Objectifs de certification

CCNA 200-301

  • 1.13 Décrire les concepts de la commutation (switching)

    • 1.13.a MAC learning et aging
    • 1.13.b Frame switching
    • 1.13.c Frame flooding
    • 1.13.d MAC address table
  • 1.1 Expliquer le rôle et la fonction des composants réseau

    • 1.1.a Routers
    • 1.1.b Commutateurs (switches) L2 et L3
    • 1.1.c Pare-feu NG (Next-generation firewalls) et IPS
    • 1.1.d Point d’accès (Access points)
    • 1.1.e Controlleurs (Cisco DNA Center and WLC)
    • 1.1.f Points terminaux (Endpoints)
    • 1.1.g Serveurs

Commutation Ethernet

Ce chapitre est consacré au rôle révolutionnaire des commutateurs Ethernet dans nos infrastructures de réseaux locaux en termes d’optimisation des tâches de transferts. On expliquera ici comment ils prennent leur décision de transfert sur base des adresses MAC apprises. On exposera aussi succinctement les différents protocoles IEEE 802.1 auxquelles ils participent. On sera enfin attentif aux implémentations propriétaires et aux comportements par défaut qui caractérisent commutateurs Ethernet Cisco Systems.

1. Commutateur Ethernet

1.1. La révolution du commutateur Ethernet

Les commutateurs ont révolutionné la connectivité et les architectures des réseaux en optimisant les tâches de transferts.

Au sein du réseau local, le commutateur est central, car c’est lui qui se charge de transférer rapidement le trafic d’une interface à l’autre. Il est capable de :

  • de prendre en charge des pics de trafic
  • d’éviter la congestion du réseau
  • de qualifier et classer le trafic (QoS)
  • d’améliorer la sécurité locale

Typiquement les commutateurs sont identifiés comme étant du matériel de couche 2 (L2).

Un commutateur multicouche (multilayer switch) ou encore commutateur de couche 3 (L3 switch) embarque la technologie des commutateurs Ethernet de couche 2, mais avec des fonctions avancées de routage et de prise en charge du trafic.

1.2. Fonctionnement du commutateur

Le commutateur prend ses décisions de transfert du trafic sur base des adresses MAC de destination (apprises dynamiquement) des trames qui lui parviennent. Ce sont des composants matériels comme des puces spécialisées, des ASIC, qui prennent en charge la décision de transfert.

Un commutateur Ethernet se caractérise par deux propriétés :

  • Apprentissage dynamique : le commutateur apprend la ou les adresses MAC attachées à chacun de ses ports par écoute de trafic.
  • Transfert rapide : le commutateur transfère rapidement le trafic d’une interface à une autre.

Pour le transfert rapide, il utilise une table TCAM (Ternary Content Addressable Memory) : une table de correspondance entre les ports, le numéro de VLAN et leurs adresses attachées. On peut vérifier la table de commutation d’un commutateur Cisco avec la commande show mac address-table.

Ce que l’on appelle le “MAC learning” est l’action d’ajouter une adresse MAC qui était inconnue jusqu’alors dans la “CAM table”. Le MAC Aging est l’action de retirer une adresse MAC inactive après un certain délai.

1.3. Processus de transfert du commutateur

Dans le premier diagramme (à gauche), la station A livre du trafic Unicast à la station B. Le commutateur qui reçoit ce trafic enregistre l’adresse MAC de la station et l’associe au port d’entrée dans une table de commutation. Le commutateur transfère le trafic sur le port qui connecte la station B, car il a déjà pris connaissance de la présence de son adresse MAC sur ce port.

Donc, si l’adresse MAC de destination du trafic est connue du commutateur, il le transfère sur le bon port de sortie aussi rapidement que si les deux partenaires de communication étaient directement connectés au même fil.

Transfert de trafic par les commutateurs

Par contre comme dans le second diagramme (à droite), si le trafic dispose d’une destination :

  • MAC inconnue (trafic unicast inconnu du commutateur),
  • MAC broadcast (FF:FF:FF:FF:FF:FF),
  • ou MAC multicast

le commutateur le transfère par tous les ports sauf le port d’origine. On parle alors de “Frame flooding”.

Dans l’exemple suivant, le commutateur connait toutes les adresses MAC qui sont attachées à ses ports. La CAM table semble complète. Ces entrées ont été apprises dynamiquement en fonction du trafic qui lui est déjà parvenu sur chacun de ses ports.

Exemple de CAM Table complète sur un commutateur
Switch#show mac address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0000.0000.0002    DYNAMIC     Gi0/2
   1    0000.0000.00b1    DYNAMIC     Gi0/1
   1    0000.0000.aaa0    DYNAMIC     Gi0/3
   1    0000.0000.aaaa    DYNAMIC     Gi0/0
Total Mac Addresses for this criterion: 4

La lecture de cette table de commutation est assez évidente, quand le commutateur recevra une trame :

  • venant d’un port Vlan 1 pour le PC A (0000.0000.aaaa), il transférera le trafic sur le port Gi0/0 ;
  • venant d’un port Vlan 1 pour le PC B (0000.0000.00b1), il transférera le trafic sur le port Gi0/1 ;
  • venant d’un port Vlan 1 pour le PC C (0000.0000.0002), il transférera le trafic sur le port Gi0/2 ;
  • venant d’un port Vlan 1 pour le PC D (0000.0000.aaaa), il transférera le trafic sur le port Gi0/3.

On précisera aussi que tout trafic inconnu, broadcast (ff:ff:ff:ff:ff) ou multicast de couche 2 sera transféré par tous les ports sauf le port d’origine.

1.4. Modes commutation

Les commutateurs Cisco connaissent deux modes de commutation :

  • Store and Forward
  • Fast-Forward
    • Cut-Through
    • Fragment Free
Modes de commutation

Aucun de ces modes ne se configure ; ils s’enclenchent dynamiquement sur les plateformes Cisco haute-performance.

Le mode “Store and Forward” est le mode par défaut et le plus lent. On le trouvera sur tout commutateur. Dans ce mode, le commutateur transfère la trame après l’avoir entièrement reçue : il vérifie la somme d’intégrité (champ FCS) et place ensuite la trame sur un ou des ports de sortie.

Avec un mode “Fast-Forward” et ses variantes “Cut-Through” et “Fragment Free”, les trames sont transférées avant d’être entièrement reçues : soit dès que la destination est apprise, soit dès que les 512 premiers bits ou 64 octets sont reçus. Dans ces modes, les trames ne sont pas vérifiées par le commutateur.

2. Domaine de collision et domaine de broadcast

Les trames Ethernet se propagent dans un domaine physique : le domaine de collision. Elles se propagent logiquement dans un domaine de broadcast (diffusion). Il est essentiel de distinguer ces deux concepts.

2.1. Domaine de collision

Un domaine de collision est un domaine physique dans lequel des collisions peuvent survenir.

Quelle est l’étendue des domaines de collision sur les périphériques du réseau ?

  • Un domaine de collision par port de commutateur.
  • Le commutateur divise un domaine de collision par port.
  • Un concentrateur (hub) ou un répéteur étend le domaine de collision.

2.2. Topologie en bus

Topologie physique en bus

Au XXe siècle on trouvait des topologies en bus. Un câble coaxial fin en Ethernet 10BASE2 par exemple, partageait la connectivité. Le nombre de postes poste de travail connectés divisait la bande passante marginale par poste de travail. L’infrastructure physique en câblage coaxial était difficile à gérer, car toute déconnexion interrompait la disponibilité du réseau. Les architectures évoluaient mal sans point de concentration.

Topologie logique en bus

En remplaçant un câblage à paires torsadées plus souples et en créant des points de concentration avec des Hubs, les architectures se sont améliorées, mais le domaine de collision augmentait avec le nombre de clients connectés et diminuait les performances du réseau.

2.3. Topologies commutées

Topologie commutée

Au début du XXIème siècle, les Hubs ont été progressivement remplacés par des commutateurs. Un accès concurrentiel au réseau n’entamait plus nécessairement les performances du réseau. Si les domaines de collision sont dédiés par port de commutateur et qu’aucune collision locale ne peut plus survenir quand ce port connecte une seule station de travail, un commutateur transfert le trafic de diffusion (Broadcast) par tous ses ports (sauf celui d’origine). Seul un “routeur”, élément de couche 3, peut arrêter ce trafic.

Topologie commutée étendue

2.4. Domaine de diffusion (Broadcast)

  • Un domaine de diffusion (Broadcast) est un domaine physique dans lequel du trafic de diffusion peut se propager.
  • Un commutateur étend un domaine de diffusion
  • Un routeur arrête la diffusion
  • Un domaine de diffusion correspond à un domaine IP sur le plan logique.
Domaine de diffusion

3. Protocoles IEEE 802.1

Les protocoles de “pontage” (bridging) viennent en compléments des technologies de transport IEEE 802 comme Ethernet (IEEE 802.3) ou encore Wi-Fi (IEEE 802.11). Mais un acteur du marché comme Cisco Systems n’attend pas un consensus avec la concurrence pour proposer ses propres solutions et protocoles de support aux infrastructures IEEE 802.3. Justement, sur le plan historique jusqu’à aujourd’hui, Cisco Systems agit en tant que “Leader” du marché des infrastructures LAN en répondant aux besoins des clients avec ses solutions. Mieux, il va au-devant des besoins du marché et ses solutions peuvent inspirer des standards auprès d’organismes comme l’IEEE ou l’IETF.

Le support de protocoles de pontage standardisés ou propriété peut être déterminant dans le choix des commutateurs et dans la conception de l’infrastructure.

Parmi les standards IEEE 802.1 les plus populaires, on trouvera :

  • 802.1D : “MAC Bridges” qui consacre le rôle des “ponts” et “commutateurs”.
  • 802.1Q : “Virtual LANs” qui virtualise le commutateur.
  • 802.1X : “Port Based Network Access Control” qui permet d’authentifier les utilisateurs et leur périphérique à partir d’un commutateur.
  • 802.1AB : “Station and Media Access Control Connectivity Discovery (LLDP)” qui est une alternative standardisée au protocole Cisco CDP.
  • 802.1AE : “MAC Security” qui contrôle les adresses MAC attachées au ports de commutateur.
  • 802.1AX : “Link Aggregation”, version ouverte d’Etherchannel.

Sources : http://fr.wikipedia.org/wiki/IEEE_802.1, http://en.wikipedia.org/wiki/IEEE_802.1#802.1D

3.1. VLANs (IEEE 802.1q)

On peut “virtualiser” un LAN en plusieurs VLANs. En quelque sorte, on “virtualise” une seule infrastructure LAN physique en plusieurs LANs virtuels. Cette technologie est désormais partie intégrante de tout type de réseau domestique, opérateur, entreprise, etc.

Le principe est le suivant : le commutateur assure la connectivité uniquement entre les ports qui appartiennent au même numéro de VLAN. Si cette fonctionnalité peut s’étendre sur plusieurs commutateurs d’une infrastructure entière grâce à des ports qui agrègent les données de plusieurs VLANs (ports Trunk), on peut considérer qu’il y a autant d’instances de commutation dans l’infrastructure que de VLANs configurés.

La technologie VLAN facilite et améliore les configurations et la gestion des réseaux locaux. Mais aussi, elle divise le réseau en domaines IP distincts dont la communication devrait être assurée par des routeurs avec les performances de transfert semblables aux commutateurs LAN. On parle alors de “routage inter-vlan”, chaque VLANs correspondant à un domaine de broadcast.

Lab VLANs simple

En créant des infrastructures commutées virtuelles, la technologie VLAN permet :

  • D’améliorer la gestion des réseaux
  • D’améliorer les politiques de sécurité
  • D’améliorer la qualité de service (QoS)
  • Contribue à l’évolutivité et à la robustesse du LAN
Conception LAN avec VLANs

On trouvera sur les commutateurs Cisco deux protocoles de Trunking VLANs :

  • ISL (“Inter-Switch Link”), propriétaire Cisco.
  • IEEE 802.1Q standardisé (préféré).

3.2. Redondance dans le LAN

La disponibilité dans le LAN consiste essentiellement à multiplier les liaisons entre les commutateurs

Dans les infrastructures LAN (réseau de stations de travail, centre de données, etc.), on peut assurer la redondance des liaisons sans créer de bouclage grâce à l’implémentation de protocoles de couche 2 (L2) comme Etherchannel au niveau physique et Spanning-Tree sur le plan logique.

Aussi, cette disponibilité pourrait être assurée par des fonctionnalités de couche 3 (L3) comme un FHRP (“First Hop Redundancy Protocol”), acronyme qui désigne de véritables protocoles comme HRSP, GLPB tous deux propriétaires Cisco, ou encore VRRP (standardisé IETF). Enfin, à condition que les conditions d’implémentation soient réunies, les protocoles de routage supportent la répartition de charge sur des liens IP redondants.

  • L1 : Etherchannel
  • L2 : Spanning-Tree
  • L3 : FHRP et protocoles de routage IP

3.3. Architecture LAN

En se basant sur un modèle de conception en trois couches et les protocoles qui gèrent les redondances, on peut créer une architecture LAN qui rencontre des objectifs de haute disponibilité.

Redondance de couche 1 (Etherchannel) à combiner avec une redondance de couche 2 ou couche 3

Ce modèle se fonde sur trois couches de commutateurs qui remplissent des fonctions dans le réseau :

  • Access : fournit des fonctions au plus proche des utilisateurs et des périphériques terminaux dont la connectivité, le point de terminaison des VLANs voire l’alimentation (PoE), …
  • Distribution : se place en intermédiaire d’agrégation des accès. On y trouve la limite des VLANs (domaines de broadcast), les passerelles par défaut, des politiques de filtrage, …
  • Core : coeur du réseau interconnectant différents emplacements locaux ou des centres de données ou certaines de leurs parties entre eux. La couche Core agrège le trafic d’où qu’il vienne et assure la connectivité entre les différentes parties du réseau.

3.4. Routage IP

Le routage IP et ses protocoles de routage peuvent constituer une solution de gestion de liens redondants pour la communication entre les VLANs ou vers d’autres parties du réseau.

Premièrement, un protocole de redondance de passerelle par défaut peut être mis en place. Si l’une des passerelles par défaut tombe, une autre prend le relai dans le transfert de trafic IP. L’acronyme générique FHRP pour “First Hop Redundancy Protocols” n’est pas un protocole, mais désigne un ensemble de protocoles parmi lesquels HSRP (propriétaire Cisco), VRRP (équivalent standardisé IETF) ou encore GLBP (propriétaire Cisco).

En deuxième lieu, pour assurer la disponibilité de la connectivité, par exemple de la couche Distribution à la couche Core, il est recommandé d’activer des interfaces IP sur le commutateur et d’activer un protocole de routage comme OSPF (standard) ou EIGRP (propriétaire Cisco). Faut-il que ces commutateurs embarquent des fonctions de couche 3, on parle de commutateur L3 ou de commutateur multicouche (“Multilayer Switch”).

Pour implémenter un FHRP et/ou un protocole de routage sur un commutateur Cisco, on utilise alors des interfaces de couche 3 pour lesquelles on a désactivé “switchport” ou des interfaces logiques communément désignées SVI (“Switched Virtual Interface”) qui représentent les interfaces VLANs.

4. Fonctions et protocoles L2 des commutateurs Cisco

Les commutateurs Cisco disposent de caractéristiques propres qu’il faut connaitre. Ces caractéristiques propres ont un impact sur l’approche à adopter dans la gestion d’une infrastructure Cisco car elles sont à l’inverse de l’approche de la plupart des fabricants concurrents ce segment de marché.

À la différence des commutateurs de marques concurrentes, les technologies VLANs et les protocoles Spanning-Tree, DTP, ISL, VTP et CDP sont activés par défaut sur les commutateurs Cisco.

4.1. LANs virtuels

Par défaut, sur les commutateurs Cisco, concernant les LANs virtuels (VLANs) :

  • Le VLAN 1 préexiste et ne peut pas être effacé.
  • Tous les ports appartiennent au VLAN 1.
  • Tous les ports sont “switchports”.

4.2. Interfaces Switchport

Par défaut tous les ports d’un commutateur Cisco sont des “switchports”.

Un “switchport” est un port de commutateur qui ne remplit que des fonctions de couche 2 et qui transfère du trafic uniquement vers des switchports qui appartiennent au même VLAN.

Autrement dit, un switchport ne prend pas d’adresse IP. Par contre, il appartient à VLAN auquel il transfère uniquement du trafic de couche 2. Si la source doit placer du trafic vers un autre réseau, ce trafic doit être livré à une passerelle IP.

4.3. Dynamic Trunking Protocol

Par défaut, le protocole propriétaire Cisco Dynamic Trunking Protocol configure automatiquement les ports :

  • DTP configure automatiquement les switchports qui connectent les stations de travail dans le VLAN 1 comme port d’accès (qui ne connecte qu’un seul VLANs)
  • DTP configure automatiquement les switchports qui connectent des commutateurs entre en port Trunk (qui transportent plusieurs VLANs)
  • Le protocole de Trunking est automatiquement négocié par DTP, par défaut deux ports de commutateurs Cisco ne montent pas de Trunk dans un protocole ou un autre (IEEE 802.1Q ou ISL).

Voici un exemple de configuration par défaut obtenu avec la commande IOS show interfaces switchport :

Switch#show interfaces switchport
Name: Gi0/0
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
...

Protocole VTP

Par défaut, le protocole Virtual Trunking Protocol (VTP), propriétaire Cisco, est activé. Il permet une gestion centralisée des bases de données VLANs.

La commande show vtp status le confirme :

Switch#show vtp status
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 :
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled
Device ID                       : 0c10.2ae8.8000
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Local updater ID is 0.0.0.0 (no valid interface found)

4.4. Spanning-Tree

Spanning-Tree est un protocole standardisé qui permet de calculer des chemins redondants sans boucle entre des commutateurs interconnectés entre eux, constituant une architecture de réseau local hautement disponible.

Sur un commutateur Cisco par défaut, PVST+ est activé. Il est plus lent à converger que Rapid-PVST+.

Bien qu’interopérables avec IEEE 802.1D, Cisco Systems implémente une version propriétaire PVST+ et Rapid-PVST+ qui autorise une instance Spanning-Tree par VLANs.

4.5. Voisinage CDP (Cisco Discovery Protocol)

Cisco Discovery Protocol (CDP) qui permet de découvrir des périphériques voisins de couche 2 (L2) est également activé par défaut sur les commutateurs Cisco.

4.6. Synthèse des protocoles L2 activé par défaut sur un commutateur Cisco

FonctionProtocole Cisco activéFréquence des messagesProtocole IEEE correspondant
VLANsISL (avec DTP) / VTPDTP (30 secondes)IEEE 802.1Q
Gestion des boucles (Spanning-Tree)PVST+ / Rapid-PVST+2 secondesIEEE 802.1D
Découverte L2CDP60 secondesIEEE 802.1AB

5. Conclusion : critères de transfert

Chaque matériel d’interconnexion du réseau dispose de ses critères quant au transfert du trafic qui lui arrive sur ses ports.

Un commutateur prendra sa décision de transfert sur un bon de sortie en fonction de l’adresse MAC destination de la trame. On parle de commutation (LAN switching).

Un routeur prendra sa décision de transfert sur un bon de sortie en fonction de l’adresse IP de destination du paquet. Un commutateur de couche 3 (L3) est un commutateur de couche 2 (L2) qui embarque des fonctions de routage IP.

Un concentrateur (Hub), un répéteur, ou un bus, le câble lui-même, se contente de propager le signal par tous ses ports. Il ne prend donc aucune décision sur le transfert ; il n’y a rien à configurer dans un Hub. On ne trouve plus ce type de matériel en technologie Ethernet depuis très longtemps. Par contre, la connaissance du Hub Ethernet permet se trouver des similitudes dans la gestion des accès au support et dans le rôle des répéteurs en technologie radio comme IEEE 802.11.