aux stations de déterminer dans un ordre précis avec une
négociation progressive le type de communication commune en vitesse et en mode Half- ou
Full- duplex. Toutefois, en fonction des pilotes développés pour les chipsets des cartes
réseaux, ils reste possible de forcer par logiciel le type de communication.
En ce qui concerne le format de trame, le champ preambule qui est utile à la synchronisation
dans un contexte de transmission asynchrone (Half-Duplex) devient redondant et inutile mais
a été gardé dans la perspective d'une inter-opérabilité des technologies.
5. Annexes
5.1. Caractéristiques générales du protocole Ethernet
5.2. La structure d'une trame Ethernet
Ethernet II DIX Frame

368 to 12000 bits
16
64 bits 48 bits 48 bits (46 to 1500 32 bits
bits
bytes)
Frame
Individual / Group Destination Source
Preamble Type Data Check
Address Bit Address Address
Sequence
IEEE 802.3 Frame

368 to 12000
8 bits
56 bits 48 bits 48 bits 16 bits 32 bits
bits (46 to 1500
bytes)
Individual/ Globally/
Group Locally Destination Source
Preamble SFD Length LLC/Data
Address Administered Address Address
Bit Address Bit
Le Dynamic Host Configuration Protocol
(DHCP) - RFC 2131
L'implémentation d'un service RARP (Reverse ARP), utilisant des messages ARP (couche 3)
dans un contexte client/serveur afin qu'un serveur attribue à un client qui en fait la demande
une adresse IP prédéfinie est devenu obsolète. Le successeur de BOOTP (couche7), DHCP est
le protocole incontournable pour la bonne compréhension des mécanismes d'attribution
statique, automatique ou dynamique d'une multitude de paramètres réseaux aux clients, dont
l'adresse IP, le masque, la passerelle ...
Le Dynamic Host Configuration Protocol (DHCP) est utilisé pour activer des hôtes (Clients
DHCP) sur un réseau IP pour obtenir leur configuration d'un serveur (Serveur DHCP),
notamment en leur attribuant dynamiquement leur adresse IP. Cette solution est évidemment
intéressante pour réduire le poids administratif de la gestion d'un tel réseau [1].
Le protocole DHCP est décrit dans la RFC 2131.
DHCP, protocole applicatif, utilise UDP au niveau de la couche transport. Le client envoie
des messages au serveur sur le port (67) et le serveur renvoie des messages au client sur le
port (68).
DHCP est une extension du protocole BOOTP [2]. Les deux principales différences entre ces
deux protocoles sont les suivantes :
1. DHCP définit un mécanisme d'assignation d'adresse IP à un client pour une période

déterminée (bail), cette adresse pouvant être redonnée à un autre client plus tard.
2. DHCP fournit le mécanisme qui donne beaucoup plus de paramètres de configuration pour
qu'un client puisse opérer dans un réseau TCP/IP.
Il y a trois mécanisme d'assignation d'adresses IP :
1. Allocation automatique - DHCP assigne une adresse IP permanente à un client.
2. Allocation manuelle - L'adresse IP du client est assignée par un administrateur, DHCP

donne l'adresse au client.
3. Allocation dynamique - DHCP assigne une adresse IP au client pour une période limitée
(bail - lease)
Nous nous concentrerons sur le mécanisme des allocations dynamiques. D'autres paramètres
de configurations sont disponibles dans la RFC 1533, dont :
Le masque de sous-réseau
Le routeur
Le domaine
Le serveur DNS
Fonctionnement basique :
Ce schéma résume de façon simplifiée le fonctionnement de DHCP :
Résumé de DHCP
Fonctionnement détaillé :
Dans un session typique, le client diffuse (broadcast) un message DHCPDISCOVER sur son
segment local. Le client peut suggérer son adresse IP et la durée du bail (lease). Si le serveur
est sur le même segment, il peut répondre avec un message DHCPOFFER qui inclut une
adresse IP valide et d'autres paramètres comme le masque de sous-réseau [3]. Une fois que le
client reçoit ce message, il répond avec un DHCPREQUEST qui inclut une valeur identifiant
le serveur (pour le cas oà¹ il y en aurait plusieurs). Cette valeur l'identifie de manière certaine
et décline implicitement les offres des autres serveurs. Une fois le DHCPREQUEST reçu, le
serveur répond avec les paramètres définitifs de configuration par un message DHCPACK (si
le serveur a déjà assigné l'adresse IP, il envoie un DHCPNACK).
Si le client détecte que l'adresse IP est déjà utilisée sur le segment, il envoie un
DHCPDECLINE au serveur et le processus recommence [4].
Si le client reçoit un message DHCPNACK du serveur après un DHCPREQUEST, le

processus recommence également.
Si le client plus besoin d'une adresse IP, il envoie un DHCPRELEASE au serveur. Avec
Windows, on exécutera la commande ipconfig /release_all [5].
Si le client veut étendre la durée du bail qui lui est allouée, il envoie un DHCPREQUEST au
serveur dans lequel le champ 'ciaddr' correspondra à son adresse IP actuelle. Le serveur
répondra avec un DHCPACK comprenant la nouvelle durée du bail.
On trouvera donc 4 états DHCP pour le client :
1. Initialisation
2. Sélection
3. Requête
4. Liaison
Voici le schéma proposé par la RFC 2131 :
Message Utilisation
DHCPDISCOVER Diffusion (broadcast) du client pour localiser les serveurs disponibles
Du serveur au client pour répondre au DHCPDISCOVER avec les
DHCPOFFER
paramètres de configuration.
Message client aux serveurs soit (a) qui demande les paramètres à un
serveur et décline implicitement les offres de tous les autres, (b) qui
DHCPREQUEST confirme la validité des adresses précédemment allouées, par ex : un
redémarrage système, ou (c) qui étend le bail sur une adresse réseau en
particulier.
Du serveur au client avec les paramètres de configuration et qui inclut
DHCPACK
l'adresse réseau déjà attribuée.
Du serveur au client indiquant que la notion d'un client pour les adresses
DHCPNAK réseau est incorrecte. (par ex : si un client est déplacé sur un nouveau sous
réseau) ou que le bail du client a expiré.
DHCPDECLINE Client vers serveur indiquant que l'adresse réseau est déjà utilisée.
DHCPRELEASE Client vers serveur libérant l'adresse réseau et annulant le bail.
Client vers serveur, demandant seulement les paramètres de configuration
DHCPINFORM locaux ; le client possède déjà une adresse réseau attribuée de manière
externe.
Adressage IP
Par francois Dernière modification 09/12/2007 14:17
Il est essentiel de maîtresser l'adressage IP Classfull. Il faut d'abord identifier la classe

d'adresse et utiliser les masques par calcul binaire. Toutefois, la méthode dite du "nombre
magique" épargne bien des efforts ...
Au sommaire :
I. Identification de la classe d'adresse (RFC 791)
II. Utilisation d'un masque (RFC 950) - Calcul binaire
III. Méthode dite du nombre magique
IV. Nombre de sous-réseaux / nombres d'hôtes
Une adresse IP (Internet Protocol) est une identification unique pour un hôte sur un réseau IP.
Une adresse IP est un nombre d'une valeur de 32 bits représentée par 4 valeurs décimales
pointées ; chacune a un poids de 8 bits (1 octet) prenant des valeurs décimales de 0 à 255
séparées par des points. La notation est aussi connue sous le nom de « décimale pointée ».
I. Identification de la classe d'adresse (RFC 791)
1. Les Classes
Il s'agira d'identifier la classe d'adresse :

Les adresses de Classe A commencent par 0xxx en binaire, ou 0 à 127 en décimal.
Les adresses de Classe B commencent par 10xx en binaire, ou 128 à 191 en décimal.
Les adresses de Classe C commencent par 110x en binaire, ou 192 à 223 en décimal.
Les adresses de Classe D commencent par 1110 en binaire, ou 224 à 239 en décimal.
Les adresses de Classe E commencent par 1111 en binaire, ou 240 à 255 en décimal.
Notes sur les Classes d'adresses :

Seules les adresses de Classes A, B et C sont assignables à des interfaces (adresse
d'Unicast)
La classe D est utilisée pour des adresses de Multicast (adresse unique identifiant de
nombreuses destinations)
La classe E est utilisée pour des besoins futurs ou des objectifs scientifiques
Adresses spécifiques :
Les adresses commençant de 127.0.0.0 à 127.255.255.255 sont réservées pour le bouclage
(loopback)
Adresses privées non routables vers l'Internet sont (RFC 1918) :
• Pour la classe A : de 10.0.0.0 à 10.255.255.255

• Pour la classe B : de 172.16.0.0 à 172.31.255.255
• Pour la classe C : de 192.168.0.0 à 192.168.255.255
2. Distinction de la partie réseau de la partie hôte
Par défaut :
La partie réseau des adresses de Classe A portera sur le premier octets et la partie hôte sur les
trois derniers (2^24 = 16 777 216 hôtes possibles par réseau)
La partie réseau des adresses de Classe B portera sur les deux premiers octets et la partie
hôte sur les deux derniers (2^16 = 65 536 hôtes possibles par réseau)
La partie réseau des adresses de Classe C portera sur les trois premiers octets et la partie hôte
sur le dernier (2^8 = 256 hôtes possibles par réseau) [1] [2]
II. Utilisation d'un masque (RFC 950)
Un masque va préciser de manière certaine dans quel réseau se trouve un adresse IP et en

conséquence :
1. L'adresse du réseau (appelée aussi numéro de réseau, non assignable)
2. L'adresse de broadcast (adresse visant toutes les destinations, non assignable)
3. La plage d'adresses utilisables (de la première à la dernière en dehors des adresses

précitées)
Un masque sera une suite de 32 bits divisée en 4 octets pointés composée uniquement d'abord
d'une suite de 1 et, après, d'une suite de 0. La notation est aussi décimale pointée. Toutefois,
on trouvera une autre notation dite CIDR [3] qui représente le nombre de bits pris par la partie
réseau du masque.
1. Masque par défaut
Le nombre d'hôte possible obtenus ci-dessus correspond à l'application d'un masque par
défaut sur type de classe d'adresse :
Le masque par défaut des adresses de Classe A est 255.0.0.0 ou /8

Le masque par défaut des adresses de Classe B est 255.255.0.0 ou /16
Le masque par défaut des adresses de Classe C est 255.255.255.0 ou /24
Méthode par calcul binaire
L'adresse du réseau, l'adresse de broadcast et la plage d'adresses utilisables peut être obtenu à
partir d'un calcul booléen de type ET ou la conjonction logique (une proposition est vraie
lorsque les deux termes sont tous les deux vrais) :
a. Obtenir l'adresse du réseau :
Pour l'adresse IP 140.159.125.25, adresse de classe B à laquelle on applique un masque par

défaut de 255.255.0.0 :
10001100.10011111.01111101.00011001 140.159.125.25
11111111.11111111.00000000.00000000 255.255.0.0
-----------------------------------
10001100.10011111.00000000.00000000 140.159.0.0
L'adresse du réseau est donc 140.159.0.0
b. Obtenir l'adresse de broadcast :
On va remplacer les bits de valeur 0 de la partie hôte du résultat obtenu pour l'adresse de
réseau par des bits de valeur 1 :
10001100. 10011111. 00000000. 00000000 140.159.0.0

par :
10001100. 10011111. 11111111. 11111111 140.159.255.255
c. Obtenir la plage d'adresses de ce réseau :
La plage d'adresse du réseau sera comprise entre la première adresse utilisable et la dernière
utilisable, autrement dit, celle qui suit l'adresse du réseau et celle qui précède l'adresse de
broadcast :
De
10001100. 10011111. 00000000. 00000001 140.159.0.1
A
10001100. 10011111. 11111111. 11111110 140.159.255.254
2. Masques restrictifs
Les masques présentés ci-dessus sont des masques appartenant par défaut à chaque classe
d'adresse. On pourra utiliser d'autres masques plus restrictifs afin de diviser un réseau en
plusieurs sous-réseaux afin d'optimiser un plan d'adressage. [4]
On va emprunter des bits à la partie hôte au profit de la partie réseau. De manière intuitive,
on peut considérer qu'à partir d'un réseau de classe C de 256 adresses possibles, on pourra,
par exemple obtenir 4 sous-réseaux différents de 64 adresses.
Dans ce cas-ci, on dira que l'on a emprunté deux bits à la partie hôtes (2 exp 2 = 4) ne restant
que 6 bits pour les hôtes (2 exp 6 = 64).
Selon la RFC 950, les premiers et derniers sous-réseaux et la première et la dernière adresse
sont non valides. On obtiendrait donc 2 sous-réseaux (4-2) avec chacun 62 hôtes possibles
(64-2) [5].
Notez aussi qu'il doit toujours rester 2 bits pour la partie hôte (4-2 = 2) quelle que soit la
classe utilisée [6]. Notez aussi que vous perdrez en conséquence, selon les circonstances, un
grand nombre d'hôtes assignables [7]
Par exemple :
Pour l'adresse IP 195.74.212.78, adresse de classe C à laquelle on applique un masque par

défaut de 255.255.255.192 par la même méthode que présenté ci-avant :
a. Obtenir l'adresse du réseau :
11000011.01001010.11010100.01001110 195.74.212.78
11111111.11111111.11111111.11000000 255.255.255.192
-----------------------------------
11000011.01001010.11010100.01000000 195.74.212.64
L'adresse du réseau est donc 195.74.212.64
b. Obtenir l'adresse de broadcast :
On va remplacer les bits de valeur 0 de la partie hôte du résultat obtenu pour l'adresse de
réseau par des bits de valeur 1 :
11000011. 01001010. 11010100. 01000000 195.74.212.64

par :
11000011. 01001010. 11010100. 01111111 195.74.212.127
c. Obtenir la plage d'adresses de ce réseau :
La plage d'adresse du réseau sera comprise entre la première adresse utilisable et la dernière
utilisable, autrement dit, celle qui suit l'adresse du réseau et celle qui précède l'adresse de
broadcast :
De
11000011. 01001010. 11010100. 01000001 195.74.212.65
A
11000011. 01001010. 11010100. 01111110 195.74.212.126
III. Méthode dite du nombre magique.
Le calcul binaire peut sembler fastidieux. La méthode dite du nombre magique permet d'éviter
ces calculs.
Le nombre magique est 256 soustrait de la valeur intéressante autre que 0 ou 255 du
masque.
Pour trouver l'adresse réseau, il suffira de trouver le multiple du nombre magique directement
inférieur ou égal à l'adresse IP :
Pour l'adresse IP 195.74.212.136, adresse de classe C à laquelle on applique un masque par

défaut de 255.255.255.192, le nombre magique est 256-192 = 64, le multiple juste inférieur
étant 128. L'adresse réseau est donc 195.74.212.128
Pour trouver l'adresse de la première adresse utilisable, il faudra ajouter 1 au dernier octet du
numéro de sous-réseau : 195.74.212.129
Pour l'adresse de broadcast, il faudra faire (numéro de sous-réseau + nombre magique -1)
128+64-1, ce qui donnera l'adresse 195.74.212.191
Pour trouver l'adresse de la dernière adresse utilisable, il faudra soustraire 1 au dernier octet
de l'adresse de broadcast : 195.74.212.190
Autre exemple plus complexe :
Octet Octet Octet Octet

Commentaire
1 2 3 4
Adresse IP 10 200 10 18
Masque 255 224 0 0
Numéro de sous-
10 192 0 0 Nombre magique = 256-224 = 32
réseau
Première adresse Ajouter 1 au dernier octet du numéro de
10 192 0 1
utilisable sous-réseau
Adresse de
10 223 255 255 192+32-1 = 223
Broadcast
Dernière adresse Soustraire 1 du dernier octet de
10 223 255 254
utilisable l'adresse de broadcast
IV. Nombre de sous-réseaux / nombres d'hôtes
Les formules sont simples :
Nombre de sous-réseaux : 2 EXP bits empruntés pour le sous-réseaux - 2

Nombre d'hôtes : 2 EXP bits restant pour les hôtes - 2
A condition d'avoir en tête ce tableau de conversion :
Bits réseaux Binaire Décimal

0 00000000 0
(1) 10000000 (128)
2 11000000 192
3 11100000 224
4 11110000 240
5 11111000 248
6 11111100 252
(7) 11111110 (254)
8 11111111 255
Notions de base sur les routeurs

Cet article comporte trois parties : d'abord, un descriptif des mémoires et de la séquence
démarrage, ensuite, les notions de ports et d'interfaces et, enfin, une courte introduction sur
l'interface de configuration en ligne de commande.
Les mémoires
Types de mémoires
Mémoire Contenu Commande
RAM Fichier de configuration courante show running-config
(DRAM) Tables de routage show ip route
Cache ARP show arp
Mémoire de travail show memory
ROM POST ---
(EPROM) Bootstrap
Mode ROM Monitor ou RXBoot
Trouve et charge l'IOS
Flash Emplacement de l'image IOS show flash
(EPROM, Fichiers de configuration supplémentaires

SIMM ou
PCMCIA) Images supplémentaires de l'IOS
NVRAM Fichier de configuration de démarrage show startup-config
Registre de configuration show version
Séquence de démarrage
La séquence démarrage est détaillée lors de la présentation orale et à la page 5.1.2. :

Les interfaces et les ports
Un routeur comporte différents types d'interfaces et de ports.
Les interfaces
Les interfaces permettent au routeur d'interconnecter les réseaux pour le routage et la

commutation. Elles sont utiles à la transmission des données sur le média.
En fonction des technologies, on trouvera différents type d'interfaces LAN ou WAN :
• Ethernet, Token Ring, WLAN, FDDI, etc.

• Série, Asynchrone, BRI (ISDN), etc
Les ports
Les ports, à proprement parler, permettent de gérer le routeur à distance.
On trouvera :
• Le port console qui autorisera un communication physique sérielle vers un station de

travail sur laquelle est installé un logiciel de communication comme HyperTerminal.
• Le port auxiliaire (AUX) qui permettra une connection via modem.
Notons qu'en dehors des ports, les interfaces permettent aussi de gérer le routeur si elles sont
correctement configurées grâce à Telnet (jusqu'à 5 terminaux virtuels VTY) ou en
téléchargeant un fichier de configuration via TFTP.
Command Line Interface (CLI)
Hiérarchie CLI
On trouve au moins trois niveaux hiérarchiques CLI principaux :
I. Mode utilisateur (User EXEC mode)

Invite Router>
Accès Mode par défaut au démarrage
Description Informations très limitées sur le routeur
II. Mode privilège (Priviliged EXEC mode)

Invite Router#
Accès Router>enable
Description Informations détaillées et toutes commandes qui ne
configurent pas le routeur
III. Mode configuration globale (Global Configuration mode)

Invite Router(config)#
Accès Router#configure terminal
Description Configuration générale et globale du routeur
Le mode de configuration global possède des niveaux spécifiques dont, entre autres :
III. 1. Configuration des interfaces

Invite Router(config-if)#
Accès Router(config)#interface ethernet 0, par exemple ou
Router(config)#interface serial 1
Description Configuration spécifique des interfaces
III. 2. Configuration des lignes (ports)
Invite Router(config-line)#
Accès Router(config)#line console , par exemple ou
Router(config)#line aux
Description Configuration spécifique des lignes (ports)
III. 3. Configuration du routage

Invite Router(config-router)#
Accès Router(config)#router rip , par exemple ou
Router(config)#router igrp 100

Description Configuration spécifique du routage
Notons que la commande exit permet de sortir d'un mode en revenant au précédent tandis que
la combinaison des touches CTRL et Z ramène au mode privilège :
Router(config-line)# Combinaison des touches CTRL-Z
Router#
Aide sensible au contexte
1. La commande ? vous donne la liste des commandes disponibles dans un mode, par
exemple :
Router>?
NB : la barre d'espacement permet de passer à la liste suivante --More--
2. Une commande incomplète suivie de ? vous donnera les disponibilités :
Router#co?
configure connect copy
3. Un commande entière suivie ? vous donne la liste des paramètres suivants immédiats :
Router#configure ?
memory Configure from NV memory
network Configure from a TFTP network host
overwrite-network Overwrite NV memory from TFTP network host
terminal Configure from the terminal
4. Une commande erronée est renseignée :
Router#show rnning-config
% Invalid input detected at '^' marker.
5. Aussi, il y a interprétation d'une commande abrégée si elle n'est pas erronée ou

ambiguë :
Router(config)#int e0
correspond à
Router(config)#interface ethernet 0
ou encore
Router#conf t
correspond à
Router#configure terminal
6. Mais si la commande est ambigüe, le CLI le signale :
Router#show access
% Ambiguous command : "show access"
7. Un début de commande peut être complété par la touche de tabulation :
Router(config)#int suivi de la touche TAB
Router(config)#interface
8. Liste des raccourcis :
Séquence Description Séquence Description

CTRL-A Début de ligne CTRL-P ou Commande précédente
CTRL-R Réaffichage de la ligne CTRL-N ou Commande suivante
CTRL-U Efface la ligne CTRL-E Fin de ligne
CTRL-W Efface un mot CTRL-F ou Curseur vers la droite
CTRL-Z Retour au mode privilège CTRL-B ou Curseur vers la gauche
TAB Complète un commande ESC-B Ecarte un mot
Backspace Efface un caractère vers ESC-F Avance un mot
la gauche
Câblage sériel, modules et interfaces

Il n'est pas inutile de connaître les gammes des routeurs Cisco et le 'hardware' que l'on
manipule en laboratoire.
1. Câbles DTE ou DCE ?
Le côté DCE sériel est celui qui est situé du côté du fournisseur de service. En général, c'est
le modem lui-même ou l'unité CSU/DSU. Il est toujours du genre femelle. Le modem donne
la fréquence de synchronisation de la ligne. Dans nos configurations de laboratoire, on appelle
cela le "clock rate" exprimé en bits par seconde.
Le côté DTE est le côté client, qui se connecte d'une interface serielle du routeur vers le
modem. Il est toujours du genre mâle.
Voici une représentation des différents standards utilisés :

Chaque standard physique a ses limites en terme de distance et de vitesse.
2. Les interfaces du routeur
Les routeurs professionels à partir de la gamme 1700 (et, anciennement 1600) disposent
d'emplacements pour des WIC (Wan Interface Card) qui dotent les machines d'interfaces de
communication. Les câbles DCE/DTE se connectent à ces interfaces. En voici quelques
illustrations :
Type Image Détails
Connecteur
WIC- de type
1T DB-60 à 60
broches.
On
trouvera
deux
interfaces
sérielles sur
une carte,
WIC- soit
2T asynchrone
WIC- 2AS
2AS (connexion
lente) ou
synchrone
2T
(connexion
rapide)
avec des
connecteurs
Smart
Serial
propriétaire
Cisco.
Les
interfaces
ADSL sont
WIC-
disponibles
1ADSL
pour le
PSTN ou
ISDN
Interface 1
ou 2
WIC- modems
1/2AM analogiques
V90
intégrés.
Deux
VWIC- interfaces
2MFT Ligne louée
E1
3. Les modules
La gamme des routeurs 2600/3600 sont des routeurs modulaires. En plus du chassis, ils
disposent d'emplacements larges appelés des "slots" dans lesquels on peut insérer des
"modules", qui disposent d'interfaces intégrées et, le cas échéant, d'emplacement pour des
WIC. Avec ce type de machine, les interfaces s'énumèrent de la façon suivante :
nom_interface numéro_slot/numéro_interface
Serial 1/2
La numération commence toujours de droite à gauche et de bas en haut. A noter que le slot
intégré au chassis est toujours le premier. Il est donc le numéro zéro. En voici quelques
illustrations :
Routeur Cisco 2612
Routeur Cisco 3660
Par contre la gamme des routeurs 1700 ("rackables" ou non) ne respecte pas la régle
d'énumration des 2600/3600. D'ailleurs, n'étant pas modulaires, ces routeurs dénomment
simplement par le nom et le numéro de l'interface.
Routeur Cisco 1720

Exercice de configuration basique des
routeurs
Cet exercice basique avec trois routeurs interconnectés est un bel exemple d'un examen
pratique. On trouvera l'énoncé et le solutionnaire ci-dessous.
Enoncé
DCE : S0
DTE : S1
VTY/CON PWD : isips
ENABLE PWD : cisco
Interface description : De x
ày
Clock Rate : 56000
Créez un plan d’adressage optimal sachant qu’il n’y aura pas de 10 stations sur chaque
segment Ethernet. Configurez les routeurs et les stations.
Plan d’adressage :
Réseau :
Masque :
ID Sous-réseau Broadcast Plage d’adresses Liaison
Routeur ID Nom Administrateur Interface Adresse Horloge

Charleroi S0 DCE
Charleroi S1 DTE
Charleroi E0 -
Liège S0 DCE
Liège S1 DTE
Liège E0 -
Bruxelles S0 DCE
Bruxelles S1 DTE
Bruxelles E0 -
Tâches :
OK OK
Configuration ? Configuration ?
Désactivation DNS Interface S1
Logging Synchronous Interface E0
Nom d'hôte Routage RIP
Enable secret Enregistrement
Port console Ping de PCx vers PCx+1 ou PCx-1
Traceroute de PCx vers PCx+1 ou PCx-
Port VTY 1
Interface S0 Motd Banner
Solution d’adressage
Plan d’adressage :
Réseau : 200.200.200.0 Masque : 255.255.255.224
ID Sous-réseau Broadcast Plage d’adresses Liaison

0 .0 .31 .1-.30 -
1 .32 .63 .33-.62 LAN BXL
2 .64 .95 .65-.94 LAN CHA
3 .96 .127 .97-.126 LAN LIE
4 .128 .159 .129-.158 BXL-CHA
5 .160 .191 .161-.190 BXL-LIE
6 .192 .223 .193-.222 CHA-LIE
7 .224 .255 .225-.254 -
Routeur ID Nom Administrateur Interface Adresse Horloge

C – 2610 Charleroi François S0 .193 DCE
C – 2610 Charleroi François S1 .158 DTE
C – 2610 Charleroi François E0 .65 -
D – 2610 Liège François S0 .190 DCE
D – 2610 Liège François S1 .222 DTE
D – 2610 Liège François E0 .97 -
E – 2610 Bruxelles François S0 .129 DCE
E – 2610 Bruxelles François S1 .161 DTE
E – 2610 Bruxelles François E0 .33 -
- PC1 François - .94 -
Exemplaire de commandes
Router>enable !entrer en mode privilège
Router#configure terminal !entrer en mode de configuration globale
Router(config)#no ip domain-lookup !désactiver la recherche DNS
Router(config)#hostname Charleroi !donner un nom au routeur
Charleroi(config)#enable secret isips !mot de passe Enable
Charleroi(config)#banner motd # !bannière d’accueil
Enter TEXT message. End with the character '#'.
Bienvenue sur Charleroi - Router C
Cisco 2610 - Frangois Goffinet
Charleroi(config)#line console 0 !configuration des ports console et vty
Charleroi(config-line)#login
Charleroi(config-line)#password cisco
Charleroi(config-line)#logging synchronous ! message synchrones sur la console
Charleroi(config-line)#line vty 0 4
Charleroi(config-line)#login
Charleroi(config-line)#password cisco
Charleroi(config-line)#exit
Charleroi(config)#interface serial 0/0 !configuration des interfaces
Charleroi(config-if)#ip address 200.200.200.193 255.255.255.224
Charleroi(config-if)#description De Charleroi vers Liege
Charleroi(config-if)#clock rate 64000 !sérielle DCE
Charleroi(config-if)#no shutdown
Charleroi(config-if)#interface serial 0/1
Charleroi(config-if)#description de Chaleroi vers Bruxelles

Charleroi(config-if)#interface ethernet 0/0
Charleroi(config-if)#Description Vers LAN Charleroi
Charleroi(config-if)#exit
Charleroi(config)#router rip !activation du routage
Charleroi(config-router)#network 200.200.200.0
Charleroi(config-router)#exit
Charleroi(config)#ip host Bruxelles 200.200.200.129 !table d’hôte Telnet
Charleroi(config)#ip host Liege 200.200.200.222
Charleroi(config)#ip host PC1 200.200.200.94
Charleroi(config)#exit
Charleroi#copy running-config startup-config !enregistrement
Destination filename [startup-config]?
Building configuration...
[OK]
Fichiers de configuration
Routeur Charleroi
hostname Charleroi
enable secret 5 $1$61p9$HEQXuSOb4xuSIfFykXWOA1
ip subnet-zero
no ip domain-lookup
ip host PC3 200.200.200.62
ip host PC2 200.200.200.126
ip host PC1 200.200.200.94
ip host Liege 200.200.200.222 200.200.200.190 200.200.200.97
ip host Bruxelles 200.200.200.129 200.200.200.33 200.200.200.161
interface Ethernet0/0
description Vers LAN Charleroi
ip address 200.200.200.65 255.255.255.224
interface Serial0/0
description De Charleroi vers Liege
ip address 200.200.200.193 255.255.255.224
clockrate 64000
interface Serial0/1
description de Chaleroi vers Bruxelles
ip address 200.200.200.158 255.255.255.224
!
router rip
network 200.200.200.0
ip classless
no ip http server
banner motd #
Bienvenue sur Charleroi - Router C
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
end
Routeur Liege
hostname Liege
!
ip subnet-zero
no ip domain-lookup
ip host Charleroi 200.200.200.158 200.200.200.193 200.200.200.65
ip host Liege 200.200.200.222 200.200.200.190 200.200.200.97
ip host PC1 200.200.200.94
ip host PC2 200.200.200.126
ip host PC3 200.200.200.62
description Vers LAN Liege
ip address 200.200.200.97 255.255.255.224
interface Serial0/0
description De Liege vers Bruxelles
ip address 200.200.200.190 255.255.255.224
clockrate 64000
interface Serial0/1
description de Liege vers Charleroi
ip address 200.200.200.222 255.255.255.224
router rip
network 200.200.200.0
ip classless
no ip http server
!
banner motd #
Bienvenue sur Liege - Router D
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
end
Routeur Bruxelles
hostname Bruxelles
ip subnet-zero
no ip domain-lookup
ip host Charleroi 200.200.200.158 200.200.200.193 200.200.200.65
ip host Liege 200.200.200.222 200.200.200.190 200.200.200.97
ip host PC1 200.200.200.94

ip host PC2 200.200.200.126
ip host PC3 200.200.200.62
description Vers LAN Bruxelles
ip address 200.200.200.33 255.255.255.224
interface Serial0/0
description De Bruxelles vers Charleroi
ip address 200.200.200.129 255.255.255.224
clockrate 64000
interface Serial0/1
description de Bruxelles vers Liege
ip address 200.200.200.161 255.255.255.224
router rip
network 200.200.200.0
ip classless
no ip http server
banner motd #
Bienvenue sur Bruxelles - Router E
line con 0
password cisco
logging synchronous
login
line aux 0
line vty 0 4
password cisco
login
end
Configuration générale des routeurs

Chaque commande doit être entrée dans son mode configuration propre. Cet article propose
un logique des différents modes et la description des commandes de base pour configurer un
routeur.
Préambule
Modes et commandes
Chaque commande doit être entrée dans un mode particulier. Voici l'algorithme qui permet de
retrouver le mode dans lequel doit être entré une commande :
Effacement du fichier de configuration initiale
Avant toute chose, en laboratoire, lorsque l'on accède à des routeurs dont on ne connaÃ®t pas
l'histoire, il peut sembler utile d'effacer toute pollution d'une configuration antérieure par la
commande erase et de redémarrer le routeur.
Router#erase startup-config
Router#reload
Notons que cette commande peut être remplacée par #write erase ou #erase nvram:
Sauvegarde de la configuration active
Afin de ne pas perdre sa configuration courante, il peut sembler également utile de la

sauvegarder en NVRAM :
Router#copy running-config startup-config
Qui signifie "copie la configuration courante en NVRAM".
Configuration du nom d'hôte
Pour donner un nom à un routeur visible dans l'invite, il suffit d'appliquer la commande :
Router(config)#hostname name
Par exemple :
Router(config)#hostname R15
R15(config)#
L'invite par défaut "Router" a été changée en "R15".
Mots de passe sur Enable, Console et Telnet

Mot de passe Enable
On peut empêcher l'accès au mode privilège et aux modes suivants par un mot de passe. Deux
commande sont disponibles, l'une sans encryption et l'autre avec l'encryption MD5. Le enable
secret encrypté prendra la priorité sur le enable pasword.
Router(config)#enable password mot-de-passe sans encryption

Router(config)#enable secret mot-de-passe avec encryption
Mots de passe sur les ports Console et Telnet
On peut également restreindre l'accès aux ports Console et Telnet par mot de passe. Le service
« Application » Telnet sera activé dès qu'un mot de passe aura été défini. Evidemment pour
que ce service soit accessible à distance faut-il encore que tous les protocoles inférieurs
(couches 2 et 3) aient été correctement configurés. Les routeurs Cisco disposent jusqu'à 5
terminaux virtuels (VTY). Il est possible de configurer les terminaux séparément. Nous nous
tiendrons à une configuration générale.
Router(config)#line con 0
Router(config-line)#login
Router(config-line)#password mot-de-passe
Router(config-line)#exit
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password mot-de-passe
Router(config-line)#exit
Les commandes sont similaires pour configurer le port AUX.
Considérations spécifiques
L'encryption
Si un mot de passe est encrypté, il sera illisible dans le fichier de configuration. On peut
accéder au fichier de configuration après avoir évité le chargement du fichier de configuration
initial situé en NVRAM (Password Recovery Procedure) :
Sur les 2600, 1700, 1600 et 800 :
Router#more nvram:startup-config
Sur les 2500 :
Router#show configuration
Que faire d'un mot de passe encrypté ? Voici quelques liens qui permettraient peut-être de le
décoder :
http://users.skynet.be/glu/ciscopw.htm
http://www.kazmier.com/computer/cisco-apps.html
http://download.boson.com/utils/bos_pass.exe
http://www.solarwinds.net/Tools/Professional/Categories/Cisco_Networks.htm#Decrypt
Utilisateurs et niveaux de privilèges.
Les configurations d'accès vues précédemment se limitent à empêcher n'importe qui d'accéder
à des services statiques. L'IOS Cisco permet toutefois de définir des tables d'utilisateurs et de
leur accorder jusqu'à 16 niveaux (de 0 à 15) de privilèges (définir, par exemple, les
commandes accessibles par privilège). Lorsque les services sont restreints par défaut, c'est le
plus haut niveau qui est défini (15).
Pour plus d'informations :
"Passwords and privileges commands"
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/secur_r/srprt5/srpas
s.htm
"Configuring passwords and privileges"
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/secur_c/scprt5/scpa
ss.htm
"Configuring Terminal Access Security"

http://www.cisco.com/univercd/cc/td/doc/product/software/ios112/112cg_cr/2cbook/2cauthen
.htm#xtocid2183020
"Multiple Levels of Privileges Examples"
http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt5
/scpasswd.htm#37123
Configuration d'une bannière d'accueil (MOTD Banner)
On peut configurer une bannière d'accueil dès que l'on accède au routeur. On l'appelle la
Message Of The Day (MOTD) Banner. Voici la procédure.
Router(config)#banner motd #
Enter TEXT message End with the character '#'.
Bonjour !
Router(config)#
Le message doit se terminer par la dièse.
Confort CLI
Activation et désactivation de la recherche DNS
On est souvent dérangé par de tels message à la suite d'une commande erronée :
Router#sxow
Translating "sxow" ...domain server (255.255.255.255)
% Unknow command or computer name, or unable to find computer address
Router#
Ce message vient du fait que la recherche DNS est activée par défaut. Pour un confort
d'utilisation, on peut la désactiver :
Router(config)#no ip domain-lookup
Ou la réactiver :
Router(config)#ip domain-lookup
Messages synchronisés de la console
On peut recevoir des messages du routeur qui trouble l'entrée des commandes. Voici une
illustration :
Router#confi
%SYS-5-CONFIG_I : Configured from console by consolegure
Enter configuration commands, one per line. End with CNTL/Z.
Router#
Pour éviter ce problème, on peut demander un logging synchronous sur la console :
Router(config)#line con 0
Router(config-line)#logging synchronous
Voici l'éventuel résultat :
Router#confi
%SYS-5-CONFIG_I : Configured from console by console
Router#configure
Création d'une table d'hôte pour Telnet
On peut définir une table de noms à des adresses IP par la commande suivante :
Router(config)#ip host name address
Par exemple :
Router(config)#ip host zozo 192.168.1.254

Attention, cette table d'hôte est propre au routeur et n'est pas diffusée globalement !
Configuration des interfaces

Configuration des interfaces Ethernet
Il faut falloir ici attribuer une adresse IP et un masque à une interface en notation décimale
pointée, l'activer et éventuellement lui donner une description. Voici les commandes
Router(config)#interface type number
Router(config-if)#ip address ip-address mask
Router(config-if)#no shutdown
Router(config-if)#description description
Par exemple,
Router(config)#interface ethernet 0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#description
Configuration des interfaces Série
La procédure est identique sauf qu'il faudra indiquer une fréquence d'horloge (clock rate) sur
l'une des interfaces série. En fait, dans la vie courante, c'est le matériel du fournisseur d'accès
(modem ou CSU/DSU) qui fournit cette fréquence. En laboratoire, ce sera l'un des routeurs
qui la fournira, au choix, selon le cÃ¢blage décidé. Celui qui donnera la fréquence de
l'horloge sera appelé DCE ou ETCD (équipement terminal de traitement de données) et l'autre
DTE ou ETTD (équipement de terminaison de circuit de données). On utilisera un cÃ¢blage
ayant une connexion DCE et DTE de part et d'autre. Le routeur DCE donnera la fréquence.
On lui donnera donc un paramètre supplémentaire avec une fréquence au choix exprimée en
bit/s.
Il n'y aura aucune commande supplémentaire sur l'interface DTE.

Router(config)#interface type number
Router(config-if)#ip address ip-address mask
Router(config-if)#clock rate speed-in-bits-per-second
Router(config-if)#description description
Par exemple,
Router(config)#interface serial 0
Router(config-if)#clock rate 56000
Router(config-if)#description Interface DCE
Router(config-if)#interface serial 1
Router(config-if)#description Interface DTE
Utilisation du premier sous-réseau
En fait, sur les routeurs Cisco, contrairement à la RFC 950, par défaut, le premier sous-réseau
est utilisable. On peut l'activer ou le désactiver de la manière suivante :
Router(config)#ip subnet-zero
ou
Router(config)#no ip subnet-zero
Activation d'un protocole de routage
Sans entrer dans les détails de la théorie des protocoles de routage, pour activer le routage, il
sera nécessaire d'entrer la commande router suivie du protocole de routage et de déclarer tous
les réseaux associés au protocole. Pour l'activation de RIP :
Router(config)#router rip
Router(config-router)#network réseau1
Router(config-router)#network et-ainsi-de suite
Commandes IOS de base

Voici un exemple d'une configuration très basique d'un routeur
Configuration standard
Etape Invite Commande
Activez le mode Router> enable
Privilège
Configurez le router à Router# configure terminal
partir du terminal
Nommez le routeur Routeur(config)# hostname BXL
Attribuez un mot de BXL(config)# enable secret cisco1
passe crypté au mode
privilégié
Définissez un mot de BXL(config)# enable password cisco2
passe texte au mode
privilège
configurez la ligne BXL(config)# line con 0
console
Activez la vérification BXL(config-line)# login
Définissez un mot de BXL(config-line)# password cisco3
passe utilisateur à
l'ouverture d'une session
console
Configurez la ligne BXL(config-line)# line vty 0 4
telnet
Activez la vérification BXL(config-line)# login
du mote de passe telnet
Définissez un mot de BXL(config-line)# password cisco4
passe utilisateur à
l'ouverture d'une session
telnet
Sortez du mode BXL(config)# CTRL-Z
Sélectionnez l'interface BXL(config-if)# int e0
E0
Définnissez l'adresse Ip BXL(config-if)# ip add 192.168.1.1 255.255.255.0
de l'interface et son
masque
Activez l'interface BXL(config-if)# no shutdown
Sélectionnez l'interface BXL(config-if)# int S0
S0
Définnissez l'adresse Ip BXL(config-if)# ip add 192.168.2.1 255.255.255.0
de l'interface et son
masque
Attribuez une valeur de BXL(config-if)# clock rate 64000
synchronisation
d'horloge ETCD
Activez l'interface BXL(config-if)# no shutdown
Sortez du mode BXL(config)# exit
Sauvegardez la config BXL# copy run start
Routage statique
Configurez des routes BXL(config)# ip route 192.168.10.0 255.255.255.0
statiques 192.168.1.254
Le réseau est joignable par la prochaine
interface
Routage RIP
Lancez le protocole de BXL(config)# router rip
routage RIP
Déclarez les réseaux BXL(config-router)# network 192.168.1.0 network
directement connectés 192.168.2.0
pour les mises à jour de
Quittez BXL(config-router)# exit
Diagnostic
Afficher la table de Router# sh ip route
routage
Afficher la configuration Router# sh run
courante
Protocoles et statuts des Router# sh ip int brief
interfaces
Commandes de base RIP

On trouvera ici les commandes de base de configuration et de vérification du protocole de
routage RIP.
1. Commandes de base RIP
Activation de RIP-1
(config)#router rip
Activation de RIP-2
(config)#router rip
(config-router)#version {1 | 2 }
Déclaration des réseaux connectés aux interfaces du routeur
(config-router)#network w.x.y.z
Où w.x.y.z est l'un des réseaux
Activation de Split Horizon sur une interface
(config-if)#ip split-horizon
2. Commandes complémentaires RIP
Maximum de sauts
(config-router)#default-metric n
Où n est le nombre de sauts RIP maximum
Réglage des compteurs de retenue
(config-router)#timers basic update invalid holddown flush

Où :
Update est la fréquence en secondes de l'envoi des mises à jour de routage (déf. 30s.).
Invalid est le délai après lequel est déclarée invalide (en état de gel), trois fois la fréquence
des mises à jour (déf. 180s.)
Holddown est l'intervalle pendant lequel les informations de routage sur les meilleurs
chemins sont supprimées, au moins trois fois la fréquence des mises à jour (déf. 180s.).
Flush est le délai écoulé avant que la route ne soit retirée de la table de routage, au moins
la somme des délais d'invalidité et de gel (déf. 240 s.).
Quelques liens complémentaires

RIP commands
Configuring RIP
3. Diagnostic RIP
Visualisation des transactions RIP (mises à jour)
#debug ip rip
Visualisation des routes apprises par RIP
#show ip route rip
Visualisation des paramètres et de l'état des protocoles de routage
#show ip protocols
Diagnostic de couche 3
#ping w.x.y.z
#trace w.x.y.z
Load Balancing IGRP

Ce que l'on apelle le 'Load Balancing' est la capacité pour un routeur de supporter plusieurs
chemins à coût égaux vers une destination . IGRP, comme E-IGRP d'ailleurs, supporte jusqu'à
quatre chemins égaux. Aussi, ces protocoles de routage permettent de désigner l'équivalence
entre des chemins inégaux à certaines conditions. C'est que l'on apelle l'Unequal-Cost Load
Balancing ...
1. Load balancing en général

1.1. La sélection des routes
Un routeur inscrira seulement la meilleure route vers une destination dans sa table de routage.
Quels sont les critères qui vont fonder sa décision ?
D’abord, il se basera sur la valeur de la distance administrative, c’est-à-dire la confiance

accordée à un protocole de routage par rapport à un autre. Plus cette valeur est faible,
meilleure sera la route. Par défaut, sur les routeurs Cisco :
Connected 0
Static route 1
E-IGRP 90
IGRP 100
OSPF 110
RIP 120
Si deux ou plusieurs routes ont la même distance administrative, le routeur fera son choix
d’inscription dans la table de routage en fonction de la métrique. Egalement, plus cette valeur
sera faible, meilleure sera la route. La composition de cette valeur dépend du protocole de
routage.
Au cas où deux ou plusieurs routes auraient la même distance administrative et la même

métrique, elles seront inscrites dans la table de routage[1] . La capacité de supporter
plusieurs chemins à coût égaux vers une destination est appelée Load balancing.
1.2. Illustration
Chaque liaison sérielle est configurée avec la même bande passante administrative (256 Kb/s)
[2].
Le routeur de référence est Router_1 et le réseau de destination est 150.150.2.0.
Table de routage
Voici la table de routage de Router_1 dans la topologie présentée ci-dessus.
Router_1#show ip route
...
Gateway of last resort is not set
150.150.0.0/24 is subnetted, 6 subnets
C 150.150.1.0 is directly connected, Serial0
I 150.150.2.0 [100/43062] via 150.150.1.2, 00:00:06, Serial0
[100/43062] via 150.150.3.1, 00:00:06, Serial1
C 150.150.10.0 is directly connected, FastEthernet0
I 150.150.20.0 [100/41072] via 150.150.1.2, 00:00:06, Serial0
I 150.150.30.0 [100/41072] via 150.150.3.1, 00:00:06, Serial1
On constate que le réseau 150.150.2.0 est joignable par deux routes éqivalentes, l’une passant
par S0 et l’autre passant par S1.
Débogage des paquets ICMP
Router_1#ping 150.150.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 150.150.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/41/60 ms
01:09:35: IP: s=150.150.3.2 (local), d=150.150.2.1 (Serial1), len 100,

sending
01:09:35: ICMP type=8, code=0
01:09:35: IP: s=150.150.2.1 (Serial0), d=150.150.3.2, len 100, rcvd 4
sending
01:09:35: IP: s=150.150.2.1 (Serial0), d=150.150.1.1 (Serial0), len 100,
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
Grâce au débogage ICMP [3], on peut examiner les paquets ICMP qui sont envoyés d’une
interface de sortie et puis de l’autre de manière alternative.
2. Unequal-cost load balancing en IGRP

IGRP peut utiliser un ensemble asymétrique de chemins pour une destination donnée [4].
Cette fonctionnalité est connue sous le nom de Unequal-cost load balancing, en français,
répartition de charge à coût inégaux. L’Unequal-cost load balancing permet au trafic d’être
distribué (au maximum quatre) par des chemins inégaux en coût (métrique différente) pour
améliorer la capacité des interfaces et la fiabilité.
La variance d’un chemin alternatif est la différence en qualité pour protocole de routage entre
une route primaire (la meilleure selon la métrique) et des chemins alternatifs.
Concrètement, la variance indique au routeur d’inclure dans sa table de routage des routes
avec une métrique « n » fois le minimum de métrique d’une route pour une destination.
Cette variance va déterminer la faisabilité (« feasibility ») d’une route potentielle.
Toutefois, il faut prendre garde aux conditions de faisabilité !
Une route alternative est « faisable » si :
• le prochain routeur dans le chemin alternatif est plus proche (une métrique plus faible)
que le router courant
et si :
• la métrique pour le chemin alternatif entier est dans la variance

La métrique du chemin alternif / n doit être inférieure ou égale à la métrique du
chemin primaire, où n est la valeur de la variance.
Seulement les chemins « faisables » peuvent être utilisés pour la répartition de charge et sont
donc inclus dans la table de routage.
Par défaut, la variance a une valeur de 1. Cette valeur peut être comprise entre 1 et 128.
(config-router)#variance n
En cas de unequal-cost load balancing, le trafic sera distribué proportionnellement à la valeur

des métriques.
Illustration
Le routeur de référence sera Router_1 et le réseau destination sera

150.150.20.0.
Table de routage
Router_1#show ip route
...
I 150.150.2.0 [100/43062] via 150.150.1.2, 00:00:04, Serial0
I 150.150.20.0 [100/41072] via 150.150.1.2, 00:00:04, Serial0
I 150.150.30.0 [100/43072] via 150.150.1.2, 00:00:04, Serial0
On constate que, à partir de Router_1, il y a un seul chemin inscrit vers le réseau de

destination 150.150.20.0. Il passe par l’interface de sortie S0 et le prochain saut est à
150.150.1.2. Sa métrique IGRP est d’une valeur de 41072.
Inclusion du chemin « feasible ».
Comme vu ci-dessus, pour qu’il y ait de l’Unequal-cost load balancing à partir de Router_1
vers le réseau 150.150.20.0, il faut que la route alternative soit « feasible » :
1. La métrique de Router_3 vers le réseau de destination 150.150.20.0, doit être meilleure que
la métrique du meilleur chemin vers le réseau de destination.
Router_3#sh ip route
...
I 150.150.1.0 [100/43062] via 150.150.2.1, 00:00:05, Serial1
I 150.150.10.0 [100/43072] via 150.150.2.1, 00:00:05, Serial1
I 150.150.20.0 [100/28051] via 150.150.2.1, 00:00:05, Serial1
Où la métrique 28051 (du Router_3) est meilleure que 41072 (du Router_1) vers le
réseau de destination 150.150.20.0.
2. Sur le routeur de distribution, la métrique du chemin alternatif doit être dans la variance :
Router_1(config)#router igrp 666

Router_1(config-router)#variance 50
Nous mettons une variance élevée afin de connaître la métrique du chemin alternatif.
Nouvelle table de routage avec la variance.
Router_1#sh ip route
...
I 150.150.2.0 [100/160250] via 150.150.3.1, 00:00:54, Serial1
[100/43062] via 150.150.1.2, 00:00:05, Serial0
I 150.150.20.0 [100/160260] via 150.150.3.1, 00:00:54, Serial1
[100/41072] via 150.150.1.2, 00:00:05, Serial0
I 150.150.30.0 [100/158260] via 150.150.3.1, 00:00:55, Serial1
[100/43072] via 150.150.1.2, 00:00:06, Serial0
La métrique IGRP du chemin alternatif a une valeur de 160260 autrement dit quatre fois plus
élevée que celle du chemin primaire. La variance aurait pu être d’une valeur de quatre.
Débogage ICMP avec variance définie
Router_1#ping
Protocol [ip]:
Target IP address: 150.150.20.1
Repeat count [5]: 10
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
!!!!!!!!!!
Router_1#
sending
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
rcvd 3
sending
Router_1#
Par défaut, la répartition des paquets sera proportionnelle à la valeur des métriques.
Après quatre paquets envoyés sur S0, le cinquième est envoyé sur S1, et ainsi de suite.
3. Annexe
3.1. Configuration de la bande passante
En mode de configuration des interfaces, la commande « bandwidth » donnera une bande

passante administrative qui sera interprétée par des protocoles supérieures, particulièrement
pour notre cas par IGRP. En effet, par défaut, IGRP prendra la bande passante en
considération pour le calcul des métriques. En aucun cas, cette commande limitera le débit
d’une liaison. Elle s’exprime en Kb/s.
(config-if)#bandwidth bandwidth
Par exemple, définir une bande passante de 1Mb/s :

(config-if)#bandwidth 1000
3.2. Configuration du débogage ICMP
La commande « debug ip packet » va déboguer tous les paquets qui passent par le routeur.
Pour empêcher la pollution de logs inopportuns, on conseille la création d’une liste d’accès
(ACL) qui autorisera uniquement les paquets ICMP venant ou partant de n’importe quelle
adresse IP, étant sous-entendu que tout autre paquet sera interdit. Cette condition sera
appliquée au débogage détaillé des paquets.
Création d’une liste de filtrage (ACL) :
Router_1(config)#access-list 101 permit icmp any any
Application du débogage :
Router_1#debug ip packet 101 detail
1 Par défaut, tous les protocoles de routage supportent quatre routes en load balancing sauf
BGP qui en supporte une seule. Le maximum, selon les capacités des protocoles de routage,
est de six. On peut changer ce maximum par la commande (config-router)#maximum-paths n.
Notons qu’IGRP en supporte quatre au plus.
2 Voir Annexe.
3 Voir Annexe.
4 E-IGRP supporte également cette fonctionnalité. Ce n’est pas le cas des autres protocoles de
routage.
Métrique IGRP
La métrique d'IGRP comporte cinq composantes dont deux sont utilisées par défaut. Quelle
est la formule qui donne la valeur de cette métrique ?
1. Introduction
L’Interior Gateway Routing Protocol (IGRP) calcule la métrique par l’addition pondérée des
valeurs des différentes caractéristiques des liaison d’un réseau. Les caractéristiques prises en
compte par IGRP sont :
• bande passante (bandwidth)

• délai (delay)
• charge (load)
• fiabilité (reliability)
• unité maximale de transmission (MTU : maximal transmission Unit)
Par défaut, IGRP ne prend en compte que la bande passante et le délai.
2. Calcul de la métrique IGRP
Voici la formule pour calculer la métrique composée d’IGRP :
Metric = [ K1 * Bandwidth + (K2 * Bandwidth)/(256-load) +

K3*Delay ]*[K5/(reliability + K4)]
Les valeurs par défaut des constantes sont K1 = K3 = 1 and K2 = K4 = K5 = 0.
Si K5 = 0, le terme [K5/(reliability + K4)] n’est pas utilisé. Ainsi, étant donné les
valeurs par défaut de K1 à K5, le calcul de la métrique composée utilisée par IGRP se rédauit
à:
Metric = Bandwidth + Delay
Les valeurs K dans cette formule sont des constantes qui peuvent être définies dans la
configuration du routage :
(config-router)#metric weights tos k1 k2 k3 k4 k5
Pour trouver la bande passante, prenons la plus petite de toutes les bandes passantes des
interfaces de sortie et divisons 10 000 000 par ce nombre (la bande passante est convertie par
10 000 000 en Kb/s)
Pour trouver le délai, ajoutons tous les délais des interfaces de sortie et divisons ce nombre
par 10 (le délai est de 10 microsecondes).
Il faut se souvenir que le chemin retenu dans la table de routage sera celui qui aura la plus
petite métrique.
3. Illustration
Voici ce que donne la commande show interfaces sur les routeurs :
Venus#show interfaces ethernet 0
Ethernet0 is up, line protocol is up
Hardware is Lance, address is 0060.5cf4.a9a8 (bia 0060.5cf4.a9a8)
Internet address is 12.1.1.1/24
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Venus#show interfaces serial 0
Serial0 is up, line protocol is up
Hardware is HD64570
Encapsulation FRAME-RELAY, loopback not set
Keepalive set (10 sec)

LMI enq sent 981, LMI stat recvd 330, LMI upd recvd 0, DTE LMI up
LMI enq recvd 340, LMI stat sent 0, LMI upd sent 0
LMI DLCI 1023 LMI type is CISCO frame relay DTE
Saturn#show interfaces serial 0
Hardware is HD64570
Encapsulation FRAME-RELAY, loopback not set
LMI enq sent 167, LMI stat recvd 168, LMI upd recvd 0, DTE LMI up
LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0
LMI DLCI 1023 LMI type is CISCO frame relay DTE
Saturn#show interfaces ethernet 0
Hardware is Lance, address is 0060.5cf4.a955 (bia 0060.5cf4.a955)
Encapsulation ARPA, loopback not set
La métrique calculée par IGRP peut être visualisée :
A partir du routeur Venus pour le réseau de destination 172.17.1.0
Venus#show ip route 172.17.1.1
Routing entry for 172.17.0.0/16
Known via "igrp 100", distance 100, metric 14855
Redistributing via igrp 100

Metric = Bandwidth + Delay = 10000000/784 + (20000+1000)/10 = 14855
A partir de Saturne pour le réseau de destination :
Saturn#show ip route 12.1.1.1
Routing entry for 12.0.0.0/8
Known via "igrp 100", distance 100, metric 46742
Redistributing via igrp 100
Metric = Bandwidth + Delay = 10000000/224 + (20000 + 1000)/10 = 46742
Commandes de base IGRP

On trouvera ici les commandes de base de configuration et de vérification du protocole de

routage IGRP.
1. Commandes de base IGRP
Activation de IGRP
Router(config)#router igrp autonomous-system

Où autonomous-system est le numéro de système autonome
Déclaration des réseaux connectés aux interfaces du routeur
Router(config-router)#network w.x.y.z
Où w.x.y.z est l'un des réseaux
Activation de Split Horizon sur une interface
Router(config-if)#ip split-horizon
2. Commandes complémentaires IGRP
Réglage des compteurs de retenue
Router(config-router)#timers basic update invalid holddown flush sleeptime

Où :
Update est la fréquence en secondes de l'envoi des mises à jour de routage (déf. 90s.).
Invalid est le délai après lequel est déclarée invalide (en état de gel), trois fois la fréquence
des mises à jour (déf. 270s.)
Holddown est l'intervalle pendant lequel les informations de routage sur les meilleurs
chemins sont supprimées, au moins trois fois la fréquence des mises à jour (déf. 280s.).
Flush est le délai écoulé avant que la route ne soit retirée de la table de routage, au moins
la somme des délais d'invalidité et de gel (déf. 630 s.).
Sleeptime est l'intervalle, millième de secondes, pour le report d'une mise à jour de routage
dans l'éventualité d'une mise à jour rapide (déf. 0ms.)
Désactivation des gels, nouvelle route immédiatement acceptée
Router(config-router)#no metric holddown
Nombre maximal de sauts
Router(config-router)#metric maximum-hops n
Où n est le nombre maximal de saut avant qu'une route soit inaccessible (par défaut 100 et
255 maximum.
Nombre maximum de routes d'un même coût supportées
Router(config-router)#maximum-paths n
Où n est le nombre maximal (de 1 à6)
Définition de la variance
Router(config-router)#variance x
Où la variance est un multiplicateur x servant à rendre équivalente une meilleure route de
métrique n/x et une route de métrique n.
Partage de la distribution du trafic sur plusieurs routes
Router(config-router)# traffic-share {balanced | min}

Où :
Balanced : où le trafic est redistribué proportionnellement quand les métriques des routes
vers une destination sont différentes.
Min : où la seule réelle meilleure métrique est prise en compte
Prise en compte des métriques
Router(config-router)# metric weights tos k1 k2 k3 k4 k5

Où tos est le type de service (0), k1 la bande passante (1) et k3 le délai (1), k2 k4 et k5,
fiabilté charge et MTU (0)
IGRP commands
Configuring IGRP
3. Diagnostic IGRP
Visualisation des transactions IGRP (mises à jour)
Router#debug ip igrp transactions
Visualisation des routes apprises par IGRP

Router#show ip route igrp
Visualisation des paramètres et de l'état des protocoles de routage
Router#show ip protocols
Diagnostic de couche 3
Router#ping w.x.y.z
Router#trace w.x.y.z
Méthodes de diagnostic
Pour diagnostiquer une situation, on procédera par des vérifications à partir de la couche la
plus basse. La principale commande est "show" suivie des paramètres appropriés. On trouvera
une discussion l'autre principale commande de diagnostic "debug" ainsi qu'une courte
présentation du protocole de couche 2 CDP. Dans un diagnostic, on priviliégera toute
information dynamique en temps réel. Se baser sur le souvenir d'une commande
dactylographiée est une méprise courante sur laquelle on évitera de se baser.
1. Vérifications de couche 1
Voici les erreurs communes de couche 1 :
• des câbles rompus,

• des câbles déconnectés,
• des câbles raccordés à des ports inappropriés,
• des connexions instables,
• des câbles inappropriés pour la tâche à accomplir (les câbles console, les câbles
d'interconnexion et les câbles droits doivent être employés à bon escient),
• des problèmes d'émetteur-récepteur,
• des problèmes de câblage ETCD,
• des problèmes de câblage ETTD,
• des unités hors tension.
Ces problèmes sont les plus courants et doivent être vérifiés de visu.
Plusieurs commande permettent de donner sur l’état de la liaison et sur le résultat de messages
de tests d’activité.
L’état de la liaison correspond à la détection d’une porteuse.
Les messages de tests d’activité correspond à l’émission de keepalive.
Voici les commandes qui donnent ces résultats :

#show interfaces
#show ip interface
#show ip interface brief
#show protocols
Etat de la liaison Test d’activité Interprétation

Interface is up line protocol is up Opérationnel
Interface is up line protocol is down Câblage incorrect (couche
1) :
Par exemple, en Ethernet,

câble droit entre une routeur et
une station de travail.
Problème de configuration :
o clock rate non

reçu sur une
interface DTE
o clock rate non
donné sur une
interface DCE
o encapsulations
différentes sur
des liaisons
o keepalive à 0
secondes sur
une interface
Interface is down line protocol is down La porteuse n’a pas été

détectée (couche 1) :
o câble
débranché
o câble ou
interface
défectueux
o interface
shutdown du
voisin
Interface is administratively line protocol is down Interface shutdown

down
On examinera la commande show interfaces, par exemple :
#show interfaces serial 0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Description: De Bruxelles vers Charleroi
Encapsulation HDLC, loopback not set
Last input 00:00:00, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
103 packets input, 7902 bytes, 0 no buffer
Received 97 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
105 packets output, 8129 bytes, 0 underruns
0 output errors, 0 collisions, 19 interface resets
0 output buffer failures, 0 output buffers swapped out
1 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
Champ Description
Hardware is Donne le type de matériel.
Internet address is Donne l’adresse IP et le masque.
MTU Maximum transmission unit : taille maximale de paquet, en
octets, que peut traiter une interface.
BW Bande passante.
DLY Délai de l’interface en microsecondes : temps entre l'amorce
d'une transaction par un émetteur et la première réponse reçue
par cet émetteur.
Relay Reliability - Fiabilité : Taux de messages de veille attendus
d'une liaison. Si le taux est élevé, la ligne est fiable. Fraction
de 255 (255/255 est 100 % de fiabilité), calculé comme
moyenne exponentielle sur 5 minutes.
Load Charge : Quantité d’activité sur la liaison. Fraction de 255
(255/255 est complètement saturé), calculé comme moyenne
exponentielle sur 5 minutes.
Encapsulation Méthode d’encapsulation de couche 2 sur l’interface
loopback Loopback activé ou non.
keepalive Keepalive défini
On vérifiera également la configuration courante :
#show running-config
Sans se déplacer sur les routeurs, on peut voir si les interfaces sérielles sont DCE ou DTE :
#show controllers serial interface_number
Par exemple, à la troisième ligne,
Router#show controllers serial 0/0
Interface Serial0/0
Hardware is PowerQUICC MPC860

DTE V.35, clock rate 64000
idb at 0x8129C8E8, driver data structure at 0x812A1E58
...
Tapez simultanément sur CTRL SFHIT et § (le touche 6 du clavier alphanumérique) pour
interrompre la liste.
Les problèmes communs peuvent être les suivants :
• Une interface qui n’est pas activée (shutdown)

• des interfaces série configurées de façon incorrecte,
• des interfaces Ethernet configurées de façon incorrecte,
• un ensemble d'encapsulation inapproprié (HDLC est utilisé par défaut pour les
interfaces série),
• une fréquence d'horloge inappropriée pour les interfaces série.
3. Le Protocole CDP (Cisco Discovery Protocol)
Le Cisco Discovery Protocol est utilisé pour obtenir des adresses des périphériques voisins et
découvrir leur plate-forme. CDP peut aussi être utilisé pour voir des informations sur les
interfaces qu’un routeur utilise. Il est entièrement indépendant du média ou des protocoles et
tourne sur tous les matériels Cisco comme des ponts, des commutateurs, des serveurs d’accès
ou des routeurs.
L’utilisation de SNMP avec la MIB CDP permet au logiciel de gestion du réseau (NMA) de
connaître le type de matériel, les adresses des agents SNMP voisins et d’envoyer des
demandes SNMP à ces matériels.
CDP fonctionne sur tous les médias qui supporte le SNAP (Subnetwork Access Protocol)
dont les médias physiques LAN, Frame-Relay et ATM. CDP fonctionne uniquement au
niveau de la couche 2, liaison de donnée. Ainsi, deux système qui ont des protocoles de
couche 3 différents peuvent se communiquer des informations CDP.
Chaque matériel CDP envoie périodiquement des messages, connus sous le nom de
advertisements, à une adresse multicast. Ces messages contiennent un temps de vie (time-to-
live) ou un compteur de retenue (holdtime), une information qui indique le temps qu’un
matériel CDP doit garder les informations avant de ne plus en tenir compte. Aussi chaque
matériel CDP écoute les messages CDP périodiques envoyés par les autres pour en apprendre
sur ses voisins et déterminer quand les interfaces sont montées ou non.
3.1. Activation de CDP
CDP est activé par défaut sur le matériel Cisco. On peut activer ou désactiver l’utilisation de
CDP :
(config)#cdp run
Ou
(config)#no cdp run
Egalement, on peut activer ou désactiver CDP sur une interface :
(config)#interface serial 0
(config-if)#cdp enable
Ou
(config)#interface serial 0
(config-if)#no cdp enable
3.2. Compteurs CDP
Il y a deux type de compteurs CDP :
(config)#cdp timer seconds Fréquence de transmission des 60 sec

informations CDP par
défaut
(config)#cdp holdtime seconds Temps de validité d’une 180
information CDP avant qu’elle ne sec
soit plus prise en compte par
défaut
Commandes de visualisation CDP
Commande Description
#clear cdp counters Remet les compteurs à zéro
#clear cdp table Efface la table CDP à propos des
voisins
#show cdp Donne les valeurs des compteurs
#show cdp entry entry-name [protocol|version] Donne des informations sur les
voisins donnés. « * » pour être
utilisés pour les visualiser tous
#show cdp interface [type number] Donne des informations sur les
interfaces sur lesquelles CDP est
activé.
#show cdp neighbors [type number] [detail] Donne le type de matériel
découvert, son nom, le nombre
et le type d’interface, la validité
des informations CDP, etc.
#show cdp traffic Indique les compteurs CDP ainsi
que des statistiques sur le trafic
CDP
Exemples :
#show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID
Router3 Ser 1 120 R 2500 Ser 0
Router1 Eth 1 180 R 2500 Eth 0
Switch1 Eth 0 240 S 1900 2
#show cdp entry Router1
-------------------------
Device ID: Router1
Entry address(es):
IP address: 192.168.1.2
Platform: cisco 2500, Capabilities: Router
Interface: Ethernet1, Port ID (outgoing port): Ethernet0
Holdtime : 180 sec
Version:
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (2500-JS-L), Version 11.2(15)
RELEASED SOFTWARE (fcl)
Copyright (c) 1986-1998 by Cisco Systems, Inc.
Compiled Mon 06-Jul-98 22:22 by tmullins
#show cdp neighbors detail
Device ID: 008024 1EEB00 (milan-sw-1-cat9k)
Entry address(es):
IP address: 1.15.28.10
Platform: CAT5000, Capabilities: Switch
Interface: Ethernet1/0, Port ID (outgoing port): 2/7
Holdtime : 162 sec
Version :
Cisco Catalyst 5000
Duplex Mode: full
Native VLAN: 42
VTP Management Domain: `Accounting Group'
#show cdp traffic
Total packets output: 543, Input: 333
Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
No memory: 0, Invalid: 0, Fragmented: 0
CDP version 1 advertisements output: 191, Input: 187
CDP version 2 advertisements output: 352, Input: 146
#show cdp interface
Encapsulation ARPA
Holdtime is 180 seconds
Encapsulation HDLC
Encapsulation HDLC
4.1. Configuration
On vérifiera la configuration courante :

Router#show running-config
4.2. Adressage
L’état d’IP peut être vérifié.
4.2.1. show ip interface
Par exemple,
Bruxelles#show ip interface serial 0/0
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.9
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
...
4.2.2. show ip interface brief
Cette commande permet de vérifier rapidement les paramètres essentiels des interfaces.
Par exemple,
Bruxelles#show ip interface brief

Interface IP-Address OK? Method Status Protocol
Ethernet0/0 200.200.200.33 YES manual up up
Serial0/0 200.200.200.129 YES manual up up
Serial0/1 200.200.200.161 YES manual up up
4.2.3. show protocols
Plus simple encore,
Bruxelles#show protocols
Global values:
Internet Protocol routing is enabled
Ethernet0/0 is up, line protocol is up
4.3. Routage
La table de routage donnera les différentes destinations apprises par le ou les protocoles de
routage activés sur le routeur. L’existence de routes apprises par un protocole de routage
signifie que le routeur a appris des routes. Par ailleurs, l’existence des ces entrées n’indique
nullement que le routeur envoie des informations de routage !
#show ip route
En se basant sur cet exemple voici ce que donnera la commande :
Bruxelles#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
R 200.200.200.192 [120/1] via 200.200.200.158, 00:00:25, Serial0/0

[120/1] via 200.200.200.190, 00:00:26, Serial0/1
C 200.200.200.128 is directly connected, Serial0/0
C 200.200.200.160 is directly connected, Serial0/1
R 200.200.200.64 [120/1] via 200.200.200.158, 00:00:25, Serial0/0
R 200.200.200.96 [120/1] via 200.200.200.190, 00:00:26, Serial0/1
C 200.200.200.32 is directly connected, Ethernet0/0
Où :
Colonne 1 : type de protocole de routage
Colonne 2 : réseau de destination
Colonne 3 : distance administrative / valeur de la métrique
Colonne 4 : joignable par telle prochaine interface
Colonne 5 : âge de la route apprise
Colonne 6 : interface de sortie du routeur
Par contre, on vérifiera les paramètres de routage sur le routeur en regardant le fichier de
configuration ou de manière plus dynamique par la commande :
#show ip protocols
Par exemple, pour IGRP activé :
#show ip protocols
Routing Protocol is "igrp 109"
Sending updates every 90 seconds, next due in 44 seconds
Invalid after 270 seconds, hold down 280, flushed after 630
Outgoing update filter list for all interfaces is not set

Incoming update filter list for all interfaces is not set
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
IGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
IGRP maximum hopcount 100
IGRP maximum metric variance 1
Redistributing: igrp 109
Routing for Networks:
198.92.72.0
Routing Information Sources:
Gateway Distance Last Update
198.92.72.18 100 0:56:41
198.92.72.19 100 6d19
198.92.72.22 100 0:55:41
198.92.72.20 100 0:01:04
198.92.72.30 100 0:01:29
Distance: (default is 100)
4.4. Connectivité
4.4.1. Ping
La commande Ping (Packet InterNet Groper) est une méthode très utile pour vérifier la
connectivité. Elle utilise deux messages ICMP (Internet Control Message Protocol), des
ICMP Echo Requests et des ICMP Echo Replies pour déterminer qu’un hôte distant est
joignable. Cette commande mesure également le temps pris pour recevoir un Echo Reply.
La commande ping envoie d’abord un Echo Request à une adresse IP et attend une réponse.
Le ping est satisfaisant seulement si l’Echo Request arrive à destination et si la destination
est capable de renvoyer un Echo Reply à la source du ping avec un intervalle de temps
prédéfini.
Voici un ping standard dans un IOS :
>ping 192.168.1.1
!!!!!
4.4.2. Le ping étendu
Quand la commande normale ping est envoyée d’un routeur, l’adresse source est celle de
l’interface qui est utilisée pour sortir. Avec la commande étendue ping, on peut construire
plus précisément sa requête Echo ICMP (notamment spécifier l’adresse IP source). L’appel à
la commande étendue se fait en tapant ping suivi d’un retour chariot. La commande posera
une série de question auxquelles il faudra répondre. Les réponses par défaut s’accusent par un
retour chariot.
#ping
Question Description
Protocole routé suporté : appletalk, clns, ip, novell,
Protocol [ip]:
apollo, vines, decnet, or xns. Par défaut, ip.
Adresse IP de destination ou nom d’hôte à vérifier.
Target IP address:
Par défaut, rien.
Nombre de paquets qui seront envoyés à l’adresse
Repeat count [5]:
de destination. Par défaut, 5.
Datagram size [100]: Taille du paquet en octets. Par défaut, 100 octets.
Intervalle de Timeout. Par défaut, 2 secondes. Le
Timeout in seconds [2]: ping est déclaré satisfaisant seulement si l’Echo
Reply est reçu endéans cet intervalle.
Demande si l’on veut utiliser des commandes
Extended commands [n]:
supplémentaires. Par défaut, non.
Adresse source ou interface (avec une syntaxe
Source address or interface:
correcte).
Spécifie le le « type of service » (ToS). Par défaut,
Type of service [0]:
0.
Spécifie si le bit « Don't Fragment » (DF) est activé
Set DF bit in IP header? [no]: ou pas. Utile pour spécifier le plus petit MTU dans
un trajet. Par défaut, non.
Spécifie s’il y aura validation ou non des données de
Validate reply data? [no]:
réponse. Par défaut, non.
Spécifie le modèle de donnée. Utile pour
Data pattern [0xABCD] diagnostiquer des problèmes de trames ou d’horloge
sur des lignes sérielles. Par défaut, 0xABCD.
Loose, Strict, Record, Timestamp,
Options d’en-têtes IP. Par défaut, non.
Verbose[none]:
Permet de faire varier la taille des paquets d’écho
Sweep range of sizes [n]:
envoyés. Par défaut, non.
!!!!! Chaque « ! » signifie la réception d’une réponse.
Chaque « . » signifie que les requêtes ICMP n’ont
.....
pas reçu de réponse avant le temps requis.
Chaque « U » signifie qu’un paquet « destination
UUUUU
inaccessible » a été recu.
Chaque « M » correspond à l’impossibilité de
MMMMM
fragmenter les paquets
Chaque « ? » correspond à des paquets inconnus
?????
reçus
Chaque « & » signifie que la durée de vie des
&&&&&
paquets est dépassée
Pourcentage des paquets pour lesquels le routeur a
Success rate is 100 percent reçu une réponse. En dessous de 80 % est
habituellement considéré comme problématique.
Temps de trajet de retour (Round-trip travel time
round-trip min/avg/max = 1/2/4 ms intervals) pour les réponses
(minumum/moyenne/maximum)
4.4.3. Traceroute
La commande traceroute permet de voir les différents sauts qu’empruntent les paquets à un
moment donné. Par exemple :
Router1#traceroute 34.0.0.4
Tracing the route to 34.0.0.4
1 12.0.0.2 4 msec 4 msec 4 msec

2 23.0.0.3 20 msec 16 msec 16 msec
3 34.0.0.4 16 msec * 16 msec
Comme pour la commande ping, on peut utiliser la commande traceroute en mode étendu
(commande seule suivie d’un retour chariot).
Pour plus d’informations sur traceroute :
http://www.informatik.uni-trier.de/~smith/networks/tspec.html
Pour plus d’informations sur ICMP voir la RFC 792 :

http://www.ietf.org/rfc/rfc0792.txt?number=792
4.5. Problèmes communs
• un protocole de routage non activé,

• un protocole de routage activé mais incorrectement configuré,
• des adresses IP incorrectes ou absentes,
• des masques de sous-réseau incorrects,
• des liens DNS-IP incorrects
• Une passerelle par défaut non configuré sur l’hôte disant (pas de retour possible)
5. Vérifications de la couche 4-7
Les vérifications de couche 7 s’opèrent en établissant des requêtes à partir d’un client
approprié vers le service demandé. Pour ne citer que les services les plus courant :
o un navigateur internet pour HTTP

o la commande telnet (IOS et OS PC) pour TELNET
o la commande ftp (OS PC) pour FTP
Il va de soi que ce type de diagnostic permet aussi d’établir l’état des ports ouverts ou filtrés
(Liste d’accès ACL).
6. Debug
La commande debug donne des messages de diagnostic sur des processus mis en œuvre sur le
routeur. En production, il faut prendre garde d’activer ce type de méthode car elle peut
prendre beaucoup de ressources. Avant d’activer un quelconque débogage, il convient de
vérifier les ressources restantes du routeur avec la commande show process cpu en mode
privilège.
Aussi, par défaut ces informations apparaîtront sur la console, ce qui est particulièrement
inconfortable. Il est possible de désactiver cet affichage et, même de les envoyer sur un
serveur approprié Syslog (voir infra).
On ne présentera pas ici le détail des commandes ainsi que leur interprétation.
6.1. Débogage du routage.
Il peut être utile de voir les informations de routage qui sont envoyées et reçues par le routeur.
Pour Rip,
#debug ip rip
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12supdoc/debug_r/dippim.
htm#8567
Pour IGRP,
#debug igrp events
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12supdoc/debug_r/dipdrp.
htm#4019
#debug igrp events
htm#4048
6.2. Débogage du ping
On verra ici l’origine, la destination et la nature des paquets ICMP envoyés et reçus.
#debug ip packet
htm#4599
http://www.cisco.com/warp/public/63/ping_traceroute.html#usingdbg
6.3. Désactivation du débogage
On peut désactiver un debug par la négation (no). On peut également désactiver tout
débogage par les commandes suivantes :
#undebug all
Ou,
#no debug all
6.4. Débogage hors console.
Voici un exemple de manipulation pour visualiser les informations de débogage après coup
sur la console. Au préalable, il s’agit de vérifier si le routeur a suffisamment mémoire pour
accepter le stockage des logs par show process memory.
Router#configure terminal
Router(config)#no logging console
Router(config)#logging buffered 5000
Router(config)#^Z
Router#debug ip packet
IP packet debugging is on
Router#ping 12.0.0.1
!!!!!
Router#undebug all
All possible debugging has been turned off
Router#show log
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console logging: disabled
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 61 messages logged
Trap logging: level informational, 59 message lines logged
Log Buffer (5000 bytes):
1w0d: IP: s=34.0.0.4 (local), d=12.0.0.1 (Serial0/0), Len 100, sending
1w0d: IP: s=12.0.0.1 (Serial0/0), d=34.0.0.4 (Serial0/0), Len 100, rcvd 3
Pour envoyer les log de debogage sur un serveur Syslog, on utilise la commande logging
suivie de l’adresse IP du serveur.
7. Autres diagnostics
Pour vérifier la valeur du registre de démarrage, on appliquera la commande
#show version
Pour visualiser le contenu de la startup-config située en NVRAM, autrement dit, pour

constater l’enregistrement d’une configuration, on utilisera les commandes :
#show startup-config
Ou,
#show configuration
8. Liste des commandes
1. #show interfaces [type number]

2. #show ip interface[type number]
3. #show ip interface brief
4. #show protocols
5. #show running-config
6. #show controllers [type number]
7. (config)#cdp run
8. (config-if)#cdp enable
9. (config)#cdp timer seconds
10. (config)#cdp holdtime seconds
11. #clear cdp counters
12. #clear cdp table
13. #show cdp
14. #show cdp entry entry-name [protocol|version]
15. #show cdp interface [type number]
16. #show cdp neighbors [type number] [detail]
17. #show cdp traffic
18. #show ip route
19. #show ip protocols
20. >ping ip_address
21. #ping [ip_address]
22. >traceroute ip_address
23. #traceroute [ip_address]
24. #show process cpu
25. #debug ip rip
26. #debug igrp events
27. #debug ip packet
28. #undebug all
29. #no debug all
30. #show process memory
31. (config)#logging console
32. (config)#logging buffered value_in_bytes
33. #show log
34. (config)#logging ip_address
35. #show version
36. #show startup-config
37. #show configuration
ACL : Résumé théorique (v0.4.0)

Les listes d'accès sont une matière importante et basique du CCNA. Ici, il s'agit seulement
d'appliquer des filtres sur les interfaces afin de bloquer du trafic qui les traverse. Toutefois,
leur principe s'applique à d'autres circonstances qui dépassent notre étude ...
1. Définition
Une liste d'accès est un ensemble d'instructions basées sur des protocoles de couche 3 et de
couches supérieures pour filtrer le trafic. L'étude exige seulement que nous les appliquions à
partir des interfaces.
Les ACLs font partie des fonctionnalités de type "firewall" des IOS Cisco. On se contentera
d'étudier les ACLs standard et étendue désignées par un numéro ou nom. Notons que
l'on trouvera aussi des ACLs réflexives, basées sur le temps et Context-based access control
(CBAC). Ces dernières ne sont pas abordées par le CCNA. Elles font parties du cours
sécurité.
2. Types de protocoles
Les types de protocoles que nous allons pouvoir configurer dans les instructions de filtrage
sont :
le port source
l'adresse IP source
une partie de l'adresse source
le port de destination
l'adresse IP de destination
une partie de l'adresse de destination

3. Utilité
Une liste d'accès va servir :
A supprimer des paquets pour des raisons de sécurité (pour du trafic de données ou des
accès VTY)
A filtrer des mises à jour de routage
A filtrer des paquets en fonction de leur priorité (QoS)
A définir du trafic intéressant pour des configurations spécifiques (NAT, ISDN, etc.)
4. Logique
Une liste d'accès, comportant une suite d'instructions de filtrage, va être appliquée sur une
interface du routeur, pour le trafic entrant ou pour le trafic sortant. Il va falloir appliquer une
logique sur les interfaces en sortie ou en entrée :
5. Caractéristiques
Les paquets peuvent être filtrés en entrée (quand ils entrent sur une interface) avant la
décision de routage
Les paquets peuvent être filtrés en sortie (avant de quitter une interface) après la décision de
routage.
Le mot clef IOS est "deny" pour signifier que les paquets doivent être filtrés ; précisément
les paquets seront refusés selon les critères définis.
Le mot clef IOS est "permit" pour signifier que les paquets ne doivent pas être filtrés ;
précisément les paquets seront permis selon les critères définis.
La logique de filtrage est configurée dans les listes d'accès.
Une instruction implicite rejette tout le trafic à la fin de chaque liste d'accès
6. Traitement
Le traitement d'une liste d'accès se déroule en deux étapes :

1. Recherche de correspondance (examen de chaque paquet)
2. Action (deny ou permit)
Ensuite ,
3. Si pas de correspondance, instruction suivante
4. Si aucune correspondance, l'instruction implicite est appliquée
7. Différence entre liste d'accès standard et liste d'accès étendue
Une liste d'accès standard examinera seulement l'adresse IP source.
Une liste d'accès étendue pourra examiner les adresses IP et les ports aussi bien source que
destination, ainsi que type de protocole (IP, ICMP, TCP, UDP).
Par ailleurs, il sera possible de vérifier une partie des adresses avec un masque générique
(wildcard mask).
8. Désignation d'une liste d'accès
On donnera soit un numéro ou un nom à une liste d'accès (un ensemble d'instructions de
filtrage) à appliquer sur une interface en entrée ou en sortie.
Si on utilise un numéro on aura le choix dans une plage de nombres en fonction du protocole
de couche 3 :
Protocole Plage
IP 1 - 99 et 1300 - 1999
IP étendu 100 - 199 et 2000 - 2699
Apple Talk 600 - 699
IPX 800 - 899
IPX étendu 900 - 999
Protocole IPX Service Advertising 1000 - 1099
Si on utilise un nom, il faudra désigner le type de liste : standard ou étendue.
9. Le masque générique (Wildcard Mask)
Il ne faut pas confondre un masque générique (wilcard mask) avec un masque de réseau.
Un masque générique est un masque de filtrage. Quand un bit aura une valeur de 0 dans le
masque, il y aura vérification de ce bit sur l'adresse IP de référence. Lorsque le bit aura une
valeur de 1, il n'en y aura pas.
Un masque de réseau est un masque de division ou de regroupement. Une addition
booléenne d'une adresse IP et d'un masque de réseau est utilisée pour distinguer la partie
réseau de la partie hôte.
En binaire, alors qu'un masque de réseau est nécessairement une suite homogène de 1 et puis
de 0, un masque générique peut être une suite quelconque de 1 et de 0 en fonction du filtrage
que l'on veut opérer sur des adresses IP.
Considérons l'exemple suivant :
Adresse de référence : 10.1.1.0

Masque générique : 0.0.0.255
Adresse de référence (binaire) : 00001010. 00000001. 00000001.00000000
Masque générique (binaire) : 00000000. 00000000. 00000000.11111111
En se basant sur le masque en binaire, on peut remarquer que les trois premiers octets de
l'adresse de référence doivent correspondre. La valeur du dernier octet n'a pas d'importance.
Autrement dit, avec ce masque, toutes les adresses de 10.1.1.0 jusque 10.1.1.255 seront
vérifiées.
Voici quelques exemples classiques de masque générique sur n'importe quelle adresse IP :
Masque
Version binaire Description
générique
0.0.0.0 00000000.00000000.00000000.00000000 Tous les bits seront examinés
Les 24 premiers bits seront
0.0.0.255 00000000.00000000.00000000.11111111
examinés
0.0.255.255 00000000.00000000.11111111.11111111
examinés
0.255.255.255 00000000.11111111.11111111.11111111
examinés
L'adresse ne sera pas examinée.
255.255.255.255 11111111.11111111.11111111.11111111 Tous les bits correspondent
d'emblée.
0.0.15.255 00000000.00000000.00001111.11111111
examinés
0.0.3.255 00000000.00000000.00000011.11111111
examinés
Tous les bits seront examinés
32.48.0.255 00100000.00110000.00000000.11111111 sauf le 3ème, le 11ème, le 12ème
et les 8 derniers
Le mot "any" remplace le 0.0.0.0 255.255.255.255, autrement dit toute adresse IP
Le mot "host" remplace le masque 0.0.0.0, par exemple, 10.1.1.1 0.0.0.0 peut être
remplacé par "host 10.1.1.1"
Concrètement, on pourra généraliser de la manière suivante. Le masque générique à utiliser

est l'inverse du masque de réseau pour un réseau à filtrer. Par exemple, pour filter sur
192.168.1.0/24 (255.255.255.0), on prendra un masque générique 0.0.0.255. Autre exemple
aussi, pour filter sur 192.168.1.0/27 (255.255.255.224), on prendra un masque générique
0.0.0.31.
10. Règles d'application
Placer les listes d'accès aussi près de que possible de la source des paquets (au niveau de
l'interface) s'il s'agit d'une ACL étendue. Par contre, s'il s'agit d'une ACL standard, il faut la
placer au plus proche de la destination (puisque c'est ce qu'elle ne vérifie pas).
Placer en tête de liste les règles (les instructions) qui font l'objet d'une correspondance la
plus précise et les plus générales à la fin.
Suivre ces deux recommandations tout en respectant les restrictions d'accès qui ont été
identifiées.
11. Syntaxe des commandes
La mise en œuvre d'une ACL se déroule en deux étapes :
1. Création de la liste, en plaçant les instructions les unes après les autres suivies d'un
retour chariot.
2. Application sur une interface en entrée ou en sortie
11.1. Liste d'accès standard

Router(config)#access-list numéro-liste-accès {deny|permit} adresse-source
[masque-source] [log]
11.2. Liste d'accès étendue

Router(config)#access-list numéro-liste-accès {deny|permit} protocole
adresse-source masque-source [opérateur port] adresse-destination masque-
destination [opérateur port] [log]
Où :
"opérateur" peut prendre les valeurs suivantes :
• lt (less than)
• gt (greater than)
• eq (equal)
• neq (not equal)
• range (inclusive range).
Où le paramètre "port" peut prendre une valeur nominative ou numéraire :

de 0 à 65535 ou, par exemple, http, telnet, ftp, etc.
11.3. Liste d'accès nommée

Router(config)#ip access-list standard nom
Router(config-ext-nacl)#permit|deny …
Router(config)#ip access-list extended nom

Router(config-ext-nacl)#permit|deny …
11.4. Activation d'une liste d'accès sur une interface

Router(config-if)#ip access-group {numéro-liste-accès|nom [in | out]}
11.5. Diagnostic
Router#show ip interface [type numéro]
Router#show access-lists [numéro-liste-accès|nom-liste-accès]
Router#show ip access-list [numéro-liste-accès|nom-liste-accès]
On pourra "logguer" le comportement d'une ACL en ajoutant le terme log à la fin d'une
directive. Un show logging donnera le résultat.
12. Optimisation du masque générique
Chaque paquet sera vérifié par chaque entrée d'une ACL. Il y aura autant de vérification qu'il
y a de paquets et d'entrées. Des listes d'accès trop longues peuvent engager beaucoup de
ressources. Il s'agira de les optimiser. Aussi, on peut également élaborer des critères de
vérifications assez fins. En voici des exemples.
12.1. Summarization d'ACL
Considérons ces huit réseaux à filtrer :
192.168.32.0/24
192.168.33.0/24
192.168.34.0/24
192.168.35.0/24
192.168.36.0/24
192.168.37.0/24
192.168.38.0/24
192.168.39.0/24
Les deux premiers octets sont identiques. Ils devront être vérifiés. Le masque générique
commencera par 0.0.
Le troisième octet varie. Il peut être écrit comme dans le tableau suivant conformément à la
position de chaque bit par rapport à sa valeur :
Décimale 128 64 32 16 8 4 2 1
32 0 0 1 0 0 0 0 0
33 0 0 1 0 0 0 0 1
34 0 0 1 0 0 0 1 0
35 0 0 1 0 0 0 1 1
36 0 0 1 0 0 1 0 0
37 0 0 1 0 0 1 0 1
38 0 0 1 0 0 1 1 0
39 0 0 1 0 0 1 1 1
M M M M MDDD
On remarque aisément que les cinq premiers bits correspondent exactement (M) alors que les
trois derniers changent. Le masque générique sur cet octet sera donc : 7 (00000111)
Dans le cas présenté, le dernier octet ne doit pas être vérifié. Le masque générique sera :
0.0.7.255
Notons que cet ensemble d'adresses peut être résumé avec le masque de super-réseau :
"192.168.32.0/21" ou "192.168.32.0 255.255.248.0". Dans ce cas commun dans lequel il
faudra vérifier ce groupe d'adresse IP, le masque générique sera l'inverse du masque réseau :
en soustrayant 255.255.248.0 de 255.255.255.255, on obtient 0.0.7.255
12.2. Filtrage fin
Quelle méthode a été employée pour découvrir les bits qui doivent être filtrés sur une adresse
IP ? On a désigné les bits qui ne varient pas d'une adresse à une autre et nous les avons
marqué avec un masque générique à la valeur 0 en binaire. Par exemple, pour filtrer sur un
octet uniquement les adresses paires :
Décimale 128 64 32 16 8 4 2 1
0 0 0 0 0 0 0 0 0
2 0 0 0 0 0 0 1 0
4 0 0 0 0 0 1 0 0
6 0 0 0 0 0 1 1 0
8 0 0 0 0 1 0 0 0
10 0 0 0 0 1 0 1 0
x pairs ? ? ? ? ? ? ?0
D D D D DDDM
On constate que le point commun entre toutes ces adresses ne concerne que le dernier bit de
l'octet. C'est donc ce dernier qu'il faudra vérifier par rapport à une adresse de référence.
Concrètement, en binaire, on aura un masque sur l'octet de "11111110", "254" en décimale
avec comme octet de référence binaire "00000000", "0" en décimale. Avec la directive
"192.168.1.0/0.0.0.254", on filtrera toutes les adresses paires du réseau 192.168.1.0/24. C'est
comme si on disait, vérifie :
que le premier octet soit toujours égal à 192 en décimale,

que le second octet soit toujours égal à 168 en décimale,
que le troisième octet soit toujours égal à 1 en décimale,
que le dernier bit du quatrième octet soit toujours égal à zéro en binaire, soit que sa valeur
décimale soit paire.
OSPF 2. Hiérarchie
Par francois Dernière modification 23/09/2006 09:47 François Goffinet
Une caractéristique principale d'’OSPF est de supporter des inter-réseaux très larges. Elle est
possible grâce au regroupement des routeurs dans des entités logiques appelées area ou zone.
La communication inter-zones ne laisse passer l’'échange d'’informations minimales de

routage uniquement pour que les zones restent connectées. Il en résulte que tous les efforts de
calcul de routes ne s'’opèrent qu'’au sein d’'une même zone. Les routeurs d'’une zone ne sont
pas affectés par les changements intervenus dans une autre zone. Dans un contexte où OSPF
demande beaucoup de ressources en CPU et en mémoire, cette notion de conception est très
importante.
Un routeur OSPF peut prendre en charge trois types d’'opérations : opération dans une zone,
connexion inter-zone et connexion entre systèmes autonomes (AS). Comme vu plus haut,
pour remplir ces tâches, un routeur doit remplir un rôle et une responsabilité particulière qui
dépend de l'’hiérarchie OSPF établie.
• Internal Router (IR) – Un IR remplit des fonctions au sein d’'une zone uniquement.
Sa fonction primordiale est d’'entretenir à jour sa base de donnée avec tous les réseaux
de sa zone, sa base de donnée d'états de lien (link-state database), qui est identique sur
chaque IR. Il renvoie toute information aux autres routeurs de sa zone, le routage ou
l'’inondation (flooding) des autres zones requiert l’'intervention d’'un Area Border
Router (ABR).
• Backbone Router (BR) – Une des règles de conception OSPF est que chaque zone
dans l’'interréseau doit être connectée à une seule zone, la zone 0 ou la backbone area.
La plupart des BR ont une interface connectée à la backbone area et une ou plusieurs
interfaces à d’'autres zones.
• Area Border Router (ABR) – Un ABR connecte deux ou plusieurs zones. Un ABR
possède autant de bases de données d'états de lien qu’'il y a d’'interfaces connectées à
des zones différentes. Chacune des ces bases de données contiennent la topologie
entière de la zone connectée peut donc être summarizée, c'est-à-dire agrégée en une
seule route IP. Ces informations peuvent être transmises à la zone de backbone pour la
distribution. Un élément clé est qu’'un ABR est l'’endroit où l'agrégation doit être
configurée pour réduire la taille des mises à jour de routage qui doivent être envoyées
ailleurs. Donc quand on parle des capacités d'’OSPF de minimiser les mises à jour de
routage, on peut directement penser au rôle rempli par les ABR.
• Autonomous System Boundary Router (ASBR) – Il faut bien retenir qu'’OSPF est un
IGP (Interior Gateway Protocol), autrement dit qu’il devra être connecté au reste de
l’'Internet par d’'autres AS. Ce type de routeur fera en quelque sorte office de
passerelle vers un ou plusieurs AS. L’'échange d’information entre un AS OSPF et
d’'autres AS est le rôle d’un ASBR et les informations qu’il reçoit de l'’extérieur
seront redistribuées au sein de l'’AS OSPF.
OSPF 3. Le fonctionnement d’'OSPF dans

une zone
Cette section traite du fonctionnement d’OSPF au sein d’'une seule zone et de la manière dont
la topology table ou la link-state database est contruite. La table de routage est constituée à
partir de cette base de donnée. Ce résultat est obtenu grâce à l'’application de l'’algorithme de
routage SPF. En voici les différentes étapes.
1. D’'abord, un routeur doit trouver ses voisins. Pour ce faire, il utilise des paquets Hello.
Dès son initialisation ou à la suite d’un changement de routage, un routeur va générer
un link-state advertisement (LSA). Cette annonce va représenter la collection de tous
les états de liens de voisinage du routeur.
2. Tous les routeurs vont s'’échanger ces états de liens par inondation (flooding). Chaque
routeur qui reçoit des mises à jour d'’état de lien (link-state update) en gardera une
copie dans sa link-state database et propagera la mise à jour auprès des autres
routeurs.
3. Après que la base de données de chaque routeur soit complétée, le routeur va calculer
l'’arbre du chemin le plus court (Shortest Path Tree) vers toutes les destinations avec
l'’algorithme Dijkstra. Il construira alors la table de routage (routing table), appelée
aussi forwarding database, en choisissant les meilleures routes.
4. S’il n’'y a pas de modification topologique, OSPF sera très discret. Par contre en cas
de changement, il y aura échange d’'informations par des paquets d’'état de lien et
l’'algorithme Dijkstra recalculera les chemins les plus courts.
OSPF 4. L’'algorithme du chemin le plus

court
L’'algorithme du chemin le plus court est celui qui est utilisé par OSPF pour déterminer le
meilleur chemin vers un réseau de destination.
Avec cet algorithme, le meilleur chemin est celui qui a le coût le moins cher, le plus faible. Il
a été découvert par E. W. Dijkstra (1930-2002), un mathématicien néerlandais
(http://www.cs.utexas.edu/users/EWD/) . Il a été publié en 1959 et son utilisation dépasse
largement le monde des réseaux.
L'’algorithme considère un réseau de noeœuds connectés par des liens point à point. Chaque
lien a un coût. Chaque nœoeud a un nom et possède une base de donnée complète de tous les
liens et a donc ainsi une connaissance complète de la topologie physique. Tous les routeurs de
la base de donnée d’'état de lien sont identiques.
L’'algorithme du chemin le plus court va alors calculer une topologie sans boucle en utilisant
le nœoeud en question comme point de départ et en examinant à son tour les informations des
ses noeœuds contigus.
OSPF 5. Les états OSPF, la construction des

adjacences
Avant de s'’échanger des informations de routage, les routeurs OSPF établissent des relations
ou des états avec leurs voisins afin de partager efficacement les informations d’'états de lien.
Les protocoles à vecteur de distance comme RIP utilisent aveuglément le broadcast ou le

multicast en envoyant par chaque interface leur table de routage complète toutes les 30
secondes (par défaut). A contrario, les routeurs OSPF comptent 5 différents types de paquets
pour identifier les voisins et mettre à jour les informations de routage à état de lien.
Type de paquet OSPF Description

Etablit et maintient les informations de contiguïté
Type 1 – Hello
(adjacency information) avec les voisins.
Type 2 – Database Décrit le contenu des bases de données d’'état de liens
Description packet (DBD) (link-state database) des routeurs OSPF.
Type 3 – Link-state request Demande des éléments spécifiques des bases de données
(LSR) d’'état de liens (link-state database) des routeurs OSPF.
Type 4 – Link-state update Transporte les link-sate advertisements, les LSA, aux
(LSU) routeurs voisins.
Type 5 – Link-state
Accusés de réception des LSA des voisins.
acknowledgment (LSAck)
Ces cinq types de paquets font en sorte qu’'OSPF soit capable de communications complexes
et sophistiquées. Les interfaces OSPF peuvent rencontrer sept états et correspondent à deux
moments : d’une part, la découverte des voisins et, d’autre part, la découverte des routes. En
voici brièvement le descriptif.
OSPF 5.A. découverte des voisins

Les trois premières étapes visent à découvrir le voisin.
1. Down State
Dans cet état, il n'’y a pas d’'échange d’'informations entre les voisins. OSPF attend le
prochain état qui est l'’Init State.
2. Init State
Les routeurs OSPF envoient des paquet Type 1 (Hello) a des intervalles réguliers (d’'habitude
10 secondes) pour établir une relation avec les routeurs voisins. Quand une interface reçoit le
premier paquet Hello, le routeur entre en Init State, ce qui signifie que le routeur sait qu’'il y a
un voisin en face et il attend d’'entrer en relation avec lui dans la prochaine étape.
Il y a deux catégories de relations : Two-Way et Full Adjacency. Un routeur doit de toute

façon recevoir un Hello d'’un voisin avant d’'établir une relation.
3. Two-Way State
Utilisant des paquets Hello, chaque routeur OSPF tente d'’établir un Two-Way State ou une
communication bidirectionnelle avec chaque voisin qui est dans le même réseau IP. En
d’'autres termes, les paquets Hello incluent la liste des voisins OSPF connus de l’'envoyeur.
Un routeur entre en Two-Way State quand il se voit dans le Hello d’'un voisin.
Le Two-Way State est la relation la plus basique qu'’un voisin OSPF peut établir, mais dans
cette relation aucune information de routage n'’est partagée. Pour apprendre l'’état des liens
des autres routeurs et construire une table de routage, chaque routeur doit former une
contiguïté entière (adjacency). Une adjacency est une relation avancée entre des routeurs
OSPF qui implique une série d'’états progressifs qui ne comptent pas seulement des paquet
Hello mais aussi les quatre autres types de paquets. Les routeurs qui tentent de devenir
contigus ou adjacents avec un autre échangent des informations de routage avant que toute
adjacency soit entièrement établie. La première étape est le ExStart State.
OSPF 5.B. Découverte des routes

Toute interface OSPF "non problématique" est au moins en état "Two Way". Selon les
circonstances, elles pourront atteindre l'état "Full Adjacency" en passant par d'autres étapes
intermédiaires. Les connaître est très utile pour le diagnostic.
4. ExStart State
Techniquement, quand un routeur entre en Exstart State, la conversation est

caractérisée par une contiguïté (adjacency) mais les routeurs ne sont pas encore
entièrement adjacents. L'’ExStart est établi en utilisant des paquets de Type 2 database
description (DBD). Les deux routeurs voisins utilisent ces paquets pour négocier qui sera le
« maître » et qui sera l’'« esclave » dans la relation.
Le routeur avec la plus haute OSPF ID « gagnera » et deviendra « maître ». Quand ces rôles
de « maître » et « esclave » sont définis, l’'état Exchange intervient et l'’envoi d’'informations
de routage peut commencer.
5. Exchange State
Dans cet état, les routeurs voisins vont utiliser des Type 2 DBD packets pour s'’envoyer l’'un à
l'’autre des informations. En d'’autres mots, Les routeurs décrivent leur link-state database
aux autres. Les routeurs comparent ce qu'’ils apprennent avec ce qu'’ils connaissent déjà de
leur link-state database. S'’ils apprennent des informations sur des liens qu’'ils ne possèdent
pas, ils demandent un mise à jour complète à leur voisin. Les informations de routage
complètes sont échangée dans le Loading State.
6. Loading State
Après que la base de données ait été décrite à chaque routeur, ils peuvent demander des
informations plus complètes en utilisant des Type 3 packets, appelés link-state requests
(LSRs). Quand un routeur reçoit un LSR, il répond avec une mise à jour en utilisant un Type 4
link-state update (LSU) packet. Ces paquets Type 4 LSU contiennent les link-sate
advertisements (LSAs) qui sont le cœoeur du protocole de routage à état de lien. Les LSU
sont accusés de réception par des LSAcks, link-state acknowledgments.
7. Full Adjacency
Lorsque le Loading State est complet, les routeurs sont entièrement adjacents. Chaque routeur
garde une liste de ses routeurs voisins appelée adjacency database. Elle ne doit pas être
confondue avec la link-state database ou la forwarding database.
OSPF 6. Topologies OSPF

Une relation de voisinage est nécessaire pour que les routeurs OSPF partagent des
informations de routage. Un routeur va tenter de devenir adjacent (contigu) avec au minimum
un autre routeur d’'un réseau IP auquel il est connecté. Certains routeurs essaient de devenir
adjacents à chaque routeur voisin. D'’autres essaient d’être adjacents à seulement un ou deux
routeurs. Tout ceci est déterminé par le type de réseau auxquels ils sont connectés. Lorsqu'une
adjacence est formée entre deux voisins, les informations à état de lien sont alors échangées.
Topologie Caractéristiques Election DR

Broadcast Multiacces Ethernet, FDDI, Token Ring Oui
NBMA (Non Broadcast MA)
Frame Relay, X.25, SMDS Oui
Point-to-Point PPP, HDLC Non

Circuit à la demande Configuré par un administrateur Non
Les interfaces OSPF reconnaissent automatiquement deux types de réseaux :
• Broadcast multi-access, comme Ethernet

• Point-to-point networks
Contrairement aux réseaux NBMA et Circuits à la demande, il n'y a pas besoin de les
configurer.
Notions de DR et BDR.
Dans un réseau multi-accès, beaucoup de routeurs peuvent être connectés. Si chaque routeur
doit établir une adjacence complète (Full Adjacency) avec tous les autres routeurs et échanger
des informations à état de lien avec chaque voisin, les machines pourraient subir des
surcharges. S’il y a 5 routeurs, 10 relations d'’adjacence seront nécessaires et 10 états de lien
envoyés. S’il y a 10 routeurs, 45 adjacences seront nécessaires. En général, pour n routeurs,
n*(n-1)/2 adjacences seront formées.
La solution à cette surcharge est l'’organisation de l'’élection d’un routeur désigné (designated
router, DR). Ce routeur devient adjacent à tous les autres routeurs dans un segment de
broadcast. Tous les autres routeurs sur le même segment envoient leur informations d’'état de
lien au DR. Le DR agit comme porte-parole pour le segment. En utilisant les exemples
chiffrés exposés ci-avant, seulement 5 et 10 ensembles de link-state seront envoyés. Le DR se
chargera de renvoyer les informations d’'état de lien à tous les autres routeurs du segment
avec l'’adresse multicast 224.0.0.5.
Malgré tout le bénéfice en efficacité de cette procédure d’'élection, il y a un désavantage : le

DR sera un point unique de rupture. Un second routeur est aussi élu comme routeur désigné
de sauvegarde (backup designated routeur, BDR). Pour être sûr que les DR et BDR voient
l’'état de lien de tous les routeurs sur le segment, l'’adresse multicast 224.0.0.6 est utilisée
pour TOUS les routeurs désignés (DR). Les autres routeurs qui ne sont ni DR ni BDR sont
appelés DROTHER et s'arrêtent à l'état Two Way, sans échange d'informations de routage.
Sur un réseau point-à-point, seuls deux points existent. Il n’'y a pas d’'élection de DR ou
BDR. Chaque routeur devient entièrement adjacent avec l’'autre.
OSPF 7. Vue d'ensemble du protocole
HELLO
Quand un routeur commence un processus de routage OSPF sur une interface, il envoie un
paquet Hello et continue à envoyer ces paquets à intervalles réguliers. La règle qui gouverne
l’'échange des paquets Hello OSPF est appelée le protocole Hello.
A la couche 3 du modèle OSI, les paquets Hello sont adressés en multicast 224.0.0.5. Cette
adresse est « tous les routeurs OSPF ». Les routeurs OSPF utilisent ces paquets Hello pour
initier de nouvelles adjacences et pour s’'assurer que les routeurs voisins sont fonctionnels.
Les paquets Hello sont envoyés toutes les 10 secondes par défaut sur un réseau multiaccès et
point-à-point et toutes les 30 secondes sur un NBMA.
Dans un réseau multiaccès, le protocole Hello élit un DR et un BDR.
Bien qu’'un paquet Hello soit petit (moins de 50 bytes), il est en fait l’en-tête d’un paquet
OSPF qui prend la valeur de 1 dans le champ type.
Remarquons ici particulièrement le champ Router ID dont nous avons parlé plus haut et dont
nous reparlerons encore. Ce champ est utilisé pour identifier de manière unique un routeur
OSPF. Il prendra la valeur de la plus haute adresse IP du routeur (32 bits). Puisqu’'une adresse
IP est censée être unique dans un réseau, elle convient bien pour remplir ce champ. Aussi,
parce qu'’un routeur supporte de multiples adresses IP assignées pour l’'interconnexion des
réseaux, on utilisera volontiers l’'adresse IP d'’interfaces de loopback (virtuelles) qui ne
participeront pas nécessairement au routage. Leur avantage est aussi dans le fait que ces
interfaces ne tombent jamais (en fonction d’une dépendance à un lien physique). Notons enfin
que les IOS Cisco prendront toujours en compte l’'IP de l’interface de loopback quand bien
même des interfaces physiques auraient une IP plus élevée. Par contre, en absence d'’interface
de loopback, sur du matériel Cisco, l'’IP la plus élevée d'’une interface physique sera prise.
Un Paquet Hello transporte des informations que tous les voisins doivent agréer avant qu’'une
adjacence soit formée et avant que les informations d’'état de lien soient échangées.
Notons le champ « Rtr Prio », « Router Priority » qui intervient dans la désignation des rôles
entre routeurs OSPF.
OSPF 8. Opérations OSPF

Il est maintenant nécessaire de reprendre l'ensemble des concepts vu dans les sections
précédentes et d'envisager globalement les opérations d'OSPF au sein d'une zone.
Etape 1 : Etablir l’adjacence des routeurs.
Cette étape correspond à un des 7 états décrits dans la section 5, Les états OSPF. Dans des
conditions de configuration correcte, les routeurs iront au moins jusqu'au Two-Way State. Si
la liaison est point-à-point, les routeurs voisins deviendront adjacents. Dans le cas d’un réseau
multiaccès, les routeurs vont entrer dans un processus d’élection pour devenir DR, BDR ou
aucun des deux (DROTHER).
Si une élection est nécessaire, autrement dit si les interfaces partagent un réseau multiaccès,
les routeurs entrent dans l’'étape 2 : Election d’un DR et d’un BDR. Sinon, les routeur entrent
dans l’'état ExStart (cf. section 5.A) décrit dans l’'étape 3 : Découverte des routes.
Etape 2 : Election d’un DR et d’un BDR.
Parce que les réseaux multi-accès peuvent comporter plus de deux routeurs, OSPF élit un DR
pour être le point central des mises à jour link-state. Le rôle du DR est critique. Pour cette
raison, un BDR est élu comme remplaçant immédiat du DR. Cette élection est fonction d’un
type de réseau (une interface LAN dans un réseau multiaccès). Cela signifie qu’'un routeur
qui a trois interfaces LAN OSPF pourrait prendre trois rôles OSPF à la fois (voir Election
DR-BDR).
Le processus électoral du DR ou du BDR peut être truqué … Ainsi, les paquets Hello
contiennent un champ « Router Priority » (8 bits) qui pourra déterminer une élection. Le
routeur avec la plus haute priorité par rapport à ses routeurs voisins gagnera l’'élection DR. Le
second avec la plus haute priorité gagnera l'’élection BDR. Une fois que l’'élection est
terminée, les rôles sont déterminés jusqu’au moment où l’'un est en panne, même si de
nouveaux routeurs s’'ajoutent au réseau avec une plus haute priorité. Les paquets Hello
informent les nouveaux venus de l’'existence et de l’'identification des DR et BDR.
Par défaut, tous les routeurs OSPF ont la même priorité d’une valeur de 1. Une priorité
prendra une valeur de 8 bits, de 0 à 255. Elle est assignée sur une interface, le cas échéant,
manuellement. Une priorité de 0 assurera un routeur qu’il ne gagnera pas une élection sur une
interface tandis qu’'une priorité de 255 assurera sa victoire. Le champ « Router ID » est utilisé
pour départager des routeurs qui auraient éventuellement la même priorité. On a vu plus haut
que ce champ prendra la valeur de l’'adresse IP la plus élevée sur le routeur, avec sur les IOS
Cisco, une préférence absolue pour les interfaces de loopback.
Quand une élection est finie et qu’'une communication bidirectionnelle est établie, les
routeurs sont prêts à échanger des informations de routage avec les routeurs adjacents et à
construire leur base de données de liens.
Etape 3 : Découverte des routes.
Les routeurs sont maintenant prêts à s’engager dans le processus Exchange décrit plus haut.
Dans l’état ExStart, les routeurs vont déterminer qui commence à envoyer les informations.
Ici, le principe est d’établir une relation Maître/Esclave entre deux routeurs. Le routeur qui
déclare la plus haute ID (la priorité n’intervient plus) commencera et orchestrera l’échange en
tant que maître.
Une fois que ces rôles sont établis, les routeurs entrent dans l’état Exchange à proprement dit.
Le maître mène l’esclave à un échange de paquets Database Description (DBDs) qui
décrivent la base de données de liens de chaque routeur dans les détails. Ces descriptions
comportent le type d’état de lien, l’adresse du routeur qui fait la publicité, le coût du lien et un
numéro de séquence.
Les routeurs confirment la réception des DBDs en envoyant des paquets LSAck (Type 5), qui
contiennent une correspondance aux numéros de séquences envoyés dans les DBDs. Chacun
compare les informations qu’il reçoit avec ce qu’il sait déjà. Si des DBDs annoncent des
nouveaux états de lien ou des mises à jours d’état de lien, le routeur qui les reçoit entre alors
en état Loading et envoie des paquets LSR (Type 3) à propos des nouvelles informations. En
réponse aux paquets LSR, l’autre enverra des informations complètes d’état de lien des
paquets LSUs (Type 4). En fait, les LSUs transportent des LSAs.
Quand l’état Loading est terminé, les routeurs entrent en Full Adjacency. Il faudra qu’ils
entrent dans cet état d’adjacence totale avant de créer leur table de routage et de router le
trafic. A ce moment, les routeurs d’une même zone ont une base de données d’état de lien
identique.
Etape 4 : Sélection des routes appropriées.
Après qu’un routeur ait complété sa link-state database, il peut créer sa table de routage et
commencer à transférer le trafic. Comme mentionné plus haut, OSPF utilise comme métrique
le coût (Cost) pour déterminer le meilleur chemin vers une destination. La valeur par défaut
du coût dépend de la valeur de la bande passante d’un lien. En général, plus la bande passante
diminue plus le coût est élevé. Voici les valeurs par défaut du coût par rapport au type de
média sur les IOS Cisco :
Medium Coût
Ligne série 56kbps 1785
T1 (ligne série 1544kbps) 64
E1 (ligne série 2048kbps) 48
Token Ring 4 Mbps 25
Ethernet 10
Token Ring 16Mbps 6
Fast Ethernet 100Mbps, FDDI 1
Où la formule est : 108 / bandwidth = 100 000 000 /bandwidth
Pour calculer le coût le plus faible vers une destination, le routeur exécutera l’algorithme SPF.
Pour simplifier, l’algorithme SPF fait la somme des coûts à partir de lui-même (root) vers
tous les réseaux de destination. S’il y a plusieurs chemins possibles vers une destination, celle
qui a le coût le plus faible est choisie. Par défaut, OSPF inscrit quatre routes équivalentes dans
sa table de routage pour permettre la répartition de charge (Load Balancing).
Il arrive que certaines lignes, comme des lignes sérielles, se montent ou se descendent
rapidement (flapping). Le flapping provoquera l’envoi de LSUs qui pousseront les routeurs
destinataires à ré-exécuter l’algorithme SPF pour recalculer les routes. Le flapping prolongé
peut toucher sévèrement les performances des machines. Les calculs SPF répétés prendront
beaucoup de ressources en CPU. Aussi, elles pourraient empêcher la base de données de lien
de converger.
Pour combattre ce problème l’ IOS Cisco utilise un compteur de retenue SPF (SPF hold
timer). Après avoir reçu un paquet LSU, le compteur ne commencera le calcul SPF qu’après
un certain laps de temps. La commande timers spf active l’ajustement de ce temps qui est de
10 secondes par défaut.
Etape 5 : Maintien des informations de routage.
Quand un routeur a installé ses routes dans la table de routage, il doit maintenir
minutieusement ses informations de routage. Lorsqu’il y a changement d’un état de lien, les
routeurs OSPF utilisent un processus d’inondation (flooding) pour avertir les autres routeurs.
L’intervalle de mort (dead interval) du protocole Hello fournit un mécanisme simple pour
déclarer un lien rompu. Quand une interface n’a plus de nouvelles d’un lien après cette
période (habituellement 40 secondes), le lien est réputé down. (au sens OSPF cf. flooding)
Le routeur qui a constaté le lien down envoie un LSU avec les nouvelles information d’état de
lien. Oui, mais à qui ?
• Sur un réseau point-à-point, il n’y ni DR ni BDR. Les nouvelles informations d’état de

lien sont envoyés sur l’adresse Multicast 224.0.0.5. Tous les routeurs OSPF écoutent à
cette adresse.
• Sur un réseau multi-accès, un DR et un BDR existent et maintiennent les adjacences
avec tous les autres routeurs du réseau. Si un DR ou un BDR a besoin d’envoyer une
mise à jour d’état de lien, il le fera à destination de l’adresse 224.0.0.5. Quoi qu’il en
soit, les autres routeurs du réseau sont adjacents uniquement au DR ou au BDR et
n’envoient des LSUs qu’à ceux-ci. C’est pour cette raison que les DR et BDR ont leur
propre adresse de destination multicast 224.0.0.6. Les routeur qui ne sont pas
DR/BDR envoient leurs LSUs sur 224.0.0.6, autrement dit, « tous les routeurs
DR/BDR ».
Quand un DR reçoit et accuse réception d’un LSU destiné à 224.0.0.6, il inonde de LSU tous
les autres routeurs du réseau sur 224.0.0.5. Chaque routeur accusera réception du LSU avec
un LSAck.
Si un routeur OSPF est connecté à un autre réseau, il inonde de LSU les autres réseaux en
transférant le LSU au DR d’un réseau multi-accès ou au routeur adjacent sur un réseau P2P.
Le DR, à son ton tour, « multicaste » le LSU à ses routeurs non DR/BDR de son propre
réseau …
Dès qu’un routeur reçoit un LSU, il met à jour sa link-state database et met en œuvre
l’algorithme SPF pour calculer les nouvelles routes à inscrire dans sa table de routage. Après
l’expiration du compteur SPF, la route est inscrite dans la table de routage.
Sur les routeurs Cisco, une vieille route est toujours utilisée pendant que l’algorithme SPF
calcule la nouvelle route et jusqu’au moment où le calcul sera fini.
Il est important de remarquer que même si aucun changement topologique n’intervient, les
informations de routage OSPF sont régulièrement rafraîchies. Chaque entrée LSA a sa propre
durée de vie. Le compteur a une durée par défaut de 30 minutes. Après que sa durée de vie
soit écoulée, le routeur à l’origine de cette information renvoie un LSU au réseau pour vérifier
que le lien est toujours actif.
Notions de switching
Cet article a pour objectif de présenter une vue globale de la commutation (switching) en
exposant les notions de latence, de full-duplex, de segmentation par du matériel de couche 2
et de couche 3, de modes de commutation.
1. Latence
Définition
La latence, parfois appelée délai, est le temps que prend une trame (ou un paquet) pour
voyager entre la station d'origine (nœud) et la destination finale sur le réseau.
Causes :
Délai carte réseau
Premièrement, il y a le temps nécessaire à la carte réseau d'origine pour placer des impulsions
électriques sur le fil et le temps nécessaire à la carte réseau réceptrice pour interpréter ces
impulsions. On parle parfois, dans ce cas, de délai de carte réseau (il s'agit généralement d'un
délai de 1 microseconde pour les cartes réseau 10BaseT).
Délai propagation
Vient ensuite le délai de propagation proprement dit, qui se produit lorsque le signal prend le
temps, quoique très court, nécessaire à son déplacement sur le fil (environ 0,556
microseconde par 100 mètres pour du câble UTP de catégorie 5). Plus le câble est long, plus
le délai de propagation est important. De même, plus la vitesse de propagation nominale, ou
NVP, du câble est faible, plus le délai de propagation est important.
Délais unités couches 1, 2 ou 3
Enfin, du temps de latence est ajouté en fonction des unités réseau (qu'elles soient de couche
1, 2 ou 3) ajoutées sur la voie entre deux hôtes en communication, ainsi que de leur
configuration. Il convient également de tenir compte du temps de transmission réel (période
pendant laquelle l'hôte transmet effectivement des bits) pour bien comprendre la notion de
synchronisation dans le domaine des réseaux.
Durée d'un bit
= l'unité de base au cours de laquelle UN bit est envoyé.

Pour que les dispositifs électroniques ou optiques soient en mesure de reconnaître un 1 ou un
0 binaire, il doit y avoir une période minimale durant laquelle le bit est " ouvert " ou " fermé ".
Si la durée d'un bit est de 100ns (Ethernet 10 Mbits/s) alors pour
Taille d'un trame (Octet) Temps de transmission (microseconde)

64 51,2
512 410
1000 800
1518 1214
(trame X 8 X 100ns)/1000 = temps de transmission en microsecondes
2. Les répéteurs
Les répéteurs sont des éléments de couche 1 qui régénèrent le signal avant de le transmettre.
Les répéteurs autorisent des distances de bout en bout supérieures
Les répéteurs augmentent le domaine de collision
Les répéteurs augmentent le domaine de broadcast
3. Full-Duplex
Le commutateur Ethernet full duplex tire parti des deux paires de fils du câble grâce à
l'établissement d'une connexion directe entre l'émetteur (TX) à une extrémité du circuit et le
récepteur (RX) à l'autre extrémité. Lorsque les deux stations sont connectées de cette
façon, un domaine sans collision est créé, car la transmission et la réception des données
s'effectuent sur deux circuits non concurrents.
En règle générale, Ethernet utilise seulement entre 50 et 60 % de la bande passante de 10
Mbits/s disponible en raison des collisions et de la latence. Le mode Ethernet full duplex
offre 100 % de la bande passante dans les deux directions. Cela produit un débit potentiel
de 20 Mbits/s : 10 Mbits/s en transmission et 10 Mbits/s en réception.
4. Pourquoi segmenter un LAN ?
La segmentation permet d'isoler le trafic ente les segments

Elle augmente la bande passante disponible pour chaque utilisateur en créant des domaines de
collisions plus petits.
5. Le matériel
Les ponts
Les ponts sont des unités de couche 2 qui acheminent des trames de données en fonction des
adresses MAC contenues dans les trames. De plus, les ponts sont transparents pour les autres
unités du réseau.
Les ponts " apprennent " la segmentation d'un réseau en créant des tables d'adresses qui
renferment l'adresse de chacune des unités du réseau, ainsi que le segment à utiliser pour
atteindre cette unité. à moins d'utilisateurs par segment
Un pont est considéré comme une unité de type " Store and Forward " parce qu'il doit
examiner le champ adresse de destination et calculer le code de redondance cyclique (CRC)
dans le champ de séquence de contrôle de trame avant de transmettre ladite trame vers tous
les ports. à Ils augmentent la latence de 10 à 30%
Les routeurs
Un routeur fonctionne au niveau de la couche réseau et fonde toutes ses décisions en matière
d'acheminement des données entre les segments sur l'adresse de niveau protocole de la couche
réseau.
Les commutateurs
Un commutateur peut segmenter un LAN en microsegments, qui sont des segments à

hôte unique. Cela a pour effet de créer des domaines sans collision à partir d'un grand
domaine de collision. ( ! domaine de broadcast identique). + Latence faible
Dans une implémentation Ethernet commutée, la bande passante disponible peut atteindre
près de 100 %. Chaque ordinateur branché sur port dispose d'une bande passante maximale de
point à point.
L'un des inconvénients des commutateurs est leur prix, plus élevé que celui des
concentrateurs.
6. La commutation
Deux activités de base
- La commutation de trames de données - Cette opération se produit lorsqu'une trame qui

est parvenue au niveau d'un média d'entrée est transmise à un média de sortie.
- La gestion des opérations de commutation - Un commutateur crée et gère des tables de
commutation.
En règle générale, les ponts assurent la commutation au niveau logiciel, les commutateurs au
niveau matériel.
La commutation de couche 2 et de couche 3
La commutation est un processus qui consiste à prendre une trame entrante sur une interface
et à l'acheminer par une autre interface. Les routeurs utilisent la commutation de couche 3
pour acheminer un paquet ; les commutateurs (unités de couche 2) utilisent la commutation de
couche 2 pour acheminer les trames
Dans le cas de la commutation de couche 2, les trames sont commutées en fonction des
adresses MAC. Dans le cas de la commutation de couche 3, les trames sont commutées selon
les informations de couche réseau.
Contrairement à la commutation de couche 3, la commutation de couche 2 ne regarde pas à
l'intérieur d'un paquet pour y trouver les informations de couche réseau. La commutation de
couche 2 regarde l'adresse MAC de destination contenue dans une trame. Elle envoie les
informations à la bonne interface, si elle connaît l'emplacement de l'adresse de destination. La
commutation de couche 2 crée et met à jour une table de commutation qui consigne les
adresses MAC associées à chaque port ou interface.
Si le commutateur de couche 2 ne sait pas où envoyer la trame, il l'envoie par tous ses ports au
réseau pour connaître la bonne destination. Lorsque la réponse est renvoyée, le commutateur
prend connaissance de l'emplacement de la nouvelle adresse et ajoute les informations à la
table de commutation.
Comment un commutateur prend-il connaissance des adresses ?
Apprend l'emplacement d'une station en examinant l'adresse d'origine.

Envoie par tous les ports (sauf sur le port d'origine) lorsque l'adresse de destination est un
broadcast, un multicast ou inconnue.
Achemine les données lorsque la destination est située sur une interface différente.
Filtre les données lorsque la destination est située sur la même interface.
Les avantages de la commutation LAN
Réduction du nombre de collision

Plusieurs communications simultanées
Liaisons montantes (Uplink) simultanées
Amélioration des réponses du réseau
Hausse de la productivité de l'utilisateur
Economie et souplesse de gestion
Deux modes de commutation
Store and Forward
La trame entière doit être reçue avant de pouvoir être acheminée. Les adresses de
destination et/ou d'origine sont lues et des filtres sont appliqués avant que la trame ne soit
acheminée. De la latence se produit pendant la réception de la trame ; la latence est plus
élevée dans le cas des grandes trames, car la trame entière est plus longue à lire. La détection
d'erreurs est élevée, car le commutateur dispose de beaucoup de temps pour vérifier les
erreurs en attendant de recevoir toute la trame.
Cut-through
Le commutateur lit l'adresse de destination avant d'avoir reçu toute la trame. La trame
est ensuite acheminée avant d'avoir été entièrement reçue. Ce mode réduit la latence de la
transmission et détecte peu d'erreurs de commutation LAN. " FastForward " et " Fragment
Free " sont deux types de commutation " Cut-through ".
Mode de commutation " FastForward "
Ce mode de commutation offre le plus faible niveau de latence en acheminant un paquet dès
réception de l'adresse de destination. Comme le mode de commutation " FastForward "
commence l'acheminement avant que le paquet entier n'ait été reçu, il peut arriver que des
paquets relayés comportent des erreurs. Bien que cela ne se produise qu'occasionnellement et
que l'adaptateur réseau de la destination rejette le paquet défectueux lors de sa réception, le
trafic superflu peut être jugé inacceptable dans certains environnements. Utilisez le mode
Fragment Free pour réduire le nombre de paquets qui sont acheminés avec des erreurs. En
mode FastForward, la latence est mesurée à partir du premier bit reçu jusqu'au premier bit
transmis (c'est la méthode du premier entré, premier sorti).
Mode de commutation Fragment Free

Ce mode de commutation filtre les fragments de collision, qui constituent la majorité des
erreurs de paquet, avant que l'acheminement ne puisse commencer. Dans le cas d'un réseau
qui fonctionne correctement, les fragments de collision doivent être d'une taille inférieure à 64
octets. Tout fragment d'une taille supérieure à 64 octets constitue un paquet valide et est
habituellement reçu sans erreur. En mode de commutation Fragment Free, le paquet reçu doit
être jugé comme n'étant pas un fragment de collision pour être acheminé. Selon ce mode, la
latence est mesurée en fonction du premier entré, premier sorti.
7. STP (Spanning Tree Protocol)
1. Assure la commutation des trames de broadcast

2. Empêche les boucles
3. Permet les liaisons redondantes
4. Elague (pruning) la topologie à un arbre d'acheminement (spanning tree) minimal
5. Supporte les changements topologique et les pannes d'unité
Les 5 états du STP
1. Blocage - Aucune trame acheminée, unités BPDU entendues

2. Écoute - Aucune trame acheminée, écoute des trames
3. Apprentissage - Aucune trame acheminée, apprentissage des adresses
4. Acheminement - Trames acheminées, apprentissage d'adresses
5. Désactivation - Aucune trame acheminée, aucune unité BPDU entendue
Configurer plusieurs interfaces en même

temps sur un 2950
Description de la fonctionnalité Interface-range macros.
Description de la fonctionnalité Interface-Range Macros des 2950
On aura vite remarqué que les switches tournant sous un Cisco IOS disposent de la même
interface de configuration et de la même syntaxe de base que les routeurs.
Toutefois, les switches disposent quelques fois de plusieurs dizaines d'interfaces. Il peut
s'avérer fastidieux de les configurer une à une avec des paramètres identiques. L'utilisation de
la fonctionnalité Interface-Range Macros sur des 2950 peut faciliter le travail !
Tout simplement on définira un nom de macro qui reprendra un ensemble d'interfaces. On

utilisera ce nom comme le nom d'une interface physique précédé des paramètres range
macro.
(config)#define interface-range macro-name interface-range
où
macro-name est un mot quelconque de 32 caractères maximum

interface-range comportera la plage d'interfaces respectant la syntaxe :
• vlan vlan-id
• fastethernet slot/{premier_port} - {dernier_port} [1]
Concrètement imaginons que nous devions configurer les ports 2 à 12 d'un 2950-12 de
manière identique en prenant le nom de macro macro1 :
(config)#define interface-range macro1 fastethernet 0/2 - 12

(config)#interface range macro macro1
(config-if-range)#commandes ...
Le protocole Spanning Tree

Le protocole Spanning Tree (STP) est un protocole de couche 2 (liaison de données) conçu
pour les switches et les bridges. La spécification de STP est définie dans le document IEEE
802.1d. Sa principale fonction est de s'assurer qu'il n'y a pas de boucles dans un contexte de
liaisons redondantes entre des matériels de couche 2. STP détecte et désactive des boucles de
réseau et fourrnit un mécanisme de liens de backup. Il permet de faire en sorte que des
matériels compatibles avec le standard ne fournissent qu'un seul chemin entre deux stations
d'extrémité.
Spanning-Tree répond à la problématique de trames dupliquées dans un environnement de

liaisons redondantes (section 1). Le fonctionnement est basé sur la sélection d'un bridge Root
et de calculs des chemins les plus courts vers ce bridge (section 2). Les ports des bridges
rencontrent cinq états dont le "Blocking" qui ne transfère pas de trames de donnée et le
"Forwarding" qui transfère les trames de donnée (section 3). Quelques commandes
essentielles sont à retenir, mais elles peuvent être légèrement différentes sur les OS (section
4).
1. Problématique
Dans un contexte de liaisons redondantes sans STP deux problèmes peuvent survenir :
1. Des tempêtes de broadcast : lorsque des trames de broadcast sont envoyées (FF-FF-FF-
FF-FF-FF en destination), les switchs les renvoient par tous les ports. Les trames circulent en
boucles et sont multipliées. Les trames n'ayant pas de durée de vie (TTL comme les paquets
IP), elles peuvent tourner indéfiniment.
2. Une instabilité des tables MAC : quand une trame, même unicast, parvient aux switches
connectés en redondance, le port du switch associé à l'origine risque d'être erroné. Une boucle
est susceptible d'être créée.
Dans cet exemple, le PC1 envoie une trame au PC2. Les deux commutateurs recoivent la
trame sur leur port 0/2 et associent ce port à l'adresse mac de PC1. Si l'adrese de PC2 est
inconnue, les deux commutateurs transfèrent la trame à travers leur port 0/1. Les
commutateurs recoivent respectivement ces trames inversément et associent l'adresse MAC de
PC1 au port 0/1. Ce processus peut se répéter indéfiniment.
2. Fonctionnement de STP
Bien qu'une topologie physique puisse fournir de multiple chemins dans un contexte de
redondance et ainsi améliorer la fiabilité d'un réseau, STP crée un chemin sans boucle basé
sur le chemin le plus court. Ce chemin est établi en fonction de la somme des coûts de liens
entre les switchs, ce coût étant basé sur la vitesse d'un port. Aussi, un chemin sans boucle
suppose que certains ports soient bloqués et pas d'autres. STP échange régulièrement des
informations (appelées des BPDU - Bridge Protocol Data Unit) afin qu'une éventuelle
modification de topologie puisse être adaptée sans boucle.
1. Sélection d'un switch Root
Le switch Root sera le point central de l'arbre STP. Le switch qui aura l'ID la plus faible sera
celui qui sera élu Root. L'ID du switch comporte deux parties, d'une part, la priorité (2 octets)
et, d'autre part, l'adresse MAC (6 octets). La priorité 802.1d est d'une valeur de 32768 par
défaut (ce sont des multiples de 4096 sur 16 bits). par exemple, un switch avec une priorité
par défaut de32768 (8000 Hex) et une adresse MAC 00 :A0 :C5:12:34:56, prendra l'ID
8000:00A0 :C512:3456. On peut changer la priorité d'un switch avec la commande :
(config)#spanning-tree [vlan vlan-id] priority priority
Sur un switch Root, tous les ports sont des ports désignés, autrement dit, ils sont en état
« forwarding », il envoient et reçoivent le trafic.
2. Sélection d'un port Root pour les switch non-root.

Chaque switch non-root va sélectionner un port Root qui aura le chemin le plus court vers le
switch Root. Normalement, un port Root est en état « forwarding ».
Vitesse du lien Coût Plage de coût recommandée

4Mbps 250 100 to 1000
10Mbps 100 50 to 600
16Mbps 62 40 to 400
100Mbps 19 10 to 60
1Gbps 4 3 to 10
10Gbps 2 1 to 5
S'il s'agit d'un port d'accès [1], la commande de configuration est :
(config-if)#spanning-tree cost cost
S'il s'agit d'un port de tronc, la commande de configuration est :

(config-if)#spanning-tree vlan vlan-id cost cost
A noter aussi qu'en cas de coût égaux, c'est la priorité la plus faible (d'une valeur de 0 à 255)
qui emporte le choix (elle est de 128 par défaut) en déterminant l'ID du port composé de 2
octets (priorité + numéro STP du port) :
Sur des ports d'accès :
(config-if)#spanning-tree port-priority priority
Sur des ports de tronc :
(config-if)#spanning-tree vlan vlan-id port-priority priority
3. Sélection d'un port désigné pour chaque segment

Pour chaque segment d'un Lan (domaine de collision), il y a un port désigné. Le port désigné
est celui qui a le chemin le plus court vers le bridge Root. Les ports désignés sont
normalement en étant « forwarding », autrement dit, envoient et reçoivent du trafic de
données. Si plus d'un port sur un même segment a le même coût vers le switch Root, le port
du switch qui l'ID la plus faible est choisi. Tous les autres sont des ports non-désignés en état
« blocking ».
En bref,
1 switch Root par réseau dont tous les ports sont désignés
1 port Root par switch non-root
1 port désigné par domaine de collision
tous les autres ports sont non-désignés
Aussi, on peut résumer les liaisons :
Port <-> Port Etats <-> Etats Switch <-> Switch

Root <-> Désigné Forwarding <-> Forwarding Non-root <-> Root
Désigné <-> Root Forwarding <-> Forwarding Non-root <-> Non-root
Désigné <-> Non-désigné Forwarding <-> Blocking Non-root <-> Non-root
3. Différents états STP

Cinq états de ports peuvent rencontrés sur un port STP. Chaque état comporte un délai. En
voici les propriétés.
L'age maximal de 20 secondes par défaut est le temps maximal avec que STP effectue de
nouveaux calculs quand une interface ne reçoit plus de BPDUs. Le temps de forwarding de 15
secondes par défaut est le temps de passage d'un état "listening" à "learning" et de "learning" à
"forwarding". Aussi, la fréquence d'envoi de BPDUs Hello est de 2 secondes par défaut.
Etat « Blocking »
Rejette toutes les trames de données venant du segment attaché

Rejette toutes les trames de données venant d'un autre port de transfert
N'intègre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)
Reçoit les BPDUs et les transmet à son système
N'envoie pas de BPDUs reçus de son système
Répond à SNMP
Etat « Listening »

N'intègre aucune emplacement de station dans sa MAC table (il n'y pas d'apprentissage)
Envoie les BPDUs reçus de son système
Répond à SNMP
Etat « Learning »

Intègre les emplacements de station dans sa MAC table (apprentissage)
Répond à SNMP
Etat « Forwarding »
Commute toutes les trames de données venant du segment attaché

Commute toutes les trames de données venant d'un autre port de transfert
Intègre les emplacements de station dans sa MAC table (apprentissage)
Répond à SNMP
Etat « Disabled »
Cet état est similaire à l'état « blocking » sauf que le port est considéré physiquement non
opérationnel (shut down ou problème physique).
4. Quelques commandes
Pour le diagnostic :
#show spanning-tree [?]
Désactivation de STP :
(config)#no spanning-tree vlan vlan-id
Ports Portfast :
La configuration d'une interface en "Portfast" (passage directe de l'état "blocking" à l'état

"forwarding" uniquement pour les segments qui ne connectent pas de switches) :
(config-if)#spanning-tree portfast
Priorité du switch :
(config)#spanning-tree [vlan vlan-id] priority priority
Coût et priorité d'un port :
(config-if)#spanning-tree [vlan vlan-id] cost cost

(config-if)#spanning-tree [vlan vlan-id] port-priority priority
Paramètres de timing :
(config)#spanning-tree [vlan vlan-id] max-age seconds

6 à 200 secondes
(config)#spanning-tree [vlan vlan-id] forward-time seconds

4 à 200 secondes
(config)#spanning-tree [vlan vlan-id] hello-time seconds

1 à 10 secondes
Notions sur les VLANs
A priori, un commutateur fournira une segmentation des domaines de collision sur chaque
port, tous les ports faisant partie d'un seul et même domaine de broadcast. Un LAN Virtuel
(VLAN) est le résultat d'une segmentation "virtuelle" de couche 3 opérée sur un commutateur.
On divisera logiquement des ports d'un ou plusieurs commutateurs comme faisant partie de
LANs (au sens de la couche réseau) différents. Ce mécanisme est réalisé par une
encapsulation supplémentaire sur les trames qui traversent les commutateurs. Il est totalement
transparent pour les utilisateurs car l'encapsulation disparait à la sortie des commutateurs. On
étudiera ici le protocole VLAN IEEE 802.1q. On se contentera de citer ISL (Inter-Switch
Link) proporiétaire Cisco, LANE (LAN Emulation) sur ATM et IEEE 802.10 sur du FDDI
comme autres solutions VLAN.
I. Concepts
I.1. Introduction
L'utilisation des VLANs présente le principal avantage de délocaliser géographiquement

sur les switches la segmentation des domaines de broadcast. Par exemple, il s'agirait de
permettre la coexitence de plusieurs groupes de travail fonctionnels faisant partie de réseaux
différents sur le même niveau d'étage par l'intermédiaire d'un seul commutateur. Les stations
d'un même groupe de travail pourraient communiquer entre elles d'étage en étage grâce une
liaison spéciale appelée VLAN Trunk. Les différents VLANs communiqueraient entre eux
grâce au routage puisqu'il s'agirait de domaines de broadcast différents.
Comme on le sait, le matériel de couche 2 -ici les commutateurs- ne filtrent pas les broadcast
même s'ils limitent les domaines de collision et dédient la bande passante en Full Duplex de
bout en bout. Or on sait que le broadcast diminue les performances au sein des réseaux (ARP,
adresses MAC inconnues, vidéo, etc.). L'utilisation des VLANs est donc une solution
efficace dans la limitation des broadcast.
Enfin, un dernier avantage est la sécurité supplémentaire puisque la segmentation de

couche 3 permet d'établir des règles logiques de filtrage dans le routage.
Bref, efficience, optimisation et sécurité présentent des avantages techniques mais aussi des
avantages économiques indéniables. Toutefois, en pratique, l'implémentation et le maintien
des VLANs n'est pas chose aisée.
On trouvera différents types d'implémentations, à savoir :
• Les VLANs statiques ou dits "port-based" ou "port-centric" : un port de

commutateur apartient "statiquement" à un VLAN. Ce type de configuration nécessite
un configuration manuelle de chaque port.
• Les VLANS dynamiques : où l'attribution d'un VLANs est effectuée dynamiquement
sur base d'une adresse physique (MAC), logique (IP) ou de crédits quelconques (IEEE
802.1x). Ce type d'implémentation est la plus coûteuse ...
I.2. Fonctionnement des VLANs
I.2.a. Le tagging
Le fonctionnement des VLANs inter-opérables IEEE 802.1q répondent au principe de

l'étiquettage des trames (tagging) par l'ajout dans les trames d'un "tag" de 4 octets ou 32 bits
dont 12 bits sont consacrés au numéro de VLAN (voir IEEE 802.1q Frame Format). Sur un ou
plusieurs swiches, seuls les trames possédant ce même numéro peuvent communiquer
ensemble d'un commutateur à l'autre. Un trame entrant sur un port de commutateur est
"étiquettée" si elle doit passer à un autre commutateur via un port Trunk. Cette étiquette ne
sera retirée que lorsque la trame sera commutée vers la destination finale dans le bon VLAN.
I.2.b. Les modes des ports
Sur un commutateur, on distinguera les ports dits "access" des ports dits "trunk". Un port
"access" est un port qui ne transportera des informations que d'un seul VLAN. A priori, ce
type de port connectera une station. Un port "trunk" est un port qui transportera des
informations de plusieurs VLANs. On y connectera un autre commutateur, un routeur ou
même la carte réseau 802.1q d'un serveur. Autrement dit, un port "access" n'est pas un port
"trunk" et inversément. Toutefois, sur les switches Cisco on aura la possibilité de configurer
le port en mode dynamique grâce au Dynamic Trunk Protocol (DTP, protocole point à point
propriétaire Cisco).
I.2.c. les différents types de VLANs
VLAN 1
Le VLAN 1 est un VLAN spécial. Il est le VLAN par défaut de tous les ports, y compris les
ports de "management". En plus, une série de protocoles de couche 2 comme CDP (Cisco
Discovery Protocol), VTP (VLAN Trunk Protocol), PAgP (Port Aggregation Protocol) et
DTP doivent impérativement transiter à travers ce VLAN spécifique. Pour ces deux raisons,
le VLAN 1 ne peut jamais être supprimé, il existe d'office.
On trouvera quatre types de VLANs :
• VLAN par défaut (Default VLAN)

• VLANs utilisateur (User VLAN)
• VLAN de management (Management VLAN)
• VLAN natif (Native VLAN)
VLAN par défaut

Par défaut, le VLAN 1 est celui qui assigné à tous les ports d'un commutateur tant qu'ils n'ont
pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur,
management et natif) sont membres du VLAN 1.
VLAN utilisateur
On dira que ce type de VLAN est un VLAN "normal" dans le sens où il est celui qui a été
configuré pour rendre une segmentation logique du commutateur dans le cadre de l'utilité des
VLAN. La numérotation des VLANs est disponible sur 12 bits. Ceci dit, chaque modèle de
switch aura ses limites en nombre total à créer et à gérer.
VLAN de management
Il s'agit d'un VLAN spécifique attribué au commutateur pour qu'il devienne accessible via une
adresse IP (ICMP, Telnet, SNMP, HTTP). Dans les bonnes pratiques de configuration, on le
distinguera du VLAN par défaut, d'un VLAN utilisateur ou du VLAN natif. Dans le cas d'une
tempête de broadcast ou d'un soucis de convergence avec Spanning-Tree, l'administrateur
devrait toujours avoir accès au matériel pour résoudre les problèmes. Aussi, une bonne raison
de séparer le VLAN de management des autres tient au fait évident de séparer logiquement les
périphériques "dignes de confiance" des autres. Il s'agit alors d'appliquer les règles de sécurité
nécessaires afin d'éviter, par exemple, que des utilisateurs classiques accèdent au matériel.
Qu'il existe ou non une interface physique appartenant au VLAN de management désigné, on
joindra le commutateur par IP via une interface virtuelle de type VLANx. Tous ports "access"
associés à ce VLANx répondent pour l'interface virtuelle VLANx.
VLAN natif
La notion de VLAN natif n'intervient que lorsque l'on configure un port Trunk. Quand un port
est configuré en tant que tel, le switch "étiquette" la trame avec le numéro de VLAN
approprié. Toutes les trames passant par un Trunk sont ainsi étiquettées sauf les trames
appartenant au VLAN 1. Donc, les trames du VLAN natif, par défaut le VLAN 1, ne sont pas
étiquettées. Ce type de VLAN existe pour assurer une inter-opérabilté avec du trafic ne
supportant pas le "tagging". Aussi, les protocoles de contrôles tels que CDP, VTP, PAgP et
DTP sont toujours transmis par le VLAN1. Le fait de changer le VLAN natif va faire en sorte
que ce traffic sera alors "étiquetté" VLAN 1, ce qui ne pose aucun problème. Enfin, on évitera
d'utiliser le VLAN 1 comme VLAN utilisateur ou de management. Sur le routeur, on définira
malgré tout le VLAN natif (VLAN 1, par défaut).
I.2.d. Spanning-tree
Il y aura une instance spanning-tree par VLAN. Aussi, il sera conseillé de configurer les ports
"access" en spanning-tree portfast.
I.3. Illustrations
A compléter.
I.4. Configuration et diagnostic

A compléter.
II.Protocoles associés
II.1. VLAN Trunking Protocol (VTP)
VTP est un protocole propriétaire Cisco servant à maintenir la base de donnée de VLANs sur
plusieurs commutateurs. Tout au plus VTP va-t-il ajouter, supprimer ou modifier des ID
VLAN ... Il ne permettra en aucun cas de configurer les ports de manière centralisée !
Deux éléments sont nécessaires au bon fonctionnement de VTP :
• Définir un nom de domaine VTP (appelé aussi domaine de gestion). Ne participent à

cette gestion que les commutateurs qui appartiennent à un même domaine.
• Définir pour chaque commutateur un rôle : soit client, soit transparent, soit, pour
un seul d'entre eux, server.
Chaque opération à partir du serveur VTP sera répercutée sur les clients VTP. Le mode
transparent laissera le commutateur indifférent à toutes ces opérations. Mais à quoi sert-il de
ce cas ? Simplement, il assure la connectivité VTP du serveur vers les clients.
Les messages VTP sont appelés "VTP Advertisements". Ceux-ci ont sont identifiés par un
numéro de révision. Le numéro de révision le plus élevé sera celui qui modifiera la base de
donnée VLAN. Ce mécanisme maintient les informations VTP à jour.
En bref :
• Un seul commutateur est configuré en mode server. Dans un même domaine VTP
défini, il sera le seul autorisé à créer, modifier ou effacer des VLANs. Ces opérations
seront répercutées sur tous les clients.
• Les commutateurs configurés en mode client subissent toutes les opérations de
modification de VLANs à partir du serveur VTP. Ils sont dans l'incapacité d'effectuer
ces opérations eux-mêmes.
• Les commutateurs configurés en mode transparent ne servent seulement qu'à faire
transiter les informations VTP d'un commutateur à l'autre. Toutefois, ils pourront
modifier leur base de données VLAN à leur guise, mais celle-ci leur restera intime,
autrement dit, sans répercution auprès des autres commutateurs, "localy significant".
Par exemple, dans la figure ci-dessus, des opérations VTP venant du serveur VTP (Switch1)
ne parviendraient pas au client VTP (Switch3) car le Switch2 ne serait pas dans le domaine
approprié ("cisco") dans le mode client ou transparent.
Quelques commandes sur switch CISCO
Visualisation des différents paramètres :
Show run
Voir la configuration
Show vlan
Voir les Vlan’s et la situation des ports
Show vtp status
Voir le VTP
Show vtp counter
Voir si le port est en trunk
Show ip alias
Voir l’adresses IP
Show interfaces fastethernet 0/x
Voir l’état d’un port (x étant le numéro du port)
Show mac-address-table
Permet de visualiser les mac-address passant par le switch
(Si vous avez des etherchannel de créer, méfiez vous de la commande "show mac",
car si 4 ports sont regroupés dans un port-channel relié à un autre switch, tous les
paquets de ces mac-adress passent bien évidemment par ce port-channel)
Show etherchannel summary
Affiche des informations sur les etherchannels présents sur le swithch
Show Interfaces Status
Affiche les informations concernant tous les ports du switch (Description, Numéro
Interface, Mode duplex)
Nom du switch et description des ports :
Configuration terminal
Accès au dossier de configuration du terminal
>Hostname « nom_du_switch »
Nommer le switch
>Interface fastethernet 0/x
Se positionner sur le port souhaité
>description « xxx »
Nommer un port
Paramétrage d’un port :
>interface fastethernet 0/x
>speed 10/100/1000
Régler la vitesse de transmission (10/100/1000 Mbits/s)

>duplex Half ou Full
Régler le mode de transmission (Half ou Full)
Activer / Désactiver un port :
>interface fastethernet 0/x
>shutdown
Désactiver le port
>no shutdown
Réactive le port

Le Principe de L PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Le Principe de L PDF

Uploaded by

Copyright:

Available Formats

Le principe de l'encapsulation dans le

Les protocoles dans le modèle OSI

• Le courant électrique est la mesure du flux d'électrons dans un circuit électrique.

• La propagation d'un signal réseau est un trajet.

En regardant les contacts métalliques de la fiche :

1. Unité de mesure indépendante de la vitesse : le bit time.

Considérant que 1 µs = 0,000001 s et que 1 ns = 0,000000001 s,

2. CSMA/CD dans les technologies Ethernet Half-Duplex 10 Mbps.

2.1. Détection de la porteuse

Chaque station souhaitant émettre détecte si il y a absence de porteuse. En cas contraire, le

2.3. La détection de collision et le slot time.

2.4. L'algorithme Backoff

0 =< a < 2 exp k où k = min(n,10)

Essai Nombre estimé Plage de Plage de délais

3. La nature des collisions

On trouvera trois types de collisions.

4. Fast Ethernet Full-Duplex

Dans un contexte où un canal serait dédié à la transmission TX et un autre à la réception RX

5.1. Caractéristiques générales du protocole Ethernet

5.2. La structure d'une trame Ethernet

Ethernet II DIX Frame

IEEE 802.3 Frame

Le protocole DHCP est décrit dans la RFC 2131.

1. DHCP définit un mécanisme d'assignation d'adresse IP à un client pour une période

Il y a trois mécanisme d'assignation d'adresses IP :

1. Allocation automatique - DHCP assigne une adresse IP permanente à un client.

2. Allocation manuelle - L'adresse IP du client est assignée par un administrateur, DHCP

Ce schéma résume de façon simplifiée le fonctionnement de DHCP :

Si le client reçoit un message DHCPNACK du serveur après un DHCPREQUEST, le

Voici le schéma proposé par la RFC 2131 :

Il est essentiel de maîtresser l'adressage IP Classfull. Il faut d'abord identifier la classe

I. Identification de la classe d'adresse (RFC 791)

II. Utilisation d'un masque (RFC 950) - Calcul binaire

III. Méthode dite du nombre magique

IV. Nombre de sous-réseaux / nombres d'hôtes

I. Identification de la classe d'adresse (RFC 791)

Il s'agira d'identifier la classe d'adresse :

Notes sur les Classes d'adresses :

• Pour la classe A : de 10.0.0.0 à 10.255.255.255

2. Distinction de la partie réseau de la partie hôte

II. Utilisation d'un masque (RFC 950)

Un masque va préciser de manière certaine dans quel réseau se trouve un adresse IP et en

1. L'adresse du réseau (appelée aussi numéro de réseau, non assignable)

2. L'adresse de broadcast (adresse visant toutes les destinations, non assignable)

3. La plage d'adresses utilisables (de la première à la dernière en dehors des adresses

1. Masque par défaut

Le masque par défaut des adresses de Classe A est 255.0.0.0 ou /8

a. Obtenir l'adresse du réseau :

Pour l'adresse IP 140.159.125.25, adresse de classe B à laquelle on applique un masque par

L'adresse du réseau est donc 140.159.0.0

b. Obtenir l'adresse de broadcast :

10001100. 10011111. 00000000. 00000000 140.159.0.0

c. Obtenir la plage d'adresses de ce réseau :

Pour l'adresse IP 195.74.212.78, adresse de classe C à laquelle on applique un masque par

a. Obtenir l'adresse du réseau :

L'adresse du réseau est donc 195.74.212.64

b. Obtenir l'adresse de broadcast :

11000011. 01001010. 11010100. 01000000 195.74.212.64

c. Obtenir la plage d'adresses de ce réseau :

III. Méthode dite du nombre magique.

Pour l'adresse IP 195.74.212.136, adresse de classe C à laquelle on applique un masque par

Octet Octet Octet Octet

IV. Nombre de sous-réseaux / nombres d'hôtes