Embed Size (px)
Citation preview
NETWORK102
LE PLAN
I) Réseaux Switchés
II) VLANS
III) Routage
• OSPF
IV) Boucles
• STP
V) Infra à VIA
INTRODUCTION
Comment deux ordis peuvent communiquer entre eux ?
- Un réseau minimal (sans central)
Petite démo :
Ordi 1 : 192.168.2.1 \24Ordi 2 : 192.168.2.2 \24
Vos ordis ont aussi une table ARP !arp –aping
< 2^(8) adresses ip
INTRODUCTION
Petit rappel : FDB et ARP
FDB : Forwarding Database – show fdb : MAC – PORT ; Couche 2
ARP : Address Resolution Protocol – show iparp : IP – MAC ; Couche 2/3
Réseaux Switchés
RÉSEAUX SWITCHÉS
Comment deux ordis peuvent communiquer entre eux ?
- Un réseau minimal (sans central)
- Un réseau switché :
Le switch dirige les paquetsau bon port selon l’adresse MACmarquée sur les paquets en question avec la FDB.
RÉSEAUX SWITCHÉS
Rappel : Ethernet Frame
Source : Wikipedia et
Stackoverflow !!
RÉSEAUX SWITCHÉS
Qu’est ce qui se passe quand on se connecte à un réseau?
➤ Le client demande une IP au DHCP. Comment ? - DHCP DISCOVER : Le client envoie un broadcast.- DHCP OFFER : Le serveur DHCP répond avec l’IP du DHCP, l’IP proposée, le
masque de sous-réseau ( destination : MAC du client )- DHCP REQUEST : Le client accepte et répond avec l’IP qui lui a été proposée
- DHCP ACK : Le seveur DHCP confirme et lui envoie des paramètres aditionnels(IP de la gateway, adresses IP des serveurs DNS, durée du Bail).
➤ La FDB du switch est mise à jour.
➤ L’ARP est mise à jour.
RÉSEAUX SWITCHÉS
Qu’est ce qui se passe quand on se connecte à un réseau?
Source : Wireshark
RÉSEAUX SWITCHÉS
▶▶▶ Un grand réseau switché! (un LAN)
Limites :
- Broadcasts sur l’intégralité du réseau( boucles! )
- Isoler des machines ( ex: virus , administration )
La solution? On divise en sous-réseaux!
Le VLAN ou (vlip)
VLAN
LE VLAN
VLAN = Virtual Local Area Network
Un sous-réseau logique, identifié par un tag (IEEE 8.201Q).
Constitué d’une plage d’IP continues.
Un domaine de broadcast.
Séparation du réseau en sous-réseaux logiques (ie on n’a pas besoin de
tirer des câbles en plus).
LE VLAN
Les paquets circulant à l’intérieur d’un VLAN portent tous le tag du
VLAN.
Mise en place :
1) On crée le VLAN
2) On rajoute des ports au VLAN pour indiquer au routeur indiquer satopologie
LE VLAN
Au niveau physique :
LE VLAN
Au niveau logique :
On peut bien avoir deux vlans sur un même port!*
Un seul câble physique!
LE VLAN(SUITE)
*Sauf que... Votre ordinateur n’est pas configuré pour lire les packets ethernet avec un tag...
Ø On demande au routeur d’envoyer les paquets non taggés (sans le champ correspondant au tag)
Ø Le port est alors rajouté au vlan en mode “untagged”
Ø On ne peut avoir qu’un seul vlan untagged par port
LE VLAN : TAGGED OU UNTAGGED ?
Au niveau logique :
On peut bien avoir deux vlans tagged sur un même port!
On peut avoir qu’un seul vlan untagged sur un même port!
LE VLAN : TAGGED OU UNTAGGED ?
Cette configuration marche : On peut bien superposer un vlan en untagged et en tagged sur un même port.
LE VLAN : TAGGED OU UNTAGGED ?
Cette configuration est foireuse (les paquets bleu pâle ne serontpas transmits d’un routeur à l’autre).
LE VLAN : TAGGED OU UNTAGGED ?
Cette configuration est impossible!! (non permise par le routeur) Le routeur ne peut pas savoir à quel vlan appartient quel paquet.
LE VLAN : BOOTREPLAY
Mais... Et le DHCP ?
Requêtes DHCP (Discover, Offer…) en braodcast... Et si le serveur DHCP n’est pas sur le même vlan?
> Enable le Bootprelay au niveau du vlan de l’appareil et celui du serveur DHCP
> Parfois on en a pas envie : ADSL
LE VLAN : ISOLER DES MACHINES
Par défaut les paquets ne peuvent pas passer d’un VLAN à l’autre.
Pour les autoriser, il faut enable l’IP forwarding au niveau des deux VLAN. Ça autorise les paquets à passer d’un VLAN à l’autre.
> Parfois on en a pas envie : vlan-virus
VLAN (LA FIN)
Il y a des switchs L2 (FDB) et L3 (FDB et ARP).
Seuls les switchs L3 peuvent interagir avec le tag VLAN (le noter, le changer… ).
Ex switchs L3: tous les switchs à VIA au niveau des bâtiments, du PI, des salles serveurs…
La majorité c’est des switchs de Extreme Networks.
Ils sont violets !
ON POURRAIT S’ARRÊTER LÀ
Limites : quand le réseau est très gros, on a envie de limiter les entrées sur la FDB.
On a envie de connaître les chemins les plus efficaces quandplusieurs chemins sont disponibles.
Et puis à VIA on aime bien tester des technos ^_^
Et puis : On n’a pas expliqué comment “sortir” du réseau.
Comment faire?
Routage!
Routage
ROUTAGE : RAPPEL
On a un paquet. On veut l’envoyer ailleurs (8.8.8.8, par exemple).
L’ordinateur crée un paquet IP :- MAC source et IP sources : les siennes. - MAC destination : gateway (obtenue par requête ARP).
- IP destination : 8.8.8.8
Le paquet est switché jusqu’à la gateway grâce à la mac.
ROUTAGE : RAPPEL
Exemple :
Des iproutes sont définies à l’aide de protocoles de routage. Ellesindiquent quel chemin doit suivre un paquet selon l’IP de destination (ie le retour suivant).
À chaque fois que le paquet arrive sur un routeur, il regarde sesroutes, détermine le routeur suivant, et met cette MAC comme MAC de destination.
Enfin, quand on arrive à la gateway du sous-réseau de l’IP de destination, le paquet est switché jusqu’au destinataire.
MAC du BD!
ROUTAGE : RAPPEL
Hostname : GardevoirMAC : 66:66:66:66:66IP : 21.21.21.21
Hostname : MoltresMAC : 18:18:18:18:18:18IP : 42.42.42.42
VLAN 121.21.21.0\24
VLAN 242.42.42.128\25
Gardevoir veut contacter Moltres. Elle connaît son IP.
ROUTAGE : RAPPEL
Hostname : GardevoirMAC : 66:66:66:66:66IP : 21.21.21.21
Hostname : MoltresMAC : 18:18:18:18:18:18IP : 42.42.42.42
Elle veut que son paquet soit switché jusqu’à la gateway, pour qu’il soit routé jusqu’au sous réseau de Moltres. Il lui faut la MAC de la gateway => requête ARP (broadcast)
Source MAC : 66:66:66…Source IP : 21.21.21.21Destination MAC : ??
GatewayMAC : 88:88:88:88:88:88
ROUTAGE : RAPPEL
Hostname : GardevoirMAC : 66:66:66:66:66IP : 21.21.21.21
Hostname : MoltresMAC : 18:18:18:18:18:18IP : 42.42.42.42
La Gateway lui répond! Le paquet est switché jusqu’à la gateway.
Source MAC : 66:66:66:66:66:66Source IP : 21.21.21.21Destination MAC : 88:88:88:88:88:88Destination IP : 42.42.42.42
GatewayMAC : 88:88:88:88:88:88
ROUTAGE : RAPPEL
Hostname : GardevoirMAC : 66:66:66:66:66:66IP : 21.21.21.21
Hostname : MoltresMAC : 18:18:18:18:18:18IP : 42.42.42.42
Arrivé à la gateway, celle-ci détermine l’IP du routeur suivant àl’aide de sa table de routage (iproutes). La gateway met comme MAC de destination la MAC du routeur suivant (arp) et comme MAC source la sienne.
Source MAC : 88:88:88:88:88:88Source IP : 21.21.21.21Destination MAC : 55:55:55:55:55:55Destination IP : 42.42.42.42
GatewayMAC : 55:55:55:55:55
ROUTAGE : RAPPEL
Hostname : GardevoirMAC : 66:66:66:66:66:66IP : 21.21.21.21
Hostname : MoltresMAC : 18:18:18:18:18:18IP : 42.42.42.42
Le paquet est envoyé, et de même est routé jusqu’à la gateway du sous-réseau bleu.
GatewayMAC : 22:22:22:22:22:22
ROUTAGE : RAPPEL
Hostname : GardevoirMAC : 66:66:66:66:66IP : 21.21.21.21
Hostname : MoltresMAC : 18:18:18:18:18:18IP : 42.42.42.42
La gateway du réseau-bleu reconnaît l’IP de Moltres qui fait partie de son sous-réseau. Elle met la MAC de Moltres comme MAC de destination. Le paquet est switché jusqu’à Moltres.
Source MAC : 22:22:22:22:22:22Source IP : 21.21.21.21Destination MAC : 18:18:18:18:18:18Destination IP : 42.42.42.42
GatewayMAC : 22:22:22:22:22:22
ROUTAGE : IGP et BGP
AS : Autonomous System; réseau géré un même organisme (ex : unemême asso, une même entreprise).
IGP : Internal Gateway Protocol Famille de protocoles de routage à l’intérieur de l’AS
BGP : Border Gateway ProtocolRoutage entre les AS
ROUTAGE : IGP et BGP
À VIA, on utilise un protocole de routage interne : le OSPF
Open Shortest Path First
Comment ça marche ?
OSPF : Open Shortest Path First
Les routeurs envoient des paquets Hello en braodcast pour détecter leurs voisins. Ces paquets contiennent une liste de leur voisins, et le l’ID du DR (Designated Router), ici le BD.
Avec le BD, ils échangent des paquets LSA qui contiennent des informations sur les liens qu’ils ont avec d’autres routeurs / appareils, et le coût de ces liens, et reçoit de la part du BD des paquets similaires émis par les autres routeurs.
Ceci permet à chaque routeur de mettre à leur base de données (contenant la topologie du réseau), à partir de laquelle ils déduisent les meilleurs chemins (en utilisant l’algorithme de Dijkstra).
OSPF : Open Shortest Path First
Si tu réponds pas au Hello t’es considéré comme “mort” et le routeur envoie un paquet LSA au BD pour notifier les autres.
OSPF(fin)
On peut aussi définir des aires OSPF dans lequelles les routeurss’échangent des informations, déterminent les routes, puis les envoient aux aires adjacentes avec d’autres types de paquets LSA…
Ceci permet d’éviter qu’il y ait trop de calculs à faire, et de limiter aussi le traffic en paquets LSA.
Cependant à VIA on a qu’une seule aire, on abordera pas le sujetau niveau de cette formation ^^
IP ROUTE
Commande : sh iproute
#oa : route apprise par OSPF#s : route configurée statiquement#d : route directe
En Résumé
Un paquet entrant sur la rez : est routé jusqu’à la gateway, àl’aide des chemins indiqués sur iproute, puis est redirigé grâce àla MAC de destination en suivant la FDB.
BOUCLES
LES BOUCLES
Beaucoup de requêtes sont faites en broadcast : ARP, DCHP…
Beaucoup de requêtes sontfaites en broadcast : ARP, DCHP…
Solution : ne pas plugger un câble entre deux ports d’un switch ?(certes)
PB : Redondance ? + les câbles herma “bouclent”.
Solution : le stp
Le stp
Principe général : déterminer un arbre recouvrant de poids minimal parmi les liens entre les switchs, et ce, dès qu’il y a un changement de la topologie du réseau.
Le stp va bloquer certains ports de façon à éviter les boucles.
LE STP
STP : Spanning Tree ProtocolAu niveau d’un vlan : 1) On définit une aire stp et
on rajoute des ports dessus.
2) Le switch ayant l’ID le plus bas (ID : 4 chiffres + MAC) estélu racine de l’arbre.
3) Le switch racine envoie des paquets BPDU avec un champ indiquant le coût du chemin. Initialement égal à 0, chaquerouteur qui le reçoit incrémentele coût de 1 (+ des ack).
4) Au niveau de chaque switch le port avec le coût le plus faible est choisi comme port racine.
LE STP
5) Sur chaque switch, les ports reliés à chaque port racine sontélus Designated.
Si entre deux switchs, il y a pas de port de racine, alors le port le plus près de la racine est éludesignated.
Sur la racine, tous les ports sont élus Designated Ports.
6) Tous les ports n’étant niracine, ni designated sontbloqués.
LEARNING => FORWARDING ou BLOCKING
LE STP
Les “edge ports” (ie les ports connectés à des appareils, pas àun autres switch), ne répondent pas aux BPDU avec des ack et sont mis en forwarding.
**je crois. Faut pas trop pousser hein.
LE STP
INFRA A VIA
INFRA A VIA
BD
Cisco
gw-vialabs
gw-perms
gw-d
gw-pi
gw-hserv
switch-aob
gw-a1gw-a2
switch-ab
prism
VLIP-WIFI
• Le vlip-wifi est switché (ie. il y a un seul vlan qui estswitché depuis le BD).
• Les bornes wifi de chaque étage sont connectés à des switchs, eux-mêmes connectés directement au BD par de le fibre, sans passer par les routeurs de bâtiments* :
switch-ab
BD
* sauf au F
vlip-wifi
VLIP-A
• Le BD est rélié aux routeurs des bâtiments par deux paires de fibre :
gw-a1gw-a2
vlip-bda2 vlip-bda1
vlip-a2 vlip-a1
BD
VLIP-D
• Le BD est rélié aux routeurs des bâtiments par deux paires de fibre. Parfois les routeurs sont stackés :
gw-dgw-d
vlip-bdd2 vlip-bdd1
vlip-d vlip-d
• Les routeurs forment alors uneseule unité logique. BD
AOB
• AOB : Administration Out of Band; réseau cuivré parallèle. • Utilisation : pusher leur conf sur Baal, la récupérer, récupérerl’image du firmware sur Baal pour une MAJ…
• Structure : un peu compliquée ^^
BD switch-aobgw-pi
CONCLUSION (enfin presque)
Notions clés : Routage, VLAN
Diff : indispensable pour mener à bien le déménagement
Autres sujets : BGP, Transit, Peering… (connexion extérieure).
CONCLUSION (almost there)
Quelques liens du wiki :
https://wiki.via.ecp.fr/index.php?title=Plan_IP
https://wiki.via.ecp.fr/index.php?title=Liste_du_mat%C3%A9riel_diff
https://wiki.via.ecp.fr/index.php?title=Configuration_d%27un_ExtremeXOS
https://wiki.via.ecp.fr/index.php?title=Interconnexion_CTI
CONCLUSION (pew pew)
Conseils :
- Allez sur les routeurs : - sh iproutes- sh vlan <NOM>- sh ports [utilization]- <tab> <tab> <tab>- <tab> <tab> <tab>
- Faîtes tourner Wireshark
