ccie notes -layer2technologies
DESCRIPTION
CCIE notes -Layer2TechnologiesTRANSCRIPT
2.00 Implement Layer 2 Technologies (04-07-2015)2.1 LAN switching technologies
Managing MAC address table
La CAM● La première question a posé, CAM table ou MAC Address Table qu'elle
est la différence ?o MAC Table fait référence au contenu de la table.o CAM Table pour citer la nature technique et l’opération de cette
table.● La Content Addressable Memory (CAM) est un type de mémoire spéciale
utilisé par les switches Cisco.● Une mémoire RAM ordinaire utilise une adresse de mémoire pour
obtenir les données stockées, la CAM fait l’inverse, elle utilise les données de la CAM pour récupérer l’adresse où ces données sont sauvegardées.
● la CAM est considérée plus rapide que la RAM puisque la CAM recherches dans la totalité de la mémoire en une seule opération, ces résultat de recherche sont 0 (true) ou 1 (false) avec cette méthode elle est utile pour la construction des tables qui nécessite une recherche sur les correspondances exactes comme les tables d’adresses MAC.
● Il est possible de désactivé l’apprentissage des adresses MAC.● Il n’est pas possible de de désactivé l’apprentissage des adresses MAC
sur un VLAN interne ou Secure Port.● MAC statique n’est pas supprimer lors de redémarrage du switch.● MAC statique peut être unicast ou multicast.● MAC statique sur un PVLAN n’est pas répliqué automatiquement.● Le Aging est configuré globalement ou par VLAN, par défaut 300s.● Aging avec valeur 0 pour le désactiver.● Le STP peux accélérer l’intervalle de Aging par VLAN.● Une adresse MAC peut exister dans plusieurs VLAN.● MAC Broadcast et Multicast ne peut pas être filtré.● La table CAM toujours démarre vide après le démarrage du switch.● Une adresse MAC est supprimé si aucune mise à jour reçue, par défaut le
temps de vieillissement (Aging Time) est de 300 secondes.● Les MAC statiques remplacent toujours les MAC appris dynamiquement.● Si un port DOWN associé à une MAC statique, le trafic vers cette adresse
MAC sera rejeté.● Certaine adresse MAC de multicast bien connus :
o 0100.0CCC.CCCC CDP/VTPo 0100.0CCC.CCCD PVST+ (SSTP BPDU)o 0180.C200.0000 IEEE CSTo 0100.5EXX.XXXX IPV4 multicatso 3333.XXXX.XXXX IPV6 multicast
La TCAM● Ternary Content Addressable Memory (TCAM) est une CAM spécialisé
conçu pour les recherches rapides dans les tables, la TCAM est un composant très important des commutateurs Cisco de couche 3 et les routeurs modernes car il peuvent stocker leurs tables de routage, ACL et QOS dans les TCAMs, permettant des recherches rapides et des ACL appliquée sans affecter les performances.
● La plupart des commutateurs ont de multiples TCAMs pour les I/O, QOS et Security, pour que les décisions de transmission évaluées en parallèle.
● Des commutateurs de couche 2 peuvent avoir que la CAM ou la TCAM pour la QoS seulement.
Construction de la table● La table est construit par l’enregistrement de l’adresse source, le port
d’arrivée, ID VLAN et le temps d’arrivé de toutes les trames après la validation de la somme de contrôle FCS,
● Si c’est une nouvelle MAC dans la table, elle est ajouté avec l’interface et le VLAN associer avec une durée de vie (300) secondes par défaut.
● Si elle est présente et associée à la même interface, le switch mis à jour la durée de vie.
● Si elle est déplacé a un autre port, la plus récente est créé et l’ancienne entrée supprimé.
La logique de commutation● Après la construction de la CAM en basant sur l’adresse MAC source, le
switch analyse l’adresse MAC destination pour prendre les décisions de commutation
● Si l’adresse MAC existe dans la table d’adresse MAC et associée à une interface dans le même vlan que celle d’entrée, le switch propage la trame uniquement par cette interface.
● Si l’adresse MAC n’est pas présente dans la table d’adresse MAC, le switch propage la trame dans toutes les interfaces du même vlan sauf celle d’où elle provient.
● Si l’adresse MAC est une adresse de broadcast ou multicast, le switch propage la trame par toutes les interfaces du même vlan sauf celle d’où elle provient.
Trame Ethernet• Ethernet développée dans les laboratoires de DEC, Intel et Xerox, de
cette collaboration Ethernet DIX est sortie (appelé aussi Ethernet II).• Le IEEE a standardisé l’Ethernet avec les deux standards 802.3 Media
Access Control (MAC) et 802.2 Logical Link Control (LLC).• L’IEEE a fait une mise à jour sur le format de la trame en ajoutant
l’entête Sub-Network Access Protocol (SNAP).• Il y a trois différents types de trames Ethernet utilisés, DIX (également
appelé Ethernet II), IEEE 802.3 avec LLC et IEEE 802.3 avec encapsulation SNAP.
Si une trame Etherner est moins que le minimum qui est 64 Octet (header+data+fcs) des données de bourrage supplémentaire ajoutée pour complété la trame.
Les 3 premiers octets de la MAC (Organizationally unique identifier) identifient de façon unique le fabricant de la carte réseau.
Les 3 derniers octets sont attribués par le fabricant. Une MAC destination avec des f “ff:ff:ff:ff:ff:ff” indique un Broadcast.
Le premier octet est l’octet appelé l’octet le plus significatif. Le dernier bit à gauche de chaque octet appelé le bit le plus significatif. Le premier bit à droit est le bit le moins significatif. Le bit The Universal/Local (U/L) a 0 indique que l’adresse attribuer par
le constructeur, 1 indique attribuer par l’administrateur. Le bit The Individual/Group (I/G) à 0 indique que c’est une adresse
unicast, 1 indique que c’est une adresse multicast ou broadcast.
Taille de la trame Ethernet
la taille maximale est de 1518 octets que ce nombre inclut tous les champs de la trame.
La taille de charge utile minimum de 46 octets. Une trame de 64 octets est ce que la plupart des fabriquant des
équipements réseau l’utilise comme une trame d'analyse comparative. Plus la taille de la trame est petite moins de latence nécessaire pour
transférer la trame. Les Switches datacenter Cisco Nexus peut transmettre toute la taille de
trame sans augmentation de la latence. Une trame IEEE 802.3 Ethernet est composée de six segments qui sont
décrits en détail ci-dessous: Préambule:
o La spécification 802.3 divise le préambule en deux sections. La première section est un champ de 56 bits (7 octets), plus un champ de 1 octet appelé le Starting Frame Delimiter (SFD).
o Le préambule est généralement pas utilisé dans les réseaux Ethernet modernes car ça fonction est de fournir le signal de temps de démarrage pour Ethernet à 10Mbps.
o 100Mbps, 1000Mbps, 10Gbps utilisent la signalisation constante, ce qui évite la nécessité pour le préambule.
o Le préambule est toujours gardé pour éviter de faire des modifications dans le format de trame Ethernet.
o Le Starting Frame Delimiter SFD est un champ de 1 octet qui sert comme un signal à la carte réseau que les données vont suivre immédiatement.
o Le SFD est le début de la trame réelle. Destination et Source Adresse:
o Ces deux sections de la trame sont probablement le plus couramment comprises en ce qu'elles contiennent.
Type / Length : o Le champ Type/longueur est utilisé pour identifier quel protocole
de réseau de niveau supérieur est utilisé dans la trame Data / Payload:
o Le champ de données/charge utile est ce que nous considérons généralement comme le plus important ce sont les données que nous transmettons.
o entre un minimum de 46 octets et un maximum de 1500 octets. o Une trame Ethernet standard dispose d'une charge utile maximale
de 1500 octets, plus de 1500 octets sont considérés comme des trames Jumbo.
Frame Check Sequence (CRC): o La fin de la trame contient un champ de 32 bits qui est une somme
de contrôle de redondance cyclique (CRC). o Ceci est un mécanisme pour vérifier l'intégrité d'une trame à
l'arrivée de sa destination.
L'étiquette 802.1Q VLAN introduit une étiquette de 4 octets qui suit le champ d'adresse de la source dans la trame.
Ce Tag est séparé en deux, Le premier 2 octets est le Tag Protocol Identifier (TPID).
La valeur dans le champ TPID de 2 octets est toujours 0x8100 qui identifier simplement la trame comme IEEE 802.1q.
Le deuxième segment de 2 octets est le Tag Control Information (TCI). Le champ TCI est subdivisé par les 3 bits utilisée pour transporter des
informations de priorité basé sur les valeurs définies dans la norme 802.1p.
Les bits restants dans le TCI contiennent l'identificateur de VLAN (VID) qui fournit les moyens pour identifier le VLAN pour lequel la trame est un membre de.
Ajouter des Tag de VLAN augmente la taille maximale de la trame standard de 1522 octets.
Méthode de CommutationStore-and-Forward
Le switch copie chaque trame complète dans la mémoire et calcule le Cyclic Redundancy Check (CRC), si une erreur CRC est détectée la trame est rejetée, si la trame est sans erreurs le commutateur achemine la trame sur le port d’interface approprié.
Cut-through En commutation de cut-through, le switch copie dans sa mémoire que
l’adresse MAC de destination (6 premiers octets de la trame) de la trame avant de prendre une décision de commutation.
En mode Cut through le délai est réduit parce que le commutateur commence à transmettre les trames Ethernet dès qu’il lit l’adresse MAC
de destination et détermine le port de sortie. Avec Cut through les trames avec ou sans erreurs sont acheminées
en laissant la détection des erreurs au destinataire prévu. Fragment-free
Cette méthode est comme cut-and-through mais le switch attend les premiers 64 octet d’être reçue avant de renvoyer le premier octet.
D’après les spécifications de l’Ethernet la collision est détectée dans les premiers 64 octet de la trame, les trames avec des erreurs de collision ne seront pas transmises.
Cut-and-through est le mode par défaut dans le système NX-OS. Exemple de commande pour activer le mode store-and-forward dans un
switch nexus Ciscoo switch# configure terminal
switch(config)# switching-mode store-forwardswitch(config)# no switching-mode store-forward
errdisable recovery
Fonction d'errdisable● Quand un port est désactivé par erreur, il est arrêté de façon effective
et aucun trafic n'est envoyé ou reçu sur le ce port.● La fonctionnalité error disable permet d'empêcher des situations ou un
port défectueux monopolise les mémoires tampons.● Quand vous émettez la commande show interfaces, l'état du port
indique err-disable.● La fonctionnalité error disable sert à atteindre deux objectifs :
o Elle permet à l'administrateur de savoir quand et où il y a un problème de port.
o Elle élimine la possibilité que ce port puisse entraîner la défaillance d'autres ports sur le module (ou de tout le module).
Causes d'errdisable (ça dépend de la plateforme)● Duplex mismatch● Port channel misconfiguration● BPDU guard violation● UniDirectional Link Detection (UDLD) condition● Late-collision detection● Link-flap detection● Security violation● Port Aggregation Protocol (PAgP) flap● Layer 2 Tunneling Protocol (L2TP) guard● DHCP snooping rate-limit● Incorrect GBIC / Small Form-Factor Pluggable (SFP) module or cable● Address Resolution Protocol (ARP) inspection● Inline power
Errdisable recovery● La détection d'error disable est activée par défaut pour toutes ces
raisons.● Afin de désactiver la détection d'error disable, utilisez la commande no
errdisable detect cause.● La commande show errdisable detect affiche l'état de détection
d'error disable.● La commande errdisable recovery vous permet de choisir le type
d'erreurs qui réactivent automatiquement les ports après un délai spécifié.
● Par défaut le Timer du errdisable recovery est de 300s.● Pour réactiver les ports manuellement utilise Shutdown et no
shutdown.
L2 MTU
● Les types MTU suivants peuvent être configurés sur un switch niveau 3.● System MTU : affecte seulement les interfaces Ethernet et
FastEthernet, entre 1500 et 1998 octet.● System MTU jumbo : affecte seulement les interfaces à 1000MB et
plus, entre 1500 et 9000 octet.● System MTU routing : affecte les SVI, Routed Port, entre 1500 et
System MTU.● Le switch ne supporte pas MTU par interface.● System MTU Routing n'affecte pas un switch avec seulement des ports
niveau 2.● System MTU Routing ne requis pas le redémarrage du switch.● System MTU Routing ne peux pas excéder System MTU.● System MTU n'affecte pas un Switch sans des ports FastEthernet.● Trame envoyer au CPU ne dépasse pas 1998 Octet.● Protocole de routage utilise System MTU pour négocier le voisinage.
CDP, LLDP
CDP● Cisco Discovery Protocol (CDP) est un protocole propriétaire Cisco
utilisé pour aider les administrateurs à recueillir des informations sur
les périphériques Cisco voisins.
● CDP permet de collecter plusieurs informations sur les périphériques
voisins pour le dépannage ou la découverte du réseau.
● Les messages CDP générées tous les 60 secondes en tant que multicast
de couche 2 sur chaque interface active d'un périphérique et avec un
hold-down de 180 secondes.
● CDP est activé pat défaut, il réside dans la couche liaison de données
du modèle OSI, fonctionne sur les liens directement connecté qui
support SNAP et il n'est pas routable.
● Il n'est pas possible de désactivé le CDP globalement et l'activé par
interface.
● Exemple d'information partagé dans les paquets CDP :
○ Hostname
○ Version IOS
○ Capacités matérielles routage, switching et bridging
○ Plateforme 2800, 2960 ...
○ Adresse IP de l’équipement
○ l'interface locale et distante
○ Domaine VTP
○ VLAN natif
LLDP
● Le IEEE 802.1AB LLDP est un protocole de découvert similaire à CDP
utilisé pour publier des informations vers d'autres périphériques dans
le réseaux.
● LLDP support un ensemble d'attribut qu'il utilise pour la découverte,
ces attributs contient Type, Longueur, Valeur de description, appelés
TLV.
● LLDP-MED est une extension qui opère entre les terminaux comme IP
Phone et le switch pour offrir des informations sur la VOIP, Network
Policy, power management.
● Les TLV de base :
○ Port description TLV
○ System name TLV
○ System description TLV
○ System capabilities TLV
○ Management address TLV
UDLD● Par défaut les messages UDLD envoyer chaque 15 seconde et chaque 1
seconde quand un lien unidirectionnel est détecté.
● Un port désactivé par UDLD doit être réactive manuellement ou
jusqu'à ou errdisable timeout expires (si configuré).
● Un switch doit recevoir son propre Device/Port ID sur le RX.
● UDLD annonce son port ID et appris sur ces voisins et sauvegarde ces
informations dans une table de cache.
● Avec ces informations, UDLD détecte les symptômes suivants :
○ Des messages UDLD arrivant d'un voisin contient le même switch-Id/port-id utilisé par le switch de réception. Cela suggère un port auto-bouclé.
○ Un switch a détecté un seul voisin, mais les messages UDLD de ce voisin contenir plus d'un dans la liste des voisins détectés. Cela suggère un réseau partagé avec un problème de visibilité entre les périphériques connectés.
○ Les messages UDLD arrivant d'un voisin ne contient pas la paire SWITCH-ID/PORT-ID exacte avec la listes des voisins détecté, Cela suggère une coupure de la fibre ou le port TX branché sur un défirent port RX.
● Si un de ces symptômes sont détectés, UDLD déclarera que le lien est
unidirectionnel et mis le port en mode "err-disable".
● Si les messages UDLD cessent d'être reçu après 8 messages UDLD sans
écho (1 chaque secondes) UDLD a deux modes de fonctionnement :
○ Avec le mode normal le switch il ne prend absolument aucune
action.
○ Avec le mode agressive, le switch mit le port en mode "err-
disable».
● La différence entre le mode normal et agressif réside donc dans la
réaction à la perte soudaine des messages entrants UDLD (perte des
messages UDLD sans que le port soit DOWN), a noter que les deux
modes normal et agressifs désactive le port "err-disable" si le lien
unidirectionnel est explicitement détectés par les trois problèmes
décrits plus haut.
● UDLD mode normal est basé sur des évènements et des informations
reçu des messages UDLD.
● UDLD mode normal Shutdown le port seulement s’il peut
explicitement détermine que le lien associé est défectueux pendant
une période de temps.
Access ports
VLAN● VLAN 1-1001 considéré comme VLAN normale.
● VLAN 0 et 4095 réservé à l'usage du système.
● VLAN 1002-1005 pour FDDI et Token Ring.
● VLAN 1006-4094 VLAN étendu.
● Un port accès peut être affecté à un seul VLAN.
● Supprimer un vlan utilisé par un port mit le port en état inactif.
● Un hôte connecté à un VLAN est inconscient de l'encapsulation qui se
produise sur le switch.
● VLAN 1 transport le trafic de gestion (control-plan) comme VTP, STP,
CDP, DTP, PAgP.
● Quand vlan 1 est retiré d'un Trunk, il y a que le trafic de transit qui sera
supprimé.
● VLAN étendus sont configurer que à partir de mode configuration
globale.
● VLAN étendus ne sont pas enregistrés dans VLAN.dat ou reconnue par
VTP Server à moins que VTP v3 soit activé.
● Si des VLANs étendus configuré sur un switch, on ne peut pas changer
le mode vers VTP Server.
● Si un switch avec plus de VLAN actif que les instances STP supporté
(128), alors STP est activé seulement pour les 128 VLANs et désactivé
pour les autres
● Paramètres configurable du VLAN
○ VLAN ID (par défaut 1)
○ Nom du VLAN (par défaut VLANXXXX)
○ État du VLAN (par défaut actif)
○ MTU du VLAN (par défaut 1500)
○ Security Association Identifier SAID (par défaut 100 000 plus le
VLAN ID)
● Si vous essayez de créer un VLAN étendue et il n'y a pas suffisamment
de ressources matérielles disponibles, un message d'erreur est généré
et le VLAN rejeté.
Verrouillage des VLANs● Avec le verrouillage des VLANs le nom du VLAN doit être
spécifier sur le port.● Le verrouillage des VLANs fournit un niveau de vérification
supplémentaire.● Activé avec la commande "vlan port provisioning"
Translation des VLANs● La translation des VLAN est le changement d'un VLAN ID a un
autre ID sur un port Trunk.● VLAN natif n'est pas supporté par la translation mais peut être
le résultat d'une translation.● Le VLAN de translation ne doit pas être retiré depuis le Trunk.
Mappage des VLANs
● Les VLANs 802.1Q dans la plage de 1 à 1001 et 1006 à 4094 sont automatiquement mappés au VLAN ISL correspondant.
● Jusqu'à huit mappages des VLAN 802.1Q-à-ISL configurable.● VLAN natif n'est pas supporté.● Si on mappe le VLAN 802.1Q 1007 au VLAN ISL 200, le trafic du
VLAN 200 sur le Trunk 802.1Q est bloqué.● Mappage des VLAN est local pour chaque switch.
Protected VLAN• Appeler aussi Private VLAN edge ports.• Ports protégés ne transmettent pas de trafic vers les ports protégés
sur le même switch.• Ports protégés peuvent transmettre tout type de trafic vers les
ports non protégés.
VLAN Shutdown et Suspend● Arrêter (Shutdown) un VLAN, seulement le switch local sera affecté,
VTP ne propage pas cette information.
● Arrêter un VLAN mettra la SVI de ce VLAN en état DOWN.
● Suspendre un VLAN s'applique sur tous les switches à travers le
domaine VTP.
● Suspendre un VLAN ne s'applique pas à un switch avec le mode VTP
transparent.
VLAN Interne● Les ports de couche 3 (Routed Port) et les sous-interfaces utilisent des
VLANs internes de type VLAN étendue.
● Pour afficher les VLAN utilisés en interne, entrez la commande " show
vlan internal usage".
● L'attribution des VLANs interne est croissant (à partir de 1006 et plus)
ou descendant (de 4094 vers le bas).
● Vous ne pouvez pas utiliser un VLAN étendue qui a été allouée pour
l'usage interne.
Voice VLAN
● La fonction PortFast est automatiquement activée lorsque Voice VLAN
est configuré.
● Lorsque vous désactivez Voice VLAN, la fonction PortFast n'est pas
automatiquement désactivée.
● Le Voice VLAN est communiquée par le protocole CDP au téléphone IP.
● Voice VLAN est supporté uniquement sur les ports accès.
● Le VLAN Voice doit être présent est activé dans le switch.
● Ne pas configurer Voice VLAN sur les ports de VLAN privés (Private
VLAN)
● Il n’est pas possible de configurer Voice vlan sur un port Secure avec
statique ou Sticky MAC Address.
● Un port Voice VLAN peut être de type
○ Dynamic Access (Client VMPS)
○ 802.1X Authentifier
○ Protected Port
○ Source ou destination pour SPAN et RSPAN
○ Secure Port
VTPv1, VTPv2, VTPv3, VTP pruning
VTP ● Le nom de domaine VTP est la configuration de base nécessaire sur un
switch pour faire partie d'un domaine à moins que le mot de passe soit
configuré.
● Les paquets VTP sont envoyés dans des trames ISL ou Dot1Q.
● Les paquets VTP envoyer vers l'adresse MAC de destination "01-00-0C-
CC-CC-CC ".
● Les switch Cisco par défaut utilise le mode VTP Server.
● Un nouveau switch ne commence pas à envoyer des messages VTP
jusqu'à ce qu'il soit configuré avec un domaine VTP.
● Les messages VTP envoyé en multicast seulement sur les ports Trunk.
● Le Security Association Identifier SAID est une valeur unique qui
détermine a quelle VLAN un paquet est commuté.
● SAID est 100 000 plus de ID de VLAN.
● Le switch peut être seulement dans un seul domaine VTP.
● Si un switch est notifié par VTP pour un nouveau VLAN et ce dernier
utilise le maximum des ressources disponible, le nouveau VLAN sera en
Shutdown et un message d'information envoyer à la console.
● Un switch peux changer le mode VTP automatiquement vers
transparent si il reçoit plus de VLAN qu'il support ou il détecte une
insuffisance de la mémoire.
● Si deux switches avec des domaines différents, DTP affiche l'erreur
"VTP Domain Mismatch"
● Les paquets VTP envoyé sur VLAN 1 par default et seulement sur des
liens en mode Trunk.
● Un switch VTP Transparent avec un domaine NULL fait passer tous les
messages VTP, sans regarder à la version.
● Un switch VTP Transparent avec nom de domaine configuré fait passer
les messages VTP que si le domaine lui égale.
● VTP utilise l'authentification MD5.
● VTP V1 mode transparent inspecte le nom de domaine et le numéro de
version dans les messages VTP.
● VTP V1 mode transparent fait suivre les messages VTP reçue que si le
domaine et la version correspond au switch local.
● VTP V2 mode transparent fait suivre les messages VTP sans vérifier la
version, seulement le domaine.
● VTP V2 est désactivé par défaut, activer la version 2 sur le VTP Server
convertit automatiquement tous les switches vers la version 2.
● VTP V3 switch convertit automatiquement les Switches VTP V1 vers la
version 2 si ils support VTP 2 et 3.
● VTP V3 switches ne sont pas compatible avec les switches version 1.
● VTP V3 peut changer vers version 1 ou 2 que si des VLANs étendu ne
sont pas configurer localement.
● VTP V3 n'accepte pas les informations de configuration depuis la V2 ou
V1.
● VTP V3 détecte un switch avec V2 sur un Trunk il envoi des messages
VTP V2 pour la compatibilité.
● VTP V3 support la création des VLANs étendus dans le mode Server et
Client.
● VTP V3 support les PVLAN en mode Client et Server.
● VTP V3 support deux instances, une pour les VLAN et une pour MST.
● VTP V3 support 4k VLANs.
● VTP V3 peut être activé et désactivé par interface.
● VTP V3 Primary est le rôle ou le seul switch dans un domaine VTPv3 ou
les bases de données sont propagé et administrativement modifier.
● VTP v3 Server et Client partage leurs base de données que si il agrès
sur le domaine et l'identité du Primary Server (à base de l'adresse
MAC).
● VTP V3 Secondary Server peut seulement backup la configuration
reçue depuis le VTP Primary dans sa NVRAM.
● VTP V3 Switch en état de conflit ne peut pas synchroniser ça base de
données même si les paramètres VTP sont égale ou la révision est plus
haut.
● VTP V3 Switch promu en Primary manuellement est accepter même si
ça révision est inférieur.
● VTP v3 révision est réinitialisé que si un changement de domaine ou de
mot de passe (non à cause de transparent).
● VTP V3 switch démarre en mode Secondary.
● VTP V3 Server mode est perdu lors de redémarrage et le Secondary
continue à propagé les VLAN.
● VTP V3 domaine peux avoir un réseau sans VTP Primary.
● VTP V3 support la propagation des bases de données du MST.
● VTP V3 support l'authentification caché ou secret :
○ Hidden Authentication : la clé secrète sauvegardée dans le
fichier de base de données.
○ Secret Authentication : la clé sauvegardée dans un format
hexadécimal dans la running-config.
● Exemple de quelques informations transmis par VTP :
○ VLAN ID
○ VLAN SAID
○ VLAN Name
○ VLAN Type
○ VLAN State
○ Revision Number
○ VLAN MTU
○ Dans VTP version 3 VTP inclus "Primary server ID, instance
number, start index".
VTP Mode● VTP Server
○ Les changements autorisés seulement en mode VTP Server
○ La mémoire flash utilisé pour stocker la configuration VTP dans
le fichier de base de données "VLAN.dat"
○ Dans le mode VTP Server si un switch détecte un échec au
moment de l'écriture dans la base de données il se converti
automatiquement en mode VTP Client
● VTP Cient
○ VTP client reçoit la configuration depuis le VTP Server.
○ Le changement dans la base de données n'est pas permis dans
VTP client.
○ La configuration est sauvegardé dans le fichier de base de
données "VLAN.dat".
● VTP Transparent
○ Le mode transparent est requis pour la configuration des VLANs
étendu dans VTP V1 et V2.
○ Les changements dans le domaine VTP n'affecte pas le VTP
Transparent.
○ La configuration est stockée localement dans startup ou
running-config.
○ Le numéro de révision est toujours à 0
● VTP off
○ Un switch en mode VTP V3 off au même fonctionnement qu'un
switch en mode transparent a l'exception qu'il ne transmet pas
les messages VTP sur ces Trunks.
○ Sur le mode de configuration globale VTP Off s'applique sur
tous les interfaces Trunk.
○ VTP Off par interface s'applique par VTP instance (VTP ou MST).
VTP numéro de Révision● VTP Transparent auras toujours un numéro de révision égale à 0, cette
valeur n'augmente pas avec le changement dans la base de données.
● Dans chaque changement dans VTP Server la révision augmente par 1
et ça propage vers tous les clients.
● Si un switch (Client ou Server) avec le même domaine et mot de passe
et une révision plus haut, ça base de données va propager vers tous les
switches (uniquement sur VTP V1 et V2).
VTP Pruning
● Aide à réduire le trafic inutile inondé à travers le réseau comme
broadcast, multicast et unicast inconnu.
● Un VLAN est Pruned ou retiré s’il n’est pas utilisé dans un segment.
● Tous les switches doivent agréer sur le mode VTP Pruning.
● Il est recommandé d'utilisé VTP Pruning avec VTP Server et Client
mode.
● Dans VTP V1 et 2, Activé VTP Pruning dans VTP Server active cette
fonctionnalité dans tous le domaine VTP.
● Dans VTP V3 VTP Pruning doit être activé manuellement sur chaque
switches
● Les routeurs ne supporte pas VTP Pruning, connecté un trunk a un
routeur obligé ce dernier à demander tous les VLAN.
● Prune éligible list contrôle quelle VLAN est autorisé à être Pruned ou
pas.
● Retiré un VLAN de la liste Prune Eligible force le switch à recevoir le
trafic de ce dernier.
● Il y a que les VLANs standard (2-1000) autorisé d'être Prune éligible.
Type de messages VTP● Summary advertisements :
○ Le switch envoi les messages Summary Advertisements chaque
5 minutes et après chaque modification.
○ Summary Advertisements informe les switches de nom de
domaine, le numéro de révision, password et le nombre des
messages Subset Avertissement après ce message.
○ Quand un switch reçoit Summary Advertisements il compare le
nom de domaine puis le numéro de révision avec celle
configuré localement.
○ Si le numéro de révision reçu est plus haut un message de type
Advertisement Request est envoyé.
● Subset Advertisement :
○ Un subset Advertisement contient la liste des VLANs.
○ Plusieurs messages Subset Advertisement peuvent être
envoyés pour annoncer tous les VLANs.
○ Un ou plusieurs Subset Advertisements suive le Summary
Advertisement.
● Advertisement Requests :
○ Originaire par VTP Server et Client, un switch a besoins des
requêtes VTP Advertisement dans ces situations :
■ Le switch a été réinitialisé.
■ Le domaine VTP a changé.
■ Le switch a reçu un message VTP Summary
Advertisement avec une révision plus haut.
● VTP Join
○ Originaire par VTP Client et Server chaque 6 seconde si VTP
Prunning est activé, il contient un champ de bit pour chaque
VLAN de type normal pour indiquer si il est active ou non-utilisé
pour être Pruned.
○ Les switches en mode transparent n’envoient pas les messages
Join.
Dot1Q
802.1Q● 802.1Q ajoute un entête de 4 octet (un TAG) entre l’adresse MAC
source et le champ Ethertype.
● L’tête 802.1Q a autres champs comme :
○ Tag Protocol ID TPID : 16bit pour identifier les trames 808.1Q
Tagé avec la valeur 0X8100 par défaut.
○ Priority : 3 Bit 802.1P pour le marquage COS.
○ VID: 12 bit pour le ID du VLAN.
○ CFI : 1bit toujours 0 pour la compatibilité avec token ring.
● Le TAG ajouté augmente la taille de la trame par 4 octet, le IEEE
802.3ac autorise l’extension de la trame à 1522 octet.
● Un vlan natif sur un Trunk autorise le transport des trames 802.1Q sans
tag inséré.
● Le ID du vlan natif doit correspond au deux coté du Trunk.
● Si le ID du vlan natif dans les deux cotés ne correspond pas, il est
détecté par CDP et STP.
● Le comportement par défaut d’envoyer des trames du vlan natif sans
tag peux être désactivé par la commande “vlan dot1q tag native”.
● Les messages DTP et STP sont envoyer sur le VLAN natif pour assurer
l’interopérabilité.
● 802.1Q Trunk recalcule la séquence de contrôle de trame (FCS) avant
que le switch envoie la trame sur la liaison.
● Configurer une subinterface avec un vlan native et l'interface physique
avec une adresse IP ne donne deux interfaces Native mais ce n’est pas
supporté seulement la Subinterface reçoit les paquets non Tagé.
DTP● DTP est activé par défaut, utilisé pour la négociation d’un Trunk entre
deux switches.
● Les messages DTP envoyé chaque 30 secondes.
● DTP Desirable :
○ Le port activement tente de convertir le lien en Trunk.
○ Le lien se forme en Trunk si le voisin en mode Desirable, Auto,
Trunk.
○ Au moins un coté doit être en désirable pour former un Trunk.
● DTP Auto :
○ Le port devient Trunk seulement s’il a reçu une demande.
○ si les deux coté en mode auto, le lien est formé en mode
Access.
● Les routeurs ne supportent pas DTP, un Trunk avec un routeur doit
être en mode statique.
● L’envoi des messages DTP sur un Trunk statique peut être désactivé
avec la commande “nonnegotiate”
● Les messages DTP désactivé implicitement sur un port Access.
● Le port Access envoi un seul paquet DTP quand il entre dans le mode
accès, cela peut être désactivé avec la commande “nonnegotiate”.
● L’ordre de négociation DTP est :
○ ISL Trunk
○ 802.1 Q Trunk
○ Access Port
ISL● Propriétaire Cisco.
● ISL encapsule tous le trafic dans des trames ISL de 30 octet (26 header,
4trailler).
● La trame ISL utilise l'adresse MAC du switch comme source au lieu de
la source de trafic.
Native VLAN● Un port configuré avec 802.1Q peut recevoir des trames tagé et non-
tagé.● Par défaut un switch transmet les trames sans Tag vers le VLAN natif.● Par défaut le VLAN natif est 1.
Manual Pruning● VTP pruning doit être activé pour que cette fonctionnalité soit activée.● VLAN Extended ne peut pas être Pruned, seulement de 2 au 1001.● Configuré avec “switchport trunk pruning vlan 10-1002”● Le VLAN pruning-ineligible reçoit tous le trafic, (ex:2-9)
EtherChannel LACP, PAgP, manual● Un Trunk envoi et reçoit les paquets PAGP et LACP sur le numéro de
VLAN le plus petit.
● Spanning-tree envoi ces paquet sur le premier port.
● Quand la QoS est activé, utiliser la commande "no mls qos channel-
consistency" si les membres ont différent structure de file d'attente.
● Tous les membres de l'Etherchannel doivent avoir une configuration
identique.
● Etherchannel exige que des paramètres doivent être identiques dans
les deux cotés comme :
○ Allowed-VLAN list
○ Spanning-tree path cost for each VLAN
○ Spanning-tree port priority for each VLAN
○ Spanning-tree Port Fast setting
● Il est déconseiller de crée l'interface Port-Channel manuellement avant
de regrouper les interfaces membres de l'Etherchannel.
● Lors de la suppression de l'Etherchannel, l'interface Port-Channel doit
être supprimée manuellement.
● Si La configuration des ports physiques est différents de la
configuration du Port-Chanel, ajuster la configuration des ports
physiques en premier.
● Quand un port en Err-Disbaled sous l'Etherchannel, il est recommandé
de désactiver et activer les interfaces physiques et le Port-Channel.
● Il existe trois mode de l'Etherchannel : PAGP, LACP, ON.
PAGP● Protocole propriétaire Cisco.
● Requis au moins un coté Desirable.
● Si les deux coté en mode auto, l'Etherchannel ne se forme pas.
● Ces modes sont : Desirable et Auto.
LACP● Protocole standard 802.3ad.
● Requis au moins un coté Active.
● Si les deux coté passive, l'Etherchannel ne se forme pas.
● Les modes LACP sont : Active, Passive.
● Jusqu'à 16 ports qui peuvent être configure d'être membre de
l'Etherchannel LACP, mais seulement 8 autorisé d'être active en
parallèle.
● Quand plus de 8 ports, la priorité système (32768) et priorité du
port(128) utilisé pour décider qu'elle port active et standby.
● Entre deux switches LACP, le switches avec la priorité système la plus
faible décide les ports actifs à partir de la priorité des ports.
● LACP System Priority ID est basé sur l'adresse MAC et la priorité par
défaut 32768.
● LACP ne supporte pas les ports Half-Duplex.
EtherChannel Layer3● Il est recommandé de désactivé les ports membres avant de configurer
l'Etherchannel niveau 3.
● Un Etherchannel niveau 3 opération affiche RU.
● L’adresse MAC du premier port dans le bundle est utilisée comme
adresse MAC du Port-Channel niveau 3.
EtherChannel Load Balancing
● Cisco utilise un algorithme de hachage prioritaire.
● Le choix d’une méthode de load balancing est basé sur la position du
switch dans le réseau et le type de trafic qui doit être balancé.
● Plusieurs méthodes de load balancing existe.
○ dst-ip
○ dst-mac
○ src-dst-ip
○ src-dst-mac
○ src-ip
○ src-mac
Etherchannel misconfiguration guard● Utilisé pour détecter les mauvaises configurations d'une Etherchannel
entre deux switches.
● Une mauvaise configuration arrive quand un switch configuré pour
l'Etherchannel et l'autre non.
● Une mauvaise configuration arrive si les paramètres ne sont pas les
mêmes dans les deux extrémités.
● Si Etherchannel Misconfiguration Guard détecte une mauvaise
configuration elle place le port en error-disabled.
PVST+
Les variantes du STP• Legacy STP (STP) -protocole STP original a été défini dans la norme IEEE
802.1D-1998.• Rapid STP (RSTP) 802.1w : sont amélioration défini dans la norme IEEE
802.1D-2004.• Multiple STP (MSTP) 802.1s : Une autre amélioration a été définie dans
la norme IEEE 802.1Q 2005.• Per-Vlan STP (PVST) : développé par Cisco utilise deux variant: PVST+
(based on legacy STP), and PVRST (based on RSTP).
STP BPDU L'adresse de destination d'un paquet BPDU est "01-80-C2-00-00-00".
Les paquets BPDU envoyé chaque 2 secondes. Les BPDU sont transmis en une seule direction, depuis le Root Bridge. Le switch ne transmit pas les BPDU à travers un port en état Blocking. Quand les switches dans le réseau sont démarré, chacun fonctionne
comme le Root Bridge. Chaque switch envoie une configuration BPDU à travers l'ensemble de
ses ports. La configuration BPDUs communique et calcule la topologie spanning-
tree. Chaque BPDU de configuration contient les informations suivantes:
o L'ID unique du Root Bridge.o Le coût vers le Root Bridge.o L'ID de switch qui envoi le BPDU.o Âge du message.o L'identifiant de l'interface d'envoi.o Les valeurs de Hello, forward delay, max-age.
Il existe 3 types de BPDU :o Configuration BPDU : utilisé par STP pour offrir des informations
vers tous les switches et le calcule STP.o TCN (Topology Change) : utilisé pour annoncer un changement
dans la topologie STP.o TCNA (Topology Change Ack) confirme la réception d'une TCN.
Si un switch reçoit un Superior BPDU il sauvegarde ces informations sur ce port et transmit le nouveau BPDU à jour sur ces Designated ports.
Si un switch reçoit un Inferior BPDU il le rejette. Chaque port dans STP sauvegarde la Superior BPDU envoyer ou reçue. l'opération du STP est basé sur la capabilité de comparer les valeurs des
BPDU pour déterminer le meilleur (Superior) BPDU. Pour déterminer Superior BPDU le BPDU reçue est comparer par:
o Root Bridge ID (RBID)o Root Path Cost (RPC)o Sended Bridge ID (SBID)o Sended Port ID (SPID)o Receiver Port ID (RPID no inclus dans BPDU, évaluation locale)
En Premier le RBID est comparé entre les deux BPDU, si une contient le RBID inférieur alors elle est considéré supérieur est la comparaison arrêter.
Si deux BPDU avec le même RBID, le RPC est comparé. Si deux BPDU avec le même RPC, le SBID est comparé. Si deux BPDU avec le même SBID, le SPID est comparé. Si deux BPDU avec le même SPID, le RPID est comparé.
Le résultat de l'échange des BPDU est :o Un switch élue comme Root Bridge.o Le plus court chemin et calculer depuis chaque switch en basent
sur le cout des ports.o Un Root Port est élue par switch, ce port contient le meilleur
chemin vers le Root Bridge.
Paquet BPU
Protocol Identifier : valeur à 0x0000. Protocol Version : valeur à 0x00. BPDU Type : valeur a 0x00 et TCN à 0x80. Flags : Topology Change Flag et Topology Change Acknowledgment. Root Bridge ID : ID du Root bridge de la topologie. Root Path Cost : le meilleur cout vers le Root Bridge. Sending Bridge ID : le ID du switch qui envoie ce BPDU. Message Age : estimation du temps depuis que le BPDU envoyer par le Root
bridge. Hello Time : intervalle Hello, par défaut 1s. Forward Delay : intervalle Forwad_Delay, par défaut 15s.
Le rôle des ports STP : Root Port: un seul port par switch, c'est celui qui est le plus proche du
Root Bridge. Designated port : Un seul port Designated par segment, c'est le
Downstream port sur un segment qui transmis et relis les BPDU. Blocking port: est un port ni Root et ni Designated. Alternate port: un port candidat pour être un port Root mais en état
Blocking, utilisé par uplinkfast.
L'état des ports STP Disabled : Le port est en état Down, il ne participe dans la progression
STP, Rejette les trames et les BPDU reçus. Blocking: Le port est dans cet état que dans le cas où il initialise après un
démarrage, autorisé à recevoir les BPDU, délai de 20 secondes non changeable.
Listening : Envoie et reçoit les BPDU, délai 15s. Learning: Envoie et reçoit les BPDU et rempli la table CAM, délai 15s. Forwarding : Envoie et reçoit les données et les BPDU. Le délai de l'état Blocking (20s) s'applique quand le port initialise après
un redémarrage et pas quand une transition vers Forwarding arrive.
Le délai d'un changement vers Forwarding est 50s si le port initialise, sinon c'est 30s (Listening et Learning).
Une interface transit à travers ces états de port :o De initialization vers blockingo De blocking vers listening ou vers disabledo De listening vers learning ou vers disabledo De learning vers forwarding ou vers disabledo De forwarding vers disabled
STP Timer Le switch hérite son Timer depuis le Root Bridge. RFC spécifié que le temps Listening et Learning doit être égale. Les Timers des BPDU envoyer par le Root bridge :
o Hello : 2 seconde par défaut et peux être modifié entre 1s et 10s.o Forward Delay : le temps entre Listening et Learning, 15s peut être
modifié entre 4s et 30s.o Max Age : Définit le temps maximum qu'un BPDU peut être
sauvegardé, 20 seconde par défaut et peut être modifié de 6 à 40, switch utilise la formule (max_age-message_age)
o Message Age : valeur non fixé, définit le temps depuis que le Root Bridge a initié le BPDU, incrémenté par 1 à chaque saut et égale à 0 a l'origine.
Diamètre (DIA): le nombre maximum des switches entre n'importe qu'elle point, 7 par défaut.
Il est possible d'éditer les Timer Hello, Max_Age, Forward_Delay et le Timer.
La formule en générale si nous arrondissons la valeur à 0,5 : Max_Age = (4 x hello) + (2 x dia) – 2 Forward_Delay = ((4 x hello) + (3 x dia)) / 2
Un switch non-Root Bridge permet de modifier le Timer mais il n’est pas annoncé à moins qu'il devient un Root Bridge.
STP Convergence Dans un état stable de la topologie STP :
o Le Root Bridge génère des Hello en fonction de Hello Timer.o Chaque switch non-bridge reçoit une copie du Hello sur son Root
Port.o Chaque switch mis à jours le Hello est le retransmis sur son
Designated Port.o Pour chaque port Blocking, le switch reçoit un Hello depuis le DP
mais il la retransmit pas. Si le switch détecte la perte d'un lien sur un port Root il le déclare
immédiatement, sinon il attend l'expiration des BPDU. Si le switch détecte la perte d'un lien sur un port DP qui fait face au
Downstream switch, le switch génère un TCN sans affecté le STP, c'est le Downstream qui sera affecté.
Un bridge annonce un changement de topologie :o Un port qui transit depuis Learning ou Forwarding vers Blocking.o Un port qui transit vers Forwarding dans un switch avec au moins
un port Designated.o TCN BPDU reçu par un Designated port d'un switch.o Un switch devient le Root Switch.
Dans un état stable et normale du STP, le bridge reçoit les BPDU du Root bridge depuis le Root port et il n'envois jamais les BPDU vers le Root Bridge.
Le switch ne génère pas un BPDU avec TCN si ce port est configuré avec portfast.
Le TCN ne provoque pas nouveau calcul de STP, il a seulement un impact sur le Aging Time (temps de vieillissement).
Le processus de signalisation d'une notification vers tous les switches se constitue de deux étapes.o Le switch signale au Root bridge.o Le Root Bridge broadcast l'information vers tous les réseaux.
Quand un switch a besoins de signaler un changement dans la topologie il envoi des paquets de type TCN sur son Root port vers le Root Bridge.
Le switch répète ce message à chaque intervalle de Hello jusqu'à ou il reçoit un accusé.
Le Upstream switch reçoit cette TCN BPDU et renvois un accusé en ajouter le TCN bit dans le paquet Hello.
Le Upstream switch puis répète l'action jusqu'à ou le TCN arrive au Root Bridge est soit accusé.
Le Root Switch envoi des BPDU avec TC bit pour informer tous les switches de réduire le temps MAC Aging vers le Forwarding_Delay.
En conséquence tous les switches deviennent conscients de la situation de changement.
Les switches reçoivent le changement de topologie sur leurs ports Forwarding et Blocking.
Le TC bit est configuré par le Root Bridge pour une période de max_age + forward_delay seconds, qui est 20+15=35 seconds par défaut.
STP direct Link Failure Un échec dans STP est détecté avec deux manières, par la détection de
perte de signal au niveau physique ou par un manque de BPDU pendant une durée de Max_age-Message_Age.
Si un port est Blocking, rien ne se passe à l'exception de l'expiration des informations sauvegarder.
Si un port est Root, les informations sauvegardées sur ce port sont invalidée et le switch tente de déterminer un nouveau port Root basé sur les informations sauvegardées sinon il transit par le processus Listening/Learning.
Si le switch ne trouve pas un nouveau port Root il se déclare comme un Root Bridge et commence a annoncé cette information dans le BPDU, les switches Downstream ignore cette information jusqu'à ou l'ancien information sera expiré.
Au meilleur, le processus de convergence prend 2xForward_Time si l'échec est détecté par la couche physique, si BPDU Aging est utilisé ça prend pour chaque switch (Max_Age-Message_Age)+2xForward_Time pour s'adapter à la nouvelle topologie.
STP indirect Link Failure Indirect Link Failures c'est le cas d'un échec qui arrive pour un Upstream
switch. Le Upstream switch est le switch connecté au switch local à travers un
port Root ou Blocked. Un échec d'un Downstream switch n'affecte pas le STP du switch local. Un échec indirect arrive pour un Upstream switch dans une topologie
quand :o Un Upstream switch qui perdre tous ces liens vers le Root Bridge :
L'information orignal du Root Bridge est expiré et le switch Upstream se déclare d'être un Root.
Le nouveau Upstream switch commence à envoyer des BPDU mais l'information originale stocké n'as pas expiré encore, si elle expire deux cas arrive :
Le switch local détermine qu'il reçoit le même BID du
Root originale, il transit le port en Blocking vers le processus Listening/Learning.
Le switch locale détermine qu'il a perdu le Root bridge originale, il accepte les nouveaux BPDU ou se déclare Root Bridge.
o Un Upstream switch qui a élu un nouveau Root Port : Si un Upstream switch perdre un port Root mais il a un
chemin alternatif, le nouveau port est élus et les BPDU continue à circuler avec possibilité de différent cout vers le Root Bridge.
Un switch local reçoit les BPDU sur son interface Root ou Blocked , en basent sur la nouvelle information il se peut qu'il débloque le port Blocking et change le port root.
Le temps total qu'il faut pour répondre à un échec indirect peut être réduit jusqu'à 2xForward_Time si le Upstream switch détecte l'échec sur le niveau physique ou Max_Age+2xForward_Time si il a besoin d'attendre l'expiration des BPDU.
PVST Les BPDU PVST sont générer pour chaque VAN. PVST est un protocole propriétaire Cisco activé par défaut sur les
switches Catalyst. PVST sys-id-ext est égale au VLAN ID. Cisco PVST Plus (PVST+) ajouter une instance STP pour chaque VLAN. Le switch support 128 instance de STP. PVST utilise seulement les Trunk ISL. PVST+ support les Trunk Dot1Q et ISL. PVST+ est CST utilise l'instance STP du VLAN 1 pour communiquer avec
BPDU IEEE.
Les switches non-cisco utilise une seul instance STP IEEE appelé Commun Spanning-Tree CST (n’est pas relier a un VLAN spécifique).
PVST+ avec CST comme résultat single loop-free topologie sur VLAN1. Dans les régions CST Active loop-free topologie est associé avec tous
les VLANs, à l’intérieur de PVST+, Active loop-free topologie s’applique au VLAN1
seulement, autre VLAN dans PVST+ utilise leur propre instance PVST+. Instance PVST+ pour autre que VLAN1 traite CST comme loop free
shared segment. Les switches IEEEE ne traite pas les BPUD SSTP mais seulement les
transmis vers d’autres switch PVST+. Cisco Switch envoi deux BPDU du VLAN1 SSTP et IEEE. STP envoi un BPDU IEEE sans-tag pour la compatibilité avec CST à
l'adresse 0180.C200.0000. STP envoi un BPDU par instance, Tagé et envoyer a adresse MAC
spécial SSTP 0100.0CCC.CCCD, non traité par CST. Le champ Port VLAN ID (PVID) TLV dans SSTP utilisé pour détecter
VLAN Mismatch. Le cout du SSTP qui travers CST est le cout vers le premier switch CST. Un port Access envoi et reçoit des BPDU du STP standard IEEEE
(0180.C200.0000). Sur un Trunk un BPDU non-tragé est traité par le VLAN native. BPDU IEEEE sont toujours non-Tagé PVST+ BPDU (SSTP) BPDU Tagé a l'exception du native VLAN.
La topologie montre trois régions CST et deux régions PVST+, la région CST utilise le STP standard sans PVST, PVST+ utilise l'instance 1 du STP pour l'interaction entre eux.
Dans la région CST la topologie Loop-Free est partagé avec tous les VLANs, dans PVST+ la topologie LoopFree est appliquée seulement à VLAN1.
RPVST+
RSTP Dans RSTP un seul type de BPDU existe, les TCN n’existent plus. La version du protocole et 2. BPDU généré par chaque switch à chaque intervalle, utilisé comme un
mécanisme de KeepAlive. Le BPDU la plus récent reçus sur un port est stocké jusqu'à ou le Max
Age Timer expire. Superior BPDU reçus sur un port écrase l'ancien BPDU et le port élu vers
Root ou Designated. Quand trois hello non reçus le Max-Age Timer expire. Les switches RSTP génère leur propre BPDU avec les informations
apportées de leur port Root. Quand une inferiror BPDU reçus sur un port bloqué:
o Elle est accepté et enregistré, Pas comme le 802.1D.o Le switch qui reçoit cette information répond par les informations
du Root Bridge.o Le bridge qui envois inferior BPDU va accepter la Superiror BPDU et
change sont Root port. Quand un switch perdre son port Root , le meilleur port alternative est
mis directement dans l'état Forwarding. La sélection d'un nouveau port Root génère un TCN qui vide la table
CAM. Uplinkfast n'as pas besoins d'être configuré avec RSTP, puisque elle
intégré. RSTP BPDU devient similaire au Hello, si il ne reçoit pas 3 Hello alors il
"Age-out" le BPDU sauvegardé sans attendre max_age-messageAge, Dans RSTP une BPDU inférieur reçu par un Designated Switch est
accepté et traité comme avoir reçu une Superior BPDU, ce comportement aide a traite Indirect Link Failure.
Les Ports RSTP connecté au ancien switches reviendront à 802.1D ou
PVST+.
RSTP Port State
Discarding : combine les états 802.1D Disabled, Blocking, Listening, pas de Learning des adresses MAC.
Learning : les trames sont bloqués et les adresses MAC appris. Forwarding : les trames transmises et les adresses MAC sont appris.
RSTP Port Role Root port : le même que 802.D Root port. Desingated port : même que 802.1D Designated port. Alternate port : un remplacent du port Root, reçoit les BPDU des autres
switches mais n'as pas remplis les exigences pour devenir un port Root, utilisé comme alternative dans le cas où le Root port subi un échec.
Backup port : un remplaçant du Designated port dans le même switch. Backup port est un port Discarding dans le même segment que
Designated port.
RSTP Port Type Edge port : Intègre l'extension Portfast de Cisco, si un BPDU reçue sur
ce port il va devenir un port STP normal. Point-point port : port en full duplex, transit immédiatement vers l'état
Forwarding en évitant le Forwading Delay. Shared port : port RSTP en Half-duplex, utilise le mécanisme
traditionnel Listening et Learning. Un switchport peut être Shared s’il est connecté à un switch non-cisco. Le port-type peut etre changé avec la commande : «spanning-tree link-
type{ point-to-point | shared} »
RSTP est la transition rapide vers l'état Forwarding RSTP n'as pas besoin d'attendre le Forwarding time. Seulement les ports Edge et point-to-point son candidat pour la
convergence rapide. Quand un port devient UP, le port est placé dans l'état Designated et
Discarding. Quand un Superior BPDU est appris (avec le Proposal Flag) un nouveau
port Root est découvert et cela lance l'opération Sync.
Le port local devient le nouveau port Root, alors que le Upstream Port est dans Designated Blocking.
Dans le moment du processus Sync les non-edge Designated port sont placé dans l'état Blocking.
Une fois que les non-edge Designated port soient bloqué, le switch local autorise le Upstream switch pour une transition immédiate de ces ports vers Designated Forwarding.
Cela est fait en mettant le Bit d'Agrément sur les Outgoing BPDU. Le switch local génère un nouveau BPDU, ajoute le Flag Proposal et envoi
de son Designated Blocked port. Si le Downstream switch qui reçoit considère ce nouveau BPDU Superior
alors ce même processus est répété sinon le port entre les deux switches est bloqué.
Les ports edge reste dans l'état Forwarding.
RSTP est le changement de la topologie: Seulement les ports non-edge qui change de l'état Forwarding qui cause
TC avec RSTP. RSTP n'utilise plus le BPDU spécifique au TCN à moins qu'un ancien pont
doive être notifié. Direct Link Failures est traité par Alternate Port. Indirect link failures est traité par le concept d'accepté les BPDU
inférieur. Ajouter un nouveau port Root est traité par Proposal/Agreement. Un changement dans le Root switch est traité par la combinaison des
fonctionnalités cité. Dans RSTP si switch détecte un changement dans la topologie :
o Configure le tcWhile Time à une valeur de Hello+1s (ancien version 2xHello) sur tous les ports non-edge Designated ou Root à l'exception le port de changement.
o Le switch videra toutes les adresses MAC, sauf pour les ports edge.o Envoi un BPDU ver le Flag TC sur ces ports à chaque intervalle hello
jusqu'à ou le tcWhile Timer expire.o Port edge sont pas concerné par le changement, MAC appris sur
leurs port ne sont pas Flushed.
Proposal/Agreement process in RSTP RSTP utilise Proposal/Agreement dans des liens point-to-point pour
maitre les liens opérationnels rapidement et sans une interruption. Après avoir ajouté un nouveau lien entre deux switches, les ports des
deux switches démarrent dans l'état Designated Discarding sur non-edge port (état par default RSTP)
Les ports dans Discarding ou Learning envois des BPDU avec Proposal Bit.
Les deux switches échange les BPDU avec Proposal Bit en assument qu’ils ont le droit d'être Designated.
Si un des deux découvre qu'une Proposal et meilleur il converti le port en Root (l'état reste Discaring).
Durant le processus Proposal/Agreement, tous les non-edge port transit vers l'état Discarding (Opération Sync)
Si un port vers un host non explicitement configuré en PortFast il est considéré comme non-edge port et vue que le PC n'envoie pas de STP, le port va être dans l'état Discarding pendant deux fois le Forwarding Delay.
Un port ne supporte pas RSTP ou RPVST+ ne peut pas envoyer un Agreement pour répondre à une Proposal.
MST
MSTP Les instances MSTP sont administrativement créés avec plusieurs VLAN
attribué à chaque instance. Chaque instance exécute son propre algorithme STP. Catalyst 2960 support 0-15 (16) instance MST, 2960 et 3560 de 0 à
4094 instances, le standard MST autorise 65 instances Actives (0-64). Les anciens switch Cisco impliment une version prestandard du MST. Pour savoir si la version est standard ou prestandard utiliser la
commande «show spanning-tree lst configuration digest », si deux
hash affiché alors le switch support les deux versions. Un Switchport MST standard connecté à un switchport prestandrd
peut provoquer des boucles, pour cela utiliser la commande « spanning-tree mst pre-standard » sur le port standard.
MST utilise une seul BPDU pour porter tous les informations des instances.
Une trame Ethernet de 1500 octet support 88 instances sans fragmentation.
MST utilise un seul BPDU pour porter tous les informations sur toutes les instances.
Instance 0 appeler IST (Internal Spanning Tree), cette instance toujours existe, sans configuration tous les vlan appartient à cette instance.
MSTP intégré RSTP pour le fonctionnement du protocole. MST réutilise le concept de System ID Extension de IEEE pour l'utilisé
comme numéro d'instance dans le Bridge ID.
BPDU MSTP BPDU utilise la version 3. BPDU inclus le nom de configuration, numéro de révision. Au lieu de portée tous le mappage instance-VLAN MST porte seulemet
le Hash MD5 de ce mappage. Le hash peut être afficher avec la commande « show spanning-tree mst
configuration digest ». Similaire à RSTP, tous les switches générer à chaque intervalle de hello
un BPDU. Toutes les informations MSTP sont transportées en utilisant le format
RSTP BPDU.
Type d'instance MSTP Une IST (internal spanning-tree) par région. Une ou plusieurs MSTI (multiple spanning-tree instance) avec une
région. Une CST (common spanning-tree) par réseau. Une CIST (common internal spanning-tree) pour toutes les régions
MST.
CST Le CST interconnecte la région MST et toute autre instance de 802.D
ou 802.W dans le réseau. Le résultat de CST est une seul instance spanning-tree pour l'ensemble
du réseau. CST détermine la loop-free paths entre les régions. CST voie une région MST comme un switch logique (pseudo bridge). CST est simplement le résultat de l'interaction d'une IST sur bordeur de
la région. CST External Cost est le cout des liens entre les régions et les liens non-
MST.
Région MST Une région est un groupe de switch sous la même administration avec
la même configuration. Deux switch sont considéré dans différent région si un attribut est
différent. Les attributs de la configuration MST inclus :
Nom de configuration (32byte). Numéro de révision. Table de mappage VLAN vers numéro d'instance.
IST
IST est l'instance 0 (MST0). IST est l'instance RSTP qui s'exécute dans la région MST responsable de
crier une topologie Loop-free. Instance 0 est toujours sur tous les liens à l'intérieur d'une région MST. Par défaut tous les VLAN mappé a l'instance 0. IST est la seul instance dans une région qui envoi et reçoit des BPDU. instance 0 élu un Root Bridge appelé IST Root basé sur le Bridge ID le
plus faible. Chaque IST à son propre IST Root Switch. STP hello, forwad delay, max-age timmer peux seulement configurer
pour IST. Best practice de ne pas attribuer user/data VLAN sur l'instance 0. IST est la seul instance qui communique avec un switch STP hors la
région.
MSTI Jusqu'à 16 instances MST peux exister dans une région, numérotée de
0 jusqu'à 15. Ce sont des instances RSTP activé manuellement utilisé par un groupe
de VLAN qui partage la même topologie logique. Tous les MSTI dans la même région partagent les mêmes Timer hérité
de l'IST. Chaque MSTI dispose de son propre paramètre de topologie, inclus le
root bridge, le coût du chemin vers le root ... Les topologies MSTI sont toujours dérivées de la topologie IST. MSTI ne communique pas avec un switch hors de sa région. MSTP BPDU inclus des informations de IST et MRecord pour chaque
actif MSTI. Chaque MRecord contient les informations du Root Bridge et le switch
qui ont envoyé l'information pour cette instance
CIST CIST est une collection de l'IST de chaque région MST (pseudo-bridge)
qui crée une instance inter-région. Pseudo bridge sont présentés par CIST root ou CIST regional Root pour
le calcul STP. Dans chaque région MST, le CST s'intègre avec IST à l'intérieur d'une
région, le résultat de cette intégration est appelé CIST. CIST est l’union entre CST et IST à l’intérieur des régions pour offrire
une seule topologie loop-free pour l’ensemble des switches. CIST élu un CIST Root Switch pour tout la topologie CIST et un CIST
Régional Root Switch pour chaque IST a l’interieur de la région. CIST régional root switch est un nom simplifié pour IST root switch. Le CIST root switch est élue par le Bridge ID le plus faible parmi tous les
switches qui participe dans CIST et aussi le root pour IST à l’intérieur de sa propre région.
Le CIST root switch est automatiquement le CST Root Switch. Le CIST régional Root Switch contient le CIST Root Port pour atteindre
le CIST root switch à l’extérieur de la région, ce port appeler Master Port.
Master Port est un role ajouté pour le port dans MST.
CIST Root CIST est le switch avec le BID le plus faible entre tous les régions. Il se peut être un Boundary ou Internal switch. La région qui contient le CIST Root va avoir tous ces Boundary port CIST
Designated en Forwarding.
CIST internal root path cost est le coût de la liaison intra-région utilisé pour atteindre le root CIST
régionale.
CIST Regional root Est le Boundary switch élu par la région avec CIST external root path
cost le plus faible. Le CIST régional root devient aussi le IST root pour la région. Un Root régional élus un port boundary comme CST Root Port (Master
Port) et bloque les autres boundary ports. Si le régionale Root reçoit un meilleur CIST external root path cost sur
un lien interne, il abandonne le rôle. Le CIST régional Root est également le Root CIST s’il existe qu'une
seule région dans le réseau. CIST external root path cost
est le coût des liaisons inter-région utilisé pour atteindre le CIST Root. Le cout interne du CIST Root est exclu de ce cout externe. BPDU avec external Root path cost sera relier en transparence sur les
ports internes et seulement mis à jour sur les ports Boundary
Boundary bridge Est un switch relié à au moins une autre région MST. il est automatiquement défini quand un BPDU avec des attributs de
configuration différente reçus. Un switch régional non-root peut classer ses ports seulement au CIST
Designated ou CICT Alternate.
BPDU envoyer par les Boundary ports ne contient pas d'informations MRecord, contient seulement des informations sur le CIST Root et le coût de chemin CIST Root.
BPDU échangés à la bordure de la région utilise le VLAN natif. Internal bridge
Est un switch avec tous les ports dans une seule région. TC (topology change) entre régions et STP
Un changement dans une MSTI n'affecte pas autre région MSTI (le MRecord est local a la région).
Un changement CIST affect les pseudo-bridge et ces MSTI, puisque les TC sont propagé vers tous les pseudo-bridges.
interopérabilité MST et 802.1D Entre un switch non-mst 802.1D sans aucune per-vlan STP et un witch
MST. tout la region MST est comme un seul switch logique pour le 802.1D ou
RSTP. le switch logique utilise ces ports de frontière avec IST (MST0) et des
BPDU standard pour parler avec 802.1D.
Interopérabilité MST et Cisco PVST+ IST utilisé comme représentant du MST. IST annonce ces BPDU vers tous les instances PVST+ pour les VLAN
active. Toutes les instances PVST+ doivent recevoir les mêmes informations
IST formaté en PVST+ BPDU.
MST prend VLAN 1 comme représentant de toute la région PVST+. l'interaction de VLAN1 du PVST+ et IST donne le résultat de trois Rôles
de port : Designated, Root et non-Designated. Un port MST de frontière est Designated si le BPDU du IST envoyé est
supérieur au BPDU reçu. Un port MST de frontière est Root port vers le CIST Root Bridge si la
PVST+ BPDU du VLAN1 reçu est supérieur. Un port MST Root et aussi le meilleur sur n'importe quelle port de
frontière. le CIST Root bridge est situer dans la région PVST+, est c'est le root
switch pour VLAN1. Dans un réseau mixte MST et PVST+, il est important que la région MST
apparaitre comme root switch pour toutes les instances PVST+ en réduisant IST Port Priority inférieur à la priorité PVST+ de tous les VLANS
Si un switch Cisco MST est connecté à un PVST+ ou RPVST+ il revient en mode PVST+ sur les frontières.
STP Switch priority, port priority, path cost, STP timerso Affiche "this bridge is root" de la commande "show spanning-
tree".o Affiche la même priorité et adresse MAC sur Root ID et Bridge ID.o Tous ces liens en Designated Forwarding.
Utilisé la commande Primary va modifier la priorité à 24576 si la priorité actuel et plus de 24576 si non elle sera réduit par 4096.
Utilisé la commande secondary va modifier la priorité a 28762.
Root Port Le root switch envoi les BPDU chaque intervalle Hello qui contient RBID,
SBID, RPC, SPID. Chaque Bridge reçoit ce BPDU et ajoute le cout du port local à celle du
BPDU reçue pour déterminer quel port assure le Meilleur cout vers le Switch Root.
L'élection du Root Port est basé suro Le cumule de cout le plus faible vers le Root Bridge (Interface
avec une bande passante plus élevée aura le moindre coût).o Le Upstream switch avec BID le plus faible, Utilisé pour isoler
plusieurs connexions vers le même switch.o Le Port ID le plus fable, qui est port priorité (de 0 à 255, par
défaut 128) et l'index du port. Le cout du chemin est une valeur locale non échangé entre les switches
Upstream ou Downstream. Root Path cost est la valeur cumulée reflétant le coût global pour arriver
au Root. annoncé pour Downstream switch via les BPDUs. Le cout est associé avec l'interface et non par segment. Le Root Switch envoi des BPDU avec un cout égale à 0. Le cout du chemin vers le Root est annoncé vers les Downsteam
switches. Le cout est incrémenté à la réception d'une BPDU, et non à l'envoi. Le switch ne retransmit pas les BPDU sur un port Root ou en état de
Blocking. BPDU reçu sur un port Root est transmis sur le port Designated après la
mise à jour de cout, SBID, SPID, Message Age. BPDU reçu sur un port non-Root traité mais pas retransmis. Le changement du cout est utilisé pour influencer la sélection d'un port
Root vers le Upstream switch, ça affect tous les Downstream switches. La priorité d'un port peut être utilisé pour influencé comment un
Downsteam switch sélectionne sont port Root. Comme le cout a une relation avec la vitesse du lien qui ce dernier
continue d’augmenté, la commande «spanning-tree pathcost method long » pour augmenter la valeur du cout.
Le cout pour 100MB: 19, 10MB : 100, 1GB: 4.
Designated port Un seul switch qui transmis les Hello dans chaque Segment, ce switch est
appelé Desginated Switch. Le port utilisé pour envoyer les BPDU dans le Designated Switch est
appelé Designated Port. Dans chaque segment connecté, le Designated Port est le seul port qui
envoi les meilleurs BPDU dans un segment. Tous les autres ports non-root et non-designated vont être en état de
Blocking. Après que le Root port est déterminé, STP détermine le Designated port
par ces critères :o Le cout le plus faible vers un Root Bridge.o Le Upstream Bridge avec BID le plus faible.o Le port ID le plus faible.
STP port fast, BPDUguard, BPDUfilter RLQ utilise une série de requêtes et réponses pour détecter un échec
indirect d'un lien. Chaque un switch dans le réseau doit activer cette fonctionnalité pour
l'utiliser. Quand le premier Hello est perdu, BackboneFast envoi un paquet RLQ
BPDU du port ou le Hello n'est pas reçu. Les requêtes RLQ transmis par des ports qui normalement reçoivent des
BPDU. A la réception d'une Inferieur BPDU le switch envoi des RLQ PDU sur tous
les ports non-designated à l'exception du port ou Inferieur BPDU reçu, cela pour assurer que le switch reçoit toujours les BPDU de son Root Bridge.
A la réception d'une réponse RLQ, si la réponse est négatif le port perde ça connexion avec le Root Bridge est son BPDU sera invalidé.
Si tous les ports reçoivent des réponses négatif du RLQ, cela confirme que le switch a perdu son Root Bridge ce qui cause à refaire le calcule STP.
RLQ envoyer sur les ports Designated avec le ID du bridge local dans le PDU pour assurer que s’il reçoit une réponse elle ne sera pas retransmise.
RLQ PDU a le même format que STP BPDU.
STP loopguard, rootguard
Loop Guard Similaire a UDLD mais utilise BPDU comme KeepAlive pour déterminer si
le lien est unidirectionnelle. Sans LoopGuard un port bloqué ne reçoit pas de BPDU transit vers le
mode Forwarding. Empêche un port et état de blocage "blocking" face à un autre switch
d'entrer en état Forwarding dans le cas d'un problème unidirectionnel entre les deux switches.
Pendant un problème unidirectionnel des liens, Loop Guard transit le port de Blocking en loop-inconsisent (toujours en mode de blocage).
Une fois le problème unidirectionnel est réglé et le switch commence à recevoir des BPDU et le port change de l'état Loop-Inconsistent vers son état normal.
La reprise vers l'état normale ne nécessite pas l'intervention de l’utilisateur.
Pour la même raison si Loop Guard activé sur une interface Etherchannel alors tous les membres sont bloqué pour le vlan en question.
Activé loopGuard globalement ne l’active pas sur les liens Shared ou Protected.
Activé Loop Guard par interface support les liens Shared. Activer Loop Guard désactive Root Guard sur un port. Loop Guard ne doit pas être activé sur les liens partagé (shared link).
Root Guard Root guard prévient un nouveau switch de devenir un Root Bridge. Configurer dans chaque Downstream port. Root guard blaque les Superioir BPDU et mis le port dans un état
ROOT_INCONSISTANT_STATE qui est égale à l'état Listening. Lorsque ces Superior BPDUs cessent de venir, le port récupère son état
normal automatiquement après que MaxAge expire ou 3*Hello dans RSTP.
SPAN, RSPAN, ERSPAN
SPAN • Utilisé pour rediriger le trafic à partir d'un port ou un VLAN vers un autre dispositif pour l'analyse ou la capture des paquets.• Par défaut le trafic entrant sur le port SPAN de destination sera rejeté.• Le port de destination d'une session SPAN peut être sur le switch local ou sur un autre switch dans le réseau (RSPAN).• La source de SPAN peut être n'importe quel type de port comme Routed port, Switchport, Trunk.
RSPAN (Remote Switchport Analyzer) RSPAN est une fonctionnalité utilisé quand la source est dans différent switch
physique. Dans le mode RSPAN, un VLAN spécifique pour le RSPAN doit être configuré et
existé dans tout au long du chemin entre la source et la destination. L'apprentissage des adresses MAC est désactivé pour le VLAN RSPAN. Le STP s'exécute sur le VLAN RSPAN mais pas dans le port de destination. Le VLAN RSPAN ne peut pas être de type Private VLAN (Primaire ou
secondaire).
Restrictions and Conditions for SPAN and RSPAN:
• Après la configuration de la destination SPAN sur un Port, sa configuration d'origine est écrasée. Si la configuration du SPAN est retirée, la configuration d'origine sur ce port est restaurée.•Un port de destination SPAN ne supporte pas le mode Port Security, authentification 802.1X, Private VLAN et les protocole de couche deux comme : CDP,STP,VTP,DTP
o SPAN ne supporte pas le mélange des sources entre des ports et des VLAN.
o SPAN support jusqu'à 64 ports de destination et deux SPAN source (local SPAN ou RSPAN).
o SPAN ne supporte pas que le trafic de destination soit destiné à un port et un VLAN SPAN pour le RSPAN.
o Un port SPAN source ne peut pas être SPAN destination et vice versa.
o Il y a que SPAN/RSPAN qui peut envoyer de trafic vers un port SPAN Destination
o Il est possible de monitoré plusieurs ports sources avec une seule session.
o Il est possible de limité le trafic monitoré d'un Trunk en fusant le filtrage des VLANs
o SPAN peut être configuré pour monitorer le trafic transmis ou juste le trafic reçue.
Le trafic reçue RX : délivre tous trafic avant tout modifications (ACL, VACL, QoS)
Trafic transmit TX : délivre tous trafic après les modifications (ACL, VACL, QoS)
o SPAN généralement ignore le CDP,STP BPDU, VTP,DTP,PAGP mais il peut être transmis avec la commande "encapsulation replicate "
ERSPAN ( Encapsulated Remote Switched Port Analyzer ) ERSPAN n'est pas supporté par les interfaces niveau 2. Sur un routeur Cisco ASR 1000, ERSPAN prend en charge des paquets
encapsulés jusqu'à 9180 octets, MTU par défaut est 1500. ASR1000 support un maximum de 1024 session ERSPAN. Le nombre maximum de ports disponibles pour chaque session ERSPAN
est 128. ERSPAN sur Cisco ASR1000 prend uniquement en charge FastEthernet,
Gigabit Ethernet, TenGigabit Ethernet et des interfaces Port-Channel pour la source de la session.
Une session source ERSPAN est définie par les paramètres suivants:Un ID de sessionListe des ports source ou VLAN source à surveiller par la sessionLes adresses IP source et destination qui sont utilisés comme les adresses d'encapsulation par GRE pour le trafic capturé.ID de flux ERSPANLes attributs facultatifs, comme le type de service IP (TOS) et Time to Live (TTL)
Une session de destination ERSPAN est définie par ce qui suit:session ID.Ports de destination.Adresse IP source , qui est la même adresse de destination de la session de source.ID de flux ERSPAN, qui est utilisé pour faire correspondre la session de destination de la session source.
Les interfaces suivantes sont supportées comme port source de la
session :GREIPinIPIPv6IPv6 over IP tunnelMultipoint GRE (mGRE)Secure Virtual Tunnel Interfaces (SVTI)Serial (T1/E1, T3/E3, DS0)Packet over SONET (POS) (OC3, OC12)Multilink PPP
VSS concepts
VSS VSS est utilisé pour combiner une paire de switches dans un switch
logique, les switches dans la couche accès se connectent vers les deux switches VSS de distribution en utilisant un seul Port-Channel.
Le VSS prend en charge la gestion de redondance et de partage de charge sur la Port-Channel .
VSS Active et Standby sont les deux rôles attribués au pair de switches VSS.
VSS Active Switch contrôle le VSS Control Protocole et le mangement des switches (interface console)
VSS Standby envoi tout le trafic de control vers le VSS active pour le traitement.
VSL (Virtual Switch Link) Le VSL est un lien spécial qui porte le trafic de control et des données
entre les switches VSS, le VSL est implémenté comme EtherChannel. Le VSL support 512 Etherchannel. VSS support 256 Etherchannel. VSL supprime toutes les configurations existantes de l'interface à
l'exception quelques commandes spécifiques. VSS active la création de Multichassis EtherChannel (MEC) qui est une
interface Port-Chanel standard avec des ports membres distribué entre les switches VSS
Alternative to STP
FlexLinks Utilisé comme alternative de STP dans un environnement ou les boucles
niveau 2 peuvent arriver. Flex Link est une paire d'interface niveau 2 ou une interface configuré
comme backup à l'autre. Flex Link généralement utilisé par les ISP ou les clients qui ne veulent pas
exécuter le STP dans leurs réseaux. Le lien backup est dans l'état Standby en attente du "Line Protocol" du
lien active d'être Down avant de devenir UP .
Quand le lien actif redevient UP, le lien Backup devient Standby. STP est automatiquement désactivé dans les deux liens quand Flex Link
est activé et aucune BPDU n'est propagé. Le temps de convergence avec Flex Link est 50 millisecondes. Flex Link supporte uniquement les ports niveau 2 et PortChannel. Un seul lien backup pour chaque lien active. Le lien Backup n'as pas besoin d'être de même type avec le lien active. Configuré avec la commande "switchport backup interface fastethernet
0/1" La commande “show interface switchport backup“ pour afficher le statut. Flex Link prend ces actions dans le cas où le lien primaire subi un échec :
a. Détecter la panne.b. Déplacer les adresses MAC unicast dynamique appris dans le lien
primaire vers le lien Standby.c. Change l'état du port standby en Active.d. Transmit une trame Dummy Multicast sur le nouveau port active
avec destination 01:00:0c:cd:cd:cd et l'adresse du Host comme source avec une trame Dummy pour chaque adresse MAC.
Une interface appartient à une seule paire Flex Link. Port-channel est supporté comme active ou backup pour le Flex Link. Il est recommandé que les deux liens actifs et standby portent les
mêmes configurations. Les fonctionnalités suivant ne doivent pas être configuré sur les ports
Flex Link :o Bridge Assuranceo UplinkFasto BackboneFasto EtherChannel Guardo Root Guardo Loop Guardo Flex Links et Port Security ne sont pas compatible.o Les adresses statiques MAC unicast qui sont configurés sur le lien
primaire ne sont pas déplacées vers la liaison de secours.
Stackwise StackWise créant ainsi une unité de commutation unique Les commutateurs sont regroupés en une unité logique unique en
utilisant des câbles spéciaux d'interconnexion de pile créant ainsi un chemin bidirectionnel de type anneau.
Les informations de configuration et de routage sont partagées par tous les commutateurs de la pile
Des commutateurs peuvent être ajoutés et supprimés d'une pile en service sans en affecter les performances.
Chaque commutateur de la pile peut agir en tant que maître ou subordonné dans la hiérarchie.
Le commutateur maître est choisi et sert de centre de contrôle pour la pile.
Le commutateur maître crée et met à jour automatiquement toutes la table de commutation et optionnellement les tables de routage.
Le commutateur maître est responsable du téléchargement des tables de transmission vers chaque commutateur subordonné.
Un numéro est attribué à chaque commutateur. Jusqu’à neufs commutateurs peuvent être regroupés au sein d'une
même pile. Le trafic envoyé en équilibrage de charge à travers l’anneau
d’interconnexion de la pile. les paquets sont répartis entre deux chemins logiques dont les sens de
transmission sont inversés. Chaque chemin prend en charge un trafic de 16 Gbit/s pour un total de
32 Gbit/s de trafic bidirectionnel. Les critères de sélection du commutateur maître suivent une
hiérarchie : 1. Priorité utilisateur : l’administrateur réseau peut sélectionner le commutateur qui sera maître.2. Priorité logicielle et matérielle : par défaut, l'unité dont l'ensemble des fonctions est le plus étendu, est choisie.3. Configuration par défaut : si un commutateur dispose déjà d'informations de configuration, il sera prioritaire.4. Temps de fonctionnement : le commutateur qui fonctionne depuis le plus longtemps est élu.5. Adresse MAC : Le commutateur qui a la plus petite adresse MAC est choisi.
Compatibility between MST and RSTP
Dans un réseau mixte MSTP et PVST+, CST root doit être à l'intérieur de backbone MST, et le switch PVST + ne peut pas se connecter à plusieurs régions MST.
Lorsqu'un réseau contient un switch fonctionnant rapide PVST+ et switch fonctionnant PVST+, il est recommandé que le switch rapide PVST+ et PVST + configurés pour différentes instances Spanning Tree.
Dans l’instance rapide PVST+, le switch root doit être un switch rapide PVST+.
Dans le PVST+, le switch root doit être un switch de PVST+. Les switch PVST+ devraient être sur le Edge du réseau.
STP dispute, STP bridge assurance
STP dispute Le problème STP dispute est causée par deux ports sur un seul lien
announce eux-mêmes comme étant Designated dans leur BPDU. Quand un port Designated détecte un conflit, il conserve son rôle, mais
revient à un état de Discarding. STP Dispute intégre RSTP/MST est ne requis aucune configuration.
Bridge Assurance Bridge Assurance est prise en charge uniquement par Rapid PVST + et
MST sur des liens P2P pour se protéger contre une défaillance de liaison unidirectionnelle ou autre panne de logiciel.
Bridge Assuranceest activé par défaut sur les liaisons point-à-point et ne peut être désactivée globalement.
Les deux extrémités de la liaison doivent avoir Bridge Assurance activée, sinon le port de connexion est bloqué.
Avec Bridge Assurance activée, BPDUs sont envoyés sur tous les ports réseau opérationnels, y compris les ports alternate et blocked, pour chaque période de temps Hello.
Si le port ne reçoit pas un BPDU pour une période déterminée, le port transit vers un état inconsistent (blocage). et le port n'est pas utilisé dans le calcul du port root.
Une fois que le port reçoit un BPDU, il reprend les transitions normales.
2.2 Layer 2 multicast
IGMPv1, IGMPv2, IGMPv3
IGMP (Internet Group Management Protocol) IGMPv1 RFC1112, IGMPv2 RFC2236, IGMPv3 RFC3376 IGMPv1 et V2 utilise protocole numéro 2, avec un TTL de 1 Le but principal de IGMP est d’informé le routeur de Multicast local
que un Host veut recevoir un trafic Multicast pour un group spécifique ou il veut quitter ce groupe.
Utilisé pour enregistré dynamiquement des hotes particulier sur des groupes de multicast.
IGMP est activé automatiquement lorsque PIM est activée. Un host informe le routeur de multidiffusion locale de son besoin de
recevoir le trafic pour un groupe spécifique de multidiffusion. un hôte informe aussi le routeur de multidiffusion locale qu'il veut
quitter un groupe de multidiffusion. Les routeurs multicast envoi des requêtes périodiquement pour
découvrir quels groupes sont actifs ou inactifs sur un sous-réseau particulier.
En rejoignant un groupe, l'adresse MAC de multidiffusion est calculée et la NIC de l'hôte va commencer l'écoute pour cette adresse MAC multicast.
Adresses Multicast L3 Internet Assigned Numbers Authority (IANA) control l'attribution des
adresse IP multicast dans la plage de la class D 224.0.0.0 au 239.255.255.255.
Reserved link local (224.0.0.0/24) utilisé par les protocoles de routage.
Globally scoped addresses utilisé entre organisation à travers l’internet, 224.0.1.1 réservé pour NTP.
Source Specific Multicast Addresses 232.0.0.0/8, extension de PIM SSM.
Glop 233.0.0.0/8 utilisé par le AS réservé, numéro AS include dans 3 et 4 octet
Glop avec AS62010 (F23A , F2=242 et 3A=58) 233.242.58.0/24. Limited scope address ou administratively scoped addresses
239.0.0.0/8 utilisé localement dans l’entreprise ou domaine.
Adresses Multicast L2 Dans la norme 802.3 le premier bit pour indiquer un
multicast/briadcast ou unicast.
IANA est propriétaire du bloc de 25 bit MAC 01:00:5E (de 0100.5e00.0000 au 0100.5e7f.ffff).
L’allocation des 23 bit qui reste est des derniers 23 bit de l’dresse niveau 3.
A cause des 5 bit perdu lors de la conversion, l’adresse MAC n’est pas unique, 224.1.1.1 et 225.1.1.1 mappe vers la même adresse.
IGMPv1
Dans version 1, seulement deux types de messages existent o Membership queryo Membership report
Le routeur envoi périodiquement IGMP membership query pour vérifier au moins un host sur le réseau est intéressé par le trafic multicast.
Le routeur envoi des requêtes IGMP à l'adresse multicast "all-hosts" de 224.0.0.1 pour solliciter des groupes multicast avec des récepteurs actifs.
Quand aucune réponse pendant 3 IGMP membership query le routeur Timeout le group et arrête d’envoyer le trafic vers le group.
Le host envoi Memebership report qui correspond à un group particulier pour indiquer qu’il est intéressé du trafic de ce groupe.
Les hôtes peuvent envoyer Memebership report pour réponse à des requêtes IGMP Membership Query envoyés par le routeur.
Si plusieurs hosts pour le même groupe de multicast, un seul de ces hôtes envoie le message IGMP Membership Report; les autres hôtes suppriment leurs messages de Membership report.
IGMPv1 n'a pas de mécanisme spécial par lequel les hôtes peuvent quitter le groupe.
Si les hôtes ne sont plus intéressés à recevoir des paquets de multicast pour un groupe particulier, tout simplement ils ne répondent pas aux paquets de IGMP Membership Query envoyés.
Si le routeur ne va pas entendre une réponse sur les trois requêtes IGMP, il arrête d'envoyer des paquets multicast sur le segment pour le groupe.
Si l'hôte veut plus tard recevoir des paquets multicast après le délai d'attente, l'hôte envoie simplement un message IGMP join.
IGMPv2 IGMPv2 améliore les capacités des messages de requête de IGMPv1. IGMPv2 et V1 sont compatibles.
Type :o Membership Query (type code =0x11) :
Utilisé par le routeur multicast pour découvrir la présence des membres de groupes dans un réseau
Une General Query Membership met le champ Group Address à 0.0.0.0.
Un group Spécific Query mit le champ Group Addrese à l’adresse du groupe interrogée, envoyé par le routeur quand il reçoit IGMPv2 Leave Group.
o Version 1 Membership Report (type code =0x12) Utilise par IGMPv2 pour la compatibilité avec IGMPv1
o Version 2 Membership Report (type code =0x16) Envoyer par les membres de group pour informer le
routeur qu’au moins un membre du groupe existe dans le réseau.
o Leave group (type code =0x17) Envoyer par les membres d’un groupe s’il est le dernier
membre du groupe pour informer le routeur qu’il va quitter le groupe.
Maximum Reponse Timeo Inclut dans les messages Query, l’unité est 1/10 de second, avec
100 comme valeur par défaut (10s), plage de valeur de 1 à 255 (0.1 à 25.5).
Checksumo Checksum est calculé de tout le Payload IP ne seulement l’ente
IGMP. Group Address
o Valeur à 0.0.0.0 dans General Query Message et à l’adresse de Group dans Group Specific Message.
Par rapport à IGMPv1, IGMPv2 a les spécifications suivantes : o Leave Group Message : offre au Host une méthode pour
notifier le routeur qu’il vaut quitter le groupeo Group Specific Query Message : permet au routeur d’envoyer
une requête a un group spécifique au lieu à tous les groupes.o Champs Maximum Response Time : un champ dans les
messages Query permet au routeur de spécifier le MRT, ce champ permet au host d’optimisé le temps de réponse de Host Membership Report en répartissant les réponses sur une période de temps.
o Query Election Process : offre une méthode pour sélectionner le routeur préféré pour l’envoi des messages quand multiple routeur connecté sur le même réseau.
IGMPv2 Host Membership Query
Un routeur Multicast envoi Host Membership Query chaque 60s avec TTL=1 sur l’interface LAN pour déterminer s’il y a des membres de groupe de multicast et utilise l’adresse IP de destination 224.0.0.1 et 01-00-5E-00-00-01 avec l’adresse IP et MAC source du routeur.
IGMPv2 Host Membership Report Les hosts utilisent IGMPv2 Host Membership Report pour répondre
aux requêtes IGMP Query afin de communiqué au routeur local le Groupe Multicast qu’il veules recevoir le trafic pour.
IGMPv2 Solicited Host Membership Report and report supression Si plusieurs hosts lance l’application de Multicast, et tous répond
en même temps au Host Membership Query par Membership Report, le routeur sera saturé par un trafic non nécessaire.
Un routeur Multicast a besoins de recevoir seulement un seul rapport pour chaque application par interface.
Le mécanisme Report Supression utilise un Timer du Maximum Response Time MRT pour supprimer les messages IGMP Report non nécessaire.
Query response Interval est un temps aléatoire entre 0 est MRT démarré par le host après la réception d’un Message Query, dès que l’intervalle est terminé le host répond à la requête par
Membership Report.
H1 et H3 ont reçue IGMPV2 Query et ils doivent envoyer Solicited Host Membership Report.
H1 prend un MRT de 3 et H3 un MRT de 1 aléatoirement. H3 Timer expire dans 1s, il prépare pour envoyer Solicited Host
Membership Report avec TTL 1, destination IP 226.1.1.1, source IP 10.1.1.3, destination MAC 01:00 :5E :01 :01 :01 pour dire au routeur qu’il veut recevoir le trafic pour le group 226.1.1.1.
Les Host H1, H2 et R2 voient le message Membership Report du H3 mais seulement H1 et R1 traite le rapport, H2 n’écoute pas l’adresse MAC 01:00 :5E :01 :01 :01.
H1 réalise que H3 envoi le rapport pour le même groupe, alors H1 n’envoie pas son rapport.
R1 a reçue maintenant un Solicited Membership Report sur son Fa0/0.
IGMPv2 Unsolicited Host Membership Report Un host n’as pas besoins d’attendre pour le Host Membership Query
du routeur. Un host peut envoyer Unsolicited Host Membership Report à
n’importe quel moment quand un utilisateur lance une application Multicast.
Cette fonction réduit le temps d’attendre pour un host pour recevoir le trafic multicast.
IGMPv2 Leave group and Group-Specific Query Message Les messages IGMPv2 Leave Group utilisé pour réduire leave Latency IGMPv2 Group-Specific Query empêche un routeur de stopper
incorrectement d’envoyer les paquets quand un host quitte le groupe. Quand un host IGMPv2 quitte un groupe, il envoi message Leave
Group à 224.0.0.2. Quand un routeur IGMPv2 reçoit un message Leave Group, il envoi
immédiatement un message Group-Specific Query pour ce groupe. Le message Group-specifc Query demande seulement si au moins un
host veut recevoir le trafic multicast pour ce groupe particulier. Comme résultat le routeur sache rapidement si il envoi le multicast ou
non. L’avantage IGMPv2 sur V1 est que dans moins de 3s il conclut que le
host à quitter le group alors dans IGMPv1 ça prend 3 minute, jusqu’à le timeout.
La RFC mentionne que seulement le dernier host qui envoi le message Leag Group, alors que les constructeur utilise à chaque host qui quitte le groupe envoi Leag Group.
H1 envoi IGMPv2 Leave Group vers l’adresse multicast de destination 224.0.0.2 pour indiquer qu’il veut quitter le groupe.
R1 envoi Group-Specific Query vers l’adresse multicast de destination 226.1.1.1 pour vérifier si un autre host veut recevoir le trafic multicast
H3 entend la requet Group-Specific Query et envoi Membership report pour informer le routeur qu’il est toujours membre du groupe 226.1.1.1.
Quand H3 est le dernier host qui quitte le groupe multicast, il envoi Leave Group et R1 envoi en retour Group-Specific Query mais aucun autre host ne répond, comme résultat R1 arrête d’envoyer le trafic sur son interface Fa0/0.
Quand le routeur envoi Group-Specific Query est aucun message Membership report reçue dans l’intervalle Laste Member Intervalle Count il renvoi le message Group-Specific Query le nombre de fois spécifié dans la valeur Laste Member Query Count.
La valeur par défaut de Member Query Count est 2.
IGMPv2 Timer Query interval (Cisco 60s, RFC 125s) :
o Temps entre Genral Query envoyer par le routeur. Query Response Interval (10s)
o Temps aléatoire inférieur au a cette valeur pour un host pour répondre à General Query.
Other Querier Present Interval (RFC) or Querier Timeout (Cisco) 120so si un routeur non-Querier ne reçoit pas IGMP Query d’un
Querier il conclut qu’il est mort. Last Member Query Interval et Last Member Query Count
o La valeur détermine combine de temps le routeur croit que
tous les hosts ont quitté un group multicast particulier.o le routeur utilise le processus suivant :
1. Envoi Group-Specific Query en réponse à IGMP Leave.1. Sans aucune réponse n’est reçue dans Last Member
Query Interval répété l’étape numéro 1.2. Répété l’tape numéro 1 le nombre de fois dans la valeur
Last Member Query Count (2 par défaut). Version 1 Router Present Timeout (400s)
o Si IGMPv2 ne reçoit pas IGMPv1 Query le routeur conclut qu’il n y a pas de host IGMPv1, est-il envoi seulement les messages en V2.
Query Timeouto 2x Query intervalo Si le routeur non-querier ne reçoit pas Query pendant ce
temps, l’élection de Querier est relancée.
IGMPv1 et IGMPv2 interopérabilité IGMPv2 Host and IGMPv1 Router.
o Quand un host IGMPv2 envoi un Membership Report avec code type 0x16, un routeur IGMPv1 considère ce message invalide et il le rejette.
o Un host IGMPv2 doit envoyer les messages en V1 et V2.o Le host détecte que le routeur est en IGMPv1 quand le routeur envoi
des messages Query est dans le champ MRT la valeur est à 0. IGMPV1 host and IGMPv2 router
o Le routeur IGMPv2 détecte facilement la présence des hosts IGMPv1 dans les messages Report (Type0x12)
o Quand un routeur IGMPv2 envoi des messages périodique, les host en IGMPv1 répond normalement puisque les messages ont le même format à l’exception du deuxième octet ignoré par IGMPv1.
Comparaison IGMPv1, IGMPv2, IGMPv3
IGMPv3
IGMPv3 ajoute le support de filtrage par source, qui permet à un hôte récepteur de multicast pour signaler à un dispositif quelle groupe il veut recevoir le trafic et à partir de quelles sources de ce trafic est attendue.
Cette fonction de filtrage est appelée SSM (source specifique multicats),SSM utilise la plage 232.0.0.0/8.
Cette information d'adhésion permet au logiciel pour transférer le trafic uniquement à partir des sources dont récepteurs demandé le trafic.
Avec IGMPv3, les récepteurs signalent appartenance à un groupe de multidiffusion dans les deux modes suivants:
INCLUDE mode- le récepteur annonce les membres d'un groupe et fournit une liste d'adresses IP (la liste INCLUDE) à partir de laquelle il veut recevoir le trafic.
EXCLUDE mode- le récepteur annonce les membres d'un groupe et fournit une liste d'adresses IP (la liste EXCLUDE) dont il ne veut pas recevoir le trafic.
Pour recevoir le trafic provenant de toutes sources, comme dans le cas du modèle de service Internet standard Multicast (ISM), un hôte exprime le mode EXCLUDE avec une liste EXCLUDE vide.
IGMPv3 est le protocole standard désigné de l'industrie pour les hôtes pour signaler abonnements à un canal dans un environnement de réseau de SSM.
pour que SSM relai sur IGMPv3, IGMPv3 doit être disponible dans la partie pile réseau des systèmes d'exploitation.
Dans IGMPv3, hôtes envoient leurs rapports d'appartenance à 224.0.0.22; tous les dispositifs de IGMPv3, par conséquent, doivent écouter à cette adresse.
Les Hôtes, cependant, ne doivent pas écouter ou de répondre à 224.0.0.22; ils envoient seulement leurs rapports à cette adresse.
En outre, IGMPv3, il n'y a pas de suppression de rapport d'appartenance parce que les hôtes IGMPv3 n'écoutent pas les rapports envoyés par d'autres hôtes.
Par conséquent, quand une requête générale est envoyé, tous les
hôtes répondre.
IGMP Join Process Quand un hôte veut se joindre à un groupe de multidiffusion, l'hôte
envoie un ou plusieurs unsolicited membership reports d'adhésion pour le groupe qu'il veut rejoindre.
Le IGMP processus est le même pour les hôtes IGMPv1 et IGMPv2. Dans IGMPv3, le processus pour rejoindre hôtes se déroule comme
suit:o Quand un hôte veut se joindre à un groupe, il envoie un rapport
d'adhésion IGMPv3 à 224.0.0.22 avec une liste EXCLURE vide.o Quand un hôte veut se joindre à un canal spécifique, il envoie
un rapport d'adhésion IGMPv3 à 224.0.0.22 avec l'adresse de la source spécifique inclus dans la liste INCLUDE.
o Quand un hôte veut se joindre à un groupe exclusion des sources particulières, il envoie un rapport d'adhésion IGMPv3 à 224.0.0.22 excluant ces sources dans la liste EXCLUDE.
IGMP Leave Process IGMPv1 Leave Process
o Il n'y a pas un message leave-group dans IGMPv1o L'hôte arrête simplement le traitement de trafic pour le groupe
de multidiffusion et cesse de répondre aux requêtes IGMP avec IGMP membership reports pour le groupe.
o En conséquence, les dispositifs de IGMPv1 savent qu'il ya plus aucun récepteurs actifs lorsque les appareils cessent de recevoir membership reports.
o Pour faciliter ce processus, IGMPv1 associer un compte à rebours avec un groupe IGMP Quand un rapport d'appartenance est reçu il est qaremise à zéro.
o Pour les appareils IGMPv1, cet intervalle de temporisation est généralement trois fois l'intervalle de requête (3 minutes).
o Cet intervalle de temporisation signifie que l'appareil peut continuer à transférer le trafic de multidiffusion sur le sous-réseau pour jusqu'à 3 minutes après tous les hôtes ont quitté le groupe de multidiffusion.
IGMPv2 Leave Processo IGMPv2 intègre un message leave-group qui fournit les moyens
pour un hôte pour indiquer qu'il souhaite cesser de recevoir le trafic multicast pour un groupe spécifique.
o Quand un hôte IGMPv2 quitte un groupe de multidiffusion, si il était le dernier pour répondre à une requête avec un rapport d'appartenance à ce groupe, il envoie un message leave-group au groupe all-devices(224.0.0.2).
IGMPv3 Leave Process
o IGMPv3 améliore le processus de leave en introduisant la possibilité pour un hôte de cesser de recevoir le trafic d'un groupe particulier,
o la source ou canal dans IGMP en incluant ou excluant des sources, des groupes ou des canaux dans les rapports d'adhésion IGMPv3.
Cisco Group Management Protocol CGMP CGMP est un protocole niveau 2 qui permet au routeur to
communiqué les informations qui il a par IGMP comme adresse MAC et groupe multicast vers le switch.
Le but du CGMP de transmettre ces informations vers le switch, pour que le switch modifier sa CAM.
Seulement le routeur qui transmit les messages CGMP. CGMP doit être activé sur le switch est le routeur.
RGMP RGMP peut être utilisé par le routeur pour annoncer au switch
d’envoyer seulement le trafic pour un groupe multicast particulier
IGMP snooping IGMP Snooping permet le logiciel d'un commutateur pour espionner
les conversations entre les hôtes de multidiffusion IGMP et le routeur. Le commutateur examine les messages IGMP et apprend
l'emplacement des ports des routeurs de multidiffusion et les membres du groupe.
IGMP querier
IGMP défnint un processus de sélection d’un seul Routeur Querier quand multiple routeurs sur le même segment.
Quand les routeurs IGMP démarre, ils envoient General Query Message vers l’adresse 224.0.0.1.
Le routeur compare l’adresse source dans le paquet Genral Query avec son interface.
Le routeur avec l’adresse IP la plus faible est sélectionné comme un IGMP Querier.
Quand le Querier n’envoie pas de Query pendant un intervalle de deux fois Query plus demi l’intervalle d’une Query Response Intervall un nouveau Querier est élue.
RFC réfère à ce intervalle « Other Querier Present Interval » égale à (2x125)+(10/2) = 255s.
IGMP filter IGMP Filtering permet à l’utilisateur de configure pour contrôlé la
propagation de trafic IGMP à travers le réseau. IGMP contrôle l’accès à un port au trafic multicast, l’accès peut être
restreint par : o Quel groupe peut rejoint sur un port particuliero Nombre maximum de groupe autorisé sur un port particuliero La version du protocole IGMP
utiliser SSM avec un IGMP extended access list (ACL) vous permet d'autoriser ou de refuser source S et le groupe G (S, G) dans IGMPv3 rapports, filtrant ainsi les rapports de IGMPv3 basé sur l'adresse source, adresse de groupe, ou de la source et l'adresse de groupe
IGMP proxy Un proxy IGMP permet aux hôtes dans un environnement liaison
unidirectional link routing (UDLR) qui ne sont pas directement connecté à un routeur downstream à se joindre à un groupe de multidiffusion provenant d'un réseau upstream.
1 utilisateur envoie un membership report IGMP demandant intérêt dans le groupe G.
2 Routeur C envoie un message PIM Join à la RP (routeur B). 3 Le routeur B reçoit le message Join PIM et ajoute une entrée pour le
groupe G sur le LAN B. 4 Routeur B vérifie périodiquement sa table de mroute et proxi le
IGMP membership report à son device upstream UDL à travers la liaison Internet.
5 Le routeur A créé et maintient une entrée sur la liaison unidirectionnelle (UDL).
MLD
MLD est un protocole IPv6 qu'un hôte utilise pour demander des données de multicast pour un groupe particulier.
MLDv1 est dérivé de IGMPv2 et MLDv2 est dérivé de IGMPv3. IGMP utilise le protocole IP 2, alors que MLD utilise le protocole IP 58,
qui est un sous-ensemble des messages ICMPv6. Le processus MLD est démarré automatiquement sur l'appareil. Vous ne pouvez pas activer MLD manuellement sur une interface. MLD est automatiquement activé lorsque vous effectuez l'une des
tâches de configuration suivantes sur une interface:o Enable PIM6o Statically bind a local multicast groupo Enable link-local group reportso MLD Versionso MLD Basics
PIM snooping Dans les réseaux où un switch niveau 2 interconnecte plusieurs
routeurs, comme un point d'échange Internet (IXP), le commutateur inonde les paquets de multicast IP sur tous les ports de routeur de multidiffusion par défaut, même si il n'y a pas de récepteurs de multidiffusion downstream.
Avec PIM snooping activée, le commutateur limite paquets multicast pour chaque groupe ou les ports de routeur membre de ce groupe.
Lorsque vous activez Pim Snooping, le commutateur apprend les ports de routeur de multidiffusion qui doivent recevoir le trafic dans un VLAN spécifique en écoutant les messages PIM hello, PIM rejoindre et les messages prune et PIM designated election process.
IGMP snooping doit être activé pour que PIM snooping marche. PIM Snooping désactivé par défaut. Trafic en mode de Dense est considéré comme trafic inconnu et est
rejeté. Les groupes AUTO-RP (224.0.1.39 et 224.0.1.40) sont toujours inondés. Tout routeur non-PIMv2 recevra tout le trafic.
2.3 Layer 2 WAN circuit technologies
Implement and troubleshoot HDLC
Cisco HDLC (aussi appelé cHDLC) est un protocole de transmission synchrone sur lien série.
Il est au niveau 2 du modèle OSI. C'est une extension du protocole High-Level Data Link Control (HDLC)
développé par Cisco. Souvent décrit comme propriétaire car non standardisé, il est, en fait,
ouvert et largement distribué. D'autres constructeurs de matériel que Cisco utilisent ce protocole.
Trame cHDLC Cette table décrit l'organisation de la trame cHDLC.
Address ControlProtocol
CodeInformation (FCS) Flag
8 bits 8 bits 16 bits
Variable
length, 0 or
more bits, in
multiples of 8
16 bits 8 bits
Le champ address est utilisé pour indiquer le type de paquet : 0x0F Unicast et 0x8F Broadcast.
Le champ control est toujours à zéro (0x00). Le champ protocol indique le type de protocole encapsulé dans la
trame cHDLC (par exemple 0x0800 pour Internet Protocol).
Implement and troubleshoot PPP
PPP Overview
PPP est une suite de protocoles fonctionnant dans la couche de liaison
de données, utilisées pour établir une connexion entre deux nœuds réseau sur de différentes connexions physique.
PPP a été conçu pour transporter le trafic sur des liaisons synchrones et asynchrones.
PPP est une technologie niveau 2 riche de fonctionnalités qui comprend les éléments suivants :
o Un mécanisme de détection d'erreur intégré.o Le suivi de la qualité d'une liaison avant l'envoi d'une trame.o Capacité à encapsuler le trafic sur des liaisons WAN de niveau 2
comme Ethernet, Frame Relay, ATM.o Offres authentification en utilisant divers protocoles
d'authentification, y compris PAP, CHAP, EAP.o Support le cryptage, la compression et l'agrégation de liens.
PPP Operation Méthode d'encapsulation
o PPP prend datagrammes de couche supérieure, tels que IP et les encapsule pour la transmission sur le lien de la couche physique sous-jacente
o PPP définit un format de trame spécifique pour l'encapsulation de données qui est basé sur la méthode de tramage HDLC
o Une trame PPP est de petite taille et ne contient que des champs simples pour maximiser l'efficacité de la bande passante et la vitesse
o Seulement 8 octets supplémentaires sont nécessaires pour former l'encapsulation
LCP (Link Control Protocol)o LCP est responsable de la mise en place, maintenir et terminer
le lien entre les routeurs.o LCP est un protocole flexible et extensible qui échange des
paramètres de configuration pour s'assurer que les deux routeurs finals sont d'accord sur la façon dont le lien sera utilisé.
o LCP peut invoquer un protocole d'authentification, se il est configuré.
o LCP détecte les problèmes de configuration et détecte un lien bouclé.
o Link Quality Monitoring : utilisé pour échanger les statistiques sur le pourcentage des trames reçus sans erreur, sans le pourcentage et sous la valeur configuré le lien est coupé.
o Layer 2 load balancing avec Multilink PPP MLP
NCP (Network Control Protocol)o NCP est une famille de protocole qui manage des besoins
spécifique par les protocoles de couche réseau o Lorsqu’IP est utilisé sur PPP, le NCP utilisée est le IPCP (Internet
protocole de contrôle de protocole)o IPCP effectue la configuration spécifique de la couche réseau
requis avant que le lien peut transporter trafic IP IPCP (internet Protocol control protocol)
o IPCP est seul responsable de la liaison IP de la connexion.o IPCP négocier deux options : compression et l'adressage o IPCP utilise les mêmes formats de paquets que LCPo une liaison IPCP fonctionne sur une liaison de LCP
The PPP finite state machine (process of setting up, using and closing a PPP link) can be described as follow
o Link Dead Phase une liaison PPP commence et se termine toujours dans
cette phase dans cette phase, il n’y a pas de lien physique établi
entre les deux routeurs
o Link Establishment Phase LCP est utilisé pour établir une connexion par l'échange
des paquets routeur-A envoie un message configure-request vers le
routeur-B en précisant les paramètres qu'il souhaite utiliser
l'une des options suivantes pourraient être inclus : MRU (Maximum-receive-unit) est la taille
maximale de datagramme Protocole d'authentification à utiliser Qualité-protocole pour permettre la surveillance
de la qualité de la liaison Nombre Magique est utilisé pour détecter les
liens en boucle ou d'autres anomalies Multilink PPP qui ajoute plusieurs de ses propres
options si routeur-B accepte toutes les options demandées, il va
répondre avec un configure-Ack si routeur-B n’est pas d'accord, il répond par un
configure-nak. si routeur B ne reconnaît pas certaines des options, il
répond avec configure-rejeter. si routeur A et B s’entendre sur les paramètres, le LCP
est considéré comme ouvert et la phase lancée. si routeur A et B ne peuvent pas s’entendre sur les
paramètres, le lien physique est terminée et la phase rétablie a Link Dead Phase.
o Optionnel authentification Phase si l'authentification est configurée, le protocole
configuré sera employé se il est configuré et l'authentification réussie, le lien
passe à la phase IPCP se il est configuré et l'authentification n’est pas réussie,
le lien échoue et la transition vers la phase Link Dead Phase
o Network Layer Protocol Phase Une fois la configuration de base de liaison est
terminée, IPCP est utilisé pour mettre en place un lien NCP IP entre les deux routeurs
Cela se fait en utilisant les messages configure-request IPCP pour configurer les options suivantes:
Adresse IP : utilisée pour demander une adresse IP ou pour envoyer l'adresse IP utilisée.
IP-Compression-Protocol permet au routeur de négocier l'utilisation de la compression de l'entête TCP et IP.
le routeur de réception peut renvoyer un IPCP configure-Ack, un IPCP configure-Nak ou un IPCP configure-Rejeter
si CDP est activé, la négociation CDP se produit également en phase NCP
après que la phase IPCP est terminée, le lien passe à l'état Open State
o Link Open Phase dans cet état le lien LCP et IPCP sont ouverts et
opérationnels
IPCP default routeo PPP peut aussi insérer une route par défaut à chaque fois que la
négociation IPCP dynamique réussito cela ne peut être configuré en utilisant une interface virtuelle-
template PPPo une route statique ne peut pas être configurée sur une
interface virtuelle-template.
Peer Address Allocations une adresse IP d'une interface PPP peut être configuré manuellement
ou négociée lors de la négociation IPCP si négociée, l'adresse IP peut être fournie au routeur distant via une
liaison point-à-point en utilisant plusieurs méthodes:o Peer default address
routeur-A peut-être configuré pour présenter une adresse IP au routeur-B
si routeur B n'a pas d'adresse attribuée, l'adresse présentée est reconnue et utilisée
si routeur-B avait déjà une adresse attribuée, l'adresse assignée est utilisée puisque routeur-B ne va pas demander une adresse ip
o Local address pool routeur-A pourrait être configuré pour servir une
adresse IP à partir d'une zone configurée localement (jusqu'à 256 adresses)
si routeur-B demande une adresse IP, routeur-A attribuera la première adresse disponible
o DHCP routeur-A peut-être configuré en tant que serveur DHCP
pour accepter et traiter des demandeso TACACS+
au cours de la phase d'autorisation de négociation d'adresse IPCP, TACACS + pourrait retourner une adresse IP de l'interface authentifié
Peer Neighbour Route c’est un mécanisme pour insérer une route hôte dynamique (/ 32). il est utile de prévoir l'accessibilité lorsque les deux extrémités de la
même liaison PPP ne sont pas dans le même sous-réseau logique IP-ex unnambred.
envisagez le scénario suivant:o R1 s1/0 est directement relié à R2 s2/0o R s1/0 utilise une adresse IP de 1.1.1.1/18o R2 s2/0 utilise une adresse IP de 2.2.2.2/16o R2 aura dans la table de routage comme 1.1.1.1/32o 2.2.2.2 R1 aura dans la table de routage comme 2.2.2.2/32
seule l'adresse IP annoncé, pas le masque. R1 sera en mesure de ping 2.2.2.2 en conséquence. Peer Neighbour peut être désactivée en toute sécurité lorsque les deux
extrémités de la liaison sont dans le même sous-réseau logique. la table de routage IP doit être effacée pour supprimer la route hôte
PPP généré.
PPP Compression PPP peut négocier d'utilisé Layer 2 payload compression, TCP header
compression, and/or RTP header compression. payload compression mieux fonctionne avec des paquets de taille
longue et header compression mieux avec des paquets de plus petit taille
PPP Layer 2 Payload Compressiono Cisco IOS fournit trois options de compression de charge utile
pour PPP (payload), à savoir, Lempel-Ziv Stacker (LZS), Microsoft Point-to-Point Compression (MPPC) et Predictor.
o Stacker et MPPC utilisent le même algorithme de compression Lempel-Ziv (LZ).
o Predictor utilisant un algorithme appelé Predictor. o LZ utilise plus de CPU et moins de mémoire en comparaison
avec Predictor, LZ et se traduit généralement par un meilleur taux de compression.
o Pour gérer et contrôler la compression, PPP utilise Compression Control Protocol CCP qui est un autre NCP.
o Pour configuré la compression ajouter la command compress sous chaque interface avec le type de compression voulu.
PPP Header Compressiono PPP prend en charge deux types de compression d'en-tête IP:
TCP header compression et RTP header compression.o Le Flux voix avec des codecs à faible débit à de très petits
champs de données (data Field). o La compression de l'ente RTP compresse les en-têtes
IP/UDP/RTP (40 octets) en 2 ou 4 octets. o Avec G.729, la compression d'en-tête RTP réduit la bande
requise de plus de 50 pour cento La compression d'en-tête TCP combine les en-têtes IP et TCP,
40 octets de l'en-tête réduire en 3 o Un paquet de 1500 octet avec entête de 40 octet compressée
en 3 octet, c'est seulement environ 2 pour cent du paquet.
PPP Authentication (PAP, CHAP) Auth-Req est utilisé pour démarrer
l'authentification PAP, elle est transmis / accepté que pendant la phase d'authentification
Les paquets Auth-Req sont envoyés à plusieurs reprises jusqu'à ce qu'un paquet de réponse valide soit reçu
Authenticate-ACK (Auth-Ack) si la pair nom d'utilisateur/mot de passe reçu
dans un paquet de demande d'authentifier est acceptable, l'authentificateur répond avec un paquet Authenticate-ACK
Authenticate-NAK (Auth-Nak) si la pairre nom d'utilisateur / mot de passe reçu
ne sont pas acceptées, l'authentificateur répond avec un paquet Authenticate-NAK.
o PAP support unidirectionnel (sens unique) et bi-directionnel (deux sens) l'authentification
o avec l'authentification unidirectionnelle, seul le côté
(authenticator) recevant la Auth-Req o Avec l'authentification bi-directionnelle, de chaque côté
indépendamment envoyer un paquet Auth-reqo deux côtés répondent par un Auth-Ack ou Auth-Nako Il peut arriver que l'authentification a succès dans un seul senso L'authentificateur nécessite un nom d'utilisateur et mot de
passe configuré globalemento la paire nom d'utilisateur / mot de passe doit correspondre à
ceux envoyés o avec le PAP, le utilisateur/password n’est utilisé que pour
vérifier qu'un nom d'utilisateur et mot de passe entrant sont valables
CHAP (Challenge Handshake Authentication Protocol)o CHAP utilise le concept de three-way handshakeo CHAP envoie un username en texte clear et mot de passe en
MD5o CHAP support unidirectional (one-way) and bidirectional (two-
way) authenticationo Si l'authentification two-way configuré et l'interface UP et
DOWN ça veut dire que l'authentification ne marche pas en une direction
o Par défaut le Peer utilise le hostname du routeur pour s'identifier avec l'authenticator ,
cela peut être changé avec la command ppp chap hostname sur l'interface
o La commande par interface CHAP Hostname ovverwrite le hostname globale.
o Si le même hostname configuré dans les deux coté alors l'authentification échou
Cela à cause que le routeur ignore Auth-req avec son propre hostname
Pour éviter se problème utilise la commande "no ppp chap ignoreus"
EAP (Extensible Authentication Protocol)o EAP est un nouveau protocol qui peut être utilisé pour
l'authentification PPP.o EAP est similaire de CHAP
Utilise le processus three-way handshake Même format de paquet Peu utilisé MD5
o EAP Support plusieurs mécanisme d'authentificationo La configuration de EAP est similaire à PAP
MPPE (Microsoft Point-to-point Encryption)o Définit par RFC 3075o PAP,CHAP et EAP sécurise l'authentification mais pas les
donnéeso MPPE est un ancien protocole de cryptage sur les liens PPPo MPPE offre l'utilisation de plusieurs type de crypatge en basent
sur la taille de la clé de cryptageo La taille de la clé supporté est 40 et 128 bit et le cryptage utilise
RC4 ciphero Il existe deux types de cryptage MPPE
stateful MPPe encryption Offre milleur performance mais s'affect par les
pertes de paquets Stateless MPPE Encryption
Offre des faibles performances mais avec plus de tolérance en terme de la perte de paquet
o Le cryptage PPP est négocié durant la phase NCP par CCP (compression control protocol)
o MPPE requis que MS-CHAP (Microsoft implementation of CHAP) est configuré à l'avance
PPPoE PPPoE permet de connecter un réseau d'hôtes à un RAS (Remote
Access Server) également appelé B-RAS PPPoE permet le contrôle d'accès, la facturation et autre service par
utilisateur Pour établir une connexion point à point sur Ethernet, chaque session
PPP apprend l'adresse Ethernet de l'hôte distant. L'utilisation du protocole PPPoE est souvent observée dans les réseaux
DSL. Routeurs Cisco IOS peuvent agir en tant que client et/ou serveur PPPoE une session PPPoE est initiée par le client. il est recommandé de définir la MTU à 1492 octets, 1492 entête PPPoE
et 8 octets trame Ethernet pour éviter la fragmentation.
MLPPP
MLP fournit une méthode pour la diffusion de trafic sur plusieurs liaisons WAN physiques tout en offrant la fragmentation des paquets
MLP balance le trafic sur le nombre des liens en parallèle ou sur le délai de fragmentation configuré.
Pour permettre le réassemblage MLP ajoute un entête de 2 ou 4 octet qui contient le numéro de séquence et flag qui indique le début et la fin de la trame.
MLP peut mesurer la charge sur le trafic entrant ou sur le trafic sortant, mais pas les deux.
MLP peut etre configuré par interface multilink ou virtual-template
LFI (Link Fragmentation and Interleaving)
o LFI est un type de QoS qui prévient les petits paquets sensibles au retard de beaucoup attendre les paquets non-sensibles d’être envoyé par l’interface serie.
o Interleaving sur MLP permet à des paquets sensible au délai d'être encapsulés et fragmenté en petite taille et les envoyer juste après une portion des grand paquet pour satisfaire l'exigence de retard du trafic en temps réel
o Les petits paquets ne sont pas encapsulés avec Multilink et ils sont transmis entre les fragments des grands paquets.
o Interleaving offre un traitement spécial pour les paquets sensible au délai et des paquets à de petite taille on les transmitent avant autre flux.
o Interleaving s'applique sur un seul ou plusieurs interfaces membre d'un bundle multilink.
o IOS calcule la taille du fragment à base de la formule : Frament size = max-delay (ms)*bandwidth
Metro and WAN Ethernet topologies
Use of rate-limited WAN ethernet services
Le service de ligne privée virtuelle Ethernet est déployé pour le Trunking de plusieurs VLAN sur un réseau de métro ( multiple multiplexage de plusieurs P2P EVC).
le CE du client utilise le protocole 802.1q pour marquer chaque paquet
Ethernet avec l'appartenance au VLAN avant de le transmettre à travers le point virtuel pour pointer Metrolink.
QoS est appliquée à l'interface Customer Edge (CE) Ethernet à l'aide par VLAN ou par Class par traffic shaping.