2A SATE TP Architecture des réseaux IP

CONTINUER À LIRE
2A EPA - SATE                                                                                  PhL - 23/01/2018 - Page 1 / 20
       TP Architecture des réseaux IP

                       TP Architecture des réseaux IP

                                          2A SATE

                                                                                            R.T.C.
                                                         liaison numérique E1 2Mbps

                        INTERNET

                                           Routeur FAI
                                                                                                     liaison numérique E1 2Mbps
           liaison ATM 622 Mbps

                                                                                                  Concentrateur
                                                                                                   liaison téléphone analogique
Routeur    liaison ethernet 1000baseT

                      Switch Ethernet                                                                    Modem ADSL
                                                                                           liaison USB
             liaison ethernet 1000baseT
                                                                                      PC
 DNS

    Serveur Web

                                                                 Ph Lefebvre – 2017/2018
2A EPA - SATE                                                                  PhL - 23/01/2018 - Page 2 / 20
             TP Architecture des réseaux IP

                                Séance 1 – Commutation de niveau 2
                                           spanning tree
Fonctionnalités d'un switch
Les switches sont les prises multiples des réseaux ethernet (couche 2 du modèle OSI). Plus précisément, ce qui est
émis sur un port est répliqué sur le port auquel est relié la machine destinataire du message (unicast) ou bien sur tous
les autres ports (broadcast). Ils permettent de relier les machines entre elles et de former un réseau local. Les
switches de la salle de TP sont des Nortel 4526T-PWR. Ils sont équipés de 24 ports 10/100baseTx et de 2 ports
1000baseTx. Les ports 100Mbps sont compatibles POE (Power Over Ethernet), c'est à dire qu'ils peuvent alimenter
en courant électrique de petits équipements tels que des caméra IP ou des téléphones via la prise RJ45. D'un point
de vue logiciel, ils possèdent des fonctionnalités évoluées :
    – Spanning Tree et Rapid Spanning Tree
    – VLAN
    – Multitrunking
    – routage IP
    – IGMP

Ils sont configurables par une interface web ou en ligne de commande. Nous utiliserons ce dernier moyen car même
s'il est moins convivial et intuitif que l'interface web, il présente plusieurs avantages :
      – l'interface web ne peut être utilisée pour le premier niveau de configuration ;
      – les commandes peuvent être écrites dans des fichiers afin d'automatiser les procédures de configuration ;
      – enfin, certains services ne sont pas accessibles par l'interface web.
2A EPA - SATE                                                              PhL - 23/01/2018 - Page 3 / 20
           TP Architecture des réseaux IP

Configuration des interfaces réseau de LINUX
Pour qu'une connexion réseau fonctionne correctement il faut que la machine connaisse ces 4 paramètres :
- son adresse IP
- son netmask
- l'adresse IP de la passerelle par défaut
- l'adresse IP du DNS

Consultation :
Pour connaître les paramètres réseaux utilisés par la machine vous pouvez utiliser les commandes suivantes :
       ifconfig
       donne les adresses IP de la machine et les netmasks associés.
               eth0 correspond à l'interface ethernet
               wlan0 correspond à l'interface wifi
               lo correspond à l'interface de loopback dont l'adresse IP est 127.0.0.1
       iwconfig
             permet de connaître l'état de l'interface wifi
       route ­n
               permet de connaître la table de routage de la machine.
               la ligne 0.0.0.0 permet de connaître la passerelle par défaut.
       La consulatation de /etc/resolv.conf permet normalement de connaître le serveur DNS utilisé par défaut.
       Néanmoins, sur Ubuntu, le réseau est géré par le service Network-manager. il faut utiliser la commande
       nm­tool pour connaître le DNS utilisé ( nm­tool|grep DNS sera encore plus approprié)
       On peut aussi utiliser la commande « ip », plus moderne mais qui n’est pas encore supportée par toutes
       les distributions Linux. Un exemple de configuration avec la commande « ip » est donné dans le chapitre
       VLAN.

Modification
La modification peut se faire par les commandes ifconfig, route... mais sera plus aisée par le network manager
d'autant que ce dernier risque d'écraser les modifications que vous aurez faites manuellement.
Dans la barre en haut de l'écran :                           cliquez sur les 2 flèches (ou le sigle wifi) puis sur
« modification des connexions ».
Dans la partie « ethernet » supprimez toutes les configurations précédemment enregistrées. Cliquez sur
« ajoutez » et choisissez « ethernet ». Cliquez sur l'onglet « paramètres IPv4 ».
A ce stade vous pouvez choisir :
– « automatique DHCP » si vous êtes connectés au réseau local de l'école. Le PC demandera à un serveur les
paramètres utiles. Sauf à la séance 4, ce ne sera jamais le cas.
– « manuel » et remplir les champs @IP, netmask, @ passerelle et @ DNS.
Enregistrez votre configuration et cliquez de nouveau sur les 2 flèches pour sélectionner votre configuration afin
qu'elle soit appliquée au système.

Guide de dépannage :
Si un ping entre 2 PC ne fonctionne pas, remplissez le tableau suivant avant d'appeler l'enseignant !
                             @IP                          netmask                    @ passerelle
PC source
PC cible
2A EPA - SATE                                                                  PhL - 23/01/2018 - Page 4 / 20
             TP Architecture des réseaux IP

Le langage de commande NCLI : Nortel Command Line Interface
Branchez la prise console du switch sur le port série du PC. Pour la communication avec le switch, nous utiliserons
soit gtkterm sous Linux soit Putty sous Windows. La configuration RS232 sera la suivante :

        interface : /dev/ttyS0 ou /dev/USB0 (Linux) ou COM1 (Windows)
        débit : 9600 bps,
        longueur : d'un mot : 8bits,
        parité : pas de parité,
        1 bit de stop,
        pas de contrôle de flux.
Une fois le port série configuré, tapez [CTRL-Y] pour démarrer la communication avec le switch.
4526T­PWR> enable                       // Permet de passer en mode administrateur
4526T­PWR# boot default                 // Remet le switch dans un état vierge sans configuration

Vous allez être invités à entrer de nouveaux paramètres. Appuyez sur la touche « entrée » plusieurs fois pour valider
les paramètres par défaut.

4526T­PWR# show running­config                 // Affiche la configuration courante
4526T­PWR# configure t                         // Passe dans le mode configuration

Notez que lorsque l'on change de mode, le prompt change également. On sort d'un mode en tapant « exit ».
Lors de la saisie d'une commande, un appui sur la touche « tab » complète la commande. Si il existe plusieurs
possibilités, un appui sur la touche « ? » liste les différentes possibilités.
Lorsque une commande est entrée par erreur, le switch peut soit émettre un message d'erreur ou soit comprendre la
commande. Dans ce dernier cas, avant d'entrer une nouvelle commande, il faut d'abord entrer la commande erronée
en la commençant par « no ».

Manipulation

    1) Avec vos voisins, connectez à un seul switch trois machines que nous appellerons A, B et C. Affectez des
       adresses IP à chaque machine afin qu’elles puissent se « pinguer ». Vous choisirez les adresses dans les
       réseau 10.0.0.0/8 ou 192.168.0.0/16. Lancez wireshark sur C, puis faites un ping entre A et B et analysez ce
       que C voit du dialogue entre A et B. Pourquoi ne voit-il pas tout ? Pourquoi voit-il néanmoins certaines
       trames ?
    2) Quelle est l'adresse MAC de broadcast ethernet ?
    3) On peut visualiser la table de commutation par : show mac-address-table
       Connectez les 2 swithes entre eux, et 2 machines par switch. Vérifiez que les 4 machines se « pinguent »
       et listez toutes les adresses MAC apprises sur chacun des ports. A quelles machines cela correspond-il ?

    4) Nous pouvons envoyer sur un port particulier tous les échanges d'un autre port à des fins d'analyse grâce à la
       fonction « port mirroring ». Par exemple pour envoyer sur le port 2 tout ce que le port 23 reçoit ou émet :

   4526T­PWR(config)# port­mirroring mode XrxOrXtx monitor­port 2 mirror­port­X 23

       Vérifiez le « port-mirroring » en analysant avec C le trafic entre A et B. C peut-il envoyer un paquet à A ?
Pour déconfigurer le port Mirroring :
  4526T­PWR(config)# no port­mirroring

Spanning Tree
   Lorsque l'on interconnecte plusieurs switches entre eux afin d'étendre le réseau, il peut y avoir des boucles. Ces
   boucles peuvent être souhaitables afin d'offrir plusieurs chemins aux données si, par exemple, un chemin
   devenait bloqué à cause d'une panne d'un switch sur la boucle.
   En écoutant les messages ARP, les switches apprennent quelles machines sont reliées sur ses ports.
   Évidemment, un port relié à un autre switch connaîtra les adresses MAC de toutes les machines connectées à cet
   autre switch. S'il existe une boucle, un switch aura plusieurs ports qui permettront d'atteindre une même machine.
   Ce phénomène n'est pas souhaitable, car il conduira à la duplication des paquets.
   Grâce au protocole Spanning tree (STP : Spanning Tree Protocol), le switch utilisera un chemin unique pour
   atteindre la destination. Le temps de convergence pour configurer tout le réseau peut être important, et il peut être
2A EPA - SATE                                                           PhL - 23/01/2018 - Page 5 / 20
              TP Architecture des réseaux IP
   intéressant de désactiver spanning tree lorsque l'on sait qu'il n'y pas de boucle sur son réseau. Voici une
   explication du protocole donnée par wikipedia :

  « Une topologie sans boucle ressemble à un arbre (d'où le nom spanning tree : arbre couvrant) et à la base de
chaque arbre, on trouve ses racines (roots). Dans un réseau commuté, le root bridge (commutateur maître) est
déterminé par l'algorithme du spanning tree. Chaque commutateur a une adresse MAC et un numéro de priorité
paramétrable (0x8000 par défaut), ces deux nombres constituant l'identification du bridge (nommée BID). Le BID est
utilisé pour élire le root bridge en fonction des numéros de priorité, en cas d'égalité, l'adresse MAC la plus basse
l'emporte, et comme toutes les adresses MAC sont uniques, il existera toujours un root bridge unique. Les autres
commutateurs du réseau vont alors calculer la distance la plus courte vers le root bridge en utilisant le « coût » le
plus faible vers celui-ci, ce coût dépendant de la bande passante des liens vers celui-ci » (de 20 000 000 pour 1 Mb/s
à 2 pour 10 Tb/s) .

                                     Port 2=Edge
                  Switch A = Root
                                                                PC1

                           Port 1=Designated

                           Port 1=Root

                     Switch B

    Port 2=Edge                     Port 3=Designated

                                               Port 1=Root

    PC2                                   Switch C

                                                Port 2=Edge

                                            PC3

« Les BID et autres informations du protocole spanning tree sont transportés dans des trames de données spéciales
nommées BPDU (Bridge Protocol Data Units). Les BPDU sont échangées régulièrement (toutes les deux secondes)
et permettent aux commutateurs de garder une trace des changements sur le réseau afin d'activer ou de désactiver
les ports requis. Quand un commutateur ou un pont est raccordé au réseau, il commence par envoyer des BPDU afin
de déterminer la topologie du réseau, avant de pouvoir commencer à transférer des données. »

Un root port est un port qui sera utilisé pour transmettre les données vers le switch root.
Un port edge est un port utilisé pour atteindre des machines (aucune BPDU n'est reçue par ce port).
Un designated port est un port recevant des données des ports root des autres switches.
Les autres ports sont bloqués, mêmes si ce port permettrait d'atteindre plus efficacement la destination que de passer
par le switch root !
Les ports des switches où STP est actif sont dans l'un des états suivants :
    •   Listening : le switch « écoute » les BPDU et détermine la topologie réseau.
    •   Learning : le switch construit une table faisant correspondre les adresses MAC aux numéros des ports.
    •   Forwarding : un port reçoit et envoie des données, opération normale.
    •   Blocking : un port provoquant une boucle, aucune donnée n'est envoyée ou reçue mais le port peut passer en
        mode forwarding si un autre lien tombe.
    •   Disabled : désactivé, un administrateur peut manuellement désactiver un port s'il le souhaite.
   Le délai de transition entre les modes Listening vers Learning et Learning vers Forwarding est nommé forward
   delay, il est fixé par le root bridge et vaut 15 secondes par défaut.

   Pour visualiser la configuration de Spanning tree :
2A EPA - SATE                                                                        PhL - 23/01/2018 - Page 6 / 20
          TP Architecture des réseaux IP
4526T­PWR#show spanning­tree config
  4526T­PWR#show spanning­tree port

    5)    Connectez avec 1 câble votre switch à celui du voisin. Quel est le switch root ?
    6)    Capturez une trame BPDU. Quel coût est annoncé par le switch root ?
    7)    Par quel protocole est transporté STP ?
    8)    Avec quel coût l'autre switch accède-t-il au switch root ? Faites maintenant l'interconnexion par les ports
          gigabit. Avec quel coût l'autre switch accède-t-il au switch root désormais ?
    9)    Connectez avec 2 câbles votre switch à celui du voisin afin de faire une boucle. Quels ports sont utilisés par
          les switches pour faire la communication entre les 2 switches ?
    10)   Quelle est l'adresse MAC utilisée pour échanger des BPDU ?
    11)   Listez toutes les adresses MAC apprises sur chacun des ports. A quelles machines correspondent-elles ?
    12)   Construisez maintenant un réseau composé de tous les switches de la salle, contenant au moins une boucle
          et utilisant des liens gigabit et 100 Mbps. Dessinez le réseau et l'arbre couvrant associé. Reportez y les coûts.
    13)   Fixez la prirorité du switch root à 9000 par la commande suivante :
          4526T­PWR(config) # spanning tree priority 9000
          Combien de temps faut-il pour que le réseau entier ait pris connaissance du changement ?
    14)   Quel est l’intérêt de RSTP (Rapid Spanning Tree Protocol) par rapport à STP ?

Performances réseau

nmap : exploration des ports ouverts.
    Exécutez nmap 127.0.0.1. puis avec l'adresse IP de votre voisin.
    15) A quoi sert cette commande. Analysez son fonctionnement avec wireshark.
    16) « netstat ­antp ». A quoi sert cette commande ?

IPerf
iPerf est un outil permettant d’analyser la vitesse d’un réseau. Il nécessite un client et un serveur. Pour l'installer :
        sudo apt­get install iperf
Connectez 2 PC à travers le switch sur les ports 100 Mbps. Sur la machine du binôme lancez iperf en mode serveur :
        iperf –s
Sur votre machine lancez
        iperf ­i 1 –c @ip_du_binôme
    17) Refaire la manipulation en UDP, en ajoutant l’option –u –b 2000M. Attention, sans le –b, le logiciel impose
une limite de 1Mb/s.
Comparez les résultats : quel protocole de connexion est le plus rapide ?

    18) Refaire la manipulation en branchant 4 PC à un seul switch sur les ports 100 Mbps. Lancez 2 iperf en
        parallèle . Le débit est-il divisé par 2 ?

    19) Refaire la manipulation en branchant deux PC entre eux. Pensez à reconfigurer vos adresses IP. Le débit ist-
        il meilleur ?
2A EPA - SATE                                                                                            PhL - 23/01/2018 - Page 7 / 20
             TP Architecture des réseaux IP

                            Séance 2 – Les réseaux locaux virtuels : VLAN
                                         Compte rendu à rendre à la fin de la séance

La segmentation du réseau en sous réseaux locaux indépendants permet :
    – la limitation des broadcasts et donc de meilleurs performances.
    – l'augmentation de la sécurité, puisque les machines de 2 sous réseaux ne peuvent communiquer entre elles.
       une segmentation physique consisterait à utiliser des switches indépendants, reliés ou non par des routeurs. Il
       est possible avec un seul switch ou même plusieurs switches interconnectés de créer des sous réseaux
       indépendants virtuels (VLAN). Pour cela, on regroupe des ports d'un ou plusieurs switches au sein d'un
       même VLAN. Ci- dessous, les switches sont séparés en 2 VLAN : VLAN100 et VLAN200.

                       VLAN 100
                       VLAN 200                                     TRUNK

                  Cisco 2950 Switch                                                                       Cisco 2950 Switch
                                                 802.1Q                                802.1Q
                                                  Trunk                                 Trunk
                 VLAN 100                                                                                                 VLAN 100
                 VLAN 200                                                                                                 VLAN 200

                  100       100   200      200        100     200               200        100    200     200      100     100

Par défaut, tous les ports du switch appartiennent au VLAN 1. De plus, le Vlan 1 sert à la communication entre les
switches comme dans le cas du protocole Spanning Tree. Il est donc intéressant de mettre les utilisateurs dans
d'autres VLAN. Il est également intéressant d'attribuer un VLAN particulier à un seul port, appelé VLAN de
management pour pouvoir administrer le switch à distance. La prise de management doit être brassée par exemple
dans le bureau de l'administrateur réseau.
Par défaut l'adresse IP du switch est sur le VLAN 1 qui est aussi le VLAN de management. On peut distinguer
plusieurs type de VLAN. Nous utiliserons dans ce TP les VLAN par port, mais il existe aussi des VLAN par protocole.
Un VLAN est identifié par son PVID (Port VLAN Identifier). Cette information (tag) est ajoutée à la trame Ethernet
selon la norme (IEEE 802.1Q) afin de savoir lors d'une communication entre switches de quel VLAN la trame est
issue.

    Adresse MAC dest        Adresse MAC source              Tag (inséré)           Type                     Data                       FCS

                                     TPID (16 bits)                        TCI (16 bits)
                                     Protocole ID = 0x8100

                                   Priority (3 bit)               CFI (1 bit) = 0 si       PVID : Port Vlan ID
                                                                  Ethernet                 (12 bit)
                                   IEEE 802.1p                                             Numéro du VLAN

On distingue 2 types de ports :
   – les ports « untagged » ou « access » : ils appartiennent à un VLAN, mais les trames issues de ces ports sont
        non tagguées. Par défaut, tous les ports sont « untagged ». Ces ports servent à la communication
        machine/switch. En effet, les PC n'ont pas vocation à interpréter le tag inséré dans la trame Ethernet (s'ils
        reçoivent une trame taggée, le tag est simplement ignoré).
   – les ports « tagged » ou « trunk » : ils acheminent les trames de certains VLAN ou de tous les VLAN. Les
        trames issues de ces ports sont tagguées. Ces ports doivent être reliés à des ports « trunk » d'autres switch.

VLAN Configuration Control
Quand on déclare un port « untagged » membre d'un nouveau VLAN, il faut faire attention dans quel mode « VLAN
Configuration Control » ceci est fait.
2A EPA - SATE                                                             PhL - 23/01/2018 - Page 8 / 20
               TP Architecture des réseaux IP
Mode Strict : on ne peut déclarer un port pour qu'il devienne membre d'un VLAN que si le port n'est membre d'aucun
autre VLAN (mode par défaut)
Automatic : lorsqu'on déclare un port membre d'un nouveau VLAN, il est retiré de tous les autres VLAN auxquels il
appartenait.
AutoPVID: lorsqu'on déclare un port membre d'un nouveau VLAN, il reste membre des autres VLAN auxquels il
appartenait. Cependant le tag (PVID) associé sera le tag du dernier VLAN déclaré et donc transporté ainsi dans les
liens trunk !!
Par contre, un port «trunk» doit être membre de tous les VLAN qu'il transporte.

Exemple de trafic à travers un switch
Les ports 4, 5 et 7 sont membres du VLAN 2. Les autres sont membres d'un autre VLAN. Le port 5 est un port
« trunk » et le port 7 un port « access ». Une trame non-taguée arrive sur le switch via le port 4 :
                                         PVID = 2
                                                                                                                        Tagged member
                                                                  Port 1    Port 2         Port 3                       of PVID 2
                       Untagged packet
                                                         Port 4

                                                                                                           Port 5
                     CRC   Data SA            DA                       802.1Q Switch

                            Before                                Port 6    Port 7         Port 8

                                                                                               Untagged member
                                                                                               of PVID 2

     La trame repart taguée par le port 5 et non-taguée par le port 7. Elle n'est pas diffusée sur les autres ports.
                     PVID = 2
                                                                                      Tagged member
                                               Port 1   Port 2     Port 3             of PVID 2                     *
                                                                                                                    ( Recalculated)
                                     Port 4

                                                                            Port 5

                                                                                           *
                                                    802.1Q Switch                    CRC        Data        Tag         SA      DA

                                               Port 6   Port 7     Port 8

                                                                                               8100 Priority            CFI      VID=2
                           Untagged member              CRC
                           of PVID 2                                                           16 bits     3 bits       1 bit    12 bits

                                                        Data
                                                                                                         After
                                       Outgoing          SA
                                untagged packet
                                                         DA                          Key
                                    (unchanged)
                                                                                     CFI : Canonical format indicator
                                                                                     VID : VLAN identifier

Dans le cas d'une trame taguée qui arrive sur un port :
        – si la trame porte le même PVID que le port, la trame est acceptée puis transmise aux autres ports de
            même PVID ;
        – si la trame a un PVID différent, elle est rejetée.

Liaison entre switches
Supposons 2 switches avec chacun des ports membres du VLAN 1 ou du VLAN 2. Lorsque l'on veut lier 2 switches, 2
possibilités :
   – On relie le VLAN 1 par un câble et le VLAN 2 par 1 autre câble. Attention de désactiver Spanning tree !
   – On relie les switches par un seul port en mode « trunk ».

    15) Pourquoi faut-il désactiver Spanning tree dans le premier cas ?
    16) Multiple Spanning Tree (MST) résoud-il ce problème ?

Quelques commandes de configuration des VLAN (à modifier pour votre configuration ! )
4526T­PWR#show vlan // montre les VLAN créés
4526T­PWR#show vlan interface info // montre les ports appartenant aux VLAN
4526T­PWR#show vlan mgmt // information sur le VLAN de management.
4526T­PWR(config)#vlan create 10 type port // crée le VLAN 10 de type port.
4526T­PWR(config)#vlan members remove 1 11 // retire le port 11 du VLAN 1
2A EPA - SATE                                                             PhL - 23/01/2018 - Page 9 / 20
              TP Architecture des réseaux IP
4526T­PWR(config)#vlan members add 10 11                    // ajoute le port 11 au VLAN 10
4526T­PWR(config)#vlan ports 23 tagging tagAll // déclare le port 23 comme étant un port trunk.
4526T­PWR(config)#vlan ports 12 tagging disable // déclare le port 12 comme étant un port
« untagged ». c'est le comportement par défaut.
   4526T­PWR(config)#vlan ports 23 tagging tagAll filter­unregistered­frames disable //
   laisse passer par le port 23 les trames non « taguées ». Cette commande s'applique aux ports trunk. Elle n'est pas
   utile pour le TP

Comme des machines sur des VLAN différents sont sur des réseaux différents, on utilisera des réseaux IP différents.
Par exemple dans le TP on peut prendre la convention que les machines sur le VLAN X seront sur le réseau IP
192.168.X.0/24.
Vous aurez besoin de reconfigurer l'interface ethernet de Linux régulièrement. Voilà un moyen simple de le faire en
ligne de commande. Pour configurer l'interface eth0 avec l'adresse 192.168.10.51 et de netmask 255.255.255.0 :
sudo ifconfig eth0 192.168.10.51/24

Attention, sous Linux, si l'interface est débranchée, vous perdez la configuration.

Manipulation
            Après la commande « boot default » Tous les ports appartiennent au VLAN 1. C'est pour cela que la
            communication a fonctionné à la question 1. Créez un VLAN 29 et déclarez les ports 3 et 9 membres du
            VLAN 29. Connectez 2 machines à ces ports et testez votre configuration.
      17)   Les trames de broadcast ARP sont-elles vues sur les 2 VLAN ?
      18)   Ajoutez un port au VLAN 29 et connectez ce port au VLAN 29 du switch du voisin. Sans utiliser de
            paramétrage trunk, testez la communication entre 2 machines sur le VLAN 1 ou sur le VLAN 29. Quelles sont
            les liaisons qui fonctionnent ?
      19)   Mettez maintenant en place un lien trunk et assurez vous de la communication sur les VLAN 1 et VLAN 29
            par des switches différents.
      20)   Dessinez les réseaux logiques sur lesquels vous ferez apparaître les adresses IP des réseaux.
      21)   Analysez avec wireshark (sous Linux) le format des trames Ethernet passant sur le lien trunk. Que valent les
            champs PVID et priority ?

   Avec vos voisins réalisez la configuration suivante.

switch 1                         port                         13 (machine A)                   19 (liaison switch 2)
                                 vlan                         10 untagged                   10 untagged

switch 2                         port                         13 (machine B)                   19 (liaison switch 1)
                                 vlan                         20 untagged                   20 untagged

22)         Un ping de A vers B fonctionne-t-il ? Pourquoi ?
23)         Comment pourrions nous faire pour qu’une machine appartienne à plusieurs VLAN ?

802.1Q VLAN trunk avec Linux

   Normalement un PC ne peut pas interpréter les tags 802.1Q. Pour qu’il soit capable de le faire il faut changer la
partie logiciel chargée de gérer les paquets ethernet.
   Sous Linux le noyau est configurable via des modules que l’on peut charger dynamiquement en fonction de ses
besoins.

   Commençons par installer le module VLAN :
   # sudo apt­get install vlan

   Puis chargons le module dans le noyau :
   # sudo modprobe 8021q

   Puis vérifions qu’il est bien chargé :
   # lsmod
   # lsmod |grep 8021q

   créons le vlan 100 sur l’interface virtuelle eth0.100 :
   # sudo ip link add link eth0 name eth0.100 type vlan id 100
2A EPA - SATE                                                                 PhL - 23/01/2018 - Page 10 / 20
             TP Architecture des réseaux IP

   Attention, si vous débranchez le câble ethernet pendant la configuration celle-ci sera perdue. En effet le
« network-manager » de l’interface graphique Unity est prévenu à chaque branchement/débranchement et applique la
configuration enregistrée sur les interfaces réseaux. Il écrase donc vos modifications. Pour désactiver le network-
manager :
   # sudo service network­manager stop

   La commande « ip link delete » peut être utilisée pour enlever une interface virtuelle :
   # sudo ip link delete eth0.100

   Configurons cette nouvelle interface virtuelle en lui associant l’adresse IP 10.0.100.1 et le netmask
255.255.255.0 :
   # sudo ip addr add 10.0.100.1/24 dev eth0.100

   Activons cette interface :
   # sudo ip link set eth0.100 up

   Pour consulter la configuration des interfaces :
   # ip link show

   Pour consulter la configuration du routage :
   # ip route show

   Pour consulter la configuration des adresses :
   # ip addr show

Nous ne le ferons pas, mais pour information, plusieurs solutions existent pour rendre ces modifications
permanentes :
– Faire un script comprenant ces commandes et le lancer au démarrage en l’incluant à /etc/rc.local
– inclure les modifications dans /etc/network/interfaces et paramétrer /etc/modules

Configurez 2 interfaces virtuelles sur un PC Linux : l’une sur le vlan 1 et l’autre sur le vlan 29. Connectez ce PC à un
lien « trunk » du switch. Ce travail peut se faire en trinôme ou en quadrinôme.

Ce travail se fait en trinôme avec cette configuration.

                                                                                                Pc1 : Pc1
                                                                                                      vlan1 : vlan1
                                                                                                Pc2 : Pc2
                                                                                                      vlan: 29vlan 29
                                                                                                Pc trunk : vlan11: et
                                                                                                      Pc  trunk     vlan 1
                              switch1                                                           29    et 10
                                                                                                      Pc trunk 2 : vlan 10
          PC1                                                        PC « trunk »                     et 29

                                               PC2

Ce travail se fait en quadrinôme avec cette configuration.

                              switch1                                switch2

          PC1

                                           PC trunk1
                                                                     PC trunk2                 PC2
2A EPA - SATE                                                             PhL - 23/01/2018 - Page 11 / 20
             TP Architecture des réseaux IP
 Vous aurez besoin de configurer des routes pour atteindre les réseaux des autres VLAN. Par exemple, si PC trunk a
   l’adresse 192.168.29.254 sur le vlan 29, PC2 devra avoir cette adresse comme routeur pour atteindre le vlan 1
                       d’adresse 192.168.1.0. Ceci se fait en configurant PC2 comme ceci :
# sudo ip route add 192.168.1.0/24 via 192.168.29.254 dev eth0

Vous aurez également besoin d’activer le routage sur voter « PC trunk »:
# sudo su
# sudo echo 1 > /proc/sys/net/ipv4/ip_forward
# exit

24)     Analyser avec wireshark sur « PC trunk » un ping entre PC1 et PC2. Quel est la valeur du 16 e octet de la
trame ethernet capturé ?
25)     Quel est sa signification ?
26)     Comment a évolué le TTL lorsque la trame part de PC1 et arrive sur PC2 (wireshark sur PC1 et PC2).

Bien évidemment, en offrant l’interconnexion entre les 2 VLAN nous avons détruit ce que nous voulions faire
précédemment, à savoir, segmenter les 2 réseaux. Il faudrait maintenant mettre en place des règles d’accès (ou de
filtrage) par le mécanisme des Iptables sur le « PC trunk » .
Les Iptables permettent par exemple de n’autoriser que le trafic sur le port 80 entre PC1 et PC2. Mais elles
permettent bien d’autres choses encore...
2A EPA - SATE                                                                PhL - 23/01/2018 - Page 12 / 20
             TP Architecture des réseaux IP

                            Séance 3 - Routage IP sur routeur CISCO

Introduction
   Dans ce TP nous allons construire successivement deux réseaux à l’aide de routeurs. Vous travaillerez en
binôme, avec un des deux PC relié au routeur par un câble RS232 (bleu).
   Les routeurs sont des routeurs de marque Cisco. Chaque routeur possède 2 interfaces Gigabit-Ethernet appelée
« GE 0/0 » et « GE 0/1 » (1000Mbit/s) et une interface série.

Premier réseau
Afin de permettre un démarrage en douceur, ce premier réseau sera construit pas à pas. Voici le diagramme
physique du réseau à construire.

                                                                                                            routeur

                                                                                          Mini USB

                                                     switch Nortel

                  PC1                                                                            PC2

Voici le schéma logique équivalent :

                                 GE0/0                               GE0/1
                                                                     192.168.1x.1
                                                                                               PC2
    PC1                          192.168.x.1
                                               Routeur                                         192.168.1x.2
    192.168.x.2

                192.168.x.0/24                                          192.168.1x.0/24

           « x » est votre numéro de binôme.

Manipulation
    1. Câbler le réseau.
    2. Réinitialiser le switch.
    3. Brancher le câble série (bleu pâle) sur le port COM/ttyS du PC et le port console du routeur.
    4. Sur la machine connecté au routeur par le câble série, Lancez :
                – « sudo gtkterm » si vous êtes sous Linux ;
                – Putty ou TeraTerm si vous êtes sous Windows ;
       et réglez les paramètres de la liaison série comme suit : 9600 bps, 2 bits de stop, pas de contrôle de flux, pas
       de parité.
    5. Allumez le routeur et attendre environ 1 minute, jusqu'à la visualisation du prompt « Router> ».
       Si le routeur vous propose « Would you like to enter the initial configuration dialogue ? » répondez no. La
2A EPA - SATE                                                               PhL - 23/01/2018 - Page 13 / 20
            TP Architecture des réseaux IP
       configuration est normalement vierge. Vous pouvez désormais configurer le routeur. Pour obtenir de l'aide sur
       les commandes du routeur à tout moment, appuyez sur "?". Ceci permet d'obtenir la liste des commandes
       disponibles ou la liste des arguments d'une commande en cours de frappe. La touche  vous permet de
       compléter la commande en cours de frappe et les flèches de parcourir l'historique des commandes.
    6. Tapez les commandes suivantes :
               Router> enable
               Router# erase startup-config
    7. Tapez sur la touche « entrée » pour confirmer.
    8. Puis éteignez, attendez 5 secondes et rallumez votre routeur. Cela permet d'effacer la NVRAM (Mémoire
       Non Volatile) et de repartir avec une configuration vierge.
    9. Recommencez le point 5) puis tapez les commandes suivantes :
               Router>enable //passe en mode privilégié
               Router#conf t //passe en mode de configuration
               Router(config)#no ip domain-lookup //evite au routeur d'interroger le DNS
               Router(config)#interface GigabitEthernet 0/0
               Router(config-if)#ip address 192.168.x.1 255.255.255.0
               Router(config-if)#no shutdown
               Router(config-if)#exit
               Router(config)#interface GigabitEthernet 0/1
               Router(config-if)#ip address 192.168.1x.1 255.255.255.0
               Router(config-if)#no shutdown
               Router(config-if)#end
               Router#show running-config
               Router#show interfaces
               Router#exit

                Ces commandes permettent d'assigner une adresse IP à chaque interface et d'activer les interfaces.
                Attention de remplacer « x » par votre numéro de binôme.

    10. Maintenant configurez les adresses IP de vos PC et mettre comme passerelle par défaut :
                192.168.x.1 pour PC1
                192.168.1x.1 pour PC2
    11. Testez votre configuration par un ping de PC1 à PC2.
    12. Analysez le trafic d’un ping PC1↔PC2 avec WireShark.
    13. Quelles sont les adresses MAC avant le routeur ? Les adresses IP ?
    14. Quelles sont les adresses MAC après le routeur ? Les adresses IP ?
    15. Quelle est la valeur du champ TTL de l’en-tête IP avant et après le routeur pour un même paquet IP ?

Raccordez votre switch à celui de votre voisin. Les 2 interfaces GE0/0 seront sur le même réseau physique , mais
néanmoins, les interfaces ne sont pas sur le même réseau logique : elles n'ont pas le même début d'adresse IP, donc
ne peuvent communiquer entre elles.
On peut rajouter une deuxième adresse à une interface afin de la faire appartenir aussi à un autre réseau, comme si
la machine possédait une interface de plus. C'est une interface virtuelle ou secondaire. Nous allons faire que votre
routeur puisse accéder au réseau 192.168.y.0 de votre voisin. Ici, « y » est le numéro de binôme de votre voisin.
                Router>enable
                Router#conf t
                Router(config)#interface GigabitEthernet 0/0
                Router(config-if)#ip address 192.168.y.1x 255.255.255.0 secondary
                Router(config-if)#exit
    16. Essayez de « pinguer » la machine PC1 de votre voisin. Cela fonctionne-t-il ?
    17. Essayez de « pinguer » la machine PC2 de votre voisin.
    18. Cela ne fonctionne pas car votre routeur ne connaît pas le réseau 192.168.1y.0. Nous allons donc rajouter
        une route vers le réseau de la machine PC2 de votre voisin en disant qu'il faut passer par le routeur de votre
        voisin. Il faut aussi que votre voisin fasse cette manipulation sur son routeur !
        Router(config)ip route 192.168.1y.0 255.255.255.0 192.168.y.1

        Remarque (utile par la suite dans le TP) , on peut aussi rajouter une route par défaut en faisant :
        Router(config)ip route 0.0.0.0 0.0.0.0 @IP_passerelle

    19. Essayez de « pinguer » la machine PC2 de votre voisin. Quelle est la valeur du champ TTL du paquet ICMP
        lorsqu'il a traversé les 2 routeurs.
2A EPA - SATE                                                                   PhL - 23/01/2018 - Page 14 / 20
              TP Architecture des réseaux IP
Second réseau
Ce que nous venons de faire n'est pas très orthodoxe. Normalement les machines d'un même réseau physique (ou
même VLAN) sont sur le même réseau logique. Nous allons donc simplifier le réseau logique. Nous allons changer
un peu le câblage. Tous les PC1 et les routeurs (GE0/0) devront maintenant être reliés au switch de la baie de
brassage de la salle ; ils devront donc tous être sur le même réseau logique. Nous allons donc changer les adresses
IP de PC1 et de l'interface GE 0/0.
Pour construire ce second réseau, vous allez être autonome (pas d’aide donnée dans le sujet). Voici le schéma
logique que vous devez respecter, x étant votre numéro de binôme.

                                                                                                   PC2
    PC1                                         Routeur
    192.168.246.200+x

                 192.168.246.0/24                                         192.168.1x.0/24

    20. Éteignez, attendez 5 secondes et rallumez votre routeur. Recommencer la manipulation du point 6) en
        changeant ce qui doit changer (ne pas passer au point 7). Configurez également PC1 et validez votre
        configuration en faisant un ping de PC1 à PC2.
    21. Configurez le routeur de façon à ce que chaque PC puisse atteindre les PC du binôme voisin.
    22. Dans quels cas peut-il y avoir des trames« redirect » sur le réseau ?
    23. Quel protocole transporte cette trame de « redirect » et que vaut son champ type ?
    24. Expliquez ce que vous avez fait pour en capturer une avec wireshark ?

Le Protocole RIP : routage dynamique

   Dans le cadre de ce TP, on aurait pu utiliser un mécanisme de mise à jour automatique des tables de routage. Un
des premiers protocoles de routage interne (IGP – Interior Gateway Protocol) à être apparu en masse dans les
réseaux IP est RIP (Routing Information Protocol), et sa version améliorée RIPv2. RIP fait partie de la catégorie des
protocoles de routages dits "distance-vector", à opposer à la catégorie des "link-state" dont fait partie notamment
OSPF (Open Shortest Path First). Ces derniers sont plus modernes et plus efficaces puisqu'ils tiennent comptent
non pas du nombre de routeurs traversés, mais de l'état des liens empruntés (débit, congestion, temps de latence...).

Avec RIP, chaque routeur annonce les préfixes IP qu'il est capable de joindre, avec une métrique égale au
nombre de routeurs traversés (15 au max). Si un message est reçu d'un routeur annonçant une route plus courte pour
joindre un préfixe dont on a déjà trace dans la table de routage, on remplace cette entrée par la nouvelle,
symbolisant le nouveau plus court chemin pour joindre la destination.
À intervalles réguliers, chaque routeur envoie à ses voisins sa table de routage complète afin de s'assurer que les
informations sont cohérentes dans le réseau.
Lorsqu'un événement particulier dans le réseau provoque un changement dans la table de routage d'un routeur,
celui-ci envoie un message de mise à jour à ses voisins concernant le préfixe impacté (injoignable, changement
de métrique, etc.). Si le comportement de routage de ceux-ci est également impacté, ils devront eux-même
propager l'information. Afin d'éviter de trop fréquentes mises à jour, une temporisation est nécessaire afin de
stabiliser le réseau.
   La plupart des routeurs comme Cisco ou Nortel/Avaya envoie des informations de mise à jour toutes les 30
secondes. Si un routeur ne reçoit pas de publicité concernant une route pendant 180 s il marque la route inutilisable
(métrique=16). Si au bout de 240 s il n'a toujours pas d'information, il l'enlève de la table de routage.
Le "Split-Horizon" consiste à ne pas ré-annoncer à un routeur une route que l'on a apprise par lui. Car même si
la route ainsi renvoyée ne peut être immédiatement celle de plus court chemin (+2 à la métrique à cause de l'aller-
retour sur le lien), il se peut qu'en cas de rupture d'un lien amont sur le routeur d'origine, celui-ci puisse croire que la
route optimale passe par le routeur qui lui a ré-annoncé sa propre route. L'autre possibilité est d'activer le mode
« poison reverse». Le routeur ré-annonce à un voisin une route apprise par lui, mais cette route est affecté du coût
maximal, c'est à dire 16. Le mode par défaut est « split-horizon ».
2A EPA - SATE                                                            PhL - 23/01/2018 - Page 15 / 20
             TP Architecture des réseaux IP
   Attention, la prise en charge du Classless Inter Domain Routing (avec masque de sous-réseau libre ou hors des
classes A, B, et C) n’est incluse dans RIP qu’à partir de sa version 2. Dans le cas contraire, le masque de sous-
réseau est choisi en fonction de l’adresse IP !
Exemple :
    •   192.168.240.0/20  192.168.240.0/24 (classe C)
    •   10.130.15.0/24  10.0.0.0/8 (classe A)

    Configuration des routeurs Cisco (en gras souligné ce qui doit être adapté à votre config !) :
Router(config)# router rip                                       configure rip
Router(config-router)# network 10.0.0.0                          dit d'utiliser RIP pour ce réseau
Router(config-router)# version 2                                 passe en RIP version 2
Router(config-router)# exit
Router(config)# interface GigabitEthernet 0/1                    entre en mode config-interface
Router(config-if)# ip split-horizon                              active le mode split horizon
Router# show ip protocols                                        consulter les routes apprises
Router# show ip route                                            consulter la table de routage
Router# show ip rip database                                     consulter les info RIP

Manipulation
Reprendre le schéma du second réseau et implémentez RIP afin d'échanger vos tables de routage avec vos voisins.
Sur votre compte rendu vous indiquerez les commandes que vous avez tapées et dessinerez le schéma du réseau
global.
    25. Avec quelle adresse IP les échanges RIP sont-ils faits ?
    26. Quelle adresse MAC est associée à cette @ IP ?
    27. Puisque spanning-tree existe, pourquoi existe-t-il des protocoles de routage ?
2A EPA - SATE                                                                PhL - 23/01/2018 - Page 16 / 20
             TP Architecture des réseaux IP
                                 Séances 4 - Traduction d’adresses

Travail préparatoire – À rendre en début de séance
Voici un réseau. Le routeur est configuré pour faire du NAT (Network Address Translation). L'interface 0/1 est déclarée
en « NAT outside » et l'interface 0/0 en « NAT inside ». PCA est un serveur web et PcB et PcC envoient leurs
requêtes HTTP à PcA en utilisant comme port source le port 2000 et un TTL de 127. PcC avait commencé son
dialogue avec PcA avant PcB.
                                                                                    0/1

                                                                 0/0

                                                                 routeur                   switch2
                             switch1

         PcC

                                                                                                          PcA

                                              PcB

1) Donnez des adresses IP aux différents PC et au routeur. Les adresses « inside » seront privées et les adresses
« outside » seront publiques.
2) Vue de PcB, quels seront les valeurs des champs d'une requête HTTP de PcB vers PcA :
       1. adresse MAC destination
       2. adresse MAC source
       3. adresse IP destination
       4. adresse IP source
       5. TTL
       6. port source
       7. port destination

3) Même question mais vue de PcA
4) Même question mais pour la réponse de PcA vue de PcA, puis vue de PcB et PcC.

Manipulation
Le but de ce TP est de se familiariser avec les notions de routeur NAT. On reviendra aussi sur les concepts du DHCP.
Le matériel mis en jeu (par binôme) :
 1 Pc A Linux connecté par la baie de brassage au réseau de la salle 192.168.246.0/24. Il récupérera son adresse
    IP par un serveur DHCP déjà connecté au réseau de la salle ;
 1 routeur connecté au réseau de la salle d'un côté et à une machine B. Côté baie il récupérera également son
    adresse IP par le serveur DHCP ;
 1 Pc B Windows connecté au routeur. Il recevra son adresse IP par un serveur DHCP installé sur votre routeur.

Vous pouvez choisir n'importe quelle classe de réseau sur le réseau de la machine B.
Dessiner au fur et à mesure les réseaux logiques et physiques que vous allez construire….

Configuration du routeur en client DHCP
Les routeurs Cisco peuvent auto-configurer leurs adresses IP via un serveur DHCP. Pour cela on utilise la commande
suivante (à la place de la configuration d’IP statique) :
Router(config­if)# ip address dhcp
   – Connectez le routeur au réseau de la salle et configurez le en client DHCP.
   – tapez :
             Router# show dhcp lease
1) Quelles sont les adresses IP assignées à la machine A et à votre routeur ? Pour quelle durée ?

Configuration du routeur en serveur DHCP
Les routeurs Cisco peuvent aussi servir de serveur DHCP. Vous allez donc configurer une des interfaces afin qu’elle
attribue une @ IP à votre PC Windows (B). Pour cela, après avoir assigné une adresse IP statique à l’interface, voici
2A EPA - SATE                                                                 PhL - 23/01/2018 - Page 17 / 20
            TP Architecture des réseaux IP
la démarche à suivre pour activer le serveur DHCP sur le routeur, en gras souligné ce qui doit être adapté à votre
config :
Router(config)# no ip dhcp conflict logging //Pas de log des conflits
Router(config)# ip dhcp pool 1 //Mode configuration des adresses allouables
Router(config­dhcp)# network 192.168.X.Y /m //Définition du réseau où choisir les adresses IP
Router(config­dhcp)# default­router A.B.C.D //Routeur par défaut des futurs clients
Router(config­dhcp)# dns­server A.B.C.D //DNS des futurs clients (pas utile dans le TP)
Router(config­dhcp)# lease j h m //Durée de bail offerte (jours heures minutes)

–   Pour consulter la liste des machines clientes DHCP de votre routeur : show ip dhcp binding

Une fois le routeur configuré, configurez votre PC en client DHCP.
   3) Quelle sont les adresses IP qui vous ont été assignées ? Pour quelle durée ?
   4) Vérifier que la route par défaut a bien été insérée dans votre table de routage.
   5) Observez via Wireshark les échanges de trames DHCP. Quel protocole transporte DHCP ? sur quel port ?
   Décrivez le fonctionnement de DHCP.
   6) Essayez de pinger la machine B depuis votre PC A. Résultat ? (@ IP/MAC & @ IP)
        Essayez de pinguer la machine 192.168.246.1
   7) Observez via Wireshark les trames circulant sur le switch. Synchronisez-vous avec les autres binômes !
   8) Expliquer l’échec du ping vers la machine A .
   Y remédier en ajoutant une route à la machine A par la commande :
        sudo route add ­net @reseau netmask masque gw @IP_passerelle
                 et affichez la nouvelle table de routage du PCA :
        route ­n

Configuration du routeur en mode NAT
Le mode Network Address Translation, ou traduction d’adresses réseau, permet par exemple le partage d’une
connexion internet unique (une seule IP) par plusieurs machines. Cette partie vise à mettre en évidence les bases du
fonctionnement de ce protocole. Pour plus de détails, voir le RFC 1631.
Vous allez donc configurer votre routeur en tant que serveur NAT, la machine cible Linux étant sur le réseau
« publique » et vos PC étant sur le réseau « privé ». Pour cela, vous devez configurer l’une des interfaces du routeur
comme « privée » et l’autre comme « publique » :
Router(config­if)# ip nat inside Cette interface est connectée au réseau privé
Router(config­if)# ip nat outside Cette interface est connectée au réseau public
Il faut ensuite définir la liste de machines autorisées à utiliser cette fonctionnalité. Par défaut, toutes
sont refusées. Les deux commandes suivantes autorisent les machines d’adresse IP comprise entre 192.168.X.0 et
192.168.X.255 à utiliser ce service : l’adresse interne d’une machine sera remplacée par celle de l’interface
FastEthernet 0/1 du routeur.
Router(config)# access­list 1 permit 192.168.X.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload
Attention, le masque est écrit à l’inverse d’un masque de réseau !!! (bits à 1 pour le n° de machine)

     Pinguez le PC A depuis le PC B. Résultat ?
     Pinguez 192.168.246.1 depuis le PC B. Résultat ?
9) Quelles sont les adresses IP/MAC de la trame allant de PCA à PCB vue au niveau de PCA et au niveau de PCB ?
11) Expliquez le mécanisme mis en jeu.
12) ICMP ne possède pas de champ n° de port. Comment NAT gère-t-il ICMP ?
13) Nous allons maintenant autoriser le PC public à se connecter à un service du PC privé. Le service sera
simplement netcat. Lancez « nc ­l 2017 » sur le PC du réseau privé. Modifiez la configuration du routeur pour que
le PC du réseau public puisse atteindre ce serveur par la commande « telnet @ip_routeur 2000 » . Quelles
commandes avez-vous utilisé sur le routeur afin de modifier sa configuration ?

Filtrage et NAT entrant
Comment autoriser votre machine A à accéder à une application qui tourne sur le port 2000 de la machine B, mais en
interdisant aux autres machines A de vos voisins d’y avoir accès.

Cherchez sur le web afin de configurer correctement les access list de votre routeur et le NAT entrant.
Vous aurez besoin d’une commande ressemblant à :
ip nat outside source static tcp ad_interne port_interne ad externe port_externe
2A EPA - SATE                 PhL - 23/01/2018 - Page 18 / 20
            TP Architecture des réseaux IP

14) Quelles commandes avez-vous utilisé?
2A EPA - SATE                                                                PhL - 23/01/2018 - Page 19 / 20
             TP Architecture des réseaux IP
               Séance 5 (optionnel) - Virtual Router Redundancy Protocol
Objectif.

VRRP est un protocole permettant de gérer la redondance de route afin de garantir l’accès en cas de panne sur un
des routeurs du réseau. Il est basé sur l’élection d’un routeur maître et l’observation de ce maître par les routeurs
secondaires prêts à remplacer ce premier en cas de défaillance.

                   10.1.X.0/24                                                    10.2.X.0/24
                                                  Routeur 1                                                         B

         A

                                                 Routeur 2

Puisqu’il faut 2 routeurs par maquette, vous vous organiserez en groupe de 2 binômes. X sera votre numéro de
groupe.

Préliminaire
   Configurer avec des IP statiques les 2 interfaces de vos 2 routeurs, adresses devant être différentes de 10.1.X.1
   et 10.2.X.1. (Ces adresses seront utilisées par la suite).
   Configurer les adresses statiques de vos PC. La passerelle par défaut sera 10.1.X.1 ou 10.2.X.1. Ce seront les
   adresses virtuelles des routeurs.
    Testez par ping votre configuration. Un ping de A vers B ne fonctionne évidemment pas.

Configuration des routeurs virtuels
En vous aidant de l’annexe, configurez chacune des interfaces de la manière suivante :
Vrrp goupe X avec une priorité de 50 pour un routeur et 80 pour l’autre.
Intervalle entre 2 annonces : 2 secondes.
Autoriser un routeur à devenir maître en cas de défaillance du maître (préemption).

- Testez la communication entre les PC avec un ping.
A l’aide de wireshark,
 Quelles sont les adresses MAC des routeurs virtuels
 Quel routeur est « Master » ? Pourquoi ?
 Temps entre 2 VRRP announcements ?
 Quelles machines appartiennent au réseau 224.0.0.0 ?
 Type de l’adresse IP des VRRP announcements ?

Maintenant, alors qu’un PC est occupé à pinguer, débrancher un câble du routeur master ? Que se passe-t-il ?
Rebrancher le et débrancher maintenant l’autre câble de ce même routeur. Que se passe-t-il ?
Débrancher maintenant les 2 câbles. Que se passe-t-il ?
Expliquez le comportement du routeur.

Configuration de l’object Tracking
Vous avez observé que les deux interfaces étaient indépendantes : si l’une tombe en panne, l’autre continue à être
active. Pour résoudre ce problème, on utilise l’ « Object Tracking » :
   (config) track 1 interface FastEthernet 0/0 line-protocol
   (config) track 2 interface FastEthernet 0/1 line-protocol

   Ces 2 lignes permettent de dire que le routeur doit observer l’état des 2 interfaces.
   Pour chacune des interfaces il faut maintenant dire au routeur de changer (diminuer) la priorité d’une interface si
   l’autre devenait défaillante :
   (config-if) vrrp X track Y decrement 50

Refaire les manipulations précédentes et vérifier avec show vrrp chaque étape.
Combien de trames ping sont perdues lorsque se produit une défaillance ?
Pour les plus rapides, interconnectez votre réseau à celui de vos voisins, et expliquez les trames ICMP redirect.
2A EPA - SATE                                                                                 PhL - 23/01/2018 - Page 20 / 20
                TP Architecture des réseaux IP

Annexes
vrrp ip
To enable the Virtual Router Redundancy Protocol (VRRP) on an interface and identify the IP address of the virtual router, use the vrrp ip
command in interface configuration mode. To disable VRRP on the interface and remove the IP address of the virtual router, use the no form of
this command.

vrrp group ip ip-address [secondary]

group : Virtual router group number. The group number range is from 1 to 255.
ip-address : IP address of the virtual router.
secondary (Optional) : Indicates additional IP addresses supported by this group.

Configure this command once without the secondary keyword to indicate the virtual router IP address. If you want to indicate additional IP
addresses supported by this group, then do so and include the secondary keyword. By defaults, VRRP is not configured on the interface.

Examples
The following example enables VRRP on Ethernet interface 0. The VRRP group is 1. IP address 10.0.1.20 is the address of the virtual router.
enable
configure
no ip domain-lookup
interface FastEthernet 0/0
  ip address 10.0.1.1 255.255.255.0
  ip address 10.0.2.1 255.255.255.0 secondary
!
  vrrp 1 ip 10.0.1.20
  vrrp 1 ip 10.0.2.20 secondary
show vrrp
Displays a summary or detailed status of one or all configured VRRP groups.

vrrp preempt
To configure the router to take over as master virtual router for a Virtual Router Redundancy Protocol (VRRP) group if it has higher priority
than the current master virtual router, use the vrrp preempt command in interface configuration mode. To disable this function, use the no form
of this command.

vrrp group preempt [delay minimum seconds]

group Virtual router group number of the group for which preemption is being configured. The group number is configured with the vrrp ip
command. The group number range is from 1 to 255.
delay minimum seconds (Optional) Number of seconds that the router will delay before issuing an advertisement claiming master ownership.
The default delay is 0 seconds.

vrrp priority
To set the priority level of the router within a Virtual Router Redundancy Protocol (VRRP) group, use the vrrp priority command in interface
configuration mode. To remove the priority level of the router, use the no form of this command.

vrrp group priority level

group : Virtual router group number. The group number range is from 1 to 255.
level : Priority of the router within the VRRP group. The range is from 1 to 254. The default is 100.

vrrp timers advertise
To configure the interval between successive advertisements by the master virtual router in a Virtual Router Redundancy Protocol (VRRP)
group, use the vrrp timers advertise command in interface configuration mode. To restore the default value, use the no form of this command.

vrrp group timers advertise [msec] interval

group : Virtual router group number. The group number range is from 1 to 255.
Msec (Optional) : Changes the unit of the advertisement time from seconds to milliseconds. Without this keyword, the advertisement interval
is in seconds.
Interval : Time interval between successive advertisements by the master virtual router. The unit of the interval is in seconds, unless the msec
keyword is specified. The default is 1 second.
Vous pouvez aussi lire